CN110445604A - 基于sdn的qkd网络及其业务请求的发送方法 - Google Patents
基于sdn的qkd网络及其业务请求的发送方法 Download PDFInfo
- Publication number
- CN110445604A CN110445604A CN201910585652.9A CN201910585652A CN110445604A CN 110445604 A CN110445604 A CN 110445604A CN 201910585652 A CN201910585652 A CN 201910585652A CN 110445604 A CN110445604 A CN 110445604A
- Authority
- CN
- China
- Prior art keywords
- key
- node
- qkd
- service request
- keys
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/16—Implementing security features at a particular protocol layer
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Abstract
本发明公开了一种基于SDN的QKD网络及其业务请求的发送方法,所述方法包括:设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。应用本发明能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
Description
技术领域
本发明涉及网络传输领域,特别是指一种基于SDN的QKD网络及其业务请求的发送方法。
背景技术
量子密钥分发(Quantum Key Distribution,QKD)技术是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密消息,不依赖于对计算复杂度的要求和假设,具有理论上无条件安全的优势。量子不可克隆定理可以保证,无法完美克隆任意量子态。任何对量子密钥分发过程的窃听,都有可能改变量子态本身,造成高误码率,从而使窃听被发现。从最初的基于离散变量单光子诱骗态调制的BB84量子密钥分发协议,到相位分布式参考协议中的DPS协议和COW协议,再到连续变量QKD协议等,QKD技术不断地在理论和实验上取得进展,并向实用化迈进。
软件定义网络(Software Defined Network,SDN)具有非常强大的管理和控制功能,能够更好地掌控网络中的密钥资源的信息,以可编程的方式来实现灵活复杂的网络管理功能,SDN和QKD网络结合起来,具有能够更好地实现密钥资源与业务需求的相匹配,更好的处理链路故障等优势。
基于SDN的QKD网络(即软件定义量子密钥分发网络)架构分为四层模型:应用层,控制层,密钥层和量子层。(1)应用层主要是完成用户意图的各种加密应用程序(2)控制层是系统的控制中心,主要完成的任务有:密钥管理的访问控制和用户网络的密钥供应(QKD设备认证,用户认证,访问权限管理);协调用户网络之间的关键请求并控制用户网络之间的通信;提供关键中继路由,包括在需要密钥的两个应用端点之间重新路由;如果发生故障或窃听案件,可以重新配置量子链路。(3)密钥层负责密钥管理和密钥供应。(4)量子层负责量子密钥分发。
在软件定义量子密钥分发网络中,北向接口(Northbound Interface)位于应用层和控制层之间,负责将应用层的业务请求发送给控制器,并且控制器通过北向接口回复消息给应用层,提供网络服务,是一种开放的网络服务接口。然而在目前的软件定义量子密钥分发网络架构中,应用层通过北向接口向控制层发送的量子密钥分发业务请求时,该业务请求需要经过加密处理,经典情况下密钥通常经过传统的密钥分发机制(例如RSA)产生,随着量子计算机的发展,传统的密钥分发机制将存在被破解的风险,从而导致应用层的终端通过北向接口发送的量子密钥分发业务请求经过加密处理后仍可能会被破解,应用层的量子密钥分发业务请求无法保障安全的到达控制层,存在安全隐患;
因此,现有的通过北向接口向控制层发送业务请求的安全通信问题亟待解决。
发明内容
本发明提出了一种基于SDN的QKD网络及其业务请求的发送方法,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
基于上述目的,本发明提供一种基于SDN的QKD网络中业务请求的发送方法,包括:
设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;
所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。
进一步,所述方法还包括:
所述控制器对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
其中,所述业务请求具体为量子密钥分发QKD业务请求;以及
所述根据接收的业务请求执行相应业务,具体为:
所述控制器根据接收的QKD业务请求,执行量子密钥分发业务。
较佳地,所述QKD节点将接收的业务请求进行量子加密,具体包括:
所述QKD节点从本节点的密钥池中获取预存的密钥对所述业务请求进行量子加密;以及
所述控制器对接收的业务请求进行量子解密,具体包括:
所述控制器确定本地总密钥池中与所述QKD节点对应的子密钥池,并从确定的子密钥池中获取对应的密钥对所述业务请求进行量子解密。
其中,所述QKD节点的密钥池中的密钥根据如下方法补充:
当所述QKD节点的密钥池中的密钥的数量降到容量下限时,向所述控制器发送密钥补充请求;
所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池中的密钥的数量达到容量上限;并
将本地总密钥池中与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
本发明还提供一种基于SDN的QKD网络,包括:应用层、量子层和控制层;其中,
所述应用层中的应用用于将业务请求发送至本地局域网的量子层;
所述量子层中的QKD节点用于接收所述应用发送的业务请求,将所述业务请求进行量子加密后发送至所述控制层。
所述控制层中的控制器用于对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
其中,所述业务请求具体为量子密钥分发QKD业务请求;以及
所述控制器具体用于对接收的业务请求进行量子解密后,根据接收的QKD业务请求,执行量子密钥分发业务。
本发明的技术方案中,设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。这样,应用层的业务请求可以先经过安全的本地局域网到达本地QKD节点,进而本地QKD节点以量子加密的方式将业务请求发送至控制层的控制器;相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,避免了以传统的密钥分发机制加密的业务请求在经过互联网传输时被破解的风险,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
附图说明
图1为现有技术的基于SDN的QKD网络架构示意图;
图2为本发明实施例提供的一种基于SDN的QKD网络的内部结构示意图;
图3为本发明实施例提供的一种基于SDN的QKD网络中业务请求的发送方法的流程图;
图4、5、6分别为本发明实施例提供的三种QKD节点的密钥池中的密钥的补充方法流程图;
图7为本发明实施例提供的QKD节点的密钥池的容量上、下限进行动态调整、周期性更新的方法流程图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明进一步详细说明。
下面详细描述本发明的实施例,所述实施例的示例在附图中示出,其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施例是示例性的,仅用于解释本发明,而不能解释为对本发明的限制。
本技术领域技术人员可以理解,除非特意声明,这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是,当我们称元件被“连接”或“耦接”到另一元件时,它可以直接连接或耦接到其他元件,或者也可以存在中间元件。此外,这里使用的“连接”或“耦接”可以包括无线连接或无线耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的全部或任一单元和全部组合。
需要说明的是,本发明实施例中所有使用“第一”和“第二”的表述均是为了区分两个相同名称非相同的实体或者非相同的参量,可见“第一”“第二”仅为了表述的方便,不应理解为对本发明实施例的限定,后续实施例对此不再一一说明。
本发明的发明人考虑到,基于SDN的QKD网络中,控制层中的控制器与量子层中的QKD节点可以利用两者之间的密钥池提供的密钥进行信息的加密通信,而任何对量子密钥分发过程的窃听,都有可能改变量子态本身,造成高误码率,从而使得量子加密的信息不能被破解;因此,如果将业务请求通过QKD节点以量子加密的方式发送到控制层中的控制器,则可以保证通信的安全性、可靠性;
而为了保障应用层的应用安全地将业务请求发送至QKD节点,本发明的发明人考虑到,可以将应用层的业务请求发送至本地局域网中的QKD节点;事实上,相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,通过本地局域网传输业务请求到达本地QKD节点,由于本地局域网范围较小、安全性、可靠性比范围广阔的因特网高得多,从而保障了业务请求传输的安全性。
因此,本发明的技术方案中,设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。这样,应用层的业务请求可以先经过安全的本地局域网到达本地QKD节点,进而本地QKD节点以量子加密的方式将业务请求发送至控制层的控制器;相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,避免了以传统的密钥分发机制加密的业务请求在经过互联网传输时被破解的风险,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
下面结合附图详细说明本发明实施例的技术方案。
本发明实施例提供的一种基于SDN的QKD网络,架构如图2所示,具体包括:应用层211、量子层212和控制层213。
其中,应用层211中的应用201用于将业务请求发送至本地局域网的量子层212中的QKD节点202。具体地,所述业务请求可以是量子密钥分发(QKD)业务请求;也就是说,应用201可以将量子密钥分发(QKD)业务请求通过本地局域网发送至本地的QKD节点202。
量子层212中的QKD节点202用于接收到应用201发送的业务请求后,将所述业务请求进行量子加密后发送至控制层213中的控制器203。
控制层213中的控制器203用于对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。具体地,控制器203对接收的业务请求进行量子解密后,若接收的是QKD业务请求,则根据接收的QKD业务请求,执行量子密钥分发业务。
这样,应用层的业务请求先经过安全的本地局域网到达本地QKD节点,进而本地QKD节点以量子加密的方式将业务请求发送至控制层的控制器;相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,避免了以传统的密钥分发机制加密的业务请求在经过互联网传输时被破解的风险,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
基于上述的基于SDN的QKD网络,本发明实施例提供的一种业务请求的发送方法,具体流程如图3所示,包括如下步骤:
步骤S301:应用201将业务请求发送至本地局域网中的QKD节点202。
具体地,应用层211中的应用201可以将业务请求,比如QKD业务请求通过本地局域网发送至本地的QKD节点202;应用201发送的QKD业务请求可以是采用传统的加密方式进行加密,或者不加密。
步骤S302:QKD节点202将接收的业务请求进行量子加密后发送至控制层213中的控制器203。
具体地,量子层212中的QKD节点202可以使用预先存储的、通过量子密钥分发得到的密钥,采用对称加密机制(例如AES)来加密所述业务请求后发送至控制层213中的控制器203。
然而本发明人考虑到QKD节点202中预留的密钥有限,有可能会出现需要对接收的业务请求进行量子加密时,已没有密钥的情况;此时QKD节点202需要与控制层213中的控制器203通过量子密钥分发以产生新的密钥;然而量子密钥分发过程通常比较长,有可能导致延迟业务请求的发送。
因此,作为一种更优的实施方式,本发明技术方案提供了一种QKD节点的密钥的动态管理方式,一方面可以保证加密业务需求量大的QKD节点预留足够的密钥,避免加密信息的发送延迟;另一方面还可以提高已产生的密钥的利用率。
如图2所示,量子层212中的每个QKD节点202中设置有一个密钥池,在控制层213的控制器203中设置有一个本地的总密钥池,总密钥池中包括多个子密钥池分别与各QKD节点202的密钥池对应,例如,图2中各QKD节点的密钥池1、2、3、4分别与控制器203的总密钥池中的子密钥池1′、2′、3′、4′对应。也就是说,QKD节点202的密钥池中的密钥,与控制器203总密钥池中对应的子密钥池中的密钥是互为加、解密密钥。而每个QKD节点的密钥池中的密钥数量可以动态管理,以保证每次接收到业务请求时,QKD节点的密钥池中有可用密钥,以避免业务请求发送的延迟。动态管理QKD节点的密钥池中的密钥的方法将在后续进行详细介绍。
具体地,本步骤中QKD节点202在接收到业务请求后,可以从本节点的密钥池中获取预存的密钥对所述业务请求进行量子加密。
步骤S303:控制器203对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
具体地,控制器203接收到QKD节点202发送的业务请求后,可以从本地总密钥池中确定与该QKD节点的密钥池对应的子密钥池,并从确定的子密钥池中获取对应的密钥对所述业务请求进行量子解密。即控制器203利用预先存储的、量子密钥分发得到的密钥对接收的业务请求进行解密后,根据接收的业务请求执行相应业务。
上述提到的QKD节点202的密钥池的密钥数量的动态管理,主要包括对QKD节点202的密钥池的容量上、下限的动态调整过程,以及QKD节点202的密钥池中的密钥自动补充的过程。
本发明具体提供了两种QKD节点202密钥池中的密钥的补充方式;第一种为密钥调度补充方式,第二中为协商产生新密钥的补充方式。
其中,第一种密钥的补充方式中,可以采用从密钥剩余量充足的其它QKD节点调度密钥的方法来补充当前QKD节点202密钥池中的密钥,具体流程如图4所示,包括如下步骤:
步骤S401:当QKD节点202检测到密钥池的密钥数量降到所述密钥池的容量下限时,向控制器203发送密钥补充请求。
步骤S402:控制器203接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点。
具体地,控制器203接收到所述密钥补充请求后,对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点。其中,密钥池的密钥充足阈值可以是由所述密钥池的容量上限决定;比如,密钥池的密钥充足阈值=a×密钥池的容量上限;其中,系数a的取值范围为0~1之间,可由本领域技术人员根据经验设置。比如,可以设置密钥池的密钥充足阈值等于密钥池的容量上限,或者设置密钥池的密钥充足阈值等于密钥池的容量上限的一半或3/4。
较佳地,每个QKD节点的密钥池的容量上限和容量下限是周期性根据本节点的加密业务量更新的;后续将详细介绍QKD节点202的密钥池的容量上、下限的动态调整、周期性更新的方法。
步骤S403:控制器203通知所述被调度节点调度密钥至所述密钥待补充节点。
本步骤中,控制器203通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池的密钥数量达到容量上限;若所述被调度节点与所述密钥待补充节点直接相连,则所述被调度节点根据通知以点对点的方式将密钥传递给所述密钥待补充节点;否则,所述被调度节点根据通知以端对端的方式通过OTP(One-time Password,一次性口令)加密方式经可信中继节点将密钥传递给所述密钥待补充节点。例如,如图2所示的网络结构中,QKD节点3的密钥池3向QKD节点1的密钥池1补充密钥时,以OTP加密方式经过可信中继(QKD节点2或QKD节点4)进行传输。
此外,本步骤中控制器203还在地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中。
QKD节点202的密钥池中的密钥的另一种补充方式,可以是QKD节点202与控制器203之间进行协商产生新的密钥进行补充,具体流程如图5所示,包括如下步骤:
步骤S501:当QKD节点202检测到密钥池中的密钥的数量降到容量下限时,向控制器203发送密钥补充请求。
步骤S502:控制器203接收到所述密钥补充请求后,与QKD节点202通过量子密钥分发产生新的密钥,直到QKD节点202密钥池中的密钥的数量恢复到所述密钥池的容量上限。
第一种密钥的补充方式的优点在于,一方面由于调度密钥的过程比协商产生新的密钥的过程简单,用时较短,因此可以达到快速补充QKD节点202密钥池中的密钥的目的;另一方面,密钥剩余量充足的其它QKD节点中得不到利用的密钥通过调度到需要密钥的QKD节点202中,可以避免出现这些密钥长时间得不到利用的情况,因此从整体而言,提高了密钥的利用率。
更优地,本发明的发明人考虑到,不同QKD节点202的加密业务量不同,同一QKD节点202的加密业务量也可能随时间而变化,因此,可以对QKD节点202的密钥池的容量上、下限进行动态调整,从而达到动态调整QKD节点202的密钥池的容量的目的,以避免加密业务量少的QKD节点202配置较多密钥,而加密业务量多的QKD节点202配置的密钥数量不足的情况,从而,一方面保证加密业务量多的QKD节点202有足够的密钥可以及时进行加密业务,另一方面从整体上提高密钥的利用率,避免加密业务量少的QKD节点202占用过多密钥。
也正是由于每个QKD节点202的密钥池的容量上、下限可以调整,因此,若某些QKD节点加密业务量下降,则这些QKD节点的密钥池的容量上、下限将被下调,则可能会出现密钥池中的密钥数量超过密钥池的容量上限的情况,则超出容量上限的密钥就可以被调度到其它加密业务量增多的QKD节点,从整体上提高密钥的利用率。后续将详细介绍QKD节点202的密钥池的容量上、下限的动态调整方法。
基于第一种密钥的补充方式的优势,第二种密钥的补充方式可作为第一种密钥的补充方式的辅助补充方式,也就是说,在以第一种密钥的补充方式进行密钥补充时,如果没有密钥剩余量充足的其它QKD节点,则采取第二种密钥的补充方式,具体流程如图6所示,包括如下步骤:
步骤S601:当QKD节点202检测到密钥池的密钥数量降到容量下限时,向控制器203发送密钥补充请求。
步骤S602:控制器203接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从子密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点。
具体地,控制器203接收到所述密钥补充请求后,对于其它QKD节点中的每个QKD节点,确定该QKD节点的密钥池的密钥数量是否超过本地密钥池的密钥充足阈值;若是,确认该QKD节点的密钥池的密钥剩余量充足,将该QKD节点选取为被调度节点。
步骤S603:控制器203通知所述被调度节点调度密钥至所述密钥待补充节点。
本步骤中,控制器203通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池的密钥数量达到容量上限,或者被调度节点的剩余密钥均被调度,即所有被调度节点的密钥池的密钥数量降到本地密钥池的密钥充足阈值。
此外,本步骤中控制器203还在本地总密钥池中,将与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中。
步骤S604:控制器203获取所述密钥待补充节点的密钥池的密钥数量和容量上限;若判断获取的密钥数量小于所述密钥池的容量上限,则执行步骤S605;否则,执行步骤S606,结束此次密钥补充任务。
具体地,控制器203获取所述密钥待补充节点的密钥池的密钥数量和容量上限;若判断获取的密钥数量小于所述密钥池的容量上限,且在上述步骤S603中所有被调度节点的密钥池的密钥数量已降到本地密钥池的密钥充足阈值,则执行步骤S605,以密钥协商方式来生成新的密钥;否则,执行步骤S606,结束此次密钥补充任务。
步骤S605:控制器203与所述密钥待补充节点通过量子密钥分发产生新的密钥,直到所述密钥待补充节点的密钥池的密钥数量恢复到所述密钥池的容量上限。
步骤S606:结束此次密钥补充任务。
本发明提供的一种QKD节点202的密钥池的容量上、下限进行动态调整、周期性更新的具体方法,流程如图7所示,包括如下步骤:
步骤S701:QKD节点202周期性检测加密业务量。
步骤S702:QKD节点202根据在前周期检测的加密业务量调整本次周期的本地密钥池的容量上限和容量下限的值。
具体地,QKD节点202可以根据在前n个周期内检测的加密业务量,来预测本次周期内的加密业务量;其中,n可以是大于等于1的自然数;进而,QKD节点202根据预测的本次周期内的加密业务量,调整本地密钥池的容量上限和容量下限的值。例如,当预测到的本次周期内的加密业务量大于之前预测的上个周期内的加密业务量,则增大本地密钥池的容量上限和容量下限的值;若预测到的本次周期内的加密业务量小于之前预测的上个周期内的加密业务量,则减小本地密钥池的容量上限和容量下限的值。
显然,在QKD节点202的密钥池的容量上限进行更新后,QKD节点202的密钥池的密钥充足阈值也会随更新的容量上限进行调整和变动。
本发明的技术方案中,设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。这样,应用层的业务请求可以先经过安全的本地局域网到达本地QKD节点,进而本地QKD节点以量子加密的方式将业务请求发送至控制层的控制器;相比于传统的基于SDN的QKD网络架构中应用层直接通过互联网(或称为因特网)实现与控制层交互的北向接口方案,避免了以传统的密钥分发机制加密的业务请求在经过互联网传输时被破解的风险,能够将应用层的业务请求更为安全地送达控制层,保证通信的安全性、可靠性。
本技术领域技术人员可以理解,本发明中已经讨论过的各种操作、方法、流程中的步骤、措施、方案可以被交替、更改、组合或删除。进一步地,具有本发明中已经讨论过的各种操作、方法、流程中的其他步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。进一步地,现有技术中的具有与本发明中公开的各种操作、方法、流程中的步骤、措施、方案也可以被交替、更改、重排、分解、组合或删除。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本发明的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本发明的不同方面的许多其它变化,为了简明它们没有在细节中提供。因此,凡在本发明的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种基于SDN的QKD网络中业务请求的发送方法,其特征在于,包括:
设置于网络的应用层中的应用将业务请求发送至本地局域网的量子层的QKD节点;
所述QKD节点将接收的业务请求进行量子加密后发送至设置于所述网络的控制层中的控制器。
2.根据权利要求1所述的方法,其特征在于,还包括:
所述控制器对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
3.根据权利要求2所述的方法,其特征在于,所述业务请求具体为量子密钥分发QKD业务请求;以及
所述根据接收的业务请求执行相应业务,具体为:
所述控制器根据接收的QKD业务请求,执行量子密钥分发业务。
4.根据权利要求2或3所述的方法,其特征在于,所述QKD节点将接收的业务请求进行量子加密,具体包括:
所述QKD节点从本节点的密钥池中获取预存的密钥对所述业务请求进行量子加密;以及
所述控制器对接收的业务请求进行量子解密,具体包括:
所述控制器确定本地总密钥池中与所述QKD节点对应的子密钥池,并从确定的子密钥池中获取对应的密钥对所述业务请求进行量子解密。
5.根据权利要求4所述的方法,其特征在于,所述QKD节点的密钥池中的密钥根据如下方法补充:
当所述QKD节点的密钥池中的密钥的数量降到容量下限时,向所述控制器发送密钥补充请求;
所述控制器接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池中的密钥的数量达到容量上限;并
将本地总密钥池中与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;
其中,每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
6.一种基于SDN的QKD网络,其特征在于,包括:应用层、量子层和控制层;其中,
所述应用层中的应用用于将业务请求发送至本地局域网的量子层;
所述量子层中的QKD节点用于接收所述应用发送的业务请求,将所述业务请求进行量子加密后发送至所述控制层。
7.根据权利要求6所述的网络,其特征在于,
所述控制层中的控制器用于对接收的业务请求进行量子解密后,根据接收的业务请求执行相应业务。
8.根据权利要求7所述的网络,其特征在于,所述业务请求具体为量子密钥分发QKD业务请求;以及
所述控制器具体用于对接收的业务请求进行量子解密后,根据接收的QKD业务请求,执行量子密钥分发业务。
9.根据权利要求7或8所述的网络,其特征在于,
所述QKD节点具体用于从本节点的密钥池中获取预存的密钥对所述业务请求进行量子加密;以及
所述控制器具体用于接收到加密的业务请求后,确定本地总密钥池中与所述QKD节点对应的子密钥池,并从确定的子密钥池中获取对应的密钥对所述业务请求进行量子解密,根据解密的业务请求执行相应业务。
10.根据权利要求9所述的网络,其特征在于,
所述QKD节点还用于在本节点的密钥池中的密钥的数量降到容量下限时,向所述控制器发送密钥补充请求;以及
所述控制器还用于接收到所述密钥补充请求后,将所述QKD节点作为密钥待补充节点,从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点,通知所述被调度节点调度密钥至所述密钥待补充节点,直至所述密钥待补充节点的密钥池中的密钥的数量达到容量上限;并将本地总密钥池中与所述被调度节点对应的子密钥池中的、与被调度的密钥相对应的密钥调整到与所述密钥待补充节点对应的子密钥池中;其中,每个QKD节点的密钥池的容量上、下限是周期性根据本节点的加密业务量更新的。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585652.9A CN110445604B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其业务请求的发送方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910585652.9A CN110445604B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其业务请求的发送方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN110445604A true CN110445604A (zh) | 2019-11-12 |
| CN110445604B CN110445604B (zh) | 2021-05-04 |
Family
ID=68429370
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910585652.9A Active CN110445604B (zh) | 2019-07-01 | 2019-07-01 | 基于sdn的qkd网络及其业务请求的发送方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN110445604B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN112600627A (zh) * | 2020-12-07 | 2021-04-02 | 中国电子科技集团公司信息科学研究院 | 一种基于sdn空分复用光网络的量子保密通信网络系统 |
| CN114006694A (zh) * | 2021-09-26 | 2022-02-01 | 北京邮电大学 | 量子密钥的处理方法、装置、电子设备及存储介质 |
| CN117335987A (zh) * | 2023-11-27 | 2024-01-02 | 中国科学技术大学 | 一种量子密钥分发网络节点间的密钥同步方法 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657130A (zh) * | 2015-01-14 | 2015-05-27 | 中国移动通信集团广东有限公司 | 一种对业务支撑系统进行分层分级的方法 |
| CN105827665A (zh) * | 2016-06-06 | 2016-08-03 | 南开大学 | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 |
| WO2016141856A1 (zh) * | 2015-03-07 | 2016-09-15 | 华为技术有限公司 | 一种用于网络应用访问的验证方法、装置和系统 |
| CN106961327A (zh) * | 2017-02-27 | 2017-07-18 | 北京邮电大学 | 基于量子密钥池的密钥管理系统及方法 |
| CN107317851A (zh) * | 2017-06-20 | 2017-11-03 | 江苏科技大学 | 一种基于软件定义网络的安全通信方法 |
| US20180062836A1 (en) * | 2016-08-26 | 2018-03-01 | Kabushiki Kaisha Toshiba | Communication device, communication system, and communication method |
| US9954611B1 (en) * | 2016-12-16 | 2018-04-24 | Futurewei Technologies, Inc. | System and method for abstracting wavelength-switched optical network traffic engineering topology in SDN control hierarchy |
| CN108737163A (zh) * | 2018-04-18 | 2018-11-02 | 大连理工大学 | 一种基于OpenFlow协议的SDN控制器应用性能分析方法 |
| US20190098089A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Distribution hub for internet-of-things data |
-
2019
- 2019-07-01 CN CN201910585652.9A patent/CN110445604B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN104657130A (zh) * | 2015-01-14 | 2015-05-27 | 中国移动通信集团广东有限公司 | 一种对业务支撑系统进行分层分级的方法 |
| WO2016141856A1 (zh) * | 2015-03-07 | 2016-09-15 | 华为技术有限公司 | 一种用于网络应用访问的验证方法、装置和系统 |
| CN105827665A (zh) * | 2016-06-06 | 2016-08-03 | 南开大学 | 一种sdn网络控制器与交换机之间的流表消息敏感数据加密方法 |
| US20180062836A1 (en) * | 2016-08-26 | 2018-03-01 | Kabushiki Kaisha Toshiba | Communication device, communication system, and communication method |
| US9954611B1 (en) * | 2016-12-16 | 2018-04-24 | Futurewei Technologies, Inc. | System and method for abstracting wavelength-switched optical network traffic engineering topology in SDN control hierarchy |
| CN106961327A (zh) * | 2017-02-27 | 2017-07-18 | 北京邮电大学 | 基于量子密钥池的密钥管理系统及方法 |
| CN107317851A (zh) * | 2017-06-20 | 2017-11-03 | 江苏科技大学 | 一种基于软件定义网络的安全通信方法 |
| US20190098089A1 (en) * | 2017-09-26 | 2019-03-28 | Verizon Patent And Licensing Inc. | Distribution hub for internet-of-things data |
| CN108737163A (zh) * | 2018-04-18 | 2018-11-02 | 大连理工大学 | 一种基于OpenFlow协议的SDN控制器应用性能分析方法 |
Non-Patent Citations (2)
| Title |
|---|
| HUI YANG: "Multi-stratum Resource Integration for OpenFlow-Based Data Center Interconnect", 《J OPT. COMMUN NETW.》 * |
| 熊钢: "一种软件定义网络的安全服务链动态组合机制", 《电子与信息学报》 * |
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN112600627A (zh) * | 2020-12-07 | 2021-04-02 | 中国电子科技集团公司信息科学研究院 | 一种基于sdn空分复用光网络的量子保密通信网络系统 |
| CN114006694A (zh) * | 2021-09-26 | 2022-02-01 | 北京邮电大学 | 量子密钥的处理方法、装置、电子设备及存储介质 |
| CN114006694B (zh) * | 2021-09-26 | 2023-09-22 | 北京邮电大学 | 量子密钥的处理方法、装置、电子设备及存储介质 |
| CN117335987A (zh) * | 2023-11-27 | 2024-01-02 | 中国科学技术大学 | 一种量子密钥分发网络节点间的密钥同步方法 |
| CN117335987B (zh) * | 2023-11-27 | 2024-02-23 | 中国科学技术大学 | 一种量子密钥分发网络节点间的密钥同步方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN110445604B (zh) | 2021-05-04 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN110365476A (zh) | 基于sdn的qkd网络及其密钥的调度管理方法 | |
| CN110445604A (zh) | 基于sdn的qkd网络及其业务请求的发送方法 | |
| JP7026748B2 (ja) | 集中管理制御ネットワークに基づく量子鍵中継方法、および装置 | |
| TWI454112B (zh) | 通信網路金鑰管理 | |
| CN101600198B (zh) | 基于身份的无线传感器网络安全信任方法 | |
| Kong | A review of quantum key distribution protocols in the perspective of smart grid communication security | |
| CN103490891A (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN111865589B (zh) | 实现移动通信量子加密传输的量子通信加密系统及其方法 | |
| CN108111305B (zh) | 多类型量子终端兼容的融合网络接入系统和方法 | |
| JP2009534923A (ja) | 量子暗号ネットワークに対するユーザ認証と鍵管理 | |
| CN105471576A (zh) | 一种量子密钥中继的方法、量子终端节点及系统 | |
| CN111865590B (zh) | 金融领域基于量子保密通信技术的工作密钥分发系统及其应用方法 | |
| CN107294960B (zh) | 一种软件定义网络控制通道的安全保障方法 | |
| WO2023082599A1 (zh) | 基于量子密钥的区块链网络安全通信方法 | |
| Zhou et al. | Quantum network: security assessment and key management | |
| KR20210032094A (ko) | 양자 암호키 분배 방법, 장치 및 시스템 | |
| CN115632779A (zh) | 一种基于配电网的量子加密通信方法及系统 | |
| CN113497812A (zh) | 物联网网络组网认证系统及其方法 | |
| Chen et al. | ADA-QKDN: A new quantum key distribution network routing scheme based on application demand adaptation | |
| Lou et al. | Benchmark performance of digital qkd platform using quantum permutation pad | |
| Fun et al. | Attribute based encryption—A data centric approach for securing internet of things (IoT) | |
| Alagheband et al. | Advanced encryption schemes in multi-tier heterogeneous internet of things: taxonomy, capabilities, and objectives | |
| JP6453154B2 (ja) | ネットワーク管理システム及びネットワーク管理方法 | |
| Xu et al. | Stochastic resource allocation in quantum key distribution for secure federated learning | |
| Dervisevic et al. | Simulations of denial of service attacks in quantum key distribution networks |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |