CN114978477A - 一种基于物理系统的开放式密钥分发网络架构 - Google Patents
一种基于物理系统的开放式密钥分发网络架构 Download PDFInfo
- Publication number
- CN114978477A CN114978477A CN202110189920.2A CN202110189920A CN114978477A CN 114978477 A CN114978477 A CN 114978477A CN 202110189920 A CN202110189920 A CN 202110189920A CN 114978477 A CN114978477 A CN 114978477A
- Authority
- CN
- China
- Prior art keywords
- key
- module
- service
- layer
- exchange
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于物理系统的开放式密钥分发网络架构,其中从纵向来看,分为控制平面和业务平面,控制平面不涉及密钥,业务平面不涉及控制信令;从横向来看,采用密钥生产层、密钥交换层和密钥服务层分离的三层架构,密钥生成层、密钥交换层、密钥服务层分别实现相邻节点、跨节点和端到端的密钥生产、分发和输出,从而实现更加清晰的逻辑切割。
Description
技术领域
本发明涉及保密通信技术领域,具体涉及一种基于物理系统的开放式密钥分发网络架构。
背景技术
量子密钥分发(下简称QKD)是利用量子系统来进行信息的制备、传输、接收以及提纯来得到物理原理上不会被别人窃取的安全对称密钥,这个过程可以保证通讯双方所获得的密钥是完全一致的,并且任何第三方都无法获得任何关于密钥的信息。光纤量子密钥分发系统的发送方需要发送量子光、同步光至接受方,同时双方需要相互发送数据进行密钥协商。
图1示出了现有量子保密通信网络架构。如图1所示,该量子保密通信网络架构包括量子密钥分发网络和用户网络两部分,其中,量子密钥分发网络又包括量子层、密钥管理层、QKDN控制层和QKDN网管层,用户网络又包括应用层和用户网络网管层。并且,在该网络架构中,量子层与密钥管理层、QKDN网管层、QKDN控制层之间均设置有接口,密钥管理层与量子层、QKD网管层、QKDN控制层、应用层之间均设置有接口,QKDN控制层与量子层、密钥管理层、QKDN网管层之间均设置有接口。由此可见,该网络中各个功能层之间存在强耦合关系,整个网络层次不清晰,最终会导致出现以下问题:
1、网络升级维护困难,任一层次模块的变动会影响很多不同层次模块之间的接口。
2、不同厂商之间的兼容性差。每个厂商都有各自的设备控制和密钥交换体系,可能会有分布式控制的体系,而在当前网络架构下只能由QKDN控制器集中控制,这会导致不同厂商之间的对接困难。
3、经典IP承载网络的安全设计难度高,成本高。由于密钥分发网络层次不清晰,所以密钥和控制信息无法很好的分离,所依托的经典IP承载网络也很难进行安全域的划分和做针对性的保护。攻击者单点突破系统的经典IP网络后,往往在各个层次之间随意的攻击。而且QKDN控制器作为网络大脑,可以同时控制密钥管理层和量子层,是重点被攻击的对象,一旦被攻击则后果较为严重。
此外,现有网络架构是基于量子密钥分发设计的,没有纳入例如WCKG技术等其他可能的安全密钥分发技术。特别是基于QKD的密钥分发网络都是固定节点进行设计和提供服务的,不能满足例如移动节点接入需求,导致网络应用扩展能力不足。并且,现有网络架构中用户和设备是绑定关系,即用户只能沟通指定的设备接入密钥分发网络,则基于这个设备进行密钥分发和交换。但是真实的用户或者应用可能会更换设备,在不同的节点接入网络并申请密钥,因此,现有网络架构实际上并不能满足真实应用场景的需求。
发明内容
针对上述问题,本发明提出了一种基于物理系统的开放式密钥分发网络架构,其中从纵向来看,分为控制平面和业务平面,控制平面不涉及密钥,业务平面不涉及控制信令;从横向来看,采用密钥生产层、密钥交换层和密钥服务层分离的三层架构,密钥生成层、密钥交换层、密钥服务层分别实现相邻节点、跨节点和端到端的密钥生产、分发和输出,从而实现更加清晰的逻辑切割。
具体而言,本发明涉及一种基于物理系统的开放式密钥分发网络架构,其分为业务平面、控制平面和用户平面,且包括密钥生产层、密钥交换层、密钥服务层和密钥应用层,其中:
所述密钥生产层用于产生点对点的密钥;
所述密钥交换层用于实现密钥的网络化分发;
所述密钥服务层用于实现用户认证、鉴权和策略管理、以及供给密钥;
所述密钥应用层包括使用密钥的用户应用或设备;
所述密钥生产层、密钥交换层和密钥服务层均分为所述业务平面和所述控制平面,其中:所述业务平面定义为承担密钥生产、密钥交换和密钥服务功能,所述控制平面定义成对所述业务平面中的功能模块进行控制,但不涉及密钥本身;并且,所述密钥应用层构成所述用户平面。
进一步地,在所述密钥生产层中,所述业务平面被定义用于实现物理信号收发、时间同步、密钥数据协商、密钥输出、链路交换功能,所述控制平面被定义用于实现生产控制策略、链路切换策略、状态监控功能;
在所述密钥交换层中,所述业务平面被定义用于实现密钥输入、密钥存储、密钥中继、密钥输出、路由寻址功能,所述控制平面被定义用于实现位置服务、路由控制、跨域结算功能;
在所述密钥服务层中,所述业务平面被定义用于实现用户注册、密钥输入、密钥存储、密钥输出功能,所述控制平面被定义用于实现用户授权鉴权、策略管理、状态监控、计费管理功能。
进一步地,在所述业务平面上,仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口,以实现密钥的传输;
在所述控制平面上,仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口,以实现请求和控制信息及数据的传输;
在所述密钥生产层、密钥交换层和密钥服务层中的每一个内,在所述业务平面与控制平面之间设置接口,以实现数据及控制信息的交互;并且,
在所述密钥生产层和密钥交换层的业务平面上分别设置有用于与相邻节点进行数据交互的接口。
更进一步地,所述密钥生产层的业务平面设有密钥生产模块和物理层链路模块,所述密钥生产层的控制平面设有生产管控模块,所述密钥生产模块用于依据密钥分发协议生成密钥,所述生产管控模块包括生产网元管控模块和链路网元管控模块;
所述密钥交换层的业务平面设有密钥交换模块,所述密钥交换层的控制平面设有交换管控模块,所述密钥交换模块用于接收和管理由所述密钥生成模块生成的密钥并对其进行中继;
所述密钥服务层的业务平面设有用户服务模块,所述密钥服务层的控制平面设有服务管控模块,所述用户服务模块用于接收和管理来自所述密钥交换模块的密钥,并为所述密钥应用层提供端对端密钥服务。
再进一步地,所述密钥生产模块包括信号制备探测模块、时间同步模块、数据协商模块、密钥输出模块、随机数模块、生产网元管理模块;
所述信号制备探测模块用于与相邻节点的信号制备探测模块通信,实现物理信号的制备、发送和探测;
所述时间同步模块用于与相邻节点的信号制备探测模块通信,实现时间同步;
所述数据协商模块用于与相邻节点的信号制备探测模块通信,实现信号探测数据的参数评估、纠错及隐私放大;
所述密钥输出模块用于向所述密钥交换层输出所述点对点的密钥;
所述随机数模块用于生成随机数并提供给所述信号制备探测模块和数据协商模块;
所述生产网元管理模块用于与所述生产网元管控模块通信,监视设备状态、控制设备启停及设置设备参数,以及设备初始化的认证和入网;
所述物理层链路模块包括用于多路量子信道和经典通道的波分复用的多路复用模块,以及用于多对密钥生产模块之间通信信道的光路切换或分路的链路交换模块;
所述生产网元管控模块用于根据所述交换管控模块的需求下发生产指令,获取和配置所述生产网元管理模块的配置及状态信息;
所述链路网元管控模块用于根据所述生产网元管控模块的需求下发链路切换控制指令,获取和配置所述链路网元管理模块的配置及状态信息。
再进一步地,所述密钥交换模块包括密钥存储模块、密钥中继模块、密钥生命周期管理模块、密钥输出模块、位置查询模块、路由查询模块、交换网元管理模块,所述交换管控模块包括位置服务模块、路由控制模块、交换网元管控模块、跨域结算模块;
所述密钥存储模块用于从所述密钥生产模块接收密钥,并将其进行存储;
所述密钥中继模块用于与其他密钥交换模块通信,利用所述密钥交换模块之间的通信链路进行密钥的中继;
所述密钥生命周期管理模块用于管理本层密钥的全生命周期,其包括从接收密钥到向所述用户服务模块输出密钥的过程;
所述密钥输出模块用于将密钥输出给所述用户服务模块;
所述位置查询模块用于与所述位置服务模块通信以获取和上报密钥生产网络地址,以便生成密钥中继路由;
所述路由查询模块用于与所述路由控制模块通信,以根据本端和对端的网络地址生成所述密钥中继路由;
所述交换网元管理模块用于与所述交换网元管控模块通信,监视设备状态、控制设备启停和设置设备参数,以及设备初始化的认证和入网;
所述位置服务模块用于记录用户设备的网络位置信息,并提供查询服务;
所述路由控制模块用于根据链路状态或密钥存量,为所述密钥交换模块提供所述密钥中继路由;
所述交换网元管控模块用于根据所述服务管控模块的需求下发密钥交换指令,获取和配置所述交换网元管理模块的配置及状态信息;
所述跨域结算模块用于不同子网之间的流量结算和计费。
再进一步地,所述用户服务模块包括密钥存储模块、密钥生命周期管理模块、密钥输出模块、用户认证模块、服务网元管理模块,所述服务管控模块包括用户鉴权授权模块、策略管理模块、服务网元管控模块;
所述密钥存储模块用于从所述密钥交换模块接收密钥,并将其进行存储;
所述密钥生命周期管理模块用于管理本层密钥的全生命周期,其包括从接收密钥到向所述密钥应用层输出密钥的过程;
所述密钥输出模块用于将密钥输出给所述密钥应用层;
所述用户认证模块用于用户认证;
所述服务网元管理模块用于与所述服务网元管控模块通信,监视设备状态、控制设备启停和设置设备参数,以及设备初始化认证和入网;
所述用户鉴权授权模块用于用户身份认证、鉴权和访问控制;
所述策略管理模块用于根据服务质量管理和计费策略,控制用户获取的网络资源;
所述服务网元管控模块用于根据密钥应用层的需求下发密钥服务指令,获取和配置所述服务网元管理模块的配置及状态信息,为所述密钥应用层提供状态数据。
再进一步地,所述业务平面上设有第一业务接口、第二业务接口和第三业务接口;
所述第一业务接口用于连接所述密钥生产模块和密钥交换模块的参考点,由所述密钥生产模块向所述密钥交换模块传输所述点对点的密钥;
所述第二业务接口用于连接所述密钥交换模块和用户服务模块的参考点,由所述密钥交换模块向所述用户服务模块传输密钥;
第三业务接口用于连接所述用户服务模块和密钥应用层的参考点,由所述用户服务模块向所述密钥应用层传输密钥。
再进一步地,所述控制平面上设有第一控制接口、第二控制接口和第三控制接口;
所述第一控制接口用于连接所述生产管控模块和交换管控模块的参考点,传输对所述密钥生产层的请求和控制信息及数据,以便动态调整所述密钥生产模块生产状态和物理层链路模块连接状态;
所述第二控制接口用于连接所述交换管控模块和服务管控模块的参考点,传输对所述密钥交换层的请求和控制信息及数据,以便动态调整所述密钥交换模块的密钥中继状态;
所述第三控制接口用于连接所述服务管控模块和密钥应用层的参考点,传输用户应用或设备的密钥服务数据。
再进一步地,所述密钥服务层设有第一和第二密钥服务层接口,其中:所述第一密钥服务层接口用于连接所述链路网元管控模块和链路交换模块的参考点,以传输网管信息及控制信令;所述第二密钥服务层接口用于连接所述生产网元管控模块和生产网元管理模块的参考点,以传输网管信息及控制信令;
所述密钥交换层设有第一、第二和第三密钥交换层接口,其中:所述第一密钥交换层接口用于连接所述交换网元管控模块和交换网元管理模块的参考点,以传输网管信息及控制信令;所述第二密钥交换层接口用于连接所述路由控制模块和路由查询模块的参考点,以传输密钥路由信息;所述第三密钥交换层接口用于连接所述位置服务模块和位置查询模块的参考点,以传输位置信息;
所述密钥服务层设有第一和第二密钥服务层接口,其中:所述第一密钥服务层接口用于连接所述服务网元管控模块和服务网元管理模块的参考点,以传输网管信息及控制信令;所述第二密钥服务层接口用于连接所述用户鉴权授权模块和用户认证模块的参考点,以便所述用户服务模块的身份认证和凭证更新。
再进一步地,所述密钥服务层设有第三、第四和第五密钥服务层接口,其中:所述第三密钥服务层接口用于连接相邻两个信号制备探测模块的参考点,传输用于所述密钥分发协议的物理信号;所述第四密钥服务层接口用于连接相邻两个时间同步模块的参考点,以便为信号制备探测提供时间同步;所述第五密钥服务层接口用于连接相邻两个数据协商模块的参考点,传输用于密钥蒸馏操作的基矢匹配、参数估计、纠错和隐私放大参数和数据;
所述密钥交换层设有第四密钥交换层接口,用于连接相邻两个密钥交换模块的参考点,传输有关密钥中继、密钥同步、密钥认证及密钥交换模块相互身份认证的信息和数据。
附图说明
下面结合附图对本发明的具体实施方式作进一步详细的说明。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示出了现有通用的量子保密通信网络架构;
图2示意性地示出了根据本发明的基于物理系统的开放式密钥分发网络架构的功能平面划分;
图3示例性地示出了根据本发明的基于物理系统的开放式密钥分发网络架构的功能层设置。
具体实施方式
在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
图2示出了根据本发明的基于物理系统的开放式密钥分发网络架构的功能平面划分。如图2所示,该开放式密钥分发网络架构被分为业务平面(亦即,密钥业务平面)、控制平面和用户平面。
业务平面被定义成承担密钥生产、密钥交换和密钥服务功能。
控制平面被定义成对业务平面中各功能模块进行控制,例如控制启停、切换、路由等功能,但不涉及密钥本身。
用户平面被定义为各类使用密钥的用户应用或用户设备,例如云密码平台、链路密码机、服务器密码机、以及移动应用(APP应用)等。
图3示例性地示出了根据本发明的基于物理系统的开放式密钥分发网络架构的功能层设置。
如图3所示,本发明的基于物理系统的开放式密钥分发网络架构包括密钥生产层、密钥交换层、密钥服务层和密钥应用层。
密钥生产层用于产生点对点的密钥(随机数序列),其主要包括各类用于产生点对点密钥的设备,例如量子密钥分发(QKD)设备或无线信道密钥生成(WCKG)设备。
密钥交换层用于实现密钥的网络化分发。
密钥服务层用于实现用户认证、鉴权和策略管理,以及根据用户需求供给密钥。
密钥应用层主要包括使用密钥的用户应用或用户设备。
继续参见图3,在本发明的密钥分发网络架构中,密钥生产层、密钥交换层和密钥服务层均被分为业务平面和控制平面。
密钥生产层的业务平面被定义用于实现物理信号收发、时间同步、密钥数据协商、密钥输出、以及链路交换功能等,控制平面被定义用于实现生产控制策略、链路切换策略、状态监控功能等。
密钥交换层的业务平面被定义用于实现密钥输入、密钥存储、密钥中继、密钥输出、路由寻址功能等,控制平面被定义用于实现位置服务、路由控制、跨域结算功能等。
密钥服务层的业务平面被定义用于实现用户注册、密钥输入、密钥存储、密钥输出功能等,控制平面被定义用于实现用户授权鉴权、策略管理、状态监控、计费管理功能等。
本领域技术人员能够理解,上述各功能层及平面划分仅代表逻辑模块划分,不代表实际物理形态、逻辑模块和物理形态相互独立。例如,用于实现路由控制功能的路由控制模块可以分布式地部署在各个密钥交换设备中;又或者,同一个物理设备中可以同时部署有密钥服务和密钥交换功能。
相应地,在本发明的密钥分发网络架构中还提出了一种优化的接口配置,即:在纵向上,同一平面上的功能层串联地设置接口;在横向上,功能层的两个平面之间设置接口。由此,使得可以在密钥分发网络架构实现更为清晰的逻辑切割和确定的接口配置,尤其有利于升级维护及不同厂商之间的兼容性。
具体而言,在业务平面上,可以仅在密钥生产层与密钥交换层之间、密钥交换层与密钥服务层之间、以及密钥服务层与密钥应用层之间设置接口,以实现密钥的传输;在控制平面上,可以仅在密钥生产层与密钥交换层之间、密钥交换层与密钥服务层之间、以及密钥服务层与密钥应用层之间设置接口,以实现与用户需求对应的请求和控制信息及数据的传输;在各个功能层内,可以仅在业务平面与控制平面之间设置接口,以实现数据及控制信息的交互;以及在业务平面上设置与外部进行数据交互的接口。
继续参见图3,作为优选实施方式,密钥生产层的业务平面可以设置有密钥生产模块和物理层链路模块;密钥生产层的控制平面可以相应设置有生产管控模块,其包括生产网元管控模块和链路网元管控模块。
密钥生产模块用于依据密钥分发协议生成密钥。在本发明中,密钥分发协议可以包括但不限于QKD协议、WCKG协议或其他安全密钥分发协议。
在图3的示例中,密钥生产模块可以包括信号制备探测模块、时间同步模块、数据协商模块、密钥输出模块、随机数模块、以及生产网元管理模块。
信号制备探测模块用于与相邻节点的信号制备探测模块通信,实现量子信号或者无线信号的制备、发送、传输和探测。
时间同步模块用于与相邻节点的信号制备探测模块通信,实现两者之间的时间同步,以支持物理层密钥生产信号的制备和检测。
数据协商模块用于与相邻节点的信号制备探测模块通信,实现信号探测后所获得的经典数据的参数评估、纠错及隐私放大,以建立对称且安全的密钥。
密钥输出模块用于根据密钥交换层(密钥交换模块)的需求,将生产的点对点密钥安全地输出至密钥交换层(密钥交换模块)。
随机数模块用于生成随机数并提供给信号制备探测模块和数据协商模块使用。
生产网元管理模块用于与生产网元管控模块的I/O通信,监视设备关键状态、控制设备启停和设置关键参数,以及负责设备初始化的认证和入网。例如,设备初始化的认证可以以离线方式实现,入网后可以采用在线方式进行认证。
物理层链路模块可以包括多路复用模块和链路交换模块,其中:多路复用模块用于多路量子信道和经典通道的波分复用;链路交换模块用于实现多对密钥生产模块之间通信信道的光路切换或分路,以便根据需要在不同网络用户之间建立密钥分发链路。
在控制平面上,生产网元管控模块用于根据密钥交换层的控制平面(交换管控模块的交换网元管控模块)的需求下发生产指令,获取和配置生产网元管理模块的配置信息及状态信息,以及获得关于故障诊断结果的警报并进行处理。
链路网元管控模块用于根据生产网元管控模块的需求下发链路切换控制指令,获取和配置链路网元管理模块的配置信息及状态信息,获得关于故障诊断结果的警报并进行处理。
继续参见图3,作为优选实施方式,密钥交换层的业务平面可以设置有密钥交换模块,密钥交换层的控制平面可以相应设置有交换管控模块。
密钥交换模块用于接收和管理由密钥生产模块生成的密钥,以及对密钥进行中继。
在图3的示例中,密钥交换模块可以包括密钥存储模块、密钥中继模块、密钥生命周期管理模块、密钥输出模块、位置查询模块、路由查询模块、以及交换网元管理模块。
交换管控模块可以包括位置服务模块、路由控制模块、交换网元管控模块、以及跨域结算模块。
密钥存储模块用于从密钥生产模块接收密钥,以及按照预设规则,根据密钥信息标识将密钥存储在密钥池中。
密钥中继模块用于与其他密钥交换模块进行通信,利用密钥交换模块之间的通信链路进行密钥的中继,以实现网络端到端的密钥分发。在本发明中,密钥的中继采用具有信息理论安全性(ITS)的加密方式,使用一次性密码本(OTP)方案。
密钥生命周期管理模块用于本层密钥的全生命周期管理,其包括从密钥生产模块接收密钥到交付给密钥服务层的业务平面(用户服务模块)的整个过程。
进一步地,密钥生命周期管理模块还可以用于根据特定策略管理,在密钥使用后执行删除或保留操作。
密钥输出模块用于根据用户服务模块的需求,将生产的端到端的密钥安全地输出至密钥服务层的业务平面(用户服务模块)。
位置查询模块用于与位置服务模块进行I/O通信,获取并上报密钥生产网络地址,用于密钥中继路由的生成。
路由查询模块用于与路由控制模块进行I/O通信,根据本端和对端的网络地址,生成密钥中继路由。
交换网元管理模块用于与交换网元管控模块进行I/O通信,监视设备关键状态、控制设备启停和设置设备参数,以及负责设备初始化的认证和入网。例如,设备初始化的认证可以以离线方式实现,入网后可以采用在线方式进行认证。
位置服务模块用于记录用户设备的网络位置信息,并提供查询服务。例如,位置服务模块可以设置有归属地位置注册模块(HLR)和访客位置注册模块(VLR)。
路由控制模块用于根据链路状态或者密钥存量,为密钥交换模块提供密钥中继路由。
交换网元管控模块用于根据密钥服务层的控制平面(服务网元管控模块)的需求下发密钥交换指令,获取和配置交换网元管理模块的配置信息及状态信息,以及获得关于故障诊断结果的警报并进行处理。
跨域结算模块用于不同子网之间的流量结算和计费。
继续参见图3,作为优选实施方式,密钥服务层的业务平面可以设置有用户服务模块,密钥服务层的控制平面可以相应设置有服务管控模块。
用户服务模块用于接收和管理由密钥交换模块生成的密钥,以及为用户提供端到端的密钥服务。
在图3的示例中,用户服务模块可以包括密钥存储模块、密钥生命周期管理模块、密钥输出模块、用户认证模块、以及服务网元管理模块。
服务管控模块可以包括用户鉴权授权模块、策略管理模块、以及服务网元管控模块。
密钥存储模块用于从密钥交换模块接收密钥,以及按照预设规则,根据密钥信息标识将密钥存储在密钥池中。
密钥生命周期管理模块用于本层密钥的全生命周期管理,其包括从密钥交换模块接收密钥到交付给密钥应用层(用户应用或用户设备)的整个过程。
进一步地,密钥生命周期管理模块还可根据特定策略管理,在密钥使用后执行删除或保留操作。
密钥输出模块用于根据用户服务模块的需求,将生产的端到端密钥安全地输出至密钥应用层。
用户认证模块用于用户认证。例如,用户初始化的认证可以以离线方式实现,入网后可以采用在线方式进行认证。
服务网元管理模块用于与服务网元管控模块进行I/O通信,监视设备关键状态、控制设备启停和设置设备参数,以及负责设备初始化的认证和入网。例如,设备初始化认证可以以离线方式实现,入网后可以采用在线方式进行认证。
用户鉴权授权模块用于用户身份认证、鉴权和访问控制。
策略管理模块用于基于服务质量管理和计费策略,控制用户获取的网络资源。
服务网元管控模块用于根据密钥应用层(用户应用或用户设备)的需求下发密钥服务指令,获取和配置服务网元管理模块的配置信息及状态信息,获得关于故障诊断结果的警报并进行处理,以及为密钥应用层(用户应用或用户设备)提供状态数据。
在图3的示例中,密钥分发网络架构可以采用如下接口配置。
在业务平面上设置有第一业务接口BP-1、第二业务接口BP-2和第三业务接口BP-3,其中:第一业务接口用于连接密钥生产模块与密钥交换模块的参考点,向密钥交换模块传输密钥生产模块生产的点对点的密钥;第二业务接口用于连接密钥交换模块与用户服务模块的参考点,向用户服务模块传输密钥交换模块进行交换中继后的密钥;第二业务接口用于连接用户服务模块与用户应用或用户设备的参考点,向用户应用或用户设备传输端到端的密钥。
在控制平面上设置有第一控制接口CP-1、第二控制接口CP-2和第三控制接口CP-3,其中:第一控制接口用于连接生产管控模块与交换管控模块的参考点,传输密钥交换层对密钥生产层的请求和控制信息及数据,实现密钥生产模块生产状态和物理层链路模块连接状态的动态调整;第二控制接口用于连接交换管控模块与服务管控模块的参考点,传输密钥服务层对密钥交换层的请求和控制信息及数据,实现密钥交换模块密钥中继状态的动态调整;第三控制接口用于连接服务管控模块与密钥应用层的参考点,传输用户应用或用户设备的密钥服务数据,以及根据用户应用或用户设备需求安排相应策略,从而提供一定服务质量的密钥服务。
在密钥服务层设置有第一密钥服务层接口KPL-1、第二密钥服务层接口KPL-2、第三密钥服务层接口KPL-3、第四密钥服务层接口KPL-4、以及第五密钥服务层接口KPL-5,其中:第一密钥服务层接口用于连接链路网元管控模块与链路交换模块的参考点,传输模块之间交互的网管信息及控制信令;第二密钥服务层接口用于连接生产网元管控模块与生产网元管理模块的参考点,传输模块之间交互的网管信息及控制信令;第三密钥服务层接口用于例如通过物理链路连接相邻两个信号制备探测模块的参考点,传输无线或量子密钥协议中的物理信号;第四密钥服务层接口用于例如通过经典通信链路连接相邻两个时间同步模块的参考点,为信号制备探测提供高精度的时间同步,以支持量子或无线信号的发送和检测;第五密钥服务层接口用于通过经典通信链路连接相邻两个数据协商模块的参考点,传输密钥蒸馏操作所需基矢匹配、参数估计、纠错和隐私放大参数和数据。
在密钥交换层设置有第一密钥交换层接口KEL-1、第二密钥交换层接口KEL-2、第三密钥交换层接口KEL-3、以及第四密钥交换层接口KEL-4,其中:第一密钥交换层接口用于连接交换网元管控模块与交换网元管理模块的参考点,传输模块之间交互的网管信息及控制信令;第二密钥交换层接口用于连接路由控制模块与路由查询模块的参考点,传输密钥路由信息;第三密钥交换层接口用于连接位置服务模块与位置查询模块的参考点,传输位置信息;第四密钥交换层接口用于连接相邻两个密钥交换模块的参考点,传输模块之间有关密钥中继、密钥同步、密钥认证及密钥交换模块相互身份认证的信息和数据。
在密钥服务层设置有第一密钥服务层接口USL-1和第二密钥服务层接口USL-2,其中:第一密钥服务层接口用于连接服务网元管控模块与服务网元管理模块的参考点,传输模块之间交互的网管信息及控制信令;第二密钥服务层接口用于连接用户鉴权授权模块与用户认证模块的参考点,负责对用户服务模块的身份认证和凭证更新。
在本发明的开放式密钥分发网络架构中,采用密钥生产层、密钥交换层和密钥服务层分离的三层架构,控制消息与业务消息分离,控制平面与业务平面分离:从纵向来看,分为控制平面和业务平面,控制平面不涉及密钥,业务平面不涉及控制信令;从横向来看,密钥生成层、密钥交换层、密钥服务层分别实现相邻节点、跨节点和端到端的密钥生产、分发和输出,逻辑切割更加清晰。而且,在接口配置方面,纵向为同一个平面不同层次的模块之间设置有接口,横向是不同层次控制信令的接口,尤其有利于升级维护和不同厂商兼容性。
此外,由于密钥与控制信息流分离,经典IP承载网络的安全设计更加容易,可以更好地进行安全域划分,提供更具针对性的保护。
进一步地,本发明所提出的密钥分发网络架构除了QKD技术之外,还为兼容WCKG及其他安全密钥分发技术提供了可能;同时,通过优化功能层设计,使得移动终端也能够接收密钥,极大扩展了网络应用场景;并且,借助用户认证模块的设计将用户认证和设备认证分离,使得用户可以通过不同设备接入网络获取密钥资源,改善了密钥分发网络的可用性,使其能够极大满足移动化需求。
尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本发明的精神和范围。
Claims (12)
1.一种基于物理系统的开放式密钥分发网络架构,其分为业务平面、控制平面和用户平面,且包括密钥生产层、密钥交换层、密钥服务层和密钥应用层,其中:
所述密钥生产层用于产生点对点的密钥;
所述密钥交换层用于实现密钥的网络化分发;
所述密钥服务层用于实现用户认证、鉴权和策略管理、以及供给密钥;
所述密钥生产层、密钥交换层和密钥服务层均分为所述业务平面和所述控制平面,其中:所述业务平面定义为承担密钥生产、密钥交换和密钥服务功能,所述控制平面定义成对所述业务平面中的功能模块进行控制,但不涉及密钥本身;并且,
所述密钥应用层构成所述用户平面。
2.如权利要求1所述的开放式密钥分发网络架构,其中:
在所述密钥生产层中,所述业务平面被定义用于实现物理信号收发、时间同步、密钥数据协商、密钥输出、链路交换功能,所述控制平面被定义用于实现生产控制策略、链路切换策略、状态监控功能;
在所述密钥交换层中,所述业务平面被定义用于实现密钥输入、密钥存储、密钥中继、密钥输出、路由寻址功能,所述控制平面被定义用于实现位置服务、路由控制、跨域结算功能;
在所述密钥服务层中,所述业务平面被定义用于实现用户注册、密钥输入、密钥存储、密钥输出功能,所述控制平面被定义用于实现用户授权鉴权、策略管理、状态监控、计费管理功能。
3.如权利要求1所述的开放式密钥分发网络架构,其中:
在所述业务平面上,仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口,以实现密钥的传输;
在所述控制平面上,仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口,以实现请求和控制信息及数据的传输;
在所述密钥生产层、密钥交换层和密钥服务层中的每一个内,在所述业务平面与控制平面之间设置接口,以实现数据及控制信息的交互;并且,
在所述密钥生产层和密钥交换层的业务平面上分别设置有用于与相邻节点进行数据交互的接口。
4.如权利要求1-3中任一项所述的开放式密钥分发网络架构,其中:
所述密钥生产层的业务平面设有密钥生产模块和物理层链路模块,所述密钥生产层的控制平面设有生产管控模块,所述密钥生产模块用于依据密钥分发协议生成密钥,所述生产管控模块包括生产网元管控模块和链路网元管控模块;
所述密钥交换层的业务平面设有密钥交换模块,所述密钥交换层的控制平面设有交换管控模块,所述密钥交换模块用于接收和管理由所述密钥生成模块生成的密钥并对其进行中继;
所述密钥服务层的业务平面设有用户服务模块,所述密钥服务层的控制平面设有服务管控模块,所述用户服务模块用于接收和管理来自所述密钥交换模块的密钥,并为所述密钥应用层提供端对端密钥服务。
5.如权利要求4所述的开放式密钥分发网络架构,其中:
所述密钥生产模块包括信号制备探测模块、时间同步模块、数据协商模块、密钥输出模块、随机数模块、生产网元管理模块;
所述信号制备探测模块用于与相邻节点的信号制备探测模块通信,实现物理信号的制备、发送和探测;
所述时间同步模块用于与相邻节点的信号制备探测模块通信,实现时间同步;
所述数据协商模块用于与相邻节点的信号制备探测模块通信,实现信号探测数据的参数评估、纠错及隐私放大;
所述密钥输出模块用于向所述密钥交换层输出所述点对点的密钥;
所述随机数模块用于生成随机数并提供给所述信号制备探测模块和数据协商模块;
所述生产网元管理模块用于与所述生产网元管控模块通信,监视设备状态、控制设备启停及设置设备参数,以及设备初始化的认证和入网;
所述物理层链路模块包括用于多路量子信道和经典通道的波分复用的多路复用模块,以及用于多对密钥生产模块之间通信信道的光路切换或分路的链路交换模块;
所述生产网元管控模块用于根据所述交换管控模块的需求下发生产指令,获取和配置所述生产网元管理模块的配置及状态信息;
所述链路网元管控模块用于根据所述生产网元管控模块的需求下发链路切换控制指令,获取和配置所述链路网元管理模块的配置及状态信息。
6.如权利要求4所述的开放式密钥分发网络架构,其中:
所述密钥交换模块包括密钥存储模块、密钥中继模块、密钥生命周期管理模块、密钥输出模块、位置查询模块、路由查询模块、交换网元管理模块,所述交换管控模块包括位置服务模块、路由控制模块、交换网元管控模块、跨域结算模块;
所述密钥存储模块用于从所述密钥生产模块接收密钥,并将其进行存储;
所述密钥中继模块用于与其他密钥交换模块通信,利用所述密钥交换模块之间的通信链路进行密钥的中继;
所述密钥生命周期管理模块用于管理本层密钥的全生命周期,其包括从接收密钥到向所述用户服务模块输出密钥的过程;
所述密钥输出模块用于将密钥输出给所述用户服务模块;
所述位置查询模块用于与所述位置服务模块通信以获取和上报密钥生产网络地址,以便生成密钥中继路由;
所述路由查询模块用于与所述路由控制模块通信,以根据本端和对端的网络地址生成所述密钥中继路由;
所述交换网元管理模块用于与所述交换网元管控模块通信,监视设备状态、控制设备启停和设置设备参数,以及设备初始化的认证和入网;
所述位置服务模块用于记录用户设备的网络位置信息,并提供查询服务;
所述路由控制模块用于根据链路状态或密钥存量,为所述密钥交换模块提供所述密钥中继路由;
所述交换网元管控模块用于根据所述服务管控模块的需求下发密钥交换指令,获取和配置所述交换网元管理模块的配置及状态信息;
所述跨域结算模块用于不同子网之间的流量结算和计费。
7.如权利要求4所述的开放式密钥分发网络架构,其中:
所述用户服务模块包括密钥存储模块、密钥生命周期管理模块、密钥输出模块、用户认证模块、服务网元管理模块,所述服务管控模块包括用户鉴权授权模块、策略管理模块、服务网元管控模块;
所述密钥存储模块用于从所述密钥交换模块接收密钥,并将其进行存储;
所述密钥生命周期管理模块用于管理本层密钥的全生命周期,其包括从接收密钥到向所述密钥应用层输出密钥的过程;
所述密钥输出模块用于将密钥输出给所述密钥应用层;
所述用户认证模块用于用户认证;
所述服务网元管理模块用于与所述服务网元管控模块通信,监视设备状态、控制设备启停和设置设备参数,以及设备初始化认证和入网;
所述用户鉴权授权模块用于用户身份认证、鉴权和访问控制;
所述策略管理模块用于根据服务质量管理和计费策略,控制用户获取的网络资源;
所述服务网元管控模块用于根据密钥应用层的需求下发密钥服务指令,获取和配置所述服务网元管理模块的配置及状态信息,为所述密钥应用层提供状态数据。
8.如权利要求4所述的开放式密钥分发网络架构,其中,所述业务平面上设有第一业务接口、第二业务接口和第三业务接口;
所述第一业务接口用于连接所述密钥生产模块和密钥交换模块的参考点,由所述密钥生产模块向所述密钥交换模块传输所述点对点的密钥;
所述第二业务接口用于连接所述密钥交换模块和用户服务模块的参考点,由所述密钥交换模块向所述用户服务模块传输密钥;
第三业务接口用于连接所述用户服务模块和密钥应用层的参考点,由所述用户服务模块向所述密钥应用层传输密钥。
9.如权利要求4所述的开放式密钥分发网络架构,其中,所述控制平面上设有第一控制接口、第二控制接口和第三控制接口;
所述第一控制接口用于连接所述生产管控模块和交换管控模块的参考点,传输对所述密钥生产层的请求和控制信息及数据,以便动态调整所述密钥生产模块生产状态和物理层链路模块连接状态;
所述第二控制接口用于连接所述交换管控模块和服务管控模块的参考点,传输对所述密钥交换层的请求和控制信息及数据,以便动态调整所述密钥交换模块的密钥中继状态;
所述第三控制接口用于连接所述服务管控模块和密钥应用层的参考点,传输所述密钥应用层的密钥服务数据。
10.如权利要求4所述的开放式密钥分发网络架构,其中:
所述密钥服务层设有第一和第二密钥服务层接口,其中:所述第一密钥服务层接口用于连接所述链路网元管控模块和链路交换模块的参考点,以传输网管信息及控制信令;所述第二密钥服务层接口用于连接所述生产网元管控模块和生产网元管理模块的参考点,以传输网管信息及控制信令;
所述密钥交换层设有第一、第二和第三密钥交换层接口,其中:所述第一密钥交换层接口用于连接所述交换网元管控模块和交换网元管理模块的参考点,以传输网管信息及控制信令;所述第二密钥交换层接口用于连接所述路由控制模块和路由查询模块的参考点,以传输密钥路由信息;所述第三密钥交换层接口用于连接所述位置服务模块和位置查询模块的参考点,以传输位置信息;
所述密钥服务层设有第一和第二密钥服务层接口,其中:所述第一密钥服务层接口用于连接所述服务网元管控模块和服务网元管理模块的参考点,以传输网管信息及控制信令;所述第二密钥服务层接口用于连接所述用户鉴权授权模块和用户认证模块的参考点,以便所述用户服务模块的身份认证和凭证更新。
11.如权利要求4所述的开放式密钥分发网络架构,其中:
所述密钥服务层设有第三、第四和第五密钥服务层接口,其中:所述第三密钥服务层接口用于连接相邻两个信号制备探测模块的参考点,传输用于所述密钥分发协议的物理信号;所述第四密钥服务层接口用于连接相邻两个时间同步模块的参考点,以便为信号制备探测提供时间同步;所述第五密钥服务层接口用于连接相邻两个数据协商模块的参考点,传输用于密钥蒸馏操作的基矢匹配、参数估计、纠错和隐私放大参数和数据;
所述密钥交换层设有第四密钥交换层接口,用于连接相邻两个密钥交换模块的参考点,传输有关密钥中继、密钥同步、密钥认证及密钥交换模块相互身份认证的信息和数据。
12.如权利要求6所述的开放式密钥分发网络架构,其中,所述密钥的中继采用一次性密码本方案。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110189920.2A CN114978477A (zh) | 2021-02-18 | 2021-02-18 | 一种基于物理系统的开放式密钥分发网络架构 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202110189920.2A CN114978477A (zh) | 2021-02-18 | 2021-02-18 | 一种基于物理系统的开放式密钥分发网络架构 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN114978477A true CN114978477A (zh) | 2022-08-30 |
Family
ID=82954173
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202110189920.2A Pending CN114978477A (zh) | 2021-02-18 | 2021-02-18 | 一种基于物理系统的开放式密钥分发网络架构 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114978477A (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865334A (zh) * | 2022-11-24 | 2023-03-28 | 北京百度网讯科技有限公司 | 量子密钥分发方法、装置及电子设备 |
| CN116506119A (zh) * | 2023-05-23 | 2023-07-28 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
-
2021
- 2021-02-18 CN CN202110189920.2A patent/CN114978477A/zh active Pending
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115865334A (zh) * | 2022-11-24 | 2023-03-28 | 北京百度网讯科技有限公司 | 量子密钥分发方法、装置及电子设备 |
| CN116506119A (zh) * | 2023-05-23 | 2023-07-28 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
| CN116506119B (zh) * | 2023-05-23 | 2024-01-26 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Cao et al. | KaaS: Key as a service over quantum key distribution integrated optical networks | |
| CN106664311B (zh) | 支持异构电子设备之间差异化的安全通信 | |
| EP2579634B1 (en) | Methods and apparatus for a self-organized layer-2 enterprise network architecture | |
| RU2406251C2 (ru) | Способ и устройство для установления безопасной ассоциации | |
| CN108111305B (zh) | 多类型量子终端兼容的融合网络接入系统和方法 | |
| US7706687B1 (en) | Automatic provisioning of network services based on user application requirements | |
| Yang et al. | Blockchain-enabled tripartite anonymous identification trusted service provisioning in industrial IoT | |
| JP2020523874A (ja) | 通信ネットワークにおいてサービス経路を確立するための方法およびシステム | |
| CN109923838A (zh) | 桥接远程孤岛的弹性vpn | |
| CN109302288A (zh) | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 | |
| KR20100059953A (ko) | 네트워크 및 안전한 네트워크를 확립하기 위한 방법 | |
| US8948401B2 (en) | Method for filtering of abnormal ONT with same serial number in a GPON system | |
| CN113056898B (zh) | 获取密钥的方法、装置及密钥管理系统 | |
| CN114978477A (zh) | 一种基于物理系统的开放式密钥分发网络架构 | |
| CN114726523B (zh) | 密码应用服务系统和量子安全能力开放平台 | |
| KR100892616B1 (ko) | 무선 센서 네트워크에서의 새로운 장치 참여 방법 | |
| JP6214701B2 (ja) | 局側光回線終端装置、冗長装置切替方法及び冗長装置切替プログラム | |
| Cao et al. | Software-defined heterogeneous quantum key distribution chaining: an enabler for multi-protocol quantum networks | |
| WO2020004498A1 (ja) | サービス開始方法及び通信システム | |
| CN103200191A (zh) | 通信装置和无线通信方法 | |
| JP2016213544A (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| CN111478937B (zh) | 一种负载均衡方法和装置 | |
| JP2013175835A (ja) | 光通信ネットワークシステム、子局通信装置、親局通信装置、及び制御方法 | |
| CN113038457B (zh) | 一种基于分布式神经网络的自组网全时空安全通信系统及其方法 | |
| CN104125201A (zh) | 通信传输系统和方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |