云南廣電網(wǎng)絡(luò)量子通信干線網(wǎng)建設(shè)的探索

蘇愛平，繆真?zhèn)ィ盼呐?/p>

（云南廣電網(wǎng)絡(luò)網(wǎng)絡(luò)集團，昆明 650000）

量子通信是指利用量子糾纏效應(yīng)進行信息傳遞的一種新型的通信方式。量子通信是近二十年發(fā)展起來的新型交叉學(xué)科，是量子論和信息論相結(jié)合的新的研究領(lǐng)域。量子通信主要涉及：量子密碼通信、量子遠程傳態(tài)和量子密集編碼等，近來這門學(xué)科已逐步從理論走向?qū)嶒灒⑾驅(qū)嵱没l(fā)展。高效安全的信息傳輸日益受到人們的關(guān)注?；诹孔恿W(xué)的基本原理，并因此成為國際上量子物理和信息科學(xué)的研究熱點。

隨著媒體融合的快速發(fā)展，廣播影視業(yè)務(wù)形態(tài)、用戶需求、監(jiān)管對象日趨復(fù)雜多樣，給安播運維和依法監(jiān)管等方面帶來諸多新挑戰(zhàn)。在傳統(tǒng)媒體和新興媒體融合過程中，不斷強化信息安全風(fēng)險防控意識和信息安全水平，對于廣播電視安全播出維護、行政監(jiān)管等方面具有重要的意義。為保障廣電網(wǎng)絡(luò)數(shù)字電視內(nèi)容安全，在量子保密通信的安全模式下，實現(xiàn)視頻直播、VOD 點播和交互視頻（視頻通信和視頻會議），并以此為基礎(chǔ)，開展技術(shù)推廣應(yīng)用工作。

量子通信作為不可破譯的無條件安全技術(shù)，是對傳統(tǒng)密碼技術(shù)的突破性跨越，可有效保證黨、政、軍及涉及國計民生的社會重要領(lǐng)域顯示出無與倫比的魅力。我國高度重視量子通信建設(shè)，并作為體現(xiàn)國家重大戰(zhàn)略意圖的重點工程列入了國家“十三五”發(fā)展規(guī)劃。各省、市、自治區(qū)也紛紛出臺措施推動量子通信產(chǎn)業(yè)發(fā)展。

1 項目建設(shè)目標(biāo)和范圍

“昆—玉”量子干線網(wǎng)作為云南省干線網(wǎng)一期實施的量子信息安全保密網(wǎng)，與昆明市即將建設(shè)的市級行政中心量子通信政務(wù)網(wǎng)同步推進，對于云南省量子通信的引進、應(yīng)用和全面建設(shè)提供試驗、試點、示范具有十分重要的戰(zhàn)略意義和市場效應(yīng)?！袄ァ瘛绷孔痈删€網(wǎng)具體網(wǎng)絡(luò)拓撲參考圖1。

圖1 廣電網(wǎng)絡(luò)量子保密干線試點項目拓撲

1.1 實現(xiàn)目標(biāo)

（1）將已建成的廣電網(wǎng)絡(luò)“昆明—呈貢”量子保密通信干線拓展至玉溪，建成“昆明—玉溪”量子保密通信干線網(wǎng)落。

（2）基于“昆明—玉溪”量子保密通信干線網(wǎng)落，拓展廣電網(wǎng)絡(luò)、電力及金融領(lǐng)域的量子保密通信應(yīng)用落地。

（3）研究并開發(fā)適配向已有加密設(shè)備提供量子密鑰服務(wù)，進行量子密鑰服務(wù)的運營探索。

1.2 建設(shè)原則

依托現(xiàn)有云南廣電網(wǎng)絡(luò)集團公司光纖網(wǎng)絡(luò)資源，增加相應(yīng)的量子保密通信設(shè)備，充分融合現(xiàn)有網(wǎng)絡(luò)，具備利用量子密鑰對用戶各類重要業(yè)務(wù)數(shù)據(jù)進行加密保護，確保用戶數(shù)據(jù)在存儲、傳輸過程中的無條件安全能力。

1.3 項目任務(wù)

完成一期昆明至呈貢量子密鑰分發(fā)骨干網(wǎng)絡(luò)的搭建及相關(guān)演示；并為后續(xù)二期由呈貢延伸到玉溪，并實現(xiàn)省、市級黨委宣傳部門和省、市級金融系統(tǒng)（農(nóng)信社）的業(yè)務(wù)在量子保密通信網(wǎng)絡(luò)上安全保密應(yīng)用。

2 項目技術(shù)方案

2.1 量子通信的基本原理

光量子通信主要基于量子糾纏態(tài)的理論，使用量子隱形傳態(tài)（傳輸）的方式實現(xiàn)信息傳遞。根據(jù)實驗驗證，具有糾纏態(tài)的兩個粒子無論相距多遠，只要一個發(fā)生變化，另外一個也會瞬間發(fā)生變化，利用這個特性實現(xiàn)光量子通信的過程如下：事先構(gòu)建一對具有糾纏態(tài)的粒子，將兩個粒子分別放在通信雙方，將具有未知量子態(tài)的粒子與發(fā)送方的粒子進行聯(lián)合測量（一種操作），則接收方的粒子瞬間發(fā)生坍塌（變化），坍塌（變化）為某種狀態(tài)，這個狀態(tài)與發(fā)送方的粒子坍塌（變化）后的狀態(tài)是對稱的，然后將聯(lián)合測量的信息通過經(jīng)典信道傳送給接收方，接收方根據(jù)接收到的信息對坍塌的粒子進行幺正變換（相當(dāng)于逆轉(zhuǎn)變換），即可得到與發(fā)送方完全相同的未知量子態(tài)。

經(jīng)典通信較光量子通信相比，其安全性和高效性都無法與之相提并論。安全性-量子通信絕不會“泄密”，其一體現(xiàn)在量子加密的密鑰是隨機的，即使被竊取者截獲，也無法得到正確的密鑰，因此無法破解信息；其二，分別在通信雙方手中具有糾纏態(tài)的2個粒子，其中一個粒子的量子態(tài)發(fā)生變化，另外一方的量子態(tài)就會隨之立刻變化，并且根據(jù)量子理論，宏觀的任何觀察和干擾，都會立刻改變量子態(tài)，引起其坍塌，因此竊取者由于干擾而得到的信息已經(jīng)破壞，并非原有信息。高效，被傳輸?shù)奈粗孔討B(tài)在被測量之前會處于糾纏態(tài)，即同時代表多個狀態(tài)，例如一個量子態(tài)可以同時表示0和1兩個數(shù)字，7個這樣的量子態(tài)就可以同時表示128個狀態(tài)或128個數(shù)字：0～127。光量子通信的這樣一次傳輸，就相當(dāng)于經(jīng)典通信方式的128次?？梢韵胂笕绻麄鬏攷捠?4位或者更高，那么效率之差將是驚人的。

2.2 廣電網(wǎng)絡(luò)量子通信技術(shù)組網(wǎng)方案

利用昆明至呈貢現(xiàn)有光纖資源，以及傳輸節(jié)點機房資源，放置40MHzQKD（量子密鑰分發(fā)）設(shè)備構(gòu)筑量子保密通信干線網(wǎng)絡(luò)，具體組網(wǎng)方案如圖2。該組網(wǎng)方案有以下：特點密鑰采用量子真隨機數(shù)源：確保一次一密，從源頭保障密鑰的安全可信；利舊資源，不改變現(xiàn)有網(wǎng)絡(luò)，有效保護原有投資：利用昆明至呈貢現(xiàn)有光纖資源，以及傳輸節(jié)點機房資源；同時，不改變現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)，與現(xiàn)有網(wǎng)絡(luò)無縫融合；網(wǎng)絡(luò)結(jié)構(gòu)可擴展，穩(wěn)定，應(yīng)用部署方式靈活：可作為骨干擴展網(wǎng)絡(luò)結(jié)構(gòu)或按需靈活部署應(yīng)用，且穩(wěn)定性可達電信級。量子通信網(wǎng)須能提供保證任意多點共享密鑰的量子密鑰服務(wù)，同時可基于一期網(wǎng)絡(luò)擴展骨干及接入部分。具體組網(wǎng)方案參考圖2：

2.3 關(guān)鍵技術(shù)

圖2 廣電網(wǎng)絡(luò)量子通信技術(shù)組網(wǎng)方案

2.3.1 量子真隨機數(shù)源，成碼率高

量子密鑰分發(fā)設(shè)備QKD 設(shè)備須采用量子真隨機數(shù)發(fā)生器產(chǎn)生的隨機數(shù)源作為加密密鑰。

2.3.2 波分混傳，透明串接有效保護現(xiàn)有投資

該技術(shù)將量子信道、同步信道、雙向經(jīng)典數(shù)據(jù)四合一混傳，不占用額外的光纖資源。支持透明串接技術(shù)，能夠方便的接入用戶網(wǎng)絡(luò)，無需用戶設(shè)備修改配置，具有簡單易用的組網(wǎng)優(yōu)勢。

2.3.3 支持多業(yè)務(wù)接入

（1）支持廣電網(wǎng)絡(luò)組播業(yè)務(wù)接入；

（2）支持金融、政務(wù)等各類應(yīng)用：滿足政府企辦公或個人用戶量子安全電子郵件、量子安全文件存儲、量子安全通話/即時消息、網(wǎng)絡(luò)打印機、視頻會議系統(tǒng)等量子密鑰加密應(yīng)用。

2.4 設(shè)備穩(wěn)定可靠，組網(wǎng)靈活

（1） QKD 設(shè)備達到電信級要求。

（1）量子通信網(wǎng)須能提供保證任意多點共享密鑰的量子密鑰服務(wù)，同時可基于一期網(wǎng)絡(luò)擴展骨干及接入部分。

3 量子加密測試科目

量子保密干線一期集成測試內(nèi)容主要包括以下幾個方面：

（1）硬件設(shè)備的測試：按硬件安裝質(zhì)量標(biāo)準建議。

（2）設(shè)備軟件的測試：按軟件調(diào)測質(zhì)量建議。

（3）量子保密通信特性驗收測試。

3.1 QKD 量子密鑰成碼速率

（1）配置QKD 設(shè)備正常運行，記錄實際量子光纖通道的損耗值。

（2）通過QKD 設(shè)備網(wǎng)管系統(tǒng)查詢并記錄量子信道誤碼率的實時值，測試一小時，記錄平均值和變化范圍。

3.2 QKD 設(shè)備成碼時間

（1）配置QKD 設(shè)備正常運行，保持量子密鑰持續(xù)生成。

（2）對QKD 設(shè)備進行下電，隨后上電，記錄設(shè)備冷啟動后到生成量子密鑰的時間。

3.3 QKM（量子密鑰管理）量子密鑰獲取

（1）配置QKD 設(shè)備正常運行，保持量子密鑰持續(xù)生成。

（2）配置QKM，以正確的認證信息進行接入。

（3）在QKM 上查看量子密鑰的獲取情況，觀察數(shù)據(jù)庫中量子密鑰的補充情況。

4 量子加密通信演示方案

4.1 視頻流（IP）加密

視頻內(nèi)容采用組播協(xié)議進行傳輸，從編碼器發(fā)出的組播流通常未被加密。具體組網(wǎng)方案參考圖3。

4.1.1 視頻加密網(wǎng)絡(luò)組網(wǎng)

4.1.2 演示步驟

（1）由廣電網(wǎng)絡(luò)提供一路視頻直播頻道組播環(huán)境，將一臺量子安全加密機串接在直播源下行端口，另一個加密終端放置在組播能夠到達的網(wǎng)絡(luò)另一側(cè)；

圖3 直播頻道組播流加密

（2）使用測試電腦或機頂盒，在能夠接入組播流的網(wǎng)絡(luò)位置，通過VLC 播放組播視頻或由廣電網(wǎng)絡(luò)提供相應(yīng)機頂盒進行播放；

（3）配置量子安全加密機和加密終端，對測試直播頻道組播流進行加密，觀察VLC 視頻播放情況。4.1.3 結(jié)果驗證

未開啟加密功能時，VLC 或機頂盒可以從網(wǎng)絡(luò)上播放視頻流；當(dāng)使用量子安全加密設(shè)備對視頻組播流加密后，VLC 或機頂盒無法播放視頻。

4.2 量子密鑰分發(fā)竊聽感知

量子密鑰分發(fā)采用QKD 設(shè)備，基于量子力學(xué)的單光子不可分割、不可復(fù)制、不可觀測特性，保護密鑰分發(fā)的絕對安全性。具體組網(wǎng)方案參考圖4。

4.2.1 密鑰分發(fā)網(wǎng)絡(luò)模擬竊聽組網(wǎng)

圖4 量子密鑰竊聽感知演示

4.2.2 演示步驟

（1）搭建QKD、QNMS（量子通信網(wǎng)絡(luò)管理系統(tǒng)）量子密鑰分發(fā)網(wǎng)絡(luò)，在密鑰傳輸光纖位置放置竊聽分光器；

（2）調(diào)試兩端QKD，確保量子密鑰正常分發(fā)，按下竊聽分光器，觀察QNMS 網(wǎng)管平臺。

4.2.3 結(jié)果驗證

當(dāng)量子密鑰分發(fā)鏈路存在竊聽時，QNMS 網(wǎng)管出現(xiàn)告警，停止竊聽后，系統(tǒng)恢復(fù)正常。

5 結(jié)束語

云南廣電網(wǎng)絡(luò)量子保密干線試點項目為云南省量子通信的引進、應(yīng)用和全面建設(shè)提供試驗、試點示范?？梢杂行檎?wù)、企業(yè)、金融及軍民融合等領(lǐng)域提供數(shù)據(jù)保密通信服務(wù)，提升整體網(wǎng)絡(luò)信息安全有著非常重要的戰(zhàn)略意義。