对量子城域网的讨论已经有一段时间了,经过近期系列文章的讨论,我们对城域网的整体情况、关键技术以及核心设备等都有了一些基本的认识,今天我计划对广西量子通信技术试验平台构建与应用研究服务采购项目进行讨论,通过对实际案例的分析,阶段性的对城域网相关技术内容进行综合讨论。
1.建设背景及内容
1.1建设背景
量子通信是利用量子态作为信息载体来进行信息交互的通信技术。其中最先实用化的量子通信技术是量子密钥分发(Quantum Key Distribution,QKD)。量子密钥分发可以在空间分离的用户之间以信息理论安全的方式共享密钥,提升加密通信体系的长期安全性。基于量子密钼分发技术的量子保密通信网络,可作为信息基础设施解决密钥安全分发难题,结合现代加密通信系统,对重要业务数据进行量子加密,以密文方式在VPN隧道内安全传输,保证信息安全,并可满足以后平滑扩容及演进需求。
量子保密通信网络的建设和应用可为广大用户提供抵御经典破译和未来量子计算挑战的量子安全服务,对事关国计民生的各行业和领域的信息安全均具有巨大的现实意义和高度的战略价值。通过量子通信技术与政务网络的叠加(重要数据通过量子密钥加密,以密文方式在VPN隧道传输),可有效提升现有政务网络的安全性。一是利用量子力学的基本原理实现密钥分发的高安全性;二是通过量子密钥分发技术进行密钥在线实时更新,在现有网络安全的基础上为各业务单位的数据访问再加一把“安全锁”,提升网络安全等级;三是利用量子密钥的高安全性,可实现对无线网络的加密保障,为移动办公等提供数据安全防护。下图为量子通信技术与政务网络关系示意图:
1.2项目建设内容
本项目建设内容主要分为两个部分:
- 开展量子技术与政务外网通信安全的应用研究。选取4个节点,1个是政务外网云计算中心,其余3个拟考虑从数据传输量大的政务云同城灾备中心、纳入壮美广西政务云保留的子数据中心或与云计算中心数据交换安全需求较高的单位中选取。通过勘测分析这些节点与云计算中心的网络链路情况,研究在不改变原有数据传输网络的情况下,充分利用原有数据网络的组网设备和光纤线路基础上构建量子密钥分发专网。研究基于量子密钥,在原有数据传输网络上构建量子安全通信专网(VPN方式)。根据研究内容形成试点建设方案,组建试点网络,进行量子传输加密解密测试分析,并不断完善方案与试点网络。
- 开展量子技术与政务领域密码技术的创新融合研究。依托量子保密通信网对政务外网的认证服务,数据共享交换和移动办公等业务场景进行测试验证,开展量子技术和政务领域密码技术的创新融合研究。
本项目已经于2020年完成了项目招投标,招标方式采用了单一来源,中标方为广西国科量子通信网络有限公司,下图为当时项目的报价单,正好小伙伴们可以感知下量子通信网络建设的项目成本,尤其是和经典的网络建设成本上的差异,大家可以对比感受一下。
2.组网结构及网络拓扑
南宁量子城域网是在南宁经典政务网络的基础上建设的,该网络包含了1个可信中继和4个用户。网络部署方式为:
- 采取裸光纤组网方式,对于光纤资源富余的自治区自然资源厅、自治区政务服务中心、壮美广西·政务云的试验部门,分别利用裸光纤连接广西发展大厦的量子密钥管理中心,实现站点间光量子信息的传输和量子密钥协商、同步、网络管理等数据传输;
- 采取波分技术组网方式,对于缺少光纤资源的自治区审计厅,利用波分技术连接广西发展大厦的量子密钥管理中心,将现在使用政务外网网络光纤链路分为量子保密信道和政务外网业务信道,实现量子信道、量子经典信道和政务外网业务信道的共纤传输。
网络连接示意图如下。其中发展大厦集控站(TR)作为可信中继连接了南宁市区域的4个主要用户,包括信息中心(U1)、审计厅(U2)、自然资源厅(U3)、政务服务中心(U4)。①号线为连接 U1 至 TR 的独立光纤,其衰减值为 9.20 dB;②号线为连接 U2 至 TR 的共用光纤,其衰减值为 2.18 dB;③号线为连接 U3 至 TR 的独立光纤,其衰减值为 13.78 dB;④号线为连接 U4 至 TR 的独立光纤,其衰减值为 2.15 dB。
该网络使用的是星型网络架构,网络架构如下图。其中U1作为星型网络的根节点,通过经典链
路连接各用户节点。U3、U4的经典业务直接通过路由器与 U1连接,完成业务交换。U2的情况较为特殊,其经典业务线路先连接到 TR的业务路由器,然后再由 TR转接到 U1。
U1、U3、U4和TR之间分别通过两芯裸光纤连接,量子信道和量子经典信道各使用单芯裸光纤。各用户节点分别通过量子网关与 TR 的量子网关连接,通过量子信道实现站点间光量子信息的传输:各节点分别通过接入交换机与 TR的汇聚交换机连接,通过量子经典信道实现站点间量子密钥协商、同步、网络管理等数据传输。由于 U2 与 TR之间的光纤资源已用尽,因此 U2 节点与 TR间采用经典量子波分复用终端,复用原网业务传输链路的单芯光纤(原网业务传输链路为双纤单向),实现量子信道、量子经典信道和业务信道的共纤传输。
此项目中节点建设主要为集控站和用户站:
集控站:作为量子通信网络中核心节点和控制中心。拥有2套 QKD 接收装置,采用多用户分时接入设计,完成其所辖区域内各节点间的密钥产生和中继调度。可信中继节点组网方式可大规模护展,突破国内外以往构建量子保密通信网络的结构简单、规模小等局限,使量子通信实现规模化组网应用成为可能。
用户站:用户站点实现密钥生成、密钥管理以及提供量子密钥加解密等功能。各用户单位的业务层通过量子安全加密路由器加密数据后,传至另一端安全量子安全加密路由器并完成解密的传输过程。每个用户拥有一套 QKD发射端设备,通过各自节点的用户网络边缘设备(CE路由器)与量子安全加密路由器对接,通过量子安全加密路由器使用量子密钥对网络传输数据进行加解密,实现各个用户之间的数据传输量子加密。其中量子安全加密路由器采用旁路方式接入CE路由器。
3.设备清单及关键技术
3.1设备清单
根据博主看到的公开信息,本项目采用的设备基本上为国盾量子提供,博主将本项目的核心产品主要参数罗列出来,有兴趣的小伙伴可以查阅国盾产品手册,进一步了解。
序号 | 产品名称 | 用途及功能 | 型号 | 备注 |
1 | 单发型量子密钥生成与管理终端 | 集成量子信号发射或接收模块和密钥存储管理模块,提供安全的量子密钥分发和密钥存储与管理功能。其中光学模块为单工制备量子态。 | QKDM-POL40A-S | |
2 | 单收型量子密钥生成与管理终端 | 集成量子信号发射或接收模块和密钥存储管理模块,提供安全的量子密钥分发和密钥存储与管理功能。其中光学模块为单工测量量子态 | QKDM-POL40B-S | |
3 | 光量子交换机 | 2X24端口的光量子交换机。光量子交换机的交换模式由量子密钥管理系统控制。量子密钥管理系统可根据各用户节点密钥存储量、密钥消耗量调整光量子交换机的交换模式。 | QOS-MT4 | |
4 | 量子加密路由器 | 采用旁路接入方式,实现对经典信道信息的加密和解密 | EQR2000-2 | |
5 | 经典量子波分复用终端 | 量子-经典波分复用产品实现经典光通信信号与量子光信号复用已有光通信网络光纤进行传输,即在量子密钥分发设备的发送端将经典光信号与量子光信号融合(复用),利用已有的经典光通信光纤线路传输,然后在量子密铜分发设备的接收端将量子光信号与经典光信号分离(解复用)。 | QWDM-204D-S | |
6 | CE路由器 | CE(Customer Edge),用户网络边缘设备,服务提供商所连接的用户端路由器。 | / |
3.2关键技术讨论
本文的主要关键技术在之前的文章中都已经讨论过了,有需要的小伙伴可以从文末直接转到专栏或者博主的主页进一步了解。本文主要讨论两个之前没有深入讨论的技术。
一、旁路接入
在本项目中,采用了旁路接入的方式实现量子密钥对网络数据的加解密。所谓旁路接入就是将量子加密终端与当前网络的互联网用户出口并联,在这种通信方式中,数据先到CE路由器,CE路由器将数据传到量子加密路由器进行加密(解密),处理完成后再将数据回传到CE路由器,加密(解密)后的数据按照原来的信道传输。这样不会对当前网络造成太大影响。显然,除了旁路方案还有串联接入的方案,串联方案是直接用量子加密终端对数据进行加密。
二、时分复用
采用时分费用可以有效解决量子网络的复杂性、成本高以及预留拓展接口等问题,南宁量子城域网目前有4个用户节点,每个用户节点的QKD设备可存储64MB的密钥,依据平均分配原则,光量子交换机的交换时间设置为20min,即20min 内4个用户节点中的2个与TR成码,下一个20min 内另外2个用户节点与TR成码,按此规则依次轮换。该模式在实际运行中已满足各项业务要求,后期增加用户节点也可以按需调整。
4.量子加密服务方式
在本项目中,用户可以利用生成的安全密钥秘密地传输信息。消息编码在FPGA模块中,对安全密钥进行异或运算。本项目应用该网络来传输加密信息,如即时消息和数字文件,采用一次一密加密方法。从2021年1月 29 日-2021年10月14日,南宁量子保密通信城域网已对高达3345.87 GB 的政务数据进行加解密处理,其中最大流量用户站(U1)累计加解密流量约3052.14GB,最小流量用户站(U3)累计加解密流量约41.19GB。期间全网日均总加解密流量约13GB,其中最大流量用户站日均加解密流量约11.8 GB,最小流量用户站日均加解密流量约 0.2GB。
这里引发了两个问题,第一个是量子加密服务的安全性如何证明?第二个是采用量子加密之后相比之前经典加密的优越性是什么?这两个问题比较重要,近期我会单独讨论。
5.应用效果
本项目已经实现了不同部门之间量子通信的场景应用。目前已在自治区自然资源厅、自治区审计厅、自治区政务服务中心3个政务部门与壮美广西·政务云间开展量子通信和传输加密试验应用,实现“云—云”“端—云”政务数据量子加密传输效果。其中,自治区自然资源厅、自治区审计厅分别建设的政务云属于壮美广西·政务云逻辑集中物理分散的子云,主要实现“云—云”的政务数据传输加密;自治区政务服务中心开展政务办公用户访问端至壮美广西·政务云即实现“端—云”的数据传输加密。
量子通信试验平台的量子密钥分发网络和传输加密网络在南宁覆盖总里程达35KM,量子密钥系统日均成码率最高达33.21kbps,最低为4.21kbps,日平均值8.5kpbs大于试验平台设计值5kbps,保障各用户站点生成充足的量子密钥,量子密钥更新周期达“一分钟一密”,保证密钥“牢不可破”,日均数据量约为21.6GB,有效提升我区政务数据安全保障能力。
这里我们直接引用广西壮族自治区信息中心官方报道,关于本项目的应用效果大家可以直接戳下面的链接:
量子通信技术在我区政务数据安全传输的试验应用及思考http://gxxxzx.gxzf.gov.cn/jczxfw/dsjfzyj/t9657035.shtml
6.写在最后
之所以选择广西这个项目作为阶段性讨论,是因为它是一个实验性质的项目,节点比较少,比较适合讨论。结合之前文章分享的内容和本文实际项目的讨论,博主希望大家对量子城域网的建设有更进一步的认识,后期的文章中我们会进一步深入探讨本领域的内容和细节,欢迎大家关注我的专栏:量子城域网。
本文如有谬误之处,还请大家不吝指正。
7.主要参考文献
[1]文静.南宁经典网络设施部署量子密钥分发网络[J]
[2]朱典.电子政务外网量子技术应用研究[J]
[3]陈志勋.量子城域网中端到端量子保密业务接入研究[D]
———————分割线———————
博主在C站建了一个关于量子城域网的专栏,我会在这个专栏里面持续输出与量子城域网相关的文章,欢迎大家关注。专栏传送门:
专栏:量子城域网http://t.csdnimg.cn/nPXYB
———————分割线———————
下面是博主的CSDN主页,里面还有其他的量子相关文章,欢迎大家围观并关注博主~我会持续更新量子领域各类博文。
关于量子的一切-CSDN博客https://quantum.blog.csdn.net