CN113541931A - 量子通信虚拟设备的创建方法及相关设备 - Google Patents
量子通信虚拟设备的创建方法及相关设备 Download PDFInfo
- Publication number
- CN113541931A CN113541931A CN202010317011.8A CN202010317011A CN113541931A CN 113541931 A CN113541931 A CN 113541931A CN 202010317011 A CN202010317011 A CN 202010317011A CN 113541931 A CN113541931 A CN 113541931A
- Authority
- CN
- China
- Prior art keywords
- virtual
- quantum
- quantum key
- equipment
- quantum communication
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04B—TRANSMISSION
- H04B10/00—Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
- H04B10/70—Photonic quantum communication
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L41/00—Arrangements for maintenance, administration or management of data switching networks, e.g. of packet switching networks
- H04L41/08—Configuration management of networks or network elements
- H04L41/0803—Configuration setting
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0435—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply symmetric encryption, i.e. same key used for encryption and decryption
Landscapes
- Engineering & Computer Science (AREA)
- Signal Processing (AREA)
- Computer Networks & Wireless Communication (AREA)
- Physics & Mathematics (AREA)
- Computer Security & Cryptography (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Optics & Photonics (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
- Telephonic Communication Services (AREA)
Abstract
本申请提供了一种量子通信虚拟设备的创建方法,该方法通过接收用户所发送的量子虚拟设备分配请求,然后通过虚拟化技术,从资源共享池中获取相应的虚拟资源,再根据该虚拟资源配置量子通信虚拟设备。该方法通过虚拟化技术,将部分实体资源转化为虚拟资源,并将虚拟资源进行分配,将分配的虚拟资源配置为量子通信虚拟设备,不用通过建立部分实体量子通信设备便可实现量子通信,从而解决多租户情况下,数据中心云端因建立过多实体量子通信设备所产生的量子通信设备堆积的问题。另外,本申请还提供了量子通信方法、量子通信***以及量子通信虚拟设备的创建装置。
Description
技术领域
本申请涉及通信安全技术领域,特别是涉及一种量子通信虚拟设备的创建方法及相关设备。
背景技术
量子保密通信是利用单光子不可分割、未知量子态不精确可复制的量子特性,实现通信双方间安全密钥的分发,并利用安全密钥保障数据安全传输的技术。该保密通信方式的具体过程是由通信两端的量子通信设备来实现的。例如:用户通过建立于用户端的量子通信设备产生的量子密钥对业务数据进行加密,并将加密业务数据发送给数据中心,而数据中心接收到该加密业务数据后,将启动与该用户对接的量子通信设备,对加密业务数据的内容进行解密,以得到业务数据。因此,进行量子通信的前提是在通信的两端部署量子通信设备。
目前,一种量子通信设备的创建方法,该方法是由专业技术人员在使用现场搭建实体量子通信设备,如在用户侧建立实体量子通信设备;与此同时,在与该用户对接的数据中心也需建立量子通信设备,从而实现用户与数据中心的量子通信。
但是,随着数据中心对接用户的增多,在数据中心侧所建立的实体量子通信设备也会随之增多,从而导致数据中心的实体量子通信设备出现堆积。
发明内容
有鉴于此,本申请提供了一种量子通信虚拟设备的创建方法,以解决数据中心因建立过多实体量子通信设备,导致出现量子通信设备堆积的问题。另外,本申请还提供了一种量子通信虚拟设备的创建装置,用以保证所述方法在实际中的应用及实现。
为实现所述目的,本申请提供的技术方案如下:
第一方面,本申请提供了一种量子通信虚拟设备的创建方法,包括:
接收用户发送的量子通信虚拟设备分配请求;其中所述量子通信虚拟设备分配请求中包括需求信息,所述需求信息用于表示所需创建的量子通信虚拟设备的配置情况;
使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源;
将所述虚拟资源配置为所述用户的量子通信虚拟设备。
第二方面,本申请提供了一种量子通信***,包括:数据中心侧及用户设备侧;其中:
所述用户设备侧部署有第一量子密钥分发设备、量子密钥管理设备及量子密钥加密设备,且所述量子密钥管理设备分别与所述第一量子密钥分发设备及所述量子密钥加密设备相连;
所述数据中心侧部署有第二量子密钥分发设备、量子密钥虚拟管理设备及量子密钥虚拟加密设备,且所述量子密钥虚拟管理设备分别与所述第二量子密钥分发设备及所述第一量子密钥虚拟加密设备相连。
第三方面,本申请提供了一种量子通信方法,应用于第二方面中的量子通信***,该方法包括:
第一量子密钥分发设备,用于生成第一量子密钥;
量子密钥管理设备,用于获得所述第一量子密钥,并将所述第一量子密钥发送给所述量子密钥加密设备;
量子密钥加密设备,用于使用所述第一量子密钥对业务数据加密,并将加密后的业务数据发送至所述量子密钥虚拟加密设备;和/或使用所述第一量子密钥对量子密钥虚拟加密设备发送过来的加密后的业务数据进行解密;
第二量子密钥分发设备,用于生成第二量子密钥;其中,所述第一量子密钥与所述第二量子密钥为对称的量子密钥;
量子密钥虚拟管理设备,用于获得第二量子密钥,并将所述第二量子密钥发送给所述量子密钥虚拟加密设备;
量子密钥虚拟加密设备,使用所述第二量子密钥对业务数据加密,并将加密后的业务数据发送至所述量子密钥加密设备;和/或使用所述第二量子密钥对量子密钥加密设备发送过来的加密后的业务数据进行解密。
第四方面,本申请提供了一种量子通信虚拟设备的创建装置,包括:
请求接收模块,用于接收用户发送的量子通信虚拟设备分配请求;其中所述量子通信虚拟设备分配请求中包括需求信息,所述需求信息用于表示所需创建的量子通信虚拟设备的配置情况;
虚拟化模块,用于使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源;
配置模块,用于将所述虚拟资源配置为所述用户的量子通信虚拟设备。
由上述技术方案可知,本申请提供了一种量子通信虚拟设备的创建方法,该方法通过接收用户所发送的量子虚拟设备分配请求,然后通过虚拟化技术,从资源共享池中获取相应的虚拟资源,再根据该虚拟资源配置量子通信虚拟设备。该方法通过虚拟化技术,将实体资源转化为虚拟资源,并将虚拟资源进行分配,将分配的虚拟资源配置为量子通信虚拟设备,不用通过建立实体量子通信设备便可实现量子通信,从而解决因建立过多实体量子通信设备所产生的量子通信设备堆积的问题。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为现有的一种量子通信结构框图;
图2为本申请提供的量子通信虚拟设备的创建方法的流程图;
图3为本申请提供的另一种量子通信虚拟设备的创建方法的流程图;
图4为本申请提供的资源共享池的结构框图;
图5为本申请提供的另一种资源共享池的结构框图;
图6为本申请提供的量子云密钥管理与安全服务***的结构框图;
图7为本申请提供的量子通信结构框图;
图8为本申请提供的量子通信***;
图9为本申请提供的一种量子通信虚拟设备的创建装置。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
在现有技术中,量子通信是通过搭建实体的量子通信设备来实现的。量子通信设备包括:量子密钥分发设备、量子密钥管理设备以及量子密钥加密设备。量子通信过程如图1所示,图1中分为三个部分,云数据中心A、云数据中心B以及用户端。在云数据中心中存在量子密钥管理服务***、量子密钥管理设备、一个或多个量子密钥加密设备以及一个或多个量子密钥分发设备;用户侧有量子密钥分发设备、量子密钥管理设备以及量子密钥加密设备。
如图1所示,在该量子通信中,存在两个通信网络,一是普通的通信网络,如因特网、局域网等,用于传输业务数据;二是量子密钥分发网络,该网络是由量子密钥分发技术搭建而成,在该网络中存在一个或多个量子密钥分发设备,进行通信的两端量子密钥分发设备会不间断的生成对称的量子密钥,并由各自的量子密钥管理设备分别保存,量子密钥分发网络便是用于实现通信两端的量子密钥的分发。
具体量子通信的过程为,覆盖用户侧所在地理位置的量子密钥分发设备会实时与数据中心的量子密钥分发设备进行协商,并生成具有对称关系的量子密钥,并保存到各自的量子密钥管理设备中。用户向数据中心发起业务数据的安全传输请求时,部署于用户侧的量子密钥加密设备根据该请求,向量子密钥管理设备申请量子密钥,根据所申请的量子密钥对业务数据进行加密,并结合加密算法得到加密业务数据,将加密业务数据通过普通的通信网络发送给数据中心。此时,数据中心接收到加密业务数据之后,由部署于数据中心的量子密钥加密设备向部署于数据中心的量子密钥管理设备申请与用户侧申请的量子密钥为对称关系的量子密钥,数据中心侧的量子密钥加密设备再根据所申请的量子密钥对加密业务数据进行解密,以得到用户侧所发送的业务数据,进而再将业务数据进行保存。
如图1所示,部署于用户1侧的量子密钥分发设备向云数据中心A的量子密钥分发设备1进行协商,协商之后生成具有对称关系的量子密钥。当用户1向云数据中心A发起业务数据的加密传输时,部署于用户1侧的量子密钥加密设备向部署于用户1侧的量子密钥管理设备申请量子密钥,并根据该量子密钥对业务数据进行加密,以得到加密业务数据,并通过通信网络发送给云数据中心A。云数据中心A接收到该加密业务数据之后,云数据中心A中的量子密钥加密设备向部署于云数据中心A的量子密钥管理设备申请与用户1侧申请的量子密钥为对称关系的量子密钥,并根据该量子密钥对加密业务数据进行解密,以得到业务数据,并将业务数据保存。
现有技术中,当用户端增多时,数据中心A中需要搭建实体的量子通信设备来为用户端进行服务,量子通信设备会越来越多,形成堆积。
为此,本申请提供了一种量子通信虚拟设备的创建方法,应用于量子通信虚拟设备创建平台,该创建平台也可以称为量子云密钥管理与安全服务***。参见图2,该方法具体包括步骤S201-S203。其中:
S201:接收用户发送的量子通信虚拟设备分配请求;其中量子通信虚拟设备分配请求中包括需求信息,需求信息用于表示所需创建的量子通信虚拟设备的配置情况。
具体地,在进行量子通信之前,需要由用户向创建平台发送请求,以请求在创建平台创建与该用户端的量子通信设备对应的量子通信虚拟设备。用户向创建平台发送配置量子通信虚拟设备的请求,即量子通信虚拟设备的分配请求。该分配请求中包含需求信息,需求信息可以是用户端的量子通信设备的工作参数信息,如用户端量子通信设备CPU的使用率、内容占用量以及存储空间占用量等。将该工作参数信息加入至分配请求中,发送给创建平台。或者,需求信息可以是对业务数据的加密需求,如需求1分钟不低于100次的业务数据加密。当然,需要说明的是,需求信息还可以包括用户端量子通信设备的其他信息,此处不再具体说明。
S202:使用虚拟化技术,从预先设置的资源共享池中获取与需求信息对应的虚拟资源。
需要说明的是,虚拟化技术是资源管理技术,是将计算机设备的各种实体资源,如服务器、网络、内存及存储等,予以抽象、转换后呈现出来,打破实体结构间的不可切割的障碍,使用户可以比原本的组态更好的方式来应用这些资源。这些资源的新虚拟部分是不受现有资源的架设方式,地域或物理组态所限制。
具体地,创建平台所管理的数据中心中可以设置资源共享池,资源共享池由实体计算机设备搭建而成。创建平台从分配请求中获取需求信息之后,则启动虚拟化技术,将资源共享池中的内存模块实体、计算模块实体、存储模块实体进行虚拟化,以得到虚拟资源。其中,虚拟资源包括:内存资源、存储资源和计算资源等。根据所获取到的需求信息,划分对应的虚拟资源。例如:需求信息所指示的需求为CPU使用率为30%,内存占用为8G,存储空间占用50G,根据此需求信息,在虚拟资源中划分相应的虚拟资源,如在虚拟资源中划分CPU使用率为40%,内存占用划分为12G,存储空间占用划分为70G。需要说明的是,上述数值仅供参考,具体划分情况可由管理人员进行配置。
S203:将虚拟资源配置为用户的量子通信虚拟设备。
需要说明的是,在对量子通信虚拟设备进行配置之前,可以从需求信息中获取用户侧的量子通信设备的工作参数信息以及拓扑位置信息。其中,前已述及,工作参数信息可以用于在数据中心创建与用户侧的量子通信设备相对应的量子通信虚拟设备,而拓扑位置信息用于指定与量子通信虚拟设备进行通信的用户端的位置信息。
具体地,根据上述划分的虚拟资源,对该虚拟资源进行虚拟机的配置。具体为,将与该量子通信虚拟设备相关的软件以及运行***安装至该虚拟资源中,并指定用户端的拓扑位置信息等,从而完成配置。
需要说明的是,可以从数据中心的资源共享池中,虚拟出一个或多个量子通信虚拟设备。
由上述技术方案可知,本申请提供了一种量子通信虚拟设备的创建方法,该方法通过接收用户所发送的量子虚拟设备分配请求,然后通过虚拟化技术,从资源共享池中获取相应的虚拟资源,再根据该虚拟资源配置量子通信虚拟设备。该方法通过虚拟化技术,将实体资源转化为虚拟资源,并将虚拟资源进行分配,将分配的虚拟资源配置为量子通信虚拟设备,不用通过建立实体量子通信设备便可实现量子通信,从而解决因建立过多实体量子通信设备所产生的量子通信设备堆积的问题。需要说明的是,云数据中心多租户(用户)情况下,比较容易产生设备的堆积问题,因此本方法对于多租户(用户)的场景中数据中心云端产生的堆积问题,具有相对较好的实现效果。
在一个示例中,量子通信虚拟设备的创建方法的另一实施方式,参见图3,具体包括步骤S301-S303。其中:
S301:接收用户发送的量子通信虚拟设备分配请求;其中量子通信虚拟设备分配请求中包括需求信息,需求信息用于表示所需创建的量子通信虚拟设备的配置情况。
此步骤与上述实施例中步骤S201一致,此处不再具体说明。
需要说明的是,量子通信虚拟设备包括:量子通信虚拟管理设备以及量子通信虚拟加密设备。
S302:使用虚拟化技术,从预先设置的管理资源共享池中获取与需求信息对应的虚拟管理资源;以及使用虚拟化技术,从预先设置的加密资源共享池中获取与需求信息对应的虚拟加密资源。
需要说明的是,创建平台将资源共享池分为两类:参见图4,管理资源共享池(也可以称为量子密钥虚拟管理资源池)以及加密资源共享池(也可以称为量子密钥虚拟加密资源池)。需求信息中包括:用户端的量子密钥管理设备的需求信息以及量子密钥加密设备需求信息。
具体地,根据用户端的量子密钥管理设备需求信息从管理资源共享池中分配与该需求信息对应的虚拟管理资源;根据用户端的量子密钥加密设备需求信息从加密资源共享池中分配与该需求信息对应的虚拟加密资源。
S303:将虚拟管理资源配置为用户的量子密钥虚拟管理设备;以及将虚拟加密资源配置为用户的量子密钥虚拟加密设备。
需要说明的是,对虚拟资源进行配置的过程可以是由创建平台自动完成配置,也可以由管理人员手动配置,此处不再具体说明。
具体地,将量子密钥虚拟管理设备相关的软件以及运行***安装至该虚拟管理资源中,完成量子密钥虚拟管理设备的配置;将量子密钥虚拟加密设备相关的软件以及***安装至该虚拟加密资源中,完成量子密钥虚拟加密设备的配置。从而实现创建平台量子通信设备的虚拟化建设。如图5所示,在管理共享资源池中建立量子密钥虚拟管理设备,在加密共享资源池中建立量子密钥虚拟加密设备。
由上述技术方案可知,本申请提供了一种量子通信虚拟设备的创建方法,该方法通过接收用户所发送的量子虚拟设备分配请求,然后通过虚拟化技术,从资源共享池中获取相应的虚拟资源,再根据该虚拟资源配置量子通信虚拟设备。该方法通过虚拟化技术,将实体资源转化为虚拟资源,并将虚拟资源进行分配,将分配的虚拟资源配置为量子通信虚拟设备,不用通过建立实体量子通信设备便可实现量子通信,从而解决因建立过多实体量子通信设备所产生的量子通信设备堆积的问题。
量子通信虚拟设备的创建方法应用在量子云密钥管理与安全服务***上。参见图6,该***安装于某个数据中心。每个量子通信网络均会设置一个量子云密钥管理与安全服务***。其中,该***包括两种服务,即量子云密钥管理服务以及量子云资源管理服务。其中量子云密钥管理服务,用于监控量子密钥分发流程、中继流程和应用管理;量子云资源管理服务,用于获取所有数据中心的管理资源池、加密资源池、量子密钥虚拟管理设备以及量子密钥虚拟加密设备所上报的运行状态。
在一个示例中,量子通信虚拟设备的创建方法,还可以包括如下步骤:
监控量子通信虚拟设备中虚拟资源的运行状态;根据运行状态,对量子通信虚拟设备中的虚拟资源进行动态调节。
具体地,量子云资源管理服务将管理资源池、加密资源池、量子密钥虚拟管理设备以及量子密钥虚拟加密设备所上报的运行状态进行监控,并根据各个设备所上报的实时运行状态,对虚拟资源进行动态调节。
在一个示例中,根据运行状态,对量子通信虚拟设备中的虚拟资源进行动态调节的具体实施方式为:
若运行状态满足预设回收条件,则按照预设回收策略,将量子通信虚拟设备中的虚拟资源进行回收至资源共享池;若运行状态满足预设新增条件,则按照预设新增策略,从资源共享池中获得新的虚拟资源,并将新的虚拟资源分配给量子通信虚拟设备。
具体地,运行状态用于反映虚拟资源的使用情况,如虚拟资源的利用率。量子云资源管理服务根据各个量子通信虚拟设备所上报的运行状态,动态调整虚拟资源。例如:分配给量子通信虚拟设备的虚拟资源的利用率低于50%,则说明该量子通信虚拟设备的虚拟资源较为空闲,此种情况下,按照预设的回收策略将部分虚拟资源进行回收;若所分配给量子通信虚拟设备的虚拟资源的利用率大于80%,则该量子通信虚拟设备的虚拟资源可能不足,此种情况下,按照预设新增策略,从资源共享池中获取新的虚拟资源,并添加至该量子通信虚拟设备中。通过该方式来调节资源共享池中的虚拟资源,从而实现资源共享池的最大化利用。
在一个示例中,量子通信虚拟设备的创建方法,还可以具体包括如下步骤:
监控资源共享池的使用率;若资源共享池的使用率超过预设使用率阈值,则向数据中心运管平台申请虚拟资源添加至资源共享池中。
具体地,量子云资源管理服务对资源共享池进行监控,会每隔一定的时间,对资源共享池的资源使用率进行调整,若某个资源共享池的使用率超过预设使用率阈值,则向数据中心运管平台申请添加虚拟资源,经数据中心运管平台同意之后,将为该资源共享池添加新的虚拟资源。如量子云资源管理服务监测到某个资源共享池的使用率为80%,此种情况表示该资源共享池的空闲资源不足,此种情况下,量子云资源管理服务将向数据中心运管平台发送为该资源共享池添加虚拟资源的申请,经数据中心运管平台同意后,将为该资源共享池添加新分配的虚拟资源。
本申请提供了一种量子通信***,该***包括:数据中心侧及用户设备侧。其中:
用户设备侧部署有第一量子密钥分发设备、量子密钥管理设备及量子密钥加密设备,且量子密钥管理设备分别与第一量子密钥分发设备及量子密钥加密设备相连。
数据中心侧部署有第二量子密钥分发设备、量子密钥虚拟管理设备及量子密钥虚拟加密设备,且量子密钥虚拟管理设备分别与第二量子密钥分发设备及量子密钥虚拟加密设备相连。
参见图7,图7所示的是本申请所提供的量子通信网络的部分结构框图。其搭建数据中心侧的量子通信虚拟设备的过程可以是:用户向数据中心发送量子通信虚拟设备的分配请求,数据中心根据用户侧所发送的分配请求,从资源共享池中获取与该分配请求相对应的虚拟资源,并根据虚拟资源建立对应的量子密钥虚拟管理设备以及量子密钥虚拟加密设备,从而与用户端的量子密钥管理设备以及量子密钥加密设备形成对接。在用户侧:通过量子密钥分发设备生成用于加密/解密的量子密钥,由量子密钥管理设备将量子密钥分发设备生成的量子密钥进行保存;在数据中心侧,通过量子密钥分发设备生成用于加密/解密的量子密钥,由量子密钥虚拟管理设备将量子密钥分发设备生成的量子密钥进行保存。
具体地,部署于用户侧所在地理位置的量子密钥分发设备与部署于数据中心的量子密钥分发设备实时协商,经协商之后生成量子密钥,并保存到相应的量子密钥管理设备中。当用户向数据中心发起业务数据的加密传输请求时,部署于用户侧的量子密钥加密设备根据该请求向用户侧的量子密钥管理设备申请量子密钥1,对业务数据进行加密,并根据加密算法,得到加密业务数据,将加密业务数据通过通信网络发送给数据中心。当数据中心接收到用户通过通信网络发送过来的加密业务数据之后,启动部署于数据中心侧的量子密钥虚拟加密设备,由该量子密钥虚拟加密设备向部署于数据中心侧的量子密钥虚拟管理设备申请与用户侧申请的量子密钥为对称关系的量子密钥2,根据量子密钥2对加密业务数据进行解密,以得到业务数据,进而将业务数据保存。
例如图7所示,部署于用户1侧的量子密钥分发设备与部署于数据中心A侧的量子密钥分发设备实时进行协商,且协商之后生成具有对称关系的量子密钥1和量子密钥2,并将量子密钥保存在对应的量子密钥管理设备中。当用户发起业务数据的加密传输请求时,用户1侧的量子密钥加密设备根据用户所发送的加密请求,向量子密钥管理设备申请此次量子通信所需的量子密钥1,并根据该量子密钥1对业务数据进行加密,得到加密业务数据,并通过通信网络发送给数据中心A侧。当数据中心A接收到加密业务数据后,由部署于数据中心A侧的量子密钥虚拟加密设备向部署于数据中心A侧的量子密钥虚拟管理设备申请量子密钥2,并根据量子密钥2对加密业务数据进行解密操作,以得到业务数据。
需要说明的是,属于同一个量子通信网络中,数据中心可能存在多个,且相邻的两个或多数据中心也存在业务数据通信,如备份某个数据中心的业务数据,具体为:数据中心A向数据中心B发送分配请求,数据中心B根据数据中心A的分配请求,在数据中心B的资源共享池中获取对应的虚拟资源,根据该虚拟资源建立与数据中心A的量子通信虚拟设备对接的量子通信虚拟设备,进而再进行数据传输。如图7所示,部署于数据中心A的量子密钥分发设备1与数据中心B的量子密钥分发设备进行协商之后,各自生成具有对称关系的量子密钥3和量子密钥4,并保存到各自的量子密钥虚拟管理设备中。当数据中心A向数据中心B发起备份数据的加密传输请求时,由部署于数据中心A的量子密钥虚拟加密设备向部署于数据中心A的量子密钥虚拟管理设备申请此次量子通信所需的量子密钥3,根据该量子密钥3对备份数据进行加密,以得到加密备份数据,并通过通信网络发送给数据中心B。数据中心B接收到该加密备份数据之后,启动部署于数据中心B中的量子密钥虚拟加密设备,由该量子密钥虚拟加密设备向部署于数据中心B的量子密钥虚拟管理设备申请量子密钥4,并根据该量子密钥4对备份数据进行解密,以得到解密后的备份数据,并保存。通过上述步骤即可实现对数据中心A中的数据备份。
需要说明的是,每两个相邻数据中心都可以执行上述步骤,以实现数据中心的数据备份。
本申请提供了一种量子通信方法,应用于上述中的量子通信***。参见图8,具体包括如下:
用户设备侧:
第一量子密钥分发设备801,用于生成第一量子密钥。
量子密钥管理设备802,用于获得第一量子密钥,并将第一量子密钥发送给量子密钥加密设备。
量子密钥加密设备803,用于使用第一量子密钥对业务数据加密,并将加密后的业务数据发送至量子密钥虚拟加密设备;和/或使用第一量子密钥对量子密钥虚拟加密设备发送过来的加密后的业务数据进行解密。
数据中心侧:
第二量子密钥分发设备804,用于生成第二量子密钥;其中,第一量子密钥与第二量子密钥为对称的量子密钥。
量子密钥虚拟管理设备805,用于获得第二量子密钥,并将第二量子密钥发送给量子密钥虚拟加密设备。
量子密钥虚拟加密设备806,使用第二量子密钥对业务数据加密,并将加密后的业务数据发送至量子密钥加密设备;和/或使用第二量子密钥对量子密钥加密设备发送过来的加密后的业务数据进行解密。
需要说明的是,本申请提供的上述技术方案中,使用量子技术为虚拟化云架构平台提升了传输的安全性和数据的保密性;同时通过虚拟化技术,达成了共享利用、灵活分配量子密钥资源、量子密钥管理设备资源和量子密钥加密设备资源的效果,精简了数据中心需要管理的物理设备数量;并且实现了资源分配过程和配置过程在线化和自动化,大大减少实施/运维人员目前手动设备安装、实施、配置和上线过程中所花费的大量运输成本、时间成本和人力成本。
本申请提供了一种量子通信虚拟设备的创建装置,参见图9,该装置具体包括:请求接收模块901、虚拟化模块902以及配置模块903。其中:
请求接收模块901,用于接收用户发送的量子通信虚拟设备分配请求;其中量子通信虚拟设备分配请求中包括需求信息,需求信息用于表示所需创建的量子通信虚拟设备的配置情况。
虚拟化模块902,用于使用虚拟化技术,从预先设置的资源共享池中获取与需求信息对应的虚拟资源。
配置模块903,用于将虚拟资源配置为用户的量子通信虚拟设备。
由上述技术方案可知,本申请提供了一种量子通信虚拟设备的创建装置,该装置通过接收用户所发送的量子虚拟设备分配请求,然后通过虚拟化技术,从资源共享池中获取相应的虚拟资源,再根据该虚拟资源配置量子通信虚拟设备。该装置通过虚拟化技术,将实体资源转化为虚拟资源,并将虚拟资源进行分配,将分配的虚拟资源配置为量子通信虚拟设备,不用通过建立实体量子通信设备便可实现量子通信,从而解决因建立过多实体量子通信设备所产生的量子通信设备堆积的问题。
在一个示例中,虚拟化模块,在使用虚拟化技术,从预先设置的资源共享池中获取与需求信息对应的虚拟资源时,具体用于:
使用虚拟化技术,从预先设置的管理资源共享池中获取与需求信息对应的虚拟管理资源;以及使用虚拟化技术,从预先设置的加密资源共享池中获取与需求信息对应的虚拟加密资源。
相应的,配置模块,在将虚拟资源配置为用户的量子通信虚拟设备时,具体用于:
将虚拟管理资源配置为用户的量子密钥虚拟管理设备;以及将虚拟加密资源配置为用户的量子密钥虚拟加密设备。
在一个示例中,量子通信虚拟设备的创建装置,还可以包括:第一监控模块以及调节模块。其中:
第一监控模块,用于监控量子通信虚拟设备中虚拟资源的运行状态。
调节模块,用于根据运行状态,对量子通信虚拟设备中的虚拟资源进行动态调节。
在一个示例中,调节模块,在根据运行状态,对量子通信虚拟设备中的虚拟资源进行动态调节时,具体用于:
若运行状态满足预设回收条件,则按照预设回收策略,将量子通信虚拟设备中的虚拟资源进行回收至资源共享池;若运行状态满足预设新增条件,则按照预设新增策略,从资源共享池中获得新的虚拟资源,并将新的虚拟资源分配给量子通信虚拟设备。
在一个示例中,量子通信虚拟设备的创建装置,还包括具体包括:第二监控模块以及阈值判断模块。其中:
第二监控模块,用于监控资源共享池的使用率。
阈值判断模块,用于若资源共享池的使用率超过预设使用率阈值,则向数据中心运管平台申请虚拟资源添加至资源共享池中。
需要说明的是,本说明书中的各个实施例均采用递进的方式描述,每个实施例重点说明的都是与其他实施例的不同之处,各个实施例之间相同相似的部分互相参见即可。
还需要说明的是,在本文中,诸如第一和第二等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且,术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含,从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素,而且还包括没有明确列出的其他要素,或者是还包括为这种过程、方法、物品或者设备所固有的要素。在没有更多限制的情况下,由语句“包括一个……”限定的要素,并不排除在包括上述要素的过程、方法、物品或者设备中还存在另外的相同要素。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (12)
1.一种量子通信虚拟设备的创建方法,其特征在于,包括:
接收用户发送的量子通信虚拟设备分配请求;其中所述量子通信虚拟设备分配请求中包括需求信息,所述需求信息用于表示所需创建的量子通信虚拟设备的配置情况;
使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源;
将所述虚拟资源配置为所述用户的量子通信虚拟设备。
2.根据权利要求1所述的量子通信虚拟设备的创建方法,其特征在于,所述使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源,包括:
使用虚拟化技术,从预先设置的管理资源共享池中获取与所述需求信息对应的虚拟管理资源;以及使用虚拟化技术,从预先设置的加密资源共享池中获取与所述需求信息对应的虚拟加密资源;
相应地,所述将所述虚拟资源配置为所述用户的量子通信虚拟设备,包括:
将所述虚拟管理资源配置为所述用户的量子密钥虚拟管理设备;以及将所述虚拟加密资源配置为所述用户的量子密钥虚拟加密设备。
3.根据权利要求1所述的量子通信虚拟设备的创建方法,其特征在于,还包括:
监控所述量子通信虚拟设备中虚拟资源的运行状态;
根据所述运行状态,对所述量子通信虚拟设备中的虚拟资源进行动态调节。
4.根据权利要求3所述的量子通信虚拟设备的创建方法,其特征在于,所述根据所述运行状态,对所述量子通信虚拟设备中的虚拟资源进行动态调节,包括:
若所述运行状态满足预设回收条件,则按照预设回收策略,将所述量子通信虚拟设备中的所述虚拟资源进行回收至所述资源共享池;
若所述运行状态满足预设新增条件,则按照预设新增策略,从所述资源共享池中获得新的虚拟资源,并将所述新的虚拟资源分配给所述量子通信虚拟设备。
5.根据权利要求1所述的量子通信虚拟设备的创建方法,其特征在于,还包括:
监控所述资源共享池的使用率;
若所述资源共享池的使用率超过预设使用率阈值,则向数据中心运管平台申请虚拟资源添加至所述资源共享池中。
6.一种量子通信***,其特征在于,包括:数据中心侧及用户设备侧;其中:
所述用户设备侧部署有第一量子密钥分发设备、量子密钥管理设备及量子密钥加密设备,且所述量子密钥管理设备分别与所述第一量子密钥分发设备及所述量子密钥加密设备相连;
所述数据中心侧部署有第二量子密钥分发设备、量子密钥虚拟管理设备及量子密钥虚拟加密设备,且所述量子密钥虚拟管理设备分别与所述第二量子密钥分发设备及所述第一量子密钥虚拟加密设备相连。
7.一种量子通信方法,其特征在于,应用于如权利要求6所述的量子通信***,该方法包括:
第一量子密钥分发设备,用于生成第一量子密钥;
量子密钥管理设备,用于获得所述第一量子密钥,并将所述第一量子密钥发送给所述量子密钥加密设备;
量子密钥加密设备,用于使用所述第一量子密钥对业务数据加密,并将加密后的业务数据发送至所述量子密钥虚拟加密设备;和/或使用所述第一量子密钥对量子密钥虚拟加密设备发送过来的加密后的业务数据进行解密;
第二量子密钥分发设备,用于生成第二量子密钥;其中,所述第一量子密钥与所述第二量子密钥为对称的量子密钥;
量子密钥虚拟管理设备,用于获得第二量子密钥,并将所述第二量子密钥发送给所述量子密钥虚拟加密设备;
量子密钥虚拟加密设备,使用所述第二量子密钥对业务数据加密,并将加密后的业务数据发送至所述量子密钥加密设备;和/或使用所述第二量子密钥对量子密钥加密设备发送过来的加密后的业务数据进行解密。
8.一种量子通信虚拟设备的创建装置,其特征在于,包括:
请求接收模块,用于接收用户发送的量子通信虚拟设备分配请求;其中所述量子通信虚拟设备分配请求中包括需求信息,所述需求信息用于表示所需创建的量子通信虚拟设备的配置情况;
虚拟化模块,用于使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源;
配置模块,用于将所述虚拟资源配置为所述用户的量子通信虚拟设备。
9.根据权利要求8所述的量子通信虚拟设备的创建装置,其特征在于,所述虚拟化模块,在使用虚拟化技术,从预先设置的资源共享池中获取与所述需求信息对应的虚拟资源时,具体用于:
使用虚拟化技术,从预先设置的管理资源共享池中获取与所述需求信息对应的虚拟管理资源;以及使用虚拟化技术,从预先设置的加密资源共享池中获取与所述需求信息对应的虚拟加密资源;
相应的,所述配置模块,在将所述虚拟资源配置为所述用户的量子通信虚拟设备时,具体用于:
将所述虚拟管理资源配置为所述用户的量子密钥虚拟管理设备;以及将所述虚拟加密资源配置为所述用户的量子密钥虚拟加密设备。
10.根据权利要求8所述的量子通信虚拟设备的创建装置,其特征在于,还包括:
第一监控模块,用于监控所述量子通信虚拟设备中虚拟资源的运行状态;
调节模块,用于根据所述运行状态,对所述量子通信虚拟设备中的虚拟资源进行动态调节。
11.根据权利要求10所述的量子通信虚拟设备的创建装置,其特征在于,所述调节模块,在根据所述运行状态,对所述量子通信虚拟设备中的虚拟资源进行动态调节时,具体用于:
若所述运行状态满足预设回收条件,则按照预设回收策略,将所述量子通信虚拟设备中的所述虚拟资源进行回收至所述资源共享池;
若所述运行状态满足预设新增条件,则按照预设新增策略,从所述资源共享池中获得新的虚拟资源,并将所述新的虚拟资源分配给所述量子通信虚拟设备。
12.根据权利要求8所述的量子通信虚拟设备的创建装置,其特征在于,还包括:
第二监控模块,用于监控所述资源共享池的使用率;
阈值判断模块,用于若所述资源共享池的使用率超过预设使用率阈值,则向数据中心运管平台申请虚拟资源添加至所述资源共享池中。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010317011.8A CN113541931B (zh) | 2020-04-21 | 2020-04-21 | 量子通信虚拟设备的创建方法及相关设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202010317011.8A CN113541931B (zh) | 2020-04-21 | 2020-04-21 | 量子通信虚拟设备的创建方法及相关设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN113541931A true CN113541931A (zh) | 2021-10-22 |
| CN113541931B CN113541931B (zh) | 2023-07-25 |
Family
ID=78093831
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202010317011.8A Active CN113541931B (zh) | 2020-04-21 | 2020-04-21 | 量子通信虚拟设备的创建方法及相关设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN113541931B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268371A (zh) * | 2021-11-02 | 2022-04-01 | 北京邮电大学 | 量子通道资源分配方法、装置和电子设备 |
| CN115242785A (zh) * | 2022-09-22 | 2022-10-25 | 长江量子(武汉)科技有限公司 | 桌面云服务器与终端安全通信方法 |
Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107171792A (zh) * | 2017-06-05 | 2017-09-15 | 北京邮电大学 | 一种虚拟密钥池及量子密钥资源的虚拟化方法 |
-
2020
- 2020-04-21 CN CN202010317011.8A patent/CN113541931B/zh active Active
Patent Citations (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN107171792A (zh) * | 2017-06-05 | 2017-09-15 | 北京邮电大学 | 一种虚拟密钥池及量子密钥资源的虚拟化方法 |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114268371A (zh) * | 2021-11-02 | 2022-04-01 | 北京邮电大学 | 量子通道资源分配方法、装置和电子设备 |
| CN115242785A (zh) * | 2022-09-22 | 2022-10-25 | 长江量子(武汉)科技有限公司 | 桌面云服务器与终端安全通信方法 |
| CN115242785B (zh) * | 2022-09-22 | 2022-12-16 | 长江量子(武汉)科技有限公司 | 桌面云服务器与终端安全通信方法 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN113541931B (zh) | 2023-07-25 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9654453B2 (en) | Symmetric key distribution framework for the Internet | |
| US9049011B1 (en) | Secure key storage and distribution | |
| US20190007838A1 (en) | Security features in next generation networks | |
| US10659441B2 (en) | Dynamically managing, from a centralized service, valid cipher suites allowed for secured sessions | |
| CN102255971B (zh) | 分布式服务器之间的动态负载再分发 | |
| WO2014194494A1 (zh) | 数据安全的保护方法、服务器、主机及*** | |
| EP3813298B1 (en) | Method and apparatus for establishing trusted channel between user and trusted computing cluster | |
| CN105210327A (zh) | 提供设备即服务 | |
| CN103490891A (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN105530266A (zh) | 一种许可证书管理方法、装置及*** | |
| JP6088522B2 (ja) | グループメンバーによるグループ秘密の管理 | |
| US20180115535A1 (en) | Blind En/decryption for Multiple Clients Using a Single Key Pair | |
| CN113541931B (zh) | 量子通信虚拟设备的创建方法及相关设备 | |
| CN102821160A (zh) | 一种云计算网络环境下面向松散云节点多层次数据保护的***与方法 | |
| CN115632779A (zh) | 一种基于配电网的量子加密通信方法及*** | |
| CN113992427B (zh) | 基于相邻节点的数据加密发送方法及装置 | |
| US11652620B2 (en) | System and method for proactively buffering quantum key distribution (QKD) key material | |
| EP4060931A1 (en) | System and method for optimizing the routing of quantum key distribution (qkd) key material in a network | |
| Huang et al. | A survey of key management service in cloud | |
| CN100499649C (zh) | 一种实现安全联盟备份和切换的方法 | |
| CN112437031A (zh) | 一种基于异构网络的多端融合国土资源移动政务*** | |
| CN116166749A (zh) | 数据共享方法、装置、电子设备及存储介质 | |
| KR101329968B1 (ko) | IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템 | |
| CN115865907A (zh) | 桌面云服务器与终端安全通信方法 | |
| CN113452514B (zh) | 密钥分发方法、装置和*** |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |