本发明专利技术公开了一种支持量子密钥进行数据加密以太网交换机,由交换模块、管理模块、数据加密模块三个部分组成,交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元。本发明专利技术实现基于以太网帧的量子密钥加密,同时与标准二层以太网交换机功能叠加集成,实现“二层以太网交换机+量子密钥数据加密”,简化量子密钥加密网络的设计及部署。
A Data Encryption Ethernet Switch Supporting Quantum Key
【技术实现步骤摘要】
一种支持量子密钥进行数据加密以太网交换机
本专利技术涉及以太网交换机
,尤其涉及一种支持量子密钥进行数据加密以太网交换机。
技术介绍
近年来随着量子通信技术的蓬勃发展,基于量子密钥进行数据加密的数据安全系统被广泛的应用到了电力、能源、金融、交通等各个行业,量子密钥以真随机性、不可复制性被行业广泛认可为天然安全的密钥、不可破解的密钥。现阶段量子密钥加密的组网方案如图4所示,由图可知现阶段量子密钥加密的两点之间主流组网方式为:量子密钥分发设备(QKD)通过独立的光纤通道进行基于光量子的秘钥生产,生产出来的量子密钥存放在量子密钥存储设备(QKM)中,然后通过量子加密设备(QVPN)实现对数据通道的量子加密并在经典信道TCP/IP网络中传送。采用上述组网方式实现的量子保密通信目前主要存在如下两个瓶颈,一是只能实现通道级的加密:现阶段量子密钥加密普遍采用VPN设备实现通道级的加密,对接入通道中传输的数据进行全加密,无法实现对于数据包的加密;二是组网设备中必须增加量子加密设备(VPN):如果要实现量子密钥对数据的加密必须在需要加密的网络中增加VPN设备,否则无法将明文传输转换成添加密钥的密文传输。在网络中增加VPN设备,增加了网络的故障点、增加了数据加密的复杂性及影响网络整体规划。让基于量子密钥进行数据加密变的困难复杂。为此,专利技术人期望提供一种新的支持量子密钥进行数据加密的以太网交换机。
技术实现思路
本专利技术的目的在于克服现有技术中存在的上述问题,提供一种支持量子密钥进行数据加密以太网交换机。为实现上述技术目的,达到上述技术效果,本专利技术是通过以下技术方案实现:一种支持量子密钥进行数据加密以太网交换机,该以太网交换机由交换模块、管理模块、数据加密模块三个部分组成,所述交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,所述管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,所述数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元;所述数据加密模块的加密方法包含以下步骤:S1:数据帧从交换机的10GE端口进入FPGA;S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发;S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pause帧,进行流控。进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述步骤S2中分发规则是:每次分发一个完整数据帧进入一个队列。进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述步骤S5中光模块向交换芯片发送pause帧时,数据帧从线路接口即光模块侧进入FPGA;首先由解密模块根据事先设定解密标准及密钥长度,对数据帧进行解密,解密完成后数据帧由分发模块按照最短队列优先原则送入相应的egr队列,对应队列的Hash模块对数据帧的摘要进行校验,检测校验错误,更新错误统计计数器,并且如果摘要错误,对数据帧进行标记,在ingress侧按照保序调度从队列中读出数据帧依次输出到交换芯片。进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述对数据帧进行标记是指可以直接丢弃,或者造CRC错误再由交换芯片来丢弃。进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述FPGA根据管理模块配置的参数和给定的密钥进行信息摘要和加解密功能,密钥分发、设置、以及加密信道两端状态,配置包括加密方案、信息摘要方案以及参数设定。进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述参数设定包括密钥长度和密钥值的设定。本专利技术的有益效果是:本专利技术提供了一种支持量子密钥进行数据加密的以太网交换机,实现基于以太网帧的量子密钥加密,同时与标准二层以太网交换机功能叠加集成,实现“二层以太网交换机+量子密钥数据加密”,简化量子密钥加密网络的设计及部署。当然,实施本专利技术的任一产品并不一定需要同时达到以上的所有优点。附图说明为了更清楚地说明本专利技术实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本专利技术的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。图1为本专利技术以太网交换机的组成示意图;图2为本专利技术中数据加密模块的工作原理图;图3为本专利技术中数据帧的处理过程示意图;图4为
技术介绍
中量子密钥加密的组网方案示意图;附图中,各标号所代表的部件列表如下:1-交换模块,2-管理模块,3-数据加密模块。具体实施方式下面将结合本专利技术实施例中的附图,对本专利技术实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本专利技术一部分实施例,而不是全部的实施例。基于本专利技术中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本专利技术保护的范围。请参阅图1-3所示,本实施例为一种支持量子密钥进行数据加密以太网交换机,该以太网交换机由交换模块1、管理模块2、数据加密模块3三个部分组成。交换模块1包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元。管理模块2包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元。数据加密模块3包含能够对应实现数据加密、数据摘要功能的功能单元;数据加密模块3的加密方法包含以下步骤:S1:数据帧从交换机的10GE端口进入FPGA;S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发,每次分发一个完整数据帧进入一个队列;S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pau本文档来自技高网...
【技术保护点】
1.一种支持量子密钥进行数据加密以太网交换机,其特征在于:该以太网交换机由交换模块、管理模块、数据加密模块三个部分组成,所述交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,所述管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,所述数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元;所述数据加密模块的加密方法包含以下步骤:S1:数据帧从交换机的10GE端口进入FPGA;S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发;S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pause帧,进行流控。...
【技术特征摘要】
1.一种支持量子密钥进行数据加密以太网交换机,其特征在于:该以太网交换机由交换模块、管理模块、数据加密模块三个部分组成,所述交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,所述管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,所述数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元;所述数据加密模块的加密方法包含以下步骤:S1:数据帧从交换机的10GE端口进入FPGA;S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发;S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光...
【专利技术属性】
技术研发人员:于洋,胡继强,
申请(专利权)人:无锡中金鼎讯信通科技股份有限公司,
类型:发明
国别省市:江苏,32
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。