量子密码网络可靠加密传输系统及方法与流程
本专利属于量子密码通信领域,尤其涉及一种量子密码网络可靠加密传输系统及方法。
背景技术:
量子通信是近二十年发展起来的新型交叉学科,是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验,并向实用化发展。高效安全的信息传输日益受到人们的关注。
物理上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性,以及量子测量的方法来完成两地之间的信息传递。
以量子密钥分配(qkd)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制,而量子密码以量子力学为基础,它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的,被证明是绝对安全的。
量子密码网络便是采用量子密码技术的一种安全通信网络。量子密码网络是由经典通信网络和量子通信网络共同构建而成。量子通信网络主要由qkd终端设备和量子信道组成,用于密钥分发,生成用于加密通信的量子密钥。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络终端一般是由一个连接于经典通信网络的经典通信终端和一个连接于量子通信网络的qkd终端设备组成。
为了保证量子密码网络的绝对安全性,量子密码技术要求对量子密码网络中的通信数据采用一次一密的方式进行加密。这种加密方式下,当量子密码网络进行实时的语音通信和视频通信时,通信数据量和速率较大,需要qkd系统快速生成大量的量子密钥。但目前由于技术所限,量子密码网络中的qkd终端设备的量子密钥分发速度,在网络数据流量较大、通信速率较高、持续时间较长时并不能够满足要求。这种情况下,为了保证数据传输的安全性,通常会中断业务数据的传输,从而降低了网络数据传输的可靠性。
当通信过程中通信双方的同步量子密钥存量不能够持续满足一次一密的加密需求时,为了连续地、不间断地进行数据传输,一般采用重复使用和定时更换密钥的策略解决密钥不足的问题,加密算法一般采用现阶段安全性较高的还没有完全找到其破解方法的aes算法。这种重复使用和定时更换密钥的策略,其安全性取决于所用加密算法在现阶段的安全性。但即使在现阶段aes算法也并非绝对安全,随着计算机计算速度的增加和破解算法的研究进展,同一密钥重复使用的次数越多,则加密数据的安全性越低。
如何在量子密码网络密钥分发速度较低的情况下,既能提高网络数据传输的可靠性,又能保证不降低传输数据的安全性,是现阶段量子密码网络在走向规模化应用过程中应该解决的一个重要问题。
在说明
技术实现要素:
之前,将本发明所使用的术语解释如下:
同步量子密钥库:如果通信双方的量子密钥库中的对应密钥数据是由同一条量子信道生成的相同数据,即双方共享有相同的量子密钥,则称双方的量子密钥库是同步的,双方的量子密钥库为同步量子密钥库。通信双方同步量子密钥库中的量子密钥被称为同步量子密钥。
量子一次一密加密方式:量子密码网络中的通信节点使用节点之间的同步量子密钥,采用一次一密的方式加密通信数据。
经典加密方式:区别于量子一次一密加密方式,其主要特征是用于加密通信数据的同一密钥数据直接地或变换地重复使用多次。
发明内容
本发明专利提出一种量子密码网络可靠加密传输系统及方法,用于量子密码网络的网络节点之间业务数据的加密传输,增加量子密码网络节点之间业务数据传输的可靠性。
一方面,本发明提供一种量子密码网络可靠加密传输系统,包括加密处理模块和解密处理模块,其特征在于,
所述加密处理模块包括:
加密策略单元,周期性地收集反映量子密钥供求程度的加密相关信息,结合预置的加密策略,生成加密分流策略数据,将加密分流策略数据发送给业务数据缓冲分流单元、量子加密单元和经典加密单元;
业务数据缓冲分流单元,缓冲需要加密的明文业务数据包,给业务数据包添加属性标签,根据加密分流策略数据,将相应属性标签的业务数据包发送给量子加密单元或经典加密单元;
量子加密单元,使用量子一次一密加密方式对业务数据包、加密分流策略数据加密;
经典加密单元,根据加密分流策略数据,使用经典加密方式对相应属性标签的业务数据包加密;
所述解密处理模块包括:
密文分类单元,将密文业务数据包发送给密文数据缓冲单元,将采用量子一次一密加密方式的加密分流策略数据发送给量子解密单元;
密文数据缓冲单元,缓冲收到的密文业务数据包,并根据加密分流策略数据,将相应属性标签的密文业务数据包发送给量子解密单元或经典解密单元;
量子解密单元,解密采用量子一次一密加密方式的加密分流策略数据和密文业务数据包,并将解密后的加密分流策略数据发送给密文数据缓冲单元和经典解密单元;
经典解密单元,根据加密分流策略数据,为相应属性标签的密文业务数据包进行解密。
进一步地,所述反映量子密钥供求程度的加密相关信息包括需要加密的业务数据的安全性要求、需要加密的业务种类、需要加密的业务数据的通信速率、用作加密的量子密钥的剩余密钥量、用作加密的量子密钥的生成速度中的一项或几项的任意组合。
进一步地,所述属性标签包括安全性标签、业务种类标签、业务数据通信速率标签、业务数据包序号标签。
优选地,当通过业务数据包序号标签来区分业务数据包的加密方式时,选择确定采用经典加密方式和采用量子一次一密加密方式的业务数据包时,随机选择确定业务数据包的序号。
优选地,所述经典加密单元和经典解密单元采用量子密钥作为业务密钥或业务密钥的种子密钥。
优选地,所述经典加密单元含有若干个子模块,每个子模块使用不同的经典加密方式对业务数据包加密;相应的,所述经典解密单元含有若干个子模块,每个子模块配合经典加密单元中相应的子模块实现对业务数据包的解密。
优选地,对所述由量子加密单元和经典加密单元加密的业务数据包,采用相同的格式进行封装。
另一方面,本发明提供一种采用上述量子密码网络可靠加密传输系统进行可靠加密传输的方法,包括如下步骤:
步骤1:设置策略更新周期,对发送方网络节点处的加密策略单元预置加密策略;
步骤2:业务数据缓冲分流单元对需要加密的业务数据包进行缓冲,并对缓冲的业务数据包添加属性标签;
步骤3:加密策略单元收集本节点当前的反映量子密钥供求程度的加密相关信息;
步骤4:若下一个策略更新周期未开始,则加密策略单元根据所收集的加密相关信息,结合预置的加密策略,生成加密分流策略数据,并将加密分流策略数据发送给业务数据缓冲分流单元、量子加密单元和经典加密单元;若下一个策略更新周期开始,则返回步骤3;
步骤5:量子加密单元将加密分流策略数据采用量子一次一密加密方式加密后,由发送方网络节点发送到接收方网络节点;
步骤6:业务数据缓冲分流单元根据加密分流策略数据,将缓冲的业务数据包发送给量子加密单元或经典加密单元;对仍不能处理的缓冲的业务数据包,重复步骤4~6;
步骤7:量子加密单元和经典加密单元分别采用量子一次一密加密方式和经典加密方式对业务数据包加密后,由发送方网络节点发送到接收方网络节点;
步骤8:接收方网络节点处的密文分类单元将采用量子一次一密加密方式的加密分流策略数据发送给量子解密单元,将密文业务数据包发送给密文数据缓冲单元;
步骤9:量子解密单元解密采用量子一次一密加密方式的加密分流策略数据,并将解密后的加密分流策略数据发送给密文数据缓冲单元和经典解密单元;
步骤10:密文数据缓冲单元缓冲收到的密文业务数据包,并根据加密分流策略数据,将密文业务数据包发送给量子解密单元或经典解密单元;
步骤11:量子解密单元和经典解密单元分别对密文业务数据包进行相应的解密。
进一步地,所述反映量子密钥供求程度的加密相关信息包括需要加密的业务数据的安全性要求、需要加密的业务种类、需要加密的业务数据的通信速率、用作加密的量子密钥的剩余密钥量、用作加密的量子密钥的生成速度中的一项或几项的任意组合。
进一步地,所述属性标签包括安全性标签、业务种类标签、业务数据通信速率标签、业务数据包序号标签。
优选地,所述经典加密单元和经典解密单元采用量子密钥作为业务密钥或业务密钥的种子密钥。
优选地,所述经典加密单元含有若干个子模块,每个子模块使用不同的经典加密方式对业务数据包加密;相应的,所述经典解密单元含有若干个子模块,每个子模块配合经典加密单元中相应的子模块实现对业务数据包的解密。
优选地,对所述由量子加密单元和经典加密单元加密的业务数据包,采用相同的格式进行封装。
本发明的有益效果如下:
1.本发明中业务数据采用经典加密方式和量子一次一密加密方式进行分流传输,在保证安全性的基础上,增加了业务数据加密传输的连续性,提高了业务数据加密传输的可靠性;同时,降低了量子密钥数据的消耗量,降低了量子密码网络量子密钥生成负荷,降低了量子密码网络业务数据加密传输的成本。
2.本发明中周期性地收集反映量子密钥供求程度的加密相关信息,并生成加密分流策略数据,可以及时地根据量子密钥供求关系的变化,而相应地改变业务数据分流比例,从而兼顾业务数据加密传输的可靠性和安全性要求。
3.本发明中对业务数据包添加属性标签,便于对业务数据包进行区分,以适应不同的加密分流策略数据,增强了对业务数据包进行分流传输的可操作性。
4.本发明的优化技术方案中,采用经典加密方式和采用量子一次一密加密方式生成的密文数据采用相同格式封装并进行混合传输,采用量子一次一密加密方式生成的密文对采用经典加密方式生成的密文的破解有干扰作用,一定程度上破坏了由经典加密方式生成的密文的统计特性,这增加了密文分析的复杂度,增加了密文的破解难度。
5.本发明的优化技术方案中,随机选择业务数据包采用经典加密方式或量子一次一密加密方式,增加了采用经典加密方式和采用量子一次一密加密方式的业务数据包的识别难度,增加了采用经典加密方式的业务数据包的破解难度。
附图说明
图1为量子密码网络的网络节点基本结构示意图。
图2为量子密码网络可靠加密传输系统的结构示意图。
具体实施方式
下面结合附图对本发明量子密码网络可靠加密传输系统及方法的实施例进行详细描述。应当明确,所描述的实施例仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在以下实施例中,所考虑的通信节点为量子密码网络中的节点。量子密码网络的主要通信节点为终端节点和中继节点。终端节点指发送方或接收方用户的业务应用终端所属的节点,为用户提供文字、语音、视频、即时通信等多种业务数据的加密传输,中继节点一般指为两个终端节点间通信提供密钥中继功能的节点。以下实施例中量子密码网络可靠加密传输系统及方法,适合量子密码网络任意两个终端节点之间的业务数据加密传输。
实施例一
本实施例构建了一个具体的量子密码网络可靠加密传输系统,描述了系统结构及其相应的功能。
图1是能够应用实施例一实现可靠加密通信的量子密码网络的网络节点基本结构示意图。量子密码网络的网络节点a101和网络节点b102通过经典网络103和量子网络104相连接。在每一个网络节点中设置有业务应用模块105、可靠加密传输系统106和qkd设备108。各网络节点的qkd设备108之间通过量子网络104产生量子密钥,彼此间形成共享的量子密钥库107。发送方网络节点(以下称加密节点)处的可靠加密传输系统106利用量子密钥库107中的量子密钥,对加密节点处业务应用模块105产生的业务数据进行加密处理,通过经典网络103将加密业务数据传输给接收方网络节点(以下称解密节点)处的可靠加密传输系统106;解密节点处的可靠加密传输系统106利用量子密钥库107中的量子密钥,对接收到的加密业务数据进行解密处理,并将解密后的业务数据传输给解密节点处的业务应用模块105。所述量子密钥库107通常存储在非易失性存储介质中,该非易失性存储介质可位于qkd设备108或单独的密钥管理机中,只需要qkd设备108或密钥管理机能够对其进行量子密钥的写入、读取、删除等操作,具备对量子密钥的管理功能即可。
图1中的网络节点处的可靠加密传输系统106由加密处理模块和解密处理模块组成。为了便于说明,图2中只示出了发送方网络节点处的加密处理模块,以及接收方网络节点处的解密处理模块,各模块的结构和功能详述如下:
加密处理模块201包括加密策略单元203、业务数据缓冲分流单元204、量子加密单元205和经典加密单元206;解密处理模块202包括密文分类单元207、密文数据缓冲单元208、量子解密单元209和经典解密单元210。
加密策略单元203,周期性地收集本节点的反映量子密钥供求程度的加密相关信息,结合预置的加密策略,生成加密分流策略数据,将所述加密分流策略数据发送给业务数据缓冲分流单元204、量子加密单元205和经典加密单元206。
所述加密分流策略数据,是指哪些业务数据包采用量子一次一密加密方式,哪些业务数据包采用经典加密方式,以及采用何种经典加密方式,主要包括业务数据包属性及其对应的加密方式。
为了保证业务数据在量子密码网络的可靠加密传输,需要根据量子密钥的供求程度,设置合适的业务数据分流比例,即采用经典加密方式和采用量子一次一密加密方式分流的业务数据包的比例,以避免在量子密钥供给不足时出现业务数据加密传输的中断。例如,根据所述业务数据分流比例,能够在一定数量的数据包序号内,选择确定采用经典加密方式的数据包的序号和采用量子一次一密加密方式的数据包的序号,并需要将所确定的数据包序号及其对应的加密方式发送给业务数据缓冲分流单元204,以便其完成业务数据包的分流处理。此时,加密分流策略数据即指业务数据包序号及其对应的加密方式。对于本领域技术人员来说,所述预置的加密策略的实现方式较灵活,例如与不同量子密钥供求程度相适应的业务数据分流比例的对照表、与不同量子密钥供求程度相对应的业务数据分流比例的计算公式的对照表、与不同量子密钥供求程度相对应的且能够反映业务数据分流比例的数据包序号及其对应的加密方式的信息对照表等,都能够为加密策略单元203提供生成加密分流策略数据的依据,其目的都是通过合理地设置业务数据分流比例,以缓解一段时间内量子密钥供求关系的不平衡。
此外,周期性地收集加密相关信息,并生成加密分流策略数据,可以及时地根据量子密钥供求关系的变化,而相应地改变业务数据分流比例,从而兼顾业务数据加密传输的可靠性和安全性要求。本领域技术人员为了降低系统实现难度或受系统性能所限,可以不对加密分流策略数据进行周期性更新,这应视为在本发明基础上所做的简单改动,不超出本发明的保护范围。
进一步地,所述反映量子密钥供求程度的加密相关信息主要包括需要加密的业务数据的安全性要求、需要加密的业务种类、需要加密的业务数据的通信速率、用作加密的量子密钥的剩余密钥量、用作加密的量子密钥的生成速度。所述需要加密的业务数据的安全性要求越高,其对量子密钥的强制性需求越高,当有多种业务数据需要加密时,应尽量减小安全性要求较高的业务数据的分流比例,或者不对其进行分流;对于安全性要求较低的业务数据,在满足其最低安全性要求的基础上,可适当增加其分流比例。所述需要加密的业务种类是指文件、语音、视频等业务种类,通常小文件传输、语音通信对量子密钥的需求不高,正常情况下量子密码网络是能够满足其采用量子一次一密加密方式,进行一次一密加密传输的要求的,业务数据分流比例较小,或者不对其进行分流;而大文件传输、视频通信则对量子密钥的需求较高,业务数据分流比例相对较大。类似的,所述每种业务数据的通信速率相当于业务数据消耗量子密钥的速度,反映了业务对量子密钥的需求程度;所述用作加密的量子密钥的剩余密钥量、用作加密的量子密钥的生成速度,则反映了量子密钥的供应情况。加密策略单元203,可周期性地收集上述加密相关信息中的任意一种或任意几种的组合,作为衡量量子密钥供求关系的依据。
业务数据缓冲分流单元204,缓冲需要加密的明文业务数据包,给业务数据包添加属性标签,根据加密分流策略数据,将相应属性标签的业务数据包发送给量子加密单元205或经典加密单元206。
进一步地,所述属性标签包括安全性标签、业务种类标签、业务数据通信速率标签、业务数据包序号标签。对业务数据包添加属性标签,便于对业务数据包进行区分,以适应不同的加密分流策略数据,增强了对业务数据包进行分流传输的可操作性。例如,加密分流策略数据为对有高安全性要求的语音业务数据包不进行分流;对有中等安全性要求的视频业务数据包采用经典加密方式,且业务密钥更新频率为10次/秒;对有较低安全性要求的大文件业务数据采用经典加密方式,且业务密钥更新频率为1次/秒。业务数据缓冲分流单元204能够根据业务数据包的安全性标签、业务种类标签的标识信息,参照上述加密分流策略数据,方便地对业务数据包进行操作,将业务数据包相应地送往量子加密单元205或经典加密单元206。
需要说明的是,所述加密分流策略数据,不需要一次性涵盖业务数据缓冲分流单元204中的所有业务数据包,在一个策略更新周期内,可以产生一个或若干个加密分流策略数据,供业务数据缓冲分流单元204使用。例如,假设加密策略单元203中预置的加密策略为与不同量子密钥供求程度相适应的业务数据分流比例的对照表,且根据当前所收集的反映量子密钥供求程度的加密相关信息,结合所述的对照表,得到在本策略更新周期内采用经典加密方式和采用量子一次一密加密方式分流的业务数据包的比例为1∶19;若业务数据缓冲分流单元204中的业务数据包的序号范围为101至500,而加密策略单元203每次处理100个数据包序号,且根据1∶19的比例每隔20个数据包序号选择1个序号作为采用经典加密方式的序号,例如在数据包序号范围为101至200中,选择采用经典加密方式的数据包序号为101、121、141、161、181,选择采用量子一次一密加密方式的数据包序号为101至200序号范围中的剩余其他序号,由此构成了一个加密分流策略数据;加密策略单元203将此加密分流策略数据发送到业务数据缓冲分流单元204,业务数据缓冲分流单元204根据所得到的加密分流策略数据,将序号为101、121、141、161、181的业务数据包发送到经典加密单元206,将101至200序号范围中的剩余其他序号的业务数据包发送到量子加密单元205;若本策略更新周期未结束,则加密策略单元203继续根据1∶19的比例生成加密分流策略数据,在数据包序号范围为201至300中,选择采用经典加密方式的数据包序号为201、221、241、261、281,选择采用量子一次一密加密方式的数据包序号为201至300序号范围中的剩余其他序号;加密策略单元203将此加密分流策略数据发送到业务数据缓冲分流单元204,业务数据缓冲分流单元204根据所得到的加密分流策略数据,将带有相应序号的业务数据包发送给量子加密单元205或经典加密单元206。在一个策略更新周期内,上述过程类似地重复进行,直到在下一个策略更新周期内,以最新确定的业务数据分流比例进行上述过程。
优选地,当通过业务数据包序号标签来区分业务数据包的加密方式时,选择确定采用经典加密方式和采用量子一次一密加密方式的业务数据包时,随机选择确定业务数据包的序号。上述例子中,根据1∶19的比例每隔20个数据包序号选择1个序号作为采用经典加密方式的序号的方法为有规律的选取,如果破解者发现了该选取规律,将有助于其对密文的破解;因此,如果随机选取5个序号,则能够有效增加密文破解的干扰性。
量子加密单元205,对业务数据包、加密分流策略数据使用同步量子密钥库中的密钥数据,采用一次一密的方式加密,将加密后的数据发送给网络通信单元211。对于加密分流策略数据的加密和发送应优先处理,以便解密节点能及时解密得到相关信息,并对相应的密文业务数据包进行后续处理。
经典加密单元206,根据加密策略单元203发送的加密分流策略数据,使用经典加密方式对相应属性标签的业务数据包加密,将加密后的数据发送给网络通信单元211。
优选地,对由量子加密单元205和经典加密单元206加密的业务数据包,采用相同的格式进行封装。通常,对于采用经典加密方式加密的业务数据包(密文业务数据包)来说,由于所采用的加密算法可由通信双方事先约定,所以密文业务数据包中只包括数据包编号、加密的业务数据两部分内容;而对于采用量子一次一密加密方式加密的业务数据包来说,其密文业务数据包中除了含有数据包编号和加密的业务数据外,还需要包括与同步量子密钥相关的信息,例如密钥地址、密钥长度,以便于解密节点能够获取相应的同步量子密钥来完成解密过程。因此,在由经典加密方式产生的密文业务数据包中也加入上述信息,例如将同步量子密钥库中加密密钥数据指针当前所指位置的偏移地址作为密钥地址、将本数据包中业务数据按照量子一次一密加密方式所需要的密钥长度作为密钥长度,即对由量子一次一密加密方式和经典加密方式产生的密文业务数据包采用相同的格式进行封装。这样能够让企图破解业务数据密文的窃听者难以分辨密文业务数据包所采用的加密方式,干扰窃听者密文分析的统计特性,增加密文破解的难度。
网络通信单元211,加密节点的网络通信单元211负责将密文业务数据包和采用量子一次一密加密方式的加密分流策略数据发送到对应的解密节点;解密节点的网络通信单元211,接收对应的加密节点发送的密文业务数据包和采用量子一次一密加密方式的加密分流策略数据,将其发送给密文分类单元207。
密文分类单元207,将密文业务数据包发送给密文数据缓冲单元208,将采用量子一次一密加密方式的加密分流策略数据发送给量子解密单元209。
密文数据缓冲单元208,缓冲收到的密文业务数据包,并根据量子解密单元209发送的加密分流策略数据,将相应属性标签的密文业务数据包发送给量子解密单元209或经典解密单元210。
量子解密单元209,解密采用量子一次一密加密方式的加密分流策略数据和密文数据缓冲单元208发送的密文业务数据包,并将解密后的加密分流策略数据发送给密文数据缓冲单元208和经典解密单元210。
经典解密单元210,接收量子解密单元209发送的加密分流策略数据和密文数据缓冲单元208发送的密文业务数据包,为密文业务数据包进行解密。
优选地,所述经典加密单元206和经典解密单元210采用量子密钥作为业务密钥或业务密钥的种子密钥。经典加密方式使用业务密钥基于经典密码算法对业务数据包进行加密,业务密钥的更新频率非常低,存在很大的安全隐患。使用量子密钥作为经典密码算法中业务密钥或业务密钥的种子密钥,可以极大地提高业务密钥更新频率,从而有效保障经典密码算法的安全性。
优选地,所述经典加密单元206含有若干个子模块,每个子模块使用不同的经典加密方式对业务数据包加密;相应的,所述经典解密单元210含有若干个子模块,每个子模块配合经典加密单元206中相应的子模块实现对业务数据包的解密。由于加密分流策略数据中对于业务数据包可以采用不同的经典加密方式,对应于不同的密钥更新频率、经典密码算法,所以在经典加密单元206中设置若干个子模块,以对应于不同的经典加密方式,将有利于提高经典加密单元206对业务数据包的处理能力,提高系统的工作效率,增强系统的实用性。
上述量子密码网络可靠加密传输系统的各个单元或模块,本领域技术人员可以根据需要将其中若干个或所有单元、模块进行功能集成,与本发明的技术方案无实质性区别,不超出本发明的保护范围。
实施例二
本实施例为采用实施例一所述的量子密码网络可靠加密传输系统进行可靠加密传输的方法,包括如下步骤:
步骤1:设置策略更新周期,对发送方网络节点处的加密策略单元203预置加密策略;
步骤2:业务数据缓冲分流单元204对需要加密的业务数据包进行缓冲,并对缓冲的业务数据包添加属性标签;
步骤3:加密策略单元203收集本节点当前的反映量子密钥供求程度的加密相关信息;
步骤4:若下一个策略更新周期未开始,则加密策略单元203根据所收集的加密相关信息,结合预置的加密策略,生成加密分流策略数据,并将加密分流策略数据发送给业务数据缓冲分流单元204、量子加密单元205和经典加密单元206;若下一个策略更新周期开始,则返回步骤3;
步骤5:量子加密单元205将加密分流策略数据采用量子一次一密加密方式加密后,由发送方网络节点发送到接收方网络节点;
步骤6:业务数据缓冲分流单元204根据加密分流策略数据,将缓冲的业务数据包发送给量子加密单元205或经典加密单元206;对仍不能处理的缓冲的业务数据包,重复步骤4~6;
步骤7:量子加密单元205和经典加密单元206分别采用量子一次一密加密方式和经典加密方式对业务数据包加密后,由发送方网络节点发送到接收方网络节点;
步骤8:接收方网络节点处的密文分类单元207将采用量子一次一密加密方式的加密分流策略数据发送给量子解密单元209,将密文业务数据包发送给密文数据缓冲单元208;
步骤9:量子解密单元209解密采用量子一次一密加密方式的加密分流策略数据,并将解密后的加密分流策略数据发送给密文数据缓冲单元208和经典解密单元210;
步骤10:密文数据缓冲单元208缓冲收到的密文业务数据包,并根据加密分流策略数据,将密文业务数据包发送给量子解密单元209或经典解密单元210;
步骤11:量子解密单元209和经典解密单元210分别对密文业务数据包进行相应的解密。
进一步地,所述反映量子密钥供求程度的加密相关信息包括需要加密的业务数据的安全性要求、需要加密的业务种类、需要加密的业务数据的通信速率、用作加密的量子密钥的剩余密钥量、用作加密的量子密钥的生成速度中的一项或几项的任意组合。
进一步地,所述属性标签包括安全性标签、业务种类标签、业务数据通信速率标签、业务数据包序号标签。
优选地,所述经典加密单元206和经典解密单元210采用量子密钥作为业务密钥或业务密钥的种子密钥。
优选地,所述经典加密单元206含有若干个子模块,每个子模块使用不同的经典加密方式对业务数据包加密;相应的,所述经典解密单元210含有若干个子模块,每个子模块配合经典加密单元206中相应的子模块实现对业务数据包的解密。
优选地,对所述由量子加密单元205和经典加密单元206加密的业务数据包,采用相同的格式进行封装。
通过以上的实施方式的描述,本领域的技术人员可以清楚地了解到本发明实施例可以通过硬件实现,也可以借助软件加必要的通用硬件平台的方式来实现。基于这样的理解,本发明实施例的技术方案可以以软件产品的形式体现出来,该软件产品可以存储在一个非易失性存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本发明各个实施例所述的方法。
以上所述,仅为本发明的具体实施方式,但本发明的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本发明揭露的技术范围内,可轻易想到的变化或替换,都应涵盖在本发明的保护范围之内。因此,本发明的保护范围应以所述权利要求的保护范围为准。
- 还没有人留言评论。精彩留言会获得点赞!