一种基于DPI的量子秘钥分发方法与流程

本发明属于通信技术领域，涉及一种基于DPI的量子秘钥分发方法。

背景技术：

上世纪下半叶以来，科学家们在“海森堡测不准原理”和“量子不可克隆原理”之上，逐渐建立了量子密码术的概念。量子密码术以单量子态作为信息载体，由于单量子态无法被克隆，而且任何测量操作都会改变其量子态，因此窃听者无法在不被发现的前提下获得任何有效信息。换言之，信息的合法接收者可以从量子态的改变得知信道中存在窃听，从而终止通信过程。因此这种方式被称为在物理上“绝对安全”的通信方式，在国防，军事，政治，金融等各个领域都具有重要的研究价值。

从上个世纪八十年代至今，量子保密通信已经历了近30年的基础理论研究和安全性验证，目前其实用化的时机已经成熟。随着各国逐渐意识到量子通信的重要意义，其产品化的脚步也在加快。欧美等发达国家已经开始了高速量子通信和大规模保密通信网络的探索，我国也将其列为重点科研项目进行研究。

在量子保密通信过程中，信息载体为单光子，考虑到单光子在光纤信道中的衰减及探测器探测效率等原因，商用系统的通信距离一般不会超过100km，这种局限性使得点对点量子通信系统只能适用于城际的保密通信，而对于省际和省际以上的保密通信却无能为力，这大大限制了量子保密通信的使用范围，对其实用化的发展进程也带来了阻碍。

目前在网络的加密方式主要使用传统密钥加密机或者VPN技术进行加密，采用前国际上常用的多种密码算法，这些算法都是基于算法复杂度的加密算法，VPN等技术密钥交换方式多数采用的因特网信息交换(IKE)方案，所使用的密钥都是在传统的网络上进行信息交换后经计算得到，这都使传输存在着很大的安全风险。量子密钥加密因为具有无条件安全性，通过量子密钥加密信道可以可靠的安全传输，但是目前主要的量子密钥分发过程中，量子密钥的生成速度和密钥量都是非常有限的，若用于网络中所有网络应用的高速传输，将很大程度上影响网络传输的效率，成为网络传输的瓶颈。

技术实现要素：

本发明的目的是提供一种基于DPI的量子秘钥分发方法，旨在实现对网络核心业务流量的区分和鉴别，对不同业务流量进行分级加密，基于业务的安全级别，依据加密策略选择量子密钥分发加密或传统加密方式，实现网络的核心业务流量的量子保密通信，并兼顾网络业务的传输效率。

本发明所采用的技术方案是，一种基于DPI的量子秘钥分发方法，该方法采用以下模块：网络接入模块、DPI分析模块、加密策略选择模块、网络透传或传统加密模块、量子密钥加密模块与策略库；

网关系统工作在网络广域网与局域业务网络及办公网络连接处；

所述网络接入模块，具有可扩展性网络接口选择的功能，根据实际网络布线的需要，板载多个PCI-E接口，通过转换模组连接各种广域网端接口和局域网端接口；

所述DPI分析模块与网络接入模块连接，用于对网络数据流进行深度数据包检测，通过对网络流量特征分析，识别网络流量中各种应用及其内容的指纹特征，根据进入DPI分析模块的数据流进行业务分类，对于办公网络使用的常规业务应用以及网络中的核心业务及交易业务进行区分标识，提交给加密策略选择模块；

所述加密策略选择模块与DPI分析模块连接，用于根据网络中实际各种业务安全需求级别，以及量子密钥加密模块量子密钥生成状态，根据用户事先在策略库中定义加密策略，将加密策略的优先级分为：必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级；

所述网络透传或传统密钥加密模块与加密策略选择模块连接，用于根据加密策略选择模块提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过DES，AES，3DES，OTP，RSA，IPSEC加密算法进行加密；

所述量子密钥加密模块与加密策略选择模块连接，用于根据加密策略选择模块指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商；具备量子密钥分发条件的，进行量子加密传输；密钥不足或生成速度异常时，采用业务流量缓存或密钥倍增技术保证量子保密通信的流畅传输；

所述策略库与加密策略选择模块连接，用于定义加密策略。

本发明的特征还在于，进一步的，广域网端接口，包括模拟、ISDN BRI、E1/T1/T1、GSM/WCDMA，接入网络广泛使用的SDH、ATM、PTN专用线路；局域网接口通过转换模组连接各种局域网接口，包括单模光纤接口、多模光纤接口、以及以太网RJ-45接口，可接入与局域网中的路由器、防火墙或交换机的网络设备连接。

进一步的，DPI模块分析模块的具体实现方法：

DPI引擎启动后，根据网络中不同业务所使用的应用层协议类型、协议端口以及网络数据包中的荷载信息，利用特征提取算法对流量特征进行提取，特征提取算法包括对应用协议类型、协议端口映射为对象的特征提取，包括对数据包深层具体载荷为对象的特征提取，和针对网络流统计特征的特征提取，DPI引擎通过深度挖掘应用协议网络数据包中常出现的稳定的独特的特征字符串，特征字符串是用于标识网络通信协议特征码，通过全局特征向量Hash映射表与核心业务特征库进行匹配，识别出当前网络数据流是否属于网络中需要通过量子加密保证其高度安全性的核心业务流量，对于进行完业务分类的流量，可有效的对其是否属于网络核心业务进行标识。

进一步的，判断所述流量特征与目标业务类特征相关度时采用信息论中的互信息并归一化后度量，不同流量特征与目标业务类特征的相关度表示为R(f，class)，计算方法如下式：

$R(f,class)=2\frac{I(f;class)}{H\left(f\right)+H\left(class\right)},0\≤R(f,class)\≤1$

其中f和class分别表示网络流量特征和目标业务类，H(f)和H(class)分别表示f和class的熵，I(f；class)为f和class的互信息；

熵是随机变量不确定性的度量，一个离散随机变量X，取值空间为SX，概率密度函数为p(x)，x∈S_X，则X的熵定义为：

$H\left(X\right)=-\underset{x\∈S_X}{\Σ}p\left(x\right)\log p\left(x\right)$

两个离散随机变量X和Y共享信息的程度用互信息来度量：

$I(X;Y)=\underset{x\∈S_X}{\Σ}\underset{y\∈S_Y}{\Σ}p(x,y)log\frac{p(x,y)}{p\left(x\right)p\left(y\right)}$

在变量Z已知的条件下，变量X和Y共享信息的程度用条件互信息来度量：

$I(X;Y|Z)=\underset{x\∈S_X}{\Σ}\underset{y\∈S_Y}{\Σ}\underset{z\∈S_Z}{\Σ}p(x,y,z)log\frac{p(x,y|z)}{p\left(x\right|z)p\left(y\right|z)}.$

进一步的，所述加密策略选择模块的安全策略由安全管理员制定并存储于策略库中，用以对各种已经确定业务分类的流量进行不同级别的配置，以7元组形式表示为：

P＝<ID，BType，BLevel，EncyptPrior，QKDstatus，EncyptType，Forward>

其中ID为策略编号；BType为业务类型，BLevel为业务等级，EncyptPrior为加密优先级；QKDstatus为量子加密模块提供的当前量子密钥分发系统的状态，EncyptType为加密类型，Forward为根据加密类型不同将业务流转发的目的模块，包括量子密钥加密模块或者网路透传或传统加密模块或不加密模块。

进一步的，所述网络透传或传统加密模块根据加密策略选择模块提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过传统的DES，AES，3DES，OTP，RSA，IPSEC加密算法进行加密，网络透传或传统加密方式分别使用不同的链路接口与对端进行通信。

进一步的，所述量子密钥加密模块通过传统链路和光纤量子密钥分发链路与量子密钥加密模块的分发设备相连接；量子密钥加密模块根据加密策略选择模块的指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商，具备量子密钥分发的，进行量子加密传输，密钥不足或生成速度异常时，采用业务流量缓存及密钥倍增技术保证量子保密通信的流畅传输。

本发明的有益效果是通过对网络流量进行基于应用层的流量检测和控制技术DPI，实现对网络核心业务流量的区分和鉴别，对不同业务流量进行分级加密，基于业务的安全级别，依据加密策略选择量子密钥分发加密或传统加密方式，实现网络的核心业务流量的量子保密通信，并兼顾了网络业务的传输效率。

附图说明

图1是本发明实施例提供的基于DPI的量子秘钥分发方法的结构示意图；

图2是本发明实施例提供的DPI分析模块的具体实现流程图；

图3是本发明实施例提供的网络的量子保密通信网络接入应用网关系统集成示意图。

图中：1、网络接入模块；2、DPI分析模块；3、加密策略选择模块；4、网络透传或传统加密模块；5、量子密钥加密模块；6、策略库。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图及具体实施例对本发明的应用原理作进一步描述。

图1示出了本发明的基于DPI的量子秘钥分发方法的结构，如图所示，本发明是这样实现的，一种基于DPI的量子秘钥分发方法包括网络接入模块1、DPI(基于深度包检测技术)分析模块2、加密策略选择模块3、网络透传或传统加密模块4、量子密钥加密模块5、策略库6六个模块；

网络接入模块1，具有可扩展性网络接口选择的功能，根据实际网络布线的需要，板载多个PCI-E接口，通过转换模组连接各种广域网端接口及局域网接口；

DPI分析模块2，与网络接入模块1连接，用于对网络数据流进行应用层分析，识别各种应用及其内容，不同应用的协议根据DPI进入模块的数据流进行业务分类，对于办公网络使用的常规业务应用以及网络中的核心业务及交易业务进行区分标识，提交给加密策略选择模块3；

加密策略选择模块3，与DPI分析模块2连接，用于根据网络中实际各种业务安全需求级别，以及量子加密模块量子密钥生成状态，根据用户事先在策略库6中定义加密策略，将加密策略的优先级可分为：必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级；

网络透传或传统密钥加密模块4，与加密策略选择模块3连接，用于根据加密策略选择模块3提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过传统的DES，AES，3DES，OTP，RSA，IPSEC等加密算法进行加密；

量子密钥加密模块5，与加密策略选择模块3连接，用于根据加密策略选择模块3指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商，具备量子密钥分发的，进行量子加密传输，密钥不足或生成速度异常时，采用业务流量缓存及密钥倍增技术保证量子保密通信的流畅传输；

策略库6，与加密策略选择模块3连接，用于定义加密策略。

结合图1-图3对本发明的原理做进一步的描述：

网络接入模块1具有可扩展性网络接口选择的功能，可以根据实际网络布线的需要，板载多个PCI-E接口，通过转换模组连接各种广域网端接口，包括模拟、ISDN BRI、E1/T1/T1、GSM/WCDMA等多种接口，可接入目前网络广泛使用的SDH、ATM、PTN等多种专用线路；局域网接口通过转换模组连接各种局域网接口，包括单模光纤接口、多模光纤接口、以及以太网RJ-45接口，可接入与局域网中的路由器、防火墙或交换机等网络设备连接；

DPI分析模块2的功能当网络流量进入到网络的量子保密通信网络接入应用网关后，通过网络接入模块1提交到DPI分析模块2，DPI分析模块2是采用多核并行结构的基于深度数据包检测进行网络业务流量识别的模块，通过DPI分析模块2，对各种网络中的业务进行区分，根据用户网络安全需要，可以将核心业务以及办公网络中部分安全要求高的业务，通过用户特殊定义的核心业务特征库和模式识别技术将各种业务识别出来；

如图2所示，DPI模块的具体实现方法：

DPI引擎启动后，根据网络中不同业务所使用的应用层协议类型、协议端口以及网络数据包中的荷载信息，利用特征提取算法对流量特征进行提取，特征提取包括了对应用协议类型、协议端口映射为对象的特征提取，也包括对数据包深层具体载荷为对象的特征提取，和针对网络流统计特征的特征提取，DPI引擎通过深度挖掘应用协议网络数据包中常出现的稳定的独特的特征字符串，这些字符主要是用于标识网络通信协议特征码，通过全局特征向量Hash映射表与核心业务特征库进行匹配，识别出当前网络数据流是否属于网络中需要通过量子加密保证其高度安全性的核心业务流量，对于进行完业务分类的流量，属于网络核心业务，例如带有交易特征字的交易子系统流量，和安全性要求较低办公系统中一般性Http访问流量等提交给加密策略选择模块进行处理；

以上过程中：

判断流量特征与目标业务类特征相关度时可采用信息论中的互信息并将其归一化后度量，流量特征是通过DPI引擎利用特征提取算法所提取的数据包特征，包括数据传输使用的协议，协议端口，以及网络数据包中的载荷信息中稳定独特的特征字符。目标业务类特征是指某一个业务类在进行网络传输时数据包流量所具有的特征，目标业务类的流量特征可以用来标识特定的某项业务；不同流量特征与目标业务类特征的相关度表示为R(f，class)，计算方法如公式(1)所示：

$R(f,class)=2\frac{I(f;class)}{H\left(f\right)+H\left(class\right)},(0\&le;R(f,class)\&le;1)---\left(1\right)$

其中f和class分别表示所述网络流量特征和目标业务类，H(f)和H(class)分别表示f和class的熵，I(f；class)为f和class的互信息，本发明提到的关于信息论中熵、互信息和条件互信息的基本概念为：

熵是随机变量不确定性的度量，一个离散随机变量X，其取值空间为SX，概率密度函数为p(x)，x∈SX，则X的熵定义为：

$H\left(X\right)=-\underset{x\&Element;S_X}{\&Sigma;}p\left(x\right)\log p\left(x\right)---\left(2\right)$

两个离散随机变量X和Y共享信息的程度用互信息来度量：

$I(X;Y)=\underset{x\&Element;S_X}{\&Sigma;}\underset{y\&Element;S_Y}{\&Sigma;}p(x,y)log\frac{p(x,y)}{p\left(x\right)p\left(y\right)}---\left(3\right)$

在变量Z已知的条件下，变量X和Y共享信息的程度用条件互信息来度量：

$I(X;Y|Z)=\underset{x\&Element;S_X}{\&Sigma;}\underset{y\&Element;S_Y}{\&Sigma;}\underset{z\&Element;S_Z}{\&Sigma;}p(x,y,z)log\frac{p(x,y|z)}{p\left(x\right|z)p\left(y\right|z)}$

加密策略选择模块3的具体实现方法：

加密策略选择模块，是根据网络中实际各种业务安全需求级别，以及量子加密模块量子密钥生成状态，根据用户事先在策略库中定义加密策略，加密策略的优先级可分为：1.必须量子加密；2.根据量子密钥状态选择量子密钥加密或传统加密；3.只需传统加密；4.不需加密；

安全策略由安全管理员制定并存储于策略库中，用以对各种已经确定业务分类的流量进行不同级别的配置，以7元组形式表示为：

P＝<ID，BType，BLevel，EncyptPrior，QKDstatus，EncyptType，Forward>

其中ID为策略编号；BType为业务类型，BLevel为业务等级，EncyptPrior为加密优先级；QKDstatus为量子加密模块提供的当前量子密钥分发系统的状态，EncyptType为加密类型，Forward根据加密类型不同将业务流转发的目的模块，包括量子机密模块或者传统加密或网络透传(不加密)模块；

由用户可以对网络中的各种核心业务及常规业务进行策略制定，举例如<0001，1，1，working:2M:50k，QEN，QM>表示一个量子密钥加密策略，序列号为1，业务类型为1类(用户自定义，例如1类表示某一种网络业务如某一类交易业务)，业务级别1级(用户定义，表示当前业务需要的安全级别，别如1表示最高安全级别)，当前通过量子加密模块获得的量子密钥分配系统的状态为：量子密钥分发系统工作正常，量子密钥finalkey的数量大于2M，量子密钥成码率大于50kbps；选择量子密钥加密方式通信，将此业务流量转发至量子加密模块进行处理；

网络透传或传统加密模块4的具体实现方法：

网络透传或传统加密模块4根据加密策略选择模块提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过传统的DES，AES，3DES，OTP，RSA，IPSEC等加密算法进行加密，网络透传或传统加密方式分别使用不同的链路接口与对端进行通信；

量子密钥加密模块5具体实现方法：

量子密钥加密模块5通过传统链路和光纤量子密钥分发链路与量子密钥加密模块5的分发设备相连接。量子密钥加密模块5，根据加密策略选择模块3的指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商，具备量子密钥分发的，进行量子加密传输，密钥不足或生成速度异常时，采用业务流量缓存及密钥倍增技术保证量子保密通信的流畅传输。

如图3所示是本发明的应用在量子接入应用网关系统的集成图，本发明应用的方法主要应用在量子接入应用网关中，位于网络的总部和分支机构或者营业网点的广域网光纤链路的两端，支持目前网络多数采用的租用电信运营商的SDH、ATM、PTN的光纤线路。图中，设备1为网络的量子保密通信网络接入应用网关，设备2为量子密钥分发设备(QKD系统)，两端的量子密钥分发设备分别为Alice端和Bob端，可以采用BB84协议，量子秘钥分发协议对Alice端和Bob端双方量子密钥的生成、筛选、控制、同步等过程进行管理。广域网链路两端的量子保密通信网关通过1个或多个传统加密数据线路和1个量子加密链路相连，用于传输不同安全级别的加密数据流，两端的量子密钥分发设备通过量子密钥分发链路连接，进行基于单光子诱骗态的量子密钥生成、同步、检测、分发等工作，整个量子密钥分发设备通过传统数据链路和量子QKD链路与量子接入网关的量子加密模块进行通信，协商量子网络核心业务流的量子加密。

本发明通过对网络流量进行基于应用层的流量检测和控制技术DPI(基于深度包检测技术)，实现对网络核心业务流量的区分和鉴别，对不同业务流量进行分级加密，基于业务的安全级别，依据加密策略选择量子密钥分发加密或传统加密方式，实现网络的核心业务流量的量子保密通信，并兼顾了网络业务的传输效率。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。