第一量子节点、第二量子节点、安全通信架构系统及方法技术方案

本发明专利技术公开了一种第一量子节点、第二量子节点、安全通信网络架构系统、业务密钥传输方法及路由切换方法，其中，所述第一量子节点，用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。

【技术实现步骤摘要】

本专利技术涉及量子保密通信和通信
的安全通信技术，尤其涉及一种第一量子节点、第二量子节点、安全通信网络架构系统、业务密钥传输方法及路由切换方法。
技术介绍
本申请专利技术人在实现本申请实施例技术方案的过程中，至少发现相关技术中存在如下技术问题：传统的加密系统，不管是对称密钥还是非对称密钥，其密文的安全性完全依赖于密钥的秘密性。密钥必须是由足够长的随机二进制串组成，一旦收发双方的密钥对建立起来，通过密钥编码而成的密文就可以在公开信道上进行传送。然而为了建立密钥对，发送方与接收方必须选择一条安全可靠的通信信道，但由于截收者的存在，从技术上来说，真正的安全很难保证，而且密钥的分发总是会在合法使用者无从察觉的情况下被消极监听。近年来，由于量子力学和密码学的结合，诞生了量子密码学，它可完成仅仅由传统数学无法完成的完善保密系统。量子密码学是在量子理论基础上提出了一种全新的安全通信系统，它利用了量子特性从物理学原理上就是不可复制的特性。对量子密码学起关键作用的是“海森堡测不准原理”和“单量子不可复制定理”，海森堡测不准原理即测量量子系统时通常会对该系统产生干扰，任何对于量子信道进行监测的努力都会以某种方式的干扰在影响信道中传输的信息，单量子不可复制定理是海森堡测不准原理的推论，它指在不知道量子状态的情况下复制单个量子是不可能的，因为要复制单个量子就只能先作测量，测量这一量子系统会对该系统产生干扰并且会产生出关于该系统测量前状态的不完整信息。因此，窃听一量子通信信道就会产生不可避免的干扰，合法的通信双方则可由此而察觉到有人在窃听。量子密码术利用这一原理，使从未见过面且事先没有共享秘密信息的通信双方建立通信密钥，然后再采用从数学上绝对安全的“一次一密”的密码通信，即可确保通信双方的秘密不泄漏。量子密码学最著名的应用是量子密钥分发(QKD)。1984年，Bennett和Brassard提出第一个量子密钥分发方案，用单光子偏振态编码，现在称之为BB84协议，迎来了量子密钥分发的新时期。1992年，Bennett又提出一种与BB84协议类似而更简单、但效率减半的方案，后称之为B92协议。基于另一种量子现象即Einstein-Podolsky-Rosen(EPR)佯谬，Ekert于1991年提出用双量子纠缠态实现量子密码术，称为EPR协议。后来也出现了不少其他协议，但都可归纳为以上三种类型。近年来，随着单光子元器件的发展，基于BB84、B92、ERP等协议的量子密钥分发技术逐渐走向实用阶段。目前量子信道有两种，即光纤信道和开发空间信道，用于传输量子比特，生成量子密钥，QKD原型系统中也有经典信道，即传统网络，用于量子密钥生成时的协议交互，以及加密后密文的传输。1993年英国国防研究部在光纤中用相位编码的方法第一次实现了BB84-QKD方案，光纤传输长度达到了10公里。2002年，德国和英国研究机构成功利用激光在相距23.4km的两座山峰之间传输光子密钥，证实了通过开放空间特别是近地卫星传送量子密钥的可能性。2004年，美国BNN公司在马萨诸塞州剑桥城建立了世界首个量子密码通信实验网络；同年，郭光灿研究小组成功实现125km光纤点对点的量子密钥分配。2008年，欧盟组建的7节点保密通信演示验证网络试运行成功。同年，中国科学技术大学潘建伟小组在合肥市组建了首个光量子实验网，并演示了带量子保密通信的语音通话功能。上述现有技术方案所存在的问题是：上述这些量子密钥分发系统都是实验系统，存在诸多不足：例如，仅能在两个节点之间或者有限的的几个节点之间分发量子密钥，对于大规模部署缺乏必要的路由寻址机制；发生信道中断时缺乏必要的重路由机制。显然，要在全国范围内甚至全球范围内部署QKD网络，需要将QKD设备与传统路由交换设备结合起来，并对QKD网络进行电信级改造。
技术实现思路
有鉴于此，本专利技术实施例希望提供一种第一量子节点、第二量子节点、安全通信网络架构系统、业务密钥传输方法及路由切换方法，至少解决了上述现有技术存在的问题。本专利技术实施例的技术方案是这样实现的：本专利技术实施例的一种第一量子节点，所述第一量子节点，用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。上述方案中，所述第一量子节点包括：量子通信模块，用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列，将其作为所述量子密钥对；密钥管理模块，用于存储和管理所述量子密钥对；加解密模块，用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；接入与路由模块，用于对用户进行接入认证通过后，获取接入用户的业务数据，将所述业务数据对应的所述业务密钥发送到所述加解密模块进行加密处理后，选择下一跳量子节点的路由路径以将经加密处理得到的第一加密数据包传输给作为下一跳量子节点的所述第二量子节点，以及将接收对端发送的经加密处理得到的第二加密数据包发送到所述加解密模块进行解密处理后返回给用户。上述方案中，所述量子通信模块，进一步用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1，所述第二量子节点与第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。上述方案中，所述加解密模块，进一步用于根据所述第一量子密钥K1对所述业务密钥S进行加密，得到所述第一加密数据包SΛK1；所述接入与路由模块，进一步用于根据所述路由协议得到下一跳量子节点的路由路径，将所述SΛK1发送给作为下一跳量子节点的所述第二量子节点。本专利技术实施例的一种第二量子节点，所述第二量子节点，用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。上述方案中，所述第二量子节点包括：量子通信模块，用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列，将其作为所述量子密钥对；密钥管理模块，用于存储和管理所述量子密钥对；加解密模块，用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；路由模块，用于根据路由协议得到作为上一跳量子节点的所述第一量子节点及所述与第二量子节点相邻的下一跳量子节点；将所述第一量子节点发送的经加密处理得到的第一加密数据包发送到所述加解密模块进行解密处理，并再行加密后得到第三加密数据包，将第三加密数据包传输给所述与第二量子节点相邻的下一跳量子节点；以及将接收对端发送的经加密处理得到的第四加密数据包发送到所述加解密模块进行解密处理。上述方案中，所述量子通信模块，进一步用于与相邻的第一量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1，所述第二量子节点与所述第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。上述方案中，所本文档来自技高网...

【技术保护点】
一种第一量子节点，其特征在于，所述第一量子节点，用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。

【技术特征摘要】
1.一种第一量子节点，其特征在于，所述第一量子节点，用于与相邻的第二量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。2.根据权利要求1所述的第一量子节点，其特征在于，所述第一量子节点包括：量子通信模块，用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列，将其作为所述量子密钥对；密钥管理模块，用于存储和管理所述量子密钥对；加解密模块，用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；接入与路由模块，用于对用户进行接入认证通过后，获取接入用户的业务数据，将所述业务数据对应的所述业务密钥发送到所述加解密模块进行加密处理后，选择下一跳量子节点的路由路径以将经加密处理得到的第一加密数据包传输给作为下一跳量子节点的所述第二量子节点，以及将接收对端发送的经加密处理得到的第二加密数据包发送到所述加解密模块进行解密处理后返回给用户。3.根据权利要求2所述的第一量子节点，其特征在于，所述量子通信模块，进一步用于与相邻的第二量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1，所述第二量子节点与第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。4.根据权利要求3所述的第一量子节点，其特征在于，所述加解密模块，进一步用于根据所述第一量子密钥K1对所述业务密钥S进行加密，得到所述第一加密数据包所述接入与路由模块，进一步用于根据所述路由协议得到下一跳量子节点
\t的路由路径，将所述发送给作为下一跳量子节点的所述第二量子节点。5.一种第二量子节点，其特征在于，所述第二量子节点，用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点通过量子信道的协商生成量子密钥对，以根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给所述与第二量子节点相邻的下一跳量子节点。6.根据权利要求5所述的第二量子节点，其特征在于，所述第二量子节点包括：量子通信模块，用于与相邻的第一量子节点或与第二量子节点相邻的下一跳量子节点中的量子通信模块通过量子信道的协商在两端分别选取相同的随机数序列，将其作为所述量子密钥对；密钥管理模块，用于存储和管理所述量子密钥对；加解密模块，用于根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；路由模块，用于根据路由协议得到作为上一跳量子节点的所述第一量子节点及所述与第二量子节点相邻的下一跳量子节点；将所述第一量子节点发送的经加密处理得到的第一加密数据包发送到所述加解密模块进行解密处理，并再行加密后得到第三加密数据包，将第三加密数据包传输给所述与第二量子节点相邻的下一跳量子节点；以及将接收对端发送的经加密处理得到的第四加密数据包发送到所述加解密模块进行解密处理。7.根据权利要求6所述的第二量子节点，其特征在于，所述量子通信模块，进一步用于与相邻的第一量子节点中的量子通信模块通过量子信道的协商生成第一量子密钥K1，所述第二量子节点与所述第二量子节点相邻的下一跳量子节点协商生成第二量子密钥K2。8.根据权利要求7所述的第二量子节点，其特征在于，所述加解密模块，进一步用于接收所述第一量子节点发送的第一加密数据包根据所述第一量子密钥K1对所述进行解密后再用第二量子密钥K2进行加密，得到所
\t述第三加密数据包所述接入与路由模块，进一步用于根据所述路由协议得到下一跳量子节点的路由路径，将所述发送给与所述第二量子节点相邻的下一跳量子节点。9.一种安全通信架构系统，其特征在于，所述系统包括如权利要求1-4任一项所述的第一量子节点，及如权利要求5-8任一项所述的第二量子节点；所述系统还包括：路由切换节点；所述路由切换节点，用于作为所述第一量子节点与所述第二量子节点之间的传输介质透传光路使用。10.一种业务密钥传输方法，其特征在于，所述方法应用于第一量子节点，所述方法包括：第一量子节点与相邻的第二量子节点通过量子信道的协商生成量子密钥对；根据所述量子密钥对将接入用户业务数据的业务密钥进行加解密处理，得到处理后的数据包；将所述处理后的数据包按照路由协议通过经典信道传输给相邻的第二量子节点。11.一种业务密钥传输方法，其特征在于，所述方法应用于第二量子节点，所述方法包括：第二量...

【专利技术属性】
技术研发人员：孙翼舟，黄兵，江华，
申请(专利权)人：中兴通讯股份有限公司，
类型：发明
国别省市：广东;44