部署于城域网和接入网中的QKD网络及其密钥分发方法技术

本发明专利技术公开了一种部署于城域网和接入网中的QKD网络及其密钥分发方法，所述方法包括：控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；所述控制器将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，通过所述可信中继节点完成所述原、宿节点之间的密钥分发。应用本发明专利技术可以较低成本在城域网和接入网中部署QKD网络并实现密钥分发。

【技术实现步骤摘要】
部署于城域网和接入网中的QKD网络及其密钥分发方法
本专利技术涉及通信网络
，特别是指一种部署于城域网和接入网中的QKD网络及其密钥分发方法。
技术介绍
QKD(QuantumKeyDistribution，量子密钥分发)借助量子物理性质可以产生安全密钥。为了实现任意两点安全通信，QKD技术由点对点传输发展成为QKD网络，为数据提供安全通信的传输环境。QKD网络包括QKD节点和QKD链路。QKD节点位于具有高安全需求的用户端节点处，包含QKD发射机、QKD接收机、密钥管理服务器等组件。QKD链路包含承载量子光信号和同步光信号的量子信道以及承载基矢比对、误码校验等协商信息的协商信道。QKD网络中任意一对QKD节点间均可以利用QKD链路连通QKD发送端与QKD接收端进行QKD，产生理论上“无条件安全”的量子密钥，并将量子密钥存储在密钥池中。为了节约使用光纤资源，光时分复用技术(OpticalTimeDivisionMultiplexing，OTDM)技术被应用于QKD网络中。在资源有限的环境下，利用OTDM技术将用于构建量子密钥通道的波长资源划分为许多时隙，通过对这些时隙的分配来构建量子密钥通道，完成量子密钥的传输，进而实现全网资源的实时高效利用。近年来，QKD网络在城域网和接入网中已部署设备进行试验研究。一般地，在城域网和接入网中放置QKD收发设备可以实现任意节点间的密钥分发。例如，现有的一种部署方式如图1所示，城域网中的每个节点部署的QKD设备包括：QKD收发机、密钥池、密钥管理服务器；一个城域网可以连接多个接入网，每个接入网中至少有一个节点部署有QKD接收机，同一接入网中其它部署了QKD发射机的节点，通过与该接入网中部署有QKD接收机的节点进行密钥协商以实现密钥分发。然而，站在搭建大规模QKD网络搭建角度来看，这样的QKD设备放置方法必须得到优化。一方面，QKD接收设备费用较高，与QKD发射设备在网络节点处的统一放置将产生较高成本。另一方面，城域网和接入网中的安全通信需求分布不均匀。因此，如何在满足安全通信需求的情况下较低成本地部署QKD设备并进行密钥分发变得十分关键。
技术实现思路
有鉴于此，本专利技术的目的在于提出一种部署于城域网和接入网中的QKD网络及其密钥分发方法，可以较低成本在城域网和接入网中部署QKD网络并实现密钥分发。基于上述目的，本专利技术提供一种部署于城域网和接入网中的QKD网络的密钥分发方法，包括：控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；所述控制器将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，通过所述可信中继节点完成所述原、宿节点之间的密钥分发。较佳地，所述控制器查找出的QKD接收机为空闲的节点为多个，以及所述将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，具体包括：所述控制器在确定所述原、宿节点在同一接入网后，以与该接入网的分光器直接相连的城域网节点作为起始节点；所述控制器对于查找出的每个QKD接收机为空闲的节点，以该节点作为终止节点，计算所述起始节点与终止节点之间的路径，并确认该路径是否具备空闲的信道时隙资源；所述控制器从具备空闲的信道时隙资源的路径中，选择节点跳数最少的路径；并将选择的路径的终止节点作为所述原、宿节点之间的可信中继节点。或者，所述控制器查找出的QKD接收机为空闲的节点为多个，以及所述将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，具体包括：所述控制器在确定所述原、宿节点分别位于两个接入网后，以与所述原节点所在接入网的分光器直接相连的城域网节点作为起始节点，以与所述宿节点所在接入网的分光器直接相连的城域网节点作为终止节点；所述控制器对于查找出的每个QKD接收机为空闲的节点，以该节点作为中间节点，计算出所述起始节点与终止节点之间、并经过该中间节点的路径后，确认该路径是否具备空闲的信道时隙资源；所述控制器从具备空闲的信道时隙资源的路径中，选择节点跳数最少的路径；并将选择的路径中QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点。其中，所述通过所述可信中继节点完成所述原、宿节点之间的密钥分发，具体为：所述控制器通过所述可信中继节点的密钥服务器，以及所述原、宿节点所在接入网的密钥服务器，实现以可信中继方式完成所述原、宿节点间的密钥分发。本专利技术还提供一种控制器，包括：空闲接收机查找模块，用于在所述控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；中继节点确定模块，用于将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点；密钥分发控制模块，用于通过所述可信中继节点的密钥服务器，以及所述原、宿节点所在接入网的密钥服务器，实现以可信中继方式完成所述原、宿节点间的密钥分发。本专利技术还提供一种部署于城域网和接入网中的QKD网络，包括：如上所述的控制器、部署于城域网各个节点处的QKD设备，部署于接入网各个节点处的QKD发射机和密钥池、以及部署于每个接入网中的分光器、光开关和密钥服务器；其中，所述城域网中每个节点处部署的QKD设备包括：QKD接收机、QKD发射机、密钥池、密钥服务器；同一接入网中的各节点通过光纤均连接至该接入网的分光器和光开关，该接入网的光开关与该接入网的密钥服务器之间通过电信号交换信息，实现该接入网的密钥服务器对该接入网的光开关与各节点的QKD发射机的控制。本专利技术的技术方案中，控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；所述控制器将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，通过所述可信中继节点完成所述原、宿节点之间的密钥分发。这样，通过共享城域网的QKD接收机实现与接入网的QKD发射机之间进行密钥分发，从而可以节省接入网的QKD接收机，实现网络部署成本的降低；通过基于设备共享的密钥分发方法设计，可以实现高效率密钥生成，提高网络信道资源利用率。而且，利用城域网中空闲的QKD接收机作为当前有密钥分发需求的接入网的共享QKD接收机，可以解决城域网和接入网中的安全通信需求分布不均匀的问题。附图说明为了更清楚地说明本专利技术实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本专利技术的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。图1为现有技术的一种部署于城域网和接入网中的QKD网络的架构示意图；图2为本专利技术实施例提供的一种部署于城域网和接入网中的QKD网络的架构示意图；图3为本专利技术实施例提供的一种部署于城域网和接本文档来自技高网...

【技术保护点】
1.一种部署于城域网和接入网中的QKD网络的密钥分发方法，其特征在于，包括：/n控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；/n所述控制器将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，通过所述可信中继节点完成所述原、宿节点之间的密钥分发。/n

【技术特征摘要】
1.一种部署于城域网和接入网中的QKD网络的密钥分发方法，其特征在于，包括：
控制器接收到发至接入网的密钥请求后，确定出所述密钥请求中的原、宿节点，并查找出城域网中QKD接收机为空闲的节点；
所述控制器将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，通过所述可信中继节点完成所述原、宿节点之间的密钥分发。


2.根据权利要求1所述的方法，其特征在于，所述控制器查找出的QKD接收机为空闲的节点为多个，以及
所述将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，具体包括：
所述控制器在确定所述原、宿节点在同一接入网后，以与该接入网的分光器直接相连的城域网节点作为起始节点；
所述控制器对于查找出的每个QKD接收机为空闲的节点，以该节点作为终止节点，计算所述起始节点与终止节点之间的路径，并确认该路径是否具备空闲的信道时隙资源；
所述控制器从具备空闲的信道时隙资源的路径中，选择节点跳数最少的路径；并将选择的路径的终止节点作为所述原、宿节点之间的可信中继节点。


3.根据权利要求1所述的方法，其特征在于，所述控制器查找出的QKD接收机为空闲的节点为多个，以及
所述将查找出的QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点，具体包括：
所述控制器在确定所述原、宿节点分别位于两个接入网后，以与所述原节点所在接入网的分光器直接相连的城域网节点作为起始节点，以与所述宿节点所在接入网的分光器直接相连的城域网节点作为终止节点；
所述控制器对于查找出的每个QKD接收机为空闲的节点，以该节点作为中间节点，计算出所述起始节点与终止节点之间、并经过该中间节点的路径后，确认该路径是否具备空闲的信道时隙资源；
所述控制器从具备空闲的信道时隙资源的路径中，选择节点跳数最少的路径；并将选择的路径中QKD接收机为空闲的节点作为所述原、宿节点之间的可信中继节点。


4.根据权利要求2或3所述的方法，其特征在于，所述通过所述可信中继节点完成所述原、宿节点之间的密钥分发，具体为：
所述控制器通过所述可信中继节点的密钥服务器，以及所述原、宿节点所在接入网的密钥服务器，实现以可信中继方式完成所述原、宿节点间的密钥分发。


5.根据权利要求4所述的方法，其特征在于，所述控制器通过所述可信中继节点的密钥服务器，以及所述原、宿节点所在接入网的密钥服务器，实现以可信中继方式完成所述原、宿节点间的密钥分发，具体包括：
所述控制器通过所述可信中继节点的密钥服务器、以及所述原节点所在接入网的密钥服务器，控制所述可信中继节点的QKD接收机与所述原节点的QKD发射机根据协议进行QKD，并将产生的密钥分别存储于所述可信中继节点和原节点的密钥池中；
所述控制器通过所述可信中继节点的密钥服务器、以及所述宿节点所在接入网的密钥服务器，控制所述可信中继节点的QKD接收机与所述宿节点的QKD发射机根据协议进行QKD，并将产生的密钥分别存储于所述可信中继节点和宿节点的密钥池中；
所述可信中继节点将与所述原节点进行QKD产生的密钥，使用与所述宿节点进行QKD产生的密钥进行加密后发送给所述宿节点；
所述宿节点接收到所述可信中继节点发送的信息后，利用与所述可信中继节点进行QKD产生的密钥对接收的信息进行解密获得密钥，完成所述原、宿节点间的...

【专利技术属性】
技术研发人员：赵永利，王华，郁小松，张杰，
申请(专利权)人：北京邮电大学，
类型：发明
国别省市：北京;11