【技术实现步骤摘要】
IPSecVPN中扩展使用量子密钥的方法及系统
本专利技术涉及互联网安全协议的虚拟专用网(IPSecVPN),特别是提供了一种IPSecVPN中扩展使用量子密钥的方法、IPSecVPN网关、量子密钥管理终端以及IPSecVPN系统。
技术介绍
互联网密钥交换(IKE)协议为IPSecVPN的安全通信提供密钥,其密钥交换过程分为两个阶段,如图1所示。其中在第一阶段交换中,发起方和响应方协商建立了一个互联网安全关联和密钥管理协议(ISAKMP)安全关联(SA),即ISAKMPSA,该SA是协商双方为建立IPSecSA而使用的共享策略和密钥,使用该SA保护IPSecSA的协商过程;在第二阶段交换中,通信双方使用第一阶段ISAKMPSA协商建立IPSecSA,该SA是为保护它们之间的数据通信而使用的共享策略和密钥。参见图1,整个协商过程为:步骤1:ISAKMPSA阶段开始,发起方向响应方发送一个建议载荷,响应方在收到建议载荷之后回复发起方,表示自己接收发起方的建议,同时标明响应方的签名证书和加密证书;步骤2:发起方和响应方交换身份认证和生成密钥的各种参数,包括身份标识(ID)、生成加密密钥和认证密钥的参数(Nonce)等参数,最终生成发起方和响应方的基本密钥参数SKEYID、ISAKMPSA用来验证其消息完整性以及数据源身份所使用的工作密钥SKEYID_a、ISAKMPSA用来保护其消息机密性所使用的工作密钥SKEYID_e和用于产生会话密钥的SKEYID_d;步骤3:发起方和响应方认证上面的交换过程,传递的信息使用SKEYID_e加密,到此ISAKMPSA阶段结 ...
【技术保护点】
一种在IPSec VPN系统中扩展使用量子密钥的方法,其中该IPSec VPN系统具有包括发起IPSec VPN网关和响应IPSec VPN网关在内的至少两个IPSec VPN网关、及对应的包括第一和第二量子密钥管理终端在内的至少两个量子密钥管理终端,该方法包括:步骤1.发起和响应IPSec VPN网关进行ISAKMP SA协商,建立ISAKMP SA,该SA是网关间为建立IPSec SA而使用的共享策略和密钥;步骤2.发起和响应IPSec VPN网关进行IPSec SA协商,建立IPSec SA,该SA是为保护网关间数据通信的安全而使用的共享策略和密钥,其中并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;而且,发起和响应IPSec VPN网关分别向第一和第二量子密钥管理终端获取所需的量子密钥;步骤3.发起和响应IPSec VPN网关使用所建立的IPSec SA对用户数据加解密,进行安全通信。
【技术特征摘要】
1.一种在IPSecVPN系统中扩展使用量子密钥的方法,其中该IPSecVPN系统具有包括发起IPSecVPN网关和响应IPSecVPN网关在内的至少两个IPSecVPN网关、及对应的包括第一和第二量子密钥管理终端在内的至少两个量子密钥管理终端,该方法包括:步骤1.发起和响应IPSecVPN网关进行ISAKMPSA协商,建立ISAKMPSA,该SA是网关间为建立IPSecSA而使用的共享策略和密钥;步骤2.发起和响应IPSecVPN网关进行IPSecSA协商,建立IPSecSA,该SA是为保护网关间数据通信的安全而使用的共享策略和密钥,其中并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;而且,发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端获取所需的量子密钥;步骤3.发起和响应IPSecVPN网关使用所建立的IPSecSA对用户数据加解密,进行安全通信。2.如权利要求1所述的方法,其特征在于:发起和响应IPSecVPN网关进行ISAKMPSA协商前,分别向第一和第二量子密钥管理终端发送认证请求,与向其提供服务的量子密钥管理终端进行握手认证。3.如权利要求2所述的方法,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送认证请求帧,第一和第二量子密钥管理终端分别回复认证响应帧给发起和响应IPSecVPN网关,如果认证成功,发起和响应IPSecVPN网关分别与第一和第二量子密钥管理终端建立对应关系。4.如权利要求3所述的方法,其特征在于,在握手认证之前,还包括发起和响应IPSecVPN网关、第一和第二量子密钥管理终端的初始化,该初始化包括:第一,对发起和响应IPSecVPN网关的设备参数进行页面配置,参数包括量子密钥更新频率、会话密钥源、IPSec生存周期、设备ID、隧道标识以及IP地址;第二,对IPSecVPN网关与量子密钥管理终端间的物理连接进行确认。5.如权利要求1所述的方法,其特征在于步骤2中的量子密钥协商过程包括:发起和响应IPSecVPN网关协商确定参数配置,包括开始ID、目的ID、隧道标识、密钥使用方式、一次请求的密钥量;其中,所述开始ID和目的ID用于标识发起IPSecVPN网关对应的第一量子密钥管理终端和响应IPSecVPN网关对应的第二量子密钥管理终端间共享的量子密钥;发起和响应IPsecVPN网关根据协商的参数配置,分别向第一和第二量子密钥管理终端发送密钥请求以获取量子密钥。6.如权利要求5所述的方法,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送密钥请求帧,该密钥请求帧中包括确定的参数配置。7.如权利要求6所述的方法,其特征在于:第一和第二量子密钥管理终端建立与隧道标识相对应的隧道缓存,用于分别缓存发起和响应IPSecVPN网关一次请求的量子密钥,同时第一和第二量子密钥管理终端回复密钥响应帧,当有足够的量子密钥时,密钥响应帧中的密钥数据为隧道缓存中的量子密钥;当没有足够的量子密钥时,密钥响应帧中的密钥数据为空。8.如权利要求7所述的方法,其特征在于:发起和响应IPSecVPN网关分别建立与隧道标识相对应的隧道缓存,用于存放对应隧道所使用的量子密钥。9.如权利要求8所述的方法,其特征在于:当密钥响应帧中的密钥数据不为空时,发起和响应IPSecVPN网关将获取的量子密钥分别存入相应的隧道缓存,并对获取的量子密钥进行一致性校验,通过一致性校验的量子密钥将作为IPsecSA的第一会话密钥。10.如权利要求1-9之一所述的方法,其特征在于:当第一会话密钥为空时,发起和响应IPSecVPN网关使用第二会话密钥进行安全通信。11.如权利要求10所述的方法,其特征在于:发起和响应IPSecVPN网关检查所建立的IPSecSA是否到期,如果未到期,则持续更新量子密钥,并保持IKE协商密钥不变;如果已到期,则清除自身的与该条隧道的隧道标识相应的隧道缓存,并分别向第一和第二量子密钥管理终端发送清除隧道缓存请求。12.一种IPSecVPN系统,该系统包括发起IPSecVPN网关和响应IPSecVPN网关在内的至少两个IPSecVPN网关,及对应的包括第一和第二量子密钥管理终端在内的至少两个量子密钥管理终端,其特征在于:发起IPSecVPN网关,用于发起与响应IPSecVPN网关的ISAKMPSA协商和IPSecSA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第一量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;响应IPSecVPN网关,用于响应发起IPSecVPN网关发起的ISAKMPSA协商和IPSecSA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第二量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;第一量子密钥管理终端,用于缓存管理供给发起IPSecVPN网关的量子密钥;第二量子密钥管理终端,用于缓存管理供给响应IPSecVPN网关的量子密钥;发起和响应IPSecVPN网关使用所建立的IPSecSA对用户数据加解密,进行安全通信。13.如权利要求12所述的系统,其特征在于:发起和响应IPSecVPN网关进行ISAKMPSA协商前,分别向第一和第二量子密钥管理终端发送认证请求,与向其提供服务的量子密钥管理终端进行握手认证。14.如权利要求13所述的系统,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送认证请求帧,第一和第二量子密钥管理终端分别回复认证响应帧给发起和响应IPSecVPN网关,如果认证成功,发起和响应IPSecVPN网关分别与第一和第二量子密钥...
【专利技术属性】
技术研发人员:李霞,赵梅生,周雷,赵波,
申请(专利权)人:山东量子科学技术研究院有限公司,安徽量子通信技术有限公司,
类型:发明
国别省市:山东;37
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。