CN110677241A - 一种量子网络虚拟化架构方法与装置 - Google Patents
一种量子网络虚拟化架构方法与装置 Download PDFInfo
- Publication number
- CN110677241A CN110677241A CN201910819499.1A CN201910819499A CN110677241A CN 110677241 A CN110677241 A CN 110677241A CN 201910819499 A CN201910819499 A CN 201910819499A CN 110677241 A CN110677241 A CN 110677241A
- Authority
- CN
- China
- Prior art keywords
- quantum
- node
- virtual
- network
- state
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种量子网络虚拟化架构方法,包括量子网络层和量子网络虚拟化层,其中,量子网络层用于目标量子网络中相邻量子节点之间协商共享量子密钥分组,量子中继节点(或/和虚拟量子中继节点)创建虚拟节点状态,量子服务节点存储与虚拟节点状态关联的共享量子密钥分组或随机数分组;量子网络虚拟化层用于创建目标量子网络的虚拟量子网络状态、或/和虚拟量子链路网络状态。本发明还提供了一种量子网络虚拟化架构的节点装置和服务器装置。本发明可以解决量子网络存在的规模量子链路并发冲突、量子中继链路延迟大等问题,可广泛用于量子通信网络等,具有良好的应用推广前景。
Description
技术领域
本发明涉及量子通信网络架构和网络功能虚拟化技术领域,尤其涉及一种量子网络虚拟化架构方法与装置。
背景技术
一个量子通信网络中的量子节点一般是由一个连接经典通信网络的经典通信终端和连接量子密钥分发(Quantum Key Distribution,简称QKD)网络的量子设备终端组成。但是由于量子信号不可克隆性的限制,量子通信无法直接采用经典通信中“恢复—放大”的中继模式。因此,QKD的有效传输距离是有限的。由于缺少实用的不落地量子通信中继技术,通常在QKD网络中采用量子可信中继技术。但是,这种网络模式存在网络复杂度高、规模量子链路并发冲突、可信中继延迟大等。解决上述问题对于量子通信网络的应用推广具有非常重要的实际意义,而量子网络功能虚拟化是解决上述问题的一种创新路线。
发明内容
为了解决背景技术中上述的量子通信网络的技术问题,本发明提供了一种量子网络虚拟化架构方法,包括:量子网络层:用于目标量子网络中相邻量子节点之间协商共享量子密钥分组,目标量子中继节点(或量子中继节点和虚拟量子中继节点)创建虚拟节点状态,目标量子服务节点存储与虚拟节点状态关联的共享量子密钥分组(或随机数分组);量子网络虚拟化层:用于创建目标量子网络的虚拟量子网络状态、或/和创建目标量子网络的虚拟量子链路网络状态;其中,一个虚拟节点状态包括:目标量子节点的具有相同全局标识的一部分或全部虚拟节点路由状态,其中,一个虚拟节点路由状态包括:目标量子节点与两个相邻的目标量子节点分别所协商的共享量子密钥分组的异或值及其标识(为方便起见,以下把上述异或值记作一个虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其标识记作一个虚拟节点路由状态);虚拟量子网络状态包括:目标量子网络中所有具有相同全局标识的量子中继节点(或,量子中继节点和虚拟量子中继节点)的虚拟节点状态;虚拟量子链路网络状态包括:目标量子网络中所有任意两个量子服务节点之间的虚拟量子链路状态或其中一部分虚拟链路状态,上述虚拟链路状态包括:与虚拟链路所关联的两个量子服务节点的相应共享量子密钥分组(或随机数分组)的异或值;上述共享量子密钥分组(或随机数分组)与相应的虚拟量子网络状态或虚拟链路网络状态具有相同的全局标识或一一对应关联。
可选地,上述方法还包括:虚拟链路服务层,用于提供以下服务中的任一种或多种,虚拟链路服务包括:把与两个量子服务节点关联的一个或多个虚拟链路状态发送给上述两个量子服务节点、或上述两个量子服务节点所关联的应用装置,其中,应用装置包括但不限于:密码应用装置、密钥服务代理装置、虚拟链路服务代理装置;
虚拟链路网络状态服务包括:把一个或多个虚拟网络状态或虚拟链路网络状态发送给目标接收方;
数据安全共享包括:一个量子服务节点计算一个数据分组与一个虚拟链路状态关联的共享量子密钥分组的异或值(记为第一异或值)并发送给第三方服务器,第三方服务器计算所述第一异或值与所述虚拟链路状态的异或值(记为第二异或值)并发送给另一个量子服务节点,另一个量子服务节点计算其与所述虚拟链路状态关联的共享量子密钥分组与所述第二异或值的异或值并得到所述数据分组;或者,一个量子服务节点计算一个数据分组与一个虚拟链路状态关联的共享量子密钥分组的异或值并发送给另一个量子服务节点,第三方服务器把相应的虚拟链路状态也发送给另一个量子服务节点,另一个量子服务节点计算所述异或值与虚拟链路状态关联的共享量子密钥分组及所述虚拟链路状态的异或值并得到所述数据分组;其中,数据分组包括随机数分组或消息分组,应用装置包括:密码应用装置、密钥服务代理装置、虚拟链路服务代理装置。
可选地,上述方法还包括:提供密钥服务:步骤一:选择包含目标量子网络中的m个量子服务节点的一个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把所述虚拟量子链路网络状态或切片分别发送给所述m个量子服务节点,步骤二:m个量子服务节点协商采用某个第一量子服务节点的关联共享量子密钥分组作为群组共享密钥,其它任意一个第二量子服务节点基于所述虚拟量子链路网络状态或切片计算相应的虚拟链路状态数据与第二量子服务节点的关联共享量子密钥分组的异或值,并得到第一量子服务节点的关联共享量子密钥分组,m个量子服务节点分别把所述关联共享量子密钥分组注入所关联的加密装置。
可选地,上述方法还包括:虚拟量子链路网络状态的应用方法,适用的场景包括:多个节点分别独立采集或计算数据,一个节点采集或计算出一个数据后,即加密上述数据并公开相应的密文,其它节点可以实时解密上述密文并获得上述数据;具体包括如下步骤:第三方服务器为目标量子网络中的m个量子服务节点选择一个或多个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把上述虚拟量子链路网络状态或切片分别发送给上述m个量子服务节点;第一量子服务节点(记为源节点)选择一个虚拟量子链路网络状态或切片并采用与该虚拟量子链路网络状态或切片关联的共享量子密钥分组加密源节点的目标数据并得到密文,为上述密文创建密文标识并公开上述密文及其密文标识;其它一个或多个第二量子服务节点分别基于上述虚拟量子链路网络状态或切片计算相应的虚拟量子链路状态数据与相应第二量子服务节点的关联共享量子密钥分组的异或值,并得到源节点的关联共享量子密钥分组,利用上述关联共享量子密钥分组解密密文并得到源节点发送的目标数据;其中,上述密文标识包括:虚拟量子链路网络状态或切片的标识,源节点的标识、加密方式,其中,加密方式包括异或加密或采用对称密码算法加密;上述第三方服务器包括量子密钥服务装置、或/和虚拟量子链路服务装置、或/和虚拟量子链路网络状态或切片服务装置;上述目标数据包括以下数据中的任一种或任多种:消息分组、随机密钥数据、传感数据、音视频监控数据、计算数据、数据文件。
可选地,上述方法还包括:根据虚拟量子网络状态或/和虚拟量子链路网络状态的产生时间或/和使用频次标注虚拟量子网络状态或/和虚拟量子链路网络状态的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
本发明还提供了一种量子网络虚拟化架构的节点装置,包括:收发器,用于向虚拟化服务器装置或网络控制器上报上述量子节点的拓扑信息,用于接收上述虚拟化服务器装置或网络控制器下发的虚拟化指令,用于把虚拟节点路由状态发送给目标接收方;数据处理单元,用于与相邻的目标量子节点协商共享量子密钥分组、创建虚拟节点路由状态,或/和,还用于创建虚拟节点状态,可选地,还用于创建虚拟量子中继节点;节点虚拟化单元,用于虚拟节点路由状态或/和虚拟节点状态的存储和输出管理;其中,虚拟节点路由状态包括:目标量子中继节点与两个相邻的目标量子节点之间的共享量子密钥分组的异或值及其相应的标识;虚拟节点状态包括:目标量子中继节点的一部分或全部虚拟节点路由状态及其相应的标识;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式;拓扑信息包括但不限于:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态。
本发明还提供了一种量子网络虚拟化架构的虚拟化服务器装置,包括:存储器,用于存储程序和指令;数据处理单元,用于通过调用上述存储器中存储的程序和指令,执行:把所有目标量子节点的当前虚拟节点状态及其相应的标识封装为一个虚拟网络状态或切片、或/和把目标网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟链路状态封装为虚拟链路网络切片;收发器,用于向网络控制器发送量子网络虚拟化请求,接收目标量子节点的虚拟节点状态,并发送给数据处理单元;其中,拓扑信息包括但不限于:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式。
与常规的QKD网络架构相比,本发明具有如下创新性:本发明实现了量子中继链路服务与QKD网络的分离,不用实时协调QKD链路资源进行量子密钥可信中继,可以有效解决QKD网络中存在的规模中继链路并发冲突和可信中继延迟问题。因此,本发明在量子通信网络规模应用领域具有良好的应用推广前景。
附图说明
图1为本发明实施例提供的一种量子网络虚拟化架构方法示意图;
图2为本发明实施例提供的一种量子网络虚拟化架构方法流程示意图;
图3为本发明实施例提供的另一种量子网络虚拟化架构方法流程示意图;
图4为本发明实施例提供的一种量子中继节点创建虚拟节点状态的方法示意图;
图5为本发明实施例提供的一种量子服务节点创建虚拟节点状态的方法示意图;
图6为本发明实施例提供的一种协商共享量子密钥分组的方法示意图;
图7为本发明实施例提供的另一种协商共享量子密钥分组的方法示意图;
图8为本发明实施例提供的一种创建虚拟量子链路状态的方法示意图;
图9为本发明实施例提供的一种量子网络虚拟化架构应用示意图;
图10为本发明实施例提供的一种量子网络虚拟化架构的节点装置示意图;
图11为本发明实施例提供的一种量子网络虚拟化架构的虚拟化服务器装置示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,作为本发明的一部分,下面首先对本发明及其中的一些术语及其内涵进行说明。
(1)本发明实施例所适用的目标网络包括但不限于下列网络中的任一项:量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网、其它采用点对点单跳落地转发方式进行中继传输的网络;相应地,本发明实施例中的目标量子节点包括但不限于:目标量子网络中的一部分或全部量子中继节点、目标量子网络中的一部分或全部量子服务节点(或量子接入节点)。本发明实施例中的目标量子节点适用于但不限于通过光纤接口和无线接口(或自由空间接口)接入目标量子网络的目标量子节点。
(2)本发明实施例中的虚拟化是量子网络功能的电子化或实例化,电子化或实例化后的数据可以脱离其所归属的物理网络使用。
(3)本发明实施例的目标中继节点是指在目标网络中用作中继的节点,或在一个或多个中继链路上拥有至少两个相邻节点并用作中继的节点,中继节点不存储其与相邻节点之间协商的用于目标网络功能虚拟化的密钥;服务节点(或称之为接入节点)是指目标网络中其它不用于中继的节点或不直接用于中继的节点(在一些可能的设计中,服务节点可通过虚拟节点用于中继);另外,针对一个具体的本发明实施例,相应的目标网络包含上述实施例所包含的中继节点和服务节点。
(4)本发明的针对量子网络的实施例所涉及的通信信道包括量子信道和传统通信网络信道,其中,除了相邻量子节点(相邻量子节点是指能够正常进行点对点QKD或量子通信的两个节点,下同)之间的量子密钥分发需要占用量子信道或链路以外,其它通信过程都采用传统通信网络信道,传统通信网络信道包括但不限于有线通信和无线/移动/卫星通信信道中的一种或多种通信信道。
(5)本发明实施例中所使用的术语“虚拟节点路由状态”、“虚拟节点状态”、虚拟网络状态、虚拟链路网络状态等只用于标记相应的数据或文件,而不用于限定相应的数据或文件,所有只是替换名称且并无实质性不同的方案都属于本发明的保护范围。
(6)本发明实施例中的共享量子密钥分组是一定数据长度的共享数据。由于不同的应用系统对共享密钥长度的需求差别很大,并且点对点QKD链路的成码率存在一定差别,因此,本发明不具体限定共享量子密钥分组的数据长度;显然,数据长度是指按相同的数据单位(比如,比特、字节)进行计数。实际上,可以根据实际应用的QKD系统成码率、应用系统的具体需求或未来的行业标准要求,确定共享量子密钥分组的数据长度(比如,2048比特、100K字节、10M字节、1G字节、其它,任意一个满足系统需求的数据长度)。需要明确的是,针对同一个实施例的每一次虚拟化过程,所有相邻目标节点之间协商的共享量子密钥分组具有相同的数据格式(包括但不限于数据类型、数据长度、数据的读写顺序)。
(7)本发明实施例中的全局标识是目标网络中所有节点保持一致的虚拟化标识,即,在创建虚拟节点路由状态之前,目标量子中继节点与相邻的目标量子节点对所协商的共享量子密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,目标量子中继节点与相邻的目标量子中继节点分别把所协商的共享量子密钥分组用于创建具有相同全局标识的虚拟节点路由状态或/和虚拟节点状态,与其相邻的目标量子服务节点所存储的相应共享量子密钥分组的分组标识与全局标识一致;全局标识可以用于区分不同的目标网络,也可以用于区分目标网络中不同的实施例;全局标识可以采用全网统一的全局编号,也可以采用结合目标网络标识和全局编号的标识。
为了使本发明的技术方案及优点更加清楚,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明。
图1示出了应用本发明实施例的一种量子网络虚拟化架构方法的示意图。如图1所示,该架构包括:量子网络层101、量子网络虚拟化层102、量子网络控制器107和虚拟化服务器103;其中,量子网络层101中包括多个量子中继节点104和多个量子服务节点105;量子网络虚拟化层102中包括多个量子节点的虚拟映射节点106。图1中量子网络层101和量子网络虚拟化层102及相应的量子节点及其虚拟映射节点是逻辑上的定义和划分,实际上量子节点及其虚拟映射节点可以是集成到一台设备的不同功能部件;也可能量子节点是一台设备,而虚拟映射节点是另一台设备或虚拟设备。量子网络层101中的每一个量子中继节点104与每一个相邻量子节点协商共享量子密钥分组,量子中继节点104创建并输出虚拟路由状态;量子服务节点105与每一个相邻量子节点协商共享量子密钥分组,存储共享量子密钥分组(或,在创建虚拟中继节点的情况下,存储随机数分组)。
量子网络控制器107与各个量子节点链接,用于获取各个量子节点的拓扑信息并向各个量子节点下发虚拟化指令。虚拟化服务器103与各个虚拟映射节点链接,用于获取各个虚拟映射节点的虚拟路由状态或/和虚拟节点状态。量子网络控制器107与虚拟化服务器103可以是集成到一台设备的不同功能部件,也可能是两个不同的设备或虚拟设备。
可选地,在另一个可能的实施例中,在图1所示的一种量子网络虚拟化架构基础上,还可以包括虚拟量子链路服务层和虚拟量子链路服务器,其中,虚拟量子链路服务器用于虚拟量子链路服务。
图2示例性示出了本发明实施例提供的一种量子网络虚拟化架构方法流程示意图,包括:S201:量子服务节点和量子中继节点向网络控制器上报相应节点的拓扑信息,其中,上述拓扑信息包括但不限于:量子节点的标识、量子节点与每一个相邻的量子节点之间的链路状态;S202:下发虚拟化指令,即,网络控制器向上述量子服务节点和量子中继节点下发虚拟化指令,上述虚拟化指令用于指示:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟链路状态的数据结构、虚拟链路网络切片的数据结构、目标接收方的标识、数据传输方式;S203:量子中继节点与相邻节点协商量子密钥分组,即,与相邻的每一个目标量子节点分别协商一个共享量子密钥分组;S204:量子服务节点与相邻节点协商量子密钥分组,即,与相邻的每一个目标量子节点分别协商一个共享量子密钥分组;S205:创建C(n,2)个虚拟节点路由状态,即,量子中继节点计算其与n个相邻的目标量子节点所协商的n个共享量子密钥分组中的所有任意两个共享量子密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态);S206:量子服务节点安全存储量子密钥分组;S207:量子中继节点分别把上述C(n,2)个虚拟节点路由状态发送给虚拟化服务器;S208:创建虚拟量子网络状态,即,虚拟化服务器为上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态创建网络状态标识(为方便起见,以下把上述网络状态标识记作虚拟网络状态标识,把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其虚拟网络状态标识记作一个虚拟网络状态)。需要明确的是,上述步骤S203和S204在时间序列上不存在绝对的先后次序,即,可能同时进行,也可能步骤S203在S204前面,也可能步骤S204在S203前面;类似地,上述步骤S205和S206在时间序列上也不存在绝对的先后次序。
可选地,在另一个可能的实施例中,可以把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其网络状态标识封装为一个数据文件(为方便起见,以下,把上述数据文件记作虚拟网络状态切片)。上述数据文件包括但不限于数据列表文件、或数据库文件。
在一种可能的设计中,上述网络控制器可以根据虚拟化服务器的需求确定并下发虚拟化指令。
在一种可能的设计中,在上述实施例中,设定接收虚拟节点路由状态的限定时间,如果在限定时间内未收到某个或某些量子中继节点的相应虚拟节点路由状态,则,向相应的某个或某些量子中继节点下达重发指令,或者,在确认相应的某个或某些量子中继节点异常的情况下,把相应的某个或某些量子中继节点剔除出目标量子网络的目标量子中继节点。
在一种可能的设计中,在上述实施例中,根据节点上报的拓扑信息选择目标量子网络中的目标量子节点,如果某个被选择的目标量子节点存在异常或未按时上报节点的拓扑信息或发送虚拟节点路由状态,则,把该目标量子节点剔除出目标量子网络的目标量子节点。
进一步地,在一种可能的设计中,如果某个实施例中的两个目标量子服务节点之间存在点对点的量子密钥分发链路,则,其中任一个量子服务节点都可以不把另一个量子服务节点作为相邻的目标节点。
图3给出了本发明实施例提供的另一种量子网络虚拟化架构方法流程示意图,包括如下步骤:S301:量子节点向网络控制器上报相应节点的拓扑信息,其中,上述拓扑信息包括但不限于:量子节点的标识、量子节点与每一个相邻的量子节点之间的链路状态;S302:网络控制器下发虚拟化指令,即,网络控制器向上述量子节点下发虚拟化指令,上述虚拟化指令用于指示:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式;S303:量子节点与相邻节点协商量子密钥分组,即,与相邻的每一个目标量子节点分别协商一个共享量子密钥分组;S304:每一个量子节点分别创建虚拟节点状态;S305:每一个量子节点分别把相应的虚拟节点状态发送给目标接收方;S306:创建虚拟量子网络状态。上述目标接收方包括但不限于虚拟化服务器、其它第三方服务器。
在上述实施例中,量子节点分别创建虚拟节点状态的方法包括:图4所示的本发明实施例提供的一种量子中继节点创建虚拟节点状态方法、图5所示的本发明实施例提供的一种量子服务节点创建虚拟节点状态的方法。
本发明实施例提供的一种量子中继节点创建虚拟节点状态方法包括如下步骤(如图4所示):S401:与相邻的n个目标节点中的每一个分别协商一个共享量子密钥分组(其中,n是大于1的自然数,且不大于与中继节点相邻的全部节点数量);S402:分别计算其中任意两个共享量子密钥分组的异或值并创建标识,创建C(n,2)个虚拟节点路由状态,即,分别计算上述n个共享量子密钥分组中所有任意两个共享量子密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态),删除所述n个共享量子密钥分组;S403:为上述C(n,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把上述节点标识记作虚拟节点状态标识,把上述C(n,2)个虚拟节点路由状态及其相应的节点标识记为一个虚拟节点状态);可选地,在另一个可能的实施例中,可以进一步地把上述C(n,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,并把上述数据文件作为一个虚拟节点状态;其中,上述数据文件包括但不限于数据列表文件、或数据库文件,通过访问该文件可以快速获取某个或某些虚拟节点路由状态。
本发明实施例提供的一种量子服务节点创建虚拟节点状态的方法包括如下步骤(如图5所示):S501:与相邻的m个目标节点中的每一个分别协商一个共享量子密钥分组(其中,m是大于0的自然数);S502:创建虚拟中继节点,产生一个随机数分组,分别计算(m+1)个共享量子密钥分组中任意两个共享量子密钥分组的异或值并创建标识,创建C(m+1,2)个虚拟节点路由状态;即,把上述随机数分组作为虚拟中继节点与服务节点之间的一个共享量子密钥分组,把m个相邻的目标节点和服务节点作为虚拟中继节点的(m+1)个相邻的目标节点,计算上述(m+1)个共享量子密钥分组中的所有任意两个共享量子密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态);
S503:为上述C(m+1,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把上述节点标识记作虚拟节点状态标识,把上述节点标识及其相应的C(m+1,2)个虚拟节点路由状态记为一个虚拟节点状态);安全存储上述随机数分组,其中,随机数分组与共享量子密钥分组具有相同的数据格式;可选地,在另一个可能的实施例中,可以把上述把上述C(m+1,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,并把上述数据文件作为一个虚拟节点状态。上述数据文件包括但不限于数据列表文件、或数据库文件,通过访问该文件可以快速获取某个或某些虚拟节点状态。
在上述任一个实施例中,其中协商一个共享量子密钥分组可以采用实时共享方法,或/和,预先缓存方法;其中,实时共享方法包括:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥,把上述一定量的共享量子密钥作为一个共享量子密钥分组并创建分组标识;或者,采用如图6所示的本发明实施例提供的一种协商共享量子密钥分组的方法,即包括如下步骤:S601:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥;S602:目标量子节点与相邻的目标量子节点采用相同的数据格式分别把共享量子密钥分割为一个或多个分组、采用相同的随机性测试方法对每一个分组进行随机性测试;S603:把通过上述随机性测试的一个分组作为一个共享量子密钥分组并创建分组标识;
上述预先缓存方法包括(如图7所示的本发明实施例提供的另一种协商共享量子密钥分组的方法):S701:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥;S702:采用相同的数据格式分别把共享量子密钥分割为一个或多个分组,采用相同的随机性测试方法对每一个分组进行随机性测试,缓存通过所述随机性测试的每一个分组并分别创建分组标识;S703:与相邻的目标量子节点协商从缓存的分组中分别选择一个具有一致或相同分组编号的分组作为一个共享量子密钥分组。
上述协商一定量的共享量子密钥包括但不限于:依次与多个相邻目标量子节点协商共享量子密钥、或同时与多个相邻目标量子节点协商共享量子密钥、或根据虚拟化指令与相应的相邻目标量子节点协商共享量子密钥;其中,协商共享量子密钥包括占用量子密钥分发通道的全部带宽、或仅占用整个量子密钥分发通道的部分带宽。
在一种可能的设计中,上述协商一个共享量子密钥分组,还可以包括:一致性校验,其中,上述一致性校验包括但不限于:目标量子节点与相邻的目标量子节点分别计算一个共享量子密钥分组的数据摘要或Hash值,如果这两个数据摘要或Hash值不相同,则不能通过一致性校验,并重新协商;否则,通过一致性校验,并成功协商一个共享量子密钥分组。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:量子中继节点与相邻的量子节点对二者之间所协商的共享量子密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,如果上述相邻的量子节点也是量子中继节点,则上述量子中继节点与相邻的量子中继节点分别把二者之间所协商的共享量子密钥分组用于创建具有相同全局标识的虚拟节点路由状态。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:上述量子中继节点在完成C(n,2)个虚拟节点路由状态后,销毁上述n个共享量子密钥分组,或者,在一个共享量子密钥分组需要参与计算的虚拟节点路由状态数据全部完成后,即销毁上述共享量子密钥分组。
需要明确的是,虚拟化指令所指示的以下内容中的任一种或任多种的具体用途或使用方法包括:全局标识可以用于区分不同的目标量子网络、区分目标量子网络中不同的实施例,可以采用全网统一的全局编号,也可以采用结合目标量子网络标识和全局编号的标识;共享量子密钥分组的数据格式包括但不限于数据类型、数据长度和数据的读写顺序;虚拟节点路由状态的数据结构包括在一个实施例中所采用的虚拟节点路由状态标识的内容及其排序关系;目标接收方的标识用于确定接收方;数据传输方式用于确定采用加密方式或非加密方式。
显而易见的,可以对上述任一个实施例的方法步骤进行重新组合可以得到与本发明方法具有相同应用性能的新实施例。因此,基于上述方法步骤的简单组合和内容调整而得到的方法都落入本发明的保护范围。
上述实施例中的共享量子密钥分组或共享量子密钥分组包括但不限于:分组标识、共享量子密钥数据(具有分组长度的共享量子密钥);其中,共享量子密钥分组标识的数据结构可以采用:分组编号、当前量子节点ID、相邻量子节点ID,等同的,可以把当前量子节点ID和相邻量子节点ID替换为当前节点与相邻节点的链路标识;其中,ID也可以采用其它能够唯一标识相应节点的标识;分组编号可以采用局部编号或全局编号,在采用局部编号的情况下,当某个共享量子密钥分组被用于创建虚拟节点路由状态后,把相应的局部编号改变为相应的虚拟节点路由状态的全局编号。
可选地,通过增加如下内容选项中的任一项或任多项可以得到新的共享量子密钥分组或分组标识实施例:数据格式、校验信息、时间戳,其中,校验信息可以是共享量子密钥分组的数据摘要(或Hash值)或MAC码;数据格式的内容包括以下内容中的任一项或任多项:数据类型(比如,采用二进制、16进制存储)、数据长度、数据的读写顺序。
进一步地,一个可能的本发明实施例提供的一种共享量子密钥分组的数据结构,包括:分组编号、当前量子节点ID、相邻量子节点ID、数据长度、校验信息、量子密钥数据,其中,数据长度可以是量子密钥数据的数据长度,也可以是整个共享量子密钥分组的数据长度;校验信息可以是量子密钥数据数据摘要(或Hash值)或MAC码。
上述实施例中的虚拟节点路由状态包括但不限于:虚拟节点路由状态标识、虚拟节点路由状态数据(即,当前目标量子节点与上述两个相邻的目标量子节点之间的共享量子密钥分组的异或值)。本发明实施例提供的一种虚拟节点路由状态标识的内容包括但不限于:全局编号、当前目标量子节点ID1、第一相邻量子节点的ID2、第二相邻量子节点的ID3(或,连接当前目标量子节点与当前目标量子节点的上一个相邻的目标量子节点及下一个相邻的目标量子节点的链路标识)。
上述实施例中虚拟节点状态标识的内容包括但不限于:全局编号、当前目标量子节点的ID1、虚拟节点路由状态数量,其中,虚拟节点路由状态数量可以通过相邻目标量子节点的数量计算得到,因此,可以把虚拟节点路由状态数量替换为相邻目标量子节点的数量并得到一个新的实施例。
在上述实施例基础上,通过为虚拟节点状态标识(或虚拟网络状态标识)增加如下选项中的任一项或任多项可以得到多个新的实施例:目标网络的标识,用于区别不同的目标网络;局部标识,用于区别具有相同全局标识的多个虚拟节点路由状态(或用于区别具有相同全局标识的多个虚拟节点状态);校验信息,上述校验信息用于校验虚拟节点状态(或虚拟网络状态)的完整性,包括相应数据的数据摘要、或Hash值、或MAC码;数字签名,采用数字签名算法对虚拟节点状态(或虚拟网络状态)进行数字签名;时间戳,上述时间戳用于记录虚拟节点状态(或虚拟网络状态)的创建时间;当前虚拟节点状态(或虚拟网络状态)的数据摘要(或Hash值)、上一个虚拟节点状态(或虚拟网络状态)的数据摘要(或Hash值)、或者当前以及上一个虚拟节点状态(或虚拟网络状态)的数据摘要(或Hash值),其中,上述用于虚拟节点路由状态的数字签名的私钥不能被非法访问或导出。
进一步地,在一种可能的设计中,上述用于数字签名的私钥不能被非法访问或导出。
在一种可能的设计中,还可以在上述实施例中的各种标识中增加标识类型,上述标识类型用于区分虚拟路由状态标识、虚拟中继节点状态、虚拟网络状态和虚拟链路状态。
上述实施例中的存储包括但不限于以下选项中的任一项或多项:本地存储、云端存储、服务器端存储,其中,本地存储方法包括但不限于:把虚拟节点路由状态或/和虚拟节点状态存储在目标量子节点设备的存储器中(其中,存储器包括但不限于:本地存储器或网络存储空间),把虚拟节点路由状态标识或/和虚拟节点状态标识发给服务器;云端存储方法包括但不限于:把虚拟节点路由状态(或虚拟节点路由状态数据)或/和虚拟节点状态存储在云端存储空间上;服务器端存储包括但不限于:把虚拟节点路由状态或/和虚拟节点状态发给一个或多个服务器进行存储。
上述实施例中的输出或发送包括但不限于以下选项中的任一项或两项:实时发送、被动响应发送;其中,实时发送包括但不限于:把所创建的虚拟节点路由状态或/和虚拟节点状态实时输出到目标量子节点设备的存储器、或/和第三方服务器、或/和虚拟化指令所指示的目标接收方;被动响应发送包括但不限于:根据虚拟化指令,把具有特定编号的虚拟节点路由状态或/和虚拟节点状态输出到目标量子节点设备的存储器、或/和第三方服务器、或/和虚拟化指令所指示的目标接收方。
进一步地,在一种可能的设计中,上述实施例中的输出或发送可以是加密传输,上述加密传输包括以下选项中的任一项或多项:采用对称密码算法加密传输、采用非对称密码算法加密传输、采用VPN的隧道模式或传输模式的加密传输。
上述实施例中的虚拟化服务器可以包括但不限于以下选项中的任一项或任多项:网络管理装置、网络虚拟化管理装置、服务节点装置、云存储服务装置、区块链的记账节点装置。
上述实施例中的目标接收方可以包括但不限于以下选项中的任一项或任多项:网络管理装置、网络虚拟化管理装置、服务节点装置、云存储服务装置、区块链的记账节点装置。
需要明确的是,在上述任一个实施例中,各个目标量子节点都采用相同的数据格式和数据结构,包括但不限于采用相同的共享量子密钥分组长度、数据类型、数据高低位顺序、相同的标识内容及其排序方式。
本发明虽然已经描述了上述共享量子密钥分组和虚拟节点路由状态的数据结构(可以包括:目标数据及其标识的内容选项及其排序、数据类型、数据长度等),但是可以预期,上述数据结构中的元素或变量可以随机组合并不显著影响应用性能;另外,显而易见的,如果某个数据结构中的某个元素或变量(比如,存储类型、数据长度)作为全局变量,则,相应的数据格式中可以不包括该变量,因此,本发明不具体限定数据结构中的元素或变量的位置排序关系,也不限定某个元素或变量的实现方式;另外,具有类似的考虑,本发明不具体限定数据格式中的元素或变量的位置排序关系,也不限定某个元素或变量的实现方式。通过对上述数据结构中的元素进行随机组合或位置调整而得到的方法也都落入本发明的保护范围。显然,在可能的设计中,可以把上述虚拟节点路由状态(或虚拟节点路由状态)标识中的某些内容选项作为相应虚拟节点路由状态(或虚拟节点路由状态)数据的一部分,这种类似的可能设计都落入本发明的保护范围。
图8给出了本发明实施例提供的一种创建虚拟量子链路状态的方法,即,创建目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点(为方便起见,分别记为源节点和宿节点)之间的虚拟量子链路状态,包括:
S801:选择一个虚拟量子网络状态或虚拟网络状态切片;
S802:选择源节点和宿节点之间的一个量子密钥中继链路,从上述虚拟量子网络状态或虚拟网络状态切片中把与上述量子密钥中继链路关联的所有虚拟节点路由状态中相应的虚拟节点路由数据筛选出来,计算上述全部虚拟节点路由数据的异或值,为上述异或值创建虚拟量子链路状态标识(为方便起见,把上述异或值记为虚拟量子链路状态数据,把上述虚拟量子链路状态标识及其相应的异或值记为上述源节点和宿节点之间的一个虚拟量子链路状态);
S803:把目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟量子链路状态封装为一个或多个数据文件(为方便起见,把上述数据文件记为虚拟量子链路网络切片);其中,上述数据文件包括但不限于数据列表文件、或数据库文件,通过访问该文件可以快速获取某个或某些虚拟链路状态;上述虚拟量子链路状态标识包括但不限于:全局标识、源节点和宿节点的标识、上述虚拟链路状态数据的校验值;选择源节点和宿节点之间的一个量子密钥中继链路方法包括但不限于:根据虚拟量子网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、随机选择一个可联通的量子密钥中继链路。
下面结合图9给出的本发明实施例提供的一种量子网络虚拟化架构应用示意图,进一步说明上述实施例的具体使用方法。如图9所示,目标量子网络中的目标量子节点包含图9中的5个服务节点(S1、S2、S3、S4和S5)和5个中继节点(R1、R2、R3、R4和R5),假设在一次量子网络虚拟化流程中,S1与R1之间协商的共享量子密钥分组为Ks1r1;R1与R2之间协商的共享量子密钥分组为Kr1r2,R1与R5之间协商的共享量子密钥分组为Kr1r5;R2与R3之间协商的共享量子密钥分组为Kr2r3;R3与R4之间协商的共享量子密钥分组为Kr3r4,R3与R5之间协商的共享量子密钥分组为Kr3r5(Kr3r5=Kr5r3,其它类似),R3与S3之间协商的共享量子密钥分组为Kr3s3;S4与R5之间协商的共享量子密钥分组为Ks4r5;R4与S2之间协商的共享量子密钥分组为Kr4s2;R4与S5之间协商的共享量子密钥分组为Kr4s5。
相应的虚拟网络状态包括:R1的虚拟节点路由状态包括(Ks1r1⊕Kr1r2)、(Ks1r1⊕Kr1r5)、(Kr1r2⊕Kr1r5),R2的虚拟节点路由状态包括(Kr1r2⊕Kr2r3),R3的6个虚拟节点路由状态包括(Kr2r3⊕Kr3r4)、(Kr2r3⊕Kr3s3)、(Kr2r3⊕Kr5r3)、(Kr5r3⊕Kr3r4)、(Kr5r3⊕Kr3s3)、和(Kr3s3⊕Kr3r4),R4的虚拟节点路由状态包括(Kr3r4⊕Kr4s2)、(Kr3r4⊕Ks5r4)、(Kr4s2⊕Ks5r4),R5的虚拟节点路由状态包括(Ks4r5⊕Kr1r5)、(Ks4r5⊕Kr5r3)、(Kr1r5⊕Kr5r3)。
相应的虚拟链路网络状态或切片包括S1、S2、S3、S4和S5中任意两个节点之间的虚拟链路状态,例如,S1与S2之间的虚拟链路状态:
VQL_s1s2=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)
=Ks1r1⊕Kr4s2;
S1与S3之间的虚拟链路状态:
VQL_s1s3=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3s3)
=(Ks1r1⊕Kr1r5)⊕(Kr1r5⊕Kr5r3)⊕(Kr5r3⊕Kr3s3)=Ks1r1⊕Kr3s3;其它(C(5,2)-2)个虚拟链路状态可以采用类似的方法计算。
在另一种可能的设计中,在上述虚拟网络状态的基础上,进一步地,S1、S2、S3、S4和S5还可以分别产生随机数分组RKs1、RKs2、RKs3、RKs4和RKs5,相应的虚拟网络状态还包括S1、S2、S3、S4和S5的虚拟节点路由状态及其标识(即,(RKs1⊕Ks1r1)、(RKs2⊕Ks2r4)、(RKs3⊕Ks3r3)、(RKs4⊕Ks4r5)和(RKs5⊕Ks5r4))。
由于R2是一个可选的中继节点,因此,在一种可能的设计中,上述虚拟网络状态可以不包含R2的虚拟节点路由状态,或者,不把R2作为目标中继节点。因此,在另一种可能的设计中,可以设置切片的封装条件,即,虚拟化服务器已经接收到创建任意两个服务节点之间的虚拟量子链路状态所需要的虚拟节点路由状态。
在一种可能的设计中,可以把上述实施例中的5个服务节点之间的C(5,2)=10个虚拟链路状态封装成多个子网切片;例如,可以封装包括S1、S2和S3中所有任意两个节点之间的3个虚拟链路状态的虚拟链路网络切片的子网切片、包括S3、S4和S5中任意两个节点之间的虚拟链路状态的虚拟链路网络切片的子网切片。
在一种可能的设计中,目标量子节点可以包含图9中的部分服务节点(S1、S2、S3、S4、S5中的任意多个的组合)和部分或全部中继节点(R1、R2、R3、R4和R5的一部分或全部)。假设在一种可能的设计中需要创建S1与S2、S1与S3、S2与S3之间的虚拟量子网络,并选择其中3个密钥中继链路(包括S1-R1-R2-R3-R4-S2、S1-R1-R2-R3-S3、S2-R4-R3-S3),即该实施例的目标量子网络中的目标量子节点仅仅包含3个服务节点(S1、S2和S3)和4个中继节点(R1、R2、R3和R4)。假设在一次量子网络虚拟化流程中,S1与R1之间协商的共享量子密钥分组为Ks1r1,R1与R2之间协商的共享量子密钥分组为Kr1r2,R2与R3之间协商的共享量子密钥分组为Kr2r3,R3与R4之间协商的共享量子密钥分组为Kr3r4,R3与S3之间协商的共享量子密钥分组为Kr3s3,R4与S2之间协商的共享量子密钥分组为Kr4s2;则,相应的虚拟网络状态包括:R1的虚拟节点路由状态数据(Ks1r1⊕Kr1r2)及其标识,R2的虚拟节点路由状态数据(Kr1r2⊕Kr2r3)及其标识,R3的3个虚拟节点路由状态数据(Kr2r3⊕Kr3r4)、(Kr2r3⊕Kr3s3)和(Kr3s3⊕Kr3r4)及其标识,R4的虚拟节点路由状态数据(Kr3r4⊕Kr4s2)及其标识;相应的虚拟链路网络切片包括:
S1与S2之间的虚拟链路状态:
VQL_s1s2=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)
=Ks1r1⊕Kr4s2;
S1与S3之间的虚拟链路状态:
VQL_s1s3=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3s3)=Ks1r1⊕Kr3s3;
S2与S3之间的虚拟链路状态:
VQL_s2s3=(Kr3s3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)=Kr3s3⊕Kr4s2。
在另一种可能的设计中,目标量子节点可以包含图9中的S1、S2、S3、S4、S5中的任意多个的组合和全部中继节点(R1、R2、R3、R4和R5),并采用上述方法创建相应的虚拟网络状态或/和虚拟链路网络切片。
在另一种可能的设计中,可以根据不同的业务需求,把上述目标网络规划为多个包含不同目标服务节点的目标网络实施例,并针对每一个目标网络实施例创建虚拟链路网络切片。
在一种可能的设计中,虚拟化服务器或第三方服务器把虚拟链路状态VQL_s1s2分别发送给S1和S2,S1和S2基于VQL_s1s2可以协商共享密钥,即,S1可以计算:
rk_a⊕Ks1r1⊕VQL_s1s2=rk_a⊕Ks1r1⊕Ks1r1⊕Kr4s2=rk_a⊕Kr4s2;并发送给S2,S2计算:Kr4s2⊕rk_a⊕Kr4s2=rk_a;即,实现了S1和S2之间共享了rk_a。在另一种可能的设计中,S1和S2也可以协商使用Ks1r1或Kr4s2作为共享密钥,例如,如果S1和S2协商使用Ks1r1作为共享密钥,则,S2计算VQL_s1s2⊕Kr4s2=Ks1r1。
需要明确的是,上述共享量子密钥分组的标识具有对称性,即,Krirj=Krjri;虚拟链路状态的标识也具有类似的对称性,即,VQL_sisj=VQL_sjsi。
在一种可能的设计中,虚拟化服务器或第三方服务器把上述虚拟链路网络状态或切片分别发送给S1、S2和S3,S1、S2和S3协商采用其中一个量子服务节点的关联共享量子密钥分组作为群组共享密钥,其它量子服务节点基于虚拟链路网络切片获取该关联共享量子密钥分组,S1、S2和S3分别把该关联共享量子密钥分组注入所关联的加密装置;例如,假定选择S1与上述虚拟链路网络切片的关联共享量子密钥分组Ks1r1作为群组共享密钥,则,S2计算Kr4s2⊕VQL_s1s2=Ks1r1;S3计算Kr3s3⊕VQL_s1s3=Ks1r1;即基于一个虚拟链路网络切片可以实现一个量子服务节点与其它量子服务节点之间的密钥共享,并可以用于周期性地更换多个加密装置之间的用于互通的共享密钥。
在一种可能的设计中,虚拟化服务器或第三方服务器把上述虚拟链路网络切片分别发送给S1、S2和S3,其中,一个量子服务节点(记为源节点)选择一个虚拟量子链路网络状态或切片并采用与该虚拟量子链路网络状态或切片关联的共享量子密钥分组加密源节点的目标数据并得到密文,为上述密文创建密文标识并公开上述密文及其密文标识;其它量子服务节点分别基于上述虚拟量子链路网络状态或切片计算相应的虚拟量子链路状态数据与相应量子服务节点的相应关联共享量子密钥分组的异或值,并得到源节点的关联共享量子密钥分组,利用上述关联共享量子密钥分组解密密文并得到源节点发送的目标数据;例如,源节点S1采用Ks1r1加密一个目标数据R,即计算Ks1r1⊕R并分别发送给S2和S3;S2计算Kr4s2⊕VQL_s1s2⊕Ks1r1⊕R=Kr4s2⊕Ks1r1⊕Kr4s2⊕Ks1r1⊕R=R;S3计算Kr3s3⊕VQL_s1s3⊕Ks1r1⊕R=Kr3s3⊕Ks1r1⊕Kr3s3⊕Ks1r1⊕R=R;上述密文标识包括但不限于:虚拟量子链路网络状态或切片的标识,源节点的标识、加密方式,其中,加密方式可以异或加密或采用对称密码算法加密;上述目标数据包括以下数据中的任一种或任多种:消息分组、随机密钥数据、传感数据、音视频监控数据、计算数据、数据文件。
进一步地,在一种可能的设计中,上述S1、S2、S3、S4、S5中的任意一个或多个量子服务节点可以分别把与一个或多个虚拟量子链路网络状态或切片关联的共享量子密钥分组发送给其它代理装置,上述代理装置之间或代理装置与其它量子服务节点之间采用上述方法协商共享密钥或进行安全数据的共享。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:对虚拟链路状态进行正确性验证,包括:一个目标量子服务节点计算与上述虚拟链路状态一一对应关联的共享量子密钥分组与上述虚拟链路状态数据的异或值,计算上述异或值或其一部分数据的数据摘要并发送给另一个目标量子服务节点,另一个目标量子服务节点计算与上述虚拟链路状态一一对应关联的共享量子密钥分组或共享量子密钥分组的一部分数据的数据摘要,如果这两个数据摘要相同,则,通过正确性验证,或者,两个目标量子服务节点分别把上述两个数据摘要发送给第三方,第三方比较上述两个数据摘要,如果这两个数据摘要相同,则,通过正确性验证。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以为上述C(n,2)个虚拟链路状态创建标识(为方便起见,以下把上述标识记作虚拟链路网络切片标识,把上述C(n,2)个虚拟链路状态及其相应的标识记作一个虚拟链路网络切片),或,进一步地,把上述C(n,2)个虚拟链路状态及其标识封装为一个数据文件(把上述数据文件记作一个虚拟链路网络切片);其中,虚拟链路网络切片标识包括但不限于:目标量子网络标识、全局标识、虚拟链路状态的数量。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,根据既定的系统策略确定以下内容中的任一项或任多项:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、虚拟网络状态的数据结构、虚拟量子链路状态的数据结构、目标接收方的标识、数据传输方式。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以包括:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络、集中式虚拟映射网络;其中,分布式虚拟映射网络的特征在于:每一个目标量子节点分别创建一个虚拟量子节点;集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟量子节点;其中,上述虚拟映射网络还包括:目标量子节点之间的网络链路拓扑图;虚拟量子节点用于存储或输出相应的虚拟中继节点状态或虚拟节点路由状态。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以根据虚拟网络状态/切片(或虚拟链路状态/切片)的产生时间或/和使用频次标注虚拟网络状态/切片(或虚拟链路状态/切片)的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以把一个或多个虚拟网络状态或虚拟链路网络切片发送给虚拟链路服务代理装置、或/和虚拟链路服务装置。
图10为本发明实施例提供的一种量子网络虚拟化架构的节点装置示意图,包括:
收发器:包括各个接口模块,例如图10中所示的收发器可包括接口模块1001、接口模块1002;其中,接口模块1001用于向虚拟化服务器1007上报上述量子中继节点的拓扑信息、接收虚拟化指令;还用于向虚拟化服务器1007发送虚拟节点路由状态或/和虚拟中继节点状态;数据处理单元1003:用于与相邻量子节点1006协商共享量子密钥分组,或/和,创建虚拟节点路由状态,或/和,还用于创建虚拟节点状态;可选地,还用于从量子密钥分发单元1005获取量子密钥;节点虚拟化单元1004:用于虚拟节点路由状态或/和虚拟节点状态的存储和输出管理;其中,虚拟节点路由状态包括:目标量子中继节点与两个相邻的目标量子节点之间的共享量子密钥分组的异或值及其相应的标识;虚拟节点状态包括:目标量子中继节点的一部分或全部虚拟节点路由状态及其相应的标识;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式;拓扑信息包括:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态。
图11为本发明实施例提供的一种量子网络虚拟化架构的虚拟化服务器装置示意图,该虚拟化服务器装置包括:包括处理器1101、存储器1102、收发器1103,可选地,还包括总线1104和通信接口1105。其中,存储器1102,用于存储程序和指令;处理器1101,用于通过调用上述存储器中存储的程序和指令,执行把所有目标量子节点的当前虚拟节点状态及其相应的标识创建为一个虚拟网络状态,或/和,把上述所有目标量子节点的当前虚拟节点状态及其相应的标识封装为虚拟网络状态切片、或/和把目标量子网络中的一部分或全部服务节点中的所有任意两个服务节点之间的虚拟链路状态封装为虚拟链路网络切片;收发器1103,用于向网络控制器发送量子网络虚拟化请求,接收目标量子节点的虚拟节点状态并发送给数据处理单元。
进一步地,在一种可能的设计中,上述处理器还用于执行:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络,或/和,集中式虚拟映射网络,分布式虚拟映射网络的特征在于:每一个目标量子节点分别创建一个虚拟节点,集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟节点;其中,上述虚拟映射网络包括:目标量子节点之间的网络链路拓扑图;虚拟节点用于存储或输出相应的虚拟节点状态。
进一步地,在另一种可能的设计中,上述处理器还用于执行:验证虚拟节点状态的数字签名,如果不能通过验证,则相应节点需要重新发送相应的虚拟节点状态。
总线1104可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图11中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1102可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,简称RAM);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory)、硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器还可以包括上述种类的存储器的组合。
通信接口1105可以为有线通信接入口、无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口、电接口或其组合。无线通信接口可以为WLAN接口。
处理器1101可以是中央处理器(central processing unit,简称CPU),网络处理器(network processor,简称NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC)、可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD),现场可编程逻辑门阵列(field-programmable gate array,简称FPGA)、通用阵列逻辑(genericarraylogic ,简称GAL)或其任意组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置(或系统)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(或系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (19)
1.一种量子网络虚拟化架构方法,其特征在于,包括:
量子网络层:用于目标量子网络中相邻量子节点之间协商共享量子密钥分组,量子中继节点(或,量子中继节点和虚拟量子中继节点)创建虚拟节点状态,量子服务节点存储与虚拟节点状态关联的共享量子密钥分组(或随机数分组),
量子网络虚拟化层:用于创建目标量子网络的虚拟量子网络状态、或/和创建目标量子网络的虚拟量子链路网络状态,
其中,一个虚拟节点状态包括:目标量子节点的具有相同全局标识的一部分或全部虚拟节点路由状态,其中,一个虚拟节点路由状态包括:目标量子节点与两个相邻的目标量子节点分别所协商的共享量子密钥分组的异或值及其标识(为方便起见,以下把所述异或值记作一个虚拟节点路由状态数据,把所述标识记作虚拟节点路由状态标识,把所述异或值及其标识记作一个虚拟节点路由状态),
虚拟量子网络状态包括:目标量子网络中所有具有相同全局标识的量子中继节点(或,量子中继节点和虚拟量子中继节点)的虚拟节点状态,
虚拟量子链路网络状态包括:目标量子网络中所有任意两个量子服务节点之间的虚拟量子链路状态或其中一部分虚拟链路状态,所述虚拟链路状态包括:与虚拟链路所关联的两个量子服务节点的相应共享量子密钥分组(或随机数分组)的异或值,
所述共享量子密钥分组(或随机数分组)与相应的虚拟量子网络状态或虚拟链路网络状态具有相同的全局标识或一一对应关联。
2.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,包括:虚拟链路服务层,用于提供以下服务中的任一种或多种:
虚拟链路服务包括:把与两个量子服务节点关联的一个或多个虚拟链路状态分别发送给所述两个量子服务节点、或所述两个量子服务节点所关联的应用装置,
虚拟链路网络状态服务包括:把一个或多个虚拟网络状态或虚拟链路网络状态发送给目标接收方,
数据安全共享包括:一个量子服务节点计算一个数据分组与一个虚拟链路状态关联的共享量子密钥分组的异或值(记为第一异或值)并发送给第三方服务器,第三方服务器计算所述第一异或值与所述虚拟链路状态的异或值(记为第二异或值)并发送给另一个量子服务节点,另一个量子服务节点计算其与所述虚拟链路状态关联的共享量子密钥分组与所述第二异或值的异或值并得到所述数据分组,或者,一个量子服务节点计算一个数据分组与一个虚拟链路状态关联的共享量子密钥分组的异或值并发送给另一个量子服务节点,第三方服务器把相应的虚拟链路状态也发送给另一个量子服务节点,另一个量子服务节点计算所述异或值与虚拟链路状态关联的共享量子密钥分组及所述虚拟链路状态的异或值并得到所述数据分组,其中,数据分组包括随机数分组或消息分组,应用装置包括:密码应用装置、密钥服务代理装置、虚拟链路服务代理装置。
3.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,所述量子网络层包括:网络控制器,所述网络控制器用于向量子节点发送虚拟化指令、接收量子节点发送的节点的拓扑信息,其中,所述虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式,所述拓扑信息包括:目标量子节点的标识、目标量子节点与每一个相邻的目标量子节点之间的链路状态。
4.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,所述量子网络虚拟化层包括:量子网络的虚拟映射网络,其中,量子网络的虚拟映射网络包括:分布式虚拟映射网络,或/和,集中式虚拟映射网络,分布式虚拟映射网络的特征在于:每一个目标量子节点分别创建一个虚拟节点,集中式虚拟映射网络的特征在于:第三方服务器为每一个目标量子节点创建一个虚拟节点,其中,所述虚拟映射网络还包括:目标量子节点之间的网络链路拓扑图,虚拟节点用于存储或输出相应的虚拟节点状态。
5.根据权利要求1或4所述的一种量子网络虚拟化架构方法,其特征在于,所述量子网络虚拟化层包括:虚拟化服务器,用于向网络控制器发送量子网络虚拟化请求,用于接收量子中继节点(或,量子中继节点和虚拟量子中继节点)的虚拟节点状态,用于创建目标量子网络的虚拟量子网络状态、或/和创建目标量子网络的虚拟链路网络状态。
6.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,量子中继节点创建当前虚拟节点状态包括:全路由方法、或部分路由方法,其中,
全路由方法包括:量子中继节点与相邻的n个目标量子节点中的每一个分别协商一个共享量子密钥分组(其中,n是大于1的自然数,且不大于与量子中继节点相邻的全部量子节点数量),计算所述n个共享量子密钥分组中所有任意两个共享量子密钥分组的异或值并创建相应的标识(为方便起见,以下把所述异或值记作虚拟节点路由状态数据,把所述标识记作虚拟节点路由状态标识,把所述异或值及其相应的标识记作一个虚拟节点路由状态),为所述C(n,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把所述节点标识记作虚拟节点状态标识,把所述C(n,2)个虚拟节点路由状态及其相应的节点标识记为一个虚拟节点状态),或,进一步地,把所述C(n,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,把所述数据文件作为一个虚拟节点状态,
部分路由方法包括:量子中继节点选择一个或多个中继路由,针对每一个中继路由,计算与该中继路由的上一个相邻量子节点和下一个相邻量子节点分别所协商的共享量子密钥分组的异或值并创建标识(为方便起见,以下把所述异或值记作虚拟节点路由状态数据,把所述标识记作虚拟节点路由状态标识,把所述异或值及其相应的标识记作一个虚拟节点路由状态),为所述一个或多个虚拟节点路由状态创建节点标识(为方便起见,以下把所述节点标识记作虚拟节点状态标识,把所述一个或多个虚拟节点路由状态及其相应的节点标识记为一个虚拟节点状态),或,进一步地,把所述一个或多个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,把所述数据文件作为一个虚拟节点状态。
7.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,虚拟量子中继节点创建当前虚拟节点状态包括:量子服务节点与相邻的m个目标量子节点中的每一个分别协商一个共享量子密钥分组(其中,m是大于0的自然数),创建虚拟中继节点,产生一个随机数分组并创建相应的分组标识,把所述随机数分组作为虚拟中继节点与量子服务节点之间的一个共享量子密钥分组,把m个相邻的目标量子节点和量子服务节点作为虚拟中继节点的(m+1)个相邻的目标量子节点,计算所述(m+1)个共享量子密钥分组中的所有任意两个共享量子密钥分组的异或值并创建相应的标识(为方便起见,以下把所述异或值记作虚拟节点路由状态数据,把所述标识记作虚拟节点路由状态标识,把所述异或值及其相应的标识记作一个虚拟节点路由状态),为所述C(m+1,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把所述节点标识记作虚拟节点状态标识,把所述节点标识及其相应的C(m+1,2)个虚拟节点路由状态记为一个虚拟节点状态),或,进一步地,把所述把所述C(m+1,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,并把所述数据文件作为一个虚拟节点状态,其中,随机数分组与共享量子密钥分组具有相同的数据格式。
8.根据权利要求6或7所述的一种量子网络虚拟化架构方法,其特征在于,包括:在完成创建全部虚拟节点状态后,目标量子节点把所使用过的且不需要存储的全部共享量子密钥分组销毁,或者,在一个共享量子密钥分组需要参与计算的虚拟节点路由状态数据全部完成后,即销毁所述共享量子密钥分组。
9.根据权利要求6或7所述的一种量子网络虚拟化架构方法,其特征在于,所述协商一个共享量子密钥分组包括以下方法中的任一项或两项:实时共享方法、预先缓存方法,其中,
所述实时共享方法包括:目标量子节点与相邻的目标量子节点实时协商一定量的共享量子密钥,把所述一定量的共享量子密钥作为一个共享量子密钥分组,或者,目标量子节点与相邻的目标量子节点采用相同的数据格式分别把共享量子密钥分割为一个或多个分组、采用相同的随机性测试方法对每一个分组进行随机性测试、把通过所述随机性测试的一个分组作为一个共享量子密钥分组,
所述预先缓存方法包括:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥,采用相同的数据格式分别把共享量子密钥分割为一个或多个分组,采用相同的随机性测试方法对每一个分组进行随机性测试,缓存通过所述随机性测试的每一个分组并分别创建分组标识,与相邻的目标量子节点协商从缓存的分组中分别选择一个具有一致或相同分组编号的分组作为一个共享量子密钥分组。
10.根据权利要求9所述的一种量子网络虚拟化架构方法,其特征在于,所述协商一定量的共享量子密钥包括以下方法中的任一项:依次与多个相邻目标量子节点协商共享量子密钥、同时与多个相邻目标量子节点协商共享量子密钥、根据虚拟化指令与相应的相邻目标量子节点协商共享量子密钥,其中,协商共享量子密钥包括占用密钥协商通道的全部带宽或仅占用整个密钥协商通道的部分带宽。
11.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,所述虚拟节点路由状态标识包括:全局标识、连接当前目标量子节点与当前目标量子节点的上一个相邻的目标量子节点及下一个相邻的目标量子节点的路由标识(或,当前目标量子节点的标识、第一相邻的目标量子节点的标识、第二相邻的目标量子节点的标识),
所述虚拟节点状态标识的内容包括:当前目标量子节点的标识、全局标识、虚拟节点路由状态数量或相邻目标量子节点的数量,其中,所述全局标识包括:全网统一的编号、或结合目标网络标识和全网统一的编号的标识。
12.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,所述创建目标量子网络的虚拟链路网络状态,包括:选择一个虚拟网络状态,选择任意两个量子服务节点(为方便起见,分别记为源节点和宿节点)之间的一个量子密钥中继链路,从所述虚拟网络状态中把与所述量子密钥中继链路关联的所有虚拟节点状态中的相应的虚拟节点路由数据筛选出来,计算所述全部虚拟节点路由数据的异或值,为所述异或值创建标识(为方便起见,把所述异或值记为虚拟链路状态数据,把所述标识记为虚拟链路状态标识,把所述异或值及其相应的标识记为所述源节点和宿节点之间的一个虚拟链路状态),或,进一步地,把目标网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟链路状态封装为一个或多个数据文件(为方便起见,把所述数据文件记为虚拟链路网络切片),
其中,虚拟节点路由数据包括:目标量子节点与两个关联的相邻量子节点之间的共享量子密钥分组的异或值,所述虚拟链路标识包括:全局标识、源节点和宿节点的标识,选择源节点和宿节点之间的一个量子密钥中继链路方法包括:根据虚拟网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、或随机选择一个可联通的量子密钥中继链路。
13.根据权利要求1或12所述的一种量子网络虚拟化架构方法,其特征在于,包括:提供密钥服务,包括如下步骤:步骤一:选择包含目标量子网络中的m个量子服务节点的一个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把所述虚拟量子链路网络状态或切片分别发送给所述m个量子服务节点,步骤二:m个量子服务节点协商采用某个第一量子服务节点的关联共享量子密钥分组作为群组共享密钥,其它任意一个第二量子服务节点基于所述虚拟量子链路网络状态或切片计算相应的虚拟链路状态数据与第二量子服务节点的相应的关联共享量子密钥分组的异或值,并得到第一量子服务节点的关联共享量子密钥分组,m个量子服务节点分别把所述关联共享量子密钥分组注入所关联的加密装置。
14.根据权利要求1或12所述的一种量子网络虚拟化架构方法,其特征在于,包括:虚拟量子链路网络状态的应用方法,适用的场景包括:多个节点分别独立采集或计算数据,一个节点采集或计算出一个数据后,即加密所述数据并公开相应的密文,其它节点可以实时解密所述密文并获得所述数据,包括如下步骤:第三方服务器为目标量子网络中的m个量子服务节点选择一个或多个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把所述虚拟量子链路网络状态或切片分别发送给所述m个量子服务节点,第一量子服务节点(记为源节点)选择一个虚拟量子链路网络状态或切片并采用与该虚拟量子链路网络状态或切片关联的共享量子密钥分组加密源节点的目标数据并得到密文,为所述密文创建密文标识并公开所述密文及其密文标识,其它一个或多个第二量子服务节点分别基于所述虚拟量子链路网络状态或切片计算相应的虚拟量子链路状态数据与相应第二量子服务节点的关联共享量子密钥分组的异或值,并得到源节点的关联共享量子密钥分组,利用所述关联共享量子密钥分组解密密文并得到源节点发送的目标数据,其中,所述密文标识包括:虚拟量子链路网络状态或切片的标识,源节点的标识、加密方式,其中,加密方式包括异或加密或采用对称密码算法加密,所述第三方服务器包括量子密钥服务装置、或/和虚拟量子链路服务装置、或/和虚拟量子链路网络状态或切片服务装置,所述目标数据包括以下数据中的任一种或任多种:消息分组、随机密钥数据、传感数据、音视频监控数据、计算数据、数据文件。
15.根据权利要求1所述的一种量子网络虚拟化架构方法,其特征在于,包括:根据虚拟量子网络状态或/和虚拟量子链路网络状态的产生时间或/和使用频次标注虚拟量子网络状态或/和虚拟量子链路网络状态的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
16.一种量子网络虚拟化架构的节点装置,其特征在于,包括:
收发器,用于向虚拟化服务器装置或网络控制器上报所述量子节点的拓扑信息,用于接收所述虚拟化服务器装置或网络控制器下发的虚拟化指令,用于把虚拟节点路由状态发送给目标接收方,
数据处理单元,用于与相邻的目标量子节点协商共享量子密钥分组、创建虚拟节点路由状态,或/和,还用于创建虚拟节点状态,可选地,还用于创建虚拟量子中继节点,
节点虚拟化单元,用于虚拟节点路由状态或/和虚拟节点状态的存储和输出管理,
其中,虚拟节点路由状态包括:目标量子中继节点与两个相邻的目标量子节点之间的共享量子密钥分组的异或值及其相应的标识;虚拟节点状态包括:目标量子中继节点的一部分或全部虚拟节点路由状态及其相应的标识;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享量子密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟节点状态的数据结构、目标接收方的标识、数据传输方式;拓扑信息包括:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态。
17.一种量子网络虚拟化架构的虚拟化服务器装置,其特征在于,包括:
存储器,用于存储程序和指令,
数据处理单元,用于通过调用所述存储器中存储的程序和指令,执行:把所有目标量子节点的当前虚拟节点状态及其相应的标识封装为一个虚拟网络状态、或/和把目标网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟链路状态封装为虚拟链路网络状态,
收发器,用于向网络控制器发送量子网络虚拟化请求,接收目标量子节点的虚拟节点状态并发送给数据处理单元。
18.根据权利要求17所述的一种量子网络虚拟化架构的虚拟化服务器装置,其特征在于,所述虚拟化服务器装置还包括:虚拟链路服务单元,用于把与两个量子服务节点关联的一个或多个虚拟链路状态发送给所述两个量子服务节点、或/和所述两个量子服务节点所服务的应用装置,其中,应用装置包括:密码应用装置、量子服务节点的代理装置、虚拟链路服务代理装置。
19.根据权利要求17所述的一种量子网络虚拟化架构的虚拟化服务器装置,其特征在于,所述数据处理单元还用于执行:创建目标网络的虚拟映射网络,包括:分布式虚拟映射网络、集中式虚拟映射网络,其中,分布式虚拟映射网络的特征在于:每一个目标量子节点分别创建一个虚拟节点,集中式虚拟映射网络的特征在于:第三方服务器为每一个目标量子节点创建一个虚拟节点,所述虚拟映射网络包括:目标量子节点之间的网络链路拓扑图,虚拟节点用于存储或输出相应的虚拟节点状态。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910819499.1A CN110677241B (zh) | 2019-09-01 | 2019-09-01 | 一种量子网络虚拟化架构方法与装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201910819499.1A CN110677241B (zh) | 2019-09-01 | 2019-09-01 | 一种量子网络虚拟化架构方法与装置 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN110677241A true CN110677241A (zh) | 2020-01-10 |
CN110677241B CN110677241B (zh) | 2022-04-15 |
Family
ID=69076101
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201910819499.1A Active CN110677241B (zh) | 2019-09-01 | 2019-09-01 | 一种量子网络虚拟化架构方法与装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN110677241B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676315A (zh) * | 2021-07-04 | 2021-11-19 | 河南国科量子通信技术应用研究院 | 一种星地一体量子网络的切片化应用方法 |
CN114024824A (zh) * | 2021-10-27 | 2022-02-08 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
CN114124384A (zh) * | 2022-01-26 | 2022-03-01 | 浙江九州量子信息技术股份有限公司 | 一种qkd网络的虚拟化方法及量子密钥云平台 |
CN114268441A (zh) * | 2022-03-03 | 2022-04-01 | 成都量安区块链科技有限公司 | 一种量子安全应用方法、客户端装置、服务器装置与系统 |
CN114285550A (zh) * | 2021-12-09 | 2022-04-05 | 成都量安区块链科技有限公司 | 一种量子安全密钥服务网络、系统与节点装置 |
CN114362947A (zh) * | 2022-03-17 | 2022-04-15 | 成都量安区块链科技有限公司 | 一种广域量子密钥服务方法与系统 |
Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104579964A (zh) * | 2013-01-07 | 2015-04-29 | 山东量子科学技术研究院有限公司 | 一种量子密码网络动态路由架构系统 |
CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
CN109995515A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继方法 |
-
2019
- 2019-09-01 CN CN201910819499.1A patent/CN110677241B/zh active Active
Patent Citations (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104579964A (zh) * | 2013-01-07 | 2015-04-29 | 山东量子科学技术研究院有限公司 | 一种量子密码网络动态路由架构系统 |
CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
CN109995515A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继方法 |
Non-Patent Citations (1)
Title |
---|
陈晖: "一个量子密码网络虚拟化方法", 《密码学报》 * |
Cited By (10)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN113676315A (zh) * | 2021-07-04 | 2021-11-19 | 河南国科量子通信技术应用研究院 | 一种星地一体量子网络的切片化应用方法 |
CN113676315B (zh) * | 2021-07-04 | 2024-04-30 | 河南国科量子通信技术应用研究院 | 一种星地一体量子网络的切片化应用方法 |
CN114024824A (zh) * | 2021-10-27 | 2022-02-08 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
CN114024824B (zh) * | 2021-10-27 | 2023-11-17 | 中国人民解放军战略支援部队信息工程大学 | 量子网络管理系统 |
CN114285550A (zh) * | 2021-12-09 | 2022-04-05 | 成都量安区块链科技有限公司 | 一种量子安全密钥服务网络、系统与节点装置 |
CN114124384A (zh) * | 2022-01-26 | 2022-03-01 | 浙江九州量子信息技术股份有限公司 | 一种qkd网络的虚拟化方法及量子密钥云平台 |
CN114124384B (zh) * | 2022-01-26 | 2022-04-29 | 浙江九州量子信息技术股份有限公司 | 一种qkd网络的虚拟化方法及量子密钥云平台 |
CN114268441A (zh) * | 2022-03-03 | 2022-04-01 | 成都量安区块链科技有限公司 | 一种量子安全应用方法、客户端装置、服务器装置与系统 |
CN114362947A (zh) * | 2022-03-17 | 2022-04-15 | 成都量安区块链科技有限公司 | 一种广域量子密钥服务方法与系统 |
CN114362947B (zh) * | 2022-03-17 | 2022-12-02 | 成都量安区块链科技有限公司 | 一种广域量子密钥服务方法与系统 |
Also Published As
Publication number | Publication date |
---|---|
CN110677241B (zh) | 2022-04-15 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN110677241B (zh) | 一种量子网络虚拟化架构方法与装置 | |
CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
CN110690928B (zh) | 一种量子中继链路虚拟化方法与装置 | |
CN110661620B (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
EP3289727B1 (en) | Network path proof of transit using in-band metadata | |
CN112367163B (zh) | 一种量子网络虚拟化方法与装置 | |
CN110690962B (zh) | 一种服务节点的应用方法与装置 | |
CN110581763B (zh) | 一种量子密钥服务区块链网络系统 | |
CN110690960B (zh) | 一种中继节点的路由服务方法与装置 | |
WO2019196921A1 (zh) | 一种量子密钥分发方法、设备及存储介质 | |
CN107078898A (zh) | 一种在多路径网络上建立安全私人互连的方法 | |
CN110690964B (zh) | 一种量子服务区块链的创建方法与应用系统 | |
US20180219913A1 (en) | Packet inspection and forensics in an encrypted network | |
WO2018214701A1 (zh) | 一种数据报文发送方法、网络设备、控制设备及网络系统 | |
CN114142995B (zh) | 面向区块链中继通信网络的密钥安全分发方法及装置 | |
CN110557253A (zh) | 一种中继路由采集方法、装置及应用系统 | |
CN112367160A (zh) | 一种虚拟量子链路服务方法与装置 | |
CN112367124B (zh) | 一种量子中继节点虚拟化方法与装置 | |
CN116016529A (zh) | IPSec VPN设备负载均衡管理方法和装置 | |
EP4283955A1 (en) | Communication key configuration method and apparatus | |
CN112367161A (zh) | 一种中继节点功能虚拟化方法与装置 | |
JP2008177998A (ja) | 同報通信暗号化方法、情報暗号化方法、情報復号方法、それらの装置、それらのプログラム、およびそれらの記録媒体 | |
JP5367023B2 (ja) | 情報暗号化方法、情報暗号化装置、プログラム、および記録媒体 | |
CN112367162A (zh) | 一种量子中继节点的应用方法与装置 | |
US11805110B2 (en) | Method for transmitting data packets |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |