[发明专利]一种虚拟密钥池及量子密钥资源的虚拟化方法

说明书

技术领域

本发明涉及通信安全技术领域，更具体地，涉及一种虚拟密钥池及量子密钥资源的虚拟化方法。

背景技术

近年来，量子通信技术取得了飞速的发展，在量子通信实用化的过程中，应用于高度保密通信的量子密钥分发(Quantum Key Distribution，简称为QKD)技术引起了高度关注并取得了很大的进展，量子密钥分发网络作为一种安全通信网络成为一个新的研究方向。

现阶段的量子密钥分发网络中，如图1所示，两个通过量子密钥分发链路相互连接的量子密钥分发终端之间可以生成量子密钥，该量子密钥分发链路包括经典信道和量子信道；现阶段点对点QKD的量子密钥生成速率和可用传输距离等方面性能有限，考虑将每对量子密钥分发终端之间生成的量子密钥进行存储，存储量子密钥资源的存储空间可称之为量子密钥池(Quantum Key Pool，简称为QKP)。量子密钥分发终端通常部署在网络节点处，当网络节点处传输的数据需要量子密钥加密时，将对应的量子密钥池中存储的量子密钥分配给该网络节点处传输的数据。

目前，由于是采用的QKD与网络节点均是点对点的关系，两个网络节点之间传输的数据的加密所需的量子密钥，只能通过在该两个网络节点处部署的两个量子密钥分发终端之间生成的量子密钥提供，难以适配普通网络中数据传输的多样化、复杂化的需求，造成了量子密钥资源的利用率很低；同时，量子密钥分发网络只能许可给特定的用户使用，也限制了量子密钥资源的开放性和共享性。

发明内容

为了克服上述问题或者至少部分地解决上述问题，本发明提供一种虚拟密钥池及量子密钥资源的虚拟化方法。

根据本发明的一个方面，提供一种虚拟密钥池，该虚拟密钥池包括至少一个虚拟密钥空间，虚拟密钥空间中包含虚拟量子密钥资源，虚拟密钥空间中的虚拟量子密钥资源与量子密钥池中的量子密钥资源具有映射关系；其中，量子密钥池是存储对应的量子密钥分发终端之间生成的量子密钥资源的存储空间。

其中，虚拟密钥空间与量子密钥池一一对应。

其中，在通过虚拟密钥池对虚拟密钥空间中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。

本发明的另一方面，提供一种量子密钥资源的虚拟化方法，该方法包括：根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池。

其中，将量子密钥池中的量子密钥资源进行划分具体为：根据用户需求的安全节点获取用于给安全节点分配量子密钥资源的量子密钥池；根据安全节点对量子密钥资源的需求量划分量子密钥池中的量子密钥资源。

其中，将量子密钥池中的量子密钥资源进行虚拟化的步骤包括：将量子密钥池中划分的量子密钥资源进行虚拟化，形成虚拟密钥池的虚拟密钥空间中的虚拟量子密钥资源。

其中，将量子密钥池中的量子密钥资源进行虚拟化的步骤还包括：维持虚拟密钥空间中的虚拟量子密钥资源到量子密钥池中划分的量子密钥资源的映射关系，该映射关系用于在对虚拟密钥空间中的虚拟量子密钥资源进行操作时，通过映射关系对对应的量子密钥池中划分的量子密钥资源进行操作。

其中，该方法还包括：基于映射关系配置虚拟密钥空间的信息。

其中，虚拟密钥空间的信息包括：量子密钥资源信息、用户业务需求信息和底层量子网络信息。

本发明的又一方面，提供一种基于虚拟密钥池的量子密钥分发网络架构，该架构包括：量子密钥分发层、物理密钥层和虚拟密钥层；量子密钥分发层包括在网络节点处的量子密钥分发终端和连接量子密钥分发终端的量子密钥分发链路；物理密钥层包括存储于量子密钥分发终端之间形成的量子密钥池中的量子密钥资源；虚拟密钥层包括若干如上所述虚拟密钥池。

本发明提供的一种虚拟密钥池及量子密钥资源的虚拟化方法，通过根据用户的需求将量子密钥池中的量子密钥资源进行划分，并虚拟化，获得与用户对应的虚拟密钥池，并且在对虚拟密钥池中的虚拟量子密钥资源进行操作时，根据映射关系对对应的量子密钥池中的量子密钥资源进行操作。一方面，不同的用户可以通过对应的虚拟密钥池利用量子密钥资源，从而使量子密钥资源得到了较大程度的共享；另一方面，更多的用户能够利用量子密钥资源，尽可能地避免了部分量子密钥资源长期不能被利用，从而提高了量子密钥资源的利用率。

附图说明