CN116743380B - 基于量子密钥分发的otn加密通信方法及系统 - Google Patents
基于量子密钥分发的otn加密通信方法及系统 Download PDFInfo
- Publication number
- CN116743380B CN116743380B CN202311013856.8A CN202311013856A CN116743380B CN 116743380 B CN116743380 B CN 116743380B CN 202311013856 A CN202311013856 A CN 202311013856A CN 116743380 B CN116743380 B CN 116743380B
- Authority
- CN
- China
- Prior art keywords
- key
- otn
- session key
- session
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000004891 communication Methods 0.000 title claims abstract description 88
- 238000000034 method Methods 0.000 title claims abstract description 83
- 230000003287 optical effect Effects 0.000 claims abstract description 36
- 230000001360 synchronised effect Effects 0.000 claims abstract description 25
- 239000003999 initiator Substances 0.000 claims description 41
- 238000012795 verification Methods 0.000 claims description 21
- 238000013507 mapping Methods 0.000 claims description 7
- 238000012545 processing Methods 0.000 claims description 4
- 238000012546 transfer Methods 0.000 claims description 3
- 230000005540 biological transmission Effects 0.000 description 10
- 238000005516 engineering process Methods 0.000 description 6
- 238000012423 maintenance Methods 0.000 description 5
- 238000012544 monitoring process Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 4
- 230000001960 triggered effect Effects 0.000 description 4
- 239000003795 chemical substances by application Substances 0.000 description 2
- 238000012937 correction Methods 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 206010063385 Intellectualisation Diseases 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 239000000835 fiber Substances 0.000 description 1
- 238000009432 framing Methods 0.000 description 1
- 239000008187 granular material Substances 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0894—Escrow, recovery or storing of secret information, e.g. secret key escrow or cryptographic key storage
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04Q—SELECTING
- H04Q11/00—Selecting arrangements for multiplex systems
- H04Q11/0001—Selecting arrangements for multiplex systems using optical switching
- H04Q11/0062—Network aspects
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Computer Security & Cryptography (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种基于量子密钥分发的OTN加密通信方法及系统,方法包括向量子密钥分发网络申请会话密钥,并将会话密钥与相应的加密策略建立关联;将光通路层中任一层的帧结构划分为开销区域和净荷区域;在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,基于加密策略利用会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备,定期向对端OTN设备发送会话密钥同步报文;本发明支持帧附加信息和管理通道通知两种密钥同步方式,提高可靠性。
Description
技术领域
本发明涉及量子保密通信技术领域,具体涉及一种基于量子密钥分发的OTN加密通信方法及系统。
背景技术
随着光通信技术的发展,光传送网(optical transport network,简称OTN)的部署和使用日益广泛。OTN是网络的一种类型,是指在光域内实现业务信号的传送、复用、路由选择、监控等,并且保证其性能指标和生存性的传送网络。OTN技术是电网络与全光网折衷的产物,将同步数字体系(Synchronous Digital Hierarchy,简称SDH)强大完善的OAM&P理念和功能移植到了波分复用(Wavelength Division Multiplexing,简称WDM)光网络中,有效地弥补了现有WDM系统在性能监控和维护管理方面的不足,其中OAM&P是指根据运营商网络运营的实际需要,通常将网络的管理工作划分为3大类:运营操作(Operation)、管理(Administration)、维护(Maintenance),简称OAM,P是供应(Provisioning)保障,目标是实现网络管理的智能化。
OTN技术可以支持客户信号的透明传送、高带宽的复用交换和配置(最小交叉颗粒为ODU1,约为2.5 Gbit/s),具有强大的开销支持能力,提供强大的OAM功能,支持多层嵌套的串联连接监视(Tandem Connection Monitor,简称TCM)功能、具有前向纠错(ForwardError Correction,简称FEC)支持能力。OTN光通路层的OTN帧结构大大增强了光通路层OCh的数字监视能力,使得OTN组网时,釆用端到端和多个分段同时进行性能监视的方式成为可能。
相对于采用IPSec解决端到端安全问题的SDH专线和WDM网络,OTN专线有更多的技术手段解决密钥同步控制、密钥在线分发、加密载荷组帧等问题,更易于实现OTN节点端到端直接加密。当前,量子密钥分发(Quantum Key Distribution,QKD)技术的出现及不断成熟,也为OTN端到端直接加密提供了强有力的支撑手段,基于OTN和QKD共纤技术,可以做到密钥和加密数据的传输在同一段物理通道进行。
在相关技术中,公布号为CN108667526A的专利申请文献提出利用QKD提供量子密钥结合高级加密标准(Advanced Encryption Standard,AES)算法在OTN的光通路数据单元ODUk与光通路传送单元OTUk之间添加光通路加密单元OEUk进行ODUk承载业务的统一加密和解密实现多业务的安全传送;该方案对OTN结构进行了修改,增加了OEUk层次,但没有涉及到密钥同步问题。
公布号为CN111224772A的专利申请文献提出密钥管理端在接收到加密端发送的第一密钥申请请求以及解密端发送的第二密钥申请请求并分别验证通过时,分别发送第一密钥至加密端以及解密端;使得加密端以及解密端能够同时向密钥管理端申请到相同的密钥,提高了OTN传输系统中密钥分发与管理的便捷性。
发明内容
本发明所要解决的技术问题在于如何实现不同安全域的OTN设备节点之间端到端直接加密通信,提高通信可靠性。
本发明是通过以下技术手段解决上述技术问题的:
第一方面,本发明提出了一种基于量子密钥分发的OTN加密通信方法,应用于发送方OTN设备,所述方法包括:
向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联;
将光通路层中任一层的帧结构划分为开销区域和净荷区域;
在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,并基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;
在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备,并定期向对端OTN设备发送会话密钥同步报文。
第二方面,本发明提出了一种基于量子密钥分发的OTN解密通信方法,应用于接收方OTN设备,所述方法包括:
接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联;
在当前接收方OTN设备支持在开销区域附加信息时,从开销区域获取当前端口入流量帧加密使用的会话密钥序号;
在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号;
基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
第三方面,本发明提出了一种会话密钥分发方法,应用于密钥控制器,所述方法包括:
接收本端OTN设备发送的密钥申请报文;
验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
第四方面,本发明提出了一种OTN设备,所述OTN设备包括:
密钥申请模块,用于向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联;
净荷加解密模块,用于将光通路层中任一层的帧结构划分为开销区域和净荷区域,并在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;以及在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备;
密钥同步控制模块,用于在当前发送方OTN设备不支持在开销区域附加信息时,定期向对端OTN设备发送会话密钥同步报文。
第五方面,本发明提出了一种OTN设备,所述OTN设备包括:
密钥申请模块,用于接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联;
密钥同步控制模块,用于在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号;
净荷加解密模块,用于从开销区域获取当前端口入流量帧加密使用的会话密钥序号或从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号,并基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
第六方面,本发明提出了一种密钥控制器,所述密钥控制器包括:
密钥申请接收模块,用于接收本端OTN设备发送的密钥申请报文;
密钥申请验证模块,用于验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
会话密钥获取模块,用于从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
密钥分发报文生成模块,用于基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
第七方面,本发明提出了一种基于量子密钥分发的OTN加解密通信系统,所述系统包括:第一OTN设备和第二OTN设备,第一OTN设备经第一OTN控制器与第一密钥控制器连接,第二OTN设备经第二OTN控制器与第二密钥控制器连接,第一密钥控制器和第二密钥控制器均与密码服务平台连接,第一密钥控制器和第二密钥控制器均与量子密钥分发网络连接;
所述第一密钥控制器和所述第二密钥控制器,用于根据密码服务平台提供的对端OTN设备的信息,获取或传输会话密钥给所属域内的OTN设备;
所述第一OTN控制器和所述第二OTN控制器,用于建立所属域内OTN设备与对应密钥控制器的密钥分发网络通道;
所述第一OTN设备,用于采用如上所述的基于量子密钥分发的OTN加密通信方法对净荷进行加密处理,得到密文信息;
所述第二OTN设备,用于采用如上所述的基于量子密钥分发的OTN解密通信方法对所述第一OTN设备发送的密文信息进行解密处理。
本发明的优点在于:
(1)本发明从量子密钥分发网络获取会话密钥,并将光通路层中任一层的帧结构划分为开销区域和净荷区域,基于加密策略利用会话密钥对光通路层任一层次用户载荷的净荷进行加密处理,且支持帧附加信息和管理通道通知两种方式进行会话密钥同步,提高了OTN通信的可靠性;而且通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单。
(2)在OTN设备及密钥控制器中预充注有量子密钥分发网络QKD产生的大容量主密钥,实现真正意义上的密钥分发保护过程一次一密,从顶层增强整个系统的安全性。
(3)在OTN设备中建立主密钥池及会话密钥池用于分别对主密钥和会话密钥进行存储,降低密钥申请和更新的频率,提高通信效率。
(4)采用密码服务平台、密钥控制器、加密通信模块三层结构,和软件定义网络(Software Defined Network,SDN)的管理平面、控制平面、数据平面结构对应,实现软件定义密码的思想。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例提出的一种基于量子密钥分发的OTN加密通信方法的流程示意图;
图2是本发明第二实施例提出的一种基于量子密钥分发的OTN解密通信方法的流程示意图;
图3是本发明第三实施例提出的一种会话秘钥分发方法的流程示意图;
图4是本发明第四实施例提出的一种OTN设备的结构示意图;
图5是本发明第五实施例提出的一种秘钥控制器的结构示意图;
图6是本发明第七实施例提出的一种基于量子密钥分发的OTN加解密通信系统的结构示意图;
图7是本发明第七实施例提出的一种基于量子密钥分发的OTN加解密通信系统的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例公开了一种基于量子密钥分发的OTN加密通信方法,应用于发送方OTN设备,所述方法包括以下步骤:
S101、向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联;
S102、将光通路层中任一层的帧结构划分为开销区域和净荷区域;
需要说明的是,本实施例采用OTN原生技术进行开销区域和净荷区域的划分,并通过系统设置设定OTN设备是否支持在开销区域附加信息,具体为将OTUk、ODUk和OPUk的帧结构划划分为开销区域和净荷区域。
S103、在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,并基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;
S104、在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备,并定期向对端OTN设备发送会话密钥同步报文。
本实施例从量子密钥分发网络获取会话密钥,通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单;并且将光通路层OCh中任一层的帧结构划分为开销区域和净荷区域,基于加密策略利用会话密钥对光通路层任一层次用户载荷的净荷进行加密处理,实现不同安全域的OTN设备节点之间端到端直接加密通信,且支持帧附加信息和管理通道通知两种方式进行会话密钥同步,利用OTN各层的开销区域承载密钥信息,或者通过专门的管理通道进行密钥同步,保证密钥同步从而在提高加密通信可靠性的同时对OTN原生业务零侵入,提高了OTN通信的可靠性。
在一实施例中,所述光通路层OCh包括光通路传送单元OTUk、光通路数据单元ODUk和光通路净荷单元OPUk,k取不同值表示不同的传输速率,所述步骤S102:基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密,包括以下步骤:
基于加密策略利用所述会话密钥对OTUk、ODUk和OPUk任一单元对应的净荷区域内用户载荷的净荷进行透明加密处理。
需要说明的是,本实施例根据系统设定对OTUk、ODUk和OPUk任一层次用户载荷的净荷进行透明加密处理,加密模式采用CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据,对OTN业务无影响,兼容性好。
在一实施例中,所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
具体地,密钥校验值的计算如下:
SM3_HMAC(KeySeq,Seq|IDi|IDr|Port_i|Port_r|timestamp)
其中,IDi为发起方OTN设备标识,IDr为接收方OTN设备标识,Port_i为发起方OTN设备的端口标识,Port_r为接收方OTN设备的端口标识,timestamp为发起方OTN设备时间戳,KeySeq表示序号为Seq的会话密钥,Seq为会话密钥序号,|为字节串连接符,SM3_HMAC(Key,X)表示使用带密钥Key的密码杂凑算法SM3对X进行密码杂凑运算。
在一实施例中,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
需要说明的是,发起方OTN设备和接收方OTN设备之间设置有管理控制通道和OTN加密通道,如果OTN设备支持在开销区域附加信息,则在开销区域加入当前端口本帧加密使用的会话密钥序号;如果OTN设备不支持在开销区域附加信息,则通过管理运维通道定期向当前端口对端OTN设备发送密钥同步报文,传输会话密钥序号,通过设置支持帧附加信息和管理通道通知两种密钥同步方式,提高OTN通信可靠性。
在一实施例中,所述发送方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
应当理解的是,发送方OTN设备和接收方OTN设备均存储有密码服务平台下发的加密策略。
具体地,加密策略包括双方设备和端口标识、加密算法、明通密通等属性设置例如:
OTN1:端口1<—>OTN2:端口1采用SM4算法加密;
OTN1:端口2<—>OTN3:端口1直接明通;
OTN2:端口2<—>OTN3:端口2采用AES算法加密;
…
在实际应用中,密码服务平台建立OTN设备和QKD节点间的映射关系,建立不同OTN设备间加密端口的连接拓扑并配置相应的加密策略,向密钥控制器并进一步通过密钥控制器与OTN控制器之间的网络通道向OTN设备下发该OTN设备的加密策略。
在一实施例中,所述步骤S101:向量子密钥分发网络申请会话密钥,具体包括以下步骤:
S111、向所连接的密钥控制器发送密钥申请报文;
需要说明的是,OTN设备通过OTN控制器与对应的密钥控制器连接,该密钥控制器分别与密码服务平台和量子密钥分发网络QKD连接。
其中,量子密钥分发网络QKD包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点即QKD节点存储生成的量子密钥,接收密钥申请进行密钥分发,通过密钥控制器或直接提供密钥充注服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
S112、接收所连接的密钥控制器返回的密钥分发报文,所述密钥分发报文为所述密钥控制器验证所述密钥申请报文通过后从QKD网络中获取会话密钥并利用随机选取的主密钥加密得到。
其中,发起方OTN设备对应的密钥控制器通过与OTN控制器之间的网络连接通道转发所述密钥分发报文至发起方OTN设备。
本实施例基于QKD进行密钥的申请和分发,加密方和解密方不是从同一个KM获取密钥,而是利用QKD的跨域密钥传输从分布于不同区域的KM对接QKD网络获取同一个密钥。
在一实施例中,所述发送方OTN设备与所述密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥。
具体地,可使用智能密码钥匙、安全SIM卡、安全TF卡等大容量安全介质或加密文件或通过安全通道(例如TLS)在线传输的方式,为通信双方的OTN设备充注大容量量子主密钥并建立各自的主密钥池,通信双方OTN设备对应的密钥控制器也建立所属各OTN设备的主密钥池。
相应地,所述步骤S111:向所连接的密钥控制器发送密钥申请报文,具体包括:
根据发送方OTN设备的加密策略向其所连接的密钥控制器发送密钥申请报文,所述密钥申请报文使用从发送方OTN设备对应的主密钥池中随机选择的主密钥KeyIDk进行加密保护,所述密钥申请报文的内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk+申请会话密钥数量Nk+SM3_HMAC(KeyIDk,IDi|IDr|IDk)。
在一实施例中,所述密钥分发报文为所述密钥控制器利用自身主密钥池中的主密钥验证所述密钥申请报文通过后从QKD网络中获取会话密钥及会话密钥序号并利用随机选取的主密钥加密得到;
所述会话密钥为从发送方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取。
具体地,发起方OTN设备通过发起方OTN控制器与发起方密钥控制器之间的网络连接通道转发会话密钥申请到发起方密钥控制器,发起方密钥控制器使用IDk标识从其主密钥池中选择对应的主密钥计算SM3_HMAC,验证通过后向密码服务平台查询接收方OTN设备标识IDr所属QKD节点信息,发起方密钥控制器从发起OTN设备所属QKD节点与接收方OTN设备QKD节点之间的QKD链路对应密钥池中获取Nk支会话密钥并将密钥起止序号(Seq_start,Seq_end)报送密码服务平台。
发起方密钥控制器根据会话密钥生成会话密钥分发报文,并从其对应的主密钥池中随机选择主密钥进行加密,密钥分发报文使用随机选择的主密钥保护,内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk_i+申请密钥数量Nk+Seq_Start+Seq_end+SM4_ENC(KeyIDk_i,Key1|Key2…|KeyNk)+SM3_HMAC(KeyIDk_i,IDi|IDr|IDk|Seq_start|Seq_end)
其中,SM4_ENC(Key,X)表示使用密钥Key和分组密码算法SM4对X进行加密运算。
在一实施例中,在所述步骤S112中接收所连接的密钥控制器返回的密钥分发报文之后,所述方法还包括:
利用发送方OTN设备对应的主密钥池中的主密钥对所述密钥分发报文进行解密,获取所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
需要说明的是,发起方OTN设备基于主密钥标识IDk_i在自身对应的主密钥池中选择对应的主密钥对所述会话密钥分发报文进行解密,得到会话密钥并将会话密钥存储在会话密钥池中,并为相应的加密策略添加指向该块会话密钥的连接。
本实施例使用量子密钥分发网络QKD产生的大容量主密钥并充注至OTN设备和密钥控制器中的主密钥池中,实现真正意义上的密钥分发保护过程一次一密,从顶层增强整个系统的安全性;通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单;而且通过在OTN设备中建立密钥池对主密钥和会话密钥进行存储,降低密钥申请和更新的频率,提高通信效率。
在一实施例中,所述方法还包括定期对与加密策略相关的会话密钥进行更新,具体过程为:
对用于净荷加密的会话密钥的序号加1;
当密钥序号超出密钥分发的所述会话密钥的序号上限时,重新触发会话密钥分发过程,对所述会话密钥进行更新。
具体为,将会话密钥序号加1并用于OTN出流量加密,当密钥序号超出密钥分发的序号上限即上述Seq_end,进行密钥申请即触发上述密钥分发过程。
实施例2
如图2所示,本发明第二实施例公开了一种基于量子密钥分发的OTN解密通信方法,应用于接收方OTN设备,所述方法包括以下步骤:
S201、接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联;
S202、在当前接收方OTN设备支持在开销区域附加信息时,从开销区域获取当前端口入流量帧加密使用的会话密钥序号;
S203、在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号;
S204、基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
本实施例中接收方OTN设备根据系统设定对光通路任一层次用户载荷的净荷进行解密处理,如果接收方OTN设备支持在开销区域附加信息,则从开销区域获取当前端口入流量帧加密使用的会话密钥序号,并从该端口加密策略指向的会话密钥块中得到该会话密钥用于解密,不会出现密钥不同步的情况;如果接收方OTN设备不支持在开销区域附加信息,则通过所接受的密钥同步报文中获取端口入流量加密使用的会话密钥序号,并从端口加密策略指向的会话密钥块中得到该会话密钥用于解密,也可以在最短时间内纠正密钥不同步情况,由于支持帧附加信息和管理通道通知两种密钥同步方式,提高了OTN通信可靠性。
在一实施例中,所述接收方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
本实施例根据系统设定对OTUk、ODUk和OPUk任一层次用户载荷的净荷进行透明解密处理,解密模式采用CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
在一实施例中,所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
具体地,密钥校验值的计算如下:
SM3_HMAC(KeySeq,Seq|IDi|IDr|Port_i|Port_r|timestamp)
其中,IDi为发起方OTN设备标识,IDr为接收方OTN设备标识,Port_i为发起方OTN设备的端口标识,Port_r为接收方OTN设备的端口标识,timestamp为发起方OTN设备时间戳,KeySeq表示序号为Seq的会话密钥,Seq为会话密钥序号,|为字节串连接符,SM3_HMAC(Key,X)表示使用带密钥Key的密码杂凑算法SM3对X进行密码杂凑运算。
在一实施例中,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
需要说明的是,发起方OTN设备和接收方OTN设备之间设置有管理控制通道和OTN加密通道,如果OTN设备支持在开销区域附加信息,则在开销区域加入当前端口本帧加密使用的会话密钥序号;如果OTN设备不支持在开销区域附加信息,则通过管理运维通道定期向该端口对端OTN设备发送密钥同步报文,传输会话密钥序号,通过设置支持帧附加信息和管理通道通知两种密钥同步方式,提高OTN通信可靠性。
在一实施例中,发送方OTN设备和接收方OTN设备均存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
应当理解的是,发送方OTN设备和接收方OTN设备均存储有密码服务平台下发的加密策略。
具体地,加密策略包括双方设备和端口标识、加密算法、明通密通等属性设置例如:
OTN1:端口1<—>OTN2:端口1采用SM4算法加密;
OTN1:端口2<—>OTN3:端口1直接明通;
OTN2:端口2<—>OTN3:端口2采用AES算法加密;
…
在实际应用中,密码服务平台建立OTN设备和QKD节点间的映射关系,建立不同OTN设备间加密端口的连接拓扑并配置相应的加密策略,向密钥控制器并进一步通过密钥控制器与OTN控制器之间的网络通道向OTN设备下发该OTN设备的加密策略。
在一实施例中,所述方法还包括以下步骤:
在确定出现密钥失步时,所述接收方OTN设备作为发起方重新触发会话密钥分发过程;
其中,确定出现密钥失步的情况包括从所述开销区域获得的会话密钥序列无对应的会话密钥,或者从所述密钥同步报文中获取的会话密钥序号无对应的会话密钥,或者所述密钥同步报文校验失败。
在一实施例中,所述步骤S201:接收量子密钥分发网络下发的会话密钥,包括以下步骤:
接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文,所述密钥分发报文中携带的会话密钥为该密钥控制器基于密码服务平台发送的对端OTN设备获取的会话密钥起止序号及对端OTN设备对应的QKD节点信息,从接收方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取与会话密钥起止序号对应的会话密钥。
在一实施例中,所述接收方OTN设备与其所连接的密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥,所述密钥分发报文为采用所述密钥控制器对应主密钥池中的主密钥KeyIDk_r加密得到,具体内容为:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk_r+申请密钥数量Nk+Seq_Start+Seq_end+SM4_ENC(KeyIDk_r,Key1|Key2…|KeyNk)+SM3_HMAC(KeyIDk_r,IDi|IDr|IDk|Seq_start|Seq_end)
在一实施例中,在所述接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文之后,所述方法还包括以下步骤:
从接收方OTN设备对应主密钥池中选择对应的主密钥对所述密钥分发报文进行解密,得到所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
实施例3
如图3所示,本发明第三实施例公开了一种会话密钥分发方法,应用于密钥控制器,所述方法包括以下步骤:
S301、接收本端OTN设备发送的密钥申请报文;
S302、验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
S303、从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
S304、基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
本实施例通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单。
在一实施例中,所述本端OTN设备、所述对端OTN设备中均设置主密钥池,所述主密钥池中存储有主密钥;
所述密钥申请报文为所述本端OTN设备从其对应主密钥池中随机选择主密钥加密得到,所述密钥申请报文内容为:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk+申请密钥数量Nk+SM3_HMAC(KeyIDk,IDi|IDr|IDk)。
在一实施例中,所述步骤S302:验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息,包括以下步骤:
基于所述本端OTN设备所连接的密钥控制器对应的主密钥池中选择对应的主密钥对所述密钥申请报文进行验证;
验证通过后,向所述密码服务平台查询对端OTN设备所属QKD节点信息;
其中,所述密码服务平台存储有OTN设备和QKD节点的映射关系,以及不同OTN设备间加密端口的连接拓扑和相应的加密策略。
需要说明的是,本实施例使用量子密钥分发网络QKD产生的大容量主密钥并预充注至密钥控制器及OTN设备的主密钥池中,用于对密钥申请报文及会话密钥分发报文进行加密,实现真正意义上的密钥分发保护过程一次一密,从顶层增强整个系统的安全性。
在一实施例中,所述基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备,包括:
基于所述会话密钥及密钥起止序号,生成密钥分发报文;
采用对应主密钥池中的主密钥对所述密钥分发报文进行加密后发送至本端OTN设备。
具体地,密钥分发报文使用随机选择的主密钥保护,并将密钥分发报文通过接受方OTN控制器推送给接受方OTN设备,内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk_i+申请密钥数量Nk+Seq_Start+Seq_end+SM4_ENC(KeyIDk_i,Key1|Key2…|KeyNk)+SM3_HMAC(KeyIDk_i,IDi|IDr|IDk| Seq_start|Seq_end)。
实施例4
如图4所示,本发明第四实施例公开了一种OTN设备,所述OTN设备包括:
密钥申请模块11,用于向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联;
净荷加解密模块12,用于将光通路层中任一层的帧结构划分为开销区域和净荷区域,并在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;以及在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备;
密钥同步控制模块13,用于在当前发送方OTN设备不支持在开销区域附加信息时,定期向对端OTN设备发送会话密钥同步报文。
本实施例从量子密钥分发网络获取会话密钥,通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单;并且将光通路层OCh中任一层的帧结构划分为开销区域和净荷区域,基于加密策略利用会话密钥对光通路层任一层次用户载荷的净荷进行加密处理,实现不同安全域的OTN设备节点之间端到端直接加密通信,且支持帧附加信息和管理通道通知两种方式进行会话密钥同步,提高了OTN通信的可靠性。
在一实施例中,所述光通路层包括光通路传送单元OTUk、光通路数据单元ODUk和光通路净荷单元OPUk,所述净荷加解密模块12,用于基于加密策略利用所述会话密钥对OTUk、ODUk和OPUk任一单元对应的净荷区域内用户载荷的净荷进行透明加密处理。
在一实施例中,所述话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
在一实施例中,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
在一实施例中,所述发送方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
在一实施例中,所述密钥申请模块11,包括:
密钥申请单元,用于向所连接的密钥控制器发送密钥申请报文;
密钥分发报文接收单元,用于接收所连接的密钥控制器返回的密钥分发报文,所述密钥分发报文为所述密钥控制器验证所述密钥申请报文通过后从QKD网络中获取会话密钥并利用随机选取的主密钥加密得到。
在一实施例中,所述送方OTN设备与所述密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥;所述密钥申请模块11还用于:根据发送方OTN设备的加密策略向其所连接的密钥控制器发送密钥申请报文,所述密钥申请报文使用从发送方OTN设备对应的主密钥池中随机选择的主密钥KeyIDk进行加密保护。
在一实施例中,所述密钥分发报文为所述密钥控制器利用自身主密钥池中的主密钥验证所述密钥申请报文通过后从QKD网络中获取会话密钥及会话密钥序号并利用随机选取的主密钥加密得到;
所述会话密钥为从发送方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取。
在一实施例中,所述密钥分发报文接收单元,用于:
利用发送方OTN设备对应的主密钥池中的主密钥对所述密钥分发报文进行解密,获取所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
在一实施例中,所述OTN设备还包括第一密钥更新模块,用于:
对用于净荷加密的会话密钥的序号加1;
当密钥序号超出密钥分发的所述会话密钥的序号上限时,重新触发所述密钥申请模块22进行会话密钥分发过程,对所述会话密钥进行更新。
需要说明的是,本发明所述OTN设备的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例5
如图4所示,本发明第五实施例公开了一种OTN设备,所述OTN设备包括:
密钥申请模块11,用于接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联;
密钥同步控制模块13,用于在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取该端口入流量加密使用的会话密钥序号;
净荷加解密模块12,用于从开销区域获取当前端口入流量帧加密使用的会话密钥序号或从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号,并基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
在一实施例中,所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
在一实施例中,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
在一实施例中,所述接收方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
在一实施例中,所述OTN设备还包括第二密钥更新模块,用于:
在确定出现密钥失步时,所述接收方OTN设备作为发起方重新触发会话密钥分发过程;
其中,确定出现密钥失步的情况包括从所述开销区域获得的会话密钥序列无对应的会话密钥,或者从所述密钥同步报文中获取的会话密钥序号无对应的会话密钥,或者所述密钥同步报文校验失败。
在一实施例中,所述密钥申请模块11,还用于:
接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文,所述密钥分发报文中携带的会话密钥为该密钥控制器基于密码服务平台发送的对端OTN设备获取的会话密钥起止序号及对端OTN设备对应的QKD节点信息,从接收方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取与会话密钥起止序号对应的会话密钥。
在一实施例中,所述接收方OTN设备与其所连接的密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥,所述密钥分发报文为采用所述密钥控制器对应主密钥池中的主密钥加密得到;所述密钥申请模块11还具体用于:
从接收方OTN设备对应主密钥池中选择对应的主密钥对所述密钥分发报文进行解密,得到所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
本实施例中,在OTN设备中建立主密钥池和会话密钥池,其中主密钥池中存储有经量子密钥分发网络生成并预充注的大量主密钥,会话密钥池中存储有经量子密钥分发网络分发的会话密钥,建立密钥池对主密钥和会话密钥进行存储,降低密钥申请和更新的频率,提高通信效率。
需要说明的是,本发明所述OTN设备的其他实施例或具有实现方法可参照上述方法实施例2,此处不再赘余。
实施例6
如图5所示,本发明第六实施例公开了一种密钥控制器,所述密钥控制器包括:
密钥申请接收模块21,用于接收本端OTN设备发送的密钥申请报文;
密钥申请验证模块22,用于验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
会话密钥获取模块23,用于从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
密钥分发报文生成模块24,用于基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
在一实施例中,所述本端OTN设备、所述对端OTN设备中均设置主密钥池,所述主密钥池中存储有主密钥;
所述密钥申请报文为所述本端OTN设备从其对应主密钥池中随机选择主密钥加密得到。
在一实施例中,所述密钥申请验证模块22,具体用于:
基于所述本端OTN设备所连接的密钥控制器对应的主密钥池中选择对应的主密钥对所述密钥申请报文进行验证;
验证通过后,向所述密码服务平台查询对端OTN设备所属QKD节点信息;
其中,所述密码服务平台存储有OTN设备和QKD节点的映射关系,以及不同OTN设备间加密端口的连接拓扑和相应的加密策略。
在一实施例中,所述密钥分发报文生成模块24,用于:
基于所述会话密钥及密钥起止序号,生成密钥分发报文;
采用对应主密钥池中的主密钥对所述密钥分发报文进行加密后发送至本端OTN设备。
需要说明的是,本发明所述密钥控制器的其他实施例或具有实现方法可参照上述方法实施例3,此处不再赘余。
实施例7
如图6所示,本发明第七实施例公开了一种基于量子密钥分发的OTN加解密通信系统,所述系统包括:第一OTN设备和第二OTN设备,第一OTN设备经第一OTN控制器与第一密钥控制器连接,第二OTN设备经第二OTN控制器与第二密钥控制器连接,第一密钥控制器和第二密钥控制器均与密码服务平台连接,第一密钥控制器和第二密钥控制器均与量子密钥分发网络连接;
所述第一密钥控制器和所述第二密钥控制器,用于根据密码服务平台提供的对端OTN设备的信息,获取或传输会话密钥给所属域内的OTN设备;
所述第一OTN控制器和所述第二OTN控制器,用于建立所属域内OTN设备与对应密钥控制器的密钥分发网络通道;
所述第一OTN设备,用于采用如上第一实施例所述的基于量子密钥分发的OTN加密通信方法对净荷进行加密处理,得到密文信息;
所述第二OTN设备,用于采用如上第二实施例所述的基于量子密钥分发的OTN解密通信方法对所述第一OTN设备发送的密文信息进行解密处理。
具体地,本实施例中设置的密钥控制器:用于根据CSP提供的对端OTN设备信息,通过QKD设备同步传输或从QKD设备获取量子密钥并传输(通过OTN控制器)给所属域内OTN设备。
OTN控制器:用于对OTN设备进行操作、管理、运维等的网络组件,其上运行密钥分发代理,建立本控制器所属域内OTN设备与密钥控制器的密钥分发网络通道。
OTN设备一般指用户接入侧的OTN设备,按端口提供OTN通道并运行净荷加解密模块对端口粒度的OTUk/ODUk/OPUk的净荷进行加密(出)解密(入)处理,其上建立主密钥池提供会话密钥分发保护所用主密钥,建立会话密钥池提供OTUk/ODUk/OPUk加解密所需密钥,运行密钥同步控制模块进行密钥正确性验证和密钥同步控制,运行密钥申请模块通过OTN控制器的网络通道向密钥控制器申请相应会话密钥
密码服务平台:用于提供OTN设备和QKD结点的映射关系,建立不同OTN设备间加密端口的连接拓扑并配置和下发相应的加密策略,
量子密钥分发网络:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点(QKD节点):存储生成的量子密钥,接收密钥申请进行密钥分发,通过密钥控制器或直接提供密钥充注服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
应当理解的是,本实施例中的OTN设备及密钥控制器的具体结构设置可参见上述第四实施例至第六实施例记载的内容,该处不再赘述。
进一步地,如图7所示,本实施例提出的基于量子密钥分发的OTN加解密通信系统的工作流程如下(以下所指发起方OTN设备是密钥分发过程的发起方,接收方OTN设备是密钥分发过程的接收方,实际的OTN加密通信双方即第一OTN设备和第二OTN设备均同时为发送方和接受方):
(1)初始化,使用大容量安全介质或加密文件或通过安全通道(例如TLS)在线传输的方式,为OTN设备充注大容量量子主密钥并建立各自的主密钥池,相应的密钥控制器也建立所属各OTN设备的主密钥池。
(2)密码服务平台建立OTN设备和QKD结点的映射关系,建立不同OTN设备间加密端口的连接拓扑并配置相应的加密策略,加密策略包括双方设备和端口标识、加密算法、明通密通等属性设置例如:
OTN1:端口1<—>OTN2:端口1采用SM4算法加密;
OTN1:端口2<—>OTN3:端口1直接明通;
OTN2:端口2<—>OTN3:端口2采用AES算法加密;
…
密码服务平台向密钥控制器并进一步通过OTN控制器向OTN设备下发该OTN设备的加密策略。
(3)OTN设备的密钥申请模块根据加密策略向密钥控制器申请会话密钥,密钥申请报文使用随机选择的主密钥保护,内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk+申请密钥数量Nk+SM3_HMAC(KeyIDk,IDi|IDr|IDk)
(4)发起方OTN控制器通过和密钥控制器之间的网络连接通道转发会话密钥申请到发起方密钥控制器。
(5)发起方密钥控制器使用IDk标识的主密钥计算SM3_HMAC,验证通过后向密码服务平台查询IDr所属QKD节点信息。
(6)发起方密钥控制器从所属QKD节点与IDr所属QKD节点的QKD链路对应密钥池中获取Nk支会话密钥并将密钥起止序号(Seq_start,Seq_end)报送密码服务平台。
(7)密码服务平台将IDi获取的密钥起止序号及IDi对应的QKD节点信息推送给接收方密钥控制器。
(8)接受方密钥控制器从所属QKD节点与IDi所属QKD节点的QKD链路对应密钥池中获取密钥起止序号(Seq_start,Seq_end)对应的Nk支会话密钥.
(9)发起方密钥控制器将密钥分发报文通过发起方OTN控制器发送给发起方OTN设备,OTN设备将接收到的会话密钥存储到会话密钥池并和相应的加密策略建立关联(即为相应的加密策略添加指向该块会话密钥的连接)。密钥分发报文使用随机选择的主密钥保护,内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk_i+申请密钥数量Nk+Seq_Start+Seq_end+SM4_ENC(KeyIDk_i,Key1|Key2…|KeyNk)+SM3_HMAC(KeyIDk_i,IDi|IDr|IDk| Seq_start|Seq_end)。
(10)接受方密钥控制器将密钥分发报文通过接受方OTN控制器推送给接受方OTN设备,OTN设备将接收到的会话密钥存储到会话密钥池并和相应的加密策略建立关联(即为相应的加密策略添加指向该块会话密钥的连接)。密钥分发报文使用随机选择的主密钥保护,内容如下:
发起方OTN设备标识IDi+接收方OTN设备标识IDr+主密钥标识IDk_r+申请密钥数量Nk+Seq_Start+Seq_end+SM4_ENC(KeyIDk_r,Key1|Key2…|KeyNk)+SM3_HMAC(KeyIDk_r,IDi|IDr|IDk| Seq_start|Seq_end)。
(11)OTN设备使用根据加密策略,调用净荷加解密模块并使用会话密钥,对OTN端口出流量进行加密处理。根据系统设定,可对OTUk/ODUk/OPUk任一层次用户载荷的净荷进行加密处理,加密模式采用CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),不增加任何额外数据。
OTUk/ODUk/OPUk的帧结构分为开销区域和净荷区域,本方案根据系统设定层次对净荷区域进行透明加密(不增加额外数据),如果OTN设备支持在开销区域附加信息,则在开销区域加入该端口本帧加密使用的会话密钥序号;如果OTN设备不支持在开销区域附加信息,则启用密钥同步控制模块,通过管理运维通道定期向该端口对端OTN设备发送密钥同步报文,该报文包括本设备该端口当前使用的会话密钥序号Seq、两端设备标识、两端端口、本设备时间戳、密钥校验值,其中密钥校验值计算如下:
SM3_HMAC(KeySeq,Seq|IDi|IDr|Port_i|Port_r|timestamp)。
(12)接收方OTN设备使用根据加密策略,调用净荷加解密模块对OTN端口入流量进行解密处理。根据系统设定对OTUk/ODUk/OPUk任一层次用户载荷的净荷进行解密处理,解密模式采用CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分)。
如果OTN设备支持及系统设定在开销区域附加信息,则从开销区域获取当前端口入流量帧加密使用的会话密钥序号,并从该端口加密策略指向的会话密钥块中得到该会话密钥用于解密;如果OTN设备不支持在开销区域附加信息,则通过所接受的密钥同步报文中获取该端口入流量加密使用的会话密钥序号,并从该端口加密策略指向的会话密钥块中得到该会话密钥用于解密。
(13)会话密钥更新:接收方OTN设备如果从开销区域获得的会话密钥序号无对应密钥,或者密钥同步报文通报的当前会话密钥序号无对应密钥或者校验失败,则出现密钥失步,由入流量解密方即发现密钥失步的OTN设备作为发起方进行密钥申请即触发密钥分发过程刷新OTN通信两端的会话密钥。
发送方OTN设备定期对加密策略关联的会话密钥进行更新,即将会话密钥序号加1并用于OTN出流量加密,当密钥序号超出密钥分发的序号上限即上述Seq_end,进行密钥申请即触发上述密钥分发过程。
本实施例布置量子密钥分发网络QKD和分布式部署的密钥控制器,并在OTN控制器上运行密钥分发代理,在OTN设备上建立密钥池并运行密钥同步控制模块及OTN净荷加解密模块等密码相关模块,实现不同安全域的OTN设备节点之间端到端直接加密通信。在OTN载荷加解密处理过程中支持帧附加信息和管理通道通知两种密钥同步方式,提高可靠性;在密钥分发过程中通过QKD网络进行不同域OTN设备间加密通信的会话密钥的分发,安全性和通信效率较高,管理部署简单,并使用量子密钥分发网络QKD产生的大容量主密钥,实现真正意义上的密钥分发保护过程一次一密,从顶层增强整个系统的安全性,OTN设备通过建立密钥池对主密钥和会话密钥进行存储,降低密钥申请和更新的频率,提高通信效率。另外通过采用密码服务平台、密钥控制器、加密通信模块三层结构,和SDN的管理平面、控制平面、数据平面结构对应,实现软件定义密码的思想。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (24)
1.一种基于量子密钥分发的OTN加密通信方法,其特征在于,应用于发送方OTN设备,所述方法包括:
向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联,其中向量子密钥分发网络申请会话密钥包括:向所连接的密钥控制器发送密钥申请报文并接收所连接的密钥控制器返回的密钥分发报文,所述密钥分发报文为该密钥控制器向密码服务平台查询对端OTN设备所属QKD节点信息,并从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号所生成;
将光通路层中任一层的帧结构划分为开销区域和净荷区域;
在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,并基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;
在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备,并定期向对端OTN设备发送会话密钥同步报文。
2.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述光通路层包括光通路传送单元OTUk、光通路数据单元ODUk和光通路净荷单元OPUk,所述基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密,包括:
基于加密策略利用所述会话密钥对OTUk、ODUk和OPUk任一单元对应的净荷区域内用户载荷的净荷进行透明加密处理。
3.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
4.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
5.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述发送方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
6.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述向量子密钥分发网络申请会话密钥,包括:
向所连接的密钥控制器发送密钥申请报文;
接收所连接的密钥控制器返回的密钥分发报文,所述密钥分发报文为所述密钥控制器验证所述密钥申请报文通过后从QKD网络中获取会话密钥并利用随机选取的主密钥加密得到。
7.如权利要求6所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述发送方OTN设备与所述密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥;
所述向所连接的密钥控制器发送密钥申请报文,包括:
根据发送方OTN设备的加密策略向其所连接的密钥控制器发送密钥申请报文,所述密钥申请报文使用从发送方OTN设备对应的主密钥池中随机选择的主密钥KeyIDk进行加密保护。
8.如权利要求6所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述密钥分发报文为所述密钥控制器利用自身主密钥池中的主密钥验证所述密钥申请报文通过后从QKD网络中获取会话密钥及会话密钥序号并利用随机选取的主密钥加密得到;
所述会话密钥为从发送方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取。
9.如权利要求7所述的基于量子密钥分发的OTN加密通信方法,其特征在于,在所述接收所连接的密钥控制器返回的密钥分发报文之后,所述方法还包括:
利用发送方OTN设备对应的主密钥池中的主密钥对所述密钥分发报文进行解密,获取所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
10.如权利要求1所述的基于量子密钥分发的OTN加密通信方法,其特征在于,所述方法还包括:
对用于净荷加密的会话密钥的序号加1;
当密钥序号超出密钥分发的所述会话密钥的序号上限时,重新触发会话密钥分发过程,对所述会话密钥进行更新。
11.一种基于量子密钥分发的OTN解密通信方法,其特征在于,应用于接收方OTN设备,所述方法包括:
接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联,其中所述接收量子密钥分发网络下发的会话密钥包括:接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文,所述密钥分发报文中携带的会话密钥为该密钥控制器基于密码服务平台发送的对端OTN设备获取的会话密钥起止序号及对端OTN设备对应的QKD节点信息,从接收方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取与会话密钥起止序号对应的会话密钥;
在当前接收方OTN设备支持在开销区域附加信息时,从开销区域获取当前端口入流量帧加密使用的会话密钥序号;
在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号;
基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
12.如权利要求11所述的基于量子密钥分发的OTN解密通信方法,其特征在于,所述会话密钥同步报文包括发送方OTN设备端口当前使用的会话密钥序号、通信双方OTN设备的标识、通信双方OTN设备的端口标识、发送方OTN设备时间戳以及密钥校验值。
13.如权利要求11所述的基于量子密钥分发的OTN解密通信方法,其特征在于,所述会话密钥同步报文通过通信双方OTN设备之间的管理控制通道传输。
14.如权利要求11所述的基于量子密钥分发的OTN解密通信方法,其特征在于,所述接收方OTN设备存储有由密码服务平台下发的加密策略,所述加密策略包括通信双方OTN设备的端口标识、加密算法及明密属性。
15.如权利要求11所述的基于量子密钥分发的OTN解密通信方法,其特征在于,所述方法还包括:
在确定出现密钥失步时,所述接收方OTN设备作为发起方重新触发会话密钥分发过程;
其中,确定出现密钥失步的情况包括从所述开销区域获得的会话密钥序列无对应的会话密钥,或者从所述密钥同步报文中获取的会话密钥序号无对应的会话密钥,或者所述密钥同步报文校验失败。
16.如权利要求11所述的基于量子密钥分发的OTN解密通信方法,其特征在于,所述接收方OTN设备与其所连接的密钥控制器中均设置有主密钥池,所述主密钥池中存储有主密钥,所述密钥分发报文为采用所述密钥控制器对应主密钥池中的主密钥加密得到;在所述接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文之后,所述方法还包括:
从接收方OTN设备对应主密钥池中选择对应的主密钥对所述密钥分发报文进行解密,得到所述会话密钥;
将所述会话密钥存储到会话密钥池,并将所述会话密钥与相应的加密策略建立关联。
17.一种会话密钥分发方法,其特征在于,应用于密钥控制器,所述方法包括:
接收本端OTN设备发送的密钥申请报文;
验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
18.如权利要求17所述的会话密钥分发方法,其特征在于,所述本端OTN设备、所述对端OTN设备中均设置主密钥池,所述主密钥池中存储有主密钥;
所述密钥申请报文为所述本端OTN设备从其对应主密钥池中随机选择主密钥加密得到。
19.如权利要求17所述的会话密钥分发方法,其特征在于,所述验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息,包括:
基于所述本端OTN设备所连接的密钥控制器对应的主密钥池中选择对应的主密钥对所述密钥申请报文进行验证;
验证通过后,向所述密码服务平台查询对端OTN设备所属QKD节点信息;
其中,所述密码服务平台存储有OTN设备和QKD节点的映射关系,以及不同OTN设备间加密端口的连接拓扑和相应的加密策略。
20.如权利要求17所述的会话密钥分发方法,其特征在于,所述基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备,包括:
基于所述会话密钥及密钥起止序号,生成密钥分发报文;
采用对应主密钥池中的主密钥对所述密钥分发报文进行加密后发送至本端OTN设备。
21.一种OTN设备,其特征在于,所述OTN设备包括:
密钥申请模块,用于向量子密钥分发网络申请会话密钥,并将所述会话密钥与相应的加密策略建立关联,其中向量子密钥分发网络申请会话密钥包括:向所连接的密钥控制器发送密钥申请报文并接收所连接的密钥控制器返回的密钥分发报文,所述密钥分发报文为该密钥控制器向密码服务平台查询对端OTN设备所属QKD节点信息,并从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号所生成;
净荷加解密模块,用于将光通路层中任一层的帧结构划分为开销区域和净荷区域,并在当前发送方OTN设备支持在开销区域附加信息时,在开销区域加入当前端口本帧加密使用的会话密钥序号,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后将整帧发送至对端OTN设备;以及在当前发送方OTN设备不支持在开销区域附加信息时,基于加密策略利用所述会话密钥对当前帧的净荷区域进行加密后发送至对端OTN设备;
密钥同步控制模块,用于在当前发送方OTN设备不支持在开销区域附加信息时,定期向对端OTN设备发送会话密钥同步报文。
22.一种OTN设备,其特征在于,所述OTN设备包括:
密钥申请模块,用于接收量子密钥分发网络下发的会话密钥,并将所述会话密钥与相应的加密策略建立关联,其中所述接收量子密钥分发网络下发的会话密钥包括:接收接收方OTN设备所连接的密钥控制器发送的密钥分发报文,所述密钥分发报文中携带的会话密钥为该密钥控制器基于密码服务平台发送的对端OTN设备获取的会话密钥起止序号及对端OTN设备对应的QKD节点信息,从接收方OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取与会话密钥起止序号对应的会话密钥;
密钥同步控制模块,用于在当前接收方OTN设备不支持在开销区域附加信息时,从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号;
净荷加解密模块,用于从开销区域获取当前端口入流量帧加密使用的会话密钥序号或从对端OTN设备发送的密钥同步报文中获取当前端口入流量帧加密使用的会话密钥序号,并基于所述会话密钥序号获取与加密策略相关联的会话密钥,对对端OTN设备发送的密文信息进行解密。
23.一种密钥控制器,其特征在于,所述密钥控制器包括:
密钥申请接收模块,用于接收本端OTN设备发送的密钥申请报文;
密钥申请验证模块,用于验证所述密钥申请报文通过后,向密码服务平台查询对端OTN设备所属QKD节点信息;
会话密钥获取模块,用于从本端OTN设备所属QKD节点与对端OTN设备所属QKD节点之间的QKD链路对应的密钥池中获取会话密钥及密钥起止序号,并将密钥起止序号报送密码服务平台以使密码服务平台将密钥起止序号及本端OTN设备所属QKD节点信息发送至对端OTN设备对应的密钥控制器;
密钥分发报文生成模块,用于基于所述会话密钥及密钥起止序号,生成密钥分发报文并发送至本端OTN设备。
24.一种基于量子密钥分发的OTN加解密通信系统,其特征在于,所述系统包括:第一OTN设备和第二OTN设备,第一OTN设备经第一OTN控制器与第一密钥控制器连接,第二OTN设备经第二OTN控制器与第二密钥控制器连接,第一密钥控制器和第二密钥控制器均与密码服务平台连接,第一密钥控制器和第二密钥控制器均与量子密钥分发网络连接;
所述第一密钥控制器和所述第二密钥控制器,用于根据密码服务平台提供的对端OTN设备的信息,用于采用如权利要求17~20任一项所述的会话密钥分发方法获取或传输会话密钥给所属域内的OTN设备;
所述第一OTN控制器和所述第二OTN控制器,用于建立所属域内OTN设备与对应密钥控制器的密钥分发网络通道;
所述第一OTN设备,用于采用如权利要求1~10任一项所述的基于量子密钥分发的OTN加密通信方法对净荷进行加密处理,得到密文信息;
所述第二OTN设备,用于采用如权利要求11~16任一项所述的基于量子密钥分发的OTN解密通信方法对所述第一OTN设备发送的密文信息进行解密处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311013856.8A CN116743380B (zh) | 2023-08-14 | 2023-08-14 | 基于量子密钥分发的otn加密通信方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202311013856.8A CN116743380B (zh) | 2023-08-14 | 2023-08-14 | 基于量子密钥分发的otn加密通信方法及系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN116743380A CN116743380A (zh) | 2023-09-12 |
CN116743380B true CN116743380B (zh) | 2023-10-31 |
Family
ID=87901551
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202311013856.8A Active CN116743380B (zh) | 2023-08-14 | 2023-08-14 | 基于量子密钥分发的otn加密通信方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116743380B (zh) |
Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012052079A1 (en) * | 2010-10-22 | 2012-04-26 | Telefonica, S.A. | A method and a system for asynchronous and unreported cryptographic secret symmetric keys cogeneration in spatially distant locations through a distributed system |
CN109743164A (zh) * | 2019-01-24 | 2019-05-10 | 北京邮电大学 | 一种量子卫星网络中信道资源分配方法及装置 |
CN109921903A (zh) * | 2019-03-26 | 2019-06-21 | 北京信而泰科技股份有限公司 | 一种量子密钥成码率真实性检测的系统、方法和装置 |
EP3761557A1 (de) * | 2019-07-05 | 2021-01-06 | Deutsche Telekom AG | Verteilung und nutzung quantensicherer schlüssel in einem netzwerk |
CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
WO2022213564A1 (zh) * | 2021-04-07 | 2022-10-13 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
CN115567208A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 网络会话数据流细粒度透明加解密方法及系统 |
CN115567192A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现组播数据透明加解密方法及系统 |
CN115567205A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现网络会话数据流加解密方法及系统 |
CN115567210A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现零信任访问的方法及系统 |
CN218525222U (zh) * | 2022-06-06 | 2023-02-24 | 中电信量子科技有限公司 | 基于量子密钥的光纤链路感知演示装置 |
CN115766002A (zh) * | 2022-11-15 | 2023-03-07 | 中电信量子科技有限公司 | 采用量子密钥分发及软件定义实现以太数据加解密的方法 |
CN116055091A (zh) * | 2022-11-15 | 2023-05-02 | 中电信量子科技有限公司 | 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备 |
Family Cites Families (12)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US7697687B2 (en) * | 2005-04-13 | 2010-04-13 | Nucrypt, Inc. | Streaming implementation of AlphaEta physical layer encryption |
US8582769B2 (en) * | 2009-10-09 | 2013-11-12 | Nec Laboratories America, Inc. | Secure communication over passive optical network (PON) with quantum encryption |
US10979404B2 (en) * | 2018-03-29 | 2021-04-13 | Paypal, Inc. | Systems and methods for inspecting communication within an encrypted session |
WO2020125967A1 (en) * | 2018-12-19 | 2020-06-25 | Telefonaktiebolaget Lm Ericsson (Publ) | Quantum key distribution apparatus and method |
CN113452512A (zh) * | 2020-03-25 | 2021-09-28 | 广州本民信息科技有限公司 | 一种基于量子密码技术的高速密钥切换量子安全交换机 |
CN113114460B (zh) * | 2021-06-15 | 2021-08-24 | 国网浙江省电力有限公司杭州供电公司 | 一种基于量子加密的配电网信息安全传输方法 |
CN115567204A (zh) * | 2022-09-28 | 2023-01-03 | 江苏亨通问天量子信息研究院有限公司 | 一种基于量子密钥的5g模组、通信系统、方法及应用 |
CN115567209B (zh) * | 2022-09-29 | 2023-09-22 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
CN115567206A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子分发密钥实现网络数据报文加解密方法及系统 |
CN115567207A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现组播数据加解密方法及系统 |
CN116112202A (zh) * | 2022-11-15 | 2023-05-12 | 中电信量子科技有限公司 | 采用自学习自组织方式实现以太数据加解密的方法 |
CN116684093B (zh) * | 2023-08-02 | 2023-10-31 | 中电信量子科技有限公司 | 身份认证与密钥交换方法及系统 |
-
2023
- 2023-08-14 CN CN202311013856.8A patent/CN116743380B/zh active Active
Patent Citations (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2012052079A1 (en) * | 2010-10-22 | 2012-04-26 | Telefonica, S.A. | A method and a system for asynchronous and unreported cryptographic secret symmetric keys cogeneration in spatially distant locations through a distributed system |
CN109743164A (zh) * | 2019-01-24 | 2019-05-10 | 北京邮电大学 | 一种量子卫星网络中信道资源分配方法及装置 |
CN109921903A (zh) * | 2019-03-26 | 2019-06-21 | 北京信而泰科技股份有限公司 | 一种量子密钥成码率真实性检测的系统、方法和装置 |
EP3761557A1 (de) * | 2019-07-05 | 2021-01-06 | Deutsche Telekom AG | Verteilung und nutzung quantensicherer schlüssel in einem netzwerk |
WO2022213564A1 (zh) * | 2021-04-07 | 2022-10-13 | 东南大学 | 一种物联网无线终端量子密钥分发与协商方法 |
CN113612612A (zh) * | 2021-09-30 | 2021-11-05 | 阿里云计算有限公司 | 一种数据加密传输方法、系统、设备及存储介质 |
CN218525222U (zh) * | 2022-06-06 | 2023-02-24 | 中电信量子科技有限公司 | 基于量子密钥的光纤链路感知演示装置 |
CN115567208A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 网络会话数据流细粒度透明加解密方法及系统 |
CN115567205A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现网络会话数据流加解密方法及系统 |
CN115567210A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现零信任访问的方法及系统 |
CN115567192A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现组播数据透明加解密方法及系统 |
CN115766002A (zh) * | 2022-11-15 | 2023-03-07 | 中电信量子科技有限公司 | 采用量子密钥分发及软件定义实现以太数据加解密的方法 |
CN116055091A (zh) * | 2022-11-15 | 2023-05-02 | 中电信量子科技有限公司 | 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备 |
Non-Patent Citations (2)
Title |
---|
A quantum identity authentication protocol based on polarization rotation;Ji Si等;Chinese Journal of Quantum Electronics;全文 * |
量子密钥分发网络中基于机器学习的资源分配技术研究;左颖敏;《中国优秀硕士学位论文全文数据库》;全文 * |
Also Published As
Publication number | Publication date |
---|---|
CN116743380A (zh) | 2023-09-12 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US9838363B2 (en) | Authentication and initial key exchange in ethernet passive optical network over coaxial network | |
US20030072059A1 (en) | System and method for securing a communication channel over an optical network | |
JP5366108B2 (ja) | 光ネットワーク終端装置管理制御インターフェースベースの受動光ネットワークセキュリティ強化 | |
CN106330434B (zh) | 第一量子节点、第二量子节点、安全通信架构系统及方法 | |
TWI472214B (zh) | 用於被動光學網路中之資料隱私的方法及設備 | |
CN108111305B (zh) | 多类型量子终端兼容的融合网络接入系统和方法 | |
JP3805329B2 (ja) | イーサネット(登録商標)受動型光加入者ネットワークシステムでのセキュリティデータ伝送方法 | |
JP2018170766A (ja) | 光ネットワークのための適応性のあるトラフィック暗号化 | |
US7450719B2 (en) | Gigabit Ethernet-based passive optical network and data encryption method | |
CN115987514B (zh) | 一种量子与经典密码融合加密传输设备 | |
US20100191971A1 (en) | Methods and apparatus for layer 2 and layer 3 security between wireless termination points | |
Maeda et al. | Technologies for quantum key distribution networks integrated with optical communication networks | |
CN116743380B (zh) | 基于量子密钥分发的otn加密通信方法及系统 | |
KR20030088643A (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
EP4060931A1 (en) | System and method for optimizing the routing of quantum key distribution (qkd) key material in a network | |
WO2003023980A2 (en) | System and method for securing a communication channel | |
EP3054645B1 (en) | Apparatuses, system, methods and computer programs suitable for transmitting or receiving encrypted output data packets in an optical data transmission network | |
CN117579182B (zh) | 无源光网络系统的业务加密方法、电子设备及存储介质 | |
CN115473641B (zh) | 可自动组网的量子加密通信方法和系统 | |
US11652620B2 (en) | System and method for proactively buffering quantum key distribution (QKD) key material | |
CN111901101B (zh) | 一种密钥更新方法与系统 | |
CN115865499A (zh) | 一种基于切片的军民融合光传送网净荷兼容加密系统 | |
CN116232570A (zh) | 保护数据流转安全的方法以及数据管理系统 | |
CN116599664A (zh) | 一种基于量子密钥分发的链路加密方法 | |
JP2013072965A (ja) | 共通鍵暗号通信システム |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |