CN110247713B

CN110247713B - 一种基于量子密钥分发光网络的虚拟业务映射方法及装置

Info

Publication number: CN110247713B
Application number: CN201910341843.0A
Authority: CN
Inventors: 郁小松; 王妍; 赵永利; 李亚杰; 张�杰
Original assignee: Beijing University of Posts and Telecommunications
Current assignee: Beijing University of Posts and Telecommunications
Priority date: 2019-04-26
Filing date: 2019-04-26
Publication date: 2021-06-29
Anticipated expiration: 2039-04-26
Also published as: CN110247713A

Abstract

本发明公开了一种量子密钥分发光网络的虚拟业务映射方法及装置，该方法可以包括：基于接收到的针对虚拟业务的虚拟业务请求信息，对虚拟链路进行排序，得到虚拟链路的映射序列；确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合；基于ksp算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟路径的密钥中继路径；基于波长分配原则确定所述第i条虚拟链路的数据传输路径；令i＝i+1，执行所述确定所述第i条虚拟链路两端的虚拟节点可以映射的映射组合。本发明统筹节点映射和链路映射，在考虑了密钥资源的情况下能够保证虚拟业务的安全传输。

Description

一种基于量子密钥分发光网络的虚拟业务映射方法及装置

技术领域

本发明涉及网络通信技术领域，特别是指一种基于量子密钥分发光网络的虚拟业务映射方法及装置。

背景技术

云计算和高清视频流等高性能应用的出现，对光网络的带宽资源提出了更高的要求。不同的应用都有其独特的需求，网络运营商无法以应用为导向灵活配置光网络资源，因此产生了虚拟光网络(Virtual Optical Networks，VONs)，即根据用户业务的需求，将物理资源抽象化，可以在同一个底层物理网络上构建多个VON，使其共享物理网络基础设施中的带宽等物理资源。

在传统光网络中，可以根据基础设施用户或应用的需求构造VON。一个VON由若干个虚拟节点以及节点间相连的虚拟光路组成，每个虚拟节点都由于地理限制，而存在一个映射的区域范围。VON的构建是通过VON映射机制完成的，VON映射通常包括两个阶段，节点映射和链路映射。

现有技术一提出了启发式算法来解决VON映射问题，但在启发式算法中，节点映射和链路映射被完全分离开，先进行节点映射再进行链路映射，二者无法做到有机统一，影响了性能的提升。现有技术二中，节点映射的节点排序里考虑到了与节点相连的链路因素，但也仅限于节点附近局部的链路，并不能考虑到整个拓扑全局的链路因素。此外，传统光网络上主要是根据带宽资源构造VON，目的是在固定的物理基础设施上尽可能多地承载VON，提高资源利用率，但没有考虑到VON数据安全性能的需求。

另一方面，在信息网络安全问题广受关注的背景下，量子密钥分发(Quantum KeyDistribution，QKD)技术的出现使理论上的绝对安全变为了现实。在目前的量子密钥分发光网络中，QKD与经典光网络共纤传输，使物理网络上的资源增加了密钥资源。理论上密钥资源也可以像带宽资源一样，通过抽象化让多个VON共享物理网络的密钥资源。

现有技术三中提出了在量子光网络中构造安全型VON，使多个VON共享同一物理网络中计算、带宽以及密钥资源，但是节点映射和链路映射仍旧按照传统光网络的VON映射方法进行，密钥资源的映射放在节点映射和链路映射之后再考虑，这样可能会带来一些问题。图1为现有技术中量子光网络的VON映射示意图，如图1所示，物理节点之间的链路上的数字代表相邻节点之间的密钥量，假设两个虚拟节点之间的密钥量需求为20，且已经映射到图1中的源节点101和宿节点102上，根据带宽需求量如果选取路径2作为映射的物理链路，由于路径2上每段链路的密钥量只有10，因而无法满足源节点101和宿节点102间的密钥量需求20，这时就会导致映射失败。从而需要找一条更远的路径完成密钥中继，但这样又会带来较大的密钥资源浪费。

因此，现有技术中的映射无法做到带宽和密钥量的综合考量，可能会出现在满足了带宽需求后，却无法满足密钥资源需求的情况。先节点后链路的映射方案将节点映射和链路映射完全分离，没有办法做到有机统一，节点确定后可能因找不到一条合适的路径满足需求而导致映射失败。

发明内容

有鉴于此，本发明的目的在于提出一种量子密钥分发光网络的虚拟业务映射方法及装置。

基于上述目的本发明提供的一种基于量子密钥分发光网络的虚拟业务映射方法，包括：

基于接收到的针对虚拟业务的虚拟业务请求信息，对所述虚拟业务包含的虚拟链路进行排序，得到所述虚拟链路的映射序列；

确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合，1≦i≦I，I为所述虚拟链路的数量；

基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟路径的密钥中继路径；

基于波长分配原则从所述备选路径中确定所述第i条虚拟链路的数据传输路径；

令i＝i+1，执行所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合。

在一实施例中，所述基于接收到的针对虚拟业务的虚拟业务请求信息，对所述虚拟业务包含的虚拟链路进行排序，得到虚拟链路的映射序列，包括：

接收到虚拟业务请求信息，所述虚拟业务信息中携带有虚拟业务对应的源虚拟节点、宿虚拟节点、虚拟链路、带宽需求量、密钥需求量以及每个虚拟节点可以映射的物理节点的映射集合；

根据所述带宽需求量和所述密钥需求量确定各所述虚拟链路的序列评估值；

基于所述序列评估值从大到小的顺序对所述虚拟链路进行排序，得到所述虚拟链路的映射序列。

在一实施例中，所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合，包括：

判断所述第i条虚拟链路两端的虚拟节点是否已完成映射；

如果判断为否，基于所述虚拟业务请求信息，确定未映射的虚拟节点的映射集合；

基于所述映射集合确定所述第i条虚拟链路的映射组合；

如果判断为是，基于已映射的虚拟节点的映射集合确定所述第i条虚拟链路的映射组合。

所述基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟路径的密钥中继路径，包括：

基于k条最短路径算法对第i条虚拟链路对应的所述映射组合进行计算，得到Nk条备选路径，N为所述映射组合包含的组合数；

统计各所述备选路径上余量最小的密钥池的密钥余量，将所述密钥余量与所述密钥需求量进行比对，舍弃所述密钥余量小于所述密钥需求量的备选路径；

计算所述密钥余量大于所述密钥需求量的备选路径的密钥评估值；

基于所述密钥评估值确定所述第i条虚拟链路的密钥中继路径，并将所述虚拟链路两端的虚拟节点映射到所述密钥中继路径两端的物理节点上。

在一实施例中，所述基于波长分配原则从所述备选路径中确定数据传输路径，包括：

基于首次命中算法依次为所述第i条虚拟链路对应的所述备选路径分配波长；

判断是否有所述备选路径在满足波长分配条件的情况下分配波长成功，如果判断为是，则将分配波长成功的所述备选路径确定为数据传输路径，所述波长分配条件包括波长一致性和波长连续性。

基于上述目的本发明提供的一种基于量子密钥分发光网络的虚拟业务映射装置，包括：

排序模块，被配置为基于接收到的针对虚拟业务的虚拟业务请求信息，对所述虚拟业务包含的虚拟链路进行排序，得到所述虚拟链路的映射序列；

映射组合确定模块，被配置为确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合，1≦i≦I，I为所述虚拟链路的数量；

第一路径确定模块，被配置为基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟路径的密钥中继路径；

第二路径确定模块，被配置为基于波长分配原则从所述备选路径中确定数据传输路径；

循环模块，被配置为令i＝i+1，指示所述映射组合确定模块执行所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合。

在一实施例中，所述排序模块包括：

接收子模块，被配置为接收到虚拟业务请求信息，所述虚拟业务信息中携带有虚拟业务对应的源虚拟节点、宿虚拟节点、虚拟链路、带宽需求量、密钥需求量以及每个虚拟节点可以映射的物理节点的映射集合；

第一确定子模块，被配置为根据所述带宽需求量和所述密钥需求量确定各所述虚拟链路的序列评估值；

排序子模块，被配置为基于所述序列评估值从大到小的顺序对所述虚拟链路进行排序，得到所述虚拟链路的映射序列。

在一实施例中，所述映射组合确定模块包括：

第一判断子模块，被配置为判断所述第i条虚拟链路两端的虚拟节点是否已完成映射；

第二确定子模块，被配置为如果所述第一判断子模块判断为否，基于所述虚拟业务请求信息，确定未映射的虚拟节点的映射集合；

第三确定子模块，被配置为基于所述映射集合确定所述第i条虚拟链路的映射组合；

第四确定子模块，被配置为如果所述第一判断子模块判断为是，基于已映射的虚拟节点的映射集合确定所述第i条虚拟链路的映射组合。

在一实施例中，所述第一路径确定模块包括：

第一计算子模块，被配置为基于k条最短路径算法对第i条虚拟链路对应的所述映射组合进行计算，得到Nk条备选路径，N为所述映射组合包含的组合数；

比对子模块，被配置为统计各所述备选路径上余量最小的密钥池的密钥余量，将所述密钥余量与所述密钥需求量进行比对，舍弃所述密钥余量小于所述密钥需求量的备选路径；

第二计算子模块，被配置为计算所述密钥余量大于所述密钥需求量的备选路径的密钥评估值；

第五确定子模块，被配置为基于所述密钥评估值确定所述第i条虚拟链路的密钥中继路径，并将所述虚拟链路两端的虚拟节点映射到所述密钥中继路径两端的物理节点上。

在一实施例中，所述第二路径确定模块包括：

波长分配子模块，被配置为基于首次命中算法依次为所述第i条虚拟链路对应的所述备选路径分配波长；

第三判断子模块，被配置为判断是否有所述备选路径在满足波长分配条件的情况下分配波长成功，如果判断为是，则将分配波长成功的所述备选路径确定为数据传输路径，所述波长分配条件包括波长一致性和波长连续性。

从上面所述可以看出，本发明提供的量子密钥分发光网络的虚拟业务映射方法及装置，通过统筹节点映射和链路映射，综合带宽资源和密钥资源两方面因素，能够在节省资源的条件下完成虚拟业务在量子与经典共存光网络中的资源映射，提高VS映射的成功率。

附图说明

图1为现有技术中量子光网络的VON映射示意图；

图2为本发明实施例提供的虚拟业务示意图；

图3为本发明实施例提供的一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；

图4为本发明实施例提供的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；

图5为本发明实施例提供的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；

图6为本发明实施例提供的一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；

图7为本发明实施例提供的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；

图8为本发明实施例提供的基于量子密钥分发光网络的映射方法的场景图；

图9本发明实施例提供的量子密钥分发光网络的虚拟业务映射装置的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

需要说明的是，本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量，可见“第一”“第二”仅为了表述的方便，不应理解为对本发明实施例的限定，后续实施例对此不再一一说明。

图2为本发明实施例提供的虚拟业务示意图，如图2所示，物理网络包括物理节点和物理链路，物理节点包括光节点和量子节点。物理链路就是光纤链路，逻辑上区分为量子链路和光链路，量子链路包含量子信道和经典信道，用于量子密钥分发，光链路包含数据传输信道，用于业务数据传输。物理上量子信道、经典信道和数据传输信道利用波分复用技术(Wavelength Division Multiplexing，WDM)共享光纤链路的带宽资源。

由物理网络中的带宽资源抽象后构造出的VON记做VON_bandwidth，VON_bandwidth中虚拟节点之间有连接表示存在数据传输需求。由物理网络中的密钥资源抽象后构造出的VON记做VON_QKD，VON_QKD中虚拟节点之间有连接表示存在密钥加密需求。一个完整的虚拟业务VS既包括带宽资源需求，又包括密钥资源需求，即VS＝VON_bandwidth+VON_QKD。如图2所示，虚拟业务VS中加阴影的虚拟链路表示两个虚拟节点之间既有密钥需求又有数据传输需求，无阴影的虚拟链路表示两个虚拟节点之间只有数据传输需求。可以看出，一个VS拓扑并不是所有虚拟链路都必须包含密钥需求，即VON_bandwidth和VON_QKD拓扑可以不一致，但是本发明仅考虑VON_bandwidth和VON_QKD拓扑一致的情况。即每条虚拟链路既有安全需求又有数据传输需求的情况。

本发明设定物理网络逻辑上分为量子密钥分发网络和数据光网络，量子密钥分发网络与数据光网络拓扑一致。在量子密钥分发网络中，设定有直连链路的相邻节点对之间存在密钥池，密钥池以一定的密钥生成速率源源不断产生密钥，并存入量子密钥池中；没有直连链路，即不直连的节点对之间必须通过中继节点才能生成共享的密钥。

本申请设定不直连的节点对之间有业务需求时，才生成端到端的密钥。有业务到达时，源节点和宿节点之间的密钥中继路径和数据传输路径可以不一致。每个VS由若干个虚拟节点v_i、以及虚拟节点之间的虚拟链路

组成，每个虚拟节点至少与一个其他的虚拟节点相连，保证不存在孤立节点的情况。每个虚拟节点v_i都有一个映射的集合D_i，D_i中包含若干个物理节点，表明v_i可以映射到D_i中的某一个物理节点上，其物理意义相当于一个因地理限制存在一个对应物理节点的映射范围。

图3是本发明实施例提供的一种基于量子密钥分发光网络的虚拟业务映射方法的流程图，如图3所示，该方法包括以下步骤：

步骤100、基于接收到的虚拟业务请求信息，对虚拟业务包含的虚拟链路进行排序，得到虚拟链路的映射序列。

步骤200、对于映射序列中的第i条虚拟链路，确定该虚拟链路两端的虚拟节点可以映射的物理节点的映射组合。

其中，1≦i≦I，I为所述虚拟链路的数量。

步骤300、基于k条最短路径算法对映射组合进行计算，确定备选路径，基于备选路径确定第i条虚拟链路的密钥中继路径。

步骤400、基于波长分配原则从备选路径中确定第i条虚拟链路的数据传输路径。

步骤500、令i＝i+1，执行步骤200。

通过以上步骤，如果虚拟业务的所有虚拟链路都映射成功，那么该虚拟业务映射成功，否则映射失败。

具体而言，两个虚拟节点之间有一条虚拟链路，表示这两个虚拟节点之间有密钥量需求和带宽需求，假设密钥量为m，带宽需求即需要多少个波长，假设需要n个波长，波长用于承载数据传输。

映射是为了在底层物理网络上找到可以为虚拟节点提供资源的物理节点，在这两个物理节点之间选一条密钥中继路径，并生成这两个物理节点能够共享的m个密钥，用这m个密钥给业务加密后，再选一条数据传输路径分配n个波长，用来传输加密后的数据。因此，步骤300所确定的密钥中继路径和步骤400所确定的数据传输路径的源宿节点是相同的，只要映射一次就够了。

本发明提供的基于量子密钥分发光网络的虚拟业务映射方法，综合考虑带宽资源和密钥资源两方面的因素，通过统筹节点映射和链路映射，在节省资源的前提下完成虚拟业务在量子与经典共存光网络中的资源映射，提高虚拟业务映射的成功率。

图4是本发明实施例示出的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；本实施例利用本公开实施例提供的上述方法，以如何确定虚拟链路的映射序列为例进行示例性说明，如图4所示，包括如下步骤101-103：

步骤101、接收到虚拟业务请求信息。

本实施例中，当有虚拟业务到达网络中时，位于控制层的控制器会接收到虚拟业务请求信息。虚拟业务请求信息中包括带宽需求量和密钥需求量，代表虚拟业务对带宽的需求量和对密钥的需求量。此外虚拟业务请求信息中还包括源节点宿节点对和多条虚拟链路的信息，表示虚拟业务中包含的多对源节点宿节点和多条链路。

步骤102、根据带宽需求量和密钥需求量确定每条虚拟链路的虚拟链路序列评估值。

本实施例中，综合带宽资源和密钥资源两种因素来确定每条虚拟链路的虚拟链路序列评估值(Virtual Link Sequence Evaluation，VLSE)，VLSE的计算如式(1)所示。

其中，带宽值

表示虚拟节点i和虚拟节点j之间所需的带宽值，即带宽需求信息，密钥量

表示虚拟节点i和虚拟节点j之间所需的密钥量，即密钥需求信息，α表示带宽值的权重调节因子，β表示密钥量的权重调节因子，二者取值都在[0，1]，且α+β＝1，若α>β，即带宽需求比重大于密钥需求比重，则表示在虚拟链路排序时需要优先考虑带宽需求；若α<β，即带宽需求比重小于密钥需求比重，则表示在虚拟链路排序时需要优先考虑密钥需求。带宽需求量和密钥需求量都进行归一化处理。

步骤103、把虚拟链路按照VLSE的值从大到小的顺序进行排序，得到虚拟链路的映射序列。

本实施例中，通过计算综合考虑了带宽因素和密钥因素的VLSE，来确定虚拟链路的映射排序，相较于现有技术中只考虑带宽需求的方案，能更加全面地对虚拟链路排序进行评估。同时，设置α和β分别作为带宽需求量和密钥需求量权重的调节因子，可以动态灵活调节密钥需求和带宽需求所占的比重，可以根据虚拟业务所需安全级别的实际情况，调整α和β的比例，从而控制加密需求对虚拟链路排序的影响程度。

图5是本发明实施例示出的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；本实施例利用本公开实施例提供的上述方法，以如何确定每条虚拟链路两端虚拟节点可以映射的物理节点的映射组合为例进行示例性说明，如图5所示，包括如下步骤201-203：

步骤201、判断映射序列里的第i条虚拟链路两端的虚拟节点是否都已完成映射，如果判断为否，则执行步骤202；如果判断为是，则执行步骤203；其中，1≦i≦I，I为映射序列里的虚拟链路的数量。

本实施例中，假设虚拟业务为三角形拓扑结构，包含互连为三角形的三个虚拟节点A、B和C，虚拟链路为AB、BC和AC。假设三条虚拟链路的映射序列是AC、BC和AB，那么当i＝1时，要进行映射的虚拟链路为AC，虚拟节点A和虚拟节点C都未经过映射，需要执行步骤202。

步骤202、确定未完成映射的虚拟节点的映射集合，基于映射集合确定与虚拟链路对应的映射组合。

接上述三角形拓扑结构的虚拟业务的示例，i＝1时，虚拟链路为AC，需要确定源节点A和宿节点C的映射组合，映射组合根据映射集合来确定，映射集合可以理解为能够为该虚拟节点提供传输资源的物理节点的集合，虚拟节点的映射集合可以从虚拟业务请求信息中得到。映射组合包括映射集合的所有排列组合。假设1、2、3、4代表物理网络上的4个物理节点，通过虚拟业务请求信息可以确定A的映射集合是{1，2}，C的映射集合是{3。4}，本步骤中需要把虚拟链路AC映射到物理网络中，对应的，映射组合＝{(源物理节点，宿物理节点)}，那么虚拟链路AC对应的映射组合＝{(1,3)，(1,4)，(2,3)，(2,4)}。

当i>1时，对应的虚拟链路中可能有一个虚拟节点已完成映射，例如对于i＝2时，映射序列中的虚拟链路为BC，这种情况下虚拟节点C已完成映射，那么需要获取虚拟节点B的映射集合，并将虚拟节点B的映射集合和虚拟节点C映射的物理节点的所有排列组合存入到虚拟链路BC对应的映射组合中。

假设虚拟节点C的映射集合是{1,2}，虚拟节点B的映射集合是{3,4}，C点已经确定映射到节点1上，那存入虚拟链路BC对应的映射组合是{(3,1)，(4,1)},并不是需要C点映射集合中的所有节点。

步骤203、基于已完成映射的虚拟节点的映射集合确定映射组合。

接上述示例，在虚拟链路AB映射完毕后，对虚拟链路BC进行映射时，虚拟节点B已经完成映射，仅对虚拟节点C进行映射就可以了。虚拟链路BC对应的映射组合中包括虚拟节点B映射的物理节点和虚拟节点C的映射集合的所有排列组合。

当i＝3时，对虚拟链路AB进行映射时，由于虚拟节点A和B都已经完成映射，直接将虚拟节点A映射的物理节点和虚拟节点B映射的物理节点的所有排列组合都存入虚拟链路AB对应的映射组合中。

通过上述步骤，得到第i条虚拟链路的源节点和宿节点的映射组合，假设该映射组合中包括N个组合，例如对于虚拟链路AC，对应的映射组合＝{(1,3)，(1,4)，(2,3)，(2,4)}，N＝4。

图6是本发明实施例示出的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；本实施例利用本公开实施例提供的上述方法，以如何确定虚拟链路的密钥中继路径为例进行示例性说明，如图6所示，包括如下步骤301-303：

步骤301、基于k条最短路径算法对第i条虚拟链路对应的每个组合进行计算，每个组合得到k条备选路径，总共得到Nk条备选路径。

本申请设定的是一对源宿节点之间的密钥中继路径和数据传输路径可以不一致，因此本申请将两种路径分开考虑。由于满足安全需求是更为重要的，所以优先考虑密钥中继路径。对映射组合中的每个组合采用k条最短路径算法(Top-K-Shortest Paths，KSP)算法进行计算能够得到k条备选路径，由于上一步骤200中得到了N个组合，因而本步骤中共得到Nk条路径。

最短径是指两个虚拟节点之间距离最短的路径，在实际情况中，在希望得到最优的决策参考时，通常还希望得到次优、再次优等决策参考，而KSP就是用于将最短路径问题予以扩展和延伸，称为k条最短路径问题，不但要求得到最短径，还要求得次短径、再短径等路径。

KSP算法可分为两部分，算出第1条最短路径P(1)，然后在此基础上依次算出其他的k-1条最短路径。在求P(i+1)时，将P(i)上除了终止节点外的所有节点都视为偏离节点，并计算每个偏离节点到终止节点的最短路径，再与之前的P(i)上起始节点到偏离节点的路径进行拼接，构成候选路径，进而求得最短路径。

步骤302、统计各条备选路径上余量最小的密钥池的密钥余量，并将密钥余量与虚拟链路的密钥需求量进行对比，舍弃密钥余量小于密钥需求量的备选路径。

对于Nk条备选路径，每一条备选路径上都有多条链路，即存在多个密钥池，路径的密钥提供能力由这条路径上余量最小的密钥池所决定。本实施例中可以通过控制器获取密钥池的余量，将余量最小的密钥池的密钥量(称为密钥余量)记做key_min，将虚拟链路的密钥需求量记做key_demand，将二者进行比对，并舍弃掉key_min小于key_demand的备选路径。

步骤303、判断是否存在密钥余量大于密钥需求量的备选路径，如果判断为否，说明没有一条备选路径可以满足业务的密钥量需求，则虚拟业务映射失败；如果判断为是，执行步骤304。

步骤304、计算该备选路径的密钥评估值(Path Key Evaluation，PKE)，计算公式如式(2)所示。

其中，hops表示该路径的跳数。

步骤305、选择PKE值最大的备选路径作为该虚拟链路映射的密钥中继路径。

本实施例中，优先选择跳数少、承载密钥需求之后密钥余量多的备选路径进行密钥中继。

步骤306、将虚拟链路两端的源宿虚拟节点映射到密钥中继路径两端的源宿物理节点上。

本实施例中，通过PKE来确定密钥中继路径，PKE算法综合了跳数和承载业务后密钥池剩余密钥量两方面的因素，优先选择跳数少、承载密钥需求后剩余密钥量多的路径进行密钥中继。相较于带宽资源，密钥资源比较稀少的方案，跳数越少，整个密钥中继过程中消耗的总密钥量就越少，可以减少密钥资源的过度损耗，提高密钥资源利用率；承载密钥需求后剩余密钥量越多，就更有能力承载后续更多的业务，保证了密钥池的负载均衡。

图7是本发明实施例示出的另一种基于量子密钥分发光网络的虚拟业务映射方法的流程图；本实施例利用本公开实施例提供的上述方法，以如何确定虚拟链路的数据传输路径为例进行示例性说明，如图7所示，包括如下步骤401-403：

步骤401、采用首次命中算法，依次为第i条虚拟链路对应的k条备选路径分配波长。

具体而言，密钥中继路径和数据传输路径不一定一致，中间经过的节点可能不同，但是两条路径的源宿节点是相同的。准备确定数据传输路径的时候，密钥中继路径已经确定，虚拟节点的映射已经完成，也就是说已经确定了源宿物理节点是哪两个节点，接下来需要在这对源宿物理节点之间通过ksp算法得到k条路径，然后在这k条路径中选出数据传输路径。

具体而言，一条路径包含多条链路，一条链路包含多个波长，例如在WDM网络中，一条链路上包含40个波长，可以对链路上的波长进行标号，所以每个波长都有自己的序号。

对于一个虚拟业务，波长分配必须满足的两个原则(波长分配原则)：波长一致性和波长连续性。波长一致性是指同一路径上多条链路选择的波长的位置是一致的，比如第一段链路选择的波长是2号和3号波长，那么第二段、第三段…第n段链路也需要选择2号和3号波长；波长连续性是指如果需要3个波长，那这3个波长的序号必须是连续的。

首次命中(First Fit，FF)算法是指在指定路由上搜寻可用波长，即还没有被业务占用的波长时，在满足以上两个波长分配原则的条件下，优先选择波长最小的波长进行分配。

步骤402、判断是否有路径波长分配成功，如果判断为是，执行步骤403；如果判断为否，则虚拟业务映射失败。

步骤403、把波长分配成功的这条路径确定为数据传输路径。

在一实施例中，分配成功的因素包括上述两个原则。例如某个业务需要2个波长，对于一条路径，如果能找到两个连续的空闲波长，而且该路径上所有链路上同一位置的这两个波长都没有被占用，那么就可以在这条路径上为业务分配这两个波长，这种情况下波长分配成功。

本实施例中，采用首次命中算法来分配波长，有利于提高波长分配的成功率，基于波长分配原则来确定数据传输路径，能够最大程度地保证数据传输路径映射成功，减少虚拟业务因波长分配不成功而阻塞的几率，从而提高虚拟业务的映射成功率。

图8为本发明实施例提供的基于量子密钥分发光网络的映射方法的场景图，如图8所示，虚拟业务的拓扑由A、B和C三个虚拟节点以及节点间的虚拟链路AB、BC和AC组成，因地理限制，每个虚拟节点都存在一个映射范围约束，这里假设虚拟节点A的映射集合D_A为{A1，A2}，B的映射集合D_B为{B1，B2}，C的映射集合D_C为{C1,C2}。虚拟节点v_i和v_j之间的带宽和密钥量需求以

的形式标识在对应的虚拟链路上，物理节点之间也以同样的形式将链路的带宽量和密钥量标识在对应的物理链路上。

根据本发明提供的映射方法，可以通过下述步骤执行映射过程：

步骤501、对虚拟链路进行排序，得到映射序列。

假设α和β均取值0.5，表示排序时同等程度考虑带宽需求和密钥需求，对于图8中的三条虚拟链路，按照式(1)计算每条虚拟链路的VLSE，得VLSE_AB＝0.25，VLSE_BC＝0.28，VLSE_AC＝0.47。因此虚拟链路的映射序列为AC，BC和AB。

步骤502、对于第一条虚拟链路AC，A和C两个节点都没有映射，遍历D_A和D_C，得到源宿节点AC的映射组合为{(A1,C1),(A1,C2),(A2,C1),(A2,C2)}。

步骤503、用KSP算法对虚拟链路AC对应的4个组合进行计算，得到k条路径。

为了简化说明，取k＝1，那么Nk＝4，虚拟节点A与C之间的密钥量需求key_demand＝30，并查询各组合对应的路径的密钥余量，得到结果如表1所示。

表1虚拟链路AC的密钥中继路径选择表

由表1的结果看出，路径4的密钥余量小于密钥需求量，不能够承载业务，序号1-3的路径都可以承载虚拟链路AC的密钥需求。

步骤504、计算三条路径的PKE，根据PKE的大小选择密钥中继路径。

选择路径3，即将虚拟节点A映射到物理节点A2，将虚拟节点C映射到物理节点C1，那么密钥中继路径就是A2-C1，相当于直接从物理节点A2和物理节点C1的密钥池中提取密钥。

路径2的PKE＝0，说明若选择路径2承载业务，路径2中余量最小的密钥池将耗尽密钥，这样会影响后序业务的承载。路径1的PKE虽然大于0，但是经过的跳数多，相比路径3，路径1承载业务需要消耗更多的密钥资源，会造成密钥资源的浪费。因此通过比较，确定路径3是最佳密钥中继路径。

步骤505、确定数据传输路径。

在路径A2-C1中分配波长，波长分配成功，将虚拟链路AC的数据传输路径映射到路径A2-C1上，虚拟链路AC映射成功。

循环下一条虚拟链路BC，其中C已映射，遍历D_B，得到BC的源宿节点映射组合为{(B1,C1),(B2,C1)}，按照上述方法计算得到虚拟节点B可以映射到物理节点B2，密钥中继路径和数据传输路径都选择B2-C1，直接从物理节点B2和C1的密钥池中提取密钥。

同理循环最后一条虚拟链路AB，由于虚拟节点A与B映射的节点都已确定，计算得到密钥中继路径和数据传输路径都选择A2-B1-B2，通过A2-B1-B2密钥中继获取密钥。

所有虚拟链路都映射成功，则虚拟业务成功。

在现有技术一和二中，VON映射先把所有虚拟节点映射到底层实际的物理节点上，然后在物理节点确定的前提下再选路完成链路映射，这个过程没有考虑密钥资源，没有考虑业务的安全需求。在现有技术三中，任意节点之间都部署有密钥池，并且VON映射是首先确定节点映射，然后进行数据传输的链路映射，最后判断选出的数据传输路径的源宿节点之间密钥池的密钥资源能不能满足需求，如果密钥资源能满足需求，则映射成功，否则映射失败。也就是说现有技术三中先考虑带宽资源，再考虑密钥资源，两者是分开考虑的。

本发明的量子密钥分发光网络中，在链路排序阶段就综合考虑了带宽资源和密钥资源两种因素，从而可以满足虚拟业务的安全传输需求，即可以保障虚拟业务的安全传输，并提高映射的成功率。区别于现有技术，本发明并不是将节点映射作为第一步来完成的，而是在虚拟节点要映射哪个物理节点不确定的情况下，遍历源宿虚拟节点可以映射的物理节点的映射组合，得到Nk条备选路径，从这些备选路径中选出最优的密钥中继路径，也就是完成密钥中继路径的映射。密钥中继路径确定了，那这条密钥中继路径的源宿物理节点就确定了，源宿虚拟节点就对应映射到了这对源宿物理节点上。即节点映射和密钥中继路径映射是同时完成的，从而体现了统筹节点映射和链路映射的思想，同时也避免出现现有技术三中先把节点确定好了之后，在密钥中继路径映射的时候发现这对源宿物理节点之间密钥资源不够满足业务需求，而导致映射失败的情况。另外现有技术三中设定任意节点之间都部署有密钥池，这样建设成本就比较高，而且映射过程中忽略密钥的中继过程，只看中继完成之后源宿节点对之间密钥池的密钥量够不够用。而本发明考虑了成本节省的问题，只在相邻节点之间部署密钥池，不直连的节点需要考虑密钥中继这个过程，从而可以做到节约成本，更符合实际需求。

图9为本发明实施例提供的量子密钥分发光网络的虚拟业务映射装置的结构示意图，如图9所示，该装置可以包括：排序模块110、映射组合确定模块120、第一路径确定模块130、第二路径确定模块140以及循环模块150。

排序模块110，被配置为基于接收到的针对虚拟业务的虚拟业务请求信息，对所述虚拟业务包含的虚拟链路进行排序，得到所述虚拟链路的映射序列；

映射组合确定模块120，被配置为确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合，1≦i≦I，I为所述虚拟链路的数量；

第一路径确定模块130，被配置为基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟路径的密钥中继路径；

第二路径确定模块140，被配置为基于波长分配原则从所述备选路径中确定数据传输路径；

循环模块150，被配置为令i＝i+1，指示所述映射组合确定模块执行所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合。

在一实施例中，排序模块110可以包括：

在一实施例中，映射组合确定模块120可以包括：

在一实施例中，第一路径确定模块130可以包括：

在一实施例中，排序模块140可以包括：

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims

1.一种量子密钥分发光网络的虚拟业务映射方法，其特征在于，包括：

基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟链路的密钥中继路径；

令i＝i+1，执行所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合；

所述基于接收到的针对虚拟业务的虚拟业务请求信息，对所述虚拟业务包含的虚拟链路进行排序，得到虚拟链路的映射序列，包括：

接收到虚拟业务请求信息，所述虚拟业务请求信息中携带有虚拟业务对应的源虚拟节点、宿虚拟节点、虚拟链路、带宽需求量、密钥需求量以及每个虚拟节点可以映射的物理节点的映射集合；

2.根据权利要求1所述的方法，其特征在于，所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合，包括：

判断所述第i条虚拟链路两端的虚拟节点是否已完成映射；

基于所述映射集合确定所述第i条虚拟链路的映射组合；

3.根据权利要求2所述的方法，其特征在于，所述基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟链路的密钥中继路径，包括：

4.根据权利要求3所述的方法，其特征在于，所述基于波长分配原则从所述备选路径中确定数据传输路径，包括：

5.一种量子密钥分发光网络的虚拟业务映射装置，其特征在于，包括：

第一路径确定模块，被配置为基于k条最短路径算法对所述映射组合进行计算，确定备选路径，基于所述备选路径确定所述第i条虚拟链路的密钥中继路径；

循环模块，被配置为令i＝i+1，指示所述映射组合确定模块执行所述确定所述映射序列中的第i条虚拟链路两端的虚拟节点可以映射的物理节点的映射组合；

所述排序模块包括：

接收子模块，被配置为接收到虚拟业务请求信息，所述虚拟业务请求信息中携带有虚拟业务对应的源虚拟节点、宿虚拟节点、虚拟链路、带宽需求量、密钥需求量以及每个虚拟节点可以映射的物理节点的映射集合；

6.根据权利要求5所述的装置，其特征在于，所述映射组合确定模块包括：

7.根据权利要求6所述的装置，其特征在于，所述第一路径确定模块包括：

8.根据权利要求7所述的装置，其特征在于，所述第二路径确定模块包括：