一种以机场为区域中心的量子密钥服务网络与方法与流程

文档序号:17817081发布日期:2019-06-05 21:51
一种以机场为区域中心的量子密钥服务网络与方法与流程

本发明涉及利用量子通信网络和互联网进行量子密钥服务的技术领域,尤其涉及一种以机场为区域中心的量子密钥服务网络与方法。



背景技术:

量子密钥分发(QKD)是通过量子信道进行安全的密钥分发的新型方法。QKD基于量子态不可精确克隆等量子力学原理,能够实现无条件安全的量子密钥分发。但是,由于QKD网络需要专用的光纤信道,不落地量子中继技术和量子路由存在技术困难,复杂拓扑结构的量子网络的铺设和维护都很难,并且造价昂贵。实际上,量子通信网络的核心功能是为用户提供量子密钥服务,利用有中心的网络具有服务方便和快捷的优点,并且符合国家网络安全管控策略,有利于国家、企业和机构对敏感信息的管控。在目前的技术条件下,利用飞机进行远程递送服务具有更高的性价比和效率,以机场为中心构建量子密钥服务网络既能提升机场业务网络的安全性,又能方便地为高端商务旅行人士提供量子密钥接入服务。以机场为区域中心构建覆盖全国的量子密钥服务网络平台具有很好的技术可行性和广阔的应用市场。



技术实现要素:

为了克服组建规模量子通信网络的技术难题并实现安全、高效和高性价比的量子密钥服务,本发明提供了一种以机场为区域中心的量子密钥服务网络,其特征在于,包括但不限于一个或多个机场量子通信子网和机场量子通信子网之间的安全通道;其中,所述机场量子通信子网包括但不限于一个量子中心节点、多个量子服务节点,连接量子中心节点与量子服务节点的量子光纤信道和公共通信网络;所述量子中心节点包括但不限于多个QKD系统的发送端或/和接收端(多路之间可以通过矩阵光开关进行切换,以达到复用发送端或接收端的目的)、量子随机数发生器模块、密码管理服务器(可以针对不同的业务网络设置相互逻辑隔离的多个密码管理服务器)、量子密钥存储服务器(可以针对不同的业务网络设置相互逻辑隔离的多个量子密钥存储服务器)、一个或多个量子密钥安全存储移动装置和光纤通信的光收发模块;所述量子服务节点包括但不限于一个或多个QKD系统的接收端或/和发送端(与量子中心节点的发送端或接收端组成一个或多个QKD系统)、量子随机数发生器模块、量子密钥存储服务器、量子密钥服务应用接口和光纤通信的光收发模块;量子服务节点通过量子密钥服务应用接口为应用终端提供注册服务或量子密钥流量注入服务并创建服务关系列表;基于量子中心节点构建全网统一的量子密钥服务网络服务中心(记为QKSC);QKSC实时响应应用终端请求并根据服务关系列表查找所述应用终端所关联的量子中心节点,并指定所述量子中心节点为应用终端分发会话密钥;光纤通信的光收发模块用于量子中心节点与量子服务节点之间的经典数据通信并为QKD系统提供同步时钟。

为了实现上述网络功能,机场量子通信子网的部署方法包括但不限于:

(2-1)量子中心节点的部署位置包括但不限于机场业务网络的管控中心;

(2-2)量子服务节点的部署位置包括但不限于机场业务网络的管控机房、机场业务网络的路由器和VPN网关机房、候机厅内的网络服务点、飞机停靠点、高铁站业务网络机房、企业和机构的业务网络机房(其中,高铁站业务网络机房的量子服务节点可以为高铁站业务网络的应用终端和旅客移动应用终端提供量子密钥服务,企业和机构的业务网络机房可以为企业和机构的业务网络的应用终端和其它应用终端提供量子密钥服务);

(2-3)量子中心节点与每一个量子服务节点之间铺设量子通信光纤或复用已铺设的光纤线路;每一个量子服务节点与量子中心节点之间至少形成一个QKD链路,形成以量子中心节点为中心的星形网络。

进一步地,所述网络中机场量子通信子网之间的安全通道包括但不限于离线通道和量子卫星信道,其中,(3-1)所述离线通道为:机场量子通信子网的量子中心节点利用量子随机数发生器模块制备一定量的量子随机数并增加密钥标识,然后把量子随机数和密钥标识一起加密(比如,利用与另一个量子中心节点事先共享的根密钥和一个随机变量进行异或运算后得到的结果作为工作密钥进行加密;解密时,先利用公共网络信道把该随机变量告诉另一个量子中心节点,另一个量子中心节点把根密钥和该随机变量进行异或运算后得到的结果作为工作密钥进行解密),通过安全方式注入量子密钥安全存储移动装置;所述量子密钥安全存储移动装置由飞机送到另一个机场并安全注入该机场量子通信子网的量子中心节点,该机场量子通信子网的量子中心节点解密并共享所述量子随机数和密钥标识;(3-2)所述量子卫星信道为:利用量子卫星与地面站之间的QKD信道为两个地面站协商共享量子密钥,然后再利用地面站与机场量子通信子网的量子中心节点之间的量子密钥分发链路把所述共享量子密钥分发给机场量子通信子网的量子中心节点。

进一步地,所述网络中采用的密码管理服务器的功能包括但不限于对量子密钥存储和应用进行安全管理、对量子密钥协商协议交互数据进行加解密、对在公共通信网络上传输的数据进行加解密。

进一步地,所述网络中采用的量子随机数发生器模块的功能包括但不限于根据系统需求产生量子随机数、对所述量子随机数进行随机性测试、对通过随机性测试的量子随机数进行分割,形成子密钥并创建密钥标识,对子密钥和密钥标识进行安全存储。

进一步地,所述网络为应用终端提供注册服务的方法包括但不限于:(6-1)用户向量子服务节点申请入网注册,量子服务节点利用用户的应用终端采集用户的生物特征数据(所述生物特征包括但不限于指纹、静脉纹、虹膜和人脸特征),量子服务节点为用户的应用终端分配网内唯一的用户身份号和根密钥RK,并安全存储(包括但不限于加密存储)到用户的应用终端或永久存储介质中;(6-2)量子服务节点把用户的生物特征数据、用户身份号和根密钥加密发送到量子中心节点。

为了利用所述网络面向规模用户提供量子密钥服务,本发明还提供了一种以机场为区域中心的量子密钥服务方法,其特征在于:(7-1)不同机场量子通信子网的量子中心节点之间通过安全通道分配共享密钥,即,由一个量子中心节点产生并通过安全通道传递到另一个量子中心节点;(7-2)机场量子通信子网的量子中心节点与量子服务节点之间通过QKD系统链路协商共享量子密钥;(7-3)应用终端之间的共享会话密钥协商方法包括但不限于:(7-3-1)量子服务节点通过量子密钥服务应用接口为机场业务网络的应用终端(记为AT)提供服务的方法:量子中心节点规划量子中心节点与AT之间的共享密钥(记为Key_CT)和不同AT之间的互通密钥(记为Key_TT)并分别创建密钥标识;量子中心节点采用与量子服务节点之间的共享量子密钥加密Key_CT和Key_TT并发送到各个量子服务节点,量子服务节点根据密钥标识通过安全接口把解密后的Key_CT和Key_TT分别注入相应的应用终端;

(7-3-2)量子服务节点通过量子密钥服务应用接口为机场业务网络以外的移动应用终端(记为MT)提供服务的方法:量子服务节点根据MT申请提供注册服务和量子密钥流量注入服务,并创建服务关系列表;量子服务节点把服务关系列表加密发送到量子中心节点,量子中心节点把服务关系列表同步到QKSC;QKSC根据所述服务关系列表为MT提供量子密钥服务,即,两个应用终端MT_A和MT_B需要共享量子密钥时,MT_A向QKSC请求与MT_B的共享量子密钥,QKSC查找MT_A与MT_B所关联的量子中心节点,如果MT_A与MT_B所关联的量子中心节点相同,那么,QKSC指定所述量子中心节点产生一个会话密钥,所述量子中心节点分别利用已与MT_A和MT_B共享的量子密钥流量的一个子密钥加密所述会话密钥并发给MT_A和MT_B(如果MT_A与MT_B的量子密钥流量都保存在量子服务节点A和量子服务节点B,则所述量子中心节点分别利用与量子服务节点A和量子服务节点B之间的共享量子密钥加密该会话密钥,并分别发给量子服务节点A和量子服务节点B,量子服务节点A和量子服务节点B分别解密并得到该会话密钥,然后量子服务节点A和量子服务节点B再分别利用已与MT_A和MT_B共享的量子密钥流量的一个子密钥加密所述会话密钥并发给MT_A和MT_B),MT_A和MT_B分别解密并获得共享会话密钥;如果MT_A与MT_B所关联的量子中心节点分别是量子中心节点A和量子中心节点B,那么,QKSC指定量子中心节点A选择与量子中心节点B共享的一个量子密钥作为会话密钥,量子中心节点A和量子中心节点B分别利用与MT_A和MT_B共享的量子密钥流量的一个子密钥加密所述会话密钥并发给MT_A和MT_B(如果MT_A与MT_B的量子密钥流量都保存在量子服务节点A和量子服务节点B,则量子中心节点A和量子中心节点B分别利用与量子服务节点A和量子服务节点B之间的共享量子密钥加密该会话密钥,并分别发给量子服务节点A和量子服务节点B,量子服务节点A和量子服务节点B分别解密并得到该会话密钥,然后量子服务节点A和量子服务节点B再分别利用已与MT_A和MT_B共享的量子密钥流量的一个子密钥加密所述会话密钥并发给MT_A和MT_B),MT_A和MT_B分别解密并获得共享会话密钥;量子中心节点、量子服务节点和应用终端分别采用相同的策略对使用过的量子密钥流量、量子密钥和会话密钥进行安全删除处理。

进一步地,所述方法中的服务关系列表所包含的信息包括但不限于应用终端的身份标识、量子密钥流量的密钥标识、应用终端所关联的量子服务节点与量子中心节点的网络地址标识;所述密钥标识所包含的信息包括但不限于,产生密钥数据的量子服务节点所在网络的ID、密钥数据编号、密钥数据长度和完整性校验信息。

进一步地,所述网络还包括,所述量子密钥安全存储移动装置具有安全存储介质(包括但不限于安全存储介质包括但不限于系统存储器、安全U盘和SD密码卡)、数据输出保护装置(包括但不限于量子密钥读取计数器,数据被读取或被非法输出后相应的数据将被删除,计数器将实时显示未被读取或被非法输出的数据余量)、安全存储介质的保护装置(包括但不限于数字密码箱)。

进一步地,所述方法中的数据加/解密包括但不限于采用一次一密加密算法和数据加密标准算法;所述一次一密加密算法的加/解密是采用量子密钥直接与明文/密文数据进行异或运算实现加/解密;所述数据加密标准算法的加/解密是采用相同的量子密钥作为工作密钥的加/解密运算。

与现有技术相比,本发明具有以下显著技术优势:

(1)以机场为中心构建量子密钥服务网络既能提升机场通信、管控和监控等业务网络的安全性,又能方便地为高端商务旅行人士提供量子密钥流量注入服务;(2)以机场为区域中心构建覆盖全国的量子密钥服务网络平台具有更好的技术可行性和性价比;(3)基于统一的量子密钥服务平台,可以提升量子密钥服务的灵活性和效率。

附图说明

图1为本发明的机场量子通信子网的拓扑结构和服务接入方法示意图;

图2为本发明的机场量子通信子网的QKD系统部署方法示意图;

图3为本发明的以机场为区域中心的量子密钥服务网络的拓扑结构和应用示意图。

具体实施方式

为使本发明的技术方案及优点更加清楚,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明,本发明的实施方式包括但不限于下列实施例。

本发明方案中所涉及的加密和解密具有一致性,即选择某个密钥和加密算法加密某个数据得到一个密文,解密时必须选择相应的密钥和解密算法才能解密该密文;对于采用一次一密加密算法的加/解密直接采用量子密钥与明文/密文数据进行异或运算;对于采用数据加密标准算法的加/解密,首先把共享量子密钥编排为密码算法的多个工作密钥,采用所述工作密钥对数据进行加/解密运算,并提升所述工作密钥的更换频率。

本发明方案中所涉及的通信信道包括:机场量子通信子网之间利用飞机传递方式或量子通信卫星方式形成的安全通道;量子中心节点与量子服务节点之间的量子密钥分发信道和公共通信网络信道(包括有线和无线网络)、应用终端之间的无线通信网络信道、应用终端与量子密钥服务网络中心之间的无线通信网络信道;其中,除了量子密钥分发需要占用量子信道以外,其它网络通信过程都采用传统的公共通信网络。

本发明方案中的应用终端(或移动应用终端)包括但不限于智能手机和便携通信终端等,应用终端配置用于存储密钥数据的永久存储器、SD密码卡和闪存卡;应用终端具备支持无线网络访问能力的硬件模块,具备有足够计算能力的处理器,可以进行数据加解密处理,能够正常运行量子密钥服务网络应用系统的客户端软件,并能够基于无线通信网络(比如4G网络)与量子密钥服务网络应用系统的服务器端软件进行数据交互;当应用终端所获得的量子密钥流量用完后,应用终端可以向任意一个量子服务节点申请量子密钥流量,如果应用终端申请从非原始注册量子服务节点获取共享量子密钥流量,那么,非原始注册量子服务节点在为应用终端提供共享量子密钥流量后,需要建立新的服务关系列表。

本发明方法中所涉及的需要安全存储(包括但不限于加密存储)的数据主要包括但不限于:量子中心节点产生的量子密钥、量子服务节点产生的量子密钥流量、量子服务节点收集的应用终端的注册信息和服务关系列表。

图1为本发明的机场量子通信子网的拓扑结构和服务接入方法示意图,该机场量子通信子网由一个量子中心节点(BJ_A)和16个量子服务节点(A1,A2,…,A16)组成一个星形拓扑结构的网络;其中,该机场量子通信子网的QKD系统部署方式如图2所示,量子中心节点通过两个4×8的矩阵光开关的8个端口连接8个QKD系统的接收端(R1,R2,…,R8)通过两个4×8的矩阵光开关的另外16个端口连接16个量子服务节点的QKD系统的发送端(S1,S2,…,S16);R1、R2、R3和R4通过矩阵光开关可以同时与S1、S2、…、S8中的4个形成QKD链路,R5、R6、R7和R8通过矩阵光开关可以同时与S9、S10、…、S16中的4个形成QKD链路;量子中心节点中的量子随机数发生器(QRNG)配置安全输出接口P0;每一个量子服务节点配置QRNG和2个应用接口API1和API2(API1是量子服务节点为机场业务网络的应用终端提供服务的接口,API2是量子服务节点为机场业务网络以外的移动应用终端提供服务的接口)。

本发明的以机场为区域中心的量子密钥服务网络的拓扑结构和应用示意图如图3所示,其中包括但不限于4个机场的机场量子通信子网BJ_A、SH_B、CD_B和GZ_A,其中机场量子通信子网之间的共享量子密钥借助于量子密钥安全存储移动装置通过民航客机递送(比如,每天一次递送1TB的量子密钥供第二天使用,相当于超过10MB/s的量子密钥分配速率,该速率是目前“京沪量子干线”的量子密钥分配速率(小于10KB/s)的1000倍;而民航客机递送的1TB量子密钥费用是“京沪量子干线”在线分发1TB量子密钥费用的百分之一甚至千分之一);应用终端U和V采用本发明的方法通过量子密钥服务网络中心获取在线协商会话密钥的服务。

基于本发明的一种以机场为区域中心的量子密钥服务网络与方法同样适用于构建以城区、营区或其它地理坐标为区域服务中心的量子密钥服务网络,对于只在“区域中心”或“区域服务中心”的界定存在差异而无其它实质不同的情况都属于本发明的保护范围。

再多了解一些
当前第1页1 2 3 
网友询问留言 已有0条留言
  • 还没有人留言评论。精彩留言会获得点赞!
1