(高清版)GBT 42829-2023 量子保密通信應(yīng)用基本要求

量子保密通信應(yīng)用基本要求2023-08-06發(fā)布國家市場監(jiān)督管理總局國家標(biāo)準(zhǔn)化管理委員會 I 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 25概述 36應(yīng)用基本要求 57應(yīng)用場景 67.1概述 67.2QKD在數(shù)據(jù)鏈路層協(xié)議中的應(yīng)用 67.3QKD在網(wǎng)絡(luò)層協(xié)議中的應(yīng)用 67.4QKD在傳輸層協(xié)議中的應(yīng)用 77.5QKD在應(yīng)用層協(xié)議中的應(yīng)用 7附錄A(資料性)QKDN組網(wǎng)方案 8附錄B(資料性)量子保密通信在典型行業(yè)中的應(yīng)用場景 9參考文獻(xiàn) IGB/T42829—2023本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由中華人民共和國工業(yè)和信息化部提出。本文件由全國通信標(biāo)準(zhǔn)化技術(shù)委員會(SAC/TC485)歸口。本文件起草單位：國科量子通信網(wǎng)絡(luò)有限公司、中國移動通信集團(tuán)有限公司、中國電信集團(tuán)有限公司、中國信息通信研究院、科大國盾量子技術(shù)股份有限公司、中興通訊股份有限公司、安徽問天量子科技股份有限公司、中國信息通信科技集團(tuán)有限公司、神州數(shù)碼信息服務(wù)股份有限公司、數(shù)據(jù)通信科學(xué)技術(shù)研究所、新華三技術(shù)有限公司、中國通信建設(shè)集團(tuán)設(shè)計(jì)院有限公司、中國聯(lián)合網(wǎng)絡(luò)通信有限公司、瑞斯康達(dá)科技發(fā)展股份有限公司、江蘇亨通問天量子信息研究院有限公司、安徽皖通郵電股份有限公司、北京郵電大學(xué)、北京中創(chuàng)為量子通信技術(shù)有限公司。1量子保密通信應(yīng)用基本要求本文件描述了量子保密通信的基本概念和應(yīng)用場景，規(guī)定了量子保密通信在安全性、可擴(kuò)展性、高本文件適用于基于量子密鑰分發(fā)技術(shù)的量子保密通信系統(tǒng)設(shè)計(jì)、開發(fā)與應(yīng)用。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。量子密鑰分發(fā)quantumkeydistribution通信雙方通過傳送量子態(tài)的方式實(shí)現(xiàn)信息論安全(3.11)的密鑰生成和分發(fā)的方法和過程。注：量子密鑰分發(fā)也稱量子密鑰分配、量子密鑰協(xié)商。量子保密通信quantumsecurecommunication以量子密鑰分發(fā)(3.1)作為密鑰分發(fā)功能組件，結(jié)合適當(dāng)?shù)拿荑€管理、密碼算法和協(xié)議而形成的保密通信解決方案。量子密鑰分發(fā)模組quantumkeydistributionmodule用于實(shí)現(xiàn)量子密鑰分發(fā)所需的量子光學(xué)過程(包括量子密鑰分發(fā)協(xié)議、同步、密鑰提取等)和密碼學(xué)功能的軟硬件系統(tǒng)。注：量子密鑰分發(fā)模組作為直接生成密鑰的端點(diǎn)模塊，可通過量子密鑰分發(fā)鏈路互聯(lián)。兩種典型的量子密鑰分發(fā)模組分別是量子密鑰分發(fā)發(fā)送機(jī)和量子密鑰分發(fā)接收機(jī)。量子密鑰分發(fā)網(wǎng)絡(luò)quantumkeydistributionnetwork由多個量子密鑰分發(fā)節(jié)點(diǎn)通過量子密鑰分發(fā)鏈路連接組成的網(wǎng)絡(luò)。注：當(dāng)量子密鑰分發(fā)網(wǎng)絡(luò)中的兩個量子密鑰分發(fā)節(jié)點(diǎn)無法通過量子密鑰分發(fā)鏈路直接相連時，通過量子密鑰分發(fā)網(wǎng)絡(luò)的密鑰中繼功能實(shí)現(xiàn)密鑰分發(fā)。采用一個可信任的中繼節(jié)點(diǎn)，該節(jié)點(diǎn)的設(shè)備和存儲不會被非法方控制和侵入，與另外兩個或多個合法通信節(jié)點(diǎn)連接并分別通過量子密鑰分發(fā)(3.1)實(shí)現(xiàn)所連節(jié)點(diǎn)之間的密鑰共享，從而拓展量子密鑰分發(fā)(3.1)安全成碼距離和范圍的一種技術(shù)。2采用分段的量子糾纏分發(fā)、量子糾纏交換與量子糾纏純化相結(jié)合的方式來實(shí)現(xiàn)遠(yuǎn)距離的量子糾纏分發(fā)，可用于拓展量子密鑰分發(fā)(3.1)安全成碼距離和范圍。注：相比可信中繼(3.5)技術(shù)，量子中繼技術(shù)不要求中繼節(jié)點(diǎn)可信。量子通信中以量子態(tài)承載信息的物理信號，也即是量子信息的物理載體。注：常用的量子信號如，對偏振、相位和軌道角動量等物理量編碼/調(diào)制的單光子，對相位和振幅編碼/調(diào)制的弱相干態(tài)光等?，F(xiàn)代通信技術(shù)中以經(jīng)典物理量承載信息的物理信號。注：常用的經(jīng)典信號如，高電平、低電平、亮光脈沖、暗光脈沖、不同偏振狀態(tài)的光脈沖和不同相位差的光脈沖等。量子信道quantumchannel傳輸量子信號(3.7)的信道。經(jīng)典信道classicalchannel傳輸經(jīng)典信號(3.8)的信道。一種以信息論為理論基礎(chǔ)的密碼系統(tǒng)安全性，要求即使竊密者擁有無限的計(jì)算能力，也無法破解該4縮略語下列縮略語適用于本文件。AES:高級加密標(biāo)準(zhǔn)(AdvancedEncryptionStandard)ECP:加密控制協(xié)議(EncryptionControlProtocol)IKE:互聯(lián)網(wǎng)密鑰交換(InternetKeyExchange)IPSec:互聯(lián)網(wǎng)安全協(xié)議(InternetProtocolSecurity)LAN:局域網(wǎng)(LocalAreaNetwork)MACsec:媒體訪問控制安全(MediaAccessControlSecurity)MDI:測量設(shè)備無關(guān)(MeasurementDeviceIndependent)OLT:光線路終端(OpticalLineTerminal)ONU:光網(wǎng)絡(luò)單元(OpticalNetworkUnit)OTN:光傳輸網(wǎng)絡(luò)(OpticalTransportNetwork)OTP:一次性密碼本(OneTimePad)PPP:點(diǎn)對點(diǎn)協(xié)議(PointtoPointProtocol)QKD:量子密鑰分發(fā)(QuantumKeyDistribution)3QKDN:量子密鑰分發(fā)網(wǎng)絡(luò)(QuantumKeyDistributionNetwork)SCADA:數(shù)據(jù)采集與監(jiān)控系統(tǒng)(SupervisoryControlAndDataAcquisition)SIM:用戶身份識別模塊(SubscribeIdentityModule)SSL:安全套接層(SecureSocketsLayer)TF:雙場(TwinField)TLS:傳輸層安全(TransportLayerSecurity)VPN:虛擬專用網(wǎng)絡(luò)(VirtualPrivateNetwork)WDM:波分復(fù)用(WavelengthDivisionMultiplexing)5概述量子保密通信是利用QKD與其他密碼技術(shù)結(jié)合形成的保密通信技術(shù)。QKD作為量子通信的一種典型應(yīng)用，通過傳送量子態(tài)的方式實(shí)現(xiàn)密鑰的生成和分發(fā)。通信雙方通過QKD分發(fā)密鑰時，任何竊密行為都會因擾動量子態(tài)而被及時發(fā)現(xiàn)。QKD作為密碼學(xué)中的密鑰分發(fā)組件，可與多種加密、鑒別技術(shù)結(jié)合，以形成不同安全要求的量子保a)QKD與同樣具備可證明信息論安全性的加密方案(例如OTP算法)和鑒別方案(例如全域哈希算法)相結(jié)合，可實(shí)現(xiàn)具備信息論安全性的量子保密通信系統(tǒng)；b)QKD與能夠抵抗量子計(jì)算攻擊的加密方案和鑒別方案相結(jié)合，可實(shí)現(xiàn)能夠抗量子計(jì)算攻擊的量子保密通信系統(tǒng)。量子保密通信通常由提供密鑰分發(fā)能力的QKD系統(tǒng)和利用QKD生成的對稱密鑰實(shí)現(xiàn)密碼應(yīng)用的用戶系統(tǒng)兩部分組成。基本的QKD系統(tǒng)通常由一對通過量子信道和經(jīng)典信道連接的QKD模組組成，可在點(diǎn)對點(diǎn)鏈路上為應(yīng)用發(fā)送端和接收端提供共享密鑰對，用于加密通信等密碼應(yīng)用?；邳c(diǎn)對點(diǎn)QKD系統(tǒng)的量子保密通信典型應(yīng)用見圖1。通過QKD組網(wǎng)技術(shù)可將點(diǎn)對點(diǎn)QKD系統(tǒng)擴(kuò)展為多用戶的QKDN,為連接網(wǎng)絡(luò)的任意兩個或多個用戶提供量子密鑰生成和分發(fā)功能。QKDN的具體組網(wǎng)方案見附錄A?；赒KDN的量子保密通信典型應(yīng)用見圖2。用戶網(wǎng)絡(luò)中的應(yīng)用發(fā)送端和接收端可利用QKDN中的QKD節(jié)點(diǎn)提供的對稱密鑰對實(shí)現(xiàn)加密通信等密碼應(yīng)用。QKD節(jié)點(diǎn)可作為密鑰提供方輸出密鑰給密碼應(yīng)用，也可作為可信中繼節(jié)點(diǎn)實(shí)現(xiàn)基于OTP的密鑰中繼轉(zhuǎn)發(fā)。QKDN還可利用光路交換機(jī)、MDI-QKD或TF-QKD的中間測量節(jié)點(diǎn)、量子中繼站，實(shí)現(xiàn)量子信號的中繼傳輸。這里將MDI-QKD、TF-QKD的中間測量節(jié)點(diǎn)和量子中繼器統(tǒng)稱為量子中繼點(diǎn)。4加密裝置解密裝置應(yīng)用通信鏈路密鑰⑦QKD鏈路經(jīng)典信道量子信道密鑰應(yīng)用發(fā)送端◎密文01001011應(yīng)用接收端應(yīng)用接收端解密裝置加密裝置應(yīng)用通信網(wǎng)絡(luò)解密裝置密鑰密鑰QKD模組QKD鏈路光路交換機(jī)QKD模組QKD鏈路光路交換機(jī)QKD節(jié)點(diǎn)56應(yīng)用基本要求量子保密通信基于QKD實(shí)現(xiàn)密鑰分發(fā)功能。QKD作為基于量子通信技術(shù)的新型密碼學(xué)功能組件，同時具有通信技術(shù)和密碼技術(shù)二方面特征。量子保密通信系統(tǒng)應(yīng)在安全性、可擴(kuò)展性、高效性、魯棒性、應(yīng)用靈活性、互操作能力、技術(shù)兼容性、可管理性、差異化策略控制方面滿足如下要求。a)安全性要求：1)應(yīng)為量子保密通信用戶提供信息論安全的密鑰分發(fā)功能；2)應(yīng)采用經(jīng)理論安全性證明的QKD協(xié)議；3)應(yīng)提供針對QKD系統(tǒng)的安全性測評；4)應(yīng)具備針對已知的量子層安全威脅的防御能力；5)如采用可信中繼技術(shù)，應(yīng)提供有效的可信節(jié)點(diǎn)安全防護(hù)手段。b)可擴(kuò)展性要求：1)應(yīng)靈活支持廣域網(wǎng)所需的骨干、城域、接入等多種組網(wǎng)拓?fù)浣Y(jié)構(gòu)；2)應(yīng)可依據(jù)業(yè)務(wù)需求變化支持靈活、經(jīng)濟(jì)地?cái)U(kuò)容、升級和重配置；3)應(yīng)支持適用于接入網(wǎng)的一對多QKD。c)高效性要求：1)應(yīng)支持高效的密鑰提供和密鑰中繼功能；2)應(yīng)支持依據(jù)用戶需求和網(wǎng)絡(luò)負(fù)載的變化，靈活選擇密鑰的傳輸路徑，調(diào)度網(wǎng)絡(luò)物理資源；3)應(yīng)具備高可靠、低時延、大容量的密鑰分發(fā)提供能力。d)魯棒性要求：1)應(yīng)支持穩(wěn)定可靠的量子保密通信網(wǎng)絡(luò)設(shè)計(jì)、部署和運(yùn)營；2)在某些鏈路或節(jié)點(diǎn)出現(xiàn)故障時，應(yīng)支持快速故障定位和恢復(fù)。e)應(yīng)用靈活性要求：1)應(yīng)靈活支持多樣性的終端、用戶和應(yīng)用；2)應(yīng)支持靈活易用的可編程應(yīng)用接口；3)應(yīng)支持與多種信息通信系統(tǒng)協(xié)議和應(yīng)用的靈活集成。f)互操作能力要求：應(yīng)支持量子保密通信網(wǎng)絡(luò)中的不同廠商產(chǎn)品的互通能力。g)技術(shù)兼容性要求：1)應(yīng)支持多種類型QKD技術(shù)混合組網(wǎng)；2)應(yīng)提供QKD技術(shù)的升級遷移支持；3)應(yīng)支持多種密碼算法。h)可管理性要求：i)差異化策略控制：應(yīng)支持依據(jù)不同用戶的特定安全等級及業(yè)務(wù)需求，提供差異化的密鑰服務(wù)質(zhì)量控制和靈活的計(jì)費(fèi)方式。67應(yīng)用場景7.1概述量子保密通信可與信息通信系統(tǒng)中的各層協(xié)議結(jié)合應(yīng)用，見圖3。量子保密通信可服務(wù)于不同的行業(yè)應(yīng)用，典型的行業(yè)應(yīng)用場景示例見附錄B。用戶系統(tǒng)用戶系統(tǒng)應(yīng)用層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層QKD系統(tǒng)量了信道·基于QKD的共享密鑰協(xié)商應(yīng)用層傳輸層數(shù)據(jù)鏈路層物理層圖3QKD在信息通信系統(tǒng)中的分層結(jié)合應(yīng)用示意7.2QKD在數(shù)據(jù)鏈路層協(xié)議中的應(yīng)用QKD可與數(shù)據(jù)鏈路層協(xié)議結(jié)合應(yīng)用，例如PPP、MACsec協(xié)議。PPP工作在數(shù)據(jù)鏈路層，用于網(wǎng)絡(luò)中兩組節(jié)點(diǎn)之間的連接。PPP中的加密功能通過ECP來實(shí)現(xiàn)，用于在PPP數(shù)據(jù)幀中實(shí)現(xiàn)加密算法。QKD可用于實(shí)現(xiàn)PPP中的密鑰協(xié)商過程。MACsec協(xié)議用于支持連接到LAN或互連LAN的授權(quán)系統(tǒng)的數(shù)據(jù)機(jī)密性、完整性和真實(shí)性。QKD可作為一種密鑰交換技術(shù)在MACsec協(xié)議中集成應(yīng)用。點(diǎn)對點(diǎn)鏈路上的QKD設(shè)備可與傳統(tǒng)的鏈路加密機(jī)集成，構(gòu)成基于QKD的鏈路加密機(jī)。該鏈路加密機(jī)可利用QKD生成的對稱隨機(jī)數(shù)作為會話密鑰，實(shí)現(xiàn)分組密碼算法(例如AES)或序列密碼算法(例如可實(shí)現(xiàn)最高安全性的OTP)。7.3QKD在網(wǎng)絡(luò)層協(xié)議中的應(yīng)用QKD可與網(wǎng)絡(luò)層協(xié)議結(jié)合應(yīng)用，例如IPSec協(xié)議。IPSec是用于保障IP通信安全的一組協(xié)議套件。IPSec可實(shí)現(xiàn)數(shù)據(jù)流中IP數(shù)據(jù)包的鑒權(quán)和加密。IPSec中的IKE協(xié)議負(fù)責(zé)建立安全的網(wǎng)絡(luò)連接。IKE協(xié)議使用公鑰協(xié)商的方式來建立的共享的會話密QKD作為新型密鑰交換技術(shù)，可與IKE協(xié)議融合。基于QKD增強(qiáng)的IKE協(xié)議，能夠利用QKD7生成的共享密鑰實(shí)現(xiàn)IPSec載荷加解密功能，可根據(jù)安全等級需求使用分組加密算法或OTP算法。7.4QKD在傳輸層協(xié)議中的應(yīng)用QKD可與傳輸層協(xié)議結(jié)合應(yīng)用，例如TLS協(xié)議或SSL協(xié)議。TLS協(xié)議或SSL協(xié)議用于在傳輸層中為網(wǎng)絡(luò)通信提供端到端的安全服務(wù)。其通常使用公鑰密碼算法來建立會話密鑰，用于保護(hù)敏感信息傳輸，例如電子商務(wù)交易中的信用卡信息。在QKD與TLS協(xié)議結(jié)合使用的場景中，QKD生成的密鑰可用于替換TLS協(xié)議中的會話密鑰，也可用于基于OTP方式的加密傳輸。QKD生成的密鑰還可替代TLS協(xié)議中消息鑒別碼算法所需的密鑰，用于實(shí)現(xiàn)消息鑒別功能。7.5QKD在應(yīng)用層協(xié)議中的應(yīng)用QKD可與應(yīng)用層協(xié)議結(jié)合應(yīng)用，例如加密語音/視頻通話或會議、即時通信等業(yè)務(wù)。應(yīng)用層協(xié)議可利用QKD為通信收發(fā)兩端提供的對稱共享密鑰，用于用戶身份鑒別、鑒權(quán)或消息鑒別，也可用于實(shí)現(xiàn)業(yè)務(wù)載荷的加密傳輸。8(資料性)QKDN組網(wǎng)方案QKDN可將點(diǎn)對點(diǎn)QKD系統(tǒng)擴(kuò)展為多用戶網(wǎng)絡(luò)，為連接網(wǎng)絡(luò)的任意兩個或多個用戶提供量子密鑰生成和分發(fā)功能。目前已知的QKDN組網(wǎng)方案包括以下幾種。a)光交換/分束器方案：該方案利用光路交換機(jī)或光分束器，在多對QKD模組之間實(shí)現(xiàn)QKD鏈路的(光層路由)切換或拆分，從而為不同用戶采用一對多或多對多的方式按需生成QKD密鑰。該方案受到量子信號衰減帶來的傳輸距離限制，僅適用于小規(guī)模網(wǎng)絡(luò)。b)可信中繼方案：該方案將點(diǎn)對點(diǎn)QKD鏈路生成的密鑰存儲在可信的QKD節(jié)點(diǎn)中，并利用逐跳QKD鏈路生成的密鑰建立基于OTP方案的信息論安全加密傳輸通道(簡稱OTP通道)。進(jìn)一步，將用戶所需的端到端密鑰，通過OTP通道加密傳輸至通信兩端用戶側(cè)，以實(shí)現(xiàn)端到端的量子保密通信。該方案可有效擴(kuò)展QKDN的傳輸距離。該方案實(shí)施時需確保QKD可信中繼節(jié)點(diǎn)是受信任的安全節(jié)點(diǎn)，可防止任何未經(jīng)授權(quán)方的入侵和攻擊。c)測量輔助中繼方案：該方案需利用MDI-QKD、TF-QKD等需要中間節(jié)點(diǎn)測量的新型QKD協(xié)議，來擴(kuò)展點(diǎn)對點(diǎn)QKD鏈路傳輸距離，從而允許在更長的距離或更高損耗的信道上生成密鑰。該方案需在QKD鏈路中增加部署用于執(zhí)行量子態(tài)測量操作的中間測量節(jié)點(diǎn)。這些中間測量節(jié)點(diǎn)無需是可信節(jié)點(diǎn)。d)量子中繼方案：該方案利用量子中繼站實(shí)現(xiàn)量子態(tài)在網(wǎng)絡(luò)中的端到端傳輸。量子中繼站是將信息以量子態(tài)形式存儲并轉(zhuǎn)發(fā)的網(wǎng)絡(luò)中間節(jié)點(diǎn)。該方案通常需要在通信鏈路沿線部署多個基于量子糾纏分發(fā)的量子中繼站，以實(shí)現(xiàn)遠(yuǎn)距離的QKD。這些量子中繼站無需是可信節(jié)點(diǎn)。9(資料性)量子保密通信在典型行業(yè)中的應(yīng)用場景B.1數(shù)據(jù)中心備份及業(yè)務(wù)連續(xù)性應(yīng)用場景在不同數(shù)據(jù)中心之間執(zhí)行數(shù)據(jù)備份及業(yè)務(wù)連續(xù)性等業(yè)務(wù)時，量子保密通信可用于保障數(shù)據(jù)中心之間數(shù)據(jù)傳輸?shù)陌踩?。隨著大數(shù)據(jù)和云計(jì)算的發(fā)展，數(shù)據(jù)容災(zāi)備份越來越重要。特別對于數(shù)據(jù)安全性和可靠性要求高的行業(yè)，例如金融、電力、航空、互聯(lián)網(wǎng)等，數(shù)據(jù)中心災(zāi)備的可靠性和安全性尤為重要。這類場景通常將企業(yè)主要的數(shù)據(jù)處理集中在數(shù)據(jù)中心主站點(diǎn)，同時額外部署備份站點(diǎn)，用于對主站點(diǎn)數(shù)據(jù)實(shí)現(xiàn)遠(yuǎn)程備份或雙活。在發(fā)生災(zāi)難或故障時，主站點(diǎn)數(shù)據(jù)出現(xiàn)丟失的情況下，備份站點(diǎn)可輔助主站點(diǎn)恢復(fù)數(shù)據(jù)。主站點(diǎn)與備份站點(diǎn)之間的通信要求嚴(yán)格的數(shù)據(jù)保密性。見圖B.1,在主站點(diǎn)和備份站點(diǎn)之間可使用基于QKD的鏈路加密機(jī)，通過QKD按需更換密鑰，建立加密通信鏈路。數(shù)據(jù)中心主站數(shù)據(jù)中心主站備份站QK1鏈路通信鏈路QKD設(shè)備加解密設(shè)備數(shù)據(jù)鏈路密鑰輸出接山圖B.1量子保密通信在數(shù)據(jù)中心災(zāi)備的應(yīng)用場景B.2政企專網(wǎng)應(yīng)用場景量子保密通信可用于保護(hù)政企專網(wǎng)及其服務(wù)的安全性。政企專用網(wǎng)絡(luò)，即企業(yè)或政府機(jī)構(gòu)通過自有網(wǎng)絡(luò)或從運(yùn)營商租用的光纖通信鏈路網(wǎng)絡(luò)，將其總部及所屬一個或多個分支機(jī)構(gòu)、數(shù)據(jù)中心連接組成的專有網(wǎng)絡(luò)。通過企業(yè)專網(wǎng)可為各分支機(jī)構(gòu)提供各種應(yīng)用服務(wù)，例如電子郵件、電話、音視頻、數(shù)據(jù)存儲和計(jì)算等信息服務(wù)。企業(yè)或政府機(jī)構(gòu)通常要求通信服務(wù)提供高度的機(jī)密性、完整性和真實(shí)性，可采用專用的安全系統(tǒng)。通常采用基于IPSec或TLS的VPN技術(shù)實(shí)現(xiàn)數(shù)據(jù)中心與分支機(jī)構(gòu)之間的數(shù)據(jù)業(yè)務(wù)加密。見圖B.2,在企業(yè)網(wǎng)內(nèi)部各節(jié)點(diǎn)之間可使用基于QKD的鏈路加密機(jī)，建立加密通信鏈路。數(shù)據(jù)中心2數(shù)據(jù)中心1通信鏈路9分支機(jī)構(gòu)1分支機(jī)構(gòu)3分支機(jī)構(gòu)2分支機(jī)構(gòu)4加解密設(shè)備-----●-----QKD鏈路數(shù)據(jù)鏈路密鑰輸出接口圖B.2量子保密通信在企業(yè)專網(wǎng)的應(yīng)用場景B.3關(guān)鍵基礎(chǔ)設(shè)施監(jiān)控和數(shù)據(jù)采集應(yīng)用場景量子保密通信可用于保護(hù)關(guān)鍵基礎(chǔ)設(shè)施中的SCADA數(shù)據(jù)通信安全性。服務(wù)、運(yùn)輸系統(tǒng)、糧食生產(chǎn)和分配系統(tǒng)等，對于社會經(jīng)濟(jì)的正常運(yùn)行發(fā)揮著重要作用。這些系統(tǒng)的安全性和可靠性依賴于其通信基礎(chǔ)設(shè)施子系統(tǒng)，其信息真實(shí)性、完整性、機(jī)密性均十分重要。以鐵路網(wǎng)為例，鐵路控制中心一方面需要讀取并處理軌道沿線各區(qū)段邊界、交叉口、站點(diǎn)等處的傳感器輸入的信息；另外，控制中心還需要向信號開關(guān)、交叉關(guān)口、顯示器等下發(fā)控制指令。該系統(tǒng)要求所有信息均可鑒別來源，同時某些信息需加密并提供完整性保護(hù)。利用QKDN為各通信節(jié)點(diǎn)以信息論安全方式分發(fā)的密鑰，可實(shí)現(xiàn)高安全性的鑒權(quán)、加密和完整性保護(hù)功能。見圖B.3,該場景通?？蓸?gòu)建專用的QKD廣域網(wǎng)絡(luò)來支持，由QKDN提供多節(jié)點(diǎn)的密鑰分發(fā)管理、密鑰中繼轉(zhuǎn)發(fā)等功能。業(yè)務(wù)使用方通常需通過專用接口訪問QKDN,為通信雙方分發(fā)密鑰并執(zhí)行數(shù)據(jù)加解密等操作。GB/T42829—2023加解密設(shè)備數(shù)據(jù)鏈路密鑰輸出接口專用接口圖B.3量子保密通信在關(guān)鍵基礎(chǔ)設(shè)施監(jiān)控與數(shù)據(jù)采集的應(yīng)用場景B.4電信骨干網(wǎng)應(yīng)用場景QKD可用于為電信網(wǎng)絡(luò)的骨干網(wǎng)節(jié)點(diǎn)之間通信提供安全服務(wù)。目前電信骨干網(wǎng)多采用WDM技術(shù)。利用電信骨干網(wǎng)中獨(dú)立的光纖或富余的波道建立QKD鏈見圖B.4,以O(shè)TN技術(shù)為例，QKD設(shè)備生成的對稱密鑰可用于OTN設(shè)備間業(yè)務(wù)數(shù)據(jù)加解密。QKD系統(tǒng)所需的量子信道、經(jīng)典信道以及承載OTN業(yè)務(wù)的數(shù)據(jù)信道，可通過波分復(fù)用方式在同一條光纖中傳輸。量子信道/量子信道/協(xié)商信道OTN設(shè)備OTN設(shè)備光交快模塊北證路協(xié)議雖子信道/回步信道脅商信道密鑰客戶端業(yè)務(wù)客戶端業(yè)務(wù)兒傳渝模收光訓(xùn)路協(xié)議密鑰兒傳輸旗訓(xùn)光交換模活圖B.4量子保密通信在電信骨干網(wǎng)保護(hù)的應(yīng)用場景B.5電信接入網(wǎng)應(yīng)用場景QKD可用于保護(hù)電信接入網(wǎng)中的數(shù)據(jù)通信安全。以基于PON技術(shù)的電信接入網(wǎng)為例，其通常由一個OLT與多個ONU連接組成。OLT通常安裝在電信網(wǎng)接入機(jī)房中，ONU安裝在終端用戶附近。下行業(yè)務(wù)信息從OLT向下游廣播到所有ONU,而上行業(yè)務(wù)則采用時分或波分復(fù)用方案實(shí)現(xiàn)。PON網(wǎng)絡(luò)中每個ONU都可接收到OLT的所有下行鏈路信號，可使用加密措施防止ONU竊密。見圖B.5,可在每個ONU處部署QKD發(fā)射機(jī)，在OLT處部署QKD接收機(jī)。通過QKD系統(tǒng)可在PON網(wǎng)絡(luò)中的OLT和ONU之間安全地分發(fā)密鑰，支持ONU用戶數(shù)據(jù)的加密傳輸。光纖QKD發(fā)射端}北分路器圖B.5