CN107294960B - 一种软件定义网络控制通道的安全保障方法 - Google Patents

一种软件定义网络控制通道的安全保障方法 Download PDF

Info

Publication number
CN107294960B
CN107294960B CN201710428702.3A CN201710428702A CN107294960B CN 107294960 B CN107294960 B CN 107294960B CN 201710428702 A CN201710428702 A CN 201710428702A CN 107294960 B CN107294960 B CN 107294960B
Authority
CN
China
Prior art keywords
quantum key
quantum
key distribution
control channel
controller
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710428702.3A
Other languages
English (en)
Other versions
CN107294960A (zh
Inventor
郁小松
曹原
赵永利
张会彬
张�杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN201710428702.3A priority Critical patent/CN107294960B/zh
Publication of CN107294960A publication Critical patent/CN107294960A/zh
Application granted granted Critical
Publication of CN107294960B publication Critical patent/CN107294960B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0478Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload applying multiple layers of encryption, e.g. nested tunnels or encrypting the content with a first key and then with at least a second key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L41/00Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/062Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/067Network architectures or network communication protocols for network security for supporting key management in a packet data network using one-time keys
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Abstract

本发明提供一种软件定义网络控制通道的安全保障方法,通过在软件定义网络的控制层和数据层之间部署的量子密钥层,保障软件定义网络控制通道的安全;本发明还提供一种在软件定义网络中部署量子密钥层的方法。本发明提供的上述两种方法,通过在软件定义网络的控制层和数据层之间部署量子密钥层,由量子密钥层基于量子密钥分发技术提供量子密钥资源,由控制器分配量子密钥资源并结合一次一密的加密算法进行加密,从而使软件定义网络控制通道所需的量子密钥资源由量子密钥分发技术提供,控制通道中的控制信令由一次一密的加密算法进行加密,保证了软件定义网络控制通道理论上的绝对安全。

Description

一种软件定义网络控制通道的安全保障方法
技术领域
本发明涉及信息安全技术领域,更具体地,涉及一种软件定义网络控制通道的安全保障方法。
背景技术
软件定义网络(Software Defined Network,简称为SDN),是一种新型网络创新架构,通过其南向接口将网络设备控制层与数据层分离开来,并通过开放控制接口将抽象后的网络资源提供给应用层,实现网络的可编程性和集中化网络控制,构建面向业务应用的灵活、开放、智能的网络体系架构。
软件定义网络的网络体系架构如图1所示,软件定义网络控制层的控制器与数据层的网络节点之间的控制信令传输通道称为控制通道,控制器通过控制通道传输控制信令,集中管理数据层的网络节点,控制通道的控制信令采用IP路由的方式逐跳转发,在其传输和转发过程中可能出现被窃听、截获等安全性问题,拥有敏感控制信令传输的控制通道遭受窃听将会造成难以估量的损失。目前实用化的软件定义网络控制通道大多未使用安全保密手段,仅少数用于研究的软件定义网络控制通道可能会使用经典的安全保密手段。
目前的软件定义网络控制通道未使用安全保密手段或者仅使用经典的安全保密手段,其基本处于不设防的状态或者网络安全防护能力存在不足,且在密钥分发过程中可能被窃听和破解,无法确保软件定义网络控制通道的安全。
发明内容
为了克服上述问题或者至少部分地解决上述问题,本发明提供一种软件定义网络控制通道的安全保障方法。
根据本发明的一个方面,提供一种软件定义网络控制通道的安全保障方法,该方法包括:通过在软件定义网络的控制层和数据层之间部署的量子密钥层,保障软件定义网络控制通道的安全。
其中,量子密钥层包括量子密钥分发终端和量子密钥分发链路;量子密钥分发终端位于控制层的控制器和数据层的网络节点处,控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间通过量子密钥分发链路连接。
其中,控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间形成量子密钥池,用于存储对应的量子密钥分发终端之间生成的量子密钥;控制器控制量子密钥池给对应的控制器和网络节点之间的控制通道分配量子密钥。
其中,量子密钥分发链路包括量子信道和经典信道。
其中,量子密钥层还包括量子中继器,量子中继器位于量子信道上。
其中,控制器处的量子密钥分发终端通过光时分复用技术实现与不同网络节点处的量子密钥分发终端之间的量子通信。
其中,该方法还包括:控制器实时控制量子密钥分发终端生成量子密钥,以保证量子密钥池中存储的量子密钥量大于对应控制通道所需的量子密钥量。
其中,控制通道所需的量子密钥量根据业务经过网络节点时所需控制信令的数据量确定。
本发明的另一方面,提供一种在软件定义网络中部署量子密钥层的方法,该方法包括:在软件定义网络的控制器和网络节点处部署量子密钥分发终端;在控制器处的量子密钥分发终端与网络节点处的量子密钥分发终端之间部署量子密钥分发链路,量子密钥分发链路包括量子信道和经典信道。
其中,在控制器处的量子密钥分发终端与网络节点处的量子密钥分发终端之间部署量子密钥分发链路之后,还包括:测量量子密钥分发链路的长度;在该长度超过了量子通信传输距离的量子密钥分发终端之间的量子信道上部署量子中继器。
本发明提供的一种软件定义网络控制通道的安全保障方法,通过在软件定义网络的控制层和数据层之间部署量子密钥层,由量子密钥层基于量子密钥分发技术提供量子密钥资源,由控制器分配量子密钥资源并结合一次一密的加密算法进行加密,从而使软件定义网络控制通道所需的量子密钥资源由量子密钥分发技术提供,控制通道中的控制信令由一次一密的加密算法进行加密,保证了软件定义网络控制通道理论上的绝对安全。
附图说明
为了更清楚地说明本发明或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍,显而易见地,下面描述中的附图是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为现有技术中的软件定义网络架构的示意图;
图2为根据本发明实施例的部署量子密钥层的软件定义网络架构的示意图;
图3为根据本发明实施例的量子密钥分发原理的示意图;
图4为根据本发明实施例的量子密钥动态分配方法的流程图;
图5为根据本发明实施例的在软件定义网络中部署量子密钥层的方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合本发明实施例中的附图,对本发明中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的一个实施例中,提供一种软件定义网络控制通道的安全保障方法,该方法包括:通过在软件定义网络的控制层和数据层之间部署的量子密钥层,保障软件定义网络控制通道的安全。
具体的,现有技术中的软件定义网络架构主要包括控制层和数据层,软件定义网络的控制层中包含有控制器,该控制器通过开放控制接口将抽象后的网络资源提供给应用层,软件定义网络的数据层包含若干网络节点,控制层的控制器与数据层的网络节点之间的控制信令传输通道称为控制通道,控制器通过控制通道传输控制信令,集中管理数据层的网络节点,控制通道的控制信令采用IP路由的方式逐跳转发。
在现有技术中的软件定义网络的控制层和数据层之间部署量子密钥层,形成的软件定义网络架构的示意图如图2所示。量子密钥层部署在软件定义网络的控制层和数据层之间,量子密钥层基于量子密钥分发技术生成量子密钥资源,量子密钥分发技术可以保证密钥分发的理论上无条件安全。量子密钥分发技术的安全性由“测量塌缩理论”、“海森堡测不准原理”及“量子不可克隆定律”的量子力学基本定律保证。控制层的控制器还具有给控制通道分配量子密钥资源以及给控制通道中的控制信令加密的功能,其中,该加密的算法是基于一次一密的加密算法。
本实施例通过在软件定义网络的控制层和数据层之间部署量子密钥层,由量子密钥层基于量子密钥分发技术提供量子密钥资源,由控制器分配量子密钥资源并结合一次一密的加密算法进行加密,从而使软件定义网络控制通道所需的量子密钥资源由量子密钥分发技术提供,控制通道中的控制信令由一次一密的加密算法进行加密,保证了软件定义网络控制通道理论上的绝对安全。
基于以上实施例,量子密钥层包括量子密钥分发终端和量子密钥分发链路;量子密钥分发终端位于控制层的控制器和数据层的网络节点处,控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间通过量子密钥分发链路连接;控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间形成量子密钥池,用于存储对应的量子密钥分发终端之间生成的量子密钥;控制器控制量子密钥池给对应的控制器和网络节点之间的控制通道分配量子密钥。其中,量子密钥分发链路包括量子信道和经典信道。
具体的,量子密钥分发技术主要是基于一对量子密钥分发终端以及连接该一对量子密钥分发终端的量子密钥分发链路,实现为网络中一对网络节点分发量子密钥,其中,量子密钥分发终端集成了量子信息发送及量子信息接收的功能,量子密钥分发链路包括量子信道和经典信道。例如,如图3所示,以量子发送终端为Alice,量子接收终端为Bob为例。量子发送终端Alice通过量子信道发送量子信号给量子接收终端Bob,并通过两者之间的经典信道进行交互协商,以确认最终的安全量子密钥,目前的量子密钥分发技术主要是通过Alice与Bob之间进行点对点的量子密钥分发。
本实施例中,控制层的控制器处的量子密钥分发终端和数据层的网络节点处的量子密钥分发终端组成一对量子密钥分发终端,结合连接该一对量子密钥分发终端的量子密钥分发链路,实现为该控制器和该网络节点分发量子密钥,其中,控制器处的量子密钥分发终端主要体现量子信息发送功能,网络节点处的量子密钥分发终端主要体现量子信息接收功能。软件定义网络中控制器处的量子密钥分发终端和数据层的所有网络节点处的量子密钥分发终端,以及连接控制器处的量子密钥分发终端与所有网络节点处的量子密钥分发终端的量子密钥分发链路,构成量子密钥层。
控制器处的量子密钥分发终端和网络节点处的量子密钥分发终端之间形成量子密钥池(Quantum Key Pool,简称为QKP),用于存储对应的量子密钥分发终端之间生成的量子密钥;控制器控制量子密钥池给对应的控制器和网络节点之间的控制通道分配量子密钥,并根据一次一密的加密算法给控制通道中的控制信令加密。
基于以上实施例,量子密钥层还包括量子中继器,量子中继器位于量子信道上。
具体的,根据不同的量子密钥分发链路的长度,选择具有不同量子通信传输性能的量子密钥分发终端,以保证较低的误码率和时延等,但是长跨距情况下量子密钥分发终端不能满足量子通信的要求,在这种情况下,可以利用量子中继器延长量子通信传输距离,量子中继器需位于量子信道上,用以延长量子通信传输距离并保证较低的误码率和时延。
基于以上实施例,控制器处的量子密钥分发终端通过光时分复用技术实现与不同网络节点处的量子密钥分发终端之间的量子通信。
具体的,本实施例中的光时分复用(Optical Time Division Multiplexing,简称为OTDM)技术,根据网络节点处的量子密钥分发终端的数量,将控制器处的量子密钥分发终端的量子信道划分成若干个时序,并将划分的时序分配给每对量子密钥分发终端,每对量子密钥分发终端之间的量子通信仅在划分给该对量子密钥分发终端的时序内进行,从而保证为不同的量子密钥池均能生成足够的量子密钥资源。量子密钥分发终端之间的通信交互需要借助现有的波分复用(Wavelength Division Multiplexing,简称为WDM)网络承载以节省成本并可实现简便部署,由于WDM网络中的带宽资源有限,大量的波长资源需要用于承载海量的业务信息,因此,只预留C波段(1530-1565nm)的两个波长通道用于量子密钥分发终端之间通信所需要的经典信道和量子信道。
基于以上实施例,控制器实时控制量子密钥分发终端生成量子密钥,以保证量子密钥池中存储的量子密钥量大于对应控制通道所需的量子密钥量,其中,控制通道所需的量子密钥量根据业务经过网络节点时所需控制信令的数据量确定。
具体的,软件定义网络控制层的控制器实时监控在一定预设时间段内,量子密钥池中剩余的密钥量和与该量子密钥池对应的控制通道所需的量子密钥量,以保证前者大于后者,若前者小于后者,则控制器控制启动该量子密钥池对应的一对量子密钥分发终端生成量子密钥,并注入到该量子密钥池中。
例如,如图4所示,数据传输业务到达后,软件定义网络的控制器接收到安全通信请求,利用控制器记录业务每次传输的源宿节点(1.1),计算并选择业务的传输路径(1.2),记录业务需要经过的网络节点(1.3)。控制通道的控制信令采用IP路由跳转的方式传输转发,不同源宿节点间的业务根据其经过网络节点数量和位置的不同需要发送具有不同数据量的控制信令。
根据记录的业务源宿节点和业务经过的网络节点,查找所需的所有控制通道,然后查找对应的量子密钥池(2.1),计算每个控制通道的控制信令所需的量子密钥量Nc(2.2),判断每个控制通道对应的量子密钥池的量子密钥余量是否大于Nc(2.3),若量子密钥余量不足则控制量子密钥池对应的一对量子密钥分发终端生成量子密钥(2.4),否则,控制器控制量子密钥池分配对应的量子密钥量给对应的控制通道(2.5)。同时,为了保障控制通道的绝对安全,控制通道中控制信令的加密使用经过严格证明理论上绝对安全的一次一密加密算法,控制通道中传输的控制信令加密所需的密钥量应不小于控制通道的控制信令的数据量。
本实施例通过控制器实时监控量子密钥的使用情况,必要时控制量子密钥分发终端生成量子密钥,以保证量子密钥的充足性,从而保证了量子密钥动态分配的顺利实施。
本发明的又一实施例,如图5,提供一种在软件定义网络中部署量子密钥层的方法,包括:S51,在软件定义网络的控制器和网络节点处部署量子密钥分发终端;S52,在控制器处的量子密钥分发终端与网络节点处的量子密钥分发终端之间部署量子密钥分发链路,量子密钥分发链路包括量子信道和经典信道。
其中,在控制器处的量子密钥分发终端与网络节点处的量子密钥分发终端之间部署量子密钥分发链路之后,还包括:测量量子密钥分发链路的长度;在该长度超过了量子通信传输距离的量子密钥分发终端之间的量子信道上部署量子中继器。
具体的,首先根据软件定义网络网络拓扑确定网络节点数量,位置以及控制器的位置,在确定的位置上部署量子密钥分发终端;然后根据控制器的位置和网络节点的位置,在控制器的位置和网络节点的位置之间选择合适的路径,用于部署量子密钥分发链路;通常量子信道是光纤链路,经典信道是普通的数据链路,在选择部署路径时可基于光纤链路的部署成本考虑,以最低的成本部署光纤链路,而在部署数据链路时,可基于最为便捷的方式进行部署。
其中,在部署完光纤链路后,测量控制器所在位置与网络节点所在位置之间的距离,该距离相当于控制器所在位置与网络节点所在位置之间光纤链路的长度,如果该长度超过了量子通信传输距离,需要利用量子中继器延长量子通信传输距离,则在该光纤链路上部署量子中继器,以保证较低的误码率和时延等。
明显的,为了保证量子密钥层能够实现其功能,基于以上部署方法在对量子密钥层进行部署后,还包括但不限于以下内容:将在控制器处部署的量子密钥分发终端连接至控制器;将在网络节点处部署的量子密钥分发终端连接至网络节点处的相关设备;在控制器处部署的量子密钥分发终端与网络节点处部署的量子密钥分发终端之间设置量子密钥池;给控制器增加新的功能,以控制量子密钥分发终端生成量子密钥,和控制量子密钥池给对应的控制通道分配量子密钥,以及通过一次一密的加密算法给控制通道中的控制信令加密;给量子密钥池注入足够的量子密钥等等。
本实施例通过在软件定义网络的控制层和数据层之间部署量子密钥层,由量子密钥层基于量子密钥分发技术提供量子密钥资源,由控制器分配量子密钥资源并结合一次一密的加密算法进行加密,从而使软件定义网络控制通道所需的量子密钥资源由量子密钥分发技术提供,控制通道中的控制信令由一次一密的加密算法进行加密,保证了软件定义网络控制通道理论上的绝对安全。
最后说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (6)

1.一种软件定义网络控制通道的安全保障方法,其特征在于,所述方法包括:
通过在软件定义网络的控制层和数据层之间部署的量子密钥层,保障所述软件定义网络控制通道的安全;
所述量子密钥层包括量子密钥分发终端和量子密钥分发链路;所述量子密钥分发终端位于所述控制层的控制器和所述数据层的网络节点处,所述控制器处的量子密钥分发终端和所述网络节点处的量子密钥分发终端之间通过所述量子密钥分发链路连接;
所述控制器处的量子密钥分发终端和所述网络节点处的量子密钥分发终端之间形成量子密钥池,用于存储对应的量子密钥分发终端之间生成的量子密钥;所述控制器控制所述量子密钥池给对应的控制器和网络节点之间的控制通道分配量子密钥;
所述控制器实时控制量子密钥分发终端生成量子密钥,以保证量子密钥池中存储的量子密钥量大于对应控制通道所需的量子密钥量;
所述控制通道所需的量子密钥量根据业务经过网络节点时所需控制信令的数据量确定;
待数据传输业务到达后,所述控制器接收到安全通信请求,记录业务源宿节点,计算并选择业务传输路径,记录业务经过的网络节点;
基于所述业务源宿节点和所述网络节点,查找所有控制通道,查找对应的量子密钥池,计算每个控制通道的控制信令所需量子密钥量Nc,判断每个控制通道对应的量子密钥池的量子密钥余量是否大于Nc,若量子密钥余量不足则控制量子密钥池对应的一对量子密钥分发终端生成量子密钥,否则,控制量子密钥池分配对应的量子密钥量给对应的控制通道。
2.根据权利要求1所述的软件定义网络控制通道的安全保障方法,其特征在于,所述量子密钥分发链路包括量子信道和经典信道。
3.根据权利要求2所述的软件定义网络控制通道的安全保障方法,其特征在于,所述量子密钥层还包括量子中继器,所述量子中继器位于所述量子信道上。
4.根据权利要求2所述的软件定义网络控制通道的安全保障方法,其特征在于,所述控制器处的量子密钥分发终端通过光时分复用技术实现与不同网络节点处的量子密钥分发终端之间的量子通信。
5.一种在软件定义网络中部署量子密钥层的方法,其特征在于,所述方法包括:
在软件定义网络的控制器和网络节点处部署量子密钥分发终端;
在所述控制器处的量子密钥分发终端与所述网络节点处的量子密钥分发终端之间部署量子密钥分发链路,所述量子密钥分发链路包括量子信道和经典信道,在控制器处部署的量子密钥分发终端与网络节点处部署的量子密钥分发终端之间设置量子密钥池;
所述控制器实时控制量子密钥分发终端生成量子密钥,以保证量子密钥池中存储的量子密钥量大于对应控制通道所需的量子密钥量;
所述控制通道所需的量子密钥量根据业务经过网络节点时所需控制信令的数据量确定;
待数据传输业务到达后,所述控制器接收到安全通信请求,记录业务源宿节点,计算并选择业务传输路径,记录业务经过的网络节点;
基于所述业务源宿节点和所述网络节点,查找所有控制通道,查找对应的量子密钥池,计算每个控制通道的控制信令所需量子密钥量Nc,判断每个控制通道对应的量子密钥池的量子密钥余量是否大于Nc,若量子密钥余量不足则控制量子密钥池对应的一对量子密钥分发终端生成量子密钥,否则,控制量子密钥池分配对应的量子密钥量给对应的控制通道。
6.根据权利要求5所述的在软件定义网络中部署量子密钥层的方法,其特征在于,所述在所述控制器处的量子密钥分发终端与所述网络节点处的量子密钥分发终端之间部署量子密钥分发链路之后,还包括:
测量所述量子密钥分发链路的长度;
在所述长度超过了量子通信传输距离的量子密钥分发终端之间的量子信道上部署量子中继器。
CN201710428702.3A 2017-06-08 2017-06-08 一种软件定义网络控制通道的安全保障方法 Active CN107294960B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710428702.3A CN107294960B (zh) 2017-06-08 2017-06-08 一种软件定义网络控制通道的安全保障方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710428702.3A CN107294960B (zh) 2017-06-08 2017-06-08 一种软件定义网络控制通道的安全保障方法

Publications (2)

Publication Number Publication Date
CN107294960A CN107294960A (zh) 2017-10-24
CN107294960B true CN107294960B (zh) 2020-09-25

Family

ID=60096192

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710428702.3A Active CN107294960B (zh) 2017-06-08 2017-06-08 一种软件定义网络控制通道的安全保障方法

Country Status (1)

Country Link
CN (1) CN107294960B (zh)

Families Citing this family (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108881313B (zh) * 2018-08-28 2023-09-01 中国银行股份有限公司 一种基于量子波分复用的通信传输系统
CN109921901B (zh) * 2019-02-27 2021-06-08 吉林工程技术师范学院 量子秘钥分发与ptn设备融合装置及控制方法
CN110086713B (zh) * 2019-04-17 2020-11-24 北京邮电大学 一种用于广域量子密钥分配网络的分域路由方法
CN110365476B (zh) * 2019-07-01 2021-06-29 北京邮电大学 基于sdn的qkd网络及其密钥的调度管理方法
CN110516810B (zh) * 2019-08-29 2022-08-12 合肥本源量子计算科技有限责任公司 一种量子程序的处理方法、装置、存储介质和电子装置
CN112600627B (zh) * 2020-12-07 2022-04-26 中国电子科技集团公司信息科学研究院 一种基于sdn空分复用光网络的量子保密通信网络系统
CN112910636B (zh) * 2021-01-11 2023-01-10 国家电网有限公司 一种基于sdn的量子密钥分发物联网发布及订阅系统

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656493A (zh) * 2017-01-18 2017-05-10 中国人民解放军国防科学技术大学 基于量子密钥分发的软件定义网络安全通信方法
CN106685658A (zh) * 2017-03-20 2017-05-17 中国人民解放军空军工程大学 一种基于连续变量测量设备无关的量子密钥分发系统及其方法

Family Cites Families (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN102130769A (zh) * 2011-03-10 2011-07-20 北京邮电大学 一种用于量子密钥分配请求控制与自动实现的模型和方法
JP6359285B2 (ja) * 2014-02-17 2018-07-18 株式会社東芝 量子鍵配送装置、量子鍵配送システムおよび量子鍵配送方法
CN104780069B (zh) * 2015-04-16 2018-03-30 中国科学院计算技术研究所 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN106656493A (zh) * 2017-01-18 2017-05-10 中国人民解放军国防科学技术大学 基于量子密钥分发的软件定义网络安全通信方法
CN106685658A (zh) * 2017-03-20 2017-05-17 中国人民解放军空军工程大学 一种基于连续变量测量设备无关的量子密钥分发系统及其方法

Also Published As

Publication number Publication date
CN107294960A (zh) 2017-10-24

Similar Documents

Publication Publication Date Title
CN107294960B (zh) 一种软件定义网络控制通道的安全保障方法
US10348493B2 (en) Quantum key distribution system, method and apparatus based on trusted relay
Aguado et al. Secure NFV orchestration over an SDN-controlled optical network with time-shared quantum key distribution resources
Cao et al. KaaS: Key as a service over quantum key distribution integrated optical networks
CN112217637B (zh) 一种基于集中管理与控制网络的量子密钥中继方法和装置
US9451453B2 (en) Architecture for reconfigurable quantum key distribution networks based on entangled photons directed by a wavelength selective switch
CN109428665B (zh) 波分复用发送设备、接收设备、中继设备以及传输系统
CN108111305B (zh) 多类型量子终端兼容的融合网络接入系统和方法
CN110365476B (zh) 基于sdn的qkd网络及其密钥的调度管理方法
CN106031064B (zh) 一种应用于多波长无源光网络的通信方法、装置及系统
CN106850204A (zh) 量子密钥分配方法及系统
CN106878006B (zh) 基于光时分复用的量子密钥通道传输方法与系统
Tang et al. Quantum-safe metro network with low-latency reconfigurable quantum key distribution
JP2022549047A (ja) 量子暗号キー分配方法、装置及びシステム
CN110445604A (zh) 基于sdn的qkd网络及其业务请求的发送方法
Zhang et al. Routing, channel, key-rate and time-slot assignment for QKD in optical networks
Zhao et al. Quantum key distribution (QKD) over software-defined optical networks
CN111064568B (zh) 一种量子密钥分发网络的流量控制方法及装置
KR102047541B1 (ko) 링과 스타 구조가 결합된 네트워크에서 양자 암호통신 방법
US11424836B2 (en) Path computation engine and method of configuring an optical path for quantum key distribution
Aguado et al. First Experimental demonstration of secure NFV orchestration over an SDN-controlled optical network with time-shared quantum key distribution
Lord et al. London quantum-secured metro network
Chistyakov et al. Software-defined subcarrier wave quantum networking operated by OpenFlow protocol
Zhao et al. Software defined optical networks secured by quantum key distribution (QKD)
CN108540286A (zh) 一种可切换多类型量子终端网络通信系统与密钥分配方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant