基于量子密钥应用机制的制造技术

本发明专利技术提供基于量子密钥应用机制的

【技术实现步骤摘要】
基于量子密钥应用机制的IPv6报文加解密方法


[0001]本专利技术涉及量子通信领域，具体涉及基于量子密钥应用机制的
IPv6
报文加解密方法
。

技术介绍

[0002]QKD
‑
based IPSec(
基于
QKD
的
IPSec)
：将量子密钥分发
(QKD)
技术与
IPsec
协议相结合，实现在传统
IP
网络上建立安全隧道的能力
。Quantum Secure Socket Layer(QSSL)(
量子安全套接层
)
，
QSSL
是一种基于量子密钥分发的安全通信协议，通过使用量子密钥来保护数据传输的一致性和隐私性
。
[0003]现有技术未见专门对针对
IPv6
的应用方案
。
现有传统
VPN
技术实现了类似的报文加密功能，而
VPN
技术关键是密钥共享问题，传统的密钥共享方式中主要使用预共享密钥
、Diffie
‑
Hellman
密钥交换或非对称密钥交换方式来实现密钥的共享，著名的
IPSec
的
IKE
和
SSL
协议都是结合了
Diffie
‑
Hellman
密钥交换和非对称加密算法，用于在通信双方间协商和交换临时的对称加密密钥的
。
传统的这些方法的安全性主要依赖于所选的加密算法和密钥管理方法，如果算法或密钥存在漏洞，则可能导致数据泄露或被破解的风险
。
[0004]现有量子
VPN
借用了传统密码协议进行改造，把
IPSec
改造以支持
QKD
的量子密钥接入或在
SSL
协议中穿插量子密钥实现带量子密钥概念的
SSL
密钥协商
。
传统协议不是针对量子密钥设计的，个别技术细节实现上难免牵强套用，另一方面与传统密钥协议捆绑在一起增加了应用的复杂度和冗余度，不利于后续维护和升级
。
[0005]随着互联网的快速发展，网络安全问题日益凸显
。
现有的加密方案往往需要依赖于复杂的数学算法，而这些算法可能会受到未来量子计算机的攻击
。
为了解决这个问题，量子密钥加密成为一种备受关注的加密技术，它利用了量子力学的原理，在传输过程中实现了密钥的安全分发
。
[0006]另一方面，
IPv6
作为下一代互联网协议，以其灵活的扩展性和强大的地址空间，逐渐取代了
IPv4。IPv6
报文头较
IPv4
报文头引入了扩展报文头的概念，可以根据需要插入扩展报文头来扩展
IPv6
报文头的功能
。
这样可以在不改变基本报文头结构的情况下，根据需要灵活地添加自定义或标准化的扩展
。
这使得
IPv6
在可以方便地支持新的功能和协议
。

技术实现思路

[0007]为了解决上述问题，为了确保传输的安全性，实现网络应用中往往对网络流量进行加密保护处理
。
本专利技术提供了一种基于量子密钥应用机制的
IPv6
报文加解密方法，旨在提高
IPv6
报文传输的安全性，保护数据在传输过程中的机密性和完整性
。
[0008]本专利技术提供一种基于量子密钥应用机制的
IPv6
报文加解密方法，所述方法实现由发送端和接收端协同完成，在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输；报文加密是基于量子通信生成的量子密钥采用对称加密和
HMAC
验证组合对报文加密和验证处理；使用量子密钥直接加密报文，
QKD
分发生成的量子密钥存储
在安全模块，所述安全模块是硬件安全模块或软件密钥容器，加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对
IPv6
报文进行加密，验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到；和报文封装是利用
IPv6
协议自有可扩展特性，在
IPv6
报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数，新的
IPv6
载荷由通过量子密钥计算的验证码和原载荷密文组成，这样加密和封装前后报文仍然符合
IPv6
报文格式定义，从而
IPv6
报文能通过原链路传输，实现
IPv6
报文在两端点之间的加密传输流程
。
[0009]在一种实施方式中，提供一种基于量子密钥应用机制的
IPv6
报文加解密方法，所述方法实现由发送端和接收端协同完成，在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输；报文加密是基于量子通信生成的量子密钥采用对称加密和
HMAC
验证组合对报文加密和验证处理；使用量子密钥直接加密报文，
QKD
分发生成的量子密钥存储在安全模块，所述安全模块是硬件安全模块或软件密钥容器，加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对
IPv6
报文进行加密，验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到；和报文封装是利用
IPv6
协议自有可扩展特性，在
IPv6
报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数，新的
IPv6
载荷由通过量子密钥计算的验证码和原载荷密文组成，这样加密和封装前后报文仍然符合
IPv6
报文格式定义，从而
IPv6
报文通过量子密钥加密传输的全过程，实现
IPv6
报文在两端点之间的加密传输流程
。
[0010]在一种实施方式中，所述方法包括以下步骤：步骤1：量子通信生成量子密钥，利用量子保密通信线路和
QKD
设备实现量子密钥分发，在发送方与接收方生成一致的量子密钥，使用密钥存储池来保存生成的量子密钥，可选的密钥存储方法有硬件安全模块或软件密钥容器；步骤2：报文加密，从网络设备中钩出
IPv6
协议报文，然后根据
IPv6
的源地址
、
目的地址和流标签确定
IPv6
通道标识，从所述安全模块中随机获取两把量子密钥的密钥标识，并与
IPv6
通道进行绑定，所述两把量子密钥的密钥标识中一把是加密密钥标识，用于加密报文；另一把是验证密钥标识用于计算报文验证码，然后使用量子密钥直接加密报文；完成报文本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
基于量子密钥应用机制的
IPv6
报文加解密方法，其特征在于，所述方法实现由发送端和接收端协同完成，在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输；报文加密是基于量子通信生成的量子密钥采用对称加密和
HMAC
验证组合对报文加密和验证处理；使用量子密钥直接加密报文，
QKD
分发生成的量子密钥存储在安全模块，所述安全模块是硬件安全模块或软件密钥容器，加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对
IPv6
报文进行加密，验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到；和报文封装是利用
IPv6
协议自有可扩展特性，在
IPv6
报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数，新的
IPv6
载荷由通过量子密钥计算的验证码和原载荷密文组成，这样加密和封装前后报文仍然符合
IPv6
报文格式定义，从而
IPv6
报文能通过原链路传输，实现
IPv6
报文在两端点之间的加密传输流程
。2.
根据权利要求1所述的方法，其特征在于，所述方法包括以下步骤：步骤1：量子通信生成量子密钥，利用量子保密通信线路和
QKD
设备实现量子密钥分发，在发送方与接收方生成一致的量子密钥，使用密钥存储池来保存生成的量子密钥，可选的密钥存储方法有硬件安全模块或软件密钥容器；步骤2：报文加密，从网络设备中钩出
IPv6
协议报文，然后根据
IPv6
的源地址
、
目的地址和流标签确定
IPv6
通道标识，从所述安全模块中随机获取两把量子密钥的密钥标识，并与
IPv6
通道进行绑定，所述两把量子密钥的密钥标识中一把是加密密钥标识，用于加密报文；另一把是验证密钥标识用于计算报文验证码，然后使用量子密钥直接加密报文；完成报文加密处理，加密所使用加密密钥标识
、
验证密钥标识
、
报文密文
、
密文验证码和加密算法信息传输给后续的报文封装环节进行
IPv6

【专利技术属性】
技术研发人员：冯良柯，
申请(专利权)人：国科量子通信网络有限公司，
类型：发明
国别省市：