本技术涉及量子通信领域,具体涉及一种量子密钥网络分发设备。
背景技术:
1、量子密钥分发是一种利用量子力学的海森堡不确定性原理和量子态不可克隆定理,实现无条件安全的密钥分发技术。通过量子密钥分发技术能实现两个端点间形成共享的成对量子密钥。用于进行量子密钥分发的设备我们称之为qkd设备。
2、qkd设备的量子密钥生成速度有限,无法实现随时使用随时分发。为了能够满足突发情况下的密钥需求,一般采用预先生成量子密钥的方式,生成的量子密钥需要在某种设备中进行存储和管理。同时,由于量子密钥分发只能在两个端点之间点对点地生成共享的量子密钥,且点对点的距离有限,通常在百公里以内,为了实现更大范围的量子密钥的安全分发,一般采用量子密钥中继的方式,将量子密钥按照“一次一密”(0tp)的方式进行异或后逐跳加密传输。这种用于存储、管理和中继传输量子密钥的设备,我们称之为量子密钥网络分发设备(也称量子密钥管理设备)。
3、在现有的技术方案中,多数是采用独立的qkd设备和量子密钥网络分发设备配合,构成量子密钥生成及网络分发系统,实现城域或广域的量子密钥的安全分发和应用。这种方式下,qkd设备和量子密钥网络分发设备之间多通过网口、串口和usb等接口进行通信。在某些一体化设备中,将qkd模块和量子密钥网络分发模块集成在一个机框内,但是模块相对独立,模块各自的功能仍由各自的处理器独立完成,且模块之间仍是通过网口、串口和usb等接口进行通信,该类一体化设备只是实现了模块功能的简单堆叠。
4、图1示出了现有的量子密钥生成及网络分发系统的框架图,其工作过程一般分为以下几个步骤:
5、第一步,相邻的节点之间的qkd设备/模块之间,通过量子信道和经典协商信道协同,完成节点之间的量子密钥生成;
6、第二步,qkd设备/模块将生成的量子密钥上传给量子密钥网络分发设备/模块,量子密钥网络分发设备/模块完成量子密钥的存储管理,量子密钥上传过程可以采用加密协议进行传输;
7、第三步,量子密钥网络分发设备/模块根据策略和密钥需求,完成不同节点之间量子密钥的中继传输,从而实现网络上任意节点之间的量子密钥的安全分发;
8、第四步,根据业务需求,输出量子密钥给应用设备。
9、图2示出了现有的量子密钥网络分发设备/模块的组成框图。如图2所示,量子密钥网络分发设备/模块在硬件上主要由cpu、硬盘、内存和密码卡等组成,并配置有量子密钥输入接口、量子密钥输出接口和业务指令交互接口等以下对外接口,其中:量子密钥输入接口用于接收外部qkd设备/模块生成的量子密钥;量子密钥输出接口用于向外部应用设备(如用户加解密设备)输出量子密钥;业务指令交互接口用于量子密钥中继、量子密钥输入、量子密钥输出等业务的指令交互。
10、另外,随着光电集成技术的不断发展,具有高速通用接口(例如pcie接口)的小型化内嵌式qkd模块或量子随机数发生器(qrng)模块正在成为开发热点。由于内嵌式与外置式qkd模块或qrng模块在接口设计和工作方式等方面存在不同,需要分别开发与之适配的量子密钥网络分发设备,这使得量子密钥网络分发设备的开发、维护和管理变得复杂。因而有必要开发一种能够兼容不同类型qkd模块及qrng模块的量子密钥网络分发设备,实现经济高效的开发、维护和管理。因此,现有的量子密钥网络分发设备至少存在以下不足:
11、1、现有的量子密钥网络分发设备的架构功能简化单一,硬件平台通常只能适用于一种规格型号的产品,不利于不同业务模块的扩展,不利于不同类型不同配置产品的演化;
12、2、现有的量子密钥网络分发设备/模块和qkd设备/模块相对独立,无法实现计算资源、存储资源、信道资源的共享;
13、3、现有的量子密钥网络分发设备/模块和qkd设备/模块相对独立,需要跨设备或跨芯片通信,目前常用的通信接口无法实现模块间的高效数据交互;
14、4、现有的量子密钥网络分发设备/模块和qkd设备/模块的主控芯片之间通信均基于协议通信,接口不利于标准化封装和移植使用,不利于模块的替代升级。
技术实现思路
1、针对现有技术中的不足,本实用新型提出了一种量子密钥网络分发设备,其采用“单cpu+例如标准pcie扩展接口等高速通用接口+标准外设资源接口”的硬件架构,结合sdk和api软件接口封装,实现了一种可灵活组合、可差异化配置和可扩展功能的量子密钥网络分发设备架构,在保留现有与外置式qkd设备/模块或qrng设备/模块的通信方式的同时,还支持集成内嵌式qkd模块或qrng模块,可以系统性地实现集成化的量子密钥的生成、安全存储、安全网络化分发并提供量子密钥服务。
2、具体而言,本实用新型的量子密钥网络分发设备可以包括搭载有cpu的主板,所述主板配置有网络接口,用于允许与外置式qkd设备和/或qrng设备进行通信;
3、所述主板还配置有高速通用接口,用于允许以sdk/api的方式与内嵌式模块进行通信。
4、进一步地,该量子密钥网络分发设备还可以包括内嵌式qkd模块和/或qrng模块,所述内嵌式qkd模块和/或qrng模块以sdk/api的方式通过高速通用接口与cpu进行通信。
5、优选地,所述高速通用接口为pcie接口,且所述内嵌式qkd模块和/或qrng模块直接连接pcie接口或者借助pcie转接板连接pcie接口。
6、进一步地,该量子密钥网络分发设备还可以包括密码卡,所述密码卡以sdk/api的方式通过高速通用接口与cpu进行通信,以为其提供密码服务。
7、优选地,所述高速通用接口为pcie接口,且所述密码卡直接连接pcie接口或者借助pcie转接板连接pcie接口。
8、优选地,所述高速通用接口为pcie接口。其中,该量子密钥网络分发设备还可以包括raid卡,所述raid卡直接连接pcie接口或者借助pcie转接板连接pcie接口。
9、进一步地,所述网络接口包括网口和光口。
10、进一步地,所述主板还配置有usb接口、用于连接内存模组的内存模组接口、用于连接硬盘的msata和/或标准sata接口、以及mini-pcie接口中的一个或多个。
11、进一步地,该量子密钥网络分发设备还可以包括开机按键、销毁按键、冗余电源、机箱风扇和防拆检测单元中的一个或多个。
1.一种量子密钥网络分发设备,其包括搭载有cpu的主板,所述主板配置有网络接口,用于允许与外置式qkd设备和/或qrng设备进行通信;
2.如权利要求1所述的量子密钥网络分发设备,其特征在于,还包括内嵌式qkd模块和/或qrng模块,所述内嵌式qkd模块和/或qrng模块以sdk/api的方式通过高速通用接口与cpu进行通信。
3.如权利要求2所述的量子密钥网络分发设备,其特征在于,所述高速通用接口为pcie接口,且所述内嵌式qkd模块和/或qrng模块直接连接pcie接口或者借助pcie转接板连接pcie接口。
4.如权利要求1所述的量子密钥网络分发设备,其特征在于,还包括密码卡,所述密码卡以sdk/api的方式通过高速通用接口与cpu进行通信,以为其提供密码服务。
5.如权利要求4所述的量子密钥网络分发设备,其特征在于,所述高速通用接口为pcie接口,且所述密码卡直接连接pcie接口或者借助pcie转接板连接pcie接口。
6.如权利要求1所述的量子密钥网络分发设备,其特征在于,所述高速通用接口为pcie接口。
7.如权利要求6所述的量子密钥网络分发设备,其特征在于,还包括raid卡,所述raid卡直接连接pcie接口或者借助pcie转接板连接pcie接口。
8.如权利要求1所述的量子密钥网络分发设备,其特征在于,所述网络接口包括网口和光口。
9.如权利要求1所述的量子密钥网络分发设备,其特征在于,所述主板还配置有usb接口、用于连接内存模组的内存模组接口、用于连接硬盘的msata和/或标准sata接口、以及mini-pcie接口中的一个或多个。
10.如权利要求1-9中任一项所述的量子密钥网络分发设备,其特征在于,还包括开机按键、销毁按键、冗余电源、机箱风扇和防拆检测单元中的一个或多个。