中继共存场景下的量子密钥分发方法及相关设备

本公开涉及网络通信技术领域，尤其涉及一种中继共存场景下的量子密钥分发方法及相关设备。

背景技术：

近年来，随着移动通信技术、云计算技术、5g、大数据以及智能物联网等新技术的迭代普及，推动了移动互联网、高清视频传输等新型数据业务的与日俱增。一方面，新一代的信息技术普及带来了前所未有的数据信息交互需求，对整个网络的信息承载能力提出了更高的要求；另一方面，信息安全变得越来越重要，新一代信息技术的发展，例如量子计算机的出现极大地挑战了目前主要使用的基于计算复杂性的经典公钥密码系统的安全性，严重威胁了传统通信方式的安全性。

量子密钥分发(quantumkeydistribution，qkd)使任意两方都能够生成并定期更新一个共享密钥进行数据加密和解密，是保证信息安全的最佳方法之一，其安全性由其“海森堡测不准原理”和“量子不可克隆定律”等量子力学基本定律保证，具有理论上的“无条件安全”优势。基于量子密钥分发技术的qkd网络是现阶段发展相对成熟并且具备产业化潜力的典型应用之一。但在现实qkd网络中，密钥资源是一种十分稀缺的资源，随着网络规模的不断扩张、用户数量的不断增长、加密请求不断增多，将会导致qkd网络因无法实时为业务提供密钥而导致请求失败，为了使qkd网络中的资源得到充分的利用，需要对qkd网络进行优化，使qkd网络可以为更多的经典业务提供量子密钥，从而提高整个网络的安全防护能力。

现实qkd网络中可信中继节点与不可信中继节点共同存在，使网络环境更加复杂，对qkd网络资源的优化更加困难。基于此场景，如何高效的对可信/不可信中继共存存在的qkd网络资源进行优化成为了一个亟待解决的问题。

技术实现要素：

有鉴于此，本公开的目的在于提出一种中继共存场景下的量子密钥分发方法及相关设备。

基于上述目的，本公开提出了一种中继共存场景下的量子密钥分发方法，包括：

遍历量子密钥分发网络拓扑，记录两端均为可信节点的物理链路，并在连接同一个不可信节点的所述可信节点间构建虚拟链路；

分别为所述物理链路和所述虚拟链路生成对应的量子密钥池；

获取所述量子密钥分发网络拓扑接收到的业务请求，并计算出承载所述业务请求的最短路径，将所述最短路径内每一条所述物理链路或所述虚拟链路对应的所述量子密钥池虚拟化，构建虚拟密钥池；

按照所述最短路径分配所述虚拟密钥池的密钥资源，并判断所述最短路径是否存在优化空间；

响应于确定所述最短路径存在优化空间，重构所述虚拟密钥池并得到新的所述最短路径。

基于同一发明目的，本公开还提供了一种中继共存场景下的量子密钥分发装置，包括：

网络拓扑抽象模块，遍历量子密钥分发网络拓扑，记录两端均为可信节点的物理链路，并在连接同一个不可信节点的所述可信节点间构建虚拟链路；

量子密钥池构建模块，分别为所述物理链路和所述虚拟链路生成对应的量子密钥池；

虚拟密钥池构建模块，所述网络拓扑接收业务请求并计算出承载所述业务请求的最短路径，将所述最短路径内每一条所述物理链路或所述虚拟链路对应的所述量子密钥池虚拟化，构建虚拟密钥池；

资源分配模块，按照所述最短路径分配所述虚拟密钥池的密钥资源，并判断所述最短路径是否存在优化空间；

虚拟密钥池重构模块，响应于确定所述最短路径存在优化空间，重构所述虚拟密钥池并得到新的所述最短路径。

基于同一发明目的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现中继共存场景下的量子密钥分发方法。

从上面所述可以看出，本公开提供的中继共存场景下的量子密钥分发方法及相关设备，在可信/不可信中继共存场景下，提出了一种量子密钥分发网络资源优化方法。该场景下的量子密钥分发拓扑抽象及密钥池构建方法解决了可信中继与不可信中继之间工作原理，工作流程以及处理业务方式的差异化问题，使拓扑抽象后的网络可以正常进行量子密钥分发流程；该场景下的虚拟密钥池构建与虚拟密钥池重构方法在保证量子密钥分发过程安全性的同时，设置重构阈值来控制虚拟密钥池重构的频率，以此缓解量子密钥分发网络中因为流量波动或者承载业务量过多而导致的业务阻塞，通过降低业务阻塞率，提高密钥资源利用率，提升整个网络的性能。

附图说明

为了更清楚地说明本公开或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本公开的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本公开实施例提供的的中继共存场景下的量子密钥分发方法的步骤示意图；

图2为本公开实施例提供的构建虚拟密钥池的步骤示意图；

图3为本公开实施例提供的重构虚拟密钥池的步骤示意图；

图4为本公开实施例提供的量子密钥分发网络拓扑示意图；

图5为本公开实施例提供的量子密钥分发网络拓扑抽象和量子密钥池的示意图；

图6为本公开实施例提供的中继共存场景下的量子密钥分发装置的示意图；

图7为本公开实施例提供的电子设备的结构示意图。

具体实施方式

为使本公开的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本公开进一步详细说明。

需要说明的是，除非另外定义，本公开实施例使用的技术术语或者科学术语应当为本公开所属领域内具有一般技能的人士所理解的通常意义。本公开实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。

在远距离量子密钥分发系统中，光子在光纤中传输会有损耗和色散及非线信效应影响其传输距离和容量，损耗影响信号幅度。色散导致光纤带宽展宽形成误码，进而导致通信失败，因此量子密钥分发距离被限制在百公里量级上，且成码率极低。因此，可以使用可信中继来构建远距离的量子密钥分发网络，所谓的可信中继，即传输的中间节点是绝对安全的，是对点到点量子密钥分发方案的一种网络扩展。基本的思想是：在整个可信中继qkd网络中，将合法用户间的通信链路看作是一条长的qkd链路，而后将长的qkd链路根据中继节点拆分成若干条两个节点间的短的通信链路，每两个节点间通过量子密钥分发产生安全密钥，并逐级地进行数据的安全传输，原始数据在完成多个中继节点的转移之后，最终到达目的节点，完成数据的加密传输。

基于可信中继的qkd网络就是以上文所描述的可信中继以及原始的量子密钥分发协议为基础，在源节点至目的节点间的多个中继节点上“逐级地”、“一次一密”的传送信息数据，如果在数据传输过程中可以保证任意两节点间传输过程的安全性，则在理论上整个基于可信中继的qkd网络就可以在保证通信安全性的基础上实现多方用户的远距离安全通信，但不足的是，在整个网络的任一条长的通信链路中进行逐级地传送信息，多个中继节点的可信度难以保证，若在通信的过程中，窃听者攻破任一中继节点，则整个通信过程将无密可保。

虽然从理论上证明了基于可信中继的量子密钥分发组网方案是绝对安全的，但是由于测量设备和量子信号源的非完美性，量子密钥分发系统在实际应用中并不能保证传输信息的绝对安全。例如针对探测端的多种攻击方式陆续被提出：时间位移攻击、强光致盲攻击、波长攻击、死时间攻击等。2012年，加拿大的lo小组通过对纠缠分发协议进行时间反演，提出了测量设备无关量子密钥分发协议(measurementdeviceindependentqkd,mdi-qkd)，其创造性地将探测端交由不可信的第三方控制，其安全性也与测量设备无关，理论上通信双方只需要根据第三方公布的探测结果即可确认qkd系统的安全性。因此mdi-qkd的测量装置可以看作是一个黑盒，完全消除了探测系统中的所有安全漏洞，具有免疫所有针对测量设备的侧通道攻击的能力，甚至可以由不可信的第三方制造和操作。同时mdi-qkd的出现使qkd网络可以使用不可信中继节点进行组网。

mdi-qkd最适合星型网络拓扑，在实现共享昂贵的探测器的情况下还允许窃听者在不损害安全性的前提下对中继进行完全控制。其原理如图2所示，多个节点分别通过wdm信道在不同光纤中接入光开关，再发送到不可信的eve。光开关通过时分复用机制，在某一个时隙内由于mdi探测器共享，eve只对某两个节点，例如alice和bob，发送的单光子进行贝尔态测量。eve将测量时刻分别发送给alice和bob，alice和bob通过公共信道进行测量基比对等后处理进行密钥生成。同时在整个密钥获取的过程中，任意两个节点之间的通信距离最大可延长一倍。因此使用mdi-qkd组网，在原始qkd协议的基础上完全移除了探测器端的漏洞，并且延长了合法用户的通信距离，具有很强的实用性。

在mdi-qkd协议的基础上，lucamarini等人提出了一种新型的相位编码mdi-qkd，名为双场qkd(twin-fieldqkd，tf-qkd)。该协议旨在克服成码率－传输距离的限制：原有的mdi-qkd协议中，成码率与信道损耗相关，而本协议将诱骗态方法与锁相mdi-qkd系统相结合，使成码率与信道损耗的平方根相关。清华大学的王向斌教授基于此提出了x/z基矢的tf-qkd协议：sendingornotsendingqkd(sns-qkd)，其采用单光子作为信息载体。清华大学的马雄峰教授结合原始的相位编码mdi-qkd和tf-qkd协议，提出了相位匹配qkd(phase-matchingqkd,pm-qkd)协议，该协议结合了诱骗态方法，釆用相干态作为信息载体。随后，陆续有无相位随机化过程的简化相干态协议被提出。近年来的这些理论工作极大地促进了长距离高成码率qkd的发展。

m.lucamarini等人验证了qkd系统的密钥速率在50km光纤链路上只能达到1～2mbit/s，难以保证密钥的实时供给，因此有效管理宝贵的密钥资源是必要的。y.cao等人提出使用量子密钥池(qkp)技术来增强量子密钥管理，以便及时给加密业务提供密钥。量子密钥池与传统密钥池类似，但优于传统密钥池，包括密钥的贮存、密钥的更新、密钥的使用及销毁等功能。qkd节点源源不断的生成密钥，产生的量子密钥可以存储在与qkd节点位于同一位置的密钥存储器中，并由量子密钥池管理。

目前，有关学者对量子密钥池做出相应的研究，从而提升量子密钥的利用率和网络资源的利用率。例如，北京邮电大学的h.wang量子密钥安全加密的接入网中，利用量子密钥池可以保证其存储的密钥理论上的无条件安全，同时加密请求到来可以迅速高效地为其分发密钥，有利于提升网络中密钥资源的利用率，解决现有密钥池技术中密钥分发不安全和密钥资源利用率不高的问题。在量子密钥池的构建上，北京邮电大学的y.cao提出了一种量子密钥池的构建方法，将qkd节点与量子通信链路资源整合在一个量子密钥池中，由于qkd节点一直都在源源不断地产生密钥，将量子密钥存储在量子密钥池中，并分割量子密钥池为一个个密钥空间。然后利用光时分复用技术将量子密钥池中的密钥空间分割成多个周期性的时间片，这些时间片可以为多个业务提供周期性的密钥并进行密钥更新，便可以实现密钥池与加密业务的“一对多”关系，按需分配密钥，大大提升密钥资源的利用率。

现有的研究方案主要集中考虑解决基于可信中继的量子密钥分发网络路由与资源分配等问题，对于量子密钥分发网络中资源优化问题并未考虑。在现实qkd网络中，对于非相邻量子节点之间的密钥分发请求，服务路径除源宿节点外的所有节点都视为中继节点，若业务请求选择了非最优路径生成全局密钥，则路径中经过的中继节点越多，浪费的密钥资源就越多，这不利于提高整个网络的安全能力。

为了解决可信/不可信中继共存场景下的量子密钥分发网络资源优化问题，本公开提供了一种中继共存场景下的量子密钥分发方法及相关设备：首先是进行量子密钥分发网络拓扑抽象并构建量子密钥池，然后针对业务请求在源宿节点间构建虚拟密钥池，对业务请求实时提供全局密钥，最后判断该业务是否存在优化空间，若该业务存在优化空间，则对该业务请求进行虚拟密钥池重构，然后对业务请求实时提供全局密钥。能够提高密钥资源的利用率，达到优化量子密钥分发网络的作用。

参照图1，本公开实施例提供的中继共存场景下的量子密钥分发方法步骤包括：

步骤s101，遍历量子密钥分发网络拓扑，记录两端均为可信节点的物理链路，并在连接同一个不可信节点的所述可信节点间构建虚拟链路。

本步骤中，还需要将两端均为不可信节点的链路抽象化断开；在生成虚拟直连链路时，将不可信节点抽象化，并将按照不可信节点的将虚拟直连链路整合为虚拟直连链路组。

步骤s102，分别为所述物理链路和所述虚拟链路生成对应的量子密钥池。

本步骤中构建的量子密钥池，用于管理、储存、使用和销毁节点对间生成的量子密钥；两个可信节点物理连接或通过所述虚拟直连链路连接，在构建好量子密钥池后，还需遍历所有量子密钥池，获取并记录每个量子密钥池的单位时间密钥补充速率。

步骤s103，获取所述量子密钥分发网络拓扑接收到的业务请求，并计算出承载所述业务请求的最短路径，将所述最短路径内每一条所述物理链路或所述虚拟链路对应的所述量子密钥池虚拟化，构建虚拟密钥池。

作为一个可选的实施例，构建虚拟密钥池的步骤如图2所示，包括：

步骤s201，解析业务请求并遍历网络拓扑中的所有量子密钥池，获取密钥资源的状态。

本步骤中，解析所述业务请求获取包括源节点、宿节点、业务开始时间、业务持续时间、单位时间密钥消耗速率在内的业务属性，并遍历所述网络拓扑中的所有所述量子密钥池，获取每个所述量子密钥池的包括密钥量、单位时间密钥补充速率在内的密钥资源状态。

步骤s202，计算业务请求在物理拓扑下的第一最短路径，并记录第一最短路径条数。

本步骤中，所述物理拓扑由物理直连的可信节点和链路组成。

步骤s203，构建虚拟拓扑，计算虚拟拓扑下的第二最短路径并记录第二最短路径跳数。

本步骤中，所述虚拟拓扑在物理拓扑的基础上还包括在可信节点对间构建的虚拟直连链路。

步骤s204，判断第一最短路径条数和第二最短路径条数差的绝对值是否大于跳数阈值。

本步骤中的跳数阈值由技术人员预先设定，当差值的绝对值大于跳数阈值是，执行步骤s205，否则，执行步骤s206。

步骤s205，虚拟密钥池构建失败。

本步骤中，本次业务请求的加密传输失败，等待下一个业务请求的到达。

步骤s206，判断第二最短路径上每条链路对应的量子密钥池密钥资源是否充足。

本步骤中，密钥资源充足时，执行步骤s208，否则，执行步骤s207。

步骤s207，密钥资源不充足的链路在虚拟拓扑中抽象化断开。

本步骤执行完毕后，返回步骤s203重新计算一条第二最短路径并执行后续步骤。

步骤s208，构建虚拟密钥池。

步骤s104，按照所述最短路径分配所述虚拟密钥池的密钥资源，并判断所述最短路径是否存在优化空间。

本步骤中，根据业务请求的密钥资源需求，为其分配虚拟密钥池中的全局密钥资源；物理拓扑下的最路径跳数等于虚拟拓扑下最短路径跳数时，虚拟拓扑下的最短路径为最优路径，不存在优化空间；

步骤s105，响应于确定所述最短路径存在优化空间，重构所述虚拟密钥池并得到新的所述最短路径。

本步骤中，作为一个可选的实施例，重构虚拟密钥池的步骤如图3所示，包括：

步骤s301，采用k条最短路径算法生成业务请求的k条最短路径。

本步骤中，k的值由技术人员设置，为大于0的整数。

步骤s302，遍历k条最短路径，计算出每条路径上放置业务请求的预重构时刻。

本步骤中，计算预重构时刻指从预重构时刻开始进行业务请求的加密传输，到业务结束时，路径上每个量子密钥池的密钥量均大于等于0。

步骤s303，分别计算每条路径的重构剩余时间。

本步骤中，重构剩余时间为业务结束时间和预重构时刻的差。

步骤s304，判断是否存在重构剩余时间大于零的路径。

存在重构剩余时间大于零的路径，执行步骤s305，否则，执行步骤s308.

步骤s305，分别计算每条路径节省的密钥量，选出节省密钥量最大的路径。

本步骤中，采用nkey＝δt×|hop2-hoppnew|×vr计算每条路径的节省密钥量，其中，nkey即为可节省的密钥量，δt为重构剩余时间，hop2,hoppnew分别代表原先路径与重构路径的跳数，vr为单位时间密钥消耗速率，选择节省密钥量最大的路径作为待重构路径。

步骤s306，判断最大的节省密钥量是否大于重构阈值。

本步骤中，重构阈值也是预先设置好的，最大的节省密钥量超过重构阈值时，执行步骤s307，否则，执行步骤s308。

步骤s307，重构虚拟密钥池。

本步骤中，将步骤s305选择出的待重构路径对应的所有量子密钥池构建为新的虚拟密钥池，从新的虚拟密钥池中为业务请求划分密钥资源进行加密传输。并更新量子密钥分发网络的状态

步骤s308，重构虚拟密钥池失败。

本步骤中，按照第二最短路径在原虚拟密钥池中为业务请求划分密钥资源完成加密传输。并更新量子密钥分发网络的状态。

下面，结合具体的实施例来描述本公开提供的中继共存场景下的量子密钥分发方法，采用6节点8条链路的拓扑，网络拓扑如图4所示。

首先，遍历量子密钥分发网络的节点和链路，记录可信节点{1，2，3，4，5}和不可信节点{6，7}，抽象化断开不可信节点6、7间的链路l6-7，将与不可信节点6连接的可信节点2和可信节点4组成可信节点对并构建虚拟直连链路l2-4；同理，将可信节点2和可信节点5组成可信节点对，构建虚拟直连链路l2-5，将不可信节点6、7抽象化。

将每个不可信节点形成的虚拟直连链路整合为虚拟直连链路组，即不可信节点6的虚拟直连链路组为{l2-4}，不可信节点7的虚拟直连链路组为{l2-5}，两个虚拟直连链路组内的资源共享。

遍历量子密钥分发网络拓扑的可信节点，分别在与其物理直连和虚拟直连组成的节点对间构建量子密钥池，得到的量子密钥分发网络拓扑抽象和密钥池如图5所示。其中，实线代表两端的节点物理直连，虚线代表两端的节点虚拟直连。

假设实施例中可信节点和不可信节点的单位时间密钥生成速率为3unit/s，即各节点密钥池的单位时间密钥补充速率为3unit/s，其中unit表示最小的密钥资源单元，解析业务请求得到业务请求r的源宿节点sr,dr分别为1,3，业务开始时间ts为10s，业务持续时间th为30s，业务结束时间tend为40s，单位时间量子密钥速率vr为5unit/s。

遍历网络拓扑中的各个量子密钥池，得到当前时刻每个量子密钥池的状态，如表1所示:

表1、量子密钥池状态

计算得到第一最短路径为p1-2-3，第一最短跳数为3条，并构建虚拟拓扑；计算得到第二最短路径为p1-2-3，第二最短路径为3跳。

设置跳数阈值为1跳，由于第一最短跳数和第二最短跳数的差的绝对值为0，小于等于跳数阈值，故继续判断第二最短路径上的量子密钥池资源是否充足。

沿所选路径p1-2-3判断链路上qkp1-2，qkp2-3密钥资源在业务持续时间内是否可以提供满足业务需求的密钥量，经过计算发现，密钥池qkp1-2在36s时无法继续提供业务所需求的密钥量，因此qkp1-2密钥资源不足，

将链路l1-2在虚拟拓扑中抽象化断开，重新在虚拟拓扑中计算得到第二最短路径为p1-4-2-3，并记录新的第二最短跳数为4跳。

新的第二最短跳数预第一最短跳数差的的绝对值为1，小于等于跳数阈值，继续沿所选路径p1-4-2-3判断链路上qkp1-4，qkp4-2，qkp2-3密钥资源在业务持续时间内是否可以提供满足业务需求的密钥量，经过计算发现，密钥池密钥资源充足。

将量子密钥池qkp1-4，qkp4-2，qkp2-3中的密钥资源通过异或中继的方式生成源宿节点1，3间共享的全局密钥资源，源源不断的为加密业务提供全局密钥，得到虚拟密钥池。

根据加密业务请求经典资源需求，为加密业务请求合理选择、分配链路频谱波长时隙资源；根据加密业务请求密钥资源需求5unit/s，为加密业务请求分配虚拟密钥池qkp1-3中的全局密钥资源；由于此时物理拓扑下的最短路径跳数与虚拟拓扑下最短路径的跳数差的绝对值不为零跳，因此存在优化空间，进入虚拟密钥池重构方案流程。

在物理拓扑下使用ksp算法为业务r找寻4条最短路径，其中路径1为p1-2-3，路径2为p1-4-2-3，路径3为p1-4-5-3，路径4为p1-2-5-3，由于路径2,3,4跳数与当前虚拟拓扑下最短路径跳数相同，因此节省密钥量为0unit，不存在优化空间，直接舍去。

根据表1计算得到最短路径1p1-2-3上可以放置业务r的预重构时刻为12s，此时，量子密钥池状态如表2所示：

表2、预重构时刻时量子密钥池状态

计算得到重构剩余时间δt＝40-12＝28s，重构剩余时间大于零，可计算节省密钥量nkey＝28×1×5＝140(unit)，选择路径1为待重构路径。

设重构阈值为50unit，由于140unit>50unit，进行虚拟密钥池的重构，在业务请求开始2s后，将源宿节点1,3间的全局密钥来源由qkp1-4，qkp4-2，qkp2-3重构到qkp1-2，qkp2-3，对各链路上的密钥池密钥资源，链路频谱波长时隙资源等状态信息更新，完成业务请求r的加密传输。

本公开提供的中继共存场景下的量子密钥分发方法，解决了可信中继与不可信中继之间工作原理，工作流程以及处理业务方式的差异化问题，使拓扑抽象后的网络可以正常进行量子密钥分发流程；该场景下的虚拟密钥池构建与虚拟密钥池重构方法在保证量子密钥分发过程安全性的同时，设置重构阈值来控制虚拟密钥池重构的频率，以此缓解量子密钥分发网络中因为流量波动或者承载业务量过多而导致的业务阻塞，通过降低业务阻塞率，提高密钥资源利用率，提升整个网络的性能。

需要说明的是，本公开实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本公开实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。

需要说明的是，上述对本公开的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。

基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种中继共存场景下的量子密钥分发装置。

参考图6，所述中继共存场景下的量子密钥分发装置，包括：

网络拓扑抽象模块601，遍历量子密钥分发网络拓扑的节点和链路，记录可信节点和不可信节点的物理位置，将与同一个所述不可信节点连接的所述可信节点两两组成可信节点对，在所述可信节点对间生成虚拟直连链路；

量子密钥池构建模块602，遍历所述网络拓扑的所有所述可信节点，在连接在一起的两个所述可信节点间构建量子密钥池；

虚拟密钥池构建模块603，根据所述网络拓扑接收到的业务请求计算得到虚拟拓扑下的最短路径，并将所述最短路径对应的每个所述量子密钥池的密钥资源虚拟化，以构建虚拟密钥池；

资源分配模块604，在所述虚拟密钥池中为所述最短路径分配密钥资源并判断是否存在优化空间；

虚拟密钥池重构模块605，响应于确定分配的密钥资源存在所述优化空间，重构所述虚拟密钥池并为所述业务请求重新分配密钥资源，完成业务请求的加密传输。

为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本公开时可以把各模块的功能在同一个或多个软件和/或硬件中实现。

上述实施例的装置用于实现前述任一实施例中相应的中继共存场景下的量子密钥分发方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

基于同一发明构思，与上述任意实施例方法相对应的，本公开还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的中继共存场景下的量子密钥分发方法。

图7示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。

处理器1010可以采用通用的cpu(centralprocessingunit，中央处理器)、微处理器、应用专用集成电路(applicationspecificintegratedcircuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。

存储器1020可以采用rom(readonlymemory，只读存储器)、ram(randomaccessmemory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。

输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。

通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。

总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。

需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。

上述实施例的电子设备用于实现前述任一实施例中相应的中继共存场景下的量子密钥分发方法，并且具有相应的方法实施例的有益效果，在此不再赘述。

需要说明的是，本公开的实施例还可以以下方式进一步描述：

一种中继共存场景下的量子密钥分发方法，包括：

遍历量子密钥分发网络拓扑，记录两端均为可信节点的物理链路，并在连接同一个不可信节点的所述可信节点间构建虚拟链路；

分别为所述物理链路和所述虚拟链路生成对应的量子密钥池；

获取所述量子密钥分发网络拓扑接收到的业务请求，并计算出承载所述业务请求的最短路径，将所述最短路径内每一条所述物理链路或所述虚拟链路对应的所述量子密钥池虚拟化，构建虚拟密钥池；

按照所述最短路径分配所述虚拟密钥池的密钥资源，并判断所述最短路径是否存在优化空间；

响应于确定所述最短路径存在优化空间，重构所述虚拟密钥池并得到新的所述最短路径。

可选的，所述遍历量子密钥分发网络拓扑，还包括：

将所述量子密钥分发网络拓扑中两端均为所述不可信节点的所述物理链路抽象化断开；

将与所述可信节点连接的所述不可信节点抽象化。

可选的，生成所述量子密钥池后，遍历所有所述量子密钥池，以获取每一个所述量子密钥池的密钥补充速率。

可选的，所述构建虚拟密钥池，具体包括：

解析所述业务请求，得到业务属性；所述业务属性包括源节点、宿节点、业务持续时间和单位时间量子密钥速率；

遍历所述量子密钥分发网络拓扑，获取当前时刻每个所述量子密钥池的密钥资源的数量；

计算得出所述源节点和所述宿节点间的第一最短链路并记录第一最短跳数；所述第一最短链路由所述物理链路组成；

计算得出所述源节点和所述宿节点间的第二最短链路并记录第二最短跳数；所述第二最短链路由所述物理链路和所述虚拟链路组成；

响应于确定所述第一最短跳数和所述第二最短跳数之差的绝对值小于等于预设的跳数阈值，沿所述第二最短路径每一跳经过的所述物理链路或所述虚拟链路判断对应的所述量子密钥池的密钥资源是否充足；

响应于确定所述密钥资源充足，将所述第二最短路径对应的每个所述量子密钥池的密钥资源虚拟化，构建所述虚拟密钥池。

可选的，判断所述量子密钥池的资源是否充足，包括：判断每个所述量子密钥池在所述业务持续时间内提供的密钥资源能否满足所述业务请求的消耗。

可选的，所述构建虚拟密钥池，还包括：

所述第一最短跳数和所述第二最短跳数之差大于所述跳数阈值时，所述虚拟密钥池的构建失败，所述业务请求的加密传输失败；

所述密钥资源不充足时，将所述第二最短路径上对应的所述物理链路或所述虚拟链路抽象化断开，重新计算出一条所述第二最短路径，判断能否在新的所述第二最短路径的基础上构建所述虚拟密钥池。

可选的，所述判断所述最短路径是否存在优化空间，具体包括：

响应于确定所述第一最短跳数等于所述第二最短跳数，所述第二最短路径即为所述最短路径，不存在所述优化空间；

否则，存在所述优化空间，需重构所述虚拟密钥池并得到新的所述最短路径。

可选的，所述重构虚拟密钥池，具体包括：

采用k条最短路径算法处理所述物理链路生成并记录k条最短路径，其中，k的值通过预先设置得到，为大于0的整数；

遍历所述k条最短路径，逐条计算在所述k条最短路径之一上放置所述业务请求时，对应的所有所述量子密钥池在所述业务请求的所述业务持续时间结束时密钥资源的数量均大于等于0的时刻，得到预重构时刻；

分别计算所述k条最短路径对应的的业务结束时间和所述预重构时刻的差，得到对应的重构剩余时间；

响应于确定所述k条最短路径中不存在所述重构剩余时间大于零的路径，本次所述虚拟密钥池的重构失败，按照所述第二最短路径完成所述业务请求的加密传输；

否则分别计算所述重构剩余时间大于0的路径的节省密钥量：

nkey＝δt×|hop2-hoppnew|×vr，其中，nkey为所述节省密钥量，δt为所述重构剩余时间，hop2,hoppnew分别代表所述第二最短路径与所述k条最短路径之一的跳数，vr为所述单位时间量子密钥速率，选择所述k条最短路径中所述节省密钥量最大的作为待重构路径；

响应于确定所述待重构路径的所述节省密钥量大于等于预设的重构阈值，到达所述待重构路径对应的所述预重构时刻时，按照所述待重构路径重构所述虚拟密钥池。

一种中继共存场景下的量子密钥分发装置，包括：

网络拓扑抽象模块，遍历量子密钥分发网络拓扑，记录两端均为可信节点的物理链路，并在连接同一个不可信节点的所述可信节点间构建虚拟链路；

量子密钥池构建模块，分别为所述物理链路和所述虚拟链路生成对应的量子密钥池；

虚拟密钥池构建模块，所述网络拓扑接收业务请求并计算出承载所述业务请求的最短路径，将所述最短路径内每一条所述物理链路或所述虚拟链路对应的所述量子密钥池虚拟化，构建虚拟密钥池；

资源分配模块，按照所述最短路径分配所述虚拟密钥池的密钥资源，并判断所述最短路径是否存在优化空间；

虚拟密钥池重构模块，响应于确定所述最短路径存在优化空间，重构所述虚拟密钥池并得到新的所述最短路径。

一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。

所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本公开的范围(包括权利要求)被限于这些例子；在本公开的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本公开实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。

另外，为简化说明和讨论，并且为了不会使本公开实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本公开实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本公开实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本公开的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本公开实施例。因此，这些描述应被认为是说明性的而不是限制性的。

尽管已经结合了本公开的具体实施例对本公开进行了描述，但是根据前面的描述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。

本公开实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本公开实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本公开的保护范围之内。