一种量子密钥在VPWS业务中的应用方法与流程

本发明涉及计算机网络技术和量子安全通信领域，具体涉及一种量子密钥在vpws业务中的应用方法。

背景技术：

vpws(virtualprivatewireservice)，指建设在mpls网络的基础设施之上，在两个路由器的一对端口之间提供高速的二层透传，可将本端pe设备的原始的以太网报文透明传送到远端pe设备，是一种二层的vpn协议。

ipsec(internetprotocolsecurity)，是一种端到端的确保ip层通信安全的机制，它不是一个单独的协议，而是一系列为ip网络提供完整安全性的协议和服务的集合，包括ah协议、esp协议、ike协议以及用于网络认证和加密的一些算法等。ipsec提供两种封装模式，分别是传输模式和隧道模式。隧道模式将其他协议的数据包重新封装后通过隧道发送，通过新的帧头提供转发信息，以便通过互联网传递被封装的负载数据。

量子通信是指利用量子纠缠效应进行信息传递的一种新型的通讯方式，是近二十年发展起来的新型交叉学科，是量子论和信息论相结合的新的研究领域。近来这门学科已逐步从理论走向实验，并向实用化发展。高效安全的信息传输日益受到人们的关注。量子密钥分发以量子物理与信息学为基础，可以为分隔两地的用户提供无条件安全的共享密钥，被认为是安全性最高的加密方式。它的安全性由量子力学的基本原理来保障，即使窃听者具有无限的计算能力，也无法获得安全密钥的任何信息。量子密钥分发技术是公认的用于产生和共享密钥很有前途的技术，该技术基于“海森堡测不准原理”和“量子不可复制原理”，保证收发两端能够产生并共享随机密钥，因此量子密钥分发过程产生的密钥在理论上是无条件安全的。

由于传统的vpws业务数据在公网都是采用明文传输，这就给窃听者留下了可乘之机。鉴于vpws业务在公网中传输存在安全性问题，需要一种新的技术方案将量子密钥与vpws紧密结合来解决vpws业务数据的安全透传问题。

技术实现要素：

本发明提出的一种量子密钥在vpws业务中的应用方法，可解决传统的vpws业务安全性较低的技术问题。

为实现上述目的，本发明采取的技术方案如下：

通信系统采用量子密钥管理设备和业务数据传输设备搭建。

所述量子密钥管理设备用于生成量子密钥并下发给业务传输设备；

所述业务传输设备是用于传输vpws业务数据包的设备的集合；

所述业务传输设备至少要包括两台pe设备。

密钥是量子密钥，是由量子密钥管理设备下发给业务传输设备的，采用ipsecvpn中使用量子密钥的方式进行加解密。

具体步骤如下：

步骤1，正确配置所用基本业务，保证基本业务正常，包括量子加密配置、ipsec配置、vpws配置，ipsec采用隧道封装模式；

步骤2，配置二层桥接加密，将vpws业务组网中的uni口和上述的ipsec隧道接口桥接，表示该vpws业务基于该隧道接口的sa进行加密；

所述uni口为桥接的入向接口，用于标识伪线；

步骤3，当数据包进入pe设备，交换芯片不做任何处理，直接将数据包重定向到多核cpu；

所述数据包进入pe设备，包括两种情况：一方面是数据包从私网侧uni口进入pe设备，即加密流程；另一方面是数据包从公网侧nni口进入pe设备，即解密流程；

所述交换芯片不做任何处理，直接将数据包重定向到多核cpu，目的是：使vpws业务走软转发流程，不关心转发芯片的硬件特性；

步骤4，多核cpu收到数据包后，判断收到的数据包是否走加/解密流程，如果不需要加密，则走正常的vpws转发；

所述判断数据包是否走加/解密流程，包括两方面：一方面是加密流程；另一方面是解密流程；

进一步地，对于加密流程，即数据包从私网侧uni口进入pe设备，并被重定向到多核cpu：查pe设备的uni口的入端口属性表，判断该uni口和ipsec隧道接口桥接标志是否有效，如果有效，则走加密流程，如果无效，则走正常的vpws流程，不加密；

进一步地，对于解密流程，即数据包从公网侧nni口进入pe设备，并被重定向到多核cpu：将数据包的标签头剥掉，然后根据数据包中的特殊字段判断是否要解密处理，如果需要，则走解密流程，否则，走正常vpws流程；

步骤5，假设步骤4中，判断数据包需要进行加/解密处理，则对数据包进行加密封装或解密封装，将封装好的数据包发送给国密卡；

所述加密封装或解密封装是指，按照ipsec隧道格式和国密卡的格式对报文进行封装。由于本方案是由国密卡完成数据加/解密，所以要对数据包进行必要的封装，其中封装的内容包括量子密钥的封装、esp头的封装和国密卡头的封装等；

进一步地，对于加密封装：取ipsec隧道口下的ipsecacl，查acl命中得到sa索引，根据sa表中的信息进行两层封装，首先进行ipsec隧道格式封装，然后按照国密卡的格式封装；

进一步地，对于解密封装：提取数据包中esp头的spi值，根据spi值搜索sa表，然后根据转发信息、sa表中的信息等，按照国密卡的格式完成数据包封装；

步骤6，国密卡收到报文后，完成对数据包的硬件加密和解密，再回转发送给多核cpu；

步骤7，多核cpu收到回转的数据包后，对数据包做相应的处理，从pe设备的出口发出去；

进一步地，对于加密端，即数据包从私网侧到公网侧，多核cpu收到回转的数据包后，根据转发表信息，对报文进行封装标签、公网mac和vlan等信息，并从pe的nni口发出去；

进一步地，对于解密端，即数据包从公网侧到私网侧，多核cpu收到回转的数据包后，对报文进行解封装，再根据标签转发表找到出接口，从pe设备的uni口发出去；

由上可知，本发明提供了一种量子密钥在vpws业务中的应用方法，本发明通过多核cpu和国密卡完成对用户数据包的加解密，其核心思想是将伪线桥接到ipsectunnel接口，借用一个现成的ipsec隧道口的sa进行密钥封装，然后将封装好的报文发送到国密卡，在国密卡完成数据的加密与解密。

本发明为了保证vpws业务的公网传输的绝对安全性，将量子加密技术引入到vpws业务中，使vpws业务在公网传输的数据由明文变为密文，且最大限度的保障vpws业务数据传输的完成性和机密性，和传统的vpws业务相比，在安全性上具有绝对优势。

附图说明

图1是本发明方法的流程图；

图2是本发明传输设备结构示意图；

图3是本发明设备的基本结构示意图；

图4是本发明加密封装流程图；

图5是本发明解密封装流程图；

图6是本发明加密报文发送流程图；

图7是本发明解密报文发送流程图；

图8是本发明加密流程图；

图9是本发明解密流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。

本发明提供了一种量子密钥在vpws业务中的应用方法，一方面通信系统采用量子密钥管理设备和业务数据传输设备搭建；另一方面发明方案的核心思想是将伪线桥接到ipsectunnel接口，借用一个现成的ipsec隧道口的sa进行密钥封装，然后将封装好的报文发送到国密卡，在国密卡完成数据的加密与解密。

所述量子密钥管理设备用于生成量子密钥并下发给业务传输设备；

所述业务传输设备是用于传输vpws业务数据包的设备的集合；

所述业务传输设备至少要包括pe1和pe2两台设备，如图2。

如图1所示，本发明的量子密钥在vpws业务中的应用方法如下：

s100、正确配置所用基本业务，保证基本业务正常，包括量子加密配置、ipsec配置、vpws配置，ipsec采用隧道封装模式；

s200、配置二层桥接加密，将vpws业务组网中的uni口和上述的ipsec隧道接口桥接，表示该vpws业务基于该隧道接口的sa进行加密；

所述uni口为桥接的入向接口，用于标识伪线；

s300、当数据包进入pe设备，交换芯片不做任何处理，直接将数据包重定向到多核cpu；

s400、多核cpu收到数据包后，判断收到的数据包是否走加/解密流程，如果不需要加密，则走正常的vpws转发；

s500、假设步骤s400中，判断数据包需要进行加/解密处理，则对数据包进行加密封装或解密封装，将封装好的数据包发送给国密卡；

s600、国密卡收到报文后，完成对数据包的硬件加密和解密，再回转发送给多核cpu；

s700、多核cpu收到回转的数据包后，对数据包做相应的处理，从pe设备的出口发出去。

下面对本发明实施例的具体步骤做详细说明：

s100、正确配置所用基本业务，保证基本业务正常，包括vpws配置、ipsec配置、量子加密配置，ipsec采用隧道封装模式；

所述上述业务正确配置，包括：

ⅰ配置vpws

保证vpws业务正常，能正常的进行数据传输；

ⅱ配置ipsec

配置包括相关建立ike通信用的l3接口和ip，ipsec相关profile、acl、ipsec_tunnel接口等，并保证pe1和pe2上的两个ipsectunnel接口协商成功，状态为up；

ⅲ配置量子加密

保证身份认证和量子密钥分配过程的正常；

所述身份认证是指，业务传输设备向量子密钥管理设备发送身份认证数据，量子密钥管理设备给业务传输设备发送身份确认，身份认证成功后，进入到申请量子密钥阶段；

所述量子密钥分配过程是指，当身份认证成功之后，量子密钥管理设备会给业务传输设备下发量子密钥，业务才能用该量子密钥进行加/解密处理。

s200、配置二层桥接加密，将vpws业务组网中的uni口和上述的ipsec隧道接口桥接，表示该vpws业务基于该隧道接口的sa进行加密；

所述uni口为桥接的入向接口，用于标识伪线；

所述二层桥接加密配置，是在uni口的入接口属性表中增加一个字段，该字段和ipsectunnel接口绑定，当uni口的入接口属性表中该字段有效，则vpws进入加密处理；

s300、当数据包进入pe(pe1或pe2)设备，交换芯片不做任何处理，直接将数据包重定向到多核cpu，设备的基本结构如图3所示；

所述数据包进入pe(pe1或pe2)设备，包括两种情况：一方面是数据包从私网侧uni口进入pe设备，即加密流程；另一方面是数据包从公网侧nni口进入pe设备，即解密流程；

所述交换芯片不做任何处理，直接将数据包重定向到多核cpu，目的是：使vpws业务走软转发流程，不关心转发芯片的硬件特性；

s400、多核cpu收到数据包后，判断收到的数据包是否走加/解密流程，如果不需要加密，则走正常的vpws转发；

所述判断数据包是否走加/解密流程，包括两方面：一方面是加密流程；另一方面是解密流程；

具体地，如图8所示，对于加密流程，即数据包从私网侧uni口进入pe设备，并被重定向到多核cpu：查pe设备的uni口的入端口属性表，判断该uni口和ipsec隧道接口桥接标志是否有效，如果有效，则走加密流程，如果无效，则走正常的vpws流程，不加密；

具体地，如图9所示，对于解密流程，即数据包从公网侧nni口进入pe设备，并被重定向到多核cpu：将数据包的标签头剥掉，然后根据数据包中的特殊字段判断是否要解密处理，如果需要，则走解密流程，否则，走正常vpws流程；

s500、假设步骤s400中，判断数据包需要进行加/解密处理，则对数据包进行加密封装或解密封装，将封装好的数据包发送给国密卡；

所述加密封装或解密封装是指，按照ipsec隧道格式和国密卡的格式对报文进行封装。由于本方案是由国密卡完成数据加/解密，所以要对数据包进行必要的封装，其中封装的内容包括量子密钥的封装、esp头的封装和国密卡头的封装等；

具体地，对于加密封装：取ipsec隧道口下的ipsecacl，查acl命中得到sa索引，根据sa表中的信息进行两层封装，首先进行ipsec隧道格式封装，然后按照国密卡的格式封装，加密封装流程如图4所示；

具体地，对于解密封装：提取数据包中esp头的spi值，根据spi值搜索sa表，然后根据转发信息、sa表中的信息等，按照国密卡的格式完成数据包封装，解密封装流程如图5所示；

s600、国密卡收到报文后，完成对数据包的硬件加密和解密，再回转发送给多核cpu；

s700、多核cpu收到回转的数据包后，对数据包做相应的处理，从pe设备的出口发出去；

具体地，对于加密端，即数据包从私网侧到公网侧，多核cpu收到回转的数据包后，根据转发表信息，对报文进行封装标签、公网mac和vlan等信息，并从pe的nni口发出去，加密报文发送流程如图6所示；

具体地，对于解密端，即数据包从公网侧到私网侧，多核cpu收到回转的数据包后，对报文进行解封装，再根据标签转发表找到出接口，从pe设备的uni口发出去，解密报文发送流程如图7所示；

由上可知，本发明实施例提供了一种量子密钥在vpws业务中的应用方法，使vpws业务在公网中加密传输，且密钥为量子密钥，和传统的vpws业务相比，其安全性得到保证，使通信双方更安全可靠。

以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。