ИСПОЛЬЗОВАНИЕ  КВАНТОВОГО  КЛЮЧА  ДЛЯ  ЗАЩИТЫ  ТЕЛЕКОММУНИКАЦИОННОЙ  СЕТИ

Плёнкин  Антон  Павлович

аспирант  кафедры  ИБТКС,  ЮФУ,  РФ,  г.  Таганрог

E-mail: 

THE  USAGE  OF  QUANTUM  KEY  FOR  TELECOMMUNICATIVE  NETWORK  SECURITY

Pljonkin  Anton  Pavlovich

graduate  student  of  DEMPSS,  Southern  Federal  University,  Russia  Taganrog

АННОТАЦИЯ

Изложены  основные  методы  шифрования  информации  в  телекоммуникационных  сетях.  Описан  процесс  интеграции  квантового  ключа,  полученного  при  помощи  системы  квантового  распределения  ключей  Clavis2  3100  фирмы  ID  Quantique,  в  набор  протоколов  IPsec.  Приведена  архитектура  стенда  для  исследования  квантово-криптографической  сети  передачи  данных.  Сформулированы  перспективы  развития  квантово-криптографической  сети.

ABSTRACT

The  main  methods  of  data  encryption  in  telecommunication  networks  are  expounded.  The  process  of  integrating  quantum  key  obtained  through  a  system  of  quantum  key  distribution  Clavis2  3100  Company  ID  Quantique,  protocol  suite,  Ipsec  are  describes.  The  architecture  of  the  stand  for  the  study  of  quantum  cryptographic  data  network.  The  development  prospects  of  quantum  cryptographic  network  are  formulated.

Ключевые  слова:  квантовый  ключ;  квантовая  криптография;  система  квантового  распределения  ключей.

Keywords:  quantum  key;  quantum  cryptography;  quantum  key  distribution  system.

Защита  данных  в  телекоммуникационных  сетях  обеспечивается  средствами  протоколов.  Наиболее  применяемыми  из  них  являются  IPsec,  PPTP,  L2TP,  PPPoE  [3].  В  статье  описан  процесс  интеграции  квантовых  ключей  в  протокол  IPsec,  который  располагается  на  сетевом  уровне,  используя  самый  распространенный  протокол  этого  уровня  —  IP.  Это  делает  IPsec  более  гибким  относительно  других  протоколов  и  позволяет  использовать  его  для  защиты  любых  протоколов,  базирующихся  на  TCP  и  UDP.  Первоначальная  аутентификация  сторон  в  IPsec,  их  обмен  общими  секретными  ключами,  которые  применяются  для  шифрования  данных,  обеспечиваются  протоколом  IKE.  Ключи  формируются  посредством  математических  алгоритмов  и  распределяются  согласно  схеме  открытого  распределения  ключей,  предложенной  Диффи  и  Хеллманом.  Отличительной  особенностью  интеграции  системы  квантового  распределения  ключей  в  телекоммуникационную  сеть  является  процесс  генерации  ключа,  который  основывается  на  технологии  квантовой  криптографии  и  опирается  на  принципиальную  неопределенность  поведения  квантовой  системы.

На  базе  кафедры  ИБТКС  ЮФУ  разработан  стенд  для  научных  исследований  квантово-криптографической  сети.  В  основе  стенда  используется  система  квантового  распределения  ключей  Clavis2  3100  фирмы  ID  Quantique  (QKDS-A  и  QKDS-B  на  рисунке  1),  принцип  работы  которой  описан  в  [1,  4,  5].  В  качестве  серверных  шлюзов  (CC-A  и  CC-B  на  рисунке  1)  использованы  персональные  компьютеры  с  программным  обеспечением  Linux.  Станции  QKDS-A  и  QKDS-B  соединены  между  собой  оптическим  волокном,  а  с  СС-A  и  СС-B  взаимодействуют  посредством  USB  интерфейсов.  Серверные  шлюзы  соединены  между  собой  посредством  кабеля  UTP,  данное  соединение  выполняет  как  роль  сервисного  канала  обмена  данными  между  станциями  QKDS-A  и  QKDS-B,  так  и  средой  передачи  общепользовательских  данных  между  CC-A  и  CC-B.  Особенностью  схемы  является  использование  квантовых  ключей  в  конфигурировании  защищенного  канала  связи  между  СС-А  и  СС-В.  Отметим,  что  данная  схема  является  одним  из  упрощенных  вариантов  реализации  системы  и  может  быть  масштабируема,  иметь  распределенную  структуру.

Рисунок  1.  Архитектура  стенда

Процесс  формирования  ключей  системой  Сlavis2  запускается  на  серверных  шлюзах.  Организуется  туннель  между  СС-А  и  СС-В.  Каждый  узел  отвечает  за  шифрование  данных  до  того,  как  они  попадут  в  туннель  и  расшифровку  этих  данных  после  того,  как  они  туннель  покинут.  Этапы  создания  защищенного  туннеля  на  основе  протоколов  IPsec  включают  в  себя  конфигурирование  политик  безопасности,  аутентификации  и  шифрования.  Настройка  аутентификации  и  шифрования  производится  для  четырех  создаваемых  каналов,  по  одному  на  каждое  направление  для  каждого  из  протоколов.  Назначение  политик  безопасности  конфигурируется  для  правил  обработки  получаемых  пакетов  серверными  шлюзами  СС-А  и  СС-В.

Программа  KeyMessageDemo  фирмы  ID  Quantique  позволяет  выводить  сгенерированные  системой  Clavis2  ключи  необходимой  длины  в  текстовый  файл.  Процедура  формирования  файла  с  ключевой  информацией  производится  на  серверных  шлюзах.  Результатом  операции  служат  созданные  на  СС-А  и  СС-В  файлы  (рисунок  2)  с  одинаковым  содержимым  (ключевой  материал),  при  этом  секретные  ключи  не  передаются  (не  копируются)  по  сети,  а  формируются  непосредственно  на  серверных  шлюзах.

Рисунок  2.  Листинг  файла,  содержащего  ключевой  материал

Для  интеграции  квантовых  ключей  в  алгоритмы  шифрования  IPsec  туннеля,  ключи  необходимой  длины  копируются  из  полученных  файлов  в  соответствующие  области  конфигурации  протоколов  (рисунок  3).  Использование  идентичных  ключей  шифрования  для  обоих  направлений  не  является  обязательным  требованием,  поэтому  для  более  надежной  защиты  возможно  использование  различных  ключей  шифрования.

Рисунок  3.  Листинг  конфигурации  туннеля  с  интегрированными  квантовыми  ключами

Результатом  рабочей  конфигурации  туннеля  служит  листинг  политик  безопасности  серверных  шлюзов,  который  показывает,  что  все  данные,  передаваемые  по  каналу  связи  между  СС-A  и  СС-B,  зашифровываются  применяемыми  ключами.

Скорость  формирования  ключей  системой  Clavis2  не  позволяет  осуществлять  шифрование  трафика  в  режиме  реального  времени  и  в  соответствии  с  правилом  Шеннона  [2].  Скорость  распространения  ключа  в  системе  Clavis2  3100  составляет  500  бит/с,  поэтому  для  передачи  одного  мегабайта  данных  потребуется  около  5  часов.  Использование  в  схеме  симметричных  алгоритмов  аутентификации  и  шифрования,  позволяет  применять  квантовые  ключи  различной  длины  и  управлять  таким  параметром  как  «время  жизни  ключа».  Применение  новых  ключей  происходит  при  инициализации  соединения.

Созданная  телекоммуникационная  сеть  с  интегрированными  в  нее  квантовыми  ключами  является  единственной  в  России  функционирующей  системой,  позволяющей  проводить  комплексные  исследования  квантово-телекоммуникационной  сети.  Следующим  шагом  является  разработка  программно-аппаратного  комплекса  для  автоматизации  процесса  использования  квантовых  ключей  для  шифрования  телекоммуникационной  сети.

Список  литературы:

1.Голубчиков  Д.М.,  Румянцев  К.Е.  Обобщенная  структура  систем  квантового  распределения  ключей  с  фазовым  кодированием  состояний  фотонов  //  Известия  ВУЗов  России.  Радиоэлектроника.  —  2011.  —  №  6.  —  С.  26—38.

2.Котенко  В.В.,  Румянцев  К.Е.  Теория  информации  и  защита  телекоммуникаций:  Монография.  Ростов  н/Д.:  Изд-во  ЮФУ,  2009.  —  369  с.

3.Румянцев  К.Е.,  Розова  Я.С.  Патентно-лицензионная  ситуация  в  области  квантовой  криптографии.  //  Электротехнические  и  информационные  комплексы  и  системы.  —  2011.  —  Т.  7,  —  №  1.  —  С.  3—10.

4.Румянцев  К.Е.  Системы  квантового  распределения  ключа:  Монография.  Таганрог:  Изд-во  ТТИ  ЮФУ,  2011.  —  264  с.

5.Rumyantsev  K.E.,  Golubchikov  D.M.  Modeling  of  Quantum  Key  Distribution  System  for  Secure  Information  Transfer:  Chapter  15.  In  the  book  «Integrated  Models  for  Information  Communication  Systems  and  Networks:  Design  and  Development».  Aderemi  Aaron  Anthony  Atayero  (Editor),  Oleg  I.  Sheluhin  (Editor).  IGI  Global  (USA),  2013.  —  P.  314—342.