CN106850204A - 量子密钥分配方法及*** - Google Patents
量子密钥分配方法及*** Download PDFInfo
- Publication number
- CN106850204A CN106850204A CN201710109371.7A CN201710109371A CN106850204A CN 106850204 A CN106850204 A CN 106850204A CN 201710109371 A CN201710109371 A CN 201710109371A CN 106850204 A CN106850204 A CN 106850204A
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- space
- pond
- service communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Optical Communication System (AREA)
Abstract
本发明提供一种量子密钥分配方法及***,属于信息安全技术领域。该方法包括:当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间;基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。本发明通过在检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。由于可将量子密钥池切分多个密钥空间,从而让多个网络业务能够分别利用多个密钥空间实现密钥分配,即QKD与网络业务均是“一对多”的关系,从而能够节省光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较高。
Description
技术领域
本发明涉及信息安全技术领域,更具体地,涉及一种量子密钥分配方法及***。
背景技术
随着信息与通信技术的快速发展,信息网络受到的安全威胁越来越多,网络安全形势日益越趋严峻复杂。为了实现保密通信,网络中的节点设备在进行业务通信时,通常需要通过量子密钥对信息进行加密。其中,QKD(Quantum Key Distribution,量子密钥分发)的安全性由“测量塌缩理论”、“海森堡测不准原理”及“量子不可克隆定律”的量子力学基本定律保证,具有理论上“无条件安全”的优势。由于量子密钥是实现业务安全通信的基础,从而如何分配量子密钥是个关键问题。现有的量子密钥分配方式主要是基于量子信道、经典信道及一对量子通信节点,实现为网络中一对节点设备分配量子密钥。其中,每对量子通信节点中包括量子发送节点及量子接收节点,量子信道与经典信道基于WDM(WavelengthDivision Multiplexing,波分复用)技术共用一根光纤。具体地,量子发送节点通过量子信道发送量子信号给量子接收节点,并通过量子发送节点与量子接收节点之间的经典信道交互协商以确认最终的量子密钥,从而将该量子密钥分配给网络中一对处理网络业务的节点设备。一对节点设备在处理网络业务时,量子通信节点、整条量子信道及经典信道都会被占用。若此时需要再为新的网络业务分配量子密钥,则需要等待当前这个网络业务加密及传输的过程被完成;或者再提供一对量子通信节点、量子信道及经典信道用于给新的网络业务分配量子密钥。
在实现本发明的过程中,发现现有技术至少存在以下问题:由于是采用的QKD与网络业务均是“一对一”的关系,从而浪费了光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较低。
发明内容
本发明提供一种克服上述问题或者至少部分地解决上述问题的量子密钥分配方法及***。
根据本发明的一方面,提供了一种量子密钥分配方法,该方法包括:
当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间;
基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。
根据本发明的另一方面,提供了一种量子密钥分配***,该***包括:量子网关及量子密钥池;
量子网关集成量子接收节点及量子发送节点;量子发送节点与量子接收节点通过量子信道及经典信道连接;量子发送节点与量子接收节点之间设有量子密钥池,量子密钥池包括至少一个密钥空间。
本申请提出的技术方案带来的有益效果是:
通过在检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。由于可将量子密钥池切分多个密钥空间,从而让多个网络业务能够分别利用多个密钥空间实现密钥分配,即QKD与网络业务均是“一对多”的关系,从而能够节省光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较高。
附图说明
图1为本发明实施例的一种量子密钥加密原理示意图;
图2为本发明实施例的一种量子密钥分配方法的流程示意图;
图3为本发明实施例的一种量子密钥分配方法的流程示意图;
图4为本发明实施例的一种量子密钥池构建原理示意图;
图5为本发明实施例的一种量子密钥池构建过程示意图;
图6为本发明实施例的一种量子密钥的分配与更新过程示意图;
图7为本发明实施例的一种网络场景示意图;
图8为本发明实施例的一种量子密钥分配与更新的原理示意图。
具体实施方式
下面结合附图和实施例,对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明,但不用来限制本发明的范围。
现如今,随着互联网和云计算等宽带业务的快速发展,在带来数据流量成倍增长的同时,也引入了许多网络安全问题。在传统的数据加密方案中,密钥分发通道可能会被窃听或攻击。QKD技术可以保证密钥传输的绝对安全。QKD的安全性由“测量塌缩理论”、“海森堡测不准原理”及“量子不可克隆定律”的量子力学基本定律保证,具有理论上“无条件安全”的优势。由于对量子密钥进行分配是实现业务安全通信的基础,从而如何分配量子密钥是个关键问题。
现有的量子密钥分配方式主要是基于量子信道、经典信道及一对量子通信节点,实现为网络中一对节点设备分配密钥。例如,如图1所示。以量子发送节点为Alice,量子接收节点为Bob为例。量子发送节点Alice通过量子信道发送量子信号给量子接收节点Bob,并通过两者之间的经典信道进行交互协商,以确认最终的安全密钥。目前现有的量子密钥分配方案主要是通过Alice与Bob之间进行点对点分发密钥,网络业务到达后即占用量子通信节点、整条量子信道及经典信道。由于是采用的QKD与网络业务均是“一对一”的关系,从而浪费了光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较低。
在图1中,当需要为节点1与节点2分配量子密钥时,量子通信节点(Alice和Bob)、整条量子信道及经典信道都会被占用。若此时需要再为其他网络业务分配量子密钥,需要等待现有业务加密并传输完成;或者再提供一对量子通信节点和两个通道用于给新业务分配量子密钥。
针对现有技术中的问题,本发明实施例提供了一种量子密钥分配方法。参见图2,该方法包括:201、当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间;202、基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。
本发明实施例提供的方法,通过在检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。由于可将量子密钥池切分多个密钥空间,从而让多个网络业务能够分别利用多个密钥空间实现密钥分配,即QKD与网络业务均是“一对多”的关系,从而能够节省光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较高。
作为一种可选实施例,确定量子密钥池中业务通信请求申请的密钥空间之前,还包括:
基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间。
作为一种可选实施例,确定量子密钥池中业务通信请求申请的密钥空间,包括:
对于业务通信请求对应的网络业务,确定网络业务对应的业务安全等级;
基于业务安全等级与密钥空间之间的对应关系,确定量子密钥池中业务安全等级对应的密钥空间,并作为申请的密钥空间。
作为一种可选实施例,确定量子密钥池中业务通信请求申请的密钥空间,包括:
获取业务通信请求对应的密钥长度;
根据密钥长度与密钥空间之间的对应关系,确定量子密钥池中密钥长度对应的密钥空间,并作为申请的密钥空间。
作为一种可选实施例,基于密钥空间,为业务通信请求对应的网络业务分配量子密钥,包括:
检测密钥空间在当前时间片下是否空闲;
当密钥空间在当前时间片下为空闲状态时,为网络业务分配密钥空间相应长度的密钥。
作为一种可选实施例,基于密钥空间,为业务通信请求对应的网络业务分配量子密钥之后,还包括:
统计为网络业务分配量子密钥后时间片的累积个数;
当累积个数达到密钥空间对应的密钥更新周期时,为网络业务重新分配量子密钥。
作为一种可选实施例,为网络业务重新分配量子密钥之前,还包括:
根据网络业务对应的业务安全等级,确定密钥空间对应的密钥更新周期;
或者,获取业务通信请求对应的密钥更新周期。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
本发明实施例提供了一种量子密钥分配***,该***包括:量子网关及量子密钥池;
量子网关集成量子接收节点及量子发送节点;量子发送节点与量子接收节点通过量子信道及经典信道连接;量子发送节点与量子接收节点之间设有量子密钥池,量子密钥池包括至少一个密钥空间。
本发明实施例提供的***,通过在检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。由于可将量子密钥池切分多个密钥空间,从而让多个网络业务能够分别利用多个密钥空间实现密钥分配,即QKD与网络业务均是“一对多”的关系,从而能够节省光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较高。
作为一种可选实施例,量子网关至少包括高速窄脉冲光源、单光子探测器及双向量子密钥分发模块。
作为一种可选实施例,***还包括量子中继器,量子中继器用于连接不同的量子网关。
上述所有可选技术方案,可以采用任意结合形成本发明的可选实施例,在此不再一一赘述。
基于上述实施例提供的量子密钥分配***,本发明实施例提供了一种量子密钥分配方法。参见图3,该方法包括:301、基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间;302、当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间;303、基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。
其中,301、基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间。
在执行本步骤之前,可基于上述实施例所提供的量子密钥分配***进行网络部署,本实施例对此不作具体限定。具体地,可部署网络拓扑、量子网关和可信中继。其中,可根据网络层中节点设备的位置信息和数量部署节点设备,从而构建出网络拓扑。考虑网络拓扑中业务需要建立安全通信的节点位置,这些节点之间可构建量子密钥池。在需要建立安全通信的节点位置可部署量子网关,量子网关中集成了量子发送节点及量子接收节点的功能。量子网关至少包括高速窄脉冲光源、单光子探测器及双向QKD模块,从而能够实现收发一体的QKD,并可以源源不断地产生光量子信号。另外,在网络拓扑中的每个节点间可部署可信中继。由于QKD不能进行光信号放大处理,导致传输距离受限,从而可以通过部署可信中继延长传输距离。其中,可信中继即为量子密钥分配***中的量子中继器,该量子中继器是安全可信的。
另外,由于后续量子网关之间需要实现密钥通信,从而在执行本步骤之前还可以选择密钥通信方式。本实施例不对密钥通信方式作具体限定,包括但不限于:通过选择QKD协议、量子密钥池工作波段、量子信道和经典信道,实现密钥通信。
其中,QKD协议可选用BB84协议、B92协议、六态协议及E91协议等协议中的任意一种,本实施例对此不作具体限定。在本实施例中,可采用较为成熟且现应用较多的BB84协议。
在选择量子密钥池工作波段时,可选择具有低损耗窗口1550nm的C波段(1530至1565nm)来构建量子密钥池,本实施例对此不作具体限定。通过采用C波段,可以有效降低传输损耗,延长单光子信号的传输距离及速率,以提升QKD效率。另外,将量子信道放置在C波段的高频处,即1530nm波长附近,可以有效降低拉曼散射。量子信道可源源不断传输由量子网关产生的具有不同偏振态信息的单个光量子信号,这些量子信号无法被窃听者检测。
对于量子信道与经典信道,可为两者预留保护带宽(≥200GHz),以降低四波混频效应的影响。另外,经典信道可与量子信道间隔200GHz的波长,以用于时钟同步以及量子通信节点之间的量子密钥筛选确认。
由于在本步骤中主要是对量子密钥池进行划分,从而在执行本步骤之前,还可以构建量子密钥池。本实施例不对构建量子密钥池的方式作具体限定,包括但不限于:构建QKD***;基于QKD***,整合节点间密钥资源。具体地,可将网络拓扑中的每一对量子网关(收发节点)及其量子通信链路资源搭建成一个点对点QKD***。基于QKD***,在节点设备之间构建量子密钥池,以存储量子网关产生的密钥资源。其中,网络拓扑中每一对需要建立安全业务通信的节点之间都可构建一个量子密钥池,本实施例对此不做具体限定。
量子密钥池构建完成后会源源不断产生和存储量子密钥,可支撑多业务安全通信。为了对业务通信之间的信息进行加密,还可以选择相应的密钥加密算法,本实施例不对采用的密钥加密算法作具体限定。在本实施例中可采用AES(Advanced EncryptionStandard,高级加密标准)加密算法,以替代之前的DES(Data Encryption Standard,数据加密标准)加密算法。其中,AES加密算法可以公开,业务通信的安全性取决于密钥分配的安全性。AES加密算法中密钥长度可以是128bit、192bit、256bit等长度中的任意一个,本实施例对此不作具体限定。密钥长度越长,业务被加密后暴力破解时的难度越大。相应地,业务安全等级越高。
基于上述内容,在本步骤中,可通过确定量子密钥池中每一对量子网关之间的密钥产生速率,以有效地规划密钥池中的量子密钥资源,即将量子密钥池划分为密钥空间。本实施例不对基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间的方式作具体限定,包括但不限于:基于单位时间片内的密钥产生速率,按照预设密钥长度将量子密钥池划分为密钥空间。
例如,以单位时间片的长度为1秒,每1秒的密钥产生速率为1024Kbit/s为例。基于上述内容中AES算法对应的预设密钥长度,可将量子密钥池划分为8(=1024/128)个128bit的密钥空间,也可以分为4个128bit及2个256bit的密钥空间。在划分密钥空间时,只要所有密钥空间的总密钥长度等于密钥产生速率即可,本实施例不对划分方式作具体限定。量子密钥池的构建原理可如图4所示,在图4中将量子密钥池划分成了3个密钥空间。量子密钥池构建的流程示意图可参考图5,图5表明了自网络部署到构建量子密钥池的过程。
其中,密钥长度越长,密钥空间对应的安全等级也越高。密钥更新周期越短,密钥空间对应的安全等级也越高。例如,在上述内容中,256bit长度的密钥空间比128bit长度的密钥空间安全等级更高。另外,由于密钥更新周期越短,密钥空间对应的安全等级也越高,从而事先可建立密钥更新周期及密钥空间长度,与业务安全等级之间的对应关系,以在本步骤中根据业务安全等级,来将量子密钥池划分为密钥空间。例如,以业务安全等级分为6个等级为例。第1等级为最低安全等级,对应的密钥空间长度为128bit且密钥更新周期为5s。第2等级对应的密钥空间长度为128bit且密钥更新周期为4s。第3等级对应的密钥空间长度为128bit且密钥更新周期为3s。第4等级对应的密钥空间长度为128bit且密钥更新周期为2s。第5等级对应的密钥空间长度为256bit且密钥更新周期为3s。第6等级为最高安全等级,对应的密钥空间长度为256bit且密钥更新周期为2s。其中,上述6个等级对应的密钥空间长度总和正好为密钥产生速率。
基于上述内容,本实施例不对基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间的方式作具体限定,包括但不限于:基于网关之间的密钥产生速率及密钥更新周期,划分业务安全等级;根据业务安全等级,将量子密钥池划分为密钥空间。例如,上述业务安全等级对应着4个128bit长度的密钥空间及2个256bit长度的密钥空间,从而可将量子密钥池划分为上述6个密钥空间。
其中,302、当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。
基于上述步骤301中的内容,当检测到业务通信请求时,本实施例不对确定量子密钥池中业务通信请求申请的密钥空间的方式作具体限定,包括但不限于如下两种方式。
第一种方式:对于业务通信请求对应的网络业务,确定网络业务对应的业务安全等级;基于业务安全等级与密钥空间之间的对应关系,确定量子密钥池中业务安全等级对应的密钥空间,并作为申请的密钥空间。
其中,业务通信请求中可以携带业务安全等级对应的数值。例如,以上述步骤301中划分的6个业务安全等级为例。若业务通信请求携带的业务安全等级对应的数值为3,则可确定网络业务对应的业务安全等级为第3等级,从而可确定该网络业务申请的密钥空间为128bit长度的密钥空间。另外,由于在上述步骤301中业务安全等级同时对应着密钥更新周期,从而可同时确定128bit长度的密钥空间对应的密钥更新周期为3s。
第二种方式:获取业务通信请求对应的密钥长度;根据密钥长度与密钥空间之间的对应关系,确定量子密钥池中密钥长度对应的密钥空间,并作为申请的密钥空间。
其中,密钥长度同样可由业务通信请求携带。该方式相当于业务通信请求对应的网络业务直接请求申请一定密钥长度的密钥空间。例如,当需要请求256bit长度的密钥空间时,可在业务通信请求中携带密钥长度256bit,从而可确定该网络业务申请的密钥空间为256bit长度的密钥空间。另外,由于密钥空间还对应着密钥更新周期,从而在业务通信请求中还可以携带密钥更新周期,本实施例对此不作具体限定。
其中,303、基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。
在确定网络业务申请的密钥空间后,可基于密钥空间分配量子密钥。本实施例不对基于密钥空间,为业务通信请求对应的网络业务分配量子密钥的方式作具体限定,包括但不限于:检测密钥空间在当前时间片下是否空闲;当密钥空间在当前时间片下为空闲状态时,为网络业务分配密钥空间相应长度的密钥。
在执行上述过程之前,可先根据密钥空间的密钥更新周期T及OTDM(Optical TimeDivision Multiplexing,光时分复用)技术,将每个密钥空间切分成T个时间片,每个时间片可以给网络业务按需分配量子密钥或更新量子密钥。对于一个密钥空间,在当前时间片可能会有多个网络业务申请使用以分配量子密钥,从而可先检测密钥空间在当前时间片下是否空闲,当密钥空间在当前时间片下为空闲状态时,再为网络业务分配密钥空间相应长度的密钥。
为了保障密钥的安全性,在为网络业务分配量子密钥后,还可以基于分配量子密钥的密钥空间所对应的密钥更新周期,更新网络业务使用的量子密钥。本实施例不对更新网络业务使用的量子密钥的方式作具体限定,包括但不限于:统计为网络业务分配量子密钥后时间片的累积个数;当累积个数达到密钥空间对应的密钥更新周期时,为网络业务重新分配量子密钥。
由于上述过程设计到密钥更新周期,从而还可以先确定密钥空间对应的密钥更新周期。基于上述步骤302中的内容,本实施例不对确定密钥空间对应的密钥更新周期的方式作具体限定,包括但不限于:根据网络业务对应的业务安全等级,确定密钥空间对应的密钥更新周期;或者,获取业务通信请求对应的密钥更新周期。
例如,以单位时间片的长度为1s,密钥空间对应的密钥更新周期为3s为例。此时,密钥空间对应的密钥更新周期为3个时间片。若某一网络业务在当前时间片第1s申请到了密钥空间,密钥空间为该网络业务分配了一个量子密钥。自第1s后,开始累积时间片的个数,当累积到3个时间片时,即累积个数达到密钥空间对应的密钥更新周期时,可为该网络业务重新分配量子密钥。基于上述内容,量子密钥池中量子密钥的分配与更新的流程可参考图6。
本实施例提供的量子密钥池可以应用于多种网络场景下,为了便于理解,现以图7中基于QKD与SDN(Software Defined Networking,软件定义网络)控制器的“IP+光”异构网络为例,对本实施例提供的方法流程进行说明。假设全网拓扑节点均需要建立安全通信,则每一对节点间均可按本实施例提供的方法来构建一个量子密钥池。当应用层用户向控制层SDN控制器发送安全业务请求时,则SDN控制器向密钥层请求密钥池分配与更新量子密钥。其中,业务①和业务②分别对应IP层业务和光网络层业务,密钥层量子密钥池中的量子密钥可保障业务①和业务②的安全密钥按需分配与更新。
以密钥产生速率为1024Kbit/s为例(目前实验室实际的密钥产生速率可以大于1024Kbit/s),如果选择密钥长度为128bit和256bit,按照密钥长度划分量子密钥池为4个128bit密钥空间和2个256bit密钥空间。其中,4个128bit密钥空间的密钥更新周期分别为2秒、3秒、4秒及5秒,2个256bit密钥空间的密钥更新周期分别为2秒及3秒。
按照OTDM技术切分4个128bit密钥空间为2、3、4、5个时间片,切分2个256bit密钥空间为2、3个时间片。如图8所示,图8中每个时间片可以为IP(网络)层或光网络层业务安全分配与更新量子密钥。量子密钥池的构建将QKD与业务解耦,实现了QKD与业务“一对多”的关系,可以为源宿节点间多个业务动态提供量子密钥,大大提升密钥资源的利用率。
通过在异构网络中的源宿节点之间构建量子密钥池,当业务到达时,首先对业务适配的网络层进行判断,会出现IP层和光网络层两种业务请求。在进行量子密钥分配与更新时,通过适配业务的选择对应的密钥长度与更新周期。在该量子密钥池中,密钥长度256bit及密钥更新周期2秒对应的密钥空间安全级别最高,在给新业务分配时间片时可以随机分配或首次命中分配;无空闲时间片则无法为业务提供安全密钥。当业务传输完成后,其对应密钥空间中的时间片释放,用于给下一个业务分配或更新量子密钥。
本发明实施例提供的方法,通过基于量子网关之间的密钥产生速率,将量子密钥池划分为密钥空间。当检测到业务通信请求时,确定量子密钥池中业务通信请求申请的密钥空间。基于密钥空间,为业务通信请求对应的网络业务分配量子密钥。由于可将量子密钥池切分多个密钥空间,从而让多个网络业务能够分别利用多个密钥空间实现密钥分配,即QKD与网络业务均是“一对多”的关系,从而能够节省光纤的波长资源及量子通信节点间的密钥资源。因此,密钥分配时密钥资源的利用率较高。
另外,由于可根据密钥更新周期利用OTDM技术将密钥空间切分成多个时间片,每个时间片均可以为业务提供安全密钥,从而在时间维度上让量子密钥池为多个业务动态按需分配与更新量子密钥,实现了QKD与业务的“一对多”关系。因此,进一步地提升了波长资源和量子密钥资源的利用率。
最后,通过整合量子网络源宿节点间的密钥资源,可以方便地构建量子密钥池,且建出的量子密钥池易于扩展。量子密钥池借助量子通信理论上的无条件安全特性,可以保证密钥分配时的绝对安全。
最后,本申请的方法仅为较佳的实施方案,并非用于限定本发明的保护范围。凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (10)
1.一种量子密钥分配方法,其特征在于,所述方法包括:
当检测到业务通信请求时,确定量子密钥池中所述业务通信请求申请的密钥空间;
基于所述密钥空间,为所述业务通信请求对应的网络业务分配量子密钥。
2.根据权利要求1所述的方法,其特征在于,所述确定量子密钥池中所述业务通信请求申请的密钥空间之前,还包括:
基于量子网关之间的密钥产生速率,将所述量子密钥池划分为密钥空间。
3.根据权利要求1所述的方法,其特征在于,所述确定量子密钥池中所述业务通信请求申请的密钥空间,包括:
对于所述业务通信请求对应的网络业务,确定所述网络业务对应的业务安全等级;
基于业务安全等级与密钥空间之间的对应关系,确定所述量子密钥池中所述业务安全等级对应的密钥空间,并作为申请的密钥空间。
4.根据权利要求1所述的方法,其特征在于,所述确定量子密钥池中所述业务通信请求申请的密钥空间,包括:
获取所述业务通信请求对应的密钥长度;
根据密钥长度与密钥空间之间的对应关系,确定所述量子密钥池中所述密钥长度对应的密钥空间,并作为申请的密钥空间。
5.根据权利要求1所述的方法,其特征在于,所述基于所述密钥空间,为所述业务通信请求对应的网络业务分配量子密钥,包括:
检测所述密钥空间在当前时间片下是否空闲;
当所述密钥空间在当前时间片下为空闲状态时,为所述网络业务分配所述密钥空间相应长度的密钥。
6.根据权利要求1至5中任一权利要求所述的方法,其特征在于,所述基于所述密钥空间,为所述业务通信请求对应的网络业务分配量子密钥之后,还包括:
统计为所述网络业务分配量子密钥后时间片的累积个数;
当所述累积个数达到所述密钥空间对应的密钥更新周期时,为所述网络业务重新分配量子密钥。
7.根据权利要求6所述的方法,其特征在于,所述为所述网络业务重新分配量子密钥之前,还包括:
根据所述网络业务对应的业务安全等级,确定所述密钥空间对应的密钥更新周期;
或者,获取所述业务通信请求对应的密钥更新周期。
8.一种量子密钥分配***,其特征在于,所述***包括:量子网关及量子密钥池;
所述量子网关集成量子接收节点及量子发送节点;所述量子发送节点与所述量子接收节点通过量子信道及经典信道连接;所述量子发送节点与所述量子接收节点之间设有所述量子密钥池,所述量子密钥池包括至少一个密钥空间。
9.根据权利要求8所述的***,其特征在于,所述量子网关至少包括高速窄脉冲光源、单光子探测器及双向量子密钥分发模块。
10.根据权利要求8所述的***,其特征在于,所述***还包括量子中继器,所述量子中继器用于连接不同的量子网关。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710109371.7A CN106850204A (zh) | 2017-02-27 | 2017-02-27 | 量子密钥分配方法及*** |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710109371.7A CN106850204A (zh) | 2017-02-27 | 2017-02-27 | 量子密钥分配方法及*** |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN106850204A true CN106850204A (zh) | 2017-06-13 |
Family
ID=59134966
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710109371.7A Pending CN106850204A (zh) | 2017-02-27 | 2017-02-27 | 量子密钥分配方法及*** |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN106850204A (zh) |
Cited By (13)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107248913A (zh) * | 2017-07-28 | 2017-10-13 | 浙江九州量子信息技术股份有限公司 | 一种基于动态组网故障检测的量子密钥同步***及方法 |
| CN107453820A (zh) * | 2017-09-12 | 2017-12-08 | 中南大学 | 基于独立时钟源的连续变量量子密钥分发***及实现方法 |
| CN107483196A (zh) * | 2017-09-08 | 2017-12-15 | 中南大学 | 基于连续变量量子密钥分发的数据流加密***及其实现方法 |
| CN108667526A (zh) * | 2018-03-14 | 2018-10-16 | 北京邮电大学 | 一种光传送网中多业务的安全传送方法、装置及设备 |
| CN109005034A (zh) * | 2018-09-19 | 2018-12-14 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
| CN109150518A (zh) * | 2018-09-14 | 2019-01-04 | 北京信息科技大学 | 一种面向量子密钥分发的双信道信息传输方法 |
| CN110149204A (zh) * | 2019-05-09 | 2019-08-20 | 北京邮电大学 | Qkd网络的密钥资源分配方法及*** |
| CN110213050A (zh) * | 2019-06-04 | 2019-09-06 | 苏州科达科技股份有限公司 | 密钥生成方法、装置及存储介质 |
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN113179514A (zh) * | 2021-03-25 | 2021-07-27 | 北京邮电大学 | 中继共存场景下的量子密钥分发方法及相关设备 |
| CN114499864A (zh) * | 2022-04-18 | 2022-05-13 | 浙江九州量子信息技术股份有限公司 | 一种面向云计算平台的量子密钥调度方法 |
| CN117176345A (zh) * | 2023-10-31 | 2023-12-05 | ***量子科技有限公司 | 量子密码网络密钥中继动态路由方法、装置及*** |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192919A (zh) * | 2006-11-21 | 2008-06-04 | 中兴通讯股份有限公司 | 实现用户自定义安全等级的方法 |
| CN101572601A (zh) * | 2009-06-09 | 2009-11-04 | 普天信息技术研究院有限公司 | 一种数据加密传输方法及装置 |
| CN102665209A (zh) * | 2012-05-10 | 2012-09-12 | 佛山科学技术学院 | 无线传感器网络密钥设置方法 |
| CN103987034A (zh) * | 2014-04-30 | 2014-08-13 | 南京邮电大学 | 一种野战环境中士兵信息的隐私保护方法 |
| US20150036819A1 (en) * | 2013-07-31 | 2015-02-05 | Oki Electric Industry Co., Ltd. | Quantum-key-distribution receiving device and method for using single-photon detector |
| CN104468097A (zh) * | 2015-01-13 | 2015-03-25 | 中国人民解放军理工大学 | 一种基于量子密钥分发的安全数据通信实现方法 |
| CN104618387A (zh) * | 2015-02-14 | 2015-05-13 | 安徽量子通信技术有限公司 | 将sip信令用于量子安全通信***的方法、综合接入量子网关及*** |
| CN105119941A (zh) * | 2015-09-16 | 2015-12-02 | 浙江神州量子网络科技有限公司 | 量子***盖章及验证***及其配置、盖章流程和验证方法 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及*** |
-
2017
- 2017-02-27 CN CN201710109371.7A patent/CN106850204A/zh active Pending
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN101192919A (zh) * | 2006-11-21 | 2008-06-04 | 中兴通讯股份有限公司 | 实现用户自定义安全等级的方法 |
| CN101572601A (zh) * | 2009-06-09 | 2009-11-04 | 普天信息技术研究院有限公司 | 一种数据加密传输方法及装置 |
| CN102665209A (zh) * | 2012-05-10 | 2012-09-12 | 佛山科学技术学院 | 无线传感器网络密钥设置方法 |
| US20150036819A1 (en) * | 2013-07-31 | 2015-02-05 | Oki Electric Industry Co., Ltd. | Quantum-key-distribution receiving device and method for using single-photon detector |
| CN103987034A (zh) * | 2014-04-30 | 2014-08-13 | 南京邮电大学 | 一种野战环境中士兵信息的隐私保护方法 |
| CN104468097A (zh) * | 2015-01-13 | 2015-03-25 | 中国人民解放军理工大学 | 一种基于量子密钥分发的安全数据通信实现方法 |
| CN104618387A (zh) * | 2015-02-14 | 2015-05-13 | 安徽量子通信技术有限公司 | 将sip信令用于量子安全通信***的方法、综合接入量子网关及*** |
| CN105119941A (zh) * | 2015-09-16 | 2015-12-02 | 浙江神州量子网络科技有限公司 | 量子***盖章及验证***及其配置、盖章流程和验证方法 |
| CN105357001A (zh) * | 2015-12-10 | 2016-02-24 | 安徽问天量子科技股份有限公司 | 量子密钥动态分发的管理方法及*** |
Non-Patent Citations (1)
| Title |
|---|
| 吴佳楠: "基于BB84协议的量子保密通信网络流量控制策略", 《吉林大学学报》 * |
Cited By (21)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107248913B (zh) * | 2017-07-28 | 2023-08-15 | 浙江九州量子信息技术股份有限公司 | 一种基于动态组网故障检测的量子密钥同步***及方法 |
| CN107248913A (zh) * | 2017-07-28 | 2017-10-13 | 浙江九州量子信息技术股份有限公司 | 一种基于动态组网故障检测的量子密钥同步***及方法 |
| CN107483196B (zh) * | 2017-09-08 | 2020-02-18 | 中南大学 | 基于连续变量量子密钥分发的数据流加密***及其实现方法 |
| CN107483196A (zh) * | 2017-09-08 | 2017-12-15 | 中南大学 | 基于连续变量量子密钥分发的数据流加密***及其实现方法 |
| CN107453820A (zh) * | 2017-09-12 | 2017-12-08 | 中南大学 | 基于独立时钟源的连续变量量子密钥分发***及实现方法 |
| CN108667526A (zh) * | 2018-03-14 | 2018-10-16 | 北京邮电大学 | 一种光传送网中多业务的安全传送方法、装置及设备 |
| CN108667526B (zh) * | 2018-03-14 | 2020-06-19 | 北京邮电大学 | 一种光传送网中多业务的安全传送方法、装置及设备 |
| CN109150518A (zh) * | 2018-09-14 | 2019-01-04 | 北京信息科技大学 | 一种面向量子密钥分发的双信道信息传输方法 |
| CN109150518B (zh) * | 2018-09-14 | 2020-12-18 | 北京信息科技大学 | 一种面向量子密钥分发的双信道信息传输方法 |
| CN109005034A (zh) * | 2018-09-19 | 2018-12-14 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109005034B (zh) * | 2018-09-19 | 2020-10-02 | 北京邮电大学 | 一种多租户量子密钥供应方法及装置 |
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
| CN110149204A (zh) * | 2019-05-09 | 2019-08-20 | 北京邮电大学 | Qkd网络的密钥资源分配方法及*** |
| CN110149204B (zh) * | 2019-05-09 | 2021-01-05 | 北京邮电大学 | Qkd网络的密钥资源分配方法及*** |
| CN110213050A (zh) * | 2019-06-04 | 2019-09-06 | 苏州科达科技股份有限公司 | 密钥生成方法、装置及存储介质 |
| CN111147232A (zh) * | 2019-11-25 | 2020-05-12 | 北京邮电大学 | Qkd通信节点及其量子密钥资源迁移方法和装置 |
| CN113179514A (zh) * | 2021-03-25 | 2021-07-27 | 北京邮电大学 | 中继共存场景下的量子密钥分发方法及相关设备 |
| CN114499864A (zh) * | 2022-04-18 | 2022-05-13 | 浙江九州量子信息技术股份有限公司 | 一种面向云计算平台的量子密钥调度方法 |
| CN114499864B (zh) * | 2022-04-18 | 2022-07-12 | 浙江九州量子信息技术股份有限公司 | 一种面向云计算平台的量子密钥调度方法 |
| CN117176345A (zh) * | 2023-10-31 | 2023-12-05 | ***量子科技有限公司 | 量子密码网络密钥中继动态路由方法、装置及*** |
| CN117176345B (zh) * | 2023-10-31 | 2024-01-09 | ***量子科技有限公司 | 量子密码网络密钥中继动态路由方法、装置及*** |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN106850204A (zh) | 量子密钥分配方法及*** | |
| Cao et al. | Key on demand (KoD) for software-defined optical networks secured by quantum key distribution (QKD) | |
| Cao et al. | The evolution of quantum key distribution networks: On the road to the qinternet | |
| Zhao et al. | Resource allocation in optical networks secured by quantum key distribution | |
| US10348493B2 (en) | Quantum key distribution system, method and apparatus based on trusted relay | |
| Cao et al. | KaaS: Key as a service over quantum key distribution integrated optical networks | |
| Cao et al. | Time-scheduled quantum key distribution (QKD) over WDM networks | |
| Aguado et al. | Secure NFV orchestration over an SDN-controlled optical network with time-shared quantum key distribution resources | |
| Sasaki et al. | Field test of quantum key distribution in the Tokyo QKD Network | |
| EP2003812B1 (en) | Method and device for managing cryptographic keys in secret communications network | |
| EP2366231B1 (en) | Method of establishing a quantum key for use between network nodes | |
| CN108111305B (zh) | 多类型量子终端兼容的融合网络接入***和方法 | |
| CN108206740A (zh) | 增强qkd中的量子信道上的秘密密钥速率交换的设备和方法 | |
| US11949783B1 (en) | Quantum key distribution and management in passive optical networks | |
| JP2017514404A (ja) | ネットワークで秘密または鍵を生成する方法 | |
| CN106712941B (zh) | 一种光网络中量子密钥的动态更新方法与*** | |
| CN106878006B (zh) | 基于光时分复用的量子密钥通道传输方法与*** | |
| CN107294960A (zh) | 一种软件定义网络控制通道的安全保障方法 | |
| Pistoia et al. | Paving the way toward 800 Gbps quantum-secured optical channel deployment in mission-critical environments | |
| CN103888940A (zh) | 多级加密与认证的wia-pa网络手持设备的通讯方法 | |
| Sharma et al. | Efficient ordering policy for secret key assignment in quantum key distribution-secured optical networks | |
| EP3782325A1 (en) | Path computation engine and method of configuring an optical path for quantum key distribution | |
| CN108540286A (zh) | 一种可切换多类型量子终端网络通信***与密钥分配方法 | |
| CN114499838A (zh) | 一种中心对称的qkd环型多用户***及其密钥分发方法 | |
| US20130347112A1 (en) | Method for a fine optical line monitoring in communication lines through qkd systems |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20170613 |