WO2022016593A1

WO2022016593A1 - 基于业务安全等级的量子密钥分发保护方法及系统

Info

Publication number: WO2022016593A1
Application number: PCT/CN2020/105536
Authority: WO
Inventors: 陈伯文; 马维克; 沈纲祥; 高明义; 向练; 陈虹
Original assignee: 苏州大学
Priority date: 2020-07-23
Filing date: 2020-07-29
Publication date: 2022-01-27
Also published as: CN111711517A; CN111711517B

Abstract

本发明涉及一种基于业务安全等级的量子密钥分发保护方法及系统,包括：设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；建立业务请求，并生成业务请求安全等级；根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；完成所述工作路径和保护路径相应波长的分配及量子密钥资源初始化及更新。本发明减少业务请求在传输过程中存在的故障风险，保证业务请求在传输过程的服务质量。

Description

基于业务安全等级的量子密钥分发保护方法及系统

技术领域

本发明涉及光网络量子密钥分发的技术领域，尤其是指一种基于业务安全等级的量子密钥分发保护方法及系统。

背景技术

随着光网络不断发展，光网络逐步变得容量更大、更智能、应用更广泛。在军事，经济等领域中，光网络传输数据的安全性，越来越受到人们的关注，光网络传输数据安全性的丢失，可能会影响到大量的用户与服务。如今，光网络是数据业务传输的基础设施，因为光纤介质内部的光信号固有的隔离性，光纤传输网络被认为是一个非常安全的网络。然而，随着越来越多对于光纤的攻击事件的发生，光网络遭受了越来越多的窃听与拦截。

数据加密是增强通信安全性的一种有效方法，因为它可以防止窃听者访问数据。基于量子不可克隆定理以及海森堡不确定性定理的量子密钥分发技术，可以通过随机产生的共享的安全量子密钥对两个端点之间交换的消息进行加密，从而极大提高数据业务传输的安全性。量子密钥分发产生一个共享的随机量子密钥，只有用户双方知道加密和解密的数据信息，并且单光子量子态编码关键信息，通过量子信道，可以检测出潜在的窃听者。

在目前关于量子密钥分发加密数据的光网络中，有的方案提出增加一层量子密钥分发层的光网络结构，用于量子密钥的分配，也有提出一些量子密钥分配的方案来确保业务数据传输的安全性。然而，大部分的研究主要聚焦于传统数据业务的传输，量子信道中量子密钥的产生、传输以及数据的加密，而忽略了光网络中极其重要的量子密钥保护。在量子密钥分发确保的光网络中，即使是一个简单的链路失效，也会对服务的传输和量子密钥的处理造成巨大的中断。因此，用户的数据传输将会产生安全隐患。

发明内容

为此，本发明所要解决的技术问题在于克服现有技术中在数据传输过程中存在故障风险高的问题，从而提供一种降低数据在传输过程中存在的故障风险，保证业务请求在传输过程的服务质量的基于业务安全等级的量子密钥分发保护方法及系统。

为解决上述技术问题，本发明的一种基于业务安全等级的量子密钥分发保护方法，包括：设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；建立业务请求，并生成业务请求安全等级；根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；设定量子密钥最大保护阈值，根据业务请求的安全需求程度与量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；完成所述工作路径和保护路径相应波长的分配及量子密钥的初始化与更新，完成业务请求的建立。

在本发明的一个实施例中，设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化的方法为：在光网络中配置网络拓扑结构，光网络中链路状态、网络光交换节点数、光纤链路数、链路中波长个数、波长中时间隙个数。

在本发明的一个实施例中，建立业务请求时，设置每个业务需要分配的传统工作、量子、公共交互信道波长数，每个业务分配量子密钥及量子密钥更新需要的时间隙个数。

在本发明的一个实施例中，生成业务请求安全等级的方法为：对业务请求进行预先分类，确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序。

在本发明的一个实施例中，选择最优的路径作为工作路径时，使用K条最短路径算法建立传统工作、量子信号、公共交互信道路径，若路径建立成功，则执行下一步，否则，认为业务请求发生阻塞。

在本发明的一个实施例中，对所述工作路径进行资源分配的方法为：在所选的工作路径中根据首次命中算法，为工作路径、量子信道、公共交互信道分配波长；根据首次命中算法，在量子信道、公共交互信道的特定波长中分配时间隙，分别用于量子密钥的初始化与时钟同步；在量子信道的特定波长中，根据生成的时间隙需求个数进行量子密钥更新的时间隙分配。

在本发明的一个实施例中，选择最优的路径作为保护路径时，确定每个保护路径的量子密钥共享度阈值。按照业务请求的安全需求程度，使用最短路径算法建立与量子工作信道不相交的保护路径。

在本发明的一个实施例中，对所述保护路径进行资源分配的方法为：根据首次命中算法，在链路中满足波长连续性的原则下，为量子密钥保护路径分配波长；根据首次命中算法，依据每个业务请求的量子密钥需求及量子密钥更新时间，分配相应的时间隙进行量子密钥的初始化及更新。

在本发明的一个实施例中，完成所述工作路径和保护路径相应波长的分配及量子密钥资源初始化及更新时，在为连接请求选择工作路径、量子信道、公共交互信道及保护路径，并在量子信道分配量子密钥资源后，更新链路状态。

本发明还提供了一种基于业务安全等级的量子密钥分发保护系统，包括：网络初始化模块，用于设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；业务请求模块，用于建立业务请求，并生成业务请求安全等级；工作路径模块，用于根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；保护路径模块，用于根据业务请求的安全需求程度与量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；资源分配模块，用于对所述工作路径和保护路径分配相应的波长及量子密钥资源，完成业务请求的建立。

本发明的上述技术方案相比现有技术具有以下优点：

本发明所述的基于业务安全等级的量子密钥分发保护方法及系统，对于每一个业务，为了减少量子密钥在传输过程中发生故障造成的影响，每个业务的量子密钥需要提供一条工作路径和一条保护路径。当网络发生故障时，能够把工作路径上的量子密钥倒换到保护路径上，解决量子密钥的生存性，确保数据的更加安全与传输，提高业务的安全稳定性。对于每一个连接业务请求，通过业务安全程度划分，量子密钥共享度的设置，确定业务量子密钥恢复顺序，解决光网络中量子密钥的生存性，以及量子密钥利用率问题。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施例并结合附图，对本发明作进一步详细的说明，其中

图1是本发明基于业务安全等级的量子密钥分发保护方法流程图；

图2是本发明光网络的拓扑结构图；

图3a是本发明工作路径、量子、公共交互信道波长分配示意图；

图3b是本发明保护工作路径、量子、公共交互信道波长分配示意图；

图3c是本发明量子密钥的初始化及更新示意图；

图3d是本发明量子密钥共享度为1时量子保护信道时间隙分配示意图；

图3e是本发明量子密钥共享度为2时量子保护信道时间隙分配示意图；

图4是本发明基于业务安全等级的量子密钥分发保护系统的示意图。

具体实施方式

实施例一

如图1所示，本实施例提供一种基于业务安全等级的量子密钥分发保护方法，步骤S1：设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；步骤S2：建立业务请求，并生成业务请求安全等级；步骤S3：根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；步骤S4：设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；步骤S5：完成所述工作路径和保护路径相应波长的分配及量子密钥初始化及更新，完成业务请求的建立。

本实施例所述基于业务安全等级的量子密钥分发保护方法，所述步骤S1中，设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化，有利于业务的运行；所述步骤S2中，建立业务请求，并生成业务请求安全等级，有利于实现受损业务的保护与恢复，保证业务请求在传输过程的服务质量；所述步骤S3中，根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配，有利于保证数据的安全传输，提高业务的安全稳定性；所述步骤S4中，设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配，保护技术具有更快的倒换速度，通过为每一个连接的量子密钥请求建立保护路径，有利于减少量子密钥在传输过程中发生故障造成的影响；所述步骤S5中，完成所述工作路径和保护路径相应波长的分配及量子密钥初始化与更新，完成业务请求的建立，由于在保护路径上为每一个连接请求预留量子密钥资源，当网络发生故障时，能够把工作路径上的量子密钥倒换到保护路径上，解决量子密钥的生存性，确保数据的更加安全与传输，提高业务的安全稳定性。

所述步骤S1中，设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化的方法为：在光网络中配置网络拓扑结构，光网络中链路状态、网络光交换节点数、光纤链路数、链路中波长个数、波长中时间隙的个数，有利于保证业务的稳定运行。

具体地，在光网络G _k(N,L,Λ,T,S _k)中N是节点的集合，L是有向链路的集合，Λ＝{λ ₁,λ ₂,λ ₃,…}是波长的编号集，T＝{t ₁,t ₂,t ₃,…}是波长中时间隙的编号集合，S _k＝{s ₁,s ₂,s ₃,…}是光网络中量子密钥共享度的设置集合，所述量子密钥共享度的定义为，每一个时间隙能够被多少个量子密钥共享的数量。设置光网络拓扑结构、链路状态、网络光交换节点数、光纤链路数、链路中波长个数、以及时间隙个数。

如图2所示，由6个节点和8条链路组成的网络拓扑结构图。每条光纤链路是双向的，每条链路中的波长数为40条，每个波长中有100个时间隙。量子信道、公共交互信道各分配4个波长，业务请求传输的传统信道分配28个波长，在量子信道与公共交互信道之间保留4个波长作为保护带宽。

所述步骤S2中，建立业务请求时，设置每个业务需要分配的传统工作、量子、公共交互信道波长数，每个业务分配量子密钥及量子密钥更新需要的时间隙个数。

另外，根据源节点与目的节点均匀分布产生连接请求，配置连接请求数目、不同连接请求的源节点与目的节点、带宽需求等信息。

其中业务请求用R(s,d,n，t)表示，它表示从源节点s到目的节点d的业务请求，业务请求用以加密的量子密钥个数是n个时间隙，其中，t为量子密钥的更新时间。设置每个业务需要分配的传统工作、量子、公共交互信道波长数，每个业务分配量子密钥及量子密钥更新需要的时间隙个数。

具体地，建立业务请求R ₁(1,3,2,20)、R ₂(1,3,2,30)，它们都是从源节点1到目的节点3，业务请求加密的量子密钥需求都是2个时间隙，第一个业务请求的量子密钥更新时间为20个时间隙，第二个业务请求的量子密钥更新时间为30个时间隙。

生成业务请求安全等级的方法为：对业务请求进行预先分类，确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序，有利于保证使用量子密钥加密数据的生存性服务质量。

本发明根据每一个连接请求的安全服务需求，进行量子密钥优先级划分，匹配相应的量子密钥更新时间，根据不同业务的安全服务需求程度，为每一个连接请求提供量子信号信道保护方法。当多个量子密钥资源同时发生故障时，网络能够快速确定恢复数据的优先级，减少业务请求在传输过程中存在的故障风险，保证业务请求在传输过程的服务质量。

对业务请求进行预先分类的方法为：划分所述业务请求安全等级，根据量子密钥更新时间，对业务请求进行预先分类。

业务请求生成相应的量子密钥更新时长，量子密钥更新时间越短，业务请求安全性需求越高。根据每个业务请求的安全等级，优先恢复等级高的量子密钥。当多个业务请求的量子密钥资源同时发生故障时，同一个保护时间隙资源优先恢复安全性需求高的业务请求，从而有利于实现受损业务的保护与恢复。

具体地，依据业务请求的密钥更新时间进行安全等级的划分与排序，其中两个业务请求R ₁(1,3,2,20)、R ₂(1,3,2,30)，由于R ₁的密钥更新时间更短，业务请求的安全需求更高，当发生故障时，R ₁恢复的优先级更高。

所述步骤S3中，计算从源节点到目的节点的多条候选路径时，使用K条最短路径算法建立传统工作、量子信号、公共交互信道路径，若路径建立成功，则执行下一步，否则，认为业务请求发生阻塞。

具体地，对于第一个业务请求R ₁(1,3,2,20)，从源节点1到目的节点3用K条最短路径算法计算经典数据工作路径、量子信道、公共交互信道。其中业务请求R ₁(1,3,2,20)所选择的工作路径、量子信道、公共交互信道为路径I(1-2-3)。

对所述工作路径进行资源分配的方法为：在所选的工作路径中根据首次命中算法，为工作路径、量子信道、公共交互信道分配波长；根据首次命中算法，在量子信道、公共交互信道的特定波长中分配时间隙，分别用于量子密钥的初始化与时钟同步；在量子信道的特定波长中，根据生成的时间隙需求个数进行量子密钥更新的时间隙分配。

在分配波长和时间隙的过程中，若分配成功，则进入下一步，否则，认为业务请求发生阻塞。

由于数据的加密需要灵活多变，因此不断更改两个用户之间用以加密的量子密钥信息，使得窃听者难以破解。根据业务请求生成的量子密钥更新时间，在量子信道特定中的波长中，分配相应的时间隙用于量子密钥资源的更新。

具体地，在工作路径I(1-2-3)中，根据业务请求服务的波长需求与量子密钥需求，需要在路径I(1-2-3)找到28个连续的波长用来业务请求经典数据的正常传输，找到4个连续的波长用来建立量子信道，4个连续的波长用来建立公共交互信道用来进行量子密钥的时钟同步；并且在量子信道分配的波长上找到两个连续的时间隙用来量子密钥的初始化。在更新时间20个时间隙之后，在量子信道的特定波长上，寻找两个空闲连续的时间隙用于量子密钥的更新。

所述步骤S4中，建立与量子信道不相交的保护路径时，当光网络中量子密钥共享度的设置为1时，量子信道保护路径为专用保护路径；若光网络中量子密钥共享度的设置大于1时，多个业务请求共享同一保护路径。

按照业务请求的安全需求程度，使用最短路径算法建立与量子工作信道不相交的保护路径。当S _k＝1时，此时，量子信道保护路径为专用保护路径，当S _k>1时，多个业务请求可以共享同一保护路径。若路径建立成功，则执行下一步，否则业务请求发生阻塞。当量子密钥服务发生故障时，能够根据业务请求的安全需求优先等级和量子密钥共享度，自适应地选择保护路径，以进行受损密钥自动恢复功能，形成快速保护倒换，以恢复受损量子信道。

另外，在量子信道、公共交互信道的特定波长中分配时间隙时，根据不同业务请求的安全需求，进行不同量子密钥共享度的阈值设置。其中所述量子密钥共享度的阈值反映了量子密钥资源的最大共享能力，从而能够根据用户安全服务质量要求，恰当调节量子密钥共享度的阈值，提高量子密钥资源的效率。

本发明针对量子密钥分发技术的网络生存性问题，引入量子密钥共享度的概念，还需要确定每个保护路径的量子密钥共享度阈值，通过设定每一个时间隙所能容纳的量子密钥最大保护阈值，减少因为多个量子密钥分发同时发生故障所引起的恶性竞争，并缓解安全性能提升带来的高阻塞率。

对所述保护路径进行资源分配的方法为：根据首次命中算法，在链路中满足波长连续性的原则下，为量子密钥保护路径分配波长；根据首次命中算法，依据每个业务请求的量子密钥需求及量子密钥更新时间，分配相应的时间隙进行量子密钥的初始化及更新。

其中在工作路径、量子信道、公共交互信道中，需要查找满足频段的波长资源，减少物理层损伤的影响，保证所分配的波长资源能够满足连续性条件。为了确保业务请求在光通道中的传输质量，需要在量子信道与公共交互信道之间需要分配相应的保护带宽，以确保量子信号传输和安全密钥生成率的最佳状态。

在量子信道、保护信道中，根据量子密钥的更新时间对业务请求的安全程度进行排序。通过首次命中法查找波长中空闲的时间隙资源，进行量子密钥的初始化及更新。

在连接请求数据加密并传输完成后，首先释放量子信道及相应的保护信道中每个时间隙上的量子密钥资源；释放工作路径、量子信道、公共交互信道分配的波长资源；最后，把这个连接请求所建立的工作路径、量子信道、公共交互信道拆除。

具体地，对于第一个业务请求R ₁(1,3,2,20)，从源节点1到目的节点3用最短路径算法查找一条与量子信道不相交的保护路径。其中业务请求R ₁(1,3,2,20)所选择的保护路径II(1-4-5-3)。

根据业务请求R ₁(1,3,2,20)的服务等级，设置量子密钥共享度的阈值大小，这里分两种不同的阈值情况，即S ₁＝1、S ₂＝2。首先取S ₁＝1，此时共享保护转化成专用保护，根据首次命中法和波长连续性查找可用保护波长{λ ₁，λ ₂，λ ₃，λ ₄}作为分配量子密钥资源的特定波长。在保护路径II(1-4-5-3)，根据业务需求的量子密钥个数，查找可用保护时间隙资源，即预留时间隙编号为{t ₁，t ₂}作为业务请求R ₁(1,3,2,20)的保护量子密钥初始化及更新资源。

所述步骤S5中，在为连接请求选择工作路径、量子信道、公共交互信道及保护路径，并在量子信道分配量子密钥资源后，更新链路状态，业务请求建立成功，结束任务。

具体地，建立完成工作路径和保护路径，以及分配好相应的波长及量子密钥资源，业务请求R ₁(1,3,2,20)建立成功。

所述步骤S5完成后，针对下一个业务请求可以重复上述步骤S2-S5。具体地，如业务请求R ₂(1,3,2,30)可以重复上述步骤S2-S5，在工作路径、量子信道、公共交互信道I(1-2-3)，量子保护信道II(1-4-5-3)上分别预留相应波长和时间隙进行量子密钥的初始化及更新。所选工作路径、量子、公共交互信道波长分配如图3a所示，以及量子密钥的初始化及更新如图3c所示。所选量子保护信道波长及时间隙资源分配如图3b和图3d所示。量子信道与公共交互信道在分配波长时，中间需要分配4个波长作为保护频带，来保证量子密钥的产生速率达到最佳。同样，当量子密钥共享度的阈值设置为S ₂＝2，这两个业务请求，R ₂(1,3,2,20)、R ₂(1,3,2,30)共享相同的时间隙资源，量子密钥分配如图3e所示。

实施例二

如图4所示，基于同一发明构思，本实施例提供了一种基于业务安全等级的量子密钥分发保护系统，其解决问题的原理与所述基于业务安全等级的量子密钥分发保护方法类似，重复之处不再赘述。

本实施例提供一种基于业务安全等级的量子密钥分发保护系统，包括：

网络初始化模块10，用于设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；

业务请求模块20，用于建立业务请求，并生成业务请求安全等级；

工作路径模块30，用于根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；

保护路径模块40，用于设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；

资源分配模块50，用于完成所述工作路径和保护路径相应波长的分配及量子密钥初始化及更新，完成业务请求的建立。

另外，本实施例中，还可以包括阈值设置模块，用于针对业务请求的安全需求，设置量子密钥共享度的阈值。根据用户安全要求，恰当调节量子密钥共享度的阈值。

本领域内的技术人员应明白，本申请的实施例可提供为方法、系统、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，上述实施例仅仅是为清楚地说明所作的举例，并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引伸出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims

一种基于业务安全等级的量子密钥分发保护方法，其特征在于，包括如下步骤：

步骤S1：设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；

步骤S2：建立业务请求，并生成业务请求安全等级；

步骤S3：根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；

步骤S4：设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；

步骤S5：完成所述工作路径和保护路径相应波长的分配及量子密钥初始化及更新，完成业务请求的建立。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化的方法为：在光网络中配置网络拓扑结构，光网络中链路状态、网络光交换节点数、光纤链路数、链路中波长个数、波长中时间隙个数。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：建立业务请求时，设置每个业务需要分配的传统工作、量子、公共交互信道波长数，每个业务分配量子密钥及量子密钥更新需要的时间隙个数。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：生成业务请求安全等级的方法为：对业务请求进行预先分类，确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：选择最优的路径作为工作路径时，使用K条最短路径算法建立传统工作、量子信号、公共交互信道路径，若路径建立成功，则执行下一步，否则，认为业务请求发生阻塞。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：对所述工作路径进行资源分配的方法为：在所选的工作路径中根据首次命中算法，为工作路径、量子信道、公共交互信道分配波长；根据首次命中算法，在量子信道、公共交互信道的特定波长中分配时间隙，分别用于量子密钥的初始化与时钟同步；在量子信道的特定波长中，根据生成的时间隙需求个数进行量子密钥更新的时间隙分配。
根据权利要求6所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：选择最优的路径作为保护路径时，确定每个保护路径的量子密钥共享度阈值。按照业务请求的安全需求程度，使用最短路径算法建立与量子工作信道不相交的保护路径。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：对所述保护路径进行资源分配的方法为：根据首次命中算法，在链路中满足波长连续性的原则下，为量子密钥保护路径分配波长；根据首次命中算法，依据每个业务请求的量子密钥需求及量子密钥更新时间，分配相应的时间隙进行量子密钥的初始化及更新。
根据权利要求1所述的基于业务安全等级的量子密钥分发保护方法，其特征在于：完成所述工作路径和保护路径相应波长的分配及量子密钥初始化及更新时，在为连接请求选择工作路径、量子信道、公共交互信道及保护路径，并在量子信道分配量子密钥资源后，更新链路状态。
一种基于业务安全等级的量子密钥分发保护系统，其特征在于，包括：

网络初始化模块，用于设置网络拓扑结构，对所述网络拓扑结构中的网络参数进行初始化；

业务请求模块，用于建立业务请求，并生成业务请求安全等级；

工作路径模块，用于根据连接请求的源节点和目的节点，计算从源节点到目的节点的多条候选路径，选择最优的路径作为工作路径，对所述工作路径进行资源分配；

保护路径模块，用于设定量子密钥最大保护阈值，根据业务请求的安全需求程度及量子密钥共享度，建立与量子信道不相交的保护路径，对所述保护路径进行资源分配；

资源分配模块，完成所述工作路径和保护路径相应波长的分配及量子密钥初始化及更新，更新链路状态，完成业务请求的建立。