(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211359488.8 (22)申请日 2022.11.02 (71)申请人 南京易科腾信息技 术有限公司 地址 211100 江苏省南京市江宁区联域路3 号 （江宁高新园） (72)发明人 晏志文　 (74)专利代理 机构 深圳紫藤知识产权代理有限 公司 44570 专利代理师 远明 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) H04L 12/46(2006.01) H04L 45/745(2022.01) (54)发明名称 可自动组网的量子加密通信方法和系统 (57)摘要 本发明公开了一种可自动组网的量子加密 通信方法和系统， 其中， 方法包括： 运营商边缘路 由器将用户边缘路由器的用户前缀路由发送至 其它运营商边缘路由器， 其它运营商边缘路由器 更新各自的VPN路由表； 运营商边缘路由器生成 隧道信息并发送至其它运营商边缘路由器以自 动生成加密隧道； 加密隧道对应的运营商边缘路 由器请求量子密钥并更新密钥环形队列； 源运营 商边缘路由器计算到目标运营商边缘路由器之 间的信息转发路径， 并基于报文头、 段指令集合 和加密数据包生成报文以及发送报文； 目标运营 商边缘路由器将原始数据转发至目标用户边缘 路由器。 本发 明所提供的技术方案能够解决现有 技术中量子加密通信面临节点数量难以扩展的 技术问题。 权利要求书3页 说明书12页 附图2页 CN 115473641 A 2022.12.13 CN 115473641 A 1.一种可自动组网的量子加密通信方法， 其特 征在于， 所述方法包括： 运营商边缘路由器获取用户边缘路由器的用户前缀路由， 基于所述用户前缀路由生成 用户路由参数并更新本地的VPN路由表， 将所述用户路由参数经路由反射器发送至其它运 营商边缘路由器， 以使所述其它运营商边缘路由器基于所述用户路由参数更新各自的VPN 路由表； 所述运营商边缘路由器基于多个用户边缘路由器的多个用户路由参数生成隧道用户 信息， 并将所述隧道用户信息经所述路由反射器发送至所述其它运营商边缘路由器， 以使 所述其它运营商边缘路由器基于所述隧道用户信息进行隧道匹配并在匹配成功后生成加 密隧道； 所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的 隧道密钥请求信息向密钥分发方请求量子密钥， 并根据各自的量子密钥更新本地的密钥环 形队列； 所述源运营商边缘路由器计算到所述目标运营商边缘路由器之间的信 息转发路径， 基 于VPN路由表的VPN路由标识和密钥环形队列生 成目标端 段指令， 并根据所述信息转 发路径 和所述目标端段指 令生成段指令集合， 根据本地的密钥环形队列对原始数据进行加密以生 成加密数据包， 基于报文头、 所述段指 令集合和所述加密数据包生成报文， 并根据所述信息 转发路径发送所述报文； 所述目标运营商边缘路由器根据所述目标端段指令对所述加密数据包进行解密以得 到所述原 始数据， 并根据所述VPN路由标识将所述原 始数据转发至目标用户边 缘路由器。 2.如权利要求1所述的方法， 其特征在于， 在所述运营商边缘路由器获取用户边缘路由 器的用户前缀路由之前， 所述方法还 包括： 运营商边 缘路由器 基于EVPN隧道 协议配置隧道发现类型路由和隧道参数类型路由。 3.如权利要求2所述的方法， 其特征在于， 所述基于所述用户前缀路由生成用户路由参 数包括： 所述运营商边缘路由器根据所述用户前缀路由生成与所述用户边缘路由器相对应的 路由区分符属性、 路由导出属性和段路由指令 。 4.如权利要求3所述的方法， 其特征在于， 所述其它运营商边缘路由器基于所述用户路 由参数更新各自的VPN路由表包括： 所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述用户路由参数的路 由导出属 性， 并对该路由导出属 性和本地的路由导入属 性进行匹配， 若匹配成功则将所述 用户路由参数 添加至本地的VPN路由表。 5.如权利要求3所述的方法， 其特征在于， 所述运营商边缘路由器基于多个用户边缘路 由器的多个用户路由参数生成隧道用户信息包括： 所述运营商边缘路由器根据隧道发现类型路由和所述多个用户路由参数对应的至少 一个路由导出属性构 造路由导出属性集合， 并根据源隧道标识和路由导出属性集合生成所 述隧道用户信息 。 6.如权利要求5所述的方法， 其特征在于， 所述其它运营商边缘路由器基于所述隧道用 户信息进行隧道匹配并在匹配成功后生成加密隧道包括： 所述其它运营商边缘路由器的每一个运营商边缘路由器获取所述隧道用户信息中的权　利　要　求　书 1/3 页 2 CN 115473641 A 2路由导出属性集合， 并对所述路由导出属性集合中的每一个路由导出属性和本地的路由导 入属性进 行匹配， 在任意一个路由导出属性和本地的路由导入属性匹配成功后创建所述加 密隧道。 7.如权利要求6所述的方法， 其特征在于， 在所述加密隧道对应的源运营商边缘路由器 和目标运营商边缘路由器分别根据各自的隧道密钥请求信息 向密钥分发方请求量子密钥 之前， 所述方法还 包括： 所述源运营商边缘路由器根据自身的第一设备标识、 算法套件、 填充模式以及隧道参 数类型路由生成隧道参数， 并将所述隧道参数经由所述路由反射器发送至所述目标运营商 边缘路由器； 所述源运营商边缘路由器和所述目标运营商边缘路由器分别基于所述第一设备标识 和所述目标运营商边 缘路由器的第二设备 标识生成各自的隧道密钥请求信息； 所述加密隧道对应的源运营商边缘路由器和目标运营商边缘路由器分别根据各自的 隧道密钥请求信息向密钥分发方请求 量子密钥包括： 所述源运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥分 发方请求与所述加密隧道对应的第一 量子密钥； 所述目标运营商边缘路由器基于所述第一设备标识和所述第二设备标识向所述密钥 分发方请求与所述加密隧道对应的第二 量子密钥。 8.如权利要求7所述的方法， 其特征在于， 所述源运营商边缘路由器计算到所述目标运 营商边缘路由器之间的信息转发路径包括： 所述源运营商边 缘路由器根据源节点路径选择 方法计算所述信息转发路径。 9.如权利 要求8所述的方法， 其特征在于， 所述VPN路由表的VPN路由标识和密钥环形队 列生成目标端段指令包括： 基于所述VPN路由表生成目标端段指令的路由指令， 基于预设的密钥索引和所述密钥 环形队列的密钥环形队列标识生成所述目标端段指令的解密指令 。 10.如权利要求9所述的方法， 其特征在于， 所述目标运营商边缘路由器根据所述目标 端段指令对所述加密数据包进行解密以得到所述原 始数据包括： 基于所述密钥索引和所述密钥环形队列标识在本地的密钥环形队列中确定所述第一 量子密钥， 并基于所述第一 量子密钥对所述加密数据包进行解密以得到所述原 始数据。 11.如权利要求1所述的方法， 其特征在于， 所述根据所述信息转发路径和所述目标端 段指令生成段指令集 合包括： 根据所述信 息转发路径确定路径经过的多个运营商路由器， 基于该多个运营商路由器 确定多个段 标识， 基于所述多个段 标识和所述目标端段指令生成所述段指令集 合。 12.如权利要求11所述的方法， 在所述根据 所述信息转发路径发送所述报文之后， 所述 方法还包括： 该多个运营商路由器的每一个运营商路由器分别执行所述段指令集合中与自身段标 识相对应的段指令， 并根据所述信息转 发路径转 发所述报文直至所述报文发送至所述目标 运营商边 缘路由器。 13.如权利要求1所述的方法， 其特征在于， 所述基于报文头、 所述段指令集合和所述加 密数据包生成报文包括：权　利　要　求　书 2/3 页 3 CN 115473641 A 3