一种星地一体量子密钥链路虚拟化应用服务系统的制作方法

1.本发明涉及星地一体量子密钥分发网络技术领域，尤其涉及一种星地一体量子密钥链路虚拟化应用服务系统。


背景技术：

2.目前的量子通信受制于量子态传输距离的限制，只能依赖可信中继实现远距离的量子通信。为了实现大跨度节点之间的量子通信问题，通常采用量子卫星进行可信中继。已公开文献通常把量子卫星作为可信中继节点，或者，量子卫星直接为两个地面站之间分发共享量子密钥，但是，一方面，量子卫星被用作一个存储用户密钥的密码装置，其安全管理难度较大，存在失控的安全隐患，不能满足用户对通信保密的可管可控和安全可信需求。另一方面，由于量子卫星链路的带宽受限，利用量子卫星进行实时量子密钥中继的应用模式的服务能力受限。这些都影响量子卫星的实际应用推广。
3.本发明通过量子卫星链路的虚拟化实现量子密钥服务与量子卫星链路的分离，基于虚拟量子链路切片数据库实现多链路增强提升安全性并压缩量子卫星可能获取的用户密钥信息量，通过中心化的虚拟量子链路管理实现对量子密钥应用的管控。


技术实现要素：

4.本发明提供了一种星地一体量子密钥链路虚拟化应用服务系统，包括但不限于：量子卫星、两个或多个量子卫星地面接收装置、关联量子密钥管理装置、量子卫星链路虚拟化服务装置；其中，量子卫星与两个或多个量子卫星地面接收装置之间分别协商一个量子密钥分组，关联量子密钥管理装置存储相应量子卫星地面接收装置的上述量子密钥分组，量子卫星计算具有相同分组标识的上述量子密钥分组中任意两个的异或值并销毁上述量子密钥分组，并发送给量子卫星链路虚拟化服务装置；量子卫星链路虚拟化服务装置存储多个具有不同分组标识的上述异或值；量子卫星链路虚拟化服务装置基于上述异或值提供星地一体量子密钥链路虚拟化应用服务。
5.进一步地，上述系统还包括：地面qkd系统或网络、星地一体qkd网络虚拟化服务装置，其中，地面qkd系统或网络与量子卫星地面接收装置或关联量子密钥管理装置连接，星地一体qkd网络虚拟化服务装置用于创建地面qkd网络的虚拟量子链路切片数据库、创建星地一体qkd网络的虚拟量子链路切片数据库，并提供虚拟量子链路切片服务。
6.进一步地，上述系统还包括：量子密钥服务装置和量子密钥应用装置，其中，量子密钥应用装置从关联量子密钥管理装置或qkd网络的量子服务节点获取随机数分组和相应的服务关联列表，量子密钥服务装置用于基于虚拟量子链路切片数据库为不同的量子密钥应用装置之间提供共享密钥协商服务。
7.进一步地，上述系统还包括：与两个或多个量子卫星建立链路的量子卫星地面接收装置，该量子卫星地面接收装置与两个或多个量子卫星分别协商量子密钥分组，计算上述量子密钥分组中任意两个的异或值并发送给相应的量子卫星链路虚拟化服务装置，用于
实现不同量子卫星的虚拟量子链路切片之间的关联。
8.本发明具有如下创新性：本发明通过量子卫星链路的虚拟化实现量子密钥服务与量子卫星链路的分离，基于虚拟量子链路切片数据库实现多链路增强提升安全性并压缩量子卫星可能获取的用户密钥信息量，通过中心化的虚拟量子链路管理实现对量子密钥应用的管控。具有更高的安全性、可靠性和应用灵活性，具有更好的可管控性能，在星地一体量子密钥服务应用领域具有良好的应用前景。
附图说明
9.图1为虚拟量子链路切片原理示意图；图2为本发明实施例提供的基于一颗量子卫星的星地一体量子密钥链路虚拟化应用服务系统示意图；图3为本发明实施例提供的基于两颗量子卫星的星地一体量子密钥链路虚拟化应用服务系统示意图；图4为本发明实施例提供的一种星地一体qkd网络的量子密钥链路虚拟化应用服务系统实施例示意图。
具体实施方式
10.为了使本发明的目的、技术方案及有益效果更加清楚明白，作为本发明的一部分，以下结合附图及具体实施例，对本发明作进一步说明。
11.为了说明虚拟量子链路切片数据库的具体内容、产生和应用方法，图1给出了一个具体的虚拟量子链路切片原理示意图，其中包括量子服务节点4、5和6，量子中继节点1、2和3（中继节点包括量子卫星）。首先，任意两个量子节点之间协商一个具有统一切片标识或分组标识的量子密钥分组，计算所有量子中继节点的关联异或值{xor_ijk}（即，一个量子中继节点与任意两个相邻量子节点之间共享的量子密钥分组的异或值，xor_ijk是节点j与节点i之间的共享量子密钥分组、节点j与节点k之间的共享量子密钥分组的异或值，例如，xor_412=k_4_1
⊕
k_2_1,其中，k_4_1是节点4与节点1之间的共享量子密钥，k_2_1是节点2与节点1之间的共享量子密钥，其中，k_i_j= k_j_i）；然后，计算任意两个量子服务节点之间的虚拟量子链路数据，即计算两个量子服务节点之间量子中继节点的关联异或值中的相应异或值，例如，量子服务节点4和6之间的虚拟量子链路数据为：xor_412
⊕
xor_126= k_4_1
⊕
k_6_2；上述任意两个量子服务节点之间的虚拟量子链路数据形成一个虚拟量子链路切片，多个虚拟量子链路切片组成虚拟量子链路切片数据库；量子服务节点保存与虚拟量子链路切片数据库关联的量子密钥分组。
12.下面结合本发明实施例所提供的基于一颗量子卫星的星地一体量子密钥链路虚拟化应用服务系统实施例说明本发明的系统组成和工作原理。如图2所示，该系统包括：一颗量子卫星（量子中继节点）、3个量子卫星地面接收装置a、b和c，分别与a、b和c关联的关联量子密钥管理装置a、b和c、量子卫星链路虚拟化服务装置。其中，每一个量子卫星地面接收装置与量子卫星能够协商量子密钥。图2所示实施例的系统工作原理为：在一个时间切片周期内，采用相同的分组标识或切片标识，量子卫星与量子卫星地面接收装置a在时刻t1协商一个量子密钥分组ka，量子卫星与量子卫星地面接收装置b在时刻t2协商一个量子密钥分
组kb，量子卫星与量子卫星地面接收装置c在时刻t3协商一个量子密钥分组kc，关联量子密钥管理装置a、b和c分别保存ka、kb和kc；在时刻t4，量子卫星计算ka
⊕
kb、ka
⊕
kc和kb
⊕
kc（由于kb
⊕
kc=ka
⊕
kb
⊕
ka
⊕
kc，所以，可以不计算该异或值，因此，以下省略该数据），并把ka
⊕
kb和ka
⊕
kc发送给量子卫星链路虚拟化服务装置；量子卫星销毁ka、kb和kc；量子卫星链路虚拟化服务装置把ka
⊕
kb和ka
⊕
kc封装为一个量子卫星链路的虚拟量子链路切片（上述量子密钥分组和上述虚拟量子链路切片具有相同的分组标识或切片标识）；重复上述过程，创建包括一定数量虚拟量子链路切片的量子卫星链路的虚拟量子链路切片数据库。量子卫星链路虚拟化服务装置可以基于多个虚拟量子链路切片中的关联异或值为关联量子密钥管理装置或/和应用装置之间协商共享量子密钥（例如，协商关联量子密钥管理装置a和b之间的共享密钥，可以从虚拟量子链路切片数据库中随机选择3个虚拟量子链路切片中与量子卫星地面接收装置a和b的关联的3个异或值，把该3个异或值的异或值分别发送给关联量子密钥管理装置a和b, 关联量子密钥管理装置a和b可以协商采用与关联量子密钥管理装置a或b关联的相应3个量子密钥分组的异或值作为共享密钥，即，基于3个虚拟量子链路实现了具有安全增强效果的密钥共享）。
13.在一种可能的实施例中，一个量子卫星地面接收装置可以与两个或多个量子卫星分别协商量子密钥分组，该量子卫星地面接收装置计算与其中两个量子卫星分别所协商的量子密钥分组的异或值，并把该异或值发送给一个或多个量子卫星链路虚拟化服务装置，可以用于实现不同量子卫星链路的虚拟量子链路切片之间的关联与互联互通。在上述实施例的基础上，图3给出了一种基于两颗量子卫星的星地一体量子密钥链路虚拟化应用服务示意图，其中，第二颗量子卫星与量子卫星地面接收装置d在时刻t5协商一个量子密钥分组k5，第二颗量子卫星与量子卫星地面接收装置b在时刻t6协商一个量子密钥分组k6；量子卫星地面接收装置b计算kb
⊕
k6，并把kb
⊕
k6发送给量子卫星链路虚拟化服务装置，相应的，第一量子卫星链路虚拟化服务装置把{ka
⊕
kb、ka
⊕
kc、kb
⊕
kc、kb
⊕
k6}封装为一个新的量子卫星链路虚拟量子链路切片，并实现两颗量子卫星链路之间的互联互通。例如，基于上述虚拟量子链路切片，量子卫星地面接收装置c与d所关联的关联量子密钥管理装置之间的密钥协商过程如下：请求第二颗量子卫星的量子卫星链路虚拟化服务装置并获得k5
⊕
k6, 请求第一颗量子卫星的量子卫星链路虚拟化服务装置并获得kb
⊕
k6和kb
⊕
kc，计算(k5
⊕
k6)
⊕
(kb
⊕
k6)
⊕
(kb
⊕
kc)= k5
⊕
kc, 关联量子密钥管理装置c与d可以基于k5
⊕
kc协商一个共享密钥。
14.在一种可能的实施例中，上述量子卫星链路虚拟化服务装置包括不与量子卫星地面接收装置关联的应用场景。
15.图4给出了星地一体qkd网络的量子密钥链路虚拟化应用服务系统实施例；在上述任一个实施例的基础上，星地一体量子密钥链路虚拟化应用服务系统系统还包括：与量子卫星地面接收装置a或关联量子密钥管理装置a连接的局域qkd网络a、与量子卫星地面接收装置c或关联量子密钥管理装置c连接的局域qkd网络c、星地一体qkd网络虚拟化服务装置、量子密钥服务装置；其中，星地一体qkd网络虚拟化服务装置用于创建地面qkd网络的虚拟量子链路切片数据库（采用与实施例1中类似的方法创建）和星地一体qkd网络的虚拟量子链路切片数据库，并提供虚拟量子链路切片服务；量子密钥服务装置用于基于上述虚拟量子链路切片数据库并面向应用装置提供共享密钥服务。局域qkd网络a的虚拟量子链路切片
与局域qkd网络c的虚拟量子链路切片之间通过ka
⊕
kc实现关联互通，局域qkd网络a的虚拟量子链路切片与u3通过ka
⊕
kb实现关联互通。例如，量子服务节点q2为量子密钥应用装置u2提供随机数分组kq2u2，关联量子密钥管理装置b为量子密钥应用装置u3提供随机数分组kbu3；协商u2与u3的共享密钥的过程为：量子密钥服务装置从关联的量子服务节点和相应的虚拟量子链路切片中获取相应的异或值，并计算：(kq2u2
⊕
kq1q2)
⊕
(kq1q2
⊕
kaq1)
⊕
(kaq1
⊕
ka)(ka
⊕
kb)
⊕
(kb
⊕
kbu3=kq2u2
⊕
kbu3, 然后把kq2u2
⊕
kbu3发送给u2与u3，u2与u3协商采用kq2u2或kbu3作为共享密钥。另外，图4中的量子节点q1、q2、q3、q4、q5，应用终端u1、u2、u3、u4仅用于展示应用场景和连接关系，而不用于具体的限定。
16.上述任一个实施例中，量子卫星地面接收装置及其关联量子密钥管理装置包括但不限于：两个独立的硬件设备并提供安全接口进行通信，集成于一体的设备。与量子卫星地面接收装置或关联量子密钥管理装置连接的局域qkd网络的方式包括但不限于：通过与量子卫星地面接收装置或关联量子密钥管理装置关联的qkd系统接入qkd网络、通过安全通道把量子卫星地面接收装置或关联量子密钥管理装置接入qkd网络的一个qkd节点。量子卫星链路虚拟化服务装置包括但不限于：独立的硬件设备、嵌入到关联量子密钥管理装置中的功能模块（包括软件、硬件、软件和硬件集成模块）。星地一体qkd网络虚拟化服务装置与量子密钥服务装置包括但不限于：两个独立的硬件设备或软件模块、一个集成星地一体qkd网络虚拟化服务与量子密钥服务于一体的功能装置（包括软件、硬件、软件与硬件集成设备或功能模块）。
17.需要说明的是，在上述任一个实施例中，上述时刻t1、t2、t3、t4、t5和t6包括但不限于：有时间先后次序的情形、不限定时间先后次序的情形。相应地，上述一个时间切片周期，包括但不限于：量子卫星依先后次序经过相应的量子卫星地面接收装置、量子卫星多次经过相应的量子卫星地面接收装置。
18.在上述任一个实施例中，上述异或值、量子密钥分组与随机数分组都是具有相同数据格式的一定比特长度的随机数序列。考虑到量子卫星链路用于创建虚拟量子链路切片的量子密钥量可以根据实际应用需求进行动态调整，本发明不具体限定量子密钥分组的长度。
19.需要说明的是，上述任一个实施例中，量子服务节点和量子中继节点的标识和qkd网络的拓扑结构等都只用于说明本发明的工作原理，并不用于限定，所有基于上述工作原理所形成的实施例都落入本发明的保护范围。
20.本领域内的技术人员应明白，本发明的实施例可提供为系统、或计算机程序产品。因此，本发明可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且，本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质上实施的计算机程序产品的形式。
21.本发明是参照根据本发明实施例的系统、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器，使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
22.这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中，使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品，该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
23.这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上，使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理，从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
24.尽管结合具体特征及其实施例对本发明进行了描述，显而易见的，在不脱离本发明的精神和范围的情况下，可对其进行各种修改和组合。相应地，本说明书和附图仅仅是所附权利要求所界定的本发明的示例性说明，且视为已覆盖本发明范围内的任意和所有修改、变化、组合或等同物。显然，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围。这样，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。