CN112332984A - 一种基于sdn的广域量子密钥分发路由方法及装置 - Google Patents
一种基于sdn的广域量子密钥分发路由方法及装置 Download PDFInfo
- Publication number
- CN112332984A CN112332984A CN202011380865.7A CN202011380865A CN112332984A CN 112332984 A CN112332984 A CN 112332984A CN 202011380865 A CN202011380865 A CN 202011380865A CN 112332984 A CN112332984 A CN 112332984A
- Authority
- CN
- China
- Prior art keywords
- key
- domain
- routing
- link
- key distribution
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/02—Topology update or discovery
- H04L45/04—Interdomain routing, e.g. hierarchical routing
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L45/00—Routing or path finding of packets in data switching networks
- H04L45/12—Shortest path evaluation
- H04L45/122—Shortest path evaluation by minimising distances, e.g. by selecting a route with minimum of number of hops
Abstract
本发明公开了一种基于SDN的广域量子密钥分发路由方法及装置,涉及量子保密通信领域。广域量子密钥资源分发路由方法主要包括:域内量子密钥分发和域间量子密钥分发。域内量子密钥分发方法主要是通过多种选路指标进行路由选择,降低域内量子密钥分发阻塞率,实现域内量子密钥均衡分发。域间量子密钥分发要确定域间的密钥路由域序列,计算域间边界节点对的实际路径,并通过路由跳数确定最佳路径,进而提高密钥分发网络服务质量,提高域间网络性能。本发明可以解决广域量子保密通信网络节点数量多、规模大、路由关系复杂等问题,进一步降低量子密钥资源管理难度,提高量子密钥资源利用率。
Description
技术领域
本发明涉及一种基于SDN的广域量子密钥分发路由方法及装置,属于量子保密通信领域。
背景技术
量子密钥分发利用量子态对信息进行量子编码并传递,从而为通信双方提供理论上无条件安全的共享密钥,被称为信息安全领域最具颠覆性的前沿技术之一。它的安全性依赖于量子力学基本原理:单光子不可再分、海森堡不确定性原理、测量塌缩原理、量子不可克隆定理等,一旦有人窃取密钥,必然会被发现。结合“一次一密”密码体制,量子密钥分发技术可以为通信双方建立信息论安全的保密通信,使保密通信强度从基于计算安全跃升为基于量子物理特征安全。
纯粹的点到点量子密钥分发只适用于两个用户之间的保密通信,随着用户数量剧增,点到点量子密钥分发不再适用。且随着距离的增大,光量子衰减不断增大,影响量子密钥分发效果。对此,由多个节点按照一定结构连接组成的广域量子密钥分发软件定义网络(SDN)应运而生。它通过节点之间的相互协调、信息传输共同实现多用户、高速率、远距离、网络化的密钥分发。
伴随着网络规模、用户数量的不断增长,广域量子密钥分发SDN网络结构越来越复杂,网络状态动态变化快,远距离中继传输效率低,中继传输路径质量无法保证,需要提出相对比较完整的量子密钥分发网络路由选择策略。
发明内容
本发明的目的在于提供一种广域量子密钥分发路由方法及装置,以充分满足广域SDN网络环境下地市供电公司不同电力业务终端的密钥分发需求,解决广域量子保密通信SDN网络节点数量多、规模大、路由关系复杂等问题,进一步降低量子密钥资源管理难度,提高量子密钥资源利用率。
为了实现上述目的,本发明采用如下技术方案:
一方面,本发明提供了一种基于SDN的广域量子密钥分发路由方法,所述路由方法基于密钥分发网络,所述密钥分发网络基于软件定义网络,并包括应用层、控制层、密钥层、业务层,所述方法包括:
通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥节点,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥节点和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
进一步地,根据所述信息和/或资源制定安全策略,包括:
根据电力业务安全性要求,配置一次一密的加密策略,或采用量子密钥与经典密钥冗余加密策略。
进一步地,所述从控制器包括:链路状态模块和路由配置模块,所述链路状态模块用于获取密钥层的密钥节点信息和链路状态信息,并汇总链路状态信息,形成完整的量子密钥分发网络视图;所述路由配置模块计算域内的最佳密钥分发链路,下发各个密钥节点。
进一步地,所述域内路由计算基于的域内路由算法,包括;
形成完整的量子密钥分发网络视图;
计算域内的最佳密钥分发链路。
进一步地,所述形成完整的量子密钥分发网络视图,包括:
将密钥路由域转化为带权无向图G{V,E},V={v1,v2,…,vn}表示密钥节点集合,E={eij}表示链路集合,eij为相邻密钥节点对{vi,vj}之间的链路,
meij为链路eij的密钥剩余量,满足meij>Threshold,Threshold为密钥剩余量阈值。
进一步地,所述计算域内的最佳密钥分发链路,包括:
以密钥剩余量的倒数为权重,选出前K条链路资源充足的备选链路,因此根据选择出来的N(N≤K)条备选链路组成链路集Q;
若没有选出任何一条备选链路,则结束本次最佳密钥分发链路的计算;
若只选出一条备选链路,则将该链路作为最佳密钥分发链路,则结束本次最佳密钥分发链路的计算;
根据链路集Q中各条备选链路所经节点的度数之和,从小到大排序,选出N/2条新备选链路,更新链路集Q为仅包含所述新备选链路;
若Q中只有存在一条新备选链路,确定该链路为最佳密钥分发链路,并结束本次最佳密钥分发链路的计算;
根据Q中新候选链路的路由跳数,确定最佳密钥分发链路,并结束本次最佳密钥分发链路的计算。
进一步地,根据Q中新候选链路的路由跳数,确定最佳密钥分发链路,包括:
将链路集Q中路由跳数最小的新候选链路作为最佳密钥分发链路。
进一步地,所述域间路由计算基于的域间路由算法,包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息,若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器获取从控制器发送的请求,确定此请求的源密钥节点和目的密钥节点分别所在的域,根据全域网络拓扑信息,确定合适的路由序列;
通过主控制器将路由序列进行分段,向序列上每个密钥节点所对应的从控制器发送路由计算请求,通过从控制器计算其对应的域内最短路径,并将计算结果发送给主控制器;
通过主控制器将各从控制器发送的其对应的各域内最短路径计算结果,连接为域间路由结果,并把域间路由结果返回源密钥节点所在域对应的子控制器。
进一步地,所述域间路由计算基于的域间路由算法,包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息;若目的密钥节点处于本域,则计算域内路由,并结束所述域间路由算法的流程;若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器找到目的密钥节点所在域,随机选择源密钥节点域和目的密钥节点域之间M个中间域密钥节点对,根据全域网络拓扑信息和链路代价,计算得到M条路径,所述M条路径包含对应的源密钥节点、源域密钥出口节点、中间域密钥入口节点、中间域密钥出口节点、目的密钥入口节点、目的密钥节点;
通过主控制器向各中间域从控制器发送路径计算请求消息,通过各个从控制器执行域内路由选择算法,得到各中间域的域内路径;
通过从控制器将各中间域的域内路径的路径信息及相应域内跳数,发送主控制器,通过主控制器确定总跳数最少的路径,以之作为最优域间路径。
另一方面,本发明提供了一种基于SDN的广域量子密钥分发路由装置,所述路由方法基于密钥分发网络,所述密钥分发网络基于SDN网络,并包括应用层、控制层、密钥层、业务层,所述装置包括:
信息获取和安全策略确定单元,配置为通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
路由选择和资源配置单元,配置为通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
密钥生成和分发单元,配置为通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥分发终端,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥分发终端和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
业务传输单元,配置为通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
本发明所达到的有益技术效果:本发明的一种基于SDN的广域量子密钥分发路由方法及装置可以方便地进行广域量子密钥分发路由管理,减轻广域量子密钥分发SDN网络节点负载压力,还可以实现量子密钥资源的统一调控,进一步提高量子保密通信网络服务质量。
附图说明
图1本发明实施例提供的一种基于SDN的广域量子密钥分发路由方法的流程图;
图2本发明实施例提供的密钥分发网络的示意图;
图3本发明实施例提供的域内路由计算网络示意图;
图4本发明实施例提供的一种域内路由计算的具体实施方式的流程图;
图5本发明实施例提供的一种域间路由计算的具体实施方式的流程图;
图6本发明实施例提供的一种基于SDN的广域量子密钥分发路由装置的结构图。
具体实施方式
下面结合具体实施例对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
首先说明本发明提供的一种基于SDN的广域量子密钥分发路由方法的基本精神和设计框架。
本发明提供的基于SDN网络的广域量子密钥分发路由方法,从SDN理念出发,以分域思想为基础,借助分层理念,构建广域量子密钥分发SDN网络分域分层架构,如图2所示。该架构自上而下包括:应用层、控制层、密钥层、业务层,四个层次相互融合,共同完成基于SDN的广域量子密钥分发及路由选择,实现电力系统地市供电公司不同电力业务数据传输的加密控制与管理。这种架构不仅可以方便广域量子密钥分发路由管理,减轻广域量子密钥分发SDN网络节点负载压力,还可以实现量子密钥资源的统一调控,进一步提高量子保密通信网络服务质量。
对上述各层说明如下:
(1)应用层(策略配置)
应用层是最接近用户的一层,主要包括各类应用需求。由于不同的电力业务对安全性存在不同级别的划分,进而实现广域范围内的安全策略配置。用户可以通过API接口与控制层通信,获取密钥层和数据层的底层信息和资源,根据这些信息和资源制定相应的安全策略。对于安全性要求较高的电力业务,可设置较高的安全等级,配置一次一密的加密策略。对于安全性要求较低的电力业务,可设置较低的安全等级,采用量子密钥与经典密钥冗余加密策略。
(2)控制层(管理控制)
控制层是广域量子密钥分发SDN网络架构的控制核心,能够实现对全域资源集中控制,具备路由选择、资源配置、信息调度、设备管理等功能,实现对整个广域量子密钥分发SDN网络架构的管控,提升广域量子密钥分发SDN网络架构的运作效率。控制层采用SDN主控制器和SDN从控制器上下协同的管控模式。SDN从控制器负责域内密钥分发的路由选择和资源配置,并实时将域内密钥分发路由信息上报SDN主控制器。SDN主控制器对各个SDN从控制器上报的信息进行汇总,进行域间路由计算。
(3)密钥层(安全分发)
密钥层主要包括各类量子密钥分发终端及量子信道、经典信道等,主要完成量子密钥生成、存储、分发等工作,为数据层的电力业务提供端到端可靠的密钥服务。密钥层是整个广域量子密钥分发SDN网络架构产生密钥的关键,只有保证量子密钥的高效分发,才能实现全域网络数据的安全传输。密钥层也分域内和域间,域内量子密钥分发终端和信道隶属于控制层的同一个SDN从控制器。
(4)业务层(数据传输)
业务层主要包括多个业务路由域,每种电力业务对应一个业务路由域。业务路由域之间实现电力业务数据的加密传输,电力业务数据从起始节点到目的节点之间会经过多个交换机和路由器,这就涉及了路由选择。但由于密钥层和业务层是相分离的,因此业务数据传输的路由选择与密钥分发的路由选择是相对独立的。只不过业务数据传输的路由选择与密钥分发的路由选择都是由控制层中SDN从控制器和SDN主控制器管控。
图1为本发明实施例提供的一种基于SDN的广域量子密钥分发路由方法的流程图。该路由方法基于密钥分发网络,所述密钥分发网络基于SDN网络,并包括应用层、控制层、密钥层、业务层,如图1所示,该方法包括如下步骤:
步骤11,通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
如上所述,应用层主要是提供用户获取信息和进行策略配置的接口。在一个实施例中,可以根据电力业务安全性要求,配置一次一密的加密策略,或采用量子密钥与经典密钥冗余加密策略。
步骤12,通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
在一个实施例中,从控制器可以包括链路状态模块和路由配置模块,所述链路状态模块用于获取密钥层的密钥节点信息和链路状态信息,并汇总链路状态信息,形成完整的量子密钥分发网络视图;所述路由配置模块计算域内的最佳密钥分发链路,下发各个密钥节点。
在一个实施例中,域内路由计算基于的域内路由算法,可以包括;
形成完整的量子密钥分发网络视图;
计算域内的最佳密钥分发链路。
具体的,广域量子密钥分发SDN网络架构强调了密钥层中密钥及时提供和密钥高效分配在整个分域架构模型中的重要性,并在此基础上进一步强调了一个合适的域间及域内路由算法是实现密钥层密钥有效传输的重要保证。而在整个路由算法中,首先需要保证每个路由域的域内路由算法的良好性能,这也是实现完整路由算法的基础和前提。
基于密钥资源均衡的域内路由算法是面向域内资源的密钥分配方法。域内的SDN从控制器是对密钥层密钥资源进行协调控制和路由管理,域内密钥资源均衡网络仍然基于量子密钥分配(QKD)网络。控制层和密钥层是按照分层分域架构思路,域内网络架构如图3所示。
在密钥层的QKD网络中,密钥生成量、密钥消耗量、密钥剩余量等指标对域内密钥分发的路由选择具有重要的参考价值。这些指标在QKD网络实时变化,需要及时收集和处理。SDN从控制器作为域内的控制单元,具备密钥网络资源信息收集能力,为路由选择提供可靠的控制指令。路由选择主要包括链路状态模块和路由配置模块。具体来说,密钥层的相关密钥节点信息和链路状态信息提交给SDN从控制器的链路状态模块,SDN从控制器汇总链路状态信息,形成完整的QKD网络视图。再通过路由配置模块计算最佳密钥分发链路,下发QKD各个密钥节点,完成一次域内资源的密钥分配及链路选择。
其中,路由配置模块的路由选择策略最为重要。路由配置模块是按照以下原则进行路由选择的:选取密钥充足链路、选取节点度之和最小的链路、选取链路跳数最少的链路、设定链路的密钥余量阈值。
考虑节点密钥剩余量、节点度数、路由跳数为路由选择策略衡量指标,确定路由配置模块计算最佳密钥分发链路的具体流程。基本思想是根据密钥剩余量删掉低于密钥剩余量阈值的链路;其次,综合考虑密钥剩余量、节点度数、路由跳数这三种选路指标,计算可用链路中最优的一条链路。
图4为本发明实施例提供的一种域内路由计算的具体实施方式的流程图。如图4所示,在该实施方式下,可以通过以下步骤形成完整的量子密钥分发网络视图:
密钥层的QKD网络由多个密钥节点和链路组成,将QKD网络转化为带权无向图:G{V,E},其中,V={v1,v2,…,vn}表示密钥节点集合,E={eij}表示链路集合,eij为相邻密钥节点对{vi,vj}之间的链路。
为减少因链路密钥资源不足造成密钥分发失败的影响,需要根据链路的密钥剩余量进行阈值限定,只有满足密钥剩余量阈值Threshold条件的链路才能纳入E={eij}集合。设meij为链路eij的密钥剩余量,meij满足meij>Threshold。
在该实施方式下,还可以通过以下步骤计算域内的最佳密钥分发链路:
步骤a,以密钥剩余量的倒数为权重,选出前K条链路资源充足的备选链路,但是,并不是每个源密钥节点和目的密钥节点都存在符合要求的K条链路,有可能选出的备选链路数低于这个值,因此根据选择出来的N(N≤K)条备选链路组成链路集Q;若没有选出任何一条备选链路,则结束本次最佳密钥分发链路的计算;若只选出一条备选链路,则将该链路作为最佳密钥分发链路,并结束本次最佳密钥分发链路的计算;若不符合上面两种情况,则继续执行步骤b;
步骤b,根据链路集Q中各条备选链路所经节点的度数之和,从小到大排序,选出N/2条新备选链路,更新链路集Q为仅包含所述新备选链路;若此时Q中只存在一条新备选链路,则确定该链路为最佳密钥分发链路,并结束本次最佳密钥分发链路的计算;若Q中仍有多条链路,则继续执行步骤c;
步骤c,根据Q中新候选链路的路由跳数,确定最佳密钥分发链路,并结束本次最佳密钥分发链路的计算。在一个具体例子中,可以将链路集Q中路由跳数最小的新候选链路作为最佳密钥分发链路。
在一个实施例中,域间路由计算基于的域间路由算法,可以包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息,若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器获取从控制器发送的请求,确定此请求的源密钥节点和目的密钥节点分别所在的域,根据全域网络拓扑信息,确定合适的路由序列;
通过主控制器将路由序列进行分段,向序列上每个密钥节点所对应的从控制器发送路由计算请求,通过从控制器计算其对应的域内最短路径,并将计算结果发送给主控制器;
通过主控制器将各从控制器发送的其对应的各域内最短路径计算结果,连接为域间路由结果,并把域间路由结果返回源密钥节点所在域对应的子控制器。
从中可以看到,域间量子密钥分发网络路由算法以基于密钥资源均衡的域内路由算法为基础,适用于长距离复杂QKD广域SDN网络的量子密钥分发。
结合广域量子密钥分发SDN网络分域分层架构,域间量子密钥分发网络路由算法对密钥层进行抽象,构建基于层次化控制的多域QKD网络架构模型,如图3所示。
根据一种实施方式,在基于层次化控制的多域QKD网络架构模型中,SDN从控制器收集每个域内QKD网络拓扑和链路状态信息,对本域的网络拓扑进行抽象化处理,并将抽象信息发送给SDN主控制器。SDN主控制器会将每个SDN从控制器的抽象拓扑信息进行选择,在通过SDN从控制器计算域内链路,SDN主控制器完成多域QKD网络的路由选择。
在一种具体的实施方式中,源密钥节点向源SDN从控制器发送路由计算请求,并将目的密钥节点信息告知SDN从控制器,SDN从控制器查询本域信息,发现目的密钥节点不在本域,则SDN从控制器将此请求发送给SDN主控制器。
SDN主控制器获取SDN从控制器发送的消息,知晓此请求的源密钥节点和目的密钥节点分别所在的域,根据自身的全局网络拓扑信息,确定一条合适路由序列。
SDN主控制器将路由序列进行分段,向序列上每个密钥节点所对应的SDN从控制器发送路由计算请求。SDN从控制器通过域内路由算法计算最短路径,并将路径计算结果发送给SDN主控制器。
SDN主控制器利用SDN从控制器发送的各个域内路径计算结果,通过序列上相邻域间链路,将分段路径结果重新连接,并把结果返回源密钥节点所在域对应的SDN子控制器,完成域间路径选择。
在另一个实施例中,域间路由计算基于的域间路由算法,可以包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息;若目的密钥节点处于本域,则计算域内路由,并结束所述域间路由算法的流程;若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器找到目的密钥节点所在域,随机选择源密钥节点域和目的密钥节点域之间M个中间域密钥节点对,根据全域网络拓扑信息和链路代价,计算得到M条路径,所述M条路径包含对应的源密钥节点、源域密钥出口节点、中间域密钥入口节点、中间域密钥出口节点、目的密钥入口节点、目的密钥节点;
通过主控制器向各中间域从控制器发送路径计算请求消息,通过各个从控制器执行域内路由选择算法,得到各中间域的域内路径;
通过从控制器将各中间域的域内路径的路径信息及相应域内跳数,发送主控制器,通过主控制器确定总跳数最少的路径,以之作为最优域间路径。
从中可以看到,域间量子密钥分发网络路由算法的核心是SDN主控制器根据链路选择指标确定一条最优的域间序列,同时SDN从控制器要根据域间序列,执行域内路由选择算法。
根据一种实施方式,当源密钥节点和目的密钥节点归属同一个域时,SDN主控制器根据全局网络抽象拓扑信息,按照域内路由选择算法,以链路代价为权重,得到一个确定的路径序列,进而计算最优路径;当源密钥节点和目的密钥节点归属不同一个域时,需要源密钥节点和目的密钥节点选择一个密钥节点对确定路由序列,对备选的M条路径进行筛选,进而转化为源密钥节点和目的密钥节点归属同一个域的路由选择方法。
图5为本发明实施例提供的一种域间路由计算的具体实施方式的流程图。如图5所示,该实施方式的流程包括:
源密钥节点将加密请求发送给本域SDN从控制器,SDN从控制器发现目的密钥节点也在本域,则执行域内路由选择算法,并结束本次流程;当SDN从控制器发现目的密钥节点不在本域时,向SDN主控制器发送请求,SDN主控制器进行路径计算。
SDN主控制器找到目的密钥节点所在域,随机选择源密钥节点域和目的密钥节点域之间M个中间域密钥节点对。根据全域网络拓扑信息和链路代价,计算得到M条路径。这M条路径包含对应的源密钥节点、源域密钥出口节点、中间域密钥入口节点、中间域密钥出口节点、目的密钥入口节点、目的密钥节点。
SDN主控制器向中间域SDN从控制器发送路径计算请求消息,各个SDN从控制器执行域内路由选择算法,得到域内路径。
SDN从控制器通过域内路由选择算法选路成功,保存路径信息及相应域内跳数,发送SDN主控制器,SDN主控制器以跳数为选择指标,选择跳数最少的路径作为最优路径。
步骤13,通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥节点,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥节点和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
步骤14,通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
图6为本发明实施例提供的一种基于SDN的广域量子密钥分发路由装置的结构图。路由方法基于密钥分发网络,所述密钥分发网络基于SDN网络,并包括应用层、控制层、密钥层、业务层,如图6所示,该装置600包括:
信息获取和安全策略确定单元61,配置为通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
路由选择和资源配置单元62,配置为通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
密钥生成和分发单元63,配置为通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥分发终端,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥分发终端和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
业务传输单元64,配置为通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
利用本发明实施例提供的一种基于SDN的广域量子密钥分发路由方法及装置,可以解决广域量子保密通信网络节点数量多、规模大、路由关系复杂的问题,进一步降低量子密钥资源管理难度,提高量子密钥资源利用率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
Claims (10)
1.一种基于SDN的广域量子密钥分发路由方法,其特征在于,所述路由方法基于密钥分发网络,所述密钥分发网络基于SDN网络,并包括应用层、控制层、密钥层、业务层,所述方法包括:
通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥节点,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥节点和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
2.根据权利要求1所述的方法,其特征在于,根据所述信息和/或资源制定安全策略,包括:
根据电力业务安全性要求,配置一次一密的加密策略,或采用量子密钥与经典密钥冗余加密策略。
3.根据权利要求1所述的方法,其特征在于,所述从控制器包括:链路状态模块和路由配置模块,所述链路状态模块用于获取密钥层的密钥节点信息和链路状态信息,并汇总链路状态信息,形成完整的量子密钥分发网络视图;所述路由配置模块计算域内的最佳密钥分发链路,下发各个密钥节点。
4.根据权利要求1所述的方法,其特征在于,所述域内路由计算基于的域内路由算法,包括:
形成完整的量子密钥分发网络视图;
计算域内的最佳密钥分发链路。
5.根据权利要求4所述的方法,其特征在于,所述形成完整的量子密钥分发网络视图,包括:
将密钥路由域转化为带权无向图G{V,E},V={v1,v2,…,vn}表示密钥节点集合,E={eij}表示链路集合,eij为相邻密钥节点对{vi,vj}之间的链路,
meij为链路eij的密钥剩余量,满足meij>Threshold,Threshold为密钥剩余量阈值。
6.根据权利要求4所述的方法,其特征在于,所述计算域内的最佳密钥分发链路,包括:
以密钥剩余量的倒数为权重,选出前K条链路资源充足的备选链路,因此根据选择出来的N条备选链路组成链路集Q,其中N≤K;
若没有选出任何一条备选链路,则结束本次最佳密钥分发链路的计算;
若只选出一条备选链路,则将该链路作为最佳密钥分发链路,则结束本次最佳密钥分发链路的计算;
根据链路集Q中各条备选链路所经节点的度数之和,从小到大排序,选出N/2条新备选链路,更新链路集Q为仅包含所述新备选链路;
若Q中只有存在一条新备选链路,确定该链路为最佳密钥分发链路,并结束本次最佳密钥分发链路的计算;
根据Q中新候选链路的路由跳数,确定最佳密钥分发链路,并结束本次最佳密钥分发链路的计算。
7.根据权利要求6所述的方法,其中,根据Q中新候选链路的路由跳数,确定最佳密钥分发链路,包括:
将链路集Q中路由跳数最小的新候选链路作为最佳密钥分发链路。
8.根据权利要求1所述的方法,其特征在于,所述域间路由计算基于的域间路由算法,包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息,若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器获取从控制器发送的请求,确定此请求的源密钥节点和目的密钥节点分别所在的域,根据全域网络拓扑信息,确定合适的路由序列;
通过主控制器将路由序列进行分段,向序列上每个密钥节点所对应的从控制器发送路由计算请求,通过从控制器计算其对应的域内最短路径,并将计算结果发送给主控制器;
通过主控制器将各从控制器发送的其对应的各域内最短路径计算结果,连接为域间路由结果,并把域间路由结果返回源密钥节点所在域对应的子控制器。
9.根据权利要求1所述的方法,其特征在于,所述域间路由计算基于的域间路由算法,包括;
通过源密钥节点向其隶属的从控制器发送路由计算请求,并将目的密钥节点信息告知该从控制器,该从控制器查询本域信息;若目的密钥节点处于本域,则计算域内路由,并结束所述域间路由算法的流程;若目的密钥节点不在本域,则将此请求发送给主控制器;
通过主控制器找到目的密钥节点所在域,随机选择源密钥节点域和目的密钥节点域之间M个中间域密钥节点对,根据全域网络拓扑信息和链路代价,计算得到M条路径,所述M条路径包含对应的源密钥节点、源域密钥出口节点、中间域密钥入口节点、中间域密钥出口节点、目的密钥入口节点、目的密钥节点;
通过主控制器向各中间域从控制器发送路径计算请求消息,通过各个从控制器执行域内路由选择算法,得到各中间域的域内路径;
通过从控制器将各中间域的域内路径的路径信息及相应域内跳数,发送主控制器,通过主控制器确定总跳数最少的路径,以之作为最优域间路径。
10.一种基于SDN的广域量子密钥分发路由装置,其特征在于,所述路由方法基于密钥分发网络,所述密钥分发网络基于SDN网络,并包括应用层、控制层、密钥层、业务层,所述装置包括:
信息获取和安全策略确定单元,配置为通过应用层获取密钥层和业务层的信息和/或资源,根据所述信息和/或资源确定安全策略;
路由选择和资源配置单元,配置为通过控制层进行域间/域内密钥分发的路由选择和资源配置,所述控制层包括主控制器和若干从控制器,所述从控制器用于其对应域的域内密钥分发的路由选择和资源配置,以及将所述域内密钥分发的路由信息上报主控制器,所述主控制器用于对各个从控制器上报的路由信息进行汇总,进行域间密钥分发的路由选择和资源配置;
密钥生成和分发单元,配置为通过密钥层,进行量子密钥生成、存储、分发;所述密钥层包括若干密钥路由域,每个密钥路由域包括若干量子密钥分发终端,以及若干量子信道和经典信道;每个密钥路由包括的量子密钥分发终端和信道,隶属于控制层对应的从控制器;所述量子密钥的路由选择由控制层确定;
业务传输单元,配置为通过业务层,传输电力业务数据;所述密钥层包括若干业务路由域,每个业务路由域对应一个电力业务;所述电力业务数据的路由选择由控制层确定。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011380865.7A CN112332984A (zh) | 2020-12-01 | 2020-12-01 | 一种基于sdn的广域量子密钥分发路由方法及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202011380865.7A CN112332984A (zh) | 2020-12-01 | 2020-12-01 | 一种基于sdn的广域量子密钥分发路由方法及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN112332984A true CN112332984A (zh) | 2021-02-05 |
Family
ID=74309554
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202011380865.7A Pending CN112332984A (zh) | 2020-12-01 | 2020-12-01 | 一种基于sdn的广域量子密钥分发路由方法及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112332984A (zh) |
Cited By (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114142993A (zh) * | 2021-08-31 | 2022-03-04 | 北京邮电大学 | 密钥分发网络的故障恢复方法、装置、电子设备及介质 |
CN114302266A (zh) * | 2021-12-13 | 2022-04-08 | 苏州大学 | 一种量子密钥分发光网络中资源分配方法及系统 |
CN116506119A (zh) * | 2023-05-23 | 2023-07-28 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
WO2023163805A3 (en) * | 2021-12-10 | 2023-11-09 | Amazon Technologies, Inc. | Quantum safe enclaves |
US11962354B2 (en) | 2021-12-10 | 2024-04-16 | Amazon Technologies, Inc. | Hybrid space-fiber quantum networks for widespread entanglement distribution |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110086713A (zh) * | 2019-04-17 | 2019-08-02 | 北京邮电大学 | 一种用于广域量子密钥分配网络的分域路由方法 |
CN110365476A (zh) * | 2019-07-01 | 2019-10-22 | 北京邮电大学 | 基于sdn的qkd网络及其密钥的调度管理方法 |
US20200127987A1 (en) * | 2018-10-22 | 2020-04-23 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
CN111064568A (zh) * | 2019-12-03 | 2020-04-24 | 北京易华录信息技术股份有限公司 | 一种量子密钥分发网络的流量控制方法及装置 |
-
2020
- 2020-12-01 CN CN202011380865.7A patent/CN112332984A/zh active Pending
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US20200127987A1 (en) * | 2018-10-22 | 2020-04-23 | Cisco Technology, Inc. | Upstream approach for secure cryptography key distribution and management for multi-site data centers |
CN110086713A (zh) * | 2019-04-17 | 2019-08-02 | 北京邮电大学 | 一种用于广域量子密钥分配网络的分域路由方法 |
CN110365476A (zh) * | 2019-07-01 | 2019-10-22 | 北京邮电大学 | 基于sdn的qkd网络及其密钥的调度管理方法 |
CN111064568A (zh) * | 2019-12-03 | 2020-04-24 | 北京易华录信息技术股份有限公司 | 一种量子密钥分发网络的流量控制方法及装置 |
Non-Patent Citations (1)
Title |
---|
李倩倩: ""面向广域暈子密钥分配网络的分域路由机制研究"" * |
Cited By (8)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114142993A (zh) * | 2021-08-31 | 2022-03-04 | 北京邮电大学 | 密钥分发网络的故障恢复方法、装置、电子设备及介质 |
CN114142993B (zh) * | 2021-08-31 | 2023-04-07 | 北京邮电大学 | 密钥分发网络的故障恢复方法、装置、电子设备及介质 |
WO2023163805A3 (en) * | 2021-12-10 | 2023-11-09 | Amazon Technologies, Inc. | Quantum safe enclaves |
US11962354B2 (en) | 2021-12-10 | 2024-04-16 | Amazon Technologies, Inc. | Hybrid space-fiber quantum networks for widespread entanglement distribution |
CN114302266A (zh) * | 2021-12-13 | 2022-04-08 | 苏州大学 | 一种量子密钥分发光网络中资源分配方法及系统 |
CN114302266B (zh) * | 2021-12-13 | 2022-10-18 | 苏州大学 | 一种量子密钥分发光网络中资源分配方法及系统 |
CN116506119A (zh) * | 2023-05-23 | 2023-07-28 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
CN116506119B (zh) * | 2023-05-23 | 2024-01-26 | 中安网脉(北京)技术股份有限公司 | 一种基于路由寻址的密钥分发网络组建方法 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112332984A (zh) | 一种基于sdn的广域量子密钥分发路由方法及装置 | |
CN110086713B (zh) | 一种用于广域量子密钥分配网络的分域路由方法 | |
CN108134669B (zh) | 面向电力调度业务的量子密钥动态供给方法及管理系统 | |
CN104579964B (zh) | 一种量子密码网络动态路由架构系统 | |
CN103001875B (zh) | 一种量子密码网络动态路由方法 | |
CN108023725A (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
CN105960783A (zh) | 域间sdn流量工程 | |
CN112769550B (zh) | 面向数据中心的负载均衡的量子密钥资源分配系统 | |
Lin et al. | Computer network reliability optimization under double-resource assignments subject to a transmission budget | |
Bernárdez et al. | Is machine learning ready for traffic engineering optimization? | |
CN103001892B (zh) | 基于云计算的网络资源分配方法及系统 | |
Jaumard et al. | Efficient spectrum utilization in large scale RWA problems | |
CN112737776B (zh) | 面向数据中心的负载均衡的量子密钥资源分配方法 | |
CN106130931A (zh) | 弹性光网络中基于进化多目标的路由频隙分配方法 | |
Antevski et al. | Resource orchestration of 5G transport networks for vertical industries | |
Ye et al. | Federated traffic engineering with supervised learning in multi-region networks | |
Zhu et al. | Resource allocation in quantum-key-distribution-secured datacenter networks with cloud-edge collaboration | |
Basu et al. | Drive: Dynamic resource introspection and vnf embedding for 5g using machine learning | |
Ju et al. | Disaster-resilient and distance-adaptive services provisioning in elastic optical inter-data center networks | |
Wang et al. | Service-aware design policy of end-to-end network slicing for 5G use cases | |
Liu et al. | Risk-aware service routes planning for system protection communication networks of software-defined networking in energy internet | |
Chen et al. | A quantum key distribution routing scheme for hybrid-trusted QKD network system | |
Goścień | Traffic-aware dedicated path protection in elastic optical networks | |
Zeng et al. | Entanglement routing design over quantum networks | |
Liu et al. | Risk-aware service routes planning for system protection communication network in energy internet |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |