一种基于量子密码技术的高速密钥切换量子安全交换机的制作方法

1.本发明涉及量子密码技术在通信安全领域的应用，尤其是指一种基于量子密码技术的高速密钥切换量子安全交换机。


背景技术：

2.量子密码技术使用量子携带和传递信息，基于量子力学的基本物理特性，在用户之间实现不可复制、无法窃听的量子密钥传输。该技术实现了密钥的实时分配和更新，密钥传递安全性能够得到根本的保证。量子安全交换机正是借助了量子密钥分发系统所提供的安全密钥，实现信息的加密。
3.传统的以太网链路层加密技术，基于经典的加密方法。通过算法的复杂性来保证密钥的安全。由于密钥获取均基于公钥或者是共享密钥体系，需要进行数据交换后计算或通过密钥协商的办法生成密钥，用于数据加密。一种经典的密钥协商过程，首先加解密两端通过预先设置或认证获取的方式，得到安全连接密钥cak；两端通过协商决定密钥服务端或客户端的角色，各自通过算法生成一样的kek（密钥加密密钥）；服务端通过伪随机算法得到key（加密密钥）；服务端把key用kek加密后，发送到客户端，客户端用kek解密，得到key；两端用key，对以太网链路层数据进行加解密，实现链路层安全通信。
4.经典的方法，存在潜在的巨大风险，即密钥安全性建立在运算复杂度的基础上， 在当今飞速发展的计算能力面前，未来仅依靠运算复杂度很可能已经不再构成破解的障碍。 而且密钥更新的协议交互过程复杂，计算复杂，更新需要的时间很长，更新一个密钥的周期达到分钟级别。如macsec技术，更新密钥时，由于通信双方没有相同的新密钥，需由服务端生成新的密钥key，，用kek把key加密后，发送给客户端。密钥更新过程复杂，而且key以密文方式在通信链路上传送，存在被窃取破解的风险。因此，传统的以太网加密协议和量子密码技术简单结合，存在缺陷，无法完全发挥量子密码技术的优势。
5.本发明针对传统链路层加密交换机的不足，通过应用量子密码技术，针对量子密钥分发的特点，采用专用的链路层加密方法，设计出一款实现量子密钥获取，高速密钥轮换加密的量子安全交换机，提高通信安全性。


技术实现要素：

6.本发明的目的在于克服传统链路层加密技术的缺点和不足，和量子密码技术相结合，通过获取量子密码，简化密钥协商机制，实现高速密钥轮换，发明一种量子安全交换机。
7.为实现上述目的，本发明一种基于量子密码技术的高速密钥切换量子安全交换机的技术方案为：在以太网通信链路两端，量子安全交换机和量子密码系统连接，实时获取量子密钥，存储在密钥池中，并给密钥编号。通信两端量子安全交换机通过同步校验，保证两端的密钥一致性。量子安全交换机利用获取的密钥供链路层数据加密使用，加密端完成数据加密的同时，把密钥编号发送到解密端，解密端根据密钥编号查找对应的密钥对数据进行解密。加密端可以从密钥池中高速提取切换密钥，可根据需要灵活设置密钥更换模式，包
括计数切换，计时切换，随机数切换，可实现一包一密，多包一密。解密端根据编号快速查找密钥进行解密。本发明充分利用了量子密钥分发技术的特点，具有密钥更新速率高，安全性高的优点。
8.设备的具体工作流程如下所：1)量子安全交换机通过专用接口，接入量子密码系统；2)以太网通信链路两端的量子安全交换机同步从量子密码系统获取绝对安全的量子密钥；3)链路两端的量子安全交换机，通过链路进行同步确认，验证密钥一致性；4)量子交换机的加密模块有多个密钥池，获取的密钥写入加密模块的密钥池中，每个密钥对应一个唯一密钥编号，对应其在某个密钥池中的具体位置；5)加密端从密钥池中提取一个密钥，用于链路层数据加密。加密后的数据，连同密钥编号，按专用链路加密协议组包，发送到对端，切换密钥只需更新密钥编号，无需额外信息交互，实现高速密钥切换；6)解密端读取密钥编号，从密钥池中快速查找到正确的密钥，并用其对密文数据包解密；7)量子安全交换机使用当前密钥池的密钥对数据加密的同时，继续获取新的密钥，写入新的密钥池中，密钥池轮换使用。通信加解密两端新密钥池更新完毕，确认无误后，密钥池轮换，从新的密钥池提取密钥用于加密，并更新密钥编号。密钥切换过程几乎不影响数据通信，实现无缝密钥切换。
9.8)可根据需要灵活设置密钥更换模式，包括周期性切换，非周期切换。可按计数切换，计时切换，随机数切换，可实现一包一密或多包一密。解密端根据编号快速查询密钥进行解密。
10.本发明与现有设备及技术相比，具有如下优点：1、量子安全交换机，通过认证后接入量子密码系统并获取量子密钥。应用量子密码技术，极大提高密钥分发的安全性。
11.2、量子安全交换机不断地获得大量量子密钥，加解密两端每个获取周期只需要简单的同步确认，不影响正常通信。
12.3、量子安全交换的密钥更新模块，采用了密钥池轮换，密钥编号，高速密钥提取切换加解密技术，最快可实现一包一密的加解密。密钥切换只需通过专用协议把密钥编号由加密端发送到解密端，极大简化了密钥协商更新的过程。
13.4、密钥高速切换使用，更换时间可达纳秒级，极大地提高了以太网链路的安全性。
附图说明
14.图1为本发明的量子加密通信系统示意图。
15.图2为本发明的工作流程示意图。
具体实施方式
16.下面结合具体实施例对本发明做进一步的说明。
17.如图1所示，本实施例的用户的专用网络需要扩建，利用交换机的万兆光口连接通
信的两端，实现数据通信。由于通信光纤链路距离遥远，用户无法监控管理，而需要传送的信息非常重要，必须受到保护。该实施例在通信两端安装量子密码设备，构建量子密码系统。通过量子密码技术，实现了量子密钥生成分发。光纤链路两侧的交换机采用量子安全交换机，通过认证接入量子密码系统，获取密钥。量子安全交换机加密模块中具有多个密钥池，轮换使用。通信链路层设计专用的协议，加密端发送加密密钥的编号，解密端可以快速提取密钥编号，实现高速的密钥切换。其具体过程如下：1)量子安全交换机通过专用接口，接入量子密码系统；2)以太网通信链路两端的量子安全交换机同步从量子密码系统获取绝对安全的量子密钥；3)链路两端的量子安全交换机，通过链路进行同步确认，验证密钥一致性；4)量子交换机的加密模块有多个密钥池，获取的密钥写入加密模块的密钥池中，每个密钥对应一个唯一密钥编号，对应其在某个密钥池中的具体位置；5)加密端从密钥池中提取一个密钥，用于链路层数据加密。加密后的数据，连同密钥编号，按专用链路加密协议组包，发送到对端，切换密钥只需更新密钥编号，无需额外信息交互，实现高速密钥切换；6)解密端读取密钥编号，从密钥池中快速查找到正确的密钥，并用其对密文数据包解密；7)量子安全交换机使用当前密钥池的密钥对数据加密的同时，继续获取新的密钥，写入新的密钥池中，密钥池轮换使用。通信加解密两端新密钥池更新完毕，确认无误后，密钥池轮换，从新的密钥池提取密钥用于加密，并更新密钥编号。密钥切换过程几乎不影响数据通信，实现无缝密钥切换。
18.8)可根据需要灵活设置密钥更换模式，包括周期性切换，非周期切换。可按计数切换，计时切换，随机数切换，可实现一包一密或多包一密。解密端根据编号快速查询密钥进行解密。
19.9)量子安全交换机的采用fpga设计，实现高速密钥更新切换，协议封装采用fpga设计，密钥更新可达纳秒级，加密处理延时达到微妙级。