【技术实现步骤摘要】
采用量子密钥分发的以太链路自组织加密隧道实现方法
[0001]本专利技术涉及密码应用
,具体涉及一种采用量子密钥分发的以太链路自组织加密隧道实现方法。
技术介绍
[0002]IEEE802.1AE
‑
MediaAccess Control(MAC)Security定义了一种MAC层安全标准,通过在以太包中插入安全标签,并对MAC地址之外的以太报文帧进行对称加密和完整性校验(Integrity CheckValue,ICV)来保护以太报文帧的机密性和完整性,并提供一定的抗重放攻击能力。IEEE802.1X
–
Port
‑
BasedNetworkAccess Control中的MACsec KeyAgreement protocol(MKA)部分定义了以太网络中实体密钥协商的方式,用于802.1AE MACsec加密和完整性保护密钥的建立。这两套协议结合起来形成了IEEE在以太网MAC层的安全解决方案。但在实际使用过程中,这两套协议的部署实施并不广泛,存在以下问题:
【技术保护点】
【技术特征摘要】
1.一种采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,应用于发送端加密网桥,所述方法包括:向所述第二加密网桥发送策略协商帧,所述策略协商帧包括多条协商策略,每条协商策略的内容为对应加密策略子表的源MAC地址和会话密钥分量;根据出站的以太数据帧的源MAC地址从本地的加密策略表中查找对应的加密策略子表;根据出站的以太数据帧的目的MAC地址从该对应的加密策略子表中查找对应的加密策略项;根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥。2.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在向所述第二加密网桥发送策略协商帧之前,所述方法还包括:在发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。3.如权利要求2所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的初始化向量及密钥使用计数;所述解密策略子表中每条解密策略项包括解密索引、目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;其中,所述解密策略表中每条所述解密策略子表的源MAC地址为对应的所述加密策略表中每条所述加密策略子表的封装目的MAC地址;所述解密策略子表中的解密策略项中的目的MAC地址、原始源MAC地址、原始目的MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数来自所有的封装目的MAC地址为本解密策略子表对应源MAC地址的各条加密策略子表的加密策略项中的封装源MAC地址、目的MAC地址、加密策略子表对应的源MAC地址、不同编号的会话密钥及会话密钥对应的初始化向量及密钥使用计数;所述解密策略项中的解密索引包括对应加密策略项的加密策略子表编号和目的MAC编号。4.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述向所述第二加密网桥发送策略协商帧,包括:根据本地的所述加密策略表中各条所述加密策略子表及其源MAC地址,生成所述策略协商帧;从第一安全存储介质中随机选取主密钥,利用所述主密钥对所述策略协商帧除帧头以外的部分进行加密,并采用带密钥的杂凑算法计算所述策略协商帧的校验值后,得到加密
的策略协商帧并发送至所述第二加密网桥,其中,所述第一安全存储介质集成于所述发送端加密网桥,加密后所述策略协商帧的格式为:以太帧头+本帧策略计数+主密钥ID+k*(加密策略子表编号+加密策略子表源MAC地址+子表会话密钥分量0+子表会话密钥分量1)+第一完整性校验值,以太帧头的信息包括源MAC地址、目的MAC地址和帧类型,所述本帧策略计数的字节最高位添加确认标记。5.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,向所述第二加密网桥发送加密的所述策略协商帧,包括:在确定加密后的所述策略协商帧的长度超过发送接口MTU时,则将加密后的所述策略协商帧划分成多帧后发送至所述第二加密网桥;其中,帧的类型采用私有化定义,帧的源MAC地址为所述第一加密网桥的发送接口的MAC地址,帧的目的地址为采用私有化定义的组播MAC地址。6.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,向所述第二加密网桥发送加密的所述策略协商帧,包括:发送加密的所述策略协商帧的时间隔小于或等于会话密钥使用时间阈值的二分之一,且每次连续发送m次相同的加密后所述策略协商帧。7.如权利要求4所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述确认标记为1时,所述方法还包括:接收所述第二加密网桥返回的确认帧;启动定时器队列并将该加密策略协商帧加入所述定时器队列定期重发,直至所述加密策略协商帧失效或所述第二加密网桥均全部返回确认帧。8.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括:向量子密钥分发网络发送密钥充注请求;通过发送端加密网桥集成的第一安全存储介质获取所述量子密钥分发网络返回的主密钥,并基于所述主密钥建立主密钥池,并使用密钥位图标识每条主密钥是否已使用,其中同一安全域内的各加密网桥共享具有相同主密钥ID的主密钥。9.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在所述向所述第二加密网桥发送策略协商帧之前,所述方法还包括:定义所述发送端加密网桥的以太接口类型,其中,未连接有其他同类型加密网桥的接口定义为密端口,连接有其他同类型加密网桥的接口定义为明端口;其中,所述密端口用于将该端口学习到的源MAC地址加入到本地的加密策略子表,以及用于定期清除设定时间内未从该密端口接收到的源MAC地址对应的加密策略子表。10.如权利要求1所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,所述根据该对应的加密策略项对所述以太数据帧进行加密和封装处理,得到加密以太帧并发送至所述第二加密网桥,包括:根据该对应的加密策略项对所述以太数据帧进行加密和封装处理后,帧格式为:新以太帧头+解密索引+分帧ID+原始以太帧+第二完整性校验值,新以太帧头的信息包括封装源MAC、封装目的MAC和封装帧协议类型,其中,第二完整性校验值为采用当前使用编号的会话密钥对整个以太帧采用带密钥的杂凑算法HMAC计算得到;
利用所述新以太帧头中未被注册的比特位标注采用的会话密钥的编号,并对当前使用编号的会话密钥使用计数加1。11.如权利要求10所述的采用量子密钥分发的以太链路自组织加密隧道实现方法,其特征在于,在向所述第二加密网桥发送所述加密以太帧之前,所述方法还包括:在实际组帧前计算封装之后以太帧总长度,如果封装后新帧长度超过发送接口的MTU,则将发送接口的分帧计数器加1并赋值给分帧ID字段,并将分帧ID字段最高位置1后将原始以太帧分为两段新以太帧数据进行封装和加密处理,两个所述新以太帧具有相同的封装源MAC、封装目的MAC、解密索引和分帧ID;如果封装后新帧长度未超过发送接口的MTU,则将分帧ID字段最高位置0。12.一种采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,应用于接收端加密网桥,所述方法包括:接收第一加密网桥发送的策略协商帧,所述第一加密网桥与该接收端加密网桥为同一安全域;基于所述策略协商帧中的每条协商策略,对其本地的加密策略表中的每条加密策略子表和解密策略表中的每条解密策略子表进行刷新;接收所述第一加密网桥发送的加密以太帧,所述加密以太帧为所述发送端加密网桥基于其本地对应的加密策略项对出站的以太数据帧进行加密封装得到;根据所述加密以太帧的源MAC地址从其本地的解密策略表中查找对应的解密策略子表,基于该对应的解密策略子表中各解密策略项的解密索引查找对应的解密策略项,并根据该对应的解密策略项对所述加密以太帧进行解密和解封装处理,得到所述以太数据帧。13.如权利要求12所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,在所述接收第一加密网桥发送的策略协商帧之前,所述方法还包括:发送端加密网桥启动时,建立本地的加密策略表,所述加密策略表包括多条所述加密策略子表,每条所述加密策略子表的MAC地址对应于所述发送端加密网桥密端口接收以太数据帧的一个源MAC地址,初始建立的所述加密策略表中每条所述加密策略子表包括每条加密策略子表的MAC地址和会话密钥分量;基于本地的所述加密策略表,建立对应的解密策略表,所述解密策略表包括多条所述解密策略子表,每条所述解密策略子表的MAC地址对应于本加密网桥明端口接收以太数据帧的一个源MAC地址,初始建立的所述解密策略表中的每条所述解密策略子表包括每条解密策略子表的MAC地址。14.如权利要求13所述的采用量子密钥分发的以太链路自组织解密隧道实现方法,其特征在于,所述加密策略子表中每条加密策略项包括目的MAC地址、目的MAC编号、封装源MAC地址、封装目的MAC地址、当前使用会话密钥的编号、不同编号的会话密钥以及会话密钥对应的...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。