Опорный и промежуточный доверенные узлы и способ организации доверенных узлов магистральной квантовой сети Российский патент 2024 года по МПК H04L9/08 

Настоящее изобретение относится к области оптической связи, а именно к телекоммуникационным сетям на основе устройств квантовой связи, и может быть использовано для организации телекоммуникационных сетей с квантово-стойкой защитой передаваемых данных.

Известны устройства квантовой рассылки ключа (далее - КРК) [патент US 2003/016988.0 А1, МКИ: Н04К 1/00, дата приоритета: 22.02.2002, дата публикации: 21.02.2003], [патент RU 2454810 С1, МПК: H04L 9/08, дата приоритета: 24.11.2010, дата публикации: 27.06.2012], состоящие из двух блоков: отправителя и получателя. Данные блоки работают в паре и позволяют формировать квантовые симметричные ключи между удаленными узлами сети топологии «точка-точка». Известно устройство фотонной квантовой связи [патент RU 205 443 U1, МПК: Н04 В 10/25, дата приоритета: 03.11.2020, дата публикации: 14.07.2021], позволяющее осуществлять формирование симметричных квантовых ключей между удаленными узлами сети топологии «звезда». Однако данные устройства имеют фундаментальные ограничение дальности работы, в связи с чем возникает необходимость увеличения дальности работы данных устройств.

Наиболее известный и технологически развитый способ увеличения дальности рассылки ключей с использованием устройств КРК заключается в построении магистральных квантовых сетей, в состав которых входит несколько устройств КРК. Наиболее распространенный способ построения квантовой сети заключается в организации цепочки доверенных узлов, через которую осуществляется последовательная передача ключей между отдельными узлами сети [патент US 20090175452 А1, МПК: H04L 9/06, дата приоритета: 18.04.2006, дата публикации: 09.07.2009], [патент RU 2708511 С1, МПК: H04L 9/08, дата приоритета 04.02.2019, дата публикации: 09.12.2019]. Кроме того, существуют способы управления ключами в квантовой сети, позволяющие осуществлять пересылку симметричных ключей с защитой на основе отдельных квантовых симметричных ключей между любыми пользователями сети, с последующей выдачей данных ключей в клиентские устройства. Основные недостатки данных способов заключаются в использовании одного и того же классического канала для реализации процедур, направленных на передачу симметричных ключей, и защищенных с помощью данных ключей клиентских данных, а также в отсутствии архитектурных решений, связанных с реализацией функций по управлению и мониторингу оборудованием, входящего с состав узла сети.

Наиболее близким к предлагаемому изобретению является описываемые в патенте [патент CN 106330434 В, МПК: H04L 9/08, дата приоритета: 23.06.2015, дата публикации: 04.05.2021] решения по организации отдельных узлов квантовой сети и общей архитектуры квантовой сети. Описываются два типа узла квантовой сети: шлюз доступа и ретрансляционный маршрутизатор, архитектура системы защищенной сети связи, способ передачи служебного ключа и способ коммутации маршрутов. Первый узел связан для согласования с соседним узлом квантовым каналом для генерации пары квантовых симметричных ключей. Осуществляются процедуры шифрования и дешифрования служебного ключа для служебных данных пользователя в соответствии со сформированной парой квантовых ключей, чтобы получить обработанный пакет данных, то есть описывается операция композиции между служебным ключом и квантовым ключом. Обработанный пакет данных передается в соседний второй квантовый узел согласно протоколу маршрутизации с использованием классического канала, в общей схеме маршрут зависит от того, какая пара квантовых ключей и между какими узлами была сформирована. Пользователь А через активный квантовый шлюз доступа получает пакет данных, анализирует его формат, чтобы он соответствовал заданному протоколу, вычисляет маршрут, нацеленный на адрес назначения (Пользователь Б), получает адрес ретрансляционного маршрутизатора и посредством запроса вычисляет, что первым квантовым ключом между шлюзом и маршрутизатором является ключ К, выполняет операцию шифрования на служебном ключе С, используя К для получения зашифрованного пакет данных С л К (композиция) в заданном формате и отправляет С л К в маршрутизатор посредством описываемого шлюза доступа.

Основной недостаток данного метода организации квантовой сети заключается в использовании одного и того же классического канала для реализации процедур, направленных на передачу симметричных ключей, и защищенных с помощью данных ключей клиентских данных, а также в отсутствии архитектурных решений, связанных с реализацией функций по управлению и мониторингу оборудованием, входящим с состав узла сети.

Технический результат достигается тем, что доверенный узел, содержащий модуль квантовой рассылки ключей, модуль подсистемы организации доверенных узлов, локальный сервер управления, мультиплексор/демультиплексор, магистральный шифратор и клиентские устройства для выполнения функции опорного доверенного узла снабжен отдельными коммутаторами транспортной сети и сети управления и линейным шифратором. В частном случае опорный доверенный узел может быть снабжен по меньшей мере двумя магистральными шифраторами. При этом доверенный узел, содержащий модуль квантовой рассылки ключей, модуль подсистемы организации доверенных узлов, локальный сервер управления, мультиплексор/демультиплексор, для выполнения функции промежуточного доверенного узла снабжен отдельными коммутаторами транспортной сети и сети управления, линейным шифратором, а также по меньшей мере одним дополнительным модулем квантовой рассылки ключей и по меньшей мере одним дополнительным мультиплексором/демультиплексором.

Помимо этого, вклад в технический результат вносит способ организации доверенных узлов магистральной квантовой сети, включающий рассылку квантовых состояний в смежные доверенные узлы или получение квантовых состояний из смежных доверенных узлов модулем квантовой рассылки ключей, отправку синхронизационных импульсов на мультиплексор/демультиплексор, выдачу квантовых ключей и информации мониторинга подсистеме организации доверенных узлов, обмен служебной информацией с подсистемой организации доверенных узлов и получение команд управления от подсистемы организации доверенных узлов модулем квантовой рассылки ключей; формирование подсистемой организации доверенных узлов симметричной ключевой последовательности со смежными доверенными узлами; выдачу подсистемой организации доверенных узлов симметричной ключевой последовательности магистральному шифратору для шифрования или расшифрования клиентских данных; и отличающийся тем, что посредством коммутатора сети управления служебную информацию с модуля квантовой рассылки ключей, информацию для формирования симметричного квантового ключа от модуля квантовой рассылки ключей, данные мониторинга подсистемы организации доверенных узлов и модуля квантовой рассылки ключей передают на локальный сервер управления, передают команды управления с локального сервера управления модулю подсистемы организации доверенных узлов, передают данные управления и мониторинга с магистрального шифратора на локальный сервер управления. При этом команды управления, поступающие от локального сервера управления и предназначенные для передачи в смежный промежуточный узел, передают посредством коммутатора сети управления на линейный шифратор, получающий ключи шифрования от модуля подсистемы организации доверенных узлов, а затем передают зашифрованные команды управления на коммутатор сети управления и далее на мультиплексор/демультиплексор через объединенный канал управления. Шифрованные клиентские данные при этом передают на коммутатор транспортной сети, а затем на мультиплексор/демультиплексор посредством объединенного канала транспортной сети для дальнейшей передачи по доверенным узлам магистральной квантовой сети. В частном случае шифрованные клиентские данные передают на коммутатор транспортной сети по меньшей мере с двух магистральных шифраторов. При отсутствии магистрального шифратора в узле шифрованные клиентские данные, полученные из смежного доверенного узла, передаются через мультиплексор/демультиплексор на коммутатор транспортной сети, а затем на следующий мультиплексор/демультиплексор из состава доверенного узла для последующей пересылки в смежный доверенный узел.

Рассмотрим предлагаемый состав узлов доверенных узлов квантовой сети подробнее. Выделим несколько типов узлов магистральной квантовой сети: опорный доверенный узел сети (1), который является топологически оконечным узлом, и промежуточный опорный доверенный узел (2), посредством которого соединяются опорные доверенные узлы сети. Каждый опорный узел связан с промежуточным опорным узлов через два отдельных физических канала: квантовый канал (А) и классический информационный канал (Б), в котором передаются все классические данные, необходимые для функционирования сети. Промежуточный опорный узел может быть связан посредством каналов А и Б как с опорным узлом, так и с другим смежным промежуточным опорным узлом. В простейшем случае магистральная квантовая сеть состоит из двух опорных узлов, и одного промежуточного опорного узла (Фиг. 1а). В общем случае, в структуру сети могут входить несколько опорных узлов и несколько промежуточных опорных узлов, при этом промежуточные узлы могут быть связаны сразу с несколькими смежными узлами. Пример более сложной топологии представлен на Фиг. 1б.

Рассмотрим состав опорного доверенного узла (1), который представлен на Фиг. 2. В состав опорного доверенного узла сети входит модуль КРК, а именно модуль отправителя КРК (3) или модуль получателя КРК (4). Данные модули имеют два волоконных выхода, по которым передаются квантовый канал (А) и канал синхронизации (В). Кроме того, каждый модуль КРК связан информационным каналом (Г) с модулем подсистемы организации доверенных узлов (далее - ПДУ) (5), по которому передаются квантовые ключи в направлении от КРК к ПДУ, служебный канал КРК в обоих направлениях, команды управления от ПДУ к КРК, а также данные мониторинга КРК в направлении от КРК к ПДУ.

Каждый ПДУ соединен с коммутатором сети управления (6) для передачи информации, которой обмениваются расположенные в смежных узлах ПДУ (информация для формирования симметричного ключа, служебный канал КРК) и для передачи данных управления и мониторинга ПДУ и КРК (Д). При формировании симметричного ключа, попарно связанные ПДУ обмениваются информацией, шифруя и расшифровывая ее с использованием квантовых симметричных ключей, получаемых от расположенных в тех же узлах модулей КРК.

После осуществления процедур по формированию симметричного ключа между опорными доверенными узлами расположенные в данных узлах ПДУ выдают симметричные ключи в магистральные шифраторы (7) по каналу между ПДУ и магистральным шифратором (Е), которые используют их для шифрования и расшифрования информации, постигаемой с клиентского оборудования (8) по каналу связи между магистральным шифратором и клиентским устройством (Ж). Магистральные шифраторы предназначены для передачи агрегированного клиентского трафика, и должны отличаться высокой пропускной способностью.

Затем, защищенная с использованием симметричных ключей информация с клиентских устройств поступает на коммутатор транспортной сети (9) по информационному каналу между магистральным шифратором и коммутатором транспортной сети (И). Также магистральный шифратор связан информационным каналом с коммутатором сети управления (К), по которому осуществляется передача данных управления и мониторинга магистральным шифратором. Аналогичный канал сбора данных мониторинга и передачи команд управления есть между коммутатором сети управления и коммутатором транспортной сети (Л).

Кроме того, в состав узла также входит локальный сервер управления (10). Локальный сервер соединен с коммутатором сети управления через отдельный канал (М), по которому транзитом через коммутатор сети управления поступают данные мониторинга и отправляются команды управления всему узловому оборудованию с локального сервера управления. При этом коммутатор сети управления дополнительно соединен с линейным шифратором (11) по информационному каналу (Н), необходимому для защиты канала управления и мониторинга перед его передачей во внешний контур. В свою очередь, линейный шифратор соединен с ПДУ по информационному каналу (О), по которому линейный шифратор получает симметричные ключи для защиты канала управления. Следует отметить, что дополнительной защите на линейном шифраторе не подвергается канал Д, поскольку его защита реализуется средствами ПДУ. Однако при передаче во внешний контур, данный канал включается в состав объединенного канала управления (П).

Принцип организации передачи данных мониторинга и команд управления внутри узла, а также принцип организации защиты данных при их передаче во внешний контур показаны на Фиг. 2.

Связь с внешним контуром (линии связи, выходящие за пределы опорного доверенного узла), имеют коммутатор транспортной сети, коммутатор сети управления, модуль КРК. Квантовый канал (А) передается в отдельной физической линии связи. Канал синхронизации (В), объединенный канал сети управления (П) и объединенный канал транспортной сети (Р) поступают на оптический мультиплексор/демультиплексор (12), благодаря чему при обмене данными между отдельными узлами сети через внешний контур все вышеперечисленные каналы передаются в одной физической линии связи (Б).

В данном типе узлов может устанавливаться несколько магистральных шифраторов (7.1-7.n), обслуживаемые одним ПДУ. Кроме того, к каждому из магистральных шифраторов может подключаться несколько абонентских устройств (8.1.1-8.n.m) по отдельным каналам связи между магистральным шифратором и клиентским устройством (Ж.1.1-Ж.n.m). В таком случае схема соединений между ПДУ, магистральными шифраторами, и клиентскими устройствами будет выглядеть, как это показано на Фиг. 3. Количественное ограничение по подключаемым к ПДУ магистральным шифраторам и по подключаемым к магистральным шифраторам клиентским устройствам обуславливается конкретной технической реализацией каждого из устройств. В таком случае, защищенный клиентский трафик с нескольких магистральных шифраторов будет поступать на коммутатор транспортной сети по отдельным информационным каналам (И.1-И.n), и потом передаваться в рамках одного объединенного канала транспортной сети (Р). Аналогично на коммутатор транспортной сети данные мониторинга и команды управления для магистральных шифраторов будут передаваться по отдельным информационным каналам (К.1 - К.n) между магистральными шифраторами (7.1-7.n) и коммутатором сети управления (6).

Теперь рассмотрим состав промежуточного доверенного узла (2). Отличие состава данного узла от состава опорного доверенного узла заключается в том, что данный узел имеет связи сразу с несколькими смежными узлами, в простейшем случае - с двумя. Состав промежуточного доверенного узла, имеющего связь с двумя смежными узлами, представлена на Фиг. 4. Выработка квантовых симметричных ключей между промежуточным доверенным узлом и смежными ему узлами используется с использованием отдельных модулей КРК, входящих в состав различных устройств КРК. Таким образом, на Фиг. 4 показано два модуля КРК (3.1(4.1), 3.2(4.2)). Оба модуля КРК соединяются с ПДУ по отдельным информационным каналам (Г. 1, Г. 2) аналогично схеме соединения КРК и ПДУ в опорном доверенном узле. Помимо этого, в промежуточном доверенном узле располагается несколько мультиплексоров/демультиплексоров, число которых также совпадает с количеством узлов, с которыми связан данный узел (12.1 и 12.2). На вход каждого из мультиплексоров/демультиплексоров также направляется объединенный канал транспортной сети (Р.1 для мультиплексора/демультиплексора 12.1, Р.2 для мультиплексора/демультиплексора 12.2), объединенный канал сети управления (П. 1 для мультиплексора/демультиплексора 12.1, П.2 для мультиплексора/демультиплексора 12.2), канал синхронизации КРК (В. 1 для мультиплексора/демультиплексора 12.1, В.2 для мультиплексора/демультиплексора 12.2).

Еще одно существенное отличие структуры промежуточного доверенного узла заключается в отсутствии в нем магистрального шифратора и клиентского оборудования, вследствие чего в данном узле не выполняются операции, направленные на шифрование и расшифрование объединенного трафика транспортной сети. Таким образом, объединенный трафик транспортной сети (Р.1 и Р.2) в промежуточном опорном доверенном узле передается транзитом между двумя мультиплексорами/демультиплексорами через коммутатор транспортной сети (9).

В общем случае промежуточный доверенный узел может иметь связи сразу с несколькими смежными узлами, как показано на Фиг. 5, в таком случае в его состав входит большее число модулей КРК (3.1(4.1)-3.n(4.n)) и мультиплексоров/демультиплексоров (12.1 - 12.n), число которых равно числу узлов, с которыми связан данный промежуточный доверенный узел. Объединенный трафик транспортной сети (Р.1, Р.2, Р.n) направляется на все смежные узлы посредством коммутатора транспортной сети (9), аналогично объединенный трафик сети управления (П.1, П.2, П.n) направляется на все смежные узлы посредством коммутатора сети управления (6).

Таким образом, за счет оптимизации архитектурных решений по организации типовых узлов магистральной квантовой сети достигается повышение эффективности передачи классических информационных каналов в магистральной квантовой сети.

Изобретение относится к средствам организации доверенных узлов магистральной квантовой сети. Технический результат заключается в повышении эффективности передачи классических информационных каналов в магистральной квантовой сети. Предлагаемая архитектура магистральной квантовой сети отличается наличием разделения трафика транспортной сети, по которой передаются клиентские данные, и трафика сети управления и мониторинга, посредством которой организуется защищенное управление и сбор данных мониторинга оборудования узла квантовой сети, в том числе от устройств квантовой рассылки ключей. Выделяется два основных типа узлов: опорный узел и промежуточный опорный узел. В состав типовых узлов входят модули устройств квантовой рассылки ключей, модули подсистемы организации доверенных узлов, коммутаторы транспортной сети и сети управления, локальные серверы управления, магистральные и линейные шифраторы, мультиплексоры/демультиплексоры и клиентские устройства. Для передачи данных между типовыми узлами сети используется два канала: квантовый канал и классический информационный канал. 3 н. и 3 з.п. ф-лы, 5 ил.

1. Доверенный узел, содержащий модуль квантовой рассылки ключей, модуль подсистемы организации доверенных узлов, локальный сервер управления, мультиплексор/демультиплексор, магистральный шифратор и клиентские устройства, отличающийся тем, что для выполнения функции опорного доверенного узла он снабжен отдельными коммутаторами транспортной сети и сети управления и линейным шифратором, при этом модуль квантовой рассылки ключей связан информационным каналом с модулем подсистемы организации доверенных узлов, который соединен с коммутатором сети управления, магистральный шифратор связан каналом с модулем подсистемы организации доверенных узлов и связан информационным каналом с коммутатором транспортной сети, клиентские устройства связаны каналом с магистральным шифратором, коммутатор сети управления связан информационным каналом с коммутатором транспортной сети, магистральный шифратор связан информационным каналом с коммутатором сети управления, локальный сервер управления связан каналом с коммутатором сети управления, при этом коммутатор сети управления дополнительно соединен с линейным шифратором по информационному каналу, линейный шифратор соединен с модулем подсистемы организации доверенных узлов по информационному каналу, при этом мультиплексор/демультиплексор связан с модулем квантовой рассылки ключей, коммутатором сети управления, коммутатором транспортной сети по каналам, при этом узел связан с промежуточным опорным узлом через два отдельных физических канала: квантовый канал из модуля квантовой рассылки ключей и классический информационный канал из мультиплексора/демультиплексора.

2. Доверенный узел по п.1, отличающийся тем, что снабжен по меньшей мере двумя магистральными шифраторами.

3. Доверенный узел, содержащий модуль квантовой рассылки ключей, модуль подсистемы организации доверенных узлов, локальный сервер управления, мультиплексор/демультиплексор, отличающийся тем, что для выполнения функции промежуточного доверенного узла он снабжен отдельными коммутаторами транспортной сети и сети управления, линейным шифратором, а также по меньшей мере одним дополнительным модулем квантовой рассылки ключей и по меньшей мере одним дополнительным мультиплексором/демультиплексором, при этом модули квантовой рассылки ключей связаны информационным каналом с модулем подсистемы организации доверенных узлов, который соединен с коммутатором сети управления, коммутатор сети управления связан информационным каналом с коммутатором транспортной сети, локальный сервер управления связан каналом с коммутатором сети управления, при этом коммутатор сети управления дополнительно соединен с линейным шифратором по информационному каналу, линейный шифратор соединен с модулем подсистемы организации доверенных узлов по информационному каналу, при этом мультиплексоры/демультиплексоры связаны с модулями квантовой рассылки ключей, коммутатором сети управления, коммутатором транспортной сети по каналам, при этом узел связан с опорными доверенными узлами через множество отдельных физических каналов: множество квантовых каналов из множества модулей квантовой рассылки ключей и множество классических информационных каналов из множества мультиплексоров/демультиплексоров.

4. Способ организации доверенных узлов магистральной квантовой сети, включающий: рассылку квантовых состояний в смежные доверенные узлы или получение квантовых состояний из смежных доверенных узлов модулем квантовой рассылки ключей, отправку синхронизационных импульсов на мультиплексор/демультиплексор, выдачу квантовых ключей и информации мониторинга модуля подсистемы организации доверенных узлов, обмен служебной информацией с модулем подсистемы организации доверенных узлов и получение команд управления от модуля подсистемы организации доверенных узлов модулем квантовой рассылки ключей; формирование модулем подсистемы организации доверенных узлов симметричной ключевой последовательности со смежными доверенными узлами; выдачу модулем подсистемы организации доверенных узлов симметричной ключевой последовательности магистральному шифратору для шифрования или расшифрования клиентских данных; отличающийся тем, что посредством коммутатора сети управления служебную информацию с модуля квантовой рассылки ключей, информацию для формирования симметричного квантового ключа от модуля квантовой рассылки ключей, данные мониторинга модуля подсистемы организации доверенных узлов и модуля квантовой рассылки ключей передают на локальный сервер управления, передают команды управления с локального сервера управления модулю подсистемы организации доверенных узлов, передают данные управления и мониторинга с магистрального шифратора на локальный сервер управления, при этом команды управления, поступающие от локального сервера управления и предназначенные для передачи в смежный промежуточный узел, передают посредством коммутатора сети управления на линейный шифратор, получающий ключи шифрования от модуля подсистемы организации доверенных узлов, а затем передают зашифрованные команды управления на коммутатор сети управления и далее на мультиплексор/демультиплексор через объединенный канал управления; шифрованные клиентские данные при этом передают на коммутатор транспортной сети, а затем на мультиплексор/демультиплексор посредством объединенного канала транспортной сети для дальнейшей передачи по доверенным узлам магистральной квантовой сети.

5. Способ по п.4, отличающийся тем, что шифрованные клиентские данные передают на коммутатор транспортной сети по меньшей мере с двух магистральных шифраторов.

6. Способ по п.4, отличающийся тем, что при отсутствии магистрального шифратора в узле шифрованные клиентские данные, полученные из смежного доверенного узла, передаются через мультиплексор/демультиплексор на коммутатор транспортной сети, а затем на следующий мультиплексор/демультиплексор из состава доверенного узла для последующей пересылки в смежный доверенный узел.