CN115021904A - 基于概率共享风险的量子密钥分发保护方法与*** - Google Patents

Abstract

本发明涉及一种基于概率共享风险的量子密钥分发保护方法与***。方法包括建立量子密钥分发光网络，生成连接请求和连接请求安全等级，建立工作路径并分配资源；建立概率共享风险链路组并据此建立保护路径，计算工作路径和保护路径的联合故障概率并据此选择连接请求的保护路径；给连接请求的保护路径分配资源，连接请求建立成功。***包括网络初始化模块、连接请求产生模块、连接请求安全等级划分模块、传统工作路径计算模块、量子工作路径计算模块、工作路径资源分配模块、保护路径计算模块和保护路径资源分配模块。本发明解决了链路故障问题，保证连接请求在传输过程中的服务质量与安全性，优化量子密钥分发光网络的生存性问题。

Description

基于概率共享风险的量子密钥分发保护方法与***

技术领域

本发明涉及通信技术领域，尤其是指一种基于概率共享风险的量子密钥分发保护方法与***。

背景技术

随着5G、云计算、数据中心等技术的不断发展，网络中的数据流量进入***性增长阶段，因此高速率、大容量、高可靠的信息传输安全必须得到保障。光网络一旦遭遇窃听者的攻击，大量数据会被泄露，严重影响网络安全。如今，光网络是数据传输的基础设施，因为光纤介质内部光信号固有的隔离性，光纤传输网络被认为是一个非常安全的网络。然而，随着越来越多攻击光纤事件的发生，光网络遭受了越来越多的窃听与拦截。数据加密是增强通信安全性的一种有效方法，因为它可以防止窃听者访问数据。传统的对称加密算法和非对称加密算法，能够满足部分连接请求的加密要求。然而，随着大数据、计算机硬件技术的不断发展，以及量子计算机的出现，传统的数据加密方法已无法满足机密数据传输的网络安全性需求。基于量子不可克隆定理以及海森堡不确定性定理的量子密钥分发技术，可以通过随机产生的共享的安全量子密钥对两个端点之间交换的消息进行加密，从而极大提高数据连接请求传输的安全性。量子密钥分发产生一个共享的随机量子密钥，在用户双方知道加密和解密的数据信息、单光子量子态编码关键信息时，通过量子信道可以检测出潜在的窃听者。

在现有的传统光网络保护方案中，有通过提前为连接请求预留备份资源以快速高效地恢复受损数据的方法，但是这种方法没有考虑到对量子密钥服务的保护。在目前的量子密钥分发光网络中，大多数只考虑到了量子密钥的产生、分配、更新的问题，而忽略掉了量子密钥分发光网络的生存性问题。在量子密钥传输过程中，当量子信道路径发生故障时，如果不对量子信道路径加以保护，量子密钥资源将无法恢复，量子密钥无法工作会对用户的数据传输带来安全隐患。在量子密钥分发光网络中，即使是简单的链路失效，也会造成服务传输的中断，严重影响量子密钥的分发。一旦链路发生故障，数据传输和量子密钥分发就会中断，网络阻塞率不断上升，使得越来越多的连接请求受到故障链路的影响，不能够分配到合适的量子密钥资源，进而影响数据加密传输，最后丢失连接请求数据传输的安全性。因此，在量子密钥分发光网络中需要考虑对量子密钥资源进行保护，解决量子密钥分发的链路故障问题。

在实际的工程实践中，网络中的故障往往是相互联系的，为了描述这种故障之间的联系性，引入共享风险链路组的概念。如图1所示，同一个共享风险链路组共享同一个物理资源的链路，即共同承担失效风险的一组链路。每组节点对之间的链路中都对应一个故障概率，每两条链路属于不同的概率共享风险链路组。但是，这种网络模型只是简化表示了各个链路之间的关联性，没有实际化地分析各个链路发生故障的概率。

发明内容

为此，本发明所要解决的技术问题在于克服现有技术中的不足，提供一种基于概率共享风险的量子密钥分发保护方法与***，可以解决量子密钥分发的链路故障问题、保证连接请求在传输过程的服务质量与安全性，从而优化量子密钥分发光网络的生存性问题。

为解决上述技术问题，本发明提供了一种基于概率共享风险的量子密钥分发保护方法，包括以下步骤：

步骤1：建立并初始化量子密钥分发光网络；

步骤2：产生并初始化连接请求；

步骤3：根据所述连接请求的安全需求生成连接请求安全等级；

步骤4：建立传统工作路径，若所述传统工作路径建立成功，执行步骤5，否则连接请求发生阻塞，结束任务；

步骤5：建立量子工作路径，若量子工作路径建立成功，执行步骤6，否则连接请求发生阻塞，结束任务；

步骤6：给包括所述传统工作路径和所述量子工作路径的工作路径分配资源，若所述工作路径的资源分配成功，执行步骤7，否则连接请求发生阻塞，结束任务；

步骤7：建立概率共享风险链路组，根据所述概率共享风险链路组建立保护路径，计算所述工作路径和所述保护路径的联合故障概率；

若所述联合故障概率小于预设的连接请求的最大可接受联合故障概率阈值，将此时的保护路径作为连接请求的保护路径，执行步骤8；否则连接请求发生阻塞，释放给所述工作路径分配的资源，结束任务；

步骤8：给所述连接请求的保护路径分配资源，

若保护路径的资源分配成功，则连接请求建立成功，结束任务；否则连接请求发生阻塞，释放给所述工作路径分配的资源，结束任务。

作为优选的，所述建立并初始化量子密钥分发光网络，具体为：

建立量子密钥分发光网络的拓扑结构G_k(N,L,Λ,Δ,T)，其中N是节点的集合，L是有向链路的集合，Λ＝{λ₁,λ₂,λ₃,…}是传统波长的编号集，

是量子专用波长的编号集，T＝{t₁,t₂,t₃,…}是量子专用波长中时隙的编号集合；

初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数。

作为优选的，所述产生并初始化连接请求，具体为：

生成连接请求CR(s,d,t_s,t_d,p_max)，表示从源节点s到目的节点d的连接请求，连接请求的到达时间为t_s，连接请求的离去时间为t_d，p_max为预设的连接请求的最大可接受联合故障概率阈值；

初始化每个连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量。

作为优选的，根据所述连接请求的安全需求生成连接请求安全等级，具体为：

对所述连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间；

根据量子密钥更新时间的长短确定所述连接请求安全等级，连接请求安全等级高的量子密钥优先恢复。

作为优选的，所述建立传统工作路径，具体为：

将链路(i,j)的故障概率p_i,j作为所述传统工作路径的权值w_i,j，根据权值w_i,j利用K条最短路径算法选择跳数最小的路径x₁，将路径x₁作为传统数据传输的工作路径；

所述建立量子工作路径，具体为：

将链路(s,d)的故障概率p_s,d作为所述量子工作路径的权值w_s,d，根据权值w_s,d利用最短路径算法选择跳数最小的路径

将路径

作为量子信号传输的工作路径。

作为优选的，给包括传统工作路径和量子工作路径的工作路径分配资源，分配的所述资源包括传统数据和量子密钥资源，分配资源的过程具体为：

在满足波长一致性和连续性的原则下，使用首次命中算法给工作路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法，给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙；所述量子信道的专用波长的时隙用于量子密钥同步，所述公共交互信道的专用波长的时隙用于时钟同步；在量子信道的专用波长中更新量子密钥资源；

给所述连接请求的保护路径分配资源，分配的所述资源包括传统数据和量子密钥资源，分配资源的过程具体为：

在满足波长一致性和连续性的原则下，使用首次命中算法给保护路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法，给保护路径中的量子信道的专用波长、公共交互信道的专用波长分配时隙；在保护路径的量子信道的专用波长中，更新量子密钥资源。

作为优选的，根据所述概率共享风险链路组建立保护路径，具体为：

将所述工作路径x中的i条链路涉及的概率共享风险链路组PSRLG_i形成集合P(x)＝{PSRLG₁,PSRLG₂,...,PSRLG_i}，链路(m,n)的权值w_m,n的更新公式为：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率，p_i,j为链路(i,j)发生故障的概率；

更新链路(m,n)的权值w_m,n，使用K条最短路径算法选择跳数最小的路径y₁作为保护路径。

作为优选的，计算所述工作路径和所述保护路径的联合故障概率，具体为：

计算工作路径x的故障概率

和保护路径y的故障概率

其中p_i,j为链路(i,j)发生故障的概率；

计算工作路径x与保护路径y的联合故障概率F(x,y)＝F(x)×F(y)，得到：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率；

忽略高阶项O(h)，得到最终的联合故障概率

本发明还提供了一种基于概率共享风险的量子密钥分发保护***，包括网络初始化模块、连接请求产生模块、连接请求安全等级划分模块、传统工作路径计算模块、量子工作路径计算模块、工作路径资源分配模块、保护路径计算模块和保护路径资源分配模块，

所述网络初始化模块，用于配置光网络的拓扑结构，初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数；

所述连接请求产生模块，用于根据源节点与目的节点均匀分布产生连接请求，配置连接请求数目、不同连接请求的源节点与目的节点、带宽需求、连接请求的到达时间、连接请求的离去时间和最大可接受联合故障概率阈值，初始化连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量；

所述连接请求安全等级划分模块，用于对连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序；

所述传统工作路径计算模块，用于在考虑链路的故障概率的情况下，根据连接请求的源节点和目的节点，使用K条最短路径算法选择跳数最小的路径作为传统数据传输的工作路径；

所述量子工作路径计算模块，用于将链路的故障概率作为路径的权值，根据连接请求的源节点和目的节点，使用最短路径算法选择跳数最小的路径作为量子信号传输的工作路径；

所述工作路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给工作路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙；

所述保护路径计算模块，用于在考虑每条链路的故障概率的情况下，使用K条最短路径算法选择跳数最小的路径作为保护路径；

所述保护路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给保护路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给保护路径的量子信道的专用波长、公共交互信道的专用波长分配时隙。

作为优选的，还包括量子密钥更新模块和资源释放模块，

所述密钥更新模块，用于根据连接请求生成的量子密钥更新时间，在量子信道的专用波长中，分配相应的时间隙用于量子密钥资源的更新；

所述资源释放模块，用于在连接请求数据完成数据加密传输后，释放保护路径中量子信道中量子密钥资源，释放工作路径中传统信道、量子信道、公共交互信道分配的波长资源及时隙资源，拆除连接请求所建立的工作路径。

本发明的上述技术方案相比现有技术具有以下优点：

1.对于每个连接请求建立一条工作路径、以及一条与工作路径链路不相交的保护路径，以此减少了量子密钥在传输过程中发生故障造成的影响。当网络发生故障时，能够把工作路径上的量子密钥资源倒换到保护路径上，确保数据能够更加安全的传输，提高连接请求的安全性，保证连接请求在传输过程中的服务质量与安全性，从优化了量子密钥分发光网络的生存性问题。

2.通过连接请求的安全需求程度划分安全等级，提高了传输的安全性；通过概率共享风险链路组网络模型，合理分配了量子密钥资源；通过链路的联合故障概率，合理高效地选择了量子密钥传输的保护路径，进一步降低连接请求阻塞率和平均联合故障概率，提高了量子密钥的利用效率。从而保证数据的正常传输，解决了光网络中量子密钥生存性资源优化问题和量子密钥利用率问题。

附图说明

为了使本发明的内容更容易被清楚的理解，下面根据本发明的具体实施例并结合附图，对本发明作进一步详细的说明，其中

图1是概率共享风险链路组的结构示意图；

图2是本发明中基于概率共享风险的量子密钥分发保护方法的流程图；

图3是本发明实施例中光网络的拓扑结构图；

图4是本发明实施例中量子密钥分发光网络中连接请求的资源分配示意图；

图5是本发明中基于概率共享风险的量子密钥分发保护***的结构示意图。

具体实施方式

下面结合附图和具体实施例对本发明作进一步说明，以使本领域的技术人员可以更好地理解本发明并能予以实施，但所举实施例不作为对本发明的限定。

量子密钥分发光网络的传输速率越来越高，网络一旦出现故障会严重影响量子密钥的分发，导致大量机密数据的丢失。在解决量子密钥分发光网络的生存性问题时，通常采用保护技术和恢复技术。保护技术具有更快的倒换速度，因此，可以通过专用保护，为每一个连接请求分配专用的传统数据资源和量子密钥资源，更有效地降低发生故障而造成的损失。

针对量子密钥分发光网络的网络生存性问题，本发明引入概率共享风险链路组的概念。同时，进行新的故障概率的计算方法，在共享风险链路组的基础上增加故障概率的参数，更加合理有效地模拟实际网络的生存性情况。

将链路故障的概率作为新的路由选择权重，并且根据每一个连接请求的安全加密需求，进行量子密钥加密优先级划分，匹配相应的量子密钥更新时间。根据链路不相交以及不属于同一个概率共享风险链路组的原则，为每一个连接请求提供量子信道专用保护方法。当链路发生故障时，量子密钥分发光网络能够快速确定恢复量子密钥分发的路径，减少连接请求在传输过程中存在的故障风险，保证连接请求在数据传输过程中的服务质量与安全性。

因为公共交互信道用于时钟同步，与量子信道是一一对应的关系，公共交互信道的资源分配方法和量子信道的资源分配方法是相同的，所以只需要解决传统信道和量子信道的资源分配问题。参照图2流程图所示，一种基于概率共享的量子密钥分发光网络保护方法，包括以下步骤：

步骤1：建立并初始化量子密钥分发光网络。

步骤1-1：建立量子密钥分发光网络的拓扑结构G_k(N,L,Λ,Δ,T)，其中N是节点的集合，L是有向链路的集合，Λ＝{λ₁,λ₂,λ₃,…}是传统波长的编号集，

是量子专用波长的编号集，T＝{t₁,t₂,t₃,…}是量子专用波长中时隙的编号集合；

步骤1-2：初始化网络参数：初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数、即每个连接请求分配密钥需要的时隙个数。

如图3网络拓扑结构图所示，本实施例中的光网络拓扑结构是由5个节点和6条链路组成的。每条链路是双向的，每条链路中的波长数为40，其中32个为传统数据传输波长，3个为量子专用波长，3个建立公共交互信道，在量子信道和公共交互信道之间有2个波长作为保护带宽。在量子专用波长中分别有6、8、10个时隙，分别对应高、中、低安全等级。每一条链路的故障概率在(0,10^-3)内均匀生成。

步骤2：产生并初始化连接请求。

步骤2-1：生成连接请求CR(s,d,t_s,t_d,p_max)，表示从源节点s到目的节点d的连接请求，连接请求的到达时间为t_s，连接请求的离去时间为t_d，p_max为预设的连接请求的最大可接受联合故障概率阈值；

步骤2-2：初始化每个连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量。

本实施例中生成一组连接请求：源宿节点、到达和离去时间、最大可接受联合故障概率，具体为建立连接请求CR(0,4,0,1,0.01)。连接请求CR(0,4,0,1,0.01)从源节点0到目的节点4，开始时间是0s，离去时间为1s，最大可接受联合故障概率阈值为0.01。连接请求CR(0,4,0,1,0.01)需要的传统和量子专用波长数量为1，需要的时隙数也为1。

步骤3：根据所述连接请求的安全需求生成连接请求安全等级。

步骤3-1：对所述连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间；量子密钥更新时间越短，连接请求安全性需求越高。

步骤3-2：根据量子密钥更新时间的长短确定所述连接请求安全等级，连接请求安全等级高的量子密钥优先恢复。当多个连接请求的量子密钥资源同时发生故障时，同一个保护时隙资源优先恢复安全性需求高的连接请求，实现受损连接请求的量子密钥资源保护。

本实施例中依据连接请求的密钥更新时间进行安全等级的划分与排序。这里的连接请求CR(0,4,0,1,0.01)，由于CR(0,4,0,1,0.01)的量子密钥更新周期为6个时隙单位，量子密钥资源更新更频繁，因此连接请求的安全需求最高。

步骤4：建立传统工作路径，若所述传统工作路径建立成功，执行步骤5，否则连接请求发生阻塞。

步骤4-1：将链路(i,j)的故障概率p_i,j作为所述传统工作路径的权值w_i,j，根据权值w_i,j利用K条最短路径算法选择跳数最小的路径x₁，将路径x₁作为传统数据传输的工作路径。

步骤4-2：若所述传统工作路径建立成功，执行步骤5，否则连接请求发生阻塞、即连接请求建立失败，结束任务。

本实施例中，将每条链路的故障概率p_i,j作为该路径的权值w_i,j，对于连接请求CR(0,4,0,1,0.01)，从源节点0到目的节点4，使用K条最短路径算法计算K条候选的工作路径，选择其中一条跳数最小的路径作为传统数据传输的工作路径。这里连接请求CR(0,4,0,1,0.01)所选择的传统工作路径为路径I(0-4)。

步骤5：建立量子工作路径，若量子工作路径建立成功，执行步骤6，否则连接请求发生阻塞、即连接请求建立失败，结束任务。

步骤5-1：将链路(s,d)的故障概率p_s,d作为所述量子工作路径的权值w_s,d，根据权值w_s,d利用最短路径算法选择跳数最小的路径

将路径

作为量子信号传输的工作路径。

步骤5-2：若量子工作路径建立成功，执行步骤6，否则连接请求发生阻塞、即连接请求建立失败，结束任务。

本实施例中，将每条链路的故障概率p_i,j作为该路径的权值w_i,j，对于连接请求CR(0,4,0,1,0.01)，从源节点0到目的节点4，使用最短路径算法，得到跳数最小的路径作为量子信号传输的工作路径。这里连接请求CR(0,4,0,1,0.01)所选择的量子工作路径为路径I(0-4)。

步骤6：给包括所述传统工作路径和所述量子工作路径的工作路径分配资源，分配的资源包括传统数据和量子密钥资源。若所述工作路径的资源分配成功，执行步骤7，否则连接请求发生阻塞、即连接请求建立失败，结束任务。

步骤6-1：在满足波长一致性和连续性的原则下，使用首次命中算法给工作路径中的传统信道、量子信道和公共交互信道分配波长；

步骤6-2：使用首次命中算法给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙；所述量子信道的专用波长的时隙用于量子密钥同步，所述公共交互信道的专用波长的时隙用于时钟同步；

步骤6-3：在量子信道的专用波长中更新量子密钥资源。

步骤6-4：若所述工作路径的资源分配成功，执行步骤7，否则连接请求发生阻塞、即连接请求建立失败，结束任务。

本实施例中，在工作路径I(0-4)中，根据连接请求的波长需求与量子密钥需求，利用首次命中算法，在路径I(0-4)找到连续的传统波长进行传统数据的正常传输，分配量子信道的专用波长。并且在满足时隙连续性及一致性的条件下，在量子专用波长上分配时隙以及更新后的时隙资源。依次对连接请求进行波长、时隙资源的分配与优化，减低了网络阻塞率，减少连接请求在传输过程中存在的风险。

步骤7：建立概率共享风险链路组，根据所述概率共享风险链路组建立保护路径。若所述联合故障概率小于预设的连接请求的最大可接受联合故障概率阈值，将此时的保护路径作为连接请求的保护路径，执行步骤8；否则连接请求发生阻塞、即连接请求建立失败，释放给所述工作路径分配的资源，结束任务。

步骤7-1：将所述工作路径x中的i条链路涉及的概率共享风险链路组PSRLG_i形成集合P(x)＝{PSRLG₁,PSRLG₂,...,PSRLG_i}，在概率共享风险链路组的约束下，选择的链路不能为同一个概率共享风险链路组。链路(m,n)的权值w_m,n的更新公式为：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率，p_i,j为量子密钥分发光网络中链路(i,j)发生故障的概率；

步骤7-2：更新链路(m,n)的权值w_m,n，使用K条最短路径算法，可以计算出K条最短的保护路径。这K条路径作为源节点到目的节点的K条候选路径，将它们保存在p(y)＝{y₁,y₂,y₃,…,y_k}中，选择跳数最小的路径y₁作为保护路径。由于量子密钥分发光网络容易发生故障，会造成量子密钥分发中断，因此，对于连接请求进行专用保护，并且选择跳数最少的作为保护路径，进一步节约量子密钥资源的消耗。

步骤7-3：计算工作路径x的故障概率

和保护路径y的故障概率

其中p_i,j为量子密钥分发光网络中链路(i,j)发生故障的概率；链路(i,j)建立成功的概率则为1-p_i,j，则所选工作路径x最终建立成功的概率为每一部分链路都成功建立概率的乘积。

步骤7-4：工作路径x发生故障与保护路径y发生故障是相互独立的事件，因此计算工作路径x与保护路径y的联合故障概率F(x,y)＝F(x)×F(y)，得到

乘积项进一步扩展得到：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率；

当链路中的故障概率在(0,10^-3)之间生成时，这些项的数量级将会低于10^-9，因此忽略高阶项O(h)，得到最终的联合故障概率

步骤7-5：若所述联合故障概率小于预设的连接请求的最大可接受联合故障概率阈值，即

时，将此时的保护路径作为连接请求的保护路径，执行步骤8；否则连接请求发生阻塞、即连接请求建立失败，视为无法找到合适的连接请求的保护路径，释放给所述工作路径分配的资源，结束任务。只有当工作路径与保护路径的联合故障概率小于连接请求的最大可接受联合故障概率阈值时，连接请求才能成功建立。

本实施例中，将更新后的故障概率p_m,n作为保护路径的权值w_m,n，对于连接请求CR(0,4,0,1,0.01)，从源节点0到目的节点4，使用K条最短路径算法查找一条与工作路径不相交的保护路径，并且保护路径与工作路径经过的链路不属于同一个概率共享风险链路组。这里连接请求CR(0,4,0,1,0.01)所选择的保护路径II(0-2-4)。引入概率共享风险链路组的概念。采用概率共享风险链路组和专用保护方法，进行有效地保护与有序地快速恢复。

步骤8：给所述连接请求的保护路径分配资源，分配的资源包括传统数据和量子密钥资源。在保护路径中，为了能够在链路发生故障时，快速的将连接请求倒换到另一条路径中，需要分配相应的保护路径的资源，因此给所述连接请求的保护路径分配资源连。若保护路径的资源分配成功，则连接请求建立成功，结束任务；否则连接请求发生阻塞、即连接请求建立失败，释放给所述工作路径分配的资源，结束任务。

步骤8-1：在满足波长一致性和连续性的原则下，使用首次命中算法给保护路径中的传统信道、量子信道和公共交互信道分配波长；

步骤8-2：使用首次命中算法，给保护路径中的量子信道的专用波长、公共交互信道的专用波长分配时隙；

步骤8-3：在保护路径的量子信道的专用波长中，更新量子密钥资源。

步骤8-4：若保护路径的资源分配成功，则连接请求建立成功，结束任务；否则连接请求发生阻塞、即连接请求建立失败，释放给所述工作路径分配的资源，结束任务。

本实施例中，在保护路径II(0-2-4)中，根据连接请求的波长需求与量子密钥需求，利用首次命中算法，在链路0-2以及链路2-4中找到连续且相同位置的传统波长进行传统数据的正常传输，分配量子信道的专用波长λ₁。并且在满足时隙连续性及一致性的条件下，在量子专用波长上分配时隙t₁以及更新后的时隙资源。建立完成工作路径和保护路径，以及分配好相应的波长及量子密钥资源，连接请求CR(0,4,0,1,0.01)建立成功。

本实施例中量子密钥分发光网络中连接请求的资源分配过程如图4所示，其中光纤链路0-4和光纤链路0-1属于一个概率共享风险链路组，当连接请求CR选择光纤链路0-2-4作为传统数据和量子信号的保护路径时，此时分配对应高安全等级的波长λ₁和时隙t₁。

如图5结构示意图所示，一种基于概率共享风险的量子密钥分发保护***，包括网络初始化模块、连接请求产生模块、连接请求安全等级划分模块、传统工作路径计算模块、量子工作路径计算模块、工作路径资源分配模块、保护路径计算模块和保护路径资源分配模块。

所述网络初始化模块，用于配置光网络的拓扑结构，初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数。

所述连接请求产生模块，用于根据源节点与目的节点均匀分布产生连接请求，配置连接请求数目、不同连接请求的源节点与目的节点、带宽需求、连接请求的到达时间、连接请求的离去时间和最大可接受联合故障概率阈值，初始化连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量。

所述连接请求安全等级划分模块，用于对连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序；保证使用量子密钥加密数据的生存***质量。

所述传统工作路径计算模块，用于在考虑链路的故障概率的情况下，根据连接请求的源节点和目的节点，使用K条最短路径算法计算出从源节点到目的节点的K条候选路径，最后选择跳数最小的路径作为传统数据传输的工作路径。

所述量子工作路径计算模块，用于将链路的故障概率作为路径的权值，根据连接请求的源节点和目的节点，使用最短路径算法选择跳数最小的路径作为量子信号传输的工作路径。

所述工作路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给工作路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙。

所述保护路径计算模块，用于在考虑每条链路的故障概率的情况下，使用K条最短路径算法，计算出从源节点到宿节点的K条候选路径，最后选择跳数最小的路径作为保护路径。

所述保护路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给保护路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给保护路径的量子信道的专用波长、公共交互信道的专用波长分配时隙。

本实施例中基于概率共享的量子密钥分发光网络保护***还包括量子密钥更新模块和资源释放模块。

数据的加密需要灵活多变，不断更改两个用户之间用以加密的量子密钥信息，使得窃听者难以破解，因此所述密钥更新模块，用于根据连接请求生成的量子密钥更新时间，在量子信道的专用波长中，分配相应的时间隙用于量子密钥资源的更新。

所述资源释放模块，用于在连接请求数据完成数据加密传输后，释放保护路径中量子信道中量子密钥资源，释放工作路径中传统信道、量子信道、公共交互信道分配的波长资源及时隙资源，拆除连接请求所建立的工作路径。

本实施例中的***结构可以通过不同模块之间的相互协作完成基于概率共享的量子密钥分发光网络保护***，通过连接请求接入的模块化***，保证连接请求的服务质量。

本发明的有益效果：

1.对于每个连接请求建立一条工作路径、以及一条与工作路径链路不相交的保护路径，以此减少了量子密钥在传输过程中发生故障造成的影响。当网络发生故障时，能够把工作路径上的量子密钥资源倒换到保护路径上，确保数据能够更加安全的传输，提高连接请求的安全性，保证连接请求在传输过程中的服务质量与安全性，从优化了量子密钥分发光网络的生存性问题。

2.通过连接请求的安全需求程度划分安全等级，提高了传输的安全性；通过概率共享风险链路组网络模型，合理分配了量子密钥资源；通过链路的联合故障概率，合理高效地选择了量子密钥传输的保护路径，进一步降低连接请求阻塞率和平均联合故障概率，提高了量子密钥的利用效率。从而保证数据的正常传输，解决了光网络中量子密钥生存性资源优化问题和量子密钥利用率问题。

本领域内的技术人员应明白，本申请的实施例可提供为方法、***、或计算机程序产品。因此，本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。

本申请是参照根据本申请实施例的方法、设备(***)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

显然，上述实施例仅仅是为清楚地说明所作的举例，并非对实施方式的限定。对于所属领域的普通技术人员来说，在上述说明的基础上还可以做出其它不同形式变化或变动。这里无需也无法对所有的实施方式予以穷举。而由此所引申出的显而易见的变化或变动仍处于本发明创造的保护范围之中。

Claims (10)

1.一种基于概率共享风险的量子密钥分发保护方法，其特征在于，包括以下步骤：

步骤1：建立并初始化量子密钥分发光网络；

步骤2：产生并初始化连接请求；

步骤3：根据所述连接请求的安全需求生成连接请求安全等级；

步骤4：建立传统工作路径，若所述传统工作路径建立成功，执行步骤5，否则连接请求发生阻塞，结束任务；

步骤5：建立量子工作路径，若量子工作路径建立成功，执行步骤6，否则连接请求发生阻塞，结束任务；

步骤6：给包括所述传统工作路径和所述量子工作路径的工作路径分配资源，若所述工作路径的资源分配成功，执行步骤7，否则连接请求发生阻塞，结束任务；

步骤7：建立概率共享风险链路组，根据所述概率共享风险链路组建立保护路径，计算所述工作路径和所述保护路径的联合故障概率；

若所述联合故障概率小于预设的连接请求的最大可接受联合故障概率阈值，将此时的保护路径作为连接请求的保护路径，执行步骤8；否则连接请求发生阻塞，释放给所述工作路径分配的资源，结束任务；

步骤8：给所述连接请求的保护路径分配资源，

若保护路径的资源分配成功，则连接请求建立成功，结束任务；否则连接请求发生阻塞，释放给所述工作路径分配的资源，结束任务。

2.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：所述建立并初始化量子密钥分发光网络，具体为：

建立量子密钥分发光网络的拓扑结构G_k(N,L,Λ,Δ,T)，其中N是节点的集合，L是有向链路的集合，Λ＝{λ₁,λ₂,λ₃,…}是传统波长的编号集，

是量子专用波长的编号集，T＝{t₁,t₂,t₃,…}是量子专用波长中时隙的编号集合；

初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数。

3.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：所述产生并初始化连接请求，具体为：

生成连接请求CR(s,d,t_s,t_d,p_max)，表示从源节点s到目的节点d的连接请求，连接请求的到达时间为t_s，连接请求的离去时间为t_d，p_max为预设的连接请求的最大可接受联合故障概率阈值；

初始化每个连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量。

4.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：根据所述连接请求的安全需求生成连接请求安全等级，具体为：

对所述连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间；

根据量子密钥更新时间的长短确定所述连接请求安全等级，连接请求安全等级高的量子密钥优先恢复。

5.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：所述建立传统工作路径，具体为：

将链路(i,j)的故障概率p_i,j作为所述传统工作路径的权值w_i,j，根据权值w_i,j利用K条最短路径算法选择跳数最小的路径x₁，将路径x₁作为传统数据传输的工作路径；

所述建立量子工作路径，具体为：

将链路(s,d)的故障概率p_s,d作为所述量子工作路径的权值w_s,d，根据权值w_s,d利用最短路径算法选择跳数最小的路径

将路径

作为量子信号传输的工作路径。

6.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：给包括传统工作路径和量子工作路径的工作路径分配资源，分配的所述资源包括传统数据和量子密钥资源，分配资源的过程具体为：

在满足波长一致性和连续性的原则下，使用首次命中算法给工作路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法，给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙；所述量子信道的专用波长的时隙用于量子密钥同步，所述公共交互信道的专用波长的时隙用于时钟同步；在量子信道的专用波长中更新量子密钥资源；

给所述连接请求的保护路径分配资源，分配的所述资源包括传统数据和量子密钥资源，分配资源的过程具体为：

在满足波长一致性和连续性的原则下，使用首次命中算法给保护路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法，给保护路径中的量子信道的专用波长、公共交互信道的专用波长分配时隙；在保护路径的量子信道的专用波长中，更新量子密钥资源。

7.根据权利要求1所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：根据所述概率共享风险链路组建立保护路径，具体为：

将所述工作路径x中的i条链路涉及的概率共享风险链路组PSRLG_i形成集合P(x)＝{PSRLG₁,PSRLG₂,...,PSRLG_i}，链路(m,n)的权值w_m,n的更新公式为：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率，p_i,j为链路(i,j)发生故障的概率；

更新链路(m,n)的权值w_m,n，使用K条最短路径算法选择跳数最小的路径y₁作为保护路径。

8.根据权利要求1-7任一项所述的基于概率共享风险的量子密钥分发保护方法，其特征在于：计算所述工作路径和所述保护路径的联合故障概率，具体为：

计算工作路径x的故障概率

和保护路径y的故障概率

其中p_i,j为链路(i,j)发生故障的概率；

计算工作路径x与保护路径y的联合故障概率F(x,y)＝F(x)×F(y)，得到：

其中，p_m,n为在保护路径y中的链路(m,n)发生故障的概率；

忽略高阶项O(h)，得到最终的联合故障概率

9.一种基于概率共享风险的量子密钥分发保护***，其特征在于：包括网络初始化模块、连接请求产生模块、连接请求安全等级划分模块、传统工作路径计算模块、量子工作路径计算模块、工作路径资源分配模块、保护路径计算模块和保护路径资源分配模块，

所述网络初始化模块，用于配置光网络的拓扑结构，初始化光网络交换节点数、链路数、链路的故障概率，链路中传统波长个数、量子专用波长个数和链路权值，量子专用波长中时隙个数；

所述连接请求产生模块，用于根据源节点与目的节点均匀分布产生连接请求，配置连接请求数目、不同连接请求的源节点与目的节点、带宽需求、连接请求的到达时间、连接请求的离去时间和最大可接受联合故障概率阈值，初始化连接请求需要分配的传统信道波长数、量子信道波长数、公共交互信道波长数和每个连接请求分配量子密钥资源的数量；

所述连接请求安全等级划分模块，用于对连接请求进行预先分类，根据不同分类的安全性需求确定量子密钥更新时间，根据加密的量子密钥更新时间来划分优先恢复量子密钥服务顺序；

所述传统工作路径计算模块，用于在考虑链路的故障概率的情况下，根据连接请求的源节点和目的节点，使用K条最短路径算法选择跳数最小的路径作为传统数据传输的工作路径；

所述量子工作路径计算模块，用于将链路的故障概率作为路径的权值，根据连接请求的源节点和目的节点，使用最短路径算法选择跳数最小的路径作为量子信号传输的工作路径；

所述工作路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给工作路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给工作路径的量子信道的专用波长、公共交互信道的专用波长分配时隙；

所述保护路径计算模块，用于在考虑每条链路的故障概率的情况下，使用K条最短路径算法选择跳数最小的路径作为保护路径；

所述保护路径资源分配模块，用于在满足波长一致性和连续性的原则下查找满足条件的波长资源，给保护路径中的传统信道、量子信道和公共交互信道分配波长；使用首次命中算法查找量子专用波长中空闲的时隙，给保护路径的量子信道的专用波长、公共交互信道的专用波长分配时隙。

10.根据权利要求9所述的一种基于概率共享风险的量子密钥分发保护***，其特征在于：还包括量子密钥更新模块和资源释放模块，

所述密钥更新模块，用于根据连接请求生成的量子密钥更新时间，在量子信道的专用波长中，分配相应的时间隙用于量子密钥资源的更新；

所述资源释放模块，用于在连接请求数据完成数据加密传输后，释放保护路径中量子信道中量子密钥资源，释放工作路径中传统信道、量子信道、公共交互信道分配的波长资源及时隙资源，拆除连接请求所建立的工作路径。

Images