CN112910639B - 多域场景下的量子加密业务传输方法及相关设备 - Google Patents
多域场景下的量子加密业务传输方法及相关设备 Download PDFInfo
- Publication number
- CN112910639B CN112910639B CN202110164367.7A CN202110164367A CN112910639B CN 112910639 B CN112910639 B CN 112910639B CN 202110164367 A CN202110164367 A CN 202110164367A CN 112910639 B CN112910639 B CN 112910639B
- Authority
- CN
- China
- Prior art keywords
- domain
- node
- link
- quantum key
- network topology
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本公开提供多域场景下的量子加密业务传输方法及相关设备。该方法包括:响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定源节点和目的节点不是处于同一域,基于源节点所在的第一域内的第一节点网络拓扑信息、目的节点所在的第二域内的第二节点网络拓扑信息以及第一域与第二域之间的域间虚拟网络拓扑信息,选择从源节点到目的节点的跨域链路;从预先构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;使用第一量子密钥资源,进行业务传输请求指示的业务通过所述跨域链路的加密传输。该方法能够实现域间的业务加密传输,提高不同域间密钥资源的独立性和安全性。
Description
技术领域
本公开一个或多个实施例涉及量子通信领域,尤其涉及多域场景下的量子加密业务传输方法及相关设备。
背景技术
随着量子计算机的快速发展,传统的网络安全架构将受到严重威胁。量子密钥分发技术在理论和系统方面逐渐取得突破性进展,点对点的量子密钥分发技术已趋于成熟。量子密钥分发基于量子物理学原理(如,海森堡测不准原理、量子不可克隆定律),在理论上保证其无条件安全。
量子密钥分发(quantum key distribution,QKD),是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥,来加密和解密消息。量子密钥分发网络可实现多用户、远距离、网络密钥安全分配,成为全世界范围了量子保密通信的研究热点。
随着量子密钥分发网络的规模不断扩大、用户不断增多,设备厂商间也各有差异。为了满足不同地域的业务传输和不同设备厂商之间互联互通,多域量子密钥分发网络成为比较现实的场景。在目前基于域内密钥池构建相关工作已经研究很多,能够满足域内的业务安全加密,但密钥池的密钥构建花费时间较长且密钥池的密钥资源利用效率较低,同时在比较现实的场景下还没有进行域间密钥池的相关工作研究。
发明内容
有鉴于此,本公开一个或多个实施例的目的在于提出一种多域场景下的量子加密业务传输方法及相关设备。
基于上述目的,本公开一个或多个实施例提供了一种多域场景下的量子加密业务传输方法,包括:
响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路;
从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;
使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
基于同一发明目的,本公开一个或多个实施例还提供了一种多域场景下的量子加密业务传输装置,包括:
链路选择模块,用于:响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于多个域中的同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路;
密钥检索模块,用于从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;
加密传输模块,用于使用所述第一量子密钥资源进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
基于同一发明目的,本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时能够实现多域场景下的量子加密业务传输方法。
基于同一发明目的,本公开一个或多个实施例还提供了一种多域场景下的量子加密业务传输系统,包括主控制器和分别用于多个域的多个子控制器,
其中,所述多个子控制器中接收到业务传输请求的第一子控制器在根据所述业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于所述多个域中的同一域的情况下,将所述业务传输请求上报给所述主控制器;
响应于所述业务传输请求,所述主控制器基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路,并从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源,使得所述跨域链路上的包括所述源节点和所述目的节点的多个节点使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
从上面所述可以看出,本公开一个或多个实施例提供的多域场景下的量子加密业务传输方法及相关设备,能够针对不同地域的业务传输和不同设备厂商的互联互通需求,提出一种多域场景下量子密钥池构建及密钥分发方法。全局密钥池的构建可保证不同域之间的密钥资源的独立性和安全性,可同时完成不同域内和域间的链路密钥资源构建,相对于传统的密钥池构建和密钥分发方式大大缩短了业务加密传输时间。
附图说明
为了更清楚地说明本公开一个或多个实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本公开一个或多个实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1为本公开一个或多个实施例提供的多域场景下的量子加密业务传输方法的流程图;
图2为本公开一个或多个实施例提供的构建域内密钥池的流程图;
图3例示了基于普通矩阵和稀疏矩阵的密钥存储对比示例;
图4为本公开一个或多个实施例提供的构建域间密钥池的流程图;
图5为本公开一个或多个实施例提供的构建全局密钥池的流程图;
图6为本公开一个或多个实施例提供的根据业务传输请求进行密钥分发的流程图;
图7为本公开一个或多个实施例提供的多域场景下进行密钥分发的网络拓扑示意图;
图8为本公开一个或多个实施例提供的多域场景下业务加密传输示意图;
图9为本公开一个或多个实施例提供的多域场景下的量子加密业务传输装置的示意图;
图10为本公开一个或多个实施例提供的电子设备的结构示意图。
具体实施方式
为使本公开的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本公开进一步详细说明。
需要说明的是,除非另外定义,本公开一个或多个实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同,而不排除其他元件或者物件。
如背景技术所述,目前,基于域内密钥池构建相关工作已经研究很多,能够满足域内的业务安全加密,但密钥池的密钥构建花费时间较长且密钥池的密钥资源利用效率较低,同时在比较现实的场景下还没有进行域间密钥池的相关工作研究。需要有一种将能够实现跨域业务的加密传输的密钥进行分发的方法。
为解决上述问题,本公开一个或多个实施例提供了一种多域场景下的量子加密业务传输方法:首先将域内节点间的密钥资源和域间边界节点间的密钥资源分别储存在域内密钥池和域间密钥池中,在两类密钥池的基础上建立全局密钥池;通过K条最短路径(KSP)算法调用全局密钥池内的域内/域间密钥资源得到跨域密钥资源,利用跨域密钥资源进行业务传输请求的跨域加密传输。
本公开一个或多个实施例提供的多域场景下的量子加密业务传输方法,能够实现量子业务实现在不同地域传输和不同设备厂商之间互联互通,达成加密业务的跨域传输。
参考图1,上述的量子加密业务传输方法方法包括以下步骤:
步骤S101,响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路。
本步骤中,采用K条最短路径算法选择从源节点到目的节点的跨域链路,其中,使用K条最短路径算法计算得到从源节点到第一域边界节点的K条链路,将K条链路按照从短到长的顺序排布,观察比较最短的链路对应的量子密钥资源是否在全局量子密钥池中,若存在则采用该条链路,否则比较第二短的链路对应的量子密钥资源是否在全局量子密钥池中,直至得出对应的量子密钥资源存在于全局量子密钥池的最短链路作为第一链路,否则本次业务传输失败;从目的节点到第二域边界节点的第二链路也通过该算法得到,第一域和第二域边界节点间的虚拟链路将得到的第一链路和第二链路,得到能够完成业务传输请求的跨域链路。
步骤S102,从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源。
步骤S103、使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
本公开一个或多个实施例提供的全局量子密钥池由域内量子密钥池和域间量子密钥池组成。
参考图2,作为一个可选的实施例,构建域内量子密钥池的步骤如下。
步骤S201,初始化密钥矩阵。
步骤S202,获取域内节点网络拓扑信息。
步骤S203,初始化节点网络拓扑中直连链路上的量子密钥资源。
本步骤中,直连链路即为源节点和目的节点间直接连接,不经过其他节点的链路。
步骤S204,使用K条最短路径算法计算得到非直连链路的K条候选链路并获取对应量子密钥资源。
本步骤中,非直连链路为源节点和目的节点间还经过其他节点的链路。
步骤S205,存储直连/非直连链路对应的量子密钥资源并更新域内量子密钥池资源状态。
本步骤中,对于网络中非直连链路,通过K条最短路径算法获取K条密钥补充候选路径进行量子密钥资源补充,这里的量子密钥资源补充将会消耗直连链路对应的量子密钥池中的资源。然后会根据预先设置好的直连和非直连链路对应的量子密钥池最高、最低阈值进行定量补充,避免资源浪费,最后更新量子密钥池资源状态,完成域内量子密钥池构建。
作为一个可选的实施例,在构建域内量子密钥池时,进行密钥链路的存储时可采用的方法有普通二维矩阵和稀疏矩阵,对这两种方法进行对比后,可以得出采用稀疏矩阵存放密钥链路的效果更好的结论。
参考图3,对于8*7普通矩阵,共有56个空间,但实际只用了5个,造成了51个空间浪费。采用稀疏矩阵重新定义该矩阵,经压缩之后,只需要6*3个空间,这将大大提高量子密钥池资源利用效率,故对于多节点的网络采用稀疏矩阵形式进行密钥存储效果更佳。
参考图4,作为一个可选的实施例,构建域间量子密钥池的步骤如下。
步骤S401,子控制器对域内节点网络拓扑虚拟化,将边界节点信息上传至主控制器。
步骤S402,主控制器获取任意域间的虚拟网络拓扑信息。
步骤S403,遍历域间虚拟链路,构建域间虚拟链路量子密钥资源。
步骤S404,将虚拟链路量子密钥资源存储并更新域间量子密钥池状态。
本步骤中,在构建域间量子密钥池以存储虚拟链路时,将域内的节点序号抽象为矩阵的行/列序号,采用普通二维矩阵形式存储在域间量子密钥池中。
作为一个可选的实施例,参照图5,构建全局密钥池的步骤如下所示。
步骤S501,初始化密钥矩阵。
步骤S502,子控制器对域内节点网络拓扑信息进行虚拟化,上传主控制器。
步骤S503,主控制器获取全局虚拟拓扑信息。
步骤S501至S503中,对所述多个域中的每一域内的节点网络拓扑进行虚拟化后,获取所述多个域的全局虚拟网络拓扑的信息。
步骤S504,调用域内、域间密钥池资源。
步骤S505,遍历任意域间节点信息,构建跨域链路密钥资源并储存。
本步骤中,遍历所述全局虚拟网络拓扑中的每两个域间节点以确定虚拟跨域链路;并通过预定算法实现步骤S504,调用预先分别为所述多个域构建的多个域内量子密钥池中的密钥资源和预先构建的至少一个域间量子密钥池中的密钥资源,以获取用于所述虚拟跨域链路的跨域链路密钥资源;并以异或的组合方式存储所述跨域链路密钥资源,形成所述全局量子密钥池。
参考图6,作为一个可选的实施例,本公开提供的密钥分发方法步骤如下:
步骤S601,收到业务传输请求。
步骤S602,判断业务传输请求的源节点和目的节点是否是域内节点。
本步骤中,业务传输请求的源节点和目的节点位于同一个域内时,进入步骤S603;否则,进入步骤S606。
步骤S603,子控制器获取指定域内节点网络拓扑信息。
步骤S604,使用K条最短路径算法计算源节点和目的节点间的K条最短路径。
步骤S605,完成域内路径选择并遍历域内量子密钥池获得对应的量子密钥资源。
步骤S606,子控制器上传业务传输请求,主控制器获取源节点和目的节点对应域信息。
步骤S607,子控制器利用K条最短路径算法分别计算源节点和目的节点到所述域边界节点的K条最短路径。
步骤S608,子控制器上传最短路径信息,主控制器选择跨域业务路径并遍历全局量子密钥池获得对应的量子密钥资源。
作为一个可选的实施例,在量子业务到来时,选择合适的节点链路完成业务传输。但对域内的业务加密,部分节点的使用频率较低,对量子密钥需求低的节点量子密钥溢出。对于跨域业务加密,对量子密钥需求高的节点量子密钥生成速率小且供应缓慢。为此通过对量子量子密钥池的状态进行分析,考虑节点使用频率和量子密钥池资源阈值,该资源阈值参照量子密钥池的容量设定,决定量子密钥池的量子密钥资源是否充足。当量子量子密钥池状态系数大于设定的量子密钥资源阈值时,则表示量子密钥资源充足。若系数小于设定的量子密钥资源阈值时,则表示密钥补充请求。此外,该量子量子密钥池状态系数对量子密钥池属性、业务属性和节点属性等多方面考量,如量子密钥存量S,节点间密钥消耗速率V,量子业务加密所需要的时长H,量子密钥池资源阈值T,保证加密业务到来时可靠传输,节点使用频率α(0<α<1)等,多角度考虑了量子密钥池的状态,为实现量子密钥的高效利用和及时业务加密提供保证。
同样,完成业务的加密传输后,需要对量子密钥池进行更新。在完成业务的加密传输之后,量子密钥池的量子密钥资源都会进行一定量的消耗,若域内量子密钥池和域间量子密钥池量子密钥资源低于设定的资源阈值,则会提示控制器对量子密钥池在下一个密钥更新周期进行密钥注入,为下一次业务到来时提供可靠保障。
作为一个可选的实施例,进行密钥分发的具体实现如图7和图8所示。
图7示出了一种多域场景下量子密钥池构建和密钥分发的网络拓扑。其中,量子密钥池部分包括全局量子密钥池、三个域间量子密钥池和三个域内量子密钥池。如有一跨域业务传输请求R,其源节点和目的节点分别是A6、C3,通过遍历全局量子密钥池和K条最短路径算法计算得到的符合要求的跨域传输链路为A6→A4→A1→C1→C2→C3,选择该链路对应的密钥 完成业务加密,传输过程如图8所示,在各个中间节点的密钥交换流程如下。
上述密钥交换过程为在A6节点处使用跨域传输链路对应的量子密钥对该业务传输请求R进行加密,当加密后的业务传输请求R传送至A4节点时,A4节点使用该节点对应的密钥对其进行解密并向A1节点传送解密后的业务传输请求R,直至经过多次解密的业务传输请求R传送至C3节点,C3节点使用密钥解密获得业务传输请求R。
本公开一个或多个实施例提供的多域场景下的量子加密业务传输方法,针对不同地域的业务传输和不同设备厂商的互联互通需求,全局量子密钥池的构建保证了不同域间量子密钥资源的独立性和安全性,可同时完成不同域间和同一域内传输链路的量子密钥资源的构建,相对于传统的量子加密业务传输方法大大缩短的业务加密传输时间,为量子业务加密传输提供了很大的便利。
需要说明的是,本公开一个或多个实施例的方法可以由单个设备执行,例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下,由多台设备相互配合来完成。在这种分布式场景的情况下,这多台设备中的一台设备可以只执行本公开一个或多个实施例的方法中的某一个或多个步骤,这多台设备相互之间会进行交互以完成所述的方法。
上述对本公开特定实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下,在权利要求书中记载的动作或步骤可以按照不同于实施例中的顺序来执行并且仍然可以实现期望的结果。另外,在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中,多任务处理和并行处理也是可以的或者可能是有利的。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种多域场景下的量子加密业务传输装置。
参考图9,所述多域场景下的量子加密业务传输装置,包括:
链路选择模块,响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路;
密钥检索模块,从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;
加密传输模块,使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
为了描述的方便,描述以上装置时以功能分为各种模块分别描述。当然,在实施本公开一个或多个实施例时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
上述实施例的装置用于实现前述实施例中相应的多域场景下的量子加密业务传输方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,所述处理器执行所述程序时实现上任意一实施例所述的多域场景下的量子加密业务传输方法。
图10示出了本实施例所提供的一种电子设备硬件结构示意图。该设备可以包括:处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
处理器1010可以采用通用的CPU(Central Processing Unit,中央处理器)、微处理器、应用专用集成电路(Application Specific Integrated Circuit,ASIC)、或者一个或多个集成电路等方式实现,用于执行相关程序,以实现本公开实施例所提供的技术方案。
存储器1020可以采用ROM(Read Only Memory,只读存储器)、RAM(Random AccessMemory,随机存取存储器)、静态存储设备,动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序,在通过软件或者固件来实现本公开实施例所提供的技术方案时,相关的程序代码保存在存储器1020中,并由处理器1010来调用执行。
输入/输出接口1030用于连接输入/输出模块,以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出),也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等,输出设备可以包括显示器、扬声器、振动器、指示灯等。
通信接口1040用于连接通信模块(图中未示出),以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如USB、网线等)实现通信,也可以通过无线方式(例如移动网络、WIFI、蓝牙等)实现通信。
总线1050包括一通路,在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
需要说明的是,尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050,但是在具体实施过程中,该设备还可以包括实现正常运行所必需的其他组件。此外,本领域的技术人员可以理解的是,上述设备中也可以仅包含实现本公开实施例方案所必需的组件,而不必包含图中所示的全部组件。
上述实施例的电子设备用于实现前述任一实施例中相应的多域场景下的量子加密业务传输方法,并且具有相应的方法实施例的有益效果,在此不再赘述。
基于同一发明构思,与上述任意实施例方法相对应的,本公开一个或多个实施例还提供了一种多域场景下的量子加密业务传输系统,包括主控制器和分别用于多个域的多个子控制器。
其中,所述多个子控制器中接收到业务传输请求的第一子控制器在根据所述业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于所述多个域中的同一域的情况下,将所述业务传输请求上报给所述主控制器。
响应于所述业务传输请求,所述主控制器基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路,并从预先为所述多个域构建的全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源,使得所述跨域链路上的包括所述源节点和所述目的节点的多个节点使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
所属领域的普通技术人员应当理解:以上任何实施例的讨论仅为示例性的,并非旨在暗示本公开的范围(包括权利要求)被限于这些例子;在本公开的思路下,以上实施例或者不同实施例中的技术特征之间也可以进行组合,步骤可以以任意顺序实现,并存在如上所述的本公开一个或多个实施例的不同方面的许多其它变化,为了简明它们没有在细节中提供。
另外,为简化说明和讨论,并且为了不会使本公开一个或多个实施例难以理解,在所提供的附图中可以示出或可以不示出与集成电路(IC)芯片和其它部件的公知的电源或接地连接。此外,可以以框图的形式示出装置,以便避免使本公开一个或多个实施例难以理解,并且这也考虑了以下事实,即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开一个或多个实施例的平台的(即,这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如,电路)以描述本公开的示例性实施例的情况下,对本领域技术人员来说显而易见的是,可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开一个或多个实施例。因此,这些描述应被认为是说明性的而不是限制性的。
尽管已经结合了本公开的具体实施例对本公开进行了描述,但是根据前面的描述,这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如,其它存储器架构(例如,动态RAM(DRAM))可以使用所讨论的实施例。
本公开一个或多个实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此,凡在本公开一个或多个实施例的精神和原则之内,所做的任何省略、修改、等同替换、改进等,均应包含在本公开的保护范围之内。
Claims (9)
1.一种多域场景下的量子加密业务传输方法,包括:
响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于多个域中的同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路;
对所述多个域中的每一域内的节点网络拓扑进行虚拟化后,获取所述多个域的全局虚拟网络拓扑的信息;
遍历所述全局虚拟网络拓扑中的每两个域间节点以确定虚拟跨域链路,并通过预定算法调用预先分别为所述多个域构建的多个域内量子密钥池中的密钥资源和预先构建的至少一个域间量子密钥池中的密钥资源,以获取用于所述虚拟跨域链路的跨域链路密钥资源;
通过以异或的组合方式存储所述跨域链路密钥资源,形成全局量子密钥池;
从所述全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;
使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
2.根据权利要求1所述的方法,还包括:
响应于根据所述业务传输请求中携带的所述源节点和目的节点的信息而确定所述源节点和所述目的节点都处于第三域,基于所述第三域内的第三节点网络拓扑信息而选择从所述源节点到所述目的节点的域内链路;
从预先为所述第三域构建的域内量子密钥池中检索出与所述域内链路对应的第二量子密钥资源;
使用所述第二量子密钥资源,进行所述业务传输请求指示的业务通过所述域内链路的加密传输。
3.根据权利要求1所述的方法,其中,所述跨域链路密钥资源以稀疏矩阵的形式存储在所述全局量子密钥池中。
4.根据权利要求1所述的方法,其中,对于所述多个域中的每一域,该域的所述域内量子密钥池是通过下列操作而预先构建的:
获取该域内的节点网络拓扑的信息;
初始化该域内的节点网络拓扑中的每条直连链路上的域内量子密钥资源;
对于该域内的节点网络拓扑中的每条非直连链路,通过K条最短路径KSP算法获取K条密钥补充候选路径,以进行域内量子密钥资源补充,其中K为大于等于1的整数;
通过以稀疏矩阵的形式存储所述域内量子密钥资源,形成该域的所述域内量子密钥池。
5.根据权利要求1所述的方法,其中,所述域间量子密钥池是通过下列操作而预先构建的:
对于所述多个域中的每一域,虚拟化该域内的节点网络拓扑,而保留该域的边界节点的信息;
基于所述多个域中的每一域的边界节点的信息,获取所述多个域的域间虚拟网络拓扑的信息;
初始化所述域间虚拟网络拓扑中的每条域间虚拟链路上的域间量子密钥资源;
通过以二维矩阵的形式存储所述域间量子密钥资源,形成所述域间量子密钥池。
6.根据权利要求1或2所述的方法,其中,选择从所述源节点到所述目的节点的跨域链路包括:
基于所述第一节点网络拓扑信息,使用K条最短路径KSP算法得到所述源节点到所述第一域的边界节点的M条最短第一链路的信息,其中M为大于等于1的整数;
基于所述第二节点网络拓扑信息,使用KSP算法得到所述目的节点到所述第二域的边界节点的N条最短第二链路的信息,其中N为大于等于1的整数;
基于所述M条最短第一链路的信息、所述N条最短第二链路的信息以及所述域间虚拟网络拓扑信息,选择所述跨域链路。
7.一种多域场景下的量子加密业务传输装置,包括:
链路选择模块,用于:响应于根据接收到的业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于多个域中的同一域,基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路;
密钥池构建模块,用于:对所述多个域中的每一域内的节点网络拓扑进行虚拟化后,获取所述多个域的全局虚拟网络拓扑的信息;遍历所述全局虚拟网络拓扑中的每两个域间节点以确定虚拟跨域链路,并通过预定算法调用预先分别为所述多个域构建的多个域内量子密钥池中的密钥资源和预先构建的至少一个域间量子密钥池中的密钥资源,以获取用于所述虚拟跨域链路的跨域链路密钥资源;通过以异或的组合方式存储所述跨域链路密钥资源,形成全局量子密钥池;
密钥检索模块,用于从所述全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源;
加密传输模块,用于使用所述第一量子密钥资源进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
8.一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现根据权利要求1至6中任意一项所述的方法。
9.一种多域场景下的量子加密业务传输系统,包括主控制器和分别用于多个域的多个子控制器,
其中,所述多个子控制器中接收到业务传输请求的第一子控制器在根据所述业务传输请求中携带的源节点和目的节点的信息而确定所述源节点和所述目的节点不是处于所述多个域中的同一域的情况下,将所述业务传输请求上报给所述主控制器;
响应于所述业务传输请求,所述主控制器基于所述源节点所在的第一域内的第一节点网络拓扑信息、所述目的节点所在的第二域内的第二节点网络拓扑信息以及所述第一域与所述第二域之间的域间虚拟网络拓扑信息,选择从所述源节点到所述目的节点的跨域链路,对所述多个域中的每一域内的节点网络拓扑进行虚拟化后,获取所述多个域的全局虚拟网络拓扑的信息,遍历所述全局虚拟网络拓扑中的每两个域间节点以确定虚拟跨域链路,并通过预定算法调用预先分别为所述多个域构建的多个域内量子密钥池中的密钥资源和预先构建的至少一个域间量子密钥池中的密钥资源,以获取用于所述虚拟跨域链路的跨域链路密钥资源,通过以异或的组合方式存储所述跨域链路密钥资源,形成全局量子密钥池,并从所述全局量子密钥池中检索出与所述跨域链路对应的第一量子密钥资源,使得所述跨域链路上的包括所述源节点和所述目的节点的多个节点使用所述第一量子密钥资源,进行所述业务传输请求指示的业务通过所述跨域链路的加密传输。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110164367.7A CN112910639B (zh) | 2021-02-05 | 2021-02-05 | 多域场景下的量子加密业务传输方法及相关设备 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202110164367.7A CN112910639B (zh) | 2021-02-05 | 2021-02-05 | 多域场景下的量子加密业务传输方法及相关设备 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN112910639A CN112910639A (zh) | 2021-06-04 |
CN112910639B true CN112910639B (zh) | 2022-06-24 |
Family
ID=76123260
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202110164367.7A Active CN112910639B (zh) | 2021-02-05 | 2021-02-05 | 多域场景下的量子加密业务传输方法及相关设备 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN112910639B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114142993B (zh) * | 2021-08-31 | 2023-04-07 | 北京邮电大学 | 密钥分发网络的故障恢复方法、装置、电子设备及介质 |
CN113765660B (zh) * | 2021-09-06 | 2022-08-02 | 东南大学 | 一种物联网终端设备量子密钥按需分配方法 |
CN114024666B (zh) * | 2021-09-15 | 2023-04-25 | 北京邮电大学 | 一种量子密钥分发方法及系统 |
CN114465718B (zh) * | 2022-01-07 | 2023-11-03 | 南京邮电大学 | 量子密钥分发业务的多协议翻译方法及相关设备 |
CN114900293B (zh) * | 2022-05-06 | 2023-05-05 | 浙江九州量子信息技术股份有限公司 | 一种基于调度中心的量子密钥全局中继方法及系统 |
CN116846547B (zh) * | 2023-05-10 | 2024-05-24 | 成都信息工程大学 | 一种基于量子技术的政法数据跨域安全传输方法 |
CN116527259B (zh) * | 2023-07-03 | 2023-09-19 | 中电信量子科技有限公司 | 基于量子密钥分发网络的跨域身份认证方法及系统 |
Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110247713A (zh) * | 2019-04-26 | 2019-09-17 | 北京邮电大学 | 一种基于量子密钥分发光网络的虚拟业务映射方法及装置 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN103269276B (zh) * | 2013-05-22 | 2016-03-16 | 杭州华三通信技术有限公司 | 一种实现组成员设备通信的方法和设备 |
US9607177B2 (en) * | 2013-09-30 | 2017-03-28 | Qualcomm Incorporated | Method for securing content in dynamically allocated memory using different domain-specific keys |
CN112217637B (zh) * | 2016-11-04 | 2024-03-15 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
-
2021
- 2021-02-05 CN CN202110164367.7A patent/CN112910639B/zh active Active
Patent Citations (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN110247713A (zh) * | 2019-04-26 | 2019-09-17 | 北京邮电大学 | 一种基于量子密钥分发光网络的虚拟业务映射方法及装置 |
Also Published As
Publication number | Publication date |
---|---|
CN112910639A (zh) | 2021-06-04 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN112910639B (zh) | 多域场景下的量子加密业务传输方法及相关设备 | |
Wen et al. | Joint optimal software caching, computation offloading and communications resource allocation for mobile edge computing | |
Elgendy et al. | An efficient and secured framework for mobile cloud computing | |
Terefe et al. | Energy-efficient multisite offloading policy using Markov decision process for mobile cloud computing | |
Zhang et al. | Toward a unified elastic computing platform for smartphones with cloud support | |
Qureshi et al. | Mobile cloud computing as future for mobile applications-Implementation methods and challenging issues | |
US8638926B2 (en) | Sharing a secret with modular inverses | |
CN113505882B (zh) | 基于联邦神经网络模型的数据处理方法、相关设备及介质 | |
US10609003B2 (en) | Cryptography using multi-factor key system and finite state machine | |
Patsakis et al. | Interoperable privacy-aware e-participation within smart cities | |
CN113179514A (zh) | 中继共存场景下的量子密钥分发方法及相关设备 | |
Maitra et al. | Cluster-based energy-efficient secure routing in wireless sensor networks | |
KR102393942B1 (ko) | 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법 | |
CN114006694B (zh) | 量子密钥的处理方法、装置、电子设备及存储介质 | |
Taha et al. | An improved security schema for mobile cloud computing using hybrid cryptographic algorithms | |
Basha et al. | Mobile applications as cloud computing: implementation and challenge | |
CN115801220A (zh) | 加速设备、计算系统及加速方法 | |
CN112765642A (zh) | 数据处理方法、数据处理装置、电子设备及介质 | |
Damrudi et al. | Parallel RSA encryption based on tree architecture | |
Abd Elminaam et al. | SMCACC: developing an efficient dynamic secure framework for mobile capabilities augmentation using cloud computing | |
CN115549889A (zh) | 解密方法、相关装置及存储介质 | |
KR102160294B1 (ko) | 비밀 키에 대한 정족수 설계를 수행하는 장치 및 방법 | |
Zhang et al. | Trustworthy service composition in service-oriented mobile social networks | |
Sharma et al. | Cloud Storage Security using Firebase and Fernet Encryption | |
Kapur et al. | Resource utilization in cloud computing using hybrid algorithm |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |