技術領域

本發明涉及通信安全技術領域，更具體地，涉及一種虛擬密鑰池及量子密鑰資源的虛擬化方法。

背景技術

近年來，量子通信技術取得了飛速的發展，在量子通信實用化的過程中，應用于高度保密通信的量子密鑰分發(Quantum Key Distribution，簡稱為QKD)技術引起了高度關注并取得了很大的進展，量子密鑰分發網絡作為一種安全通信網絡成為一個新的研究方向。

現階段的量子密鑰分發網絡中，如圖1所示，兩個通過量子密鑰分發鏈路相互連接的量子密鑰分發終端之間可以生成量子密鑰，該量子密鑰分發鏈路包括經典信道和量子信道；現階段點對點QKD的量子密鑰生成速率和可用傳輸距離等方面性能有限，考慮將每對量子密鑰分發終端之間生成的量子密鑰進行存儲，存儲量子密鑰資源的存儲空間可稱之為量子密鑰池(Quantum Key Pool，簡稱為QKP)。量子密鑰分發終端通常部署在網絡節點處，當網絡節點處傳輸的數據需要量子密鑰加密時，將對應的量子密鑰池中存儲的量子密鑰分配給該網絡節點處傳輸的數據。

目前，由于是采用的QKD與網絡節點均是點對點的關系，兩個網絡節點之間傳輸的數據的加密所需的量子密鑰，只能通過在該兩個網絡節點處部署的兩個量子密鑰分發終端之間生成的量子密鑰提供，難以適配普通網絡中數據傳輸的多樣化、復雜化的需求，造成了量子密鑰資源的利用率很低；同時，量子密鑰分發網絡只能許可給特定的用戶使用，也限制了量子密鑰資源的開放性和共享性。

發明內容

為了克服上述問題或者至少部分地解決上述問題，本發明提供一種虛擬密鑰池及量子密鑰資源的虛擬化方法。

根據本發明的一個方面，提供一種虛擬密鑰池，該虛擬密鑰池包括至少一個虛擬密鑰空間，虛擬密鑰空間中包含虛擬量子密鑰資源，虛擬密鑰空間中的虛擬量子密鑰資源與量子密鑰池中的量子密鑰資源具有映射關系；其中，量子密鑰池是存儲對應的量子密鑰分發終端之間生成的量子密鑰資源的存儲空間。

其中，虛擬密鑰空間與量子密鑰池一一對應。

其中，在通過虛擬密鑰池對虛擬密鑰空間中的虛擬量子密鑰資源進行操作時，根據映射關系對對應的量子密鑰池中的量子密鑰資源進行操作。

本發明的另一方面，提供一種量子密鑰資源的虛擬化方法，該方法包括：根據用戶的需求將量子密鑰池中的量子密鑰資源進行劃分，并虛擬化，獲得與用戶對應的虛擬密鑰池。

其中，將量子密鑰池中的量子密鑰資源進行劃分具體為：根據用戶需求的安全節點獲取用于給安全節點分配量子密鑰資源的量子密鑰池；根據安全節點對量子密鑰資源的需求量劃分量子密鑰池中的量子密鑰資源。

其中，將量子密鑰池中的量子密鑰資源進行虛擬化的步驟包括：將量子密鑰池中劃分的量子密鑰資源進行虛擬化，形成虛擬密鑰池的虛擬密鑰空間中的虛擬量子密鑰資源。

其中，將量子密鑰池中的量子密鑰資源進行虛擬化的步驟還包括：維持虛擬密鑰空間中的虛擬量子密鑰資源到量子密鑰池中劃分的量子密鑰資源的映射關系，該映射關系用于在對虛擬密鑰空間中的虛擬量子密鑰資源進行操作時，通過映射關系對對應的量子密鑰池中劃分的量子密鑰資源進行操作。

其中，該方法還包括：基于映射關系配置虛擬密鑰空間的信息。

其中，虛擬密鑰空間的信息包括：量子密鑰資源信息、用戶業務需求信息和底層量子網絡信息。

本發明的又一方面，提供一種基于虛擬密鑰池的量子密鑰分發網絡架構，該架構包括：量子密鑰分發層、物理密鑰層和虛擬密鑰層；量子密鑰分發層包括在網絡節點處的量子密鑰分發終端和連接量子密鑰分發終端的量子密鑰分發鏈路；物理密鑰層包括存儲于量子密鑰分發終端之間形成的量子密鑰池中的量子密鑰資源；虛擬密鑰層包括若干如上所述虛擬密鑰池。

本發明提供的一種虛擬密鑰池及量子密鑰資源的虛擬化方法，通過根據用戶的需求將量子密鑰池中的量子密鑰資源進行劃分，并虛擬化，獲得與用戶對應的虛擬密鑰池，并且在對虛擬密鑰池中的虛擬量子密鑰資源進行操作時，根據映射關系對對應的量子密鑰池中的量子密鑰資源進行操作。一方面，不同的用戶可以通過對應的虛擬密鑰池利用量子密鑰資源，從而使量子密鑰資源得到了較大程度的共享；另一方面，更多的用戶能夠利用量子密鑰資源，盡可能地避免了部分量子密鑰資源長期不能被利用，從而提高了量子密鑰資源的利用率。

附圖說明