The invention discloses a method for realizing quantum secure IPSec VPN, by increasing the security of QKD interface in IPSec VPN gateway, increased access and application of quantum key mechanism in IPSec security strategy in VPN, in the IPSec encryption component increased one-time encryption options based on quantum key, and increase priority the quantum key as the pre shared key, data encryption algorithm, HMAC algorithm and the session key shared key strategy; application of QKD fusion and quantum encryption and IPSec protocol, the quantum security upgrade IPSec VPN system authentication, message authentication and data encryption. The system has higher security and more flexible application, and has a good application prospect in the fields of party, politics, industry control, finance and military.
【技术实现步骤摘要】
一种实现量子安全的IPSecVPN的方法
本专利技术涉及一种实现量子安全的IPSecVPN的方法。
技术介绍
当前,世界网络空间斗争异常激烈,网络空间安全事关国家安全,每个国家都需要拥有绝对可靠的网络安全防御能力和强大的网络攻击威慑能力。而保密通信体系是网络安全防御的最后一道防线,需要确保万无一失。由于传统保密通信体系的安全性基于某些数学难题或计算复杂度,在高性能计算条件下(特别是量子计算条件下)的安全性很难保障。利用量子计算机,Shor量子算法能够在多项式时间内破解RSA/ECC等公钥算法,Grover量子算法能将私钥密码的安全密钥空间缩小一半。因此,基于传统密码体系的应用系统将面临着越来越高的安全性风险。互联网密钥交换(IKE)是用于创建密钥和安全关联(SA)的协议,其目的是创建一个安全的虚拟专用网(VPN)连接,从而保护网络数据包不被读取,并在公共互联网上不被截获。IKE在网络层实现并且对用户和应用完全透明,基于IKE实现的IPSecVPN仍占据最大的市场份额,也是到目前为止最为完善的安全协议。IKE协议通常采用SHA-1和MD5作为消息完整性算法,采用预共享密钥、RSA加密nonce或RSA签名作为对等体的鉴别方法,采用Diffie-Hellman算法作为会话密钥协商算法,采用3DES或AES作为数据加密算法。但是,IKE协议所采用的公钥密码算法的安全性局限于当前的计算能力。随着高性能计算技术的发展,尤其是在量子计算环境下,SHA-1、MD5、RSA、Diffie-Hellman、ECC算法都将变得不安全,采用这些算法的IKE协议及IPSecVPN ...
【技术保护点】
一种实现量子安全的IPSec VPN的方法,其特征在于:包括如下步骤:步骤一、终端A向终端B发送触发IKE过程的数据流;VPN网关A和VPN网关B分别向QKDA和QKDB发送协商量子密钥的指令;步骤二、QKDA和QKDB基于预共享密钥进行身份鉴别,然后进行量子密钥协商,并将协商到的量子密钥分别注入VPN网关A和VPN网关B,优先把所述量子密钥用作VPN网关A和VPN网关B之间的IKE SA协商和IPSec SA协商过程中使用的预共享密钥、消息鉴别算法的共享密钥和共享会话密钥;步骤三、VPN网关A和VPN网关B采用量子密钥作为预共享密钥、消息鉴别算法的共享密钥进行第一阶段IKE SA协商;步骤四、VPN网关A和VPN网关B采用量子密钥作为预共享密钥、消息鉴别算法的共享密钥进行第二阶段IPSec SA协商,并把量子一次一密算法和共享量子密钥分别作为密码算法和会话密钥的优先选项;步骤五、VPN网关A和VPN网关B采用所述IPSec SA构建IPSec加密隧道。
【技术特征摘要】
1.一种实现量子安全的IPSecVPN的方法,其特征在于:包括如下步骤:步骤一、终端A向终端B发送触发IKE过程的数据流;VPN网关A和VPN网关B分别向QKDA和QKDB发送协商量子密钥的指令;步骤二、QKDA和QKDB基于预共享密钥进行身份鉴别,然后进行量子密钥协商,并将协商到的量子密钥分别注入VPN网关A和VPN网关B,优先把所述量子密钥用作VPN网关A和VPN网关B之间的IKESA协商和IPSecSA协商过程中使用的预共享密钥、消息鉴别算法的共享密钥和共享会话密钥;步骤三、VPN网关A和VPN网关B采用量子密钥作为预共享密钥、消息鉴别算法的共享密钥进行第一阶段IKESA协商;步骤四、VPN网关A和VPN网关B采用量子密钥作为预共享密钥、消息鉴别算法的共享密钥进行第二阶段IPSecSA协商,并把量子一次一密算法和共享量子密钥分别作为密码算法和会话密钥的优先选项;步骤五、VPN网关A和VPN网关B采用所述IPSecSA构建IPSec加密隧道。2.根据权利要求1所述的一种实现量子安全的IPSecVPN的方法,其特征在于:QKDA和QKDB通过VPN在线密管系统或安全接口将具有相同密钥索引号的量子密钥分别注入VPN网关A和VPN网关B,并直接用于VPN网关A和VPN网关B之间的数据加密或者分别缓存到VPN网关A和VPN网关B的量子密钥缓存器。3.根据权利要求1所述的一种实现量子安全的IPSecVPN的方法,其特征在于:VPN网关A和VPN网关B进行第一阶段IKESA协商时,先基于二者之间的预共享密钥和量子密钥进行身份鉴别,执行一个Diffie-Hellman交换,并共享备用的会话密钥;然后,在对等体之间协商一个相匹配的IKESA,包括所采用的身份认证方法、数据加密算法及参数、消息鉴别算法,并增加优先使用量子一次一密算法作为数据加解密算法的选项,优先采用量子密钥作为消息鉴别算法的密钥。4.根据权利要求1所述的一种实现量子安全的IPSecVPN的方法,其特征在于:QKDA和QKDB进行量子密钥协商时,根据VPN网关所采用的密码算法和密钥应用策略,QKDA和...
【专利技术属性】
技术研发人员:陈晖,何远杭,樊矾,黄伟,徐兵杰,
申请(专利权)人:中国电子科技集团公司第三十研究所,
类型:发明
国别省市:四川,51
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。