本发明涉及量子保密通信技术领域,特别是涉及经典网络接入量子密钥分配网络加密融合控制方法。
背景技术
近年来,具备巨大信息携带量和超强并行计算处理能力的量子计算技术发展迅速,实用化通用量子计算机的研发可能在未来获得突破性进展。量子计算技术对于现有的基于计算复杂度保证安全性的公钥加密体制将构成严重威胁,详见mohsenim,readp,nevenh,etal.commercializequantumtechnologiesinfiveyears[j].nature,2017,543(7644):171-174。量子通信利用微观粒子系统的量子态或纠缠效应等进行信息或密钥传输,由量子力学原理保证信息传输的绝对安全性,主要包括量子隐形传态(quantumteleportation,qt)和量子密钥分发(quantumkeydistribution,qkd)两类,详见loh.k.,curtym.,tamakik.,etal.securequantumkeydistribution[j].naturephotonics,2014,8(8):595-604。目前,量子隐形传态技术尚不成熟,是量子信息领域理论研究和实验探索的前沿热点,详见zhouzw.,chenw.,sunf.w.,etal.asurveyonquantuminformationtechnology[j].chinesesciencebulletin,2012,57(17):1498-1525。量子密钥分发通过量子态的传输和测量,在收发双方间实现无法被窃听的安全密钥共享,再与传统保密通信技术相结合,实现经典信息的加密传输。基于量子密钥分发的保密通信称为量子保密通信(quantumsecurecommunication,qsc)。
量子保密通信技术在理论上已被证明具有绝对安全性,是面对量子计算威胁的重要解决方案,是未来计算机网络解决安全性问题的发展趋势。而目前技术较为成熟的基于量子密钥分配的量子保密通信网络系统生产成本较高、价格昂贵,在短时期内是无法完全替代现有计算机通信网络的,因此,在推向实用化和商用的进程中必将面临与现有经典网络的融合的问题。经典网络与量子保密通信网络融合主要瓶颈问题是:基于bb84协议原理的qkd系统量子密钥成码率低,“一次一密”的加密方式无法满足对于经典网络通信数据的实时加密的需求。因此,有效的安全密钥制备及分配是量子保密通信走向实际应用的关键。
技术实现要素:
本发明所要解决的技术问题是:鉴于采用bb84协议原理的量子密钥分配系统量子密钥成码率低,使用“一次一密”的加密方式无法满足对于经典网络通信数据的实时加密需求问题,本发明提供了一种经典网络接入量子密钥分配网络加密融合控制方法。
本发明采用如下技术方案:经典网络接入量子密钥分配网络加密融合控制方法,其特征在于,该方法采用的系统包含:量子密钥分配网络,双网融合网关,融合交换机及经典网络,
所述量子密钥分配网络用于生成具有真随机性的原始量子密钥;
所述双网融合网关包括量子网络接入模块、量子密钥读取模块、量子密钥扩展模块、经典网络接入模块、包读取与分析模块、包密级度检测模块、选择性加密控制模块及数据转发模块,其中量子网络接入模块用于连接量子密钥分配网络;量子密钥读取模块用于从量子密钥分配网络获取原始量子密钥并进行存储;量子密钥扩展模块用于对原始量子密钥进行处理,从而得到扩展量子密钥和伪随机量子密钥,同时进行存储;经典网络接入模块用于连接经典网络;包读取与分析模块用于捕获并分析经典网络出流量数据包;包密级度检测模块用于将数据包按重要性和保密程度划分密级度,并标识密级度;选择性加密控制模块用于根据密级度标识和数据包密级度划分结果,对数据包进行选择性加密;数据转发模块用于转发数据包;
所述融合交换机用于将量子密钥分配网络、双网融合网关及经典网络联通;
具体流程步骤如下:
1)双网融合网关通过融合交换机捕获来自经典网络出流量数据包;
2)双网融合网关根据数据包首部字段信息对数据包进行分析,将数据包按重要性和保密程度划分密级度,分为绝密数据、机密数据和秘密数据三个等级,设绝密数据等级最高,秘密数据等级最低,并进行密级度标识;
3)通过自定义规则特征库中的特征规则对数据包进行匹配,判断数据包是否需要加密;
4)如果数据包不需要加密则通过双网融合网关中的数据转发模块直接转发;
5)如果数据包需要加密则根据密级度标识分别对数据包进行加密,绝密数据利用原始量子密钥进行加密;机密数据利用扩展量子密钥进行加密;秘密数据利用伪随机量子密钥进行加密;
6)将加密后的数据包通过数据转发模块,经路由器转发到公网。
其中,所述量子密钥扩展模块采用密钥扩展算法对原始量子密钥进行扩展,得到扩展量子密钥,同时通过伪随机数生成算法对原始量子密钥进行处理得到伪随机量子密钥。
其中,所述融合交换机为三层交换机。
其中,所述经典网络为基于经典通信模式的计算机通信网络。
其中,步骤2)中所述数据包首部字段信息包括数据包的源ip地址、目的ip地址、源端口地址及目的端口地址。
其中,步骤3)中所述的通过自定义规则特征库中的特征规则对数据包进行匹配的过程如下:将具有相同的源ip地址、目的ip地址、源端口地址及目的端口地址的数据包进行匹配。
通过上述设计方案,本发明可以带来如下有益效果:本发明提供了一种经典网络接入量子密钥分配网络加密融合控制方法,通过对量子密钥进行安全扩展及数据选择性加密手段,实现了量子密钥对经典网络数据进行加密和转发,将量子密钥分配网络与现有的经典通信网络进行灵活集成,能够有效促进量子密钥分配qkd应用部署,对量子保密通信技术商用化发展具有重要意义。
附图说明
下面结合附图说明和具体实施方式对本发明作进一步说明:
图1为经典网络接入量子密钥分配网络的实施示意图;
图2为双网融合网关内部模块工作流程图;
图3为经典网络接入量子密钥分配网络加密融合控制方法的流程图;
图4为量子密钥扩展方法流程图;
图5为量子密钥等级库示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合具体实施例,并参照附图,对本发明作进一步的详细说明。
参照图1所示,经典网络接入量子密钥分配网络加密融合控制方法采用的系统包含:量子密钥分配网络,双网融合网关,融合交换机及经典网络,图中表示信息传输的实线为经典信道,虚线为量子信道,具体说明如下:
量子密钥分配网络主要包含alice发送端和bob接收端,主要作用是生成具有真随机性的原始量子密钥,alice发送端和bob接收端经过协商后,双方持有相同的量子密钥。
所述双网融合网关包括量子网络接入模块、量子密钥读取模块、量子密钥扩展模块、经典网络接入模块、包读取与分析模块、包密级度检测模块、选择性加密控制模块及数据转发模块,参照图2所示,其中:
量子网络接入模块用于连接量子密钥分配网络;
量子密钥读取模块用于从量子密钥分配网络获取原始量子密钥,同时进行存储;
量子密钥扩展模块用于对原始量子密钥进行处理,从而得到扩展量子密钥和伪随机量子密钥,同时进行存储;
经典网络接入模块用于连接经典网络;
包读取与分析模块用于捕获并分析经典网络出流量数据包;
包密级度检测模块用于将数据包按重要性和保密程度划分密级度,并标识密级度;
选择性加密控制模块用于根据密级度标识和数据包密级度划分结果,对数据包进行选择性加密,用于加密的量子密钥来源于原始量子密钥、扩展量子密钥和伪随机量子密钥;
数据转发模块用于实现数据转发功能,经该数据转发模块数据包被发送到网络出口路由器,最终转发到公网。
融合交换机为经典三层交换机,融合交换机主要功能是实现量子密钥分配网络、双网融合网关、经典网络三方的联通。
所述经典网络为基于经典通信模式的计算机通信网络。
经典网络接入量子密钥分配网络加密融合控制方法的工作流程如图3所示,结合图2示出的融合控制网关内部模块工作流程图,具体流程步骤如下:
1)双网融合网关通过融合交换机捕获来自经典网络出流量数据包;
2)双网融合网关根据数据包首部字段信息对数据包进行分析,所述数据包首部字段信息包括数据包的源ip地址、目的ip地址、源端口地址及目的端口地址,将数据包按重要性和保密程度划分密级度,分为绝密数据、机密数据和秘密数据三个等级,设绝密数据等级最高,秘密数据等级最低,并进行密级度标识;
3)通过自定义规则特征库中的特征规则对数据包进行匹配,具体将具有相同的源ip地址、目的ip地址、源端口地址及目的端口地址的数据包进行匹配,判断数据包是否需要加密;
4)如果数据包不需要加密则通过双网融合网关中的数据转发模块直接转发;
5)如果数据包需要加密则根据密级度标识分别对数据包进行加密,绝密数据利用原始量子密钥进行加密;机密数据利用扩展量子密钥进行加密;秘密数据利用伪随机量子密钥进行加密;
6)将加密后的数据包通过数据转发模块,经路由器转发到公网。
所述量子密钥扩展模块采用密钥扩展算法对原始量子密钥进行扩展,得到扩展量子密钥,同时通过伪随机数生成算法对原始量子密钥进行处理得到伪随机量子密钥。
图4示出经典网络接入量子密钥分配网络加密融合控制方法中的量子密钥扩展方法流程图,结合图2示出的融合控制网关内部模块工作流程图及图5示出的量子密钥等级库示意图,具体流程步骤如下:
1)量子密钥读取模块通过量子网络接入模块从量子密钥分配网络中读取量子密钥;
2)将读取到的部分量子密钥直接制备成原始量子密钥后存入量子密钥等级库;
3)将读取到的部分量子密钥通过量子密钥扩展模块中密钥扩展算法制备成扩展量子密钥后存入量子密钥等级库;
4)将读取到的少部分量子密钥作为种子量子密钥通过量子密钥扩展模块中伪随机数生成算法制备伪随机量子密钥后存入量子密钥等级库。