一种基于量子密钥技术的VPN网络系统的制作方法

一种基于量子密钥技术的vpn网络系统
技术领域
1.本发明涉及网络通信技术领域，具体涉及一种基于量子密钥技术的vpn网络系统。

背景技术：

2.量子密钥技术是一种不可窃听、不可破译，无条件安全的通信加密方式。量子加密通信主要分为两步：第一步，通过量子信道进行量子密钥分发。通信双方通过量子密钥分发获取一对完全随机且只有通信双方知道的量子密钥。第二步，通过传统信道进行密文传递。利用获得的量子密钥，发送方将信息进行加密变成一段密文，接收方将收到的密文解密，进而实现通信的完全保密。
3.现阶段量子密钥技术仍然处于研究阶段，对现有网络基础设施的使用不充分，导致加密传输网络系统管理架构的灵活性和适应性差，无法实现大规模的量子加密服务。

技术实现要素：

4.本发明的目的就在于解决上述背景技术的问题，而提出一种基于量子密钥技术的vpn网络系统。
5.本发明的目的可以通过以下技术方案实现：
6.本发明实施例提供了一种基于量子密钥技术的vpn网络系统，包括访问节点和被访问节点；所述访问节点包括网络功能虚拟化编辑器nfvo、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发qkd模块；所述被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二qkd模块；
7.所述nfvo，用于当接收到访问所述被访问节点的请求，获取所述访问节点和所述被访问节点之间的网路拓扑，将所述网路拓扑、节点配置信息和创建vpn命令作为连接信息发送给所述第一虚拟管理配置模块和所述第二虚拟配置管理模块；
8.所述第一虚拟管理配置模块和所述第二虚拟配置管理模块，用于分别根据所述节点配置信息配置节点，根据所述网路拓扑和所述创建vpn命令在所述第一虚拟路由器和所述第二虚拟路由器之间建立vpn通道；
9.所述第一虚拟路由器和所述第二虚拟路由器，用于分别使用所述第一qkd模块和所述第二qkd模块生成量子密钥，并配置所述vpn通道，通过所述vpn通道使用所述量子密钥进行加密数据通信。
10.可选地，第一虚拟管理配置模块包括第一虚拟基础架构管理器vim和第一虚拟配置包；第二虚拟管理配置模块包括第二vim和第二虚拟配置包；所述第一虚拟配置包和所述第二虚拟配置包包括一组由所述nfvo远程控制的脚本和进程；
11.所述第一虚拟配置包，用于根据所述nfvo的控制指令执行脚本或进程，管理和配置所述访问节点；
12.所述第二虚拟配置包，用于根据所述nfvo的控制指令执行脚本或进程，管理和配置所述被访问节点；
13.所述第一vim和所述第二vim，用于控制底层网络、计算基础设施和存储基础设施构建vpn。
14.可选地，所述第一虚拟配置包，还用于在所述第一虚拟路由器与所述访问节点的服务器之间创建连接，授予所述第一虚拟路由器访问所述第一qkd模块的权限；
15.所述第二虚拟配置包，还用于在所述第二虚拟路由器与所述被访问节点的服务器之间创建连接，授予所述第二虚拟路由器访问所述第二qkd模块的权限。
16.可选地，所述第一虚拟配置包，还用于配置所述第一虚拟路由器，通过所述第一虚拟路由器获取所述第一qkd模块生成的第一密钥，将所述第一密钥通过所述vpn通道发送给所述被访问节点；
17.所述第二虚拟配置包，还用于配置所述第二虚拟路由器，将所述第一密钥通过所述第二虚拟路由器发送给所述第二qkd模块；
18.所述第一qkd模块和所述第二qkd模块，用于通过所述第一虚拟路由器和所述第二虚拟路由器根据所述第一密钥进行量子密钥分发确定目标传输密钥。
19.可选地，所述第一虚拟配置包和所述第二虚拟配置包，还用于分别配置所述第一虚拟路由器和所述第二虚拟路由器的ip层操作信息；ip层操作信息包括路由表、端口映射、nat和ipsec策略。
20.可选地，所述第一vim和所述第二vim部署于docker的容器平台，用于使用容器和open vswitches创建虚拟网络。
21.可选地，所述节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。
22.本发明实施例提供了一种基于量子密钥技术的vpn网络系统，包括访问节点和被访问节点；访问节点包括网络功能虚拟化编辑器nfvo、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发qkd模块；被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二qkd模块；nfvo，用于当接收到访问被访问节点的请求，获取访问节点和被访问节点之间的网路拓扑，将所述网路拓扑、节点配置信息和创建vpn命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块；第一虚拟管理配置模块和第二虚拟配置管理模块，用于分别根据节点配置信息配置节点，根据网路拓扑和创建vpn命令在第一虚拟路由器和第二虚拟路由器之间建立vpn通道；第一虚拟路由器和第二虚拟路由器，用于分别使用第一qkd模块和第二qkd模块生成量子密钥，并配置vpn通道，通过vpn通道使用量子密钥进行加密数据通信。通过访问节点的nfvo控制访问节点的第一虚拟管理配置模块和被访问节点第二虚拟配置管理模块建立vpn通道，然后通过vpn通道使用量子密钥进行加密数据通信。结合量子密钥技术和vpn技术，提高了加密传输网络系统管理架构的灵活性和适应性，为实现大规模的量子加密服务提供了可行的网络架构。
附图说明
23.下面结合附图对本发明作进一步的说明。
24.图1为本发明实施例提供的一种基于量子密钥技术的vpn网络系统的系统框图。
具体实施方式
25.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
26.本发明实施例提供了一种基于量子密钥技术的vpn网络系统。参见图1，图1为本发明实施例提供的一种基于量子密钥技术的vpn网络系统的系统框图。包括访问节点和被访问节点，访问节点和被访问节点通过互联网进行数据传输；访问节点包括nfvo(network functions virtualisation orchestrator，网络功能虚拟化编辑器)、第一虚拟管理配置模块、第一虚拟路由器和第一量子密钥分发qkd模块；被访问节点包括第二虚拟配置管理模块、第二虚拟路由器和第二qkd模块；
27.nfvo，用于当接收到访问被访问节点的请求，获取访问节点和被访问节点之间的网路拓扑，将网路拓扑、节点配置信息和创建vpn命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块；
28.第一虚拟管理配置模块和第二虚拟配置管理模块，用于分别根据节点配置信息配置节点，根据网路拓扑和创建vpn命令在第一虚拟路由器和第二虚拟路由器之间建立vpn通道；
29.第一虚拟路由器和第二虚拟路由器，用于分别使用第一qkd模块和第二qkd模块生成量子密钥，并配置vpn通道，通过vpn通道使用量子密钥进行加密数据通信。
30.基于本发明实施例提供的一种基于量子密钥技术的vpn网络系统，通过访问节点的nfvo控制访问节点的第一虚拟管理配置模块和被访问节点第二虚拟配置管理模块建立vpn通道，然后通过vpn通道使用量子密钥进行加密数据通信。结合量子密钥技术和vpn技术，提高了加密传输网络系统管理架构的灵活性和适应性，为实现大规模的量子加密服务提供了可行的网络架构。
31.一种实现方式中，vpn通道可以为ipsec隧道模式。
32.一种实现方式中，nfvo可用以管理ns(network service，网络业务)生命周期，并协调ns生命周期的管理、协调vnf(virtual ised network function，虚拟化的网络功能)生命周期的管理、协调nfvi(nfv infrastructure，网络功能虚拟化基础设施)各类资源的管理(需要得到虚拟化基础设施管理器vim的支持)，以此确保所需各类资源与连接的优化配置。
33.在一个实施例中，第一虚拟管理配置模块包括第一虚拟基础架构管理器vim和第一虚拟配置包；第二虚拟管理配置模块包括第二vim和第二虚拟配置包；第一虚拟配置包和第二虚拟配置包包括一组由nfvo远程控制的脚本和进程；
34.第一虚拟配置包，用于根据nfvo的控制指令执行脚本或进程，管理和配置访问节点；
35.第二虚拟配置包，用于根据nfvo的控制指令执行脚本或进程，管理和配置被访问节点；
36.第一vim和第二vim，用于控制底层网络、计算基础设施和存储基础设施构建vpn。
37.一种实现方式中，nfvo是对节点进行单侧配置，先配置访问节点，再配置被访问节
点。
38.在一个实施例中，第一虚拟配置包，还用于在第一虚拟路由器与访问节点的服务器之间创建连接，授予第一虚拟路由器访问第一qkd模块的权限；
39.第二虚拟配置包，还用于在第二虚拟路由器与被访问节点的服务器之间创建连接，授予第二虚拟路由器访问第二qkd模块的权限。
40.在一个实施例中，第一虚拟配置包，还用于配置第一虚拟路由器，通过第一虚拟路由器获取第一qkd模块生成的第一密钥，将第一密钥通过所述vpn通道发送给被访问节点；
41.第二虚拟配置包，还用于配置第二虚拟路由器，将第一密钥通过第二虚拟路由器发送给第二qkd模块；
42.第一qkd模块和第二qkd模块，用于通过第一虚拟路由器和第二虚拟路由器根据第一密钥进行量子密钥分发确定目标传输密钥。
43.在一个实施例中，第一虚拟配置包和第二虚拟配置包，还用于分别配置第一虚拟路由器和第二虚拟路由器的ip层操作信息；ip层操作信息包括路由表、端口映射、nat和ipsec策略。
44.一种实现方式中，通过配置第一虚拟路由器和第二虚拟路由器的ip层操作信息，确定两路由器之间数据传输的路由表和端口映射，并确定nat的实现方式和ipsec的功能设置。
45.nat的实现方式有三种，即静态转换static nat、动态转换dynamic nat和端口多路复用overload。
46.ipsec可以实现以下4项功能:数据机密性：ipsec发送方将包加密后再通过网络发送。数据完整性：ipsec可以验证ipsec发送方发送的包，以确保数据传输时没有被改变。数据认证：ipsec接受方能够鉴别ipsec包的发送起源。此服务依赖数据的完整性。反重放:ipsec接受方能检查并拒绝重放包。
47.在一个实施例中，第一vim和第二vim为部署于docker的容器平台，用于使用容器和open vswitches创建虚拟网络。
48.一种实现方式中，将第一vim和第二vim为部署于docker的容器平台，可以进一步提高网络的灵活性。
49.一种实现方式中，根据open vswitches协议以软件的方式形成交换机部件，跟传统的物理交换机相比，虚拟交换机同样具备众多优点，一是配置更加灵活。一台普通的服务器可以配置出数十台甚至上百台虚拟交换机，且端口数目可以灵活选择；二是成本更加低廉，通过虚拟交换往往可以获得昂贵的普通交换机才能达到的性能。
50.在一个实施例中，节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。
51.以上对本发明的一个实施例进行了详细说明，但所述内容仅为本发明的较佳实施例，不能被认为用于限定本发明的实施范围。凡依本发明申请范围所作的均等变化与改进等，均应仍归属于本发明的专利涵盖范围之内。

技术特征：

psec策略。6.根据权利要求2所述的一种基于量子密钥技术的vpn网络系统，其特征在于，所述第一vim和所述第二vim部署于docker的容器平台，用于使用容器和open vswi tches创建虚拟网络。7.根据权利要求1所述的一种基于量子密钥技术的vpn网络系统，其特征在于，所述节点配置信息包括网关和路由配置、预设安装包、内部服务的初始化参数。

技术总结

本发明公开了一种基于量子密钥技术的VPN网络系统，涉及网络通信技术领域。NFVO当接收到访问被访问节点的请求，获取访问节点和被访问节点之间的网路拓扑，将网路拓扑、节点配置信息和创建VPN命令作为连接信息发送给第一虚拟管理配置模块和第二虚拟配置管理模块，以使其分别根据节点配置信息配置节点，根据网路拓扑和创建VPN命令建立VPN通道；第一虚拟路由器和第二虚拟路由器分别使用第一QKD模块和第二QKD模块生成量子密钥，通过VPN通道使用量子密钥进行加密数据通信。上述系统结合量子密钥技术和VPN技术，提高了加密传输网络系统管理架构的灵活性和适应性，为实现大规模的量子加密服务提供了可行的网络架构。服务提供了可行的网络架构。服务提供了可行的网络架构。