技术摘要：
本发明涉及星地一体量子密钥分发网络及其组网方法。在本发明的新型网络中，包括卫星网络和地面网络。卫星网络包括量子卫星和量子卫星地面站单元，地面网络包括地面节点单元；所述量子卫星地面站单元包括量子卫星地面站、量子密钥生成终端和用于量子密钥中继分发的量子  全部
背景技术：
量子密钥分发(QKD)是利用量子系统来进行信息的制备、传输、接收以及提纯来得 到物理原理上不会被别人窃取的安全对称密钥，这个过程可以保证通讯双方所获得的密钥 是完全一致的，并且任何第三方都无法获得任何关于密钥的信息。这一步一般通过量子密 钥生成终端实现。 在现有技术中，采用可信中继是解决远距离量子密钥分发的一种实用化方案，其 原理如图1所示。假设需要在相距距离较远的通信节点A、B之间实现量子密钥的分发，则可 以在通信节点A、B之间设置中继节点1和中继节点2以构成串行链路；各相邻节点两两进行 量子密钥分发，三对密钥分别记为KA1、K12和KB2；会话密钥K在节点A与KA1异或得到K ⊕ KA1，随 后通过网络传输到达中继节点1，K ⊕ KA1在中继节点1先通过利用密钥KA1解密出会话密钥K， 再将该会话密钥K与密钥K12进行异或运算得到K ⊕ K12，随后通过网络传输到达中继节点2， 如前重复，最后在节点B解出会话密钥K，最终实现通信节点A、B之间共享会话密钥K。这一过 程一般通过量子密钥网络交换设备(QKM)实现。 在现有技术中，通常会将一个区域内的量子密钥网络交换设备(QKM)都接入量子 密钥网络交换策略与服务系统(QKMS)进行管理。量子密钥网络交换策略与服务系统(QKMS) 则负责进行其区域内的密钥中继路由的生成和下发，使得量子密钥可以到达正确的对方。 自量子卫星“墨子号”和量子保密通信“京沪干线”落成后，基于两者的天地链路， 开展了一系列的广域量子密钥分发的示范项目，包括中澳洲际量子保密视频通话、人民银 行和国家电网的北京至乌鲁木齐的应用示范。在这些项目中，采用了如图2和3所示的组网 方式，其中，量子卫星(QS)和量子卫星地面站(QSQKD)之间进行量子密钥分发，并通过密钥 中继使得两个量子卫星地面站(QSQKD)有一致的量子密钥。该量子密钥输出至量子密钥网 络交换设备(QKM)内存储。卫星网络的量子密钥网络交换设备(QKM)将接入该地面网络的量 子密钥网络交换策略与服务系统(QKMS)进行管理。当应用设备(APP)需要进行加密时，由通 信的一端发起任务，量子密钥网络交换策略与服务系统(QKMS)下发路由策略，量子密钥网 络交换设备(QKM)根据策略开始逐跳进行密钥中继，直至该地面网络下挂的对端应用设备 (即通信的另一端)。 在现有技术中，成对的量子卫星地面站(QSQKD)通常被等价视为地面网的一对QKD 设备，并被简单地划分在了某一个特定的地面网络域内。申请人通过研究发现，现有技术的 这种组网方式至少存在以下缺点： 1.卫星网络和地面网络之间没有清晰的界限，距离相隔很远的两个量子卫星地面 站被逻辑上划分入原有地面网络域内；同时，对端的量子卫星地面站所连接的地面网络也 被划入原有地面网络域内，导致密钥路由管理混乱。 4 CN 111555864 A 说　明　书 2/5 页 2.卫星网络的密钥产生的特点是非实时、量少，相对于地面网络有较大的流量缺 口，若采用地面网络随需随取的密钥供给方式，该链路上的密钥很容易被快速消耗殆尽，导 致链路中断，无法使用。 3.相对于地面网络建成后网络拓扑变化较小，只存在末梢的延伸或者两网对接需 求。由于卫星网络中的所有量子卫星地面站之间都存在两两配对关系，随着卫星网络中地 面站以及后面接入的地面网不断增加，导致每建设一个量子卫星地面站，就相当于要和所 有地面站之间都建成一条链路，路由配置工作较为复杂，导致每次升级改动所需要的时间 较长。
技术实现要素：
针对现有技术的上述问题，本发明提出一种新型的星地一体量子密钥分发网络及 其组网方法，其中所有卫星网络中的量子密钥网络交换服务都在该卫星网络中进行独立的 管理，从而形成不与任一地面网络耦合的卫星网络，形成明显的路由域管理边界；同时，针 对卫星网络中量子密钥的特点，创新性地提出了生命周期管理、网络隔离及量子密钥输出 流量控制和速率适配的概念，在确保整个分发网络的独立性和扩展性的同时实现了卫星网 络与地面网络之间的无缝对接。 本发明的第一方面涉及一种星地一体量子密钥分发网络，其包括卫星网络和地面 网络，其中，所述卫星网络包括量子卫星和量子卫星地面站单元，所述地面网络包括地面节 点单元；所述量子卫星地面站单元包括量子卫星地面站、量子密钥生成终端和用于量子密 钥中继分发的量子密钥网络交换设备，所述地面节点单元包括量子密钥生成终端和用于量 子密钥中继分发的量子密钥网络交换设备；所述卫星网络还包括量子密钥网络交换策略与 服务系统，用于负责所述卫星网络中的量子密钥网络交换设备的路由策略；并且，所述地面 网络还包括量子密钥网络交换策略与服务系统，用于负责所述地面网络中的量子密钥网络 交换设备的路由策略。 进一步地，所述地面网络被设置成在要利用所述卫星网络中的量子密钥时，向所 述卫星网络中的量子密钥网络交换策略与服务系统进行询问并生成跨域路由。 进一步地，所述量子卫星地面站单元还包括量子密钥服务系统，用于接收所述量 子卫星地面站内生成的量子密钥并对其进行管理。 更进一步地，所述量子密钥服务系统被设置用于对所述量子密钥的生命周期进行 管理。 更进一步地，所述量子密钥服务系统还包括网络隔离模块，用于在所述量子卫星 地面站与所述地面网络之间提供逻辑或物理网络隔离。其中，所述网络隔离包括双网卡隔 离、网闸设备隔离、光盘摆渡机隔离中的一种或多种。 进一步地，所述量子卫星地面站单元还包括量子密钥输入量子密钥速度适配设 备；所述量子密钥服务系统还被设置成根据所述地面网络的密钥流量需求将所述量子密钥 输入所述量子密钥速度适配设备；并且，所述量子密钥速度适配设备针对所述地面网络的 密钥流量需求按照密码规范进行输出流量控制和速率适配，并将所述量子密钥输入所述卫 星网络的量子密钥网络交换设备。 本发明的另一方面涉及一种星地一体量子密钥分发网络的组网方法，其包括：由 5 CN 111555864 A 说　明　书 3/5 页 量子卫星和量子卫星地面站单元构建卫星网络的步骤；由地面节点单元构建地面网络的步 骤；其中，量子密钥在所述卫星网络中的中继分发的路由策略由独立于所述地面网络的量 子密钥网络交换策略与服务系统进行管理。 进一步地，本发明的组网方法还包括对量子密钥进行生命周期管理的步骤；以及/ 或者在所述量子卫星地面站与所述地面网络之间提供网络隔离的步骤；以及/或者根据所 述地面网络的密钥流量需求向所述地面网络提供量子密钥的步骤。 更进一步地，在所述根据所述地面网络的密钥流量需求向所述地面网络提供量子 密钥的步骤中，根据所述地面网络的密钥流量需求按照预设的密码规范进行量子密钥输出 流量控制和速率适配。 上述星地一体量子密钥分发网络的组网方法用于本发明的星地一体量子密钥分 发网络的组网。 附图说明 图1示意性地说明了现有技术中的一种用于量子密钥分发的可信中继方案的原 理； 图2和3示意性地说明了现有技术中的星地一体量子密钥分发网络的组网方案的 原理； 图4示意性地说明了本发明的星地一体量子密钥分发网络及其组网方法。