CN109962773A - 广域量子密码网络数据加密路由方法 - Google Patents
广域量子密码网络数据加密路由方法 Download PDFInfo
- Publication number
- CN109962773A CN109962773A CN201711402944.1A CN201711402944A CN109962773A CN 109962773 A CN109962773 A CN 109962773A CN 201711402944 A CN201711402944 A CN 201711402944A CN 109962773 A CN109962773 A CN 109962773A
- Authority
- CN
- China
- Prior art keywords
- node
- routing
- subdomain
- path
- data encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Abstract
本发明公开了一种广域量子密码网络数据加密路由方法,其中需要根据所包含的城域网数量对广域网络进行分级,并且以分级路由的方式选择初始节点与目的节点之间的数据加密路由路径。从而降低网络延迟,方便路由节点的管理。
Description
技术领域
本发明涉及量子通信领域,尤其涉及一种广域量子密码网络数据加密路由方法。
背景技术
物理上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,我们则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性,以及量子测量的方法来完成两地之间的信息传递。
以量子密钥分发(QKD)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制,而量子密码以量子力学为基础,它的安全性是建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上的,被证明是无条件安全的,所以量子密码引起了学术界的高度重视。
量子密码网络便是采用量子密码术的一种安全通信网络。量子密码网络是由经典通信网络和QKD网络共同构建而成。QKD网络主要由QKD终端设备和量子链路组成,用于密钥分发。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络节点一般是由一个连接于经典通信网络的经典通信终端和连接于QKD网络的QKD设备终端组成。量子密码网络的网络节点一般分为终端节点和中继节点两种。由于量子通信最大距离的限制以及出于网络搭建成本的考虑,许多终端之间并不存在直连的量子链路,不能实现量子密钥的直接分发,它们之间的加密通信数据需要借助中继节点的转发。借助中继节点量子密码网络的规模在空间上可以实现无限扩展,从而实现广域量子密码网络的构建。
广域量子密码网络一般由城域量子密码网络(简称城域网)及干线网络组成。干线网络由连接城域网的通信干线组成。任意两个城域网通过干线网络实现相互通信。每一条通信干线包括经典通信干线和量子通信干线两部分。量子通信干线可以为基于光纤量子通信的长距离光纤量子通信线路,也可以为基于卫星中继的空间量子通信线路。城域网通过接入站(或称接入节点)接入干线网络,一个城域网可以有多于一个的接入站,以方便接入不同的干线。每一条干线上任意两个相邻的接入站可以通过干线上的中继节点或直接(距离较短的接入站)获得共享密钥,非相邻的接入站可以通过与其相邻的接入站的密钥中继获得共享密钥。
中国专利CN103001875A中提出了一种量子密码网络数据加密路由方法,其中采用集中式路由方法来实现城域量子密码网络数据加密的路由。由于空间跨度较大及网络节点众多,规模较大的广域量子密码网络不适合采用集中式路由方法。
分布式路由方法是经典广域互联网通常采用的路由方法。文献《基于信任中继的QKD网络研究》中也提出量子密码网络可以采用分布式路由方法实现数据加密路由。分布式路由方法采用洪泛式传播路由信息,会产生大量网络路由信令。为保证量子密码网络通信的无条件安全性,需要对路由信令进行加密,这会消耗大量的量子密钥及计算资源,从而降低网络性能。如果不加密路由信令,则很难保证数据加密路由节点的合法性,量子密码网络加密通信易遭受虚拟路由节点的攻击。
发明内容
针对现有技术存在的技术问题,本发明提出了一种用于广域量子密码网络的数据加密路由方法,该广域量子密码网络可以包括多个城域网。本发明的路由方法可以包括以下步骤:
网络分级步骤,其用于将所述广域量子密码网络划分为多级子域,其中所述子域的级数与所述城域网的数量有关;以及路由路径选择步骤,其用于以分级路由的方式计算和选择由初始节点s到目的节点v的数据加密路由路径。
进一步地,可以为所述子域中的每一个设置子域接入站。
进一步地,同级的两个子域之间可以通过所述子域接入站预置共享量子密钥。其中,所述预置的共享量子密钥的数量与共享量子密钥在所述子域接入站之间路径上的供求关系有关。
优选地,所述供求关系可以由所述子域接入站上现存的共享量子密钥的数量满足密钥中继需求的概率值Pr来表示。
更优选地,所述概率值Pr可以基于泊松分布概率模型来计算,其中根据共享量子密钥的消耗经验值计算泊松分布参数λ。
进一步地,所述概率值Pr可以依据以下公式获得:
其中,N为整数且表示所述子域接入站上现存的共享量子密钥量可以中继的密钥数据包的最大数量。
优选地,本发明的路由方法还可以包括对泊松分布参数λ进行更新的步骤,其中依据以下公式计算所述泊松分布参数的更新值λ’:
其中权值α>1,且与所述泊松分布参数λ的更新频率有关。
优选地,当所述概率值Pr大于或等于预设门限值时,不再在所述子域接入站上生成共享量子密钥,否则需要继续在所述子域接入站上生成共享量子密钥。
优选地,当所述子域接入站彼此邻接时,直接在所述子域接入站上生成共享量子密钥。
优选地,当所述子域接入站非彼此邻接时,将所述概率值Pr设置为共享量子密钥中继数据包内的参数,用作中继节点是否优先中继所述数据包的判断依据。
进一步地,在所述网络分级步骤中,所述城域网为最低级子域,所述广域量子密码网络为最高级域。
进一步地,在分级路由方式下,数据由所述初始节点s所在的城域网逐级向上进入所述初始节点s所在的高级域,然后由所述初始节点s所在的高级域进入所述目的节点v所在的高级域,随后由所述目的节点v所在的高级域逐级向下进入所述目的节点v所在的城域网。
进一步地,本发明的路由方法还可以包括网络拓扑更新步骤,其中为所述子域中的每一个设置路由管理节点,所述路由管理节点收集所述子域的下一级路由节点的拓扑更新信息,同时接收上一级路由管理节点的拓扑更新信息,并将所述收集和接收到的拓扑更新信息发送给下一级路由节点和下一级子域的路由管理节点。
优选地,路由路径选择步骤可以依据最短路径原则选择最佳路由路径。
优选地,所述路径路由选择步骤可以进一步包括以下步骤:
步骤1),构造以所述初始节点s为根节点的树,所述根节点为树的第一层节点;
步骤2),对于不属于树的任意一个其他节点t,如果存在节点s到节点t的路径(s,t),则将节点t作为根节点s的子节点,成为树的第二层节点;
步骤3):已构造的树的层数用L表示,其中L>1,对于不属于树的任意一个其他节点u,确定节点u到树的第L层节点的路径的数量n:
如果n=0,则所述节点u不构成树的第L+1层节点;
如果n>0,表明所述节点u与树的第L层节点中的n个节点之间存在连接路径,因此比较所述n条连接路径,确定路径最短的连接路径,并将所述节点u作为所述路径最短的连接路径对应的第L层节点的子节点,成为树的第L+1层节点;
步骤4):如果还存在不属于树的节点,则将L=L+1,重复步骤3),直到所有节点均添加到树中,或重复步骤3)后不属于树的节点的数量没有变化为止。
优选地,所述初始节点s与所述目的节点v之间的最佳路由路径可以为所述两个节点在树中的连接路径。
优选地,当所述初始节点s与所述目的节点v在树中存在多条连接路径时,选择长度最小的连接路径为最佳路由路径。
优选地,当存在多个目的节点v时,比较到达各个目的节点v的最佳路由路径,从中选择最短的路径,并将所述最短路径对应的目的节点作为最佳目的节点。
附图说明
图1示意性地示出了量子密码网络中量子通信干线的两种构建方式;
图2示意性地示出了根据本发明的广域量子密码网络的数据加密路由方法中初始节点与目的节点之间的数据加密路由过程;
图3给出了本发明的广域量子密码网络数据加密路由所经过的路由节点的示意图;
图4为根据本发明的广域量子密码网络中一个M(M>1)级子域α及其子域的接入站设置示意图;
图5示意性示出了根据本发明的负载均衡方法的流程图;以及
附图6为一个M级子域路由管理节点在其父域内广播的生成树示意图。
具体实施方式
在下文中,将参照附图来详细描述本发明的示例性实施例。下面的实施例以举例的方式提供,以便充分传达本发明的精神给本发明所属领域的技术人员。因此,本发明不限于本文公开的实施例。
在介绍本发明的具体实施例之前,将首先对本发明的用于广域量子密码网络的数据加密路由方法的基本原理进行说明。
根据本发明,对于包含多个城域网的广域量子密码网络,可以对其进行分级配置,即,将一个广域量子密码网络划分为多级子域,同时为每一个子域设置子域接入站,以作为数据加密路由的节点。
为使子域接入站能够具备数据加密路由节点功能,属于同一父域的同级子域两两之间通过距离较近的接入站预置共享量子密钥,且每个子域可以通过子域接入站与其父域的每个接入站预置共享量子密钥。由于共享量子密钥的数量多少将会对加密通信网络的延迟和安全性产生影响,因此,在本发明中提出基于各条路径上有关共享量子密钥的供需程度,以负载均衡的方式来控制接入站之间共享量子密钥的数量,从而在网络延迟与通信安全性之间达到最佳平衡。
为了最终实现广域量子密码网络的路由,还需要进行路由路径的选择。为此,在本发明中,每个子域可以通过生成树的广播方式实现本子域路由信息的拓扑更新;并且,根据网络拓扑信息,基于最短路径法则采用分级路由的方式实现数据加密路由的路径选择。
下面将进一步就网络分级、共享量子密钥数量的负载均衡控制方式、网络拓扑更新、以及分级路由等各个过程的原理进行说明。
将广域量子密码网络划分为多级子域的原理如下:将广域网划分为若干子域,例如记为第M级子域;将第M级子域中的每一个子域进一步划分为若干个子域,例如记为第M-1级子域;再将第M-1级子域中的每一个子域划分为若干个子域,例如此时记为第M-2级子域;…依次类推,最终划分而成的最低一级子域为城域。在本发明中,一个广域网络被划分的子域级数与其中包括的城域网的数量有关,其中最高级域为整个广域网络,最低一级的子域为城域。
共享量子密钥数量的负载均衡控制原理如下:假设每条线路上(两个接入站之间)的需要中继的密钥中继数据包的到达过程为泊松过程,计算其在一个时间区间长度内的泊松分布参数。然后,利用泊松分布参数计算线路上两个接入站之间现存共享量子密钥量在下一个时间区间长度内满足密钥中继服务需求的概率。根据计算的概率值判断是否需要在这两个接入站上生成共享量子密钥。如果概率值低于预设门限值,则表明需要继续生成共享量子密钥,此时如果这两个接入站是邻接的,则可以直接在这两个接入站之间生成共享密钥,如果这两个接入站并不邻接,则可以在这两个接入站之间发起密钥中继,将该概率值放入密钥中继数据包内作为一个参数,充当中继节点是否优先中继此数据包的判断依据。优选地,可以每隔一段时间,根据统计数据更新每条线路上的泊松分布参数,从而更为准确地反应路径当前对于共享量子密钥的需求关系。
基于生成树的广播方式的网络拓扑更新的原理如下:为每个子域设置一个路由管理节点,路由管理节点收集该子域的下一级路由节点的拓扑更新信息,同时接收上一级路由管理节点的拓扑更新信息,并将所收集和接收到的拓扑更新信息发送给下一级路由节点及下一级子域的路由管理节点。
分级路由的原理如下:路由数据首先进入初始节点所在城域的接入站,然后从初始节点所在的较低级子域的接入站依次进入初始节点所在的较高级域的接入站,然后进入目的节点所在的较高级域接入站,依次从目的节点所在的较高级子域的接入站进入目的节点所在的较低级域的接入站,最后进入目的节点所在的城域的接入站,完成广域路由过程。
下文中,将结合附图详细描述本发明的广域量子密码网络数据加密路由方法的具体实施例,以便更为准确地理解本发明的原理和精神。
广域量子密码网络一般由城域量子密码网络(简称城域网)和干线网络组成。干线网络由连接城域网的通信干线组成。任意两个城域网可以通过干线网络实现相互通信。每一条通信干线包括经典通信干线和量子通信干线两部分。量子通信干线可以为基于光纤的长距离光纤量子通信线路,也可以为基于卫星中继的空间量子通信线路。
图1示出了量子密码网络中量子通信干线的上述两种构建方式,其中:城域网A和城域网B之间使用基于卫星中继的空间量子通信线路作为通信干线,城域网B和城域网C之间使用光纤量子通信线路作为量子通信干线。如图1所示,城域网B和城域网C的量子通信干线上还包含有若干个中继节点,中继节点的密钥中继使城域网B和城域网C获得用于加密通信的共享密钥。
图2示出了本发明的广域量子密码网络的数据加密路由方法中由初始节点到目的节点的基本路由过程。
如图2所示,量子密码网络中任意两个节点之间的数据加密路由过程可以包括节点所在城域网中的城域路由和城域网之间的广域路由这两个基本过程。举例来说,当要在城域网A中的初始节点A1和城域网B中的目的节点B1之间实现加密通信时,需要在城域网A中进行城域路由,完成初始节点A1与城域网A的接入站之间的路由;接着进行城域网A与城域网B之间的广域路由,完成城域网A的接入站与城域网B的接入站之间的路由;最后,还需要在城域网B中进行城域路由,完成城域网B的接入站与目的节点B1之间的路由,从而实现初始节点A1至目的节点B1的数据加密路由。
在本发明的路由方法中,城域路由可以采用基于集中式路由管理和最短路径原则的动态路由方法,这将在下文中详细讨论。
至于广域路由,本发明人注意到,两个城域网之间通过预置共享量子密钥可以降低由于生成共享量子密钥所造成的网络延迟。当广域量子密码网络包含的城域网数量不多时,可以在所有城域网的两两之间预置共享量子密钥,但当城域网数量较多时,如果仍然采用两两之间预置共享密钥的模式,则会出现需要维护的共享密钥对众多的情形,这就会需要消耗较多的节点资源和网络通信资源,从而降低网络性能。为了避免这种问题的发生,本发明提出在广域路由过程中采用分级路由与最短路径原则相结合的路由方案。
为了进行分级路由,首先需要将广域量子密码网络分成若干子域,然后对每个子域进一步划分出下一级子域,接着再对每个子域的下一级子域进一步划分,依次类推。子域划分的级数大致根据城域网的数量确定,其中最低一级的子域为城域网,最高级域为整个广域量子密码网络。例如在本实施例中,将城域网作为1级域,城域网的父域为2级域,2级域的父域为3级域,…,以此类推,整个广域量子密码网络为最高级域。
为了提供数据加密路由节点,还可以在每一级域中的每个子域上设置一个或多个接入站,每一级子域的接入站可以例如设置在连接两个该级子域的量子通信干线与子域的交叉点上,即子域接入站位于子域在量子通信干线的接入点上。属于同一个父域的子域两两之间至少有一对子域接入站可以例如通过密钥中继的方式预置共享量子密钥,同一个域的每个域接入站与该域的每个子域中距离较近的子域接入站两两之间预置共享量子密钥。
通过这种分级结构,经城域路由到达初始节点所在的城域网接入站的路由数据依次进入初始节点所在的较高级域接入站,然后进入目的节点所在的较高级域接入站(其与上述初始节点所在的较高级域接入站具有相同的父域,亦即具有相同的域级),并依次进入目的节点所在的较低级域接入站,最后进入目的节点所在的城域接入站,从而以分级路由的方式完成广域路由过程。至此,本领域技术人员容易理解,到达目的节点所在城域接入站的路由数据同样可以经由城域路由到达目的节点,从而最终实现初始节点与目的节点之间的数据加密路由。
为了更方便地理解分级路由的原理,图3给出了本发明的广域量子密码网络数据加密路由所经过的路由节点的示意图。
在图3中,假设初始节点与目的节点同属于一个m+1级子域,但不同属于一个m级子域,则按照分级路由的原则,加密数据的路由顺序为:首先,来自初始节点的加密数据经城域路由选择并进入初始节点所在的城域网的某一个接入站(出发城域接入站),再由该出发城域接入站选择并进入其所在的1级出发域接入站,依次选择并进入所在的2级出发域接入站、3级出发域接入站、…,最后选择并进入到m级出发域所在的接入站,由m级出发域接入站进入m级目的域接入站,然后依次进入m-1级目的域接入站,m-2级目的域接入站,…,1级目的域接入站,再选择并进入目的城域接入站,最后通过城域路由进入目的节点,从而完成两个节点之间的数据加密路由过程。
在广域路由过程中采用分级路由可以至少提供以下优点:加密数据的各级出发子域的路由节点不需要知道各级目的子域的路由节点的具体情况,在各级出发域中只需要选择正确的出域接入站即可。
图4为广域量子密码网络中一个M(M>1)级子域α及其子域的接入站设置示意图,用于说明各接入站之间共享量子密钥的预置过程。如图所示,子域β为与子域α相邻的M级子域,子域A、子域B、子域C为域α的子域,均为M-1级子域;节点S1、A1、A2、B1、B2、C1为光纤量子通信线路与城域网的交叉节点,S1-A1、A2-B1、B2-C1为城域网之间的光纤量子通信干线。
将节点S1设置为子域β的M级接入站,将节点A1设置为子域α的M级接入站,将节点A1、A2、B1、B2、C1设置为M-1级接入站,同时在接入站S1与A1、A2与B1、B2与C1,A2与C1,A1和B1,A1和C1之间预置共享量子密钥。
接入站S1与A1、A2与B1、B2与C1,两两之间存在直连光纤量子通信干线,因此可以通过光纤量子通信干线直接获得共享量子密钥;A2与C1,A1和B1,A1和C1不存在直连光纤量子通信干线,因此两两之间需要通过广域路由的密钥中继获得共享量子密钥。以接入站A2与C1之间通过密钥中继方式预置共享量子密钥为例,首先A2与B1之间直接获得共享量子密钥,然后经过B子域内的密钥中继路由与B2获得共享量子密钥,最后通过B2与C1的共享量子密钥在节点A2与C1之间建立共享量子密钥。
本领域技术人员知晓,由于城域网之间的加密通信有很大概率为时间持续性通信,因此路由中的两个接入站之间需要预置共享量子密钥,以避免由于需要生成共享量子密钥而造成的网络延迟。然而,接入站之间实际加密通信所需要的共享量子密钥的数量在任意一个固定长度的时间区间内都是不确定的,如果预置的共享量子密钥的数据量过小,那么在通信高峰期可能会出现不够用,需要即时生成的情况,这就会造成通信的延迟;如果预置的共享量子密钥的数据量过大,则会降低量子密钥的保鲜度,而量子密钥的保鲜度越低,其密钥安全性就越低,会减低加密通信的安全性。为此,本发明引入了基于泊松分布的队列服务模型,以负载均衡的方式解决上述共享量子密钥预置量控制的问题。
图5示出了根据本发明的基于泊松分布模型的共享量子密钥预置量控制过程的流程图。
假设每条线路(两个接入站之间)上需要中继的密钥中继数据包的到达过程A(t)为Poisson过程,即意味着时间t时,下一个时间区间τ内到达的密钥中继数据包的数量n服从参数为(λ,τ)的Poisson分布:
其中:λ为时间区间长度内密钥中继数据包的平均到达数量,其可根据密钥消耗经验值求得;t为时间;τ为时间区间长度。
因此,在对预置量子密钥量进行负载均衡控制时,首先需要计算上述泊松过程在固定时间区间τ内的泊松分布参数λ。
接着,需要计算接入站上现存的共享量子密钥量KData在下一个时间区间τ内满足密钥中继需求的概率Pr。
假设每个密钥中继数据包中的密钥量的大小KDunit是固定的,则可以计算现存共享量子密钥的数量KData可以中继的密钥中继数据包的数量N=[KData/KDunit]([x]表示不大于实数x的最大整数),然后可以计算下一个时间区间长度内现存共享量子密钥量可以满足线路上(两个接入站之间)的密钥中继服务需求的概率Pr:
Pr的值越大表示下一个时间区间长度内共享密钥量满足密钥中继服务需求的可能性越大,Pr的值越小表示下一个时间区间长度内共享密钥量满足密钥中继服务需求的可能性越小。
随后,可以根据计算的概率值Pr判断是否需要在两个接入站上生成共享量子密钥。例如,当Pr值大于或等于预设的门限值时,则表明当前接入站上现存的共享量子密钥量在下一个时间区间长度内足够用,否则需要继续生成共享密钥。如果需要继续生成共享量子密钥,对于邻接的接入站节点,可以直接生成共享量子密钥;对于非邻接的接入站节点,则可以将概率值Pr放入共享密钥中继的数据包内作为一个参数,作为中继节点是否优先中继此数据包的判断依据。
优选地,为了增加基于泊松分布的服务队列模型的准确性,还可以根据共享密钥消耗量的统计数据,结合密钥中继数据包中的密钥量的大小(通常为固定值),保持对Poisson分布参数λ的不断更新。更新的泊松分布参数λ’可以优选依据以下公式计算获得:
其中α>1为权值,其与参数λ的更新频率有关。一般更新频率越高,α的数值越大。
正如前面讨论过的那样,为了最终实现广域量子密码网络中的数据加密路由,还需要进行路径选择的步骤。尤其是在出发域加密数据在各级出发子域选择出域接入站的时候、在非邻接接入站之间预置共享量子密钥中继路由的时候、或者在最佳路由线路上的接入站出现故障的时候,都可以依据最短路径原则计算、选择路由路径。
根据本发明,为了实现路由路径的选择,需要获得网络的拓扑信息及更新信息,并根据拓扑信息计算最佳路由路径。
在网络拓扑及更新步骤中,以广域量子密码网络中各级子域接入站作为广域网络拓扑节点,其中,如果节点之间预置有共享量子密钥或接入站属于同一个城域网络,则认为这些节点之间存在连接路径。
由于网络节点情况可能发生变化,因此需要对网络拓扑信息进行更新。具体在本实施例中,可以采用子域内生成树的广播方式实现拓扑更新,这种拓扑更新通常可以包括路径更新和节点更新。
所谓路径更新可以包括添加新的路径或删除原有路径。例如,当没有预置共享量子密钥的两个接入站之间预置了共享量子密钥,则需要在这两个接入站节点之间添加路径;反之,如果之前预置了共享量子密钥的两个接入站,预置的量子密钥数量不足或者不再预置共享量子密钥,则需要在这两个接入站节点之间删除路径信息。
所谓节点更新可以包括添加新的接入站节点或删除已有的接入站节点,同时需要更新相关的路径信息。
为了实现网络的拓扑及更新,可以为每一级子域的每个子域设置路由管理节点,一般将本子域的某一个子域接入站设置为本子域的路由管理节点。在进行拓扑更新时,每个子域的子域接入站向本子域的路由管理节点上报拓扑更新信息。子域的路由管理节点收集本子域的子域接入站在一个拓扑更新周期内的拓扑更新信息,同时接收上一级子域(即本子域所在的父域)发送的拓扑更新信息,然后将所有拓扑更新信息在本子域内按照生成树的广播方式传递给本子域的所有下一级子域(即本子域的子域)接入站,包括下一级子域的路由管理节点。
为了更加清楚理解上述拓扑过程,图6给出了一个M级子域路由管理节点在其父域内广播的生成树示意图,详细说明如下:M级子域的路由管理节点收集本子域的子域接入站(即本子域的M-1级子域的子域接入站)上报的拓扑更新信息,同时接收上一级子域(即M+1级子域)的路由管理节点发送的拓扑更新信息,将所有的拓扑更新信息发送给下一级子域(即M-1级子域)的子域接入站,包括本子域的每个M-1级子域的路由管理节点。每个M-1级子域在下一级子域及子域接入站重复这一过程。依次类推,拓扑更新生成是一直扩展到每个1级子域(即城域)的拓扑管理节点和每个城域的网络节点。
在完成网络拓扑之后,可以依据最短路径原则计算选择最佳的路由路径。在最短路径原则下,可以路径之间的距离作为路径的度量,此度量为近似度量。在本实施例中,以路由路径的总长度作为路由度量。考虑路由路径的总长度,长度最短的路径优先选择。
一方面,研究证明:随着发送端与接收端量子光纤信道距离的增加,在统计时间内,系统分段成码率降低,信号态和诱骗态误码率上升,系统产生的密钥量降低。即相同数量的量子密钥数据,随着发送端与接收端量子光纤信道距离的增加,其生产成本也在增加。另一方面,在通过光纤量子通信干线获得共享量子密钥时,节点间距离越远意味着需要更多次数的密钥中继。因此路由路径的长度越大,其加密路由所需的成本越大,故将路由路径的总长度作为优先的路由度量。
在最短路径原则下,在本发明中采用生成树的方式计算最佳的路由路径,具体过程如下。
假设初始节点和目的节点同属于M级域,不属于M+1级域,将初始节点到目的节点的路由计算过程,分为两个阶段:第一阶段为出发域路由选择,计算初始节点到目的节点所在的M级域的M级域接入站的路由;第二阶段为目的域路由选择,计算从较高级目的域逐级进入下级域的路由,即从M级目的域一直到城域目的节点的逐级路由的计算。
每一个路由节点按照如下算法计算最佳路径:
1)假设需要考虑的拓扑信息用图(G,E)表示,其中G表示顶点的集合,E表示路径的集合,初始节点对应G中的一个顶点,用s表示,构造一个以s为根节点的树,将根节点s作为树的第一层节点;
2)t为G中任意一个其他顶点,t≠s,如果E中存在有s到t的路径(s,t),则将t作为根节点s的子节点,也是树的一个第二层节点,并将与路径(s,t)相应的边也添加到树中,搜索添加G中所有满足条件的第二层节点,并添加相应的边;
3)已构造的树的层数用L表示,将G中不属于树的剩余顶点的集合表示为G’,对于任意顶点u属于G’,考虑u到树的第L层节点的路径的数量n:
如果n=0,则考虑下一个G’中的顶点;
如果n>0,即u与某个第L层中的n个节点存在连接路径,比较这n条连接路径,将u添加到路径最短的L层节点上,将u从G’中删除;
4)如果G中还有顶点没有添加到树中,将L=L+1,重复步骤3),直到所有G中的顶点均添加到树中,或重复步骤3)后G’中顶点的数量没有变化为止。
对于任意一个节点v,在树中s到v的路径即对应图(G,E)中s到v的路由路径,即在网络中节点s到v的最短路径;如果存在多于一条路径,则计算各条路径的长度,选择长度最小的那条路径作为最佳路径。如果目的节点多于一个,则比较到达各目的节点的最佳路径,选择最短的一条路径作为最佳路径,选择最佳路径的目的节点作为最佳目的节点。
结合上述具体实施例,本发明提供了广域量子密码网络数据加密路由的一种完整实现方案,其相比现有技术存在如下技术优点:
1.广域量子密码网络分级路由方法通过在相邻子域及上下级子域之间的接入站上预置同步共享量子密钥,降低了相异子域节点之间加密通信路由的跳数,从而减少了保密数据在路由过程中的加解密次数,降低了网络延迟;同时分级路由方法方便了广域量子密码网络对路由节点管理。
2.基于泊松分布队列服务模型的预置密钥负载均衡方法,估计每条线路预置密钥满足需求的概率,优先生成预置密钥存量不足的路径的预置密钥,更好地调配了量子密钥分发的网络资源,一方面有利于保证预置密钥的存量的可用度,另一方面可以保证不会过度增加预置密钥量,从而降低预置密钥保鲜度,或造成预置密钥的浪费。
3.采用子域内基于生成树的广播方法实现数据加密路由的网络拓扑更新,相对于分布式路由的泛洪式拓扑更新方法,降低了拓扑更新过程中的网络信令数量,同时提高了拓扑信令传播的安全性。
以上所述,仅是本发明的较佳实施例而已,并非对本发明作任何形式上的限制。虽然本发明已以较佳实施例揭露如上,然而并非用以限定本发明。任何熟悉本领域的技术人员,在不脱离本发明技术方案范围情况下,都可利用上述揭示的方法和技术内容对本发明技术方案做出许多可能的变动和修饰,或修改为等同变化的等效实施例。因此,凡是未脱离本发明技术方案的内容,依据本发明的技术实质对以上实施例所做的任何简单修改、等同变化及修饰,均仍属于本发明技术方案保护的范围内。
Claims (18)
1.一种广域量子密码网络数据加密路由方法,其中所述广域量子密码网络包括多个城域网,其特征在于包括以下步骤:
网络分级步骤,其用于将所述广域量子密码网络划分为多级子域,其中所述子域的级数与所述城域网的数量有关;以及
路由路径选择步骤,其用于以分级路由的方式计算和选择由初始节点s到目的节点v的数据加密路由路径。
2.如权利要求1所述的数据加密路由方法,其特征在于,为所述子域中的每一个设置子域接入站。
3.如权利要求2所述的数据加密路由方法,其特征在于,同级的两个子域之间通过所述子域接入站预置共享量子密钥,其中所述预置的共享量子密钥的数量与共享量子密钥在所述子域接入站之间路径上的供求关系有关。
4.如权利要求3所述的数据加密路由方法,其特征在于,所述供求关系由所述子域接入站上现存的共享量子密钥的数量满足密钥中继需求的概率值Pr来表示。
5.如权利要求4所述的数据加密路由方法,其特征在于,所述概率值Pr基于泊松分布概率模型来计算,其中根据共享量子密钥的消耗经验值计算泊松分布参数λ。
6.如权利要求5所述的数据加密路由方法,其特征在于,所述概率值Pr依据以下公式获得:
其中,N为整数且表示所述子域接入站上现存的共享量子密钥量可以中继的密钥数据包的最大数量。
7.如权利要求5或6所述的数据加密路由方法,其特征在于还包括对所述泊松分布参数λ进行更新的步骤,其中依据以下公式计算所述泊松分布参数的更新值λ’:
其中权值α>1,且与所述泊松分布参数λ的更新频率有关。
8.如权利要求4-7中任一项所述的数据加密路由方法,其特征在于,当所述概率值Pr大于或等于预设门限值时,不再在所述子域接入站上生成共享量子密钥,否则需要继续在所述子域接入站上生成共享量子密钥。
9.如权利要求8所述的数据加密路由方法,其特征在于,当所述子域接入站彼此邻接时,直接在所述子域接入站上生成共享量子密钥。
10.如权利要求8所述的数据加密路由方法,其特征在于,当所述子域接入站非彼此邻接时,将所述概率值Pr设置为共享量子密钥中继数据包内的参数,用作中继节点是否优先中继所述数据包的判断依据。
11.如权利要求1所述的数据加密路由方法,其特征在于,在所述网络分级步骤中,所述城域网为最低级子域,所述广域量子密码网络为最高级域。
12.如权利要求1或11所述的数据加密路由方法,其特征在于,在分级路由方式下,数据由所述初始节点s所在的城域网逐级向上进入所述初始节点s所在的高级域,然后由所述初始节点s所在的高级域进入所述目的节点v所在的高级域,随后由所述目的节点v所在的高级域逐级向下进入所述目的节点v所在的城域网。
13.如权利要求1所述的数据加密路由方法,其特征在于还包括网络拓扑更新步骤,其中为所述子域中的每一个设置路由管理节点,所述路由管理节点收集所述子域的下一级路由节点的拓扑更新信息,同时接收上一级路由管理节点的拓扑更新信息,并将所述收集和接收到的拓扑更新信息发送给下一级路由节点和下一级子域的路由管理节点。
14.如权利要求1或13所述的数据加密路由方法,其特征在于,所述路由路径选择步骤依据最短路径原则选择最佳路由路径。
15.如权利要求14所述的数据加密路由方法,其特征在于,所述路径路由选择步骤进一步包括以下步骤:
步骤1),构造以所述初始节点s为根节点的树,所述根节点为树的第一层节点;
步骤2),对于不属于树的任意一个其他节点t,如果存在节点s到节点t的路径(s,t),则将节点t作为根节点s的子节点,成为树的第二层节点;
步骤3):已构造的树的层数用L表示,其中L>1,对于不属于树的任意一个其他节点u,确定节点u到树的第L层节点的路径的数量n:
如果n=0,则所述节点u不构成树的第L+1层节点;
如果n>0,表明所述节点u与树的第L层节点中的n个节点之间存在连接路径,因此比较所述n条连接路径,确定路径最短的连接路径,并将所述节点u作为所述路径最短的连接路径对应的第L层节点的子节点,成为树的第L+1层节点;
步骤4):如果还存在不属于树的节点,则将L=L+1,重复步骤3),直到所有节点均添加到树中,或重复步骤3)后不属于树的节点的数量没有变化为止。
16.如权利要求15所述的数据加密路由方法,其特征在于,所述初始节点s与所述目的节点v之间的最佳路由路径为所述两个节点在树中的连接路径。
17.如权利要求16所述的数据加密路由方法,其特征在于,当所述初始节点s与所述目的节点v在树中存在多条连接路径时,选择长度最小的连接路径为最佳路由路径。
18.如权利要求16所述的数据加密路由方法,其特征在于,当存在多个目的节点v时,比较到达各个目的节点v的最佳路由路径,从中选择最短的路径,并将所述最短路径对应的目的节点作为最佳目的节点。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711402944.1A CN109962773B (zh) | 2017-12-22 | 2017-12-22 | 广域量子密码网络数据加密路由方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201711402944.1A CN109962773B (zh) | 2017-12-22 | 2017-12-22 | 广域量子密码网络数据加密路由方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN109962773A true CN109962773A (zh) | 2019-07-02 |
CN109962773B CN109962773B (zh) | 2021-12-14 |
Family
ID=67019126
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201711402944.1A Active CN109962773B (zh) | 2017-12-22 | 2017-12-22 | 广域量子密码网络数据加密路由方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN109962773B (zh) |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111147378A (zh) * | 2019-12-18 | 2020-05-12 | 北京邮电大学 | 一种基于加密业务的路由分配方法及电子设备 |
CN111181717A (zh) * | 2019-11-11 | 2020-05-19 | 北京邮电大学 | 一种密钥分发方法及装置 |
CN113079008A (zh) * | 2021-04-26 | 2021-07-06 | 北京玻色量子科技有限公司 | 数据通信方法、装置以及系统 |
CN113765684A (zh) * | 2020-06-03 | 2021-12-07 | 科大国盾量子技术股份有限公司 | 一种量子通信网络城域网及其组网方法 |
CN114024824A (zh) * | 2021-10-27 | 2022-02-08 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
CN114697013A (zh) * | 2020-12-30 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 基于可信中继节点共享密钥的量子密钥管理方法 |
CN114697004A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 集中式广域量子密码网络组密钥分发方法及系统 |
CN114697005A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种分布式广域量子密码网络组密钥分发方法及系统 |
CN114697003A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种集中式量子密码网络组密钥分发方法及系统 |
WO2022142463A1 (zh) * | 2020-12-28 | 2022-07-07 | 科大国盾量子技术股份有限公司 | 一种分布式量子密码网络组密钥分发方法及系统 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281136A (zh) * | 2011-07-28 | 2011-12-14 | 中国电力科学研究院 | 用于电动汽车智能充电网络安全通信的量子密钥分配系统 |
CN102916806A (zh) * | 2011-08-05 | 2013-02-06 | 塞莱斯系统集成公司 | 密码密钥分配系统 |
-
2017
- 2017-12-22 CN CN201711402944.1A patent/CN109962773B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281136A (zh) * | 2011-07-28 | 2011-12-14 | 中国电力科学研究院 | 用于电动汽车智能充电网络安全通信的量子密钥分配系统 |
CN102916806A (zh) * | 2011-08-05 | 2013-02-06 | 塞莱斯系统集成公司 | 密码密钥分配系统 |
Cited By (17)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN111181717A (zh) * | 2019-11-11 | 2020-05-19 | 北京邮电大学 | 一种密钥分发方法及装置 |
CN111147378A (zh) * | 2019-12-18 | 2020-05-12 | 北京邮电大学 | 一种基于加密业务的路由分配方法及电子设备 |
CN111147378B (zh) * | 2019-12-18 | 2021-07-02 | 北京邮电大学 | 一种基于加密业务的路由分配方法及电子设备 |
CN113765684B (zh) * | 2020-06-03 | 2022-09-27 | 科大国盾量子技术股份有限公司 | 一种量子通信网络城域网及其组网方法 |
CN113765684A (zh) * | 2020-06-03 | 2021-12-07 | 科大国盾量子技术股份有限公司 | 一种量子通信网络城域网及其组网方法 |
CN114697005A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种分布式广域量子密码网络组密钥分发方法及系统 |
CN114697004A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 集中式广域量子密码网络组密钥分发方法及系统 |
CN114697003A (zh) * | 2020-12-28 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 一种集中式量子密码网络组密钥分发方法及系统 |
WO2022142461A1 (zh) * | 2020-12-28 | 2022-07-07 | 科大国盾量子技术股份有限公司 | 一种分布式广域量子密码网络组密钥分发方法及系统 |
WO2022142463A1 (zh) * | 2020-12-28 | 2022-07-07 | 科大国盾量子技术股份有限公司 | 一种分布式量子密码网络组密钥分发方法及系统 |
WO2022142462A1 (zh) * | 2020-12-28 | 2022-07-07 | 科大国盾量子技术股份有限公司 | 集中式广域量子密码网络组密钥分发方法及系统 |
WO2022142460A1 (zh) * | 2020-12-28 | 2022-07-07 | 科大国盾量子技术股份有限公司 | 一种集中式量子密码网络组密钥分发方法及系统 |
CN114697013A (zh) * | 2020-12-30 | 2022-07-01 | 科大国盾量子技术股份有限公司 | 基于可信中继节点共享密钥的量子密钥管理方法 |
CN114697013B (zh) * | 2020-12-30 | 2024-03-26 | 科大国盾量子技术股份有限公司 | 基于可信中继节点共享密钥的量子密钥管理方法 |
CN113079008A (zh) * | 2021-04-26 | 2021-07-06 | 北京玻色量子科技有限公司 | 数据通信方法、装置以及系统 |
CN114024824A (zh) * | 2021-10-27 | 2022-02-08 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
CN114024824B (zh) * | 2021-10-27 | 2023-11-17 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
Also Published As
Publication number | Publication date |
---|---|
CN109962773B (zh) | 2021-12-14 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN109962773A (zh) | 广域量子密码网络数据加密路由方法 | |
CN103001875B (zh) | 一种量子密码网络动态路由方法 | |
CN104579964B (zh) | 一种量子密码网络动态路由架构系统 | |
CN108270557B (zh) | 一种基于量子通信的骨干网系统及其中继方法 | |
Wang et al. | Speed improves delay-capacity trade-off in motioncast | |
CN102394745B (zh) | 一种用于量子密钥分配网络的服务质量实现方法 | |
CN102594706B (zh) | 一种用于家居智能控制的无线宽带安全路由方法 | |
CN104618982A (zh) | 基于改进遗传-蚁群算法的Adhoc网络寻找最优路径的方法 | |
CN109962774B (zh) | 量子密码网络密钥中继动态路由方法 | |
GB2502775A (en) | Selecting routes between nodes in a network based on node processing gain and lifetime | |
CN102264114A (zh) | 一种ZigBee传感网树路由低开销优化方法 | |
CN108134772B (zh) | 一种采用aodv或dsdv协议实现的安全路由方法 | |
Mehic et al. | Toward designing a quantum key distribution network simulation model | |
CN101965031A (zh) | 一种基于最大概率的认知无线电多径组播路由方法 | |
CN115460129B (zh) | 基于ospf协议的量子密钥分发路由方法 | |
CN106792971A (zh) | 基于蚁群算法的网络节点选择方法 | |
CN109962775B (zh) | 量子密码网络密钥生成控制方法 | |
Shial et al. | Finding a trusted and shortest path mechanism of routing protocol for mobile ad hoc network | |
CN105263121A (zh) | 一种机会车载网络中基于十字路口的路由方法 | |
Durai et al. | Fuzzy Interference System based Link Failure prediction in MANET | |
Hajjej et al. | Quality of services based routing using evolutionary algorithms for wireless sensor network | |
Sun et al. | Novel dynamic ant genetic algorithm for QoS routing in wireless mesh networks | |
Sbai et al. | A simulation analysis of MANET's link-spoofing and replay attacks with ns-3 | |
Miao et al. | Minimum Path Cost Multi-path Routing Algorithm with No Intersecting Links in Quantum Key Distribution Networks | |
Xuechao et al. | Design and realization of a novel multi-path load-balancing routing protocol in ad hoc network |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |