[go: up one dir, main page]

CN112367163A - 一种量子网络虚拟化方法与装置 - Google Patents

一种量子网络虚拟化方法与装置 Download PDF

Info

Publication number
CN112367163A
CN112367163A CN201910820376.XA CN201910820376A CN112367163A CN 112367163 A CN112367163 A CN 112367163A CN 201910820376 A CN201910820376 A CN 201910820376A CN 112367163 A CN112367163 A CN 112367163A
Authority
CN
China
Prior art keywords
quantum
virtual
node
state
network
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN201910820376.XA
Other languages
English (en)
Other versions
CN112367163B (zh
Inventor
陈晖�
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Chengdu Liang'an Blockchain Technology Co ltd
Original Assignee
Chengdu Liang'an Blockchain Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Chengdu Liang'an Blockchain Technology Co ltd filed Critical Chengdu Liang'an Blockchain Technology Co ltd
Priority to CN201910820376.XA priority Critical patent/CN112367163B/zh
Publication of CN112367163A publication Critical patent/CN112367163A/zh
Application granted granted Critical
Publication of CN112367163B publication Critical patent/CN112367163B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/29Repeaters
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04BTRANSMISSION
    • H04B10/00Transmission systems employing electromagnetic waves other than radio-waves, e.g. infrared, visible or ultraviolet light, or employing corpuscular radiation, e.g. quantum communication
    • H04B10/70Photonic quantum communication
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/085Secret sharing or secret splitting, e.g. threshold schemes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3236Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
    • H04L9/3239Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving non-keyed hash functions, e.g. modification detection codes [MDCs], MD5, SHA or RIPEMD
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Optics & Photonics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明提供了一种量子网络虚拟化方法,包括:每一个量子节点与相邻的每一个量子节点分别协商一个共享密钥分组;量子中继节点计算其与n个相邻量子节点所协商的n个共享密钥分组中的所有任意两个共享密钥分组的异或值(记为当前虚拟节点路由状态),把C(n,2)个虚拟节点路由状态发送给目标接收方;目标接收方把全部量子中继节点的全部当前虚拟节点路由状态记作一个虚拟网络状态,量子服务节点安全存储与虚拟网络状态关联的共享密钥分组。本发明还提供了一种量子网络虚拟化装置。本发明可以解决量子网络存在的规模量子链路并发冲突、量子中继链路延迟大等问题,本发明具有量子安全性和高效性,可广泛用于量子网络虚拟化,具有良好的应用推广前景。

Description

一种量子网络虚拟化方法与装置
技术领域
本发明涉及量子通信网络及其应用技术领域,尤其涉及一种量子网络虚拟化方法与装置。
背景技术
量子通信网络中的量子节点一般是由一个连接经典通信网络的经典通信终端和连接量子密钥分发(Quantum Key Distribution,简称QKD)网络的量子设备终端组成。由于缺少实用的不落地量子通信中继技术,通常在QKD网络中采用量子可信中继技术。但是,这种网络模式存在网络复杂度高、规模量子链路并发冲突、可信中继延迟大、中继节点的可信安全管理难题等。解决上述问题对于量子通信网络的应用推广具有非常重要的实际意义,量子网络虚拟化是解决上述问题的一种创新路线。
发明内容
为了解决上述背景技术中的技术问题,本发明提供了一种量子网络虚拟化方法与装置。本发明提供的一种量子网络虚拟化方法包括:目标量子网络中的每一个目标量子节点与相邻的每一个目标量子节点分别协商一个共享密钥分组并创建相应的分组标识;如果一个目标量子节点是量子中继节点(以下假定与其相邻的目标量子节点数量为n个,n是大于1的整数),则,上述量子中继节点计算其与n个相邻的目标量子节点所协商的n个共享密钥分组中的所有任意两个共享密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态);把上述C(n,2)个虚拟节点路由状态发送给一个或多个目标接收方(其中,C(n,2)是从n个中任意选择2个的组合数,下同);如果一个目标量子节点是量子服务节点,则,上述量子服务节点对其与相邻的目标量子节点所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,在上述共享密钥分组的标识与相应的全局标识不一致的情况下把上述共享密钥分组的标识更新为相应的全局标识,安全存储上述共享密钥分组;上述一个或多个目标接收方为上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态创建网络状态标识(为方便起见,以下把上述网络状态标识记作虚拟网络状态标识,把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其虚拟网络状态标识记作一个虚拟网络状态);或,进一步地,把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其网络状态标识封装为一个数据文件(为方便起见,以下,把上述数据文件记作虚拟网络状态切片);其中,上述共享密钥分组与相应的虚拟网络状态或/和虚拟网络状态切片具有相同的全局标识或一一对应关联;上述目标量子网络包括但不限于下列选项中的任一项:量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网。
可选地,上述方法还包括:量子中继节点与相邻的量子节点对二者之间所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,如果上述相邻的量子节点也是量子中继节点,则上述量子中继节点与相邻的量子中继节点分别把二者之间所协商的共享密钥分组用于创建具有相同全局标识的虚拟节点路由状态。
可选地,上述方法还包括:上述量子中继节点在完成C(n,2)个虚拟节点路由状态后,销毁上述n个共享密钥分组,或者,在一个共享密钥分组需要参与计算的虚拟节点路由状态数据全部完成后,即销毁上述共享密钥分组。
可选地,上述方法还包括:上述量子中继节点或/和上述目标接收方为上述量子中继节点的C(n,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把上述节点标识和C(n,2)个虚拟节点路由状态记为一个虚拟中继节点状态,把上述节点标识记作虚拟中继节点状态标识);或,进一步地,把上述C(n,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,存储、或发送、或存储并发送上述数据文件或虚拟中继节点状态;其中,上述虚拟中继节点状态标识包括但不限于:当前量子中继节点的标识、全局标识、虚拟节点路由状态数量或相邻目标量子节点的数量。
可选地,上述方法还包括:创建目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点(为方便起见,分别记为源节点和宿节点)之间的虚拟量子链路状态,包括:选择一个虚拟量子网络状态或虚拟网络状态切片,选择源节点和宿节点之间的一个量子密钥中继链路,从上述虚拟量子网络状态或虚拟网络状态切片中把与上述量子密钥中继链路关联的所有虚拟节点路由状态中相应的虚拟节点路由数据筛选出来,计算上述全部虚拟节点路由数据的异或值,为上述异或值创建虚拟量子链路状态标识(为方便起见,把上述异或值记为虚拟量子链路状态数据,把上述虚拟量子链路状态标识及其相应的异或值记为上述源节点和宿节点之间的一个虚拟量子链路状态);或,进一步地,把目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟量子链路状态封装为一个或多个数据文件(为方便起见,把上述数据文件记为虚拟量子链路网络切片);其中,上述虚拟量子链路状态标识包括但不限于:全局标识、源节点和宿节点的标识、上述虚拟链路状态数据的校验值;选择源节点和宿节点之间的一个量子密钥中继链路方法包括:根据虚拟量子网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、随机选择一个可联通的量子密钥中继链路。
可选地,上述方法还包括:目标量子网络中的每一个量子节点向网络控制器或目标接收方上报量子节点的拓扑信息,上述拓扑信息包括但不限于:量子节点的标识、量子节点与每一个相邻的量子节点之间的链路状态。
可选地,上述方法还包括:目标量子网络中的每一个目标量子节点接收网络控制器或目标接收方下发的虚拟化指令,上述虚拟化指令用于指示但不限于以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式。或者,根据既定的系统策略确定以下内容中的任一项或任多项:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、虚拟网络状态的数据结构、虚拟量子链路状态的数据结构、目标接收方的标识、数据传输方式。
可选地,上述方法还包括:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络,或/和,集中式虚拟映射网络;其中,分布式虚拟映射网络的特征在于:每一个目标量子节点创建一个虚拟量子节点;集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟量子节点;其中,上述虚拟映射网络还包括:目标量子节点之间的网络链路拓扑图;虚拟量子节点用于存储或输出相应的虚拟中继节点状态或虚拟节点路由状态。
可选地,上述方法还包括:上述虚拟中继节点状态按时间顺序形成虚拟中继节点状态区块链,其中,形成虚拟中继节点状态区块链的方法包括:为虚拟中继节点状态创建区块头,把虚拟中继节点状态作为区块体,区块头包括但不限于区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
可选地,上述方法还包括:上述虚拟网络状态按时间顺序形成虚拟网络状态区块链,其中,形成虚拟网络状态区块链的方法包括:为虚拟网络状态创建区块头,把虚拟网络状态作为区块体,区块头包括但不限于区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
可选地,上述方法还包括:把两个不同目标网络的虚拟网络状态或虚拟网络状态切片封装为一个跨域互通虚拟网络状态或虚拟网络状态切片的方法,包括:如果存在同时接入两个不同目标网络的服务节点,则,选择一个上述服务节点把其相应的两个关联共享密钥分组的异或值及其标识作为跨域互通虚拟网络状态或虚拟网络状态切片的一个虚拟节点路由状态,连同上述两个不同目标网络的虚拟网络状态或虚拟网络状态切片形成一个跨域互通虚拟网络状态或虚拟网络状态切片;如果不存在同时接入两个不同目标网络的服务节点,则,可信第三方分别为上述两个目标网络的一个服务节点分发一个共享密钥分组(为方便起见,分别记为Ka和Kb),则,其中一个服务节点把其相应的关联共享密钥分组与Ka的异或值及其标识作为一个虚拟节点路由状态,另一个服务节点把其相应的关联共享密钥分组与Kb的异或值及其标识作为一个虚拟节点路由状态,如果Ka与Kb不相同,则,可信第三方把Ka与Kb的异或值及其标识作为一个虚拟节点路由状态,把上述虚拟节点路由状态连同上述两个不同目标网络的虚拟网络状态或虚拟网络状态切片形成一个跨域互通虚拟网络状态或虚拟网络状态切片。
可选地,上述方法还包括:设置创建虚拟网络状态或切片的条件,包括:目标接收方已经接收到创建任意两个服务节点之间的虚拟量子链路状态所需要的虚拟节点路由状态、或已经达到创建当前虚拟网络状态或切片的限定时间。
可选地,上述方法还包括:根据虚拟网络状态/切片(或/和虚拟链路网络状态/切片)的产生时间或/和使用频次标注虚拟网络状态/切片(或/和虚拟链路网络状态/切片)的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
可选地,上述方法还包括:目标接收方把一个或多个虚拟网络状态(或虚拟链路网络切片)发送给虚拟链路服务代理装置、或/和虚拟链路服务装置。
可选地,上述方法还包括:提供虚拟链路服务,包括:把与两个服务节点关联的一个或多个虚拟链路状态发送给上述两个服务节点、或/和上述两个服务节点所服务的应用装置,其中,应用装置包括但不限于:密码应用装置、服务节点的代理装置、虚拟链路服务代理装置。
可选地,上述方法还包括:提供协商共享密钥服务,即,上述目标接收方把一个虚拟链路状态分别发送给所关联的两个服务节点,两个服务节点协商采用其中一个服务节点的关联共享密钥分组作为共享密钥,相应地,另一个服务节点计算其所保存的相应的关联共享密钥分组与上述虚拟链路状态数据的异或值并得到上述共享密钥,或者,进一步地,一个服务节点计算一个数据分组与上述共享密钥的异或值并发送给另一个服务节点,另一个服务节点计算上述异或值与上述共享密钥的异或值并得到上述数据分组,其中,数据分组包括但不限于随机数分组或消息分组。
本发明还提供了一种量子网络虚拟化装置,包括但不限于:执行上述任一个方法的量子节点装置、虚拟化服务器装置;其中,上述装置包括软件模块、或硬件模块、或软件与硬件的集成模块。
与常规的采用量子可信中继技术的QKD网络相比,本发明具有如下创新性:本发明实现了量子中继链路服务与QKD网络的分离,不用实时协调QKD链路资源进行量子密钥可信中继,可以有效解决QKD网络中存在的规模中继链路并发冲突和可信中继延迟问题;由于量子中继节点不需要存储量子密钥,降低了量子中继节点的安全管理风险。因此,本发明在量子通信网络规模应用领域具有良好的应用推广前景。
附图说明
图1为本发明实施例提供的一种量子网络虚拟化方法示意图;
图2为本发明实施例提供的一种量子网络虚拟化方法流程示意图;
图3为本发明实施例提供的一种创建虚拟量子链路状态的方法示意图;
图4为本发明实施例提供的一种量子网络虚拟化方法的应用实施例示意图;
图5为本发明实施例提供的一种协商共享密钥分组的方法示意图;
图6为本发明实施例提供的另一种协商共享密钥分组的方法示意图;
图7为本发明实施例提供的一种共享密钥分组标识示意图;
图8为本发明实施例提供的另一种共享密钥分组标识示意图;
图9为本发明实施例提供的一种虚拟节点路由状态标识示意图;
图10为本发明实施例提供的一种虚拟中继节点状态标识示意图;
图11为本发明实施例提供的一个中继节点的虚拟节点路由状态示意图;
图12为本发明实施例提供的一种创建跨域互通虚拟网络状态(或切片)的方法示意图;
图13为本发明实施例提供的一种量子网络虚拟化的节点装置示意图;
图14为本发明实施例提供的一种量子网络虚拟化的虚拟化服务器装置示意图。
具体实施方式
为了使本发明的目的、技术方案及有益效果更加清楚明白,作为本发明的一部分,下面首先对本发明及其中的一些术语及其内涵进行说明。
(1)本发明实施例所适用的目标量子网络包括但不限于下列网络中的任一项:量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网、其它采用点对点单跳落地转发方式进行中继传输的网络;相应地,本发明实施例中的目标量子节点包括但不限于:目标量子网络中的一部分或全部量子中继节点、目标量子网络中的一部分或全部量子服务节点(或量子接入节点)。本发明实施例中的目标量子节点适用于但不限于通过光纤接口和无线接口(或自由空间接口)接入目标量子网络的目标量子节点。
(2)本发明实施例中的虚拟化是量子网络功能的电子化或实例化,电子化或实例化后的数据可以脱离其所归属的物理网络使用。
(3)本发明实施例的目标量子中继节点是指在目标量子网络中用作中继的节点,或在一个或多个中继链路上拥有至少两个相邻节点并用作中继的节点,中继节点不存储其与相邻节点之间协商的用于中继节点功能虚拟化的密钥;服务节点(或称之为接入节点)是指目标量子网络中其它不用于中继的节点或不直接用于中继的节点(在一些可能的设计中,服务节点可通过虚拟节点用于中继);另外,针对一个具体的本发明实施例,相应的目标量子网络包含上述实施例所包含的中继节点和服务节点。
(4)本发明的针对量子网络的实施例所涉及的通信信道包括量子信道和传统通信网络信道,其中,除了相邻量子节点(相邻量子节点是指能够正常进行点对点QKD或量子通信的两个节点)之间的量子密钥分发需要占用量子信道或链路以外,其它通信过程都采用传统通信网络信道,传统通信网络信道包括但不限于有线通信和无线/移动/卫星通信信道中的一种或多种通信信道。
(5)本发明实施例中所使用的术语“虚拟节点路由状态”、“虚拟中继节点状态”、“虚拟网络状态”、“虚拟链路网络状态”等只用于标记相应的数据或文件,而不用于限定相应的数据或文件,所有只是替换名称且并无实质性不同的方案都属于本发明的保护范围。
(6)本发明实施例中的共享密钥分组是一定数据长度的共享数据。由于不同的应用系统对共享密钥长度的需求差别很大,并且点对点QKD链路的成码率存在一定差别,因此,本发明不具体限定共享密钥分组的数据长度;显然,数据长度是指按相同的数据单位(比如,比特、字节)进行计数。实际上,可以根据实际应用的QKD系统成码率、应用系统的具体需求或未来的行业标准要求,确定共享密钥分组的数据长度(比如,2048比特、100K字节、10M字节、1G字节、其它,任意一个满足系统需求的数据长度)。需要明确的是,针对同一个实施例的每一次虚拟化过程,所有相邻目标节点之间协商的共享密钥分组具有相同的数据格式(包括但不限于数据类型、数据长度、数据的读写顺序)。
(7)本发明实施例中的全局标识是目标量子网络中所有节点保持一致的虚拟化标识,即,在创建虚拟节点路由状态之前,目标量子中继节点与相邻的目标量子节点对所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,目标量子中继节点与相邻的目标量子中继节点分别把所协商的共享密钥分组用于创建具有相同全局标识的虚拟节点路由状态或/和虚拟中继节点状态,与其相邻的目标量子服务节点所存储的相应共享密钥分组的分组标识与全局标识一致;全局标识可以用于区分不同的目标量子网络,也可以用于区分目标量子网络中不同的实施例;全局标识可以采用全网统一的全局编号,也可以采用结合目标量子网络标识和全局编号的标识。
为了使本发明的技术方案及优点更加清楚,作为本发明的一部分,以下结合附图及具体实施例,对本发明作进一步详细的说明。
图1给出了本发明实施例提供的一种量子网络虚拟化方法,包括步骤:
S101:目标量子网络中的每一个目标量子节点与相邻的每一个目标量子节点分别协商一个共享密钥分组并创建相应的分组标识;
S102:量子中继节点(以下假定与其相邻的目标量子节点数量为n个,n是大于1的整数;需要说明的是,相邻的目标量子节点是与目标量子中继节点之间能够正常进行量子密钥分发的相邻量子节点,如果量子中继节点与某个相邻量子节点之间的量子密钥分发链路异常或断路,则,不把该相邻量子节点作为与其相邻的目标量子节点,下同)计算其与n个相邻的目标量子节点所协商的n个共享密钥分组中的所有任意两个共享密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态),把上述C(n,2)个虚拟节点路由状态发送给一个或多个目标接收方(其中,C(n,2)是从n个中任意选择2个的组合数,下同);量子服务节点对其与相邻的目标量子节点所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,在上述共享密钥分组的标识与相应的全局标识不一致的情况下把上述共享密钥分组的标识更新为相应的全局标识,安全存储上述共享密钥分组;
S103:目标接收方为上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态创建网络状态标识(为方便起见,以下把上述网络状态标识记作虚拟网络状态标识,把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其虚拟网络状态标识记作一个虚拟网络状态);其中,上述共享密钥分组与相应的虚拟网络状态或/和虚拟网络状态切片具有相同的全局标识或一一对应关联。
在另一个可能的实施例中,可以把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其网络状态标识封装为一个数据文件(为方便起见,以下,把上述数据文件记作虚拟网络状态切片)。
下面结合图2给出了本发明实施例提供的一种量子网络虚拟化方法流程示意图,进一步说明上述方法;包括如下步骤:
S201:量子服务节点和量子中继节点分别向网络控制器上报相应节点的拓扑信息,其中,上述拓扑信息包括但不限于:量子节点的标识、量子节点与每一个相邻的量子节点之间的链路状态;
S202:下发虚拟化指令,即,网络控制器向上述量子服务节点和量子中继节点下发虚拟化指令,上述虚拟化指令用于指示:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式;
S203:与相邻节点协商量子密钥分组,即,量子中继节点与相邻的每一个目标量子节点分别协商一个共享量子密钥分组;
S204:与相邻节点协商量子密钥分组,即,量子服务节点与相邻的每一个目标量子节点分别协商一个共享量子密钥分组;
S205:创建C(n,2)个虚拟节点路由状态,即,量子中继节点计算其与n个相邻的目标量子节点所协商的n个共享密钥分组中的所有任意两个共享密钥分组的异或值并创建相应的标识(为方便起见,以下把上述异或值记作虚拟节点路由状态数据,把上述标识记作虚拟节点路由状态标识,把上述异或值及其相应的标识记作一个虚拟节点路由状态);
S206:量子服务节点安全存储量子密钥分组;
S207:量子中继节点分别把上述C(n,2)个虚拟节点路由状态发送给目标接收方;
S208:创建虚拟量子网络状态,即,目标接收方为上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态创建网络状态标识(为方便起见,以下把上述网络状态标识记作虚拟网络状态标识,把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其虚拟网络状态标识记作一个虚拟网络状态)。
需要明确的是,上述步骤S203和S204在时间序列上不存在绝对的先后次序,即,可能同时进行,也可能步骤S203在S204前面,也可能步骤S204在S203前面;类似地,上述步骤S205和S206在时间序列上也不存在绝对的先后次序。
可选地,在另一个可能的实施例中,可以把上述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其网络状态标识封装为一个数据文件(为方便起见,以下,把上述数据文件记作虚拟网络状态切片)。上述数据文件包括但不限于数据列表文件、或数据库文件。
在一种可能的设计中,上述网络控制器可以根据目标接收方的需求确定并下发虚拟化指令。
在一种可能的设计中,在上述实施例中,设定接收虚拟节点路由状态的限定时间,如果在限定时间内未收到某个或某些量子中继节点的相应虚拟节点路由状态,则,向相应的某个或某些量子中继节点下达重发指令,或者,在确认相应的某个或某些量子中继节点异常的情况下,把相应的某个或某些量子中继节点剔除出目标量子网络的目标量子中继节点。
在一种可能的设计中,在上述实施例中,根据节点上报的拓扑信息选择目标量子网络中的目标量子节点,如果某个被选择的目标量子节点存在异常或未按时上报节点的拓扑信息或发送虚拟节点路由状态,则,把该目标量子节点剔除出目标量子网络的目标量子节点。
图3给出了本发明实施例提供的一种创建虚拟量子链路状态的方法,即,创建目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点(为方便起见,分别记为源节点和宿节点)之间的虚拟量子链路状态,包括步骤:
S301:选择一个虚拟量子网络状态或虚拟网络状态切片;
S302:选择源节点和宿节点之间的一个量子密钥中继链路,从上述虚拟量子网络状态或虚拟网络状态切片中把与上述量子密钥中继链路关联的所有虚拟节点路由状态中相应的虚拟节点路由数据筛选出来,计算上述全部虚拟节点路由数据的异或值,为上述异或值创建虚拟量子链路状态标识(为方便起见,把上述异或值记为虚拟量子链路状态数据,把上述虚拟量子链路状态标识及其相应的异或值记为上述源节点和宿节点之间的一个虚拟量子链路状态);
S303:把目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟量子链路状态封装为一个数据文件(为方便起见,把上述数据文件记为虚拟量子链路网络切片);其中,数据文件包括但不限于数据列表文件、或数据库文件,通过访问该文件可以快速获取某个或某些虚拟链路状态;上述虚拟量子链路状态标识包括但不限于:全局标识、源节点和宿节点的标识、上述虚拟链路状态数据的校验值;选择源节点和宿节点之间的一个量子密钥中继链路方法包括但不限于:根据虚拟量子网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、随机选择一个可联通的量子密钥中继链路。
下面结合图4给出的本发明实施例提供的一种量子网络虚拟化方法的应用实施例,进一步说明上述本发明实施例的应用方法。
如图4所示,目标量子网络中的目标量子节点包含图4中的5个服务节点(S1、S2、S3、S4和S5)和5个中继节点(R1、R2、R3、R4和R5),假设在一次量子网络功能虚拟化流程中,S1与R1之间协商的共享量子密钥分组为Ks1r1;R1与R2之间协商的共享量子密钥分组为Kr1r2,R1与R5之间协商的共享量子密钥分组为Kr1r5;R2与R3之间协商的共享量子密钥分组为Kr2r3;R3与R4之间协商的共享量子密钥分组为Kr3r4,R3与R5之间协商的共享量子密钥分组为Kr3r5(Kr3r5=Kr5r3,其它类似),R3与S3之间协商的共享量子密钥分组为Kr3s3;S4与R5之间协商的共享量子密钥分组为Ks4r5;R4与S2之间协商的共享量子密钥分组为Kr4s2;R4与S5之间协商的共享量子密钥分组为Kr4s5。
相应的虚拟网络状态包括:R1的虚拟节点路由状态包括(Ks1r1⊕Kr1r2)、(Ks1r1⊕Kr1r5)、(Kr1r2⊕Kr1r5),R2的虚拟节点路由状态包括(Kr1r2⊕Kr2r3),R3的6个虚拟节点路由状态包括(Kr2r3⊕Kr3r4)、(Kr2r3⊕Kr3s3)、(Kr2r3⊕Kr5r3)、(Kr5r3⊕Kr3r4)、(Kr5r3⊕Kr3s3)、和(Kr3s3⊕Kr3r4),R4的虚拟节点路由状态包括(Kr3r4⊕Kr4s2)、(Kr3r4⊕Ks5r4)、(Kr4s2⊕Ks5r4),R5的虚拟节点路由状态包括(Ks4r5⊕Kr1r5)、(Ks4r5⊕Kr5r3)、(Kr1r5⊕Kr5r3)。
相应的虚拟链路网络切片包括S1、S2、S3、S4和S5中任意两个节点之间的虚拟链路状态,例如,S1与S2之间的虚拟链路状态:
VQL_s1s2=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)
=Ks1r1⊕Kr4s2;
S1与S3之间的虚拟链路状态:
VQL_s1s3=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3s3)
=(Ks1r1⊕Kr1r5)⊕(Kr1r5⊕Kr5r3)⊕(Kr5r3⊕Kr3s3)=Ks1r1⊕Kr3s3;其它(C(5,2)-2)个虚拟链路状态可以采用类似的方法计算。
在一种可能的设计中,由于R2是一个可选的中继节点,因此,上述虚拟网络切片可以不包含R2的虚拟节点路由状态,或者,不把R2作为目标中继节点。因此,在另一种可能的设计中,可以设置切片的封装条件,即,虚拟化服务器已经接收到创建任意两个服务节点之间的虚拟量子链路状态所需要的虚拟节点路由状态。
在一种可能的设计中,可以把上述实施例中的5个服务节点之间的C(5,2)=10个虚拟链路状态封装成多个子网切片;例如,可以封装包括S1、S2和S3中所有任意两个节点之间的3个虚拟链路状态的虚拟链路网络切片的子网切片、包括S3、S4和S5中任意两个节点之间的虚拟链路状态的虚拟链路网络切片的子网切片。
在一种可能的设计中,目标量子节点可以包含图4中的部分服务节点(S1、S2、S3、S4、S5中的任意多个的组合)和部分或全部中继节点(R1、R2、R3、R4和R5的一部分或全部)。假设在一种可能的设计中需要创建S1与S2、S1与S3、S2与S3之间的虚拟量子网络,并选择其中3个密钥中继链路(包括S1-R1-R2-R3-R4-S2、S1-R1-R2-R3-S3、S2-R4-R3-S3),即该实施例的目标量子网络中的目标量子节点仅仅包含3个服务节点(S1、S2和S3)和4个中继节点(R1、R2、R3和R4)。假设在一次量子网络虚拟化流程中,S1与R1之间协商的共享量子密钥分组为Ks1r1,R1与R2之间协商的共享量子密钥分组为Kr1r2,R2与R3之间协商的共享量子密钥分组为Kr2r3,R3与R4之间协商的共享量子密钥分组为Kr3r4,R3与S3之间协商的共享量子密钥分组为Kr3s3,R4与S2之间协商的共享量子密钥分组为Kr4s2;则,相应的虚拟网络状态包括:R1的虚拟节点路由状态数据(Ks1r1⊕Kr1r2)及其标识,R2的虚拟节点路由状态数据(Kr1r2⊕Kr2r3)及其标识,R3的3个虚拟节点路由状态数据(Kr2r3⊕Kr3r4)、(Kr2r3⊕Kr3s3)和(Kr3s3⊕Kr3r4)及其标识,R4的虚拟节点路由状态数据(Kr3r4⊕Kr4s2)及其标识;相应的虚拟链路网络切片包括:
S1与S2之间的虚拟链路状态
VQL_s1s2=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)
=Ks1r1⊕Kr4s2;
S1与S3之间的虚拟链路状态
VQL_s1s3=(Ks1r1⊕Kr1r2)⊕(Kr1r2⊕Kr2r3)⊕(Kr2r3⊕Kr3s3)=Ks1r1⊕Kr3s3;
S2与S3之间的虚拟链路状态
VQL_s2s3=(Kr3s3⊕Kr3r4)⊕(Kr3r4⊕Kr4s2)=Kr3s3⊕Kr4s2。
在另一种可能的设计中,目标量子节点可以包含图4中的S1、S2、S3、S4、S5中的任意多个的组合和全部中继节点(R1、R2、R3、R4和R5),并采用上述方法创建相应的虚拟网络状态或/和虚拟链路网络切片。
在另一种可能的设计中,可以根据不同的业务需求,把上述目标网络规划为多个包含不同目标服务节点的目标网络实施例,并针对每一个目标网络实施例创建虚拟链路网络切片。
在一种可能的设计中,虚拟化服务器或第三方服务器把虚拟链路状态VQL_s1s2分别发送给S1和S2,S1和S2基于VQL_s1s2可以协商共享密钥,即,S1可以计算:
rk_a⊕Ks1r1⊕VQL_s1s2=rk_a⊕Ks1r1⊕Ks1r1⊕Kr4s2=rk_a⊕Kr4s2;并发送给S2,S2计算:Kr4s2⊕rk_a⊕Kr4s2=rk_a;即,实现了S1和S2之间共享了rk_a。在另一种可能的设计中,S1和S2也可以协商使用Ks1r1或Kr4s2作为共享密钥,例如,如果S1和S2协商使用Ks1r1作为共享密钥,则,S2计算VQL_s1s2⊕Kr4s2=Ks1r1。
需要明确的是,上述共享量子密钥分组的标识具有对称性,即,Krirj=Krjri;虚拟链路状态的标识也具有类似的对称性,即,VQL_sisj=VQL_sjsi。
在一种可能的设计中,虚拟化服务器或第三方服务器把上述虚拟链路网络切片分别发送给S1、S2和S3,S1、S2和S3协商协商采用其中一个量子服务节点的关联共享密钥分组作为群组共享密钥,其它量子服务节点基于虚拟链路网络切片获取该关联共享密钥分组,S1、S2和S3分别把该关联共享密钥分组注入所关联的加密装置;例如,假定选择S1与上述虚拟链路网络切片的关联共享密钥分组Ks1r1作为群组共享密钥,则,S2计算Kr4s2⊕VQL_s1s2=Ks1r1;S3计算Kr3s3⊕VQL_s1s3=Ks1r1;即基于一个虚拟链路网络切片可以实现一个量子服务节点与其它量子服务节点之间的密钥共享,并可以用于周期性地更换多个加密装置之间的用于互通的共享密钥。
在一种可能的设计中,虚拟化服务器或第三方服务器把上述虚拟链路网络切片分别发送给S1、S2和S3,其中,一个量子服务节点(记为源节点)选择一个虚拟量子链路网络状态或切片并采用与该虚拟量子链路网络状态或切片关联的共享密钥分组加密源节点的目标数据并得到密文,为上述密文创建密文标识并公开上述密文及其密文标识;其它量子服务节点分别基于上述虚拟量子链路网络状态或切片计算相应的虚拟量子链路状态数据与相应量子服务节点的相应关联共享密钥分组的异或值,并得到源节点的关联共享密钥分组,利用上述关联共享密钥分组解密密文并得到源节点发送的目标数据;例如,源节点S1采用Ks1r1加密一个密钥数据R,即计算Ks1r1⊕R并分别发送给S2和S3;S2计算Kr4s2⊕VQL_s1s2⊕Ks1r1⊕R=Kr4s2⊕Ks1r1⊕Kr4s2⊕Ks1r1⊕R=R;S3计算Kr3s3⊕VQL_s1s3⊕Ks1r1⊕R=Kr3s3⊕Ks1r1⊕Kr3s3⊕Ks1r1⊕R=R;上述密文标识包括但不限于:虚拟量子链路网络状态或切片的标识,源节点的标识、加密方式,其中,加密方式包括但不限于异或加密或采用对称密码算法加密;目标数据包括但不限于以下数据中的任一种或任多种:消息分组、随机密钥数据、传感数据、音视频监控数据、计算数据、数据文件。
进一步地,在一种可能的设计中,上述S1、S2、S3、S4、S5中的任意一个或多个量子服务节点可以分别把与一个或多个虚拟量子链路网络状态或切片关联的共享密钥分组发送给其它代理装置,上述代理装置之间或代理装置与其它量子服务节点之间采用上述方法协商共享密钥或进行安全数据的共享。
进一步地,在一种可能的设计中,如果某个实施例中的两个目标量子服务节点之间存在点对点的量子密钥分发链路,则,其中任一个量子服务节点都可以不把另一个量子服务节点作为相邻的目标节点。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:量子中继节点与相邻的量子节点对二者之间所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,如果上述相邻的量子节点也是量子中继节点,则上述量子中继节点与相邻的量子中继节点分别把二者之间所协商的共享密钥分组用于创建具有相同全局标识的虚拟节点路由状态。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:上述量子中继节点在完成C(n,2)个虚拟节点路由状态后,销毁上述n个共享密钥分组,或者,在一个共享密钥分组需要参与计算的虚拟节点路由状态数据全部完成后,即销毁上述共享密钥分组。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括: 上述量子中继节点或/和上述目标接收方为上述量子中继节点的C(n,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把上述节点标识和C(n,2)个虚拟节点路由状态记为一个虚拟中继节点状态,把上述节点标识记作虚拟中继节点状态标识);或,进一步地,把上述C(n,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,存储、或发送、或存储并发送上述数据文件或虚拟中继节点状态;其中,上述虚拟中继节点状态标识包括但不限于:当前量子中继节点的标识、全局标识、虚拟节点路由状态数量或相邻目标量子节点的数量。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以包括:对虚拟链路状态进行正确性验证,包括:一个目标量子服务节点计算与上述虚拟链路状态一一对应关联的共享密钥分组与上述虚拟链路状态数据的异或值,计算上述异或值或其一部分数据的数据摘要并发送给另一个目标量子服务节点,另一个目标量子服务节点计算与上述虚拟链路状态一一对应关联的共享密钥分组或共享密钥分组的一部分数据的数据摘要,如果这两个数据摘要相同,则,通过正确性验证,或者,两个目标量子服务节点分别把上述两个数据摘要发送给第三方,第三方比较上述两个数据摘要,如果这两个数据摘要相同,则,通过正确性验证。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,可以为上述C(n,2)个虚拟链路状态创建标识(为方便起见,以下把上述标识记作虚拟链路网络切片标识,把上述C(n,2)个虚拟链路状态及其相应的标识记作一个虚拟链路网络切片),或,进一步地,把上述C(n,2)个虚拟链路状态及其标识封装为一个数据文件(把上述数据文件记作一个虚拟链路网络切片);其中,虚拟链路网络切片标识包括但不限于:目标量子网络标识、全局标识、虚拟链路状态的数量。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以根据既定的系统策略确定以下内容中的任一项或任多项:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、虚拟网络状态的数据结构、虚拟量子链路状态的数据结构、目标接收方的标识、数据传输方式。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以包括:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络、集中式虚拟映射网络;其中,分布式虚拟映射网络的特征在于:每一个目标量子节点创建一个虚拟量子节点;集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟量子节点;其中,上述虚拟映射网络还包括:目标量子节点之间的网络链路拓扑图;虚拟量子节点用于存储或输出相应的虚拟中继节点状态或虚拟节点路由状态。进一步地,在另一种可能的设计中,还可以选择两个量子服务节点(分别记为源节点和宿节点)之间的一个量子密钥中继链路,上述量子密钥中继链路上的每一个虚拟量子节点把具有相同全局标识的虚拟路由数据发送给一个量子服务节点或第三方服务器,量子服务节点或第三方服务器把上述具有相同全局标识的每一个目标量子节点的虚拟路由状态数据进行异或运算,该量子服务节点与另一个关联的量子服务节点可以基于该异或运算结果协商共享密钥,并可以进一步用于二者之间的数据加密通信。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以根据虚拟网络状态/切片(或虚拟链路状态/切片)的产生时间或/和使用频次标注虚拟网络状态/切片(或虚拟链路状态/切片)的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以把一个或多个虚拟网络状态或虚拟链路网络切片发送给虚拟链路服务代理装置、或/和虚拟链路服务装置。
进一步地,在一种可能的设计中,在上述任一个实施例的基础上,还可以提供虚拟链路服务,即,把与两个服务节点关联的一个或多个虚拟链路状态发送给上述两个服务节点、或/和上述两个服务节点所服务的应用装置,其中,应用装置包括但不限于:密码应用装置、服务节点的代理装置、虚拟链路服务代理装置。
在上述任一个实施例中,其中协商一个共享密钥分组或共享量子密钥分组可以采用实时共享方法,或,预先缓存方法;其中,
实时共享方法包括:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥,把上述一定量的共享量子密钥作为一个共享量子密钥分组并创建分组标识;或者,采用如图5所示的本发明实施例提供的一种协商共享量子密钥分组的方法,即包括如下步骤:
S501:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥;
S502:目标量子节点与相邻的目标量子节点采用相同的数据格式分别把共享量子密钥分割为一个或多个分组、采用相同的随机性测试方法对每一个分组进行随机性测试;
S503:把通过上述随机性测试的一个分组作为一个共享量子密钥分组并创建分组标识;
上述预先缓存方法包括(如图6所示的本发明实施例提供的另一种协商共享量子密钥分组的方法):
S601:目标量子节点与相邻的目标量子节点协商一定量的共享量子密钥;
S602:采用相同的数据格式分别把共享量子密钥分割为一个或多个分组,采用相同的随机性测试方法对每一个分组进行随机性测试,缓存通过上述随机性测试的每一个分组并分别创建分组标识;
S603:与相邻的目标量子节点协商从缓存的分组中分别选择一个具有一致或相同分组编号的分组作为一个共享量子密钥分组。
上述协商一定量的共享量子密钥包括但不限于:依次与多个相邻目标量子节点协商共享量子密钥、或同时与多个相邻目标量子节点协商共享量子密钥、或根据虚拟化指令与相应的相邻目标量子节点协商共享量子密钥,其中,协商共享量子密钥可以占用量子密钥分发通道的全部带宽或仅占用整个量子密钥分发通道的部分带宽。
在一种可能的设计中,上述协商一个共享量子密钥分组,还可以包括:一致性校验,其中,上述一致性校验包括但不限于:目标量子节点与相邻的目标量子节点分别计算一个共享量子密钥分组的数据摘要或Hash值,如果这两个数据摘要或Hash值不相同,则不能通过一致性校验,并重新协商;否则,通过一致性校验,并成功协商一个共享量子密钥分组。
需要明确的是,虚拟化指令所指示的以下内容中的任一种或任多种的具体用途或使用方法包括:全局标识可以用于区分不同的目标量子网络、区分目标量子网络中不同的实施例,可以采用全网统一的全局编号,也可以采用结合目标量子网络标识和全局编号的标识;共享量子密钥分组的数据格式包括但不限于数据类型、数据长度和数据的读写顺序;虚拟节点路由状态的数据结构包括在一个实施例中所采用的虚拟节点路由状态标识的内容及其排序关系;目标接收方的标识用于确定接收方;数据传输方式用于确定采用加密方式或非加密方式。
显而易见的,可以对上述任一个实施例的方法步骤进行重新组合可以得到与本发明方法具有相同应用性能的新实施例。因此,基于上述方法步骤的简单组合和内容调整而得到的方法都落入本发明的保护范围。
上述实施例中的共享量子密钥分组或共享密钥分组包括但不限于:分组标识、共享量子密钥数据(具有分组长度的共享量子密钥);其中,共享量子密钥分组标识的数据结构可以采用如图7所示的本发明实施例提供的一种共享量子密钥分组标识,即分组标识包括但不限于:分组编号、当前节点ID、相邻节点ID,等同的,可以把当前节点ID和相邻节点ID替换为当前节点与相邻节点的链路标识;其中,ID也可以采用其它能够唯一标识相应节点的标识;分组编号可以采用局部编号或全局编号,在采用局部编号的情况下,当某个共享量子密钥分组被用于创建虚拟节点路由状态后,把相应的局部编号改变为相应的虚拟节点路由状态的全局编号。
在图7所示的数据结构基础上,通过增加如下内容选项中的任一项或任多项可以得到新的共享量子密钥分组或分组标识实施例:数据格式、校验信息、时间戳,其中,校验信息可以是共享量子密钥分组的数据摘要(或Hash值)或MAC码;数据格式的内容包括以下内容中的任一项或任多项:数据类型(比如,采用二进制、16进制存储)、数据长度、数据的读写顺序。
进一步地,作为示例,图8给出了一个可能的本发明实施例提供的另一种共享量子密钥分组的数据结构,即,包括但不限于:分组编号、当前节点ID、相邻节点ID、数据长度、校验信息、量子密钥数据,其中,数据长度可以是量子密钥数据的数据长度,也可以是整个共享量子密钥分组的数据长度;校验信息可以是量子密钥数据数据摘要(或Hash值)或MAC码。
上述实施例中的虚拟节点路由状态包括但不限于:虚拟节点路由状态标识、虚拟节点路由状态数据(即,当前中继节点与上述两个相邻的目标量子节点之间的共享量子密钥分组的异或值)。图9给出了本发明实施例提供的一种虚拟节点路由状态标识,虚拟节点路由状态标识的内容包括但不限于:全局编号、当前中继节点ID1、相邻节点ID2、相邻节点ID3(或,连接当前中继节点与当前中继节点的上一个相邻的目标量子节点及下一个相邻的目标量子节点的链路标识)。
上述实施例中虚拟中继节点状态标识的内容包括(如图10所示的本发明实施例提供的一种虚拟中继节点状态标识):全局编号、当前中继节点的ID1、虚拟节点路由状态数量,其中,虚拟节点路由状态数量可以通过相邻目标量子节点的数量计算得到,因此,可以把虚拟节点路由状态数量替换为相邻目标量子节点的数量并得到一个新的实施例。
在上述实施例基础上,通过为虚拟节点路由状态(或虚拟量子链路状态)增加如下选项中的任一项或任多项可以得到多个新的实施例:
局部标识,用于区别具有相同全局标识的多个虚拟节点路由状态(或虚拟量子链路状态);
校验信息,上述校验信息用于校验虚拟中继节点状态(或虚拟量子链路状态)的完整性,包括但不限于相应数据的数据摘要、或Hash值、或MAC码;
数字签名,采用数字签名算法对虚拟中继节点状态(或虚拟量子链路状态)进行数字签名;
时间戳,上述时间戳用于记录虚拟中继节点状态(或虚拟量子链路状态)的创建时间;
当前虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)、上一个虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)、或者当前以及上一个虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)。
进一步地,在一种可能的设计中,上述用于数字签名的私钥不能被非法访问或导出。
在一种可能的设计中,还可以在上述实施例中的各种标识中增加标识类型,上述标识类型用于区分虚拟路由状态标识、虚拟中继节点状态、虚拟网络状态和虚拟链路状态。
进一步地,在一种可能的设计中,在上述图1、图2或图3所示的实施例基础上,可以按时间顺序创建虚拟中继节点状态区块链,其中,形成虚拟中继节点状态区块链的方法包括但不限于:为虚拟中继节点状态创建区块头,把虚拟中继节点状态作为区块体,区块头包括但不限于区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
进一步地,在一种可能的设计中,在上述图1、图2或图3所示的实施例的基础上,可以按时间顺序形成虚拟网络状态区块链,其中,形成虚拟网络状态区块链的方法包括但不限于:为虚拟网络状态创建区块头,把虚拟网络状态作为区块体,区块头包括但不限于区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
进一步地,在一种可能的设计中,在上述图1、图2或图3所示的实施例的基础上,可以按时间顺序形成虚拟链路状态区块链,其中,形成虚拟链路状态区块链包括但不限于:为虚拟链路状态创建区块头,把虚拟链路状态作为区块体,区块头包括但不限于区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
上述实施例中的存储包括但不限于以下选项中的任一项或多项:本地存储、云端存储、服务器端存储,其中,本地存储方法包括:把虚拟节点路由状态或/和虚拟中继节点状态存储在中继节点设备的存储器中(其中,存储器包括但不限于:本地存储器或网络存储空间),把虚拟节点路由状态标识或/和虚拟中继节点状态标识发给服务器;云端存储方法包括:把虚拟节点路由状态(或虚拟节点路由状态数据)或/和虚拟中继节点状态存储在云端存储空间上;服务器端存储包括:把虚拟节点路由状态或/和虚拟中继节点状态发给一个或多个服务器进行存储。
上述实施例中的输出或发送包括但不限于以下选项中的任一项或两项:实时输出、被动响应输出;其中,实时输出包括但不限于:把所创建的虚拟节点路由状态或/和虚拟中继节点状态实时输出到中继节点设备的存储器、或/和第三方服务器、或/和虚拟化指令所指示的目标接收方;被动响应输出包括但不限于:根据虚拟化指令,把具有特定编号的虚拟节点路由状态或/和虚拟中继节点状态输出到中继节点设备的存储器、或/和第三方服务器、或/和虚拟化指令所指示的目标接收方。
进一步地,在一种可能的设计中,上述实施例中的输出或发送可以是加密传输,上述加密传输包括但不限于以下选项中的任一项或多项:采用对称密码算法加密传输、采用非对称密码算法加密传输、采用VPN的隧道模式或传输模式的加密传输。
上述实施例中的服务器可以包括但不限于以下选项中的任一项或任多项:网络管理装置、网络虚拟化管理装置、服务节点装置、云存储服务装置、区块链的记账节点装置。
上述实施例中的目标接收方可以包括但不限于以下选项中的任一项或任多项:网络管理装置、网络虚拟化管理装置、服务节点装置、云存储服务装置、区块链的记账节点装置。
下面,针对一个具有3个目标相邻节点的中继节点(中继节点R与3个目标相邻节点A、B和C;如果对比图4所示的实施例,则R可以对应图4中的R5,A、B和C可以分别对应R1、R3和S4)进一步说明本发明实施例所提供的创建虚拟节点路由状态的方法。假定中继节点R与3个相邻节点A、B和C分别采用上述方法协商采用共享量子密钥分组Kra、Krb和Krc(可以依次与3个相邻节点协商密钥共享量子密钥分组、或同时与多个相邻节点协商共享量子密钥分组、或根据虚拟化指令与相应的相邻节点协商共享量子密钥分组);基于上述3个共享量子密钥分组产生C(3,2)=3个虚拟节点路由状态(如图11所示的本发明实施例提供的一个中继节点的虚拟节点路由状态,包括虚拟节点路由状态VRS0、VRS1和VRS2),其中,节点标识包括目标量子中继节点的ID标识1101(即ID_R)、全局编号1102(即000123)、虚拟节点路由状态的数量1103(即3个)、数据长度1104(即3×1MB,每一个虚拟节点路由状态的数据长度为1MB)、数据类型1105(即16进制),虚拟节点路由状态(即图11中的状态数据)包括目标量子中继节点的ID标识1106、第一相邻节点的ID标识1107、第二相邻节点的ID标识1108、虚拟节点路由状态数据1109、虚拟节点路由状态的数据摘要1110、虚拟节点路由状态的局部编号1111。
中继节点R的创建虚拟节点路由状态包括如下步骤:中继节点R采用实时共享方法或预先缓存方法分别与A、B和C协商一个共享量子密钥分组,其中,实时共享方法:与相邻节点实时协商共享量子密钥、采用密钥预处理方法把上述共享量子密钥处理为一个共享量子密钥分组,例如:协商1MB的密钥,在创建分组标识和完整性校验信息后,作为一个共享量子密钥分组;预先缓存方法包括:与相邻节点协商共享量子密钥、采用密钥预处理方法把上述共享量子密钥处理为一个或多个共享量子密钥分组、缓存上述共享量子密钥分组,与相邻节点协商从缓存的共享量子密钥分组中分别选择一个具有相同分组编号的共享量子密钥分组。例如:一次协商10MB的密钥,分割为10个分组,分别进行随机性测试,为通过随机性测试的每一个分组分别创建分组标识和完整性校验信息,在创建分组标识和完整性校验信息后,作为一个共享量子密钥分组;获取当前虚拟节点路由状态的全局编号(图11中的1102),R与A、B、C分别协商一个共享量子密钥分组(分别记为Kra、Krb和Krc),R分别与A、B、C对Kra、Krb和Krc及其所用于创建的虚拟节点路由状态的全局编号进行确认(例如图11中的1102);R利用Kra、Krb和Krc创建3个虚拟节点路由状态(即,VRS0、VRS1和VRS2,其中,VRS0=(0,ID_R,ID_A,ID_B,Kra⊕Krb,Hash(Kra⊕Krb)),其它类似),销毁Kra、Krb和Krc;把VRS0、VRS1和VRS2分别封装为一个虚拟节点路由状态,存储、或输出、或存储并输出上述3个虚拟节点路由状态。
可选地,在一种可能的设计中,在上述实施例中增加:创建R的虚拟中继节点,上述虚拟中继节点用于虚拟节点路由状态和虚拟节点路由状态的存储和输出管理、根据服务器的指令把具有特定编号的虚拟节点路由状态或虚拟节点路由状态发送给服务器或服务器指令所指示的目标接收方。
在一种可能的设计中,可以把图11所示的虚拟中继节点状态封装为一个数据库文件,通过其中的全局编号1102和局部编号1111可以唯一确定一个虚拟节点路由状态。
另外,由于VRS0、VRS1和VRS2之间存在关联,即,其中任意两个虚拟节点路由状态数据的异或值等于第三个虚拟节点路由状态数据,例如,VRS0⊕VRS1=VRS2,因此,在一种可能的设计中,中继节点可以创建(C(n,1)-1)个虚拟节点路由状态。类似的应用特征实质上等同的可能设计也都落入本发明的保护范围。
需要明确的是,在上述任一个实施例中,针对某一次量子网络虚拟化,各个目标量子节点都采用相同的数据格式和数据结构,包括但不限于采用相同的共享密钥分组长度、数据类型、数据高低位顺序、相同的标识内容及其排序方式。
本发明虽然已经描述了上述共享密钥分组和虚拟节点路由状态的数据结构(可以包括但不限于:目标数据及其标识的内容选项及其排序、数据类型、数据长度等),但是可以预期,上述数据结构中的元素或变量可以随机组合并不显著影响应用性能;另外,显而易见的,如果某个数据结构中的某个元素或变量(比如,存储类型、数据长度)作为全局变量,则,相应的数据格式中可以不包括该变量,因此,本发明不具体限定数据结构中的元素或变量的位置排序关系,也不限定某个元素或变量的实现方式;另外,具有类似的考虑,本发明不具体限定数据格式中的元素或变量的位置排序关系,也不限定某个元素或变量的实现方式。通过对上述数据结构中的元素进行随机组合或位置调整而得到的方法也都落入本发明的保护范围。显然,在可能的设计中,可以把上述虚拟节点路由状态(或虚拟节点路由状态)标识中的某些内容选项作为相应虚拟节点路由状态(或虚拟节点路由状态)数据的一部分,这种类似的可能设计都落入本发明的保护范围。
图12为本发明实施例提供的一种创建跨域互通虚拟网络状态(或切片)的方法示意图,其中,目标网络一中的服务节点A保存了与一个虚拟网络状态关联的共享密钥分组Kax,目标网络二中的服务节点B保存了与另一个虚拟网络状态关联的共享密钥分组Kby,由于上述两个虚拟网络状态完全隔离,无法进行跨域互通;为了实现跨域互通,一个可信第三方C分别为A和B分发共享密钥分组Ka和Kb,A计算Kax⊕Ka并创建相应的虚拟节点路由状态标识;B计算Kby⊕Kb并创建相应的虚拟节点路由状态标识;C计算Ka⊕Kb并创建相应的虚拟节点路由状态标识(显然,如果Ka与Kb相同,则Ka⊕Kb=0,因此可以不用进行相应的计算或缺省该虚拟节点路由状态);把上述三个虚拟节点路由状态连同两个虚拟网络状态一起形成一个跨域互通虚拟网络状态。
在一种可能的设计中,如果存在同时接入两个不同目标网络的服务节点,则,选择一个上述服务节点把其相应的两个关联共享密钥分组的异或值及其标识作为跨域互通虚拟网络状态或虚拟网络状态切片的一个虚拟节点路由状态,连同上述两个不同目标网络的虚拟网络状态或虚拟网络状态切片形成一个跨域互通虚拟网络状态或虚拟网络状态切片。例如,假定图12中的A和B是同一个服务节点,Kax和Kby分别是与目标网络一和目标网络二的相应虚拟网络状态关联的共享密钥分组,则,A计算Kax⊕Kby并创建相应的虚拟节点路由状态标识;把该虚拟节点路由状态连同相应的两个虚拟网络状态一起形成一个跨域互通虚拟网络状态。
在一种可能的设计中,可以把上述跨域互通虚拟网络状态封装为跨域互通虚拟网络状态切片。进一步的,在一种可能的设计中,还可以创建跨域互通虚拟链路网络切片。
图13为本发明实施例提供的一种量子网络虚拟化的节点装置示意图,包括但不限于:
收发器:包括但不限于各个接口模块,例如图13中所示的收发器可包括接口模块1301、接口模块1302;其中,接口模块1301用于向虚拟化服务器1307上报上述量子中继节点的拓扑信息、接收虚拟化指令;还用于向虚拟化服务器1307发送虚拟节点路由状态或/和虚拟中继节点状态;
数据处理单元1303:用于与相邻量子节点1306协商共享密钥分组,或/和,创建虚拟节点路由状态,或/和,还用于创建虚拟中继节点状态;可选地,还用于从量子密钥分发单元1305获取量子密钥;
节点虚拟化单元1304:用于虚拟节点路由状态或/和虚拟中继节点状态的存储和输出管理;其中,虚拟节点路由状态包括:目标量子中继节点与两个相邻的目标量子节点之间的共享密钥分组的异或值及其相应的标识;
虚拟中继节点状态包括:目标量子中继节点的一部分或全部虚拟节点路由状态及其相应的标识;虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式;拓扑信息包括但不限于:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态。
图14为本发明实施例提供的一种量子网络虚拟化的虚拟化服务器装置示意图,该虚拟化服务器装置包括但不限于:包括处理器1401、存储器1402、收发器1403,可选地,还包括总线1404和通信接口1405。存储器1402,用于存储程序和指令;处理器1401,用于通过调用上述存储器中存储的程序和指令,执行把所有目标量子节点的当前虚拟中继节点状态及其相应的标识创建为一个虚拟网络状态,或/和,把上述所有目标量子节点的当前虚拟中继节点状态及其相应的标识封装为虚拟网络状态切片、或/和把目标量子网络中的一部分或全部服务节点中的所有任意两个服务节点之间的虚拟链路状态封装为虚拟链路网络切片;收发器1403,用于向网络控制器发送量子网络虚拟化请求,接收目标量子节点的虚拟中继节点状态;可选地,还用于接收目标量子节点上报的相应节点的拓扑信息,还用于获取虚拟化请求,并将上述虚拟化请求对应的虚拟化指令下发至上述各个目标量子节点,以使上述各个目标量子节点根据上述虚拟化指令协商共享量子密钥并创建虚拟中继节点状态,接收虚拟中继节点状态并发送给数据处理单元。
进一步地,在一种可能的设计中,上述处理器还用于执行:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络,或/和,集中式虚拟映射网络,分布式虚拟映射网络的特征在于:每一个目标量子节点创建一个虚拟节点,集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟节点;其中,上述虚拟映射网络包括:目标量子节点之间的网络链路拓扑图;虚拟节点用于存储或输出相应的虚拟中继节点状态。
进一步地,在另一种可能的设计中,上述处理器还用于执行:验证虚拟中继节点状态的数字签名,如果不能通过验证,则相应节点需要重新发送相应的虚拟中继节点状态。
总线1404可以是外设部件互连标准(peripheral component interconnect,简称PCI)总线或扩展工业标准结构(extended industry standard architecture,简称EISA)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示,图14中仅用一条粗线表示,但并不表示仅有一根总线或一种类型的总线。
存储器1402可以包括易失性存储器(volatile memory),例如随机存取存储器(random-access memory,简称RAM);存储器也可以包括非易失性存储器(non-volatilememory),例如快闪存储器(flash memory)、硬盘(hard disk drive,简称HDD)或固态硬盘(solid-state drive,简称SSD);存储器还可以包括上述种类的存储器的组合。
通信接口1405可以为有线通信接入口、无线通信接口或其组合,其中,有线通信接口例如可以为以太网接口。以太网接口可以是光接口、电接口或其组合。无线通信接口可以为WLAN接口。
处理器1401可以是中央处理器(central processing unit,简称CPU)、网络处理器(network processor,简称NP)或者CPU和NP的组合。处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specific integrated circuit,简称ASIC),可编程逻辑器件(programmable logic device,简称PLD)或其组合。上述PLD可以是复杂可编程逻辑器件(complex programmable logic device,简称CPLD)、现场可编程逻辑门阵列(field-programmable gate array,简称FPGA)、通用阵列逻辑(genericarraylogic ,简称GAL)或其任意组合。
本领域内的技术人员应明白,本发明的实施例可提供为方法、装置(或系统)、或计算机程序产品。因此,本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、装置(或系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
尽管结合具体特征及其实施例对本发明进行了描述,显而易见的,在不脱离本发明的精神和范围的情况下,可对其进行各种修改和组合。相应地,本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明,且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然,本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样,倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内,则本发明也意图包含这些改动和变型在内。

Claims (33)

1.一种量子网络虚拟化方法,其特征在于,包括:目标量子网络中的每一个目标量子节点与相邻的每一个目标量子节点分别协商一个共享密钥分组并创建相应的分组标识,
如果一个目标量子节点是量子中继节点(以下假定与其相邻的目标量子节点数量为n个,n是大于1的整数),则,所述量子中继节点计算其与n个相邻的目标量子节点所协商的n个共享密钥分组中的所有任意两个共享密钥分组的异或值并创建相应的标识(为方便起见,以下把所述异或值记作虚拟节点路由状态数据,把所述标识记作虚拟节点路由状态标识,把所述异或值及其相应的标识记作一个虚拟节点路由状态),把所述C(n,2)个虚拟节点路由状态发送给一个或多个目标接收方(其中,C(n,2)是从n个中任意选择2个的组合数,下同),
如果一个目标量子节点是量子服务节点,则,所述量子服务节点对其与相邻的目标量子节点所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,在所述共享密钥分组的标识与相应的全局标识不一致的情况下把所述共享密钥分组的标识更新为相应的全局标识,安全存储所述共享密钥分组,
所述一个或多个目标接收方为所述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态创建网络状态标识(为方便起见,以下把所述网络状态标识记作虚拟网络状态标识,把所述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其虚拟网络状态标识记作一个虚拟网络状态),或,进一步地,把所述具有相同全局标识的全部量子中继节点的全部虚拟节点路由状态及其网络状态标识封装为一个数据文件(为方便起见,以下,把所述数据文件记作虚拟网络状态切片),
其中,所述共享密钥分组与相应的虚拟网络状态或/和虚拟网络状态切片具有相同的全局标识或一一对应关联,
所述目标量子网络包括下列选项中的任一项:量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网。
2.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,包括:量子中继节点与相邻的量子节点对二者之间所协商的共享密钥分组及其所用于创建的虚拟节点路由状态的全局标识进行确认,如果所述相邻的量子节点也是量子中继节点,则所述量子中继节点与相邻的量子中继节点分别把二者之间所协商的共享密钥分组用于创建具有相同全局标识的虚拟节点路由状态。
3.根据权利要求1或2所述的一种量子网络虚拟化方法,其特征在于,包括:所述量子中继节点在完成C(n,2)个虚拟节点路由状态后,销毁所述n个共享密钥分组,或者,在一个共享密钥分组需要参与计算的虚拟节点路由状态数据全部完成后,即销毁所述共享密钥分组。
4.根据权利要求1、2或3所述的一种量子网络虚拟化方法,其特征在于,包括:所述量子中继节点或/和所述目标接收方为所述量子中继节点的C(n,2)个虚拟节点路由状态创建节点标识(为方便起见,以下把所述节点标识和C(n,2)个虚拟节点路由状态记为一个虚拟中继节点状态,把所述节点标识记作虚拟中继节点状态标识),或,进一步地,把所述C(n,2)个虚拟节点路由状态及其相应的节点标识封装为一个数据文件,存储、或发送、或存储并发送所述数据文件或虚拟中继节点状态,
其中,所述虚拟中继节点状态标识包括:当前量子中继节点的标识、全局标识、虚拟节点路由状态数量或相邻目标量子节点的数量。
5.根据权利要求1、2、3或4所述的一种量子网络虚拟化方法,其特征在于,包括:创建目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点(为方便起见,分别记为源节点和宿节点)之间的虚拟量子链路状态,包括:选择一个虚拟量子网络状态或虚拟网络状态切片,选择源节点和宿节点之间的一个量子密钥中继链路,从所述虚拟量子网络状态或虚拟网络状态切片中把与所述量子密钥中继链路关联的所有虚拟节点路由状态中相应的虚拟节点路由数据筛选出来,计算所述全部虚拟节点路由数据的异或值,为所述异或值创建虚拟量子链路状态标识(为方便起见,把所述异或值记为虚拟量子链路状态数据,把所述虚拟量子链路状态标识及其相应的异或值记为所述源节点和宿节点之间的一个虚拟量子链路状态),或,进一步地,把目标量子网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟量子链路状态封装为一个或多个数据文件(为方便起见,把所述数据文件记为虚拟量子链路网络切片),
其中,所述虚拟量子链路状态标识包括:全局标识、源节点和宿节点的标识、所述虚拟链路状态数据的校验值,选择源节点和宿节点之间的一个量子密钥中继链路方法包括:根据虚拟量子网络路由拓扑图选择一个连接最少量子中继节点的量子密钥中继链路、随机选择一个可联通的量子密钥中继链路。
6.根据权利要求1、2、3、4或5所述的一种量子网络虚拟化方法,其特征在于,包括:目标量子网络中的每一个量子节点向网络控制器或目标接收方上报量子节点的拓扑信息,所述拓扑信息包括:量子节点的标识、量子节点与每一个相邻的量子节点之间的链路状态。
7.根据权利要求1、2、3、4、5或6所述的一种量子网络虚拟化方法,其特征在于,包括:目标量子网络中的每一个目标量子节点接收网络控制器或目标接收方下发的虚拟化指令,所述虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式。
8.根据权利要求1、2、3、4、5或6所述的一种量子网络虚拟化方法,其特征在于,包括:根据既定的系统策略确定以下内容中的任一项或任多项:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、虚拟网络状态的数据结构、虚拟量子链路状态的数据结构、目标接收方的标识、数据传输方式。
9.根据权利要求1、2、3、4、5、6、7或8所述的一种量子网络虚拟化方法,其特征在于,包括:创建目标量子网络的虚拟映射网络,包括:目标量子节点之间的网络链路拓扑图,分布式虚拟映射网络,或/和,集中式虚拟映射网络,其中,
分布式虚拟映射网络的特征在于:每一个目标量子节点创建一个虚拟量子节点,
集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟量子节点,其中,虚拟量子节点用于存储或输出相应的虚拟中继节点状态或虚拟节点路由状态。
10.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,所述协商共享密钥分组的方法包括以下方法中的任一个或两个:实时共享方法、预先缓存方法,其中,
所述实时共享方法包括:目标量子节点与相邻的目标量子节点实时协商一定量的共享密钥,把所述一定量的共享密钥作为一个共享密钥分组,或者,目标量子节点与相邻的目标量子节点采用相同的数据格式分别把共享密钥分割为一个或多个分组、采用相同的随机性测试方法对每一个分组进行随机性测试、把通过所述随机性测试的一个分组作为一个共享密钥分组,
所述预先缓存方法包括:目标量子节点与相邻的目标量子节点协商一定量的共享密钥,采用相同的数据格式分别把共享密钥分割为一个或多个分组,采用相同的随机性测试方法对每一个分组进行随机性测试,缓存通过所述随机性测试的每一个分组并分别创建分组标识,与相邻的目标量子节点协商从缓存的分组中分别选择一个具有一致或相同分组编号的分组作为一个共享密钥分组,
其中,所述协商一定量的共享密钥包括以下方法中的任一项:依次与多个相邻目标量子节点协商共享密钥、同时与多个相邻目标量子节点协商共享密钥、根据虚拟化指令与相应的相邻目标量子节点协商共享密钥,其中,协商共享密钥包括占用密钥协商通道的全部带宽或仅占用整个密钥协商通道的部分带宽。
11.根据权利要求1或10所述的一种量子网络虚拟化方法,其特征在于,所述分组标识包括:分组编号、当前量子节点与相邻的目标量子节点的链路标识(或,当前量子节点的标识、相邻的目标量子节点的标识),其中,所述分组编号采用局部编号或全局编号,在采用局部编号的情况下,当某个共享密钥分组被用于创建虚拟节点路由状态后,把相应的局部编号改变为相应的虚拟节点路由状态的全局编号。
12.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,所述虚拟节点路由状态标识包括:全局标识、连接当前量子节点与当前量子节点的上一个相邻的目标量子节点及下一个相邻的目标量子节点的路由标识(或,当前量子节点的标识、第一相邻的目标量子节点的标识、第二相邻的目标量子节点的标识)。
13.根据权利要求4(或5)所述的一种量子网络虚拟化方法,其特征在于,所述标识的内容还包括以下内容中的任一项或任多项:
目标量子网络的标识,用于区别不同的目标量子网络,
局部标识,用于区别具有相同全局标识的多个虚拟节点路由状态(或虚拟量子链路状态),
校验信息,所述校验信息用于校验虚拟中继节点状态(或虚拟量子链路状态)的完整性,包括相应数据的数据摘要、或Hash值、或MAC码,
数字签名,采用数字签名算法对虚拟中继节点状态(或虚拟量子链路状态)进行数字签名,
时间戳,所述时间戳用于记录虚拟中继节点状态(或虚拟量子链路状态)的创建时间,
当前虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)、上一个虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)、或者当前以及上一个虚拟中继节点状态(或虚拟量子链路状态)的数据摘要(或Hash值)。
14.根据权利要求13所述的一种量子网络虚拟化方法,其特征在于,所述用于虚拟节点路由状态的数字签名的私钥不能被非法访问或导出。
15.根据权利要求1或4所述的一种量子网络虚拟化方法,其特征在于,所述发送包括以下选项中的任一项或多项:实时输出、被动响应输出,其中,
实时输出包括:把虚拟节点路由状态或虚拟中继节点状态实时输出本地存储器或网络存储空间、或/和第三方服务器、或/和所关联的服务节点,
被动响应输出包括:根据虚拟化指令,把具有特定编号的虚拟节点路由状态或虚拟中继节点状态输出到第三方服务器、或/和所关联的服务节点。
16.根据权利要求1、4或15所述的一种量子网络虚拟化方法,其特征在于,所述发送包括:加密传输,所述加密传输包括以下选项中的任一项或多项:采用对称密码算法加密传输、采用非对称密码算法加密传输、采用VPN的隧道模式或传输模式的加密传输。
17.根据权利要求4或9所述的一种量子网络虚拟化方法,其特征在于,所述存储包括以下选项中的任一项或多项:本地存储、云端存储、服务器端存储,其中,
本地存储方法包括:把虚拟中继节点状态存储在本地存储器或网络存储空间,
云端存储方法包括:把虚拟中继节点状态存储在云端存储空间上,
服务器端存储包括:把虚拟中继节点状态发给一个或多个第三方服务器进行存储。
18.根据权利要求1或5所述的一种量子网络虚拟化方法,其特征在于,包括:提供密钥服务,包括如下步骤:
步骤一:所述目标接收方或第三方服务器为目标量子网络中的m个量子服务节点选择一个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把所述虚拟量子链路网络状态或切片分别发送给所述m个量子服务节点,
步骤二:m个量子服务节点协商采用某个量子服务节点A的关联共享密钥分组作为群组共享密钥,其它任意一个量子服务节点B基于所述虚拟量子链路网络状态或切片计算相应的虚拟链路状态数据与量子服务节点B的相应的关联共享密钥分组的异或值,并得到量子服务节点A的关联共享密钥分组,m个量子服务节点分别把所述关联共享密钥分组注入所关联的加密装置,
其中,所述第三方服务器包括量子密钥服务装置、或/和虚拟量子链路服务装置、或/和虚拟量子链路网络状态或切片服务装置。
19.根据权利要求1或5所述的一种量子网络虚拟化方法,其特征在于,包括:虚拟量子链路网络状态或切片的应用方法,适用的场景包括:多个节点分别独立采集或计算数据,一个节点采集或计算出一个数据后,即加密所述数据并公开相应的密文,其它节点可以实时解密所述密文并获得所述数据,具体包括如下步骤:
所述目标接收方或第三方服务器为目标量子网络中的m个量子服务节点选择一个或多个虚拟量子链路网络状态或切片(其中,m是大于1的整数),把所述虚拟量子链路网络状态或切片分别发送给所述m个量子服务节点,
一个量子服务节点(记为源节点)选择一个虚拟量子链路网络状态或切片并采用与该虚拟量子链路网络状态或切片关联的共享密钥分组加密源节点的目标数据并得到密文,为所述密文创建密文标识并公开所述密文及其密文标识,
其它一个或多个量子服务节点分别基于所述虚拟量子链路网络状态或切片计算相应的虚拟量子链路状态数据与相应量子服务节点的相应关联共享密钥分组的异或值,并得到源节点的关联共享密钥分组,利用所述关联共享密钥分组解密密文并得到源节点发送的目标数据,其中,
所述密文标识包括:虚拟量子链路网络状态或切片的标识,源节点的标识、加密方式,其中,加密方式包括异或加密或采用对称密码算法加密,
所述第三方服务器包括量子密钥服务装置、或/和虚拟量子链路服务装置、或/和虚拟量子链路网络状态或切片服务装置,
所述目标数据包括以下数据中的任一种或任多种:消息分组、随机密钥数据、传感数据、音视频监控数据、计算数据、数据文件。
20.根据权利要求1或5所述的一种量子网络虚拟化方法,其特征在于,包括:所述提供虚拟链路服务,包括:把与两个服务节点关联的一个或多个虚拟链路状态发送给所述两个服务节点、或/和所述两个服务节点所服务的应用装置,其中,应用装置包括:密码应用装置、服务节点的代理装置、虚拟链路服务代理装置。
21.根据权利要求1、5或20所述的一种量子网络虚拟化方法,其特征在于,其特征在于,包括:提供协商共享密钥服务,即,所述目标接收方把一个虚拟链路状态分别发送给所关联的两个量子服务节点,两个量子服务节点协商采用其中一个量子服务节点的关联共享密钥分组作为共享密钥,相应地,另一个量子服务节点计算其所保存的相应的关联共享密钥分组与所述虚拟链路状态数据的异或值并得到所述共享密钥,或者,进一步地,一个量子服务节点计算一个数据分组与所述共享密钥的异或值并发送给另一个量子服务节点,另一个量子服务节点计算所述异或值与所述共享密钥的异或值并得到所述数据分组,其中,数据分组包括随机数分组或消息分组。
22.根据权利要求1、4、6、7、8、18、19或21所述的一种量子网络虚拟化方法,其特征在于,所述目标接收方包括以下选项中的任一项或任多项:目标量子网络的中心服务器、目标量子网络的区域中心服务器、目标量子网络控制器、目标量子网络虚拟化服务器装置、服务节点装置、云存储服务装置、区块链的记账节点装置。
23.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,包括:所述虚拟中继节点状态按时间顺序形成虚拟中继节点状态区块链,其中,形成虚拟中继节点状态区块链的方法包括:为虚拟中继节点状态创建区块头,把虚拟中继节点状态作为区块体,区块头包括区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联,或/和,所述虚拟网络状态按时间顺序形成虚拟网络状态区块链,其中,形成虚拟网络状态区块链的方法包括:为虚拟网络状态创建区块头,把虚拟网络状态作为区块体,区块头包括区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
24.根据权利要求5所述的一种量子网络虚拟化方法,其特征在于,所述虚拟链路状态按时间顺序形成虚拟链路状态区块链,其中,形成虚拟链路状态区块链包括:为虚拟链路状态创建区块头,把虚拟链路状态作为区块体,区块头包括区块编号、时间戳、区块的Hash值,其中,区块编号与全局标识相同或存在一一对应关联。
25.根据权利要求1(或5)所述的一种量子网络虚拟化方法,其特征在于,包括:根据虚拟网络状态/切片(或/和虚拟链路网络状态/切片)的产生时间或/和使用频次标注虚拟网络状态/切片(或/和虚拟链路网络状态/切片)的新鲜度,其中,新鲜度的大小与产生时间早晚、使用频次大小反相关。
26.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,包括:把两个不同目标网络的虚拟网络状态或虚拟网络状态切片封装为一个跨域互通虚拟网络状态或虚拟网络状态切片的方法,包括:如果存在同时接入两个不同目标网络的服务节点,则,选择一个所述服务节点把其相应的两个关联共享密钥分组的异或值及其标识作为跨域互通虚拟网络状态或虚拟网络状态切片的一个虚拟节点路由状态,连同所述两个不同目标网络的虚拟网络状态或虚拟网络状态切片形成一个跨域互通虚拟网络状态或虚拟网络状态切片,
如果不存在同时接入两个不同目标网络的服务节点,则,可信第三方分别为所述两个目标网络的一个服务节点分发一个共享密钥分组(为方便起见,分别记为Ka和Kb),则,其中一个服务节点把其相应的关联共享密钥分组与Ka的异或值及其标识作为一个虚拟节点路由状态,另一个服务节点把其相应的关联共享密钥分组与Kb的异或值及其标识作为一个虚拟节点路由状态,如果Ka与Kb不相同,则,可信第三方把Ka与Kb的异或值及其标识作为一个虚拟节点路由状态,把上述虚拟节点路由状态连同所述两个不同目标网络的虚拟网络状态或虚拟网络状态切片形成一个跨域互通虚拟网络状态或虚拟网络状态切片。
27.根据权利要求1所述的一种量子网络虚拟化方法,其特征在于,包括:设置创建虚拟网络状态或切片的条件,包括:目标接收方已经接收到创建任意两个服务节点之间的虚拟量子链路状态所需要的虚拟节点路由状态、或已经达到创建当前虚拟网络状态或切片的限定时间。
28.根据权利要求9所述的一种量子网络虚拟化方法,其特征在于,提供虚拟中继节点状态服务,包括:选择两个服务节点(分别记为源节点和宿节点)之间的一个密钥中继链路,所述密钥中继链路上的每一个虚拟节点把具有相同全局标识的虚拟路由数据发送给一个服务节点或第三方服务器,服务节点或第三方服务器把所述具有相同全局标识的每一个目标节点的虚拟路由状态数据进行异或运算。
29.一种量子网络虚拟化装置,其特征在于,包括:执行权利要求1~9中任一个方法的量子节点装置、虚拟化服务器装置,其中,所述装置包括软件模块、或硬件模块、或软件与硬件的集成模块。
30.根据权利要求29所述的一种量子网络虚拟化装置,其特征在于,所述量子节点装置包括:
收发器,用于向虚拟化服务器装置或网络控制器上报所述量子节点的拓扑信息,用于接收所述虚拟化服务器装置或网络控制器下发的虚拟化指令,
数据处理单元,用于与相邻的目标量子节点协商共享密钥分组,或/和,创建虚拟节点路由状态,或/和,还用于创建虚拟中继节点状态,
节点虚拟化单元,用于虚拟节点路由状态或/和虚拟中继节点状态的存储和输出管理,
其中,虚拟节点路由状态包括:目标量子中继节点与两个相邻的目标量子节点之间的共享密钥分组的异或值及其相应的标识,
虚拟中继节点状态包括:目标量子中继节点的一部分或全部虚拟节点路由状态及其相应的标识,
虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式,
拓扑信息包括:节点的标识、节点与每一个相邻的目标量子节点之间的链路状态。
31.根据权利要求29或30所述的一种量子网络虚拟化装置,其特征在于,所述虚拟化服务器装置包括:
存储器,用于存储程序和指令,
数据处理单元,用于通过调用所述存储器中存储的程序和指令,执行:把所有目标量子节点的当前虚拟中继节点状态及其相应的标识封装为一个虚拟网络状态或切片、或/和把目标网络中的一部分或全部量子服务节点中的所有任意两个量子服务节点之间的虚拟链路状态封装为虚拟链路网络切片,
收发器,用于向网络控制器发送量子网络虚拟化请求,接收目标量子节点的虚拟中继节点状态,可选地,还用于接收目标量子节点上报的相应节点的拓扑信息,还用于获取虚拟化请求,并将所述虚拟化请求对应的虚拟化指令下发至所述各个目标量子节点,以使所述各个目标量子节点根据所述虚拟化指令协商共享量子密钥并创建虚拟中继节点状态,接收虚拟中继节点状态并发送给数据处理单元,
其中,拓扑信息包括:节点的标识、节点与每一个相邻的目标节点之间的链路状态,
虚拟化指令用于指示以下内容中的任一种或任多种:全局标识、共享密钥分组的数据格式、虚拟节点路由状态的数据结构、虚拟中继节点状态的数据结构、目标接收方的标识、数据传输方式。
32.根据权利要求31所述的一种量子网络虚拟化装置,其特征在于,所述处理器还用于执行:创建目标量子网络的虚拟映射网络,包括:分布式虚拟映射网络,或/和,集中式虚拟映射网络,其中,分布式虚拟映射网络的特征在于:每一个目标量子节点创建一个虚拟节点,集中式虚拟映射网络的特征在于:集中式服务器为每一个目标量子节点创建一个虚拟节点,其中,所述虚拟映射网络包括:目标量子节点之间的网络链路拓扑图,虚拟节点用于存储或输出相应的虚拟中继节点状态。
33.根据权利要求31或32所述的一种量子网络虚拟化装置,其特征在于,所述处理器还用于执行:验证虚拟中继节点状态的数字签名。
CN201910820376.XA 2019-09-01 2019-09-01 一种量子网络虚拟化方法与装置 Active CN112367163B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201910820376.XA CN112367163B (zh) 2019-09-01 2019-09-01 一种量子网络虚拟化方法与装置

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201910820376.XA CN112367163B (zh) 2019-09-01 2019-09-01 一种量子网络虚拟化方法与装置

Publications (2)

Publication Number Publication Date
CN112367163A true CN112367163A (zh) 2021-02-12
CN112367163B CN112367163B (zh) 2023-09-26

Family

ID=74516505

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201910820376.XA Active CN112367163B (zh) 2019-09-01 2019-09-01 一种量子网络虚拟化方法与装置

Country Status (1)

Country Link
CN (1) CN112367163B (zh)

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113328853A (zh) * 2021-05-25 2021-08-31 成都量安区块链科技有限公司 一种采用量子密钥提升安全性的联盟链系统
CN113676315A (zh) * 2021-07-04 2021-11-19 河南国科量子通信技术应用研究院 一种星地一体量子网络的切片化应用方法
CN114024824A (zh) * 2021-10-27 2022-02-08 中国人民解放军战略支援部队信息工程大学 量子网络管理系统
CN114900293A (zh) * 2022-05-06 2022-08-12 浙江九州量子信息技术股份有限公司 一种基于调度中心的量子密钥全局中继方法及系统
CN116527259A (zh) * 2023-07-03 2023-08-01 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160226846A1 (en) * 2015-01-22 2016-08-04 Alibaba Group Holding Limited Method, apparatus, and system for quantum key distribution
US20160248581A1 (en) * 2015-01-08 2016-08-25 Alibaba Group Holding Limited Quantum key distribution system, method and apparatus based on trusted relay
CN108023725A (zh) * 2016-11-04 2018-05-11 华为技术有限公司 一种基于集中管理与控制网络的量子密钥中继方法和装置
CN108270557A (zh) * 2016-12-30 2018-07-10 科大国盾量子技术股份有限公司 一种基于量子通信的骨干网系统及其中继方法
CN109995511A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种基于量子密钥分发网络的移动保密通信方法
CN109995514A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种安全高效的量子密钥移动服务方法
CN109995510A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种量子密钥中继服务方法
CN109995513A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种低延迟的量子密钥移动服务方法
CN109995515A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种量子密钥中继方法

Patent Citations (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160248581A1 (en) * 2015-01-08 2016-08-25 Alibaba Group Holding Limited Quantum key distribution system, method and apparatus based on trusted relay
US20160226846A1 (en) * 2015-01-22 2016-08-04 Alibaba Group Holding Limited Method, apparatus, and system for quantum key distribution
CN108023725A (zh) * 2016-11-04 2018-05-11 华为技术有限公司 一种基于集中管理与控制网络的量子密钥中继方法和装置
CN108270557A (zh) * 2016-12-30 2018-07-10 科大国盾量子技术股份有限公司 一种基于量子通信的骨干网系统及其中继方法
CN109995511A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种基于量子密钥分发网络的移动保密通信方法
CN109995514A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种安全高效的量子密钥移动服务方法
CN109995510A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种量子密钥中继服务方法
CN109995513A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种低延迟的量子密钥移动服务方法
CN109995515A (zh) * 2017-12-29 2019-07-09 成都零光量子科技有限公司 一种量子密钥中继方法

Non-Patent Citations (6)

* Cited by examiner, † Cited by third party
Title
ALEJANDRO AGUADO ET AL.: ""Virtual network function deployment and service automation to provide end-to-end quantum encryption"", 《JOURNAL OF OPTICAL COMMUNICATIONS AND NETWORKING》 *
ALEJANDRO AGUADO ET AL.: ""Virtual network function deployment and service automation to provide end-to-end quantum encryption"", 《JOURNAL OF OPTICAL COMMUNICATIONS AND NETWORKING》, vol. 10, no. 4, 12 April 2018 (2018-04-12), XP011680733, DOI: 10.1364/JOCN.10.000421 *
伍典策: ""基于量子中继器的量子信息网络体系结构及路由技术研究"", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》 *
伍典策: ""基于量子中继器的量子信息网络体系结构及路由技术研究"", 《中国优秀博硕士学位论文全文数据库(硕士)信息科技辑》, 15 January 2015 (2015-01-15) *
陈晖 等: ""量子密钥服务及移动应用技术"", 《中国电子科学研究院学报》 *
陈晖 等: ""量子密钥服务及移动应用技术"", 《中国电子科学研究院学报》, vol. 13, no. 4, 20 August 2018 (2018-08-20) *

Cited By (9)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN113328853A (zh) * 2021-05-25 2021-08-31 成都量安区块链科技有限公司 一种采用量子密钥提升安全性的联盟链系统
CN113328853B (zh) * 2021-05-25 2023-09-08 成都量安区块链科技有限公司 一种采用量子密钥提升安全性的联盟链系统
CN113676315A (zh) * 2021-07-04 2021-11-19 河南国科量子通信技术应用研究院 一种星地一体量子网络的切片化应用方法
CN113676315B (zh) * 2021-07-04 2024-04-30 河南国科量子通信技术应用研究院 一种星地一体量子网络的切片化应用方法
CN114024824A (zh) * 2021-10-27 2022-02-08 中国人民解放军战略支援部队信息工程大学 量子网络管理系统
CN114024824B (zh) * 2021-10-27 2023-11-17 中国人民解放军战略支援部队信息工程大学 量子网络管理系统
CN114900293A (zh) * 2022-05-06 2022-08-12 浙江九州量子信息技术股份有限公司 一种基于调度中心的量子密钥全局中继方法及系统
CN116527259A (zh) * 2023-07-03 2023-08-01 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统
CN116527259B (zh) * 2023-07-03 2023-09-19 中电信量子科技有限公司 基于量子密钥分发网络的跨域身份认证方法及系统

Also Published As

Publication number Publication date
CN112367163B (zh) 2023-09-26

Similar Documents

Publication Publication Date Title
CN110690961B (zh) 一种量子网络功能虚拟化方法与装置
CN110690928B (zh) 一种量子中继链路虚拟化方法与装置
CN110677241B (zh) 一种量子网络虚拟化架构方法与装置
CN110661620B (zh) 一种基于虚拟量子链路的共享密钥协商方法
CN112367163B (zh) 一种量子网络虚拟化方法与装置
CN107567704B (zh) 使用带内元数据的网络路径通过验证
CN110690962B (zh) 一种服务节点的应用方法与装置
CN110581763B (zh) 一种量子密钥服务区块链网络系统
US11336627B2 (en) Packet inspection and forensics in an encrypted network
CN110690964B (zh) 一种量子服务区块链的创建方法与应用系统
CN110690960B (zh) 一种中继节点的路由服务方法与装置
CN107078898A (zh) 一种在多路径网络上建立安全私人互连的方法
CN106506354B (zh) 一种报文传输方法和装置
CN111385259A (zh) 一种数据传输方法、装置、相关设备及存储介质
WO2018214701A1 (zh) 一种数据报文发送方法、网络设备、控制设备及网络系统
CN110557253A (zh) 一种中继路由采集方法、装置及应用系统
CN112367160A (zh) 一种虚拟量子链路服务方法与装置
CN114142995B (zh) 面向区块链中继通信网络的密钥安全分发方法及装置
CN112367124B (zh) 一种量子中继节点虚拟化方法与装置
CN116016529A (zh) IPSec VPN设备负载均衡管理方法和装置
CN112367161A (zh) 一种中继节点功能虚拟化方法与装置
Döring et al. Post-Quantum Cryptography key exchange to extend a high-security QKD platform into the mobile 5G/6G networks
US11805110B2 (en) Method for transmitting data packets
CN112367162A (zh) 一种量子中继节点的应用方法与装置
CN119602946A (zh) 一种后量子密码与国密算法混合加密、解密方法和设备

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant