[发明专利]一种基于DPI的量子秘钥分发方法

摘要

本发明公开了一种基于DPI的量子秘钥分发方法，该系统的DPI分析模块对网络数据流进行应用层分析，识别出各种应用的业务类型并提交给加密策略选择模块；加密策略选择模块对不同安全级别的业务进行按照优先级的量子密钥加密或者传统密钥加密或者选择透明传输；网络透传或传统密钥加密模块进行无加密的透明传输或基于算法安全的传统加密算法进行加密；量子密钥加密模块进行量子加密传输。本发明实现对网络核心业务流量的区分和鉴别，对不同业务流量进行分级加密，依据加密策略选择量子密钥分发加密或传统加密方式，实现了网络的核心业务流量的量子保密通信，并兼顾了网络业务的传输效率。

主权项

一种基于DPI的量子秘钥分发方法，其特征在于，该方法采用以下模块：网络接入模块(1)、DPI分析模块(2)、加密策略选择模块(3)、网络透传或传统加密模块(4)、量子密钥加密模块(5)与策略库(6)；网关系统工作在网络广域网与局域业务网络及办公网络连接处；所述网络接入模块(1)，具有可扩展性网络接口选择的功能，根据实际网络布线的需要，板载多个PCI‑E接口，通过转换模组连接各种广域网端接口和局域网端接口；所述DPI分析模块(2)与网络接入模块(1)连接，用于对网络数据流进行深度数据包检测，通过对网络流量特征分析，识别网络流量中各种应用及其内容的指纹特征，根据进入DPI分析模块(2)的数据流进行业务分类，对于办公网络使用的常规业务应用以及网络中的核心业务及交易业务进行区分标识，提交给加密策略选择模块(3)；所述加密策略选择模块(3)与DPI分析模块(2)连接，用于根据网络中实际各种业务安全需求级别，以及量子密钥加密模块(5)量子密钥生成状态，根据用户事先在策略库(6)中定义加密策略，将加密策略的优先级分为：必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级；所述网络透传或传统密钥加密模块(4)与加密策略选择模块(3)连接，用于根据加密策略选择模块(3)提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过DES，AES，3DES，OTP，RSA，IPSEC加密算法进行加密；所述量子密钥加密模块(5)与加密策略选择模块(3)连接，用于根据加密策略选择模块(3)指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商；具备量子密钥分发条件的，进行量子加密传输；密钥不足或生成速度异常时，采用业务流量缓存或密钥倍增技术保证量子保密通信的流畅传输；所述策略库(6)与加密策略选择模块(3)连接，用于定义加密策略。