物联网数据量子加密传输设备及传输方法与流程

本发明属于物联网通信技术领域，具体的涉及一种物联网数据量子加密传输设备及传输方法。

背景技术

物联网是一种虚拟网络与现实世界实时交互的新型系统，其特点是无处不在的数据感知、信息传输、智能化的信息处理。随着物联网的广泛应用，其安全可靠性问题成为关注的焦点。由于物联网对互联网的高度依赖性，互联网中存在的病毒攻击、黑客入侵和非法访问等安全问题也会在物联网中发生，甚至危害更大。一旦攻击者成功入侵物联网安全中心或数据中心，就可能窃取或破坏与生命、健康、财产安全密切相关的重要信息，给用户人身、财产和隐私带来直接损失。物联网创新发展关乎国家安全和未来经济社会发展方向，必须予以高度重视，要确保物联网发展中决策、监管、运营、服务有效并安全可行。

ipsec(internetprotocolsecurity因特网协议安全)是一种开放标准的框架结构，通过使用加密的安全服务以确保在ip网络上进行保密而安全的通讯。ipsec通过isakmp协议协商安全联盟sa。isakmp(internetsecurityassociationandkeymanagementprotocol)是ipsec密钥管理协议，为ipsec提供身份认证以及密钥交换技术。安全联盟sa(securityassociation)是ipsec的基础，是通信双方建立的一种协定，决定了用来保护数据包的封装协议、加密和认真算法、密钥以及密钥有效期等。ipsec有esp和ah两种封装协议，esp提供数据加密和认证，ah不进行加密只进行完整性认证。ipsec有两种加密模式：隧道模式和传输模式，隧道模式加密ip头及以后的内容，并封装新的ip头形成ip隧道；传输模式加密ip头以后的内容，原ip头保持不变。

量子通信是近年来发展起来的新型交叉学科，基于量子力学基本原理，这使得量子密钥系统的安全性不会受到计算能力和数学水平的不断提高的威胁，从而保证了利用量子密钥系统加密的信息不仅在现在是绝对安全的，而且在未来都是绝对安全的，量子密钥不可被攻破。

鉴于物联网数据信息在网络中传输安全性问题，现有技术急需一种新加密方案来保障物联网数据在网络中传输的绝对安全性。

技术实现要素：

针对于上述现有技术的不足，本发明的目的在于提供一种物联网数据量子加密传输设备及传输方法。

为达成上述目的，本发明采用如下技术方案：一种物联网数据量子加密传输设备包括：量子加密设备和量子密钥分发设备；所述量子加密设备，包括控制平台端加密设备和客户端加密设备，物联网云平台通过控制平台端加密设备与公共网络互连，物联网末梢网络通过客户端加密设备与公共网络互连；量子密钥分发设备包括量子网关，控制平台端加密设备和客户端加密设备旁均部署有量子网关，控制平台端加密设备和客户端加密设备从量子网关实时获取量子密钥。

优选地，物联网云平台向物联网末梢网络发送采集信息操作指令，指令信息通过控制平台端加密设备转发到公共网络，最后经客户端加密设备转发给物联网末梢网络；客户端加密设备接收物联网末梢网络采集的数据转发到公共网络，控制平台端加密设备从公共网络接收到采集的数据后转发给物联网云平台。

优选地，控制平台端加密设备和客户端加密设备，通过isakmp协商，建立ipsec隧道接口，且控制平台端加密设备和客户端加密设备之间建立的ipsec隧道之间实时变化spi，一个spi会从量子网关处获取一个加/解密密钥作为sa，控制平台端加密设备和客户端加密设备上面保存spi与量子密钥的映射表。

优选地，控制平台端加密设备和客户端加密设备与各自量子网关之间通过专用光纤连接，用于从量子网关处获取加/解密密钥作为sa。

优选地，在控制平台端加密设备和客户端加密设备旁分别部署量子网关，量子网关之间通过专用光纤连接，作为量子信道分发量子密钥。

优选地，在控制平台端加密设备和客户端加密设备旁分别部署量子网关，量子网关之间通过专用光纤连接，作为量子信道分发量子密钥。

一种如上所述的一种物联网数据量子加密传输设备的传输方法包括如下步骤：

步骤1，物联网云平台向物联网末梢网络发送采集信息操作指令；

步骤2，控制平台端加密设备使用从量子网关处获取的量子密钥作为sa对采集信息操作指令进行传输模式加密，加密ip层以上的内容，ip层及以下的内容不做改变，然后进行esp或ah封装，封装头里面包含spi字段，把封装后的包从ipsec隧道口发送出去；

步骤3，ipsec封装和量子加密后的采集信息操作指令包通过公共网络进行网络传输；

步骤4，客户端加密设备从公共网络接收采集信息操作指令包，剥掉esp或ah封装，并取封装头部的spi查找量子密钥作为sa对指令包进行解密，恢复原始包格式；

步骤5，客户端加密设备读取并执行采集信息操作指令；

步骤6，客户端加密设备从物联网末梢网络获取采集的数据；

步骤7，客户端加密设备使用从量子网关处获取的量子密钥作为sa对采集的数据进行传输模式加密，加密ip层以上的内容，ip层及以下的内容不做改变，然后进行esp或ah封装，封装头里面包含spi字段，把封装后的包从ipsec隧道口发送出去；

步骤8，ipsec封装和量子加密后的采集数据通过公共网络进行网络传输；

步骤9，控制平台端加密设备从公共网络接收采集的数据包，剥掉esp或ah封装，并取封装头部的spi查找量子密钥作为sa对采集的数据包进行解密，恢复原始包格式；

步骤10，控制平台端加密设备把采集的数据发送给物联网云平台。

优选地，所述公共网络为承载控制平台端加密设备和客户端加密设备之间建立ipsec隧道的以太网。

相较于现有技术，本发明提供的技术方案具有如下有益效果：

在物联网数据量子加密传输设备和传输方法中，物联网云平台与物联网末梢网络之间的所有通信数据进入公共网络时，都会被量子加密设备加密后入ipsec隧道；通信数据离开公共网络时，都会被量子加密设备解密后出ipsec隧道；物联网数据经过在ipsec隧道上进行量子加密后传输，保证了数据信息的绝对安全性。

附图说明

此处所说明的附图用来提供对本发明的进一步理解，构成本发明的一部分，本发明的示意性实施例及其说明用于解释本发明，并不构成对本发明的不当限定。在附图中：

图1为本发明的物联网网络实施示意图；

图2为本发明的物联网数据量子加密传输工作流程图。

具体实施方式

为了使本发明所要解决的技术问题、技术方案及有益效果更加清楚、明白，以下结合附图和实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅用以解释本发明，并不用于限定本发明。

本发明的权利要求书、说明书及上述附图中，除非另有明确限定，如使用术语“第一”、“第二”或“第三”等，都是为了区别不同对象，而不是用于描述特定顺序。

本发明的权利要求书、说明书及上述附图中，除非另有明确限定，对于方位词，如使用术语“中心”、“横向”、“纵向”、“水平”、“垂直”、“顶”、“底”、“内”、“外”、“上”、“下”、“前”、“后”、“左”、“右”、“顺时针”、“逆时针”等指示方位或位置关系乃基于附图所示的方位和位置关系，且仅是为了便于叙述本发明和简化描述，而不是指示或暗示所指的装置或元件必须具有特定的方位或以特定的方位构造和操作，所以也不能理解为限制本发明的具体保护范围。

本发明的权利要求书、说明书及上述附图中，除非另有明确限定，如使用术语“固接”或“固定连接”，应作广义理解，即两者之间没有位移关系和相对转动关系的任何连接方式，也就是说包括不可拆卸地固定连接、可拆卸地固定连接、连为一体以及通过其他装置或元件固定连接。

本发明的权利要求书、说明书及上述附图中，如使用术语“包括”、“具有”以及它们的变形，意图在于“包含但不限于”。

如图1所示，本发明提供的一种物联网数据量子加密传输设备包括量子加密设备和量子密钥分发设备。

其中，量子加密设备包括控制平台端加密设备和客户端加密设备，物联网云平台通过控制平台端加密设备与公共网络互连，物联网末梢网络通过客户端加密设备与公共网络互连；

量子密钥分发设备包括量子网关，控制平台端加密设备和客户端加密设备旁均部署有量子网关，控制平台端加密设备和客户端加密设备从量子网关实时获取量子密钥。

具体地，物联网云平台向物联网末梢网络发送采集信息操作指令，指令信息通过控制平台端加密设备转发到公共网络，最后经客户端加密设备转发给物联网末梢网络；客户端加密设备接收物联网末梢网络采集的数据转发到公共网络，控制平台端加密设备从公共网络接收到采集的数据后转发给物联网云平台。

而且，所述物联网数据量子加密传输设备的具体部署特点有：

控制平台端加密设备和客户端加密设备，通过isakmp协商，建立ipsec隧道接口；

控制平台端加密设备和客户端加密设备分别在自身ipsec隧道接口上配置到对方网络的路由；

在控制平台端加密设备和客户端加密设备旁分别部署量子网关，量子网关之间通过专用光纤连接，作为量子信道分发量子密钥；

控制平台端加密设备和客户端加密设备与各自量子网关之间通过专用光纤连接，用于从量子网关处获取加/解密密钥作为sa；

控制平台端加密设备和客户端加密设备之间建立的ipsec隧道之间实时变化spi(securityparameterindex安全参数索引)，一个spi会从量子网关处获取一个加/解密密钥作为sa，控制平台端加密设备和客户端加密设备上面保存spi与量子密钥的映射表。

如图2所示，基于图1所示的物联网数据量子加密传输设备的传输方法具体包括如下步骤：

步骤1，物联网云平台向物联网末梢网络发送采集信息操作指令；

步骤2，控制平台端加密设备使用从量子网关处获取的量子密钥作为sa对采集信息操作指令进行传输模式加密，加密ip层以上的内容，ip层及以下的内容不做改变，然后进行esp或ah封装，封装头里面包含spi字段，把封装后的包从ipsec隧道口发送出去；

步骤3，ipsec封装和量子加密后的采集信息操作指令包通过公共网络进行网络传输；

步骤4，客户端加密设备从公共网络接收采集信息操作指令包，剥掉esp或ah封装，并取封装头部的spi查找量子密钥作为sa对指令包进行解密，恢复原始包格式；

步骤5，客户端加密设备读取并执行采集信息操作指令；

步骤6，客户端加密设备从物联网末梢网络获取采集的数据；

步骤7，客户端加密设备使用从量子网关处获取的量子密钥作为sa对采集的数据进行传输模式加密，加密ip层以上的内容，ip层及以下的内容不做改变，然后进行esp或ah封装，封装头里面包含spi字段，把封装后的包从ipsec隧道口发送出去；

步骤8，ipsec封装和量子加密后的采集数据通过公共网络进行网络传输；

步骤9，控制平台端加密设备从公共网络接收采集的数据包，剥掉esp或ah封装，并取封装头部的spi查找量子密钥作为sa对采集的数据包进行解密，恢复原始包格式；

步骤10，控制平台端加密设备把采集的数据发送给物联网云平台。

具体地，所述公共网络为承载控制平台端加密设备和客户端加密设备之间建立ipsec隧道的以太网。

上述说明示出并描述了本发明的优选实施例，如前所述，应当理解本发明并非局限于本文所披露的形式，不应看作是对其他实施例的排除，而可用于各种其他组合、修改和环境，并能够在本文所述发明构想范围内，通过上述教导或相关领域的技术或知识进行改动。而本领域人员所进行的改动和变化不脱离本发明的精神和范围，则都应在本发明所附权利要求的保护范围内。