一种量子网络中密钥业务的保护方法及系统与流程

本发明涉及量子加密技术领域，更具体地，涉及一种量子网络中密钥业务的保护方法及系统。

背景技术

量子密钥分发(quantumkeydistribution,简称为qkd)基于量子力学的无条件安全性受到了人们的广泛关注。从1984年第一个qkd协议—bb84协议被提出，到现在已经日趋成熟的qkd相关技术。

图1为量子网络通信过程的示意图。量子网络由多个量子节点和链路组成，量子节点可以完成收、发和存储的功能，链路中的信道分为同步光信道、量子信道和协商信道。其中，同步光信道用于传输同步的周期性辅助光信号，量子信道用于传输量子光信号，协商信道用于传输基矢比对、误码校验等协商信息。假设从量子节点1向量子节点3传输一个密钥业务，在节点1处进行加密操作形成包含同步光信号、量子信号和协商信号的密钥业务，分别通过三个信道将密钥业务传输到量子节点2处。在节点2处进行与节点1到节点2传输密钥业务的相同过程将密钥业务传输到节点3，在节点3处对密钥业务进行解密。

通信市场对于信息安全的要求越来越高，需求也越来越迫切，量子保密通信建凭借领先技术将开启广阔应用市场，同时对于量子通信网络的抗毁性也将提出了要求；在量子网络中由于链路结构的复杂性，不可免的会出现故障，量子网络中密钥业务的量子传输线路的调整不如传统网络中对传输线路的调整灵活，因此，在量子网络出现故障时如何最大限度的完成对密钥业务传输的保护，是目前亟待解决的问题。

技术实现要素：

本发明提供一种克服上述问题或者至少部分地解决上述问题的量子网络中密钥业务的保护方法及系统。

根据本发明的一个方面，提供一种量子网络中密钥业务的保护方法，包括：

对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；

在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

根据本发明的另一个方面，提供一种量子网络中密钥业务的保护系统，包括：

保护路径设置模块，用于对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；

密钥业务倒换模块，用于在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

根据本发明的再一个方面，提供一种计算机设备，包括存储器和处理器，所述处理器和所述存储器通过总线完成相互间的通信；所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令能够执行上述的方法。

根据本发明的又一个方面，提供一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，使所述计算机执行上述的方法。

根据本发明的还一个方面，提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上所述的方法。

本发明提供的一种量子网络中密钥业务的保护方法及系统，解决了网络中出现故障时对密钥业务传输保护的问题。在网络中链路受到故障后，执行该方法，能够快速、有效的继续网络中密钥业务的传输，具有维护安全服务的能力。

附图说明

图1为量子网络通信过程的示意图；

图2为根据本发明实施例提供的一种量子网络中密钥业务的保护方法流程图；

图3为根据本发明实施例提供的保护环的保护过程示意图。

具体实施方式

下面结合附图和实施例，对本发明的具体实施方式作进一步详细描述。以下实施例用于说明本发明，但不用来限制本发明的范围。

图2为根据本发明实施例提供的一种量子网络中密钥业务的保护方法流程图，如图2所示，该方法包括：

对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；

在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

具体地，密钥业务包括同步光信号、量子信号和协商信号，在量子网络中可以进行多个密钥业务的传输，对于任一密钥业务，根据该密钥业务的工作路径，为该密钥业务设置保护路径，并为保护路径分配保护资源。

其中，每一密钥业务的工作路径都是在其传输之前就计算好的。对于任一密钥业务，其工作路径中包括多个节点，这多个节点中的每个节点都需要进行中继。考虑到密钥业务所经节点都能获取到密钥信息，可对工作路径中的每条链路设置保护环。即，对于任一密钥业务的工作路径，将每两个相邻节点之间的路径为一条链路，可为每一条链路设置保护环，将该工作路径中的所有链路的保护环作为保护路径。在上述的任一密钥业务的传输过程中，若工作路径发生故障，则将该任一密钥业务倒换至上述的保护路径中进行传输。

本实施例提供的方法，解决了量子网络中出现故障时对密钥业务传输保护的问题。在网络中链路受到故障后，执行该方法，在故障出现时能够快速、有效的继续网络中密钥业务的传输，具有维护安全服务的能力。

基于上述实施例，所述对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点，之前还包括：

当接收到所述任一密钥业务的传输请求时，通过路径计算算法计算所述任一密钥业务的工作路径。

具体地，路径计算算法包括迪杰斯特拉算法、bellman-ford算法、floyd算法和spfa算法等。在本实施例中，可通过迪杰斯特拉算法计算所述任一密钥业务的工作路径。迪杰斯特拉算法是由荷兰计算机科学家狄克斯特拉于1959年提出的，因此又叫狄克斯特拉算法。迪杰斯特拉算法是从一个顶点到其余各顶点的最短路径算法，解决的是有向图中最短路径问题。迪杰斯特拉算法主要特点是以起始点为中心向外层层扩展，直到扩展到终点为止。

基于上述实施例，根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源，进一步包括：

在所述任一密钥业务的工作路径中，将相邻的每两个节点以及所述两个节点之间的工作路径段作为一个单元；对于每一个单元，按照所述任一密钥业务的传输方向，将所述两个节点中的一个节点作为目标源节点，另一个节点作为目标宿节点，通过路径计算算法为所述每一个单元设置一个保护环，将所有单元的保护环作为所述保护路径；判定所述任一密钥业务的每一保护环与所述量子网络中其他密钥业务的保护环是否有重叠链路，根据判定结果，为所述任一密钥业务的每一保护环设置保护资源。

具体地，对于任一密钥业务，其工作路径中包括多个节点，将相邻的每两个节点以及所述两个节点之间的工作路径段作为一个单元。

对于每一个单元，为了有效的节省量子网络的资源，优选的将保护环设置成最短，按照该任一密钥业务的传输方向，将两个节点中的起始节点作为目标源节点，终止节点作为目标宿节点，基于迪杰斯特拉算法为每一个单元设置一个从链路的目标源节点到目标宿节点的且不包括该链路的最短的传输线路作为保护环，将所有单元的保护环作为保护路径。

判定该任一密钥业务的每一保护环与量子网络中其他密钥业务的保护环是否有重叠链路，根据判定结果，为该任一密钥业务的每一保护环设置保护资源。其具体过程如下：

对于所述任一密钥业务的任一保护环，若所述任一保护环与所述其他密钥业务的保护环具有重叠链路，则通过资源分配算法，分配第一预设数量的同步光信道、量子信道和协同信道作为所述重叠链路的保护资源，分配第二预设数量的同步光信道、量子信道和协同信道作为所述任一保护环内非重叠链路的保护资源；

若所述任一保护环与所述其他密钥业务的保护环不具有重叠链路，则通过资源分配算法，分配所述第二预设数量的同步光信道、量子信道和协同信道作为所述任一保护环的保护资源。

具体地，本实施例中的第一预设数量和第二预设数量中的预设数量并不代表一个具体的数值，而是代表一个向量，或者说是代表一个集合。例如说，第一预设数量的同步光信道、量子信道和协同信道具体为1个同步光信道、2个量子信道和3个协同信道；第二预设数量的同步光信道、量子信道和协同信道具体为2个同步光信道、3个量子信道和1个协同信道。

以下对分配第一预设数量的同步光信道、量子信道和协同信道作为所述重叠链路的保护资源进行举例说明：

例如，将上述的任一密钥业务称为第一业务，其所在的量子网络中还有另一个密钥业务进行传输，将其称为第二业务。第一业务的保护环为h-i，i-j和j-k，第二业务的保护环为m-i，i-j和j-n。则第一业务的保护环与第二业务的保护环具有重叠链路i-j。对于第一业务，为第一业务的h-i和j-k设置第二预设数量的保护资源，为i-j设置第一预设数量的保护资源。

若已为第二业务的保护环设置了保护资源，则无需再为第一业务的保护环中的i-j链路设置保护资源，此时第一预设数量中的每一预设数量为0，即同步光信道、量子信道和协同信道的个数均为0，或者，只需再为第一业务的保护环中的i-j链路设置部分保护资源。需要说明的是，只有当保护资源不够第一业务使用时，才为第一业务的保护环中的i-j链路设置部分保护资源。

其中，保护资源是指一定数量的同步光信道、量子信道和协同信道。

本实施例将保护环之间进行保护资源的共享，可以在很大程度上实现对资源的高效利用。解决了随着网络中密钥业务的数量增多，保护环的个数将会增多，需要预留的资源增多从而导致网络阻塞率迅速增大，而资源利用率依旧很低的问题。

基于上述实施例，在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输，进一步包括：

在所述任一密钥业务的传输过程中，当所述工作路径发生故障时，确定所述工作路径中的故障链路，并判定所述量子网络中是否存在其他故障链路；

若所述量子网络中存在其他故障链路，则判定所述故障链路的保护环与所述其他故障链路的保护环是否具有重叠链路；

若所述故障链路的保护环与所述其他故障链路的保护环具有重叠链路，则将所述故障链路的保护环作为共享保护环，将所述故障链路中的密钥业务和所述其他故障链路中的密钥业务以预设优先级顺序倒换至所述重叠链路内进行传输，或者，随机将所述故障链路中的密钥业务或所述其他故障链路中的密钥业务倒换至所述重叠链路内进行传输；

若所述故障链路的保护环与所述其他故障链路的保护环不具有重叠链路，则将所述故障链路中的密钥业务和所述其他故障链路中的密钥业务分别倒换至对应的保护环内进行传输。

具体地，当密钥业务在工作路径中传输时出现了故障，需要将故障链路上的密钥业务倒换到保护环上继续传输。本实施例分别在多链路故障和单链路故障的情况下，提出了倒换过程，详细步骤如下：

查看是单链路或多链路故障：即查看量子网络中出现的故障是单条受故障链路还是多条受故障链路。如果是多条受故障链路，需要对多条受故障链路内的密钥业务依次进行倒换。

判断多链路故障是否共享保护资源：即网络中有多条链路同时受到故障，需要判断多条受故障链路之间是否共享保护资源。如果它们之间共享保护资源，多条受故障链路需要在共享保护资源下进行倒换。如果它们之间不共享保护资源，需要将多条链路上的密钥业务倒换到各自对应的保护资源上。

共享保护资源下多链路故障的倒换：共享保护资源一次只能为一条受故障链路提供保护服务，多条故障链路对共享保护资源的使用具有冲突。为实现快速倒换，在共享保护资源的源节点处随机选择一条受故障链路进行倒换传输。等保护资源空闲，再次随机选择一条其它受故障链路进行倒换传输。以此类推，直到多条受故障链路都完成倒换传输。其中，在倒换过程中，具体需要将受故障链路中同步光信道、量子信道、协同信道上的信号分别倒换到保护资源上进行传输。

不共享保护资源下多链路故障的倒换：多条故障链路之间不共享保护资源，多条故障链路对保护资源的使用没有冲突，可将多条受故障链路分别倒换到其对应的保护资源上进行传输。其中，在倒换过程中，具体需要将受故障链路中同步光信道、量子信道、协同信道上的信号分别倒换到保护资源上进行传输。

单链路故障的倒换：单条链路故障即使与其它链路共享保护资源，对保护资源的使用也不具有冲突。将该受故障链路上的密钥业务到换到保护资源上。其中，在倒换过程中，具体需要将受故障链路中同步光信道、量子信道、协同信道上的信号分别倒换到保护资源上进行传输。

基于上述实施例，本实施例作为一个优选实施例，对本发明的方法进行进一步说明：

图3为根据本发明实施例提供的保护环的保护过程示意图。密钥业务1和密钥业务2的工作路径分别为a-b-c和a-d-c。为这两条工作路径中的链路分别设置保护环a-e-b，b-e-c，a-e-d，d-e-c。在密钥业务1和密钥业务2传输过程中，链路bc和链路cd发生了故障。由此在节点b、c处分别将故障密钥业务倒换到由链路be和链路ec组成的共享保护环，由链路de和链路ec组成的共享保护环中继续传输。

由于链路ec为两个保护环的重叠链路，因此，若已为密钥业务2的保护环设置了保护资源，且该保护资源足够密钥业务1使用，则不需为密钥业务1的保护环中的重叠链路分配保护资源。若该保护资源不够密钥业务1使用，则需再为密钥业务1的保护环中的重叠链路分配部分保护资源。

链路ec中的共享保护资源一次只能为一条故障链路提供保护服务，多条故障链路对共享保护资源的使用具有冲突。为实现快速倒换，在共享保护资源的源节点处随机选择一条故障链路进行倒换传输。等共享保护资源空闲，再次随机选择一条其它故障链路进行倒换传输。以此类推，直到多条故障链路都完成倒换传输。其中，在倒换过程中，具体需要将故障链路中同步光信道、量子信道、协同信道上的信号分别倒换到保护资源上进行传输。

基于上述实施例，本实施例提供一种量子网络中密钥业务的保护系统，包括：

保护路径设置模块，用于对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；

密钥业务倒换模块，用于在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

具体的如何利用保护路径设置模块和密钥业务倒换模块对量子网络进行保护可参见上述实施例，本实施例在此不再赘述。

本发明实施例提供一种计算机设备，包括：至少一个处理器；以及与所述处理器通信连接的至少一个存储器，其中：

所述存储器存储有可被所述处理器执行的程序指令，所述处理器调用所述程序指令以执行上述各方法实施例所提供的方法，例如包括：对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

本实施例公开一种计算机程序产品，所述计算机程序产品包括存储在非暂态计算机可读存储介质上的计算机程序，所述计算机程序包括程序指令，当所述程序指令被计算机执行时，计算机能够执行上述各方法实施例所提供的方法，例如包括：对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

本实施例提供一种非暂态计算机可读存储介质，所述非暂态计算机可读存储介质存储计算机指令，所述计算机指令使所述计算机执行上述各方法实施例所提供的方法，例如包括：对于在量子网络中进行传输的任一密钥业务，根据所述任一密钥业务的工作路径，获取所述工作路径中的所有节点；根据所述所有节点，为所述任一密钥业务设置保护路径，并为所述保护路径分配保护资源；在所述任一密钥业务的传输过程中，若所述工作路径发生故障，则将所述任一密钥业务倒换至所述保护路径中进行传输。

本领域普通技术人员可以理解：实现上述方法实施例的全部或部分步骤可以通过程序指令相关的硬件来完成，前述的程序可以存储于一计算机可读取存储介质中，该程序在执行时，执行包括上述方法实施例的步骤；而前述的存储介质包括：rom、ram、磁碟或者光盘等各种可以存储程序代码的介质。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。

最后，本发明的方案仅为较佳的实施方案，并非用于限定本发明的保护范围。凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。