CN111404677B - 一种混合qkd网络系统的分析方法 - Google Patents

一种混合qkd网络系统的分析方法 Download PDF

Info

Publication number
CN111404677B
CN111404677B CN202010136680.5A CN202010136680A CN111404677B CN 111404677 B CN111404677 B CN 111404677B CN 202010136680 A CN202010136680 A CN 202010136680A CN 111404677 B CN111404677 B CN 111404677B
Authority
CN
China
Prior art keywords
qkd
node
edge
csc
representing
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202010136680.5A
Other languages
English (en)
Other versions
CN111404677A (zh
Inventor
李琼
王亚星
刘兆庆
韩琦
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Harbin Institute of Technology
Original Assignee
Harbin Institute of Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Harbin Institute of Technology filed Critical Harbin Institute of Technology
Priority to CN202010136680.5A priority Critical patent/CN111404677B/zh
Publication of CN111404677A publication Critical patent/CN111404677A/zh
Application granted granted Critical
Publication of CN111404677B publication Critical patent/CN111404677B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/70Photonic quantum communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0863Generation of secret information including derivation or calculation of cryptographic keys or passwords involving passwords or one-time passwords

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Optics & Photonics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

一种混合QKD网络系统的分析方法,解决了现有技术不能对不同类型QKD设备的混合网络进行分析的问题,属于保密通信领域。本发明的混合QKD网络系统包括C2C‑QKD设备和CSC‑QKD设备;C2C‑QKD设备为通信双方只需要通过一条光纤连接实现量子密钥分发,CSC‑QKD设备为通信双方均通过一条光纤与不可信第三方进行连接实现量子密钥分发;所有C2C‑QKD设备与CSC‑QKD设备相互独立、并可随意组合;本发明的方法用物理拓扑G=(V,E,F)模拟混合QKD网络系统;每个节点的属性包括通信需求量与加密算法的密钥消耗;每条边的属性包括该边的密钥带宽;所述物理拓扑的网络流需满足带宽限制、流量守恒、流量需求和可信度限制。

Description

一种混合QKD网络系统的分析方法
技术领域
本发明涉及一种量子通信网络分析模型,属于保密通信领域。
背景技术
随着量子计算能力的不断提升,光网络的通信安全性受到了严重的威胁。基于量子基 本原理的量子密钥分发(Quantum key distribution,QKD)技术,可以分发能够抵抗量子计 算攻击且在理论上具有绝对安全性的密钥,是目前最实用化的抗量子保密通信手段。因此, 尝试将QKD技术应用于光网络中,组建基于量子密钥的QKD网络将能显著提升其安全性。
考虑到QKD设备具有量子信道的独占性、密钥生成速率的受限性、设备种类的多样性、 可信度管控的必要性等特征,亟需设计相应的分析模型,以指导QKD网络的合理化构建。 该工作可以为QKD网络构建与性能分析提供理论基础,具有重要的理论与实践价值。
发明内容
针对现有技术不能对不同类型QKD设备的混合网络进行分析的问题,本发明提供一种混 合QKD网络系统的分析方法。
本发明的一种混合QKD网络系统的分析方法,所述混合QKD网络系统包括C2C-QKD设备和CSC-QKD设备;
C2C-QKD设备为通信双方只需要通过一条光纤连接实现量子密钥分发,CSC-QKD设备 为通信双方均通过一条光纤与不可信第三方进行连接实现量子密钥分发;所有C2C-QKD设备与CSC-QKD设备相互独立、并可随意组合;
所述混合QKD网络系统的分析方法为:
用物理拓扑G=(V,E,F)模拟混合QKD网络系统,V、E和F分别表示混合QKD网络系统中的节点、边和网络流的集合;
每个节点的属性包括通信需求量与加密算法的密钥消耗;
所述物理拓扑的边分为C2C-QKD设备的边C2C-edge和CSC-QKD设备的边CSC-edge;
每条边的属性包括该边的密钥带宽,所述密钥带宽是由边上布置的C2C-QKD设备和/ 或CSC-QKD设备的数目和相应QKD设备的密钥生成速率获得的;
所述物理拓扑的网络流分为C2C-QKD设备的流量C2C-flow和CSC-QKD设备的流量CSC-flow;
所述物理拓扑的网络流需满足带宽限制、流量守恒、流量需求和可信度限制。
作为优选,所述带宽限制包括:
对于任意边,该边上所有C2C-flow的和
Figure BDA0002397565920000021
必须不超过该 边的密钥带宽s1(emn)r1(emn)+s1(enm)r1(enm);
对于任意边,该边上所有CSC-flow的和
Figure BDA0002397565920000022
必须不超过该边的密钥带宽s2(empn)r2(empn)+s2(enpm)r2(enpm);
kij表示节点vi∈V与节点vj∈V组成的通信对;
emn表示C2C-QKD设备的任意节点vm∈V到任意节点vn∈V的边;
enm表示C2C-QKD设备的任意节点vn∈V到任意节点vm∈V的边;
f1(kij,emn)表示C2C-QKD设备的通信对kij在边emn的流量值;
f1(kij,enm)表示C2C-QKD设备的通信对kij在边enm的流量值;
s1(emn)和s1(enm)分别表示边emn和边enm上的C2C-QKD设备数目;
r1(emn)和r1(enm)分别表示边emn和边enm上一套C2C-QKD设备的密钥生成速率;
empn表示CSC-QKD设备的任意节点vm∈V经过不可信第三方vp∈V到任意节点vn∈V的边;
enpm表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到任意节点vm∈V的边;
f2(kij,empn)表示CSC-QKD设备的通信对kij在边empn的流量值;
f2(kij,enpm)表示CSC-QKD设备的通信对kij在边enpm的流量值;
s2(empn)和s2(enpm)分别表示边empn和边enpm上的CSC-QKD设备数目;
r2(empn)和r2(enpm)分别表示边empn和边enpm上一套CSC-QKD设备的密钥生成速率。
作为优选,所述流量守恒包括:
使用C2C-QKD设备时,对任一通信对kij和任意转运节点vn∈V,流入该节点的C2C-flow总和
Figure BDA0002397565920000031
必须与流出的C2C-flow总和 
Figure BDA0002397565920000032
相等;
使用CSC-QKD设备时
Figure BDA0002397565920000033
kij表示节点vi∈V与节点vj∈V组成的通信对;
emn表示C2C-QKD设备的任意节点vm∈V到任意节点vn∈V的边;
enm表示C2C-QKD设备的任意节点vn∈V到任意节点vm∈V的边;
f1(kij,emn)表示C2C-QKD设备的通信对kij在边emn的流量值;
f1(kij,enm)表示C2C-QKD设备的通信对kij在边enm的流量值;
empn表示CSC-QKD设备的任意节点vm∈V经过不可信第三方vp∈V到任意节点vn∈V的边;
enpm表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到任意节点vm∈V的边;
f2(kij,empn)表示CSC-QKD设备的通信对kij在边empn的流量值;
f2(kij,enpm)表示CSC-QKD设备的通信对kij在边enpm的流量值。
作为优选,所述流量需求包括:
使用C2C-QKD设备时,对任一通信对kij,从源节点vi流入和流出的总流量
Figure BDA0002397565920000034
应等同于kij的实际流量a1(kij);从目的节点vj流入和流出的总流量
Figure BDA0002397565920000035
应等同于kij实际流量的负值-a1(kij);
使用CSC-QKD设备时,
Figure BDA0002397565920000036
Figure BDA0002397565920000037
任一通信对kij的实际流量a1(kij)+a2(kij)应不低于保密通信需求d(kij)·β(kij);
kij表示源节点vi∈V与目的节点vj∈V组成的通信对;
ein表示C2C-QKD设备的源节点vi到任意节点vn∈V的边;
eni表示C2C-QKD设备的任意节点vn∈V到源节点vi的边;
ejn表示C2C-QKD设备的目的节点vj到任意节点vn∈V的边;
enj表示C2C-QKD设备的任意节点vn∈V到目的节点vj的边;
f1(kij,ein)、f1(kij,eni)、f1(kij,ejn)和f1(kij,enj)分别表示C2C-QKD设备的通信对kij在 边ein、边eni、边ejn和边enj的流量值;
eipn表示CSC-QKD设备的源节点vi经过不可信第三方vp∈V到任意节点vn∈V的边;
enpi表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到源节点vi的边;
ejpn表示CSC-QKD设备的目的节点vj经过不可信第三方vp∈V到任意节点vn∈V的边;
enpj表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到目的节点vj的边;
f2(kij,eipn)、f2(kij,enpi)、f2(kij,ejpn)和f2(kij,enpj)分别表示CSC-QKD设备的通信对kij在边eipn、边enpi、边ejpn和边enpj的流量值;
a1(kij)表示使用C2C-QKD设备时kij的实际流量;
a2(kij)表示使用CSC-QKD设备时kij的实际流量;
d(kij)表示通信需求量;
β(kij)表示加密算法的密钥消耗。
作为优选,所述可信度限制包括:
Figure BDA0002397565920000041
ci表示节点vi的可信度,ci=1表示需要进行可信度控制,ci=0表示不需要可信度控 制;
ein表示C2C-QKD设备的节点vi到任意节点vn∈V的边;
eni表示C2C-QKD设备的任意节点vn∈V到节点vi的边;
f1(kij,ein)和f1(kij,eni)分别表示C2C-QKD设备的通信对kij在边ein和边eni的流量值;
eipn表示CSC-QKD设备的节点vi经过不可信第三方vp∈V到任意节点vn∈V的边;
enpi表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到节点vi的边;
f2(kij,eipn)和f2(kij,enpi)分别表示CSC-QKD设备的通信对kij在边eipn和边enpi的流量 值;
E1表示C2C-QKD设备的边的集合;
E2表示CSC-QKD设备的边的集合。
作为优选,所述混合QKD网络系统包括多套C2C-QKD设备;
多套C2C-QKD设备构成网状的拓扑结构,不直接相连的两个通信方之间通过某条连通 路径上各个节点的转发来实现保密通信,每个节点既作为终端用户,又作为交换设备。
作为优选,所述混合QKD网络系统包括多套CSC-QKD设备;
多套CSC-QKD设备构成星型的拓扑结构,将不可信第三方作为服务器,其他通信方作 为终端用户,以实现所有通信方之间的量子密钥分发。
作为优选,由所述物理拓扑转换成逻辑拓扑的方法为:
获取混合QKD网络系统的物理拓扑G=(V,E),其中V是节点集合,E是无向边的集合;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在边(v1,v2)∈E,该边直接作为逻辑拓扑的一部分;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在一个节点v, v∈V,v≠v1≠v2,使得节点v1和v2可以通过节点v连接,则其组成一个三节点的逻辑边 (v1,v2,v),将节点v删除,生成连接节点v1和v2一条无向边,作为逻辑拓扑的一部分;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在节点v和节点v′, v∈V,v≠v1≠v2,v′∈V,v′≠v≠v1≠v2,使得节点v1和v2可以分别通过节点v和节点v′连 接,组成两个三节点的逻辑边(v1,v2,v)和(v1,v2,v′),删除掉节点v和v′,将这两条边表示 成连接节点v1和v2的两条独立的边,生成一条平行边,作为逻辑拓扑的一部分;
用G′=(V′,E′)来表示转换的逻辑拓扑,则:
V′=V-{v|v仅扮演CSC-server角色},
E′=E+{(v1,v2,v)|v1∈V,v2∈V,v∈V,v≠v1≠v2,(v1,v)∈E,(v,v2)∈E};
其中,CSC-server表示C2C-QKD设备的不可信第三方。
本发明针对同时具有C2C-QKD、CSC-QKD设备的混合QKD网络进行研究,通过对不同类型QKD设备的各项属性进行详细分析,将多类型QKD设备的节点属性、边属性、流属性 进行整合,完成了混合网络拓扑特性的数学刻画,以支撑后续网络构建方案的研究。
附图说明
图1为本发明的C2C-QKD协议的原理示意图;
图2为本发明的CSC-QKD协议的原理示意图;
图3为本发明的混合QKD网络系统的物理拓扑示意图;
图4为图3的逻辑拓扑示意图。
具体实施方式
根据对光纤依赖性的不同,本实施方式将QKD协议分为C2C-QKD协议和CSC-QKD协议两类 的分类机制,本实施方式的混合QKD网络系统包括C2C-QKD设备和CSC-QKD设备,结合图1和 图2说明本实施方式;
C2C-QKD协议指的是在进行密钥分发过程中只需要通过一条光纤来连接通信双方的一 类协议,组成的C2C-QKD设备如图1所示,BB84-QKD、decoy-QKD、GG02-QKD等协议均为此类。 CSC-QKD协议则需要不可信第三方的参与,通信双方均通过一条光纤与不可信第三方进行连 接,组成的CSC-QKD设备如图2所示,MDI-QKD、CV-MDI-QKD、TF-QKD等协议均为此类。
所有C2C-QKD设备与CSC-QKD设备相互独立、并可随意组合。
本实施方式对混合QKD网络系统的密钥生成速率受限性进行分析:
QKD设备的主要功能是提供安全密钥,因此,密钥生成速率是其最重要的性能指标。由 于光纤依赖性的不同,两类QKD协议的密钥速率受限性不同。由于量子态信息无法在传输过 程中进行放大,一套C2C-QKD设备的密钥生成速率,记为R1,会随着连接通信终端Alice和 Bob的信道长度的增加而急剧降低。为了表述方便,本实施方式称两个通信方为C2C-client。
与C2C-QKD不同的是,CSC-QKD的密钥生成速率,记为R2,同时受制于通信终端Alice 与第三方Charlie之间信道的距离以及通信终端Bob与第三方Charlie之间信道的距离。 由于量子态信息无法在传输过程中进行放大,密钥生成速率会随着两条信道长度的增加而 急剧降低。为了表述方便,本实施方式称两个通信方为CSC-client,不可信第三方为CSC-server。
由于C2C-QKD的点对点特性,优选实施例中,本实施方式的混合QKD网络系统包括多 套C2C-QKD设备,多套C2C-QKD设备组网后,将构成网状的拓扑结构,不直接相连的两个通信方之间可以通过某条连通路径上各个点的转发来实现保密通信。为此,网络中的每个节点既需要作为终端用户,又需要作为交换设备。为了表示方便,本实施方式将其统称为C2C-client。
优选实施例中,本实施方式的混合QKD网络系统包括多套CSC-QKD设备,由于CSC-QKD 设备的密钥分发过程需要依赖于CSC-server,在使用CSC-QKD时,可以将CSC-server作为服务器,其他众多的CSC-client作为客户端,构成星型的拓扑结构,以实现所有 CSC-client之间的密钥分发。特别地,每一对CSC-client之间的密钥分发都需要一套专 属于他们的CSC-QKD设备。
本实施方式的混合QKD网络系统中同时存在C2C-QKD设备与CSC-QKD设备,该混合网 络中的每个节点都可能扮演C2C-client、CSC-client与CSC-server中的一个多个角色,使得全网密钥供给能力的计算变得十分复杂。为了对混合网络的密钥供给能力进行统一计算,本实施方式将物理拓扑转换为逻辑拓扑,该拓扑中每条边具有各自独立的密钥生成能力。
由于每套QKD设备有自己独立的量子信道和密钥分发过程,在忽略经典信道带宽限制的 情况下,网络的整体密钥生成能力可看作每套设备密钥生成能力的累加。一套C2C-QKD设备 必须布置在一条已有的光纤上,其密钥生成能力可表现为该边上的密钥生成能力。全网所 有C2C-QKD设备带来的整体密钥生成能力,可表示为对应边上密钥生成能力的累加和。例如, 一条边上,布置了5套C2C-QKD设备时,这5套设备带来的整体密钥生成能力,表现为在该边 上的累加和。
然而,一套CSC-QKD设备必须依赖两条光纤而存在,且这两条光纤有且仅有一个交点。 显然,这两条光纤可由3个节点来表示,其中两端的节点扮演CSC-client角色,而交点扮演 着CSC-server角色。这套CSC-QKD设备的主要功能是为两个CSC-client生成和分发一致密 钥。此外,选择不同的CSC-server,会导致两个CSC-client之间密钥生成速率所受限的光 纤不同,从而带来不同的密钥生成能力。为此,我们需要引入逻辑边的概念,来表示此三 个节点组成的结构。下面使用数学语言对由该边构成的逻辑拓扑进行描述。
对于一个给定的网络物理拓扑G=(V,E),其中V是节点集合,E是边的集合。对于V中任意两个节点v1,v2(v1∈V,v2∈V,v1≠v2),若存在边(v1,v2)∈E,则该边上的密钥生成能力取决于该边上布置的C2C-QKD设备。若存在一个节点v(v∈V,v≠v1≠v2),使得节点v1和v2可以通过该节点连接,即(v1,v)∈E,(v,v2)∈E,则其组成一个三节点的逻辑边(v1,v2,v)。在逻辑拓扑中,我们将节点v删除,把这条逻辑边表示为连接节点v1和v2的一条无向边。该边上的密钥生成能力取决于该边上布置的CSC-QKD设备。特别地,若存在另一个节点v′ (v′∈V,v′≠v≠v1≠v2),使得节点v1和v2可以通过该节点连接,即(v1,v′)∈E,(v′,v2)∈E, 则其组成一个三节点的逻辑边(v1,v2,v′)。由于该边与边(v1,v2,v)的依赖光纤不同,其密钥生成速率计算结果不同。我们在逻辑拓扑中,删除掉节点v和v′,将这两条边表示成连接 节点v1和v2的两条独立的边,使得逻辑拓扑中出现了平行边。因此,形成的逻辑拓扑是一 种多图。若用G′=(V′,E′)来表示生成的逻辑拓扑,则:
V′=V-{v|v仅扮演CSC-server角色},
E′=E+{(v1,v2,v)|v1∈V,v2∈V,v∈V,v≠v1≠v2,(v1,v)∈E,(v,v2)∈E}
根据上述逻辑拓扑生成方法,本实施方式将图3所示的混合物理拓扑转换为了图4所示 的逻辑拓扑。显然,从图3和图4中可以看出,节点CSC-server1、CSC-server2、CSC-server3、 CSC-server4因为只扮演CSC-server角色,节点处没有密钥生成,因而被删除。CSC-client1、 CSC-client2、CSC-client3通过CSC-server1的连接组成了全连通网络,其中,CSC-client1 与CSC-client2之间,由于可以通过CSC-server1和CSC-server2两个server来连接,形成了 一条平行边。同时,CSC-client4、CSC-client5、CSC-client6、CSC-client7通过CSC-server3 的连接组成了全连通网络,CSC-client8、CSC-client9、CSC-client10通过CSC-server4 的连接组成了全连通网络。
本实施方式针对同时具有C2C-QKD、CSC-QKD设备的混合QKD网络进行研究。用物理拓扑G=(V,E,F)模拟混合QKD网络系统,V、E和F分别表示混合QKD网络系统中的节点、 边和网络流的集合;通过对不同类型QKD设备的各项属性进行详细分析,建立了一种改进 的基于流的分析模型,完成了混合网络拓扑特性的数学刻画,以支撑后续网络构建方案的 研究。
节点属性:
根据QKD设备的分类,QKD网络中的节点可分为C2C-client、CSC-server、CSC-client 三种。显然,当网络中同时存在C2C-QKD与CSC-QKD时,网络中的每个节点都将扮演一种 或多种角色。为此,本实施方式中将对其共同属性进行分析,以给出一套节点属性来完善 表征所有类型的节点。
QKD网络的主要任务是提供节点间的保密通信服务,因此,无论是作为C2C-client还是CSC-client,保密通信需求都是最关键的属性。由于不同的加密算法所需的密钥量 是不同的,保密通信需求由通信需求量与加密算法的密钥消耗比例来决定,分别将其记为 d(kij)和β(kij),其中kij指的是节点vi∈V与节点vj∈V组成的通信对。
此外,由于CSC-QKD设备的加入,本实施方式中加入了可信度控制属性ci,用以表示 是否需要进行可信度控制。ci=1表示需要进行可信度控制,ci=0表示不需要可信度控制。
边属性:
QKD设备的主要功能是提供量子密钥,因此,密钥生成能力是混合网络区别于传统网 络的关键属性。基于生成的逻辑拓扑,拓扑中的每条边上具有其特定的密钥生成能力。由 于多类QKD设备的存在,本实施方式对混合网络中的边进行了分类,将其分为C2C-edge和CSC-edge两类。与传统网络类似,C2C-edge可由该边两端连接的节点来表征。连接节 点vm∈V与节点vn∈V的C2C-edge,记为emn。用E来表示传统网络中,具有物理连接所 有边,则所有C2C-edge组成的集合为E1=E。然而,由于CSC-edge的每条边实际上是由 物理拓扑中的两个CSC-client节点和一个CSC-server转换而来的,我们需要用三个节点 来表征该边。通过不可信第三方vp∈V,连接节点vm∈V与节点vn∈V的CSC-edge,记为 empn。当具有物理连接所有边表示为E时,所有CSC-edge组成的集合为 E2={empn|emp∈E,epn∈E}。
一条边上的密钥生成能力,称之为密钥带宽,其主要与该边上布置的QKD设备的类型、 QKD设备的数目、物理拓扑等因素有关。根据边类型的分类,我们将密钥带宽也分为C2C设备密钥带宽、CSC设备密钥带宽两部分。
C2C设备密钥带宽可表示为边emn上布置的C2C设备数目s1(emn)与一套C2C设备的密钥生成速率r1(emn)的乘积。其中r1(emn)通过将边emn的物理链路长度带入到R1的计算公式来获得。由于在C2C-QKD设备中,通信双方之间通常有一方作为主动方进行光子发射,另 一方作为被动方进行光子测量,因此,在本实施方式中,s1(emn)与s1(enm)分别用于表示 不同方向的QKD设备数目。但是,由于密钥池可被双向的保密通信使用,在进行密钥消耗 时,不区分是来自于哪个方向的密钥生成。
CSC设备密钥带宽可表示为边empn上布置的CSC设备数目s2(empn)与一套CSC设备的密钥生成速率r2(empn),其中r2(empn)通过将边emp和enp的物理链路长度l(emp)和l(epn) 带入R2的计算公式来获取。在CSC-QKD中,通信双方可以采用不同的设备参数来发送光 子、双方链路长度也不相同,因此r2(empn)与r2(enpm)的计算结果不一样,s2(empn)与s2(enpm) 也分别用于表示不同方向的QKD设备数目。同理,由于密钥池可被双向的保密通信使用, 在进行密钥消耗时,不区分是来自于哪个方向的密钥生成。
值得一提的是,一条边上也可以同时配置不同参数的C2C-QKD设备和CSC-QKD设备。 相应的密钥带宽的计算只需将相应的s1r1,s2r2进行累加即可。
网络流属性:
网络流用于表示一个特定通信对kij在特定边emn/empn上的流量值。同样的,根据边的 类型不同,本实施方式中,将流也分为两类,分别用符号f1(kij,emn)和f2(kij,empn)来表示。 两种类型的流都需要满足带宽限制、流量守恒、流量需求和可信度限制。
结合上述属性的分类和分析,混合网络的逻辑拓扑具有以下特性:
一、带宽限制1
假设信道带宽足够满足通信过程和密钥后处理过程,对于任意边emn∈E1,该边上所有 C2C-flow的和,
Figure BDA0002397565920000101
必须不超过该边的密钥带宽 s1(emn)r1(emn)+s1(enm)r1(enm)。
二、带宽限制2
假设信道带宽足够满足通信过程和密钥后处理过程,对于任意边emn∈E1,该边上所有 CSC-flow的和,必须不超过该边的密钥带宽 s2(empn)r2(empn)+s2(enpm)r2(enpm)。
三、流量守恒1
使用C2C-QKD设备时,对任一通信对kij和任意转运节点vn∈V,流入该节点的 C2C-flow总和
Figure BDA0002397565920000111
必须与流出的C2C-flow总和 
Figure BDA0002397565920000112
相等。
四、流量守恒2
使用CSC-QKD设备时,由于通信路径与密钥生成路径可以不同,采用不同不可信第三 方生成的密钥可以被共同使用,因此要求
Figure BDA0002397565920000113
五、流量需求1
使用C2C-QKD设备时,对任一通信对kij,从源节点vi流入和流出的总流量,
Figure BDA0002397565920000114
应等同于kij的实际流量a1(kij);此外,从目的节点vj流入和流出 的总流量,
Figure BDA0002397565920000115
应等同于kij实际流量的负值-a1(kij)。
六、流量需求2
同理,使用CSC-QKD时,要求
Figure BDA0002397565920000116
Figure BDA0002397565920000117
七、流量需求3
混合网络的主要任务是满足通信方的保密通信需求。因此,任一通信对kij的实际流 量a1(kij)+a2(kij)应不低于保密通信需求d(kij)·β(kij)。
八、可信度限制
由于扮演了C2C-client或CSC-client角色的节点,都必须进行可信度控制。节点可 信度ci与s1(emn)、s2(empn)之间的关系需要满足:
Figure BDA0002397565920000118
需要指出的是,s1(emn)、s2(empn)均为自然数。只有在各项均为0时,满足和值为0。
虽然在本实施方式中参照了特定的实施方式来描述本发明,但是应该理解的是,这些 实施例仅仅是本发明的原理和应用的示例。因此应该理解的是,可以对示例性的实施例进 行许多修改,并且可以设计出其他的布置,只要不偏离所附权利要求所限定的本发明的精 神和范围。应该理解的是,可以通过不同于原始权利要求所描述的方式来结合不同的从属 权利要求和本实施方式中所述的特征。还可以理解的是,结合单独实施例所描述的特征可 以使用在其他所述实施例中。

Claims (4)

1.一种混合QKD网络系统的分析方法,其特征在于,所述混合QKD网络系统包括C2C-QKD设备和CSC-QKD设备;
C2C-QKD设备为通信双方只需要通过一条光纤连接实现量子密钥分发,CSC-QKD设备为通信双方均通过一条光纤与不可信第三方进行连接实现量子密钥分发;所有C2C-QKD设备与CSC-QKD设备相互独立、并可随意组合;
所述混合QKD网络系统的分析方法为:
用物理拓扑G=(V,E,F)模拟混合QKD网络系统,V、E和F分别表示混合QKD网络系统中的节点、边和网络流的集合;
每个节点的属性包括通信需求量与加密算法的密钥消耗;
所述物理拓扑的边分为C2C-QKD设备的边C2C-edge和CSC-QKD设备的边CSC-edge;
每条边的属性包括该边的密钥带宽,所述密钥带宽是由边上布置的C2C-QKD设备和/或CSC-QKD设备的数目和相应QKD设备的密钥生成速率获得的;
所述物理拓扑的网络流分为C2C-QKD设备的流量C2C-flow和CSC-QKD设备的流量CSC-flow;
所述物理拓扑的网络流需满足带宽限制、流量守恒、流量需求和可信度限制;
所述带宽限制包括:
对于任意边,该边上所有C2C-flow的和
Figure FDA0003813774940000011
必须不超过该边的密钥带宽s1(emn)r1(emn)+s1(enm)r1(enm);
对于任意边,该边上所有CSC-flow的和
Figure FDA0003813774940000012
必须不超过该边的密钥带宽s2(empn)r2(empn)+s2(enpm)r2(enpm);
kij表示节点vi∈V与节点vj∈V组成的通信对;
emn表示C2C-QKD设备的任意节点vm∈V到任意节点vn∈V的边;
enm表示C2C-QKD设备的任意节点vn∈V到任意节点vm∈V的边;
f1(kij,emn)表示C2C-QKD设备的通信对kij在边emn的流量值;
f1(kij,enm)表示C2C-QKD设备的通信对kij在边enm的流量值;
s1(emn)和s1(enm)分别表示边emn和边enm上的C2C-QKD设备数目;
r1(emn)和r1(enm)分别表示边emn和边enm上一套C2C-QKD设备的密钥生成速率;
empn表示CSC-QKD设备的任意节点vm∈V经过不可信第三方vp∈V到任意节点vn∈V的边;
enpm表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到任意节点vm∈V的边;
f2(kij,empn)表示CSC-QKD设备的通信对kij在边empn的流量值;
f2(kij,enpm)表示CSC-QKD设备的通信对kij在边enpm的流量值;
s2(empn)和s2(enpm)分别表示边empn和边enpm上的CSC-QKD设备数目;
r2(empn)和r2(enpm)分别表示边empn和边enpm上一套CSC-QKD设备的密钥生成速率;
所述流量守恒包括:
使用C2C-QKD设备时,对任一通信对kij和任意转运节点vn∈V,流入该节点的C2C-flow总和
Figure FDA0003813774940000021
必须与流出的C2C-flow总和
Figure FDA0003813774940000022
相等;
使用CSC-QKD设备时
Figure FDA0003813774940000023
kij表示节点vi∈V与节点vj∈V组成的通信对;
emn表示C2C-QKD设备的任意节点vm∈V到任意节点vn∈V的边;
enm表示C2C-QKD设备的任意节点vn∈V到任意节点vm∈V的边;
f1(kij,emn)表示C2C-QKD设备的通信对kij在边emn的流量值;
f1(kij,enm)表示C2C-QKD设备的通信对kij在边enm的流量值;
empn表示CSC-QKD设备的任意节点vm∈V经过不可信第三方vp∈V到任意节点vn∈V的边;
enpm表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到任意节点vm∈V的边;
f2(kij,empn)表示CSC-QKD设备的通信对kij在边empn的流量值;
f2(kij,enpm)表示CSC-QKD设备的通信对kij在边enpm的流量值;
所述流量需求包括:
使用C2C-QKD设备时,对任一通信对kij,从源节点vi流入和流出的总流量
Figure FDA0003813774940000031
应等同于kij的实际流量a1(kij);从目的节点vj流入和流出的总流量
Figure FDA0003813774940000032
应等同于kij实际流量的负值-a1(kij);
使用CSC-QKD设备时,
Figure FDA0003813774940000033
Figure FDA0003813774940000034
任一通信对kij的实际流量a1(kij)+a2(kij)应不低于保密通信需求d(kij)·β(kij);
kij表示源节点vi∈V与目的节点vj∈V组成的通信对;
ein表示C2C-QKD设备的源节点vi到任意节点vn∈V的边;
eni表示C2C-QKD设备的任意节点vn∈V到源节点vi的边;
ejn表示C2C-QKD设备的目的节点vj到任意节点vn∈V的边;
enj表示C2C-QKD设备的任意节点vn∈V到目的节点vj的边;
f1(kij,ein)、f1(kij,eni)、f1(kij,ejn)和f1(kij,enj)分别表示C2C-QKD设备的通信对kij在边ein、边eni、边ejn和边enj的流量值;
eipn表示CSC-QKD设备的源节点vi经过不可信第三方vp∈V到任意节点vn∈V的边;
enpi表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到源节点vi的边;
ejpn表示CSC-QKD设备的目的节点vj经过不可信第三方vp∈V到任意节点vn∈V的边;
enpj表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到目的节点vj的边;
f2(kij,eipn)、f2(kij,enpi)、f2(kij,ejpn)和f2(kij,enpj)分别表示CSC-QKD设备的通信对kij在边eipn、边enpi、边ejpn和边enpj的流量值;
a1(kij)表示使用C2C-QKD设备时kij的实际流量;
a2(kij)表示使用CSC-QKD设备时kij的实际流量;
d(kij)表示通信需求量;
β(kij)表示加密算法的密钥消耗;
所述可信度限制包括:
Figure FDA0003813774940000041
ci表示节点vi的可信度,ci=1表示需要进行可信度控制,ci=0表示不需要可信度控制;
ein表示C2C-QKD设备的节点vi到任意节点vn∈V的边;
eni表示C2C-QKD设备的任意节点vn∈V到节点vi的边;
f1(kij,ein)和f1(kij,eni)分别表示C2C-QKD设备的通信对kij在边ein和边eni的流量值;
eipn表示CSC-QKD设备的节点vi经过不可信第三方vp∈V到任意节点vn∈V的边;
enpi表示CSC-QKD设备的任意节点vn∈V经过不可信第三方vp∈V到节点vi的边;
f2(kij,eipn)和f2(kij,enpi)分别表示CSC-QKD设备的通信对kij在边eipn和边enpi的流量值;
E1表示C2C-QKD设备的边的集合;
E2表示CSC-QKD设备的边的集合。
2.根据权利要求1所述的混合QKD网络系统的分析方法,其特征在于,所述混合QKD网络系统包括多套C2C-QKD设备;
多套C2C-QKD设备构成网状的拓扑结构,不直接相连的两个通信方之间通过某条连通路径上各个节点的转发来实现保密通信,每个节点既作为终端用户,又作为交换设备。
3.根据权利要求1所述的混合QKD网络系统的分析方法,其特征在于,所述混合QKD网络系统包括多套CSC-QKD设备;
多套CSC-QKD设备构成星型的拓扑结构,将不可信第三方作为服务器,其他通信方作为终端用户,以实现所有通信方之间的量子密钥分发。
4.根据权利要求1所述的混合QKD网络系统的分析方法,其特征在于,由所述物理拓扑转换成逻辑拓扑的方法为:
获取混合QKD网络系统的物理拓扑G=(V,E),其中V是节点集合,E是无向边的集合;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在边(v1,v2)∈E,该边直接作为逻辑拓扑的一部分;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在一个节点v,v∈V,v≠v1≠v2,使得节点v1和v2可以通过节点v连接,则其组成一个三节点的逻辑边(v1,v2,v),将节点v删除,生成连接节点v1和v2一条无向边,作为逻辑拓扑的一部分;
对于V中任意两个节点v1,v2,v1∈V,v2∈V,v1≠v2,若存在节点v和节点v′,v∈V,v≠v1≠v2,v′∈V,v′≠v≠v1≠v2,使得节点v1和v2可以分别通过节点v和节点v′连接,组成两个三节点的逻辑边(v1,v2,v)和(v1,v2,v′),删除掉节点v和v′,将这两条边表示成连接节点v1和v2的两条独立的边,生成一条平行边,作为逻辑拓扑的一部分;
用G′=(V′,E′)来表示转换的逻辑拓扑,则:
V′=V-{v|v仅扮演CSC-server角色},
E′=E+{(v1,v2,v)|v1∈V,v2∈V,v∈V,v≠v1≠v2,(v1,v)∈E,(v,v2)∈E};
其中,CSC-server表示C2C-QKD设备的不可信第三方。
CN202010136680.5A 2020-03-02 2020-03-02 一种混合qkd网络系统的分析方法 Active CN111404677B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202010136680.5A CN111404677B (zh) 2020-03-02 2020-03-02 一种混合qkd网络系统的分析方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202010136680.5A CN111404677B (zh) 2020-03-02 2020-03-02 一种混合qkd网络系统的分析方法

Publications (2)

Publication Number Publication Date
CN111404677A CN111404677A (zh) 2020-07-10
CN111404677B true CN111404677B (zh) 2023-05-05

Family

ID=71430501

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202010136680.5A Active CN111404677B (zh) 2020-03-02 2020-03-02 一种混合qkd网络系统的分析方法

Country Status (1)

Country Link
CN (1) CN111404677B (zh)

Families Citing this family (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN112953710B (zh) * 2021-01-28 2022-07-01 西安电子科技大学 基于可信中继的无线/有线混合qkd网络

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579964A (zh) * 2013-01-07 2015-04-29 山东量子科学技术研究院有限公司 一种量子密码网络动态路由架构系统
CN109194468A (zh) * 2018-07-20 2019-01-11 国科量子通信网络有限公司 中继节点的部署方法、装置与设备、计算机可读存储介质
CN109842485A (zh) * 2017-11-26 2019-06-04 成都零光量子科技有限公司 一种有中心的量子密钥服务网络系统
CN110351154A (zh) * 2019-08-19 2019-10-18 哈尔滨工业大学 一种量子保密通信网络的性能评价方法
WO2019201441A1 (en) * 2018-04-19 2019-10-24 Telefonaktiebolaget Lm Ericsson (Publ) Path computation engine and method of configuring an optical path for quantum key distribution
CN110505087A (zh) * 2019-08-19 2019-11-26 哈尔滨工业大学 一种量子保密通信网络的模拟方法

Family Cites Families (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US7512242B2 (en) * 2003-03-21 2009-03-31 Bbn Technologies Corp. Systems and methods for quantum cryptographic key transport
US10848303B2 (en) * 2015-03-09 2020-11-24 University Of Houston System Methods and apparatuses for authentication in quantum key distribution and/or quantum data communication

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104579964A (zh) * 2013-01-07 2015-04-29 山东量子科学技术研究院有限公司 一种量子密码网络动态路由架构系统
CN109842485A (zh) * 2017-11-26 2019-06-04 成都零光量子科技有限公司 一种有中心的量子密钥服务网络系统
WO2019201441A1 (en) * 2018-04-19 2019-10-24 Telefonaktiebolaget Lm Ericsson (Publ) Path computation engine and method of configuring an optical path for quantum key distribution
CN109194468A (zh) * 2018-07-20 2019-01-11 国科量子通信网络有限公司 中继节点的部署方法、装置与设备、计算机可读存储介质
CN110351154A (zh) * 2019-08-19 2019-10-18 哈尔滨工业大学 一种量子保密通信网络的性能评价方法
CN110505087A (zh) * 2019-08-19 2019-11-26 哈尔滨工业大学 一种量子保密通信网络的模拟方法

Non-Patent Citations (4)

* Cited by examiner, † Cited by third party
Title
"Analytical Model and Topology Evaluation of Quantum Secure Communication Network";Qiong Li等;《arXiv》;20190905;全文 *
"Topological optimization of quantum key distribution networks";R Alléaume et al.;《New Journal of Physics》;20090702;全文 *
基于可信中继的广域量子密钥网络模型研究;杨超等;《工程科学与技术》;20180321(第02期);全文 *
基于量子密钥分发的可信光网络体系架构;曹原等;《信息通信技术》;20161215(第06期);全文 *

Also Published As

Publication number Publication date
CN111404677A (zh) 2020-07-10

Similar Documents

Publication Publication Date Title
Pant et al. Routing entanglement in the quantum internet
Nanongkai et al. A tight unconditional lower bound on distributed randomwalk computation
Ageyev et al. Parametric synthesis of overlay networks with self-similar traffic
Couteau New protocols for secure equality test and comparison
Dimitropoulos et al. Graph annotations in modeling complex network topologies
Sengupta et al. Peer-to-peer streaming capacity
CN111404677B (zh) 一种混合qkd网络系统的分析方法
Wang et al. A fully distributed traffic allocation algorithm for nonconcave utility maximization in connectionless communication networks
Caleffi et al. Beyond shannon limits: Quantum communications through quantum paths
CN111464330B (zh) 一种混合qkd网络系统的最优成本拓扑构建方法
Chang et al. On achieving maximum secure throughput using network coding against wiretap attack
CN110351154B (zh) 一种量子保密通信网络的性能评价方法
CN111431703B (zh) 基于qkd协议分类的混合qkd网络系统
Zecchin et al. Communication-efficient distributionally robust decentralized learning
Wang et al. A multicast scheme based on fidelity metrics in quantum networks
CN110505087B (zh) 一种量子保密通信网络的模拟方法
Gangwar et al. Squashed quantum non-Markovianity: a measure of genuine quantum non-Markovianity in states
Xie et al. Reliable multicast routing with uncertain sources
Molnar Hierarchies for constrained partial spanning problems in graphs
Ilie et al. Statistical models for Gnutella signaling traffic
Sattari et al. Maximum likelihood estimation for multiple-source loss tomography with network coding
Tian et al. Analysis on binary loss tree classification with hop count for multicast topology discovery
Zeng et al. Entanglement Routing over Quantum Networks Using Greenberger-Horne-Zeilinger Measurements
Bläser et al. Private computation: k-connected versus 1-connected networks
Xu et al. Hidden Markov model-based P2P flow identification: a hidden Markov model-based P2P flow identification method

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant