摘要:现代社会人们和各类机构越来越多的倾向于借助互联网来进行信息交流,这个过程中信息数据的产生、传输和存储都是借助于计算机硬件技术、存储技术以及网络相关技术来实现的。但信息在网络传输过程中却存在着众多的安全问题。本文提出了一种基于量子密钥分配技术的数据安全通信网络,以保证在信息传输中的安全问题,提升信息传输过程中的安全性。由密钥生成控制服务器、经典交换机、QKD系统等设备组成,将量子通信技术应用于专用数据保护的通信网络,大幅提高了网络数据传输的安全性。
关键词:数据通信;量子密钥分发;量子密码终端;密钥中继
量子保密通信是基于量子密钥分发的密码通信解决方案,量子密钥分发不依赖于计算的复杂性来保证通信安全,而是基于量子力学基本原理。只要能够在通信双方成功的建立密钥,这组建立的密钥就是绝对安全的,并且这种密钥是具有绝对随机性的,从原理上无法破解。由于量子密码系统基于的这种随机性,其安全性不因数学水平和计算能力的提高受到威胁,所以不仅是现在,而且在未来利用量子密码系统加密的信息都是安全的。由此,人类目前已知的唯一具有长期安全性保障的通信解决方案是量子保密通信。并且在世界范围内已有量子通信网络初步建成并运行。在传统数据传输系统基础上,使用量子通信保证数据传输的安全性,提高数据通信网络的可靠性、安全性和稳定性,是一个值得研究和发展的方向,两者结合能够有效保证数据在通信过程中的安全可靠。
一、QKD系统基本结构
如图表1.1所示,QKD系统主要由主控模块、数据处理模块、系统管理模块、光电系统(光学模块和单光子探测器)组成。该QKD系统的运行受控于密钥生成控制系统,由密钥生成控制系统下发QKD控制指令给终端设备的系统管理模块,系统管理模块将接收到的指令进行必要的协议转换(某些关键指令还需要加解密处理),完成对QKD系统进行工作流程控制。系统管理模块的外围主要硬件结构如图表1.2所示:
二、QKD系统与数据通信
在当前的要求数据安全性比较高的网络中,会采用专线进行保密的数据通信,会添加防护设备,增加一道安全措施。设备首先需要通过证书机制,完成身份认证过程,然后将一端产生的随机数通过非对称密码学算法加密处理后传输给另一端,而另一端的防护设备将接收到数据,并把数据进行解密,由此获得随机数,这样就完成了对称密钥的分发过程。由于目前的对称密钥分发机制,必须由经典密钥学的加解密算法处理,这样就有可能被攻破。因此,通过制定一整套完善的量子对称密钥传输、同步、中继等协议,使得防护设备可以使用QKD系统提供的对称量子密钥,对目前系统网络中的数据进行实时量子加解密处理。如图表2.1所示:
三、多用户应用场景下的量子密钥分配、存储和管理机制
如图表3.1所示,在要求较高的专线数据传输系统多用户应用场景下,可将该专线网络分为“客户大区”和“管理大区”两大部分。该场景下的两个用户之前数据通信的安全通信可由QKD系统直接向认证设备提供的量子密钥保证。在该网络中,可使用一个全通型光量子交换机,挂接6台量子网关,在密钥生成控制服务器的调度下,实现任意两个设备间的量子密钥分发,并直接把生成的量子密钥存储在各自设备内。管理大区用户与客户大区用户之间进行通信,其防护设备可以使用QKD系统提供的量子密钥,完成数据加解密功能,达到安全的保密通信要求。多用户应用场景量子加密数据传输的主要步骤如下:(1)场景内,每个用户终端部署一台QKD系统,由密钥生成控制服务器定时监控每个用户的当前量子密钥量,根据制定的排队策略,把各个QKD系统按照规则进行配对,启动量子密钥分发;(2)各个QKD系统必须由唯一的ID号标识身份,该QKD与其他的QKD系统进行量子密钥分发,并且会使用对方ID号对生成的量子密钥进行标识和保存。(3)通过具体的用户通信进行演示:客户大区的用户2需要与用户4进行通信,密钥生成控制服务器会统一管理,安排用户2与用4进行通信,用户2的QKD系统会根据ID号与用户4的QKD系统分发的量子密钥进行设备认证,而用户4的QKD系统也会根据ID号与用户2的QKD系统分发的量子密钥提供给认证设备;(4)认证设备采用量子密钥,对传输的数据进行加解密处理,使保密通信过程完成。
四、通信网络与量子网络融合
(一)通信网络中的加密认证设备部署
专线网络要实现“分级管理”的要求,各级数据调度中心以及下属的各个数据站点部署了加密认证设备,根据总部调度通信关系建立加密隧道(理论上只能在上级和下级之间建立加密隧道),加密隧道拓扑的结构是网状结构。如图表4.1、图表4.2所示:
(二)量子通信网络融入实例
在一级分部调度中心管理中,加密认证设备需要对相邻的二级分部使用QKD系统提供的量子密钥进行加解密处理。网络拓扑如图表4.3所示:一级分部调度中心控制二级分部1和二级分部2的通信网络,一级分部与两个二级分部都可以通过量子集控站,完成两两间的量子信道建立,在集控站的统一协调下,使其具备两两之间能够分发量子密钥的能力。由此,一级分部调度中心与两个分部之间就可以实现两两加密认证设备通过使用量子密钥进行加解密处理的保密通信。该场景下的通信数据加解密与传输流程如下所示:(1()这里一级分部调度中心简称为一级中心;二级分部1简称为二分1;二级分部2简称为二分2)。(2)一级中心的集控站与二分1的集控站、一级中心的集控站与二分2的集控站,在密钥生成控制服务器(处于集控站中)的统一协调管理下,实现量子密钥分发;(3)二分1需要完成与一级中心的通信数据传输,二分1的认证设备先用与一级中心分发的量子密钥,对数据进行加密处理,然后由经典网络传给一级中心;(4)一级中心接收到二分1传输的加密数据,一级中心认证设备使用与二分1分发的量子密钥进行解密,这样就实现了二分1传输通信数据给一级中心的功能;(5)与此同时,一级中心下发调度指令给二分1,一级中心的认证设备使用与二分1分发的量子密钥,对调度指令进行加密处理,然后通过经典网络传输给二分1;(6)二分1接收到一级中心传输的加密调度指令,二分1认证设备使用与一级中心分发的量子密钥进行解密,这样就完成了一级中心传输数据给二分1的功能;(7)二分2与一级中心之间的通信数据传输与二分1相似。在二级分部1下,用户1和用户2的量子信道通过全通光量子交换机与该分部集控站连接,实现用户1、用户2和二级分部1两两之间的量子密钥分发。该场景下的通信数据加解密与传输流程如下所示:(1)用户1与二级分部1、用户2与二级分部1,在密钥生成控制服务器(处于集控站中)的统一协调,实现量子密钥分发;(2)用户1需要与一级分部调度中心进行通信数据传输,用户1的认证设备首先使用其与一级分部1交互分发的量子密钥,加密通信数据,然后由经典网络传输给一级分部1;(3)一级分部1收到用户1传输的经过加密通信数据,一级分部1的认证设备使用与用户1分发的量子密钥对加密数据进行解密,这样就实现了用户1传输数据给一级分部1的功能;(4)同时,一级分部1可以下发调度指令给用户1,一级分部1的认证设备使用与用户1分发的量子密钥,加密调度指令,然后经由经典网络传输给用户1;(5)用户1接收到二级分部1传输的加密调度指令,其认证设备使用与二级分部1分发的量子密钥进行解密,这样就完成了二级分部1传输通信数据给用户1的功能;(6)用户2与二级分部1之间的通信数据传输与用户1类似。如果用户1或用户2需要与一级分部调度中心直接传输通信数据,则要用到密钥中继功能,以用户2上传数据给一级分部调度中心为例,主要步骤如下所示:(1)一级分部调度中心的集控站与二级分部1下的用户2,通过它们之间的二级分部1集控站,利用经典密钥中继的方式,使一级分部调度中心与用户2之间拥有共享的量子密钥;(2)用户2的认证设备,需要给传输给一级分部调度中心的数据进行加密,加密密钥为上述共享的量子密钥,然后由经典网络传输给一级分部调度中心;(3)一级分部调度中心的认证设备,利用对应的量子密钥作为业务密钥,将用户2传输过来的加密数据进行解密,这样就实现了用户2与一级分部调度中心之间数据加解密传输功能。
五、结束语
本文对QKD设备应用于专线通信网络进行分析和阐述,从目前通信网络的现状以及现有网络的安全性特点出发,给出了系统多用户应用场景下的量子密钥分配、存储和管理机制实现方案;同时,提出一种融合量子密钥分配技术与通信网关的安全通信网络实现技术。本文还介绍了量子保密通信网络与光纤通信网络之间的互联互通技术,提出量子网络与专用通信网的融合实现方案,并研究任意节点之间的互联互通机理以及针对量子保密通信网络的密钥中继技术,为实现系统量子安全通信网络奠定基础。
作者:陈立佳 刘菲 史铭 单位:新华通讯社 科大国盾量子技术股份有限公司
