CN109257274B

CN109257274B - 量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统

Info

Publication number: CN109257274B
Application number: CN201811344572.6A
Authority: CN
Inventors: 谢四江; 冯雁; 阎亚龙; 童新海; 戚巍; 冯刚; 周旭华; 徐莉伟
Original assignee: Cas Quantum Network Co ltd; School Of Electronic Technology Central Office Of Communist Party Of China
Current assignee: Cas Quantum Network Co ltd; School Of Electronic Technology Central Office Of Communist Party Of China
Priority date: 2018-11-12
Filing date: 2018-11-12
Publication date: 2024-02-02
Anticipated expiration: 2038-11-12
Also published as: CN109257274A

Abstract

本发明提供一种量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统。本发明的量子保密通信网络系统的交换节点装置，使得所述量子保密通信网络系统的交换节点与接入节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信。本发明的交换节点装置使得交换节点内各逻辑链路之间的隔离从而降低相互之间的影响，分布式路由有效避免单点故障问题和传输路径动态计算提升网络适应能力。

Description

量子保密通信网络系统的交换节点装置以及包括该装置的通信网络系统

技术领域

本发明属于量子通信技术领域，具体涉及量子保密通信网络系统的交换节点装置以及包括该装置的量子保密通信网络系统。

背景技术

1.量子密钥分发

量子密钥分发利用了量子的不可克隆原理和量子不可分割的基本特性，采用单光子进行随机数的传递。按照BB84协议，每一个光子随机选择调制的基矢，接收端也采用随机的基矢进行监测。当发送与接收端选择的基矢一致时，接收受到的信号被认为是有效的而被记录；如果选择的基矢不一致，则数据被丢弃。这样就可以保证发送与接收方获得了一致的随机数序列(即量子密钥)。量子密钥分发系统需要量子信道和经典信道两个独立信道，地面通信网以光纤承载。

2.量子保密通信

量子通信广义的讲就是将量子态从一个地方传输到另一个地方，包含量子隐形传态、量子纠缠交换及量子密钥分发。目前商用的量子保密通信主要指基于量子密钥分发(Quantum Key Distribution，QKD)的保密通信。

已经发展成熟的点对点量子密钥分发系统无法满足实际应用，并且用户需求正在逐步扩大。为了满足多用户安全通信的需求，与之配套的量子密钥分发网络正逐渐朝着多用户、长距离和网络化的方向发展。从光纤量子密钥分发的发展趋势来看，基于光纤的城际量子通信技术正在走向实用化和产业化发展。

3.已有方式

已有的组网方式中，普遍使用了集中式路由计算服务，如图1所示。在网络结构方面，全网强连通，路由计算集中化。集中路由计算服务通过IP网络与网络中所有节点相连。

工作机制方面，分为以下几个步骤：

1)各个网络节点收集自身的状态信息，包括节点标识、链路通信状态、量子密钥存量、量子密钥生成速率；

2)各个网络节点定期将状态信息上报给集中路由计算服务；

3)集中路由计算服务结合网络拓扑和节点状态信息，综合计算形成全网的路由表，并下发至各个网络节点；

4)各个网络节点更新其路由表，并按新的路由表计算传输路径。

数据传输方面，采用预先选定路径的方式。根据任务调度，为了在两个接入点之间生成共享密钥，接入点根据当前的全网路由表选定其到目的地的整条路径，然后按该路径进行传输。

发明内容

本发明所要解决的问题：

1.集中式路由导致的单点故障问题

当集中路由计算服务因故与某些节点失去联系，无法收集与这些节点相关的状态信息，从而导致生成的全网路由表信息缺失或不准确，也无法将全网路由表下发给这些节点。

2.网络动态变化时的适应性问题

由于已有的组网方式在业务数据传输之前选定传输路径，因而当某些节点发生变化时，无法及时修正传输路径，而导致传输失败。

为了克服上述问题，本发明提供一种量子保密通信网络系统的交换节点装置，所述交换节点装置使得所述量子保密通信网络系统的交换节点与接入节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信。

在一种实施方式中，所述交换节点装置是集成化的。

在一种实施方式中，所述交换节点装置包括至少二个逻辑链路接入子系统和至少一个交换数据处理子系统；所述逻辑链路接入子系统和所述交换数据处理子系统之间采用装置内部IP网络进行通信或基于通信总线的私有协议进行数据摆渡；所述通信总线优选为SPI总线。

在一种实施方式中，所述逻辑链路接入子系统实现接入对应逻辑链路所需的通信功能，包括同一逻辑链路上与本交换节点对应的量子密钥管理、与同一逻辑链路相连交换节点或接入节点间通信密钥的管理、业务数据的安全保护以及其中所涉及的认证。

在一种实施方式中，所述交换数据处理子系统实现业务数据传输路由所需的功能，包括与相连节点交换路由信息、计算路由表、业务数据传输路径选择以及其中出错处理。

在一种实施方式中，所述逻辑链路接入子系统包括量子密钥生成模块和接入数据处理模块；其中所述量子密钥生成模块与相邻节点运行量子密钥分发协议产生量子密钥，所述接入数据处理模块存储与本交换节点对应的通信密钥和量子密钥。

在一种实施方式中，所述交换数据处理子系统包括路由模块和业务数据传输模块；所述路由模块根据定期从邻近交换节点收集的路由信息建立路由表，并根据目标地址进行动态路径选择；和所述业务数据传输模块接收输入的业务数据，再通过所述路由模块获取传输下一跳的逻辑链路，并进行传输，同时对业务数据进行安全缓存。

在一种实施方式中，本发明提供一种基于量子密钥分发的量子保密通信网络系统，所述量子保密通信网络系统包任一上述的交换节点装置。

本发明的交换节点装置具有以下技术效果：

1)交换节点内各逻辑链路隔离降低相互之间的影响

交换节点内交换数据处理子系统一方面保障了各逻辑链路间有效数据的交换传输，另一方面阻断了各逻辑链路间无效数据的传输。从设计层面确保了各逻辑链路之间的运行独立性。

2)分布式路由有效避免单点故障问题

网络的路由功能由交换节点共同承担，不依赖特定单个系统或单地系统集群提供的路由服务，有效避免因通讯故障或系统故障导致路由表无法更新问题。各交换节点通过定期相互交换节点信息，建立和维护各自的路由表，从而实现对交换数据的路径计算。

3)传输路径动态计算提升网络适应能力

不同于预先计算传输路径，数据传输过程中每个交换节点会根据最新的路由表动态计算其到目标地址的最优路径，提升网络动态变化时的适应能力和整体传输性能。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。

图1为当前组网方式的路由计算示意图；

图2为本发明基于量子密钥分发的量子保密通信网络系统组网拓扑示意图；

图3为本发明集成化交换节点装置整体结构及其外部交互关系示意图；

图4为本发明集成化交换节点装置具体结构及其外部交互关系示意图；

图5为本发明集成化交换节点装置的量子密钥生成和存储流程示意图；

图6为本发明集成化交换节点装置的通信密钥生成和存储流程示意图；

图7为本发明集成化交换节点装置的业务数据交换路由传输示意图。

具体实施方式

为了使本领域技术领域人员更好地理解本申请中的技术方案，下面将结合实施例对本发明作进一步说明，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都应当属于本申请保护的范围。下面结合附图及实施例对本发明作进一步描述。

实施例一：本发明的量子保密通信网络系统

如图2所示，在一种实施方式中，本发明的基于量子密钥分发的量子保密通信网络系统包括接入节点、交换节点和中继节点，各个节点之间分别使用经典信道及量子信道相连，其中节点间量子密钥分发的经典信道采用无IP方式进行通信。

量子信道是指传输量子信号的物理通道；量子信号是指以微观量子态承载信息的物理信号，如：对偏振、时间、轨道角动量等进行调制后的单光子。

经典信道是传输经典信号的物理信道；经典信号是指现代通信技术中以宏观物理量荷载信息的信号，如高电平、低电平、亮光脉冲、暗光脉冲，不同偏振状态的明亮光脉冲、不同相位差的明亮光脉冲。

在量子密钥分发协议中，量子信道用于传输量子信号，而经典信道用于传输协商数据，如接收端的测量基选择等信息。除此之外，经典信道还用于节点间组网协议、管理数据、业务数据的传输。

接入节点：实现用户端系统的网络接入，完成用户数据的上网和下网，并通过限制通信目的端的方式控制用户数据上网的权限。

交换节点：与同一逻辑链路相连的交换节点/接入节点实现共享的通信密钥，通过相连接入节点/交换节点间的信息交互建立路由表，并实现用户数据传输的路径选择。

中继节点：与相邻节点实现量子密钥的生成，实现逐跳方式的数据中继传递。

在本发明中相邻节点指物理上直接连接的两个节点，如两个直接连接的中继节点；相连节点是指通过若干中继节点中继的逻辑链路而相互连接的邻近节点，如中间存在若干个中继节点的两个交换节点。

在一些实施方式中，本发明的量子保密通信网络系统还包括用户端装置，该用户端装置可以包括专用终端、用户密钥分发中心(KDC)和密码设备。

专用终端是指专门用于与接入节点内量子密钥服务单元进行交互的终端，并允许通过离线方式(如密码棒)导入或导出用户密钥。

用户密钥分发中心是指用户自建或已建的密钥分发系统，提供用户密钥的导入和导出功能。

密码设备是指具有密码算法实现、需使用用户密钥的专用安全设备，如VPN网关等。

对于量子保密通信网而言，用户密钥被视为业务数据进行网络化传输。

在一些实施方式中，本发明的量子保密通信网络系统还包括管理中心。

管理中心实现对量子保密通信网络的设备、密钥、策略、运维、运营等方面的管理，是逻辑概念。具体实现上，可以根据管理对象的不同进行拆分。例如，设备管理中心实现对组网设备的准入管理；密钥管理中心实现对网络运行中密码算法所需的密钥管理；策略管理中心实现对传统网络设备、安全设备、量子设备等运行方式的管理；运维管理中心实现对全网设备运行状态的管理；运营管理中心根据业务传输进行计费、服务质量等统计。

在一些实施方式中，管理中心与交换节点相连。在一些实施方式中，用户端装置(离线导入导出专用终端、用户密钥分发中心和密码设备等)通过IP网络与接入节点相连。

实施例二：本发明交换节点的接入节点装置

1.本发明交换节点的接入节点装置的整体结构

本发明的交换节点装置的整体结构如图3所示(以四条逻辑链路为例)。

从功能上，集成化交换节点装置内部分为逻辑链路接入子系统和交换数据处理子系统。逻辑链路接入子系统，如图3中分别对接逻辑链路A、逻辑链路B、逻辑链路C和逻辑链路D，实现接入对应逻辑链路所需的通信功能，包括同一逻辑链路上与本交换节点对应的量子密钥管理、与同一逻辑链路相连交换节点或接入节点间通信密钥的管理、业务数据的安全保护、以及上述几点中所涉及的认证。

交换数据处理子系统，实现业务数据传输路由所需的所有功能，包括与相连节点交换路由信息、路由表更新维护、业务数据传输路径选择以及相关出错处理。

集成化交换节点装置可根据需要调整接入的逻辑链路，每增加一路逻辑链路即增加一套相应的逻辑链路接入子系统，并将其与交换数据处理子系统相连。

2.本发明交换节点的接入节点装置的内部结构

更为具体的结构细节如图4所示，以两条逻辑链路接入为例。

逻辑链路接入子系统内部包含了量子密钥生成模块和接入数据处理模块，其中接入数据处理模块存储了与本交换节点对应的通信密钥和量子密钥；当业务数据到达时，逻辑链路接入子系统对其进行解密和完整性校验，并将无错的业务数据明文提交给交换数据处理子系统，同时向逻辑链路对端的交换节点或接入节点反馈接收成功的消息。

交换数据处理子系统内部包括了路由模块和业务数据传输模块。路由模块根据定期从邻近交换节点收集的路由信息建立路由表，并根据目标地址进行动态路径选择；业务数据传输模块接收输入的业务数据，再通过路由模块获取传输下一跳的逻辑链路，并进行传输，同时对业务数据进行安全缓存，等下一跳逻辑链路的对端确认接收成功的消息后才将缓存数据删除。

上述两个子系统之间可以采用装置内部IP网络进行通信或基于通信总线(如SPI)的私有协议进行数据摆渡。

3.本发明交换节点的接入节点装置工作流程

3.1.量子密钥的生成和存储

交换节点的各逻辑链路同步工作，其量子密钥生成和存储流程也并发进行。以两条逻辑链路为例，其流程如图5所示，逻辑链路A的流程描述如下，其他逻辑链路工作流程与之相同。

1)量子密钥生成模块的QKD子模块与相邻节点运行量子密钥分发协议(如BB84)产生量子密钥q_A；

2)量子密钥生成模块将量子密钥q_A输出到接入数据处理模块；

3)接入数据处理模块使用由量子保密通信网络密钥管理中心派发的存储密钥加密量子密钥得到密态量子密钥及摘要值，确保其存储的机密性和完整性。

3.2通信密钥的生成和存储

交换节点的各逻辑链路同步工作，其量子密钥生成和存储流程也并发进行。以两条逻辑链路为例，其流程如图6所示，逻辑链路A的流程描述如下，其他逻辑链路工作流程与之相同。

1)接入数据处理模块使用随机数源产生通信密钥K，该随机数源既可以是独立内置的随机数生成器也可以复用QKD子模块内的随机数生成器；

2)使用存储的量子密钥q_A对通信密钥进行保护，得到通信密钥密文K_A；

3)发送通信密钥密文K_A给相邻节点，如相邻节点是中继节点，那么需要使用下一跳量子密钥进行安全中继，最后传给交换节点或接入节点进行解密；

4)确定对端接收到通信密钥K后，接入数据处理模块使用由量子保密通信网络密钥管理中心派发的存储密钥加密通信密钥K得到密态的通信密钥及摘要值，并进行存储。

3.3.路由表的生成

路由表是交换节点正常工作的核心。交换节点定期从相连节点收集其路由信息和相应的逻辑链路密钥情况，并根据指定的路径通信质量评估方法对目的端或目标网络进行最优质量路径计算，从而形成新的路由表。路由表包括目标地址及掩码、下一跳地址、下一跳逻辑链路、逻辑链路质量等数据项。

3.4业务数据交换路由传输

业务数据到达交换节点后，一般需要经过数据接收、原逻辑链路安全检查、导入到交换数据处理、路径动态选择、导出到新逻辑链路、新逻辑链路安全保护、数据发送等步骤。

以业务数据从逻辑链路A到逻辑链路D的交换处理为例，其过程如图7所示。

业务数据交换路由传输过程描述如下：

1)逻辑链路接入子系统A从经典信道接收到前序节点发送的经通信密钥K_A加密及完整性保护的业务数据密文；

2)逻辑链路接入子系统A使用通信密钥K_A进行解密得到明文(即包含业务数据的传输任务单)，再校验明文的完整性，如完整性无误，则向前序节点反馈接收成功的确认消息；

3)逻辑链路接入子系统A采用数据摆渡协议对传输任务单进行数据封装，并通过通信总线将封装后的单元摆渡至交换数据处理子系统；

4)交换数据处理子系统解开封装单元，获得传输任务单，然后根据传输任务单中记录的目标地址，查找当前路由表，确定下一跳为逻辑链路D；

5)交换数据处理子系统采用数据摆渡协议对传输任务单再次进行数据封装，并通过通信总线将封装后的单元摆渡至逻辑链路接入子系统D；

6)逻辑链路接入子系统D解开封装单元获取传输任务单，然后提取待用的通信密钥K_D，并对传输任务单计算摘要值以保证完整性，再将传输任务单及其摘要值进行加密，形成密文数据；

7)逻辑链路接入子系统D将密文数据通过经典信道发送给该逻辑链路中的下一节点。

本领域的技术人员容易理解的是，在不冲突的前提下，上述各有利方式可以自由地组合、叠加。以上仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。以上仅是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明技术原理的前提下，还可以做出若干改进和变型，这些改进和变型也应视为本发明的保护范围。

Claims

1.量子保密通信网络系统的交换节点装置，其特征在于，所述交换节点装置使得所述量子保密通信网络系统的交换节点与接入节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信；

所述交换节点装置包括至少二个逻辑链路接入子系统和至少一个交换数据处理子系统；所述逻辑链路接入子系统和所述交换数据处理子系统之间采用装置内部IP网络进行通信或基于通信总线的私有协议进行数据摆渡；

所述逻辑链路接入子系统实现接入对应逻辑链路所需的通信功能，包括同一逻辑链路上与本交换节点对应的量子密钥管理、与同一逻辑链路相连交换节点或接入节点之间通信密钥的管理、业务数据的安全保护以及其中所涉及的认证；

所述交换数据处理子系统实现业务数据传输路由所需的功能，包括与相连交换节点间路由信息交换、路由表计算、业务数据传输路径选择以及其中错误处理。

2.根据权利要求1所述的交换节点装置，其特征在于，所述交换节点装置是集成化的。

3.根据权利要求1或2所述的交换节点装置，其特征在于，所述通信总线为SPI总线。

4.根据权利要求1所述的交换节点装置，其特征在于，所述逻辑链路接入子系统包括量子密钥生成模块和接入数据处理模块；其中所述量子密钥生成模块与相邻节点运行量子密钥分发协议产生量子密钥，所述接入数据处理模块存储同一逻辑链路上与本交换节点相关的通信密钥和量子密钥。

5.根据权利要求1所述的交换节点装置，其特征在于，所述交换数据处理子系统包括路由模块和业务数据传输模块；所述路由模块根据定期从相连交换节点收集的路由信息建立路由表，并根据目标地址进行动态路径选择；和所述业务数据传输模块接收输入的业务数据，再通过所述路由模块获取传输下一跳的逻辑链路，并进行传输，同时对业务数据进行安全缓存。

6.一种基于量子密钥分发的量子保密通信网络系统，其特征在于，所述量子保密通信网络系统包括权利要求1-5任一所述的交换节点装置。