CN114006694B - 量子密钥的处理方法、装置、电子设备及存储介质 - Google Patents
量子密钥的处理方法、装置、电子设备及存储介质 Download PDFInfo
- Publication number
- CN114006694B CN114006694B CN202111127483.8A CN202111127483A CN114006694B CN 114006694 B CN114006694 B CN 114006694B CN 202111127483 A CN202111127483 A CN 202111127483A CN 114006694 B CN114006694 B CN 114006694B
- Authority
- CN
- China
- Prior art keywords
- key
- pool
- quantum
- resources
- resource
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请公开了一种量子密钥的处理方法、装置、电子设备及存储介质。该方法包括:在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;获取所述量子密钥分发网络中生成的密钥资源;根据所述密钥资源状态确定出缺乏密钥资源的密钥池;通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充。本申请的处理方法,可实现网络中各个密钥池间的密钥资源差距最小,提高加密业务在网络中成功分配的概率;提高了密钥资源利用效率,能够合理利用密钥资源,将其补充到其它密钥资源较少的密钥池中。
Description
技术领域
本申请涉及量子通信技术领域,具体涉及一种量子密钥的处理方法、装置、电子设备及存储介质。
背景技术
量子密钥分发(QKD)技术在理论和系统方面逐渐取得突破性进展,点对点的量子密钥分发技术已趋于成熟。但是当前QKD和量子保密通信系统的工程化现状是,商用QKD系统的现网光纤传输距离在百公里以内,密钥成码率约为10kbit/s量级。商用QKD网络基于可信中继节点实现QKD密钥存储管理,通过密钥路由和加密调度实现端到端密钥生成和提供。因此,量子密钥资源是非常宝贵的,如何提高密钥资源利用效率是当前亟待解决的技术问题。
发明内容
本申请的目的是提供一种基于多阶补充的量子密钥池构建方法。为了对披露的实施例的一些方面有一个基本的理解,下面给出了简单的概括。该概括部分不是泛泛评述,也不是要确定关键/重要组成元素或描绘这些实施例的保护范围。其唯一目的是用简单的形式呈现一些概念,以此作为后面的详细说明的序言。
根据本申请实施例的一个方面,提供一种量子密钥的处理方法,包括:
在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;
根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;
获取所述量子密钥分发网络中生成的密钥资源;
根据所述密钥资源状态确定出缺乏密钥资源的密钥池;
通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充。
在本申请的一些实施例中,所述根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态包括:根据所述节点和链路的信息将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态;
所述根据所述密钥资源状态确定出缺乏密钥资源的密钥池包括根据所述密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;所述第一类密钥池为达到预设级别的密钥池;
所述对所述缺乏密钥资源的密钥池进行密钥资源补充包括对所述缺乏密钥资源的第一类密钥池进行密钥资源补充。
在本申请的一些实施例中,所述方法还包括:
根据所述密钥资源状态从第二类密钥池中确定出缺乏密钥资源的第二类密钥池;所述第二类密钥池为未达到所述预设级别的密钥池;
计算一条最短密钥补充路径;
通过所述最短密钥补充路径,对所述缺乏密钥资源的第二类密钥池进行密钥资源补充。
在本申请的一些实施例中,所述方法还包括:
判断所述生成的密钥资源中是否存在剩余密钥;
若存在,则将所述剩余密钥补充至下一级别的密钥池;
否则,结束密钥资源补充,更新所述量子密钥分发网络的密钥池资源状态。
在本申请的一些实施例中,在所述在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息之前,所述方法还包括:
响应于量子业务的请求,获取量子密钥分发网络中节点和链路的信息;
根据所述节点和链路的信息,在所述量子业务的源节点和目的节点之间计算出一组路径信息并存储,得到路径集合;
从所述路径集合中选择一条链路,计算被选链路上的密钥池资源;
选择所述被选链路上最小的密钥数,判断所述被选链路是否满足所述量子业务的加密需求;
若满足,则根据所述量子业务加密所需的密钥量,为所述量子业务分配所述被选链路上的密钥池资源。
在本申请的一些实施例中,所述获取所述量子密钥分发网络中生成的密钥资源,包括:
计算相邻两个量子业务间的时间间隔和密钥生成速率;
根据所述时间间隔和所述密钥生成速率,计算链路间生成的密钥总量。
在本申请的一些实施例中,所述各所述密钥池的密钥资源状态是通过二维矩阵表示的;所述获取所述量子密钥分发网络中生成的密钥资源,还包括利用二维矩阵来表示所述密钥总量。
根据本申请实施例的另一个方面,提供一种量子密钥的处理装置,包括:
第一获取模块,用于在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;
第二获取模块,用于根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;
第三获取模块,用于获取所述量子密钥分发网络中生成的密钥资源;
确定模块,用于根据所述密钥资源状态确定出缺乏密钥资源的密钥池;
补充模块,用于通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充。
根据本申请实施例的另一个方面,提供一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现上述任一项所述的量子密钥的处理方法。
根据本申请实施例的另一个方面,提供一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行,以实现上述任一项所述的量子密钥的处理方法。
本申请实施例的其中一个方面提供的技术方案可以包括以下有益效果:
本申请实施例提供的量子密钥的处理方法,根据节点和链路的信息获取各节点的密钥池的密钥资源状态,根据量子密钥分发网络中生成的密钥资源确定出缺乏密钥资源的密钥池,通过生成的密钥资源对缺乏密钥资源的密钥池进行密钥资源补充,可实现网络中各个密钥池间的密钥资源差距最小,提高加密业务在网络中成功分配的概率;提高了密钥资源利用效率,能够合理利用密钥资源,将其补充到其它密钥资源较少的密钥池中。
本申请的其他特征和优点将在随后的说明书中阐述,并且,部分地从说明书中变得显而易见,或者,部分特征和优点可以从说明书中推知或毫无疑义地确定,或者通过实施本申请实施例了解。本申请的目的和其他优点可通过在所写的说明书、权利要求书、以及附图中所特别指出的结构来实现和获得。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据这些附图获得其他的附图。
图1示出了可信中继示例图;
图2示出了本申请一个实施例的量子密钥池构建方法流程示意图;
图3(a)示出了本申请一个实施例中的网络密钥资源状态矩阵;
图3(b)示出了本申请一个实施例中的网络剩余密钥资源状态矩阵;
图4示出了本申请一个实施例中的业务路径计算流程图;
图5示出了本申请一个实施例中的密钥池资源分配流程图;
图6示出了本申请一个实施例中的密钥池状态获取过程流程图;
图7示出了本申请一个实施例中的密钥池状态更新流程图;
图8示出了本申请一个实施例的基于多阶补充的量子密钥池构建方法流程图;
图9示出了本申请一个实施例中的QKD网络拓扑示例图;
图10示出了本申请一个实施例的量子密钥的处理方法流程图;
图11示出了图10所示实施例中的步骤S80的一个实施方式流程图;
图12示出了本申请一个实施例中的QKD网络中的CN的状态;
图13示出了本申请一个实施例中的QKD网络中的RN的状态;
图14示出了本申请一个实施例中的单个组内节点密钥池的和/>的资源状态;
图15示出了本申请一个实施例中的组与组间节点密钥池的和/>的资源状态;
图16示出了本申请一个实施例中的单个组内节点密钥池的和/>的资源状态;
图17示出了本申请一个实施例中的组与组间节点密钥池的和/>的资源状态;
图18示出了本申请一个实施例的量子密钥的处理装置结构框图;
图19示出了本申请一个实施例的电子设备的结构框图;
图20示出了本申请一个实施例的计算机可读存储介质示意图。
具体实施方式
为了使本申请的目的、技术方案及优点更加清楚明白,下面结合附图和具体实施例对本申请做进一步说明。应当理解,此处所描述的具体实施例仅用以解释本申请,并不用于限定本申请。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
本技术领域技术人员可以理解,除非另外定义,这里使用的所有术语(包括技术术语和科学术语),具有与本申请所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是,诸如通用字典中定义的那些术语,应该被理解为具有与现有技术的上下文中的意义一致的意义,并且除非像这里一样被特定定义,否则不会用理想化或过于正式的含义来解释。
随着量子计算机的快速发展,传统的网络安全架构将受到严重威胁。量子密钥分发技术在理论和系统方面逐渐取得突破性进展,点对点的量子密钥分发技术已趋于成熟。量子密钥分发基于量子物理学原理(如海森堡测不准原理、量子不可克隆定律),在理论上保证其无条件安全。量子密钥分发网络可实现多用户、远距离、网络密钥安全分配。
针对QKD网络中实现任意节点间拥有一对对称密钥,目前可基于可信中继节点来实现。同时为了实现多用户,高速率、高可靠业务安全的需求,可通过任意节点间量子密钥池构建技术实现。基于可信中继和量子密钥池构建方法包括如下步骤:
(1)基于可信中继的量子密钥分发
在远距离量子密钥分发系统中,由于光子极易被信道吸收,造成信号随通信距离指数衰减,误码率提高,进而导致通信失败,因此量子密钥分发距离被限制在百公里量级上。所以,必须使用中继技术来对密钥进行中继传输和补偿信号带来的衰减。为构建远距离量子密钥分发基础设施采用的过渡方案是可信中继方案,该方案必须保证中继节点是可信的,密钥在可信中继节点之间进行加密接力传送。具体原理为:节点A与节点B之间连接一个可信中继器R,节点A将KAB通过KAR以一次性密码本(One-time-pad,OTP)加密后发送至可信中继器R,并解密得到KAB。可信中继器R使用密钥KRB重新加密KAB,并将其发送给节点B,节点B解密后获得KAB,节点A和节点B通过共享密钥KAB进行加密通信。
原始的可信中继方案,需要在中继节点长时间保存密钥明文,因此安全防护困难比较大。通过结合传统的信息安全技术对节点进行防护,得到一种改进的密钥中继技术:异或中继技术。该方案中,中继节点处只会暂存经过异或后的量子密钥,因此在中继节点处,除了量子密钥刚刚生成后极短的时间内,其他时间都不会出现量子密钥明文。攻击者只有在刚刚生成量子密钥时就攻入系统才可能窃取到量子密钥,从而破获用户密钥。窃听者在其他时刻攻击中继,都无法影响用户密钥的安全。这种方案可以很大程度上减轻中继节点的安全防护难度。具体原理如图1所示。
(2)量子密钥池构建技术
量子密钥分发网络是将量子密钥分发技术应用于实际场景的中的重要手段,其中,研究量子密钥池构建技术,为实现多用户、高速率、高可靠业务安全的重要技术之一。量子密钥池与传统密钥池类似,包括密钥的贮存、密钥的更新等功能。目前,有关学者对量子密钥池做出相应的研究,提升了量子密钥的利用率和网络资源的利用率。例如,北京邮电大学提出了一种应用于网络安全的量子密钥池,将量子密钥存储在量子密钥池中,并分割量子密钥池为一个个密钥空间。然后利用OTDM技术将密钥空间切分成多个周期性的时间片,这些时间片可以为多个业务提供周期性的密钥并进行密钥更新,便可以实现QKD与业务的“一对多”关系,按需分配密钥,大大提升密钥资源的利用率,解决现有技术中密钥分配不安全和密钥资源利用率不高的两大问题。
如图2所示,本申请的一个实施例提供了一种基于多阶补充的量子密钥池构建方法,当加密业务成功分配后,则开始按照多阶补充进行密钥池构建,有利于提高密钥资源的利用效率。该方法主要包括2个模块:
第一个模块是密钥资源分配。当量子业务请求到来时,首先会利用KSP算法根据量子业务的源节点和目的节点计算一组路径集合,然后根据业务加密所需密钥的数量和所选择链路上的密钥资源数进行比较,判断该链路是否承载业务请求。第二个模块是密钥池资源补充模块。业务请求分配成功后,开始获取当前网络中密钥池资源状态和拓扑中所生成的密钥数,然后利用多阶补充方法依次对密钥池进行构建,最后更新密钥池资源。
在QKD网络模型的基础上,已经定义了QKD(量子密钥分发)的概念、功能和工作原理。密钥池是用于存储网络中节点之间的密钥资源的容器,为了能够更加简洁展示出网络内密钥池资源变化,定义了两个二维矩阵C_N和R_N,其中C_N和R_N分别表示为网络中的密钥资源状态矩阵和剩余密钥资源状态矩阵,如上图3(a)和图3(b)所示。
1、密钥资源分配步骤
步骤1.1:业务路径计算
在密钥补充之前需进行的是量子业务的分配过程。当量子业务到来时,控制器会获取量子密钥分发网络中节点和链路的具体信息,然后控制器会根据量子业务的源节点和目的节点计算路径信息,并存储在集合中,得到路径集合,如下图4所示。
步骤1.2:密钥池资源分配
上一步计算好了量子业务的路径集合,则开始遍历该路径集合。选择路径集合中的一条链路,控制器会计算该链路上所有节点之间的密钥资源状态,选择该链路上的最小的密钥数,然后判断该链路是否满足该量子业务的加密需求,若满足,则该链路上的所有密钥池都会消耗该量子业务加密所需的密钥量,量子业务分配成功;否则,量子业务加密失败,如下图5所示。
2密钥池资源补充步骤
步骤2.1:密钥池状态获取
当量子业务分配成功之后,则开始密钥池资源补充过程。在经过上一步的密钥池资源分配之后,部分节点间的密钥池资源有所消耗,需要重新获取网络中密钥池资源状态。
首先还是控制器获取量子密钥分发网络中的节点和链路的信息,遍历节点获取对应密钥池的密钥资源状态,然后将节点间的密钥状态通过二维矩阵CN进行展示,如下图6所示。
步骤2.2:密钥资源生成计算
获取完量子密钥分发网络的密钥池资源之后,还需要计算量子密钥分发网络中生成了多少密钥资源。
首先计算相邻两个量子业务间的时间间隔t,密钥生成速率v,计算链路间生成的密钥总量N,这里生成的密钥资源是为了补充密钥池资源,具体流程如下图7所示。为了更好的展示密钥资源的变化,定义了一个二维矩阵RN来表示。因为生成的密钥资源是需要被消耗的,所以这里的RN为量子密钥分发网络剩余密钥资源状态矩阵。
步骤2.3:多阶密钥资源补充
当CN和RN中的状态都准备完成之后,则开始密钥池资源补充过程。本发明实施例采用基于多阶补充的量子密钥池构建方法,其核心就是按照密钥池容量对其进行多级别划分,然后依次级别从小到大的顺序进行密钥补充。
首先需要对密钥池进行多级划分,假设密钥池划分了M级;然后按照级别从小到大依次遍历密钥池层阶,计算出属于每个层阶内的链路信息和密钥池资源状态,并按照密钥量的多少进行升序排序,存储在集合L中;其次依次遍历集合L中每条链路,判断链路上节点上对应的RN中的密钥资源是否满足补充到第一层阶所需要的密钥量|Δkey|,若满足,则对应的二维矩阵RN的相应节点的密钥将消耗|Δkey|;若不满足,则需要根据该链路的节点信息计算一条最短路径P,然后按照路径P上的节点信息计算对应RN上的最小密钥量keymin,接着继续判断keymin是否大于|Δkey|,若大于,则按照|Δkey|的量进行补充;否则,按照最小密钥量keymin进行补充。最后判断二维矩阵RN中的密钥是否还有剩余,若还有剩余,则继续下一个层阶;否则,结束补充过程,更新密钥池资源状态,具体流程如下图8所示。
采用QKD拓扑示例进行详细阐述,如下图9所示。
为了更加简介展示CN和RN的密钥资源状态变化和减小计算的复杂度,将量子密钥分发网络中的节点分为三组G1={1,2,3},G2={4,5,6},G3={7,8,9},其中每一组节点内任意节点的网络密钥资源状态矩阵和网络剩余密钥资源状态矩阵分别表示为和/>假设相邻两个业务的时间间隔t为0.01s,密钥生成速率v为100u/s,密钥池的阶别划分为2,包括[0,20),[20,40]。
参考图10所示,本申请的另一个实施例提供了一种量子密钥的处理方法,包括以下步骤:
S10、响应于量子业务的请求,获取量子密钥分发网络中节点和链路的信息。
当量子业务到来时,控制器会获取量子密钥分发网络中节点和链路的具体信息。
S20、根据所述节点和链路的信息,在所述量子业务的源节点和目的节点之间计算出一组路径信息并存储,得到路径集合。
控制器会根据量子业务的源节点和目的节点计算路径信息,并存储在集合中,得到路径集合。
S30、从所述路径集合中选择一条链路,计算被选链路上的密钥池资源。
选择路径集合中的一条链路,控制器计算该链路上所有节点之间的密钥资源状态。
S40、选择所述被选链路上最小的密钥数,判断所述被选链路是否满足所述量子业务的加密需求。
S50、若满足,则根据所述量子业务加密所需的密钥量,为所述量子业务分配所述被选链路上的密钥池资源。
选择该链路上的最小的密钥数,然后判断该链路是否满足该量子业务的加密需求,若满足,则该链路上的所有密钥池都会消耗该量子业务加密所需的密钥量,量子业务分配成功;否则,量子业务加密失败。
以上述的QKD网络拓扑为例,假设若干业务请求在该网络中传输,并消耗对应链路上的密钥池资源。业务路径计算是密钥资源分配的前提,是为了告知网络到底该选择哪些密钥池进行分配,其作用就是计算业务请求光纤链路,比如,一个业务请求r的源/目的节点为(1,6),所需密钥为10u,这时候计算一条实际的光路为1-3-4-6。
上述步骤计算了业务r的一条实际光路1-3-4-6,此时遍历该光路上所有的密钥池资源状态,选出最小的密钥资源并判断是否满足业务加密需求,若相邻节点间的密钥池资源都满足业务请求的需求,则光路上的密钥池资源都会进行消耗10u的密钥量。
S60、在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息。
当业务请求分配成功之后,则开始密钥池资源的补充过程。
S70、根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态。
根据所述节点和链路的信息将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态。
假设经过一段时间后,本实施例选择了某一时刻的网络状态并获取的网络中密钥池资源的状态,如下图11所示。 分别代表了当前网络中G1,G2,G3的密钥资源状态,为不同组之间的密钥池资源状态。
S80、获取所述量子密钥分发网络中生成的密钥资源。
参考图12所示,具体地,S80包括:
S801、计算相邻两个量子业务间的时间间隔和密钥生成速率;
S802、根据所述时间间隔和所述密钥生成速率,计算链路间生成的密钥总量。
考虑直连链路间会部署量子密钥生成设备,根据上述条件所生成的密钥数为10个单位, 分别代表了当前网络中G1,G2,G3的剩余密钥资源状态,/>表示不同组之间生成的密钥数量,如下图13所示。
S90、根据所述密钥资源状态确定出缺乏密钥资源的密钥池。
具体地,根据密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;第一类密钥池为达到预设级别的密钥池。
将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态。
首先需要对密钥池进行多级划分,假设密钥池划分为M个级别,然后按照级别从小到大依次遍历密钥池层阶,计算出属于每个层阶内的链路信息和密钥池资源状态。
根据所述密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;第一类密钥池为达到预设级别的密钥池。
例如,预设级别为N,N<M,则根据所述密钥资源状态从级别达到N的密钥池中确定缺乏密钥资源的第一类密钥池。
S100、通过所述生成的密钥资源对所述缺乏密钥资源的第一类密钥池进行密钥资源补充。
对缺乏密钥资源的密钥池进行密钥资源补充包括对缺乏密钥资源的第一类密钥池进行密钥资源补充。
在某些实施方式中,上述方法还包括:
根据所述密钥资源状态从第二类密钥池中确定出缺乏密钥资源的第二类密钥池;所述第二类密钥池为未达到所述预设级别的密钥池;
计算一条最短密钥补充路径;
通过所述最短密钥补充路径,对所述缺乏密钥资源的第二类密钥池进行密钥资源补充;
判断所述生成的密钥资源中是否存在剩余密钥;
若存在,则将所述剩余密钥补充至下一级别的密钥池;否则,结束密钥资源补充,更新所述量子密钥分发网络的密钥池资源状态。
具体地,在某些实施方式中,包括第一层阶密钥补充:通过对网络密钥池资源和生成的密钥资源的状态的获取之后,则开始多级密钥池资源补充过程。考虑到将密钥池的资源划分了2个阶别,首先考虑第一个层阶[0,20),此时会遍历网络中密钥池资源CN,控制器获取属于第一个层阶范围内的密钥信息和对应的节点信息,然后计算当前密钥到第一阶别(20)的差值Δkey,按照Δkey的大小进行升序排序并将对应的节点信息存储在集合L中。为了能够更加详细表述不同节点间密钥池需要到底需要补充多少密钥资源,本实施例定义了一个二维密钥矩阵Dmax,该矩阵表示是任意节点间密钥池补充到当前密钥阶别所需密钥资源数。同时密钥补充是一个密钥动态变化的过程,该过程可用如下公式表述。
在第一层阶密钥池资源补充过程中,每个组内密钥池的和/>资源状态,如下图14所示,其中第三组内节点的/> 的资源状态变化包含两个小步骤(c-1)、(c-2)。在G3内节点中,链路7-9是非直连链路,密钥补充过程中,需要对直连链路上的密钥池进行密钥补充,因此链路7-9先不补充,对应(c-1)。然后以(7,9)为源/目的节点计算一条最短密钥补充路径7-8-9对非直连链路7-9进行补充,考虑到密钥补充链路上的最小密钥资源为6u,如(c-1)的/>所示,所以计算的Dmax,G3中最终的/> 的资源状态,如(c-2)中所示。组节点之间的密钥池的/>和/>资源状态,如下图15所示。首先计算了组节点之间的链路补充到第一层阶所需要的密钥矩阵Dmax,如下图15中的(a)部分所示,但是图15中的(a)部分的密钥矩阵/>中节点3-4密钥不足第一阶别,此时以(3,4)为源/目的节点计算一条最短密钥补充路径3-9-6-4。然后计算补充路径上最小的密钥资源为3u,故重新计算密钥矩阵Dmax,更新后的CN和RN,如下图15中的(b)部分所示。
第二层阶密钥补充:第一层阶密钥补充完之后,密钥矩阵都还有剩余,则开始第二层阶密钥补充过程[20,40]。首先还是重新获取网络节点密钥池的密钥资源状态,以第一层阶更新后的/> 状态为准继续上述步骤。计算单个组内节点间密钥矩阵距离第二阶别所需密钥矩阵Dmax,三个组的Dmax,/>和/>的资源状态,如下图16所示,直至所有的密钥矩阵内的密钥资源都为0。同理,组与组间节点密钥池的/>和/>的资源状态,如下图17所示。
本申请实施例提供的量子密钥的处理方法,首先将密钥池进行密钥阶别划分,从小到大依次遍历每一个密钥阶别,其次获取属于每一个密钥阶别范围内的密钥池资源状态,将网络中生成的密钥资源进行对应密钥池资源补充,对于未达到当前密钥阶别的密钥池,通过计算一条最短密钥补充路径进行资源补充,实现密钥资源合理地利用,同时缩小了各个密钥池资源状态的差距。
如图18所示,本申请的另一个实施例提供了一种量子密钥的处理装置,包括:
第一获取模块,用于在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;
第二获取模块,用于根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;
第三获取模块,用于获取所述量子密钥分发网络中生成的密钥资源;
确定模块,用于根据所述密钥资源状态确定出缺乏密钥资源的密钥池;
补充模块,用于通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充。
在某些实施方式中,第二获取模块具体用于:根据所述节点和链路的信息将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态。
在某些实施方式中,确定模块具体用于根据所述密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;所述第一类密钥池为达到预设级别的密钥池。
在某些实施方式中,对所述缺乏密钥资源的密钥池进行密钥资源补充包括对所述缺乏密钥资源的第一类密钥池进行密钥资源补充。
在某些实施方式中,所述装置还包括:
第二确定模块,用于根据所述密钥资源状态从第二类密钥池中确定出缺乏密钥资源的第二类密钥池;所述第二类密钥池为未达到所述预设级别的密钥池;
第一计算模块,用于计算一条最短密钥补充路径;
第二补充模块,用于通过所述最短密钥补充路径,对所述缺乏密钥资源的第二类密钥池进行密钥资源补充。
在某些实施方式中,所述装置还包括:
第一判断模块,用于判断所述生成的密钥资源中是否存在剩余密钥;
第三补充模块,用于若存在,则将所述剩余密钥补充至下一级别的密钥池;
更新模块,用于否则,结束密钥资源补充,更新所述量子密钥分发网络的密钥池资源状态。
在某些实施方式中,在所述在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息之前,所述装置还包括:
第四获取模块,用于响应于量子业务的请求,获取量子密钥分发网络中节点和链路的信息;
第二计算模块,用于根据所述节点和链路的信息,在所述量子业务的源节点和目的节点之间计算出一组路径信息并存储,得到路径集合;
第三计算模块,用于从所述路径集合中选择一条链路,计算被选链路上的密钥池资源;
第二判断模块,用于选择所述被选链路上最小的密钥数,判断所述被选链路是否满足所述量子业务的加密需求;
分配模块,用于若满足,则根据所述量子业务加密所需的密钥量,为所述量子业务分配所述被选链路上的密钥池资源。
在某些实施方式中,第三获取模块还包括:
第一计算单元,用于计算相邻两个量子业务间的时间间隔和密钥生成速率;
第二计算单元,用于根据所述时间间隔和所述密钥生成速率,计算链路间生成的密钥总量。
在某些实施方式中,所述各所述密钥池的密钥资源状态是通过二维矩阵表示的;所述获取所述量子密钥分发网络中生成的密钥资源,还包括利用二维矩阵来表示所述密钥总量。
本申请的另一个实施例提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现上述任一实施方式的量子密钥的处理方法。如图19所示,所述电子设备10可以包括:处理器100,存储器101,总线102和通信接口103,所述处理器100、通信接口103和存储器101通过总线102连接;所述存储器101中存储有可在所述处理器100上运行的计算机程序,所述处理器100运行所述计算机程序时执行本申请前述任一实施方式所提供的方法。
其中,存储器101可能包含高速随机存取存储器(RAM:Random Access Memory),也可能还可以包括非不稳定的存储器(non-volatile memory),例如至少一个磁盘存储器。通过至少一个通信接口103(可以是有线或者无线)实现该系统网元与至少一个其他网元之间的通信连接,可以使用互联网、广域网、本地网、城域网等。
总线102可以是ISA总线、PCI总线或EISA总线等。所述总线可以分为地址总线、数据总线、控制总线等。其中,存储器101用于存储程序,所述处理器100在接收到执行指令后,执行所述程序,前述本申请实施例任一实施方式揭示的所述方法可以应用于处理器100中,或者由处理器100实现。
处理器100可能是一种集成电路芯片,具有信号的处理能力。在实现过程中,上述方法的各步骤可以通过处理器100中的硬件的集成逻辑电路或者软件形式的指令完成。上述的处理器100可以是通用处理器,可以包括中央处理器(Central Processing Unit,简称CPU)、网络处理器(Network Processor,简称NP)等;还可以是数字信号处理器(DSP)、专用集成电路(ASIC)、现成可编程门阵列(FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件。可以实现或者执行本申请实施例中的公开的各方法、步骤及逻辑框图。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本申请实施例所公开的方法的步骤可以直接体现为硬件译码处理器执行完成,或者用译码处理器中的硬件及软件模块组合执行完成。软件模块可以位于随机存储器,闪存、只读存储器,可编程只读存储器或者电可擦写可编程存储器、寄存器等本领域成熟的存储介质中。该存储介质位于存储器101,处理器100读取存储器101中的信息,结合其硬件完成上述方法的步骤。
本申请实施例提供的电子设备与本申请实施例提供的方法出于相同的发明构思,具有与其采用、运行或实现的方法相同的有益效果。
本申请的另一个实施例提供了一种计算机可读存储介质,其上存储有计算机程序,该程序被处理器执行,以实现上述任一实施方式的量子密钥的处理方法。参考图20所示,其示出的计算机可读存储介质为光盘20,其上存储有计算机程序(即程序产品),所述计算机程序在被处理器运行时,会执行前述任意实施方式所提供的方法。
需要说明的是,所述计算机可读存储介质的例子还可以包括,但不限于相变内存(PRAM)、静态随机存取存储器(SRAM)、动态随机存取存储器(DRAM)、其他类型的随机存取存储器(RAM)、只读存储器(ROM)、电可擦除可编程只读存储器(EEPROM)、快闪记忆体或其他光学、磁性存储介质,在此不再一一赘述。
本申请的上述实施例提供的计算机可读存储介质与本申请实施例提供的方法出于相同的发明构思,具有与其存储的应用程序所采用、运行或实现的方法相同的有益效果。
需要说明的是:
术语“模块”并非意图受限于特定物理形式。取决于具体应用,模块可以实现为硬件、固件、软件和/或其组合。此外,不同的模块可以共享公共组件或甚至由相同组件实现。不同模块之间可以存在或不存在清楚的界限。
在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示例一起使用。根据上面的描述,构造这类装置所要求的结构是显而易见的。此外,本申请也不针对任何特定编程语言。应当明白,可以利用各种编程语言实现在此描述的本申请的内容,并且上面对特定语言所做的描述是为了披露本申请的最佳实施方式。
应该理解的是,虽然附图的流程图中的各个步骤按照箭头的指示依次显示,但是这些步骤并不是必然按照箭头指示的顺序依次执行。除非本文中有明确的说明,这些步骤的执行并没有严格的顺序限制,其可以以其他的顺序执行。而且,附图的流程图中的至少一部分步骤可以包括多个子步骤或者多个阶段,这些子步骤或者阶段并不必然是在同一时刻执行完成,而是可以在不同的时刻执行,其执行顺序也不必然是依次进行,而是可以与其他步骤或者其他步骤的子步骤或者阶段的至少一部分轮流或者交替地执行。
以上所述实施例仅表达了本申请的实施方式,其描述较为具体和详细,但并不能因此而理解为对本申请专利范围的限制。应当指出的是,对于本领域的普通技术人员来说,在不脱离本申请构思的前提下,还可以做出若干变形和改进,这些都属于本申请的保护范围。因此,本申请的保护范围应以所附权利要求为准。
Claims (7)
1.一种量子密钥的处理方法,其特征在于,包括:
在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;
根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;
获取所述量子密钥分发网络中生成的密钥资源;
根据所述密钥资源状态确定出缺乏密钥资源的密钥池;
通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充;
所述根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态包括:根据所述节点和链路的信息将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态;
所述根据所述密钥资源状态确定出缺乏密钥资源的密钥池包括根据所述密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;所述第一类密钥池为达到预设级别的密钥池;
所述对所述缺乏密钥资源的密钥池进行密钥资源补充包括对所述缺乏密钥资源的第一类密钥池进行密钥资源补充;
根据所述密钥资源状态从第二类密钥池中确定出缺乏密钥资源的第二类密钥池;所述第二类密钥池为未达到所述预设级别的密钥池;
计算一条最短密钥补充路径;
通过所述最短密钥补充路径,对所述缺乏密钥资源的第二类密钥池进行密钥资源补充;
在所述在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息之前,所述方法还包括:
响应于量子业务的请求,获取量子密钥分发网络中节点和链路的信息;
根据所述节点和链路的信息,在所述量子业务的源节点和目的节点之间计算出一组路径信息并存储,得到路径集合;
从所述路径集合中选择一条链路,计算被选链路上的密钥池资源;
选择所述被选链路上最小的密钥数,判断所述被选链路是否满足所述量子业务的加密需求;
若满足,则根据所述量子业务加密所需的密钥量,为所述量子业务分配所述被选链路上的密钥池资源。
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
判断所述生成的密钥资源中是否存在剩余密钥;
若存在,则将所述剩余密钥补充至下一级别的密钥池;
否则,结束密钥资源补充,更新所述量子密钥分发网络的密钥池资源状态。
3.根据权利要求1所述的方法,其特征在于,所述获取所述量子密钥分发网络中生成的密钥资源,包括:
计算相邻两个量子业务间的时间间隔和密钥生成速率;
根据所述时间间隔和所述密钥生成速率,计算链路间生成的密钥总量。
4.根据权利要求3所述的方法,其特征在于,所述各所述密钥池的密钥资源状态是通过二维矩阵表示的;所述获取所述量子密钥分发网络中生成的密钥资源,还包括利用二维矩阵来表示所述密钥总量。
5.一种量子密钥的处理装置,其特征在于,包括:
第一获取模块,用于在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息;
第二获取模块,用于根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态;
第三获取模块,用于获取所述量子密钥分发网络中生成的密钥资源;
确定模块,用于根据所述密钥资源状态确定出缺乏密钥资源的密钥池;
补充模块,用于通过所述生成的密钥资源对所述缺乏密钥资源的密钥池进行密钥资源补充;
所述根据所述节点和链路的信息获取各所述节点的密钥池的密钥资源状态包括:根据所述节点和链路的信息将所有所述密钥池进行级别划分,按照级别从小到大的顺序依次遍历每一个所述密钥池,获取各所述密钥池的密钥资源状态;
所述根据所述密钥资源状态确定出缺乏密钥资源的密钥池包括根据所述密钥资源状态从第一类密钥池中确定出缺乏密钥资源的第一类密钥池;所述第一类密钥池为达到预设级别的密钥池;
所述对所述缺乏密钥资源的密钥池进行密钥资源补充包括对所述缺乏密钥资源的第一类密钥池进行密钥资源补充;
第二确定模块,用于根据所述密钥资源状态从第二类密钥池中确定出缺乏密钥资源的第二类密钥池;所述第二类密钥池为未达到所述预设级别的密钥池;
第一计算模块,用于计算一条最短密钥补充路径;
第二补充模块,用于通过所述最短密钥补充路径,对所述缺乏密钥资源的第二类密钥池进行密钥资源补充;
在所述在为量子业务分配密钥池资源之后,获取量子密钥分发网络中的节点和链路的信息之前,所述装置还包括:
第四获取模块,用于响应于量子业务的请求,获取量子密钥分发网络中节点和链路的信息;
第二计算模块,用于根据所述节点和链路的信息,在所述量子业务的源节点和目的节点之间计算出一组路径信息并存储,得到路径集合;
第三计算模块,用于从所述路径集合中选择一条链路,计算被选链路上的密钥池资源;
第二判断模块,用于选择所述被选链路上最小的密钥数,判断所述被选链路是否满足所述量子业务的加密需求;
分配模块,用于若满足,则根据所述量子业务加密所需的密钥量,为所述量子业务分配所述被选链路上的密钥池资源。
6.一种电子设备,其特征在于,包括存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序,所述处理器执行所述程序,以实现如权利要求1-4中任一所述的量子密钥的处理方法。
7.一种计算机可读存储介质,其上存储有计算机程序,其特征在于,该程序被处理器执行,以实现如权利要求1-4中任一所述的量子密钥的处理方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111127483.8A CN114006694B (zh) | 2021-09-26 | 2021-09-26 | 量子密钥的处理方法、装置、电子设备及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202111127483.8A CN114006694B (zh) | 2021-09-26 | 2021-09-26 | 量子密钥的处理方法、装置、电子设备及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114006694A CN114006694A (zh) | 2022-02-01 |
| CN114006694B true CN114006694B (zh) | 2023-09-22 |
Family
ID=79921615
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111127483.8A Active CN114006694B (zh) | 2021-09-26 | 2021-09-26 | 量子密钥的处理方法、装置、电子设备及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114006694B (zh) |
Families Citing this family (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114598462B (zh) * | 2022-02-28 | 2023-10-17 | 西安电子科技大学 | 量子城域网中基于动态调整的端到端密钥生成方法 |
| CN115085920B (zh) * | 2022-07-15 | 2024-01-16 | 矩阵时光数字科技有限公司 | 一种密钥管理方法、装置、设备、系统及介质 |
| CN116112165B (zh) * | 2023-04-11 | 2023-08-01 | 广东广宇科技发展有限公司 | 一种基于密钥池状态的密钥动态划分管理方法 |
| CN117176345B (zh) * | 2023-10-31 | 2024-01-09 | 中电信量子科技有限公司 | 量子密码网络密钥中继动态路由方法、装置及系统 |
Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108023725A (zh) * | 2016-11-04 | 2018-05-11 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
| CN108134669A (zh) * | 2018-01-11 | 2018-06-08 | 北京国电通网络技术有限公司 | 面向电力调度业务的量子密钥动态供给方法及管理系统 |
| CN110445604A (zh) * | 2019-07-01 | 2019-11-12 | 北京邮电大学 | 基于sdn的qkd网络及其业务请求的发送方法 |
| US10491576B1 (en) * | 2017-06-16 | 2019-11-26 | Intuit Inc. | System and method for security breach response using hierarchical cryptographic key management |
| CN112422284A (zh) * | 2020-11-19 | 2021-02-26 | 北京电子科技学院 | 一种量子通信系统 |
| CN112769550A (zh) * | 2020-12-29 | 2021-05-07 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配系统 |
| CN113179514A (zh) * | 2021-03-25 | 2021-07-27 | 北京邮电大学 | 中继共存场景下的量子密钥分发方法及相关设备 |
-
2021
- 2021-09-26 CN CN202111127483.8A patent/CN114006694B/zh active Active
Patent Citations (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108023725A (zh) * | 2016-11-04 | 2018-05-11 | 华为技术有限公司 | 一种基于集中管理与控制网络的量子密钥中继方法和装置 |
| US10491576B1 (en) * | 2017-06-16 | 2019-11-26 | Intuit Inc. | System and method for security breach response using hierarchical cryptographic key management |
| CN108134669A (zh) * | 2018-01-11 | 2018-06-08 | 北京国电通网络技术有限公司 | 面向电力调度业务的量子密钥动态供给方法及管理系统 |
| CN110445604A (zh) * | 2019-07-01 | 2019-11-12 | 北京邮电大学 | 基于sdn的qkd网络及其业务请求的发送方法 |
| CN112422284A (zh) * | 2020-11-19 | 2021-02-26 | 北京电子科技学院 | 一种量子通信系统 |
| CN112769550A (zh) * | 2020-12-29 | 2021-05-07 | 中天通信技术有限公司 | 面向数据中心的负载均衡的量子密钥资源分配系统 |
| CN113179514A (zh) * | 2021-03-25 | 2021-07-27 | 北京邮电大学 | 中继共存场景下的量子密钥分发方法及相关设备 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114006694A (zh) | 2022-02-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114006694B (zh) | 量子密钥的处理方法、装置、电子设备及存储介质 | |
| US11334382B2 (en) | Technologies for batching requests in an edge infrastructure | |
| CN108804706B (zh) | 一种区块链数据处理方法、装置、设备及存储介质 | |
| US11972001B2 (en) | Technologies for securely providing remote accelerators hosted on the edge to client compute devices | |
| CN113179514B (zh) | 中继共存场景下的量子密钥分发方法及相关设备 | |
| EP3716107B1 (en) | Technologies for accelerated orchestration and attestation with edge device trust chains | |
| CN112910639B (zh) | 多域场景下的量子加密业务传输方法及相关设备 | |
| CN105190558A (zh) | 云资源的加速实例化 | |
| Yang et al. | Timely-throughput optimal coded computing over cloud networks | |
| US20220224614A1 (en) | Technologies for capturing processing resource metrics as a function of time | |
| CN106411558A (zh) | 一种数据流量限制的方法及系统 | |
| CN115514696B (zh) | 一种传递算力资源信息的方法、装置及设备 | |
| CN115277429B (zh) | 基于灵活以太网的电力通信业务资源分配方法及装置 | |
| Sadegh et al. | A two-phase virtual machine placement policy for data-intensive applications in cloud | |
| US9282041B2 (en) | Congestion profiling of computer network devices | |
| CN113946857B (zh) | 一种基于数据路由的分布式跨链调度方法及装置 | |
| Xu et al. | A mathematical model and dynamic programming based scheme for service function chain placement in NFV | |
| Su et al. | Efficient algorithms for scheduling multiple bulk data transfers in inter‐datacenter networks | |
| CN111147232A (zh) | Qkd通信节点及其量子密钥资源迁移方法和装置 | |
| KR102263461B1 (ko) | 확장 가능한 p2p 오버레이 구조에 기반한 블록 데이터 멀티 캐스팅 방법 및 장치 | |
| Hou et al. | Virtual network embedding for power savings of servers and switches in elastic data center networks | |
| CN113392350B (zh) | 页面路由处理方法、装置、设备及存储介质 | |
| CN113037811B (zh) | 部署策略选择方法及装置 | |
| CN112887144B (zh) | 一种基于Argon2散列函数与SDN的智慧城市混合网络系统 | |
| WO2023123171A1 (zh) | 基于模式互补的虚拟网络映射的方法、装置和计算机可读存储介质 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |