CN219018826U - 基于量子密钥分发和通信一体化的加密通信系统 - Google Patents
基于量子密钥分发和通信一体化的加密通信系统 Download PDFInfo
- Publication number
- CN219018826U CN219018826U CN202222204052.3U CN202222204052U CN219018826U CN 219018826 U CN219018826 U CN 219018826U CN 202222204052 U CN202222204052 U CN 202222204052U CN 219018826 U CN219018826 U CN 219018826U
- Authority
- CN
- China
- Prior art keywords
- card
- board card
- encryption
- board
- qkd
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本实用新型公开了一种基于量子密钥分发和通信一体化的加密通信系统,其包括发端设备、中继设备和收端设备。其中,发端设备包括QKD板卡、QKX板卡、随机数板卡、加解密板卡、通信业务板卡和光接口板卡,所述中继设备包括QKD板卡、QKX板卡、通信业务板卡和光接口板卡,收端设备包括QKD板卡、QKX板卡、加解密板卡、通信业务板卡和光接口板卡。通过使收端设备、中继设备和发端设备同时具备量子密钥分发和通信功能,使得允许业务数据和会话密钥在收发两端设备外,全程以密文形态传递,从而有效保证会话密钥及业务数据的安全性。
Description
技术领域
本实用新型涉及量子保密通信领域,具体涉及一种基于量子密钥分发和通信一体化设计的加密通信系统。
背景技术
量子密钥分发(下简称QKD)是利用量子系统进行信息的制备、传输、接收以及提纯,得到物理原理上不会被别人窃取的安全对称密钥,这个过程可以保证通讯双方所获得的密钥是完全一致的,并且任何第三方都无法获得任何关于密钥的信息。光纤量子密钥分发系统的发送方需要发送量子光、同步光至接受方,同时双方需要相互发送数据进行密钥协商。
基于物理信号的密钥分发方法都会受到距离的限制。例如,量子信道的衰减随距离指数增长,常规光纤一般每10~15公里衰减一半。量子密钥分发由于使用单光子量级的极微弱光,因此需工作在有限的成码距离(衰减)内以确保较好的信噪比,从而获得安全码。目前,产品级系统的典型安全成码距离约为100公里,实验室最远距离约为400公里。无线信道密钥生成同样也受到距离的约束。因此,当通信双方距离超过有效、安全成码距离时,中继是拓展距离的重要手段(使用低损耗信道如大气层外空间是其他可选手段)。
现有QKD系统采用的是独立设备部署的建设模式,如图1所示,发送方和接收方需要部署量子密钥分发设备和对称加密设备,这两款设备均为独立设备。量子密钥分发设备所产生的密钥需要通过网线或其他外部连接方式传输到对称加密设备。由于在设备外部传输,密钥在传输过程中的安全性难度较大。同时,量子密钥分发设备和对称加密设备需要使用独立信道。例如在使用光纤的场景下,量子密钥分发设备的量子信道、同步信道、协商信道需要至少占用一根独立光纤(或者一个波长),而对称加密设备也需要占用一根独立光纤(或者一个波长)。这样导致实际部署时对光纤基础资源的要求较高,在很多场景无法满足需求。最后,由于量子密钥分发设备和对称加密设备为完全独立运行的。所以在大规模组网场景下,量子密钥分发设备无法准备感知对称加密设备的业务数据的发送方、接收方的路由地址。所以为了保证在对称加密设备在需要密钥时,可以快速从量子密钥分发设备中获取密钥,所以量子密钥分发设备往往采用端到端的预生产密钥的方案。即在加密业务实际发起前,量子密钥分发设备利用可信中继技术,通过预设值的策略在对称加密设备之间完成端到端的密钥分发。在QKD网络中对称加密设备部署越多,对称加密设备的关系成平方级增长,如果所有对称加密设备之间都需要预先生产密钥,那么对于QKD网络的负担会增长较快,不利于QKD网络的大规模使用。
实用新型内容
针对现有技术存在的上述不足之处,本实用新型提出了一种基于量子密钥分发和通信一体化设计的加密通信系统,其通过使收端设备、中继设备和发端设备同时具备量子密钥分发和通信功能,使得允许业务数据和会话密钥在收发两端设备外,全程以密文形态传递,从而有效保证会话密钥及业务数据的安全性。
具体而言,根据本实用新型的基于量子密钥分发和通信一体化的加密通信系统可以包括发端设备、中继设备和收端设备;
所述发端设备包括QKD板卡、QKX板卡、随机数板卡、加解密板卡、通信业务板卡和光接口板卡;
所述中继设备包括QKD板卡、QKX板卡、通信业务板卡和光接口板卡;
所述收端设备包括QKD板卡、QKX板卡、加解密板卡、通信业务板卡和光接口板卡;
所述QKD板卡用于借助量子密钥分发与对端的QKD板卡生成共享量子密钥,作为密钥加密密钥;
所述随机数板卡用于生成随机数,作为会话密钥;
所述加解密板卡用于利用会话密钥对业务数据进行加密和解密;
所述QKX板卡用于利用密钥加密密钥以加密的方式对会话密钥进行密钥中继;
所述通信业务板卡用于将数字信号转换为物理光信号,以及将物理光信号转换为数字信号;
所述光接口板卡用于对物理光信号、量子光信号和同步光信号进行波分复用和解复用。
进一步地,所述数字信号包括利用会话密钥对业务数据加密生成的业务数据密文、利用密钥加密密钥对会话密钥加密生成的会话密钥密文、以及QKD协商数据中的至少一个。
更进一步地,所述中继设备还包括光放板卡,用于对关于业务数据密文的物理光信号进行放大。
优选地,所述随机数板卡基于物理噪声源或量子噪声源实现。
优选地,所述加解密板卡采用一次一密的加解密方式,以及/或者所述QKX板卡采用异或运算的加密方式。
进一步地,所述发端设备与中继设备之间、相邻中继设备之间、以及中继设备与收端设备之间通过单一光纤信道连接。
进一步地,在所述发端设备中,随机数板卡分别连接加解密板卡和QKX板卡,QKD板卡分别连接QKX板卡、通信业务板卡和光接口板卡,加解密板卡和QKX板卡分别连接通信业务板卡,通信业务板卡连接光接口板卡。
进一步地,所述中继设备包括第一和第二QKD板卡、第一和第二通信业务板卡以及第一和第二光接口板卡;
第一光接口板卡分别连接光放板卡、第一通信业务板卡和第一QKD板卡;
第一通信业务办卡分别连接QKX板卡和第一QKD板卡;
第二通信业务办卡分别连接QKX板卡和第二QKD板卡;
光放板卡、第二通信业务板卡和第二QKD板卡分别连接第二光接口板卡。
进一步地,在所述收端设备中,光接口板卡分别连接通信业务板卡和QKD板卡,通信业务板卡分别连接加解密板卡、QKX板卡和QKD板卡,QKX板卡分别连接加解密板卡和QKD板卡。
进一步地,所述发端设备中的加解密板卡连接信源,所述收端设备中的加解密板卡连接信宿。
附图说明
下面结合附图对本实用新型的具体实施方式作进一步详细的说明。
为了更清楚地说明本实用新型实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本实用新型的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示出了现有技术中的QKD系统;
图2示意性地示出了根据本实用新型的基于量子密钥分发和通信一体化设计的加密通信系统。
具体实施方式
在下文中,本实用新型的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本实用新型的精神给本实用新型所属领域的技术人员。因此,本实用新型不限于本文公开的实施例。
图2示出了根据本实用新型的基于量子密钥分发和通信一体化设计的加密通信系统。
加密通信系统可以包括发端设备、中继设备和收端设备。其中,发端设备、中继设备和收端设备均一体化集成有量子密钥分发和通信功能。
发端设备连接信源,主要用于接收通信业务数据,生成会话密钥以对业务数据进行加密生成业务数据密文,同时对会话密钥进行加密中继传输。
在图2的示例中,发端设备可以包括QKD板卡、QKX板卡、随机数板卡、加解密板卡、通信业务板卡和光接口板卡。
中继设备设置于发端设备和收端设置之间,主要用于会话密钥的加密中继传输。
在图2的示例中,中继设备可以包括QKD板卡、QKX板卡、光放板卡、通信业务板卡和光接口板卡。其中,QKD板卡、通信业务板卡和光接口板卡可以设置为两个,即第一和第二QKD板卡、第一和第二通信业务板卡、第一和第二光接口板卡,以便允许同时在两端提供光路连接端口,从而建立中继链路。
收端设备连接信宿,主要用于基于加密中继传输获取会话密钥,利用会话密钥对业务数据密文进行解密得到通信业务数据,并将业务数据发送给信宿,从而完成加密通信过程。
在图2的示例中,收端设备可以包括QKD板卡、QKX板卡、加解密板卡、通信业务板卡和光接口板卡。
在本实用新型中,QKD板卡用于借助量子密钥分发与对端(相邻设备)的QKD板卡生成共享量子密钥,作为密钥加密密钥提供给QKX板卡。
随机数板卡用于生成随机数,作为会话密钥K并分别提供给加解密板卡和QKX板卡。优选地,随机数板卡可以基于物理噪声源或量子噪声源实现,以提供真随机数。
加解密板卡用于利用会话密钥K和对称密码算法,对业务数据进行加密和解密。例如,在发端设备中,加解密板卡可以利用会话密钥K对业务数据进行加密生成业务数据密文。在收端设备中,加解密板卡可以利用会话密钥K对业务数据密文进行解密,得到业务数据的明文。
QKX板卡可以利用密钥加密密钥对会话密钥进行加密,生成会话密钥密文,以用于会话密钥的加密中继传输。优选地,QKX板卡可以采用一次一密的方式对会话密钥进行加密。
通信业务板卡用于将数字信号转换为物理光信号,以及将物理光信号转换为数字信号。同时,通信业务板卡还可以解析收发端地址信息以生成数据传输路由,以便根据数据传输路由为数据选择正确的通信端口。
例如,发端设备中的通信业务板卡可以将来自加解密板卡的业务数据密文、来自QKX板卡的会话密钥密文和来自QKD板卡的QKD协商数据转换为物理光信号。相应地,收端设备的通信业务板卡可以将物理光信号转换为业务数据密文、会话密钥密文和QKD协商数据,并根据数据传输路由分别将业务数据密文、会话密钥密文和QKD协商数据发送给加解密板卡、QKX板卡和QKD板卡。
光接口板卡用于对物理光信号、量子光信号和同步光信号进行波分复用和解复用,因此,允许发端设备与中继设备之间、相邻中继设备之间、以及中继设备与收端设备之间通过单一光纤信道连接。
光放板卡用于对承载业务数据密文的物理光信号进行放大。
为更好地理解加密通信系统中各设备/板卡的工作原理,下面将结合图2,以示例的方式描述本实用新型的加密通信系统的工作流程。
在发端设备中,发端设备(节点1)中的QKD板卡(本端QKD板卡)和相邻中继设备(节点2)中的对端QKD板卡借助量子密钥分发过程生成共享量子密钥K12,作为节点1和2之间的密钥加密密钥。其中,发端设备中的QKD板卡直接连接光接口板卡以发送量子光信号和同步光信号,同时借助通信业务板卡和光接口板卡实现QKD协商数据的交互。
此外,QKD板卡还将共享量子密钥K12作为密钥加密密钥发送给QKX板卡进行存储。优选地,可以借助本地密钥以加密的方式存储密钥加密密钥K12。
当信源将业务数据传入发端设备时,触发加密通信业务。因此,随机数板卡生成随机数以用作会话密钥K,并将会话密钥K分别传输给加解密板卡和QKX板卡,加解密板卡利用会话密钥K和对称密码算法对业务数据进行加密,生成业务数据密文并发送至通信业务板卡。
QKX板卡利用密钥加密密钥K12对会话密钥进行一次一密的加密,生成会话密钥密文K⊕K12并将其发送给通信业务板卡。
通信业务板卡接收业务数据密文、会话密钥密文和QKD协商数据,同时解析收发端地址信息并生成数据传输路由,根据数据传输路由将数据转化为物理光信号并选择正确的输出端口。光接口板卡接收通信业务板卡发送的物理光信号以及QKD板卡发送的量子光信号和同步光信号,通过波分复用进行合波,通过一根光纤传递出设备,发往下一个站点。
在中继设备中,第一QKD板卡与上游的对端QKD板卡通过量子密钥分发过程生成密钥加密密钥K12,同时第二QKD板卡与下游的对端QKD板卡通过量子密钥分发过程生成密钥加密密钥K23。其中,第一QKD板卡直接连接第一光接口板卡接收量子光信号和同步光信号,同时借助第一光接口板卡和第一通信业务板卡实现QKD协商数据的交互;第二QKD板卡直接连接第二光接口板卡以发送量子光信号和同步光信号,同时借助第二通信业务板卡和第二光接口板卡实现QKD协商数据的交互。
此外,第一和第二QKD板卡还分别将密钥加密密钥K12和K23发送给QKX板卡进行存储,QKX板卡直接将密钥加密密钥K12和K23进行一次一密的异或运算形成密钥异或值K12⊕K23。
第一光接口板卡对接收到的光信号进行解复用,将承载业务数据密文的物理光信号传输至光放板卡以对其进行放大,同时将承载会话密钥密文和QKD协商数据的物理光信号传输至第一通信业务板卡,以分别转化为会话密钥密文K⊕K12和QKD协商数据,并分别将会话密钥密文K⊕K12传输至QKX板卡,将QKD协商数据传输至第一QKD板卡。
QKX板卡将会话密钥密文K⊕K12进行密钥中继。其中,QKX板卡根据第一通信业务板卡发送的数据传输路由,选择正确的密钥异或值用于对会话密钥密文K⊕K12进行异或加密,生成新的会话加密密钥并发送至第二通信业务板卡。例如,利用K12⊕K23和K⊕K12进行异或运算生成新的会话密钥密文K⊕K23。
第二通信业务板卡接收会话密钥密文和QKD协商数据,根据数据传输路由,将这些数字信号转化为物理光信号并选择正确的端口输出。
第二光接口板卡接收光放板卡、第二通信业务板卡和第二QKD板卡发送的物理光信号、量子光信号和同步光信号,通过波分复用进行合波,通过一根光纤传递出设备,继续发往下一个站点。
信号通过一个或多个中继设备后到达收端设备。
在收端设备中,收端设备(节点z)中的QKD板卡(本端QKD板卡)和相邻中继设备(节点y)中的对端QKD板卡借助量子密钥分发过程生成共享量子密钥Kyz,作为节点y和z之间的密钥加密密钥。其中,QKD板卡直接连接光接口板卡接收量子光信号和同步光信号,同时借助光接口板卡和通信业务板卡实现QKD协商数据的交互。
此外,QKD板卡还将密钥加密密钥Kyz发送给QKX板卡进行存储。优选地,可以借助本地密钥以加密的方式存储密钥加密密钥Kyz。
光接口板卡对接收到的光信号进行解复用,将承载业务数据密文、承载会话密钥密文和QKD协商数据的物理光信号传输至通信业务板卡,以分别转化为业务数据密文、会话密钥密文K⊕Kyz和QKD协商数据,并分别将业务数据密文传输至加解密板卡,将会话密钥密文K⊕Kyz传输至QKX板卡,将QKD协商数据传输至QKD板卡。
QKX板卡根据通信业务板卡发送的数据传输路由,选择正确的密钥加密密钥Kyz对会话密钥密文K⊕Kyz进行解密,还原出会话密钥K,并发送至加解密板卡。
加解密板卡利用会话密钥K和对称密码算法对业务数密文据进行解密,产生业务数据的明文并将其发送至信宿,完成本次加密通信业务。
综上可见,在本实用新型的加密通信系统中,通过使收端设备、中继设备和发端设备同时具备量子密钥分发和通信功能,使得允许业务数据和会话密钥在收发两端设备外,全程以密文形态传递,可以有效保证会话密钥及业务数据的安全性。
在本实用新型的加密通信系统中,由于QKX板卡可以在业务数据加密传输的同时,根据传输路由信息选择正确的密钥异或值进行会话密钥的中继,因此容易推广至复杂拓扑结构。
此外,在本实用新型的加密通信系统中,由于密钥中继和业务数据加密传输是同时进行的,因此无需提前进行端到端的密钥中继,由此可以大大减少网络的复杂度。且密钥中继和业务的数据具有相同的收发地址,因此可以承载在一个数据包中同路径传递,也可以承载在不同数据包种异路径传递。
尽管前面结合附图通过具体实施例对本实用新型进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本实用新型的原理,其并不会对本实用新型的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本实用新型的精神和范围。
Claims (10)
1.一种基于量子密钥分发和通信一体化的加密通信系统,其特征在于包括发端设备、中继设备和收端设备;
所述发端设备包括QKD板卡、QKX板卡、随机数板卡、加解密板卡、通信业务板卡和光接口板卡;
所述中继设备包括QKD板卡、QKX板卡、通信业务板卡和光接口板卡;
所述收端设备包括QKD板卡、QKX板卡、加解密板卡、通信业务板卡和光接口板卡;
所述QKD板卡用于借助量子密钥分发与对端的QKD板卡生成共享量子密钥,作为密钥加密密钥;
所述随机数板卡用于生成随机数,作为会话密钥;
所述加解密板卡用于利用会话密钥对业务数据进行加密和解密;
所述QKX板卡用于利用密钥加密密钥以加密的方式对会话密钥进行密钥中继;
所述通信业务板卡用于将数字信号转换为物理光信号,以及将物理光信号转换为数字信号;
所述光接口板卡用于对物理光信号、量子光信号和同步光信号进行波分复用和解复用。
2.如权利要求1所述的加密通信系统,其特征在于,所述数字信号包括利用会话密钥对业务数据加密生成的业务数据密文、利用密钥加密密钥对会话密钥加密生成的会话密钥密文、以及QKD协商数据中的至少一个。
3.如权利要求2所述的加密通信系统,其特征在于,所述中继设备还包括光放板卡,用于对关于业务数据密文的物理光信号进行放大。
4.如权利要求1所述的加密通信系统,其特征在于,所述随机数板卡基于物理噪声源或量子噪声源实现。
5.如权利要求1所述的加密通信系统,其特征在于,所述加解密板卡采用一次一密的加解密方式,以及/或者所述QKX板卡采用异或运算的加密方式。
6.如权利要求1所述的加密通信系统,其特征在于,所述发端设备与中继设备之间、相邻中继设备之间、以及中继设备与收端设备之间通过单一光纤信道连接。
7.如权利要求1所述的加密通信系统,其特征在于,在所述发端设备中,随机数板卡分别连接加解密板卡和QKX板卡,QKD板卡分别连接QKX板卡、通信业务板卡和光接口板卡,加解密板卡和QKX板卡分别连接通信业务板卡,通信业务板卡连接光接口板卡。
8.如权利要求3所述的加密通信系统,其特征在于,所述中继设备包括第一和第二QKD板卡、第一和第二通信业务板卡以及第一和第二光接口板卡;
第一光接口板卡分别连接光放板卡、第一通信业务板卡和第一QKD板卡;
第一通信业务办卡分别连接QKX板卡和第一QKD板卡;
第二通信业务办卡分别连接QKX板卡和第二QKD板卡;
光放板卡、第二通信业务板卡和第二QKD板卡分别连接第二光接口板卡。
9.如权利要求1所述的加密通信系统,其特征在于,在所述收端设备中,光接口板卡分别连接通信业务板卡和QKD板卡,通信业务板卡分别连接加解密板卡、QKX板卡和QKD板卡,QKX板卡分别连接加解密板卡和QKD板卡。
10.如权利要求1-9中任一项所述的加密通信系统,其特征在于,所述发端设备中的加解密板卡连接信源,所述收端设备中的加解密板卡连接信宿。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202222204052.3U CN219018826U (zh) | 2022-08-22 | 2022-08-22 | 基于量子密钥分发和通信一体化的加密通信系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202222204052.3U CN219018826U (zh) | 2022-08-22 | 2022-08-22 | 基于量子密钥分发和通信一体化的加密通信系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN219018826U true CN219018826U (zh) | 2023-05-12 |
Family
ID=86249451
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202222204052.3U Active CN219018826U (zh) | 2022-08-22 | 2022-08-22 | 基于量子密钥分发和通信一体化的加密通信系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN219018826U (zh) |
-
2022
- 2022-08-22 CN CN202222204052.3U patent/CN219018826U/zh active Active
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10757570B2 (en) | Architecture for reconfigurable quantum key distribution networks based on entangled photons directed by a wavelength selective switch | |
US8170211B2 (en) | Hub device for a network comprising quantum cryptographic connections and node module for said hub device | |
CN106330434B (zh) | 第一量子节点、第二量子节点、安全通信架构系统及方法 | |
Long et al. | An evolutionary pathway for the quantum internet relying on secure classical repeaters | |
Townsend et al. | Design of quantum cryptography systems for passive optical networks | |
CN109428665B (zh) | 波分复用发送设备、接收设备、中继设备以及传输系统 | |
US20030072059A1 (en) | System and method for securing a communication channel over an optical network | |
CN107437995A (zh) | 基于卫星的广域量子通信网络系统及通信方法 | |
CN107579820B (zh) | 用于多路量子密钥分发系统的同步装置和同步方法 | |
CN110855438B (zh) | 一种基于环形qkd网络的量子密钥分发方法及系统 | |
US11616645B1 (en) | Encrypted data transmission in optical- and radio-access networks based on quantum key distribution | |
JP6070852B2 (ja) | 光受信装置、光送信装置、光通信システム、光通信方法及びプログラムが記憶された記憶媒体 | |
Huang et al. | Realizing a downstream-access network using continuous-variable quantum key distribution | |
CN108270553B (zh) | 可信中继器、量子通信网络的密钥加密方法、装置、系统 | |
Maeda et al. | Technologies for quantum key distribution networks integrated with optical communication networks | |
Takahashi et al. | A high-speed key management method for quantum key distribution network | |
CN219018826U (zh) | 基于量子密钥分发和通信一体化的加密通信系统 | |
KR102047541B1 (ko) | 링과 스타 구조가 결합된 네트워크에서 양자 암호통신 방법 | |
KR100594023B1 (ko) | 기가비트 이더넷 수동형 광 가입자망에서의 암호화 방법 | |
CN111934785A (zh) | 一种基于路由器的局域网终端量子通信方法及系统 | |
CN117675176A (zh) | 基于量子密钥分发和通信一体化的加密通信方法 | |
CN111917537B (zh) | 一种基于基站的移动通信终端量子通信方法及系统 | |
CN113545003B (zh) | 发送光脉冲的系统和方法 | |
Razavi et al. | Architectural considerations in hybrid quantum-classical networks | |
Tang et al. | Demonstration of an active quantum key distribution network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
GR01 | Patent grant | ||
GR01 | Patent grant |