量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统的制作方法

本实用新型属于量子通信技术领域，具体涉及量子保密通信网络系统的接入节点装置以及包括该装置的量子保密通信网络系统。

背景技术：

1.量子密钥分发

量子密钥分发利用了量子的不可克隆原理和量子不可分割的基本特性，采用单光子进行随机数的传递。按照BB84协议，每一个光子随机选择调制的基矢，接收端也采用随机的基矢进行监测。当发送与接收端选择的基矢一致时，接收受到的信号被认为是有效的而被纪录记录；如果选择的基矢不一致，则数据被丢弃。这样就可以保证发送与接收方获得了一致的随机数序列(即量子密钥)。量子密钥分发系统需要量子信道和经典信道两个独立信道，地面骨干通信网以光纤承载。

2.量子保密通信

量子通信广义的讲就是将量子态从一个地方传输到另一个地方，包含量子隐形传态、量子纠缠交换及量子密钥分发。目前商用的量子保密通信主要指基于量子密钥分发(Quantum Key Distribution，QKD)的保密通信。

已经发展成熟的点对点量子密钥分发系统无法满足实际应用，并且用户需求正在逐步扩大。为了满足多用户安全通信的需求，与之配套的量子密钥分发网络正逐渐朝着多用户、长距离和网络化的方向发展。从光纤量子密钥分发的发展趋势来看，基于光纤的城际量子通信技术正在走向实用化和产业化发展。

3.服务方式

当前的服务方式主要是将网络上两节点通过量子密钥分发技术及中继技术实现的共享随机数作为密钥输出给密码设备进行使用。然而，随机数并非密钥的全部，所以无法直接应用于极大部分密码设备。

另外，当前的服务提供方式要求消耗密钥的密码设备与量子保密通信网络以IP网络相连。这本身与当前的密码管理方式存在冲突。

技术实现要素：

本实用新型所要解决的问题：

1.与现有密钥管理系统的兼容问题

量子保密通信网络需要为大量的使用密码设备或需要密码管理的单位机构提供业务数据(即用户密钥)的安全传输保障，必然需要面对多厂家多型号的密码设备和密钥分发系统，因此这些系统或设备如何以低耦合且不影响现行管理体系的方式与量子保密通信网络进行连接是务必要解决的兼容性问题。

2.生产网络与用户网络隔离问题

用户的密码设备或密钥分发系统一般位于具有特定安全等级的用户网络或隔离网络，所以量子保密通信网络的应用必然不能影响其安全等级。

另外，不同用户的网络可能具有不同的安全等级，相互之间也不能因为量子保密通信网络的应用而进行连接。

这就要求量子保密通信网络与用户网络之间必须是隔离的。

为了克服上述问题，本实用新型提供一种量子保密通信网络系统的接入节点装置，所述接入节点装置使得所述量子保密通信网络系统的接入节点与交换节点和中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信；所述接入节点装置优选是集成化的。

在一种实施方式中，所述接入节点装置与用户端装置通过IP网络进行对接并提供服务。

在一种实施方式中，所述接入节点装置包括量子密钥服务单元和量子通信接入单元，所述量子密钥服务单元与所述量子通信接入单元之间使用通信总线相连，并采用私有协议实现数据摆渡；所述通信总线优选为SPI总线。

在一种实施方式中，所述量子密钥服务单元用于对接用户端装置，实现对用户数据传输权限的控制。

在一种实施方式中，所述量子通信接入单元包括接入数据处理模块和量子密钥生成模块；所述量子密钥生成模块通过内部的QKD发射端与相邻节点生成量子密钥，并输出给接入数据处理模块；和所述接入数据处理模块产生通信密钥、分发通信密钥和传输业务数据。

在一种实施方式中，所述接入数据处理模块预置了由量子保密通信网络的密钥管理中心配发的存储密钥，所述存储密钥一部分用于对称加密算法实现对存储数据的加密，所述对称加密算法优选为SM4；另一部分用于消息认证码计算，实现对存储数据的完整性保护，所述消息认证码计算优选为基于SM3的HMAC算法。

在一种实施方式中，所述用户端装置与量子密钥服务单元之间、量子密钥服务单元与量子通信接入单元之间、本接入节点与相邻节点之间分别设有双向身份认证机制；所述双向身份认证机制优选地采用预置对称密钥以及随机数挑战方式实现。

在一种实施方式中，所述用户端装置与量子密钥服务单元之间、量子密钥服务单元与量子通信接入单元之间、本接入节点与相邻节点之间分别基于临时会话密钥的通信安全保护机制，用于保护业务数据在传输过程中的机密性和完整性。

在一种实施方式中，所述临时会话密钥一部分用于对称加密算法实现对传输数据的加密，对称加密算法优选为SM4；另一部分用于消息认证码计算实现对传输数据的完整性保护，所述消息认证码计算优选为基于SM3的HMAC算法。

在一种实施方式中，本实用新型提供一种基于量子密钥分发的量子保密通信网络系统，所述量子保密通信网络系统包括任一上述的接入节点装置。

本实用新型提供的量子保密通信网络系统的接入节点装置实现了以下技术效果：

1)实现量子保密通信网络与用户网络的安全隔离

通过安全隔离措施，有效解决了用户如何合法合规使用量子保密通信网络问题。一方面与量子保密通信网络的对接不会造成用户网络安全等级的降低，另一方面有效防止用户网络潜在安全风险对量子保密通信网络的运行产生影响。

2)有效实现量子保密通信网络与不同厂商密码设备或系统的对接

量子保密通信网络所服务的用户群体多样性带来了接入的密码设备或系统种类和接口实现的差异化，通过集成量子密钥服务单元，有效解决量子保密通信网络与密码设备或系统的适配问题。

3)实现业务数据上网权限控制与量子保密通信网络的功能分离

通过集成的量子密钥服务单元实现业务数据上网权限的控制，将其从量子保密通信网络进行剥离，使量子保密通信网络功能简单化，提高运行健壮性。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为本实用新型基于量子密钥分发的量子保密通信网络系统组网拓扑示意图；

图2为本实用新型的集成化接入节点装置结构及其外部交互关系示意图；

图3为本实用新型集成化接入节点装置的量子密钥生成和存储流程示意图；

图4为本实用新型集成化接入节点装置的通信密钥生成和存储流程示意图；

图5为本实用新型集成化接入节点装置的业务数据安发送流程示意图；和

图6为本实用新型集成化接入节点装置的业务数据接收流程示意图。

具体实施方式

为了使本领域技术领域人员更好地理解本申请中的技术方案，下面将结合实施例对本实用新型作进一步说明，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都应当属于本申请保护的范围。下面结合附图及实施例对本实用新型作进一步描述。

实施例一：本实用新型的量子保密通信网络系统

如图1所示，在一种实施方式中，本实用新型的基于量子密钥分发的量子保密通信网络系统包括接入节点、交换节点和中继节点，各个节点之间分别使用经典信道及量子信道相连，其中节点间量子密钥分发的经典信道采用无IP方式进行通信。

量子信道是指传输量子信号的物理通道；量子信号是指以微观量子态承载信息的物理信号，如：对偏振、时间、轨道角动量等进行调制后的单光子。

经典信道是传输经典信号的物理信道；经典信号是指现代通信技术中以宏观物理量荷载信息的信号，如高电平、低电平、亮光脉冲、暗光脉冲，不同偏振状态的明亮光脉冲、不同相位差的明亮光脉冲。

在量子密钥分发协议中，量子信道用于传输量子信号，而经典信道用于传输协商数据，如接收端的测量基选择等信息。除此之外，经典信道还用于节点间组网协议、管理数据、业务数据的传输。

接入节点：实现用户端系统的网络接入，完成用户数据的上网和下网，并通过限制通信目的端的方式控制用户数据上网的权限。

交换节点：与同一逻辑链路相连的交换节点/接入节点实现共享的通信密钥，通过相连接入节点/交换节点间的信息交互建立路由表，并实现用户数据传输的路径选择。

中继节点：与相邻节点实现量子密钥的生成，实现逐跳方式的数据中继传递。

在一些实施方式中，本实用新型的量子保密通信网络系统还包括用户端装置，该用户端装置可以包括离线导入导出专用终端、用户密钥分发中心(KDC)和密码设备。

离线导入导出专用终端是指专门用于与量子密钥服务单元进行交互的终端，并允许通过离线方式(如密码棒)接收用户密钥导入。

用户密钥分发中心是指用户自建或已建的密钥分发系统，提供用户密钥的导入和导出功能。

密码设备是指具有密码算法实现、需使用用户密钥的专用安全设备，如VPN网关等。

对于量子保密通信网而言，用户密钥被视为业务数据进行网络化传输。

在一些实施方式中，本实用新型的量子保密通信网络系统还包括管理中心。

管理中心实现对量子保密通信网络的设备、密钥、策略、运维、运营方面的管理。具体实现上，可以根据管理对象的不同进行拆分。设备管理中心实现对组网设备的准入管理；密钥管理中心实现对网络运行中密码算法所需的密钥管理；策略管理中心实现对传统网络设备、安全设备、量子设备等运行方式的管理；运维管理中心实现对全网设备运行状态的管理；运营管理中心根据业务传输进行计费、服务质量等统计。

在一些实施方式中，管理中心与交换节点相连。在一些实施方式中，用户端装置(离线导入导出专用终端、用户密钥分发中心和密码设备等)通过IP网络与接入节点相连。

实施例二：本实用新型接入节点的集成化接入节点装置

1.本实用新型接入节点的集成化接入节点装置的结构

本实用新型的接入节点装置的结构及其与外部交互关系如图2所示。本实用新型的集成化接入节点装置包括以下两部分：

1.1量子密钥服务单元：用于对接用户端装置，解决各类用户密钥分发中心、密码设备等对接兼容问题，实现对用户数据传输权限的控制。

1.2量子通信接入单元：它包括接入数据处理模块和量子密钥生成模块。量子密钥生成模块通过内部的QKD-A(QKD发射端)与相邻节点生成量子密钥，并输出给接入数据处理模块。

接入数据处理模块它产生通信密钥、分发通信密钥和传输业务数据。接入数据处理模块生成通信密钥K，并通过量子密钥的保护和中继节点的中继(如需要)实现其与相连交换节点间通信密钥的安全共享。

量子密钥服务单元与量子通信接入单元之间使用通信总线(如SPI总线)相连，并采用私有协议实现隔离。

2.本实用新型接入节点的服务方式

用户端装置通过IP网络与集成化接入节点装置进行对接，即在线接入。用户端装置主要包括用户密钥分发中心、密码设备、离线导入导出专用终端，服务方式如下：

2.1用户密钥分发中心，为用户的密码设备生成分发密钥，并通过借助量子保密通信网络实现简化(用户)密钥的长距离分发。

2.2密码设备(如VPN网关)，直接用来进行密码运算或保密通讯，其用于保密的密钥通过量子保密通信网进行发送和接收。

2.3.离线导入导出专用终端，具备三方面的功能。其一，用户通过密码棒等安全介质将用户密钥离线导入至离线导入导出专用终端，并通过离线导入导出专用终端提交数据传输请求；其二，用户通过离线导入导出专用终端接收远端经量子保密通信网传输的用户密钥，并导出到密码棒等安全介质，应用于本地的用户端系统/设备；其三，用户通过离线导入导出专用终端向量子保密通信网提交参数化请求，并获取用户密钥，在本地获取的同时，该密钥会通过链子保密通信网及时传递给指定的远端系统。

3.本实用新型接入节点的工作流程

3.1.量子密钥生成和存储

量子密钥生成和存储流程如图3所示，其流程描述如下。

1)量子密钥生成模块的QKD发射端(QKD-A子模块)与相邻节点(交换节点或中继节点)运行量子密钥分发协议(如BB84)生量子密钥qA；

2)量子密钥生成模块将量子密钥qA输出到接入数据处理模块；

3)接入数据处理模块使用由网络中管理中心的量子保密通信网络密钥管理中心派发的存储密钥加密量子密钥得到密态量子密钥及摘要值进行量子密钥存储，确保其存储的机密性和完整性；摘要值通过哈希算法/摘要算法，计算出来一个值，并且不能反向计算出它的输入，常见的哈希算法有SHA-256、SM3等。

3.2.通信密钥生成和存储

接入节点生成的通信密钥用于其与同一逻辑链路相连交换节点之间的保密通信，分发过程如图4所示，其流程描述如下。

1)接入数据处理模块使用随机数源产生通信密钥K，该随机数源既可以是独立内置的随机数生成器也可以复用QKD-A子模块内的随机数生成器；

2)使用存储的量子密钥qA对通信密钥进行保护，得到通信密钥密文KA；

3)发送通信密钥密文KA给相邻节点，如相邻节点是中继节点，那么需要使用下一跳量子密钥进行安全中继，最后传给交换节点进行解密；

4)确定对端接收到通信密钥K后，接入数据处理模块使用由量子保密通信网络密钥管理中心派发的存储密钥加密通信密钥K得到密态的通信密钥及摘要值，并进行存储。

3.3.数据安全传递和接收

3.3.1业务数据发送流程

源端用户装置需要安全传输业务数据(如用户密钥)至目的端用户装置。以离线用户密钥管理分发中心为例，其过程如图5所示，过程描述如下：

1)源端用户密钥管理分发中心经密码棒以离线方式将业务数据导入到离线导入导出专用终端；

2)离线导入导出专用终端通过网络方式按任务将业务数据提交至量子密钥服务单元；

3)量子密钥服务单元检查任务权限，如有授权将业务数据进行封装，形成传输任务单，并以私有协议通信总线摆渡给量子通信接入单元；如没有授权则拒绝；

4)量子通信接入单元的接入数据处理模块根据传输任务单，对业务数据进行封装及基于通信密钥的安全保护，形成业务数据密文；

5)量子通信接入单元的接入数据处理模块通过经典信道将业务数据密文传递给后续节点。

3.3.2业务数据接收流程

目的端用户装置需要安全接收来自源端用户装置的业务数据(如用户密钥)。以离线用户密钥分发中心为例，其过程如图6所示，过程描述如下：

1)量子通信接入单元的接入数据处理模块接收来自同一逻辑链路相连节点的业务数据密文；

2)使用通信密钥进行解密获得明文(即传输任务单)，并检查明文的完整性，如完整性被破坏，则丢弃传输任务单数据；

3)以私有协议通过通信总线将包含业务数据的传输任务单摆渡至量子密钥服务单元；

4)量子密钥服务单元将业务数据推送给对应的目的端用户装置；

5)用户通过密码棒离线方式将业务数据导到用户密钥分发中心。

4.安全设计

4.1基于对称密码技术的双向身份认证

接入节点多处需要进行双向身份认证，包括用户端设备与量子密钥服务单元之间、量子密钥服务单元与量子通信接入单元之间、本接入节点与相邻节点之间。双向身份认证采用预置对称密钥以及随机数挑战方式实现。

4.2基于临时会话密钥的通信安全保护

无论是节点外部还是节点内部，均需要保护业务数据在传输过程中的机密性和完整性。在建立双向身份认证后，再进一步协商出临时会话密钥。该临时会话密钥一部分用于对称加密算法如SM4，实现对传输数据的加密；另一部分用于消息认证码计算，如基于SM3的HMAC，实现对传输数据的完整性保护。在进行上述安全保护时，需先计算消息认证码，再将传输数据及其消息认证码一并进行加密。

4.3基于对称密码技术的本地安全存储

接入数据处理模块需要存储量子密钥和通信密钥，并且这两类密钥数据至关重要，因此在存储前需先对其进行安全保护。接入数据处理模块预置了由量子保密通信网络的密钥管理中心配发的存储密钥，该密钥分为两部分：一部分用于对称加密算法如SM4，实现对存储数据的加密；另一部分用于消息认证码计算，如基于SM3的HMAC，实现对存储数据的完整性保护。在进行上述安全保护时，需先计算消息认证码，再将传输数据及其消息认证码一并进行加密，最终对得到的密文进行存储。

本领域的技术人员容易理解的是，在不冲突的前提下，上述各有利方式可以自由地组合、叠加。以上仅为本实用新型的较佳实施例而已，并不用以限制本实用新型，凡在本实用新型的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本实用新型的保护范围之内。以上仅是本实用新型的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本实用新型技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本实用新型的保护范围。