第一量子节点、第二量子节点、安全通信架构系统及方法与流程
本发明涉及量子保密通信和通信技术领域的安全通信技术,尤其涉及一种第一量子节点、第二量子节点、安全通信网络架构系统、业务密钥传输方法及路由切换方法。
背景技术:
本申请发明人在实现本申请实施例技术方案的过程中,至少发现相关技术中存在如下技术问题:
传统的加密系统,不管是对称密钥还是非对称密钥,其密文的安全性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成,一旦收发双方的密钥对建立起来,通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥对,发送方与接收方必须选择一条安全可靠的通信信道,但由于截收者的存在,从技术上来说,真正的安全很难保证,而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。
近年来,由于量子力学和密码学的结合,诞生了量子密码学,它可完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统,它利用了量子特性从物理学原理上就是不可复制的特性。对量子密码学起关键作用的是“海森堡测不准原理”和“单量子不可复制定理”,海森堡测不准原理即测量量子系统时通常会对该系统产生干扰,任何对于量子信道进行监测的努力都会以某种方式的干扰在影响信道中传输的信息,单量子不可复制定理是海森堡测不准原理的推论,它指在不知道量子状态的情况下复制单个量子是不可能的,因为要复制单个量子就只能先作测量,测量这一量子系统会对该系统产生干扰并且会产生出关于该系统测量前状态的不 完整信息。因此,窃听一量子通信信道就会产生不可避免的干扰,合法的通信双方则可由此而察觉到有人在窃听。量子密码术利用这一原理,使从未见过面且事先没有共享秘密信息的通信双方建立通信密钥,然后再采用从数学上绝对安全的“一次一密”的密码通信,即可确保通信双方的秘密不泄漏。
量子密码学最著名的应用是量子密钥分发(QKD)。1984年,Bennett和Brassard提出第一个量子密钥分发方案,用单光子偏振态编码,现在称之为BB84协议,迎来了量子密钥分发的新时期。1992年,Bennett又提出一种与BB84协议类似而更简单、但效率减半的方案,后称之为B92协议。基于另一种量子现象即Einstein-Podolsky-Rosen(EPR)佯谬,Ekert于1991年提出用双量子纠缠态实现量子密码术,称为EPR协议。后来也出现了不少其他协议,但都可归纳为以上三种类型。近年来,随着单光子元器件的发展,基于BB84、B92、ERP等协议的量子密钥分发技术逐渐走向实用阶段。目前量子信道有两种,即光纤信道和开发空间信道,用于传输量子比特,生成量子密钥,QKD原型系统中也有经典信道,即传统网络,用于量子密钥生成时的协议交互,以及加密后密文的传输。
1993年英国国防研究部在光纤中用相位编码的方法第一次实现了BB84-QKD方案,光纤传输长度达到了10公里。2002年,德国和英国研究机构成功利用激光在相距23.4km的两座山峰之间传输光子密钥,证实了通过开放空间特别是近地卫星传送量子密钥的可能性。2004年,美国BNN公司在马萨诸塞州剑桥城建立了世界首个量子密码通信实验网络;同年,郭光灿研究小组成功实现125km光纤点对点的量子密钥分配。2008年,欧盟组建的7节点保密通信演示验证网络试运行成功。同年,中国科学技术大学潘建伟小组在合肥市组建了首个光量子实验网,并演示了带量子保密通信的语音通话功能。
上述现有技术方案所存在的问题是:上述这些量子密钥分发系统都是实验系统,存在诸多不足:例如,仅能在两个节点之间或者有限的的几个节点之间分发量子密钥,对于大规模部署缺乏必要的路由寻址机制;发生信道中断时缺乏必要的重路由机制。显然,要在全国范围内甚至全球范围内部署QKD网络, 需要将QKD设备与传统路由交换设备结合起来,并对QKD网络进行电信级改造。
技术实现要素:
有鉴于此,本发明实施例希望提供一种第一量子节点、第二量子节点、安全通信网络架构系统、业务密钥传输方法及路由切换方法,至少解决了上述现有技术存在的问题。
本发明实施例的技术方案是这样实现的:
本发明实施例的一种第一量子节点,所述第一量子节点,用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。
上述方案中,所述第一量子节点包括:
量子通信模块,用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列,将其作为所述量子密钥对;
密钥管理模块,用于存储和管理所述量子密钥对;
加解密模块,用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
接入与路由模块,用于对用户进行接入认证通过后,获取接入用户的业务数据,将所述业务数据对应的所述业务密钥发送到所述加解密模块进行加密处理后,选择下一跳量子节点的路由路径以将经加密处理得到的第一加密数据包传输给作为下一跳量子节点的所述第二量子节点,以及将接收对端发送的经加密处理得到的第二加密数据包发送到所述加解密模块进行解密处理后返回给用户。
上述方案中,所述量子通信模块,进一步用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1,所述第二量子节点与第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。
上述方案中,所述加解密模块,进一步用于根据所述第一量子密钥K1对所述业务密钥S进行加密,得到所述第一加密数据包SΛK1;
所述接入与路由模块,进一步用于根据所述路由协议得到下一跳量子节点的路由路径,将所述SΛK1发送给作为下一跳量子节点的所述第二量子节点。
本发明实施例的一种第二量子节点,所述第二量子节点,用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。
上述方案中,所述第二量子节点包括:
量子通信模块,用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列,将其作为所述量子密钥对;
密钥管理模块,用于存储和管理所述量子密钥对;
加解密模块,用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
路由模块,用于根据路由协议得到作为上一跳量子节点的所述第一量子节点及所述与第二量子节点相邻的下一跳量子节点;将所述第一量子节点发送的经加密处理得到的第一加密数据包发送到所述加解密模块进行解密处理,并再行加密后得到第三加密数据包,将第三加密数据包传输给所述与第二量子节点相邻的下一跳量子节点;以及将接收对端发送的经加密处理得到的第四加密数据包发送到所述加解密模块进行解密处理。
上述方案中,所述量子通信模块,进一步用于与相邻的第一量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1,所述第二量子节点与所述第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。
上述方案中,所述加解密模块,进一步用于接收所述第一量子节点发送的第一加密数据包SΛK1;根据所述第一量子密钥K1对所述SΛK1进行解密后再 用第二量子密钥K2进行加密,得到所述第三加密数据包SΛK2;
所述接入与路由模块,进一步用于根据所述路由协议得到下一跳量子节点的路由路径,将所述SΛK2发送给与所述第二量子节点相邻的下一跳量子节点。
本发明实施例的一种安全通信架构系统,所述系统包括如上述方案中的任一项所述的第一量子节点,及如上述方案中任一项所述的第二量子节点;
所述系统还包括:路由切换节点;
所述路由切换节点,用于作为所述第一量子节点与所述第二量子节点之间的传输介质透传光路使用。
本发明实施例的一种业务密钥传输方法,所述方法应用于第一量子节点,所述方法包括:
第一量子节点与相邻的第二量子节点通过量子信道的协商生成量子密钥对;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。
本发明实施例的一种业务密钥传输方法,所述方法应用于第二量子节点,所述方法包括:
第二量子节点与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。
本发明实施例的一种业务密钥传输方法,所述方法基于所述安全通信架构系统,所述方法包括:
相邻的每两个量子节点间通过量子信道的协商生成量子密钥对;
所述相邻的每两个量子节点包括上一跳的量子节点和下一跳的量子节点,量子节点的类型包括第一量子节点和第二量子节点;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输。
上述方案中,所述相邻的每两个量子节点通过量子信道的协商生成的所述量子密钥对至少包括:第一量子密钥K1;
所述根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输,包括:
接入用户发来的所述业务密钥S;
获取所述第一量子密钥K1,根据所述第一量子密钥K1对所述业务密钥S加密得到第一加密数据包SΛK1;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK1发往下一跳的量子节点。
上述方案中,所述相邻的每两个量子节点通过量子信道的协商生成的所述量子密钥对还包括:第二量子密钥K2和第三量子密钥K3;
所述根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输,还包括:
下一跳的量子节点接收到所述SΛK1;
获取所述第一量子密钥K1和第二量子密钥K2;
根据所述第一量子密钥K1对所述SΛK1进行解密后再用第二量子密钥K2进行加密,得到所述第三加密数据包SΛK2;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK2发往下一跳的量子节点;
获取所述第二量子密钥K2和第三量子密钥K3;
根据所述第二量子密钥K2对所述SΛK2进行解密后再用第三量子密钥K3进行加密,得到第五加密数据包SΛK3;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK3发往下一跳的 量子节点后,用所述第三量子密钥K3对SΛK3进行解密,得到业务密钥S并分发给所述用户。
本发明实施例的一种路由切换方法,所述方法基于所述安全通信架构系统,所述方法包括:
相邻的每两个量子节点间通过量子信道的协商生成量子密钥对;
所述相邻的每两个量子节点包括上一跳的量子节点和下一跳的量子节点,量子节点的类型包括第一量子节点和第二量子节点;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包,其数据格式为目的地址|源地址|第一量子节点|第二量子节点|...|当前量子节点|加密信息;
相邻的每两个量子节点按照解析所述处理后的数据包得到的数据格式进行路由切换。
上述方案中,所述安全通信架构系统由目的用户A,源用户B,第一量子节点QAG1,第二量子节点QRR1组成时,所述数据格式具体为:B|A|QAG1|QRR1|SΛK2。
上述方案中,所述相邻的每两个量子节点按照解析所述处理后的数据包得到的数据格式进行路由切换,包括:
用户A有一个业务密钥S要发给用户B时,发出所述数据包的格式为:B|A|S;
当前量子节点QAG1收到所述数据包,解析出其数据格式为所述B|A|S,针对目的地址B计算路由,得到下一跳量子节点的地址是QRR1,查询QAG1与QRR1之间的第一量子密钥是K1,用K1对S做加密运算,得到第一加密数据包SΛK1,数据格式为B|A|QAG1|SΛK1,QAG1将所述SΛK1发给下一跳量子节点QRR1;
QRR1收到所述SΛK1,解析出其数据格式为所述B|A|QAG1|SΛK1,查询上一跳量子节点QAG1与QRR1的第一量子密钥是K1,针对目的地址B计算路由,得到下一跳量子节点的地址是QRR2,查询QRR1与QRR2之间的第二量 子密钥是K2,对SΛK1用K1做解密再用K2做加密,得到第三加密数据包SΛK2,其数据格式为B|A|QAG1|QRR1|SΛK2,QRR1将所述SΛK2发给下一跳量子节点QRR2;
QRR2收到所述SΛK2,解析出其数据格式为所述B|A|QAG1|QRR1|SΛK2,
查询上一跳量子节点QRR1与QRR2的第二量子密钥是K2,针对目的地址B计算路由,得到下一跳量子节点的地址是QAG2,查询QRR2与QAG2之间的第三量子密钥是K3,对SΛK2用K2做解密再用K3做加密,得到第五加密数据包SΛK3,其数据格式为B|A|QAG1|QRR1|QRR2|SΛK3,QRR2将所述SΛK3发给下一跳量子节点QAG2;
QAG2收到所述SΛK3,解析出其数据格式为所述B|A|QAG1|QRR1|QRR2|SΛK3,查询上一跳量子节点QRR2与QAG2的第三量子密钥是K3,用K3对SΛK3解密得到初始业务密钥S,将S分发给用户B。
本发明实施例的第一量子节点,用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。
采用本发明实施例,第一量子节点与相邻的第二量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点,将相邻量子节点间通过量子信道协商的量子密码技术与路由交换技术相结合,既提高了安全性,也适用于大范围的QKD网络部署。
附图说明
图1为本发明实施例中第一量子节点为QAG时的模块组成结构示意图;
图2为本发明实施例中第二量子节点为QRR时的模块组成结构示意图;
图3为本发明实施例中电信级QKD的网络架构示意图;
图4为本发明实施例中接入和中继业务密钥的流程示意图;
图5为本发明实施例中中继和分发业务密钥的流程示意图;
图6为本发明实施例中路由和切换的流程示意图。
具体实施方式
下面结合附图对技术方案的实施作进一步的详细描述。
本发明实施例的第一量子节点,所述第一量子节点,用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。
在本发明实施例一实施方式中,所述第一量子节点包括:
量子通信模块,用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列,将其作为所述量子密钥对;
密钥管理模块,用于存储和管理所述量子密钥对;
加解密模块,用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
接入与路由模块,用于对用户进行接入认证通过后,获取接入用户的业务数据,将所述业务数据对应的所述业务密钥发送到所述加解密模块进行加密处理后,选择下一跳量子节点的路由路径以将经加密处理得到的第一加密数据包传输给作为下一跳量子节点的所述第二量子节点,以及将接收对端发送的经加密处理得到的第二加密数据包发送到所述加解密模块进行解密处理后返回给用户。
在本发明实施例一实施方式中,所述量子通信模块,进一步用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1,所述第二量子节点与第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。
在本发明实施例一实施方式中,所述加解密模块,进一步用于根据所述第 一量子密钥K1对所述业务密钥S进行加密,得到所述第一加密数据包SΛK1;
所述接入与路由模块,进一步用于根据所述路由协议得到下一跳量子节点的路由路径,将所述SΛK1发送给作为下一跳量子节点的所述第二量子节点。
本发明实施例的一种第二量子节点,所述第二量子节点,用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对,以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。
在本发明实施例一实施方式中,所述第二量子节点包括:
量子通信模块,用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列,将其作为所述量子密钥对;
密钥管理模块,用于存储和管理所述量子密钥对;
加解密模块,用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
路由模块,用于根据路由协议得到作为上一跳量子节点的所述第一量子节点及所述与第二量子节点相邻的下一跳量子节点;将所述第一量子节点发送的经加密处理得到的第一加密数据包发送到所述加解密模块进行解密处理,并再行加密后得到第三加密数据包,将第三加密数据包传输给所述与第二量子节点相邻的下一跳量子节点;以及将接收对端发送的经加密处理得到的第四加密数据包发送到所述加解密模块进行解密处理。
在本发明实施例一实施方式中,所述量子通信模块,进一步用于与相邻的第一量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1,所述第二量子节点与所述第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。
在本发明实施例一实施方式中,所述加解密模块,进一步用于接收所述第一量子节点发送的第一加密数据包SΛK1;根据所述第一量子密钥K1对所述 SΛK1进行解密后再用第二量子密钥K2进行加密,得到所述第三加密数据包SΛK2;
所述接入与路由模块,进一步用于根据所述路由协议得到下一跳量子节点的路由路径,将所述SΛK2发送给与所述第二量子节点相邻的下一跳量子节点。
本发明实施例的一种安全通信架构系统,所述系统包括如上述方案中任一项所述的第一量子节点,及如上述方案中任一项所述的第二量子节点;
所述系统还包括:路由切换节点;
所述路由切换节点,用于作为所述第一量子节点与所述第二量子节点之间的传输介质透传光路使用。
本发明实施例的一种业务密钥传输方法,所述方法应用于第一量子节点,所述方法包括:
第一量子节点与相邻的第二量子节点通过量子信道的协商生成量子密钥对;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。
本发明实施例的一种业务密钥传输方法,所述方法应用于第二量子节点,所述方法包括:
第二量子节点与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包;
将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。
本发明实施例的一种业务密钥传输方法,所述方法基于所述安全通信架构系统,所述方法包括:
相邻的每两个量子节点间通过量子信道的协商生成量子密钥对;
所述相邻的每两个量子节点包括上一跳的量子节点和下一跳的量子节点,量子节点的类型包括第一量子节点和第二量子节点;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输。
在本发明实施例一实施方式中,所述相邻的每两个量子节点通过量子信道的协商生成的所述量子密钥对至少包括:第一量子密钥K1;
所述根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输,包括:
接入用户发来的所述业务密钥S;
获取所述第一量子密钥K1,根据所述第一量子密钥K1对所述业务密钥S加密得到第一加密数据包SΛK1;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK1发往下一跳的量子节点。
在本发明实施例一实施方式中,所述相邻的每两个量子节点通过量子信道的协商生成的所述量子密钥对还包括:第二量子密钥K2和第三量子密钥K3;
所述根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包按照路由协议通过经典信道进行传输,还包括:
下一跳的量子节点接收到所述SΛK1;
获取所述第一量子密钥K1和第二量子密钥K2;
根据所述第一量子密钥K1对所述SΛK1进行解密后再用第二量子密钥K2进行加密,得到所述第三加密数据包SΛK2;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK2发往下一跳的量子节点;
获取所述第二量子密钥K2和第三量子密钥K3;
根据所述第二量子密钥K2对所述SΛK2进行解密后再用第三量子密钥K3进行加密,得到第五加密数据包SΛK3;
根据路由协议计算出下一跳量子节点的路由,将所述SΛK3发往下一跳的量子节点后,用所述第三量子密钥K3对SΛK3进行解密,得到业务密钥S并分发给所述用户。
本发明实施例的一种路由切换方法,所述方法基于所述安全通信架构系统,所述方法包括:
相邻的每两个量子节点间通过量子信道的协商生成量子密钥对;
所述相邻的每两个量子节点包括上一跳的量子节点和下一跳的量子节点,量子节点的类型包括第一量子节点和第二量子节点;
根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理,得到处理后的数据包,其数据格式为目的地址|源地址|第一量子节点|第二量子节点|...|当前量子节点|加密信息;
相邻的每两个量子节点按照解析所述处理后的数据包得到的数据格式进行路由切换。
在本发明实施例一实施方式中,所述安全通信架构系统由目的用户A,源用户B,第一量子节点QAG1,第二量子节点QRR1组成时,所述数据格式具体为:B|A|QAG1|QRR1|SΛK2。
在本发明实施例一实施方式中,所述相邻的每两个量子节点按照解析所述处理后的数据包得到的数据格式进行路由切换,包括:
用户A有一个业务密钥S要发给用户B时,发出所述数据包的格式为:B|A|S;
当前量子节点QAG1收到所述数据包,解析出其数据格式为所述B|A|S,针对目的地址B计算路由,得到下一跳量子节点的地址是QRR1,查询QAG1与QRR1之间的第一量子密钥是K1,用K1对S做加密运算,得到第一加密数据包SΛK1,数据格式为B|A|QAG1|SΛK1,QAG1将所述SΛK1发给下一跳量子节点QRR1;
QRR1收到所述SΛK1,解析出其数据格式为所述B|A|QAG1|SΛK1,查询上一跳量子节点QAG1与QRR1的第一量子密钥是K1,针对目的地址B计算路 由,得到下一跳量子节点的地址是QRR2,查询QRR1与QRR2之间的第二量子密钥是K2,对SΛK1用K1做解密再用K2做加密,得到第三加密数据包SΛK2,其数据格式为B|A|QAG1|QRR1|SΛK2,QRR1将所述SΛK2发给下一跳量子节点QRR2;
QRR2收到所述SΛK2,解析出其数据格式为所述B|A|QAG1|QRR1|SΛK2,
查询上一跳量子节点QRR1与QRR2的第二量子密钥是K2,针对目的地址B计算路由,得到下一跳量子节点的地址是QAG2,查询QRR2与QAG2之间的第三量子密钥是K3,对SΛK2用K2做解密再用K3做加密,得到第五加密数据包SΛK3,其数据格式为B|A|QAG1|QRR1|QRR2|SΛK3,QRR2将所述SΛK3发给下一跳量子节点QAG2;
QAG2收到所述SΛK3,解析出其数据格式为所述B|A|QAG1|QRR1|QRR2|SΛK3,查询上一跳量子节点QRR2与QAG2的第三量子密钥是K3,用K3对SΛK3解密得到初始业务密钥S,将S分发给用户B。
以一个现实应用场景为例对本发明实施例阐述如下:
本应用场景具体为:第一量子节点是QAG,第二量子节点是QRR,路由切换节点是OSR,有它们共同构成的安全通信网络架构系统,及基于安全通信网络架构系统的安全地接入,中继,分发业务密钥,及基于“由目的地址|源地址|第一量子节点|第二量子节点|...|当前量子节点|加密信息”构成的数据包格式,根据对该数据包格式解析的结果,进行路由切换的过程,以下分别阐述:
本应用场景采用本发明实施例,主要定义了电信级QKD网络的网络架构(下称本架构)。定义了本架构的三种典型设备:量子接入网关(QAG,Quantum Access Gateway)、光端口交换路由器(OSR,Optical Switch Router)和量子中继路由器(QRR,Quantum Relay Router),描述了采用本架构的QKD网络的业务流程。本架构解决了如下问题:
1、路由寻址问题。量子保密通信是点到点的,在一张全国范围的大网中,跨一个或数个节点的量子通信成为必需,将量子系统与路由交换设备相结合,对现有的路由协议进行改造,利用路由器或交换机的处理能力对量子通信进行 寻址和路由,满足大网部署的高吞吐量、高转发率要求。
2、链路保护问题。量子通信的物理介质是光纤或开放空间,在自然灾害或者战时是十分脆弱的,但不能因为某一部分链路的损坏造成全国范围QKD网络业务的中断。以网状网的形式组网,利用路由协议进行断路切换和链路保护,是必要的。
针对上述电信级QKD网络中的这三类主要设备(QAG、OSR和QRR)而言,其中,QAG、QRR是进行量子通信的设备,称为量子节点,而OSR不处理量子信息,只做光交换,不是量子节点。这三种设备的描述如下:
一、QAG
QAG从功能上分为四个部分,即量子通信模块11、密钥管理模块12、加解密模块13、接入与路由模块14,如图1所示。
就所述量子通信模块而言,所述量子通信模块在物理上由光源、光调制器、信道(光纤或开放空间)、测量基矢、光子探测器等器件组成,本端的量子通信模块用于与对端的量子通信模块通过量子信道,按BB84协议协商和生成一样的随机数序列。这个随机数序列是真随机数,真随机数与伪随机数是相对的概念,是通过物理过程而不是计算机程序来生成的随机数字。随机数序列的生成是一个连续的过程,通信两端通过协商,选取一段相同的随机数序列(如512bit),作为密钥使用,这个密钥就是量子密钥,生成量子密钥过程叫密钥制备。
就所述密钥管理模块而言,所述密钥管理模块也叫密码箱、密码本,为用于存储、输出和管理密钥的设备。密钥管理模块有极高的安全保密需求,一旦发生泄漏,或者被别人攻破,整个系统就不再安全。由量子通信模块制备的密钥,都保存在密钥管理模块中。
就所述加解密模块而言,所述加解密模块用于采用某些对称或非对称算法实现加解密功能,如AES、RSA、MD5等,对业务数据进行加解密操作的模块。加解密过程都需要用到密钥,密钥由密钥管理模块提供,这个过程叫密钥提供。
就所述接入与路由模块而言,所述接入与路由模块主要有三个功能:一是 对用户进行接入认证;二是接入用户的业务数据,将用户数据送到加解密模块进行加密操作,或者反过来,将加密数据包送到加解密模块进行解密操作,再分发给用户;三是执行路由协议,选择下一跳量子节点的路径,将加密数据包路由至下一跳量子节点。
与QAG相连的有两种信道,量子信道和经典信道。量子信道又有两种物理形式,即光纤和开放空间。量子信道里走的是单光子量子信号或者连续变量量子信号。经典信道是相对量子信道而言的,即目前广泛部署的各种有线和无线网络。QAG通过量子信道与另一个量子节点(QAG或QRR)相连,两两之间生成量子密钥,QAG通过经典信道接入用户数据,再将加密后的数据通过经典信道上传到经典网络。
二、OSR
OSR主要起光口的汇聚、交换等功能。OSR并不参与量子通信协议,也不参与密钥生成的过程,只作为传输介质透传光路,OSR对量子通信的两端是透明的,不被感知的,所以OSR不算量子节点。在QKD网络中,OSR主要是根据实际情况,用于构建不同的网络拓扑结构。
三、QRR
QRR与QAG类似,QRR从功能上也分为四个部分,即量子通信模块21、密钥管理模块22、加解密模块23、路由模块24,如图2所示。
其中,QRR中的所述量子通信模块、所述密钥管理模块、所述加解密模块的功能与QAG中相对应的模块在功能实现上可以完全一样,只有QRR的路由模块与QAG中的所述接入与路由模块略有区别,QRR的路由模块主要是执行路由协议,计算出上一跳量子节点和下一跳量子节点,将上一跳量子节点发来的加密数据包经加解密处理后,再路由至下一跳量子节点。
与QRR相连的有两种信道,量子信道和经典信道。QRR利用量子信道与上一跳量子节点、下一跳量子节点分别制备一批量子密钥,用于加解密操作,这个过程叫量子中继。QRR利用经典信道与经典网络连接,转发业务数据。
四、电信级QKD网络的架构
如图3所示,电信级QKD网络分为3层,即接入层、汇聚层和核心层。QAG部署在接入层,OSR部署在汇聚层,QRR部署在核心层。QAG、OSR和QRR之间,既有经典信道相连,也有量子信道相连。如果量子信道是光纤量子信道,取决于当前量子通信技术的水平,两个量子节点之间有距离限制,如不能超过70km。另外,OSR只是透传量子信号,所以OSR对电信级QKD网络来说不是必须的。
QAG是带量子通信功能的接入路由器,部署在接入层,与现有公网网络架构的接入路由器位置一致。QAG既执行经典通信功能,也执行量子通信功能。QAG可以根据其接入的每一个业务的性质,决定是否启用量子通信。
QAG的经典通信功能主要是对用户进行认证,并接入用户的业务数据,如话音、短信、邮件、数据等,执行路由算法,将用户的业务数据路由至城域网或核心网等其他路由交换设备,另外还要在网络某些部分发生故障的时候要将数据通信切换到其他链路上进行,等等,这些功能与传统的接入路由器并无区别,本文不再描述。本文所描述的QAG的经典通信功能,是与量子通信功能相关的部分,即计算出量子通信的下一跳的路由,后面将有实施案例进行详细描述。
QAG的量子通信功能主要是进行业务密钥的分发,后面将有实施案例进行详细描述。
OSR是包含端口级光交换功能的路由器,部署在汇聚层,主要起光口的汇聚、交换等功能,与现有公网网络架构的汇聚路由器或城域路由器位置一致。OSR执行经典通信功能,对量子通信透传。对经典通信而言,OSR就是普通的汇聚层路由器或汇聚层交换机。对量子通信而言,OSR主要执行端口级的光路交换功能,并不参与量子通信协议,也不参与密钥生成的过程,只作为传输介质透传光量子信号。
QRR是带量子通信功能的汇聚或核心路由器,部署在核心层,与现有公网网络架构的城域路由器或骨干路由器位置一致。QRR既执行经典通信功能,也执行量子通信功能。QRR可以根据每一个业务的性质,决定是否启用量子通信。
QRR的经典通信功能主要是执行路由算法,将数据路由至城域网或核心网等其他路由交换设备,在网络某些部分发生故障的时候要将数据通信切换到其他链路上进行,等等,这些功能与传统的城域路由器和骨干路由器并无区别,本文不再描述。本文所描述的QRR的经典通信功能,是与量子通信功能相关的部分,即计算出量子通信的下一跳的路由,后面将有实施案例进行详细描述。
QRR的量子通信功能主要是进行业务密钥的中继,后面将有实施案例进行详细描述。
基于上述安全通信网络架构系统不同方法流程的应用实例如下所示:
应用实例一:接入、中继和分发业务密钥的情况。
电信级QKD网络既可执行经典业务,又可执行量子业务。经典业务有话音、短信、邮件、数据等,执行经典业务的过程与目前的技术和方法没有区别,此不叙述。量子业务主要就是分发密钥,这里的密钥是业务密钥,对QKD网络来说,业务密钥可以简单地理解为一串需要传递的数字。QKD网络的两两量子节点之间,会生成量子密钥对,QKD网络的每个量子节点用量子密钥对业务密钥进行加解密运算,再发送给下一条节点,这个过程就是业务密钥的接入、中继和分发流程。
如图4所示为应用实例一中业务密钥的接入与中继的流程图,包括:
步骤41、QAG与相邻的量子节点事先制备一批量子密钥,保存在各自的密钥管理模块中,两个相邻量子节点制备的密钥完全一致。例如,QAG与相邻QRR各自生成了一批量子密钥,其中有一个是K1,QRR与下一跳量子节点各自生成了一批量子密钥,其中有一个是K2。
步骤42、QAG接入用户A发来的业务密钥S。
步骤43、QAG的密钥管理模块提供K1给加解密模块。
步骤44、QAG的加解密模块用K1对S进行加密,得到加密数据包SΛK1。
步骤45、QAG的接入与路由模块执行路由协议,计算出下一跳量子节点的路由,将SΛK1发往下一跳量子节点。SΛK1可以在公网上传输。
步骤46、下一跳的量子节点(这里用QRR做说明)收到SΛK1。
步骤47、QRR的密钥管理模块提供K1和K2这两个量子密钥给加解密模块。
步骤48、QRR的加解密模块用K1和K2对SΛK1进行加解密运算。加解密运算的方法有很多种,最简单的方法是先用K1对SΛK1解密,解出S,再用K2对S加密,得到SΛK2。复杂一点的方法是先对K1和K2做异或运算,得到K1ΛK2,再用K1ΛK2对SΛK1加密。加解密运算的方法不属于本专利的发明点。此处用第一种方法做说明,即用K1对SΛK1解密,再用K2对S加密,得到SΛK2。
步骤49、QRR的接入与路由模块执行路由协议,计算出下一跳量子节点的路由,将SΛK2发往下一跳量子节点。SΛK2可以在公网上传输。
如图4所示为应用实例一中业务密钥的中继与分发的流程图,包括:
步骤51、QRR与相邻的量子节点事先制备一批量子密钥,保存在各自的密钥管理模块中。两个相邻量子节点制备的密钥完全一致。例如,QRR与上一跳量子节点各自生成了一批量子密钥,其中有一个是K2,QRR与QAG各自生成了一批量子密钥,其中有一个是K3。
步骤52、QRR收到上一跳量子节点传来的SΛK2。
步骤53、QRR的密钥管理模块提供K2和K3两个量子密钥给加解密模块。
步骤54、QRR的加解密模块用K2,K3对SΛK2进行加解密运算,得到SΛK3。
步骤55、QRR的接入与路由模块执行路由协议,计算出下一跳量子节点的路由,将SΛK3发往下一跳量子节点。SΛK3可以在公网上传输。
步骤56、QAG收到上一跳QRR发来的SΛK3。
步骤57、QAG的密钥管理模块提供量子密钥K3给加解密模块。
步骤58、QAG的加解密模块用K3对SΛK3进行解密,得到业务密钥S。
步骤59、QAG的接入与路由模块执行路由协议,将S分发给用户。
应用实例二:路由和切换情况。
量子通信是点到点的,即每一个量子节点只与其相邻的固定的量子节点进行量子通信。将业务密钥从一个用户分发到另一个用户,这是一个端到端的过程,中间经过了很多个量子节点,需要计算路径。现有的实验系统,其节点数很少,路径是实验者预先设定好的。对于一个大规模部署的QKD网络,每一个节点都需要运用路由协议自动计算路由,在网络局部发生故障的时候能够自动切换到其他路径上。
如图6所示的是一个电信级QKD网络的极简模型,A、B两用户之间,QAG1,QAG2接入业务密钥,QAG1和QAG2的路径上由3台QRR组成的最小网络进行密钥的中继。OSR由于未参与量子通信处理过程,在图6所示的模型中省略掉了。在每两个相邻的量子节点之间,既有经典信道又有量子信道进行互联,相邻的量子节点通过量子信道各自生成了量子密钥对,用K1,K2,K3,K4,K5表示。业务密钥在从A到B的传递的过程中,加密数据包的格式是:
目的地址|源地址|第一量子节点|第二量子节点|...|当前量子节点|加密信息
各个量子节点根据数据包的内容进行路由。路由过程包括:
步骤61、用户A有一个业务密钥S要发给用户B,发出数据包的格式是:B|A|S。
步骤62、QAG1收到B|A|S,针对目的地址B计算路由,得到下一跳量子节点的地址是QRR1,查询QAG1与QRR1之间的量子密钥是K1,用K1对S做加密运算,得到SΛK1,QAG1将新的加密数据包B|A|QAG1|SΛK1发给下一跳量子节点QRR1。
步骤63、QRR1收到B|A|QAG1|SΛK1,查询上一跳量子节点QAG1与QRR1的量子密钥是K1,针对目的地址B计算路由,得到下一跳量子节点的地址是QRR2,查询QRR1与QRR2之间的量子密钥是K2,对SΛK1用K1做解密再用K2做加密,得到SΛK2,QRR1将新的加密数据包B|A|QAG1|QRR1|SΛK2发给下一跳量子节点QRR2。
步骤64、QRR2收到B|A|QAG1|QRR1|SΛK2,采用与63相同的处理过程, 向下一跳QAG2发出新的加密数据包B|A|QAG1|QRR1|QRR2|SΛK3。
步骤65、QAG2收到B|A|QAG1|QRR1|QRR2|SΛK3,查询上一跳量子节点QRR2与QAG2的量子密钥是K3,用K3对SΛK3解密得到初始业务密钥S,将S分发给用户B。
这里需要指出的是,当网络中某些信道出现问题,例如QRR1和QRR2之间的信道出现问题,需要进行链路切换。切换过程还包括如下步骤:
其中,前两步61、62过程,如上述路由过程中的一样,保持不变。
步骤66、QRR1收到B|A|QAG1|SΛK1,查询上一跳量子节点QAG1与QRR1的量子密钥是K1,针对目的地址B计算路由,发现QRR1和QRR2不通,重新计算路由得到新的下一跳量子节点的地址是QRR3,查询QRR1与QRR3之间的量子密钥是K4,对SΛK1用K1做解密再用K4做加密,得到SΛK4,QRR1将新的加密数据包B|A|QAG1|QRR1|SΛK4发给下一跳量子节点QRR3。
步骤67、QRR3收到B|A|QAG1|QRR1|SΛK4,采用与63相同的处理过程,向下一跳QAG2发出新的加密数据包B|A|QAG1|QRR1|QRR3|SΛK5。
步骤68、QAG2收到B|A|QAG1|QRR1|QRR3|SΛK5,查询上一跳量子节点QRR3与QAG2的量子密钥是K5,用K5对SΛK5解密得到初始业务密钥S,将S分发给用户B。
本发明实施例所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,也可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实施例的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品存储在一个存储介质中,包括若干指令用以使得一台计算机设备(可以是个人计算机、服务器、或者网络设备等)执行本发明各个实施例所述方法的全部或部分。而前述的存储介质包括:U盘、移动硬盘、只读存储器(ROM,Read-Only Memory)、随机存取存储器(RAM,Random Access Memory)、磁碟或者光盘等各种可以存储程序代码的介质。这样,本发明实施例不限制于任何特定的硬件和软件结合。
相应的,本发明实施例还提供一种计算机存储介质,其中存储有计算机程 序,该计算机程序用于执行本发明实施例的业务密钥分发方法及路由切换方法。
以上所述,仅为本发明的较佳实施例而已,并非用于限定本发明的保护范围。
- 还没有人留言评论。精彩留言会获得点赞!