一种基于量子技术的E1群路加密系统及加密方法与流程

本发明属于量子信息处理技术领域，涉及一种基于量子密钥分发技术的e1群路加密系统及加密方法。

背景技术：

在我国数字通信网络系统中，e1是一种常用的传输和接口规范，被广泛应用于基站、交换局间、分组网、帧中继网的数据传输链路。现有的e1群路加密装置主要用于解决对链路传输信息进行二次加密，为用户提供语音、数据、传真、视频会议等保密通信业务。在密钥管理和分发机制上主要是通过密钥分配中心kdc来管理和分配公开密钥，通常采用两层密钥结构：会话密钥和主密钥，其中会话密钥对干线多路复用的用户信息进行保护，由群路保密机自身产生，通过人工切换实现在线互分发；主密钥用于保护会话密钥，以人工方式进行分配，采用信使或机要传送的方式完成。采用层次化的密钥分发与管理体制可以使密钥的安全性得到大大提高，但是这种方案在实际中始终存在一些关键问题无法解决：一是两层密钥增加了密钥管理的复杂度；二是会话密钥一般采用对称加密技术，由于传输链路的不安全性，会话密钥在传输时也必须加密传输；三是主密钥的分发需要靠人工或安全信使来完成，造成传送效率不高，传送过程存在安全风险；四是会话密钥的使用周期与主密钥的更换周期相关，可能会导致会话密钥重复使用的现象出现，使得窃听者对系统实施更有效的攻击。

技术实现要素：

本发明的目的是提供一种基于量子技术的e1群路加密系统，利用量子密钥分发的“无条件安全”性解决现有技术中存在的e1群路加密装置采用层次化密钥分发与管理体制、经典对称加密技术和人工分发存在的问题。

本发明的另一目的是提供一种基于量子密钥分发技术的e1群路加密方法。

本发明所采用的技术方案是，一种基于量子密钥分发技术的e1群路加密方法，包括对称密钥处理和加/解密处理两个部分。对称密钥处理完成一次一密的密钥转换，将qkd产生的量子密钥ki转换为与e1信号等长的对称量子密钥ko；加/解密处理完成同步加/解密控制，并利用对称量子密钥与待传输的e1信号进行逐比特的加解密操作，实现绝对安全的量子保密通信。

一种基于量子密钥分发技术的e1群路加密系统，包括量子密钥分发设备，量子密钥分发设备通过密钥服务接口连接有e1群路加密装置，量子密钥分发设备通过量子信道和经典信道与目标量子密钥分发设备相连，所述e1群路加密装置通过经典信道与目标e1群路加密装置相连。

量子密钥分发设备上设置有量子比特发送接口和量子比特接收接口，量子比特发送接口和量子比特接收接口通过暗光纤相连。

量子密钥分发设备上设置有网络通信接口，网络通信接口通过tcp/ip网络与目标网络通信接口相连。

e1群路加密装置上设置有e1接口，e1接口通过传输网络与目标e1接口相连。

一种基于量子密钥分发技术的e1群路加密方法，基于一种基于量子密钥分发技术的e1群路加密系统进行实施，其具体结构为：

包括量子密钥分发设备，量子密钥分发设备通过密钥服务接口连接有e1群路加密装置，量子密钥分发设备通过量子信道和经典信道与目标量子密钥分发设备相连，所述e1群路加密装置通过经典信道与目标e1群路加密装置相连，所述量子密钥分发设备上设置有量子比特发送接口和量子比特接收接口，量子比特发送接口和量子比特接收接口通过暗光纤相连，所述量子密钥分发设备上设置有网络通信接口，网络通信接口通过tcp/ip网络与目标网络通信接口相连；

具体实施步骤如下：

步骤1：量子密钥存储

将量子密钥分发设备提供的量子密钥ki置于量子密钥资源池中进行缓存，先将量子密钥ki置于量子密钥资源池中，积累到一定长度后用不同的编码方式进行扩展；

步骤2：量子密钥扩展

将步骤1中积累到一定长度的量子密钥ki采用霍夫曼编码等不同的编码方式对量子密钥进行扩展，产生与e1信号等长的对称量子密钥ko，完成对称密钥处理过程；

步骤3：量子密钥同步

利用e1信号奇帧的ts0时隙来传送加密控制信息，由密码控制单元实现e1信号帧同步和量子密钥同步；

步骤4：量子密钥加/解

采用异或等运算方法将步骤2所得对称量子密钥ko与待传输的e1信号进行逐比特的加/解密操作，实现相同密钥、相同位置的同步加/解密；

步骤5：e1信号传输

加密后的e1信号通过经典传输网络由一端传到目标端，再解密恢复成原信号；最终实现在经典传输网络中进行干线保密传输。

步骤3中量子密钥同步具体包括以下步骤：

密码同步控制单元首先利用e1信号偶帧ts0时隙完成加/解密前收、发两端e1信号的帧同步，然后在奇帧ts0时隙的空余字节中置入特殊字符完成加、解密双方的密钥同步，同时实现加/解密过程的信息协商。

本发明的有益效果是，本发明设计的e1群路加密方法结合量子密钥分发技术可以实现干线传输信息的二次加密，为用户提供语音、点到点计算机通信、传真、电话会议等基于量子密钥的保密应用服务，促进量子保密通信技术与经典传输网络融合的实用化，使量子密钥技术的研发与应用得到有效验证，提升信息网络的实际安全性，可以抵御量子计算带来的安全威胁，为e1群路加密装置的研制提供了一种新的方法。

附图说明

图1是本发明一种基于量子密钥分发技术的e1群路加密系统结构图；

图2是本发明一种基于量子密钥分发技术的e1群路加密方法的流程图。

图中，1.量子密钥分发设备qkd，2.e1群路加密装置，3.量子信道，4.经典信道，5.量子比特发送接口，6.量子比特接收接口，7.网路通信接口，8.密钥服务接口，9.e1接口，10.e1信号。

具体实施方式

下面结合附图和具体技术方案，对本发明进行详细说明。

一种基于量子密钥分发技术的e1群路加密系统，如图1所示，包括量子密钥分发设备1，量子密钥分发设备1通过密钥服务接口8连接有e1群路加密装置2，量子密钥分发设备1通过量子信道3和经典信道4与目标量子密钥分发设备1相连，所述e1群路加密装置2通过经典信道4与目标e1群路加密装置2相连。

量子密钥分发设备1上设置有量子比特发送接口5和量子比特接收接口6，量子比特发送接口5和量子比特接收接口6通过暗光纤相连。

量子密钥分发设备1上设置有网络通信接口7，网络通信接口7通过tcp/ip网络经典信道4与目标网络通信接口7相连。

e1群路加密装置2上设置有e1接口9，e1接口9通过传输网络经典信道4与目标e1接口9相连。

一种基于量子密钥分发技术的e1群路加密方法，基于一种基于量子密钥分发技术的e1群路加密系统进行实施，其具体结构为：

包括量子密钥分发设备1、量子密钥分发设备1通过密钥服务接口8连接有e1群路加密装置2，量子密钥分发设备1通过量子信道3和经典信道4与目标量子密钥分发设备1相连，所述e1群路加密装置2通过经典信道4与目标e1群路加密装置2相连，所述量子密钥分发设备1上设置有量子比特发送接口5和量子比特接收接口6，量子比特发送接口5和量子比特接收接口6通过暗光纤相连，所述量子密钥分发设备1上设置有网络通信接口7，网络通信接口7通过tcp/ip网络与目标网络通信接口相连；

具体实施步骤如下：

步骤1：量子密钥存储

将量子密钥分发设备1提供的量子密钥ki置于量子密钥资源池中进行缓存，先将量子密钥ki置于量子密钥资源池中，积累到一定长度后用不同的编码方式进行扩展；

步骤2：量子密钥扩展

将步骤1中积累到一定长度的量子密钥ki采用霍夫曼编码等不同的编码方式对量子密钥进行扩展，产生与e1信号等长的对称量子密钥ko，完成对称密钥处理过程；

步骤3：量子密钥同步

利用e1信号10奇帧的ts0时隙来传送加密控制信息，由密码控制单元实现e1信号10帧同步和量子密钥同步；

步骤4：量子密钥加/解

采用异或等运算方法将步骤2所得对称量子密钥ko与待传输的e1信号10进行逐比特的加/解密操作，实现相同密钥、相同位置的同步加/解密；

步骤5：e1信号传输

加密后的e1信号通过经典传输网络由一端传到目标端，再解密恢复成原信号；最终实现在经典传输网络中进行干线保密传输。

步骤3中量子密钥同步具体包括以下步骤：

密码同步控制单元首先利用e1信号10偶帧ts0时隙完成加/解密前收、发两端e1信号10的帧同步，然后在奇帧ts0时隙的空余字节中置入特殊字符完成加、解密双方的密钥同步，同时实现加/解密过程的信息协商。

本发明基于量子密钥分发技术的e1群路加密系统的基本原理为：

1.量子密钥分发设备(qkd)1产生不同的偏振态单光子作为量子比特，通过量子比特发送接口5和量子比特接收接口6完成单光子源到单光子探测器的单向传输，即由量子信道3完成单光子源量子态的编码、传输和解码。

2.量子密钥分发设备(qkd)1将产生的量子比特通过量子密钥提取生成量子密钥ki，通过网路通信接口实现通信双方之间的量子密钥共享，再通过密钥服务接口将量子密钥ki提供给e1群路加密装置，即由经典信道4完成量子密钥的同步和协商等数据后处理。

3.e1群路加密装置2完成对干线多路复用的用户信息的加/解密处理，在经典传输网络中提供基于量子密钥在线分发技术的群路保密通信，上层业务系统可以是话音、视频、数据等业务类型，即由e1群路加密装置2实现待传输群路信息的加/解密过程。

e1群路加密装置2是本发明的核心内容，只在信息传输层提供基于量子密钥的保密通信，上层业务系统可以是任何业务类型，从而实现量子密钥分发与各种业务的解耦。针对该装置本发明采用以下技术方案，一种基于量子技术的e1群路加密方法，如图2所示，该方法包括如下步骤：

1.量子密钥存储：将量子密钥分发设备1提供的量子密钥ki置于量子密钥资源池中进行缓存，量子密钥资源池的主体是缓冲存储器。由于量子密钥成码率很低，且密钥速率是动态变化的，因此先将量子密钥ki置于量子密钥资源池中，积累到一定长度后用不同的编码方式进行扩展。

2.量子密钥扩展：e1信号标称速率为2048kbit/s，由于量子密钥分发设备(qkd)产生的量子密钥速率不固定，且速率低，因此采用霍夫曼编码等不同的编码方式对量子密钥进行扩展，产生与e1信号等长的对称量子密钥ko，完成对称密钥处理过程。

3.量子密钥同步：利用e1奇帧的ts0时隙来传送加密控制信息，由密码控制单元实现e1信号帧同步和量子密钥同步。

e1信号帧结构是由32个时隙组成一个帧，16帧组成一个复帧。在一帧中，ts0主要用于传送帧定位信息(fas)、循环冗余校验(crc)和对端告警指示，ts16主要用于传送随路信令(cas)、复帧定位信息和复帧对端告警指示，ts1－ts15和ts17－ts31等30个时隙用于传送语音或数据等信息。

由于帧定位信息只存在于偶帧的ts0时隙中，在采集e1信号时将两帧e1信号看成一组，e1的帧周期为125us，两帧即为250us，即在采集到第一个同步序列开始，之后每隔250us可以连续采集到相同的帧定位信息。奇帧的ts0时隙中第(4～8)bit是暂时留给国内通信用的空余比特。

密码同步控制单元首先利用e1信号中偶帧ts0时隙完成加/解密前收、发两端e1信号的帧同步，然后在奇帧ts0时隙的空余字节中置入特殊字符完成加、解密双方的密钥同步，同时实现加/解密过程的信息协商。这个步骤无需任何额外带宽需求，充分利用e1信号空余的带宽资源，且不影响原有正常通信内容。

4.量子密钥加/解：采用异或等运算方法将对称量子密钥ko与待传输的e1信号进行逐比特的加/解密操作，实现相同密钥、相同位置的同步加/解密。

5.e1信号传输：加密后的e1信号通过经典传输网络由一端传到目标端，再解密恢复成原信号。经典传输网络包含光传输网络和无线传输网络，e1群路信道是经典传输网络中一种最基本、最常用的数据链路，语音、数据、视频等业务信号采用基于量子密钥分发技术的e1群路加密装置就可以在经典传输网络中实现干线保密传输。本发明设计的e1群路加密装置结合量子密钥分发技术可以实现干线传输信息的二次加密，为用户提供语音、点到点计算机通信、传真、电话会议等基于量子密钥的保密应用服务，促进量子保密通信技术与经典传输网络融合的实用化，使量子密钥技术的研发与应用得到有效验证，提升信息网络的实际安全性，可以抵御量子计算带来的安全威胁，为e1群路加密装置的研制提供了一种新的方法。