專利名稱:在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法及無源光網(wǎng)絡(luò)的制作方法
技術(shù)領(lǐng)域:
本發(fā)明涉及通訊領(lǐng)域在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰的分發(fā)方法,尤其涉及一種在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法及無源光網(wǎng)絡(luò)�����。
背景技術(shù):
無源光網(wǎng)絡(luò)(Passive Optical Network,PON)由位于局端的光線路終端(OpticalLine Terminal, 0LT)和位于遠(yuǎn)端的光網(wǎng)絡(luò)單兀(Optical Network Unit, 0NU)和/或光網(wǎng)絡(luò)終端(Optical Network Terminal, 0NT)組成�����,并由光分配網(wǎng)絡(luò)(Optical DistributionNetwork, ODN)連接形成一個點(diǎn)到多點(diǎn)的網(wǎng)絡(luò)。OLT位于根節(jié)點(diǎn)�,通過ODN與各個0NU/0NT相連。PON技術(shù)始于20世紀(jì)80年代初��,目前市場上的PON產(chǎn)品按采用的技術(shù)�����,主要分為ATMPON/寬帶PON (ΑΡ0Ν/ΒΡ0Ν)�、以太網(wǎng)PON (EPON)和千兆比特PON (GPON)幾種。隨著無源光網(wǎng)絡(luò)(Passive Optical Network, PON)的部署,對PON系統(tǒng)的安全可靠性的要求越來越高�����。其中能夠有效防范非法用戶對PON系統(tǒng)進(jìn)行偵聽、業(yè)務(wù)盜用和惡意攻擊已成為PON系 統(tǒng)的一項(xiàng)重要功能��。從上行方向看�,PON是一個點(diǎn)到點(diǎn)的系統(tǒng),從下行方向上看���,PON是一個點(diǎn)到多點(diǎn)的廣播系統(tǒng)�����,OLT和ONT通過密鑰請求/獲取��、數(shù)據(jù)加密����,有效的防范了上下行方向上非法用戶的偵聽����、業(yè)務(wù)盜用和惡意攻擊。目前�,傳統(tǒng)的無緣光網(wǎng)絡(luò)使用的密鑰是使用因特網(wǎng)信息交換(IKE)方案,所使用的密鑰都是在傳統(tǒng)的網(wǎng)絡(luò)上進(jìn)行信息交換后經(jīng)計(jì)算得到,傳統(tǒng)的網(wǎng)絡(luò)密鑰交換過程很容易遭到外界的攻擊����,在安全上存在很大的風(fēng)險;另外IKE體系是建立在運(yùn)算復(fù)雜度的基礎(chǔ)上的��,而這個運(yùn)算復(fù)雜度是無法理論證實(shí)是絕對安全可靠的���,在遭到攻擊的時候�,存在被攻破的可能�����,因此存在著很大的安全隱患����?����?紤]到目前的PON系統(tǒng)空閑的光纖數(shù)目比較多����,在現(xiàn)有的PON系統(tǒng)上借助于空閑光纖信道實(shí)施量子密鑰分發(fā)無需更改目前的網(wǎng)絡(luò)結(jié)構(gòu)和網(wǎng)絡(luò)線路,易于實(shí)施而且還能更充分的利用現(xiàn)有的PON系統(tǒng)資源,更有利于保障數(shù)據(jù)的安全傳輸�����。
發(fā)明內(nèi)容
本發(fā)明所要解決的技術(shù)方案是針對上述現(xiàn)有技術(shù)中的無源光網(wǎng)絡(luò)密鑰系統(tǒng)所使用的密鑰在安全方面的不足���,提供一種在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法以及一種無源光網(wǎng)絡(luò)��。本發(fā)明在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法以及本發(fā)明無源光網(wǎng)絡(luò)能夠保證量子密鑰在傳輸過程中的絕對安全�。為解決上述技術(shù)問題����,本發(fā)明采取的技術(shù)方案為一種在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,所述光線路終端和光網(wǎng)絡(luò)終端之間通過光分配網(wǎng)絡(luò)相連���;其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過量子密鑰對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密�����;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)��。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案�����,所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)��,所述量子密鑰分發(fā)設(shè)備通過光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連���,以建立光線路量子密鑰讀取通道����,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰���;每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)����,所述量子密鑰分發(fā)設(shè)備通過光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連��,以建立光網(wǎng)絡(luò)量子密鑰讀取通道�����,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰����。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案�,所述光纖通過連接接口與光分配網(wǎng)絡(luò)連接。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述連接接口為網(wǎng)絡(luò)接口���、USB接口或者Serial 接口���。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案,所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求�,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請求,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰��;光線路終端和光 網(wǎng)絡(luò)終端獲取量子密鑰后�,進(jìn)行量子密鑰同步處理;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致�����,則同步正確��,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對通信數(shù)據(jù)進(jìn)行加密和解密����;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致,則同步不正確�����,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案���,量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請求時��,根據(jù)量子密鑰管理算法�����,如果有可用的量子密鑰�����,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會話����,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端���。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案�,需要更新量子密鑰時���,光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求���;光線路終端在獲取新的量子密鑰后�,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端��;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰���,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致�����,則光線路終端更新量子密鑰成功�����;光網(wǎng)絡(luò)終端在獲取新的量子密鑰后��,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光線路終端����;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較��,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致�,則光網(wǎng)絡(luò)終端更新量子密鑰成功。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案��,所述光線路終端和/或光網(wǎng)絡(luò)終端通過一次一密的加密方式對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密。為解決上述技術(shù)問題��,本發(fā)明采取的另一個技術(shù)方案為一種在無源光網(wǎng)絡(luò)����,包括光線路終端和光網(wǎng)絡(luò)終端;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò)���;其特征在于還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備�����;所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�,量子密鑰分發(fā)設(shè)備通過光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接����,形成光線路量子密鑰讀取通道,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密��;每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)����,每個量子密鑰分發(fā)設(shè)備分別通過光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接,形成光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密�����。作為本發(fā)明進(jìn)一步改進(jìn)的技術(shù)方案���,所述光纖通過網(wǎng)絡(luò)接口、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接���。本發(fā)明的有益效果是�����,可以在利用現(xiàn)有的無源光網(wǎng)絡(luò)上空閑的光纖上添加量子密鑰分發(fā)設(shè)備的同時��,確保通信數(shù)據(jù)在傳輸過程中的絕對安全����,僅在傳統(tǒng)的無源光網(wǎng)絡(luò)中增加量子密鑰分發(fā)設(shè)備��,結(jié)構(gòu)簡單����,而且充分有效的利用了現(xiàn)有的空余光纖資源,本發(fā)明適用于PON系統(tǒng)的各種應(yīng)用場合以及ATM PON/寬帶PON——ΑΡ0Ν/ΒΡ0Ν����、以太網(wǎng)PON——EPON和千兆比特PON——GP0N�����,提高了 PON系統(tǒng)的可靠性�����。
圖1是應(yīng)用本發(fā)明的現(xiàn)有的無源光網(wǎng)絡(luò)的系統(tǒng)結(jié)構(gòu) 圖2是在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的系統(tǒng)結(jié)構(gòu) 圖3是圖2中光線路終端如何通過量子密鑰分發(fā)設(shè)備獲取密鑰的工作序列 圖4是圖2中光網(wǎng)絡(luò)終端如何通過量子密鑰分發(fā)設(shè)備獲取密鑰的工作序列 圖5是針對圖3中光線路終端與光網(wǎng)絡(luò)終端獲取量子密鑰時���,量子密鑰分發(fā)設(shè)備配合光線路終端與光網(wǎng)絡(luò)終端使用完成密鑰管理、更新��、使用的工作序列圖�。下面結(jié)合附圖,通過對本發(fā)明的具體實(shí)施方式
做進(jìn)一步說明�����。
具體實(shí)施例方式實(shí)施例1
參見圖2�����、圖3、圖4和圖5�,本在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,所述光線路終端和光網(wǎng)絡(luò)終端之間通過光分配網(wǎng)絡(luò)相連����;所述光線路終端和/或光網(wǎng)絡(luò)終端通過量子密鑰對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)����。作為優(yōu)選方案,所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)��,所述量子密鑰分發(fā)設(shè)備通過光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連��,以建立光線路量子密鑰讀取通道����,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰���;每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�,所述量子密鑰分發(fā)設(shè)備通過光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連�,以建立光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰����。所述光纖通過連接接口與光分配網(wǎng)絡(luò)連接�。所述連接接口為網(wǎng)絡(luò)接口�����、USB接口或者Serial接口����。所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請求��,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰���;光線路終端和光網(wǎng)絡(luò)終端獲取量子密鑰后��,進(jìn)行量子密鑰同步處理�����;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致�,則同步正確���,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對通信數(shù)據(jù)進(jìn)行加密和解密�;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致,則同步不正確��,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求����。量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請求時,根據(jù)量子密鑰管理算法����,如果有可用的量子密鑰,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會話�����,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端��。需要更新量子密鑰時���,光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求;光線路終端在獲取新的量子密鑰后�,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰��,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較��,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光線路終端更新量子密鑰成功�����;光網(wǎng)絡(luò)終端在獲取新的量子密鑰后���,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光線路終端����;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰�����,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較��,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致����,則光網(wǎng)絡(luò)終端更新量子密鑰成功。所述光線路終端和/或光網(wǎng)絡(luò)終端通過一次一密的加密方式對需要在無源光網(wǎng) 絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密�。本實(shí)施例1的工作原理說明及工作過程如下
本實(shí)施例中,無源光網(wǎng)絡(luò)也稱Ρ0Ν���,光線路終端也稱0LT�,光分配網(wǎng)絡(luò)也稱0DN,量子密鑰分發(fā)設(shè)備也稱QKD����,光網(wǎng)絡(luò)終端也稱ONT ;圖1是圖解應(yīng)用本發(fā)明的無源光網(wǎng)絡(luò)的結(jié)構(gòu)的框圖。PON具有點(diǎn)到多點(diǎn)的樹結(jié)構(gòu)�,即P2MP結(jié)構(gòu)。然而��,PON不具有網(wǎng)絡(luò)結(jié)構(gòu)�����。邏輯上�����,盡管其物理上具有P2MP結(jié)構(gòu)��,但PON只具有點(diǎn)到點(diǎn)結(jié)構(gòu)��,即P2P結(jié)構(gòu)�����。換言之����,所有光網(wǎng)絡(luò)終端,即ONTl到0ΝΤΝ��,被連接到單個光線路終端�����,即0LT���。所以O(shè)NTl到ONTN中的每一個光網(wǎng)絡(luò)終端需要建立一條通道來與OLT通信�。圖2是在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的系統(tǒng)結(jié)構(gòu)圖��。結(jié)合圖1所述ONTl到ONTN中的每一個光網(wǎng)絡(luò)終端需要建立一條通道來與光線路終端通信��,這樣就可以在不改變原有的系統(tǒng)結(jié)構(gòu)的情況下加入量子密鑰分發(fā)設(shè)備��。在PON上實(shí)施量子密鑰分發(fā)的系統(tǒng)的結(jié)構(gòu)包括光線路終端��、光分配網(wǎng)絡(luò)�,還包括光網(wǎng)絡(luò)終端,即ONTl到0ΝΤΝ�,他們之間通過光纖隧道相連;相應(yīng)的還包括與量子密鑰分發(fā)設(shè)備���,即QKDl到QKDNN+1�����,QKD之間通過光纖分別與光分配網(wǎng)絡(luò)相連�����,OLT通過網(wǎng)絡(luò)接口�、USB接口、Serial接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌谂cQKDl相連�,以建立光線路量子密鑰讀取通道;0NT1到ONTN通過網(wǎng)絡(luò)接口�����、USB接口��、Serial接口或者其他可用于數(shù)據(jù)傳輸?shù)慕涌诜謩e與QKD2到QKDN+1相連�����,以建立光網(wǎng)絡(luò)量子密鑰讀取通道����。光線路中端和光網(wǎng)絡(luò)終端對需要在PON上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密,力口密所使用的量子密鑰從量子密鑰分發(fā)設(shè)備QKDl到QKDN獲取�。在通信數(shù)據(jù)傳輸過程中,根據(jù)量子力學(xué)特性��,密鑰是安全可靠的�����,是無法被第三方竊取的�����。在圖2��、圖3和圖4中�,光線路終端和光網(wǎng)絡(luò)終端通過網(wǎng)絡(luò)接口、USB接口���、Serial接口等任何可以進(jìn)行數(shù)據(jù)通信的接口與量子密鑰分發(fā)設(shè)備相連�,建立光線路量子密鑰讀取通道和光網(wǎng)絡(luò)量子密鑰讀取通道���,然后分別在光線路量子密鑰讀取通道和光網(wǎng)絡(luò)量子密鑰讀取通道上傳輸QKD產(chǎn)生的量子密鑰�。OLT向QKDl發(fā)送量子密鑰請求建立連接,從QKDl獲取量子密鑰���,ONTU 0NT2或ONTN向QKD2��、QKD3或QKDN+1發(fā)送量子密鑰請求建立連接����,從QKD2���、QKD3或QKDN+1獲取密鑰����,OLT與0NT1�、0NT2或0NTN+1進(jìn)行量子密鑰同步,確定獲取的量子密鑰是相同的量子密鑰對����,如果同步正確,無源光網(wǎng)絡(luò)用獲取的量子密鑰對通信數(shù)據(jù)進(jìn)行加密��、解密����。如圖5所示,QKDl在收到量子密鑰請求時,根據(jù)密鑰管理算法��,分配合適的量子密鑰����,如果有可用的量子密鑰���,就發(fā)送量子密鑰給光線路終端�����,在量子密鑰獲取的過程中����,光線路終端在協(xié)商新量子密鑰的同時���,仍然用舊的量子密鑰繼續(xù)保持光線路終端工作�,新量子密鑰的同步是在舊的量子密鑰建立的安全通道中完成的��。OLT的量子密鑰需要周期性的更換��,光線路終端在量子密鑰更換周期到的時候���,需要更新量子密鑰���,光線路終端向QKDl發(fā)量子密鑰請求���,在正確獲取量子密鑰后,光線路終端將得到的量子密鑰順序號和Md5校驗(yàn)值告訴光網(wǎng)絡(luò)終端�,光網(wǎng)絡(luò)終端根據(jù)接收到的順序號和Md5校驗(yàn)值向QKD2讀取量子密鑰,讀取到量子密鑰后����,比較讀取的量子密鑰的Md5值和收到的是否一致,如果一致�����,光網(wǎng)絡(luò)終端回應(yīng)確認(rèn)量子密鑰獲取成功���,表明這次量子密鑰更新獲取成功���;否則回應(yīng)量子密鑰獲取失敗。 在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)需要無源光網(wǎng)絡(luò)的光線路終端以及一個或多個光網(wǎng)絡(luò)終端�,OLT和ONT之間通過光分配網(wǎng)絡(luò)相連,還包括一對一或一對多的量子密鑰分發(fā)設(shè)備,即QKD1�、QKD2�、直至QKDN +1��,量子密鑰分發(fā)設(shè)備之間通過光纖相連�����。在本實(shí)施例中��,量子密鑰是通過量子密鑰分發(fā)設(shè)備由一方產(chǎn)生并傳輸?shù)搅硪环?��,且量子密鑰分發(fā)設(shè)備傳輸密鑰的通道是光纖。光線路終端和光網(wǎng)絡(luò)終端向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求����,并從量子密鑰分發(fā)設(shè)備獲得量子密鑰后,0LT����、0NT雙方進(jìn)行量子密鑰同步,確定獲取的量子密鑰是否一致����,如果同步正確,用獲取的量子密鑰對通信數(shù)據(jù)進(jìn)行加密�����、解密;如果同步不正確����,重新請求聯(lián)邦量子密鑰。量子密鑰分發(fā)設(shè)備在收到光線路終端的量子密鑰請求時��,根據(jù)量子密鑰管理算法���,分配合適的量子密鑰��,如果有可用的量子密鑰�,就發(fā)送量子密鑰給0LT����,在量子密鑰獲取的過程中,OLT需要和QKD建立一個會話����。OLT在協(xié)商新量子密鑰的同時,仍舊用舊的量子密鑰繼續(xù)保持工作���,新量子密鑰的同步是在舊的密鑰建立的安全通道中完成的����。OLT的量子密鑰需要周期性的更換,OLT在量子密鑰更換周期到的時候�����,就需要更新量子密鑰����,OLT向QKD發(fā)送量子密鑰請求,在正確獲取量子密鑰后��,OLT將得到的量子密鑰順序號和Md5校驗(yàn)值告訴光網(wǎng)絡(luò)終端���,ONT根據(jù)接收到的順序號向QKD讀取量子密鑰,讀取到量子密鑰后比較讀取的量子密鑰的Md5值和收到的是否一致����,如果一致,ONT回應(yīng)確認(rèn)量子密鑰獲取成功(0K)����,表示這次量子密鑰更新獲取成功;如果不一致�����,表示OLT與ONT得到的量子密鑰不同,需要重新請求量子密鑰�。同樣地,量子密鑰分發(fā)設(shè)備在收到光網(wǎng)絡(luò)終端的量子密鑰請求時���,根據(jù)量子密鑰管理算法�����,分配合適的量子密鑰����,如果有可用的量子密鑰��,就發(fā)送量子密鑰給0ΝΤ����,在量子密鑰獲取的過程中,ONT需要和QKD建立一個會話�����。ONT在協(xié)商新量子密鑰的同時�,仍舊用舊的量子密鑰繼續(xù)保持工作��,新量子密鑰的同步是在舊的量子密鑰建立的安全通道中完成的���。ONT的量子密鑰需要周期性的更換,ONT在量子密鑰更換周期到的時候�,就需要更新量子密鑰,ONT向QKD發(fā)送量子密鑰請求�,在正確獲取量子密鑰后,ONT將得到的量子密鑰順序號和Md5校驗(yàn)值告訴光線路終端�,OLT根據(jù)接收到的順序號向QKD讀取量子密鑰,讀取到量子密鑰后比較讀取的量子密鑰的Md5值和收到的是否一致�,如果一致,ONT回應(yīng)確認(rèn)量子密鑰獲取成功�,表示這次量子密鑰更新獲取成功;如果不一致�,表示OLT與ONT得到的量子密鑰不同�����,需要重新請求量子密鑰���。
成功獲取到量子密鑰后����,采用量子密鑰對傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密,并且實(shí)行一次一密或分組的加密方式�����,保障通信數(shù)據(jù)的絕對安全���。進(jìn)一步地�����,在量子密鑰傳輸?shù)倪^程中����,根據(jù)量子力學(xué)特性����,量子密鑰傳輸過程是無法被攻破的,即使遭到外部攻擊�����,攻擊也很容易就被發(fā)現(xiàn)�����。因此采用了量子密鑰分發(fā)技術(shù)后任何第三方想截獲量子密鑰都是不可能的。在實(shí)施量子密鑰分發(fā)的無源光網(wǎng)絡(luò)中�����,取代傳統(tǒng)的密鑰獲取方式����,量子密鑰獲取是通過量子密鑰分發(fā)設(shè)備由一方傳輸?shù)搅硪环剑伊孔用荑€分發(fā)設(shè)備傳輸量子密鑰的通道是光纖�。在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)是在原有的無源光網(wǎng)絡(luò)基礎(chǔ)上做一些改動,包括在原有的無源光網(wǎng)絡(luò)體系中�,加入量子密鑰注入模塊,此量子密鑰注入模塊負(fù)責(zé)從量子密鑰分發(fā)設(shè)備讀取密鑰�,并且實(shí)行一次一密或分組的加密方式,量子密鑰是無法被第三方竊取的和完全破譯的�,從而保障數(shù)據(jù)的絕對安全。實(shí)施例2參見圖2�����、圖3���、圖4和圖5,本無源光網(wǎng)絡(luò),包括光線路終端和光網(wǎng)絡(luò)終端���;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò)�����;還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備����;所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�����,量子密鑰分發(fā)設(shè)備通過光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接���,形成光線路量子密鑰讀取通道����,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密���;每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�����,每個量子密鑰分發(fā)設(shè)備分別通過光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接����,形成光網(wǎng)絡(luò)量子密鑰讀取通道,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密���。所述光纖通過網(wǎng)絡(luò)接口�、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接�����。本實(shí)施例的工作原理說明及工作過程與實(shí)施例1相同�,不再詳述。
權(quán)利要求
1.一種在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法��,所述光線路終端和光網(wǎng)絡(luò)終端之間通過光分配網(wǎng)絡(luò)相連�;其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過量子密鑰對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密;所述量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)����。
2.根據(jù)權(quán)利要求1所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于 所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�����,所述量子密鑰分發(fā)設(shè)備通過光纖分別與光線路終端和光分配網(wǎng)絡(luò)相連�����,以建立光線路量子密鑰讀取通道����,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰; 每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)���,所述量子密鑰分發(fā)設(shè)備通過光纖與光網(wǎng)絡(luò)終端和光分配網(wǎng)絡(luò)相連�����,以建立光網(wǎng)絡(luò)量子密鑰讀取通道�,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰�。
3.根據(jù)權(quán)利要求2所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,其特征在于所述光纖通過連接接口與光分配網(wǎng)絡(luò)連接��。
4.根據(jù)權(quán)利要求3所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法����,其特征在于所述連接接口為網(wǎng)絡(luò)接口、USB接口或者Serial接口�。
5.根據(jù)權(quán)利要求2或3或4所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法�,其特征在于 所述光線路終端和光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求��,量子密鑰分發(fā)設(shè)備根據(jù)量子密鑰請求�,向光線路終端和光網(wǎng)絡(luò)終端發(fā)送量子密鑰;光線路終端和光網(wǎng)絡(luò)終端獲取量子密鑰后�����,進(jìn)行量子密鑰同步處理��;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰一致��,則同步正確�,光線路終端和光網(wǎng)絡(luò)終端分別用獲取的量子密鑰對通信數(shù)據(jù)進(jìn)行加密和解密;如果光線路終端和光網(wǎng)絡(luò)終端分別獲取的量子密鑰不一致�,則同步不正確,光線路終端和光網(wǎng)絡(luò)終端分別重新向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求��。
6.根據(jù)權(quán)利要求5所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法����,其特征在于 量子密鑰分發(fā)設(shè)備在收到光線路終端或者光網(wǎng)絡(luò)終端的量子密鑰請求時,根據(jù)量子密鑰管理算法�,如果有可用的量子密鑰,光線路終端或者光網(wǎng)絡(luò)終端則與量子密鑰分發(fā)設(shè)備之間建立會話��,量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰給光線路終端或者光網(wǎng)絡(luò)終端。
7.根據(jù)權(quán)利要求6所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法�����,其特征在于 需要更新量子密鑰時�,光線路終端或者光網(wǎng)絡(luò)終端分別向量子密鑰分發(fā)設(shè)備發(fā)送量子密鑰請求�����; 光線路終端在獲取新的量子密鑰后�,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光網(wǎng)絡(luò)終端;另一端的光網(wǎng)絡(luò)終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰�,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致�,則光線路終端更新量子密鑰成功; 光網(wǎng)絡(luò)終端在獲取新的量子密鑰后��,將新的量子密鑰的順序號和Md5校驗(yàn)值發(fā)送給另一端的光線路終端����;另一端的光線路終端根據(jù)收到的新的量子密鑰的順序號向量子密鑰分發(fā)設(shè)備讀取量子密鑰,然后將讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值進(jìn)行比較�,如果讀取到的量子密鑰的Md5校驗(yàn)值和收到的Md5校驗(yàn)值一致,則光網(wǎng)絡(luò)終端更新量子密鑰成功����。
8.根據(jù)權(quán)利要求1所述在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法�,其特征在于所述光線路終端和/或光網(wǎng)絡(luò)終端通過一次一密的加密方式對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密�。
9.一種在無源光網(wǎng)絡(luò),包括光線路終端和光網(wǎng)絡(luò)終端�����;所述光線路終端和光網(wǎng)絡(luò)終端之間連接有光分配網(wǎng)絡(luò)���;其特征在于 還包括用于向光線路終端和/或光網(wǎng)絡(luò)終端分發(fā)量子密鑰的量子密鑰分發(fā)設(shè)備�����; 所述光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)��,量子密鑰分發(fā)設(shè)備通過光纖分別與光分配網(wǎng)絡(luò)和光線路終端連接����,形成光線路量子密鑰讀取通道���,光線路終端通過光線路量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密�����; 每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng)�����,每個量子密鑰分發(fā)設(shè)備分別通過光纖與光分配網(wǎng)絡(luò)和光網(wǎng)絡(luò)終端連接����,形成光網(wǎng)絡(luò)量子密鑰讀取通道���,光網(wǎng)絡(luò)終端通過光網(wǎng)絡(luò)量子密鑰讀取通道獲取量子密鑰并且通過獲取的量子密碼對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密����。
10.根據(jù)權(quán)利要求9所述的無源光網(wǎng)絡(luò)�,其特征在于所述光纖通過網(wǎng)絡(luò)接口、USB接口或者Serial接口與光分配網(wǎng)絡(luò)連接����。
全文摘要
本發(fā)明公開了一種在無源光網(wǎng)絡(luò)上實(shí)施量子密鑰分發(fā)的方法,光線路終端和/或光網(wǎng)絡(luò)終端通過量子密鑰對需要在無源光網(wǎng)絡(luò)上傳輸?shù)耐ㄐ艛?shù)據(jù)進(jìn)行加密和解密��;量子密鑰由量子密鑰分發(fā)設(shè)備進(jìn)行分發(fā)�����。本發(fā)明還公開了一種無源光網(wǎng)絡(luò),光線路終端和光網(wǎng)絡(luò)終端之間連接光分配網(wǎng)絡(luò)��;光線路終端與一個量子密鑰分發(fā)設(shè)備相對應(yīng)��,光線路終端通過量子密碼通信數(shù)據(jù)進(jìn)行加密和解密�;每個光網(wǎng)絡(luò)終端分別與一個量子密鑰分發(fā)設(shè)備相對應(yīng),光網(wǎng)絡(luò)終端通過量子密碼對通信數(shù)據(jù)進(jìn)行加密和解密�。本發(fā)明借助于量子力學(xué)特性,量子密鑰傳輸過程是無法被攻破的��,即使遭到外部攻擊���,也很容易就被發(fā)現(xiàn)��;采用量子密鑰對數(shù)據(jù)進(jìn)行加密����,實(shí)行一次一密的加密方式�����,可以保障數(shù)據(jù)絕對安全���。
文檔編號H04B10/85GK103023579SQ201210519290
公開日2013年4月3日 申請日期2012年12月7日 優(yōu)先權(quán)日2012年12月7日
發(fā)明者李大偉, 苗春華 申請人:安徽問天量子科技股份有限公司