1 引言

　　量子密碼學(xué)的研究源于Bennett和Brassard的開創(chuàng)性工作［1］。不同于經(jīng)典密碼學(xué)，量子密碼學(xué)的安全性保障并不來自于數(shù)學(xué)算法的計算復(fù)雜度，而是建立在量子物理學(xué)的基本定律之上，能夠提供獨(dú)特的長期安全性保障。

　　所謂的長期安全性理念，來自信息論的創(chuàng)立者香農(nóng)（Shannon C）［2］1949年提出的信息理論安全模型，其證明在一次一密（one-time pad，OTP）加密下，即使敵手的計算能力無限強(qiáng)，也無法從密文中竊取任何信息，這使得竊聽者的存在毫無意義。OTP算法的實現(xiàn)必須滿足3個條件，分別是“密鑰必須完全隨機(jī)”“密鑰不能重復(fù)使用”“密鑰需與明文等長”。它涉及經(jīng)典物理中兩個不可實現(xiàn)的任務(wù)：一是如何生成真正隨機(jī)的密鑰；二是如何在不安全的公共信道上無條件安全地分發(fā)密鑰。隨著量子信息技術(shù)的發(fā)展，人們發(fā)現(xiàn)基于量子物理學(xué)可以解決這兩個難題：真正的隨機(jī)數(shù)可以通過基本的量子物理過程生成，通過量子通信手段則可實現(xiàn)在公共信道上也無法被竊聽的密鑰分發(fā)。

　　為此，量子隨機(jī)數(shù)發(fā)生器（quantum random number generator，QRNG）和量子密鑰分發(fā)（quantum key distribution，QKD）作為代表性的量子密碼學(xué)技術(shù)受到了廣泛關(guān)注［3］。近年來，實用化的QKD技術(shù)正在不斷發(fā)展完善。通過與經(jīng)典對稱密碼技術(shù)的結(jié)合，采取一定的性能與安全性折中，QKD可以支持高速率的保密通信應(yīng)用。在設(shè)備方面，QKD的性能增強(qiáng)、小型化甚至芯片化［4-5］已在不斷地迭代升級。在組網(wǎng)方面，基于可信中繼的QKD網(wǎng)絡(luò)在美國、奧地利、中國、日本、瑞士、英國、韓國等多個國家得到了廣泛的試驗部署［6-9］。在標(biāo)準(zhǔn)化方面，歐洲和中國正在加速制定相應(yīng)的技術(shù)標(biāo)準(zhǔn)和安全認(rèn)證［10］。在應(yīng)用方面，QKD在一些需要長期安全性保障的領(lǐng)域（例如金融、政務(wù)、醫(yī)療等方面）的商業(yè)應(yīng)用已在逐步成形。

　　然而，作為人們首次利用量子物理手段來實現(xiàn)保密通信的創(chuàng)新實踐，QKD的發(fā)展仍面臨著傳輸距離和速率、設(shè)備及網(wǎng)絡(luò)部署成本、標(biāo)準(zhǔn)化與安全認(rèn)證、商業(yè)模式及應(yīng)用需求等多方面的挑戰(zhàn)。如何構(gòu)建可擴(kuò)展、廣域覆蓋的QKD網(wǎng)絡(luò)，提供更廣泛的安全服務(wù)和應(yīng)用，無疑是QKD產(chǎn)業(yè)化發(fā)展的關(guān)鍵所在。

　　本文首先簡要介紹QKD技術(shù)原理，然后針對如何將點(diǎn)對點(diǎn)QKD技術(shù)擴(kuò)展為多用戶網(wǎng)絡(luò)，提出一種可擴(kuò)展的、面向應(yīng)用的QKD網(wǎng)絡(luò)架構(gòu)設(shè)計方案。進(jìn)一步地，通過與基于對稱密鑰的密鑰分發(fā)中心（key distribution center，KDC）方案和基于非對稱密鑰的公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）方案的對比分析，提出將QKD與經(jīng)典密碼方案優(yōu)勢相結(jié)合的新方案。通過將量子密鑰應(yīng)用于移動終端側(cè)，以解決量子密鑰分發(fā)網(wǎng)絡(luò)難以覆蓋“最后一公里”的難題，有望將量子安全服務(wù)拓展到面向新興ICT技術(shù)的移動化應(yīng)用中，從而使QKD適用于更廣泛的應(yīng)用場景。

　　2 量子密鑰分發(fā)技術(shù)原理

　　從基本原理上來看，QKD是通過光量子態(tài)的信息編碼、傳遞、檢測等操作來實現(xiàn)的量子信息處理過程。QKD有基于量子態(tài)制備—測量和基于量子糾纏等多種實現(xiàn)方式，其安全性通常由如下3個量子物理原理保障。

　　? 海森堡測不準(zhǔn)原理：該原理指出一旦通過測量可以獲得某個量子系統(tǒng)的部分狀態(tài)信息，那么該量子系統(tǒng)狀態(tài)就必然會發(fā)生擾動，除非事先已知該量子系統(tǒng)的可能狀態(tài)是彼此正交的。這使得在QKD過程中，僅當(dāng)接收方采用與發(fā)送方相同的基（包含正交的兩個基矢）進(jìn)行制備和測量時，雙方可以獲取正確的信息；而竊聽者的測量行為則一定會改變量子態(tài)的物理特性，從而使竊聽行為無法避免地被檢測出來。

　　? 量子不可克隆定理：該定理是指無法以一個量子比特為基礎(chǔ)精確地復(fù)制出它的完美副本，對量子態(tài)進(jìn)行復(fù)制的過程必然會破壞其原有的量子比特信息。這意味著竊聽者無法復(fù)制量子比特承載的信息。

　　? 量子糾纏特性：在量子力學(xué)里，當(dāng)多個粒子彼此相互作用后，由各個粒子所擁有的特性已綜合成為整體的性質(zhì)，無法單獨(dú)描述各個粒子的性質(zhì)，只能描述整體系統(tǒng)的性質(zhì)，這種現(xiàn)象稱為量子糾纏。愛因斯坦將該現(xiàn)象稱為“遙遠(yuǎn)地點(diǎn)之間的詭異互動”。該特性使得發(fā)生量子糾纏的雙方，其信息不可能泄露給第三方。

　　圖1給出一個典型的點(diǎn)對點(diǎn)QKD系統(tǒng)模型。可以看到，QKD是一個通信雙方協(xié)商產(chǎn)生共享密鑰的過程。雖然存在BB84、GG02等多種不同的QKD協(xié)議，但均需由量子信道和經(jīng)過認(rèn)證的經(jīng)典信道相連的發(fā)送和接收裝置來實現(xiàn)。量子信道中傳輸?shù)氖怯闪孔討B(tài)承載的量子比特信號，可以利用光纖、自由空間（包括衛(wèi)星鏈路）等物理媒介進(jìn)行傳輸。經(jīng)典信道則用于發(fā)送方Alice和接收方Bob進(jìn)行基矢比對等數(shù)據(jù)后處理步驟的信息交互。這里量子信道和經(jīng)典信道均可通過公共通信網(wǎng)絡(luò)進(jìn)行傳輸而無需擔(dān)心竊聽者的存在，因為Alice和Bob可以利用QKD特殊的處理過程發(fā)現(xiàn)竊聽行為。

　　圖1 QKD工作機(jī)制示意圖

　　當(dāng)Alice與Bob之間進(jìn)行量子保密通信時，首先需通過QKD進(jìn)行對稱密鑰的分發(fā)。QKD的第一個步驟是量子通信，即通過量子信道進(jìn)行量子態(tài)的制備（或稱編碼）、傳遞和測量（或稱解碼）。這里Alice和Bob均具備建立量子信道所需的專用光學(xué)設(shè)備。Alice通過單/弱光子源將一個個單獨(dú)的光子（量子態(tài)的載體）不斷地發(fā)送給Bob，每個光子可以看作承載著1量子比特（Qbit）的信息。Alice在發(fā)送這些光子時，會隨機(jī)選擇兩種不同類型的“基”之一來進(jìn)行量子編碼處理。在BB84協(xié)議中，“基”是編碼或測量光子的偏振角度，每類基包含兩個相互正交的基矢，而兩類基之間則是非正交的，例如由{0°， 90°}偏振組成的垂直正交基和由{45°， ?45°}偏振組成的斜對角基。

　　作為接收方的Bob，為獲取其通過量子信道接收到的每個光子所攜帶的信息，Bob需像Alice一樣隨機(jī)選擇兩種可能的“基”之一對光子進(jìn)行測量。這里測量基的選擇必須是隨機(jī)的，且與Alice制備光子時所用的基無關(guān)。然后，Alice和Bob可通過經(jīng)典信道公開比對雙方在制備和測量光子時所用的基。當(dāng)且僅當(dāng)Alice和Bob隨機(jī)地選擇了相同的基時，根據(jù)海森堡測不準(zhǔn)原理，雙方會得到相同的信息，可用于生成密鑰。而當(dāng)Alice和Bob隨機(jī)選擇不同的基時，則雙方所得到的信息是隨機(jī)的，應(yīng)予以丟棄。圖2形象地描述了基于BB84協(xié)議的基矢比對過程。

　　圖2 BB84 QKD協(xié)議原理示意圖

　　在量子通信步驟結(jié)束后，QKD還需要根據(jù)參數(shù)估計過程，通過對誤碼率等參數(shù)的評估識別當(dāng)前是否存在竊聽，然后還需通過密鑰數(shù)據(jù)的糾錯、校驗、隱私放大等過程，保證收發(fā)兩端得到完全一致的、安全的隨機(jī)數(shù)，用于生成雙方進(jìn)行保密通信所需的對稱密鑰。

　　3 量子保密通信網(wǎng)絡(luò)架構(gòu)

　　將點(diǎn)對點(diǎn)的QKD技術(shù)擴(kuò)展為多用戶的QKD網(wǎng)絡(luò)，以實現(xiàn)多用戶間的保密通信，例如多方的量子加密電話或視頻會議，才能充分發(fā)揮QKD的應(yīng)用潛力。目前來看，QKD網(wǎng)絡(luò)的實現(xiàn)方案可以分為以下3類。

　　? 基于無源光器件：通過光開關(guān)進(jìn)行兩兩用戶間的光路切換，以實現(xiàn)多用戶量子信道的時分復(fù)用。這種方案無法突破量子通信鏈路傳輸距離限制（實際部署中約為80~100 km），不具有可擴(kuò)展性。

　　? 基于可信中繼：首先將點(diǎn)對點(diǎn)QKD鏈路生成的密鑰緩存在可信中繼節(jié)點(diǎn)中，然后將用戶所需的端到端密鑰，利用多跳鏈路密鑰以O(shè)TP加密方式逐跳進(jìn)行傳遞，以實現(xiàn)信息理論安全的端到端密鑰分發(fā)。該方案可以突破QKD鏈路傳輸距離限制，但要求密鑰傳輸?shù)闹欣^節(jié)點(diǎn)必須可信。

　　? 基于量子中繼：利用量子糾纏原理實現(xiàn)量子態(tài)的存儲、轉(zhuǎn)發(fā)，以實現(xiàn)量子態(tài)的遠(yuǎn)距離分發(fā)。該技術(shù)無需中繼節(jié)點(diǎn)可信，但目前仍處于理論研究階段。

　　現(xiàn)有的QKD網(wǎng)絡(luò)試驗部署通常采用前兩種方案［11］，但目前尚無統(tǒng)一、標(biāo)準(zhǔn)化的QKD網(wǎng)絡(luò)架構(gòu)。本節(jié)主要探討如何基于點(diǎn)對點(diǎn)的QKD技術(shù)構(gòu)建多用戶的、可擴(kuò)展的、面向應(yīng)用的QKD網(wǎng)絡(luò)，首先給出面向大規(guī)模QKD網(wǎng)絡(luò)建設(shè)運(yùn)營的網(wǎng)絡(luò)設(shè)計需求，進(jìn)而提出一種可擴(kuò)展QKD網(wǎng)絡(luò)架構(gòu)解決方案，為QKD網(wǎng)絡(luò)部署及其標(biāo)準(zhǔn)化提供參考。

　　3.1 QKD網(wǎng)絡(luò)設(shè)計需求

　　QKD網(wǎng)絡(luò)作為一種提供密碼學(xué)服務(wù)的通信網(wǎng)絡(luò)，其具備經(jīng)典通信網(wǎng)絡(luò)類似的特征，即同樣由大量的信號調(diào)制、發(fā)射、接收、檢測、后處理等通信功能模塊組成。因此，其必須滿足通信網(wǎng)絡(luò)部署所需要的靈活擴(kuò)展、成本經(jīng)濟(jì)、兼容互通等基本需求。另外，QKD網(wǎng)絡(luò)所提供的服務(wù)與經(jīng)典通信系統(tǒng)不同，是隨機(jī)的密鑰而非有序的信息。因此，QKD網(wǎng)絡(luò)還需要滿足密碼學(xué)服務(wù)的各種需求，包括嚴(yán)格的安全性、與安全應(yīng)用的結(jié)合等。

　　綜合考慮通信網(wǎng)絡(luò)建設(shè)運(yùn)營和保密通信服務(wù)兩方面要求，QKD網(wǎng)絡(luò)架構(gòu)的總體需求包括如下7個方面。

　　（1）可擴(kuò)展性

　　? 可實現(xiàn)通過QKD網(wǎng)絡(luò)相連的任意兩節(jié)點(diǎn)間的信息論安全密鑰分發(fā)；

　　? 可靈活支持廣域組網(wǎng)所需的骨干、城域、接入等多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

　　? 可根據(jù)業(yè)務(wù)需求變化進(jìn)行靈活、經(jīng)濟(jì)地擴(kuò)容升級和重配置。

　　（2）高效性

　　可根據(jù)用戶需求和網(wǎng)絡(luò)負(fù)載的變化，靈活選擇密鑰的傳輸路徑，調(diào)度網(wǎng)絡(luò)物理資源，提供高效的密鑰輸出容量和性能，可滿足各類用戶業(yè)務(wù)要求的密鑰帶寬、時延等性能要求。

　　（3）生存/可用性

　　在某些鏈路或節(jié)點(diǎn)出現(xiàn)故障時，可實現(xiàn)快速故障定位和恢復(fù)，保證業(yè)務(wù)連續(xù)性，不影響用戶體驗。

　　（4）應(yīng)用靈活性

　　可為上層ICT應(yīng)用提供靈活開放的密鑰服務(wù)集成方案和方便易用的可編程應(yīng)用接口（API）。

　　（5）差異化策略控制

　　網(wǎng)絡(luò)可根據(jù)不同用戶的特定安全等級及業(yè)務(wù)需求，提供差異化的密鑰服務(wù)質(zhì)量管理，并提供多種靈活計費(fèi)方式。

　　（6）安全性

　　? 采用安全可靠的QKD協(xié)議及收發(fā)機(jī)設(shè)計，具備嚴(yán)格的理論安全性證明，可防御各種已知的量子層安全威脅；

　　? 密碼技術(shù)的使用應(yīng)符合相關(guān)安全標(biāo)準(zhǔn)和認(rèn)證；

　　? 密鑰中繼節(jié)點(diǎn)能保證無人值守情況下的可靠安全運(yùn)行；

　　? 具備完整的入侵檢測、安全防御等功能和措施。

　　（7）互操作能力

　　支持來自不同設(shè)備生產(chǎn)商的QKD設(shè)備及組網(wǎng)設(shè)備，實現(xiàn)異廠商設(shè)備互操作能力。

　　3.2 QKD網(wǎng)絡(luò)架構(gòu)設(shè)計方案

　　參考現(xiàn)有QKD網(wǎng)絡(luò)設(shè)計方案，結(jié)合上述網(wǎng)絡(luò)需求，這里給出一種QKD網(wǎng)絡(luò)架構(gòu)的參考設(shè)計方案，如圖3所示。

　　圖3 量子保密通信網(wǎng)絡(luò)參考架構(gòu)

　　為實現(xiàn)點(diǎn)對點(diǎn)QKD向多用戶QKD網(wǎng)絡(luò)的擴(kuò)展，需在QKD信號發(fā)射機(jī)（Q-Tx）和QKD信號接收機(jī)發(fā)機(jī)（Q-Rx）的基礎(chǔ)上，增加量子密鑰管理（quantum key manager，QKM）功能，以構(gòu)成基本的QKD網(wǎng)絡(luò)節(jié)點(diǎn)，實現(xiàn)量子密鑰的控制、管理或中繼轉(zhuǎn)發(fā)等功能。

　　基于目前的QKD技術(shù)水平，QKD網(wǎng)絡(luò)節(jié)點(diǎn)通過光纖連接組成QKD網(wǎng)絡(luò)是其組網(wǎng)的主要方式，基于衛(wèi)星等自由空間信道的QKD鏈路將作為特殊場景下的輔助組網(wǎng)手段。從QKD網(wǎng)絡(luò)功能和節(jié)點(diǎn)配置角度出發(fā)，將QKD網(wǎng)絡(luò)劃分為量子骨干網(wǎng)（quantum backbone network，QBB）和量子接入網(wǎng)（quantum access network，QAN）兩部分。QBB由遠(yuǎn)距離、大容量的QKD骨干線路組成，負(fù)責(zé)連接多個城域網(wǎng)組成更大規(guī)模的廣域網(wǎng)絡(luò)，通常采用環(huán)形或mesh組網(wǎng)結(jié)構(gòu)以保證其頑健性。QAN負(fù)責(zé)將大量的用戶節(jié)點(diǎn)鏈路匯聚接入骨干網(wǎng)，在網(wǎng)絡(luò)末梢通常采用星形組網(wǎng)結(jié)構(gòu)。

　　這里將QKD網(wǎng)絡(luò)節(jié)點(diǎn)分為用戶節(jié)點(diǎn)（Q-UN）、接入節(jié)點(diǎn)（Q-AN）、中繼節(jié)點(diǎn)（Q-RN）3類。QKD用戶節(jié)點(diǎn)可直接與QKD接入節(jié)點(diǎn)相連接入QKD網(wǎng)絡(luò)，也可通過光量子復(fù)用器（optical quantum multiplexer，Q-Mux）接入，以實現(xiàn)多路QKD用戶信號的復(fù)用，降低對接入節(jié)點(diǎn)側(cè)QKD接收機(jī)的需求。然后，通過多個QKD中繼節(jié)點(diǎn)組成的QBB骨干鏈路，實現(xiàn)遠(yuǎn)距離的密鑰中繼。由QKD用戶節(jié)點(diǎn)、接入節(jié)點(diǎn)、中繼節(jié)點(diǎn)連接組成的多跳路徑，構(gòu)成了端到端的量子密鑰傳輸通道。該通道通過逐跳生成的量子密鑰進(jìn)行一次性密碼本（OTP）方式的加密傳輸，即可實現(xiàn)網(wǎng)絡(luò)中的任意兩個用戶節(jié)點(diǎn)之間信息論安全（information theoretic secure，ITS）的密鑰分發(fā)。

　　QKD節(jié)點(diǎn)兩兩之間的通信涉及3類邏輯接口，包括Q-Tx與Q-Rx之間的量子接口（Q1）、密鑰協(xié)商接口（K1）、QKM之間的密鑰中繼接口（K2）。Q-Tx與Q-Rx之間通過Q1接口實現(xiàn)收發(fā)信機(jī)之間的量子信號同步、量子比特信息的發(fā)送和探測；通過K1接口實現(xiàn)QKD的基矢比對、竊聽檢測、密鑰糾錯、隱私放大等功能，以生成安全的量子密鑰；通過K2接口進(jìn)行全局密鑰（用戶間的共享對稱密鑰）的中繼傳輸。Q1接口必須承載在基于光纖或衛(wèi)星鏈路的量子信道上，K1和K2接口則可通過經(jīng)典通信信道承載。注意這里的量子信道可通過波分復(fù)用（WDM）技術(shù)與經(jīng)典光通信網(wǎng)絡(luò)共用現(xiàn)有的光纖資源，由于這種部署方式對于QKD網(wǎng)絡(luò)是透明的，不涉及功能和協(xié)議影響，因此并未在該參考架構(gòu)中體現(xiàn)。

　　為高效實現(xiàn)QKD網(wǎng)絡(luò)的管理和控制，考慮當(dāng)前網(wǎng)絡(luò)SDN化的演進(jìn)趨勢，這里在網(wǎng)絡(luò)架構(gòu)中引入QKD網(wǎng)絡(luò)控制器（QKD network controller，Q-NC），負(fù)責(zé)網(wǎng)絡(luò)節(jié)點(diǎn)的鑒權(quán)認(rèn)證，密鑰服務(wù)的資源管理、業(yè)務(wù)策略控制等功能。Q-NC目前主要由QKD密鑰服務(wù)管理中心（Q-KMS）、鑒權(quán)中心（Q-AuC）、策略控制中心（Q-PCRF）3部分功能模塊組成。Q-NC與網(wǎng)絡(luò)中的各QKD中繼節(jié)點(diǎn)及接入節(jié)點(diǎn)通過M1接口相連，收集各節(jié)點(diǎn)的狀態(tài)及請求消息，并下發(fā)相應(yīng)的控制指令。具體的，其將通過Q-AuC連接實現(xiàn)用戶節(jié)點(diǎn)的鑒權(quán)認(rèn)證，通過Q-KMS完成密鑰中繼過程中的資源調(diào)度和路徑選擇，通過Q-PCRF根據(jù)量子網(wǎng)絡(luò)運(yùn)營商（quantum network operator，QNO）定義的服務(wù)質(zhì)量（quality of service，QoS）及計費(fèi)策略，為每個用戶密鑰會話業(yè)務(wù)執(zhí)行特定的QoS服務(wù)等級和計費(fèi)規(guī)則。

　　基于QKD網(wǎng)絡(luò)為用戶生成的全局密鑰（對稱共享量子密鑰），即可進(jìn)行量子安全的保密通信。這里進(jìn)一步定義了量子安全應(yīng)用（Q-App），其通過A1接口調(diào)用QKD用戶節(jié)點(diǎn)生成的量子密鑰，即可利用現(xiàn)有互聯(lián)網(wǎng)基礎(chǔ)設(shè)施實現(xiàn)基于QKD的端到端量子保密通信。

　　4 量子密鑰分發(fā)移動化應(yīng)用方案

　　雖然基于現(xiàn)有的QKD網(wǎng)絡(luò)技術(shù)已經(jīng)可以開展一系列實際業(yè)務(wù)應(yīng)用。但是，由于量子信道的特殊要求，量子保密通信中的密鑰分發(fā)仍然離不開高成本的光纖或衛(wèi)星網(wǎng)絡(luò)。這在一定程度上限制了量子通信應(yīng)用的發(fā)展，尤其在業(yè)務(wù)移動化特征突出的移動互聯(lián)網(wǎng)時代，量子通信難以與新興的ICT技術(shù)融合應(yīng)用。本節(jié)將探討如何結(jié)合QKD與經(jīng)典密碼的優(yōu)勢，并將QKD的應(yīng)用場景拓展至更廣泛的移動業(yè)務(wù)中。

　　4.1 QKD與經(jīng)典密碼學(xué)方案的對比分析

　　這里將基于QKD網(wǎng)絡(luò)的保密通信方案抽象為如圖4所示的模型，其執(zhí)行過程可分解為表1所示的4個步驟，便于進(jìn)一步分析其優(yōu)缺點(diǎn)。

　　首先是密鑰預(yù)置過程，QKD網(wǎng)絡(luò)仍然需要為每個用戶提供特定的根密鑰，分別預(yù)置到QKD網(wǎng)絡(luò)的鑒權(quán)中心和每個用戶節(jié)點(diǎn)中，以進(jìn)行QKD設(shè)備的初始身份認(rèn)證和鑒權(quán)。當(dāng)鑒權(quán)通過后，用戶可通過QKD網(wǎng)絡(luò)進(jìn)行會話密鑰的協(xié)商，通過特有的OTP方式將密鑰安全地分發(fā)到收發(fā)兩端用戶。然后，用戶使用這些對稱的會話密鑰進(jìn)行基于AES加密的安全通信。

　　可以看到，基于QKD的會話密鑰分發(fā)是QKD方案最重要的優(yōu)勢，它同時具備信息理論安全、抗量子計算攻擊、前向安全性、可提供高速密鑰交換等優(yōu)勢。但是，其僅適用于用戶能夠通過光纖或衛(wèi)星接入QKD網(wǎng)絡(luò)的場景。

　　這里進(jìn)一步考慮現(xiàn)有網(wǎng)絡(luò)常見應(yīng)用場景下的保密通信方案，以與QKD進(jìn)行對比分析。經(jīng)典的保密通信方案可以分為基于對稱密鑰和非對稱密鑰兩種基本類型。

　　? 基于對稱密鑰：通常采用基于密鑰分發(fā)中心（key distribution center，KDC）方案，常用于移動通信系統(tǒng)、基于Kerberos的企業(yè)網(wǎng)及部分銀行系統(tǒng)。例如在3G/4G通信系統(tǒng)中，運(yùn)營商會為每位移動用戶提供特殊的128位根密鑰（Ki），分別預(yù)置在手機(jī)的SIM卡和3G/4G網(wǎng)絡(luò)的用戶簽約管理中心（HSS），以進(jìn)行鑒權(quán)認(rèn)證和會話密鑰的生成。

　　? 基于非對稱密鑰：通常稱為公鑰技術(shù)，在實際應(yīng)用中通常采用基于公鑰基礎(chǔ)設(shè)施（public key infrastructure，PKI）的方案以防止中間人攻擊。目前，大多數(shù)互聯(lián)網(wǎng)應(yīng)用均基于此方案，包括基于SSL/TLS的HTTPS、軟件版本更新的驗證、虛擬專用網(wǎng)（VPN）、安全電子郵件以及新興的區(qū)塊鏈等技術(shù)。

　　對于這兩類傳統(tǒng)的保密通信方案，同樣可以抽象為表1中所示的四步模型進(jìn)行分析。如圖5所示，對于基于對稱密鑰的KDC方案，終端和KDC首先分別預(yù)置用戶特殊（user-specific）的對稱密鑰作為根密鑰，終端入網(wǎng)時首先通過根密鑰進(jìn)行鑒權(quán)認(rèn)證；然后通過KDC的協(xié)商，與通信對端使用對稱密鑰加隨機(jī)數(shù)的方式產(chǎn)生新鮮的會話密鑰，用于后續(xù)的數(shù)據(jù)加解密傳輸。KDC方案不涉及基于算法的非對稱公鑰密碼技術(shù)，因此具有抗量子計算攻擊能力。但是大量終端根密鑰的管理十分復(fù)雜，且根密鑰長期不變，無法保證前向安全性，一旦根密鑰泄露，歷史數(shù)據(jù)會將全部被黑客破解，造成巨大危害。　　

　　圖5 基于對稱密鑰的KDC方案模型

　　基于非對稱密鑰的PKI方案模型如圖6所示，首先通信雙方的終端A和服務(wù)器B需分別預(yù)置根CA證書（含公鑰等信息），然后終端在本地計算生成其公私鑰對，并向CA申請簽署下發(fā)代表用戶身份的證書。當(dāng)終端與服務(wù)器之間發(fā)起通信時，終端需首先向服務(wù)器出示其證書，服務(wù)器通過CA驗證終端證書有效性后，完成終端的身份認(rèn)證。然后，服務(wù)器使用終端公鑰加密隨機(jī)生成的會話密鑰并發(fā)送給終端側(cè)，終端通過本地私鑰解密后獲取對稱的會話密鑰。最后，雙方可進(jìn)行基于對稱會話密鑰的數(shù)據(jù)加密通信。PKI方案無需預(yù)置用戶特殊的根密鑰，其管理相對簡單，適用于大規(guī)模的互聯(lián)網(wǎng)業(yè)務(wù)。其缺點(diǎn)是身份認(rèn)證和會話密鑰協(xié)商過程均涉及非對稱公鑰算法，無法抵抗量子計算攻擊。

　　圖6 基于非對稱密鑰的PKI方案模型

　　4.2 QKD與經(jīng)典密碼學(xué)結(jié)合的移動化應(yīng)用方案

　　通過上述分析可以看到，QKD和經(jīng)典的對稱、非對稱密碼方案均具有其優(yōu)勢和劣勢，這里將進(jìn)一步探討如何利用QKD自身的獨(dú)特優(yōu)勢結(jié)合經(jīng)典密碼學(xué)方案，進(jìn)一步延伸QKD的應(yīng)用場景。

　　這里提出一種新型解決方案，利用QKD自身的獨(dú)特優(yōu)勢，同時結(jié)合經(jīng)典的KDC和PKI方案特點(diǎn)，將基于量子密鑰分發(fā)的安全服務(wù)擴(kuò)展到移動終端側(cè)。如圖7（a）所示，這里在QKD網(wǎng)絡(luò)的基礎(chǔ)上，構(gòu)建面向量子安全服務(wù)的KDC（QSS-KDC）用于管理QKD網(wǎng)絡(luò)產(chǎn)生的量子密鑰。同時，還需提供量子密鑰更新終端設(shè)備，以將QKD網(wǎng)絡(luò)產(chǎn)生的量子密鑰緩存在終端的安全存儲介質(zhì)中（例如SD卡、SIM卡、U盾、安全芯片等），用于其通信過程中的鑒權(quán)和會話加密。該方案在移動辦公、移動作業(yè)、移動支付、物聯(lián)網(wǎng)等場景均可以應(yīng)用。

　　圖7（b）中，同樣可將新型量子密鑰分發(fā)增強(qiáng)方案抽象為上述的四步模型。在根密鑰預(yù)置階段，在QKD用戶終端中預(yù)置基于后量子密碼學(xué)算法（PQC）的CA證書。當(dāng)用戶首次接入量子密鑰更新設(shè)備提取密鑰時，通過基于PQC的證書完成身份認(rèn)證，以實現(xiàn)簡化的用戶初始認(rèn)證管理。然后，終端可以從QKD網(wǎng)絡(luò)末梢的量子密鑰更新設(shè)備獲取足夠的量子密鑰，用于后續(xù)的身份認(rèn)證和會話加密。在終端間進(jìn)行通信時，可通過終端與KDC預(yù)先共享的對稱量子密鑰進(jìn)行鑒權(quán)認(rèn)證，然后利用KDC協(xié)商產(chǎn)生終端間的對稱會話密鑰。這里所使用的量子密鑰，可以采取一次性使用、隨用隨棄的策略，保證鑒權(quán)和會話密鑰的新鮮性，以實現(xiàn)信息理論安全、抗量子計算攻擊等優(yōu)勢。

　　圖7 QKD向移動終端延伸的增強(qiáng)方案

　　QKD與KDC、PQC結(jié)合的增強(qiáng)方案分析見表2，該方案相比KDC方案，可保證會話密鑰的前向安全性；相比PKI方案，則可保證身份認(rèn)證和會話密鑰協(xié)商過程的量子安全性；相比傳統(tǒng)的QKD方案，則可有效延伸其使用范圍。

　　5 結(jié)束語

　　量子密鑰分發(fā)，作為第二次量子革命中率先實用化的量子信息技術(shù)之一，近年來從關(guān)鍵技術(shù)研發(fā)、試驗網(wǎng)絡(luò)部署到行業(yè)應(yīng)用示范都已取得長足進(jìn)步，人們對其寄予厚望。然而，量子保密通信從實用化到產(chǎn)業(yè)化規(guī)模商用發(fā)展，仍然面臨來自量子層、組網(wǎng)層面、與經(jīng)典ICT應(yīng)用融合等多方面的實際挑戰(zhàn)。作為一項跨學(xué)科、跨領(lǐng)域的系統(tǒng)工程，其需要量子物理學(xué)與經(jīng)典通信、密碼學(xué)、網(wǎng)絡(luò)工程、信息安全等多學(xué)科的廣泛合作與融合創(chuàng)新。

　　本文基于現(xiàn)有技術(shù)提出基于可信中繼的可擴(kuò)展QKD網(wǎng)絡(luò)架構(gòu)，并進(jìn)一步提出將量子密鑰分發(fā)能力通過離線密鑰緩存方式延伸到移動終端側(cè)的解決方案，希望對于當(dāng)前QKD網(wǎng)絡(luò)的部署和應(yīng)用發(fā)展發(fā)揮積極作用。隨著QKD技術(shù)的不斷發(fā)展，未來小型化、芯片化、移動化的QKD技術(shù)和量子中繼技術(shù)取得突破后，QKD將有望作為電信網(wǎng)絡(luò)基礎(chǔ)設(shè)施的重要組成部分，為各類信息通信技術(shù)提供量子安全保障。

　　參考文獻(xiàn)

　　［1］ BENNETT C H， BRASSARD G. WITHDRAWN： quantum cryptography： public key distribution and coin tossing ［J］。 Theoretical Computer Science， 1984（560）： 175-179.

　　［2］ SHANNON C E. Communication theory of secrecy systems［J］。 Bell System Technical Journal， 1949， 28（4）： 656-715.

　　［3］ 賴俊森， 吳冰冰， 湯瑞， 等。 量子通信應(yīng)用現(xiàn)狀及發(fā)展分析［J］。 電信科學(xué)， 2016， 32（3）： 123-129.

　　LAI J S， WU B B， TANG R， et al. Analysis on the application and development of quantum communication［J］。 Telecommunications Science， 2016， 32（3）： 123-129.

　　［4］ SIBSON P， ERVEN C， GODFREY M， et al. Chip-based quantum key distribution ［J］。 Nature Communications， 2017（8）： 13984.

　　［5］ SIBSON P， KENNARD J E， STANISIC S， et al. Integrated silicon photonics for high-speed quantum key distribution ［J］。 Optica， 2017（4）： 172-177.

　　［6］ ELLIOTT C. The DARPA quantum network［M］//Quantum Communications and Cryptography. Boca Raton： CRC Press， 2005： 91-110.

　　［7］ PEEV M， PACHER C， ALLéAUME R， et al. The SECOQC quantum key distribution network in Vienna ［J］。 New Journal of Physics， 2009， 11（7）： 075001.

　　［8］ SASAKI M， FUJIWARA M， ISHIZUKA H， et al. Field test of quantum key distribution in the Tokyo QKD Network［C］// Quantum Electronics Conference & Lasers and Electro-Optics， Aug 28-Sept 1， 2011， Sydney， NSW， Australia. Piscataway： IEEE Press， 2011： 507-509.

　　［9］ STUCKI D， LEGRE M， BUNTSCHU F， et al. Long-term performance of the Swiss quantum quantum key distribution network in a field environment ［J］。 Neuroscience Letters， 2012， 13（12）： 123001-123018.

　　［10］ ALLEAUME R， CHAPURAN T E， CHUNNILALL C J， et al. Worldwide standardization activity for quantum key distribution［C］//Globecom Workshops， December 8-12， 2014， Austin， TX， USA. Piscataway： IEEE Press， 2014： 656-661.

　　［11］ TENG-YUN C， JIAN W， HAO L， et al. Metropolitan all-pass and inter-city quantum communication network ［J］。 Optics Express， 2010， 18（26）： 27217.

　　［作者簡介］

　　王健全（1974?），男，博士（后），國科量子通信網(wǎng)絡(luò)有限公司副總裁、首席科學(xué)家、教授級高級工程師、博士生導(dǎo)師，主要研究方向為網(wǎng)絡(luò)空間安全、網(wǎng)絡(luò)能力開放、量子密鑰分發(fā)、量子互聯(lián)網(wǎng)等。

　　馬彰超（1984?），男，博士，國科量子通信網(wǎng)絡(luò)有限公司標(biāo)準(zhǔn)總監(jiān)、高級工程師， CCSA ST7量子信息處理子組副組長，主要從事量子保密通信網(wǎng)絡(luò)及應(yīng)用技術(shù)演進(jìn)研究和標(biāo)準(zhǔn)化方面的工作。

　　李新中（1984?），男，國科量子通信網(wǎng)絡(luò)有限公司高級工程師，主要研究方向為量子通信網(wǎng)絡(luò)及在移動通信系統(tǒng)、物聯(lián)網(wǎng)及工業(yè)互聯(lián)網(wǎng)中的應(yīng)用，天線技術(shù)研究和產(chǎn)品開發(fā)等。

　　孫雷（1984?），男，博士，國科量子通信網(wǎng)絡(luò)有限公司高級工程師，主要研究方向為先進(jìn)移動通信技術(shù)、量子通信網(wǎng)絡(luò)及其在移動通信系統(tǒng)、物聯(lián)網(wǎng)及工業(yè)互聯(lián)網(wǎng)中的應(yīng)用等。

　　胡昌瑋（1978?），男，國科量子通信網(wǎng)絡(luò)有限公司高級工程師，主要研究方向為量子通信網(wǎng)絡(luò)、系統(tǒng)及應(yīng)用。