CN114124383B - 复用同步光的地址跳变图案生成方法、装置及计算机设备 - Google Patents

Abstract

本申请公开了一种复用同步光的地址跳变图案生成方法、装置及计算机设备，该方法用于在任意两个节点之间同步进行地址跳变，其包括：第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址；本发明能够有效地保障地址端口跳变图案生成时的时间同步精度，并可以安全地保障这一时间同步安全地进行；同时，将量子密钥分发技术和地址端口跳变技术有机地融合，将极大地减少相关器件的使用。

Description

复用同步光的地址跳变图案生成方法、装置及计算机设备

技术领域

本申请涉及网络信息安全技术领域，更具体地，涉及一种复用同步光的地址跳变图案生成方法、装置及计算机设备。

背景技术

随着目前网络技术的快速发展，网络中的攻击技术也在快速迭代。传统的基于静态的、被动的防御策略越来越显得力不从心了，主动防御技术成为了当前网络安全中新的研究热点。借鉴军事通信中的“跳频通信”的思想，地址端口跳变成为了网络安全攻防中一种的新的技术手段。2000年，美国国防部高级研究计划署在其主导的APOD项目中提出一种基于严格时间同步策略的地址端口跳变策略。但是在现实网络中，由于延迟和拥塞的存在，无法达到真正意义上的严格时间同步。但是在地址跳变图案领域，时间同步格外重要，需要遵循的一个原则是，网络延迟和拥塞造成的时间延迟小于跳变的周期。

目前，网络授时中的查询协议和时间协议授时实现方式比较简单，但同步精度较低，只能达到1s的时间精度，无法满足端口地址跳变的时间需求。NTP协议可以直接通过软件的方式在各个平台实现，实现精度相对也比较高，在局域网中可以达到1ms的时间精度，在广域网中可以达到50ms以内的时间精度。除此之外，基于全球导航卫星系统的授时精度可以达到几十ns的量级。但是这些授时方式在较长长周期内保持不变，容易受到攻击，在网络安全领域的应用受到限制。

发明内容

针对现有技术的至少一个缺陷或改进需求，本发明提供了一种复用同步光的地址跳变图案生成方法、装置及计算机设备，。

为实现上述目的，按照本发明的第一个方面，提供了一种复用同步光的地址跳变图案生成方法，用于在任意两个节点之间同步进行地址跳变，该方法包括以下步骤：

第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；

第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

优选的，上述地址跳变图案生成方法，所述虚拟IP地址的生成方法为：

第一节点和第二节点从所述共享密钥中选取设定长度的随机数作为跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址。

优选的，上述地址跳变图案生成方法，所述第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；

在所述同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。

优选的，上述地址跳变图案生成方法，所述中断标记为设定帧数目的空信号。

优选的，上述地址跳变图案生成方法，所述第一节点还发送GPS时钟信号至第二节点，第一节点、第二节点基于所述GPS时钟信号和同步光对共享密钥的生成过程进行时间同步。

按照本发明的第二个方面，还提供了一种复用同步光的地址跳变图案生成装置，用于在任意两个节点之间同步进行地址跳变，其特征在于，包括：

第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；

第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

优选的，上述地址跳变图案生成装置，

第一节点和第二节点从所述共享密钥中选取设定长度的随机数作为跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址。

优选的，上述地址跳变图案生成装置，所述第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；

在所述同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。

优选的，上述地址跳变图案生成装置，所述中断标记为设定帧数目的空信号。

优选的，上述地址跳变图案生成装置，所述第一节点采用光纤复用的方式将量子光和同步光发送至第二节点。

优选的，上述地址跳变图案生成装置，所述第一节点还发送GPS时钟信号至第二节点，第一节点、第二节点基于所述GPS时钟信号和同步光对共享密钥的生成过程进行时间同步。

优选的，上述地址跳变图案生成装置，所述第一节点和第二节点中的任一者均包括：

量子密钥分发设备，被配置为发送或接收量子光和同步光，在所述同步光的作用下，基于所述量子光同步生成共享密钥；

协同跳变器，其被配置为接收同步光并记录同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

优选的，上述地址跳变图案生成装置，所述第一节点和第二节点中的任一者还包括：

量子密钥管理设备，其被配置为存储所述共享密钥并将其提供给协同跳变器。

按照本发明的第三个方面，还提供了一种计算机设备，其包括至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有计算机程序，当所述计算机程序被所述处理单元执行时，使得所述处理单元执行上述任一项所述地址跳变图案生成方法的步骤。

总体而言，通过本发明所构思的以上技术方案与现有技术相比，能够取得下列有益效果：

本发明提供的提供了一种复用同步光的地址跳变图案生成方法、装置及计算机设备，复用量子密钥分发过程中形成的同步光来进行不同节点之间的同步地址跳变，量子密钥分发过程中形成的同步光具有很高的精度和安全性，其既用于共享密钥生成过程中的时间同步，又在第一节点和第二节点的地址跳变过程中发挥时间同步作用；因此可以保障地址端口跳变图案生成时的时间同步精度，并提高攻击安全性。同时，将量子密钥分发技术和地址端口跳变技术有机地融合，将极大地减少相关器件的使用。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本实施例提供的一种复用同步光的地址跳变图案生成装置的网络结构拓扑示意图；

图2为同步光和量子态的发射示意图；

图3本实施例提供的第一节点和第二节点进行时间同步的流程示意图；

图4为本实施例提供的一种复用同步光的地址跳变图案生成方法的流程示意图。

具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述。

本申请的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”等是用于区别不同对象，而不是用于描述特定顺序。此外，术语“包括”和“具有”以及它们任何变形，意图在于覆盖不排他的包含。例如包含了一系列步骤或单元的过程、方法、系统、产品或设备没有限定于已列出的步骤或单元，而是可选地还包括没有列出的步骤或单元，或可选地还包括对于这些过程、方法、产品或设备固有的其他步骤或单元。

此外，为了避免使技术人员对本发明的理解模糊，可能不详细地描述或示出公知的或广泛使用的技术、元件、结构和处理。尽管附图表示本发明的示例性实施例，但是附图不必按照比例绘制，并且特定的特征可被放大或省略，以便更好地示出和解释本发明。

近年来，随着量子保密通信的快速发展，量子保密通信也慢慢开始在网络安全中开展应用。量子保密通信的基本原理是基于量子力学的叠加原理和量子力学的不可克隆定理，在理论上保证了其在信息论上的绝对安全。目前基于在真实域网环境的最远量子密钥分发距离已经达到500km以上，基于卫星的非可信中继距离也达到千公里以上量级，随着应用成本的下降，未来有着巨大的应用前景。同时，基于卫星量子保密通信的安全时间频率传递实验也得到了演示。

基于以上实验的想法，本发明构造了一种复用同步光的地址跳变图案生成方法，将有效地保障地址端口跳变图案生成时的时间同步精度问题，另一方面可以安全地保障这一时间同步安全地进行。同时，将量子密钥分发技术和地址端口跳变技术有机地融合，将极大地减少相关器件的使用。

图1是本实施例提供的一种复用同步光的地址跳变图案生成装置的网络结构拓扑示意图，该装置主要用于在任意两个节点之间同步进行地址跳变，请参阅图1，本实施例以第一节点和第二节点两个主机之间的同步地址跳变为例进行说明，本领域技术人员可以理解，本方案可以扩展至更多节点之间的同步地址跳变，并不局限于两个节点；下面以第一节点作为发送方为例进行说明。

第一节点发送量子光和同步光至第二节点，在同步光的作用下，第一节点和第二节点根据量子光同步生成共享密钥；

第一节点和第二节点记录同步光的时间信号，并以时间信号作为跳变周期同步从共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

至此，在同步光的作用下，第一节点和第二节点实现了同步的地址跳变；本方案中，量子密钥分发过程中形成的同步光具有很高的精度和安全性，其既用于共享密钥生成过程中的时间同步，又在第一节点和第二节点的地址跳变过程中发挥时间同步作用；因此可以保障地址端口跳变图案生成时的时间同步精度，并提高攻击安全性。

请继续参阅图1，上述地址跳变图案生成装置，第一节点和第二节点中的任一者均包括量子密钥分发设备、量子密钥管理设备和协同跳变器；

其中，量子密钥分发设备被配置为发送或接收量子光和同步光，在所述同步光的作用下，基于所述量子光同步生成共享密钥；第一、第二节点中的量子密钥分发设备之间通过量子通信网络进行通信。

具体的，该量子密钥分发设备包括量子光源、量子信道、经典信道、同步光信道和量子接收探测设备；第一节点的量子密钥分发设备中的量子光源将随机编码的量子态|H>、|V>、|+>或者|->，通过光纤或者自由空间量子信道，发送给第二节点的量子密钥分发设备，第二节点的量子密钥分发设备中的量子接收探测设备接收第一节点发送的量子态并随机选择H/V或者+/-基矢进行测量，并将测量结果通过经典信道告知第一节点。第一节点则告知第二节点制备的量子态是在H/V或者+/-基矢上。第一节点和第二节点保留相同的基矢，并通过参数估计，纠错和隐私放大过程，从而获取一组安全的对称密钥，存储到量子密钥池中。经典信道的过程不需要对相关信息进行加密，只需要第一节点和第二节点是互相认证的双方。为保证基矢比对的过程顺利完成，第一节点在发送量子态的同时，需要通过同步光信道向第二节点发送一束同步光，用作时间同步，保证所有的脉冲信号能够完美匹配上。

本实施例中，第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；在一个优选的实施例中，量子光和同步光的发射频率相同；在同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。在一个优选的示例中，所述中断标记为设定帧数目的空信号。

请参阅图2，第一节点通过发出一个强度合适的脉冲光(即同步光)，使得第二节点在测量时能够达到饱和测量(一般在uw到百uw量级)，经过合理的整形，使得输出信号完整，不至于导致误触发，通过算法达到第一节点和第二节点的时间同步，时间同步精度可以达到100ps以内。具体的，第一节点在发送一个量子态(包含信号态、诱骗态和真空态，图中的短箭头)的同时，都发送一个强脉冲的同步光(图2中的长箭头)，这样只需要将第一节点和第二节点的同步光信号匹配上即可。为了便捷，第一节点可以在连续发送若干个(例如，1016个)同步光之后，空出设定数量个(例如8个)同步光位置不发送同步光，作为空信号。接收端的第二节点可以将每次空出的8个空闲周期作为起始帧开始的标志，如图3所示，这样容忍一定程度的信道噪声以及同步光丢帧的情况，有助于提高系统的稳定性。

在实际的光纤量子密钥分发中，为了节约成本，同步光和量子光可采用共纤复用的方式进行传输，此时需要综合考虑同步光在光纤信道传输过程中的非线性效应对于量子光的影响，选取合适的波长。

在一个可选的实施方式中，第一节点还发送GPS时钟信号至第二节点，第一节点、第二节点所述GPS时钟信号和同步光对共享密钥的生成过程进行时间同步。仅使用同步光的时间同步多应用在光纤信道的量子密钥分发中，而使用GPS时钟信号和同步光的方案可应用在自由空间信道量子密钥分发的时间同步中。

在特殊的情况下，为了保证同步光信号也不受到攻击，可以对同步光信号用量子密钥分发的形式进行传输，保证时间同步在传输过程的安全和可靠。

量子密钥管理设备的主要功能是接收量子密钥分发设备生成的量子密钥，并进行缓存或者存储，根据后端设备的需求，按时或者按需将密钥池中的量子密钥提供给相应的数据或者应用软件进行加密。在本方案中，量子密钥管理层的功能就是根据地址端口的跳变的需求，每隔1-2s将量子密钥数据提供给需要跳变的协同跳变器(路由跳变模块或者地址跳变模块)，并保证第一节点和第二节点地址跳变的同步性。

协同跳变器作为量子密钥的应用层，其主要用于给地址端口提供随机的跳变图案，保证不同节点之间能够正常通信，同时阻隔外界的网络攻击。为了保证节点之间的随机的跳变图案生成的完全一致，需要对跳变图案的生成提供时间同步。本实施例中，协同跳变器获取量子密钥分发设备产生的同步光并记录同步光的时间信号，以时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址作为当前跳变周期内的通信地址。

跳变因子为从共享密钥中选取的8-32bit的随机数，在一个具体示例中，第一节点和第二节点的协同跳变器每次从共享密钥中选取32bit的随机数，作为跳变因子。第一、第二节点通过自身IP地址与32bit的跳变因子进行求和，计算出新的虚拟的IP地址作为通信的IP地址。例如两个用户节点A、B的源地址分别为10.0.0.1和10.0.0.254，32bit的跳变因子为220.1.1.25，那么对应生成的新的主机虚拟IP地址分别为230.1.1.26和230.1.1.24。由于第一、第二节点的原始IP地址各不相同，在和一个共同的随机密钥做相同的运算之后，相应的IP地址也会彼此不同。

上述复用同步光的地址跳变图案生成装置中的各个模块可全部或部分通过软件、硬件及其组合来实现。上述各模块可以硬件形式内嵌于或独立于计算机设备中的处理器中，也可以以软件形式存储于计算机设备中的存储器中，以便于处理器调用执行以上各个模块对应的操作。

本实施例还提供了一种复用同步光的地址跳变图案生成方法，用于在任意两个节点之间同步进行地址跳变，参见图4所示，该方法主要包括以下步骤：

S1第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；

本实施例中，第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；在所述同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。该中断标记可以是设定数目的空信号。

在一个可选的实施方式中，第一节点还发送GPS时钟信号至第二节点，第一节点、第二节点基于所述GPS时钟信号和同步光对共享密钥的生成过程进行时间同步。

S2第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

在一个可选的实施方式中，虚拟IP地址的生成方法为：

第一节点和第二节点从所述共享密钥中选取设定长度的随机数作为跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址。

应当注意，尽管在上述的实施例中，以特定顺序描述了本说明书实施例的方法的操作，但是，这并非要求或者暗示必须按照该特定顺序来执行这些操作，或是必须执行全部所示的操作才能实现期望的结果。相反，流程图中描绘的步骤可以改变执行顺序。附加地或备选地，可以省略某些步骤，将多个步骤合并为一个步骤执行，和/或将一个步骤分解为多个步骤执行。

本实施例中，每个节点均可以为计算机设备，该计算机设备包括至少一个处理器、以及至少一个存储器，其中，存储器中存储有计算机程序，当计算机程序被处理器执行时，使得处理器控制量子密钥分发设备执行上述地址跳变图案生成方法的步骤；本实施例中，处理器和存储器的类型不作具体限制，例如：处理器可以是微处理器、数字信息处理器、片上可编程逻辑系统等；存储器可以是易失性存储器、非易失性存储器或者它们的组合等。

该计算机设备也可以与一个或多个外部设备(如键盘、指向终端、显示器等)通信，还可与一个或者多个使得用户能与该计算机设备交互的终端通信，和/或与使得该计算机设备能与一个或多个其它计算终端进行通信的任何终端(例如网卡，调制解调器等等)通信。这种通信可以通过输入/输出(I/O)接口进行。并且，计算机设备还可以通过网络适配器与一个或者多个网络(例如局域网(Local Area Network，LAN)，广域网(Wide AreaNetwork，WAN)和/或公共网络，例如因特网)通信。

本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的计算机程序可存储于一非易失性计算机可读取存储介质中，该计算机程序在执行时，可包括如上述各方法的实施例的流程。其中，本申请所提供的各实施例中所使用的对存储器、存储、数据库或其它介质的任何引用，均可包括非易失性和/或易失性存储器。非易失性存储器可包括只读存储器(ROM)、可编程ROM(PROM)、电可编程ROM(EPROM)、电可擦除可编程ROM(EEPROM)或闪存。易失性存储器可包括随机存取存储器(RAM)或者外部高速缓冲存储器。作为说明而非局限，RAM以多种形式可得，诸如静态RAM(SRAM)、动态RAM(DRAM)、同步DRAM(SDRAM)、双数据率SDRAM(DDRSDRAM)、增强型SDRAM(ESDRAM)、同步链路(Synchlink)DRAM(SLDRAM)、存储器总线(Rambus)直接RAM(RDRAM)、直接存储器总线动态RAM(DRDRAM)、以及存储器总线动态RAM(RDRAM)等。

以上实施例的各技术特征可以进行任意的组合，为使描述简洁，未对上述实施例中的各个技术特征所有可能的组合都进行描述，然而，只要这些技术特征的组合不存在矛盾，都应当认为是本说明书记载的范围。

本领域的技术人员容易理解，以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种复用同步光的地址跳变图案生成方法，用于在任意两个节点之间同步进行地址跳变，其特征在于，包括：

第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；

第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址；

其中，所述虚拟IP地址的生成方法为：第一节点和第二节点从所述共享密钥中选取设定长度的随机数作为跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址。

2.如权利要求1所述的地址跳变图案生成方法，其特征在于，所述第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；

在所述同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。

3.如权利要求2所述的地址跳变图案生成方法，其特征在于，所述中断标记为设定帧数目的空信号。

4.如权利要求1或3所述的地址跳变图案生成方法，其特征在于，所述第一节点还发送GPS时钟信号至第二节点，第一节点、第二节点基于所述GPS时钟信号和同步光对共享密钥的生成过程进行时间同步。

5.一种复用同步光的地址跳变图案生成装置，用于在任意两个节点之间同步进行地址跳变，其特征在于，包括：

第一节点发送量子光和同步光至第二节点，在所述同步光的作用下，第一节点和第二节点基于所述量子光同步生成共享密钥；

第一节点和第二节点记录所述同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址；

其中，第一节点和第二节点从所述共享密钥中选取设定长度的随机数作为跳变因子，将自身IP地址与所述跳变因子进行逻辑运算，生成虚拟IP地址。

6.如权利要求5所述的地址跳变图案生成装置，其特征在于，所述第一节点按照预设规则同步地发射量子光和同步光，形成量子光序列和同步光序列；

在所述同步光序列中设置中断标记，第二节点根据所述中断标记确定帧起始位置，将接收的同步光序列的时间信号与自身的时间信号进行匹配。

7.如权利要求5所述的地址跳变图案生成装置，其特征在于，所述第一节点和第二节点中的任一者均包括：

量子密钥分发设备，被配置为发送或接收量子光和同步光，在所述同步光的作用下，基于所述量子光同步生成共享密钥；

协同跳变器，其被配置为接收同步光并记录同步光的时间信号，以所述时间信号作为跳变周期同步从所述共享密钥中选取跳变因子，将自身IP地址与所述跳变因子进行逻辑操作，生成虚拟IP地址作为当前跳变周期内的通信地址。

8.一种计算机设备，其特征在于，包括至少一个处理单元、以及至少一个存储单元，其中，所述存储单元存储有计算机程序，当所述计算机程序被所述处理单元执行时，使得所述处理单元执行权利要求1-4任一项所述方法的步骤。