基于-QKD-网络的量子密钥管理系统体系结构研究.docxVIP

目前，量子必威体育官网网址通信，特别是量子密钥分配（QuantumKeyDistribution，QKD），已经从实验阶段向实际应用和产业化迈进。在国家网络空间安全相关产业政策的推动下，QKD网络规模和用户对高安全必威体育官网网址通信产品的需求正在不断增长。美国国土安全部在2016年提出了利用QKD网络取代公钥密码基础设施（PublickKeyInfrastructure，PKI）提供的所有密钥服务的构想。因此，如何构建量子密钥基础设施及其管理系统将是量子通信技术实际应用的重要研究方向。

QKD网络系统通过对单光子或光场正则分量的量子态制备、传输和测量，在收发双方间实现了无法被窃听的安全密钥共享，但仅在近距离（小于50km）端到端之间可以实现安全密钥共享，在远距离任意节点之间（中间经过多个节点）仍无法形成安全共享密钥。这样势必对用户获取量子密钥造成很多不便，也无法提供他们想要的密钥资源，以完成业务信息的安全保护。这对量子密钥的使用和推广造成了极大障碍。

本文试图基于经典密码管理系统建设，提出量子密钥管理系统的体系结构，并借助QKD网络，融合经典密码技术，完成共享工作密钥（包括点对点工作密钥和组播工作密钥）的安全分配。同时，设计量子密钥分配中心（QuantumKeyDistributionCenter，QKDC）为应用设备提供量子密钥服务。最后，本文提出量子密钥管理系统当前所面临的问题，以及进一步优化和解决措施。

１

量子密钥管理系统体系结构

公钥密码技术已经成为网络通信中保障信息安全的主要手段，但随着量子计算机技术的不断进步，基于数学计算难题的公钥密码算法的安全性将受到巨大威胁。相比之下，量子必威体育官网网址通信利用光量子的不可分割性和测不准原理，提供了更为安全可靠的密钥分配方案。因此，建立量子密钥基础设施，为应用系统提供安全可靠的量子密钥，已经成为量子通信技术实用化的重要研究方向。

量子密钥基础设施的建设需要建立相应的量子密钥管理系统。该系统融合了QKD网络和经典密码技术，从而实现安全分配点对点工作密钥和组播工作密钥。这将为电子政务应用等网络系统提供更加可靠的安全保护。

要建立量子密钥管理系统，需要先构建其体系结构。在该框架下，需要设计系统组成，包括建立QKDC，为应用设备提供量子密钥服务等。同时，类似栅格通信网络综合运维管理体系结构，量子密钥管理系统需要实现相关功能，如密钥生成、密钥分配、密钥更新、密钥回收等。

量子密钥基础设施及其管理系统的建设，对于推动量子通信技术的实用化和产业化具有重要意义。然而，当前仍存在一些问题需要解决，例如在多个节点之间共享的量子密钥问题，如何保证量子密钥的可靠性和长期安全性等问题。需要进一步研究和优化，才能满足用户对于密钥资源安全的需求。

量子密钥管理系统以量子密钥资源分配为中心；自下而上的管理模式以用户应用资源需求为中心；自上而下的管理方式以光网络组网的特点为依托，以应用场景和实际安全需求为导向。量子密钥管理系统体系结构如图1所示。

图1量子密钥管理系统体系结构

量子密钥管理系统体系结构包括用户应用维度、管理功能维度和系统集成维度，3个不同维度描述量子密钥管理系统的运行方式、管理活动与组织实施等要素。

1.1用户应用维度

用户应用维度是量子密钥管理系统提供高安全分布式密钥能力的集中体现，也是量子密钥管理系统建设的主要依据。用户应用维度从系统整体使用及服务角度，面向用户应用需求，考虑不同管理功能在量子密钥生命管理周期中的作用与定位，充分体现不同管理功能对量子密钥管理与分配的贡献，以及系统集成管理活动为量子密钥管理系统的有效运行提供的技术保障能力。

量子密钥管理系统需要满足不同用户的差异性弹性管理需求。由于不同用户所需密钥量大小、时效性高低、提供的物理接口类别和不同地域互通关系等要素具有差异性，因而对量子密钥管理系统提出了更高的服务要求。

用户使用需求的差异性，以及保障任务的多样化需求，对量子密钥管理系统的设计与部署提出了很高的要求。量子密钥管理系统能够为各类用户互通需求进行网络策略规划管理，提供有效的技术保障手段，也能为各类应用提供柔性扩展、即插即用、按需服务和安全可靠的密钥服务支撑环境。

1.2管理功能维度

量子密钥管理系统完成网络拓扑管理、状态管理、策略配置管理、安全管理等网络级设备管理，完成系统级量子密钥资源分配与控制，实现基于互通策略的分布式业务管理能力，实现以用户需求为服务导向的业务处理和密钥分配管理。

量子密钥管理系统管理功能维度包括4层结构，分别是资源支撑层、管控信息传输层、密钥分配管理层和设备管理层。

（1）资源支撑层。资源支撑层的要素主要包括量子密钥管理系统网络承载层、传输层和服务层系统的通信设备和密码设备，还包括物理硬件平台和逻辑资源。这些要素是量子密钥