45天、46公里、100 Gbps！摩根大通建立量子安全加密网络

5月8日，摩根大通（JPMorgan Chase）宣称已成功实施了高速量子安全加密敏捷网络（Q-CAN），通过在已部署的光纤连接两个数据中心的基础上，第三个量子节点也已经建立，目前作为测试适用于银行和金融的下一代量子技术的研究平台。该Q-CAN的一个关键亮点是成功使用量子密钥分发（QKD）来保护多个独立的高速虚拟专用网络（VPN），这些网络遍历连接数据中心的单个100 Gbps光纤。

“我们正在投资量子安全，以帮助确保我们在量子技术成熟时做好准备。我们正在准备一种双重补救策略，将后量子密码学和QKD结合起来，”摩根大通全球首席信息官Lori Beer说，“这种高速量子安全加密敏捷网络的部署可以实现超越安全密钥交换的新型安全功能。重要的是，通过这一新开发，我们已经将QKD带出了实验室，并证明了它可以在金融服务的生产级环境中支持高速专用网络。”

该量子网络扩展了之前由摩根大通、东芝和Ciena领导的QKD工作，这些工作首次展示了如何构建能够支持关键任务应用的量子光子技术。这项工作为量子时代的信息安全带来了巨大的希望。

摩根大通首次展示了使用量子密钥分发（QKD）技术保护的量子安全高速100Gbps点对点IPsec隧道。该演示在两个摩根大通数据中心（DC）之间进行，在新加坡部署的46公里电信光纤的气隙环境中进行，实现了45天的连续运行。QKD系统在整个测试期间都很稳定。

上图即横跨新加坡的城域网中点对点46公里QKD链路。两个节点DC 1和DC 2通过地下电信单模光纤（绿线）直接连接。机架图描绘了部署在每个数据中心的设备。

其实验测试平台，如下图所示，包括三个不同的层，量子层（绿色）、控制和管理层（橙色）和数据层（蓝色）：

实验中，科学家们测试了两种不同的虚拟专用网（VPN）隧道配置：

- QKD保护的VPN隧道配置，最大吞吐量为80 Gbps;

- 多VPN隧道配置，显示12条QKD保护的VPN隧道，每条隧道吞吐量为8.39 Gbps，所有隧道的总吞吐量为99.62 Gbps。

前者是单个VPN隧道，后者是12个并发VPN隧道。

对于QKD系统性能，他们实现了7.4 kbps的平均密钥速率（SKR）（大约每秒29个AES-256个密钥），平均量子比特误码率（QBER）为0.8%，平均可见性为98.6%。

利用ETSI-QKD-014基于rest的应用程序编程接口（API）在QKD系统中的密钥管理服务器和下一代防火墙之间交换QKD生成的密钥，从而对数据进行加密和解密。数据使用AES-256-GCM密码套件进行量子安全密钥加密，密钥刷新率为120秒，不影响VPN隧道的连通性和性能。

他们还设法在24小时内（约173 Gbps）通过VPN隧道传输1310亿个数据包，带宽约为15 Pbits，使用QKD衍生密钥使用AES-256-GCM密码套件加密数据。我们在单隧道配置中实现了80Gbps的总吞吐量，在多隧道配置中实现了99.62 Gbps的总吞吐量。这种吞吐量支持用于不同实际行业用例的站点到站点VPN隧道，例如在本地位置（数据中心到数据中心，或数据中心到办公室）之间、本地位置和云服务提供商之间，以及保护无线接入网络和骨干核心网络之间的流量。

通过分析SKR、QBER和可见性来展示QKD系统的稳定性。还跨不同层共享由FortiTester生成的未加密数据的参数。最后为单隧道和多隧道配置提供了VPN隧道吞吐量（加密数据通道）。

通过测量两个数据中心之间45天的SKR、QBER和可见性来评估QKD系统的性能和稳定性。如图3所示，基于超过290,000个数据点，实现了7.4 kbps的平均SKR（大约每秒29个AES-256个密钥），平均QBER为0.8%，平均可见性为98.6%。

如图所示，QKD系统性能及稳定性超过45天。密钥率（蓝色实线）、量子误码率（红色虚线）和可见性（绿色虚线）。

表1显示了FortiTester流量生成器在一秒钟内测量的未加密数据通道（图2中红色部分）的流量生成器测量值。他们收集了第2、3和4层的流量数据，运行了24小时的压力测试，然而，我们只在表1中包含了一秒钟的测量结果。在第3层，客户端和接收端在一秒钟内发送和接收了超过150万个数据包，并且没有丢弃任何数据包。最后，在第4层，NGFW每秒同时处理超过12000个UDP通信流。在整个24小时内，第二层共发送了15pb的数据，第三层共发送了1310亿个数据包，丢包量小于2万个，丢包率小于2×10^−7。

科学家们利用ETSI-QKD-014 API为NGFW提供QKD密钥，用于加密密钥的推导，单配置和多配置的加密密钥刷新率分别为120秒和0.03%，QKD密钥消耗率分别为0.3%。VPN隧道的稳定性、大量的QKD密钥和畅通的VPN隧道吞吐量支持这样的发现：在这种部署中，QKD集成在不牺牲性能的情况下实现了增强的安全性。

量子密钥分发（QKD）技术是量子安全基础设施的一种有前景的解决方案。它利用量子力学定律在嵌入不可信光网络中的经过身份验证的用户之间分发秘密对称密钥。这些密钥可用于数据加密，从而保护敏感信息免受未经授权的各方的侵害。

近年来，QKD网络的规模和可行性迅速增长，从2004年基于实验室的实验台发展到在世界各地部署的光纤上进行的现场试验。剑桥QKD网络是全市范围QKD网络的一个示例，该网络在已部署的光纤上运行，该光纤已填充了使用密集波分复用（DWPM）技术启用的高带宽数据流量。

该网络利用量子密钥分发技术，在现有光纤网络中提供宽带量子密钥传输，有效的量子密钥传递和无缝的用户交互。剑桥量子网络展示了在城域光纤网络中实施量子安全性的明确途径，能够支持数以万计的用户，每个用户的关键速率超过每秒1 kbps（kbps），并且使用快速刷新的量子密钥对100 Gbps的同时数据流量进行加密。此外，该网络还展现了对链路中断的弹性，通过高QKD链路速率和网络链路冗余来支持网络的抗干扰能力。

QKD与IPsec的集成通过将强大的加密与抗量子密钥交换相结合，显着增强了网络安全性，确保敏感数据的机密性和完整性，并在不断变化的威胁环境中抵御新兴的经典和量子攻击者。

摩根大通成功实施量子安全网络是领域内的一个重要里程碑。它展示了QKD技术的实际可用性及其与开放系统互连（OSI）模型不同层的集成和兼容性。

随着量子技术的不断成熟，量子安全在保护敏感信息和基础设施方面的重要性怎么强调也不为过。面对新兴的经典和量子威胁，量子安全网络的开发和部署将在确保数据的机密性和完整性方面发挥至关重要的作用。

参考链接：

[1]https://www.jpmorgan.com/technology/news/firm-establishes-quantum-secured-crypto-agile-network

[3]https://arxiv.org/abs/2405.04415

[2]https://www.nature.com/articles/s41534-019-0221-4?utm_source=xmol&utm_medium=affiliate&utm_content=meta&utm_campaign=DDCN_1_GL01_metadata

声明：本文来自光子盒，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。