采用量子分发密钥实现网络数据报文加解密方法及系统技术方案

本发明专利技术公开一种采用量子分发密钥实现网络数据报文加解密方法及系统，包括从所连接的安全存储介质读取主密钥，建立主密钥池；用数据加密密钥对网络数据报文进行加密，得到加密处理后的数据报文；从主密钥池中随机选取主密钥，并采用密码杂凑算法将主密钥变换得到密钥加密密钥；将使用密钥加密密钥加密数据加密密钥得到的密文及主密钥的ID标识放入加密处理后的数据报文的安全报文头中，得到出站加密报文；从连接外网的网络接口发送出站加密报文。本发明专利技术解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题，增强局域网之间互联互通时数据传输的机密性保护的安全强度。数据传输的机密性保护的安全强度。数据传输的机密性保护的安全强度。

【技术实现步骤摘要】
采用量子分发密钥实现网络数据报文加解密方法及系统


[0001]本专利技术涉及密码应用
，具体涉及一种采用量子分发密钥实现网络数据报文加解密方法及系统。

技术介绍

[0002]目前各分支机构的局域网互联互通都是通过VPN设备之类的加密网关建立安全加密通道进行，在加密通信之前需要加密网关之间采用IKE等密钥交换协议来协商数据通信使用的会话密钥。这种模式存在以下问题：
[0003](1)加密网关之间需要有可以直接进行密钥协商的通信信道，这对于NAT等复杂网络环境在实现上有较大难度，特别是对于通信两端的网关都需要进行NAT之后才能上网的情况。
[0004](2)协商过程较为复杂，有一定的计算和通信代价，因此产生的会话密钥一般会使用一段时间，从安全性上来讲无法做到一次一密。
[0005](3)密钥协商的过程基于非对称密钥对和数字证书，用于加密传送会话密钥素材的公钥是公开的，若量子计算机计算能力提升，存在被破译的可能性，从而导致需传递的会话密钥被破译窃取。
[0006]因此，存在着双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题。
[0007]相关技术中，公布号为公布号为CN107453869A的中国专利技术专利文献记载了一种实现量子安全的IPSecVPN的方法，通过在IPSec VPN网关中增加QKD的安全接口，在IPSec VPN安全策略中增加量子密钥接入及应用机制，在IPSec加密组件中增加基于量子密钥的一次一密加密选项，并增加优先采用量子密钥作为预共享密钥、数据加密算法的会话密钥、HMAC算法的共享密钥的策略；实现QKD和量子加密与IPSec协议的融合应用，提升IPSecVPN系统的身份认证、消息鉴别和数据加密的量子安全性。
[0008]但该方案需要进行密钥协商，网络拓扑结构复杂；且直接使用预共享密钥作为加密密钥，密钥安全性偏低。
[0009]公布号为CN110213050A的中国专利技术专利文献记载了一种密钥生成方法、装置及存储介质，该方法包括：获取量子密钥生成终端生成的量子密钥；将量子密钥划分为多个第一密钥和多个第二密钥；使用多个第一密钥和多个第二密钥进行m轮衍生变换，得到多个衍生密钥。
[0010]公布号为CN103036675A的中国专利技术专利文献记载了一种基于动态密钥的数据通信方法、发送端和接收端，其中发送端的方法包括以下步骤：发送端生成用来加密通信数据的会话密钥Ks，Ks＝H
S
(K1)XORH
T
(K2)；其中，S为发送端中计数器的数值，其初始值为1，S+T＝n，发送端与接收端每进行一次会话，则计数器的数值加1；K1和K2为将密钥种子K分成的长度相等的两个部分，密钥种子K为接收端和发送端预先约定的共享密钥；发送端采用会话密钥Ks对通信数据进行加密；发送端将加密后的通信数据发送给接收端。

技术实现思路

[0011]本专利技术所要解决的技术问题在于如何解决只能离线充注密钥且无法进行在线密钥协商和密钥分发场景下数据报文安全加密通信的问题。
[0012]本专利技术通过以下技术手段实现解决上述技术问题的：
[0013]本专利技术提出了一种采用量子分发密钥实现网络数据报文加解密方法，应用于加密网关，所述加密网关连接有安全存储介质，所述方法包括：
[0014]从所连接的安全存储介质读取主密钥，建立主密钥池，所述主密钥为量子密钥分发网络预先充注至所述安全存储介质；
[0015]从连接内网的网络接口接收出站的网络数据报文，并利用数据加密密钥对所述网络数据报文进行加密，得到加密处理后的数据报文，所述数据加密密钥为实时产生的随机数；
[0016]从所述主密钥池中随机选取所述主密钥，并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥；
[0017]将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中，得到出站加密报文；
[0018]从连接外网的网络接口发送所述出站加密报文。
[0019]本专利技术通过离线充注大量的主密钥并在安全域内各加密网关共享，利用主密钥变换产生密钥加密密钥，密钥加密密钥用于加密数据加密密钥，数据加密密钥一包一密实时产生并和数据报文一起传输，实现安全域内数据报文的安全自由传输，并且不需要复杂的密钥管理体系和密钥协商协议，适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景；解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题，增强局域网之间互联互通时数据传输的机密性保护的安全强度。
[0020]进一步地，所述从所述主密钥池中随机选取所述主密钥，并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥，包括：
[0021]从所述主密钥池中随机选取所述主密钥为mk；
[0022]使用所述主密钥对加密信息进行带密钥的密码杂凑运算，得到所述密钥加密密钥kek，公式表示如下：
[0023]kek＝PRF(mk，源IP地址|目的IP地址|主密钥ID标识)。
[0024]进一步地，所述方法还包括：
[0025]使用主密钥序号发生器对选取的所述主密钥进行计数，并在计数值超过预充注的主密钥最大数量时，将计数值清零从1开始重新计数；
[0026]使用主密钥使用累加器对主密钥的使用次数进行计数，并在计数值超过设定阈值时，产生预警信号，并进行主密钥更新。
[0027]进一步地，在所述从连接内网的网络接口接收出站的网络数据报文之后，所述方法还包括：
[0028]判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度；
[0029]若是，则修改所述网络数据报文的数据长度MSS＝MSS
‑4‑
n，n为密钥或初始化向量
的长度；
[0030]若否，则利用所述数据加密密钥对所述网络数据报文进行加密，得到加密处理后的数据报文。
[0031]进一步地，在所述从连接外网的网络接口发送所述出站加密报文之前，所述方法还包括：
[0032]判断所述出站加密报文是否超过MTU；
[0033]若是，则对所述出站加密报文进行分片处理；
[0034]若否，则从连接外网的网络接口发送所述出站加密报文。
[0035]进一步地，所述在所述从安全存储介质读取主密钥之前，所述方法还包括：
[0036]向管控平台发送注册请求，以绑定到相应的安全域，所述安全域由所述管控平台划分；
[0037]向所述管控平台发送密钥充注请求，以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络，所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息；
[0038]通过密钥代理或量子网络节点，向所述安全存储介质离线充注所述主密钥，且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同。
...

【技术保护点】

【技术特征摘要】
1.一种采用量子分发密钥实现网络数据报文加解密方法，其特征在于，应用于加密网关，所述加密网关连接有安全存储介质，所述方法包括：从所连接的安全存储介质读取主密钥，建立主密钥池，所述主密钥为量子密钥分发网络预先充注至所述安全存储介质；从连接内网的网络接口接收出站的网络数据报文，并利用数据加密密钥对所述网络数据报文进行加密，得到加密处理后的数据报文，所述数据加密密钥为实时产生的随机数；从所述主密钥池中随机选取所述主密钥，并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥；将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中，得到出站加密报文；从连接外网的网络接口发送所述出站加密报文。2.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，所述从所述主密钥池中随机选取所述主密钥，并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥，包括：从所述主密钥池中随机选取所述主密钥为mk；使用所述主密钥对加密信息进行带密钥的密码杂凑运算，得到所述密钥加密密钥kek，公式表示如下：kek＝PRF(mk，源IP地址|目的IP地址|主密钥ID标识)。3.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，所述方法还包括：使用主密钥序号发生器对选取的所述主密钥进行计数，并在计数值超过预充注的主密钥最大数量时，将计数值清零从1开始重新计数；使用主密钥使用累加器对主密钥的使用次数进行计数，并在计数值超过设定阈值时，产生预警信号，并进行主密钥更新。4.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，在所述从连接内网的网络接口接收出站的网络数据报文之后，所述方法还包括：判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度；若是，则修改所述网络数据报文的数据长度MSS＝MSS
‑4‑
n，n为密钥或初始化向量的长度；若否，则利用所述数据加密密钥对所述网络数据报文进行加密，得到加密处理后的数据报文。5.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，在所述从连接外网的网络接口发送所述出站加密报文之前，所述方法还包括：判断所述出站加密报文是否超过MTU；若是，则对所述出站加密报文进行分片处理；若否，则从连接外网的网络接口发送所述出站加密报文。6.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，所述在所述从安全存储介质读取主密钥之前，所述方法还包括：向管控平台发送注册请求，以绑定到相应的安全域，所述安全域由所述管控平台划分；
向所述管控平台发送密钥充注请求，以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络，所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息；通过密钥代理或量子网络节点，向所述安全存储介质离线充注所述主密钥，且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同。7.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法，其特征在于，在所述加密网关作为接收方，所述方...

【专利技术属性】
技术研发人员：罗俊，
申请(专利权)人：中电信量子科技有限公司，
类型：发明
国别省市：