基于私有协议的量子密钥用户终端接入方法及用户终端控制方法与流程

1.本发明涉及量子通信领域，特别涉及一种基于私有协议的量子密钥用户终端接入方法，以及由此接入的量子密钥用户终端的控制方法。


背景技术：

2.随着网络信息的发展，网络影响着人们生活的各个方面，随之而来的信息安全性的要求也越来越高，信息安全越来越被重视起来。
3.当下，量子通信网络越建越多，规模越来越大，越来越多厂家开始参与量子密钥用户终端设备研发。用户终端设备开发厂家、设备型号层出不穷，用户终端通过tcp/ip协议与量子通信网络接入站设备通信，接入量子通信网络，典型组网及接入方式如下：
4.现有技术中将所有的量子密钥管理机、用户终端设备直接与中心控制层的管控中心设备(或称中心控制服务器)相连，例如图1所示，造成量子通信网络城域网的层级区分不够清晰，由此存在以下主要缺点：
5.·
量子通信网络的层级区别不够清晰，中心控制服务器(kms)直接与网络内的所有设备进行通信，增加了网络通信的复杂性，不利于用户终端的便捷接入，路由表下发会占用大量的带宽，严重限制了城域网组网规模的扩大。
6.·
各厂家用户终端接入协议格式不统一，接入流程也参差不齐。
7.·
中心控制服务器直接控制网络内的所有设备，极易造成因中心控制服务器单点设备故障，导致整个网络故障的现象。


技术实现要素：

8.针对这一问题，本发明提出一种基于私有协议的量子密钥用户终端接入方法，以及由此接入的量子密钥用户终端的控制方法。
9.本发明的第一方面涉及一种基于私有协议的量子密钥用户终端接入方法，其中，利用中心控制层、接入层和用户层构建量子通信网络；
10.将中心控制服务器部署在所述中心控制层；
11.将量子密钥管理机部署在所述接入层；
12.将用户终端部署在所述用户层；以及，
13.将所述用户层的用户终端直接连接所述接入层的量子密钥管理机，并将所述接入层的量子密钥管理机直接连接所述中心控制层的中心控制服务器，从而将所述用户终端接入所述量子通信网络。
14.进一步地，本发明的量子密钥用户终端接入方法还可以包括设备握手步骤、设备入网/离网步骤、链路侦测步骤及异常上报步骤；
15.所述设备握手步骤用于在所述用户终端上电或复位后，与所述中心控制服务器进行设备握手；
16.所述设备入网/离网步骤用于将所述用户终端的设备身份信息及设备状态上报至所述中心控制服务器；
17.所述链路侦测步骤用于探测通信链路畅通；
18.所述异常上报步骤用于向所述中心控制服务器上报工作异常。
19.更进一步地，所述设备握手步骤可以被设置成：所述用户终端向所述量子密钥管理机发送设备握手请求；所述量子密钥管理机向所述中心控制服务器转发所述设备握手请求；所述中心控制服务器解析获得所述设备握手请求，并返回设备握手响应；所述量子密钥管理机向所述用户终端转发所述设备握手响应，并记录握手状态及信息；所述用户终端解析获得设备握手结果。
20.其中，所述设备握手请求可以包含所述用户终端支持的设备版本号、设备型号和管理域，所述管理域用于标识所述用户终端主归属的量子密钥管理机。
21.可选地，所述设备版本号包括第一数据段和第二数据段，所述第一数据段用于表示大版本号，所述第二数据段用于表示小版本号；以及/或者，所述设备型号包括第一数据段、第二数据段和第三数据段，其分别用于表示产品类型、数字型号和扩展型号。
22.更进一步地，所述设备身份信息包含设备id、设备入网用户名和设备入网密码，所述设备状态包括就绪和故障。可选地，所述设备id包括第一至第四数据段，其分别用于标识子网号、设备类型、中继号和设备号。
23.更进一步地，所述设备入网步骤被设置成：所述用户终端向所述量子密钥管理机发送终端入网请求；所述量子密钥管理机向所述中心控制服务器转发所述终端入网请求；所述中心控制服务器解析获得所述终端入网请求，记录所述用户终端已入网，并返回终端入网请求响应；所述量子密钥管理机向所述用户终端转发所述终端入网请求响应，并记录所述用户终端入网状态；所述用户终端解析获得终端入网请求响应结果。
24.更进一步地，所述链路侦测步骤被设置成：所述中心控制服务器定时发送链路侦测请求；所述量子密钥管理机向所述用户终端转发所述链路侦测请求；所述用户终端解析获得所述链路侦测请求，并返回链路侦测响应；所述量子密钥管理机向所述中心控制服务器转发所述链路侦测响应；所述中心控制服务器解析获得链路侦测响应结果。
25.其中，当所述中心控制服务器超时未收到所述用户终端返回的所述链路侦测响应，或者所述用户终端在预设时间内未收到所述中心控制服务器发送的所述链路侦测请求，将所述用户终端设置为离网状态。
26.更进一步地，所述异常上报步骤被设置成：所述用户终端发送设备异常上报信息；所述量子密钥管理机向所述中心控制服务器转发所述异常上报信息；所述中心控制服务器解析获得所述异常上报信息，返回异常上报响应，并根据异常编码处理工作异常；所述量子密钥管理机向所述用户终端转发所述异常上报响应；所述用户终端解析获得异常上报响应结果。
27.其中，所述异常上报信息可以包括本端设备id、对端设备id和异常编码。优选地，所述异常编码为独热码编码。
28.本发明的第二方面涉及用于根据上述量子密钥用户终端接入方法实现的量子通信网络的用户终端的控制方法，其中，在检测到中心控制服务器发生故障后，将量子密钥管理机及其管辖的用户终端形成独立控制区域；并且，在所述独立控制区域中，所述量子密钥
管理机被设置为区域控制服务器，用于对其管辖的所述用户终端进行控制。
29.进一步地，该控制方法还可以包括信息同步步骤，用于使所述独立控制区域中的量子密钥管理机按照预定时间间隔，以广播的形式向相邻独立控制区域中的量子密钥管理机发送广播信息，以掌握所述相邻独立控制区域内用户终端与量子密钥管理机的归属关系。
30.更进一步地，所述广播信息包含本量子密钥管理机下挂的用户终端id列表，以及其掌握的其他量子密钥管理机下挂的用户终端列表信息。
31.更进一步地，当第一独立控制区域的第一用户终端与第二独立控制区域的第二用户终端进行通信时，由所述第一用户终端将数据发送给所述第一独立控制区域的量子密钥管理机，所述数据包括所述第二用户终端的设备id；所述第一独立控制区域的量子密钥管理机根据所述第二用户终端的设备id查找所述第二独立控制区域的量子密钥管理机，并向其转发所述数据；所述第二独立控制区域的量子密钥管理机将所述数据转发至所述第二用户终端。
32.其中，所述数据可以包括密钥一致性比对信息、密钥量信息和设备状态。
附图说明
33.下面结合附图对本发明的具体实施方式作进一步详细的说明。
34.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需使用的附图作简单地介绍，显而易见，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图来获得其他的附图。
35.图1示出了现有技术的量子通信网络及其用户终端接入示意图；
36.图2示出了根据本发明的基于私有协议的量子密钥用户终端接入方法的一个示例；
37.图3示出了根据本发明的设备握手步骤的一个示例；
38.图4示出了根据本发明的设备入网步骤的一个示例；
39.图5示出了根据本发明的链路侦测步骤的一个示例；
40.图6示出了根据本发明的异常上报步骤的一个示例。
具体实施方式
41.在下文中，本发明的示例性实施例将参照附图来详细描述。下面的实施例以举例的方式提供，以便充分传达本发明的精神给本发明所属领域的技术人员。因此，本发明不限于本文公开的实施例。
42.图2示出了根据本发明的基于私有协议的量子密钥用户终端接入方法的一个示例。
43.如图2所示，根据本发明的量子通信网络可以包括中心控制层、接入层和用户层。
44.中心控制服务器kms部署在中心控制层，接入层部署有一个或多个量子密钥管理机kmt，且在用户层部署由一个或多个用户终端。用户终端同时具备量子密钥分发(qkd)和量子密钥管理功能，其作为量子通信网络的末端，更多的面向最终用户，向应用层设备输出
量子密钥。
45.根据本发明的用户终端接入方法，用户层的用户终端只能通过接入层的量子密钥管理机kmt连接中心控制服务器kms，从而接入量子通信网络，即，用户终端只能直接连接量子密钥管理机kmt，不能直接连接中心控制服务器kms。
46.例如在图2的示例中，接入层部署有三个量子密钥管理机kmt-a、kmt-b和kmt-c，其直接连接中心控制层的中心控制服务器kms；用户层部署的多个用户终端又分别直接连接接入层的相应量子密钥管理机kmt，即，用户层中的4个用户终端直接连接量子密钥管理机kmt-a，2个用户终端直接连接量子密钥管理机kmt-b，3个用户终端直接连接量子密钥管理机kmt-c。
47.下面将基于图2的示例，具体描述根据本发明的基于私有协议的量子密钥用户终端接入方法。
48.具体而言，基于私有协议的量子密钥用户终端接入方法可以包括设备握手步骤、设备入网/离网步骤、链路侦测步骤及异常上报步骤。
49.图3示出了根据本发明的设备握手步骤的一个示例。
50.如图3所示，当用户终端上电/复位后要接入量子通信网络时，首先主动与量子密钥管理机kmt建立网络链接，在两者之间形成安全通道。
51.随后，用户终端通过安全通道主动向量子密钥管理机kmt发送设备握手请求。
52.在本发明中，设备握手请求可以用于确认后续通信协议版本。
53.作为示例，设备握手请求可以包含本设备支持的设备版本号、设备型号、管理域等信息。
54.在一种优选示例中，设备版本号可以包括第一数据段和第二数据段，其中，第一数据段用于表示大版本号，第二数据段用于表示小版本号。
55.设备型号可以包括第一数据段、第二数据段和第三数据段，其分别用于表示产品类型、数字型号和扩展型号。
56.在本发明中，为了提升用户终端服务能力，允许一个用户终端通过一个或多个量子密钥管理机kmt接入量子通信网络，因此，设置管理域信息来表示当用户终端连接多个量子密钥管理机kmt(即属于多个子网)时，该用户终端主归属的量子密钥管理机kmt(即，主归属子网)。
57.接着，量子密钥管理机kmt向中心控制服务器kms转发设备握手请求。
58.中心控制服务器kms经解析获得设备握手请求，并返回设备握手响应。
59.量子密钥管理机kmt向用户终端转发设备握手响应，并记录握手状态及信息。
60.用户终端经解析获得设备握手结果。
61.图4示出了根据本发明的设备入网步骤的一个示例。需要说明的是，由于用户终端离网步骤与图4所示的入网步骤基本相同，因此在此不再赘述。
62.如图4所示，当用户终端与中心控制服务器kms握手成功之后，执行设备入网/离网步骤。
63.在本发明中，设备入网/离网步骤用于将用户终端的设备身份信息及设备状态上报至中心控制服务器kms，以便由中心控制服务器kms实现全网设备管控。
64.作为示例，设备身份信息可以包含设备id、设备入网用户名、设备入网密码等关键
信息。设备状态可以包括就绪和故障。
65.设备id用于标识用户终端，其例如可以由量子通信网络运营方统一分配。在一种优选示例中，设备id可以包括第一至第四数据段，其分别用于标识子网号、设备类型、中继号和设备号。
66.设备入网用户名用于保证用户终端的身份合法性，其例如可以在用户终端接入前，由量子通信网络运营方以离线方式予以分配，以便用户终端入网时携带此用户名来表明自身身份。
67.设备入网密码用于与设备入网用户名配套使用，其例如可以由量子通信网络运营方统一分配，以便用户终端入网时携带此密码以验证设备身份。
68.如图4所示，在设备入网步骤中，用户终端首先向量子密钥管理机kmt发送终端入网请求。
69.接着，量子密钥管理机kmt向中心控制服务器kms转发终端入网请求。
70.中心控制服务器kms通过解析获得终端入网请求，记录该用户终端已入网，并返回终端入网请求响应。
71.量子密钥管理机kmt向用户终端转发终端入网请求响应，并记录该用户终端入/离网状态。
72.用户终端经解析获得终端入网请求响应结果，并在入网失败时继续重复设备入网步骤。
73.图5示出了根据本发明的链路侦测步骤的一个示例。
74.如图5所示，当用户终端入网后，执行链路侦测步骤，用于探测/保证设备间通信链路畅通。
75.具体而言，在链路侦测步骤中，由中心控制服务器kms定时发送链路侦测请求。
76.量子密钥管理机kmt向用户终端转发链路侦测请求。
77.用户终端经解析获得链路侦测请求，并返回链路侦测响应。
78.量子密钥管理机kmt向中心控制服务器kms转发链路侦测响应。
79.中心控制服务器kms经解析获得链路侦测响应结果。
80.在本发明中，如果中心控制服务器kms超时未收到用户终端返回的链路侦测响应，则将该用户终端设置为离网；如果用户终端在预设时间内未收到中心控制服务器kms发送的链路侦测请求，则同样将自身设置为离网。
81.图6示出了根据本发明的异常上报步骤的一个示例。
82.如图6所示，当用户终端检测到工作异常后，执行异常上报步骤，以由kms处理该工作异常。
83.具体而言，在异常上报步骤中，由用户终端发送设备异常上报信息。
84.量子密钥管理机kmt向中心控制服务器kms转发异常上报信息。
85.中心控制服务器kms经解析获得异常上报信息，返回异常上报响应，并根据异常编码处理该工作异常。诸如，kms收到用户终端上报的密钥生成类异常时，需返回终端异常上报响应并停止密钥生成流程。
86.量子密钥管理机kmt向用户终端转发异常上报响应。
87.用户终端经解析获得异常上报响应结果。
88.作为示例，异常上报信息可以包括本端设备id、对端设备id、异常编码等关键信息。
89.在一种优选示例中，本端设备id可以为由量子通信网络运营方统一分配的本端设备id。
90.对端设备id可以为业务过程涉及的对端设备id。
91.异常编码用于指示异常的类型，其可以事先设定。例如，ox0001：无密钥输出异常；ox0002：量子信道异常；ox0004：密钥协商网络异常；ox0008：光电发送模块异常；ox0010：光电接收模块异常；ox0020：qkd前端异常；ox0040：qkd数据处理异常；ox0080：认证密钥量不足异常；ox0100：攻击异常。
92.优选地，异常编码可以采用独热码编码，以便能够同时上报多个异常状态。
93.下面将继续参见图2，描述利用本发明的用户终端接入方法实现的量子通信网络中的用户终端的控制方法。
94.在根据本发明的控制方法中，可以在量子密钥管理机kmt检测到中心控制服务器kms发生故障后，自动将量子密钥管理机kmt设置成区域控制服务器，因此，每个量子密钥管理机kmt与其管辖的用户终端共同形成独立控制区域。例如在图2中，kmt-a及其连接的4个用户终端形成独立控制区域a，kmt-b及其连接的2个用户终端形成独立控制区域b，kmt-c及其连接的3个用户终端形成独立控制区域c。
95.在每个独立控制区域内，由量子密钥管理机kmt对用户终端进行控制，完成量子密钥生成、存储等业务。
96.特别地，根据本发明的控制方法还可以包括信息同步步骤，用于使某个区域的量子密钥管理机kmt按照预定时间间隔(例如10秒)，以广播的形式向相邻的量子密钥管理机kmt发送广播信息，以掌握相邻区域内用户终端与量子密钥管理机kmt的归属关系(挂载关系)。
97.作为示例，广播信息可以包含本量子密钥管理机kmt下挂的用户终端id列表，以及其掌握的其他量子密钥管理机kmt下挂的用户终端列表信息。
98.借助信息同步步骤掌握相邻区域内用户终端与量子密钥管理机kmt的归属关系，可以避免在需要跨区域通信时(例如区域a中的用户终端需要与区域c中的用户终端进行数据交互)，无法准确获悉目的端用户终端所属控制区域，导致无法实现通信需求。
99.作为示例，当跨区域的两个用户终端之间要进行通信时，可以先由发送端用户终端将数据发送至其归属的量子密钥管理机kmt。其中，该数据可以包含目的端用户终端的设备id。
100.该量子密钥管理机kmt可以根据目的端的用户终端的设备id查找其归属的量子密钥管理机kmt，并将该数据转发至目的端量子密钥管理机kmt。
101.目的端量子密钥管理机kmt设备再将数据转发至目的端用户终端。
102.可选地，上述数据可以包括密钥一致性比对信息、密钥量信息和设备状态信息等。
103.借助本发明所提出的基于私有协议的量子密钥用户终端接入方法及相应的用户终端控制方法，可以提供一种层级更清晰的量子通信网络层级结构，以及方便且易于管理的用户终端接入方式，有利于用户终端的便捷接入，允许方便地组建更大规模的量子通信网络；同时，还极大地改善了量子通信网络对于中心控制服务器故障的容错能力，有利于量
子通信网络的稳定运行，可以极大扩大量子通信网络的工业应用前景。
104.尽管前面结合附图通过具体实施例对本发明进行了说明，但是，本领域技术人员容易认识到，上述实施例仅仅是示例性的，用于说明本发明的原理，其并不会对本发明的范围造成限制，本领域技术人员可以对上述实施例进行各种组合、修改和等同替换，而不脱离本发明的精神和范围。