一种中继路由采集方法、装置及应用系统与流程

本发明涉及量子通信应用技术领域，尤其涉及一种中继路由采集方法、装置及应用系统。

背景技术：

量子通信（或量子密钥分发，简称为qkd）是通过量子信道实现信息传递的新型通信方式，其主要优点是能够检测窃听并实现无条件安全的量子密钥分发。但是，目前采用的qkd网络与业务系统紧耦合的应用模式需要在业务系统侧建设量子通信节点系统，这种应用模式导致一个量子通信节点系统只能服务本地少量应用终端，并且，其安全管理难度大，应用接入不方便，很难满足规模应用需求。

技术实现要素：

针对背景技术中量子通信网络与业务系统紧耦合的应用模式的技术缺陷，本发明提供了一种中继路由采集方法，包括：中继路由采集装置接收量子通信节点装置发送的一个或多个中继路由状态，选择执行以下操作中的任一个：

（操作1）把上述一个或多个中继路由状态上传到目标服务器；

（操作2）缓存上述一个或多个中继路由状态，如果所缓存的中继路由状态的数量达到预设值，把所缓存的一定量中继路由状态上传到目标服务器，

（操作3）缓存上述一个或多个中继路由状态，如果所缓存的具有相同全局标识的中继路由状态满足预设条件，则把上述具有相同全局标识的全部中继路由状态上传到目标服务器，或把上述具有相同全局标识的全部中继路由状态封装为一个虚拟节点中继状态并上传到目标服务器；其中，一个中继路由状态包括量子通信中继节点与两个相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识，或量子通信服务节点所产生的随机数分组与相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识。

可选地，上述方法还包括：上述中继路由采集装置响应目标服务器的指令，上述指令指示的内容包括但不限于：中继路由状态的全局标识。

可选地，上述方法还包括：上述中继路由采集装置存储一定数量的虚拟节点中继状态。

可选地，上述方法还包括：上述一个中继路由采集装置被授权后接入一个量子通信节点装置，并创建二者之间的身份关联。

本发明还提供了一种中继路由采集装置，包括：收发单元、数据处理单元；其中，收发单元包括第一接口、第二接口，第一接口用于从量子通信节点装置接收中继路由状态，第二接口用于接收目标服务器的指令、上传中继路由状态；数据处理单元用于对接收到的中继路由状态进行缓存或/和封装。

可选地，上述装置还包括：缓存器或存储器，用于缓存或存储中继路由状态或/和虚拟节点中继状态。

本发明还提供了一种中继路由采集应用系统，包括：多个中继路由采集装置、一个或多个目标服务器装置；其中，上述每一个中继路由采集装置接入一个量子通信节点装置并建立关联，目标服务器装置向量子网络管控装置发送采集请求，量子网络管控装置向目标量子通信节点装置发送中继路由采集指令，量子通信节点装置创建相应的中继路由状态并发送给关联的中继路由采集装置，中继路由采集装置上传中继路由状态到目标服务器装置。

与常规的量子通信网络与业务系统紧耦合的应用模式相比较，本发明具有如下显著创新性和实用性，即本发明用于实现量子密钥服务与量子通信网络的分离，克服了量子通信网络与业务系统紧耦合的应用模式所存在的缺陷，同时，提升了量子密钥服务效率并降低了量子密钥的安全管理风险，具有良好的应用推广前景。

附图说明

图1为本发明实施例提供的一种中继路由采集方法示意图；

图2为本发明实施例提供的一种中继路由采集装置示意图；

图3为本发明实施例提供的另一种中继路由采集装置示意图；

图4为本发明实施例提供的一种中继路由采集应用系统示意图；

图5为本发明实施例提供的一个中继路由状态创建方法、采集方法及其应用方法示意图。

具体实施方式

为了使本发明的目的、技术方案及有益效果更加清楚明白，作为本发明的一部分，下面首先对本发明及其中的一些术语及其内涵进行说明。

（1）本发明实施例所适用的目标网络包括但不限于下列网络中的任一项：量子密钥分发网络、量子通信网络、量子传感网络、量子安全互联网、其它采用点对点单跳落地转发方式进行中继传输的网络；相应地，本发明实施例中的中继节点和相邻的目标节点包括但不限于以下节点中的任一项或多项：量子中继节点、量子服务节点（或量子接入节点）、虚拟的量子中继节点、虚拟的量子服务节点。本发明实施例中的中继节点适用于但不限于通过光纤接口和无线接口（或自由空间接口）接入目标网络的中继节点。本发明实施例的中继节点是指在目标网络中用作中继的节点，或在一个或多个中继链路上拥有至少两个相邻节点并用作中继的节点；服务节点(或称之为接入节点)是指目标网络中其它不用于中继的节点或不直接用于中继的节点（在一些可能的设计中，服务节点可通过虚拟节点用于中继）。

（2）本发明实施例中的共享量子密钥分组是一定数据长度的共享密钥数据。由于不同的应用系统对共享密钥长度的需求差别很大，并且点对点qkd链路的成码率存在一定差别，因此，本发明不具体限定共享量子密钥分组的数据长度；显然，数据长度是指按相同的数据单位（比如，比特、字节）进行计数。实际上，可以根据实际应用的qkd系统成码率、应用系统的具体需求或未来的行业标准要求，确定共享量子密钥分组的数据长度（比如，2048比特、100k字节、10m字节、1g字节、其它，任意一个满足系统需求的数据长度）。需要明确的是，针对同一个实施例，共享量子密钥分组具有相同的数据格式（包括但不限于数据类型、数据长度、数据的读写顺序）。

（3）本发明实施例中的全局标识是目标网络中所有节点保持一致的标识，全局标识可以用于区分不同的目标网络，也可以用于区分目标网络中不同的实施例；全局标识可以采用全网统一的全局编号，也可以采用结合目标网络标识和全局编号的标识。

为了使本发明的技术方案及优点更加清楚，作为本发明的一部分，以下结合附图及具体实施例，对本发明作进一步详细的说明。

图1示例性示出了本发明实施例提供的一种中继路由采集方法，包括如下步骤：

s101：中继路由采集装置接收量子通信节点装置发送的一个或多个中继路由状态；

s102：缓存上述一个或多个中继路由状态，如果所缓存的具有相同全局标识的中继路由状态满足预设条件，则把上述具有相同全局标识的全部中继路由状态上传到目标服务器，或把上述具有相同全局标识的全部中继路由状态封装为一个虚拟节点中继状态并上传到目标服务器；其中，预设条件包括但不限于已包括所需要的量子通信节点的全部中继路由状态。

在一种可能的设计中，上述中继路由状态包括：量子通信中继节点与两个相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识。在另一种可能的设计中，上述中继路由状态还包括：量子通信服务节点所产生的随机数分组与相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识。其中，上述路由标识包括但不限于：全局标识、连接当前目标节点与当前目标节点的上一个相邻的目标节点及下一个相邻的目标节点的链路标识（或，当前节点的标识、第一相邻的目标节点的标识、第二相邻的目标节点的标识）。

在一种可能的设计中，上述步骤s102可以替换为：把所接收到的一个或多个中继路由状态上传到目标服务器；其中，一个或多个中继路由状态可以是一个虚拟节点中继状态。

在另一种可能的设计中，上述步骤s102可以替换为：缓存上述一个或多个中继路由状态，如果所缓存的中继路由状态的数量达到预设值，把所缓存的一定量中继路由状态上传到目标服务器。

在一种可能的设计中，在上述实施例的基础上，可以包括：中继路由采集装置响应目标服务器的指令，上述指令指示的内容包括但不限于：中继路由状态的全局标识。

在一种可能的设计中，在上述实施例的基础上，还可以包括：中继路由采集装置存储一定数量的虚拟节点中继状态。

在上述实施例中，上述封装包括但不限于：创建节点标识、创建数字签名；其中，上述节点标识包括但不限于：当前目标节点的标识、全局标识、相邻目标节点的数量。上述上传包括但不限于：采用加密方式进行数据传输，比如，采用vpn方式传输，或，采用对称密码算法加密数据再通过网络发送加密数据。

在一种可能的设计中，在上述实施例中，一个中继路由采集装置采用离线或在线身份认证方式进行授权并接入一个量子通信节点装置，被授权接入后即建立二者之间的身份关联。

图2示例性示出了本发明实施例提供的一种中继路由采集装置，包括：接口模块201和接口模块202：接口模块201用于接收目标服务器的指令和上传中继路由状态；接口模块202用于通过量子通信节点装置的应用系统软件的api接口接收中继路由状态；

数据处理单元203：用于对接收到的中继路由状态进行缓存或/和封装；

存储单元204：用于缓存或存储中继路由状态或/和虚拟节点中继状态。

在一种可能的实施例中，上述存储单元204可以是该中继路由采集装置所接入qkd系统的存储器的一个分区或存储地址。在另一种可能的实施例中，可以不配置上述存储单元204。

上述实施例的应用方法包括但不限于：通过量子通信节点装置的系统应用软件的api接口接收中继路由状态，数据处理单元对接收到的中继路由状态进行缓存或/和封装；存储单元缓存或存储中继路由状态或/和虚拟节点中继状态；通过应用软件的输出接口上传中继路由状态或/和虚拟节点中继状态到服务器。

在一种可能的设计中，上述实施例可以是一个安装到量子通信节点装置中的客户端应用软件或嵌入式小程序，该客户端应用软件或嵌入式小程序通过量子通信节点装置的系统应用软件的api接口获取中继路由状态，通过调用网络通信接口上传中继路由状态或/和虚拟节点中继状态到服务器。

图3示例性示出了本发明实施例提供的另一种中继路由采集装置，包括：

收发器301：用于接收目标服务器的指令、上传中继路由状态；

处理器302：用于对接收到的中继路由状态进行缓存或/和封装；

存储器303：用于缓存或存储中继路由状态或/和虚拟节点中继状态；

可选地，还可以包括总线304和通信接口305。

上述总线可以是外设部件互连标准(peripheralcomponentinterconnect，简称pci)总线或扩展工业标准结构(extendedindustrystandardarchitecture，简称eisa)总线等。总线可以分为地址总线、数据总线、控制总线等。为便于表示，图3中仅用一条粗线表示，但并不表示仅有一根总线或一种类型的总线。

上述存储器可以包括易失性存储器(volatilememory)，例如随机存取存储器(random-accessmemory，简称ram)；存储器也可以包括非易失性存储器(non-volatilememory)，例如快闪存储器(flashmemory)、硬盘(harddiskdrive，简称hdd)或固态硬盘(solid-statedrive，简称ssd)；存储器还可以包括上述种类的存储器的组合。

上述通信接口可以为有线通信接入口、无线通信接口或其组合，其中，有线通信接口例如可以为以太网接口、usb接口或其组合。以太网接口可以是光接口、电接口或其组合。无线通信接口可以为wlan接口。

上述处理器可以是中央处理器(centralprocessingunit，简称cpu)、网络处理器(networkprocessor，简称np)或者cpu和np的组合。上述处理器还可以进一步包括硬件芯片。上述硬件芯片可以是专用集成电路(application-specificintegratedcircuit，简称asic)、可编程逻辑器件(programmablelogicdevice，简称pld)或其组合。上述pld可以是复杂可编程逻辑器件(complexprogrammablelogicdevice，简称cpld)、现场可编程逻辑门阵列(field-programmablegatearray，简称fpga)、通用阵列逻辑(genericarraylogic，简称gal)或其任意组合。

上述另一种中继路由采集装置的应用方法包括但不限于：通过usb接口从量子通信节点装置接收中继路由状态，处理器对接收到的中继路由状态进行缓存或/和封装；缓存或存储中继路由状态或/和虚拟节点中继状态；通过无线通信接口上传中继路由状态或/和虚拟节点中继状态到服务器。

上述中继路由状态包括：量子通信中继节点与两个相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识，或量子通信服务节点所产生的随机数分组与相邻量子通信节点所协商的共享量子密钥分组的异或值及其路由标识。

在一种可能的设计中，上述收发器可以包括：5g移动通信模块，上述5g移动通信模块用于把中继路由状态或/和虚拟节点中继状态发送给服务器。在另一种可能的设计中，上述收发器还可以采用其它无线通信模式（包括但不限于：基于移动通信网络的通信、基于通信卫星通道的通信、基于wi-fi网络的通信），并用于把中继路由状态或/和虚拟节点中继状态发送给服务器。

图4示例性示出了本发明实施例提供的一种中继路由采集应用系统，包括：n个中继路由采集装置401（图4中的ri，0<i<n+1，i和n都是整数，n>2),一个量子网络虚拟化服务器（图4中的qnv服务器402）；n个量子通信节点403（图4中的节点i，0<i<n+1，i和n都是整数，n>2)，一个量子网络管控服务器404。其应用方法包括但不限于：每一个中继路由采集装置ri接入一个节点i(0<i<n+1，i和n都是整数，n>2)，并建立关联；qnv服务器402向量子网络管控服务器404发送请求，量子网络管控服务器404向节点i(0<i<n+1，i和n都是整数，n>2)发送中继路由采集指令（该指令所指示的内容包括该次采集所统一采用的全局标识），节点i(0<i<n+1，i和n都是整数，n>2)创建相应的中继路由状态并分别发送给中继路由采集装置ri(0<i<n+1，i和n都是整数，n>2)，中继路由采集装置ri(0<i<n+1,i和n都是整数，n>2)分别上传相应的中继路由状态到qnv服务器402。

图5给出了本发明实施例提供的一个中继路由状态创建方法、采集方法及其应用方法；该目标量子网络包括三个中继节点1、2和3，包括4个服务节点4、5、6和7，其中，任意一个节点与每一个相邻节点分别协商1个共享量子密钥qk_ij(其中，qk_ij=qk_ji，表示节点i与节点j之间协商的共享量子密钥分组)，中继节点j分别计算每一个中继路由状态(记为rrs_ijk，其中，0<j<4,j是整数)；服务节点i的节点中继路由状态记为rrs_iij。例如，节点1的一个中继路由状态为:rrs_412=rrs_214=(qk_41⊕qk_12)，节点4的节点中继路由状态为:rrs_441=(qk_41⊕r_4)，其中，r_i（i=4，5，6或7）是服务节点i产生并需要安全存储的随机数分组。其它节点可以采用类似方法计算。需要说明的是，上述中继路由状态的路由标识中可以包含全网统一的全局标识。7个节点分别把上述其全部中继路由状态发送给所接入的中继路由采集装置，每一个中继路由采集装置再分别把上述中继路由状态进行数字签名并作为一个数据文件发送给服务器。

服务器可以把通过验证的上述全部节点的全部中继路由状态作为一个全网中继路由状态切片（相应地，上述全局标识可以用于标识该切片及其中所包含的中继路由状态），基于该切片，可以计算任意两个服务节点之间的虚拟量子链路状态(记为vqls)。例如，服务节点4与5之间的虚拟量子链路状态为:

vqls_45=rrs_441⊕rrs_413⊕rrs_531⊕rrs_553

=(r_4⊕qk_41)⊕(qk_41⊕qk_13)⊕(qk_13⊕qk_53)⊕(qk_53⊕r_5)

=r_4⊕r_5。

显然，在一种可能的设计中，服务节点4与5可以基于vqls_45直接协商使用r_4或r_5作为共享会话密钥。采用类似的方法可以计算其它任意两个服务节点之间的虚拟量子链路状态，或/和进行量子密钥服务。

在另一种可能的设计中，可以只采集中继节点的中继路由状态，相应地，服务节点存储与相邻节点协商的量子密钥分组，而不需要再产生和存储随机数分组。

本领域内的技术人员应明白，本发明的实施例可提供为方法、装置(或系统)、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。

本发明是参照根据本发明实施例的方法、装置(或系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。

这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。

这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。

尽管结合具体特征及其实施例对本发明进行了描述，显而易见的，在不脱离本发明的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明，且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。