QKD 網絡中的認證組密鑰協商協議設計

張飛揚，胡順仿，朱林全，李揚，邢鑌,4

（1.四川大學計算機學院，成都610065；2.重慶工業大數據創新中心有限公司，重慶400707；3.西南通信研究所保密通信重點實驗室，成都610041；4.工業大數據應用技術國家工程實驗室，北京100043）

0 引言

多方群組通信是現在互聯網中尤為重要的一種網絡應用，例如遠程視頻會議、多人在線聊天、大型的網絡游戲，等等，這類組應用與一般的應用相比，具有數據量大、時間要求高、通信時間長、成員通常具有很強的動態性和自由度等特點[1]，因此保障安全的群組通信顯得尤為重要，而信息加密是最有效的辦法。

傳統的信息加密方法分為兩種：對稱加密和非對稱加密。所謂對稱加密，指的是對數據的加密和解密用的是同樣的密鑰，它是最快速、最簡單的一種加密方式。而非對稱加密，又稱為公私鑰系統，指的是利用不同的公鑰私鑰，對數據在兩端進行不同的操作。在典型的加密系統中，消息發送方通常稱為Alice，消息接收方通常稱為Bob，如果使用對稱加密算法，Alice 和Bob 會事先通過某種途徑共享一個相同的密鑰K，當Alice 要給Bob 發送信息時，先利用密鑰K 通過加密算法對原始信息M（又稱明文）進行加密，得到加密后的信息（又稱密文）MK=Enc（K），之后將MK通過經典信道發送給Bob，Bob 拿到MK后同樣利用密鑰K 通過解密算法獲取明文M=Dec（K）。

顯然對稱加密算法的關鍵在于事先怎樣將對稱密鑰K 安全的分發給使用設備，而非對稱密鑰算法的安全性是依靠數學問題的復雜性。在量子算法和量子計算機出現以后，天然的缺陷導致傳統的加密算法在可預測的時間范圍內存在嚴重的安全隱患，因此量子密鑰分發（以下簡稱QKD）技術借助物理層面的基本原理，保證了攻擊者（通常稱為Eve）無法竊取、無法破解密鑰，密鑰可以無條件安全的分發給使用密鑰的雙方。

另外，在得到組密鑰后，如何將組密鑰安全有效地下發給QKD 設備下的多用戶節點也是亟待解決的問題。

1 量子密鑰分發

量子密鑰分發是利用量子力學的物理特性，來保證通信雙方快速地得到一個安全的、隨機的、相同的密鑰。量子密鑰的安全保障基于量子力學兩個最基本的原理：海森堡不確定性原理（Uncertainty principle）和量子不可克隆定理（No-Cloing Theorem），前者保證了攻擊者無法通過測定量子態來確定密鑰，后者保證了攻擊者無法通過克隆量子態來獲取密鑰。目前常用的量子密鑰分發協議為1984 年，物理學家Bennett 和密碼學家Brassard 共同提出的BB84 協議[2]，該協議通過光子在兩種基矢下的4 種偏振態來進行編碼，分別稱為Z 基和X 基，發送方和接收方事先通過公共信道約定每種偏振態的光子對應的編碼，之后通過發送一系列不同偏振態的光子與接收方進行協調，共同商定出一組量子密鑰，詳細的工作原理如表1 所示。

表1

①Alice 首先隨機產生兩列長度均為N 的二進制序列P 和Q（目前可以由量子隨機數發生器來進行這項工作），即P=p1p2…pN，Q=q1q2…qN，隨后Alice 根據這兩序列做如下量子態制備：

然后Alice 將這N 個量子態通過量子信道發送給Bob。

②Bob 同樣在本地產生一組長度為N 的隨機序列R，即R=r1r2…rN，隨后Bob 根據序列R 進行如下的測量基選擇：

③Bob 利用選擇出來的測量基對Alice 傳遞過來的量子態進行測量，得到Bob 端的測量結果。

④Alice 在公共信道中公布隨機序列P，Bob 同樣在公共信道中公布隨機序列R，然后雙方同時對照P和R，保留兩列序列中相同的位置信息，丟棄其余的信息。也就是說Alice 和Bob 分別公布自己的制備基和測量基，并沒有透露發送態的信息，最終雙方會保留相同二進制序列。

⑤在實際應用中，常常存在各種類型的噪聲干擾，甚至有敵手的竊聽，因此收發雙方需要對量子比特進行進一步的后處理，包括密鑰篩選、錯誤估計、錯誤糾正、密性放大，等等，保證量子比特的有效性，如圖1所示。

圖1

⑥最終所得的二進制序列即為雙方通信的量子密鑰。

本文所有的密鑰協商方案將在BB84 協議的基礎上進行設計。

2 量子組密鑰協商

2.1 網絡分層架構模型

在討論量子組密鑰協商協議之前，我們需要先定義網絡的分層模型，以確定協議中各個模塊工作的網絡層級。本文定義的量子密鑰分發網絡模型借鑒了軟件定義網絡（SDN）的思想。SDN 起源于2006 年斯坦福大學的Clean State 研究課題，2009 年，Mckeown 教授正式提出了SDN 概念[3]。軟件定義網絡的思想是通過控制與轉發分離（如圖2 所示），將網絡中交換設備的控制邏輯集中到一個計算設備上，為提升網絡管理配置能力帶來新的思路。SDN 的本質特點是控制平面和數據平面的分離以及開放可編程性。通過分離控制平面和數據平面以及開放的通信協議，SDN 打破了傳統網絡設備的封閉性。此外，南北向和東西向的開放接口及可編程性，也使得網絡管理變得更加簡單、動態和靈活[4]。

借助于SDN 的設計思想，本文定義了一種量子密鑰分發四層網絡模型，如圖3 所示。

圖2

圖3

設備層：該層為量子密鑰分發設備所在的層級，主要作用是量子密鑰分發設備之間通過BB84 等協議完成量子密鑰的協商，并通過密鑰池等存儲結構保存量子密鑰；

轉發層：路由設備在該層工作，所有的路由策略都在這一層完成，每個路由設備都保存著當前網絡的一份完整拓撲圖并動態更新，當量子密鑰分發設備有密鑰路由的需求時，路由設備會根據一定的算法（路徑最短、密鑰材料消耗最少、服務質量最好等）找到最好的一條路由路徑，將量子密鑰安全的通過可信中繼進行傳遞；

控制層：這一層負責對整個QKD 網絡的運行數據進行監控，一般情況下我們會在這層設置一個控制中心，保證QKD 網絡平穩高效的運行，主要作用包括：網絡管理、設備管理、故障修復、安全保護，等等。為了解決各QKD 設備節點的認證問題，本文在該層另設置了一個認證中心，不同于控制中心，認證中心的主要作用是分發身份信息并驗證身份信息，保證在組密鑰協商過程以及量子密鑰路由過程中，鏈路上的節點是可信的，轉發層和量子密鑰設備層可以利用認證中心更新自己的網絡拓撲；

應用層：該層是量子密鑰分發網絡的最上層，本質上這一層的功能為“處理”和“展示”：對下層手機的數據進行處理，提供可視化的界面展示。

2.2 子網劃分認證量子組密鑰協商協議

本文基于SDN 定義的四層量子密鑰分發網絡模型，提出了一種子網劃分認證量子組密鑰協商協議（SAP-QGK-AP），該協議分為三個步驟：認證、協商、下發。

（1）認證

在初始階段，每個QKD 設備在入網時需要向認證中心發起認證入網請求，這一過程可在傳統信道中進行，采用ECC 加密算法，詳細的注冊過程如圖4 所示。

圖4

其中，Ep（a，b）為橢圓曲線，n 為橢圓曲線的階數，encode（）為編碼函數。

過程結束后，認證中心會以每個設備IP 為主鍵，保存一個四元組＜IP，Ep，D，K＞；每個注冊成功的QKD設備會保存一份由認證中心生成的安全證書，內容包括設備IP、認證中心ID、認證時間、證書有效期等，用來保證身份的有效性。

（2）協商

在協商階段，若干個QKD 設備以子網掩碼為依據，組成多個子網，每個QKD 設備下面掛有若干個用戶機，每個子網間通過邊緣QKD 設備相連，如圖5 所示。

圖5

密鑰協商分為組內協商和組外協商。首先，參與組密鑰協商的成員會向認證中心發送自己持有的安全證書，認證中心通過計算證書中附加的身份信息核對組成員身份的有效性。當組密鑰協商是在子網內部進行時，認證中心只需要向當前子網廣播身份驗證結果，每個QKD 設備在收到結果時，首先核對認證中心的可信信息，之后根據驗證結果更新自己的網絡拓撲圖，刪去不可信的QKD 設備節點，在剩下的QKD 設備中進行組密鑰的協商；當組密鑰協商涉及多個子網時，認證中心需要向參與協商的多個子網廣播身份驗證結果，每個子網內的QKD 設備進行上述同樣的操作。這樣在密鑰協商過程中，保證了參與協商的設備節點都是可信的，保證了量子可信中繼的條件。

由于量子密鑰分發協議的特性，每個QKD 設備都有一個密鑰池用來管理自己和其他節點的對稱密鑰，

也就是說量子密鑰是成對出現的，如圖6 所示。

利用這一特征，本文提出的SAP-QGK-AP 首先在子網內部進行密鑰協商，以圖6 所示網絡為例。

（1）QKD 節點1、2、3、4 在同一子網內，當某個節點發出組密鑰協商請求時，同意參與組密鑰協商過程的節點首先向認證中心發送自己的身份信息，隨后認證中心向該子網廣播身份認證結果，各節點根據結果更新自己的網絡拓撲圖。

（2）假設節點1 是SAP-QGK-AP 的發起者，節點1利用深度優先搜索找到一條涵蓋所有參與節點的通路，若沒有找到，記錄通路中斷的節點信息，向子網內廣播該信息，并結束此次密鑰協商。

圖6

（3）如果通路搜索成功，對于節點1 來說，做如下運算：

即在連通圖中，每一個節點都可以通過類似運算和信息交換得到組成員之間的密鑰信息，然后利用這些密鑰生成共同的組內密鑰。

組間協商時，每個子網內都有一個邊緣QKD 設備與其他子網的邊緣設備相連，由于邊緣設備的密碼池中保存有當前子網的組密鑰，及與其他邊緣設備的對稱密鑰，因此宏觀上各個子網可以看做單獨的QKD 設備，在多個子網間進行步驟（3）的計算操作，從而可以得到所有子網共同的組密鑰。

（3）下發

當QKD 設備之間通過SAP-QGK-AP 協商出組密鑰后，需要將密鑰安全地下發給連接的用戶機。本文利用公私鑰方案進行密鑰的安全下發。

每個用戶節點利用ECC 算法生成一對公鑰和私鑰，隨后將公鑰及IP 信息通過傳統信道發送給連接的QKD 設備，QKD 設備使用公鑰對組密鑰加密，并發送給對應IP 的用戶機，用戶機利用自己的私鑰對信息解密，從而得到組密鑰KG。

2.3 效率分析

本節討論根據連通圖的類型討論組密鑰的計算輪次。根據網絡中各節點擁有不同密鑰的數量，分為三種典型QKD 網絡拓撲，如圖7 所示。

圖7

（a）該網絡拓撲共存在4 份不同的密鑰，組密鑰KG=K12⊕K23⊕K34⊕K41，計算輪次為9 次。

（b）該網絡拓撲共存在3 份不同的密鑰，組密鑰KG=K12⊕K23⊕K34，計算輪次為8 次。

（c）該網絡拓撲共存在6 份不同的密鑰，組密鑰KG=K12⊕K13⊕K14⊕K23⊕K24⊕K34，計算輪次為11 次。

當子網內部計算完畢，每個子網作為整體與其他子網進行計算時，由于子網間的協商只涉及邊緣節點，并且僅涉及位計算，因此可以大大節省計算輪次，提升組密鑰的協商效率。

3 結語

本文首先借助軟件定義網絡（SDN）的概念，提出了四層量子密鑰分發網絡模型。在該模型上，本文提出了一種子網劃分認證量子組密鑰協商協議（SAPQGK-AP），該協議與常見組密鑰協商方案相比，具有更小的協商輪次，更高的安全性。在SAP-QGK-AP 的基礎上，未來將繼續研究量子密鑰分發網絡中的密鑰樹構建及廣播方案的設計，以更好地提升協商過程中的安全性，以及協商的效率。