一种基于物理系统的开放式密钥分发网络架构技术方案

本发明专利技术提出了一种基于物理系统的开放式密钥分发网络架构，其中从纵向来看，分为控制平面和业务平面，控制平面不涉及密钥，业务平面不涉及控制信令；从横向来看，采用密钥生产层、密钥交换层和密钥服务层分离的三层架构，密钥生成层、密钥交换层、密钥服务层分别实现相邻节点、跨节点和端到端的密钥生产、分发和输出，从而实现更加清晰的逻辑切割。从而实现更加清晰的逻辑切割。从而实现更加清晰的逻辑切割。

【技术实现步骤摘要】
一种基于物理系统的开放式密钥分发网络架构


[0001]本专利技术涉及保密通信
，具体涉及一种基于物理系统的开放式密钥分发网络架构。

技术介绍

[0002]量子密钥分发(下简称QKD)是利用量子系统来进行信息的制备、传输、接收以及提纯来得到物理原理上不会被别人窃取的安全对称密钥，这个过程可以保证通讯双方所获得的密钥是完全一致的，并且任何第三方都无法获得任何关于密钥的信息。光纤量子密钥分发系统的发送方需要发送量子光、同步光至接受方，同时双方需要相互发送数据进行密钥协商。
[0003]图1示出了现有量子保密通信网络架构。如图1所示，该量子保密通信网络架构包括量子密钥分发网络和用户网络两部分，其中，量子密钥分发网络又包括量子层、密钥管理层、QKDN控制层和QKDN网管层，用户网络又包括应用层和用户网络网管层。并且，在该网络架构中，量子层与密钥管理层、QKDN网管层、QKDN控制层之间均设置有接口，密钥管理层与量子层、QKD网管层、QKDN控制层、应用层之间均设置有接口，QKDN控制层与量子层、密钥管理层、QKDN网管层之间均设置有接口。由此可见，该网络中各个功能层之间存在强耦合关系，整个网络层次不清晰，最终会导致出现以下问题：
[0004]1、网络升级维护困难，任一层次模块的变动会影响很多不同层次模块之间的接口。
[0005]2、不同厂商之间的兼容性差。每个厂商都有各自的设备控制和密钥交换体系，可能会有分布式控制的体系，而在当前网络架构下只能由QKDN控制器集中控制，这会导致不同厂商之间的对接困难。
[0006]3、经典IP承载网络的安全设计难度高，成本高。由于密钥分发网络层次不清晰，所以密钥和控制信息无法很好的分离，所依托的经典IP承载网络也很难进行安全域的划分和做针对性的保护。攻击者单点突破系统的经典IP网络后，往往在各个层次之间随意的攻击。而且QKDN控制器作为网络大脑，可以同时控制密钥管理层和量子层，是重点被攻击的对象，一旦被攻击则后果较为严重。
[0007]此外，现有网络架构是基于量子密钥分发设计的，没有纳入例如WCKG技术等其他可能的安全密钥分发技术。特别是基于QKD的密钥分发网络都是固定节点进行设计和提供服务的，不能满足例如移动节点接入需求，导致网络应用扩展能力不足。并且，现有网络架构中用户和设备是绑定关系，即用户只能沟通指定的设备接入密钥分发网络，则基于这个设备进行密钥分发和交换。但是真实的用户或者应用可能会更换设备，在不同的节点接入网络并申请密钥，因此，现有网络架构实际上并不能满足真实应用场景的需求。

技术实现思路

[0008]针对上述问题，本专利技术提出了一种基于物理系统的开放式密钥分发网络架构，其
中从纵向来看，分为控制平面和业务平面，控制平面不涉及密钥，业务平面不涉及控制信令；从横向来看，采用密钥生产层、密钥交换层和密钥服务层分离的三层架构，密钥生成层、密钥交换层、密钥服务层分别实现相邻节点、跨节点和端到端的密钥生产、分发和输出，从而实现更加清晰的逻辑切割。
[0009]具体而言，本专利技术涉及一种基于物理系统的开放式密钥分发网络架构，其分为业务平面、控制平面和用户平面，且包括密钥生产层、密钥交换层、密钥服务层和密钥应用层，其中：
[0010]所述密钥生产层用于产生点对点的密钥；
[0011]所述密钥交换层用于实现密钥的网络化分发；
[0012]所述密钥服务层用于实现用户认证、鉴权和策略管理、以及供给密钥；
[0013]所述密钥应用层包括使用密钥的用户应用或设备；
[0014]所述密钥生产层、密钥交换层和密钥服务层均分为所述业务平面和所述控制平面，其中：所述业务平面定义为承担密钥生产、密钥交换和密钥服务功能，所述控制平面定义成对所述业务平面中的功能模块进行控制，但不涉及密钥本身；并且，所述密钥应用层构成所述用户平面。
[0015]进一步地，在所述密钥生产层中，所述业务平面被定义用于实现物理信号收发、时间同步、密钥数据协商、密钥输出、链路交换功能，所述控制平面被定义用于实现生产控制策略、链路切换策略、状态监控功能；
[0016]在所述密钥交换层中，所述业务平面被定义用于实现密钥输入、密钥存储、密钥中继、密钥输出、路由寻址功能，所述控制平面被定义用于实现位置服务、路由控制、跨域结算功能；
[0017]在所述密钥服务层中，所述业务平面被定义用于实现用户注册、密钥输入、密钥存储、密钥输出功能，所述控制平面被定义用于实现用户授权鉴权、策略管理、状态监控、计费管理功能。
[0018]进一步地，在所述业务平面上，仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口，以实现密钥的传输；
[0019]在所述控制平面上，仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口，以实现请求和控制信息及数据的传输；
[0020]在所述密钥生产层、密钥交换层和密钥服务层中的每一个内，在所述业务平面与控制平面之间设置接口，以实现数据及控制信息的交互；并且，
[0021]在所述密钥生产层和密钥交换层的业务平面上分别设置有用于与相邻节点进行数据交互的接口。
[0022]更进一步地，所述密钥生产层的业务平面设有密钥生产模块和物理层链路模块，所述密钥生产层的控制平面设有生产管控模块，所述密钥生产模块用于依据密钥分发协议生成密钥，所述生产管控模块包括生产网元管控模块和链路网元管控模块；
[0023]所述密钥交换层的业务平面设有密钥交换模块，所述密钥交换层的控制平面设有交换管控模块，所述密钥交换模块用于接收和管理由所述密钥生成模块生成的密钥并对其
进行中继；
[0024]所述密钥服务层的业务平面设有用户服务模块，所述密钥服务层的控制平面设有服务管控模块，所述用户服务模块用于接收和管理来自所述密钥交换模块的密钥，并为所述密钥应用层提供端对端密钥服务。
[0025]再进一步地，所述密钥生产模块包括信号制备探测模块、时间同步模块、数据协商模块、密钥输出模块、随机数模块、生产网元管理模块；
[0026]所述信号制备探测模块用于与相邻节点的信号制备探测模块通信，实现物理信号的制备、发送和探测；
[0027]所述时间同步模块用于与相邻节点的信号制备探测模块通信，实现时间同步；
[0028]所述数据协商模块用于与相邻节点的信号制备探测模块通信，实现信号探测数据的参数评估、纠错及隐私放大；
[0029]所述密钥输出模块用于向所述密钥交换层输出所述点对点的密钥；
[0030]所述随机数模块用于生成随机数并提供给所述信号制备探测模块和数据协商模块；
[0031]所述生产网元管理模块用于与所述生产网元管控模块通信，监视设备状态、控制设备启停及设置设备参数，以及设备初始化的认证和入网；
[0032]所述物理层链路模块包括用于多路量子信道和经本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于物理系统的开放式密钥分发网络架构，其分为业务平面、控制平面和用户平面，且包括密钥生产层、密钥交换层、密钥服务层和密钥应用层，其中：所述密钥生产层用于产生点对点的密钥；所述密钥交换层用于实现密钥的网络化分发；所述密钥服务层用于实现用户认证、鉴权和策略管理、以及供给密钥；所述密钥生产层、密钥交换层和密钥服务层均分为所述业务平面和所述控制平面，其中：所述业务平面定义为承担密钥生产、密钥交换和密钥服务功能，所述控制平面定义成对所述业务平面中的功能模块进行控制，但不涉及密钥本身；并且，所述密钥应用层构成所述用户平面。2.如权利要求1所述的开放式密钥分发网络架构，其中：在所述密钥生产层中，所述业务平面被定义用于实现物理信号收发、时间同步、密钥数据协商、密钥输出、链路交换功能，所述控制平面被定义用于实现生产控制策略、链路切换策略、状态监控功能；在所述密钥交换层中，所述业务平面被定义用于实现密钥输入、密钥存储、密钥中继、密钥输出、路由寻址功能，所述控制平面被定义用于实现位置服务、路由控制、跨域结算功能；在所述密钥服务层中，所述业务平面被定义用于实现用户注册、密钥输入、密钥存储、密钥输出功能，所述控制平面被定义用于实现用户授权鉴权、策略管理、状态监控、计费管理功能。3.如权利要求1所述的开放式密钥分发网络架构，其中：在所述业务平面上，仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口，以实现密钥的传输；在所述控制平面上，仅在所述密钥生产层与密钥交换层之间、所述密钥交换层与密钥服务层之间、所述密钥服务层与密钥应用层之间设置接口，以实现请求和控制信息及数据的传输；在所述密钥生产层、密钥交换层和密钥服务层中的每一个内，在所述业务平面与控制平面之间设置接口，以实现数据及控制信息的交互；并且，在所述密钥生产层和密钥交换层的业务平面上分别设置有用于与相邻节点进行数据交互的接口。4.如权利要求1
‑
3中任一项所述的开放式密钥分发网络架构，其中：所述密钥生产层的业务平面设有密钥生产模块和物理层链路模块，所述密钥生产层的控制平面设有生产管控模块，所述密钥生产模块用于依据密钥分发协议生成密钥，所述生产管控模块包括生产网元管控模块和链路网元管控模块；所述密钥交换层的业务平面设有密钥交换模块，所述密钥交换层的控制平面设有交换管控模块，所述密钥交换模块用于接收和管理由所述密钥生成模块生成的密钥并对其进行中继；所述密钥服务层的业务平面设有用户服务模块，所述密钥服务层的控制平面设有服务管控模块，所述用户服务模块用于接收和管理来自所述密钥交换模块的密钥，并为所述密钥应用层提供端对端密钥服务。
5.如权利要求4所述的开放式密钥分发网络架构，其中：所述密钥生产模块包括信号制备探测模块、时间同步模块、数据协商模块、密钥输出模块、随机数模块、生产网元管理模块；所述信号制备探测模块用于与相邻节点的信号制备探测模块通信，实现物理信号的制备、发送和探测；所述时间同步模块用于与相邻节点的信号制备探测模块通信，实现时间同步；所述数据协商模块用于与相邻节点的信号制备探测模块通信，实现信号探测数据的参数评估、纠错及隐私放大；所述密钥输出模块用于向所述密钥交换层输出所述点对点的密钥；所述随机数模块用于生成随机数并提供给所述信号制备探测模块和数据协商模块；所述生产网元管理模块用于与所述生产网元管控模块通信，监视设备状态、控制设备启停及设置设备参数，以及设备初始化的认证和入网；所述物理层链路模块包括用于多路量子信道和经典通道的波分复用的多路复用模块，以及用于多对密钥生产模块之间通信信道的光路切换或分路的链路交换模块；所述生产网元管控模块用于根据所述交换管控模块的需求下发生产指令，获取和配置所述生产网元管理模块的配置及状态信息；所述链路网元管控模块用于根据所述生产网元管控模块的需求下发链路切换控制指令，获取和配置所述链路网元管理模块的配置及状态信息。6.如权利要求4所述的开放式密钥分发网络架构，其中：所述密钥交换模块包括密钥存储模块、密钥中继模块、密钥生命周期管理模块、密钥输出模块、位置查询模块、路由查询模块、交换网元管理模块，所述交换管控模块包括位置服务模块、路由控制模块、交换网元管控模块、跨域结算模块；所述密钥存储模块用于从所述密钥生产模块接收密钥，并将其进行存储；所述密钥中继模块用于与其他密钥交换模块通信，利用所述密钥交换模块之间的通信链路进行密钥的中继；所述密钥生命周期管理模块用于管理本层密钥的全生命周期，其包括从接收密钥到向所述用户服务模块输出密钥的过程；所述密钥输出模块用于将密钥输出给所述用户服务模块；所述位置查询模块用于与所述位置服务模块通信以获取和上报密钥生产网络地址，以便生成密钥...

【专利技术属性】
技术研发人员：陈昊泽，聂际敏，
申请(专利权)人：广东国科量子通信网络有限公司，
类型：发明
国别省市：