[发明专利]实现量子安全加密的城域网系统

说明书

本发明提供一种实现量子安全加密的城域网系统，所述城域网系统包括IP城域网和量子密钥分发城域网，所述IP城域网是通过MPLS技术组建的数据传输网，为企业用户提供VPN组网；所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。本发明的城域网系统使得在城域网中传输数据得到保护，防止对网络资源的非法访问，对网络传输的窃听和破坏，保护网络使用者的合法利益。

技术领域

本发明涉及通信安全领域，具体涉及一种实现量子安全加密的城域网系统。

背景技术

上世纪九十年代以来，科学家开始了量子密码的研究。量子密钥分发(QKD)技术基于“海森堡测不准原理”和“量子不可复制原理”，使用每比特单光子传输随机数，由此发送端和接收端能够产生相同随机数密钥。量子密钥分发不依赖于计算的复杂性来保证通信安全，而是基于量子力学基本原理，量子密码系统的安全性不会受到计算能力和数学水平的不断提高的威胁。近几年，国内量子密钥分发技术已经得到全国范围的广泛应用。

近年来，随着城域网组网技术的不断发展，在城域网上开展的业务逐渐多样化。同时，越来越多的新型互联网业务对城域网的安全性也有了更高的要求，如：电子政务、电子商务、企业分支互联、远程办公等业务对数据传输提出了很高的加密要求。

MPLS(Multi-Protocol Label Switching)技术已成为目前主流的城域网方案，其组建的逻辑隔离网络为多样化的应用开展提供了平台。MPLS(Multi-Protocol LabelSwitching)VPN(Virtual Private Network)技术利用了开放的MPLS网络建立专用的数据传输通道，为企业的远程分支机构互联提供虚拟专用网络。MPLS通过路由的控制来实现了网络的隔离，相对于传统的IP网络有了较高的安全性，但是MPLS VPN在路由信息交换及数据传输时仍然存在被攻击的可能。数据在MPLS网络传输过程中，没有经过加密处理，无法保证数据的安全性。

目前，互联网中主流的数据加密通信方案是IPsec(Internet ProtocolSecurity)。IPSec是IETF制定的为保证在Internet上传送数据的安全保密性能的三层隧道加密协议。IPSec在IP层对IP报文提供安全服务。IPSec协议本身定义了如何在IP数据包中增加字段来保证IP包的完整性、私有性和真实性，以及如何加密数据包。使用IPsec，数据就可以安全地在公网上传输。IPsec提供了两个主机之间、两个安全网关之间或主机和安全网关之间的保护。IPsec对传输中数据加密所获取的密钥主要通过IKE(Internet KeyExchange)生成，IKE协议通常采用SHA-1和MD5作为消息完整性算法，采用预共享密钥、RSA加密nonce或RSA签名作为对等体的鉴别方法，采用Diffie-Hellman算法作为会话密钥协商算法，采用DES、3DES或AES作为数据加密算法。从数学层面来看，只要掌握了合适的方法，任何密码都可以破译，无非就是所需时间的问题。随着高性能计算技术的发展，尤其是在量子计算环境下，RSA、ECC等非对称加密算法都将可能在短时间内被破译。

发明内容

目前通过MPLS技术组建的IP城域网并不具备数据加密机制和用户的认证功能，所以它无法提供数据安全服务，无法满足结构复杂、安全性要求高的企业商用需求。为了解决上述问题，本发明提供一种实现量子安全加密的城域网系统，所述城域网系统包括IP城域网和量子密钥分发城域网，所述IP城域网是通过MPLS技术组建的数据传输网，为企业用户提供VPN组网；所述量子密钥分发城域网为企业用户的通信提供加密所需的量子密钥。

在一种实施方式中，在所述IP城域网中部署具有量子密钥加密功能的用户网络边缘设备，该设备支持扩展使用量子密钥，采用IPsec的加密通信机制，实现接入用户的量子安全通信；和，所述用户网络边缘设备通过量子密钥分发系统安全接口接入所述量子密钥分发城域网，获取对称量子密钥对，用于IPsec VPN的协商及会话加密过程。