[发明专利]量子密钥分发网络以及量子密钥分发方法和装置

说明书

本发明提供一种量子密钥分发网络以及量子密钥分发方法和装置，所述方法包括：确定从源节点到目的节点的可信中继路由；其中，所述可信中继路由中的中继节点均为可信节点，且相邻节点之间的距离均小于或等于2跳；对于所述可信中继路由中每对距离为2跳的相邻节点，确定与该对节点相连的非可信节点；基于所述可信中继路由以及确定的非可信节点的中继，实现所述源节点与目的节点间的共享量子密钥的分发；其中，可信节点均设置有QKD发射机、接收机；非可信节点均设置有QKD发射机、MDI‑QKD接收机。应用本发明可以在可信节点与非可信节点共存的场景下，利用中继节点实现远距离的两个节点之间的量子密钥分发，提高QKD网络的安全性。

技术领域

本发明涉及量子密钥分发技术领域，尤其涉及一种量子密钥分发网络以及量子密钥分发方法和装置。

背景技术

当今信息时代下，网络信息的安全面临着严重的安全隐患。量子保密通信网络的安全性由其“海森堡测不准原理”和“量子不可克隆定律”等量子力学基本定律保证，具有理论上的“无条件安全”优势。随着通信网络的快速发展，量子通信技术的应用领域不断被拓宽。现阶段发展相对成熟并且具备产业化潜力的典型应用是基于QKD(Quantum KeyDistribution，量子密钥分发)的量子保密通信网络。

目前从技术层面上看，QKD有以下实现方案：(1)可信中继；(2)MDI-QKD(Measurement-Device-Independent Quantum Key Distribution，测量设备无关量子密钥分发)。

其中，可信中继技术首先将点对点量子密钥分发链路生成的密钥缓存在可信的中继节点中，然后将用户所需的端到端密钥利用多跳链路以OTP加密方式逐跳进行传递，该方案可以突破QKD传输距离限制，但是要求中继节点必须可信。

可信中继技术中，密钥在可信的中继节点之间进行加密接力传送，具体原理为：节点A与节点B之间连接一个可信中继器R，节点A将KAB通过KAR以一次性密码本(One-time-pad，OTP)加密后发送至可信中继器R，并解密得到KAB。可信中继器R使用密钥KRB重新加密KAB，并将其发送给节点B，节点B解密后获得KAB，节点A和节点B通过共享密钥KAB进行加密通信。

例如，如图1所示，假设两个远距离节点Alice和Bob的密钥分发路径为Alice→Node1→Node2→Bob。则中继过程如下：

(1)Alice与Node1生成共享密钥K1；

(2)Node1使用与Node2生成的密钥K2通过异或的方式对K1进行加密并传输给Node2；

(3)Node2使用K2对接收到的加密密钥解密得到K1，然后重复Node1的步骤将K1传递给下一节点；

(4)直到Bob得到K1后整个过程结束，至此Alice和Bob获得了密钥K1。

MDI-QKD技术中，发送方将信号传输到不可信的第三方中进行Bell态测量(BellState Measurement，BSM)，测量模块可视为一个完全黑盒，根据测量结果进行后处理得到量子密钥，MDI-QKD可以免疫探测通道攻击且适合星型网络，但是链路传输距离仍有一定限制。

如图2所示，多个节点分别通过WDM信道在不同光纤中接入光开关，再发送到不可信的Charlie。光开关通过时分复用机制，在一个时隙内只接通两个节点Alice和Bob，Charlie对Alice和Bob发送的单光子进行贝尔态测量。Charlie将测量时刻分别发送给Alice和Bob，Alice和Bob通过公共信道进行测量基比对等后处理进行密钥生成。

MDI-QKD最适合星型网络拓扑，在实现共享昂贵的探测器的情况下还允许窃听者在不损害安全性的前提下对中继进行完全控制。然而，基于MDI-QKD的星型网络实现距离有限，在星型网络之间如何中继是一个始终未得到解决的问题。