一种在国密IPSec传输加密中融合量子密钥的方法技术

本发明专利技术公开了一种在国密IPSec传输加密中融合量子密钥的方法。本方法在遵循密码管理局IPSec VPN技术规范和流程基础上，在完成IKE第一阶段主模式密钥协商流程之后，将协商得到的工作密钥SKEYID_d和从QKD量子密钥分发服务器获取的量子密钥QK进行异或操作，结果作为新的工作密钥SKEYID_dQK，用来替代原有SKEYID_d，再进一步协商IPSecSA的安全策略和衍生会话密钥。本发明专利技术将QKD量子密钥更好的融合到国密IPSec传输加密技术中，使得IPSec密钥协商的安全性大幅提升，同时IKE协商包仍然兼容密码管理局IPSec VPN标准协议。VPN标准协议。VPN标准协议。

【技术实现步骤摘要】
IPSec传输加密技术中，使得IPSec密钥协商的安全性大幅提升。
[0010]为实现上述目的，本专利技术提供如下技术方案：
[0011]一种在国密IPSec传输加密中融合量子密钥的方法，其特征在于，至少包含两个IPSec 通信方且各方绑定一个QKD量子密钥分发服务器；包括如下步骤：
[0012]S1、IPSec发起方和接收方按照《GM/T 0022 IPSec VPN技术规范》，基于国密数字证书完成IKE第一阶段主模式密钥协商流程。
[0013]S2、通信双方分别访问各自绑定的QKD量子密钥分发服务器，并获取到相同的量子密钥(QK)。本步骤可能先于或后于S1步骤，也可能在S1步骤过程中完成。
[0014]S3、完成第一阶段交互后，通信双方协商得到了相同的基本密钥参数SKEYID，且分别基于SKEYID生成了相同的后续密钥，其中包括用于生成会话密钥的工作密钥SKEYID_d。
[0015]S4、通信双方分别将各自的工作密钥SKEYID_d和量子密钥QK进行异或操作，融合后产生的数据作为新的工作密钥SKEYID_dQK。
[0016]S5、通信双方继续进行IKE第二阶段(快速模式)协议交互，协商IPSec SA的安全策略并衍生会话密钥。其中会话密钥产生所依赖的工作密钥SKEYID_d改为使用SKEYID_dQK。
[0017]S6、通信双方按照《按照国密GM/T 0022 IPSec VPN技术规范》完成IKE协商所有后续流程，IPSec进入传输加密工作阶段。
[0018]根据一个优选的实施方式，所述的在国密IPSec传输加密中融合量子密钥的方法，其特征在于，通信双方分别将量子密钥QK与基本密钥参数SKEYID(而不是基于SKEYID生成的工作密钥SKEYID_d)进行异或操作，得到的结果作为新的基本密钥参数SKEYID
’
。这使得后续流程基于SKEYID
’
产生的工作密钥、会话密钥受益于本步骤量子密钥因素的参与而提升通讯的安全性。
[0019]根据一个优选的实施方式，所述的在国密IPSec传输加密中融合量子密钥的方法，其特征在于，通信双方分别将量子密钥QK与工作密钥SKEYID_d进行MAC运算(带密钥的HASH) 操作，即：使用SKEYID_d作为密钥，QK量子密钥作为数据进行MAC运算；或使用QK作为密钥，SKEYID_d作为数据进行MAC运算。MAC得到的结果作为新的工作密钥SKEYID_d
’
。
[0020]根据一个优选的实施方式，所述的在国密IPSec传输加密中融合量子密钥的方法，其特征在于，通信双方分别将量子密钥QK与基本密钥参数SKEYID进行MAC运算(带密钥的 HASH)操作，即：使用SKEYID作为密钥，QK量子密钥作为数据进行MAC运算；或使用QK 作为密钥，SKEYID作为数据进行MAC运算。MAC得到的结果作为新的基本密钥参数SKEYID
’
。这使得后续流程基于SKEYID
’
产生的工作密钥、会话密钥受益于本步骤量子密钥因素的参与而提升通讯的安全性。
[0021]综上所述，本专利技术与现有技术相比具有以下有益效果：
[0022](1).无需修改IPSec的IKE密钥协商过程中的标准数据传输协议，融合量子密钥是在IKE第一阶段数据交互完成后，通信双方本地完成的，不涉及修改IKE密钥协商的数据结构，使得应用本方法的国密IPSec系统与其他标准国密IPSec系统能够实现交互的最大兼容性；同时也能够让基于本方法实现的国密IPSec产品，仍然符合中国国家密码管理局制定的《GM/T0022
‑
2014 IPSec VPN技术规范》，能够顺利通过国家密码局检测中心的协议检测和合规性评测
[0023](2).不同于其他方法将QKD量子密钥替换掉标准IPSec协议IKE阶段协商的密钥，
本方法是将QKD量子密钥与标准IPSec协议IKE阶段协商的密钥进行融合，即进行异或(或MAC等方法)运算，使用运算结果作为新的密钥。这使得新的密钥兼顾传统协商密钥与量子密钥的双重优点，安全性更高，更难被破解
[0024](2).将QKD量子密钥应用于国密IPSec标准IKE协商密钥，而非国际标准IPSec的 IKE阶段的Diffie
‑
Hellman协商密钥，符合国家相关标准和要求，更能适应应用场景，能够为中国经济建设和国家安全贡献更大的力量。
附图说明
[0025]图1为本专利技术国密IPSec传输加密中融合量子密钥的方法示意图。
[0026]图2为本专利技术国密IPSec传输加密中融合量子密钥的方法的一个优选方案示意图，即将量子密钥QK与基本密钥参数SKEYID(而不是基于SKEYID生成的工作密钥SKEYID_d)进行异或操作，得到的结果作为新的基本密钥参数SKEYID
’
。
具体实施方式
[0027]下面结合附图和具体实施例对本专利技术的技术方案做进一步的说明。
[0028]一种国密IPSec传输加密中融合量子密钥的方法，所述的方法至少包含两个IPSec通信方且各方绑定一个QKD量子密钥分发服务器。
[0029]参见图1，执行如下步骤：
[0030]S1、IPSec发起方和接收方按照《GM/T 0022 IPSec VPN技术规范》，基于国密数字证书完成IKE第一阶段主模式密钥协商流程。
[0031]S2、通信双方分别访问各自绑定的QKD量子密钥分发服务器，并获取到相同的量子密钥(QK)。本步骤可能先于或后于S1步骤，也可能在S1步骤过程中完成。
[0032]S3、完成第一阶段交互后，通信双方协商得到了相同的基本密钥参数SKEYID，且分别基于SKEYID生成了相同的后续密钥，其中包括用于生成会话密钥的工作密钥SKEYID_d。
[0033]S4、通信双方分别将各自的工作密钥SKEYID_d和量子密钥QK进行异或操作，融合后产生的数据作为新的工作密钥SKEYID_dQK。
[0034]S5、通信双方继续进行IKE第二阶段(快速模式)协议交互，协商IPSec SA的安全策略并衍生会话密钥。其中会话密钥产生所依赖的工作密钥SKEYID_d改为使用 SKEYID_dQK。
[0035]S6、通信双方按照《按照国密GM/T 0022 IPSec VPN技术规范》完成IKE协商所有后续流程，IPSec进入传输加密工作阶段。
[0036]根据一个优选的实施方式，本专利技术的S3步骤，通信双方分别将量子密钥QK与基本密钥参数SKEYID(而不是在S4步骤基于SKEYID生成的工作密钥SKEYID_d)进行异或操作，得到的结果作为新的基本密钥参数SKEYID
’
。这使得后续流程基于SKEYID
’
产生的工作密钥、会话密钥受益于本步骤量子密钥因素的参与而提升通讯的安全性。
[0037]根据一个优选的实施方式本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种在国密IPSec传输加密中融合量子密钥的方法，其特征在于，至少包含两个IPSec通信方且各方绑定一个QKD量子密钥分发服务器；包括如下步骤：S1、IPSec发起方和接收方按照《GM/T 0022 IPSec VPN技术规范》，基于国密数字证书完成IKE第一阶段主模式密钥协商流程。S2、通信双方分别访问各自绑定的QKD量子密钥分发服务器，并获取到相同的量子密钥(QK)。本步骤可能先于或后于S1步骤，也可能在S1步骤过程中完成。S3、完成第一阶段交互后，通信双方协商得到了相同的基本密钥参数SKEYID，且分别基于SKEYID生成了相同的后续密钥，其中包括用于生成会话密钥的工作密钥SKEYID_d。S4、通信双方分别将各自的工作密钥SKEYID_d和量子密钥QK进行异或操作，融合后产生的数据作为新的工作密钥SKEYID_dQK。S5、通信双方继续进行IKE第二阶段(快速模式)协议交互，协商IPSec SA的安全策略并衍生会话密钥。其中会话密钥产生所依赖的工作密钥SKEYID_d改为使用SKEYID_dQK。S6、通信双方按照《按照国密GM/T 0022 IPSec VPN技术规范》完成IKE协商所有后续流程，IPSec进入传输加密工作阶段。2.根据权利要求1所述的在国密IPSec传输加密中融合量子密钥的方法，其特征在于，通信双方分别将量子密钥QK与基本密钥参数SKEYID...

【专利技术属性】
技术研发人员：张建国，王赛，
申请(专利权)人：北京国领科技有限公司，
类型：发明
国别省市：