CN114124385B - 应用于量子保密通信的备份链路系统 - Google Patents
应用于量子保密通信的备份链路系统 Download PDFInfo
- Publication number
- CN114124385B CN114124385B CN202210094211.0A CN202210094211A CN114124385B CN 114124385 B CN114124385 B CN 114124385B CN 202210094211 A CN202210094211 A CN 202210094211A CN 114124385 B CN114124385 B CN 114124385B
- Authority
- CN
- China
- Prior art keywords
- key
- link
- terminal
- control center
- backup
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/18—Network architectures or network communication protocols for network security using different networks or channels, e.g. using out of band channels
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了应用于量子保密通信的备份链路系统,包括控制中心及终端,控制中心与终端通过主链路连接,系统采用点对多点的备份链路网络结构,终端侧部署子节点,多个子节点与汇聚节点进行通信,汇聚节点与控制中心进行通信,且接入方式与主链路不同;系统对主备链路进行动态监测、主备切换及链路告警功能;并对主备通道采用不同的密钥生成及分发机制,生成的量子密钥中包含了用于在主链路中加解密通信数据的第一密钥以及用于在备份链路中加解密通信数据的第二密钥;并在分发时根据主备链路结构的不同进行差异化的加密,最大程度利用主备链路提高通讯质量及安全性。
Description
技术领域
本发明涉及信息安全技术领域,特别涉及应用于量子保密通信的备份链路系统。
背景技术
传统的加密系统,不管是对密钥技术还是公钥技术,其密文的安全性完全依赖于密钥的秘密性和计算复杂性。目前加密传输主要方式为:流程一,通信双方采用国家商用密码非对称SM2加密算法,协商出一个加密密钥(密钥协商过程也是进行加密的,但依然存在被窃听风险);流程二,通信双方采用协商出的密钥通过对称算法加密算法对传输的数据进行加解密。
量子密钥分发(quantum key distribution,简称QKD),是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密消息。量子保密通信系统,采用量子密钥分发(QKD)技术并结合通信系统,实现量子保密通信。
通过量子加密技术与传统通信技术的结合,可以实现量子保密通信技术。例如采用量子保密技术与5G公网的融合方案,或者量子保密技术与有线、无线专网的融合方案。目前的量子加密通信技术中,存在如下缺点:1、采用了单种通信方式进行通信,即单链路通道,可靠性较低;2、未对链路状态进行随路监测,不能及时发现链路质量问题;3、链路异常或中断后,导致终端与控制中心侧的通信质量下降或者通信中断,无备份或应急措施。而即使是直接设置一条备用通讯链路,又在大部分时间显得多余、浪费资源。
因此如何保证通讯质量和安全性,又能充分利用通讯资源,是目前所欠缺的。
发明内容
针对现有技术无法既保证通讯质量安全性又能充分利用通讯资源的问题,本发明提供了应用于量子保密通信的备份链路系统,对备份链路功能深度挖掘,将其运用于数据通信和密钥的分发,并在分发时根据主备链路结构的不同进行差异化的加密,最大程度利用主备链路提高通讯质量及安全性。
以下是本发明的技术方案:
应用于量子保密通信的备份链路系统,包括控制中心及通过主链路与控制中心连接的终端,还包括:
子节点,通过备份链路连接所述终端;
汇聚节点,通过备份链路连接控制中心及子节点;
量子密钥生成单元,连接控制中心,用于生成量子密钥并提供给控制中心;
其中,生成的量子密钥中包含了用于在主链路中加解密通信数据的第一密钥以及用于在备份链路中加解密通信数据的第二密钥;
所述控制中心根据主链路及备份链路的通讯质量,选择通信数据的传输链路及量子密钥分发使用的链路;所述控制中心在两种链路中,以独立分发、交叉分发或单路分发的方式分发所述第一密钥及第二密钥至终端;
进行独立分发、交叉分发或单路分发时,经过备份链路分发的量子密钥进行多级加密,通过汇聚节点及子节点中转后送至终端;经过主链路分发的量子密钥进行单级加密后直接送至终端。
本发明通过备份链路增加通讯的可靠性,系统根据链路的通讯质量切换数据传输的链路,每条链路在通信数据传输时使用独立的量子密钥,且不同于一般的备用手段,本系统在主链路可用时备份链路仍然承担量子密钥分发任务,同时,由于链路之间的网络结构不同,这里针对密钥分发过程经过备份链路的情况,对量子密钥进行了多级加密,充分利用网络结构,提高安全性。
作为优选,所述主链路及备份链路的通讯质量通过以下步骤监测:
终端与控制中心各自生成一组校验数据,分别通过主链路及备份链路发送至对方;控制中心及终端接收来自对方发来的校验数据后进行解析计算,得到上行链路的误码率及下行链路的误码率,并汇总误码率数据至控制中心;如达到最大等待时间T-check,控制中心仍未收到终端发来的数据,则表示链路中断;控制中心根据误码率以及链路是否中断判断通讯质量。加入短间隔链路状态监测机制,链路异常或中断时发起链路切换。
误码率越高表示通讯质量越差,而链路中断则无法通讯,设置误码率的阈值可以作为是否切换链路的条件之一。
作为优选,所述控制中心在两种链路中以独立分发、交叉分发或单路分发的方式分发所述第一密钥及第二密钥的过程包括:
独立分发:将第一密钥通过主链路进行加密传输,分发至终端,将第二密钥通过备份链路进行加密传输,最终分发至终端;
交叉分发:将第一密钥通过备份链路进行加密传输,最终分发至终端,将第二密钥通过主链路进行加密传输,分发至终端;
单路分发:将第一密钥及第二密钥通过同一条链路进行加密传输,最终分发至终端。
独立分发表示量子密钥的分发链路和它被用于加密的链路相同,每种量子密钥与另一链路没有直接联系,交叉分发则与这一情况相反。
作为优选,当主链路和备份链路的通讯质量都满足要求时,量子密钥的分发采用独立分发和交叉分发的形式交替进行;当其中一条链路的通讯质量不满足要求时,量子密钥的分发采用单路分发的形式。并且在条件允许的情况下不定时进行密钥分发工作模式的轮换。
作为优选,所述控制中心执行的独立分发的过程包括:
第一密钥分发时,控制中心利用终端公钥,对第一密钥进行加密,并通过主链路进行传输后,由终端采用配对的非对称密钥即终端私钥进行解密,得到第一密钥;
第二密钥分发时,控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第一密钥依次进行解密,得到第二密钥。其中相同编号的第一密钥需在终端收到第一密钥后从中提取。
每种密钥各自在对应的链路中,根据链路的不同网络结构进行不同的加密传输,且保证备份链路各节点作为中转站时被加密量子密钥并不会被解密。
作为优选,所述控制中心执行的交叉分发的过程包括:
第一密钥分发时,控制中心利用相同编号的第二密钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第一密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第二密钥依次进行解密,得到第一密钥;
第二密钥分发时,控制中心利用终端公钥,对第二密钥进行加密,并通过主链路进行传输后由终端采用配对的非对称密钥即终端私钥进行解密,得到第二密钥。
与独立分发镜像的分发方式,可以避免量子密钥在同一链路中既被传输又被用于加密,因此能够增加安全性。
作为优选,所述控制中心执行的单路分发的过程包括:
采用主链路分发时,控制中心利用终端公钥加密第一密钥,将加密后的第一密钥通过主链路发送至终端,终端采用配对的非对称密钥即终端私钥解密得到第一密钥;同时控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过主链路传输至终端,终端采用同编号的第一密钥进行解密,得到第二密钥;
采用备份链路分发时:控制中心利用终端公钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用汇聚节点私钥,对已加密的第一密钥进行签名,并通过备份链路传输至子节点,终端从子节点读取数据,并采用汇聚节点公钥进行验证并利用终端私钥进行解密,得到第一密钥;控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用与终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用终端私钥和同编号的第一密钥依次进行解密,得到第二密钥。
即使在同一链路中,两种密钥的加密方式也不同,且备份链路的各节点均不具备将加密的密钥解密出来的条件,保证量子密钥安全传输至终端。
作为优选,当备份链路的通讯质量不满足要求时,所述汇聚节点进行异常定位,包括:
汇聚节点分别与控制中心及子节点执行通讯质量监测步骤,得到备份链路中的汇聚节点-控制中心链路以及汇聚节点-子节点链路的误码率并确认通讯是否中断;根据对应的链路分段中的误码率及通讯是否中断,定位出异常所在的链路分段。
由于备份链路的网络结构具有多节点的特征,因此连接链路分为多段,这里采用分别判断的方式,可以准确快速地找到异常发生的位置。
作为优选,所述汇聚节点之间通过备份链路相互连接,每个子节点连接一个指定的汇聚节点。
作为优选,所述备份链路与主链路采用不同的接入方式,包括:主链路采用无线通讯的接入方式,备份链路采用有线通讯的接入方式;或主链路采用有线通讯的接入方式,备份链路采用无线通讯的接入方式。
本发明的实质性效果包括:实现量子保密通信的链路备份,提供通信业务的连续性;备份链路的汇聚节点至控制中心采用与主链路不同的接入方式,进一步提高了通信系统的稳定性和可靠性;加入短间隔链路状态监测机制,链路异常或中断时发起链路切换;备用系统进行分段子链路监测,提高问题定位效率;主备链路采用两套独立的通信密钥,并在密钥分发过程中采用了主备链路上差异化的加密方式,并不定时进行密钥分发工作模式的轮换,较大的提高了密钥分发的安全性。
附图说明
图1是本发明实施例的备份链路网络结构示意图;
图中包括:1-控制中心、2-汇聚节点、3-子节点、4-终端。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合实施例,对本技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本发明的说明书和权利要求书中的术语“第一”、“第二”、“第三”“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
应当理解,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“包括”和“具有”以及他们的任何变形,意图在于覆盖不排他的包含,例如,包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元,而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。在本发明中,“多个”是指两个或两个以上。
下面以具体的实施例对本发明的技术方案进行详细说明。实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例不再赘述。
实施例:
本实施例提出的应用于量子保密通信的备份链路系统,采用如图1所示的点对多点的备份链路网络结构,终端4侧部署子节点3,多个子节点与汇聚节点2进行通信,汇聚节点与控制中心1进行通信,且接入方式与主链路不同;系统对主备链路进行动态监测、主备切换及链路告警功能;并对主备通道采用不同的密钥生成及分发机制。
具体来说,本系统包括:
子节点,通过备份链路连接终端及汇聚节点;可以是小型网关或其他网络转接设备。
汇聚节点,通过备份链路连接控制中心及子节点;可以是根据子节点分布而择地搭建的通讯站或其他网络通讯站点。
量子密钥生成单元,连接控制中心,用于生成量子密钥并提供给控制中心;可以是量子密钥生成器。
其中,生成的量子密钥中包含了用于在主链路中加解密通信数据的第一密钥以及用于在备份链路中加解密通信数据的第二密钥;这里的第一密钥和第二密钥均是对用途不同的密钥的总称,并不是指单个密钥。
控制中心根据主链路及备份链路的通讯质量,选择通信数据的传输链路及量子密钥分发使用的链路;控制中心在两种链路中,以独立分发、交叉分发或单路分发的方式分发第一密钥及第二密钥至终端。
进行独立分发、交叉分发或单路分发时,经过备份链路分发的量子密钥进行多级加密,通过汇聚节点及子节点中转后送至终端;经过主链路分发的量子密钥进行单级加密后直接送至终端。
本实施例通过备份链路增加通讯的可靠性,系统根据链路的通讯质量切换数据传输的链路,每条链路在通信数据传输时使用独立的量子密钥,且不同于一般的备用手段,本系统在主链路可用时备份链路仍然承担量子密钥分发任务,同时,由于链路之间的网络结构不同,这里针对密钥分发过程经过备份链路的情况,对量子密钥进行了多级加密,充分利用网络结构,提高安全性。
备份链路系统主要分为三块:终端侧子节点通信设备、汇聚节点通信设备、备份链路通信系统。
备份链路通信系统分为三个子系统:节点-汇聚节点通信链路子系统、汇聚节点-汇聚节点通信链路子系统、汇聚节点-控制中心通信链路子系统。
子节点与汇聚节点采用点对多点(星型)的通信方式:终端侧部署子节点,终端通过有线(网线、串口等)方式连接子节点通信设备。子节点与汇聚节点进行双向通信,建立子节点-汇聚节点无线通信链路。汇聚节点为主节点(master),终端侧部署子节点(slave),一个汇聚节点与多个子节点进行通信。
汇聚节点之间形成环形网络:单个汇聚节点与其他相邻的2个汇聚节点之间加入点对点的通信链路,实现对汇聚节点-控制中心进行通信链路的断链保护。解决单个汇聚节点-控制中心链路中断情况下,该汇聚节点的多个子节点均无法与控制中心正常通信的情况。汇聚节点(master)与控制中心(center)的通信方式,采用与主通信链路不同的接入方式,汇聚节点将接收到的数据进行透明转发,进而实现终端与控制中心的通信。如主通道无线公网通信,则汇聚节点采用无线专网或者有线通信方式。
本实施例中,主链路及备份链路的通讯质量通过以下步骤监测:
终端与控制中心各自生成一组校验数据,分别通过主链路及备份链路发送至对方;控制中心及终端接收来自对方发来的校验数据后进行解析计算,得到上行链路的误码率及下行链路的误码率,并汇总误码率数据至控制中心;如达到最大等待时间T-check,控制中心仍未收到终端发来的数据,则表示链路中断;控制中心根据误码率以及链路是否中断判断通讯质量。加入短间隔链路状态监测机制,链路异常或中断时发起链路切换。
误码率越高表示通讯质量越差,而链路中断则无法通讯,设置误码率的阈值可以作为是否切换链路的条件之一。
系统根据通讯质量,选择对应的链路进行数据通信。主链路->备份链路切换:如主链路中断后,立即切至备份链路;如主链路通道质量下降,将通信链路切至备份链路。极端情况下:主备链路均服务质量下降,那就选取通信质量较好的链路。链路选择优先级:正常链路(链路不存在误码)>一般链路(链路存在误码)>较差链路(链路误码率较高)。
如监测到备份链路存在异常时,则根据链路ID进行统计。针对异常备份链路,分别对备份链路的两条子链路进行质量监测,分别监测Link-(slave-master)及Link-(master-center)的链路状态。同一个汇聚节点下多条通信链路断开或故障,系统则重点检测Link-(master-center)的链路状态;个别备链路断开或故障,系统则分别检测Link-(slave-master)及Link-(master-center)的链路状态,进行综合判定。
另外,当监测到同一汇聚节点下的备用通信链路中断后,判定该汇聚节点-控制中心的链路系统存在异常。并执行:
步骤1:当前汇聚节点-控制中心通信链路子系统故障;
步骤2:判定相邻的汇聚节点-控制中心的链路状态;
步骤3:根据相邻两个节点的链路状态,选取其中一个邻汇聚节点进行通信;
步骤4:本汇聚节点的数据由邻汇聚节点进行转发;
步骤5:周期监测,如本端汇聚节点-控制中心通信链路子系统恢复后,切换至本端进行通信。
本实施例中,独立分发:将第一密钥通过主链路进行加密传输,分发至终端,将第二密钥通过备份链路进行加密传输,最终分发至终端;
交叉分发:将第一密钥通过备份链路进行加密传输,最终分发至终端,将第二密钥通过主链路进行加密传输,分发至终端;
单路分发:将第一密钥及第二密钥通过同一条链路进行加密传输,最终分发至终端。
独立分发表示量子密钥的分发链路和它被用于加密的链路相同,每种量子密钥与另一链路没有直接联系,交叉分发则与这一情况相反。
本实施例中,当主链路和备份链路的通讯质量都满足要求时,量子密钥的分发采用独立分发和交叉分发的形式交替进行;当其中一条链路的通讯质量不满足要求时,量子密钥的分发采用单路分发的形式。并且在条件允许的情况下不定时进行密钥分发工作模式的轮换。
在进行量子密钥的分发前,控制中心、终端、汇聚节点之间均从密码基础设施获取各自的公私密钥对,并将各自的公钥分发给其他对象。
本实施例中,控制中心执行的独立分发的过程包括:
第一密钥分发时,控制中心利用终端公钥,对第一密钥进行加密,并通过主链路进行传输后,由终端采用配对的非对称密钥即终端私钥进行解密,得到第一密钥;
第二密钥分发时,控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第一密钥依次进行解密,得到第二密钥。其中相同编号的第一密钥需在终端收到第一密钥后从中提取。
每种密钥各自在对应的链路中,根据链路的不同网络结构进行不同的加密传输,且保证备份链路各节点作为中转站时被加密量子密钥并不会被解密。
本实施例中,控制中心执行的交叉分发的过程包括:
第一密钥分发时,控制中心利用相同编号的第二密钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第一密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第二密钥依次进行解密,得到第一密钥;
第二密钥分发时,控制中心利用终端公钥,对第二密钥进行加密,并通过主链路进行传输后由终端采用配对的非对称密钥即终端私钥进行解密,得到第二密钥。
与独立分发镜像的分发方式,可以避免量子密钥在同一链路中既被传输又被用于加密,因此能够增加安全性。
本实施例中,控制中心执行的单路分发的过程包括:
采用主链路分发时,控制中心利用终端公钥加密第一密钥,将加密后的第一密钥通过主链路发送至终端,终端采用配对的非对称密钥即终端私钥解密得到第一密钥;同时控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过主链路传输至终端,终端采用同编号的第一密钥进行解密,得到第二密钥;
采用备份链路分发时:控制中心利用终端公钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用汇聚节点私钥,对已加密的第一密钥进行签名,并通过备份链路传输至子节点,终端从子节点读取数据,并采用汇聚节点公钥进行验证并利用终端私钥进行解密,得到第一密钥;控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用与终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用终端私钥和同编号的第一密钥依次进行解密,得到第二密钥。
即使在同一链路中,两种密钥的加密方式也不同,且备份链路的各节点均不具备将加密的密钥解密出来的条件,保证量子密钥安全传输至终端。
本实施例建立备份链路用于量子保密通信,备份链路采用点对多点(星型网络)及点对双邻节点(环形网络)结合的通信方式;主备链路的短间隔监测,通过校验数据计算上下行链路质量,并根据质量数据触发相应的切换;主链路异常后切换至备用线路,备份链路单个汇聚节点-控制中心链路异常后,将选择相邻的一个汇聚节点进行转发通信;备份链路和主用链路采用独立的通信密钥,并且采用独立分发及交叉分发进行组合的密钥分发工作模式,并引入不定时的轮换机制。
因此,本实施例的实质性效果包括:实现量子保密通信的链路备份,提供通信业务的连续性;备份链路的汇聚节点至控制中心采用与主链路不同的接入方式,进一步提高了通信系统的稳定性和可靠性;加入短间隔链路状态监测机制,链路异常或中断时发起链路切换;备用系统进行分段子链路监测,提高问题定位效率;主备链路采用两套独立的通信密钥,并采用了更为安全的密钥分发方式,可实现密钥的交叉分发及独立分发,并不定时进行密钥分发工作模式的轮换,较大的提高了密钥分发的安全性。
通过以上实施方式的描述,所属领域的技术人员可以了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中可以根据需要而将上述功能分配由不同的功能模块完成,即将具体装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
在本申请所提供的实施例中,应该理解到,所揭露的结构和方法,可以通过其它的方式实现。例如,以上所描述的关于结构的实施例仅仅是示意性的,例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个结构,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,结构或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
另外,在本申请实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:U盘、移动硬盘、只读存储器(read only memory,ROM)、随机存取存储器(random access memory,RAM)、磁碟或者光盘等各种可以存储程序代码的介质。
以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。
Claims (6)
1.应用于量子保密通信的备份链路系统,包括控制中心及通过主链路与控制中心连接的终端,其特征在于,还包括:
子节点,通过备份链路连接所述终端;
汇聚节点,通过备份链路连接控制中心及子节点;
量子密钥生成单元,连接控制中心,用于生成量子密钥并提供给控制中心;
其中,生成的量子密钥中包含了用于在主链路中加解密通信数据的第一密钥以及用于在备份链路中加解密通信数据的第二密钥;
所述控制中心根据主链路及备份链路的通讯质量,选择通信数据的传输链路及量子密钥分发使用的链路;所述控制中心在两种链路中,以独立分发、交叉分发或单路分发的方式分发所述第一密钥及第二密钥至终端;
进行独立分发、交叉分发或单路分发时,经过备份链路分发的量子密钥进行多级加密,通过汇聚节点及子节点中转后送至终端;经过主链路分发的量子密钥进行单级加密后直接送至终端;
所述控制中心在两种链路中以独立分发、交叉分发或单路分发的方式分发所述第一密钥及第二密钥的过程包括:
独立分发:将第一密钥通过主链路进行加密传输,分发至终端,将第二密钥通过备份链路进行加密传输,最终分发至终端;
交叉分发:将第一密钥通过备份链路进行加密传输,最终分发至终端,将第二密钥通过主链路进行加密传输,分发至终端;
单路分发:将第一密钥及第二密钥通过同一条链路进行加密传输,最终分发至终端;
所述控制中心执行的独立分发的过程包括:
第一密钥分发时,控制中心利用终端公钥,对第一密钥进行加密,并通过主链路进行传输后,由终端采用配对的非对称密钥即终端私钥进行解密,得到第一密钥;
第二密钥分发时,控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第一密钥依次进行解密,得到第二密钥,其中相同编号的第一密钥需在终端收到第一密钥后从中提取;
所述控制中心执行的交叉分发的过程包括:
第一密钥分发时,控制中心利用相同编号的第二密钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用终端公钥,对已加密的第一密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用配对的非对称密钥即终端私钥和同编号的第二密钥依次进行解密,得到第一密钥;
第二密钥分发时,控制中心利用终端公钥,对第二密钥进行加密,并通过主链路进行传输后由终端采用配对的非对称密钥即终端私钥进行解密,得到第二密钥;
所述控制中心执行的单路分发的过程包括:
采用主链路分发时,控制中心利用终端公钥加密第一密钥,将加密后的第一密钥通过主链路发送至终端,终端采用配对的非对称密钥即终端私钥解密得到第一密钥;同时控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过主链路传输至终端,终端采用同编号的第一密钥进行解密,得到第二密钥;
采用备份链路分发时:控制中心利用终端公钥对第一密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用汇聚节点私钥,对已加密的第一密钥进行签名,并通过备份链路传输至子节点,终端从子节点读取数据,并采用汇聚节点公钥进行验证并利用终端私钥进行解密,得到第一密钥;控制中心利用相同编号的第一密钥对第二密钥进行加密,并通过备份链路进行传输后由汇聚节点接收,汇聚节点利用与终端公钥,对已加密的第二密钥再次加密,并通过备份链路传输至子节点,终端从子节点读取数据,并采用终端私钥和同编号的第一密钥依次进行解密,得到第二密钥。
2.根据权利要求1所述的应用于量子保密通信的备份链路系统,其特征在于,所述主链路及备份链路的通讯质量通过以下步骤监测:
终端与控制中心各自生成一组校验数据,分别通过主链路及备份链路发送至对方;
控制中心及终端接收来自对方发来的校验数据后进行解析计算,得到上行链路的误码率及下行链路的误码率,并汇总误码率数据至控制中心;
如达到最大等待时间T-check,控制中心仍未收到终端发来的数据,则表示链路中断;
控制中心根据误码率以及链路是否中断判断通讯质量。
3.根据权利要求1所述的应用于量子保密通信的备份链路系统,其特征在于,当主链路和备份链路的通讯质量都满足要求时,量子密钥的分发采用独立分发和交叉分发的形式交替进行;当其中一条链路的通讯质量不满足要求时,量子密钥的分发采用单路分发的形式。
4.根据权利要求2所述的应用于量子保密通信的备份链路系统,其特征在于,当备份链路的通讯质量不满足要求时,所述汇聚节点进行异常定位,包括:
汇聚节点分别与控制中心及子节点执行通讯质量监测步骤,得到备份链路中的汇聚节点-控制中心链路以及汇聚节点-子节点链路的误码率并确认通讯是否中断;
根据对应的链路分段中的误码率及通讯是否中断,定位出异常所在的链路分段。
5.根据权利要求1所述的应用于量子保密通信的备份链路系统,其特征在于,所述汇聚节点之间通过备份链路相互连接,每个子节点连接一个指定的汇聚节点。
6.根据权利要求1所述的应用于量子保密通信的备份链路系统,其特征在于,所述备份链路与主链路采用不同的接入方式,包括:主链路采用无线通讯的接入方式,备份链路采用有线通讯的接入方式;或主链路采用有线通讯的接入方式,备份链路采用无线通讯的接入方式。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210094211.0A CN114124385B (zh) | 2022-01-26 | 2022-01-26 | 应用于量子保密通信的备份链路系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210094211.0A CN114124385B (zh) | 2022-01-26 | 2022-01-26 | 应用于量子保密通信的备份链路系统 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114124385A CN114124385A (zh) | 2022-03-01 |
| CN114124385B true CN114124385B (zh) | 2022-04-22 |
Family
ID=80361626
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210094211.0A Active CN114124385B (zh) | 2022-01-26 | 2022-01-26 | 应用于量子保密通信的备份链路系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114124385B (zh) |
Families Citing this family (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115834030A (zh) * | 2022-09-15 | 2023-03-21 | 国开启科量子技术(北京)有限公司 | 基于量子密钥的点对点通信方法及系统 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN208986950U (zh) * | 2018-11-12 | 2019-06-14 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统 |
| CN110289952A (zh) * | 2019-06-25 | 2019-09-27 | 湖北凯乐量子通信光电科技有限公司 | 一种量子数据链保密终端及保密通信网络 |
Family Cites Families (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2555466B1 (en) * | 2011-08-05 | 2014-07-02 | SELEX ES S.p.A. | System for distributing cryptographic keys |
| CN105827397B (zh) * | 2015-01-08 | 2019-10-18 | 阿里巴巴集团控股有限公司 | 基于可信中继的量子密钥分发系统、方法及装置 |
| US11627639B2 (en) * | 2015-01-26 | 2023-04-11 | Ievgen Verzun | Methods and apparatus for HyperSecure last mile communication |
| CN111404672B (zh) * | 2019-01-02 | 2023-05-09 | 中国移动通信有限公司研究院 | 量子密钥分发方法及装置 |
| CN111181717B (zh) * | 2019-11-11 | 2021-06-15 | 北京邮电大学 | 一种密钥分发方法及装置 |
-
2022
- 2022-01-26 CN CN202210094211.0A patent/CN114124385B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN208986950U (zh) * | 2018-11-12 | 2019-06-14 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络系统 |
| CN110289952A (zh) * | 2019-06-25 | 2019-09-27 | 湖北凯乐量子通信光电科技有限公司 | 一种量子数据链保密终端及保密通信网络 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114124385A (zh) | 2022-03-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110581763B (zh) | 一种量子密钥服务区块链网络系统 | |
| US6052466A (en) | Encryption of data packets using a sequence of private keys generated from a public key exchange | |
| EP2003812B1 (en) | Method and device for managing cryptographic keys in secret communications network | |
| CN112565230B (zh) | 软件定义物联网网络拓扑数据传输安全管理方法及系统 | |
| CN110753327B (zh) | 一种基于无线自组网和LoRa的终端物联接入系统 | |
| CN201830272U (zh) | 基于量子密钥的网络加密机 | |
| CN105409157A (zh) | 用于光网络的自适应业务加密 | |
| WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
| CN107248913B (zh) | 一种基于动态组网故障检测的量子密钥同步系统及方法 | |
| CN114375560A (zh) | 量子密钥分发方法、装置和系统 | |
| CN114124385B (zh) | 应用于量子保密通信的备份链路系统 | |
| CN108377188A (zh) | 一种用于特种应急自组网通信的量子加密系统 | |
| CN110383280A (zh) | 用于为时间感知的端到端分组流网络提供网络安全性的方法和装置 | |
| CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN112565285B (zh) | 一种适用于轨道交通的通信加密方法 | |
| CN112953710A (zh) | 基于可信中继的无线/有线混合qkd网络 | |
| CN101646172B (zh) | 一种分布式mesh网络中产生密钥的方法和装置 | |
| CN216391430U (zh) | 一种具有量子加密的配电自动化终端准入控制系统 | |
| JP2023157174A (ja) | 暗号通信システム、暗号通信装置および暗号通信方法 | |
| CN212115341U (zh) | 一种多类型量子保密通信网络兼容中心及系统 | |
| CN114362938A (zh) | 一种量子通信的密钥管理动态路由生成网络架构及方法 | |
| CN112311542B (zh) | 一种满足电力业务隔离需求的量子保密通信系统及方法 | |
| CN113517980B (zh) | 一种密钥处理方法、装置和存储介质 | |
| CN204119252U (zh) | 一种广域保护系统数据通信网络实时加密的装置 | |
| CN113395170B (zh) | 一种基于线性拓扑传输的智能机器人数据传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |