CN117394999A - 一种量子安全局域网的组网系统及方法 - Google Patents
一种量子安全局域网的组网系统及方法 Download PDFInfo
- Publication number
- CN117394999A CN117394999A CN202311630283.3A CN202311630283A CN117394999A CN 117394999 A CN117394999 A CN 117394999A CN 202311630283 A CN202311630283 A CN 202311630283A CN 117394999 A CN117394999 A CN 117394999A
- Authority
- CN
- China
- Prior art keywords
- base station
- local area
- access
- area network
- access base
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 31
- 230000006855 networking Effects 0.000 title claims abstract description 20
- 230000006854 communication Effects 0.000 claims abstract description 38
- 238000004891 communication Methods 0.000 claims abstract description 36
- 238000007726 management method Methods 0.000 claims description 52
- 238000012544 monitoring process Methods 0.000 claims description 8
- 239000013589 supplement Substances 0.000 claims description 3
- 230000009286 beneficial effect Effects 0.000 abstract description 3
- 230000008569 process Effects 0.000 description 9
- 238000005516 engineering process Methods 0.000 description 8
- 230000005540 biological transmission Effects 0.000 description 6
- 238000010586 diagram Methods 0.000 description 6
- 238000012545 processing Methods 0.000 description 6
- 238000005336 cracking Methods 0.000 description 2
- 230000009466 transformation Effects 0.000 description 2
- 238000013459 approach Methods 0.000 description 1
- 238000007405 data analysis Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000011161 development Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 230000004044 response Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0876—Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/40—Network security protocols
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
本申请公开了一种量子安全局域网的组网系统及方法。由于该量子安全局域网中包括接入基站以及用户端,用户端可以挂接在接入基站上,且接入基站会为该用户端分配入网标识并将该入网标识发送给该用户端,从而实现接入基站与用户端之间的通信连接,为后续使用该量子安全局域网进行量子通信提供了硬件基础。并且,该接入基站还获取并保存用户端的入网标识与该用户端的IP地址的第一对应关系,有利于后续基于该第一对应关系以及接收数据的用户端的入网标识,与该用户端进行数据的收发,实现了用户端通过该量子安全局域网进行数据的收发,保证了量子安全局域网内各个设备之间的量子安全通信。
Description
技术领域
本申请涉及量子通信安全技术领域,尤其涉及一种量子安全局域网的组网系统及方法。
背景技术
现有的网络安全面临着日益复杂和不断进化的威胁,传统的加密算法在新兴的计算技术面前逐渐显露出脆弱性。由于传统加密方法,如RSA和椭圆曲线加密,依赖于数学问题的难解性,而近几年来量子计算机的崛起对传统加密体系构成了急迫的威胁,将传统加密算法推向了危险的边缘。传统加密算法的破解将使得敏感信息、商业机密和个人隐私变得易受攻击。因此,亟需一种更高强度的安全手段以应对新兴的计算技术,特别是量子计算机所带来的威胁。
为了应对这一挑战,引入和应用量子安全技术成为创新发展的方向,对于通信安全具有革命性的重要性。量子安全技术基于量子态的叠加性和不可克隆性原理,采用密钥分发技术,对数据进行一次一密的加密,为数据提供了更高强度的安全保障,从而为实现数据传输的绝对安全性提供了可能。
然而,成功将这一前沿的量子安全技术与用户端组建到一个网络中是一项复杂的任务,需要克服各种技术和实施障碍。比如,密钥分发技术通常要求使用专用的光纤进行密钥传输,而不是传统的电缆或无线连接,导致需要升级或修改现有的局域网基础设施,以适应新的要求。
发明内容
本申请提供了一种量子安全局域网的组网系统及方法,用以实现用户端通过组建的量子安全局域网进行量子安全通信。
第一方面,本申请提供了一种量子安全局域网的组网方法,所述方法包括:
网络拓扑规划:确定所述量子安全局域网中包含的各类型量子安全设备以及各类型量子安全设备的连接关系,所述各类型量子安全设备包括至少一个接入基站、密钥中心以及网管设备,所述密钥中心以及所述网管设备均与所述至少一个接入基站连接,任一接入基站用于密钥中继、管理接入到所述接入基站的用户端以及为接入到所述接入基站的用户端分配入网标识,所述密钥中心用于为所述量子安全局域网生成和分发密钥,所述网管设备用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信;
配置网络可达策略:任一用户端的入网标识包括所述量子安全局域网信息、接入基站信息以及用户端信息,接入到同一量子安全局域网的各用户端的入网标识中的量子安全局域网信息一致,接入到同一接入基站的各用户端的入网标识中的接入基站信息一致,接入到同一量子安全局域网的各用户端的入网标识中的用户端信息均不同,在所述接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定所述密钥接收端接入到所述量子安全局域网中时,所述接入基站基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端是否接入到所述接入基站,若确定所述密钥接收端接入到所述接入基站,则基于所述密钥接收端的入网标识中的用户端信息,确定所述密钥接收端的目的IP地址,以实现将密钥发送到所述密钥接收端,若确定所述密钥接收端未接入到所述接入基站,则基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端接入的接入基站的IP地址,以通过所述密钥接收端接入的接入基站,将密钥发送至所述密钥接收端。
第二方面,本申请还提供了一种量子安全局域网的组网系统,所述系统包括:至少一个接入基站、密钥中心以及网管设备;其中,所述密钥中心以及所述网管设备均与所述至少一个接入基站连接;
所述接入基站,用于密钥中继、管理接入到所述接入基站的用户端以及为接入到所述接入基站的用户端分配入网标识;
所述密钥中心,用于为所述量子安全局域网生成和分发密钥;
所述网管设备用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信。
本申请的有益效果如下:
1、由于入网标识包含了量子安全局域网信息、接入基站信息以及用户端信息,确保了用户端的身份在网络中的唯一性和安全性,且接入同一量子安全局域网的用户端入网标识中的量子安全局域网信息一致,接入到同一接入基站下的用户端入网标识中的接入基站信息一致,同一量子安全局域网中不同用户端的入网标识中的用户端信息不同,从而保持了网络的一致性和合规性。
2、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端接入到该接入基站,就基于用户端信息确定密钥接收端的目的IP地址,从而实现将密钥发送到密钥接收端,这确保了密钥的准确传递。
3、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端未接入到该接入基站,则根据入网标识中的接入基站信息确定密钥接收端接入的接入基站的IP地址,以通过该IP地址的接入基站将密钥发送至密钥接收端,这有助于确保即使在用户端移动或更换接入基站的情况下,密钥仍可以可靠传输。
4、通过该量子安全局域网,可以实现接入到该用户端的量子安全通信,提高了用户端间通信的安全性。
附图说明
图1为本申请实施例提供的一种量子安全局域网的组网过程示意图;
图2为本申请实施例提供的一种量子安全局域网组网的结构示意图;
图3为本申请实施例提供的再一种量子安全局域网组网系统的结构示意图。
具体实施方式
为了使本申请的目的、技术方案和优点更加清楚,下面将结合附图对本申请作进一步地详细描述,显然,所描述的实施例仅仅是本发申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都属于本申请保护的范围。
为了实现用户端通过组建的量子安全局域网进行量子安全通信,本申请实施例提供了一种量子安全局域网的组网系统及方法。
实施例1:
图1为本申请实施例提供的一种量子安全局域网的组网过程示意图,该过程包括:
S101:网络拓扑规划:确定所述量子安全局域网中包含的各类型量子安全设备以及各类型量子安全设备的连接关系,所述各类型量子安全设备包括至少一个接入基站、密钥中心以及网管设备,所述密钥中心以及所述网管设备均与所述至少一个接入基站连接,任一接入基站用于密钥中继、管理接入到所述接入基站的用户端以及为接入到所述接入基站的用户端分配入网标识,所述密钥中心用于为所述量子安全局域网生成和分发密钥,所述网管设备用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信。
在本申请中,进行量子安全局域网的组网需要先规划该量子安全局域网的网络,以根据该网络拓扑设计并部署该量子安全局域网中包含的各类型量子安全设备以及各类型量子安全设备的连接关系。其中,规划该量子安全局域网的网络拓扑时,还可以考虑一种或多种需求规划,比如,该量子安全局域网的覆盖范围、该量子安全局域网所要服务的用户端的数量、该量子安全局域网所要提供的功能等,具体实施过程中可以根据实际情况进行设置,在此不做具体限定。
需要说明的是,可以通过算法以及所需的需求信息,规划该量子安全局域网的网络拓扑。例如,预先基于大量的不同需求信息以及不同需求信息下的网络拓扑,训练出网络拓扑生成模型,后续基于训练完成的网络拓扑生成模型以及输入的需求信息,确定当前需求信息下所对应的网络拓扑。也可以预先配置有不同需求信息下的网络拓扑模板以及所需的需求信息,规划该量子安全局域网的网络拓扑。
在本申请中,该量子安全局域网中包含的各类型量子安全设备可以包括至少一个接入基站。对于任一接入基站,通过该接入基站,可以实现用户端之间通信的量子加密后的数据(记为密文数据)与该量子密钥采取不同的网络途径发送,即密文数据通过传统网络发送,密钥通过量子安全局域网发送,保证了密钥中继的安全性。
为了实现密钥中继得准确传输,该量子安全局域网中的任一接入基站还可以用于为接入到该接入基站的用户端分配入网标识,使得接入到量子安全局域网中的每一台用户端均对应有入网标识,且不同用户端的入网标识不同的,以保证通过该入网标识可以唯一表示该量子安全局域网中的一台用户端,且该接入基站可以基于用户端的入网标识准确进行密钥中继。示例性的,接入基站中预先保存有入网标识分配规则,该接入基站可以基于该入网标识分配规则,为接入该接入基站的用户端分配对应的入网标识。通过该接入基站为接入到该接入基站的用户端分配入网标识,可以实现该量子安全局域网中的不同用户端分别对应的入网标识不同且规范,接入基站可以基于用户端的入网标识对该用户端的密钥进行中继。
需要说明的是,该入网标识的表现形式可以是数字、字符串等,也可以通过其它的形式表示,具体设置时,只要可以唯一标识该接入基站的表现形式均可以用于本申请中。
在本申请中,该接入基站还可以管理接入到该接入基站的用户端,以保证接入到量子安全局域网的用户端的合法性以及安全性,避免非法设备接入到该量子安全局域网。
在本申请中,该量子安全局域网还可以包括网管设备,该网管设备与该量子安全局域网中的各接入基站连接,通过该网管设备用于管理和监控该量子安全局域网,以保证该量子安全局域网的网络通信。也就是说,通过该网管设备,为该量子安全局域网提供了一个可以监控和管理该量子安全局域网的网络通信的平台。
接入到量子安全局域网中的用户端可以通过本申请所组建的量子安全局域网,使用该量子安全局域网所提供的量子安全通信服务。也就是说,接入到量子安全局域网的用户端可以通过该量子安全局域网,进行量子安全通信。示例性的,该用户端可以通过量子安全局域网提供的量子密钥,对待发送的数据进行量子加密,并通过该量子安全局域网,将该量子密钥中继到对端设备。又一示例性的,该用户端可以通过该量子安全局域网获取到对端用户端发送的密钥,然后基于该密钥,对该密钥对应的密文数据进行量子解密,从而获取解密后的数据。通过本申请提供的量子安全局域网,可以实现用户端收发数据在通信过程中的安全性,且为用户端提供安全且稳定的量子安全通信服务,降低任意两个用户端间实现量子安全通信所需的成本。
其中,该量子密钥可以是根据量子随机数确定的。由于每次确定量子密钥时所用到的量子随机数是随机且不同的,使得最终确定的量子密钥也是随机且不同的,保证该量子密钥只有在使用的时候才会被确定,且无法被预测,使得待发送的数据的安全性可达到理论上的绝对安全。且该量子加密没有传统加密算法的可逆性和解密结果的可预知性,即使通过暴力破解手段也无法准确知道量子加密后的数据的明文内容。
需要说明的是,该用户端可以是用户端,例如,量子安全一体机、量子安全隐私计算机等,也可以是量子安全计算机,例如,安全服务器、应用服务器等。
考虑到接入到该量子安全局域网内的用户端在进行量子加解密时,会消耗本地保存的量子密钥,使得量子密钥的数量不足。基于此,在本申请中,该量子安全局域网中还可以包括密钥中心,以通过该密钥中心及时对量子密钥进行补充,从而保证量子安全通信的稳定性。
S102:配置网络可达策略:任一用户端的入网标识包括所述量子安全局域网信息、接入基站信息以及用户端信息,接入到同一量子安全局域网的各用户端的入网标识中的量子安全局域网信息一致,接入到同一接入基站的各用户端的入网标识中的接入基站信息一致,接入到同一量子安全局域网的各用户端的入网标识中的用户端信息均不同,在所述接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定所述密钥接收端接入到所述量子安全局域网中时,所述接入基站基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端是否接入到所述接入基站,若确定所述密钥接收端接入到所述接入基站,则基于所述密钥接收端的入网标识中的用户端信息,确定所述密钥接收端的目的IP地址,以实现将密钥发送到所述密钥接收端,若确定所述密钥接收端未接入到所述接入基站,则基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端接入的接入基站的IP地址,以通过所述密钥接收端接入的接入基站,将密钥发送至所述密钥接收端。
为了保证接入到量子安全局域网中的用户端之间通信可达,在本申请中,在组建该量子安全局域网时,还需要配置该量子安全局域网的网络可达策略。示例性的,可以基于各用户端的入网标识配置网络可达策略,从而使得量子安全局域网可以区别于传统网络,令密钥通过量子安全局域网进行中继,密文数据通过传统网络进行传输,实现密钥与密文数据分别通过不同的网络传输到对端设备,保证密钥与密文数据在传输过程中的独立与隔离。示例性的,用户端A向用户端B发送密钥中继时,用户端会将该密钥以及用户端B的入网标识发送至接入基站。接入基站接收到该密钥以及接收该密钥的用户端B的入网标识后,根据用户端B的入网标识,将该密钥中继发送至用户端B。
在一种可能的实施方式中,该用户端的入网标识可以包括量子安全局域网信息、接入基站信息、以及用户端信息。对于接入到同一量子安全局域网的各用户端的入网标识中的量子安全局域网信息一致,对于接入到同一接入基站的各用户端的入网标识中的接入基站信息一致,对于接入到同一量子安全局域网的各用户端的入网标识中的用户端信息均不同。通过该量子安全局域网信息可以区分不同量子安全局域网,通过该接入基站信息可以区分量子安全局域网内不同接入基站,通过该用户端信息可以区分量子安全局域网内的不同用户端。
可选的,该用户端的入网标识可以包括运营商信息、国家信息、大区信息。其中,运营商表示该用户端接入的量子安全局域网所接入的运营商,国家信息表示该用户端接入的量子安全局域网所归属的国家,大区信息表示该用户端接入的量子安全局域网所归属的更大层次的网络划分,一个大区包括至少一个量子安全局域网。接入到同一运营商的各用户端的入网标识中的运营商信息一致,接入到同一国家的各用户端的入网标识中的国家信息一致,接入到同一大区的各用户端的入网标识中的大区信息一致。通过该运营商信息可以区分不同运营商下的量子安全局域网,通过该国家信息可以区分不同国家下的量子安全局域网,通过不同大区可以区分不同大区下的量子安全局域网。示例性的,某一用户端的入网标识为A-B-C-D-E。其中,D可以表征该接入基站信息,同一量子安全局域网内的不同接入基站信息不同;C表征量子安全局域网信息,不同量子安全局域网分别对应的量子安全局域网信息不同;B表征量子安全局域网所归属的大区的大区信息,同一量子安全网络中的不同大区分别对应的大区信息不同;A表征该用户端接入的量子安全局域网所接入的运营商,不同运营商分别对应的运营商信息不同。
需要说明的是,该用户端的入网标识具体包括哪些字段是根据实际需求进行设置的,如果希望尽可能多层次的对不同用户端进行管理,该入网标识所包含的字段可以多一些,如果希望减少分配用户端的入网标识所耗费的资源,该入网标识所包含的字段可以少一些。
基于上述实施例中入网标识所包含的字段,在配置该量子安全局域网的网络可达策略时,可以配置接入到该量子安全局域网中的用户端在作为发送端时,可以将密钥接收端的入网标识与密钥一并发送至该用户端所接入的接入基站。该接入基站在接收到用户端发送的密钥以及密钥接收端的入网标识后,可以根据该密钥接收端的入网标识所包含的字段以及预设的字段处理顺序,确定该密钥的转发策略。其中,该字段处理顺序可以是先量子安全局域网信息,再接入基站信息,最后用户端信息。也就是说,可以按照各字段所归属层级分别对应的粒度,从大到小去设置字段处理顺序。
接入到该量子安全局域网的用户端之间的网络通信是可达的,未接入到该量子安全局域网的用户端不应与该量子安全局域网的用户端进行通信。基于此,量子安全局域网中的接入基站在处理密钥接收端的入网标识时,可以先处理该入网标识中的量子安全局域网信息,确定密钥接收端是否接入到该量子安全局域网中。若接入基站基于该密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网中,则该接入基站可以按照预设的字段处理顺序,继续处理该密钥接收端的入网标识中的接入基站信息。若接入基站基于该密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网中,则该接入基站可以拒绝向该密钥接收端中继密钥。
在一种可能的实施方式中,所述接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定所述密钥接收端接入到所述量子安全局域网,包括:
若所述量子安全局域网的量子安全局域网信息与所述密钥接收端的入网标识中的量子安全局域网信息一致,则确定所述密钥接收端接入到所述量子安全局域网。
不同的量子安全局域网对应不同的量子安全局域网信息,接入基站可以根据该密钥接收端的入网标识中的量子安全局域网信息是否为该接入基站接入的量子安全局域网对应的量子安全局域网信息,确定密钥接收端是否接入到该量子安全局域网中。示例性的,接入基站可以判断该密钥接收端的入网标识中的量子安全局域网信息是否与该接入基站接入的量子安全局域网对应的量子安全局域网信息一致。若接入基站确定该量子安全局域网对应的量子安全局域网信息与该密钥接收端的入网标识中的量子安全局域网信息一致,则确定该密钥接收端接入到该量子安全局域网中;若接入基站确定该量子安全局域网对应的量子安全局域网信息与该密钥接收端的入网标识中的量子安全局域网信息不一致,则确定该密钥接收端未接入到该量子安全局域网中。
不同用户端可以接入到量子安全局域网中的不同接入基站,并通过接入的接入基站进行密钥中继。基于此,当接入基站确定该密钥接收端接入到该量子安全局域网中,可以按照预设的字段处理顺序,继续处理该密钥接收端的入网标识中的接入基站信息,根据该密钥接收端的入网标识中的接入基站信息,确定该密钥接收端是否接入到该接入基站下。若接入基站基于该密钥接收端的入网标识中的接入基站信息,确定该密钥接收端接入到该接入基站下,则该接入基站可以按照预设的字段处理顺序,继续处理该密钥接收端的入网标识中的用户端信息。若接入基站基于该密钥接收端的入网标识中的接入基站信息,确定该密钥接收端接入到该接入基站,则该接入基站可以根据该接入基站信息,确定该密钥接收端所接入的接入基站的IP地址。
在一种可能的实施方式中,所述接入基站基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端是否接入到所述接入基站,包括:
若所述接入基站的接入基站信息与所述密钥接收端的入网标识中的接入基站信息一致,则确定所述密钥接收端接入到所述接入基站;
否则,确定所述密钥接收端接入到所述接入基站。
同一量子安全局域网内的不同接入基站对应不同的接入基站信息,接入基站可以根据该密钥接收端的入网标识中的接入基站信息是否为该接入基站对应的接入基站信息,确定密钥接收端是否接入到该接入基站。示例性的,接入基站可以判断该密钥接收端的入网标识中的接入基站信息是否与该接入基站对应的接入基站信息一致。若接入基站确定该接入基站对应的接入基站信息与该密钥接收端的入网标识中的接入基站信息一致,则确定该密钥接收端接入到该接入基站;若接入基站确定该接入基站对应的接入基站信息与该密钥接收端的入网标识中的接入基站信息不一致,则确定该密钥接收端未接入到该接入基站中。
基于上述的实施例,该接入基站保存有该量子安全局域网中各接入基站的接入基站信息与各接入基站的IP地址的对应关系。当接入基站确定密钥接收端接入到该量子安全局域网中,且未接入到该接入基站下,则该接入基站可以基于各接入基站的接入基站信息与各接入基站的IP地址的对应关系,确定密钥接收端的入网标识中接入基站信息所对应的IP地址,然后根据该IP地址,将密钥以及密钥接收端的入网标识中继到该IP地址的接入基站,以通过该IP地址的接入基站将该密钥中继到该密钥接收端。
基于上述的实施例,该接入基站保存有该量子安全局域网中该接入基站下的各用户端信息与各用户端的IP地址的对应关系。当接入基站确定密钥接收端接入到该量子安全局域网中,且接入到该接入基站下,则该接入基站可以基于该接入基站下的各用户端信息与各用户端的IP地址的对应关系,确定密钥接收端的入网标识中用户端信息所对应的IP地址,然后根据该IP地址,将密钥以及密钥接收端的入网标识中继到该密钥接收端。
本申请的有益效果如下:
1、由于入网标识包含了量子安全局域网信息、接入基站信息以及用户端信息,确保了用户端的身份在网络中的唯一性和安全性,且接入同一量子安全局域网的用户端入网标识中的量子安全局域网信息一致,接入到同一接入基站下的用户端入网标识中的接入基站信息一致,同一量子安全局域网中不同用户端的入网标识中的用户端信息不同,从而保持了网络的一致性和合规性。
2、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端接入到该接入基站,就基于用户端信息确定密钥接收端的目的IP地址,从而实现将密钥发送到密钥接收端,这确保了密钥的准确传递。
3、在接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定该密钥接收端接入到该量子安全局域网的情况下,该接入基站可以基于密钥接收端的入网标识中的信息确定密钥接收端未接入到该接入基站,则根据入网标识中的接入基站信息确定密钥接收端接入的接入基站的IP地址,以通过该IP地址的接入基站将密钥发送至密钥接收端,这有助于确保即使在用户端移动或更换接入基站的情况下,密钥仍可以可靠传输。
4、通过该量子安全局域网,可以实现接入到该用户端的量子安全通信,提高了用户端间通信的安全性。
实施例2:
为了保证该量子安全局域网的稳定运行,在上述实施例的基础上,在本申请中,所述网管设备用于管理和监控所述量子安全局域网,包括:
响应于输入的配置操作,保存所述至少一个接入基站以及接入到所述量子安全局域网的用户端分别对应的配置文件;
通过各所述配置文件,保证所述量子安全局域网的网络通信。
该网管设备中保存有量子安全局域网中各接入基站以及接入到该量子安全局域网的各用户端的配置文件,通过保存的各配置文件,可以指导量子安全局域网中各接入基站以及接入到该量子安全局域网的各用户端分配配置自己的数据,从而实现该量子安全局域网的网络通信。
示例性的,对于该量子安全局域网中的任一接入基站,工作人员可以通过向网管设备输入配置操作,来配置该接入基站的配置数据,从而实现对该量子安全局域网中的各接入基站的管理。其中,该配置数据可以包括接入基站的名称以及接入基站所归属的量子安全局域网标识、入网标识分配规则。后续量子安全局域网中的接入基站可以通过连接的网管设备获取到该接入基站的配置文件,并基于该配置文件,配置该接入基站的相关数据。例如,接入基站根据配置的网管设备的IP地址,发送注册请求。其中,该注册请求中携带有该接入基站的基站标识。网管设备获取到该注册请求后,确定本地是否保存有该注册请求中携带的基站标识对应的配置数据。若确定本地保存有该基站标识对应的配置数据,说明该基站标识的接入基站为该量子安全局域网内的接入基站,则网管设备可以向该接入基站下发该接入基站的配置数据。若确定本地未保存有该基站标识对应的配置数据,说明该基站标识的接入基站不是该量子安全局域网内的接入基站,则网管设备可以拒绝响应该接入基站。
再例如,工作人员还可以通过向网管设备输入配置操作,来配置接入到该量子安全局域网中的用户端的配置数据,比如,该用户端的链路关系、该用户端的监听端口信息等,从而实现对接入到该量子安全局域网中的各用户端的管理。后续接入到量子安全局域网中的用户端可以通过连接的网管设备获取到该用户端的配置文件,并基于该配置文件,配置该用户端的相关数据。
在一种示例中,当量子安全局域网中各接入基站以及接入到该量子安全局域网的各用户端需要进行版本升级时,网管设备可以获取对该需要版本升级的设备所需的版本更新文件,例如,通过人工的方式向该网管设备输入版本更新文件,或,从其它设备下载该版本更新文件。网管设备根据该需要版本升级的设备的IP地址以及端口号,向该需要版本升级的设备发送版本更新文件。该需要版本升级的设备获取到该版本更新文件后,可以自动根据该版本更新文件进行版本更新,或,在接收到网管设备发送的更新指令后进行版本更新。
在一种可能的实施方式中,所述网管设备用于管理和监控所述量子安全局域网,包括:
获取并监控所述至少一个接入基站以及接入到所述用户端分别对应的链路的链路状态。
该网管设备也可以获取量子安全局域网中各接入基站以及接入到该量子安全局域网的各用户端反馈的数据,比如,链路状态、设备负载信息、接入基站的运行状态等,并对获取到的数据进行处理,比如,数据分析、数据统计等,从而方便对量子安全局域网内的各接入基站以及接入到该量子安全局域网的各用户端进行管理。例如,对于量子安全局域网中的任一接入基站,该接入基站可以主动向该网管设备上报数据,比如,周期性上报、按照预设时间点上报等,或,该接入基站可以基于网管设备的请求,被动上报数据。
实施例3:
如果接入基站直接将密钥中继转发至密钥接收端,则密钥接收端需要保存有与发送端配对的量子密钥以及该量子密钥对应的密钥索引,才能根据发送端发送的密钥索引,确定该密钥索引所对应的量子密钥,进而根据该量子密钥,对该量子密钥对应的密文数据进行量子解密。虽然该种方法也可以实现量子安全通信,但要求密钥接收端针对不同的发送端,保存与该发送端配对的量子密钥以及该量子密钥对应的密钥索引,耗费密钥接收端大量的存储空间,增加了密钥接收端的存储压力。因此,在上述各实施例的基础上,在本申请中,接入基站可以还用于保存量子密钥以及该量子密钥对应的密钥索引,该量子密钥是与该接入基站挂接的用户端配对的。发送端可以直接将密钥索引发送给接入基站后,接入基站根据保存的与该发送端配对的量子密钥以及量子密钥对应的密钥索引,确定发送端发送的密钥索引所对应的量子密钥(记为解密密钥),并将该解密密钥发送给密钥接收端,使得密钥接收端不需要针对不同发送端保存大量的量子密钥,该密钥接收端只需保存与其接入的接入基站所配对的量子密钥,极大地节省了量子安全局域网内各用户端的存储空间,降低了各用户端的存储压力。
在一种可能的实施方式中,所述接入基站管理接入到所述接入基站的用户端,包括:
响应用户端发送的接入认证信息,通过所述接入认证信息对用户端进行身份认证,在所述身份认证通过后,允许所述用户端接入所述接入基站。
对于待加入到量子安全局域网的用户端,该用户端可以向该接入基站发送接入认证信息。其中,该接入认证信息可以携带有该用户端的身份信息。接入基站接收到该接入认证信息后,可以对该接入认证信息进行校验,以对该用户端的身份进行认证。若接入基站确定该用户端的身份认证通过后,则允许该用户端接入该接入基站;若该接入基站确定该用户端的身份认证不通过,则拒绝该用户端接入该接入基站,以拒绝将该用户端加入到该量子安全局域网中。
实施例4:
该量子安全局域网内的用户端以及接入基站在量子安全通信过程中,均会不断消耗本地保存的量子密钥,基于此,在上述各实施例的基础上,在本申请中,需要密钥中心及时对用户端中保存的量子密钥进行补充,以保证量子安全通信的稳定性。
在一种示例中,可以通过离线的方式将密钥中心分配的密钥补充到该量子安全局域网内的用户端以及接入基站中。例如,通过将用户端与密钥分发机连接,将密钥分发机中保存的密钥分发给该用户端。
在另一种示例中,还可以通过在线的方式将密钥中心分配的密钥补充到该量子安全局域网内的用户端以及接入基站中。例如,通过密钥中心在线为该用户端分发密钥,用户端可以直接从该密钥中心下载密钥。
其中,密钥中心可以通过连接密钥分发机的方式,获取密钥分发机中保存的密钥,也可以通过生成密钥的设备获取密钥,例如,通过量子随机数发生器获取密钥。
示例性的,所述各类型量子安全设备还包括:量子随机数发生器,所述量子随机数发生器用于为所述量子安全局域网生成量子随机数,以使所述密钥中心根据所述量子随机数,为所述量子安全局域网补充密钥。
在本申请中,该量子安全局域网中还可以包括量子随机数发生器,该量子随机数发生器可以生成量子随机数,并将该量子随机数保存在密钥中心中,以使密钥中心内可以根据该量子随机数,确定分发的密钥。示例性的,该量子随机数发生器生成量子随机数后,可以主动将该量子随机数保存在密钥中心,也可以在接收到密钥中心的获取请求后,将生成的量子随机数传输至该密钥中心。基于此,在组建量子安全局域网时,可以将该量子随机数发生器以及密钥中心组建到该量子安全局域网中。
其中,量子随机数发生器可以实时生成量子随机数,也可以按照预设周期生成量子随机数。当然,该量子随机数发生器还可以在接收到生成指令后,生成量子随机数。具体实施过程中,可以根据实际需求灵活设置,在此不做具体限定。
实施例5:
为了实现将不具有量子加解密功能的通用终端接入到量子安全局域网中,在上述各实施例的基础上,在本申请中,所述各类型量子安全设备还包括:安全服务器,所述安全服务器与所述接入基站连接,所述安全服务器用于接入通用终端,并为所述通用终端提供量子加解密功能;其中,所述通用终端不具有量子加解密功能。
考虑到存在一些不具有量子加解密功能的用户端(记为通用终端)也需要更高级别的技术去保证通用终端收发数据的安全。基于此,在本申请中,该量子安全局域网中的各类型量子安全设备还可以包括安全服务器,该安全服务器可以与该量子安全局域网中的接入基站连接,并用于接入通用终端,为接入的通用终端提供量子加解密功能。示例性的,该安全服务器可以接收通用终端待加密的数据,然后基于量子密钥,对该待加密数据进行加密,获取密文数据。该安全服务器将该密文数据发送到接收端,并将该密文数据对应的密钥通过该安全服务器接入的接入基站,中继到该接收端,从而实现将量子安全通信技术应用到该通用终端,且无需对该通用终端进行改造,实现量子安全局域网与该通用终端的兼容,降低改造成本,并通过该量子安全局域网为通用终端提供量子安全通信。
实施例6:
本申请还提供了一种量子安全局域网组网系统,图2为本申请实施例提供的一种量子安全局域网组网的结构示意图,该系统包括:至少一个接入基站21、密钥中心22以及网管设备23;其中,所述密钥中心22以及所述网管设备23均与所述至少一个接入基站21连接;
所述接入基站21,用于密钥中继、管理接入到所述接入基站21的用户端以及为接入到所述接入基站21的用户端分配入网标识;
所述密钥中心22,用于为所述量子安全局域网生成和分发密钥;
所述网管设备23用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信。
在一种可能的实施方式中,所述系统还包括:量子随机数发生器;
所述量子随机数发生器与所述密钥中心22连接,用于为所述量子安全局域网生成量子随机数,以使所述密钥中心22根据所述量子随机数,为所述量子安全局域网补充密钥。
在一种可能的实施方式中,所述系统还包括:安全服务器;其中,所述安全服务器与所述接入基站21连接;
所述安全服务器,用于接入通用终端,并为所述通用终端提供量子加解密功能;其中,所述通用终端不具有量子加解密功能。
在一种可能的实施方式中,所述网管设备23,具体用于响应于输入的配置操作,保存所述至少一个接入基站21以及接入到所述量子安全局域网的用户端分别对应的配置文件;通过各所述配置文件,保证所述量子安全局域网的网络通信。
在一种可能的实施方式中,所述网管设备23,具体用于获取并监控所述至少一个接入基站21以及接入到所述用户端分别对应的链路的链路状态。
在一种可能的实施方式中,所述接入基站21,具体用于响应用户端发送的接入认证信息,通过所述接入认证信息对用户端进行身份认证,在确定所述用户端身份认证通过后,允许所述用户端接入所述接入基站21。
在一种可能的实施方式中,所述接入基站21,具体用于若所述量子安全局域网的量子安全局域网信息与所述密钥接收端的入网标识中的量子安全局域网信息一致,则确定所述密钥接收端接入到所述量子安全局域网。
在一种可能的实施方式中,所述接入基站21,具体用于若所述接入基站21的接入基站21信息与所述密钥接收端的入网标识中的接入基站21信息一致,则确定所述密钥接收端接入到所述接入基站21;否则,确定所述密钥接收端接入到所述接入基站21。
实施例7:
图3为本申请实施例提供的再一种量子安全局域网组网系统的结构示意图,如图3所示,该系统包括:网管设备31、接入基站32、密钥中心33、量子随机数发生器34。
网管设备31分别与接入基站32、以及密钥中心33连接,用于配置该量子安全局域网内接入基站32以及密钥中心33的配置数据;其中,该配置数据包括设备类型、设备数量、设备之间的链路关系、加密方式、加密比例等。
量子随机数发生器34与密钥中心33连接,用于生成量子随机数并发送至密钥中心33。
密钥中心33与接入基站32连接,用于为量子安全局域网生成和分发密钥。
接入基站32,用于密钥中继、管理接入到接入基站32的用户端以及为接入到接入基站32的用户端分配入网标识。
用户端接入到该量子安全局域网后,通过该量子安全局域网进行量子安全通信。
需要说明的是,该量子安全局域网的组网系统解决问题的原理与上述实施例中量子安全局域网的组网方法解决问题的原理类似,具体可以参见上述实施例内容,重复之处不做具体赘述。
Claims (10)
1.一种量子安全局域网的组网方法,其特征在于,所述方法包括:
网络拓扑规划:确定所述量子安全局域网中包含的各类型量子安全设备以及各类型量子安全设备的连接关系,所述各类型量子安全设备包括至少一个接入基站、密钥中心以及网管设备,所述密钥中心以及所述网管设备均与所述至少一个接入基站连接,任一接入基站用于密钥中继、管理接入到所述接入基站的用户端以及为接入到所述接入基站的用户端分配入网标识,所述密钥中心用于为所述量子安全局域网生成和分发密钥,所述网管设备用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信;
配置网络可达策略:任一用户端的入网标识包括所述量子安全局域网信息、接入基站信息以及用户端信息,接入到同一量子安全局域网的各用户端的入网标识中的量子安全局域网信息一致,接入到同一接入基站的各用户端的入网标识中的接入基站信息一致,接入到同一量子安全局域网的各用户端的入网标识中的用户端信息均不同,在所述接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定所述密钥接收端接入到所述量子安全局域网中时,所述接入基站基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端是否接入到所述接入基站,若确定所述密钥接收端接入到所述接入基站,则基于所述密钥接收端的入网标识中的用户端信息,确定所述密钥接收端的目的IP地址,以实现将密钥发送到所述密钥接收端,若确定所述密钥接收端未接入到所述接入基站,则基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端接入的接入基站的IP地址,以通过所述密钥接收端接入的接入基站,将密钥发送至所述密钥接收端。
2.如权利要求1所述的方法,其特征在于,所述各类型量子安全设备还包括:量子随机数发生器,所述量子随机数发生器用于为所述量子安全局域网生成量子随机数,以使所述密钥中心根据所述量子随机数,为所述量子安全局域网补充密钥。
3.如权利要求1所述的方法,其特征在于,所述各类型量子安全设备还包括:安全服务器,所述安全服务器与所述接入基站连接,所述安全服务器用于接入通用终端,并为所述通用终端提供量子加解密功能;其中,所述通用终端不具有量子加解密功能。
4.如权利要求1所述的方法,其特征在于,所述网管设备用于管理和监控所述量子安全局域网,包括:
响应于输入的配置操作,保存所述至少一个接入基站以及接入到所述量子安全局域网的用户端分别对应的配置文件;
通过各所述配置文件,保证所述量子安全局域网的网络通信。
5.如权利要求1所述的方法,其特征在于,所述网管设备用于管理和监控所述量子安全局域网,包括:
获取并监控所述至少一个接入基站以及接入到所述用户端分别对应的链路的链路状态。
6.如权利要求1所述的方法,其特征在于,所述接入基站管理接入到所述接入基站的用户端,包括:
响应用户端发送的接入认证信息,通过所述接入认证信息对用户端进行身份认证,在确定所述用户端身份认证通过后,允许所述用户端接入所述接入基站。
7.如权利要求1所述的方法,其特征在于,所述接入基站基于密钥接收端的入网标识中的量子安全局域网信息,确定所述密钥接收端接入到所述量子安全局域网,包括:
若所述量子安全局域网的量子安全局域网信息与所述密钥接收端的入网标识中的量子安全局域网信息一致,则确定所述密钥接收端接入到所述量子安全局域网。
8.如权利要求1所述的方法,其特征在于,所述接入基站基于所述密钥接收端的入网标识中的接入基站信息,确定所述密钥接收端是否接入到所述接入基站,包括:
若所述接入基站的接入基站信息与所述密钥接收端的入网标识中的接入基站信息一致,则确定所述密钥接收端接入到所述接入基站;
否则,确定所述密钥接收端接入到所述接入基站。
9.一种量子安全局域网的组网系统,其特征在于,所述系统包括:至少一个接入基站、密钥中心以及网管设备;其中,所述密钥中心以及所述网管设备均与所述至少一个接入基站连接;
所述接入基站,用于密钥中继、管理接入到所述接入基站的用户端以及为接入到所述接入基站的用户端分配入网标识;
所述密钥中心,用于为所述量子安全局域网生成和分发密钥;
所述网管设备用于管理和监控所述量子安全局域网,以保证所述量子安全局域网的网络通信。
10.如权利要求9所述的系统,其特征在于,所述系统还包括:安全服务器;其中,所述安全服务器与所述接入基站连接;
所述安全服务器,用于接入通用终端,并为所述通用终端提供量子加解密功能;其中,所述通用终端不具有量子加解密功能。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311630283.3A CN117394999A (zh) | 2023-11-30 | 2023-11-30 | 一种量子安全局域网的组网系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311630283.3A CN117394999A (zh) | 2023-11-30 | 2023-11-30 | 一种量子安全局域网的组网系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117394999A true CN117394999A (zh) | 2024-01-12 |
Family
ID=89466815
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311630283.3A Pending CN117394999A (zh) | 2023-11-30 | 2023-11-30 | 一种量子安全局域网的组网系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117394999A (zh) |
-
2023
- 2023-11-30 CN CN202311630283.3A patent/CN117394999A/zh active Pending
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103036867B (zh) | 基于相互认证的虚拟专用网络服务设备和方法 | |
| CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
| CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
| CN101420686B (zh) | 基于密钥的工业无线网络安全通信实现方法 | |
| CN110650009B (zh) | 一种移动网络及通信方法 | |
| CN115632779B (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN111756530B (zh) | 量子服务移动引擎系统、网络架构及相关设备 | |
| CN102143492B (zh) | Vpn连接建立方法、移动终端、服务器 | |
| CN110808834B (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
| Park et al. | Inter-authentication and session key sharing procedure for secure M2M/IoT environment | |
| CN114286416A (zh) | 通信控制方法及装置、电子设备、存储介质 | |
| CN111988323A (zh) | IPSec隧道建立方法、装置、网络系统及电子设备 | |
| CN113726795A (zh) | 报文转发方法、装置、电子设备及可读存储介质 | |
| CN110635894B (zh) | 一种基于帧协议格式的量子密钥输出方法及其系统 | |
| CN110943835A (zh) | 一种发送无线局域网信息的配网加密方法及系统 | |
| US20210264051A1 (en) | Blockchain system, blockchain management apparatus, network control apparatus, method and program | |
| CN114466038B (zh) | 一种电力物联网的通信防护系统 | |
| CN117394999A (zh) | 一种量子安全局域网的组网系统及方法 | |
| CN113259347B (zh) | 一种工业互联网内的设备安全系统及设备行为管理方法 | |
| CN113452514B (zh) | 密钥分发方法、装置和系统 | |
| CN109327452A (zh) | 加密方法、装置、设备及存储介质 | |
| CN117749363A (zh) | 一种基于弱网环境的量子密钥分发系统及方法 | |
| CN116996587B (zh) | 一种分布式sdp隧道控制方法及设备 | |
| CN117459231A (zh) | 一种量子安全的sd-wan网络系统及其组建方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |