專利名稱:在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法及無(wú)源光網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰的分發(fā)方法,尤其涉及一種在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法及無(wú)源光網(wǎng)絡(luò)。
背景技術(shù):
無(wú)源光網(wǎng)絡(luò)(Passive Optical Network,PON)由位于局端的光線路終端(OpticalLine Terminal, 0LT)和位于遠(yuǎn)端的光網(wǎng)絡(luò)單兀(Optical Network Unit, 0NU)和/或光網(wǎng)絡(luò)終端(Optical Network Terminal, 0NT)組成,并由光分配網(wǎng)絡(luò)(Optical DistributionNetwork, ODN)連接形成一個(gè)點(diǎn)到多點(diǎn)的網(wǎng)絡(luò)。OLT位于根節(jié)點(diǎn),通過(guò)ODN與各個(gè)0NU/0NT相連。PON技術(shù)始于20世紀(jì)80年代初,目前市場(chǎng)上的PON產(chǎn)品按采用的技術(shù),主要分為ATMPON/寬帶PON (ΑΡ0Ν/ΒΡ0Ν)、以太網(wǎng)PON (EPON)和千兆比特PON (GPON)幾種。隨著無(wú)源光網(wǎng)絡(luò)(Passive Optical Network, PON)的部署,對(duì)PON系統(tǒng)的安全可靠性的要求越來(lái)越高。其中能夠有效防范非法用戶對(duì)PON系統(tǒng)進(jìn)行偵聽(tīng)、業(yè)務(wù)盜用和惡意攻擊已成為PON系 統(tǒng)的一項(xiàng)重要功能。從上行方向看,PON是一個(gè)點(diǎn)到點(diǎn)的系統(tǒng),從下行方向上看,PON是一個(gè)點(diǎn)到多點(diǎn)的廣播系統(tǒng),OLT和ONT通過(guò)密鑰請(qǐng)求/獲取、數(shù)據(jù)加密,有效的防范了上下行方向上非法用戶的偵聽(tīng)、業(yè)務(wù)盜用和惡意攻擊。目前,傳統(tǒng)的無(wú)緣光網(wǎng)絡(luò)使用的密鑰是使用因特網(wǎng)信息交換(IKE)方案,所使用的密鑰都是在傳統(tǒng)的網(wǎng)絡(luò)上進(jìn)行信息交換后經(jīng)計(jì)算得到,傳統(tǒng)的網(wǎng)絡(luò)密鑰交換過(guò)程很容易遭到外界的攻擊,在安全上存在很大的風(fēng)險(xiǎn);另外IKE體系是建立在運(yùn)算復(fù)雜度的基礎(chǔ)上的,而這個(gè)運(yùn)算復(fù)雜度是無(wú)法理論證實(shí)是絕對(duì)安全可靠的,在遭到攻擊的時(shí)候,存在被攻破的可能,因此存在著很大的安全隱患??紤]到目前的PON系統(tǒng)空閑的光纖數(shù)目比較多,在現(xiàn)有的PON系統(tǒng)上借助于空閑光纖信道實(shí)施量子密鑰分發(fā)無(wú)需更改目前的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)線路,易于實(shí)施而且還能更充分的利用現(xiàn)有的PON系統(tǒng)資源,更有利于保障數(shù)據(jù)的安全傳輸。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)方案是針對(duì)上述現(xiàn)有技術(shù)中的無(wú)源光網(wǎng)絡(luò)密鑰系統(tǒng)所使用的密鑰在安全方面的不足,提供一種在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法以及一種無(wú)源光網(wǎng)絡(luò)。本發(fā)明在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法以及本發(fā)明無(wú)源光網(wǎng)絡(luò)能夠保證量子密鑰在傳輸過(guò)程中的絕對(duì)安全。為解決上述技術(shù)問(wèn)題,本發(fā)明采取的技術(shù)方案為一種在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,所述光線路終端和光網(wǎng)絡(luò)終端之間通過(guò)光分配網(wǎng)絡(luò)相連;其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)量子密鑰對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連,以建立光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰;每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連,以建立光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光纖通過(guò)連接接口與光分配網(wǎng)絡(luò)連接。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述連接接口為網(wǎng)絡(luò)接口、USB接口或者Serial 接口。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請(qǐng)求,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰;光線路終端和光 網(wǎng)絡(luò)終端獲取量子密鑰后,進(jìn)行量子密鑰同步處理;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致,則同步正確,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密和解密;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致,則同步不正確,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請(qǐng)求時(shí),根據(jù)量子密鑰管理算法,如果有可用的量子密鑰,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會(huì)話,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,需要更新量子密鑰時(shí),光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求;光線路終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光線路終端更新量子密鑰成功;光網(wǎng)絡(luò)終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光線路終端;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光網(wǎng)絡(luò)終端更新量子密鑰成功。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)一次一密的加密方式對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。為解決上述技術(shù)問(wèn)題,本發(fā)明采取的另一個(gè)技術(shù)方案為一種在無(wú)源光網(wǎng)絡(luò),包括光線路終端和光網(wǎng)絡(luò)終端;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò);其特征在于還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備;所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接,形成光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),每個(gè)量子密鑰分發(fā)設(shè)備分別通過(guò)光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接,形成光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光纖通過(guò)網(wǎng)絡(luò)接口、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接。本發(fā)明的有益效果是,可以在利用現(xiàn)有的無(wú)源光網(wǎng)絡(luò)上空閑的光纖上添加量子密鑰分發(fā)設(shè)備的同時(shí),確保通信數(shù)據(jù)在傳輸過(guò)程中的絕對(duì)安全,僅在傳統(tǒng)的無(wú)源光網(wǎng)絡(luò)中增加量子密鑰分發(fā)設(shè)備,結(jié)構(gòu)簡(jiǎn)單,而且充分有效的利用了現(xiàn)有的空余光纖資源,本發(fā)明適用于PON系統(tǒng)的各種應(yīng)用場(chǎng)合以及ATM PON/寬帶PON——ΑΡ0Ν/ΒΡ0Ν、以太網(wǎng)PON——EPON和千兆比特PON——GP0N,提高了 PON系統(tǒng)的可靠性。
圖1是應(yīng)用本發(fā)明的現(xiàn)有的無(wú)源光網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu) 圖2是在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的系統(tǒng)結(jié)構(gòu) 圖3是圖2中光線路終端如何通過(guò)量子密鑰分發(fā)設(shè)備獲取密鑰的工作序列 圖4是圖2中光網(wǎng)絡(luò)終端如何通過(guò)量子密鑰分發(fā)設(shè)備獲取密鑰的工作序列 圖5是針對(duì)圖3中光線路終端與光網(wǎng)絡(luò)終端獲取量子密鑰時(shí),量子密鑰分發(fā)設(shè)備配合光線路終端與光網(wǎng)絡(luò)終端使用完成密鑰管理、更新、使用的工作序列圖。下面結(jié)合附圖,通過(guò)對(duì)本發(fā)明的具體實(shí)施方式
做進(jìn)一步說(shuō)明。
具體實(shí)施例方式實(shí)施例1
參見(jiàn)圖2、圖3、圖4和圖5,本在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,所述光線路終端和光網(wǎng)絡(luò)終端之間通過(guò)光分配網(wǎng)絡(luò)相連;所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)量子密鑰對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)。作為優(yōu)選方案,所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連,以建立光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰;每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連,以建立光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰。所述光纖通過(guò)連接接口與光分配網(wǎng)絡(luò)連接。所述連接接口為網(wǎng)絡(luò)接口、USB接口或者Serial接口。所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請(qǐng)求,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰;光線路終端和光網(wǎng)絡(luò)終端獲取量子密鑰后,進(jìn)行量子密鑰同步處理;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致,則同步正確,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密和解密;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致,則同步不正確,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求。量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請(qǐng)求時(shí),根據(jù)量子密鑰管理算法,如果有可用的量子密鑰,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會(huì)話,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端。需要更新量子密鑰時(shí),光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求;光線路終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光線路終端更新量子密鑰成功;光網(wǎng)絡(luò)終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光線路終端;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光網(wǎng)絡(luò)終端更新量子密鑰成功。所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)一次一密的加密方式對(duì)需要在無(wú)源光網(wǎng) 絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。本實(shí)施例1的工作原理說(shuō)明及工作過(guò)程如下
本實(shí)施例中,無(wú)源光網(wǎng)絡(luò)也稱Ρ0Ν,光線路終端也稱0LT,光分配網(wǎng)絡(luò)也稱0DN,量子密鑰分發(fā)設(shè)備也稱QKD,光網(wǎng)絡(luò)終端也稱ONT ;圖1是圖解應(yīng)用本發(fā)明的無(wú)源光網(wǎng)絡(luò)的結(jié)構(gòu)的框圖。PON具有點(diǎn)到多點(diǎn)的樹(shù)結(jié)構(gòu),即P2MP結(jié)構(gòu)。然而,PON不具有網(wǎng)絡(luò)結(jié)構(gòu)。邏輯上,盡管其物理上具有P2MP結(jié)構(gòu),但PON只具有點(diǎn)到點(diǎn)結(jié)構(gòu),即P2P結(jié)構(gòu)。換言之,所有光網(wǎng)絡(luò)終端,即ONTl到0ΝΤΝ,被連接到單個(gè)光線路終端,即0LT。所以O(shè)NTl到ONTN中的每一個(gè)光網(wǎng)絡(luò)終端需要建立一條通道來(lái)與OLT通信。圖2是在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的系統(tǒng)結(jié)構(gòu)圖。結(jié)合圖1所述ONTl到ONTN中的每一個(gè)光網(wǎng)絡(luò)終端需要建立一條通道來(lái)與光線路終端通信,這樣就可以在不改變?cè)械南到y(tǒng)結(jié)構(gòu)的情況下加入量子密鑰分發(fā)設(shè)備。在PON上實(shí)施量子密鑰分發(fā)的系統(tǒng)的結(jié)構(gòu)包括光線路終端、光分配網(wǎng)絡(luò),還包括光網(wǎng)絡(luò)終端,即ONTl到0ΝΤΝ,他們之間通過(guò)光纖隧道相連;相應(yīng)的還包括與量子密鑰分發(fā)設(shè)備,即QKDl到QKDNN+1,QKD之間通過(guò)光纖分別與光分配網(wǎng)絡(luò)相連,OLT通過(guò)網(wǎng)絡(luò)接口、USB接口、Serial接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌谂cQKDl相連,以建立光線路量子密鑰讀取通道;0NT1到ONTN通過(guò)網(wǎng)絡(luò)接口、USB接口、Serial接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌诜謩e與QKD2到QKDN+1相連,以建立光網(wǎng)絡(luò)量子密鑰讀取通道。光線路中端和光網(wǎng)絡(luò)終端對(duì)需要在PON上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密,力口密所使用的量子密鑰從量子密鑰分發(fā)設(shè)備QKDl到QKDN獲取。在通信數(shù)據(jù)傳輸過(guò)程中,根據(jù)量子力學(xué)特性,密鑰是安全可靠的,是無(wú)法被第三方竊取的。在圖2、圖3和圖4中,光線路終端和光網(wǎng)絡(luò)終端通過(guò)網(wǎng)絡(luò)接口、USB接口、Serial接口等任何可以進(jìn)行數(shù)據(jù)通信的接口與量子密鑰分發(fā)設(shè)備相連,建立光線路量子密鑰讀取通道和光網(wǎng)絡(luò)量子密鑰讀取通道,然后分別在光線路量子密鑰讀取通道和光網(wǎng)絡(luò)量子密鑰讀取通道上傳輸QKD產(chǎn)生的量子密鑰。OLT向QKDl發(fā)送量子密鑰請(qǐng)求建立連接,從QKDl獲取量子密鑰,ONTU 0NT2或ONTN向QKD2、QKD3或QKDN+1發(fā)送量子密鑰請(qǐng)求建立連接,從QKD2、QKD3或QKDN+1獲取密鑰,OLT與0NT1、0NT2或0NTN+1進(jìn)行量子密鑰同步,確定獲取的量子密鑰是相同的量子密鑰對(duì),如果同步正確,無(wú)源光網(wǎng)絡(luò)用獲取的量子密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密、解密。如圖5所示,QKDl在收到量子密鑰請(qǐng)求時(shí),根據(jù)密鑰管理算法,分配合適的量子密鑰,如果有可用的量子密鑰,就發(fā)送量子密鑰給光線路終端,在量子密鑰獲取的過(guò)程中,光線路終端在協(xié)商新量子密鑰的同時(shí),仍然用舊的量子密鑰繼續(xù)保持光線路終端工作,新量子密鑰的同步是在舊的量子密鑰建立的安全通道中完成的。OLT的量子密鑰需要周期性的更換,光線路終端在量子密鑰更換周期到的時(shí)候,需要更新量子密鑰,光線路終端向QKDl發(fā)量子密鑰請(qǐng)求,在正確獲取量子密鑰后,光線路終端將得到的量子密鑰順序號(hào)和Md5校驗(yàn)值告訴光網(wǎng)絡(luò)終端,光網(wǎng)絡(luò)終端根據(jù)接收到的順序號(hào)和Md5校驗(yàn)值向QKD2讀取量子密鑰,讀取到量子密鑰后,比較讀取的量子密鑰的Md5值和收到的是否一致,如果一致,光網(wǎng)絡(luò)終端回應(yīng)確認(rèn)量子密鑰獲取成功,表明這次量子密鑰更新獲取成功;否則回應(yīng)量子密鑰獲取失敗。 在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)需要無(wú)源光網(wǎng)絡(luò)的光線路終端以及一個(gè)或多個(gè)光網(wǎng)絡(luò)終端,OLT和ONT之間通過(guò)光分配網(wǎng)絡(luò)相連,還包括一對(duì)一或一對(duì)多的量子密鑰分發(fā)設(shè)備,即QKD1、QKD2、直至QKDN +1,量子密鑰分發(fā)設(shè)備之間通過(guò)光纖相連。在本實(shí)施例中,量子密鑰是通過(guò)量子密鑰分發(fā)設(shè)備由一方產(chǎn)生并傳輸?shù)搅硪环?,且量子密鑰分發(fā)設(shè)備傳輸密鑰的通道是光纖。光線路終端和光網(wǎng)絡(luò)終端向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求,并從量子密鑰分發(fā)設(shè)備獲得量子密鑰后,0LT、0NT雙方進(jìn)行量子密鑰同步,確定獲取的量子密鑰是否一致,如果同步正確,用獲取的量子密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密、解密;如果同步不正確,重新請(qǐng)求聯(lián)邦量子密鑰。量子密鑰分發(fā)設(shè)備在收到光線路終端的量子密鑰請(qǐng)求時(shí),根據(jù)量子密鑰管理算法,分配合適的量子密鑰,如果有可用的量子密鑰,就發(fā)送量子密鑰給0LT,在量子密鑰獲取的過(guò)程中,OLT需要和QKD建立一個(gè)會(huì)話。OLT在協(xié)商新量子密鑰的同時(shí),仍舊用舊的量子密鑰繼續(xù)保持工作,新量子密鑰的同步是在舊的密鑰建立的安全通道中完成的。OLT的量子密鑰需要周期性的更換,OLT在量子密鑰更換周期到的時(shí)候,就需要更新量子密鑰,OLT向QKD發(fā)送量子密鑰請(qǐng)求,在正確獲取量子密鑰后,OLT將得到的量子密鑰順序號(hào)和Md5校驗(yàn)值告訴光網(wǎng)絡(luò)終端,ONT根據(jù)接收到的順序號(hào)向QKD讀取量子密鑰,讀取到量子密鑰后比較讀取的量子密鑰的Md5值和收到的是否一致,如果一致,ONT回應(yīng)確認(rèn)量子密鑰獲取成功(0K),表示這次量子密鑰更新獲取成功;如果不一致,表示OLT與ONT得到的量子密鑰不同,需要重新請(qǐng)求量子密鑰。同樣地,量子密鑰分發(fā)設(shè)備在收到光網(wǎng)絡(luò)終端的量子密鑰請(qǐng)求時(shí),根據(jù)量子密鑰管理算法,分配合適的量子密鑰,如果有可用的量子密鑰,就發(fā)送量子密鑰給0ΝΤ,在量子密鑰獲取的過(guò)程中,ONT需要和QKD建立一個(gè)會(huì)話。ONT在協(xié)商新量子密鑰的同時(shí),仍舊用舊的量子密鑰繼續(xù)保持工作,新量子密鑰的同步是在舊的量子密鑰建立的安全通道中完成的。ONT的量子密鑰需要周期性的更換,ONT在量子密鑰更換周期到的時(shí)候,就需要更新量子密鑰,ONT向QKD發(fā)送量子密鑰請(qǐng)求,在正確獲取量子密鑰后,ONT將得到的量子密鑰順序號(hào)和Md5校驗(yàn)值告訴光線路終端,OLT根據(jù)接收到的順序號(hào)向QKD讀取量子密鑰,讀取到量子密鑰后比較讀取的量子密鑰的Md5值和收到的是否一致,如果一致,ONT回應(yīng)確認(rèn)量子密鑰獲取成功,表示這次量子密鑰更新獲取成功;如果不一致,表示OLT與ONT得到的量子密鑰不同,需要重新請(qǐng)求量子密鑰。
成功獲取到量子密鑰后,采用量子密鑰對(duì)傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密,并且實(shí)行一次一密或分組的加密方式,保障通信數(shù)據(jù)的絕對(duì)安全。進(jìn)一步地,在量子密鑰傳輸?shù)倪^(guò)程中,根據(jù)量子力學(xué)特性,量子密鑰傳輸過(guò)程是無(wú)法被攻破的,即使遭到外部攻擊,攻擊也很容易就被發(fā)現(xiàn)。因此采用了量子密鑰分發(fā)技術(shù)后任何第三方想截獲量子密鑰都是不可能的。在實(shí)施量子密鑰分發(fā)的無(wú)源光網(wǎng)絡(luò)中,取代傳統(tǒng)的密鑰獲取方式,量子密鑰獲取是通過(guò)量子密鑰分發(fā)設(shè)備由一方傳輸?shù)搅硪环?,且量子密鑰分發(fā)設(shè)備傳輸量子密鑰的通道是光纖。在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)是在原有的無(wú)源光網(wǎng)絡(luò)基礎(chǔ)上做一些改動(dòng),包括在原有的無(wú)源光網(wǎng)絡(luò)體系中,加入量子密鑰注入模塊,此量子密鑰注入模塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備讀取密鑰,并且實(shí)行一次一密或分組的加密方式,量子密鑰是無(wú)法被第三方竊取的和完全破譯的,從而保障數(shù)據(jù)的絕對(duì)安全。實(shí)施例2參見(jiàn)圖2、圖3、圖4和圖5,本無(wú)源光網(wǎng)絡(luò),包括光線路終端和光網(wǎng)絡(luò)終端;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò);還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備;所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接,形成光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),每個(gè)量子密鑰分發(fā)設(shè)備分別通過(guò)光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接,形成光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。所述光纖通過(guò)網(wǎng)絡(luò)接口、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接。本實(shí)施例的工作原理說(shuō)明及工作過(guò)程與實(shí)施例1相同,不再詳述。
權(quán)利要求
1.一種在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,所述光線路終端和光網(wǎng)絡(luò)終端之間通過(guò)光分配網(wǎng)絡(luò)相連;其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)量子密鑰對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)。
2.根據(jù)權(quán)利要求1所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于 所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連,以建立光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰; 每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),所述量子密鑰分發(fā)設(shè)備通過(guò)光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連,以建立光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰。
3.根據(jù)權(quán)利要求2所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于所述光纖通過(guò)連接接口與光分配網(wǎng)絡(luò)連接。
4.根據(jù)權(quán)利要求3所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于所述連接接口為網(wǎng)絡(luò)接口、USB接口或者Serial接口。
5.根據(jù)權(quán)利要求2或3或4所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于 所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請(qǐng)求,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰;光線路終端和光網(wǎng)絡(luò)終端獲取量子密鑰后,進(jìn)行量子密鑰同步處理;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致,則同步正確,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對(duì)通信數(shù)據(jù)進(jìn)行加密和解密;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致,則同步不正確,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求。
6.根據(jù)權(quán)利要求5所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于 量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請(qǐng)求時(shí),根據(jù)量子密鑰管理算法,如果有可用的量子密鑰,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會(huì)話,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端。
7.根據(jù)權(quán)利要求6所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于 需要更新量子密鑰時(shí),光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請(qǐng)求; 光線路終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光線路終端更新量子密鑰成功; 光網(wǎng)絡(luò)終端在獲取新的量子密鑰后,將新的量子密鑰的順序號(hào)和Md5校驗(yàn)值發(fā)送給另一端的光線路終端;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號(hào)向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光網(wǎng)絡(luò)終端更新量子密鑰成功。
8.根據(jù)權(quán)利要求1所述在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)一次一密的加密方式對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。
9.一種在無(wú)源光網(wǎng)絡(luò),包括光線路終端和光網(wǎng)絡(luò)終端;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò);其特征在于 還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備; 所述光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),量子密鑰分發(fā)設(shè)備通過(guò)光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接,形成光線路量子密鑰讀取通道,光線路終端通過(guò)光線路量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密; 每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),每個(gè)量子密鑰分發(fā)設(shè)備分別通過(guò)光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接,形成光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過(guò)光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過(guò)獲取的量子密碼對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。
10.根據(jù)權(quán)利要求9所述的無(wú)源光網(wǎng)絡(luò),其特征在于所述光纖通過(guò)網(wǎng)絡(luò)接口、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接。
全文摘要
本發(fā)明公開(kāi)了一種在無(wú)源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,光線路終端和/或光網(wǎng)絡(luò)終端通過(guò)量子密鑰對(duì)需要在無(wú)源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)。本發(fā)明還公開(kāi)了一種無(wú)源光網(wǎng)絡(luò),光線路終端和光網(wǎng)絡(luò)終端之間連接光分配網(wǎng)絡(luò);光線路終端與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),光線路終端通過(guò)量子密碼通信數(shù)據(jù)進(jìn)行加密和解密;每個(gè)光網(wǎng)絡(luò)終端分別與一個(gè)量子密鑰分發(fā)設(shè)備相對(duì)應(yīng),光網(wǎng)絡(luò)終端通過(guò)量子密碼對(duì)通信數(shù)據(jù)進(jìn)行加密和解密。本發(fā)明借助于量子力學(xué)特性,量子密鑰傳輸過(guò)程是無(wú)法被攻破的,即使遭到外部攻擊,也很容易就被發(fā)現(xiàn);采用量子密鑰對(duì)數(shù)據(jù)進(jìn)行加密,實(shí)行一次一密的加密方式,可以保障數(shù)據(jù)絕對(duì)安全。
文檔編號(hào)H04B10/85GK103023579SQ201210519290
公開(kāi)日2013年4月3日 申請(qǐng)日期2012年12月7日 優(yōu)先權(quán)日2012年12月7日
發(fā)明者李大偉, 苗春華 申請(qǐng)人:安徽問(wèn)天量子科技股份有限公司