QKD网络资源分配方法及系统与流程

本发明涉及通信技术领域，特别是指一种qkd网络资源分配方法及系统。

背景技术：

基于量子密钥分发光网络结合“一次一密”的加密方法，通过量子密钥分发为网络中的数据业务提供绝对安全的密钥，以此来保证光网络中数据业务的安全，并延伸qkd网络的物理范围，远端节点对的密钥生成也是由多组点对点qkd系统密钥分发和密钥资源中继来完成的。

图1为量子网络通信过程的示意图。量子网络由多个量子节点和链路组成，量子节点可以完成收、发和存储的功能，链路中的信道分为同步光信道、量子信道和协商信道。其中，同步光信道用于传输同步的周期性辅助光信号，量子信道用于传输量子光信号，协商信道用于传输基矢比对、误码校验等协商信息。假设从量子节点1向量子节点3传输一个密钥业务，在节点1处进行加密操作形成包含同步光信号、量子信号和协商信号的密钥业务，分别通过三个信道将密钥业务传输到量子节点2处。在节点2处进行与节点1到节点2传输密钥业务的相同过程将密钥业务传输到节点3，在节点3处对密钥业务进行解密。

上述两次加解密会消耗一定的时间，在密钥分发的过程中造成一定的时延。qkd网络中的一些加密业务为时延敏感加密业务，例如股市相关高频次信息、加密即时通话等，此类业务对时延容忍度较低。而现有技术对不同类型的加密业务均先沿着既定量子密钥分发线路进行密钥业务的传送，得到源宿节点间所需的密钥资源后再对业务进行加密传输至宿节点再解密，但物理距离所带来的量子密钥中继过程中的对中继密钥多次加解密过程会造成较大的时延，从而无法满足时延敏感加密业务的时延要求。

技术实现要素：

有鉴于此，本发明的目的在于提出一种qkd网络资源分配方法及系统，能够满足不同加密业务的时延要求，且提高网络资源的利用率。

基于上述目的本发明提供的qkd网络资源分配方法，包括：

获取qkd网络的网络拓扑结构，并根据所述qkd网络中的量子密钥资源分布情况，构建密钥拓扑结构；

在加密业务到达时，判断所述加密业务是否为时延敏感业务；

若是，则根据所述密钥拓扑结构对所述加密业务分配密钥资源；

若否，则根据所述网络拓扑结构对所述加密业务分配密钥资源。

进一步地，所述网络拓扑结构和所述密钥拓扑结构中的节点表示所述qkd网络中的量子通信节点，所述网络拓扑结构中节点间的连线表示节点间的物理连接，所述密钥拓扑结构中节点间的连线表示节点间存有共享密钥对。

进一步地，在所述加密业务到达之前，还包括：

将所述qkd网络中的任意两量子通信节点作为一节点对；

计算所述网络拓扑结构中每一节点对间的所有路径，以构成每一节点对的网络拓扑结构路径集；

计算所述密钥拓扑结构中每一节点对间的所有路径，以构成每一节点对的密钥拓扑结构路径集。

进一步地，所述判断所述加密业务是否为时延敏感业务，具体包括：

检测所述加密业务是否设定有时延容忍度；所述时延容忍度表示加密业务所能容忍的中继加解密的次数；

若是，则判定所述加密业务为时延敏感业务；

若否，则判定所述加密业务为时延非敏感业务。

进一步地，所述根据所述密钥拓扑结构对所述加密业务分配密钥资源，具体包括：

获取所述加密业务的源宿节点和时延容忍度；

从所述源宿节点的密钥拓扑结构路径集中选取满足所述时延容忍度的路径，以给所述加密业务分配密钥资源。

进一步地，所述从所述源宿节点的密钥拓扑结构路径集中选取满足所述时延容忍度的路径，以给所述加密业务分配密钥资源，具体包括：

从所述源宿节点的密钥拓扑结构路径集中获取中继跳数小于所述时延容忍度的所有路径，并根据k条最短路径算法从所获取的路径中选取路径给所述加密业务分配密钥资源。

进一步地，所述将所述根据所述网络拓扑结构对所述加密业务分配密钥资源，具体包括：

获取所述加密业务的源宿节点；

根据k条最短路径算法从所述源宿节点的网络拓扑结构路径集中选取路径给所述加密业务分配密钥资源。

进一步地，所述方法还包括：

在所述加密业务分配密钥资源后，根据首次命中算法从所述源宿节点的网络拓扑结构路径集中选取路径给所述加密业务分配波长资源。

进一步地，所述方法还包括：

在检测到能够分配的密钥资源不满足所述加密业务所需的密钥量时，判定所述加密业务被阻塞，丢弃所述加密业务。

本发明实施例还提供了一种qkd网络资源分配系统，能够实现上述qkd网络资源分配方法的所有流程，所述系统包括：

拓扑结构获取模块，用于获取qkd网络的网络拓扑结构，并根据所述qkd网络中的量子密钥资源分布情况，构建密钥拓扑结构；

业务判断模块，用于在加密业务到达时，判断所述加密业务是否为时延敏感业务；

第一分配模块，用于在判定所述加密业务为时延敏感业务时，根据所述密钥拓扑结构对所述加密业务分配密钥资源；以及，

第二分配模块，用于在判定所述加密业务为时延不敏感业务时，根据所述网络拓扑结构对所述加密业务分配密钥资源。

从上面所述可以看出，本发明提供的qkd网络资源分配方法及系统，能够根据qkd网络中的量子密钥资源分布情况构建密钥拓扑结构，对于时延敏感的加密业务，根据密钥拓扑结构对其进行密钥资源的分配，对于时延不敏感的加密业务，根据网络拓扑结构对其进行密钥资源的分配，以利用qkd网络有限的密钥资源灵活高效地处理多种时延要求的加密业务，有效兼顾了加密业务的时延要求和qkd网络中密钥资源的高效利用。

附图说明

图1为现有技术中量子网络通信过程的示意图；

图2为本发明实施例提供的qkd网络资源分配方法的流程示意图；

图3为本发明实施例提供的qkd网络资源分配方法中五节点的qkd网络的架构图；

图4为本发明实施例提供的qkd网络资源分配方法中网络拓扑结构的示意图；

图5为本发明实施例提供的qkd网络资源分配方法中密钥拓扑结构的示意图；

图6为本发明实施例提供的qkd网络资源分配方法的另一流程示意图；

图7为本发明实施例提供的qkd网络资源分配方法中三节点的qkd网络的架构图；

图8为本发明实施例提供的qkd网络资源分配系统的结构示意图。

具体实施方式

为使本发明的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本发明进一步详细说明。

参见图2，是本发明实施例提供的qkd网络资源分配方法的流程示意图，所述方法包括：

s1、获取qkd网络的网络拓扑结构，并根据所述qkd网络中的量子密钥资源分布情况，构建密钥拓扑结构。

本实施例中，网络拓扑结构一般表征的是网络节点的实体链接情况，即表征网络的节点、链路、连接情况等。网络拓扑结构中的节点表示所述qkd网络中的量子通信节点，网络拓扑结构中节点间的连线表示节点间的物理连接。然而在qkd网络中，因远端两点可能会因量子密钥中继而直接预先制备一定存储量的密钥对，即远端两点之间存在虚拟密钥池，因此在为全网统筹密钥资源规划的时候，仅依靠网络拓扑结构难以直观展示和规划量子密钥资源的分布情况。

为了满足直观展示和定量规划量子密钥资源在qkd网络中的分布情况，定义qkd网络的密钥拓扑结构。由于qkd网络中的密钥总是成对出现，由网络节点对之间共同持有，并在qkd网络架构中虚化为虚拟密钥池，因此在密钥拓扑结构中，节点表示量子通信节点，虚拟密钥池将被设计成为连接两节点之间的连线，该连线不表征物理连接，不体现空间距离，而是表征两节点之间存有共享密钥对。该连线的属性有密钥量的多少以及两节点间在网络拓扑结构中的跳数等。

例如，图3是一个五节点的qkd网络的架构示意图，其中任意物理连接的两节点之间可以进行量子密钥的分发。如果没有密钥资源的调配，则此时的密钥拓扑结构和网络拓扑结构一致，但是理想状态下该qkd网络中任意两节点之间都有经中继提前制备的足量的密钥资源，量子密钥池如图3qkd层所示，因此该qkd网络的网络拓扑结构如图4所示，该qkd网络的密钥拓扑结构如图5所示。

s2、在加密业务到达时，判断所述加密业务是否为时延敏感业务；若是，则执行步骤s3，若否，则执行步骤s4。

本实施例中，加密业务的类型分为两类，一类为时延敏感业务，如股市相关高频次信息、加密即时通话等，此类业务对时延容忍度较低；另一类为时延不敏感业务，如网络加密文件传送、加密信息分发、加密数据迁移等，此类业务对时延容忍度较高。

具体地，步骤s2包括：

在加密业务到达时，检测所述加密业务是否设定有时延容忍度；所述时延容忍度表示加密业务所能容忍的中继加解密的次数；

若是，则判定所述加密业务为时延敏感业务；

若否，则判定所述加密业务为时延非敏感业务。

需要说明的是，时延敏感的加密业务可以设定时延容忍度(delaytolerance，dt)，时延容忍度表示加密业务对时延的忍耐度，即加密业务之多可以忍受dt次中继的加解密及资源配置，dt越小说明加密业务对时延的要求越高。

进一步地，在步骤s2之前，还包括：

将所述qkd网络中的任意两量子通信节点作为一节点对；

计算所述网络拓扑结构中每一节点对间的所有路径，以构成每一节点对的网络拓扑结构路径集；

计算所述密钥拓扑结构中每一节点对间的所有路径，以构成每一节点对的密钥拓扑结构路径集。

需要说明的是，网络拓扑结构和密钥拓扑结构的路径评价标准取决于中继跳数的大小。根据ksp(k-shortestpaths，k条最短路径)算法预先计算网络拓扑结构中每一节点对间的所有路径，并将每一节点对间的所有路径按照中继跳数由小到大进行排序，并使排序结果构成每一节点对的网络拓扑结构路径集存储在相应节点中，以供后续资源分配时选取。同样地，根据ksp算法预先计算密钥拓扑结构中每一节点对间的所有路径，并将每一节点对间的所有路径按照中继跳数由小到大进行排序，并使排序结果构成每一节点对的密钥拓扑结构路径集存储在相应节点中，以供后续资源分配时选取。

s3、根据所述密钥拓扑结构对所述加密业务分配密钥资源。

在本实施例中，时延敏感的加密业务在远端不应由多次中继密钥来承载，因为中继密钥每到一个中继节点进行一次加解密时会产生过大时延，无法满足此类型业务的正常传送要求。而最优质的加密服务是没有中继节点的加解密环节，发送端进行一次加密以及接收端进行一次解密的时延最低，因此时延敏感的加密业务必须使用远端虚拟密钥池中的密钥存量来进行密钥资源的分配。

具体地，步骤s3包括：

获取所述加密业务的源宿节点和时延容忍度；

从所述源宿节点的密钥拓扑结构路径集中选取满足所述时延容忍度的路径，以给所述加密业务分配密钥资源。

进一步地，所述从所述源宿节点的密钥拓扑结构路径集中选取满足所述时延容忍度的路径，以给所述加密业务分配密钥资源，具体包括：

从所述源宿节点的密钥拓扑结构路径集中获取中继跳数小于所述时延容忍度的所有路径，并根据k条最短路径算法从所获取的路径中选取路径给所述加密业务分配密钥资源。

需要说明的是，密钥拓扑结构中使用时延容忍度dt来表征业务的时延要求，qkd网络中的时延容忍度dt可视为两节点之间的密钥拓扑跳数。在时延敏感的加密业务到达后，遍历并选取源宿节点所对应的网络拓扑结构路径集的前dt条路径，即源宿节点所对应的网络拓扑结构路径集中中继跳数小于时延容忍度dt的所有路径，根据k条最短路径算法来分配该加密业务所需的密钥资源(多条路径的密钥资源可累加)。

s4、根据所述网络拓扑结构对所述加密业务分配密钥资源。

需要说明的是，对于时延不敏感的加密业务，可选择的路径较多，甚至可以沿着量子密钥分发路径进行数据传送。另外，在远端虚拟密钥池中密钥存量不足等严苛情况下，可通过牺牲部分时延要求来分配更合理的密钥资源给时延不敏感的加密业务。

具体地，步骤s4包括：

获取所述加密业务的源宿节点；

根据k条最短路径算法从所述源宿节点的网络拓扑结构路径集中选取路径给所述加密业务分配密钥资源。

需要说明的是，在时延不敏感的加密业务到达后，尝试为每个加密业务分配足量的密钥资源，在源宿节点对应的网络拓扑结构路径集中，根据k条最短路径算法来分配该加密业务所需的密钥资源(多条路径的密钥资源可累加)。

进一步地，所述方法还包括：

在检测到能够分配的密钥资源不满足所述加密业务所需的密钥量时，判定所述加密业务被阻塞，丢弃所述加密业务。

需要说明的是，在给加密业务分配密钥资源时，若未找到符合加密业务密钥量要求的密钥池集，则该加密业务被阻塞，转而承载下一个加密业务。

进一步地，所述方法还包括：

在所述加密业务分配密钥资源后，根据首次命中算法从所述源宿节点的网络拓扑结构路径集中选取路径给所述加密业务分配波长资源。

需要说明的是，若加密业务分配到满足其密钥量要求的密钥资源，则根据网络拓扑结构对所述加密业务分配波长资源。具体地，遍历源宿节点的网络拓扑结构路径集，根据首次命中算法来给加密业务分配波长资源。若加密业务未分配有足够的波长资源，则该加密业务被阻塞，转而承载下一个加密业务。

参见图6，是本发明实施例提供的qkd网络资源分配方法的另一流程示意图，所述方法包括：

s601、在时延敏感的加密业务到达时，按照密钥拓扑结构路径集中的路径顺序为加密业务分配密钥资源，并执行步骤s603。

s602、在时延不敏感的加密业务到达时，按照网络拓扑结构路径集中的路径顺序为加密业务分配密钥资源。

s603、密钥资源是否满足加密业务要求，若否，则执行步骤s604，若是，则执行步骤s605。

s604、判定该加密业务没有足够的密钥资源可以分配，连接阻塞，并进入下一个加密业务。

s605、锁定可获取的密钥资源。具体地，选择并锁定所要占用的虚拟密钥池集合中的密钥时隙资源。

s606、更新网络密钥资源状态。具体地，更新qkd网络中各虚拟密钥池的密钥资源占用状态。

s607、按照网络拓扑结构路径集为加密业务分配波长资源。

s608、波长资源是否满足加密业务要求，若否，则执行步骤s609，若是，则执行步骤s610。

s609、判定该加密业务没有可用波长资源可以分配，请求阻塞，并进入下一加密业务。其中，在加密业务请求阻塞时，释放步骤s605中被锁定的密钥资源。

s610、锁定可以获取的波长资源。具体地，选择并锁定所要占用的链路集合中的波长资源。

s611、密钥资源中继。具体地，通过中继获得加密业务所需的密钥资源。

s612、承载加密业务。其中，使用量子密钥对数据业务进行加密并传送。

s613、更新网络中波长资源占用情况，并进入下一个加密业务。

下面以一个三节点的qkd网络为例对本发明所提供的qkd网络资源分配方法进行说明。

如图7所示，qkd网络由量子通信节点a到量子通信节点b以及量子通信节点a到量子通信节点c的两个qkd子系统构成。ab之间和ac之间都具有相应的密钥对存储在各自的量子通信节点中，同时ab之间和ac之间还有qkd光纤可以源源不断的为其生成真随机数序列(量子密钥资源)，ab之间和ac之间还有密钥管理服务器a-b和a-c。而b到c只有数据光纤没有量子光纤，但bc之间具有虚拟密钥池，存有量子密钥资源。bc之间的密钥资源由ab与ac中密钥的中继得来，也有密钥管理服务器b-c管控bc之间的密钥状态以及密钥资源的提取和注入。图7中的矩形方格用于表示虚拟密钥池中的密钥资源，深色着色表示时延敏感的加密业务，浅色着色表示时延非敏感的加密业务。

当时延敏感的加密业务到达bc两节点时，使用b-c密钥管理服务器策动bc之间的虚拟密钥池中的密钥资源进行业务承载；当时延不敏感的加密业务到达bc两节点时，使用a-b密钥管理服务器和a-c密钥管理服务器策动ab之间和ac之间的虚拟密钥池中的密钥资源进行业务承载。

本发明提供的qkd网络资源分配方法，能够根据qkd网络中的量子密钥资源分布情况构建密钥拓扑结构，对于时延敏感的加密业务，根据密钥拓扑结构对其进行密钥资源的分配，对于时延不敏感的加密业务，根据网络拓扑结构对其进行密钥资源的分配，以利用qkd网络有限的密钥资源灵活高效地处理多种时延要求的加密业务，有效兼顾了加密业务的时延要求和qkd网络中密钥资源的高效利用。

相应地，本发明还提供一种qkd网络资源分配系统，能够实现上述qkd网络资源分配方法的所有流程。

参见图8，是本发明实施例提供的qkd网络资源分配系统的结构示意图，该系统包括：

拓扑结构获取模块1，用于获取qkd网络的网络拓扑结构，并根据所述qkd网络中的量子密钥资源分布情况，构建密钥拓扑结构；

业务判断模块2，用于在加密业务到达时，判断所述加密业务是否为时延敏感业务；

第一分配模块3，用于在判定所述加密业务为时延敏感业务时，根据所述密钥拓扑结构对所述加密业务分配密钥资源；以及，

第二分配模块4，用于在判定所述加密业务为时延不敏感业务时，根据所述网络拓扑结构对所述加密业务分配密钥资源。

本发明提供的qkd网络资源分配系统，能够根据qkd网络中的量子密钥资源分布情况构建密钥拓扑结构，对于时延敏感的加密业务，根据密钥拓扑结构对其进行密钥资源的分配，对于时延不敏感的加密业务，根据网络拓扑结构对其进行密钥资源的分配，以利用qkd网络有限的密钥资源灵活高效地处理多种时延要求的加密业务，有效兼顾了加密业务的时延要求和qkd网络中密钥资源的高效利用。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本发明的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本发明的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本发明难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本发明难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本发明的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本发明的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本发明。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本发明的具体实施例对本发明进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。

本发明的实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本发明的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本发明的保护范围之内。