量子与通信融合应用研究初探
AI智能总结
量子与通信融合应用研究初探 何申 中国移动研究院 2023年10月 量子通信应用问题 关键问题解决思路 后续计划 国家高度重视,央企积极入局 中央科技委已将量子信息纳入未来科技领域,国资委通过战新项目对量子通信进行单独规划,多家央企响应国家强化企业科技创新主体地位的精神,积极布局量子通信领域 •2020年,习总书记作指示,“加强量子科技发展战略谋划和系统布局,把握大趋势,下好先手棋” •国家“十四五”规划,对量子信息等前沿领域作出规划 •中央科技委将量子信息纳入未来科技领域,进行单独规划 国家广域量子保密通信骨干网络初步建成“两纵一横”地面网络和两颗量子卫星组成天地一体化量子保密通信网络 中国移动:2021年成立量子合资公司;2022年发布量子VoLTE加密通话;2023年发布量子和对讲 中国电信:2023年5月,全资投入30亿成立中电信量子信息科技集团有限公司 中国联通:2020年12月“京雄量子加密通信干线”成功完成量子通信+区块链BaaS应用测试 党中央高度重视量子科技我国在量子通信领域发展较快运营商开展布局 量子通信与移动通信产业融合发展 运营商助力量子通信产业从行业应用的“小循环”走向全产业应用的“大循环” 全面应用 全产业、大规模 量子密码安全服务 (终端、平台、网络、业务) 量子+云网+应用“大循环” 典型应用 行业内、小规模 加密通信 4/5G网络 算力网络 量子+云网“小循环” 量子通信 加强QKD覆盖 QKD链路 QKD模组 QKDN控制 密钥管理 数据专线 ToB/ToC规模化应用 保密通信 多样化业务 当量子遇到4/5G网络,催生大发展 4G/5G 量子 + 网络成为国家关键基础设施 •用户总数>9亿 •基站总数>300万 •市县乡镇农村100%全覆盖 量子保密通信已成为现实 •墨子号实验卫星 •国家量子网络干线 •量子城域网 运营商对量子通信的安全需求 运营商的终端、网络、业务中有海量数据安全和传输安全需求,现有安全手段的密钥分发过程存在安全风险,需要引入算力无关的QKD技术,提升网络空间安全性 车联网终端 物联网终端 端 接入设备 管云 核心网 边 MEC 云平台 小型终端 •本地数据安全 •端-端通信安全 •无线空口安全 •数据安全 •端-边通信安全 •数据灾备保障 •网络密钥安全 •网络数据安全 •传输通信安全 •云端数据安全 •端-云通信安全 •安全能力开放 •数据灾备保障 量子通信大发展面临应用问题 重点解决量子通信应用三大问题,推动量子与信息通信产业融合大发展 无线终端获取量子密钥采用离线灌装方式,安全性及易用性不足; 利用无线信道的“不确定性“,实现“最后一公里”量子密钥的安全分发。 现有的QKD网络难以承载海量用户及适配多样化应用 设计优化满足量子密钥大规模应用需求的三层架构,构建量子密码服务体系 面向高安全园区的QKD网络覆盖不够,且点对点组网模式平方级增加网络成本,扩展性差 设计支持多用户的QKD网络,结合PQC提高身份认证的便捷性 无线终端量子密钥分发问题QKD网络覆盖问题量子密钥大规模应用问题 量子通信应用问题 关键问题解决思路 后续计划 QKD应用平均成本降低 QKD应用形成规模效应 问题一:量子密钥如何分发到无线终端 无线终端 基站 WiFi 接入网 家宽 集 客 量子密码应用 城域网 骨干网 安 全网关 安全网关 移动云 IT云 业务云 海量无线终端接入QKD网络 有线网络 IPSec/TLS /… 量子卫星 有线网络 无线终端如何从QKD网络获取量子密钥? 光纤 QKD用户爆发式增长 QKD设备QKD网络QKD设备 量子通信产业大循环发展 QKD是通过传送量子态实现信息论安全的密钥生成和分发的技术,可提升密钥管理的安全性与独立性。QKD技术依托有线光纤或量子卫星分发密钥,而海量无线终端难以直接从QKD网络获取量子密钥。 量子密钥无线分发技术 针对量子密钥“最后一公里”传输难题,中国移动启动了“Q波计划”:利用无线信道的“不确定性”实现量子密钥的“确定性”安全传输,促进量子通信与移动通信的融合发展 无线传播环境 反射 折射 散射 无线信号小尺度衰落 时间域:多普勒频移 频率域:时延扩展 空间域:角度色散 “取之不尽,用之不竭”的天然随机源 无线信道特征 随机性 互易性 空间不相关性 无线信道密钥技术 无线物理层密钥生成 物理层信息安全传输 经典方式 无线物理层密钥生成的优势 •基于时空测量•与窃听者的计算能力无关 •基于计算复杂度•安全性面临挑战 无线网络通信安全技术体系 物理层密钥方式 userid:414195,docid:143979,date:2023-10-27,sgpjbg.com 无线物理层密钥生成方法 信道型密钥生成模型源型密钥生成模型 ✘ •在合法信道质量优于窃听信道质量的情况下,可通过安全传输分发密钥 •通常无法获取窃听信道的状态信息,合法信道质量也未必优于窃听信道,在实际系统中难以应用 ✔ •随机性、互易性和空间去相关性使无线信道成为最直接的物理密钥源 •通过探测,获取生成会话密钥 •由于信道特性不相关,窃听者无法获取同等的状态信息来生成密钥 无线物理层密钥生成关键技术 基于WLAN,开展无线密钥生成高层协议机制研究,提出无线信道探测、无线密钥生成、无线密钥一致性调和等技术方案,与物理层密钥生成机制相匹配,为该技术在蜂窝移动网络中的实现奠定基础 定义无线信道探测请求/响应物理及MAC帧,设计快速探测响应机制,确保终端设备获取具有良好互易性的CSI信息,为生成较为一致的原始密钥创造条件。 设计KAI专用信息及MAC帧,实现密钥一致性调和信息的单向/双向、单次/多次传输,满足原始密钥后处理的需要 提出“外挂式”无线密钥生成系统技术方案,利用应用层Data消息交互实现密钥一致性调和处理,降低引入无线密钥生成新特性对现有系统的影响。 无线信道探测机制 无线密钥生成机制 无线密钥一致性调和机制 无线物理层密钥生成技术验证 信道互易性测试结果 密钥生成率测试结果 WLAN物理实验平台信道随机性测试结果 LTE仿真验证平台 量子密钥无线分发系统及应用演示 搭建量子密钥无线分发及演示系统,对关键技术和安全性开展验证,测试量子密钥分发速率及窃听者的破解成功率。该系统可实时分发量子密钥,对QQ、微信等通道的文字消息进行加密保护 合法通信者AP合法通信者STA 量子密钥 固定节点 窃听者 EVE 量子密钥无线分发系统: 部署QKD设备,与南京QKD城域网对接; 量子密钥分发速率>256bit/s,近端窃听者破解成功率为0。 加解密软件QQ消息加密 微信文字消息加解密 量子密钥演示应用: 基于实时分发到手机端的量子密钥对文字输入框中消息进行加密; 远端的接收者根据消息序号选择对应的量子密钥进行解密。 量子密钥无线分发原型系统基于量子密钥的手机保密通信系统 量子密钥无线分发存在的挑战 量子密钥无线分发是突破传统量子密钥管理方式(离线充注)的创新技术,在系统对接、通信协议融合、安全性分析、产业推进实践等方面存在诸多挑战 无线多径传播环境 安全芯片 安全手机 SIM卡 TF密码卡 物联网终端 蜂窝基站 量子密钥中心 网元设备 WLAN热点 系统对接: •量子密钥中心与蜂窝网系统的安全对接 •量子密钥中心与WLAN系统的安全对接 •量子密钥端到端安全传输 通信协议融合: •物理层资源的调度分配 •信道探测信息的导频选择 •信道探测信息的多址接入 •慢变化环境下的密钥生成 安全性分析: •无线信道密钥的安全性证明 •无线密钥的终端安全管理 产业推进: •支持无线密钥生成的通信模组及终端设备研发 •量子密钥无线分发系统研发 •全系统测试验证 问题二:QKD网络如何覆盖高安全园区 国家广域量子保密通信骨干网络已初步建成,但城域网、接入网以及局域网的建设仍有较大缺口,对于高安全需求园区(政府办公、工业生产等)的覆盖不够,尚未形成“大动脉”+“毛细血管”式的网络覆盖 合肥量子保密通信城域网网络拓扑 南京电子政务 量子保密通信网组网架构 高安全园区QKD局域网络建设要求: 更低的建设成本复用已有光纤、设备等 更灵活的网络拓扑实现多用户全时全通互联 更便捷的身份认证 支持海量应用设备接入认证 面向高安全园区的多用户QKD网络 𝜆2 𝜆1 面向园区高安全需求,建设覆盖关键信息节点的多用户QKD网络,提供安全传输链路和端到端安全密钥,并进一步实现上层业务应用的安全传输和安全组网 光路由(波分) 多对节点可同时协商密钥 实现基于光量子物理特性的路由机制 𝜆1 光交换(时分) 同一时隙仅能一对节点协商密钥 可信中继 可实现密钥资源调度但要消耗中继密钥资源中继节点有安全风险 若园区大小适中,利用量子光路由和量子光交换等器件可实现多用户全时全通组网 若园区间有远距离连通需求,也可引入可信中继 园区QKD网络拓扑结构示例 QKD+PQC身份认证 QKD组网或接入应用设备时,要双向身份认证,两种实现方式:一是基于预置对称密钥;二是基于传统CA证书。前者便捷性及扩展性较差,后者不能抗量子计算。可结合PQC身份认证算法,平衡海量设备接入认证时的安全性和便捷性。 签发证书 基于光路由组网 � n节点需要𝐶2对预置密钥新增节点,新增n对预置密钥 基于可信中继组网 n节点要n对预置密钥 新增节点,新增1对预置密钥 结合PQC身份认证算法n节点仅要n个证书 新增节点,仅新增1个证书 问题三:如何支撑量子密钥大规模应用需求 QKD网络全面覆盖及海量无线终端接入QKD网络后,会形成量子密钥大规模应用浪潮,而现有QKD网络功能相对单一、性能表现一般,难以直接满足大规模应用需求。 QKD网络功能及架构中存在的问题: 难以适配多样化应用 现阶段QKD网络与业务应用通过Ak接口紧耦合,Ak接口功能简单,难以灵活适配多样化应用 难以承载海量用户 现阶段QKD网络主要功能是量子密钥的分发、存储和管理,其对海量用户的访问请求和业务交互的承载能力十分有限 满足量子密钥大规模应用需求的“三层架构” 分布式量子密钥服务系统 设计分布式量子密钥服务系统架构,与广域量子保密通信骨干网络衔接,实现量子密钥按需管理,为广域量子保密通信应用提供支撑 量子密码服务运营中心 分布式量子密钥服务平台 量子随机数量子密钥 量子随机数 发生器 服务中心 量子密钥服务中心 量子密钥服务中心 发生器 国家量子保密通信网络 北京节点 济南节点 合肥节点 南京节点 上海节点 ②更广的终端接入 •无线设备的在线接入 •QRNG设备的小型化 ③更低成本、便捷地网络部署 •光量子路由QKD组网 ④更贴近应用,服务用户 •多样化量子保密通信业务 量子密码服务体系 ①更大的地域覆盖 •强化星地一体骨干网建设 •集中化量子密码安全服务 ④ ① ② ③ 提出新型量子密码服务体系,通过分层解耦实现底层基础能力与上层应用的灵活对接,在架构上满足多样化业务及海量用户对于量子密码的需求,拓展量子密码端到端应用场景,支撑量子通信产业“大循环”发展 量子通信应用问题 关键问题解决思路 后续计划 量子通信五大研究方向 2011 2016 2017-2021 2022 2023 启动量子密码技术及应用场景研究 完成量子保密通信 研究课题立项 多项集团重点研发项目, CCSATC8WG4《量子密钥分发技术及应用研究报告》 持续开展量子信息领域 前沿技术研究 发布电信级量子加密通话业务 发布量子密码服务体系 发布量子“Q波”技术白皮书 成功搭建量子密钥无线 分发实验系统 ①④⑤ ③ ② 五大研究方向 ① 传输:量子密钥无线分发 ② 网络:量子融合光网络 ③ 服务:量子密码服务中心 ④ 业务:量
