一種用於量子密鑰分配請求控制與自動實現的模型和方法
2023-10-05 12:35:44
專利名稱:一種用於量子密鑰分配請求控制與自動實現的模型和方法
技術領域:
本發明涉及基於信任中繼的量子密鑰分配網絡領域,是為實現網絡中任意兩個節 點之間密鑰分配的請求控制與自動實現而設計的模型和方法。
背景技術:
量子密鑰分配網絡是基於量子力學的基本原理,在任意節點之間分配密鑰的網在敘述量子密鑰分配網絡之前,先以最為主流的BB84協議為例簡單描述點對點 的量子密鑰分配。該協議總共用到4個量子態,且構成兩組正交基,每組正交基同時也是一 組測量基。處於不同測量基中的量子態是非正交的,用不同組的測量基去測量一個量子態, 結果是不確定的,且概率分別為50% ;只有用同組的測量基去測量量子態才能得到正確結 果。具體的通信過程是這樣的密鑰的發送者從4個量子態中隨機選擇一個,並且通過量 子信道發送給接收者,接收者隨機選擇一個測量基來測量,並且得到一個結果,雙方記錄自 己的選擇和測量結果,並通過公開信道相互比對,刪除那些選錯了測量基的結果。如果有需 要,在最後剩餘的隨機序列經過「保密放大」等步驟後,便可以在發送者和接收者之間建立 起最終的密鑰。但由於技術條件的限制,目前點對點密鑰分配的速度和距離有限。在實驗 室環境中,相隔100公裡的兩點之間密鑰分配的最高速率只有ΙΟΙΛ/s左右,而且隨著距離 的增加會急劇下降。量子密鑰分配網絡便是以這種點對點的量子密鑰分配為基礎,在多個用戶之間分 配密鑰的網絡。依據中間節點的不同類型,可將量子密鑰分配網絡分為三種光學節點網 絡、量子中繼網絡和信任中繼網絡。基於光學節點的量子密鑰分配網絡主要是在網絡中利用分束器,幹涉環、光開關 等光器件來改變單光子的傳輸方向,這是根據經典光學的特性對量子信息進行路由。這種 類型的量子密鑰分配網絡方法較為成熟,在目前技術條件下易於實現,但是光學器件等光 學節點的引入使得插入損耗大大增加,因而量子信息安全傳輸的距離縮短;同時當節點用 戶數量增加時,整個網絡分配密鑰的速度便會降低。所以這種類型的量子密鑰分配並不適 合長距離的廣域網使用。基於量子中繼的量子密鑰分配網絡的實現思想是把傳輸通道分為若干段,在每 一段製備糾纏對,並發送到分段的兩端,再對這些糾纏對進行鈍化,通過相鄰之間的糾纏交 換,把提純後的糾纏對的距離分布得更遠。這種類型的中繼網絡可以實現長距離、多用戶的 密鑰分配。但是該網絡所需的關鍵技術如量子中繼器並不成熟,離真正實現還有一定距離。信任中繼網絡是由若干個節點和連接各個節點的鏈路按照一定的拓撲結構組成。 節點之間靠經典信道和量子信道連接。量子信道用於在兩點之間傳輸單光子;經典信道用 於對基、身份驗證以及傳輸信令、加密密鑰等。如圖1所示,當網絡中的兩個主機Alice和 Bob要進行密鑰K的分配時,由於傳輸距離的限制,並不能在兩點之間直接分配密鑰,需要 依靠中間信任節點的接力傳遞。這種需要有信任中繼節點的配合才能傳遞的密鑰K也稱為全局密鑰。首先,在Alice和節點1之間建立共享量子密鑰K1,節點1和節點2之間共享 量子密鑰K2,節點2和Bob之間共享量子密鑰K3。Alice利用與節點1共享的量子密鑰Kl 對要發送的全局密鑰K加密,然後通過經典信道發送給節點1,節點1用Kl對信息解密後獲 得K,並將K用K2加密發給節點2,節點2使用密鑰K2解密獲得K後,再用K3加密K發給 Bob, Bob用K3對信息解密後獲得最後的密鑰K。這樣就完成了在Alice和Bob之間全局密 鑰的分配。為保證全局密鑰傳遞的安全性,每一次對K加密採用的量子密鑰都是與K等長 度的,且採用「一次一密」的加密方式。假設中間節點的安全性可以得到保證,這種基於信 任中繼的量子密鑰分配網絡就可以在理論上實現遠距離,多用戶的密鑰分配。因此信任中 繼網絡是一種較為容易實現的未來理想量子密鑰分配網絡方案。目前在基於信任中繼的量子密鑰分配網絡中,如何實現密鑰分配的請求控制和密 鑰的自動分配是一個尚待解決的問題。本發明提出一種用於量子密鑰分配的請求控制與自 動實現的分層模型,並設計該模型中的各個模塊,給出實現密鑰自動分配的具體方法。
發明內容
本發明結合當前的技術條件和背景,針對基於信任中繼的量子密鑰分配網絡,提 出一種為達到密鑰分配的請求控制和自動實現而設計的模型,設計不同層中應用的功能模 塊,並詳細描述實現方法,旨在實現網絡中的任意兩個節點之間密鑰的自動分配。本發明主要內容如下將基於信任中繼的量子密鑰分配網絡劃分為三層量子密鑰產生層(quantum key generation plane)、傳輸層(transport plane)禾口控制層(control plane),如圖 2 所不。 三層在功能上相互獨立,但之間又緊密聯繫,相互依賴。量子密鑰產生層實現在所有相鄰的節點之間建立相同量子密鑰的功能;傳輸層主 要負責傳遞信令、處理和傳輸全局密鑰等;控制層主要功能是總體控制和協調,主要包括判 斷和接收客戶端發出的密鑰分配請求,建立在發送端和接收端之間的連接,另外還有對量 子密鑰的管理等功能。下面詳細討論每層的功能模塊組成,如圖3所示控制層包括請求控制器、連接控制器、路由控制器和資源管理器。請求控制器負責 接收來自客戶端的密鑰分配連接請求,並根據來自連接控制器的信息來決定是同意或者拒 絕該請求。連接控制器在本節點上,接收來自請求控制器的請求,根據路由控制器和資源 管理器提供的信息來決定並建立連接路徑;同時連接控制器也接收來自其他節點的信令信 息,通知資源管理器管理本節點的資源,並按照路由信息將信令發送到下一個節點。路由控 制器根據不同的路由機制來決定建立密鑰分配的路徑。在量子密鑰分配網絡中,資源是存 儲在各節點密鑰存儲器中的量子密鑰。資源管理器根據來自本節點連接控制器的控制信息 以及其他節點的信令信息對本節點不同存儲器中的量子密鑰資源進行管理。量子密鑰產生層包括量子密鑰產生設備、存儲量子密鑰的存儲器和相鄰節點之間 的量子信道,其中量子密鑰產生設備主要包括節點的量子密鑰發送和接收裝備。傳輸層主要包括節點內部的接收器、解密和加密模塊、發射器和經典信道。加密信 息通過經典信道從其他節點發送至本節點,經接收器接收後送到解密設備,通過和上遊節 點對應的量子密鑰將其解密後,再由和下遊節點對應的量子密鑰對其進行加密,通過發射裝置發送到下遊節點。如果本節點是目的節點,則經解密之後獲得最終的信息。本發明在基於信任中繼量子密鑰分配網絡的分層模型基礎之上,提出在該網絡中 用於密鑰分配的請求控制和自動實現的方法,如圖4所示(1)客戶端向本節點的請求控制器發起密鑰分配的連接建立請求;(2)連接控制器接收來自請求控制器的請求,並通知路由控制器根據不同的路由 策略決定可選路徑;(3)連接控制器選擇可行路徑,依靠信令信息通知中間節點做好準備工作,包括量 子密鑰的協商和預約(可選)等;(4)完成密鑰的自動分配。進一步的,連接控制器對於對時延敏感的全局密鑰,可提供面向連接的服務。在選 擇可行路徑時,在沿途經過的節點上預約量子密鑰資源,倘若在某節點處,當前量子密鑰存 儲器中的量子密鑰資源並不能滿足需求,則在該條路徑上的連接請求被拒絕,連接控制器 嘗試其他路徑。進一步的,連接控制器對沒有實時性要求的全局密鑰分配,則可以提供面向非連 接的服務,即不對量子密鑰資源進行預約當路徑上某個節點處的量子密鑰資源並不能滿 足待分配的全局密鑰需求時,可在該節點處等待,直到該節點與下遊節點之間建立好所需 要數量的量子密鑰,才能進行下一步的傳輸。也可以設置一定的等待時間門限,當等待時間 超過該值時,拒絕該連接請求。這樣,在上述的分層模型下,通過本發明提出的實現方法,可以在基於信任中繼的 量子密鑰分配網絡中實現任意兩個節點之間密鑰分配的請求控制和密鑰的自動分發。
圖1基於信任中繼的密鑰分配示意2基於信任中繼量子密鑰分配網絡的分層模型圖3節點功能模塊4節點1與節點4之間密鑰分配的請求控制與自動實現示意MX^iesh量子密鑰分配網絡拓撲6Alice和Bob之間的密鑰分配示意圖
具體實施例方式為了使本發明的目的、技術方案及優點更加清楚明白,以下結合附圖及實例,對本 發明進行進一步詳細說明。應當理解,此處所描述的具體實施例僅用以解釋本發明,並不用 於限定本發明。本實例基於如圖5所示的網絡拓撲結構,要在Alice和Bob之間進行密鑰分配。在 本發明所設計的模型和方法之下,依靠各個功能模塊的配合,在4X^ieSh信任中繼量子密 鑰分配網絡中完成Alice和Bob之間密鑰的自動分配。完成密鑰分配的基礎是在選定的路徑上,所有相鄰的節點之間建立數量上滿足要 求的量子密鑰,這項工作由量子密鑰產生層完成。以Alice和節點1為例,Alice的量子發 送設備、節點1的量子接收設備和連接兩者的量子信道和經典信道相互配合,在兩者之間分配相同的量子密鑰,並分別存儲在Alice的1號量子密鑰存儲器和節點1的3號量子密 鑰存儲器中。其他相鄰節點之間類似。下面進行的具體步驟如下(I)Alice的請求控制器收到客戶端的密鑰分配請求,主要信息包括要與Bob進行 密鑰的分配,以及所要分配的密鑰大小。(2)連接控制器對該請求進行判斷和信息的提取,由路由控制器根據一定的路由 策略選擇符合要求的連接路徑。在本實例中,假定最後選擇的路徑為=Alice —節點1 —節 點 2 — Bob。(3)在路徑選擇完畢後,首先對本節點1號量子密鑰存儲器中的量子密鑰Kl進行 預約。然後將路徑、待分配的密鑰大小等信息填進信令中,通過經典信道發往節點1。節點 1控制層的連接控制器接收並讀取信令信息,對本節點中3號密鑰存儲器中的量子密鑰Kl 和2號密鑰存儲器中的K2進行預約,然後根據信令中的路徑信息將其發往節點2。節點2 重複節點1的動作,預約本節點4號密鑰存儲器中的量子密鑰K2和1號密鑰存儲器中的密 鑰K3,隨後信令信息發送到Bob。Bob重複節點2的工作,不同的是Bob已經是目的節點,不 再向下一個節點發送信令,即預約好本節點3號存儲器中的量子密鑰K3後,由經典信道沿 原路徑Bob —節點2 —節點1 — Alice返回發送成功信令ACK,該密鑰分配請求被接受。如果信令在Alice通往Bob的該條路徑上,沒有預約到所必需的密鑰資源,則失敗 信令NACK返回Alice,該密鑰分配請求被拒絕。(4)假設密鑰分配請求已經接受,即路徑選擇、資源預約等準備工作已經做好,則 可以開始全局密鑰K的分配,如圖6所示①在Alice處,全局密鑰K經量子密鑰Kl加密後,通過經典信道發送到節點1 ;②在節點1,傳輸層的接收器接收已加密的全局密鑰K,用量子密鑰Kl通過解密模 塊解密後獲得K,再用量子密鑰K2由加密模塊進行加密,通過發送器發送到節點2 ;③節點2重複節點1的過程;④在Bob處,解密模塊用量子密鑰K3解密後,獲得全局密鑰K。這樣一次完整的密鑰分配過程全部完成。
權利要求
1.在基於信任中繼的量子密鑰分配網絡中,為達到任意兩個節點之間密鑰分配的請求 控制與自動實現,本發明提出了一種量子密鑰分配網絡的分層模型,其特徵在於(1)傳輸層(transportplane)包括節點內部的接收器、解密和加密模塊、發射器和 經典信道,負責傳遞信令、傳輸和處理全局密鑰等。(2)控制層(controlplane)包括請求控制器、連接控制器、路由控制器和資源管理 器,主要功能是總體控制和協調,包括判斷和接收客戶端分配密鑰的連接請求,根據相應路 由策略和網絡資源建立發送端和接收端之間的連接,另外還有對量子密鑰的管理等。(3)密鑰產生層(quantumkey generation plane):包括相鄰節點之間量子密鑰發送、 接收裝備、量子信道以及存儲量子密鑰的存儲器,實現在所有相鄰節點之間建立相同量子 密鑰的功能。
2.如權利要求1所示,在提出的分層模型基礎之上,給出了密鑰分配的請求控制與自 動實現的方法,其特徵在於(1)客戶端向本節點的請求控制器發起密鑰分配的連接建立請求;(2)連接控制器接收來自請求控制器的請求,並通知路由控制器根據不同的路由策略 決定可選路徑;(3)連接控制器選擇可行路徑,依靠信令信息通知中間節點做好準備工作,包括量子密 鑰的協商、預約(可選)等;(4)完成密鑰的自動分配。
3.如權利要求2所示,根據全局密鑰對傳輸時延的不同要求,連接控制器可提供面向 連接和非連接的兩種不同服務(1)對時延敏感的全局密鑰,連接控制器可建立面向連接的服務。在選擇可行路徑時, 在沿途經過的節點上預約量子密鑰資源,倘若在某節點處,當前量子密鑰存儲器中的量子 密鑰資源並不能滿足需求,則在該路徑上的連接請求被拒絕,連接控制器嘗試其他路徑。(2)如果全局密鑰對實時性沒有要求,則可以提供面向非連接的服務,即不對鏈路上的 量子密鑰資源進行預約當路徑上某個節點處的量子密鑰資源並不能滿足待分配的密鑰需 求時,在該節點處等待,直到該節點與下遊節點之間建立好所需要數量的量子密鑰,才能進 行下一步的傳輸。也可以設置一定的等待時間門限,當等待時間超過該值時,拒絕該連接請 求。
全文摘要
本發明提供了一種在基於信任中繼的量子密鑰分配網絡中,用於密鑰分配的請求控制與自動實現的模型與方法,包含提出一種量子密鑰分配網絡的分層模型,由控制層、量子密鑰產生層和傳輸層組成,詳細規劃每層的功能,並設計不用層中的功能模塊。在此模型之上,本發明還提出了用於密鑰分配的請求控制與自動實現的方法1、客戶端向本節點的請求控制器發起密鑰分配的連接建立請求;2、連接控制器接收來自請求控制器的請求,並通知路由控制器根據不同的路由策略決定可選路徑;3、連接控制器選擇可行路徑,依靠信令信息通知中間節點做好準備工作,包括量子密鑰的協商、預約(可選)等;4、完成密鑰的自動分配。根據全局密鑰對時延的不同要求,連接控制器可提供面向連接和非連接的兩種不同服務。該發明充分考慮了當前量子密鑰分配網絡的發展現狀,結合實際需要,有效利用現有技術條件,可實現網絡中任意兩個節點之間密鑰的自動分配。
文檔編號H04L9/08GK102130769SQ201110057518
公開日2011年7月20日 申請日期2011年3月10日 優先權日2011年3月10日
發明者孫詠梅, 程先柱, 紀越峰 申請人:北京郵電大學