CN106961327A - 基于量子密钥池的密钥管理系统及方法 - Google Patents
基于量子密钥池的密钥管理系统及方法 Download PDFInfo
- Publication number
- CN106961327A CN106961327A CN201710109370.2A CN201710109370A CN106961327A CN 106961327 A CN106961327 A CN 106961327A CN 201710109370 A CN201710109370 A CN 201710109370A CN 106961327 A CN106961327 A CN 106961327A
- Authority
- CN
- China
- Prior art keywords
- quantum key
- pond
- quantum
- node device
- key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Abstract
本发明提供一种基于量子密钥池的密钥管理系统及方法,属于信息安全技术领域。该系统包括:SDN控制器、源节点设备、宿节点设备及量子密钥池;SDN控制器位于控制层,源节点设备及宿节点设备位于网络层,量子密钥池位于密钥层;控制层通过SDN控制器分别建立与网络层及密钥层之间的连接;SDN控制器分别与源节点设备及宿节点设备连接,SDN控制器与密钥池连接,源节点设备与宿节点设备之间设有量子密钥池。由于可利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,保证量子密钥池中量子密钥资源的及时增补,从而大大提升了全网量子密钥资源的利用率,有利于解决网络中量子密钥资源不均衡及量子密钥资源利用率低等问题。
Description
技术领域
本发明涉及信息安全技术领域,更具体地,涉及一种基于量子密钥池的密钥管理系统及方法。
背景技术
随着信息与通信技术的快速发展,信息网络受到的安全威胁越来越多,网络安全形势日益越趋严峻复杂。为了实现保密通信,网络中的节点设备在进行业务通信时,通常需要通过密钥对信息进行加密。QKD(Quantum Key Distribution,量子密钥分发)技术因具有理论上“无条件安全”的优势,从而越来越广泛地被使用。具体地,可通过源节点设备与宿节点设备之间的协商来实现量子密钥分发。其中,源节点设备与宿节点设备为一对量子收发节点。每一对量子收发节点与其占据的量子通信链路(量子信道及经典信道)可看作一个量子密钥池。每一对量子收发节点之间的量子密钥池均位于密钥层,其密钥资源无法统一进行管理与调度,且可能会出现密钥资源无法满足业务量的可能性,从而现急需一种密钥管理系统及相应的管理方法。
发明内容
本发明提供一种克服上述问题或者至少部分地解决上述问题的基于量子密钥池的密钥管理系统及方法。
根据本发明的一方面,提供了一种基于量子密钥池的密钥管理系统,该系统包括:SDN(Software Defined Network,软件定义网络)控制器、源节点设备、宿节点设备及量子密钥池;
SDN控制器位于控制层,源节点设备及宿节点设备位于网络层,量子密钥池位于密钥层;控制层通过SDN控制器分别建立与网络层及密钥层之间的连接;
SDN控制器分别与源节点设备及宿节点设备连接,SDN控制器与量子密钥池连接,源节点设备与宿节点设备之间设有量子密钥池。
根据本发明的另一方面,提供了一种基于量子密钥池的密钥管理方法,该方法包括:
当检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备;
查找源节点设备与宿节点设备之间对应的量子密钥池;
对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。
本申请提出的技术方案带来的有益效果是:
通过在检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。由于可利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,并可实时监测统计网络的业务量和密钥量,保证量子密钥池中量子密钥资源的及时增补,方便进行量子密钥资源的集中管控与调度,从而大大提升了全网量子密钥资源的利用率,有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。
附图说明
图1为本发明实施例的一种基于量子密钥池的密钥管理系统的结构示意图;
图2为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图;
图3为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图;
图4为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图;
图5为本发明实施例的一种基于量子密钥池的密钥管理系统的结构示意图;
图6为本发明实施例的一种基于量子密钥池的密钥管理装置的结构示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
QKD(Quantum Key Distribution,量子密钥分发)技术因具有理论上“无条件安全”的优势,从而越来越广泛地被使用。具体地,可通过源节点设备与宿节点设备之间的协商来实现量子密钥分发。其中,源节点设备与宿节点设备为一对量子收发节点。每一对量子收发节点与其占据的量子通信链路(量子信道及经典信道)可看作一个量子密钥池。每一对量子收发节点之间的量子密钥池均位于密钥层,其密钥资源无法统一进行管理与调度,且可能会出现密钥资源无法满足业务量的可能性,从而现急需一种密钥管理系统及相应的管理方法。
针对现有技术中的问题,本发明实施例提供了一种基于量子密钥池的密钥管理系统,该系统包括:SDN控制器、源节点设备、宿节点设备及量子密钥池;
SDN控制器位于控制层,源节点设备及宿节点设备位于网络层,量子密钥池位于密钥层;控制层通过SDN控制器分别建立与网络层及密钥层之间的连接;
SDN控制器分别与源节点设备及宿节点设备连接,SDN控制器与量子密钥池连接,源节点设备与宿节点设备之间设有量子密钥池。
本发明实施例提供的系统,通过利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,并可实时监测统计网络的业务量和密钥量,保证量子密钥池中量子密钥资源的及时增补,方便进行量子密钥资源的集中管控与调度,从而大大提升了全网量子密钥资源的利用率,有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。
作为一种可选实施例,源节点设备与宿节点设备为网络层中的节点设备,SDN控制器通过南向接口及对应的第一通信协议与节点设备建立连接,SDN控制器通过南向接口及对应的第二通信协议与量子密钥池建立连接。基于上述内容,基于量子密钥池的密钥管理系统可参考图1所示。在图1中,节点1、节点2及节点3均为节点设备。
作为一种可选实施例,SDN控制器控制量子密钥池对量子密钥池中的量子密钥资源进行分配与补充。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
基于上述图1对应实施例提供的量子密钥管理系统,本实施例提供了一种基于量子密钥池的密钥管理方法。该方法涉及到SDN控制器、源节点设备、宿节点设备及量子密钥池。为了便于描述,本实施例以执行主体为SDN控制器为例进行说明。参见图2,本实施例提供的方法流程包括:201、当检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备;202、查找源节点设备与宿节点设备之间对应的量子密钥池;203、对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。
本发明实施例提供的方法,通过在检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。由于可利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,并可实时监测统计网络的业务量和密钥量,保证量子密钥池中量子密钥资源的及时增补,方便进行量子密钥资源的集中管控与调度,从而大大提升了全网量子密钥资源的利用率,有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。
作为一种可选实施例,确定业务通信请求对应的源节点设备及宿节点设备之前,还包括:
根据源节点设备的位置信息及宿节点设备的位置信息,构建对应的网络拓扑;
确定业务通信请求对应的源节点设备及宿节点设备,包括:
基于业务通信请求中的位置信息,在网络拓扑中查找相应的源节点设备及宿节点设备。
作为一种可选实施例,查找源节点设备与宿节点设备之间对应的量子密钥池之前,还包括:
部署源节点设备与宿节点设备之间的量子密钥池。
作为一种可选实施例,查找源节点设备与宿节点设备之间对应的量子密钥池之后,还包括:
向量子密钥池发送量子密钥分配请求,使得量子密钥池为源节点设备及宿节点设备分配量子密钥对。
作为一种可选实施例,对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源,包括:
检测量子密钥池中量子密钥对的剩余量是否小于预设阈值;
当检测到剩余量小于预设阈值时,向量子密钥池发送量子密钥注入指令,使得量子密钥池进行量子密钥补充。
作为一种可选实施例,检测量子密钥池中量子密钥对的剩余量是否小于预设阈值之前,还包括:
根据量子密钥池容纳量子密钥对的上限值,获取预设阈值。
作为一种可选实施例,向量子密钥池发送量子密钥注入指令之前,还包括:
根据待补充的量子密钥对数量、补充时间及补充速率,生成相应的量子密钥注入指令。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
基于上述图1对应实施例提供的系统及图2对应实施例提供的方法,本发明实施例提供了一种基于量子密钥池的密钥管理方法。该方法涉及到SDN控制器、源节点设备、宿节点设备及量子密钥池。为了便于描述,本实施例以执行主体为SDN控制器为例进行说明。参见图3,该方法包括:301、当检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备;302、查找源节点设备与宿节点设备之间对应的量子密钥池;303、检测量子密钥池中量子密钥对的剩余量是否小于预设阈值;304、当检测到剩余量小于预设阈值时,向量子密钥池发送量子密钥注入指令,使得量子密钥池进行量子密钥补充。
其中,301、当检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备。
在执行本步骤之前,可基于图1对应实施例所提供的系统进行网络部署,本实施例对此不作具体限定。具体地,可在网络层中部署节点设备,在密钥层中部署量子密钥池,在控制层中部署SDN控制器。
首先,确定网络层中节点设备的位置信息和数量。根据节点设备的位置信息部署节点设备,构建出相应的网络拓扑。其中,网络拓扑中的每对节点设备之间都可能产生大量的业务通信请求。接着,在每对节点设备之间部署量子密钥池。其中,量子密钥池中可产生并存储多个量子密钥对。最后,在控制层部署SDN控制器,SDN控制器可全局掌握网络层及密钥层的信息,并根据业务需求进行资源的全局调配及优化。
由于网络拓扑中节点设备很多,为了便于说明,从而在本步骤中只对其中一对节点设备的量子密钥管理过程进行说明,即本步骤中源节点设备及宿节点设备。其中,源节点设备为业务通信的发起方,宿节点设备为业务通信的目标方。
基于上述内容,在确定业务通信请求对应的源节点设备及宿节点设备之前,还可以根据源节点设备的位置信息及宿节点设备的位置信息,构建对应的网络拓扑。相应地,在执行本步骤时,可基于业务通信请求中的位置信息,在网络拓扑中查找相应的源节点设备及宿节点设备。
另外,由于后续节点设备进行通信需要建立在通信连接的基础上,从而控制层还可通过SDN控制器分别建立与网络层及密钥层之间的连接。具体地,SDN控制器通过南向接口及对应的第一通信协议与节点设备建立连接,SDN控制器通过南向接口及对应的第二通信协议与量子密钥池建立连接。其中,第一通信协议与第二通信协议可以相同也可以不同,均可以为OpenFlow协议或NETCONF协议等,本实施例对此不作具体限定。
SDN控制器通过南向接口可获取网络拓扑信息及量子密钥池的资源信息,从而可完成网络连接、业务通信请求及量子密钥资源的检测统计及相关控制,本实施例对此不作具体限定。
需要说明的是,由于密钥分配后节点设备之间需要进行业务通信,从而SDN控制器在接收到业务到达时发送的业务通信请求后,可计算业务的传输路径,并为节点设备分配链路资源用于进行业务通信,本实施例对此不作具体限定。
其中,302、查找源节点设备与宿节点设备之间对应的量子密钥池。
基于上述步骤301中的内容可知,每对节点设备之间对应着一个量子密钥池,从而在执行本步骤之前,还可先部署源节点设备与宿节点设备之间的量子密钥池,本实施例对此不作具体限定。在本步骤中,SDN控制器可查找源节点设备与宿节点设备之间对应的量子密钥池。具体地,上述步骤中的业务通信请求可携带量子密钥池的标识,从而在本步骤可根据量子密钥池的标识查找对应的量子密钥池,本实施例对此不作具体限定。
在查找到业务通信请求对应的量子密钥池后,SDN控制器可遍历量子密钥池中密钥资源,并可随机选择或首次命中选择一对保障业务安全的量子密钥,本实施例对此不作具体限定。在选择好量子密钥池中的量子密钥对后,可根据量子密钥对的标识及业务通信请求中的内容,生成相应的量子密钥分配请求,本实施例对此不作具体限定。
在生成量子密钥分配请求后,可向量子密钥池发送量子密钥分配请求,使得量子密钥池为源节点设备及宿节点设备分配量子密钥对,本实施例对此不作具体限定。具体地,SDN控制器在生成量子密钥分配请求后,可向量子密钥池发送量子密钥分配请求。量子密钥池在接收到量子密钥分配请求后,可根据SDN控制器告知的业务和量子密钥对标识,将相应的量子密钥对分配给对应的业务。相应地,业务可在源节点设备可利用量子密钥对中的一个量子密钥进行加密,在宿节点设备利用量子密钥对中的另一个量子密钥进行解密。其中,量子密钥对中的两个量子密钥可以相同。通过该过程,能够完成理论上无条件安全的业务保密通信。
由于业务传输过程中的量子密钥不断更新有利于增强业务的安全性,且量子密钥池中的量子密钥存在不够用的可能性,从而可对量子密钥池中的量子密钥进行增补,本实施例对此不作具体限定,具体过程可参考后续步骤中的内容。
其中,303、检测量子密钥池中量子密钥对的剩余量是否小于预设阈值。
在执行本步骤之前,SDN控制器可对量子密钥池中量子密钥对的剩余量进行实时检测。具体地,可将量子密钥池中量子密钥对的剩余量与预设阈值进行比对,来判断密钥池中量子密钥对的剩余量是否小于预设阈值。其中,预设阈值可以由运营商根据网络业务需求、负载等具体情况设定,本实施例对此不作具体限定。需要说明的是,预设阈值的大小需要保障量子密钥池中存储的量子密钥对数量能够满足全网业务需求。
基于上述内容,在执行本步骤之前,可先获取预设阈值。本实施例不对获取预设阈值的方式作具体限定,包括但不限于:根据量子密钥池容纳量子密钥对的上限值,获取预设阈值。
例如,运营商可以设定量子密钥池中的量子密钥资源不能低于量子密钥池空间M的30%。其中,量子密钥池空间M即为量子密钥池容纳量子密钥对的上限值,预设阈值为30%×M。当SDN控制器检测到量子密钥池中量子密钥资源不足时,即存储的量子密钥对数量低于预设阈值时,可补充量子密钥池中的量子密钥资源。
其中,304、当检测到剩余量小于预设阈值时,向量子密钥池发送量子密钥注入指令,使得量子密钥池进行量子密钥补充。
在执行本步骤之前,可根据待补充的量子密钥对数量、补充时间及补充速率,生成相应的量子密钥注入指令。在本步骤中,SDN控制器在生成量子密钥注入指令后,可将量子密钥注入指令发送至源节点设备与宿节点设备之间对应的量子密钥池。量子密钥池在接收到量子密钥注入指令后,可根据量子密钥注入指令中的参数进行量子密钥补充,直到量子密钥对数量达到量子密钥注入指令中SDN控制器指定的补充数量为止。
通过上述步骤303及步骤304中阈值补充法,能够大大节省量子密钥池占用的资源。当量子密钥池没有启动注入密钥时,其对应的节点设备和通信链路可以拆除并为其他量子密钥池使用,从而大大提升了资源利用率。另外,由于量子密钥池在全网处于分布式的状态,采用SDN控制器可以对全网的量子密钥池进行集中式管控。与此同时,通过对量子密钥池中的量子密钥资源进行按需增补,可完成全网不同量子密钥池之间的协同,实现网络资源的高效均衡调度。
通过上述步骤303至304,源节点设备及宿节点设备在得到量子密钥后,可基于量子密钥及上述步骤301中分配的链路资源,进行业务通信。当业务通信完成后,可上报SDN控制器。SDN控制器可拆除业务通信占用的链路资源,并更新量子密钥池状态且检测是否需要补充量子密钥。上述步骤301至步骤304中量子密钥分配及量子密钥增补的过程,可参考图4。
需要说明的是,本实施例提供的基于SDN控制器的量子密钥池可用于多种网络场景。例如,在图5中给出了基于SDN控制器与量子密钥池的OTN(Optical TransportNetwork,光传送网络)架构。其中,OTN架构中每一对节点设备之间均可部署一个量子密钥池,如图中密钥层所示,5个节点设备的OTN架构可部署10个量子密钥池。
图中①→⑦为业务请求(节点1→节点5)和量子密钥分配及更新流程,即对应图5中的7个步骤。SDN控制器按照步骤①→⑦响应业务请求,并分配及更新量子密钥以保障业务的通信安全。同时,SDN控制器还可管控全网资源,保障量子密钥池中密钥的及时增补,完成在不同量子密钥池中,需求差异化的密钥资源分配,进而实时调度全网资源,以保证OTN网络业务的安全。
本发明实施例提供的方法,通过在检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。由于可利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,并可实时监测统计网络的业务量和密钥量,保证量子密钥池中量子密钥资源的及时增补,方便进行量子密钥资源的集中管控与调度,从而大大提升了全网量子密钥资源的利用率,有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。
其次,由于可查找准备进行业务通信的节点设备对所对应的量子密钥池,并告知量子密钥池为节点设备分配量子密钥对,而非通过集中式的量子密钥池来分配量子密钥,从而避免了业务通信请求量较多时集中分配所产生的延时。因此,能够及时对量子密钥进行分配。
另外,通过对量子密钥池中的密钥资源进行补充,能够满足全网的业务需求。当密钥池没有启动注入密钥时,其对应的节点设备和通信链路可以拆除并为其它量子密钥池使用,从而大大提升了资源利用率。另外,由于密钥池在全网处于分布式的状态,采用SDN控制器可以对全网密钥池进行集中式管控。与此同时,通过对密钥池中的密钥资源进行按需增补,可完成全网不同密钥池之间的协同,实现网络资源的高效均衡调度。
最后,通过利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,可实时监测统计网络的业务量和密钥量,完成需求差异化的量子密钥池中量子密钥资源的阈值设定。
本发明实施例提供了一种基于量子密钥池的密钥管理装置,该装置用于执行上述图2或图3对应实施例所提供的基于量子密钥池的密钥管理方法。参见图6,该装置包括:
确定模块601,用于当检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备;
查找模块602,用于查找源节点设备与宿节点设备之间对应的量子密钥池;
补充模块603,用于对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。
作为一种可选实施例,该装置还包括:
构建模块,用于根据源节点设备的位置信息及宿节点设备的位置信息,构建对应的网络拓扑;
该确定模块601,用于基于业务通信请求中的位置信息,在网络拓扑中查找相应的源节点设备及宿节点设备。
作为一种可选实施例,该装置还包括:
部署模块,用于部署源节点设备与宿节点设备之间的量子密钥池。
作为一种可选实施例,补充模块603,包括:
检测单元,用于检测量子密钥池中量子密钥对的剩余量是否小于预设阈值;
发送单元,用于当检测到剩余量小于预设阈值时,向量子密钥池发送量子密钥注入指令,使得量子密钥池进行量子密钥补充。
作为一种可选实施例,该装置还包括:
获取模块,用于根据量子密钥池容纳量子密钥对的上限值,获取预设阈值。
作为一种可选实施例,该装置还包括:
根据待补充的量子密钥对数量、补充时间及补充速率,生成相应的量子密钥注入指令。
本发明实施例提供的装置,通过在检测到业务通信请求时,确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控,基于监控结果补充量子密钥池中的量子密钥资源。由于可利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,并可实时监测统计网络的业务量和密钥量,保证量子密钥池中量子密钥资源的及时增补,方便进行量子密钥资源的集中管控与调度,从而大大提升了全网量子密钥资源的利用率,有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。
其次,由于可查找准备进行业务通信的节点设备对所对应的量子密钥池,并告知量子密钥池为节点设备分配量子密钥对,而非通过集中式的量子密钥池来分配量子密钥,从而避免了业务通信请求量较多时集中分配所产生的延时。因此,能够及时对量子密钥进行分配。
另外,通过对量子密钥池中的密钥资源进行补充,能够满足全网的业务需求。当密钥池没有启动注入密钥时,其对应的节点设备和通信链路可以拆除并为其它量子密钥池使用,从而大大提升了资源利用率。另外,由于密钥池在全网处于分布式的状态,采用SDN控制器可以对全网密钥池进行集中式管控。与此同时,通过对密钥池中的密钥资源进行按需增补,可完成全网不同密钥池之间的协同,实现网络资源的高效均衡调度。
最后,通过利用SDN控制器统一管控全网中每对节点设备之间的量子密钥池,可实时监测统计网络的业务量和密钥量,完成需求差异化的量子密钥池中量子密钥资源的阈值设定。
最后,本申请的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于量子密钥池的密钥管理系统,其特征在于,所述系统包括:SDN控制器、源节点设备、宿节点设备及量子密钥池;
所述SDN控制器位于控制层,所述源节点设备及所述宿节点设备位于网络层,所述量子密钥池位于密钥层;所述控制层通过所述SDN控制器分别建立与所述网络层及所述密钥层之间的连接;
所述SDN控制器分别与所述源节点设备及所述宿节点设备连接,所述SDN控制器与所述量子密钥池连接,所述源节点设备与所述宿节点设备之间设有所述量子密钥池。
2.根据权利要求1所述的系统,其特征在于,所述源节点设备与所述宿节点设备为所述网络层中的节点设备,所述SDN控制器通过南向接口及对应的第一通信协议与所述节点设备建立连接,所述SDN控制器通过南向接口及对应的第二通信协议与所述量子密钥池建立连接。
3.根据权利要求1所述的系统,其特征在于,所述SDN控制器控制所述量子密钥池对所述量子密钥池中的量子密钥资源进行分配与补充。
4.一种基于权利要求1至3中任一权利要求所述系统的密钥管理方法,其特征在于,所述方法包括:
当检测到业务通信请求时,确定所述业务通信请求对应的源节点设备及宿节点设备;
查找所述源节点设备与所述宿节点设备之间对应的量子密钥池;
对所述量子密钥池中的量子密钥资源进行监控,基于监控结果补充所述量子密钥池中的量子密钥资源。
5.根据权利要求4所述的方法,其特征在于,所述确定所述业务通信请求对应的源节点设备及宿节点设备之前,还包括:
根据所述源节点设备的位置信息及所述宿节点设备的位置信息,构建对应的网络拓扑;
所述确定所述业务通信请求对应的源节点设备及宿节点设备,包括:
基于所述业务通信请求中的位置信息,在所述网络拓扑中查找相应的源节点设备及宿节点设备。
6.根据权利要求4所述的方法,其特征在于,所述查找所述源节点设备与所述宿节点设备之间对应的量子密钥池之前,还包括:
部署所述源节点设备与所述宿节点设备之间的量子密钥池。
7.根据权利要求4所述的方法,其特征在于,所述查找所述源节点设备与所述宿节点设备之间对应的量子密钥池之后,还包括:
向所述量子密钥池发送量子密钥分配请求,使得所述量子密钥池为所述源节点设备及所述宿节点设备分配量子密钥对。
8.根据权利要求4所述的方法,其特征在于,所述对所述量子密钥池中的量子密钥资源进行监控,基于监控结果补充所述量子密钥池中的量子密钥资源,包括:
检测所述量子密钥池中量子密钥对的剩余量是否小于预设阈值;
当检测到所述剩余量小于预设阈值时,向所述量子密钥池发送量子密钥注入指令,使得所述量子密钥池进行量子密钥补充。
9.根据权利要求8所述的方法,其特征在于,所述检测所述量子密钥池中量子密钥对的剩余量是否小于预设阈值之前,还包括:
根据所述量子密钥池容纳量子密钥对的上限值,获取所述预设阈值。
10.根据权利要求8所述的方法,其特征在于,所述向所述量子密钥池发送量子密钥注入指令之前,还包括:
根据待补充的量子密钥对数量、补充时间及补充速率,生成相应的量子密钥注入指令。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710109370.2A CN106961327A (zh) | 2017-02-27 | 2017-02-27 | 基于量子密钥池的密钥管理系统及方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710109370.2A CN106961327A (zh) | 2017-02-27 | 2017-02-27 | 基于量子密钥池的密钥管理系统及方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106961327A true CN106961327A (zh) | 2017-07-18 |
Family
ID=59470683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710109370.2A Pending CN106961327A (zh) | 2017-02-27 | 2017-02-27 | 基于量子密钥池的密钥管理系统及方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106961327A (zh) |
Cited By (16)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483196A (zh) * | 2017-09-08 | 2017-12-15 | 中南大学 | 基于连续变量量子密钥分发的数据流加密系统及其实现方法 |
| CN108900295A (zh) * | 2018-07-02 | 2018-11-27 | 国网电力信息通信有限公司 | 基于量子密钥加密的数据发送、接收方法、装置及系统 |
| CN109005034A (zh) * | 2018-09-19 | 2018-12-14 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109951513A (zh) * | 2019-01-11 | 2019-06-28 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 |
| CN110138552A (zh) * | 2019-05-08 | 2019-08-16 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
| CN110365476A (zh) * | 2019-07-01 | 2019-10-22 | 北京邮电大学 | 基于sdn的qkd网络及其密钥的调度管理方法 |
| CN110445604A (zh) * | 2019-07-01 | 2019-11-12 | 北京邮电大学 | 基于sdn的qkd网络及其业务请求的发送方法 |
| CN110650009A (zh) * | 2019-09-23 | 2020-01-03 | 中国联合网络通信集团有限公司 | 一种移动网络及通信方法 |
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN112737776A (zh) * | 2020-12-29 | 2021-04-30 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配方法 |
| CN112769550A (zh) * | 2020-12-29 | 2021-05-07 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配系统 |
| CN112887086A (zh) * | 2021-01-19 | 2021-06-01 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN112929168A (zh) * | 2021-02-05 | 2021-06-08 | 安徽华典大数据科技有限公司 | 一种基于量子密钥分配方法 |
| CN113452509A (zh) * | 2020-03-24 | 2021-09-28 | 国科量子通信网络有限公司 | 一种基于sdn的多路径量子密钥分发方法 |
| CN114024666A (zh) * | 2021-09-15 | 2022-02-08 | 北京邮电大学 | 一种量子密钥分发方法及系统 |
| CN116112165A (zh) * | 2023-04-11 | 2023-05-12 | 广东广宇科技发展有限公司 | 一种基于密钥池状态的密钥动态划分管理方法 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130769A (zh) * | 2011-03-10 | 2011-07-20 | 北京邮电大学 | 一种用于量子密钥分配请求控制与自动实现的模型和方法 |
| CN104219042A (zh) * | 2014-07-24 | 2014-12-17 | 安徽问天量子科技股份有限公司 | 量子密钥分发中心控制装置及方法 |
| CN104579643A (zh) * | 2015-01-04 | 2015-04-29 | 华南师范大学 | 一种两节点测量设备无关量子密钥分发系统 |
| JP2015154342A (ja) * | 2014-02-17 | 2015-08-24 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
-
2017
- 2017-02-27 CN CN201710109370.2A patent/CN106961327A/zh active Pending
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102130769A (zh) * | 2011-03-10 | 2011-07-20 | 北京邮电大学 | 一种用于量子密钥分配请求控制与自动实现的模型和方法 |
| JP2015154342A (ja) * | 2014-02-17 | 2015-08-24 | 株式会社東芝 | 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法 |
| CN104219042A (zh) * | 2014-07-24 | 2014-12-17 | 安徽问天量子科技股份有限公司 | 量子密钥分发中心控制装置及方法 |
| CN104579643A (zh) * | 2015-01-04 | 2015-04-29 | 华南师范大学 | 一种两节点测量设备无关量子密钥分发系统 |
Non-Patent Citations (1)
| Title |
|---|
| YONGLI ZHAO: "《Resource allocation in Dynamic Optical Network secured by Quantum Key Distribution(QKD)》", 《UC DAVIS:NETWORKS LAB》 * |
Cited By (23)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107483196B (zh) * | 2017-09-08 | 2020-02-18 | 中南大学 | 基于连续变量量子密钥分发的数据流加密系统及其实现方法 |
| CN107483196A (zh) * | 2017-09-08 | 2017-12-15 | 中南大学 | 基于连续变量量子密钥分发的数据流加密系统及其实现方法 |
| CN108900295A (zh) * | 2018-07-02 | 2018-11-27 | 国网电力信息通信有限公司 | 基于量子密钥加密的数据发送、接收方法、装置及系统 |
| CN109005034A (zh) * | 2018-09-19 | 2018-12-14 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109005034B (zh) * | 2018-09-19 | 2020-10-02 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109951513A (zh) * | 2019-01-11 | 2019-06-28 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 |
| CN109951513B (zh) * | 2019-01-11 | 2021-10-22 | 如般量子科技有限公司 | 基于量子密钥卡的抗量子计算智能家庭量子云存储方法和系统 |
| CN110138552B (zh) * | 2019-05-08 | 2021-07-20 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
| US11936777B2 (en) | 2019-05-08 | 2024-03-19 | Beijing University Of Posts And Telecommunications | Method, device of secret-key provisioning and computer-readable storage medium thereof |
| CN110138552A (zh) * | 2019-05-08 | 2019-08-16 | 北京邮电大学 | 多用户量子密钥供应方法及装置 |
| CN110445604A (zh) * | 2019-07-01 | 2019-11-12 | 北京邮电大学 | 基于sdn的qkd网络及其业务请求的发送方法 |
| CN110365476A (zh) * | 2019-07-01 | 2019-10-22 | 北京邮电大学 | 基于sdn的qkd网络及其密钥的调度管理方法 |
| CN110650009A (zh) * | 2019-09-23 | 2020-01-03 | 中国联合网络通信集团有限公司 | 一种移动网络及通信方法 |
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN113452509A (zh) * | 2020-03-24 | 2021-09-28 | 国科量子通信网络有限公司 | 一种基于sdn的多路径量子密钥分发方法 |
| CN113452509B (zh) * | 2020-03-24 | 2023-06-02 | 国科量子通信网络有限公司 | 一种基于sdn的多路径量子密钥分发方法 |
| CN112737776A (zh) * | 2020-12-29 | 2021-04-30 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配方法 |
| CN112769550A (zh) * | 2020-12-29 | 2021-05-07 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配系统 |
| CN112887086B (zh) * | 2021-01-19 | 2022-07-22 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN112887086A (zh) * | 2021-01-19 | 2021-06-01 | 北京邮电大学 | 量子密钥同步方法及系统 |
| CN112929168A (zh) * | 2021-02-05 | 2021-06-08 | 安徽华典大数据科技有限公司 | 一种基于量子密钥分配方法 |
| CN114024666A (zh) * | 2021-09-15 | 2022-02-08 | 北京邮电大学 | 一种量子密钥分发方法及系统 |
| CN116112165A (zh) * | 2023-04-11 | 2023-05-12 | 广东广宇科技发展有限公司 | 一种基于密钥池状态的密钥动态划分管理方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106961327A (zh) | 基于量子密钥池的密钥管理系统及方法 | |
| EP2790370B1 (en) | Authentication method and system oriented to heterogeneous network | |
| CN108023725A (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
| CN104734872B (zh) | 一种基于软件定义网络的工业回程网实现方法与系统 | |
| CN106941516A (zh) | 基于工业互联网操作系统的异构现场设备控制管理系统 | |
| CN104065553B (zh) | 虚拟网络迁移方法和相关设备 | |
| CN105450668A (zh) | 云安全服务实现系统和云安全服务实现方法 | |
| US20170346798A1 (en) | Key negotiation method and system, network entity and computer storage medium | |
| CN105656771A (zh) | 一种业务路径确定方法、装置和系统 | |
| CN108540559A (zh) | 一种支持IPSec VPN负载均衡的SDN控制器 | |
| CN108881476A (zh) | 区块链部署方法与系统 | |
| CN103888940B (zh) | 多级加密与认证的wia‑pa网络手持设备的通讯方法 | |
| CN106534067A (zh) | 一种基于物联网的智能控制方法及系统 | |
| CN106559323A (zh) | 一种sdn设备首包上送的方法和装置 | |
| CN104022972A (zh) | 一种以太网交换机配置方法及应用该方法的交换机 | |
| CN104158905B (zh) | web容器的创建方法 | |
| CN110611658A (zh) | 一种基于sd-wan的设备认证方法及系统 | |
| CN106850686A (zh) | 一种云计算系统 | |
| CN105933270A (zh) | 一种云加密机的处理方法及装置 | |
| CN107734391A (zh) | 智能电视应用升级的实现方法 | |
| CN107370767A (zh) | 一种互联网分享系统 | |
| CN107749796A (zh) | PoE系统的供电功率分配方法及装置 | |
| CN109711842A (zh) | 一种平行链定期汇合的区块链网络的账本记账方法 | |
| CN107968764A (zh) | 一种认证方法及装置 | |
| Xu et al. | Stochastic resource allocation in quantum key distribution for secure federated learning |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170718 |