CN115913523A - 延迟量子密钥分配 - Google Patents
延迟量子密钥分配 Download PDFInfo
- Publication number
- CN115913523A CN115913523A CN202111465552.6A CN202111465552A CN115913523A CN 115913523 A CN115913523 A CN 115913523A CN 202111465552 A CN202111465552 A CN 202111465552A CN 115913523 A CN115913523 A CN 115913523A
- Authority
- CN
- China
- Prior art keywords
- node
- message
- task
- key
- time window
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0858—Details about key distillation or coding, e.g. reconciliation, error correction, privacy amplification, polarisation coding or phase coding
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
- H04L63/062—Network architectures or network communication protocols for network security for supporting key management in a packet data network for key distribution, e.g. centrally by trusted party
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
- H04L9/0825—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) using asymmetric-key encryption or public key infrastructure [PKI], e.g. key signature or public key certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
- H04L9/0855—Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
- H04L9/0866—Generation of secret information including derivation or calculation of cryptographic keys or passwords involving user or device identifiers, e.g. serial number, physical or biometrical information, DNA, hand-signature or measurable physical characteristics
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Mobile Radio Communication Systems (AREA)
Abstract
节点可以从量子密钥分配(QKD)设备接收第一消息,所述第一消息包括与密钥相关联的标识符。所述节点可以将第二消息发送给另一节点,所述第二消息包括所述标识符和执行至少一个任务的请求。所述节点可以从所述另一节点接收第三消息,所述第三消息包括与由所述另一节点执行所述至少一个任务相关联的信息和指示执行时间的信息。所述节点可以从所述QKD设备接收第四消息,所述第四消息包括所述密钥和指示与所述量子密钥相关联的时间窗的信息;其中所述第四消息是在所述时间窗到期之后被接收到的。所述节点可以基于所述第四消息来处理所述第三消息,以确定所述第三消息是否有效,从而使一个或多个动作被执行。
Description
背景技术
量子密钥分配(QKD)使用量子物理学安全地协定对称加密密钥。为了生成密钥,两个QKD设备通过利用量子通信信道(例如,光学信道)或自由空间(例如,地面QKD设备和包括在卫星中的QKD设备之间的视线连接)来交换量子态(例如,使用偏振光子)。
发明内容
本文中所描述的一些实施方式涉及一种方法。该方法可以包括由节点从量子密钥分配设备接收第一消息,该第一消息包括与密钥相关联的标识符,其中密钥与特定时间窗相关联。该方法可以包括由节点将第二消息发送给另一节点,该第二消息包括与密钥相关联的标识符和执行至少一个任务的请求。该方法可以包括由节点从另一节点接收第三消息,该第三消息包括与该另一节点执行至少一个任务相关联的信息和指示该另一节点执行至少一个任务的时间的信息。该方法可以包括由节点从量子密钥分配设备接收第四消息,该第四消息包括密钥和指示特定时间窗的信息,其中第四消息是在特定时间窗到期后接收到的。该方法可以包括由节点基于第四消息来处理第三消息以确定第三消息是否有效。该方法可以包括由节点基于确定第三消息是否有效来使一个或多个动作被执行。
本文中所描述的一些实施方式涉及一种非暂态计算机可读介质,存储量子密钥分配设备的指令集。指令集在由量子密钥分配设备的一个或多个处理器执行时可以使量子密钥分配设备与另一量子密钥分配设备通信,以使密钥被生成。指令集在由量子密钥分配设备的一个或多个处理器执行时可以使量子密钥分配设备确定与密钥相关联的标识符。指令集在由量子密钥分配设备的一个或多个处理器执行时可以使量子密钥分配设备确定与密钥相关联的特定时间窗。指令集在由量子密钥分配设备的一个或多个处理器执行时可以使量子密钥分配设备将第一消息发送给节点,该第一消息包括与密钥相关联的标识符。指令集在由量子密钥分配设备的一个或多个处理器执行时可以使量子密钥分配设备将第二消息发送给节点,该第二消息包括密钥和指示特定时间窗的信息。
本文中所描述的一些实施方式涉及一种节点。该节点可以包括一个或多个存储器和一个或多个处理器。该节点可以被配置为从另一节点接收第一消息,该第一消息包括与密钥相关联的标识符和执行至少一个任务的请求。该节点可以被配置为将第二消息发送给量子密钥分配设备,该第二消息包括与密钥相关联的标识符。该节点可以被配置为从量子密钥分配设备接收第三消息,该第三消息包括密钥和指示与密钥相关联的特定时间窗的信息。该节点可以被配置为基于包括在第一消息中的请求执行至少一个任务。该节点可以被配置为确定节点执行至少一个任务的时间在特定时间窗内。该节点可以被配置为基于执行至少一个任务和确定节点执行至少一个任务的时间在特定时间窗内,并且使用密钥生成与节点执行至少一个任务相关联的信息。该节点可以被配置为将第四消息发送给该另一节点,该第四消息包括与节点执行至少一个任务相关联的信息和指示节点执行至少一个任务的时间的信息。
附图说明
图1A至图1F是本文中所描述的与延迟量子密钥分配相关联的示例实施方式的示意图。
图2是可以实现本文中所描述的系统和/或方法的示例环境的示意图。
图3至图4是图2的一个或多个设备的示例组件的示意图。
图5至图7是与延迟量子密钥分配相关联的示例过程的流程图。
具体实施方式
示例实施方式的以下详细描述参考了附图。相同的附图标记在不同的图中可以标识相同或相似的元件。
为了确保计算设备之间的通信的安全性,典型的密码方案依赖于基于数学的算法。然而,基于数学的算法会消耗大量的计算资源(例如,处理资源、内存资源、通信资源和/或电力资源等),而且随着量子计算机的能力的提高,使用这种算法加密的数据很容易受到攻击。在一些情况下,基于物理的算法,诸如量子密钥分配(QKD)方案,可以用于更安全地分配密钥,以用于对数据进行加密和解密。然而,生成密钥可能会消耗大量资源。
本文中所描述的一些实施方式提供了延迟量子密钥分配。一对QKD设备可以通信以生成密钥,并且一对QKD设备中的第一QKD设备可以被配置为延迟显示密钥,直到特定时间窗到期(例如,5分钟窗、12小时窗或7天窗等)。第一QKD设备可以通知一个或多个验证节点密钥已经被生成,但是只可以将与密钥相关联的标识符(例如,字母数字文本字符串)提供给一个或多个验证节点。控制节点可以请求任务节点执行至少一个任务(例如,计算任务)和/或可以与任务节点共享标识符。任务节点可以与一对QKD设备中的第二QKD设备通信(基于标识符),以获得特定时间窗的密钥。以这种方式,在特定时间窗内,密钥仅对一对QKD设备和任务节点可用(而不是一个或多个验证节点)。
任务节点可以在特定时间窗内执行至少一个任务,并且可以使用密钥来生成信息,该信息与任务节点执行至少一个任务相关联(例如,以对与任务节点执行至少一个任务相关联的数据进行加密或签名)。任务节点可以将包括信息的消息发送给控制节点和/或一个或多个验证节点,该消息可以延迟对消息的任何处理,直到特定时间窗到期。然后,第一QKD设备可以确定特定时间窗已经到期,并且可以将密钥提供给控制节点和/或一个或多个验证节点中的每个节点。接收到来自任务节点的消息的控制节点和/或一个或多个验证节点中的每个节点可以使用密钥来确定来自任务节点的消息是否有效(例如,通过对与任务节点执行至少一个任务相关联的信息进行解密或验证)。因此,然后,接收到来自任务节点的消息的控制节点和/或一个或多个验证节点中的特定节点可以使一个或多个动作被执行,诸如使数据结构包括与任务节点执行至少一个任务相关联的至少一个条目(例如,当确定消息有效时)或使数据结构不包括与任务节点执行至少一个任务相关联的任何条目(例如,当确定消息无效时)。
以这种方式,在特定时间窗内,密钥仅对需要知道的设备(诸如,QKD设备和任务节点)可用。附加地,第一QKD设备与控制节点和/或一个或多个验证节点通信,并且第二QKD设备与任务节点通信,这防止QKD设备与节点之间的交叉通信。进一步地,在一些实施方式中,第一QKD设备仅将密钥发送给控制节点和/或一个或多个验证节点,因此,不会从控制节点和/或一个或多个验证节点接收可能危及第一QKD设备的功能性的信息。因此,当控制节点和/或一个或多个验证节点获得密钥时,在特定时间窗到期之后,控制节点和/或一个或多个验证节点高度相信,由任务节点发送并且与任务节点在特定时间窗内执行任务相关联的任何消息都可以使用密钥来进行验证。这增加了控制节点和/或验证节点正确地确定消息有效(例如,非欺诈、欺骗或无效)或无效的可能性,这增加了与控制节点和/或验证节点相关联的数据结构被准确维护的可能性。进一步地,一些实施方式允许在特定时间窗内对密钥进行多次使用(而不是单次使用),这节省了计算资源(例如,处理资源、内存资源、通信资源和/或电力资源等),否则这些计算资源会被需要来在特定时间窗内生成、保护、维护和/或提供多个单次使用密钥。
图1A至图1F是与延迟量子密钥分配相关联的示例实施方式100的示意图。如图1A至图1F中所示,示例实施方式100包括一对QKD设备(被示出为QKD设备1和QKD设备2)、控制节点、一个或多个验证节点(被示出为验证节点1至N,其中N≥1)和/或任务节点。下面结合图2至图4更详细地描述这些设备。
如图1A和附图标记102所示,QKD设备1和QKD设备2可以通信,以使密钥被生成。例如,QKD设备1和QKD设备2可以通过量子信道(例如,允许传输量子态的光学信道)和公共信道(例如,与传统网络(诸如,互联网或无线网络)相关联的信道)连接。然后,QKD设备1和QKD设备2可以使用QKD协议(例如,BB84协议、E91协议或纠缠对生成协议等)通过量子信道和公共信道彼此通信,以使密钥被生成。以这种方式,QKD设备1和QKD设备2可以使密钥被生成,该密钥在生成密钥时只有QKD设备1和QKD设备2知道。
如附图标记104所示,QKD设备1可以确定与密钥相关联的标识符。例如,QKD设备1可以生成与密钥相关联的标识符(例如,唯一标识符(UID)),并且可以将密钥和标识符存储在与QKD设备1相关联的数据结构的条目(例如,包括在在QKD设备1中和/或QKD设备1可访问的数据库、表格或文件)中。可以基于密钥来生成标识符。例如,标识符可以是密钥的哈希或可以是密钥的生成时间。标识符可以用于查找和标识密钥(例如,作为数据结构中的条目的索引)。
如附图标记106所示,QKD设备1可以确定与密钥相关联的特定时间窗。特定时间窗可以指示特定时间窗的开始时间和结束时间。当密钥的使用时间在特定时间窗内(例如,使用时间发生在开始时间和结束时间之间)时,密钥可能是有效的(例如,以对数据进行加密和签名,如本文中其他地方所描述的)。特定时间窗在特定时间窗的结束时间之后到期(因此,密钥在特定时间窗到期之后停止有效)。特定时间窗可以是秒、分钟、小时、天、周或月等数量级。例如,QKD设备1可以确定与密钥相关联的特定时间窗(例如,特定时间窗的开始时间和结束时间之间的5分钟)。特定时间窗可以立即(例如,特定时间窗的开始时间可以是特定时间窗的生成时间)或在未来(例如,特定时间窗的开始时间可以在特定时间窗的生成时间之后发生)发生。QKD设备1可以将指示特定时间窗的信息存储在与QKD设备1(例如,与密钥和标识符)相关联的数据结构的条目中。
如图1A和附图标记108进一步所示,QKD设备1可以将消息发送给QKD设备2,该消息包括标识符和/或指示特定时间窗的信息。例如,QKD设备1可以通过QKD设备1和QKD设备2之间的公共信道将消息发送给QKD设备2(例如,作为单播、多播或广播传输)。在一些实施方式中,在QKD设备1没有将消息发送给QKD设备2的情况下,QKD设备2可以确定标识符和/或指示特定时间窗的信息。例如,QKD设备2可以执行密钥的哈希以确定标识符和/或可以被预先配置为将密钥与特色时间窗相关联。QKD设备2可以将密钥、标识符和/或指示特定时间窗的信息存储在QKD设备2的数据结构(例如,包括在QKD设备2中和/或QKD设备2可访问的数据库、表格或文件)的条目中。标识符可以用于查找和标识密钥和/或指示特定时间窗的信息(例如,作为数据结构中的条目的索引)。
在一些实施方式中,QKD设备1可以连接到控制节点和/或一个或多个验证节点(例如,通过一个或多个公共或专用信道)。如图1B和附图标记110所示,QKD设备1可以将消息发送给控制节点和/或一个或多个验证节点(例如,通过一个或多个公共或专用信道),该消息包括与密钥相关联的标识符。例如,QKD设备1可以将消息发送给控制节点和/或一个或多个验证节点中的每个节点(例如,作为广播消息发送给控制节点和/或一个或多个验证节点1至N中的每个节点)。作为另一个示例中,控制节点可以将消息发送给QKD设备1(例如,通过公共或专用信道),该消息包括对与密钥相关联的标识符的请求,并且QKD设备1可以将消息发送(例如,基于特定验证节点所发送的消息中所包括的请求)给控制节点(例如,通过公共或专用通道),该消息包括与密钥相关联的标识符。以这种方式(例如,如两个示例中所描述的),QKD设备1可以将消息发送给控制节点,该消息包括与密钥相关联的标识符。
在一些实施方式中,QKD设备1可以在特定时间窗到期之前将消息发送给一个或多个验证节点,该消息包括与密钥相关联的标识符。例如,QKD设备1可以在特定时间窗的结束时间之前将消息发送给控制节点和/或一个或多个验证节点。作为另一个示例,QKD设备1可以在特定时间窗的开始时间之前将消息发送给控制节点和/或一个或多个验证节点。
如图1C和附图标记112所示,控制节点可以标识与密钥相关联的标识符。例如,特定验证节点可以处理(例如,解析)从QKD设备1接收到的消息(例如,如本文中关于图1B和附图标记110所描述的),该消息包括与密钥相关联的标识符,以标识标识符。
在一些实施方式中,控制节点可以是“任务请求”节点。即,控制节点可以被配置为请求另一节点,诸如任务节点,执行至少一个任务。例如,至少一个任务可以包括执行至少一个动作(例如,接收、处理、存储、路由和/或提供数据)和将数据结构更新为包括与至少一个动作相关联的至少一个条目(例如,作为至少一个动作的执行记录)。因此,如图1C和附图标记114所示,控制节点可以将消息发送给任务节点,该消息包括执行至少一个任务的请求。附加地或备选地,消息可以包括与密钥相关联的标识符。
如图1C和附图标记116进一步所示,任务节点可以标识与密钥相关联的标识符和/或执行至少一个任务的请求。例如,任务节点可以处理(例如,解析)从特定验证节点接收到的消息(例如,如本文中关于附图标记114所描述的),该消息包括与密钥相关联的标识符和/或执行至少一个任务的请求,以标识与密钥相关联的标识符和/或执行至少一个任务的请求。
在一些实施方式中,任务节点可以连接到QKD设备2(例如,通过公共或专用信道)。如附图标记118所示,任务节点可以将消息发送给QKD设备2(例如,通过公共或专用信道)。例如,当任务节点已经标识出与密钥相关联的标识符时,消息可以包括与密钥相关联的标识符和/或对与QKD设备2的密钥相关联的信息的请求。作为另一个示例,当任务节点还没有标识出与密钥相关联的标识符(因为从控制节点接收到的消息只包括执行至少一个任务的请求)时,消息可以只包括对与密钥相关联的信息的请求(例如,对与活动密钥相关联的信息的请求)。对与密钥相关联的信息的请求可以包括密钥可接受标准,诸如与时间窗长度、时间窗开始时间、时间窗结束时间、标识符位模式和/或密钥位模式等相关联的标准。
QKD设备2可以处理(例如,解析)消息,以标识与密钥相关联的标识符和/或对与密钥相关联的信息的请求。因此,如附图标记120所示,QKD设备2可以标识密钥。例如,QKD设备2可以基于与密钥相关联的标识符搜索与QKD设备2相关联的数据结构,以标识条目,该条目包括与密钥相关联的标识符、密钥和指示与密钥相关联的特定时间窗的信息。作为另一个示例,QKD设备2可以基于对与密钥相关联的信息的请求中所包括的密钥可接受标准搜索与QKD设备2相关联的数据结构,以标识与满足密钥可接受规则的密钥相关联的条目,诸如包括与密钥相关联的标识符、密钥和指示与密钥相关联的特定时间窗的信息的条目。
如附图标记122所示,QKD设备2可以将消息发送给任务节点(例如,通过任务节点和QKD设备2之间的公共或专用信道),该消息包括与密钥相关联的信息。与密钥相关联的信息可以包括密钥、指示与密钥相关联的特定时间窗的信息、密钥派生信息(例如,以密码学方式从密钥派生(诸如,通过对密钥进行加密)的信息)和/或其他密钥相关信息。
如图1D和附图标记124所示,任务节点可以标识密钥和/或特定时间窗。例如,任务节点可以处理(例如,解析)从QKD设备2接收到的消息(例如,如本文中关于图1C和附图标记122所描述的),该消息包括密钥和指示与密钥相关联的特定时间窗的信息,以标识密钥和特定时间窗。在另一个示例中,任务节点可以标识包括在消息中的密钥派生信息,并且可以处理密钥派生信息(例如,可以对密钥派生信息进行解密),以标识密钥。
如图1D和附图标记126进一步所示,任务节点可以执行至少一个任务(例如,基于从特定验证节点接收到的包括在消息中的请求,如本文中关于图1C和附图标记114所描述的)。如附图标记128所示,任务节点可以标识任务节点执行至少一个任务的时间。例如,任务节点可以将任务节点执行至少一个任务的时间标识为执行至少一个动作和/或更新包括在至少一个任务节点中的数据结构的完成时间。
如图1D和附图标记130进一步所示,任务节点可以确定任务节点执行至少一个任务的时间在特定时间窗内。例如,任务节点可以确定任务节点执行至少一个任务的时间是在开始时间之后或等于该开始时间并且在特定时间窗的结束时间或等于该结束时间。因此,如附图标记132所示,任务节点可以生成(例如,通过使用密钥)与任务节点执行至少一个任务相关联的信息。例如,任务节点可以基于执行至少一个任务来生成数据(例如,“权益证明”数据和/或指示任务节点执行至少一个任务的时间的数据),并且可以使用密钥对数据进行加密。以这种方式,加密的数据是与任务节点执行至少一个任务相关联的信息。作为另一个示例,任务节点可以基于执行至少一个任务来生成数据,并且可以使用密钥并基于数据来生成签名。以这种方式,数据和签名是与任务节点执行至少一个任务相关联的信息。
在一些实施方式中,任务节点可以连接到控制节点和/或一个或多个验证节点(例如,通过一个或多个公共信道)。如图1D和附图标记134所示,任务节点可以将消息发送给包括控制节点和/或一个或多个验证节点中的至少一个节点的一组节点(例如,通过一个或多个公共信道),该消息包括与任务节点执行至少一个任务相关联的信息和指示任务节点执行至少一个任务的时间的信息。例如,任务节点可以将消息发送给控制节点和/或一个或多个验证节点中的每个节点(例如,作为广播消息和/或多播消息发送给控制节点和/或一个或多个验证节点1至N中的每个节点)。作为另一个示例,任务节点可以将消息发送给控制节点(例如,作为单播消息,诸如因为控制节点请求执行至少一个任务,如本文中关于1C和附图标记114所描述的)。在每个示例中,消息都可以被中继到预期目标节点(例如,一个或多个节点可以将消息路由到目标节点)。
如图1E和附图标记136所示,QKD设备1可以确定特定时间窗已经到期。例如,QKD设备1可以确定当前时间是在特定时间窗的结束时间之后。因此,如附图标记138所示,QKD设备1可以将消息发送给控制节点和/或一个或多个验证节点(例如,通过QKD设备1和一个或多个验证节点之间的一个或多个公共信道),该消息包括密钥、与密钥相关联的标识符、指示特定时间的信息、密钥派生信息(例如,以密码学方式从密钥派生(诸如,通过对密钥进行加密)的信息)和/或其他密钥相关信息。例如,QKD设备1可以将消息发送给控制节点和/或一个或多个验证节点中的每个节点(例如,作为广播消息发送给一个或多个验证节点1至N中的每个节点)。在另一个示例中,QKD设备1可以将消息发送给从任务节点接收到消息的一组节点中的每个节点(例如,该消息包括与任务节点执行至少一个任务相关联的信息和指示任务节点执行至少一个任务的时间的信息)。作为另一个示例,QKD设备1可以只将消息发送给控制节点。以这种方式,在特定时间窗到期之后,QKD设备1可以将消息发送给控制节点和/或一个或多个验证节点,该消息包括密钥、与密钥相关联的标识符、指示特定时间窗的信息、密钥派生信息和/或其他密钥相关信息。
如图1F和附图标记140所示,从任务节点(诸如,控制节点)接收到消息的一组节点中的特定节点可以标识密钥和特定时间窗。例如,特定节点可以处理(例如,解析)从QKD设备1接收到的消息(例如,如本文中关于图1E和附图标记138所描述的),该消息包括密钥、与密钥相关联的标识符、指示特定时间窗的信息、密钥派生信息和/或其他密钥相关信息,以标识密钥、与密钥相关联的标识符、指示特定时间窗的信息、密钥派生信息和/或其他密钥相关信息。在另一个示例中,特定节点可以标识包括在消息中的密钥派生信息,并且可以处理密钥派生信息(例如,可以对密钥派生信息进行解密),以标识密钥。
如附图标记142所示,特定节点可以处理来自任务节点的消息(例如,包括与任务节点执行至少一个任务相关联的信息和指示任务节点执行至少一个任务的时间的信息,如本文中关于图1D和附图标记134所描述的)。例如,特定节点可以处理(例如,解析)来自任务节点的消息,以标识任务节点执行至少一个任务的时间。特定节点可以确定任务节点执行至少一个任务的时间发生在特定时间窗到期之后,因此可以确定来自任务节点的消息无效(例如,因为至少一个任务不是在特定时间窗内执行)。附加地或备选地,特定节点可以确定任务节点执行至少一个任务的时间发生在接收到来自任务节点的消息的时间之后,因此可以确定来自任务节点的消息无效(例如,由于与消息相关联的时间差异)。
作为另一个示例,特定节点可以处理(例如,解析)来自任务节点的消息,以标识任务节点执行至少一个任务的时间和与任务节点执行至少一个任务相关联的信息。特定节点可以确定任务节点执行至少一个任务的时间发生在特定时间窗内。因此,特定节点可以使用密钥处理(例如,解密或验证)与任务节点执行至少一个任务相关联的信息,以确定任务节点使用密钥生成与任务节点执行至少一个任务相关联的信息,从而可以确定来自任务节点的消息有效。备选地,特定节点可以使用密钥处理与任务节点执行至少一个任务相关联的信息,以确定任务节点不使用密钥生成与任务节点执行至少一个任务相关联的信息,从而可以确定来自任务节点的消息无效。
如图1F和附图标记144进一步所示,特定节点可以使一个或多个动作被执行。例如,当确定来自任务节点的消息有效时(例如,如关于附图标记142所描述的),特定节点可以使与特定节点相关联的数据结构(例如,包括在特定节点中和/或特定节点可访问的数据库、表格或文件)包括与任务节点执行至少一个任务相关联的至少一个条目(例如,将至少一个条目添加到数据结构和/或将至少一个条目提交给数据结构)。例如,至少一个条目可以包括与任务节点执行至少一个任务相关联的信息、指示任务节点执行至少一个任务的时间的信息、密钥和/或指示特定时间窗的信息。作为另一个示例,当确定来自任务节点的消息无效时(例如,如关于附图标记142所描述的),特定节点可以使数据结构不包括与任务节点执行至少一个任务相关联的任何条目。因此,特定节点可以阻止与任务节点执行至少一个任务相关联的任何条目添加到数据结构和/或可以删除、丢弃或回滚与任务节点执行至少一个任务相关联的任何临时条目。
如图1F进一步所示,当接收到来自任务节点的消息的一组节点中的一个或多个其他节点(除了特定节点)接收到来自任务节点的消息时,一个或多个其他节点中的每个节点可以标识密钥和特定时间窗(例如,如关于附图标记140中所描述的),并且每个节点可以处理来自任务节点的消息,以确定来自任务节点的消息是否有效(例如,如关于附图标记142所描述的)。因此,一个或多个其他节点可以彼此通信和/或与特定节点通信(例如,通过一个或多个其他节点和/或特定节点之间的一个或多个公共信道),以使一个或多个动作被执行(例如,如关于附图标记144所描述的)。例如,一个或多个其他节点中的某个其他节点(例如,验证节点1)可以与一个或多个其他节点和/或特定节点(例如,控制节点)中的至少一个节点通信,以确定一个或多个其他节点和/或特定节点中的至少大多数已经确定来自任务节点的消息有效。因此,某个其他节点(例如,验证节点1)可以使与某个其他节点相关联的数据结构包括与任务节点执行至少一个任务相关联的至少一个条目。作为另一个示例,某个其他节点可以与一个或多个其他节点和/或特定节点(例如,控制节点)中的至少一个节点通信,以确定一个或多个其他节点和/或特定节点中的至少大多数已经确定来自任务节点的消息无效。因此,某个其他验证节点可以使与某个其他验证节点相关联的数据结构不包括与任务节点执行至少一个任务相关联的任何条目。
如上所述,图1A至图1F作为示例被提供。其他示例可能与关于图1A至图1F所描述的不同。图1A至图1F中所示的设备的数量和布置作为示例被提供。实际上,与图1A至图1F中所示的设备相比,可能会有附加的设备、更少的设备、不同的设备或以不同方式布置的设备。此外,图1A至图1F中所示的两个或两个以上的设备可以在单个设备中实现或图1A至图1F中所示的单个设备可以被实现为多个分布式设备。附加地或备选地,图1A至图1F中所示的一组设备(例如,一个或多个设备)可以执行被描述为由图1A至图1F中所示的另一组设备执行的一个或多个功能。
图2是可以实现本文中所描述的系统和/或方法的示例环境200的示意图。如图2中所示,环境200可以包括两个QKD设备210(被示出为QKD设备210-1和QKD设备210-2)、一个或多个验证节点220(被示出为节点220-1至节点220-N,其中N≥1)、任务节点230、控制节点240和网络250。环境200的设备可以通过有线连接、无线连接或有线连接和无线连接的组合相互连接。
QKD设备210包括一个或多个设备,能够接收、生成、存储、处理、提供和/或路由与延迟量子密钥分配相关联的信息,如本文中其他地方所描述的。QKD设备210可以包括通信设备和/或计算设备。例如,QKD设备210可以包括服务器,诸如应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如,在计算硬件上执行)或云计算系统中的服务器。在一些实施方式中,QKD设备210包括在云计算环境中使用的计算硬件。QKD设备210可以通过一个或多个公共信道连接到另一个QKD设备210、一个或多个验证节点220、任务节点230和/或网络250。在一些实施方式中,QKD设备210包括波片、分束器、电光调制器、激光发射器、光波形发生器和/或与密钥的传输和/或接收相关联的其他组件。QKD设备210可以被配置为传输和/或接收调制光,该调制光包括与密钥相关联的多个空间节点。QKD设备210可以通过量子信道(例如,允许传输量子态的光学信道)连接到另一个QKD设备210。
验证节点220包括一个或多个设备,能够接收、生成、存储、处理、提供和/或路由与验证与延迟量子密钥分配相关联的消息相关联的信息。验证节点220可以包括通信设备和/或计算设备。例如,验证节点220可以包括服务器,诸如应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如,在计算硬件上执行)或云计算系统中的服务器。作为另一个示例,验证节点220可以包括路由器,诸如标签交换路由器(LSR)、标签边缘路由器(LER)、入口路由器、出口路由器、提供商路由器(例如,提供商边缘路由器或提供商核心路由器)、虚拟路由器或另一种类型的路由器。附加地或备选地,验证节点220可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如,代理服务器、云服务器、数据中心服务器等)、负载平衡器和/或类似的设备。验证节点220可以通过一个或多个公共信道连接到一个或多个其他验证节点220、任务节点230、控制节点240和/或网络250。
任务节点230包括一个或多个设备,能够接收、生成、存储、处理、提供和/或路由与执行与延迟量子密钥分配相关联的至少一个任务相关联的信息。任务节点230可以包括通信设备和/或计算设备。例如,任务节点230可以包括服务器,诸如应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如,在计算硬件上执行)或云计算系统中的服务器。作为另一个示例,任务节点230可以包括路由器,诸如LSR、LER、入口路由器、出口路由器、提供商路由器(例如,提供商边缘路由器或提供商核心路由器)、虚拟路由器或另一种类型的路由器。附加地或备选地,任务节点230可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如,代理服务器、云服务器、数据中心服务器等)、负载平衡器和/或类似的设备。任务节点230可以通过一个或多个公共信道连接到一个或多个验证节点220、控制节点240和/或网络250。
控制节点240包括一个或多个设备,能够接收、生成、存储、处理、提供和/或路由与请求执行至少一个任务和/或验证与延迟量子密钥分配相关联的消息相关联的信息。控制节点240可以包括通信设备和/或计算设备。例如,控制节点240可以包括服务器,诸如应用服务器、客户端服务器、web服务器、数据库服务器、主机服务器、代理服务器、虚拟服务器(例如,在计算硬件上执行)或云计算系统中的服务器。作为另一个示例,任务节点240可以包括路由器,诸如LSR、LER、入口路由器、出口路由器、提供商路由器(例如,提供商边缘路由器或提供商核心路由器)、虚拟路由器或另一种类型的路由器。附加地或备选地,控制节点240可以包括网关、交换机、防火墙、集线器、桥接器、反向代理、服务器(例如,代理服务器、云服务器、数据中心服务器等)、负载平衡器和/或类似的设备。控制节点240可以通过一个或多个公共信道连接到一个或多个验证节点220、控制节点230和/或网络250。
网络250包括一个或多个有线和/或无线网络。例如,网络250可以包括蜂窝网络(例如,第五代(5G)网络、第四代(4G)网络(诸如,长期演进(LTE)网络)、第三代(3G)网络、码分多址(CDDMA)网络、公用陆地移动网络(PLMN)、局域网(LAN)、广域网(WAN)、城域网(MAN)、电话网络(例如,公共交换电话网(PSTN))、专用网络、自组网络、内联网、互联网、基于光纤的网络、云计算网络等)和/或这些或其他类型的网络的组合。
图2中所示的设备和网络的数量和布置作为一个或多个示例被提供。事实上,与图2中所示的设备和/或网络相比,可能还有附加的设备和/或网络、更少的设备和/或网络、不同的设备和/或网络或以不同的方式布置的设备和/或网络。此外,图2中所示的两个或两个以上的设备可以在单个设备内实现或图2中所示的单个设备可以实现为多个分布式设备。附加地或备选地,环境200的一组设备(例如,一个或多个设备)可以执行被描述为由环境200的另一组设备执行的一个或多个功能。
图3是设备300的示例组件的示意图,该设备300可以对应于QKD设备210、验证节点220、任务节点230和/或控制节点240。在一些实施方式中,QKD设备210、验证节点220、任务节点230和/或控制节点240包括一个或者多个设备300和/或设备300的一个或者多个组件。如图3中所示,设备300可以包括总线310、处理器320、存储器330、输入组件340、输出组件350和通信组件360。
总线310包括一个或多个组件,实现设备300的组件之间的有线和/或无线通信。总线310可以将图3的两个或两个以上的组件耦合在一起,诸如通过操作耦合、通信耦合、电子耦合和/或电耦合。处理器320包括中央处理单元、图形处理单元、微处理器、控制器、微控制器、数字信号处理器、现场可编程门阵列、专用集成电路或另一种类型的处理组件。处理器320在硬件、固件或硬件和软件的组合中实现。在一些实施方式中,处理器320包括一个或多个处理器,能够被编程以执行本文中其他地方所描述的一个或多个操作或过程。
存储器330包括易失性和/或非易失性存储器。例如,存储器330可以包括随机存取存储器(RAM)、只读存储器(ROM)、硬盘驱动器和/或另一种类型的存储器(例如,闪速存储器、磁存储器和/或光学存储器)。存储器330可以包括内部存储器(例如,RAM、ROM或硬盘驱动器)和/或可移除存储器(例如,通过通用串行总线连接移除)。存储器330可以是非暂态计算机可读介质。存储器330可以存储与设备300的操作相关的信息、指令和/或软件(例如,一个或多个软件应用)。在一些实施方式中,存储器330包括一个或多个存储器,耦合到一个或多个处理器(例如,处理器320),诸如通过总线310。
输入组件340使设备300能够接收输入,诸如用户输入和/或感测到的输入。例如,输入组件340可以包括触摸屏、键盘、小键盘、鼠标、按钮、麦克风、开关、传感器、全球定位系统传感器、加速度计、陀螺仪和/或致动器。输出组件350使设备300能够提供输出,诸如通过显示器、扬声器和/或发光二极管。通信组件360使设备300能够通过有线连接和/或无线连接与其他设备通信。例如,通信组件360可以包括接收器、发送器、收发器、调制解调器、网络接口卡和/或天线。
设备300可以执行本文中所描述的一个或多个操作或过程。例如,非暂态计算机可读介质(例如,存储器330)可以存储指令集(例如,一个或多个指令或代码),以供处理器320执行。处理器320可以执行指令集以执行本文中所描述的一个或多个操作或过程。在一些实施方式中,一个或多个处理器320执行指令集,导致一个或多个处理器320和/或设备300执行本文中所描述的一个或多个操作或过程。在一些实施方式中,硬连线电路系统代替指令或与指令结合被用于执行本文中所描述的一个或多个操作或过程。附加地或备选地,处理器320可以被配置为执行本文中所描述的一个或多个操作或过程。因此,本文中所描述的实施方式并不限于硬件电路系统和软件的任何特定组合。
图3中所示的组件的数量和布置作为示例被提供。与图3中所示的组件相比,设备300还可以包括附加的组件、更少的组件、不同的组件或以不同的方式布置的组件。附加地或备选地,设备300的一组组件(例如,一个或多个组件)可以执行被描述为由设备300的另一组组件执行的一个或多个功能。
图4是设备400的示例组件的示意图。设备400可以对应于QKD设备210、验证节点220、任务节点230和/或控制节点240。在一些实施方式中,QKD设备210、验证节点220、任务节点230和/或控制节点240可以包括一个或多个设备400和/或设备400的一个或多个组件。如图4中所示,设备400可以包括一个或多个输入组件410-1至410-B(B≥1)(在下文被统称为输入组件410并且被单独称为输入组件410)、开关组件420、一个或多个输出组件430-1至430-C(C≥1)(在下文被统称为输出组件430并且被单独称为输出组件430)以及控制器440。
输入组件410可以是物理链路的一个或多个附接点,并且可以是传入业务(诸如,分组)的一个或多个进入点。输入组件410可以处理传入业务,诸如通过执行数据链路层封装或解封装。在一些实施方式中,输入组件410可以传输和/或接收分组。在一些实施方式中,输入组件410可以包括输入线卡,包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个接口卡(IFC)、分组转发组件、线卡控制器组件、输入端口、处理器、存储器和/或输入队列。在一些实施方式中,设备400可以包括一个或多个输入组件410。
开关组件420可以将输入组件410与输出组件430互连。在一些实施方式中,开关组件420可以通过一个或多个交叉开关、通过总线和/或利用共享存储器来实现。在分组最终被调度以传递到输出组件430之前,共享存储器可以充当临时缓冲区来存储来自输入组件410的分组。在一些实施方式中,开关组件420可以使输入组件410、输出组件430和/或控制器440能够彼此通信。
输出组件430可以存储分组,并且可以调度分组以在输出物理链路上传输。输出组件430可以支持数据链路层封装或解封装和/或各种更高级别的协议。在一些实施方式中,输出组件430可以传输和/或接收分组。在一些实施方式中,输出组件430可以包括输出线卡,包括一个或多个分组处理组件(例如,以集成电路的形式),诸如一个或多个IFC、分组转发组件、线卡控制器组件、输出端口、处理器、存储器和/或输出队列。在一些实施方式中,设备400可以包括一个或多个输出组件430。在一些实施方式中,输入组件410和输出组件430可以由相同组的组件实施(例如,以及输入/输出组件可以是输入组件410和输出组件430的组合)。
控制器440包括以例如CPU、GPU、APU、微处理器、微控制器、DSP、FPGA、ASIC和/或另一种类型的处理器的形式的处理器。处理器在硬件、固件或硬件和软件的组合中实施。在一些实施方式中,处理器440可以包括可以被编程以执行功能的一个或多个处理器。
在一些实施方式中,控制器440可以包括RAM、ROM和/或另一种类型的动态或静态存储设备(例如,闪速存储器、磁存储器和/或光学存储器等),存储供控制器440使用的信息和/或指令。
在一些实施方式中,控制器440可以与其他设备、网络和/或系统通信,这些其他设备、网络和/或系统被连接到设备400,以交换关于网络拓扑的信息。控制器440可以基于网络拓扑信息创建路由表,可以基于路由表创建转发表,并且可以将转发表转发给输入组件410和/或输出组件430。输入组件410和/或输出组件430可以使用转发表对传入和/或传出分组执行路由查找。
控制器440可以执行本文中所描述的一个或多个过程。响应于执行由非暂态计算机可读介质存储的软件指令,控制器440可以执行这些过程。计算机可读介质在本文中被定义为非暂态存储器设备。存储器设备包括单个物理存储设备中的内存空间或扩散到多个物理存储设备的内存空间。
软件指令可以通过通信接口被从另一个计算机可读介质或从另一个设备读入与控制器440相关联的存储器和/或存储组件中。当被执行时,在与控制器440相关联的存储器和/或存储组件中所存储的软件指令可以使控制器440执行本文中所描述的一个或多个过程。附加地或备选地,硬连线电路系统可以代替软件指令或与软件指令结合以执行本文中所描述的一个或多个过程。因此,本文中所描述的实施方式并不限于硬件电路系统和软件的任何特定组合。
图4中所示的组件的数量和布置作为示例被提供。事实上,与图4中所示的组件相比,设备400还可以包括附加的组件、更少的组件、不同的组件或以不同的方式布置的组件。附加地或备选地,设备400的一组组件(例如,一个或多个组件)可以执行被描述为由设备400的另一组组件执行的一个或多个功能。
图5是与延迟量子密钥分配相关联的示例过程500的流程图。在一些实施方式中,图5的一个或多个过程框可以由节点(例如,验证节点220)执行。在一些实施方式中,图5的一个或多个过程框由另一个设备或与节点分开或包括该节点的一组设备执行,诸如量子密钥分配设备(例如,QKD设备210)和/或一个或多个其他节点(例如,一个或多个其他验证节点220和/或任务节点230)。附加地或备选地,图5的一个或多个过程框可以由以下项执行:设备300的一个或多个组件,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;设备400的一个或多个组件,诸如输入组件410、开关组件420、输出组件430和/或控制器440;或另一设备的一个或多个组件。
如图5中所示,过程500可以包括从量子密钥分配设备接收第一消息,该第一消息包括与密钥相关联的标识符,其中密钥与特定时间窗相关联(框510)。例如,节点可以从量子密钥分配设备接收第一消息,该第一消息包括与密钥相关联的标识符。在一些实施方式中,密钥与特定时间窗相关联。
如图5中进一步所示,过程500可以包括将第二消息发送给另一节点,该第二消息包括以下至少一项:与密钥相关联的标识符或执行至少一个任务的请求(框520)。例如,节点可以将第二消息发送给另一节点,该第二消息包括以下至少一项:与密钥相关联的标识符或执行至少一个任务的请求,如上所述。
如图5中进一步所示,过程500可以包括从该另一节点接收第三消息,该第三消息包括与该另一节点执行至少一个任务相关联的信息和指示该另一节点执行至少一个任务的时间的信息(框530)。例如,节点可以从该另一节点接收第三消息,该第三消息包括与该另一节点执行至少一个任务相关联的信息和指示该另一节点执行至少一个任务的时间的信息,如上所述。
如图5中进一步所示,过程500可以包括从量子密钥分配设备接收第四消息,该第四消息包括密钥和指示特定时间窗的信息,其中第四消息是在特定时间窗到期之后接收到的(框540)。例如,节点可以从量子密钥分配设备接收第四消息,该第四消息包括密钥和指示特定时间窗的信息。在一些实施方式中,第四消息是在特定时间窗到期之后接收到的。
如图5中进一步所示,过程500可以包括基于第四消息处理第三消息,以确定第三消息是否有效(框550)。例如,节点可以基于第四消息处理第三消息,以确定第三消息是否有效,如上所述。
如图5中进一步所示,过程500可以包括基于确定第三消息是否有效,使一个或多个动作被执行(框560)。例如,节点可以基于确定第三消息是否有效,使一个或多个动作被执行,如上所述。
过程500可以包括附加实施方式,诸如任何单种实施方式或下面描述的和/或结合本文中其他地方所描述的一个或多个其他过程描述的实施方式的任何组合。
在第一实施方式中,处理第三消息以确定第三消息是否有效包括:处理第三消息以标识该另一节点执行至少一个任务的时间,处理第四消息以标识特定时间窗,确定该另一节点执行至少一个任务的时间发生在特定时间窗到期之后,以及基于确定该另一节点执行至少一个任务的时间发生在特定时间窗到期之后,确定第三消息无效。
在第二实施方式中,单独或与第一实施方式结合,处理第三消息以确定第三消息是否有效包括:处理第三消息,以标识该另一节点执行至少一个任务的时间和与该另一节点执行至少一个任务相关联的信息,处理第四消息以标识特定时间窗和密钥,确定该另一节点执行至少一个任务的时间发生在特定时间窗内,使用密钥来处理与该另一节点执行至少一个任务相关联的信息,以确定该另一节点使用密钥来生成与该另一节点执行至少一个任务相关联的信息,以及基于确定该另一节点执行至少一个任务的时间发生在特定时间窗内并且确定该另一节点使用密钥来生成与该另一节点执行至少一个任务相关联的信息,确定第三消息有效。
在第三实施方式中,单独或与第一实施方式和第二实施方式中的一个或多个实施方式结合,处理第三消息以确定第三消息是否有效包括:处理第三消息,以标识该另一节点执行至少一个任务的时间和与该另一节点执行至少一个任务相关联的信息,处理第四消息以标识特定时间窗和密钥,确定该另一节点执行至少一个任务的时间发生在特定时间窗内,使用密钥来处理与该另一节点执行至少一个任务相关联的信息,以确定该另一节点不使用密钥来生成与该另一节点执行至少一个任务相关联的信息,以及基于确定该另一节点执行至少一个任务的时间发生在特定时间窗内并且确定该另一节点不使用密钥来生成与该另一节点执行至少一个任务相关联的信息,确定第三消息无效。
在第四实施方式中,单独或与第一实施方式至第三实施方式中的一个或多个实施方式结合,与该另一节点执行至少一个任务相关联的信息包括以下至少一项:信息,由该另一节点与该另一节点执行至少一个任务相关联地生成并且由该另一节点使用密钥进行加密;或者签名,由该另一节点使用密钥与该另一节点执行至少一个任务相关联地生成。
在第五实施方式中,单独或与第一实施方式至第四实施方式中的一个或多个实施方式结合,将第二消息发送给该另一节点,使该另一节点从另一量子密钥分配设备获得密钥。
在第六实施方式中,单独或与第一实施方式至第五实施方式中的一个或多个实施方式结合,将第二消息发送给该另一节点,使该另一节点从另一量子密钥分配设备获得密钥,并且基于密钥,生成与该另一节点执行至少一个任务相关联的信息。
在第七实施方式中,单独或与第一实施方式至第六实施方式中的一个或多个实施方式结合,第三消息被确定为有效,并且使一个或多个动作被执行包括:使数据结构包括与该另一节点执行至少一个任务相关联的至少一个条目。
在第八实施方式中,单独或与第一实施方式至第七实施方式中的一个或多个实施方式结合,第三消息被确定为无效,并且使一个或多个动作被执行包括:使数据结构不包括与该另一节点执行至少一个任务相关联的任何条目。
尽管图5示出了过程500的示例框,但是在一些实施方式中,与图5所描绘的框相比较,过程500包括附加的框、较少的框、不同的框或以不同的方式布置的框。附加地或备选地,过程500的两个或两个以上的框可以并行执行。
图6是与延迟量子密钥分配相关联的示例过程600的流程图。在一些实施方式中,图6的一个或多个过程框由量子密钥分配设备(例如,QKD设备210)执行。在一些实施方式中,图6的一个或多个过程框由另一个设备或与量子密钥分配设备分开或包括该量子密钥分配设备的一组设备执行,诸如一个或多个节点(例如,一个或多个验证节点220和/或任务节点230)。附加地或备选地,图6的一个或多个过程框可以由以下项执行:设备300的一个或多个组件,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;设备400的一个或多个组件,诸如输入组件410、开关组件420、输出组件430和/或控制器440;和/或另一设备的一个或多个组件。
如图6中所示,过程600可以包括与另一量子密钥分配设备通信,以使密钥被生成(框610)。例如,量子密钥分配设备可以与另一量子密钥分配设备通信,以使密钥被生成,如上所述。
如图6中进一步所示,过程600可以包括确定与密钥相关联的标识符(框620)。例如,量子密钥分配设备可以确定与密钥相关联的标识符,如上所述。
如图6中进一步所示,过程600可以包括确定与密钥相关联的特定时间窗(框630)。例如,量子密钥分配设备可以确定与密钥相关联的特定时间窗,如上所述。
如图6中进一步所示,过程600可以包括将第一消息发送给节点,该第一消息包括与密钥相关联的标识符,其中第一消息是在特定时间窗到期之前发送给节点的(框640)。例如,量子密钥分配设备可以将第一消息发送给节点,该第一消息包括与密钥相关联的标识符,如上所述。在一些实施方式中,第一消息是在特定时间窗到期之前发送给节点的。
如图6中进一步所示,过程600可以包括将第二消息发送给节点,该第二消息包括密钥和指示特定时间窗的信息,其中第二消息是在特定时间窗到期之后发送给节点的(框650)。例如,量子密钥分配设备可以将第二消息发送给节点,该第二消息包括密钥和指示特定时间窗的信息,如上所述。在一些实施方式中,第二消息是在特定时间窗到期之后发送给节点的。
过程600可以包括附加实施方式,诸如任何单种实施方式或下面描述的和/或结合本文中其他地方所描述的一个或多个其他过程描述的实施方式的任何组合。
在第一实施方式中,过程600包括在发送第一消息之前,从节点接收第三消息,该第三消息包括对与密钥相关联的标识符的请求,其中第一消息是基于包括在第三消息中的请求发送的。
在第二实施方式中,单独或与第一实施方式结合,过程600包括将第一消息发送给一个或多个其他节点,其中第一消息是在特定时间窗到期之前发送给一个或多个其他节点的。
在第三实施方式中,单独或与第一实施方式和第二实施方式中的一个或多个实施方式结合,过程600包括将第二消息发送给一个或多个其他节点,其中第二消息是在特定时间窗到期之后发送给一个或多个其他节点的。
在第四实施方式中,单独或与第一实施方式至第三实施方式中的一个或多个实施方式结合,将第一消息发送给节点,使节点将第三消息发送给另一节点,该第三消息包括执行至少一个任务的请求,并且将第二消息发送给节点,使节点基于第二消息处理第四消息,以确定第四消息是否有效,其中第四消息包括与该另一节点执行至少一个任务相关联的信息和指示该另一节点执行至少一个任务的时间的信息。
尽管图6示出了过程600的示例框,但是在一些实施方式中,与图6所描绘的框相比较,过程600包括附加的框、较少的框、不同的框或以不同的方式布置的框。附加地或备选地,过程600的两个或两个以上的框可以并行执行。
图7是与延迟量子密钥分配相关联的示例过程700的流程图。在一些实施方式中,图7的一个或多个过程框由节点(例如,任务节点230)执行。在一些实施方式中,图7的一个或多个过程框由另一个设备或与节点分开或包括该节点的一组设备执行,诸如量子密钥分配设备(例如,QKD设备210)和/或一个或多个其他节点(例如,一个或多个其他验证节点220)。附加地或备选地,图7的一个或多个过程框可以由以下项执行:设备300的一个或多个组件,诸如处理器320、存储器330、输入组件340、输出组件350和/或通信组件360;设备400的一个或多个组件,诸如输入组件410、开关组件420、输出组件430和/或控制器440;和/或另一设备的一个或多个组件。
如图7中所示,过程700可以包括从另一节点接收第一消息,该第一消息包括与密钥相关联的标识符和执行至少一个任务的请求(框710)。例如,节点可以从另一节点接收第一消息,该第一消息包括与密钥相关联的标识符和执行至少一个任务的请求,如上所述。
如图7中进一步所示,过程700可以包括将第二消息发送给量子密钥分配设备,该第二消息包括与密钥相关联的标识符(框720)。例如,节点可以将第二消息发送给量子密钥分配设备,该第二消息包括与密钥相关联的标识符,如上所述。
如图7中进一步所示,过程700可以包括从量子密钥分配设备接收第三消息,该第三消息包括密钥和指示与密钥相关联的特定时间窗的信息(框730)。例如,节点可以从量子密钥分配设备接收第三消息,该第三消息包括密钥和指示与密钥相关联的特定时间窗的信息,如上所述。
如图7中进一步所示,过程700可以包括基于包括在第一消息中的请求执行至少一个任务(框740)。例如,节点可以基于包括在第一消息中的请求执行至少一个任务,如上所述。
如图7中进一步所示,过程700可以包括确定节点执行至少一个任务的时间在特定时间窗内(框750)。例如,节点可以确定节点执行至少一个任务的时间在特定时间窗内,如上所述。
如图7中进一步所示,过程700可以包括基于执行至少一个任务和确定节点执行至少一个任务的时间在特定时间窗内,并且使用密钥来生成与节点执行至少一个任务相关联的信息。例如,节点可以基于执行至少一个任务和确定节点执行至少一个任务的时间在特定时间窗内,并且使用密钥来生成与节点执行至少一个任务相关联的信息,如上所述。
如图7中进一步所示,过程700可以包括将第四消息发送给该另一节点,该第四消息包括与节点执行至少一个任务相关联的信息和指示节点执行至少一个任务的时间的信息(框770)。例如,节点可以将第四消息发送给该另一节点,该第四消息包括与节点执行至少一个任务相关联的信息和指示节点执行至少一个任务的时间的信息,如上所述。
过程700可以包括附加实施方式,诸如任何单种实施方式或下面描述的和/或结合本文中其他地方所描述的一个或多个其他过程描述的实施方式的任何组合。
在第一实施方式中,将第四消息发送给该另一节点,使该另一节点使用密钥来处理第四消息,以确定第四消息是否有效,其中密钥是在特定时间窗到期之后由该另一节点从另一量子密钥分配设备接收到的。
在第二实施方式,单独或与第一实施方式结合,生成与节点执行至少一个任务相关联的信息包括:基于执行至少一个任务生成数据,以及使用密钥来对数据进行加密,其中加密的数据是与节点执行至少一个任务相关联的信息。
在第三实施方式,单独或与第一实施方式和第二实施方式中的一个或多个实施方式结合,生成与节点执行至少一个任务相关联的信息包括:基于执行至少一个任务生成数据,以及使用密钥并基于数据来生成签名,其中数据和签名是与节点执行至少一个任务相关联的信息。
在第四实施方式,单独或与第一实施方式至第三实施方式中的一个或多个实施方式结合,过程700包括将第四消息发送给一个或多个附加节点。
在第五实施方式,单独或与第一实施方式至第四实施方式中的一个或多个实施方式结合,将第四消息发送给一个或多个附加节点,使一个或多个附加节点中的每个节点使用密钥来处理第四消息,以确定第四消息是否有效,其中密钥将在特定时间窗到期之后由一个或多个附加节点从另一量子密钥分配设备接收到。
尽管图7示出了过程700的示例框,但是在一些实施方式中,与图7所描绘的框相比较,过程700包括附加的框、较少的框、不同的框或以不同的方式布置的框。附加地或备选地,过程700的两个或两个以上的框可以并行执行。
前面的公开内容提供了说明和描述,但是并不旨在是详尽的或将实施方式限于所公开的精确形式。修改和变化可以根据上面的公开内容进行或可以从实施方式的实践中获得。
如本文中所使用的,术语“组件”旨在被广泛解释为硬件、固件或硬件和软件的组合。很明显,本文中所描述的系统和/或方法可以被实施在不同形式的硬件、固件或硬件和软件的组合中。用于实施这些系统和/或方法的实际专用控制硬件或软件代码并不限于实施方式。因此,本文在没有参考具体软件代码的情况下描述了系统和/或方法的操作和行为——应当理解,软件和硬件可以用于基于本文中的描述实施系统和/或方法。
尽管在权利要求书中说明和/或在说明书中公开了特征的特定组合,但是这些组合并不旨在限制各种实施方式的公开内容。实际上,这些特征中的许多特征都可以以在权利要求中没有被具体说明和/或在说明书中没有被具体公开的方式组合。尽管下面列出的每个从属权利要求都只可以直接取决于一个权利要求,但是各种实施方式的公开内容包括与权利要求组中的每个其他权利要求都结合的每个从属权利要求。如本文中所使用的,提及项目列表“中的至少一个”的短语是指这些项目的任意组合,包括单个构件。作为示例,“a、b或c中的至少一个”旨在涵盖a、b、c、a-b、a-c、b-c和a-b-c以及具有多个相同项的任何组合。
本文中所使用的元件、动作或指令不应被视为至关重要或必不可少的,除非明确被描述为如此。同样,如本文中所使用的,冠词“一”和“一个”旨在包括一个或多个项,并且可以与“一个或多个”互换使用。此外,如本文中所使用的,冠词“该”旨在包括结合冠词“该”引用的一个或多个项,并且可以与“一个或多个”互换使用。此外,如本文中所使用的,术语“集合”旨在包括一个或多个项(例如,相关项、无关项或相关项和无关项的组合),并且可以与“一个或多个”互换使用。在只指一个项的情况下,使用措辞“只有一个”或类似的语言。同样,如本文中所使用的,术语“有”、“具有”、“带有”等旨在成为开放式术语。进一步地,措辞“基于”旨在意谓“至少部分地基于”,除非另有明确说明。同样,如本文中所使用的,术语“或”在一系列中使用时旨在是包容性的,并且可以与“和/或”互换使用,除非另有明确说明(例如,如果与“任何一个”或“只有一个”结合使用)。
Claims (20)
1.一种方法,包括:
由节点从量子密钥分配设备接收第一消息,所述第一消息包括与密钥相关联的标识符,
其中所述密钥与特定时间窗相关联;
由所述节点将第二消息发送给另一节点,所述第二消息包括以下至少一项:与所述密钥相关联的所述标识符或执行至少一个任务的请求;
由所述节点从所述另一节点接收第三消息,所述第三消息包括与由所述另一节点执行所述至少一个任务相关联的信息和指示由所述另一节点执行所述至少一个任务的时间的信息;
由所述节点从所述量子密钥分配设备接收第四消息,所述第四消息包括所述密钥和指示所述特定时间窗的信息;
其中所述第四消息是在所述特定时间窗到期之后被接收到的;
由所述节点基于所述第四消息来处理所述第三消息以确定所述第三消息是否有效;以及
由所述节点基于确定所述第三消息是否有效来使一个或多个动作被执行。
2.根据权利要求1所述的方法,其中处理所述第三消息以确定所述第三消息是否有效包括:
处理所述第三消息以标识由所述另一节点执行所述至少一个任务的所述时间;
处理所述第四消息以标识所述特定时间窗;
确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗到期之后;以及
基于确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗到期之后,确定所述第三消息无效。
3.根据权利要求1所述的方法,其中处理所述第三消息以确定所述第三消息是否有效包括:
处理所述第三消息以标识由所述另一节点执行所述至少一个任务的所述时间和与由所述另一节点执行所述至少一个任务相关联的所述信息;
处理所述第四消息以标识所述特定时间窗和所述量子密钥;
确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗到期之后;
使用所述密钥来处理与由所述另一节点执行所述至少一个任务相关联的所述信息,以确定所述另一节点使用所述密钥来生成与由所述另一节点执行所述至少一个任务相关联的所述信息;以及
基于确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗内并且确定所述另一节点使用所述密钥来生成与由所述另一节点执行所述至少一个任务相关联的所述信息,确定所述第三消息有效。
4.根据权利要求1所述的方法,其中处理所述第三消息以确定所述第三消息是否有效包括:
处理所述第三消息以标识由所述另一节点执行所述至少一个任务的所述时间和与由所述另一节点执行所述至少一个任务相关联的所述信息;
处理所述第四消息以标识所述特定时间窗和所述量子密钥;
确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗到期之后;
使用所述密钥来处理与由所述另一节点执行所述至少一个任务相关联的所述信息,以确定所述另一节点不使用所述密钥来生成与由所述另一节点执行所述至少一个任务相关联的所述信息;以及
基于确定由所述另一节点执行所述至少一个任务的所述时间发生在所述特定时间窗内并且确定所述另一节点不使用所述密钥来生成与由所述另一节点执行所述至少一个任务相关联的所述信息,确定所述第三消息无效。
5.根据权利要求1所述的方法,其中与由所述另一节点执行所述至少一个任务相关联的所述信息包括以下至少一项:
信息,由所述另一节点与由所述另一节点执行所述至少一个任务相关联地生成并且由所述另一节点使用所述量子密钥进行加密;或者
签名,由所述另一节点使用所述密钥与由所述另一节点执行所述至少一个任务相关联地生成。
6.根据权利要求1所述的方法,其中将所述第二消息发送给所述另一节点使所述另一节点从另一量子密钥分配设备获得所述密钥。
7.根据权利要求1所述的方法,其中将所述第二消息发送给所述另一节点使所述另一节点:
从另一量子密钥分配设备获得所述密钥;以及
基于所述密钥,生成与由所述另一节点执行所述至少一个任务相关联的所述信息。
8.根据权利要求1所述的方法,其中所述第三消息被确定为有效,以及
其中使所述一个或多个动作被执行包括:
使数据结构包括与由所述另一节点执行所述至少一个任务相关联的至少一个条目。
9.根据权利要求1所述的方法,其中所述第三消息被确定为无效,以及
其中使所述一个或多个动作被执行包括:
使数据结构不包括与由所述另一节点执行所述至少一个任务相关联的任何条目。
10.一种非暂态计算机可读介质,存储指令集,所述指令集包括:
一个或多个指令,在由量子密钥分配设备的一个或多个处理器执行时使所述量子密钥分配设备:
与另一量子密钥分配设备通信,以使密钥被生成;
确定与所述量子密钥相关联的标识符;
确定与所述量子密钥相关联的特定时间窗;
将第一消息发送给节点,所述第一消息包括与所述密钥相关联的所述标识符,
其中所述第一消息是在所述特定时间窗到期之前被发送给所述节点的;以及
将第二消息发送给所述节点,所述第二消息包括所述密钥和指示所述特定时间窗的信息,
其中所述第二消息是在所述特定时间窗到期之后被发送给所述节点的。
11.根据权利要求10所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时进一步使所述量子密钥分配设备:
在发送所述第一消息之前,从所述节点接收第三消息,所述第三消息包括针对与所述密钥相关联的所述标识符的请求,
其中所述第一消息是基于包括在所述第三消息中的所述请求被发送的。
12.根据权利要求10所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时进一步使所述量子密钥分配设备:
将所述第一消息发送给一个或多个其他节点,
其中所述第一消息是在所述特定时间窗到期之前被发送给所述一个或多个其他节点的。
13.根据权利要求10所述的非暂态计算机可读介质,其中所述一个或多个指令在由所述一个或多个处理器执行时进一步使所述量子密钥分配设备:
将所述第二消息发送给一个或多个其他节点,
其中所述第二消息是在所述特定时间窗到期之后被发送给所述一个或多个其他节点的。
14.根据权利要求10所述的非暂态计算机可读介质,其中:
将所述第一消息发送给所述节点,使所述节点将第三消息发送给另一节点,所述第三消息包括执行至少一个任务的请求;以及
将所述第二消息发送给所述节点,使所述节点基于所述第二消息来处理第四消息以确定所述第四消息是否有效,
其中所述第四消息包括与由所述另一节点执行所述至少一个任务相关联的信息和指示由所述另一节点执行所述至少一个任务的时间的信息。
15.一种节点,包括:
一个或多个存储器;以及
一个或多个处理器,用以:
从另一节点接收第一消息,所述第一消息包括与密钥相关联的标识符和执行至少一个任务的请求;
将第二消息发送给量子密钥分配设备,所述第二消息包括与所述量子密钥相关联的所述标识符;
从所述量子密钥分配设备接收第三消息,所述第三消息包括所述密钥和指示与所述量子密钥相关联的特定时间窗的信息;
基于包括在所述第一消息中的所述请求,执行所述至少一个任务;
确定由所述节点执行所述至少一个任务的时间在所述特定时间窗内;
基于执行所述至少一个任务和确定由所述节点执行所述至少一个任务的所述时间在所述特定时间窗内,并且通过使用所述密钥,来生成与由所述节点执行所述至少一个任务相关联的信息;以及
将第四消息发送给所述另一节点,所述第四消息包括与由所述节点执行所述至少一个任务相关联的所述信息和指示由所述节点执行所述至少一个任务的所述时间的信息。
16.根据权利要求15所述的节点,其中所述一个或多个处理器在将所述第四消息发送给所述另一节点时使所述另一节点使用所述密钥来处理所述第四消息以确定所述第四消息是否有效,
其中所述密钥将在所述特定时间窗到期之后由所述另一节点从另一量子密钥分配设备接收。
17.根据权利要求15所述的节点,其中所述一个或多个处理器在生成与由所述节点执行所述至少一个任务相关联的所述信息时用以:
基于执行所述至少一个任务来生成数据;以及
使用所述密钥来对所述数据进行加密,
其中经加密的所述数据是与由所述节点执行所述至少一个任务相关联的所述信息。
18.根据权利要求15所述的节点,其中所述一个或多个处理器在生成与由所述节点执行所述至少一个任务相关联的所述信息时:
基于执行所述至少一个任务来生成数据;以及
使用所述密钥并基于所述数据来生成签名,
其中所述数据和所述签名是与由所述节点执行所述至少一个任务相关联的所述信息。
19.根据权利要求15所述的节点,其中所述一个或多个处理器还:
将所述第四消息发送给一个或多个附加节点。
20.根据权利要求19所述的节点,其中所述一个或多个处理器在将所述第四消息发送给所述一个或多个附加节点时,使所述一个或多个附加节点中的每个节点使用所述密钥来处理所述第四消息以确定所述第四消息是否有效,
其中所述密钥将在所述特定时间窗到期之后由所述一个或多个附加节点从另一量子密钥分配设备接收。
Applications Claiming Priority (2)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| US17/449,487 US11895234B2 (en) | 2021-09-30 | 2021-09-30 | Delayed quantum key-distribution |
| US17/449,487 | 2021-09-30 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115913523A true CN115913523A (zh) | 2023-04-04 |
Family
ID=78820300
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202111465552.6A Pending CN115913523A (zh) | 2021-09-30 | 2021-12-03 | 延迟量子密钥分配 |
Country Status (3)
| Country | Link |
|---|---|
| US (2) | US11895234B2 (zh) |
| EP (1) | EP4160977A1 (zh) |
| CN (1) | CN115913523A (zh) |
Family Cites Families (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN105871538B (zh) | 2015-01-22 | 2019-04-12 | 阿里巴巴集团控股有限公司 | 量子密钥分发系统、量子密钥分发方法及装置 |
| CN106161402B (zh) * | 2015-04-22 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入系统、方法及装置 |
| CN107959566A (zh) | 2016-10-14 | 2018-04-24 | 阿里巴巴集团控股有限公司 | 量子数据密钥协商系统及量子数据密钥协商方法 |
| JP6678614B2 (ja) * | 2017-03-17 | 2020-04-08 | 株式会社東芝 | 送信装置、多重量子通信システム及び多重量子通信方法 |
| US10863256B2 (en) | 2018-10-16 | 2020-12-08 | Tibit Communications, Inc. | Plug-and-play PON systems with autonomous boot mode |
| CN110224815B (zh) * | 2019-05-08 | 2021-02-09 | 北京邮电大学 | Qkd网络资源分配方法及系统 |
-
2021
- 2021-09-30 US US17/449,487 patent/US11895234B2/en active Active
- 2021-12-01 EP EP21211722.0A patent/EP4160977A1/en active Pending
- 2021-12-03 CN CN202111465552.6A patent/CN115913523A/zh active Pending
-
2024
- 2024-01-11 US US18/410,946 patent/US20240146519A1/en active Pending
Also Published As
| Publication number | Publication date |
|---|---|
| US20240146519A1 (en) | 2024-05-02 |
| EP4160977A1 (en) | 2023-04-05 |
| US11895234B2 (en) | 2024-02-06 |
| US20230099471A1 (en) | 2023-03-30 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11804967B2 (en) | Systems and methods for verifying a route taken by a communication | |
| CN107567704B (zh) | 使用带内元数据的网络路径通过验证 | |
| KR101593864B1 (ko) | 컨텐츠 중심 네트워킹 | |
| CN105009509B (zh) | 在信息中心网络中通过信任锚点扩增基于名称/前缀的路由协议 | |
| KR20130031660A (ko) | 컨텐츠 이름 기반의 네트워크 장치 및 컨텐츠 이름 생성 방법, 그리고 인증 방법 | |
| US9356776B2 (en) | Key managing system and method for sensor network security | |
| US10158706B2 (en) | Communication method for data sharing system, data sharing system, and communication node | |
| Tennekoon et al. | Prototype implementation of fast and secure traceability service over public networks | |
| CN113973007A (zh) | 基于广播加密和洋葱路由的时控性加密匿名查询方法和系统 | |
| Basu et al. | SAGE-PRoPHET: a security aided and group encounter based PRoPHET routing protocol for dissemination of post disaster situational data | |
| Buschsieweke et al. | Securing critical infrastructure in smart cities: Providing scalable access control for constrained devices | |
| Athulya et al. | Security in mobile ad-hoc networks | |
| US11895234B2 (en) | Delayed quantum key-distribution | |
| Altisen et al. | SR3: secure resilient reputation-based routing | |
| Aiash et al. | Securing address registration in Location/ID split protocol using ID-based cryptography | |
| JP6262104B2 (ja) | 匿名化メッセージシステム、端末ノード、パブリックノード、方法及びプログラム | |
| US20230361992A1 (en) | Deleting stale or unused keys to guarantee zero packet loss | |
| US20230421360A1 (en) | Automatic generation and update of connectivity association keys for media access control security protocol | |
| US11791994B1 (en) | Quantum cryptography in an internet key exchange procedure | |
| EP4277196A1 (en) | Utilizing a removable quantum random number generator for a network device | |
| CN117097667A (zh) | 保护多协议标签交换(mpls)有效负载 | |
| Li et al. | Privacy-aware secure anonymous communication protocol in CPSS | |
| Pandey et al. | DiDrip: A Secure and Distributed Protocol for Updation and Dissemination of Data in WSN | |
| CN118401947A (zh) | 联合学习过程 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |