一种量子与经典融合的通信网络系统及其密钥分发方法与流程

本发明涉及量子信息技术以及经典光纤通信融合领域，更具体地，涉及一种量子与经典融合的通信网络系统及其密钥分发方法。

背景技术：

量子密钥分发是利用量子效应实现具有高度安全性的量子密码技术，是量子力学和经典密码学相结合的一门新兴科学，是目前国际量子物理和信息科学的研究热点。

量子经典融合通信是量子密钥分发网络应用的趋势。自bennettandbrassard在1984年的第一篇关于qkd的论文以来，1994年townsend等采用光功率分配器构建了基于无源光网络的多用户量子密钥分发网络结构，实现了多用户量子通信。2003年brassard提出一种采用波分复用技术的基于光纤的量子密钥分发网络，美国国防部高级研究计划局(darpa)资助波士顿大学和哈佛大学建立的世界上最大的第一个跨越城市区域的qkd网络，国内建设了32节点的量子通信示范干线，qkd技术经过几十年的演变，qkd链路由最初的点对点链接到如今的网络化，传输距离由最初的几米到如今的几百公里，以及密钥率从比特提升兆水平。

国内外的研究表明qkd波分复用的量子经典融合通信面临解决量子信号与经典信号如何共存的问题，在实际融合通信中qkd除了受到量子信号的噪声影响外还主要受经典wdm信号的反斯托克斯噪声的干扰。并且目前，在量子与经典通信融合领域，人们的关注点主要集中在增加用户数、扩大传输距离和提高密钥率；缺乏一个较完善的融合系统去实现量子与经典融合通信的大规模应用。

技术实现要素：

本发明提供一种解决量子信号和经典信号共存问题的量子与经典融合的通信网络系统。

本发明的又一目的在于提供一种量子与经典融合的通信网络系统的密钥分发方法。

为了达到上述技术效果，本发明的技术方案如下：

一种量子与经典融合的通信网络系统，包括量子层模块、密钥管理层模块和应用层模块；

所述量子层模块生成量子密钥的qkd，采用波分复用器件将接入经典通信网络物理链路层的量子信号在以太网中以2gb/s传输速率与10gb/s或更高速率的经典信号复用到同一光纤进行传输，通信双方根据量子组、通信距离、密钥速率要求选择合适量子密钥，调制解调量子信号生成密钥，进行原码交换、筛选、密钥提取；

所述密钥管理层模块是将量子密钥在应用层模块和量子层模块之间进行密钥管理和储存，并将量子密钥推送到应用层模块；其中密钥管理层模块包括密钥分发中心，密钥分发中心设有传输授权码分发器，以及存储量子密钥的量子密钥寄存器和密钥分发中心与终端间的加密密钥的会话密钥寄存器；

所述应用层模块包括具有传输授权码分发器的终端，该终端包括语音量子组终端、邮件量子组终端或视频量子组终端。

进一步地，所述量子密钥包括即插即用qkd、基于诱骗态协议的相位编码qkd和基于纠缠qkd。

一种量子与经典融合的通信网络系统的密钥分发方法，包括以下步骤：

s1：初始化系统，量子层模块生成量子密钥，然后经过原码交换、筛选、密钥提取操作后推送到密钥管理层模块的寄存器中；

s2：终端a向其所属的钥分发中心发出会话请求，表示请求的消息由两个数据项组成：第1项是将要进行通信双方终端a、终端b的身份，第2项是这次业务的惟一识别符n1，n1为时戳、计数器或随机数；

s3：终端a所属的密钥分发中心在收到终端a的会话请求后，在全网中搜寻终端a的会话请求消息中的通信对象终端b所属的密钥分发中心的网址，找到该网络地址后建立链接，若终端b所属的密钥分发中心拒绝终端a的请求，终端a重发请求，若终端a和b的密钥分发中心间建立链接而终端a、b间密钥长度协商失败，终端b所属的密钥分发中心也拒绝终端a的请求，终端a重发请求；

s4：终端a、b的传输授权码分发器分别和终端a、b所属的密钥分发中心的传输授权码分发器生成共享的传输授权码ka和kb；

s5：终端a所属的密钥分发中心从其中的会话密钥寄存器中取出一定长度的会话密钥用传输授权码ka加密发送给终端a，终端b所属的密钥分发中心从其中的会话密钥寄存器中取出与终端a等长的会话密钥用传输授权码kb加密发送给终端b；

s6：终端a、b分别用传输授权码ka、kb解密，得到会话密钥，当终端b收到终端a发送的消息后，经过终端b的确认用传输授权码kb加密另一个随机数n2告知终端b的所属的密钥分发中心收到终端a发送来的消息，终端b的所属的密钥分发中心以f(n2)告知终端a所属的密钥分发中心终端b已经与终端a已建立安全通信。

与现有技术相比，本发明技术方案的有益效果是：

本发明量子与经典融合通信网络系统，采用三层机构，从量子层生成量子密钥到密钥管理层的存储与转发和应用层终端的应用，各层功能性明确，而且可以根据应用层量子组终端、通信距离、密钥速率等要求选择更为合适的qkd，工程模块化、系统更加灵活方便利于行业标准化和大规模市场化应用；本发明的密钥分发方法采用的是动态分发技术，即“请求-分发”的在线分发技术，根据终端的请求与密钥分发中心建立会话机制，实时高效地完成密钥分发。

附图说明

图1是本发明量子与经典融合通信网络系统的整体结构框图；

图2是本发明量子与经典融合通信网络系统中密钥分发中心的全局结构图；

图3是本发明量子与经典融合通信网络系统的量子层即插即用qkd；

图4是本发明量子与经典融合通信网络系统的量子层基于诱骗态协议的相位编码qkd；

图5是本发明量子与经典融合通信网络系统的具体结构示意图；

图6是本发明量子与经典融合通信网络系统与密钥分发方法的流程图。

具体实施方式

附图仅用于示例性说明，不能理解为对本专利的限制；

为了更好说明本实施例，附图某些部件会有省略、放大或缩小，并不代表实际产品的尺寸；

对于本领域技术人员来说，附图中某些公知结构及其说明可能省略是可以理解的。

下面结合附图和实施例对本发明的技术方案做进一步的说明。

实施例1

如图1-5所示，量子与经典融合通信网络系统，包括量子层模块、密钥管理层模块、应用层模块，其中

所述量子层主要包括生成量子密钥的qkd①，以及在平台生成密钥后的原码交换、筛选、密钥提取等一系列经典操作，采用波分复用(wdm)器件，将接入经典通信网络的物理链路层的量子信号(1310nm)在以太网中以2gb/s传输速率与10gb/s或更高的速率的经典信号(1550nm)复用到同一光纤进行传输；

进一步地生成量子密钥的即插即用qkd包括激光器、环形器、耦合器、非平衡干涉仪、光纤延时线、两个相位调制器、偏振分束器、可变光衰减器以及脉冲延时器、两个单光子探测器以及法拉第旋转反射镜；采用相位编码方式，alice调制pma相位为bob调制pmb相位为代表比特0，代表比特1；即插即用qkd信号来回通过信道所走的总光程是一样的，再加上法拉第镜使得系统能够自动补偿相位波动和偏振变化，保证系统的稳定性。

进一步地量子密钥提取分为三步：纠错，隐私放大和经典通信的认证。纠错使用cascade算法实现，将原始密钥分割成特定数量的块，一个接一个地被纠正。cascade算法足够强大，即使仅对误码率值进行粗略的估计也能有效运行。隐私放大用krawczyk提出的基于toeplitz矩阵的通用散列函数完成。它在所有经过筛选的后的密钥上执行。认证是根据韦格曼卡特方案进行的，密钥交换的所有经典通信同时进行认证。原始密钥交换、筛选、密钥提取依次进行，最终量子层连续生成qkd密钥并将其传送到密钥管理层。

所述密钥管理层作为量子层与应用层间的接口来储存和转发来自量子层的密钥，并将其推送到应用层；其中密钥管理层是三层结构，包括存储来自量子层密钥的寄存器②、设有传输授权码分发器的密钥分发中心③和存储加密后的安全密钥寄存器④；

进一步地，寄存器②存储由量子层qkd生成的量子密钥，接下来当应用层量子组终端a向密钥分发中心③发出会话请求，密钥分发中心收到请求后与终端b所属的kdc建立链接，协商密钥长度，并且终端a、终端b的传输授权码分发器和kdc③的传输授权码分发器生成共享的传输授权码ka、kb，然后kdc从寄存器中取出一定长度的会话密钥ks用传输授权码加密发送给寄存器④；

所述应用层的终端，可以是量子组语音终端、量子组邮件终端、量子组视频终端。

进一步地当终端a收到由kdc③发来的应答消息后，用共享的传输授权码ka解密，得到会话密钥ks，并将消息通过信道1550nm转送给终端b。同理，终端b在收到与之对应kdc③发来的应答之后，用它们之间的共享授权码kb解密，得到会话密钥ks，并转消息通过信道1550nm转送给终端b，从而实现终端a和终端b之间的保密通信。

进一步地，应用层的同步信道和量子层、密钥管理层的同步信道1550nm以及量子层的量子信道1310nm通过wdm技术复用到共享光纤中，实现量子与经典通信的融合。

如图6所示，一种量子与经典融合通信网络系统的密钥分发方法，包括以下步骤：

s1.系统初始化：根据业务终端类型的不同，选择合适的qkd，量子经典网络设备初始化，为后面的保密通信做准备；

s2.量子密钥的生成：qkd生成量子密钥，然后经过原码交换、筛选、密钥提取等经典操作后推送到密钥管理层储存在寄存器中；

s3.终端a向kdc发出会话请求：终端a向所属的密钥分发中心kdc(a)③发出会话请求，表示请求的消息由两个数据项组成：第1项是将要进行通信双方a、b的身份，第2项是这次业务的惟一识别符n1，称n1为一次性随机数，可以是时戳、计数器或随机数；

s4.密钥分发中心间的协商：kdc(a)③在收到终端a的会话请求后，在全网中搜寻a的会话请求消息中的通信对象所属的密钥分发中心kdc(b)的网址③，找到该网络地址建立链接，若没有拒绝终端a的请求，重发请求，若密钥分发中心间建立链接而终端a、b间密钥长度协商失败，也拒绝请求，重发请求；

s5.生成共享的传输授权码：终端a、b的传输授权码分发器分别和密钥分发中心kdc(a)③和kdc(b)③的传输授权码分发器生成共享的传输授权码ka和kb；

s6.会话密钥分发：kdc(a)③从寄存器②中取出一定长度的会话密钥(量子密钥)ks用传输授权码ka加密发送给终端a，kdc(b)从寄存器②中取出与a等长的会话密钥ks用传输授权码kb加密发送给寄存器④；

s7.加密通信：终端a、b分别从寄存器④中取出加密密钥用传输授权码ka、kb解密，得到会话密钥，用会话密钥加密信息通过波分复用技术传输给通信终端；

s8.用户认证：当终端b收到终端a发送的消息后，经过b的确认用传输授权码kb加密另一个随机数n2告知密钥分发中心kdc(b)收到终端a发送来的消息，kdc(b)以f(n2)告知kdc(a)终端b已经与终端a已建立安全通信。

网络中如果用户数目过多且分布的地域较广，则需要使用多个kdc的逻辑结构，在每个小范围量子组(如一个局域网lan或一个建筑物局域网)，都建立一个本地kdc。同一范围的量子组终端在进行保密通信时，由本地kdc为他们分配密钥，如果两个不同范围的量子组终端想获得共享密钥，则可通过各自的本地kdc，而两个本地kdc的沟通又需经过一个全局kdc。kdc的逻辑结构采用类似计算机网络技术分为局域网、城域网、广域网三层，如图2。局域网可以通过数据通信网或专用数据电路,与远方的局域网、数据库或处理中心相连接,构成一个大范围的信息处理系统。城域网可以说是大型的局域网,通过将每个局域网的kdc连在一起组成一个城域网的kdc，通常会使用与局域网相似的技术，可实现覆盖一个城市或者更大区域的城域网量子通信,可以支持数据、声音和视频的传输。不同区域的城域网以子网模式接入广域网,广域网kdc为城域网之间的相互通信提供支撑,提供超远距离的通信,实现跨接很大的地理范围的一个国家或者一个区域大规模量子网络通信。

相同或相似的标号对应相同或相似的部件；

附图中描述位置关系的用于仅用于示例性说明，不能理解为对本专利的限制；

显然，本发明的上述实施例仅仅是为清楚地说明本发明所作的举例，而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明权利要求的保护范围之内。