标准化计划和专门致力于优化单光子探测(QKD的主要技术挑战,导致成本高昂)是该项目的一部分。 然而,主要目标是开始运营和测试一个综合密钥分布网络,该网络被设计为量子背骨网络(QBB),用于在维也纳市进行测试。 因此,不同SECOQC合作伙伴的异质QKD系统与节点模块连接,这超过了网络功能。 部署在典型的电信城域网(MAN)上的QBB是证明完全网络化多点到多点量子密钥分发的可行性的重要一步。 针对具有分布式设施的组织(如政府机构,公司和银行),提出了网络安全通信解决方案的目标市场。
Fig. 1. (Color online). Alice and Bob want to share a secret key. (a) Point-to point QKD-Link L: A typical solution nowadays. (b) Quantum network: The QKD-Links LA and LB are used to access the QBB, the nodes of the QBB being represented by squares (in blue) and the corresponding QKD-Links being denoted by L1 through L6. All QKD-Links provide unconditionally secure channels. An end-to-end secure channel from Alice to Bob along the paths LA-L5-LB, LA-L1-L2-LB and LA-L3-L4-LB allows secure transmission of a secret key。
基本思想是建立一个网络,用于从单点对点QKD-Links中分发密钥。 相应的QKD-Link端点(即QKD设备)位于网络节点中。 这些有一个或多个QKD设备与中央节点(module)模块的节点是安全站点,专用于处理,存储和通信。 这些节点模块是网络代理,接管了(在SECOQC方法中)对传统通信信道的完全控制,接管了生成的密钥的管理,接管了它们的信息以逐跳方式从一个节点到另一个节点的理论安全传输,以及接管了比如找到远程节点的路径,并确保秘密密钥提供与网络中消耗密钥的应用程序的同步的问题。
遵循此设计的QKD网络是用于在可能无限的距离上以多对多的方式在节点之间分发秘密密钥的基础设施。 在假设节点可以被信任的情况下,它允许利用量子密钥分发的信息理论安全性并实现跨网络的无条件密钥分发。 应该强调的是,虽然已经提出了设计量子密钥分配的其他方法(参见参考文献6中的讨论),SECOQC采用的可信中继器架构是目前唯一可行的,允许两者超越该点 -点以及标准QKD的有限距离约束的方法架构。
要将另外的最终用户包括在网络中,只需要一个QKD-Link就可以将他连接到QBB的最近节点。 然后,已经连接到QBB的所有其他用户都是潜在合作伙伴,可以与他共享密钥。
•对于大量终端用户,包含QBB和QAN的QKD网络的扩展非常有利。 对于单点对点连接,N个用户所需的QKD链路数量增加为N(N-1)/ 2。 被提出的网络仅与N线性增长,因为这是所需的QAN链路的数量。
在QBB内,链路可以串联级联以连接更远距离的用户,并且并行地获得更高的安全密钥率值。 图1.b示出了用户Alice和Bob与对应链路LA和LB连接到QBB的密钥请求的情况。 这里链路L5并联连接到由L1和L2形成的链路,而另一个链路连接到L3和L4。 假设每个QKD设备具有固定成本,则可以根据两个节点之间的单链路距离来寻找总体成本的最优值。 对于许多先进的QKD系统,对于一维链路以及二维网络,相应的最佳距离约为25 km。这也是SECOQC演示器中的平均距离。
在入侵者导致一个链路由于任何攻击而失败的情况下(例如上例中的L5),所请求的密钥仍然可以通过网络由其他剩余路由传递。
此外,使用相同的参数,如果一个链接被强大的拒绝服务攻击破坏,则受到攻击的链接的预共享初始秘钥hash算法函数将用完。 在单链路场景中,需要人工交互来恢复预共享秘密。 相反,在量子网络中,可以在剩余的量子链路上恢复该密钥。
Network Demonstration in Vienna 2008
为了介绍和演示证明新的网络功能并展示证明单链路的各种优势,我们在维也纳的四个站(SIE,ERD,GUD,BREIT)中实现了一个通用的矩形构建块(图2)并通过在附近的城市St.P¨olten的一个节点进行扩展。 实现了所有QBB链路,包括两条对角线和两条针对最终用户的短QKD连接。
与DARPA量子网络的体系结构不同的是,其中量子信道由取决于通信伙伴的光纤交换机主动控制,在所提出的SECOQC量子网络中,形成QKD-Link的每对QKD设备保持在一起。 每个QBB-Link的任务是尽可能多地产生密钥并将其交给网络节点,无论是哪个最终用户随后会请求密钥。
所有使用过的QKD设备在离开各个实验室之前已经达到了很高的成熟度,并且正准备在现场条件下进行部署和操作。
然后将在现实条件下测试所讨论的网络架构的可行性。
西门子电信光纤环网
所有链接都将在典型的环形网络上运行,以连接西门子奥地利的办公楼。 图显示了周长约为63 km的光纤环。 我们使用四个节点站分布在整个维也纳市,一个位于St. Poelten,这是另一个由85公里长的光纤连接的城市。 两个交叉连接的光纤也物理地部署在环中(分别连接两对非相邻节点).
每个QKD设备对通过它们自己的充当专用量子信道的暗光纤连接。 经典通信由在环中使用一个附加光纤环路的专用节点模块管理,这是通过使用CWDM间隔多路复用的一组通信激光器实现的。
QKD-link-devices for the Quantum Back Bone QBB
为了令人信服地展示网络特征功能,SECOQC决定开发高速率稳定的QKD-Link设备。 只有在25 km光纤下经认证得安全密钥率超过1 kbit / s的设备才能进入部署阶段。 显然,链接设备必须满足严格的安全标准。此外,设备必须自动提供密钥超过6个月而无需人工干预。 新启动的延迟时间(例如,在更改光纤连接后)限制为1分钟。
对于部署阶段,以下系统符合这些标准并形成QBB网络:
IdQuantique(瑞士):这家瑞士公司提供三种设备对,通常被称为“耳罩和游戏”系统。 通过在一次往返内将强脉冲衰减到单光子水平,无需额外补偿干涉仪和光纤的漂移。
GAP日内瓦/ IdQuantique / ARC(瑞士/奥地利):由Gisin教授领导的大学小组开发了一个QKD系统,其中衰减光脉冲的非空时隙的位置携带传输的比特值。光子之间的相干显示 任何试图从系统中提取信息的入侵者。
东芝(英国):Andrew Shield开发了一个带有两个干涉仪的QKD系统,这两个干涉仪由量子信号后发送的经典脉冲(近似单光子的弱相干脉冲)稳定。 实现了相位调制版本的BB84。为了消除弱相干脉冲的光子数分裂攻击,即在25km处增加安全密钥率,实现了诱饵状态。
维也纳大学/ ARC / KTH(奥地利/瑞典):Zeilinger教授长期研究纠缠光子,现在也转移到电信波长。 通过BBM92协议实现了这种基本的量子力学性质,使用不同QKD器件处的纠缠光子对的检测相关性来生成密钥。
CNRS / Thales / ULB(法国/比利时):Grangier教授领导的联盟开发了原型中唯一的连续变量QKD系统。 使用在每个脉冲中具有数十个光子的更强脉冲而不是弱相干脉冲。 在这种情况下,Homodyne检测取代了单光子探测器的使用。
QKD-link-devices for the Quantum Access Network (QAN)
为了将终端用户设备连接到QBB,必须建立朝向一个QBB节点的单个链路,从而获得最短的连接。 对于这种量子接入网络(QAN),原则上可以使用任何类型的QKD设备。每个用户生成的安全密钥速率预计远低于QBB的典型连接负载。 因此,QAN-Links需要具有较低速率的简单设备,但也有较低的成本。 作为一种特殊情况,为了将QKD网络扩展到部署光纤基础设施渗透率较低的区域,自由空间QKD是一种合适的替代方案。 因此,包括两个自由空间QKD系统:
慕尼黑路德维希马克西米利安大学(德国):由Weinfurter教授组建的自由空间系统的典型工作距离为500米。 为了达到典型的MAN类距离,可能的距离可以扩展到3 km。 到目前为止,只能进行夜间操作,但所使用的基于硅的单光子探测器允许更高的密钥生成速率。
布里斯托大学(英国):Rarity教授领导的团队开发了便携式QKD设备。 操作距离仅为几分之一米,但这一独特开发的目的是通过创建用于PIN保护和身份验证的手持式消费者设备来增强现有应用程序的安全性,例如与ATM的交互。
Network nodes
QBB链路的所有终端设备和每个QAN链路的至少一个设备位于网络节点(图4中的Alice 1,Alice 2和Alice 3)内与节点模块通信。 如前所述,每对QKD设备形成一个链路,并将在这个呈现的网络架构中保持在一起。 我们没有实现QKD-Link设备级别的切换,因为一个目标是仅通过采用网络节点模块的通用接口和协议来允许连接到网络以用于各种异构QKD设备。
The node module manages the secret keys and the classical communication generated by all QKD devices. Device independent operation is ensured by a common interface.
The needed authentication of messages is also provided by the node module.
每个QBB-Link的任务是不断增加尽可能多的密钥并将其交给网络节点。 因此,节点模块超越了存储和处理所生成的密钥的重要任务。 一方面,节点模块监视节点中的单独链路设备,更重要的是,在所呈现的体系结构中,它为它们提供与相应QKD-Link的伙伴设备的经典通信连接。 对于克服潜在的中间人攻击所需的QKD-Link通信的经典部分必不可少的消息认证也由节点模块提供,每个链路的QKD协议栈负责决定哪些通信消息是 要经过身份验证。
另一方面,节点模块还通过执行QKD更高级网络协议栈(下面更详细地讨论)来负责整个网络功能,QKD更高级网络协议栈负责在网络级别上路由和传输所生成的秘密。 节点模块功能意味着所有节点模块都通过公共信道相互连接(图5)。
Fig. 5. (Color online). Four nodes of the QBB are connected with quantum channels and communicate over the public channels. Between nodes A and B, one specific connection is highlighted to emphasize the communication of the Q3P network protocol.
如前所述,几种不同的设备将组成SECOQC QBB网络。 由于它们中的每一个都具有不同的特性和接口,因此设计了一种通用协议来以统一的方式访问设备提供的服务:量子点对点协议或Q3P。
该协议用作一对QBB节点之间的点对点协议(见图5),它使下面的设备能够在经过认证的信道上执行经典通信协议以进行密钥升级,同时为上层提供认证和加密。
认证和加密在信息理论上都是安全的。使用Q3P作为互连一对QKD设备的统一构建块,现在可以在其上使用传统的网络协议。然而,像TCP / IP这样的最广泛的协议并不直接与量子密钥分发的特定要求兼容:由于数据包的内容,因此必须仔细考虑类似TCP的重新发送数据包的网络可靠性,因为QKD情况下数据包的内容关于机密性和/或真实性方面非常敏感。
因此,众所周知的协议已经改编形成一组新的端到端网络机制. QKD路由层(QKD-RL)协议解决QBB节点内的路由信息。该协议遵循OSPF的模式,但包括必要的修改,以解决由密钥材料的敏感性和稀缺性引起的特定要求。
最后,QKD传输层(QKD-TL)协议采用TCP / IP,并引入了基于量子密钥资源处理高度拥塞网络的新方法。该协议最终允许用户通过网络交换信息,并在端到端的基础上实现完美的机密性和真实性。
上面概述的所有三个协议都是独立设计的,每个协议都提供了类似标准的接口,可以很容易地在当前的电信网络基础设施中引入。不需要修改在上层运行的应用程序以使用无条件安全密钥材料。
结论:
利用七种基于光纤的QKD设备覆盖整个城市内城域网的量子密钥分配网络,将通过五种不同的工作原理和两种自由空间QKD设置实现,将于2008年9月在维也纳展示。 这项在欧盟资助的FP6项目SECOQC框架内的实施清楚地表明了构建高度集成的QKD网络的可行性。 异构的现代QKD设备通过通用接口和通用节点模块组合成统一的秘密分发基础设施。 实现部署的这一重要步骤为最终用户和网络提供商提供了未来安全通信设施的愿景。
扫一扫
6万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
