一种网络的量子安全层组网方法

1.本发明涉及网络安全领域，尤其涉及一种网络的量子安全层组网方法。


背景技术：

2.随着互联网 的兴起，经济生活的方方面面都与网络结合的越来越紧密。网络已经渗透到人们生活的方方面面，网络安全问题也越来越受到重视。
3.现有的互联网被分为多个层级结构，其分层结构如下图所示：
[0004][0005]
目前网络安全采取的主要措施有：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术。这些技术都是在网络的某一层中利用算法进行安全保障，在实施时需要将算法嵌入到相应层的协议中，不同的层需要不同的安全算法，操作复杂、不具普适性。且不同的算法，安全性标准不同，这就造成了安全性标准不统一的问题。
[0006]
随着网络技术的发展，统一的网络安全标准必将成为趋势，在这样的情况下，如果有一个不依赖于各级网络层次的普适性安全层组网结构，在解决整个网络安全问题的同时，由于只有这一个安全层组网，必然只有一个安全标准，有利于实现和管理网络的整体安全性。


技术实现要素：

[0007]
本发明针对网络安全技术的不足，提出一种适用于现有网络的量子安全层的组网方法。该安全层组网的基本组成单元为结构统一的量子安全基站，根据服务覆盖的范围大小或行政级别设立相应级别的量子安全基站，并按层级连接、组网，形成独立于现有网络分层结构的安全层组网结构。组网具备接口模块，当有安全需求时，通过接口模块将该安全层组网接入现有网络、提供量子安全服务。因其可以独立组网，所以无需考虑该安全层与现有
网络中其他分层结构的兼容性。
[0008]
该安全层组网可以作为整个网络的安全模块接入，由于整个网络系统只有这一个安全层组网，所以其安全性有一个统一的标准，有利于实现和管理网络的整体安全性。
[0009]
一种网络的量子安全层组网方法，所述方法包括如下步骤：
[0010]
将基站按照覆盖范围或行政区级别分为不同等级的基站，最底层的基站为五级基站，依次往上分别为四级、三级、二级和一级基站；将五级基站中的qrn(quantum random number，量子随机数，即密钥)连接单元与用户连接，连接的用户数量与所述五级基站覆盖区域内的用户数量相当；将五级基站中的qrn连接单元与相邻其他三个五级基站中对应的qrn连接单元进行连接，所述五级基站之间形成蜂窝状结构，以确保网络的强健度和联通度；将四级基站中的qrn连接单元与五级基站中对应的qrn连接单元进行连接，每个四级基站覆盖下的五级基站均与该四级基站相连；
[0011]
将四级基站中的qrn连接单元与相邻四级基站中对应的qrn连接单元进行连接，
[0012]
将三级基站中的qrn连接单元与四级基站中对应的qrn连接单元进行连接，每个三级基站覆盖下的四级基站均与该三级基站相连；
[0013]
将三级基站中的qrn连接单元与相邻三级基站中对应的qrn连接单元进行连接；
[0014]
将二级基站中的qrn连接单元与三级基站中对应的qrn连接单元进行连接，每个二级基站覆盖下的三级基站均与该二级基站相连；
[0015]
将二级基站中的qrn连接单元与相邻二级基站中对应的qrn连接单元进行连接；
[0016]
将一级基站中的qrn连接单元与二级基站中对应的qrn连接单元进行连接，每个一级基站覆盖下的二级基站均与该一级基站相连；
[0017]
将一级基站中的qrn连接单元与相邻一级基站中对应的qrn连接单元进行连接。
[0018]
进一步的，组建安全层组网的基站与基站或基站与用户端之间均通过qrn可信中继进行连接。
[0019]
进一步的，部署二级基站时，二级基站与其他同级二级基站连接的数量不少于三个，具体数量由城市中设立的二级基站个数和对应的连接资源决定；
[0020]
部署三级基站时，三级基站与其他同级三级基站连接的数量不少于三个，具体数量由相邻三级基站个数和对应的连接资源决定；
[0021]
部署四级基站时，四级基站与相邻的其他三个同级四级基站以蜂窝状结构进行连接。
[0022]
进一步的，本发明提出一种网络的量子安全层组网系统，所述系统由基站和用户端构成，基站与基站或基站与用户端之间通过qrn可信中继进行连接，并采用上述方法进行部署。
[0023]
进一步的，所述系统中的基站包括相互连接的基本模块和混合模块，所述基本模块用于执行基站通信时qrn配对、交互，所述混合模块用于执行基站中除qrn配对、交互之外的所有信息处理、管理和通信。
[0024]
进一步的，所述基本模块包括上一级基站qrn连接单元、同级基站qrn连接单元、下一级基站qrn连接单元和qrn下发单元；所述基站中上一级基站qrn连接单元用于接收并存储与上一级基站交互用的qrn；基站中同级基站qrn连接单元用于接收并存储与同级基站交互用的qrn；基站中下一级基站qrn连接单元用于接收并存储与下一级基站交互用的qrn；所
述qrn下发单元用于接收qrn，并进行分发；
[0025]
进一步的，所述混合模块用于执行如下操作，包括：生成qrn，对接入基站相应模块的基站或用户进行认证、编码，针对点对点加密通信时的基站或用户单位计算可用连接路径，为其他基站或用户单位的接入提供通信接口，管理基站中各个单元和模块的功能协作。
[0026]
与现有技术相比，本发明具有以下有益效果：
[0027]
1、依照本发明提出的组网方法所构建的量子安全层组网，是现有网络分层结构中所没有的安全模块，是一种新的保障网络通信安全的方法；
[0028]
2、依照本发明提出的组网方法所构建的量子安全层组网独立于现有的网络分层结构，当有安全需求时，通过接口模块接入现有网络、提供量子安全服务，操作简单，避免了选取适用于不同网络层的算法这一操作，且无需考虑与当下网络中其他分层结构的兼容性；
[0029]
3、本发明中所述的基站结构不受级别限制，结构统一且简单，具有良好的可复制性，利于组网拓展，这反映了本方法的科学性和普适性；
[0030]
4、各级基站与基站之间、用户和基站之间通过量子安全网络进行加密通信，有效保证了网络安全性；
[0031]
5、本发明提出了一种基于所述基站的量子安全层组网方法，该网络具有良好的拓展性，按照本发明所述组网方法，可通过五个级别的量子安全基站将此量子安全层网络拓展至全球范围，有效提升了量子安全网络的覆盖范围。
附图说明
[0032]
图1为本发明实施例中所举的城域级别的量子安全层组网中各级基站连接示意图；
[0033]
图2为量子安全层组网中五级基站之间的连接拓扑示意图；
[0034]
图3为本发明所述基站的存储结构示意图，其中301为基本模块，302为混合模块。3011为上一级基站qrn连接单元，3012为同级基站qrn连接单元，3013为下一级基站qrn连接单元，3014为qrn下发单元；
[0035]
图4为用户之间建立临时会话密钥过程的示意图。
具体实施方式
[0036]
下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意味着将本发明限制于所说明的具体实施例。
[0037]
应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。
[0038]
本发明提出一种互联网的量子安全层的组网方法。依据该方法构建的网络安全层组网由不同级别的基站构成，最底层的基站为五级基站，上一级基站为四级基站，以此类推，最高级基站为一级基站，即国家级基站。
[0039]
结合附图1具体说明本发明所述的量子安全层组网拓扑结构。
[0040]
该量子安全层组网由五层基站构成，五级基站为底层基站，上一级基站为四级基站，以此类推，最高级基站为一级基站。具体组网方法如下：
[0041]
该量子安全层组网中的五级基站通过该基站中的相应连接单元与用户连接，这里的用户不仅仅指个人，还可以拓展至家庭、单位，凡是共享同一个qrn(quantum random number，量子随机数，即密钥)存储区域的个体可组成一个用户单位，这里的用户指用户单位，凡是在该五级基站覆盖范围内的用户单位都注册于该基站上。与五级基站相连接的用户数量由五级基站的存储容量、可用连接资源以及注册于该基站上该五级基站上用户数来确定，可以是1000级别，这里1000级别仅仅是举例。
[0042]
该量子安全层组网中的五级基站通过该基站中的相应连接单元与相邻的其他三个五级基站以蜂窝状的方式进行连接，确保网络的强健度和联通度，具体连接方式参考附图2。
[0043]
该量子安全层组网中的四级基站通过该基站中的相应qrn连接单元与五级基站相连。每个四级基站尽可能与该四级基站覆盖范围内的所有五级基站连接，连接的五级基站数量可以是100-1000级别。这里100-1000级别仅仅是举例；在确保基站互联互通的前提下，实际连接的五级基站数量由该四级基站的存储容量、可用连接资源以及该四级基站覆盖范围内的五级基站数量来确定。
[0044]
该量子安全层组网中的四级基站通过该基站中的相应连接单元与相邻的四级基站相连。对于一个千万级别人口的城市而言，四级基站个数较多，往往为数百、上千，所以四级基站的同级基站之间的连接方式可以同于五级基站的同级基站之间的连接方式，即采用蜂窝状方式进行连接，以提高网络强健度和联通度。
[0045]
该量子安全层组网中的三级基站是城市级别的基站，通过该基站的相应qrn连接单元与四级基站连接。每个三级基站尽可能与该三级基站覆盖范围内的所有四级基站连接以保证网络的联通性，连接的四级基站个数由该三级基站的存储容量、可用连接资源以及该三级基站覆盖范围内的四级基站数量来确定。
[0046]
该量子安全层组网中的三级基站通过该基站中的相应qrn连接单元与相邻的三级基站相连。为保障该安全层网络的强健度和联通度，三级基站在一个城市中设立的个数可以是3个及以上，但达不到五级、四级基站的数量级，所以三级基站的同级基站之间的连接方式不同于五级或四级基站的同级基站之间的连接方式，无需采用蜂窝状方式进行连接，而是采用与相邻基站直接相连的方式进行连接，三级基站的同级基站之间的连接不限于3个，由可用连接资源和相邻城市建立的三级基站数量确定。
[0047]
该量子安全层组网中的二级基站是省份级别的基站，通过该基站的相应qrn连接单元与三级基站连接。每个二级基站尽可能与该二级基站覆盖范围内的所有三级基站连接，连接的三级基站个数由该二级基站的存储容量、可用连接资源以及该二级基站覆盖范围内的三级基站数量来确定。
[0048]
该量子安全层组网中的二级基站通过该基站中的相应qrn连接单元与相邻的二级基站相连。为保障该安全层网络的强健度和联通度，二级基站在一个省份中设立的个数可以是3个及以上，二级基站的同级基站之间采用与相邻基站直接相连的方式进行连接，二级基站的同级基站之间的连接不限于3个，由可用连接资源和相邻省份建立的二级基站数量
确定。
[0049]
该量子安全层组网中的一级基站是国家级别的基站，也是该组网中的最高级基站，通过该基站的相应qrn连接单元与二级基站连接。每个一级基站尽可能与该一级基站覆盖范围内的所有二级基站连接，连接的二级基站个数由该一级基站的存储容量、可用连接资源以及该一级基站覆盖范围内的二级基站数量来确定。
[0050]
该量子安全层组网中的一级基站通过该基站中的相应qrn连接单元与相邻国家的一级基站相连。为保障该安全层网络的强健度和联通度，与三级基站和二级基站一样，一级基站在一个国家中设立的个数可以是3个及以上，一级基站的同级基站之间采用与相邻一级基站直接相连的方式进行连接，一级基站的同级基站之间的连接数量不限于3个，由可用连接资源和相邻国家建立的一级基站数量确定。
[0051]
以上所述基站与基站之间都是通过量子安全网络进行连接的。
[0052]
以上所述量子安全层组网，对于不同规模的城市或行政区域，可以在保证安全层组网的网络强健度和联通度的前提下灵活组网，以实现互联互通的网络结构。
[0053]
本发明所述网络的量子安全层组网是由量子安全基站按照上述组网方法构建而成。所述基站的存储结构如附图3所示。
[0054]
所述基站具有统一、普适的结构，包括基本模块301和混合模块302，基本模块执行基站通信时qrn配对、交互，混合模块执行基站中除qrn配对、交互之外的其他所有管理、处理功能。其中基本模块301包括上一级基站qrn连接单元3011、同级基站qrn连接单元3012、下一级基站qrn连接单元3013和qrn下发单元3014。
[0055]
下面就基站的各个模块进行详细说明。
[0056]
基站中“上一级基站qrn连接单元3011”用于与上一级基站中的“下一级基站qrn连接单元”配对、连接，接收并存储上一级基站下发给该基站的qrn。该基站中“上一级基站qrn连接单元3011”中的qrn与上一级基站中和该基站相应的“下一级基站qrn连接单元”中的qrn配对。这里需要说明的是，对于一级基站来说，没有更上一级基站的qrn连接单元供连接，故一级基站的上一级基站qrn连接单元不工作。
[0057]
基站中“同级基站qrn连接单元3012”用来存储与该基站相连接的同级基站相配对的qrn。该单元被分成多个存储区域，存储区域数量与连接至该基站的同级基站数量相同，存储区域与对应连接的同级基站一一对应，存储与该基站相连接的同级基站中配对的qrn。
[0058]
基站中“下一级基站qrn连接单元3013”用于存储连接至该基站的下一级基站中配对的qrn。该单元同样也被分成多个存储区域，存储区域数量与连接至该基站的下一级基站数量相同，存储区域与下一级基站一一对应，存储相连接的下一级基站中配对的qrn。这里需要说明的是，对于五级基站来说，下一级基站qrn连接单元是用来与用户连接、配对用户qrn的，故为用户qrn连接单元，这里的用户是指用户单位。
[0059]
基站中“qrn下发单元3014”用于为本基站中的“下一级基站qrn连接单元3013”和下一级基站中的“上一级基站qrn连接单元”、下一级基站中的“同级基站qrn连接单元”下发、补充qrn。本基站相应级别的qrn由上一级基站下发，本基站只能下发下一级基站级别的qrn。这里需要说明的是，组网中的最高级基站由于没有更上一级的基站可以向其下发新的qrn，所以组网中最高级基站的“qrn下发单元”还会给本基站的“同级基站qrn连接单元”下发、补充qrn。
[0060]
基站中的下一级基站qrn连接单元3013由于发生通信会消耗该连接单元的qrn，当该连接单元中的qrn被消耗完时，此时该连接单元处于qrn空缺状态，本基站的qrn下发单元3014将及时下发新的下一级基站qrn补充至空缺状态的连接单元，同时将此新的qrn下发至同样处于空缺状态的用户端或下一级基站，保证相应连接单元中的qrn是配对的，确保组网的正常运行。
[0061]
混合模块执行基站中除qrn配对、交互之外的其他所有管理、处理和通信功能。包括生成qrn；对接入基站相应单元的基站或用户进行认证、编码；针对点对点加密通信时的基站或用户单位计算可用连接路径；为其他基站或用户单位的接入提供通信接口；管理基站中各个单元和模块的功能协作等。所述基站不受级别限制，结构统一、普适，具有良好的可复制性。
[0062]
将上述统一结构的基站按照本发明所述的网络量子安全层组网方法进行连接组网，用户的用户端设备根据其设备所在行政区归属地，就近选取五级基站申请认证接入，接入后实现与其他用户的安全通信。
[0063]
以两用户通信为例，量子安全层按照两个用户所属基站，根据路由算法给出两用户的可用连接路径，把路径中基站的qrn做密钥中继，在两个用户之间建立临时会话密钥。
[0064]
这里结合图4说明用户与用户之间建立临时会话密钥的过程。
[0065]
连接在五级基站a上的用户a和连接在五级基站b上的用户b之间试图进行点对点加密通信，通过路由算法得到用户a和b之间的可用连接路径，如图4所示。该可用连接的路径分别表示为
①②③④
，在用户发起通信请求后，由基站中的混合模块在基站和用户端中为本次通信分配缓存区，用于通信的配对qrn存储在缓存中，其中用户a缓存中的qrn为k
①
,五级基站a缓存中的qrn为k
①
和k
②
,四级基站缓存中的qrn为k
②
和k
③
,五级基站b缓存中的qrn为k
③
和k
④
,用户b缓存中的qrn为k
④
，由基站执行对于每一段连接路径上涉及的配对qrn进行二进制加法。
[0066]
对于路径
①②
，执行k
①
⊕k②
，从k
①
、k
②
中读取任意两个相同位置的比特值，得到的可能结果如下：
[0067]0⊕
0＝0；0
⊕
1＝1；1
⊕
0＝1；1
⊕
1＝0
[0068]
如果得到的结果是0，则k
①
、k
②
中该位置的比特值一致；如果得到的结果是1，则k
①
、k
②
中该位置的比特值不一致，需要对k
②
中该位置的比特值执行反转操作，对k
①
、k
②
全部比特值执行上述操作得到与k
①
一致的k
②
。
[0069]
接下来每一条路径的操作依此类推。
[0070]
对于路径
②③
，执行k
②
⊕k③
，与前述过程一样，得到一致的k
②
和k
③
。
[0071]
对于路径
③④
的操作与前述过程一样，得到一致的k
③
和k
④
。
[0072]
经过以上过程，可得k
①
＝k
②
＝k
③
＝k
④
。则最终可以在用户a、b的缓存区得到完全一致的临时会话密钥，从而实现本次量子安全通信业务。通信结束，对所有相关的缓存予以清除。
[0073]
需要说明的是，对于二级和三级基站，本发明中所提及的qrn下发也可以采用上报(三级基站向二级基站上报、二级基站向一级基站上报)的形式实现连接的两个存储区域的qrn配对。这有利于减少高级基站的业务负载和业务的过度集中。另外，本发明所述的qrn上报或下发，既可以通过已有的量子密钥分发装置实现(尤其是qrn上报或下发的距离较近、
且量子密钥分发要求的光纤资源具备的情况)，也可以通过可信的物理运输的方法实现，既把授权拷贝于存储介质中的qrn通过可控运输，实现可信下发或上报到目标存储区域。现在已经有超高容量的存储介质和安全、可信的运输手段，具备实现可信物理运输的条件和技术。后一种方法尤其适用于qrn上报或下发的距离较远、或者量子密钥分发要求的光纤资源不具备的情况，这将大大地降低量子安全层的组网成本、大大地便利其推广应用；同时，由于采用了一次一密、明文和密文等长度加密，量子安全层仍然提供了高安全的信息安全服务。值得指出的是，即使采用量子密码分发，由于任何量子密码分发装置均需要预置密码，在该装置交付到用户端的过程中，可信物理运输也是不可或缺的；对于距离较远的量子密钥分发，往往需要采用可信中继，也同样需要密钥分发中途的可信环境。
[0074]
由于本发明所述的网络量子安全层组网独立于现有的网络分层结构，所有接入用户的用户端设备都接入该安全层组网，所以各用户端设备都共享一个网络安全标准，确保了相互之间通信的安全性和统一性。
[0075]
也因其独立于现有网络分层结构的技术特征，该量子安全层组网的连接不受现有的网络部署情况限制，可以独立成为提供网络安全服务的一个安全层组网模块。利用构建该组网的基站的可复制性，可以将组网不断拓展，理论上可拓展至全球，大大提升了当前量子安全网络传输的物理距离。
[0076]
以上所述实施例仅表达了本发明一种可能的实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。