基于量子安全的流量疏导方法、装置及电子设备

1.本技术涉及通信技术领域，尤其涉及一种基于量子安全的流量疏导方法、装置及电子设备。


背景技术：

2.随着互联网技术的发展以及通信业务量的急剧增加，光网络技术应运而生。光网络(optical network)使用光纤作为主要传输介质的广域网、城域网或者新建的大范围的局域网，具有传输速度高、传输距离长等特点。相关技术中，通过将光通信技术与传统电通信技术结合，提高网络传输能力。
3.相关技术中，在对通信网络进行流量疏导时未考虑，或仅考虑传统加密方式解决通信业务的安全问题。相关技术提供的流量疏导方案存在安全性低的问题。


技术实现要素：

4.有鉴于此，本技术的目的在于提出一种基于量子安全的流量疏导方法、装置及电子设备，已解决背景技术中提到的相关技术提供的流量疏导方案安全性低的问题。
5.基于上述目的，本技术提供了一种基于量子安全的流量疏导方法，应用于包括光节点、电节点和量子密钥分发节点的网络，包括：
6.接收目标业务；
7.根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；
8.根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；
9.根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。
10.可选地，所述目标业务的需求r(s,d,b,k)包括源节点s、目的节点d、宽带需求b以及量子密钥需求k；
11.所述根据所述目标业务的需求、所述网络的拓扑结构和所述网络的可用资源，生成辅助图，包括：
12.根据所述网络的拓扑结构，生成拓扑结构图；所述拓扑结构图包括光层、电层和量子密钥分发层；所述光层的拓扑结构g
p
(v
p
,e
p
)，其中v
p
＝{v
p1
,v
p2
,
…
,v
pi
,
…
}表示光层中节点的集合，ep＝{e
p1
,e
p2
,
…
,e
pi
,
…
}表示光层中链路的集合；所述电层的拓扑结构gv(vv,ev)，其中vv＝{v
v1
,v
v2
,
…
,v
vi
,
…
}表示电层中节点的集合，ev＝{e
v1
,e
v2
,
…
,e
vi
,
…
}表示电层中链路的集合；量子密钥分发层的拓扑结构gq(vq,eq)，其中vq＝{v
q1
,v
q2
,
…
,v
qi
,
…
}表示量子密钥分发层中节点的集合，eq＝{e
q1
,e
q2
,
…
,e
qi
,
…
}表示量子密钥分发层中链路的集合；
13.选择承载容量大于所述宽带需求b的所述拓扑结构图中的节点，生成所述辅助图的节点；所述辅助图的节点包括光类辅助图节点、电类辅助图节点、量子密钥分发类辅助图
节点；其中，所述光类辅助图节点包括光接收机ori节点和光发射机oti节点，所述ori节点的值为所述光接收机的承载容量，所述oti节点的值为所述光发射机的承载容量，所述电类辅助图节点包含ip路由器输入端口ini节点和输出端口outi节点，所述ini节点的值为所述ip路由器输入端口的承载容量，所述outi节点的值为所述ip路由器输出端口的承载容量，所述量子密钥分发类辅助图节点包括量子密钥分发接收机qri节点和量子密钥分发发射机qti节点；
14.根据所述辅助图节点生成辅助图边；所述辅助图边分类为类内辅助图边和跨类辅助图边；其中，所述类内辅助图边包括跳数边hei，所述密钥中继边kpe
i,j
和新建光路边nle
i,j
；所述跳数边hei连接电层的ip路由器输入端口ini节点、输出端口outi节点或量子密钥分发层的量子密钥分发接收机qri节点、量子密钥分发发射机qti节点或光层的光接收机ori节点、光发射机oti节点；所述密钥中继边kpe
i,j
连接任一量子密钥分发类辅助图节点的量子密钥分发发射机qti节点和另一量子密钥分发类辅助图节点的量子密钥分发接收机qrj节点；所述新建光路边nle
i,j
连接任一光类辅助图节点的光发射机oti节点和另一光类辅助图节点的光接收机orj节点；所述跨类辅助图边包括跨电层量子密钥分发层边和跨光层量子密钥分发层边；所述电层量子密钥分发层边包括连接outi到qti的oqei和连接qri到ini的qiei，所述跨光层量子密钥分发层边包括连接qti到oti的qtei和连接ori到qri的rqei；
15.根据所述辅助图节点和所述辅助图边生成所述辅助图。
16.可选地，所述密钥中继边kpe
i,j
的生成方法，包括：
17.响应于确定两个不同量子密钥分发类辅助图节点之间存在量子密钥池，且所述量子密钥池中可用量子密钥数大于或等于所述量子密钥需求数，生成密钥中继边kpe
i,j
，所述密钥中继边kpe
i,j
连接该量子密钥分发类辅助图节点中的量子密钥分发发射机qti节点、另一量子密钥分发类辅助图节点中的量子密钥分发接收机qri节点以及量子密钥池kp
i,j
，所述量子密钥池kp
i,j
的值为可用量子密钥数。
18.可选地，所述新建光路边nle
i,j
的生成方法，包括：
19.响应于确定任一oti节点和任一ori节点之间的空余频谱资源满足所述目标业务的带宽需求，生成新建光路边nle
i,j
，所述新建光路边nle
i,j
连接该ti节点和该ori节点。
20.可选地，所述根据所述辅助图节点生成辅助图边，还包括：
21.获取所有处理中的当前业务；
22.确定每个所述当前业务的通信路径，以及所述通信路径的剩余宽带资源；
23.将所述剩余宽带资源大于或等于所述宽带需求的通信路径，作为已存在光路边ele
i,j
；所述已存在光路边ele
i,j
连接ip路由器输出端口outi节点和另一ip路由器输入端口inj节点。
24.可选地，所述根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径，包括：
25.根据所述目标业务的需求中的源节点s、目的节点d及所述辅助图确定通信方案；
26.响应于确定至少一个加密通信方案，根据预设的所述所有辅助图边的权重，通过预设的权重分数计算公式，计算每个加密通信方案的权重分数；
27.选取所有所述加密通信方案中权重分数最小的加密通信方案作为目标加密通信方案，并将其加密通信路径作为最优加密通信路径。
28.可选地，所述根据预设的所述所有辅助图边的权重，通过预设的权重分数计算公式，计算每个加密通信方案的权重分数，包括：
29.获取预设的跳数边、跨类辅助图边权重；
30.通过如下公式计算密钥中继边的安全感知参数：
[0031][0032]
其中，a(i,j)表示所述密钥中继边的安全感知参数，其取值范围在0至1之间，m表示所述密钥中继边连接的量子密钥池的最大存储量子密钥数，kp(vqi,vqj)表示密钥中继边连接的量子密钥池的可用量子密钥数；
[0033]
根据所述密钥中继边的安全感知参数，通过如下公式计算所述密钥中继边权重：
[0034]
k＝βa(i,j)；
[0035]
其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，β可根据不同的流量疏导目的进行预设，a(i,j)表示所述密钥中继边的安全感知参数；
[0036]
根据所述跳数边、跨类辅助图边以及密钥中继边的权重，计算每个加密通信方案的中所有边的权重之和，并将该权重之和作为该加密通信方案的权重分数。
[0037]
可选地，所述根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输，包括：
[0038]
确定任一节点i与任一节点j之间是否包含已存在光路边ele
i,j
；
[0039]
响应于确定包含已存在光路边ele
i,j
，通过该已存在光路边ele
i,j
满足所述目标业务的需求；
[0040]
响应于确定不包含已存在光路边ele
i,j
，确定所述节点i与所述节点j之间是否存在跳数边he以及新建光路边nle或密钥中继边kpe；
[0041]
响应于确定存在新建光路边nle和跳数边he，在所述节点i和所述节点j之间根据该新建光路边nle对应链路组成的路径进行新建光路，并由所述节点i与所述节点j之间的密钥中继路径实现密钥供应，以满足所述目标业务的需求；响应于确定存在密钥中继边kpe和跳数边he，在所述节点i和所述节点j之间根据密钥中继边kpe对应链路组成的路径进行密钥中继以实现密钥供应，并在所述节点i和所述节点j间新建光路进行加密通信，以满足所述目标业务的需求。
[0042]
基于同一发明构思，本技术还提供了一种流量疏导装置，包括：
[0043]
接收模块，被配置为接收目标业务；
[0044]
辅助图生成模块，被配置为根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；
[0045]
最优加密通信路径选择模块，被配置为根据预定的流量疏导策略，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；
[0046]
数据传输模块，被配置为根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。
[0047]
基于同一发明构思，本技术还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任意
一项所述的基于量子安全的流量疏导方法。
[0048]
从上面所述可以看出，本技术提供的基于量子安全的流量疏导方法，应用于包括光节点、电节点和量子密钥分发节点的网络，在对所述网络进行流量疏导时，同时考虑应用量子密钥分发技术进行安全加密。通过所述方法能够在经济有效利用所述网络资源的情况下，为进行通信传输的业务数据进行有效加密，提高流量疏导方案的安全性。
附图说明
[0049]
为了更清楚地说明本技术或相关技术中的技术方案，下面将对实施例或相关技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本技术的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0050]
图1为本技术一个或多个实施例的基于量子安全的流量疏导方法的流程示意图；
[0051]
图2为本技术一个或多个实施例实施例的量子密钥分发层拓扑结构示意图；
[0052]
图3为本技术一个或多个实施例的辅助图结构示意图；
[0053]
图4为本技术一个实施例的网络拓扑结构示意图；
[0054]
图5为本技术一个实施例的辅助图结构示意图；
[0055]
图6为本技术一个或多个实施例的基于量子安全的流量疏导装置的结构示意图；
[0056]
图7为本技术一个或多个实施例的电子设备硬件结构示意图。
具体实施方式
[0057]
为使本技术的目的、技术方案和优点更加清楚明白，以下结合具体实施例，并参照附图，对本技术进一步详细说明。
[0058]
需要说明的是，除非另外定义，本技术实施例使用的技术术语或者科学术语应当为本技术所属领域内具有一般技能的人士所理解的通常意义。本技术实施例中使用的“第一”、“第二”以及类似的词语并不表示任何顺序、数量或者重要性，而只是用来区分不同的组成部分。“包括”或者“包含”等类似的词语意指出现该词前面的元件或者物件涵盖出现在该词后面列举的元件或者物件及其等同，而不排除其他元件或者物件。“连接”或者“相连”等类似的词语并非限定于物理的或者机械的连接，而是可以包括电性的连接，不管是直接的还是间接的。“上”、“下”、“左”、“右”等仅用于表示相对位置关系，当被描述对象的绝对位置改变后，则该相对位置关系也可能相应地改变。
[0059]
如背景技术所述，随着互联网技术的发展以及通信业务量的急剧增加，光网络技术应运而生。光通信相比电通信具有如下优点：传输距离长，经济节能；一次性传输海量信息；通信速度快。相关技术中，通过将光通信技术与传统电通信技术结合，提高网络传输能力。其基本原理为，发送端首先通过ip路由将通信业务的数据以电信号的形式发送至光层；光层中的信号转换装置接收到所述电信号后将其转换为光信号，并随着其他转换器发送的多条光信号一同发送至信号复用装置将波长不同的光信号进行汇合，并耦合到同一根光纤中进行传输；接收端的ip路由接收经过解复用、信号转换的电信号，完成传输。
[0060]
相关技术通常在上述内容的基础上设计流量疏导方案，以减少通信网络部署成本，提高资源利用率。但由于这种光网络技术的应用，以往的直接进行端到端密钥供应和数
据加密的方法已不再适用，因此相关技术中在设计流量疏导方案时未考虑，或仅考虑基于计算复杂度的传统加密方式解决通信业务的安全问题。相关技术提供的流量疏导方案存在安全性低的问题。
[0061]
由此，本技术提出一种基于量子安全的流量疏导方法、装置及电子设备。在实现本技术的过程中，申请人综合考虑量子密钥分发技术与光网络技术的联系，提出利用量子密钥加密方法对光信号、电信号进行加解密。具体的，一方面，量子密钥池管理技术可以实现在量子密钥分发层的各个量子密钥分发节点设置量子密钥池，通过量子密钥池管理技术提高量子密钥的资源和传输速度，提高量子密钥分发技术与光网络的适配性；另一方面，量子密钥分发技术可以在电层(ip层)实现数据加密，在将多业务汇聚至同一波长信道后再进行统一加密，不仅可以保障数据传输的安全性，同时也减少了量子密钥资源的消耗。
[0062]
以下，通过具体的实施例来详细说明本技术一个或多个实施例的技术方案。
[0063]
参考图1，本技术一个实施例的基于量子安全的流量疏导方法，包括以下步骤：
[0064]
步骤s101：接收目标业务。
[0065]
步骤s102：根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图。
[0066]
在一些实施例中，本步骤中，首先根据所述网络的拓扑结构，生成拓扑结构图。在一些实施例中，所述拓扑结构图包括光层、电层和量子密钥分发层；所述光层的拓扑结构g
p
(v
p
,e
p
)，其中v
p
＝{v
p1
,v
p2
,
…
,v
pi
,
…
}表示光层中节点的集合，ep＝{e
p1
,e
p2
,
…
,e
pi
,
…
}表示光层中链路的集合；所述电层的拓扑结构gv(vv,ev)，其中vv＝{v
v1
,v
v2
,
…
,v
vi
,
…
}表示电层中节点的集合，ev＝{e
v1
,e
v2
,
…
,e
vi
,
…
}表示电层中链路的集合；量子密钥分发层的拓扑结构gq(vq,eq)，其中vq＝{v
q1
,v
q2
,
…
,v
qi
,
…
}表示量子密钥分发层中节点的集合，eq＝{e
q1
,e
q2
,
…
,e
qi
,
…
}表示量子密钥分发层中链路的集合。在一些实施例中，所述光层的节点可以包括信号转换装置、信号复合/解复合装置。在一些实施例中，所述光层还可以包括中继装置。在一些实施例中，所述电层的节点可以包括ip路由装置。在一些实施例中，所述量子密钥分发层的节点可以包括量子密钥分发装置。如上所述，在一些实施例中，如图2所示，通过量子密钥池管理技术，可以在各个节点之间设置量子密钥池，所述量子密钥池中的量子密钥可以供在与上述两个节点对应的通信节点之间通信传输的数据加密使用。在一些实施例中，所述光层、电层及量子密钥分发层的节点并非一一对应。
[0067]
在一些实施例中，可以根据所述拓扑结构图、所述目标业务的需求和所述网络的资源生成辅助图。在一些实施例中，所述目标业务的需求r(s,d,b,k)包括源节点s、目的节点d、宽带需求b以及量子密钥需求数k。在一些实施例中，根据所述所述目标业务的需求和所述网络的资源生成辅助图，在所述拓扑结构图的基础上生成辅助图的目的为筛选出可以实现所述目标业务传输的节点和链路，为后续筛选最优加密通信路径做准备。
[0068]
如上所述，由于辅助图的生成是为后续选择最优加密通信路径做基础，因此辅助图应选择剩余资源满足所述目标业务需求的节点、边作为辅助图节点、辅助图边。其中，对于光层，其能够提供的资源可以包括光接收机和光发射机的承载容量、光纤链路频谱资源；对于电层，其能够提供的资源可以包括ip路由器输入端口和输出端口的承载容量；对于量子密钥分发层，其能够提供的资源可以包括量子密钥分发接收机、发射机连接的量子密钥池的量子密钥数量。
[0069]
如图3所示，在一些实施例中，选择承载容量大于所述宽带需求b的所述拓扑结构图中的节点，生成所述辅助图的节点。在一些实施例中，所述辅助图的拓扑结构分为光层、电层和量子密钥分发层。由此，所述辅助图的节点包括光类辅助图节点、电类辅助图节点、量子密钥分发类辅助图节点；其中，所述光类辅助图节点包括光接收机ori节点和光发射机oti节点，所述ori节点的值为所述光接收机的承载容量，所述oti节点的值为所述光发射机的承载容量，所述电类辅助图节点包含ip路由器输入端口ini节点和输出端口outi节点，所述ini节点的值为所述ip路由器输入端口的承载容量，所述outi节点的值为所述ip路由器输出端口的承载容量，所述量子密钥分发类辅助图节点包括量子密钥分发接收机qri节点和量子密钥分发发射机qti节点。
[0070]
在一些实施例中，连接所述辅助图节点，得到辅助图边。在一些实施例中，所述辅助图边分类为类内辅助图边和跨类辅助图边。在一些实施例中，其中所述类内辅助图边包括跳数边hei和所述密钥中继边kpe
i,j
；所述跳数边hei连接电层的ip路由器输入端口ini节点、输出端口outi节点或量子密钥分发层的量子密钥分发接收机qri节点、量子密钥分发发射机qti节点或光层的光接收机ori节点、光发射机oti节点，所述密钥中继边kpe
i,j
连接任一量子密钥分发类辅助图节点的量子密钥分发发射机qti节点和另一量子密钥分发类辅助图节点的量子密钥分发接收机qrj节点；所述跨类辅助图边包括跨电层量子密钥分发层边和跨光层量子密钥分发层边；所述电层量子密钥分发层边包括连接outi到qti的oqei和连接qri到ini的qiei，所述跨光层量子密钥分发层边包括连接qti到oti的qtei和连接ori到qri的rqei。
[0071]
在一些实施例中，所述辅助图边还包括密钥中继边kpe
i,j
。在一些实施例中，所述密钥中继边kpe
i,j
的生成方法，包括：响应于确定两个不同量子密钥分发类辅助图节点之间存在量子密钥池，且所述量子密钥池中可用量子密钥数大于或等于所述量子密钥需求数，生成密钥中继边kpe
i,j
，所述密钥中继边kpe
i,j
连接该量子密钥分发类辅助图节点中的量子密钥分发发射机qti节点、另一量子密钥分发类辅助图节点中的量子密钥分发接收机qri节点以及量子密钥池kp
i,j
，所述量子密钥池kp
i,j
的值为可用量子密钥数。
[0072]
在一些实施例中，所述辅助图边还包括已存在光路边ele
i,j
。已存在光路边表示处理中的当前业务的通信路径，当该通信路径还存在剩余的宽带资源且该宽带资源大于或等于所述目标业务的宽带需求时，可以选择该已存在光路径。在一些实施例中，如果剩余的宽带资源不满足所述目标业务的宽带需求时，可以选择新建光路径。在一些实施例中，当新建路径可以得到更多的权重分数时，也可以选择新建路径。
[0073]
在一些实施例中，生成所述已存在光路边的方法包括：获取所有处理中的当前业务；确定每个所述当前业务的通信路径，以及所述通信路径的剩余宽带资源；将所述剩余宽带资源大于或等于所述宽带需求的通信路径，作为已存在光路边ele
i,j
；所述已存在光路边ele
i,j
连接ip路由器输出端口outi节点和另一ip路由器输入端口inj节点。
[0074]
在一些实施例中，所述辅助图边还包括新建光路边nle
i,j
。新建光路边表示可以为当前业务使用独立光收发机新建光通路的通信路径，当该通信路径还存在剩余的资源且该宽带资源大于或等于所述目标业务的宽带需求时，可以选择该新建光路边路径。
[0075]
上述所有辅助图节点、辅助图边组合生成辅助图。
[0076]
步骤s103：根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实
现所述目标业务的需求的最小权重路径作为最优加密通信路径。
[0077]
在一些实施例中，可以在上述步骤s102的基础上选择通信路径作为通信方案，其中权重分数最小的通信路径对应的通信方案作为最优加密通信路径。在一些实施例中，响应于确定根据所述辅助图无法得到通信方案，则确定所述业务承载失败。
[0078]
在一些实施例中，所述权重分数为所述通信路径包括的所有辅助图边的权重和。在一些实施例中，所述辅助图边的权重可以通过预设得到或计算得到。其中，在一些实施例中，所述跳数边、所述跨类辅助图边和所述新建光路边的权重可以通过预设得到；所述密钥中继边和所述已存在光路边的权重可以通过计算得到。
[0079]
在一些实施例中，根据流量疏导目的不同，可以利用不同的权重设置机制。
[0080]
在一些实施例中，其流量疏导目的为最大化利用密钥供应能力，其权重机制可以为：跳数边的权重值远小于其他边；新建光路边的权重远大于密钥中继边；已存在光路边ele
i,j
的权重值和密钥中继边kpe
i,j
的权重值的计算公式如下：
[0081]
密钥中继边权重：
[0082][0083]
其中，k表示所述密钥中继边权重，a(i,j)表示所述密钥中继边的安全感知参数，m表示所述密钥中继边连接的量子密钥池的最大存储量子密钥数，kp(vqi,vqj)表示密钥中继边连接的量子密钥池的可用量子密钥数，β的值预设为1；
[0084]
已存在光路边权重：
[0085]
e＝μm(i,j)+h(i,j)w
he
+2γwe；
[0086]
其中e表示所述已存在光路边权重，μ表示预设的量子密钥分发边权重系数，γ表示预设的跨类辅助图边权重系数，m(i,j)表示节点i和j之间最短路径对应的密钥中继边权重和，h(i,j)表示节点i和j之间最短路径对应的跳数边数量，w
he
表示跳数边权重，we表示跨类辅助图边权重。
[0087]
在一些实施例中，μ、γ预设值为1，上述计算公式可以表示为：
[0088]
e＝m(i,j)+h(i,j)w
he
+2we。
[0089]
在一些实施例中，所述跳数边、所述跨类辅助图边和新建光路边的权重可以分别设置为0.0001，50和100。
[0090]
在一些实施例中，其流量疏导目的为加密优先的最大化进行电层流量疏导，其权重机制可以为：跳数边的权重值远小于其他边；已存在光路边的权重值小于密钥中继边和新建光路边(体现最大化进行电层流量疏导)；密钥中继边的权重值小于新建光路边(体现加密优先)；已存在光路边ele
i,j
的权重值和密钥中继边kpe
i,j
的权重值的计算公式如下：
[0091]
密钥中继边权重的计算公式：
[0092]
k＝βa(i,j)；
[0093]
其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，预设为100，a(i,j)表示所述密钥中继边的安全感知参数。
[0094]
已存在光路边权重的计算公式如上所述，但是在一些实施例中，μ、γ的值可以分别预设为1和0。上述计算公式可以表示为：
[0095]
e＝m(i,j)+h(i,j)w
he
。
[0096]
在一些实施例中，所述跳数边、所述跨类辅助图边和新建光路边的权重可以分别设置为0.0001，0.0005和1000。
[0097]
在一些实施例中，其流量疏导目的为通信优先的最大化进行电层流量疏导，其权重机制可以为：跳数边的权重值远小于其他边；已存在光路边的权重值小于密钥中继边和新建光路边(体现最大化进行电层流量疏导)；密钥中继边的权重值大于新建光路边(体现通信优先)；已存在光路边ele
i,j
的权重值和密钥中继边kpe
i,j
的权重值的计算公式如下：
[0098]
密钥中继边权重的计算公式：
[0099]
k＝βa(i,j)；
[0100]
其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，预设为1000，a(i,j)表示所述密钥中继边的安全感知参数。
[0101]
已存在光路边权重的计算公式如上所述，但是在一些实施例中，μ、γ的值可以分别预设为1和0。上述计算公式可以表示为：
[0102]
e＝m(i,j)+h(i,j)w
he
。
[0103]
在一些实施例中，所述跳数边、所述跨类辅助图边和新建光路边的权重可以分别设置为0.0001，0.0005和100。
[0104]
在一些实施例中，其流量疏导目的为加密优先的最大化新建光路，其权重机制可以为：跳数边的权重值远小于其他边；已存在光路边的权重值大于密钥中继边和新建光路边(体现最大化新建光路)；密钥中继边的权重值小于新建光路边(体现加密优先)；已存在光路边ele
i,j
的权重值和密钥中继边kpe
i,j
的权重值的计算公式如下：
[0105]
密钥中继边权重的计算公式：
[0106]
k＝βa(i,j)；
[0107]
其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，预设为0.1，a(i,j)表示所述密钥中继边的安全感知参数。
[0108]
已存在光路边权重的计算公式如上所述，但是在一些实施例中，μ、γ的值可以分别预设为100和0。上述计算公式可以表示为：
[0109]
e＝100m(i,j)+h(i,j)w
he
。
[0110]
经过上述计算之后，选取所有所述通信方案中权重分数最小的通信方案作为目标通信方案，并将其通信路径作为最优加密通信路径。
[0111]
在一些实施例中，所述跳数边、所述跨类辅助图边和新建光路边的权重可以分别设置为0.0001，0.0005和1。
[0112]
在一些实施例中，其流量疏导目的为通信优先的最大化新建光路，其权重机制可以为：跳数边的权重值远小于其他边；已存在光路边的权重值大于密钥中继边和新建光路边(体现最大化新建光路)；密钥中继边的权重值大于新建光路边(体现通信优先)；已存在光路边ele
i,j
的权重值和密钥中继边kpe
i,j
的权重值的计算公式如下：
[0113]
密钥中继边权重的计算公式：
[0114]
k＝βa(i,j)；
[0115]
其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，预设为1，a(i,j)表示所述密钥中继边的安全感知参数。
[0116]
已存在光路边权重的计算公式如上所述，但是在一些实施例中，μ、γ的值可以分
别预设为100和0。上述计算公式可以表示为：
[0117]
e＝100m(i,j)+h(i,j)w
he
。
[0118]
经过上述计算之后，选取所有所述通信方案中权重分数最小的通信方案作为目标通信方案，并将其通信路径作为最优加密通信路径。
[0119]
在一些实施例中，所述跳数边、所述跨类辅助图边和新建光路边的权重可以分别设置为0.0001，0.0005和0.1。
[0120]
在一些实施例中，响应于运营商需要感知密钥供应能力，则选择最大化利用密钥供应能力机制；响应于运营商需要较低的能耗且较低的密钥成本，则选择加密优先的最大化进行电层流量疏导机制；响应于运营商需要较低的能耗且较低的通信成本，则选择通信优先的最大化进行电层流量疏导机制；响应于运营商需要较少的光电光转换成本且较低的密钥成本，则选择加密优先的最大化新建光路机制；响应于运营商需要较少的光电光转换成本且较低的通信成本，则选择通信优先的最大化新建光路；
[0121]
在一些实施例中，可以对所述通信路径进行分段，并对不同段根据不同的权重机制设置辅助图边权重，以计算权重分数。在一些实施例中，可以将所述通信路径根据辅助图电层中节点内的跳数边he分段，得到若干子路径的集合p
as
＝{p
s1
,p
s2
,
…
,p
sm
,
…
}。
[0122]
对若干子路径的集合p
as
中的每一个子路径，进行流量疏导/新建光路和密钥供应：
[0123]
响应于所述辅助图路径中含有ele
i,j
，在节点i和j之间进行流量疏导，将业务流请求疏导至已存在光路，并计算节点i和j间的密钥中继路径以实现密钥供应；
[0124]
响应于所述辅助图路径中两节点i和j间仅含有nle和he，则节点i和j之间按nle对应链路组成的路径进行新建光路，并计算节点i和j间的密钥中继路径以实现密钥供应；
[0125]
响应于所述辅助图路径中两节点i和j间仅含有kpe和he，则节点i和j之间按kpe对应链路组成的路径进行密钥中继以实现密钥供应，并在节点i和j间新建光路进行加密通信。
[0126]
步骤s104：根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。
[0127]
在一些实施例中，可以按照电层资源、光层资源、量子密钥资源的顺序进行资源分配。在一些实施例中，可以根据上述流量疏导策略的机制进行分配。例如，响应于新建光路的机制，则选择符合要求的子通信路径；否则，选择符合要求的已存在光路的通信路径。
[0128]
在分配资源后，对所述目标业务的数据进行传输。
[0129]
以下，以本技术一个实施例作进一步说明。
[0130]
本实施例中，目标业务需求r(s,d,b,k)＝r(1,3,10,5)，意为该目标业务源节点为节点1、目的节点为节点3、宽带需求为10gbps以及量子密钥需求数为5。所述网络的拓扑结构图如图4所示，光层、量子密钥层的三个节点两两相连，电层的节点1、节点2相连。
[0131]
根据所述拓扑结构图生成辅助图。由于电层、光层的节点1、2、3的承载容量均满足所述目标业务需求，量子密钥层的量子密钥池的量子密钥数也大于上述量子密钥需求数。如图所示，电层节点1的out1到电层节点2的in2有一条已存在光路，其剩余宽带资源大于上述目标业务需求。由此可以生成如图5所示的辅助图，生成过程与上述内容相似，在此不再做赘述。
[0132]
之后以加密优先的最大化进行电层流量疏导为目标，设置所述辅助图的跳数边的
权重值为0.0001，已存在光路边的权重值经过计算为0.01，密钥中继边的权重值经过计算为100，新建光路边的权重值经过计算为1000；其他跨类辅助图边的权重值为0.01。
[0133]
根据上述辅助图和设置的辅助图边权重值，经过计算确定如图5中加粗线条所示路径为最优加密通信路径。
[0134]
根据所述最优加密通信路径进行网络资源分配，首先根据跳数边对所述最优加密通信路径进行分段，得到两条子路径p
s1
和p
s2
。p
s1
包含辅助图边ele
1,2
，p
s2
包含辅助图边oqe2、kpe
2,3
和qie3。由于所述辅助图边ele
1,2
的剩余资源满足目标业务的需求，因此p
s1
选择该路径进行加密通信。在p
s2
上寻找满足目标业务需求的光节点，在辅助图上计算ot2到or3的最短路径作为通信路径，kpe
2,3
对应的节点2和节点3之间的路径作为加密路径，以分配量子密钥实现加密通信。根据上述获取的路径分配对应的光层节点、电层节点和量子密钥层节点的资源。最后对其数据进行加密传输。
[0135]
需要说明的是，本技术实施例的方法可以由单个设备执行，例如一台计算机或服务器等。本实施例的方法也可以应用于分布式场景下，由多台设备相互配合来完成。在这种分布式场景的情况下，这多台设备中的一台设备可以只执行本技术实施例的方法中的某一个或多个步骤，这多台设备相互之间会进行交互以完成所述的方法。
[0136]
需要说明的是，上述对本技术的一些实施例进行了描述。其它实施例在所附权利要求书的范围内。在一些情况下，在权利要求书中记载的动作或步骤可以按照不同于上述实施例中的顺序来执行并且仍然可以实现期望的结果。另外，在附图中描绘的过程不一定要求示出的特定顺序或者连续顺序才能实现期望的结果。在某些实施方式中，多任务处理和并行处理也是可以的或者可能是有利的。
[0137]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种流量疏导装置。
[0138]
参考图6，所述流量疏导装置，包括：
[0139]
接收模块11，被配置为接收目标业务；
[0140]
辅助图生成模块12，被配置为根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；
[0141]
最优加密通信路径选择模块13，被配置为根据预定的流量疏导策略，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；
[0142]
数据传输模块14，被配置为根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。
[0143]
为了描述的方便，描述以上装置时以功能分为各种模块分别描述。当然，在实施本技术时可以把各模块的功能在同一个或多个软件和/或硬件中实现。
[0144]
上述实施例的装置用于实现前述任一实施例中相应的基于量子安全的流量疏导方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0145]
基于同一发明构思，与上述任意实施例方法相对应的，本技术还提供了一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上任意一实施例所述的基于量子安全的流量疏导方法。
[0146]
图7示出了本实施例所提供的一种更为具体的电子设备硬件结构示意图，该设备
可以包括：处理器1010、存储器1020、输入/输出接口1030、通信接口1040和总线1050。其中处理器1010、存储器1020、输入/输出接口1030和通信接口1040通过总线1050实现彼此之间在设备内部的通信连接。
[0147]
处理器1010可以采用通用的cpu(central processing unit，中央处理器)、微处理器、应用专用集成电路(application specific integrated circuit，asic)、或者一个或多个集成电路等方式实现，用于执行相关程序，以实现本说明书实施例所提供的技术方案。
[0148]
存储器1020可以采用rom(read only memory，只读存储器)、ram(random access memory，随机存取存储器)、静态存储设备，动态存储设备等形式实现。存储器1020可以存储操作系统和其他应用程序，在通过软件或者固件来实现本说明书实施例所提供的技术方案时，相关的程序代码保存在存储器1020中，并由处理器1010来调用执行。
[0149]
输入/输出接口1030用于连接输入/输出模块，以实现信息输入及输出。输入输出/模块可以作为组件配置在设备中(图中未示出)，也可以外接于设备以提供相应功能。其中输入设备可以包括键盘、鼠标、触摸屏、麦克风、各类传感器等，输出设备可以包括显示器、扬声器、振动器、指示灯等。
[0150]
通信接口1040用于连接通信模块(图中未示出)，以实现本设备与其他设备的通信交互。其中通信模块可以通过有线方式(例如usb、网线等)实现通信，也可以通过无线方式(例如移动网络、wifi、蓝牙等)实现通信。
[0151]
总线1050包括一通路，在设备的各个组件(例如处理器1010、存储器1020、输入/输出接口1030和通信接口1040)之间传输信息。
[0152]
需要说明的是，尽管上述设备仅示出了处理器1010、存储器1020、输入/输出接口1030、通信接口1040以及总线1050，但是在具体实施过程中，该设备还可以包括实现正常运行所必需的其他组件。此外，本领域的技术人员可以理解的是，上述设备中也可以仅包含实现本说明书实施例方案所必需的组件，而不必包含图中所示的全部组件。
[0153]
上述实施例的电子设备用于实现前述任一实施例中相应的基于量子安全的流量疏导方法，并且具有相应的方法实施例的有益效果，在此不再赘述。
[0154]
所属领域的普通技术人员应当理解：以上任何实施例的讨论仅为示例性的，并非旨在暗示本技术的范围(包括权利要求)被限于这些例子；在本技术的思路下，以上实施例或者不同实施例中的技术特征之间也可以进行组合，步骤可以以任意顺序实现，并存在如上所述的本技术实施例的不同方面的许多其它变化，为了简明它们没有在细节中提供。
[0155]
另外，为简化说明和讨论，并且为了不会使本技术实施例难以理解，在所提供的附图中可以示出或可以不示出与集成电路(ic)芯片和其它部件的公知的电源/接地连接。此外，可以以框图的形式示出装置，以便避免使本技术实施例难以理解，并且这也考虑了以下事实，即关于这些框图装置的实施方式的细节是高度取决于将要实施本技术实施例的平台的(即，这些细节应当完全处于本领域技术人员的理解范围内)。在阐述了具体细节(例如，电路)以描述本技术的示例性实施例的情况下，对本领域技术人员来说显而易见的是，可以在没有这些具体细节的情况下或者这些具体细节有变化的情况下实施本技术实施例。因此，这些描述应被认为是说明性的而不是限制性的。
[0156]
尽管已经结合了本技术的具体实施例对本技术进行了描述，但是根据前面的描
述，这些实施例的很多替换、修改和变型对本领域普通技术人员来说将是显而易见的。例如，其它存储器架构(例如，动态ram(dram))可以使用所讨论的实施例。
[0157]
本技术实施例旨在涵盖落入所附权利要求的宽泛范围之内的所有这样的替换、修改和变型。因此，凡在本技术实施例的精神和原则之内，所做的任何省略、修改、等同替换、改进等，均应包含在本技术的保护范围之内。

技术特征：
1.一种基于量子安全的流量疏导方法，其特征在于，应用于包括光节点、电节点和量子密钥分发节点的网络，包括：接收目标业务；根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。2.根据权利要求1所述的基于量子安全的流量疏导方法，其特征在于，所述目标业务的需求r(s,d,b,k)包括源节点s、目的节点d、宽带需求b以及量子密钥需求k；所述根据所述目标业务的需求、所述网络的拓扑结构和所述网络的可用资源，生成辅助图，包括：根据所述网络的拓扑结构，生成拓扑结构图；所述拓扑结构图包括光层、电层和量子密钥分发层；所述光层的拓扑结构g
p
(v
p
,e
p
)，其中v
p
＝{v
p1
,v
p2
,
…
,v
pi
,
…
}表示光层中节点的集合，ep＝{e
p1
,e
p2
,
…
,e
pi
,
…
}表示光层中链路的集合；所述电层的拓扑结构g
v
(v
v
,e
v
)，其中v
v
＝{v
v1
,v
v2
,
…
,v
vi
,
…
}表示电层中节点的集合，e
v
＝{e
v1
,e
v2
,
…
,e
vi
,
…
}表示电层中链路的集合；量子密钥分发层的拓扑结构g
q
(v
q
,e
q
)，其中vq＝{v
q1
,v
q2
,
…
,v
qi
,
…
}表示量子密钥分发层中节点的集合，e
q
＝{e
q1
,e
q2
,
…
,e
qi
,
…
}表示量子密钥分发层中链路的集合；选择承载容量大于所述宽带需求b的所述拓扑结构图中的节点，生成所述辅助图的节点；所述辅助图的节点包括光类辅助图节点、电类辅助图节点、量子密钥分发类辅助图节点；其中，所述光类辅助图节点包括光接收机or
i
节点和光发射机ot
i
节点，所述or
i
节点的值为所述光接收机的承载容量，所述ot
i
节点的值为所述光发射机的承载容量，所述电类辅助图节点包含ip路由器输入端口in
i
节点和输出端口out
i
节点，所述in
i
节点的值为所述ip路由器输入端口的承载容量，所述out
i
节点的值为所述ip路由器输出端口的承载容量，所述量子密钥分发类辅助图节点包括量子密钥分发接收机qr
i
节点和量子密钥分发发射机qt
i
节点；根据所述辅助图节点生成辅助图边；所述辅助图边分类为类内辅助图边和跨类辅助图边；其中，所述类内辅助图边包括跳数边he
i
，所述密钥中继边kpe
i,j
和新建光路边nle
i,j
；所述跳数边he
i
连接电层的ip路由器输入端口in
i
节点、输出端口out
i
节点或量子密钥分发层的量子密钥分发接收机qr
i
节点、量子密钥分发发射机qt
i
节点或光层的光接收机or
i
节点、光发射机ot
i
节点；所述密钥中继边kpe
i,j
连接任一量子密钥分发类辅助图节点的量子密钥分发发射机qt
i
节点和另一量子密钥分发类辅助图节点的量子密钥分发接收机qr
j
节点；所述新建光路边nle
i,j
连接任一光类辅助图节点的光发射机ot
i
节点和另一光类辅助图节点的光接收机or
j
节点；所述跨类辅助图边包括跨电层量子密钥分发层边和跨光层量子密钥分发层边；所述电层量子密钥分发层边包括连接out
i
到qt
i
的oqe
i
和连接qr
i
到in
i
的qie
i
，所述跨光层量子密钥分发层边包括连接qt
i
到ot
i
的qte
i
和连接or
i
到qr
i
的rqe
i
；根据所述辅助图节点和所述辅助图边生成所述辅助图。3.根据权利要求2所述的基于量子安全的流量疏导方法，其特征在于，所述密钥中继边kpe
i,j
的生成方法，包括：
响应于确定两个不同量子密钥分发类辅助图节点之间存在量子密钥池，且所述量子密钥池中可用量子密钥数大于或等于所述量子密钥需求数，生成密钥中继边kpe
i,j
，所述密钥中继边kpe
i,j
连接该量子密钥分发类辅助图节点中的量子密钥分发发射机qt
i
节点、另一量子密钥分发类辅助图节点中的量子密钥分发接收机qr
i
节点以及量子密钥池kp
i,j
，所述量子密钥池kp
i,j
的值为可用量子密钥数。4.根据权利要求2所述的基于量子安全的流量疏导方法，其特征在于，所述新建光路边nle
i,j
的生成方法，包括：响应于确定任一ot
i
节点和任一or
i
节点之间的空余频谱资源满足所述目标业务的带宽需求，生成新建光路边nle
i,j
，所述新建光路边nle
i,j
连接该t
i
节点和该or
i
节点。5.根据权利要求2所述的基于量子安全的流量疏导方法，其特征在于，所述根据所述辅助图节点生成辅助图边，还包括：获取所有处理中的当前业务；确定每个所述当前业务的通信路径，以及所述通信路径的剩余宽带资源；将所述剩余宽带资源大于或等于所述宽带需求的通信路径，作为已存在光路边ele
i,j
；所述已存在光路边ele
i,j
连接ip路由器输出端口out
i
节点和另一ip路由器输入端口in
j
节点。6.根据权利要求5所述的基于量子安全的流量疏导方法，其特征在于，所述根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径，包括：根据所述目标业务的需求中的源节点s、目的节点d及所述辅助图确定通信方案；响应于确定至少一个加密通信方案，根据预设的所述所有辅助图边的权重，通过预设的权重分数计算公式，计算每个加密通信方案的权重分数；选取所有所述加密通信方案中权重分数最小的加密通信方案作为目标加密通信方案，并将其加密通信路径作为最优加密通信路径。7.根据权利要求6所述的基于量子安全的流量疏导方法，其特征在于，所述根据预设的所述所有辅助图边的权重，通过预设的权重分数计算公式，计算每个加密通信方案的权重分数，包括：获取预设的跳数边、跨类辅助图边权重；通过如下公式计算密钥中继边的安全感知参数：其中，a(i,j)表示所述密钥中继边的安全感知参数，其取值范围在0至1之间，m表示所述密钥中继边连接的量子密钥池的最大存储量子密钥数，kp(vq
i
,vq
j
)表示密钥中继边连接的量子密钥池的可用量子密钥数；根据所述密钥中继边的安全感知参数，通过如下公式计算所述密钥中继边权重：k＝βa(i,j)；其中，k表示所述密钥中继边权重，β表示所述密钥中继边权重系数，β可根据不同的流量疏导目的进行预设，a(i,j)表示所述密钥中继边的安全感知参数；根据所述跳数边、跨类辅助图边以及密钥中继边的权重，计算每个加密通信方案的中
所有边的权重之和，并将该权重之和作为该加密通信方案的权重分数。8.根据权利要求7所述的基于量子安全的流量疏导方法，其特征在于，所述根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输，包括：确定任一节点i与任一节点j之间是否包含已存在光路边ele
i,j
；响应于确定包含已存在光路边ele
i,j
，通过该已存在光路边ele
i,j
满足所述目标业务的需求；响应于确定不包含已存在光路边ele
i,j
，确定所述节点i与所述节点j之间是否存在跳数边he以及新建光路边nle或密钥中继边kpe；响应于确定存在新建光路边nle和跳数边he，在所述节点i和所述节点j之间根据该新建光路边nle对应链路组成的路径进行新建光路，并由所述节点i与所述节点j之间的密钥中继路径实现密钥供应，以满足所述目标业务的需求；响应于确定存在密钥中继边kpe和跳数边he，在所述节点i和所述节点j之间根据密钥中继边kpe对应链路组成的路径进行密钥中继以实现密钥供应，并在所述节点i和所述节点j间新建光路进行加密通信，以满足所述目标业务的需求。9.一种流量疏导装置，其特征在于，包括：接收模块，被配置为接收目标业务；辅助图生成模块，被配置为根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；最优加密通信路径选择模块，被配置为根据预定的流量疏导策略，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；数据传输模块，被配置为根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。10.一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现如权利要求1至8任意一项所述的方法。

技术总结
本申请提供一种基于量子安全的流量疏导方法、装置及电子设备。所述方法应用于包括光节点、电节点和量子密钥分发节点的网络，包括：接收目标业务；根据所述目标业务的需求、所述网络的拓扑结构和所述网络的资源，生成辅助图；根据预定的流量疏导目标，设置所述辅助图中每条边的权重值，选择实现所述目标业务的需求的最小权重路径作为最优加密通信路径；根据所述最优加密通信路径，对所述目标业务分配网络资源并对其数据进行加密传输。通过所述方法可以提高流量疏导的安全性。可以提高流量疏导的安全性。可以提高流量疏导的安全性。


技术研发人员：郁小松 朱青橙 赵永利 李亚杰 张会彬 王伟 张杰
受保护的技术使用者：北京邮电大学
技术研发日：2023.03.21
技术公布日：2023/7/26