一种基于可信中继节点的量子通信方法及网络

摘要

本发明公开了一种安全的量子通信方法及量子通信网络，其中通过在网络节点中设置量子密钥分发数量的阈值，作为量子通信密钥中继过程的启动条件，来保证量子通信过程中加密密钥的新鲜度，从而改善由于物理攻击引起的量子通信网络的安全性问题。

说明书

技术领域

本发明涉及量子通信领域，更具体地涉及基于可信中继节点的量子通信方法及网络。

背景技术

量子通信作为国际通信领域的主流发展方向，受到了广泛的关注和研究。目前该研究方向进展较快，实用范围较广，相对于传统的通信方式有着得天独厚的优势。在实用方面，量子通信的网络建设，尤其是量子通信网络已经得到了实验和应用验证。量子通信技术中的一个关键环节涉及量子密钥的分发，其中利用量子力学的基本原理，用光子的性质表征随机数比特序列，通过传统的信道即可建立一套量子密钥，从而实现量子密钥分发。由于量子力学的基本特性，量子密钥分发在原理上，相对于传统通信方式，具有不可复制、绝对保密、无法窃听的无可比拟的优点。

从1984年第一个量子密钥分发协议诞生起，世界科研人员共同努力下，量子密钥分发系统已经日趋成熟。2003年，美国国防部高级研究计划局(DARPA)开始有计划的建立量子通信网络；2004年，欧洲开始建立SECOQC量子通信网络，并且运行稳定；我国也建立了旨在验证和推广量子通信系统的量子通信试验网；2011年日本报道了建立在东京的高速量子网络，主要以高速量子密钥分发(QKD)系统作为链路骨干。

然而受限于量子通信的光源、线路损耗以及解码端器件性能等影响因素，量子通信的距离受到了一定的限制。目前较为成熟的量子通信网络采用基于可信中继的网络通信方式，即：在通信网络中，增加可信节点以作为中继节点，可信节点同时与上下级可信网络节点(其包括中继节点、发送端和接收端)进行量子密钥分发操作。

然而，中继节点的引入对量子通信的安全带来了不确定性因素。例如，可信中继节点包括量子密钥解码端、发送端以及密钥存储器件。即使量子密钥分发原理上绝对安全，然而一旦窃听者通过物理手段接触到节点中存储的量子密钥，则可以将其从节点中拷贝窃取，从而破坏量子通信的安全性和可靠性。实际上，对于物理接触的防御需要增加大量的人力和物力成本，也会导致更多的不可控因素。这就使得这种借助可信中继节点实现的量子通信网络在实际运行过程中，虽然可以实现远距离的通信，但是其可能会牺牲安全性，且成本较高，不利于大规模的建设和使用。

发明内容

针对现有技术中存在的上述问题，本发明提出了一种安全的量子通信方法及量子通信网络，由此改善由于物理攻击引起的量子通信网络的安全性问题。

在本发明的一个方面，公开了一种用于量子通信网络的量子通信方法，所述量子通信网络包括多个网络节点，所述网络节点包括发送端A、接收端B以及设置于所述发送端A与所述接收端B之间的一个或多个可信中继节点。为了保持密钥的新鲜度，降低由于物理攻击网络节点对通信安全性的威胁，在本发明的通信方法中，还可以包括以下步骤。

当准备在所述发送端A与所述接收端B之间发起通信时，在所述量子通信网络中的彼此相邻的所述网络节点之间同时分发量子密钥，且所述分发的量子密钥被存储在所述网络节点上。以及

当量子密钥分发速度最低的所述网络节点中的量子密钥数量到达预设阈值x时，立即在所述量子通信网络中启动密钥中继，开始所述发送端A与所述接收端B之间的加密通信。

通过将密钥中继的启动条件设置成网络节点中分发的量子密钥数量到达预设阈值，可以有效地控制网络节点中保存的最大密钥数量，保证量子通信过程中量子密钥的新鲜度。

优选地，在本发明的量子通信方法中，还可以包括将使用过的所述量子密钥从所述网络节点中销毁的步骤，以避免通过物理攻击的方式获得历史密钥，从而进一步提高密钥的安全性。

可选地，在本发明的量子通信方法，所述预设阈值x可以根据所述最低的量子密钥分发速度来设定。

可选地，在本发明的量子通信方法，所述预设阈值x可以根据通信类型来设定。

本发明的另一方面还公开了一种量子通信网络，其可以包括多个网络节点，所述网络节点包括发送端A、接收端B以及设置于所述发送端A与所述接收端B之间的一个或多个可信中继节点。

在本发明的量子通信网络中，还可以包括控制模块。其中，所述控制模块被设置成：当准备在所述发送端A与所述接收端B之间发起通信时，同时启动所述量子通信网络中的彼此相邻的所述网络节点之间的量子密钥的分发，且使所述分发的量子密钥存储在所述网络节点

上；并且，当量子密钥分发速度最低的所述网络节点中的量子密钥数量到达预设阈值x时，立即在所述量子通信网络中启动密钥中继，开始所述发送端A与所述接收端B之间的加密通信。

优选地，所述控制模块还可以被配置成将使用过的所述量子密钥从所述网络节点中销毁。

可选地，所述预设阈值x可以根据所述最低的量子密钥分发速度来设定。

可选地，所述预设阈值x可以根据通信类型来设定。

附图说明

图1示出了量子通信网络的一个示例；以及

图2示出了在图1所示量子通信网络中实施本发明的量子通信方法的流程图。

具体实施方式

在下文中，本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供，以便充分传达本发明的精神给本发明所属领域的技术人员。因此，本发明不限于本文公开的实施例。

由于有限的量子通信距离，量子通信网络通常包括发送端A、接收端B以及位于两者之间的一个或多个中继节点C，发送端发出的量子通信数据(例如量子密钥)往往需要借助中继节点的中继才能到达接收端，即需要经历所谓的密钥中继传输。现有技术中，在启动量子通信之前，需要在通信网络的各个网络节点(发送端、接收端或者中继节点)中预先生成量子密钥。这种需要预先生成的量子密钥的数量往往较大，以保证各种量子通信的需求，例如音频通话、视频通话或者数据文件传输等等。因此，通信网络中的各个节点上都会存储大量的量子密钥，这就使得因物理攻击造成的安全性问题显得更为严重。

为了避免上述问题的出现，针对上述现有技术的量子通信网络结构，本发明提出了一种改善其安全性的量子通信方案。

在本发明的量子通信方法中，网络中的各个可信节点均可以同时与上下级的网络节点(即相邻的网络节点，其包括发送端和接收端)进行量子密钥分发，以获取同步的中继量子密钥。

在准备启动发动端A与接收端B之间的量子通信时，首先，在量子通信网络的各相邻网络节点之间同时启动同步量子密钥的分发。由于各个网络节点的硬件和/或软件配置、节点之间的网络环境等均可能存在差异，因此，各对相邻网络节点之间的中继量子密钥的分发速度可能不同。

当中继量子密钥分发速度最慢的网络节点上的密钥分发量到达一个预设阈值时，在整个量子通信网络上启动密钥中继，从而实现量子通信网络中发送端与接收端之间的加密通信，同时在各个网络节点上将使用过的量子密钥销毁。

借助这种量子通信方法，使得能够在不改变现有量子通信网络结构的基础上，通过设置各个网络节点上量子密钥分发的长度阈值，以及使用过量子密钥的即时销毁，提高了量子通信的安全性。一旦窃听者对可信中继节点进行物理接触，其能够接触或者窃取到的密钥量始终控制在非常有限的范围内。由于每个可信中继节点在密钥分发量达到长度阈值，便会在启动中继的同时，销毁使用过的量子密钥，使得窃听者对历史密钥无从得知。结合定期的人工巡检，可以排除窃听者长时间物理接触的可能性。

可选地，可以注意到，在量子通信过程(即密钥中继)开始之前，在密钥分发速度较快的网络节点上分发的量子密钥可能已经达到了预设阈值，此时，在这些网络节点上还可以先行进行下一次密钥分发过程。

在本发明的量子通信方法中，用于触发密钥中继的量子密钥分发阈值可以根据通信网络中的最低密钥分发速度来设定。可选地，该阈值也可以根据通信需求或类型(例如音频通信或者视频通信)来设定。

基于本发明的上述量子通信方法，本发明还提出了一种具有改善安全性的量子通信网络，其在上述现有技术的量子通信网络结构的基础上设置控制模块，其用于根据本发明的量子通信方法控制量子通信过程中的量子密钥分发及密钥中继的启动。该控制模块可以设置在各个网络节点中，或者设置在量子通信网络中任何合适的位置上。

为了更好地理解本发明的量子通信方法的原理，下面将结合附图来进行更详细的说明。

图1示出了量子通信网络的一个示例。如图1所示，该示例包括发送端A、接收端B以及可信中继节点C。本领域技术人员能够理解，尽管图1中仅示出一个可信中继节点C，但是这只是示例性的，在发送端A和接收端B之间可以根据距离或者成码率等因素设置有任意数量的可信中继节点C。

图2示出了在图1所示量子通信网络中实施本发明的量子通信方法的流程图。

如图2所示，在发送端A与接收端B之间准备进行加密通信时，在发送端A与可信中继节点C之间以及在可信中继节点C与接收端B之间同时进行量子密钥的分发，并且将所分发的量子密钥存储在相应的存储器中。

假设网络节点A-C之间的量子密钥分发速度与网络节点C-B之间的量子密钥分发速度不同，A-C之间的量子密钥分发速度大于C-B之间的量子密钥分发速度(反之亦可)，且在当前情况下，网络节点上的量子密钥分发阈值被设定为x。

因此，当网络节点A-C之间分发的量子密钥K_AC的长度达到阈值x时，网络节点C-B之间分发的量子密钥K_CB的长度尚未达到x，此时整个量子通信网络的密钥中继过程并不启动，可信中继节点C将长度为x的中继密钥K_AC存储到相应的存储器中。

当网络节点C-B之间的量子密钥K_CB的长度也达到阈值x时，整个量子通信网络的密钥中继过程立刻被启动，从而使得发送端A与接收端B之间可以进行加密通信。在加密通信过程中，相应网络节点将密钥中继中使用过的量子密钥从其存储器中销毁。

此外，本领域技术人员容易理解，尽管图1中未示出，本发明的量子通信网络中还可以包括控制模块，其用于根据图2所示的方法控制量子通信过程中的量子密钥分发及密钥中继的启动。

以上所述，仅是本发明的较佳实施例而已，并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上，然而并非用以限定本发明。任何熟悉本领域的技术人员，在不脱离本发明技术方案范围情况下，都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰，或修改为等同变化的等效实施例。因此，凡是未脱离本发明技术方案的内容，依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰，均仍属于本发明技术方案保护的范围内。