[发明专利]基于SDN的QKD网络及其密钥的调度管理方法

说明书

本发明公开了一种基于SDN的QKD网络及其密钥的调度管理方法，所述方法包括：设置于量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时，向控制层中的控制器发送密钥补充请求；所述控制器接收到所述密钥补充请求后，将所述QKD节点作为密钥待补充节点，从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点，通知所述被调度节点调度密钥至所述密钥待补充节点，并在本地总密钥池中，将与所述被调度节点对应的子密钥池中的密钥调整到与所述密钥待补充节点对应的子密钥池中。应用本发明一方面可以保证加密业务需求量大的QKD节点预留足够的密钥，避免加密信息的发送延迟；另一方面还可以提高已产生的密钥的利用率。

技术领域

本发明涉及网络传输领域，特别是指一种基于SDN的QKD网络及其密钥的调度管理方法。

背景技术

量子密钥分发(Quantum Key Distribution，QKD)技术是利用量子力学特性来保证通信安全性。它使通信的双方能够产生并分享一个随机的、安全的密钥，来加密和解密消息，不依赖于对计算复杂度的要求和假设，具有理论上无条件安全的优势。量子不可克隆定理可以保证，无法完美克隆任意量子态。任何对量子密钥分发过程的窃听，都有可能改变量子态本身，造成高误码率，从而使窃听被发现。从最初的基于离散变量单光子诱骗态调制的BB84量子密钥分发协议，到相位分布式参考协议中的DPS协议和COW协议，再到连续变量QKD协议等，QKD技术不断地在理论和实验上取得进展，并向实用化迈进。

软件定义网络(Software Defined Network，SDN)具有非常强大的管理和控制功能，能够更好地掌控网络中的密钥资源的信息，以可编程的方式来实现灵活复杂的网络管理功能，SDN和QKD网络结合起来，具有能够更好地实现密钥资源与业务需求的相匹配，更好的处理链路故障等优势。

基于SDN的QKD网络(即软件定义量子密钥分发网络)架构分为四层模型：应用层，控制层，密钥层和量子层。(1)应用层主要是完成用户意图的各种加密应用程序(2)控制层是系统的控制中心，主要完成的任务有：密钥管理的访问控制和用户网络的密钥供应(QKD设备认证，用户认证，访问权限管理)；协调用户网络之间的关键请求并控制用户网络之间的通信；提供关键中继路由，包括在需要密钥的两个应用端点之间重新路由；如果发生故障或窃听案件，可以重新配置量子链路。(3)密钥层负责密钥管理和密钥供应。(4)量子层负责量子密钥分发。

在软件定义量子密钥分发网络中，控制层中的控制器与量子层中的QKD节点可以利用两者之间的密钥池提供的密钥进行信息的加密通信，而任何对量子密钥分发过程的窃听，都有可能改变量子态本身，造成高误码率，从而使得量子加密的信息不能被破解；通常，为保证QKD节点的信息可以及时发送至控制器，QKD节点会预留若干个密钥，而不用在需要发送信息时，临时与控制器进行量子密钥协商来产生密钥。

然而，本发明的发明人发现，在实际应用中，现有的软件定义量子密钥分发网络一方面有的QKD节点仍存在预留密钥都使用完后无法及时向控制器发送信息的情况，另一方面有的QKD节点中的预留密钥则长时间得不到利用，存在密钥利用率低的问题。

发明内容

本发明提出了一种基于SDN的QKD网络及其密钥的调度管理方法，一方面可以保证加密业务需求量大的QKD节点预留足够的密钥，避免加密信息的发送延迟；另一方面还可以提高已产生的密钥的利用率。

基于上述目的，本发明提供一种基于SDN的QKD网络中密钥的调度管理方法，包括：

设置于网络的量子层中的QKD节点在本地密钥池中的密钥的数量降到容量下限时，向所述网络的控制层中的控制器发送密钥补充请求；

所述控制器接收到所述密钥补充请求后，将所述QKD节点作为密钥待补充节点，从密钥池的密钥剩余量充足的其它QKD节点中选取被调度节点；