本技术涉及通信,尤其涉及一种面向多域qkd网络的资源分配方法及相关设备。
背景技术:
1、量子密钥分发(quantumkey distribution,qkd)技术利用了力学特性来保证通信的安全性,它使点对点的通信双方能够产生并且共享一对随机、安全的密钥,用来对信息进行加密和解密。但是单一的点对点通信无法满足日益增长的网络需求和庞大的用户群体,网络拓扑在不断迭代的过程中逐渐复杂,形成多域网络。而量子密钥分发与多域网络结合,能为更多用户提供更安全的服务,但是在实际的组网中,量子密钥分发的无条件安全性却难以得到保证。
2、由于密钥生成速率低,为避免珍贵的密钥资源被浪费,密钥并不会即产生即使用,而是会存储在两个相邻节点的密钥池中。当处于多域okd网络的两用户需要密钥时。还会通过密钥中继的方式获得相同密钥,但是攻击者攻击了一部分密钥管理器,非法窃取了其中的部分密钥,并在与其相连的链路上设置窃听点,当密钥在网络链路上中继时,如果中继节点包含被窃取密钥的密钥管理节点、中继路径包含被窃听链路,密钥就有被窃听者截获并被破译的安全风险,从而导致端到端的信息加密在攻击者视角下变为明文消息,失去保密作用,造成信息泄露等更加严重的危害。
3、因此,在多域qkd网络中存在窃听的情况下,如何保证密钥资源分配的的安全性是一个亟待解决的问题。
技术实现思路
1、有鉴于此,本技术的目的在于提出一种面向多域qkd网络的资源分配方法及相关设备,用以解决或部分解决上述技术问题。
2、基于上述目的,本技术的第一方面提供了一种面向多域qkd网络的资源分配方法,应用于面向多域qkd网络资源的资源分配系统,所述系统包括至少两个qkd网络域,所述方法包括:
3、响应于接收到密钥资源分配指令,根据所述密钥资源分配指令确定目标分配密钥的数量,以及从所述至少两个qkd网络域中确定源节点与目的节点,其中,所述源节点与所述目的节点处于不同的qkd网络域;
4、基于所述源节点和目的节点进行密钥冗余位确定,得到当前资源分配的密钥冗余位;
5、通过所述密钥冗余位和所述目标分配密钥的数量对所述目标分配密钥进行冗余加密,得到中继分配密钥;
6、确定从所述源节点到所述目的节点的目标分配路径,并按照所述目标分配路径将所述中继分配密钥分配至所述目的节点。
7、可选地,所述基于所述源节点和目的节点进行密钥冗余位确定,得到当前资源分配的密钥冗余位,包括:
8、获取与目标资源分配任务对应的预设的冗余位添加比例,其中,所述目标资源分配任务为从所述源节点至所述目的节点的资源分配任务;
9、对所述冗余位添加比例和所述目标分配密钥的数量进行乘积处理,得到当前资源分配的密钥冗余位。
10、可选地,所述通过所述密钥冗余位和所述目标分配密钥的数量对所述目标分配密钥进行冗余加密,得到中继分配密钥,包括:
11、将所述目标分配密钥的数量与所述密钥冗余位进行加和处理,得到中继分配密钥的数量;
12、在所述目标分配密钥中添加与所述密钥冗余位对应数量的冗余密钥,得到与所述中继分配密钥的数量对应的分配密钥作为所述中继分配密钥。
13、可选地,所述中继分配密钥的数量大于或等于预设的密钥量阈值;
14、所述确定从所述源节点到所述目的节点的目标分配路径,包括:
15、获取预设的目标分配路径的数量,将所述中继分配密钥的数量与所述目标分配路径的数量进行比值处理,得到每个目标分配路径的中继分配密钥的数量;
16、确定与所述目标分配路径的数量对应数量的跨域路径;
17、对每个所述跨域路径执行以下操作:
18、确定所述跨域路径中与所述源节点在相同qkd网络域的第一跨域节点,以及与所述目的节点在相同qkd网络域的第二跨域节点;
19、确定从所述源节点到所述第一跨域节点的全部第一同域分配路径,并统计各个第一同域分配路径的路径长度,同时确定从所述第二跨域节点到所述目的节点的全部第二同域分配路径,并统计各个第二同域分配路径的路径长度;
20、从所述全部第一同域分配路径中确定路径长度最小的预定数量的第一同域分配路径,同时从全部第二同域分配路径中确定路径长度最小的预定数量的第二同域分配路径;
21、基于路径长度最小的预定数量的第一同域分配路径和路径长度最小的预定数量的第二同域分配路径确定目标分配路径。
22、可选地,所述基于路径长度最小的预定数量的第一同域分配路径和路径长度最小的预定数量的第二同域分配路径确定目标分配路径,包括:
23、响应于所述预定数量为1,将路径长度最小的预定数量的第一同域分配路径和路径长度最小的预定数量的第二同域分配路径进行组合,得到所述目标分配路径;或者,
24、响应于所述预定数量大于或等于2,统计与各个路径长度最小的预定数量的第一同域分配路径和/或各个路径长度最小的预定数量的第二同域分配路径对应的密钥池的密钥可用量;
25、从所述各个路径长度最小的预定数量的第一同域分配路径中确定密钥池的密钥可用量最大的第一同域分配路径,从所述各个路径长度最小的预定数量的第二同域分配路径中确定密钥池的密钥可用量最大的第二同域分配路径,将所述密钥池的密钥可用量最大的第一同域分配路径和所述密钥池的密钥可用量最大的第二同域分配路径进行组合,得到所述目标分配路径。
26、可选地,所述中继分配密钥的数量小于预设的密钥量阈值;
27、所述确定从所述源节点到所述目的节点的目标分配路径,包括:
28、确定从所述源节点到所述目的节点的全部分配路径,并统计各个分配路径的路径长度;
29、从所述全部分配路径中确定路径长度最小的预定数量的分配路径,基于路径长度最小的预定数量的分配路径确定目标分配路径。
30、可选地,所述基于路径长度最小的预定数量的分配路径确定目标分配路径,包括:
31、响应于所述预定数量为1,将路径长度最小的预定数量的分配路径作为所述目标分配路径;或者,
32、响应于所述预定数量大于或等于2,统计与各个路径长度最小的预定数量的分配路径对应的密钥池的密钥可用量;
33、从所述各个路径长度最小的预定数量的分配路径中确定密钥池的密钥可用量最大的分配路径,将所述密钥池的密钥可用量最大的分配路径作为所述目标分配路径。
34、基于同一发明构思,本技术的第二方面提供了一种面向多域qkd网络的资源分配装置,其特征在于,所述装置设置于面向多域qkd网络资源的资源分配系统,所述系统包括至少两个qkd网络域,所述装置包括:
35、第一确定模块,被配置为响应于接收到密钥资源分配指令,根据所述密钥资源分配指令确定目标分配密钥的数量,以及从所述至少两个qkd网络域中确定源节点与目的节点,其中,所述源节点与所述目的节点处于不同的qkd网络域;
36、第二确定模块,被配置为基于所述源节点和目的节点进行密钥冗余位确定,得到当前资源分配的密钥冗余位;
37、加密模块,被配置为通过所述密钥冗余位和所述目标分配密钥的数量对所述目标分配密钥进行冗余加密,得到中继分配密钥;
38、分配模块,被配置为确定从所述源节点到所述目的节点的目标分配路径,并按照所述目标分配路径将所述中继分配密钥分配至所述目的节点。
39、基于同一发明构思,本技术的第三方面提供了一种电子设备,包括存储器、处理器及存储在所述存储器上并可由所述处理器执行的计算机程序,所述处理器在执行所述计算机程序时实现如上第一方面所述的方法。
40、基于同一发明构思,本技术的第四方面提供了一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,所述计算机指令用于使计算机执行如上第一方面所述的方法。
41、从上面所述可以看出,本技术提供的面向多域qkd网络的资源分配方法及相关设备,利用处于不同的qkd网络域中的源节点和目的节点进行密钥冗余位确定,得到当前资源分配的密钥冗余位,通过该密钥冗余位和目标分配密钥的数量对目标分配密钥进行冗余加密,得到中继分配密钥,从而使得在qkd网络中传输的密钥仅为通拥有密钥冗余位的中继分配密钥,不将最终的加密密钥直接暴露于中继传输中,从而按照目标分配路径将中继分配密钥分配至目的节点,就能够有效防止窃听攻击,保证了密钥资源分配的的安全性。
1.一种面向多域qkd网络的资源分配方法,其特征在于,应用于面向多域qkd网络资源的资源分配系统,所述系统包括至少两个qkd网络域,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述基于所述源节点和目的节点进行密钥冗余位确定,得到当前资源分配的密钥冗余位,包括:
3.根据权利要求1所述的方法,其特征在于,所述通过所述密钥冗余位和所述目标分配密钥的数量对所述目标分配密钥进行冗余加密,得到中继分配密钥,包括:
4.根据权利要求3所述的方法,其特征在于,所述中继分配密钥的数量大于或等于预设的密钥量阈值;
5.根据权利要求4所述的方法,其特征在于,所述基于路径长度最小的预定数量的第一同域分配路径和路径长度最小的预定数量的第二同域分配路径确定目标分配路径,包括:
6.根据权利要求3所述的方法,其特征在于,所述中继分配密钥的数量小于预设的密钥量阈值;
7.根据权利要求6所述的方法,其特征在于,所述基于路径长度最小的预定数量的分配路径确定目标分配路径,包括:
8.一种面向多域qkd网络的资源分配装置,其特征在于,所述装置设置于面向多域qkd网络资源的资源分配系统,所述系统包括至少两个qkd网络域,所述装置包括:
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述程序时实现如权利要求1至7任意一项所述的方法。
10.一种非暂态计算机可读存储介质,所述非暂态计算机可读存储介质存储计算机指令,其特征在于,所述计算机指令用于使计算机执行权利要求1至7任一所述方法。
