掌桥专利:专业的专利平台
掌桥专利
首页

量子密码网络密钥中继动态路由方法、装置及系统

文献发布时间:2024-04-18 19:58:26


量子密码网络密钥中继动态路由方法、装置及系统

技术领域

本发明涉及量子通信技术领域,具体涉及一种量子密码网络密钥中继动态路由方法、装置及系统。

背景技术

量子通信是近二十年发展起来的新型交叉学科,是量子理论和信息理论相结合的新的研究领域。物理学上,量子通信可以被理解为在物理极限下,利用量子效应实现的高性能通信。信息学上,则认为量子通信是利用量子力学的基本原理(如量子态不可克隆原理和量子态的测量塌缩性质等)或者利用量子态隐形传输等量子系统特有属性,以及量子测量的方法来完成两地之间的信息传递。量子通信因其具有无条件安全和高效率等特点,给信息安全带来了革命式的发展,是目前数据保密传输的主要研究方向。

以量子密钥分发(Quantum key distribution,QKD)协议为基础的量子密码技术是现阶段量子通信最重要的实际应用之一。传统的密码学是以数学为基础的密码体制,而量子密码是以量子力学为基础,它的安全性建立在测不准原理、量子的不可克隆及量子相干性等物理特性之上,被证明是绝对安全的,因此量子密码技术引起了学术界的高度重视。

量子密码网络便是采用量子密码技术的一种安全通信网络,量子密码网络是由经典通信网络和量子密钥分发网络共同构建而成。量子密钥分发网络主要由量子密钥分发终端设备和量子链路组成,用于密钥的分发。经典通信网络使用量子密钥实现数据的加解密和加密数据的传输。一个量子密码网络节点一般是由连接于经典通信网络的经典通信终端和连接于量子通信网络的量子密钥分发设备终端组成,量子密码网络的网络节点一般分为终端节点和中继节点两种。由于量子通信最大距离的限制以及出于网络搭建成本的考虑,许多终端之间并不存在直连的量子链路,不能实现量子密钥的直接分发,它们之间的加密通信数据需要借助中继节点转发。

规模较大的量子密码网络会具有大量的中继节点,终端节点间的加密通信数据会借助一个或几个中继节点进行中转,而且在数据中转时会有不同的可选的中继节点。如何对量子密码网络中任意两个节点的通信数据由初始节点到达目的节点所要按顺序经过的中继节点进行选择,称之为量子密码网络路由。

相关技术中,公布号为CN103001875A的专利申请文献公开了一种量子密码网络路由的完整解决方案,在该解决方案中,需要按照加权最短路径法则计算并确定目的中继节点为任意一个其他中继节点的通信数据的下一跳路由,其权值为路径上的密钥量,即在最短路径法则下,密钥量较大的路径为路由的下一跳。公布号为CN109962774A的专利申请文献中公开了一种量子密码网络密钥中继动态路由方法,在该路由方法中,中继路径的路径权值与该路径上的量子密钥供求程度有关,需要利用复杂的泊松分布,路由权值计算方式复杂。公布号为CN116418492A的专利申请文献所提出的路由建立方法,需要关注剩余可中继的密钥量,计算复杂。

实际上,路径上的密钥量并不能够真实反映本路径在下一个路由周期内满足数据路由加密的需求度,因为路径上的现存密钥量是否充足不但与密钥量相关,还与本路径的密钥消耗速度有关。上述提及的相关技术均未考虑远距离QKD中继成码率低的问题及密钥生成速度小于密钥消耗速度无法满足业务并发需求的情况,例如:在一百公里左右的距离上,基于BB84协议的QKD密钥成码率仅为1 Kbps左右,QKD成码率低下是由物理原理所决定的,QKD密钥协商要通过光子偏振态的制备、传输、偏振态过滤、检测、偏振态的一致性核对、密钥块奇偶校验等一系列操作,这个复杂的过程会进一步降低QKD的成码率。

另外复杂的路由计算算法,在高并发场景下存在密钥中继资源竞争带来的性能下降问题。

发明内容

本发明所要解决的技术问题在于如何解决密钥中继的密钥生成速率瓶颈问题。

本发明通过以下技术手段解决上述技术问题的:

第一方面,本发明提出了一种量子密码网络密钥中继动态路由方法,所述方法包括:

查询量子密码网络中所有可达的密钥中继路径;

选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池;

根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值;

根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径。

进一步地,所述查询量子密码网络中所有可达的密钥中继路径,包括:

向密码管理服务平台查询本端业务系统所属QKD节点和对端业务系统所属QKD节点的信息;

接收所述密码管理服务平台返回的本端业务系统所属QKD节点的信息以及对端业务系统所属QKD节点的信息,并通过本端业务系统所属QKD节点对应的密钥管理器向QKDN控制器查询所述量子密码网络中所有可达的密钥中继路径。

进一步地,所述选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池,包括:

本端业务系统生成全局唯一的业务标识businessId,选定所述密钥中继路径上的每个中继节点初始化生成与该businessId相关的派生密钥池;

为分配到当前密钥中继路径的业务分配至少1个派生密钥池。

进一步地,不同业务之间的派生密钥池相互隔离。

进一步地,所述方法还包括:

根据所述派生密钥池的扩容触发条件,对派生密钥池进行扩容;

所述扩容触发条件为在业务的密钥消耗速度达到密钥生成速度的a%时,或者派生密钥池的存量密钥低于阈值时,或者当已使用的派生密钥池达到总体派生密钥池的b%时。

进一步地,所述方法还包括:

根据所述派生密钥池的缩容触发条件,对派生密钥池进行缩容;

所述缩容触发条件为连续m个时间窗口业务的消耗密钥速度低于密钥生成速度的c%时,或者当已使用的派生密钥池低于总体派生密钥池的d%时。

进一步地,所述派生密钥池为具有最大长度的先进先出队列FIFO结构。

进一步地,所述方法还包括:

采用PBKDF2算法生成派生密钥;

采用批量入队的方式将设定数量n个所述派生密钥增加至所述派生密钥池中,并将所述派生密钥池中原有的派生密钥作为历史派生密钥移出n个,对所述派生密钥池中的密钥进行更新。

进一步地,所述采用PBKDF2算法生成派生密钥的计算公式为:

key=PBKDF2(password,salt,iterations-count,hash-function,derived-key-len)

其中,password为密码/口令;salt为密码学安全伪随机数组;iterations-count为迭代次数;hash-function为用于HMAC的散列函数;derived-key-len为派生密钥长度;PBKDF2( )为PBKDF2运算操作;key为派生密钥。

进一步地,采用QKD中继产生的主密钥池中的随机密钥作为所述password;

采用

以业务密钥池编号作为所述iterations-count,以SM3算法作为所述hash-function;

所述derived-key-len取值为128。

进一步地,在业务并发调用派生密钥时,所述方法还包括:

根据业务标识进行Hash来将所述派生密钥分配到业务对应的派生密钥池中;

采用CAS无锁机制对同一个业务对应的派生密钥池进行并发调用。

进一步地,所述采用CAS无锁机制对同一个业务对应的派生密钥池进行并发调用,包括:

为同一个派生密钥池分配唯一的顺序编号,对经过CAS无锁机制的业务对应的业务编号+1;

将业务编号、派生密钥池编号、派生密钥池的密钥编号作为参数向QKD中继/协商的对端业务系统传递,进行派生密钥中继。

进一步地,对所述派生密钥池中的密钥进行更新时,CAS编号+n,并保留移出的n个历史派生密钥设定时长。

进一步地,所述根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值,包括:

基于滑动窗口计算每个中继节点的路径权值为:该中继节点生成的派生密钥池的数量/密钥生成速度。

进一步地,在中继节点未进行密钥派生时,将该中继节点对应的派生密钥池数量设为1。

进一步地,所述根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径,包括:

根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,计算对应的密钥中继路径的权重P = 中继节点数量

将权重P值最小的密钥中继路径确定为最优的密钥中继路径。

第二方面,本发明还提出了一种量子密码网络密钥中继动态路由装置,所述装置包括:

中继路径查询模块,用于查询量子密码网络中所有可达的密钥中继路径;

派生模块,用于选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池;

路径权值计算模块,用于根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值;

路径确定模块,用于根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径。

第三方面,本发明提出了一种量子密码网络密钥中继动态路由系统,所述系统包括量子密钥分发网络、密钥管理器、QKDN控制器、密钥管理系统和密码管理服务平台,密码管理服务平台与业务通信终端连接,所述业务通信终端用于执行如上所述的量子密码网络密钥中继动态路由方法。

本发明的优点在于:

(1)本发明通过利用密钥中继路径上的中继节点为分配到该密钥中继路径上的任务生成派生密钥池,利用中继节点生成的派生密钥池的数量及密钥生成速度,计算每条密钥中继路径各中继节点的路径权值,从而确定最优的密钥中继路径,路由计算方法简单,性能更高,不同的业务使用单独的密钥池,不需要考虑多个业务共用一个密钥池并发加锁的问题,解决密钥中继的密钥生成速率瓶颈问题,且路由计算方法简单,提高了并发性能。

本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。

附图说明

图1是本发明一实施例提出的一种量子密码网络密钥中继动态路由方法的流程示意图;

图2是本发明一实施例提出的一种量子密码网络密钥中继动态路由装置的结构示意图;

图3是本发明一实施例提出的一种量子密码网络密钥中继动态路由系统的结构示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。

如图1所示,本发明第一实施例公开了一种量子密码网络密钥中继动态路由方法,所述方法包括以下步骤:

S10、查询量子密码网络中所有可达的密钥中继路径;

S20、选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池;

S30、根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值;

S40、根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径。

需要说明的是,本实施例通过利用密钥中继路径上的中继节点为分配到该密钥中继路径上的任务生成派生密钥池,利用中继节点生成的派生密钥池的数量及密钥生成速度,计算每条密钥中继路径各中继节点的路径权值,从而确定最优的密钥中继路径,通过采用派生密钥池的方式突破QKD中继的密钥成码率瓶颈,解决密钥中继的密钥生成速率瓶颈问题。

在一实施例中,所述步骤S10:查询量子密码网络中所有可达的密钥中继路径,包括以下步骤:

S11、向密码管理服务平台查询本端业务系统所属QKD节点和对端业务系统所属QKD节点的信息;

S12、接收所述密码管理服务平台返回的本端业务系统所属QKD节点的信息以及对端业务系统所属QKD节点的信息,并通过本端业务系统所属QKD节点对应的密钥管理器向QKDN控制器查询所述量子密码网络中所有可达的密钥中继路径。

具体地,假如业务系统A作为业务发起方向密码管理服务平台(CMSP)查询本节点(起始点)和对端业务系统B(终点)的QKD节点信息;业务系统A携带量子密钥网络路由的起始点和终点信息通过本节点对应的密钥管理器(KM)向QKDN控制器查询所述量子密码网络中所有可达的密钥中继路径。

在一实施例中,所述步骤步骤S20:选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池,包括以下步骤:

S21、本端业务系统生成全局唯一的业务标识businessId,选定所述密钥中继路径上的每个中继节点初始化生成与该businessId相关的派生密钥池;

S22、为分配到当前密钥中继路径的业务分配至少1个派生密钥池。

具体地,本端业务系统即业务发起方生成全局唯一的业务标识businessId,businessId按雪花算法生成一个64位比特位的唯一id,id为long类型的,业务标识的最高1位固定值0,接下来是41位存储毫秒级时间戳,再接下来是12位中继节点码,包括6位起始节点和6位终点,再接下来是6位存储机器码workerId(datacenterId和起始节点一致,故省略),最后4位存储序列号;同一毫秒时间戳时,通过这个递增的序列号来区分,并不是每次进行密钥协商都需要重新建立中继链路,因此并发要求没有那么高

在一实施例中,选定密钥中继链路上的每个中继节点初始化生成与该businessId相关的派生密钥池,初始化生成

在一实施例中,所述方法还包括以下步骤:

根据所述派生密钥池的扩容触发条件,对派生密钥池进行扩容;

所述扩容触发条件为在业务的密钥消耗速度达到密钥生成速度的a%时,或者派生密钥池的存量密钥低于阈值时,或者当已使用的派生密钥池达到总体派生密钥池的b%时。

具体地,当该业务的密钥消耗速度达到密钥生成速度的75%时触发2倍数的派生密钥池扩容或者派生密钥池的存量密钥低于阈值(比如派生密钥池的最大长度的10%)触发2倍数,当已使用的派生密钥池达到总体派生密钥池的80%时触发总体派生密钥池的2倍数扩容。本实施例通过对派生密钥池进行扩容,提高并发能力,以便提前分配资源防止业务使用时等待密钥派生。

在一实施例中,所述方法还包括以下步骤:

根据所述派生密钥池的缩容触发条件,对派生密钥池进行缩容;

所述缩容触发条件为连续m个时间窗口业务的消耗密钥速度低于密钥生成速度的c%时,或者当已使用的派生密钥池低于总体派生密钥池的d%时。

具体地,在连续m(m为一经验值,取值为3~5)个时间窗口业务的消耗密钥速度低于密钥生成速度的25%时触发2倍数的缩容,当已使用的派生密钥池低于总体派生密钥池的20%时触发总体派生密钥池的2倍数缩容,释放资源,降低成本。

在一实施例中,所述派生密钥池为具有最大长度的先进先出队列FIFO结构。

具体地,本实施例中的派生密钥池是具有最大长度40k(40960个)密钥的FIFO(先进先出队列)结构,当派生密钥池达到最大长度时,新的派生密钥加入队列尾部,抛弃队列头部的派生密钥,派生密钥池的最大长度太长则派生密钥的存留时间越长,存在被暴力破解的风险,最大长度太短,则会存在派生密钥池的频繁扩容或者业务请求密钥使用等待QKD密钥协商的情况,因此派生密钥池中的最大长度一般采用5~10s内主密钥池的密钥生成量。

本实施例中派生密钥池是具有最大长度FIFO的结构,合理的最大长度能保护派生密钥的时效,防止暴力破解。

在一实施例中,所述方法还包括对派生密钥池中的密钥进行更新,包括以下步骤:

采用PBKDF2算法生成派生密钥;

采用批量入队的方式将设定数量n个所述派生密钥增加至所述派生密钥池中,并将所述派生密钥池中原有的派生密钥作为历史派生密钥移出n个,对所述派生密钥池中的密钥进行更新。

具体地,随着QKD密钥中继的密钥协商的主密钥池不断协商产生新密钥,派生密钥池采用批量入队的方式更新密钥,一次在FIFO队列的尾部增加4k(4096个)派生密钥,并将队列头部的4k(4096个)派生密钥抛弃,这里n取值可为4096。

在一实施例中,所述采用PBKDF2算法生成派生密钥的计算公式为:

key=PBKDF2(password,salt,iterations-count,hash-function,derived-key-len)

其中,password为密码/口令;salt为密码学安全伪随机数组;iterations-count为迭代次数;hash-function为用于HMAC的散列函数;derived-key-len为派生密钥长度;PBKDF2( )为PBKDF2运算操作;key为派生密钥。

在一实施例中,采用QKD中继产生的主密钥池中的随机密钥作为所述password;

采用

以业务密钥池编号作为所述iterations-count,以SM3作为所述hash-function;

所述derived-key-len取值为128。

需要说明的是,PBKDF2(Password-Based Key Derivation Function)算法是一种简单的密钥派生算法,在迭代次数较低的情况下具有较高的密钥生成效率,以满足高并发业务场景的需求。且由于可信中继节点为独立的物理机,不存在类似云端的共享计算问题,节点之间的QKD网络也有别于经典信道,因此可以不考虑内存时序(memory-timing)侧信道攻击(side-channel attacks)带来的威胁。

另外由于密钥派生的password是真随机数,盐值和业务相关,不同业务的派生密钥是隔离的,盐值和password进行异或确保了盐的随机性,同时密钥中继过程中是一次一密、用后废弃的,派生密钥池采用的是具有最大长度的FIFO的队列结构,有时效限制,因此即便遭受ASIC攻击(ASIC-resistant)或者FPGA攻击(FPGA-resistant),一方面GPU暴力破解的时效性达不到攻击要求,另一方面需要暴力破解整条中继链路的派生密钥才能获取最终的协商密钥,单个节点之间的派生密钥暴露不影响整体安全性。

在一实施例中,在业务并发调用派生密钥时,所述方法还包括以下步骤:

根据业务标识进行Hash来将所述派生密钥分配到业务对应的派生密钥池中;

采用CAS无锁机制对同一个业务对应的派生密钥池进行并发调用。

本实施例在业务并发调用派生密钥时,根据业务唯一标识进行Hash来分配到业务对应的派生密钥池,同一个业务派生密钥池在并发调用时采用CAS(Compare And Swap)的无锁方式,通过采用密钥协商和密钥使用分离的方式加快密钥调用效率,调用时采用CAS的无锁方式提高并发效率。

在一实施例中,所述采用CAS无锁机制对同一个业务对应的派生密钥池进行并发调用,包括:

为同一个派生密钥池分配唯一的顺序编号,对经过CAS无锁机制的业务对应的业务编号+1;

将业务编号、派生密钥池编号、派生密钥池的密钥编号作为参数向QKD中继/协商的对端业务系统传递,进行派生密钥中继。

需要说明的是,本实施例为同一个派生密钥池分配唯一的顺序编号,业务经过CAS获取编号+1,并将业务编号、派生密钥池编号、派生密钥池的密钥编号作为参数向QKD中继/协商的对端传递,避免派生密钥调用的顺序混乱。

在一实施例中,对所述派生密钥池中的密钥进行更新时,CAS编号+n,并保留移出的n个历史派生密钥设定时长。

本实施例在派生密钥批量更新时CAS编号+4096,为了防止派生密钥批量更新过程正在进行派生密钥中继,短暂保留出队的4096个历史派生密钥,CAS编号每天归零。

需要说明的是,历史派生密钥的保留时间跟密钥生成速度有关,4096个密钥的生成时间,一般不超过5s,如果生成速率特别慢的,安全起见最大不超过10s。

在一实施例中,所述步骤S30:根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值,包括以下步骤:

基于滑动窗口计算每个中继节点的路径权值为:该中继节点生成的派生密钥池的数量/密钥生成速度。

需要说明的是,如果存在多条中继路径,则基于滑动窗口计算所述密钥中继路径上所有中继节点的路径权值:已派生密钥池数量/密钥生成速度,权值越小路径越短。

进一步地,如果中继节点未进行任何密钥派生,则已派生密钥池数量设为1。

在一实施例中,所述步骤S40:根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径,包括以下步骤:

S41、根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,计算对应的密钥中继路径的权重P = 中继节点数量

S42、将权重P值最小的密钥中继路径确定为最优的密钥中继路径。

需要说明的是,按照木桶效应,找到每条路径中的最大权值w,计算每条密钥中继路径的权重P,P越小代表路径越优,选定P值最小的最优路径。

如图2所示,本发明第二实施例公开了一种量子密码网络密钥中继动态路由装置,所述装置包括:

中继路径查询模块10,用于查询量子密码网络中所有可达的密钥中继路径;

派生模块20,用于选定所述密钥中继路径上每个中继节点为分配到该所述密钥中继路径上的任务生成派生密钥池;

路径权值计算模块30,用于根据每条所述密钥中继路径上各中继节点生成的派生密钥池的数量及密钥生成速度,计算每条所述密钥中继路径各中继节点的路径权值;

路径确定模块40,用于根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,确定最优的密钥中继路径。

在一实施例中,所述中继路径查询模块10,具体用于:

向密码管理服务平台查询本端业务系统所属QKD节点和对端业务系统所属QKD节点的信息;

接收所述密码管理服务平台返回的本端业务系统所属QKD节点的信息以及对端业务系统所属QKD节点的信息,并通过本端业务系统所属QKD节点对应的密钥管理器向QKDN控制器查询所述量子密码网络中所有可达的密钥中继路径。

在一实施例中,所述派生模块20,包括:

初始化单元,用于本端业务系统生成全局唯一的业务标识businessId,选定所述密钥中继路径上的每个中继节点初始化生成与该businessId相关的派生密钥池;

分配单元,用于为分配到当前密钥中继路径的业务分配至少1个派生密钥池。

在一实施例中,不同业务之间的派生密钥池相互隔离。

在一实施例中,所述装置还包括扩容模块,具体用于:

根据所述派生密钥池的扩容触发条件,对派生密钥池进行扩容;

所述扩容触发条件为在业务的密钥消耗速度达到密钥生成速度的a%时,或者派生密钥池的存量密钥低于阈值时,或者当已使用的派生密钥池达到总体派生密钥池的b%时。

在一实施例中,所述装置还包括缩容模块,具体用于:

根据所述派生密钥池的缩容触发条件,对派生密钥池进行缩容;

所述缩容触发条件为连续m个时间窗口业务的消耗密钥速度低于密钥生成速度的c%时,或者当已使用的派生密钥池低于总体派生密钥池的d%时。

在一实施例中,所述派生密钥池为具有最大长度的先进先出队列FIFO结构。

在一实施例中,所述装置还包括密钥更新模块,具体用于:

采用PBKDF2算法生成派生密钥;

采用批量入队的方式将设定数量n个所述派生密钥增加至所述派生密钥池中,并将所述派生密钥池中原有的派生密钥作为历史派生密钥移出n个,对所述派生密钥池中的密钥进行更新。

在一实施例中,所述采用PBKDF2算法生成派生密钥的计算公式为:

key=PBKDF2(password,salt,iterations-count,hash-function,derived-key-len)

其中,password为密码或口令;salt为密码学安全伪随机数组;iterations-count为迭代次数;hash-function为用于HMAC的散列函数;derived-key-len为派生密钥长度;PBKDF2( )为PBKDF2运算操作;key为派生密钥。

在一实施例中,采用QKD中继产生的主密钥池中的随机密钥作为所述password;

采用

以业务密钥池编号作为所述iterations-count,以SM3作为所述hash-function;

所述derived-key-len取值为128。

在一实施例中,所述装置还包括密钥调用模块,用于:

派生密钥分配单元,用于根据业务标识进行Hash来将所述派生密钥分配到业务对应的派生密钥池中;

调用单元,用于采用CAS无锁机制对同一个业务对应的派生密钥池进行并发调用。

在一实施例中,所述调用单元,具体用于:

为同一个派生密钥池分配唯一的顺序编号,对经过CAS无锁机制的业务对应的业务编号+1;

将业务编号、派生密钥池编号、派生密钥池的密钥编号作为参数向QKD中继/协商的对端业务系统传递,进行派生密钥中继。

在一实施例中,对所述派生密钥池中的密钥进行更新时,CAS编号+n,并保留移出的n个历史派生密钥设定时长。

在一实施例中,所述路径权值计算模块30,用于基于滑动窗口计算每个中继节点的路径权值为:该中继节点生成的派生密钥池的数量/密钥生成速度。

在一实施例中,在中继节点未进行密钥派生时,将该中继节点对应的派生密钥池数量设为1。

在一实施例中,所述路径确定模块40,包括:

权重计算单元,用于根据每条所述密钥中继路径上最大的路径权值和中继节点的数量,计算对应的密钥中继路径的权重P = 中继节点数量

路径确定单元,用于将权重P值最小的密钥中继路径确定为最优的密钥中继路径。

需要说明的是,本发明所述量子密码网络密钥中继动态路由装置的其他实施例或具有实现方法可参照上述各方法实施例,此处不再赘余。

如图3所示,本发明第三实施例公开了一种量子密码网络密钥中继动态路由系统,所述系统包括量子密钥分发网络、密钥管理器、QKDN控制器、密钥管理系统和密码管理服务平台,量子密钥分发网络经密钥管理器与密钥管理系统连接,密钥管理器与QKDN控制器连接,密码管理服务平台与业务通信终端连接,所述业务通信终端用于执行如上第一实施例所述的量子密码网络密钥中继动态路由方法。

具体地,量子密钥分发模块(QKD)用于实现与连接节点量子密钥分发模块的量子密钥分发,使双方获得密钥对。

密钥管理器(KM)用于负责接收和管理由QKD生成的密钥对密钥进行中继并将密钥提供给需要密码的应用。

QKDN控制器用于QKDN控制器负责控制QKD网络的各种资源,以确保 QKD 网络安全、稳定、高效、鲁棒的运行。

密钥管理系统(KMS)用于负责创建和管理密钥,保护密钥的保密性、完整性和可用性,满足应用、业务的密钥管理需求。

密码管理服务平台(CMSP)用于负责密钥管理系统(KMS)的路由控制、资源调度等。

在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。

尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

相关技术
  • 通信控制系统、图像处理单元、路由器、通信中继装置及记录介质
  • 量子密码网络密钥中继动态路由方法
  • 量子密码网络密钥中继动态路由方法
技术分类

06120116494655