量子密鑰分發網絡方案研究*

侯 嘉，朱 江

（中國電子科技集團公司第三十研究所，四川 成都 610041）

0 引言

隨著互聯網技術的不斷發展和普及，網絡信息安全的重要性與日俱增。2013 年“棱鏡門”信息安全事件的發生，使得保障信息安全、防止竊聽受到了各國的高度重視。經典密碼安全建立在計算安全性之上，其中破解年限成為評估計算安全性的主要指標。然而，以大數質因子分解的量子計算方法[1]的提出為例，對于用超級計算機需要幾十年才能破解的2 048 位密鑰的RSA 加密算法，如果量子計算機具有2 000 個量子比特，則破解該算法只需要幾個小時。可見，計算安全性受到了嚴重威脅。

量子密鑰分發基于量子力學的基本原理，包括測量塌縮理論、海森堡不確定原理和量子不可克隆定律[2-3]，可以實現理論上無條件安全的密鑰分發。1984 年，Bennett 和Brassard 提出第一個量子密鑰分發協議——BB84 協議[4]。2000 年，BB84 協議被證明是無條件安全的[5]。然而，BB84 協議是針對點對點應用的，且由于傳輸損耗等原因，實現BB84協議的設備通信距離有限。因此，在實際應用中，需要設計和建設量子密鑰分發網絡，以解決多用戶、遠距離等應用需求。

本文重點針對量子密鑰分發組網方案進行研究。第1 節介紹國內外量子密鑰分發網絡現狀，引出基于經典光學器件的網絡方案和基于可信中繼的網絡方案兩類主要方案。第2 節和第3 節分別對兩類方案進行分析論述，并在第4 節對一種安全性更優但尚不實用的基于量子中繼的網絡方案進行分析論述，最后在第5 節對比幾種組網方案的優缺點，總結并提出量子密鑰分發網絡的一般性設計思想。

1 量子密鑰分發網絡現狀

1.1 國外量子密鑰分發網絡

2002—2007 年，在美國國防高級研究規劃局（Defense Advanced Research Projects Agency，DARPA）資助下，BBN 公司、哈佛大學和波士頓大學聯合開發了第一個實地建設的量子密鑰分發（Quantum Key Distribution，QKD）網絡[6]，如圖1所示。該QKD 網絡最終包含10 個節點，其中4 個節點使用光纖相位QKD 系統，使用2×2 光開關切換；4 個節點采用自由空間QKD 系統，通過可信中繼的方式接入；2 個節點采用偏振糾纏的光纖QKD系統，通過可信中繼的方式接入。

圖1 美國DARPA-QKD 網絡

2004—2008 年，歐盟成立了由41 個研究單位和公司組成的研發團隊開發SECOQC-QKD 網絡[7]，如圖2 所示。該網絡包含6 個節點，網絡結構中沒有使用光學路由，完全以可信中繼的方式連接。它共包含8 條鏈路，包括3 套plug ＆ play QKD 系統、1 套單向傳輸相位編碼QKD 系統、1 套COW 時間編碼QKD 系統、1 套糾纏QKD 系統和1 套自由空間QKD 系統。

圖2 歐洲SECOQC-QKD 網絡

2010 年，日本建設完成了東京QKD 網絡[8]，如圖3 所示。該網絡包含6 個節點，網絡結構中沒有使用光學路由，完全以可信中繼的方式連接。QKD 系統執行的協議包括BB84 協議、BBM92 協議、SARG 協議和差分相位協議，最遠傳輸距離達到 90 km，并在網絡上演示了安全視頻會議。

圖3 日本東京QKD 網絡

1.2 國內量子密鑰分發網絡

2009 年，中國科技技術大學郭光燦研究團隊在蕪湖建設完成7 節點的QKD 網絡[9]，如圖4 所示。該網絡中采用誘騙態BB84 相位編碼QKD 設備，其中4 個節點使用基于波分復用技術構造的量子路由器實現4 個節點的全時全通，1 個節點通過可信中繼的方式接入，其余2 個節點通過光開關連接。

圖4 7 節點QKD 網絡

2017 年，中國科學技術大學潘建偉研究團隊完成星地量子密鑰分發網絡通信[10]，如圖5 所示。該網絡以墨子號衛星作為可信中繼節點，在相距 7 600 km 的中國和歐洲產生安全量子密鑰，首次實現了星地量子通信，初步構建了我國的廣域量子保密通信體系[11]。

圖5 星地QKD 網絡

1.3 國內外量子密鑰分發網絡現狀分析

國內外的量子密鑰分發網絡已經陸續建設。針對組網方案，美國DARPA-QKD 網絡采用光開關和可信中繼的組網方案，歐洲SECOQC-QKD 網絡和日本東京QKD 網絡采用可信中繼的組網方案，中國蕪湖七節點QKD 網絡采用波分復用器構造的量子路由器、光開關和可信中繼的組網方案，中國星地QKD 網絡采用可信中繼的組網方案。量子密鑰分發網絡實際組網方案應結合實際需求，靈活選取合適的網絡方案。目前，采用的實用化方案主要分為兩大類：一類是基于經典光學器件的網絡方案；另一類是基于可信中繼的網絡方案。

2 基于經典光學器件的網絡方案

2.1 基于光分束器的網絡方案

基于分束器的組網方案最早由Townsend 等人在1994 年提出，如圖6 所示[12]。發送終端Alice 通過1×N光分束器與N個接收終端進行量子密鑰分發。

圖6 基于光分束器的星型網絡

除星型網絡外，還可以采用多個光分束器級聯組成分支型網絡，如圖7 所示[13]。

圖7 基于光分束器的分支網絡

雖然光分束器組網很容易實現，成本也較低，無需主動切換，但是隨著用戶規模的增加，光分束器造成的損耗接近用戶數的1/N，導致收發雙方安全密鑰分發速率低。隨著網絡規模的擴大，安全密鑰分發速率將成比例下降。以1×32 用戶為例，光分束器的插入損耗大概在16 dB，則光分束器相當于80 km 的標準光纖傳輸信道。

2.2 基于光開關的網絡方案

圖8 為基于光開關的星型QKD 網絡，發送終端Alice 通過一個1×2 的光開關分別與接收終端Bob1 和Bob2 進行量子密鑰分發[14]。

除星型網絡外，還可以采用多個光開關級聯組成分支QKD 網絡、環形控制QKD 網絡和多對多的QKD 網絡，如圖9、圖10 和圖11 所示[15]。

圖9 基于光開關的分支QKD 網絡

圖10 基于光開關的環形QKD 網絡

圖11 基于光開關的多對多QKD 網絡

光開關型網絡需要主動切換，實現用戶節點間的選擇連通。光開關的插入損耗相對分束器較低，可以很方便地進行擴展。鏈路損耗不會由于網絡規模的增大而增大。以1×32 用戶為例，光開關的插入損耗大概在1 dB，對于量子密鑰分發效率的影響很小。光開關相當于5 km 的標準光纖傳輸 信道。

2.3 基于波分復用器的網絡方案

圖12 是基于AWG 的星型QKD 網絡[12]。發送終端Alice 使用可調諧激光器，當與Bob 進行量子密鑰分發時，使用λ1；當與Chris 進行量子密鑰分發時，使用λ2；以此類推，至第N個接收方。

圖12 基于AWG 的星型QKD 網絡

除星型網絡外，還可以采用多個光纖光柵級聯組成總線型QKD 網絡。當有新用戶加入時，在總線上插入對應波長的光纖光柵即可，如圖13所示[12]。

圖13 基于光纖光柵總線型QKD 網絡

在上述基礎上，使用4 個波分復用器組合構成4 端口量子路由器來實現特定的功能。如圖14 所示[9]，以A 點為例，A 發送波長1 與D 進行量子通信，A 發送波長2 與B 進行量子通信，A 發送波長3 與C 進行量子通信；其他節點類似。當A 和C 發送波長1、接收波長2，B 和D 發送波長2、接收波長1 時，則可以實現4 節點全時全通網絡。

圖14 基于波分復用4 端口量子路由器全時全通QKD 網絡

4 端口量子路由器雖然可以擴展，但是其使用波長數較多。例如：對于一個N節點網絡，需要N或者N-1 個波長方能實現所有用戶的連通。

圖15 和圖16 是波長節約型量子路由器的兩種基本結構[16]，由波分復用器和環形器組合而成。它構成的5 節點QKD 網絡如圖17 所示，即使用兩個波長實現了5 個節點間的全時全通。

圖15 波長節約型量子路由器基本結構1

圖16 波長節約型量子路由器基本結構2

如圖17 所示，1、2、3、4、5、A、B、C、D、E 均為如圖15 所示的基本結構。以A 節點為例，QKD 發送波長λ1的光和B 點接收端進行量子密鑰分發，QKD 發送波長λ2的光和C 點接收端進行量子密鑰分發，QKD 接收λ1的光與D 點進行量子密鑰分發，QKD 接收λ2的光與E 點進行量子密鑰分發。所有節點QKD 均同時發送λ1或者同時發送λ2，可以實現5 節點全時全通。

圖17 兩波長全時全通5 節點QKD 網絡

波分復用組網方案需要QKD 按照組網方案做適當改動。波分復用器的插入損耗相對分束器較低、相對光開關稍高，但可以很方便地進行擴展。鏈路損耗不會由于網絡規模的增大而增大。以C 波段40 通道波分復用為例，波分復用器的插入損耗大概在4.5 dB，對于量子密鑰分發效率的影響較小，相當于22.5 km 的標準光纖傳輸信道。通過控制節點QKD 的發送波長，使用波分復用器組合成的量子路由器組網可以實現節點間的任意互通和全時全通。

2.4 對比分析

使用經典光學器件如光分束器、光開關、波分復用器等實現QKD 的組網。光學器件具有插入損耗會降低QKD 的安全傳輸距離，但是成本較低，可以更有效地利用資源，實現網絡尋址和路由。

在安全性方面，基于光學器件的組網方案中，光學器件不對量子信號進行測量，可以等效為一定衰減的光纖線路。所以，基于光學器件的組網方案均不影響系統的安全性。在損耗方面，基于光開關的組網方案＜基于波分復用器的組網方案＜基于光分束器的組網方案。隨著用戶規模的增加，只有基于光分束器的組網方案損耗急劇增加，故基于光分束器的組網方案擴展性較差。在互通性方面，只有基于波分復用器構造的量子路由器的組網方案可實現全時全通。在控制方式方面，只有光開關是有源器件，其他器件均為無源器件，可以實現自動/被動尋址。基于光開關的組網方案根據需要主動切換。

使用基于經典光學器件的組網方案能夠實現多用戶的量子密鑰分發共享，但并不能有效解決QKD的安全傳輸距離受限問題，故此類組網方案主要針對傳輸距離不是很遠的場景。當需要使用量子密鑰的通信雙方相距較遠且無法滿足點到點的QKD 傳輸距離時，則需要使用中繼的方式。

3 基于可信中繼的網絡方案

3.1 方案原理

基于可信中繼的QKD 網絡方案最早由Elloitt提出[17]。如圖18 所示，可信中繼的基本思想是將Alice 和Bob 之間的QKD 鏈路分成n個小段，每一段之間采用可信中繼連接，利用相鄰節點之間量子密鑰分發產生量子密鑰，再使用量子密鑰結合一次一密技術逐段加密解密，最終Alice 和Bob 共享一對量子密鑰。

圖18 可信中繼模型

可信中繼步驟如下。

步驟1：相鄰節點之間各自進行QKD 過程，兩兩之間生成量子密鑰ki（其中i=1,2,…,n）；即Alice 和第1 個可信中繼節點生成量子密鑰k1，Bob與第n-1 個可信中繼節點生成量子密鑰kn；

步驟2：第1 個可信中繼節點采用“一次一密”加密方案，使用k2加密k1，將密文信息（k1⊕k2）通過經典信道發送給第2 個可信中繼節點；

步驟3：第2 個可信中繼節點利用k2解密接收到的密文信息（k1⊕k2），執行（k1⊕k2）⊕k2操作，得到需要中繼的k1；繼續執行步驟2，將k1加密傳輸給下一個可信中繼節點；

步驟4：逐段的執行步驟2 和步驟3，最終Bob利用與可信中繼節點n-1 生成的量子密鑰kn解密密文信息（k1⊕kn）⊕kn，實現Alice 和Bob 共享量子密鑰k1。

3.2 方案分析

可信中繼網絡是基于點到點QKD 的擴展，當相距較遠的節點之間需要分發共享量子密鑰時，則可以使用中繼技術進行量子密鑰的中繼，從而延長量子密鑰分發距離。

在安全性方面，Alice 和Bob 共享的量子密鑰k1以明文的形式存在于可信中繼節點，故可以認為可信中繼節點是能夠使用k1解密并掌握保密通信內容的。這種方案的安全性前提是所有的中繼節點必須可信。要實現中繼節點的可信，通常需要人、物、管理、技術等多重手段予以綜合保證。在損耗方面，中繼節點需要逐段加密，但加密過程消耗中繼節點的密鑰。在互通性方面，只有相鄰的節點可以直接進行量子密鑰分發，經過中繼后可以在任意節點共享密鑰。在控制方式方面，采用的是逐段生成量子密鑰，逐段加密進行量子密鑰中繼。

此外，可信中繼方案還可以用于實現多用戶之間量子密鑰分發共享，如圖19 所示。

圖19 中，A-B、C-D、A-C、B-D、A-D、B-C均可以通過中繼方式完成密鑰共享，從而實現網絡中A、B、C、D 多用戶的量子密鑰分發共享。此時，中繼節點1 成為網絡的中心節點，可以為其設置特定的中繼交換規則來實現用戶所希望的A、B、C、D 之間特定的密鑰共享關系（如允許A-B、A-C 共享密鑰，但不允許A-D 共享密鑰）。

圖19 多用戶可信中繼QKD 網絡

4 基于量子中繼的網絡方案

4.1 方案原理

量子中繼最早由Briegel 提出[18]。如圖20 所示，量子中繼的基本思想是量子中繼基于糾纏原理實現，不再使用單光子方案，將Alice 和Bob 之間的鏈路分成n個小段，相鄰節點之間利用糾纏分發、存儲、純化和交換技術，最終使Alice 和Bob 共享量子糾纏產生的一對量子密鑰。

圖20 量子中繼模型（QM：量子存儲器）

量子中繼步驟如下。

步驟1：相鄰節點之間進行糾纏分發，并由QM 存儲；當糾纏度未達到使用要求時，需要使用糾纏純化技術提高量子態的糾纏度。

步驟2：使用糾纏交換技術，對C1節點兩端的QM 進行貝爾態投影測量，使Alice 和C2節點的QM 處于糾纏態。當糾纏度未達到使用要求時，需要使用糾纏純化技術提高量子態的糾纏度。

步驟3：不斷重復上述過程，直至Alice 和Bob的QM 處于糾纏態，在此基礎上，使用基于糾纏的QKD 協議，最終實現Alice 和Bob 共享量子密鑰。

4.2 方案分析

與可信中繼方案相似，量子中繼方案也可用于延長量子密鑰分發距離。在損耗方面，中繼節點需要糾纏交換，消耗中繼節點存儲的量子糾纏態。在互通性方面，只有相鄰的節點進行糾纏分發，經過中繼后可以任意節點共享密鑰。在控制方式上，采用的是分段方式實現糾纏分發、存儲、純化和交換。

相對于可信中繼方案依賴中繼節點須可信的前提條件，量子中繼方案的通信雙方在最終測量前，量子糾纏一直處于量子疊加態，量子密鑰不會存在于中繼節點，故并不要求中繼節點必須可信，因此量子中繼可以認為是一種無條件安全的中繼方案。但是，目前量子中繼在實現上存在技術難點，暫時未達到實用的程度。

5 結語

量子密鑰分發可以在異地生成安全的量子密鑰，結合“一次一密”加密技術可以實現無條件安全的量子通信。本文針對目前存在的主要QKD 網絡方案進行研究，分析每種組網方案的優缺點，具體如表1 所示。

表1 量子密鑰分發網絡組網方案對比

量子密鑰分發組網方案應與實際應用需求相結合，將其一般性設計思想總結如下。

（1）對于主干網絡，量子密鑰分發網絡以可信中繼方案為主，重點解決地區與地區間遠距離通信的需求。同時，主干網絡作為重要基礎設施，相應的人力、物力、管理、技術等資源保障一般是較為充足的，可為中繼節點的安全可信提供較好的保證。

（2）對于城域網絡，結合城市間通信距離需求，可采用混合式組網方案，包括可信中繼、光開關、波分復用型量子路由器等。其中，對于需要做到任意兩點連通和全時全通的節點，采用波分復用型量子路由器；對于連通要求不高的節點，采用光開關型組網方案；對于中間節點，若通信距離需要，也可采用可信中繼的方案。

（3）對于接入網絡，通常通信距離要求不高，可使用光分束器、光開關、波分復用器等組網方案。

（4）成本也是一項需要考慮的要素。不同用戶對量子密鑰分發性能、通信距離、網絡規模的需求不同，組網方案應當結合成本因素進行綜合設計。

綜上，本文對量子密鑰分發組網方案進行了研究，以促進量子密鑰分發技術走出實驗室、形成“生產力”為指導思想，預期對量子密鑰分發網絡實際的設計和建設工作提供有益的指導或參考價值。