CN103546276A - 通信设备、通信方法以及通信系统 - Google Patents
通信设备、通信方法以及通信系统 Download PDFInfo
- Publication number
- CN103546276A CN103546276A CN201310064977.5A CN201310064977A CN103546276A CN 103546276 A CN103546276 A CN 103546276A CN 201310064977 A CN201310064977 A CN 201310064977A CN 103546276 A CN103546276 A CN 103546276A
- Authority
- CN
- China
- Prior art keywords
- key
- node
- application
- resource information
- communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0827—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving distinctive intermediate devices or communication paths
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Mobile Radio Communication Systems (AREA)
- Telephonic Communication Services (AREA)
Abstract
本发明涉及通信设备、通信方法以及通信系统。根据实施例,通信设备连接到生成加密密钥的密钥生成设备。所述通信设备包括获取单元和计算器。所述获取单元被配置为获取密钥资源信息,所述密钥资源信息表示能由所述密钥生成设备提供的加密密钥的资源。所述计算器被配置为基于获取到的所述密钥资源信息,计算能提供到使用所述加密密钥的应用的所述加密密钥的所述密钥资源信息。
Description
相关申请的交叉引用
本申请基于并要求享有于2012年7月17日提交的、申请号为2012-159044的日本专利申请的优先权,其全部内容以引用方式并入本文。
技术领域
本文描述的实施例一般地涉及通信设备、通信方法以及通信系统。
背景技术
已知加密通信网络配置有多个网络节点,所述网络节点通过多条链路相互连接。每个节点具有生成随机数并与通过链路连接的相对节点共享该随机数的功能,以及具有通过使用作为加密密钥(下文中称为“链路密钥”)的随机数在链路上进行加密通信的功能。此外,有些节点还具有独立于链路生成随机数的功能,以及具有将生成的随机数发送给不同节点的功能。在加密通信网络中,应用具有以下功能:从节点处获取随机数,使用该随机数作为加密密钥(下文中称为“应用密钥”),以及与另一应用进行加密通信。在本文中,可以以与节点集成的方式配置应用,或者可以将应用配置为独立于节点的终端。
在节点中,可以利用通常称为量子加密通信的技术实现生成随机数(链路密钥)并与通过链路连接的相对节点共享该随机数的功能。在这种情况下,在节点中独立于链路生成随机数(应用密钥)并经由链路将随机数发送给不同节点的技术被称为量子密钥分发(QKD)。
但是,在传统的技术中,不清楚应用需要遵循何种顺序以获得关于从节点处可获得的应用密钥的信息。因此,例如,应用根据可获得的应用密钥不能确定合适的加密算法。
发明内容
实施例的目的在于提供一种使得应用能够从节点处获取关于应用密钥的信息的通信设备。
根据实施例,通信设备连接到生成加密密钥的密钥生成设备。该通信设备包括获取单元和计算器。获取单元被配置为获取密钥资源信息,所述密钥资源信息表示能由所述密钥生成设备提供的加密密钥的资源。计算器被配置为基于获取到的所述密钥资源信息,计算能提供到使用所述加密密钥的应用的所述加密密钥的所述密钥资源信息。
根据上述通信设备,应用能从节点处获取关于应用密钥的信息。
附图说明
图1为示出了根据实施例的通信系统的网络配置例子的图;
图2为用于解释在实施例中假设的示范性使用情况的图;
图3为示出了根据实施例的节点的配置例子的框图;
图4为示出了根据实施例的应用的配置例子的框图;
图5为用于解释根据实施例的密钥资源计算操作的流程图;
图6为示出了根据实施例的通信系统的网络配置例子的图;
图7为示出了根据实施例的通信系统的网络配置例子的图;以及
图8为用于解释根据实施例的设备的硬件配置的解释性图。
具体实施方式
以下将结合附图详细描述实施例。
取决于各自的类型,通信设备(应用)在开始通信(加密通信)之前需要具有关于从密钥生成设备(节点)处可获得多少应用密钥的信息。例如,执行视频通信或音频通信(在其中以连续基础进行数据通信)的应用在开始通信前,可以查询是否能从节点处以连续基础获取等于或者大于某一数量的应用密钥,并且可以相应地确定可用频带或加密算法。此外,例如,一次传输大文件的文件传输应用在开始通信前,可以查询是否能立即获取足够数量的应用密钥以便一次性传输大文件。
因此,应用会多次从节点处要求关于用于生成可用应用密钥的密钥生成速度(生产量)的信息,或者关于应用密钥的密钥保留数量的信息。在以下的解释中,节点可以提供的应用密钥资源(例如,应用密钥的密钥生成速度或者密钥保留数量)被称为密钥资源信息或者简称为密钥资源。此外,密钥资源信息并不局限于应用密钥的密钥生成速度或者密钥保留数量。再者,所述配置可以是这样的:通过执行对多条密钥资源信息(例如密钥生成速度或密钥保留数量)加权而获取的值被用作密钥资源信息。
同时,对于节点发送回诸如密钥生成速度或密钥保留数量的密钥资源,节点不仅需要考虑关于所持有的应用密钥的信息,还需要考虑关于其它节点所持有的应用密钥的信息、关于链路密钥的信息以及关于其它应用的信息。
因此,在实施例中,出于发送回密钥资源并将密钥资源分配给应用的目的,将阐明计算密钥资源、管理密钥资源以及将密钥资源分配给应用的方法。根据实施例的通信系统例如具有下述配置。
响应于来自应用的关于密钥资源的查询,节点通过实施下列方法而计算、管理和分配密钥资源。
(A1)收集密钥资源信息
(A2)收集关于其它应用的信息
(A3)计算候选路径
(A4)确定最合适的路径以及确定对应用的响应
图1为示出了根据实施例的通信系统的网络配置例子的图。通信系统包括用作密钥生成设备的节点100a-100c,并且包括用作通信设备的应用200a-200c。
当不需要区分节点100a-100c时,可简单地称其为节点100。类似地,当不需要区分应用200a和200c时,可简单地称其为应用200。同时,节点100的数目不限于3个,应用200的数目不限于2个。
节点100a-100c中的每个具有生成随机数并与相对节点共享该随机数的功能,以及具有通过使用作为链路密钥的随机数在链路(链路300a和300b)上进行加密通信的功能。此外,每个节点100还能够具有独立于链路生成随机数的功能,以及将生成的随机数发送给不同节点的功能。
图2为用于解释在实施例中假设的示范性使用情况的图。以下给出的是对图2所示的使用情况的解释。
假设连接到节点100a的应用200a开始与连接到节点100c的应用200c进行通信。此时,执行以下操作(1)--(4)。
(1)密钥资源查询:应用200a向节点100a发送关于能在与应用200c进行通信时使用的密钥资源的查询
(2)密钥资源响应:响应于所述查询,节点100a向应用200a发送关于可用密钥资源的信息
(3)应用密钥获得:应用200a向节点100a请求应用密钥,并且从节点100a处获得应用密钥
(4)加密通信:通过使用从节点100a处获取的应用密钥,应用200a执行与应用200c的加密通信
图3为示出了节点100的配置例子的框图。如图3所示,节点100包括第一通信单元101、资源管理单元102、获取单元103、确定单元104、计算单元105、第二通信单元106、请求管理单元107以及平台单元108。
第一通信单元101实施量子加密通信技术以生成随机数并与通过通信链路51(节点间链路)连接的不同节点100(外部设备)(下文中也称作“相对节点”)共享该随机数;以及将生成的随机数作为链路密钥进行管理。此外,第一通信单元101用于与经由节点间链路连接的不同节点100进行数据通信(即,用于执行节点间数据通信)。
在本文中,当涉及不同节点时,其可以是通过链路直接连接的相对节点,也可以是经由相对节点的不同节点间链路连接的另外不同的节点。在后一种情况下,第一通信单元101可以装备有用于经由加密通信网络中多个节点执行通信的路由功能。经由第一通信单元101在节点间通信的数据可以表示例如应用密钥数据。这种节点间数据通信可以利用节点100管理的链路密钥以加密形式执行。
资源管理单元102管理并持有经由第一通信单元101交换的链路密钥和应用密钥。当涉及链路密钥时,资源管理单元102仅持有在直接连接的相对节点间交换的链路密钥。当涉及应用密钥时,资源管理单元102能够持有并管理在加密通信网络中呈现的任意两个节点100之间交换的应用密钥。
此外,通常链路密钥用于使得能够在节点100之间安全交换应用密钥。每个已经使用的链路密钥都被销毁。通过稍后描述的方法将应用密钥从节点100发送到应用200,并且所述应用密钥由应用200所使用。一旦向应用200提供了应用密钥,则通常在节点100处销毁应用密钥。资源管理单元102所持有并管理的密钥表示加密通信系统中出于安全原因最重要的数据之一。为此,取决于文件系统或者操作系统(OS),能采取诸如加密、防篡改和访问限制的安全措施。虽然存在实现资源管理单元102的多种方法,但例如可以将其实现为文件系统或数据库。
获取单元103执行上述操作(A1)和(A2)。也就是,获取单元103获取(收集)能由其它节点100提供的应用密钥的密钥资源信息。此外,获取单元103获取(收集)关于不是请求密钥资源信息的应用200的其它应用200的信息(即,获取其它应用信息)。为了收集密钥资源信息和其它应用信息,获取单元103能够利用第一通信单元101或者利用一些其它通信接口(未示出)与其它节点100进行通信。
确定单元104执行上述操作(A3)。也就是,确定单元104检查加密通信网络中从相应节点100到其它节点100的候选路径(路由候选)。
计算单元105参考由获取单元103获取的密钥资源信息,并计算能提供给已请求密钥资源信息的应用200的密钥资源信息。此时,计算单元105从确定单元104所确定的候选路径中计算通过其能提供最大密钥资源的路径(即,计算最合适路径)。然后,计算单元105计算能利用最合适路径提供的密钥资源信息,作为能提供给应用200的密钥资源信息。
第二通信单元106用于执行与通过通信链路(应用通信链路)连接的应用200进行的数据通信。例如,第二通信单元106接收来自应用200的应用密钥获得请求,并因此向应用200提供应用密钥。此外,第二通信单元106还用于接收密钥资源查询信息和发送回密钥资源信息的通信中。
第二通信单元106包括发送单元106a,其向应用200发送各种数据。例如,发送单元106a向应用200发送由计算单元105计算出的密钥资源信息。
请求管理单元107接收并管理应用200所请求的密钥资源信息,并且管理和通知分配给应用200的密钥资源信息。例如,通过维护其中以与应用200请求的密钥资源信息对应的方式存储所述应用200的识别符(例如地址)的数据库,请求管理单元107管理密钥资源信息。
请求管理单元107利用第二通信单元106来执行与应用200进行的通信。请求管理单元107接收来自应用200的用于密钥资源信息的请求,并在计算单元105请求时提供密钥资源信息。在另一方面,计算单元105将分配的密钥资源信息通知给请求管理单元107。因此,请求管理单元107经由第二通信单元106向对应的应用200提供通知的密钥资源信息。
平台单元108提供计算机对在节点100的其它构成元件的操作和管理而言必需的操作系统功能、基本网络功能以及安全功能。
以上描述了根据实施例的节点100的配置。然而,所述解释仅是示例性的。
以下给出根据实施例的应用200的配置的解释。图4为示出了应用200的配置例子的框图。如图4所示,应用200包括通信单元201、通信单元202、执行单元203以及平台单元204。
通信单元201经由通信链路(链路52)建立与节点100(更具体地,与节点100的第二通信单元106)的连接,并与节点100进行大量数据通信。例如,通信单元201从节点100处获取执行加密通信所要求的应用密钥。除此之外,在开始获取应用密钥之前,通信单元201发送关于可用密钥资源的查询。
响应于当不能获取被请求的密钥资源时的情况,对于应用200执行的操作没有特定的限制。此外,对于利用节点间链路在应用200与节点100之间进行的通信所遵循的顺序没有限制。然而,能够实现下述方法。
例如,在从节点100处获取应用密钥时,通信单元201还能够建立与节点100的会话。可以经由所述节点100将与所述会话相关的信息共享到与所考虑的应用进行加密通信的另一应用200,以及共享到连接其它应用200的另一节点100。
例如,当应用200a与应用200c进行加密通信时,应用200a和节点100a在其间建立密钥使用会话,而应用200c和节点100c在其间建立相同的会话或者在其间建立相关的密钥使用会话。因此,通信单元201能利用某种会话控制协议与节点100进行通信。
执行单元203实现执行加密通信的应用功能。只要能够执行通信,对通信功能的类型没有限制。例如,执行单元203实现视频传输功能或者文件传输功能。在加密通信期间,执行单元203利用通信单元202进行数据通信。
通信单元202提供对执行单元203的操作而言必需的通信功能。此外,通信单元202提供对通信数据进行加密和解密的功能。当从应用200接收传输数据时,通信单元202对传输数据进行加密并经由数据通信链路(链路53)发送加密后的数据。此外,当从加密通信链路接收数据时,通信单元202对接收到的数据进行解密并将解密后的数据发送到执行单元203。
如果在数据加密和数据解密期间使用应用密钥是必需的,则通信单元202经由节点间链路请求新的应用密钥。同时,通信单元202能够通过实施任意的加密算法来执行加密通信。例如,能够使用诸如一次性密码本的Vernam密码或者诸如高级加密标准(AES)的分组密码。此外,除了加密外,还可以执行消息认证。然而,假设通信单元202所使用的至少一个加密算法使用节点100所提供的应用密钥。
平台单元204提供计算机对在应用200中的其它构成元件的操作和管理而言必需的操作系统功能、基本网络功能以及安全功能。
以上描述了根据实施例的应用200的配置。然而,所述解释仅是示例性的。
以下给出根据实施例的在以上述方式配置的通信系统中执行的密钥资源计算操作的解释。图5为用于解释根据实施例的密钥资源计算操作的流程图。图6为示出了通信系统的网络配置例子的图。
首先,给出将密钥生成速度作为密钥资源信息对待的情况的解释。图6示出了将密钥生成速度作为密钥资源信息对待的例子。在图6中,“链路密钥n”表示“n”为在对应链路中链路密钥的密钥生成速度。可以根据例如方法、量子通信生产量、光纤电缆长度以及量子加密通信中的损失率,来确定链路密钥的密钥生成速度。例如可以通过第一通信单元101获取链路密钥的密钥生成速度。此外,链路密钥的密钥生成速度在系统操作期间可被视为固定的,或者在系统操作期间可被视为动态变化的。
根据图5所示的顺序,节点100参考诸如链路密钥的密钥生成速度的信息,计算应用密钥的密钥生成速度,并向应用200发送计算出的密钥生成速度。同时,步骤S101至步骤S104分别对应于以上提及的操作(A1)至(A4)。
首先,获取单元103收集关于加密通信网络中呈现的所有节点100之间的路径上的链路密钥的密钥生成速度的信息(步骤S101)。例如,获取单元103通过以固定时间间隔执行某种节点间通信而执行步骤S101处的操作。可以在接收来自应用200的查询之前提前执行步骤S101处的操作,或者可以在接收来自应用200的查询之后执行所述操作。此外,可以不管接收来自应用200的查询而执行步骤S101处的操作。
存在各种收集链路密钥的密钥生成速度的方法。每个节点100能够通知管理服务器(管理设备)(未示出)关于节点100所保持的链路中链路密钥的密钥生成速度信息,随后能从管理服务器处获取链路密钥的必要密钥生成速度信息。在本文中,管理服务器指的是例如收集和管理所有节点100的链路密钥的密钥生成速度信息的服务器。在这种情况下,获取单元103能够执行与管理服务器的通信。能够利用简单数据库或者利用目录服务器来实现这种管理服务器。当管理服务器存在于加密通信网络时,每个节点100能够经由相应的第一通信单元101与管理服务器进行通信。在另一方面,当管理服务器存在于不同网络时,每个节点100能经由不同网络接口(未示出)与管理服务器进行通信。
作为另一种方法,每个节点能够单独地与相应的在先节点进行通信,并获取所有链路的链路密钥的密钥生成速度信息。可替代地,利用路由协议的消息交换,每个节点100能够收集所有其它节点100所保持的链路密钥的密钥生成速度信息,作为路由协议中的一个参数。在本文中,路由协议指的是在加密通信网络中建立路由的同时实现的协议。
作为能用于该目的的路由协议,可用OSPF协议(OSPF表示开放式最短路径优先)。在OSPF协议中,链路状态更新(LSU)分组在通信系统中所有的节点间进行交换,以便交换在路由协议中为必要度量的每条路径(链路)的成本信息。在本文中,可以将链路密钥的密钥生成速度信息作为一种类型的成本进行交换。这样,可以执行步骤S101的操作。在这种情况下,例如,配置可以是这样的:获取单元103和第一通信单元101实施路由协议。
收集到的链路密钥的密钥生成速度信息保持在获取单元103中。在本文中,结合图6,链路密钥的密钥生成速度信息例如指的是在每条链路中提及的数目(即,指的是每条链路中的“n”)。在图6示出的例子中,以下述方式持有链路密钥的密钥生成速度信息。
节点100a和节点100e之间:5
节点100e和节点100d之间:10
节点100d和节点100c之间:12
节点100a和节点100b之间:8
节点100b和节点100c之间:4
节点100a和节点100f之间:7
节点100f和节点100c之间:10
返回到结合图5的解释,获取单元103进一步收集其它应用的信息(步骤S102)。在加密通信网络中,在同时执行多个应用200的情况下,步骤S102处的操作是必要的。在一次仅执行单个应用的情况下,步骤S102处的操作是不必要的且可以被略过。
例如,考虑如下情况:连接到节点100a的应用200a向节点100a发送关于与连接到节点100c的应用200c进行通信所需的密钥资源的查询。此外,假设也连接到节点100a的应用200b已经使用(被分配)了与也连接到节点100c的应用200d进行通信所需的一些密钥资源(密钥生成速度)。在这种情况下,不能使用已分配用于应用200b和应用200d之间的加密通信的密钥资源(密钥生成速度)。为此,与在应用200b和应用200d之间没有执行加密通信的情况相比,应用200a能从节点100a处获取的密钥资源(密钥生成速度)在数量上有所减少。
因此,有必要考虑共享密钥资源的其它应用200的存在,并且有必要认为用于应用200a的可用密钥资源(应用密钥的密钥生成速度)是在减去其它应用200使用的密钥资源(密钥生成速度)之后余下的剩余密钥资源。
为此,获取单元103根据以下给出的第一对策和第二对策两者中任意一个执行操作。
第一对策
在操作(A1)中(步骤S101处),获取单元103从节点100处收集在减去已分配给其它应用200的密钥资源之后可用的密钥资源。在这种情况下,例如,节点100配置为向获取单元103提供在减去已分配给其它应用200的密钥资源之后可用的密钥资源。这样,在操作(A2)中(步骤S102处),不必采取任何特定措施。在每个节点100中,获取单元103以可共享的方式持有多种信息,所述信息获取自对应的第一通信单元101。
然而,关于其它应用200而执行的应用密钥分配可能在状态方面会有显著变化。因此,为了利用第一对策准确地执行步骤S102处的操作,有必要以细粒度方式(以较短的时间间隔)执行步骤S102处的操作。例如,具体的对策是为LSU分组设置短的传输间隔,LSU分组用于频繁地查询管理服务器或者在OSPF协议中用于周期性交换链路信息。
第二对策
在操作(A1)中,未经考虑已经分配给其它应用200的密钥资源而收集了信息。同时,为了执行操作(A2),出于管理密钥资源使用状态的目的分离地安装第二管理服务器(未示出)。在每个节点100中,当将密钥资源分配给应用200时,获取单元103向第二管理服务器通知关于密钥资源分配状态。此外,在每个节点100中,获取单元103周期性地或者在必要时向第二管理服务器发送关于在其它节点100中的密钥资源分配信息的查询。通过执行这种顺序的操作,每个节点100能获知已经分配给其它应用200的密钥资源(即,能获知密钥资源分配信息)。此外,每个节点100能从收集到的密钥资源减去已经分配的密钥资源。同时,可以利用简单数据库或者利用目录服务器来实现这样的第二管理服务器。当第二管理服务器存在于加密通信网络中时,每个节点100能经由对应的第一通信单元101与第二管理服务器进行通信。在另一方面,当管理服务器存在于不同网络中时,每个节点100能经由不同的网络接口(未示出)与第二管理服务器进行通信。此外,第二管理服务器和管理服务器能够实现为单独的服务器或者实现为单独服务器内的处理。
在步骤S101和步骤S102之后,确定单元104确定候选路径(步骤S103)。例如,以与步骤S101并发的方式或者基于通过实施单独的路由协议而收集到的节点间图形信息,确定单元104检查通向加密通信网络中每个节点100的所有候选路径。为此,有必要具有关于网络中每个节点的连接关系的信息。在这方面,可以使用利用已知路由协议收集连接关系的机制。这要么可以与实施上述路由协议并发地实施要么可以单独地执行。
例如,如图6所示从节点100a到节点100c存在以下三条候选路径。
候选路径A:节点100a→节点100e→节点100d→节点100c
候选路径B:节点100a→节点100b→节点100c
候选路径C:节点100a→节点100f→节点100c
同时,利用例如不选择两次经过单个节点的路径的条件,确定单元104能够配置为消除例如环路的冗余路径。
随后,计算单元105从候选路径中计算具有最合适密钥资源的路径(即,计算最合适路径),以及计算能够经由最合适路径提供的密钥资源(步骤S104)。例如,关于确定出的每条候选路径,计算单元105获取密钥资源值(即,链路密钥的密钥生成速度)为最小(作为特定候选路径的瓶颈值)处的位置(链路)。然后,计算单元105选择具有最大瓶颈值的路径作为最合适路径。
例如,对于上述候选路径A-C中的每一条,以下给出瓶颈链路中的密钥生成速度。
候选路径A:
节点100a和节点100e之间的密钥生成速度:5
节点100e和节点100d之间的密钥生成速度:10
节点100d和节点100c之间的密钥生成速度:12
瓶颈值:5
候选路径B:
节点100a和节点100b之间的密钥生成速度:8
节点100b和节点100c之间的密钥生成速度:4
瓶颈值:4
候选路径C:
节点100a和节点100f之间的密钥生成速度:7
节点100f和节点100c之间的密钥生成速度:10
瓶颈值:7
因而,计算单元105将候选路径C(节点100a→节点100f→节点100c)设置为最合适路径。此外,响应于最合适路径,计算单元105计算密钥生成速度为7×α,其中α表示链路密钥的密钥保留数量和能利用那些链路密钥交换的应用密钥的密钥保留数量之间的比率。理想地,α等于1。这样,应用密钥的密钥生成速度等于7。
节点100将计算出的密钥生成速度发送回应用200。虽然对接收密钥资源信息的应用200所执行的操作没有限制,但是例如可以执行以下操作。应用200请求节点100提供最合适路径的密钥资源。响应于该请求,节点100从最合适的路径获取应用密钥,并将其发送到应用200。随后,应用200使用接收到的应用密钥,并开始执行使用应用密钥的加密通信。
同时,例如,计算单元105能将步骤S103和步骤S105处的操作作为单独操作执行。此外,被选作最合适路径的路径可以是(P1)单条路径或者(P2)沿途被划分为多条路径的路径(因此,同时使用多条路径并且一次使用较大量的密钥资源)。在以上给出的例子中,给出了(P1)情况的解释。
通常,在(P2)的情况下,能通过解决最大流量的问题来执行上述操作,最大流量的问题指的是在流网络中从单独的起点到单独的终点获取最大流量的数学问题。就解决最大流量问题而言,已知例如线性编程和最大流量算法(Ford-Fulkerson algorithm)的多种方案。计算单元105能实现这种算法的任意一种以执行上述操作。
在(P1)的情况下,也可以实施多种方法。计算单元105能实施那些算法中的任意一种以执行上述操作。可替换地,能将(P1)作为最大流量问题的一部分进行解决。例如,在OSPF路由协议中通常实施已知为解决最短路径问题的算法的Dijkstra算法。因而,还可以通过改善所述协议而实施(P1)。通常,在Dijkstra算法中,每条候选路径的总成本被保持为关于目的节点的信息,并且具有最小总成本的路径被选作最短路径。相反地,在改进的Dijkstra算法中,保持有候选路径的成本最小值(密钥资源:密钥生成速度),并且将具有最大的最小值的路径选作最合适路径。
以上描述了在将密钥生成速度视为密钥资源的情况下在密钥资源分配算法中的操作顺序。作为执行那些操作的结果,相对于每个其它节点100,每个节点100能将密钥生成速度确定为能提供给应用200的密钥资源。
响应于从应用200处接收到的查询,接收查询的节点100发送回上述密钥资源信息中其它节点100的密钥资源信息。
例如,假设节点100a从应用200a处接收关于密钥生成速度的查询,所述密钥生成速度为能在与应用200c进行通信的同时使用的密钥资源。在这种情况下,节点100a发送回与可与节点100c使用的密钥生成速度相关的信息。
同时,通过指定或者不指定节点100c的标识符(地址),应用200a能发送查询。在不指定节点100c的标识符的情况下,基于应用200a所通知的信息,接收查询的节点100a能识别连接到应用200c的节点100c。
以下给出将密钥保留数量作为密钥资源对待的情况的解释。图7为示出了将密钥保留数量作为密钥资源对待的情况下的通信系统的网络配置例子的图。在图7中,“链路密钥n”表示“n”为对应链路中链路密钥的密钥保留数量。此外,例如,结合图7,在对应于节点100a的文字框中,“节点100b…20”表示“20”为在节点100a与节点100b之间共享的应用密钥的密钥保留数量。
首先,获取单元103收集关于密钥保留数量的信息(步骤S101)。为了对密钥保留数量进行计数,可以执行以下给出的方法A或方法B。
方法A:仅对已经保持在对应节点中的应用密钥计数为密钥保留数量
方法B:除了在方法A中计数的密钥保留数量外,关于能利用在相应节点和目标节点之间的路径的链路中已经持有的链路密钥进行交换的应用密钥,额外地将应用密钥作为能额外保留的应用密钥计数为密钥保留数量。
在实施方法A的情况下,特别地,用于收集密钥资源信息的操作顺序非常简单。例如,通过参考资源管理单元102所持有的用于每个节点100的应用密钥的密钥保留数量的数据,获取单元103能够确定密钥保留数量。
在实施方法B的情况下,除了考虑在方法A中提及的资源管理单元102所持有的用于每个节点100的应用密钥的密钥保留数量,还需要考虑链路密钥的密钥保留数量。为此,获取单元103收集关于加密通信网络中呈现的所有节点100之间的路径中链路密钥的密钥保留数量的信息。
参照图7,作为将密钥保留数量作为密钥资源信息对待的情况下所需要的信息,给出以下信息:在相应节点100中持有并且与每个其它节点100共享的应用密钥的密钥保留数量(事实上,必要信息仅与相应节点100相关);以及加密通信网络中所有链路的链路密钥的密钥保留数量。
应用密钥的密钥保留数量和链路密钥的密钥保留数量能通过访问资源管理单元102获得。如早先描述的,应用密钥的密钥保留数量随着在相应节点之间交换应用密钥而增加,随着向应用200提供应用密钥而减少。类似地,链路密钥的密钥保留数量由于量子加密通信技术中的密钥共享顺序而增加,由于在节点之间利用链路密钥执行的安全通信而减少(例如,出于交换应用密钥的目的)。
以下给出了如图7所示的节点100a的资源管理单元102所持有的信息的例子。
首先,以下给出了每个节点持有的应用密钥的密钥保留数量。
节点100b:20
节点100c:30
节点100d:40
节点100e:50
节点100f:60
以下给出了各对节点之间链路上持有的链路密钥的密钥保留数量。
节点100a和节点100e之间的链路:5
节点100e和节点100d之间的链路:10
节点100d和节点100c之间的链路:12
节点100a和节点100b之间的链路:8
节点100b和节点100c之间的链路:4
节点100a和节点100f之间的链路:7
节点100f和节点100c之间的链路:10
同时,在实施方法B的情况下,通过遵循与收集关于密钥生成速度的密钥资源信息所遵循的相同的操作顺序,能实施收集加密通信网络中所有节点之间的路径中的链路密钥的密钥保留数量的信息的额外要求的方法。因此,不再重复解释。
在实施方法A的情况下,将已经分配给其它应用200的应用密钥的密钥保留数量存储在例如请求管理单元107中或者资源管理单元102中。获取单元103能够参考存储的密钥保留数量,并相应减去已经分配的密钥保留数量(分配信息),以便计算能够新提供的密钥保留数量。
在实施方法B的情况下,从链路密钥的密钥保留数量中,获取单元103进一步收集关于已经分配给应用200的那些链路密钥的密钥保留数量的信息。为了收集这种信息,可以实施与收集关于其它应用200的密钥生成速度的信息的方法相同的方法。
在实施方法A的情况下,确定单元104所执行的确定候选路径的操作(在步骤S103处)是必需的。在实施方法B的情况下,通过遵循与计算与密钥生成速度相关的候选路径所遵循的相同的操作顺序,确定单元104确定候选路径。
例如,在图7中所示从节点100a到节点100c,存在以下三条候选路径。
候选路径A:节点100a→节点100e→节点100d→节点100c
候选路径B:节点100a→节点100b→节点100c
候选路径C:节点100a→节点100f→节点100c
在实施方法A的情况下,节点100将对应于通信另一侧上的其它节点100的应用密钥的密钥保留数量发送回应用200,而没有进行修改。
在实施方法B的情况下,通过遵循与确定关于密钥生成速度的最合适路径所遵循的相同的操作顺序,计算单元105确定关于密钥保留数量的最合适路径。此外,计算单元105将应用密钥的密钥保留数量与链路密钥的密钥保留数量相加的结果作为密钥保留数量的值发送回应用200,其中应用密钥的密钥保留数量是通过实施方法A获取的且已经被节点100所持有,而链路密钥的密钥保留数量是通过实施方法B获取的。
在图7示出的例子中,在节点100a和节点100c之间共享有30个应用密钥。对于每条候选路径,按如下给出链路密钥的密钥保留数量和额外可保留的应用密钥。
候选路径A:
节点100a和节点100e之间的链路密钥的密钥保留数量:5
节点100e和节点100d之间的链路密钥的密钥保留数量:10
节点100d和节点100c之间的链路密钥的密钥保留数量:12
候选路径A的路径中额外可保留的应用密钥:5×α
候选路径B:
节点100a和节点100b之间的链路密钥的密钥保留数量:8
节点100b和节点100c之间的链路密钥的密钥保留数量:4
候选路径B的路径中额外可保留的应用密钥:4×α
候选路径C:
节点100a和节点100f之间的链路密钥的密钥保留数量:7
节点100f和节点100c之间的链路密钥的密钥保留数量:10
候选路径C的路径中额外可保留的应用密钥:7×α
这里,α表示链路密钥的密钥保留数量和能利用那些链路密钥交换的应用密钥的密钥保留数量之间的比率。理想地,α等于1。
因此,利用候选路径C的路径作为最合适路径,应用密钥保留数量等于37(=30+7)。然后,节点100将该值(37)发送回应用200。
这样,在根据实施例的通信系统中,每个节点能够收集诸如密钥生成速度或密钥保留数量的密钥资源信息,并将可分配的密钥资源信息发送回应用。这样,应用可以获取例如关于可获得的应用密钥的信息,并因此确定适当的加密算法。
同时,可以使用硬件电路实现或者部分或全部使用软件(计算机程序)实现每个节点100和每个应用200的构成元件。
下面结合图8解释根据实施例的设备(应用和节点)的硬件配置。图8为用于解释根据实施例的设备的硬件配置的解释性图。
根据实施例的每个设备包括例如中央处理单元(CPU)851的控制设备;例如只读存储器(ROM)852和随机存取存储器(RAM)853的存储设备;通过与网络建立连接而进行通信的通信I/F 854;以及与其它构成元件互连的总线861。
在根据实施例的设备中执行的计算机程序提前存储在ROM 852中。
可替换地,在根据实施例的设备中执行的计算机程序能以可安装或可执行文件的形式记录在计算机可读记录介质中,所述计算机可读记录介质例如为只读光盘驱动器(CD-ROM)、软盘(FD)、可读光盘(CD-R)或者数字化通用磁盘(DVD)。
可替换地,在根据实施例的设备中执行的计算机程序可保存为连接到因特网的计算机上的可下载文件,或者可用于通过诸如因特网的网络进行分发。
同时,在根据实施例的设备中执行的计算机程序包括用于待在计算机中实现的每个上述构成元件的模块。特别地,例如,CPU 851从计算机可读存储介质中读取计算机程序,并运行所述程序从而将所述程序加载到主存储设备。结果,在计算机中生成用于每个上述构成元件的模块。
根据至少一个上述实施例的通信设备,通信设备连接到生成加密密钥的密钥生成设备。通信设备包括获取单元和计算器。获取单元被配置为获取表示能由密钥生成设备提供的加密密钥的资源的密钥资源信息。基于获取到的密钥资源信息,计算器被配置为计算能提供给使用加密密钥的应用的加密密钥的密钥资源信息。因此,应用能从节点处获取关于应用密钥的信息。
虽然已经描述了一些实施例,但是这些实施例仅以示例的方式呈现,并不意图限制本发明的范围。事实上,本文所描述的新颖实施例可以以多种其它形式实现。此外,在不背离本发明的精神的情况下,可以做出对本文描述的实施例形式的各种省略、替换和改变。随附的权利要求极其等价意图覆盖落入本发明的范围和精神内的这种形式或修改。
Claims (11)
1.一种连接到生成加密密钥的密钥生成设备的通信设备,所述通信设备包括:
获取单元,其被配置为获取密钥资源信息,所述密钥资源信息表示能由所述密钥生成设备提供的所述加密密钥的资源;以及
计算器,其被配置为基于获取到的所述密钥资源信息,计算能提供到使用所述加密密钥的应用的所述加密密钥的所述密钥资源信息。
2.根据权利要求1所述的设备,其中
所述通信设备连接到多个密钥生成设备,
所述通信设备还包括确定单元,所述确定单元被配置为确定通向所述多个密钥生成设备的第一设备的路径,以及
基于所述获取到的密钥资源信息,所述计算器计算能经由所述路径提供的所述加密密钥的所述密钥资源信息。
3.根据权利要求2所述的设备,其中
所述确定单元确定通向所述第一设备的一条或多条路径,以及
从能经由所述路径提供的多条密钥资源信息中,所述计算器计算表示最大值的所述密钥资源信息。
4.根据权利要求3所述的设备,其中所述密钥资源信息为能够提供的所述加密密钥的生成速度。
5.根据权利要求3所述的设备,其中所述密钥资源信息为能够提供的所述加密密钥的密钥保留数量。
6.根据权利要求3所述的设备,还包括发送单元,所述发送单元被配置为向所述应用发送所述计算出的密钥资源信息。
7.根据权利要求1所述的设备,其中
所述获取单元还获取分配信息,所述分配信息表示已经由所述密钥生成设备分配的所述加密密钥的已经分配的资源,以及
基于所述获取到的密钥资源信息和所述获取到的分配信息,所述计算器计算能提供给所述应用的所述加密密钥的所述密钥资源信息。
8.根据权利要求1所述的设备,其中,所述获取单元从所述密钥生成设备处获取密钥资源信息,所述密钥资源信息包含于根据开放式最短路径优先路由协议交换的消息中。
9.根据权利要求1所述的设备,其中所述获取单元从管理设备处获取所述密钥资源信息,所述管理设备用于存储所述密钥生成设备的所述密钥资源信息。
10.一种在连接到生成加密密钥的密钥生成设备的通信设备中实施的通信方法,所述通信方法包括:
获取密钥资源信息,所述密钥资源信息表示能由所述密钥生成设备提供的所述加密密钥的资源;以及
基于获取到的所述密钥资源信息,计算能提供到使用所述加密密钥的应用的所述加密密钥的所述密钥资源信息。
11.一种通信系统,包括:
密钥生成设备;以及
通信设备,其中
所述密钥生成设备包括通信单元,所述通信单元被配置为生成加密密钥并将所述加密密钥发送给所述通信设备,并且
所述通信设备包括
获取单元,其被配置为获取密钥资源信息,所述密钥资源信息表示能由所述密钥生成设备提供的所述加密密钥的资源;以及
计算器,其被配置为基于获取到的所述密钥资源信息,计算能提供到使用所述加密密钥的应用的所述加密密钥的所述密钥资源信息。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| JP2012-159044 | 2012-07-17 | ||
| JP2012159044A JP5694247B2 (ja) | 2012-07-17 | 2012-07-17 | 鍵生成装置、通信方法および通信システム |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN103546276A true CN103546276A (zh) | 2014-01-29 |
Family
ID=49946551
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310064977.5A Pending CN103546276A (zh) | 2012-07-17 | 2013-03-01 | 通信设备、通信方法以及通信系统 |
Country Status (3)
| Country | Link |
|---|---|
| US (1) | US20140023192A1 (zh) |
| JP (1) | JP5694247B2 (zh) |
| CN (1) | CN103546276A (zh) |
Families Citing this family (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| JP6211818B2 (ja) | 2013-06-11 | 2017-10-11 | 株式会社東芝 | 通信装置、通信方法、プログラムおよび通信システム |
| JP6223884B2 (ja) * | 2014-03-19 | 2017-11-01 | 株式会社東芝 | 通信装置、通信方法およびプログラム |
| JP6400441B2 (ja) | 2014-11-19 | 2018-10-03 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| CN104486363B (zh) * | 2015-01-05 | 2017-08-25 | 福建爱特点信息科技有限公司 | 一种云安全保障系统 |
| JP6426477B2 (ja) | 2015-01-06 | 2018-11-21 | 株式会社東芝 | 通信装置、通信システムおよびプログラム |
| CN106161402B (zh) * | 2015-04-22 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN108023725B (zh) * | 2016-11-04 | 2020-10-09 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
| US11991273B2 (en) * | 2018-09-04 | 2024-05-21 | International Business Machines Corporation | Storage device key management for encrypted host data |
| US11088829B2 (en) | 2018-09-04 | 2021-08-10 | International Business Machines Corporation | Securing a path at a node |
| US11038698B2 (en) | 2018-09-04 | 2021-06-15 | International Business Machines Corporation | Securing a path at a selected node |
| JP7282713B2 (ja) * | 2020-04-16 | 2023-05-29 | 株式会社東芝 | 量子暗号装置、量子暗号通信料金計算システム及び量子暗号通信料金計算方法 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101141461A (zh) * | 2006-09-07 | 2008-03-12 | 国际商业机器公司 | 用于使用密钥服务器进行密钥生成和取回的方法和系统 |
| US7392378B1 (en) * | 2003-03-19 | 2008-06-24 | Verizon Corporate Services Group Inc. | Method and apparatus for routing data traffic in a cryptographically-protected network |
| US7706535B1 (en) * | 2003-03-21 | 2010-04-27 | Bbn Technologies Corp. | Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7016494B2 (en) * | 2001-03-26 | 2006-03-21 | Hewlett-Packard Development Company, L.P. | Multiple cryptographic key precompute and store |
| WO2005057321A2 (en) * | 2003-12-09 | 2005-06-23 | Electronics And Telecommunications Research Institute | Method for requesting, generating and distributing service-specific traffic encryption key in wireless portable internet system, apparatus for the same, and protocol configuration method for the same |
| JP5288087B2 (ja) * | 2007-06-11 | 2013-09-11 | 日本電気株式会社 | 秘匿通信ネットワークにおける暗号鍵管理方法および装置 |
| JP5464413B2 (ja) * | 2009-08-19 | 2014-04-09 | 日本電気株式会社 | 秘匿通信システムにおける通信装置および通信制御方法 |
| TW201201556A (en) * | 2010-06-29 | 2012-01-01 | Chunghwa Telecom Co Ltd | Construction structure of quantum encryption service network |
| JP5634427B2 (ja) * | 2012-03-23 | 2014-12-03 | 株式会社東芝 | 鍵生成装置、鍵生成方法およびプログラム |
-
2012
- 2012-07-17 JP JP2012159044A patent/JP5694247B2/ja not_active Expired - Fee Related
-
2013
- 2013-03-01 CN CN201310064977.5A patent/CN103546276A/zh active Pending
- 2013-03-15 US US13/834,559 patent/US20140023192A1/en not_active Abandoned
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US7392378B1 (en) * | 2003-03-19 | 2008-06-24 | Verizon Corporate Services Group Inc. | Method and apparatus for routing data traffic in a cryptographically-protected network |
| US7706535B1 (en) * | 2003-03-21 | 2010-04-27 | Bbn Technologies Corp. | Systems and methods for implementing routing protocols and algorithms for quantum cryptographic key transport |
| CN101141461A (zh) * | 2006-09-07 | 2008-03-12 | 国际商业机器公司 | 用于使用密钥服务器进行密钥生成和取回的方法和系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| JP5694247B2 (ja) | 2015-04-01 |
| JP2014022898A (ja) | 2014-02-03 |
| US20140023192A1 (en) | 2014-01-23 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103546276A (zh) | 通信设备、通信方法以及通信系统 | |
| JP7026748B2 (ja) | 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 | |
| CN112865964B (zh) | 一种量子密钥分发方法、设备及存储介质 | |
| CN110661620B (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
| Sha et al. | Adaptive privacy-preserving authentication in vehicular networks | |
| CN113179514B (zh) | 中继共存场景下的量子密钥分发方法及相关设备 | |
| US9306734B2 (en) | Communication device, key generating device, and computer readable medium | |
| US20140181522A1 (en) | Communication node, key synchronization method, and key synchronization system | |
| US20140365774A1 (en) | Communication device, communication method, and communication system | |
| WO2017105744A1 (en) | Privacy preserving group formation with distributed content key generation | |
| Uddin et al. | An efficient selective miner consensus protocol in blockchain oriented IoT smart monitoring | |
| CN110868290B (zh) | 一种无中心管控的密钥服务方法与装置 | |
| Bany Taha et al. | TD‐PSO: task distribution approach based on particle swarm optimization for vehicular ad hoc network | |
| CN110690961A (zh) | 一种量子网络功能虚拟化方法与装置 | |
| CN112367160B (zh) | 一种虚拟量子链路服务方法与装置 | |
| CN115801220A (zh) | 加速设备、计算系统及加速方法 | |
| CN111342952A (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| CN114374509A (zh) | 一种量子密钥服务中台系统与方法 | |
| Chen et al. | A quantum key distribution routing scheme for hybrid-trusted QKD network system | |
| Xu et al. | Stochastic resource allocation in quantum key distribution for secure federated learning | |
| CN113297603A (zh) | 数据处理方法、装置、设备、存储介质和程序产品 | |
| CN108768787B (zh) | 一种区块链节点激励方法及装置 | |
| JP6211818B2 (ja) | 通信装置、通信方法、プログラムおよび通信システム | |
| Huso et al. | Distributed and privacy-preserving data dissemination at the network edge via attribute-based searchable encryption | |
| CN115694914A (zh) | 一种面向物联网的密码服务部署系统及方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C02 | Deemed withdrawal of patent application after publication (patent law 2001) | ||
| WD01 | Invention patent application deemed withdrawn after publication |
Application publication date: 20140129 |