本發明提供一種量子密鑰分發網絡以及量子密鑰分發方法和裝置，所述方法包括：確定從源節點到目的節點的可信中繼路由；其中，所述可信中繼路由中的中繼節點均為可信節點，且相鄰節點之間的距離均小于或等于2跳；對于所述可信中繼路由中每對距離為2跳的相鄰節點，確定與該對節點相連的非可信節點；基于所述可信中繼路由以及確定的非可信節點的中繼，實現所述源節點與目的節點間的共享量子密鑰的分發；其中，可信節點均設置有QKD發射機、接收機；非可信節點均設置有QKD發射機、MDI?QKD接收機。應用本發明可以在可信節點與非可信節點共存的場景下，利用中繼節點實現遠距離的兩個節點之間的量子密鑰分發，提高QKD網絡的安全性。

技術領域

本發明涉及量子密鑰分發技術領域，尤其涉及一種量子密鑰分發網絡以及量子密鑰分發方法和裝置。

背景技術

當今信息時代下，網絡信息的安全面臨著嚴重的安全隱患。量子保密通信網絡的安全性由其“海森堡測不準原理”和“量子不可克隆定律”等量子力學基本定律保證，具有理論上的“無條件安全”優勢。隨著通信網絡的快速發展，量子通信技術的應用領域不斷被拓寬。現階段發展相對成熟并且具備產業化潛力的典型應用是基于QKD(Quantum KeyDistribution，量子密鑰分發)的量子保密通信網絡。

目前從技術層面上看，QKD有以下實現方案：(1)可信中繼；(2)MDI-QKD(Measurement-Device-Independent Quantum Key Distribution，測量設備無關量子密鑰分發)。

其中，可信中繼技術首先將點對點量子密鑰分發鏈路生成的密鑰緩存在可信的中繼節點中，然后將用戶所需的端到端密鑰利用多跳鏈路以OTP加密方式逐跳進行傳遞，該方案可以突破QKD傳輸距離限制，但是要求中繼節點必須可信。

可信中繼技術中，密鑰在可信的中繼節點之間進行加密接力傳送，具體原理為：節點A與節點B之間連接一個可信中繼器R，節點A將KAB通過KAR以一次性密碼本(One-time-pad，OTP)加密后發送至可信中繼器R，并解密得到KAB。可信中繼器R使用密鑰KRB重新加密KAB，并將其發送給節點B，節點B解密后獲得KAB，節點A和節點B通過共享密鑰KAB進行加密通信。

例如，如圖1所示，假設兩個遠距離節點Alice和Bob的密鑰分發路徑為Alice→Node1→Node2→Bob。則中繼過程如下：

(1)Alice與Node1生成共享密鑰K1；

(2)Node1使用與Node2生成的密鑰K2通過異或的方式對K1進行加密并傳輸給Node2；

(3)Node2使用K2對接收到的加密密鑰解密得到K1，然后重復Node1的步驟將K1傳遞給下一節點；

(4)直到Bob得到K1后整個過程結束，至此Alice和Bob獲得了密鑰K1。

MDI-QKD技術中，發送方將信號傳輸到不可信的第三方中進行Bell態測量(BellState Measurement，BSM)，測量模塊可視為一個完全黑盒，根據測量結果進行后處理得到量子密鑰，MDI-QKD可以免疫探測通道攻擊且適合星型網絡，但是鏈路傳輸距離仍有一定限制。

如圖2所示，多個節點分別通過WDM信道在不同光纖中接入光開關，再發送到不可信的Charlie。光開關通過時分復用機制，在一個時隙內只接通兩個節點Alice和Bob，Charlie對Alice和Bob發送的單光子進行貝爾態測量。Charlie將測量時刻分別發送給Alice和Bob，Alice和Bob通過公共信道進行測量基比對等后處理進行密鑰生成。

MDI-QKD最適合星型網絡拓撲，在實現共享昂貴的探測器的情況下還允許竊聽者在不損害安全性的前提下對中繼進行完全控制。然而，基于MDI-QKD的星型網絡實現距離有限，在星型網絡之間如何中繼是一個始終未得到解決的問題。