一种量子通信网络的安全组网结构及其方法
技术领域
本发明涉及量子通信网络的技术领域,更具体地,涉及不同量子保密通信网络对接的安全保护与隔离,及其组网结构与方法。
背景技术
不同通信网络之间的对接,必须考虑网络安全保护与隔离。网络安全保护与隔离是指在被保护网络和其他网络之间,插入一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵,提供扼守本网络的安全关卡。实现网络安全隔离,通常使用防火墙技术。
防火墙是一个由计算机硬件和软件组成的系统,部署于网络边界,是内部网络和外部网络之间的连接桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全。防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术,几乎所有的企业内部网络与外部网络(如因特网)相连接的边界都会部署防火墙,防火墙能够起到安全过滤和安全隔离外网攻击、入侵等有害的网络安全信息和行为。
一般典型的网络安全保护与隔离组网方式,通常是在两个安全域即被保护网络和其他网络之间部署防火墙,组网方式如附图1所示。
防火墙设备系统本身都支持多物理端口,同时其物理端口还可以进一步支持通信协议如TCP/UDP/ICMP协议等。因此,安全域的划分既可通过网段的物理端口连接实现,也可以通过虚拟局域网VLAN虚拟端口方式连接。根据需要,可以将安全等级不同的网络划分在不同物理网段和逻辑VLAN中,然后将物理网段直接与防火墙不同的物理端口相连或将VLAN指定为防火墙系统的某个接口的逻辑子接口。这样,防火墙系统就成为了不同网段或者VLAN之间相互访问的唯一通道,所有跨网段或VLAN间的流量都要经过防火墙模块的检测,从而实现不同网络之间的安全隔离。
通常情况下,典型的量子保密通信网络为三层架构,分别为量子通信控制层、量子通信密钥管理层和量子通信密钥分发(生成)层,其中,量子通信控制层和量子通信密钥管理层组网方式和通信协议与经典网络相似,不同量子通信保密通信网络对接时可以通过经典路由连接,不同的量子通信网络对接时可以在两个网络之间增加部署路由器、防火墙等数据通信设备,以实现网络之间的安全隔离保护;而量子通信密钥分发(生成)层则必须通过裸光纤直连,即使不同网络量子密钥分发(生成)设备之间,也不可以部署防火墙等网络隔离设备。
因此,仅仅使用传统防火墙技术进行量子保密通信网络安全保护与隔离,组网方案存在局限性,即防火墙组网方式不能直接作为不同量子保密通信网络之间量子通信密钥分发(生成)层的安全隔离保护。
随着量子保密通信的迅猛发展,不同运营实体、不同设备商的量子保密通信网络之间的对接组网成为一种必然。而量子保密通信网络的重要特点之一,是量子密钥分发(生成)层的设备之间必须通过裸光纤直连,中间不能部署如路由器、防护墙等任何其他物理设备,这就给不同量子保密通信网络之间的对接组网带来安全保护与隔离问题。
发明内容
鉴于以上单纯基于防火墙技术组网方案的局限与不足,本发明运用量子设备鉴权,通过量子设备身份认证识别,并结合经典路由防火墙安全隔离保护技术,在实现不同量子保密通信网络量子密钥分发(生成)设备安全对接的同时,保障不同量子保密通信网络之间量子密钥分发(生成)层的安全保护和隔离。
为实现上述技术目的,本发明提供一种量子通信网络的组网结构,所述量子通信网络包括至少两个不同的量子保密通信子网络,所述量子保密通信子网络每个均包括:路由器、防火墙、量子通信控制层、量子通信密钥管理层、和量子通信密钥分发层,其特征在于,所述量子通信网络还包括量子网络对接协同管理系统,该量子网络对接协同管理系统包括认证鉴权模块与接口模块,其中所述认证鉴权模块设置为对各个不同的量子保密通信子网络接入的设备进行认证与鉴权,所述接口模块设置为与所述量子通信控制层进行连接并通信,所述认证鉴权模块与所述接口模块连接、并通过所述接口模块与各个不同的量子保密通信子网络的量子通信控制层进行通信以对接入量子通信网络的设备进行认证与鉴权;其中,所述量子通信密钥分发层包括成对部署的发射端设备和接收端设备;其中,各个不同的量子保密通信子网络的量子通信密钥分发层之间通过裸光纤直连。
根据本发明的一个实施例,所述防火墙部署在不同量子保密通信子网络的边界,用于各个不同的量子保密通信子网络之间的连接与安全控制;所述量子通信控制层设置为对量子设备进行管理、量子密钥生成控制、量子密钥路由计算、应用会话管理、本地管理、网络管理;所述量子通信密钥管理层受控于量子通信控制层,其一方面控制量子设备进行量子密钥生成并对量子密钥进行管理,另一方面为应用层提供量子密钥,并支撑应用层对业务应用数据进行量子保密传输;所述量子通信密钥分发层受控于量子通信控制层,实施量子密钥的生成、传输以及管理。优选地,所述量子通信控制层、所述量子通信密钥管理层、和所述量子通信密钥分发层是依次从上至下的三层结构,其中,所述量子通信控制层为最上层并向上与所述量子网络对接协同管理系统和/或业务应用层连接;所述量子通信密钥管理层为中间层,向上连接所述量子通信控制层,向下连接所述量子通信密钥分发层;所述量子通信密钥分发层为最下层并向下连接包括发射端设备和接收端设备的量子密钥传输设备。
根据本发明的一个优选的实施例,所述量子通信网络包括一个量子网络对接协同管理系统,该量子网络对接协同管理系统部署在所述量子保密通信子网络中的一个的内部。
可替换地,所述量子通信网络包括多个量子网络对接协同管理系统,每个量子网络对接协同管理系统部署在不同的量子保密通信子网络的内部。
优选地,所述量子网络对接协同管理系统部署在防火墙的内部。
根据本发明的另一个优选的实施例,所述量子网络对接协同管理系统包括业务处理层、消息分发层和接口层,其中,所述业务处理层包括计费模块、认证鉴权模块和业务分析模块;所述消息分发层被设置为实现接口层和业务处理层的消息分发;所述接口层包括接口模块、本地管理模块和网管模块。
本发明还涉及一种量子通信网络的组网方法,所述量子通信网络基于如上述的量子通信网络的组网结构,其特征在于,所述组网方法包括以下步骤:
-规划设备识别码:统一规划所述量子通信网络所包含的各个不同的量子保密通信子网络的发射端设备和接收端设备的设备识别码;
-配置设备识别码:各个不同的量子保密通信子网络在其量子通信密钥分发层的发射端设备和接收端设备上配置本端设备识别码及对端设备识别码;在量子通信密钥管理层分别配置与储存本端量子密钥分发层设备的识别码;在量子通信密钥控制层分别配置与储存本端量子密钥分发层设备的识别码;网络对接协同管理系统的认证鉴权模块配置储存各个不同的量子保密通信子网络的设备识别码;
-生成认证证书:量子通信密钥分发层的发射端设备和接收端设备通过设备识别码生成数字认证证书,用于设备鉴权认证;
-认证鉴权:量子通信密钥分发层和量子通信密钥管理层以及量子通信控制层之间通过SSL或私有协议完成设备认证,量子通信控制层与量子网络对接协同管理系统之间通过SSL协议进行认证,量子网络对接协同管理系统通过量子通信控制层数据包解析量子通信密钥分发层设备识别码和认证证书信息并经认证鉴权模块比对,完成各个不同的量子保密通信子网络的量子通信密钥分发层设备认证鉴权;
-配置业务路由:将两个不同的量子保密通信子网络的、待建立通信的量子通信密钥分发层之间的业务流规划为同一路由,该两个量子通信密钥分发层所有业务流路由配置指定的网段范围,从而形成一个虚拟局域网1(VLAN1);将两个不同的量子保密通信子网络的量子通信密钥管理层和控制层之间的业务、以及控制层与量子网络对接协同管理系统之间的业务流规划为同一路由,这些层所有业务流路由配置指定的网段范围,从而形成另一个虚拟局域网2(VLAN2);两个所述虚拟局域网的业务流独立分开;
-配置防火墙策略:针对不同的业务流,将防火墙分为至少2个虚拟墙,包括虚拟墙1和虚拟墙2;虚拟墙1的服务资源面向量子通信密钥分发层虚拟局域网1(VLAN1)的业务流端口,虚拟墙2的服务资源面向量子通信密钥管理层、控制层和量子网络对接协同管理系统的虚拟局域网2(VLAN2)的业务流端口。
优选地,防火墙访问控制采用保守的安全策略,只接收允许的行为,凡是未被允许的行为均被拒绝。
由此,通过VLAN和虚拟防火墙,保证本端量子密钥分发(生成)和对端量子密钥分发(生成)层完成设备相互鉴权认证及经典链路建立的过程安全,从而在实现网络之间经典路由互通的基础上,并保障网络之间安全保护与隔离。与此同时,本端量子密钥分发(生成)层和对端量子密钥分发(生成)层之间直连的裸光纤,只传输光量子,不承载任何经典数据通信协议信息,从而在实现量子密钥的生成与分发的基础上,保障网络之间安全保护与隔离。
附图说明
通过阅读以下仅作为示例给出(而并无任何限制性的)并参考附图的实施例,将更好地理解本发明,其中:
图1为现有技术中经典网络安全组网示意图。
图2为根据本发明一个具体实施例的量子保密通信网络的组网结构示意图。
图3为根据本发明的量子网络对接协同管理系统与量子通信密钥控制层之间对接的示意图。
图4为根据本发明的组网方法的量子设备鉴权与建链流程示意图。
具体实施方式
下面结合附图和实施例对本发明的技术方案做进一步的说明。
现在结合附图2与图3对本发明的一个具体实施例进行描述,其为量子保密通信网络对接的典型场景:量子保密通信骨干网(子网络A)和量子保密通信城域网(子网络B)的对接。
图2示出了两个不同的量子保密通信子网络(A与B)的组网结构及方案,每个量子保密通信子网络均包括路由器、防火墙、量子通信密钥控制层、量子通信密钥管理层、和量子通信密钥分发(生成)层,以及具备认证鉴权功能的量子网络对接协同管理系统硬件设备(其具体细节在图3中示出)。
所示路由器是连接两个或多个网络的硬件设备,在网络间起网关的作用,是读取每一个数据包中的地址然后决定如何传送的专用智能性的网络设备;所述防火墙部署于不同量子通信网络边界,用于网络之间的连接,同时对进出量子保密通信网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,保障内部网络数据的安全;所述的量子通信密钥控制层位于不同量子保密通信网络内部,用于量子设备管理、量子密钥生成控制、量子密钥路由计算、应用会话管理、本地管理、网络管理等;所述的量子通信密钥管理层位于不同量子保密通信网络内部,受控于量子通信中心控制的,其作用一方面控制量子层设备进行量子密钥生成并对量子密钥进行管理,另一方面向应用层提供量子密钥,并支撑应用层对业务应用数据进行量子保密传输;所述的量子通信密钥分发(生成)层位于不同量子保密通信网络内部,受控于量子通信中心控制的,其作用即量子密钥的生成、传输以及密钥管理设备,在该层不同量子保密通信网络的设备需要成对部署(分发射端设备和接收端设备)并通过裸光纤直连。
图3所示量子网络协同管理系统可以部署在A子网络,也可以部署在B子网络,也可以在AB子网络同时部署,本方案中量子网络协同管理系统部署在A子网络。该系统由业务处理层、消息分发层和接口层组成。业务处理层包括计费服务、认证鉴权服务和业务分析服务等。其中认证鉴权服务及认证鉴权模块,负责对不同量子网络的接入设备进行认证和鉴权。消息分发层及消息队列,主要实现接口层和业务处理层的消息分发,消息通信采用AMQP协议。接口层包括接口服务、本地管理和网管服务,其中接口服务及模块负责与不同量子保密通信网络的控制层进行连接和通信,完成系统内外的消息转发。
根据本发明的量子通信网络的组网方法,基于如上描述的组网方案结构,可包括以下的步骤:
一、规划设备识别码:两个量子保密通信网络在量子通信密钥分发(生成)层成对部署的发射端设备和接收端设备统一规划设备识别码。
二、配置设备识别码:两个量子保密通信网络在量子通信密钥分发(生成)层即量子通信密钥分发(生成)层A和量子通信密钥分发(生成)层B的发射端设备和接收端设备上,配置自身设备识别码及对端设备识别码;在量子通信密钥管理层A和量子通信密钥管理层B的设备上分别配置储存本端量子密钥分发(生成)层设备的识别码;在量子通信密钥控制层A和量子通信密钥控制层B的设备上分别配置储存本端量子密钥分发(生成)层设备的识别码;网络对接协同管理系统认证鉴权服务模块配置储存两端设备识别码。
三、生成认证证书:量子通信密钥分发(生成)层即量子通信密钥分发(生成)层A和量子通信密钥分发(生成)层B的发射端设备和接收端设备通过设备识别码生成数字认证证书,用于设备鉴权认证。
四、认证鉴权机制:量子通信密钥分发(生成)层和量子通信密钥管理层及量子通信密钥控制层之间通过SSL或私有协议完成设备认证,量子通信密钥控制层与量子网络对接协同管理系统之间通过SSL协议进行认证。量子网络对接协同管理系统通过量子通信密钥控制层数据包解析量子通信密钥分发(生成)层设备识别码和认证证书信息并经认证鉴权模块比对,完成两端量子通信密钥分发(生成)层设备认证鉴权。
五、配置业务路由:两个量子保密通信网络的量子通信密钥分发(生成)层业务流即量子通信密钥分发(生成)层A和量子通信密钥分发(生成)层B的业务流规划为同一路由,该层所有业务流路由配置指定的网段范围,形成一个VLAN1;两个量子保密通信网络的量子通信密钥管理层和控制层之间的业务,以及控制层与量子网络对接协同管理系统之间的业务流规划为同一路由,该层所有业务流路由配置指定的网段范围,形成另外一个VLAN2;量子通信密钥分发(生成)层与量子通信密钥管理层和控制层两个VLAN的业务流独立分开。
六、配置防火墙策略:针对不同的业务流,将防火墙分为至少2个虚拟墙,包括虚拟墙1和虚拟墙2;虚拟墙1的服务资源面向量子通信密钥分发(生成)层VLAN1的业务流端口,虚拟墙2的服务资源面向量子通信密钥管理层、控制层和量子网络对接协同管理系统VLAN2的业务流端口;防火墙访问控制采用保守的安全策略,即只接收允许的行为,凡是未被允许的行为均被拒绝。防火墙具体安全策略见附表一。
表一 防火墙安全策略
进一步地,在如上所述的步骤过程中,设备认证鉴权及建链过程可参见附图4,具体流程如下:
1.量子密钥分发(生成)层A向量子密钥管理层A发送身份识别信息。
2.量子密钥管理层A向量子密钥控制层A发送问候消息。
3.量子密钥控制层A向量子密钥管理层A返回问候消息。
4.量子密钥控制层A向量子密钥管理层A发送证书消息。
5.量子密钥控制层A向量子密钥管理层A发送证书请求。
6.量子密钥管理层A向量子密钥控制层A返回证书消息。
7.量子密钥控制层A向量子密钥管理层A发送证书识别消息。
8.量子密钥控制层A向量子密钥管理层A发送完成消息。
9.量子密钥控制层A向网络对接协同管理系统发送问候消息。
10.网络对接协同管理系统向量子密钥控制层A返回问候消息。
11.网络对接协同管理系统向量子密钥控制层A发送证书消息。
12.网络对接协同管理系统向量子密钥控制层A发送证书请求。
13.量子密钥控制层A向网络对接协同管理系统返回证书消息。
14.网络对接协同管理系统向量子密钥控制层A发送证书识别消息。
15.网络对接协同管理系统向量子密钥控制层A发送完成消息。
16.量子密钥分发(生成)层B与网络对接协同管理系统之间的流程和量子密钥分发(生成)层A与网络对接协同管理系统之间的流程相同。。
17.量子密钥控制层A向量子密钥控制层B发送经典网络建链请求。
18.量子密钥控制层B向量子密钥控制层A返回经典网络建链完成消息。
19.量子密钥控制层A向量子密钥分发(生成)层A发送网络监听命令。
20.量子密钥分发(生成)A向量子密钥控制层A返回网络监听响应。
21.量子密钥控制层B向量子密钥分发(生成)层B下发网络连接命令。
22.量子密钥分发(生成)层B向量子密钥分发(生成)层A返回网络建链完成消息。
23.量子密钥分发(生成)层A和量子密钥分发(生成)层B进入异常监控状态。
由此,本发明技术方案具有以下三个优点:一、通过部署量子网络对接协同管理系统完成两端量子密钥分发(生成)层的设备鉴权认证;二、通过划分VLAN和设置虚拟防火墙,保障两端设备互相鉴权认证和经典链路建立,从而在实现网络之间经典路由互通的基础上,保障网络之间安全保护与隔离;三、量子密钥分发(生成)A和量子密钥分发(生成)层B之间直连的裸光纤,只传输光量子,不承载任何经典数据通信协议信息,从而在实现量子密钥的生成与分发的基础上,保障网络之间安全保护与隔离。
显然,本发明的上述实施例仅是为清楚地说明本发明所作的举例,而并非是对本发明的实施方式的限定。对于所属领域的普通技术人员来说,在上述说明的基础上还可以做出其它不同形式的变化或变动。这里无需也无法对所有的实施方式予以穷举。凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明权利要求的保护范围之内。
术语列表
VLAN:虚拟局域网
