首先總結(jié)了主流量子通信網(wǎng)絡(luò)組成部分、所用技術(shù)及現(xiàn)有標準進展情況，同時分析了其在實際落地應(yīng)用中的痛點與難點，對相應(yīng)問題進行深入分析。通過引入區(qū)塊鏈技術(shù)，分析分布式賬本技術(shù)應(yīng)用在量子通信中可能的契合點與優(yōu)勢，并對基于區(qū)塊鏈系統(tǒng)的量子通信應(yīng)用安全性提升方案進行了總結(jié)。最后給出了基于區(qū)塊鏈的量子通信組網(wǎng)安全性提升方案。

? ?0 1? ?

?概? 述

量子通信是基于量子物理原理的新型通信方式。其中量子密鑰分發(fā)基于量子力學中的不確定性、測量坍縮和不可克隆等原理，可以提供高安全性的量子密鑰?；诹孔用荑€分發(fā)的量子加密通信具有高可靠、防竊聽、防破解的特點，可被廣泛應(yīng)用于安全通信領(lǐng)域。目前，量子通信常常特指量子加密通信。另外，可進一步通過多種技術(shù)及設(shè)備的組合，搭建多維度、全連接、高安全性的量子通信網(wǎng)絡(luò)。

雖然理論上量子通信技術(shù)實現(xiàn)了無條件安全，但由于落地應(yīng)用架構(gòu)中不同安全因素的存在，量子通信網(wǎng)絡(luò)在自身安全性方面仍面臨諸多問題與挑戰(zhàn)。區(qū)塊鏈技術(shù)的存在恰可彌補量子通信應(yīng)用的安全性問題，提升其整體安全性。本文首先介紹了主流量子通信網(wǎng)絡(luò)的組成部分，并分析其技術(shù)原理與安全層面痛點難點問題。然后對量子通信行業(yè)現(xiàn)狀與標準化現(xiàn)狀進行了總結(jié)。最后，通過引入?yún)^(qū)塊鏈技術(shù)，針對所述痛、難點問題，給出在區(qū)塊鏈與量子通信領(lǐng)域結(jié)合的思考與應(yīng)用建議。

? ?0 2? ?

現(xiàn)有技術(shù)及痛點問題

2.1? 量子通信網(wǎng)絡(luò)

量子通信網(wǎng)絡(luò)基于量子通信原理，網(wǎng)絡(luò)內(nèi)不同終端間通過對稱量子密鑰、專用量子通信設(shè)備、鏈路等對信息進行加密傳輸，對對稱量子密鑰進行安全協(xié)商，具有極高安全性。

量子通信網(wǎng)絡(luò)根據(jù)覆蓋范圍與應(yīng)用場景的不同可包含量子城域網(wǎng)、量子骨干網(wǎng)、量子局域網(wǎng)等，且基于不同量子通信技術(shù)。常用的量子通信網(wǎng)絡(luò)包含量子密鑰分發(fā)(QKD)、量子隨機數(shù)發(fā)生器(QRNG)與量子密鑰池（云）、量子密鑰中繼等部分，來提供量子通信網(wǎng)絡(luò)所需密鑰生成、分發(fā)、加解密等功能。

2.1.1? 量子密鑰分發(fā)

量子密鑰分發(fā)（Quantum Key Distribution，即QKD）是一種基于“單光子不可克隆定理”等量子力學基本原理實現(xiàn)信息理論安全的密鑰分發(fā)過程。通過使用BB84、BBM92、GG02等協(xié)議完成量子密鑰的分發(fā)，其安全性已經(jīng)得到嚴格證明。再結(jié)合一次性密碼（OTP）技術(shù)，可以保障信息傳輸?shù)摹盁o條件”安全。

一般來說，QKD技術(shù)包含離散變量QKD（DV-QKD）與連續(xù)變量QKD（CV-QKD）2種。最基本的QKD通常由一對通過量子信道和經(jīng)典信道連接的量子密鑰分發(fā)設(shè)備構(gòu)成。根據(jù)ETSI在QKD標準中的定義，通用QKD架構(gòu)如圖1所示。

圖1? QKD架構(gòu)

該架構(gòu)主要包含以下4個部分。

a） 經(jīng)典鏈路：完成控制信令傳輸、量子密鑰協(xié)商等工作。

b） 量子鏈路：完成量子比特串的傳輸。

c） QKD發(fā)送端：產(chǎn)生量子密鑰，生成、調(diào)制與發(fā)送量子比特串。

d） QKD接收端：接收、測量、解析來自發(fā)送端的量子比特串，擁有密鑰序列對比、篩選、錯誤率檢測等功能，并取得與發(fā)送端相同的對稱量子密鑰。

2.1.2? 量子隨機數(shù)發(fā)生器

傳統(tǒng)的隨機數(shù)發(fā)生器主要有偽隨機數(shù)發(fā)生器（PRNG）與混沌物理隨機數(shù)發(fā)生器（CRNG），但均無法保障真隨機性。偽隨機數(shù)發(fā)生器多由計算機算法構(gòu)成，但由于其與初始條件強相關(guān)，因此實質(zhì)上具有周期性且可被預(yù)測；混沌物理隨機數(shù)發(fā)生器基于經(jīng)典物理定律中的混沌宏觀過程（如噪聲），但其實際實施較為復雜，且其物理模型在實際操作時可能被模擬。

量子隨機數(shù)發(fā)生器（Quantum Random Number Generator，QRNG）利用量子物理過程，可快速、大量生成由量子疊加態(tài)坍縮理論等量子隨機性原理保障的真隨機數(shù)。QRNG物理集成度高、不可被預(yù)測、無法被三方竊聽、滿足OTP的要求、過程可監(jiān)控與驗證，適用于IoT設(shè)備等連接數(shù)量大、資源的瞬時性大量消耗的場景。

量子隨機數(shù)發(fā)生器根據(jù)量子隨機源種類的不同，主要有基于光學系統(tǒng)原理與單光子計數(shù)原理2種方案。根據(jù)國際標準[ITU-T Y.1702（2019）]《量子隨機數(shù)發(fā)生器架構(gòu)》，一個量子隨機數(shù)發(fā)生器的功能模塊主要包括量子熵源、熵源原始數(shù)檢測、熵驗證及可選的后處理等模塊等。量子隨機數(shù)發(fā)生器的模型示意如圖2所示。

圖2 量子隨機數(shù)發(fā)生器架構(gòu)

在實際應(yīng)用落地時，量子隨機數(shù)發(fā)生器往往需要搭配相應(yīng)的存儲機制以完成量子真隨機數(shù)的存儲與分發(fā)。該存儲機制可由本地量子密鑰池或位于云端的量子密鑰云構(gòu)成。量子密鑰池（云）與QRNG設(shè)備或芯片通過經(jīng)典線路連接，用于接收并存儲量子密鑰。量子密鑰消耗設(shè)備接入量子密鑰池（云）中即可獲得量子密鑰。

2.1.3? 量子密鑰中繼

量子密鑰分發(fā)雖然可以實現(xiàn)點到點無條件安全的量子密鑰傳輸機制，但受光子信號在光纖內(nèi)指數(shù)衰減、探測器暗記數(shù)、誤碼率、過噪聲等諸多理論、技術(shù)、設(shè)備方面的制約，QKD在實際落地應(yīng)用中的傳輸距離僅幾十至百千米左右。利用量子密鑰中繼技術(shù)，可以較好地拓展點對點QKD系統(tǒng)的密鑰傳輸距離，并利用QKD與量子密鑰中繼共同構(gòu)成量子密鑰分發(fā)網(wǎng)絡(luò)（Quantum Key Distribution Network，QKDN）。量子密鑰分發(fā)網(wǎng)絡(luò)可在網(wǎng)絡(luò)域內(nèi)現(xiàn)有節(jié)點間實現(xiàn)量子密鑰分發(fā)，適用于域內(nèi)多用戶設(shè)備端到端密鑰分發(fā)的場景?！读孔用荑€分發(fā)網(wǎng)絡(luò)-功能架構(gòu)》（ITU-T Y.3802(2020)）標準中，對QKDN功能架構(gòu)進行了規(guī)范。

目前量子密鑰中繼存在量子中繼與可信中繼2種方案。量子中繼使用量子物理原理與量子糾纏技術(shù)，實現(xiàn)量子態(tài)的存儲、轉(zhuǎn)發(fā)與超遠距離分發(fā)。但目前對于量子中繼技術(shù)的理論研究與標準化進程均不足，因此暫無法達到實際應(yīng)用水平。目前主流的量子密鑰中繼方案為量子密鑰可信中繼?？尚胖欣^將遠距離量子密鑰傳輸場景切分為多個短距離量子密鑰分發(fā)流程，即通過多段點對點QKD系統(tǒng)對量子密鑰進行處理與轉(zhuǎn)發(fā)，實現(xiàn)量子密鑰中繼，完成量子密鑰的超遠距離傳輸。該方案雖安全性不如量子中繼，但其易于實現(xiàn)，且理論架構(gòu)較為簡單，系統(tǒng)搭建較為便捷，因此被廣泛用作落地應(yīng)用方案。

基于QKD的量子密鑰可信中繼通常由量子密鑰發(fā)送端、量子密鑰中繼節(jié)點（由量子密鑰加密、解密設(shè)備構(gòu)成）、量子密鑰接收端與量子鏈路構(gòu)成。最基本的量子密鑰可信中繼架構(gòu)如圖3所示。

圖3 量子密鑰可信中繼模型

其中，量子密鑰發(fā)送端用于生成和發(fā)送密鑰，量子密鑰接收端用于接收與解析密鑰，量子密鑰可信中繼節(jié)點用于量子密鑰的轉(zhuǎn)發(fā)。根據(jù)可信中繼架構(gòu)的不同，量子密鑰可信中繼方案可細分為密鑰鏈式中繼方案、密鑰異或存儲中繼方案、集中調(diào)度密鑰中繼方案3種。量子密鑰可信中繼可以大幅提升傳統(tǒng)點對點QKD系統(tǒng)的傳輸距離，可以配合QKD共同搭建量子密鑰分發(fā)網(wǎng)絡(luò)。

2.2? 痛點問題

2.2.1? QKD

雖然量子密鑰分發(fā)可以在理論上實現(xiàn)“無條件”安全的量子密鑰傳輸機制，且可以通過量子態(tài)一致性發(fā)現(xiàn)任何鏈路中存在的竊聽行為，然而在實際業(yè)務(wù)應(yīng)用場景下，QKD均由于理論限制、工藝限制、模型偏差等因素的影響存在實用性與安全性痛點問題，如表1所示。

表1? QKD安全性痛點問題

2.2.2? QRNG與量子密鑰池（云）系統(tǒng)

QRNG與量子密鑰池（云）結(jié)合，可以很大程度上彌補QKD在傳輸距離、專網(wǎng)建設(shè)、大量終端設(shè)備場景、通信速率、集成化程度等實用性方面的痛點問題，但是與QKDN相比，其密鑰分發(fā)過程的安全性有所下降。因此雖然QRNG與量子密鑰池（云）結(jié)合可以保障密鑰生成安全、密鑰擁有真隨機性、滿足一次一密的要求，且優(yōu)于傳統(tǒng)的中心化密鑰分發(fā)機制，但其依舊面臨著與傳統(tǒng)中心化密鑰分發(fā)機制相同的痛點問題：

a） 身份安全：需要確認QRNG硬件、量子密鑰池（云）接入設(shè)備身份安全、存儲基礎(chǔ)設(shè)施身份安全。

b） 傳輸安全：由于設(shè)備獲取量子真隨機數(shù)的方法是通過傳統(tǒng)通信鏈路連接至量子密鑰云/池中獲取，而非采用量子專用鏈路，因此需要有效手段保障量子真隨機數(shù)在傳輸過程中的安全。

c） 存儲安全：量子真隨機數(shù)作為量子密鑰被大量存儲至集中化的量子密鑰池（云）或量子密鑰云中，需要有效手段保障存儲基礎(chǔ)設(shè)施本身的可信與安全，防止其被惡意竊取或操控。

d） 應(yīng)用安全：對用戶而言，設(shè)備應(yīng)當有足夠的用戶身份識別與權(quán)限控制系統(tǒng)，保障量子隨機數(shù)在應(yīng)用時不存在非法的調(diào)用或篡改；對量子密鑰而言，設(shè)備應(yīng)當建立量子隨機數(shù)驗證機制，即驗證用戶所獲取的隨機數(shù)、QRNG芯片生成的隨機數(shù)、量子密鑰池（云）內(nèi)存儲隨機數(shù)的一致性。

2.2.3? 量子密鑰可信中繼

量子密鑰可信中繼本質(zhì)上是通過可信中繼技術(shù)將多段QKD級聯(lián)并使用統(tǒng)一管控系統(tǒng)進行量子密鑰路由，因此其面臨與QKD相同的痛點問題。除此之外，量子密鑰可信中繼還存在一些特有問題。

a） 中繼站安全：在執(zhí)行量子密鑰中繼時，需要搭建存放可信中繼節(jié)點硬件設(shè)備的量子中繼站。然而，量子密鑰在中繼站中的安全性較低，存在密鑰中途泄露的風險。同時，量子密鑰中繼站需要保障高物理安全、監(jiān)管安全、網(wǎng)絡(luò)安全，并擁有高可用的準入權(quán)限控制，以防止密鑰在中繼站的泄露。

b） 網(wǎng)絡(luò)安全：由于量子密鑰可信中繼是由多個可信節(jié)點串聯(lián)而成的通信鏈路，因此其會面臨單點故障、網(wǎng)絡(luò)攻擊（如DoS、木馬、節(jié)點攻擊等）、惡意身份、數(shù)據(jù)竊聽等網(wǎng)絡(luò)安全問題，導致量子密鑰中繼服務(wù)中斷或安全性下降。

總體而言，不同量子通信技術(shù)的對比如表2所示。

表2 不同量子通信技術(shù)對比

? ?0 3? ?

行業(yè)現(xiàn)狀與標準化現(xiàn)狀

3.1? 行業(yè)現(xiàn)狀

3.1.1? QKD網(wǎng)絡(luò)工程應(yīng)用

QKD網(wǎng)絡(luò)作為當前量子通信應(yīng)用中理論完善、布局較早且標準化進程較為完善的技術(shù)，結(jié)合量子密鑰可信中繼技術(shù)，行業(yè)中可實現(xiàn)長距離、多節(jié)點的量子密鑰分發(fā)。目前基于QKD網(wǎng)絡(luò)的量子通信網(wǎng)絡(luò)已經(jīng)進入初步實用化部署階段，量子設(shè)備提供商、運營商等已經(jīng)研究出了較為完善的組網(wǎng)方案，且已經(jīng)聯(lián)合搭建并落地了很多較為成熟的量子局域網(wǎng)、量子城域網(wǎng)與量子骨干網(wǎng)等通信網(wǎng)絡(luò)，為網(wǎng)絡(luò)域內(nèi)成員提供安全可信的量子密鑰服務(wù)。

對于QKD網(wǎng)絡(luò)而言，國內(nèi)外組織機構(gòu)也有大量量子密鑰分發(fā)相關(guān)的PoC測試、應(yīng)用用例，并在積極探索應(yīng)用落地。我國在基于QKDN的量子通信網(wǎng)絡(luò)研究領(lǐng)域一直走在世界前列。

世界范圍內(nèi)具有代表性的試點應(yīng)用參見表3。

表3 基于QKDN的行業(yè)代表性應(yīng)用

3.1.2? 量子隨機數(shù)發(fā)生器與量子密鑰池（云）

與QKD依賴于量子鏈路設(shè)備組網(wǎng)的方案不同，量子隨機數(shù)發(fā)生器方案采用量子物理原理生成量子隨機數(shù)，依托于傳統(tǒng)存儲機制并基于傳統(tǒng)網(wǎng)絡(luò)進行密鑰分發(fā)，因此其無需進行專網(wǎng)搭建，也無需大量點對點使用專用量子設(shè)備，因此備受廠商青睞。

采用離散量子源的量子隨機數(shù)發(fā)生器，可以通過半導體制造技術(shù)被封裝為量子隨機數(shù)發(fā)生器芯片集成至手機、IoT設(shè)備等小型移動設(shè)備的SoC中，用于在加密、驗證及身份識別過程中提供無法預(yù)測、無重復規(guī)律的真隨機數(shù)，保障服務(wù)安全。量子密鑰池（云）較QKDN而言更為簡單高效、體量更小、架構(gòu)更簡單、應(yīng)用搭建更易。

各領(lǐng)域中有代表性且較為成熟的量子密鑰池（云）如表4所示。

表4 量子密鑰池（云）各領(lǐng)域代表性應(yīng)用

3.2? 標準化現(xiàn)狀

目前量子通信領(lǐng)域的國際、國內(nèi)標準正在被逐漸推進與完善。國際方面，以ITU、ETSI為首的標準化組織對QKD、QKDN、QRNG等功能架構(gòu)與安全性進行了清晰詳細的定義與規(guī)范；國內(nèi)方面，以CCSA為首的標準化組織對量子密鑰分發(fā)網(wǎng)絡(luò)、量子保密通信組網(wǎng)、量子可信中繼等給出了清晰的分層功能與架構(gòu)、模塊、接口、測試方法等的清晰定義與規(guī)范。

3.2.1? ETSI

ETSI于2010年開始逐步推進量子通信方向的標準化進程，并圍繞量子密鑰分發(fā)、抗量子密碼學等制定了較為完善的標準。ETSI的 QKD與QSC主要負責推動量子通信相關(guān)的標準化工作。相關(guān)標準如表5所示。

表5? ETSI QKD與QSC量子通信相關(guān)標準

3.2.2? ITU-T

ITU-T在QKDN架構(gòu)方面的規(guī)范較為完善，且其架構(gòu)被接受程度高，是很多標準組織在制定量子通信相關(guān)標準時的參考架構(gòu)。ITU-T的QIT4N焦點組負責推動量子相關(guān)標準化工作。同時，SG13與SG17等工作組圍繞QKDN、QRNG、量子通信安全等發(fā)布了多項標準，最知名的包括ITU-T Y.3800-3804系列標準。相關(guān)標準架構(gòu)如表6所示。

表6? ITU-T SG13與SG17量子通信相關(guān)標準

3.2.3? ISO?

ISO對量子通信相關(guān)的標準化工作正在推進中。在QKD方向，主要的標準編寫工作由ISO/IEC JTC 1/SC 27（信息安全、網(wǎng)絡(luò)安全及隱私保護）組負責。其目前在編的標準為ISO/IEC 23837系列標準。

3.2.4? CCSA

CCSA的量子通信相關(guān)標準化進程工作由ST7 WG1與WG2負責。ST7 WG1主要負責對量子通信架構(gòu)、測試、接口、協(xié)議等進行研究與標準化；ST7 WG2承擔量子信息處理相關(guān)工作，對底層器件、設(shè)備、技術(shù)等標準化工作。

? ?0 4? ?

區(qū)塊鏈+量子通信應(yīng)用思考

4.1? 區(qū)塊鏈技術(shù)簡介

自2008年中本聰提出“比特幣”概念后，區(qū)塊鏈技術(shù)逐漸被人熟知。區(qū)塊鏈技術(shù)又稱為分布式賬本技術(shù)（Distributed Leger Technology，DLT），具有多方參與、去中心化、不可篡改、可溯源、去人工化等特點。區(qū)塊鏈會存儲每一筆交易記錄的時間戳并依次存儲于賬本中，并在參與交易的多方之間同步，實現(xiàn)分布式架構(gòu)。

區(qū)塊鏈技術(shù)采用分布式架構(gòu)，去除了中心化的功能體，將整體系統(tǒng)原有的中心化管理方式轉(zhuǎn)化為由鏈上參與的各方作為節(jié)點通過共識算法與智能合約機制共同參與和維護，并可為鏈上參與方建立無需事先建立信任的業(yè)務(wù)體系與流程，提高系統(tǒng)的全局安全性與穩(wěn)定性。區(qū)塊鏈的分布式架構(gòu)如圖4所示。

?圖4 區(qū)塊鏈的分布式架構(gòu)

4.2? “區(qū)塊鏈+量子通信”應(yīng)用探討

區(qū)塊鏈技術(shù)與量子通信應(yīng)用結(jié)合，可用于解決量子通信系統(tǒng)在身份、數(shù)據(jù)安全、網(wǎng)絡(luò)安全、行為記錄與溯源等方面的量子通信系統(tǒng)痛點問題。具體而言，其提升主要體現(xiàn)在以下4個方面。

a） 身份安全：將設(shè)備與用戶身份在區(qū)塊鏈系統(tǒng)上注冊，并獲得由區(qū)塊鏈頒發(fā)的證書（或其他身份憑證）。當進行量子密鑰操作時，通過區(qū)塊鏈平臺進行如下驗證。

（a) 設(shè)備身份驗證：將設(shè)備軟硬件狀態(tài)、設(shè)備關(guān)鍵信息與配置形成快照存儲至鏈上并生成所需證書，用于業(yè)務(wù)發(fā)生時建立系統(tǒng)和設(shè)備的身份信任。

（b) 用戶身份驗證：使用DPKI技術(shù)取代傳統(tǒng)基于PKI的X.509方案進行身份驗證，防止惡意用戶登錄量子密鑰APP完成量子密鑰調(diào)用。

b） 數(shù)據(jù)安全：利用區(qū)塊鏈防篡改、可溯源、無條件可信的特性，保障量子通信系統(tǒng)中關(guān)鍵信息（身份、密鑰、配置等信息）的數(shù)據(jù)完整性、可用性與保密性，防止數(shù)據(jù)原因?qū)е孪到y(tǒng)錯誤或服務(wù)中斷。

c） 行為溯源：可將量子通信系統(tǒng)的關(guān)鍵行為（如：設(shè)備/用戶注冊與身份信息、密鑰處理、存儲、傳輸記錄，信息處理、存儲、傳輸記錄，密鑰協(xié)商記錄等）上鏈存儲至日志中，便于提供監(jiān)管與審計。

d） 權(quán)限控制：使用區(qū)塊鏈的智能合約對量子通信系統(tǒng)進行權(quán)限控制改造，實現(xiàn)自動化、可溯源、可信的權(quán)限控制機制。

4.3? “區(qū)塊鏈+量子通信”技術(shù)應(yīng)用場景

4.3.1? 基于區(qū)塊鏈的量子通信系統(tǒng)中跨域身份管理

可利用區(qū)塊鏈技術(shù)取代傳統(tǒng)CA身份認證機制，實現(xiàn)設(shè)備的身份跨域、跨廠家、跨運營商場景下的互認。基于傳統(tǒng)的CA機制，若進行跨域業(yè)務(wù)場景下的身份驗證與設(shè)備識別操作，則需要采用如圖5所示的樹形結(jié)構(gòu)，即通過逐層向上尋找根CA節(jié)點的方式進行身份識別與驗證。

?圖5 傳統(tǒng)樹狀CA機制架構(gòu)

使用區(qū)塊鏈技術(shù)進行設(shè)備身份管理，可以通過區(qū)塊鏈為設(shè)備簽發(fā)CA證書，或使用區(qū)塊鏈管理網(wǎng)絡(luò)域為設(shè)備下發(fā)的CA證書。當進行身份驗證時，利用區(qū)塊鏈內(nèi)數(shù)據(jù)的可信性可實現(xiàn)快速多方CA互驗，并降低跨域操作的驗證步驟復雜度，增強身份驗證效率，避免傳統(tǒng)樹狀架構(gòu)潛在的單點故障風險。圖6所示為基于分布式架構(gòu)的身份驗證機制示意。

?圖6 基于分布式架構(gòu)的身份驗證機制

4.3.2? 基于區(qū)塊鏈的量子通信系統(tǒng)中設(shè)備關(guān)鍵信息管理

可利用區(qū)塊鏈技術(shù)的數(shù)據(jù)可信性、不可篡改性對量子密鑰設(shè)備的關(guān)鍵信息進行管理，保障設(shè)備身份可信，以保障密鑰的正確傳輸。

如圖7所示，在實際應(yīng)用中，設(shè)備需要首先收集自身的設(shè)備信息（包括但不限于：硬件信息、設(shè)備狀態(tài)等）與量子密鑰模塊參數(shù)配置（包括但不限于：IP地址、光模塊所配置參數(shù)等）。并分別生成其對應(yīng)的摘要數(shù)據(jù)，將所述摘要信息進行整合并存儲于區(qū)塊鏈。

圖7 基于區(qū)塊鏈的量子通信系統(tǒng)中設(shè)備關(guān)鍵信息管理

當進行業(yè)務(wù)操作需要對設(shè)備身份進行關(guān)鍵信息驗證時，發(fā)送設(shè)備將除量子密鑰外，所述摘要數(shù)據(jù)發(fā)送至接收端設(shè)備中，接收端設(shè)備采用同樣的方式整合2個摘要信息，并與區(qū)塊鏈內(nèi)存儲值進行驗證，以此保障密鑰傳輸安全。

4.3.3? 量子密鑰池（云）場景下的設(shè)備身份驗證

區(qū)塊鏈亦可實現(xiàn)量子密鑰池（云）場景下的設(shè)備身份驗證與隨機數(shù)完整性驗證。

與2.2中類似，設(shè)備首先收集自身數(shù)據(jù)并在區(qū)塊鏈中存儲所述數(shù)據(jù)的摘要值。根據(jù)安全性需求不同，收集的數(shù)據(jù)可包含設(shè)備的硬件信息、狀態(tài)信息、參數(shù)配置等。區(qū)塊鏈端驗證所述摘要，并為設(shè)備下發(fā)設(shè)備CA或密鑰。

當設(shè)備向量子密鑰云請求量子隨機數(shù)時，區(qū)塊鏈端驗證設(shè)備證書或密鑰的真實性，完成身份驗證流程，并將身份驗證結(jié)果發(fā)送至量子密鑰云中。量子密鑰云可根據(jù)驗證結(jié)果決定是否向設(shè)備發(fā)送量子隨機數(shù)。若發(fā)送，將量子隨機數(shù)的摘要上鏈，用于設(shè)備接收量子密鑰后進行隨機數(shù)完整性校驗，保障身份安全、數(shù)據(jù)安全與傳輸安全。

? ?0 5? ?

?總? 結(jié)

本文介紹并分析了區(qū)塊鏈與量子通信應(yīng)用結(jié)合的場景，通過分析量子通信網(wǎng)絡(luò)應(yīng)用的痛點問題與安全性風險，提出了結(jié)合區(qū)塊鏈技術(shù)構(gòu)建“區(qū)塊鏈+量子通信”方案。

作者簡介

任杰，助理工程師，碩士，主要從事區(qū)塊鏈技術(shù)、量子通信技術(shù)及相關(guān)應(yīng)用研究工作；

薛淼，高級工程師，博士，主要從事區(qū)塊鏈技術(shù)、標準及應(yīng)用研究工作；

趙春旭，高級工程師，博士，主要從事高速光通信及量子通信技術(shù)的應(yīng)用與研究工作；

王光全，教授級高級工程師，學士，主要從事高速光纖通信技術(shù)及應(yīng)用研究工作。

編輯：黃飛

?