云南廣電網絡量子通信干線網建設的探索

蘇愛平，繆真偉，杜文培

（云南廣電網絡網絡集團，昆明 650000）

量子通信是指利用量子糾纏效應進行信息傳遞的一種新型的通信方式。量子通信是近二十年發展起來的新型交叉學科，是量子論和信息論相結合的新的研究領域。量子通信主要涉及：量子密碼通信、量子遠程傳態和量子密集編碼等，近來這門學科已逐步從理論走向實驗，并向實用化發展。高效安全的信息傳輸日益受到人們的關注。基于量子力學的基本原理，并因此成為國際上量子物理和信息科學的研究熱點。

隨著媒體融合的快速發展，廣播影視業務形態、用戶需求、監管對象日趨復雜多樣，給安播運維和依法監管等方面帶來諸多新挑戰。在傳統媒體和新興媒體融合過程中，不斷強化信息安全風險防控意識和信息安全水平，對于廣播電視安全播出維護、行政監管等方面具有重要的意義。為保障廣電網絡數字電視內容安全，在量子保密通信的安全模式下，實現視頻直播、VOD 點播和交互視頻（視頻通信和視頻會議），并以此為基礎，開展技術推廣應用工作。

量子通信作為不可破譯的無條件安全技術，是對傳統密碼技術的突破性跨越，可有效保證黨、政、軍及涉及國計民生的社會重要領域顯示出無與倫比的魅力。我國高度重視量子通信建設，并作為體現國家重大戰略意圖的重點工程列入了國家“十三五”發展規劃。各省、市、自治區也紛紛出臺措施推動量子通信產業發展。

1 項目建設目標和范圍

“昆—玉”量子干線網作為云南省干線網一期實施的量子信息安全保密網，與昆明市即將建設的市級行政中心量子通信政務網同步推進，對于云南省量子通信的引進、應用和全面建設提供試驗、試點、示范具有十分重要的戰略意義和市場效應。“昆—玉”量子干線網具體網絡拓撲參考圖1。

圖1 廣電網絡量子保密干線試點項目拓撲

1.1 實現目標

（1）將已建成的廣電網絡“昆明—呈貢”量子保密通信干線拓展至玉溪，建成“昆明—玉溪”量子保密通信干線網落。

（2）基于“昆明—玉溪”量子保密通信干線網落，拓展廣電網絡、電力及金融領域的量子保密通信應用落地。

（3）研究并開發適配向已有加密設備提供量子密鑰服務，進行量子密鑰服務的運營探索。

1.2 建設原則

依托現有云南廣電網絡集團公司光纖網絡資源，增加相應的量子保密通信設備，充分融合現有網絡，具備利用量子密鑰對用戶各類重要業務數據進行加密保護，確保用戶數據在存儲、傳輸過程中的無條件安全能力。

1.3 項目任務

完成一期昆明至呈貢量子密鑰分發骨干網絡的搭建及相關演示；并為后續二期由呈貢延伸到玉溪，并實現省、市級黨委宣傳部門和省、市級金融系統（農信社）的業務在量子保密通信網絡上安全保密應用。

2 項目技術方案

2.1 量子通信的基本原理

光量子通信主要基于量子糾纏態的理論，使用量子隱形傳態（傳輸）的方式實現信息傳遞。根據實驗驗證，具有糾纏態的兩個粒子無論相距多遠，只要一個發生變化，另外一個也會瞬間發生變化，利用這個特性實現光量子通信的過程如下：事先構建一對具有糾纏態的粒子，將兩個粒子分別放在通信雙方，將具有未知量子態的粒子與發送方的粒子進行聯合測量（一種操作），則接收方的粒子瞬間發生坍塌（變化），坍塌（變化）為某種狀態，這個狀態與發送方的粒子坍塌（變化）后的狀態是對稱的，然后將聯合測量的信息通過經典信道傳送給接收方，接收方根據接收到的信息對坍塌的粒子進行幺正變換（相當于逆轉變換），即可得到與發送方完全相同的未知量子態。

經典通信較光量子通信相比，其安全性和高效性都無法與之相提并論。安全性-量子通信絕不會“泄密”，其一體現在量子加密的密鑰是隨機的，即使被竊取者截獲，也無法得到正確的密鑰，因此無法破解信息；其二，分別在通信雙方手中具有糾纏態的2個粒子，其中一個粒子的量子態發生變化，另外一方的量子態就會隨之立刻變化，并且根據量子理論，宏觀的任何觀察和干擾，都會立刻改變量子態，引起其坍塌，因此竊取者由于干擾而得到的信息已經破壞，并非原有信息。高效，被傳輸的未知量子態在被測量之前會處于糾纏態，即同時代表多個狀態，例如一個量子態可以同時表示0和1兩個數字，7個這樣的量子態就可以同時表示128個狀態或128個數字：0～127。光量子通信的這樣一次傳輸，就相當于經典通信方式的128次。可以想象如果傳輸帶寬是64位或者更高，那么效率之差將是驚人的。

2.2 廣電網絡量子通信技術組網方案

利用昆明至呈貢現有光纖資源，以及傳輸節點機房資源，放置40MHzQKD（量子密鑰分發）設備構筑量子保密通信干線網絡，具體組網方案如圖2。該組網方案有以下：特點密鑰采用量子真隨機數源：確保一次一密，從源頭保障密鑰的安全可信；利舊資源，不改變現有網絡，有效保護原有投資：利用昆明至呈貢現有光纖資源，以及傳輸節點機房資源；同時，不改變現有網絡結構，與現有網絡無縫融合；網絡結構可擴展，穩定，應用部署方式靈活：可作為骨干擴展網絡結構或按需靈活部署應用，且穩定性可達電信級。量子通信網須能提供保證任意多點共享密鑰的量子密鑰服務，同時可基于一期網絡擴展骨干及接入部分。具體組網方案參考圖2：

2.3 關鍵技術

圖2 廣電網絡量子通信技術組網方案

2.3.1 量子真隨機數源，成碼率高

量子密鑰分發設備QKD 設備須采用量子真隨機數發生器產生的隨機數源作為加密密鑰。

2.3.2 波分混傳，透明串接有效保護現有投資

該技術將量子信道、同步信道、雙向經典數據四合一混傳，不占用額外的光纖資源。支持透明串接技術，能夠方便的接入用戶網絡，無需用戶設備修改配置，具有簡單易用的組網優勢。

2.3.3 支持多業務接入

（1）支持廣電網絡組播業務接入；

（2）支持金融、政務等各類應用：滿足政府企辦公或個人用戶量子安全電子郵件、量子安全文件存儲、量子安全通話/即時消息、網絡打印機、視頻會議系統等量子密鑰加密應用。

2.4 設備穩定可靠，組網靈活

（1） QKD 設備達到電信級要求。

（1）量子通信網須能提供保證任意多點共享密鑰的量子密鑰服務，同時可基于一期網絡擴展骨干及接入部分。

3 量子加密測試科目

量子保密干線一期集成測試內容主要包括以下幾個方面：

（1）硬件設備的測試：按硬件安裝質量標準建議。

（2）設備軟件的測試：按軟件調測質量建議。

（3）量子保密通信特性驗收測試。

3.1 QKD 量子密鑰成碼速率

（1）配置QKD 設備正常運行，記錄實際量子光纖通道的損耗值。

（2）通過QKD 設備網管系統查詢并記錄量子信道誤碼率的實時值，測試一小時，記錄平均值和變化范圍。

3.2 QKD 設備成碼時間

（1）配置QKD 設備正常運行，保持量子密鑰持續生成。

（2）對QKD 設備進行下電，隨后上電，記錄設備冷啟動后到生成量子密鑰的時間。

3.3 QKM（量子密鑰管理）量子密鑰獲取

（1）配置QKD 設備正常運行，保持量子密鑰持續生成。

（2）配置QKM，以正確的認證信息進行接入。

（3）在QKM 上查看量子密鑰的獲取情況，觀察數據庫中量子密鑰的補充情況。

4 量子加密通信演示方案

4.1 視頻流（IP）加密

視頻內容采用組播協議進行傳輸，從編碼器發出的組播流通常未被加密。具體組網方案參考圖3。

4.1.1 視頻加密網絡組網

4.1.2 演示步驟

（1）由廣電網絡提供一路視頻直播頻道組播環境，將一臺量子安全加密機串接在直播源下行端口，另一個加密終端放置在組播能夠到達的網絡另一側；

圖3 直播頻道組播流加密

（2）使用測試電腦或機頂盒，在能夠接入組播流的網絡位置，通過VLC 播放組播視頻或由廣電網絡提供相應機頂盒進行播放；

（3）配置量子安全加密機和加密終端，對測試直播頻道組播流進行加密，觀察VLC 視頻播放情況。4.1.3 結果驗證

未開啟加密功能時，VLC 或機頂盒可以從網絡上播放視頻流；當使用量子安全加密設備對視頻組播流加密后，VLC 或機頂盒無法播放視頻。

4.2 量子密鑰分發竊聽感知

量子密鑰分發采用QKD 設備，基于量子力學的單光子不可分割、不可復制、不可觀測特性，保護密鑰分發的絕對安全性。具體組網方案參考圖4。

4.2.1 密鑰分發網絡模擬竊聽組網

圖4 量子密鑰竊聽感知演示

4.2.2 演示步驟

（1）搭建QKD、QNMS（量子通信網絡管理系統）量子密鑰分發網絡，在密鑰傳輸光纖位置放置竊聽分光器；

（2）調試兩端QKD，確保量子密鑰正常分發，按下竊聽分光器，觀察QNMS 網管平臺。

4.2.3 結果驗證

當量子密鑰分發鏈路存在竊聽時，QNMS 網管出現告警，停止竊聽后，系統恢復正常。

5 結束語

云南廣電網絡量子保密干線試點項目為云南省量子通信的引進、應用和全面建設提供試驗、試點示范。可以有效為政務、企業、金融及軍民融合等領域提供數據保密通信服務，提升整體網絡信息安全有著非常重要的戰略意義。