量子城域网系列(三):搭建一个点对点量子保密通信网络

2024-04-15 02:04

本文主要是介绍量子城域网系列(三):搭建一个点对点量子保密通信网络,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

       各位小伙伴周末愉快呀,今天是4月14日世界量子日,至于为今天是世界量子日可以围观我之前的文章:关于世界量子日。    

       之前的文章中我们讨论了量子密钥在通信系统各层协议中的应用,那在实际工程中如何真正落地一个量子加密网络呢,今天我们就搭建一个“实验室”量子加密网络,来直观的了解一下量子加密网络里面最基本的设备、技术和要素。

1.场景说明

       现有的网络中,IPSec VPN是一种较为常见的保密通信技术。在之前的文章中,我们详细讨论过量子密钥分发和IPSec协议结合的机制和方法,下图就是我们搭建的一个点对点的IPSec VPN加密方案。

        在这个方案中用户A和用户B之间数据传输安全采用量子安全IPsec VPN技术实现。博主将这个场景过程进行分析。

        1.用户A和用户B之间有通信的需求,需要传输各类数据(如视频或音频);

        2.用户A和用户B之间进行通信时,都需要经过IP层对数据包进行处理,所以IP层数据通信的安全是整个网络安全通信的基础;

        3.本方案和现有IPSec VPN网络最核心的不同就是采用量子密钥替代了IPSce协议中的经典密钥,从根本上提升了通信安全;

        4.本方案实现的具体过程为:

        1)第一步:通过量子密钥分发设备在用户A和yonghuB生成对称量子密钥,其中量子态的传输以及协商采用的是通过量子-经典波分复用终端构建的量子-经典共纤通道传输(关于这一点,之前的文章量子城域网系列(一):量子密钥分发与经典光通信共纤传输详细解释过);

        2)第二步:量子密钥终端中产生的密钥放在量子密钥管理机中供量子安全IPSec VPN设备调用;

        3)第三步:量子安全IPSec VPN实现对用户A发送的数据进行量子加密,加密后的数据通过网络传输到用户B端的量子安全IPSec VPN,用户B端通过对称量子密钥在量子VPN进行解密,用户B获得明文。

2.架构说明

        通过上节的探讨,我们梳理出了量子网络的实际场景,本节我们探讨一下基本的量子保密通信网络架构,如下图为参考文献[1]中的给到的量子城域网逻辑架构。          以下为各层的具体解释: 

2.1量子层

        量子层负责产生量子密钥,包含 QKD 设备、信道和连接管理。其中,QKD 终端实现量子态制备,量子多址和交换模块实现信道复用,进而与相邻节点实现量子密钥分发,协商出量子密钥;信道和连接管理模块做信令处理,辅助建立量子信道,并负责信道的管理、维护。

2.2密钥管理层

        密钥管理层负责对量子层产生的量子密钥进行收集、存储和管理,向上层应用提供密钥接口。

2.3应用层

       负责连接用户应用,实现业务的量子加密。应用层包含用户管理、业务管理、网络管理。用户管理实现用户的接入和身份鉴别;业务管理又包含业务接入和业务加密,实现多种业务接入,如语音、视频、文件传输等,并从密钥管理层获取密钥,对业务信息进行加密;网络管理是对网络的设备和线路进行管理,包括性能检测、故障告警、安全审计和配置管理。

       此外还需要经典通信网络,实现经典数据的传输,包含各种信令、经典业务数据、量子层密钥协商过程的数据和业务加密数据。

       这三个功能层面互相协作的工作方式如下:应用层进行用户的呼叫、业务接入处理,量子层通过量子信道进行点对点密钥分发,密钥管理层实现量子密钥的存储、控制、管理和中继转发等,并提供密钥服务给应用层,应用层实现业务加密并通过经典网络进行转发。

3.设备清单

         这里我列举一下今天这个场景里面的具体设备,为后期我们“手搓”(博主和粉丝们的传统艺能 :D)实际网络进行预热。

序号设备名称设备用途及说明备注
1量子密钥分发终端A该设备主要是其光路用于量子态的制备,也就是我们QKD中常说的Alice
2量子密钥分发终端B该设备主要是其光路用于量子态的测量,也就是QKD中常说的Bob
3量子密钥管理终端量子密钥管理终端是建立在量子密钥分发设备之上,量子密钥分发设备通过量子编码与解码技术,在两地之间产生绝对安全的量子密钥,随后将密钥交给量子密钥管理终端进行管理。量子密钥管理服务通过对密钥的存储、中继、分发,实现了密钥信息安全同步和应用。量子安全网关等在通过了量子密钥管理服务的权限认证后,都可从量子密钥管理服务端获取密钥,量子密钥管理服务为应用终端其提供持续、安全、可靠的密钥服务。
4量子密钥管理系统量子密钥业务流程控制软件。该系统能够实现量子设备管理、量子密钥生成控制和量子密钥路由控制等功能。
5量子安全IPSec VPN量子VPN产品利用量子密钥作为会话密钥增强加密通信数据的机密性。
6量子-经典波分复用终端量子-经典波分复用产品实现经典光通信信号与量子光信号复用已有光通信网络光纤进行传输,即在量子密钥分发设备的发送端将经典光信号与量子光信号融合(复用),利用已有的经典光通信光纤线路传输,然后在量子密钥分发设备的接收端将量子光信号与经典光信号分离(解复用)。经典量子波分复用产品解决了目前的量子保密通信网络需要单独铺设光纤所带来的问题,
7光纤资源量子保密通信线路比较特殊的点是用户之间用于量子态传输的光纤中间不能有光电转换设备,并且对光衰和插入损耗等均有要求

       上面这些设备就是组件一个能够实现量子保密通信基础网络的核心设备和基建设施了,在后期我会针对每一个设备进行详细的讨论,从设备用途到设备制作原理甚至到设备如何小型化、集成化及芯片化也会与大家探讨(敬请期待)。这里贴一张其他文献里面关于量子通信系统与传统通信系统造价比较表格,供各位小伙伴直观感受一下,对咱们“手搓”量子保密通信网络有个直观的经济价格认知。

4.测试

       那么如何对这个点对点的网络进行测试呢,常见的方法是将量子保密通信系统两端的量子VPN设备接入以太网业务分析仪,加载以太网数据业务,通过VPN设备网管及以太网业务分析仪分别测试量子VPN设备使用量子和经典密钥进行业务加密的功能,不同加密算法协议的支持能力,密钥更新速率以及加密业务的时延、吞吐量、丢包率、加密业务条数等信息。

6.写在后面

       在之前的文章中我们提到,量子城域网的建设核心就是实现两点之间的密钥分发,本文分享了其中最简单的点对点的模型。然而,这里面的每一个点都需要更为细致的探讨,比如量子密钥本本身,我们可以看到量子密钥从产生到应用经过的环节还是比较多的,那么如何保证密钥自身的安全呢?还有现在只是点对点的网络场景,那如果复杂的场景下是否涉及到交换、路由、网络管理等问题呢?后期我们逐步细化探讨吧。

       最后探讨一个问题,我们一直说量子密钥是两点之间进行协商的对称密钥,那在基于量子密钥分发的量子保密网络里面量子密钥分发设备一定要成对出现吗?先抛结论:不一定,可以采用复用技术,比如时分复用。这里想表达的是,技术原理和实际工程的差距还是比较大的,在后期的文章中我们逐步探讨更加复杂的网络模型。

       本文中有谬误之处,还请各位同学不吝指正。

7.主要参考文献

[1]叶子豪.量子城域网密钥管理和端到端通信方法仿真研究[D]

[2]高峰,张鹏飞,刘念.量子通信城域网设备部署及应用的研究[J]

[3]GM/T0022-2014《IPSec VPN技术规范》

[4]张翼英,张素香.量子通信及其在电力通信的应用[J]

———————分割线———————

下面是博主的CSDN主页,里面还有其他的量子相关文章,欢迎大家围观并关注博主~我会持续更新量子领域各类博文。

https://quantum.blog.csdn.net/icon-default.png?t=N7T8https://quantum.blog.csdn.net/

这篇关于量子城域网系列(三):搭建一个点对点量子保密通信网络的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/904625

相关文章

Spring Security 从入门到进阶系列教程

Spring Security 入门系列 《保护 Web 应用的安全》 《Spring-Security-入门(一):登录与退出》 《Spring-Security-入门(二):基于数据库验证》 《Spring-Security-入门(三):密码加密》 《Spring-Security-入门(四):自定义-Filter》 《Spring-Security-入门(五):在 Sprin

Linux 网络编程 --- 应用层

一、自定义协议和序列化反序列化 代码: 序列化反序列化实现网络版本计算器 二、HTTP协议 1、谈两个简单的预备知识 https://www.baidu.com/ --- 域名 --- 域名解析 --- IP地址 http的端口号为80端口,https的端口号为443 url为统一资源定位符。CSDNhttps://mp.csdn.net/mp_blog/creation/editor

科研绘图系列:R语言扩展物种堆积图(Extended Stacked Barplot)

介绍 R语言的扩展物种堆积图是一种数据可视化工具,它不仅展示了物种的堆积结果,还整合了不同样本分组之间的差异性分析结果。这种图形表示方法能够直观地比较不同物种在各个分组中的显著性差异,为研究者提供了一种有效的数据解读方式。 加载R包 knitr::opts_chunk$set(warning = F, message = F)library(tidyverse)library(phyl

搭建Kafka+zookeeper集群调度

前言 硬件环境 172.18.0.5        kafkazk1        Kafka+zookeeper                Kafka Broker集群 172.18.0.6        kafkazk2        Kafka+zookeeper                Kafka Broker集群 172.18.0.7        kafkazk3

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

ASIO网络调试助手之一:简介

多年前,写过几篇《Boost.Asio C++网络编程》的学习文章,一直没机会实践。最近项目中用到了Asio,于是抽空写了个网络调试助手。 开发环境: Win10 Qt5.12.6 + Asio(standalone) + spdlog 支持协议: UDP + TCP Client + TCP Server 独立的Asio(http://www.think-async.com)只包含了头文件,不依

【IPV6从入门到起飞】5-1 IPV6+Home Assistant(搭建基本环境)

【IPV6从入门到起飞】5-1 IPV6+Home Assistant #搭建基本环境 1 背景2 docker下载 hass3 创建容器4 浏览器访问 hass5 手机APP远程访问hass6 更多玩法 1 背景 既然电脑可以IPV6入站,手机流量可以访问IPV6网络的服务,为什么不在电脑搭建Home Assistant(hass),来控制你的设备呢?@智能家居 @万物互联

系统架构师考试学习笔记第三篇——架构设计高级知识(20)通信系统架构设计理论与实践

本章知识考点:         第20课时主要学习通信系统架构设计的理论和工作中的实践。根据新版考试大纲,本课时知识点会涉及案例分析题(25分),而在历年考试中,案例题对该部分内容的考查并不多,虽在综合知识选择题目中经常考查,但分值也不高。本课时内容侧重于对知识点的记忆和理解,按照以往的出题规律,通信系统架构设计基础知识点多来源于教材内的基础网络设备、网络架构和教材外最新时事热点技术。本课时知识

poj 3181 网络流,建图。

题意: 农夫约翰为他的牛准备了F种食物和D种饮料。 每头牛都有各自喜欢的食物和饮料,而每种食物和饮料都只能分配给一头牛。 问最多能有多少头牛可以同时得到喜欢的食物和饮料。 解析: 由于要同时得到喜欢的食物和饮料,所以网络流建图的时候要把牛拆点了。 如下建图: s -> 食物 -> 牛1 -> 牛2 -> 饮料 -> t 所以分配一下点: s  =  0, 牛1= 1~

poj 3068 有流量限制的最小费用网络流

题意: m条有向边连接了n个仓库,每条边都有一定费用。 将两种危险品从0运到n-1,除了起点和终点外,危险品不能放在一起,也不能走相同的路径。 求最小的费用是多少。 解析: 抽象出一个源点s一个汇点t,源点与0相连,费用为0,容量为2。 汇点与n - 1相连,费用为0,容量为2。 每条边之间也相连,费用为每条边的费用,容量为1。 建图完毕之后,求一条流量为2的最小费用流就行了