技術(shù)特征:1.一種基于DPI的量子秘鑰分發(fā)方法����,其特征在于��,該方法采用以下模塊:網(wǎng)絡(luò)接入模塊(1)����、DPI分析模塊(2)、加密策略選擇模塊(3)���、網(wǎng)絡(luò)透傳或傳統(tǒng)加密模塊(4)����、量子密鑰加密模塊(5)與策略庫(6)���;
網(wǎng)關(guān)系統(tǒng)工作在網(wǎng)絡(luò)廣域網(wǎng)與局域業(yè)務(wù)網(wǎng)絡(luò)及辦公網(wǎng)絡(luò)連接處����;
所述網(wǎng)絡(luò)接入模塊(1)����,具有可擴展性網(wǎng)絡(luò)接口選擇的功能,根據(jù)實際網(wǎng)絡(luò)布線的需要����,板載多個PCI-E接口���,通過轉(zhuǎn)換模組連接各種廣域網(wǎng)端接口和局域網(wǎng)端接口;
所述DPI分析模塊(2)與網(wǎng)絡(luò)接入模塊(1)連接�����,用于對網(wǎng)絡(luò)數(shù)據(jù)流進行深度數(shù)據(jù)包檢測���,通過對網(wǎng)絡(luò)流量特征分析��,識別網(wǎng)絡(luò)流量中各種應(yīng)用及其內(nèi)容的指紋特征,根據(jù)進入DPI分析模塊(2)的數(shù)據(jù)流進行業(yè)務(wù)分類���,對于辦公網(wǎng)絡(luò)使用的常規(guī)業(yè)務(wù)應(yīng)用以及網(wǎng)絡(luò)中的核心業(yè)務(wù)及交易業(yè)務(wù)進行區(qū)分標(biāo)識����,提交給加密策略選擇模塊(3)�;
所述加密策略選擇模塊(3)與DPI分析模塊(2)連接,用于根據(jù)網(wǎng)絡(luò)中實際各種業(yè)務(wù)安全需求級別����,以及量子密鑰加密模塊(5)量子密鑰生成狀態(tài)�����,根據(jù)用戶事先在策略庫(6)中定義加密策略����,將加密策略的優(yōu)先級分為:必須量子加密����、根據(jù)量子密鑰狀態(tài)選擇量子密鑰加密或傳統(tǒng)加密、只需傳統(tǒng)加密��、不需加密四個等級���;
所述網(wǎng)絡(luò)透傳或傳統(tǒng)密鑰加密模塊(4)與加密策略選擇模塊(3)連接�,用于根據(jù)加密策略選擇模塊(3)提供的指令����,對不需要進行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲轉(zhuǎn)發(fā)方式透明進行傳輸;對于需要采用基于算法安全的傳統(tǒng)加密算法進行加密的流量通過DES��,AES��,3DES,OTP�,RSA,IPSEC加密算法進行加密����;
所述量子密鑰加密模塊(5)與加密策略選擇模塊(3)連接,用于根據(jù)加密策略選擇模塊(3)指令�,通過量子鏈路與量子密鑰分發(fā)設(shè)備進行協(xié)商,獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率�����,根據(jù)當(dāng)前進行量子加密業(yè)務(wù)的密鑰需求�,進行判斷協(xié)商;具備量子密鑰分發(fā)條件的�����,進行量子加密傳輸�;密鑰不足或生成速度異常時�����,采用業(yè)務(wù)流量緩存或密鑰倍增技術(shù)保證量子保密通信的流暢傳輸�����;
所述策略庫(6)與加密策略選擇模塊(3)連接,用于定義加密策略�����。
2.根據(jù)權(quán)利要求1所述的基于DPI的量子秘鑰分發(fā)方法�,其特征在于,廣域網(wǎng)端接口�����,包括模擬�、ISDN BRI、E1/T1/T1��、GSM/WCDMA�����,接入網(wǎng)絡(luò)廣泛使用的SDH����、ATM、PTN專用線路����;局域網(wǎng)接口通過轉(zhuǎn)換模組連接各種局域網(wǎng)接口�,包括單模光纖接口�����、多模光纖接口��、以及以太網(wǎng)RJ-45接口�,可接入與局域網(wǎng)中的路由器、防火墻或交換機的網(wǎng)絡(luò)設(shè)備連接�。
3.根據(jù)權(quán)利要求1所述的基于DPI的量子秘鑰分發(fā)方法,其特征在于�����,DPI模塊分析模塊(2)的具體實現(xiàn)方法:
DPI引擎啟動后�,根據(jù)網(wǎng)絡(luò)中不同業(yè)務(wù)所使用的應(yīng)用層協(xié)議類型、協(xié)議端口以及網(wǎng)絡(luò)數(shù)據(jù)包中的荷載信息��,利用特征提取算法對流量特征進行提取�,特征提取算法包括對應(yīng)用協(xié)議類型、協(xié)議端口映射為對象的特征提取��,包括對數(shù)據(jù)包深層具體載荷為對象的特征提取�,和針對網(wǎng)絡(luò)流統(tǒng)計特征的特征提取,DPI引擎通過深度挖掘應(yīng)用協(xié)議網(wǎng)絡(luò)數(shù)據(jù)包中常出現(xiàn)的穩(wěn)定的獨特的特征字符串�,特征字符串是用于標(biāo)識網(wǎng)絡(luò)通信協(xié)議特征碼,通過全局特征向量Hash映射表與核心業(yè)務(wù)特征庫進行匹配���,識別出當(dāng)前網(wǎng)絡(luò)數(shù)據(jù)流是否屬于網(wǎng)絡(luò)中需要通過量子加密保證其高度安全性的核心業(yè)務(wù)流量����,對于進行完業(yè)務(wù)分類的流量�����,可有效的對其是否屬于網(wǎng)絡(luò)核心業(yè)務(wù)進行標(biāo)識����。
4.根據(jù)權(quán)利要求3所述的基于DPI的量子秘鑰分發(fā)方法,其特征在于�,判斷所述流量特征與目標(biāo)業(yè)務(wù)類特征相關(guān)度時采用信息論中的互信息并歸一化后度量,不同流量特征與目標(biāo)業(yè)務(wù)類特征的相關(guān)度表示為R(f���,class)�,計算方法如下式:
其中f和class分別表示網(wǎng)絡(luò)流量特征和目標(biāo)業(yè)務(wù)類�,H(f)和H(class)分別表示f和class的熵,I(f���;class)為f和class的互信息�;
熵是隨機變量不確定性的度量,一個離散隨機變量X���,取值空間為SX�,概率密度函數(shù)為p(x)�,x∈SX,則X的熵定義為:
兩個離散隨機變量X和Y共享信息的程度用互信息來度量:
在變量Z已知的條件下�,變量X和Y共享信息的程度用條件互信息來度量:
5.根據(jù)權(quán)利要求1所述的基于DPI的量子秘鑰分發(fā)方法,其特征在于���,所述加密策略選擇模塊(3)的安全策略由安全管理員制定并存儲于策略庫中���,用以對各種已經(jīng)確定業(yè)務(wù)分類的流量進行不同級別的配置,以7元組形式表示為:
P=<ID����,BType,BLevel�,EncyptPrior,QKDstatus��,EncyptType�,F(xiàn)orward>
其中ID為策略編號�;BType為業(yè)務(wù)類型�����,BLevel為業(yè)務(wù)等級��,EncyptPrior為加密優(yōu)先級���;QKDstatus為量子加密模塊提供的當(dāng)前量子密鑰分發(fā)系統(tǒng)的狀態(tài),EncyptType為加密類型���,F(xiàn)orward為根據(jù)加密類型不同將業(yè)務(wù)流轉(zhuǎn)發(fā)的目的模塊��,包括量子密鑰加密模塊或者網(wǎng)路透傳或傳統(tǒng)加密模塊或不加密模塊����。
6.根據(jù)權(quán)利要求1所述的基于DPI的量子秘鑰分發(fā)方法���,其特征在于�,所述網(wǎng)絡(luò)透傳或傳統(tǒng)加密模塊(4)根據(jù)加密策略選擇模塊提供的指令����,對不需要進行加密的網(wǎng)絡(luò)業(yè)務(wù)流量通過存儲轉(zhuǎn)發(fā)方式透明進行傳輸����;對于需要采用基于算法安全的傳統(tǒng)加密算法進行加密的流量通過傳統(tǒng)的DES��,AES����,3DES,OTP����,RSA,IPSEC加密算法進行加密�,網(wǎng)絡(luò)透傳或傳統(tǒng)加密方式分別使用不同的鏈路接口與對端進行通信。
7.根據(jù)權(quán)利要求1所述的基于DPI的量子秘鑰分發(fā)方法����,其特征在于,所述量子密鑰加密模塊(5)通過傳統(tǒng)鏈路和光纖量子密鑰分發(fā)鏈路與量子密鑰加密模塊(5)的分發(fā)設(shè)備相連接���;量子密鑰加密模塊(5)根據(jù)加密策略選擇模塊(3)的指令�����,通過量子鏈路與量子密鑰分發(fā)設(shè)備進行協(xié)商���,獲取當(dāng)前量子密鑰數(shù)量以及量子密鑰成碼率����,根據(jù)當(dāng)前進行量子加密業(yè)務(wù)的密鑰需求���,進行判斷協(xié)商,具備量子密鑰分發(fā)的���,進行量子加密傳輸�,密鑰不足或生成速度異常時��,采用業(yè)務(wù)流量緩存及密鑰倍增技術(shù)保證量子保密通信的流暢傳輸�����。