CN114465723A - 基于软件定义网络和切片的量子加密通信系统及通信方法 - Google Patents
基于软件定义网络和切片的量子加密通信系统及通信方法 Download PDFInfo
- Publication number
- CN114465723A CN114465723A CN202210127416.4A CN202210127416A CN114465723A CN 114465723 A CN114465723 A CN 114465723A CN 202210127416 A CN202210127416 A CN 202210127416A CN 114465723 A CN114465723 A CN 114465723A
- Authority
- CN
- China
- Prior art keywords
- network
- management
- module
- qkd
- slice
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提出了一种基于软件定义网络和网络切片的端到端量子加密通信网络及通信方法,主要解决现有技术需要针对不同加密业务需求布设专有量子密钥分发网络,造成布设成本高的问题。其自上而下包括:应用层、管理与编排层、网络层。所述应用层用于接收加密应用需求、切片定制及接收网络响应;所述管理与编排层负责全局切片管理、网络层信息收集及下发管理信息;所述网络层分为经典网络和量子密钥分发网络,该经典网络用于完成经典网络的加密通信流程,该量子密钥分发网络用于协商量子密钥,并提供至经典网络,以支持加密过程,本发明利用网络切片技术,使同一个量子密钥分发网络可以支持多种加密业务需求,降低了网络布置成本,可用于量子密钥分发。
Description
技术领域
本发明属于通信技术领域,特别涉及一种端到端量子保密通信技术,可用于量子密钥分发网络布置。
背景技术
软件定义网络SDN是一种将网络的数据和控制平面分离的网络架构,将网络分为集中式的控制平面和分布式的转发平面,可以便捷地实现网络的可编程特性,这一特点使得SDN网络逐渐成为现有通信网络的主流架构。然而,随着SDN架构的不断发展,各类安全性问题不断出现,尤其是随着量子计算的发展,传统网络的加密算法收到了严重的挑战,量子安全保密技术与经典网络通信技术的结合已经成为未来通信的发展方向。
量子密钥分发QKD基于海森堡不确定性原理和量子态不可克隆定理,可以从原理上保证密钥的安全性,从而进一步保证信息传输的高安全性。因此,量子密钥分发对于通信安全性的保证对于优化SDN网络的安全性能有着十分重要的意义。量子密钥分发网络虽然能够为加密应用提供安全密钥,但若想要满足大量不同的加密应用的业务需求,需要建立大规模的QKD专有网络,由于QKD设备和光纤链路的布置需要消耗的成本远超经典网络,这对QKD网络通信技术的发展是一个巨大的阻碍。网络切片技术是5G网络为不同应用场景提供差异化服务的关键,通过网络切片,运营商可以在一个通用的网络平台上来构建多个专用的、虚拟化的、互相隔离的逻辑网络,来满足不同客户对网络功能的不同需求。网络切片技术的特点可以很好的提高QKD网络应对大量加密需求的能力,有效降低QKD网络布置的成本。
现有的量子保密通信实现方法结合了SDN网络架构,例如公告号为CN110365476A的专利文献,提供了一种基于SDN的QKD网络以及密钥调度管理方法,该方法体出包含应用层、控制层以及量子层的三层网络结构,并提出了一种关于量子层QKD节点中密钥的调度管理流程。但该由于该加密业务的实现方法只能针对特定的业务需求,针对不同的业务需要布设不同的专有网络,网络布置成本较高。
发明内容
本发明的目的是针对上述现有技术的不足,提出一种基于软件定义网络和切片的量子加密通信系统及通信方法,以优化量子密钥分发QKD网络管理和控制方案,加强QKD网络应对多种类业务的能力,减少网络布置成本。
为实现上述目的,本发明的技术方案如下:
1.一种基于软件定义网络和网络切片的量子加密通信系统,其特征在于,包括:
应用层1,用于处理加密应用的业务需求,其包含加密业务管理模块11、切片定制模块12;
管理与编排层2,用于负责整体网络的故障、配置、计费、性能、安全信息FCAPS的管理,并与经典网络和量子密钥分发QKD网络的管理层进行信息交换,其包括经典网络管理与编排模块21、QKD网络管理与编排模块22和全局切片管理模块23;
网络层3用于负责具体数据的传输和控制,其分为经典网络和量子密钥分发QKD网络两部分:
所述经典网络,包括经典网络管理平面31、软件定义网络SDN控制平面32及网络转发平面33三部分构成,其中:
该经典网络管理平面31,用于负责接收上层传达的管理信息,向下转发至控制平面,同时收集经典网络的网络资源信息以及FCAPS信息,并上传至管理与编排层进行处理,其包含经典网络切片管理模块311、经典网络虚拟化资源管理312以及经典网络管理模块313;
该SDN控制平面32,用于负责解析管理信息,并将相应的控制信息下发至网络转发平面;其包括经典网络访问控制模块321、经典网络配置控制模块322、经典网络路由控制模块323、经典网络会话控制模块324、经典网络切片控制模块325以及SDN控制与管理模块326;
该网络转发平面33,用于接收SDN控制平面下发的控制信息,并进行数据传输;
所述量子密钥分发网络,其由QKD管理平面34、QKD网络控制平面35、密钥管理平面36及量子层37四个部分构成,其中:
该QKD网络管理平面34,用于接收上层传达的管理信息,向下转发至控制平面35,同时收集QKD网络的网络资源信息及FCAPS信息,并上传至管理与编排层2进行处理,其包括QKD网络切片管理模块341、虚拟化资源管理模块342及QKD网络管理模块343;
该QKD网络控制平面35,用于解析管理信息,并将相应的控制信息下发至网络转发层,其包括QKD网络访问控制模块351、QKD网络配置控制模块352、QKD网络路由控制模块353、QKD网络会话控制模块354以及QKD网络切片控制模块355;
该密钥管理平面36,用于量子密钥的中继、存储、供给以及生命周期管理,其包含密钥供给模块361、密钥管理模块362以及密钥管理平面管理模块363;
该量子层37,包含QKD模块371以及QKD链路372两部分,用于量子态的制备、传输以及密钥中继。
2.一种利用权利要求1基于软件定义网络和切片的端到端量子加密系统进行通信的方法,其特征在于,包括:
(A)加密应用认证:
应用层的加密业务管理模块11向管理与编排层2中相应的管理模块发送认证申请,分别由经典网络管理与编排模块21和QKD网络管理与编排模块22进行身份认证:
若认证成功,则经典网络管理与编排模块21和QKD网络管理与编排模块22向应用层加密业务管理模块11返回认证成功响应,执行(B);
否则,经典网络管理与编排模块21和QKD网络管理与编排模块22向加密业务管理模块11返回认证失败响应,结束业务流程;
(B)切片定制:
加密业务成功完成认证后,加密业务管理模块11向应用层的切片定制模块12发送加密业务需求,切片定制模块12根据需求参数进行切片设计,得出需要构筑的切片参数,并将切片参数打包发送给管理与编排层2的全局切片管理模块23;
(C)管理层下发管理信息至网络控制层:
全局切片管理模块23解析所得信息,并将切片参数和相关管理信息分别转发至经典网络管理平面31和QKD网络的管理平面34,该经典网络管理平面和QKD网络的管理平面进一步将具体的管理信息分别下发至经典网络的SDN控制平面32和QKD网络的QKDN控制平面35,进行切片构筑的实际执行;
(D)经典网络的SDN控制平面32和QKD网络的QKDN控制平面35进行虚拟网络切片的建立:
(D1)经典网络切片控制模块325和QKD网络控制平面的切片控制模块355,各自接收管理层的信息,并解析得到切片参数以及管理信息;
(D2)经典网络切片控制模块325向经典网络会话控制模块324请求开启新的会话,用于构建虚拟网络切片,同时QKD网络切片控制模块355向QKD网络会话控制模块354请求开启新的会话,用于构建虚拟网络切片,二者相互独立;
(D3)经典网络会话控制模块324向经典网络路由控制模块323请求构建虚拟网络切片所需的路由信息,同时QKD网络会话控制模块354向QKD网络路由控制模块353请求构建虚拟网络切片所需的路由信息;
(D4)经典网络路由控制模块323向经典网络配置控制模块322发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源,同时QKD网络路由控制模块353向QKD网络配置控制模块352发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源;
(D5)经典网络配置控制模块322通过与经典网络管理平面31的虚拟化资源管理模块312之间的接口,进行资源的调度分配,并将相应信息返回经典网络路由控制模块323;QKD网络配置控制模块352通过与QKD网络管理平面34的虚拟化资源管理模块342之间的接口,进行资源的调度分配,并将相应信息返回QKD网络路由控制模块353;
(D6)经典网络会话控制模块324获取网络路由、网络资源分配情况,以此开启新的会话,并向经典网络切片控制模块325返回会话信息,经典网络切片控制模块325根据会话信息构建虚拟网络切片,同时QKD网络会话控制模块354获取网络路由、网络资源分配情况,以此开启新的会话,并向QKD网络切片控制模块355返回会话信息,QKD网络切片控制模块根据会话信息构建虚拟网络切片;
(D7)虚拟网络切片构筑完成后,经典网络切片控制模块325和QKD网络切片控制模块355分别向经典网络管理模块313和QKD网络管理模块343返回切片构筑成功响应,经典网络管理模块313和QKD网络管理模块343进一步向管理与编排层2的全局切片管理模块23返回切片构筑成功响应,之后,经典网络切片控制模块325向经典网络转发平面33下发控制信息,QKD网络切片控制模块355向QKD网络量子层37下发控制信息,经典网络部分接收到控制信息时,准备开始加密通信过程,QKD网络部分接收到控制信息时,开始进行密钥的循环生成;
(D8)全局切片管理模块23向应用层加密应用管理模块11返回切片构筑完成响应;
(E)加密业务管理模块11向QKD网络请求量子密钥:
(E1)加密业务管理模块11接收到切片构筑成功响应后,向QKD网络密钥管理平面36的密钥供给代理模块361发送密钥请求;
(E2)判断密钥管理平面的密钥管理模块362中的密钥存储子模块Key Storage是否存有足量的密钥:若有,则直接通过相关接口将密钥提供给加密业务管理模块11进行加密通信,并执行(F);
否则,密钥管理模块362向KM控制与管理模块363发送密钥中继请求,从QKD网络中的其他节点中提取密钥,执行(E3);
(E3)密钥中继:
(E31)KM控制与管理模块363向QKD网络控制平面35发送密钥中继请求;
(E32)QKD网络控制平面35的QKD网络会话控制模块354接收密钥中继请求,并查询是否已存在该密钥中继会话:
若已存在,则QKD网络会话控制模块354直接向密钥管理平面控制与管理模块363返回路由信息,执行(F);
若会话不存在,则QKD网络会话控制模块354向QKD网络路由控制模块353转发路由请求,执行(E33);
(E33)QKD网络路由控制模块353向QKD网络配置控制模块352发送请求,获取网络资源分配,进行路由规划,并向QKD网络会话控制354返回路由信息;
(E34)QKD网络会话控制模块354向密钥管理平面控制与管理模块363返回中继路由信息;
(E35)密钥管理平面控制与管理模块363根据获取的密钥中继路由,向QKD网络转发平面下发控制信息,从网络中其他的QKD节点中提取量子密钥,并提供给密钥管理代理模块362中的密钥存储模块,进而通过相关接口传输至应用层的加密业务管理模块11;
(F)加密业务管理模块11利用获取的量子密钥对需要加密的业务信息进行加密,并通过与全局切片管理模块23之间的接口,获取网络切片的路由信息,进行加密传输;
(G)加密业务通信完成后,应用层加密业务管理模块11向管理与编排层2发送资源释放申请,管理与编排层的经典网络管理模块21以及QKD网络管理模块22分别将管理信息下发至对应的软件定义网络SDN控制平面32和QKD网络控制平面35,进行占用的网络资源的释放。
本发明与现有技术相比,具有以下优点:
1.本发明通过在现有的基于SDN的QKD网络管理层和控制层中,加入了切片管理和切片控制模块,使得QKD网络支持网络切片的设计和实现,提高了QKD网络资源的调度管理灵活性。
2.本发明通过在QKD加密通信流程中引入网络切片定制和实现过程,使得加密应用方能够在同一网络设备基础上应对不同的加密需求,降低了QKD网络设备布设成本。
附图说明
图1为本发明系统的整体结构框图;
图2为图1中应用层和管理与编排层的结构关系图;
图3为图1中网络层的经典网络结构关系图;
图4为图1中网络层的QKD网络结构关系图;
图5为本发明方法的实现总流程图;
图6为本发明方法中经典网络切片构筑子流程图;
图7为本发明方法中QKD网络切片构筑子流程图;
图8为本发明方法中量子密钥生成子流程图;
图9为本发明方法中加密业务获取量子密钥的子流程图;
图10为本发明方法中切片资源释放的子流程图。
具体实施方案
下面结合附图对本发明具体实施例作进一步的详细描述。
参照图1,本发明的整体系统结构从上至下分为应用层1、管理与编排层2以及网络层3。
其中:
应用层1,用于处理加密应用的业务需求,通过与管理与编排层2之间的接口交换加密业务信息和网络处理响应,其包含加密业务管理模块11、切片定制模块12;
管理与编排层2,用于负责整体网络的故障、配置、计费、性能、安全信息FCAPS的管理,其包括经典网络管理与编排模块21、QKD网络管理与编排模块22和全局切片管理模块23;
网络层3接收管理与编排层2的管理信息,用于具体数据的传输和流程控制,其分为经典网络和量子密钥分发QKD网络两部分:
所述经典网络,包括经典网络管理平面31、软件定义网络SDN控制平面32及网络转发平面33三部分构成,其中:
经典网络管理平面31,用于负责接收管理与编排层2传达的管理信息,向下转发至SDN控制平面32,同时收集经典网络的网络资源信息以及FCAPS信息,并上传至管理与编排层2进行处理,其包含经典网络切片管理模块311、经典网络虚拟化资源管理312以及经典网络管理模块313;
SDN控制平面32,用于负责解析管理信息,并将相应的控制信息下发至网络转发平面,其包括经典网络访问控制模块321、经典网络配置控制模块322、经典网络路由控制模块323、经典网络会话控制模块324、经典网络切片控制模块325以及SDN控制与管理模块326;
网络转发平面33,用于接收SDN控制平面下发的控制信息,并进行数据传输;
所述QKD网络,其由QKD管理平面34、QKD网络控制平面35、密钥管理平面36及量子层37四个部分构成,其中:
QKD网络管理平面34,用于接收管理与编排层2传达的管理信息,向下转发至QKDN控制平面35,同时收集QKD网络的网络资源信息及FCAPS信息,并上传至管理与编排层2进行处理,其包括QKD网络切片管理模块341、虚拟化资源管理模块342及QKD网络管理模块343;
QKDN控制平面35,用于解析管理信息,并将相应的控制信息下发至网络转发层,其包括QKD网络访问控制模块351、QKD网络配置控制模块352、QKD网络路由控制模块353、QKD网络会话控制模块354以及QKD网络切片控制模块355;
密钥管理平面36,通过与加密业务管理11之间的接口接收密钥请求以及上传密钥,并通过与QKDN控制平面35之间的接口接收控制信息,用于量子密钥的中继、存储、供给以及生命周期管理,其包含密钥供给模块361、密钥管理模块362以及密钥管理平面管理模块363;
量子层37,包含QKD模块371以及QKD链路372两部分,用于量子态的制备、传输以及密钥中继,QKD链路372用于支持量子和经典信号的传输,能够在多点网络中的成对QKD模块之间切换或分离量子信道流量、量子信道同步信号和密钥蒸馏信道流量,以便按需在不同用户之间建立相同的密钥,此外还可以利用网络中的量子中继点来延长QKD距离。
参照图2,所述应用层1及管理与编排层2的功能和结构关系如下:
应用层1中加密业务管理模块11,负责处理本地加密应用或外部应用的加密需求,该模块与切片定制模块12之间通过接口As连接,进行加密需求的传输,并接收切片定制模块12返回的切片参数响应。此外,该模块分别通过接口Ac和Aq与管理与编排层经典网络管理与编排模块21及QKD网络管理与编排模块22之间连接用于进行身份认证过程,该模块还与全局切片管理模块23之间通过接口Asm连接,下发切片构建请求,并接收全局切片管理模块23返回的切片构建响应。该模块还通过接口Akm与网络层QKD网络密钥管理平面36连接,下发密钥请求,以及接收QKD网络密钥管理平面36返回的量子密钥。
应用层1中的切片定制模块12通过接口As与加密业务管理模块11连接,接收加密应用需求,并设计虚拟网络切片的实现细节,比如虚拟网络中需要哪些物理资源、需要经过哪些特定的设备或者通信链路;切片定制完成后,通过接口As向加密业务管理模块11返回响应,再通过接口SSm将携带定制参数的信息传输至全局切片管理模块23。
管理与编排层2中的经典网络管理与编排模块21通过接口Smc与全局切片管理模块23相连以接收切片管理信息,并通过接口Ccm与经典网络管理平面31连接以转发管理信息,此外,该模块还负责经典网络部分的管理,包括FCAPS信息的接收和处理,通过相同接口Ccm与经典网络管理平面31交换相关的管理信息等。
管理与编排层2中的QKD网络管理与编排模块22,通过接口Smq与全局切片管理模块23连接以接收切片管理信息,并通过接口Qqm与QKD网络管理平面34连接以转发管理信息,此外,该模块还负责QKD网络部分的管理,包括FCAPS信息的接收和处理,及通过相同接口Qqm与QKD网络管理平面34交换相关的管理信息;
管理与编排层2中的全局切片管理模块23,负责整体网络的切片流程管理,包括切片管理信息的传输以及生命周期控制等,该模块通过接口Asm和SSm分别与加密应用管理模块11及切片定制模块12连接,接收切片定制参数,并进行切片管理信息设计以及转发,此外,该模块通过接口Smc、Smq分别与经典网络管理与编排模块21以及QKD网络管理与编排模块22相连,进行管理信息的交换和转发。
参照图3,本发明系统中经典网络各平面的模块结构关系如下:
经典网络管理平面31中的经典网络切片管理模块311,用于管理加密业务在经典网络部分的切片实现流程,其包括无线接入网子切片管理子模块3111、承载网子切片管理子模块3112以及核心网子切片管理子模块3113:
该无线接入网子切片管理子模块3111通过接口Cmcs1与经典网络管理模块313相连用以接收管理信息,此外,该子模块还通过接口Rssc与SDN控制平面的经典网络切片控制模块325相连,用于下发管理信息。
该承载网子切片管理子模块3112通过接口Cmcs2与经典网络管理模块313相连用以接收管理信息,此外,该子模块还通过接口Tssc与SDN控制平面的经典网络切片控制模块325相连,用于下发管理信息。
该核心网子切片管理子模块3113通过接口Cmcs3与经典网络管理模块313相连用以接收管理信息,此外,该子模块还通过接口Cssc与SDN控制平面的经典网络切片控制模块325相连,用于下发管理信息。
经典网络管理平面31中的虚拟化资源管理模块312用于负责管理经典网络转发层33的物理资源虚拟化后的虚拟网络功能,其通过接口VC与SDN控制平面的配置控制模块322连接以获取网络设备信息,该模块还通过接口Cmv与经典网络管理模块连接以接收管理信息。
经典网络管理平面31中的经典网络管理模块313,通过接口Ccm与经典网络管理与编排模块21相连,以接收管理与编排层2传达的管理信息,并与经典网络切片管理的三个子模块之间通过独立的接口Cmcs1、Cmcs2、Cmcs3相连,用于将管理信息向下转发至SDN控制平面32的SDN控制器管理模块326,该模块还通过接口Cmv与虚拟化资源管理模块312之间连接,以下发管理信息;此外,该模块收集经典网络的FCAPS信息,并通过接口Ccm上传至经典网络管理与编排模块21进行处理。
SDN控制平面32中的经典网络访问控制模块321,通过接口CmA与经典网络管理模块313连接以交换信息,验证上层业务请求的权限等级,为虚拟网络切片的构建提供支持。
SDN控制平面32中的经典网络配置控制模块322,在网络初始化时获取网络中物理设备的状态,包括终端331、路由器332、交换机333及数据中心334,并通过接口VC与虚拟化资源管理模块312相连以上传网络资源信息;此外,该模块通过接口RC与经典网络路由控制模块323相连以接收资源申请,并依据保存的设备信息进行资源分配。
SDN控制平面32中的经典网络路由控制模块323,用于规划经典网络通信路由,其通过接口RC与经典网络配置控制模块322连接以申请网络资源进行路由规划,并通过接口SR与经典网络会话控制模块324连接,传输路由信息。
SDN控制平面32中的经典网络会话控制模块324,用于开启和终止会话,控制加密信息在经典网络中的传输流程,包括加密过程,提取密钥过程,其通过接口SR与经典网络路由控制模块323连接以请求路由信息,并通过接口SS与经典网络切片控制模块325连接,向切片控制模块325返回会话信息。
SDN控制平面32中的经典网络切片控制模块325,用于控制经典网络切片的构筑过程,其分别通过接口Rssc、Tssc、Cssc与无线接入网子切片管理子模块3111、承载网子切片管理子模块3112以及核心网子切片管理子模块3113连接以接收切片管理信息,通过接口SSw与转发层连接以下发控制信息,并通过接口SS与经典网络会话控制模块324连接,申请开启切片构建会话。
SDN控制平面32中的SDN控制平面控制与管理模块326,负责与经典网络管理平面进行通信,通过与SDN控制平面中该模块以外的每一个控制模块通过单独的接口SDNA、SDNC、SDNR、SDNS、SDNc相连,以总体管控SDN控制器各控制模块功能的执行。
经典网络转发平面33,通过接口SlSw、SeSw分别与SDN控制平面中的经典网络切片控制模块325以及经典网络会话控制模块324连接,接收SDN控制平面32下发的控制信息,并进行数据传输。
参照图4,本发明量子密钥分发QKD网络各平面的模块结构关系如下:
所述QKD网络管理平面34的各模块功能和结构关系:
QKD网络切片管理模块341,用于管理QKD网络切片构建过程,其通过接口QmSm连接QKD网络管理模块343以接收切片参数以及管理信息,此外,该模块还通过接口SmSl与QKDN控制平面的QKD网络切片控制模块355连接以转发管理信息。
虚拟化资源管理模块342,用于管理数据平面物理资源虚拟化后的网络资源,例如QKD节点、QKD链路、可信中继等,并通过接口QVC与QKDN控制平面35的QKD网络配置控制模块352通信以获取网络配置信息。
QKD网络管理模块343用于管理QKD网络密钥协商以及中继过程,并获取网络FCAPS信息,该模块通过接口Qqm与QKD网络管理与编排模块22相连以接收管理与编排层2传达的管理信息,并将该管理信息通过接口QmQn向下转发至QKDN控制平面35的QKDN控制器控制与管理模块356,此外,该模块通过接口QmSm和QmQV与QKD网络切片管理模块341以及虚拟化资源管理模块342连接以转发上层管理信息,同时收集QKD网络的网络资源信息及FCAPS信息,并通过接口Qqm上传至管理与编排层2进行处理。
所述QKDN控制平面35的各模块功能和结构关系:
QKD网络访问控制模块351,提供验证网络功能和功能元素的声明身份,即身份验证的功能,并根据强制策略即授权通过访问权限将它们限制在预先授权的节点中,该模块通过接口QmA与QKD网络管理模块343连接以交换信息。
QKD网络配置控制模块352,通过接口QCq与量子层37连接以获取QKD模块371和QKD链路372的配置信息,以及这些组件的状态,例如,运行中、停止运行、待机。如果通知了包括故障诊断结果的警报,则进行QKD链路和密钥管理链路的重新配置,该模块还通过接口QVC与QKD网络虚拟化资源管理模块342连接,将网络设备的配置信息上传,此外,该模块通过接口QRC与QKD网络路由控制353模块相连,用于提供网络配置和资源信息;
QKD网络路由控制模块353,它在量子层37的两个节点之间提供关键中继路由,并根据量子层和密钥管理层的故障、性能和可用性状态执行关键中继的重新路由,以确保关键中继和密钥供应的持续,该模块通过接口QRC与QKD网络配置控制模块352连接以进行网络资源申请,并通过接口QSR与QKD网络会话控制模块354连接以返回路由信息;
QKD网络会话控制模块354,用于支持KMA模块362的功能,控制关键中继的会话过程,同时支持KSA模块361为多个加密应用程序提供密钥,该模块通过接口QSR与QKD网络路由控制模块353连接以请求路由信息,通过接口QSS与QKD网络切片控制模块355连接以传输会话信息,此外,该模块通过接口QSKm与KMA模块362连接以支持密钥中继过程的会话控制。
QKD网络切片控制模块355,负责下发切片管理信息,其通过接口QSS与QKD网络会话控制模块354连接以获取会话信息,在获取了会话信息以及网络资源分配信息之后,进行虚拟网络切片的构建,切片构建完成后,该模块通过与量子层37之间的接口QSq下发切片控制信息;
QKDN控制平面控制与管理模块356,负责与QKD网络管理平面34进行通信,通过接口QKDNA、QKDNC、QKDNR、QKDNS、QKDNSl与该平面其他模块连接,总体管控QKDN控制器各控制模块功能的执行。
所述密钥管理平面36的各模块功能和结构关系:
密钥供给代理KSA模块361,负责密钥提供功能的管理,其通过接口KsSt与KMA模块中的密钥存储子模块3622连接,以提取储存的量子密钥,此外,该模块通过接口KsApp与加密业务管理模块11连接,提供量子密钥。
密钥管理代理KMA模块362,负责管理密钥生命周期中的各种信息,其包括密钥中继3621、密钥存储3622、密钥生命周期管理3623三个子模块:
该密钥中继子模块3621,它通过QKD链路372以高度安全的方式在QKDN中从一端到另一端中继密钥,并采用OTP方式加密,该子模块通过接口QSKm与QKD网络会话控制模块相连以获取密钥中继路由,并通过接口Kmm与密钥管理平面控制与管理模块363连接,以获取管理信息;
该密钥存储子模块3622,通过接口QstQm从一个或多个QKD模块接收密钥,然后进行同步和认证,重新合并或拆分以调整大小,使用诸如密钥标识、密钥大小、密钥类型和生成时间戳元数据重新格式化密钥,并存储处理后的密钥和元数据;
该密钥生命周期管理子模块3623,通过接口Kmm与KM平面控制与管理模块363连接以获取管理信息,它管理从密钥管理平面35接收到加密业务使用的密钥生命周期,此外,它通过接口QstQcm与密钥存储模块3622连接,按照密钥管理策略将密钥存储模块3622中的密钥进行删除或保存。
密钥管理平面控制与管理模块363,负责密钥管理平面密钥总体流程的管理与控制,通过接口Kms、Kmm与密钥管理平面的其他模块连接以下发管理信息,此外,该模块还通过接口QSKm与QKDN控制平面35的会话控制模块连接并进行通信;
所述量子层37中的量子密钥分发QKD模块371,其包含量子态制备子模块3711、量子态传输与测量子模块3712、随机数发生器子模块3713、QKD密钥提供子模块3714、QKD模块控制与管理子模块3715、量子信道同步子模块3716以及密钥蒸馏子模块3717,其中:
该量子态制备子模块3711,用于制备量子态,通过接口MaRa与随机数发生器子模块3713连接,将生成的随机数制备成随机的一组单光子偏振态;
该量子态传输与测量子模块3712,用于进行单光子偏振态的发送、接收与测量;
该随机数发生器子模块3713,用于产生一组随机数,并通过接口MaRa与量子态制备子模块3711连接,将随机数传入量子态制备子模块3711;
该QKD密钥提供子模块3714,通过接口QstQm与密钥管理平面36的KMA模块362中的密钥存储子模块3622连接,将协商完毕的量子密钥上传;
该QKD模块控制与管理子模块3715,通过接口QL1、QL2、QL3、QL4、QL5与QKD模块其他子模块相连,用于管理量子密钥分发过程,确保量子密钥的正常生成;
该量子信道同步子模块3716,通过接口SL与QKD链路372连接,用于为QKD链路372提供时钟同步,以支持量子信号传输和测量过程;
该密钥蒸馏子模块3717,用于进行密钥的筛选、纠错和隐私放大过程。
参照图5,本实例基于上述系统进行加密通信的实现步骤如下:
步骤1,加密应用认证。
应用层的加密业务管理模块11向管理与编排层2中相应的管理模块发送认证申请,申请中包含业务类型、业务证书以及权限等级信息,分别由经典网络管理与编排模块21和QKD网络管理与编排模块22进行身份认证:
若认证成功,则经典网络管理与编排模块21和QKD网络管理与编排模块22向应用层加密业务管理模块11返回认证成功响应,执行步骤2;
否则,经典网络管理与编排模块21和QKD网络管理与编排模块22向加密业务管理模块11返回认证失败响应,结束业务流程;
步骤2,切片定制。
加密业务成功完成认证后,加密业务管理模块11向应用层的切片定制模块12发送加密业务需求,切片定制模块12根据需求参数进行切片设计,得出需要构筑的切片参数,其中包含加密类型和切片标识,加密类型表明业务需求的加密方式,如经典加密、QKD加密、MDI-QKD加密;切片标识标明切片的编号,便于物理资源的分配和后续切片资源的释放,切片设计完成后,切片定制模块12将切片参数打包发送给管理与编排层2的全局切片管理模块23;
步骤3,管理层下发管理信息至网络控制层。
全局切片管理模块23解析所得的信息,并将切片参数和相关管理信息分别转发至经典网络管理平面31和QKD网络的管理平面34,经典网络管理平面31执行3.1),QKD网络管理平面34执行3.2):
3.1)经典网络切片构建:
参照图6,本步骤实现如下:
3.1.1)经典网络管理平面31的网络切片管理模块311解析收到的切片参数,并根据接收到的参数进一步设定切片参数,将参数细化至三种子网切片参数,包括子网切片类型、子网切片标识以及父切片标识,并根据子网切片类型的值,将参数传入相应子模块中进行处理:
若子网切片类型值为1,则将相关参数传入无线接入网子切片子模块3111中进行处理;
若子网切片类型值为2,则将相关参数传入承载网子切片子模块3112中进行处理;
若子网切片类型值为3,则将相关参数传入核心网子切片子模块3113中进行处理;
3.1.2)网络切片管理模块311将管理信息下发至SDN控制平面32的经典网络切片控制325模块进行切片的实际构建,同时由经典网络管理模块313向管理与编排层2同步上传经典网络的相关FCAPS,即故障、配置、计费、性能和安全信息;
3.2)QKD网络切片构建:
参照图7,本步骤实现过程如下:
QKD网络管理平面34的QKD网络切片管理模块341解析收到的切片参数,若参数切片类型的值为0,即加密应用不需要量子密钥进行加密,则不作响应;若参数切片类型的值不为0,则将参数包含在管理信息中,并下发至QKDN控制平面35的QKD网络切片控制模块355进行切片的实际构建,同时由经典网络管理模块313向管理与编排层2同步上传经典网络的相关FCAPS,即故障、配置、计费、性能和安全信息。
步骤4,建立虚拟网络切片。
4.1)经典网络切片控制模块325和QKD网络切片控制模块355,各自接收管理层的信息,并解析得到切片参数以及管理信息;
4.2)经典网络切片控制模块325向经典网络会话控制模块324请求开启新的会话,同时QKD网络切片控制模块355向QKD网络会话控制模块354请求开启新的会话,两个过程相互独立;
4.3)经典网络会话控制模块324向经典网络路由控制模块323请求切片所需的路由信息,同时QKD网络会话控制模块354向QKD网络路由控制模块353请求切片所需的路由信息;
4.4)经典网络路由控制模块323向经典网络配置控制模块322发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源,同时QKD网络路由控制模块353向QKD网络配置控制模块352发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源;
4.5)经典网络配置控制模块322与经典网络管理平面31的虚拟化资源管理模块312之间交换配置信息,进行资源的调度分配,并将资源信息返回经典网络路由控制模块323;QKD网络配置控制模块352与QKD网络管理平面34的虚拟化资源管理模块342之间交换配置信息,进行资源的调度分配,并将资源信息返回QKD网络路由控制模块353;
4.6)经典网络会话控制模块324获取网络路由、网络资源分配情况,以此开启新的会话,将会话标识和切片标识进行绑定,并向经典网络切片控制模块325返回会话信息,经典网络切片控制模块325根据会话信息构成虚拟网络切片,同时QKD网络会话控制模块354获取网络路由、网络资源分配情况,以此开启新的会话,并向QKD网络切片控制模块355返回会话信息,QKD网络切片控制模块根据会话信息构成虚拟网络切片;
4.7)虚拟网络切片构建完成后,经典网络切片控制模块325和QKD网络切片控制模块355分别向经典网络管理模块313和QKD网络管理模块343返回切片构筑成功响应,经典网络管理模块313和QKD网络管理模块343进一步向管理与编排层2的全局切片管理模块23返回切片构筑成功响应,响应成功后,经典网络切片控制模块执行4.8),QKD网络切片控制模块执行步骤4.9);
4.8)经典网络切片控制模块325向经典网络转发平面33下发控制信息,经典网络部分接收到控制信息时,准备开始加密通信过程,执行步骤4.11);
4.9)QKD网络切片控制模块355向QKD网络量子层37下发控制信息,QKD网络部分接收到控制信息时,开始进行密钥的循环生成,执行步骤4.10);
4.10)进行密钥的循环生成:
参照图8,本步骤具体实现过程如下:
4.10a)QKD网络管理平面34中的QKD网络管理模块343向QKDN控制平面35中的QKD网络会话控制模块354发送密钥生成指令,QKD网络会话控制模块354开启密钥生成会话,并向密钥管理平面控制与管理模块363下发会话信息,并同时向量子层37的QKD模块371下发初始化指令;
4.10b)QKD模块371接收到指令后,进行配置并初始化,接着开始进行量子密钥生成过程;
4.10c)密钥生成成功后,QKD模块371向密钥管理代理KMA模块362中的密钥存储模块3622上传量子密钥;
4.10d)密钥存储模块3622对量子密钥进行同步、存储,并向QKD网络会话控制模块354以及QKD网络管理模块343报告密钥生成状况。
4.10e)QKD模块371循环生成密钥:
若QKD模块371未接收到QKD网络会话控制模块354下发的终止密钥生成指令,则执行步骤4.10b),进行密钥的循环生成;
若QKD模块371接收到QKD网络会话控制模块354下发的终止密钥生成指令,则终止密钥生成,执行步骤4.11);
4.11)全局切片管理模块23向应用层加密应用管理模块11返回切片构筑完成响应。
步骤5,加密业务管理模块11向QKD网络请求量子密钥。
参照图9,本步骤实现过程:
5.1)加密业务管理模块11接收到切片构筑成功响应后,向QKD网络密钥管理平面36的密钥供给代理模块361发送密钥请求;
5.2)判断密钥管理平面的密钥管理模块362中的密钥存储子模块3622是否存有足量的密钥:
若有,则直接通过相关接口将密钥提供给加密业务管理模块11进行加密通信,并执行步骤6);
否则,密钥管理模块362向KM控制与管理模块363发送密钥中继请求,从QKD网络中的其他节点中提取密钥,执行步骤5.3);
5.3)密钥中继:
5.3a)KM控制与管理模块363向QKD网络控制平面35发送密钥中继请求;
5.3b)QKD网络控制平面35的QKD网络会话控制模块354接收密钥中继请求,并查询是否已存在该密钥中继会话:
若已存在,则QKD网络会话控制模块354直接向密钥管理平面控制与管理模块363返回路由信息,执行步骤6);
若会话不存在,则QKD网络会话控制模块354向QKD网络路由控制模块353转发路由请求,执行步骤5.3c);
5.3c)QKD网络路由控制模块353向QKD网络配置控制模块352发送请求,获取网络资源分配,进行路由规划,并向QKD网络会话控制354返回路由信息;
5.3d)QKD网络会话控制模块354向密钥管理平面控制与管理模块363返回中继路由信息;
5.3e)密钥管理平面控制与管理模块363根据获取的密钥中继路由,向QKD网络转发平面下发控制信息,从网络中其他的QKD节点中提取量子密钥,并提供给密钥管理代理模块362中的密钥存储模块,进而通过相关接口传输至应用层的加密业务管理模块11。
步骤6,进行加密通信。
加密业务管理模块11利用获取的量子密钥对需要加密的业务信息进行加密,并通过与全局切片管理模块23之间的接口,获取网络切片的路由信息,进行加密传输。
步骤7,切片资源释放。
参照图10,本步骤实现过程:
加密业务通信完成后,应用层加密业务管理模块11向管理与编排层2发送资源释放申请,管理与编排层的经典网络管理模块21以及QKD网络管理模块22分别将管理信息下发至对应的软件定义网络SDN控制平面32和QKD网络控制平面35,进行占用的网络资源的释放。
以上描述仅是本发明的一个具体实例,并未构成对本发明的任何限制,显然对于本领域的专业人员来说,在了解了本发明内容和原理后,都可能在不背离本发明原理、结构的情况下,进行形式和细节上的各种修改和改变,但是这些基于本发明思想的修正和改变仍在本发明的权利要求保护范围之内。
Claims (10)
1.一种基于软件定义网络和切片的量子加密通信系统,其特征在于,包括:
应用层(1),用于处理加密应用的业务需求,其包含加密业务管理模块(11)、切片定制模块(12);
管理与编排层(2),用于负责整体网络的故障、配置、计费、性能、安全FCAPS的管理,并与经典网络和量子密钥分发QKD网络的管理层进行信息交换,其包括经典网络管理与编排模块(21)、QKD网络管理与编排模块(22)和全局切片管理模块(23);
网络层(3)用于负责具体数据或光量子脉冲的传输和控制,其分为经典网络和量子密钥分发QKD网络两部分:
所述经典网络,包括经典网络管理平面(31)、软件定义网络SDN控制平面(32)及网络转发平面(33)三部分构成,其中:
该经典网络管理平面(31),用于负责接收上层传达的管理信息,向下转发至控制平面,同时收集经典网络的网络资源信息以及FCAPS信息,并上传至管理与编排层进行处理,其包含经典网络切片管理模块(311)、经典网络虚拟化资源管理(312)以及经典网络管理模块(313);
该SDN控制平面(32),用于负责解析管理信息,并将相应的控制信息下发至网络转发平面;其包括经典网络访问控制模块(321)、经典网络配置控制模块(322)、经典网络路由控制模块(323)、经典网络会话控制模块(324)、经典网络切片控制模块(325)以及SDN控制平面控制与管理模块(326),该网络转发平面(33),用于接收SDN控制平面下发的控制信息,并进行数据传输;
所述量子密钥分发网络,其由QKD管理平面(34)、QKD网络控制平面(35)、密钥管理平面(36)及量子层(37)四个部分构成,其中:
该QKD网络管理平面(34),用于接收上层传达的管理信息,向下转发至控制平面(35),同时收集QKD网络的网络资源信息及FCAPS信息,并上传至管理与编排层(2)进行处理,其包括QKD网络切片管理模块(341)、虚拟化资源管理模块(342)及QKD网络管理模块(343);
该QKD网络控制平面(35),用于解析管理信息,并将相应的控制信息下发至网络转发层,其包括QKD网络访问控制模块(351)、QKD网络配置控制模块(352)、QKD网络路由控制模块(353)、QKD网络会话控制模块(354)、QKD网络切片控制模块(355)以及QKDN控制平面控制与管理模块(356);
该密钥管理平面(36),用于量子密钥的中继、存储、供给以及生命周期管理,其包含密钥供给模块(361)、密钥管理模块(362)以及密钥管理平面管理模块(363);
该量子层(37),包含QKD模块(371)以及QKD链路(372)两部分,用于量子态的制备、传输以及密钥中继。
2.根据权利要求1所述网络架构,其特征在于,经典网络管理平面(31)中的各模块功能及连接关系如下:
所述经典网络切片管理模块(311),用于管理经典网络切片构建过程,其通过相应接口分别连接经典网络管理模块(313)及SDN控制平面的经典网络切片控制模块(325);
所述虚拟化资源管理模块(312),用于管理网络转发平面中通信设备对应的虚拟化网络功能,其通过相应接口分别连接经典网络管理模块(313)及SDN控制平面中的经典网络配置控制模块(322);
所述经典网络管理模块(313),用于管理经典网络通信过程,其通过相应接口分别连接管理与编排层的经典网络管理与编排模块(21)及SDN控制平面的SDN控制器控制与管理模块(326)。
3.根据权利要求2所述网络架构,其特征在于,所述经典网络切片管理模块(311),包括:
无线接入网子切片管理子模块(3111),用于管理经典网络无线网部分的切片构建过程,其通过相应接口分别连接经典网络管理模块(313)及SDN控制平面的切片控制模块(325);
承载网子切片管理子模块(3112),用于管理经典网络承载网部分的切片构建过程,其通过相应接口分别连接经典网络管理模块(313)及SDN控制平面的切片控制模块(325);
核心网子切片管理子模块(3113),用于管理经典网络核心网部分的切片构建过程,其通过相应接口分别连接经典网络管理模块(313)及SDN控制平面的切片控制模块(325)。
4.根据权利要求1所述的网络架构,其特征在于,SDN控制平面(32)中的各模块功能及连接关系如下:
所述经典网络访问控制模块(321),用于验证通信请求的访问权限,其与经典网络管理平面的经典网络管理模块(313)连接;
所述经典网络配置控制模块(322),用于获取经典网络转发平面的设备信息,并通过与经典网络管理平面的虚拟化资源管理模块(312)之间的接口,将设备信息上传至虚拟化资源管理模块(312),以作为虚拟网络功能资源;通过与经典网络路由控制模块(323)之间的接口,处理经典网络路由控制模块(323)对网络资源的分配请求;
所述经典网络路由控制模块(323),用于规划经典网络通信路由,其通过与经典网络配置控制模块(322)之间的接口申请网络资源进行路由规划,并通过与经典网络会话控制模块(324)之间的接口传输路由信息;
所述经典网络会话控制模块(324),用于开启和终止会话,其通过与经典网络路由控制模块(323)之间的接口请求路由信息,并通过与经典网络切片控制模块(325)之间的接口向切片控制模块(325)返回会话信息;
所述经典网络切片控制模块(325),用于控制经典网络切片的构筑过程,其通过与经典网络切片管理模块(311)之间的相应接口接收切片管理信息,通过与转发层交换机(333)之间的接口下发控制信息,并通过与经典网络会话控制模块(324)之间的接口申请开启切片构建会话;
所述SDN控制平面控制与管理模块(326),用于管理SDN控制平面各模块功能,其通过相应接口分别与SDN控制平面的其余五个模块相连接。
5.根据权利要求1所述的网络架构,其特征在于,网络转发平面(33)中包含的终端、路由器、交换机及数据中心,其各自功能和连接关系如下:
所述终端(331),用于提供应用载体,利用量子密钥进行信息加密,通过与SDN控制平面(32)的经典网络切片控制模块(325)之间的接口接收控制信息,并通过与经典网络配置控制模块(322)之间的接口上传设备信息;
所述路由器(332)和交换机(333),用于构建通信网络和进行加密后信息的传输,通过与SDN控制平面(32)的经典网络切片控制模块(325)之间的接口接收控制信息,根据控制信息进行信息转发,并通过与经典网络配置控制模块(322)之间的接口上传设备信息;
所述数据中心(334),用于提供数据存储和提取,其通过与SDN控制平面(32)的经典网络切片控制模块(325)之间的接口接收控制信息,根据控制信息进行信息存储和上传,并通过与经典网络配置控制模块(322)之间的接口上传设备信息。
6.根据权利要求1所述的网络架构,其特征在于,QKD网络管理平面(34)中的各模块功能及连接关系如下:
所述QKD网络切片管理模块(341),用于管理QKD网络切片构建过程,其通过相应接口分别相连QKD网络管理模块(343)以及QKDN控制平面的QKD网络切片控制模块(355);
所述虚拟化资源管理模块(342),用于管理量子层(37)中通信设备对应的虚拟化网络功能,其通过相应接口分别与QKD网络管理模块(343)及QKDN控制平面中的QKD网络配置控制模块(352)相连;
所述QKD网络管理模块(343),用于管理QKD网络密钥协商以及中继过程,其通过相应接口分别连接管理与编排层中的QKD网络管理与编排模块(22),以及QKDN控制平面中的QKDN控制平面控制与管理模块(356)。
7.根据权利要求1所述的网络架构,其特征在于,QKD网络控制平面(35)中的各模块功能及连接关系如下:
所述QKD网络访问控制模块(351),用于验证通信请求的访问权限,其与QKD网络管理平面中的QKD网络管理模块(343)相连;
所述QKD网络配置控制模块(352),用于获取QKD网络量子层(37)的设备信息,其通过与QKD网络管理平面的虚拟化资源管理模块(342)之间的接口,将设备信息上传至虚拟化资源管理模块(342),成为虚拟网络功能资源,并通过与QKD网络路由控制模块(353)之间的接口,处理QKD网络路由控制模块(353)对网络资源的分配请求;
所述QKD网络路由控制模块(353),用于规划QKD网络密钥生成和中继路由,其通过与QKD网络配置控制模块(352)之间的接口申请网络资源用于路由规划,并通过与QKD网络会话控制模块(354)之间的接口传输路由信息;
所述QKD网络会话控制模块(354),用于开启和终止会话,其通过与QKD网络路由控制模块(353)之间的接口请求路由信息,并通过与QKD网络切片控制模块(355)之间的接口向该切片控制模块(355)返回会话信息;
所述QKD网络切片控制模块(355),用于控制QKD网络切片的构筑过程,其通过与QKD网络管理平面(34)中QKD网络切片管理模块(341)之间的相应接口接收切片管理信息,并通过与量子层(37)量子中继点之间的接口下发控制信息,同时通过与QKD网络会话控制模块(354)之间的接口申请开启切片构建会话;
所述QKDN控制平面控制与管理模块(356),用于管理QKDN控制平面各模块功能,其通过相应接口分别与QKDN控制平面的其余五个模块相连接。
8.根据权利要求1所述的网络架构,其特征在于,密钥管理平面(36)中的各模块功能及连接关系如下:
所述密钥供给模块(361),用于为加密业务提供量子密钥,其通过与密钥管理模块(362)中密钥存储子模块(3622)之间的接口,提取密钥并用于提供给加密业务,并通过与应用层中加密业务管理模块(11)之间的接口,将量子密钥提供给加密业务管理进行信息加密;
所述密钥管理模块KMA(362),其包含密钥中继子模块(3621)、密钥存储子模块(3622)以及密钥生命周期管理子模块(3623),这三个子模块分别用于进行密钥中继、密钥存储及密钥生命周期管理,其中密钥生命周期管理子模块(3623)通过接口与密钥存储子模块(3622)连接;
所述密钥管理平面控制与管理模块(363),用于密钥管理平面整体的管理与调度,其通过与密钥供给模块(361)和密钥管理模块模块(362)之间的接口,获取网络传输状况。
9.根据权利要求1所述的网络架构,其特征在于,所述QKD模块(371)包括:
量子态制备子模块(3711),用于制备量子态,并通过与随机数发生器子模块(3713)之间的接口将生成的随机数制备成随机的一组单光子偏振态;
量子态传输与测量子模块(3712),用于进行单光子偏振态的发送、接收与测量;
随机数发生器子模块(3713),用于产生一组随机数,并通过与量子态制备子模块(3711)之间的接口将随机数传入量子态制备子模块(3711);
QKD密钥提供子模块(3714),用于将协商完毕的量子密钥上传至密钥管理平面(36)的KMA模块(362)中的密钥存储子模块(3622);
QKD模块控制与管理子模块(3715),用于管理量子密钥分发过程,确保量子密钥的正常生成;
量子信道同步子模块(3716),用于为QKD链路提供时钟同步,以支持量子信号传输和测量过程;
密钥蒸馏子模块(3717),用于进行密钥的筛选、纠错和隐私放大过程。
10.一种利用权利要求1系统进行通信的方法,其特征在于,包括:
(A)加密应用认证:
当加密应用请求到达时,应用层的加密业务管理模块(11)向管理与编排层(2)中的管理模块发送认证申请,分别由经典网络管理与编排模块(21)和QKD网络管理与编排模块(22)进行身份认证:
若认证成功,则经典网络管理与编排模块(21)和QKD网络管理与编排模块(22)向应用层加密业务管理模块(11)返回认证成功响应,执行(B);
否则,经典网络管理与编排模块(21)和QKD网络管理与编排模块(22)向加密业务管理模块(11)返回认证失败响应,结束业务流程;
(B)切片定制:
加密应用成功完成认证后,加密业务管理模块(11)向应用层的切片定制模块(12)发送加密业务需求,切片定制模块(12)根据需求参数进行切片设计,得出需要构筑的切片参数,并将切片参数打包发送给管理与编排层(2)的全局切片管理模块(23);
(C)管理层下发管理信息至网络控制层:
全局切片管理模块(23)解析所得信息,并将切片参数和相关管理信息分别转发至经典网络管理平面(31)和QKD网络的管理平面(34),该经典网络管理平面(31)和QKD网络的管理平面(34)进一步将具体的管理信息分别下发至经典网络的SDN控制平面(32)和QKD网络的QKDN控制平面(35),进行切片构筑的实际执行;
(D)经典网络的SDN控制平面(32)和QKD网络的QKDN控制平面(35)进行虚拟网络切片的建立:
(D1)经典网络切片控制模块(325)和QKD网络控制平面的切片控制模块(355),各自接收管理层的信息,并解析得到切片参数以及管理信息;
(D2)经典网络切片控制模块(325)向经典网络会话控制模块(324)请求开启新的会话,用于构建虚拟网络切片,同时QKD网络切片控制模块(355)向QKD网络会话控制模块(354)请求开启新的会话,用于构建虚拟网络切片,二者相互独立;
(D3)经典网络会话控制模块(324)向经典网络路由控制模块(323)请求构建虚拟网络切片所需的路由信息,同时QKD网络会话控制模块(354)向QKD网络路由控制模块(353)请求构建虚拟网络切片所需的路由信息;
(D4)经典网络路由控制模块(323)向经典网络配置控制模块(322)发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源,同时QKD网络路由控制模块(353)向QKD网络配置控制模块(352)发送请求,获取网络资源的配置信息,并根据切片需求请求物理资源;
(D5)经典网络配置控制模块(322)通过与经典网络管理平面(31)的虚拟化资源管理模块(312)之间的接口,进行资源的调度分配,并将相应信息返回经典网络路由控制模块(323);QKD网络配置控制模块(352)通过与QKD网络管理平面(34)的虚拟化资源管理模块(342)之间的接口,进行资源的调度分配,并将相应信息返回QKD网络路由控制模块(353);
(D6)经典网络会话控制模块(324)获取网络路由、网络资源分配情况,以此开启新的会话,并向经典网络切片控制模块(325)返回会话信息,经典网络切片控制模块(325)根据会话信息构建虚拟网络切片,同时QKD网络会话控制模块(354)获取网络路由、网络资源分配情况,以此开启新的会话,并向QKD网络切片控制模块(355)返回会话信息,QKD网络切片控制模块根据会话信息构建虚拟网络切片;
(D7)虚拟网络切片构筑完成后,经典网络切片控制模块(325)和QKD网络切片控制模块(355)分别向经典网络管理模块(313)和QKD网络管理模块(343)返回切片构筑成功响应,经典网络管理模块(313)和QKD网络管理模块(343)进一步向管理与编排层(2)的全局切片管理模块(23)返回切片构筑成功响应,之后,经典网络切片控制模块(325)向经典网络转发平面(33)下发控制信息,QKD网络切片控制模块(355)向QKD网络量子层(37)下发控制信息,经典网络部分接收到控制信息时,准备开始加密通信过程,QKD网络部分接收到控制信息时,开始进行密钥的循环生成;
(D8)全局切片管理模块(23)向应用层加密应用管理模块(11)返回切片构筑完成响应;
(E)加密业务管理模块(11)向QKD网络请求量子密钥:
(E1)加密业务管理模块(11)接收到切片构筑成功响应后,向QKD网络密钥管理平面(36)的密钥供给代理模块(361)发送密钥请求;
(E2)判断密钥管理平面的密钥管理模块(362)中的密钥存储子模块(3622)是否存有足量的密钥:若有,则直接通过相关接口将密钥提供给加密业务管理模块(11)进行加密通信,并执行(F);
否则,密钥管理模块(362)向KM控制与管理模块(363)发送密钥中继请求,从QKD网络中的其他节点中提取密钥,执行(E3);
(E3)密钥中继:
(E31)KM控制与管理模块(363)向QKD网络控制平面(35)发送密钥中继请求;
(E32)QKD网络控制平面(35)的QKD网络会话控制模块(354)接收密钥中继请求,并查询是否已存在该密钥中继会话:
若已存在,则QKD网络会话控制模块(354)直接向密钥管理平面控制与管理模块(363)返回路由信息,执行(F);
若会话不存在,则QKD网络会话控制模块(354)向QKD网络路由控制模块(353)转发路由请求,执行(E33);
(E33)QKD网络路由控制模块(353)向QKD网络配置控制模块(352)发送请求,获取网络资源分配,进行路由规划,并向QKD网络会话控制(354)返回路由信息;
(E34)QKD网络会话控制模块(354)向密钥管理平面控制与管理模块(363)返回中继路由信息;
(E35)密钥管理平面控制与管理模块(363)根据获取的密钥中继路由,向QKD网络转发平面下发控制信息,从网络中其他的QKD节点中提取量子密钥,并提供给密钥管理代理模块(362)中的密钥存储模块,进而通过相关接口传输至应用层的加密业务管理模块(11);
(F)加密业务管理模块(11)利用获取的量子密钥对需要加密的业务信息进行加密,并通过与全局切片管理模块(23)之间的接口,获取网络切片的路由信息,进行加密传输;
(G)加密业务通信完成后,应用层加密业务管理模块(11)向管理与编排层(2)发送资源释放申请,管理与编排层的经典网络管理模块(21)以及QKD网络管理模块(22)分别将管理信息下发至对应的软件定义网络SDN控制平面(32)和QKD网络控制平面(35),进行占用的网络资源的释放。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210127416.4A CN114465723B (zh) | 2022-02-11 | 2022-02-11 | 基于软件定义网络和切片的量子加密通信系统及通信方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202210127416.4A CN114465723B (zh) | 2022-02-11 | 2022-02-11 | 基于软件定义网络和切片的量子加密通信系统及通信方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN114465723A true CN114465723A (zh) | 2022-05-10 |
CN114465723B CN114465723B (zh) | 2023-10-20 |
Family
ID=81413208
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202210127416.4A Active CN114465723B (zh) | 2022-02-11 | 2022-02-11 | 基于软件定义网络和切片的量子加密通信系统及通信方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN114465723B (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023248317A1 (ja) * | 2022-06-20 | 2023-12-28 | 日本電信電話株式会社 | 仮想専用ネットワーク制御装置、通信システム、仮想専用ネットワーク制御方法、及びプログラム |
Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108599994A (zh) * | 2018-03-26 | 2018-09-28 | 华南理工大学 | 一种基于流量聚类的sdn切片构造方法 |
CN109660337A (zh) * | 2017-12-29 | 2019-04-19 | 华南师范大学 | 一种量子与经典融合的通信网络系统及其密钥分发方法 |
CN112910636A (zh) * | 2021-01-11 | 2021-06-04 | 国家电网有限公司 | 一种基于sdn的量子密钥分发物联网发布及订阅系统 |
US20210176055A1 (en) * | 2019-12-06 | 2021-06-10 | At&T Intellectual Property I, L.P. | Quantum enabled hybrid fiber cable loop |
WO2021235563A1 (ko) * | 2020-05-18 | 2021-11-25 | 엘지전자 주식회사 | 다중 경로 및 파장 분할에 기반한 플러그 앤드 플레이 퀀텀 키 분배 방법 및 상기 방법을 이용하는 장치 |
-
2022
- 2022-02-11 CN CN202210127416.4A patent/CN114465723B/zh active Active
Patent Citations (5)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN109660337A (zh) * | 2017-12-29 | 2019-04-19 | 华南师范大学 | 一种量子与经典融合的通信网络系统及其密钥分发方法 |
CN108599994A (zh) * | 2018-03-26 | 2018-09-28 | 华南理工大学 | 一种基于流量聚类的sdn切片构造方法 |
US20210176055A1 (en) * | 2019-12-06 | 2021-06-10 | At&T Intellectual Property I, L.P. | Quantum enabled hybrid fiber cable loop |
WO2021235563A1 (ko) * | 2020-05-18 | 2021-11-25 | 엘지전자 주식회사 | 다중 경로 및 파장 분할에 기반한 플러그 앤드 플레이 퀀텀 키 분배 방법 및 상기 방법을 이용하는 장치 |
CN112910636A (zh) * | 2021-01-11 | 2021-06-04 | 国家电网有限公司 | 一种基于sdn的量子密钥分发物联网发布及订阅系统 |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
WO2023248317A1 (ja) * | 2022-06-20 | 2023-12-28 | 日本電信電話株式会社 | 仮想専用ネットワーク制御装置、通信システム、仮想専用ネットワーク制御方法、及びプログラム |
Also Published As
Publication number | Publication date |
---|---|
CN114465723B (zh) | 2023-10-20 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108551464B (zh) | 一种混合云的连接建立、数据传输方法、装置和系统 | |
CN103036784B (zh) | 用于自组织二层企业网络架构的方法和装置 | |
CN103490891B (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
CN110581763B (zh) | 一种量子密钥服务区块链网络系统 | |
Velasco et al. | An architecture to support autonomic slice networking | |
WO2018082345A1 (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
CN104780069B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
CN109302288B (zh) | 一种基于量子密钥分发技术的量子保密通信网络系统及其应用 | |
CN109842485B (zh) | 一种有中心的量子密钥服务网络系统 | |
EP1594241A1 (en) | Optical communication network system | |
CN108429740A (zh) | 一种获得设备标识的方法及装置 | |
CN108111305A (zh) | 多类型量子终端兼容的融合网络接入系统和方法 | |
CN112804356B (zh) | 一种基于区块链的联网设备监管认证方法及系统 | |
CN114726523B (zh) | 密码应用服务系统和量子安全能力开放平台 | |
CN109842442B (zh) | 一种以机场为区域中心的量子密钥服务方法 | |
CN114465723B (zh) | 基于软件定义网络和切片的量子加密通信系统及通信方法 | |
CN115460613A (zh) | 一种电力5g切片安全应用与管理方法 | |
CN113595735A (zh) | 一种基于cp-abe的可监管的隐私保护跨区块链系统 | |
CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
CN111885436B (zh) | 一种基于epon技术的配电网自动化通信系统 | |
CN110611658A (zh) | 一种基于sd-wan的设备认证方法及系统 | |
CN109150829A (zh) | 软件定义云网络可信数据分发方法、可读存储介质和终端 | |
CN104917750B (zh) | 一种面向sdn网络的控制层与数据层通信通道自配置方法及其系统 | |
CN112422283A (zh) | 一种量子密钥传输方法 | |
Cao et al. | Software-defined heterogeneous quantum key distribution chaining: an enabler for multi-protocol quantum networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |