专利名称:在无源光网络上实施量子密钥分发的方法及无源光网络的制作方法
技术领域:
本发明涉及通讯领域在无源光网络上实施量子密钥的分发方法,尤其涉及一种在无源光网络上实施量子密钥分发的方法及无源光网络。
背景技术:
无源光网络(Passive Optical Network,PON)由位于局端的光线路终端(OpticalLine Terminal, 0LT)和位于远端的光网络单兀(Optical Network Unit, 0NU)和/或光网络终端(Optical Network Terminal, 0NT)组成,并由光分配网络(Optical DistributionNetwork, ODN)连接形成一个点到多点的网络。OLT位于根节点,通过ODN与各个0NU/0NT相连。PON技术始于20世纪80年代初,目前市场上的PON产品按采用的技术,主要分为ATMPON/宽带PON (ΑΡ0Ν/ΒΡ0Ν)、以太网PON (EPON)和千兆比特PON (GPON)几种。随着无源光网络(Passive Optical Network, PON)的部署,对PON系统的安全可靠性的要求越来越高。其中能够有效防范非法用户对PON系统进行侦听、业务盗用和恶意攻击已成为PON系 统的一项重要功能。从上行方向看,PON是一个点到点的系统,从下行方向上看,PON是一个点到多点的广播系统,OLT和ONT通过密钥请求/获取、数据加密,有效的防范了上下行方向上非法用户的侦听、业务盗用和恶意攻击。目前,传统的无缘光网络使用的密钥是使用因特网信息交换(IKE)方案,所使用的密钥都是在传统的网络上进行信息交换后经计算得到,传统的网络密钥交换过程很容易遭到外界的攻击,在安全上存在很大的风险;另外IKE体系是建立在运算复杂度的基础上的,而这个运算复杂度是无法理论证实是绝对安全可靠的,在遭到攻击的时候,存在被攻破的可能,因此存在着很大的安全隐患。考虑到目前的PON系统空闲的光纤数目比较多,在现有的PON系统上借助于空闲光纤信道实施量子密钥分发无需更改目前的网络结构和网络线路,易于实施而且还能更充分的利用现有的PON系统资源,更有利于保障数据的安全传输。
发明内容
本发明所要解决的技术方案是针对上述现有技术中的无源光网络密钥系统所使用的密钥在安全方面的不足,提供一种在无源光网络上实施量子密钥分发的方法以及一种无源光网络。本发明在无源光网络上实施量子密钥分发的方法以及本发明无源光网络能够保证量子密钥在传输过程中的绝对安全。为解决上述技术问题,本发明采取的技术方案为一种在无源光网络上实施量子密钥分发的方法,所述光线路终端和光网络终端之间通过光分配网络相连;其特征在于所述光线路终端和/或光网络终端通过量子密钥对需要在无源光网络上传输的通信数据进行加密和解密;所述量子密钥由量子密钥分发设备进行分发。作为本发明进一步改进的技术方案,所述光线路终端与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤分别与光线路终端和光分配网络相连,以建立光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥;每个光网络终端分别与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤与光网络终端和光分配网络相连,以建立光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥。作为本发明进一步改进的技术方案,所述光纤通过连接接口与光分配网络连接。作为本发明进一步改进的技术方案,所述连接接口为网络接口、USB接口或者Serial 接口。作为本发明进一步改进的技术方案,所述光线路终端和光网络终端分别向量子密钥分发设备发送量子密钥请求,量子密钥分发设备根据量子密钥请求,向光线路终端和光网络终端发送量子密钥;光线路终端和光 网络终端获取量子密钥后,进行量子密钥同步处理;如果光线路终端和光网络终端分别获取的量子密钥一致,则同步正确,光线路终端和光网络终端分别用获取的量子密钥对通信数据进行加密和解密;如果光线路终端和光网络终端分别获取的量子密钥不一致,则同步不正确,光线路终端和光网络终端分别重新向量子密钥分发设备发送量子密钥请求。作为本发明进一步改进的技术方案,量子密钥分发设备在收到光线路终端或者光网络终端的量子密钥请求时,根据量子密钥管理算法,如果有可用的量子密钥,光线路终端或者光网络终端则与量子密钥分发设备之间建立会话,量子密钥分发设备发送量子密钥给光线路终端或者光网络终端。作为本发明进一步改进的技术方案,需要更新量子密钥时,光线路终端或者光网络终端分别向量子密钥分发设备发送量子密钥请求;光线路终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光网络终端;另一端的光网络终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光线路终端更新量子密钥成功;光网络终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光线路终端;另一端的光线路终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光网络终端更新量子密钥成功。作为本发明进一步改进的技术方案,所述光线路终端和/或光网络终端通过一次一密的加密方式对需要在无源光网络上传输的通信数据进行加密和解密。为解决上述技术问题,本发明采取的另一个技术方案为一种在无源光网络,包括光线路终端和光网络终端;所述光线路终端和光网络终端之间连接有光分配网络;其特征在于还包括用于向光线路终端和/或光网络终端分发量子密钥的量子密钥分发设备;所述光线路终端与一个量子密钥分发设备相对应,量子密钥分发设备通过光纤分别与光分配网络和光线路终端连接,形成光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密;每个光网络终端分别与一个量子密钥分发设备相对应,每个量子密钥分发设备分别通过光纤与光分配网络和光网络终端连接,形成光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密。作为本发明进一步改进的技术方案,所述光纤通过网络接口、USB接口或者Serial接口与光分配网络连接。本发明的有益效果是,可以在利用现有的无源光网络上空闲的光纤上添加量子密钥分发设备的同时,确保通信数据在传输过程中的绝对安全,仅在传统的无源光网络中增加量子密钥分发设备,结构简单,而且充分有效的利用了现有的空余光纤资源,本发明适用于PON系统的各种应用场合以及ATM PON/宽带PON——ΑΡ0Ν/ΒΡ0Ν、以太网PON——EPON和千兆比特PON——GP0N,提高了 PON系统的可靠性。
图1是应用本发明的现有的无源光网络的系统结构 图2是在无源光网络上实施量子密钥分发的系统结构 图3是图2中光线路终端如何通过量子密钥分发设备获取密钥的工作序列 图4是图2中光网络终端如何通过量子密钥分发设备获取密钥的工作序列 图5是针对图3中光线路终端与光网络终端获取量子密钥时,量子密钥分发设备配合光线路终端与光网络终端使用完成密钥管理、更新、使用的工作序列图。下面结合附图,通过对本发明的具体实施方式
做进一步说明。
具体实施例方式实施例1
参见图2、图3、图4和图5,本在无源光网络上实施量子密钥分发的方法,所述光线路终端和光网络终端之间通过光分配网络相连;所述光线路终端和/或光网络终端通过量子密钥对需要在无源光网络上传输的通信数据进行加密和解密;所述量子密钥由量子密钥分发设备进行分发。作为优选方案,所述光线路终端与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤分别与光线路终端和光分配网络相连,以建立光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥;每个光网络终端分别与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤与光网络终端和光分配网络相连,以建立光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥。所述光纤通过连接接口与光分配网络连接。所述连接接口为网络接口、USB接口或者Serial接口。所述光线路终端和光网络终端分别向量子密钥分发设备发送量子密钥请求,量子密钥分发设备根据量子密钥请求,向光线路终端和光网络终端发送量子密钥;光线路终端和光网络终端获取量子密钥后,进行量子密钥同步处理;如果光线路终端和光网络终端分别获取的量子密钥一致,则同步正确,光线路终端和光网络终端分别用获取的量子密钥对通信数据进行加密和解密;如果光线路终端和光网络终端分别获取的量子密钥不一致,则同步不正确,光线路终端和光网络终端分别重新向量子密钥分发设备发送量子密钥请求。量子密钥分发设备在收到光线路终端或者光网络终端的量子密钥请求时,根据量子密钥管理算法,如果有可用的量子密钥,光线路终端或者光网络终端则与量子密钥分发设备之间建立会话,量子密钥分发设备发送量子密钥给光线路终端或者光网络终端。需要更新量子密钥时,光线路终端或者光网络终端分别向量子密钥分发设备发送量子密钥请求;光线路终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光网络终端;另一端的光网络终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光线路终端更新量子密钥成功;光网络终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光线路终端;另一端的光线路终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光网络终端更新量子密钥成功。所述光线路终端和/或光网络终端通过一次一密的加密方式对需要在无源光网 络上传输的通信数据进行加密和解密。本实施例1的工作原理说明及工作过程如下
本实施例中,无源光网络也称Ρ0Ν,光线路终端也称0LT,光分配网络也称0DN,量子密钥分发设备也称QKD,光网络终端也称ONT ;图1是图解应用本发明的无源光网络的结构的框图。PON具有点到多点的树结构,即P2MP结构。然而,PON不具有网络结构。逻辑上,尽管其物理上具有P2MP结构,但PON只具有点到点结构,即P2P结构。换言之,所有光网络终端,即ONTl到0ΝΤΝ,被连接到单个光线路终端,即0LT。所以ONTl到ONTN中的每一个光网络终端需要建立一条通道来与OLT通信。图2是在无源光网络上实施量子密钥分发的系统结构图。结合图1所述ONTl到ONTN中的每一个光网络终端需要建立一条通道来与光线路终端通信,这样就可以在不改变原有的系统结构的情况下加入量子密钥分发设备。在PON上实施量子密钥分发的系统的结构包括光线路终端、光分配网络,还包括光网络终端,即ONTl到0ΝΤΝ,他们之间通过光纤隧道相连;相应的还包括与量子密钥分发设备,即QKDl到QKDNN+1,QKD之间通过光纤分别与光分配网络相连,OLT通过网络接口、USB接口、Serial接口或者其他可用于数据传输的接口与QKDl相连,以建立光线路量子密钥读取通道;0NT1到ONTN通过网络接口、USB接口、Serial接口或者其他可用于数据传输的接口分别与QKD2到QKDN+1相连,以建立光网络量子密钥读取通道。光线路中端和光网络终端对需要在PON上传输的通信数据进行加密,力口密所使用的量子密钥从量子密钥分发设备QKDl到QKDN获取。在通信数据传输过程中,根据量子力学特性,密钥是安全可靠的,是无法被第三方窃取的。在图2、图3和图4中,光线路终端和光网络终端通过网络接口、USB接口、Serial接口等任何可以进行数据通信的接口与量子密钥分发设备相连,建立光线路量子密钥读取通道和光网络量子密钥读取通道,然后分别在光线路量子密钥读取通道和光网络量子密钥读取通道上传输QKD产生的量子密钥。OLT向QKDl发送量子密钥请求建立连接,从QKDl获取量子密钥,ONTU 0NT2或ONTN向QKD2、QKD3或QKDN+1发送量子密钥请求建立连接,从QKD2、QKD3或QKDN+1获取密钥,OLT与0NT1、0NT2或0NTN+1进行量子密钥同步,确定获取的量子密钥是相同的量子密钥对,如果同步正确,无源光网络用获取的量子密钥对通信数据进行加密、解密。如图5所示,QKDl在收到量子密钥请求时,根据密钥管理算法,分配合适的量子密钥,如果有可用的量子密钥,就发送量子密钥给光线路终端,在量子密钥获取的过程中,光线路终端在协商新量子密钥的同时,仍然用旧的量子密钥继续保持光线路终端工作,新量子密钥的同步是在旧的量子密钥建立的安全通道中完成的。OLT的量子密钥需要周期性的更换,光线路终端在量子密钥更换周期到的时候,需要更新量子密钥,光线路终端向QKDl发量子密钥请求,在正确获取量子密钥后,光线路终端将得到的量子密钥顺序号和Md5校验值告诉光网络终端,光网络终端根据接收到的顺序号和Md5校验值向QKD2读取量子密钥,读取到量子密钥后,比较读取的量子密钥的Md5值和收到的是否一致,如果一致,光网络终端回应确认量子密钥获取成功,表明这次量子密钥更新获取成功;否则回应量子密钥获取失败。 在无源光网络上实施量子密钥分发需要无源光网络的光线路终端以及一个或多个光网络终端,OLT和ONT之间通过光分配网络相连,还包括一对一或一对多的量子密钥分发设备,即QKD1、QKD2、直至QKDN +1,量子密钥分发设备之间通过光纤相连。在本实施例中,量子密钥是通过量子密钥分发设备由一方产生并传输到另一方,且量子密钥分发设备传输密钥的通道是光纤。光线路终端和光网络终端向量子密钥分发设备发送量子密钥请求,并从量子密钥分发设备获得量子密钥后,0LT、0NT双方进行量子密钥同步,确定获取的量子密钥是否一致,如果同步正确,用获取的量子密钥对通信数据进行加密、解密;如果同步不正确,重新请求联邦量子密钥。量子密钥分发设备在收到光线路终端的量子密钥请求时,根据量子密钥管理算法,分配合适的量子密钥,如果有可用的量子密钥,就发送量子密钥给0LT,在量子密钥获取的过程中,OLT需要和QKD建立一个会话。OLT在协商新量子密钥的同时,仍旧用旧的量子密钥继续保持工作,新量子密钥的同步是在旧的密钥建立的安全通道中完成的。OLT的量子密钥需要周期性的更换,OLT在量子密钥更换周期到的时候,就需要更新量子密钥,OLT向QKD发送量子密钥请求,在正确获取量子密钥后,OLT将得到的量子密钥顺序号和Md5校验值告诉光网络终端,ONT根据接收到的顺序号向QKD读取量子密钥,读取到量子密钥后比较读取的量子密钥的Md5值和收到的是否一致,如果一致,ONT回应确认量子密钥获取成功(0K),表示这次量子密钥更新获取成功;如果不一致,表示OLT与ONT得到的量子密钥不同,需要重新请求量子密钥。同样地,量子密钥分发设备在收到光网络终端的量子密钥请求时,根据量子密钥管理算法,分配合适的量子密钥,如果有可用的量子密钥,就发送量子密钥给0ΝΤ,在量子密钥获取的过程中,ONT需要和QKD建立一个会话。ONT在协商新量子密钥的同时,仍旧用旧的量子密钥继续保持工作,新量子密钥的同步是在旧的量子密钥建立的安全通道中完成的。ONT的量子密钥需要周期性的更换,ONT在量子密钥更换周期到的时候,就需要更新量子密钥,ONT向QKD发送量子密钥请求,在正确获取量子密钥后,ONT将得到的量子密钥顺序号和Md5校验值告诉光线路终端,OLT根据接收到的顺序号向QKD读取量子密钥,读取到量子密钥后比较读取的量子密钥的Md5值和收到的是否一致,如果一致,ONT回应确认量子密钥获取成功,表示这次量子密钥更新获取成功;如果不一致,表示OLT与ONT得到的量子密钥不同,需要重新请求量子密钥。
成功获取到量子密钥后,采用量子密钥对传输的通信数据进行加密,并且实行一次一密或分组的加密方式,保障通信数据的绝对安全。进一步地,在量子密钥传输的过程中,根据量子力学特性,量子密钥传输过程是无法被攻破的,即使遭到外部攻击,攻击也很容易就被发现。因此采用了量子密钥分发技术后任何第三方想截获量子密钥都是不可能的。在实施量子密钥分发的无源光网络中,取代传统的密钥获取方式,量子密钥获取是通过量子密钥分发设备由一方传输到另一方,且量子密钥分发设备传输量子密钥的通道是光纤。在无源光网络上实施量子密钥分发是在原有的无源光网络基础上做一些改动,包括在原有的无源光网络体系中,加入量子密钥注入模块,此量子密钥注入模块负责从量子密钥分发设备读取密钥,并且实行一次一密或分组的加密方式,量子密钥是无法被第三方窃取的和完全破译的,从而保障数据的绝对安全。实施例2参见图2、图3、图4和图5,本无源光网络,包括光线路终端和光网络终端;所述光线路终端和光网络终端之间连接有光分配网络;还包括用于向光线路终端和/或光网络终端分发量子密钥的量子密钥分发设备;所述光线路终端与一个量子密钥分发设备相对应,量子密钥分发设备通过光纤分别与光分配网络和光线路终端连接,形成光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密;每个光网络终端分别与一个量子密钥分发设备相对应,每个量子密钥分发设备分别通过光纤与光分配网络和光网络终端连接,形成光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密。所述光纤通过网络接口、USB接口或者Serial接口与光分配网络连接。本实施例的工作原理说明及工作过程与实施例1相同,不再详述。
权利要求
1.一种在无源光网络上实施量子密钥分发的方法,所述光线路终端和光网络终端之间通过光分配网络相连;其特征在于所述光线路终端和/或光网络终端通过量子密钥对需要在无源光网络上传输的通信数据进行加密和解密;所述量子密钥由量子密钥分发设备进行分发。
2.根据权利要求1所述在无源光网络上实施量子密钥分发的方法,其特征在于 所述光线路终端与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤分别与光线路终端和光分配网络相连,以建立光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥; 每个光网络终端分别与一个量子密钥分发设备相对应,所述量子密钥分发设备通过光纤与光网络终端和光分配网络相连,以建立光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥。
3.根据权利要求2所述在无源光网络上实施量子密钥分发的方法,其特征在于所述光纤通过连接接口与光分配网络连接。
4.根据权利要求3所述在无源光网络上实施量子密钥分发的方法,其特征在于所述连接接口为网络接口、USB接口或者Serial接口。
5.根据权利要求2或3或4所述在无源光网络上实施量子密钥分发的方法,其特征在于 所述光线路终端和光网络终端分别向量子密钥分发设备发送量子密钥请求,量子密钥分发设备根据量子密钥请求,向光线路终端和光网络终端发送量子密钥;光线路终端和光网络终端获取量子密钥后,进行量子密钥同步处理;如果光线路终端和光网络终端分别获取的量子密钥一致,则同步正确,光线路终端和光网络终端分别用获取的量子密钥对通信数据进行加密和解密;如果光线路终端和光网络终端分别获取的量子密钥不一致,则同步不正确,光线路终端和光网络终端分别重新向量子密钥分发设备发送量子密钥请求。
6.根据权利要求5所述在无源光网络上实施量子密钥分发的方法,其特征在于 量子密钥分发设备在收到光线路终端或者光网络终端的量子密钥请求时,根据量子密钥管理算法,如果有可用的量子密钥,光线路终端或者光网络终端则与量子密钥分发设备之间建立会话,量子密钥分发设备发送量子密钥给光线路终端或者光网络终端。
7.根据权利要求6所述在无源光网络上实施量子密钥分发的方法,其特征在于 需要更新量子密钥时,光线路终端或者光网络终端分别向量子密钥分发设备发送量子密钥请求; 光线路终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光网络终端;另一端的光网络终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光线路终端更新量子密钥成功; 光网络终端在获取新的量子密钥后,将新的量子密钥的顺序号和Md5校验值发送给另一端的光线路终端;另一端的光线路终端根据收到的新的量子密钥的顺序号向量子密钥分发设备读取量子密钥,然后将读取到的量子密钥的Md5校验值和收到的Md5校验值进行比较,如果读取到的量子密钥的Md5校验值和收到的Md5校验值一致,则光网络终端更新量子密钥成功。
8.根据权利要求1所述在无源光网络上实施量子密钥分发的方法,其特征在于所述光线路终端和/或光网络终端通过一次一密的加密方式对需要在无源光网络上传输的通信数据进行加密和解密。
9.一种在无源光网络,包括光线路终端和光网络终端;所述光线路终端和光网络终端之间连接有光分配网络;其特征在于 还包括用于向光线路终端和/或光网络终端分发量子密钥的量子密钥分发设备; 所述光线路终端与一个量子密钥分发设备相对应,量子密钥分发设备通过光纤分别与光分配网络和光线路终端连接,形成光线路量子密钥读取通道,光线路终端通过光线路量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密; 每个光网络终端分别与一个量子密钥分发设备相对应,每个量子密钥分发设备分别通过光纤与光分配网络和光网络终端连接,形成光网络量子密钥读取通道,光网络终端通过光网络量子密钥读取通道获取量子密钥并且通过获取的量子密码对需要在无源光网络上传输的通信数据进行加密和解密。
10.根据权利要求9所述的无源光网络,其特征在于所述光纤通过网络接口、USB接口或者Serial接口与光分配网络连接。
全文摘要
本发明公开了一种在无源光网络上实施量子密钥分发的方法,光线路终端和/或光网络终端通过量子密钥对需要在无源光网络上传输的通信数据进行加密和解密;量子密钥由量子密钥分发设备进行分发。本发明还公开了一种无源光网络,光线路终端和光网络终端之间连接光分配网络;光线路终端与一个量子密钥分发设备相对应,光线路终端通过量子密码通信数据进行加密和解密;每个光网络终端分别与一个量子密钥分发设备相对应,光网络终端通过量子密码对通信数据进行加密和解密。本发明借助于量子力学特性,量子密钥传输过程是无法被攻破的,即使遭到外部攻击,也很容易就被发现;采用量子密钥对数据进行加密,实行一次一密的加密方式,可以保障数据绝对安全。
文档编号H04B10/85GK103023579SQ201210519290
公开日2013年4月3日 申请日期2012年12月7日 优先权日2012年12月7日
发明者李大伟, 苗春华 申请人:安徽问天量子科技股份有限公司