CN112073181B - Qkd网络、城域节点及其接入网间的密钥分发方法 - Google Patents

Abstract

本发明公开了一种QKD网络、城域节点及其接入网间的密钥分发方法，所述方法包括：城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI‑QKD接收机中查找出空闲的MDI‑QKD接收机；城域节点为所述密钥请求计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过OLT将密钥生成周期发送给所述原、宿节点的ONU，以在所述密钥生成周期期间开启所述原、宿节点ONU处的QKD发射机，通过所述空闲的MDI‑QKD接收机完成原、宿节点之间的密钥分发。应用本发明可以可以实现较低成本、且无中继的接入网间的密钥分发。

Description

QKD网络、城域节点及其接入网间的密钥分发方法

技术领域

本发明涉及通信网络技术领域，特别是指一种QKD网络、城域节点及其接入网间的密钥分发方法。

背景技术

随着通信网络的快速发展，量子通信技术的应用领域不断被拓宽。量子密钥分发(Quantum Key Distribution,QKD)在短距离通信具有较高密钥生成速率等优势，依赖现有光纤设施的QKD接入网可以提供更优性能的密钥分发。

目前一些QKD接入网内的密钥分发方案已被提出，如图1所示，为保障接入网中多用户间密钥生成，需要放置QKD设备于用户端光网络单元(Optical Network Unit,ONU)和光线路终端(Optical Line Terminal,OLT)附近。QKD设备主要包括QKD发射机和接收机。可以通过调整QKD发射机和接收机的位置来形成QKD设备部署方案。即，将QKD发射机放置于ONU附近、QKD接收机放置于OLT附近。ONU和OLT之间的QKD信道可以借助于波分复用技术(Wavelength Division Multiplexing,WDM)和经典光信道在一根光纤中，通过时分复用(Time Division Multiplexing,TDM)技术将信道资源划分为时隙资源用于接入网内多用户的密钥生成。

但是在大多实际应用中，城域节点连接着多个QKD接入网，这些QKD接入网之间同样具有密钥分发需求，然而如何在多个QKD接入网之间为多用户提供密钥分发目前还没有形成方案。

如果常规地为QKD接入网中的每个用户配置QKD收发设备将会带来昂贵的成本，或者需要采用中继方案于密钥分发过程，而较为成熟的可信中继在安全性方面也受到质疑，无中继密钥分发是未来量子密钥分发网络的趋势。

因此，有必要提供一种成本较少、且无中继的接入网间的密钥分发方案。

发明内容

有鉴于此，本发明的目的在于提出一种QKD网络、城域节点及其接入网间的密钥分发方法，可以实现较低成本、且无中继的接入网间的密钥分发。

基于上述目的，本发明提供一种接入网间的密钥分发方法，包括：

城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；

所述城域节点为所述密钥请求计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

较佳地，所述待处理的密钥请求为多个；以及所述方法还包括：

若查找出的空闲的MDI-QKD接收机为多个，则所述城域节点将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。

较佳地，所述城域节点为所述密钥请求计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，具体包括：

所述城域节点针对每个空闲的MDI-QKD接收机，对于分配给该MDI-QKD接收机的各密钥请求依次计算所需的请求处理时隙；

所述城域节点对于计算的每个请求处理时隙，判断在该请求处理时隙要处理的密钥请求是否为多个；若是，则核查在该请求处理时隙要处理的各密钥请求所涉及的原、宿节点中，是否有两个节点在同一接入网中；若存在两个节点在同一接入网的情况，则针对其中一个节点所涉及的密钥请求重新计算所需的请求处理时隙，以避免在同一请求处理时隙处理同一接入网的两个节点相关的密钥请求；

所述城域节点根据最终计算得到的各密钥请求所需的请求处理时隙，生成密钥生成周期，并将生成的密钥生成周期发送给各密钥请求中的原、宿节点所在接入网的OLT。

其中，所述城域节点将待处理的密钥请求分配给多个空闲的MDI-QKD接收机，具体包括：

所述城域节点将待处理的密钥请求根据申请等级进行排序；

所述城域节点对于每个申请等级，将该申请等级的密钥请求均分给各空闲的MDI-QKD接收机。

本发明还提供一种城域节点，包括：

空闲接收机查找模块，用于在所述城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；

密钥生成周期计算模块，用于为所述密钥请求计算密钥生成周期；

密钥生成周期广播模块，用于将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以使得在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

较佳地，所述待处理的密钥请求为多个，查找出的空闲的MDI-QKD接收机为多个；以及

所述城域节点还包括：

密钥请求分配模块，用于将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。

本发明还提供一种QKD网络，包括：部署于城域网中如上所述的城域节点处的QKD设备，部署于与所述城域节点相连的各接入网中节点的ONU处的QKD发射机和密钥池；

其中，所述城域节点处部署的QKD设备包括：多个MDI-QKD接收机、密钥池；所述接入网中，该接入网中各节点的ONU均连接至该接入网的OLT，所述城域节点与该接入网的OLT相连。

本发明的技术方案中，城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；所述城域节点为所述密钥请求计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。从而接入网的QKD发射机可以共享城域节点的MDI-QKD接收机，完成接入网的原、宿节点之间的密钥分发；这样，一方面不必在接入网侧部署QKD接收机，减少成本；另一方面利用MDI-QKD的无中继密钥分发过程实现无中继的接入网间的密钥分发。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术的接入网中多用户间密钥生成示意图；

图2为现有技术的通过MDI-QKD技术进行密钥分发的示意图；

图3为本发明实施例提供的一种部署于城域网和接入网中的QKD网络的架构示意图；

图4为本发明实施例提供的一种接入网间的密钥分发方法的方法流程图；

图5为本发明实施例提供的一种QKD网络的架构示意图；

图6为本发明实施例提供的一种将待处理的密钥请求分配给多个空闲的MDI-QKD接收机的方法流程图；

图7为本发明实施例提供的一种城域节点计算密钥生成周期的方法流程图；

图8为本发明实施例提供的一种城域节点的内部结构框图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

需要说明的是，除非另外定义，本发明实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。

本发明的发明人考虑到，MDI(Measurement-Device-Independent,测量设备无关)作为一种有前景的技术可以增强密钥分发的实际安全性，MDI-QKD可以抵御探测器端的攻击从而保证实际QKD过程的安全性。MDI-QKD最早提出于2012年，通过引入不可信第三方来生成通信两端的安全密钥。如图2所示，Alice和Bob分别通过WDM信道在不同光纤中将单光子发送给不可信第三方Charlie，Charlie分别使用两个探测器分别探测两个单光子并进行贝尔态测量。Charlie将测量时刻分别发送给Alice和Bob，Alice和Bob通过公共信道进行测量基比对以生成密钥。该过程可以向多个QKD发射机共享第三方的QKD接收设备，从而探测并干涉通信双方发送的单光子来生成密钥。

由此，本发明的发明人考虑到可以利用MDI-QKD的“一收多发”成本节约型结构和无中继密钥分发过程应用于QKD接入网间的密钥分发，实现较低成本、且无中继的接入网间的密钥分发。

下面结合附图详细说明本发明实施例的技术方案。

本发明实施例提供的一种部署于城域网和接入网的QKD网络，架构如图3所示，包括：部署于城域网中城域节点301处的QKD设备302，部署于与所述城域节点301相连的各接入网中节点的ONU303处的QKD设备304；

其中，所述城域节点301处部署的QKD设备包括：多个MDI-QKD接收机、QKD发射机、密钥池；所述接入网中，该接入网中各节点的ONU303均连接至该接入网的OLT305，所述城域节点与该接入网的OLT305相连。

接入网中每个节点的ONU303处部署的QKD设备304包括：QKD发射机、密钥池。

也就是说，与城域节点301相连的接入网中，部署于的ONU303处的QKD设备304均可通过该接入网的OLT305连接至城域节点301，以及部署于城域节点301处的QKD设备302。

基于上述的QKD网络，本发明实施例提供的一种接入网间的密钥分发方法，具体流程如图4所示，包括如下步骤：

步骤S401：城域节点301接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机。

具体地，接入网中的用户向ONU303发出用户请求密钥，ONU303查看密钥池中密钥是否足够使用。如果足够，用户使用密钥池中的密钥；否则，ONU303根据密钥池中剩余密钥量计算实际所需密钥量、更新所需密钥量、建立密钥请求发送给OLT305，通过OLT305发送给城域节点301。其中，密钥请求至少包括原、宿节点、所需密钥量和申请等级。

本步骤中，城域节点301接收到发至接入网的、一个或多个待处理的密钥请求后，确定出每个密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机。

本步骤中，城域节点301还可将发送密钥请求的OLT加入到OLT集合中；OLT还可将密钥请求中ONU对应的QKD发射机编号信息发送给城域节点301，城域节点301将OLT发送的所有QKD发射机编号写入QKD发射端集合。城域节点301查找出处于空闲状态的MDI-QKD接收机，并将这些MDI-QKD接收机编号等信息放入QKD接收端集合。当系统处于初始状态时，OLT集合包括城域节点301下连的所有接入网中的OLT，QKD接收端集合应包括城域节点301的所有MDI-QKD接收机，QKD发射端集合包括城域节点301下连的所有接入网中的所有发射机。

例如，如图5所示的QKD网络中，用户将请求发送给ONU1、ONU2和ONU4，这些ONU形成密钥请求包括：请求1(ONU1→ONU6，5bit，P1)，请求2(ONU2→ONU5，6bit，P2)，请求3(ONU4→ONU3，7bit，P2)，并发送给各个接入网内的OLT1、OLT2；OLT1发送给城域节点301的密钥请求为：OLT1{请求1(ONU1→ONU6，5bit，P1)&请求2(ONU2→ONU5，6bit，P2)}，OLT2发送给城域节点301的密钥请求为：OLT2{请求3(ONU4→ONU3，7bit，P2)}。

城域节点301获取的OLT集合中包括OLT1、OLT2的信息；城域节点查询密钥请求，获取的QKD发射机集合包括{发射机1→发射机6，发射机2→发射机5，发射机4→发射机3}；城域节点检查可供使用的空闲的MDI-QKD接收机，获取QKD接收机集合包括{接收机1，接收机2}。

步骤S402：城域节点301为接收到的密钥请求计算密钥生成周期。

具体地，若待待处理的密钥请求为一个，城域节点301则根据该密钥请求所需密钥量与密钥生成速率之比向上取整计算该密钥请求所需的请求处理时隙；

若待处理的密钥请求为多个，且查找出的空闲的MDI-QKD接收机也为多个，则城域节点301可以将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。例如，可以将待处理的密钥请求均分给各空闲的MDI-QKD接收机，或者，更优地，在密钥请求的申请等级的基础上均分待处理的密钥请求，具体方法流程如图6所示，包括如下子步骤：

子步骤S601：城域节点301将待处理的密钥请求根据申请等级进行排序；

本子步骤中，城域节点301将密钥请求按照等级从高到低的顺序写入请求队列，相同等级的密钥请求之间的顺序随机。密钥请求队列示例：请求1{源节点、宿节点、所需密钥量、申请等级}，请求2{源节点、宿节点、所需密钥量、申请等级}，…。例如，城域节点301对上述请求1、2、3进行排序，形成请求队列{请求1(ONU1→ONU6，5bit，P1)，请求2(ONU2→ONU5，6bit，P2)}，请求3(ONU4→ONU3，7bit，P2)}。

子步骤S602：城域节点301对于每个申请等级，将该申请等级的密钥请求均分给各空闲的MDI-QKD接收机。

本子步骤中，城域节点301记录请求等级{P1,…,Pn}对应的请求数量{N1,…,Nn}，查询QKD接收端集合并记录接收端数量M。城域节点将不同等级下的请求均匀分配给各个接收机，每个接收机将处理每个等级中Ni/M个请求。收发设备映射示例：接收设备1→请求1&请求2；接收设备2→请求3；…；例如，城域节点301记录等级对应的密钥请求{P1→{请求1(ONU1→ONU6，5bit，P1)}，P2→{请求2(ONU2→ONU5，6bit，P2)&请求3(ONU4→ONU3，7bit，P2)}}。城域节点查询QKD接收端集合并记录可用接收机数量2。城域节点将密钥请求分配给接收机{接收机1→P1{请求1}&P2{请求2}，接收机1→P2{请求3}}。

本步骤中，城域节点301在将待处理的密钥请求分配给各空闲的MDI-QKD接收机后，城域节点根据分配结果计算密钥生成周期，具体方法流程，如图7所示，包括如下子步骤：

子步骤S701：城域节点301针对每个空闲的MDI-QKD接收机，对于分配给该MDI-QKD接收机的各密钥请求依次计算所需的请求处理时隙；

本子步骤中，城域节点301根据请求队列中密钥请求的所需密钥量与密钥生成速率之比向上取整计算每个密钥请求所需时隙数量，根据请求队列中密钥请求的顺序通过时分复用依次排列各个请求所需时隙数形成密钥生成周期。

例如，假设密钥生成速率是3bit/时隙，城域节点计算每个密钥请求所需时隙数{请求1→2个时隙，请求2→2个时隙，请求3→3个时隙}。

子步骤S702：城域节点301核查是否存在密钥请求处理的冲突；并在存在冲突的情况下，调整密钥请求的请求处理时隙。

具体地，在每个时隙内，两个接入域内的ONU在相同时间被分配不同信道资源。另外，不同MDI-QKD接收机在相同时隙对应的QKD发射机必须处于不同接入域。如果两个及以上数量的接收机需要进行同一接入域的不同用户密钥分发，这种情况下的密钥请求需要交错开。

由此，本子步骤中，对于计算的每个请求处理时隙，判断在该请求处理时隙要处理的密钥请求是否为多个；若是，则核查在该请求处理时隙要处理的各密钥请求所涉及的原、宿节点中，是否有两个节点在同一接入网中；若存在两个节点在同一接入网的情况，则针对其中一个节点所涉及的密钥请求重新计算所需的请求处理时隙，以避免在同一请求处理时隙处理同一接入网的两个节点相关的密钥请求。

子步骤S703：城域节点301根据最终计算得到的各密钥请求所需的请求处理时隙，生成密钥生成周期。

具体地，针对每个空闲的MDI-QKD接收机，城域节点301根据为分配给该MDI-QKD接收机的各密钥请求依次计算的最终的请求处理时隙，生成该MDI-QKD接收机的密钥生成周期。例如，形成接收机1的密钥生成周期{请求1→2个时隙，请求2→2个时隙}，接收机2的密钥生成周期{空闲4个时隙，请求3→3个时隙}。

步骤S403：城域节点301将计算的密钥生成周期广播给接入网的OLT305。

本步骤中，城域节点301将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT；具体地，城域节点301将生成的密钥生成周期发送给各密钥请求中的原、宿节点所在接入网的OLT，即城域节点301以经典广播的方式将密钥生成周期发送给OLT集合中的OLT。

步骤S404：OLT305将所述密钥生成周期发送给所述原、宿节点的ONU303，以在所述密钥生成周期期间开启部署于所述原、宿节点的ONU303处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

具体地，接入网中的OLT305将接收的密钥生成周期发送给本接入网中，密钥请求的原、宿节点的ONU303，使得ONU303可以根据密钥生成周期中为该密钥请求计算出的请求处理时隙里，开启所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发，并将生成的密钥存储于密钥池中。

当ONU需要使用密钥进行安全通信时，便可从密钥池中取出对应密钥对数据信息进行加密。例如，ONU3、ONU4、ONU5和ONU6将要使用密钥进行安全通信时，可以从密钥池中取出对应密钥对数据信息进行加密。

上述城域节点301中的一种具体内部结构，如图8所示，包括：空闲接收机查找模块801、密钥生成周期计算模块802、密钥生成周期广播模块803。

空闲接收机查找模块801用于在所述城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；

密钥生成周期计算模块802用于为所述密钥请求计算密钥生成周期；

密钥生成周期广播模块803用于将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以使得在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

较佳地，若所述待处理的密钥请求为多个，查找出的空闲的MDI-QKD接收机为多个，城域节点301中还可包括：密钥请求分配模块804。

密钥请求分配模块804用于将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。

上述的密钥生成周期计算模块802具体用于针对每个空闲的MDI-QKD接收机，对于分配给该MDI-QKD接收机的各密钥请求依次计算所需的请求处理时隙；之后，对于计算的每个请求处理时隙，判断在该请求处理时隙要处理的密钥请求是否为多个；若是，则核查在该请求处理时隙要处理的各密钥请求所涉及的原、宿节点中，是否有两个节点在同一接入网中；若存在两个节点在同一接入网的情况，则针对其中一个节点所涉及的密钥请求重新计算所需的请求处理时隙，以避免在同一请求处理时隙处理同一接入网的两个节点相关的密钥请求；根据最终计算得到的各密钥请求所需的请求处理时隙，生成密钥生成周期。

上述的密钥生成周期广播模块803具体用于将生成的密钥生成周期发送给各密钥请求中的原、宿节点所在接入网的OLT。

本发明的技术方案中，城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；所述城域节点为所述密钥请求计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。从而接入网的QKD发射机可以共享城域节点的MDI-QKD接收机，完成接入网的原、宿节点之间的密钥分发；这样，一方面不必在接入网侧部署QKD接收机，减少成本；另一方面利用MDI-QKD的无中继密钥分发过程实现无中继的接入网间的密钥分发。

本实施例的计算机可读介质包括永久性和非永久性、可移动和非可移动媒体可以由任何方法或技术来实现信息存储。信息可以是计算机可读指令、数据结构、程序的模块或其他数据。计算机的存储介质的例子包括，但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他内存技术、只读光盘只读存储器(CD-ROM)、数字多功能光盘(DVD)或其他光学存储、磁盒式磁带，磁带磁磁盘存储或其他磁性存储设备或任何其他非传输介质，可用于存储可以被计算设备访问的信息。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态RAM(DRAM))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种接入网间的密钥分发方法，其特征在于，包括：

城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；

所述城域节点为所述密钥请求计算所需的请求处理时隙，并根据计算的请求处理时隙，计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

2.根据权利要求1所述的方法，其特征在于，所述待处理的密钥请求为多个；以及所述方法还包括：

若查找出的空闲的MDI-QKD接收机为多个，则所述城域节点将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。

3.根据权利要求2所述的方法，其特征在于，所述城域节点为所述密钥请求计算所需的请求处理时隙，并根据计算的请求处理时隙，计算密钥生成周期后，将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，具体包括：

所述城域节点针对每个空闲的MDI-QKD接收机，对于分配给该MDI-QKD接收机的各密钥请求依次计算所需的请求处理时隙；

所述城域节点对于计算的每个请求处理时隙，判断在该请求处理时隙要处理的密钥请求是否为多个；若是，则核查在该请求处理时隙要处理的各密钥请求所涉及的原、宿节点中，是否有两个节点在同一接入网中；若存在两个节点在同一接入网的情况，则针对其中一个节点所涉及的密钥请求重新计算所需的请求处理时隙，以避免在同一请求处理时隙处理同一接入网的两个节点相关的密钥请求；

所述城域节点根据最终计算得到的各密钥请求所需的请求处理时隙，生成密钥生成周期，并将生成的密钥生成周期发送给各密钥请求中的原、宿节点所在接入网的OLT。

4.根据权利要求3所述的方法，其特征在于，所述在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，具体包括：

在所述密钥生成周期中，对于为一个密钥请求计算出的请求处理时隙，在该请求处理时隙，针对该密钥请求中的原、宿节点，开启所述原、宿节点的ONU处的QKD发射机。

5.根据权利要求2所述的方法，其特征在于，所述城域节点将待处理的密钥请求分配给多个空闲的MDI-QKD接收机，具体包括：

所述城域节点将待处理的密钥请求根据申请等级进行排序；

所述城域节点对于每个申请等级，将同一申请等级的密钥请求均分给各空闲的MDI-QKD接收机。

6.一种城域节点，其特征在于，包括：

空闲接收机查找模块，用于在所述城域节点接收到发至接入网的待处理的密钥请求后，确定出所述密钥请求中的原、宿节点，并从部署于本节点处的各MDI-QKD接收机中查找出空闲的MDI-QKD接收机；

密钥生成周期计算模块，用于为所述密钥请求计算所需的请求处理时隙，并根据计算的请求处理时隙，计算密钥生成周期；

密钥生成周期广播模块，用于将计算的密钥生成周期发送给所述原、宿节点分别所在的接入网的OLT，通过所述OLT将所述密钥生成周期发送给所述原、宿节点的ONU，以使得在所述密钥生成周期期间开启部署于所述原、宿节点的ONU处的QKD发射机，通过所述空闲的MDI-QKD接收机完成位于不同接入网的原、宿节点之间的密钥分发。

7.根据权利要求6所述的城域节点，其特征在于，所述待处理的密钥请求为多个，查找出的空闲的MDI-QKD接收机为多个；以及

所述城域节点还包括：

密钥请求分配模块，用于将待处理的密钥请求分配给多个空闲的MDI-QKD接收机。

8.根据权利要求7所述的城域节点，其特征在于，

所述密钥生成周期计算模块具体用于针对每个空闲的MDI-QKD接收机，对于分配给该MDI-QKD接收机的各密钥请求依次计算所需的请求处理时隙；之后，对于计算的每个请求处理时隙，判断在该请求处理时隙要处理的密钥请求是否为多个；若是，则核查在该请求处理时隙要处理的各密钥请求所涉及的原、宿节点中，是否有两个节点在同一接入网中；若存在两个节点在同一接入网的情况，则针对其中一个节点所涉及的密钥请求重新计算所需的请求处理时隙，以避免在同一请求处理时隙处理同一接入网的两个节点相关的密钥请求；根据最终计算得到的各密钥请求所需的请求处理时隙，生成密钥生成周期。

9.根据权利要求8所述的城域节点，其特征在于，

所述密钥生成周期广播模块具体用于将生成的密钥生成周期发送给各密钥请求中的原、宿节点所在接入网的OLT。

10.一种QKD网络，其特征在于，包括：部署于城域网中如权利要求6-9任一所述的城域节点处的QKD设备，部署于与所述城域节点相连的各接入网中节点的ONU处的QKD发射机和密钥池；

其中，所述城域节点处部署的QKD设备包括：多个MDI-QKD接收机、密钥池；所述接入网中，该接入网中各节点的ONU均连接至该接入网的OLT，所述城域节点与该接入网的OLT相连。

Images