CN106656493A - 基于量子密钥分发的软件定义网络安全通信方法 - Google Patents
基于量子密钥分发的软件定义网络安全通信方法 Download PDFInfo
- Publication number
- CN106656493A CN106656493A CN201710036620.4A CN201710036620A CN106656493A CN 106656493 A CN106656493 A CN 106656493A CN 201710036620 A CN201710036620 A CN 201710036620A CN 106656493 A CN106656493 A CN 106656493A
- Authority
- CN
- China
- Prior art keywords
- quantum key
- key distribution
- controller
- quantum
- defined network
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种基于量子密钥分发的软件定义网络安全通信方法,在控制器端和交换机端分别部署量子密钥分发系统,通过软件硬件结合的方式,使得控制器和交换机之间能够使用生成的量子密钥对信息采用一次一密加密方法进行加密和解密。软件定义网络和量子密钥分发系统均已得到商业化的应用。本发明设计的安全通信方法具有较强的实用价值,应用前景良好。
Description
技术领域
本发明属于网络软件技术领域,具体涉及基于量子密钥分发的软件定义网络安全通信方法。
背景技术
软件定义网络中南向接口使用OpenFlow协议进行通信。OpenFlow协议中使用传输层安全协议保证通信的安全性。从OpenFlow1.3.0版本开始,使用传输层安全协议机制成为了可选项;同时,传输层安全协议本身存在漏洞,容易引起中间人攻击。
量子密钥分发作技术与一次一密加密模式相结合,可以实现理论上的无条件安全。
发明内容
本发明的目的是为了解决软件定义网络南向接口OpenFlow协议存在的安全性缺陷,通过结合量子密钥分发技术,对通信内容进行一次一密加密,保证了控制器与交换机之间通信的安全性。
本发明的目的是通过下述技术方案实现的。
a在控制器端和交换机端部署量子密钥分发系统,生成量子密钥;通过量子信道相连接,在控制器和交换机之间形成组合,如:[控制器-交换机a],[控制器-交换机b]。每个组合生成每个组合的量子密钥。
b启动控制器和交换机,通过握手协议建立连接;控制器端和交换机端对生成的量子密钥进行比对,如果通信双方通过比对发现密钥的误码率超过预先设定值,或者密钥生成速率低于预先设定值,则放弃通信。
c通过软件硬件协同的方式,从量子密钥分发系统中获得密钥,将密钥送至控制器和交换机。
d控制器和交换机使用一次一密算法对信息进行加密和解密。
与现有的传输层安全协议相比,本发明的优点在于:
(1)本发明能够使用量子密钥对控制器和交换机之间传递的信息进行一次一密加密,实现无条件安全。
(2)本发明能够避免传输层安全协议的漏洞导致的中间人攻击和重放攻击等安全威胁。
附图说明
图1是本发明所述的基于量子密钥分发的软件定义网络安全通信方法的结构示意图;
图2是本发明所述的基于量子密钥分发的软件定义网络安全通信方法的工作流程图。
具体实施方式
下面结合说明书附图和具体实施对本发明做进一步地详细说明。图1为本发明所述的基于量子密钥分发的软件定义网络安全通信方法的结构示意图,图2为本发明所述的基于量子密钥分发的软件定义网络安全通信方法的工作流程图。
本发明包含软件定义网络中的控制器和OpenFlow交换机、量子密钥分发系统、以太网交换机和光量子交换机。结构示意图如图1所示
本发明的工作流程如图2所示。第一步,启动控制器和OpenFlow交换机,通过握手协议建立连接。第二步,启动量子密钥分发系统,为控制器端和交换机端生成量子密钥,其中,控制器端的量子密钥分发系统通过光交换机采用时分复用的方式与每个交换机端的量子密钥分发系统相连接。第三步,控制器端和交换机端对生成的密钥进行校验。如果发现密钥生成过程中有窃听者或者无法生成最终密钥,则放弃通信;若密钥量不足,则等待密钥生成;如果一切正常,则进入第四步。第四步,控制器和交换机进行一次一密的保密通信。
Claims (4)
1.一种基于量子密钥分发的软件定义网络安全通信方法,其特征在于,步骤为:
a.启动控制器端和交换机端的量子密钥分发系统,生成量子密钥;
b.启动控制器和交换机,通过握手协议建立连接;
c.交换机端与控制器端检测由步骤a生成的量子密钥是否符合使用要求,即密钥生成过程中是否存在窃听、密钥量是否达到预定值,如果符合要求,则进入步骤d,否则放弃连接;
d.交换机端和控制器端使用一次一密加密方法利用步骤a生成的量子密钥对通信内容进行加密解密。
2.根据权利要求1所述的基于量子密钥分发的软件定义网络安全通信方法,其特征在于:在每个交换机端都配有一套量子密钥分发设备,在控制器端只配有一套量子密钥分发系统,通过光交换机,对控制器端的量子密钥分发系统实现时分复用。
3.根据权利要求1所述的基于量子密钥分发的软件定义网络安全通信方法,其特征在于:交换机通过经典信道与控制器相连,量子密钥分发系统之间使用量子信道相连,量子密钥分发系统生成密钥过程中产生的控制消息与交换机和控制器之间的控制消息通过时分复用的方式在同一条经典信道上传递。
4.根据权利要求1所述的基于量子密钥分发的软件定义网络安全通信方法,其特征在于:控制器与交换机之间进行一次一密加密通信的密钥由量子密钥分发系统实时产生。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710036620.4A CN106656493A (zh) | 2017-01-18 | 2017-01-18 | 基于量子密钥分发的软件定义网络安全通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710036620.4A CN106656493A (zh) | 2017-01-18 | 2017-01-18 | 基于量子密钥分发的软件定义网络安全通信方法 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN106656493A true CN106656493A (zh) | 2017-05-10 |
Family
ID=58841630
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710036620.4A Pending CN106656493A (zh) | 2017-01-18 | 2017-01-18 | 基于量子密钥分发的软件定义网络安全通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN106656493A (zh) |
Cited By (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
CN110392033A (zh) * | 2018-04-23 | 2019-10-29 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
US10778662B2 (en) | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491531A (zh) * | 2013-08-23 | 2014-01-01 | 中国科学技术大学 | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 |
CN103490891A (zh) * | 2013-08-23 | 2014-01-01 | 中国科学技术大学 | 一种电网ssl vpn中密钥更新和使用的方法 |
-
2017
- 2017-01-18 CN CN201710036620.4A patent/CN106656493A/zh active Pending
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103491531A (zh) * | 2013-08-23 | 2014-01-01 | 中国科学技术大学 | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 |
CN103490891A (zh) * | 2013-08-23 | 2014-01-01 | 中国科学技术大学 | 一种电网ssl vpn中密钥更新和使用的方法 |
Non-Patent Citations (1)
Title |
---|
AGUADO等: "Quantum-Aware Software Defined Networks", 《6TH INTERNATIONAL CONFERENCE ON QUANTUM CRYPTOGRAPHY (QCRYPT 2016)》 * |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
CN107294960B (zh) * | 2017-06-08 | 2020-09-25 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
CN110392033A (zh) * | 2018-04-23 | 2019-10-29 | 北京华为数字技术有限公司 | 一种密码管理方法及装置 |
US10778662B2 (en) | 2018-10-22 | 2020-09-15 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
US11895100B2 (en) | 2018-10-22 | 2024-02-06 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN104486077B (zh) | 一种VoIP实时数据安全传输的端到端密钥协商方法 | |
CN104683304B (zh) | 一种保密通信业务的处理方法、设备和系统 | |
EP2320621B1 (en) | Method for establishing cryptographic communications between a remote device and a medical device and system for carrying out the method | |
JP2018110374A5 (zh) | ||
CN104821944A (zh) | 一种混合加密的网络数据安全方法及系统 | |
CN102333093A (zh) | 一种数据加密传输方法及系统 | |
CN104219041A (zh) | 一种适用于移动互联网的数据传输加密方法 | |
CN104901935A (zh) | 一种基于cpk的双向认证及数据交互安全保护方法 | |
CN101442403B (zh) | 一种自适应的复合密钥交换和会话密钥管理方法 | |
CN104618110A (zh) | 一种VoIP安全会议会话密钥传输方法 | |
CN104683291B (zh) | 基于ims系统的会话密钥协商方法 | |
CN110855438B (zh) | 一种基于环形qkd网络的量子密钥分发方法及系统 | |
CN101707767B (zh) | 一种数据传输方法及设备 | |
CN101958907A (zh) | 一种传输密钥的方法、系统和装置 | |
CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
CN104901803A (zh) | 一种基于cpk标识认证技术的数据交互安全保护方法 | |
KR101704540B1 (ko) | M2m 환경의 다중 디바이스 데이터 공유를 위한 그룹키 관리 방법 | |
CN101790160A (zh) | 安全协商会话密钥的方法及装置 | |
CN111478911A (zh) | 一种采用轻量化密钥交换算法的即时通信加密方法 | |
CN106656493A (zh) | 基于量子密钥分发的软件定义网络安全通信方法 | |
CN118338291B (zh) | 一种应急通信无线Mesh自组网身份认证与数据安全传输方法 | |
CN103888940A (zh) | 多级加密与认证的wia-pa网络手持设备的通讯方法 | |
CN101552666B (zh) | 一种实时流媒体加密传输的方法 | |
CN113242129B (zh) | 一种基于格加密的端到端数据机密性和完整性保护方法 | |
CN106209384B (zh) | 使用安全机制的客户终端与充电装置的通信认证方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170510 |
|
RJ01 | Rejection of invention patent application after publication |