云計算背景下網絡安全技術實現路徑分析

◆朱湘寶 黃宇

（1.桂林信通科技有限公司 廣西 541004；2.南寧理工學院 廣西 541000）

量子保密通信是一種具有無條件安全性特征的網絡安全技術路徑，此項網絡安全技術路徑的實現需要依托于MDI-QKD 技術的應用，即量子密鑰分發技術的應用。實現MDI-QKD 這一網絡安全技術路徑，在理論上可規避云計算開放性特質帶來的網絡安全問題?；诖?，對上述網絡安全技術實現路徑展開驗證分析，探討MDI-QKD 的可行性、有效性，為云計算網絡安全建設提供依據。

1 云計算背景下網絡安全技術實現路徑分析背景

在互聯網環境下，云計算的應用讓普通的用戶，得以在無須付出大量計算成本的情況下，獲取質量更高的計算資源，因此，一直以來，云計算技術都是信息技術領域的熱點技術。但事實上，云計算強大的開放性，使得網絡環境中存在嚴重的安全缺陷，影響了該技術的應用效果。在此背景下，人們提出了QKD，即量子密鑰分發的典型協議，其可以被定義為，一種通過通信雙方一起協商，來實現共享密鑰構建的過程，而該過程已經被證實為是一種無條件安全的過程，從而能夠被有效運用到云計算網絡安全技術實現上。但由于實際應用時，所用的探測設備、信號源，均存在不完善性，導致該協議的應用效果難以達到雙方絕對安全的水平，而且其中的單光探測器，還容易遭受各類攻擊。此外，信號源的不完善也會成為攻擊的切入點，導致密鑰難以順利生成。為此，人們提出了MDI-QKD 協議，其能夠有效規避上述探測設備、信號源的不完善性問題，提高了網絡安全技術實施路徑的建設效果。由此，本文擬對基于MDI-QKD 的云計算網絡安全技術實施路徑展開分析，以歸納總結出更好的云計算網絡安全建設方案，希望能夠為云計算技術的普及應用提供參考。

2 云計算背景下網絡安全技術實現路徑分析過程

2.1 網絡安全技術路徑系統架構

MDI-QKD 系統的架構，如圖1 所示，主要是由三個部分組成，即Alice 端、BOb 端、Charie 端。其中，前兩個部分是編碼端，而最后一部分為探測端，這種結構讓該系統具有即插即用的特點，可以對系統應用中存在的雙折射效應進行自動補償，因此，該系統不需要工作者另外設置偏振校準系統，進行雙折射偏振調整，這是使得該系統在量子密鑰的生成中具有更大的應用優勢。

圖1 MDI-QKD 系統架構

2.2 技術路徑實現流程

在云計算背景下，進行網絡安全技術實現時，MDI-QKD 系統的工作過程如下：

第一，生成光脈沖，在此過程中，IM1 會將Charlie 端發出的連續信號光予以強度調制處理，讓其轉化為脈沖信號光，然后BS1 會將該信號光分為兩路，并分別通過CIR2、CIR1 同時輸送對稱的Alice、Bob 端；第二，調制、監測，上述程序完成后，Alice 端的F，即濾波器，會將信號光中無用的光學成分去除，再運用BS3，使其被分為兩路，一路輸送到編碼模塊，再經過CIR3、PM1、IM2 的處理，完成誘騙態的調制，而另一路輸送到ID1 估計信號脈沖的PND，以用于監測、應對特洛伊木馬攻擊；第三，脈沖編碼，待脈沖調制完畢后，脈沖會經過CIR4、FM1 的預處理，到達編碼模塊。在編碼模塊中，不等臂干涉儀會將一個光脈沖，轉化為兩個既定時間間隔的脈沖，然后相位調制器，則會設定這兩個脈沖的相對相位參數，完成相位編碼。此后，脈沖還會被強度調制器予以通光、消光處理，由此完成時間編碼操作；第四，探測，待上述編碼操作完畢后，Att 則會對脈沖予以衰減處理，使其保持單光子水平，再將其輸送到Charie 端，然后該探測端的BS2，會干涉脈沖，使分別來自Bob 端、Alice 端的脈沖，保持相互對齊的狀態。此后，探測器再對被輸送來的脈沖予以探測處理，得到脈沖的貝爾態測量結果。然后，再用采集卡將測量輸出數據予以歸集，最后，探測端會根據實際情況，將所需的數據予以記錄，并使用公共信道，公示其選擇的編碼基；第五，篩選，待編碼基被公示后，若Bob 與Alice 端所選擇的編碼基為同一個，則需對該編碼基的比特位進行翻轉處理。在此情況下，若QBER，即平均量子誤碼率＜閾值，那么剩下的比特脈沖就是初始密鑰；第五，最終密鑰生成。運用兩個編碼端，對密鑰予以糾錯以及隱私放大處理，由此評估外界威脅能夠為密鑰帶來的影響，然后基于此，進行初始密鑰的最后處理，形成最終密鑰，用以保證云計算背景下的網絡安全。

2.3 技術路徑中同步單元的設計和實現

在技術路徑實現過程中，為了確保MDI-QKD 系統內的單光子探測器可以保持精準的運行狀態，需要把發射端的信號，準確地同步傳輸到接收端，同時讓探測器檢測到的信號呈同步狀態，由此才能去除更多的暗計數，壓低誤碼率。由此可見，雙方信息的同步是MDI-QKD系統有效運行的基礎，而且同步信號準確性越高，該技術的使用性能就越好。為此，在技術實現過程中，需重點關注同步單元的設計和實現，以提高同步信號的準確性，增強云計算網絡安全技術路徑的建設效果。

在同步方案設計中，本文將信號激光器、同步激光器，均設置在了Charlie 處。在此背景下，BS 會將同步脈沖光轉化為兩路脈沖光，然后將脈沖光分別送入Bob、Alice 端，期間為了確保同步光和信號光所走過的路徑長度相同，還要運用波分復用器，將這兩種光導入同一根光纖中，同時，還要考慮兩種光的相互干擾問題，選用不同的波段進行光導入，并在兩個信號光脈沖之間，用同步光脈沖隔開。此外，考慮到兩個編碼端，都在FPGA 的控制下，所以，在同步光到達兩個編碼端處時，需要使用光電轉化器，將光轉化為電脈沖，再送到FPGA 處，使其能夠順利落實脈沖編碼操作。待編碼完畢后，還要對脈沖予以延時處理，讓兩個編碼端的信號光能夠在探測端實現完美干涉。此后，再將電脈沖重新轉化為光脈沖，并進行二次編碼，然后借助CWDM 將其與信號光傳輸到探測端。但由于探測端的探測器僅支持電信號，所以，應使用轉換器將光信號轉換為電信號，再用探測器探測。此后再使用采集卡，歸集探測器輸出的信號，由此完成同步[1]。

在同步設計的實現上，根據上述設計，首先，應當先生成同步脈沖信號。通常來說，使用電信號，進行窄脈沖驅動激光二極管，即可形成同步脈沖信號。人們通過將正向電流輸送到激光二極管中，并讓電流超出二極管的電流閾值，就能夠使活性層中出現粒子反轉的情況，由此賦予活性層物質一定的輻射能力，再借助該物質生成激光[2]。在此過程中，為了順利、完整地在激光上加載窄脈沖，需要先讓小于二極管閾值的電流流過二極管，待窄脈沖加載后，即可形成相應的光功率。在同步脈沖信號的生成上，考慮到根據上述設計，需要用波分復用器，將信號光、同步光傳輸到同一根光纖中，因此，為了降低相互干擾，可以使用1570nm 的波段傳輸同步光，并使用1550nm 的波段傳輸信號光[3]。從脈沖的寬度上來看，探測端的探測器門寬，不會限制同步激光器。但為了避免信號光對同步光產生干擾，需確保同步光在無泄漏的情況下，寬度盡量減小。為此，可以將信號光寬度設置為2.5ns、同步光設置為20ns。

其次，需要做好同步脈沖延時調節實現操作。在技術路徑設計的實現中，此項操作環節的主要目的是，確保兩個編碼端的第i 個脈沖，可以同時到達探測端，完成干涉[4]。其中，i 為正整數。但實際上，云計算場景中，經常會出現兩個編碼端到探測端的距離存在差異的情況，這使得i 個脈沖到達探測端的時間也不同，因此，為了確保兩個i 脈沖能夠一同到達探測端，則應先測量兩個脈沖達到探測端的時間，測量時間差，再基于此，進行脈沖延時調節操作，即可保證兩個脈沖的同步到達。但在此過程中，所用激光器的發射功率對測量存在限制，而且在一定時間內，能夠積累的光計數也比較少，這使得系統無法在短時間內，計算出脈沖延遲所需的精度為皮秒的延遲位置。為此，可以同時使用精測量、粗測量兩種測量方式，以獲得較高的延時差測量結果，滿足技術路徑的實現需求[5]。

在測量過程中，相應的示意圖如圖2。一般來說，時間差應當包括，BS，即光分數器到兩個SPD，即探測器的時間差，以及兩個編碼端，即Alice、Bob 到BS 的時間差。其中，BS 到SPD 的時間差為，Δt1=(t1+t2) -(t1+t3)(t2＞t3)。而兩個編碼端到BS 的時間差為，Δt1=(t1+t2) -(t1+t4)(t1＞t4)，然后采用精測量、粗測量兩種方式，按照上述兩個公式，分別測出時間差，再按照該時間差，進行延時調整，以保證脈沖的同步到達。此后，還要構建出配套的延時電路，并選擇精密延時發生器，且要保證該發生器，支持數字編程控制，以更精準地實現對脈沖的延遲調節。

圖2 測量示意圖

最后，在同步單元實現中，還要構建出同步脈沖出發單光子探測器工作體系，以及采集卡工作體系，讓密鑰得以順利生成。在此過程中，需要待脈沖到達探測端之后，用光電轉化器對其進行處理，使其成為電脈沖，再將其放大，轉變成為TTL 標準電平。此后，將標準電平劃分為三路，分別送入SPD1、SPD2 這兩個探測器，以及采集卡處。但為了確保信號光被送達時，探測門能夠及時開啟，還要在放大器與探測器、采集卡之間，設置延遲芯片，以確保探測器能夠精準地探測到脈沖?？紤]到探測器得出的探測結果是以模擬信號的形式呈現的，而計算機只能識別和處理數字信號，所以，當探測器完成輸出后，還要將輸出的信號轉化為數字信號。為此，需要使用采集卡，作為信號轉化裝置。在此過程中，為了保證采集卡能夠精準、完整地采集探測器的輸出數據，應在時閾上，保持采樣信號、數據信號的一致性，而且還要讓采樣脈沖稍窄、數據脈沖稍寬，以便于能夠將采樣位置定位在數據信號的終點附近，由此得到更為完整的數據信號，促進密鑰的順利生成，保證云計算應用過程中的網絡安全，落實網絡安全技術路徑。

2.4 技術實現路徑的試驗驗證結果與分析

為了驗證上述網絡安全技術實現路徑的可行性，研究者在實驗室搭設了相應的試驗平臺，對上述技術實現路徑進行了建設和運行。運行結果顯示，MDI-QKD 系統在進行同步單元通信期間，借助精準的時延調節，在探測端，成功地讓兩個編碼端的信號脈沖，呈現出了貝爾泰干涉現象，而且經過干涉處理后，探測器所輸出的測量結果，被采集卡精準采集，然后探測端又結合采集卡內數據的現狀，篩選出了成功的結果，并將該結果通過公共信道，加以公布，最后，被公布的結果經過后處理環節，成功形成了最終密鑰，達到了MDI-QKD 這一網絡安全技術路徑的預期實現效果。由此可見，上述技術實現路徑可行，能夠有效保證云計算背景下的網絡信息安全。此外，經過試驗觀察，研究者發現，當溫度變化時，干涉儀中的脈沖可能會引入新的相位差，提高誤碼率，影響干涉效果，同時，兩個編碼端的干涉儀不同，也會讓技術的實現面臨路徑不一致的問題，增加誤碼率，因此，在技術實現路徑建設中，應當關注環境溫度，并采取有效措施保持環境溫度的穩定性，而且也要為兩個編碼端，即Alice、Bob 端，選用相同的干涉儀，由此，深入優化技術實現路徑的運行效果，保證網絡安全技術的使用性能水平能夠達到預期。

3 討論

在云計算背景下，MDI-QKD 技術是一種無條件安全的網絡安全技術，而根據上文關于該技術實現路徑的論述可知，該技術具有有效的技術實現路徑，可行性滿足推廣使用需求。因此，為了推動云計算技術的發展，提升各領域的信息化建設水平，可以將此項技術作為一項重點推廣的網絡安全技術，并結合現有的云計算技術應用場景情況，不斷完善配套的技術實現路徑方案，讓此項技術具備更強的可行性優勢，由此充分發揮此項網絡安全技術的效能，推動大數據時代的發展。

綜上所述，順利實現網絡安全技術實現路徑，能夠為云計算的推廣應用提供良好條件。經過上述技術實現路徑分析，可以看出，MDI-QKD 技術具有良好的適用性，通過對該技術進行合理的應用設計和實踐操作，能夠順利落實云計算網絡安全技術實現路徑建設，保證數據通信傳輸的安全性，深入優化云計算技術的使用性能。