一种星地一体量子网络的切片化应用方法与流程

1.本发明涉及星地一体量子密钥分发技术领域，尤其涉及一种星地一体量子网络的切片化应用方法。


背景技术：

2.目前的量子通信受制于量子态传输距离的限制，只能依赖可信中继实现远距离的量子通信。为了实现大跨度节点之间的量子通信问题，通常采用量子卫星进行可信中继。已公开文献通常把量子卫星作为可信中继节点，或者，量子卫星直接为两个地面站之间分发共享量子密钥，但是，一方面，量子卫星被用作一个存储用户密钥的密码装置，其安全管理难度较大，存在失控的安全隐患，不能满足用户对通信保密的可管可控和安全可信需求。另一方面，由于量子卫星链路的带宽受限，利用量子卫星进行实时量子密钥中继的应用模式的服务能力受限。这些都影响量子卫星的实际应用推广。
3.本发明在不改变qkd网络结构、不影响常规应用模式的前提下，通过获取qkd链路的少量带宽计算关联异或值切片，并基于存储的异或值切片数据库，采用查询关联异或值的方式重构量子密钥分发链路；实现了量子密钥服务与量子链路的分离，并通过多链路增强压缩量子卫星在内的量子中继节点可能获取的用户密钥信息量，因此，本发明具有更高的安全性、可靠性和应用灵活性，具有更好的可管控性能，具有良好的应用前景。


技术实现要素：

4.本发明提供了一种星地一体量子网络的切片化应用方法，包括但不限于：创建量子卫星链路的静态切片库，如果创建了两个或多个量子卫星的静态切片库，则，创建两个或多个量子卫星链路的关联静态切片库，其特征在于，创建量子卫星链路的静态切片库包括：量子卫星与两个或多个量子卫星地面接收装置之间分别协商一个量子密钥分组，量子卫星地面接收装置存储相应的上述量子密钥分组，量子卫星计算具有相同分组标识或切片标识的上述量子密钥分组中任意两个的异或值并销毁上述量子密钥分组，静态切片库服务装置把上述异或值作为一个静态切片，多个静态切片组成静态切片库；创建两个或多个量子卫星链路的关联静态切片库包括：如果存在量子卫星地面接收装置与两个或多个量子卫星分别协商了一个量子密钥分组，则，选择一个上述量子卫星地面接收装置计算上述量子密钥分组中任意两个的异或值，并发送给相应的静态切片库服务装置，静态切片库服务装置把相应的具有相同分组标识或切片标识的静态切片更新为关联静态切片，或者重新创建一个关联静态切片库；如果没有一个量子卫星地面接收装置可以与两个或多个量子卫星协商量子密钥，则，通过连接两个或多个上述量子卫星地面接收装置的qkd网络的静态切片创建星地一体关联静态切片。
5.进一步地，上述方法还包括：创建星地一体qkd网络的静态切片库，其特征在于，一个量子卫星地面接收装置与地面qkd网络的一个qkd节点之间协商量子密钥分组，通过计算上述量子密钥分组与量子卫星地面接收装置所存储的量子密钥分组的异或值建立上述两
个量子密钥分组所关联的静态切片之间的关联，并创建量子卫星链路的静态切片与地面qkd网络的静态切片的关联。
6.进一步地，上述方法还包括：基于量子卫星链路的静态切片库提供端到端共享密钥协商服务，其特征在于，与两个量子卫星地面接收装置关联的应用装置发起请求，静态切片库的服务装置查找与两个量子卫星地面接收装置关联的静态切片数据，基于上述静态切片数据得到两个量子卫星地面接收装置相应量子密钥分组的异或值，两个量子卫星地面接收装置基于一个或多个上述异或值协商共享密钥，两个量子卫星地面接收装置再分别把上述共享密钥发送给相应的应用装置。
7.进一步地，上述方法还包括：基于星地一体qkd网络的静态切片库提供端到端共享密钥协商服务，其特征在于，与两个量子节点关联的应用装置发起请求，静态切片库的服务装置查找与两个量子节点关联的静态切片数据，基于上述静态切片数据计算得到两个量子节点相应量子密钥分组的异或值，两个量子节点基于一个或多个上述异或值协商共享密钥，两个量子节点再分别把上述共享密钥发送给相应的应用装置。
8.进一步地，上述方法还包括：把一个静态切片再切分成为多个子切片。
9.本发明具有如下创新性：本发明实现了量子密钥服务与量子链路的分离，基于静态切片库可以灵活地实现多链路增强提升安全性并压缩量子节点可能获取的用户密钥信息量，因此，具有更高的安全性、可靠性和应用灵活性，具有良好的应用前景。
附图说明
10.图1本发明实施例提供的基于一颗量子卫星的星地一体量子网络的切片化应用方法示意图；图2本发明实施例提供的基于两颗量子卫星的星地一体量子网络的切片化应用方法示意图；图3本发明实施例提供的一种星地一体量子网络的切片化应用方法示意图；图4本发明实施例提供的一种基于静态切片库的多链路增强应用方法示意图。
具体实施方式
11.为了使本发明的目的、技术方案及有益效果更加清楚明白，作为本发明的一部分，以下结合附图及具体实施例，对本发明作进一步说明。
12.下面结合本发明实施例所提供的基于一颗量子卫星的星地一体量子网络的切片化应用方法实施例说明本发明方法原理。如图1所示，其中包括，一颗量子卫星、3个量子卫星地面接收装置a、b和c，分别与a、b和c关联的应用管理装置a、b和c、静态切片库服务装置。创建静态切片库的方法包括：在一个切片周期内，采用相同的分组标识或切片标识，量子卫星与量子卫星地面接收装置a在时刻t1协商一个量子密钥分组ka，量子卫星与量子卫星地面接收装置b在时刻t2协商一个量子密钥分组kb，量子卫星与量子卫星地面接收装置c在时刻t3协商一个量子密钥分组kc，应用管理装置a、b和c分别保存ka、kb和kc；在时刻t4，量子卫星计算ka
⊕
kb、ka
⊕
kc和kb
⊕
kc（由于kb
⊕
kc=ka
⊕
kb
⊕
ka
⊕
kc，所以，可以不计算该异或值，因此，以下省略该数据），并把ka
⊕
kb和ka
⊕
kc发送给静态切片库服务装置；量子卫星销毁ka、kb和kc；静态切片库服务装置把ka
⊕
kb和ka
⊕
kc封装为一个量子卫星链路的静态切
片；重复上述过程，创建包括一定数量静态切片的量子卫星链路的静态切片库。
13.在一种可能的实施例中，上述静态切片库服务装置可以基于多个静态切片中的关联异或值为应用管理装置或/和应用装置之间协商共享量子密钥。例如，协商应用管理装置a和b之间的共享密钥，可以从静态切片库中随机选择1个静态切片中与量子卫星地面接收装置a和b的关联的1个异或值（例如，ka
⊕
kb），把该异或值分别发送给应用管理装置a和b, 应用管理装置a和b可以协商采用相应的量子密钥分组作为共享密钥（例如，ka或kb）。
14.在一种可能的实施例中，一个量子卫星地面接收装置可以与两个或多个量子卫星分别协商量子密钥分组，该量子卫星地面接收装置计算与其中两个量子卫星分别所协商的量子密钥分组的异或值，并把该异或值发送给一个或多个静态切片库服务装置，可以用于实现不同量子卫星链路的静态切片之间的关联互通。在上述实施例的基础上，图2给出了一种基于两颗量子卫星的星地一体量子网络的切片化应用方法示意图，其中，第二颗量子卫星与量子卫星地面接收装置d在时刻t5协商一个量子密钥分组k5，第二颗量子卫星与量子卫星地面接收装置b在时刻t6协商一个量子密钥分组k6；量子卫星地面接收装置d计算kb
⊕
k6，并把kb
⊕
k6发送给上述静态切片库服务装置，相应的，上述静态切片库服务装置把{ka
⊕
kb、ka
⊕
kc、kb
⊕
kc、kb
⊕
k6}封装为一个新的量子卫星链路关联静态切片，并用于实现两颗量子卫星链路之间的互联互通。例如，基于上述静态切片，量子卫星地面接收装置c与d所关联的应用管理装置之间的密钥协商：请求第二颗量子卫星的静态切片库服务装置并获得k5
⊕
k6, 请求第一颗量子卫星的静态切片库服务装置并获得kb
⊕
k6和kb
⊕
kc，计算(k5
⊕
k6)
⊕
(kb
⊕
k6)
⊕
(kb
⊕
kc)= k5
⊕
kc, 应用管理装置c与d可以基于k5
⊕
kc协商一个共享密钥。
15.在一种可能的实施例中，基于上述实施例方法，可以得到基于多颗量子卫星的星地一体量子网络的切片化应用方法。
16.图3给出了一个星地一体量子网络的切片化应用方法实施例；在上述任一个实施例的基础上，星地一体量子网络的切片化应用方法还包括：与量子卫星地面接收装置a或应用管理装置a连接的局域qkd网络a、与量子卫星地面接收装置c或应用管理装置c连接的局域qkd网络c、星地一体qkd网络静态切片库服务装置、量子密钥服务装置。其中，星地一体qkd网络静态切片库服务装置用于创建地面qkd网络的静态切片库和星地一体qkd网络的静态切片库，并提供静态切片服务；量子密钥服务装置用于基于上述静态切片库并面向应用装置提供共享密钥服务。局域qkd网络a的静态切片与局域qkd网络c的静态切片之间通过ka
⊕
kc实现关联互通，局域qkd网络a的静态切片与u3通过ka
⊕
kb实现关联互通。例如，量子服务节点q2为量子密钥应用装置u2提供随机数分组kq2u2，应用管理装置b为量子密钥应用装置u3提供随机数分组kbu3；协商u2与u3的共享密钥时，量子密钥服务装置从关联的量子服务节点和相应的静态切片中获取相应的异或值，并计算：(kq2u2
⊕
kq1q2)
⊕
(kq1q2
⊕
kaq1)
⊕
(kaq1
⊕
ka)(ka
⊕
kb)
⊕
(kb
⊕
kbu3=kq2u2
⊕
kbu3, 然后把kq2u2
⊕
kbu3发送给u2与u3，u2与u3协商采用kq2u2或kbu3作为共享密钥。另外，图4中的量子节点q1、q2、q3、q4、q5，应用终端u1、u2、u3、u4仅用于展示应用场景和连接关系，而不用于具体的限定。
17.上述实施例中，与量子卫星地面接收装置或应用管理装置连接局域qkd网络的方式包括但不限于：通过与量子卫星地面接收装置或应用管理装置关联的qkd系统接入qkd网络、通过安全通道把量子卫星地面接收装置或应用管理装置接入qkd网络的一个qkd节点。
静态切片库服务装置包括但不限于：独立的硬件设备、嵌入到应用管理装置中的功能模块（包括软件、硬件、软件和硬件集成模块）。星地一体qkd网络静态切片库服务装置与量子密钥服务装置包括但不限于：两个独立的硬件设备或软件模块、一个集成星地一体qkd网络静态切片库服务与量子密钥服务于一体的功能装置（包括软件、硬件、软件与硬件集成设备或功能模块）。
18.需要说明的是，在上述任一个实施例中，上述时刻t1、t2、t3、t4、t5和t6包括有时间先后次序的情形，也包括不限定时间先后次序的情形；相应地，上述一个时间切片周期，包括量子卫星依先后次序经过相应的量子卫星地面接收装置，也包括，量子卫星多次经过相应的量子卫星地面接收装置。
19.在一种可能的实施例中，上述实施例中的星地一体qkd网络静态切片库包括：仅包括一部分量子节点的星地一体qkd网络静态切片库，例如，一个可能的静态切片只包括a、c、q1、q2、q3和q4之间的量子密钥分发链路上的相关量子节点的静态切片数据。
20.在一种可能的实施例中，在上述实施例的基础上，还包括以下步骤：静态切片库服务装置把一个静态切片再切分成为多个子切片。如果用于创建静态切片的量子密钥分组长度比较大，可以根据应用需求把一个静态切片再分割编排为多个子切片，例如，把上述ka
⊕
kb、ka
⊕
kc按照相同的数据格式和比特长度切分为m段，则得到m个子切片{(ka_i
⊕
kb_i), (ka_i
⊕
kc_i) }，m=0,1,
…
,m
‑
1。
21.图4为本发明实施例提供的一种基于静态切片库的多链路增强应用方法流程，其中包括：量子密钥服务装置、关联量子节点a和b（可以是上述实施例中的qkd系统节点、量子卫星地面接收装置或应用管理装置等）、第一客户端u和第二客户端v；关联量子节点a为第一客户端u提供随机数分组并创建相应的服务关联，关联量子节点b为第二客户端v提供随机数分组并创建相应的服务关联；关联量子节点a和b分别把上述服务关联发送给量子密钥服务装置；其中，服务关联由若干条记录组成，每一条记录代表一台已经注册的客户端的关联信息，包括但不限于客户端的id标识、关联量子节点的id标识、随机数分组的余量信息；服务流程包括如下步骤：步骤1：量子密钥服务装置响应第一客户端u与第二客户端v协商量子密钥的服务请求，通过查询服务关联信息获取第一客户端u与第二客户端v所关联的关联量子节点a和b；步骤2：量子密钥服务装置从星地一体量子链路的静态切片库中选择m（m是一个大于1且不大于切片总数量一半的自然数，为了具体说明用法，以下假定m=3，但并不用于限定m的取值范围）个关联切片中与上述两个关联量子节点关联的m个异或值（为方便起见，记为k_a_1
⊕
k_b_1,k_a_2
⊕
k_b_2,k_a_3
⊕
k_b_3，其中，k_a/b_i是关联量子节点a/b的第i个量子密钥分组），并把上述m个异或值的异或值（即k_a_1
⊕
k_b_1
⊕
k_a_2
⊕
k_b_2
⊕
k_a_3
⊕
k_b_3）发送给关联量子节点a，把上述m个异或值的标识发送给关联量子节点b；步骤3：关联量子节点a计算所接收到的上述异或值与上述m个异或值所关联的m个量子密钥分组的异或值（即，k_a_1
⊕
k_b_1
⊕
k_a_2
⊕
k_b_2
⊕
k_a_3
⊕
k_b_3
⊕
k_a_1
⊕
k_a_2
⊕
k_a_3=k_b_1
⊕
k_b_2
⊕
k_b_3），对上述异或值进行hash运算并得到一个密钥分组（为方便起见，记为sk，例如，可以采用sm3算法，计算sk=sm3(k_b_1
⊕
k_b_2
⊕
k_b_3)）；关联量子节点b采用同样的方法计算上述m个异或值所关联的m个量子密钥分组的异或值（即k_b_1
⊕
k_b_2
⊕
k_b_3），对上述异或值进行上述hash运算并得到上述密钥分组sk（即sk=sm3(k_b_1
⊕
k_b_2
⊕
k_b_3)）；步骤4：关联量子节点a利用第一客户端u的1个随机数分组加密上述密钥分组sk并发送给第一客户端u或通过量子密钥服务装置发送给第一客户端u，第一客户端u利用相应的1个随机数分组解密并得到上述密钥分组sk；关联量子节点b利用第二客户端v的1个随机数分组加密上述密钥分组并发送给第二客户端或通过量子密钥服务装置发送给第二客户端，第二客户端v利用相应的1个随机数分组解密并得到上述密钥分组sk。基于上述方法原理，可以得到多个实质上等同的具有相同效果的多链路增强实施例。
22.在上述任一个实施例中，上述异或值、量子密钥分组与随机数分组都是具有相同数据格式的一定比特长度的随机数序列。考虑到量子卫星链路用于创建静态切片的量子密钥量可以根据实际应用需求进行动态调整，本发明不具体限定量子密钥分组的长度。
23.需要说明的是，上述任一个实施例中，量子服务节点和量子中继节点的标识和qkd网络的拓扑结构等都只用于说明本发明的工作原理，并不用于限定，所有基于上述工作原理所形成的实施例都落入本发明的保护范围。
24.尽管结合具体特征及其实施例对本发明进行了描述，显而易见的，在不脱离本发明的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明，且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。