摘　要：作為新一次量子革命中率先實(shí)用化的代表性技術(shù)，量子密鑰分發(fā)（quantum key distribution，QKD）為信息安全領(lǐng)域帶來(lái)了有望實(shí)現(xiàn)長(zhǎng)期安全性保障的可行方案，近年來(lái)從協(xié)議設(shè)計(jì)、技術(shù)研發(fā)、網(wǎng)絡(luò)部署到實(shí)際應(yīng)用都取得了長(zhǎng)足的進(jìn)步。首先探討了將點(diǎn)對(duì)點(diǎn)QKD技術(shù)擴(kuò)展到多用戶(hù)量子保密通信網(wǎng)絡(luò)的架構(gòu)設(shè)計(jì)；進(jìn)一步，結(jié)合經(jīng)典密碼學(xué)方案，提出將QKD生成的量子密鑰在移動(dòng)終端側(cè)應(yīng)用的增強(qiáng)解決方案，使得QKD技術(shù)可應(yīng)用于更廣泛的移動(dòng)化場(chǎng)景。

　　1 引言

　　量子密碼學(xué)的研究源于Bennett和Brassard的開(kāi)創(chuàng)性工作［1］。不同于經(jīng)典密碼學(xué)，量子密碼學(xué)的安全性保障并不來(lái)自于數(shù)學(xué)算法的計(jì)算復(fù)雜度，而是建立在量子物理學(xué)的基本定律之上，能夠提供獨(dú)特的長(zhǎng)期安全性保障。

　　所謂的長(zhǎng)期安全性理念，來(lái)自信息論的創(chuàng)立者香農(nóng)（Shannon C）［2］1949年提出的信息理論安全模型，其證明在一次一密（one-time pad，OTP）加密下，即使敵手的計(jì)算能力無(wú)限強(qiáng)，也無(wú)法從密文中竊取任何信息，這使得竊聽(tīng)者的存在毫無(wú)意義。OTP算法的實(shí)現(xiàn)必須滿(mǎn)足3個(gè)條件，分別是“密鑰必須完全隨機(jī)”“密鑰不能重復(fù)使用”“密鑰需與明文等長(zhǎng)”。它涉及經(jīng)典物理中兩個(gè)不可實(shí)現(xiàn)的任務(wù)：一是如何生成真正隨機(jī)的密鑰；二是如何在不安全的公共信道上無(wú)條件安全地分發(fā)密鑰。隨著量子信息技術(shù)的發(fā)展，人們發(fā)現(xiàn)基于量子物理學(xué)可以解決這兩個(gè)難題：真正的隨機(jī)數(shù)可以通過(guò)基本的量子物理過(guò)程生成，通過(guò)量子通信手段則可實(shí)現(xiàn)在公共信道上也無(wú)法被竊聽(tīng)的密鑰分發(fā)。

　　為此，量子隨機(jī)數(shù)發(fā)生器（quantum random number generator，QRNG）和量子密鑰分發(fā)（quantum key distribution，QKD）作為代表性的量子密碼學(xué)技術(shù)受到了廣泛關(guān)注［3］。近年來(lái)，實(shí)用化的QKD技術(shù)正在不斷發(fā)展完善。通過(guò)與經(jīng)典對(duì)稱(chēng)密碼技術(shù)的結(jié)合，采取一定的性能與安全性折中，QKD可以支持高速率的保密通信應(yīng)用。在設(shè)備方面，QKD的性能增強(qiáng)、小型化甚至芯片化［4-5］已在不斷地迭代升級(jí)。在組網(wǎng)方面，基于可信中繼的QKD網(wǎng)絡(luò)在美國(guó)、奧地利、中國(guó)、日本、瑞士、英國(guó)、韓國(guó)等多個(gè)國(guó)家得到了廣泛的試驗(yàn)部署［6-9］。在標(biāo)準(zhǔn)化方面，歐洲和中國(guó)正在加速制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)和安全認(rèn)證［10］。在應(yīng)用方面，QKD在一些需要長(zhǎng)期安全性保障的領(lǐng)域（例如金融、政務(wù)、醫(yī)療等方面）的商業(yè)應(yīng)用已在逐步成形。

　　然而，作為人們首次利用量子物理手段來(lái)實(shí)現(xiàn)保密通信的創(chuàng)新實(shí)踐，QKD的發(fā)展仍面臨著傳輸距離和速率、設(shè)備及網(wǎng)絡(luò)部署成本、標(biāo)準(zhǔn)化與安全認(rèn)證、商業(yè)模式及應(yīng)用需求等多方面的挑戰(zhàn)。如何構(gòu)建可擴(kuò)展、廣域覆蓋的QKD網(wǎng)絡(luò)，提供更廣泛的安全服務(wù)和應(yīng)用，無(wú)疑是QKD產(chǎn)業(yè)化發(fā)展的關(guān)鍵所在。

　　本文首先簡(jiǎn)要介紹QKD技術(shù)原理，然后針對(duì)如何將點(diǎn)對(duì)點(diǎn)QKD技術(shù)擴(kuò)展為多用戶(hù)網(wǎng)絡(luò)，提出一種可擴(kuò)展的、面向應(yīng)用的QKD網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案。進(jìn)一步地，通過(guò)與基于對(duì)稱(chēng)密鑰的密鑰分發(fā)中心（key distribution center，KDC）方案和基于非對(duì)稱(chēng)密鑰的公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）方案的對(duì)比分析，提出將QKD與經(jīng)典密碼方案優(yōu)勢(shì)相結(jié)合的新方案。通過(guò)將量子密鑰應(yīng)用于移動(dòng)終端側(cè)，以解決量子密鑰分發(fā)網(wǎng)絡(luò)難以覆蓋“最后一公里”的難題，有望將量子安全服務(wù)拓展到面向新興ICT技術(shù)的移動(dòng)化應(yīng)用中，從而使QKD適用于更廣泛的應(yīng)用場(chǎng)景。

　　2 量子密鑰分發(fā)技術(shù)原理

　　從基本原理上來(lái)看，QKD是通過(guò)光量子態(tài)的信息編碼、傳遞、檢測(cè)等操作來(lái)實(shí)現(xiàn)的量子信息處理過(guò)程。QKD有基于量子態(tài)制備—測(cè)量和基于量子糾纏等多種實(shí)現(xiàn)方式，其安全性通常由如下3個(gè)量子物理原理保障。

　　? 海森堡測(cè)不準(zhǔn)原理：該原理指出一旦通過(guò)測(cè)量可以獲得某個(gè)量子系統(tǒng)的部分狀態(tài)信息，那么該量子系統(tǒng)狀態(tài)就必然會(huì)發(fā)生擾動(dòng)，除非事先已知該量子系統(tǒng)的可能狀態(tài)是彼此正交的。這使得在QKD過(guò)程中，僅當(dāng)接收方采用與發(fā)送方相同的基（包含正交的兩個(gè)基矢）進(jìn)行制備和測(cè)量時(shí)，雙方可以獲取正確的信息；而竊聽(tīng)者的測(cè)量行為則一定會(huì)改變量子態(tài)的物理特性，從而使竊聽(tīng)行為無(wú)法避免地被檢測(cè)出來(lái)。

　　? 量子不可克隆定理：該定理是指無(wú)法以一個(gè)量子比特為基礎(chǔ)精確地復(fù)制出它的完美副本，對(duì)量子態(tài)進(jìn)行復(fù)制的過(guò)程必然會(huì)破壞其原有的量子比特信息。這意味著竊聽(tīng)者無(wú)法復(fù)制量子比特承載的信息。

　　? 量子糾纏特性：在量子力學(xué)里，當(dāng)多個(gè)粒子彼此相互作用后，由各個(gè)粒子所擁有的特性已綜合成為整體的性質(zhì)，無(wú)法單獨(dú)描述各個(gè)粒子的性質(zhì)，只能描述整體系統(tǒng)的性質(zhì)，這種現(xiàn)象稱(chēng)為量子糾纏。愛(ài)因斯坦將該現(xiàn)象稱(chēng)為“遙遠(yuǎn)地點(diǎn)之間的詭異互動(dòng)”。該特性使得發(fā)生量子糾纏的雙方，其信息不可能泄露給第三方。

　　圖1給出一個(gè)典型的點(diǎn)對(duì)點(diǎn)QKD系統(tǒng)模型。可以看到，QKD是一個(gè)通信雙方協(xié)商產(chǎn)生共享密鑰的過(guò)程。雖然存在BB84、GG02等多種不同的QKD協(xié)議，但均需由量子信道和經(jīng)過(guò)認(rèn)證的經(jīng)典信道相連的發(fā)送和接收裝置來(lái)實(shí)現(xiàn)。量子信道中傳輸?shù)氖怯闪孔討B(tài)承載的量子比特信號(hào)，可以利用光纖、自由空間（包括衛(wèi)星鏈路）等物理媒介進(jìn)行傳輸。經(jīng)典信道則用于發(fā)送方Alice和接收方Bob進(jìn)行基矢比對(duì)等數(shù)據(jù)后處理步驟的信息交互。這里量子信道和經(jīng)典信道均可通過(guò)公共通信網(wǎng)絡(luò)進(jìn)行傳輸而無(wú)需擔(dān)心竊聽(tīng)者的存在，因?yàn)锳lice和Bob可以利用QKD特殊的處理過(guò)程發(fā)現(xiàn)竊聽(tīng)行為。

　　圖1 QKD工作機(jī)制示意圖

　　當(dāng)Alice與Bob之間進(jìn)行量子保密通信時(shí)，首先需通過(guò)QKD進(jìn)行對(duì)稱(chēng)密鑰的分發(fā)。QKD的第一個(gè)步驟是量子通信，即通過(guò)量子信道進(jìn)行量子態(tài)的制備（或稱(chēng)編碼）、傳遞和測(cè)量（或稱(chēng)解碼）。這里Alice和Bob均具備建立量子信道所需的專(zhuān)用光學(xué)設(shè)備。Alice通過(guò)單/弱光子源將一個(gè)個(gè)單獨(dú)的光子（量子態(tài)的載體）不斷地發(fā)送給Bob，每個(gè)光子可以看作承載著1量子比特（Qbit）的信息。Alice在發(fā)送這些光子時(shí)，會(huì)隨機(jī)選擇兩種不同類(lèi)型的“基”之一來(lái)進(jìn)行量子編碼處理。在BB84協(xié)議中，“基”是編碼或測(cè)量光子的偏振角度，每類(lèi)基包含兩個(gè)相互正交的基矢，而兩類(lèi)基之間則是非正交的，例如由{0°， 90°}偏振組成的垂直正交基和由{45°， ?45°}偏振組成的斜對(duì)角基。

　　作為接收方的Bob，為獲取其通過(guò)量子信道接收到的每個(gè)光子所攜帶的信息，Bob需像Alice一樣隨機(jī)選擇兩種可能的“基”之一對(duì)光子進(jìn)行測(cè)量。這里測(cè)量基的選擇必須是隨機(jī)的，且與Alice制備光子時(shí)所用的基無(wú)關(guān)。然后，Alice和Bob可通過(guò)經(jīng)典信道公開(kāi)比對(duì)雙方在制備和測(cè)量光子時(shí)所用的基。當(dāng)且僅當(dāng)Alice和Bob隨機(jī)地選擇了相同的基時(shí)，根據(jù)海森堡測(cè)不準(zhǔn)原理，雙方會(huì)得到相同的信息，可用于生成密鑰。而當(dāng)Alice和Bob隨機(jī)選擇不同的基時(shí)，則雙方所得到的信息是隨機(jī)的，應(yīng)予以丟棄。圖2形象地描述了基于BB84協(xié)議的基矢比對(duì)過(guò)程。

　　圖2 BB84 QKD協(xié)議原理示意圖

　　在量子通信步驟結(jié)束后，QKD還需要根據(jù)參數(shù)估計(jì)過(guò)程，通過(guò)對(duì)誤碼率等參數(shù)的評(píng)估識(shí)別當(dāng)前是否存在竊聽(tīng)，然后還需通過(guò)密鑰數(shù)據(jù)的糾錯(cuò)、校驗(yàn)、隱私放大等過(guò)程，保證收發(fā)兩端得到完全一致的、安全的隨機(jī)數(shù)，用于生成雙方進(jìn)行保密通信所需的對(duì)稱(chēng)密鑰。

　　3 量子保密通信網(wǎng)絡(luò)架構(gòu)

　　將點(diǎn)對(duì)點(diǎn)的QKD技術(shù)擴(kuò)展為多用戶(hù)的QKD網(wǎng)絡(luò)，以實(shí)現(xiàn)多用戶(hù)間的保密通信，例如多方的量子加密電話或視頻會(huì)議，才能充分發(fā)揮QKD的應(yīng)用潛力。目前來(lái)看，QKD網(wǎng)絡(luò)的實(shí)現(xiàn)方案可以分為以下3類(lèi)。

　　? 基于無(wú)源光器件：通過(guò)光開(kāi)關(guān)進(jìn)行兩兩用戶(hù)間的光路切換，以實(shí)現(xiàn)多用戶(hù)量子信道的時(shí)分復(fù)用。這種方案無(wú)法突破量子通信鏈路傳輸距離限制（實(shí)際部署中約為80~100 km），不具有可擴(kuò)展性。

　　? 基于可信中繼：首先將點(diǎn)對(duì)點(diǎn)QKD鏈路生成的密鑰緩存在可信中繼節(jié)點(diǎn)中，然后將用戶(hù)所需的端到端密鑰，利用多跳鏈路密鑰以O(shè)TP加密方式逐跳進(jìn)行傳遞，以實(shí)現(xiàn)信息理論安全的端到端密鑰分發(fā)。該方案可以突破QKD鏈路傳輸距離限制，但要求密鑰傳輸?shù)闹欣^節(jié)點(diǎn)必須可信。

　　? 基于量子中繼：利用量子糾纏原理實(shí)現(xiàn)量子態(tài)的存儲(chǔ)、轉(zhuǎn)發(fā)，以實(shí)現(xiàn)量子態(tài)的遠(yuǎn)距離分發(fā)。該技術(shù)無(wú)需中繼節(jié)點(diǎn)可信，但目前仍處于理論研究階段。

　　現(xiàn)有的QKD網(wǎng)絡(luò)試驗(yàn)部署通常采用前兩種方案［11］，但目前尚無(wú)統(tǒng)一、標(biāo)準(zhǔn)化的QKD網(wǎng)絡(luò)架構(gòu)。本節(jié)主要探討如何基于點(diǎn)對(duì)點(diǎn)的QKD技術(shù)構(gòu)建多用戶(hù)的、可擴(kuò)展的、面向應(yīng)用的QKD網(wǎng)絡(luò)，首先給出面向大規(guī)模QKD網(wǎng)絡(luò)建設(shè)運(yùn)營(yíng)的網(wǎng)絡(luò)設(shè)計(jì)需求，進(jìn)而提出一種可擴(kuò)展QKD網(wǎng)絡(luò)架構(gòu)解決方案，為QKD網(wǎng)絡(luò)部署及其標(biāo)準(zhǔn)化提供參考。

　　3.1 QKD網(wǎng)絡(luò)設(shè)計(jì)需求

　　QKD網(wǎng)絡(luò)作為一種提供密碼學(xué)服務(wù)的通信網(wǎng)絡(luò)，其具備經(jīng)典通信網(wǎng)絡(luò)類(lèi)似的特征，即同樣由大量的信號(hào)調(diào)制、發(fā)射、接收、檢測(cè)、后處理等通信功能模塊組成。因此，其必須滿(mǎn)足通信網(wǎng)絡(luò)部署所需要的靈活擴(kuò)展、成本經(jīng)濟(jì)、兼容互通等基本需求。另外，QKD網(wǎng)絡(luò)所提供的服務(wù)與經(jīng)典通信系統(tǒng)不同，是隨機(jī)的密鑰而非有序的信息。因此，QKD網(wǎng)絡(luò)還需要滿(mǎn)足密碼學(xué)服務(wù)的各種需求，包括嚴(yán)格的安全性、與安全應(yīng)用的結(jié)合等。

　　綜合考慮通信網(wǎng)絡(luò)建設(shè)運(yùn)營(yíng)和保密通信服務(wù)兩方面要求，QKD網(wǎng)絡(luò)架構(gòu)的總體需求包括如下7個(gè)方面。

　　（1）可擴(kuò)展性

　　? 可實(shí)現(xiàn)通過(guò)QKD網(wǎng)絡(luò)相連的任意兩節(jié)點(diǎn)間的信息論安全密鑰分發(fā)；

　　? 可靈活支持廣域組網(wǎng)所需的骨干、城域、接入等多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

　　? 可根據(jù)業(yè)務(wù)需求變化進(jìn)行靈活、經(jīng)濟(jì)地?cái)U(kuò)容升級(jí)和重配置。

　　（2）高效性

　　可根據(jù)用戶(hù)需求和網(wǎng)絡(luò)負(fù)載的變化，靈活選擇密鑰的傳輸路徑，調(diào)度網(wǎng)絡(luò)物理資源，提供高效的密鑰輸出容量和性能，可滿(mǎn)足各類(lèi)用戶(hù)業(yè)務(wù)要求的密鑰帶寬、時(shí)延等性能要求。

　　（3）生存/可用性

　　在某些鏈路或節(jié)點(diǎn)出現(xiàn)故障時(shí)，可實(shí)現(xiàn)快速故障定位和恢復(fù)，保證業(yè)務(wù)連續(xù)性，不影響用戶(hù)體驗(yàn)。

　　（4）應(yīng)用靈活性

　　可為上層ICT應(yīng)用提供靈活開(kāi)放的密鑰服務(wù)集成方案和方便易用的可編程應(yīng)用接口（API）。

　　（5）差異化策略控制

　　網(wǎng)絡(luò)可根據(jù)不同用戶(hù)的特定安全等級(jí)及業(yè)務(wù)需求，提供差異化的密鑰服務(wù)質(zhì)量管理，并提供多種靈活計(jì)費(fèi)方式。

　　（6）安全性

　　? 采用安全可靠的QKD協(xié)議及收發(fā)機(jī)設(shè)計(jì)，具備嚴(yán)格的理論安全性證明，可防御各種已知的量子層安全威脅；

　　? 密碼技術(shù)的使用應(yīng)符合相關(guān)安全標(biāo)準(zhǔn)和認(rèn)證；

　　? 密鑰中繼節(jié)點(diǎn)能保證無(wú)人值守情況下的可靠安全運(yùn)行；

　　? 具備完整的入侵檢測(cè)、安全防御等功能和措施。

　　（7）互操作能力

　　支持來(lái)自不同設(shè)備生產(chǎn)商的QKD設(shè)備及組網(wǎng)設(shè)備，實(shí)現(xiàn)異廠商設(shè)備互操作能力。

　　3.2 QKD網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案

　　參考現(xiàn)有QKD網(wǎng)絡(luò)設(shè)計(jì)方案，結(jié)合上述網(wǎng)絡(luò)需求，這里給出一種QKD網(wǎng)絡(luò)架構(gòu)的參考設(shè)計(jì)方案，如圖3所示。

　　圖3 量子保密通信網(wǎng)絡(luò)參考架構(gòu)

　　為實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn)QKD向多用戶(hù)QKD網(wǎng)絡(luò)的擴(kuò)展，需在QKD信號(hào)發(fā)射機(jī)（Q-Tx）和QKD信號(hào)接收機(jī)發(fā)機(jī)（Q-Rx）的基礎(chǔ)上，增加量子密鑰管理（quantum key manager，QKM）功能，以構(gòu)成基本的QKD網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)量子密鑰的控制、管理或中繼轉(zhuǎn)發(fā)等功能。

　　基于目前的QKD技術(shù)水平，QKD網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)光纖連接組成QKD網(wǎng)絡(luò)是其組網(wǎng)的主要方式，基于衛(wèi)星等自由空間信道的QKD鏈路將作為特殊場(chǎng)景下的輔助組網(wǎng)手段。從QKD網(wǎng)絡(luò)功能和節(jié)點(diǎn)配置角度出發(fā)，將QKD網(wǎng)絡(luò)劃分為量子骨干網(wǎng)（quantum backbone network，QBB）和量子接入網(wǎng)（quantum access network，QAN）兩部分。QBB由遠(yuǎn)距離、大容量的QKD骨干線路組成，負(fù)責(zé)連接多個(gè)城域網(wǎng)組成更大規(guī)模的廣域網(wǎng)絡(luò)，通常采用環(huán)形或mesh組網(wǎng)結(jié)構(gòu)以保證其頑健性。QAN負(fù)責(zé)將大量的用戶(hù)節(jié)點(diǎn)鏈路匯聚接入骨干網(wǎng)，在網(wǎng)絡(luò)末梢通常采用星形組網(wǎng)結(jié)構(gòu)。

　　這里將QKD網(wǎng)絡(luò)節(jié)點(diǎn)分為用戶(hù)節(jié)點(diǎn)（Q-UN）、接入節(jié)點(diǎn)（Q-AN）、中繼節(jié)點(diǎn)（Q-RN）3類(lèi)。QKD用戶(hù)節(jié)點(diǎn)可直接與QKD接入節(jié)點(diǎn)相連接入QKD網(wǎng)絡(luò)，也可通過(guò)光量子復(fù)用器（optical quantum multiplexer，Q-Mux）接入，以實(shí)現(xiàn)多路Q(chēng)KD用戶(hù)信號(hào)的復(fù)用，降低對(duì)接入節(jié)點(diǎn)側(cè)QKD接收機(jī)的需求。然后，通過(guò)多個(gè)QKD中繼節(jié)點(diǎn)組成的QBB骨干鏈路，實(shí)現(xiàn)遠(yuǎn)距離的密鑰中繼。由QKD用戶(hù)節(jié)點(diǎn)、接入節(jié)點(diǎn)、中繼節(jié)點(diǎn)連接組成的多跳路徑，構(gòu)成了端到端的量子密鑰傳輸通道。該通道通過(guò)逐跳生成的量子密鑰進(jìn)行一次性密碼本（OTP）方式的加密傳輸，即可實(shí)現(xiàn)網(wǎng)絡(luò)中的任意兩個(gè)用戶(hù)節(jié)點(diǎn)之間信息論安全（information theoretic secure，ITS）的密鑰分發(fā)。

　　QKD節(jié)點(diǎn)兩兩之間的通信涉及3類(lèi)邏輯接口，包括Q-Tx與Q-Rx之間的量子接口（Q1）、密鑰協(xié)商接口（K1）、QKM之間的密鑰中繼接口（K2）。Q-Tx與Q-Rx之間通過(guò)Q1接口實(shí)現(xiàn)收發(fā)信機(jī)之間的量子信號(hào)同步、量子比特信息的發(fā)送和探測(cè)；通過(guò)K1接口實(shí)現(xiàn)QKD的基矢比對(duì)、竊聽(tīng)檢測(cè)、密鑰糾錯(cuò)、隱私放大等功能，以生成安全的量子密鑰；通過(guò)K2接口進(jìn)行全局密鑰（用戶(hù)間的共享對(duì)稱(chēng)密鑰）的中繼傳輸。Q1接口必須承載在基于光纖或衛(wèi)星鏈路的量子信道上，K1和K2接口則可通過(guò)經(jīng)典通信信道承載。注意這里的量子信道可通過(guò)波分復(fù)用（WDM）技術(shù)與經(jīng)典光通信網(wǎng)絡(luò)共用現(xiàn)有的光纖資源，由于這種部署方式對(duì)于QKD網(wǎng)絡(luò)是透明的，不涉及功能和協(xié)議影響，因此并未在該參考架構(gòu)中體現(xiàn)。

　　為高效實(shí)現(xiàn)QKD網(wǎng)絡(luò)的管理和控制，考慮當(dāng)前網(wǎng)絡(luò)SDN化的演進(jìn)趨勢(shì)，這里在網(wǎng)絡(luò)架構(gòu)中引入QKD網(wǎng)絡(luò)控制器（QKD network controller，Q-NC），負(fù)責(zé)網(wǎng)絡(luò)節(jié)點(diǎn)的鑒權(quán)認(rèn)證，密鑰服務(wù)的資源管理、業(yè)務(wù)策略控制等功能。Q-NC目前主要由QKD密鑰服務(wù)管理中心（Q-KMS）、鑒權(quán)中心（Q-AuC）、策略控制中心（Q-PCRF）3部分功能模塊組成。Q-NC與網(wǎng)絡(luò)中的各QKD中繼節(jié)點(diǎn)及接入節(jié)點(diǎn)通過(guò)M1接口相連，收集各節(jié)點(diǎn)的狀態(tài)及請(qǐng)求消息，并下發(fā)相應(yīng)的控制指令。具體的，其將通過(guò)Q-AuC連接實(shí)現(xiàn)用戶(hù)節(jié)點(diǎn)的鑒權(quán)認(rèn)證，通過(guò)Q-KMS完成密鑰中繼過(guò)程中的資源調(diào)度和路徑選擇，通過(guò)Q-PCRF根據(jù)量子網(wǎng)絡(luò)運(yùn)營(yíng)商（quantum network operator，QNO）定義的服務(wù)質(zhì)量（quality of service，QoS）及計(jì)費(fèi)策略，為每個(gè)用戶(hù)密鑰會(huì)話業(yè)務(wù)執(zhí)行特定的QoS服務(wù)等級(jí)和計(jì)費(fèi)規(guī)則。

　　基于QKD網(wǎng)絡(luò)為用戶(hù)生成的全局密鑰（對(duì)稱(chēng)共享量子密鑰），即可進(jìn)行量子安全的保密通信。這里進(jìn)一步定義了量子安全應(yīng)用（Q-App），其通過(guò)A1接口調(diào)用QKD用戶(hù)節(jié)點(diǎn)生成的量子密鑰，即可利用現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實(shí)現(xiàn)基于QKD的端到端量子保密通信。

　　4 量子密鑰分發(fā)移動(dòng)化應(yīng)用方案

　　雖然基于現(xiàn)有的QKD網(wǎng)絡(luò)技術(shù)已經(jīng)可以開(kāi)展一系列實(shí)際業(yè)務(wù)應(yīng)用。但是，由于量子信道的特殊要求，量子保密通信中的密鑰分發(fā)仍然離不開(kāi)高成本的光纖或衛(wèi)星網(wǎng)絡(luò)。這在一定程度上限制了量子通信應(yīng)用的發(fā)展，尤其在業(yè)務(wù)移動(dòng)化特征突出的移動(dòng)互聯(lián)網(wǎng)時(shí)代，量子通信難以與新興的ICT技術(shù)融合應(yīng)用。本節(jié)將探討如何結(jié)合QKD與經(jīng)典密碼的優(yōu)勢(shì)，并將QKD的應(yīng)用場(chǎng)景拓展至更廣泛的移動(dòng)業(yè)務(wù)中。

　　4.1 QKD與經(jīng)典密碼學(xué)方案的對(duì)比分析

　　這里將基于QKD網(wǎng)絡(luò)的保密通信方案抽象為如圖4所示的模型，其執(zhí)行過(guò)程可分解為表1所示的4個(gè)步驟，便于進(jìn)一步分析其優(yōu)缺點(diǎn)。

　　首先是密鑰預(yù)置過(guò)程，QKD網(wǎng)絡(luò)仍然需要為每個(gè)用戶(hù)提供特定的根密鑰，分別預(yù)置到QKD網(wǎng)絡(luò)的鑒權(quán)中心和每個(gè)用戶(hù)節(jié)點(diǎn)中，以進(jìn)行QKD設(shè)備的初始身份認(rèn)證和鑒權(quán)。當(dāng)鑒權(quán)通過(guò)后，用戶(hù)可通過(guò)QKD網(wǎng)絡(luò)進(jìn)行會(huì)話密鑰的協(xié)商，通過(guò)特有的OTP方式將密鑰安全地分發(fā)到收發(fā)兩端用戶(hù)。然后，用戶(hù)使用這些對(duì)稱(chēng)的會(huì)話密鑰進(jìn)行基于AES加密的安全通信。

　　可以看到，基于QKD的會(huì)話密鑰分發(fā)是QKD方案最重要的優(yōu)勢(shì)，它同時(shí)具備信息理論安全、抗量子計(jì)算攻擊、前向安全性、可提供高速密鑰交換等優(yōu)勢(shì)。但是，其僅適用于用戶(hù)能夠通過(guò)光纖或衛(wèi)星接入QKD網(wǎng)絡(luò)的場(chǎng)景。

　　這里進(jìn)一步考慮現(xiàn)有網(wǎng)絡(luò)常見(jiàn)應(yīng)用場(chǎng)景下的保密通信方案，以與QKD進(jìn)行對(duì)比分析。經(jīng)典的保密通信方案可以分為基于對(duì)稱(chēng)密鑰和非對(duì)稱(chēng)密鑰兩種基本類(lèi)型。

　　? 基于對(duì)稱(chēng)密鑰：通常采用基于密鑰分發(fā)中心（key distribution center，KDC）方案，常用于移動(dòng)通信系統(tǒng)、基于Kerberos的企業(yè)網(wǎng)及部分銀行系統(tǒng)。例如在3G/4G通信系統(tǒng)中，運(yùn)營(yíng)商會(huì)為每位移動(dòng)用戶(hù)提供特殊的128位根密鑰（Ki），分別預(yù)置在手機(jī)的SIM卡和3G/4G網(wǎng)絡(luò)的用戶(hù)簽約管理中心（HSS），以進(jìn)行鑒權(quán)認(rèn)證和會(huì)話密鑰的生成。

　　? 基于非對(duì)稱(chēng)密鑰：通常稱(chēng)為公鑰技術(shù)，在實(shí)際應(yīng)用中通常采用基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的方案以防止中間人攻擊。目前，大多數(shù)互聯(lián)網(wǎng)應(yīng)用均基于此方案，包括基于SSL/TLS的HTTPS、軟件版本更新的驗(yàn)證、虛擬專(zhuān)用網(wǎng)（VPN）、安全電子郵件以及新興的區(qū)塊鏈等技術(shù)。

　　對(duì)于這兩類(lèi)傳統(tǒng)的保密通信方案，同樣可以抽象為表1中所示的四步模型進(jìn)行分析。如圖5所示，對(duì)于基于對(duì)稱(chēng)密鑰的KDC方案，終端和KDC首先分別預(yù)置用戶(hù)特殊（user-specific）的對(duì)稱(chēng)密鑰作為根密鑰，終端入網(wǎng)時(shí)首先通過(guò)根密鑰進(jìn)行鑒權(quán)認(rèn)證；然后通過(guò)KDC的協(xié)商，與通信對(duì)端使用對(duì)稱(chēng)密鑰加隨機(jī)數(shù)的方式產(chǎn)生新鮮的會(huì)話密鑰，用于后續(xù)的數(shù)據(jù)加解密傳輸。KDC方案不涉及基于算法的非對(duì)稱(chēng)公鑰密碼技術(shù)，因此具有抗量子計(jì)算攻擊能力。但是大量終端根密鑰的管理十分復(fù)雜，且根密鑰長(zhǎng)期不變，無(wú)法保證前向安全性，一旦根密鑰泄露，歷史數(shù)據(jù)會(huì)將全部被黑客破解，造成巨大危害。

　　圖5 基于對(duì)稱(chēng)密鑰的KDC方案模型

　　基于非對(duì)稱(chēng)密鑰的PKI方案模型如圖6所示，首先通信雙方的終端A和服務(wù)器B需分別預(yù)置根CA證書(shū)（含公鑰等信息），然后終端在本地計(jì)算生成其公私鑰對(duì)，并向CA申請(qǐng)簽署下發(fā)代表用戶(hù)身份的證書(shū)。當(dāng)終端與服務(wù)器之間發(fā)起通信時(shí)，終端需首先向服務(wù)器出示其證書(shū)，服務(wù)器通過(guò)CA驗(yàn)證終端證書(shū)有效性后，完成終端的身份認(rèn)證。然后，服務(wù)器使用終端公鑰加密隨機(jī)生成的會(huì)話密鑰并發(fā)送給終端側(cè)，終端通過(guò)本地私鑰解密后獲取對(duì)稱(chēng)的會(huì)話密鑰。最后，雙方可進(jìn)行基于對(duì)稱(chēng)會(huì)話密鑰的數(shù)據(jù)加密通信。PKI方案無(wú)需預(yù)置用戶(hù)特殊的根密鑰，其管理相對(duì)簡(jiǎn)單，適用于大規(guī)模的互聯(lián)網(wǎng)業(yè)務(wù)。其缺點(diǎn)是身份認(rèn)證和會(huì)話密鑰協(xié)商過(guò)程均涉及非對(duì)稱(chēng)公鑰算法，無(wú)法抵抗量子計(jì)算攻擊。

　　圖6 基于非對(duì)稱(chēng)密鑰的PKI方案模型

　　4.2 QKD與經(jīng)典密碼學(xué)結(jié)合的移動(dòng)化應(yīng)用方案

　　通過(guò)上述分析可以看到，QKD和經(jīng)典的對(duì)稱(chēng)、非對(duì)稱(chēng)密碼方案均具有其優(yōu)勢(shì)和劣勢(shì)，這里將進(jìn)一步探討如何利用QKD自身的獨(dú)特優(yōu)勢(shì)結(jié)合經(jīng)典密碼學(xué)方案，進(jìn)一步延伸QKD的應(yīng)用場(chǎng)景。

　　這里提出一種新型解決方案，利用QKD自身的獨(dú)特優(yōu)勢(shì)，同時(shí)結(jié)合經(jīng)典的KDC和PKI方案特點(diǎn)，將基于量子密鑰分發(fā)的安全服務(wù)擴(kuò)展到移動(dòng)終端側(cè)。如圖7（a）所示，這里在QKD網(wǎng)絡(luò)的基礎(chǔ)上，構(gòu)建面向量子安全服務(wù)的KDC（QSS-KDC）用于管理QKD網(wǎng)絡(luò)產(chǎn)生的量子密鑰。同時(shí)，還需提供量子密鑰更新終端設(shè)備，以將QKD網(wǎng)絡(luò)產(chǎn)生的量子密鑰緩存在終端的安全存儲(chǔ)介質(zhì)中（例如SD卡、SIM卡、U盾、安全芯片等），用于其通信過(guò)程中的鑒權(quán)和會(huì)話加密。該方案在移動(dòng)辦公、移動(dòng)作業(yè)、移動(dòng)支付、物聯(lián)網(wǎng)等場(chǎng)景均可以應(yīng)用。

　　圖7（b）中，同樣可將新型量子密鑰分發(fā)增強(qiáng)方案抽象為上述的四步模型。在根密鑰預(yù)置階段，在QKD用戶(hù)終端中預(yù)置基于后量子密碼學(xué)算法（PQC）的CA證書(shū)。當(dāng)用戶(hù)首次接入量子密鑰更新設(shè)備提取密鑰時(shí)，通過(guò)基于PQC的證書(shū)完成身份認(rèn)證，以實(shí)現(xiàn)簡(jiǎn)化的用戶(hù)初始認(rèn)證管理。然后，終端可以從QKD網(wǎng)絡(luò)末梢的量子密鑰更新設(shè)備獲取足夠的量子密鑰，用于后續(xù)的身份認(rèn)證和會(huì)話加密。在終端間進(jìn)行通信時(shí)，可通過(guò)終端與KDC預(yù)先共享的對(duì)稱(chēng)量子密鑰進(jìn)行鑒權(quán)認(rèn)證，然后利用KDC協(xié)商產(chǎn)生終端間的對(duì)稱(chēng)會(huì)話密鑰。這里所使用的量子密鑰，可以采取一次性使用、隨用隨棄的策略，保證鑒權(quán)和會(huì)話密鑰的新鮮性，以實(shí)現(xiàn)信息理論安全、抗量子計(jì)算攻擊等優(yōu)勢(shì)。

　　圖7 QKD向移動(dòng)終端延伸的增強(qiáng)方案

　　QKD與KDC、PQC結(jié)合的增強(qiáng)方案分析見(jiàn)表2，該方案相比KDC方案，可保證會(huì)話密鑰的前向安全性；相比PKI方案，則可保證身份認(rèn)證和會(huì)話密鑰協(xié)商過(guò)程的量子安全性；相比傳統(tǒng)的QKD方案，則可有效延伸其使用范圍。

　　5 結(jié)束語(yǔ)

　　量子密鑰分發(fā)，作為第二次量子革命中率先實(shí)用化的量子信息技術(shù)之一，近年來(lái)從關(guān)鍵技術(shù)研發(fā)、試驗(yàn)網(wǎng)絡(luò)部署到行業(yè)應(yīng)用示范都已取得長(zhǎng)足進(jìn)步，人們對(duì)其寄予厚望。然而，量子保密通信從實(shí)用化到產(chǎn)業(yè)化規(guī)模商用發(fā)展，仍然面臨來(lái)自量子層、組網(wǎng)層面、與經(jīng)典ICT應(yīng)用融合等多方面的實(shí)際挑戰(zhàn)。作為一項(xiàng)跨學(xué)科、跨領(lǐng)域的系統(tǒng)工程，其需要量子物理學(xué)與經(jīng)典通信、密碼學(xué)、網(wǎng)絡(luò)工程、信息安全等多學(xué)科的廣泛合作與融合創(chuàng)新。

　　本文基于現(xiàn)有技術(shù)提出基于可信中繼的可擴(kuò)展QKD網(wǎng)絡(luò)架構(gòu)，并進(jìn)一步提出將量子密鑰分發(fā)能力通過(guò)離線密鑰緩存方式延伸到移動(dòng)終端側(cè)的解決方案，希望對(duì)于當(dāng)前QKD網(wǎng)絡(luò)的部署和應(yīng)用發(fā)展發(fā)揮積極作用。隨著QKD技術(shù)的不斷發(fā)展，未來(lái)小型化、芯片化、移動(dòng)化的QKD技術(shù)和量子中繼技術(shù)取得突破后，QKD將有望作為電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，為各類(lèi)信息通信技術(shù)提供量子安全保障。

　　參考文獻(xiàn)

　　［1］ BENNETT C H， BRASSARD G. WITHDRAWN： quantum cryptography： public key distribution and coin tossing ［J］。 Theoretical Computer Science， 1984（560）： 175-179.

　　［2］ SHANNON C E. Communication theory of secrecy systems［J］。 Bell System Technical Journal， 1949， 28（4）： 656-715.

　　［3］ 賴(lài)俊森， 吳冰冰， 湯瑞， 等。 量子通信應(yīng)用現(xiàn)狀及發(fā)展分析［J］。 電信科學(xué)， 2016， 32（3）： 123-129.

　　LAI J S， WU B B， TANG R， et al. Analysis on the application and development of quantum communication［J］。 Telecommunications Science， 2016， 32（3）： 123-129.

　　［4］ SIBSON P， ERVEN C， GODFREY M， et al. Chip-based quantum key distribution ［J］。 Nature Communications， 2017（8）： 13984.

　　［5］ SIBSON P， KENNARD J E， STANISIC S， et al. Integrated silicon photonics for high-speed quantum key distribution ［J］。 Optica， 2017（4）： 172-177.

　　［6］ ELLIOTT C. The DARPA quantum network［M］//Quantum Communications and Cryptography. Boca Raton： CRC Press， 2005： 91-110.

　　［7］ PEEV M， PACHER C， ALLéAUME R， et al. The SECOQC quantum key distribution network in Vienna ［J］。 New Journal of Physics， 2009， 11（7）： 075001.

　　［8］ SASAKI M， FUJIWARA M， ISHIZUKA H， et al. Field test of quantum key distribution in the Tokyo QKD Network［C］// Quantum Electronics Conference & Lasers and Electro-Optics， Aug 28-Sept 1， 2011， Sydney， NSW， Australia. Piscataway： IEEE Press， 2011： 507-509.

　　［9］ STUCKI D， LEGRE M， BUNTSCHU F， et al. Long-term performance of the Swiss quantum quantum key distribution network in a field environment ［J］。 Neuroscience Letters， 2012， 13（12）： 123001-123018.

　　［10］ ALLEAUME R， CHAPURAN T E， CHUNNILALL C J， et al. Worldwide standardization activity for quantum key distribution［C］//Globecom Workshops， December 8-12， 2014， Austin， TX， USA. Piscataway： IEEE Press， 2014： 656-661.

　　［11］ TENG-YUN C， JIAN W， HAO L， et al. Metropolitan all-pass and inter-city quantum communication network ［J］。 Optics Express， 2010， 18（26）： 27217.

　　［作者簡(jiǎn)介］

　　王健全（1974?），男，博士（后），國(guó)科量子通信網(wǎng)絡(luò)有限公司副總裁、首席科學(xué)家、教授級(jí)高級(jí)工程師、博士生導(dǎo)師，主要研究方向?yàn)榫W(wǎng)絡(luò)空間安全、網(wǎng)絡(luò)能力開(kāi)放、量子密鑰分發(fā)、量子互聯(lián)網(wǎng)等。

　　馬彰超（1984?），男，博士，國(guó)科量子通信網(wǎng)絡(luò)有限公司標(biāo)準(zhǔn)總監(jiān)、高級(jí)工程師， CCSA ST7量子信息處理子組副組長(zhǎng)，主要從事量子保密通信網(wǎng)絡(luò)及應(yīng)用技術(shù)演進(jìn)研究和標(biāo)準(zhǔn)化方面的工作。

　　李新中（1984?），男，國(guó)科量子通信網(wǎng)絡(luò)有限公司高級(jí)工程師，主要研究方向?yàn)榱孔油ㄐ啪W(wǎng)絡(luò)及在移動(dòng)通信系統(tǒng)、物聯(lián)網(wǎng)及工業(yè)互聯(lián)網(wǎng)中的應(yīng)用，天線技術(shù)研究和產(chǎn)品開(kāi)發(fā)等。

　　孫雷（1984?），男，博士，國(guó)科量子通信網(wǎng)絡(luò)有限公司高級(jí)工程師，主要研究方向?yàn)橄冗M(jìn)移動(dòng)通信技術(shù)、量子通信網(wǎng)絡(luò)及其在移動(dòng)通信系統(tǒng)、物聯(lián)網(wǎng)及工業(yè)互聯(lián)網(wǎng)中的應(yīng)用等。

　　胡昌瑋（1978?），男，國(guó)科量子通信網(wǎng)絡(luò)有限公司高級(jí)工程師，主要研究方向?yàn)榱孔油ㄐ啪W(wǎng)絡(luò)、系統(tǒng)及應(yīng)用。