本发明专利技术提供一种实现量子安全加密的城域网系统,所述城域网系统包括IP城域网和量子密钥分发城域网,所述IP城域网是通过MPLS技术组建的数据传输网,为企业用户提供VPN组网;所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。本发明专利技术的城域网系统使得在城域网中传输数据得到保护,防止对网络资源的非法访问,对网络传输的窃听和破坏,保护网络使用者的合法利益。
【技术实现步骤摘要】
实现量子安全加密的城域网系统
本专利技术涉及通信安全领域,具体涉及一种实现量子安全加密的城域网系统。
技术介绍
上世纪九十年代以来,科学家开始了量子密码的研究。量子密钥分发(QKD)技术基于“海森堡测不准原理”和“量子不可复制原理”,使用每比特单光子传输随机数,由此发送端和接收端能够产生相同随机数密钥。量子密钥分发不依赖于计算的复杂性来保证通信安全,而是基于量子力学基本原理,量子密码系统的安全性不会受到计算能力和数学水平的不断提高的威胁。近几年,国内量子密钥分发技术已经得到全国范围的广泛应用。近年来,随着城域网组网技术的不断发展,在城域网上开展的业务逐渐多样化。同时,越来越多的新型互联网业务对城域网的安全性也有了更高的要求,如:电子政务、电子商务、企业分支互联、远程办公等业务对数据传输提出了很高的加密要求。MPLS(Multi-ProtocolLabelSwitching)技术已成为目前主流的城域网方案,其组建的逻辑隔离网络为多样化的应用开展提供了平台。MPLS(Multi-ProtocolLabelSwitching)VPN(VirtualPrivateNetwork)技术利用了开放的MPLS网络建立专用的数据传输通道,为企业的远程分支机构互联提供虚拟专用网络。MPLS通过路由的控制来实现了网络的隔离,相对于传统的IP网络有了较高的安全性,但是MPLSVPN在路由信息交换及数据传输时仍然存在被攻击的可能。数据在MPLS网络传输过程中,没有经过加密处理,无法保证数据的安全性。目前,互联网中主流的数据加密通信方案是IPsec(InternetProtocolSecurity)。IPSec是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性,以及如何加密数据包。使用IPsec,数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。IPsec对传输中数据加密所获取的密钥主要通过IKE(InternetKeyExchange)生成,IKE协议通常采用SHA-1和MD5作为消息完整性算法,采用预共享密钥、RSA加密nonce或RSA签名作为对等体的鉴别方法,采用Diffie-Hellman算法作为会话密钥协商算法,采用DES、3DES或AES作为数据加密算法。从数学层面来看,只要掌握了合适的方法,任何密码都可以破译,无非就是所需时间的问题。随着高性能计算技术的发展,尤其是在量子计算环境下,RSA、ECC等非对称加密算法都将可能在短时间内被破译。
技术实现思路
目前通过MPLS技术组建的IP城域网并不具备数据加密机制和用户的认证功能,所以它无法提供数据安全服务,无法满足结构复杂、安全性要求高的企业商用需求。为了解决上述问题,本专利技术提供一种实现量子安全加密的城域网系统,所述城域网系统包括IP城域网和量子密钥分发城域网,所述IP城域网是通过MPLS技术组建的数据传输网,为企业用户提供VPN组网;所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。在一种实施方式中,在所述IP城域网中部署具有量子密钥加密功能的用户网络边缘设备,该设备支持扩展使用量子密钥,采用IPsec的加密通信机制,实现接入用户的量子安全通信;和,所述用户网络边缘设备通过量子密钥分发系统安全接口接入所述量子密钥分发城域网,获取对称量子密钥对,用于IPsecVPN的协商及会话加密过程。在一种实施方式中,所述IP城域网包括核心层、汇接层和接入层,所述核心层包括运营商核心路由器,用于核心网络路由及数据的转发;所述汇接层包括运营商边界路由器,用于提供用户边缘设备的接入,为VPN用户建立虚拟路由转发;所述接入层包括所述用户网络边缘设备,该设备支持IPsec扩展使用量子密钥,在该设备上实现量子加密功能。在一种实施方式中,所述核心层包括多台核心路由器,核心路由器支持MPLS、OSPF和/或BGP协议。在一种实施方式中,多台核心路由器进行环形组网。在一种实施方式中,所述核心路由器可与骨干网连接。在一种实施方式中,所述量子密钥分发城域网包括核心控制层、汇接层和所述接入层;所述核心控制层包括量子密钥管理系统,用于城域网内的量子密钥分发系统的路由调度、密钥生成控制和密钥管理;所述汇接层包括量子密钥分发系统的接收端,用于对接所述接入层的量子密钥分发系统的发送端,实现点到点的量子密钥生成;所述接入层包括量子密钥分发系统的发送端,用于接收用户边缘设备的量子密钥请求,并经过量子密钥协商与生成后响应密钥请求,为用户边缘设备建立IPsecVPN提供量子密钥。在一种实施方式中,在VPN用户节点,部署支持IPSec扩展使用量子密钥的用户边缘设备和量子密钥分发系统的发送端。在一种实施方式中,所述VPN用户节点的量子密钥分发系统的发送端接入所述量子密钥分发城域网中的量子密钥分发系统的接收端,全网量子密钥分发系统接入所述量子密钥管理系统。在一种实施方式中,在所述用户边缘设备中配置需要加密的访问控制策略,加密感兴趣流被触发后,用户边缘设备向与其相连的量子密钥分发系统发送端请求量子密钥,响应的量子密钥可用于IPSecVPN的会话密钥。本专利技术利用用户边缘设备可实现IPSec扩展使用量子密钥的特性,不同用户的边缘设备之间通过IP城域网互通,在隧道模式下实现不同用户通信数据的高安全保密传输。在本专利技术中,缩略语、英文和关键术语定义如下:MPLS(Multi-ProtocolLabelSwitching):多协议标签交换;VPN(VirtualPrivateNetwork):虚拟专用网络;IPSec(InternetProtocolSecurity):互联网安全协议IKE(InternetKeyExchange):互联网密钥交换;P(ProviderCoreRouter):运营商核心路由器;PE(ProviderEdgeRouter):运营商边缘路由器;CE(CustomerEdge):用户边缘设备;QKD(QuantumKeyDistribution):量子密钥分发;QKDS(QuantumKeyDistributionSystem):量子密钥分发系统;VRF(VirtualRoutingandForwarding):虚拟路由转发;BGP(BorderGatewayProtocol):边界网关协议;MBGP(MultiprotocolBGP):多协议边界网关协议;VPN设备:利用VPN技术实现网络中安全通信服务的设备。IPsecVPN:指采用IPSec协议来实现远程接入的一种VPN技术,在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全。密钥:控制密码算法运算的关键信息或参数。对称加密:本文档来自技高网...
【技术保护点】
1.实现量子安全加密的城域网系统,其特征在于,所述城域网系统包括IP城域网和量子密钥分发城域网,所述IP城域网是通过MPLS技术组建的数据传输网,为企业用户提供VPN组网;所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。/n
【技术特征摘要】
1.实现量子安全加密的城域网系统,其特征在于,所述城域网系统包括IP城域网和量子密钥分发城域网,所述IP城域网是通过MPLS技术组建的数据传输网,为企业用户提供VPN组网;所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。
2.根据权利要求1所述的城域网系统,其特征在于,在所述IP城域网中部署具有量子密钥加密功能的用户网络边缘设备,该设备支持扩展使用量子密钥,采用IPsec的加密通信机制,实现接入用户的量子安全通信;和
所述用户网络边缘设备通过量子密钥分发系统安全接口接入所述量子密钥分发城域网,获取对称量子密钥对,用于IPsecVPN的协商及会话加密过程。
3.根据权利要求2所述的城域网系统,其特征在于,所述IP城域网包括核心层、汇接层和接入层,所述核心层包括运营商核心路由器,用于核心网络路由及数据的转发;所述汇接层包括运营商边界路由器,用于提供用户边缘设备的接入,为VPN用户建立虚拟路由转发;所述接入层包括所述用户边缘设备,该设备支持IPsec扩展使用量子密钥,在该设备上实现量子加密功能。
4.根据权利要求3所述的城域网系统,其特征在于,所述核心层包括多台核心路由器,核心路由器支持MPLS、OSPF和/或BGP协议。
5.根据权利要求4所述的城域网系统,其特征在于,多台核心路由器进行环形组网。
【专利技术属性】
技术研发人员:聂勋坦,韩圣龙,
申请(专利权)人:国科量子通信网络有限公司,
类型:发明
国别省市:上海;31
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。