CN112910636B

CN112910636B - 一种基于sdn的量子密钥分发物联网发布及订阅系统

Info

Publication number: CN112910636B
Application number: CN202110031444.1A
Authority: CN
Inventors: 郁小松; 李新阳; 赵永利; 张�杰; 姜辉; 刘洋; 王颖; 高菲璠; 陈拽霞; 李�灿
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; Beijing University of Posts and Telecommunications
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; Beijing University of Posts and Telecommunications
Priority date: 2021-01-11
Filing date: 2021-01-11
Publication date: 2023-01-10
Anticipated expiration: 2041-01-11
Also published as: CN112910636A

Abstract

本说明书一个或多个实施例提供一种基于SDN的量子密钥分发物联网发布及订阅系统，该系统包括感知层、网络层、SDN控制层、应用层四个部分。本系统通过感知层实现数据信息的收集功能，并通过边缘网关将数据信息传送到事件代理中。控制层将从事件代理网络得到的事件信息上传到应用层，并根据应用层返回的订阅信息。事件代理将所订阅的事件发送到订阅者。控制层通过密钥管理模块使用网络中产生的量子密钥对发布订阅服务的信息进行加密。本说明书提供的一种基于SDN的量子密钥分发物联网发布及订阅系统，在基于量子密钥分发技术的物联网系统中，使用量子密钥实现对整个发布订阅类服务的安全保护，增强物联网通信的安全性。

Description

一种基于SDN的量子密钥分发物联网发布及订阅系统

技术领域

本说明书一个或多个实施例涉及量子密钥技术领域，尤其涉及一种基于SDN的量子密钥分发物联网发布及订阅系统。

背景技术

发布订阅系统被认为是一种有效的信息分发方法。发布订阅模式是对数据生产者、数据消费者之间的交互模式的一种抽象，能够自然地提供生产者与消费者之间多对多的事件驱动交互模式。发布订阅交互模式可以为大规模交互应用提供松耦合交互模式。订阅者有能力表达其感兴趣的事件或事件模式，当任何发布者发布了订阅者注册的相关感兴趣的事件后，所有订阅者会被异步通知。这种基于事件的交互能力的优势在于发布者和订阅者之间能够在时间、空间和同步上达到完全解耦。由于分布式发布订阅系统交互模式符合互联网应用服务的动态、异步的本质特征，所以更适合未来互联网服务的架构。发布订阅模式作为大规模事件驱动机制的实现方式，得到了日益广泛的研究与应用。

目前已经有研究将量子密钥分发引入到物联网中来保障物联网的通信安全性，但是如何构建基于量子密钥分发的物联网的发布订阅系统是现阶段尚未解决的问题。

发明内容

有鉴于此，本说明书一个或多个实施例的目的在于提出一种基于SDN的量子密钥分发物联网发布及订阅系统。

基于上述目的，本说明书一个或多个实施例提供了一种基于SDN的量子密钥分发物联网发布及订阅方法，包括，

响应于从所述物联网中的第一物联网设备接收到所收集的数据信息和对该数据信息的发布请求，边缘网关向软件定义网络SDN控制层中的密钥管理模块发送第一密钥请求，该第一密钥请求中指示所述边缘网关与事件代理网络中的事件代理之间的第一通信路径；

响应于所述第一密钥请求，所述密钥管理模块从预先生成的量子密钥池中，提取出与所述第一通信路径对应的第一量子密钥提供给所述边缘网关和所述事件代理；

所述边缘网关用所述第一量子密钥加密所述数据信息，并将加密后的所述数据信息经由所述第一通信路径发送给所述事件代理；

所述事件代理用所述第一量子密钥将加密后的所述数据信息解密后转化为事件信息，并将该事件信息上传至所述SDN控制层中的SDN控制器；

所述SDN控制器获取所述事件信息的相关信息，并将该相关信息通过物联网服务接口推送给多个终端设备供用户订阅。

进一步的，响应于通过所述物联网服务接口从所述多个终端设备中的第一终端设备接收到用户对所述相关信息的订阅信息，所述SDN控制器基于全局网络拓扑信息确定从所述相关信息关联的所述事件代理到所述第一终端设备的第二通信路径，并将所述订阅信息和指示所述第二通信路径的路由信息发送给所述事件代理；

响应于接收到所述订阅信息和所述路由信息，所述事件代理向所述密钥管理模块发送携带所述路由信息的第二密钥请求；

响应于所述第二密钥请求，所述密钥管理模块从所述量子密钥池中提取出与所述第二通信路径对应的第二量子密钥提供给所述事件代理；

所述事件代理用所述第二量子密钥加密所述事件信息，并将加密后的所述事件信息经由所述第二通信路径发送给所述第一终端设备。

进一步的，所述第一终端设备为所述物联网中的第二物联网设备。

进一步的，所述相关信息为所述事件信息的主题、内容概要或类型。

进一步的，所述量子密钥池中的每个量子密钥是由在相应通信路径上设置的量子密钥分发QKD设备预先生成的。

进一步的，所述事件代理网络中的各个事件代理分别对应于城域网中的各个城域节点。

本说明书一个或多个实施例提供了一种基于SDN的量子密钥分发物联网发布及订阅系统，包括所述物联网中的边缘网关、事件代理网络中的事件代理、软件定义网络SDN控制层中的SDN控制器和密钥管理模块、应用层中的物联网服务接口，

其中，响应于从所述物联网中的第一物联网设备接收到所收集的数据信息和对该数据信息的发布请求，所述边缘网关向所述密钥管理模块发送第一密钥请求，该第一密钥请求中指示所述边缘网关与所述事件代理之间的第一通信路径；

所述事件代理用所述第一量子密钥将加密后的所述数据信息解密后转化为事件信息，并将该事件信息上传至所述SDN控制器；

所述SDN控制器获取所述事件信息的相关信息，并将该相关信息通过所述物联网服务接口推送给多个终端设备供用户订阅。

从上面所述可以看出，本说明书一个或多个实施例提供的一种基于SDN的量子密钥分发物联网发布及订阅系统，在基于量子密钥分发技术的物联网系统中，使用量子密钥实现对整个发布订阅类服务的安全保护，增强物联网通信的安全性。基于该系统架构提出了一种物联网的数据信息发布订阅系统，为物联网整个发布订阅服务提供了安全保障。

附图说明

为了更清楚地说明本说明书一个或多个实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本说明书一个或多个实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本说明书一个或多个实施例的物联网的数据信息发布订阅系统架构示意图；

图2为本说明书一个或多个实施例的物联网的数据信息发布订阅方法的流程示意图；

图3为本说明书一个或多个实施例的在订阅者为物联网设备的情况下的发布订阅系统架构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本说明书一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。

如背景技术部分所述，软件定义网络SDN(Software Defined Network)是指网络的结构和功能可根据用户或运营商需求，利用软件编程的方式进行动态定制，从而实现快速响应请求、高效利用资源、灵活提供服务的目的。

发布订阅系统是一个中间件系统，主要由信息订阅者、信息发布者和事件代理组成。信息消费者(也称订阅者)通过事件代理来表达它所感兴趣的事件，可以订阅或取消订阅事件；信息生产者(也称发布者)通过事件代理发布事件；发布订阅中间件(事件代理网络)根据信息订阅者的订阅信息维护订阅表并形成路由表，并把信息及时可靠地传送给订阅者。发布订阅模式实现了时间、空间和控制三方解耦，满足了需进行实时数据传输的大规模分布式应用需求。

量子密钥分发可以让空间分离的用户共享无条件安全的密钥，这是经典通信无法完成的任务，因此量子密钥分发始终是量子通信的重要方向。由于量子密钥分发是最先实用化的量子信息技术，因此人们提到量子通信时往往特指量子密钥分发。现有实际量子密码(量子密钥分发)系统主要采用BB84协议，由Bennett和Brassard于1984年提出。与经典密码体制不同，量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路，只要窃听者没有攻入合法用户设备内部的侧信道，量子密钥分发技术就能让空间分离的用户共享安全的密钥。学术界将这种安全性称之为“无条件安全”，它指的是拥有严格数学证明的安全性，但是有下列假设前提：①窃听者没有攻入合法用户设备内部的侧信道；②依赖的基础是量子物理学原理，即要求窃听者不能拥有违反量子物理学原理的技术，但是可以拥有任何不违反量子物理学原理的技术，例如计算能力任意强大的计算机，包括量子计算机。量子密钥分发的这种安全性，与计算复杂度无关，因此不论对手拥有多大的计算能力，其安全性都不会受到影响。

物联网服务快速增长的业务量和复杂性，要求物联网服务系统具有对异构、动态变化环境的适应能力。分布式发布订阅交互模式符合物联网服务系统的本质特征，是实现大规模基于事件驱动的网络服务的一种有效手段。但是，现有物联网的发布订阅系统中的数据隐私加密技术多是基于数学方法的经典密码学技术来计算密码学的复杂性，这些方法面临被量子计算机破解的风险，在不久的将来无法保证通信的安全性。量子密钥分发的安全性是以量子力学基本原理为理论基础的，它可让在物理空间上分离的用户共享无条件安全的密钥，它能够解决物联网发布/订阅系统通信的安全问题。但目前，如何构建基于量子密钥分发的物联网的发布/订阅系统还没有相关解决方案。

本公开提出了一种基于SDN的量子密钥分发物联网的发布及订阅系统。此系统利用量子密钥分发QKD(Quantum Key Distribution)生成的量子密钥，来保障物联网发布订阅服务的安全通信。该系统包括感知层、网络层、SDN控制层、应用层四个部分。通过感知层实现事件数据的收集功能，并通过感知层中边缘网关将事件数据传送到网络层中的事件代理中。控制层将从事件代理网络得到事件信息，经过按照主题分类等操作处理后上传到应用层，并根据应用层返回的订阅信息，制定路由表，控制网络层的事件代理将所订阅的事件发送到订阅者。SDN控制层通过密钥管理模块使用网络中产生的量子密钥对发布订阅服务的信息进行加密。应用层的主要功能是将由SDN控制层得到的事件主题推送给网络中的所有用户，并将得到的主题订阅信息反馈给控制层，实现应用层和控制层的交互。

以下，通过具体的实施例进一步详细说明本公开的技术方案。

本公开的一个实施例提供了一种基于SDN的量子密钥分发物联网发布及订阅方法，参考图1和图2，具体包括以下步骤：

步骤S101、响应于从所述物联网中的第一物联网设备接收到所收集的数据信息和对该数据信息的发布请求，边缘网关向软件定义网络SDN控制层中的密钥管理模块发送第一密钥请求，该第一密钥请求中指示所述边缘网关与事件代理网络中的事件代理之间的第一通信路径。

具体的，所述事件代理网络中的各个事件代理分别对应于城域网中的各个城域节点，所有事件代理组成一个事件代理网络。事件代理负责统一计入该节点下的所有事件以及事件的发布等功能。每一个事件代理节点下的物联网设备，都通过接入网连接到事件代理节点。

步骤S102、响应于所述第一密钥请求，所述密钥管理模块从预先生成的量子密钥池中，提取出与所述第一通信路径对应的第一量子密钥提供给所述边缘网关和所述事件代理。

具体的，为了实现网络层信息的传输安全，我们在每一个事件代理节点、光线路终端OLT(Optical Line Terminal)、边缘网关上都放置QKD设备,QKD设备产生的量子密钥存放在密钥池中，密钥设备为整个网络提供量子密钥。所述量子密钥池中的每个量子密钥是由在相应通信路径上设置的量子密钥分发QKD设备预先生成的。

步骤S103、所述边缘网关用所述第一量子密钥加密所述数据信息，并将加密后的所述数据信息经由所述第一通信路径发送给所述事件代理。

步骤S104、所述事件代理用所述第一量子密钥将加密后的所述数据信息解密后转化为事件信息，并将该事件信息上传至所述SDN控制层中的SDN控制器。事件代理是基于事件类型对所述数据信息进行分类，分类规则是预先设定的。

步骤S105、所述SDN控制器获取所述事件信息的相关信息，并将该相关信息通过物联网服务接口推送给多个终端设备供用户订阅。

具体的，所述相关信息为所述事件信息的主题、内容概要或类型。

作为一可选实施例，响应于通过所述物联网服务接口从所述多个终端设备中的第一终端设备接收到用户对所述相关信息的订阅信息，所述SDN控制器基于全局网络拓扑信息确定从所述相关信息关联的所述事件代理到所述第一终端设备的第二通信路径，并将所述订阅信息和指示所述第二通信路径的路由信息发送给所述事件代理。

响应于接收到所述订阅信息和所述路由信息，所述事件代理向所述密钥管理模块发送携带所述路由信息的第二密钥请求。

响应于所述第二密钥请求，所述密钥管理模块从所述量子密钥池中提取出与所述第二通信路径对应的第二量子密钥提供给所述事件代理。

作为一可选实施例，所述第一终端设备为所述物联网中的第二物联网设备。

基于上述步骤S101至S105，第一物联网设备发出信息发布请求，并根据用户订阅信息将事件代理中的事件信息通过量子秘钥加密的方式通过特定路径传送给第一终端设备，完成物联网中事件信息的发布和订阅。

本公开的一个实施例提供了一种基于SDN的量子密钥分发物联网的发布及订阅系统，架构如图1所示，包括感知层、网络层、控制层和应用层。

其中，感知层包括物联网设备和边缘网关，物联网设备用于感知和采集数据信息，并将数据信息上传至与它们直接相连的边缘网关，主要实现了数据的收集功能。

网络层包括城域网和接入网两个部分，这里城域网中的节点作为事件代理节点，并将这些事件代理节点组成一个事件代理网络。事件代理负责统一计入该节点下的所有事件以及事件的发布等功能。一个事件代理可以与多个边缘网关相对应，边缘网关通过接入网连接到相应的事件代理，并将数据传输给与边缘网关相连的事件代理。接入网主要包括光线路终端OLT(Optical Line Terminal)。为了实现网络层信息的传输安全，我们在每一个事件代理节点、OLT、边缘网关上都放置QKD设备，QKD设备产生的量子密钥存放在密钥池中，QKD设备为整个网络提供量子密钥。

SDN控制层包括SDN控制器和密钥管理模块，该层主要实现对代理网络和整个物联网的量子密钥的统一管理，同时实现与应用层应用程序的交互。SDN控制器用来对从事件代理节点得到的事件信息基于预定规则进行整理，预定规则包括下列中的一个：事件主题、事件内容、事件渠道和事件类型。SDN控制器将整理后得到的事件信息上传至应用层，SDN控制器根据应用层返回的订阅信息制定路由表，并将路由表发送给事件代理节点。密钥管理模块使用网络中产生的量子密钥对发布订阅服务的信息进行加密。密钥管理模块对所有QKD设备进行管理。密钥管理模块接收密钥请求后，根据所述密钥请求提取数据信息传输路径上的密钥池中的密钥对所述数据信息进行加密。

应用层包括IOT服务接口和用户服务，该层的主要功能是将由SDN控制层得到的事件信息推送给网络中的所有用户，并将得到的订阅信息反馈给控制层。IOT服务接口包括发布订阅接口，实现应用层和控制层的交互，各种用户服务接口实现与各种应用的交互。

作为一个可选的实施例，参考图3，当感知层中同时存在多个物联网设备时，每个物联网设备分别连接到不同的事件代理。本实施例中设置两个物联网设备，分别为物联网设备A和物联网设备B，同时，物联网设备B也作为应用层中的第一终端设备。物联网设备A和物联网设备B同时发出第一密钥请求A和第一密钥请求B，分别请求上传采集到的数据信息，相应的边缘网关接收到第一密钥请求A和第一密钥请求B后向密钥管理模块请求密钥，密钥管理模块根据请求分别提取物联网设备A和物联网设备B待上传的数据信息对应的第一通信路径A和第一通信路径B上的密钥池中的第一量子密钥A和第一量子密钥B对数据信息进行加密。物联网设备A将数据信息通过第一通信路径A上传至事件代理1，事件代理1将数据信息解密后转化为事件信息并上传至SDN控制器。物联网设备B将数据信息通过第一通信路径B上传至事件代理2，事件代理2将数据信息解密后转化为事件信息并上传至SDN控制器。SDN控制器获取来自于事件代理1和事件代理2的事件信息的相关信息，并推送给应用层的IOT服务接口，IOT服务接口再将事件信息的相关信息推送给用户。

其中，终端设备物联网设备B反馈的订阅信息涉及事件代理1和事件代理2，则SDN控制器根据订阅信息确定从事件代理1和事件代理2到物联网设备B的第二通信路径A和第二通信路径B，并将订阅信息、第二通信路径A和第二通信路径B的路由信息发送给事件代理1和事件代理2。

接收到路由信息和订阅信息后，事件代理1和事件代理2分别向密钥管理模块发出第二密钥请求A和第二密钥请求B，密钥管理模块根据第二密钥请求A和第二密钥请求B，提取第二通信路径上A和第二通信路径B的密钥池中的第二量子密钥A和第二量子密钥B，提供给事件代理1和事件代理2，事件代理1和事件代理2用所述第二量子密钥A和第二量子密钥B对待传输事件信息进行加密。事件代理1和事件代理2将经过加密的所述事件信息分别通过第二通信路径上A和第二通信路径B发送给物联网设备B，联网设备B接收到所订阅的事件信息后完成事件信息的传送。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本说明书一个或多个实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本说明书一个或多个实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本说明书一个或多个实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本说明书一个或多个实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本说明书一个或多个实施例。因此，这些描述应被认为是说明性的而不是限制性的。

本说明书一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本说明书一个或多个实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。

Claims

1.一种基于SDN的量子密钥分发物联网发布及订阅方法，其特征在于，包括：

响应于从所述物联网中的至少一个物联网设备接收到所收集的数据信息和对该数据信息的发布请求，与每个所述物联网设备连接的边缘网关分别向软件定义网络SDN控制层中的密钥管理模块发送第一密钥请求，该第一密钥请求中指示所述边缘网关和事件代理网络中与该边缘网关对应的事件代理之间的第一通信路径；

响应于每个所述第一密钥请求，所述密钥管理模块从预先生成的量子密钥池中，分别提取出与每个第一通信路径对应的第一量子密钥提供给对应的边缘网关和事件代理；

每个所述边缘网关用所述第一量子密钥加密所述数据信息，并将加密后的所述数据信息经由所述第一通信路径发送给对应的所述事件代理；

每个所述事件代理用所述第一量子密钥将加密后的所述数据信息解密后转化为事件信息，并将该事件信息上传至所述SDN控制层中的SDN控制器；

2.根据权利要求1所述的方法，其特征在于，还包括：

响应于通过所述物联网服务接口从所述多个终端设备中的第一终端设备接收到用户对所述相关信息的订阅信息，所述SDN控制器基于全局网络拓扑信息确定从所述相关信息关联的所述事件代理到所述第一终端设备的第二通信路径，并将所述订阅信息和指示所述第二通信路径的路由信息发送给所述事件代理；

3.根据权利要求2所述的方法，其特征在于，所述第一终端设备为所述物联网中的第二物联网设备。

4.根据权利要求1至3中任一项所述的方法，其特征在于，所述相关信息为所述事件信息的主题、内容概要或类型。

5.根据权利要求1至3中任一项所述的方法，其特征在于，所述量子密钥池中的每个量子密钥是由在相应通信路径上设置的量子密钥分发QKD设备预先生成的。

6.根据权利要求1至3中任一项所述的方法，其特征在于，所述事件代理网络中的各个事件代理分别对应于城域网中的各个城域节点。

7.一种物联网的数据信息发布订阅系统，其特征在于，包括所述物联网中的边缘网关、事件代理网络中的事件代理、软件定义网络SDN控制层中的SDN控制器和密钥管理模块、应用层中的物联网服务接口，

其中，响应于从所述物联网中的至少一个物联网设备接收到所收集的数据信息和对该数据信息的发布请求，与每个所述物联网设备连接的边缘网关向分别所述密钥管理模块发送第一密钥请求，该第一密钥请求中指示所述边缘网关和与该边缘网关对应的所述事件代理之间的第一通信路径；

响应于每个所述第一密钥请求，所述密钥管理模块从预先生成的量子密钥池中，分别提取出与每个所述第一通信路径对应的第一量子密钥提供给对应的边缘网关和事件代理；

每个所述事件代理用所述第一量子密钥将加密后的所述数据信息解密后转化为事件信息，并将该事件信息上传至所述SDN控制器；

8.根据权利要求7所述的系统，其特征在于，

9.根据权利要求7或8所述的系统，其特征在于，所述相关信息为所述事件信息的主题、内容概要或类型。

10.根据权利要求7或8所述的系统，其特征在于，所述量子密钥池中的每个量子密钥是由在相应通信路径上设置的量子密钥分发QKD设备预先生成的。