CN112600627A - 一种基于sdn空分复用光网络的量子保密通信网络系统 - Google Patents

Abstract

本申请提出一种基于SDN空分复用光网络的量子保密通信网络系统，该系统包括：SDN控制器、空分复用光交换网络及QKD安全网关；其中，所述SDN控制器分别连接所述空分复用光交换网络及QKD安全网关，所述空分复用光交换网络连接QKD安全网关。本申请采用多芯/少模光纤构建光网络传输链路，提供几倍甚至几十倍于传统单模光纤的可用信道数量，有效提升网络传输容量。基于SDN管控架构，采用逻辑集中式管控机制，构建网络全局视图，提升网络管控的实时性，提高网络资源的使用效率。在网络中部署QKD系统，能够按需为终端提供可靠安全的保密通信服务。

Description

一种基于SDN空分复用光网络的量子保密通信网络系统

技术领域

本申请属于光通信技术领域，具体涉及一种基于SDN空分复用光网络的量子保密通信网络架构与系统。

背景技术

云计算、大数据、超清视频等带宽密集型网络应用不断增长的背景下，光传输网络容量需求不断增长，基于标准单模光纤传输介质，采用波分复用技术难以满足光传输网络带宽增长需求。基于多芯光纤传输介质，采用空分复用技术的空分复用光传输系统能够提供数倍乃至数十倍于采用标准单模光纤的波分光传输系统的传输容量，且其与现有波分光传输系统兼容，能够平滑升级。同时，网络信息安全是通信网络数据传输的重要需求。量子保密通信网络具有理论上“无条件安全”的优势，其中技术发展较成熟且具备商用化能力的典型应用是基于量子秘钥分发(QKD，Quantum Key Distribution)技术的量子保密通信网络。QKD系统需要使用光纤波长信道传输量子信号。

在空分复用光网络中部署QKD系统，实现光通信业务的可靠安全保密通信，在保障信息传输安全的前提下，可以有效提升系统传输容量。

分布式管控波分复用光网络是当前骨干传输网络及城域传输网络的主要组成。其基于波分复用技术，使用光纤中不同的波长作为传输通道，传输容量较大。受光纤衰减特性的影响，具有低衰减特性的可用波长有限，同时，不同波长间信号的串扰等也限制了光纤中可用的波长信道数量。现有波分复用光传输系统的传输容量越来越接近香农极限，无法满足未来万物互联的数据传输需求。现有波分复用光网络多采用分布式管控机制，网络的控制功能分布在各个网元节点中，与传输设备紧密耦合，网络升级困难。分布式控制机制导致大规模网络中网元节点难以实时获取全网状态，在提供网络服务时规划的路由与资源配置方案很可能不是最优的，导致网络资源的浪费。

基于波分复用光网络的量子保密通信系统使用波分复用光网络中的特定波长作为QKD信道，用于传输QKD信号。传统数据通信信号使用光纤中不同的波长传输，从而实现QKD信号与传统数据通信信号的共纤传输。在基于波分复用光网络的量子保密通信网络系统中，QKD信道需要使用特定的低损耗波长。同时，传统数据通信信号的强度远大于QKD信号，由于光纤的非线性特性，传统数据通信信号产生的四波混频、拉曼噪声等会影响QKD信号的传输，降低QKD接收端的信噪比，严重影响QKD系统的可靠性。现有解决方案需根据QKD及传统数据通信业务需求，严格规划波长分配方案，加大QKD信道与传统数据通信信道的频谱间隔。一方面导致业务配置的时效性，另一方面，造成大量波长资源的闲置浪费，降低了系统的传输容量。

发明内容

本申请提出一种空分复用光网络中部署量子密钥分发系统的架构及其系统。可以在光传输网络中基于SDN控制架构，提高网络传输容量，保障数据传输安全保密性。

本申请第一方面实施例提出了一种基于SDN空分复用光网络的量子保密通信网络系统，所述系统包括：

SDN控制器、空分复用光交换网络及QKD安全网关；其中，所述SDN控制器分别连接所述空分复用光交换网络及QKD安全网关，所述空分复用光交换网络连接QKD安全网关。

在本申请的一些实施例中，所述SDN控制器包括SDN控制软件控制的通用计算设备。

在本申请的一些实施例中，所述空分复用光交换网络包括空分复用光交换节点和多芯/少模光纤链路。

在本申请的一些实施例中，所述QKD安全网关包括QKD信号收发设备以及加密/解密设备。

本申请第二方面实施例提出了一种基于SDN空分复用光网络的量子保密通信网络架构，包括：依次连接的传输交换层、SDN控制器和网络管理与应用服务层。

在本申请的一些实施例中，所述传输交换层包括空分复用光交换网络、QKD网关及数据终端。

在本申请的一些实施例中，所述空分复用光交换网络包括空分复用光交换节点、多芯/少模光纤链路，为所述数据终端间数据传输、QKD网关间QKD信号传输、同步信息传输及加密信息交互提供传输信道；

所述QKD网关用于进行密钥安全分发和数据加密解密。

在本申请的一些实施例中，所述SDN控制器采用逻辑集中的软件定义网络控制器，通过南向接口实时搜集网络状态，使用统一模型对所述传输交换层的网络资源进行抽象，形成虚拟资源池；并通过北向接口接收网络服务请求，根据网络状态及业务状态进行路由计算与资源分配，形成业务配置方案，通过南向接口协议统一配置网络设备，为应用提供数据传输服务。

在本申请的一些实施例中，所述网络管理与应用服务层用于管理配置物理资源，以及为用户提供多种可选的传输服务。

在本申请的一些实施例中，所述量子保密通信网络架构的运行流程包括：

所述空分复用光交换节点通过扩展的OpenFlow协议向SDN控制器上报节点的状态信息；

所述QKD安全网关向SDN控制器上报状态信息；

所述SDN控制器使用统一模型描述所述节点的状态信息和QKD安全网关的状态信息，形成QKD加密资源和数据传输资源池；

所述网络管理层根据收到的加密传输业务需求，分析形成业务建立请求，通过北向接口发送到SDN控制器；

所述SDN控制器的网络服务管理模块根据业务请求向路由计算与资源分配模块请求路由及资源分配方案；

所述SDN控制器的路由计算与资源分配模块根据业务需求信息及从拓扑管理模块获取的网络资源状态信息，计算出该业务的路由及资源分配方案，反馈到网络服务管理模块；

所述SDN控制器的网络服务管理模块根据路由与资源分配方案生成网络节点配置流表，通过南向OpenFlow协议下发到相关的QKD安全网关及空分复用光交换节点；

所述QKD安全网关及空分复用光交换节点根据接收到的配置流表配置本节点，完成QKD信道和数据传输信道的建立。

本申请实施例中提供的技术方案，至少具有如下技术效果或优点：

(1)采用多芯/少模光纤构建光网络传输链路，提供几倍甚至几十倍于传统单模光纤的可用信道数量，有效提升网络传输容量。

(2)基于SDN管控架构，采用逻辑集中式管控机制，构建网络全局视图，提升网络管控的实时性，提高网络资源的使用效率。

(3)在网络中部署QKD系统，能够按需为终端提供可靠安全的保密通信服务。

本申请附加的方面和优点将在下面的描述中部分给出，部分将从下面的描述中变的明显，或通过本申请的实践了解到。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本申请的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1示出了本申请一实施例所提供的一种基于SDN空分复用光网络的量子保密通信网络系统的架构图；

图2示出了本申请一实施例所提供的一种基于SDN空分复用光网络的量子保密通信网络系统的组成示意图；

图3示出了本申请一实施例所提供的一种基于SDN空分复用光网络的量子保密通信网络系统的应用示意图。

具体实施方式

下面将参照附图更详细地描述本申请的示例性实施方式。虽然附图中显示了本申请的示例性实施方式，然而应当理解，可以以各种形式实现本申请而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本申请，并且能够将本申请的范围完整的传达给本领域的技术人员。

需要注意的是，除非另有说明，本申请使用的技术术语或者科学术语应当为本申请所属领域技术人员所理解的通常意义。

下面结合附图来描述根据本申请实施例提出的一种基于SDN空分复用光网络的量子保密通信网络系统。

空分复用光网络中网络传输资源包括时隙、频谱和纤芯/模式等多个维度的资源，网络管理和控制复杂度较高。在空分复用光传输网络中部署QKD系统进一步加剧了网络管控的复杂性。因此需要采用更加高效的网络管控机制。软件定义网络(SDN，SoftwareDefined Network)采用逻辑集中的控制架构，能够从全局视图有效管理多维网络资源，基于统一的控制协议接口，能够对网络传输与加密等资源进行高效控制。基于SDN架构(软件定义网络(Software Defined Network，SDN))在空分复用光网络中部署QKD系统，既能够满足海量业务数据的大容量传输，又能保障数据传输的安全保密性，同时能够实现复杂网络资源的高效管控。

本发明提供一种基于SDN的空分复用光网络中部署QKD系统的参考架构，其架构图如附图1所示，主要包括传输交换层、SDN控制器和网络管理与应用服务层。

传输交换层由空分复用光交换网络、QKD网关及数据终端等组成。其中空分复用光交换网络由空分复用光交换节点、多芯/少模光纤链路构成，为数据终端间海量数据传输、QKD网关间QKD信号传输、同步信息传输及加密信息交互提供传输信道。空分复用光网络能够从空间维度上扩展网络的传输容量，比基于单模单芯光纤的EONs提供更加灵活的频谱分配方式，并且实验结果证明，多芯光纤是一种能够有效实现空分复用的传输介质之一。与此同时，网络虚拟化技术也日趋成熟，能够抽象化物理网络资源，使多个虚拟网络可以充分共享网络资源，有效提高网络的可扩展性。

QKD网关进行密钥安全分发，数据加密解密等。例如，QKD网关用于接收到应用发送的业务请求后，将所述业务请求进行量子加密后发送至SDN控制器。即QKD网关利用预先存储的、通过量子密钥分发得到的密钥，采用对称加密机制(例如AES)来加密所述业务请求。

SDN控制器采用逻辑集中的软件定义网络控制器，主要包括网络资源管理、网络服务管理、拓扑管理等。通过南向接口实时搜集网络状态，使用统一模型对传输交换层网络资源进行抽象，形成虚拟资源池。通过北向接口接收网络服务请求，根据网络状态及业务状态进行路由计算与资源分配，形成业务配置方案，通过南向接口协议统一配置网络设备，为应用提供数据传输服务。

具体的，SDN控制器通过开放控制接口将抽象后的网络资源提供给应用层，SDN控制器与传输交换层的网络节点之间的控制信令传输通道称为控制通道，控制器通过控制通道传输控制信令，集中管理传输交换层的网络节点，控制通道的控制信令采用IP路由的方式逐跳转发。

网络管理与应用服务层主要包括对物理层多种资源的管理配置，以及为用户提供多种可选的传输服务。例如，网络管理包括空分复用网络管理、QKD系统管理、数据中心管理，应用服务包括量子加密传输服务、通用加密传输服务等。

例如，网络管理与应用服务层中的应用用于将业务请求发送至QKD网关。具体地，所述业务请求可以是量子密钥分发(QKD)业务请求；也就是说，应用可以将量子密钥分发(QKD)业务请求通过本地局域网发送至本地的QKD网关。

如此，本申请基于SDN管控架构，实现控制与转发的分离；采用多芯/少模光纤作为传输介质，提供成倍于传统单模光纤的传输信道，极大提升网络传输容量；部署QKD系统为数据传输提供端到端加密服务，有效保障数据传输的安全保密性。传统数据信道与QKD信道在同一光纤中传输，有效节约光纤资源。

基于上述架构，本申请提出一种基于SDN空分复用光网络的量子保密通信系统。系统组成如附图2所示。主要包括SDN控制器、空分复用光交换网络及QKD安全网关等。其中，SDN控制器由SDN控制软件控制的通用计算设备组成。空分复用光交换网络包括空分复用光交换节点和多芯/少模光纤链路。QKD安全网关包括QKD信号收发设备以及加密/解密设备。其中，SDN控制器分别连接空分复用光交换网络及QKD安全网关，空分复用光交换网络连接QKD安全网关。

基于上述架构与系统组成，本申请提供一种基于SDN空分复用光网络的量子保密通信网络应用示例。示例如附图3所示，基于SDN空分复用光网络的量子保密通信网络的运行流程如下：

空分复用光交换节点通过扩展的OpenFlow协议向SDN控制器上报节点的状态信息，包括节点端口状态、节点交换能力及节点所连接的光纤链路的状态信息、纤芯/波长资源状态信息等。

QKD安全网关向SDN控制器上报状态信息，包括QKD信号波长信息、波长资源状态信息等。

SDN控制器使用统一模型描述上述信息，形成QKD加密资源和数据传输资源池。

网络管理层根据收到的加密传输业务需求，分析形成业务建立请求，通过北向接口发送到SDN控制器。

SDN控制器网络服务管理模块根据业务请求向路由计算与资源分配模块请求路由及资源分配方案，请求信息包括业务源端、宿端、数据传输速率需求、安全密钥速率需求。

SDN控制器路由计算与资源分配模块根据业务需求信息及从拓扑管理模块获取的网络资源状态信息，计算出该业务的路由及纤芯、波长等资源分配方案，反馈到网络服务管理模块。

SDN控制器网络服务管理模块根据路由与资源分配结果生成网络节点配置流表，通过南向OpenFlow协议下发到相关的QKD安全网关及空分复用光交换节点。

QKD安全网关及空分复用光交换节点根据接收到的配置流表配置本节点，完成QKD信道和数据传输信道的建立。

本申请实施例中提供的技术方案，至少具有如下技术效果或优点：

(1)采用多芯/少模光纤构建光网络传输链路，提供几倍甚至几十倍于传统单模光纤的可用信道数量，有效提升网络传输容量。

(2)基于SDN管控架构，采用逻辑集中式管控机制，构建网络全局视图，提升网络管控的实时性，提高网络资源的使用效率。

(3)在网络中部署QKD系统，能够按需为终端提供可靠安全的保密通信服务。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备有固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本申请也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本申请的内容，并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本申请的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本申请并帮助理解各个发明方面中的一个或多个，在上面对本申请的示例性实施例的描述中，本申请的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本申请要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本申请的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本申请的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本申请的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(DSP)来实现根据本申请实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本申请还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本申请的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本申请进行说明而不是对本申请进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本申请可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

以上所述，仅为本申请较佳的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以所述权利要求的保护范围为准。

Claims (10)

1.一种基于SDN空分复用光网络的量子保密通信网络系统，其特征在于，所述系统包括：

SDN控制器、空分复用光交换网络及QKD安全网关；其中，所述SDN控制器分别连接所述空分复用光交换网络及QKD安全网关，所述空分复用光交换网络连接QKD安全网关。

2.根据权利要求1所述的系统，其特征在于，

所述SDN控制器包括SDN控制软件控制的通用计算设备。

3.根据权利要求1或2所述的系统，其特征在于，

所述空分复用光交换网络包括空分复用光交换节点和多芯/少模光纤链路。

4.根据权利要求1或2所述的系统，其特征在于，

所述QKD安全网关包括QKD信号收发设备以及加密/解密设备。

5.一种基于SDN空分复用光网络的量子保密通信网络架构，其特征在于，包括：依次连接的传输交换层、SDN控制器和网络管理与应用服务层。

6.根据权利要求5所述的量子保密通信网络架构，其特征在于，

所述传输交换层包括空分复用光交换网络、QKD网关及数据终端。

7.根据权利要求6所述的量子保密通信网络架构，其特征在于，

所述空分复用光交换网络包括空分复用光交换节点、多芯/少模光纤链路，为所述数据终端间数据传输、QKD网关间QKD信号传输、同步信息传输及加密信息交互提供传输信道；

所述QKD网关用于进行密钥安全分发和数据加密解密。

8.根据权利要求5所述的量子保密通信网络架构，其特征在于，

所述SDN控制器采用逻辑集中的软件定义网络控制器，通过南向接口实时搜集网络状态，使用统一模型对所述传输交换层的网络资源进行抽象，形成虚拟资源池；并通过北向接口接收网络服务请求，根据网络状态及业务状态进行路由计算与资源分配，形成业务配置方案，通过南向接口协议统一配置网络设备，为应用提供数据传输服务。

9.根据权利要求5所述的量子保密通信网络架构，其特征在于，

所述网络管理与应用服务层用于管理配置物理资源，以及为用户提供多种可选的传输服务。

10.根据权利要求7-9任一项所述的量子保密通信网络架构，其特征在于，

所述量子保密通信网络架构的运行流程包括：

所述空分复用光交换节点通过扩展的OpenFlow协议向SDN控制器上报节点的状态信息；

所述QKD安全网关向SDN控制器上报状态信息；

所述SDN控制器使用统一模型描述所述节点的状态信息和QKD安全网关的状态信息，形成QKD加密资源和数据传输资源池；

所述网络管理层根据收到的加密传输业务需求，分析形成业务建立请求，通过北向接口发送到SDN控制器；

所述SDN控制器的网络服务管理模块根据业务请求向路由计算与资源分配模块请求路由及资源分配方案；

所述SDN控制器的路由计算与资源分配模块根据业务需求信息及从拓扑管理模块获取的网络资源状态信息，计算出该业务的路由及资源分配方案，反馈到网络服务管理模块；

所述SDN控制器的网络服务管理模块根据路由与资源分配方案生成网络节点配置流表，通过南向OpenFlow协议下发到相关的QKD安全网关及空分复用光交换节点；

所述QKD安全网关及空分复用光交换节点根据接收到的配置流表配置本节点，完成QKD信道和数据传输信道的建立。

Images