CN114142993B - 密钥分发网络的故障恢复方法、装置、电子设备及介质 - Google Patents

密钥分发网络的故障恢复方法、装置、电子设备及介质 Download PDF

Info

Publication number
CN114142993B
CN114142993B CN202111014317.7A CN202111014317A CN114142993B CN 114142993 B CN114142993 B CN 114142993B CN 202111014317 A CN202111014317 A CN 202111014317A CN 114142993 B CN114142993 B CN 114142993B
Authority
CN
China
Prior art keywords
domain
link
abstract
physical
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN202111014317.7A
Other languages
English (en)
Other versions
CN114142993A (zh
Inventor
郁小松
吕嘉琪
赵永利
李亚杰
张�杰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Beijing University of Posts and Telecommunications
Original Assignee
Beijing University of Posts and Telecommunications
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Beijing University of Posts and Telecommunications filed Critical Beijing University of Posts and Telecommunications
Priority to CN202111014317.7A priority Critical patent/CN114142993B/zh
Publication of CN114142993A publication Critical patent/CN114142993A/zh
Application granted granted Critical
Publication of CN114142993B publication Critical patent/CN114142993B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/22Alternate routing
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L45/00Routing or path finding of packets in data switching networks
    • H04L45/28Routing or path finding of packets in data switching networks using route fault recovery
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Abstract

本申请公开了一种密钥分发网络的故障恢复方法、装置、电子设备及介质。本申请中,可以在检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定网络故障对应于第一域间抽象链路,删除第一域间抽象链路,并以第一物理链路转发密钥资源;若确定网络故障对应于第一域内抽象链路,基于第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对密钥资源进行转发。

Description

密钥分发网络的故障恢复方法、装置、电子设备及介质
技术领域
本申请中涉及数据处理技术,尤其是一种密钥分发网络的故障恢复方法、装置、电子设备及介质。
背景技术
随着量子密钥分发网络的发展,由于网络规模的扩大、不同路由和地理区域的划分,考虑各运营商管理网络的机密性及互操作性的约束,网络通常被划分为多个域。
进一步的,为了保障各个域信息的隐私性,通常通过拓扑聚合的方式建立网络抽象模型,配置网络控制器只公开抽象后的节点与链接。同时,在量子密钥分发网络中,由于量子密钥分发速率较低,通常建立量子密钥池存储密钥资源从而实现按需分配密钥,提升密钥资源的利用率,解决现有技术中通信业务加密效率低和密钥资源利用率不高两大问题。
在多域场景下,基于域隐私性及自治性,拥有不同技术细节、操作策略的网络运营商通常要求保证域内网络拓扑和资源信息的机密性,故障业务的恢复不可能在全域拓扑及全局密钥资源完全共享的情况下进行,传统的方法也并没有考虑域间链路得约束性因素,导致故障恢复的效率不高。
发明内容
本申请实施例提供一种密钥分发网络的故障恢复方法、装置、电子设备及介质,其中,根据本申请实施例的一个方面,提供的一种密钥分发网络的故障恢复方法,其特征在于,包括:
若检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;
若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;
若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。
可选地,在基于本申请上述方法的另一个实施例中,所述确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源,包括:
确定所述网络故障对应于所述第一域间抽象链路,在资源抽象平面上删除所述第一域间抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第一跨域抽象链路;
利用Ksp算法将所述第一抽象链路映射到域内底层中,得到所述第一物理链路,并以所述第一物理链路转发所述密钥资源。
可选地,在基于本申请上述方法的另一个实施例中,所述基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路可以映射到与所述第一域内抽象链路不相交的物理路径,则将所述网络故障路径上承载的量子密钥资源分发转换到所述不相交的物理路径上。
可选地,在基于本申请上述方法的另一个实施例中,所述基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路不可以映射到与所述第一域内抽象链路不相交的物理路径,在资源抽象平面上删除所述第一域内抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第二跨域抽象链路;
利用Ksp算法,将所述第二抽象链路映射到域内底层中,得到所述第二物理链路,并以所述第一物理链路转发所述密钥资源。
可选地,在基于本申请上述方法的另一个实施例中,在所述确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路之前,还包括:
构建多域量子密钥分发网络的资源抽象平面,所述资源抽象平面上包括网络物理节点,其中所述网络物理节点为边界节点或网关节点;
将所述网络物理节点抽象拓扑为抽象节点,并将各个抽象节点互联形成所述抽象链路。
可选地,在基于本申请上述方法的另一个实施例中,在所述将各个抽象节点互联形成所述抽象链路之后,还包括:
获取多个抽象链路标签,其中各所述抽象链路标签对应于其与抽象路径映射到的物理路径距离、平均链路剩余带宽百分比、剩余密钥数量以及最低密钥生成速率;
将所述多个抽象链路标签聚合为抽象链路标签集合,并利用所述抽象链路标签集合更新所述资源抽象平面。
可选地,在基于本申请上述方法的另一个实施例中,在所述利用所述抽象链路标签集合更新所述资源抽象平面之后,还包括:
以最小值标签优先原则,从所述资源抽象平面中选择一个满足密钥业务需的跨域抽象路径,其中所述跨域抽象路径包括多个子域抽象路径段;
采用Ksp算法,对多个所述子域抽象路径段映射到各个域底层的物理链路上,得到用于进行跨域业务传输的物理路径;
采用First Fit算法对所述物理路径进行资源分配。
其中,根据本申请实施例的又一个方面,提供的一种密钥分发网络的故障恢复装置,其特征在于,包括:
检测模块,被配置为若检测到由于发生网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;
第一转发模块,被配置为若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;
第二转发模块,被配置为若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。
根据本申请实施例的又一个方面,提供的一种电子设备,包括:
存储器,用于存储可执行指令;以及
显示器,用于与所述存储器显示以执行所述可执行指令从而完成上述任一所述密钥分发网络的故障恢复方法的操作。
根据本申请实施例的还一个方面,提供的一种计算机可读存储介质,用于存储计算机可读取的指令,所述指令被执行时执行上述任一所述密钥分发网络的故障恢复方法的操作。
本申请中,可以在检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定网络故障对应于第一域间抽象链路,删除第一域间抽象链路,并以第一物理链路转发密钥资源;若确定网络故障对应于第一域内抽象链路,基于第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对密钥资源进行转发。通过应用本申请的技术方案,可以通过构建多域量子密钥分发网络的资源抽象平面,从而实现不同地理域、不同路由域、不同设备厂商之间的量子密钥分发网络故障恢复。并在考虑域间链路约束性的情况下实现跨域业务的故障处理及业务恢复,大大提高了多域场景下端到端量子密钥分发的可靠性,同时保障了密钥资源的供给。
下面通过附图和实施例,对本申请的技术方案做进一步的详细描述。
附图说明
构成说明书的一部分的附图描述了本申请的实施例,并且连同描述一起用于解释本申请的原理。
参照附图,根据下面的详细描述,可以更加清楚地理解本申请,其中:
图1为本申请提出的一种密钥分发网络的故障恢复方法示意图;
图2-图6为本申请提出的一种多域量子密钥分发网络的系统示意图;
图7为本申请提出的密钥分发网络的故障恢复电子装置的结构示意图;
图8为本申请提出的密钥分发网络的故障恢复电子设备的结构示意图。
具体实施方式
现在将参照附图来详细描述本申请的各种示例性实施例。应注意到:除非另外具体说明,否则在这些实施例中阐述的部件和步骤的相对布置、数字表达式和数值不限制本申请的范围。
同时,应当明白,为了便于描述,附图中所示出的各个部分的尺寸并不是按照实际的比例关系绘制的。
以下对至少一个示例性实施例的描述实际上仅仅是说明性的,不作为对本申请及其应用或使用的任何限制。
对于相关领域普通技术人员已知的技术、方法和设备可能不作详细讨论,但在适当情况下,所述技术、方法和设备应当被视为说明书的一部分。
应注意到:相似的标号和字母在下面的附图中表示类似项,因此,一旦某一项在一个附图中被定义,则在随后的附图中不需要对其进行进一步讨论。
另外,本申请各个实施例之间的技术方案可以相互结合,但是必须是以本领域普通技术人员能够实现为基础,当技术方案的结合出现相互矛盾或无法实现时应当认为这种技术方案的结合不存在,也不在本申请要求的保护范围之内。
需要说明的是,本申请实施例中所有方向性指示(诸如上、下、左、右、前、后……)仅用于解释在某一特定姿态(如附图所示)下各部件之间的相对位置关系、运动情况等,如果该特定姿态发生改变时,则该方向性指示也相应地随之改变。
下面结合图1-图6来描述根据本申请示例性实施方式的用于进行密钥分发网络的故障恢复方法。需要注意的是,下述应用场景仅是为了便于理解本申请的精神和原理而示出,本申请的实施方式在此方面不受任何限制。相反,本申请的实施方式可以应用于适用的任何场景。
本申请还提出一种密钥分发网络的故障恢复方法、装置、目标终端及介质。
图1示意性地示出了根据本申请实施方式的一种密钥分发网络的故障恢复方法的流程示意图。如图1所示,该方法应用于光电混合交换网络,包括:
S101,若检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路。
随着量子密钥分发网络的发展,由于网络规模的扩大、不同路由和地理区域的划分,考虑各运营商管理网络的机密性及互操作性的约束,网络通常被划分为多个域。为了保障各个域信息的隐私性,通常通过拓扑聚合的方式建立网络抽象模型,配置网络控制器只公开抽象后的节点与链接。同时,在量子密钥分发网络中,由于量子密钥分发速率较低,通常建立量子密钥池存储密钥资源从而实现按需分配密钥,提升密钥资源的利用率,解决现有技术中通信业务加密效率低和密钥资源利用率不高两大问题。
进一步的,目前的研究只针对单域量子密钥分发网络中的故障问题,常见的做法是为端到端的量子密钥分发过程建立一条工作路径和一条保护路径,同时为两条路径预留资源,当量子密钥分发发生故障时,动态切换量子密钥分发的路径,将故障路径所承载的量子密钥分发过程转移到另外一条保护路径上,这样会造成一定程度的资源浪费。同时,该方法在多域量子密钥分发网络中也并不适用,因为在多域场景下,基于域隐私性及自治性,拥有不同技术细节、操作策略的网络运营商通常要求保证域内网络拓扑和资源信息的机密性,故障业务的恢复不可能在全域拓扑及全局密钥资源完全共享的情况下进行,传统的方法也并没有考虑域间链路约束性因素。基于此场景,需要考虑不同设备厂商之间的差异性、各个地理域的自治性和资源隐私性、域间链路的约束性因素,解决多域量子密钥分发网络中发生故障后的高效恢复问题。
S102,若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源。
S103,若确定网络故障对应于所述第一域内抽象链路,基于第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对密钥资源进行转发。
进一步的,当检测到网络故障发生时,可以首先由控制平面的全域控制器在网络资源抽象平面上确定发生故障的是域内抽象链路还是域间抽象链路。
其中,对于域间链路故障,直接在资源抽象平面删除相应抽象链路,并在资源抽象平面进行重路由选择;
其中,针对域内链路故障,首先查看该抽象故障链路是否可以映射到底层与故障路径不相交的其他物理路径上,若可以则进行单域内重路由,不能映射则删除对应链路进行重路由。
具体进行说明,由于一条抽象链路可以映射到底层多条物理路径。因此本申请可以查询该抽象路径是否可以映射到底层与故障物理路径不相交的其物理路径上,如果可以映射,则可以直接将故障物理路径承载的量子密钥资源分发转换到该条不相交的物理路径上,如果不可以映射,则在抽象平面上删除该条抽象链路,重新以最小标签优先原则选择跨域抽象路径,再将该抽象路径映射到底层的物理路径上。
具体的,如图2所示,为域间故障量子业务恢复的流程:
当判定故障链路为域间抽象链路时,直接在资源抽象平面上删除相应的故障抽象链路,进行抽象链路标签集合计算。在更新的资源抽象平面上重新以标签最小值优先原则进行跨域抽象路径选择,域控制器得到跨域路径段后采用Ksp算法将各个子域路径段在单域内进行路径计算,从而将抽象链路映射到域内底层的物理路径上来进行量子密钥分发过程并进行资源分配,从而完成域间故障链路恢复。
如图3所示,为域内故障量子业务恢复的流程:
若判定故障链路为域内链路时,查询故障抽象链路是否可以映射到域内底层满足业务加密需求的与故障物理路径不相交的其他路径上。如果故障节点间有其他不相交的物理路径,则进行抽象链路标签集合计算,以标签最小值优先原则进行域内的故障路径转换,其他非故障路径段不变;
进一步的,如果故障节点间不存在其他满足业务加密需求的不相交的物理路径,则映射失败,在网络资源抽象平面上删除该故障抽象链路,在更新后的资源抽象平面上重新以标签最小值优先原则进行跨域抽象路径选择,域控制器得到跨域路径后将各个子域路径段在单域内进行路径计算,采用Ksp算法将抽象链路映射到域内底层的物理路径上来进行量子密钥分发过程并进行资源分配,从而完成域内故障链路恢复。
另外,区别于不分域的情况,多域量子密钥分发组网域间链路与域内链路拥有不同的特征。因此,在故障发生进行恢复操作过程中,可以针对多域场景的特征调整不同的参数组合来进行抽象链路标签集合计算。例如,针对域内链路承载的业务故障,可以赋予跳数系数更高的权重,对于域间链路承载的故障业务恢复,由于域间链路具有量子密钥分发距离长、密钥生成速率低、跳数少的特征,可以赋予密钥生成速率及密钥最小剩余量更高的权重。
本申请中,可以在检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定网络故障对应于第一域间抽象链路,删除第一域间抽象链路,并以第一物理链路转发密钥资源;若确定网络故障对应于第一域内抽象链路,基于第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对密钥资源进行转发。通过应用本申请的技术方案,可以通过构建多域量子密钥分发网络的资源抽象平面,从而实现不同地理域、不同路由域、不同设备厂商之间的量子密钥分发网络故障恢复。并在考虑域间链路约束性的情况下实现跨域业务的故障处理及业务恢复,大大提高了多域场景下端到端量子密钥分发的可靠性,同时保障了密钥资源的供给。
可选的,在本申请一种可能的实施方式中,确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源,包括:
确定所述网络故障对应于所述第一域间抽象链路,在资源抽象平面上删除所述第一域间抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第一跨域抽象链路;
利用Ksp算法将所述第一抽象链路映射到域内底层中,得到所述第一物理链路,并以所述第一物理链路转发所述密钥资源。
可选的,在本申请一种可能的实施方式中,所述基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路可以映射到与所述第一域内抽象链路不相交的物理路径,则以标签最小值为选取规则,得到所述密钥分发网络中最小标签值对应的域内抽象链路;
选择所述域内抽象链路映射到域内底层中,得到所述第二物理链路,并利用所述第二物理链路对所述密钥资源进行转发。
可选的,在本申请一种可能的实施方式中,所述基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路不可以映射到与所述第一域内抽象链路不相交的物理路径,在资源抽象平面上删除所述第一域内抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第二跨域抽象链路;
利用Ksp算法,将所述第二抽象链路映射到域内底层中,得到所述第二物理链路,并以所述第一物理链路转发所述密钥资源。
可选的,在本申请一种可能的实施方式中,在所述确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路之前,还包括:
构建多域量子密钥分发网络的资源抽象平面,所述资源抽象平面上包括网络物理节点,其中所述网络物理节点为边界节点或网关节点;
将所述网络物理节点抽象拓扑为抽象节点,并将各个抽象节点互联形成所述抽象链路。
可选的,在本申请一种可能的实施方式中,在所述将各个抽象节点互联形成所述抽象链路之后,还包括:
获取多个抽象链路标签,其中各所述抽象链路标签对应于其与抽象路径映射到的物理路径距离、平均链路剩余带宽百分比、剩余密钥数量以及最低密钥生成速率;
将所述多个抽象链路标签聚合为抽象链路标签集合,并利用所述抽象链路标签集合更新所述资源抽象平面。
可选的,在本申请一种可能的实施方式中,在所述利用所述抽象链路标签集合更新所述资源抽象平面之后,还包括:
以最小值标签优先原则,从所述资源抽象平面中选择一个满足密钥业务需的跨域抽象路径,其中所述跨域抽象路径包括多个子域抽象路径段;
采用Ksp算法,对多个所述子域抽象路径段映射到各个域底层的物理链路上,得到用于进行跨域业务传输的物理路径;
采用First Fit算法对所述物理路径进行资源分配。
首先,本申请需要给定多域网络底层物理拓扑结构,首先确认各个域拓扑的边界节点1、3、5、6、7、8、9、10,假设各个域没有其他拓扑聚合的约束,则采用灰色拓扑聚合类型,即域内各个边界节点抽象成虚拟节点,节点之间互联构成域内拓扑聚合网络,域间链路由于其自身的约束条件直接保留。
进一步的,需要进行抽象链路标签集合计算,其中,基于对各个域内密钥池资源安全性的考虑,针对网络中的资源信息计算抽象链路标签集合作为抽象链路的参数,为后续跨域加密业务传输过程提供抽象视图。抽象链路标签集合计算:标签集合中元素的个数等于该抽象路径可映射到底层物理路径的数目,其中每个元素标签值与抽象路径映射到的该条物理路径距离、平均链路剩余带宽百分比成正比,与该条路径上剩余密钥量最小的链路的密钥的数量、该条路径上最低密钥生成速率成反比。
需要说明的是,对于域间和域内链路,由于二者特性的不同,在选择恢复路径时可以调整不同的参数组合,例如,针对域内链路承载的业务故障恢复,赋予跳数系数更高的权重,对于域间链路承载的故障业务恢复,由于域间链路具有量子密钥分发距离长、密钥生成速率低、跳数少的特征,赋予密钥生成速率及密钥最小剩余量更高的权重。
一种方式中,密钥池资源表如图5所示,本申请可以对多域量子密钥分发组网的路由进行抽象,每条抽象链路可以映射到底层多条物理路径上,根据域内量子密钥池资源、密钥生成速率、拓扑结构信息计算抽象链路标签集合,可以更好的保护域内资源信息。构建完成的抽象网络资源平面如图6所示。
举例来说,本申请在网络资源抽象平面上,对于跨域请求R(ACN1,ACN6,10),源宿节点分别为ACN1,ACN6,其中加密该数据业务所需的密钥为10unit。以最小标签值优先原则选择跨域抽象路径
ACN1-2-4-6,对于每条抽象链接,在域内采用Ksp算法对物理的底层拓扑进行映射,得到底层物理路径N1-2-3-7-10
其中,对于域内故障业务恢复来说,业务传输过程中,物理节点1、2之间链路发生故障导致物理链路
Figure BDA0003239319630000111
的业务传输中断,密钥分发过程中断,在网络资源抽象平面上判定故障发生在域①边界(抽象)节点1-2之间,域管理器查询抽象链路
Figure BDA0003239319630000112
是否可以映射到底层与故障路径不相交的其他物理路径。
一种方式中,路径
Figure BDA0003239319630000113
满足业务传输需求,则进行域内故障路径转换,将
Figure BDA0003239319630000114
路径上进行的量子密钥分发过程转移到
Figure BDA0003239319630000115
其他路径段不做改变,域内故障恢复。
另外一种方式中,若没有路径满足业务传输需求,则上报网络资源抽象平面删除抽象链路
Figure BDA0003239319630000121
根据权重系数,计算抽象链路标签集合,在更新的资源抽象平面上依据最小值标签优先原则进行跨域业务重路由,选择路径
Figure BDA0003239319630000122
各个域控制器接收抽象路径段在单域内进行路径计算,采用Ksp算法结合密钥资源信息映射最优物理路径N1-4-6-9-10,域内故障恢复。
对于域间故障业务恢复来说,在业务传输过程中,域间物理节点3、7之间链路发生故障导致
Figure BDA0003239319630000124
量子密钥分发及业务传输中断上报网络资源抽象平面删除抽象链路
Figure BDA0003239319630000125
调整权重系数,计算抽象链路标签集合,在更新的资源抽象平面上依据最小值标签优先原则进行跨域业务重路由,选择路径
Figure BDA0003239319630000123
各个域控制器接收抽象路径段在单域内进行路径计算,采用Ksp算法映射最优物理路径N1-4-6-9-10,域间故障恢复。
最后,本申请可以根据域管理器查询网络路由、密钥资源状态,重新计算抽象链路标签集合,抽象节点间的路径若密钥生成速率不满足阈值就从资源抽象平面上删除相关抽象链路,相关的底层物理链路也无法被映射,从而更新资源抽象平面状态信息。
可选的,在本申请的另外一种实施方式中,如图7所示,本申请还提供一种密钥分发网络的故障恢复装置。其中包括:
检测模块201,被配置为若检测到由于发生网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;
第一转发模块202,被配置为若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;
第二转发模块203,被配置为若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。
本申请中,可以在若检测到由于发生网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为确定所述网络故障对应于所述第一域间抽象链路,在资源抽象平面上删除所述第一域间抽象链路;
检测模块201,被配置为在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第一跨域抽象链路;
检测模块201,被配置为利用Ksp算法将所述第一抽象链路映射到域内底层中,得到所述第一物理链路,并以所述第一物理链路转发所述密钥资源。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为如所述第一域内抽象链路可以映射到与所述第一域内抽象链路不相交的物理路径,则以标签最小值为选取规则,得到所述密钥分发网络中最小标签值对应的域内抽象链路;
检测模块201,被配置为选择所述域内抽象链路映射到域内底层中,得到所述第二物理链路,并利用所述第二物理链路对所述密钥资源进行转发。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为如所述第一域内抽象链路不可以映射到与所述第一域内抽象链路不相交的物理路径,在资源抽象平面上删除所述第一域内抽象链路;
检测模块201,被配置为在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第二跨域抽象链路;
检测模块201,被配置为利用Ksp算法,将所述第二抽象链路映射到域内底层中,得到所述第二物理链路,并以所述第一物理链路转发所述密钥资源。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为构建多域量子密钥分发网络的资源抽象平面,所述资源抽象平面上包括网络物理节点;
检测模块201,被配置为将所述网络物理节点抽象拓扑为抽象节点,并将各个抽象节点互联形成所述抽象链路。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为获取多个抽象链路标签,其中各所述抽象链路标签对应于其与抽象路径映射到的物理路径距离、平均链路剩余带宽百分比、剩余密钥数量以及最低密钥生成速率;
检测模块201,被配置为将所述多个抽象链路标签聚合为抽象链路标签集合,并利用所述抽象链路标签集合更新所述资源抽象平面。
在本申请的另外一种实施方式中,检测模块201,还包括:
检测模块201,被配置为以最小值标签优先原则,从所述资源抽象平面中选择一个满足密钥业务需的跨域抽象路径,其中所述跨域抽象路径包括多个子域抽象路径段;
检测模块201,被配置为采用Ksp算法,对多个所述子域抽象路径段映射到各个域底层的物理链路上,得到用于进行跨域业务传输的物理路径;
检测模块201,被配置为采用First Fit算法对所述物理路径进行资源分配。
图8是根据一示例性实施例示出的一种电子设备的逻辑结构框图。例如,电子设备300可以是移动电话,计算机,数字广播终端,消息收发设备,游戏控制台,平板设备,医疗设备,健身设备,个人数字助理等。
在示例性实施例中,还提供了一种包括指令的非临时性计算机可读存储介质,例如包括指令的存储器,上述指令可由电子设备处理器执行以完成上述密钥分发网络的故障恢复方法,该方法包括:若检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。可选地,上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。例如,非临时性计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
在示例性实施例中,还提供了一种应用程序/计算机程序产品,包括一条或多条指令,该一条或多条指令可以由电子设备的处理器执行,以完成上述密钥分发网络的故障恢复方法,该方法包括:若检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发。可选地,上述指令还可以由电子设备的处理器执行以完成上述示例性实施例中所涉及的其他步骤。
图8为计算机设备30的示例图。本领域技术人员可以理解,示意图8仅仅是计算机设备30的示例,并不构成对计算机设备30的限定,可以包括比图示更多或更少的部件,或者组合某些部件,或者不同的部件,例如计算机设备30还可以包括输入输出设备、网络接入设备、总线等。
所称处理器302可以是中央处理单元(Central Processing Unit,CPU),还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。通用处理器可以是微处理器或者该处理器302也可以是任何常规的处理器等,处理器302是计算机设备30的控制中心,利用各种接口和线路连接整个计算机设备30的各个部分。
存储器301可用于存储计算机可读指令303,处理器302通过运行或执行存储在存储器301内的计算机可读指令或模块,以及调用存储在存储器301内的数据,实现计算机设备30的各种功能。存储器301可主要包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序(比如声音播放功能、图像播放功能等)等;存储数据区可存储根据计算机设备30的使用所创建的数据等。此外,存储器301可以包括硬盘、内存、插接式硬盘,智能存储卡(Smart Media Card,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)、至少一个磁盘存储器件、闪存器件、只读存储器(Read-OnlyMemory,ROM)、随机存取存储器(Random Access Memory,RAM)或其他非易失性/易失性存储器件。
计算机设备30集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。基于这样的理解,本发明实现上述实施例方法中的全部或部分流程,也可以通过计算机可读指令来指令相关的硬件来完成,的计算机可读指令可存储于一计算机可读存储介质中,该计算机可读指令在被处理器执行时,可实现上述各个方法实施例的步骤。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。

Claims (8)

1.一种密钥分发网络的故障恢复方法,其特征在于,包括:
若检测到多域量子密钥分发网络中,存在网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;
若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;
若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发;
其中,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路可以映射到与所述第一域内抽象链路不相交的物理路径,则将所述网络故障路径上承载的量子密钥资源分发转换到所述不相交的物理路径上;
其中,在所述确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路之前,还包括:
构建多域量子密钥分发网络的资源抽象平面,所述资源抽象平面上包括网络物理节点,其中所述网络物理节点为边界节点或网关节点;
将所述网络物理节点抽象拓扑为抽象节点,并将各个抽象节点互联形成所述抽象链路。
2.如权利要求1所述的方法,其特征在于,所述确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源,包括:
确定所述网络故障对应于所述第一域间抽象链路,在资源抽象平面上删除所述第一域间抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第一跨域抽象链路;
利用Ksp算法将所述第一跨域抽象链路映射到域内底层中,得到所述第一物理链路,并以所述第一物理链路转发所述密钥资源。
3.如权利要求1所述的方法,其特征在于,所述基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路不可以映射到与所述第一域内抽象链路不相交的物理路径,在资源抽象平面上删除所述第一域内抽象链路;
在所述资源抽象平面上进行抽象链路标签集合计算,获取其中最小标签值对应的多个第二跨域抽象链路;
利用Ksp算法,将所述第二跨域抽象链路映射到域内底层中,得到所述第二物理链路,并以所述第一物理链路转发所述密钥资源。
4.如权利要求1所述的方法,其特征在于,在所述将各个抽象节点互联形成所述抽象链路之后,还包括:
获取多个抽象链路标签,其中各所述抽象链路标签对应于其与抽象路径映射到的物理路径距离、平均链路剩余带宽百分比、剩余密钥数量以及最低密钥生成速率;
将所述多个抽象链路标签聚合为抽象链路标签集合,并利用所述抽象链路标签集合更新所述资源抽象平面。
5.如权利要求4所述的方法,其特征在于,在所述利用所述抽象链路标签集合更新所述资源抽象平面之后,还包括:
以最小值标签优先原则,从所述资源抽象平面中选择一个满足密钥业务需的跨域抽象路径,其中所述跨域抽象路径包括多个子域抽象路径段;
采用Ksp算法,对多个所述子域抽象路径段映射到各个域底层的物理链路上,得到用于进行跨域业务传输的物理路径;
采用First Fit算法对所述物理路径进行资源分配。
6.一种密钥分发网络的故障恢复装置,其特征在于,包括:
检测模块,被配置为若检测到由于发生网络故障导致密钥资源无法转发时,确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路;
第一转发模块,被配置为若确定所述网络故障对应于所述第一域间抽象链路,删除所述第一域间抽象链路,并以第一物理链路转发所述密钥资源;
第二转发模块,被配置为若确定所述网络故障对应于所述第一域内抽象链路,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发;
其中,基于所述第一域内抽象链路是否可以映射到与故障物理路径不相交的物理路径,选择第二物理链路对所述密钥资源进行转发,包括:
如所述第一域内抽象链路可以映射到与所述第一域内抽象链路不相交的物理路径,则将所述网络故障路径上承载的量子密钥资源分发转换到所述不相交的物理路径上;
其中,在所述确定所述网络故障对应于第一域内抽象链路或第一域间抽象链路之前,还包括:
构建多域量子密钥分发网络的资源抽象平面,所述资源抽象平面上包括网络物理节点,其中所述网络物理节点为边界节点或网关节点;
将所述网络物理节点抽象拓扑为抽象节点,并将各个抽象节点互联形成所述抽象链路。
7.一种电子设备,其特征在于,包括:
存储器,用于存储可执行指令;以及,
处理器,用于与所述存储器显示以执行所述可执行指令从而完成权利要求1-5中任一所述密钥分发网络的故障恢复方法的操作。
8.一种计算机可读存储介质,用于存储计算机可读取的指令,其特征在于,所述指令被执行时执行权利要求1-5中任一所述密钥分发网络的故障恢复方法的操作。
CN202111014317.7A 2021-08-31 2021-08-31 密钥分发网络的故障恢复方法、装置、电子设备及介质 Active CN114142993B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202111014317.7A CN114142993B (zh) 2021-08-31 2021-08-31 密钥分发网络的故障恢复方法、装置、电子设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202111014317.7A CN114142993B (zh) 2021-08-31 2021-08-31 密钥分发网络的故障恢复方法、装置、电子设备及介质

Publications (2)

Publication Number Publication Date
CN114142993A CN114142993A (zh) 2022-03-04
CN114142993B true CN114142993B (zh) 2023-04-07

Family

ID=80394408

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202111014317.7A Active CN114142993B (zh) 2021-08-31 2021-08-31 密钥分发网络的故障恢复方法、装置、电子设备及介质

Country Status (1)

Country Link
CN (1) CN114142993B (zh)

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086713A (zh) * 2019-04-17 2019-08-02 北京邮电大学 一种用于广域量子密钥分配网络的分域路由方法
CN112332984A (zh) * 2020-12-01 2021-02-05 国网福建省电力有限公司信息通信分公司 一种基于sdn的广域量子密钥分发路由方法及装置

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN100373866C (zh) * 2004-12-24 2008-03-05 中兴通讯股份有限公司 跨越多域连接的网络故障恢复的方法
CN102740175B (zh) * 2012-06-12 2014-09-24 武汉邮电科学研究院 一种跨域端到端标签交换路径的保护恢复方法
CN106302153B (zh) * 2015-05-11 2020-02-07 中兴通讯股份有限公司 多域控制器、单域控制器、软件定义光网络系统及方法
CN109495300B (zh) * 2018-11-07 2020-05-26 西安交通大学 一种可靠的sdn虚拟网络映射方法
CN110247713B (zh) * 2019-04-26 2021-06-29 北京邮电大学 一种基于量子密钥分发光网络的虚拟业务映射方法及装置
CN112350769B (zh) * 2020-10-10 2021-11-19 中国人民武装警察部队工程大学 一种基于混合群智能的多域光网络组播路由恢复方法
CN112910639B (zh) * 2021-02-05 2022-06-24 北京邮电大学 多域场景下的量子加密业务传输方法及相关设备

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN110086713A (zh) * 2019-04-17 2019-08-02 北京邮电大学 一种用于广域量子密钥分配网络的分域路由方法
CN112332984A (zh) * 2020-12-01 2021-02-05 国网福建省电力有限公司信息通信分公司 一种基于sdn的广域量子密钥分发路由方法及装置

Also Published As

Publication number Publication date
CN114142993A (zh) 2022-03-04

Similar Documents

Publication Publication Date Title
CN101322355B (zh) 一种提供商链路状态桥接以太网节点及其配置和操作的方法,以太网桥接网络
US9887917B2 (en) Port extender
EP2092692B1 (en) Method for exchanging routing information and the establishment of connectivity across multiple network areas
CN101390321B (zh) 用于检测跨路由信息边界的无回路路径的技术
CN109905251B (zh) 网络管理方法、装置、电子设备和存储介质
CN103891209A (zh) 用于转换通用流的机箱控制器
CN101529809A (zh) 链路状态协议控制的网络中路由选择信息的分布式存储
CN102484604A (zh) 用于在网络区域之间路由数据的技术
CN105247826A (zh) 网络设备的网络功能虚拟化
CN103825826B (zh) 一种动态路由的实现方法和装置
CN105009523A (zh) 用于ip/mpls快速重新路由的方法和设备
CN106471779A (zh) 一种虚拟网络的保护方法和装置
CN106789748A (zh) 一种分布式接入复用器dam叠加网络系统及其装置
CN106572012A (zh) 一种vpn frr的实现方法和pe设备
CN114142993B (zh) 密钥分发网络的故障恢复方法、装置、电子设备及介质
WO2021004213A1 (zh) 融合网络的路径标签确定方法及装置、存储介质及电子装置
CN107623633B (zh) 路径建立方法、装置及网络节点
CN104994019A (zh) 一种用于sdn控制器的水平方向接口系统
CN116996585A (zh) 组播通信方法、装置、系统、计算机设备和存储介质
JP2015512588A (ja) パケット交換網における擬似回線拡張グループメッセージング
CN101529829A (zh) 链路状态协议控制以太网网络中的业务工程路径
CN109347734A (zh) 一种报文发送方法、装置、网络设备和计算机可读介质
JP2017529792A (ja) コンピュータネットワークにおけるエンドポイント識別方法
CN109861909A (zh) 一种故障收敛方法及装置
Olver A note on hierarchical hubbing for a generalization of the VPN problem

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant