基于量子密钥池的密钥管理系统及方法与流程

本发明涉及信息安全技术领域，更具体地，涉及一种基于量子密钥池的密钥管理系统及方法。

背景技术：

随着信息与通信技术的快速发展，信息网络受到的安全威胁越来越多，网络安全形势日益越趋严峻复杂。为了实现保密通信，网络中的节点设备在进行业务通信时，通常需要通过密钥对信息进行加密。qkd(quantumkeydistribution，量子密钥分发)技术因具有理论上“无条件安全”的优势，从而越来越广泛地被使用。具体地，可通过源节点设备与宿节点设备之间的协商来实现量子密钥分发。其中，源节点设备与宿节点设备为一对量子收发节点。每一对量子收发节点与其占据的量子通信链路(量子信道及经典信道)可看作一个量子密钥池。每一对量子收发节点之间的量子密钥池均位于密钥层，其密钥资源无法统一进行管理与调度，且可能会出现密钥资源无法满足业务量的可能性，从而现急需一种密钥管理系统及相应的管理方法。

技术实现要素：

本发明提供一种克服上述问题或者至少部分地解决上述问题的基于量子密钥池的密钥管理系统及方法。

根据本发明的一方面，提供了一种基于量子密钥池的密钥管理系统，该系统包括：sdn(softwaredefinednetwork，软件定义网络)控制器、源节点设备、宿节点设备及量子密钥池；

sdn控制器位于控制层，源节点设备及宿节点设备位于网络层，量子密钥池位于密钥层；控制层通过sdn控制器分别建立与网络层及密钥层之间的连接；

sdn控制器分别与源节点设备及宿节点设备连接，sdn控制器与量子密钥池连接，源节点设备与宿节点设备之间设有量子密钥池。

根据本发明的另一方面，提供了一种基于量子密钥池的密钥管理方法，该方法包括：

当检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备；

查找源节点设备与宿节点设备之间对应的量子密钥池；

对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。

本申请提出的技术方案带来的有益效果是：

通过在检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。由于可利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，并可实时监测统计网络的业务量和密钥量，保证量子密钥池中量子密钥资源的及时增补，方便进行量子密钥资源的集中管控与调度，从而大大提升了全网量子密钥资源的利用率，有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。

附图说明

图1为本发明实施例的一种基于量子密钥池的密钥管理系统的结构示意图；

图2为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图；

图3为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图；

图4为本发明实施例的一种基于量子密钥池的密钥管理方法的流程示意图；

图5为本发明实施例的一种基于量子密钥池的密钥管理系统的结构示意图；

图6为本发明实施例的一种基于量子密钥池的密钥管理装置的结构示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

qkd(quantumkeydistribution，量子密钥分发)技术因具有理论上“无条件安全”的优势，从而越来越广泛地被使用。具体地，可通过源节点设备与宿节点设备之间的协商来实现量子密钥分发。其中，源节点设备与宿节点设备为一对量子收发节点。每一对量子收发节点与其占据的量子通信链路(量子信道及经典信道)可看作一个量子密钥池。每一对量子收发节点之间的量子密钥池均位于密钥层，其密钥资源无法统一进行管理与调度，且可能会出现密钥资源无法满足业务量的可能性，从而现急需一种密钥管理系统及相应的管理方法。

针对现有技术中的问题，本发明实施例提供了一种基于量子密钥池的密钥管理系统，该系统包括：sdn控制器、源节点设备、宿节点设备及量子密钥池；

sdn控制器位于控制层，源节点设备及宿节点设备位于网络层，量子密钥池位于密钥层；控制层通过sdn控制器分别建立与网络层及密钥层之间的连接；

sdn控制器分别与源节点设备及宿节点设备连接，sdn控制器与量子密钥池连接，源节点设备与宿节点设备之间设有量子密钥池。

本发明实施例提供的系统，通过利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，并可实时监测统计网络的业务量和密钥量，保证量子密钥池中量子密钥资源的及时增补，方便进行量子密钥资源的集中管控与调度，从而大大提升了全网量子密钥资源的利用率，有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。

作为一种可选实施例，源节点设备与宿节点设备为网络层中的节点设备，sdn控制器通过南向接口及对应的第一通信协议与节点设备建立连接，sdn控制器通过南向接口及对应的第二通信协议与量子密钥池建立连接。基于上述内容，基于量子密钥池的密钥管理系统可参考图1所示。在图1中，节点1、节点2及节点3均为节点设备。

作为一种可选实施例，sdn控制器控制量子密钥池对量子密钥池中的量子密钥资源进行分配与补充。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在此不再一一赘述。

基于上述图1对应实施例提供的量子密钥管理系统，本实施例提供了一种基于量子密钥池的密钥管理方法。该方法涉及到sdn控制器、源节点设备、宿节点设备及量子密钥池。为了便于描述，本实施例以执行主体为sdn控制器为例进行说明。参见图2，本实施例提供的方法流程包括：201、当检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备；202、查找源节点设备与宿节点设备之间对应的量子密钥池；203、对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。

本发明实施例提供的方法，通过在检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。由于可利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，并可实时监测统计网络的业务量和密钥量，保证量子密钥池中量子密钥资源的及时增补，方便进行量子密钥资源的集中管控与调度，从而大大提升了全网量子密钥资源的利用率，有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。

作为一种可选实施例，确定业务通信请求对应的源节点设备及宿节点设备之前，还包括：

根据源节点设备的位置信息及宿节点设备的位置信息，构建对应的网络拓扑；

确定业务通信请求对应的源节点设备及宿节点设备，包括：

基于业务通信请求中的位置信息，在网络拓扑中查找相应的源节点设备及宿节点设备。

作为一种可选实施例，查找源节点设备与宿节点设备之间对应的量子密钥池之前，还包括：

部署源节点设备与宿节点设备之间的量子密钥池。

作为一种可选实施例，查找源节点设备与宿节点设备之间对应的量子密钥池之后，还包括：

向量子密钥池发送量子密钥分配请求，使得量子密钥池为源节点设备及宿节点设备分配量子密钥对。

作为一种可选实施例，对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源，包括：

检测量子密钥池中量子密钥对的剩余量是否小于预设阈值；

当检测到剩余量小于预设阈值时，向量子密钥池发送量子密钥注入指令，使得量子密钥池进行量子密钥补充。

作为一种可选实施例，检测量子密钥池中量子密钥对的剩余量是否小于预设阈值之前，还包括：

根据量子密钥池容纳量子密钥对的上限值，获取预设阈值。

作为一种可选实施例，向量子密钥池发送量子密钥注入指令之前，还包括：

根据待补充的量子密钥对数量、补充时间及补充速率，生成相应的量子密钥注入指令。

上述所有可选技术方案，可以采用任意结合形成本发明的可选实施例，在此不再一一赘述。

基于上述图1对应实施例提供的系统及图2对应实施例提供的方法，本发明实施例提供了一种基于量子密钥池的密钥管理方法。该方法涉及到sdn控制器、源节点设备、宿节点设备及量子密钥池。为了便于描述，本实施例以执行主体为sdn控制器为例进行说明。参见图3，该方法包括：301、当检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备；302、查找源节点设备与宿节点设备之间对应的量子密钥池；303、检测量子密钥池中量子密钥对的剩余量是否小于预设阈值；304、当检测到剩余量小于预设阈值时，向量子密钥池发送量子密钥注入指令，使得量子密钥池进行量子密钥补充。

其中，301、当检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备。

在执行本步骤之前，可基于图1对应实施例所提供的系统进行网络部署，本实施例对此不作具体限定。具体地，可在网络层中部署节点设备，在密钥层中部署量子密钥池，在控制层中部署sdn控制器。

首先，确定网络层中节点设备的位置信息和数量。根据节点设备的位置信息部署节点设备，构建出相应的网络拓扑。其中，网络拓扑中的每对节点设备之间都可能产生大量的业务通信请求。接着，在每对节点设备之间部署量子密钥池。其中，量子密钥池中可产生并存储多个量子密钥对。最后，在控制层部署sdn控制器，sdn控制器可全局掌握网络层及密钥层的信息，并根据业务需求进行资源的全局调配及优化。

由于网络拓扑中节点设备很多，为了便于说明，从而在本步骤中只对其中一对节点设备的量子密钥管理过程进行说明，即本步骤中源节点设备及宿节点设备。其中，源节点设备为业务通信的发起方，宿节点设备为业务通信的目标方。

基于上述内容，在确定业务通信请求对应的源节点设备及宿节点设备之前，还可以根据源节点设备的位置信息及宿节点设备的位置信息，构建对应的网络拓扑。相应地，在执行本步骤时，可基于业务通信请求中的位置信息，在网络拓扑中查找相应的源节点设备及宿节点设备。

另外，由于后续节点设备进行通信需要建立在通信连接的基础上，从而控制层还可通过sdn控制器分别建立与网络层及密钥层之间的连接。具体地，sdn控制器通过南向接口及对应的第一通信协议与节点设备建立连接，sdn控制器通过南向接口及对应的第二通信协议与量子密钥池建立连接。其中，第一通信协议与第二通信协议可以相同也可以不同，均可以为openflow协议或netconf协议等，本实施例对此不作具体限定。

sdn控制器通过南向接口可获取网络拓扑信息及量子密钥池的资源信息，从而可完成网络连接、业务通信请求及量子密钥资源的检测统计及相关控制，本实施例对此不作具体限定。

需要说明的是，由于密钥分配后节点设备之间需要进行业务通信，从而sdn控制器在接收到业务到达时发送的业务通信请求后，可计算业务的传输路径，并为节点设备分配链路资源用于进行业务通信，本实施例对此不作具体限定。

其中，302、查找源节点设备与宿节点设备之间对应的量子密钥池。

基于上述步骤301中的内容可知，每对节点设备之间对应着一个量子密钥池，从而在执行本步骤之前，还可先部署源节点设备与宿节点设备之间的量子密钥池，本实施例对此不作具体限定。在本步骤中，sdn控制器可查找源节点设备与宿节点设备之间对应的量子密钥池。具体地，上述步骤中的业务通信请求可携带量子密钥池的标识，从而在本步骤可根据量子密钥池的标识查找对应的量子密钥池，本实施例对此不作具体限定。

在查找到业务通信请求对应的量子密钥池后，sdn控制器可遍历量子密钥池中密钥资源，并可随机选择或首次命中选择一对保障业务安全的量子密钥，本实施例对此不作具体限定。在选择好量子密钥池中的量子密钥对后，可根据量子密钥对的标识及业务通信请求中的内容，生成相应的量子密钥分配请求，本实施例对此不作具体限定。

在生成量子密钥分配请求后，可向量子密钥池发送量子密钥分配请求，使得量子密钥池为源节点设备及宿节点设备分配量子密钥对，本实施例对此不作具体限定。具体地，sdn控制器在生成量子密钥分配请求后，可向量子密钥池发送量子密钥分配请求。量子密钥池在接收到量子密钥分配请求后，可根据sdn控制器告知的业务和量子密钥对标识，将相应的量子密钥对分配给对应的业务。相应地，业务可在源节点设备可利用量子密钥对中的一个量子密钥进行加密，在宿节点设备利用量子密钥对中的另一个量子密钥进行解密。其中，量子密钥对中的两个量子密钥可以相同。通过该过程，能够完成理论上无条件安全的业务保密通信。

由于业务传输过程中的量子密钥不断更新有利于增强业务的安全性，且量子密钥池中的量子密钥存在不够用的可能性，从而可对量子密钥池中的量子密钥进行增补，本实施例对此不作具体限定，具体过程可参考后续步骤中的内容。

其中，303、检测量子密钥池中量子密钥对的剩余量是否小于预设阈值。

在执行本步骤之前，sdn控制器可对量子密钥池中量子密钥对的剩余量进行实时检测。具体地，可将量子密钥池中量子密钥对的剩余量与预设阈值进行比对，来判断密钥池中量子密钥对的剩余量是否小于预设阈值。其中，预设阈值可以由运营商根据网络业务需求、负载等具体情况设定，本实施例对此不作具体限定。需要说明的是，预设阈值的大小需要保障量子密钥池中存储的量子密钥对数量能够满足全网业务需求。

基于上述内容，在执行本步骤之前，可先获取预设阈值。本实施例不对获取预设阈值的方式作具体限定，包括但不限于：根据量子密钥池容纳量子密钥对的上限值，获取预设阈值。

例如，运营商可以设定量子密钥池中的量子密钥资源不能低于量子密钥池空间m的30％。其中，量子密钥池空间m即为量子密钥池容纳量子密钥对的上限值，预设阈值为30％×m。当sdn控制器检测到量子密钥池中量子密钥资源不足时，即存储的量子密钥对数量低于预设阈值时，可补充量子密钥池中的量子密钥资源。

其中，304、当检测到剩余量小于预设阈值时，向量子密钥池发送量子密钥注入指令，使得量子密钥池进行量子密钥补充。

在执行本步骤之前，可根据待补充的量子密钥对数量、补充时间及补充速率，生成相应的量子密钥注入指令。在本步骤中，sdn控制器在生成量子密钥注入指令后，可将量子密钥注入指令发送至源节点设备与宿节点设备之间对应的量子密钥池。量子密钥池在接收到量子密钥注入指令后，可根据量子密钥注入指令中的参数进行量子密钥补充，直到量子密钥对数量达到量子密钥注入指令中sdn控制器指定的补充数量为止。

通过上述步骤303及步骤304中阈值补充法，能够大大节省量子密钥池占用的资源。当量子密钥池没有启动注入密钥时，其对应的节点设备和通信链路可以拆除并为其他量子密钥池使用，从而大大提升了资源利用率。另外，由于量子密钥池在全网处于分布式的状态，采用sdn控制器可以对全网的量子密钥池进行集中式管控。与此同时，通过对量子密钥池中的量子密钥资源进行按需增补，可完成全网不同量子密钥池之间的协同，实现网络资源的高效均衡调度。

通过上述步骤303至304，源节点设备及宿节点设备在得到量子密钥后，可基于量子密钥及上述步骤301中分配的链路资源，进行业务通信。当业务通信完成后，可上报sdn控制器。sdn控制器可拆除业务通信占用的链路资源，并更新量子密钥池状态且检测是否需要补充量子密钥。上述步骤301至步骤304中量子密钥分配及量子密钥增补的过程，可参考图4。

需要说明的是，本实施例提供的基于sdn控制器的量子密钥池可用于多种网络场景。例如，在图5中给出了基于sdn控制器与量子密钥池的otn(opticaltransportnetwork，光传送网络)架构。其中，otn架构中每一对节点设备之间均可部署一个量子密钥池，如图中密钥层所示，5个节点设备的otn架构可部署10个量子密钥池。

图中①→⑦为业务请求(节点1→节点5)和量子密钥分配及更新流程，即对应图5中的7个步骤。sdn控制器按照步骤①→⑦响应业务请求，并分配及更新量子密钥以保障业务的通信安全。同时，sdn控制器还可管控全网资源，保障量子密钥池中密钥的及时增补，完成在不同量子密钥池中，需求差异化的密钥资源分配，进而实时调度全网资源，以保证otn网络业务的安全。

本发明实施例提供的方法，通过在检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。由于可利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，并可实时监测统计网络的业务量和密钥量，保证量子密钥池中量子密钥资源的及时增补，方便进行量子密钥资源的集中管控与调度，从而大大提升了全网量子密钥资源的利用率，有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。

其次，由于可查找准备进行业务通信的节点设备对所对应的量子密钥池，并告知量子密钥池为节点设备分配量子密钥对，而非通过集中式的量子密钥池来分配量子密钥，从而避免了业务通信请求量较多时集中分配所产生的延时。因此，能够及时对量子密钥进行分配。

另外，通过对量子密钥池中的密钥资源进行补充，能够满足全网的业务需求。当密钥池没有启动注入密钥时，其对应的节点设备和通信链路可以拆除并为其它量子密钥池使用，从而大大提升了资源利用率。另外，由于密钥池在全网处于分布式的状态，采用sdn控制器可以对全网密钥池进行集中式管控。与此同时，通过对密钥池中的密钥资源进行按需增补，可完成全网不同密钥池之间的协同，实现网络资源的高效均衡调度。

最后，通过利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，可实时监测统计网络的业务量和密钥量，完成需求差异化的量子密钥池中量子密钥资源的阈值设定。

本发明实施例提供了一种基于量子密钥池的密钥管理装置，该装置用于执行上述图2或图3对应实施例所提供的基于量子密钥池的密钥管理方法。参见图6，该装置包括：

确定模块601，用于当检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备；

查找模块602，用于查找源节点设备与宿节点设备之间对应的量子密钥池；

补充模块603，用于对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。

作为一种可选实施例，该装置还包括：

构建模块，用于根据源节点设备的位置信息及宿节点设备的位置信息，构建对应的网络拓扑；

该确定模块601，用于基于业务通信请求中的位置信息，在网络拓扑中查找相应的源节点设备及宿节点设备。

作为一种可选实施例，该装置还包括：

部署模块，用于部署源节点设备与宿节点设备之间的量子密钥池。

作为一种可选实施例，补充模块603，包括：

检测单元，用于检测量子密钥池中量子密钥对的剩余量是否小于预设阈值；

发送单元，用于当检测到剩余量小于预设阈值时，向量子密钥池发送量子密钥注入指令，使得量子密钥池进行量子密钥补充。

作为一种可选实施例，该装置还包括：

获取模块，用于根据量子密钥池容纳量子密钥对的上限值，获取预设阈值。

作为一种可选实施例，该装置还包括：

根据待补充的量子密钥对数量、补充时间及补充速率，生成相应的量子密钥注入指令。

本发明实施例提供的装置，通过在检测到业务通信请求时，确定业务通信请求对应的源节点设备及宿节点设备。查找源节点设备与宿节点设备之间对应的量子密钥池。对量子密钥池中的量子密钥资源进行监控，基于监控结果补充量子密钥池中的量子密钥资源。由于可利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，并可实时监测统计网络的业务量和密钥量，保证量子密钥池中量子密钥资源的及时增补，方便进行量子密钥资源的集中管控与调度，从而大大提升了全网量子密钥资源的利用率，有利于解决现有网络中量子密钥分配不安全、量子密钥资源不均衡、量子密钥资源利用率低及网络资源调度低效等问题。

其次，由于可查找准备进行业务通信的节点设备对所对应的量子密钥池，并告知量子密钥池为节点设备分配量子密钥对，而非通过集中式的量子密钥池来分配量子密钥，从而避免了业务通信请求量较多时集中分配所产生的延时。因此，能够及时对量子密钥进行分配。

另外，通过对量子密钥池中的密钥资源进行补充，能够满足全网的业务需求。当密钥池没有启动注入密钥时，其对应的节点设备和通信链路可以拆除并为其它量子密钥池使用，从而大大提升了资源利用率。另外，由于密钥池在全网处于分布式的状态，采用sdn控制器可以对全网密钥池进行集中式管控。与此同时，通过对密钥池中的密钥资源进行按需增补，可完成全网不同密钥池之间的协同，实现网络资源的高效均衡调度。

最后，通过利用sdn控制器统一管控全网中每对节点设备之间的量子密钥池，可实时监测统计网络的业务量和密钥量，完成需求差异化的量子密钥池中量子密钥资源的阈值设定。

最后，本申请的方法仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。