CCSA-量子保密通信技術(shù)白皮書

1、量子保密通信（Quantum Secure Communication, QSC）是結(jié)合量子密鑰分發(fā)（Quantum Key Distribution, QKD）和密碼技術(shù)的安全通信解決方案。本白皮書對量子保密通信和相關(guān)的概念進(jìn)行澄清，介紹量 子保密通信的應(yīng)用場景，量子保密通信的安全性及其核心 QKD 技術(shù)的實(shí)際安全性研究現(xiàn)狀，量子保密通信網(wǎng)絡(luò)架構(gòu)及其組網(wǎng) 關(guān)鍵技術(shù)，國內(nèi)外量子保密通信產(chǎn)業(yè)發(fā)展及趨勢，量子保密通 信的標(biāo)準(zhǔn)化現(xiàn)狀；并從產(chǎn)業(yè)化發(fā)展的需求出發(fā)，梳理其下一步 發(fā)展面臨的關(guān)鍵問題、解決方案及發(fā)展建議，旨在為我國量子 保密通信產(chǎn)業(yè)的發(fā)展和標(biāo)準(zhǔn)化建言獻(xiàn)策，推動其更好的發(fā)展。本白皮書由中國通信

2、標(biāo)準(zhǔn)化協(xié)會量子通信與信息技術(shù)特設(shè)任務(wù)組（CCSA ST7）負(fù)責(zé)組織編寫，主要參與編寫單位包括： 國科量子通信網(wǎng)絡(luò)有限公司、科大國盾量子技術(shù)股份有限公司、濟(jì)南量子技術(shù)研究院、中國聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國移動通信集團(tuán)有限公司、中國電信集團(tuán)有限公司、神州數(shù)碼信息服務(wù)股份有限公司、浙江九州量子信息技術(shù)股份有限公司、 安徽問天量子科技股份有限公司、上海交通大學(xué)。目錄 HYPERLINK l _bookmark0 一、概述1 HYPERLINK l _bookmark1 （一）量子保密通信基本概念1 HYPERLINK l _bookmark2 （二）量子保密通信迎來歷史發(fā)展機(jī)遇3 HYPERLIN

3、K l _bookmark7 二、量子保密通信業(yè)務(wù)應(yīng)用10 HYPERLINK l _bookmark8 （一）量子通信應(yīng)用前景廣闊：保密通信是現(xiàn)階段可行業(yè)務(wù)10 HYPERLINK l _bookmark10 （二）量子密鑰分發(fā)可與現(xiàn)有 ICT 技術(shù)結(jié)合應(yīng)用12 HYPERLINK l _bookmark12 （三）量子保密通信的典型行業(yè)應(yīng)用場景13 HYPERLINK l _bookmark20 三、量子密鑰分發(fā)的安全性19 HYPERLINK l _bookmark21 （一）量子密鑰分發(fā)安全性的物理基礎(chǔ)19 HYPERLINK l _bookmark24 （二）量子密鑰分發(fā)的理論安全性

4、25 HYPERLINK l _bookmark25 （三）量子密鑰分發(fā)的實(shí)際安全性27 HYPERLINK l _bookmark26 四、量子保密通信網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)28 HYPERLINK l _bookmark27 （一）量子保密通信網(wǎng)絡(luò)的演進(jìn)28 HYPERLINK l _bookmark29 （二）量子保密通信網(wǎng)絡(luò)需求和架構(gòu)設(shè)計(jì)30 HYPERLINK l _bookmark31 （三）量子保密通信組網(wǎng)關(guān)鍵技術(shù)36 HYPERLINK l _bookmark33 五、量子保密通信產(chǎn)業(yè)及標(biāo)準(zhǔn)化進(jìn)展40 HYPERLINK l _bookmark34 （一）量子保密通信國內(nèi)外發(fā)展概況

5、40 HYPERLINK l _bookmark37 （二）量子保密通信產(chǎn)業(yè)化進(jìn)展45 HYPERLINK l _bookmark38 （三）量子保密通信標(biāo)準(zhǔn)化進(jìn)展49 HYPERLINK l _bookmark40 六、總結(jié)：面臨挑戰(zhàn)與發(fā)展建議54 HYPERLINK l _bookmark41 （一）加強(qiáng)量子通信底層技術(shù)自主研發(fā)，提供產(chǎn)業(yè)發(fā)展保障55 HYPERLINK l _bookmark42 （二）加快量子保密通信行業(yè)標(biāo)準(zhǔn)制定，支撐產(chǎn)業(yè)健康發(fā)展56 HYPERLINK l _bookmark43 （三）開放合作，以需求為導(dǎo)向促進(jìn)量子保密通信應(yīng)用推廣56 HYPERLINK l _bo

6、okmark78 附錄 1 實(shí)際 QKD 系統(tǒng)安全威脅和解決措施60 HYPERLINK l _bookmark81 附錄 2 縮略語64一、概述（一）量子保密通信基本概念1量子通信上世紀(jì)九十年代以來，量子調(diào)控技術(shù)的進(jìn)步使得人類可以對光子、原子等微觀粒子進(jìn)行主動的精確操縱，從而能夠以一種全新的方式利用量子規(guī)律，使得量子技術(shù)與信息技術(shù)得以深度融合。這促進(jìn)了面向無條件安全的保密通信、超強(qiáng)的計(jì)算能力、突破經(jīng)典極限的精密探測等量子信息技術(shù)的蓬勃發(fā)展。以量子通信、量子計(jì)算和量子測量為代表的新一次“量子革命”，必將對信息通信技術(shù)（Information and Communication Technolo

7、gy,ICT)領(lǐng)域產(chǎn)生深遠(yuǎn)的影響。量子通信作為量子信息科學(xué)的重要分支，是利用量子態(tài)作為信息載體來進(jìn)行信息交互的通信技術(shù)?，F(xiàn)階段，量子通信的典型應(yīng)用形式包括量子密鑰分發(fā)（Quantum Key Distribution，QKD） HYPERLINK l _bookmark44 1和量子隱形傳態(tài)（Quantum Teleportation, QT） HYPERLINK l _bookmark45 2等。量子密鑰分發(fā)可用來實(shí)現(xiàn)經(jīng)典信息的安全傳輸；而量子隱形傳態(tài)是傳遞量子信息的有效手段，有望成為分布式量子計(jì)算網(wǎng)絡(luò)等應(yīng)用中的主要信息交互方式。量子密鑰分發(fā)量子密鑰分發(fā)是最先實(shí)用化的量子信息技術(shù)，是量子通信

8、的重要方向。量子密鑰分發(fā)可以在空間分離的用戶之間以信息理論安全的方式共享密鑰，這是經(jīng)典密碼學(xué)無法完成的任務(wù) HYPERLINK l _bookmark46 3?；趪H學(xué)術(shù)界的廣泛共識， 包括2010 年沃爾夫物理學(xué)獎獲得者Anton Zeilinger 教授等在內(nèi)的眾多國際學(xué)者通常將量子密鑰分發(fā)就稱為量子通信；美國物理學(xué)會的學(xué)科分類系統(tǒng) PhySH 將量子密碼作為量子通信條目下的一個子條目；歐盟最新發(fā)布的量子技術(shù)旗艦計(jì)劃量子宣言 HYPERLINK l _bookmark47 4，將以量子密鑰分發(fā)為核心的量子保密通信作為量子通信領(lǐng)域未來的主要發(fā)展方向。現(xiàn)有實(shí)際量子密鑰分發(fā)系統(tǒng)主要采用 BB8

9、4 協(xié)議 HYPERLINK l _bookmark44 1，由 Bennett 和Brassard 于 1984 年提出。與經(jīng)典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學(xué)的基本原理。即便竊聽者控制了通道線路，只要竊聽者沒有掌握能攻入合法用戶設(shè)備內(nèi)部的側(cè)信道，量子密鑰分發(fā)技術(shù)就能讓空間分離的用戶共享安全的密鑰。學(xué)術(shù)界將這種安全性稱之為“信息理論安全”（也可稱為“無條件安全”），它指的是擁有嚴(yán)格數(shù)學(xué)證明的安全性，但是有下列假設(shè)前提：竊聽者不掌握攻入合法用戶設(shè)備內(nèi)部的側(cè)信道；依賴的基礎(chǔ)是量子物理學(xué)原理，即要求竊聽者不能擁有違反量子物理學(xué)原理的技術(shù)，但是可以擁有任何不違反量子物理學(xué)原理的技術(shù)，例

10、如計(jì)算能力任意強(qiáng)大的計(jì)算機(jī)，包括量子計(jì)算機(jī)。量子密鑰分發(fā)的這種安全性，與計(jì)算復(fù)雜度無關(guān)，因此不論對手擁有多大的計(jì)算能力，其安全性都不會受到影響。量子保密通信量子保密通信是指以具備信息理論安全性證明的 QKD 技術(shù)作為密鑰分發(fā)功能組件，結(jié)合適當(dāng)?shù)拿荑€管理、安全的密碼算法和協(xié)議而形成的加密通信安全解決方案。量子保密通信是在抗量子攻擊等特定需求下的全新的、有效的密碼學(xué)補(bǔ)充手段，依據(jù)結(jié)合方式的不同，量子保密通信系統(tǒng)可具有多種類型。例如，可證明信息理論安全的 QKD 技術(shù)與同樣可證明信息理論安全的一次性密碼本（ One Time Pad ， OTP ）加密方案 HYPERLINK l _bookmark

11、48 5 和Wegman-Carter 認(rèn)證方案 HYPERLINK l _bookmark49 6相結(jié)合，形成具備信息理論安全性的量子保密通信系統(tǒng)。又如：QKD 與其他能夠抵抗量子計(jì)算攻擊的對稱密鑰加密算法結(jié)合使用，可實(shí)現(xiàn)可支持大帶寬業(yè)務(wù)的、具備前向安全性的量子保密通信系統(tǒng)。（二）量子保密通信迎來歷史發(fā)展機(jī)遇量子計(jì)算引發(fā)全新安全挑戰(zhàn)，量子安全技術(shù)需求迫切近年來，量子計(jì)算機(jī)的發(fā)展已呈加速之勢，以谷歌，IBM，微軟、Intel 等巨頭為代表的企業(yè)紛紛投入巨資研發(fā)。量子計(jì)算機(jī)能夠以特定的計(jì)算方式，例如著名的 Shor 量子算法 HYPERLINK l _bookmark50 7和 Grover 量

12、子算法 HYPERLINK l _bookmark51 8，有效解決一些經(jīng)典計(jì)算機(jī)難以勝任的數(shù)學(xué)問題，例如大整數(shù)質(zhì)因子分解問題、離散對數(shù)問題、海量數(shù)據(jù)檢索問題。量子計(jì)算對于基于計(jì)算復(fù)雜度的現(xiàn)代密碼學(xué)帶來的潛在安全威脅已引起了全球性的廣泛重視，美國國家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）、歐洲電信標(biāo)準(zhǔn)化協(xié)會（ETSI）等機(jī)構(gòu)進(jìn)行了評 HYPERLINK l _bookmark52 估9 HYPERLINK l _bookmark52 10，其結(jié)論如 HYPERLINK l _bookmark3 表 1 所示。表 1 量子計(jì)算機(jī)對經(jīng)典密碼的影響（來源于 NIST IR 8105）密碼學(xué)算法類型目的受到量子

13、計(jì)算機(jī)的影響AES對稱密鑰加密需增加密鑰長度SHA-2, SHA-3-哈希散列函數(shù)需增加輸出長度RSA公鑰數(shù)字簽名，密鑰分發(fā)不再安全ECDSA, ECDH(Elliptic Curve Cryptography)公鑰數(shù)字簽名，密鑰分發(fā)不再安全DSA(FiniteField Cryptography)公鑰數(shù)字簽名，密鑰分發(fā)不再安全由于傳統(tǒng)公鑰算法（例如 RSA、ECC 等）廣泛用于各類安全協(xié)議和應(yīng) HYPERLINK l _bookmark4 用服務(wù)，因此量子安全問題的影響范圍極廣，如圖 1 所示。雖然大規(guī)模量子計(jì)算機(jī)的實(shí)現(xiàn)可能還有數(shù)十年的時間，但它對當(dāng)今信息安全的潛在威脅不容忽視。對于竊聽者而

14、言，他可以將當(dāng)前發(fā)生的通信流量記錄下來， 直到量子計(jì)算機(jī)成功的那一天再解密這些信息。這對于那些需要長期保密的信息，已經(jīng)構(gòu)成了現(xiàn)實(shí)的威脅。圖 1 量子安全問題的影響范圍如何應(yīng)對“量子安全”問題，設(shè)計(jì)能夠抵御量子計(jì)算攻擊的量子安全密碼技術(shù)，已成為下一代信息通信系統(tǒng)必須考慮的問題。基于量子物理基本原理的量子密鑰分發(fā)技術(shù)，提供了不再依賴于數(shù)學(xué)計(jì)算復(fù)雜度的新型密鑰分發(fā)方法。通過這種具有信息理論安全特性的密鑰分發(fā)方式，即使通過不安全的信道分發(fā)密鑰也可以保證安全，進(jìn)一步結(jié)合OTP 方案或其他加密算法，可以有效地提高信息安全性，抵御量子計(jì)算帶來的安全威脅。量子保密通信歷經(jīng)多年發(fā)展，產(chǎn)業(yè)鏈初步成形量子保密通信技

15、術(shù)自 1984 年提出以來，在上世紀(jì)末開始有實(shí)驗(yàn)實(shí)現(xiàn)。2005 HYPERLINK l _bookmark53 年誘騙態(tài)方案11 HYPERLINK l _bookmark53 12提出后，單量子光源不理想的瓶頸問題被克服，量子保密通信的安全距離大幅提升，實(shí)驗(yàn)技術(shù)自此開始了快速的發(fā)展 HYPERLINK l _bookmark54 13 HYPERLINK l _bookmark54 14 HYPERLINK l _bookmark55 15 HYPERLINK l _bookmark55 16 HYPERLINK l _bookmark56 17，并逐步走向?qū)嵱没?、產(chǎn)業(yè)化。近 10 年來，量

16、子保密通信的實(shí)驗(yàn)和工程技術(shù)不斷突破，一方面城域網(wǎng)技術(shù)逐漸成熟，美國、中國、歐洲、日本等地多個城域網(wǎng)建成；另一方面我國于 2017 年完成量子保密通信“京滬干線”骨干網(wǎng)建設(shè)和“墨子號”衛(wèi)星科學(xué)試驗(yàn) HYPERLINK l _bookmark57 18并實(shí)現(xiàn)天地互聯(lián)，率先進(jìn)入廣域網(wǎng)階段，標(biāo)志著產(chǎn)業(yè)化技術(shù)儲備的基本完成， HYPERLINK l _bookmark5 也引發(fā)了全球量子保密通信網(wǎng)絡(luò)部署的提速。圖 2 記錄了發(fā)展歷程中的部分代表性事件。圖 2 全球量子保密通信網(wǎng)絡(luò)加速發(fā)展在這 10 余年的發(fā)展過程中，我國的量子保密通信技術(shù)已經(jīng)逐漸走到了世界前列，產(chǎn)業(yè)化更是先行于世界，初步形成了一條探索型

17、產(chǎn)業(yè)鏈。 HYPERLINK l _bookmark6 如圖 3 所示，產(chǎn)業(yè)鏈大致分為 4 個環(huán)節(jié)：基礎(chǔ)研究環(huán)節(jié)，科研機(jī)構(gòu)持續(xù)提供國際領(lǐng)先的基礎(chǔ)研究成果支撐產(chǎn)業(yè)鏈發(fā)展；設(shè)備研發(fā)環(huán)節(jié)，技術(shù)型企業(yè)提供核心器件/部件、量子保密通信設(shè)備、網(wǎng)絡(luò)融合設(shè)備 3 個層面的開發(fā)支撐；建設(shè)運(yùn)維環(huán)節(jié)，運(yùn)營商、集成商等提供大規(guī)模網(wǎng)絡(luò)建設(shè)、運(yùn)維 管理支撐；安全應(yīng)用環(huán)節(jié)，各行業(yè)用戶牽引、參與和主導(dǎo)應(yīng)用開發(fā)并開展 應(yīng)用示范，逐步推動規(guī)模應(yīng)用。圖 3 我國量子保密通信產(chǎn)業(yè)化發(fā)展情況總體而言，國內(nèi)外量子通信產(chǎn)業(yè)發(fā)展仍然處于初期階段，從科學(xué)試驗(yàn)到商業(yè)化應(yīng)用的進(jìn)程決非一帆風(fēng)順。作為一項(xiàng)以全新物理學(xué)手段解決安全問題的量子密碼技術(shù)，其

18、在安全領(lǐng)域施展拳腳必須滿足傳統(tǒng)商業(yè)客戶所要求的成本、性能、適用性等多方面要求，這也促進(jìn)著 QKD 技術(shù)不斷地迭代升級。量子信息獲國內(nèi)外政策支持，推動量子保密通信持續(xù)發(fā)展世界主要國家高度關(guān)注量子信息技術(shù)發(fā)展，甚至上升為國家戰(zhàn)略，特別是 2016 年以來，各國支持政策密集出臺。歐盟量子技術(shù)旗艦計(jì)劃，計(jì)劃 2035 年左右形成泛歐量子安全互聯(lián)網(wǎng)；英國希望在 10 年內(nèi)建成國家量子通信網(wǎng)絡(luò)；德國提出“量子技術(shù)從基礎(chǔ)到市場”框架計(jì)劃，希望推動實(shí)現(xiàn)量子技術(shù)的產(chǎn)業(yè)化發(fā)展；美國正式通過國家量子計(jì)劃法案。日本、韓國、俄羅斯、加拿大等國也啟動了各自的量子通信發(fā)展計(jì)劃，一系列量子通信衛(wèi)星研發(fā)等眾多項(xiàng)目紛紛出臺并付諸

19、實(shí)施 HYPERLINK l _bookmark58 19。圖 4 世界主要國家支持量子技術(shù)發(fā)展圖 5 世界量子衛(wèi)星項(xiàng)目一覽19我國量子通信技術(shù)的后發(fā)先至得益于國家的提前布局和支持。早在2013 年，我國就前瞻部署了世界首條遠(yuǎn)距離量子保密通信“京滬干線”， 率先開展了相關(guān)技術(shù)的應(yīng)用示范并取得系列寶貴經(jīng)驗(yàn)。為進(jìn)一步保持我國在量子通信產(chǎn)業(yè)化發(fā)展的領(lǐng)跑地位，近年來從國家到各地方各級政府和部門，都給予量子通信高度的關(guān)注和推動。2015 年，習(xí)近平總書記在關(guān)于“十三五”規(guī)劃建議的說明中明確指出，要在量子通信等領(lǐng)域部署體現(xiàn)國家戰(zhàn)略意圖的重大科技項(xiàng)目。在隨后發(fā)布的創(chuàng)新驅(qū)動發(fā)展戰(zhàn)略綱要、科技創(chuàng)新規(guī)劃、信息化規(guī)

20、劃、技術(shù)創(chuàng)新工程規(guī)劃、科技軍民融合發(fā)展專項(xiàng)規(guī)劃等十余項(xiàng)重要國家政策中均明確要求推進(jìn)量子通信的發(fā)展，發(fā)改委、工信部、科技部、網(wǎng)信辦等也紛紛出臺政策給予支持。各地區(qū)政府則以政府文件的形式，直接支持量子技術(shù)發(fā)展和開展量子保密通信網(wǎng)絡(luò)的建設(shè)。安徽、山東、北京、上海、江蘇、浙江、廣東、新疆等眾多省份將發(fā)展量子信息技術(shù)、建設(shè)量子通信網(wǎng)絡(luò)寫入 2018 年政府工作報(bào)告并推動落實(shí)。特別是， 長三角地區(qū)城市群量子保密城際干線建設(shè)已列入十三五規(guī)劃。圖 6 我國出臺多項(xiàng)國家政策支持量子通信發(fā)展二、量子保密通信業(yè)務(wù)應(yīng)用基于 QKD 的量子保密通信作為量子通信現(xiàn)階段發(fā)展相對成熟并具備產(chǎn)業(yè)化潛力的代表性技術(shù)，其實(shí)用化、產(chǎn)

21、業(yè)化發(fā)展離不開實(shí)際應(yīng)用所需的廣域服務(wù)覆蓋和靈活業(yè)務(wù)適配能力。實(shí)際上，基于 QKD 獨(dú)特的長期安全性， 其有望成為面向量子時代的重要密碼學(xué)組件，能夠與現(xiàn)有 ICT 技術(shù)進(jìn)行靈活地結(jié)合，形成面向不同行業(yè)需求的安全應(yīng)用 HYPERLINK l _bookmark59 20。（一）量子通信應(yīng)用前景廣闊：保密通信是現(xiàn)階段可行業(yè)務(wù)隨著量子信息技術(shù)的發(fā)展，量子通信網(wǎng)絡(luò)及其應(yīng)用將不斷演進(jìn)。英國政府科學(xué)辦公室發(fā)布“量子時代的機(jī)會”研究報(bào)告中描繪了量子通信應(yīng)用 HYPERLINK l _bookmark60 發(fā)展趨勢21，如 HYPERLINK l _bookmark9 圖 7 所示。量子通信的近期應(yīng)用主要集中在

22、利用 QKD 鏈路加密的數(shù)據(jù)中心防護(hù)、量子隨機(jī)數(shù)發(fā)生器，并延伸到政務(wù)、國防等特殊領(lǐng)域的安全應(yīng)用；未來隨著 QKD 組網(wǎng)技術(shù)成熟，終端設(shè)備趨于小型化、移動化，QKD 還將擴(kuò)展到電信網(wǎng)、企業(yè)網(wǎng)、個人與家庭、云存儲等更廣闊的應(yīng)用領(lǐng)域；長遠(yuǎn)來看，隨著量子衛(wèi)星、量子中繼、量子計(jì)算、量子傳感等技術(shù)取得突破，通過量子通信網(wǎng)絡(luò)將分布式的量子計(jì)算機(jī)和量子傳感器連接，還將產(chǎn)生量子云計(jì)算、量子傳感網(wǎng)等一系列全新的應(yīng)用。圖 7 量子通信應(yīng)用發(fā)展展望（二）量子密鑰分發(fā)可與現(xiàn)有 ICT 技術(shù)結(jié)合應(yīng)用基本的 QKD 系統(tǒng)通常由一對通過量子信道連接的設(shè)備組成，可以在點(diǎn)對點(diǎn)鏈路上實(shí)現(xiàn)信息理論安全的對稱密鑰分發(fā)。通過 QKD 網(wǎng)

23、絡(luò)技術(shù)可以進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)中任意兩節(jié)點(diǎn)間端到端的高安全密鑰分發(fā)。經(jīng)典網(wǎng)絡(luò)ICT系統(tǒng)應(yīng)用層ICT系統(tǒng)應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層量子密鑰分發(fā)網(wǎng)絡(luò)量子密鑰分發(fā)系統(tǒng)量子密鑰分發(fā)系統(tǒng)基于QKD的共享密鑰協(xié)商QKD 可以作為一種新的密鑰分發(fā)功能組件，廣泛應(yīng)用于現(xiàn)有的 ICT 系統(tǒng)。與經(jīng)典密碼學(xué)中的密鑰分發(fā)算法類似，QKD 可以與OSI（Open System Interconnection）參考模型不同層的協(xié)議進(jìn)行結(jié)合，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等，如 HYPERLINK l _bookmark11 圖 8 所示。圖 8 QKD 在 ICT 系統(tǒng)中的應(yīng)用示意圖

24、例如，QKD 用于密鑰交換，QKD 可以與數(shù)據(jù)鏈路層的 PPP 協(xié)議、IEEE802.1 定義的 MACsec 協(xié)議結(jié)合使用；也可與網(wǎng)絡(luò)層的 IPSec 協(xié)議結(jié)合使用；還可以與傳輸層的 TLS、SSL 等協(xié)議進(jìn)行集成使用；QKD 也可以在應(yīng)用層與各類應(yīng)用程序直接進(jìn)行靈活的集成。利用 QKD 為通信收發(fā)兩端提供的對稱共享密鑰，既可以用于進(jìn)行用戶的身份認(rèn)證或鑒權(quán)，也可以用于實(shí)現(xiàn)業(yè)務(wù)載荷的加密傳輸。（三）量子保密通信的典型行業(yè)應(yīng)用場景1 數(shù)據(jù)中心備份及業(yè)務(wù)連續(xù)性場景在不同的數(shù)據(jù)中心之間進(jìn)行數(shù)據(jù)備份及業(yè)務(wù)連續(xù)性等業(yè)務(wù)時，量子保密通信可以用于保障數(shù)據(jù)中心之間數(shù)據(jù)傳輸?shù)陌踩?。?shù)據(jù)中心間的鏈路加密機(jī)可通過

25、 QKD 按需更換密鑰，滿足企業(yè)、用戶的高安全數(shù)據(jù)傳輸需求， HYPERLINK l _bookmark13 如圖 9 所示。圖 9 結(jié)合 QKD 的鏈路加密機(jī)應(yīng)用于數(shù)據(jù)中心場景政企專網(wǎng)保護(hù)場景量子保密通信可用于保護(hù)政企專網(wǎng)基礎(chǔ)設(shè)施及其服務(wù)的安全性。企業(yè)或政府機(jī)構(gòu)通常要求通信服務(wù)提供高度的機(jī)密性、完整性和真實(shí)性，需要強(qiáng)制性地采用專用的安全系統(tǒng)。當(dāng)前通常采用基于 IPSec 或TLS 的安全虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)來對數(shù)據(jù)中心與分支機(jī)構(gòu)之間的流量進(jìn)行鑒權(quán)和數(shù)據(jù)中心2數(shù)據(jù)中心1分支機(jī)構(gòu)1分支機(jī)構(gòu)3加密，而 QKD 鏈路加密機(jī)可以與這些技術(shù)結(jié)合來滿足企業(yè)網(wǎng)各站點(diǎn)之間信息加密需求，如 HYPERLI

26、NK l _bookmark14 圖 10 所示。分支機(jī)構(gòu)2分支機(jī)構(gòu)4圖 10 結(jié)合QKD 的鏈路加密機(jī)應(yīng)用于企業(yè)專網(wǎng)場景關(guān)鍵基礎(chǔ)設(shè)施控制和數(shù)據(jù)采集場景量子保密通信可用于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施中的數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory control and data acquisition，SCADA）數(shù)據(jù)通信安全性。關(guān)鍵基礎(chǔ)設(shè)施對于社會經(jīng)濟(jì)的正常運(yùn)行發(fā)揮著重要作用，其安全性和可靠性通常依賴于其通信基礎(chǔ)設(shè)施子系統(tǒng)。這些通信子系統(tǒng)中信息機(jī)密性、真實(shí)性和完整性均十分重要，例如鐵路的信令控制系統(tǒng)、供水控制系統(tǒng),可通過QKD 分發(fā)的密鑰對關(guān)鍵信息進(jìn)行保護(hù)。 HYPERLINK l _bookmark1

27、5 如圖 11 所示，該場景中的 QKD 應(yīng)用通常需要構(gòu)建專用的 QKD 廣域網(wǎng)絡(luò)來支持。圖 11QKD 應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施專用廣域網(wǎng)絡(luò)場景電信骨干網(wǎng)保護(hù)場景QKD 可用于為電信網(wǎng)絡(luò)的骨干網(wǎng)節(jié)點(diǎn)之間通信提供安全服務(wù)。目前電信骨干網(wǎng)多采用波分復(fù)用（WDM）技術(shù)建設(shè),光纖中波道數(shù)較多。除已經(jīng)使用的業(yè)務(wù)波道以及預(yù)留的保護(hù)波道和備用波道外，一般還有剩余的波道可以使用?？梢岳眠@些多余的波長來搭建 QKD 鏈路，通過 QKD 鏈路產(chǎn)生的量子密鑰對 WDM 業(yè)務(wù)通道進(jìn)行高安全等級的加密。如 HYPERLINK l _bookmark16 圖 12 所示，將 QKD 生成的量子密鑰應(yīng)用于 OTN 設(shè)備間業(yè)務(wù)

28、數(shù)據(jù)的加密，而 QKD 系統(tǒng)所需的量子信道、協(xié)商信道以及承載 OTN 業(yè)務(wù)的經(jīng)典數(shù)據(jù)信道，可通過波分復(fù)用的方式實(shí)現(xiàn)共纖傳輸，該技術(shù)目前已通過現(xiàn)網(wǎng)試驗(yàn)驗(yàn)證可行。圖 12 QKD 應(yīng)用于電信骨干網(wǎng)保護(hù)場景電信接入網(wǎng)保護(hù)場景QKD 可用于電信接入網(wǎng)的無源光網(wǎng)絡(luò)（PON）中，保證 PON 網(wǎng)絡(luò)的通信安全。通過 QKD 系統(tǒng)，可在 PON 網(wǎng)絡(luò)中的光線路終端（OLT）和光網(wǎng)絡(luò)單元（ONU）終端用戶之間進(jìn)行安全的密鑰分發(fā)，以實(shí)現(xiàn) ONU 用戶數(shù)據(jù)的加密傳輸，為電信接入網(wǎng)提供新的密鑰分發(fā)解決方案。 HYPERLINK l _bookmark17 如圖 13 所示，QKD 系統(tǒng)由不對稱的樹狀網(wǎng)絡(luò)結(jié)構(gòu)組成，由于

29、目前量子探測器比量子光源成本高，可在每個 ONU 處部署低成本的 QKD 發(fā)射機(jī)， 在OLT 處部署一套 QKD 接收機(jī)。圖 13 QKD 應(yīng)用于電信接入網(wǎng)保護(hù)場景遠(yuǎn)距離無線通信保護(hù)場景QKD 與基于衛(wèi)星、飛機(jī)等飛行器的無線通信系統(tǒng)相結(jié)合是一種有潛力的應(yīng)用場景。它可實(shí)現(xiàn)遠(yuǎn)距離站點(diǎn)之間高度安全的密鑰分發(fā)，無需部署大量地面光纖和可信中繼站點(diǎn)。QKD 通過衛(wèi)星交換密鑰的基本流程 HYPERLINK l _bookmark18 如圖 14 所示。該用例還可擴(kuò)展到多顆衛(wèi)星的場景，它們之間通過自由空間鏈路相互連接，可構(gòu)成覆蓋全球的衛(wèi)星 QKD 網(wǎng)絡(luò)。與地面大氣相比，空間的信道衰減顯著降低，衛(wèi)星之間可以非常

30、高的密鑰分發(fā)速率進(jìn)行長距離的密鑰交換。（a） C 和 A 交換密鑰 a（b）C 和 B 交換密鑰 b（c） C 使用傳統(tǒng)通道向 B 發(fā)送 a 異或 b （d） A 和 B 獲得共享密鑰 a圖 14QKD 應(yīng)用于衛(wèi)星通信保護(hù)場景移動終端量子安全服務(wù)場景各類移動終端用戶的網(wǎng)絡(luò)安全防護(hù)已成為當(dāng)前關(guān)注的熱點(diǎn)問題之一。利用 QKD 自身的獨(dú)特優(yōu)勢，同時結(jié)合密鑰分發(fā)中心（Key Distribution Center, KDC），可以將 QKD 生成的量子密鑰應(yīng)用于移動終端側(cè)，保護(hù)端到端及端到服務(wù)器的通信安全性，可在移動辦公、移動作業(yè)、移動支付、物聯(lián)網(wǎng)等多種場景進(jìn)行應(yīng)用。 HYPERLINK l _boo

31、kmark19 如圖 15 所示，QKD 網(wǎng)絡(luò)結(jié)合用于管理 QKD 網(wǎng)絡(luò)產(chǎn)生的量子密鑰的量子安全服務(wù)密鑰分發(fā)中心（Quantum secure service KDC），以及靠近用戶的量子密鑰更新終端設(shè)備，可將 QKD 網(wǎng)絡(luò)產(chǎn)生的對稱量子密鑰充注到終端的安全存儲介質(zhì)（例如 SD 卡、SIM 卡、U 盾、安全芯片等），用于其通信過程中的鑒權(quán)和會話加密。該方案相比傳統(tǒng)的 KDC 方案，可保證會話密鑰的前向安全性；相比傳統(tǒng)的公鑰基礎(chǔ)設(shè)施（PKI）方案，則可保證身份認(rèn)證和會話密鑰協(xié)商過程能夠抵抗量子計(jì)算攻擊。圖 15QKD 應(yīng)用于移動終端通信保護(hù)場景三、量子密鑰分發(fā)的安全性（一）量子密鑰分發(fā)安全性的物

32、理基礎(chǔ)和現(xiàn)有的密碼技術(shù)不同，QKD 的安全性是以物理原理為基礎(chǔ)的。其基本方法是使用量子態(tài)來編碼信息，通過對量子態(tài)的制備、傳輸和檢測來達(dá)到安全分發(fā)隨機(jī)數(shù)即密鑰的目的。對于量子態(tài)的編碼、傳輸和測量方法的規(guī)定，稱之為 QKD 協(xié)議。1984 年，Charles H.Bennett 與Gilles Brassard 提出了世界上第一個 QKD 協(xié)議，也是最具代表性的 QKD 協(xié)議，即著名的 BB84 協(xié)議。此后， 物理學(xué)家又相繼提出了其他量子密鑰分發(fā)協(xié)議，如 E91、B92、BBM92、SARG04、COW、DPS、GG02、測量設(shè)備無關(guān)量子密鑰分發(fā)（MDI-QKD）等協(xié)議。各種量子密鑰分發(fā)協(xié)議可以按

33、照編碼量子態(tài)的特點(diǎn)分為離散變量（DV）、連續(xù)變量（CV）等類別，也可以按照實(shí)現(xiàn)方案的特點(diǎn)分為制備- 測量類、基于糾纏分發(fā)類和測量設(shè)備無關(guān)類等。QKD 基于量子物理原理保證安全性盡管量子密鑰分發(fā)協(xié)議多種多樣，但一般地說，其安全性都基于以下量子物理原理：單量子不可再分。量子是物理量變化的最小單元，單個量子不可分割。量子密鑰分發(fā)若采用單個量子（通常為單光子）作為信息載體，則攻擊者無法通過竊取單量子一部分并測量其狀態(tài)的方法來獲得密鑰信息。未知單量子態(tài)無法精確測量。根據(jù)海森堡測不準(zhǔn)原理（現(xiàn)在多稱為不確定性原理），量子的一對非對易物理量不能被同時測準(zhǔn)。在量子密鑰分發(fā)雙方隨機(jī)選擇非對易物理量的其一進(jìn)行編解碼

34、時，攻擊者即使截取了量子信號，也無法有效測準(zhǔn)單量子的狀態(tài)。如果攻擊者根據(jù)測量結(jié)果重新制備一個量子發(fā)送給接收方，將不可避免地改變單量子狀態(tài)，導(dǎo)致解碼結(jié)果與編碼不一致。量子密鑰分發(fā)雙方可通過檢測誤碼率來判斷攻擊行為及其強(qiáng)度，并在后處理中進(jìn)行消除。未知單量子無法精確復(fù)制。量子相干疊加（同時處于多種狀態(tài)）的特性使得不存在通用的方法獲得任意未知單量子的多個精確一致拷貝。在量子密鑰分發(fā)雙方隨機(jī)調(diào)制單量子態(tài)時，如果攻擊者試圖在截獲量子信號后復(fù)制多個拷貝，將不可避免地導(dǎo)致復(fù)制態(tài)與初始態(tài)存在偏差，進(jìn)而導(dǎo)致解碼結(jié)果與編碼不一致，量子密鑰分發(fā)雙方同樣可進(jìn)行檢測發(fā)現(xiàn)和后處理消除。以上述物理原理為基礎(chǔ)，目前對于一部分量

35、子密鑰分發(fā)協(xié)議，如： BB84、E91、MDI-QKD 協(xié)議等，已經(jīng)給出了嚴(yán)格的數(shù)學(xué)推導(dǎo)，可證明其信息理論安全性 HYPERLINK l _bookmark61 22 HYPERLINK l _bookmark61 23 HYPERLINK l _bookmark63 24 HYPERLINK l _bookmark63 25 HYPERLINK l _bookmark65 27。量子密鑰分發(fā)協(xié)議相對傳統(tǒng)密鑰分發(fā)在安全性方面有以下優(yōu)勢：量子密鑰分發(fā)的安全性基于如上所述的量子力學(xué)基本原理，不依賴于對計(jì)算復(fù)雜性的要求和假設(shè)，其安全性和理論完備性能夠得到充分保證；即使在量子計(jì)算技術(shù)成熟的條件下，其密

36、鑰分發(fā)過程也具有可靠的安全性。量子密鑰分發(fā)可以有效應(yīng)對計(jì)算技術(shù)以及量子計(jì)算飛速發(fā)展給傳統(tǒng)密碼體系帶來的嚴(yán)重威脅。典型的 QKD 系統(tǒng)模型和協(xié)議流程一個典型的點(diǎn)對點(diǎn) QKD 系統(tǒng)模型及其工作機(jī)制示意見 HYPERLINK l _bookmark22 圖 16。可以看到，QKD 是一個通信雙方協(xié)商產(chǎn)生共享密鑰的過程。發(fā)送和接收裝置間通過量子信道和經(jīng)過認(rèn)證的經(jīng)典信道相連。量子信道用于傳輸由量子態(tài)承載的量子比特信號，可以是光纖、自由空間（包括衛(wèi)星鏈路）等物理媒介。經(jīng)典信道則用于發(fā)送方Alice 和接收方Bob 進(jìn)行基矢比對等數(shù)據(jù)后處理步驟的信息交互。這里經(jīng)典信道僅需認(rèn)證而不需加密，并且可以利用 QKD

37、 來實(shí)現(xiàn)信息理論安全的認(rèn)證。量子信道則可通過公共通信網(wǎng)絡(luò)進(jìn)行傳輸而無需擔(dān)心竊聽者的存在，因?yàn)?Alice 和Bob 可以利用QKD 特殊的處理過程發(fā)現(xiàn)竊聽行為。下面以 BB84 協(xié)議為例說明 QKD 的實(shí)現(xiàn)和安全原理。協(xié)議的第一個階段是量子通信，主要步驟包括：量子態(tài)的制備（或稱編碼）、傳遞和測量（或稱解碼）。Alice 使用單光子源產(chǎn)生一個個單獨(dú)的光子（量子態(tài)的載體），經(jīng)過編碼后不斷地發(fā)送給 Bob。每個光子都是一個量子比特（Qubit），編碼著 1 比特（bit）的隨機(jī)數(shù)信息。為了保證安全，Alice 在發(fā)送這些光子時，需要隨機(jī)選擇兩種不同類型的“基”之一來進(jìn)行量子編碼處理。每類基包含兩個可

38、以互相準(zhǔn)確區(qū)分的量子態(tài),稱為相互正交的基矢。而分屬兩類基的量子態(tài)互相之間則是不能完全準(zhǔn)確區(qū)分的，稱為非正交的基矢。以光子的偏振態(tài)為例，由0, 90偏振組成的垂直正交基和由45, -45偏振組成的斜對角基就是滿足這樣條件的兩類基。在編碼時，如果需要編碼的隨機(jī)數(shù)是 0，則 Alice 隨機(jī)地制備0和-45的基矢。如果需要編碼的隨機(jī)數(shù)是 1，則 Alice 隨機(jī)地制備90和45 的基矢，接收方 Bob 在兩種可能的“基”之間選擇一種對接收到的光子進(jìn)行測量。為了保證安全，Bob 對測量基的選擇也必須是隨機(jī)的。QKD發(fā)射機(jī)QKD接收機(jī)光量子比特序列D0單光子源 量子比特編碼量子比特解碼單光子探測器D1量

39、子密鑰蒸餾量子密鑰蒸餾篩選（基矢比對）篩選（基矢比對）參數(shù)估計(jì)參數(shù)估計(jì)糾錯糾錯保密增強(qiáng)經(jīng)典信道保密增強(qiáng)量子信道密鑰密鑰圖 16一種典型的 QKD 系統(tǒng)和工作機(jī)制示意圖在測量完成后，量子信息就轉(zhuǎn)化為經(jīng)典信息。QKD 需要進(jìn)入下一個階段量子密鑰蒸餾（提取），主要步驟包括：基矢比對、參數(shù)估計(jì)、糾錯、保密增強(qiáng)?；副葘κ侵窤lice 和Bob 通過經(jīng)典信道公開比對雙方在制備和測量光子時所用的基。當(dāng) Alice 和Bob 選擇了相同的基時，雙方會得到相同的信息，可用于生成密鑰。而當(dāng) Alice 和 Bob 選擇了不同的基時，則雙方所得到的信息是隨機(jī)的，應(yīng)予以丟棄。 HYPERLINK l _bookma

40、rk23 圖 17 形象地描述了基于 BB84 協(xié)議的基矢比對過程。基矢比對后得到的密鑰稱為篩后密鑰（sifted key）。若竊聽者 Eve 復(fù)制光子或者測量光子再重發(fā)給 Bob,都會改變光子狀態(tài)。此時即使 Alice 和 Bob 選擇了相同的基，雙方得到的信息也會有概率不同。也就是說，Eve 的竊聽將導(dǎo)致誤碼；Alice 和 Bob 可以通過統(tǒng)計(jì)篩后密鑰的誤碼率來發(fā)現(xiàn)竊聽行為。由于Eve 的竊聽干擾或者信道噪聲等因素，Alice 和Bob 的篩后密鑰并不一致；需要先對其糾錯，使雙方的密鑰一致。一般需要首先在篩后密鑰中隨機(jī)選取一部分公布進(jìn)行比對，Alice 和Bob 由這一部分密鑰中的誤碼率

41、估計(jì)整個篩后密鑰的誤碼率，再選擇合適的糾錯碼進(jìn)行糾錯，得到一致的糾錯后密鑰。圖 17BB84 QKD 協(xié)議基矢比對原理示意圖在糾錯過程中可以對篩后密鑰中的誤碼率等參數(shù)進(jìn)行統(tǒng)計(jì)，這個過程稱為參數(shù)估計(jì)。利用誤碼率等參數(shù)可以估計(jì)出篩后密鑰中泄露給竊聽者的信息量的上界。隨后，Alice 和Bob 根據(jù)所估計(jì)的泄露信息量上界選擇壓縮比例合適的泛哈希函數(shù)族，從中隨機(jī)選擇一個哈希函數(shù)對糾錯后密鑰進(jìn)行壓縮，最終得到安全的密鑰。這個壓縮密鑰從而清除竊聽者所掌握信息的過程稱為保密增強(qiáng) HYPERLINK l _bookmark64 25。需要指出，保密增強(qiáng)是一個通用的技術(shù)，和QKD 協(xié)議、實(shí)現(xiàn)方案無關(guān)。只要準(zhǔn)確地

42、估計(jì)出密鑰中泄露給竊聽者的信息量上界，就可以利用保密增強(qiáng)技術(shù)壓縮密鑰并獲得安全密鑰。（二）量子密鑰分發(fā)的理論安全性QKD 協(xié)議安全性證明的目標(biāo)是證明竊聽者 Eve 單獨(dú)對量子信道(傳輸量子態(tài)的信道）的攻擊是可被發(fā)現(xiàn)的，其通過攻擊所竊取的密鑰信息上界是可評估的。一般將 Eve 對量子信道所有可能的攻擊方式分為三類：個體攻擊、集體攻擊以及相干攻擊。個體攻擊：個體攻擊指的是 Eve 單獨(dú)攻擊每一個從發(fā)送方 Alice 發(fā)往接收方 Bob 的量子信號，并且每次攻擊的攻擊策略均相同。Eve 在Alice 和Bob 進(jìn)行基矢篩選之后、其他數(shù)據(jù)后處理過程之前對自己得到的量子信號進(jìn)行測量。集體攻擊：集體攻擊指

43、的是 Eve 單獨(dú)攻擊每一個從 Alice 發(fā)往Bob的量子信號，并且每次攻擊的攻擊策略均相同。但是 Eve 可將從攻擊中得到的量子信號利用量子存儲器保存下來，并在 Alice 和 Bob 的數(shù)據(jù)后處理過程之后，選擇最優(yōu)測量方式對自己保存的量子信號進(jìn)行集體測量。相干攻擊：量子物理原理容許的任何攻擊方法。實(shí)際的 QKD 系統(tǒng)只可能在發(fā)送和測量有限數(shù)量的量子態(tài)后就開始糾錯和保密增強(qiáng)的處理，這稱為有限碼長條件。此時，對誤碼率等參數(shù)的統(tǒng)計(jì)結(jié)果就只能是對有限數(shù)量樣本的抽樣統(tǒng)計(jì)，必然存在統(tǒng)計(jì)誤差。若安全性證明中考慮了有限碼長條件后，仍然可以在相干攻擊下得到安全成碼率的下界值，就認(rèn)為該協(xié)議的信息理論安全性已

44、經(jīng)得到充分證明，嚴(yán)格實(shí)現(xiàn)該協(xié)議的 QKD 設(shè)備和系統(tǒng)就具有信息理論安全性。目前，只有 BB84 協(xié)議、MDI-QKD、GG02 協(xié)議等的信息理論安全性得到了充分證明。1999 年，Shor 等人利用糾纏提純的思想首先證明了 BB84 協(xié)議在集體攻擊下的安全性 HYPERLINK l _bookmark61 22。2005 年，Renner 等人從信息論的角度證明了 BB84 協(xié)議在集體攻擊下的安全性，并給出了更優(yōu)的成碼率公式 HYPERLINK l _bookmark62 23。Renner 還利用交換不變性證明了 BB84 協(xié)議的相干攻擊并不優(yōu)于集體攻擊，更進(jìn)一步地還證明了任何一個 QKD

45、協(xié)議只要滿足交換不變性，其集體攻擊就是最強(qiáng)攻擊 HYPERLINK l _bookmark66 28。2008 年，Scarani 等人給出了有限碼長 BB84 協(xié)議的安全性證明 HYPERLINK l _bookmark63 24。2014 年，Curty 等人證明了有限碼長 MDI-QKD 協(xié)議在集體攻擊下的安 HYPERLINK l _bookmark65 全性27。由于 MDI-QKD 協(xié)議具有交換不變性，因此其信息理論安全性就此得到證明。上面提到的BB84 協(xié)議和MDI-QKD 協(xié)議均為 DV-QKD 協(xié)議。關(guān)于 CV-QKD 協(xié)議，則只有 2002 年法國學(xué)者F. Grosshan

46、s 和P. Grangier 提出的高斯調(diào)制相干態(tài)協(xié)議GG02 HYPERLINK l _bookmark67 協(xié)議29，于 2017 年由Anthony Leverrier 證明了有限碼長條件下其外差檢測實(shí)現(xiàn)方案在相干攻擊下的安全性 HYPERLINK l _bookmark68 30。（三）量子密鑰分發(fā)的實(shí)際安全性需要指出，上述的 QKD 安全性證明都基于理想的 QKD 協(xié)議實(shí)現(xiàn)模型。實(shí)際條件下的 QKD 系統(tǒng)所使用的實(shí)際器件的性能和理想模型的設(shè)定是存在差異的，這帶來了一些另外的安全威脅。對于實(shí)際條件下 QKD 系統(tǒng)面臨的安全威脅，在學(xué)術(shù)界已經(jīng)有比較充分的研究，對于已發(fā)現(xiàn)的安全威脅全部都具

47、有相應(yīng)的有效易行的防御措施。中國通信標(biāo)準(zhǔn)化協(xié)會量子通信和信息技術(shù)特設(shè)任務(wù)組（CCSA-ST7）發(fā)布的量子密鑰分發(fā)安全性研究報(bào)告以及歐洲電信標(biāo)準(zhǔn)研究院（ETSI） 發(fā) 布 的 白 皮 書 ImplementSecurityofQuantumCryptography: Introduction, challenges, solutions分別對 QKD 實(shí)際安全性的研究進(jìn)行了總結(jié)，為進(jìn)一步深入分析 QKD 實(shí)際安全性，并形成安全性標(biāo)準(zhǔn)打下了良好的基礎(chǔ)。具體地，這里將實(shí)際 QKD 系統(tǒng)面臨的安全威脅及其防御措施總結(jié)在附錄 1 中。一般地說，當(dāng) QKD 使用的實(shí)際器件和理論模型差異比較小時，總可以通過

48、修正成碼率的估算公式，并通過保密增強(qiáng)來消除安全性威脅。當(dāng)差異過大時，特別是有可能這種差異是會被竊聽者通過某種攻擊方式加以擴(kuò)大，以至于成碼率下降到不可接受的地步，可以通過增加額外的防護(hù)措施， 來限制攻擊效果，控制偏差在適當(dāng)大小內(nèi)，進(jìn)一步再通過保密增強(qiáng)來徹底消除安全威脅。同時，QKD 協(xié)議和方案的改進(jìn)，會減少實(shí)際 QKD 系統(tǒng)受到的安全威脅。比如，目前廣泛使用的誘騙態(tài)方案消除了由于單光子源不理想導(dǎo)致的光子數(shù)分離攻擊這一安全威脅，大大推進(jìn)了 QKD 技術(shù)的實(shí)用化。MDI-QKD 協(xié)議從理論上消除了所有針對探測設(shè)備的安全性攻擊，且在當(dāng)前的技術(shù)水平下已經(jīng)可以很好地實(shí)現(xiàn)，具備很強(qiáng)的實(shí)用性，已經(jīng)成為 QKD

49、 近期發(fā)展的熱點(diǎn)。四、量子保密通信網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)目前，量子保密通信網(wǎng)絡(luò)（或稱為 QKD 網(wǎng)絡(luò)）主要是指以大量 QKD 設(shè)備及鏈路為物理基礎(chǔ)、以提供高安全的密鑰分發(fā)服務(wù)為主要業(yè)務(wù)的新型網(wǎng)絡(luò)。經(jīng)過三十余年的發(fā)展，點(diǎn)對點(diǎn) QKD 技術(shù)，特別是基于光量子制備-測量機(jī)制的 QKD 技術(shù)，從協(xié)議設(shè)計(jì)、產(chǎn)品研發(fā)、網(wǎng)絡(luò)部署到演示應(yīng)用都取得了長足的進(jìn)步。然而，構(gòu)建可提供廣泛靈活服務(wù)的 QKD 網(wǎng)絡(luò)，仍然面臨來自量子器件、組網(wǎng)技術(shù)、部署成本、應(yīng)用需求等多方面的挑戰(zhàn)，需要多專業(yè)的融合創(chuàng)新。（一）量子保密通信網(wǎng)絡(luò)的演進(jìn)將點(diǎn)對點(diǎn)的 QKD 技術(shù)擴(kuò)展為多用戶的 QKD 網(wǎng)絡(luò)，以實(shí)現(xiàn)多用戶間的保密通信，例如多方的量子加

50、密電話或視頻會議，才能充分發(fā)揮 QKD 的應(yīng)用潛力。網(wǎng)絡(luò)化是 QKD 技術(shù)走向?qū)嵱没年P(guān)鍵，一直以來受到各國研究機(jī)構(gòu)和產(chǎn)業(yè)界的廣泛關(guān)注。 HYPERLINK l _bookmark28 如圖 18 所示，美國的 DARPA 試驗(yàn)網(wǎng)，作為全球首個 QKD 網(wǎng)絡(luò)，率先提出了 QKD 組網(wǎng)的基本思想 HYPERLINK l _bookmark69 31；歐洲的 SECOQC 試驗(yàn)網(wǎng)，基于可信中繼技術(shù)試圖構(gòu)建面向商業(yè)用戶的網(wǎng)絡(luò) HYPERLINK l _bookmark70 32；日本的東京 QKD 網(wǎng)絡(luò)，設(shè)計(jì)了新穎的密鑰提供平臺，試圖拓展更廣泛的業(yè)務(wù)應(yīng)用 HYPERLINK l _bookmark7

51、1 33；我國的星地一體QKD 網(wǎng)絡(luò)，則以構(gòu)建由洲際衛(wèi)星鏈路、光纖骨干網(wǎng)、城域接入網(wǎng)組成的全球廣域量子保密通信網(wǎng)絡(luò)為目標(biāo)。除此之外，韓國、加拿大、俄羅斯等國家均在研發(fā)、計(jì)劃部署或者已經(jīng)部署了 QKD 網(wǎng)絡(luò)。同時，QKD 組網(wǎng)理念和技術(shù)仍在不斷演進(jìn)，例如基于軟件定義網(wǎng)絡(luò)（SDN）思想的 SD-QKD 網(wǎng)絡(luò)，希望利用 SDN 技術(shù)實(shí)現(xiàn) QKD 網(wǎng)絡(luò)的靈活組網(wǎng)和管理。2018 年 6 月,西班牙電信、華為和 UPM 大學(xué)在馬德里進(jìn)行了首次SD-QKD 網(wǎng)絡(luò)外場試 HYPERLINK l _bookmark72 驗(yàn)34。圖 18全球典型 QKD 網(wǎng)絡(luò)的發(fā)展（二）量子保密通信網(wǎng)絡(luò)需求和架構(gòu)設(shè)計(jì)目前來看，

52、QKD 網(wǎng)絡(luò)的實(shí)現(xiàn)方案可以分為三類：基于光開關(guān)或無源光器件：基于有源的光開關(guān)或者無源的光分路器、波分復(fù)用器，實(shí)現(xiàn)多路量子信道的時分/波分復(fù)用，以支持多用戶的 QKD網(wǎng)絡(luò)。這種方案無法突破量子通信鏈路損耗造成的傳輸距離限制（實(shí)際部署中約為 80100 公里），不具有可擴(kuò)展性；基于可信中繼：首先將點(diǎn)對點(diǎn) QKD 鏈路生成的密鑰緩存在可信中繼節(jié)點(diǎn)中，然后將用戶所需的端到端密鑰，利用多跳鏈路密鑰以 OTP 加密方式逐跳進(jìn)行傳遞，以實(shí)現(xiàn)高安全的端到端密鑰分發(fā)。該方案可以突破 QKD 鏈路傳輸距離限制，但要求密鑰傳輸?shù)闹欣^節(jié)點(diǎn)必須可信；基于量子中繼：利用量子態(tài)的存儲、轉(zhuǎn)發(fā)等技術(shù)實(shí)現(xiàn)量子糾纏等量子態(tài)的遠(yuǎn)距離

53、分發(fā)。該技術(shù)無需中繼節(jié)點(diǎn)可信，但目前仍處于理論研究階段。現(xiàn)有的 QKD 網(wǎng)絡(luò)試驗(yàn)部署通常采用前兩種方案，但目前尚無統(tǒng)一、標(biāo)準(zhǔn)化的 QKD 網(wǎng)絡(luò)架構(gòu)。QKD 網(wǎng)絡(luò)設(shè)計(jì)需求QKD 網(wǎng)絡(luò)作為一種提供密鑰分發(fā)服務(wù)的通信網(wǎng)絡(luò)，具備類似經(jīng)典通信網(wǎng)絡(luò)的特征，即同樣由大量的信號調(diào)制、發(fā)射、接收、檢測、后處理等通信功能模塊組成。因此，其必須滿足通信網(wǎng)絡(luò)部署所需要的靈活擴(kuò)展、成本經(jīng)濟(jì)、兼容互通等基本需求。另外，QKD 網(wǎng)絡(luò)所提供的服務(wù)與經(jīng)典通信系統(tǒng)不同，是隨機(jī)的密鑰而非有序的信息。因此，QKD 網(wǎng)絡(luò)還需要滿足密碼服務(wù)的各種特殊需求。綜合考慮通信網(wǎng)絡(luò)建設(shè)運(yùn)營和保密通信服務(wù)兩方面要求，QKD 網(wǎng)絡(luò)架構(gòu)的總體需求包括如

54、下 7 個方面 HYPERLINK l _bookmark73 35：可擴(kuò)展性：可實(shí)現(xiàn)通過 QKD 網(wǎng)絡(luò)相連的任意兩節(jié)點(diǎn)間的信息理論安全密鑰分發(fā)； 可靈活支持廣域組網(wǎng)所需的骨干、城域、接入等多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； 可根據(jù)業(yè)務(wù)需求變化進(jìn)行靈活、經(jīng)濟(jì)地?cái)U(kuò)容升級和重配置；高效性：可根據(jù)用戶需求和網(wǎng)絡(luò)負(fù)載的變化，靈活選擇密鑰的傳輸路徑，調(diào)度網(wǎng)絡(luò)物理資源，提供高效地密鑰輸出容量和性能，可滿足各類用戶業(yè)務(wù)要求的密鑰帶寬、時延等性能要求；生存/可用性：在某些鏈路或節(jié)點(diǎn)出現(xiàn)故障時，可實(shí)現(xiàn)快速故障定位和恢復(fù)，保證業(yè)務(wù)連續(xù)性，不影響用戶體驗(yàn)；用靈活性：可為上層 ICT 應(yīng)用提供靈活開放的密鑰服務(wù)集成方案和方便易用的可

55、編程應(yīng)用接口（API）；差異化策略控制：網(wǎng)絡(luò)可根據(jù)不同用戶的特定安全等級及業(yè)務(wù)需求，提供差異化的密鑰服務(wù)質(zhì)量管理，并提供多種靈活計(jì)費(fèi)方式；安全性：采用安全可靠的 QKD 協(xié)議及收發(fā)機(jī)設(shè)計(jì)，具備嚴(yán)格的理論安全性證明，可防御各種已知的量子層安全威脅；密碼技術(shù)的使用應(yīng)符合相關(guān)安全標(biāo)準(zhǔn)和認(rèn)證；密鑰中繼節(jié)點(diǎn)能保證無人值守下的可靠安全運(yùn)行； 具備完整的入侵檢測、安全防御等功能和措施；互操作能力：支持來自不同設(shè)備生產(chǎn)商的 QKD 設(shè)備及組網(wǎng)設(shè)備，實(shí)現(xiàn)異廠商設(shè)備互操作能力。QKD 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案參考現(xiàn)有 QKD 網(wǎng)絡(luò)設(shè)計(jì)方案，結(jié)合上述網(wǎng)絡(luò)需求，這里給出一種 QKD 網(wǎng)絡(luò)架構(gòu)的參考設(shè)計(jì)方案 HYPERLINK

56、 l _bookmark74 36，如 HYPERLINK l _bookmark30 圖 19 所示。圖 19 量子保密通信網(wǎng)絡(luò)參考架構(gòu)為實(shí)現(xiàn)點(diǎn)對點(diǎn) QKD 向多用戶 QKD 網(wǎng)絡(luò)的擴(kuò)展，需在 QKD 信號發(fā)射機(jī)（Q-Tx）和 QKD 信號接收機(jī)（Q-Rx）的基礎(chǔ)上，增加量子密鑰管理（quantum key management，QKM）功能，以構(gòu)成基本的 QKD 網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)量子密鑰的控制、管理或中繼轉(zhuǎn)發(fā)等功能?；谀壳暗?QKD 技術(shù)水平，QKD 網(wǎng)絡(luò)節(jié)點(diǎn)通過光纖連接組成 QKD 網(wǎng)絡(luò)是其組網(wǎng)的主要方式，基于衛(wèi)星等自由空間信道的 QKD 鏈路將作為特殊場景下的輔助組網(wǎng)手段。從 QKD

57、網(wǎng)絡(luò)功能和節(jié)點(diǎn)配置角度出發(fā)，將 QKD 網(wǎng)絡(luò)劃分為量子骨干網(wǎng)（quantum backbone network，QBB）和量子接入網(wǎng)（quantum access network，QAN）兩部分。QBB 由遠(yuǎn)距離、大容量的 QKD 骨干線路組成，負(fù)責(zé)連接多個城域網(wǎng)組成更大規(guī)模的廣域網(wǎng)絡(luò)，通常采用環(huán)形或 Mesh 組網(wǎng)結(jié)構(gòu)以保證其健壯性。QAN 負(fù)責(zé)將大量的用戶節(jié)點(diǎn)鏈路匯聚接入骨干網(wǎng)，在網(wǎng)絡(luò)末梢通常采用星型組網(wǎng)結(jié)構(gòu)。這里將 QKD 網(wǎng)絡(luò)節(jié)點(diǎn)分為用戶節(jié)點(diǎn)（Q-UN）、接入節(jié)點(diǎn)（Q-AN）、中繼節(jié)點(diǎn)（Q-RN）三類。QKD 用戶節(jié)點(diǎn)可直接與 QKD 接入節(jié)點(diǎn)相連接入 QKD 網(wǎng)絡(luò)，也可通過光開關(guān)等信

58、道復(fù)用裝置（Quantum channel multiplexer, Q-Mux）接入，以實(shí)現(xiàn)多路 QKD 用戶信號的復(fù)用，降低對接入節(jié)點(diǎn)側(cè) QKD 接收機(jī)的需求。然后，通過多個 QKD 中繼節(jié)點(diǎn)組成的 QBB 骨干鏈路，實(shí)現(xiàn)遠(yuǎn)距離的密鑰中繼。由 QKD 用戶節(jié)點(diǎn)、接入節(jié)點(diǎn)、中繼節(jié)點(diǎn)連接組成的多跳路徑，構(gòu)成了端到端的量子密鑰傳輸通道。該通道通過逐跳生成的量子密鑰進(jìn)行一次性密碼本（OTP）方式的加密傳輸，即可實(shí)現(xiàn)網(wǎng)絡(luò)中的任意兩個用戶節(jié)點(diǎn)之間高安全的密鑰分發(fā)。QKD 節(jié)點(diǎn)兩兩之間的通信涉及到三類邏輯接口，包括 Q-Tx 與Q-Rx 之間的量子接口（Q1）和密鑰協(xié)商接口（K1），QKM 之間的密鑰中

59、繼接口（K2）。Q-Tx 與 Q-Rx 之間通過 Q1 接口實(shí)現(xiàn)收發(fā)機(jī)之間的量子信號同步、量子比特信息的發(fā)送和探測；通過 K1 接口實(shí)現(xiàn) QKD 的基矢比對、竊聽檢測、密鑰糾錯、保密增強(qiáng)等功能以生成安全的量子密鑰；通過 K2 接口進(jìn)行全局密鑰（用戶間的共享對稱密鑰）的中繼傳輸。Q1 接口必須承載在基于光纖或衛(wèi)星鏈路的量子信道上，K1 和K2 接口則可通過經(jīng)典通信信道承載。注意這里的量子信道可通過波分復(fù)用技術(shù)與經(jīng)典光通信網(wǎng)絡(luò)共用現(xiàn)有的光纖資源，由于這種部署方式對于 QKD 網(wǎng)絡(luò)是透明的，不涉及功能和協(xié)議影響，因此并未在該參考架構(gòu)中體現(xiàn)。為高效實(shí)現(xiàn)QKD 網(wǎng)絡(luò)的管理和控制，考慮當(dāng)前網(wǎng)絡(luò)SDN 化的

60、演進(jìn)趨勢， 這里在網(wǎng)絡(luò)架構(gòu)中引入 QKD 網(wǎng)絡(luò)控制器（QKD network controller，Q-NC），負(fù)責(zé)網(wǎng)絡(luò)節(jié)點(diǎn)的鑒權(quán)認(rèn)證，密鑰服務(wù)的資源管理、業(yè)務(wù)策略控制等功能。Q-NC 目前主要由 QKD 密鑰服務(wù)管理中心（Q-KMS）、鑒權(quán)中心（Q-AuC）、策略控制中心（Q-PCRF）三部分功能模塊組成。Q-NC 與網(wǎng)絡(luò)中的各 QKD 中繼節(jié)點(diǎn)及接入節(jié)點(diǎn)通過 M1 接口相連，收集各節(jié)點(diǎn)的狀態(tài)及請求消息， 并下發(fā)相應(yīng)的控制指令。具體的，其將通過 Q-AuC 連接實(shí)現(xiàn)用戶節(jié)點(diǎn)的鑒權(quán)認(rèn)證，通過 Q-KMS 完成密鑰中繼過程中的資源調(diào)度和路徑選擇，通過Q-PCRF 根據(jù)量子網(wǎng)絡(luò)運(yùn)營商（quantu