CCSA-量子保密通信技術(shù)白皮書(shū)

1、量子保密通信（Quantum Secure Communication, QSC）是結(jié)合量子密鑰分發(fā)（Quantum Key Distribution, QKD）和密碼技術(shù)的安全通信解決方案。本白皮書(shū)對(duì)量子保密通信和相關(guān)的概念進(jìn)行澄清，介紹量 子保密通信的應(yīng)用場(chǎng)景，量子保密通信的安全性及其核心 QKD 技術(shù)的實(shí)際安全性研究現(xiàn)狀，量子保密通信網(wǎng)絡(luò)架構(gòu)及其組網(wǎng) 關(guān)鍵技術(shù)，國(guó)內(nèi)外量子保密通信產(chǎn)業(yè)發(fā)展及趨勢(shì)，量子保密通 信的標(biāo)準(zhǔn)化現(xiàn)狀；并從產(chǎn)業(yè)化發(fā)展的需求出發(fā)，梳理其下一步 發(fā)展面臨的關(guān)鍵問(wèn)題、解決方案及發(fā)展建議，旨在為我國(guó)量子 保密通信產(chǎn)業(yè)的發(fā)展和標(biāo)準(zhǔn)化建言獻(xiàn)策，推動(dòng)其更好的發(fā)展。本白皮書(shū)由中國(guó)通信

2、標(biāo)準(zhǔn)化協(xié)會(huì)量子通信與信息技術(shù)特設(shè)任務(wù)組（CCSA ST7）負(fù)責(zé)組織編寫(xiě)，主要參與編寫(xiě)單位包括： 國(guó)科量子通信網(wǎng)絡(luò)有限公司、科大國(guó)盾量子技術(shù)股份有限公司、濟(jì)南量子技術(shù)研究院、中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中國(guó)移動(dòng)通信集團(tuán)有限公司、中國(guó)電信集團(tuán)有限公司、神州數(shù)碼信息服務(wù)股份有限公司、浙江九州量子信息技術(shù)股份有限公司、 安徽問(wèn)天量子科技股份有限公司、上海交通大學(xué)。目錄 HYPERLINK l _bookmark0 一、概述1 HYPERLINK l _bookmark1 （一）量子保密通信基本概念1 HYPERLINK l _bookmark2 （二）量子保密通信迎來(lái)歷史發(fā)展機(jī)遇3 HYPERLIN

3、K l _bookmark7 二、量子保密通信業(yè)務(wù)應(yīng)用10 HYPERLINK l _bookmark8 （一）量子通信應(yīng)用前景廣闊：保密通信是現(xiàn)階段可行業(yè)務(wù)10 HYPERLINK l _bookmark10 （二）量子密鑰分發(fā)可與現(xiàn)有 ICT 技術(shù)結(jié)合應(yīng)用12 HYPERLINK l _bookmark12 （三）量子保密通信的典型行業(yè)應(yīng)用場(chǎng)景13 HYPERLINK l _bookmark20 三、量子密鑰分發(fā)的安全性19 HYPERLINK l _bookmark21 （一）量子密鑰分發(fā)安全性的物理基礎(chǔ)19 HYPERLINK l _bookmark24 （二）量子密鑰分發(fā)的理論安全性

4、25 HYPERLINK l _bookmark25 （三）量子密鑰分發(fā)的實(shí)際安全性27 HYPERLINK l _bookmark26 四、量子保密通信網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)28 HYPERLINK l _bookmark27 （一）量子保密通信網(wǎng)絡(luò)的演進(jìn)28 HYPERLINK l _bookmark29 （二）量子保密通信網(wǎng)絡(luò)需求和架構(gòu)設(shè)計(jì)30 HYPERLINK l _bookmark31 （三）量子保密通信組網(wǎng)關(guān)鍵技術(shù)36 HYPERLINK l _bookmark33 五、量子保密通信產(chǎn)業(yè)及標(biāo)準(zhǔn)化進(jìn)展40 HYPERLINK l _bookmark34 （一）量子保密通信國(guó)內(nèi)外發(fā)展概況

5、40 HYPERLINK l _bookmark37 （二）量子保密通信產(chǎn)業(yè)化進(jìn)展45 HYPERLINK l _bookmark38 （三）量子保密通信標(biāo)準(zhǔn)化進(jìn)展49 HYPERLINK l _bookmark40 六、總結(jié)：面臨挑戰(zhàn)與發(fā)展建議54 HYPERLINK l _bookmark41 （一）加強(qiáng)量子通信底層技術(shù)自主研發(fā)，提供產(chǎn)業(yè)發(fā)展保障55 HYPERLINK l _bookmark42 （二）加快量子保密通信行業(yè)標(biāo)準(zhǔn)制定，支撐產(chǎn)業(yè)健康發(fā)展56 HYPERLINK l _bookmark43 （三）開(kāi)放合作，以需求為導(dǎo)向促進(jìn)量子保密通信應(yīng)用推廣56 HYPERLINK l _bo

6、okmark78 附錄 1 實(shí)際 QKD 系統(tǒng)安全威脅和解決措施60 HYPERLINK l _bookmark81 附錄 2 縮略語(yǔ)64一、概述（一）量子保密通信基本概念1量子通信上世紀(jì)九十年代以來(lái)，量子調(diào)控技術(shù)的進(jìn)步使得人類可以對(duì)光子、原子等微觀粒子進(jìn)行主動(dòng)的精確操縱，從而能夠以一種全新的方式利用量子規(guī)律，使得量子技術(shù)與信息技術(shù)得以深度融合。這促進(jìn)了面向無(wú)條件安全的保密通信、超強(qiáng)的計(jì)算能力、突破經(jīng)典極限的精密探測(cè)等量子信息技術(shù)的蓬勃發(fā)展。以量子通信、量子計(jì)算和量子測(cè)量為代表的新一次“量子革命”，必將對(duì)信息通信技術(shù)（Information and Communication Technolo

7、gy,ICT)領(lǐng)域產(chǎn)生深遠(yuǎn)的影響。量子通信作為量子信息科學(xué)的重要分支，是利用量子態(tài)作為信息載體來(lái)進(jìn)行信息交互的通信技術(shù)?，F(xiàn)階段，量子通信的典型應(yīng)用形式包括量子密鑰分發(fā)（Quantum Key Distribution，QKD） HYPERLINK l _bookmark44 1和量子隱形傳態(tài)（Quantum Teleportation, QT） HYPERLINK l _bookmark45 2等。量子密鑰分發(fā)可用來(lái)實(shí)現(xiàn)經(jīng)典信息的安全傳輸；而量子隱形傳態(tài)是傳遞量子信息的有效手段，有望成為分布式量子計(jì)算網(wǎng)絡(luò)等應(yīng)用中的主要信息交互方式。量子密鑰分發(fā)量子密鑰分發(fā)是最先實(shí)用化的量子信息技術(shù)，是量子通信

8、的重要方向。量子密鑰分發(fā)可以在空間分離的用戶之間以信息理論安全的方式共享密鑰，這是經(jīng)典密碼學(xué)無(wú)法完成的任務(wù) HYPERLINK l _bookmark46 3?；趪?guó)際學(xué)術(shù)界的廣泛共識(shí)， 包括2010 年沃爾夫物理學(xué)獎(jiǎng)獲得者Anton Zeilinger 教授等在內(nèi)的眾多國(guó)際學(xué)者通常將量子密鑰分發(fā)就稱為量子通信；美國(guó)物理學(xué)會(huì)的學(xué)科分類系統(tǒng) PhySH 將量子密碼作為量子通信條目下的一個(gè)子條目；歐盟最新發(fā)布的量子技術(shù)旗艦計(jì)劃量子宣言 HYPERLINK l _bookmark47 4，將以量子密鑰分發(fā)為核心的量子保密通信作為量子通信領(lǐng)域未來(lái)的主要發(fā)展方向。現(xiàn)有實(shí)際量子密鑰分發(fā)系統(tǒng)主要采用 BB8

9、4 協(xié)議 HYPERLINK l _bookmark44 1，由 Bennett 和Brassard 于 1984 年提出。與經(jīng)典密碼體制不同，量子密鑰分發(fā)的安全性基于量子力學(xué)的基本原理。即便竊聽(tīng)者控制了通道線路，只要竊聽(tīng)者沒(méi)有掌握能攻入合法用戶設(shè)備內(nèi)部的側(cè)信道，量子密鑰分發(fā)技術(shù)就能讓空間分離的用戶共享安全的密鑰。學(xué)術(shù)界將這種安全性稱之為“信息理論安全”（也可稱為“無(wú)條件安全”），它指的是擁有嚴(yán)格數(shù)學(xué)證明的安全性，但是有下列假設(shè)前提：竊聽(tīng)者不掌握攻入合法用戶設(shè)備內(nèi)部的側(cè)信道；依賴的基礎(chǔ)是量子物理學(xué)原理，即要求竊聽(tīng)者不能擁有違反量子物理學(xué)原理的技術(shù)，但是可以擁有任何不違反量子物理學(xué)原理的技術(shù)，例

10、如計(jì)算能力任意強(qiáng)大的計(jì)算機(jī)，包括量子計(jì)算機(jī)。量子密鑰分發(fā)的這種安全性，與計(jì)算復(fù)雜度無(wú)關(guān)，因此不論對(duì)手擁有多大的計(jì)算能力，其安全性都不會(huì)受到影響。量子保密通信量子保密通信是指以具備信息理論安全性證明的 QKD 技術(shù)作為密鑰分發(fā)功能組件，結(jié)合適當(dāng)?shù)拿荑€管理、安全的密碼算法和協(xié)議而形成的加密通信安全解決方案。量子保密通信是在抗量子攻擊等特定需求下的全新的、有效的密碼學(xué)補(bǔ)充手段，依據(jù)結(jié)合方式的不同，量子保密通信系統(tǒng)可具有多種類型。例如，可證明信息理論安全的 QKD 技術(shù)與同樣可證明信息理論安全的一次性密碼本（ One Time Pad ， OTP ）加密方案 HYPERLINK l _bookmark

11、48 5 和Wegman-Carter 認(rèn)證方案 HYPERLINK l _bookmark49 6相結(jié)合，形成具備信息理論安全性的量子保密通信系統(tǒng)。又如：QKD 與其他能夠抵抗量子計(jì)算攻擊的對(duì)稱密鑰加密算法結(jié)合使用，可實(shí)現(xiàn)可支持大帶寬業(yè)務(wù)的、具備前向安全性的量子保密通信系統(tǒng)。（二）量子保密通信迎來(lái)歷史發(fā)展機(jī)遇量子計(jì)算引發(fā)全新安全挑戰(zhàn)，量子安全技術(shù)需求迫切近年來(lái)，量子計(jì)算機(jī)的發(fā)展已呈加速之勢(shì)，以谷歌，IBM，微軟、Intel 等巨頭為代表的企業(yè)紛紛投入巨資研發(fā)。量子計(jì)算機(jī)能夠以特定的計(jì)算方式，例如著名的 Shor 量子算法 HYPERLINK l _bookmark50 7和 Grover 量

12、子算法 HYPERLINK l _bookmark51 8，有效解決一些經(jīng)典計(jì)算機(jī)難以勝任的數(shù)學(xué)問(wèn)題，例如大整數(shù)質(zhì)因子分解問(wèn)題、離散對(duì)數(shù)問(wèn)題、海量數(shù)據(jù)檢索問(wèn)題。量子計(jì)算對(duì)于基于計(jì)算復(fù)雜度的現(xiàn)代密碼學(xué)帶來(lái)的潛在安全威脅已引起了全球性的廣泛重視，美國(guó)國(guó)家標(biāo)準(zhǔn)和技術(shù)研究院（NIST）、歐洲電信標(biāo)準(zhǔn)化協(xié)會(huì)（ETSI）等機(jī)構(gòu)進(jìn)行了評(píng) HYPERLINK l _bookmark52 估9 HYPERLINK l _bookmark52 10，其結(jié)論如 HYPERLINK l _bookmark3 表 1 所示。表 1 量子計(jì)算機(jī)對(duì)經(jīng)典密碼的影響（來(lái)源于 NIST IR 8105）密碼學(xué)算法類型目的受到量子

13、計(jì)算機(jī)的影響AES對(duì)稱密鑰加密需增加密鑰長(zhǎng)度SHA-2, SHA-3-哈希散列函數(shù)需增加輸出長(zhǎng)度RSA公鑰數(shù)字簽名，密鑰分發(fā)不再安全ECDSA, ECDH(Elliptic Curve Cryptography)公鑰數(shù)字簽名，密鑰分發(fā)不再安全DSA(FiniteField Cryptography)公鑰數(shù)字簽名，密鑰分發(fā)不再安全由于傳統(tǒng)公鑰算法（例如 RSA、ECC 等）廣泛用于各類安全協(xié)議和應(yīng) HYPERLINK l _bookmark4 用服務(wù)，因此量子安全問(wèn)題的影響范圍極廣，如圖 1 所示。雖然大規(guī)模量子計(jì)算機(jī)的實(shí)現(xiàn)可能還有數(shù)十年的時(shí)間，但它對(duì)當(dāng)今信息安全的潛在威脅不容忽視。對(duì)于竊聽(tīng)者而

14、言，他可以將當(dāng)前發(fā)生的通信流量記錄下來(lái)， 直到量子計(jì)算機(jī)成功的那一天再解密這些信息。這對(duì)于那些需要長(zhǎng)期保密的信息，已經(jīng)構(gòu)成了現(xiàn)實(shí)的威脅。圖 1 量子安全問(wèn)題的影響范圍如何應(yīng)對(duì)“量子安全”問(wèn)題，設(shè)計(jì)能夠抵御量子計(jì)算攻擊的量子安全密碼技術(shù)，已成為下一代信息通信系統(tǒng)必須考慮的問(wèn)題?；诹孔游锢砘驹淼牧孔用荑€分發(fā)技術(shù)，提供了不再依賴于數(shù)學(xué)計(jì)算復(fù)雜度的新型密鑰分發(fā)方法。通過(guò)這種具有信息理論安全特性的密鑰分發(fā)方式，即使通過(guò)不安全的信道分發(fā)密鑰也可以保證安全，進(jìn)一步結(jié)合OTP 方案或其他加密算法，可以有效地提高信息安全性，抵御量子計(jì)算帶來(lái)的安全威脅。量子保密通信歷經(jīng)多年發(fā)展，產(chǎn)業(yè)鏈初步成形量子保密通信技

15、術(shù)自 1984 年提出以來(lái)，在上世紀(jì)末開(kāi)始有實(shí)驗(yàn)實(shí)現(xiàn)。2005 HYPERLINK l _bookmark53 年誘騙態(tài)方案11 HYPERLINK l _bookmark53 12提出后，單量子光源不理想的瓶頸問(wèn)題被克服，量子保密通信的安全距離大幅提升，實(shí)驗(yàn)技術(shù)自此開(kāi)始了快速的發(fā)展 HYPERLINK l _bookmark54 13 HYPERLINK l _bookmark54 14 HYPERLINK l _bookmark55 15 HYPERLINK l _bookmark55 16 HYPERLINK l _bookmark56 17，并逐步走向?qū)嵱没?、產(chǎn)業(yè)化。近 10 年來(lái)，量

16、子保密通信的實(shí)驗(yàn)和工程技術(shù)不斷突破，一方面城域網(wǎng)技術(shù)逐漸成熟，美國(guó)、中國(guó)、歐洲、日本等地多個(gè)城域網(wǎng)建成；另一方面我國(guó)于 2017 年完成量子保密通信“京滬干線”骨干網(wǎng)建設(shè)和“墨子號(hào)”衛(wèi)星科學(xué)試驗(yàn) HYPERLINK l _bookmark57 18并實(shí)現(xiàn)天地互聯(lián)，率先進(jìn)入廣域網(wǎng)階段，標(biāo)志著產(chǎn)業(yè)化技術(shù)儲(chǔ)備的基本完成， HYPERLINK l _bookmark5 也引發(fā)了全球量子保密通信網(wǎng)絡(luò)部署的提速。圖 2 記錄了發(fā)展歷程中的部分代表性事件。圖 2 全球量子保密通信網(wǎng)絡(luò)加速發(fā)展在這 10 余年的發(fā)展過(guò)程中，我國(guó)的量子保密通信技術(shù)已經(jīng)逐漸走到了世界前列，產(chǎn)業(yè)化更是先行于世界，初步形成了一條探索型

17、產(chǎn)業(yè)鏈。 HYPERLINK l _bookmark6 如圖 3 所示，產(chǎn)業(yè)鏈大致分為 4 個(gè)環(huán)節(jié)：基礎(chǔ)研究環(huán)節(jié)，科研機(jī)構(gòu)持續(xù)提供國(guó)際領(lǐng)先的基礎(chǔ)研究成果支撐產(chǎn)業(yè)鏈發(fā)展；設(shè)備研發(fā)環(huán)節(jié)，技術(shù)型企業(yè)提供核心器件/部件、量子保密通信設(shè)備、網(wǎng)絡(luò)融合設(shè)備 3 個(gè)層面的開(kāi)發(fā)支撐；建設(shè)運(yùn)維環(huán)節(jié)，運(yùn)營(yíng)商、集成商等提供大規(guī)模網(wǎng)絡(luò)建設(shè)、運(yùn)維 管理支撐；安全應(yīng)用環(huán)節(jié)，各行業(yè)用戶牽引、參與和主導(dǎo)應(yīng)用開(kāi)發(fā)并開(kāi)展 應(yīng)用示范，逐步推動(dòng)規(guī)模應(yīng)用。圖 3 我國(guó)量子保密通信產(chǎn)業(yè)化發(fā)展情況總體而言，國(guó)內(nèi)外量子通信產(chǎn)業(yè)發(fā)展仍然處于初期階段，從科學(xué)試驗(yàn)到商業(yè)化應(yīng)用的進(jìn)程決非一帆風(fēng)順。作為一項(xiàng)以全新物理學(xué)手段解決安全問(wèn)題的量子密碼技術(shù)，其

18、在安全領(lǐng)域施展拳腳必須滿足傳統(tǒng)商業(yè)客戶所要求的成本、性能、適用性等多方面要求，這也促進(jìn)著 QKD 技術(shù)不斷地迭代升級(jí)。量子信息獲國(guó)內(nèi)外政策支持，推動(dòng)量子保密通信持續(xù)發(fā)展世界主要國(guó)家高度關(guān)注量子信息技術(shù)發(fā)展，甚至上升為國(guó)家戰(zhàn)略，特別是 2016 年以來(lái)，各國(guó)支持政策密集出臺(tái)。歐盟量子技術(shù)旗艦計(jì)劃，計(jì)劃 2035 年左右形成泛歐量子安全互聯(lián)網(wǎng)；英國(guó)希望在 10 年內(nèi)建成國(guó)家量子通信網(wǎng)絡(luò)；德國(guó)提出“量子技術(shù)從基礎(chǔ)到市場(chǎng)”框架計(jì)劃，希望推動(dòng)實(shí)現(xiàn)量子技術(shù)的產(chǎn)業(yè)化發(fā)展；美國(guó)正式通過(guò)國(guó)家量子計(jì)劃法案。日本、韓國(guó)、俄羅斯、加拿大等國(guó)也啟動(dòng)了各自的量子通信發(fā)展計(jì)劃，一系列量子通信衛(wèi)星研發(fā)等眾多項(xiàng)目紛紛出臺(tái)并付諸

19、實(shí)施 HYPERLINK l _bookmark58 19。圖 4 世界主要國(guó)家支持量子技術(shù)發(fā)展圖 5 世界量子衛(wèi)星項(xiàng)目一覽19我國(guó)量子通信技術(shù)的后發(fā)先至得益于國(guó)家的提前布局和支持。早在2013 年，我國(guó)就前瞻部署了世界首條遠(yuǎn)距離量子保密通信“京滬干線”， 率先開(kāi)展了相關(guān)技術(shù)的應(yīng)用示范并取得系列寶貴經(jīng)驗(yàn)。為進(jìn)一步保持我國(guó)在量子通信產(chǎn)業(yè)化發(fā)展的領(lǐng)跑地位，近年來(lái)從國(guó)家到各地方各級(jí)政府和部門，都給予量子通信高度的關(guān)注和推動(dòng)。2015 年，習(xí)近平總書(shū)記在關(guān)于“十三五”規(guī)劃建議的說(shuō)明中明確指出，要在量子通信等領(lǐng)域部署體現(xiàn)國(guó)家戰(zhàn)略意圖的重大科技項(xiàng)目。在隨后發(fā)布的創(chuàng)新驅(qū)動(dòng)發(fā)展戰(zhàn)略綱要、科技創(chuàng)新規(guī)劃、信息化規(guī)

20、劃、技術(shù)創(chuàng)新工程規(guī)劃、科技軍民融合發(fā)展專項(xiàng)規(guī)劃等十余項(xiàng)重要國(guó)家政策中均明確要求推進(jìn)量子通信的發(fā)展，發(fā)改委、工信部、科技部、網(wǎng)信辦等也紛紛出臺(tái)政策給予支持。各地區(qū)政府則以政府文件的形式，直接支持量子技術(shù)發(fā)展和開(kāi)展量子保密通信網(wǎng)絡(luò)的建設(shè)。安徽、山東、北京、上海、江蘇、浙江、廣東、新疆等眾多省份將發(fā)展量子信息技術(shù)、建設(shè)量子通信網(wǎng)絡(luò)寫(xiě)入 2018 年政府工作報(bào)告并推動(dòng)落實(shí)。特別是， 長(zhǎng)三角地區(qū)城市群量子保密城際干線建設(shè)已列入十三五規(guī)劃。圖 6 我國(guó)出臺(tái)多項(xiàng)國(guó)家政策支持量子通信發(fā)展二、量子保密通信業(yè)務(wù)應(yīng)用基于 QKD 的量子保密通信作為量子通信現(xiàn)階段發(fā)展相對(duì)成熟并具備產(chǎn)業(yè)化潛力的代表性技術(shù)，其實(shí)用化、產(chǎn)

21、業(yè)化發(fā)展離不開(kāi)實(shí)際應(yīng)用所需的廣域服務(wù)覆蓋和靈活業(yè)務(wù)適配能力。實(shí)際上，基于 QKD 獨(dú)特的長(zhǎng)期安全性， 其有望成為面向量子時(shí)代的重要密碼學(xué)組件，能夠與現(xiàn)有 ICT 技術(shù)進(jìn)行靈活地結(jié)合，形成面向不同行業(yè)需求的安全應(yīng)用 HYPERLINK l _bookmark59 20。（一）量子通信應(yīng)用前景廣闊：保密通信是現(xiàn)階段可行業(yè)務(wù)隨著量子信息技術(shù)的發(fā)展，量子通信網(wǎng)絡(luò)及其應(yīng)用將不斷演進(jìn)。英國(guó)政府科學(xué)辦公室發(fā)布“量子時(shí)代的機(jī)會(huì)”研究報(bào)告中描繪了量子通信應(yīng)用 HYPERLINK l _bookmark60 發(fā)展趨勢(shì)21，如 HYPERLINK l _bookmark9 圖 7 所示。量子通信的近期應(yīng)用主要集中在

22、利用 QKD 鏈路加密的數(shù)據(jù)中心防護(hù)、量子隨機(jī)數(shù)發(fā)生器，并延伸到政務(wù)、國(guó)防等特殊領(lǐng)域的安全應(yīng)用；未來(lái)隨著 QKD 組網(wǎng)技術(shù)成熟，終端設(shè)備趨于小型化、移動(dòng)化，QKD 還將擴(kuò)展到電信網(wǎng)、企業(yè)網(wǎng)、個(gè)人與家庭、云存儲(chǔ)等更廣闊的應(yīng)用領(lǐng)域；長(zhǎng)遠(yuǎn)來(lái)看，隨著量子衛(wèi)星、量子中繼、量子計(jì)算、量子傳感等技術(shù)取得突破，通過(guò)量子通信網(wǎng)絡(luò)將分布式的量子計(jì)算機(jī)和量子傳感器連接，還將產(chǎn)生量子云計(jì)算、量子傳感網(wǎng)等一系列全新的應(yīng)用。圖 7 量子通信應(yīng)用發(fā)展展望（二）量子密鑰分發(fā)可與現(xiàn)有 ICT 技術(shù)結(jié)合應(yīng)用基本的 QKD 系統(tǒng)通常由一對(duì)通過(guò)量子信道連接的設(shè)備組成，可以在點(diǎn)對(duì)點(diǎn)鏈路上實(shí)現(xiàn)信息理論安全的對(duì)稱密鑰分發(fā)。通過(guò) QKD 網(wǎng)

23、絡(luò)技術(shù)可以進(jìn)一步實(shí)現(xiàn)網(wǎng)絡(luò)中任意兩節(jié)點(diǎn)間端到端的高安全密鑰分發(fā)。經(jīng)典網(wǎng)絡(luò)ICT系統(tǒng)應(yīng)用層ICT系統(tǒng)應(yīng)用層傳輸層傳輸層網(wǎng)絡(luò)層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層數(shù)據(jù)鏈路層物理層物理層量子密鑰分發(fā)網(wǎng)絡(luò)量子密鑰分發(fā)系統(tǒng)量子密鑰分發(fā)系統(tǒng)基于QKD的共享密鑰協(xié)商QKD 可以作為一種新的密鑰分發(fā)功能組件，廣泛應(yīng)用于現(xiàn)有的 ICT 系統(tǒng)。與經(jīng)典密碼學(xué)中的密鑰分發(fā)算法類似，QKD 可以與OSI（Open System Interconnection）參考模型不同層的協(xié)議進(jìn)行結(jié)合，包括數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層等，如 HYPERLINK l _bookmark11 圖 8 所示。圖 8 QKD 在 ICT 系統(tǒng)中的應(yīng)用示意圖

24、例如，QKD 用于密鑰交換，QKD 可以與數(shù)據(jù)鏈路層的 PPP 協(xié)議、IEEE802.1 定義的 MACsec 協(xié)議結(jié)合使用；也可與網(wǎng)絡(luò)層的 IPSec 協(xié)議結(jié)合使用；還可以與傳輸層的 TLS、SSL 等協(xié)議進(jìn)行集成使用；QKD 也可以在應(yīng)用層與各類應(yīng)用程序直接進(jìn)行靈活的集成。利用 QKD 為通信收發(fā)兩端提供的對(duì)稱共享密鑰，既可以用于進(jìn)行用戶的身份認(rèn)證或鑒權(quán)，也可以用于實(shí)現(xiàn)業(yè)務(wù)載荷的加密傳輸。（三）量子保密通信的典型行業(yè)應(yīng)用場(chǎng)景1 數(shù)據(jù)中心備份及業(yè)務(wù)連續(xù)性場(chǎng)景在不同的數(shù)據(jù)中心之間進(jìn)行數(shù)據(jù)備份及業(yè)務(wù)連續(xù)性等業(yè)務(wù)時(shí)，量子保密通信可以用于保障數(shù)據(jù)中心之間數(shù)據(jù)傳輸?shù)陌踩浴?shù)據(jù)中心間的鏈路加密機(jī)可通過(guò)

25、 QKD 按需更換密鑰，滿足企業(yè)、用戶的高安全數(shù)據(jù)傳輸需求， HYPERLINK l _bookmark13 如圖 9 所示。圖 9 結(jié)合 QKD 的鏈路加密機(jī)應(yīng)用于數(shù)據(jù)中心場(chǎng)景政企專網(wǎng)保護(hù)場(chǎng)景量子保密通信可用于保護(hù)政企專網(wǎng)基礎(chǔ)設(shè)施及其服務(wù)的安全性。企業(yè)或政府機(jī)構(gòu)通常要求通信服務(wù)提供高度的機(jī)密性、完整性和真實(shí)性，需要強(qiáng)制性地采用專用的安全系統(tǒng)。當(dāng)前通常采用基于 IPSec 或TLS 的安全虛擬專用網(wǎng)絡(luò)（VPN）技術(shù)來(lái)對(duì)數(shù)據(jù)中心與分支機(jī)構(gòu)之間的流量進(jìn)行鑒權(quán)和數(shù)據(jù)中心2數(shù)據(jù)中心1分支機(jī)構(gòu)1分支機(jī)構(gòu)3加密，而 QKD 鏈路加密機(jī)可以與這些技術(shù)結(jié)合來(lái)滿足企業(yè)網(wǎng)各站點(diǎn)之間信息加密需求，如 HYPERLI

26、NK l _bookmark14 圖 10 所示。分支機(jī)構(gòu)2分支機(jī)構(gòu)4圖 10 結(jié)合QKD 的鏈路加密機(jī)應(yīng)用于企業(yè)專網(wǎng)場(chǎng)景關(guān)鍵基礎(chǔ)設(shè)施控制和數(shù)據(jù)采集場(chǎng)景量子保密通信可用于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施中的數(shù)據(jù)采集與監(jiān)控系統(tǒng)（Supervisory control and data acquisition，SCADA）數(shù)據(jù)通信安全性。關(guān)鍵基礎(chǔ)設(shè)施對(duì)于社會(huì)經(jīng)濟(jì)的正常運(yùn)行發(fā)揮著重要作用，其安全性和可靠性通常依賴于其通信基礎(chǔ)設(shè)施子系統(tǒng)。這些通信子系統(tǒng)中信息機(jī)密性、真實(shí)性和完整性均十分重要，例如鐵路的信令控制系統(tǒng)、供水控制系統(tǒng),可通過(guò)QKD 分發(fā)的密鑰對(duì)關(guān)鍵信息進(jìn)行保護(hù)。 HYPERLINK l _bookmark1

27、5 如圖 11 所示，該場(chǎng)景中的 QKD 應(yīng)用通常需要構(gòu)建專用的 QKD 廣域網(wǎng)絡(luò)來(lái)支持。圖 11QKD 應(yīng)用于關(guān)鍵基礎(chǔ)設(shè)施專用廣域網(wǎng)絡(luò)場(chǎng)景電信骨干網(wǎng)保護(hù)場(chǎng)景QKD 可用于為電信網(wǎng)絡(luò)的骨干網(wǎng)節(jié)點(diǎn)之間通信提供安全服務(wù)。目前電信骨干網(wǎng)多采用波分復(fù)用（WDM）技術(shù)建設(shè),光纖中波道數(shù)較多。除已經(jīng)使用的業(yè)務(wù)波道以及預(yù)留的保護(hù)波道和備用波道外，一般還有剩余的波道可以使用。可以利用這些多余的波長(zhǎng)來(lái)搭建 QKD 鏈路，通過(guò) QKD 鏈路產(chǎn)生的量子密鑰對(duì) WDM 業(yè)務(wù)通道進(jìn)行高安全等級(jí)的加密。如 HYPERLINK l _bookmark16 圖 12 所示，將 QKD 生成的量子密鑰應(yīng)用于 OTN 設(shè)備間業(yè)務(wù)

28、數(shù)據(jù)的加密，而 QKD 系統(tǒng)所需的量子信道、協(xié)商信道以及承載 OTN 業(yè)務(wù)的經(jīng)典數(shù)據(jù)信道，可通過(guò)波分復(fù)用的方式實(shí)現(xiàn)共纖傳輸，該技術(shù)目前已通過(guò)現(xiàn)網(wǎng)試驗(yàn)驗(yàn)證可行。圖 12 QKD 應(yīng)用于電信骨干網(wǎng)保護(hù)場(chǎng)景電信接入網(wǎng)保護(hù)場(chǎng)景QKD 可用于電信接入網(wǎng)的無(wú)源光網(wǎng)絡(luò)（PON）中，保證 PON 網(wǎng)絡(luò)的通信安全。通過(guò) QKD 系統(tǒng)，可在 PON 網(wǎng)絡(luò)中的光線路終端（OLT）和光網(wǎng)絡(luò)單元（ONU）終端用戶之間進(jìn)行安全的密鑰分發(fā)，以實(shí)現(xiàn) ONU 用戶數(shù)據(jù)的加密傳輸，為電信接入網(wǎng)提供新的密鑰分發(fā)解決方案。 HYPERLINK l _bookmark17 如圖 13 所示，QKD 系統(tǒng)由不對(duì)稱的樹(shù)狀網(wǎng)絡(luò)結(jié)構(gòu)組成，由于

29、目前量子探測(cè)器比量子光源成本高，可在每個(gè) ONU 處部署低成本的 QKD 發(fā)射機(jī)， 在OLT 處部署一套 QKD 接收機(jī)。圖 13 QKD 應(yīng)用于電信接入網(wǎng)保護(hù)場(chǎng)景遠(yuǎn)距離無(wú)線通信保護(hù)場(chǎng)景QKD 與基于衛(wèi)星、飛機(jī)等飛行器的無(wú)線通信系統(tǒng)相結(jié)合是一種有潛力的應(yīng)用場(chǎng)景。它可實(shí)現(xiàn)遠(yuǎn)距離站點(diǎn)之間高度安全的密鑰分發(fā)，無(wú)需部署大量地面光纖和可信中繼站點(diǎn)。QKD 通過(guò)衛(wèi)星交換密鑰的基本流程 HYPERLINK l _bookmark18 如圖 14 所示。該用例還可擴(kuò)展到多顆衛(wèi)星的場(chǎng)景，它們之間通過(guò)自由空間鏈路相互連接，可構(gòu)成覆蓋全球的衛(wèi)星 QKD 網(wǎng)絡(luò)。與地面大氣相比，空間的信道衰減顯著降低，衛(wèi)星之間可以非常

30、高的密鑰分發(fā)速率進(jìn)行長(zhǎng)距離的密鑰交換。（a） C 和 A 交換密鑰 a（b）C 和 B 交換密鑰 b（c） C 使用傳統(tǒng)通道向 B 發(fā)送 a 異或 b （d） A 和 B 獲得共享密鑰 a圖 14QKD 應(yīng)用于衛(wèi)星通信保護(hù)場(chǎng)景移動(dòng)終端量子安全服務(wù)場(chǎng)景各類移動(dòng)終端用戶的網(wǎng)絡(luò)安全防護(hù)已成為當(dāng)前關(guān)注的熱點(diǎn)問(wèn)題之一。利用 QKD 自身的獨(dú)特優(yōu)勢(shì)，同時(shí)結(jié)合密鑰分發(fā)中心（Key Distribution Center, KDC），可以將 QKD 生成的量子密鑰應(yīng)用于移動(dòng)終端側(cè)，保護(hù)端到端及端到服務(wù)器的通信安全性，可在移動(dòng)辦公、移動(dòng)作業(yè)、移動(dòng)支付、物聯(lián)網(wǎng)等多種場(chǎng)景進(jìn)行應(yīng)用。 HYPERLINK l _boo

31、kmark19 如圖 15 所示，QKD 網(wǎng)絡(luò)結(jié)合用于管理 QKD 網(wǎng)絡(luò)產(chǎn)生的量子密鑰的量子安全服務(wù)密鑰分發(fā)中心（Quantum secure service KDC），以及靠近用戶的量子密鑰更新終端設(shè)備，可將 QKD 網(wǎng)絡(luò)產(chǎn)生的對(duì)稱量子密鑰充注到終端的安全存儲(chǔ)介質(zhì)（例如 SD 卡、SIM 卡、U 盾、安全芯片等），用于其通信過(guò)程中的鑒權(quán)和會(huì)話加密。該方案相比傳統(tǒng)的 KDC 方案，可保證會(huì)話密鑰的前向安全性；相比傳統(tǒng)的公鑰基礎(chǔ)設(shè)施（PKI）方案，則可保證身份認(rèn)證和會(huì)話密鑰協(xié)商過(guò)程能夠抵抗量子計(jì)算攻擊。圖 15QKD 應(yīng)用于移動(dòng)終端通信保護(hù)場(chǎng)景三、量子密鑰分發(fā)的安全性（一）量子密鑰分發(fā)安全性的物

32、理基礎(chǔ)和現(xiàn)有的密碼技術(shù)不同，QKD 的安全性是以物理原理為基礎(chǔ)的。其基本方法是使用量子態(tài)來(lái)編碼信息，通過(guò)對(duì)量子態(tài)的制備、傳輸和檢測(cè)來(lái)達(dá)到安全分發(fā)隨機(jī)數(shù)即密鑰的目的。對(duì)于量子態(tài)的編碼、傳輸和測(cè)量方法的規(guī)定，稱之為 QKD 協(xié)議。1984 年，Charles H.Bennett 與Gilles Brassard 提出了世界上第一個(gè) QKD 協(xié)議，也是最具代表性的 QKD 協(xié)議，即著名的 BB84 協(xié)議。此后， 物理學(xué)家又相繼提出了其他量子密鑰分發(fā)協(xié)議，如 E91、B92、BBM92、SARG04、COW、DPS、GG02、測(cè)量設(shè)備無(wú)關(guān)量子密鑰分發(fā)（MDI-QKD）等協(xié)議。各種量子密鑰分發(fā)協(xié)議可以按

33、照編碼量子態(tài)的特點(diǎn)分為離散變量（DV）、連續(xù)變量（CV）等類別，也可以按照實(shí)現(xiàn)方案的特點(diǎn)分為制備- 測(cè)量類、基于糾纏分發(fā)類和測(cè)量設(shè)備無(wú)關(guān)類等。QKD 基于量子物理原理保證安全性盡管量子密鑰分發(fā)協(xié)議多種多樣，但一般地說(shuō)，其安全性都基于以下量子物理原理：?jiǎn)瘟孔硬豢稍俜?。量子是物理量變化的最小單元，單個(gè)量子不可分割。量子密鑰分發(fā)若采用單個(gè)量子（通常為單光子）作為信息載體，則攻擊者無(wú)法通過(guò)竊取單量子一部分并測(cè)量其狀態(tài)的方法來(lái)獲得密鑰信息。未知單量子態(tài)無(wú)法精確測(cè)量。根據(jù)海森堡測(cè)不準(zhǔn)原理（現(xiàn)在多稱為不確定性原理），量子的一對(duì)非對(duì)易物理量不能被同時(shí)測(cè)準(zhǔn)。在量子密鑰分發(fā)雙方隨機(jī)選擇非對(duì)易物理量的其一進(jìn)行編解碼

34、時(shí)，攻擊者即使截取了量子信號(hào)，也無(wú)法有效測(cè)準(zhǔn)單量子的狀態(tài)。如果攻擊者根據(jù)測(cè)量結(jié)果重新制備一個(gè)量子發(fā)送給接收方，將不可避免地改變單量子狀態(tài)，導(dǎo)致解碼結(jié)果與編碼不一致。量子密鑰分發(fā)雙方可通過(guò)檢測(cè)誤碼率來(lái)判斷攻擊行為及其強(qiáng)度，并在后處理中進(jìn)行消除。未知單量子無(wú)法精確復(fù)制。量子相干疊加（同時(shí)處于多種狀態(tài)）的特性使得不存在通用的方法獲得任意未知單量子的多個(gè)精確一致拷貝。在量子密鑰分發(fā)雙方隨機(jī)調(diào)制單量子態(tài)時(shí)，如果攻擊者試圖在截獲量子信號(hào)后復(fù)制多個(gè)拷貝，將不可避免地導(dǎo)致復(fù)制態(tài)與初始態(tài)存在偏差，進(jìn)而導(dǎo)致解碼結(jié)果與編碼不一致，量子密鑰分發(fā)雙方同樣可進(jìn)行檢測(cè)發(fā)現(xiàn)和后處理消除。以上述物理原理為基礎(chǔ)，目前對(duì)于一部分量

35、子密鑰分發(fā)協(xié)議，如： BB84、E91、MDI-QKD 協(xié)議等，已經(jīng)給出了嚴(yán)格的數(shù)學(xué)推導(dǎo)，可證明其信息理論安全性 HYPERLINK l _bookmark61 22 HYPERLINK l _bookmark61 23 HYPERLINK l _bookmark63 24 HYPERLINK l _bookmark63 25 HYPERLINK l _bookmark65 27。量子密鑰分發(fā)協(xié)議相對(duì)傳統(tǒng)密鑰分發(fā)在安全性方面有以下優(yōu)勢(shì)：量子密鑰分發(fā)的安全性基于如上所述的量子力學(xué)基本原理，不依賴于對(duì)計(jì)算復(fù)雜性的要求和假設(shè)，其安全性和理論完備性能夠得到充分保證；即使在量子計(jì)算技術(shù)成熟的條件下，其密

36、鑰分發(fā)過(guò)程也具有可靠的安全性。量子密鑰分發(fā)可以有效應(yīng)對(duì)計(jì)算技術(shù)以及量子計(jì)算飛速發(fā)展給傳統(tǒng)密碼體系帶來(lái)的嚴(yán)重威脅。典型的 QKD 系統(tǒng)模型和協(xié)議流程一個(gè)典型的點(diǎn)對(duì)點(diǎn) QKD 系統(tǒng)模型及其工作機(jī)制示意見(jiàn) HYPERLINK l _bookmark22 圖 16。可以看到，QKD 是一個(gè)通信雙方協(xié)商產(chǎn)生共享密鑰的過(guò)程。發(fā)送和接收裝置間通過(guò)量子信道和經(jīng)過(guò)認(rèn)證的經(jīng)典信道相連。量子信道用于傳輸由量子態(tài)承載的量子比特信號(hào)，可以是光纖、自由空間（包括衛(wèi)星鏈路）等物理媒介。經(jīng)典信道則用于發(fā)送方Alice 和接收方Bob 進(jìn)行基矢比對(duì)等數(shù)據(jù)后處理步驟的信息交互。這里經(jīng)典信道僅需認(rèn)證而不需加密，并且可以利用 QKD

37、 來(lái)實(shí)現(xiàn)信息理論安全的認(rèn)證。量子信道則可通過(guò)公共通信網(wǎng)絡(luò)進(jìn)行傳輸而無(wú)需擔(dān)心竊聽(tīng)者的存在，因?yàn)?Alice 和Bob 可以利用QKD 特殊的處理過(guò)程發(fā)現(xiàn)竊聽(tīng)行為。下面以 BB84 協(xié)議為例說(shuō)明 QKD 的實(shí)現(xiàn)和安全原理。協(xié)議的第一個(gè)階段是量子通信，主要步驟包括：量子態(tài)的制備（或稱編碼）、傳遞和測(cè)量（或稱解碼）。Alice 使用單光子源產(chǎn)生一個(gè)個(gè)單獨(dú)的光子（量子態(tài)的載體），經(jīng)過(guò)編碼后不斷地發(fā)送給 Bob。每個(gè)光子都是一個(gè)量子比特（Qubit），編碼著 1 比特（bit）的隨機(jī)數(shù)信息。為了保證安全，Alice 在發(fā)送這些光子時(shí)，需要隨機(jī)選擇兩種不同類型的“基”之一來(lái)進(jìn)行量子編碼處理。每類基包含兩個(gè)可

38、以互相準(zhǔn)確區(qū)分的量子態(tài),稱為相互正交的基矢。而分屬兩類基的量子態(tài)互相之間則是不能完全準(zhǔn)確區(qū)分的，稱為非正交的基矢。以光子的偏振態(tài)為例，由0, 90偏振組成的垂直正交基和由45, -45偏振組成的斜對(duì)角基就是滿足這樣條件的兩類基。在編碼時(shí)，如果需要編碼的隨機(jī)數(shù)是 0，則 Alice 隨機(jī)地制備0和-45的基矢。如果需要編碼的隨機(jī)數(shù)是 1，則 Alice 隨機(jī)地制備90和45 的基矢，接收方 Bob 在兩種可能的“基”之間選擇一種對(duì)接收到的光子進(jìn)行測(cè)量。為了保證安全，Bob 對(duì)測(cè)量基的選擇也必須是隨機(jī)的。QKD發(fā)射機(jī)QKD接收機(jī)光量子比特序列D0單光子源 量子比特編碼量子比特解碼單光子探測(cè)器D1量

39、子密鑰蒸餾量子密鑰蒸餾篩選（基矢比對(duì)）篩選（基矢比對(duì)）參數(shù)估計(jì)參數(shù)估計(jì)糾錯(cuò)糾錯(cuò)保密增強(qiáng)經(jīng)典信道保密增強(qiáng)量子信道密鑰密鑰圖 16一種典型的 QKD 系統(tǒng)和工作機(jī)制示意圖在測(cè)量完成后，量子信息就轉(zhuǎn)化為經(jīng)典信息。QKD 需要進(jìn)入下一個(gè)階段量子密鑰蒸餾（提?。?，主要步驟包括：基矢比對(duì)、參數(shù)估計(jì)、糾錯(cuò)、保密增強(qiáng)?；副葘?duì)是指Alice 和Bob 通過(guò)經(jīng)典信道公開(kāi)比對(duì)雙方在制備和測(cè)量光子時(shí)所用的基。當(dāng) Alice 和Bob 選擇了相同的基時(shí)，雙方會(huì)得到相同的信息，可用于生成密鑰。而當(dāng) Alice 和 Bob 選擇了不同的基時(shí)，則雙方所得到的信息是隨機(jī)的，應(yīng)予以丟棄。 HYPERLINK l _bookma

40、rk23 圖 17 形象地描述了基于 BB84 協(xié)議的基矢比對(duì)過(guò)程?；副葘?duì)后得到的密鑰稱為篩后密鑰（sifted key）。若竊聽(tīng)者 Eve 復(fù)制光子或者測(cè)量光子再重發(fā)給 Bob,都會(huì)改變光子狀態(tài)。此時(shí)即使 Alice 和 Bob 選擇了相同的基，雙方得到的信息也會(huì)有概率不同。也就是說(shuō)，Eve 的竊聽(tīng)將導(dǎo)致誤碼；Alice 和 Bob 可以通過(guò)統(tǒng)計(jì)篩后密鑰的誤碼率來(lái)發(fā)現(xiàn)竊聽(tīng)行為。由于Eve 的竊聽(tīng)干擾或者信道噪聲等因素，Alice 和Bob 的篩后密鑰并不一致；需要先對(duì)其糾錯(cuò)，使雙方的密鑰一致。一般需要首先在篩后密鑰中隨機(jī)選取一部分公布進(jìn)行比對(duì)，Alice 和Bob 由這一部分密鑰中的誤碼率

41、估計(jì)整個(gè)篩后密鑰的誤碼率，再選擇合適的糾錯(cuò)碼進(jìn)行糾錯(cuò)，得到一致的糾錯(cuò)后密鑰。圖 17BB84 QKD 協(xié)議基矢比對(duì)原理示意圖在糾錯(cuò)過(guò)程中可以對(duì)篩后密鑰中的誤碼率等參數(shù)進(jìn)行統(tǒng)計(jì)，這個(gè)過(guò)程稱為參數(shù)估計(jì)。利用誤碼率等參數(shù)可以估計(jì)出篩后密鑰中泄露給竊聽(tīng)者的信息量的上界。隨后，Alice 和Bob 根據(jù)所估計(jì)的泄露信息量上界選擇壓縮比例合適的泛哈希函數(shù)族，從中隨機(jī)選擇一個(gè)哈希函數(shù)對(duì)糾錯(cuò)后密鑰進(jìn)行壓縮，最終得到安全的密鑰。這個(gè)壓縮密鑰從而清除竊聽(tīng)者所掌握信息的過(guò)程稱為保密增強(qiáng) HYPERLINK l _bookmark64 25。需要指出，保密增強(qiáng)是一個(gè)通用的技術(shù)，和QKD 協(xié)議、實(shí)現(xiàn)方案無(wú)關(guān)。只要準(zhǔn)確地

42、估計(jì)出密鑰中泄露給竊聽(tīng)者的信息量上界，就可以利用保密增強(qiáng)技術(shù)壓縮密鑰并獲得安全密鑰。（二）量子密鑰分發(fā)的理論安全性QKD 協(xié)議安全性證明的目標(biāo)是證明竊聽(tīng)者 Eve 單獨(dú)對(duì)量子信道(傳輸量子態(tài)的信道）的攻擊是可被發(fā)現(xiàn)的，其通過(guò)攻擊所竊取的密鑰信息上界是可評(píng)估的。一般將 Eve 對(duì)量子信道所有可能的攻擊方式分為三類：個(gè)體攻擊、集體攻擊以及相干攻擊。個(gè)體攻擊：個(gè)體攻擊指的是 Eve 單獨(dú)攻擊每一個(gè)從發(fā)送方 Alice 發(fā)往接收方 Bob 的量子信號(hào)，并且每次攻擊的攻擊策略均相同。Eve 在Alice 和Bob 進(jìn)行基矢篩選之后、其他數(shù)據(jù)后處理過(guò)程之前對(duì)自己得到的量子信號(hào)進(jìn)行測(cè)量。集體攻擊：集體攻擊指

43、的是 Eve 單獨(dú)攻擊每一個(gè)從 Alice 發(fā)往Bob的量子信號(hào)，并且每次攻擊的攻擊策略均相同。但是 Eve 可將從攻擊中得到的量子信號(hào)利用量子存儲(chǔ)器保存下來(lái)，并在 Alice 和 Bob 的數(shù)據(jù)后處理過(guò)程之后，選擇最優(yōu)測(cè)量方式對(duì)自己保存的量子信號(hào)進(jìn)行集體測(cè)量。相干攻擊：量子物理原理容許的任何攻擊方法。實(shí)際的 QKD 系統(tǒng)只可能在發(fā)送和測(cè)量有限數(shù)量的量子態(tài)后就開(kāi)始糾錯(cuò)和保密增強(qiáng)的處理，這稱為有限碼長(zhǎng)條件。此時(shí)，對(duì)誤碼率等參數(shù)的統(tǒng)計(jì)結(jié)果就只能是對(duì)有限數(shù)量樣本的抽樣統(tǒng)計(jì)，必然存在統(tǒng)計(jì)誤差。若安全性證明中考慮了有限碼長(zhǎng)條件后，仍然可以在相干攻擊下得到安全成碼率的下界值，就認(rèn)為該協(xié)議的信息理論安全性已

44、經(jīng)得到充分證明，嚴(yán)格實(shí)現(xiàn)該協(xié)議的 QKD 設(shè)備和系統(tǒng)就具有信息理論安全性。目前，只有 BB84 協(xié)議、MDI-QKD、GG02 協(xié)議等的信息理論安全性得到了充分證明。1999 年，Shor 等人利用糾纏提純的思想首先證明了 BB84 協(xié)議在集體攻擊下的安全性 HYPERLINK l _bookmark61 22。2005 年，Renner 等人從信息論的角度證明了 BB84 協(xié)議在集體攻擊下的安全性，并給出了更優(yōu)的成碼率公式 HYPERLINK l _bookmark62 23。Renner 還利用交換不變性證明了 BB84 協(xié)議的相干攻擊并不優(yōu)于集體攻擊，更進(jìn)一步地還證明了任何一個(gè) QKD

45、協(xié)議只要滿足交換不變性，其集體攻擊就是最強(qiáng)攻擊 HYPERLINK l _bookmark66 28。2008 年，Scarani 等人給出了有限碼長(zhǎng) BB84 協(xié)議的安全性證明 HYPERLINK l _bookmark63 24。2014 年，Curty 等人證明了有限碼長(zhǎng) MDI-QKD 協(xié)議在集體攻擊下的安 HYPERLINK l _bookmark65 全性27。由于 MDI-QKD 協(xié)議具有交換不變性，因此其信息理論安全性就此得到證明。上面提到的BB84 協(xié)議和MDI-QKD 協(xié)議均為 DV-QKD 協(xié)議。關(guān)于 CV-QKD 協(xié)議，則只有 2002 年法國(guó)學(xué)者F. Grosshan

46、s 和P. Grangier 提出的高斯調(diào)制相干態(tài)協(xié)議GG02 HYPERLINK l _bookmark67 協(xié)議29，于 2017 年由Anthony Leverrier 證明了有限碼長(zhǎng)條件下其外差檢測(cè)實(shí)現(xiàn)方案在相干攻擊下的安全性 HYPERLINK l _bookmark68 30。（三）量子密鑰分發(fā)的實(shí)際安全性需要指出，上述的 QKD 安全性證明都基于理想的 QKD 協(xié)議實(shí)現(xiàn)模型。實(shí)際條件下的 QKD 系統(tǒng)所使用的實(shí)際器件的性能和理想模型的設(shè)定是存在差異的，這帶來(lái)了一些另外的安全威脅。對(duì)于實(shí)際條件下 QKD 系統(tǒng)面臨的安全威脅，在學(xué)術(shù)界已經(jīng)有比較充分的研究，對(duì)于已發(fā)現(xiàn)的安全威脅全部都具

47、有相應(yīng)的有效易行的防御措施。中國(guó)通信標(biāo)準(zhǔn)化協(xié)會(huì)量子通信和信息技術(shù)特設(shè)任務(wù)組（CCSA-ST7）發(fā)布的量子密鑰分發(fā)安全性研究報(bào)告以及歐洲電信標(biāo)準(zhǔn)研究院（ETSI） 發(fā) 布 的 白 皮 書(shū) ImplementSecurityofQuantumCryptography: Introduction, challenges, solutions分別對(duì) QKD 實(shí)際安全性的研究進(jìn)行了總結(jié)，為進(jìn)一步深入分析 QKD 實(shí)際安全性，并形成安全性標(biāo)準(zhǔn)打下了良好的基礎(chǔ)。具體地，這里將實(shí)際 QKD 系統(tǒng)面臨的安全威脅及其防御措施總結(jié)在附錄 1 中。一般地說(shuō)，當(dāng) QKD 使用的實(shí)際器件和理論模型差異比較小時(shí)，總可以通過(guò)

48、修正成碼率的估算公式，并通過(guò)保密增強(qiáng)來(lái)消除安全性威脅。當(dāng)差異過(guò)大時(shí)，特別是有可能這種差異是會(huì)被竊聽(tīng)者通過(guò)某種攻擊方式加以擴(kuò)大，以至于成碼率下降到不可接受的地步，可以通過(guò)增加額外的防護(hù)措施， 來(lái)限制攻擊效果，控制偏差在適當(dāng)大小內(nèi)，進(jìn)一步再通過(guò)保密增強(qiáng)來(lái)徹底消除安全威脅。同時(shí)，QKD 協(xié)議和方案的改進(jìn)，會(huì)減少實(shí)際 QKD 系統(tǒng)受到的安全威脅。比如，目前廣泛使用的誘騙態(tài)方案消除了由于單光子源不理想導(dǎo)致的光子數(shù)分離攻擊這一安全威脅，大大推進(jìn)了 QKD 技術(shù)的實(shí)用化。MDI-QKD 協(xié)議從理論上消除了所有針對(duì)探測(cè)設(shè)備的安全性攻擊，且在當(dāng)前的技術(shù)水平下已經(jīng)可以很好地實(shí)現(xiàn)，具備很強(qiáng)的實(shí)用性，已經(jīng)成為 QKD

49、 近期發(fā)展的熱點(diǎn)。四、量子保密通信網(wǎng)絡(luò)架構(gòu)及關(guān)鍵技術(shù)目前，量子保密通信網(wǎng)絡(luò)（或稱為 QKD 網(wǎng)絡(luò)）主要是指以大量 QKD 設(shè)備及鏈路為物理基礎(chǔ)、以提供高安全的密鑰分發(fā)服務(wù)為主要業(yè)務(wù)的新型網(wǎng)絡(luò)。經(jīng)過(guò)三十余年的發(fā)展，點(diǎn)對(duì)點(diǎn) QKD 技術(shù)，特別是基于光量子制備-測(cè)量機(jī)制的 QKD 技術(shù)，從協(xié)議設(shè)計(jì)、產(chǎn)品研發(fā)、網(wǎng)絡(luò)部署到演示應(yīng)用都取得了長(zhǎng)足的進(jìn)步。然而，構(gòu)建可提供廣泛靈活服務(wù)的 QKD 網(wǎng)絡(luò)，仍然面臨來(lái)自量子器件、組網(wǎng)技術(shù)、部署成本、應(yīng)用需求等多方面的挑戰(zhàn)，需要多專業(yè)的融合創(chuàng)新。（一）量子保密通信網(wǎng)絡(luò)的演進(jìn)將點(diǎn)對(duì)點(diǎn)的 QKD 技術(shù)擴(kuò)展為多用戶的 QKD 網(wǎng)絡(luò)，以實(shí)現(xiàn)多用戶間的保密通信，例如多方的量子加

50、密電話或視頻會(huì)議，才能充分發(fā)揮 QKD 的應(yīng)用潛力。網(wǎng)絡(luò)化是 QKD 技術(shù)走向?qū)嵱没年P(guān)鍵，一直以來(lái)受到各國(guó)研究機(jī)構(gòu)和產(chǎn)業(yè)界的廣泛關(guān)注。 HYPERLINK l _bookmark28 如圖 18 所示，美國(guó)的 DARPA 試驗(yàn)網(wǎng)，作為全球首個(gè) QKD 網(wǎng)絡(luò)，率先提出了 QKD 組網(wǎng)的基本思想 HYPERLINK l _bookmark69 31；歐洲的 SECOQC 試驗(yàn)網(wǎng)，基于可信中繼技術(shù)試圖構(gòu)建面向商業(yè)用戶的網(wǎng)絡(luò) HYPERLINK l _bookmark70 32；日本的東京 QKD 網(wǎng)絡(luò)，設(shè)計(jì)了新穎的密鑰提供平臺(tái)，試圖拓展更廣泛的業(yè)務(wù)應(yīng)用 HYPERLINK l _bookmark7

51、1 33；我國(guó)的星地一體QKD 網(wǎng)絡(luò)，則以構(gòu)建由洲際衛(wèi)星鏈路、光纖骨干網(wǎng)、城域接入網(wǎng)組成的全球廣域量子保密通信網(wǎng)絡(luò)為目標(biāo)。除此之外，韓國(guó)、加拿大、俄羅斯等國(guó)家均在研發(fā)、計(jì)劃部署或者已經(jīng)部署了 QKD 網(wǎng)絡(luò)。同時(shí)，QKD 組網(wǎng)理念和技術(shù)仍在不斷演進(jìn)，例如基于軟件定義網(wǎng)絡(luò)（SDN）思想的 SD-QKD 網(wǎng)絡(luò)，希望利用 SDN 技術(shù)實(shí)現(xiàn) QKD 網(wǎng)絡(luò)的靈活組網(wǎng)和管理。2018 年 6 月,西班牙電信、華為和 UPM 大學(xué)在馬德里進(jìn)行了首次SD-QKD 網(wǎng)絡(luò)外場(chǎng)試 HYPERLINK l _bookmark72 驗(yàn)34。圖 18全球典型 QKD 網(wǎng)絡(luò)的發(fā)展（二）量子保密通信網(wǎng)絡(luò)需求和架構(gòu)設(shè)計(jì)目前來(lái)看，

52、QKD 網(wǎng)絡(luò)的實(shí)現(xiàn)方案可以分為三類：基于光開(kāi)關(guān)或無(wú)源光器件：基于有源的光開(kāi)關(guān)或者無(wú)源的光分路器、波分復(fù)用器，實(shí)現(xiàn)多路量子信道的時(shí)分/波分復(fù)用，以支持多用戶的 QKD網(wǎng)絡(luò)。這種方案無(wú)法突破量子通信鏈路損耗造成的傳輸距離限制（實(shí)際部署中約為 80100 公里），不具有可擴(kuò)展性；基于可信中繼：首先將點(diǎn)對(duì)點(diǎn) QKD 鏈路生成的密鑰緩存在可信中繼節(jié)點(diǎn)中，然后將用戶所需的端到端密鑰，利用多跳鏈路密鑰以 OTP 加密方式逐跳進(jìn)行傳遞，以實(shí)現(xiàn)高安全的端到端密鑰分發(fā)。該方案可以突破 QKD 鏈路傳輸距離限制，但要求密鑰傳輸?shù)闹欣^節(jié)點(diǎn)必須可信；基于量子中繼：利用量子態(tài)的存儲(chǔ)、轉(zhuǎn)發(fā)等技術(shù)實(shí)現(xiàn)量子糾纏等量子態(tài)的遠(yuǎn)距離

53、分發(fā)。該技術(shù)無(wú)需中繼節(jié)點(diǎn)可信，但目前仍處于理論研究階段?，F(xiàn)有的 QKD 網(wǎng)絡(luò)試驗(yàn)部署通常采用前兩種方案，但目前尚無(wú)統(tǒng)一、標(biāo)準(zhǔn)化的 QKD 網(wǎng)絡(luò)架構(gòu)。QKD 網(wǎng)絡(luò)設(shè)計(jì)需求QKD 網(wǎng)絡(luò)作為一種提供密鑰分發(fā)服務(wù)的通信網(wǎng)絡(luò)，具備類似經(jīng)典通信網(wǎng)絡(luò)的特征，即同樣由大量的信號(hào)調(diào)制、發(fā)射、接收、檢測(cè)、后處理等通信功能模塊組成。因此，其必須滿足通信網(wǎng)絡(luò)部署所需要的靈活擴(kuò)展、成本經(jīng)濟(jì)、兼容互通等基本需求。另外，QKD 網(wǎng)絡(luò)所提供的服務(wù)與經(jīng)典通信系統(tǒng)不同，是隨機(jī)的密鑰而非有序的信息。因此，QKD 網(wǎng)絡(luò)還需要滿足密碼服務(wù)的各種特殊需求。綜合考慮通信網(wǎng)絡(luò)建設(shè)運(yùn)營(yíng)和保密通信服務(wù)兩方面要求，QKD 網(wǎng)絡(luò)架構(gòu)的總體需求包括如

54、下 7 個(gè)方面 HYPERLINK l _bookmark73 35：可擴(kuò)展性：可實(shí)現(xiàn)通過(guò) QKD 網(wǎng)絡(luò)相連的任意兩節(jié)點(diǎn)間的信息理論安全密鑰分發(fā)； 可靈活支持廣域組網(wǎng)所需的骨干、城域、接入等多種網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)； 可根據(jù)業(yè)務(wù)需求變化進(jìn)行靈活、經(jīng)濟(jì)地?cái)U(kuò)容升級(jí)和重配置；高效性：可根據(jù)用戶需求和網(wǎng)絡(luò)負(fù)載的變化，靈活選擇密鑰的傳輸路徑，調(diào)度網(wǎng)絡(luò)物理資源，提供高效地密鑰輸出容量和性能，可滿足各類用戶業(yè)務(wù)要求的密鑰帶寬、時(shí)延等性能要求；生存/可用性：在某些鏈路或節(jié)點(diǎn)出現(xiàn)故障時(shí)，可實(shí)現(xiàn)快速故障定位和恢復(fù)，保證業(yè)務(wù)連續(xù)性，不影響用戶體驗(yàn)；用靈活性：可為上層 ICT 應(yīng)用提供靈活開(kāi)放的密鑰服務(wù)集成方案和方便易用的可

55、編程應(yīng)用接口（API）；差異化策略控制：網(wǎng)絡(luò)可根據(jù)不同用戶的特定安全等級(jí)及業(yè)務(wù)需求，提供差異化的密鑰服務(wù)質(zhì)量管理，并提供多種靈活計(jì)費(fèi)方式；安全性：采用安全可靠的 QKD 協(xié)議及收發(fā)機(jī)設(shè)計(jì)，具備嚴(yán)格的理論安全性證明，可防御各種已知的量子層安全威脅；密碼技術(shù)的使用應(yīng)符合相關(guān)安全標(biāo)準(zhǔn)和認(rèn)證；密鑰中繼節(jié)點(diǎn)能保證無(wú)人值守下的可靠安全運(yùn)行； 具備完整的入侵檢測(cè)、安全防御等功能和措施；互操作能力：支持來(lái)自不同設(shè)備生產(chǎn)商的 QKD 設(shè)備及組網(wǎng)設(shè)備，實(shí)現(xiàn)異廠商設(shè)備互操作能力。QKD 網(wǎng)絡(luò)架構(gòu)設(shè)計(jì)方案參考現(xiàn)有 QKD 網(wǎng)絡(luò)設(shè)計(jì)方案，結(jié)合上述網(wǎng)絡(luò)需求，這里給出一種 QKD 網(wǎng)絡(luò)架構(gòu)的參考設(shè)計(jì)方案 HYPERLINK

56、 l _bookmark74 36，如 HYPERLINK l _bookmark30 圖 19 所示。圖 19 量子保密通信網(wǎng)絡(luò)參考架構(gòu)為實(shí)現(xiàn)點(diǎn)對(duì)點(diǎn) QKD 向多用戶 QKD 網(wǎng)絡(luò)的擴(kuò)展，需在 QKD 信號(hào)發(fā)射機(jī)（Q-Tx）和 QKD 信號(hào)接收機(jī)（Q-Rx）的基礎(chǔ)上，增加量子密鑰管理（quantum key management，QKM）功能，以構(gòu)成基本的 QKD 網(wǎng)絡(luò)節(jié)點(diǎn)，實(shí)現(xiàn)量子密鑰的控制、管理或中繼轉(zhuǎn)發(fā)等功能?；谀壳暗?QKD 技術(shù)水平，QKD 網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)光纖連接組成 QKD 網(wǎng)絡(luò)是其組網(wǎng)的主要方式，基于衛(wèi)星等自由空間信道的 QKD 鏈路將作為特殊場(chǎng)景下的輔助組網(wǎng)手段。從 QKD

57、網(wǎng)絡(luò)功能和節(jié)點(diǎn)配置角度出發(fā)，將 QKD 網(wǎng)絡(luò)劃分為量子骨干網(wǎng)（quantum backbone network，QBB）和量子接入網(wǎng)（quantum access network，QAN）兩部分。QBB 由遠(yuǎn)距離、大容量的 QKD 骨干線路組成，負(fù)責(zé)連接多個(gè)城域網(wǎng)組成更大規(guī)模的廣域網(wǎng)絡(luò)，通常采用環(huán)形或 Mesh 組網(wǎng)結(jié)構(gòu)以保證其健壯性。QAN 負(fù)責(zé)將大量的用戶節(jié)點(diǎn)鏈路匯聚接入骨干網(wǎng)，在網(wǎng)絡(luò)末梢通常采用星型組網(wǎng)結(jié)構(gòu)。這里將 QKD 網(wǎng)絡(luò)節(jié)點(diǎn)分為用戶節(jié)點(diǎn)（Q-UN）、接入節(jié)點(diǎn)（Q-AN）、中繼節(jié)點(diǎn)（Q-RN）三類。QKD 用戶節(jié)點(diǎn)可直接與 QKD 接入節(jié)點(diǎn)相連接入 QKD 網(wǎng)絡(luò)，也可通過(guò)光開(kāi)關(guān)等信

58、道復(fù)用裝置（Quantum channel multiplexer, Q-Mux）接入，以實(shí)現(xiàn)多路 QKD 用戶信號(hào)的復(fù)用，降低對(duì)接入節(jié)點(diǎn)側(cè) QKD 接收機(jī)的需求。然后，通過(guò)多個(gè) QKD 中繼節(jié)點(diǎn)組成的 QBB 骨干鏈路，實(shí)現(xiàn)遠(yuǎn)距離的密鑰中繼。由 QKD 用戶節(jié)點(diǎn)、接入節(jié)點(diǎn)、中繼節(jié)點(diǎn)連接組成的多跳路徑，構(gòu)成了端到端的量子密鑰傳輸通道。該通道通過(guò)逐跳生成的量子密鑰進(jìn)行一次性密碼本（OTP）方式的加密傳輸，即可實(shí)現(xiàn)網(wǎng)絡(luò)中的任意兩個(gè)用戶節(jié)點(diǎn)之間高安全的密鑰分發(fā)。QKD 節(jié)點(diǎn)兩兩之間的通信涉及到三類邏輯接口，包括 Q-Tx 與Q-Rx 之間的量子接口（Q1）和密鑰協(xié)商接口（K1），QKM 之間的密鑰中

59、繼接口（K2）。Q-Tx 與 Q-Rx 之間通過(guò) Q1 接口實(shí)現(xiàn)收發(fā)機(jī)之間的量子信號(hào)同步、量子比特信息的發(fā)送和探測(cè)；通過(guò) K1 接口實(shí)現(xiàn) QKD 的基矢比對(duì)、竊聽(tīng)檢測(cè)、密鑰糾錯(cuò)、保密增強(qiáng)等功能以生成安全的量子密鑰；通過(guò) K2 接口進(jìn)行全局密鑰（用戶間的共享對(duì)稱密鑰）的中繼傳輸。Q1 接口必須承載在基于光纖或衛(wèi)星鏈路的量子信道上，K1 和K2 接口則可通過(guò)經(jīng)典通信信道承載。注意這里的量子信道可通過(guò)波分復(fù)用技術(shù)與經(jīng)典光通信網(wǎng)絡(luò)共用現(xiàn)有的光纖資源，由于這種部署方式對(duì)于 QKD 網(wǎng)絡(luò)是透明的，不涉及功能和協(xié)議影響，因此并未在該參考架構(gòu)中體現(xiàn)。為高效實(shí)現(xiàn)QKD 網(wǎng)絡(luò)的管理和控制，考慮當(dāng)前網(wǎng)絡(luò)SDN 化的

60、演進(jìn)趨勢(shì)， 這里在網(wǎng)絡(luò)架構(gòu)中引入 QKD 網(wǎng)絡(luò)控制器（QKD network controller，Q-NC），負(fù)責(zé)網(wǎng)絡(luò)節(jié)點(diǎn)的鑒權(quán)認(rèn)證，密鑰服務(wù)的資源管理、業(yè)務(wù)策略控制等功能。Q-NC 目前主要由 QKD 密鑰服務(wù)管理中心（Q-KMS）、鑒權(quán)中心（Q-AuC）、策略控制中心（Q-PCRF）三部分功能模塊組成。Q-NC 與網(wǎng)絡(luò)中的各 QKD 中繼節(jié)點(diǎn)及接入節(jié)點(diǎn)通過(guò) M1 接口相連，收集各節(jié)點(diǎn)的狀態(tài)及請(qǐng)求消息， 并下發(fā)相應(yīng)的控制指令。具體的，其將通過(guò) Q-AuC 連接實(shí)現(xiàn)用戶節(jié)點(diǎn)的鑒權(quán)認(rèn)證，通過(guò) Q-KMS 完成密鑰中繼過(guò)程中的資源調(diào)度和路徑選擇，通過(guò)Q-PCRF 根據(jù)量子網(wǎng)絡(luò)運(yùn)營(yíng)商（quantu