光纤窃听可感知定位的检测装置及方法与流程

本发明涉及一种光纤通信/量子通信及信息安全领域的装置及方法，尤其涉及一种光纤窃听可感知定位的检测装置及方法。

背景技术：

近年来，随着网络通信技术的发展，光纤网络通信以其大容量、高带宽、低损耗、抗电磁干扰能力强等特点一跃成为现代通信网络的重要传输手段和基础设施。尤其是在全光网络(aon)和自动交换光网络(ason)出现之后，光网络又集成了透明性、智能化和栅格化等更多优点，其应用前景更加广泛。据统计，目前全球90％以上的信息通信都由光网络承载，现代社会对光纤网络通信的依赖性在不断增强。

与此同时，针对光纤信号的窃听技术也日趋成熟，光纤窃听手段基本上可以分为侵入式和非侵入式。前者需要对光纤进行切割并重新进行连接，而后者并不切断光纤或造成任何业务的中断即可达到窃听目的。侵入式窃听主要有光束分离法，非侵入式窃听主要包括光纤弯曲耦合法、倏逝波耦合法、v型槽法和光栅法等。对光纤通信进行窃听已不存在技术障碍，光纤通信的所谓“天然”保密性已不再有效，所有这些因素都促使光纤通信防窃听及其检测技术成为人们关注的重点。

技术实现要素：

本专利所要解决的问题是针对线路易被窃听、无法感知被窃听行为、无法定位窃听位置等技术的不足，提出一种光纤窃听可感知定位的检测装置及方法，本发明提高了光纤通信网络的安全等级，通过实时统计监测量子密钥分发网络的密钥实时生成速率、误码率等数据突变，实时感知到窃听行为，并告警；收到告警信号后，通过激光器向光纤发出激光脉冲，激光脉冲在光纤内由于瑞利散射效应与菲涅尔反射效应形成反向光信号，通过探测器检测反射回来的反向光信号，计算回波信号回程时间，处理分析信号变化，从而定位光纤内故障点。

为了实现上述技术目的，本发明采取的技术方案是：光纤窃听可感知定位的检测装置，包括及发送端量子密钥分配终端和接收端量子密钥分配终端，发送端量子密钥分配终端和接收端量子密钥分配终端通过光线连接，形成量子密钥分发网络；所述量子密钥分配终端和接收端量子密钥分配终端即发送端alice和接收端bob；所述发送端量子密钥分配终端包括量子光激光器、第一光衰减检器、编码器、合波器、光定向耦合器、第二光衰减器、同步光激光器、控制系统和探测器。量子光激光器、第一光衰减检器、编码器和合波器依次连接，同步光激光器与光衰减器连接，光衰减器与光定向耦合器的接口1连接，光定向耦合器的接口2与合波器连接；控制器系统分别与同步光激光器和探测器连接，探测器与光定向耦合器连接；所述接收端量子密钥分配终端包括分波器、解码器、单光子探测器、延时器和同步光探测器；分波器、解码器和单光子探测器依次连接，分波器、同步光探测器和延时器依次连接，延时器另一端连接单光子探测器；

当设备正常运行时，发送端量子密钥分配终端采用密钥协商工作模式，所述量子光激光器用于发出激光脉冲，所述第一光衰减器用于将激光脉冲衰减，形成单光子水平的量子光；编码器用于对单光子水平的量子光编码；同步光激光器用于发出同步光脉冲，第二光衰减器用于将同步光脉冲衰减，产生同步光脉冲；同步光脉冲到达光定向耦合器的接口1，光定向耦合器用于将同步光脉冲传输至光定向耦合器的接口2；合波器用于将光定向耦合器的接口2的同步光脉冲和被编码后的单光子水平的量子光合在一起，形成耦合光，耦合光通过光纤信道到达接收端量子密钥分配终端；分波器用于将到达接收端量子密钥分配终端的耦合光分开成两路光信号，即同步光脉冲和单光子水平的量子光，分别输入同步光探测器和解码器；同步光探测器用于接收探测同步光脉冲，输出同步时钟信号用来触发单光子探测器；延时器用于调节单光子探测器的门触发时间窗口的延时，以保障单光子水平的量子光信号到达单光子探测器时间窗口落在门触发的时间窗口内；解码器用于将单光子水平的量子光解码，单光子探测器用于探测被解码的单光子水平的量子光；在经典通讯阶段，发送端alice和接收端bob进行对基、纠错和保密放大后产生安全密钥；

还包括量子密钥分配终端的控制系统，控制系统用于在有窃听者存在时通过量子密钥分配终端的软件操作界面显示误码率和密钥量突变现象，同时通过报警灯会闪烁且蜂鸣器鸣响，表明感知到存在窃听行为；

在感知到线路存在窃听行为时，发送端量子密钥分配终端从密钥协商工作模式切换到检测定位工作模式；同步光激光器在控制系统触发检测定位工作模式后持续发出脉冲光，并通过控制系统降低光衰减器的衰减值，使光衰减器的输出光功率无损耗，同步光激光器触发光脉冲通过光衰减器，从光定向耦合器的接口1进入，从光定向耦合器的接口2输出，经过合波器发送到待测光纤；

在同步光脉冲沿着待测光纤传播时，瑞利散射的背向散射部分返回光纤入射端，形成回波光信号，回波光信号通过光定向耦合器的接口2进入，从接口3输出，到达探测器，并被探测器检测到回波光信号；控制系统通过软件界面生成结果图，分析链路沿线的物理事件，确定光纤链路故障点，定位窃听行为。

为实现上述技术目的，本发明采取的另一种技术方案为：光纤窃听可感知定位的检测方法，发送端量子密钥分配终端和接收端量子密钥分配终端即发送端alice和接收端bob通过光线连接，形成量子密钥分发网络，发送端alice和接收端bob的光接口a和光接口b分别连接传输数据的网络交换机，形成数据通信网络。当数据通信网络正常运行时，发送端alice采用密钥协商工作模式，网络交换机连接光接口a，通过合波器把经典数据与发送端alice的量子光波分复用成单纤传输，到接收端bob，通过分波器，把量子光送给探测器，并协商成量子密钥，把经典数据通过光接口b传输到网络交换机，完成数据通信过程。

当用于传输量子光及经典数据的光纤线路有窃听行为存在时，光纤连接或信道衰减存在异常，系统误码率大幅度上升高于设定的安全界限，即误码率阈值，密钥量急剧下降，量子密钥分配终端的控制系统通过软件操作界面显示误码率和密钥量突变现象，同时通过报警灯会闪烁且蜂鸣器鸣响报警，表明感知到存在窃听行为；

在感知到线路存在窃听行为时，发送端alice从密钥协商工作模式切换到检测定位工作模式；同步光激光器在系统触发检测定位工作模式后持续发出脉冲光，并通过控制系统降低光衰减器的衰减值，使光衰减器的输出光功率无损耗，同步光激光器触发光脉冲通过光衰减器，从光定向耦合器的接口1进入，从光定向耦合器的接口2输出，经过合波器发送到待测光纤；

在同步光脉冲沿着待测光纤传播时，瑞利散射的背向散射部分返回光纤入射端，形成回波光信号，回波光信号通过光定向耦合器的接口2进入，从接口3输出，到达探测器，并被探测器检测到回波光信号；控制系统通过软件界面生成结果图，分析链路沿线的物理事件，确定光纤链路故障点，定位窃听行为。

有益效果：

1)量子力学具有三大基本原理“不确定性原理、测量塌缩理论和量子不可克隆定律”，由于①不确定性原理即无法通过一次测量确定光子的相位值；②量子力学“测量即塌缩”的特性，测量可能会破坏光子的量子态；③量子不可克隆定律禁止了先复制光子再针对不同拷贝采取不同的测量。量子力学三大原理确保了量子在分发过程中对攻击者的完全抵抗能力，能够抵御任何破译技术和超强计算的攻击。

2)量子窃听检测装置在进行两端量子密钥分发的过程中，可以通过抽样检测密钥，实时统计误码率和密钥量变化，监测线路窃听者的存在，感知窃听行为；并通过量子密钥分配终端(发送端)内置的检测定位模块，测量输出光纤链路结果图，单端鉴定链路质量和查找网络故障，定位窃听位置。

3)量子密钥窃听检测装置具有很好的兼容性、通用性，可直接接入现有光纤通信网，智能化网络管理系统，可快速感知、定位窃听行为，保证光纤网络通信的高安全性。

附图说明

图1为本发明的结构示意图。

图2为本发明的感知窃听行为示意图。

图3为本发明的窃听行为示意图。

图4为本发明的检测定位模块结构示意图。

图5位本发明的检光路结构示意图。

具体实施方式

下面结合附图和具体实施方式，进一步阐明本发明，应理解这些实施方式仅用于说明本发明而不用于限制本发明的范围，在阅读了本发明之后，本领域技术人员对本发明的各种等价形式的修改均落于本申请所附权利要求所限定的范围。

实施例1

如图1-5所示，本光纤窃听可感知定位的检测装置，包括发送端量子密钥分配终端和接收端量子密钥分配终端，发送端量子密钥分配终端和接收端量子密钥分配终端通过光线连接，形成量子密钥分发网络；所述量子密钥分配终端和接收端量子密钥分配终端即发送端alice和接收端bob；所述发送端量子密钥分配终端包括量子光激光器、第一光衰减检器、编码器、合波器、光定向耦合器、第二光衰减器、同步光激光器、控制系统和探测器；量子光激光器、第一光衰减检器、编码器和合波器依次连接，同步光激光器与光衰减器连接，光衰减器与光定向耦合器的接口1连接，光定向耦合器的接口2与合波器连接；控制器系统分别与同步光激光器和探测器连接，探测器与光定向耦合器连接；所述接收端量子密钥分配终端包括分波器、解码器、单光子探测器、延时器和同步光探测器；分波器、解码器和单光子探测器依次连接，分波器、同步光探测器和延时器依次连接，延时器另一端连接单光子探测器；

当量子密钥分发网络正常运行时，发送端量子密钥分配终端采用密钥协商工作模式，所述量子光激光器用于发出激光脉冲，所述第一光衰减器用于将激光脉冲衰减，形成单光子水平的量子光；编码器用于对单光子水平的量子光编码；同步光激光器用于发出同步光脉冲，第二光衰减器用于将同步光脉冲衰减，产生同步光脉冲；同步光脉冲到达光定向耦合器的接口1，光定向耦合器用于将同步光脉冲传输至光定向耦合器的接口2；合波器用于将光定向耦合器的接口2的同步光脉冲和被编码后的单光子水平的量子光合在一起，形成耦合光，耦合光通过光纤信道到达接收端量子密钥分配终端；分波器用于将到达接收端量子密钥分配终端的耦合光分开成两路光信号，即同步光脉冲和单光子水平的量子光，分别输入同步光探测器和解码器；同步光探测器用于接收探测同步光脉冲，输出同步时钟信号用来触发单光子探测器；延时器用于调节单光子探测器的门触发时间窗口的延时，以保障单光子水平的量子光信号到达单光子探测器时间窗口落在门触发的时间窗口内；解码器用于将单光子水平的量子光解码，单光子探测器用于探测被解码的单光子水平的量子光；在经典通讯阶段，发送端alice和接收端bob进行对基、纠错和保密放大后产生安全密钥；

还包括量子密钥分配终端的软件操作界面，控制系统用于在有窃听者存在时通过量子密钥分配终端的软件操作界面显示误码率和密钥量突变现象，同时通过报警灯会闪烁且蜂鸣器鸣响，表明感知到存在窃听行为；当有窃听者存在时，光纤连接或信道衰减存在异常，系统误码率大幅度上升高于设定的安全界限，即误码率阈值，密钥量急剧下降，量子密钥分配终端的软件操作界面出现误码率和密钥量突变现象，报警灯会闪烁且蜂鸣器鸣响，感知到存在窃听行为；

在感知到线路存在窃听行为时，发送端alice从密钥协商工作模式切换到检测定位工作模式；同步光激光器在系统触发检测定位工作模式后持续发出脉冲光，并通过控制系统降低光衰减器的衰减值，使光衰减器的输出光功率无损耗，同步光激光器触发光脉冲通过光衰减器，从光定向耦合器的接口1进入，从光定向耦合器的接口2输出，经过合波器发送到待测光纤；

在同步光脉冲沿着待测光纤传播时，瑞利散射的背向散射部分返回光纤入射端，形成回波光信号，回波光信号通过光定向耦合器的接口2进入，从接口3输出，到达探测器，并被探测器检测到回波光信号；控制系统通过软件界面生成结果图，分析链路沿线的物理事件，确定光纤链路故障点，定位窃听行为。

本光纤窃听可感知定位的检测装置中，量子密码采用量子态作为信息载体，巧妙地利用了量子态的叠加性和不确定性，为通信双方构建共享的安全密钥，解决了现有经典密码体系无法彻底解决的密钥分发和窃听检测等技术难题。本专利实际上是一种量子窃听检测装置，由量子密钥分配终端(发送端)和量子密钥分配终端(接收端)组成，本光纤窃听可感知定位的检测装置可以对光纤窃听行为进行感知、定位，保证光纤通信网络的高安全性，如图1所示。发送端量子密钥分配终端具有密钥协商和检测定位两种工作模式：

1)在密钥协商工作模式下，发送端量子密钥分配终端通过发送光的量子态特性与接收端的量子密钥分配终端进行密钥协商，实现密钥的安全分配和密钥管理，并对上层应用提供密钥读取接口；

2)在检测定位工作模式下，发送端量子密钥分配终端通过发送光脉冲注入到光纤中，并读取从所发送光脉冲返回的光级别以显示链路情况；光级别包括两种类型的反射光：光纤产生的连续低级别光称为(rayleigh)瑞利背向散射光，连接点处的高反射峰值称为(fresnel)菲涅尔反射光。其中瑞利背向散射是当光线在光纤中传播时，由于光纤内部杂质固有的反射和吸收，当光照射到杂质上时，一些杂质颗粒将光重定向到不同的方向，其中一部分的方向与入射方向相反，沿着光纤返回到入射端，这部分散射光称为背向散射光。瑞利散射属于光纤特性固有散射，因此瑞利散射损耗不可避免。

该设备主要是使用第二种反射(菲涅尔反射)检测链路沿线的物理事件(指除光纤材料自身正常散射以外的任何导致损耗或反射功率突然变化的异常点)。①当光到达折射率突变的位置(比如从玻璃到空气)时，很大一部分光被反射回去，产生菲涅尔反射的光强远远大于瑞利背向散射，菲涅尔反射可通过结果图轨迹的尖峰来识别，这样的反射事件有机械接头、光纤断裂、光纤破损或打开的连接器。②当光纤内有一些损耗但没有反射光时发生非反射事件，在结果图轨迹上产生一个功率跌落，这样的非反射事件有熔接点、光纤弯折点、连接器等。通过分析这些事件查找光纤链路故障，定位窃听行为。

传输信道：单模光纤。

工作原理：包括正常通信过程和存在窃听者的情况下通信过程；所述正常通信过程包括以下步骤：

步骤1：在光纤两端分别部署发送端量子密钥分配终端和接收端量子密钥分配终端，即发送端alice和接收端bob，根据设备的ip信息建立通信链路；

步骤2：发送端alice触发激光器发出脉冲光，传输到接收端bob，并通过调相、对基、纠错发大、保密放大后处理过程，根据bb84协议，完成安全密钥的产生；

步骤3：经典数据传输通过网络交换机接入发送端alice的光接口a，通过合波器波分复用成一根光纤传输到接收端端bob，通过分波器把经典数据从光接口b输出到网络交换机，完成经典数据传输的通信过程；

步骤4：通过量子密钥分配终端的软件操作界面直接观测、记录实时显示的误码率、安全密钥生成率以及最终密钥量等信息，监控系统正常运行。

所述存在窃听者的情况下量子密钥分发过程包括光纤窃听可感知和光纤窃听可定位；参见图2，所述光纤窃听可感知包括以下步骤：

步骤1：在在光纤两端分别部署发送端量子密钥分配终端和接收端量子密钥分配终端，即发送端alice和接收端bob，根据设备的ip信息建立通信链路；

步骤2：发送端alice触发激光器发出脉冲光，传输到接收端bob，并通过调相、对基、纠错发大、保密放大后处理过程，根据bb84协议，完成安全密钥的产生；

步骤3：当有窃听者对光纤传输信道进行窃听时，光纤连接或信道衰减存在异常，一部分光会被窃听者窃取；

步骤4：光纤线路的变化，会使量子密钥分配终端的软件操作界面出现误码率和密钥量突变现象，报警灯会闪烁且蜂鸣器鸣响，感知到存在窃听行为；误码率大幅上升高于设定的安全界限(即误码率阈值)和密钥量急剧下降。

参见图3和图4，所述光纤窃听可定位包括以下步骤：

步骤5：在感知到存在窃听行为的情况下，发送端量子密钥分配终端瞬间切换为检测定位工作模式；

步骤6：发送端量子密钥分配终端内置的检测定位模块通过控制系统进行高精度时钟控制，同时，同步光激光器发射光脉冲信号，输入待测光纤；

步骤7：在光脉冲信号沿着待测光纤传播时，瑞利散射的背向散射部分不断返回光纤入射端，当光脉冲信号遇到裂纹时，产生菲涅尔反射，其背向反射光返回光纤入射端，探测器检测反射回来的光脉冲信号；

步骤8：通过高精度时钟对信号进行定时，再通过数据处理系统分析光脉冲信号的变化，将功率关于时间的关系转换为关于空间的关系；软件界面生成结果图显示发送端量子密钥分配终端探测到的瑞利背向散射光，得到沿光纤长度分布的衰减曲线，即一条斜率为负数的直线，对于菲涅尔反射回来的光，直线上表现为一个凸起的峰。远远大于瑞利背向散射回来的光，在直线上表现为一个凸起的峰，而光纤中的熔接点和弯曲的地方会带来损耗，但不会引起反射。我们通过测量分析得到的结果图对光纤内的故障进行定位，进一步定位窃听行为。

实施例2

参见图1-图5，本光纤窃听可感知定位的检测方法，发送端量子密钥分配终端和接收端量子密钥分配终端即发送端alice和接收端bob通过光线连接，形成量子密钥分发网络，发送端alice和接收端bob的光接口a和光接口b分别连接传输数据的网络交换机，形成数据通信网络。当数据通信网络正常运行时，发送端alice采用密钥协商工作模式，网络交换机连接光接口a，通过合波器把经典数据与发送端alice的量子光波分复用成单纤传输，到接收端bob，通过分波器，把量子光送给探测器，并协商成量子密钥，把经典数据通过光接口b传输到网络交换机，完成数据通信过程。

其特征在于：当用于传输量子光及经典数据的光纤线路有窃听行为存在时，光纤连接或信道衰减存在异常，系统误码率大幅度上升高于设定的安全界限，即误码率阈值，密钥量急剧下降，量子密钥分配终端的控制系统通过软件操作界面显示误码率和密钥量突变现象，同时通过报警灯会闪烁且蜂鸣器鸣响报警，表明感知到存在窃听行为；

在感知到线路存在窃听行为时，发送端alice从密钥协商工作模式切换到检测定位工作模式；同步光激光器在系统触发检测定位工作模式后持续发出脉冲光，并通过控制系统降低光衰减器的衰减值，使光衰减器的输出光功率无损耗，同步光激光器触发光脉冲通过光衰减器，从光定向耦合器的接口1进入，从光定向耦合器的接口2输出，经过合波器发送到待测光纤；

在同步光脉冲沿着待测光纤传播时，瑞利散射的背向散射部分返回光纤入射端，形成回波光信号，回波光信号通过光定向耦合器的接口2进入，从接口3输出，到达探测器，并被探测器检测到回波光信号；控制系统通过软件界面生成结果图，分析链路沿线的物理事件，确定光纤链路故障点，定位窃听行为。

其他工作原理等部分与实施例相同，不再详述。

发明的保护范围包括但不限于以上实施方式，本发明的保护范围以权利要求书为准，任何对本技术做出的本领域的技术人员容易想到的替换、变形、改进均落入本发明的保护范围。