云計算背景下網(wǎng)絡安全技術實現(xiàn)路徑分析

◆朱湘寶 黃宇

（1.桂林信通科技有限公司 廣西 541004；2.南寧理工學院 廣西 541000）

量子保密通信是一種具有無條件安全性特征的網(wǎng)絡安全技術路徑，此項網(wǎng)絡安全技術路徑的實現(xiàn)需要依托于MDI-QKD 技術的應用，即量子密鑰分發(fā)技術的應用。實現(xiàn)MDI-QKD 這一網(wǎng)絡安全技術路徑，在理論上可規(guī)避云計算開放性特質帶來的網(wǎng)絡安全問題。基于此，對上述網(wǎng)絡安全技術實現(xiàn)路徑展開驗證分析，探討MDI-QKD 的可行性、有效性，為云計算網(wǎng)絡安全建設提供依據(jù)。

1 云計算背景下網(wǎng)絡安全技術實現(xiàn)路徑分析背景

在互聯(lián)網(wǎng)環(huán)境下，云計算的應用讓普通的用戶，得以在無須付出大量計算成本的情況下，獲取質量更高的計算資源，因此，一直以來，云計算技術都是信息技術領域的熱點技術。但事實上，云計算強大的開放性，使得網(wǎng)絡環(huán)境中存在嚴重的安全缺陷，影響了該技術的應用效果。在此背景下，人們提出了QKD，即量子密鑰分發(fā)的典型協(xié)議，其可以被定義為，一種通過通信雙方一起協(xié)商，來實現(xiàn)共享密鑰構建的過程，而該過程已經(jīng)被證實為是一種無條件安全的過程，從而能夠被有效運用到云計算網(wǎng)絡安全技術實現(xiàn)上。但由于實際應用時，所用的探測設備、信號源，均存在不完善性，導致該協(xié)議的應用效果難以達到雙方絕對安全的水平，而且其中的單光探測器，還容易遭受各類攻擊。此外，信號源的不完善也會成為攻擊的切入點，導致密鑰難以順利生成。為此，人們提出了MDI-QKD 協(xié)議，其能夠有效規(guī)避上述探測設備、信號源的不完善性問題，提高了網(wǎng)絡安全技術實施路徑的建設效果。由此，本文擬對基于MDI-QKD 的云計算網(wǎng)絡安全技術實施路徑展開分析，以歸納總結出更好的云計算網(wǎng)絡安全建設方案，希望能夠為云計算技術的普及應用提供參考。

2 云計算背景下網(wǎng)絡安全技術實現(xiàn)路徑分析過程

2.1 網(wǎng)絡安全技術路徑系統(tǒng)架構

MDI-QKD 系統(tǒng)的架構，如圖1 所示，主要是由三個部分組成，即Alice 端、BOb 端、Charie 端。其中，前兩個部分是編碼端，而最后一部分為探測端，這種結構讓該系統(tǒng)具有即插即用的特點，可以對系統(tǒng)應用中存在的雙折射效應進行自動補償，因此，該系統(tǒng)不需要工作者另外設置偏振校準系統(tǒng)，進行雙折射偏振調整，這是使得該系統(tǒng)在量子密鑰的生成中具有更大的應用優(yōu)勢。

圖1 MDI-QKD 系統(tǒng)架構

2.2 技術路徑實現(xiàn)流程

在云計算背景下，進行網(wǎng)絡安全技術實現(xiàn)時，MDI-QKD 系統(tǒng)的工作過程如下：

第一，生成光脈沖，在此過程中，IM1 會將Charlie 端發(fā)出的連續(xù)信號光予以強度調制處理，讓其轉化為脈沖信號光，然后BS1 會將該信號光分為兩路，并分別通過CIR2、CIR1 同時輸送對稱的Alice、Bob 端；第二，調制、監(jiān)測，上述程序完成后，Alice 端的F，即濾波器，會將信號光中無用的光學成分去除，再運用BS3，使其被分為兩路，一路輸送到編碼模塊，再經(jīng)過CIR3、PM1、IM2 的處理，完成誘騙態(tài)的調制，而另一路輸送到ID1 估計信號脈沖的PND，以用于監(jiān)測、應對特洛伊木馬攻擊；第三，脈沖編碼，待脈沖調制完畢后，脈沖會經(jīng)過CIR4、FM1 的預處理，到達編碼模塊。在編碼模塊中，不等臂干涉儀會將一個光脈沖，轉化為兩個既定時間間隔的脈沖，然后相位調制器，則會設定這兩個脈沖的相對相位參數(shù)，完成相位編碼。此后，脈沖還會被強度調制器予以通光、消光處理，由此完成時間編碼操作；第四，探測，待上述編碼操作完畢后，Att 則會對脈沖予以衰減處理，使其保持單光子水平，再將其輸送到Charie 端，然后該探測端的BS2，會干涉脈沖，使分別來自Bob 端、Alice 端的脈沖，保持相互對齊的狀態(tài)。此后，探測器再對被輸送來的脈沖予以探測處理，得到脈沖的貝爾態(tài)測量結果。然后，再用采集卡將測量輸出數(shù)據(jù)予以歸集，最后，探測端會根據(jù)實際情況，將所需的數(shù)據(jù)予以記錄，并使用公共信道，公示其選擇的編碼基；第五，篩選，待編碼基被公示后，若Bob 與Alice 端所選擇的編碼基為同一個，則需對該編碼基的比特位進行翻轉處理。在此情況下，若QBER，即平均量子誤碼率＜閾值，那么剩下的比特脈沖就是初始密鑰；第五，最終密鑰生成。運用兩個編碼端，對密鑰予以糾錯以及隱私放大處理，由此評估外界威脅能夠為密鑰帶來的影響，然后基于此，進行初始密鑰的最后處理，形成最終密鑰，用以保證云計算背景下的網(wǎng)絡安全。

2.3 技術路徑中同步單元的設計和實現(xiàn)

在技術路徑實現(xiàn)過程中，為了確保MDI-QKD 系統(tǒng)內的單光子探測器可以保持精準的運行狀態(tài)，需要把發(fā)射端的信號，準確地同步傳輸?shù)浇邮斩?，同時讓探測器檢測到的信號呈同步狀態(tài)，由此才能去除更多的暗計數(shù)，壓低誤碼率。由此可見，雙方信息的同步是MDI-QKD系統(tǒng)有效運行的基礎，而且同步信號準確性越高，該技術的使用性能就越好。為此，在技術實現(xiàn)過程中，需重點關注同步單元的設計和實現(xiàn)，以提高同步信號的準確性，增強云計算網(wǎng)絡安全技術路徑的建設效果。

在同步方案設計中，本文將信號激光器、同步激光器，均設置在了Charlie 處。在此背景下，BS 會將同步脈沖光轉化為兩路脈沖光，然后將脈沖光分別送入Bob、Alice 端，期間為了確保同步光和信號光所走過的路徑長度相同，還要運用波分復用器，將這兩種光導入同一根光纖中，同時，還要考慮兩種光的相互干擾問題，選用不同的波段進行光導入，并在兩個信號光脈沖之間，用同步光脈沖隔開。此外，考慮到兩個編碼端，都在FPGA 的控制下，所以，在同步光到達兩個編碼端處時，需要使用光電轉化器，將光轉化為電脈沖，再送到FPGA 處，使其能夠順利落實脈沖編碼操作。待編碼完畢后，還要對脈沖予以延時處理，讓兩個編碼端的信號光能夠在探測端實現(xiàn)完美干涉。此后，再將電脈沖重新轉化為光脈沖，并進行二次編碼，然后借助CWDM 將其與信號光傳輸?shù)教綔y端。但由于探測端的探測器僅支持電信號，所以，應使用轉換器將光信號轉換為電信號，再用探測器探測。此后再使用采集卡，歸集探測器輸出的信號，由此完成同步[1]。

在同步設計的實現(xiàn)上，根據(jù)上述設計，首先，應當先生成同步脈沖信號。通常來說，使用電信號，進行窄脈沖驅動激光二極管，即可形成同步脈沖信號。人們通過將正向電流輸送到激光二極管中，并讓電流超出二極管的電流閾值，就能夠使活性層中出現(xiàn)粒子反轉的情況，由此賦予活性層物質一定的輻射能力，再借助該物質生成激光[2]。在此過程中，為了順利、完整地在激光上加載窄脈沖，需要先讓小于二極管閾值的電流流過二極管，待窄脈沖加載后，即可形成相應的光功率。在同步脈沖信號的生成上，考慮到根據(jù)上述設計，需要用波分復用器，將信號光、同步光傳輸?shù)酵桓饫w中，因此，為了降低相互干擾，可以使用1570nm 的波段傳輸同步光，并使用1550nm 的波段傳輸信號光[3]。從脈沖的寬度上來看，探測端的探測器門寬，不會限制同步激光器。但為了避免信號光對同步光產生干擾，需確保同步光在無泄漏的情況下，寬度盡量減小。為此，可以將信號光寬度設置為2.5ns、同步光設置為20ns。

其次，需要做好同步脈沖延時調節(jié)實現(xiàn)操作。在技術路徑設計的實現(xiàn)中，此項操作環(huán)節(jié)的主要目的是，確保兩個編碼端的第i 個脈沖，可以同時到達探測端，完成干涉[4]。其中，i 為正整數(shù)。但實際上，云計算場景中，經(jīng)常會出現(xiàn)兩個編碼端到探測端的距離存在差異的情況，這使得i 個脈沖到達探測端的時間也不同，因此，為了確保兩個i 脈沖能夠一同到達探測端，則應先測量兩個脈沖達到探測端的時間，測量時間差，再基于此，進行脈沖延時調節(jié)操作，即可保證兩個脈沖的同步到達。但在此過程中，所用激光器的發(fā)射功率對測量存在限制，而且在一定時間內，能夠積累的光計數(shù)也比較少，這使得系統(tǒng)無法在短時間內，計算出脈沖延遲所需的精度為皮秒的延遲位置。為此，可以同時使用精測量、粗測量兩種測量方式，以獲得較高的延時差測量結果，滿足技術路徑的實現(xiàn)需求[5]。

在測量過程中，相應的示意圖如圖2。一般來說，時間差應當包括，BS，即光分數(shù)器到兩個SPD，即探測器的時間差，以及兩個編碼端，即Alice、Bob 到BS 的時間差。其中，BS 到SPD 的時間差為，Δt1=(t1+t2) -(t1+t3)(t2＞t3)。而兩個編碼端到BS 的時間差為，Δt1=(t1+t2) -(t1+t4)(t1＞t4)，然后采用精測量、粗測量兩種方式，按照上述兩個公式，分別測出時間差，再按照該時間差，進行延時調整，以保證脈沖的同步到達。此后，還要構建出配套的延時電路，并選擇精密延時發(fā)生器，且要保證該發(fā)生器，支持數(shù)字編程控制，以更精準地實現(xiàn)對脈沖的延遲調節(jié)。

圖2 測量示意圖

最后，在同步單元實現(xiàn)中，還要構建出同步脈沖出發(fā)單光子探測器工作體系，以及采集卡工作體系，讓密鑰得以順利生成。在此過程中，需要待脈沖到達探測端之后，用光電轉化器對其進行處理，使其成為電脈沖，再將其放大，轉變成為TTL 標準電平。此后，將標準電平劃分為三路，分別送入SPD1、SPD2 這兩個探測器，以及采集卡處。但為了確保信號光被送達時，探測門能夠及時開啟，還要在放大器與探測器、采集卡之間，設置延遲芯片，以確保探測器能夠精準地探測到脈沖?？紤]到探測器得出的探測結果是以模擬信號的形式呈現(xiàn)的，而計算機只能識別和處理數(shù)字信號，所以，當探測器完成輸出后，還要將輸出的信號轉化為數(shù)字信號。為此，需要使用采集卡，作為信號轉化裝置。在此過程中，為了保證采集卡能夠精準、完整地采集探測器的輸出數(shù)據(jù)，應在時閾上，保持采樣信號、數(shù)據(jù)信號的一致性，而且還要讓采樣脈沖稍窄、數(shù)據(jù)脈沖稍寬，以便于能夠將采樣位置定位在數(shù)據(jù)信號的終點附近，由此得到更為完整的數(shù)據(jù)信號，促進密鑰的順利生成，保證云計算應用過程中的網(wǎng)絡安全，落實網(wǎng)絡安全技術路徑。

2.4 技術實現(xiàn)路徑的試驗驗證結果與分析

為了驗證上述網(wǎng)絡安全技術實現(xiàn)路徑的可行性，研究者在實驗室搭設了相應的試驗平臺，對上述技術實現(xiàn)路徑進行了建設和運行。運行結果顯示，MDI-QKD 系統(tǒng)在進行同步單元通信期間，借助精準的時延調節(jié)，在探測端，成功地讓兩個編碼端的信號脈沖，呈現(xiàn)出了貝爾泰干涉現(xiàn)象，而且經(jīng)過干涉處理后，探測器所輸出的測量結果，被采集卡精準采集，然后探測端又結合采集卡內數(shù)據(jù)的現(xiàn)狀，篩選出了成功的結果，并將該結果通過公共信道，加以公布，最后，被公布的結果經(jīng)過后處理環(huán)節(jié)，成功形成了最終密鑰，達到了MDI-QKD 這一網(wǎng)絡安全技術路徑的預期實現(xiàn)效果。由此可見，上述技術實現(xiàn)路徑可行，能夠有效保證云計算背景下的網(wǎng)絡信息安全。此外，經(jīng)過試驗觀察，研究者發(fā)現(xiàn)，當溫度變化時，干涉儀中的脈沖可能會引入新的相位差，提高誤碼率，影響干涉效果，同時，兩個編碼端的干涉儀不同，也會讓技術的實現(xiàn)面臨路徑不一致的問題，增加誤碼率，因此，在技術實現(xiàn)路徑建設中，應當關注環(huán)境溫度，并采取有效措施保持環(huán)境溫度的穩(wěn)定性，而且也要為兩個編碼端，即Alice、Bob 端，選用相同的干涉儀，由此，深入優(yōu)化技術實現(xiàn)路徑的運行效果，保證網(wǎng)絡安全技術的使用性能水平能夠達到預期。

3 討論

在云計算背景下，MDI-QKD 技術是一種無條件安全的網(wǎng)絡安全技術，而根據(jù)上文關于該技術實現(xiàn)路徑的論述可知，該技術具有有效的技術實現(xiàn)路徑，可行性滿足推廣使用需求。因此，為了推動云計算技術的發(fā)展，提升各領域的信息化建設水平，可以將此項技術作為一項重點推廣的網(wǎng)絡安全技術，并結合現(xiàn)有的云計算技術應用場景情況，不斷完善配套的技術實現(xiàn)路徑方案，讓此項技術具備更強的可行性優(yōu)勢，由此充分發(fā)揮此項網(wǎng)絡安全技術的效能，推動大數(shù)據(jù)時代的發(fā)展。

綜上所述，順利實現(xiàn)網(wǎng)絡安全技術實現(xiàn)路徑，能夠為云計算的推廣應用提供良好條件。經(jīng)過上述技術實現(xiàn)路徑分析，可以看出，MDI-QKD 技術具有良好的適用性，通過對該技術進行合理的應用設計和實踐操作，能夠順利落實云計算網(wǎng)絡安全技術實現(xiàn)路徑建設，保證數(shù)據(jù)通信傳輸?shù)陌踩?，深入?yōu)化云計算技術的使用性能。