专利名称:Qkd系统网络的制作方法
技术领域:
本发明涉及并具有关于量子密码术(quantum cryptography)的工业实用性,具体涉及并具有关于量子密钥分配(QKDquantumkey distribution)系统网络的工业实用性。
背景技术:
量子密钥分配包括利用通过“量子信道”发送的弱的(例如平均0.1个光子)在发送者(“Alice”)和接收者(“Bob”)之间建立密钥。密钥分配的安全性基于量子力学原理,即在未知状态下对量子系统的任何测量将改变其状态。因此,试图截取或测量量子信号的窃听者(“Eve”)会在所发送的信号中引入错误,由此暴露其存在。
首先由Bennett和Brassard在他们的文章“QuantumCryptographyPublic key distribution and coin tossing”,Proceedings of the International Conference on Computers,Systemsand Signal Processing,Bangalore,India,1984,第175-179页(IEEE,New York,1984)中提出量子密码术的一般原理。在Bouwmeester等人的书“The physics of Quantum Information”,Springer-Verlag2001中Section 2.3,第27-33页中介绍了执行QKD的一般过程。在C.H.Bennett等人的出版物“Experimental QuantumCryptography”,J.Cryptology,Vol.5(1992)第3-28页和C.H.Bennett的“Quantum Cryptography using Any Two Non-OrthogonalStates”,Phys.Rev.Lett.68 3121(1992)以及Bennett的美国专利No.5,307,410(’410专利)中介绍了具体的QKD。这两个Bennett参考物以及’410专利被包含再此引作参考。
上述出版物都描述了所谓的“单向”QKD系统,其中Alice对单光子的极化或相位进行随机编码,而Bob对该光子的极化或相位进行随机测量。Bennett 1992年论文和’410专利中所介绍的单向系统基于共享的干涉系统。干涉系统的各个部分可以由Alice和Bob访问,从而每人都能控制干涉仪的相位。从Alice发送到Bob的信号(脉冲)被时分复用并遵循不同路径。因此,干涉仪需要在传输期间主动稳定化以补偿热漂移。
Gisin的美国专利No.6,438,234(’234专利)公开了所谓的“双向”QKD系统,该专利被包含在此引作参考。该系统基于JoachimMeier博士发明的自动补偿干涉仪。由于Meier干涉仪自动补偿极化和热变化,因此基于其的双向QKD系统比单向系统较不易受到环境的影响。
希望有一天将多个QKD链路交织(weave)到经由QKD中继器或路由器网状结构连接其QKD端点的总QKD系统中。在C.Elliott等人的出版物“Quantum Cryptography in Practice”,New Journal ofPhysics 4(2002),46.1-46.12以及PCT专利申请WO02/05480、WO01/95554 A1和WO95/07852中讨论了示例性QKD网络。Phoenix等人的美国专利No.5,764,765公开了几种没有中继器和路由器的QKD网络拓扑,其中最长的链路受到特定距离限制。
当网络内给定点对点QKD链路例如由于光纤断裂或者由于太多窃听或噪声而出现故障时,该链路被放弃而使用另一链路。这样的网络可被设计为即使面对活跃的窃听或其它拒绝服务攻击也是弹性的(resilient)。
可以通过多种方式构建QKD网络。在一个例子中,QKD中继器只传输密钥资料。在中继器已经沿着端对端点、例如在两个QKD端点之间建立成对的经过同意的(agreed-to)密钥之后,它们使用这些密钥对来安全地将密钥“逐段地”从一个端点传输到另一端点。当密钥从一个中继器到下一中继器时,利用具有每个成对密钥的一次一密乱码本来对该密钥进行加密和解密。在这种方法中,端对端密钥在中继器的存储器中“不用密码地”正确地出现,但在通过链路时总是被加密。这种设计可以被称为“密钥传输网络”。
可替换地,网络中的QKD中继器可以传输密钥资料和消息业务。实际上,该方法使用QKD作为链路加密机制,或者用一系列QKD保护隧道缝合成一条总的端对端业务路径。这种QKD网络的优点是克服了上面列举的点对点链路的缺点。
首先,它们能够扩大量子密码术所保护的网络的地理范围,因为可以通过一系列由活动的中继器所桥接的点对点链路创建广域网(WAN)。链路可以是异构传输介质,即一些链路可以通过光纤,而另一些是自由空间。因此,在理论上,这种网络可以完全覆盖全球。
第二,它们减少了对手阻断密钥分配过程的机会,不管是通过活跃的窃听还是简单地通过剪断光纤链路。仅仅通过向网状结构增加更多的链路和中继就能设计QKD网络具有如期望那样多的冗余。
第三,通过将所需要的N×(N-1)/2个点对点链路减少为在密钥分配网络的简单星型拓扑结构情况下的N个链路,QKD网络能够大大降低专用孤点(private enclave)的大规模互连的成本。
但是,这种QKD网络也具有自身的缺点。例如,其主要弱点就在于必须信任中继器。由于密钥资料和—直接或间接的—消息业务可以不用密码地在中继器的存储器中获得,因此这些中继器决不能落入对手的手中。它们需要位于物理上安全的位置,并且如果业务确实很重要则可能还要受到保卫。此外,系统中的所有用户必须信任地将所有对于它们的消息业务的密钥托付给网络(以及网络的运营商)。因此,需要共享非常敏感信息(业务)的一对用户必须扩大能够对该信息私下知情的圈子以包括用于传输用于该敏感业务的密钥的QKD网络的所有机器,并且可能包括该网络的所有运营商。
图1是简单的现有技术的点对点量子密钥分配(QKD)系统网络10的示意图。P1和P2是用户终端。链路L1将用户终端P1与QKD台站A(例如Alice)连接,链路L3将用户终端P2与QKD台站B(例如Bob)连接。假定链路L1和L3不被加密并位于安全位置内,台站P1和A以及台站P2和B也是如此。链路L2连接两个QKD台站A和B。该设置通过约50到100km的QKD最大安全距离来限制。QKD系统10的配置可以用简写符号P1-A-B-P2来代表。P1和P2在此也被称为“最终用户”。
为了扩展密钥能够被传输的距离,可以使用中间中继站。该配置的最简单的实施例是图2所示的现有技术的QKD系统网络20。QKD系统20包括中继站30。中继站30具有链接到相应QKD台站A和B的两个QKD台站A1和B1,其中QKD台站A和B分别与用户终端P1和P2连接。QKD系统20的配置是P1-A-B1-A1-B-P2。但是,该配置比较复杂也比较昂贵,因为其需要两个QKD台站用于中继站30。为商业上可行的甚至更大的QKD网络很快地复制该配置是昂贵并且不实用的建议。
发明内容
本发明涉及QKD系统网络。按照本发明的示例性QKD系统网络包括光学耦合到它们之间的中继站的第一和第二QKD台站。中继站包括一个第三QKD台站和光学开关。光学开关允许第三QKD台站交替地与第一和第二QKD台站通信以建立第一和第二QKD台站之间的公用密钥。最终用户P1和P2分别与QKD台站A1和A2耦合。通过B能够通过调整光学开关的状态而独立地形成B和A1之间以及B和A2之间的密钥,秘密密钥(S)可以在P1和P2之间被共享。
该基本QKD系统网络-其配置可以被表示为P1-A1-B-A2-P2-可以被扩展为更复杂的线性网络,诸如P1-A1-B1-A2-B2-P2,其中B1和A2构成可转换的中继器。基本QKD系统网络还可以被扩展为多维。
下面详细讨论本发明的这些和其它方面。
图1是设置为P1-A-B-P2的现有技术点对点QKD系统(链路)的示意图;图2是现有技术QKD系统的示意图,该系统包括本身具有两个QKD台站A和B的中继站,QKD系统网络具有P1-A-B1-A2-B-P2配置;图3是按照本发明的QKD系统的示意图,其类似于图2的QKD系统,但配置为P1-A1-B-A2-P2,并且其中中继站具有一个QKD台站B和允许QKD台站B与两个QKD台站A1和A2任意之一通信的开关;图4是按照本发明的用于Alice或Bob的示例性QKD台站的高级示意图,示出了开关和量子光学层之间的光学连接以及开关和台站的控制器之间的电连接,其中该电连接使得控制器能够改变光学开关的状态;图5是配置为P1-A1-B1-A2-B2-P2的一维网格的QKD系统网络的示意图,其中B1和A2包括光学开关,该图示出了网络中相邻QKD台站之间交换的密钥;图6是二维网格的QKD系统网络的示意图,示出了相邻QKD台站之间交换的密钥;以及图7和图8列出了经由图5的QKD系统网络中所示的QKD台站链将秘密密钥S从P1发送到P2所需的操作的一个示例性实施例的流程图。
附图中所描绘的各种元件只是示意性的,并且不一定按照比例绘制。其特定部分可能被放大,而其它部分可能被缩小。附图的目的在于说明本发明的能够被本领域技术人员理解和适当实施的多个实施例。
具体实施例方式
本发明允许通过在两个最终用户之间向Alice和/或Bob QKD台站(“盒子”)增加光路径开关来以比现有技术QKD系统网络更经济的方式组织中间(“中继”)台站链。开关允许中继站具有根据光学开关的状态而与相邻QKD台站交互的单个QKD台站。
图3是按照本发明的QKD系统50的示意图。QKD系统包括盒A1、B和A2的光学线状排列(optically-lined)级联链。QKD系统50的配置可以被简写为P1-A1-B-A2-P2,其中P1和P2是可操作地经由链路LA1和LA2耦合到相应QKD台站A1和A2的最终用户。在QKD系统50中,只有Bob(B)连接到或包括允许B例如经由光纤链路F1、F2和F3建立与A1或A2的连接的光学开关55。该设置只允许连续连接。在系统60中,QKD台站B和开关55构成中继器58。
例如,假定B首先选择允许QKD与A1交流的开关位置。在A1和B共享密钥k1之后,改变开关的位置(状态),使得B建立与A2的连接以便与A2共享密钥k2。此时,B具有两个密钥k1和k2。为了将秘密密钥S从P1发送到P2,可以利用具有k1的一次一密乱码本加密而将其从P1发送到B,在B用k1对其解密,一次一密乱码本在B处用k2对其加密,将其发送到A2,然后在P2处用k2对其解密。
可替换地,可以创建c=k1 XOR k2,并将其保持在B处,来代替保持能够被擦除的单独的密钥k1和k2。然后,在P1处,执行运算c1=S XOR k1,并且c1被发送到B,在那里c2被创建为c2=c1XOR c。然后,B将c2发送到A2-P2,并且在P2处执行运算c2XOR k2,由此在P2获得秘密密钥S。
图4是按照本发明的QKD台站Alice(A)或Bob(B)的高级示意图。QKD台站(A或B)包括可操作地耦合到控制器110的量子光学层100。量子光学层100和控制器110可操作地耦合到开关55,例如经由光纤链路F3和电链路E1。电链路E1允许控制器110设置开关55的位置或“状态”。对于QKD台站的“一维”网格(下面将讨论),开关55例如是1×2光学开关,例如微机电系统(MEMS)开关。
图5是一维网格配置形式的QKD系统网络200的示意图,其可以被缩写表示为P1-A1-B1-A2-B2-P2。台站A1和B1通过光纤链路F4光耦合,台站B1和A2通过光纤链路F5光耦合,台站A2和B2通过光纤链路F6光耦合。最终用户P1和P2可操作地经由链路LA1和LB2耦合到相应的QKD台站A1和B2。
对于QKD系统200,在QKD台站B1和A2处,1×2开关形式的开关55是必需的。对于诸如图6的QKD系统网络300(下面将讨论)的“二维”网状网格,可以使用1×4开关55(未示出)。一般而言,每个Bob或Alice台站包括相应的量子光学层100、控制器110和开关55,如图4所示。控制器110管理量子光学层部件(未示出)-诸如相位(极化)调制器、激光器、单光子检测器、VOA等-的定时和同步。控制器110保证网络中台站之间的通信,并控制网络中开关55的运行以提供选择光路径。每个控制器110还记录与相邻台站建立的密钥,并用该密钥执行数学运算,诸如上面讨论的XOR(异或)运算。
应当注意,不同台站之间的链路可以具有不同长度,其中每个长度对应于在使用弱相干脉冲时每个脉冲的光子的可靠数量。而且,系统的不同部分或片段可能受到不同的环境影响,因此需要控制器以不同参数组运行。例如,图5的系统200中的台站B1可以具有两组运行参数,一组用于B1-A1链路,一组用于B1-A2链路。不同链路可能需要不同时间用于安全密钥分配。
图7和图8列出了说明在图5的QKD系统网络中将秘密密钥S从P1发送到P2所需的操作的一个示例性实施例的流程图700。
首先参照图7,在702中,台站A1向台站B1发送信号以启动台站A1和B1之间的QKD过程。而且,台站B1将其开关设置到相应位置。在704,台站B1向台站A2发送信号以启动与台站B2的QKD过程。而且,台站A2将其开关设置到相应位置。在706和708,传输在台站之间继续,直到建立密钥k1和k2。
在台站A1和B1建立密钥k1并且台站A2和B2建立密钥k2之后,参照图8,在710,台站B1和A2将它们的开关设置到位置B1-A2,启动相互之间的QKD交换。在712,交换持续到建立密钥k3为止。在台站B1和A2之间建立密钥k3之后,在714,台站B1形成并记录mb1=k1 XOR k3,并擦除k1和k3,并且在716,台站A2形成并记录ma2=k3 XOR k2,并擦除k3和k2。
最后,在718,通过公共信道链路A1-B1、B1-A2、A2-B2将秘密密钥S从P1发送到P2。P1-A1站点向B1发送ca1=S XOR k1,B1创建cb1=ca1 XOR mb1并将其发送到A2。然后,A2创建ca2=cb1 XOR ma2并将其发送到B2。在B2-P2站点,最后的运算ca2 XOR k2产生S。与现有技术(参见例如上面引用的C.Elliott,New Journal of Physics 4(2002),46.1-46.12)不同,秘密密钥S在每个中间台站中没有不用密码地被公开。
再次参照图6,本发明包括更复杂的“二维”网状结构或网格QKD系统网络300,其中的每个QKD台站具有1×4开关。假定用户终端P1与台站A11连接,并且用户终端P2与B34台站连接。秘密密钥S可以被从P1发送到P2,例如通过A11-B21-A22-B23-A33-B34链。在这种情况下,在阶段1中,在A11-B21、A22-B23和A33-B34台站之间建立密钥。在阶段2中,在B21-A22和B23-A33台站之间建立密钥。台站B21、A22、B23和A33保持与相邻台站所建立的经过异或的密钥。
网状网格QKD系统300具有多个优点。首先,如果QKD台站之间至少一个链路或路径断开或被危急安全,能够由QKD台站控制器迅速地建立另一路径。其次,每次秘密密钥被从一个用户终端传送到另一用户终端时,可以选择另一路由,从而Eve无法知道是哪个链路或台站出现故障。应当注意,按照联邦信息处理标准(FIPS),中间台站需要防备篡改。
权利要求
1.一种QKD网络系统,包括第一QKD台站和第二QKD台站;可操作地耦合所述第一和第二QKD台站的中继站,其中所述中继站包括一个第三QKD台站和允许所述第三QKD台站交替地与所述第一和第二QKD台站通信以在所述第一和第二QKD台站之间建立公用密钥的光学开关。
2.根据权利要求1所述的方法,其中所述第三QKD台站包括分别耦合到所述光学开关的量子光学层和控制器。
3.一种将秘密密钥S从最终用户P1传送到最终用户P2的方法,其中最终用户P1和P2分别耦合到第一QKD台站A1和第二QKD台站B1,所述第一QKD台站A1和第二QKD台站B1可操作地经由包括一个第三QKD台站B和光学开关的中继站相互耦合,所述方法包括a)设置所述开关以在台站B和A1之间交换密钥k1;b)设置所述开关以在台站B和A2之间交换密钥k2;c)在B处执行c=k1 XOR k2;d)在P1处执行c1=S XOR k1并将c1发送到B;e)在B处执行c2=c1 XOR c;f)经由A2将c2发送到P2;以及g)在P2处执行P2 XOR k2=S。
4.根据权利要求3所述的方法,包括在建立密钥c之后擦除密钥k1和k2。
5.一种通过具有QKD台站线性配置A1-B1-A2-B2的QKD系统网络在最终用户P1和P2之间通信密钥S的方法,其中最终用户P1可操作地耦合到A1,最终用户P2可操作地耦合到P2,所述方法包括设置B1中的光学开关以允许在B1和A1之间的通信,并在A1和B1之间建立第一密钥k1;设置A2中的光学开关以允许在B2和A2之间的通信,并在A2和B2之间建立第二密钥k2;设置B1和A2中的所述光学开关以允许在B1和A2之间的通信,并在B1和A2之间建立第三密钥k3;在B1中形成密钥Mb1=k1 XOR k3;在A2中形成密钥Ma2=k3 XOR k2;以及在P2处执行S XOR k1 XOR Ma2 XOR k2以获得S。
6.一种将秘密密钥S从第一最终用户P1传送到第二最终用户P2的方法,其中所述第一最终用户P1和第二最终用户P2都可操作地链接到QKD系统网络中相应的第一和第二QKD台站,所述方法包括通过将光学开关设置为第一状态,在所述第一QKD台站和中继站中的第三QKD台站之间建立第一密钥;通过将所述光学开关设置为第二状态,在所述第二QKD台站和所述第三QKD台站之间建立第二密钥;在所述第三QKD台站中组合所述第一和第二密钥;使用在第三QKD台站中组合的密钥来将所述秘密密钥S从P1通信到P2。
全文摘要
公开了QKD系统网络(50,200,300)以及通过该系统网络在最终用户(P1,P2)之间通信的方法。QKD系统网络示例包括第一QKD台站(A1)和第二QKD台站(A2)以及设置于它们之间的中继站(58)。中继站包括一个第三QKD台站(B)和光学开关(55)。光学开关允许第三QKD台站轮流与第一和第二QKD台站通信以便在第一和第二QKD台站之间建立公用密钥。最终用户分别与QKD台站A1和A2耦合。秘密密钥(S)通过QKD台站B在P1和P2之间共享,QKD台站B可以独立地与A1和A2形成密钥。由P1-A1-B-A2-P2代表的基本系统可以扩展为更复杂的线性网络如P1-A1-B1-A2-B2-P2,其中B1和A2构成中继。基本QKD系统网络还可以扩展为多维。
文档编号H04K1/00GK1977488SQ200580021506
公开日2007年6月6日 申请日期2005年6月28日 优先权日2004年6月28日
发明者哈里·维格, 奥德留斯·贝尔赞基斯 申请人:Magiq技术公司