基于卫星中继的量子通信网络及组网方法
阅读说明:本技术 基于卫星中继的量子通信网络及组网方法 (Quantum communication network based on satellite relay and networking method ) 是由 林增森 周飞 于 2021-08-20 设计创作,主要内容包括:本发明公开了一种基于卫星中继的量子通信网络及其组网方法中,其采用量子密钥对通信数据进行加密以保证通信数据在传输过程中的无条件安全;通过采用卫星中继分发的自由空间组网模式,能够克服地理条件和通信距离限制,降低网络部署成本;并且通过实时监控各网络节点链路运行状态,并为网络提供包括自由空间传输信道和光纤传输信道在内的多种传输信道选择,使得允许根据网络链路运行状态为量子密钥分发选择合适的传输信道,从而极大提升网络运行稳定性,提高其抗DDoS攻击的能力,使其能够适应各种复杂的实际应用环境,扩展其应用范围。(The invention discloses a quantum communication network based on satellite relay and a networking method thereof, wherein a quantum key is adopted to encrypt communication data so as to ensure unconditional safety of the communication data in the transmission process; by adopting a free space networking mode distributed by satellite relays, the limitation of geographic conditions and communication distances can be overcome, and the network deployment cost is reduced; and by monitoring the running state of each network node link in real time and providing a plurality of transmission channel selections including a free space transmission channel and an optical fiber transmission channel for the network, a proper transmission channel is allowed to be selected for quantum key distribution according to the running state of the network link, so that the running stability of the network is greatly improved, the DDoS attack resistance of the network is improved, the network can adapt to various complex practical application environments, and the application range of the network is expanded.)
技术领域
本发明涉及量子通信领域,尤其涉及一种基于卫星中继的量子通信网络及其组网方法,具体涉及两个或多个不同量子保密通信网络间通过卫星中继、分发密钥的组网结构及方法。
背景技术
网络信息安全关系到国家安全,也与我们每个人的生活息息相关,防止信息在传输过程中被窃听或者篡改是信息安全的最基本组成部分。目前绝大部分防窃听手段都是建立在以计算复杂性为根本的非对称密钥基础上,确保窃听者在没有私钥的情况下,即使窃取了密文在短时间内也无法破译信息的内容。伴随计算能力的提升,这种基于计算复杂性的经典加密方式理论上是可以被破解的,传统的网络信息加密方式面临现实威胁。
香农定理指出,采用一次一密的加密方式是绝对安全的,然而采用这种加密方式,密钥的安全传输成为了新的挑战。量子力学为我们提供了安全传输密钥的新方式——量子保密通信。光信号由于具有良好的传输特性被广泛应用于量子保密通信网络中,基于叠加态原理、海森堡不确定性原理、单光子不可克隆、不可分割的定理的量子保密通信保证了通信密钥不可以被窃取、复制和计算破解,保证了信息的无条件安全。按照通信信道的不同,量子保密通信网络的组网方式可以分为光纤传输和自由空间传输两种方式,现有量子保密通信网络组网的技术方案主要采用了光纤传输密钥的方式和点对点的自由空间传输方式。
基于光纤信道的网络不易受到温度、湿度、天气等因素的限制,稳定性较好,但是光纤传输的方式也面临着众多问题。首先,量子保密通信采用的信号源为单光子源或者是弱相干激光,单光子在普通通信光纤中传输距离一般不超过10公里,光纤信道较高的衰减限制了信号的传输距离。即使采用诱骗态编码协议能实现百公里量级的密钥传输,但是要实现全球组网,依然要依赖大量的可信中继站,建设成本高,还存在失密的风险。其次,光纤的铺设还受到地理条件的限制,岛屿、海外和偏远地区尚不能接入保密通信网络,要组建全球量子加密通信网络必须克服光纤受地理条件限制和传输距离短的弊端。
发明内容
随着量子通信技术的发展,近年来还提出基于量子卫星实现的星载解决方案,并在理论和实验中验证了其可行性。在此基础上,本发明提出了一种具体的、基于卫星实现中继和分发过程的量子通信网络架构及其方法,以便能够在有效保障网络运行稳定性、安全性的前提下,极大降低量子通信网络部署成本和地理条件及通信距离的限制,实现全球量子通信网络的组网。
本发明的第一方面涉及一种基于卫星中继的量子通信网络,其包括客户端、量子信息传输信道和经典信息传输信道;
所述客户端被设置用于生成通信请求,以及收发通信数据;
所述量子信息传输信道被设置用于根据所述通信请求,利用量子光信号生成量子密钥,并利用所述量子密钥对所述通信数据进行加解密运算,以便能够以加密的方式安全传输所述通信数据;
其中,所述量子信息传输信道还被设置成为所述量子光信号提供多种传输信道,以及对网络链路状态进行监控,并根据所述网络链路状态从所述多种传输信道中选择用于所述量子光信号的传输信道,所述多种传输信道包括光纤传输信道和自由空间传输信道。
进一步地,所述量子信息传输信道包括量子加密应用设备、量子密钥管理设备、量子密钥收发设备、卫星及量子密钥管控中心;
所述量子加密应用设备被设置成连接所述客户端,用于收发所述通信数据,并利用所述量子密钥对所述通信数据进行加解密运算;
所述量子密钥管控中心被设置用于根据所述通信请求,对关于所述通信请求的客户端进行身份认证,以及监控所述网络链路状态,并根据所述网络链路状态选择用于所述量子光信号的传输信道;
所述量子密钥收发设备被设置用于利用量子随机数生成所述量子光信号,以及收发所述量子光信号,并对所述量子光信号进行探测和解码以获得解码信息;
所述量子密钥管理设备被设置成基于所选择的传输信道,控制所述量子光信号在所述量子密钥收发设备之间的传输路由,以及利用所述解码信息生成所述量子密钥,并对所述量子密钥进行输出管理;
所述卫星被设置成关于所述量子密钥收发设备收发所述量子光信号,以建立所述自由空间传输信道。
更进一步地,所述量子加密应用设备包括量子安全网关,其被设置成连接所述客户端,用于以明文的方式与所述客户端进行所述通信数据的交互,以及利用所述量子密钥对接收到的通信数据进行加密和对接收到的加密的通信数据进行解密。
其中,所述量子加密应用设备还包括交换机和VPN模块;所述交换机被设置用于实现多个所述量子加密应用设备之间的连接;所述VPN模块被设置用于实现所述量子安全网关与所述交换机之间的数据交互。
可选地,所述VPN模块包括IPsec VPN模块和/或TLS/SSL VPN模块。
更进一步地,所述量子密钥收发设备包括密钥分发终端和密钥生成终端;
所述密钥分发终端被设置用于利用所述量子随机数生成所述量子光信号,以及发送所述量子光信号;
所述密钥生成终端被设置用于接收并对所述量子光信号进行探测和解码,以生成所述解码信息。
其中,所述量子密钥收发设备还包括地面站系统,其被设置成对所述卫星进行跟踪,并关于所述卫星收发所述量子光信号,用于为所述量子光信号建立所述自由空间传输信道。
更进一步地,所述量子密钥管理设备包括量子密钥管理机和量子路由器;
所述量子密钥管理机被设置用于生成所述量子随机数,并输出给一个或多个所述量子密钥收发设备,以及利用所述解码信息生成所述量子密钥,并输出给一个或多个所述量子加密应用设备;
所述量子路由器被设置用于控制所述量子光信号在所述量子密钥收发设备之间的传输路由。
更进一步地,所述量子密钥管控中心包括量子密钥管控设备和量子网络管理设备;
所述量子密钥管控设备被设置用于监控所述网络链路状态,以及网络故障快速定位;
所述量子网络管理设备被设置用于根据所述网络链路状态对所述量子光信号的传输信道进行管理和选择。
其中,所述量子网络管理设备还被设置成对所述客户端进行身份认证、计费审计和/或权限管理。
本发明的第二方面涉及一种基于卫星中继的量子通信网络的组网方法,其包括通信请求步骤、身份认证步骤、量子密钥生成步骤和保密通信步骤;
在所述通信请求步骤中,由客户端向量子密钥管控中心提出通信请求;
在所述身份认证步骤中,量子密钥管控中心根据所述通信请求,对关于所述通信请求的客户端进行身份认证;
在所述量子密钥生成步骤中,利用量子光信号生成量子密钥,并分发给关于所述通信请求的客户端;
在所述保密通信步骤中,利用所述量子密钥对通信数据进行加解密,以实现所述通信数据在所述客户端之间的安全传输;
其中,所述量子密钥生成步骤包括对网络链路状态进行监控,并根据所述网络链路状态从多种传输信道中选择用于所述量子光信号的传输信道,所述多种传输信道包括光纤传输信道和自由空间传输信道。
进一步地,本发明的组网方法还可以包括对所述客户端进行权限鉴定,以及进行计费审计和/或网络故障快速定位的步骤;以及/或者,
借助地面站系统和卫星实现所述自由空间传输信道;以及/或者,
利用量子安全网关对所述通信数据进行加解密;以及/或者,
在所述保密通信步骤中,以一次一密的方式对所述通信数据进行加密。
优选地,本发明的组网方法可以借助上述量子通信网络来实现。
附图说明
下面结合附图对本发明的
具体实施方式
作进一步详细的说明。
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需使用的附图作简单地介绍,显而易见,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图来获得其他的附图。
图1示意性地示出了根据本发明的基于卫星中继的量子通信网络的一种实施方式。
具体实施方式
在下文中,本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
根据本发明,基于卫星中继的量子通信网络可以包括客户端、量子信息传输信道和经典信息传输信道,其中,经典信息传输信道与现有量子通信网络中的经典信息传输信道相同,因此本文中不再赘述。
在该量子通信网络中,客户端用于生成通信请求,并收发通信数据以开展通信业务。其中,通信请求可以至少包括用于通信业务的客户端信息,即通信本端的客户端信息和通信对端的客户端信息。
量子信息传输信道用于根据通信请求,利用量子光信号生成量子密钥,并利用量子密钥对通信数据进行加解密运算,以便安全地开展通信业务。
其中,本发明在量子信息传输信道中为量子光信号提供包括光纤传输信道和自由空间传输信道在内的多种信道选择,同时对网络链路状态进行监控,以便能够实时地根据网络链路状态从多种备选信道中选择合适的信道以用于量子光信号的传输,从而有效保障量子密钥的分发。
具体而言,量子信息传输信道可以包括量子加密应用设备、量子密钥管理设备、量子密钥收发设备、卫星及量子密钥管控中心。
在本发明的量子信息传输信道中,量子加密应用设备可以连接客户端,用于收发通信数据,并利用量子密钥对通信数据进行加解密运算。
例如,量子加密应用设备可以从通信本端的客户端处接收通信数据,并利用量子密钥对通信数据进行加密,从而允许能够以加密的方式将该通信数据发送给通信对端,以确保通信数据传输过程中的安全性。相应地,在通信对端处,量子加密应用设备可以利用共享的量子密钥,对接收到的加密的通信数据进行解密以生成通信数据的明文,并将其发送给客户端,由此以安全的方式实现一次单向通信过程。
优选地,量子加密应用设备可以采用一次一密的方式对通信数据进行加密。
量子密钥管理设备可以基于量子光信号传输信道的选择(例如光纤传输信道或自由空间传输信道),实现量子光信号在量子密钥收发设备之间的传输路由控制,以及利用量子光信号的解码信息生成量子密钥,并对量子密钥进行输出管理。
优选地,量子密钥管理设备还可以生成和输出量子随机数,用于量子光信号的生成。
量子密钥收发设备可以利用量子随机数生成量子光信号,以及发射和接收量子光信号,并对量子光信号进行探测和解码以获得解码信息。其中,量子密钥收发设备可以借助自由空间和光纤信道,发射和接收量子光信号。
卫星可以向量子密钥收发设备发射量子光信号,以及从量子密钥收发设备处接收量子光信号,以实现量子光信号的发射和空间中继。
量子密钥管控中心可以根据通信请求对客户端进行身份认证和权限鉴定,监控各网络节点链路的运行状态,并根据链路运行状态对量子光信号的传输信道进行管理和选择。
如前所述,在本发明中,用于量子光信号的传输信道包括光纤传输信道和自由空间传输信道,因此,通过为量子光信号提供多信道选择功能并允许根据网络链路状态进行自适应选择,可以有效保证量子密钥分发过程中的信道顺畅,并能够极大提高抵抗DDoS攻击的能力,改善量子通信网络的通信性能。
图1示出了根据本发明的基于卫星中继的量子通信网络的一种具体实施方式,其中,该量子通信网络以在客户端A和B之间开展通信业务为例。
在图1所示的实施方式中,量子加密应用设备可以包括量子安全网关,其被设置成连接客户端,用于以明文的方式与客户端进行通信数据的交互,以及利用量子密钥对接收到的通信数据进行加密,对接收到的加密的通信数据进行解密。由此可见,在该量子安全网关中,利用量子密钥替换现有基于公钥算法分配的密钥,并基于预设算法对通信数据进行加密和解密运算,能够实现无条件安全的保密通信。
例如,在图1的示例中,当客户端A要向客户端B发送通信数据时,量子加密应用设备A中的量子安全网关将接收由客户端A发出的通信数据,并利用量子密钥对其进行加密,以允许通信数据能够以加密的方式传输给通信对端的客户端B。量子加密应用设备B将接收加密的通信数据,并在量子安全网关中利用量子密钥对加密的通信数据进行解密,获得通信数据的明文并发送给客户端B,由此,实现客户端A与B之间无条件安全的保密通信。
为实现加密的通信数据在不同的量子加密应用设备之间传输,量子加密应用设备还可以包括交换机和VPN模块。
交换机用于实现多个量子加密应用设备之间的连接,以便能够允许例如通信数据在多个量子加密应用设备之间的传输。
VPN模块用于实现量子安全网关与交换机之间的数据交互。作为示例,VPN模块可以为IPsec VPN模块、TLS/SSL VPN模块等。因此,在量子加密应用设备中,可以在由量子安全网关生成加密的通信数据之后,再利用IPSec VPN或TLS/SSL VPN模块实现网络层连接传输出去。
在该实施方式中,量子密钥收发设备可以包括密钥分发终端和密钥生成终端。其中,密钥分发终端用于利用量子随机数生成量子光信号,并向外发射量子光信号。密钥生成终端用于接收并对量子光信号进行探测和解码,以生成解码信息。
在本发明中,为给量子光信号提供多信道选择,量子密钥收发设备还可以包括地面站系统,其被设置成对量子卫星进行跟踪,并关于量子卫星发送和接收量子光信号,用于在量子卫星之间为量子光信号建立自由空间传输信道,以实现例如量子光信号的空间中继或发射。
例如,在图1的示例中,当选择自由空间传输信道,以空间中继的方式实现量子光信号在量子密钥收发设备A和B之间的传输时,量子密钥收发设备A的密钥分发终端利用量子随机数(其由量子密钥管理设备A提供)生成量子光信号,地面站系统将量子光信号发射给量子卫星,量子卫星作为中继节点将接收到的量子光信号转发给量子密钥收发设备B的地面站系统,地面站系统再将量子光信号发送给量子密钥收发设备B的密钥生成终端,并在该密钥生成终端中对量子光信号进行探测和解码,生成解码信息。
在该实施方式中,量子密钥管理设备可以包括量子密钥管理机和量子路由器。
量子密钥管理机可以生成量子随机数,并输出给一个或多个量子密钥收发设备,用于例如量子光信号的生成。
此外,量子密钥管理机还可以利用由量子密钥收发设备生成的解码信息,例如根据QKD协议生成量子密钥并将其进行存储,以及向外输出量子密钥,例如向量子加密应用设备中的量子安全网关或者其他应用层软件/硬件输出量子密钥。
量子路由器可以控制量子光信号在量子密钥收发设备之间的传输路由。例如,当选择自由空间传输信道,以空间中继的方式实现量子光信号在量子密钥收发设备A和B之间的传输时,量子路由器可以根据量子密钥收发设备A和B之间的自由空间传输信道,规划量子光信号的传输路由,例如以量子卫星作为中继节点。
在该实施方式中,量子密钥管控中心可以包括量子密钥管控设备和量子网络管理设备。
量子密钥管控设备可以对量子通信网络中各网络节点的量子设备进行管理和监控,例如监控各网络节点链路的运行状态,以及网络故障快速定位。
量子网络管理设备可以根据各网络节点链路运行状态对量子光信号的传输信道进行管理和选择。例如,当光纤链路发生拥堵时,可以选择自由空间传输信道实现量子光信号在量子密钥收发设备之间的传输。
此外,量子网络管理设备还可以对客户端进行身份认证,计费审计、权限管理等。例如,当客户端A提出要与客户端B进行通信的通信请求时,量子网络管理设备可以分别对客户端A和B的身份进行认证,并在认证通过后向量子密钥管理设备发出密钥生成指令,以允许量子密钥管理设备根据该指令生成量子随机数并输出给量子密钥收发设备。
为进一步理解本发明的基于卫星中继的量子通信网络的原理,下面将继续结合图1描述量子通信网络的组网方法。
在根据本发明的基于卫星中继的量子通信网络的组网方法中,可以包括通信请求步骤、身份认证步骤、量子密钥生成步骤和保密通信步骤。
在通信请求步骤中,由客户端A向量子密钥管控中心提出通信请求,其包括用于通信业务的客户端信息,例如通信本端的客户端信息和通信对端的客户端信息。
在身份认证步骤中,量子密钥管控中心(例如其中的量子网络管理设备)根据通信请求,对客户端A和B进行权限鉴定和身份认证。
在量子密钥生成步骤中,量子密钥管控中心将在认证通过后,向量子密钥管理设备发送密钥生成指令。
量子密钥管理设备A(例如其中的量子密钥管理机)将生成(和存储)量子随机数,并将该量子随机数路由至最优的量子密钥收发设备A。
同时,量子密钥管控中心(例如其中的量子网络管理设备)将根据当前各网络节点链路状态为量子光信号选择光纤传输信道或者自由空间传输信道。
当选择光纤传输信道时,将由量子密钥管理设备(例如其中的量子路由器)规划合适的光纤传输路由,以允许量子密钥收发设备A发射的量子光信号经光纤信道发送给量子密钥收发设备B。
当选择自由空间传输信道时,同样基于量子密钥管理设备规划的传输路由,量子密钥收发设备A将借助其地面站系统将量子光信号发送给量子卫星,由量子卫星中继转发给量子密钥收发设备B中的地面站系统,实现量子光信号在量子密钥收发设备A与B之间的传输。
量子密钥收发设备B(例如其中的密钥生成终端)将对量子光信号进行探测和解码以生成解码信息,并将解码信息传输给量子密钥管理设备B(例如其中的量子密钥管理机),以允许量子密钥管理设备B(例如其中的量子密钥管理机)通过经典信道与量子密钥管理设备A(例如其中的量子密钥管理机)协商出共享的量子密钥密钥并存储,以作为通信两端的对称密钥使用。
随后,量子密钥管理设备A、B(例如其中的量子密钥管理机)根据量子密钥管控中心的指令分别向量子加密应用设备A、B(例如其中的量子安全网关)注入共享的量子密钥。
在保密通信步骤中,可以借助与客户端连接的量子加密应用设备(例如其中的量子安全网关)对通信数据进行加解密,以实现两端之间的安全通信。
例如,量子安全网关A可以利用共享的量子密钥将客户端A发出的通信数据进行加密,再借助经典信道将加密的通信数据发送给量子安全网关B,量子安全网关B利用共享的量子密钥将加密的通信数据解密后再将通信数据的明文提供给客户端B。
可选地,在量子密钥生成步骤中,还可以由量子卫星生成量子随机数,并分别发送给客户端A和B以协商出共享的量子密钥。
基于上文可知,在本发明所提出的基于卫星中继的量子通信网络及其组网方法中,相对于传统的组网方式,由于采用了量子密钥对通信数据进行加密,可以凭借量子力学基本原理确保通信数据在传输过程中的无条件安全;相对于光纤传输的量子加密组网方式,由于采用了卫星中继分发的自由空间组网模式,能够克服地理条件和通信距离的限制,降低量子网络的部署成本;借助量子密钥管控中心的管理模式,可以实现对各网络节点中的量子设备运行状态实时监控,提高网络运行的稳定性和故障排查的效率,同时还能实现身份认证、计费审计、网络认证等功能;更重要的是,通过将量子密钥管控中心设置成实时监控各网络节点链路运行状态,以及在通信网络中同时设置自由空间传输信道和光纤传输信道,提供根据网络链路运行状态在多信道中选择合适传输信道的功能,从而极大提升量子通信网络的运行稳定性,提高其抗DDoS攻击的能力,使其能够适应各种复杂的实际应用环境,扩展其应用范围。
尽管前面结合附图通过具体实施例对本发明进行了说明,但是,本领域技术人员容易认识到,上述实施例仅仅是示例性的,用于说明本发明的原理,其并不会对本发明的范围造成限制,本领域技术人员可以对上述实施例进行各种组合、修改和等同替换,而不脱离本发明的精神和范围。
- 上一篇:一种医用注射器针头装配设备
- 下一篇:密钥处理方法、装置及电子装置