首先總結(jié)了主流量子通信網(wǎng)絡(luò)組成部分、所用技術(shù)及現(xiàn)有標(biāo)準(zhǔn)進(jìn)展情況,同時(shí)分析了其在實(shí)際落地應(yīng)用中的痛點(diǎn)與難點(diǎn),對相應(yīng)問題進(jìn)行深入分析。通過引入區(qū)塊鏈技術(shù),分析分布式賬本技術(shù)應(yīng)用在量子通信中可能的契合點(diǎn)與優(yōu)勢,并對基于區(qū)塊鏈系統(tǒng)的量子通信應(yīng)用安全性提升方案進(jìn)行了總結(jié)。最后給出了基于區(qū)塊鏈的量子通信組網(wǎng)安全性提升方案。
? ?0 1? ?
?概? 述
量子通信是基于量子物理原理的新型通信方式。其中量子密鑰分發(fā)基于量子力學(xué)中的不確定性、測量坍縮和不可克隆等原理,可以提供高安全性的量子密鑰?;诹孔用荑€分發(fā)的量子加密通信具有高可靠、防竊聽、防破解的特點(diǎn),可被廣泛應(yīng)用于安全通信領(lǐng)域。目前,量子通信常常特指量子加密通信。另外,可進(jìn)一步通過多種技術(shù)及設(shè)備的組合,搭建多維度、全連接、高安全性的量子通信網(wǎng)絡(luò)。
雖然理論上量子通信技術(shù)實(shí)現(xiàn)了無條件安全,但由于落地應(yīng)用架構(gòu)中不同安全因素的存在,量子通信網(wǎng)絡(luò)在自身安全性方面仍面臨諸多問題與挑戰(zhàn)。區(qū)塊鏈技術(shù)的存在恰可彌補(bǔ)量子通信應(yīng)用的安全性問題,提升其整體安全性。本文首先介紹了主流量子通信網(wǎng)絡(luò)的組成部分,并分析其技術(shù)原理與安全層面痛點(diǎn)難點(diǎn)問題。然后對量子通信行業(yè)現(xiàn)狀與標(biāo)準(zhǔn)化現(xiàn)狀進(jìn)行了總結(jié)。最后,通過引入?yún)^(qū)塊鏈技術(shù),針對所述痛、難點(diǎn)問題,給出在區(qū)塊鏈與量子通信領(lǐng)域結(jié)合的思考與應(yīng)用建議。
? ?0 2? ?
現(xiàn)有技術(shù)及痛點(diǎn)問題
2.1? 量子通信網(wǎng)絡(luò)
量子通信網(wǎng)絡(luò)基于量子通信原理,網(wǎng)絡(luò)內(nèi)不同終端間通過對稱量子密鑰、專用量子通信設(shè)備、鏈路等對信息進(jìn)行加密傳輸,對對稱量子密鑰進(jìn)行安全協(xié)商,具有極高安全性。
量子通信網(wǎng)絡(luò)根據(jù)覆蓋范圍與應(yīng)用場景的不同可包含量子城域網(wǎng)、量子骨干網(wǎng)、量子局域網(wǎng)等,且基于不同量子通信技術(shù)。常用的量子通信網(wǎng)絡(luò)包含量子密鑰分發(fā)(QKD)、量子隨機(jī)數(shù)發(fā)生器(QRNG)與量子密鑰池(云)、量子密鑰中繼等部分,來提供量子通信網(wǎng)絡(luò)所需密鑰生成、分發(fā)、加解密等功能。
2.1.1? 量子密鑰分發(fā)
量子密鑰分發(fā)(Quantum Key Distribution,即QKD)是一種基于“單光子不可克隆定理”等量子力學(xué)基本原理實(shí)現(xiàn)信息理論安全的密鑰分發(fā)過程。通過使用BB84、BBM92、GG02等協(xié)議完成量子密鑰的分發(fā),其安全性已經(jīng)得到嚴(yán)格證明。再結(jié)合一次性密碼(OTP)技術(shù),可以保障信息傳輸?shù)摹盁o條件”安全。
一般來說,QKD技術(shù)包含離散變量QKD(DV-QKD)與連續(xù)變量QKD(CV-QKD)2種。最基本的QKD通常由一對通過量子信道和經(jīng)典信道連接的量子密鑰分發(fā)設(shè)備構(gòu)成。根據(jù)ETSI在QKD標(biāo)準(zhǔn)中的定義,通用QKD架構(gòu)如圖1所示。
圖1? QKD架構(gòu)
該架構(gòu)主要包含以下4個(gè)部分。
a) 經(jīng)典鏈路:完成控制信令傳輸、量子密鑰協(xié)商等工作。
b) 量子鏈路:完成量子比特串的傳輸。
c) QKD發(fā)送端:產(chǎn)生量子密鑰,生成、調(diào)制與發(fā)送量子比特串。
d) QKD接收端:接收、測量、解析來自發(fā)送端的量子比特串,擁有密鑰序列對比、篩選、錯(cuò)誤率檢測等功能,并取得與發(fā)送端相同的對稱量子密鑰。
2.1.2? 量子隨機(jī)數(shù)發(fā)生器
傳統(tǒng)的隨機(jī)數(shù)發(fā)生器主要有偽隨機(jī)數(shù)發(fā)生器(PRNG)與混沌物理隨機(jī)數(shù)發(fā)生器(CRNG),但均無法保障真隨機(jī)性。偽隨機(jī)數(shù)發(fā)生器多由計(jì)算機(jī)算法構(gòu)成,但由于其與初始條件強(qiáng)相關(guān),因此實(shí)質(zhì)上具有周期性且可被預(yù)測;混沌物理隨機(jī)數(shù)發(fā)生器基于經(jīng)典物理定律中的混沌宏觀過程(如噪聲),但其實(shí)際實(shí)施較為復(fù)雜,且其物理模型在實(shí)際操作時(shí)可能被模擬。
量子隨機(jī)數(shù)發(fā)生器(Quantum Random Number Generator,QRNG)利用量子物理過程,可快速、大量生成由量子疊加態(tài)坍縮理論等量子隨機(jī)性原理保障的真隨機(jī)數(shù)。QRNG物理集成度高、不可被預(yù)測、無法被三方竊聽、滿足OTP的要求、過程可監(jiān)控與驗(yàn)證,適用于IoT設(shè)備等連接數(shù)量大、資源的瞬時(shí)性大量消耗的場景。
量子隨機(jī)數(shù)發(fā)生器根據(jù)量子隨機(jī)源種類的不同,主要有基于光學(xué)系統(tǒng)原理與單光子計(jì)數(shù)原理2種方案。根據(jù)國際標(biāo)準(zhǔn)[ITU-T Y.1702(2019)]《量子隨機(jī)數(shù)發(fā)生器架構(gòu)》,一個(gè)量子隨機(jī)數(shù)發(fā)生器的功能模塊主要包括量子熵源、熵源原始數(shù)檢測、熵驗(yàn)證及可選的后處理等模塊等。量子隨機(jī)數(shù)發(fā)生器的模型示意如圖2所示。
圖2 量子隨機(jī)數(shù)發(fā)生器架構(gòu)
在實(shí)際應(yīng)用落地時(shí),量子隨機(jī)數(shù)發(fā)生器往往需要搭配相應(yīng)的存儲機(jī)制以完成量子真隨機(jī)數(shù)的存儲與分發(fā)。該存儲機(jī)制可由本地量子密鑰池或位于云端的量子密鑰云構(gòu)成。量子密鑰池(云)與QRNG設(shè)備或芯片通過經(jīng)典線路連接,用于接收并存儲量子密鑰。量子密鑰消耗設(shè)備接入量子密鑰池(云)中即可獲得量子密鑰。
2.1.3? 量子密鑰中繼
量子密鑰分發(fā)雖然可以實(shí)現(xiàn)點(diǎn)到點(diǎn)無條件安全的量子密鑰傳輸機(jī)制,但受光子信號在光纖內(nèi)指數(shù)衰減、探測器暗記數(shù)、誤碼率、過噪聲等諸多理論、技術(shù)、設(shè)備方面的制約,QKD在實(shí)際落地應(yīng)用中的傳輸距離僅幾十至百千米左右。利用量子密鑰中繼技術(shù),可以較好地拓展點(diǎn)對點(diǎn)QKD系統(tǒng)的密鑰傳輸距離,并利用QKD與量子密鑰中繼共同構(gòu)成量子密鑰分發(fā)網(wǎng)絡(luò)(Quantum Key Distribution Network,QKDN)。量子密鑰分發(fā)網(wǎng)絡(luò)可在網(wǎng)絡(luò)域內(nèi)現(xiàn)有節(jié)點(diǎn)間實(shí)現(xiàn)量子密鑰分發(fā),適用于域內(nèi)多用戶設(shè)備端到端密鑰分發(fā)的場景?!读孔用荑€分發(fā)網(wǎng)絡(luò)-功能架構(gòu)》(ITU-T Y.3802(2020))標(biāo)準(zhǔn)中,對QKDN功能架構(gòu)進(jìn)行了規(guī)范。
目前量子密鑰中繼存在量子中繼與可信中繼2種方案。量子中繼使用量子物理原理與量子糾纏技術(shù),實(shí)現(xiàn)量子態(tài)的存儲、轉(zhuǎn)發(fā)與超遠(yuǎn)距離分發(fā)。但目前對于量子中繼技術(shù)的理論研究與標(biāo)準(zhǔn)化進(jìn)程均不足,因此暫無法達(dá)到實(shí)際應(yīng)用水平。目前主流的量子密鑰中繼方案為量子密鑰可信中繼??尚胖欣^將遠(yuǎn)距離量子密鑰傳輸場景切分為多個(gè)短距離量子密鑰分發(fā)流程,即通過多段點(diǎn)對點(diǎn)QKD系統(tǒng)對量子密鑰進(jìn)行處理與轉(zhuǎn)發(fā),實(shí)現(xiàn)量子密鑰中繼,完成量子密鑰的超遠(yuǎn)距離傳輸。該方案雖安全性不如量子中繼,但其易于實(shí)現(xiàn),且理論架構(gòu)較為簡單,系統(tǒng)搭建較為便捷,因此被廣泛用作落地應(yīng)用方案。
基于QKD的量子密鑰可信中繼通常由量子密鑰發(fā)送端、量子密鑰中繼節(jié)點(diǎn)(由量子密鑰加密、解密設(shè)備構(gòu)成)、量子密鑰接收端與量子鏈路構(gòu)成。最基本的量子密鑰可信中繼架構(gòu)如圖3所示。
圖3 量子密鑰可信中繼模型
其中,量子密鑰發(fā)送端用于生成和發(fā)送密鑰,量子密鑰接收端用于接收與解析密鑰,量子密鑰可信中繼節(jié)點(diǎn)用于量子密鑰的轉(zhuǎn)發(fā)。根據(jù)可信中繼架構(gòu)的不同,量子密鑰可信中繼方案可細(xì)分為密鑰鏈?zhǔn)街欣^方案、密鑰異或存儲中繼方案、集中調(diào)度密鑰中繼方案3種。量子密鑰可信中繼可以大幅提升傳統(tǒng)點(diǎn)對點(diǎn)QKD系統(tǒng)的傳輸距離,可以配合QKD共同搭建量子密鑰分發(fā)網(wǎng)絡(luò)。
2.2? 痛點(diǎn)問題
2.2.1? QKD
雖然量子密鑰分發(fā)可以在理論上實(shí)現(xiàn)“無條件”安全的量子密鑰傳輸機(jī)制,且可以通過量子態(tài)一致性發(fā)現(xiàn)任何鏈路中存在的竊聽行為,然而在實(shí)際業(yè)務(wù)應(yīng)用場景下,QKD均由于理論限制、工藝限制、模型偏差等因素的影響存在實(shí)用性與安全性痛點(diǎn)問題,如表1所示。
表1? QKD安全性痛點(diǎn)問題
2.2.2? QRNG與量子密鑰池(云)系統(tǒng)
QRNG與量子密鑰池(云)結(jié)合,可以很大程度上彌補(bǔ)QKD在傳輸距離、專網(wǎng)建設(shè)、大量終端設(shè)備場景、通信速率、集成化程度等實(shí)用性方面的痛點(diǎn)問題,但是與QKDN相比,其密鑰分發(fā)過程的安全性有所下降。因此雖然QRNG與量子密鑰池(云)結(jié)合可以保障密鑰生成安全、密鑰擁有真隨機(jī)性、滿足一次一密的要求,且優(yōu)于傳統(tǒng)的中心化密鑰分發(fā)機(jī)制,但其依舊面臨著與傳統(tǒng)中心化密鑰分發(fā)機(jī)制相同的痛點(diǎn)問題:
a) 身份安全:需要確認(rèn)QRNG硬件、量子密鑰池(云)接入設(shè)備身份安全、存儲基礎(chǔ)設(shè)施身份安全。
b) 傳輸安全:由于設(shè)備獲取量子真隨機(jī)數(shù)的方法是通過傳統(tǒng)通信鏈路連接至量子密鑰云/池中獲取,而非采用量子專用鏈路,因此需要有效手段保障量子真隨機(jī)數(shù)在傳輸過程中的安全。
c) 存儲安全:量子真隨機(jī)數(shù)作為量子密鑰被大量存儲至集中化的量子密鑰池(云)或量子密鑰云中,需要有效手段保障存儲基礎(chǔ)設(shè)施本身的可信與安全,防止其被惡意竊取或操控。
d) 應(yīng)用安全:對用戶而言,設(shè)備應(yīng)當(dāng)有足夠的用戶身份識別與權(quán)限控制系統(tǒng),保障量子隨機(jī)數(shù)在應(yīng)用時(shí)不存在非法的調(diào)用或篡改;對量子密鑰而言,設(shè)備應(yīng)當(dāng)建立量子隨機(jī)數(shù)驗(yàn)證機(jī)制,即驗(yàn)證用戶所獲取的隨機(jī)數(shù)、QRNG芯片生成的隨機(jī)數(shù)、量子密鑰池(云)內(nèi)存儲隨機(jī)數(shù)的一致性。
2.2.3? 量子密鑰可信中繼
量子密鑰可信中繼本質(zhì)上是通過可信中繼技術(shù)將多段QKD級聯(lián)并使用統(tǒng)一管控系統(tǒng)進(jìn)行量子密鑰路由,因此其面臨與QKD相同的痛點(diǎn)問題。除此之外,量子密鑰可信中繼還存在一些特有問題。
a) 中繼站安全:在執(zhí)行量子密鑰中繼時(shí),需要搭建存放可信中繼節(jié)點(diǎn)硬件設(shè)備的量子中繼站。然而,量子密鑰在中繼站中的安全性較低,存在密鑰中途泄露的風(fēng)險(xiǎn)。同時(shí),量子密鑰中繼站需要保障高物理安全、監(jiān)管安全、網(wǎng)絡(luò)安全,并擁有高可用的準(zhǔn)入權(quán)限控制,以防止密鑰在中繼站的泄露。
b) 網(wǎng)絡(luò)安全:由于量子密鑰可信中繼是由多個(gè)可信節(jié)點(diǎn)串聯(lián)而成的通信鏈路,因此其會面臨單點(diǎn)故障、網(wǎng)絡(luò)攻擊(如DoS、木馬、節(jié)點(diǎn)攻擊等)、惡意身份、數(shù)據(jù)竊聽等網(wǎng)絡(luò)安全問題,導(dǎo)致量子密鑰中繼服務(wù)中斷或安全性下降。
總體而言,不同量子通信技術(shù)的對比如表2所示。
表2 不同量子通信技術(shù)對比
? ?0 3? ?
行業(yè)現(xiàn)狀與標(biāo)準(zhǔn)化現(xiàn)狀
3.1? 行業(yè)現(xiàn)狀
3.1.1? QKD網(wǎng)絡(luò)工程應(yīng)用
QKD網(wǎng)絡(luò)作為當(dāng)前量子通信應(yīng)用中理論完善、布局較早且標(biāo)準(zhǔn)化進(jìn)程較為完善的技術(shù),結(jié)合量子密鑰可信中繼技術(shù),行業(yè)中可實(shí)現(xiàn)長距離、多節(jié)點(diǎn)的量子密鑰分發(fā)。目前基于QKD網(wǎng)絡(luò)的量子通信網(wǎng)絡(luò)已經(jīng)進(jìn)入初步實(shí)用化部署階段,量子設(shè)備提供商、運(yùn)營商等已經(jīng)研究出了較為完善的組網(wǎng)方案,且已經(jīng)聯(lián)合搭建并落地了很多較為成熟的量子局域網(wǎng)、量子城域網(wǎng)與量子骨干網(wǎng)等通信網(wǎng)絡(luò),為網(wǎng)絡(luò)域內(nèi)成員提供安全可信的量子密鑰服務(wù)。
對于QKD網(wǎng)絡(luò)而言,國內(nèi)外組織機(jī)構(gòu)也有大量量子密鑰分發(fā)相關(guān)的PoC測試、應(yīng)用用例,并在積極探索應(yīng)用落地。我國在基于QKDN的量子通信網(wǎng)絡(luò)研究領(lǐng)域一直走在世界前列。
世界范圍內(nèi)具有代表性的試點(diǎn)應(yīng)用參見表3。
表3 基于QKDN的行業(yè)代表性應(yīng)用
3.1.2? 量子隨機(jī)數(shù)發(fā)生器與量子密鑰池(云)
與QKD依賴于量子鏈路設(shè)備組網(wǎng)的方案不同,量子隨機(jī)數(shù)發(fā)生器方案采用量子物理原理生成量子隨機(jī)數(shù),依托于傳統(tǒng)存儲機(jī)制并基于傳統(tǒng)網(wǎng)絡(luò)進(jìn)行密鑰分發(fā),因此其無需進(jìn)行專網(wǎng)搭建,也無需大量點(diǎn)對點(diǎn)使用專用量子設(shè)備,因此備受廠商青睞。
采用離散量子源的量子隨機(jī)數(shù)發(fā)生器,可以通過半導(dǎo)體制造技術(shù)被封裝為量子隨機(jī)數(shù)發(fā)生器芯片集成至手機(jī)、IoT設(shè)備等小型移動(dòng)設(shè)備的SoC中,用于在加密、驗(yàn)證及身份識別過程中提供無法預(yù)測、無重復(fù)規(guī)律的真隨機(jī)數(shù),保障服務(wù)安全。量子密鑰池(云)較QKDN而言更為簡單高效、體量更小、架構(gòu)更簡單、應(yīng)用搭建更易。
各領(lǐng)域中有代表性且較為成熟的量子密鑰池(云)如表4所示。
表4 量子密鑰池(云)各領(lǐng)域代表性應(yīng)用
3.2? 標(biāo)準(zhǔn)化現(xiàn)狀
目前量子通信領(lǐng)域的國際、國內(nèi)標(biāo)準(zhǔn)正在被逐漸推進(jìn)與完善。國際方面,以ITU、ETSI為首的標(biāo)準(zhǔn)化組織對QKD、QKDN、QRNG等功能架構(gòu)與安全性進(jìn)行了清晰詳細(xì)的定義與規(guī)范;國內(nèi)方面,以CCSA為首的標(biāo)準(zhǔn)化組織對量子密鑰分發(fā)網(wǎng)絡(luò)、量子保密通信組網(wǎng)、量子可信中繼等給出了清晰的分層功能與架構(gòu)、模塊、接口、測試方法等的清晰定義與規(guī)范。
3.2.1? ETSI
ETSI于2010年開始逐步推進(jìn)量子通信方向的標(biāo)準(zhǔn)化進(jìn)程,并圍繞量子密鑰分發(fā)、抗量子密碼學(xué)等制定了較為完善的標(biāo)準(zhǔn)。ETSI的 QKD與QSC主要負(fù)責(zé)推動(dòng)量子通信相關(guān)的標(biāo)準(zhǔn)化工作。相關(guān)標(biāo)準(zhǔn)如表5所示。
表5? ETSI QKD與QSC量子通信相關(guān)標(biāo)準(zhǔn)
3.2.2? ITU-T
ITU-T在QKDN架構(gòu)方面的規(guī)范較為完善,且其架構(gòu)被接受程度高,是很多標(biāo)準(zhǔn)組織在制定量子通信相關(guān)標(biāo)準(zhǔn)時(shí)的參考架構(gòu)。ITU-T的QIT4N焦點(diǎn)組負(fù)責(zé)推動(dòng)量子相關(guān)標(biāo)準(zhǔn)化工作。同時(shí),SG13與SG17等工作組圍繞QKDN、QRNG、量子通信安全等發(fā)布了多項(xiàng)標(biāo)準(zhǔn),最知名的包括ITU-T Y.3800-3804系列標(biāo)準(zhǔn)。相關(guān)標(biāo)準(zhǔn)架構(gòu)如表6所示。
表6? ITU-T SG13與SG17量子通信相關(guān)標(biāo)準(zhǔn)
3.2.3? ISO?
ISO對量子通信相關(guān)的標(biāo)準(zhǔn)化工作正在推進(jìn)中。在QKD方向,主要的標(biāo)準(zhǔn)編寫工作由ISO/IEC JTC 1/SC 27(信息安全、網(wǎng)絡(luò)安全及隱私保護(hù))組負(fù)責(zé)。其目前在編的標(biāo)準(zhǔn)為ISO/IEC 23837系列標(biāo)準(zhǔn)。
3.2.4? CCSA
CCSA的量子通信相關(guān)標(biāo)準(zhǔn)化進(jìn)程工作由ST7 WG1與WG2負(fù)責(zé)。ST7 WG1主要負(fù)責(zé)對量子通信架構(gòu)、測試、接口、協(xié)議等進(jìn)行研究與標(biāo)準(zhǔn)化;ST7 WG2承擔(dān)量子信息處理相關(guān)工作,對底層器件、設(shè)備、技術(shù)等標(biāo)準(zhǔn)化工作。
? ?0 4? ?
區(qū)塊鏈+量子通信應(yīng)用思考
4.1? 區(qū)塊鏈技術(shù)簡介
自2008年中本聰提出“比特幣”概念后,區(qū)塊鏈技術(shù)逐漸被人熟知。區(qū)塊鏈技術(shù)又稱為分布式賬本技術(shù)(Distributed Leger Technology,DLT),具有多方參與、去中心化、不可篡改、可溯源、去人工化等特點(diǎn)。區(qū)塊鏈會存儲每一筆交易記錄的時(shí)間戳并依次存儲于賬本中,并在參與交易的多方之間同步,實(shí)現(xiàn)分布式架構(gòu)。
區(qū)塊鏈技術(shù)采用分布式架構(gòu),去除了中心化的功能體,將整體系統(tǒng)原有的中心化管理方式轉(zhuǎn)化為由鏈上參與的各方作為節(jié)點(diǎn)通過共識算法與智能合約機(jī)制共同參與和維護(hù),并可為鏈上參與方建立無需事先建立信任的業(yè)務(wù)體系與流程,提高系統(tǒng)的全局安全性與穩(wěn)定性。區(qū)塊鏈的分布式架構(gòu)如圖4所示。
?圖4 區(qū)塊鏈的分布式架構(gòu)
4.2? “區(qū)塊鏈+量子通信”應(yīng)用探討
區(qū)塊鏈技術(shù)與量子通信應(yīng)用結(jié)合,可用于解決量子通信系統(tǒng)在身份、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、行為記錄與溯源等方面的量子通信系統(tǒng)痛點(diǎn)問題。具體而言,其提升主要體現(xiàn)在以下4個(gè)方面。
a) 身份安全:將設(shè)備與用戶身份在區(qū)塊鏈系統(tǒng)上注冊,并獲得由區(qū)塊鏈頒發(fā)的證書(或其他身份憑證)。當(dāng)進(jìn)行量子密鑰操作時(shí),通過區(qū)塊鏈平臺進(jìn)行如下驗(yàn)證。
(a) 設(shè)備身份驗(yàn)證:將設(shè)備軟硬件狀態(tài)、設(shè)備關(guān)鍵信息與配置形成快照存儲至鏈上并生成所需證書,用于業(yè)務(wù)發(fā)生時(shí)建立系統(tǒng)和設(shè)備的身份信任。
(b) 用戶身份驗(yàn)證:使用DPKI技術(shù)取代傳統(tǒng)基于PKI的X.509方案進(jìn)行身份驗(yàn)證,防止惡意用戶登錄量子密鑰APP完成量子密鑰調(diào)用。
b) 數(shù)據(jù)安全:利用區(qū)塊鏈防篡改、可溯源、無條件可信的特性,保障量子通信系統(tǒng)中關(guān)鍵信息(身份、密鑰、配置等信息)的數(shù)據(jù)完整性、可用性與保密性,防止數(shù)據(jù)原因?qū)е孪到y(tǒng)錯(cuò)誤或服務(wù)中斷。
c) 行為溯源:可將量子通信系統(tǒng)的關(guān)鍵行為(如:設(shè)備/用戶注冊與身份信息、密鑰處理、存儲、傳輸記錄,信息處理、存儲、傳輸記錄,密鑰協(xié)商記錄等)上鏈存儲至日志中,便于提供監(jiān)管與審計(jì)。
d) 權(quán)限控制:使用區(qū)塊鏈的智能合約對量子通信系統(tǒng)進(jìn)行權(quán)限控制改造,實(shí)現(xiàn)自動(dòng)化、可溯源、可信的權(quán)限控制機(jī)制。
4.3? “區(qū)塊鏈+量子通信”技術(shù)應(yīng)用場景
4.3.1? 基于區(qū)塊鏈的量子通信系統(tǒng)中跨域身份管理
可利用區(qū)塊鏈技術(shù)取代傳統(tǒng)CA身份認(rèn)證機(jī)制,實(shí)現(xiàn)設(shè)備的身份跨域、跨廠家、跨運(yùn)營商場景下的互認(rèn)。基于傳統(tǒng)的CA機(jī)制,若進(jìn)行跨域業(yè)務(wù)場景下的身份驗(yàn)證與設(shè)備識別操作,則需要采用如圖5所示的樹形結(jié)構(gòu),即通過逐層向上尋找根CA節(jié)點(diǎn)的方式進(jìn)行身份識別與驗(yàn)證。
?圖5 傳統(tǒng)樹狀CA機(jī)制架構(gòu)
使用區(qū)塊鏈技術(shù)進(jìn)行設(shè)備身份管理,可以通過區(qū)塊鏈為設(shè)備簽發(fā)CA證書,或使用區(qū)塊鏈管理網(wǎng)絡(luò)域?yàn)樵O(shè)備下發(fā)的CA證書。當(dāng)進(jìn)行身份驗(yàn)證時(shí),利用區(qū)塊鏈內(nèi)數(shù)據(jù)的可信性可實(shí)現(xiàn)快速多方CA互驗(yàn),并降低跨域操作的驗(yàn)證步驟復(fù)雜度,增強(qiáng)身份驗(yàn)證效率,避免傳統(tǒng)樹狀架構(gòu)潛在的單點(diǎn)故障風(fēng)險(xiǎn)。圖6所示為基于分布式架構(gòu)的身份驗(yàn)證機(jī)制示意。
?圖6 基于分布式架構(gòu)的身份驗(yàn)證機(jī)制
4.3.2? 基于區(qū)塊鏈的量子通信系統(tǒng)中設(shè)備關(guān)鍵信息管理
可利用區(qū)塊鏈技術(shù)的數(shù)據(jù)可信性、不可篡改性對量子密鑰設(shè)備的關(guān)鍵信息進(jìn)行管理,保障設(shè)備身份可信,以保障密鑰的正確傳輸。
如圖7所示,在實(shí)際應(yīng)用中,設(shè)備需要首先收集自身的設(shè)備信息(包括但不限于:硬件信息、設(shè)備狀態(tài)等)與量子密鑰模塊參數(shù)配置(包括但不限于:IP地址、光模塊所配置參數(shù)等)。并分別生成其對應(yīng)的摘要數(shù)據(jù),將所述摘要信息進(jìn)行整合并存儲于區(qū)塊鏈。
圖7 基于區(qū)塊鏈的量子通信系統(tǒng)中設(shè)備關(guān)鍵信息管理
當(dāng)進(jìn)行業(yè)務(wù)操作需要對設(shè)備身份進(jìn)行關(guān)鍵信息驗(yàn)證時(shí),發(fā)送設(shè)備將除量子密鑰外,所述摘要數(shù)據(jù)發(fā)送至接收端設(shè)備中,接收端設(shè)備采用同樣的方式整合2個(gè)摘要信息,并與區(qū)塊鏈內(nèi)存儲值進(jìn)行驗(yàn)證,以此保障密鑰傳輸安全。
4.3.3? 量子密鑰池(云)場景下的設(shè)備身份驗(yàn)證
區(qū)塊鏈亦可實(shí)現(xiàn)量子密鑰池(云)場景下的設(shè)備身份驗(yàn)證與隨機(jī)數(shù)完整性驗(yàn)證。
與2.2中類似,設(shè)備首先收集自身數(shù)據(jù)并在區(qū)塊鏈中存儲所述數(shù)據(jù)的摘要值。根據(jù)安全性需求不同,收集的數(shù)據(jù)可包含設(shè)備的硬件信息、狀態(tài)信息、參數(shù)配置等。區(qū)塊鏈端驗(yàn)證所述摘要,并為設(shè)備下發(fā)設(shè)備CA或密鑰。
當(dāng)設(shè)備向量子密鑰云請求量子隨機(jī)數(shù)時(shí),區(qū)塊鏈端驗(yàn)證設(shè)備證書或密鑰的真實(shí)性,完成身份驗(yàn)證流程,并將身份驗(yàn)證結(jié)果發(fā)送至量子密鑰云中。量子密鑰云可根據(jù)驗(yàn)證結(jié)果決定是否向設(shè)備發(fā)送量子隨機(jī)數(shù)。若發(fā)送,將量子隨機(jī)數(shù)的摘要上鏈,用于設(shè)備接收量子密鑰后進(jìn)行隨機(jī)數(shù)完整性校驗(yàn),保障身份安全、數(shù)據(jù)安全與傳輸安全。
? ?0 5? ?
?總? 結(jié)
本文介紹并分析了區(qū)塊鏈與量子通信應(yīng)用結(jié)合的場景,通過分析量子通信網(wǎng)絡(luò)應(yīng)用的痛點(diǎn)問題與安全性風(fēng)險(xiǎn),提出了結(jié)合區(qū)塊鏈技術(shù)構(gòu)建“區(qū)塊鏈+量子通信”方案。
作者簡介
任杰,助理工程師,碩士,主要從事區(qū)塊鏈技術(shù)、量子通信技術(shù)及相關(guān)應(yīng)用研究工作;
薛淼,高級工程師,博士,主要從事區(qū)塊鏈技術(shù)、標(biāo)準(zhǔn)及應(yīng)用研究工作;
趙春旭,高級工程師,博士,主要從事高速光通信及量子通信技術(shù)的應(yīng)用與研究工作;
王光全,教授級高級工程師,學(xué)士,主要從事高速光纖通信技術(shù)及應(yīng)用研究工作。
編輯:黃飛
?
評論
查看更多