基于量子密鑰的網(wǎng)絡(luò)加密機的制作方法

專利名稱：基于量子密鑰的網(wǎng)絡(luò)加密機的制作方法
技術(shù)領(lǐng)域：
本實用新型屬于信息安全技術(shù)領(lǐng)域，具體涉及虛擬專用網(wǎng)絡(luò)(VPN)密鑰體系。
背景技術(shù)：
虛擬專用網(wǎng)絡(luò)(VPN)是用在網(wǎng)絡(luò)上，對數(shù)據(jù)進(jìn)行加密安全傳輸?shù)耐ㄐ旁O(shè)備。目前， 傳統(tǒng)的虛擬專用網(wǎng)絡(luò)(VPN)密鑰是使用因特網(wǎng)信息交換(IKE)方案，所使用的密鑰都是在 傳統(tǒng)的網(wǎng)絡(luò)上進(jìn)行信息交換后經(jīng)計算得到，傳統(tǒng)的網(wǎng)絡(luò)密鑰交換過程很容易遭到外界的攻 擊，因此在安全上存在很大的風(fēng)險。另外IKE體系是建立在運算復(fù)雜度的基礎(chǔ)上的，而這個 運算復(fù)雜度是無法理論證實是絕對安全可靠的，在遭到攻擊的時候，存在被攻破的可能。發(fā)明內(nèi)容為了克服現(xiàn)有的虛擬專用網(wǎng)絡(luò)(VPN)密鑰系統(tǒng)所使用的密鑰在安全方面的不足， 實現(xiàn)對明文數(shù)據(jù)的安全加密，保護(hù)數(shù)據(jù)或文件的安全傳輸，本實用新型提供一種基于量子 密鑰的網(wǎng)絡(luò)加密機，該量子密鑰網(wǎng)絡(luò)加密機可以保證密鑰在傳輸過程中的絕對安全。本實用新型的技術(shù)解決方案如下基于量子密鑰的網(wǎng)絡(luò)加密機包括一對以上的虛擬專用網(wǎng)絡(luò)，即第一虛擬專用網(wǎng)絡(luò) 1、第二虛擬專用網(wǎng)絡(luò)2，相鄰虛擬專用網(wǎng)絡(luò)之間通過虛擬專用網(wǎng)絡(luò)隧道相連，還包括一對 以上的量子密鑰分發(fā)設(shè)備，即第一量子密鑰分發(fā)設(shè)備1、第二量子密鑰分發(fā)設(shè)備2，相鄰量 子密鑰分發(fā)設(shè)備之間通過光纖相連，所述虛擬專用網(wǎng)絡(luò)通過網(wǎng)絡(luò)接口，或者USB接口，或者 Console接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌谂c第一量子密鑰分發(fā)設(shè)備1、第二量子密鑰 分發(fā)設(shè)備2相連，建立密鑰讀取通道，在虛擬專用網(wǎng)絡(luò)中，加入量子密鑰注入模塊，量子密 鑰注入模塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備(QKD)取密鑰，對于需要在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加 密或解密，加密或解密所使用的密鑰從第一量子密鑰分發(fā)設(shè)備1、第二量子密鑰分發(fā)設(shè)備2 獲取。在量子虛擬專用網(wǎng)絡(luò)中，密鑰獲取是通過量子密鑰分發(fā)設(shè)備(QKD)由一方傳輸?shù)?另一方，且量子密鑰分發(fā)設(shè)備(QKD)傳輸密鑰的通道是光纖。量子虛擬專用網(wǎng)絡(luò)向量子密 鑰分發(fā)設(shè)備(QKD)發(fā)送密鑰請求，從量子密鑰分發(fā)設(shè)備(QKD)得到密鑰后，量子虛擬專用網(wǎng) 絡(luò)雙方進(jìn)行密鑰同步，確定獲取的密鑰是相同的密鑰對，如果同步正確，用獲取的密鑰對通 信數(shù)據(jù)進(jìn)行加密、解密；如果同步不正確，重新請求密鑰。量子密鑰分發(fā)設(shè)備(QKD)在收到密鑰請求時，根據(jù)密鑰管理算法，分配合適的密 鑰，如果有可用的密鑰，就發(fā)送密鑰給虛擬專用網(wǎng)絡(luò)VPN，在密鑰獲取的過程中，虛擬專用 網(wǎng)絡(luò)VPN和量子密鑰分發(fā)設(shè)備QKD需要建立一個會話。虛擬專用網(wǎng)絡(luò)VPN在協(xié)商新密鑰的 同時，仍舊用舊的密鑰繼續(xù)保持虛擬專用網(wǎng)絡(luò)VPN工作，新密鑰的協(xié)商是在舊的密鑰建立 的通道中協(xié)商的。VPN在密鑰更換周期到的時候，就需要更新密鑰，VPN向QKD發(fā)請求密鑰， 在正確獲取密鑰后，虛擬專用網(wǎng)絡(luò)VPN將得到的密鑰順序號和Md5校驗值告訴另一方虛擬 專用網(wǎng)絡(luò)VPN，另一方VPN根據(jù)接收到的順序號向量子密鑰分發(fā)設(shè)備QKD讀取密鑰，讀取到3密鑰后比較讀取的密鑰的Md5值和收到的是否一致，如果一致，VPN回應(yīng)確認(rèn)密鑰獲取成功 (OK)，表示這次密鑰更新獲取成功；如果不一致，表示兩端VPN得到的密鑰不同，需要重新 請求密鑰。成功獲取到密鑰后，采用量子密鑰對數(shù)據(jù)進(jìn)行加密，并且實行一次一密的加密方 式，保障數(shù)據(jù)的絕對安全。在密鑰傳輸?shù)倪^程中，根據(jù)量子力學(xué)特性，量子虛擬專用網(wǎng)絡(luò)在密鑰傳輸過程是 無法被攻破的，即使遭到外部攻擊，攻擊也很容易就被發(fā)現(xiàn)。因此采用了量子傳輸技術(shù)后任 何第三方想截獲密鑰都是不可能的。在量子虛擬專用網(wǎng)絡(luò)中，取代傳統(tǒng)的密鑰獲取方式，密 鑰獲取是通過量子密鑰分發(fā)設(shè)備(QKD)由一方傳輸?shù)搅硪环剑伊孔用荑€分發(fā)設(shè)備(QKD) 傳輸密鑰的通道是光纖。量子虛擬專用網(wǎng)絡(luò)是在原有的虛擬專用網(wǎng)絡(luò)(VPN)基礎(chǔ)上做一個 改動，在原有的虛擬專用網(wǎng)絡(luò)(VPN)體系中，加入量子密鑰注入模塊，這個量子密鑰注入模 塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備(QKD)取密鑰，并且實行一次一密的加密方式，保障數(shù)據(jù)的絕 對安全。是無法被第三方竊取的。本實用新型的有益效果是，可以在利用公共網(wǎng)絡(luò)建立虛擬私有網(wǎng)的同時，確保數(shù) 據(jù)在傳輸過程中的絕對安全，僅在傳統(tǒng)VPN中增加量子密鑰注入模塊，結(jié)構(gòu)簡單。本實用新 型適用于政府、企業(yè)、軍隊、銀行、證券、保險等單位的各種網(wǎng)絡(luò)。
圖1是本實用新型的工作原理圖。圖2是圖1中量子VPN如何通過量子密鑰分發(fā)設(shè)備(QKD)獲取密鑰的工作序列 圖。圖3是針對圖2中量子VPN獲取密鑰時，量子密鑰分發(fā)設(shè)備(QKD)配合量子VPN 使用完成密鑰管理、更新、使用的工作序列圖。
具體實施方式

以下結(jié)合附圖，通過實施例對本實用新型作進(jìn)一步地描述。實施例參見圖1，基于量子密鑰的網(wǎng)絡(luò)加密機包括第一虛擬專用網(wǎng)絡(luò)I(vpm)、第二虛擬 專用網(wǎng)絡(luò)2 (VPN2)，第一虛擬專用網(wǎng)絡(luò)1 (VPm)和第二虛擬專用網(wǎng)絡(luò)2 (VPN2)通過建立虛 擬專用網(wǎng)絡(luò)(VPN)隧道相連；還包括第一量子密鑰分發(fā)設(shè)備I(QKDl)和第二量子密鑰分發(fā) 設(shè)備2 (QKD2)，二者之間通過光纖相連，虛擬專用網(wǎng)絡(luò)通過網(wǎng)絡(luò)接口，或者USB接口，或者 Console接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌谂c第一量子密鑰分發(fā)設(shè)備I(QKDl)和第二量 子密鑰分發(fā)設(shè)備2(QKD》相連，建立密鑰讀取通道，在虛擬專用網(wǎng)絡(luò)中，加入量子密鑰注入 模塊，量子密鑰注入模塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備(QKD)取密鑰，對于需要在網(wǎng)絡(luò)上傳輸 的數(shù)據(jù)進(jìn)行加密，加密所使用的密鑰從第一量子密鑰分發(fā)設(shè)備I(QKDl)和第二量子密鑰分 發(fā)設(shè)備2(QKD》獲取。在密鑰傳輸?shù)倪^程中，根據(jù)量子力學(xué)特性，密鑰是安全可靠的，是無 法被第三方竊取的。在圖1和圖2所示實施例中，虛擬專用網(wǎng)絡(luò)(VPN)通過網(wǎng)絡(luò)口，或者USB 口，或 者Console 口等任何可以進(jìn)行數(shù)據(jù)通信的接口與量子密鑰分發(fā)(QKD)設(shè)備相連，建立密鑰讀取通道，然后在這條通道上傳輸量子密鑰分發(fā)(QKD)設(shè)備產(chǎn)生的密鑰。第一虛擬專用網(wǎng) 絡(luò)I(VPm)向量子密鑰分發(fā)設(shè)備I(QKDl)發(fā)送密鑰請求建立連接，從量子密鑰分發(fā)設(shè)備 KQKD1)獲取密鑰，同時第二虛擬專用網(wǎng)絡(luò)2 (VPN2)向量子密鑰分發(fā)設(shè)備2 (QKD2)發(fā)送密鑰 請求建立連接，從量子密鑰分發(fā)設(shè)備2 (QKD》獲取密鑰，第一虛擬專用網(wǎng)絡(luò)1 (VPm)與第二 虛擬專用網(wǎng)絡(luò)2(VPN2)進(jìn)行密鑰同步，確定獲取的密鑰是相同的密鑰對，如果同步正確，虛 擬專用網(wǎng)絡(luò)(VPN)用獲取的密鑰對通信數(shù)據(jù)進(jìn)行加密、解密。 如圖3所示，量子密鑰分發(fā)設(shè)備I(QKDl)在收到密鑰請求時，根據(jù)密鑰管理算法， 分配合適的密鑰，如果有可用的密鑰，就發(fā)送密鑰給第三虛擬專用網(wǎng)絡(luò)ι (vpm)，在密鑰獲 取的過程中。第三虛擬專用網(wǎng)絡(luò)l(vpm)在協(xié)商新密鑰的同時，仍然用舊的密鑰繼續(xù)保持 第三虛擬專用網(wǎng)絡(luò)l(vpm)工作，新密鑰的協(xié)商是在舊的密鑰建立的通道中協(xié)商的。第三 虛擬專用網(wǎng)絡(luò)ι在密鑰更換周期到的時候，需要更新密鑰，第三虛擬專用網(wǎng)絡(luò)l(vpm)向量 子密鑰分發(fā)設(shè)備1 (QKDl)發(fā)請求密鑰，在正確獲取密鑰后，第三虛擬專用網(wǎng)絡(luò)ι (vpm)將得 到的密鑰順序號和Md5校驗值告訴第四虛擬專用網(wǎng)2(VPN2)，第四虛擬專用網(wǎng)2(VPN2)根 據(jù)接收到的順序號向量子密鑰分發(fā)設(shè)備2 (QKD2)讀取密鑰，讀取到密鑰后比較讀取的密鑰 的Md5值和收到的是否一致，如果一致，第四虛擬專用網(wǎng)2(VPN2)回應(yīng)確認(rèn)密鑰獲取成功 (OK)，表明這次密鑰更新獲取成功；否則回應(yīng)密鑰獲取失敗。
權(quán)利要求1.基于量子密鑰的網(wǎng)絡(luò)加密機，包括一對以上的虛擬專用網(wǎng)絡(luò)，即第一虛擬專用網(wǎng)絡(luò) 1、第二虛擬專用網(wǎng)絡(luò)2，相鄰虛擬專用網(wǎng)絡(luò)之間通過虛擬專用網(wǎng)絡(luò)隧道相連，其特征在于 還包括一對以上的量子密鑰分發(fā)設(shè)備，即第一量子密鑰分發(fā)設(shè)備1、第二量子密鑰分發(fā)設(shè)備 2，相鄰量子密鑰分發(fā)設(shè)備之間通過光纖相連，所述虛擬專用網(wǎng)絡(luò)通過網(wǎng)絡(luò)接口，或者USB 接口，或者Console接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌谂c第一量子密鑰分發(fā)設(shè)備1、第二 量子密鑰分發(fā)設(shè)備2相連，建立密鑰讀取通道，在虛擬專用網(wǎng)絡(luò)中加入量子密鑰注入模塊， 量子密鑰注入模塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備取密鑰，對于需要在網(wǎng)絡(luò)上傳輸?shù)臄?shù)據(jù)進(jìn)行加 密或解密，加密或解密所使用的密鑰從第一量子密鑰分發(fā)設(shè)備1、第二量子密鑰分發(fā)設(shè)備2 獲取。
專利摘要本實用新型涉及基于量子密鑰的網(wǎng)絡(luò)加密機。特點是，在現(xiàn)有的虛擬專用網(wǎng)絡(luò)體系中，增加量子密鑰注入模塊，通過網(wǎng)絡(luò)口，或者USB口，或者Console口等任何可以進(jìn)行數(shù)據(jù)通信接口與量子密鑰分發(fā)設(shè)備相連，建立密鑰讀取通道，然后在這條通道上讀取量子密鑰分發(fā)設(shè)備的密鑰，量子密鑰分發(fā)設(shè)備之間通過量子光纖通道傳輸密鑰。量子虛擬專用網(wǎng)絡(luò)向量子密鑰分發(fā)設(shè)備發(fā)送密鑰請求，從量子密鑰分發(fā)設(shè)備得到密鑰后，量子虛擬專用網(wǎng)絡(luò)雙方進(jìn)行密鑰同步，確定獲取的密鑰是相同的密鑰對，如果同步正確，用獲取的密鑰對通信數(shù)據(jù)進(jìn)行加密、解密。借助于量子力學(xué)特性，量子密鑰傳輸過程是無法被攻破的。采用量子密鑰對數(shù)據(jù)進(jìn)行加密，實行一次一密的加密方式，保障數(shù)據(jù)絕對安全。
文檔編號H04L12/46GK201830272SQ201020537240
公開日2011年5月11日 申請日期2010年9月17日 優(yōu)先權(quán)日2010年9月17日
發(fā)明者吳平, 李大偉, 苗春華, 銀振強, 陳巍 申請人:安徽問天量子科技股份有限公司