写在前面。国家标准中对量子保密通信的定义：量子保密通信是利用QKD与其他密码技术结合形成的保密通信技术。

       经过这段时间的讨论，我们基本上明白了量子保密通信的内涵、基础协议、技术原理等。我们知道了当前语境下的量子密钥分发网络核心是实现两点之间的密钥分发，并且也知道了密钥分发是如何实现的。到这里自然而然的引发了一个问题，那就是量子密钥到底具体怎么在通信系统中应用呢？本文我们就这一问题进行讨论。

1.总体描述

        这里贴一张我觉非常贴切的图：

       可以看出，在实际的信息与通信系统中量子保密通信可以在当前OSI网络模型中各层协议中实现应用。具体应用的思路如下：

        1.QKD在应用层协议中的应用：

        QKD可以与应用层的协议结合，例如加密语音/视频通话或会议、即时通信等业务；

        应用层协议可以利用QKD为通信收发两端提供对称共享密钥，用于用户身份鉴别、鉴权或消息鉴别，也可用于实现业务载荷的加密传输；

        2.QKD在传输层协议中的应用：

        QKD可以与传输层协议结合应用，例如TLS协议或SSL协议。

        TLS协议或SSL协议用于在传输层中为网络通信提供端到端的安全服务。其通常使用公钥密码算法来建立会话密钥，用于保护敏感信息传输，例如电子商务交易中的信用卡信息。

       在QKD与TLS协议结合使用的场景中，QKD生成的密钥可以用于替换TLS协议中的会话密钥，也可一用于基于OTP方式的加密传输。

         3.QKD在网络层协议中的应用：

         QKD可以与网络层协议结合应用，例如IPSec协议。

        IPSec是用于保障IP通信安全的一组协议套件。IPSec可实现数据流中IP数据包的鉴权和加密。IPSec中的IKE协议负责建立安全的网络连接。IKE协议使用公钥协商的方式来建立的共享的会话密钥，用于数据加密。

        QKD可以与IKE协议融合。基于QKD增强IKE协议，能够利用QKD生成的共享密钥实现IPSec载荷加解密功能，可根据安全登记需求使用分组加密算法或OTP算法。

        4.QKD在数据链路层中的应用：

        QKD可与数据链路层协议结合应用，例如PPP、MACsec协议。

        PPP工作在数据链路层，用于网络中两组节点之间的链接。PPP中的加密功能通过ECP来实现，用于在PPP数据帧中实现加密算法。QKD可用于实现PPP中密钥协商过程。

        MACsec协议用于支持连接到LAN或互连LAN的授权系统的数据机密性、完整性和真实性。QKD可作为一种密钥交换技术在MACsec协议中集成应用。

        点对点链路上的QKD设备可与传统的链路加密机集成，构成基于QKD的链路加密机。该链路加密机可利用QKD生成对称随机数作为会话密钥，实现分组密码算法（例如AES）或序列密码算法（例如可实现最高安全性的OTP）。

        小结一下，我们都知道数据从应用层开始，每经过一层就会装进一个新的网包，在网络中不同层次中部署密码算法所得到的保密效果是不一样的。基于此，我们可以采用量子密钥融合经典加密算法的思路，将量子密钥应用到每一层的数据加密中。

2.QKD加密场景示例

        在具体的场景中，常见的量子密钥应用形式是采用量子VPN网关实现数据加解密。量子密钥分发设备(QKD)通过独立的光纤通道进行基于光量子的秘钥生产,生产出来的量子密钥存放在量子密钥存储设备(QKM)中,然后通过量子加密设备(QVPN)实现对数据通道的量子加密并在经典信道网络中传送。

2.1QKD在传输层协议中的应用

2.1.1融合机制

        安全套接层协议（secure socket layer，SSL）是内嵌在浏览器中，不需要客户机安装客户端软件，因此应用相对便利。SSL VPN技术采用密钥协商、预共享密钥等手段分发主密钥，然后再由主密钥进一步计算出会话密钥。会话密钥被用在高级加密标准（advanced encryption standard,AES）、数据加密算法（data encryption algorithm，DES）的等加密算法中。

       SSL协议是基于Web应用的安全协议，保证数据的真实性、完整性和机密性。他主要包含2个协议：记录协议和握手协议。记录协议在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等功能；握手协议再记录协议之上，用于实际的数据传输开始前，通信双方进行身份认证、协商加密算法和密钥协商等。

        根据SSL协议的结构特点，隧道的整个建立过程和之后的会话过程涉及3种类型的密钥：

        1.通信双方用于身份认证的密钥；

        2.通过密钥协商过程中得到的豫主密钥和主密钥；

        3.在每次会话过程中由主密钥导出的会话密钥。

        因此，量子密钥可以用在SSL VPN中3个不同层次，分别作为认证密钥、主密钥和会话密钥。

        SSL VPN使用量子密钥的具体协议步骤如下图：

2.1.2融合设备

2.2QKD在网络层协议中的引用

2.2.1融合机制

       IPSec协议是OSI模型里面第三层网络层的协议，也是最常见的协议。现有的IPSce协议的安全性依赖于传统的密码学算法，无法抵抗量子计算带来的威胁，QKD安全密钥与IPSec协议进行结合是一种有效的解决方案。

        在IPSce协议中有两个过程需要使用到密钥，它们分别是：

        1.主要用于对IPSec的密钥交换进行管理的因特网密钥交换（（Internet Key Exchange，IKE）

        2.主要用于数据源的认证或完整性检验的ESP协议

        针对这两个过程提出两种QKD与之结合的方案。

        1.在IKE协议过程中使用QKD密钥来代替Diffe-Hellman密钥协商算法，而不对其他密码学算法进行更改

        2.在ESP协议对数据包进行处理过程中利用不断生成的QKD密钥流，设计支持QKD密钥更新加解密模块来代替原来的密码学算法。

2.2.2融合设备

2.3QKD在数据链路层中的应用

2.3.1融合机制

        QKD在对OSI网络模型的链路层数据进行加密常用的方式为量子加密交换机。量子加密交换机的部署方式与传统交换机并无区别，主要是接入量子密钥分配终端并获取量子密钥。典型的部署方式如下图：

        MACsec协议使用两个实体之间的密钥来加密和解密数据。这两个实体分别是MACsec密钥交互协议（MKA）和基于端口的网络访问控制（PNAC）。MKA负责协商和交换密钥，而PNAC负责应用密钥并管理密钥的分发和更新。QKD就可以为相关协议提供密钥，从而增强安全性。

2.3.2融合设备

3.写在后面

       本文主要是从基础的原理和机制层面，让读者朋友直观的理解量子密钥实际是如何使用的。在一个完整的量子密钥应用场景中，需要的网络技术和网络设备比较多，并且要针对量子密钥融合进进行软件开发，后期我们可以在实际搭建具体的量子加密网络中逐步深入探讨。欢迎大家关注博主~

4.参考文献

[1]GB/T 42829-2023 量子保密通信应用基本要求

[2]徐凌生.量子密钥在经典安全体制中的应用研究[D]

[3]郭邦红,胡敏.一种在SSL VPN中融合量子密钥和经典密钥的方法[P]

[4]刘东，量子密钥在电网SSL VPN中的应用[J]

[5]贾其东.量子密钥分发协议设计及其在IPSec协议中的应用研究[D]

[6]王晓宇.基于FPGA的量子加密交换机的设计与研究[D]