目前，量子保密通信，特別是量子密鑰分配（QuantumKeyDistribution，QKD），已經從實驗階段向實際應用和產業(yè)化邁進。在國家網絡空間安全相關產業(yè)政策的推動下，QKD網絡規(guī)模和用戶對高安全保密通信產品的需求正在不斷增長。美國國土安全部在2016年提出了利用QKD網絡取代公鑰密碼基礎設施（PublickKeyInfrastructure，PKI）提供的所有密鑰服務的構想。因此，如何構建量子密鑰基礎設施及其管理系統(tǒng)將是量子通信技術實際應用的重要研究方向。QKD網絡系統(tǒng)通過對單光子或光場正則分量的量子態(tài)制備、傳輸和測量，在收發(fā)雙方間實現了無法被竊聽的安全密鑰共享，但僅在近距離（小于50km）端到端之間可以實現安全密鑰共享，在遠距離任意節(jié)點之間（中間經過多個節(jié)點）仍無法形成安全共享密鑰。這樣勢必對用戶獲取量子密鑰造成很多不便，也無法提供他們想要的密鑰資源，以完成業(yè)務信息的安全保護。這對量子密鑰的使用和推廣造成了極大障礙。本文試圖基于經典密碼管理系統(tǒng)建設，提出量子密鑰管理系統(tǒng)的體系結構，并借助QKD網絡，融合經典密碼技術，完成共享工作密鑰（包括點對點工作密鑰和組播工作密鑰）的安全分配。同時，設計量子密鑰分配中心（QuantumKeyDistributionCenter，QKDC）為應用設備提供量子密鑰服務。最后，本文提出量子密鑰管理系統(tǒng)當前所面臨的問題，以及進一步優(yōu)化和解決措施。１量子密鑰管理系統(tǒng)體系結構公鑰密碼技術已經成為網絡通信中保障信息安全的主要手段，但隨著量子計算機技術的不斷進步，基于數學計算難題的公鑰密碼算法的安全性將受到巨大威脅。相比之下，量子保密通信利用光量子的不可分割性和測不準原理，提供了更為安全可靠的密鑰分配方案。因此，建立量子密鑰基礎設施，為應用系統(tǒng)提供安全可靠的量子密鑰，已經成為量子通信技術實用化的重要研究方向。量子密鑰基礎設施的建設需要建立相應的量子密鑰管理系統(tǒng)。該系統(tǒng)融合了QKD網絡和經典密碼技術，從而實現安全分配點對點工作密鑰和組播工作密鑰。這將為電子政務應用等網絡系統(tǒng)提供更加可靠的安全保護。要建立量子密鑰管理系統(tǒng)，需要先構建其體系結構。在該框架下，需要設計系統(tǒng)組成，包括建立QKDC，為應用設備提供量子密鑰服務等。同時，類似柵格通信網絡綜合運維管理體系結構，量子密鑰管理系統(tǒng)需要實現相關功能，如密鑰生成、密鑰分配、密鑰更新、密鑰回收等。量子密鑰基礎設施及其管理系統(tǒng)的建設，對于推動量子通信技術的實用化和產業(yè)化具有重要意義。然而，當前仍存在一些問題需要解決，例如在多個節(jié)點之間共享的量子密鑰問題，如何保證量子密鑰的可靠性和長期安全性等問題。需要進一步研究和優(yōu)化，才能滿足用戶對于密鑰資源安全的需求。量子密鑰管理系統(tǒng)以量子密鑰資源分配為中心；自下而上的管理模式以用戶應用資源需求為中心；自上而下的管理方式以光網絡組網的特點為依托，以應用場景和實際安全需求為導向。量子密鑰管理系統(tǒng)體系結構如圖1所示。圖1量子密鑰管理系統(tǒng)體系結構量子密鑰管理系統(tǒng)體系結構包括用戶應用維度、管理功能維度和系統(tǒng)集成維度，3個不同維度描述量子密鑰管理系統(tǒng)的運行方式、管理活動與組織實施等要素。1.1用戶應用維度用戶應用維度是量子密鑰管理系統(tǒng)提供高安全分布式密鑰能力的集中體現，也是量子密鑰管理系統(tǒng)建設的主要依據。用戶應用維度從系統(tǒng)整體使用及服務角度，面向用戶應用需求，考慮不同管理功能在量子密鑰生命管理周期中的作用與定位，充分體現不同管理功能對量子密鑰管理與分配的貢獻，以及系統(tǒng)集成管理活動為量子密鑰管理系統(tǒng)的有效運行提供的技術保障能力。量子密鑰管理系統(tǒng)需要滿足不同用戶的差異性彈性管理需求。由于不同用戶所需密鑰量大小、時效性高低、提供的物理接口類別和不同地域互通關系等要素具有差異性，因而對量子密鑰管理系統(tǒng)提出了更高的服務要求。用戶使用需求的差異性，以及保障任務的多樣化需求，對量子密鑰管理系統(tǒng)的設計與部署提出了很高的要求。量子密鑰管理系統(tǒng)能夠為各類用戶互通需求進行網絡策略規(guī)劃管理，提供有效的技術保障手段，也能為各類應用提供柔性擴展、即插即用、按需服務和安全可靠的密鑰服務支撐環(huán)境。1.2管理功能維度量子密鑰管理系統(tǒng)完成網絡拓撲管理、狀態(tài)管理、策略配置管理、安全管理等網絡級設備管理，完成系統(tǒng)級量子密鑰資源分配與控制，實現基于互通策略的分布式業(yè)務管理能力，實現以用戶需求為服務導向的業(yè)務處理和密鑰分配管理。量子密鑰管理系統(tǒng)管理功能維度包括4層結構，分別是資源支撐層、管控信息傳輸層、密鑰分配管理層和設備管理層。（1）資源支撐層。資源支撐層的要素主要包括量子密鑰管理系統(tǒng)網絡承載層、傳輸層和服務層系統(tǒng)的通信設備和密碼設備，還包括物理硬件平臺和邏輯資源。這些要素是量子密鑰管理系統(tǒng)需要管理和服務的對象，量子密鑰管理系統(tǒng)的一個重要目標就是系統(tǒng)中各類要素能夠協調工作，發(fā)揮最大量子密鑰生成、分配和服務效能。（2）管控信息傳輸層。管控信息包含量子密鑰分配、網絡分配資源、管理等信息。管控信息傳輸層構建了量子密鑰管理系統(tǒng)各子系統(tǒng)之間、管理系統(tǒng)內部管理與被管對象間信息溝通的通道，也就是管控資源信息傳輸網。管控資源信息傳輸網是量子密鑰管理系統(tǒng)對管控信息、資源信息的安全傳送網絡，主要基于互聯網安全協議（InternetProtocolSecurity，IPSEC）密碼技術建立虛擬專用網絡（Virtual

PrivateNetwork，VPN）方式來實現。（3）密鑰分配管理層。密鑰分配管理層對用戶所需要量子密鑰資源進行管理，完成分布式密鑰資源的控制、管理和服務。密鑰分配管理層主要由相應的管理子系統(tǒng)實施，如點對點量子密鑰分配子系統(tǒng)、多點量子密鑰分配子系統(tǒng)、量子密鑰存儲管理子系統(tǒng)、量子密鑰下載管理子系統(tǒng)以及分布式同步管理子系統(tǒng)等。密鑰分配管理層直接面向設備網絡接口，完成設備間量子密鑰產生、分配、存儲、下載和服務等信息的安全傳輸和管理。（4）設備管理層。設備管理層實現面向全網設備的狀態(tài)監(jiān)視和分析，功能包括設備信息的注冊與操作、網絡設備間路由的信息采集與配置、基于互通關系的策略信息配置與管理、對進入黑名單設備的集中管理、密鑰分配性能的監(jiān)測與分析、設備故障信息的監(jiān)測與分析等。設備管理層通過管控信息傳輸層提供的網絡接口，實現系統(tǒng)中各型設備的集中統(tǒng)一管理，主要包括設備管理、路由管理、策略管理、黑名單管理和狀態(tài)管理等功能。1.3系統(tǒng)集成維度1.3.1面向服務的管理軟件集成框架由于量子密鑰管理系統(tǒng)的管理軟件較為復雜，因此劃分和設計好軟件系統(tǒng)的各種模塊，規(guī)約各模塊之間的功能接口是比較關鍵的。為滿足管理軟件易于功能擴展、方便系統(tǒng)升級與維護、增強軟件平臺化的設計目標，管理軟件體系架構需要具有良好的開放性、可擴展性，較好地適應需求的變更，而且有利于提高系統(tǒng)的開發(fā)效率，并且使得管理系統(tǒng)中各個模塊能獨立開發(fā)測試，更加方便集成和聯調。管理軟件集成框架設計包括管理軟件平臺設計、管理軟件插件接口設計和管理服務融合設計3部分內容。（1）管理軟件平臺設計管理軟件平臺是各種子系統(tǒng)軟件插件的運行平臺，也是各種功能插件的容器。管理軟件的設計以可擴展、開放架構為設計宗旨，提供統(tǒng)一的界面集成框架和服務集成框架，提供成熟的公共基礎構件，定義良好的接口規(guī)范和開發(fā)流程，設計統(tǒng)一的服務分配保障模式的用例，為不同設備及組件的管理插件集成提供良好的平臺。（2）管理軟件插件接口設計管理軟件插件是為不同功能設備或組件定制的管理功能模塊，以插件的形式集成到管理軟件平臺，通過統(tǒng)一的界面和管理模式實現對不同設備或組件的集中管理功能。平臺在界面集成框架和服務集成框架中集成插件，通過接口適配調用各種設備及組件的功能接口。（3）管理服務融合設計管理服務融合設計是實現量子密鑰管理系統(tǒng)的核心，是保障管理業(yè)務高效運轉的基礎，其通過管理服務的綜合集成，實現通用和專用的管理需求，支持多個已約定的管理流程，按需提供對應的管理功能。量子密鑰管理系統(tǒng)能夠在一個統(tǒng)一的體系結構框架下，通過裝配不同的組件和服務，形成各類不同定位的設備，可通過管理策略和服務策略的動態(tài)變化，適應不斷變化的網絡環(huán)境和用戶應用環(huán)境。比如對于經常接入和退出的用戶對象，管理系統(tǒng)需要動態(tài)獲取并調整其管理策略，方便用戶快捷獲取量子密鑰資源。1.3.2管理協同環(huán)境管理協同環(huán)境主要解決量子密鑰管理系統(tǒng)中管理和應用角色之間的協同工作問題，并涉及技術范疇和機制等范疇。傳統(tǒng)密碼密鑰管理系統(tǒng)具有嚴格的分層功能，密碼密鑰資源的分配需要層層把關，密碼嵌套關系強。相反，基于用戶應用的量子密鑰管理系統(tǒng)，雖然也按照管理、分配和服務來分層，但每層實現的功能和管理元素是不一樣的。管理層實現對策略的管理和分配，分配層在策略的引導下實現密鑰的分配，而服務層集中為用戶的需要提供密鑰服務。用戶需求信息分解為兩部分：一是互通關系的創(chuàng)建和調整，其通過管理層來實現，并通過策略下達的方式通知分配層；二是密鑰分配可達，其通過分配層根據策略來實現安全分配。因此，終端管理環(huán)境主要針對用戶需求而言，操作人員根據相關規(guī)范將其需求信息上報給組織協調環(huán)境中的管理者。組織協調環(huán)境主要針對整個系統(tǒng)中被管設備而言，包括其網絡配置信息和設備之間的依存互通關系。管理人員根據管理界面進行操作，建立互通關系和網絡可達路徑等管理元素，并生成策略，下達給相關被管設備。維護服務環(huán)境主要針對設備故障信息的處置手段和方法，操作人員從技術的角度來維護系統(tǒng)的正常工作。量子密鑰管理系統(tǒng)采用柔性管理機制，能夠依據光網絡部署需要或新增（或退出）用戶需求，靈活構成機動、固定或機固結合的管理子系統(tǒng)；覆蓋范圍可伸縮，能提高量子密鑰管理系統(tǒng)的靈活便利性、可擴展性和抗毀性，以及對不斷出現新的管理需求的適應能力，增強支持多用戶任務需求的靈活性。1.3.3安全防護子系統(tǒng)量子密鑰管理系統(tǒng)所產生的信息數據，包括量子域信息和經典域信息，量子域信息的安全基于量子物理原理保證；而經典域信息需要在外部公共網絡上傳輸，可能面臨木馬攻擊、重放攻擊、拒絕服務攻擊、信息被篡改等網絡攻擊的風險。因此，需要建立安全防護子系統(tǒng)，為量子密鑰管理系統(tǒng)保駕護航。安全防護子系統(tǒng)以經典密碼技術作為支撐。從單設備來看，各型裝備根據自身任務定位，需要采取不同保護措施，主要有接收初始化密碼資源、開機自檢和認證、頂級密鑰資源分割存儲、涉密及敏感信息需要加密存儲；從系統(tǒng)來看，在網絡上傳輸的信息需要有機密性和完整性保護，在網絡上交互數據的設備，需要具備網絡隔離等功能。２量子密鑰管理系統(tǒng)設備組成2.1量子密鑰管理系統(tǒng)組成邏輯量子密鑰管理系統(tǒng)從設備組成上分類，主要由量子密鑰管控中心（QuantumKeyManagementCenter，QKMC）、QKDC和量子路由器3類設備組成。從管理層次上看，可分為設備管控層和量子密鑰分配同步層。設備管控層可由多個QKMC組成，每一個QKMC設備可以形成相對獨立的管理域，量子密鑰分配同步層由多個QKDC和量子路由器設備組成，其組成邏輯如圖2所示。圖2量子密鑰管理系統(tǒng)設備組成邏輯設備管控層主要負責整個系統(tǒng)的設備信息注冊錄入，基于經典密碼體制的身份信息綁定和認證，以及為量子密鑰分配同步層中各型設備提供路由策略規(guī)劃和管控信息下發(fā)。量子密鑰分配同步層主要由QKDC和量子路由器兩類設備組成，其中QKDC又由多個功能模塊構成，主要實現共享工作密鑰的產生、分配、存儲、輸出等功能。2.2量子密鑰分配中心設計隨著QKD設備逐步小型化，可以與其他功能模塊集成到一個設備中去，共同完成密鑰產生、分配、存儲、分割、輸出等功能，為今后量子密鑰實用化打下堅實基礎。量子密鑰分配中心主要由如圖3所示的功能模塊組成。圖3量子密鑰分配中心模塊組成量子密鑰分配中心可以集成多個QKD，實現QKD網絡多路徑傳輸信息的功能。管理軟件包含多個功能模塊，完成協議交互、數據庫訪問、密鑰加密存儲和管理、訪問密碼中間件，完成加密、解密、簽名驗簽、計算雜湊值等經典密碼功能，以及為應用設備輸出共享工作密鑰資源服務。QKD通過光量子信道和經典IP信道，結合BB84協議等其他量子密鑰分配協議完成與其他QKD之間共享量子密鑰，為QKDC之間的共享工作密鑰提供加密保護。量子噪聲源發(fā)生器為管理軟件和QKD提供高質量隨機數以及密鑰素材。存儲器在管理軟件的控制下存儲QKD之間的端到端量子密鑰，以及QKDC之間的共享工作密鑰資源。接口板提供緊湊型外圍組件互聯（Compact

PeripheralComponentInterconnect，CPCI）插槽、RS232、網口等多種類物理接口，為多個模塊集成提供硬件平臺支撐。３量子密鑰管理系統(tǒng)應用原理應用系統(tǒng)中各設備節(jié)點間如果在公開網絡中需要交互涉密或者敏感數據時，需要有機密性、完整性等安全防護措施。應用系統(tǒng)可從量子密鑰管理系統(tǒng)中獲取到共享工作密鑰，充當“一次一密”的加密密鑰使用，可滿足上述安全要求。應用系統(tǒng)從量子密鑰管理系統(tǒng)獲取密鑰的工作原理如圖4所示。圖4量子密鑰應用工作原理圖4中任意QKDC之間通過網絡分配獲取到共享密鑰資源后，會根據應用設備需求來輸出，為應用設備提供互通密鑰保障。以應用設備A、應用設備B和應用設備C之間的共享工作密鑰獲取為例，介紹其工作原理。前提條件是A、B、C這3個應用設備都與對應的QKDC連接成功，應用設備A發(fā)起申請。（1）申請密鑰階段應用設備A向本端的QKDC-A發(fā)送申請密鑰命令，包含應用設備B和C的身份信息。QKDC-A接收到申請命令后，檢查應用設備A的身份信息是否合法，查詢管控策略中這3個應用設備是否允許互通，并將申請結果返回給應用設備A。（2）