視頻監控應用量子保密通信技術的研究探索

劉彧 海南省瓊海市公安局

引言

目前國內視頻監控系統逐步應用在公安、應急、智慧城市等領域。目前視頻會議系統在前端視頻圖像監控設備及后端數據中心均已配置了相應的安全防護措施（前端設備進行終端準入管理，數據中心業務系統達到等保三級），視頻圖像數據的傳輸主要還是租用運營商光纖線路傳輸，在重大安保項目中，任務保障期間視頻圖像信息比較敏感，但光纖傳輸鏈路尚未進行有效的保護，敏感視頻圖像傳輸線路存在一定的風險。因此，迫切需要解決視頻監控圖像的傳輸安全。

一、安保視頻監控系統現狀和安全需求

（一）系統現狀

視頻監控系統在安保任務中擔負了重要角色。系統接入關系如圖1所示。

（二）光纖網絡安全現狀

目前光纖網絡具備一定的防御措施，能夠防止黑客竊取網絡數據，但是隨著科學技術和光纖技術的發展，通過使用各種各樣的手段，能夠針對光纖通信網絡進行竊聽。目前竊聽手段大致上可以分成為兩種，即侵入式和非侵入式。區別是侵入式需要切割光纖，而非侵入式的不需要切斷光纖，但是這兩種方式的使用都是為了達到竊聽的目的。

重大安保中視頻信息中涉及到敏感信息，保密要求高。一般在視頻監控系統前端和后臺已采取了安全措施，如安全審計和防泄密措施。但光纖傳輸線路是租用電信的光纖線路，目前暫未采取有效安全保密措施。

二、量子保密通信技術原理

量子通信作為量子信息科學的重要分支，是利用量子態作為信息載體來進行信息交互的通信技術。現階段，量子通信的典型應用形式包括量子密鑰分發（Quantum Key Distribution，QKD）和量子隱形傳態（QuantumTeleportation，QT）等。

量子密鑰分發是最先實用化的量子信息技術，是量子通信的重要方向。量子密鑰分發可以在空間分離的用戶之間以信息理論安全的方式共享密鑰。本文的量子保密通信是指以具備信息理論安全性證明的QKD技術作為密鑰分發功能組件，結合適當的密鑰管理、安全的密碼算法和協議而形成的加密通信安全解決方案。

量子密鑰分發（QKD）利用了量子的測不準、不可分割和不可復制特性，實現隨機數的遠距離安全分發。經典光通信是依靠光束的通斷來攜帶信息，而一個光束中有億萬的光子組成。量子密鑰分發則是在單光子層面進行端到端交互，實現兩端對稱的隨機數安全生成而不會被截獲（一旦有探測，會干擾光子的量子態，從而被接收端發現）。

基于QKD分發的量子密鑰，相比目前傳統的密鑰，優勢體現在兩個方面：（1）密鑰分發安全性由量子力學保證，一旦有惡意探測會立刻發現，具有高安全性；（2）QKD分發的量子密鑰具有密鑰自身長度對應的信息量，質量高。

在信息安全體系中，信息安全主要依托密碼技術實現，而密碼技術大致包含協議、算法和密鑰，按照柯克霍夫原則，密碼的協議和算法都是可以公開的，而密鑰是要絕對保證安全的。由此可見，密碼安全的核心是密鑰的安全。密鑰本質上是一個隨機數，而量子密鑰分發解決的就是隨機數的安全生成與分發。

量子保密通信是在抗量子攻擊等特定需求下的全新、有效的密碼學補充手段，依據結合方式的不同，量子保密通信系統可具有多種類型。QKD 與其他能夠抵抗量子計算攻擊的對稱密鑰加密算法結合使用，可實現支持大帶寬業務、具備前向安全性的量子保密通信系統。

三、視頻監控關鍵鏈路量子安全加密應用研究

研究結合量子通信技術，在視頻監控系統的傳輸鏈路中，針對監控中心與監控匯聚點之間的關鍵光纖鏈路，基于在線量子密鑰，針對鏈路上傳輸的所有數據信息，包括前端采集的視頻流和視頻監控控制消息等，實現鏈路加密傳輸。采用共用光纖（單纖）構建QKD網絡的方式，實現經典網絡和量子信號共纖傳輸。

QKD網絡為量子安全路由器提供量子加密密鑰，量子安全路由器通過硬件加密模塊，使用量子加密密鑰對數據進行透明加密，能保障視頻等大數據量透明加密要求。

共用光纖構建QKD網絡主要采用波分復用技術，實現經典網絡和量子信號在同一根光纖中傳輸。經典量子波分復用終端最多可在一根光纖中實現1550nm、1570nm、1310nm、1270nm、1290nm共5個波長光信號的傳輸，其中1550nm波長是QKD設備的量子信號光，1570nm是QKD設備的量子同步光，1310nm、1270nm、1290nm三個波長可用于經典信號傳輸。

監控中心到監控匯聚點為單根光纖，經典網絡和量子網絡共纖原理及波長劃分如圖2所示，量子同步光和信號光使用1550nm、1570nm兩個波長，業務和經典協商共同使用1310nm、1270nm、1290nm中的兩個波長分別作為上下行鏈路，經典網絡波長不與QKD設備的量子信號光和同步光沖突。

利用單纖構建QKD網絡組網方案如圖3所示，該方案中在監控中心和監控匯聚點各部署一套量子密鑰生成與管理終端（QKD設備）和波分復用設備，在匯聚端部署一臺光量子交換機，光量子交換機實現監控中心與監控匯聚點之間的量子光纖線路切換。

在監控中心配置量子通信網元管理系統，對量子保密通信網絡中密鑰生成流程和密鑰中繼路由等業務進行管控，對量子通信設備的運行進行監控和管理。

監控匯聚點至監控中心之間的經典網絡和量子網絡共用單根光纖線路傳輸，監控中心和監控匯聚點增加量子安全路由器，量子安全路由器以旁路方式與原有路由器相連（路由器配置參數需同步更改），不改變現有傳輸架構，在信息傳輸鏈路上構建IPSec VPN通道，實現監控中心和監控匯聚點之間數據傳輸加密。

項目實施建設后，針對量子密鑰成碼率和量子通信安全性進行了測試，具體如下：

1.測試數據

量子信道分發分發量子密鑰，平均成碼率在2～14kbps，具體測試數據見表1。

?

2.量子通信安全性測試

（1）通信原理安全性測試

通過對量子保密通信業務邏輯的梳理，整體業務流依托運營商基礎光纖，主要分為傳統光纖傳輸及量子密鑰傳輸。傳統光纖傳輸承載：IPSecVPN隧道加密的流量、量子密鑰分發協商的數據；量子安全傳輸IPSecVPN所用到的密碼，當前業務配置每分鐘更換一次IPSecVPN隧道密碼。在IPSecVPN隧道承載業務流量數據可有效保護業務數據的機密性及完整性。整體的量子保密通信業務流中，業務數據是在IPSecVPN隧道中傳輸的，在每分鐘更換一次密鑰的前提下，即使遭受攻擊者非法監聽也無法進行及時破解，保證了業務數據傳輸的機密性。量子密鑰是基于量子密鑰分發的安全性，無法被監聽截取，保證了IPSecVPN協商密鑰的安全性。

（2）通信設備安全性測試

針對量子保密通信系統的：安全功能要求、身份鑒別、數據保護、安全管理、審計、簡單網絡管理協議的保護、單播逆向路徑轉發功能、遠程管理安全、可靠性、路由認證、安全保證要求，總體符合系統安全要求。

（3）通信隧道安全測試

根據量子保密通信系統配置：每個小時（3600s）取1K量子密鑰，1K量子密鑰可分為64組，每分鐘更換一次密鑰，判斷量子加密設備具有保障業務數據傳輸安全的能力。

且在真實的業務抓取過程中99.997%為業務IPSecVPN加密的ESP流量。

四、量子保密通信系統應用場景介紹

（一）終端量子安全服務場景

各類移動終端用戶的網絡安全防護已成為當前關注的熱點問題之一，利用量子密鑰分發自身的獨特優勢，同時結合密鑰分發中心，可以將QKD生成的量子密鑰應用于移動終端側，保障端到端及端到服務器的通信安全，可在移動辦公、物聯網、視頻監控等多種場景中進行應用。

量子密鑰分發網絡結合用于管理QKD網絡產生的量子密鑰的量子安全服務密鑰分發中心，以及靠近后端的量子密鑰更新終端設備，可將量子密鑰分發網絡產生的對稱量子密鑰充注到終端的安全存儲介質（例如SD卡、SIM卡、U盾、安全芯片、軟件密碼模塊等），用于其通信過程中的鑒權和會話加密。相對于傳統的KDC方案，可保證會話密鑰的前向安全性；相比傳統的公鑰基礎設施（PKI）方案，則可保證身份認證和會話密鑰協商過程能夠抵抗量子計算攻擊。

（二）骨干網保護場景

量子密鑰分發網絡（QKD）可用于為骨干網節點之間通信提供安全服務，目前骨干網多采用波分復用技術建設，光纖中波道數較多，除已經使用的業務波道以及預留的保護波道和備用波道外，一般還有剩余的波道可以使用，可以利用這些多余的波長來搭建QKD鏈路，通過QKD鏈路產生的量子密鑰對業務通道進行高安全的加密，將QKD生成的量子密鑰應用于傳輸設備間業務數據的加密，而QKD系統所需的量子信道、協商信道以及承載業務的經典數據信道，可通過波分復用的方式實現共纖傳輸。

（三）關鍵基礎設施控制和數據采集場景

量子保密通信可用于保護關鍵設施中的數據采集于監控系統數據通信安全性，關鍵基礎設施對于社會經濟的正常運行發揮著重要作用，其安全性和可靠性通常依賴于其通信基礎設施子系統。這些通信子系統中信息機密性、真實性和完整性均十分重要，例如鐵路的信令控制系統、供水控制系統，可通過QKD分發的密鑰對關鍵信息進行保護。

五、結語

重大安保應用量子通信保密系統保障了視頻監控圖像傳輸安全。在示范成功實施后，可以在以下兩個方面擴展示范應用，全面保障適配監控系統安全：（1）在量子通信網絡覆蓋方面，從試點的點對點量子密鑰分發，擴展到網絡的量子密鑰分發。（2）將量子密鑰向視頻前端延伸，擴展到視頻監控終端，可使視頻監控終端基于量子密鑰進行應用加密，保障視頻信息從攝像頭到后端服務器之間的安全傳輸。

基于以上考慮，建議擴大應用在更多重點敏感安防區域，通過對關鍵視頻圖像進行量子加密，以保障圖像數據傳輸安全，有效防止光纖傳輸線路被監聽、敏感視頻數據被竊取；同時可將量子認證增強、量子加密等功能與視頻監控前端硬件、后端視頻承載平臺軟件進行應用結合，形成在可推廣、可復制的經驗，將科技創新和信息安全有效結合。