CN108881313A - 一种基于量子波分复用的通信传输系统 - Google Patents
一种基于量子波分复用的通信传输系统 Download PDFInfo
- Publication number
- CN108881313A CN108881313A CN201810985604.4A CN201810985604A CN108881313A CN 108881313 A CN108881313 A CN 108881313A CN 201810985604 A CN201810985604 A CN 201810985604A CN 108881313 A CN108881313 A CN 108881313A
- Authority
- CN
- China
- Prior art keywords
- quantum
- equipment
- classical
- data
- division multiplexing
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/02—Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04J—MULTIPLEX COMMUNICATION
- H04J14/00—Optical multiplex systems
- H04J14/02—Wavelength-division multiplex systems
- H04J14/0227—Operation, administration, maintenance or provisioning [OAMP] of WDM networks, e.g. media access, routing or wavelength allocation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- General Engineering & Computer Science (AREA)
- Computing Systems (AREA)
- Optics & Photonics (AREA)
- Computer Hardware Design (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Optical Communication System (AREA)
Abstract
本申请提供一种基于量子波分复用的通信传输系统,包括第一量子密钥分发设备,量子加密设备,防火墙,路由器,第一数据处理设备以及第一量子波分复用设备;第一量子密钥分发设备用以分发量子信号,收发经典协商数据,协商生成量子密钥,并将量子密钥经由防火墙发送至量子加密设备,将经典协商数据发送至路由器,将量子信号通过量子信道发送至第一量子波分复用设备;量子加密设备利用量子密钥对经典业务数据进行加密并将加密后的经典业务数据返回至路由器;防火墙将第一量子密钥分发设备发送至量子加密设备的量子密钥进行过滤隔离。本申请在对现有网络架构的变动较小的情况下,可以有效地将内部信任区与外部非信任区进行隔离。
Description
技术领域
本申请涉及量子通信技术领域,尤其涉及一种基于量子波分复用的通信传输系统。
背景技术
由于金融行业的敏感性,金融行业对业务信息有着“高保密”、“高安全”、“高可靠”性的严格要求,而量子保密通信是目前唯一被严格证明的可保证信息安全的保密通信技术。量子保密通信利用单光子不可分割、量子态不可复制的特性实现通信双方间的安全密钥分配,结合“一次一密”技术实现传统通信方式所不具备的无条件安全特性,其在保密传输、数字签名、身份认证方面有广泛的研究及应用前景,被视为金融领域下一代安全通信的关键技术。
但是量子保密通信前期改造的投入过大,针对此,目前提出了一种量子通信与经典光传输系统的共纤传输模式,如图1所示,其示出了现有技术中量子光信号-经典光信号共纤系统的结构示意图。其中经典信道用于传输经过量子加密后的敏感业务数据;辅助信道用于传输量子协商等的控制数据(例如校验码等);量子信道用于收发端量子信号的分发。该三路功能不同的信道经过量子光信号-经典光信号共纤系统合波后耦合通过一条光纤就可以传到对端。对端接收到合波信号后经过量子光信号-经典光信号共纤系统解析得到经典信道信号、辅助信道信号和量子信道信号,并分别通过经典信道、辅助信道和量子信道传递给对端的经典通信设备/系统、量子通信设备/系统。该量子光信号-经典光信号共纤系统能够极大地降低量子保密通信网络建设成本,这将有利于量子保密通信的使用与推广。
本申请的申请人发现,目前现有的量子光信号-经典光信号共纤传输系统是存在安全域隔离的问题的,具体结合图2所示,其中经典路由器用于将需要加密的敏感业务数据引流到量子VPN(Virtual Private Network,虚拟专用网络)中;量子网关用于收发端(即量子网关A与量子网关B)间的量子密钥生成;量子VPN用于使用量子网关生成的量子密钥对敏感业务数据进行加密;MSAP/MSTP(多业务接入设备/多业务传送平台设备)基于SDH的应用平台,用于网络的接入和传输;量子波分复用设备用于多路光信号的耦合。
在实际应用过程中,敏感业务数据经由经典路由器引流到量子VPN中进行加密(加密的量子密钥由量子网关A提供),随后加密后的敏感业务数据返回至经典路由器,且量子网关A提供的经典协商数据(主要用于校验等)也发送至经典路由器,经典路由器将接收到的加密后的敏感业务数据和经典协商数据发送给MSAP/MSTP平台,进而MSAP/MSTP平台将经典路由器发送的加密后的敏感业务数据和经典协商数据发送至量子波分复用设备。最后,量子波分复用设备将加密后的敏感业务数据、经典协商数据同量子网关A通过量子信道发送的量子信道信号耦合进一根光纤传输到对端。对端的量子波分复用设备接收到耦合信号后,解复用所述耦合信号得到加密后的敏感业务数据、经典协商数据和量子信道信号。
在上述实现过程中,量子网关A需要连接运营商局端的量子网关B进行量子密钥的协商、同步,对于金融机构而言,运营商局端属于外部网络,是非信任区。同时量子网关A还需要将生成的量子密钥发送给量子VPN,由量子VPN对敏感业务数据进行加密,对于金融机构而言,量子网关A向量子VPN方向属于内部网络,是信任区。显然,现有的网络架构中并没有安全域隔离的手段,存在外部非信任区直接访问甚至篡改内部信任区数据的风险,存在严重的安全域隔离的问题,不符合金融领域安全管控的需求。
发明内容
本申请提供一种基于量子波分复用的通信传输系统,用于解决现有的量子光信号-经典光信号共纤传输系统存在安全域隔离的问题。技术方案如下:
基于本申请的一方面,本申请提供一种基于量子波分复用的通信传输系统,包括:
与路由器、第一量子波分复用设备和防火墙相连,用于将生成的量子密钥经所述防火墙发送至量子加密设备,将经典协商数据发送至所述路由器,将量子信号通过量子信道发送至所述第一量子波分复用设备的第一量子密钥分发设备;
与所述第一量子密钥分发设备、所述量子加密设备和第一数据处理设备相连,用于接收经典业务数据并将所述经典业务数据引流到所述量子加密设备,接收所述量子加密设备返回的加密后的经典业务数据,接收所述第一量子密钥分发设备发送的经典协商数据,以及将所述经典协商数据、所述加密后的经典业务数据发送至所述第一数据处理设备的路由器;
与所述路由器和所述防火墙相连,用于接收所述第一量子密钥分发设备发送的经由所述防火墙的所述量子密钥,并利用所述量子密钥对所述经典业务数据进行加密,将加密后的经典业务数据返回至所述路由器的量子加密设备;
位于所述第一量子密钥分发设备和所述量子加密设备之间,用于将所述第一量子密钥分发设备发送至所述量子加密设备的量子密钥进行过滤隔离的防火墙;
与所述路由器和所述第一量子波分复用设备相连,用于接收所述路由器发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据和所述经典协商数据发送至所述第一量子波分复用设备的第一数据处理设备;
与所述第一数据处理设备和所述第一量子密钥分发设备相连,用于将从所述第一数据处理设备接收到的所述加密后的经典业务数据和所述经典协商数据,同从所述第一量子密钥分发设备接收到的所述量子信号进行合波后,传输至数据接收端的第一量子波分复用设备。
可选地,所述数据接收端包括:
与所述第一量子波分复用设备连接,用于接收并解析所述第一量子波分复用设备输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号的第二量子波分复用设备;
与所述第二量子波分复用设备和第二量子密钥分发设备连接,用于接收所述第二量子波分复用设备发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,将所述经典协商数据传输至第二量子密钥分发设备的第二数据处理设备;
与所述第二量子波分复用设备和所述第二数据处理设备连接,用于接收所述第二量子波分复用设备发送的所述量子信号,以及接收所述第二数据处理设备发送的所述经典协商数据,以及与所述第一量子密钥分发设备交互发送量子信号,协商生成量子密钥的第二量子密钥分发设备。
可选地,所述第一量子波分复用设备与所述第二量子波分复用设备通过光纤连接。
可选地,所述第一数据处理设备包括多业务接入设备或多业务传送平台设备。
可选地,所述第二数据处理设备包括多业务接入设备或多业务传送平台设备。
基于本申请的另一方面,本申请提供一种基于量子波分复用的通信传输系统,包括:
与第一量子波分复用设备、防火墙和第一数据处理设备相连,用于将生成的量子密钥经所述防火墙发送至量子加密设备,将经典协商数据发送至所述第一数据处理设备,将量子信号通过量子信道发送至所述第一量子波分复用设备的第一量子密钥分发设备;
与所述量子加密设备和所述第一数据处理设备相连,用于接收经典业务数据并将所述经典业务数据引流到所述量子加密设备,接收所述量子加密设备返回的加密后的经典业务数据,并将所述加密后的经典业务数据发送至所述第一数据处理设备的路由器;
与所述路由器和所述防火墙相连,用于接收所述第一量子密钥分发设备发送的经由所述防火墙的所述量子密钥,并利用所述量子密钥对所述经典业务数据进行加密,将加密后的经典业务数据返回至所述路由器的量子加密设备;
位于所述第一量子密钥分发设备和所述量子加密设备之间,用于将所述第一量子密钥分发设备发送至所述量子加密设备的量子密钥进行过滤隔离的防火墙;
与所述路由器、所述第一量子密钥分发设备和所述第一量子波分复用设备相连,用于接收所述路由器发送的所述加密后的经典业务数据,接收所述第一量子密钥分发设备发送的所述经典协商数据,以及将所述加密后的经典业务数据和所述经典协商数据进行数据隔离后,发送至所述第一量子波分复用设备的第一数据处理设备;
与所述第一数据处理设备和所述第一量子密钥分发设备相连,用于将从所述第一数据处理设备接收到的所述加密后的经典业务数据和所述经典协商数据,同从所述第一量子密钥分发设备接收到的所述量子信号进行合波后,传输至数据接收端的第一量子波分复用设备。
可选地,所述数据接收端包括:
与所述第一量子波分复用设备连接,用于接收并解析所述第一量子波分复用设备输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号的第二量子波分复用设备;
与所述第二量子波分复用设备和第二量子密钥分发设备连接,用于接收所述第二量子波分复用设备发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,将所述经典协商数据传输至第二量子密钥分发设备的第二数据处理设备;
与所述第二量子波分复用设备和所述第二数据处理设备连接,用于接收所述第二量子波分复用设备发送的所述量子信号,以及接收所述第二数据处理设备发送的所述经典协商数据,以及与所述第一量子密钥分发设备交互发送量子信号,协商生成量子密钥的第二量子密钥分发设备。
可选地,所述第一量子波分复用设备与所述第二量子波分复用设备通过光纤连接。
可选地,所述第一数据处理设备包括多业务接入设备或多业务传送平台设备。
可选地,所述第二数据处理设备包括多业务接入设备或多业务传送平台设备。
本申请提供的基于量子波分复用的通信传输系统中,通过在第一量子密钥分发设备和量子加密设备之间,设置用于将第一量子密钥分发设备发送至量子加密设备的量子密钥进行过滤隔离的防火墙,实现了在对现有网络架构改动很小的情况下,利用防火墙(该防火墙需要具备解析量子光信号的能力)完成内网信任区和外网非信任区的隔离,有效解决了现有技术中基于量子波分复用的通信传输系统存在的安全域隔离的问题,满足了金融监管的要求。此外,本申请提供的基于量子波分复用的通信传输系统结构新颖,经济实用,具有较高的市场价值和广泛的实用性。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有技术中量子光信号-经典光信号共纤系统的结构示意图;
图2为现有技术中量子光信号-经典光信号共纤系统的另一种结构示意图;
图3为本申请提供的基于量子波分复用的通信传输系统的结构示意图;
图4为本申请提供的基于量子波分复用的通信传输系统的另一种结构示意图;
图5为本申请提供的基于量子波分复用的通信传输系统的再一种结构示意图;
图6为本申请提供的基于量子波分复用的通信传输系统的再一种结构示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本申请提供了一种基于量子波分复用的通信传输系统,该系统具体提出在量子密钥分发设备和量子加密设备间通过设置防火墙对信任区和非信任区进行隔离管控的实现方式,可以在对现网改动很小的情况下,满足监管的“高保密”、“高安全”、“高可靠”性的要求。
具体地,如图3所示,本申请提供的基于量子波分复用的通信传输系统100至少包括:第一量子密钥分发设备110,量子加密设备120,防火墙130,路由器140,第一数据处理设备150和第一量子波分复用设备160。
其中,第一量子密钥分发设备110分别与路由器140、防火墙130和第一量子波分复用设备160连接,主要用于分发量子信号、收发经典协商数据、以及协商生成量子密钥。本申请中的第一量子密钥分发设备110可以具体为量子网关。
具体地本申请中,第一量子密钥分发设备110将生成的量子密钥经防火墙130发送至量子加密设备120,将经典协商数据发送至路由器140,以及将量子信号通过量子信道发送至第一量子波分复用设备160。
路由器140分别与第一量子密钥分发设备110、量子加密设备120和第一数据处理设备150相连,具体用于接收经典业务数据并将所述经典业务数据引流到量子加密设备120,并接收量子加密设备120返回的加密后的经典业务数据,以及用于接收第一量子密钥分发设备110发送的经典协商数据。进而,路由器140将第一量子密钥分发设备110发送的经典协商数据,以及量子加密设备120返回的加密后的经典业务数据发送至第一数据处理设备150。
本申请中,路由器140接收到的经典业务数据即为需要加密的敏感业务数据。
量子加密设备120分别与路由器140和防火墙130相连,用于接收第一量子密钥分发设备110发送的经由所述防火墙130的量子密钥,并利用所述量子密钥对路由器140发送的经典业务数据进行加密,进而将加密后的经典业务数据返回至路由器140。本申请中的量子加密设备120可以具体为量子VPN。
特别地,本申请在第一量子密钥分发设备110和量子加密设备120之间增设了防火墙130,防火墙130能够将第一量子密钥分发设备110发送至量子加密设备120的量子密钥进行过滤隔离。
量子通信波分复用技术应用在金融领域时,为了满足金融信息“高保密”、“高安全”、“高可靠”性的要求,采用对内部信任区和外部非信任区进行隔离的技术手段。在连接内部信任区、外部非信任区的第一量子密钥分发设备110和量子加密设备120间,增设一台防火墙130,以此对内外部网络进行隔离。
第一数据处理设备150分别与路由器140和第一量子波分复用设备160相连,用于接收路由器140发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据和所述经典协商数据发送至第一量子波分复用设备160。
本申请中,第一数据处理设备150用于网络的接入和传输,可选为多业务传送平台设备(MSTP)或者多业务接入设备(MSAP)。
第一量子波分复用设备160同时与第一数据处理设备150和第一量子密钥分发设备110相连,用于将从第一数据处理设备150接收到的所述加密后的经典业务数据和所述经典协商数据,同从第一量子密钥分发设备110接收到的所述量子信号进行合波后,传输至数据接收端。
本申请提供的基于量子波分复用的通信传输系统100中,第一量子密钥分发设备110将量子密钥经过防火墙130过滤后发送至量子加密设备120,将经典协商数据发送至路由器140,以及将量子信号通过量子信道发送至第一量子波分复用设备160。路由器140将接收到的经典业务数据引流到量子加密设备120中,量子加密设备120利用第一量子密钥分发设备110发送的量子密钥对所述经典业务数据进行加密。随后路由器140接收量子加密设备120返回的加密后的经典业务数据。进一步,路由器140将接收到的经典协商数据和加密后的经典业务数据发送至第一数据处理设备150,第一数据处理设备150继续将接收到的经典协商数据和加密后的经典业务数据发送至第一量子波分复用设备160。
最后,由第一量子波分复用设备160将加密后的敏感业务数据、经典协商数据和量子信道数据合波耦合入一条光纤传递给数据接收端。
显然,本申请提供的基于量子波分复用的通信传输系统中,通过在第一量子密钥分发设备110和量子加密设备120之间,设置一用于将第一量子密钥分发设备110发送至量子加密设备120的量子密钥进行过滤隔离的防火墙130,实现了在对现有网络架构改动很小的情况下,利用防火墙130(该防火墙需要具备解析量子光信号的能力)完成内网信任区和外网非信任区的隔离,有效解决了现有技术中基于量子波分复用的通信传输系统存在的安全域隔离的问题,满足了金融监管的要求。此外,本申请提供的基于量子波分复用的通信传输系统结构新颖,经济实用,具有较高的市场价值和广泛的实用性。
为了进一步对本申请提供的基于量子波分复用的通信传输系统更为详细地描述,申请人进一步对本申请提供的基于量子波分复用的通信传输系统100中的数据接收端进行详细说明,如图4所示,所述数据接收端可以包括:第二量子密钥分发设备170、第二量子波分复用设备180和第二数据处理设备190。具体在本申请中:
第二量子波分复用设备180与第一量子波分复用设备160连接,用于接收并解析第一量子波分复用设备160输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号。
具体在本申请中,第一量子波分复用设备160与第二量子波分复用设备180之间通过光纤连接。
第二数据处理设备190分别与第二量子波分复用设备180和第二量子密钥分发设备170连接,用于接收第二量子波分复用设备180发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,以及将所述经典协商数据传输至第二量子密钥分发设备170。
本申请中,第二数据处理设备190可选为多业务传送平台设备(MSTP)或者多业务接入设备(MSAP)。本申请中的敏感业务数据(即经典业务数据)经过MSAP/MSTP平台发送到运营商的经典网络中。
第二量子密钥分发设备170分别与第二量子波分复用设备180和第二数据处理设备190连接,用于接收第二量子波分复用设备180发送的所述量子信号,以及接收第二数据处理设备190发送的所述经典协商数据,以及与第一量子密钥分发设备110交互发送量子信号,协商生成量子密钥。本申请中第二量子密钥分发设备170可以具体为量子网关。
本申请提供的基于量子波分复用的通信传输系统100的运行过程大致总结如下:
第一量子密钥分发设备110与第二量子密钥分发设备170分发量子光信号,协商生成量子密钥。
第一量子密钥分发设备110将量子密钥经过防火墙130过滤后发送给量子加密设备120,以及第一量子密钥分发设备110将经典协商数据发送给路由器140,随后路由器140将经典协商数据发送至第一数据处理设备150(MSAP/MSTP平台)
敏感的业务数据(即经典业务数据)经由路由器140引流到量子加密设备120中进行加密,随后加密后的经典业务数据返回路由器140后,路由器140将其发送至第一数据处理设备150。
第一数据处理设备150将接收到的加密后的敏感业务数据和经典协商数据发送给第一量子波分复用设备160。
第一量子波分复用设备160将加密后的敏感业务数据、经典协商数据、量子信道数据合波耦合入一条光纤传递给第二量子波分复用设备180。
第二量子波分复用设备180接收到耦合信号后,解复用所述耦合信号,得到加密后的敏感业务数据、经典协商数据和量子信道数据。
进一步,第二量子波分复用设备180将加密后的敏感业务数据和经典协商数据发送至第二数据处理设备190(MSAP/MSTP平台),第二数据处理设备190将加密后的敏感业务数据发送到运营商的经典网络中,将经典协商数据传输至第二量子密钥分发设备170。
在前述实施例的基础上,本申请的申请人进一步发现,关于经典业务数据、加密后的经典业务数据和经典协商数据都是经由路由器140的,也就是说,未加密的经典业务数据、经量子加密设备120加密后的经典业务数据和经典协商数据共同汇聚于路由器140中,而并未在路由器140中对这些数据进行隔离。而如果多路信号需要在路由器140上进行隔离,则对企业现网的配置改动较大,导致系统安全性能、稳定性能下降,不符合金融行业安全的规范。
针对此,本申请提供了另一种基于量子波分复用的通信传输系统200,在对现有网络架构变动较小的情况下,有效地将经典业务数据和经典协商数据在物理和逻辑上进行隔离,如图5所示,系统包括:第一量子密钥分发设备210,量子加密设备220,防火墙230,路由器240,第一数据处理设备250和第一量子波分复用设备260。
其中,第一量子密钥分发设备210分别与防火墙230、第一数据处理设备250和第一量子波分复用设备260连接,主要用于分发量子信号、收发经典协商数据、以及协商生成量子密钥。本申请中的第一量子密钥分发设备210可以具体为量子网关。
具体地本申请中,第一量子密钥分发设备210用于将生成的量子密钥经防火墙230发送至量子加密设备220,将经典协商数据直接发送至第一数据处理设备250,将量子信号通过量子信道发送至第一量子波分复用设备260。
本申请将第一量子密钥分发设备210产生的经典协商数据不再接入路由器240,而是直接接入到第一数据处理设备250(MSAP/MSTP平台)中,在第一数据处理设备250上采用数据隔离手段,因为第一数据处理设备250的扩展能力强,安全管控等级相对于系统核心的路由器240来说等级更低,对现网的影响最小,由此本申请能够实现在对现有网络架构改动较小的情况下,有效地将内部信任区与外部非信任区进行隔离,这样就能保证敏感业务数据在和其他控制类信号耦合复用时的独立性和安全性,有效解决现有技术中基于量子波分复用的通信传输系统存在的安全域隔离的问题。
路由器240分别与量子加密设备220和第一数据处理设备250相连,用于接收经典业务数据并将所述经典业务数据引流到量子加密设备220,以及接收量子加密设备220返回的加密后的经典业务数据,并将所述加密后的经典业务数据发送至第一数据处理设备250。
本申请中,路由器240接收到的经典业务数据即为需要加密的敏感业务数据。
量子加密设备220分别与路由器240和防火墙230相连,用于接收第一量子密钥分发设备210发送的经由所述防火墙230过滤的所述量子密钥,并利用所述量子密钥对所述经典业务数据进行加密,将加密后的经典业务数据返回至所述路由器240。本申请中量子加密设备220可以具体为量子VPN。
特别地,本申请在第一量子密钥分发设备210和量子加密设备220之间增设了防火墙230,该防火墙230位于第一量子密钥分发设备210和量子加密设备220之间,用于将第一量子密钥分发设备210发送至量子加密设备220的量子密钥进行过滤隔离。
量子通信波分复用技术应用在金融领域时,为了满足金融信息“高保密”、“高安全”、“高可靠”性的要求,采用对内部信任区和外部非信任区进行隔离的技术手段。在连接内部信任区、外部非信任区的第一量子密钥分发设备210和量子加密设备220间,增设一台防火墙230,以此对内外部网络进行隔离,从而进一步有效地将内部信任区与外部非信任区进行隔离,并进一步保证了敏感业务数据在和其他控制类信号耦合复用时的独立性和安全性,有效解决现有技术中基于量子波分复用的通信传输系统存在的安全域隔离的问题。
第一数据处理设备250与路由器240、第一量子密钥分发设备210和第一量子波分复用设备260相连,用于接收路由器240发送的所述加密后的经典业务数据,接收第一量子密钥分发设备210发送的所述经典协商数据,以及将所述加密后的经典业务数据和所述经典协商数据发送至第一量子波分复用设备260。
基于在本申请中,第一数据处理设备250会将从路由器240接收到的所述加密后的经典业务数据、从第一量子密钥分发设备210接收到的所述经典协商数据进行数据隔离后,再发送至第一量子波分复用设备260。
本申请中第一数据处理设备250对所述加密后的经典业务数据、所述经典协商数据进行数据隔离包括但不仅限于vlan技术、不同的数据流打上不同的标签等数据隔离方式。这样就能保证敏感业务数据在和其他控制类信号耦合复用时的独立性和安全性。
本申请中,第一数据处理设备250用于网络的接入和传输,可选为多业务传送平台设备(MSTP)或者多业务接入设备(MSAP)。
第一量子波分复用设备260分别与第一数据处理设备250和第一量子密钥分发设备210相连,用于将从第一数据处理设备250接收到的所述加密后的经典业务数据和所述经典协商数据,同从第一量子密钥分发设备210接收到的所述量子信号进行合波后,传输至数据接收端。
本申请提供的基于量子波分复用的通信传输系统200中,第一量子密钥分发设备210将量子密钥经过防火墙230过滤后发送至量子加密设备220,将经典协商数据直接发送至第一数据处理设备250,以及将量子信号通过量子信道发送至第一量子波分复用设备260。路由器240将接收到的经典业务数据引流到量子加密设备220中,量子加密设备220利用第一量子密钥分发设备210发送的量子密钥对所述经典业务数据进行加密。随后路由器240接收量子加密设备220返回的加密后的经典业务数据。进一步,路由器240将接收到的加密后的经典业务数据发送至第一数据处理设备250,第一数据处理设备250将接收到的经典协商数据和加密后的经典业务数据进行数据隔离后,发送至第一量子波分复用设备260。
最后,由第一量子波分复用设备260将加密后的敏感业务数据、经典协商数据和量子信道数据合波耦合入一条光纤传递给数据接收端。
本申请提供的基于量子波分复用的通信传输系统200中,不仅通过在第一量子密钥分发设备210和量子加密设备220之间,设置一用于将第一量子密钥分发设备210发送至量子加密设备220的量子密钥进行过滤隔离的防火墙230,且控制第一量子密钥分发设备210直接将经典协商数据发送至第一数据处理设备250,由第一数据处理设备250将接收到的经典协商数据和加密后的经典业务数据进行数据隔离后,再发送至第一量子波分复用设备260,本申请实现了在对现有网络架构改动很小的情况下,利用防火墙230(该防火墙需要具备解析量子光信号的能力)完成内网信任区和外网非信任区的隔离,以及在第一数据处理设备250上采用数据隔离手段完成内网信任区和外网非信任区的隔离,有效解决了现有技术中基于量子波分复用的通信传输系统存在的安全域隔离的问题,满足了金融监管的要求。此外,本申请提供的基于量子波分复用的通信传输系统结构新颖,经济实用,具有较高的市场价值和广泛的实用性。
为了进一步对本申请提供的基于量子波分复用的通信传输系统更为详细地描述,申请人进一步对本申请提供的基于量子波分复用的通信传输系统200中的数据接收端进行详细说明,如图6所示,所述数据接收端可以包括:第二量子密钥分发设备270、第二量子波分复用设备280和第二数据处理设备290。具体在本申请中:
第二量子波分复用设备280与第一量子波分复用设备260连接,用于接收并解析第一量子波分复用设备260输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号。
具体在本申请中,第一量子波分复用设备260与第二量子波分复用设备280之间通过光纤连接。
第二数据处理设备290分别与第二量子波分复用设备280和第二量子密钥分发设备270连接,用于接收第二量子波分复用设备280发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,以及将所述经典协商数据传输至第二量子密钥分发设备270。
本申请中,第二数据处理设备290可选为多业务传送平台设备(MSTP)或者多业务接入设备(MSAP)。本申请中的敏感业务数据(即经典业务数据)经过MSAP/MSTP平台发送到运营商的经典网络中。
第二量子密钥分发设备270分别与第二量子波分复用设备280和第二数据处理设备290连接,用于接收第二量子波分复用设备280发送的所述量子信号,以及接收第二数据处理设备290发送的所述经典协商数据,以及与第一量子密钥分发设备210交互发送量子信号,协商生成量子密钥。本申请中第二量子密钥分发设备270可以具体为量子网关。
本申请提供的基于量子波分复用的通信传输系统200的运行过程大致总结如下:
第一量子密钥分发设备210与第二量子密钥分发设备270分发量子光信号,协商生成量子密钥。
第一量子密钥分发设备210将量子密钥经过防火墙230过滤后发送给量子加密设备220,同时第一量子密钥分发设备210将经典协商数据直接发送给至第一数据处理设备250(MSAP/MSTP平台)
敏感的业务数据(即经典业务数据)经由路由器240引流到量子加密设备220中进行加密,随后加密后的经典业务数据返回路由器240后,路由器240将其发送至第一数据处理设备250。
第一数据处理设备250将接收到的加密后的敏感业务数据和经典协商数据进行数据隔离后,发送给第一量子波分复用设备260。
第一量子波分复用设备260将加密后的敏感业务数据、经典协商数据、量子信道数据合波耦合入一条光纤传递给第二量子波分复用设备280。
第二量子波分复用设备280接收到耦合信号后,解复用所述耦合信号,得到加密后的敏感业务数据、经典协商数据和量子信道数据。
进一步,第二量子波分复用设备280将加密后的敏感业务数据和经典协商数据发送至第二数据处理设备290(MSAP/MSTP平台),第二数据处理设备290将加密后的敏感业务数据发送到运营商的经典网络中,将经典协商数据传输至第二量子密钥分发设备270。
以上对本申请所提供的一种基于量子波分复用的通信传输系统进行了详细介绍,本文中应用了具体个例对本申请的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本申请的方法及其核心思想;同时,对于本领域的一般技术人员,依据本申请的思想,在具体实施方式及应用范围上均会有改变之处,综上所述,本说明书内容不应理解为对本申请的限制。
Claims (10)
1.一种基于量子波分复用的通信传输系统,其特征在于,包括:
与路由器、第一量子波分复用设备和防火墙相连,用于将生成的量子密钥经所述防火墙发送至量子加密设备,将经典协商数据发送至所述路由器,将量子信号通过量子信道发送至所述第一量子波分复用设备的第一量子密钥分发设备;
与所述第一量子密钥分发设备、所述量子加密设备和第一数据处理设备相连,用于接收经典业务数据并将所述经典业务数据引流到所述量子加密设备,接收所述量子加密设备返回的加密后的经典业务数据,接收所述第一量子密钥分发设备发送的经典协商数据,以及将所述经典协商数据、所述加密后的经典业务数据发送至所述第一数据处理设备的路由器;
与所述路由器和所述防火墙相连,用于接收所述第一量子密钥分发设备发送的经由所述防火墙的量子密钥,并利用所述量子密钥对所述经典业务数据进行加密,将加密后的经典业务数据返回至所述路由器的量子加密设备;
位于所述第一量子密钥分发设备和所述量子加密设备之间,用于将所述第一量子密钥分发设备发送至所述量子加密设备的量子密钥进行过滤隔离的防火墙;
与所述路由器和所述第一量子波分复用设备相连,用于接收所述路由器发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据和所述经典协商数据发送至所述第一量子波分复用设备的第一数据处理设备;
与所述第一数据处理设备和所述第一量子密钥分发设备相连,用于将从所述第一数据处理设备接收到的所述加密后的经典业务数据和所述经典协商数据,同从所述第一量子密钥分发设备接收到的所述量子信号进行合波后,传输至数据接收端的第一量子波分复用设备。
2.根据权利要求1所述的系统,其特征在于,所述数据接收端包括:
与所述第一量子波分复用设备连接,用于接收并解析所述第一量子波分复用设备输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号的第二量子波分复用设备;
与所述第二量子波分复用设备和第二量子密钥分发设备连接,用于接收所述第二量子波分复用设备发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,将所述经典协商数据传输至第二量子密钥分发设备的第二数据处理设备;
与所述第二量子波分复用设备和所述第二数据处理设备连接,用于接收所述第二量子波分复用设备发送的所述量子信号,以及接收所述第二数据处理设备发送的所述经典协商数据,以及与所述第一量子密钥分发设备交互发送量子信号,协商生成量子密钥的第二量子密钥分发设备。
3.根据权利要求2所述的系统,其特征在于,所述第一量子波分复用设备与所述第二量子波分复用设备通过光纤连接。
4.根据权利要求1-3任一项所述的系统,其特征在于,所述第一数据处理设备包括多业务接入设备或多业务传送平台设备。
5.根据权利要求2-3任一项所述的系统,其特征在于,所述第二数据处理设备包括多业务接入设备或多业务传送平台设备。
6.一种基于量子波分复用的通信传输系统,其特征在于,包括:
与第一量子波分复用设备、防火墙和第一数据处理设备相连,用于将生成的量子密钥经所述防火墙发送至量子加密设备,将经典协商数据发送至所述第一数据处理设备,将量子信号通过量子信道发送至所述第一量子波分复用设备的第一量子密钥分发设备;
与所述量子加密设备和所述第一数据处理设备相连,用于接收经典业务数据并将所述经典业务数据引流到所述量子加密设备,接收所述量子加密设备返回的加密后的经典业务数据,并将所述加密后的经典业务数据发送至所述第一数据处理设备的路由器;
与所述路由器和所述防火墙相连,用于接收所述第一量子密钥分发设备发送的经由所述防火墙的所述量子密钥,并利用所述量子密钥对所述经典业务数据进行加密,将加密后的经典业务数据返回至所述路由器的量子加密设备;
位于所述第一量子密钥分发设备和所述量子加密设备之间,用于将所述第一量子密钥分发设备发送至所述量子加密设备的量子密钥进行过滤隔离的防火墙;
与所述路由器、所述第一量子密钥分发设备和所述第一量子波分复用设备相连,用于接收所述路由器发送的所述加密后的经典业务数据,接收所述第一量子密钥分发设备发送的所述经典协商数据,以及将所述加密后的经典业务数据和所述经典协商数据进行数据隔离后,发送至所述第一量子波分复用设备的第一数据处理设备;
与所述第一数据处理设备和所述第一量子密钥分发设备相连,用于将从所述第一数据处理设备接收到的所述加密后的经典业务数据和所述经典协商数据,同从所述第一量子密钥分发设备接收到的所述量子信号进行合波后,传输至数据接收端的第一量子波分复用设备。
7.根据权利要求6所述的系统,其特征在于,所述数据接收端包括:
与所述第一量子波分复用设备连接,用于接收并解析所述第一量子波分复用设备输出的数据,获得所述加密后的经典业务数据、所述经典协商数据和所述量子信号的第二量子波分复用设备;
与所述第二量子波分复用设备和第二量子密钥分发设备连接,用于接收所述第二量子波分复用设备发送的所述加密后的经典业务数据和所述经典协商数据,并将所述加密后的经典业务数据传输至运营商网络,将所述经典协商数据传输至第二量子密钥分发设备的第二数据处理设备;
与所述第二量子波分复用设备和所述第二数据处理设备连接,用于接收所述第二量子波分复用设备发送的所述量子信号,以及接收所述第二数据处理设备发送的所述经典协商数据,以及与所述第一量子密钥分发设备交互发送量子信号,协商生成量子密钥的第二量子密钥分发设备。
8.根据权利要求7所述的系统,其特征在于,所述第一量子波分复用设备与所述第二量子波分复用设备通过光纤连接。
9.根据权利要求6-8任一项所述的系统,其特征在于,所述第一数据处理设备包括多业务接入设备或多业务传送平台设备。
10.根据权利要求7-8任一项所述的系统,其特征在于,所述第二数据处理设备包括多业务接入设备或多业务传送平台设备。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810985604.4A CN108881313B (zh) | 2018-08-28 | 2018-08-28 | 一种基于量子波分复用的通信传输系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201810985604.4A CN108881313B (zh) | 2018-08-28 | 2018-08-28 | 一种基于量子波分复用的通信传输系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN108881313A true CN108881313A (zh) | 2018-11-23 |
CN108881313B CN108881313B (zh) | 2023-09-01 |
Family
ID=64321831
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201810985604.4A Active CN108881313B (zh) | 2018-08-28 | 2018-08-28 | 一种基于量子波分复用的通信传输系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN108881313B (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111200492A (zh) * | 2019-12-30 | 2020-05-26 | 国网北京市电力公司 | 量子加密方法、装置及设备 |
CN111934867A (zh) * | 2020-08-14 | 2020-11-13 | 国科量子通信网络有限公司 | 一种量子通信网络的安全组网结构及其方法 |
CN114089674A (zh) * | 2021-11-22 | 2022-02-25 | 安徽健坤通信股份有限公司 | 一种基于量子身份认证的云终端管控系统 |
CN114898539A (zh) * | 2022-01-25 | 2022-08-12 | 中网道科技集团股份有限公司 | 一种高安全性自助矫正终端 |
WO2024027602A1 (zh) * | 2022-08-02 | 2024-02-08 | 矩阵时光数字科技有限公司 | 全域量子安全设备、数据发送方法和数据接收方法 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
WO2016206498A1 (zh) * | 2015-06-23 | 2016-12-29 | 中兴通讯股份有限公司 | 第一量子节点、第二量子节点、安全通信架构系统及方法 |
CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
CN107528639A (zh) * | 2017-09-06 | 2017-12-29 | 安徽问天量子科技股份有限公司 | 量子光与经典光共纤传输装置及其传输方法 |
-
2018
- 2018-08-28 CN CN201810985604.4A patent/CN108881313B/zh active Active
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
WO2016206498A1 (zh) * | 2015-06-23 | 2016-12-29 | 中兴通讯股份有限公司 | 第一量子节点、第二量子节点、安全通信架构系统及方法 |
CN107294960A (zh) * | 2017-06-08 | 2017-10-24 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
CN107528639A (zh) * | 2017-09-06 | 2017-12-29 | 安徽问天量子科技股份有限公司 | 量子光与经典光共纤传输装置及其传输方法 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111200492A (zh) * | 2019-12-30 | 2020-05-26 | 国网北京市电力公司 | 量子加密方法、装置及设备 |
CN111934867A (zh) * | 2020-08-14 | 2020-11-13 | 国科量子通信网络有限公司 | 一种量子通信网络的安全组网结构及其方法 |
CN111934867B (zh) * | 2020-08-14 | 2022-12-20 | 国科量子通信网络有限公司 | 一种量子通信网络的安全组网结构及其方法 |
CN114089674A (zh) * | 2021-11-22 | 2022-02-25 | 安徽健坤通信股份有限公司 | 一种基于量子身份认证的云终端管控系统 |
CN114898539A (zh) * | 2022-01-25 | 2022-08-12 | 中网道科技集团股份有限公司 | 一种高安全性自助矫正终端 |
CN114898539B (zh) * | 2022-01-25 | 2024-04-09 | 中网道科技集团股份有限公司 | 一种高安全性自助矫正终端 |
WO2024027602A1 (zh) * | 2022-08-02 | 2024-02-08 | 矩阵时光数字科技有限公司 | 全域量子安全设备、数据发送方法和数据接收方法 |
Also Published As
Publication number | Publication date |
---|---|
CN108881313B (zh) | 2023-09-01 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
Cao et al. | The evolution of quantum key distribution networks: On the road to the qinternet | |
CN108881313A (zh) | 一种基于量子波分复用的通信传输系统 | |
US10757570B2 (en) | Architecture for reconfigurable quantum key distribution networks based on entangled photons directed by a wavelength selective switch | |
CN109302288B (zh) | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 | |
US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
JP5366108B2 (ja) | 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化 | |
US7305551B2 (en) | Method of transmitting security data in an ethernet passive optical network system | |
Cao et al. | Hybrid trusted/untrusted relay-based quantum key distribution over optical backbone networks | |
JP2018502514A (ja) | 信頼できるリレーに基づいた量子鍵配送システム、方法、及び装置 | |
CN109194477B (zh) | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 | |
CN106850204A (zh) | 量子密钥分配方法及系统 | |
US20090313465A1 (en) | Methods and apparatus for securing optical burst switching (obs) networks | |
JP2022549047A (ja) | 量子暗号キー分配方法、装置及びシステム | |
CN111277404A (zh) | 一种用于实现量子通信服务区块链的方法 | |
CN106878006B (zh) | 基于光时分复用的量子密钥通道传输方法与系统 | |
Tang et al. | Quantum-safe metro network with low-latency reconfigurable quantum key distribution | |
Huang et al. | Realizing a downstream-access network using continuous-variable quantum key distribution | |
CN208589994U (zh) | 一种基于量子波分复用的通信传输系统 | |
Pistoia et al. | Paving the way toward 800 Gbps quantum-secured optical channel deployment in mission-critical environments | |
CN208638376U (zh) | 一种基于量子波分复用的通信传输系统 | |
Chung et al. | Architectural and engineering issues for building an optical Internet | |
CN101282177B (zh) | 一种数据传输方法和终端 | |
CN115473729B (zh) | 数据传输方法、网关、sdn控制器及存储介质 | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
Roh et al. | Security model and authentication protocol in EPON-based optical access network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |