Основные понятия
本文提出了一種適用於軟體定義量子密鑰分發網路 (QKDN) 的新型控制和管理 (CM) 層架構,該架構通過利用金鑰管理 (KM) 層來傳輸 CM 訊息,從而提高安全性並保護網路免受中繼攻擊和元數據洩露。
Аннотация
量子密鑰分發網路的控制與管理挑戰
隨著量子計算的出現,傳統加密方法面臨著越來越大的威脅。量子密鑰分發 (QKD) 作為一種有前途的解決方案,可以實現安全的通訊,不受量子電腦攻擊的影響。量子密鑰分發網路 (QKDN) 由多個 QKD 鏈路組成,允許多個用戶在任意距離內使用 QKD。然而,QKDN 的控制和管理 (CM) 層在確保安全性和性能方面面臨著獨特的挑戰。
現有 CM 架構的分析
現有的 CM 架構,例如獨立保護 (SP) 架構和控制與管理即服務 (CMS) 架構,在安全性、性能和複雜性方面存在局限性。SP 架構依賴於獨立的安全機制來保護 CM 流量,而 CMS 架構則利用 QKDN 的金鑰分發服務,這兩種架構都容易受到元數據洩露和 DoS 攻擊。
CM-via-KMS 架構:一種新方法
本文提出了一種新穎的 CM 架構,稱為 CM-via-KMS,它通過利用 KM 層來傳輸 CM 訊息,從而解決了這些限制。在這種架構中,QSDN 控制器和 SDN 代理不作為安全應用實體 (SAE) 連接到金鑰管理系統 (KMS)。相反,CM 訊息通過 KM 層進行中繼,類似於金鑰傳輸。
CM-via-KMS 架構的優勢
這種方法提供了多項優勢:
- 增強的安全性:通過消除對獨立 CM 流量保護機制的需求,減少了攻擊面。
- 減少元數據洩露:竊聽者只能訪問其直接前驅和後繼節點之間交換的 CM 訊息,從而最大限度地減少了元數據洩露。
- 簡化的身份驗證:由於 CM 訊息僅在已通過身份驗證的節點之間中繼,因此身份驗證過程得到簡化。
- 提高了對 DoS 攻擊的抵抗力:通過利用 KM 層的彈性,CM-via-KMS 架構增強了對 DoS 攻擊的抵抗力。
性能評估
通過模擬對所提出的架構進行了評估,結果表明,與現有架構相比,它在安全性方面有所提高,而性能開銷卻很小。模擬結果突出了所使用的路由協議在確定整體網路性能方面的關鍵作用。
結論和未來方向
CM-via-KMS 架構為 SDN 啟用的 QKDN 提供了一種安全高效的 CM 層實現。未來的研究方向包括全面調查所提出架構的可擴展性,並探索將其與先進路由演算法整合。此外,該架構的硬體實現將進一步驗證其在實際 QKDN 部署中的實用性和有效性。
Статистика
模擬實驗在一個包含 20 個節點的網路中進行,控制節點位於網路邊緣。
CM 流量加密採用 1:1 的數據包與金鑰比率。
結果表明,所提出的 CM-via-KMS 架構在確保安全性的同時,對網路性能的影響最小。
與使用獨立安全機制保護 CM 流量的 SP 架構相比,CM-via-KMS 架構表現出可比的性能。
模擬結果突出了所使用的路由協議在確定整體網路性能方面的關鍵作用,其中分佈式主動路由協議表現出比源反應式路由協議更低的延遲。
Цитаты
"基於這些特點,我們得出以下結論。對數據包處理不斷增長的需求必須通過充足的資源來滿足,這可以通過使用合適的高性能硬體或並行處理技術來實現。KMS 的性能不僅取決於訊息的高效加密和解密,還取決於充足金鑰的可用性。必須提供符合鏈路特定要求的金鑰 [6]。"
"基於 QKDN 的獨特特點,可以推斷,由於兩種網路類型之間的巨大差異,CTN 中使用的路由協議和網路實現不能直接應用於 QKDN。此外,KM 層由於其複雜性增加及其在安全中繼金鑰方面的高性能和高精度關鍵作用而更容易受到攻擊,與應用層相比,它成為了一個更有吸引力的目標。因此,必須採取有效的對策來應對日益嚴重的漏洞。"
"本文提出了一種在集中管理的 QKDN 中實現 CM 層的新穎、安全的方法,該方法可以保護 KM 層免受元數據洩露,並有效地對 CM 流量進行身份驗證。通過將新方法與兩種現有架構進行比較,我們通過理論分析證明了其優缺點。我們通過模擬研究進一步證明了其可行性和性能,方法是將所提出的架構與 SP 架構進行基準測試。"