前言:想要寫出一篇引人入勝的文章?我們特意為您整理了量子的數(shù)據(jù)通信安全應(yīng)用范文,希望能給你帶來靈感和參考,敬請閱讀。
摘要:現(xiàn)代社會人們和各類機構(gòu)越來越多的傾向于借助互聯(lián)網(wǎng)來進行信息交流,這個過程中信息數(shù)據(jù)的產(chǎn)生、傳輸和存儲都是借助于計算機硬件技術(shù)、存儲技術(shù)以及網(wǎng)絡(luò)相關(guān)技術(shù)來實現(xiàn)的。但信息在網(wǎng)絡(luò)傳輸過程中卻存在著眾多的安全問題。本文提出了一種基于量子密鑰分配技術(shù)的數(shù)據(jù)安全通信網(wǎng)絡(luò),以保證在信息傳輸中的安全問題,提升信息傳輸過程中的安全性。由密鑰生成控制服務(wù)器、經(jīng)典交換機、QKD系統(tǒng)等設(shè)備組成,將量子通信技術(shù)應(yīng)用于專用數(shù)據(jù)保護的通信網(wǎng)絡(luò),大幅提高了網(wǎng)絡(luò)數(shù)據(jù)傳輸?shù)陌踩浴?/p>
關(guān)鍵詞:數(shù)據(jù)通信;量子密鑰分發(fā);量子密碼終端;密鑰中繼
量子保密通信是基于量子密鑰分發(fā)的密碼通信解決方案,量子密鑰分發(fā)不依賴于計算的復(fù)雜性來保證通信安全,而是基于量子力學(xué)基本原理。只要能夠在通信雙方成功的建立密鑰,這組建立的密鑰就是絕對安全的,并且這種密鑰是具有絕對隨機性的,從原理上無法破解。由于量子密碼系統(tǒng)基于的這種隨機性,其安全性不因數(shù)學(xué)水平和計算能力的提高受到威脅,所以不僅是現(xiàn)在,而且在未來利用量子密碼系統(tǒng)加密的信息都是安全的。由此,人類目前已知的唯一具有長期安全性保障的通信解決方案是量子保密通信。并且在世界范圍內(nèi)已有量子通信網(wǎng)絡(luò)初步建成并運行。在傳統(tǒng)數(shù)據(jù)傳輸系統(tǒng)基礎(chǔ)上,使用量子通信保證數(shù)據(jù)傳輸?shù)陌踩?,提高?shù)據(jù)通信網(wǎng)絡(luò)的可靠性、安全性和穩(wěn)定性,是一個值得研究和發(fā)展的方向,兩者結(jié)合能夠有效保證數(shù)據(jù)在通信過程中的安全可靠。
一、QKD系統(tǒng)基本結(jié)構(gòu)
如圖表1.1所示,QKD系統(tǒng)主要由主控模塊、數(shù)據(jù)處理模塊、系統(tǒng)管理模塊、光電系統(tǒng)(光學(xué)模塊和單光子探測器)組成。該QKD系統(tǒng)的運行受控于密鑰生成控制系統(tǒng),由密鑰生成控制系統(tǒng)下發(fā)QKD控制指令給終端設(shè)備的系統(tǒng)管理模塊,系統(tǒng)管理模塊將接收到的指令進行必要的協(xié)議轉(zhuǎn)換(某些關(guān)鍵指令還需要加解密處理),完成對QKD系統(tǒng)進行工作流程控制。
二、QKD系統(tǒng)與數(shù)據(jù)通信
在當前的要求數(shù)據(jù)安全性比較高的網(wǎng)絡(luò)中,會采用專線進行保密的數(shù)據(jù)通信,會添加防護設(shè)備,增加一道安全措施。設(shè)備首先需要通過證書機制,完成身份認證過程,然后將一端產(chǎn)生的隨機數(shù)通過非對稱密碼學(xué)算法加密處理后傳輸給另一端,而另一端的防護設(shè)備將接收到數(shù)據(jù),并把數(shù)據(jù)進行解密,由此獲得隨機數(shù),這樣就完成了對稱密鑰的分發(fā)過程。由于目前的對稱密鑰分發(fā)機制,必須由經(jīng)典密鑰學(xué)的加解密算法處理,這樣就有可能被攻破。因此,通過制定一整套完善的量子對稱密鑰傳輸、同步、中繼等協(xié)議,使得防護設(shè)備可以使用QKD系統(tǒng)提供的對稱量子密鑰,對目前系統(tǒng)網(wǎng)絡(luò)中的數(shù)據(jù)進行實時量子加解密處理。圖表2.1:向加密認證裝置提供認證密鑰
三、多用戶應(yīng)用場景下的量子密鑰分配、存儲和管理機制
如圖表3.1所示,在要求較高的專線數(shù)據(jù)傳輸系統(tǒng)多用戶應(yīng)用場景下,可將該專線網(wǎng)絡(luò)分為“客戶大區(qū)”和“管理大區(qū)”兩大部分。該場景下的兩個用戶之前數(shù)據(jù)通信的安全通信可由QKD系統(tǒng)直接向認證設(shè)備提供的量子密鑰保證。圖表3.1:多用戶應(yīng)用場景下的QKD與防護設(shè)備結(jié)合在該網(wǎng)絡(luò)中,可使用一個全通型光量子交換機,掛接6臺量子網(wǎng)關(guān),在密鑰生成控制服務(wù)器的調(diào)度下,實現(xiàn)任意兩個設(shè)備間的量子密鑰分發(fā),并直接把生成的量子密鑰存儲在各自設(shè)備內(nèi)。管理大區(qū)用戶與客戶大區(qū)用戶之間進行通信,其防護設(shè)備可以使用QKD系統(tǒng)提供的量子密鑰,完成數(shù)據(jù)加解密功能,達到安全的保密通信要求。多用戶應(yīng)用場景量子加密數(shù)據(jù)傳輸?shù)闹饕襟E如下:
(1)場景內(nèi),每個用戶終端部署一臺QKD系統(tǒng),由密鑰生成控制服務(wù)器定時監(jiān)控每個用戶的當前量子密鑰量,根據(jù)制定的排隊策略,把各個QKD系統(tǒng)按照規(guī)則進行配對,啟動量子密鑰分發(fā);
(2)各個QKD系統(tǒng)必須由唯一的ID號標識身份,該QKD與其他的QKD系統(tǒng)進行量子密鑰分發(fā),并且會使用對方ID號對生成的量子密鑰進行標識和保存。
(3)通過具體的用戶通信進行演示:客戶大區(qū)的用戶2需要與用戶4進行通信,密鑰生成控制服務(wù)器會統(tǒng)一管理,安排用戶2與用4進行通信,用戶2的QKD系統(tǒng)會根據(jù)ID號與用戶4的QKD系統(tǒng)分發(fā)的量子密鑰進行設(shè)備認證,而用戶4的QKD系統(tǒng)也會根據(jù)ID號與用戶2的QKD系統(tǒng)分發(fā)的量子密鑰提供給認證設(shè)備;
(4)認證設(shè)備采用量子密鑰,對傳輸?shù)臄?shù)據(jù)進行加解密處理,使保密通信過程完成。
四、通信網(wǎng)絡(luò)與量子網(wǎng)絡(luò)融合
(一)通信網(wǎng)絡(luò)中的加密認證設(shè)備部署
專線網(wǎng)絡(luò)要實現(xiàn)“分級管理”的要求,各級數(shù)據(jù)調(diào)度中心以及下屬的各個數(shù)據(jù)站點部署了加密認證設(shè)備,根據(jù)總部調(diào)度通信關(guān)系建立加密隧道(理論上只能在上級和下級之間建立加密隧道),加密隧道拓撲的結(jié)構(gòu)是網(wǎng)狀結(jié)構(gòu)。
(二)量子通信網(wǎng)絡(luò)融入實例
在一級分部調(diào)度中心管理中,加密認證設(shè)備需要對相鄰的二級分部使用QKD系統(tǒng)提供的量子密鑰進行加解密處理。網(wǎng)絡(luò)拓撲如圖表
4.3所示:
一級分部調(diào)度中心控制二級分部1和二級分部2的通信網(wǎng)絡(luò),一級分部與兩個二級分部都可以通過量子集控站,完成兩兩間的量子信道建立,在集控站的統(tǒng)一協(xié)調(diào)下,使其具備兩兩之間能夠分發(fā)量子密鑰的能力。由此,一級分部調(diào)度中心與兩個分部之間就可以實現(xiàn)兩兩加密認證設(shè)備通過使用量子密鑰進行加解密處理的保密通信。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示:
(1()這里一級分部調(diào)度中心簡稱為一級中心;二級分部1簡稱為二分1;二級分部2簡稱為二分2)。
(2)一級中心的集控站與二分1的集控站、一級中心的集控站與二分2的集控站,在密鑰生成控制服務(wù)器(處于集控站中)的統(tǒng)一協(xié)調(diào)管理下,實現(xiàn)量子密鑰分發(fā);
(3)二分1需要完成與一級中心的通信數(shù)據(jù)傳輸,二分1的認證設(shè)備先用與一級中心分發(fā)的量子密鑰,對數(shù)據(jù)進行加密處理,然后由經(jīng)典網(wǎng)絡(luò)傳給一級中心;
(4)一級中心接收到二分1傳輸?shù)募用軘?shù)據(jù),一級中心認證設(shè)備使用與二分1分發(fā)的量子密鑰進行解密,這樣就實現(xiàn)了二分1傳輸通信數(shù)據(jù)給一級中心的功能;
(5)與此同時,一級中心下發(fā)調(diào)度指令給二分1,一級中心的認證設(shè)備使用與二分1分發(fā)的量子密鑰,對調(diào)度指令進行加密處理,然后通過經(jīng)典網(wǎng)絡(luò)傳輸給二分1;
(6)二分1接收到一級中心傳輸?shù)募用苷{(diào)度指令,二分1認證設(shè)備使用與一級中心分發(fā)的量子密鑰進行解密,這樣就完成了一級中心傳輸數(shù)據(jù)給二分1的功能;
(7)二分2與一級中心之間的通信數(shù)據(jù)傳輸與二分1相似。在二級分部1下,用戶1和用戶2的量子信道通過全通光量子交換機與該分部集控站連接,實現(xiàn)用戶1、用戶2和二級分部1兩兩之間的量子密鑰分發(fā)。該場景下的通信數(shù)據(jù)加解密與傳輸流程如下所示:
(1)用戶1與二級分部1、用戶2與二級分部1,在密鑰生成控制服務(wù)器(處于集控站中)的統(tǒng)一協(xié)調(diào),實現(xiàn)量子密鑰分發(fā);
(2)用戶1需要與一級分部調(diào)度中心進行通信數(shù)據(jù)傳輸,用戶1的認證設(shè)備首先使用其與一級分部1交互分發(fā)的量子密鑰,加密通信數(shù)據(jù),然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級分部1;
(3)一級分部1收到用戶1傳輸?shù)慕?jīng)過加密通信數(shù)據(jù),一級分部1的認證設(shè)備使用與用戶1分發(fā)的量子密鑰對加密數(shù)據(jù)進行解密,這樣就實現(xiàn)了用戶1傳輸數(shù)據(jù)給一級分部1的功能;
(4)同時,一級分部1可以下發(fā)調(diào)度指令給用戶1,一級分部1的認證設(shè)備使用與用戶1分發(fā)的量子密鑰,加密調(diào)度指令,然后經(jīng)由經(jīng)典網(wǎng)絡(luò)傳輸給用戶1;
(5)用戶1接收到二級分部1傳輸?shù)募用苷{(diào)度指令,其認證設(shè)備使用與二級分部1分發(fā)的量子密鑰進行解密,這樣就完成了二級分部1傳輸通信數(shù)據(jù)給用戶1的功能;
(6)用戶2與二級分部1之間的通信數(shù)據(jù)傳輸與用戶1類似。
如果用戶1或用戶2需要與一級分部調(diào)度中心直接傳輸通信數(shù)據(jù),則要用到密鑰中繼功能,以用戶2上傳數(shù)據(jù)給一級分部調(diào)度中心為例,主要步驟如下所示:
(1)一級分部調(diào)度中心的集控站與二級分部1下的用戶2,通過它們之間的二級分部1集控站,利用經(jīng)典密鑰中繼的方式,使一級分部調(diào)度中心與用戶2之間擁有共享的量子密鑰;
(2)用戶2的認證設(shè)備,需要給傳輸給一級分部調(diào)度中心的數(shù)據(jù)進行加密,加密密鑰為上述共享的量子密鑰,然后由經(jīng)典網(wǎng)絡(luò)傳輸給一級分部調(diào)度中心;
(3)一級分部調(diào)度中心的認證設(shè)備,利用對應(yīng)的量子密鑰作為業(yè)務(wù)密鑰,將用戶2傳輸過來的加密數(shù)據(jù)進行解密,這樣就實現(xiàn)了用戶2與一級分部調(diào)度中心之間數(shù)據(jù)加解密傳輸功能
五、結(jié)束語
本文對QKD設(shè)備應(yīng)用于專線通信網(wǎng)絡(luò)進行分析和闡述,從目前通信網(wǎng)絡(luò)的現(xiàn)狀以及現(xiàn)有網(wǎng)絡(luò)的安全性特點出發(fā),給出了系統(tǒng)多用戶應(yīng)用場景下的量子密鑰分配、存儲和管理機制實現(xiàn)方案;同時,提出一種融合量子密鑰分配技術(shù)與通信網(wǎng)關(guān)的安全通信網(wǎng)絡(luò)實現(xiàn)技術(shù)。本文還介紹了量子保密通信網(wǎng)絡(luò)與光纖通信網(wǎng)絡(luò)之間的互聯(lián)互通技術(shù),提出量子網(wǎng)絡(luò)與專用通信網(wǎng)的融合實現(xiàn)方案,并研究任意節(jié)點之間的互聯(lián)互通機理以及針對量子保密通信網(wǎng)絡(luò)的密鑰中繼技術(shù),為實現(xiàn)系統(tǒng)量子安全通信網(wǎng)絡(luò)奠定基礎(chǔ)。
參考文獻:
[1]張睿汭,周靜,陳希.光纖量子密鑰分配技術(shù)在電網(wǎng)中的應(yīng)用前景[J].系統(tǒng)通信.2012(10)
[2]張睿汭.光纖通信網(wǎng)絡(luò)竊聽方法及防御措施[J].電信科學(xué).2012(11)
作者:陳立佳 劉菲 史銘 趙波 單位:新華通訊社 科大國盾量子技術(shù)股份有限公司