CN115361125A - 一种基于量子密钥技术的vpn网络系统 - Google Patents

一种基于量子密钥技术的vpn网络系统 Download PDF

Info

Publication number
CN115361125A
CN115361125A CN202211005560.7A CN202211005560A CN115361125A CN 115361125 A CN115361125 A CN 115361125A CN 202211005560 A CN202211005560 A CN 202211005560A CN 115361125 A CN115361125 A CN 115361125A
Authority
CN
China
Prior art keywords
virtual
module
vpn
configuration
node
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211005560.7A
Other languages
English (en)
Inventor
王龙
章鹏飞
周涛
黄峰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Anhui Aurora Intelligent Technology Co ltd
Original Assignee
Anhui Aurora Intelligent Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Anhui Aurora Intelligent Technology Co ltd filed Critical Anhui Aurora Intelligent Technology Co ltd
Priority to CN202211005560.7A priority Critical patent/CN115361125A/zh
Publication of CN115361125A publication Critical patent/CN115361125A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • H04L41/12Discovery or management of network topologies
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/02Network architectures or network communication protocols for network security for separating internal from external traffic, e.g. firewalls
    • H04L63/0272Virtual private networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/10Network architectures or network communication protocols for network security for controlling access to devices or network resources

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种基于量子密钥技术的VPN网络系统,涉及网络通信技术领域。NFVO当接收到访问被访问节点的请求,获取访问节点和被访问节点之间的网路拓扑,将网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块,以使其分别根据节点配置信息配置节点,根据网路拓扑和创建VPN命令建立VPN通道;第一虚拟路由器和第二虚拟路由器分别使用第一QKD模块和第二QKD模块生成量子密钥,通过VPN通道使用量子密钥进行加密数据通信。上述系统结合量子密钥技术和VPN技术,提高了加密传输网络系统管理架构的灵活性和适应性,为实现大规模的量子加密服务提供了可行的网络架构。

Description

一种基于量子密钥技术的VPN网络系统
技术领域
本发明涉及网络通信技术领域,具体涉及一种基于量子密钥技术的VPN网络系统。
背景技术
量子密钥技术是一种不可窃听、不可破译,无条件安全的通信加密方式。量子加密通信主要分为两步:第一步,通过量子信道进行量子密钥分发。通信双方通过量子密钥分发获取一对完全随机且只有通信双方知道的量子密钥。第二步,通过传统信道进行密文传递。利用获得的量子密钥,发送方将信息进行加密变成一段密文,接收方将收到的密文解密,进而实现通信的完全保密。
现阶段量子密钥技术仍然处于研究阶段,对现有网络基础设施的使用不充分,导致加密传输网络系统管理架构的灵活性和适应性差,无法实现大规模的量子加密服务。
发明内容
本发明的目的就在于解决上述背景技术的问题,而提出一种基于量子密钥技术的VPN网络系统。
本发明的目的可以通过以下技术方案实现:
本发明实施例提供了一种基于量子密钥技术的VPN网络系统,包括访问节点和被访问节点;所述访问节点包括网络功能虚拟化编辑器NFVO、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发QKD模块;所述被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二QKD模块;
所述NFVO,用于当接收到访问所述被访问节点的请求,获取所述访问节点和所述被访问节点之间的网路拓扑,将所述网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给所述第一虚拟管理配置模块和所述第二虚拟配置管理模块;
所述第一虚拟管理配置模块和所述第二虚拟配置管理模块,用于分别根据所述节点配置信息配置节点,根据所述网路拓扑和所述创建VPN命令在所述第一虚拟路由器和所述第二虚拟路由器之间建立VPN通道;
所述第一虚拟路由器和所述第二虚拟路由器,用于分别使用所述第一QKD模块和所述第二QKD模块生成量子密钥,并配置所述VPN通道,通过所述VPN通道使用所述量子密钥进行加密数据通信。
可选地,第一虚拟管理配置模块包括第一虚拟基础架构管理器VIM和第一虚拟配置包;第二虚拟管理配置模块包括第二VIM和第二虚拟配置包;所述第一虚拟配置包和所述第二虚拟配置包包括一组由所述NFVO远程控制的脚本和进程;
所述第一虚拟配置包,用于根据所述NFVO的控制指令执行脚本或进程,管理和配置所述访问节点;
所述第二虚拟配置包,用于根据所述NFVO的控制指令执行脚本或进程,管理和配置所述被访问节点;
所述第一VIM和所述第二VIM,用于控制底层网络、计算基础设施和存储基础设施构建VPN。
可选地,所述第一虚拟配置包,还用于在所述第一虚拟路由器与所述访问节点的服务器之间创建连接,授予所述第一虚拟路由器访问所述第一QKD模块的权限;
所述第二虚拟配置包,还用于在所述第二虚拟路由器与所述被访问节点的服务器之间创建连接,授予所述第二虚拟路由器访问所述第二QKD模块的权限。
可选地,所述第一虚拟配置包,还用于配置所述第一虚拟路由器,通过所述第一虚拟路由器获取所述第一QKD模块生成的第一密钥,将所述第一密钥通过所述VPN通道发送给所述被访问节点;
所述第二虚拟配置包,还用于配置所述第二虚拟路由器,将所述第一密钥通过所述第二虚拟路由器发送给所述第二QKD模块;
所述第一QKD模块和所述第二QKD模块,用于通过所述第一虚拟路由器和所述第二虚拟路由器根据所述第一密钥进行量子密钥分发确定目标传输密钥。
可选地,所述第一虚拟配置包和所述第二虚拟配置包,还用于分别配置所述第一虚拟路由器和所述第二虚拟路由器的IP层操作信息;IP层操作信息包括路由表、端口映射、NAT和IPsec策略。
可选地,所述第一VIM和所述第二VIM部署于Docker的容器平台,用于使用容器和Open VSwitches创建虚拟网络。
可选地,所述节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。
本发明实施例提供了一种基于量子密钥技术的VPN网络系统,包括访问节点和被访问节点;访问节点包括网络功能虚拟化编辑器NFVO、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发QKD模块;被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二QKD模块;NFVO,用于当接收到访问被访问节点的请求,获取访问节点和被访问节点之间的网路拓扑,将所述网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块;第一虚拟管理配置模块和第二虚拟配置管理模块,用于分别根据节点配置信息配置节点,根据网路拓扑和创建VPN命令在第一虚拟路由器和第二虚拟路由器之间建立VPN通道;第一虚拟路由器和第二虚拟路由器,用于分别使用第一QKD模块和第二QKD模块生成量子密钥,并配置VPN通道,通过VPN通道使用量子密钥进行加密数据通信。通过访问节点的NFVO控制访问节点的第一虚拟管理配置模块和被访问节点第二虚拟配置管理模块建立VPN通道,然后通过VPN通道使用量子密钥进行加密数据通信。结合量子密钥技术和VPN技术,提高了加密传输网络系统管理架构的灵活性和适应性,为实现大规模的量子加密服务提供了可行的网络架构。
附图说明
下面结合附图对本发明作进一步的说明。
图1为本发明实施例提供的一种基于量子密钥技术的VPN网络系统的系统框图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
本发明实施例提供了一种基于量子密钥技术的VPN网络系统。参见图1,图1为本发明实施例提供的一种基于量子密钥技术的VPN网络系统的系统框图。包括访问节点和被访问节点,访问节点和被访问节点通过互联网进行数据传输;访问节点包括NFVO(NetworkFunctions Virtualisation Orchestrator,网络功能虚拟化编辑器)、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发QKD模块;被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二QKD模块;
NFVO,用于当接收到访问被访问节点的请求,获取访问节点和被访问节点之间的网路拓扑,将网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块;
第一虚拟管理配置模块和第二虚拟配置管理模块,用于分别根据节点配置信息配置节点,根据网路拓扑和创建VPN命令在第一虚拟路由器和第二虚拟路由器之间建立VPN通道;
第一虚拟路由器和第二虚拟路由器,用于分别使用第一QKD模块和第二QKD模块生成量子密钥,并配置VPN通道,通过VPN通道使用量子密钥进行加密数据通信。
基于本发明实施例提供的一种基于量子密钥技术的VPN网络系统,通过访问节点的NFVO控制访问节点的第一虚拟管理配置模块和被访问节点第二虚拟配置管理模块建立VPN通道,然后通过VPN通道使用量子密钥进行加密数据通信。结合量子密钥技术和VPN技术,提高了加密传输网络系统管理架构的灵活性和适应性,为实现大规模的量子加密服务提供了可行的网络架构。
一种实现方式中,VPN通道可以为IPsec隧道模式。
一种实现方式中,NFVO可用以管理NS(Network Service,网络业务)生命周期,并协调NS生命周期的管理、协调VNF(Virtual ised Network Function,虚拟化的网络功能)生命周期的管理、协调NFVI(NFV Infrastructure,网络功能虚拟化基础设施)各类资源的管理(需要得到虚拟化基础设施管理器VIM的支持),以此确保所需各类资源与连接的优化配置。
在一个实施例中,第一虚拟管理配置模块包括第一虚拟基础架构管理器VIM和第一虚拟配置包;第二虚拟管理配置模块包括第二VIM和第二虚拟配置包;第一虚拟配置包和第二虚拟配置包包括一组由NFVO远程控制的脚本和进程;
第一虚拟配置包,用于根据NFVO的控制指令执行脚本或进程,管理和配置访问节点;
第二虚拟配置包,用于根据NFVO的控制指令执行脚本或进程,管理和配置被访问节点;
第一VIM和第二VIM,用于控制底层网络、计算基础设施和存储基础设施构建VPN。
一种实现方式中,NFVO是对节点进行单侧配置,先配置访问节点,再配置被访问节点。
在一个实施例中,第一虚拟配置包,还用于在第一虚拟路由器与访问节点的服务器之间创建连接,授予第一虚拟路由器访问第一QKD模块的权限;
第二虚拟配置包,还用于在第二虚拟路由器与被访问节点的服务器之间创建连接,授予第二虚拟路由器访问第二QKD模块的权限。
在一个实施例中,第一虚拟配置包,还用于配置第一虚拟路由器,通过第一虚拟路由器获取第一QKD模块生成的第一密钥,将第一密钥通过所述VPN通道发送给被访问节点;
第二虚拟配置包,还用于配置第二虚拟路由器,将第一密钥通过第二虚拟路由器发送给第二QKD模块;
第一QKD模块和第二QKD模块,用于通过第一虚拟路由器和第二虚拟路由器根据第一密钥进行量子密钥分发确定目标传输密钥。
在一个实施例中,第一虚拟配置包和第二虚拟配置包,还用于分别配置第一虚拟路由器和第二虚拟路由器的IP层操作信息;IP层操作信息包括路由表、端口映射、NAT和IPsec策略。
一种实现方式中,通过配置第一虚拟路由器和第二虚拟路由器的IP层操作信息,确定两路由器之间数据传输的路由表和端口映射,并确定NAT的实现方式和IPSec的功能设置。
NAT的实现方式有三种,即静态转换Static Nat、动态转换Dynamic Nat和端口多路复用OverLoad。
IPSec可以实现以下4项功能:数据机密性:IPSec发送方将包加密后再通过网络发送。数据完整性:IPSec可以验证IPSec发送方发送的包,以确保数据传输时没有被改变。数据认证:IPSec接受方能够鉴别IPsec包的发送起源。此服务依赖数据的完整性。反重放:IPSec接受方能检查并拒绝重放包。
在一个实施例中,第一VIM和第二VIM为部署于Docker的容器平台,用于使用容器和Open VSwitches创建虚拟网络。
一种实现方式中,将第一VIM和第二VIM为部署于Docker的容器平台,可以进一步提高网络的灵活性。
一种实现方式中,根据Open VSwitches协议以软件的方式形成交换机部件,跟传统的物理交换机相比,虚拟交换机同样具备众多优点,一是配置更加灵活。一台普通的服务器可以配置出数十台甚至上百台虚拟交换机,且端口数目可以灵活选择;二是成本更加低廉,通过虚拟交换往往可以获得昂贵的普通交换机才能达到的性能。
在一个实施例中,节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。
以上对本发明的一个实施例进行了详细说明,但所述内容仅为本发明的较佳实施例,不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等,均应仍归属于本发明的专利涵盖范围之内。

Claims (7)

1.一种基于量子密钥技术的VPN网络系统,其特征在于,包括访问节点和被访问节点;所述访问节点包括网络功能虚拟化编辑器NFVO、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发QKD模块;所述被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二QKD模块;
所述NFVO,用于当接收到访问所述被访问节点的请求,获取所述访问节点和所述被访问节点之间的网路拓扑,将所述网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给所述第一虚拟管理配置模块和所述第二虚拟配置管理模块;
所述第一虚拟管理配置模块和所述第二虚拟配置管理模块,用于分别根据所述节点配置信息配置节点,根据所述网路拓扑和所述创建VPN命令在所述第一虚拟路由器和所述第二虚拟路由器之间建立VPN通道;
所述第一虚拟路由器和所述第二虚拟路由器,用于分别使用所述第一QKD模块和所述第二QKD模块生成量子密钥,并配置所述VPN通道,通过所述VPN通道使用所述量子密钥进行加密数据通信。
2.根据权利要求1所述的一种基于量子密钥技术的VPN网络系统,其特征在于,第一虚拟管理配置模块包括第一虚拟基础架构管理器VIM和第一虚拟配置包;第二虚拟管理配置模块包括第二VIM和第二虚拟配置包;所述第一虚拟配置包和所述第二虚拟配置包包括一组由所述NFVO远程控制的脚本和进程;
所述第一虚拟配置包,用于根据所述NFVO的控制指令执行脚本或进程,管理和配置所述访问节点;
所述第二虚拟配置包,用于根据所述NFVO的控制指令执行脚本或进程,管理和配置所述被访问节点;
所述第一VIM和所述第二VIM,用于控制底层网络、计算基础设施和存储基础设施构建VPN。
3.根据权利要求2所述的一种基于量子密钥技术的VPN网络系统,其特征在于,
所述第一虚拟配置包,还用于在所述第一虚拟路由器与所述访问节点的服务器之间创建连接,授予所述第一虚拟路由器访问所述第一QKD模块的权限;
所述第二虚拟配置包,还用于在所述第二虚拟路由器与所述被访问节点的服务器之间创建连接,授予所述第二虚拟路由器访问所述第二QKD模块的权限。
4.根据权利要求3所述的一种基于量子密钥技术的VPN网络系统,其特征在于,
所述第一虚拟配置包,还用于配置所述第一虚拟路由器,通过所述第一虚拟路由器获取所述第一QKD模块生成的第一密钥,将所述第一密钥通过所述VPN通道发送给所述被访问节点;
所述第二虚拟配置包,还用于配置所述第二虚拟路由器,将所述第一密钥通过所述第二虚拟路由器发送给所述第二QKD模块;
所述第一QKD模块和所述第二QKD模块,用于通过所述第一虚拟路由器和所述第二虚拟路由器根据所述第一密钥进行量子密钥分发确定目标传输密钥。
5.根据权利要求4所述的一种基于量子密钥技术的VPN网络系统,其特征在于,
所述第一虚拟配置包和所述第二虚拟配置包,还用于分别配置所述第一虚拟路由器和所述第二虚拟路由器的I P层操作信息;I P层操作信息包括路由表、端口映射、NAT和IPsec策略。
6.根据权利要求2所述的一种基于量子密钥技术的VPN网络系统,其特征在于,所述第一VIM和所述第二VIM部署于Docker的容器平台,用于使用容器和Open VSwi tches创建虚拟网络。
7.根据权利要求1所述的一种基于量子密钥技术的VPN网络系统,其特征在于,所述节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。
CN202211005560.7A 2022-08-22 2022-08-22 一种基于量子密钥技术的vpn网络系统 Pending CN115361125A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211005560.7A CN115361125A (zh) 2022-08-22 2022-08-22 一种基于量子密钥技术的vpn网络系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211005560.7A CN115361125A (zh) 2022-08-22 2022-08-22 一种基于量子密钥技术的vpn网络系统

Publications (1)

Publication Number Publication Date
CN115361125A true CN115361125A (zh) 2022-11-18

Family

ID=84002348

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211005560.7A Pending CN115361125A (zh) 2022-08-22 2022-08-22 一种基于量子密钥技术的vpn网络系统

Country Status (1)

Country Link
CN (1) CN115361125A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389105A (zh) * 2023-03-30 2023-07-04 广东省城乡规划设计研究院有限责任公司 一种远程接入管理平台及管理方法

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116389105A (zh) * 2023-03-30 2023-07-04 广东省城乡规划设计研究院有限责任公司 一种远程接入管理平台及管理方法
CN116389105B (zh) * 2023-03-30 2023-12-01 广东省城乡规划设计研究院有限责任公司 一种远程接入管理平台及管理方法

Similar Documents

Publication Publication Date Title
CN108551464B (zh) 一种混合云的连接建立、数据传输方法、装置和系统
CN107018134B (zh) 一种配电终端安全接入平台及其实现方法
CN107959654B (zh) 一种数据传输方法、装置及混合云系统
US11652798B2 (en) Dynamic, user-configurable virtual private network
US9172559B2 (en) Method, apparatus, and network system for terminal to traverse private network to communicate with server in IMS core network
US7461157B2 (en) Distributed server functionality for emulated LAN
US6751729B1 (en) Automated operation and security system for virtual private networks
US20050223111A1 (en) Secure, standards-based communications across a wide-area network
CN104780069B (zh) 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统
US8104082B2 (en) Virtual security interface
EP3100405A2 (en) Systems and methods for protecting communications
CN108769292A (zh) 报文数据处理方法及装置
CN112332901B (zh) 一种天地一体化移动接入认证方法及装置
CN107241454A (zh) 一种实现地址管理的方法、装置、aaa服务器及sdn控制器
Gaur et al. A survey of virtual private LAN services (VPLS): Past, present and future
CN115361125A (zh) 一种基于量子密钥技术的vpn网络系统
Aguado et al. VPN service provisioning via virtual router deployment and quantum key distribution
Tanizawa et al. A secure communication network infrastructure based on quantum key distribution technology
Fancy et al. An evaluation of alternative protocols-based Virtual Private LAN Service (VPLS)
CN112636913B (zh) 一种密钥共享的组网方法
WO2003003664A1 (en) System and method for address and key distribution in virtual networks
Buruaga et al. VPN protection with QKD-derived keys using standard interfaces
Solisch Comparison of VPN Technologies
CN114640514B (zh) 安全服务系统、访问控制方法和计算机可读存储介质
Coonjah et al. A VPN framework through multi-layer tunnels based on OpenSSH

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination