量子的數據通信安全應用

前言：想要寫出一篇引人入勝的文章？我們特意為您整理了量子的數據通信安全應用范文，希望能給你帶來靈感和參考，敬請閱讀。

摘要:現代社會人們和各類機構越來越多的傾向于借助互聯網來進行信息交流，這個過程中信息數據的產生、傳輸和存儲都是借助于計算機硬件技術、存儲技術以及網絡相關技術來實現的。但信息在網絡傳輸過程中卻存在著眾多的安全問題。本文提出了一種基于量子密鑰分配技術的數據安全通信網絡，以保證在信息傳輸中的安全問題，提升信息傳輸過程中的安全性。由密鑰生成控制服務器、經典交換機、QKD系統等設備組成，將量子通信技術應用于專用數據保護的通信網絡，大幅提高了網絡數據傳輸的安全性。

關鍵詞:數據通信；量子密鑰分發；量子密碼終端；密鑰中繼

量子保密通信是基于量子密鑰分發的密碼通信解決方案，量子密鑰分發不依賴于計算的復雜性來保證通信安全，而是基于量子力學基本原理。只要能夠在通信雙方成功的建立密鑰，這組建立的密鑰就是絕對安全的，并且這種密鑰是具有絕對隨機性的，從原理上無法破解。由于量子密碼系統基于的這種隨機性，其安全性不因數學水平和計算能力的提高受到威脅，所以不僅是現在，而且在未來利用量子密碼系統加密的信息都是安全的。由此，人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內已有量子通信網絡初步建成并運行。在傳統數據傳輸系統基礎上，使用量子通信保證數據傳輸的安全性，提高數據通信網絡的可靠性、安全性和穩定性，是一個值得研究和發展的方向，兩者結合能夠有效保證數據在通信過程中的安全可靠。

一、QKD系統基本結構

如圖表1.1所示，QKD系統主要由主控模塊、數據處理模塊、系統管理模塊、光電系統（光學模塊和單光子探測器）組成。該QKD系統的運行受控于密鑰生成控制系統，由密鑰生成控制系統下發QKD控制指令給終端設備的系統管理模塊，系統管理模塊將接收到的指令進行必要的協議轉換（某些關鍵指令還需要加解密處理），完成對QKD系統進行工作流程控制。

二、QKD系統與數據通信

在當前的要求數據安全性比較高的網絡中，會采用專線進行保密的數據通信，會添加防護設備，增加一道安全措施。設備首先需要通過證書機制，完成身份認證過程，然后將一端產生的隨機數通過非對稱密碼學算法加密處理后傳輸給另一端，而另一端的防護設備將接收到數據，并把數據進行解密，由此獲得隨機數，這樣就完成了對稱密鑰的分發過程。由于目前的對稱密鑰分發機制，必須由經典密鑰學的加解密算法處理，這樣就有可能被攻破。因此，通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協議，使得防護設備可以使用QKD系統提供的對稱量子密鑰，對目前系統網絡中的數據進行實時量子加解密處理。圖表2.1：向加密認證裝置提供認證密鑰

三、多用戶應用場景下的量子密鑰分配、存儲和管理機制

如圖表3.1所示，在要求較高的專線數據傳輸系統多用戶應用場景下，可將該專線網絡分為“客戶大區”和“管理大區”兩大部分。該場景下的兩個用戶之前數據通信的安全通信可由QKD系統直接向認證設備提供的量子密鑰保證。圖表3.1：多用戶應用場景下的QKD與防護設備結合在該網絡中，可使用一個全通型光量子交換機，掛接6臺量子網關，在密鑰生成控制服務器的調度下，實現任意兩個設備間的量子密鑰分發，并直接把生成的量子密鑰存儲在各自設備內。管理大區用戶與客戶大區用戶之間進行通信，其防護設備可以使用QKD系統提供的量子密鑰，完成數據加解密功能，達到安全的保密通信要求。多用戶應用場景量子加密數據傳輸的主要步驟如下：

(1)場景內，每個用戶終端部署一臺QKD系統，由密鑰生成控制服務器定時監控每個用戶的當前量子密鑰量，根據制定的排隊策略，把各個QKD系統按照規則進行配對，啟動量子密鑰分發；

(2)各個QKD系統必須由唯一的ID號標識身份，該QKD與其他的QKD系統進行量子密鑰分發，并且會使用對方ID號對生成的量子密鑰進行標識和保存。

(3)通過具體的用戶通信進行演示：客戶大區的用戶2需要與用戶4進行通信，密鑰生成控制服務器會統一管理，安排用戶2與用4進行通信，用戶2的QKD系統會根據ID號與用戶4的QKD系統分發的量子密鑰進行設備認證，而用戶4的QKD系統也會根據ID號與用戶2的QKD系統分發的量子密鑰提供給認證設備；

(4)認證設備采用量子密鑰，對傳輸的數據進行加解密處理，使保密通信過程完成。

四、通信網絡與量子網絡融合

(一)通信網絡中的加密認證設備部署

專線網絡要實現“分級管理”的要求，各級數據調度中心以及下屬的各個數據站點部署了加密認證設備，根據總部調度通信關系建立加密隧道（理論上只能在上級和下級之間建立加密隧道），加密隧道拓撲的結構是網狀結構。

(二)量子通信網絡融入實例

在一級分部調度中心管理中，加密認證設備需要對相鄰的二級分部使用QKD系統提供的量子密鑰進行加解密處理。網絡拓撲如圖表

4.3所示：

一級分部調度中心控制二級分部1和二級分部2的通信網絡，一級分部與兩個二級分部都可以通過量子集控站，完成兩兩間的量子信道建立，在集控站的統一協調下，使其具備兩兩之間能夠分發量子密鑰的能力。由此，一級分部調度中心與兩個分部之間就可以實現兩兩加密認證設備通過使用量子密鑰進行加解密處理的保密通信。該場景下的通信數據加解密與傳輸流程如下所示：

(1（)這里一級分部調度中心簡稱為一級中心；二級分部1簡稱為二分1；二級分部2簡稱為二分2）。

(2)一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站，在密鑰生成控制服務器（處于集控站中）的統一協調管理下，實現量子密鑰分發；

(3)二分1需要完成與一級中心的通信數據傳輸，二分1的認證設備先用與一級中心分發的量子密鑰，對數據進行加密處理，然后由經典網絡傳給一級中心；

(4)一級中心接收到二分1傳輸的加密數據，一級中心認證設備使用與二分1分發的量子密鑰進行解密，這樣就實現了二分1傳輸通信數據給一級中心的功能；

(5)與此同時，一級中心下發調度指令給二分1，一級中心的認證設備使用與二分1分發的量子密鑰，對調度指令進行加密處理，然后通過經典網絡傳輸給二分1；

(6)二分1接收到一級中心傳輸的加密調度指令，二分1認證設備使用與一級中心分發的量子密鑰進行解密，這樣就完成了一級中心傳輸數據給二分1的功能；

(7)二分2與一級中心之間的通信數據傳輸與二分1相似。在二級分部1下，用戶1和用戶2的量子信道通過全通光量子交換機與該分部集控站連接，實現用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發。該場景下的通信數據加解密與傳輸流程如下所示：

(1)用戶1與二級分部1、用戶2與二級分部1，在密鑰生成控制服務器（處于集控站中）的統一協調，實現量子密鑰分發；

(2)用戶1需要與一級分部調度中心進行通信數據傳輸，用戶1的認證設備首先使用其與一級分部1交互分發的量子密鑰，加密通信數據，然后由經典網絡傳輸給一級分部1；

(3)一級分部1收到用戶1傳輸的經過加密通信數據，一級分部1的認證設備使用與用戶1分發的量子密鑰對加密數據進行解密，這樣就實現了用戶1傳輸數據給一級分部1的功能；

(4)同時，一級分部1可以下發調度指令給用戶1，一級分部1的認證設備使用與用戶1分發的量子密鑰，加密調度指令，然后經由經典網絡傳輸給用戶1；

(5)用戶1接收到二級分部1傳輸的加密調度指令，其認證設備使用與二級分部1分發的量子密鑰進行解密，這樣就完成了二級分部1傳輸通信數據給用戶1的功能；

(6)用戶2與二級分部1之間的通信數據傳輸與用戶1類似。

如果用戶1或用戶2需要與一級分部調度中心直接傳輸通信數據，則要用到密鑰中繼功能，以用戶2上傳數據給一級分部調度中心為例，主要步驟如下所示：

(1)一級分部調度中心的集控站與二級分部1下的用戶2，通過它們之間的二級分部1集控站，利用經典密鑰中繼的方式，使一級分部調度中心與用戶2之間擁有共享的量子密鑰；

(2)用戶2的認證設備，需要給傳輸給一級分部調度中心的數據進行加密，加密密鑰為上述共享的量子密鑰，然后由經典網絡傳輸給一級分部調度中心；

(3)一級分部調度中心的認證設備，利用對應的量子密鑰作為業務密鑰，將用戶2傳輸過來的加密數據進行解密，這樣就實現了用戶2與一級分部調度中心之間數據加解密傳輸功能

五、結束語

本文對QKD設備應用于專線通信網絡進行分析和闡述，從目前通信網絡的現狀以及現有網絡的安全性特點出發，給出了系統多用戶應用場景下的量子密鑰分配、存儲和管理機制實現方案；同時，提出一種融合量子密鑰分配技術與通信網關的安全通信網絡實現技術。本文還介紹了量子保密通信網絡與光纖通信網絡之間的互聯互通技術，提出量子網絡與專用通信網的融合實現方案，并研究任意節點之間的互聯互通機理以及針對量子保密通信網絡的密鑰中繼技術，為實現系統量子安全通信網絡奠定基礎。

參考文獻：

[1]張睿汭,周靜,陳希.光纖量子密鑰分配技術在電網中的應用前景[J].系統通信.2012(10)

[2]張睿汭.光纖通信網絡竊聽方法及防御措施[J].電信科學.2012(11)

作者：陳立佳 劉菲 史銘 趙波 單位：新華通訊社 科大國盾量子技術股份有限公司