一种用于异地数据安全备份的系统及方法与流程

本发明涉及一种用于异地数据安全备份的系统及方法，属于经典通信及量子通信交叉技术领域。

背景技术

电力企业的电脑被攻击，可能引发用电行业的瘫痪，造成社会大面积混乱。传统的防火墙和信息过滤技术无法从根本上解决“黑客”攻击的问题，随着量子通信距离和多用户量子通信技术的突破，利用量子通信技术构建网省地重要调度机构加密通信网，在网络上任意两用户间实现量子密钥的加密通信，将能保证营销、市场、办公等重要业务的安全性。

目前，各省电力公司已大力开展备用调度系统和信息容灾体系的建设,并相继成立了异地数据容灾中心。当前数据备份通道未采用数据加密，因此通道存在安全隐患，一旦攻击者窃取通道数据，则所有备份数据均以明文方式呈现，安全风险极大。由于数据的备份需要实时进行，同时需要加密的数据量很大，因此对量子密钥分配协议的密钥生成率要求很高。

技术实现要素：

本发明所要解决的技术问题是克服现有技术的缺陷，提供一种用于异地数据安全备份的系统及方法，将经典的异地数据备份方案与量子力学中的连续变量量子密钥分发协议结合起来，在进行实时传输大数据量的数据时，提高了传输数据的安全性。

为解决上述技术问题，本发明提供一种用于异地数据安全备份的系统，其特征是，包括数据中心和备份中心，所述数据中心和备份中心均包括存储数据的数据库服务器、量子vpn，数据中心还包括制备备份时的量子密钥的量子密钥发送模块，备份中心还包括制备备份时的量子密钥的量子密钥接收模块；

所述数据库服务器用于存储量子密钥、量子vpn中的明文是需要传输的数据信息，密文是使用量子密钥加密后的数据信息，先由量子密钥发送模块和量子密钥接收模块产生量子密钥，然后存储在数据中心和备份中心各自的数据库服务器中，当有明文需要加密传输时，需从数据库服务器中提取量子密钥对明文进行加密得到密文，最后将密文在公开信道中传输；

所述量子密钥发送模块用于产生本地光和符合cv-qkd协议的信号光，本地光和信号光一前一后的以相互垂直的偏振方向进入单模光纤，并传输到量子密钥接收模块；

所述量子密钥接收模块用于对接收到的光信号进行偏振补偿，使本地光和信号光恢复为相互垂直的偏振方向，再将本地光和信号光进行同步调整，用于时钟的同步，最后对信号光的光场的正交分量进行探测，得到量子态的x分量结果和p分量结果,x表示光场态相空间的“位置”，p表示光场态相空间的“动量”。

进一步的，所述量子密钥发送模块主要包括连续光纤激光器、第一脉冲发生器、振幅调制器am1、振幅调制器am2、99/1的保偏耦合器、振幅调制器am3、相位调制器pm1、可变衰减器以及光纤合束器；

所述连续光纤激光器发射出连续光源，连续光源经由第一脉冲发生器驱动的两个级联的振幅调制器am1和振幅调制器am2后作为脉冲光传输到99/1的保偏耦合器，99/1的保偏耦合器将脉冲光分为信号光和本地光，信号光依次经过第一脉冲发生器驱动的振幅调制器am3和相位调制器pm1后，调制成cv-qkd协议所要求的状态，再通过第一保偏光纤传输给可变衰减器，可变衰减器再将符合cv-qkd协议要求的信号光调至平均每个光脉冲包含不超过250个光子后传输给光纤合束器，99/1的保偏耦合器将强本地光直接传输给光纤合束器，第一保偏光纤能够使本地光和信号光一前一后的通过光纤合束器进入长距离单模光纤中，光纤合束器还用于将本地光和信号光的光场以相互垂直的偏振方向进入单模光纤。

进一步的，所述量子密钥接收模块主要包括三环偏振控制器、光纤分束器、第二保偏光纤、第一50/50耦合器、第二50/50耦合器、相位调制器pm2、第二脉冲发生器和平衡零拍探测器；

本地光和信号光经过单模光纤传输到量子密钥接收模块的三环偏振控制器中，三环偏振控制器对本地光和信号光进行补偿，使其恢复为偏振方向相互垂直的线偏振光，然后经过光纤分束器将其分为信号光与本地光，光纤分束器处理后的本地光通过与第一保偏光纤长度相同的第二保偏光纤后，再依次通过第一50/50耦合器和相位调制器pm2后传输到第二50/50耦合器，其中第一50/50耦合器用于提取部分本地光并用于时钟的同步同时传递给第二脉冲发生器，第二脉冲发生器驱动相位调制器pm2实现对信号相位的调制，使得信号光和本地光相位相同)，光纤分束器处理后的信号光直接传输到第二50/50耦合器，本地光和信号光经过第二50/50耦合器后传输到平衡零拍探测器，平衡零拍探测器用于对信号光的正交分量进行探测，得到量子态的x分量结果和p分量结果。

一种用于异地数据安全备份的方法，其特征是，包括如下步骤：

步骤1：数据中心和备份中心使用安全套接层协议为它们的通信在网络上建立一个传输隧道；

步骤2：数据中心的应用程序根据需要传输的数据确定需要使用的密钥的大小，然后向量子密钥管理服务器发送密钥请求；

步骤3：量子密钥服务器接收到密钥请求消息后，根据密钥请求量与存储的密钥量的关系，判断是否需要立即获取新密钥，若存储的密钥足够请求的需要，可以直接从存储器中调用；若存储量不够就需要获取新密钥，等到密钥量达到上层应用请求的需要时则停止分配过程；

步骤4：数据中心的光纤激光器发射激光脉冲至备份中心，而后光纤激光器一起执行cv-qkd协议来获取新密钥；

步骤5：密钥管理服务器准备好应用服务请求的密钥量后，通过服务器之间的接口向sslvpn客户端或服务器输送密钥；

步骤6：利用通过连续变量量子密钥分发协议获取到的量子密钥对备份数据进行加密传输，从而保证备份数据的安全性。

进一步的，所述步骤六中量子秘钥的获取包括如下步骤：

步骤61)：所述数据中心的密钥管理服务器产生本地光和符合cv-qkd协议的信号光，本地光和信号光一前一后的以相互垂直的偏振方向进入单模光纤，并传输到备份中心的密钥管理服务器；

步骤62)：所述备份中心的密钥管理服务器对接收到的光信号进行偏振补偿，使本地光和信号光恢复为相互垂直的偏振方向，再将本地光和信号光进行同步调整，用于吋钟的同步，最后对信号光的光场的正交分量进行探测，得到量子态的x分量结果和p分量结果，x表示光场态相空间的“位置”，p表示光场态相空间的“动量”。

进一步的，所述步骤61)中数据中心的连续光纤激光器发出的连续光源经振幅调制和保偏耦合后分为本地光和信号光，信号光再经振幅调节和相位调节，制成cv-qkd协议所要求的状态，再将信号光调至平均每个光脉冲包含不超过250个光子后，通过保偏光纤对信号光进行延时处理，本地光和延时后的信号光经光纤合束处理通过单模光纤传输到备份中心的密钥管理服务器。

进一步的，所述步骤62)中备份中心先对单模光纤的双折射效应进行补偿，使接收到的光信号恢复为偏振方向相互垂直的线偏振光，然后将光信号分为信号光与本地光，本地光经与步骤61)中相同的保偏光纤延时处理后，将部分本地光提取出来用于时钟的同步，再对信号光的光场的正交分量进行探测，得到量子态的x分量结果和p分量结果。

进一步的，经保偏光纤延时处理后的本地光通过相位调制处理，相位调制处理用于随机地变换测量基和用于信号光和本地光相对相位的锁定。

本发明所达到的有益效果：

将cv-qkd协议与电力方案所使用的vpn网络相结合更好的利用量子密钥来提高异地备份数据的安全性；通信距离长的优势，更适用于远距离的异地数据备份场景。cv-qkd协议的密钥生成率远高于基于bb84的量子密钥分配协议，因而更适合于大数据量的异地备份电力数据传输。同时，可以将目前广泛商用化的光纤通信设备应用到cv-qkd协议中，用于量子信号的产生和测量。相比于基于bb84的量子密钥分配协议所需要使用的昂贵的单光子产生与检测设备，cv-qkd协议可以大幅降低建设成本，也便于日常维护保养。

附图说明

图1是本发明的异地数据备份装置示意图。

具体实施方式

下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案，而不能以此来限制本发明的保护范围。

如图1所示，一种用于异地数据安全备份的系统，其特征是，包括数据中心和备份中心，所述数据中心和备份中心均包括存储数据的数据库服务器、量子vpn，数据中心还包括制备备份时的量子密钥的量子密钥发送模块，备份中心还包括制备备份时的量子密钥的量子密钥接收模块；

所述数据库服务器用于存储量子密钥、量子vpn中的明文是需要传输的数据信息，密文是使用量子密钥加密后的数据信息，先由量子密钥发送模块和量子密钥接收模块产生量子密钥，然后存储在数据中心和备份中心各自的数据库服务器中，当有明文需要加密传输时，需从数据库服务器中提取量子密钥对明文进行加密得到密文，最后将密文在公开信道中传输。

对于量子密钥发送模块，在发送端数据中心处，激光源为1550nm波段的连续光纤激光器，其谱宽为1khz，功率为100mw。连续光源经由脉冲发生器驱动的两个级联的40db的振幅调制器am1和am2后，调制为脉宽为100ns，消光比为80db，重复速率为500khz的脉冲光。脉冲光经过99/1的保偏耦合器后分为信号光和本地光。信号光经过振幅调制器am3和相位调制器pm1后，调制成cv-qkd协议所要求的状态，在这里我们将其随机调制成四态协议中所要求的四种相干态，它们以相同的概率分布在四个象限中。可变衰减器将信号光调至所要求的强度。采用时分复用和偏振复用的方式，用以防止信号光和本地光在单模光纤中产生干涉。保偏光纤用于时分复用，对脉冲光的延时达。本地光场和信号光场通过光纤合束器一前一后相差进入长距离单模光纤中。光纤合束器相当于使两光场以相互垂直的偏振方向进入单模光纤。

对于量子密钥接收模块，在接收端备份中心处，两光场在单模光纤中经过长距离传输后，到达备份中心端。首先用三环偏振控制器对长距离单模光纤的双折射效应进行补偿，使其恢复为偏振方向相互垂直的线偏振光。然后经过光纤分束器pbs将其分为信号光与本地光。与发送端数据中心处的装置中信号光场所通过80km的保偏光纤相对应，本地光场经过的80km保偏光纤延时400ns后，与信号光场同时到达平衡零拍探测器。50/50耦合器将部分本地光提取出来用于吋钟的同步，发送端数据中心与接收端备份中心只有使用同一时钟后才可以对光场的正交分量进行精确的测量。本地光路中的相位调制器pm2即可用于随机地变换测量基，又可用于信号光和本地光相对相位的锁定。全光纤脉冲平衡零拍探测器用于对信号光场的正交分量进行探测。

一种用于异地数据安全备份的方法，其特征是，包括如下步骤：

步骤1：数据中心和备份中心使用安全套接层(securesocketslayer，ssl)协议为它们的通信在网络上建立一个传输隧道；

步骤2：数据中心的应用程序根据需要传输的数据确定需要使用的密钥的大小，然后向量子密钥管理服务器发送密钥请求；

步骤3：量子密钥服务器接收到密钥请求消息后，根据密钥请求量与存储的密钥量的关系，判断是否需要立即获取新密钥，若存储的密钥足够请求的需要，可以直接从存储器中调用；若存储量不够就需要获取新密钥，等到密钥量达到上层应用请求的需要时则停止分配过程；

步骤4：数据中心的光纤激光器发射激光脉冲至备份中心，而后光纤激光器一起执行cv-qkd协议来获取新密钥；

步骤5：密钥管理服务器准备好应用服务请求的密钥量后，通过服务器之间的接口向sslvpn客户端或服务器输送密钥；

步骤6：利用通过连续变量量子密钥分发协议获取到的量子密钥对备份数据进行加密传输，从而保证备份数据的安全性。

进一步的，所述步骤六中量子秘钥的获取包括如下步骤：

步骤61)：所述数据中心的密钥管理服务器产生本地光和符合cv-qkd协议的信号光，本地光和信号光一前一后的以相互垂直的偏振方向进入单模光纤，并传输到备份中心的密钥管理服务器；

步骤62)：所述备份中心的密钥管理服务器对接收到的光信号进行偏振补偿，使本地光和信号光恢复为相互垂直的偏振方向，再将本地光和信号光进行同步调整，用于吋钟的同步，最后对信号光的光场的正交分量进行探测，得到量子态的x分量结果和p分量结果。

本实施例中，所述步骤61)中数据中心的连续光纤激光器发出的连续光源经振幅调制和保偏耦合后分为本地光和信号光，信号光再经振幅调节和相位调节，制成cv-qkd协议所要求的状态，再将信号光调至能够体现出量子特性的强度后，通过保偏光纤对信号光进行延时处理，本地光和延时后的信号光经光纤合束处理通过单模光纤传输到备份中心的密钥管理服务器。

本实施例中，所述步骤62)中备份中心先对单模光纤的双折射效应进行补偿，使接收到的光信号恢复为偏振方向相互垂直的线偏振光，然后将光信号分为信号光与本地光，本地光经与步骤61)中相同的保偏光纤延时处理后，将部分本地光提取出来用于时钟的同步，再对信号光的光场的正交分量进行探测，得到量子态的x分量结果和p分量结果。

本实施例中，经保偏光纤延时处理后的本地光通过相位调制处理，相位调制处理用于随机地变换测量基和用于信号光和本地光相对相位的锁定。

以上所述仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本发明的保护范围。