本發(fā)明涉及通信，具體涉及一種全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)方法及系統(tǒng)。

背景技術(shù)：

1、虛擬專(zhuān)用網(wǎng)絡(luò)，簡(jiǎn)稱(chēng)虛擬專(zhuān)網(wǎng)(vpn)，其主要功能是在公用網(wǎng)絡(luò)上建立專(zhuān)用網(wǎng)絡(luò)，進(jìn)行加密通訊。在企業(yè)網(wǎng)絡(luò)中有廣泛應(yīng)用。vpn網(wǎng)關(guān)通過(guò)對(duì)數(shù)據(jù)包的加密和數(shù)據(jù)包目標(biāo)地址的轉(zhuǎn)換實(shí)現(xiàn)遠(yuǎn)程訪問(wèn)。

2、根據(jù)申請(qǐng)?zhí)枮?01910683782.6的專(zhuān)利《虛擬專(zhuān)網(wǎng)的調(diào)度方法和系統(tǒng)》中所述的：“邊緣節(jié)點(diǎn)之間可以直接通信，并且通過(guò)一次尋址到達(dá)目標(biāo)地址，從而可以提高虛擬專(zhuān)網(wǎng)中邊緣節(jié)點(diǎn)之間的通信速度以及網(wǎng)絡(luò)尋址速度。”可見(jiàn)，虛擬專(zhuān)網(wǎng)中的通信依賴于地址信息，在該專(zhuān)利中地址使用的是物理地址mac地址。由于通信依賴于地址信息，所以地址信息需要公開(kāi)才能被尋址到，這在數(shù)據(jù)傳輸?shù)倪^(guò)程中會(huì)被直接暴露，給了不法用戶仿冒截取地址信息以仿冒具有該地址的偽造設(shè)備，從而截獲本應(yīng)發(fā)給具有該地址的正常設(shè)備的數(shù)據(jù)，產(chǎn)生安全風(fēng)險(xiǎn)。

3、另外，兩個(gè)不同的虛擬專(zhuān)網(wǎng)a和b之間是相互隔離的，虛擬專(zhuān)網(wǎng)a和虛擬專(zhuān)網(wǎng)b均使用各自的內(nèi)網(wǎng)地址，這就使得虛擬專(zhuān)網(wǎng)a和b之間是無(wú)法直接使用內(nèi)網(wǎng)地址進(jìn)行通信的。

4、綜上，目前的虛擬專(zhuān)網(wǎng)依賴于已被公開(kāi)的地址信息進(jìn)行通信的方法造成了該虛擬專(zhuān)網(wǎng)容易被入侵、數(shù)據(jù)容易被竊取的風(fēng)險(xiǎn)；并且不同虛擬專(zhuān)網(wǎng)之間的隔離使得隸屬于不同專(zhuān)網(wǎng)之間的兩個(gè)設(shè)備通信困難。有鑒于此，當(dāng)前需要一個(gè)安全的虛擬專(zhuān)網(wǎng)解決通信安全的問(wèn)題以及通信隔離的問(wèn)題。

技術(shù)實(shí)現(xiàn)思路

1、發(fā)明目的：本發(fā)明目的是提供一種全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)方法及系統(tǒng)以解決現(xiàn)有技術(shù)中存在的問(wèn)題。

2、技術(shù)方案：本發(fā)明提供一種全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)方法，所述組網(wǎng)方法的參與方包括第一邊界基站、接入基站、客戶端、第二邊界基站，所述組網(wǎng)方法包含以下步驟：

3、步驟1：第一邊界基站與第二邊界基站通過(guò)互聯(lián)網(wǎng)建立連接，并同步原始密鑰文件；

4、步驟2：第一邊界基站與至少一個(gè)接入基站分別通過(guò)局域網(wǎng)建立連接，第二邊界基站與至少一個(gè)接入基站分別通過(guò)局域網(wǎng)建立連接，接入基站從第一邊界基站或第二邊界基站中獲取通信密鑰；

5、步驟3：接入基站接收至少一個(gè)客戶端的接入請(qǐng)求，基于所述接入請(qǐng)求，確定所述客戶端是否滿足組網(wǎng)接入條件，響應(yīng)于確定所述客戶端滿足組網(wǎng)接入條件，同意所述接入請(qǐng)求；響應(yīng)于確定所述客戶端不滿足組網(wǎng)接入條件，拒絕所述接入請(qǐng)求；

6、步驟4：接入基站基于同意接入請(qǐng)求的指示，通過(guò)互聯(lián)網(wǎng)與所述客戶端建立連接；

7、步驟5：接入基站為接入的客戶端分發(fā)通信密鑰。

8、作為本發(fā)明的一種改進(jìn)，所述第一邊界基站的內(nèi)部或外部配置有第一真隨機(jī)數(shù)發(fā)生器，所述第二邊界基站的內(nèi)部或外部配置有第二真隨機(jī)數(shù)發(fā)生器；在所述步驟1中，所述同步原始密鑰文件的具體過(guò)程為：

9、1-1：第一邊界基站基于第一真隨機(jī)數(shù)發(fā)生器產(chǎn)生第一組密鑰，形成長(zhǎng)度為n的第一密鑰文件；第二邊界基站基于第二真隨機(jī)數(shù)發(fā)生器產(chǎn)生第二組密鑰，形成長(zhǎng)度為n的第二密鑰文件；其中，第一密鑰文件和第二密鑰文件均為量子密鑰；

10、1-2：第一邊界基站將第一密鑰文件加密發(fā)送給第二邊界基站，第二邊界基站將第二密鑰文件加密發(fā)送給第一邊界基站；

11、1-3：第一邊界基站針對(duì)第一密鑰文件和第二密鑰文件執(zhí)行異或操作，得到并保存第三密鑰文件；第二邊界基站針對(duì)第二密鑰文件和第一密鑰文件執(zhí)行異或操作，得到并保存與第三密鑰文件相同的第四密鑰文件；其中，所述第三密鑰文件和第四密鑰文件為邊界基站為接入基站提供的原始密鑰文件。

12、作為本發(fā)明的一種改進(jìn)，所述第一邊界基站或第二邊界基站中設(shè)置有密鑰剩余量閾值，當(dāng)原始密鑰文件的大小低于密鑰剩余量閾值時(shí)，重復(fù)執(zhí)行步驟1-1至1-3。

13、作為本發(fā)明的一種改進(jìn)，在所述步驟3中，所述滿足組網(wǎng)接入條件的客戶端具有通信區(qū)、隔離區(qū)、安全區(qū)，其中，通信區(qū)設(shè)置有通信代理，用于客戶端與外界進(jìn)行通信，接收或發(fā)送數(shù)據(jù)；隔離區(qū)設(shè)置于通信區(qū)和安全區(qū)之間，用于連接通信區(qū)和安全區(qū)，設(shè)置有解密單元、加密單元、和應(yīng)答單元，解密單元用于對(duì)從通信區(qū)接收到的數(shù)據(jù)進(jìn)行解密，加密單元用于對(duì)從安全區(qū)發(fā)送出的數(shù)據(jù)進(jìn)行加密，應(yīng)答單元用于驗(yàn)證問(wèn)詢語(yǔ)句的數(shù)據(jù)格式，并對(duì)問(wèn)詢作出反饋；安全區(qū)設(shè)置有信息處理單元和密鑰單元，信息處理單元用于進(jìn)行客戶端中的數(shù)據(jù)處理過(guò)程，密鑰單元用于存儲(chǔ)接入基站分發(fā)的通信密鑰；其中，所述通信區(qū)的通信代理與隔離區(qū)的解密單元、加密單元分別連接，隔離區(qū)的解密單元與安全區(qū)的信息處理單元、密鑰單元分別連接，隔離區(qū)的加密單元與安全區(qū)的信息處理單元、密鑰單元分別連接，隔離區(qū)的解密單元還與隔離區(qū)的應(yīng)答單元連接。

14、作為本發(fā)明的一種改進(jìn)，在所述步驟3中，所述基于所述接入請(qǐng)求，確定所述客戶端是否滿足組網(wǎng)接入條件的具體過(guò)程為：

15、3-1：接入基站基于客戶端的接入請(qǐng)求，向客戶端發(fā)出問(wèn)詢q，并與客戶端協(xié)商一組通信密鑰k，使用所述通信密鑰k加密問(wèn)詢q，得到密文q⊕k，其中，所述問(wèn)詢q的數(shù)據(jù)格式為具備安全區(qū)的客戶端所認(rèn)可的數(shù)據(jù)格式，且所述問(wèn)詢q的接收對(duì)象為隔離區(qū)的應(yīng)答單元；

16、3-2：客戶端的通信代理將接收的密文q⊕k傳輸至隔離區(qū)的解密單元進(jìn)行解密，得到問(wèn)詢q，從解密得到的問(wèn)詢q中獲得問(wèn)詢的接收對(duì)象；

17、3-3：解密單元基于問(wèn)詢的接收對(duì)象將所述問(wèn)詢q發(fā)送至應(yīng)答單元；

18、3-4：應(yīng)答單元對(duì)所述問(wèn)詢q進(jìn)行數(shù)據(jù)格式的驗(yàn)證，響應(yīng)于驗(yàn)證通過(guò)，應(yīng)答單元響應(yīng)所述問(wèn)詢，反饋此次問(wèn)詢結(jié)果為是，確定所述客戶端滿足組網(wǎng)接入條件，同意所述接入請(qǐng)求；響應(yīng)于驗(yàn)證不通過(guò)，應(yīng)答單元拒絕響應(yīng)該問(wèn)詢，反饋此次問(wèn)詢結(jié)果為空，確定所述客戶端不滿足組網(wǎng)接入條件，拒絕所述接入請(qǐng)求，所述客戶端重新向所述接入基站發(fā)起接入請(qǐng)求。

19、作為本發(fā)明的一種改進(jìn)，所述步驟5的具體過(guò)程為：

20、5-1：接入基站向第一邊界基站或第二邊界基站請(qǐng)求密鑰，第一邊界基站或第二邊界基站響應(yīng)所述請(qǐng)求，從存儲(chǔ)的第三密鑰文件或第四密鑰文件中選取一部分發(fā)送給接入基站作為接入基站的種子密鑰；

21、5-2：接入基站監(jiān)測(cè)到與所述客戶端建立連接后，確定所述客戶端中密鑰單元的存儲(chǔ)大??；

22、5-3：接入基站基于步驟5-2中的客戶端中密鑰單元的存儲(chǔ)大小針對(duì)種子密鑰執(zhí)行擴(kuò)充算法，得到滿足存儲(chǔ)大小的擴(kuò)充密鑰文件；

23、5-4：接入基站將擴(kuò)充密鑰文件加密發(fā)送給所述客戶端；

24、5-5：所述客戶端的通信代理接收加密后的擴(kuò)充密鑰文件，將接收到的加密后的擴(kuò)充密鑰文件轉(zhuǎn)發(fā)至隔離區(qū)的解密單元進(jìn)行解密，解密單元將解密得到的擴(kuò)充密鑰文件傳輸至安全區(qū)的密鑰單元進(jìn)行存儲(chǔ)。

25、作為本發(fā)明的一種改進(jìn)，還提供一種全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)系統(tǒng)，所述組網(wǎng)系統(tǒng)采用如上文所述的全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)方法構(gòu)建，所述組網(wǎng)系統(tǒng)包括經(jīng)由互聯(lián)網(wǎng)連接的第一邊界基站和第二邊界基站，以及與第一邊界基站通過(guò)局域網(wǎng)相連接的至少一個(gè)接入基站、與第二邊界基站通過(guò)局域網(wǎng)相連接的至少一個(gè)接入基站，以及與接入基站連接的至少一個(gè)客戶端；

26、所述第一邊界基站和第二邊界基站用于界定局域網(wǎng)邊界，為接入基站提供密鑰，為通信鏈路提供跨區(qū)或跨局域網(wǎng)的密鑰中繼和中繼路由選擇；

27、所述接入基站用于從邊界基站獲取通信密鑰，判斷接入所述接入基站的客戶端是否滿足組網(wǎng)接入條件，為滿足組網(wǎng)接入條件并接入的客戶端分發(fā)通信密鑰；

28、所述客戶端用于承載用戶網(wǎng)絡(luò)通信。

29、作為本發(fā)明的一種改進(jìn)，所述第一邊界基站和第二邊界基站的內(nèi)部或外部分別配置有相對(duì)應(yīng)的第一真隨機(jī)數(shù)發(fā)生器和第二真隨機(jī)數(shù)發(fā)生器，以生成原始密鑰文件、并為相應(yīng)的接入基站提供種子密鑰。

30、作為本發(fā)明的一種改進(jìn)，所述第一邊界基站和/或所述第二邊界基站與多個(gè)接入基站對(duì)應(yīng)連接，每個(gè)接入基站接入有至少一個(gè)客戶端，每個(gè)接入基站和與其接入的至少一個(gè)客戶端構(gòu)成一個(gè)用戶組。

31、作為本發(fā)明的一種改進(jìn)，除第一邊界基站和第二邊界基站外，所述組網(wǎng)系統(tǒng)包括與第一邊界基站和第二邊界基站功能相同的其他邊界基站。

32、本發(fā)明的有益效果：

33、(1)通過(guò)本發(fā)明提出的一種全域量子安全虛擬專(zhuān)網(wǎng)的組網(wǎng)方法所構(gòu)建的組網(wǎng)系統(tǒng)中的各個(gè)客戶端中存儲(chǔ)的密鑰的種子密鑰均是由第一邊界基站或第二邊界基站分發(fā)給相應(yīng)的接入基站的，因此，本組網(wǎng)系統(tǒng)是基于量子密鑰關(guān)聯(lián)的一個(gè)組網(wǎng)系統(tǒng)，該組網(wǎng)系統(tǒng)中的各個(gè)客戶端基于從接入基站收到的擴(kuò)充密鑰文件中的密鑰進(jìn)行通信。

34、(2)區(qū)別于傳統(tǒng)虛擬專(zhuān)網(wǎng)基于內(nèi)網(wǎng)地址進(jìn)行通信的方式，本技術(shù)所得到的組網(wǎng)系統(tǒng)中的各客戶端依賴于有關(guān)聯(lián)的量子密鑰進(jìn)行通信，只要是基于第一邊界基站或第二邊界基站的原始密鑰得到密鑰文件的客戶端，均在該組網(wǎng)系統(tǒng)的通信范圍中。而邊界基站作為局域網(wǎng)邊界的網(wǎng)絡(luò)通信設(shè)備，可以直接與另一個(gè)局域網(wǎng)邊界的邊界基站進(jìn)行連接，使得兩個(gè)不同局域網(wǎng)中的客戶端中所存儲(chǔ)的量子密鑰具有關(guān)聯(lián)，基于該關(guān)聯(lián)的量子密鑰實(shí)現(xiàn)通信。不具有關(guān)聯(lián)的量子密鑰的客戶端之間，不屬于該組網(wǎng)系統(tǒng)，無(wú)法進(jìn)行通信。

35、(3)本組網(wǎng)方法中所涉及到的客戶端具有被隔離區(qū)隔離出來(lái)的安全區(qū)，該安全區(qū)不直接與外界通信，外界也無(wú)法直接連接到該安全區(qū)，使得客戶端的安全區(qū)處于公網(wǎng)不可見(jiàn)、信息不可破的狀態(tài)，可以看作是一個(gè)完全隱身的網(wǎng)絡(luò)環(huán)境，在這樣的情況下，整個(gè)組網(wǎng)中針對(duì)客戶端的密鑰分發(fā)、密鑰中繼都是安全的。

36、(4)本組網(wǎng)方法中的各設(shè)備，例如，便捷基站、接入基站、用戶端都是部署于互聯(lián)網(wǎng)(即，公網(wǎng))中，融合了公網(wǎng)和虛擬專(zhuān)網(wǎng)的通信技術(shù)，可直接復(fù)用現(xiàn)有的公網(wǎng)系統(tǒng)，而無(wú)需重新部署專(zhuān)線，降低了部署成本，提高了部署效率，實(shí)現(xiàn)公專(zhuān)雙通道的融合通信和數(shù)據(jù)的安全隔離，使業(yè)務(wù)側(cè)能夠根據(jù)用戶需求更加靈活地接入公網(wǎng)和虛擬專(zhuān)網(wǎng)，滿足多樣化的通信需求。