[发明专利]一种量子通信网络的安全组网结构及其方法

说明书

本发明涉及一种量子通信网络的组网结构，包括：路由器、防火墙、量子通信控制层、量子通信密钥管理层、和量子通信密钥分发层，其特征在于，所述量子通信网络还包括量子网络对接协同管理系统，该量子网络对接协同管理系统包括认证鉴权模块与接口模块，其中所述认证鉴权模块设置为对各个不同的量子保密通信子网络接入的设备进行认证与鉴权，所述接口模块设置为与所述量子通信控制层进行连接并通信，所述认证鉴权模块与所述接口模块连接、并通过所述接口模块与各个不同的量子保密通信子网络的量子通信控制层进行通信以对接入量子通信网络的设备进行认证与鉴权；其中，各个不同的量子保密通信子网络的量子通信密钥分发层之间通过裸光纤直连。

技术领域

本发明涉及量子通信网络的技术领域，更具体地，涉及不同量子保密通信网络对接的安全保护与隔离，及其组网结构与方法。

背景技术

不同通信网络之间的对接，必须考虑网络安全保护与隔离。网络安全保护与隔离是指在被保护网络和其他网络之间，插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵，提供扼守本网络的安全关卡。实现网络安全隔离，通常使用防火墙技术。

防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术，几乎所有的企业内部网络与外部网络(如因特网)相连接的边界都会部署防火墙，防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。

一般典型的网络安全保护与隔离组网方式，通常是在两个安全域即被保护网络和其他网络之间部署防火墙，组网方式如附图1所示。

防火墙设备系统本身都支持多物理端口，同时其物理端口还可以进一步支持通信协议如TCP/UDP/ICMP协议等。因此，安全域的划分既可通过网段的物理端口连接实现，也可以通过虚拟局域网VLAN虚拟端口方式连接。根据需要，可以将安全等级不同的网络划分在不同物理网段和逻辑VLAN中，然后将物理网段直接与防火墙不同的物理端口相连或将VLAN指定为防火墙系统的某个接口的逻辑子接口。这样，防火墙系统就成为了不同网段或者VLAN之间相互访问的唯一通道，所有跨网段或VLAN间的流量都要经过防火墙模块的检测，从而实现不同网络之间的安全隔离。

通常情况下，典型的量子保密通信网络为三层架构，分别为量子通信控制层、量子通信密钥管理层和量子通信密钥分发(生成)层，其中，量子通信控制层和量子通信密钥管理层组网方式和通信协议与经典网络相似，不同量子通信保密通信网络对接时可以通过经典路由连接，不同的量子通信网络对接时可以在两个网络之间增加部署路由器、防火墙等数据通信设备，以实现网络之间的安全隔离保护；而量子通信密钥分发(生成)层则必须通过裸光纤直连，即使不同网络量子密钥分发(生成)设备之间，也不可以部署防火墙等网络隔离设备。

因此，仅仅使用传统防火墙技术进行量子保密通信网络安全保护与隔离，组网方案存在局限性，即防火墙组网方式不能直接作为不同量子保密通信网络之间量子通信密钥分发(生成)层的安全隔离保护。

随着量子保密通信的迅猛发展，不同运营实体、不同设备商的量子保密通信网络之间的对接组网成为一种必然。而量子保密通信网络的重要特点之一，是量子密钥分发(生成)层的设备之间必须通过裸光纤直连，中间不能部署如路由器、防护墙等任何其他物理设备，这就给不同量子保密通信网络之间的对接组网带来安全保护与隔离问题。

发明内容

鉴于以上单纯基于防火墙技术组网方案的局限与不足，本发明运用量子设备鉴权，通过量子设备身份认证识别，并结合经典路由防火墙安全隔离保护技术，在实现不同量子保密通信网络量子密钥分发(生成)设备安全对接的同时，保障不同量子保密通信网络之间量子密钥分发(生成)层的安全保护和隔离。