CN107659400A - 一种基于标识识别的量子保密通信方法及装置 - Google Patents
一种基于标识识别的量子保密通信方法及装置 Download PDFInfo
- Publication number
- CN107659400A CN107659400A CN201710910878.2A CN201710910878A CN107659400A CN 107659400 A CN107659400 A CN 107659400A CN 201710910878 A CN201710910878 A CN 201710910878A CN 107659400 A CN107659400 A CN 107659400A
- Authority
- CN
- China
- Prior art keywords
- data flow
- mode
- encryption
- quantum
- mark
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于标识识别的量子保密通信方法,应用于部署在网络出口处的量子应用网关,该方法包括以下步骤:获得待传输的数据流;对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式;使用实际处理方式对数据流进行相应处理,其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理;将处理后的数据流发送给接收方。应用本发明实施例所提供的方法,可以提高量子密钥有效利用率,节省量子保密通信网络资源,降低网络成本。本发明还公开了一种基于标识识别的量子保密通信装置,具有相应技术效果。
Description
技术领域
本发明涉及通信技术领域,特别是涉及一种基于标识识别的量子保密通信方法及装置。
背景技术
随着对数据安全的关注程度的提高,在数据传输过程中各种保密通信技术逐渐发展起来。量子通信技术是安全性得到严格证明的通信安全技术。在数据传输过程中,利用量子通信技术对待传输的数据流进行量子加密处理,将大大提高数据流的传输安全性。
但是,受技术限制,量子保密通信的量子密钥成码率较低,且量子密钥生成设备成本较高。在高带宽、大流量、多应用的网络环境下,考虑布网成本,无法对量子保密通信网络进行规模化扩容。在实际应用中,发送方并非对所有数据流都具有很高的安全需求。如果对所有待传输的数据流都进行量子加密处理,则将无法保证量子密钥复用安全性,量子密钥有效利用率较低,耗费的量子保密通信网络资源较多,网络成本较高。
发明内容
本发明的目的是提供一种基于标识识别的量子保密通信方法及装置,以提高量子密钥有效利用率,节省量子保密通信网络资源,降低网络成本。
为解决上述技术问题,本发明提供如下技术方案:
一种基于标识识别的量子保密通信方法,应用于部署在网络出口处的量子应用网关,包括:
获得待传输的数据流;
对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式;
使用所述实际处理方式对所述数据流进行相应处理,其中,在所述实际处理方式为量子加密方式时,对所述数据流进行量子加密处理;
将处理后的所述数据流发送给接收方。
在本发明的一种具体实施方式中,所述加密处理标识为:部署在发送方的标识部件基于用户选择的第一处理方式添加在所述数据流中的标识;
所述对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式,包括:
对所述数据流携带的加密处理标识进行识别,确定所述用户指定的所述第一处理方式;
如果所述第一处理方式为量子加密方式,则确定对所述数据流采用的实际处理方式为量子加密方式;
如果所述第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式。
在本发明的一种具体实施方式中,所述依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式,包括:
根据所述数据流的属性,在所述第一加密策略库中查找与所述属性对应的加密策略;
如果查找到,则确定查找到的加密策略对应的第二处理方式;
根据所述第一处理方式的安全等级和所述第二处理方式的安全等级,确定对所述数据流采用的实际处理方式。
在本发明的一种具体实施方式中,所述根据所述第一处理方式的安全等级和所述第二处理方式的安全等级,确定对所述数据流采用的实际处理方式,包括:
如果所述第一处理方式的安全等级高于或等于所述第二处理方式的安全等级,则将所述第一处理方式确定为对所述数据流采用的实际处理方式;
如果所述第一处理方式的安全等级低于所述第二处理方式的安全等级,则将所述第二处理方式确定为对所述数据流采用的实际处理方式。
在本发明的一种具体实施方式中,在所述第一加密策略库中未查找到与所述属性对应的加密策略时,还包括:
直接将所述第一处理方式确定为对所述数据流采用的实际处理方式。
在本发明的一种具体实施方式中,还包括:
获得用户加密行为数据;
根据所述用户加密行为数据,更新所述第一加密策略库中记录的加密策略。
在本发明的一种具体实施方式中,所述加密处理标识为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对所述数据流采用的实际处理方式的标识。
一种基于标识识别的量子保密通信装置,应用于部署在网络出口处的量子应用网关,包括:
数据流获得单元,用于获得待传输的数据流;
实际处理方式确定单元,用于对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式;
处理单元,用于使用所述实际处理方式对所述数据流进行相应处理,其中,在所述实际处理方式为量子加密方式时,对所述数据流进行量子加密处理;
数据流发送单元,用于将处理后的所述数据流发送给接收方。
在本发明的一种具体实施方式中,所述加密处理标识为:部署在发送方的标识部件基于用户选择的第一处理方式添加在所述数据流中的标识;
所述实际处理方式确定单元,具体用于:
对所述数据流携带的加密处理标识进行识别,确定所述用户指定的所述第一处理方式;
如果所述第一处理方式为量子加密方式,则确定对所述数据流采用的实际处理方式为量子加密方式;
如果所述第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式。
在本发明的一种具体实施方式中,所述加密处理标识为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对所述数据流采用的实际处理方式的标识。
应用本发明实施例所提供的技术方案,部署在网络出口处的量子应用网关获得待传输的数据流后,对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式,并对数据流进行相应处理,其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理,将处理后的数据流发送给接收方。细化了对数据流识别的控制粒度,保证量子保密通信为特定数据流服务,在满足用户对数据流量子加密需求的前提下,提高量子密钥有效利用率,节省了量子保密通信网络资源,降低了网络成本。
附图说明
为了更清楚地说明本发明实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明实施例中量子保密通信***拓扑图;
图2为本发明实施例中基于标识识别的量子保密通信方法的一种实施流程图;
图3为本发明实施例中一种标识部件的结构示意图;
图4为与图3对应的量子应用网关的结构示意图;
图5为本发明实施例中一种基于标识识别的量子保密通信装置的结构示意图;
图6为本发明实施例中基于标识识别的量子保密通信方法的另一种实施流程图;
图7为本发明实施例中另一种标识部件的结构示意图;
图8为与图7对应的量子应用网关的结构示意图。
具体实施方式
本发明的核心是提供一种基于标识识别的量子保密通信方法,该方法可以应用于部署在网络出口处的量子应用网关。
如图1所示,A端为发送端,B端为接收端。
在A端,多个客户端通过汇聚交换机和核心交换机与量子应用网关连接,服务器通过核心交换机与量子应用网关连接,还通过核心交换机和汇聚交换机与客户端连接,量子应用网关还与防火墙连接。在客户端和服务器中均部署有标识部件。
客户端或服务器等发送方根据用户的加密需求等通过标识部件对数据流进行不同安全等级的加密配置。数据流经交换机、路由器等网络设备处理,到达量子应用网关。量子应用网关确定对数据流的实际处理方式,并进行相应处理,将处理后的数据流通过防火墙经由互联网传输给B端的接收方。
B端具有相应架构,B端的量子应用网关接收经由防火墙传输过来的数据流,进行相应解密处理,转发给相应客户端。
为了使本技术领域的人员更好地理解本发明方案,下面结合附图和具体实施方式对本发明作进一步的详细说明。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图2所示,为本发明实施例所提供的一种基于标识识别的量子保密通信方法的实施流程图,该方法可以包括以下步骤:
S110:获得待传输的数据流。
在本发明实施例中,客户端和服务器均可作为发送方向接收方发送数据流。发送方将待传输的数据流发送给量子应用网关,通过量子应用网关进行相应处理后,传输给接收方。
量子应用网关获得待传输的数据流后,可以继续执行步骤S120的操作。
S120:对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式。
在本发明实施例中,待传输的数据流中可以携带加密处理标识,量子应用网关获得待传输的数据流后,可以对数据流中携带的加密处理标识进行识别,确定对数据流采用的实际处理方式。
在本发明的一个实施例中,加密处理标识可以为:部署在发送方的标识部件基于用户选择的第一处理方式添加在数据流中的标识,相应的,如图6所示,步骤S120可以包括以下步骤:
S121:对数据流携带的加密处理标识进行识别,确定用户指定的第一处理方式。
在本发明实施例中,客户端和服务器中均可部署标识部件。当客户端或服务器等发送方需要发送数据流给接收方时,可以根据实际情况,通过标识部件在待传输的数据流中添加加密处理标识,这样待传输的数据流将携带加密处理标识。
如图3所示,标识部件具体可以包括第一用户选择模块和第一标识模块。用户可以根据实际需要指定要对待传输的数据流采用哪种处理方式,具体的,可以通过第一用户选择模块选择量子加密、传统加密、不加密等不同安全等级的处理方式,第一标识模块根据第一用户选择模块输出的处理方式在待传输的数据流中添加相应的加密处理标识。如加密处理标识为量子加密标识,标识匹配参数可以包括:进程名、用户名、IP地址、IP端口、本地时间等。
服务器的标识部件可以对客户端数据流进行识别记录,其发出待传输的数据流之前,可以根据对客户端数据流的记录结果,匹配相应安全等级,在数据流中添加相应的加密处理标识。
量子应用网关获得待传输的数据流后,对数据流携带的加密处理标识进行识别,可以确定用户指定的第一处理方式。
在加密处理标识为不加密标识时,或者待传输的数据流未携带任何加密处理标识时,可以确定用户指定的第一处理方式为不加密方式;
在加密处理标识为量子加密标识时,可以确定用户指定的第一处理方式为量子加密方式;
在加密处理标识为传统加密标识时,可以确定用户指定的第一处理方式为传统加密方式。
其中,量子通信具有较高的安全性,量子加密方式的安全等级要高于传统加密方式的安全等级,同样,量子加密方式和传统加密方式的安全等级均高于不加密方式的安全等级。
S122:如果第一处理方式为量子加密方式,则确定对数据流采用的实际处理方式为量子加密方式。
在实际应用中,如果用户对待传输的数据流的传输安全性要求很高,用户可以选择量子加密方式为第一处理方式。部署在发送方的标识部件基于用户选择的第一处理方式,可以在待传输的数据流中添加量子加密标识。量子应用网关根据量子加密标识,可以确定用户指定的第一处理方式为量子加密方式,表明用户已经明确待传输的数据流需要进行较高安全级别的处理,从而可以直接确定对待传输的数据流采用的实际处理方式为量子加密方式。
S123:如果第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据第一加密策略库中记录的加密策略及第一处理方式,确定对数据流采用的实际处理方式。
量子应用网关可以预先获得一个第一加密策略库,该第一加密策略库中记录有一条或多条针对数据流的加密策略。在实际应用中,网络管理员可以手动添加针对特定用户、时间期间、应用程序等的数据流制定的加密策略。比如,针对投标、研发、法务、财务、人力、管理层等信息敏感群体的数据流制定的加密策略为量子加密;针对行政、质量、部分供应链、部分营销等数据流制定的加密策略为传统加密,针对客户、供应商等第三方的数据流制定的加密策略为不加密。
在本发明实施例中,量子应用网关可以获得用户加密行为数据,根据用户加密行为数据,更新第一加密策略库中记录的加密策略。比如,在设定时间段内,用户每次都会将邮件相关数据流添加上量子加密标识,则根据用户加密行为,可以针对该用户的邮件相关数据流制定的加密策略为量子加密。如果加密策略库中已经记录的该用户的邮件相关数据流对应的加密策略为传统加密,则可以将传统加密更新为量子加密。
具体的,量子应用网关可以通过客户端或服务器中部署的标识部件获得用户加密行为数据。如图3所示,标识部件还可以包括用户加密行为收集模块,用户加密行为收集模块收集标识模块的标识行为模式,上报给量子应用网关,用于加密策略分析。
如果第一处理方式非量子加密方式,则第一处理方式可能为不加密方式,或者为传统加密方式。在这种情况下,可以调取预先获得的第一加密策略库。在第一加密策略库中查找与数据流相关的加密策略。如果查找到,则基于查找到的加密策略和第一处理方式,确定对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,可以通过以下步骤依据第一加密策略库中记录的加密策略及第一处理方式,确定对数据流采用的实际处理方式:
步骤一:根据数据流的属性,在第一加密策略库中查找与属性对应的加密策略,如果查找到,则执行步骤二的操作;
步骤二:确定查找到的加密策略对应的第二处理方式;
步骤三:根据第一处理方式的安全等级和第二处理方式的安全等级,确定对数据流采用的实际处理方式。
为便于描述,将上述三个步骤结合起来进行说明。
数据流具有一定的属性,如类型、对应的发送方、对应的接收方、归属的应用程序等。根据数据流的属性,可以在第一加密策略库中查找与该属性对应的加密策略,如果查找到,则可以确定查找到的加密策略对应的第二处理方式。如果查找到的加密策略有多条,则可以将查找到的多条加密策略中安全级别最高的处理方式确定为第二处理方式,或者可以将查找到的多条加密策略中同样安全级别较多的处理方式确定为第二处理方式。
根据第一处理方式的安全等级和第二处理方式的安全等级,可以确定对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,如果第一处理方式的安全等级高于或等于第二处理方式的安全等级,则将第一处理方式确定为对数据流采用的实际处理方式;如果第一处理方式的安全等级低于第二处理方式的安全等级,则可以将第二处理方式确定为对数据流采用的实际处理方式。
可以理解的是,不同处理方式具有不同的安全等级,如,量子加密方式的安全等级高于传统加密方式的安全等级,传统加密方式的安全等级高于不加密方式的安全等级。
为保证数据流的安全传输,优先采用安全等级高的处理方式对数据流进行相应处理。如果第一处理方式的安全等级高于或者等于第二处理方式的安全等级,则表明用户希望提高数据流的安全性,可以将第一处理方式确定为对数据流采用的实际处理方式。如果第一处理方式的安全等级低于第二处理方式的安全等级,表明第一加密策略库中记录的与待传输的数据流的属性对应的加密策略具有更高安全等级,这可能因用户指定了错误的处理方式或者用户不清楚如何指定导致,在这种情况下,以第二加密处理方式为准,将第二加密处理方式确定为对数据流采用的实际处理方式。这样可以保证数据流的安全传输。
在本发明的一种具体实施方式中,如果在第一加密策略库中未查找到与待传输的数据流的属性对应的加密策略,则可以直接将第一处理方式确定为对数据流采用的实际处理方式。
在本发明的另一个实施例中,加密处理标识可以为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对数据流采用的实际处理方式的标识。
在本发明实施例中,部署在发送方的标识部件可以获得用户选择的第一处理方式,结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,可以确定对数据流采用的实际处理方式,并将对数据流采用的实际处理方式的标识添加在数据流中,使得数据流中携带有加密处理标识。这样,量子应用网关获得待传输的数据流后,即可通过对数据流中携带的加密处理标识,直接确定对数据流采用的实际处理方式。
在本发明实施例中,如图7所示,标识部件具体可以包括第二用户选择模块、第二标识模块、第二加密判断模块和第二加密策略库。用户可以根据实际需要指定要对待传输的数据流采用哪种处理方式,具体的,可以通过第二用户选择模块选择量子加密、传统加密、不加密等不同安全等级的处理方式。
第二加密判断模块通过第二用户选择模块可知用户选择的第一处理方式。第二加密判断模块结合第一处理方式及第二加密策略库中记录的加密策略,可以确定对数据流采用的实际处理方式。第二加密策略库中记录有一条或多条针对数据流的加密策略。
如,如果第一处理方式为量子加密方式,则确定对数据流采用的实际处理方式为量子加密方式;
如果第一处理方式非量子加密方式,则在第二加密策略库中查找与该数据流对应的加密策略。如果查找到,则确定查找到的加密策略对应的第二处理方式,在第一处理方式的安全等级高于或等于第二处理方式的安全等级时,将第一处理方式确定为对数据流采用的实际处理方式,在第一处理方式的安全等级低于第二处理方式的安全等级时,将第二处理方式确定为对数据流采用的实际处理方式。如果未查找到,则直接将第一处理方式确定为对数据流采用的实际处理方式。
第二加密判断模块确定对数据流采用的实际处理方式后,第二标识模块根据该实际处理方式在待传输的数据流中添加相应的加密处理标识。量子应用网关获得待传输的数据流后,即可基于该数据流中携带的加密处理标识确定对数据流采用的实际处理方式。
标识部件可以获得用户加密行为数据,根据用户加密行为数据,可以更新第二加密策略库中记录的加密策略。
S130:使用实际处理方式对数据流进行相应处理。
其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理。
确定对待传输的数据流采用的实际处理方式后,可以基于该实际处理方式,对数据流进行相应处理。
如实际处理方式为量子加密方式,则可以对数据流进行量子加密处理,如实际处理方式为传统加密方式,则可以对数据流进行传统加密处理,如实际处理方式为不加密方式,则可以对数据流做不加密处理。
量子应用网关对数据流进行量子加密处理,具体的,可以获取量子保密通信网络QKD(量子密钥分发)产生的量子密钥,使用量子密钥对待传输的数据流进行量子加密处理。
S150:将处理后的数据流发送给接收方。
确定对待传输的数据流采用的实际处理方式,并对数据流进行相应处理后,可以将处理后的数据流发送给接收方。具体的,如图1所示,量子应用网关可以将待传输的数据流通过防火墙经由互联网发送给接收方。
相应于图3所示实施例,图4示出了量子应用网关的一种结构,如图4所示,量子应用网关具体可以包括第一策略管理模块、第一加密策略库、第一标识识别模块、第一加密判断模块、第一数据流转发模块、第一量子加密模块和第一传统加密模块。
其中,第一策略管理模块可以接收网络管理员手动添加的加密策略,和/或对客户端标识部件上报的用户加密行为进行分析,自动生成加密策略,并在第一加密策略库中保存。
第一加密策略库主要存储第一策略管理模块生成的加密策略。
第一标识识别模块可以识别待传输的数据流中携带的加密处理标识,确定用户指定的第一处理方式,并输出给第一加密判断模块。
第一加密判断模块可以根据第一标识识别模块识别的结果及第一加密策略库的加密策略判断对数据流采用的实际处理方式。如量子加密方式、传统加密方式或不加密方式。
第一数据流转发模块可以对待传输的数据流进行转发处理,将第一加密判断模块判断为量子加密的数据流转发给第一量子加密模块,将第一加密判断模块判断为传统加密的数据流转发给第一传统加密模块,并将进行相应加密处理的数据流或第一加密判断模块判断为不加密的数据流转发给下一级设备,如防火墙,以通过防火墙经由互联网进行数据流的传输。
第一量子加密模块可以获取量子保密通信网络QKD产生的量子密钥,使用量子密钥对数据流进行加密处理,并将加密后的数据流传回第一数据流转发模块。
第一传统加密模块可以通过IKE(因特网密钥交换协)等技术生成传统密钥,使用传统密钥对数据流进行加密处理,并将加密后的数据流传回第一数据流转发模块。
本发明实施例是在数据流发送侧角度进行的描述,当接收端接收到数据流后,可以通过量子应用网关进行相应的解密处理并转发即可。本发明实施例对此不再赘述。
相应于图7所示实施例,图8示出了量子应用网关的一种结构,如图8所示,量子应用网关具体可以包括第二策略管理模块、第二标识识别模块、第二数据流转发模块、第二量子加密模块和第二传统加密模块。
其中,第二策略管理模块可以获得网络管理员手动添加特定用户、时间期间、应用程序等加密策略,将相关加密策略下发给标识部件,以在第二加密策略库中保存。
第二标识识别模块可以识别待传输的数据流中携带的加密处理标识,确定对数据流的实际处理方式,如量子加密方式、传统加密方式、不加密方式等,并将结果输出给第二数据流转发模块。
第二数据流转发模块可以对待传输的数据流进行转发处理,将第二标识识别模块输出为量子加密的数据流转发给第二量子加密模块,将第二标识识别模块输出为传统加密的数据流转发给第二传统加密模块,并将进行相应加密处理的数据流或第二标识识别模块确定为不加密的数据流转发给下一级设备。
第二量子加密模块可以获取量子保密通信网络QKD产生的量子密钥,使用量子密钥对数据流进行加密处理,并将加密后的数据流传回第二数据流转发模块。
第二传统加密模块可以通过IKE(因特网密钥交换协)等技术生成传统密钥,使用传统密钥对数据流进行加密处理,并将加密后的数据流传回第二数据流转发模块。
本发明实施例是在数据流发送侧角度进行的描述,当接收端接收到数据流后,可以通过量子应用网关进行相应的解密处理并转发即可。本发明实施例对此不再赘述。
应用本发明实施例所提供的方法,部署在网络出口处的量子应用网关获得待传输的数据流后,对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式,并对数据流进行相应处理,其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理,将处理后的数据流发送给接收方。细化了对数据流识别的控制粒度,保证量子保密通信为特定数据流服务,在满足用户对数据流量子加密需求的前提下,提高量子密钥有效利用率,节省了量子保密通信网络资源,降低了网络成本。
相应于上面的方法实施例,本发明实施例还提供了一种基于标识识别的量子保密通信装置,应用于部署在网络出口处的量子应用网关,下文描述的一种基于标识识别的量子保密通信装置与上文描述的一种基于标识识别的量子保密通信方法可相互对应参照。
参见图5所示,该装置包括以下单元:
数据流获得单元210,用于获得待传输的数据流;
实际处理方式确定单元220,用于对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式;
处理单元230,用于使用实际处理方式对数据流进行相应处理,其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理;
数据流发送单元240,用于将处理后的数据流发送给接收方。
应用本发明实施例所提供的装置,部署在网络出口处的量子应用网关获得待传输的数据流后,对数据流携带的加密处理标识进行识别,确定对数据流采用的实际处理方式,并对数据流进行相应处理,其中,在实际处理方式为量子加密方式时,对数据流进行量子加密处理,将处理后的数据流发送给接收方。细化了对数据流识别的控制粒度,保证量子保密通信为特定数据流服务,在满足用户对数据流量子加密需求的前提下,提高量子密钥有效利用率,节省了量子保密通信网络资源,降低了网络成本。
在本发明的一种具体实施方式中,加密处理标识为:部署在发送方的标识部件基于用户选择的第一处理方式添加在数据流中的标识;
实际处理方式确定单元220,具体用于:
对数据流携带的加密处理标识进行识别,确定用户指定的第一处理方式;
如果第一处理方式为量子加密方式,则确定对数据流采用的实际处理方式为量子加密方式;
如果第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据第一加密策略库中记录的加密策略及第一处理方式,确定对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,实际处理方式确定单元220,具体用于:
根据数据流的属性,在第一加密策略库中查找与属性对应的加密策略;
如果查找到,则确定查找到的加密策略对应的第二处理方式;
根据第一处理方式的安全等级和第二处理方式的安全等级,确定对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,实际处理方式确定单元220,具体用于:
如果第一处理方式的安全等级高于或等于第二处理方式的安全等级,则将第一处理方式确定为对数据流采用的实际处理方式;
如果第一处理方式的安全等级低于第二处理方式的安全等级,则将第二处理方式确定为对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,实际处理方式确定单元220,还用于:
在第一加密策略库中未查找到与属性对应的加密策略时,直接将第一处理方式确定为对数据流采用的实际处理方式。
在本发明的一种具体实施方式中,还包括加密策略更新单元,用于:
获得用户加密行为数据;
根据用户加密行为数据,更新第一加密策略库中记录的加密策略。
在本发明的一种具体实施方式中,加密处理标识为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对数据流采用的实际处理方式的标识。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言,由于其与实施例公开的方法相对应,所以描述的比较简单,相关之处参见方法部分说明即可。
专业人员还可以进一步意识到,结合本文中所公开的实施例描述的各示例的单元及算法步骤,能够以电子硬件、计算机软件或者二者的结合来实现,为了清楚地说明硬件和软件的可互换性,在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件方式来执行,取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能,但是这种实现不应认为超出本发明的范围。
结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块,或者二者的结合来实施。软件模块可以置于随机存储器(RAM)、内存、只读存储器(ROM)、电可编程ROM、电可擦除可编程ROM、寄存器、硬盘、可移动磁盘、CD-ROM、或技术领域内所公知的任意其它形式的存储介质中。
本文中应用了具体个例对本发明的原理及实施方式进行了阐述,以上实施例的说明只是用于帮助理解本发明的技术方案及其核心思想。应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以对本发明进行若干改进和修饰,这些改进和修饰也落入本发明权利要求的保护范围内。
Claims (10)
1.一种基于标识识别的量子保密通信方法,其特征在于,应用于部署在网络出口处的量子应用网关,包括:
获得待传输的数据流;
对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式;
使用所述实际处理方式对所述数据流进行相应处理,其中,在所述实际处理方式为量子加密方式时,对所述数据流进行量子加密处理;
将处理后的所述数据流发送给接收方。
2.根据权利要求1所述的方法,其特征在于,所述加密处理标识为:部署在发送方的标识部件基于用户选择的第一处理方式添加在所述数据流中的标识;
所述对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式,包括:
对所述数据流携带的加密处理标识进行识别,确定所述用户指定的所述第一处理方式;
如果所述第一处理方式为量子加密方式,则确定对所述数据流采用的实际处理方式为量子加密方式;
如果所述第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式。
3.根据权利要求2所述的方法,其特征在于,所述依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式,包括:
根据所述数据流的属性,在所述第一加密策略库中查找与所述属性对应的加密策略;
如果查找到,则确定查找到的加密策略对应的第二处理方式;
根据所述第一处理方式的安全等级和所述第二处理方式的安全等级,确定对所述数据流采用的实际处理方式。
4.根据权利要求3所述的方法,其特征在于,所述根据所述第一处理方式的安全等级和所述第二处理方式的安全等级,确定对所述数据流采用的实际处理方式,包括:
如果所述第一处理方式的安全等级高于或等于所述第二处理方式的安全等级,则将所述第一处理方式确定为对所述数据流采用的实际处理方式;
如果所述第一处理方式的安全等级低于所述第二处理方式的安全等级,则将所述第二处理方式确定为对所述数据流采用的实际处理方式。
5.根据权利要求3所述的方法,其特征在于,在所述第一加密策略库中未查找到与所述属性对应的加密策略时,还包括:
直接将所述第一处理方式确定为对所述数据流采用的实际处理方式。
6.根据权利要求2至5任一项所述的方法,其特征在于,还包括:
获得用户加密行为数据;
根据所述用户加密行为数据,更新所述第一加密策略库中记录的加密策略。
7.根据权利要求1所述的方法,其特征在于,所述加密处理标识为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对所述数据流采用的实际处理方式的标识。
8.一种基于标识识别的量子保密通信装置,其特征在于,应用于部署在网络出口处的量子应用网关,包括:
数据流获得单元,用于获得待传输的数据流;
实际处理方式确定单元,用于对所述数据流携带的加密处理标识进行识别,确定对所述数据流采用的实际处理方式;
处理单元,用于使用所述实际处理方式对所述数据流进行相应处理,其中,在所述实际处理方式为量子加密方式时,对所述数据流进行量子加密处理;
数据流发送单元,用于将处理后的所述数据流发送给接收方。
9.根据权利要求8所述的装置,其特征在于,所述加密处理标识为:部署在发送方的标识部件基于用户选择的第一处理方式添加在所述数据流中的标识;
所述实际处理方式确定单元,具体用于:
对所述数据流携带的加密处理标识进行识别,确定所述用户指定的所述第一处理方式;
如果所述第一处理方式为量子加密方式,则确定对所述数据流采用的实际处理方式为量子加密方式;
如果所述第一处理方式非量子加密方式,则调取预先获得的第一加密策略库,依据所述第一加密策略库中记录的加密策略及所述第一处理方式,确定对所述数据流采用的实际处理方式。
10.根据权利要求8所述的装置,其特征在于,所述加密处理标识为:部署在发送方的标识部件结合用户选择的第一处理方式及预先获得的第二加密策略库中的加密策略,确定的对所述数据流采用的实际处理方式的标识。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710910878.2A CN107659400B (zh) | 2017-09-29 | 2017-09-29 | 一种基于标识识别的量子保密通信方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710910878.2A CN107659400B (zh) | 2017-09-29 | 2017-09-29 | 一种基于标识识别的量子保密通信方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107659400A true CN107659400A (zh) | 2018-02-02 |
| CN107659400B CN107659400B (zh) | 2020-08-28 |
Family
ID=61117356
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710910878.2A Active CN107659400B (zh) | 2017-09-29 | 2017-09-29 | 一种基于标识识别的量子保密通信方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107659400B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683665A (zh) * | 2018-05-15 | 2018-10-19 | 国家电网公司 | 光纤通信中的数据加密方法、***及数据发送设备 |
| CN108696353A (zh) * | 2018-05-30 | 2018-10-23 | 厦门科华恒盛股份有限公司 | 一种量子密钥的分发方法及***、服务站 |
| CN109951381A (zh) * | 2019-04-24 | 2019-06-28 | 长春大学 | 一种基于量子密钥公共云服务平台的邮件安全传输方法 |
| CN112491537A (zh) * | 2020-11-10 | 2021-03-12 | 国网天津市电力公司 | 一种基于量子保密通信技术的电能计量***安全防护方法 |
Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7590868B2 (en) * | 2005-02-09 | 2009-09-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for managing encrypted data on a computer readable medium |
| CN103617401A (zh) * | 2013-11-25 | 2014-03-05 | 北京深思数盾科技有限公司 | 一种数据文件保护方法及装置 |
| CN103840936A (zh) * | 2014-02-28 | 2014-06-04 | 山东量子科学技术研究院有限公司 | 量子密码网络可靠加密传输***及方法 |
| CN103916239A (zh) * | 2014-04-09 | 2014-07-09 | 长春大学 | 一种用于金融证券网络的量子保密通信网关*** |
| CN105376051A (zh) * | 2014-08-29 | 2016-03-02 | 宇龙计算机通信科技(深圳)有限公司 | 一种加密方法、装置及终端 |
| CN105960811A (zh) * | 2014-01-29 | 2016-09-21 | 三星电子株式会社 | 用户终端设备及其受保护的通信方法 |
-
2017
- 2017-09-29 CN CN201710910878.2A patent/CN107659400B/zh active Active
Patent Citations (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7590868B2 (en) * | 2005-02-09 | 2009-09-15 | Hewlett-Packard Development Company, L.P. | Method and apparatus for managing encrypted data on a computer readable medium |
| CN103617401A (zh) * | 2013-11-25 | 2014-03-05 | 北京深思数盾科技有限公司 | 一种数据文件保护方法及装置 |
| CN105960811A (zh) * | 2014-01-29 | 2016-09-21 | 三星电子株式会社 | 用户终端设备及其受保护的通信方法 |
| CN103840936A (zh) * | 2014-02-28 | 2014-06-04 | 山东量子科学技术研究院有限公司 | 量子密码网络可靠加密传输***及方法 |
| CN103916239A (zh) * | 2014-04-09 | 2014-07-09 | 长春大学 | 一种用于金融证券网络的量子保密通信网关*** |
| CN105376051A (zh) * | 2014-08-29 | 2016-03-02 | 宇龙计算机通信科技(深圳)有限公司 | 一种加密方法、装置及终端 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108683665A (zh) * | 2018-05-15 | 2018-10-19 | 国家电网公司 | 光纤通信中的数据加密方法、***及数据发送设备 |
| CN108696353A (zh) * | 2018-05-30 | 2018-10-23 | 厦门科华恒盛股份有限公司 | 一种量子密钥的分发方法及***、服务站 |
| CN109951381A (zh) * | 2019-04-24 | 2019-06-28 | 长春大学 | 一种基于量子密钥公共云服务平台的邮件安全传输方法 |
| CN112491537A (zh) * | 2020-11-10 | 2021-03-12 | 国网天津市电力公司 | 一种基于量子保密通信技术的电能计量***安全防护方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN107659400B (zh) | 2020-08-28 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN105027493B (zh) | 安全移动应用连接总线 | |
| CN104486307B (zh) | 一种基于同态加密的分权密钥管理方法 | |
| CN110661620B (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
| CN104283853B (zh) | 一种提高信息安全性的方法、终端设备及网络设备 | |
| CN110311883A (zh) | 身份管理方法、设备、通信网络及存储介质 | |
| CN107659400A (zh) | 一种基于标识识别的量子保密通信方法及装置 | |
| CN106209739A (zh) | 云存储方法及*** | |
| US20200027081A1 (en) | Token management for enhanced omni-channel payments experience and analytics | |
| US10447591B2 (en) | Executing multiple virtual private network (VPN) endpoints associated with an endpoint pool address | |
| CN108259413B (zh) | 一种获取证书、鉴权的方法及网络设备 | |
| US20120278611A1 (en) | Vpn-based method and system for mobile communication terminal to access data securely | |
| CN108521393A (zh) | 数据交互方法、装置、***、计算机设备和存储介质 | |
| CN107078898A (zh) | 一种在多路径网络上建立安全私人互连的方法 | |
| US11418493B2 (en) | Identifying and securing unencrypted data in a production environment | |
| US11989329B2 (en) | System and method for privacy policy enforcement | |
| CN109617875A (zh) | 一种终端通信网的安全接入平台及其实现方法 | |
| CN104125230A (zh) | 一种短信认证服务***以及认证方法 | |
| CN108990062A (zh) | 智能安全Wi-Fi管理方法和*** | |
| CN107426223A (zh) | 云文档加密及解密方法、加密及解密装置、以及处理*** | |
| CN110198320A (zh) | 一种加密信息传输方法 | |
| CN108809631B (zh) | 一种量子密钥服务管理***及方法 | |
| CN103379103A (zh) | 线性与加密解密的硬件实现方法 | |
| CN107493287A (zh) | 工控网络数据安全*** | |
| CN116805078A (zh) | 一种基于大数据的物流信息平台数据智能管理***及方法 | |
| Bays et al. | A toolset for efficient privacy-oriented virtual network embedding and its instantiation on SDN/OpenFlow-based substrates |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| CB02 | Change of applicant information |
Address after: 361000 Ma Long Road 457, Torch Garden, Xiamen Torch High-tech Zone, Fujian Province Applicant after: Kehua Hengsheng Co., Ltd. Applicant after: Kehua Technology Co., Ltd., Zhangzhou Address before: 361000 torch garden, torch high tech Zone, Xiamen, Fujian 457 Applicant before: Xiamen Kehua Hengsheng Co., Ltd. Applicant before: Kehua Technology Co., Ltd., Zhangzhou |
|
| CB02 | Change of applicant information | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| CP01 | Change in the name or title of a patent holder |
Address after: 361000 Ma Long Road 457, Torch Garden, Xiamen Torch High-tech Zone, Fujian Province Patentee after: Kehua Data Co.,Ltd. Patentee after: ZHANGZHOU KEHUA TECHNOLOGY LIMITED BY SHARE Ltd. Address before: 361000 Ma Long Road 457, Torch Garden, Xiamen Torch High-tech Zone, Fujian Province Patentee before: XIAMEN KEHUAHENGSHENG LIMITED BY SHARE Ltd. Patentee before: ZHANGZHOU KEHUA TECHNOLOGY LIMITED BY SHARE Ltd. |
|
| CP01 | Change in the name or title of a patent holder |