CN110365476B - 基于sdn的qkd网络及其密钥的调度管理方法 - Google Patents
基于sdn的qkd网络及其密钥的调度管理方法 Download PDFInfo
- Publication number
- CN110365476B CN110365476B CN201910585172.2A CN201910585172A CN110365476B CN 110365476 B CN110365476 B CN 110365476B CN 201910585172 A CN201910585172 A CN 201910585172A CN 110365476 B CN110365476 B CN 110365476B
- Authority
- CN
- China
- Prior art keywords
- key
- node
- qkd
- pool
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Abstract
本发明公开了一种基于SDN的QKD网络及其密钥的调度管理方法,所述方法包括:设置于量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向控制层中的控制器发送密钥补充请求;所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的密钥调整到与所述密钥待补充节点对应的子密钥池中。应用本发明一方面可以保证加密业务需求量大的QKD节点预留足够的密钥,避免加密信息的发送延迟;另一方面还可以提高已产生的密钥的利用率。
Description
技术领域
本发明涉及网络传输领域,特别是指一种基于SDN的QKD网络及其密钥的调度管理方法。
背景技术
量子密钥分发(Quantum Key Distribution,QKD)技术是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密消息,不依赖于对计算复杂度的要求和假设,具有理论上无条件安全的优势。量子不可克隆定理可以保证,无法完美克隆任意量子态。任何对量子密钥分发过程的窃听,都有可能改变量子态本身,造成高误码率,从而使窃听被发现。从最初的基于离散变量单光子诱骗态调制的BB84量子密钥分发协议,到相位分布式参考协议中的DPS协议和COW协议,再到连续变量QKD协议等,QKD技术不断地在理论和实验上取得进展,并向实用化迈进。
软件定义网络(Software Defined Network,SDN)具有非常强大的管理和控制功能,能够更好地掌控网络中的密钥资源的信息,以可编程的方式来实现灵活复杂的网络管理功能,SDN和QKD网络结合起来,具有能够更好地实现密钥资源与业务需求的相匹配,更好的处理链路故障等优势。
基于SDN的QKD网络(即软件定义量子密钥分发网络)架构分为四层模型:应用层,控制层,密钥层和量子层。(1)应用层主要是完成用户意图的各种加密应用程序(2)控制层是系统的控制中心,主要完成的任务有:密钥管理的访问控制和用户网络的密钥供应(QKD设备认证,用户认证,访问权限管理);协调用户网络之间的关键请求并控制用户网络之间的通信;提供关键中继路由,包括在需要密钥的两个应用端点之间重新路由;如果发生故障或窃听案件,可以重新配置量子链路。(3)密钥层负责密钥管理和密钥供应。(4)量子层负责量子密钥分发。
在软件定义量子密钥分发网络中,控制层中的控制器与量子层中的QKD节点可以利用两者之间的密钥池提供的密钥进行信息的加密通信,而任何对量子密钥分发过程的窃听,都有可能改变量子态本身,造成高误码率,从而使得量子加密的信息不能被破解;通常,为保证QKD节点的信息可以及时发送至控制器,QKD节点会预留若干个密钥,而不用在需要发送信息时,临时与控制器进行量子密钥协商来产生密钥。
然而,本发明的发明人发现,在实际应用中,现有的软件定义量子密钥分发网络一方面有的QKD节点仍存在预留密钥都使用完后无法及时向控制器发送信息的情况,另一方面有的QKD节点中的预留密钥则长时间得不到利用,存在密钥利用率低的问题。
发明内容
本发明提出了一种基于SDN的QKD网络及其密钥的调度管理方法,一方面可以保证加密业务需求量大的QKD节点预留足够的密钥,避免加密信息的发送延迟;另一方面还可以提高已产生的密钥的利用率。
基于上述目的,本发明提供一种基于SDN的QKD网络中密钥的调度管理方法,包括:
设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向所述网络的控制层中的控制器发送密钥补充请求;
所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点;
所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
其中,所述从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,具体为:
所述控制器对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点;
其中,所述密钥池的密钥充足阈值等于所述密钥池的容量上限与系数a的乘积,其中,设置的系数a的范围为0~1之间。
其中,所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,具体包括:
所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池的密钥数量达到容量上限,或者所有被调度节点的密钥池的密钥数量降到本地密钥池的密钥充足阈值。
进一步,在所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点后,还包括:
若所述控制器判断所述密钥待补充节点的密钥池的密钥的数量小于所述密钥池的容量上限,且所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则:
所述控制器与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
本发明还提供一种基于SDN的QKD网络,包括:
所述量子层中的QKD节点用于在本地密钥池中的密钥的数量降到容量下限时,向所述控制层中的控制器发送密钥补充请求;
所述控制层中的控制器用于接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点;并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
进一步,所述控制层中的控制器还用于在通知所述被调度节点调度密钥至所述密钥待补充节点后,若判断所述密钥待补充节点的密钥池的密钥的数量小于所述密钥池的容量上限,且所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
进一步,所述QKD节点还用于周期性检测加密业务量;并根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限;
其中,n是大于等于1的自然数。
本发明的技术方案中,设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向所述网络的控制层中的控制器发送密钥补充请求;所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点;所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
这样,通过控制器将密钥池的密钥剩余量充足的其它QKD节点中的密钥调度到密钥池的密钥数量降到容量下限的QKD节点,且周期性调整每个QKD节点的密钥池的容量上、下限,达到动态调整QKD节点的密钥池的容量的目的,以避免加密业务量少的QKD节点配置较多密钥,而加密业务量多的QKD节点配置的密钥数量不足的情况,从而,一方面通过动态调整的密钥池的容量上限保证加密业务量多的QKD节点有足够的密钥可以及时进行加密业务,而且在密钥数量降到容量下限时,可及时从其它密钥剩余量充足的QKD节点中调度密钥进一步保证及时进行加密业务;另一方面,其它密钥剩余量充足的QKD节点中长时间未利用的密钥可以调度给加密业务量多的QKD节点,从整体上提高密钥的利用率,避免加密业务量少的QKD节点占用过多密钥。
附图说明
图1为现有技术的基于SDN的QKD网络架构示意图;
图2为本发明实施例提供的一种基于SDN的QKD网络的内部结构示意图;
图3为本发明实施例提供的一种基于SDN的QKD网络中密钥的调度管理方法流程图;
图4为本发明实施例提供的一种QKD节点的密钥池中的密钥的补充方法流程图;
图5分别为本发明实施例提供的另一种基于SDN的QKD网络中密钥的调度管理方法流程图;
图6为本发明实施例提供的QKD节点的密钥池的容量上、下限进行动态调整、周期性更新的方法流程图;
图7为本发明实施例提供的一种基于SDN的QKD网络中业务请求的发送方法的流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明的技术方案中,设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向所述网络的控制层中的控制器发送密钥补充请求;所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点;所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
这样,通过控制器将密钥池的密钥剩余量充足的其它QKD节点中的密钥调度到密钥池的密钥数量降到容量下限的QKD节点,且周期性调整每个QKD节点的密钥池的容量上、下限,达到动态调整QKD节点的密钥池的容量的目的,以避免加密业务量少的QKD节点配置较多密钥,而加密业务量多的QKD节点配置的密钥数量不足的情况,从而,一方面通过动态调整的密钥池的容量上限保证加密业务量多的QKD节点有足够的密钥可以及时进行加密业务,而且在密钥数量降到容量下限时,可及时从其它密钥剩余量充足的QKD节点中调度密钥进一步保证及时进行加密业务;另一方面,其它密钥剩余量充足的QKD节点中长时间未利用的密钥可以调度给加密业务量多的QKD节点,从整体上提高密钥的利用率,避免加密业务量少的QKD节点占用过多密钥。
下面结合附图详细说明本发明实施例的技术方案。
本发明实施例提供的一种基于SDN的QKD网络,架构如图2所示,具体包括:量子层212和控制层213。
其中,量子层212中的每个QKD节点202中设置有一个密钥池,在控制层213的控制器203中设置有一个本地的总密钥池,总密钥池中包括多个子密钥池分别与各QKD节点202的密钥池对应,例如,图2中各QKD节点的密钥池1、2、3、4分别与控制器203的总密钥池中的子密钥池1′、2′、3′、4′对应。也就是说,QKD节点202的密钥池中的密钥,与控制器203总密钥池中对应的子密钥池中的密钥是互为加、解密密钥。而每个QKD节点的密钥池中的密钥数量可以动态管理,以保证每次有加密业务时,QKD节点的密钥池中有可用密钥,以避免加密业务的延迟。
具体地,量子层212中的QKD节点202用于在本地密钥池的密钥数量降到容量下限时,向所述控制层213中的控制器203发送密钥补充请求;
所述控制层213中的控制器203用于接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点;并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
这样,通过控制器203将密钥池的密钥剩余量充足的其它QKD节点中的密钥调度到密钥池的密钥数量降到容量下限的QKD节点,且周期性调整每个QKD节点的密钥池的容量上、下限,达到动态调整QKD节点202的密钥池的容量的目的,以避免加密业务量少的QKD节点202配置较多密钥,而加密业务量多的QKD节点202配置的密钥数量不足的情况,从而,一方面通过动态调整的密钥池的容量上限保证加密业务量多的QKD节点202有足够的密钥可以及时进行加密业务,而且在密钥数量降到容量下限时,可及时从其它密钥剩余量充足的QKD节点中调度密钥进一步保证及时进行加密业务;另一方面,其它密钥剩余量充足的QKD节点中长时间未利用的密钥可以调度给加密业务量多的QKD节点,从整体上提高密钥的利用率,避免加密业务量少的QKD节点202占用过多密钥。
更优地,控制层213中的控制器203还可在通知所述被调度节点调度密钥至所述密钥待补充节点后,若判断所述密钥待补充节点的密钥池的密钥的数量小于所述密钥池的容量上限,且所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
量子层212中的QKD节点202还可周期性检测加密业务量;并根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限;其中,n是大于等于1的自然数。
进一步,本发明实施例提供的一种基于SDN的QKD网络的架构中还可包括:应用层211。
其中,应用层211中的应用201用于将业务请求发送至本地局域网的量子层212中的QKD节点202。具体地,所述业务请求可以是量子密钥分发(QKD)业务请求;也就是说,应用201可以将量子密钥分发(QKD)业务请求通过本地局域网发送至本地的QKD节点202。
量子层212中的QKD节点202用于接收到应用201发送的业务请求后,将所述业务请求进行量子加密后发送至控制层213中的控制器203。即QKD节点202利用预先存储的、通过量子密钥分发得到的密钥,采用对称加密机制(例如AES)来加密所述业务请求。
控制层213中的控制器203用于对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。即控制器203利用预先存储的、量子密钥分发得到的密钥对接收的业务请求进行解密后,根据接收的业务请求执行相应业务。具体地,控制器203对接收的业务请求进行量子解密后,若接收的是QKD业务请求,则根据接收的QKD业务请求,执行量子密钥分发业务。
这样,应用层的业务请求先经过安全的本地局域网到达本地QKD节点,进而本地QKD节点以量子加密的方式将业务请求发送至控制层的控制器;相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,避免了以传统的密钥分发机制加密的业务请求在经过互联网传输时被破解的风险,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
基于上述的基于SDN的QKD网络,本发明实施例提供的一种密钥的调度管理方法中,在周期性更新QKD节点202的密钥池的容量上、下限的基础上,可以采用密钥调度的方式为QKD节点202及时补充密钥,一方面可以保证加密业务需求量大的QKD节点预留足够的密钥,避免加密信息的发送延迟;另一方面还可以提高已产生的密钥的利用率,具体流程如图3所示,包括如下步骤:
步骤S301:当QKD节点202检测到密钥池的密钥数量降到所述密钥池的容量下限时,向控制器203发送密钥补充请求。
步骤S302:控制器203接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点。
具体地,控制器203接收到所述密钥补充请求后,对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点。其中,密钥池的密钥充足阈值可以是由所述密钥池的容量上限决定;比如,密钥池的密钥充足阈值=a×密钥池的容量上限;其中,系数a的取值范围为0~1之间,可由本领域技术人员根据经验设置。比如,可以设置密钥池的密钥充足阈值等于密钥池的容量上限,或者设置密钥池的密钥充足阈值等于密钥池的容量上限的一半或3/4。
较佳地,每个QKD节点的密钥池的容量上限和容量下限是周期性根据本节点的加密业务量更新的;后续将详细介绍QKD节点202的密钥池的容量上、下限的动态调整、周期性更新的方法。
步骤S303:控制器203通知所述被调度节点调度密钥至所述密钥待补充节点。
本步骤中,控制器203通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池的密钥数量达到容量上限;若所述被调度节点与所述密钥待补充节点直接相连,则所述被调度节点根据通知以点对点的方式将密钥传递给所述密钥待补充节点;否则,所述被调度节点根据通知以端对端的方式通过OTP(One-time Password,一次性口令)加密方式经可信中继节点将密钥传递给所述密钥待补充节点。例如,如图2所示的网络结构中,QKD节点3的密钥池3向QKD节点1的密钥池1补充密钥时,以OTP加密方式经过可信中继(QKD节点2或QKD节点4)进行传输。
此外,本步骤中控制器203还在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中。
QKD节点202的密钥池中的密钥的另一种补充方式,可以是QKD节点202与控制器203之间进行协商产生新的密钥进行补充,具体流程如图4所示,包括如下步骤:
步骤S401:当QKD节点202检测到密钥池的密钥数量降到容量下限时,向控制器203发送密钥补充请求。
步骤S402:控制器203接收到所述密钥补充请求后,与QKD节点202通过量子密钥分发产生新的密钥,直到QKD节点202密钥池中的密钥的数量恢复到所述密钥池的容量上限。
第一种密钥的补充方式的优点在于,一方面由于调度密钥的过程比协商产生新的密钥的过程简单,用时较短,因此可以达到快速补充QKD节点202密钥池中的密钥的目的;另一方面,密钥剩余量充足的其它QKD节点中得不到利用的密钥通过调度到需要密钥的QKD节点202中,可以避免出现这些密钥长时间得不到利用的情况,因此从整体而言,提高了密钥的利用率。
更优地,本发明的发明人考虑到,不同QKD节点202的加密业务量不同,同一QKD节点202的加密业务量也可能随时间而变化,因此,可以对QKD节点202的密钥池的容量上、下限进行动态调整,从而达到动态调整QKD节点202的密钥池的容量的目的,以避免加密业务量少的QKD节点202配置较多密钥,而加密业务量多的QKD节点202配置的密钥数量不足的情况,从而,一方面保证加密业务量多的QKD节点202有足够的密钥可以及时进行加密业务,另一方面从整体上提高密钥的利用率,避免加密业务量少的QKD节点202占用过多密钥。
也正是由于每个QKD节点202的密钥池的容量上、下限可以调整,因此,若某些QKD节点加密业务量下降,则这些QKD节点的密钥池的容量上、下限将被下调,则可能会出现密钥池的密钥数量超过密钥池的容量上限的情况,则超出容量上限的密钥就可以被调度到其它加密业务量增多的QKD节点,从整体上提高密钥的利用率。后续将详细介绍QKD节点202的密钥池的容量上、下限的动态调整方法。
基于第一种密钥的补充方式的优势,第二种密钥的补充方式可作为第一种密钥的补充方式的辅助补充方式,也就是说,在以第一种密钥的补充方式进行密钥补充时,如果没有密钥剩余量充足的其它QKD节点,则采取第二种密钥的补充方式;也就是说,本发明实施例提供的另一种密钥的调度管理方法中,在周期性更新QKD节点202的密钥池的容量上、下限的基础上,可以采用密钥调度的方式为QKD节点202及时补充密钥,此外,还可采用协商产生新的密钥的方式作为辅助补充方式,具体流程如图5所示,包括如下步骤:
步骤S501:当QKD节点202检测到密钥池的密钥数量降到容量下限时,向控制器203发送密钥补充请求。
步骤S502:控制器203接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点。
具体地,控制器203接收到所述密钥补充请求后,对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点。
步骤S503:控制器203通知所述被调度节点调度密钥至所述密钥待补充节点。
本步骤中,控制器203通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池中的密钥的数量达到容量上限,或者被调度节点的剩余密钥均被调度,即所有被调度节点的密钥池的密钥数量降到本地密钥池的密钥充足阈值。
此外,本步骤中控制器203还在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中。
步骤S504:控制器203获取所述密钥待补充节点的密钥池的密钥数量和容量上限;若判断获取的密钥数量小于所述密钥池的容量上限,则执行步骤S505;否则,执行步骤S506,结束此次密钥补充任务。
具体地,控制器203获取所述密钥待补充节点的密钥池的密钥数量和容量上限;若判断获取的密钥数量小于所述密钥池的容量上限,且在上述步骤S503中所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则执行步骤S505,以密钥协商方式来生成新的密钥;否则,执行步骤S506,结束此次密钥补充任务。
步骤S505:控制器203与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
步骤S506:结束此次密钥补充任务。
本发明提供的一种QKD节点202的密钥池的容量上、下限进行动态调整、周期性更新的具体方法,流程如图6所示,包括如下步骤:
步骤S601:QKD节点202周期性检测加密业务量。
步骤S602:QKD节点202根据在前周期检测的加密业务量调整本次周期的本地密钥池的容量上限和容量下限的值。
具体地,QKD节点202可以根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;其中,n可以是大于等于1的自然数;进而,QKD节点202根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限的值。例如,当预测到的本次周期内的加密业务量大于之前预测的上个周期内的加密业务量,则增大本地密钥池的容量上限和容量下限的值;若预测到的本次周期内的加密业务量小于之前预测的上个周期内的加密业务量,则减小本地密钥池的容量上限和容量下限的值。
显然,在QKD节点202的密钥池的容量上限进行更新后,QKD节点202的密钥池的密钥充足阈值也会随更新的容量上限进行调整和变动。
在一种具体实施方式,本发明的QKD节点202可以将应用层211中的应用201发送的业务请求进行量子加密后发送至控制器203,具体流程如图7所示,包括如下步骤:
步骤S701:应用201将业务请求发送至本地局域网中的QKD节点202。
具体地,应用层211中的应用201可以将业务请求,比如QKD业务请求通过本地局域网发送至本地的QKD节点202;应用201发送的QKD业务请求可以是采用传统的加密方式进行加密,或者不加密。
步骤S702:QKD节点202将接收的业务请求进行量子加密后发送至控制层213中的控制器203。
具体地,量子层212中的QKD节点202在接收到业务请求后,可以从本节点的密钥池中获取预存的密钥对所述业务请求进行量子加密。
步骤S703:控制器203对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
具体地,控制器203接收到QKD节点202发送的业务请求后,可以从本地总密钥池中确定与该QKD节点的密钥池对应的子密钥池,并从确定的子密钥池中获取对应的密钥对所述业务请求进行量子解密。
本发明的技术方案中,设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向所述网络的控制层中的控制器发送密钥补充请求;所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点;所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
这样,通过控制器将密钥池的密钥剩余量充足的其它QKD节点中的密钥调度到密钥池的密钥数量降到容量下限的QKD节点,且周期性调整每个QKD节点的密钥池的容量上、下限,达到动态调整QKD节点的密钥池的容量的目的,以避免加密业务量少的QKD节点配置较多密钥,而加密业务量多的QKD节点配置的密钥数量不足的情况,从而,一方面通过动态调整的密钥池的容量上限保证加密业务量多的QKD节点有足够的密钥可以及时进行加密业务,而且在密钥数量降到容量下限时,可及时从其它密钥剩余量充足的QKD节点中调度密钥进一步保证及时进行加密业务;另一方面,其它密钥剩余量充足的QKD节点中长时间未利用的密钥可以调度给加密业务量多的QKD节点,从整体上提高密钥的利用率,避免加密业务量少的QKD节点占用过多密钥。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于SDN的QKD网络中密钥的调度管理方法,其特征在于,包括:
设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时,向所述网络的控制层中的控制器发送密钥补充请求;
所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点;
所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的;所述QKD节点的密钥池中的密钥,与所述控制器的本地总密钥池中对应的子密钥池中的密钥互为加、解密密钥。
2.根据权利要求1所述的方法,其特征在于,所述从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,具体为:
所述控制器对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点;
其中,所述密钥池的密钥充足阈值等于所述密钥池的容量上限与系数a的乘积,其中,设置的系数a的范围为0~1之间。
3.根据权利要求2所述的方法,其特征在于,所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,具体包括:
所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池的密钥数量达到容量上限,或者所有被调度节点的密钥池的密钥数量降到本地密钥池的密钥充足阈值。
4.根据权利要求3所述的方法,其特征在于,在所述控制器通知所述被调度节点调度密钥至所述密钥待补充节点后,还包括:
若所述控制器判断所述密钥待补充节点的密钥池的密钥的数量小于所述密钥池的容量上限,且所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则
所述控制器与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
5.根据权利要求1-4任一所述的方法,其特征在于,所述QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的,具体包括:
所述QKD节点周期性检测加密业务量;
所述QKD节点根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限;
其中,n是大于等于1的自然数。
6.根据权利要求1-4任一所述的方法,其特征在于,所述被调度节点调度密钥至所述密钥待补充节点,具体包括:
若所述被调度节点与所述密钥待补充节点直接相连,则所述被调度节点以点对点的方式将密钥传递给所述密钥待补充节点;否则,
所述被调度节点以端对端的方式通过一次性口令OTP加密方式经可信中继节点将密钥传递给所述密钥待补充节点。
7.一种基于SDN的QKD网络,包括:量子层和控制层;其中,
所述量子层中的QKD节点用于在本地密钥池中的密钥的数量降到容量下限时,向所述控制层中的控制器发送密钥补充请求;
所述控制层中的控制器用于接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点;并在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,所述密钥池的密钥剩余量是根据所述密钥池的密钥数量和容量上限确定的;每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的;所述QKD节点的密钥池中的密钥,与所述控制器的本地总密钥池中对应的子密钥池中的密钥互为加、解密密钥。
8.根据权利要求7所述的网络,其特征在于,
所述控制层中的控制器还用于在通知所述被调度节点调度密钥至所述密钥待补充节点后,若判断所述密钥待补充节点的密钥池的密钥的数量小于所述密钥池的容量上限,且所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
9.根据权利要求7或8所述的网络,其特征在于,
所述QKD节点还用于周期性检测加密业务量;并根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限;
其中,n是大于等于1的自然数。
10.根据权利要求7或8所述的网络,其特征在于,还包括:应用层;
所述应用层中的应用用于将业务请求发送至本地局域网的量子层;以及
所述量子层的QKD节点还用于接收到所述应用发送的业务请求后,将所述业务请求进行量子加密后发送至所述控制层的控制器。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585172.2A CN110365476B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其密钥的调度管理方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585172.2A CN110365476B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其密钥的调度管理方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110365476A CN110365476A (zh) | 2019-10-22 |
| CN110365476B true CN110365476B (zh) | 2021-06-29 |
Family
ID=68217591
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910585172.2A Active CN110365476B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其密钥的调度管理方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110365476B (zh) |
Families Citing this family (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110212991B (zh) * | 2019-06-06 | 2021-07-20 | 江苏亨通问天量子信息研究院有限公司 | 量子无线网络通信系统 |
| CN110912875B (zh) * | 2019-11-08 | 2022-03-22 | 中国电子科技集团公司第三十研究所 | 基于南向接口的网络加密方法、系统、介质及设备 |
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN111988142A (zh) * | 2020-08-25 | 2020-11-24 | 合肥美菱物联科技有限公司 | 一种智能冰箱秘钥烧写系统及方法 |
| CN112332984A (zh) * | 2020-12-01 | 2021-02-05 | 国网福建省电力有限公司信息通信分公司 | 一种基于sdn的广域量子密钥分发路由方法及装置 |
| CN112600627B (zh) * | 2020-12-07 | 2022-04-26 | 中国电子科技集团公司信息科学研究院 | 一种基于sdn空分复用光网络的量子保密通信网络系统 |
| CN113765660B (zh) * | 2021-09-06 | 2022-08-02 | 东南大学 | 一种物联网终端设备量子密钥按需分配方法 |
| CN114024666B (zh) * | 2021-09-15 | 2023-04-25 | 北京邮电大学 | 一种量子密钥分发方法及系统 |
| CN116112165B (zh) * | 2023-04-11 | 2023-08-01 | 广东广宇科技发展有限公司 | 一种基于密钥池状态的密钥动态划分管理方法 |
| CN117335987B (zh) * | 2023-11-27 | 2024-02-23 | 中国科学技术大学 | 一种量子密钥分发网络节点间的密钥同步方法 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103019837A (zh) * | 2011-09-27 | 2013-04-03 | 中国移动通信集团公司 | 资源调度方法、装置及终端设备 |
| CN107959569A (zh) * | 2017-11-27 | 2018-04-24 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 |
Family Cites Families (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9584418B2 (en) * | 2013-10-10 | 2017-02-28 | International Business Machines Corporation | Quantized congestion notification for computing environments |
| CN105357001B (zh) * | 2015-12-10 | 2018-08-07 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及系统 |
| CN106961327A (zh) * | 2017-02-27 | 2017-07-18 | 北京邮电大学 | 基于量子密钥池的密钥管理系统及方法 |
| CN107294960B (zh) * | 2017-06-08 | 2020-09-25 | 北京邮电大学 | 一种软件定义网络控制通道的安全保障方法 |
-
2019
- 2019-07-01 CN CN201910585172.2A patent/CN110365476B/zh active Active
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103019837A (zh) * | 2011-09-27 | 2013-04-03 | 中国移动通信集团公司 | 资源调度方法、装置及终端设备 |
| CN107959569A (zh) * | 2017-11-27 | 2018-04-24 | 浙江神州量子网络科技有限公司 | 一种基于对称密钥池的密钥补充方法和密钥补充装置、密钥补充系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110365476A (zh) | 2019-10-22 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365476B (zh) | 基于sdn的qkd网络及其密钥的调度管理方法 | |
| CN110445604B (zh) | 基于sdn的qkd网络及其业务请求的发送方法 | |
| JP7026748B2 (ja) | 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 | |
| CN107508671B (zh) | 基于量子密钥分发的业务通信方法及装置 | |
| Dawson et al. | SKMA-A key management architecture for SCADA systems | |
| CN104219051B (zh) | 一种群组内消息的通信方法和系统 | |
| JP2009534923A (ja) | 量子暗号ネットワークに対するユーザ認証と鍵管理 | |
| CN107294960B (zh) | 一种软件定义网络控制通道的安全保障方法 | |
| KR102595369B1 (ko) | 양자 암호키 분배 방법, 장치 및 시스템 | |
| CN111865589B (zh) | 实现移动通信量子加密传输的量子通信加密系统及其方法 | |
| CN103532702A (zh) | 通信装置、密钥生成装置、通信方法和通信系统 | |
| CN103945371B (zh) | 一种端到端加密同步的方法 | |
| JP6088522B2 (ja) | グループメンバーによるグループ秘密の管理 | |
| WO2014131356A1 (zh) | 一种宽带集群系统的组密钥分层管理方法、系统和终端 | |
| CN101222320B (zh) | 一种媒体流安全上下文协商的方法、系统和装置 | |
| CN110249584B (zh) | 用于在任务关键数据通信系统中提供端到端安全的方法 | |
| Rüsch et al. | Forward secure delay-tolerant networking | |
| CN113691313A (zh) | 一种星地一体量子密钥链路虚拟化应用服务系统 | |
| CN114362928B (zh) | 一种用于多节点间加密的量子密钥分发与重构方法 | |
| CN107623682B (zh) | 一种基于双通道的指令传输系统 | |
| EP4060931A1 (en) | System and method for optimizing the routing of quantum key distribution (qkd) key material in a network | |
| US20100158243A1 (en) | Method of encryption in networked embedded systems | |
| CN106656493A (zh) | 基于量子密钥分发的软件定义网络安全通信方法 | |
| Fun et al. | Attribute based encryption—A data centric approach for securing internet of things (IoT) | |
| WO2023049002A1 (en) | Dynamic groups key generation with communication history |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |