本發(fā)明屬于通信技術(shù)領(lǐng)域，涉及一種基于DPI的量子秘鑰分發(fā)方法。

背景技術(shù)：

上世紀(jì)下半葉以來，科學(xué)家們?cè)凇昂Ｉy(cè)不準(zhǔn)原理”和“量子不可克隆原理”之上，逐漸建立了量子密碼術(shù)的概念。量子密碼術(shù)以單量子態(tài)作為信息載體，由于單量子態(tài)無法被克隆，而且任何測(cè)量操作都會(huì)改變其量子態(tài)，因此竊聽者無法在不被發(fā)現(xiàn)的前提下獲得任何有效信息。換言之，信息的合法接收者可以從量子態(tài)的改變得知信道中存在竊聽，從而終止通信過程。因此這種方式被稱為在物理上“絕對(duì)安全”的通信方式，在國防，軍事，政治，金融等各個(gè)領(lǐng)域都具有重要的研究?jī)r(jià)值。

從上個(gè)世紀(jì)八十年代至今，量子保密通信已經(jīng)歷了近30年的基礎(chǔ)理論研究和安全性驗(yàn)證，目前其實(shí)用化的時(shí)機(jī)已經(jīng)成熟。隨著各國逐漸意識(shí)到量子通信的重要意義，其產(chǎn)品化的腳步也在加快。歐美等發(fā)達(dá)國家已經(jīng)開始了高速量子通信和大規(guī)模保密通信網(wǎng)絡(luò)的探索，我國也將其列為重點(diǎn)科研項(xiàng)目進(jìn)行研究。

在量子保密通信過程中，信息載體為單光子，考慮到單光子在光纖信道中的衰減及探測(cè)器探測(cè)效率等原因，商用系統(tǒng)的通信距離一般不會(huì)超過100km，這種局限性使得點(diǎn)對(duì)點(diǎn)量子通信系統(tǒng)只能適用于城際的保密通信，而對(duì)于省際和省際以上的保密通信卻無能為力，這大大限制了量子保密通信的使用范圍，對(duì)其實(shí)用化的發(fā)展進(jìn)程也帶來了阻礙。

目前在網(wǎng)絡(luò)的加密方式主要使用傳統(tǒng)密鑰加密機(jī)或者VPN技術(shù)進(jìn)行加密，采用前國際上常用的多種密碼算法，這些算法都是基于算法復(fù)雜度的加密算法，VPN等技術(shù)密鑰交換方式多數(shù)采用的因特網(wǎng)信息交換(IKE)方案，所使用的密鑰都是在傳統(tǒng)的網(wǎng)絡(luò)上進(jìn)行信息交換后經(jīng)計(jì)算得到，這都使傳輸存在著很大的安全風(fēng)險(xiǎn)。量子密鑰加密因?yàn)榫哂袩o條件安全性，通過量子密鑰加密信道可以可靠的安全傳輸，但是目前主要的量子密鑰分發(fā)過程中，量子密鑰的生成速度和密鑰量都是非常有限的，若用于網(wǎng)絡(luò)中所有網(wǎng)絡(luò)應(yīng)用的高速傳輸，將很大程度上影響網(wǎng)絡(luò)傳輸?shù)男剩蔀榫W(wǎng)絡(luò)傳輸?shù)钠款i。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明的目的是提供一種基于DPI的量子秘鑰分發(fā)方法，旨在實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)流量的區(qū)分和鑒別，對(duì)不同業(yè)務(wù)流量進(jìn)行分級(jí)加密，基于業(yè)務(wù)的安全級(jí)別，依據(jù)加密策略選擇量子密鑰分發(fā)加密或傳統(tǒng)加密方式，實(shí)現(xiàn)網(wǎng)絡(luò)的核心業(yè)務(wù)流量的量子保密通信，并兼顧網(wǎng)絡(luò)業(yè)務(wù)的傳輸效率。

本發(fā)明所采用的技術(shù)方案是，一種基于DPI的量子秘鑰分發(fā)方法，該方法采用以下模塊：網(wǎng)絡(luò)接入模塊、DPI分析模塊、加密策略選擇模塊、網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊、量子密鑰加密模塊與策略庫；

網(wǎng)關(guān)系統(tǒng)工作在網(wǎng)絡(luò)廣域網(wǎng)與局域業(yè)務(wù)網(wǎng)絡(luò)及辦公網(wǎng)絡(luò)連接處；

所述網(wǎng)絡(luò)接入模塊，具有可擴(kuò)展性網(wǎng)絡(luò)接口選擇的功能，根據(jù)實(shí)際網(wǎng)絡(luò)布線的需要，板載多個(gè)PCI-E接口，通過轉(zhuǎn)換模組連接各種廣域網(wǎng)端接口和局域網(wǎng)端接口；

所述DPI分析模塊與網(wǎng)絡(luò)接入模塊連接，用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行深度數(shù)據(jù)包檢測(cè)，通過對(duì)網(wǎng)絡(luò)流量特征分析，識(shí)別網(wǎng)絡(luò)流量中各種應(yīng)用及其內(nèi)容的指紋特征，根據(jù)進(jìn)入DPI分析模塊的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分類，對(duì)于辦公網(wǎng)絡(luò)使用的常規(guī)業(yè)務(wù)應(yīng)用以及網(wǎng)絡(luò)中的核心業(yè)務(wù)及交易業(yè)務(wù)進(jìn)行區(qū)分標(biāo)識(shí)，提交給加密策略選擇模塊；

所述加密策略選擇模塊與DPI分析模塊連接，用于根據(jù)網(wǎng)絡(luò)中實(shí)際各種業(yè)務(wù)安全需求級(jí)別，以及量子密鑰加密模塊量子密鑰生成狀態(tài)，根據(jù)用戶事先在策略庫中定義加密策略，將加密策略的優(yōu)先級(jí)分為：必須量子加密、根據(jù)量子密鑰狀態(tài)選擇量子密鑰加密或傳統(tǒng)加密、只需傳統(tǒng)加密、不需加密四個(gè)等級(jí)；

所述網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)密鑰加密模塊與加密策略選擇模塊連接，用于根據(jù)加密策略選擇模塊提供的指令，對(duì)不需要進(jìn)行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲(chǔ)轉(zhuǎn)發(fā)方式透明進(jìn)行傳輸；對(duì)于需要采用基于算法安全的傳統(tǒng)加密算法進(jìn)行加密的流量通過DES，AES，3DES，OTP，RSA，IPSEC加密算法進(jìn)行加密；

所述量子密鑰加密模塊與加密策略選擇模塊連接，用于根據(jù)加密策略選擇模塊指令，通過量子鏈路與量子密鑰分發(fā)設(shè)備進(jìn)行協(xié)商，獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率，根據(jù)當(dāng)前進(jìn)行量子加密業(yè)務(wù)的密鑰需求，進(jìn)行判斷協(xié)商；具備量子密鑰分發(fā)條件的，進(jìn)行量子加密傳輸；密鑰不足或生成速度異常時(shí)，采用業(yè)務(wù)流量緩存或密鑰倍增技術(shù)保證量子保密通信的流暢傳輸；

所述策略庫與加密策略選擇模塊連接，用于定義加密策略。

本發(fā)明的特征還在于，進(jìn)一步的，廣域網(wǎng)端接口，包括模擬、ISDN BRI、E1/T1/T1、GSM/WCDMA，接入網(wǎng)絡(luò)廣泛使用的SDH、ATM、PTN專用線路；局域網(wǎng)接口通過轉(zhuǎn)換模組連接各種局域網(wǎng)接口，包括單模光纖接口、多模光纖接口、以及以太網(wǎng)RJ-45接口，可接入與局域網(wǎng)中的路由器、防火墻或交換機(jī)的網(wǎng)絡(luò)設(shè)備連接。

進(jìn)一步的，DPI模塊分析模塊的具體實(shí)現(xiàn)方法：

DPI引擎啟動(dòng)后，根據(jù)網(wǎng)絡(luò)中不同業(yè)務(wù)所使用的應(yīng)用層協(xié)議類型、協(xié)議端口以及網(wǎng)絡(luò)數(shù)據(jù)包中的荷載信息，利用特征提取算法對(duì)流量特征進(jìn)行提取，特征提取算法包括對(duì)應(yīng)用協(xié)議類型、協(xié)議端口映射為對(duì)象的特征提取，包括對(duì)數(shù)據(jù)包深層具體載荷為對(duì)象的特征提取，和針對(duì)網(wǎng)絡(luò)流統(tǒng)計(jì)特征的特征提取，DPI引擎通過深度挖掘應(yīng)用協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包中常出現(xiàn)的穩(wěn)定的獨(dú)特的特征字符串，特征字符串是用于標(biāo)識(shí)網(wǎng)絡(luò)通信協(xié)議特征碼，通過全局特征向量Hash映射表與核心業(yè)務(wù)特征庫進(jìn)行匹配，識(shí)別出當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流是否屬于網(wǎng)絡(luò)中需要通過量子加密保證其高度安全性的核心業(yè)務(wù)流量，對(duì)于進(jìn)行完業(yè)務(wù)分類的流量，可有效的對(duì)其是否屬于網(wǎng)絡(luò)核心業(yè)務(wù)進(jìn)行標(biāo)識(shí)。

進(jìn)一步的，判斷所述流量特征與目標(biāo)業(yè)務(wù)類特征相關(guān)度時(shí)采用信息論中的互信息并歸一化后度量，不同流量特征與目標(biāo)業(yè)務(wù)類特征的相關(guān)度表示為R(f，class)，計(jì)算方法如下式：

$R(f,class)=2\frac{I(f;class)}{H\left(f\right)+H\left(class\right)},0\≤R(f,class)\≤1$

其中f和class分別表示網(wǎng)絡(luò)流量特征和目標(biāo)業(yè)務(wù)類，H(f)和H(class)分別表示f和class的熵，I(f；class)為f和class的互信息；

熵是隨機(jī)變量不確定性的度量，一個(gè)離散隨機(jī)變量X，取值空間為SX，概率密度函數(shù)為p(x)，x∈S_X，則X的熵定義為：

$H\left(X\right)=-\underset{x\∈S_X}{\Σ}p\left(x\right)\log p\left(x\right)$

兩個(gè)離散隨機(jī)變量X和Y共享信息的程度用互信息來度量：

$I(X;Y)=\underset{x\∈S_X}{\Σ}\underset{y\∈S_Y}{\Σ}p(x,y)log\frac{p(x,y)}{p\left(x\right)p\left(y\right)}$

在變量Z已知的條件下，變量X和Y共享信息的程度用條件互信息來度量：

$I(X;Y|Z)=\underset{x\∈S_X}{\Σ}\underset{y\∈S_Y}{\Σ}\underset{z\∈S_Z}{\Σ}p(x,y,z)log\frac{p(x,y|z)}{p\left(x\right|z)p\left(y\right|z)}.$

進(jìn)一步的，所述加密策略選擇模塊的安全策略由安全管理員制定并存儲(chǔ)于策略庫中，用以對(duì)各種已經(jīng)確定業(yè)務(wù)分類的流量進(jìn)行不同級(jí)別的配置，以7元組形式表示為：

P＝<ID，BType，BLevel，EncyptPrior，QKDstatus，EncyptType，F(xiàn)orward>

其中ID為策略編號(hào)；BType為業(yè)務(wù)類型，BLevel為業(yè)務(wù)等級(jí)，EncyptPrior為加密優(yōu)先級(jí)；QKDstatus為量子加密模塊提供的當(dāng)前量子密鑰分發(fā)系統(tǒng)的狀態(tài)，EncyptType為加密類型，F(xiàn)orward為根據(jù)加密類型不同將業(yè)務(wù)流轉(zhuǎn)發(fā)的目的模塊，包括量子密鑰加密模塊或者網(wǎng)路透?jìng)骰騻鹘y(tǒng)加密模塊或不加密模塊。

進(jìn)一步的，所述網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊根據(jù)加密策略選擇模塊提供的指令，對(duì)不需要進(jìn)行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲(chǔ)轉(zhuǎn)發(fā)方式透明進(jìn)行傳輸；對(duì)于需要采用基于算法安全的傳統(tǒng)加密算法進(jìn)行加密的流量通過傳統(tǒng)的DES，AES，3DES，OTP，RSA，IPSEC加密算法進(jìn)行加密，網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密方式分別使用不同的鏈路接口與對(duì)端進(jìn)行通信。

進(jìn)一步的，所述量子密鑰加密模塊通過傳統(tǒng)鏈路和光纖量子密鑰分發(fā)鏈路與量子密鑰加密模塊的分發(fā)設(shè)備相連接；量子密鑰加密模塊根據(jù)加密策略選擇模塊的指令，通過量子鏈路與量子密鑰分發(fā)設(shè)備進(jìn)行協(xié)商，獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率，根據(jù)當(dāng)前進(jìn)行量子加密業(yè)務(wù)的密鑰需求，進(jìn)行判斷協(xié)商，具備量子密鑰分發(fā)的，進(jìn)行量子加密傳輸，密鑰不足或生成速度異常時(shí)，采用業(yè)務(wù)流量緩存及密鑰倍增技術(shù)保證量子保密通信的流暢傳輸。

本發(fā)明的有益效果是通過對(duì)網(wǎng)絡(luò)流量進(jìn)行基于應(yīng)用層的流量檢測(cè)和控制技術(shù)DPI，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)流量的區(qū)分和鑒別，對(duì)不同業(yè)務(wù)流量進(jìn)行分級(jí)加密，基于業(yè)務(wù)的安全級(jí)別，依據(jù)加密策略選擇量子密鑰分發(fā)加密或傳統(tǒng)加密方式，實(shí)現(xiàn)網(wǎng)絡(luò)的核心業(yè)務(wù)流量的量子保密通信，并兼顧了網(wǎng)絡(luò)業(yè)務(wù)的傳輸效率。

附圖說明

圖1是本發(fā)明實(shí)施例提供的基于DPI的量子秘鑰分發(fā)方法的結(jié)構(gòu)示意圖；

圖2是本發(fā)明實(shí)施例提供的DPI分析模塊的具體實(shí)現(xiàn)流程圖；

圖3是本發(fā)明實(shí)施例提供的網(wǎng)絡(luò)的量子保密通信網(wǎng)絡(luò)接入應(yīng)用網(wǎng)關(guān)系統(tǒng)集成示意圖。

圖中：1、網(wǎng)絡(luò)接入模塊；2、DPI分析模塊；3、加密策略選擇模塊；4、網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊；5、量子密鑰加密模塊；6、策略庫。

具體實(shí)施方式

為了使本發(fā)明的目的、技術(shù)方案及優(yōu)點(diǎn)更加清楚明白，以下結(jié)合實(shí)施例，對(duì)本發(fā)明進(jìn)行進(jìn)一步詳細(xì)說明。應(yīng)當(dāng)理解，此處所描述的具體實(shí)施例僅僅用以解釋本發(fā)明，并不用于限定本發(fā)明。

下面結(jié)合附圖及具體實(shí)施例對(duì)本發(fā)明的應(yīng)用原理作進(jìn)一步描述。

圖1示出了本發(fā)明的基于DPI的量子秘鑰分發(fā)方法的結(jié)構(gòu)，如圖所示，本發(fā)明是這樣實(shí)現(xiàn)的，一種基于DPI的量子秘鑰分發(fā)方法包括網(wǎng)絡(luò)接入模塊1、DPI(基于深度包檢測(cè)技術(shù))分析模塊2、加密策略選擇模塊3、網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊4、量子密鑰加密模塊5、策略庫6六個(gè)模塊；

網(wǎng)絡(luò)接入模塊1，具有可擴(kuò)展性網(wǎng)絡(luò)接口選擇的功能，根據(jù)實(shí)際網(wǎng)絡(luò)布線的需要，板載多個(gè)PCI-E接口，通過轉(zhuǎn)換模組連接各種廣域網(wǎng)端接口及局域網(wǎng)接口；

DPI分析模塊2，與網(wǎng)絡(luò)接入模塊1連接，用于對(duì)網(wǎng)絡(luò)數(shù)據(jù)流進(jìn)行應(yīng)用層分析，識(shí)別各種應(yīng)用及其內(nèi)容，不同應(yīng)用的協(xié)議根據(jù)DPI進(jìn)入模塊的數(shù)據(jù)流進(jìn)行業(yè)務(wù)分類，對(duì)于辦公網(wǎng)絡(luò)使用的常規(guī)業(yè)務(wù)應(yīng)用以及網(wǎng)絡(luò)中的核心業(yè)務(wù)及交易業(yè)務(wù)進(jìn)行區(qū)分標(biāo)識(shí)，提交給加密策略選擇模塊3；

加密策略選擇模塊3，與DPI分析模塊2連接，用于根據(jù)網(wǎng)絡(luò)中實(shí)際各種業(yè)務(wù)安全需求級(jí)別，以及量子加密模塊量子密鑰生成狀態(tài)，根據(jù)用戶事先在策略庫6中定義加密策略，將加密策略的優(yōu)先級(jí)可分為：必須量子加密、根據(jù)量子密鑰狀態(tài)選擇量子密鑰加密或傳統(tǒng)加密、只需傳統(tǒng)加密、不需加密四個(gè)等級(jí)；

網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)密鑰加密模塊4，與加密策略選擇模塊3連接，用于根據(jù)加密策略選擇模塊3提供的指令，對(duì)不需要進(jìn)行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲(chǔ)轉(zhuǎn)發(fā)方式透明進(jìn)行傳輸；對(duì)于需要采用基于算法安全的傳統(tǒng)加密算法進(jìn)行加密的流量通過傳統(tǒng)的DES，AES，3DES，OTP，RSA，IPSEC等加密算法進(jìn)行加密；

量子密鑰加密模塊5，與加密策略選擇模塊3連接，用于根據(jù)加密策略選擇模塊3指令，通過量子鏈路與量子密鑰分發(fā)設(shè)備進(jìn)行協(xié)商，獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率，根據(jù)當(dāng)前進(jìn)行量子加密業(yè)務(wù)的密鑰需求，進(jìn)行判斷協(xié)商，具備量子密鑰分發(fā)的，進(jìn)行量子加密傳輸，密鑰不足或生成速度異常時(shí)，采用業(yè)務(wù)流量緩存及密鑰倍增技術(shù)保證量子保密通信的流暢傳輸；

策略庫6，與加密策略選擇模塊3連接，用于定義加密策略。

結(jié)合圖1-圖3對(duì)本發(fā)明的原理做進(jìn)一步的描述：

網(wǎng)絡(luò)接入模塊1具有可擴(kuò)展性網(wǎng)絡(luò)接口選擇的功能，可以根據(jù)實(shí)際網(wǎng)絡(luò)布線的需要，板載多個(gè)PCI-E接口，通過轉(zhuǎn)換模組連接各種廣域網(wǎng)端接口，包括模擬、ISDN BRI、E1/T1/T1、GSM/WCDMA等多種接口，可接入目前網(wǎng)絡(luò)廣泛使用的SDH、ATM、PTN等多種專用線路；局域網(wǎng)接口通過轉(zhuǎn)換模組連接各種局域網(wǎng)接口，包括單模光纖接口、多模光纖接口、以及以太網(wǎng)RJ-45接口，可接入與局域網(wǎng)中的路由器、防火墻或交換機(jī)等網(wǎng)絡(luò)設(shè)備連接；

DPI分析模塊2的功能當(dāng)網(wǎng)絡(luò)流量進(jìn)入到網(wǎng)絡(luò)的量子保密通信網(wǎng)絡(luò)接入應(yīng)用網(wǎng)關(guān)后，通過網(wǎng)絡(luò)接入模塊1提交到DPI分析模塊2，DPI分析模塊2是采用多核并行結(jié)構(gòu)的基于深度數(shù)據(jù)包檢測(cè)進(jìn)行網(wǎng)絡(luò)業(yè)務(wù)流量識(shí)別的模塊，通過DPI分析模塊2，對(duì)各種網(wǎng)絡(luò)中的業(yè)務(wù)進(jìn)行區(qū)分，根據(jù)用戶網(wǎng)絡(luò)安全需要，可以將核心業(yè)務(wù)以及辦公網(wǎng)絡(luò)中部分安全要求高的業(yè)務(wù)，通過用戶特殊定義的核心業(yè)務(wù)特征庫和模式識(shí)別技術(shù)將各種業(yè)務(wù)識(shí)別出來；

如圖2所示，DPI模塊的具體實(shí)現(xiàn)方法：

DPI引擎啟動(dòng)后，根據(jù)網(wǎng)絡(luò)中不同業(yè)務(wù)所使用的應(yīng)用層協(xié)議類型、協(xié)議端口以及網(wǎng)絡(luò)數(shù)據(jù)包中的荷載信息，利用特征提取算法對(duì)流量特征進(jìn)行提取，特征提取包括了對(duì)應(yīng)用協(xié)議類型、協(xié)議端口映射為對(duì)象的特征提取，也包括對(duì)數(shù)據(jù)包深層具體載荷為對(duì)象的特征提取，和針對(duì)網(wǎng)絡(luò)流統(tǒng)計(jì)特征的特征提取，DPI引擎通過深度挖掘應(yīng)用協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包中常出現(xiàn)的穩(wěn)定的獨(dú)特的特征字符串，這些字符主要是用于標(biāo)識(shí)網(wǎng)絡(luò)通信協(xié)議特征碼，通過全局特征向量Hash映射表與核心業(yè)務(wù)特征庫進(jìn)行匹配，識(shí)別出當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流是否屬于網(wǎng)絡(luò)中需要通過量子加密保證其高度安全性的核心業(yè)務(wù)流量，對(duì)于進(jìn)行完業(yè)務(wù)分類的流量，屬于網(wǎng)絡(luò)核心業(yè)務(wù)，例如帶有交易特征字的交易子系統(tǒng)流量，和安全性要求較低辦公系統(tǒng)中一般性Http訪問流量等提交給加密策略選擇模塊進(jìn)行處理；

以上過程中：

判斷流量特征與目標(biāo)業(yè)務(wù)類特征相關(guān)度時(shí)可采用信息論中的互信息并將其歸一化后度量，流量特征是通過DPI引擎利用特征提取算法所提取的數(shù)據(jù)包特征，包括數(shù)據(jù)傳輸使用的協(xié)議，協(xié)議端口，以及網(wǎng)絡(luò)數(shù)據(jù)包中的載荷信息中穩(wěn)定獨(dú)特的特征字符。目標(biāo)業(yè)務(wù)類特征是指某一個(gè)業(yè)務(wù)類在進(jìn)行網(wǎng)絡(luò)傳輸時(shí)數(shù)據(jù)包流量所具有的特征，目標(biāo)業(yè)務(wù)類的流量特征可以用來標(biāo)識(shí)特定的某項(xiàng)業(yè)務(wù)；不同流量特征與目標(biāo)業(yè)務(wù)類特征的相關(guān)度表示為R(f，class)，計(jì)算方法如公式(1)所示：

$R(f,class)=2\frac{I(f;class)}{H\left(f\right)+H\left(class\right)},(0\&le;R(f,class)\&le;1)---\left(1\right)$

其中f和class分別表示所述網(wǎng)絡(luò)流量特征和目標(biāo)業(yè)務(wù)類，H(f)和H(class)分別表示f和class的熵，I(f；class)為f和class的互信息，本發(fā)明提到的關(guān)于信息論中熵、互信息和條件互信息的基本概念為：

熵是隨機(jī)變量不確定性的度量，一個(gè)離散隨機(jī)變量X，其取值空間為SX，概率密度函數(shù)為p(x)，x∈SX，則X的熵定義為：

$H\left(X\right)=-\underset{x\&Element;S_X}{\&Sigma;}p\left(x\right)\log p\left(x\right)---\left(2\right)$

兩個(gè)離散隨機(jī)變量X和Y共享信息的程度用互信息來度量：

$I(X;Y)=\underset{x\&Element;S_X}{\&Sigma;}\underset{y\&Element;S_Y}{\&Sigma;}p(x,y)log\frac{p(x,y)}{p\left(x\right)p\left(y\right)}---\left(3\right)$

在變量Z已知的條件下，變量X和Y共享信息的程度用條件互信息來度量：

$I(X;Y|Z)=\underset{x\&Element;S_X}{\&Sigma;}\underset{y\&Element;S_Y}{\&Sigma;}\underset{z\&Element;S_Z}{\&Sigma;}p(x,y,z)log\frac{p(x,y|z)}{p\left(x\right|z)p\left(y\right|z)}$

加密策略選擇模塊3的具體實(shí)現(xiàn)方法：

加密策略選擇模塊，是根據(jù)網(wǎng)絡(luò)中實(shí)際各種業(yè)務(wù)安全需求級(jí)別，以及量子加密模塊量子密鑰生成狀態(tài)，根據(jù)用戶事先在策略庫中定義加密策略，加密策略的優(yōu)先級(jí)可分為：1.必須量子加密；2.根據(jù)量子密鑰狀態(tài)選擇量子密鑰加密或傳統(tǒng)加密；3.只需傳統(tǒng)加密；4.不需加密；

安全策略由安全管理員制定并存儲(chǔ)于策略庫中，用以對(duì)各種已經(jīng)確定業(yè)務(wù)分類的流量進(jìn)行不同級(jí)別的配置，以7元組形式表示為：

P＝<ID，BType，BLevel，EncyptPrior，QKDstatus，EncyptType，F(xiàn)orward>

其中ID為策略編號(hào)；BType為業(yè)務(wù)類型，BLevel為業(yè)務(wù)等級(jí)，EncyptPrior為加密優(yōu)先級(jí)；QKDstatus為量子加密模塊提供的當(dāng)前量子密鑰分發(fā)系統(tǒng)的狀態(tài)，EncyptType為加密類型，F(xiàn)orward根據(jù)加密類型不同將業(yè)務(wù)流轉(zhuǎn)發(fā)的目的模塊，包括量子機(jī)密模塊或者傳統(tǒng)加密或網(wǎng)絡(luò)透?jìng)?不加密)模塊；

由用戶可以對(duì)網(wǎng)絡(luò)中的各種核心業(yè)務(wù)及常規(guī)業(yè)務(wù)進(jìn)行策略制定，舉例如<0001，1，1，working:2M:50k，QEN，QM>表示一個(gè)量子密鑰加密策略，序列號(hào)為1，業(yè)務(wù)類型為1類(用戶自定義，例如1類表示某一種網(wǎng)絡(luò)業(yè)務(wù)如某一類交易業(yè)務(wù))，業(yè)務(wù)級(jí)別1級(jí)(用戶定義，表示當(dāng)前業(yè)務(wù)需要的安全級(jí)別，別如1表示最高安全級(jí)別)，當(dāng)前通過量子加密模塊獲得的量子密鑰分配系統(tǒng)的狀態(tài)為：量子密鑰分發(fā)系統(tǒng)工作正常，量子密鑰finalkey的數(shù)量大于2M，量子密鑰成碼率大于50kbps；選擇量子密鑰加密方式通信，將此業(yè)務(wù)流量轉(zhuǎn)發(fā)至量子加密模塊進(jìn)行處理；

網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊4的具體實(shí)現(xiàn)方法：

網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密模塊4根據(jù)加密策略選擇模塊提供的指令，對(duì)不需要進(jìn)行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲(chǔ)轉(zhuǎn)發(fā)方式透明進(jìn)行傳輸；對(duì)于需要采用基于算法安全的傳統(tǒng)加密算法進(jìn)行加密的流量通過傳統(tǒng)的DES，AES，3DES，OTP，RSA，IPSEC等加密算法進(jìn)行加密，網(wǎng)絡(luò)透?jìng)骰騻鹘y(tǒng)加密方式分別使用不同的鏈路接口與對(duì)端進(jìn)行通信；

量子密鑰加密模塊5具體實(shí)現(xiàn)方法：

量子密鑰加密模塊5通過傳統(tǒng)鏈路和光纖量子密鑰分發(fā)鏈路與量子密鑰加密模塊5的分發(fā)設(shè)備相連接。量子密鑰加密模塊5，根據(jù)加密策略選擇模塊3的指令，通過量子鏈路與量子密鑰分發(fā)設(shè)備進(jìn)行協(xié)商，獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率，根據(jù)當(dāng)前進(jìn)行量子加密業(yè)務(wù)的密鑰需求，進(jìn)行判斷協(xié)商，具備量子密鑰分發(fā)的，進(jìn)行量子加密傳輸，密鑰不足或生成速度異常時(shí)，采用業(yè)務(wù)流量緩存及密鑰倍增技術(shù)保證量子保密通信的流暢傳輸。

如圖3所示是本發(fā)明的應(yīng)用在量子接入應(yīng)用網(wǎng)關(guān)系統(tǒng)的集成圖，本發(fā)明應(yīng)用的方法主要應(yīng)用在量子接入應(yīng)用網(wǎng)關(guān)中，位于網(wǎng)絡(luò)的總部和分支機(jī)構(gòu)或者營業(yè)網(wǎng)點(diǎn)的廣域網(wǎng)光纖鏈路的兩端，支持目前網(wǎng)絡(luò)多數(shù)采用的租用電信運(yùn)營商的SDH、ATM、PTN的光纖線路。圖中，設(shè)備1為網(wǎng)絡(luò)的量子保密通信網(wǎng)絡(luò)接入應(yīng)用網(wǎng)關(guān)，設(shè)備2為量子密鑰分發(fā)設(shè)備(QKD系統(tǒng))，兩端的量子密鑰分發(fā)設(shè)備分別為Alice端和Bob端，可以采用BB84協(xié)議，量子秘鑰分發(fā)協(xié)議對(duì)Alice端和Bob端雙方量子密鑰的生成、篩選、控制、同步等過程進(jìn)行管理。廣域網(wǎng)鏈路兩端的量子保密通信網(wǎng)關(guān)通過1個(gè)或多個(gè)傳統(tǒng)加密數(shù)據(jù)線路和1個(gè)量子加密鏈路相連，用于傳輸不同安全級(jí)別的加密數(shù)據(jù)流，兩端的量子密鑰分發(fā)設(shè)備通過量子密鑰分發(fā)鏈路連接，進(jìn)行基于單光子誘騙態(tài)的量子密鑰生成、同步、檢測(cè)、分發(fā)等工作，整個(gè)量子密鑰分發(fā)設(shè)備通過傳統(tǒng)數(shù)據(jù)鏈路和量子QKD鏈路與量子接入網(wǎng)關(guān)的量子加密模塊進(jìn)行通信，協(xié)商量子網(wǎng)絡(luò)核心業(yè)務(wù)流的量子加密。

本發(fā)明通過對(duì)網(wǎng)絡(luò)流量進(jìn)行基于應(yīng)用層的流量檢測(cè)和控制技術(shù)DPI(基于深度包檢測(cè)技術(shù))，實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)核心業(yè)務(wù)流量的區(qū)分和鑒別，對(duì)不同業(yè)務(wù)流量進(jìn)行分級(jí)加密，基于業(yè)務(wù)的安全級(jí)別，依據(jù)加密策略選擇量子密鑰分發(fā)加密或傳統(tǒng)加密方式，實(shí)現(xiàn)網(wǎng)絡(luò)的核心業(yè)務(wù)流量的量子保密通信，并兼顧了網(wǎng)絡(luò)業(yè)務(wù)的傳輸效率。

以上所述僅為本發(fā)明的較佳實(shí)施例而已，并不用以限制本發(fā)明，凡在本發(fā)明的精神和原則之內(nèi)所作的任何修改、等同替換和改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。