Область техники, к которой относится изобретение
Предлагаемое изобретение относится к области криптографической защиты информации, и, в частности, к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации.
Уровень техники
Технология КРК позволяет получить идентичные ключи одновременно на двух устройствах, соединенных квантовым каналом. При этом для любого известного протокола КРК существует предельная длина квантового канала, то есть предельное удаление друг от друга двух устройств, между которыми вырабатывается квантовый ключ. Для увеличения предельной длины между двумя устройствами, на которых необходимо получить идентичный ключ, применяется подход на основе построения сетей КРК с доверенными узлами. Такие узлы последовательно соединяются квантовыми каналами, используемыми для генерации или передачи ключа между крайними устройствами.
Известна система КРК, способ и устройство на основе доверенных передатчиков (патент США №10348493, приоритет от 06.01.2016 г.). Система состоит из нескольких маршрутизирующих устройств, используемых для передачи ключей, устройства КРК, соединенного с маршрутизирующими устройствами и настроенного для построения двух или более маршрутов до другого устройства КРК с целью согласования квантового ключа и получения общего ключа. Два и более различных маршрутов между устройствами КРК могут включать одно или более маршрутизирующих устройств. Устройства КРК системы также могут объединять согласованные квантовые ключи, полученные с различных маршрутов для создания нового общего ключа. Устройства КРК системы также могут рассылать информацию о выбранном маршруте на устройства маршрутизации до начала процесса согласования квантовых ключей. Система также может иметь устройства квантового шлюза, через которые устройства КРК соединяются с устройствами передачи данных. Устройства квантового шлюза могут зашифровывать и расшифровывать данные от устройств передачи данных на квантовых ключах, полученных от устройств КРК.
В данной системе реализуется способ КРК, состоящий из выбора двух или более маршрутов между двумя устройствами квантового распределения ключей. Каждый маршрут включает одно или более устройств маршрутизации. После выбора маршрута осуществляется согласование квантовых ключей на выбранных маршрутах.
Известные система, устройство и способ имеют ряд недостатков.
Так, используется строгое разделение устройств на два типа, что не позволяет использовать устройства КРК в качестве промежуточных устройств выбранного маршрута.
Для организации сетей КРК, в которых предполагается множество устройств передачи данных, в известной системе могут возникать участки с избыточным набором устройств. Быстродействие и отказоустойчивость системы зависят от числа маршрутизирующих устройств и связей между ними. При этом система не предполагает использование устройств КРК в качестве маршрутизирующих устройств. В связи с этим может возникнуть ситуация, при которой в одной определенной точке сети (маршрута) потребуется размещать устройства обоих типов с дублированием квантовых каналов. Такая ситуация возникает, если в некотором месте сети необходимо подключать потребителей к устройству КРК, и это же место сети оптимально для построения через него маршрутов, т.е. оптимально для размещения маршрутизирующего устройства.
Также данная система использует только согласование квантовых ключей при выработке общего ключа, вследствие чего стойкость общего ключа основывается только на стойкости способов выработки квантовых ключей. Более того, стойкость итогового ключа, полученного объединением квантовых ключей с нескольких маршрутов, при пересечении этих маршрутов не превышает стойкости ключа с одного из маршрутов, т.е. использование нескольких пересекающихся маршрутов излишне.
Также в данной системе отсутствует хранилище ключей как квантовых, так и общих. Частота запросов общего ключа может меняться с течением времени и существенно превышать возможности системы по генерации общих ключей в периоды пиковой нагрузки, что приведет к длительному ожиданию новых общих ключей.
Известна централизованная сеть мониторинга и управления и способ передачи квантового ключа в сети (заявка США №20190260581, приоритет от 03.05.2019 г.).
Централизованная сеть содержит
• централизованный контроллер,
• N узлов обслуживания, сконфигурированных для обеспечения связи друг с другом,
• М ключевых узлов, сконфигурированных для предоставления квантовых ключей N узлам обслуживания,
при этом
• каждый из N узлов обслуживания соответствует одному из М ключевых узлов, и как N, так и М являются целыми числами, большими или равными 2.
Централизованный контроллер содержит
• процессор,
• блок памяти, сконфигурированный для хранения программ и команд,
• приемопередатчик.
Каждый ключевой узел содержит
• приемопередатчик,
• хранилище ключей, сконфигурированное для хранения квантовых ключей,
• процессор ретрансляции ключей.
Приемопередатчик сконфигурирован с возможностью
• сообщения информации о топологии ключевого узла централизованному контроллеру,
• приема команды ретрансляции ключа, доставляемой централизованным контроллером.
Процессор ретрансляции ключей выполнен с возможностью выполнения квантовой ретрансляции ключей на основе команды ретрансляции ключей, доставленной централизованным контроллером.
Способ заключается в том, что
• получают централизованным контроллером централизованной сети управления и контроля Z запросов на обслуживание, каждый из которых запрашивает передачу услуги, которая должна быть выполнена между двумя узлами обслуживания, где Z является целым числом, большим или равным 1;
• определяют централизованным контроллером на основе каждого из Z запросов на обслуживание, исходный узел обслуживания и целевой узел обслуживания, соответствующие каждому запросу на обслуживания, и параметр потребления квантового ключа соответствующего запроса на обслуживания, при этом исходный узел обслуживания соответствует исходному ключевому узлу в М ключевых узлах, а целевой узел обслуживания соответствует целевому ключевому узлу в М ключевых узлах;
• определяют централизованным контроллером команды ретрансляции ключей, соответствующие запросам на обслуживание G в запросах на обслуживание Z, на основе
идентификатора исходного узла обслуживания и идентификатора целевого узла обслуживания, соответствующего каждому из Z запросов на обслуживание,
параметра потребления квантового ключа каждого из Z запросов на обслуживание, и
топологической информации М ключевых узлов в централизованной сети управления и контроля, где G является целым числом, меньшим или равным Z и большим или равным 1, и при этом каждая команда ретрансляции ключа задает путь для ретрансляции квантового ключа между исходным ключевым узлом и целевому ключевому узлом соответствующего запроса на обслуживание;
• доставляют централизованным контроллером команды ретрансляции ключей, соответствующие запросам на обслуживание G, в ключевые узлы, соответствующие командам ретрансляции ключей, так что ключевые узлы выполняют ретрансляцию квантовых ключей на основе команд ретрансляции ключей, чтобы генерировать соответствующие совместно используемые квантовые ключи между соответствующим исходным узлом обслуживания и целевыми ключевыми узлами. Топологическая информация М ключевых узлов в централизованной сети управления и контроля может содержать:
• идентификатор каждого ключевого узла,
• состояние квантовой линии связи между каждым ключевым узлом и одним или несколькими другими ключевыми узлами, и
• вес ребра, соединяющего два соседних ключевых узла, на каждом пути от исходного ключевого узла до ключевого узла назначения соответствующего запроса на обслуживание.
Известные способ и устройство имеют ряд недостатков.
Так, централизованный контроллер является точкой отказа всей сети и узким местом в вычислении инструкций по передаче ключа при наличии большого числа сервисных запросов.
Наличие единственное ключевое хранилище в каждом ключевом узле, при получении злоумышленником доступа к нему, может привести к компрометации как квантовых ключей, используемых для защиты при передаче ключей согласно инструкциям централизованного контроллера, так и квантовых ключей, переданных согласно инструкции.
Ретрансляция ключей в способе предполагает передачу одного выработанного квантового ключа на целевой ключевой узел. Таким образом, стойкость итогового квантового ключа основывается только на стойкости протокола КРК, причем о самом квантовом ключе у злоумышленника имеется некоторая, пусть малая, информация, полученная во время выполнения протокола КРК.
Обработка запросов на обслуживание производится в централизованном контроллере, что не позволит одновременно обрабатывать запросы, поступившие на разные узлы сети, а потребует ожидать каждому запросу своей очереди в централизованном контролере.
Известные способ и устройство выбраны в качестве прототипа для первого варианта системы и способа.
Для расширения возможностей систем с КРК применяются оптические коммутаторы, позволяющие оптимизировать использование квантовых линий связи при построении систем.
Так, известна квантовая коммуникационная сеть (заявка США №2019/03794636, приоритет от 06.06.2019 г.), состоящая из узлов сети, каждый из которых оснащается оптическим коммутатором, имеющим n входов и m выходов, причем каждый узел сети содержит как устройство с источником одиночных фотонов, так и устройство с приемников одиночных фотонов. В этой коммуникационной сети реализуется способ управлений сетью, заключающийся в соединении с помощью оптических коммутаторов двух узлов сети квантовыми линиями связи, в том числе проходящие транзитом через другие узлы сети.
Известные способ и сеть имеют ряд недостатков.
Каждый узел сети имеет избыточное оборудование для обеспечения возможности подключения любого узла к любому - в каждом узле имеется как источник одиночных фотонов, так и приемник. Размещение только одного из устройств с незначительным усложнением работы коммутаторов позволит снизить стоимость одного узла.
Узлы сети с обоих концов квантового канала имеют оптический коммутатор. Согласованная работа двух коммутаторов без единого центра управления является нетривиальной задачей. Два коммутатора должны переключиться в корректное положение для соединения двух узлов сети и при этом не разрывать полученную квантовую линию из-за попыток организовать другие квантовые линии через эти коммутаторы или попыток начать выработку квантового ключа с одним из этих двух узлов. С учетом возможности организации транзитных квантовых линий количество коммутаторов, которые должны работать согласованно и не прерывать квантовую линию связи во время выработки квантовых ключей, увеличивается.
Предлагаемая сеть позволяет соединить множество пар узлов одновременно, но при этом сохраняется проблема максимальной длины квантового канала, т.е. сохраняется принципиальная проблема максимальной удаленности узлов сети, между которыми возможно выработать квантовый ключ. Способ не позволяет выработать общий ключ между узлами, расстояние между которыми превышает максимальную длину квантового канала.
Также известна защищенная система связи и способ управления каналом (патент США №8041039, приоритет от 19.04.2007 г.), содержащая центральный узел и множество удаленных узлов, соединенных с центральным квантовыми линиями связи через оптический коммутатор и каналами передачи данных через другой оптический коммутатор.
Защищенная система связи содержит
• центральный узел;
• множество удаленных узлов, каждый из которых соединен с центральным узлом через оптическую линию передачи;
причем множество каналов установлено между центральным узлом и каждым удаленным узлом;
при этом множество каналов включает в себя
• первый канал, используемый для передачи квантового сигнала,
• второй канал, используемый для передачи данных,
• причем центральный узел содержит
первый коммутатор для переключения первого канала для соединения с выбранным одним из удаленных узлов;
второй коммутатор для переключения второго канала для соединения с выбранным одним из удаленных узлов;
контроллер для независимого управления первым коммутатором и вторым коммутатором таким образом, что они соединены с различными удаленными узлами, выбранными из множества удаленных узлов, для осуществления
передачи квантового сигнала,
формирования общего случайного числа через второй канал на основе данных, полученных путем обнаружения квантового сигнала через первый канал и/или криптографической связи с использованием криптографического ключа, извлеченного из общего случайного числа.
Используется способ управления каналом для защищенного устройства связи, соединенного с каждым из множества удаленных узлов через оптическую линию передачи,
причем множество каналов устанавливается с каждым удаленным узлом, при этом множество каналов включает в себя
• первый канал, используемый для передачи квантового сигнала, и
• второй канал, используемый для передачи данных, причем защищенное устройство связи включает в себя:
• первый переключатель для переключения первого канала для соединения с выбранным одним из удаленных узлов и
• второй переключатель для переключения второго канала для соединения с выбранным одним из удаленных узлов, причем способ управления каналом содержит:
• независимо управляют первым коммутатором и вторым коммутатором так, что они соединяются с различными удаленными узлами, выбранными из множества удаленных узлов
для выполнения передачи квантового сигнала,
для формирования общего случайного числа через второй канал на основе данных, полученных путем обнаружения квантового сигнала через первый канал и/или {из канала} криптографической связи с использованием криптографического ключа, извлеченного из общего случайного числа. В способе реализуется синхронное включение канала передачи данных и квантовой линии связи. Переключение каналов производится в зависимости от скорости выработки квантовых ключей на каждой линии.
Также в способе предлагается вырабатывать общий ключ для всех узлов в сети путем передачи одного квантового ключа из центрального узла на все удаленные узлы с защитой передачи с помощью шифрования типа одноразового шифр-блокнота.
Известные система и способ приняты за прототипы для второго варианта системы и способа.
Однако известная система и способ имеют следующие недостатки.
Применение двух независимых коммутаторов для коммутации квантового сигнала и передаваемых данных совместно с применением одного физического канала к каждому узлу (оптоволокна) создает повышенный риск ошибок при коммутации и передачи, более того, передача квантового сигнала требует темного волокна, т.е. необходимо прерывать передачу данных при передаче квантового сигнала в том же оптоволокне.
Также не решается проблема максимальной длины квантового канала. Максимальное расстояние между центральным и удаленным узлом не превышает длину квантового канала, расстояние между двумя удаленными узлами не превышает двух максимальных длин квантового канала, а генерация ключа строго между парой удаленных узлов оказывается невозможной.
Создание единого ключа для взаимодействия всех узлов является спорным с точки зрения безопасности, так как позволяет получить доступ третьему узлу к информации, передаваемой между двумя узлами.
Управление переключением каналов не оптимально и не учитывает потребности в квантовых ключах между удаленным и центральным узлом.
Раскрытие изобретения
Техническим результатом является
1) повышение отказоустойчивости системы за счет децентрализованной обработки запросов пользовательских ключей и расчета квантовых маршрутов,
2) повышение защищенности системы за счет двух независимых ключевых хранилищ на каждом узле,
3) повышение быстродействия за счет параллельной обработки запросов пользовательских ключей,
4) повышение стойкости пользовательских ключей за счет объединения квантового пользовательского ключа и классического пользовательского ключа,
5) устранение ограничений на максимальную удаленность двух узлов системы, между которыми вырабатывается общий ключ.
Для этого предлагается, согласно первому варианту, система выработки и распределения ключей, включающая
• множество узлов сети выработки и квантового распределения ключей (узлы сети КРК), причем
узлы сети КРК соединены квантовыми линиями связи так, что граф, отображающий связи квантовыми линиями, является связным;
узлы сети КРК соединены классической линией связи с цифровой сетью передачи данных; причем к каждому узлу сети КРК присоединено, по крайней мере, две квантовые линии связи;
при этом каждый узел сети КРК, включает
• модуль выработки пользовательских ключей,
• модуль управления пользовательскими ключами,
• по крайней мере, два модуля выработки квантовых ключей; причем
• каждый модуль выработки квантовых ключей связан с модулем выработки пользовательских ключей локальной цифровой линией передачи данных;
• модуль выработки пользовательских ключей соединен с модулем управления пользовательскими ключами локальной цифровой линией передачи данных;
при этом каждый модуль выработки квантовых ключей выполнен с возможностью
• вырабатывать квантовые ключи совместно с другим модулем выработки квантовых ключей, соединенным с данным квантовой линией связи;
• генерировать случайные числа;
• получать запросы на выработку квантового ключа от модуля выработки пользовательских ключей;
• передавать вырабатываемые квантовые ключи в модули выработки пользовательских ключей;
• передавать/получать служебные данные протокола КРК от модуля выработки пользовательских ключей;
при этом модуль выработки пользовательских ключей выполнен с возможностью
• создавать запросы на выработку квантового ключа в модули выработки квантовых ключей;
• получать квантовые ключи от модулей выработки квантовых ключей согласно переданным запросам;
• хранить квантовые ключи в хранилище квантовых ключей;
• зашифровывать данные;
• расшифровывать данные;
• аутентифицировать данные;
• проверять аутентификацию данных;
• определять топологию сети КРК;
• определять квантовый маршрут для выработки пользовательских ключей;
• вырабатывать пользовательские ключи совместно с модулями выработки пользовательских ключей других узлов сети КРК на квантовом маршруте;
• получать запросы на выработку пользовательских ключей от модулей управления пользовательскими ключами;
• передавать пользовательские ключи в модули управления пользовательскими ключами;
при этом модуль управления пользовательскими ключами выполнен с возможностью
• подключать шифраторы пользователей с помощью цифровой сети передачи данных;
• хранить пользовательские ключи в хранилище пользовательских ключей;
• определять совместно с модулями управления пользовательскими ключами других узлов сети КРК соответствие узла сети КРК и подключенных к ним шифраторов пользователей;
• формировать общую базу данных подключенных шифраторов пользователей, содержащую соответствие узлов сети КРК и подключенных к ним шифраторов пользователей;
• формировать запросы на выработку пользовательского ключа в модули выработки пользовательских ключей;
• получать пользовательские ключи от модулей выработки пользовательских ключей согласно переданным запросам.
Для работы системы предлагается способ выработки и распределения пользовательских ключей в системе заключающийся в том, что
• выбирают порядок выработки квантового пользовательского ключа;
• выбирают порядок выработки классического пользовательского ключа;
• выбирают порядок объединения квантового пользовательского ключа и классического пользовательского ключа;
• загружают предварительные ключи в модули выработки пользовательских ключей узлов сети КРК, причем в каждый модуль выработки пользовательских ключей загружается N-1 ключ, где N - число узлов сети КРК;
• загружают в модуль выработки пользовательских ключей каждого узла сети КРК идентификационную информацию для связи с другими узлами сети КРК, которые соединены квантовой линией связи с данным узлом сети КРК;
• загружают в каждый модуль управления пользовательскими ключами идентификационную информацию подключенных к ним шифраторов пользователей;
• передают из модуля управления пользовательскими ключами каждого узла сети КРК в модули управления пользовательскими ключами всех остальных узлов сети КРК данные о подключенных шифраторах пользователей;
• получают в модуле управления пользовательскими ключами каждого узла сети КРК переданную информацию о подключенных шифраторах пользователей и записывают ее в общую базу данных подключенных шифраторов пользователей;
• передают из модуля выработки пользовательских ключей каждого узла сети КРК в модули выработки пользовательских ключей остальных узлов сети КРК идентификационную информацию всех соседних с ним узлов сети КРК,
• получают в модуле выработки пользовательских ключей каждого узла сети КРК переданную ему идентификационную информацию соседних узлов и на ее основе формируют топологию сети КРК,
• получают запрос пользовательского ключа от шифратора пользователя, подключенного к модулю управления пользовательскими ключами узла сети КРК, причем запрос включает идентификационную информацию шифратора пользователя, для связи с которым необходим пользовательский ключ;
• определяют из общей базы данных подключенных шифраторов пользователей узел сети КРК, к которому подключен шифратор пользователя, для связи с которым необходим пользовательский ключ;
• формируют в модуле управления пользовательскими ключами узла сети КРК запрос пользовательского ключа с указанием идентификационной информации текущего узла сети КРК и узла сети КРК, определенного по общей базе данных подключенных шифраторов пользователей;
• передают сформированный запрос пользовательского ключа из модуля управления пользовательскими ключами в модуль выработки пользовательских ключей узла сети КРК;
• принимают в модуле выработки пользовательских ключей запрос пользовательского ключа от модуля управления пользовательскими ключами;
• определяют последовательность узлов сети КРК (квантовый маршрут) и количество k узлов в квантовом маршруте от узла сети КРК, получившего запрос пользовательского ключа, до узла сети КРК, указанного в запросе пользовательского ключа, с помощью топологии сети КРК;
• резервируют квантовый маршрут, передавая из модуля выработки пользовательских ключей узла сети КРК, получившего запрос пользовательского ключа, в модули выработки пользовательских ключей узлов сети КРК, с идентификаторами, соответствующими остальным идентификаторам узлов сети КРК в квантовом маршруте, сообщения о резервировании квантового маршрута;
• вычисляют i=1;
• (А) посылают запрос выработки квантового ключа из модуля выработки пользовательских ключей в модуль выработки квантовых ключей i-го узла зарезервированного квантового маршрута и из модуля выработки пользовательских ключей в модуль выработки квантовых ключей (i+1)-го узла зарезервированного квантового маршрута, причем
если i-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с (i+1)-м узлом сети КРК;
если (i+1)-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с i-м узлом сети КРК;
• вырабатывают квантовый ключ в модулях выработки квантового ключа i-го и (i+1)-го узлов сети КРК;
• передают полученный квантовый ключ из модуля выработки квантового ключа в модуль выработки пользовательских ключей на i-м и (i+1)-м узле сети КРК;
• помещают полученный квантовый ключ в хранилища квантовых ключей модулей выработки пользовательских ключей i-го и (i+1)-го узлов сети КРК;
• если i<k-1, то
вычисляют i=i+1;
переходят к этапу А;
• запрашивают случайное число в модуле выработки пользовательских ключей от модуля выработки квантовых ключей узла сети КРК с идентификатором, соответствующему первому узлу сети КРК зарезервированного квантового маршрута;
• вырабатывают запрошенное случайное число с помощью генератора случайных чисел модуля выработки квантовых ключей;
• передают выработанное случайное число из модуля выработки квантовых ключей в модуль выработки пользовательских ключей узла сети КРК с идентификатором, соответствующему первому узлу зарезервированного квантового маршрута;
• вырабатывают на первом и последнем узле сети КРК зарезервированного квантового маршрута квантовый пользовательский ключ с помощью случайного числа в модуле выработки пользовательских ключей первого узла сети КРК и квантовых ключей в хранилищах квантовых ключей узлов сети КРК, входящих в зарезервированный квантовый маршрут, согласно выбранному порядку выработки квантового пользовательского ключа;
• вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа;
• вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа;
• передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута;
• сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ;
• передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.
В предложенном способе может быть предусмотрено, что
• определяют в модулях выработки пользовательских ключей и передают другим модулям выработки пользовательских ключей топологические метрики сети КРК, которыми дополняют топологию сети КРК, причем топологические метрики включают
количество квантовых ключей в хранилище квантовых ключей;
скорость выработки квантовых ключей с соседними узлами сети КРК;
скорость расходования и количество квантовых ключей на зарезервированных квантовых маршрутах;
• при определении квантового маршрута модули выработки пользовательских ключей учитывают топологические метрики, которыми дополнена топология сети КРК;
• при резервировании квантового маршрута сообщение о резервировании дополняется информацией о количестве необходимых квантовых ключей для резервирования.
В предложенном способе также может быть предусмотрено, что запрос квантового ключа к модулю выработки квантовых ключей содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности квантового ключа, режим выработки ключа.
Кроме этого, в предложенном способе может быть предусмотрено, что запрос пользовательского ключа к модулю управления пользовательскими ключами содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности пользовательского ключа, необходимость применения классического пользовательского ключа при вычислении пользовательского ключа.
Также предлагается, согласно второму варианту, система выработки и распределения ключей, включающая
• множество узлов сети выработки и квантового распределения ключей (узлы сети КРК), причем
узлы сети КРК соединены квантовыми линиями связи, так, что граф, отображающий связи квантовыми линиями, является связным;
узлы сети КРК соединены классической цифровой сетью передачи данных;
причем к каждому узлу сети КРК присоединено, по крайней мере, две квантовые линии связи;
при этом узел сети КРК включает
• модуль выработки пользовательских ключей,
• модуль управления пользовательскими ключами,
• по крайней мере, два модуля выработки квантовых ключей;
причем соединение с квантовыми линиями связи узлов сети КРК может быть выполнено как напрямую, так и через оптический коммутатор; причем
• количество оптических коммутаторов не превышает количество узлов сети КРК;
• каждый оптический коммутатор имеет один оптический вход и т оптических выходов, позволяющих подключать до т квантовых линий связи к одному узлу сети КРК;
• каждый оптический коммутатор соединен локальной цифровой линией передачи данных с модулем выработки пользовательских ключей, подключенным квантовой линией связи к оптическому входу оптического коммутатора;
при этом каждый модуль управления пользовательскими ключами соединен с модулем выработки пользовательских ключей локальной цифровой линией передачи данных и выполненный с возможностью
• получать и передавать данные в шифраторы пользователей через цифровую сеть передачи данных;
• хранить пользовательские ключи в хранилище пользовательских ключей;
• определять совместно с модулями управления пользовательскими ключами других узлов сети КРК соответствие узла сети КРК и подключенных к ним шифраторов пользователей;
• формировать общую базу данных подключенных шифраторов пользователей, содержащую соответствие узлов сети КРК и подключенных к ним шифраторов пользователей;
• создавать запросы на выработку пользовательского ключа в модули выработки пользовательских ключей;
• получать пользовательские ключи от модулей выработки пользовательских ключей согласно переданным запросам;
при этом каждый модуль выработки квантовых ключей связан с модулем выработки пользовательских ключей локальной цифровой линией передачи данных и выполнен с возможностью
• вырабатывать квантовые ключи совместно с другим модулем выработки квантовых ключей, соединенным квантовой линией связи;
• генерировать случайные числа;
• получать запросы на выработку квантового ключа от модуля выработки пользовательских ключей;
• передавать вырабатываемые квантовые ключи в модули выработки пользовательских ключей;
• передавать и получать служебные данные протокола КРК из модуля выработки пользовательских ключей;
при этом модуль выработки пользовательских ключей выполнен с возможностью
• создавать запросы на выработку квантового ключа в модули выработки квантовых ключей;
• получать квантовые ключи от модулей выработки квантовых ключей согласно переданным запросам;
• хранить квантовые ключи в хранилище квантовых ключей;
• зашифровывать данные;
• расшифровывать данные;
• осуществлять аутентификацию данных;
• проверять аутентификацию данных;
• определять топологию сети КРК;
• определять квантовый маршрут для выработки пользовательских ключей;
• управлять коммутацией каналов внутри оптического коммутатора;
• вырабатывать пользовательские ключи совместно с модулями выработки пользовательских ключей других узлов сети КРК на квантовом маршруте,
• получать запросы на выработку пользовательских ключей от модулей управления пользовательскими ключами;
• передавать пользовательские ключи в модули управления пользовательскими ключами.
Для работы системы, согласно второму варианту, предлагается способ выработки и распределения пользовательских ключей в системе, заключающийся в том, что
• выбирают порядок выработки квантового пользовательского ключа;
• выбирают порядок выработки классического пользовательского ключа;
• выбирают порядок объединения квантового пользовательского ключа и классического пользовательского ключа;
• загружают предварительные ключи в модули выработки пользовательских ключей узлов сети КРК, причем в каждый модуль выработки пользовательских ключей загружается N-1 ключ, где N - число узлов сети КРК;
• загружают в модуль выработки пользовательских ключей каждого узла сети КРК идентификационную информацию для связи с другими узлами сети КРК, которые соединены квантовой линией связи с данным узлом сети ККР;
• загружают в каждый модуль управления пользовательскими ключами идентификационную информацию подключенных к ним шифраторов пользователей;
• передают из модуля управления пользовательскими ключами каждого узла сети КРК в модули управления пользовательскими ключами всех остальных узлов сети КРК данные о подключенных шифраторах пользователей;
• получают в модуле управления пользовательскими ключами каждого узла сети КРК переданную информацию о подключенных шифраторах пользователей и собирают ее в общую базу данных подключенных шифраторов пользователей;
• передают из модуля выработки пользовательских ключей каждого узла сети КРК в модули выработки пользовательских ключей всех остальных узлов сети КРК идентификационную информацию всех соседних с ним узлов сети КРК;
• получают в модуле выработки пользовательских ключей каждого узла сети КРК переданную ему идентификационную информацию соседних узлов и на ее основе формируют топологию сети КРК;
• получают запрос пользовательского ключа от шифратора пользователя, подключенного к модулю управления пользовательскими ключами узла сети КРК, причем запрос включает идентификационную информацию шифратора пользователя, для связи с которым необходим пользовательский ключ;
• определяют по общей базе данных подключенных шифраторов пользователей узел сети КРК, к которому подключен шифратор пользователя, для связи с которым необходим пользовательский ключ;
• формируют в модуле управления пользовательскими ключами узла сети КРК запрос пользовательского ключа с указанием идентификационной информации узла сети КРК, получившего запрос пользовательского ключа, и узла сети КРК, определенного по общей базе данных подключенных шифраторов пользователей;
• передают сформированный запрос пользовательского ключа из модуля управления пользовательскими ключами в модуль выработки пользовательских ключей узла сети КРК;
• принимают в модуле выработки пользовательских ключей запрос пользовательского ключа от модуля управления пользовательскими ключами;
• определяют последовательность узлов сети КРК (квантовый маршрут) и количество k узлов в квантовом маршруте от узла сети КРК, получившего запрос пользовательского ключа, до узла сети КРК, указанного в запросе пользовательского ключа, с помощью топологии сети КРК;
• резервируют квантовый маршрут, передавая из модуля выработки пользовательских ключей узла сети КРК, получившего запрос пользовательского ключа, в модули выработки пользовательских ключей узлов сети КРК, с идентификаторами, соответствующими остальным идентификаторам узлов сети КРК в зарезервированном квантовом маршруте сообщения о резервировании квантового маршрута;
• вычисляют i=1;
• (А) посылают запрос выработки квантового ключа из модуля выработки пользовательских ключей в модуль выработки квантовых ключей i-го узла зарезервированного квантового маршрута и из модуля выработки пользовательских ключей в модуль выработки квантовых ключей (i+1)-го узла зарезервированного квантового маршрута, причем
если i-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с (i+1)-M узлом сети КРК;
если (i+1)-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с i-м узлом сети КРК;
• если модули выработки квантовых ключей i-го и (i+1)-го узла сети КРК связаны квантовым каналом связи через оптический коммутатор, то
если модуль выработки квантовых ключей (i+1)-го узла сети КРК подключен к j-му выходу оптического коммутатора, то задают коммутацию квантовых каналов в оптическом коммутаторе из модуля выработки пользовательских ключей i-го узла сети КРК со входа оптического коммутатора на j-й выход;
если модуль выработки квантовых ключей i-го узла сети КРК подключен к j-му выходу оптического коммутатора, то задают коммутацию квантовых каналов в оптическом коммутатор из модуля выработки пользовательских ключей (i+1)-го узла сети КРК со входа оптического коммутатора на j-й выход;
• вырабатывают квантовый ключ в модулях выработки квантового ключа i-го и (i+1)-го узлов сети КРК;
• передают полученный квантовый ключ из модуля выработки квантового ключа в модуль выработки пользовательских ключей на i-м и (i+1)-м узле сети КРК;
• помещают полученный квантовый ключ в хранилища квантовых ключей модулей выработки пользовательских ключей i-го и (i+1)-го узлов сети КРК;
• если i<k-1, то
вычисляют i=i+1;
переходят к этапу А;
• запрашивают случайное число в модуле выработки пользовательских ключей из модуля выработки квантовых ключей узла сети КРК с идентификатором, соответствующему первому узлу зарезервированного квантового маршрута;
• вырабатывают запрошенное случайное число с помощью генератора случайных чисел модуля выработки квантовых ключей;
• передают выработанное случайное число из модуля выработки квантовых ключей в модуль выработки пользовательских ключей узла сети КРК с идентификатором, соответствующему первому узлу зарезервированного квантового маршрута;
• вырабатывают на первом и последнем узлах сети КРК зарезервированного квантового маршрута квантовый пользовательский ключ с помощью случайного числа в модуле выработки пользовательских ключей первого узла сети КРК и квантовых ключей в хранилищах квантовых ключей узлов сети КРК зарезервированного квантового маршрута, согласно выбранному порядку выработки квантового пользовательского ключа;
• вырабатывают классический пользовательский ключ на первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа;
• вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа;
• передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута;
• сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ;
• передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.
В предложенном способе может быть предусмотрено, что
• определяют в модулях выработки пользовательских ключей и передают другим модулям выработки пользовательских ключей топологические метрики сети КРК, которыми дополняют топологию сети КРК, причем топологические метрики включают
количество квантовых ключей в хранилище квантовых ключей;
скорость выработки квантовых ключей с соседними узлами сети КРК;
скорость расходования и количество квантовых ключей на зарезервированных квантовых маршрутах;
• учитывают топологические метрики при определении квантового маршрута в модуле выработки пользовательских ключей;
• при резервировании квантового маршрута сообщение о резервировании дополняют информацией о количестве необходимых квантовых ключей для резервирования.
В предложенном способе также может быть предусмотрено, что запрос квантового ключа в модуль выработки квантовых ключей содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности квантового ключа, режим выработки ключа.
Кроме этого, в предложенном способе может быть предусмотрено, что запрос пользовательского ключа в модуль управления пользовательскими ключами содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности пользовательского ключа, необходимость применения классического пользовательского ключа при вычислении пользовательского ключа.
Предлагаемая система (далее - сеть КРК) в целом предназначена для выработки и распределения ключей между любой парой входящих в ее состав узлов. Вырабатываемые ключи могут применяться как узлами самой системы, так и передаваться во внешние устройства, подключаемые к узлам. Способ выработки и распределения ключей реализуется в первом варианте узла (узла сети КРК). Система позволяет вырабатывать ключи, стойкость которых основана на стойкости как квантовых ключей, получаемых с помощью протоколов КРК с доказанной секретностью, так и классических ключей. Объединение двух ключей, имеющих разную природу, позволяет получить стойкий ключ даже в случае, если проведена успешная атака на один из составных ключей. Таким образом, достигается повышение стойкости пользовательских ключей.
Узлы сети КРК соединяются квантовыми линями связи. Причем на каждую квантовую линию связи в узле сети КРК выделяется обособленный модуль выработки квантовых ключей. За счет этого достигается высокая скорость выработки квантовых ключей на сегментах сети КРК, т.е. на паре модулей выработки квантовых ключей, соединенных квантовыми линиями связи. Множество модулей выработки квантовых ключей в одном узле сети КРК позволяет строить сети КРК произвольной топологии. При этом может осуществляться параллельная выработка квантовых ключей на всех сегментах сети КРК, в которые входит данный узел сети КРК, повышая итоговую скорость выработки пользовательских ключей.
Отметим, что модули выработки квантовых ключей в общем случае бывают двух видов: одни содержат источник одиночных фотонов, другие - приемник одиночных фотонов. Узел сети КРК может содержать модули выработки квантовых ключей как одного, так и другого вида. Единственное требование, которое накладывается на эти модули, - с одного конца квантовой линии связи должен находиться источник одиночных фотонов, а с другого конца этой же квантовой линии связи должен находиться приемник одиночных фотонов.
Для подключения внешних устройств, которым необходимо передавать пользовательский ключ, например, шифраторов, узел сети КРК оборудуется модулем управления пользовательских ключей.
Данный модуль служит для трех целей.
Первая - унификация идентификационной информации узлов сети КРК, за счет перевода запросов пользовательского ключа с указанием идентификационной информации шифраторов в запросы пользовательского ключа внутри сети КРК с указанием идентификационной информации узлов сети КРК. Таким образом, идентификационная информация пар шифраторов может иметь различный вид.
Вторая - хранение пользовательских ключей в выделенном ключевом хранилище. Таким образом, уменьшается вероятность случайного или преднамеренного использования выработанного пользовательского ключа после передачи в модули управления пользовательскими ключами. Также за счет этого хранилища возможна отложенная выдача пользовательского ключа внешнему устройству, если оно было не подключено в момент выработки пользовательского ключа.
Третья - невозможность на физическом уровне подключить внешнее устройство к узлу, с которого не предполагается выдача пользовательских ключей.
Отметим, что подключенные шифраторы пользователей (или иные внешние устройства, предназначенные для получения пользовательского ключа от сети КРК) инициируют выполнение способа выработки и распределения пользовательских ключей путем передачи запроса пользовательского ключа в модуль управления пользовательскими ключами. Для корректной обработки запросов пользовательского ключа на узле сети КРК необходимо, чтобы каждый узел сети КРК мог определить узел сети КРК, к которому подключен другой шифратор пользователя, с которым запрошен пользовательский ключ.
Для этих целей каждым модулем управления пользовательскими ключами формируется общая база данных подключенных шифраторов пользователей, которая содержит информацию о том, какие шифраторы пользователей подключены к сети КРК и к какому именно узлу сети КРК. Эта база данных позволяет переводить идентификационную информацию шифраторов в идентификационную информацию узлов сети КРК, к которым подключены эти шифраторы. Общая база данных представляет собой определенную структуру, хранящуюся в памяти модуля во время работы системы.
Модули управления пользовательскими ключами служат для взаимодействия с внешними по отношению к системе шифраторами пользователей. В том случае, если к конкретному узлу сети КРК не планируется в принципе подключать шифраторы пользователей и с этого узла сети КРК не будут выдаваться пользовательские ключи, то возможна упрощенная реализация узла сети КРК, при которой исключается модуль управления пользовательскими ключами. В этом случае также исключается возможность взаимодействия с данным узлом извне системы, что позволяет создать более защищенную реализацию узла сети КРК. Необходимость в такой защищенной реализации может возникнуть при реализации системы, соединяющий, например, удаленные географические объекты, между которыми расстояние существенно больше 100 км (предельное расстояние для известных систем КРК), а между ними находятся малонаселенные труднодоступные территории. Тогда безопасная реализация узла сети КРК позволит упростить организацию места размещения такого узла и уменьшить частоту регламентного очного контроля узла сети КРК.
Способ выработки и распределения пользовательских ключей предполагает децентрализованное управление выработкой пользовательских ключей. Тот узел сети КРК, к которому подключено запросившее ключ устройство, может самостоятельно определить необходимую цепочку узлов сети КРК (квантовый маршрут), которая позволит выработать пользовательский ключ. Для определения квантового маршрута каждый узел сети КРК, выполняющий расчет маршрута, должен обладать полной информацией о существующих квантовых линиях связи в сети КРК, а также об эффективности их использования
Квантовым маршрутом назовем упорядоченную последовательность узлов сети КРК, в которой каждый последующий узел связан с предыдущим квантовым каналом связи.
Первый узел сети КРК в этой последовательности - это узел сети КРК, в модуле выработки пользовательских ключей которого получен запрос пользовательского ключа. Последний узел сети КРК в квантовом маршруте - узел сети КРК, с которым необходимо выработать пользовательский ключ в соответствии с запросом пользовательского ключа. Последовательность узлов сети КРК может задаваться, например, упорядоченным массивом идентификаторов этих узлов.
В общем случае, существуют различные способы выбора квантового маршрута. Квантовый маршрут для каждой пары узлов сети КРК может быть заранее предопределенным и зафиксированным. Но в таком случае он может оказаться неработоспособным в случае нарушения выработки квантовых ключей (например, падение скорости выработки ключей, нерегулярность выработки ключей) между какой-либо парой узлов сети КРК квантового маршрута и, тем более, в случае невозможности выработки квантовых ключей.
Динамические способы определения квантового маршрута позволяют строить маршрут, оптимальный по некоторому признаку в конкретный момент времени.
Предлагается при определении квантового маршрута минимизировать время, необходимое для выработки квантовых ключей на всех последовательных парах узлов сети КРК для повышения скорость выработки пользовательского ключа.
Для этого предлагается использовать следующие параметры квантового канала связи и узлов сети КРК, характеризующие эффективность выработки пользовательского ключа на некотором маршруте (показатели эффективности квантовой линии связи):
• количество накопленных квантовых ключей в хранилище квантовых ключей в узлах сети КРК на предполагаемом квантовом маршруте,
• скорость выработки квантовых ключей на узле сети КРК с соседними узлами сети КРК,
• скорость расходования квантовых ключей,
• количество квантовых ключей на зарезервированных квантовых маршрутах для выработки квантовых пользовательских ключей,
• размеры квантовых ключей и размер запрошенного пользовательского ключа,
• выбранный способ передачи квантовой составляющей пользовательского ключа и способ объединения квантовой и пользовательской составляющих пользовательского ключа.
Информация о показателях эффективности квантовых линиях связи всей сети КРК передается на каждый узел сети КРК с помощью служебных сообщений. Каждый узел сети КРК раскрывает всем прочим узлам сети КРК в системе информацию о соседних с ним узлах сети КРК и эффективности квантовых линий связи, подключенных к данному узлу. Объединив свою раскрытую информацию с аналогичной информацией от прочих узлов сети КРК, каждый узел сети КРК может сформировать топологию сети КРК, представив ее, например, в виде графа, где вершинами будут узлы сети КРК, а ребрами - квантовые линии связи. Тогда каждому ребру графа можно сопоставить вес, показывающий эффективность квантовой линии связи, рассчитанную на основании показателей эффективности. Таким образом, на каждом узле сети КРК хранится взвешенный граф, по которому узел сети КРК определяет квантовый маршрут. Значения показателей эффективности могут определяться модулями выработки пользовательских ключей на основе анализа статистики выработки квантовых ключей в процессе работы системы или заранее зафиксированных производителем. В первом случае при изменении значений показателей эффективности необходимо обновить топологию сети (взвешенный граф) на узле сети КРК, на котором обновились значения показателей эффективности, и разослать обновленную топологию на все остальные узлы сети КРК. Во втором случае значения показателей эффективности не изменяются во время работы сети КРК.
На фиг. 1 приведен пример сети КРК, состоящей из 6 узлов сети КРК. Линиями обозначены квантовые каналы связи. Тогда квантовый маршрут от узла 1 до узла 6 может принимать следующие значения:
• 1, 2, 3, 6;
• 1, 2, 3, 4, 5, 6;
• 1,2,3,5,6;
• 1, 4, 5, 6;
• 1, 4, 3, 6;
• 1, 4, 3, 5, 6;
• 1, 4, 5, 3, 6.
После расчета квантового маршрута модуль выработки пользовательских ключей резервирует этот маршрут, чтобы модули выработки пользовательских ключей прочих узлов сети КРК могли учитывать рассчитанный зарезервированный маршрут, на котором будут расходоваться квантовые ключи, при расчете следующих квантовых маршрутов.
Хранение вырабатываемых квантовых ключей, как и управление выработкой квантовых ключей, производится в модулях выработки пользовательских ключей. Таким образом, упрощается управление выработкой квантовых ключей, в том числе при необходимости переключения оптических коммутаторов, так как квантовый маршрут и его резервирование на узлах сети КРК выполняется в модулях выработки пользовательских ключей, что позволяет этим модулям собирать информацию о необходимых квантовых ключах и сформировать последовательность выработки квантовых ключей с соседними узлами сети. Более того, вычисление маршрутов и последующая выработка пользовательских ключей непосредственно в модулях выработки пользовательских ключей позволяет проводить параллельные вычисление этих маршрутов для запросов, полученных на разных узлах в отличие, например, от прототипа, в котором запросы поступают в единый центр управления, который рассчитывает их последовательно.
Децентрализованная система управления выработкой квантовых и пользовательских ключей повышает отказоустойчивость системы в целом, так как отказ одного узла сети КРК ведет только к невозможности реализации таких маршрутов, которые задействуют отказавший узел, не влияя на прочие маршруты. При достаточной избыточности связей отказ одного узла не повлияет на способность системы выполнять свои функции по созданию пользовательских ключей, а повлияет только на скорость выполнения этих функций.
Примером достаточной избыточности связей может служить такая топология связей квантовыми линиями связи, при которой любую пару узлов сети КРК можно соединить двумя независимыми маршрутами, такими, что у них совпадают только начальный и конечный узел, а все промежуточные узлы различны.
Второй вариант системы позволяет оптимизировать некоторые сегменты сети КРК. Для этого применяются оптические коммутаторы, с помощью которых можно уменьшить количество модулей выработки квантовых ключей в одном узле сети КРК. Несколько модулей выработки квантовых ключей в узле сети КРК заменяются одним модулем выработки квантовых ключей. Этот модуль выработки квантовых ключей подключается дополнительной квантовой линией связи ко входу оптического коммутатор, а квантовые линии связи, которые соединяли данный узел сети КРК с сопряженными узлами, подключаются к выходам оптического коммутатора. То есть фактически оптический коммутатор помещается в разрыв квантовой линии связи.
Управление оптическим коммутатором производится с того узла сети КРК, в котором была произведена замена модулей выработки квантовых ключей один модулем. Для этого оптический коммутатор соединяется служебной линией связи с модулем выработки пользовательских ключей этого узла сети КРК.
На добавление оптических коммутаторов накладывается следующее ограничение. Не должно быть двух узлов сети КРК, подключенных к двум оптическим коммутаторам, встроенных в разрыв одной и той же квантовой линии связи. Данное ограничение необходимо для того, чтобы одной квантовой линией связи не управляли два узла сети КРК, а следовательно, включение конкретной квантовой линии связи определялось строго одним узлом сети КРК и было однозначно.
Во втором варианте системы, как и в первом, возможна упрощенная реализация узла сети КРК, выполненная без модулей управления пользовательскими ключами.
Добавление оптических коммутаторов модифицирует способ выработки и распределения пользовательских ключей с учетом характеристик оптических коммутаторов.
В таком случае выработка квантовых ключей по сегментам производится последовательно по принципу разделения времени с последовательным переключением оптического коммутатора согласно полученной информации о резервировании квантового маршрута. Сначала оптический коммутатор включается в положение, организовывающее непрерывную квантовую линию связи с узлом сети КРК, предшествующим данному в зарезервированном квантовом маршруте, а после успешной выработки квантового ключа на этом сегменте оптический коммутатор включается в положение для организации квантовой линии связи с о следующим узлом в зарезервированном квантовом маршруте для выработки квантового ключа на этом сегменте квантового маршрута. Общая скорость выработки пользовательских ключей снижается, но также снижается стоимость узла сети КРК, его масса и габариты, а также суммарная длина оптоволокна, использованного для квантовых линий связи сети КРК.
Краткое описание чертежей
На фиг. 1 показана схема системы из 6 узлов сети КРК по первому варианту.
На фиг. 2 показана схема системы из 6 узлов сети КРК по второму варианту с добавлением оптического коммутатора.
Обозначения на фигурах
1 - модуль выработки пользовательских ключей
2 - модуль выработки квантовых ключей
2 (а) - модуль выработки квантовых ключей типа источник
2 (б) - модуль выработки квантовых ключей типа приемник
3 - модуль управления пользовательскими ключами
4 - оптический коммутатор
5 - узел сети КРК
5.x, где х от 1 до 6 - узел сети КРК с номером х
6 - шифратор пользователя
7 - квантовая линия связи
8 - локальная линия связи между модулем выработки квантовых ключей и модулем выработки пользовательских ключей
9 - служебная цифровая линия связи между модулем управления пользовательскими ключами узла сети КРК и шифратором пользователя.
Осуществление изобретения
Предлагаемая система, устройство и способ могут быть реализованы, например, с использованием известной однопроходной системы КРК (патент РФ №2706175) и программно-аппаратных комплексов ViPNet Coordinator HW 100 (статья по адресу https://infotecs.ru/upload/iblock/60a/ViPNet_Coordinator_HW100_web_apri_2018.pdf).
В качестве квантовой линии связи 7 выбирается одномодовое оптоволокно типа SMF-28 допустимой длины. В качестве локальных линий связи 8, соединяющих модули выработки квантовых ключей и модули выработки пользовательских ключей, выбирается Ethernet патчкорд.
Модули выработки квантовых ключей реализуются с помощью данной однопроходной системы КРК, причем с одного конца квантовой линии связи устанавливается модуль, содержащий источник одиночных фотонов (далее - модуль типа источник, 2(a)), а с другого конца - модуль, содержащий приемник одиночных фотонов (далее - модуль типа приемник, 2(б)). Модули выработки пользовательских ключей 1 реализуются с помощью программно-аппаратного комплекса ViPNet Coordinator HW100 с модифицированным ПО. Модифицированное ПО может быть составлено специалистом по программированию (программистом). Модуль управления пользовательскими ключами 3 может быть выполнен в виде дополнительного ПО, запускаемого на ViPNet Coordinator HW100.
Приведем пример системы, состоящей из 6 узлов, соединенных квантовыми линиями связи, как показано на фиг. 1. Узел 1 состоит из модуля управления пользовательскими ключами, модуля выработки пользовательских ключей, двух модулей выработки квантовых ключей типа источник. Узел 2 состоит из модуля выработки пользовательских ключей и двух модулей выработки квантовых ключей типа приемник. Узел 3 состоит из модуля управления пользовательскими ключами, модуля выработки пользовательских ключей, трех модулей выработки квантовых ключей типа источник, одного модуля выработки квантовых ключей типа приемник. Узел 4 состоит из модуля выработки пользовательских ключей, двух модулей выработки квантовых ключей типа источник и одного модуля выработки квантовых ключей типа приемник. Узел 5 состоит из одного модуля выработки пользовательских ключей, трех модулей выработки квантовых ключей типа приемник. Узел 6 состоит из модуля управления пользовательскими ключами, модуля выработки пользовательских ключей, модуля выработки квантовых ключей типа источник и модуля выработки квантовых ключей типа приемник.
Для осуществления способа выполняют следующие действия:
Выбирают порядок передачи квантового пользовательского ключа, например, согласно известному способу по патенту РФ №2708511.
Выбирают порядок передачи классического пользовательского ключа, например, путем предварительной загрузки классических пользовательских ключей доверенным курьером без дальнейшей передачи.
Выбирают порядок объединения квантового пользовательского ключа и классического пользовательского ключа, например, путем побитового сложения (с использованием операции исключающее ИЛИ (XOR)) квантового пользовательского ключа и классического пользовательского ключа.
Загружают предварительные ключи K1_2, K1_3, K1_4, K1_5, K1_6 в модуль выработки пользовательских ключей узла 1, ключи K1_2, K2_3, K2_4, K2_5, K2_6 в модуль выработки пользовательских ключей узла 2, ключи K1_3, K2_3, K3_4, K3_5, K3_6 в модуль выработки пользовательских ключей узла 3, ключи K1_4, K2_4, K3_4, K4_5, K4_6 в модуль выработки пользовательских ключей узла 4, ключи K1_5, K2_5, K3_5, K4_5, K5_6 в модуль выработки пользовательских ключей узла 5, ключи K1_6, K2_6, K3_6, K4_6, K5_6 в модуль выработки пользовательских ключей узла 6.
Загружают в модули выработки пользовательских ключей идентификационную информацию. Например, в качестве такой информации может использоваться идентификатор узла системы и его IP адрес. Пусть идентификатора узла принимает значение ID_i для i-го узла, где i - номер узла. В узел 1 загружают ID_1, ID_2, ID_4. В узел 2 загружают ID_1, ID_2, ID_3. В узел 3 загружают ID_2, ID_3, ID_4, ID_5, ID_6. В узел 4 загружают ID_1, ID_3, ID_4, ID_5. В узел 5 загружают ID_3, ID_4, ID_5, ID_6. В узел 6 загружают ID_3, ID_5, ID_6.
Загружают в модуль управления пользовательскими ключами информацию о подключенных шифраторах пользователей системы. Например, к узлу 1 подключают шифратор с идентификатором ID_E_1, а к узлу 6 подключают шифратор с идентификатором ID_E_2. В качестве шифратора пользователя может использоваться, например, программно-аппаратный комплекс ViPNet L2 10G (статья по адресу https://infotecs.ru/about/press-centr/news/infoteks-i-eci-telecom-proveli-ispytaniya-na-sovmestimost-svoikh-produktov.html).
Модуль управления пользовательскими ключами передает модулям управления пользовательскими ключами других узлов информации о подключенных шифраторах пользователей 6. Тогда модуль управления пользовательскими ключами узла 1 отправляет в модуль управления пользовательскими ключами узлов 3 и 6 информацию вида {ID_1, ID_E_1}. Аналогично модуль управления пользовательскими ключами узла 6 отправляет в адрес модулей управления пользовательскими ключами узлов 1 и 3 информацию вида {ID_6, ID_E_2}.
Модули управления пользовательскими ключами принимают переданную информацию. После этого каждый модуль управления пользовательскими ключами объединяет ее в общую базу данных подключенных шифраторов, которая может быть представлена в виде упорядоченной структуры, например, таблицы. Общая база данных подключенных шифраторов пользователей на каждом узле будет иметь вид, представленный ниже в табл. 1.
Модули выработки пользовательских ключей каждого узла передают в модули выработки пользовательских ключей всех других узлов информацию о соседних узлах. Для узла 1 соседними являются узлы 2 и 4. Для узла 2 - узлы 1 и 3. Для узла 3 - узлы 2, 4, 5, 6. Для узла 4 - узлы 1, 3,5. Для узла 5 - узлы 3, 4, 6. Для узла 6 - узлы 3, 5. В качестве информации о соседних узлах может использоваться, например, идентификаторы соседних узлов. Тогда Узел 1 рассылает информацию вида {ID_1; ID_2, ID_4}, Узел 2 - {ID_2; ID_1, ID_3}, Узел 3 - {ID_3; ID_2, ID_4, ID_5, ID_6} и т.д.
Модули выработки пользовательских ключей принимают переданную информацию и формируют на основе нее топологию сети КРК. Такая топология сети КРК может быть представлена, например, в виде табл. 2.
Пусть пользовательский ключ запрошен шифратором с идентификатором ID_E_1 для связи с шифратором с идентификатором ID_E_2.
Шифратор с идентификатором ID_E_1 отправляет запрос пользовательского ключа в модуль управления пользовательскими ключами узла 1, указывая в запросе идентификатор целевого шифратора ID_E_2.
Модуль управления пользовательскими ключами узла 1 по общей базе данных подключенных шифраторов пользователей (таблице 1) определяет узел сети, соответствующий шифратору с идентификатором ID_E_2, т.е. узел 6 с идентификатором ID_6.
Модуль управления пользовательскими ключами формирует запрос пользовательского ключа к модулю выработки пользовательских ключей с указанием текущего и целевого узла сети {ID_1, ID_6}. Сформированный запрос передается в модуль выработки пользовательских ключей узла 1.
Модуль выработки пользовательских ключей принимает запрос от модуля управления пользовательскими ключами и начинает определение квантового маршрута. Первым идентификатором в квантовом маршруте становится ID_1, последним - ID_6. Далее по таблице топологии сети КРК (таблице 2) определяются остальные идентификаторы маршрута. Квантовый маршрут получается, например, {ID_1, ID_4, ID_3, ID_6}. Этому квантовому маршруту соответствуют узлы 1, 4, 3, 6.
Модуль выработки пользовательских ключей узла 1 передает сообщение о резервировании маршрута для выработки пользовательского ключа между узлами 1 и 6 в модули выработки пользовательских ключей узлов 4, 3, 6.
Модуль выработки пользовательских ключей узла 1 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 4. Модуль выработки пользовательских ключей узла 4 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 1, и в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 3. Модуль выработки пользовательских ключей узла 3 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 4, и в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 6. Модуль выработки пользовательских ключей узла 6 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 3.
Модули выработки квантового ключа, получившие запрос выработки квантового ключа, с помощью выбранного протокола КРК формируют квантовые ключи: ключ QK1 в модулях выработки квантовых ключей узлов 1 и 4, соединенных квантовой линией связи, ключ QK2 в модулях выработки квантовых ключей узлов 4 и 3, соединенных квантовой линией связи, ключ QK3 в модулях выработки квантовых ключей узлов 3 и 6.
Выработанные квантовые ключи передаются в модули выработки пользовательских ключей соответствующих узлов и помещаются в хранилище квантовых ключей, т.е. ключ QK1 помещается в хранилище квантовых ключей модулей выработки пользовательских ключей узлов 1 и 4, ключ QK2 в хранилище узлов 4 и 3, ключ QK3 в хранилище узлов 3 и 6.
Запрашивают случайное число в модуле выработки пользовательских ключей от модуля выработки квантовых ключей узла 1.
Вырабатывают запрошенное случайное число с помощью генератора случайных чисел модуля выработки квантовых ключей.
Передают выработанное случайное число от модуля выработки квантовых ключей в модуль выработки пользовательских ключей узла 1.
С помощью ключей QK1, QK2, QK3 передают полученное случайное число в узел 6 с помощью выбранного способа.
Назначают в узлах 1 и 6 данное случайное число квантовым пользовательским ключом KQ.
Назначают, согласно выбранному способу выработки классического пользовательского ключа, предраспределенный ключ K1_6 классическим пользовательским ключом KС.
Вырабатывают в узле 1 и в узле 6 пользовательский ключ K согласно выбранному способу объединения квантового пользовательского ключа и классического пользовательского ключа, т.е. K=KQ ⊕ KС, где ⊕ - операция XOR (исключающее ИЛИ).
Передают выработанный пользовательский ключ K из модулей выработки пользовательских ключей узлов 1 и 6 в модули управления пользовательскими ключами узлов 1 и 6 и сохраняют в хранилище пользовательских ключей узлов 1 и 6 соответственно.
Передают пользовательский ключ K из хранилища пользовательских ключей узла 1 в шифратор с идентификатором ID_Е_1 и из хранилища пользовательских ключей узла 6 в шифратор с идентификатором ID_E_2.
Реализовать действия предложенного способа в составе программы или функции может специалист в области программирования (программист).
Для реализации второго варианта системы дополнительно устанавливают оптический коммутатор, например, реализованный на базе оптического переключателя Sercalo sw1x4 (статья по адресу http://www.shs-systems.ru/catalog/ sercalo/SW/).
Приведем пример системы, состоящей из 6 узлов и соединенной квантовыми линиями связи, как показано на фиг. 2. Состав узлов 1, 2, 3, 4, 6 соответствует составу узлов системы по первому варианту. Узел 5 в составе содержит только один модуль выработки квантовых ключей типа приемник, соединенный квантовой линий связи со входом оптического коммутатора. Выходы оптического коммутатора соединены квантовыми линиями связи с модулями выработки квантовых ключей типа источник узлов 3, 4, 6.
Осуществление способа по второму варианту совпадает с осуществлением способа по первому варианту до шага определения квантового маршрута.
Пусть был определен квантовый маршрут {ID_1, ID_4, ID_5, ID_6}. Этому квантовому маршруту соответствуют узлы 1, 4, 5, 6.
Модуль выработки пользовательских ключей узла 1 передает сообщение о резервировании маршрута для выработки пользовательского ключа между узлами 1 и 6 в модули выработки пользовательских ключей узлов 4, 5, 6.
Модуль выработки пользовательских ключей узла 1 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 4. Модуль выработки пользовательских ключей узла 4 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 1, и в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 5. Модуль выработки пользовательских ключей узла 5 переключает коммутацию оптического коммутатора со входа на выход, соответствующий квантовой линией связи к узлу 4, затем передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 4. Модули выработки квантового ключа, получившие запрос выработки квантового ключа, с помощью выбранного протокола КРК формируют квантовые ключи: ключ QK1 в модулях выработки квантовых ключей узлов 1 и 4, соединенных квантовой линией связи, ключ QK2 в модулях выработки квантовых ключей узлов 4 и 5. Модуль выработки пользовательских ключей переключает коммутацию оптического коммутатора со входа на выход, соответствующий квантовой линией связи к узлу 6, затем передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 6. Модуль выработки пользовательских ключей узла 6 передает запрос выработки квантового ключа в модуль выработки квантового ключа, соединенного квантового линией связи с модулем выработки квантового ключа узла 5.
Модули выработки квантового ключа, получившие запрос выработки квантового ключа, с помощью выбранного протокола КРК формируют квантовые ключи: ключ QK3 в модулях выработки квантовых ключей узлов 5 и 6.
Выработанные квантовые ключи передаются в модули выработки пользовательских ключей соответствующих узлов и помещаются в хранилище квантовых ключей, т.е. ключ QK1 помещается в хранилище квантовых ключей модулей выработки пользовательских ключей узлов 1 и 4, ключ QK2 в хранилище узлов 4 и 5, ключ QK3 в хранилище узлов 5 и 6.
Затем формируют пользовательский ключ и завершают выполнение способа аналогично способу по первому варианту.
Изобретение относится к системам генерации ключей с использованием технологии квантового распределения ключей (КРК) для криптографических средств защиты информации. Техническим результатом является повышение отказоустойчивости системы за счет децентрализованной обработки запросов пользовательских ключей и расчета квантовых маршрутов. Вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа. Вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа. Передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута. Сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ. Передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ. 4 н. и 6 з.п. ф-лы, 2 ил., 2 табл.
1. Система выработки и распределения ключей, включающая
множество узлов сети выработки и квантового распределения ключей (узлы сети КРК), причем
узлы сети КРК соединены квантовыми линиями связи так, что граф, отображающий связи квантовыми линиями, является связным;
узлы сети КРК соединены классической линией связи с цифровой сетью передачи данных;
причем к каждому узлу сети КРК присоединено, по крайней мере, две квантовые линии связи;
при этом каждый узел сети КРК включает
модуль выработки пользовательских ключей,
модуль управления пользовательскими ключами,
по крайней мере, два модуля выработки квантовых ключей;
причем
каждый модуль выработки квантовых ключей связан с модулем выработки пользовательских ключей локальной цифровой линией передачи данных;
модуль выработки пользовательских ключей соединен с модулем управления пользовательскими ключами локальной цифровой линией передачи данных;
при этом каждый модуль выработки квантовых ключей выполнен с возможностью вырабатывать квантовые ключи совместно с другим модулем выработки квантовых ключей, соединенным с данным квантовой линией связи; генерировать случайные числа;
получать запросы на выработку квантового ключа от модуля выработки пользовательских ключей;
передавать вырабатываемые квантовые ключи в модули выработки пользовательских ключей;
передавать/получать служебные данные протокола КРК от модуля выработки пользовательских ключей; при этом модуль выработки пользовательских ключей выполнен с возможностью создавать запросы на выработку квантового ключа в модули выработки квантовых ключей;
получать квантовые ключи от модулей выработки квантовых ключей согласно переданным запросам;
хранить квантовые ключи в хранилище квантовых ключей;
зашифровывать данные;
расшифровывать данные;
аутентифицировать данные;
проверять аутентификацию данных;
определять топологию сети КРК;
определять квантовый маршрут для выработки пользовательских ключей; вырабатывать пользовательские ключи совместно с модулями выработки пользовательских ключей других узлов сети КРК на квантовом маршруте; получать запросы на выработку пользовательских ключей от модулей управления пользовательскими ключами;
передавать пользовательские ключи в модули управления пользовательскими ключами;
при этом модуль управления пользовательскими ключами выполнен с возможностью подключать шифраторы пользователей с помощью цифровой сети передачи данных;
хранить пользовательские ключи в хранилище пользовательских ключей;
определять совместно с модулями управления пользовательскими ключами других узлов сети КРК соответствие узла сети КРК и подключенных к ним шифраторов пользователей;
формировать общую базу данных подключенных шифраторов пользователей, содержащую соответствие узлов сети КРК и подключенных к ним шифраторов пользователей;
формировать запросы на выработку пользовательского ключа в модули выработки пользовательских ключей;
получать пользовательские ключи от модулей выработки пользовательских ключей согласно переданным запросам.
2. Способ выработки и распределения пользовательских ключей в системе заключающийся в том, что
выбирают порядок выработки квантового пользовательского ключа;
выбирают порядок выработки классического пользовательского ключа;
выбирают порядок объединения квантового пользовательского ключа и классического пользовательского ключа;
загружают предварительные ключи в модули выработки пользовательских ключей узлов сети КРК, причем в каждый модуль выработки пользовательских ключей загружается N-1 ключ, где N - число узлов сети КРК;
загружают в модуль выработки пользовательских ключей каждого узла сети КРК идентификационную информацию для связи с другими узлами сети КРК, которые соединены квантовой линией связи с данным узлом сети КРК;
загружают в каждый модуль управления пользовательскими ключами идентификационную информацию подключенных к ним шифраторов пользователей;
передают из модуля управления пользовательскими ключами каждого узла сети КРК в модули управления пользовательскими ключами всех остальных узлов сети КРК данные о подключенных шифраторах пользователей;
получают в модуле управления пользовательскими ключами каждого узла сети КРК переданную информацию о подключенных шифраторах пользователей и записывают ее в общую базу данных подключенных шифраторов пользователей;
передают из модуля выработки пользовательских ключей каждого узла сети КРК в модули выработки пользовательских ключей остальных узлов сети КРК идентификационную информацию всех соседних с ним узлов сети КРК, получают в модуле выработки пользовательских ключей каждого узла сети КРК переданную ему идентификационную информацию соседних узлов и на ее основе формируют топологию сети КРК;
получают запрос пользовательского ключа от шифратора пользователя, подключенного к модулю управления пользовательскими ключами узла сети КРК, причем запрос включает идентификационную информацию шифратора пользователя, для связи с которым необходим пользовательский ключ;
определяют из общей базы данных подключенных шифраторов пользователей узел сети КРК, к которому подключен шифратор пользователя, для связи с которым необходим пользовательский ключ;
формируют в модуле управления пользовательскими ключами узла сети КРК запрос пользовательского ключа с указанием идентификационной информации текущего узла сети КРК и узла сети КРК, определенного по общей базе данных подключенных шифраторов пользователей;
передают сформированный запрос пользовательского ключа из модуля управления пользовательскими ключами в модуль выработки пользовательских ключей узла сети КРК;
принимают в модуле выработки пользовательских ключей запрос пользовательского ключа от модуля управления пользовательскими ключами; определяют последовательность узлов сети КРК (квантовый маршрут) и количество k узлов в квантовом маршруте от узла сети КРК, получившего запрос пользовательского ключа, до узла сети КРК, указанного в запросе пользовательского ключа, с помощью топологии сети КРК;
резервируют квантовый маршрут, передавая из модуля выработки пользовательских ключей узла сети КРК, получившего запрос пользовательского ключа, в модули выработки пользовательских ключей узлов сети КРК, с идентификаторами, соответствующими остальным идентификаторам узлов сети КРК в квантовом маршруте, сообщения о резервировании квантового маршрута; вычисляют i=1;
(А) посылают запрос выработки квантового ключа из модуля выработки пользовательских ключей в модуль выработки квантовых ключей i-го узла зарезервированного квантового маршрута и из модуля выработки пользовательских ключей в модуль выработки квантовых ключей (i+1)-го узла зарезервированного квантового маршрута, причем если i-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с (i+1)-м узлом сети КРК; если (i+1)-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с i-м узлом сети КРК;
вырабатывают квантовый ключ в модулях выработки квантового ключа i-го и (i+1)-го узлов сети КРК;
передают полученный квантовый ключ из модуля выработки квантового ключа в модуль выработки пользовательских ключей на i-м и (i+1)-м узле сети КРК;
помещают полученный квантовый ключ в хранилища квантовых ключей модулей выработки пользовательских ключей i-го и (i+1)-го узлов сети КРК;
если i<k-1, то
вычисляют i=i+1,
переходят к этапу А; запрашивают случайное число в модуле выработки пользовательских ключей от модуля выработки квантовых ключей узла сети КРК с идентификатором, соответствующим первому узлу сети КРК зарезервированного квантового маршрута;
вырабатывают запрошенное случайное число с помощью генератора случайных чисел модуля выработки квантовых ключей;
передают выработанное случайное число из модуля выработки квантовых ключей в модуль выработки пользовательских ключей узла сети КРК с идентификатором, соответствующим первому узлу зарезервированного квантового маршрута;
вырабатывают на первом и последнем узле сети КРК зарезервированного квантового маршрута квантовый пользовательский ключ с помощью случайного числа в модуле выработки пользовательских ключей первого узла сети КРК и квантовых ключей в хранилищах квантовых ключей узлов сети КРК, входящих в зарезервированный квантовый маршрут, согласно выбранному порядку выработки квантового пользовательского ключа;
вырабатывают классический пользовательский ключ в первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа;
вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа;
передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута;
сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ; передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.
3. Способ выработки и распределения пользовательских ключей по п. 2, в котором определяют в модулях выработки пользовательских ключей и передают другим модулям выработки пользовательских ключей топологические метрики сети КРК, которыми дополняют топологию сети КРК, причем топологические метрики включают
количество квантовых ключей в хранилище квантовых ключей; скорость выработки квантовых ключей с соседними узлами сети КРК; скорость расходования и количество квантовых ключей на зарезервированных квантовых маршрутах;
при определении квантового маршрута модули выработки пользовательских ключей учитывают топологические метрики, которыми дополнена топология сети КРК;
при резервировании квантового маршрута сообщение о резервировании дополняется информацией о количестве необходимых квантовых ключей для резервирования.
4. Способ выработки и распределения пользовательских ключей по п. 2, в котором запрос квантового ключа к модулю выработки квантовых ключей содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности квантового ключа, режим выработки ключа.
5. Способ выработки и распределения пользовательских ключей по п. 2, в котором запрос пользовательского ключа к модулю управления пользовательскими ключами содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности пользовательского ключа, необходимость применения классического пользовательского ключа при вычислении пользовательского ключа.
6. Система выработки и распределения ключей, включающая
множество узлов сети выработки и квантового распределения ключей (узлы сети КРК), причем
узлы сети КРК соединены квантовыми линиями связи так, что граф, отображающий связи квантовыми линиями, является связным;
узлы сети КРК соединены классической цифровой сетью передачи данных;
причем к каждому узлу сети КРК присоединено, по крайней мере, две квантовые линии связи;
при этом узел сети КРК включает
модуль выработки пользовательских ключей,
модуль управления пользовательскими ключами,
по крайней мере, два модуля выработки квантовых ключей;
причем соединение с квантовыми линиями связи узлов сети КРК может быть выполнено как напрямую, так и через оптический коммутатор; причем
количество оптических коммутаторов не превышает количество узлов сети КРК;
каждый оптический коммутатор имеет один оптический вход и m оптических выходов, позволяющих подключать до m квантовых линий связи к одному узлу сети КРК;
каждый оптический коммутатор соединен локальной цифровой линией передачи данных с модулем выработки пользовательских ключей, подключенным квантовой линией связи к оптическому входу оптического коммутатора; при этом каждый модуль управления пользовательскими ключами соединен с модулем выработки пользовательских ключей локальной цифровой линией передачи данных и выполнен с возможностью получать и передавать данные в шифраторы пользователей через цифровую сеть передачи данных;
хранить пользовательские ключи в хранилище пользовательских ключей; определять совместно с модулями управления пользовательскими ключами других узлов сети КРК соответствие узла сети КРК и подключенных к ним шифраторов пользователей;
формировать общую базу данных подключенных шифраторов пользователей, содержащую соответствие узлов сети КРК и подключенных к ним шифраторов пользователей;
создавать запросы на выработку пользовательского ключа в модули выработки пользовательских ключей;
получать пользовательские ключи от модулей выработки пользовательских ключей согласно переданным запросам;
при этом каждый модуль выработки квантовых ключей связан с модулем выработки пользовательских ключей локальной цифровой линией передачи данных и выполнен с возможностью вырабатывать квантовые ключи совместно с другим модулем выработки квантовых ключей, соединенным квантовой линией связи;
генерировать случайные числа;
получать запросы на выработку квантового ключа от модуля выработки пользовательских ключей;
передавать вырабатываемые квантовые ключи в модули выработки пользовательских ключей;
передавать и получать служебные данные протокола КРК из модуля выработки пользовательских ключей; при этом модуль выработки пользовательских ключей выполнен с возможностью создавать запросы на выработку квантового ключа в модули выработки квантовых ключей;
получать квантовые ключи от модулей выработки квантовых ключей согласно переданным запросам;
хранить квантовые ключи в хранилище квантовых ключей;
зашифровывать данные;
расшифровывать данные;
осуществлять аутентификацию данных;
проверять аутентификацию данных;
определять топологию сети КРК;
определять квантовый маршрут для выработки пользовательских ключей; управлять коммутацией каналов внутри оптического коммутатора; вырабатывать пользовательские ключи совместно с модулями выработки пользовательских ключей других узлов сети КРК на квантовом маршруте, получать запросы на выработку пользовательских ключей от модулей управления пользовательскими ключами;
передавать пользовательские ключи в модули управления пользовательскими ключами.
7. Способ выработки и распределения пользовательских ключей в системе, заключающийся в том, что
выбирают порядок выработки квантового пользовательского ключа;
выбирают порядок выработки классического пользовательского ключа;
выбирают порядок объединения квантового пользовательского ключа и классического пользовательского ключа;
загружают предварительные ключи в модули выработки пользовательских ключей узлов сети КРК, причем в каждый модуль выработки пользовательских ключей загружается N-1 ключ, где N - число узлов сети КРК;
загружают в модуль выработки пользовательских ключей каждого узла сети КРК идентификационную информацию для связи с другими узлами сети КРК, которые соединены квантовой линией связи с данным узлом сети КРК;
загружают в каждый модуль управления пользовательскими ключами идентификационную информацию подключенных к ним шифраторов пользователей;
передают из модуля управления пользовательскими ключами каждого узла сети КРК в модули управления пользовательскими ключами всех остальных узлов сети КРК данные о подключенных шифраторах пользователей;
получают в модуле управления пользовательскими ключами каждого узла сети КРК переданную информацию о подключенных шифраторах пользователей и собирают ее в общую базу данных подключенных шифраторов пользователей;
передают из модуля выработки пользовательских ключей каждого узла сети КРК в модули выработки пользовательских ключей всех остальных узлов сети КРК идентификационную информацию всех соседних с ним узлов сети КРК;
получают в модуле выработки пользовательских ключей каждого узла сети КРК переданную ему идентификационную информацию соседних узлов и на ее основе формируют топологию сети КРК;
получают запрос пользовательского ключа от шифратора пользователя, подключенного к модулю управления пользовательскими ключами узла сети КРК, причем запрос включает идентификационную информацию шифратора пользователя, для связи с которым необходим пользовательский ключ;
определяют по общей базе данных подключенных шифраторов пользователей узел сети КРК, к которому подключен шифратор пользователя, для связи с которым необходим пользовательский ключ;
формируют в модуле управления пользовательскими ключами узла сети КРК запрос пользовательского ключа с указанием идентификационной информации узла сети КРК, получившего запрос пользовательского ключа, и узла сети КРК, определенного по общей базе данных подключенных шифраторов пользователей;
передают сформированный запрос пользовательского ключа из модуля управления пользовательскими ключами в модуль выработки пользовательских ключей узла сети КРК;
принимают в модуле выработки пользовательских ключей запрос пользовательского ключа от модуля управления пользовательскими ключами; определяют последовательность узлов сети КРК (квантовый маршрут) и количество k узлов в квантовом маршруте от узла сети КРК, получившего запрос пользовательского ключа, до узла сети КРК, указанного в запросе пользовательского ключа, с помощью топологии сети КРК;
резервируют квантовый маршрут, передавая из модуля выработки пользовательских ключей узла сети КРК, получившего запрос пользовательского ключа, в модули выработки пользовательских ключей узлов сети КРК, с идентификаторами, соответствующими остальным идентификаторам узлов сети КРК в зарезервированном квантовом маршруте сообщения о резервировании квантового маршрута; вычисляют i=1,
(А) посылают запрос выработки квантового ключа из модуля выработки пользовательских ключей в модуль выработки квантовых ключей i-го узла зарезервированного квантового маршрута и из модуля выработки пользовательских ключей в модуль выработки квантовых ключей (i+1)-го узла зарезервированного квантового маршрута, причем
если i-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с (i+1)-м узлом сети КРК; если (i+1)-й узел сети КРК имеет несколько модулей выработки квантового ключа, то посылают запрос в модуль выработки квантовых ключей, соединенный квантовой линией связи с i-м узлом сети КРК;
если модули выработки квантовых ключей i-го и (i+1)-го узла сети КРК связаны квантовым каналом связи через оптический коммутатор, то
если модуль выработки квантовых ключей (i+1)-го узла сети КРК подключен к j-му выходу оптического коммутатора, то задают коммутацию квантовых каналов в оптическом коммутаторе из модуля выработки пользовательских ключей i-го узла сети КРК со входа оптического коммутатора на j-й выход;
если модуль выработки квантовых ключей i-го узла сети КРК подключен к j-му выходу оптического коммутатора, то задают коммутацию квантовых каналов в оптическом коммутаторе из модуля выработки пользовательских ключей (i+1)-го узла сети КРК со входа оптического коммутатора на j-й выход;
вырабатывают квантовый ключ в модулях выработки квантового ключа i-го и (i+1)-го узлов сети КРК;
передают полученный квантовый ключ из модуля выработки квантового ключа в модуль выработки пользовательских ключей на i-м и (i+1)-м узле сети КРК;
помещают полученный квантовый ключ в хранилища квантовых ключей модулей выработки пользовательских ключей i-го и (i+1)-го узлов сети КРК;
если i<k-1, то
вычисляют i=i+1;
переходят к этапу А; запрашивают случайное число в модуле выработки пользовательских ключей из модуля выработки квантовых ключей узла сети КРК с идентификатором соответствующему первому узлу зарезервированного квантового маршрута;
вырабатывают запрошенное случайное число с помощью генератора случайных чисел модуля выработки квантовых ключей;
передают выработанное случайное число из модуля выработки квантовых ключей в модуль выработки пользовательских ключей узла сети КРК с идентификатором соответствующему первому узлу зарезервированного квантового маршрута;
вырабатывают на первом и последнем узлах сети КРК зарезервированного квантового маршрута квантовый пользовательский ключ с помощью случайного числа в модуле выработки пользовательских ключей первого узла сети КРК и квантовых ключей в хранилищах квантовых ключей узлов сети КРК зарезервированного квантового маршрута, согласно выбранному порядку выработки квантового пользовательского ключа;
вырабатывают классический пользовательский ключ на первом и последнем узле сети КРК зарезервированного квантового маршрута в модулях выработки пользовательских ключей с использованием предварительных ключей согласно выбранному порядку выработки классического пользовательского ключа;
вырабатывают в модулях выработки пользовательских ключей первого и последнего узлов сети КРК зарезервированного квантового маршрута пользовательский ключ с использованием квантового пользовательского ключа и классического пользовательского ключа согласно выбранному порядку объединения квантового пользовательского ключа и классического пользовательского ключа;
передают выработанный пользовательский ключ из модуля выработки пользовательского ключа первого и последнего узлов сети КРК зарезервированного квантового маршрута в модули управления пользовательскими ключами первого и последнего узлов сети КРК зарезервированного квантового маршрута;
сохраняют в хранилище пользовательских ключей модуля управления пользовательскими ключами узла сети КРК полученный пользовательский ключ; передают пользовательский ключ из хранилища пользовательских ключей модуля управления пользовательскими ключами узла сети КРК в шифратор пользователя, запросивший пользовательский ключ.
8. Способ выработки и распределения пользовательских ключей по п. 7, в котором определяют в модулях выработки пользовательских ключей и передают другим модулям выработки пользовательских ключей топологические метрики сети КРК, которыми дополняют топологию сети КРК, причем топологические метрики включают
количество квантовых ключей в хранилище квантовых ключей; скорость выработки квантовых ключей с соседними узлами сети КРК; скорость расходования и количество квантовых ключей на зарезервированных квантовых маршрутах; учитывают топологические метрики при определении квантового маршрута в модуле выработки пользовательских ключей;
при резервировании квантового маршрута сообщение о резервировании дополняют информацией о количестве необходимых квантовых ключей для резервирования.
9. Способ выработки и распределения пользовательских ключей по п. 7, в котором запрос квантового ключа в модуль выработки квантовых ключей содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности квантового ключа, режим выработки ключа.
10. Способ выработки и распределения пользовательских ключей по п. 7, в котором запрос пользовательского ключа в модуль управления пользовательскими ключами содержит характеристики запрашиваемого квантового ключа: длину, максимальное время готовности пользовательского ключа, необходимость применения классического пользовательского ключа при вычислении пользовательского ключа.
US 10348493 B2, 09.07.2019 | |||
Токарный резец | 1924 |
|
SU2016A1 |
US 8041039 B2, 18.10.2018 | |||
Комплекс для защищенной передачи данных в цифровой сети передачи данных с использованием однопроходной системы квантового распределения ключей и способ согласования ключей при работе комплекса | 2019 |
|
RU2736870C1 |
Авторы
Даты
2021-08-11—Публикация
2020-12-10—Подача