CN110011939B - 一种支持量子密钥进行数据加密以太网交换机 - Google Patents

一种支持量子密钥进行数据加密以太网交换机 Download PDF

Info

Publication number
CN110011939B
CN110011939B CN201910295690.0A CN201910295690A CN110011939B CN 110011939 B CN110011939 B CN 110011939B CN 201910295690 A CN201910295690 A CN 201910295690A CN 110011939 B CN110011939 B CN 110011939B
Authority
CN
China
Prior art keywords
data
encryption
module
key
queue
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201910295690.0A
Other languages
English (en)
Other versions
CN110011939A (zh
Inventor
于洋
胡继强
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Wentian dingxun quantum technology (Wuxi) Co.,Ltd.
Original Assignee
Wuxi Sinoking Comm Xintong Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Wuxi Sinoking Comm Xintong Technology Co ltd filed Critical Wuxi Sinoking Comm Xintong Technology Co ltd
Priority to CN201910295690.0A priority Critical patent/CN110011939B/zh
Publication of CN110011939A publication Critical patent/CN110011939A/zh
Application granted granted Critical
Publication of CN110011939B publication Critical patent/CN110011939B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L49/00Packet switching elements
    • H04L49/35Switches specially adapted for specific applications
    • H04L49/351Switches specially adapted for specific applications for local area network [LAN], e.g. Ethernet switches
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开了一种支持量子密钥进行数据加密以太网交换机,由交换模块、管理模块、数据加密模块三个部分组成,交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元。本发明实现基于以太网帧的量子密钥加密,同时与标准二层以太网交换机功能叠加集成,实现“二层以太网交换机+量子密钥数据加密”,简化量子密钥加密网络的设计及部署。

Description

一种支持量子密钥进行数据加密以太网交换机
技术领域
本发明涉及以太网交换机技术领域,尤其涉及一种支持量子密钥进行数据加密以太网交换机。
背景技术
近年来随着量子通信技术的蓬勃发展,基于量子密钥进行数据加密的数据安全***被广泛的应用到了电力、能源、金融、交通等各个行业,量子密钥以真随机性、不可复制性被行业广泛认可为天然安全的密钥、不可破解的密钥。现阶段量子密钥加密的组网方案如图4所示,由图可知现阶段量子密钥加密的两点之间主流组网方式为:量子密钥分发设备(QKD)通过独立的光纤通道进行基于光量子的秘钥生产,生产出来的量子密钥存放在量子密钥存储设备(QKM)中,然后通过量子加密设备(QVPN)实现对数据通道的量子加密并在经典信道TCP/IP网络中传送。
采用上述组网方式实现的量子保密通信目前主要存在如下两个瓶颈,一是只能实现通道级的加密:现阶段量子密钥加密普遍采用VPN设备实现通道级的加密,对接入通道中传输的数据进行全加密,无法实现对于数据包的加密;二是组网设备中必须增加量子加密设备(VPN):如果要实现量子密钥对数据的加密必须在需要加密的网络中增加VPN设备,否则无法将明文传输转换成添加密钥的密文传输。在网络中增加VPN设备,增加了网络的故障点、增加了数据加密的复杂性及影响网络整体规划。让基于量子密钥进行数据加密变的困难复杂。
为此,发明人期望提供一种新的支持量子密钥进行数据加密的以太网交换机。
发明内容
本发明的目的在于克服现有技术中存在的上述问题,提供一种支持量子密钥进行数据加密以太网交换机。
为实现上述技术目的,达到上述技术效果,本发明是通过以下技术方案实现:
一种支持量子密钥进行数据加密以太网交换机,该以太网交换机由交换模块、管理模块、数据加密模块三个部分组成,所述交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,所述管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,所述数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元;
所述数据加密模块的加密方法包含以下步骤:
S1:数据帧从交换机的10GE端口进入FPGA;
S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发;
S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;
S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;
S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pause帧,进行流控。
进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述步骤S2中分发规则是:每次分发一个完整数据帧进入一个队列。
进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述步骤S5中光模块向交换芯片发送pause帧时,数据帧从线路接口即光模块侧进入FPGA;首先由解密模块根据事先设定解密标准及密钥长度,对数据帧进行解密,解密完成后数据帧由分发模块按照最短队列优先原则送入相应的egr队列,对应队列的Hash模块对数据帧的摘要进行校验,检测校验错误,更新错误统计计数器,并且如果摘要错误,对数据帧进行标记,在ingress侧按照保序调度从队列中读出数据帧依次输出到交换芯片。
进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述对数据帧进行标记是指可以直接丢弃,或者造CRC错误再由交换芯片来丢弃。
进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述FPGA根据管理模块配置的参数和给定的密钥进行信息摘要和加解密功能,密钥分发、设置、以及加密信道两端状态,配置包括加密方案、信息摘要方案以及参数设定。
进一步地,上述支持量子密钥进行数据加密以太网交换机中,所述参数设定包括密钥长度和密钥值的设定。
本发明的有益效果是:
本发明提供了一种支持量子密钥进行数据加密的以太网交换机,实现基于以太网帧的量子密钥加密,同时与标准二层以太网交换机功能叠加集成,实现“二层以太网交换机+量子密钥数据加密”,简化量子密钥加密网络的设计及部署。
当然,实施本发明的任一产品并不一定需要同时达到以上的所有优点。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本发明以太网交换机的组成示意图;
图2为本发明中数据加密模块的工作原理图;
图3为本发明中数据帧的处理过程示意图;
图4为背景技术中量子密钥加密的组网方案示意图;
附图中,各标号所代表的部件列表如下:
1-交换模块,2-管理模块,3-数据加密模块。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其它实施例,都属于本发明保护的范围。
请参阅图1-3所示,本实施例为一种支持量子密钥进行数据加密以太网交换机,该以太网交换机由交换模块1、管理模块2、数据加密模块3三个部分组成。
交换模块1包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元。
管理模块2包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元。
数据加密模块3包含能够对应实现数据加密、数据摘要功能的功能单元;数据加密模块3的加密方法包含以下步骤:
S1:数据帧从交换机的10GE端口进入FPGA;
S2:FPGA收到数据包之后进行按照最短队列长度优先的规则进行在八个ingress队列中进行分发,每次分发一个完整数据帧进入一个队列;
S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;
S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;
S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pause帧,进行流控。光模块向交换芯片发送pause帧时,数据帧从线路接口即光模块侧进入FPGA;首先由解密模块根据事先设定解密标准及密钥长度,对数据帧进行解密,解密完成后数据帧由分发模块按照最短队列优先原则送入相应的egr队列,对应队列的Hash模块对数据帧的摘要进行校验,检测校验错误,更新错误统计计数器,并且如果摘要错误,对数据帧进行标记,在ingress侧按照保序调度从队列中读出数据帧依次输出到交换芯片。对数据帧进行标记是指可以直接丢弃,或者造CRC错误再由交换芯片来丢弃。
数据帧处理的过程如图3所示,现采用了对以太网整帧加密的方案,避免对以太网帧进行切割重组,降低实现复杂度。FPGA根据管理模块2配置的参数和给定的密钥进行信息摘要和加解密功能,密钥分发、设置、以及加密信道两端状态,配置包括加密方案、信息摘要方案以及参数设定,参数设定包括密钥长度和密钥值的设定。
本实施例提供了一种支持量子密钥进行数据加密的以太网交换机,实现基于以太网帧的量子密钥加密,同时与标准二层以太网交换机功能叠加集成,实现“二层以太网交换机+量子密钥数据加密”,简化量子密钥加密网络的设计及部署。
在本说明书的描述中,参考术语“一个实施例”、“示例”、“具体示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
以上公开的本发明优选实施例只是用于帮助阐述本发明。优选实施例并没有详尽叙述所有的细节,也不限制该发明仅为所述的具体实施方式。显然,根据本说明书的内容,可作很多的修改和变化。本说明书选取并具体描述这些实施例,是为了更好地解释本发明的原理和实际应用,从而使所属技术领域技术人员能很好地理解和利用本发明。本发明仅受权利要求书及其全部范围和等效物的限制。

Claims (6)

1.一种支持量子密钥进行数据加密以太网交换机,其特征在于:该以太网交换机由交换模块、管理模块、数据加密模块三个部分组成,所述交换模块包含能够对应实现二层以太网交换机的包复制转发功能、端口聚合、端口映射、VLAN、ACL、IGMP、Qos、STP、MSTP、RSTP、AAA认证、RADIUS认证、DHCP、SNMP、ARP标准二层以太网功能的功能单元,所述管理模块包含能够对应实现交换机管理、加密管理、密钥管理、流量控制功能的功能单元,所述数据加密模块包含能够对应实现数据加密、数据摘要功能的功能单元;
所述数据加密模块的加密方法包含以下步骤:
S1:数据帧从交换机的10GE端口进入FPGA;
S2:FPGA收到数据包之后按照最短队列长度优先的规则,在八个ingress队列中进行分发;
S3:每个ingress队列对应的hash模块从队列中读出数据帧,按照SM3标准和SHA标准对数据帧进行填充对齐,然后对数据帧从帧头到帧尾进行数据摘要操作,在数据帧尾部附加256bit或160bit信息摘要,然后将数据帧写入egress队列;
S4:在egress队列的后面设有一个保序调度器模块,保序调度器模块能够按照数据包在交换芯片侧进入的顺序,来调度8个egress队列中的数据帧输出到加密模块;
S5:从egress队列中调度出来的数据帧经过AES/SM4加密后进入10GE接口模块,发送到线路接口即光模块上;如果ingress队列长度超过门限,则光模块向交换芯片发送pause帧,进行流量控制。
2.根据权利要求1所述的支持量子密钥进行数据加密以太网交换机,其特征在于:所述步骤S2中分发规则是:每次分发一个完整数据帧进入一个队列。
3.根据权利要求1所述的支持量子密钥进行数据加密以太网交换机,其特征在于:所述步骤S5中光模块向交换芯片发送pause帧时,数据帧从线路接口即光模块侧进入FPGA;首先由解密模块根据事先设定解密标准及密钥长度,对数据帧进行解密,解密完成后数据帧由分发模块按照最短队列优先原则送入相应的egress队列,对应队列的hash模块对数据帧的摘要进行校验,检测校验错误,更新错误统计计数器,并且如果摘要错误,对数据帧进行标记,在ingress侧按照保序调度从队列中读出数据帧依次输出到交换芯片。
4.根据权利要求3所述的支持量子密钥进行数据加密以太网交换机,其特征在于:所述对数据帧进行标记是指可以直接丢弃,数据造成了CRC错误再由交换芯片来丢弃。
5.根据权利要求1所述的支持量子密钥进行数据加密以太网交换机,其特征在于:所述FPGA根据管理模块配置的参数和给定的密钥进行信息摘要和加解密功能,密钥分发、设置、以及加密通道两端的状态,配置包括加密方案、信息摘要方案以及参数设定。
6.根据权利要求5所述的支持量子密钥进行数据加密以太网交换机,其特征在于:所述参数设定包括密钥长度和密钥值的设定。
CN201910295690.0A 2019-04-12 2019-04-12 一种支持量子密钥进行数据加密以太网交换机 Active CN110011939B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910295690.0A CN110011939B (zh) 2019-04-12 2019-04-12 一种支持量子密钥进行数据加密以太网交换机

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910295690.0A CN110011939B (zh) 2019-04-12 2019-04-12 一种支持量子密钥进行数据加密以太网交换机

Publications (2)

Publication Number Publication Date
CN110011939A CN110011939A (zh) 2019-07-12
CN110011939B true CN110011939B (zh) 2021-06-01

Family

ID=67171566

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910295690.0A Active CN110011939B (zh) 2019-04-12 2019-04-12 一种支持量子密钥进行数据加密以太网交换机

Country Status (1)

Country Link
CN (1) CN110011939B (zh)

Families Citing this family (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110971407B (zh) * 2019-12-19 2022-06-24 江苏亨通工控安全研究院有限公司 基于量子秘钥的物联网安全网关通信方法
CN111884798B (zh) * 2020-07-22 2023-04-07 全球能源互联网研究院有限公司 一种电力业务量子加密***
CN116170232B (zh) * 2023-04-21 2023-06-23 安徽中科锟铻量子工业互联网有限公司 量子网关数据显示管理***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104539553A (zh) * 2014-12-18 2015-04-22 盛科网络(苏州)有限公司 以太网芯片中实现流量控制的方法及装置
WO2015070393A1 (en) * 2013-11-13 2015-05-21 Qualcomm Incorporated Method and apparatus for qcn-like cross-chip function in multi-stage ethernet switching
CN105656655A (zh) * 2014-11-14 2016-06-08 华为技术有限公司 一种网络安全管理方法、装置,及***
CN206135937U (zh) * 2016-11-15 2017-04-26 上海国盾量子信息技术有限公司 一种用于量子密钥分发***的自动时序调整装置

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
WO2015070393A1 (en) * 2013-11-13 2015-05-21 Qualcomm Incorporated Method and apparatus for qcn-like cross-chip function in multi-stage ethernet switching
CN105656655A (zh) * 2014-11-14 2016-06-08 华为技术有限公司 一种网络安全管理方法、装置,及***
CN104539553A (zh) * 2014-12-18 2015-04-22 盛科网络(苏州)有限公司 以太网芯片中实现流量控制的方法及装置
CN206135937U (zh) * 2016-11-15 2017-04-26 上海国盾量子信息技术有限公司 一种用于量子密钥分发***的自动时序调整装置

Also Published As

Publication number Publication date
CN110011939A (zh) 2019-07-12

Similar Documents

Publication Publication Date Title
US7979693B2 (en) Relay apparatus for encrypting and relaying a frame
EP3018861B1 (en) Configuration information sending method, system and apparatus
CN110011939B (zh) 一种支持量子密钥进行数据加密以太网交换机
US20080095368A1 (en) Symmetric key generation apparatus and symmetric key generation method
US11784984B2 (en) Methods to strengthen cyber-security and privacy in a deterministic internet of things
CN1938980A (zh) 用于密码加密处理数据的方法和设备
JP7032420B2 (ja) 時間認識型エンドツーエンドパケットフローネットワークのサイバーセキュリティを提供する方法および装置
CN105721317A (zh) 一种基于sdn的数据流加密方法和***
US20200076773A1 (en) Configurable service packet engine exploiting frames properties
CN110858822A (zh) 媒体接入控制安全协议报文传输方法和相关装置
WO2023124880A1 (zh) 一种基于MACSec网络的报文处理方法和装置
CN114095423B (zh) 基于mpls的电力通信骨干网数据安全防护方法及***
Alouneh et al. A Multiple LSPs Approach to Secure Data in MPLS Networks.
EP2338251B1 (en) Network security method and apparatus
Aweya Switch/Router Architectures: Systems with Crossbar Switch Fabrics
US11929934B2 (en) Reliable credit-based communication over long-haul links
CN115225333B (zh) 一种基于软件定义的tsn加密方法及***
US20220385590A1 (en) End-to-end flow control with intermediate media access control security devices
JP2005354504A (ja) 光加入者線端局装置、光加入者線終端装置およびその通信方法
Savvidis et al. Secure Real-time Communication
JP2007192844A (ja) 暗号化ラベルネットワーク
O’Connor Secure Ethernet Service

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant
TR01 Transfer of patent right

Effective date of registration: 20210818

Address after: D2-607, China Internet of things International Innovation Park, 200 Linghu Avenue, Xinwu District, Wuxi City, Jiangsu Province, 214035

Patentee after: Wentian dingxun quantum technology (Wuxi) Co.,Ltd.

Address before: E1-407, China Sensor Network International Innovation Park, No. 200, Linghu Avenue, New District, Wuxi City, Jiangsu Province, 214135

Patentee before: WUXI SINOKING COMM XINTONG TECHNOLOGY Co.,Ltd.

TR01 Transfer of patent right