量子密钥分发光网络密钥池构建方法 下载: 1319次
1 引言
安全问题是目前信息网络领域面临的一个重大问题,对信息加密是一种解决此类问题的有效途径[1]。基于量子力学的基本定律,量子密钥分发(QKD)技术实现了通信双方安全的量子密钥分发,结合一次一密(OTP)[2-3]可以确保加密通信的无条件安全[4]。
QKD光网络指量子设备通过光纤进行互联,为不同节点对之间提供分发密钥功能的网络。QKD光网络中的关键是密钥资源的分配与疏导问题,与传统光网络资源不同,密钥资源具有“逐渐生成并累积,消耗瞬时发生”的特点[5],而密钥生成速率一般较低,只能通过密钥资源的积累来满足密钥的使用需求,这使得QKD网络资源状态多变,难以实现全网络密钥资源的高效利用。因此,借鉴传统密钥学理论,学者们提出QKD网络密钥池(KP)的概念[6-7],密钥以成对的方式存储在各节点内部的密钥存储设备中,并将每对节点的存储设备都抽象成一个密钥池,每个密钥池中又可划分多个虚拟的密钥空间,称为虚拟密钥池(VKP),通过索引进行表示。
将来伴随着网络规模、用户数量的不断增长,QKD网络结构会越来越复杂,所承载的密钥应用需求也多种多样。由于QKD只能进行点到点分发,QKD网络在实际应用中将会面临许多未考虑到的难题,例如:如何合理利用信道资源在量子节点间生成密钥资源;如何合理使用节点间的密钥资源为安全业务进行加密;如何统一承载多种类型加密业务等。这些都将直接影响未来QKD网络量子节点之间的密钥生成速率、密钥资源利用率等指标。因此,面对如今日益增长的安全需求,构建QKD光网络密钥池,合理而高效地进行密钥的生成、管理与使用,保证QKD光网络的高效运行成为未来发展的趋势。
本文充分考虑密钥资源的特点,综合分析现有密钥池设备及软件定义网络(SDN)功能意义,并提出密钥即服务(KaaS)框架及基于密钥池的QKD光网络架构,以实现量子密钥分发的高效部署与实施。本文主要工作为:1)提出KaaS的新概念,并将密钥池的构建及虚拟密钥池的构建相结合,用于实现QKD网络的高效部署与实施;2)展示一种基于密钥池的QKD光网络架构,其中控制层由SDN实现,以有效地管理整个网络及密钥池资源;3)针对该新型架构,提出一种静态的QKD光网络密钥池资源调度方案,并进行仿真验证,结果显示该方案具有较高的资源利用率及业务安全概率。
2 量子密钥分发
QKD的安全性由量子力学的三大特性来保证[4],QKD可以使通信双方随机产生并分发一组量子密钥。量子密钥的分发主要包括2个阶段。第1阶段是量子信号的产生、编解码、传输及测量,这里涉及到的都是量子信号,但QKD只用于产生和分发密钥,并没有传输任何有语义的信息。第2阶段需要对测量结果进行基矢对比、错误校验、隐私放大等步骤,这里涉及到的主要是经典信息的传输。
然而量子信道中微弱量子信号的损失限制了QKD的距离和密钥率,致使QKD的距离不超过100 km[13]。由于目前量子中继技术还较难实现,学者们认为可信中继是一种应对这一挑战的折衷和实用的解决方案[14-15]。
可信中继技术是异或(XOR)中继技术,在节点处只暂存经过异或后的量子密钥,减轻了中继节点的安全防护难度。异或中继的原理如
3 基于密钥池的量子密钥分发网络架构
当前对QKD光网络密钥池概念的研究,大多都是将密钥池当成一个存储设备,将源源不断生成的密钥存储在密钥池中,当对应的安全业务需求到来时,直接在密钥池中获取相应数目的密钥即可。但随着网络规模、用户数量的扩张,安全业务的不断增多,越来越需要对密钥存储进行管控,从而实现信道资源及密钥资源的合理调度与高效利用。
为实现业务的安全传输及密钥资源的高效利用,提出一种量子密钥分发框架,称为密钥即服务式框架。其将密钥看成一种服务,使得密钥的生成及密钥的使用解耦,具体过程如
用于存储密钥池中部分密钥。在其他QKD系统中,量子节点生成的密钥存储在各自节点的KS中,当安全业务到来时,利用KS中的密钥,对业务进行加密传输。密钥即服务式框架在原来的基础上增加2个虚拟化步骤,密钥池构建及虚拟密钥池构建,KP构建主要用于将量子节点间KS存储的密钥虚拟化到密钥池中,便于密钥资源的管理。VKP构建主要用于将部分密钥池中的资源虚拟化到VKP中,用来满足特定用户的需求,实现资源的高效利用。
为更好地实现密钥即服务式框架中的KP构建及VKP构建,引入SDN技术,其核心是利用软件编程的方式进行动态定制,实现对设备高效全局控制及资源的灵活调度。据此,基于量子密钥池提出一种新颖的QKD光网络架构,如
1)KP构建流程(1~6):对量子节点及量子KP进行配置,当QKD网络配置请求到达时,控制层和QKD层进行一系列交互,实现密钥的生成与交换,生成的密钥存储在各自的KP中。
2)VKP构建流程(7~12):对VKP进行配置,根据KP的资源,为不同的安全请求分配VKP,从而完成所需安全业务的保密传输功能。
图 5. 应用层、控制层及QKD层的信令交互机制
Fig. 5. Intercommunication procedure among APP layer, control layer, and QKD layer
4 新型密钥分发网络架构应用场景
基于量子密钥池的软件定义量子密钥分发架构可以广泛应用于量子保密骨干通信、量子保密接入网络、量子移动终端保密、量子保密数据中心网络、量子保密虚拟私人网络(VPN)等场景,下面主要就量子保密数据中心网络的应用进行简单介绍。
在数据中心网络中应用QKD网络可以实现同城异城数据中心互联组网,提供无条件安全数据传输服务,能够为对数据安全、服务水准有较高要求的客户群体,提供高端数据存储和增值服务。但是数据中心业务,尤其是数据中心的备份业务,不仅具有高安全性,也存在着业务量大、业务时间长的特点,因此对密钥的需求量也比较大。KP及VKP的存在为数据中心安全业务提供了新的密钥存储与管理方式,实现密钥资源的高效部署与使用。对于KP的构建,当数据中心节点积累足够多的密钥时,可满足高突发、大容量的安全业务需求。VKP的构建为安全业务提供了一一对应的密钥资源,将业务需要的密钥放置在对应编号的VKP中。
图 6. 新架构下量子保密数据中心网络
Fig. 6. Quantum secure data center network under the new architecture
SDN技术可以为数据中心QKD网络提供网络流量的灵活控制,使网络作为管道变得更加智能,为核心网络及应用的创新提供良好的平台。如
5 量子密钥分发光网络密钥池资源调度方法
为保证在不同的安全需求条件下,都可以实现对KP及VKP的构建,以提高密钥资源的利用效率,讨论相应的KP构建方法及VKP构建方法,其中KP构建方法主要用于密钥资源生成调度,VKP的构建用于密钥资源的消耗调度。
KP构建的主要目的是利用有限的量子信道资源,来生成需要的密钥并保存到KP中。量子信道通过时分复用方式,以
对于VKP构建来说,存储在密钥池中的密钥资源成为一个新的资源维度,密钥池中的部分密钥可以用来虚拟化以构建VKP,用来满足特定用户的安全需求,并使密钥的需求与基础设施解耦。不同的VKP构建业务的密钥需求是不同的,这与其在光网络中需要加密传输的业务量有直接的关系。
图 7. 算法流程图。(a) KP构建算法;(b) VKP构建算法
Fig. 7. Flowchart of algorithm. (a) KP constructing algorithm; (b) VKP constructing algorithm
图 8. 时分复用周期T 及量子信道个数W 对KP构建业务成功率及资源利用率的影响
Fig. 8. Effects of time division multiplexing period T and quantum channel number W on success probability and resource utilization of KP construction
6 结果与分析
为验证KP构建方法及VKP构建方法的有效性及高效性,对这两种构建方法进行仿真验证。
在对VKP构建方法的仿真验证中,将虚拟光网络(VON)请求作为一个VKP构建业务的表现形式进行验证,其结果如
图 9. N 、Kv 、P 及K 对VONs业务安全概率的影响
Fig. 9. Effects of N , Kv , P , and K on security probability of VONs
7 结论
对量子密钥分发技术的特点及密钥池特性进行分析,针对密钥资源“逐渐累积,瞬间消耗”的特点,提出密钥即服务框架,并将之与密钥池构建、虚拟密钥池构建相结合,提出基于密钥池的量子密钥分发光网络架构,最后给出基于该架构的密钥池构建方法和密钥资源调度方法。仿真结果显示该方案具有较高的资源利用率及业务安全概率,可实现密钥池密钥资源部署与虚拟密钥池密钥资源使用的平衡。本文目前只考虑在多路复用光网络中进行密钥的生成与使用,而未来的量子密钥分发光网络将朝高移植性、高灵活性的方向发展,因此接下来的研究将会把重点放在灵活网络中密钥池与虚拟密钥池的构建机制及密钥资源的部署与使用方案中,以尽最大可能提升量子光网络中资源的利用率。
[1] 吴克难, 胡家升, 乌旭. 信息安全中的光学加密技术[J]. 激光与光电子学进展, 2008, 45(7): 30-38.
[3] Bennett C H, Brassard G. Quantum cryptography: public key distribution and coin tossing[J]. IEEE International Conference on Computers, Systems and Signal Processing, 1984, 560: 175-179.
[4] Elkouss D, Martinez-Mateo J, Ciurana A, et al. Secure optical networks based on quantum key distribution and weakly trusted repeaters[J]. Journal of Optical Communications and Networking, 2013, 5(4): 316-328.
[5] 杨超. 广域量子密钥网络模型及路由技术研究[D]. 河南: 战略支援部队信息工程大学, 2018.
YangC. Research on wide area quantum key network model and routing technology[D]. Henan: Information Engineering University, 2018.
[8] 程康, 周媛媛, 王欢. 测量设备无关的经典-量子信号共纤传输方案[J]. 激光与光电子学进展, 2019, 56(8): 082701.
[11] 魏世海, 樊矾, 杨杰, 等. 高速小型化光量子随机数发生器[J]. 中国激光, 2018, 45(5): 0512001.
[12] 王潋, 周媛媛, 周学军, 等. 泡沫覆盖不规则海面的空-水量子密钥分发[J]. 光学学报, 2018, 38(10): 1027002.
张梓平, 刘国军, 董凯, 郁小松, 陆旭, 黄兴. 量子密钥分发光网络密钥池构建方法[J]. 激光与光电子学进展, 2019, 56(21): 212703. Ziping Zhang, Guojun Liu, Kai Dong, Xiaosong Yu, Xu Lu, Xing Huang. Key Pool Construction of Quantum Key Distribution Optical Network[J]. Laser & Optoelectronics Progress, 2019, 56(21): 212703.