量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统制造方法及图纸

本实用新型专利技术提供一种量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统，该接入节点装置使得所述量子保密通信网络系统的接入节点与交换节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信。本实用新型专利技术实现了量子保密通信网络与用户网络的安全隔离、量子保密通信网络与不同厂商密码设备或系统的对接，以及业务数据上网权限控制与量子保密通信网络的功能分离。

Access node device of quantum secure communication network system and communication network system including the device

The utility model provides an access node device for a quantum secure communication network system and a communication network system including the device. The access node device enables the access node of the quantum secure communication network system to be connected with the exchange node and the relay node using classical channel and quantum channel respectively. The classical channel of quantum key distribution among the nodes adopts IP-free mode. Communicate. The utility model realizes the security isolation between quantum secure communication network and user network, the docking between quantum secure communication network and cryptographic devices or systems of different manufacturers, and the functional separation between the access control of service data and quantum secure communication network.

【技术实现步骤摘要】
量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统
本技术属于量子通信
，具体涉及量子保密通信网络系统的接入节点装置以及包括该装置的量子保密通信网络系统。
技术介绍
1.量子密钥分发量子密钥分发利用了量子的不可克隆原理和量子不可分割的基本特性，采用单光子进行随机数的传递。按照BB84协议，每一个光子随机选择调制的基矢，接收端也采用随机的基矢进行监测。当发送与接收端选择的基矢一致时，接收受到的信号被认为是有效的而被纪录记录；如果选择的基矢不一致，则数据被丢弃。这样就可以保证发送与接收方获得了一致的随机数序列(即量子密钥)。量子密钥分发系统需要量子信道和经典信道两个独立信道，地面骨干通信网以光纤承载。2.量子保密通信量子通信广义的讲就是将量子态从一个地方传输到另一个地方，包含量子隐形传态、量子纠缠交换及量子密钥分发。目前商用的量子保密通信主要指基于量子密钥分发(QuantumKeyDistribution，QKD)的保密通信。已经发展成熟的点对点量子密钥分发系统无法满足实际应用，并且用户需求正在逐步扩大。为了满足多用户安全通信的需求，与之配套的量子密钥分发网络正逐渐朝着多用户、长距离和网络化的方向发展。从光纤量子密钥分发的发展趋势来看，基于光纤的城际量子通信技术正在走向实用化和产业化发展。3.服务方式当前的服务方式主要是将网络上两节点通过量子密钥分发技术及中继技术实现的共享随机数作为密钥输出给密码设备进行使用。然而，随机数并非密钥的全部，所以无法直接应用于极大部分密码设备。另外，当前的服务提供方式要求消耗密钥的密码设备与量子保密通信网络以IP网络相连。这本身与当前的密码管理方式存在冲突。
技术实现思路
本技术所要解决的问题：1.与现有密钥管理系统的兼容问题量子保密通信网络需要为大量的使用密码设备或需要密码管理的单位机构提供业务数据(即用户密钥)的安全传输保障，必然需要面对多厂家多型号的密码设备和密钥分发系统，因此这些系统或设备如何以低耦合且不影响现行管理体系的方式与量子保密通信网络进行连接是务必要解决的兼容性问题。2.生产网络与用户网络隔离问题用户的密码设备或密钥分发系统一般位于具有特定安全等级的用户网络或隔离网络，所以量子保密通信网络的应用必然不能影响其安全等级。另外，不同用户的网络可能具有不同的安全等级，相互之间也不能因为量子保密通信网络的应用而进行连接。这就要求量子保密通信网络与用户网络之间必须是隔离的。为了克服上述问题，本技术提供一种量子保密通信网络系统的接入节点装置，所述接入节点装置使得所述量子保密通信网络系统的接入节点与交换节点和中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信；所述接入节点装置优选是集成化的。在一种实施方式中，所述接入节点装置与用户端装置通过IP网络进行对接并提供服务。在一种实施方式中，所述接入节点装置包括量子密钥服务单元和量子通信接入单元，所述量子密钥服务单元与所述量子通信接入单元之间使用通信总线相连，并采用私有协议实现数据摆渡；所述通信总线优选为SPI总线。在一种实施方式中，所述量子密钥服务单元用于对接用户端装置，实现对用户数据传输权限的控制。在一种实施方式中，所述量子通信接入单元包括接入数据处理模块和量子密钥生成模块；所述量子密钥生成模块通过内部的QKD发射端与相邻节点生成量子密钥，并输出给接入数据处理模块；和所述接入数据处理模块产生通信密钥、分发通信密钥和传输业务数据。在一种实施方式中，所述接入数据处理模块预置了由量子保密通信网络的密钥管理中心配发的存储密钥，所述存储密钥一部分用于对称加密算法实现对存储数据的加密，所述对称加密算法优选为SM4；另一部分用于消息认证码计算，实现对存储数据的完整性保护，所述消息认证码计算优选为基于SM3的HMAC算法。在一种实施方式中，所述用户端装置与量子密钥服务单元之间、量子密钥服务单元与量子通信接入单元之间、本接入节点与相邻节点之间分别设有双向身份认证机制；所述双向身份认证机制优选地采用预置对称密钥以及随机数挑战方式实现。在一种实施方式中，所述用户端装置与量子密钥服务单元之间、量子密钥服务单元与量子通信接入单元之间、本接入节点与相邻节点之间分别基于临时会话密钥的通信安全保护机制，用于保护业务数据在传输过程中的机密性和完整性。在一种实施方式中，所述临时会话密钥一部分用于对称加密算法实现对传输数据的加密，对称加密算法优选为SM4；另一部分用于消息认证码计算实现对传输数据的完整性保护，所述消息认证码计算优选为基于SM3的HMAC算法。在一种实施方式中，本技术提供一种基于量子密钥分发的量子保密通信网络系统，所述量子保密通信网络系统包括任一上述的接入节点装置。本技术提供的量子保密通信网络系统的接入节点装置实现了以下技术效果：1)实现量子保密通信网络与用户网络的安全隔离通过安全隔离措施，有效解决了用户如何合法合规使用量子保密通信网络问题。一方面与量子保密通信网络的对接不会造成用户网络安全等级的降低，另一方面有效防止用户网络潜在安全风险对量子保密通信网络的运行产生影响。2)有效实现量子保密通信网络与不同厂商密码设备或系统的对接量子保密通信网络所服务的用户群体多样性带来了接入的密码设备或系统种类和接口实现的差异化，通过集成量子密钥服务单元，有效解决量子保密通信网络与密码设备或系统的适配问题。3)实现业务数据上网权限控制与量子保密通信网络的功能分离通过集成的量子密钥服务单元实现业务数据上网权限的控制，将其从量子保密通信网络进行剥离，使量子保密通信网络功能简单化，提高运行健壮性。附图说明为了更清楚地说明本申请实施例中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本申请中记载的一些实施例，对于本领域普通技术人员来说，在不付出创造性劳动的前提下，还可以根据这些附图获得其它的附图。图1为本技术基于量子密钥分发的量子保密通信网络系统组网拓扑示意图；图2为本技术的集成化接入节点装置结构及其外部交互关系示意图；图3为本技术集成化接入节点装置的量子密钥生成和存储流程示意图；图4为本技术集成化接入节点装置的通信密钥生成和存储流程示意图；图5为本技术集成化接入节点装置的业务数据安发送流程示意图；和图6为本技术集成化接入节点装置的业务数据接收流程示意图。具体实施方式为了使本领域
人员更好地理解本申请中的技术方案，下面将结合实施例对本技术作进一步说明，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都应当属于本申请保护的范围。下面结合附图及实施例对本技术作进一步描述。实施例一：本技术的量子保密通信网络系统如图1所示，在一种实施方式中，本技术的基于量子密钥分发的量子保密通信网络系统包括接入节点、交换节点和中继节点，各个节点之间分别使用经典信道及量子信道相连，其中节点间量子密钥分发的经典信道采用无IP方式进行通信。量子信道是指传输量子信号的物理通道；量子信号是指以微观量子态承载信息的物本文档来自技高网...

【技术保护点】
1.量子保密通信网络系统的接入节点装置，其特征在于，所述接入节点装置使得所述量子保密通信网络系统的接入节点与交换节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信；所述接入节点装置优选是集成化的。

【技术特征摘要】
1.量子保密通信网络系统的接入节点装置，其特征在于，所述接入节点装置使得所述量子保密通信网络系统的接入节点与交换节点、中继节点分别都使用经典信道及量子信道相连，各个节点间量子密钥分发的经典信道采用无IP方式进行通信；所述接入节点装置优选是集成化的。2.根据权利要求1所述的接入节点装置，其特征在于，所述接入节点装置与用户端装置通过IP网络进行对接并提供服务。3.根据权利要求2所述的接入节点装置，其特征在于，所述接入节点装置包括量子密钥服务单元和量子通信接入单元，所述量子密钥服务单元与所述量子通信接入单元之间使用通信总线相连，并采用私有协议实现数据摆渡；所述通信总线优选为SPI总线。4.根据权利要求3所述的接入节点装置，其特征在于，所述量子密钥服务单元用于对接用户端装置，实现对用户数据传输权限的控制。5.根据权利要求3所述的接入节点装置，其特征在于，所述量子通信接入单元包括接入数据处理模块和量子密钥生成模块；所述量子密钥生成模块通过内部的QKD发射端与相邻节点生成量子密钥，并输出给接入数据处理模块；所述接入数据处理模块产生通信密钥、分发通信密钥和传输业务数据。6.根据权利要求5所述的接入节点装置，其特征在于，所述接入数据处理模块预置了由量子保密通信网络的密钥...

【专利技术属性】
技术研发人员：戚巍，童新海，吴科科，谢四江，阎亚龙，周旭华，冯雁，冯刚，徐莉伟，
申请(专利权)人：中共中央办公厅电子科技学院，国科量子通信网络有限公司，
类型：新型
国别省市：北京,11