量子城域网系列（三）：搭建一个点对点量子保密通信网络

各位小伙伴周末愉快呀，今天是4月14日世界量子日，至于为今天是世界量子日可以围观我之前的文章：关于世界量子日。

之前的文章中我们讨论了量子密钥在通信系统各层协议中的应用，那在实际工程中如何真正落地一个量子加密网络呢，今天我们就搭建一个“实验室”量子加密网络，来直观的了解一下量子加密网络里面最基本的设备、技术和要素。

1.场景说明

现有的网络中，IPSec VPN是一种较为常见的保密通信技术。在之前的文章中，我们详细讨论过量子密钥分发和IPSec协议结合的机制和方法，下图就是我们搭建的一个点对点的IPSec VPN加密方案。

在这个方案中用户A和用户B之间数据传输安全采用量子安全IPsec VPN技术实现。博主将这个场景过程进行分析。

1.用户A和用户B之间有通信的需求，需要传输各类数据（如视频或音频）；

2.用户A和用户B之间进行通信时，都需要经过IP层对数据包进行处理，所以IP层数据通信的安全是整个网络安全通信的基础；

3.本方案和现有IPSec VPN网络最核心的不同就是采用量子密钥替代了IPSce协议中的经典密钥，从根本上提升了通信安全；

4.本方案实现的具体过程为：

1）第一步：通过量子密钥分发设备在用户A和yonghuB生成对称量子密钥，其中量子态的传输以及协商采用的是通过量子-经典波分复用终端构建的量子-经典共纤通道传输（关于这一点，之前的文章量子城域网系列（一）：量子密钥分发与经典光通信共纤传输详细解释过）；

2）第二步：量子密钥终端中产生的密钥放在量子密钥管理机中供量子安全IPSec VPN设备调用；

3）第三步：量子安全IPSec VPN实现对用户A发送的数据进行量子加密，加密后的数据通过网络传输到用户B端的量子安全IPSec VPN，用户B端通过对称量子密钥在量子VPN进行解密，用户B获得明文。

2.架构说明

通过上节的探讨，我们梳理出了量子网络的实际场景，本节我们探讨一下基本的量子保密通信网络架构，如下图为参考文献[1]中的给到的量子城域网逻辑架构。以下为各层的具体解释：

2.1量子层

量子层负责产生量子密钥，包含 QKD 设备、信道和连接管理。其中，QKD 终端实现量子态制备，量子多址和交换模块实现信道复用，进而与相邻节点实现量子密钥分发，协商出量子密钥；信道和连接管理模块做信令处理，辅助建立量子信道，并负责信道的管理、维护。

2.2密钥管理层

密钥管理层负责对量子层产生的量子密钥进行收集、存储和管理，向上层应用提供密钥接口。

2.3应用层

负责连接用户应用，实现业务的量子加密。应用层包含用户管理、业务管理、网络管理。用户管理实现用户的接入和身份鉴别；业务管理又包含业务接入和业务加密，实现多种业务接入，如语音、视频、文件传输等，并从密钥管理层获取密钥，对业务信息进行加密；网络管理是对网络的设备和线路进行管理，包括性能检测、故障告警、安全审计和配置管理。

此外还需要经典通信网络，实现经典数据的传输，包含各种信令、经典业务数据、量子层密钥协商过程的数据和业务加密数据。

这三个功能层面互相协作的工作方式如下：应用层进行用户的呼叫、业务接入处理，量子层通过量子信道进行点对点密钥分发，密钥管理层实现量子密钥的存储、控制、管理和中继转发等，并提供密钥服务给应用层，应用层实现业务加密并通过经典网络进行转发。

3.设备清单

这里我列举一下今天这个场景里面的具体设备，为后期我们“手搓”（博主和粉丝们的传统艺能 :D）实际网络进行预热。

序号	设备名称	设备用途及说明	备注
1	量子密钥分发终端A	该设备主要是其光路用于量子态的制备，也就是我们QKD中常说的Alice
2	量子密钥分发终端B	该设备主要是其光路用于量子态的测量，也就是QKD中常说的Bob
3	量子密钥管理终端	量子密钥管理终端是建立在量子密钥分发设备之上，量子密钥分发设备通过量子编码与解码技术，在两地之间产生绝对安全的量子密钥，随后将密钥交给量子密钥管理终端进行管理。量子密钥管理服务通过对密钥的存储、中继、分发，实现了密钥信息安全同步和应用。量子安全网关等在通过了量子密钥管理服务的权限认证后，都可从量子密钥管理服务端获取密钥，量子密钥管理服务为应用终端其提供持续、安全、可靠的密钥服务。
4	量子密钥管理系统	量子密钥业务流程控制软件。该系统能够实现量子设备管理、量子密钥生成控制和量子密钥路由控制等功能。
5	量子安全IPSec VPN	量子VPN产品利用量子密钥作为会话密钥增强加密通信数据的机密性。
6	量子-经典波分复用终端	量子-经典波分复用产品实现经典光通信信号与量子光信号复用已有光通信网络光纤进行传输，即在量子密钥分发设备的发送端将经典光信号与量子光信号融合(复用)，利用已有的经典光通信光纤线路传输，然后在量子密钥分发设备的接收端将量子光信号与经典光信号分离(解复用)。经典量子波分复用产品解决了目前的量子保密通信网络需要单独铺设光纤所带来的问题,
7	光纤资源	量子保密通信线路比较特殊的点是用户之间用于量子态传输的光纤中间不能有光电转换设备，并且对光衰和插入损耗等均有要求

上面这些设备就是组件一个能够实现量子保密通信基础网络的核心设备和基建设施了，在后期我会针对每一个设备进行详细的讨论，从设备用途到设备制作原理甚至到设备如何小型化、集成化及芯片化也会与大家探讨（敬请期待）。这里贴一张其他文献里面关于量子通信系统与传统通信系统造价比较表格，供各位小伙伴直观感受一下，对咱们“手搓”量子保密通信网络有个直观的经济价格认知。

4.测试

那么如何对这个点对点的网络进行测试呢，常见的方法是将量子保密通信系统两端的量子VPN设备接入以太网业务分析仪，加载以太网数据业务，通过VPN设备网管及以太网业务分析仪分别测试量子VPN设备使用量子和经典密钥进行业务加密的功能，不同加密算法协议的支持能力，密钥更新速率以及加密业务的时延、吞吐量、丢包率、加密业务条数等信息。

6.写在后面

在之前的文章中我们提到，量子城域网的建设核心就是实现两点之间的密钥分发，本文分享了其中最简单的点对点的模型。然而，这里面的每一个点都需要更为细致的探讨，比如量子密钥本本身，我们可以看到量子密钥从产生到应用经过的环节还是比较多的，那么如何保证密钥自身的安全呢？还有现在只是点对点的网络场景，那如果复杂的场景下是否涉及到交换、路由、网络管理等问题呢？后期我们逐步细化探讨吧。

最后探讨一个问题，我们一直说量子密钥是两点之间进行协商的对称密钥，那在基于量子密钥分发的量子保密网络里面量子密钥分发设备一定要成对出现吗？先抛结论：不一定，可以采用复用技术，比如时分复用。这里想表达的是，技术原理和实际工程的差距还是比较大的，在后期的文章中我们逐步探讨更加复杂的网络模型。

本文中有谬误之处，还请各位同学不吝指正。