CN112367160B - 一种虚拟量子链路服务方法与装置 - Google Patents
一种虚拟量子链路服务方法与装置 Download PDFInfo
- Publication number
- CN112367160B CN112367160B CN201910819217.8A CN201910819217A CN112367160B CN 112367160 B CN112367160 B CN 112367160B CN 201910819217 A CN201910819217 A CN 201910819217A CN 112367160 B CN112367160 B CN 112367160B
- Authority
- CN
- China
- Prior art keywords
- quantum
- virtual
- service
- application device
- node
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/085—Secret sharing or secret splitting, e.g. threshold schemes
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供了一种虚拟量子链路服务方法,包括:应用装置向服务器请求服务,服务器查找应用装置所关联的量子服务节点,选择一个虚拟链路状态,把相应的标识分别发送给两个量子服务节点,量子服务节点分别把所关联的两个共享密钥分组的异或值发送给服务器,服务器把所述两个异或值的异或值再与所述虚拟链路状态数据再进行异或运算,把所述异或运算结果及其相应的标识分别发给两个应用装置。本发明还提供了一种虚拟量子链路服务装置。本发明可以解决量子网络存在的规模量子链路并发冲突、量子中继链路延迟大等问题,本发明具有量子安全性和高效性以及服务灵活性,可广泛用于量子密钥服务领域,具有良好的应用推广前景。
Description
技术领域
本发明涉及量子密钥服务技术领域,尤其涉及一种虚拟量子链路服务方法与装置。
背景技术
量子通信网络中的量子节点一般是由一个连接经典通信网络的经典通信单元和连接量子密钥分发(Quantum Key Distribution,简称QKD)网络的量子设备单元组成。由于缺少实用的不落地量子通信中继技术,通常在QKD网络中采用量子可信中继技术。中国专利授权公告号CN 104243143 B和申请公布号CN 106972922 A公开了一种基于量子密钥分发网络的移动保密通信方法,它采取单跳转发路由寻址中继方法将加密后的信息传递到远端集控站绑定的终端设备,存在安全性扩散、效率较低和中继延迟较大等问题。中国专利授权公告号CN 109995513A公开的一种低延迟的量子密钥移动服务方法在一定程度上克服了上述方法中存在的安全性扩散、效率较低和中继延迟较大等问题。但上述方法都还存在规模量子链路并发冲突问题。
发明内容
为了解决背景技术中的量子密钥服务技术所存在的问题,本发明提供了一种虚拟量子链路服务方法与装置。本发明提供的一种虚拟量子链路服务方法,所适用的场景包括但不限于:应用装置已申请入网并获得ID标识,并已向一个或多个量子服务节点申请了随机密钥分组并且还有足够的余量,量子服务节点已把应用装置的注册信息或/和服务关联列表发给第三方服务器,所述方法包括:
步骤一:第一应用装置向第三方服务器请求与第二应用装置之间的密钥关联参数;
步骤二:第三方服务器查找第一应用装置和第二应用装置分别所关联的第一量子服务节点和第二量子服务节点,(1)如果第一量子服务节点和第二量子服务节点是同一个量子服务节点,则,第三方服务器命令第一量子服务节点计算第一应用装置的一个随机密钥分组与第二应用装置的一个随机密钥分组的异或值,并把上述异或值及其相应的标识作为一个密钥关联参数并发送第三方服务器;(2)如果第一量子服务节点和第二量子服务节点是两个不同的量子服务节点,则,第三方服务器选择或计算第一量子服务节点与第二量子服务节点之间的一个虚拟链路状态,并把相应的虚拟链路状态标识分别发送给第一量子服务节点和第二量子服务节点,第一量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第一应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器,第二量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第二应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器,第三方服务器把上述两个异或值的异或值再与上述虚拟链路状态数据再进行异或运算,把该异或运算结果及其相应的标识作为一个密钥关联参数;
步骤三:第三方服务器把上述密钥关联参数分别发送给第一应用装置和第二应用装置;
其中,上述异或运算结果的标识包括:第一应用装置和第二应用装置的随机密钥分组的标识;上述虚拟链路状态数据包括:与虚拟链路所关联的两个量子服务节点的相应共享量子密钥分组的异或值。
可选地,上述方法还包括:第一应用装置和第二应用装置基于上述密钥关联参数协商共享密钥。
可选地,上述方法还包括:第一应用装置和第二应用装置分别把上述密钥关联参数再分别发送给第三应用装置和第四应用装置,第三应用装置和第四应用装置基于上述密钥关联参数协商共享密钥。
可选地,上述方法还包括:未注册应用装置向目标网络的一个量子服务节点申请注册入网,并获得唯一的ID标识,已注册应用装置向目标网络的一个或多个量子服务节点申请随机密钥分组,并建立上述量子服务节点与上述应用装置的服务关联列表,上述量子服务节点把上述服务关联列表发送到第三方服务器。
本发明还提供了一种量子网络虚拟化装置,包括:执行上述任一个方法的应用装置、量子服务节点装置、第三方服务器装置,其中,上述装置包括软件模块、或硬件模块、或软件与硬件的集成模块。
本发明具有如下创新性:本发明实现了与QKD网络分离的量子密钥服务,不用实时协调QKD链路资源进行量子密钥可信中继,可以有效解决QKD网络中存在的规模中继链路并发冲突和可信中继延迟问题。本发明基于较高的服务效率和安全性,以及服务灵活性,本发明实施例在移动保密通信、移动办公***、VPN(金融、电力、能源、交通等)等应用领域具有良好的应用推广前景。
附图说明
图1为本发明实施例提供的一种虚拟量子链路服务方法示意图;
图2为本发明实施例提供的一种虚拟量子链路服务方法流程示意图;
图3为本发明实施例提供的一种创建虚拟链路状态的方法示意图;
图4为本发明实施例提供的一种虚拟量子链路服务量子服务节点装置示意图;
图5为本发明实施例提供的一种虚拟量子链路服务第三方服务器装置示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,作为本发明的一部分,下面首先对本发明及其中的一些术语及其内涵进行说明。
(1)本发明实施例所适用的目标量子网络包括但不限于下列网络中的任一项:量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网、其它采用点对点单跳落地转发方式进行中继传输的网络;相应地,本发明实施例中的目标量子节点包括但不限于:目标量子网络中的一部分或全部量子中继节点、目标量子网络中的一部分或全部量子服务节点(或量子接入节点)。本发明实施例中的目标量子节点适用于但不限于通过光纤接口和无线接口(或自由空间接口)接入目标量子网络的目标量子节点。
(2)本发明实施例中的虚拟化是量子网络功能的电子化或实例化,电子化或实例化后的数据可以脱离其所归属的物理网络使用。
(3)本发明实施例的目标量子中继节点是指在目标量子网络中用作中继的节点,或在一个或多个中继链路上拥有至少两个相邻节点并用作中继的节点,中继节点不存储其与相邻节点之间协商的用于中继节点功能虚拟化的密钥;量子服务节点(或称之为接入节点)是指目标量子网络中其它不用于中继的节点或不直接用于中继的节点(在一些可能的设计中,量子服务节点可通过虚拟节点用于中继);另外,针对一个具体的本发明实施例,相应的目标量子网络包含所述实施例所包含的中继节点和量子服务节点。
(4)本发明的针对量子网络的实施例所涉及的通信信道包括量子信道和传统通信网络信道,其中,除了相邻量子节点(相邻量子节点是指能够正常进行点对点QKD或量子通信的两个节点)之间的量子密钥分发需要占用量子信道或链路以外,其它通信过程都采用传统通信网络信道,传统通信网络信道包括但不限于有线通信和无线/移动/卫星通信信道中的一种或多种通信信道。
(5)本发明实施例中所使用的术语“虚拟节点路由状态”、“虚拟网络状态”、“虚拟链路网络状态”等只用于标记相应的数据或文件,而不用于限定相应的数据或文件,所有只是替换名称且并无实质性不同的方案都属于本发明的保护范围。
(6)本发明实施例中的共享密钥分组是一定数据长度的共享数据。由于不同的应用***对共享密钥长度的需求差别很大,并且点对点QKD链路的成码率存在一定差别,因此,本发明不具体限定共享密钥分组的数据长度;显然,数据长度是指按相同的数据单位(比如,比特、字节)进行计数。实际上,可以根据实际应用的QKD***成码率、应用***的具体需求或未来的行业标准要求,确定共享密钥分组的数据长度(比如,2048比特、100K字节、10M字节、1G字节、其它,任意一个满足***需求的数据长度)。需要明确的是,针对同一个实施例的每一次虚拟化过程,所有相邻目标节点之间协商的共享密钥分组具有相同的数据格式(包括但不限于数据类型、数据长度、数据的读写顺序)。
(7)本发明实施例中的全局标识是目标量子网络中所有节点保持一致的虚拟化标识,全局标识可以用于区分不同的目标量子网络,也可以用于区分目标量子网络中不同的实施例;全局标识可以采用全网统一的全局编号,也可以采用结合目标量子网络标识和全局编号的标识。
为了使本发明的技术方案及优点更加清楚,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明。
图1为本发明实施例提供的一种虚拟量子链路服务方法示意图,该方法实施例所适用的场景包括但不限于:应用装置已申请入网并获得ID标识,并已向一个或多个量子服务节点申请了随机密钥分组并且还有足够的余量,量子服务节点已把应用装置的注册信息或/和服务关联列表发给第三方服务器,所述方法包括:
S101:接收服务请求,即,第三方服务器接收第一应用装置与第二应用装置之间的密钥关联参数请求;
S102:处理服务请求:即,第三方服务器查找第一应用装置和第二应用装置分别所关联的第一量子服务节点和第二量子服务节点,(1)如果第一量子服务节点和第二量子服务节点是同一个量子服务节点,则,第三方服务器命令第一量子服务节点计算第一应用装置的一个随机密钥分组与第二应用装置的一个随机密钥分组的异或值,并把上述异或值及其相应的标识作为一个密钥关联参数并发送第三方服务器(其中,上述标识包括但不限于第一和第二应用装置的ID、第一量子服务节点的标识、两个随机密钥分组的标识);(2)如果第一量子服务节点和第二量子服务节点是两个不同的量子服务节点,则,第三方服务器选择或计算第一量子服务节点与第二量子服务节点之间的一个虚拟链路状态,并把相应的虚拟链路状态标识分别发送给第一量子服务节点和第二量子服务节点,第一量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第一应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器(其中,该标识包括但不限于第一应用装置的ID、第一量子服务节点的标识、该随机密钥分组的标识),第二量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第二应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器(其中,该标识包括但不限于第二应用装置的ID、第二量子服务节点的标识、该随机密钥分组的标识),第三方服务器把上述两个异或值的异或值再与上述虚拟链路状态数据再进行异或运算,把该异或运算结果及其相应的标识作为一个密钥关联参数(其中,该标识包括但不限于第一应用装置或/和第二应用装置的随机密钥分组的标识);
S103:提供服务,即,第三方服务器把上述密钥关联参数分别发送给第一应用装置和第二应用装置;其中,上述虚拟链路状态数据包括但不限于:与虚拟链路所关联的两个量子服务节点的相应共享量子密钥分组的异或值;上述随机密钥分组的标识包括但不限于:应用装置的ID标识、关联的量子服务节点的标识、随机密钥分组的编号。
在上述实施例中,如果第一量子服务节点与第二量子服务节点相邻,则可以把二者之间的一个共享密钥分组作为一个虚拟链路状态。
下面结合图2所示的本发明实施例提供的一种虚拟量子链路服务方法流程示意图进一步说明本发明方法,该方法流程包括:
过程1:应用装置U和应用装置V分别向量子服务节点A和量子服务节点B申请注册并获得ID标识(其中,A和B都接入了同一个量子中继网络并且二者之间至少存在一个量子中继链路),分别向A和B申请并获得一定量的随机密钥分组(分别记为Kui和Kvj,其中,i和j是自然数,用于相应的编号);A和B分别创建关联U和V的服务关联列表并上传到虚拟链路服务器;其中,服务关联列表由若干条记录组成,每一条记录代表一台已经注册的应用装置的关联信息,包括但不限于应用装置的ID标识、关联量子服务节点的标识、随机密钥分组的余量信息;
过程2:U向虚拟链路服务器请求与V之间的一个密钥关联参数;虚拟链路服务器首先对U进行身份鉴别(比如,要求应用装置输入口令,或所关联的量子服务节点ID等,如果信息不符,则需要重新输入;如果ID标识不存在或已停用,则提示重新申请或激活;如果随机密钥分组的余量不足,则拒绝服务),通过身份鉴别后,分别根据U和V的ID标识查找相应的服务关联列表,并根据服务关联列表查找到所关联的量子服务节点A和B;
过程3:虚拟链路服务器选择或计算A和B之间的一个虚拟链路状态(记为Ka⊕Kb),并把相应的虚拟链路状态标识分别发送给A和B;
过程4:A把与上述虚拟链路状态关联的共享密钥分组Ka与U的一个随机密钥分组(例如选择Ku2)的异或值及其相应的标识发送给虚拟链路服务器;B把与上述虚拟链路状态关联的共享密钥分组Kb与V的一个随机密钥分组(例如选择Kv5)的异或值及其相应的标识发送给虚拟链路服务器;
过程5:虚拟链路服务器把上述两个异或值的异或值再与上述虚拟链路状态数据再进行异或运算,即,计算:(Ka⊕Ku2)⊕(Kb⊕Kv5)⊕(Ka⊕Kb)=Ku2⊕Kv5,把Ku2⊕Kv5及其相应的随机密钥分组标识作为一个密钥关联参数,并把该密钥关联参数分别发送给U和V;
过程6:U和V协商采用Ku2或Kv5作为共享密钥。
在一种可能的设计中,把上述过程6替换为:U把Ku2⊕Ku2⊕Kv5⊕R=Kv5⊕R和R的校验值发送给V;V计算:Kv5⊕R⊕Kv5=R,再计算R的校验值,如果这两个校验值相同,则成功完成分发R;否则,重新协商;其中,R可以是明文数据,也可以是随机密钥。
在一种可能的设计中,上述量子服务节点A和量子服务节点B分别把(Ka⊕Ku2)和(Kb⊕Kv5)及其相应的标识发送给应用装置U,虚拟链路服务器把Ka⊕Kb发送给应用装置U,应用装置U计算(Ka⊕Ku2)⊕(Kb⊕Kv5)⊕(Ka⊕Kb)=Ku2⊕Kv5,再计算Ku2⊕Kv5⊕Ku2=Kv5,U和V采用Kv5作为共享密钥。
进一步地,在一种可能的设计中,在上述实施例的基础上,还可以包括:应用装置U和V分别把上述密钥关联参数再分别发送给第三应用装置和第四应用装置,第三应用装置和第四应用装置基于上述密钥关联参数协商共享密钥;其中,U和V分别作为第三应用装置和第四应用装置的虚拟链路服务代理设备并建立了服务代理绑定关系,第三应用装置和第四应用装置事先已分别获得了足量的随机密钥分组。
在一种可能的设计中,上述虚拟链路服务器可以是量子服务节点A,相应地,A可以计算:(Ka⊕Ku2)⊕(Kb⊕Kv5)⊕(Ka⊕Kb)=Ku2⊕Kv5,并把Ku2⊕Kv5及其相应的随机密钥分组标识分别发送给U和V。
上述应用装置可以向提供注册服务的量子服务节点申请随机密钥分组,也可以向其它一个或多个量子服务节点申请随机密钥分组,并分别创建相应的服务关联列表信息,也可以设置相应的优先使用的优先级。
上述实施例中的应用装置包括但不限于以下装置的任一种或多种:密码应用装置、量子服务节点的代理装置、虚拟链路服务代理装置、具有加密模式的智能设备。
上述第三方服务器包括但不限于以下装置中的任一种或多种:量子密钥服务器、虚拟链路服务器、量子服务节点装置、云服务装置、网络虚拟化服务器装置;其中,上述任一种装置可以获取一个或多个虚拟量子网络状态或虚拟链路网络状态,或者,可以获取所需要的虚拟链路状态。
下面结合图3所示的QKD网络进一步说明本发明实施例提供的创建虚拟链路状态的方法示意图。如图3所示,目标量子网络中的目标量子节点包含5个量子服务节点(S1、S2、S3、S4和S5)和5个中继节点(R1、R2、R3、R4和R5),假设S1与R1之间协商的共享量子密钥分组为Ks1r1;R1与R2之间协商的共享量子密钥分组为Kr1r2,R1与R5之间协商的共享量子密钥分组为Kr1r5;R2与R3之间协商的共享量子密钥分组为Kr2r3;R3与R4之间协商的共享量子密钥分组为Kr3r4,R3与R5之间协商的共享量子密钥分组为Kr3r5(Kr3r5=Kr5r3,其它类似),R3与S3之间协商的共享量子密钥分组为Kr3s3;S4与R5之间协商的共享量子密钥分组为Ks4r5;R4与S2之间协商的共享量子密钥分组为Kr4s2;R4与S5之间协商的共享量子密钥分组为Kr4s5。
相应的虚拟网络状态包括:R1的虚拟节点路由状态(Ks1r1⊕Kr1r2)、(Ks1r1⊕Kr1r5)、(Kr1r2⊕Kr1r5),R2的虚拟节点路由状态(Kr1r2⊕Kr2r3),R3的6个虚拟节点路由状态(Kr2r3⊕Kr3r4)、(Kr2r3⊕Kr3s3)、(Kr2r3⊕Kr5r3)、(Kr5r3⊕Kr3r4)、(Kr5r3⊕Kr3s3)、和(Kr3s3⊕Kr3r4),R4的虚拟节点路由状态(Kr3r4⊕Kr4s2)、(Kr3r4⊕Ks5r4)、(Kr4s2⊕Ks5r4),R5的虚拟节点路由状态(Ks4r5⊕Kr1r5)、(Ks4r5⊕Kr5r3)、(Kr1r5⊕Kr5r3)。
相应的虚拟链路网络状态包括S1、S2、S3、S4和S5中任意两个节点之间的虚拟链路状态,例如,S1与S2之间的虚拟链路状态:
VQL_s1s2=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)=Ks1r1⊕Kr4s2;并把Ks1r1和Kr4s2分别作为节点S1和S2的关联共享量子密钥分组,其它类似;S1与S3之间的虚拟链路状态:
VQL_s1s3=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3s3)=(Ks1r1⊕Kr1r5)⊕(Kr1r5⊕Kr5r3)⊕(Kr5r3⊕Kr3s3)=Ks1r1⊕Kr3s3;
其它(C(5,2)-2)个虚拟链路状态可以采用类似的方法计算。
在另一种可能的设计中,在上述虚拟网络状态的基础上,进一步地,S1、S2、S3、S4和S5还可以分别产生随机数分组RKs1、RKs2、RKs3、RKs4和RKs5,相应的虚拟网络状态还包括S1、S2、S3、S4和S5的虚拟节点路由状态及其标识(即,(RKs1⊕Ks1r1)、(RKs2⊕Ks2r4)、(RKs3⊕Ks3r3)、(RKs4⊕Ks4r5)和(RKs5⊕Ks5r4));相应的虚拟链路状态变为上述随机数分组RKs1、RKs2、RKs3、RKs4和RKs5中某两个的异或值。
采用上述方法可以创建目标量子网络的虚拟链路状态数据库。
显然,基于上述虚拟链路状态或虚拟网络状态进行虚拟链路服务不需要再占用QKD网络的量子链路,从而可以克服传统的量子密钥服务方法中存在的规模量子中继链路并发冲突问题。
图4为本发明实施例提供的一种虚拟量子链路服务量子服务节点装置示意图,该量子服务节点装置包括但不限于:收发器:包括各个接口模块,图4中所示的收发器包括接口模块401、接口模块402、接口模块403和接口模块404;其中,接口模块401用于向量子网络控制器411上报所述量子服务节点的拓扑信息、接收所述量子网络控制器下发的虚拟化指令;接口模块402用于向虚拟化服务器412发送虚拟节点路由状态或/和虚拟中继节点状态;接口模块403用于与相邻量子节点413协商共享量子密钥分组;接口模块404用于为应用装置或服务器414提供密钥流量服务或/和密钥协商服务;
数据处理单元405:用于通过接口模块403与相邻量子节点413协商共享量子密钥分组;可选地,还用于创建虚拟节点路由状态;可选地,还用于从QKD单元408获取量子密钥;
随机密钥服务单元406,用于产生随机数序列、按一定的数据量大小进行分组、对所述每一个分组进行随机性测试、缓存所有通过所述随机性测试的随机密钥分组,还用于输出一个或多个随机密钥分组并创建相应的关联标识;其中,所述关联标识用于定位相应的随机密钥分组,所述关联标识的内容包括但不限于:应用装置的标识、关联量子服务节点的标识、随机密钥分组的编号;
安全存储单元407,用于存储密钥数据;
节点虚拟化单元409,用于创建虚拟中继节点及其虚拟节点路由状态和/或虚拟中继节点状态、用于虚拟节点路由状态和/或虚拟中继节点状态的存储和输出管理;
虚拟链路服务单元410,用于提供以下选项中的任一项或任多项服务:
直接方法A:把与量子服务节点关联的应用终端的一个随机密钥分组与另一个应用终端的一个随机密钥分组的异或值分别发送给两个应用终端;
直接方法B:量子服务节点计算与一个虚拟链路状态关联的共享密钥分组与所述虚拟链路状态数据的异或值并得到与所述虚拟链路状态关联的另一个量子服务节点的共享密钥分组;
间接方法C:量子服务节点产生一个随机数分组,计算量子服务节点与一个虚拟链路状态关联的共享密钥分组与虚拟链路状态数据的异或值,再把所述异或值与所述随机数分组的异或值发送给与所述虚拟链路状态关联的另一个量子服务节点或第三方服务器;
间接方法D:量子服务节点选择应用终端的一个随机密钥分组,计算量子服务节点与一个虚拟链路状态关联的共享密钥分组与所述随机密钥分组的异或值并发送给第三方服务器,其中,所述虚拟链路状态数据是所关联的两个量子服务节点的相应共享密钥分组的异或值;
其中,虚拟节点路由状态包括:目标量子服务节点与两个相邻节点之间的共享密钥分组的异或值及其相应的标识;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、目标接收方的标识、数据传输方式;拓扑信息包括但不限于:量子服务节点的标识、量子服务节点与每一个相邻节点之间的链路状态;密钥数据包括但不限于以下数据中的任一项或任多项:共享密钥分组、随机数分组、随机密钥分组。
进一步地,在一种可能的设计中,在上述实施例的基础上,还包括注册服务单元,用于为应用终端提供注册服务,为应用终端分配ID标识,并把相应的注册信息发送给第三方服务器。
图5为本发明实施例提供的一种虚拟量子链路服务第三方服务器装置示意图,该第三方服务器装置包括但不限于:包括处理器501、存储器502、收发器503,可选地,还包括总线504和通信接口505。
存储器502,用于存储程序和指令;
处理器501,用于通过调用上述存储器中存储的程序和指令,执行:查找第一应用装置和第二应用装置分别所关联的第一量子服务节点和第二量子服务节点,(1)如果第一量子服务节点和第二量子服务节点是同一个量子服务节点,则,第三方服务器装置命令第一量子服务节点计算第一应用装置的一个随机密钥分组与第二应用装置的一个随机密钥分组的异或值,并把上述异或值及其相应的标识作为一个密钥关联参数并发送第三方服务器装置;(2)如果第一量子服务节点和第二量子服务节点是两个不同的量子服务节点,则,第三方服务器装置选择或计算第一量子服务节点与第二量子服务节点之间的一个虚拟链路状态,并把相应的虚拟链路状态标识分别发送给第一量子服务节点和第二量子服务节点,第一量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第一应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器装置,第二量子服务节点把与上述虚拟链路状态关联的一个共享密钥分组与第二应用装置的一个随机密钥分组的异或值及其相应的标识发送给第三方服务器装置,第三方服务器装置把上述两个异或值的异或值再与上述虚拟链路状态数据再进行异或运算,把上述异或运算结果及其相应的标识作为一个密钥关联参数;第三方服务器装置把上述密钥关联参数分别发送给第一应用装置和第二应用装置;
收发器503,用于接收应用装置或/和量子服务节点的服务请求;根据服务请求向关联的量子服务节点下发服务指令,以使上述量子服务节点根据服务指令提供相应的数据,接收量子服务节点发送的数据;把上述密钥关联参数分别发送给相应的应用装置。
总线504可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图5中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器502可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,简称RAM);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory)、硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器还可以包括上述种类的存储器的组合。
通信接口505可以为有线通信接入口、无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口、电接口或其组合。无线通信接口可以为WLAN接口。
处理器501可以是中央处理器(central processing unit,简称CPU)、网络处理器(network processor,简称NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC),可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD)、现场可编程逻辑门阵列(field-programmable gate array,简称FPGA)、通用阵列逻辑(genericarraylogic,简称GAL)或其任意组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置(或***)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(或***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。
Claims (10)
1.一种虚拟量子链路服务方法,其特征在于,适用的场景包括:应用装置已申请入网并获得ID标识,并已向一个或多个量子服务节点申请了随机密钥分组并且还有余量,量子服务节点已把应用装置的注册信息或/和服务关联列表发给第三方服务器,所述方法包括:
步骤一:第一应用装置向第三方服务器请求与第二应用装置之间的密钥关联参数,
步骤二:第三方服务器查找第一应用装置和第二应用装置分别所关联的第一量子服务节点和第二量子服务节点,(1)如果第一量子服务节点和第二量子服务节点是同一个量子服务节点,则,第三方服务器命令第一量子服务节点计算第一应用装置的一个随机密钥分组与第二应用装置的一个随机密钥分组的异或值,并把所述异或值及其标识作为一个密钥关联参数并发送第三方服务器,(2)如果第一量子服务节点和第二量子服务节点是两个不同的量子服务节点,则,第三方服务器选择第一量子服务节点与第二量子服务节点之间的一个虚拟链路状态,并把相应的虚拟链路状态标识分别发送给第一量子服务节点和第二量子服务节点,第一量子服务节点把与所述虚拟链路状态关联的一个共享密钥分组与第一应用装置的一个随机密钥分组的异或值及其标识发送给第三方服务器,第二量子服务节点把与所述虚拟链路状态关联的一个共享密钥分组与第二应用装置的一个随机密钥分组的异或值及其标识发送给第三方服务器,第三方服务器把所述两个异或值的异或值再与虚拟链路状态数据再进行异或运算,把异或运算结果及其标识作为一个密钥关联参数,
步骤三:第三方服务器把所述密钥关联参数分别发送给第一应用装置和第二应用装置,
其中,异或运算结果的标识包括:第一应用装置和/或第二应用装置的随机密钥分组的标识;所述虚拟链路状态包括虚拟链路状态标识和虚拟链路状态数据,所述虚拟链路状态标识包括全局标识、源节点和宿节点的标识,所述虚拟链路状态数据包括与虚拟链路所关联的两个量子服务节点的相应共享量子密钥分组的异或值。
2.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,包括:第一应用装置和第二应用装置基于所述密钥关联参数协商共享密钥。
3.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,包括:第一应用装置和第二应用装置分别把所述密钥关联参数再分别发送给第三应用装置和第四应用装置,第三应用装置和第四应用装置基于所述密钥关联参数协商共享密钥。
4.根据权利要求1、2或3所述的一种虚拟量子链路服务方法,其特征在于,包括:未注册应用装置向目标网络的一个量子服务节点申请注册入网,并获得唯一的ID标识,已注册应用装置向目标网络的一个或多个量子服务节点申请随机密钥分组,并建立所述量子服务节点与所述应用装置的服务关联列表,所述量子服务节点把所述服务关联列表发送到第三方服务器。
5.根据权利要求4所述的一种虚拟量子链路服务方法,其特征在于,所述应用装置包括以下装置的任一种或多种:密码应用装置、量子服务节点的代理装置、虚拟链路服务代理装置、具有加密模式的智能设备。
6.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,所述服务关联列表的内容包括:应用装置的ID标识、关联量子服务节点的标识、随机密钥分组的余量信息。
7.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,所述第三方服务器选择第一量子服务节点和第二量子服务节点之间的一个虚拟链路状态包括:从虚拟链路状态数据库中选择一个虚拟链路状态。
8.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,所述第三方服务器选择第一量子服务节点和第二量子服务节点之间的一个虚拟链路状态包括:选择一个虚拟网络状态,选择两个量子服务节点之间的一个量子密钥中继链路,从所述虚拟网络状态中把与所述量子密钥中继链路关联的全部虚拟节点路由状态数据筛选出来,计算全部虚拟节点路由状态数据的异或值,为所述异或值创建标识,其中,虚拟网络状态包括:目标量子网络中所有具有相同全局标识的量子中继节点的虚拟节点状态,一个虚拟节点状态包括:目标量子节点的具有相同全局标识的一部分或全部虚拟节点路由状态,其中,一个虚拟节点路由状态包括:目标量子节点与两个关联的相邻目标量子节点之间的共享量子密钥分组的异或值及其标识,
所述虚拟链路状态标识包括:全局标识、两个量子服务节点的标识,选择两个量子服务节点之间的一个量子密钥中继链路方法包括:根据虚拟网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、或随机选择一个可联通的量子密钥中继链路。
9.根据权利要求1所述的一种虚拟量子链路服务方法,其特征在于,所述第三方服务器包括以下装置中的任一种或多种:量子密钥服务器、虚拟链路服务器、量子服务节点装置、云服务装置、网络虚拟化服务器装置。
10.一种虚拟量子链路服务装置,其特征在于,包括:执行权利要求1~4中任一个方法的应用装置、量子服务节点装置、第三方服务器装置。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910819217.8A CN112367160B (zh) | 2019-09-01 | 2019-09-01 | 一种虚拟量子链路服务方法与装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201910819217.8A CN112367160B (zh) | 2019-09-01 | 2019-09-01 | 一种虚拟量子链路服务方法与装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN112367160A CN112367160A (zh) | 2021-02-12 |
| CN112367160B true CN112367160B (zh) | 2023-09-26 |
Family
ID=74516683
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201910819217.8A Active CN112367160B (zh) | 2019-09-01 | 2019-09-01 | 一种虚拟量子链路服务方法与装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN112367160B (zh) |
Families Citing this family (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN113193958B (zh) * | 2021-05-10 | 2023-07-07 | 成都量安区块链科技有限公司 | 一种量子密钥服务方法与*** |
| CN113328853B (zh) * | 2021-05-25 | 2023-09-08 | 成都量安区块链科技有限公司 | 一种采用量子密钥提升安全性的联盟链*** |
| CN114268441B (zh) * | 2022-03-03 | 2022-05-31 | 成都量安区块链科技有限公司 | 一种量子安全应用方法、客户端装置、服务器装置与*** |
Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1588840A (zh) * | 2004-07-26 | 2005-03-02 | 中国工商银行 | 一种基于虚拟链路的客户端与银行网的通信方法及*** |
| CN101494803A (zh) * | 2008-01-25 | 2009-07-29 | 日本电气株式会社 | 通信装置、网络***、路径管理方法和程序 |
| CN103535007A (zh) * | 2011-03-29 | 2014-01-22 | 希格默伊德解决方案有限公司 | 分布式网络的管理认证 |
| CN108270557A (zh) * | 2016-12-30 | 2018-07-10 | 科大国盾量子技术股份有限公司 | 一种基于量子通信的骨干网***及其中继方法 |
| CN109302288A (zh) * | 2018-11-12 | 2019-02-01 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络***及其应用 |
| CN109462547A (zh) * | 2018-11-13 | 2019-03-12 | 国科量子通信网络有限公司 | 基于量子城域通信网络的路径选择方法及装置 |
| CN208986952U (zh) * | 2018-11-12 | 2019-06-14 | 中共中央办公厅电子科技学院 | 量子保密通信网络***的中继装置以及包括该装置的通信网络*** |
| CN109995514A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种安全高效的量子密钥移动服务方法 |
| CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
| CN109995513A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
| CN109995511A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种基于量子密钥分发网络的移动保密通信方法 |
Family Cites Families (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN106161402B (zh) * | 2015-04-22 | 2019-07-16 | 阿里巴巴集团控股有限公司 | 基于云环境的加密机密钥注入***、方法及装置 |
-
2019
- 2019-09-01 CN CN201910819217.8A patent/CN112367160B/zh active Active
Patent Citations (11)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1588840A (zh) * | 2004-07-26 | 2005-03-02 | 中国工商银行 | 一种基于虚拟链路的客户端与银行网的通信方法及*** |
| CN101494803A (zh) * | 2008-01-25 | 2009-07-29 | 日本电气株式会社 | 通信装置、网络***、路径管理方法和程序 |
| CN103535007A (zh) * | 2011-03-29 | 2014-01-22 | 希格默伊德解决方案有限公司 | 分布式网络的管理认证 |
| CN108270557A (zh) * | 2016-12-30 | 2018-07-10 | 科大国盾量子技术股份有限公司 | 一种基于量子通信的骨干网***及其中继方法 |
| CN109995514A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种安全高效的量子密钥移动服务方法 |
| CN109995510A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种量子密钥中继服务方法 |
| CN109995513A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种低延迟的量子密钥移动服务方法 |
| CN109995511A (zh) * | 2017-12-29 | 2019-07-09 | 成都零光量子科技有限公司 | 一种基于量子密钥分发网络的移动保密通信方法 |
| CN109302288A (zh) * | 2018-11-12 | 2019-02-01 | 中共中央办公厅电子科技学院 | 一种基于量子密钥分发技术的量子保密通信网络***及其应用 |
| CN208986952U (zh) * | 2018-11-12 | 2019-06-14 | 中共中央办公厅电子科技学院 | 量子保密通信网络***的中继装置以及包括该装置的通信网络*** |
| CN109462547A (zh) * | 2018-11-13 | 2019-03-12 | 国科量子通信网络有限公司 | 基于量子城域通信网络的路径选择方法及装置 |
Non-Patent Citations (1)
| Title |
|---|
| 基于QS-KMS的VPN增强电网通信安全方案;唐鹏毅;李国春;余刚;钟军;张英华;薛路;赵子岩;闫龙川;陈智雨;卢昌斌;罗斌;高松;刘建宏;;计算机工程(12);全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN112367160A (zh) | 2021-02-12 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108023725B (zh) | 一种基于集中管理与控制网络的量子密钥中继方法和装置 | |
| CN112367160B (zh) | 一种虚拟量子链路服务方法与装置 | |
| CN110661620A (zh) | 一种基于虚拟量子链路的共享密钥协商方法 | |
| CN1819540B (zh) | 具有多个安全接口的无线网络 | |
| AU2018340618B2 (en) | Parameter protection method and device, and system | |
| CN110690961B (zh) | 一种量子网络功能虚拟化方法与装置 | |
| CN110690928B (zh) | 一种量子中继链路虚拟化方法与装置 | |
| CN108011824B (zh) | 一种报文处理方法以及网络设备 | |
| CN112367163B (zh) | 一种量子网络虚拟化方法与装置 | |
| CN110677241B (zh) | 一种量子网络虚拟化架构方法与装置 | |
| CN110059055B (zh) | 一种基于分布式私有云的文件存储及读取方法及装置 | |
| KR102299865B1 (ko) | 데이터 네트워크에 접근하기 위한 사용자의 인증에 관한 방법 및 시스템 | |
| CN110690962B (zh) | 一种服务节点的应用方法与装置 | |
| CN111786867B (zh) | 一种数据传输方法及服务器 | |
| EP3529950B1 (en) | Method for managing data traffic within a network | |
| CN112804679B (zh) | 一种网络切片连接方法、装置、存储介质及电子装置 | |
| CN111885604B (zh) | 一种基于天地一体化网络的认证鉴权方法、装置及*** | |
| CN103546276A (zh) | 通信设备、通信方法以及通信*** | |
| CN111786869B (zh) | 一种服务器之间的数据传输方法及服务器 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与*** | |
| CN110690964A (zh) | 一种量子服务区块链的创建方法与应用*** | |
| CN106358246B (zh) | 一种访问令牌颁发方法及相关设备 | |
| CN113141260B (zh) | 基于软件定义广域网sd-wan的安全访问方法、***及设备 | |
| CN109150829A (zh) | 软件定义云网络可信数据分发方法、可读存储介质和终端 | |
| CN107809387B (zh) | 一种报文传输的方法、设备及网络*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |