基于光传送网络的网关网元的量子密钥分发方法和装置与流程

本发明涉及量子保密通信，特别是涉及一种基于光传送网络的网关网元的量子密钥分发方法和装置。

背景技术：

1、当前，运营商的网络传输通道主要采用otn(optical transport network，光传送网络)进行数据承载传输，其otn承载传输的安全性主要依赖密钥私密性和计算复杂性。但随着攻击技术的发展和人类计算能力的增强，已出现了针对光缆的无损窃听和伪装攻击手段，同时随着量子计算技术的逐步成熟，基于计算复杂度的传统加密算法破解难度和时间呈现指数级下降，传统保密体系被破解风险与日俱增。

2、为了实现保密通信，网络中的节点设备在进行业务通信时，通常需要通过密钥对信息进行加密。qkd(quantum key distribution，量子密钥分发)技术因具有理论上“无条件安全”的优势，从而越来越广泛地被使用。现阶段量子密钥分发网络在全国各个城市同步建设，如何就近分发跨域的量子密钥是目前面对的问题。

技术实现思路

1、为了解决上述问题，本发明实施例公开了一种基于光传送网络的网关网元的量子密钥分发方法和装置。

2、第一方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发方法，应用于本端量子网关，所述方法包括：

3、接收本端光传送网络设备发送的第一密钥获取请求；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

4、根据所述第一密钥获取请求，向本端光传送网络设备对应的本端量子密码服务平台发送第二密钥获取请求；

5、接收所述本端量子密码服务平台根据所述第二密钥获取请求发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台调用本端量子网络节点获取；

6、向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥。

7、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取；所述对端光传送网络设备的识别码和加密端口号，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取；所述本端量子密码服务平台的识别码和所述对端量子密码服务平台的识别码，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取。

8、可选地，所述第二密钥获取请求还包括所述本端量子网关的地址，所述接收所述本端量子密码服务平台根据所述第二密钥获取请求发送的所述与对端光传送网络设备配对的量子密钥，包括：

9、接收所述本端量子密码服务平台根据所述本端量子网关的地址，发送的所述与对端光传送网络设备配对的量子密钥。

10、可选地，在所述接收本端光传送网络设备发送的第一密钥获取请求之前，所述方法还包括：

11、根据所述本端光传送网络设备的识别码和加密端口号，将所述本端光传送网络设备注册到本端网管平台，以使综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至组网运营平台，由所述组网运营平台建立所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径。

12、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

13、第二方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发方法，应用于本端量子密码服务平台，所述方法包括：

14、接收本端量子网关发送的第二密钥获取请求；所述第二密钥获取请求由所述本端量子网关，根据本端光传送网络设备发送的第一密钥获取请求生成；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

15、根据所述第二密钥获取请求，调用本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥；

16、向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥，以使所述本端量子网关向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥。

17、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号，所述根据所述第二密钥获取请求，调用本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥，包括：

18、根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取所述对端光传送网络设备的识别码和加密端口号；

19、根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码；

20、根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥。

21、可选地，所述第二密钥获取请求还包括所述本端量子网关的地址，所述向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥，包括：

22、根据所述本端量子网关的地址，向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥。

23、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

24、可选地，所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，由综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至所述组网运营平台，由所述组网运营平台建立。

25、第三方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发方法，应用于本端光传送网络设备，所述方法包括：

26、向本端量子网关发送第一密钥获取请求，所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

27、接收所述本端量子网关发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由本端量子密码服务平台根据所述本端量子网关发送的第二密钥获取请求，调用本端量子网络节点获取；所述第二密钥获取请求由所述本端量子网关根据所述第一密钥获取请求生成。

28、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取；所述对端光传送网络设备的识别码和加密端口号，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取；所述本端量子密码服务平台的识别码和所述对端量子密码服务平台的识别码，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取。

29、可选地，第二密钥获取请求还包括所述本端量子网关的地址，所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台根据所述本端量子网关的地址发送至所述本端量子网关。

30、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

31、可选地，所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，由综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至所述组网运营平台，由所述组网运营平台建立。

32、第四方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发系统，所述系统包括：本端量子网关，本端量子密码服务平台，本端光传送网络设备和本端量子网络节点；

33、所述本端量子网关，用于接收所述本端光传送网络设备发送的第一密钥获取请求；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；根据所述第一密钥获取请求，向本端光传送网络设备对应的本端量子密码服务平台发送第二密钥获取请求；接收所述本端量子密码服务平台根据所述第二密钥获取请求发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台调用本端量子网络节点获取；向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥；

34、所述本端量子密码服务平台，用于接收本端量子网关发送的第二密钥获取请求；所述第二密钥获取请求由所述本端量子网关，根据本端光传送网络设备发送的第一密钥获取请求生成；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；根据所述第二密钥获取请求，调用本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥；向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥，以使所述本端量子网关向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥；

35、所述本端光传送网络设备，用于向本端量子网关发送第一密钥获取请求，所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；接收所述本端量子网关发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台根据所述本端量子网关发送的第二密钥获取请求，调用本端量子网络节点获取；所述第二密钥获取请求由所述本端量子网关根据所述第一密钥获取请求生成；

36、所述本端量子网络节点，用于获取所述与对端光传送网络设备配对的量子密钥。

37、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号；所述系统还包括：组网运营平台和业务管理平台；

38、所述本端量子密码服务平台，还用于根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取所述对端光传送网络设备的识别码和加密端口号；根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码；根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥；

39、所述组网运营平台，用于向所述本端量子密码服务平台发送所述对端光传送网络设备的识别码和加密端口号；

40、所述业务管理平台，用于向所述本端量子密码服务平台发送所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码。

41、可选地，所述第二密钥获取请求还包括所述本端量子网关的地址；

42、所述本端量子网关，还用于接收所述本端量子密码服务平台根据所述本端量子网关的地址，发送的所述与对端光传送网络设备配对的量子密钥；

43、所述本端量子密码服务平台，还用于根据所述本端量子网关的地址，向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥。

44、可选地，所述系统还包括：本端网管平台和综合网管平台；

45、所述本端量子网关，还用于根据所述本端光传送网络设备的识别码和加密端口号，将所述本端光传送网络设备注册到本端网管平台；

46、所述本端网管平台，用于根据所述本端光传送网络设备的识别码和加密端口号对所述本端光传送网络设备进行注册；向所述综合网管平台发送所述本端光传送网络设备的识别码和加密端口号；

47、所述综合网管平台，用于获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号；将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至所述组网运营平台；

48、所述组网运营平台，还用于根据所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号，建立所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径。

49、可选地，所述系统还包括：量子网络链路控制中心；

50、所述业务管理平台，还用于根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用所述量子网络链路控制中心；

51、所述量子网络链路控制中心，用于使用所述量子网络节点进行量子密钥的协商和生成；

52、所述量子网络节点，还用于进行量子密钥的协商和生成。

53、第五方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发装置，应用于本端量子网关，所述装置包括：

54、第一密钥请求接收模块，用于接收本端光传送网络设备发送的第一密钥获取请求；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

55、第二密钥请求发送模块，用于根据所述第一密钥获取请求，向本端光传送网络设备对应的本端量子密码服务平台发送第二密钥获取请求；

56、第二量子密钥接收模块，用于接收所述本端量子密码服务平台根据所述第二密钥获取请求发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台调用本端量子网络节点获取；

57、第一量子密钥发送模块，用于向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥。

58、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取；所述对端光传送网络设备的识别码和加密端口号，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取；所述本端量子密码服务平台的识别码和所述对端量子密码服务平台的识别码，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取。

59、可选地，所述第二密钥获取请求还包括所述本端量子网关的地址，所述第二量子密钥接收模块，包括：

60、第二量子密钥接收子模块，用于接收所述本端量子密码服务平台根据所述本端量子网关的地址，发送的所述与对端光传送网络设备配对的量子密钥。

61、可选地，在所述第一密钥请求接收模块之前，所述装置还包括：

62、业务路径建立模块，用于根据所述本端光传送网络设备的识别码和加密端口号，将所述本端光传送网络设备注册到本端网管平台，以使综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至组网运营平台，由所述组网运营平台建立所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径。

63、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

64、第六方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发装置，应用于本端量子密码服务平台，所述装置包括：

65、第二密钥请求接收模块，用于接收本端量子网关发送的第二密钥获取请求；所述第二密钥获取请求由所述本端量子网关，根据本端光传送网络设备发送的第一密钥获取请求生成；所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

66、配对量子密钥调用模块，用于根据所述第二密钥获取请求，调用本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥；

67、第二量子密钥发送模块，用于向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥，以使所述本端量子网关向所述本端光传送网络设备发送所述与对端光传送网络设备配对的量子密钥。

68、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号，所述配对量子密钥调用模块，包括：

69、第一设备信息获取子模块，用于根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取所述对端光传送网络设备的识别码和加密端口号；

70、第一平台信息获取子模块，用于根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码；

71、配对量子密钥调用子模块，用于根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取所述与对端光传送网络设备配对的量子密钥。

72、可选地，所述第二密钥获取请求还包括所述本端量子网关的地址，所述第二量子密钥发送模块，包括：

73、第二量子密钥发送子模块，用于根据所述本端量子网关的地址，向所述本端量子网关发送所述与对端光传送网络设备配对的量子密钥。

74、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

75、可选地，所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，由综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至所述组网运营平台，由所述组网运营平台建立。

76、第七方面，本发明实施例提供了一种基于光传送网络的网关网元的量子密钥分发装置，应用于本端光传送网络设备，所述装置包括：

77、第一密钥请求发送模块，用于向本端量子网关发送第一密钥获取请求，所述第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；

78、第一量子密钥接收模块，用于接收所述本端量子网关发送的所述与对端光传送网络设备配对的量子密钥；所述与对端光传送网络设备配对的量子密钥，由本端量子密码服务平台根据所述本端量子网关发送的第二密钥获取请求，调用本端量子网络节点获取；所述第二密钥获取请求由所述本端量子网关根据所述第一密钥获取请求生成。

79、可选地，所述第二密钥获取请求包括所述本端光传送网络设备的识别码和加密端口号；所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，所述对端光传送网络设备的识别码和加密端口号，所述本端量子密码服务平台的识别码和对端量子密码服务平台的识别码，调用所述本端量子网络节点获取；所述对端光传送网络设备的识别码和加密端口号，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和加密端口号，从组网运营平台获取；所述本端量子密码服务平台的识别码和所述对端量子密码服务平台的识别码，由所述本端量子密码服务平台，根据所述本端光传送网络设备的识别码和所述对端光传送网络设备的识别码，从业务管理平台获取。

80、可选地，第二密钥获取请求还包括所述本端量子网关的地址，所述与对端光传送网络设备配对的量子密钥，由所述本端量子密码服务平台根据所述本端量子网关的地址发送至所述本端量子网关。

81、可选地，所述与对端光传送网络设备配对的量子密钥，由所述业务管理平台，根据所述组网运营平台发送的所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，调用量子网络链路控制中心，由所述量子网络链路控制中心使用所述量子网络节点进行量子密钥的协商和生成。

82、可选地，所述本端光传送网络设备和所述对端光传送网络设备配对的业务路径，由综合网管平台获取所述本端网管平台发送的所述本端光传送网络设备的识别码和加密端口号，并获取对端网管平台发送的所述对端光传送网络设备的识别码和加密端口号，然后将所述本端光传送网络设备的识别码和加密端口号，以及所述对端光传送网络设备的识别码和加密端口号发送至所述组网运营平台，由所述组网运营平台建立。

83、第八方面，本发明示出了一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现上述的一种基于光传送网络的网关网元的量子密钥分发方法的步骤。

84、第九方面，本发明示出了一种计算机可读存储介质，所述计算机可读存储介质上存储计算机程序，所述计算机程序被处理器执行时实现上述的一种基于光传送网络的网关网元的量子密钥分发方法的步骤。

85、本发明实施例包括以下优点：

86、本发明实施例可以通过本端量子网关接收本端光传送网络设备发送的第一密钥获取请求；第一密钥获取请求用于指示获取与对端光传送网络设备配对的量子密钥；根据第一密钥获取请求，向本端光传送网络设备对应的本端量子密码服务平台发送第二密钥获取请求；接收本端量子密码服务平台根据第二密钥获取请求发送的与对端光传送网络设备配对的量子密钥；与对端光传送网络设备配对的量子密钥，由本端量子密码服务平台调用本端量子网络节点获取；向本端光传送网络设备发送与对端光传送网络设备配对的量子密钥，从而可以使本端光传送网络设备就近接入一城一池的本端量子密码服务平台，实现本地及跨域量子密钥分发。