一种用于金融证券网络的量子保密通信网关系统的制作方法
【专利摘要】本发明公开了一种用于金融证券网络的量子保密通信网关系统,该系统的DPI分析模块对网络数据流进行应用层分析,识别出各种应用的业务类型并提交给加密策略选择模块;加密策略选择模块进行基于策略的对不同安全级别的业务进行按照优先级的量子密钥加密或者传统密钥加密或者选择透明传输;网络透传或传统密钥加密模块进行无加密的透明传输或基于算法安全的传统加密算法进行加密;量子密钥加密模块进行量子加密传输。本发明实现对金融证券网络核心业务流量的区分和鉴别,对不同业务流量进行分级加密,依据加密策略选择量子密钥分发加密或传统加密方式,实现了金融证券网络的核心业务流量的量子保密通信,并兼顾了金融网络业务的传输效率。
【专利说明】—种用于金融证券网络的量子保密通信网关系统
【技术领域】
[0001]本发明属于保密通信【技术领域】,尤其涉及一种用于金融证券网络的量子保密通信网关系统。
【背景技术】
[0002]量子保密通信是在“海森堡测不准原理”和“量子不可克隆原理”之上逐渐形成的一种称为在物理上“绝对安全”的通信方式。量子保密通信以单量子态作为信息载体,由于单量子态具有无法被克隆,而且任何测量操作都会改变其量子态的特点,因此窃听者无法在不被发现的前提下获得任何有效信息。信息的合法接收者可以根据量子态的改变判断信道中存在窃听,从而保证通信过程的安全。因此这种高度安全的通信方式与传统的基于算法复杂性的加密方式相比拥有巨大优势,在国防,军事,政治,金融等各个领域都具有重要的研究价值。
[0003]上个世纪八十年代开始,C.H.Bennett和G.Brassard首次提出利用偏振光进行量子密钥分发的协议,将其称为BB84协议。在此之后又有科学家提出BB92,E91等方案。目前量子保密通信已经历了近30年的基础理论研究和安全性验证,实用化的时机已经成熟,也得到世界各国高度关注,促使其产业化的速度在加快。美国、欧洲、日本等发达国家已经开始了高速量子通信和大规模保密通信网络的探索,我国也将量子保密通信技术及其产业化发展列为重点科研项目进行研究。
[0004]在量子保密通信过程中,信息载体为单光子,考虑到单光子在光纤信道中的衰减及探测器探测效率以及量子密钥筛选纠错过程等原因,商用系统的通信量子密钥成码速率要明显低于高速的网络数据传输速率,这种局限性使得量子保密通信技术容易成为高速网络传输的瓶颈,这大大限制了量子保密通信的使用范围,对其实用化的发展进程也带来了阻碍。
[0005]近年来随着国家经济水平的快速发展,国内证券行业的进一步开放促使金融证券网络规模不断扩大,金融机构目前大多采用同步数字序列(SDH)和异步转移模式(ATM)等数据网络提供固定(虚拟)线路来连接需要通信的部门和分支机构。从内部网络流出的数据不加防范地在网际线路中穿行,给使用搭线窃听、电磁泄露等入侵手段的不法黑客以可趁之机随着金融电子化的不断发展,金融领域无论从资金业务到办公自动化等信息业务都越来越依赖于计算机网络。
[0006]目前在金融证券网络的加密方式主要使用传统密钥加密机或者VPN技术进行加密,采用前国际上常用的多种密码算法,这些算法都是基于算法复杂度的加密算法,VPN等技术密钥交换方式多数采用的因特网信息交换(IKE)方案,所使用的密钥都是在传统的网络上进行信息交换后经计算得到,这都使传输存在着很大的安全风险。量子密钥加密因为具有无条件安全性,通过量子密钥加密信道可以可靠的安全传输,但是目前主要的量子密钥分发过程中,量子密钥的生成速度和密钥量都是非常有限的,若用于金融证券网络中所有网络应用的高速传输,将很大程度上影响网络传输的效率,成为网络传输的瓶颈。因此迫切需要一种可以识别出金融证券网络中需要高度安全加密的业务流量,并采用量子加密与传统加密结合的技术,确保金融证券网络核心业务的高度安全性和高效的传输效率的技术。
【发明内容】
[0007]本发明实施例的目的在于提供一种用于金融证券网络的量子保密通信网关系统,旨在实现对金融证券网络核心业务流量的区分和鉴别,对不同业务流量进行分级加密,基于业务的安全级别,依据加密策略选择量子密钥分发加密或传统加密方式,实现金融证券网络的核心业务流量的量子保密通信,并兼顾金融网络业务的传输效率。
[0008]本发明实施例是这样实现的,一种用于金融证券网络的量子保密通信网关系统,该用于金融证券网络的量子保密通信网关系统包括:网络接入模块、DPI分析模块、加密策略选择模块、网络透传或传统加密模块、量子密钥加密模块、策略库;
[0009]网络接入模块,具有可扩展性网络接口选择的功能,根据实际网络布线的需要,板载多个PC1-E接口,通过转换模组连接各种广域网端接口和局域网端接口 ;
[0010]DPI分析模块,与网络接入模块连接,用于对网络数据流进行应用层分析,识别各种应用及其内容,不同应用的协议根据DPI进入模块的数据流进行业务分类,对于办公网络使用的常规业务应用以及金融和证券网络中的核心业务及交易业务进行区分标识,提交给加密策略选择模块;
[0011]加密策略选择模块,与DPI分析模块连接,用于根据金融证券网络中实际各种业务安全需求级别,以及量子加密模块量子密钥生成状态,根据用户事先在策略库中定义加密策略,将加密策略的优先级分为:必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级;
[0012]网络透传或传统密钥加密模块,与加密策略选择模块连接,用于根据加密策略选择模块提供的指令,对不需要进行加密的网络业务流量通过存储转发方式透明进行传输;对于需要采用基于算法安全的传统加密算法进行加密的流量通过DES,AES,3DES,0TP,RSA,IPSEC加密算法进行加密;
[0013]量子密钥加密模块,与加密策略选择模块连接,用于根据加密策略选择模块指令,通过量子链路与量子密钥分发设备进行协商,获取当前量子密钥数量以及量子密钥成码率,根据当前进行量子加密业务的密钥需求,进行判断协商,具备量子密钥分发的,进行量子加密传输,密钥不足或生成速度异常时,采用业务流量缓存及密钥库扩展技术保证量子保密通信的流畅传输;
[0014]策略库,与加密策略选择模块连接,用于定义加密策略。
[0015]进一步,广域网端接口,包括模拟、ISDNBR1、E1/T1/T1、GSM/WCDMA,接入金融证券网络广泛使用的SDH、ATM、PTN专用线路;局域网接口通过转换模组连接各种局域网接口,包括单模光纤接口、多模光纤接口、以及以太网RJ-45接口,可接入与局域网中的路由器、防火墙或交换机的网络设备连接。
[0016]进一步,DPI分析模块的具体实现方法:
[0017]DPI引擎启动后,根据网络中不同业务所使用的应用层协议类型、协议端口以及网络数据包中的荷载信息,利用特征提取算法对流量数据特征进行提取,特征提取包括了对应用协议类型、协议端口映射为对象的特征提取,也包括对数据包深层具体载荷为对象的特征提取,和针对网络流统计特征的特征提取,DPI引擎通过深度挖掘应用协议网络数据包中常出现的稳定的独特的特征字符串,特征字符串是用于标识网络通信协议特征码,通过全局特征向量Hash映射表与金融证券核心业务特征库进行匹配,识别出当前网络数据流是否属于金融证券网络中需要通过量子加密保证其高度安全性的核心业务流量,对于进行完业务分类的流量,属于金融证券网络核心业务。
[0018]进一步,判断流量特征与目标业务类特征相关度时采用信息论中的互信息并归一化后度量,流量特征与目标业务类的相关度表示为R(f,class),计算方法如下式:
[0019]
【权利要求】
1.一种用于金融证券网络的量子保密通信网关系统,其特征在于,该用于金融证券网络的量子保密通信网关系统包括:网络接入模块、DPI分析模块、加密策略选择模块、网络透传或传统加密模块、量子密钥加密模块、策略库; 网络接入模块,具有可扩展性网络接口选择的功能,根据实际网络布线的需要,板载多个PC1-E接口,通过转换模组连接各种广域网端接口和局域网端接口 ; DPI分析模块,与网络接入模块连接,用于对网络数据流进行深度数据包检测,通过对网络流量特征分析,识别网络流量中各种应用及其内容的指纹特征,根据进入DPI分析模块的数据流进行业务分类,对于办公网络使用的常规业务应用以及金融和证券网络中的核心业务及交易业务进行区分标识,提交给加密策略选择模块; 加密策略选择模块,与DPI分析模块连接,用于根据金融证券网络中实际各种业务安全需求级别,以及量子加密模块量子密钥生成状态,根据用户事先在策略库中定义加密策略,将加密策略的优先级分为:必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级; 网络透传或传统密钥加密模块,与加密策略选择模块连接,用于根据加密策略选择模块提供的指令,对不需要进行加密的网络业务流量通过存储转发方式透明进行传输;对于需要采用基于算法安全的传统加密算法进行加密的流量通过DES,AES,3DES,OTP, RSA,IPSEC加密算法进行加密; 量子密钥加密模块,与加密策略选择模块连接,用于根据加密策略选择模块指令,通过量子链路与量子密钥分发设备进行协商,获取当前量子密钥数量以及量子密钥成码率,根据当前进行量子加密业务的密钥需求,进行判断协商,具备量子密钥分发条件的,进行量子加密传输,密钥不足或生成速度异常时,采用业务流量缓存或密钥库扩展技术保证量子保密通信的流畅传输; 策略库,与加密策略选择模块连接,用于定义加密策略。
2.如权利要求1所述的用于金融证券网络的量子保密通信网关系统,其特征在于,广域网端接口,包括模拟、ISDNBR1、E1/T1/T1、GSM/WCDMA,接入金融证券网络广泛使用的SDH、ATM、PTN专用线路;局域网接口通过转换模组连接各种局域网接口,包括单模光纤接口、多模光纤接口、以及以太网RJ-45接口,可接入与局域网中的路由器、防火墙或交换机的网络设备连接。
3.如权利要求1所述的用于金融证券网络的量子保密通信网关系统,其特征在于,DPI分析模块的具体实现方法: DPI引擎启动后,根据网络中不同业务所使用的应用层协议类型、协议端口以及网络数据包中的荷载信息,利用特征提取算法对流量数据特征进行提取,特征提取包括了对应用协议类型、协议端口映射为对象的特征提取,也包括对数据包深层具体载荷为对象的特征提取,和针对网络流统计特征的特征提取,DPI引擎通过深度挖掘应用协议网络数据包中常出现的稳定的独特的特征字符串,特征字符串是用于标识网络通信协议特征码,通过全局特征向量Hash映射表与金融证券核心业务特征库进行匹配,识别出当前网络数据流是否属于金融证券网络中需要通过量子加密保证其高度安全性的核心业务流量,对于进行完业务分类的流量,有效的对是否属于金融证券网络核心业务进行标识。
4.如权利要求3所述的用于金融证券网络的量子保密通信网关系统,其特征在于,判断流量特征与目标业务类特征相关度时采用信息论中的互信息并归一化后度量,流量特征与目标业务类的相关度表示为R(f,class),计算方法如下式:
5.如权利要求1所述的用于金融证券网络的量子保密通信网关系统,其特征在于,补充加密策略选择模块的安全策略由安全管理员制定并存储于策略库中,用以对各种已经确定业务分类的流量进行不同级别的配置,以7元组形式表示为:
P=〈ID,BType, BLevel,EncyptPrior, QKDstatus, EncyptType, Forward) 其中ID为策略编号;BType为业务类型,BLevel为业务等级,EncyptPrior为加密优先级;QKDstatus为量子加密模块提供的当前量子密钥分发系统的状态,EncyptType为加密类型,Forward根据加密类型不同将业务流转发的目的模块,包括量子机密模块或者传统加密或网络透传或不加密模块; 由用户可以对金融证券网络中的各种核心业务及常规业务进行策略制定,举例如<0001,1,1, working:2M:50k, QEN, QM>表示一个量子密钥加密策略,序列号为1,业务类型为I类,用户自定义,例如I类表示某一种金融证券网络业务如某一类交易业务,业务级别I级,用户定义,表示当前业务需要的安全级别,别如I表示最高安全级别,当前通过量子加密模块获得的量子密钥分配系统的状态为:量子密钥分发系统工作正常,量子密钥finalkey的数量大于2M,量子密钥成码率大于50kbps ;选择量子密钥加密方式通信,将此业务流量转发至量子加密模块进行处理。
【文档编号】H04L12/66GK103916239SQ201410140308
【公开日】2014年7月9日 申请日期:2014年4月9日 优先权日:2014年4月9日
【发明者】韩家伟, 吴佳楠, 魏荣凯, 朱德新, 王士刚, 刘明辉, 盖永杰, 李念峰, 宋立军 申请人:长春大学