一种虚拟密钥池及量子密钥资源的虚拟化方法与流程

本发明涉及通信安全技术领域，更具体地，涉及一种虚拟密钥池及量子密钥资源的虚拟化方法。

背景技术：

近年来，量子通信技术取得了飞速的发展，在量子通信实用化的过程中，应用于高度保密通信的量子密钥分发(quantumkeydistribution，简称为qkd)技术引起了高度关注并取得了很大的进展，量子密钥分发网络作为一种安全通信网络成为一个新的研究方向。

现阶段的量子密钥分发网络中，如图1所示，两个通过量子密钥分发链路相互连接的量子密钥分发终端之间可以生成量子密钥，该量子密钥分发链路包括经典信道和量子信道；现阶段点对点qkd的量子密钥生成速率和可用传输距离等方面性能有限，考虑将每对量子密钥分发终端之间生成的量子密钥进行存储，存储量子密钥资源的存储空间可称之为量子密钥池(quantumkeypool，简称为qkp)。量子密钥分发终端通常部署在网络节点处，当网络节点处传输的数据需要量子密钥加密时，将对应的量子密钥池中存储的量子密钥分配给该网络节点处传输的数据。

目前，由于是采用的qkd与网络节点均是点对点的关系，两个网络节点之间传输的数据的加密所需的量子密钥，只能通过在该两个网络节点处部署的两个量子密钥分发终端之间生成的量子密钥提供，难以适配普通网络中数据传输的多样化、复杂化的需求，造成了量子密钥资源的利用率很低；同时，量子密钥分发网络只能许可给特定的用户使用，也限制了量子密钥资源的开放性和共享性。

技术实现要素：

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种虚拟密钥池及量子密钥资源的虚拟化方法。

根据本发明的一个方面，提供一种虚拟密钥池，该虚拟密钥池包括至少一个虚拟密钥空间，虚拟密钥空间中包含虚拟量子密钥资源，虚拟密钥空间中的虚拟量子密钥资源与量子密钥池中的量子密钥资源具有映射关系；其中，量子密钥池是存储对应的量子密钥分发终端之间生成的量子密钥资源的存储空间。

其中，虚拟密钥空间与量子密钥池一一对应。

其中，在通过虚拟密钥池对虚拟密钥空间中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。

本发明的另一方面，提供一种量子密钥资源的虚拟化方法，该方法包括：根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池。

其中，将量子密钥池中的量子密钥资源进行划分具体为：根据用户需求的安全节点获取用于给安全节点分配量子密钥资源的量子密钥池；根据安全节点对量子密钥资源的需求量划分量子密钥池中的量子密钥资源。

其中，将量子密钥池中的量子密钥资源进行虚拟化的步骤包括：将量子密钥池中划分的量子密钥资源进行虚拟化，形成虚拟密钥池的虚拟密钥空间中的虚拟量子密钥资源。

其中，将量子密钥池中的量子密钥资源进行虚拟化的步骤还包括：维持虚拟密钥空间中的虚拟量子密钥资源到量子密钥池中划分的量子密钥资源的映射关系，该映射关系用于在对虚拟密钥空间中的虚拟量子密钥资源进行操作时，通过映射关系对对应的量子密钥池中划分的量子密钥资源进行操作。

其中，该方法还包括：基于映射关系配置虚拟密钥空间的信息。

其中，虚拟密钥空间的信息包括：量子密钥资源信息、用户业务需求信息和底层量子网络信息。

本发明的又一方面，提供一种基于虚拟密钥池的量子密钥分发网络架构，该架构包括：量子密钥分发层、物理密钥层和虚拟密钥层；量子密钥分发层包括在网络节点处的量子密钥分发终端和连接量子密钥分发终端的量子密钥分发链路；物理密钥层包括存储于量子密钥分发终端之间形成的量子密钥池中的量子密钥资源；虚拟密钥层包括若干如上所述虚拟密钥池。

本发明提供的一种虚拟密钥池及量子密钥资源的虚拟化方法，通过根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池，并且在对虚拟密钥池中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。一方面，不同的用户可以通过对应的虚拟密钥池利用量子密钥资源，从而使量子密钥资源得到了较大程度的共享；另一方面，更多的用户能够利用量子密钥资源，尽可能地避免了部分量子密钥资源长期不能被利用，从而提高了量子密钥资源的利用率。

附图说明

为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为现有技术中基于量子密钥分发的安全通信的示意图；

图2为根据本发明实施例的虚拟密钥池的虚拟结构图；

图3为根据本发明实施例的量子密钥资源的虚拟化方法的流程图；

图4为根据本发明实施例的虚拟密钥空间的功能信息图；

图5为根据本发明实施例的基于虚拟密钥池的量子密钥分发网络架构的示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的一个实施例中，参考图2，提供一种虚拟密钥池，该虚拟密钥池包括至少一个虚拟密钥空间，虚拟密钥空间中包含虚拟量子密钥资源，虚拟密钥空间中的虚拟量子密钥资源与量子密钥池中的量子密钥资源具有映射关系；其中，量子密钥池是存储对应的量子密钥分发终端之间生成的量子密钥资源的存储空间。

具体的，现阶段的量子密钥分发技术中，量子密钥分发链路相互连接的每对量子密钥分发终端之间生成量子密钥，并将每对量子密钥分发终端之间生成的量子密钥资源存储在量子密钥池中，其中，量子密钥池是存储对应的量子密钥分发终端之间生成的量子密钥资源的存储空间；当安全节点的数据需要利用量子密钥加密时，具有管理功能的量子密钥资源管理系统将该安全节点对应的量子密钥池中的量子密钥资源分配给该安全节点。

在网络技术领域，虚拟化技术是一种资源管理技术，是将各种实体资源，如服务器、网络、内存及存储等资源，予以抽象、转换后呈现出来，打破实体结构间的不可切割的障碍，使用户可以比原本的组态更好的方式来应用这些资源，这些资源的被虚拟部分是不受现有资源的架设方式、地域或物理组态所限制。

本实施例中，虚拟密钥池(virtualkeypool，简称为vkp)是一种通过虚拟化技术获得的虚拟化装置，能够提供方便的量子密钥资源管理且灵活支撑复杂网络的安全，用户可以通过虚拟密钥池灵活方便地管理分配给该用户的量子密钥资源。该虚拟密钥池包括至少一个虚拟密钥空间(virtualkeyspace，简称为vks)，虚拟密钥空间用于存储虚拟量子密钥资源，虚拟量子密钥资源是由量子密钥池中的量子密钥资源虚拟化而得到的，在虚拟化过程中，通常在量子密钥资源和虚拟量子密钥资源之间基于特定的算法建立一种映射关系。

基于虚拟化过程中的特点，在将量子密钥池中的量子密钥资源虚拟化时，可以将一个量子密钥池中的量子密钥资源虚拟化到一个虚拟密钥空间中，也可以将多个量子密钥池中的量子密钥资源虚拟化到一个虚拟密钥空间中，从而一个虚拟密钥空间中的虚拟量子密钥资源映射至一个或多个量子密钥池中的量子密钥资源；例如vks1对应于qkp1和qkp2，vks2对应于qkp3，vks3对应于qkp4、qkp5和qkp6。优选的，虚拟密钥空间与量子密钥池一一对应，即一个虚拟密钥空间中的虚拟量子密钥资源仅映射至一个量子密钥池中的量子密钥资源，这样更有利于方便用户对量子密钥资源的管理。

其中，在通过虚拟密钥池对虚拟密钥空间中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。其中这种操作包括分配、添加和删除等等。例如vks与qkp之间有如下对应关系：vks1对应于qkp1，vks2对应于qkp2，vks3对应于qkp3，对vks1中的虚拟量子密钥资源进行分配时，根据映射关系对qkp1中的量子密钥资源进行分配，同样的，对vks2或vks3中的虚拟量子密钥资源进行分配时，根据映射关系对对应的qkp2或qkp3中的量子密钥资源进行分配；具有量子密钥分配功能的量子密钥资源管理系统仅需要对vks中的虚拟量子密钥资源进行分配，就能实现对对应的qkp中的量子密钥资源进行分配。

在具体应用中，普通的量子密钥分发网络只能许可给一个用户使用，而通过建立虚拟密钥池，将虚拟密钥池的使用权限许可给对应的用户，从而可以有更多的用户能够通过量子密钥分发网络利用量子密钥资源，提高了量子密钥资源的共享程度和利用率。

基于上述实施例提供的虚拟密钥池，本发明实施例提供一种量子密钥资源的虚拟化方法，该方法包括：根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池。

具体的，用户在业务通信过程中，会出现某些网络节点之间传输的是机密与敏感的数据，这些网络节点之间的数据要求经过量子密钥加密，需要将量子密钥资源分配给这些网络节点，将这些需要为其分配量子密钥资源的网络节点称为安全节点，安全节点之间的数据传输链路称为安全链路；同时，安全节点之间传输的数据量由用户的业务需求决定，安全节点之间传输的数据量决定了需要分配多少量子密钥资源。以上，安全节点对应的量子密钥池以及量子密钥池中所需要分配的量子密钥资源量即为用户的需求。根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，从而获得与用户对应的虚拟密钥池。

其中，参考图3，量子密钥资源的虚拟化方法具体为：s31，根据用户需求的安全节点获取用于给安全节点分配量子密钥资源的量子密钥池；s32，根据安全节点对量子密钥资源的需求量划分量子密钥池中的量子密钥资源；s33，将量子密钥池中划分的量子密钥资源进行虚拟化，形成虚拟密钥池的虚拟密钥空间中的虚拟量子密钥资源；s34，维持虚拟密钥空间中的虚拟量子密钥资源到量子密钥池中划分的量子密钥资源的映射关系，该映射关系用于在对虚拟密钥空间中的虚拟量子密钥资源进行操作时，通过映射关系对对应的量子密钥池中划分的量子密钥资源进行操作。

本实施例通过根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池，并且维持虚拟密钥空间中的虚拟量子密钥资源到量子密钥池中划分的量子密钥资源的映射关系，在对虚拟密钥池中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。一方面，不同的用户可以通过对应的虚拟密钥池利用量子密钥资源，从而使量子密钥资源得到了较大程度的共享；另一方面，更多的用户能够利用量子密钥资源，尽可能地避免了部分量子密钥资源长期不能被利用，从而提高了量子密钥资源的利用率。

基于以上实施例，参考图4，该方法还包括：基于上述映射关系配置虚拟密钥空间的信息；其中，虚拟密钥空间的信息包括：量子密钥资源信息、用户业务需求信息和底层量子网络信息。

具体的，当虚拟密钥空间中的虚拟量子密钥资源映射至量子密钥池中的量子密钥资源时，即虚拟密钥空间与存在资源映射的量子密钥池具有对应关系，配置虚拟密钥空间的信息时，只需要配置与该虚拟密钥空间密切相关的信息，例如与该虚拟密钥空间对应的量子密钥池信息、量子密钥池中被虚拟化的量子密钥资源信息、对应的底层信息等等。更具体的，虚拟密钥空间的信息主要有vks管理信息和vks应用信息两部分。vks管理信息是指针对vks自身进行管理的，主要有：vks编号、vks状态、vks时延、vks配置和vks扩展五项信息；vks应用信息是指与量子密钥资源实际分配与使用有关的信息，主要包含：量子密钥资源信息、用户业务需求信息和底层量子网络信息。

其中，vks管理信息具体的内容如下：

vks编号：是vkp标识vks的属性，vkp可通过vks的编号对其包含的多个vks进行区分。

vks状态：标识当前vks的工作状态，分为密钥资源映射、业务占用和空闲三种状态。

vks时延：描述vks的响应时延，包括密钥资源映射的时延和给业务分配密钥资源的时延，不同的vks可能会具有不同的时延。

vks配置：标识当前vks的配置信息，例如是否开启密钥资源映射接口等。

vks扩展：是vks的预留空间，留作扩展使用。

其中，vks应用信息的具体内容如下：

量子密钥资源信息：对应量子密钥资源，主要有量子密钥资源阈值信息、量子密钥资源状态信息和量子密钥资源增补速率信息。其中，量子密钥资源阈值信息是当前vks所虚拟化的量子密钥资源阈值量；量子密钥资源状态信息是当前vks所虚拟化的量子密钥资源剩余量；量子密钥资源增补速率是vks处于量子密钥资源映射的工作状态时，其对应的量子密钥池的量子密钥资源增补速率。

用户业务需求信息：对应业务安全需求，主要有业务需求节点信息、业务需求链路信息和业务需求安全等级信息。其中，业务需求节点信息是当前vks提供给用户使用时，业务需求的网络节点编号、位置等信息；业务需求链路信息是当前vks提供给业务使用时，业务需求的通信链路编号、位置等信息；业务需求安全等级信息是业务的量子密钥资源需求量、量子密钥资源更新周期等信息。

底层量子网络信息：对应底层量子网络，主要有量子密钥分发终端信息、量子密钥分发链路信息和量子密钥池信息。量子密钥分发终端信息是该vks对应qkp的底层量子密钥分发终端的编号、工作状态、量子密钥生成速率等信息；量子密钥分发链路信息是该vks对应qkp的底层量子密钥分发链路的编号、占用状态等信息；量子密钥池信息是该vks对应的量子密钥池的编号、占用状态、剩余量子密钥资源量等信息。

本实施例通过虚拟密钥空间的信息实现对量子密钥资源的管理，使具有管理功能的量子密钥资源管理系统通过虚拟密钥池对量子密钥资源的管理更加合理与高效。

本发明的又一实施例中，参考图5，提供一种基于虚拟密钥池的量子密钥分发网络架构，包括：量子密钥分发层、物理密钥层和虚拟密钥层；量子密钥分发层包括在网络节点处的量子密钥分发终端和连接量子密钥分发终端的量子密钥分发链路；物理密钥层包括存储于量子密钥分发终端之间形成的量子密钥池中的量子密钥资源；虚拟密钥层包括若干如上所述虚拟密钥池。

具体的，现阶段的量子密钥分发网络架构，主要可分为量子密钥分发层(qkd层)和物理密钥层；其中，量子密钥分发层主要包括在网络节点处的量子密钥分发终端和连接量子密钥分发终端的量子密钥分发链路，量子密钥分发链路相互连接的每对量子密钥分发终端之间生成量子密钥，物理密钥层主要包括存储于量子密钥分发终端之间形成的量子密钥池中的量子密钥资源；当网络安全节点的数据需要利用量子密钥加密时，具有管理功能的量子密钥资源管理系统将该网络节点对应的量子密钥池中的量子密钥资源分配给该安全节点。

在本实施例中，在以上的量子密钥分发网络架构基础上，建立虚拟密钥层，虚拟密钥层主要包括若干虚拟密钥池，该虚拟密钥池包括至少一个虚拟密钥空间，虚拟密钥空间用于存储虚拟量子密钥资源，虚拟量子密钥资源是由量子密钥池中的量子密钥资源虚拟化而得到的，在虚拟化过程中，在量子密钥资源和虚拟量子密钥资源之间基于特定的算法建立一种映射关系。在通过虚拟密钥池对虚拟密钥空间中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作，其中这种操作包括分配、添加和删除等等。

本实施例通过在量子密钥分发网络架构上建立包含多个虚拟密钥池的虚拟密钥层，并将虚拟密钥池的使用权限许可给对应的用户，从而允许更多的用户能够通过量子密钥分发网络利用量子密钥资源，提高了量子密钥资源的共享程度和利用率。

最后说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。