一种网络的量子安全层组网方法

1.本发明涉及网络安全领域，尤其涉及一种网络的量子安全层组网方法。

背景技术：

2.随着互联网+的兴起，经济生活的方方面面都与网络结合的越来越紧密。网络已经渗透到人们生活的方方面面，网络安全问题也越来越受到重视。
3.现有的互联网被分为多个层级结构，其分层结构如下图所示：
[0004][0005]
目前网络安全采取的主要措施有：物理安全措施、数据传输安全技术、内外网隔离技术、入侵检测技术、访问控制技术、审计技术、安全性检测技术、防病毒技术、备份技术、终端安全技术。这些技术都是在网络的某一层中利用算法进行安全保障，在实施时需要将算法嵌入到相应层的协议中，不同的层需要不同的安全算法，操作复杂、不具普适性。且不同的算法，安全性标准不同，这就造成了安全性标准不统一的问题。
[0006]
随着网络技术的发展，统一的网络安全标准必将成为趋势，在这样的情况下，如果有一个不依赖于各级网络层次的普适性安全层组网结构，在解决整个网络安全问题的同时，由于只有这一个安全层组网，必然只有一个安全标准，有利于实现和管理网络的整体安全性。

技术实现要素：

[0007]
本发明针对网络安全技术的不足，提出一种适用于现有网络的量子安全层的组网方法。该安全层组网的基本组成单元为结构统一的量子安全，根据服务覆盖的范围大小或行政级别设立相应级别的量子安全，并按层级连接、组网，形成独立于现有网络分层结构的安全层组网结构。组网具备接口模块，当有安全需求时，通过接口模块将该安全层组网接入现有网络、提供量子安全服务。因其可以独立组网，所以无需考虑该安全层与现有
网络中其他分层结构的兼容性。
[0008]
该安全层组网可以作为整个网络的安全模块接入，由于整个网络系统只有这一个安全层组网，所以其安全性有一个统一的标准，有利于实现和管理网络的整体安全性。
[0009]
一种网络的量子安全层组网方法，所述方法包括如下步骤：
[0010]
将按照覆盖范围或行政区级别分为不同等级的，最底层的为五级，依次往上分别为四级、三级、二级和一级；将五级中的qrn(quantum random number，量子随机数，即密钥)连接单元与用户连接，连接的用户数量与所述五级覆盖区域内的用户数量相当；将五级中的qrn连接单元与相邻其他三个五级中对应的qrn连接单元进行连接，所述五级之间形成蜂窝状结构，以确保网络的强健度和联通度；将四级中的qrn连接单元与五级中对应的qrn连接单元进行连接，每个四级覆盖下的五级均与该四级相连；
[0011]
将四级中的qrn连接单元与相邻四级中对应的qrn连接单元进行连接，
[0012]
将三级中的qrn连接单元与四级中对应的qrn连接单元进行连接，每个三级覆盖下的四级均与该三级相连；
[0013]
将三级中的qrn连接单元与相邻三级中对应的qrn连接单元进行连接；
[0014]
将二级中的qrn连接单元与三级中对应的qrn连接单元进行连接，每个二级覆盖下的三级均与该二级相连；
[0015]
将二级中的qrn连接单元与相邻二级中对应的qrn连接单元进行连接；
[0016]
将一级中的qrn连接单元与二级中对应的qrn连接单元进行连接，每个一级覆盖下的二级均与该一级相连；
[0017]
将一级中的qrn连接单元与相邻一级中对应的qrn连接单元进行连接。
[0018]
进一步的，组建安全层组网的与或与用户端之间均通过qrn可信中继进行连接。
[0019]
进一步的，部署二级时，二级与其他同级二级连接的数量不少于三个，具体数量由城市中设立的二级个数和对应的连接资源决定；
[0020]
部署三级时，三级与其他同级三级连接的数量不少于三个，具体数量由相邻三级个数和对应的连接资源决定；
[0021]
部署四级时，四级与相邻的其他三个同级四级以蜂窝状结构进行连接。
[0022]
进一步的，本发明提出一种网络的量子安全层组网系统，所述系统由和用户端构成，与或与用户端之间通过qrn可信中继进行连接，并采用上述方法进行部署。
[0023]
进一步的，所述系统中的包括相互连接的基本模块和混合模块，所述基本模块用于执行通信时qrn配对、交互，所述混合模块用于执行中除qrn配对、交互之外的所有信息处理、管理和通信。
[0024]
进一步的，所述基本模块包括上一级qrn连接单元、同级qrn连接单元、下一级qrn连接单元和qrn下发单元；所述中上一级qrn连接单元用于接收并存储与上一级交互用的qrn；中同级qrn连接单元用于接收并存储与同级交互用的qrn；中下一级qrn连接单元用于接收并存储与下一级交互用的qrn；所
述qrn下发单元用于接收qrn，并进行分发；
[0025]
进一步的，所述混合模块用于执行如下操作，包括：生成qrn，对接入相应模块的或用户进行认证、编码，针对点对点加密通信时的或用户单位计算可用连接路径，为其他或用户单位的接入提供通信接口，管理中各个单元和模块的功能协作。
[0026]
与现有技术相比，本发明具有以下有益效果：
[0027]
1、依照本发明提出的组网方法所构建的量子安全层组网，是现有网络分层结构中所没有的安全模块，是一种新的保障网络通信安全的方法；
[0028]
2、依照本发明提出的组网方法所构建的量子安全层组网独立于现有的网络分层结构，当有安全需求时，通过接口模块接入现有网络、提供量子安全服务，操作简单，避免了选取适用于不同网络层的算法这一操作，且无需考虑与当下网络中其他分层结构的兼容性；
[0029]
3、本发明中所述的结构不受级别限制，结构统一且简单，具有良好的可复制性，利于组网拓展，这反映了本方法的科学性和普适性；
[0030]
4、各级与之间、用户和之间通过量子安全网络进行加密通信，有效保证了网络安全性；
[0031]
5、本发明提出了一种基于所述的量子安全层组网方法，该网络具有良好的拓展性，按照本发明所述组网方法，可通过五个级别的量子安全将此量子安全层网络拓展至全球范围，有效提升了量子安全网络的覆盖范围。
附图说明
[0032]
图1为本发明实施例中所举的城域级别的量子安全层组网中各级连接示意图；
[0033]
图2为量子安全层组网中五级之间的连接拓扑示意图；
[0034]
图3为本发明所述的存储结构示意图，其中301为基本模块，302为混合模块。3011为上一级qrn连接单元，3012为同级qrn连接单元，3013为下一级qrn连接单元，3014为qrn下发单元；
[0035]
图4为用户之间建立临时会话密钥过程的示意图。
具体实施方式
[0036]
下面将结合附图和具体实施例对本发明作更进一步的说明。但应当理解的是，本发明可以以各种形式实施，以下在附图中出示并且在下文中描述的一些示例性和非限制性实施例，并不意味着将本发明限制于所说明的具体实施例。
[0037]
应当理解的是，在技术上可行的情况下，以上针对不同实施例所列举的技术特征可以相互组合，从而形成本发明范围内的另外的实施例。此外，本发明所述的特定示例和实施例是非限制性的，并且可以对以上所阐述的结构、步骤、顺序做出相应修改而不脱离本发明的保护范围。
[0038]
本发明提出一种互联网的量子安全层的组网方法。依据该方法构建的网络安全层组网由不同级别的构成，最底层的为五级，上一级为四级，以此类推，最高级为一级，即国家级。
[0039]
结合附图1具体说明本发明所述的量子安全层组网拓扑结构。
[0040]
该量子安全层组网由五层构成，五级为底层，上一级为四级，以此类推，最高级为一级。具体组网方法如下：
[0041]
该量子安全层组网中的五级通过该中的相应连接单元与用户连接，这里的用户不仅仅指个人，还可以拓展至家庭、单位，凡是共享同一个qrn(quantum random number，量子随机数，即密钥)存储区域的个体可组成一个用户单位，这里的用户指用户单位，凡是在该五级覆盖范围内的用户单位都注册于该上。与五级相连接的用户数量由五级的存储容量、可用连接资源以及注册于该上该五级上用户数来确定，可以是1000级别，这里1000级别仅仅是举例。
[0042]
该量子安全层组网中的五级通过该中的相应连接单元与相邻的其他三个五级以蜂窝状的方式进行连接，确保网络的强健度和联通度，具体连接方式参考附图2。
[0043]
该量子安全层组网中的四级通过该中的相应qrn连接单元与五级相连。每个四级尽可能与该四级覆盖范围内的所有五级连接，连接的五级数量可以是100-1000级别。这里100-1000级别仅仅是举例；在确保互联互通的前提下，实际连接的五级数量由该四级的存储容量、可用连接资源以及该四级覆盖范围内的五级数量来确定。
[0044]
该量子安全层组网中的四级通过该中的相应连接单元与相邻的四级相连。对于一个千万级别人口的城市而言，四级个数较多，往往为数百、上千，所以四级的同级之间的连接方式可以同于五级的同级之间的连接方式，即采用蜂窝状方式进行连接，以提高网络强健度和联通度。
[0045]
该量子安全层组网中的三级是城市级别的，通过该的相应qrn连接单元与四级连接。每个三级尽可能与该三级覆盖范围内的所有四级连接以保证网络的联通性，连接的四级个数由该三级的存储容量、可用连接资源以及该三级覆盖范围内的四级数量来确定。
[0046]
该量子安全层组网中的三级通过该中的相应qrn连接单元与相邻的三级相连。为保障该安全层网络的强健度和联通度，三级在一个城市中设立的个数可以是3个及以上，但达不到五级、四级的数量级，所以三级的同级之间的连接方式不同于五级或四级的同级之间的连接方式，无需采用蜂窝状方式进行连接，而是采用与相邻直接相连的方式进行连接，三级的同级之间的连接不限于3个，由可用连接资源和相邻城市建立的三级数量确定。
[0047]
该量子安全层组网中的二级是省份级别的，通过该的相应qrn连接单元与三级连接。每个二级尽可能与该二级覆盖范围内的所有三级连接，连接的三级个数由该二级的存储容量、可用连接资源以及该二级覆盖范围内的三级数量来确定。
[0048]
该量子安全层组网中的二级通过该中的相应qrn连接单元与相邻的二级相连。为保障该安全层网络的强健度和联通度，二级在一个省份中设立的个数可以是3个及以上，二级的同级之间采用与相邻直接相连的方式进行连接，二级的同级之间的连接不限于3个，由可用连接资源和相邻省份建立的二级数量
确定。
[0049]
该量子安全层组网中的一级是国家级别的，也是该组网中的最高级，通过该的相应qrn连接单元与二级连接。每个一级尽可能与该一级覆盖范围内的所有二级连接，连接的二级个数由该一级的存储容量、可用连接资源以及该一级覆盖范围内的二级数量来确定。
[0050]
该量子安全层组网中的一级通过该中的相应qrn连接单元与相邻国家的一级相连。为保障该安全层网络的强健度和联通度，与三级和二级一样，一级在一个国家中设立的个数可以是3个及以上，一级的同级之间采用与相邻一级直接相连的方式进行连接，一级的同级之间的连接数量不限于3个，由可用连接资源和相邻国家建立的一级数量确定。
[0051]
以上所述与之间都是通过量子安全网络进行连接的。
[0052]
以上所述量子安全层组网，对于不同规模的城市或行政区域，可以在保证安全层组网的网络强健度和联通度的前提下灵活组网，以实现互联互通的网络结构。
[0053]
本发明所述网络的量子安全层组网是由量子安全按照上述组网方法构建而成。所述的存储结构如附图3所示。
[0054]
所述具有统一、普适的结构，包括基本模块301和混合模块302，基本模块执行通信时qrn配对、交互，混合模块执行中除qrn配对、交互之外的其他所有管理、处理功能。其中基本模块301包括上一级qrn连接单元3011、同级qrn连接单元3012、下一级qrn连接单元3013和qrn下发单元3014。
[0055]
下面就的各个模块进行详细说明。
[0056]
中“上一级qrn连接单元3011”用于与上一级中的“下一级qrn连接单元”配对、连接，接收并存储上一级下发给该的qrn。该中“上一级qrn连接单元3011”中的qrn与上一级中和该相应的“下一级qrn连接单元”中的qrn配对。这里需要说明的是，对于一级来说，没有更上一级的qrn连接单元供连接，故一级的上一级qrn连接单元不工作。
[0057]
中“同级qrn连接单元3012”用来存储与该相连接的同级相配对的qrn。该单元被分成多个存储区域，存储区域数量与连接至该的同级数量相同，存储区域与对应连接的同级一一对应，存储与该相连接的同级中配对的qrn。
[0058]
中“下一级qrn连接单元3013”用于存储连接至该的下一级中配对的qrn。该单元同样也被分成多个存储区域，存储区域数量与连接至该的下一级数量相同，存储区域与下一级一一对应，存储相连接的下一级中配对的qrn。这里需要说明的是，对于五级来说，下一级qrn连接单元是用来与用户连接、配对用户qrn的，故为用户qrn连接单元，这里的用户是指用户单位。
[0059]
中“qrn下发单元3014”用于为本中的“下一级qrn连接单元3013”和下一级中的“上一级qrn连接单元”、下一级中的“同级qrn连接单元”下发、补充qrn。本相应级别的qrn由上一级下发，本只能下发下一级级别的qrn。这里需要说明的是，组网中的最高级由于没有更上一级的可以向其下发新的qrn，所以组网中最高级的“qrn下发单元”还会给本的“同级qrn连接单元”下发、补充qrn。
[0060]
中的下一级qrn连接单元3013由于发生通信会消耗该连接单元的qrn，当该连接单元中的qrn被消耗完时，此时该连接单元处于qrn空缺状态，本的qrn下发单元3014将及时下发新的下一级qrn补充至空缺状态的连接单元，同时将此新的qrn下发至同样处于空缺状态的用户端或下一级，保证相应连接单元中的qrn是配对的，确保组网的正常运行。
[0061]
混合模块执行中除qrn配对、交互之外的其他所有管理、处理和通信功能。包括生成qrn；对接入相应单元的或用户进行认证、编码；针对点对点加密通信时的或用户单位计算可用连接路径；为其他或用户单位的接入提供通信接口；管理中各个单元和模块的功能协作等。所述不受级别限制，结构统一、普适，具有良好的可复制性。
[0062]
将上述统一结构的按照本发明所述的网络量子安全层组网方法进行连接组网，用户的用户端设备根据其设备所在行政区归属地，就近选取五级申请认证接入，接入后实现与其他用户的安全通信。
[0063]
以两用户通信为例，量子安全层按照两个用户所属，根据路由算法给出两用户的可用连接路径，把路径中的qrn做密钥中继，在两个用户之间建立临时会话密钥。
[0064]
这里结合图4说明用户与用户之间建立临时会话密钥的过程。
[0065]
连接在五级a上的用户a和连接在五级b上的用户b之间试图进行点对点加密通信，通过路由算法得到用户a和b之间的可用连接路径，如图4所示。该可用连接的路径分别表示为
①②③④
，在用户发起通信请求后，由中的混合模块在和用户端中为本次通信分配缓存区，用于通信的配对qrn存储在缓存中，其中用户a缓存中的qrn为k
①
,五级a缓存中的qrn为k
①
和k
②
,四级缓存中的qrn为k
②
和k
③
,五级b缓存中的qrn为k
③
和k
④
,用户b缓存中的qrn为k
④
，由执行对于每一段连接路径上涉及的配对qrn进行二进制加法。
[0066]
对于路径
①②
，执行k
①
⊕k②
，从k
①
、k
②
中读取任意两个相同位置的比特值，得到的可能结果如下：
[0067]0⊕
0＝0；0
⊕
1＝1；1
⊕
0＝1；1
⊕
1＝0
[0068]
如果得到的结果是0，则k
①
、k
②
中该位置的比特值一致；如果得到的结果是1，则k
①
、k
②
中该位置的比特值不一致，需要对k
②
中该位置的比特值执行反转操作，对k
①
、k
②
全部比特值执行上述操作得到与k
①
一致的k
②
。
[0069]
接下来每一条路径的操作依此类推。
[0070]
对于路径
②③
，执行k
②
⊕k③
，与前述过程一样，得到一致的k
②
和k
③
。
[0071]
对于路径
③④
的操作与前述过程一样，得到一致的k
③
和k
④
。
[0072]
经过以上过程，可得k
①
＝k
②
＝k
③
＝k
④
。则最终可以在用户a、b的缓存区得到完全一致的临时会话密钥，从而实现本次量子安全通信业务。通信结束，对所有相关的缓存予以清除。
[0073]
需要说明的是，对于二级和三级，本发明中所提及的qrn下发也可以采用上报(三级向二级上报、二级向一级上报)的形式实现连接的两个存储区域的qrn配对。这有利于减少高级的业务负载和业务的过度集中。另外，本发明所述的qrn上报或下发，既可以通过已有的量子密钥分发装置实现(尤其是qrn上报或下发的距离较近、
且量子密钥分发要求的光纤资源具备的情况)，也可以通过可信的物理运输的方法实现，既把授权拷贝于存储介质中的qrn通过可控运输，实现可信下发或上报到目标存储区域。现在已经有超高容量的存储介质和安全、可信的运输手段，具备实现可信物理运输的条件和技术。后一种方法尤其适用于qrn上报或下发的距离较远、或者量子密钥分发要求的光纤资源不具备的情况，这将大大地降低量子安全层的组网成本、大大地便利其推广应用；同时，由于采用了一次一密、明文和密文等长度加密，量子安全层仍然提供了高安全的信息安全服务。值得指出的是，即使采用量子密码分发，由于任何量子密码分发装置均需要预置密码，在该装置交付到用户端的过程中，可信物理运输也是不可或缺的；对于距离较远的量子密钥分发，往往需要采用可信中继，也同样需要密钥分发中途的可信环境。
[0074]
由于本发明所述的网络量子安全层组网独立于现有的网络分层结构，所有接入用户的用户端设备都接入该安全层组网，所以各用户端设备都共享一个网络安全标准，确保了相互之间通信的安全性和统一性。
[0075]
也因其独立于现有网络分层结构的技术特征，该量子安全层组网的连接不受现有的网络部署情况限制，可以独立成为提供网络安全服务的一个安全层组网模块。利用构建该组网的的可复制性，可以将组网不断拓展，理论上可拓展至全球，大大提升了当前量子安全网络传输的物理距离。
[0076]
以上所述实施例仅表达了本发明一种可能的实施方式，其描述较为具体和详细，但并不能因此而理解为对发明专利范围的限制。应当指出的是，对于本领域的普通技术人员来说，在不脱离本发明构思的前提下，还可以做出若干变形和改进，这些都属于本发明的保护范围。因此，本发明专利的保护范围应以所附权利要求为准。

技术特征：

1.一种网络的量子安全层组网方法，其特征在于，所述方法包括如下步骤：将按照覆盖范围或行政区级别分为不同等级的，最底层的为五级，依次往上分别为四级、三级、二级和一级；将五级中的qrn连接单元与用户连接，连接的用户数量与所述五级覆盖区域内的用户数量相当；将五级中的qrn连接单元与相邻其他三个五级中对应的qrn连接单元进行连接，所述五级之间形成蜂窝状结构；将四级中的qrn连接单元与五级中对应的qrn连接单元进行连接，每个四级覆盖下的五级均与该四级相连；将四级中的qrn连接单元与相邻四级中对应的qrn连接单元进行连接；将三级中的qrn连接单元与四级中对应的qrn连接单元进行连接，每个三级覆盖下的四级均与该三级相连；将三级中的qrn连接单元与相邻三级中对应的qrn连接单元进行连接；将二级中的qrn连接单元与三级中对应的qrn连接单元进行连接，每个二级覆盖下的三级均与该二级相连；将二级中的qrn连接单元与相邻二级中对应的qrn连接单元进行连接；将一级中的qrn连接单元与二级中对应的qrn连接单元进行连接，每个一级覆盖下的二级均与该一级相连；将一级中的qrn连接单元与相邻一级中对应的qrn连接单元进行连接。2.根据权利要求1所述的一种网络的量子安全层组网方法，其特征在于，组建安全层组网的与或与用户端之间均通过qrn可信中继进行连接。3.根据权利要求2所述的一种网络的量子安全层组网方法，其特征在于，部署二级时，二级与其他同级二级连接的数量不少于三个，具体数量由城市中设立的二级个数和对应的连接资源决定；部署三级时，三级与其他同级三级连接的数量不少于三个，具体数量由相邻三级个数和对应的连接资源决定；部署四级时，四级与相邻的其他三个同级四级以蜂窝状结构进行连接。4.一种网络的量子安全层组网系统，其特征在于，所述系统由和用户端构成，与或与用户端之间均通过qrn可信中继进行连接，并采用权利要求1-3任一所述方法进行部署。5.根据权利要求4所述的一种网络的量子安全层组网系统，其特征在于，所述系统中的包括相互连接的基本模块和混合模块，所述基本模块用于执行通信时qrn配对、交互，所述混合模块用于执行中除qrn配对、交互之外的所有信息处理、管理和通信。6.根据权利要求5所述的一种网络的量子安全层组网系统，其特征在于，所述基本模块包括上一级qrn连接单元、同级qrn连接单元、下一级qrn连接单元和qrn下发单元；所述上一级qrn连接单元用于接收并存储与上一级交互用的qrn；所述同级qrn连接单元用于接收并存储与同级交互用的qrn；所述下一级qrn连接单元用于接收并存储与下一级交互用的qrn；所述qrn下发单元用于接收qrn，并进行分发。7.根据权利要求6所述的一种网络的量子安全层组网系统，其特征在于，
所述混合模块用于执行如下操作，包括：生成qrn，对接入相应模块的或用户进行认证、编码，针对点对点加密通信时的或用户单位计算可用连接路径，为其他或用户单位的接入提供通信接口，管理中各个单元和模块的功能协作。

技术总结

本发明提出了一种为现有网络提供量子安全服务的量子安全层组网方法，依据该方法构建的量子安全层组网系统由不同级别的构成，最底层的命名为五级，上一级为四级，依此类推，最高级为一级，即为国家级。各级通过QRN(Quantum Random number，量子随机数，即密钥)连接单元与其他相连，与、与用户端之间通过QRN可信中继进行连接，确保网络安全。该量子安全层组网可以独立于现有的网络分层结构加以构建，当需要量子安全服务的时候直接接入网络、提供量子安全服务，操作简单，具有良好的可拓展性，且利于构建全网统一的高安全通信标准。且利于构建全网统一的高安全通信标准。且利于构建全网统一的高安全通信标准。