CN111669270A - 一种基于标签交换的量子加密传输方法及装置 - Google Patents

一种基于标签交换的量子加密传输方法及装置 Download PDF

Info

Publication number
CN111669270A
CN111669270A CN202010333118.1A CN202010333118A CN111669270A CN 111669270 A CN111669270 A CN 111669270A CN 202010333118 A CN202010333118 A CN 202010333118A CN 111669270 A CN111669270 A CN 111669270A
Authority
CN
China
Prior art keywords
quantum
data
key
label
encryption
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202010333118.1A
Other languages
English (en)
Inventor
何敏
宋波
谭笑
魏岗
陈启贵
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Jiangsu Aerospace Shenhe Technology Co ltd
Original Assignee
Jiangsu Aerospace Shenhe Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Jiangsu Aerospace Shenhe Technology Co ltd filed Critical Jiangsu Aerospace Shenhe Technology Co ltd
Priority to CN202010333118.1A priority Critical patent/CN111669270A/zh
Publication of CN111669270A publication Critical patent/CN111669270A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/50Routing or path finding of packets in data switching networks using label swapping, e.g. multi-protocol label switch [MPLS]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload

Abstract

本发明提供一种基于标签交换的量子加密传输方法,该方法包括:原始密钥获取步骤、量子密钥组协商步骤、数据传输请求步骤、量子加密步骤、数据传输发送步骤、数据传输接收步骤以及量子解密步骤;本发明采用标签标记不同数据业务,将网络中路由的IP地址映射为具有固定长度的标签,根据不同的数据业务明确路由路径,将公网划分为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网等功能,采用虚拟专用网技术,能将公网性能可靠、扩展性好、功能丰富的特点与专用网的安全、灵活、高效结合在一起。

Description

一种基于标签交换的量子加密传输方法及装置
技术领域
本发明涉及量子密钥分发和量子加密传输在互联网上的具体实现,更具体地,是一种基于标签交换的量子加密传输装置及实现方法。
背景技术
量子密钥分发(QKD)利用单量子不可克隆定理和海森堡测不准原理,对未知量子态不能复制,对量子的窃听或者截获很容易被发现,从而保证了密钥生成的安全性。
目前基于量子密钥分发的网络需要专用网络和公网,其中专用网络用来发送和探测量子信号,公网用来进行数据筛选、数据协调和数据加密传输。
如何在公网上保证经典信号高速、高效的传输;如何在互联网等公网对不同量子密码传输系统之间进行隔离,保证其安全性;如何将需要量子密码加密的业务和其他的不需要量子加密的业务区分开来,这些在具体的应用中需要考虑如何实现。
发明内容
本发明的目的是针对量子密码传递业务的安全性、高效性问题,提出一种基于标签交换的量子加密传输方法及装置。
本发明的技术方案是:
本发明提供一种基于标签交换的量子加密传输方法,该方法包括以下步骤:
S1、原始密钥获取步骤:任一视频传输设备i,i∈(1,n)分别与对应的量子加密传输装置相连,各量子加密传输装置通过量子密钥分发专网获取原始密钥,存储在原始密钥存储模块,n表示视频传输设备数量,i表示视频传输设备编号;
S2、量子密钥组协商步骤:能够进行通信的各视频传输设备ij,j∈(1,n)、j≠i之间分别从原始密钥存储模块中获取原始量子密钥,通过各自连接的量子密钥分发模块进行数据筛选和数据协调等量子密钥协商,形成与对应视频传输设备通信的量子密钥组,将前述量子密钥组存储在秘钥池中,前述量子密钥协商过程中的数据信号标签为A;
S3、数据传输请求步骤:任一视频传输设备i与j进行数据传输,视频传输设备i通过连接的量子加密传输装置发送数据传输请求,在智能控制模块中,对数据传输请求进行判别;
如果该数据传输请求需要进行量子加密,为该数据传输请求配置数据信号标签为B,智能控制模块将前述标签B的数据传输请求通过第一交换板发送至量子加解密模块,转步骤S4;
如果该数据传输请求不需要进行量子加密,为该数据传输请求配置数据信号标签为C,智能控制模块将前述标签C的数据传输请求通过第一交换板发送至第二交换板,转步骤S5;
S4、量子加密步骤:量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的数据传输请求进行量子加密,完成后,将量子加密后的标签B的数据传输请求发送至第二交换板;
S5、数据传输发送步骤:在第二交换板中,对于需要发送的数据标签进行识别,当数据标签为A时,该信号为量子密钥协商信号,第二交换板将该信号通过量子密钥虚拟网络转发至对应协商视频传输设备j连接的量子加密传输装置;当数据标签为B时,该信号为需要进行量子加密的传输数据,第二交换板将该信号通过量子加密虚拟专网转发至数据传输所对应视频传输设备j连接的量子加密传输装置;当数据标签为C时,该信号为无需进行量子加密的传输数据,第二交换板将该信号通过非量子加密虚拟专网转发至数据传输所对应视频传输设备j连接的量子加密传输装置;
S6、数据传输接收步骤:视频传输设备j连接的量子加密传输装置接收数据信号,在第二交换板中进行标签识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商;如果该信号的数据标签为B,则该信号为需要进行量子加密的传输数据,第二交换板将该信号转发至量子加解密模块进行解密,转到步骤S7;如果该信号的数据标签为C,则该信号为无需进行量子加密的传输数据,第二交换板将该信号转发至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输;
S7、量子解密步骤:视频传输设备j的量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的传输数据进行量子解密,完成后,将量子解密后的标签B的传输数据发送至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输。
进一步地,步骤S2中,量子密钥协商过程具体包括:
S2-1、任一视频传输设备i所连接的量子加密传输装置中,量子密钥分发模块为密钥协商信号配置数据标签A;
S2-2、该量子密钥分发模块通过第二交换板将密钥协商信号通过量子密钥虚拟网络发送至能够与之进行通信的视频传输设备j所连接的量子加密传输装置;
S2-2、任一视频传输设备j的量子加密传输装置通过第二交换板从公网接收信号,在所述装置的第二交换板中对信号进行识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商,协商信号再按照该视频传输设备j的第二交换板、公网至对应视频传输设备i的第二交换板、密钥分发模块;协商完成之后;视频传输设备i、j的量子密钥分发模块分别从原始密钥存储模块中获取对应的量子密钥组存储在秘钥池中。
进一步地,秘钥池中存储有视频传输设备与其他多个对应视频传输设备通信使用的秘钥组。
进一步地,该方法还包括路由标签配置步骤,在步骤S1之前,包括:为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,路径名称分别为P1、P2和P3;其中:
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE和标记交换路由器P中,前述路由过程所采用的路由器均为标记交换路由器P;
对应地步骤S5中,第二交换板对需要发送的数据进行数据标签进行识别之后,发送至边缘路由器PE,边缘路由器PE分析IP报文头,确定网络路径,根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE,再由边缘路由器PE发送至数据接收方所对应视频传输设备连接的量子加密传输装置。
一种基于标签交换的量子加密传输装置,该装置与视频传输设备相连,包括:原始密钥存储模块、量子密钥分发模块、秘钥池、量子密钥加解密模块、智能控制模块、第一交换板和第二交换板,其中;
所述原始密钥存储模块通过量子密钥分发专网获取原始密钥,所述原始密钥存储模块的信号输出端与量子密钥分发模块的信号输入端相连;
所述量子密钥分发模块的信号输入端与原始密钥存储模块的信号输出端相连,量子密钥分发模块的信号输出端与秘钥池的信号输入端相连,量子密钥分发模块为密钥协商信号配置标签A,量子密钥分发模块的密钥协商信号端与第二交换板的对应信号端相连;所述量子密钥分发模块从原始密钥存储模块获取原始密钥,通过第二交换板,经过边缘路由器PE至量子密钥虚拟网络,通过标记交换路由器P至对应协商视频传输设备端的边缘路由器PE,与连接的量子加密传输装置进行密钥协商;得到若干个与对应视频传输设备通信的量子密钥组,并将量子密钥组存储在秘钥池中;
所述秘钥池用于存储与对应视频传输设备通信的量子密钥组,所述秘钥池的信号输出端与量子加解密模块的对应信号输入端相连;
所述量子密钥加解密模块的量子密码信号输入端与秘钥池的信号输出端相连,量子密钥加解密模块分别与第一交换板、第二交换板双向连接;所述的量子加解密模块根据第一交换板发送的加密信号或第二交换板发送的解密信号,从秘钥池对应视频传输设备通信的量子密钥组中获取密钥,对数据信号进行量子加密或者解密,完成后,将量子加密或者解密后的信号发送至第二交换板或者第一交换板;
所述智能控制模块分别与第一交换板、视频传输设备双向连接,所述智能控制模块从其连接的视频传输设备接受数据传输请求,识别传输数据加密情况,为需要进行量子加密的数据配置标签B,无需进行量子加密的数据配置标签C,将前述数据发送至第一交换板;同时,能够将第一交换板接收的数据信号发送至视频传输设备;
所述第一交换板分别与量子密钥加解密模块、智能控制模块以及第二交换板双向连接,所述第一交换板接收智能控制模块发送的数据传输请求,根据量子加密情况发送至对应的量子密钥加解密模块或者第二交换板;同时,能够接收第二交换板发送的无需进行量子加密的传输数据,转发至智能控制模块;
所述第二交换板分别与量子密钥分发模块、量子加解密模块、第一交换板和边缘路由器PE双向连接,根据识别的信号标签,接收量子密钥分发模块发送的密钥协商信号,接收量子加解密模块和第一交换板发送的需要进行量子加密的传输数据和无需进行量子加密的传输数据,通过边缘路由器PE发送至对应的网络;
接收边缘路由器PE发送的数据信号,根据识别的信号标签,转发密钥协商信号至量子密钥分发模块,转发需要进行量子解密的传输数据和无需进行量子解密的传输数据至量子加解密模块和第一交换板。
一种基于标签交换的边缘路由器PE,该边缘路由器PE用于为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,每个标记交换路由器P确定了与标签的捆绑关系,路径名称分别为P1、P2和P3;其中:
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE中;
该边缘路由器PE接收来自第二交换板的数据信号,根据IP报文头分析得到的网络路径,执行以下操作:根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE;或者接收来自标记交换路由器P的数据信号转发至第二交换板。
一种基于标签交换的标记交换路由器P,该标记交换路由器P存储有路径名称和由各路径的路由过程标签所建立的转发表,路由过程所采用的路由器均为标记交换路由器P,路径名称分别为P1、P2和P3;
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
所述标记交换路由器P按照转发表进行路由信号传递。
进一步地,标记交换路由器P之间按照路由过程标签建立标签交换路径,虚拟专网之间通过标签交换路径联结起来,形成统一的网络。
本发明的有益效果:
本发明采用标签明确路由路径,将量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网进行功能划分,采用虚拟专用网技术,能将公网性能可靠、扩展性好、功能丰富的特点与专用网的安全、灵活、高效结合在一起。
本发明采用标签交换方式固定路由与传统IP路由方式的虚拟网络相比,使用标签分配协议分发标签,在标记交换路由器建立交换通道,在数据转发时,只在网络边缘分析IP报文头,而不用在每一跳都分析IP报文头,从而节约了处理时间,提高了转发速度。直接由服务提供商的边缘路由器PE进行识别,无需经过第三方认证服务器认证,进而提高了网络的安全性。
本发明采用标签标记,一种标记对应一个用户数据流,非常易于用户之间数据的隔离,能够管理多个量子加密网络和其他网络不同形式通信流的机制。
本发明的其它特征和优点将在随后具体实施方式部分予以详细说明。
附图说明
通过结合附图对本发明示例性实施方式进行更详细的描述,本发明的上述以及其它目的、特征和优势将变得更加明显,其中,在本发明示例性实施方式中,相同的参考标号通常代表相同部件。
图1示出了基于标签交换的量子加密传输结构示意图。
具体实施方式
下面将参照附图更详细地描述本发明的优选实施方式。虽然附图中显示了本发明的优选实施方式,然而应该理解,可以以各种形式实现本发明而不应被这里阐述的实施方式所限制。
一种基于标签交换的量子加密传输装置,该装置与视频传输设备相连,包括:原始密钥存储模块、量子密钥分发模块、秘钥池、量子密钥加解密模块、智能控制模块、第一交换板和第二交换板,其中;
所述原始密钥存储模块通过量子密钥分发专网获取原始密钥,所述原始密钥存储模块的信号输出端与量子密钥分发模块的信号输入端相连;
所述量子密钥分发模块的信号输入端与原始密钥存储模块的信号输出端相连,量子密钥分发模块的信号输出端与秘钥池的信号输入端相连,量子密钥分发模块为密钥协商信号配置标签A,量子密钥分发模块的密钥协商信号端与第二交换板的对应信号端相连;所述量子密钥分发模块从原始密钥存储模块获取原始密钥,通过第二交换板,经过边缘路由器PE至量子密钥虚拟网络,通过标记交换路由器P至对应协商视频传输设备端的边缘路由器PE,与连接的量子加密传输装置进行密钥协商;得到若干个与对应视频传输设备通信的量子密钥组,并将量子密钥组存储在秘钥池中;
所述秘钥池用于存储与对应视频传输设备通信的量子密钥组,所述秘钥池的信号输出端与量子加解密模块的对应信号输入端相连;
所述量子密钥加解密模块的量子密码信号输入端与秘钥池的信号输出端相连,量子密钥加解密模块分别与第一交换板、第二交换板双向连接;所述的量子加解密模块根据第一交换板发送的加密信号或第二交换板发送的解密信号,从秘钥池对应视频传输设备通信的量子密钥组中获取密钥,对数据信号进行量子加密或者解密,完成后,将量子加密或者解密后的信号发送至第二交换板或者第一交换板;
所述智能控制模块分别与第一交换板、视频传输设备双向连接,所述智能控制模块从其连接的视频传输设备接受数据传输请求,识别传输数据加密情况,为需要进行量子加密的数据配置标签B,无需进行量子加密的数据配置标签C,将前述数据发送至第一交换板;同时,能够将第一交换板接收的数据信号发送至视频传输设备;
所述第一交换板分别与量子密钥加解密模块、智能控制模块以及第二交换板双向连接,所述第一交换板接收智能控制模块发送的数据传输请求,根据量子加密情况发送至对应的量子密钥加解密模块或者第二交换板;同时,能够接收第二交换板发送的无需进行量子加密的传输数据,转发至智能控制模块;
所述第二交换板分别与量子密钥分发模块、量子加解密模块、第一交换板和边缘路由器PE双向连接,根据识别的信号标签,接收量子密钥分发模块发送的密钥协商信号,接收量子加解密模块和第一交换板发送的需要进行量子加密的传输数据和无需进行量子加密的传输数据,通过边缘路由器PE发送至对应的网络;接收边缘路由器PE发送的数据信号,根据识别的信号标签,转发密钥协商信号至量子密钥分发模块,转发需要进行量子解密的传输数据和无需进行量子解密的传输数据至量子加解密模块和第一交换板。
一种基于标签交换的边缘路由器PE,该边缘路由器PE用于为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,每个标记交换路由器P确定了与标签的捆绑关系,路径名称分别为P1、P2和P3;其中:
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE中;
该边缘路由器PE接收来自第二交换板的数据信号,根据IP报文头分析得到的网络路径,执行以下操作:根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE;或者接收来自标记交换路由器P的数据信号转发至第二交换板。
一种基于标签交换的标记交换路由器P,该标记交换路由器P存储有路径名称和由各路径的路由过程标签所建立的转发表,路由过程所采用的路由器均为标记交换路由器P,路径名称分别为P1、P2和P3;
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
所述标记交换路由器P按照转发表进行路由信号传递;标记交换路由器P之间按照路由过程标签建立标签交换路径,虚拟专网之间通过标签交换路径联结起来,形成统一的网络。
本发明提供一种基于标签交换的量子加密传输方法,该方法包括以下步骤:
路由标签配置步骤:为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,路径名称分别为P1、P2和P3;其中:量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a;量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b;非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c;对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE和标记交换路由器P中,前述路由过程所采用的路由器均为标记交换路由器P;
S1、原始密钥获取步骤:任一视频传输设备i,i∈(1,n)分别与对应的量子加密传输装置相连,各量子加密传输装置通过量子密钥分发专网获取原始密钥,存储在原始密钥存储模块,n表示视频传输设备数量,i表示视频传输设备编号;
S2、量子密钥组协商步骤:能够进行通信的各视频传输设备ij,j∈(1,n)、j≠i之间分别从原始密钥存储模块中获取原始量子密钥,通过各自连接的量子密钥分发模块进行数据筛选和数据协调等量子密钥协商,形成与对应视频传输设备通信的量子密钥组,将前述量子密钥组存储在秘钥池中,前述量子密钥协商过程中的数据信号标签为A;量子密钥协商过程具体包括:
S2-1、任一视频传输设备i所连接的量子加密传输装置中,量子密钥分发模块为密钥协商信号配置数据标签A;
S2-2、该量子密钥分发模块通过第二交换板将密钥协商信号通过量子密钥虚拟网络发送至能够与之进行通信的视频传输设备j所连接的量子加密传输装置;
S2-2、任一视频传输设备j的量子加密传输装置通过第二交换板从公网接收信号,在所述装置的第二交换板中对信号进行识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商,协商信号再按照该视频传输设备j的第二交换板、公网至对应视频传输设备i的第二交换板、密钥分发模块;协商完成之后;视频传输设备i、j的量子密钥分发模块分别从原始密钥存储模块中获取对应的量子密钥组存储在秘钥池中;
S3、数据传输请求步骤:任一视频传输设备i与j进行数据传输,视频传输设备i通过连接的量子加密传输装置发送数据传输请求,在智能控制模块中,对数据传输请求进行判别;
如果该数据传输请求需要进行量子加密,为该数据传输请求配置数据信号标签为B,智能控制模块将前述标签B的数据传输请求通过第一交换板发送至量子加解密模块,转步骤S4;
如果该数据传输请求不需要进行量子加密,为该数据传输请求配置数据信号标签为C,智能控制模块将前述标签C的数据传输请求通过第一交换板发送至第二交换板,转步骤S5;
S4、量子加密步骤:量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的数据传输请求进行量子加密,完成后,将量子加密后的标签B的数据传输请求发送至第二交换板;
S5、数据传输发送步骤:在第二交换板中,对于需要发送的数据标签进行识别,当数据标签为A时,该信号为量子密钥协商信号;当数据标签为B时,该信号为需要进行量子加密的传输数据;当数据标签为C时,该信号为无需进行量子加密的传输数据;第二交换板对需要发送的数据进行数据标签进行识别之后,发送至边缘路由器PE,边缘路由器PE分析IP报文头,确定网络路径,根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE,再由边缘路由器PE发送至数据接收方所对应视频传输设备连接的量子加密传输装置;
S6、数据传输接收步骤:视频传输设备j连接的量子加密传输装置接收数据信号,在第二交换板中进行标签识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商;如果该信号的数据标签为B,则该信号为需要进行量子加密的传输数据,第二交换板将该信号转发至量子加解密模块进行解密,转到步骤S7;如果该信号的数据标签为C,则该信号为无需进行量子加密的传输数据,第二交换板将该信号转发至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输;
S7、量子解密步骤:视频传输设备j的量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的传输数据进行量子解密,完成后,将量子解密后的标签B的传输数据发送至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输。
具体实施时:
视频传输设备1和视频传输设备2通过量子密钥分发专网进行量子密钥分发获得初始量子密钥后,需要在公网上进行数据筛选和数据协调。这类数据传输业务可以转换为标签形式如标签A,通过交换板2和服务提供商边缘路由器(PE)建立连接,连接到互联网上。若PE收到的业务的标签信息为标签A,则将数据发送到量子密钥虚拟专网中。
智能控制模块与视频传输设备相连,对视频、音频进行编码后,通过网络进行数据传输,从网络接受编码后的数据进行解码后,输出视频、语音或者其他数据。这些数据在传输的过程中可以选择量子加密方式和非量子加密方式。其中需要量子加密的业务可以转换为标签形式如标签B,不加密的业务可以转换为标签形式如标签C。标签信息为标签B的业务,则通过标签B对应的PE接入到量子加密虚拟专网中,标签信息为标签C,则通过标签C对应的PE接入到非量子加密虚拟专网中。
如有其他量子密码加密网络亦可以转换为其他标签形式,通过对应的PE接入到其他虚拟专网中。
搭建如图1所示的基于量子密码的传输设备。其中交换板1和交换板2能够实现标记交换功能。量子密钥分发设备通过专网进行量子信号的发送和探测,将量子原始密钥数据加上标签,通过交换板2进入到公网中进行数据筛选、数据协调,将最后得到的量子密钥送到密钥池;量子加解密模块实现将交换板1送来的数据用秘钥池里的量子密钥进行加密,将交换板2送来的数据用秘钥池里的量子密钥进行解密后送到交换板1。智能控制模块实现对数据的编解码,将需要量子加密的数据加上对应的标签,通过量子加密专用网进行数据传输;将不需要量子加密的数据加上对应的标签,通过非量子加密专用网进行数据传输。
在传输数据之前,需要将网络中路由的IP地址映射为简单的具有固定长度的标签,用于不同的包转发和包交换。在每个标记交换路由器建立转发表的映射关系,通过预先建立的转发表中输入标记与输出标记之间的映射,从输入标记快速检索到输出标记、输出端口和下一跳地址。在数据流传送前按路由拓扑预先建立转发表,其中标记分发采用按需下游分配方式,只有收到上游节点发来的请求时才分配标记。
量子密钥和量子加密数据在公网中建立专网。贴有标签的数据通过设备端的交换板2发送到服务提供商边缘设备(PE),通过PE路由器流到主干网(公网)。在主干网中,根据预先建立的转发表,根据数据的标签进行转发。
例如,量子密钥分发的数据标签为A,数据送到交换板2,通过映射关系,得到输出标记为A、输出端口为公网上对用的路由器;智能控制模块将标签B的数据送到交换板1,通过映射关系,得到输出标记为B、输出端口为量子加密模块,量子加密模块输出的数据标记为B,数据送到交换板2,通过映射关系,得到输出标记为B、输出端口为公网上对应的路由器;智能控制模块将标签C的数据送到交换板1,通过映射关系,得到输出标记为C、输出端口为交换板2,数据送到交换板2,通过映射关系,输入为C得到输出标记为C、输出端口为公网上对应的路由器。
当设备传到PE路由的数据的输入标记为A时,输出端口和下一跳地址连接到量子密钥虚拟专网;当设备传到PE路由的数据的输入标记为B时,输出端口和下一跳地址连接到量子加密虚拟专网,当设备传到PE路由的数据的输入标记为C时,输出端口和下一跳地址连接到非量子加密虚拟专网。
设备通过PE路由器接入到公网,公网在各个标记交换路由器P之间建立标签交换路径。虚拟专网通过标签交换路径将私有网络的不同分支联结起来,形成一个统一的网络。每个标记交换路由器P确定了与标签的捆绑关系,通过标记分发协议来实现。从而实现量子密钥、量子加密数据以及非量子加密数据在公网中虚拟专网中安全、快捷、稳定的数据传输。
以上已经描述了本发明的各实施例,上述说明是示例性的,并非穷尽性的,并且也不限于所披露的各实施例。在不偏离所说明的各实施例的范围和精神的情况下,对于本技术领域的普通技术人员来说许多修改和变更都是显而易见的。

Claims (8)

1.一种基于标签交换的量子加密传输方法,其特征在于,该方法包括以下步骤:
S1、原始密钥获取步骤:任一视频传输设备i,i∈(1,n)分别与对应的量子加密传输装置相连,各量子加密传输装置通过量子密钥分发专网获取原始密钥,存储在原始密钥存储模块,n表示视频传输设备数量,i表示视频传输设备编号;
S2、量子密钥组协商步骤:能够进行通信的各视频传输设备ij,j∈(1,n)、j≠i之间分别从原始密钥存储模块中获取原始量子密钥,通过各自连接的量子密钥分发模块进行数据筛选和数据协调等量子密钥协商,协商得到与对应视频传输设备通信的量子密钥组,将前述量子密钥组存储在秘钥池中,前述量子密钥协商过程中的数据信号标签为A;
S3、数据传输请求步骤:任一视频传输设备i与j进行数据传输,视频传输设备i通过连接的量子加密传输装置发送数据传输请求,在智能控制模块中,对数据传输请求进行判别;
如果该数据传输请求需要进行量子加密,为该数据传输请求配置数据信号标签为B,智能控制模块将前述标签B的数据传输请求通过第一交换板发送至量子加解密模块,转步骤S4;
如果该数据传输请求不需要进行量子加密,为该数据传输请求配置数据信号标签为C,智能控制模块将前述标签C的数据传输请求通过第一交换板发送至第二交换板,转步骤S5;
S4、量子加密步骤:量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的数据传输请求进行量子加密,完成后,将量子加密后的标签B的数据传输请求发送至第二交换板;
S5、数据传输发送步骤:在第二交换板中,对于需要发送的数据标签进行识别,当数据标签为A时,该信号为量子密钥协商信号,第二交换板将该信号通过量子密钥虚拟网络转发至对应协商视频传输设备j连接的量子加密传输装置;当数据标签为B时,该信号为需要进行量子加密的传输数据,第二交换板将该信号通过量子加密虚拟专网转发至数据传输所对应视频传输设备j连接的量子加密传输装置;当数据标签为C时,该信号为无需进行量子加密的传输数据,第二交换板将该信号通过非量子加密虚拟专网转发至数据传输所对应视频传输设备j连接的量子加密传输装置;
S6、数据传输接收步骤:视频传输设备j连接的量子加密传输装置接收数据信号,在第二交换板中进行标签识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商;如果该信号的数据标签为B,则该信号为需要进行量子加密的传输数据,第二交换板将该信号转发至量子加解密模块进行解密,转到步骤S7;如果该信号的数据标签为C,则该信号为无需进行量子加密的传输数据,第二交换板将该信号转发至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输;
S7、量子解密步骤:视频传输设备j的量子加解密模块从秘钥池的视频传输设备ij通信的量子密钥组中获取密钥对所述标签B的传输数据进行量子解密,完成后,将量子解密后的标签B的传输数据发送至第一交换板、智能控制模块,到达视频传输设备j,完成数据传输。
2.根据权利要求1所述的基于标签交换的量子加密传输方法,其特征在于,步骤S2中,量子密钥协商过程具体包括:
S2-1、任一视频传输设备i所连接的量子加密传输装置中,量子密钥分发模块为密钥协商信号配置数据标签A;
S2-2、该量子密钥分发模块通过第二交换板将密钥协商信号通过量子密钥虚拟网络发送至能够与之进行通信的视频传输设备j所连接的量子加密传输装置;
S2-2、任一视频传输设备j的量子加密传输装置通过第二交换板从公网接收信号,在所述装置的第二交换板中对信号进行识别,如果该信号的数据标签为A,则该信号为密钥协商信号,第二交换板将该信号转发至量子密钥分发模块进行密钥协商,协商信号再按照该视频传输设备j的第二交换板、公网至对应视频传输设备i的第二交换板、密钥分发模块;协商完成之后;视频传输设备i、j的量子密钥分发模块分别从原始密钥存储模块中获取对应的量子密钥组存储在秘钥池中。
3.根据权利要求1或2所述的基于标签交换的量子加密传输方法,其特征在于,秘钥池中存储有视频传输设备与其他多个对应视频传输设备通信使用的秘钥组。
4.根据权利要求1所述的基于标签交换的量子加密传输方法,其特征在于,该方法还包括路由标签配置步骤,在步骤S1之前,包括:为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,路径名称分别为P1、P2和P3;其中:
量子密钥虚拟网络P1的路由过程标签为:P11、P12、…、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
网络中路由的IP地址均映射为具有固定长度的标签,对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE和标记交换路由器P中,前述路由过程所采用的路由器均为标记交换路由器P;
对应地步骤S5中,第二交换板对需要发送的数据进行数据标签进行识别之后,发送至边缘路由器PE,边缘路由器PE分析IP报文头,确定网络路径,根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE,再由边缘路由器PE发送至数据接收方所对应视频传输设备连接的量子加密传输装置。
5.一种基于标签交换的量子加密传输装置,其特征在于,该装置与视频传输设备相连,包括:原始密钥存储模块、量子密钥分发模块、秘钥池、量子密钥加解密模块、智能控制模块、第一交换板和第二交换板,其中;
所述原始密钥存储模块通过量子密钥分发专网获取原始密钥,所述原始密钥存储模块的信号输出端与量子密钥分发模块的信号输入端相连;
所述量子密钥分发模块的信号输入端与原始密钥存储模块的信号输出端相连,量子密钥分发模块的信号输出端与秘钥池的信号输入端相连,量子密钥分发模块为密钥协商信号配置标签A,量子密钥分发模块的密钥协商信号端与第二交换板的对应信号端相连;所述量子密钥分发模块从原始密钥存储模块获取原始密钥,通过第二交换板,经过边缘路由器PE至量子密钥虚拟网络,通过标记交换路由器P至对应协商视频传输设备端的边缘路由器PE,与连接的量子加密传输装置进行密钥协商;得到若干个与对应视频传输设备通信的量子密钥组,并将量子密钥组存储在秘钥池中;
所述秘钥池用于存储与对应视频传输设备通信的量子密钥组,所述秘钥池的信号输出端与量子加解密模块的对应信号输入端相连;
所述量子密钥加解密模块的量子密码信号输入端与秘钥池的信号输出端相连,量子密钥加解密模块分别与第一交换板、第二交换板双向连接;所述的量子加解密模块根据第一交换板发送的加密信号或第二交换板发送的解密信号,从秘钥池对应视频传输设备通信的量子密钥组中获取密钥,对数据信号进行量子加密或者解密,完成后,将量子加密或者解密后的信号发送至第二交换板或者第一交换板;
所述智能控制模块分别与第一交换板、视频传输设备双向连接,所述智能控制模块从其连接的视频传输设备接受数据传输请求,识别传输数据加密情况,为需要进行量子加密的数据配置标签B,无需进行量子加密的数据配置标签C,将前述数据发送至第一交换板;同时,能够将第一交换板接收的数据信号发送至视频传输设备;
所述第一交换板分别与量子密钥加解密模块、智能控制模块以及第二交换板双向连接,所述第一交换板接收智能控制模块发送的数据传输请求,根据量子加密情况发送至对应的量子密钥加解密模块或者第二交换板;同时,能够接收第二交换板发送的无需进行量子加密的传输数据,转发至智能控制模块;
所述第二交换板分别与量子密钥分发模块、量子加解密模块、第一交换板和边缘路由器PE双向连接,根据识别的信号标签,接收量子密钥分发模块发送的密钥协商信号,接收量子加解密模块和第一交换板发送的需要进行量子加密的传输数据和无需进行量子加密的传输数据,通过边缘路由器PE发送至对应的网络;
接收边缘路由器PE发送的数据信号,根据识别的信号标签,转发密钥协商信号至量子密钥分发模块,转发需要进行量子解密的传输数据和无需进行量子解密的传输数据至量子加解密模块和第一交换板。
6.一种基于标签交换的边缘路由器PE,其特征在于,该边缘路由器PE用于为量子密钥虚拟网络、量子加密虚拟专网和非量子加密虚拟专网配置路径名称和各路径的路由过程标签,每个标记交换路由器P确定了与标签的捆绑关系,路径名称分别为P1、P2和P3;其中:
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
对于前述路径和对应路径的路由过程建立转发表,并存储在边缘路由器PE中;
该边缘路由器PE接收来自第二交换板的数据信号,根据IP报文头分析得到的网络路径,执行以下操作:根据网络路径按照对应网络中的路由过程由对应的标记交换路由器P进行传递,直到数据接收方的边缘路由器PE;或者接收来自标记交换路由器P的数据信号转发至第二交换板。
7.一种基于标签交换的标记交换路由器P,其特征在于,该标记交换路由器P存储有路径名称和由各路径的路由过程标签所建立的转发表,路由过程所采用的路由器均为标记交换路由器P,路径名称分别为P1、P2和P3;
量子密钥虚拟网络P1的路由过程标签为:P11、P12、...、P1a
量子加密虚拟专网P2的路由过程标签为:P21、P22、...、P2b
非量子加密虚拟专网P3的路由过程标签为:P31、P32、...、P3c
所述标记交换路由器P按照转发表进行路由信号传递。
8.根据权利要求7所述的基于标签交换的标记交换路由器P,其特征在于,标记交换路由器P之间按照路由过程标签建立标签交换路径,虚拟专网之间通过标签交换路径联结起来,形成统一的网络。
CN202010333118.1A 2020-04-24 2020-04-24 一种基于标签交换的量子加密传输方法及装置 Pending CN111669270A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010333118.1A CN111669270A (zh) 2020-04-24 2020-04-24 一种基于标签交换的量子加密传输方法及装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010333118.1A CN111669270A (zh) 2020-04-24 2020-04-24 一种基于标签交换的量子加密传输方法及装置

Publications (1)

Publication Number Publication Date
CN111669270A true CN111669270A (zh) 2020-09-15

Family

ID=72382979

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010333118.1A Pending CN111669270A (zh) 2020-04-24 2020-04-24 一种基于标签交换的量子加密传输方法及装置

Country Status (1)

Country Link
CN (1) CN111669270A (zh)

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499853A (zh) * 2022-02-11 2022-05-13 浙江国盾量子电力科技有限公司 基于5g和量子加密的配电站视频传输通信系统及方法
CN115473641A (zh) * 2022-11-02 2022-12-13 南京易科腾信息技术有限公司 可自动组网的量子加密通信方法和系统

Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1957553A (zh) * 2004-05-24 2007-05-02 Magiq技术公司 用于qkd的密钥库系统和方法
CN104468097A (zh) * 2015-01-13 2015-03-25 中国人民解放军理工大学 一种基于量子密钥分发的安全数据通信实现方法
CN108923917A (zh) * 2018-06-28 2018-11-30 浙江九州量子信息技术股份有限公司 一种基于量子通信的虚拟专用网络加密方法
GB201821135D0 (en) * 2018-12-21 2019-02-06 Dotquantum Holdings Ltd Improved cryptographic method and system
CN110620650A (zh) * 2018-06-20 2019-12-27 中国电信股份有限公司 通信方法、系统、装置及计算机可读存储介质

Patent Citations (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN1957553A (zh) * 2004-05-24 2007-05-02 Magiq技术公司 用于qkd的密钥库系统和方法
CN104468097A (zh) * 2015-01-13 2015-03-25 中国人民解放军理工大学 一种基于量子密钥分发的安全数据通信实现方法
CN110620650A (zh) * 2018-06-20 2019-12-27 中国电信股份有限公司 通信方法、系统、装置及计算机可读存储介质
CN108923917A (zh) * 2018-06-28 2018-11-30 浙江九州量子信息技术股份有限公司 一种基于量子通信的虚拟专用网络加密方法
GB201821135D0 (en) * 2018-12-21 2019-02-06 Dotquantum Holdings Ltd Improved cryptographic method and system

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN114499853A (zh) * 2022-02-11 2022-05-13 浙江国盾量子电力科技有限公司 基于5g和量子加密的配电站视频传输通信系统及方法
CN115473641A (zh) * 2022-11-02 2022-12-13 南京易科腾信息技术有限公司 可自动组网的量子加密通信方法和系统
CN115473641B (zh) * 2022-11-02 2023-02-03 南京易科腾信息技术有限公司 可自动组网的量子加密通信方法和系统

Similar Documents

Publication Publication Date Title
CN109995513B (zh) 一种低延迟的量子密钥移动服务方法
WO2019128785A1 (zh) 一种量子密钥中继方法
JP3805329B2 (ja) イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法
US7450719B2 (en) Gigabit Ethernet-based passive optical network and data encryption method
US7310730B1 (en) Method and apparatus for communicating an encrypted broadcast to virtual private network receivers
US8687613B2 (en) Method and system for peer to peer wide area network communication
US20090217032A1 (en) Method for generating sak, method for realizing mac security, and network device
CN111010274B (zh) 一种安全低开销的SRv6实现方法
US20090034738A1 (en) Method and apparatus for securing layer 2 networks
JP2009277234A (ja) コンテンツセントリックネットワークにおける通信を円滑化するための方法
US9647876B2 (en) Linked identifiers for multiple domains
CN111669270A (zh) 一种基于标签交换的量子加密传输方法及装置
CN101834793A (zh) 基于mpls/ops的虚拟专用网的实现方法
US8050209B2 (en) Group communication method, communication device and management device
WO2012130128A1 (zh) 一种实现网络标识转换的方法、装置及系统
CN109995511A (zh) 一种基于量子密钥分发网络的移动保密通信方法
CN103701679A (zh) 一种实现vlan转换的方法
JP4685659B2 (ja) 局側装置、加入者側装置およびponシステム
KR101518438B1 (ko) 보안 네트워크 아키텍쳐를 확립하기 위한 방법, 보안 통신을 위한 방법 및 시스템
CN101326755A (zh) 数字对象标题以及传输信息
CN107135152B (zh) 一种分组传送网中传输关键信息的安全加固方法
CN211860135U (zh) 一种基于标签交换的量子加密系统
Vasudevan et al. Study of secure network coding enabled mobile small cells
CN109639627B (zh) 一种加密方式切换方法和装置
WO2012051831A1 (zh) 路由器和传输数据的方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
AD01 Patent right deemed abandoned
AD01 Patent right deemed abandoned

Effective date of abandoning: 20230106