71页2018量子保密通信技术白皮书量子通信CCSA

量子保密通信技术白皮书（2018）中国通信标准化协会（2018年12月）I本白皮书版权属于中国通信标准化协会，并受法律保护。转载、摘编或利用其他方式使用本白皮书文字或者观点的，应注明“来源：中国通信标准化协会”。违反本声明者，本协会将追究其相关法律责任。II量子保密通信（QuantumSecureCommunication,QSC）是结合量子密钥分发（QuantumKeyDistribution,QKD）和密码技术的安全通信解决方案。本白皮书对量子保密通信和相关的概念进行澄清，介绍量子保密通信的应用场景，量子保密通信的安全性及其核心QKD技术的实际安全性研究现状，量子保密通信网络架构及其组网关键技术，国内外量子保密通信产业发展及趋势，量子保密通信的标准化现状；并从产业化发展的需求出发，梳理其下一步发展面临的关键问题、解决方案及发展建议，旨在为我国量子保密通信产业的发展和标准化建言献策，推动其更好的发展。本白皮书由中国通信标准化协会量子通信与信息技术特设任务组（CCSAST7）负责组织编写，主要参与编写单位包括：国科量子通信网络有限公司、科大国盾量子技术股份有限公司、济南量子技术研究院、中国联合网络通信集团有限公司、中国移动通信集团有限公司、中国电信集团有限公司、神州数码信III息服务股份有限公司、浙江九州量子信息技术股份有限公司、安徽问天量子科技股份有限公司、上海交通大学。IV目录一、概述...................................................................1（一）量子保密通信基本概念................................................1（二）量子保密通信迎来历史发展机遇........................................3二、量子保密通信业务应用..................................................10（一）量子通信应用前景广阔：保密通信是现阶段可行业务.....................10（二）量子密钥分发可与现有ICT技术结合应用...............................12（三）量子保密通信的典型行业应用场景.....................................13三、量子密钥分发的安全性..................................................19（一）量子密钥分发安全性的物理基础.......................................19（二）量子密钥分发的理论安全性...........................................25（三）量子密钥分发的实际安全性...........................................27四、量子保密通信网络架构及关键技术.........................................28（一）量子保密通信网络的演进.............................................28（二）量子保密通信网络需求和架构设计.....................................30（三）量子保密通信组网关键技术...........................................36五、量子保密通信产业及标准化进展...........................................40（一）量子保密通信国内外发展概况.........................................40（二）量子保密通信产业化进展.............................................45（三）量子保密通信标准化进展.............................................49六、总结：面临挑战与发展建议...............................................54（一）加强量子通信底层技术自主研发，提供产业发展保障.....................55（二）加快量子保密通信行业标准制定，支撑产业健康发展.....................56（三）开放合作，以需求为导向促进量子保密通信应用推广.....................56附录1实际QKD系统安全威胁和解决措施......................................60附录2缩略语..............................................................64中国通信标准化协会量子保密通信白皮书（2018）1一、概述（一）量子保密通信基本概念1．量子通信上世纪九十年代以来，量子调控技术的进步使得人类可以对光子、原子等微观粒子进行主动的精确操纵，从而能够以一种全新的方式利用量子规律，使得量子技术与信息技术得以深度融合。这促进了面向无条件安全的保密通信、超强的计算能力、突破经典极限的精密探测等量子信息技术的蓬勃发展。以量子通信、量子计算和量子测量为代表的新一次“量子革命”，必将对信息通信技术（InformationandCommunicationTechnology,ICT)领域产生深远的影响。量子通信作为量子信息科学的重要分支，是利用量子态作为信息载体来进行信息交互的通信技术。现阶段，量子通信的典型应用形式包括量子密钥分发（QuantumKeyDistribution，QKD）[1]和量子隐形传态（QuantumTeleportation,QT）[2]等。量子密钥分发可用来实现经典信息的安全传输；而量子隐形传态是传递量子信息的有效手段，有望成为分布式量子计算网络等应用中的主要信息交互方式。中国通信标准化协会量子保密通信白皮书（2018）22.量子密钥分发量子密钥分发是最先实用化的量子信息技术，是量子通信的重要方向。量子密钥分发可以在空间分离的用户之间以信息理论安全的方式共享密钥，这是经典密码学无法完成的任务[3]。基于国际学术界的广泛共识，包括2010年沃尔夫物理学奖获得者AntonZeilinger教授等在内的众多国际学者通常将量子密钥分发就称为量子通信；美国物理学会的学科分类系统PhySH将量子密码作为量子通信条目下的一个子条目；欧盟最新发布的量子技术旗舰计划《量子宣言》[4]，将以量子密钥分发为核心的量子保密通信作为量子通信领域未来的主要发展方向。现有实际量子密钥分发系统主要采用BB84协议[1]，由Bennett和Brassard于1984年提出。与经典密码体制不同，量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路，只要窃听者没有掌握能攻入合法用户设备内部的侧信道，量子密钥分发技术就能让空间分离的用户共享安全的密钥。学术界将这种安全性称之为“信息理论安全”（也可称为“无条件安全”），它指的是拥有严格数学证明的安全性，但是有下列假设前提：窃听者不掌握攻入合法用户设备内部的侧信道；依赖的基础是量子物理学原理，即要求窃听者不能拥有违反量子物理学原理的技术，但是可以拥有任何不违反量子物理学原理的技术，例如计算能力任意强大的计算机，包括量子计算机。量子密钥分发的这种安全性，与计算中国通信标准化协会量子保密通信白皮书（2018）3复杂度无关，因此不论对手拥有多大的计算能力，其安全性都不会受到影响。3.量子保密通信量子保密通信是指以具备信息理论安全性证明的QKD技术作为密钥分发功能组件，结合适当的密钥管理、安全的密码算法和协议而形成的加密通信安全解决方案。量子保密通信是在抗量子攻击等特定需求下的全新的、有效的密码学补充手段，依据结合方式的不同，量子保密通信系统可具有多种类型。例如，可证明信息理论安全的QKD技术与同样可证明信息理论安全的一次性密码本（OneTimePad，OTP）加密方案[5]和Wegman-Carter认证方案[6]相结合，形成具备信息理论安全性的量子保密通信系统。又如：QKD与其他能够抵抗量子计算攻击的对称密钥加密算法结合使用，可实现可支持大带宽业务的、具备前向安全性的量子保密通信系统。（二）量子保密通信迎来历史发展机遇1．量子计算引发全新安全挑战，量子安全技术需求迫切近年来，量子计算机的发展已呈加速之势，以谷歌，IBM，微软、Intel等巨头为代表的企业纷纷投入巨资研发。量子计算机能够以特定的计算方式，例如著名的Shor量子算法[7]和Grover量子算法[8]，有效解决一些中国通信标准化协会量子保密通信白皮书（2018）4经典计算机难以胜任的数学问题，例如大整数质因子分解问题、离散对数问题、海量数据检索问题。量子计算对于基于计算复杂度的现代密码学带来的潜在安全威胁已引起了全球性的广泛重视，美国国家标准和技术研究院（NIST）、欧洲电信标准化协会（ETSI）等机构进行了评估[9][10]，其结论如表1所示。表1量子计算机对经典密码的影响（来源于NISTIR8105）密码学算法类型目的受到量子计算机的影响AES对称密钥加密需增加密钥长度SHA-2,SHA-3---哈希散列函数需增加输出长度RSA公钥数字签名，密钥分发不再安全ECDSA,ECDH(EllipticCurveCryptography)公钥数字签名，密钥分发不再安全DSA(FiniteFieldCryptography)公钥数字签名，密钥分发不再安全由于传统公钥算法（例如RSA、ECC等）广泛用于各类安全协议和应用服务，因此量子安全问题的影响范围极广，如图1所示。虽然大规模量子计算机的实现可能还有数十年的时间，但它对当今信息安全的潜在威胁不容忽视。对于窃听者而言，他可以将当前发生的通信流量记录下来，直到量子计算机成功的那一天再解密这些信息。这对于那些需要长期保密的信息，已经构成了现实的威胁。中国通信标准化协会量子保密通信白皮书（2018）5图1量子安全问题的影响范围如何应对“量子安全”问题，设计能够抵御量子计算攻击的量子安全密码技术，已成为下一代信息通信系统必须考虑的问题。基于量子物理基本原理的量子密钥分发技术，提供了不再依赖于数学计算复杂度的新型密钥分发方法。通过这种具有信息理论安全特性的密钥分发方式，即使通过不安全的信道分发密钥也可以保证安全，进一步结合OTP方案或其他加密算法，可以有效地提高信息安全性，抵御量子计算带来的安全威胁。2.量子保密通信历经多年发展，产业链初步成形量子保密通信技术自1984年提出以来，在上世纪末开始有实验实现。2005年诱骗态方案[11][12]提出后，单量子光源不理想的瓶颈问题被克服，量子保密通信的安全距离大幅提升，实验技术自此开始了快速的发展[13][14][15][16][17]，并逐步走向实用化、产业化。近10年来，量子保密通信的实验和工程技术不断突破，一方面城域网技术逐渐成熟，美国、中国、欧洲、日本等地多个城域网建成；另一方面我国于2017年完成量子保密通信“京沪干线”骨干网建设和“墨子号”卫星科学试验[18]并中国通信标准化协会量子保密通信白皮书（2018）6实现天地互联，率先进入广域网阶段，标志着产业化技术储备的基本完成，也引发了全球量子保密通信网络部署的提速。图2记录了发展历程中的部分代表性事件。图2全球量子保密通信网络加速发展在这10余年的发展过程中，我国的量子保密通信技术已经逐渐走到了世界前列，产业化更是先行于世界，初步形成了一条探索型产业链。如图3所示，产业链大致分为4个环节：（1）基础研究环节，科研机构持续提供国际领先的基础研究成果支撑产业链发展；（2）设备研发环节，技术型企业提供核心器件/部件、量子保密通信设备、网络融合设备3个层面的开发支