量子密鑰分發(fā)（QKD）網(wǎng)絡(luò) Kq接口技術(shù)要求

3本文件規(guī)定了量子密鑰分發(fā)(QKD)網(wǎng)絡(luò)中密鑰管理器(KM)與QKD設(shè)備間Kq-1和Kq-2接口的技術(shù)要求，包括接口的操作要求、通信方式、業(yè)務(wù)交互流程、基本安全要求、接口功能和接口消息說明。本文件適用于量子密鑰分發(fā)(QKD)網(wǎng)絡(luò)中Kq接口的設(shè)計與開發(fā)。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件。僅該日期對應(yīng)的版本適用于本文件：不注日期的引用文件，其最新版本(包括所有的慘改單)適用于本文件。GB/T32905-2016信息安全技術(shù)SM3密碼雜湊算法GB/T32907-2016信息安全技術(shù)SM4分組密碼算法GB/T32915-2016信息安全技術(shù)二元序列隨機性檢測GB/T43692-2024量子通信術(shù)語和定義YD/T4301-2023量子保密通信網(wǎng)絡(luò)架構(gòu)distributionnetwoSecuritytechniquesHash-funetionsPart3:Dedicated3術(shù)語和定義GB/T43692-2024界定的以及下列術(shù)語和定義適用于本文件。量子密鑰分發(fā)-密鑰QKD-key由一對量子密鑰分發(fā)(QKD)模組生成的對稱隨機比特序列，該序列可由QKD模組輸出到密鑰管理器中進行長度調(diào)整和格式編排。量子密鑰分發(fā)模組quantumkeydistributiondevice用于實現(xiàn)量子密鑰分發(fā)(QKD)所需的量子光學(xué)過程(包括QKD協(xié)議、同步、密鑰提取等)和密碼學(xué)功能的軟硬件系統(tǒng)。4量子密鑰分發(fā)鏈路quantumkeydistributionlink兩個量子密鑰分發(fā)(QKD)模塊之間的通信鏈路密鑰管理器keymanager;KM量子密鑰分發(fā)(QKD)節(jié)點中用于實現(xiàn)密鑰管理層的密鑰管理功能的網(wǎng)元。密鑰管理鏈路keymanagerlink密鑰管理器(KM)之間進行互聯(lián)的通信鏈路。量子密鑰分發(fā)網(wǎng)絡(luò)控制器quantumkeydistributionnetworkcontroller量子密鑰分發(fā)(QKD)網(wǎng)絡(luò)控制層中用于實現(xiàn)QKD網(wǎng)絡(luò)控制功能的網(wǎng)元。量子信道quantumchannel傳輸量子信號的信道。經(jīng)典信道classicalchannel傳輸經(jīng)典信號的信道。5一種將離散型特征向量化的方法，該方法將每個特征與一個布爾值相關(guān)聯(lián)，其中只有一個是真 (hot),其他的均為假(cold)。對于離散特征，經(jīng)過編碼后可用向量的形式進行計算和比較，便于算法處理。下列縮略語適用于本文件。HTTPS:超文本傳輸協(xié)議安全(HyperTextTransferProtocolSecure)KMA:密鑰管理代理(KeyManagementAgent)QKD:量子密鑰分發(fā)(QuantumQKD-key:量子密鑰分發(fā)-密鑰(QuantumKeyDistribution-key)QKDN:量子密鑰分發(fā)網(wǎng)絡(luò)(QuantumKeyDistributionNetwork)TCP:傳輸控制協(xié)議(TransmissionControlProtocol)5QKD網(wǎng)絡(luò)Kq-1和Kq-2接口參考點遵循YD/T4301-2023第5章，量子保密通信網(wǎng)絡(luò)功能架構(gòu)模型見圖1。在量子層，由通過QKD鏈路相連的QKD模組執(zhí)行QKD協(xié)議生成QKD-key。在密鑰管理層，由密鑰管理器(KM)接收和管理QKD模組輸出的QKD-key,可通過密鑰中繼等操作，為通信雙方提供共享的對稱密鑰。在應(yīng)用層中，通信兩端可利用QKD網(wǎng)絡(luò)提供的共享密鑰，實現(xiàn)基于QKD的應(yīng)用。KM通過Kq-1接口和Kq-2接口完成與QKD模組的交互。女Z 圖1量子保密通信網(wǎng)絡(luò)功能架構(gòu)模型6QKD網(wǎng)絡(luò)Kq-1和Kq-2接口通用技術(shù)要求6.1操作要求Kq-1接口是連接密鑰管理層的KMA與量子層的QKD-key提供功能模塊的參考點，負(fù)責(zé)傳輸QKD-key輸出功能模塊生成的密鑰。Kq-2接口是連接密鑰管理層KM管控單元與量子層的QKD模組管控單元的參考點，負(fù)責(zé)傳輸KM對OKD模組的各類管理與控制操作指令，同時接收由QKD模組返回的QKD鏈路、QKD模組參數(shù)及狀態(tài)等信息。表1對Kq-1接口和Kq-2接口可包含的操作進行分類。土二一一一一對命令的響應(yīng)結(jié)果。8Kq-1接口遵循ITU-TQ.4162,包括主動式密鑰提供模式和按需密鑰提供模式兩類，見7.2和7.3。本節(jié)中定義的消息和參數(shù)與特定的協(xié)議無關(guān)，并且可以有不同的實現(xiàn)方式。Kq-1接口中QKD模組入網(wǎng)認(rèn)證、KM從QKD模組獲取QKD-key的傳輸幀接口的消息格式宜滿足8.3。QKD模組入網(wǎng)認(rèn)證見8.4;KM從QKD模組獲取QKD-key的傳輸幀格式見74。7.2主動式密鑰提供模式的消息和參數(shù)7.2.1密鑰提供消息密鑰提供消息由QKD模組發(fā)送至同QKD節(jié)點的KM。在此過程中，QKD模組會通過該消息向KM提供一個唯一的QKD-key的ID,以標(biāo)識和傳輸QKD-key。密鑰提供消息的參數(shù)見表2。MV一(Alice或Bob)0000 0一0“表格的M/0列，M表示該參數(shù)對于信令來說是強制的，0表示該參數(shù)對于信令來說是可選的。7.2.2密鑰提供消息的響應(yīng)密鑰提供消息響應(yīng)是KM在接收到密鑰提供消息后，作為響應(yīng)發(fā)送給QKD模組的消息。通過此消息，KM向QKD模組通知OKD-key的接收結(jié)果。響應(yīng)密鑰提供消息的參數(shù)見表3。MCAlice或Bob)0 0 9M0表格的W/0列，M表示該參數(shù)對于信令來說是強制的，7.3按需密鑰提供模式的消息和參數(shù)7.3.1密鑰請求消息密鑰請求消息是從KM發(fā)送到QKD模組以請求QKD-key的消息。密鑰請求消息的參數(shù)見表4。000 表格的M/0列，M表示該參數(shù)對于信令來說是強制的，7.3.2密鑰請求消息的響應(yīng)密鑰請求消息的響應(yīng)是從QKD模組發(fā)送到KM,作為對密碼應(yīng)用程序的密鑰請求的響應(yīng)。QKD模組向密碼應(yīng)用程序提供所請求的QKD-key。響應(yīng)密鑰請求消息的參數(shù)見表5。M一M一M0一M一0一表格的MW/0列，M表示該參數(shù)對于信令來說是強制的，QKD模組向KM發(fā)送QKD-key傳輸幀，QKD-key傳輸幀可在7.2或7供的密鑰數(shù)據(jù))內(nèi)進行承載。QKD-key傳輸幀中數(shù)據(jù)類型定義符合附錄A.1。表6QKD-key傳輸幀12214422444242密鑰長度N,單位是字節(jié)，最大值不超過62N采用SU4.SM4符合GB/T32907-2016符合GB/T32905-2016.IS0/TEC1011KM向QKD模組返回QKD-key傳輸響應(yīng)幀，QKD-key傳輸響應(yīng)幀可在7.2的消息中Response字段(QKD-key接收結(jié)果)內(nèi)進行承載。QKD-key傳輸響應(yīng)幀中數(shù)據(jù)類型定義符合附錄A.1.122144224442428Kq-2接口技術(shù)要求Kq-2接口按6.1的操作要求，可包括：——QKD模組入網(wǎng)認(rèn)證，含1類消息及其響應(yīng)，見8.4;—-KM與QKD模組之間心跳檢測，含2類消息及其響應(yīng)，見8.5;—-KM對QKD模組經(jīng)典信道控制，含4類消息及其響應(yīng)，見8.6;——KM對QKD模組啟動/停止控制。含2類消息及其響應(yīng)，見8.7;—-QKD模組對KM上報異常，含1類消息及其響應(yīng)，見8.8;—-KM對QKD模組的信息查詢，含3類消息及其響應(yīng)，見8.9。8.2Kq-2接口功能要求8.2.1QKD模組入網(wǎng)認(rèn)證QKD模組入網(wǎng)的觸發(fā)的條件包括，但不僅限于以下條件—QKD模組上電，網(wǎng)絡(luò)連接成功：—QKD模組重啟后網(wǎng)絡(luò)連接成功后：—QKD模組運行過程中，網(wǎng)絡(luò)斷開連接并重新連接成功。針對連接的每個QKD模組，須分別預(yù)置KM與QKD模組之間的互通密鑰，預(yù)置須在KM與QKD模組進入工作狀態(tài)前完成，可采用離線預(yù)置或在線預(yù)置方式?；ネ荑€包括，且不僅限于：—傳輸保護密鑰，即QKD-key分發(fā)流程中用于保護QKD-key的密鑰：——報文認(rèn)證密鑰，即入網(wǎng)認(rèn)證流程和QKD-key輸出流程中進行報文認(rèn)證?；ネ荑€使用時，除加密功能外，應(yīng)至少具有抵御重放攻擊的能力QKD模組啟動成功后，將按策略自動入網(wǎng)認(rèn)證，或按應(yīng)用需求(業(yè)務(wù)應(yīng)用或密鑰中繼節(jié)點通過Ak——若QKD模組入網(wǎng)認(rèn)證成功，KM與QKD模組可啟動心跳檢測機制：——若QKD模組入網(wǎng)認(rèn)證失敗，KM及QKD模組將通過接口獲得錯誤信息，并不再做本調(diào)用的后續(xù)工作。8.2.2KM對QKD模組啟動停止控制在KM和QKD模組都上電正常、網(wǎng)絡(luò)連接正常條件下，KM對QKD模組可開展啟動或停止的接口控制，以滿足控制調(diào)度等需要。設(shè)備在線狀態(tài)監(jiān)測主要是通過心跳檢測來判斷。QKD模組離網(wǎng)的觸發(fā)的條件包括，且不僅限于以下條件：—QKD模組下電：—QKD模組重啟后網(wǎng)絡(luò)連接失?。骸猀KD模組運行過程中，網(wǎng)絡(luò)斷鏈并重新連接失?。?.2.3KM對QKD模組經(jīng)典信道控制QKD模組通過經(jīng)典信道完成QKD-key分發(fā)過程中的經(jīng)典信息交互和協(xié)商，KM對QKD模組的經(jīng)典信道控制，主要用于控制數(shù)據(jù)的輸入，以及控制響應(yīng)數(shù)據(jù)和狀態(tài)信息等的輸出。經(jīng)典信道可采用以太網(wǎng)等IP網(wǎng)絡(luò)通信鏈路。遵循YD/T4301-2023,KM向QKD模組的經(jīng)典信道控制一般受QKDN控制器的管理也與應(yīng)用層通過密鑰生成接口(在Ak接口中定義)的密鑰輸出需求有關(guān)。KM對QKD模組經(jīng)典信道的控制指令主要包括網(wǎng)絡(luò)監(jiān)聽、網(wǎng)絡(luò)狀態(tài)上報、網(wǎng)絡(luò)鏈接控制、網(wǎng)絡(luò)斷開。經(jīng)典信道控制指令應(yīng)包括QKD模組的唯一標(biāo)識碼，KM以QKD模組唯一標(biāo)識碼進行目標(biāo)的關(guān)聯(lián)與識別管a)網(wǎng)絡(luò)監(jiān)聽：KM首先向QKD模組經(jīng)典信道的服務(wù)器端發(fā)送監(jiān)聽命令，若監(jiān)聽成功后，開展后續(xù)經(jīng)典信道控制工作；若監(jiān)聽不成功，則不開展后續(xù)工作。b)網(wǎng)絡(luò)鏈接控制：KM向QKD模組客戶端發(fā)送連接QKD模組服務(wù)器端的網(wǎng)絡(luò)鏈接控制命令。QKD模組客戶端與QKD模組服務(wù)器端鏈接成功后向KM返回鏈接成功響應(yīng)。QKD模組服務(wù)器端監(jiān)測到OKD模組客戶端的網(wǎng)絡(luò)鏈接成功后，主動向KM上報鏈接成功狀態(tài)。e)網(wǎng)絡(luò)斷開：KM應(yīng)向QKD模組客戶端和服務(wù)器端分別發(fā)送網(wǎng)絡(luò)斷開命令，QKD模組客戶端和服務(wù)器端完成經(jīng)典信道斷開操作后，兩端分別向KM反饋網(wǎng)絡(luò)斷開狀態(tài)8.2.4KM與QKD模組之間心跳檢測心跳檢測主要用于檢查KM與QKD模組之間網(wǎng)絡(luò)接口通信是否正常，便于控制及維護。為了提高對于通信鏈路掉線的感知靈敏度，接口雙方采用雙心跳機制，分別為主心跳檢測與從心跳檢測。心跳檢測的超時處理均由主心跳、從心跳的主動方完成。a)主心跳用于系統(tǒng)間運行狀態(tài)的共享，與網(wǎng)絡(luò)環(huán)境有關(guān)靈敏度相對低，心跳頻率可相對設(shè)定較低主心跳由KM發(fā)起b)從心跳用于系統(tǒng)間網(wǎng)絡(luò)拓?fù)涿鞔_的通信鏈路的掉線檢測，靈敏度高，心跳頻率可相對設(shè)定較高。從心跳檢測便于通信鏈路的斷開的快速感知，從而達(dá)到快速恢復(fù)。從心跳由QKD模組發(fā)起。8.2.5KM對QKD模組的信息查詢+088請求發(fā)起生成序列號，增長到最大值后重新請求序列號一致表9消息類型定義QKD模組向KM發(fā)送入網(wǎng)認(rèn)證請求幀，長度40字節(jié)，見表10。122144224246248.4.2QKD模組入網(wǎng)認(rèn)證響應(yīng)幀122144224248.5心跳檢測消息8.5.1主心跳檢測請求幀KM向QKD模組發(fā)送主心跳檢測請求幀，長度22字節(jié)，見表12。表12主心跳檢測請求領(lǐng)1221442248.5.2主心跳檢測響應(yīng)幀表13主心跳檢測響應(yīng)幀12214422428.5.3從心跳檢測請求幀QKD模組向KM發(fā)送從心跳檢測請求幀，長度22字節(jié)，見表14。表14從心跳檢測請求幀1221442248.5.4從心跳檢測響應(yīng)幀表15從心跳檢測響應(yīng)幀12214KM標(biāo)識42248.6KM對QKD模組經(jīng)典信道控制消息8.6.1網(wǎng)絡(luò)監(jiān)聽命令幀表16網(wǎng)絡(luò)監(jiān)聽命令幀122144224由KV產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識444QKD模組后處理IP地址。若無此IP地址48.6.2網(wǎng)絡(luò)監(jiān)聽響應(yīng)幀表17網(wǎng)絡(luò)監(jiān)聽響應(yīng)幀122144224428.6.3網(wǎng)絡(luò)狀態(tài)上報請求幀QKD模組向KM發(fā)送網(wǎng)絡(luò)狀態(tài)上報請求幀，長度28字節(jié)，見表18。表18網(wǎng)絡(luò)狀態(tài)上報請求幀122144224428.6.4網(wǎng)絡(luò)狀態(tài)上報響應(yīng)幀KM向QKD模組返回網(wǎng)絡(luò)狀態(tài)上報響應(yīng)幀，長度28字節(jié)，見表19。表19網(wǎng)絡(luò)狀態(tài)上報響應(yīng)幀122144224428.6.5網(wǎng)絡(luò)鏈接命令幀KM向QKD模組發(fā)送網(wǎng)絡(luò)鏈接命令幀，長度42字節(jié)，見表20。表20網(wǎng)絡(luò)鏈接命令幀2214KM標(biāo)識422444QKD模組前端處理及后端處理IP地址，前24QKD模組后處理IP地址。若無此地址，本24由M產(chǎn)生，0KD模組在進行QKD-key傳輸時攜帶該8.6.6網(wǎng)絡(luò)鏈接響應(yīng)幀表21網(wǎng)絡(luò)鏈接響應(yīng)幀122144224428.6.7網(wǎng)絡(luò)斷開命令幀表22網(wǎng)絡(luò)斷開命令幀12214KM標(biāo)識4224由KM產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識48.6.8網(wǎng)絡(luò)斷開響應(yīng)幀QKD模組向KM返回網(wǎng)絡(luò)斷開響應(yīng)幀，長度28字節(jié)，見表23。表23網(wǎng)絡(luò)斷開響應(yīng)幀12214422442網(wǎng)絡(luò)斷開成功0x0000:網(wǎng)絡(luò)斷開失敗0x0001KM向QKD模組發(fā)送QKD啟動命令幀，長度32字節(jié)，見表24、表25。表24QKD模組啟動命令幀122144224由KM產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識424若僅對QKD模組鏈路1進行控制，則對應(yīng)的鏈路編碼值為0x0001:若對QKD和QKD模組鏈路2進行控制，則對應(yīng)的鏈路編碼值為0x0003QKD模組向KM返回QKD模組啟動響應(yīng)幀，長度30字節(jié)，見表26、表27。122144224由KM產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識42工作模式0x0000:自檢模式0x0002于多狀態(tài)同時上報KM向QKD模組發(fā)送QKD模組停止命令幀122442244QKD模組向KM返回QKD模組停止響應(yīng)幀，長度2表29QKD模組停止響應(yīng)幀12214422442狀態(tài)同時上報8.8QKD模組異常處理消息QKD模組向KM發(fā)送QKD模組異常處理請求幀，長度28字節(jié)表31QKD模組異常處理請求幀12214422442異常同時上報KM向QKD模組返回QKD模組異常處理響應(yīng)幀12214KM標(biāo)識4224由產(chǎn)生。代表QKD模組控制過程的唯一標(biāo)識428.9QKD模組信息查詢消息KM向QKD模組發(fā)送QKD模組屬性查詢幀，長度22字節(jié)，見表34。表34QKD模組屬性查詢幀12214KM標(biāo)識4224QKD模組向KM返回QKD模組屬性查詢響應(yīng)幀，長度44字節(jié)，見表35。122144224由KM產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識28.9.3QKD模組狀態(tài)查詢幀KM向QKD模組發(fā)送QKD模組狀態(tài)查詢幀，長度22字節(jié)，見表36。122144224QKD模組向KM返回QKD模組狀態(tài)查詢響應(yīng)幀，長度34字節(jié)，見表37。122144224由KM產(chǎn)生，代表QKD模組控制過程的唯一標(biāo)識22448.9.5網(wǎng)絡(luò)狀態(tài)查詢幀KM向QKD模組發(fā)送網(wǎng)絡(luò)狀態(tài)查詢幀，長度22字節(jié)，見表38。表38網(wǎng)絡(luò)狀態(tài)查詢幀1221442248.9.6網(wǎng)絡(luò)狀態(tài)查詢響應(yīng)幀表39網(wǎng)絡(luò)狀態(tài)查詢響應(yīng)幀12214422422網(wǎng)絡(luò)鏈接正常0m0000:網(wǎng)絡(luò)斷開0x0001一一1123212345678931234附錄B接口工作流程參考示例圖B.1、B.2描述了一種KM與OKD模組間工作流程的示例。具體實現(xiàn)中，不同KM與OKD模組的工作流程在順序、內(nèi)容等方面可不盡相同。*n圖B.1一種KM與QKD橫組間工作流程示例-8ooea* ca圖B2一種KM與QKD模組間工作流程示例(QKD模組停止)圖B.1、B.2是一種KM與QKD模組間工作流程示例，從開始到結(jié)束包括經(jīng)典信道鏈接、QKD模組啟動、QKD-key傳輸、QKD模組停止。QKD-A,QKD-B分別代表一組配對的QKD模組，QKD-理器KM-A接口，QKD-B與密鑰管理器KM-B接口。a)經(jīng)典信道鏈接1)QKDN控制器向KM-A和KM-B發(fā)起QKD-key生成請求；2)KM-A與QKD-A發(fā)起監(jiān)聽，監(jiān)聽成功后，KM-A同步監(jiān)聽成功消息到KM-B;3)KM-B向QKD-B發(fā)送網(wǎng)絡(luò)鏈接指令，以通知QKD-B與QKD-A