【技术实现步骤摘要】
本专利技术属于量子通信、量子身份认证、经典通信网络的交叉学科,具体是指一种利用板卡级嵌入式量子通信模块进行信息交互、为经典通信网络路由器提供定时的身份校验机制、提升经典通信网络可信的方法,尤其涉及一种基于量子通信校验的可信经典通信网络管理方法。
技术介绍
1、量子通信基于海森堡测不准原理、量子不可分割原理、量子不可克隆原理等量子力学基本特性,是目前公认的能够从信道传输层面解决信息安全传输问题的技术方案。特别是,随着量子计算技术取得飞速进展,基于传统对称加密算法或rsa大整数分解加密算法的传统公钥体制将面临重要挑战。量子密钥分发作为量子通信领域最为成熟的技术分支,有望从原理上对抗量子计算的超并行计算能力,为下一代通信网络提供重要的安全传输手段。
2、需要注意的是,量子通信信号通常使用单光子作为信息载体,传输过程中光子一旦湮灭即不可再生(这也是量子通信安全性的重要保障之一)。因此,无论是在传输速率上还是在传输距离上,量子通信都无法彻底取代经典光纤通信。即便采用编码效率较高、传输距离较远的量子通信协议,也无法从根本上克服量子通信固有的速率瓶颈。另一方面,随着虚拟网关、软件定义计算机网络技术的快速发展,各种经典通信设备的虚拟化也成必然趋势,客观上为经典通信网络带来安全隐患,即窃听者可以挟持一个第三方路由器、通过身份冒充的方式接入到想要攻击的计算机网络、实现时候无法溯源追击的网络攻击。这些身份仿冒的“毒路由”一旦接入到专用网络中,将会带来严重的威胁。
技术实现思路
1、针对上述缺
2、针对上述缺陷,同时适应量子通信系统传输速率有限的客观规律,本专利技术提出一种基于量子通信校验的可信经典通信网络管理方法,将地理位置、管理信息明确的经典通信网络路由器和各种光端设备编成一个“可信域”,在可信域内构建虚拟专网开展各种通信业务,同时将板卡级量子通信模块嵌入到可信域内的各种设备中,利用光纤通信信道完成校验信息的传输,根据校验信息传输的误码率判断是否存在不可信设备冒充身份接入,实现物理层和信息层双重防护的可信经典通信网络。
3、为了达到上述效果,本专利技术提供的基于量子通信校验的可信经典通信网络管理方法,步骤一、将多个通信网络路由器和各种光端设备共同混编设置成一可信域,在进行虚拟专用网络建立时只使用可信域中的路由设备,将地理位置,利用可信域内的各种设备构建虚拟专网并开展各种通信业务,可信域与非可信域之间的通信通过特定的边缘路由器实现,对该边缘路由器进行严格的流量监控和信息探查;
4、步骤二、对所述可信域内设备的信息级身份校验,通过对称密钥口令分发方式为各设备提供校验数据,通过比对校验数据实现可信域内各种设备的身份认证;将板卡级量子通信模块嵌入到可信域内各种设备,在设备内保留光口使量子通信模块通过此光口与其他设备内的量子通信模块建立通信链路,利用量子通信模块定时传输校验数据。
5、优选地,上述方法具体包括以下步骤:
6、s101、可信域的确立,将地理位置、管理信息明确的通信网络路由器和各种光端设备编成一个可信域,利用可信域内的各种设备构建虚拟专网并开展各种通信业务;
7、s102、所述可信域内设备的信息级身份校验,通过对称密钥口令分发方式为各设备提供校验数据,常规状态下通过比对校验数据实现可信域内各种设备的身份认证;
8、s103、所述可信域内设备的信号级身份校验,将板卡级量子通信模块嵌入到可信域内各种设备,在设备内保留光口使量子通信模块通过所述光口与其他设备内的量子通信模块建立通信链路,利用量子通信模块定时传输校验数据。
9、优选地,上述s101中可信域与非可信域之间的通信通过特定的边缘路由器实现,对该边缘路由器进行严格的流量监控和信息探查。
10、优选地,上述s103除对校验数据内容进行核验外,还需对校验数据传输成功率进行判断。
11、一种基于量子通信校验的可信经典通信网络管理方法,包括多个路由器,方法具体包括:
12、s201、将地理位置、管理信息全部处于可控范围的多个路由器及其对应的交换机和光端机设备共同编译成一可信域;
13、s202、将量子通信模块嵌入到可信域的各种设备中,所述量子通信模块通过光纤信道传输信息;
14、s203、通过对称密钥编译信令,在任意两个可信域内的设备之间使用该信令作为身份校验的基准;
15、s204、利用量子通信模块传递身份校验数据,实现可信域内各种设备的定时身份认证,以防范攻击行为。
16、优选地,上述s201保留一路由器作为边缘路由器,通过防火墙与非可信域外的其他路由器进行互通互联。
17、优选地,上述s203中正常状态下,通信双方通过该信令进行身份认证。
18、优选地,上述s204中的攻击行为是窃听者通过光纤信道接入可信域后,因引起了量子通信传输误码率的变化而被可信域内的设备侦知,对应光缆线路两侧的设备同时产生告警信息,互相宣告对方为不可信设备直至窃听故障排除。
19、优选地,上述s204中的攻击行为是窃听者使用第三方路由器冒充可信域内路由器接入经典通信网络时,因没有配发量子通信模块而无法完成身份校验数据的对传闭环,在定时校验过程中被甄别出来并剔出可信域。
20、本专利技术提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现上述方法。
21、与现有技术相比,本专利技术达到了以下技术效果:
22、首先,本专利技术提出一种基于量子通信校验的设备级身份认证方法,首次从物理层面提出了设备互信任体系的构建方法,该方法能够被破解的前提条件是攻击者直接获得量子通信模块(同时也就意味着相关设备已经被攻击者获取)、或者攻击者能通过反向溯源的方式获取量子通信模块中的关键参数并加以复现(理论上几乎不存在可能性),对于以虚拟路由器接入网络、以第三方设备为跳板进行网络攻击的攻击手段具有重要的防护能力;
23、其次,本专利技术提出了物理级+信息级双重身份认证的防护方法,结合了基于对称密钥口令的经典信息级设备互信互认方法和基于量子态误码率分析的物理级设备互信互认方法,能进一步提升现有通信网络设备管理的安全性;
24、最后,本专利技术提出的方法还特别适合于量子通信+经典通信的混合网络,即可以从量子通信数据流中提取部分的带宽资源用于传递身份校验信息,这种部署方式能够实现量子通信的一技两用,为对抗量子计算带来的信息安全隐患提供了解决方案。
本文档来自技高网...【技术保护点】
1.一种基于量子通信校验的可信经典通信网络管理方法,其特征在于包括:
2.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于所述方法具体包括以下步骤:
3.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S101中可信域与非可信域之间的通信通过特定的边缘路由器实现,对该边缘路由器进行严格的流量监控和信息探查。
4.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S103除对校验数据内容进行核验外,还需对校验数据传输成功率进行判断。
5.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,包括多个路由器,其特征在于所述方法具体包括:
6.根据权利要求5所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S201保留一路由器作为边缘路由器,通过防火墙与非可信域外的其他路由器进行互通互联。
7.根据权利要求5所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S203中正常状态下,通信双方
8.根据权利要求5所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S204中的攻击行为是窃听者通过光纤信道接入可信域后,因引起了量子通信传输误码率的变化而被可信域内的设备侦知,对应光缆线路两侧的设备同时产生告警信息,互相宣告对方为不可信设备直至窃听故障排除。
9.根据权利要求5所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述S204中的攻击行为是窃听者使用第三方路由器冒充可信域内路由器接入经典通信网络时,因没有配发量子通信模块而无法完成身份校验数据的对传闭环,在定时校验过程中被甄别出来并剔出可信域。
10.一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行时实现权利要求1-9任一项所述方法。
...【技术特征摘要】
1.一种基于量子通信校验的可信经典通信网络管理方法,其特征在于包括:
2.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于所述方法具体包括以下步骤:
3.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述s101中可信域与非可信域之间的通信通过特定的边缘路由器实现,对该边缘路由器进行严格的流量监控和信息探查。
4.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述s103除对校验数据内容进行核验外,还需对校验数据传输成功率进行判断。
5.根据权利要求1所述的基于量子通信校验的可信经典通信网络管理方法,包括多个路由器,其特征在于所述方法具体包括:
6.根据权利要求5所述的基于量子通信校验的可信经典通信网络管理方法,其特征在于,所述s201保留一路由器作为边缘路由器,通过防火墙与非可信域外的其他路由器...
【专利技术属性】
技术研发人员:郭凯,潘栋,
申请(专利权)人:中国人民解放军军事科学院系统工程研究院,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。