可自动组网的量子加密通信方法和系统与流程

1.本发明涉及信息加密技术领域，尤其涉及一种可自动组网的量子加密通信方法和系统。

背景技术：

2.在现有技术中，典型的量子保密通信组网场景包括量子密钥分发系统（quantum key distribution，qkd）或网络、量子保密通信应用网关设备、物理链路和内部网络。其中，量子保密通信应用网关设备从系统或qkd网络中获取一致的量子密钥，通过数据面通信接口使用量子密钥，对来自内部网络的数据流量进行加密，并发送到远端的量子保密通信应用网关设备，远端设备使用相同的密钥对加密数据流量进行解密和解封装，并查路由转发至内部网络，实现传输链路的数据加密，防止未知访问者通过中间信道对数据进行窃取和监听。在现有技术中，量子保密通信至少存在如下几个技术问题。
3.首先，量子保密通信和链路加密技存在相同的技术问题，都面临着节点数量的扩展性问题。主要原因在于链路加密是点对点技术，任意需要进行传输加密的两个网元之间都要创建加密隧道，于是产生了n平方问题。网络扩建增加网元时，为了创建到存量网元的加密隧道，仍然需要修改已经稳定运行的设备配置。网元需要维护大量的加密隧道的会话状态，加重了网元设备的性能损耗。扩展节点增加了开通、运维的复杂性和故障风险，不利于构建大规模的传输加密的网络。
4.其次，量子保密通信同时也面临着对三层虚拟专用网(layer 3 virtual private network，l3vpn)网络支持不足的问题。由于链路加密技术一般工作在网络协议栈的三层以上，对于需要路由隔离的三层虚拟专用网，私网标签无法直接作为加密载荷进行封装。如果对私网侧流量进行加密会造成隧道数量的膨胀，如果采用通用路由封装(gre)隧道技术封装私网流量后再进行加密则产生了数据报文的膨胀和额外的处理开销。
5.最后，量子保密通信网络建设也存在着网络优化的需求。主要体现在对互联网协议网络（internet protocol version 6，ipv6）的支持和平滑过渡能力，使用软件定义网络（software defined network，sdn）技术对应用层或外部开放的可编程能力，以及全网的流量调度能力。
6.综上，为了解决该技术问题，需要提供一种可自动组网的量子加密通信方法，实现节点的路径编排，提升网络的可编程能力及流量工程能力。

技术实现要素：

7.本发明提供了一种可自动组网的量子加密通信方法和系统，旨在有效解决现有技术中量子加密通信面临节点数量难以扩展的技术问题。
8.根据本发明的一方面，本发明提供一种可自动组网的量子加密通信方法，所述方法包括：运营商边缘路由器获取用户边缘路由器的用户前缀路由，基于所述用户前缀路由
生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。
9.进一步地，在所述运营商边缘路由器获取用户边缘路由器的用户前缀路由之前，所述方法还包括：运营商边缘路由器基于evpn隧道协议配置隧道发现类型路由和隧道参数类型路由。
10.进一步地，所述基于所述用户前缀路由生成用户路由参数包括：所述运营商边缘路由器根据所述用户前缀路由生成与所述用户边缘路由器相对应的路由区分符属性、路由导出属性和段路由指令。
11.进一步地，所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述用户路由参数的路由导出属性，并对该路由导出属性和本地的路由导入属性进行匹配，若匹配成功则将所述用户路由参数添加至本地的vpn路由表。
12.进一步地，所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息包括：所述运营商边缘路由器根据隧道发现类型路由和所述多个用户路由参数对应的至少一个路由导出属性构造路由导出属性集合，并根据源隧道标识和路由导出属性集合生成所述隧道用户信息。
13.进一步地，所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述隧道用户信息中的路由导出属性集合，并对所述路由导出属性集合中的每一个路由导出属性和本地的路
由导入属性进行匹配，在任意一个路由导出属性和本地的路由导入属性匹配成功后创建所述加密隧道。
14.进一步地，在所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥之前，所述方法还包括：所述源运营商边缘路由器根据自身的第一设备标识、算法套件、填充模式以及隧道参数类型路由生成隧道参数，并将所述隧道参数经由所述路由反射器发送至所述目标运营商边缘路由器；所述源运营商边缘路由器和所述目标运营商边缘路由器分别基于所述第一设备标识和所述目标运营商边缘路由器的第二设备标识生成各自的隧道密钥请求信息；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥包括：所述源运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第一量子密钥；所述目标运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第二量子密钥。
15.进一步地，所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径包括：所述源运营商边缘路由器根据源节点路径选择方法计算所述信息转发路径。
16.进一步地，所述vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令包括：基于所述vpn路由表生成目标端段指令的路由指令，基于预设的密钥索引和所述密钥环形队列的密钥环形队列标识生成所述目标端段指令的解密指令。
17.进一步地，所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据包括：基于所述密钥索引和所述密钥环形队列标识在本地的密钥环形队列中确定所述第一量子密钥，并基于所述第一量子密钥对所述加密数据包进行解密以得到所述原始数据。
18.进一步地，所述根据所述信息转发路径和所述目标端段指令生成段指令集合包括：根据所述信息转发路径确定路径经过的多个运营商路由器，基于该多个运营商路由器确定多个段标识，基于所述多个段标识和所述目标端段指令生成所述段指令集合。
19.进一步地，在所述根据所述信息转发路径发送所述报文之后，所述方法还包括：该多个运营商路由器的每一个运营商路由器分别执行所述段指令集合中与自身段标识相对应的段指令，并根据所述信息转发路径转发所述报文直至所述报文发送至所述目标运营商边缘路由器。
20.进一步地，所述基于报文头、所述段指令集合和所述加密数据包生成报文包括：基于srv6网络协议生成所述报文头以及构建所述报文。
21.根据本发明的另一方面，本发明还提供了一种可自动组网的量子加密通信系统，所述系统包括：
运营商边缘路由器，用户边缘路由器，路由反射器，密钥分发方；所述运营商边缘路由器用于获取所述用户边缘路由器的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；所述运营商边缘路由器还用于基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器用于分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；所述源运营商边缘路由器还用于计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；所述目标运营商边缘路由器还用于根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。
22.通过本发明中的上述实施例中的一个实施例或多个实施例，至少可以实现如下技术效果：在本发明所公开的技术方案中，控制面采用扩展的evpn技术，可以灵活的实现量子密钥的自动获取，并完成路由通告、隧道的自发现和自动创建，具备极强的扩展能力，提升了对l3vpn业务场景的支持，支持多租户、多vrf，实现了面向量子保密通信的自动化组网技术。
23.转发面采用扩展的srv6技术，无缝支持ipv6网络，不支持srv6的转发节点可以只做ipv6的基本转发，具备较强的平滑演进能力。通过扩展srv6的段指令sid，作为量子保密通信自动化组网的转发面，实现数据流量的加解密，和解密后vpn流量的转发，同时继承srv6的其它能力。通过头节点的路径编排，提升了网络的可编程能力、sla及流量工程能力。
24.通过以上两种协议，可以实现vpn路由的通告、隧道的自发现和自动创建、流量的加密传输，有效解决在利用量子密钥分发系统（qkd）网络的量子密钥构建量子保密通信组网时，网络扩展性不足，对vpn流量支持不足，网络开发性不足等问题。
附图说明
25.下面结合附图，通过对本发明的具体实施方式详细描述，将使本发明的技术方案及其它有益效果显而易见。
26.图1为本发明实施例提供的一种可自动组网的量子加密通信方法的步骤流程图；图2为本发明实施例提供的一种量子加密通信网络的拓扑结构图；
图3为本发明实施例提供的一种报文的帧格式示意图；图4为本发明实施例提供的一种可自动组网的量子加密通信系统的示意图。
具体实施方式
27.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述。显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域技术人员在没有作出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
28.图1所示为本发明实施例所提供的可自动组网的量子加密通信方法的步骤流程图，根据本发明的一方面，本发明提供一种可自动组网的量子加密通信方法，所述方法包括：步骤101：运营商边缘路由器获取用户边缘路由器的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；步骤102：所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；步骤103：所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；步骤104：所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；步骤105：所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。
29.本发明提出了一种使用扩展的evpn（ethernet virtual private network）和srv6（segment routing version 6）技术来实现量子保密通信的自动化组网方法。通过扩展evpn路由类型来作为量子保密通信自动化组网的控制面，实现vpn路由的通告、加密隧道的自发现和自动创建，多个运营商边缘路由器（网元）在量子密钥分发系统（qkd）网络中分配设备标识通告，算法套件、分组加密填充模式等参数的通告。通过扩展srv6的段指令sid，作为量子保密通信自动化组网的转发面，实现数据流量的加解密，和解密后vpn流量的转发，同时继承srv6的其它能力。
30.在遵循evpn的基本框架的前提下，本发明增加了type6隧道发现类型路由和type7隧道参数类型路由，所有运营商边缘路由器（网元）经过配置后与bgp的路由反射器rr建立
evpn对等体关系，进行相关的路由通告。
31.在本发明中，步骤101和步骤102不存在严格的先后顺序关系，以下对上述步骤101~105进行具体描述。
32.在步骤101中，运营商边缘路由器获取用户边缘路由器的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；示例性地，图2为本发明实施例提供的一种量子加密通信网络的拓扑结构图，在量子加密通信网络系统中，包括多个运营商路由器、多个运营商边缘路由器、多个用户边缘路由器。其中，多个运营商边缘路由器之间进行数据传输时，需要经过运营商路由器进行转发。每个运营商边缘路由器下连接多个用户边缘路由器，并为每个用户边缘路由器维护一个vpn路由。
33.为了使用户边缘路由器与其它的运营商边缘路由器下的目标用户边缘路由器进行通信。在本发明中，运营商边缘路由器之间相互存储需要进行通信的其它的用户边缘路由器的路由信息，并且建立用于通信的加密隧道。
34.首先，运营商边缘路由器获取用户边缘路由器的vpn用户前缀路由，具体来说，运营商边缘路由器从用户边缘路由器处学习到vpn用户前缀路由后将路由存放到本地vpn路由表，并为用户前缀路由添加多个属性以生成用户路由参数。其它运营商边缘路由器在收到了用户路由参数后，能够根据多个属性判断是否有通信链路，若存在通信链路，则将用户路由参数更新各自的vpn路由表。
35.在步骤102中，所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道。
36.示例性地，若两个运营商边缘路由器下的用户之间需要通信，则需要在该两个运营商边缘路由器之间自动建立加密隧道，本发明为了实现该功能，增加了type6隧道发现类型路由。在本步骤中，通过type6隧道发现类型路由对应的数据格式来实现该功能。
37.具体来说，运营商边缘路由器先将自身所连接的多个用户边缘路由器的用户路由参数生成用于自动生成隧道的隧道用户信息，然后发送到每一个其它的运营商边缘路由器，每一个运营商边缘路由器都对隧道用户信息进行匹配，若本地维护的用户相关的信息中有交集，说明两端运营商边缘路由器存在数据流量的加密需求，自动创建加密隧道。
38.在步骤103中，所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列。
39.示例性地，在建立隧道以后，加密隧道两端的两个运营商边缘路由器在密钥分发方处请求量子密钥，并将量子密钥存储到本地的密钥环形队列。其中，为了提高隧道的安全性，隧道两端相互通信时，当通信方向不同时，量子密钥也不同。
40.在步骤104中，所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根
据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文。
41.示例性地，当存在数据传输需求时，发送数据的源运营商边缘路由器确定出传输路径，然后生成报文，其中，为了使目标运营商边缘路由器能够解密，在报文的段指令集合中添加了特殊的目标端段指令，基于目标运营商边缘路由器处理执行常规指令外还需要基于目标端段指令对数据进行解密。加密隧道可以是两个运营商边缘路由器之间直接通信，也可能经过多个其它的运营商路由器，因此在传输过程中，路径上的运营商路由器根据信息转发路径发送报文。
42.在步骤105中，所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。
43.示例性地，目标运营商边缘路由器处理执行常规指令外还需要基于目标端段指令对数据进行解密，根据vpn路由标识确定出数据对应的目标用户边缘路由器，然后将报文中的原始数据转发至目标用户边缘路由器。
44.进一步地，在所述运营商边缘路由器获取用户边缘路由器的用户前缀路由之前，所述方法还包括：运营商边缘路由器基于evpn隧道协议配置隧道发现类型路由和隧道参数类型路由。
45.示例性地，在本发明中，可控制面基于evpn隧道协议，在遵循evpn的基本框架的前提下，增加type6隧道发现类型路由和type7隧道参数类型路由。控制面在完成路由通告和加密隧道的自动发现和创建后，完成流量的路由引流。
46.evpn统一了各种vpn业务的控制面，利用bgp扩展协议来传递二层或三层的可达性信息，实现了转发面和控制面的分离。
47.进一步地，所述基于所述用户前缀路由生成用户路由参数包括：所述运营商边缘路由器根据所述用户前缀路由生成与所述用户边缘路由器相对应的路由区分符属性、路由导出属性和段路由指令。
48.进一步地，所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述用户路由参数的路由导出属性，并对该路由导出属性和本地的路由导入属性进行匹配，若匹配成功则将所述用户路由参数添加至本地的vpn路由表。
49.示例性地，通过type5类型路由发布vpn前缀路由，具体来说，运营商边缘路由器从用户边缘路由器学习到前缀路由信息，为用户前缀路由增加路由区分符属性（rd属性）、路由导出属性（export rt属性）以及代表vpn实例的段路由指令，其中，段路由指令为end.dt4 sid或end.dt6 sid。然后将路由信息发布给路由反射器，路由反射器将路由信息反射给其它运营商边缘路由器。其它运营商边缘路由器接收到路由信息后将路由导出属性（export rt属性）和本地vpn实例的路由导入属性（import rt属性）进行匹配和交叉导入，如果属性值相同，则将该前缀路由添加到对应的vpn路由表。
50.进一步地，所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息包括：所述运营商边缘路由器根据隧道发现类型路由和所述多个用户路由参数对应的至少一个路由导出属性构造路由导出属性集合，并根据源隧道标识和路由导出属性集合生成所述隧道用户信息。
51.进一步地，所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述隧道用户信息中的路由导出属性集合，并对所述路由导出属性集合中的每一个路由导出属性和本地的路由导入属性进行匹配，在任意一个路由导出属性和本地的路由导入属性匹配成功后创建所述加密隧道。
52.示例性地，运营商边缘路由器通过type6类型路由发布本端隧道源ip和vpn实例的路由导出属性集合（export rt属性集合），实现加密隧道的自动发现。运营商边缘路由器将路由发送给路由反射器，其它的运营商边缘路由器接收路由反射器转发的路由信息，接收到路由信息后将路由导出属性集合（export rt属性集合）和本地各vpn实例的路由导入属性（import rt属性）属性进行求交，如果有交集，说明两端运营商边缘路由器存在数据流量的加密需求，自动创建加密隧道。
53.进一步地，在所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥之前，所述方法还包括：所述源运营商边缘路由器根据自身的第一设备标识、算法套件、填充模式以及隧道参数类型路由生成隧道参数，并将所述隧道参数经由所述路由反射器发送至所述目标运营商边缘路由器；所述源运营商边缘路由器和所述目标运营商边缘路由器分别基于所述第一设备标识和所述目标运营商边缘路由器的第二设备标识生成各自的隧道密钥请求信息；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥包括：所述源运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第一量子密钥；所述目标运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第二量子密钥。
54.示例性地，运营商边缘路由器通过type7类型路由发布隧道相关的隧道参数，实现加密隧道的参数协商。具体来说，源运营商边缘路由器将隧道参数发送给路由反射器，目标运营商边缘路由器从路由反射器处接收到隧道参数。其中，通告的隧道参数的内容包含设备在量子密钥分发（qkd）网络中的设备标识、算法套件和填充模式。
55.量子密钥分发（qkd）网络中的设备标识用于两端设备从量子密钥分发（qkd）网络中获取量子密钥，并将量子密钥存储在本地密钥环形队列中，通过密钥环形队列的索引实现双方密钥同步，通过密钥的周期性轮换和密钥环形队列更新，提高传输链路的密钥更新频率和加密强度。算法套件决定两端设备的加密算法和分组加密模式。填充模式决定两端设备在分组加密运算时的数据填充规则，解密后去掉填充部分。
56.具体来说，在请求量子密钥时，隧道两端的运营商边缘路由器分别基于两侧的第一设备标识和第二设备标识请求量子密钥。为了提高数据传输安全性，当数据传输方向不同时，量子密钥不同，因此源运营商边缘路由器获取第一量子密钥，目标运营商边缘路由器获取第二量子密钥。
57.进一步地，所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径包括：所述源运营商边缘路由器根据源节点路径选择方法计算所述信息转发路径。
58.示例性地，控制面在完成路由通告和加密隧道的自动发现和创建后，完成流量的路由引流，转发面采用srv6实现数据的封装和加密。采用源节点路径选择机制，按照业务需求计算需要经过的转发路径。源运营商边缘路由器封装路径经过的段标识sid，其它节点不需要维护路径状态。
59.进一步地，所述vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令包括：基于所述vpn路由表生成目标端段指令的路由指令，基于预设的密钥索引和所述密钥环形队列的密钥环形队列标识生成所述目标端段指令的解密指令。
60.进一步地，所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据包括：基于所述密钥索引和所述密钥环形队列标识在本地的密钥环形队列中确定所述第一量子密钥，并基于所述第一量子密钥对所述加密数据包进行解密以得到所述原始数据。
61.示例性地，图3为本发明实施例提供的一种报文的帧格式示意图，segment list中的segment list[0]和segment list[1]是加密隧道尾节点处的目标运营商边缘路由器需要处理的目标端段指令，其中，segment list[0]是路由指令，segment list[1]是解密指令。
[0062]
目标运营商边缘路由器先进行segment list[1]处理，然后进行segment list[0]处理。segment list[1]为新增的一种end.crypto sid，包含locator信息、加密指令、密钥环形队列标识id和队列中的密钥索引。加密端使用密钥环形队列id和队列中的密钥索引标识的量子密钥对原始载荷进行加密，解密端通过相同的量子密钥对原始载荷进行解密还原，并去除padding恢复出原始载荷。
[0063]
segment list[0]为通用的end.dt4 sid或end.dt6 sid，end.dt4 sid对应vpnv4，end.dt6 sid对应vpnv6。加密隧道尾节点解封装ipv6报文头和segment routing header，并根据segment list[0]中的vpn标识查对应的vpn路由表进行路由转发。
[0064]
其中，srv6 segment是一个128位数，通常也可以称为srv6 sid或者sid。sid是一种实例化的ipv6地址，此类ipv6地址被赋予唯一的功能，一个srv6 sid可以表示一个节点/链路，或者一个l2/l3的vpn，又或者一个服务。可以说，通过srv6 sid可以定义任何的网络功能。
[0065]
srv6 sid是一种网络指令（instruction），它由locator和function两部分组成，locator主要承担路由功能，所以要在域内唯一，function可以标示设备的任何功能，比如某个转发行为，或者某种业务等。srv6 sid的结构更有利于对网络进行编程。
[0066]
进一步地，所述根据所述信息转发路径和所述目标端段指令生成段指令集合包括：根据所述信息转发路径确定路径经过的多个运营商路由器，基于该多个运营商路由器确定多个段标识，基于所述多个段标识和所述目标端段指令生成所述段指令集合。
[0067]
进一步地，在所述根据所述信息转发路径发送所述报文之后，所述方法还包括：该多个运营商路由器的每一个运营商路由器分别执行所述段指令集合中与自身段标识相对应的段指令，并根据所述信息转发路径转发所述报文直至所述报文发送至所述目标运营商边缘路由器。
[0068]
示例性地，由于在源运营商边缘路由器和目标运营商边缘路由器之间可能经过多个运营商路由器，为了通过不同的运营商路由器转发数据，需要确定出每个运营商路由器对应的段标识。
[0069]
运营商路由器在转发报文时，根据报文中的段标识判自身是否是目标运营商边缘路由器，若不是，则确定出下一个运营商路由器，并转发出报文。
[0070]
进一步地，所述基于报文头、所述段指令集合和所述加密数据包生成报文包括：基于srv6网络协议生成所述报文头以及构建所述报文。
[0071]
通过本发明中的上述实施例中的一个实施例或多个实施例，至少可以实现如下技术效果：在本发明所公开的技术方案中，控制面采用扩展的evpn技术，可以灵活的实现量子密钥的自动获取，并完成路由通告、隧道的自发现和自动创建，具备极强的扩展能力，提升了对l3vpn业务场景的支持，支持多租户、多vrf，实现了面向量子保密通信的自动化组网技术。
[0072]
转发面采用扩展的srv6技术，无缝支持ipv6网络，不支持srv6的转发节点可以只做ipv6的基本转发，具备较强的平滑演进能力。通过扩展srv6的段指令sid，作为量子保密通信自动化组网的转发面，实现数据流量的加解密，和解密后vpn流量的转发，同时继承srv6的其它能力。通过头节点的路径编排，提升了网络的可编程能力、sla及流量工程能力。
[0073]
通过以上两种协议，可以实现vpn路由的通告、隧道的自发现和自动创建、流量的加密传输，有效解决了在利用qkd网络的量子密钥构建量子保密通信组网时，网络扩展性不足，对vpn流量支持不足，网络开发性不足等问题。
[0074]
基于与本发明实施例的一种可自动组网的量子加密通信方法同样的发明构思，本发明实施例提供了一种可自动组网的量子加密通信系统，请参考图4，所述系统包括：运营商边缘路由器201，用户边缘路由器202，路由反射器203，密钥分发方204；所述运营商边缘路由器201用于获取所述用户边缘路由器202的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器203发送至其它运营商边缘路由器201，以使所述其它运营商边缘路由器201基于所述用户路由参数更新各自的vpn路由表；所述运营商边缘路由器201还用于基于多个用户边缘路由器202的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器203发送至所述其它运营商边缘路由器201，以使所述其它运营商边缘路由器201基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；
所述加密隧道对应的源运营商边缘路由器201和目标运营商边缘路由器201用于分别根据各自的隧道密钥请求信息向密钥分发方204请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；所述源运营商边缘路由器201还用于计算到所述目标运营商边缘路由器201之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；所述目标运营商边缘路由器201还用于根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器202。
[0075]
进一步地，在所述运营商边缘路由器201获取用户边缘路由器202的用户前缀路由之前，所述运营商边缘路由器201还用于：基于evpn隧道协议配置隧道发现类型路由和隧道参数类型路由。
[0076]
进一步地，所述运营商边缘路由器201还用于：所述运营商边缘路由器201根据所述用户前缀路由生成与所述用户边缘路由器202相对应的路由区分符属性、路由导出属性和段路由指令。
[0077]
进一步地，所述运营商边缘路由器201还用于：所述其它运营商边缘路由器201的每一个运营商边缘路由器201获取所述用户路由参数的路由导出属性，并对该路由导出属性和本地的路由导入属性进行匹配，若匹配成功则将所述用户路由参数添加至本地的vpn路由表。
[0078]
进一步地，所述运营商边缘路由器201还用于：所述运营商边缘路由器201根据隧道发现类型路由和所述多个用户路由参数对应的至少一个路由导出属性构造路由导出属性集合，并根据源隧道标识和路由导出属性集合生成所述隧道用户信息。
[0079]
进一步地，所述运营商边缘路由器201还用于：所述其它运营商边缘路由器201的每一个运营商边缘路由器201获取所述隧道用户信息中的路由导出属性集合，并对所述路由导出属性集合中的每一个路由导出属性和本地的路由导入属性进行匹配，在任意一个路由导出属性和本地的路由导入属性匹配成功后创建所述加密隧道。
[0080]
进一步地，在所述加密隧道对应的源运营商边缘路由器201和目标运营商边缘路由器201分别根据各自的隧道密钥请求信息向密钥分发方204请求量子密钥之前，所述运营商边缘路由器201还用于：所述源运营商边缘路由器201根据自身的第一设备标识、算法套件、填充模式以及隧道参数类型路由生成隧道参数，并将所述隧道参数经由所述路由反射器203发送至所述目标运营商边缘路由器201；所述源运营商边缘路由器201和所述目标运营商边缘路由器201分别基于所述第一设备标识和所述目标运营商边缘路由器201的第二设备标识生成各自的隧道密钥请求信息；
所述加密隧道对应的源运营商边缘路由器201和目标运营商边缘路由器201分别根据各自的隧道密钥请求信息向密钥分发方204请求量子密钥包括：所述源运营商边缘路由器201基于所述第一设备标识和所述第二设备标识向所述密钥分发方204请求与所述加密隧道对应的第一量子密钥；所述目标运营商边缘路由器201基于所述第一设备标识和所述第二设备标识向所述密钥分发方204请求与所述加密隧道对应的第二量子密钥。
[0081]
进一步地，所述运营商边缘路由器201还用于：所述源运营商边缘路由器201根据源节点路径选择方法计算所述信息转发路径。
[0082]
进一步地，所述运营商边缘路由器201还用于：基于所述vpn路由表生成目标端段指令的路由指令，基于预设的密钥索引和所述密钥环形队列的密钥环形队列标识生成所述目标端段指令的解密指令。
[0083]
进一步地，所述运营商边缘路由器201还用于：基于所述密钥索引和所述密钥环形队列标识在本地的密钥环形队列中确定所述第一量子密钥，并基于所述第一量子密钥对所述加密数据包进行解密以得到所述原始数据。
[0084]
进一步地，所述系统还包括运营商路由器205，所述运营商边缘路由器201还用于：根据所述信息转发路径确定路径经过的多个运营商路由器205，基于该多个运营商路由器205确定多个段标识，基于所述多个段标识和所述目标端段指令生成所述段指令集合。
[0085]
进一步地，所述运营商路由器205用于：该多个运营商路由器205的每一个运营商路由器205分别执行所述段指令集合中与自身段标识相对应的段指令，并根据所述信息转发路径转发所述报文直至所述报文发送至所述目标运营商边缘路由器201。
[0086]
进一步地，所述运营商边缘路由器201还用于：基于srv6网络协议生成所述报文头以及构建所述报文。
[0087]
其中，所述可自动组网的量子加密通信系统的其它方面以及实现细节与前面所描述的可自动组网的量子加密通信方法相同或相似，在此不再赘述。
[0088]
根据本发明的另一方面，本发明还提供一种存储介质，所述存储介质中存储有多条指令，所述指令适于由处理器加载以执行如上所述的任一可自动组网的量子加密通信方法。
[0089]
综上所述，虽然本发明已以优选实施例揭露如上，但上述优选实施例并非用以限制本发明，本领域的普通技术人员，在不脱离本发明的精神和范围内，均可作各种更动与润饰，因此本发明的保护范围以权利要求界定的范围为准。

技术特征：

1.一种可自动组网的量子加密通信方法，其特征在于，所述方法包括：运营商边缘路由器获取用户边缘路由器的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。2.如权利要求1所述的方法，其特征在于，在所述运营商边缘路由器获取用户边缘路由器的用户前缀路由之前，所述方法还包括：运营商边缘路由器基于evpn隧道协议配置隧道发现类型路由和隧道参数类型路由。3.如权利要求2所述的方法，其特征在于，所述基于所述用户前缀路由生成用户路由参数包括：所述运营商边缘路由器根据所述用户前缀路由生成与所述用户边缘路由器相对应的路由区分符属性、路由导出属性和段路由指令。4.如权利要求3所述的方法，其特征在于，所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述用户路由参数的路由导出属性，并对该路由导出属性和本地的路由导入属性进行匹配，若匹配成功则将所述用户路由参数添加至本地的vpn路由表。5.如权利要求3所述的方法，其特征在于，所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息包括：所述运营商边缘路由器根据隧道发现类型路由和所述多个用户路由参数对应的至少一个路由导出属性构造路由导出属性集合，并根据源隧道标识和路由导出属性集合生成所述隧道用户信息。6.如权利要求5所述的方法，其特征在于，所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道包括：所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述隧道用户信息中的
路由导出属性集合，并对所述路由导出属性集合中的每一个路由导出属性和本地的路由导入属性进行匹配，在任意一个路由导出属性和本地的路由导入属性匹配成功后创建所述加密隧道。7.如权利要求6所述的方法，其特征在于，在所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥之前，所述方法还包括：所述源运营商边缘路由器根据自身的第一设备标识、算法套件、填充模式以及隧道参数类型路由生成隧道参数，并将所述隧道参数经由所述路由反射器发送至所述目标运营商边缘路由器；所述源运营商边缘路由器和所述目标运营商边缘路由器分别基于所述第一设备标识和所述目标运营商边缘路由器的第二设备标识生成各自的隧道密钥请求信息；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥包括：所述源运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第一量子密钥；所述目标运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分发方请求与所述加密隧道对应的第二量子密钥。8.如权利要求7所述的方法，其特征在于，所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信息转发路径包括：所述源运营商边缘路由器根据源节点路径选择方法计算所述信息转发路径。9.如权利要求8所述的方法，其特征在于，所述vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令包括：基于所述vpn路由表生成目标端段指令的路由指令，基于预设的密钥索引和所述密钥环形队列的密钥环形队列标识生成所述目标端段指令的解密指令。10.如权利要求9所述的方法，其特征在于，所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据包括：基于所述密钥索引和所述密钥环形队列标识在本地的密钥环形队列中确定所述第一量子密钥，并基于所述第一量子密钥对所述加密数据包进行解密以得到所述原始数据。11.如权利要求1所述的方法，其特征在于，所述根据所述信息转发路径和所述目标端段指令生成段指令集合包括：根据所述信息转发路径确定路径经过的多个运营商路由器，基于该多个运营商路由器确定多个段标识，基于所述多个段标识和所述目标端段指令生成所述段指令集合。12.如权利要求11所述的方法，在所述根据所述信息转发路径发送所述报文之后，所述方法还包括：该多个运营商路由器的每一个运营商路由器分别执行所述段指令集合中与自身段标识相对应的段指令，并根据所述信息转发路径转发所述报文直至所述报文发送至所述目标运营商边缘路由器。13.如权利要求1所述的方法，其特征在于，所述基于报文头、所述段指令集合和所述加密数据包生成报文包括：
基于srv6网络协议生成所述报文头以及构建所述报文。14.一种可自动组网的量子加密通信系统，其特征在于，所述系统包括：运营商边缘路由器，用户边缘路由器，路由反射器，密钥分发方；所述运营商边缘路由器用于获取所述用户边缘路由器的用户前缀路由，基于所述用户前缀路由生成用户路由参数并更新本地的vpn路由表，将所述用户路由参数经路由反射器发送至其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的vpn路由表；所述运营商边缘路由器还用于基于多个用户边缘路由器的多个用户路由参数生成隧道用户信息，并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器，以使所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加密隧道；所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器用于分别根据各自的隧道密钥请求信息向密钥分发方请求量子密钥，并根据各自的量子密钥更新本地的密钥环形队列；所述源运营商边缘路由器还用于计算到所述目标运营商边缘路由器之间的信息转发路径，基于vpn路由表的vpn路由标识和密钥环形队列生成目标端段指令，并根据所述信息转发路径和所述目标端段指令生成段指令集合，根据本地的密钥环形队列对原始数据进行加密以生成加密数据包，基于报文头、所述段指令集合和所述加密数据包生成报文，并根据所述信息转发路径发送所述报文；所述目标运营商边缘路由器还用于根据所述目标端段指令对所述加密数据包进行解密以得到所述原始数据，并根据所述vpn路由标识将所述原始数据转发至目标用户边缘路由器。

技术总结

本发明公开了一种可自动组网的量子加密通信方法和系统，其中，方法包括：运营商边缘路由器将用户边缘路由器的用户前缀路由发送至其它运营商边缘路由器，其它运营商边缘路由器更新各自的VPN路由表；运营商边缘路由器生成隧道信息并发送至其它运营商边缘路由器以自动生成加密隧道；加密隧道对应的运营商边缘路由器请求量子密钥并更新密钥环形队列；源运营商边缘路由器计算到目标运营商边缘路由器之间的信息转发路径，并基于报文头、段指令集合和加密数据包生成报文以及发送报文；目标运营商边缘路由器将原始数据转发至目标用户边缘路由器。本发明所提供的技术方案能够解决现有技术中量子加密通信面临节点数量难以扩展的技术问题。技术问题。技术问题。