CN114697010A - 一种量子通信网络城域网及其分层组网方法 - Google Patents
一种量子通信网络城域网及其分层组网方法 Download PDFInfo
- Publication number
- CN114697010A CN114697010A CN202011626029.2A CN202011626029A CN114697010A CN 114697010 A CN114697010 A CN 114697010A CN 202011626029 A CN202011626029 A CN 202011626029A CN 114697010 A CN114697010 A CN 114697010A
- Authority
- CN
- China
- Prior art keywords
- quantum
- quantum key
- key
- user terminal
- management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 230000006854 communication Effects 0.000 title claims abstract description 77
- 238000004891 communication Methods 0.000 title claims abstract description 75
- 230000006855 networking Effects 0.000 title claims abstract description 43
- 238000000034 method Methods 0.000 title claims abstract description 30
- 230000004044 response Effects 0.000 claims description 10
- XLEYFDVVXLMULC-UHFFFAOYSA-N 2',4',6'-trihydroxyacetophenone Chemical compound CC(=O)C1=C(O)C=C(O)C=C1O XLEYFDVVXLMULC-UHFFFAOYSA-N 0.000 claims description 7
- 101100377506 Drosophila melanogaster 14-3-3zeta gene Proteins 0.000 claims description 7
- HATRDXDCPOXQJX-UHFFFAOYSA-N Thapsigargin Natural products CCCCCCCC(=O)OC1C(OC(O)C(=C/C)C)C(=C2C3OC(=O)C(C)(O)C3(O)C(CC(C)(OC(=O)C)C12)OC(=O)CCC)C HATRDXDCPOXQJX-UHFFFAOYSA-N 0.000 claims description 7
- 239000000126 substance Substances 0.000 claims description 6
- 230000006378 damage Effects 0.000 claims description 5
- 238000001514 detection method Methods 0.000 claims description 5
- 230000006870 function Effects 0.000 abstract description 40
- 230000009286 beneficial effect Effects 0.000 description 7
- 230000008569 process Effects 0.000 description 4
- 230000005540 biological transmission Effects 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 238000010586 diagram Methods 0.000 description 2
- 230000009467 reduction Effects 0.000 description 2
- 230000002457 bidirectional effect Effects 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 230000004069 differentiation Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 238000012545 processing Methods 0.000 description 1
- 238000012827 research and development Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0822—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using key encryption key
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种新型的量子通信网络城域网结构及其分层组网方法,其中,通过优化分层结构,使得管控中心设备不再需要为用户终端设备计算路由和下发路由表,从而在硬件和网络带宽不变的情况下允许接入更多的量子密钥管理机和用户终端设备。同时,通过简化用户终端设备的功能,可以降低用户终端设备的硬件配置,有利于降低量子通信网络城域网组网成本。此外,通过划分城域网组网层次,定义用户终端设备与量子密钥管理机的接口功能,有利于用户终端设备与量子密钥管理机之间接口的标准化,有利于不同厂家用户终端设备的混合组网。
Description
技术领域
本发明涉及量子通信领域,特别涉及一种量子通信网络城域网及其分层组网方法。
背景技术
在现有技术中,量子通信网络城域网被分为由中心控制层和网络设备层形成的两层结构,其中,中心控制层的管控中心设备直接与城域网的网络设备层中的所有量子密钥管理机和用户终端设备进行通信,例如图1所示的网络拓扑图那样。
在现有技术中,管控中心设备、量子密钥管理机、用户终端设备以及应用层设备被设计成实现以下功能。
管控中心设备:对接入量子通信网络的量子密钥分发设备(QKD设备)、量子密钥管理机、用户终端设备的入网认证,对量子密钥分发设备的启停控制,对量子密钥管理机和用户终端设备进行量子密钥中继时的路由计算、路由表下发,对量子密钥管理机和用户终端设备进行量子密钥输出时的管控。
量子密钥管理机:接收管控中心的管控指令,量子密钥管理机可下挂多台量子密钥分发设备,控制量子密钥分发,接收量子密钥分发设备上传的量子密钥,完成量子密钥的存储、量子密钥的中继,可向应用层设备输出量子密钥。
用户终端设备:用户终端设备作为一体机,同时具备量子密钥分发和量子密钥管理功能。一方面,配合其他QKD设备或用户终端设备实现量子密钥分发;另一方面,接收管控中心的管控指令,存储量子密钥,实现量子密钥的中继与量子密钥的输出。相比于量子密钥管理机,用户终端设备作为量子通信网络的末端,更多的面向最终用户,向应用层设备输出量子密钥。
应用层设备:对接最终用户,向量子密钥管理机、用户终端设备申请量子密钥,并使用量子密钥对用户传输的数据进行机密性和完整性保护。
现有技术中将所有的量子密钥管理机、用户终端设备直接与中心控制层的管控中心设备相连,造成量子通信网络城域网的层级区分不够清晰,由此存在以下主要缺点:
·中心控制层的管控中心设备业务处理压力大,限制了城域网组网规模的扩大。管控中心设备处理所有量子密钥管理机、用户终端设备的入网认证,处理所有量子密钥分发设备的启停控制,实现对量子密钥中继路径的计算和路由表的下发,完成对量子密钥输出的管控,尤其是密钥中继路径计算(或称密钥中继路由计算)和路由表下发,路由计算会占用大量的CPU资源,路由表下发会占用大量的带宽,严重限制了城域网组网规模的扩大。
·量子密钥管理机和用户终端设备功能重复,定位不清晰,不利于量子通信网络的城域网组网成本的降低。在已建的量子通信网络中,用户终端设备占组网设备的大部分,大概占75%以上,通过用户终端设备占组网设备比重,可知用户终端设备的组网成本是影响城域网建设成本的重要因素。而目前,量子密钥管理机和用户终端设备功能重复,二者均具备量子密钥中继、量子密钥存储以及量子密钥输出等功能,功能的重复导致设备成本和价格相差不大,不利于降低量子通信网络城域网组网成本。
·不利于不同厂家用户终端设备的混合组网,从长远看,对量子通信行业发展不利。目前,各量子通信设备生产商各自研发各自的用户终端设备,研发的用户终端设备都使用不同的通信接口,不同生产商的各用户终端设备之间、用户终端设备与量子密钥管理机之间以及用户终端设备与管控中心设备之间无法兼容通信,更谈不上混合组网。并且由于目前城域网组网层次不清,用户终端设备与用户终端设备之间、用户终端设备与量子密钥管理机之间以及用户终端设备与管控中心设备之间均需进行通信,不利于用户终端设备接口的标准化,从而导致不利于用户终端设备的混合组网,不利于降低量子通信设备生产商的研发成本,从长远看,不利于量子通信行业的发展。
发明内容
针对这一问题,本发明提出一种新的量子通信网络城域网结构及其分层组网方法,提供了一种城域网组网层级更清晰、允许更大组网规模、量子密钥管理机和用户终端设备功能定位更清晰、有利于不同用户终端设备之间混合组网的解决方案。
具体而言,本发明的第一方面涉及一种量子通信网络城域网,其包括中心控制层、接入层和用户层;其中,
所述用户层包括用户终端设备,其被设置用于实现量子密钥分发,以及根据管控指令存储量子密钥和输出量子密钥,但不用于中继量子密钥;
所述接入层包括量子密钥管理机,其被设置用于控制量子密钥分发,以及根据所述管控指令存储量子密钥、中继量子密钥和向所述用户终端设备输出量子密钥;
所述中心控制层包括管控中心设备,其被设置用于量子密钥分发设备的启停控制,输出所述管控指令以进行量子密钥输出管控,以及在所述量子密钥管理机中继量子密钥时计算路由和下发路由表。
进一步地,所述量子密钥管理机的北向接口和南向接口分别连接所述管控中心设备和所述用户终端设备,所述用户终端设备的北向接口和南向接口分别连接所述量子密钥管理机和应用层设备。
优选地,所述用户终端设备与所述量子密钥管理机之间设置有用于实现设备管理功能、量子密钥分发启停控制功能、量子密钥存储功能、以及量子密钥输出功能的接口;
所述设备管理功能包括设备认证入网、设备握手、设备离网、以及心跳侦测中的一个或多个;
所述量子密钥分发启停控制功能包括量子密钥分发开始、量子密钥分发停止、以及异常上报中的一个或多个;
所述量子密钥存储功能包括上报密钥量;
所述量子密钥输出功能包括应用层设备入网、应用层设备离网、用户密钥会话建立申请、用户密钥会话建立通知、以及用户密钥会话销毁中的一个或多个。
进一步,仅在所述管控中心设备与所述量子密钥管理机之间,以及在所述用户终端设备与所述量子密钥管理机之间进行THAP认证。
进一步地,所述量子密钥管理机被进一步设置用于所述管控中心设备与所述用户终端设备之间的数据转发;以及/或者,所述量子密钥管理机被进一步设置用于向所述管控中心设备发送自身认证入网数据,以及转发与其连接的所述用户终端设备的认证入网数据。
进一步地,所述量子密钥管理机根据通信协议中的设备开始ID和设备目的ID,确定所述数据转发的对象。
进一步地,所述管控中心设备被设置成根据设备类型确定是否计算路由和下发路由表;以及/或者,所述量子密钥管理机根据所述路由表中继量子密钥。
本发明的第二方面涉及一种量子通信网络城域网分层组网方法,其将所述量子通信网络城域网分为中心控制层、接入层和用户层,并且分别将管控中心设备、量子密钥管理机和用户终端设备部署于所述中心控制层、所述接入层和所述用户层;其中,
所述用户层用于实现量子密钥分发,以及根据管控指令存储量子密钥和输出量子密钥,但不用于中继量子密钥;
所述接入层用于控制量子密钥分发,以及根据所述管控指令存储量子密钥、中继量子密钥和向所述用户终端设备输出量子密钥;
所述中心控制层用于量子密钥分发设备的启停控制,输出所述管控指令以进行量子密钥输出管控,以及在所述量子密钥管理机中继量子密钥时计算路由和下发路由表。
进一步地,在进行安全认证时,分别在所述管控中心设备与所述量子密钥管理机之间以及在所述用户终端设备与所述量子密钥管理机之间,进行THAP认证。
进一步地,该量子通信网络城域网分层组网方法还可以包括所述量子密钥管理机向所述管控中心设备发送自身认证入网数据,以及转发与其连接的所述用户终端设备的认证入网数据的步骤。
更进一步地,利用所述量子密钥管理机实现所述用户终端设备与所述管控中心设备之间的数据通信;并且,在进行所述数据通信时,还包括在通信协议的设备开始ID和设备目的ID中填写发送方的ID和接收方的设备ID的步骤。
进一步地,其中,连接第一用户终端设备的第一应用层设备与连接第二用户终端设备的第二应用层设备之间的量子密钥输出业务包括以下步骤,所述第一和第二用户终端设备分别连接第一和第二量子密钥管理机:
认证入网步骤,其用于实现所述第一和第二应用层设备在所述管控中心设备中的认证入网;
用户密钥会话建立步骤,其用于在所述第一和第二应用层设备之间建立用户密钥会话;
密钥申请步骤,其用于由所述第一和第二应用层设备分别向所述第一和第二量子密钥管理机提出会话密钥申请;
密钥获取步骤,其用于由所述第一和第二量子密钥管理机响应于所述会话密钥申请,将所述会话密钥发送给所述第一和第二应用层设备。
更进一步地,在所述认证入网步骤中,所述第一应用层设备通过所述第一用户终端设备和所述第一量子密钥管理机向所述管控中心设备进行认证入网,所述第二应用层设备通过所述第二用户终端设备和所述第二量子密钥管理机向所述管控中心设备进行认证入网;并且,所述第一量子密钥管理机将所述第一应用层设备的认证入网消息中所述第一应用层设备的归属设备ID,修改为所述第一量子密钥管理机,所述第二量子密钥管理机将所述第二应用层设备的认证入网消息中所述第二应用层设备的归属设备ID,修改为所述第二量子密钥管理机;
在所述用户密钥会话建立步骤中,所述第一应用层设备通过所述第一用户终端设备和所述第一量子密钥管理机向所述管控中心设备发送用户密钥会话建立申请消息,其中,所述第一量子密钥管理机将所述用户密钥会话建立申请消息中所述第一应用层设备的归属设备ID修改为所述第一量子密钥管理机;所述管控中心设备根据所述用户密钥会话建立申请消息,向所述第二应用层设备发送用户密钥会话建立通知消息;所述第二应用层设备向所述管控中心设备返回用户密钥会话建立通知响应消息;所述管控中心设备基于所述用户密钥会话建立通知响应消息,向所述第一应用层设备返回用户密钥会话建立响应消息,反馈用户密钥会话建立成功;
在所述密钥申请步骤中,所述第一和第二应用层设备分别通过所述第一和第二用户终端设备向所述第一和第二量子密钥管理机提出所述会话密钥申请;
在所述密钥获取步骤中,所述第一和第二量子密钥管理机借助量子密钥中继获得所述会话密钥,并由所述第一和第二量子密钥管理机分别利用其与所述第一和第二用户终端设备之间的共享量子密钥以加密的方式将所述会话密钥发送给所述第一和第二用户终端设备,所述第一和第二用户终端设备分别将所述会话密钥发送给所述第一和第二应用层设备。
进一步地,该量子通信网络城域网分层组网方法还可以包括在所述用户终端设备与所述量子密钥管理机之间定义接口的步骤;其中,
所述接口被定义用于实现设备管理功能、量子密钥分发启停控制功能、量子密钥存储功能、及量子密钥输出功能;
所述设备管理功能包括设备认证入网、设备握手、设备离网、以及心跳侦测中的一个或多个;
所述量子密钥分发启停控制功能包括量子密钥分发开始、量子密钥分发停止、以及异常上报中的一个或多个;
所述量子密钥存储功能包括上报密钥量;
所述量子密钥输出功能包括应用层设备入网、应用层设备离网、用户密钥会话建立申请、用户密钥会话建立通知、以及用户密钥会话销毁中的一个或多个。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示出了现有技术的量子通信网络城域网的网络拓扑示意图;
图2示出了根据本发明的量子通信网络城域网的网络拓扑示意图;
图3示出了根据本发明的量子通信网络城域网中量子密钥管理机和用户终端设备的功能;
图4示出了根据本发明的分层组网方法组成的量子通信网络城域网的一个示例;
图5示出了根据本发明的分层组网方法组成的量子通信网络城域网中的数据通信过程的一个示例;
图6示出了根据本发明的分层组网方法组成的量子通信网络城域网中量子密钥输出业务的一个示例。
具体实施方式
在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
图2示出了根据本发明的量子通信网络城域网的网络拓扑示意图。如图2所示,量子通信网络城域网可以被分为由中心控制层、接入层和用户层构成的三层结构,其中:管控中心设备部署在中心控制层;量子密钥管理机部署在接入层,且其北向接口与中心控制层的管控中心设备相连,其南向接口与用户层的用户终端设备相连;用户终端设备部署在用户层,且其北向接口连接接入层的量子密钥管理机,其南向接口与应用层设备相连。
图3示出了根据本发明的量子通信网络城域网中量子密钥管理机和用户终端设备的功能。
如图3所示,中心控制层(管控中心设备)将用于负责城域网中量子密钥分发设备(其可以下挂于量子密钥管理机上)的启停控制,生成管控指令以进行量子密钥输出管控,以及在量子密钥管理机进行量子密钥中继时计算中继路由和下发路由表。其中,由于量子密钥中继功能仅由量子密钥管理机完成,因此,中心控制层将不用如现有技术那样在用户终端设备执行量子密钥中继时承担中继路由计算和路由表下发任务。
在本发明中,量子密钥的中继将在接入层中由量子密钥管理机完成,用户层将不再承担量子密钥中继任务。因此,接入层(量子密钥管理机)将用于控制其下挂的量子密钥分发设备的量子密钥分发,根据管控指令执行量子密钥的中继,量子密钥的存储,以及量子密钥的输出等功能。
用户层(用户终端设备)将用于实现量子密钥分发,以及根据管控指令存储量子密钥,向下挂的应用层设备提供量子密钥输出等功能。
由此可见,借助本发明所提出的三层网络结构及各层功能的划分,使得用户终端设备可以专注于面向最终用户,提供量子密钥输出服务,简化了用户终端设备的功能,因此允许降低用户终端设备的硬件配置,有利于降低量子通信网络城域网的组网成本;同时,管控中心设备无需连接用户终端设备并为其计算路由和下发路由表,可以降低管控中心设备的硬件和网络资源占用,在硬件和网络资源不变的情况下允许更多量子通信网络城域网中接入更多的量子密钥管理机和用户终端设备。
进一步地,在本发明中,为了实现对用户终端设备的设备管理、量子密钥分发的启停控制、量子密钥存储和量子密钥输出,用户终端设备与量子密钥管理机之间的接口可以被设置用于实现设备管理功能、量子密钥分发启停控制功能、量子密钥存储功能、及量子密钥输出功能。
作为优选示例,设备管理功能可以包括设备认证入网、设备握手、设备离网和心跳侦测。量子密钥分发启停控制功能可以包括量子密钥分发开始、量子密钥分发停止和异常上报。量子密钥存储功能可以包括上报密钥量。量子密钥输出功能可以包括应用层设备入网、应用层设备离网和用户密钥会话建立申请、用户密钥会话创建通知及用户密钥会话销毁。
图4示出了根据本发明的分层组网方法组成的量子通信网络城域网的一个示例,用于说明安全认证过程。
如图4所示,管控中心设备仅需与量子密钥管理机建立TCP链接并进行THAP认证(即,Three-way Handshake Authentication Protocol,三次握手认证协议,量子通信网络设备之间基于共享密钥进行双向身份认证、建立安全通道、保证传输数据机密性和完整性的协议),不再需要与用户终端设备建立TCP链接并进行THAP认证,从而节省了管控中心设备的硬件和网络资源。
用户终端设备与量子密钥管理机之间仍然保持TCP链接,且需要进行THAP认证。
图5示出了根据本发明的分层组网方法组成的量子通信网络城域网中的数据通信过程的一个示例。
如图5所示,管控中心设备不再与用户终端之间直接进行数据通信,而是通过用户终端设备接入的量子密钥管理机进行数据转发,来实现用户终端设备和管控中心设备之间的数据通信。
在本发明中,由于管控中心设备下接入有多台量子密钥管理机,同时每台量子密钥管理机下可能也接入有多个用户终端设备,因此,在实现管控中心设备与用户终端设备之间的数据通信时,管控中心设备需要能够识别用户终端设备与量子密钥管理机的接入关系,以便确定合适的转发路径,即用于提供数据转发的量子密钥管理机。
因此,在本发明中,量子密钥管理机需要向管控中心设备发送自身的认证入网数据,以及其接入的用户终端设备的认证入网数据。基于上述认证入网数据,管控中心设备可以识别用户终端设备与量子密钥管理机的接入关系,从而知晓通过哪台量子密钥管理机向用户终端设备转发数据。
在此基础上,用户终端设备和管控中心设备在发送数据时,可以在通信协议中填写设备开始ID和设备目的ID,由此便于量子密钥管理机确定数据转发的对象。
例如,用户终端设备通过量子密钥管理机向管控中心设备发送数据时,可以在通信协议中的设备开始ID处填写本设备的ID,在目的ID处填写管控中心设备的ID,确保数据可以通过量子密钥管理机向管控中心设备进行转发。管控中心设备在向用户终端设备发送数据时,可以在通信协议中的设备开始ID处填写本设备的ID,在目的ID处填写用户终端设备的ID。
相应地,量子密钥管理机可以根据通信协议中的设备开始ID和设备目的ID,确定数据转发方向,即向管控中心设备转发还是向用户终端设备转发。例如,当目的ID是用户终端设备,开始ID为管控中心设备时,向用户终端设备转发;当目的ID为管控中心设备,开始ID为用户终端设备ID时,向管控中心设备转发。
进一步地,在量子通信网络城域网中,量子密钥管理机包括两种设备类型,即可信中继节点型和接入节点型,用户终端设备的设备类型为用户节点型。量子密钥管理机和用户终端设备在向管控中心设备发送认证入网数据时,会将本设备类型告知管控中心设备,管控中心设备则可以根据设备类型,为可信中继节点和接入节点类型的设备计算路由和下发路由表,而不再为用户节点类型的设备计算路由和下发路由表。
图6示出了根据本发明的分层组网方法组成的量子通信网络城域网中量子密钥输出业务的一个示例。
如图6所示,当应用层设备1与应用层设备3之间要进行量子密钥输出业务时,首先需要执行认证入网步骤,用于实现应用层设备在量子通信网络城域网中的认证入网。
在认证入网步骤中,应用层设备1和应用层设备3首先分别通过其上层的用户终端设备和量子密钥管理机向管控中心设备进行认证入网。量子密钥管理机将应用层设备的认证入网视为直接挂载在其自身下的应用层设备的认证入网,并修改应用层设备认证入网消息中应用层设备归属设备的ID为量子密钥管理机,完成应用层设备的认证入网。
随后,执行用户密钥会话建立步骤,用于在应用层设备之间建立用户密钥会话。
在用户密钥会话建立步骤中,作为主叫方的应用层设备1通过其上层的用户终端设备和量子密钥管理机向管控中心设备发送关于应用层设备3的用户密钥会话建立申请消息,其中,量子密钥管理机修改用户密钥会话建立申请消息中应用层设备归属设备的ID为量子密钥管理机,此时,应用层设备可视为直接挂载在量子密钥管理机下的设备。
管控中心设备接收到用户密钥会话建立申请消息后,向作为被叫方的应用层设备3发送用户密钥会话建立通知消息,被叫方接收到消息后,向管控中心设备返回用户密钥会话建立通知响应消息,管控中心设备接收到消息后,向主叫方返回用户密钥会话建立响应消息,反馈用户密钥会话建立成功。
接着,执行密钥申请步骤,用于由应用层设备向所属的量子密钥管理机申请会话密钥。
在密钥申请步骤中,应用层设备1和应用层设备3分别通过各自的用户终端设备向相应的量子密钥管理机申请会话密钥。
最后,执行密钥获取步骤,用于由量子密钥管理机将会话密钥发送给应用层设备。
在密钥获取步骤中,首先在量子密钥管理机A和量子密钥管理机B之间进行量子密钥中继过程以获得会话密钥,并由量子密钥管理机将中继的会话密钥通过量子密钥管理机与用户终端设备之间的共享量子密钥进行加密传输,发送到用户终端设备,用户终端设备再将会话密钥发送到应用层设备,从而完成量子密钥的输出。
借助本发明的量子通信网络城域网及其分层组网方法,中心控制层的管控中心设备不再需要为用户终端设备计算路由和下发路由表,使得在管控中心设备的CPU\内存\硬盘等硬件设施不变、网络带宽不变的情况下,管控中心设备允许接入的量子密钥管理机和用户终端设备数量可大大增加。同时,简化了用户终端设备的功能,从而降低了用户终端设备的硬件配置,有利于降低量子通信网络城域网组网成本。此外,通过划分城域网组网层次,定义用户终端设备与量子密钥管理机的接口功能,有利于用户终端设备与量子密钥管理机之间接口的标准化,有利于不同厂家用户终端设备的混合组网。
尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本发明的精神和范围。
Claims (14)
1.一种量子通信网络城域网,其包括中心控制层、接入层和用户层;其中,
所述用户层包括用户终端设备,其被设置用于实现量子密钥分发,以及根据管控指令存储量子密钥和输出量子密钥,但不用于中继量子密钥;
所述接入层包括量子密钥管理机,其被设置用于控制量子密钥分发,以及根据所述管控指令存储量子密钥、中继量子密钥和向所述用户终端设备输出量子密钥;
所述中心控制层包括管控中心设备,其被设置用于量子密钥分发设备的启停控制,输出所述管控指令以进行量子密钥输出管控,以及在所述量子密钥管理机中继量子密钥时计算路由和下发路由表。
2.如权利要求1所述的量子通信网络城域网,其中,所述量子密钥管理机的北向接口和南向接口分别连接所述管控中心设备和所述用户终端设备,所述用户终端设备的北向接口和南向接口分别连接所述量子密钥管理机和应用层设备。
3.如权利要求1所述的量子通信网络城域网,其中,所述用户终端设备与所述量子密钥管理机之间设置有用于实现设备管理功能、量子密钥分发启停控制功能、量子密钥存储功能、以及量子密钥输出功能的接口;
所述设备管理功能包括设备认证入网、设备握手、设备离网、以及心跳侦测中的一个或多个;
所述量子密钥分发启停控制功能包括量子密钥分发开始、量子密钥分发停止、以及异常上报中的一个或多个;
所述量子密钥存储功能包括上报密钥量;
所述量子密钥输出功能包括应用层设备入网、应用层设备离网、用户密钥会话建立申请、用户密钥会话建立通知、以及用户密钥会话销毁中的一个或多个。
4.如权利要求1所述的量子通信网络城域网,其中,仅在所述管控中心设备与所述量子密钥管理机之间,以及在所述用户终端设备与所述量子密钥管理机之间进行THAP认证。
5.如权利要求1所述的量子通信网络城域网,其中,所述量子密钥管理机被进一步设置用于所述管控中心设备与所述用户终端设备之间的数据转发;以及/或者,
所述量子密钥管理机被进一步设置用于向所述管控中心设备发送自身认证入网数据,以及转发与其连接的所述用户终端设备的认证入网数据。
6.如权利要求5所述的量子通信网络城域网,其中,所述量子密钥管理机根据通信协议中的设备开始ID和设备目的ID,确定所述数据转发的对象。
7.如权利要求1所述的量子通信网络城域网,其中,所述管控中心设备被设置成根据设备类型确定是否计算路由和下发路由表;以及/或者,所述量子密钥管理机根据所述路由表中继量子密钥。
8.一种量子通信网络城域网分层组网方法,其将所述量子通信网络城域网分为中心控制层、接入层和用户层,并且分别将管控中心设备、量子密钥管理机和用户终端设备部署于所述中心控制层、所述接入层和所述用户层;其中,
所述用户层用于实现量子密钥分发,以及根据管控指令存储量子密钥和输出量子密钥,但不用于中继量子密钥;
所述接入层用于控制量子密钥分发,以及根据所述管控指令存储量子密钥、中继量子密钥和向所述用户终端设备输出量子密钥;
所述中心控制层用于量子密钥分发设备的启停控制,输出所述管控指令以进行量子密钥输出管控,以及在所述量子密钥管理机中继量子密钥时计算路由和下发路由表。
9.如权利要求8所述的量子通信网络城域网分层组网方法,其中,在进行安全认证时,分别在所述管控中心设备与所述量子密钥管理机之间以及在所述用户终端设备与所述量子密钥管理机之间,进行THAP认证。
10.如权利要求8所述的量子通信网络城域网分层组网方法,其还包括所述量子密钥管理机向所述管控中心设备发送自身认证入网数据,以及转发与其连接的所述用户终端设备的认证入网数据的步骤。
11.如权利要求10所述的量子通信网络城域网分层组网方法,其中,利用所述量子密钥管理机实现所述用户终端设备与所述管控中心设备之间的数据通信;并且,
在进行所述数据通信时,还包括在通信协议的设备开始ID和设备目的ID中填写发送方的ID和接收方的设备ID的步骤。
12.如权利要求8所述的量子通信网络城域网分层组网方法,其中,连接第一用户终端设备的第一应用层设备与连接第二用户终端设备的第二应用层设备之间的量子密钥输出业务包括以下步骤,所述第一和第二用户终端设备分别连接第一和第二量子密钥管理机:
认证入网步骤,其用于实现所述第一和第二应用层设备在所述管控中心设备中的认证入网;
用户密钥会话建立步骤,其用于在所述第一和第二应用层设备之间建立用户密钥会话;
密钥申请步骤,其用于由所述第一和第二应用层设备分别向所述第一和第二量子密钥管理机提出会话密钥申请;
密钥获取步骤,其用于由所述第一和第二量子密钥管理机响应于所述会话密钥申请,将所述会话密钥发送给所述第一和第二应用层设备。
13.如权利要求12所述的量子通信网络城域网分层组网方法,其中:
在所述认证入网步骤中,所述第一应用层设备通过所述第一用户终端设备和所述第一量子密钥管理机向所述管控中心设备进行认证入网,所述第二应用层设备通过所述第二用户终端设备和所述第二量子密钥管理机向所述管控中心设备进行认证入网;并且,所述第一量子密钥管理机将所述第一应用层设备的认证入网消息中所述第一应用层设备的归属设备ID,修改为所述第一量子密钥管理机,所述第二量子密钥管理机将所述第二应用层设备的认证入网消息中所述第二应用层设备的归属设备ID,修改为所述第二量子密钥管理机;
在所述用户密钥会话建立步骤中,所述第一应用层设备通过所述第一用户终端设备和所述第一量子密钥管理机向所述管控中心设备发送用户密钥会话建立申请消息,其中,所述第一量子密钥管理机将所述用户密钥会话建立申请消息中所述第一应用层设备的归属设备ID修改为所述第一量子密钥管理机;所述管控中心设备根据所述用户密钥会话建立申请消息,向所述第二应用层设备发送用户密钥会话建立通知消息;所述第二应用层设备向所述管控中心设备返回用户密钥会话建立通知响应消息;所述管控中心设备基于所述用户密钥会话建立通知响应消息,向所述第一应用层设备返回用户密钥会话建立响应消息,反馈用户密钥会话建立成功;
在所述密钥申请步骤中,所述第一和第二应用层设备分别通过所述第一和第二用户终端设备向所述第一和第二量子密钥管理机提出所述会话密钥申请;
在所述密钥获取步骤中,所述第一和第二量子密钥管理机借助量子密钥中继获得所述会话密钥,并由所述第一和第二量子密钥管理机分别利用其与所述第一和第二用户终端设备之间的共享量子密钥以加密的方式将所述会话密钥发送给所述第一和第二用户终端设备,所述第一和第二用户终端设备分别将所述会话密钥发送给所述第一和第二应用层设备。
14.如权利要求8所述的量子通信网络城域网分层组网方法,其还包括在所述用户终端设备与所述量子密钥管理机之间定义接口的步骤;其中,
所述接口被定义用于实现设备管理功能、量子密钥分发启停控制功能、量子密钥存储功能、及量子密钥输出功能;
所述设备管理功能包括设备认证入网、设备握手、设备离网、以及心跳侦测中的一个或多个;
所述量子密钥分发启停控制功能包括量子密钥分发开始、量子密钥分发停止、以及异常上报中的一个或多个;
所述量子密钥存储功能包括上报密钥量;
所述量子密钥输出功能包括应用层设备入网、应用层设备离网、用户密钥会话建立申请、用户密钥会话建立通知、以及用户密钥会话销毁中的一个或多个。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011626029.2A CN114697010A (zh) | 2020-12-30 | 2020-12-30 | 一种量子通信网络城域网及其分层组网方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202011626029.2A CN114697010A (zh) | 2020-12-30 | 2020-12-30 | 一种量子通信网络城域网及其分层组网方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114697010A true CN114697010A (zh) | 2022-07-01 |
Family
ID=82135100
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202011626029.2A Pending CN114697010A (zh) | 2020-12-30 | 2020-12-30 | 一种量子通信网络城域网及其分层组网方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114697010A (zh) |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330434A (zh) * | 2015-06-23 | 2017-01-11 | 中兴通讯股份有限公司 | 第一量子节点、第二量子节点、安全通信架构系统及方法 |
| CN108880800A (zh) * | 2018-07-03 | 2018-11-23 | 北京智芯微电子科技有限公司 | 基于量子保密通信的配用电通信系统及方法 |
| CN111934866A (zh) * | 2020-08-14 | 2020-11-13 | 国科量子通信网络有限公司 | 量子通信网络的多层路径自动还原方法及其系统 |
-
2020
- 2020-12-30 CN CN202011626029.2A patent/CN114697010A/zh active Pending
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106330434A (zh) * | 2015-06-23 | 2017-01-11 | 中兴通讯股份有限公司 | 第一量子节点、第二量子节点、安全通信架构系统及方法 |
| CN108880800A (zh) * | 2018-07-03 | 2018-11-23 | 北京智芯微电子科技有限公司 | 基于量子保密通信的配用电通信系统及方法 |
| CN111934866A (zh) * | 2020-08-14 | 2020-11-13 | 国科量子通信网络有限公司 | 量子通信网络的多层路径自动还原方法及其系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US6427071B1 (en) | Apparatus and method for providing transporting for a control signal | |
| US9654287B2 (en) | Mobile secret communications method based on quantum key distribution network | |
| CN114402574A (zh) | 用于提供多租户软件定义的广域网(sd-wan)节点的方法、系统和计算机可读介质 | |
| EP4247049A1 (en) | Data processing method, network element device, and readable storage medium | |
| US20100002722A1 (en) | Automatic signaling method and device for telecommunication services | |
| CN103036784A (zh) | 用于自组织二层企业网络架构的方法和装置 | |
| CN108270823A (zh) | 一种服务提供方法、装置和系统 | |
| US20030137976A1 (en) | Method and apparatus for IP based metered service on demands network | |
| CN114553422B (zh) | VoLTE语音加密通信方法、终端及系统 | |
| CN111612466A (zh) | 一种共识和资源传输方法、设备及存储介质 | |
| CN101433025A (zh) | 在不都支持安全媒体的两个端点间建立通信会话的系统和方法 | |
| CN103166849A (zh) | IPSec VPN互联组网路由收敛的方法及路由设备 | |
| CN106464596A (zh) | 开放流通信方法、系统、控制器和业务网关 | |
| WO2018103665A1 (zh) | 基于l2tp的设备管理方法、设备及系统 | |
| EP4246936A1 (en) | Data processing method, function device and readable storage medium | |
| CN108141743B (zh) | 处置通信交换的方法、网络、装备、系统、介质和装置 | |
| CN112367252A (zh) | 容灾备份的实现方法及装置 | |
| CN114697010A (zh) | 一种量子通信网络城域网及其分层组网方法 | |
| CN102316086A (zh) | 业务数据的中继方法及中继节点系统 | |
| CN101997724A (zh) | 一种更新组播转发条目的方法及装置 | |
| CN107113230B (zh) | 确定通用路由封装gre隧道标识的方法、设备和系统 | |
| CN108307401A (zh) | 建立通信连接的方法、装置及通信设备 | |
| JP3597776B2 (ja) | 通信網の品質制御管理システム | |
| CN115883256B (zh) | 基于加密隧道的数据传输方法、装置及存储介质 | |
| CN110572317B (zh) | 电信网络中实现动态arp热备份的方法及系统 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |