本發(fā)明涉及信息安全技術(shù)領(lǐng)域，更具體地，涉及一種基于量子密鑰池的密鑰管理系統(tǒng)及方法。

背景技術(shù)：

隨著信息與通信技術(shù)的快速發(fā)展，信息網(wǎng)絡(luò)受到的安全威脅越來(lái)越多，網(wǎng)絡(luò)安全形勢(shì)日益越趨嚴(yán)峻復(fù)雜。為了實(shí)現(xiàn)保密通信，網(wǎng)絡(luò)中的節(jié)點(diǎn)設(shè)備在進(jìn)行業(yè)務(wù)通信時(shí)，通常需要通過(guò)密鑰對(duì)信息進(jìn)行加密。qkd(quantumkeydistribution，量子密鑰分發(fā))技術(shù)因具有理論上“無(wú)條件安全”的優(yōu)勢(shì)，從而越來(lái)越廣泛地被使用。具體地，可通過(guò)源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間的協(xié)商來(lái)實(shí)現(xiàn)量子密鑰分發(fā)。其中，源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備為一對(duì)量子收發(fā)節(jié)點(diǎn)。每一對(duì)量子收發(fā)節(jié)點(diǎn)與其占據(jù)的量子通信鏈路(量子信道及經(jīng)典信道)可看作一個(gè)量子密鑰池。每一對(duì)量子收發(fā)節(jié)點(diǎn)之間的量子密鑰池均位于密鑰層，其密鑰資源無(wú)法統(tǒng)一進(jìn)行管理與調(diào)度，且可能會(huì)出現(xiàn)密鑰資源無(wú)法滿足業(yè)務(wù)量的可能性，從而現(xiàn)急需一種密鑰管理系統(tǒng)及相應(yīng)的管理方法。

技術(shù)實(shí)現(xiàn)要素：

本發(fā)明提供一種克服上述問(wèn)題或者至少部分地解決上述問(wèn)題的基于量子密鑰池的密鑰管理系統(tǒng)及方法。

根據(jù)本發(fā)明的一方面，提供了一種基于量子密鑰池的密鑰管理系統(tǒng)，該系統(tǒng)包括：sdn(softwaredefinednetwork，軟件定義網(wǎng)絡(luò))控制器、源節(jié)點(diǎn)設(shè)備、宿節(jié)點(diǎn)設(shè)備及量子密鑰池；

sdn控制器位于控制層，源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備位于網(wǎng)絡(luò)層，量子密鑰池位于密鑰層；控制層通過(guò)sdn控制器分別建立與網(wǎng)絡(luò)層及密鑰層之間的連接；

sdn控制器分別與源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備連接，sdn控制器與量子密鑰池連接，源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間設(shè)有量子密鑰池。

根據(jù)本發(fā)明的另一方面，提供了一種基于量子密鑰池的密鑰管理方法，該方法包括：

當(dāng)檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備；

查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池；

對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。

本申請(qǐng)?zhí)岢龅募夹g(shù)方案帶來(lái)的有益效果是：

通過(guò)在檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。由于可利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，并可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，保證量子密鑰池中量子密鑰資源的及時(shí)增補(bǔ)，方便進(jìn)行量子密鑰資源的集中管控與調(diào)度，從而大大提升了全網(wǎng)量子密鑰資源的利用率，有利于解決現(xiàn)有網(wǎng)絡(luò)中量子密鑰分配不安全、量子密鑰資源不均衡、量子密鑰資源利用率低及網(wǎng)絡(luò)資源調(diào)度低效等問(wèn)題。

附圖說(shuō)明

圖1為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理系統(tǒng)的結(jié)構(gòu)示意圖；

圖2為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理方法的流程示意圖；

圖3為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理方法的流程示意圖；

圖4為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理方法的流程示意圖；

圖5為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理系統(tǒng)的結(jié)構(gòu)示意圖；

圖6為本發(fā)明實(shí)施例的一種基于量子密鑰池的密鑰管理裝置的結(jié)構(gòu)示意圖。

具體實(shí)施方式

下面結(jié)合附圖和實(shí)施例，對(duì)本發(fā)明的具體實(shí)施方式作進(jìn)一步詳細(xì)描述。以下實(shí)施例用于說(shuō)明本發(fā)明，但不用來(lái)限制本發(fā)明的范圍。

qkd(quantumkeydistribution，量子密鑰分發(fā))技術(shù)因具有理論上“無(wú)條件安全”的優(yōu)勢(shì)，從而越來(lái)越廣泛地被使用。具體地，可通過(guò)源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間的協(xié)商來(lái)實(shí)現(xiàn)量子密鑰分發(fā)。其中，源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備為一對(duì)量子收發(fā)節(jié)點(diǎn)。每一對(duì)量子收發(fā)節(jié)點(diǎn)與其占據(jù)的量子通信鏈路(量子信道及經(jīng)典信道)可看作一個(gè)量子密鑰池。每一對(duì)量子收發(fā)節(jié)點(diǎn)之間的量子密鑰池均位于密鑰層，其密鑰資源無(wú)法統(tǒng)一進(jìn)行管理與調(diào)度，且可能會(huì)出現(xiàn)密鑰資源無(wú)法滿足業(yè)務(wù)量的可能性，從而現(xiàn)急需一種密鑰管理系統(tǒng)及相應(yīng)的管理方法。

針對(duì)現(xiàn)有技術(shù)中的問(wèn)題，本發(fā)明實(shí)施例提供了一種基于量子密鑰池的密鑰管理系統(tǒng)，該系統(tǒng)包括：sdn控制器、源節(jié)點(diǎn)設(shè)備、宿節(jié)點(diǎn)設(shè)備及量子密鑰池；

sdn控制器位于控制層，源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備位于網(wǎng)絡(luò)層，量子密鑰池位于密鑰層；控制層通過(guò)sdn控制器分別建立與網(wǎng)絡(luò)層及密鑰層之間的連接；

sdn控制器分別與源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備連接，sdn控制器與量子密鑰池連接，源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間設(shè)有量子密鑰池。

本發(fā)明實(shí)施例提供的系統(tǒng)，通過(guò)利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，并可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，保證量子密鑰池中量子密鑰資源的及時(shí)增補(bǔ)，方便進(jìn)行量子密鑰資源的集中管控與調(diào)度，從而大大提升了全網(wǎng)量子密鑰資源的利用率，有利于解決現(xiàn)有網(wǎng)絡(luò)中量子密鑰分配不安全、量子密鑰資源不均衡、量子密鑰資源利用率低及網(wǎng)絡(luò)資源調(diào)度低效等問(wèn)題。

作為一種可選實(shí)施例，源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備為網(wǎng)絡(luò)層中的節(jié)點(diǎn)設(shè)備，sdn控制器通過(guò)南向接口及對(duì)應(yīng)的第一通信協(xié)議與節(jié)點(diǎn)設(shè)備建立連接，sdn控制器通過(guò)南向接口及對(duì)應(yīng)的第二通信協(xié)議與量子密鑰池建立連接?；谏鲜鰞?nèi)容，基于量子密鑰池的密鑰管理系統(tǒng)可參考圖1所示。在圖1中，節(jié)點(diǎn)1、節(jié)點(diǎn)2及節(jié)點(diǎn)3均為節(jié)點(diǎn)設(shè)備。

作為一種可選實(shí)施例，sdn控制器控制量子密鑰池對(duì)量子密鑰池中的量子密鑰資源進(jìn)行分配與補(bǔ)充。

上述所有可選技術(shù)方案，可以采用任意結(jié)合形成本發(fā)明的可選實(shí)施例，在此不再一一贅述。

基于上述圖1對(duì)應(yīng)實(shí)施例提供的量子密鑰管理系統(tǒng)，本實(shí)施例提供了一種基于量子密鑰池的密鑰管理方法。該方法涉及到sdn控制器、源節(jié)點(diǎn)設(shè)備、宿節(jié)點(diǎn)設(shè)備及量子密鑰池。為了便于描述，本實(shí)施例以執(zhí)行主體為sdn控制器為例進(jìn)行說(shuō)明。參見(jiàn)圖2，本實(shí)施例提供的方法流程包括：201、當(dāng)檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備；202、查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池；203、對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。

本發(fā)明實(shí)施例提供的方法，通過(guò)在檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。由于可利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，并可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，保證量子密鑰池中量子密鑰資源的及時(shí)增補(bǔ)，方便進(jìn)行量子密鑰資源的集中管控與調(diào)度，從而大大提升了全網(wǎng)量子密鑰資源的利用率，有利于解決現(xiàn)有網(wǎng)絡(luò)中量子密鑰分配不安全、量子密鑰資源不均衡、量子密鑰資源利用率低及網(wǎng)絡(luò)資源調(diào)度低效等問(wèn)題。

作為一種可選實(shí)施例，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備之前，還包括：

根據(jù)源節(jié)點(diǎn)設(shè)備的位置信息及宿節(jié)點(diǎn)設(shè)備的位置信息，構(gòu)建對(duì)應(yīng)的網(wǎng)絡(luò)拓?fù)洌?/p>

確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備，包括：

基于業(yè)務(wù)通信請(qǐng)求中的位置信息，在網(wǎng)絡(luò)拓?fù)渲胁檎蚁鄳?yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。

作為一種可選實(shí)施例，查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池之前，還包括：

部署源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間的量子密鑰池。

作為一種可選實(shí)施例，查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池之后，還包括：

向量子密鑰池發(fā)送量子密鑰分配請(qǐng)求，使得量子密鑰池為源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備分配量子密鑰對(duì)。

作為一種可選實(shí)施例，對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源，包括：

檢測(cè)量子密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值；

當(dāng)檢測(cè)到剩余量小于預(yù)設(shè)閾值時(shí)，向量子密鑰池發(fā)送量子密鑰注入指令，使得量子密鑰池進(jìn)行量子密鑰補(bǔ)充。

作為一種可選實(shí)施例，檢測(cè)量子密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值之前，還包括：

根據(jù)量子密鑰池容納量子密鑰對(duì)的上限值，獲取預(yù)設(shè)閾值。

作為一種可選實(shí)施例，向量子密鑰池發(fā)送量子密鑰注入指令之前，還包括：

根據(jù)待補(bǔ)充的量子密鑰對(duì)數(shù)量、補(bǔ)充時(shí)間及補(bǔ)充速率，生成相應(yīng)的量子密鑰注入指令。

上述所有可選技術(shù)方案，可以采用任意結(jié)合形成本發(fā)明的可選實(shí)施例，在此不再一一贅述。

基于上述圖1對(duì)應(yīng)實(shí)施例提供的系統(tǒng)及圖2對(duì)應(yīng)實(shí)施例提供的方法，本發(fā)明實(shí)施例提供了一種基于量子密鑰池的密鑰管理方法。該方法涉及到sdn控制器、源節(jié)點(diǎn)設(shè)備、宿節(jié)點(diǎn)設(shè)備及量子密鑰池。為了便于描述，本實(shí)施例以執(zhí)行主體為sdn控制器為例進(jìn)行說(shuō)明。參見(jiàn)圖3，該方法包括：301、當(dāng)檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備；302、查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池；303、檢測(cè)量子密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值；304、當(dāng)檢測(cè)到剩余量小于預(yù)設(shè)閾值時(shí)，向量子密鑰池發(fā)送量子密鑰注入指令，使得量子密鑰池進(jìn)行量子密鑰補(bǔ)充。

其中，301、當(dāng)檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。

在執(zhí)行本步驟之前，可基于圖1對(duì)應(yīng)實(shí)施例所提供的系統(tǒng)進(jìn)行網(wǎng)絡(luò)部署，本實(shí)施例對(duì)此不作具體限定。具體地，可在網(wǎng)絡(luò)層中部署節(jié)點(diǎn)設(shè)備，在密鑰層中部署量子密鑰池，在控制層中部署sdn控制器。

首先，確定網(wǎng)絡(luò)層中節(jié)點(diǎn)設(shè)備的位置信息和數(shù)量。根據(jù)節(jié)點(diǎn)設(shè)備的位置信息部署節(jié)點(diǎn)設(shè)備，構(gòu)建出相應(yīng)的網(wǎng)絡(luò)拓?fù)?。其中，網(wǎng)絡(luò)拓?fù)渲械拿繉?duì)節(jié)點(diǎn)設(shè)備之間都可能產(chǎn)生大量的業(yè)務(wù)通信請(qǐng)求。接著，在每對(duì)節(jié)點(diǎn)設(shè)備之間部署量子密鑰池。其中，量子密鑰池中可產(chǎn)生并存儲(chǔ)多個(gè)量子密鑰對(duì)。最后，在控制層部署sdn控制器，sdn控制器可全局掌握網(wǎng)絡(luò)層及密鑰層的信息，并根據(jù)業(yè)務(wù)需求進(jìn)行資源的全局調(diào)配及優(yōu)化。

由于網(wǎng)絡(luò)拓?fù)渲泄?jié)點(diǎn)設(shè)備很多，為了便于說(shuō)明，從而在本步驟中只對(duì)其中一對(duì)節(jié)點(diǎn)設(shè)備的量子密鑰管理過(guò)程進(jìn)行說(shuō)明，即本步驟中源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。其中，源節(jié)點(diǎn)設(shè)備為業(yè)務(wù)通信的發(fā)起方，宿節(jié)點(diǎn)設(shè)備為業(yè)務(wù)通信的目標(biāo)方。

基于上述內(nèi)容，在確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備之前，還可以根據(jù)源節(jié)點(diǎn)設(shè)備的位置信息及宿節(jié)點(diǎn)設(shè)備的位置信息，構(gòu)建對(duì)應(yīng)的網(wǎng)絡(luò)拓?fù)?。相?yīng)地，在執(zhí)行本步驟時(shí)，可基于業(yè)務(wù)通信請(qǐng)求中的位置信息，在網(wǎng)絡(luò)拓?fù)渲胁檎蚁鄳?yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。

另外，由于后續(xù)節(jié)點(diǎn)設(shè)備進(jìn)行通信需要建立在通信連接的基礎(chǔ)上，從而控制層還可通過(guò)sdn控制器分別建立與網(wǎng)絡(luò)層及密鑰層之間的連接。具體地，sdn控制器通過(guò)南向接口及對(duì)應(yīng)的第一通信協(xié)議與節(jié)點(diǎn)設(shè)備建立連接，sdn控制器通過(guò)南向接口及對(duì)應(yīng)的第二通信協(xié)議與量子密鑰池建立連接。其中，第一通信協(xié)議與第二通信協(xié)議可以相同也可以不同，均可以為openflow協(xié)議或netconf協(xié)議等，本實(shí)施例對(duì)此不作具體限定。

sdn控制器通過(guò)南向接口可獲取網(wǎng)絡(luò)拓?fù)湫畔⒓傲孔用荑€池的資源信息，從而可完成網(wǎng)絡(luò)連接、業(yè)務(wù)通信請(qǐng)求及量子密鑰資源的檢測(cè)統(tǒng)計(jì)及相關(guān)控制，本實(shí)施例對(duì)此不作具體限定。

需要說(shuō)明的是，由于密鑰分配后節(jié)點(diǎn)設(shè)備之間需要進(jìn)行業(yè)務(wù)通信，從而sdn控制器在接收到業(yè)務(wù)到達(dá)時(shí)發(fā)送的業(yè)務(wù)通信請(qǐng)求后，可計(jì)算業(yè)務(wù)的傳輸路徑，并為節(jié)點(diǎn)設(shè)備分配鏈路資源用于進(jìn)行業(yè)務(wù)通信，本實(shí)施例對(duì)此不作具體限定。

其中，302、查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。

基于上述步驟301中的內(nèi)容可知，每對(duì)節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)著一個(gè)量子密鑰池，從而在執(zhí)行本步驟之前，還可先部署源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間的量子密鑰池，本實(shí)施例對(duì)此不作具體限定。在本步驟中，sdn控制器可查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。具體地，上述步驟中的業(yè)務(wù)通信請(qǐng)求可攜帶量子密鑰池的標(biāo)識(shí)，從而在本步驟可根據(jù)量子密鑰池的標(biāo)識(shí)查找對(duì)應(yīng)的量子密鑰池，本實(shí)施例對(duì)此不作具體限定。

在查找到業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的量子密鑰池后，sdn控制器可遍歷量子密鑰池中密鑰資源，并可隨機(jī)選擇或首次命中選擇一對(duì)保障業(yè)務(wù)安全的量子密鑰，本實(shí)施例對(duì)此不作具體限定。在選擇好量子密鑰池中的量子密鑰對(duì)后，可根據(jù)量子密鑰對(duì)的標(biāo)識(shí)及業(yè)務(wù)通信請(qǐng)求中的內(nèi)容，生成相應(yīng)的量子密鑰分配請(qǐng)求，本實(shí)施例對(duì)此不作具體限定。

在生成量子密鑰分配請(qǐng)求后，可向量子密鑰池發(fā)送量子密鑰分配請(qǐng)求，使得量子密鑰池為源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備分配量子密鑰對(duì)，本實(shí)施例對(duì)此不作具體限定。具體地，sdn控制器在生成量子密鑰分配請(qǐng)求后，可向量子密鑰池發(fā)送量子密鑰分配請(qǐng)求。量子密鑰池在接收到量子密鑰分配請(qǐng)求后，可根據(jù)sdn控制器告知的業(yè)務(wù)和量子密鑰對(duì)標(biāo)識(shí)，將相應(yīng)的量子密鑰對(duì)分配給對(duì)應(yīng)的業(yè)務(wù)。相應(yīng)地，業(yè)務(wù)可在源節(jié)點(diǎn)設(shè)備可利用量子密鑰對(duì)中的一個(gè)量子密鑰進(jìn)行加密，在宿節(jié)點(diǎn)設(shè)備利用量子密鑰對(duì)中的另一個(gè)量子密鑰進(jìn)行解密。其中，量子密鑰對(duì)中的兩個(gè)量子密鑰可以相同。通過(guò)該過(guò)程，能夠完成理論上無(wú)條件安全的業(yè)務(wù)保密通信。

由于業(yè)務(wù)傳輸過(guò)程中的量子密鑰不斷更新有利于增強(qiáng)業(yè)務(wù)的安全性，且量子密鑰池中的量子密鑰存在不夠用的可能性，從而可對(duì)量子密鑰池中的量子密鑰進(jìn)行增補(bǔ)，本實(shí)施例對(duì)此不作具體限定，具體過(guò)程可參考后續(xù)步驟中的內(nèi)容。

其中，303、檢測(cè)量子密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值。

在執(zhí)行本步驟之前，sdn控制器可對(duì)量子密鑰池中量子密鑰對(duì)的剩余量進(jìn)行實(shí)時(shí)檢測(cè)。具體地，可將量子密鑰池中量子密鑰對(duì)的剩余量與預(yù)設(shè)閾值進(jìn)行比對(duì)，來(lái)判斷密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值。其中，預(yù)設(shè)閾值可以由運(yùn)營(yíng)商根據(jù)網(wǎng)絡(luò)業(yè)務(wù)需求、負(fù)載等具體情況設(shè)定，本實(shí)施例對(duì)此不作具體限定。需要說(shuō)明的是，預(yù)設(shè)閾值的大小需要保障量子密鑰池中存儲(chǔ)的量子密鑰對(duì)數(shù)量能夠滿足全網(wǎng)業(yè)務(wù)需求。

基于上述內(nèi)容，在執(zhí)行本步驟之前，可先獲取預(yù)設(shè)閾值。本實(shí)施例不對(duì)獲取預(yù)設(shè)閾值的方式作具體限定，包括但不限于：根據(jù)量子密鑰池容納量子密鑰對(duì)的上限值，獲取預(yù)設(shè)閾值。

例如，運(yùn)營(yíng)商可以設(shè)定量子密鑰池中的量子密鑰資源不能低于量子密鑰池空間m的30％。其中，量子密鑰池空間m即為量子密鑰池容納量子密鑰對(duì)的上限值，預(yù)設(shè)閾值為30％×m。當(dāng)sdn控制器檢測(cè)到量子密鑰池中量子密鑰資源不足時(shí)，即存儲(chǔ)的量子密鑰對(duì)數(shù)量低于預(yù)設(shè)閾值時(shí)，可補(bǔ)充量子密鑰池中的量子密鑰資源。

其中，304、當(dāng)檢測(cè)到剩余量小于預(yù)設(shè)閾值時(shí)，向量子密鑰池發(fā)送量子密鑰注入指令，使得量子密鑰池進(jìn)行量子密鑰補(bǔ)充。

在執(zhí)行本步驟之前，可根據(jù)待補(bǔ)充的量子密鑰對(duì)數(shù)量、補(bǔ)充時(shí)間及補(bǔ)充速率，生成相應(yīng)的量子密鑰注入指令。在本步驟中，sdn控制器在生成量子密鑰注入指令后，可將量子密鑰注入指令發(fā)送至源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。量子密鑰池在接收到量子密鑰注入指令后，可根據(jù)量子密鑰注入指令中的參數(shù)進(jìn)行量子密鑰補(bǔ)充，直到量子密鑰對(duì)數(shù)量達(dá)到量子密鑰注入指令中sdn控制器指定的補(bǔ)充數(shù)量為止。

通過(guò)上述步驟303及步驟304中閾值補(bǔ)充法，能夠大大節(jié)省量子密鑰池占用的資源。當(dāng)量子密鑰池沒(méi)有啟動(dòng)注入密鑰時(shí)，其對(duì)應(yīng)的節(jié)點(diǎn)設(shè)備和通信鏈路可以拆除并為其他量子密鑰池使用，從而大大提升了資源利用率。另外，由于量子密鑰池在全網(wǎng)處于分布式的狀態(tài)，采用sdn控制器可以對(duì)全網(wǎng)的量子密鑰池進(jìn)行集中式管控。與此同時(shí)，通過(guò)對(duì)量子密鑰池中的量子密鑰資源進(jìn)行按需增補(bǔ)，可完成全網(wǎng)不同量子密鑰池之間的協(xié)同，實(shí)現(xiàn)網(wǎng)絡(luò)資源的高效均衡調(diào)度。

通過(guò)上述步驟303至304，源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備在得到量子密鑰后，可基于量子密鑰及上述步驟301中分配的鏈路資源，進(jìn)行業(yè)務(wù)通信。當(dāng)業(yè)務(wù)通信完成后，可上報(bào)sdn控制器。sdn控制器可拆除業(yè)務(wù)通信占用的鏈路資源，并更新量子密鑰池狀態(tài)且檢測(cè)是否需要補(bǔ)充量子密鑰。上述步驟301至步驟304中量子密鑰分配及量子密鑰增補(bǔ)的過(guò)程，可參考圖4。

需要說(shuō)明的是，本實(shí)施例提供的基于sdn控制器的量子密鑰池可用于多種網(wǎng)絡(luò)場(chǎng)景。例如，在圖5中給出了基于sdn控制器與量子密鑰池的otn(opticaltransportnetwork，光傳送網(wǎng)絡(luò))架構(gòu)。其中，otn架構(gòu)中每一對(duì)節(jié)點(diǎn)設(shè)備之間均可部署一個(gè)量子密鑰池，如圖中密鑰層所示，5個(gè)節(jié)點(diǎn)設(shè)備的otn架構(gòu)可部署10個(gè)量子密鑰池。

圖中①→⑦為業(yè)務(wù)請(qǐng)求(節(jié)點(diǎn)1→節(jié)點(diǎn)5)和量子密鑰分配及更新流程，即對(duì)應(yīng)圖5中的7個(gè)步驟。sdn控制器按照步驟①→⑦響應(yīng)業(yè)務(wù)請(qǐng)求，并分配及更新量子密鑰以保障業(yè)務(wù)的通信安全。同時(shí)，sdn控制器還可管控全網(wǎng)資源，保障量子密鑰池中密鑰的及時(shí)增補(bǔ)，完成在不同量子密鑰池中，需求差異化的密鑰資源分配，進(jìn)而實(shí)時(shí)調(diào)度全網(wǎng)資源，以保證otn網(wǎng)絡(luò)業(yè)務(wù)的安全。

本發(fā)明實(shí)施例提供的方法，通過(guò)在檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。由于可利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，并可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，保證量子密鑰池中量子密鑰資源的及時(shí)增補(bǔ)，方便進(jìn)行量子密鑰資源的集中管控與調(diào)度，從而大大提升了全網(wǎng)量子密鑰資源的利用率，有利于解決現(xiàn)有網(wǎng)絡(luò)中量子密鑰分配不安全、量子密鑰資源不均衡、量子密鑰資源利用率低及網(wǎng)絡(luò)資源調(diào)度低效等問(wèn)題。

其次，由于可查找準(zhǔn)備進(jìn)行業(yè)務(wù)通信的節(jié)點(diǎn)設(shè)備對(duì)所對(duì)應(yīng)的量子密鑰池，并告知量子密鑰池為節(jié)點(diǎn)設(shè)備分配量子密鑰對(duì)，而非通過(guò)集中式的量子密鑰池來(lái)分配量子密鑰，從而避免了業(yè)務(wù)通信請(qǐng)求量較多時(shí)集中分配所產(chǎn)生的延時(shí)。因此，能夠及時(shí)對(duì)量子密鑰進(jìn)行分配。

另外，通過(guò)對(duì)量子密鑰池中的密鑰資源進(jìn)行補(bǔ)充，能夠滿足全網(wǎng)的業(yè)務(wù)需求。當(dāng)密鑰池沒(méi)有啟動(dòng)注入密鑰時(shí)，其對(duì)應(yīng)的節(jié)點(diǎn)設(shè)備和通信鏈路可以拆除并為其它量子密鑰池使用，從而大大提升了資源利用率。另外，由于密鑰池在全網(wǎng)處于分布式的狀態(tài)，采用sdn控制器可以對(duì)全網(wǎng)密鑰池進(jìn)行集中式管控。與此同時(shí)，通過(guò)對(duì)密鑰池中的密鑰資源進(jìn)行按需增補(bǔ)，可完成全網(wǎng)不同密鑰池之間的協(xié)同，實(shí)現(xiàn)網(wǎng)絡(luò)資源的高效均衡調(diào)度。

最后，通過(guò)利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，完成需求差異化的量子密鑰池中量子密鑰資源的閾值設(shè)定。

本發(fā)明實(shí)施例提供了一種基于量子密鑰池的密鑰管理裝置，該裝置用于執(zhí)行上述圖2或圖3對(duì)應(yīng)實(shí)施例所提供的基于量子密鑰池的密鑰管理方法。參見(jiàn)圖6，該裝置包括：

確定模塊601，用于當(dāng)檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備；

查找模塊602，用于查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池；

補(bǔ)充模塊603，用于對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。

作為一種可選實(shí)施例，該裝置還包括：

構(gòu)建模塊，用于根據(jù)源節(jié)點(diǎn)設(shè)備的位置信息及宿節(jié)點(diǎn)設(shè)備的位置信息，構(gòu)建對(duì)應(yīng)的網(wǎng)絡(luò)拓?fù)洌?/p>

該確定模塊601，用于基于業(yè)務(wù)通信請(qǐng)求中的位置信息，在網(wǎng)絡(luò)拓?fù)渲胁檎蚁鄳?yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。

作為一種可選實(shí)施例，該裝置還包括：

部署模塊，用于部署源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間的量子密鑰池。

作為一種可選實(shí)施例，補(bǔ)充模塊603，包括：

檢測(cè)單元，用于檢測(cè)量子密鑰池中量子密鑰對(duì)的剩余量是否小于預(yù)設(shè)閾值；

發(fā)送單元，用于當(dāng)檢測(cè)到剩余量小于預(yù)設(shè)閾值時(shí)，向量子密鑰池發(fā)送量子密鑰注入指令，使得量子密鑰池進(jìn)行量子密鑰補(bǔ)充。

作為一種可選實(shí)施例，該裝置還包括：

獲取模塊，用于根據(jù)量子密鑰池容納量子密鑰對(duì)的上限值，獲取預(yù)設(shè)閾值。

作為一種可選實(shí)施例，該裝置還包括：

根據(jù)待補(bǔ)充的量子密鑰對(duì)數(shù)量、補(bǔ)充時(shí)間及補(bǔ)充速率，生成相應(yīng)的量子密鑰注入指令。

本發(fā)明實(shí)施例提供的裝置，通過(guò)在檢測(cè)到業(yè)務(wù)通信請(qǐng)求時(shí)，確定業(yè)務(wù)通信請(qǐng)求對(duì)應(yīng)的源節(jié)點(diǎn)設(shè)備及宿節(jié)點(diǎn)設(shè)備。查找源節(jié)點(diǎn)設(shè)備與宿節(jié)點(diǎn)設(shè)備之間對(duì)應(yīng)的量子密鑰池。對(duì)量子密鑰池中的量子密鑰資源進(jìn)行監(jiān)控，基于監(jiān)控結(jié)果補(bǔ)充量子密鑰池中的量子密鑰資源。由于可利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，并可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，保證量子密鑰池中量子密鑰資源的及時(shí)增補(bǔ)，方便進(jìn)行量子密鑰資源的集中管控與調(diào)度，從而大大提升了全網(wǎng)量子密鑰資源的利用率，有利于解決現(xiàn)有網(wǎng)絡(luò)中量子密鑰分配不安全、量子密鑰資源不均衡、量子密鑰資源利用率低及網(wǎng)絡(luò)資源調(diào)度低效等問(wèn)題。

其次，由于可查找準(zhǔn)備進(jìn)行業(yè)務(wù)通信的節(jié)點(diǎn)設(shè)備對(duì)所對(duì)應(yīng)的量子密鑰池，并告知量子密鑰池為節(jié)點(diǎn)設(shè)備分配量子密鑰對(duì)，而非通過(guò)集中式的量子密鑰池來(lái)分配量子密鑰，從而避免了業(yè)務(wù)通信請(qǐng)求量較多時(shí)集中分配所產(chǎn)生的延時(shí)。因此，能夠及時(shí)對(duì)量子密鑰進(jìn)行分配。

另外，通過(guò)對(duì)量子密鑰池中的密鑰資源進(jìn)行補(bǔ)充，能夠滿足全網(wǎng)的業(yè)務(wù)需求。當(dāng)密鑰池沒(méi)有啟動(dòng)注入密鑰時(shí)，其對(duì)應(yīng)的節(jié)點(diǎn)設(shè)備和通信鏈路可以拆除并為其它量子密鑰池使用，從而大大提升了資源利用率。另外，由于密鑰池在全網(wǎng)處于分布式的狀態(tài)，采用sdn控制器可以對(duì)全網(wǎng)密鑰池進(jìn)行集中式管控。與此同時(shí)，通過(guò)對(duì)密鑰池中的密鑰資源進(jìn)行按需增補(bǔ)，可完成全網(wǎng)不同密鑰池之間的協(xié)同，實(shí)現(xiàn)網(wǎng)絡(luò)資源的高效均衡調(diào)度。

最后，通過(guò)利用sdn控制器統(tǒng)一管控全網(wǎng)中每對(duì)節(jié)點(diǎn)設(shè)備之間的量子密鑰池，可實(shí)時(shí)監(jiān)測(cè)統(tǒng)計(jì)網(wǎng)絡(luò)的業(yè)務(wù)量和密鑰量，完成需求差異化的量子密鑰池中量子密鑰資源的閾值設(shè)定。

最后，本申請(qǐng)的方法僅為較佳的實(shí)施方案，并非用于限定本發(fā)明的保護(hù)范圍。凡在本發(fā)明的精神和原則之內(nèi)，所作的任何修改、等同替換、改進(jìn)等，均應(yīng)包含在本發(fā)明的保護(hù)范圍之內(nèi)。