【技术实现步骤摘要】
本专利技术涉及密码应用、网络安全领域,具体设计基于量子密钥的一种数据加密方法。
技术介绍
1、一般情况下,不同分支机构之间的数据安全传输都是通过vpn(virtual nativenetwork)网关来构建ipsec(internet protocol security,虚拟专用网络)隧道来实现,这样可以保证ip层数据包的机密性、完整性和身份验证。如果不同分支机构的互联采用运营商的专线,那么采用ipsec vpn部署会封装安全载荷esp,改变数据包原本的结构,对网络带宽有限的用户,增加额外的开销,降低传输效率。
2、同时,随着量子计算能力的提升,传统的密钥交换协议在协商过程中会传递协商素材,协商的会话密钥存在被破译的可能性。
3、相关技术中,申请公布号cn116405206a的中国专利技术专利申请文献公开了一种安全网关数据加解密的方法,该方案中通过量子密钥加密,并将量子密钥的session id作为封装安全载荷esp中的spi传递到对端实现数据的解密。但是该方案也会在载荷数据的基础上增加额外的数据封装,对用户的网络带宽增加额外的开销。
4、相关技术中,申请公布号cn115567205a的中国专利技术专利申请文献公开了一种采用量子密钥分发实现网络会话数据流加解密方法,该方案中主要特定是(1)通过量子分发网络将量子主密钥的id和5元组网络会话流建立映射关系,并将主密钥标识放入所述加密处理后的数据报文的安全报文头中,实现端到端的加密通讯。(2)实现了流表的建立、老化、删除的功能。该方案同样增加额外的
技术实现思路
1、本专利技术所要解决的技术问题在于如何使数据载荷不需要增加额外的载荷封装,就可以实现端到端的加密,提高数据报文的机密性,同时不降低用户带宽的使用。
2、本专利技术通过以下技术手段实现解决上述技术问题的:一种基于ipsec和量子密钥的双重加密方法,用于加密网关,包括下述步骤:
3、s10:加密网关通过唯一标识向量子密钥分发中心进行注册,注册成功后,量子密钥分发中心向加密网关充注量子密钥;
4、s20:加密网关接受入栈数据报文,并将入栈数据报文的数据包打上加密标签或解密标签;
5、s30:利用加密标签或者解密标签创建挂载节点,将打上加密标签或者解密标签的数据包送出;
6、s40:利用安全联盟对数据进行一次加密处理后,再利用量子密钥sa对安全联盟加密后的数据再次进行加密,双重加密后的数据变成出栈报文数据,从加密网关发送出去,或者对数据进行双重解密处理,得到密文原文。
7、作为进一步的技术方案,所述步骤s20包括下述步骤:
8、s201:入栈数据报文进入;
9、s202:根据五元组信息匹配出方向安全策略;
10、s203:判断出方向安全策略的匹配是否成功,如果成功进入s204,如果失败,进入s207;
11、s204:出方向安全策略匹配成功,将这条入栈数据报文打上加密标签,根据出方向安全策略查找对应的安全联盟是否存在,如果存在进入s205,如果失败进入步骤s206;
12、s205:安全联盟存在,将安全联盟的信息保存在数据报文中;
13、s206:安全联盟不存在,通过ike协议协商安全联盟,并将安全联盟的信息保存在数据报文中;
14、s207:出方向安全策略匹配失败,将入栈数据报文的源地址和目的地址互换,根据五元组信息匹配入方向安全策略;
15、s208:判断入方向安全策略的匹配是否成功,如果成功进入步骤s209,如果失败,进入s210;
16、s209:将这条入栈数据报文打上解密标签;
17、s210:该条入栈数据报文无法匹配出安全策略也无法匹配入方向安全策略,则被丢弃。
18、作为进一步的技术方案,步骤s40具体包括:
19、s401:接收打上加密标签或者解密标签的数据;
20、s402:判断是出方向标签还是入方向标签,如果是出方向标签,则进入步骤s403至步骤s405,如果是入方向标签,则进入步骤s406;
21、s403:通过加密标签,利用安全联盟对数据报文进行加密;
22、s404:获取量子密钥sa,并利用量子密钥sa对安全联盟加密后的数据再次进行加密;
23、s405:数据加解密模块处理后的数据变成出栈报文数据,从加密网关发送出去;
24、s406:通过解密标签,获取量子密钥sa,并利用量子密钥sa对数据进行解密;
25、s407:利用安全联盟对数据报文进行解密处理得到数据报文原文。
26、作为进一步的技术方案,步骤s403中,数据加密采用cbc+的模式,其中具体包括:
27、对于数据长度大于一个加密分组的,取一个加密分组整数倍的数据做cbc加密,获得密文数据1;
28、剩余长度不够一个加密分组的数据,取上一分组加密后的密文做iv值,使用会话密钥k加密iv,加密算法为sm4,加密模式采用ecb,获得kiv,截取kiv,使其长度等于明文数据长度,然后与明文数据做异或,得到密文数据2;
29、拼接密文数据1和密文数据2,得到完整密文;
30、步骤s407中解密过程具体包括:
31、对于数据长度大于一个解密分组的,取一个加密分组整数倍的数据做cbc解密,获得明文数据1;
32、剩余长度不够一个加密分组的数据,取上一分组解密前的密文做iv值,使用会话密钥k解密iv,解密算法为sm4,解密模式采用ecb,获得kiv,截取kiv,使其长度等于密文数据长度,然后与密文数据做异或,得到明文数据2;
33、拼接明文数据1和明文数据2,得到完整明文。
34、作为进一步的技术方案,步骤s404具体包括:
35、s4041、通过安全联盟中发起方和响应方的spi计算量子密钥id,利用spi计算后的量子密钥id是惟一的;
36、s4042、在量子密钥池中通过量子密钥id获得量子密钥sa;
37、s4043、利用量子密钥sa对ipsec sa加密后的数据再次进行加密,加密方法和s403的加密方法一致;
38、步骤s406具体包括:
39、s4061、通过安全联盟中发起方和响应方的spi计算量子密钥id,利用spi计算后的量子密钥id是惟一的;
40、s4062、在量子密钥池中通过量子密钥id获得量子密钥sa;
41、s4063、利用量子密钥sa对ipsec sa加密后的数据进行解密,解密方法和s407的解密方法一致。
42、本专利技术还提供一种执行上述任一技术方案所述的一种基于ipsec和量子密钥的双重加密方法的加密网关,包括:
43、量子密钥模块,用于加密网关通过唯一标本文档来自技高网...
【技术保护点】
1.一种基于IPsec和量子密钥的双重加密方法,用于加密网关,其特征在于:包括下述步骤:
2.如权利要求1所述的一种基于IPsec和量子密钥的双重加密方法,其特征在于:所述步骤S20包括下述步骤:
3.如权利要求2所述的一种基于IPsec和量子密钥的双重加密方法,其特征在于:步骤S40具体包括:
4.如权利要求3所述的一种基于IPsec和量子密钥的双重加密方法,其特征在于:步骤S403中,数据加密采用CBC+的模式,其中具体包括:
5.如权利要求3所述的一种基于IPsec和量子密钥的双重加密方法,其特征在于:步骤S404具体包括:
6.执行权利要求1至5任一项所述的一种基于IPsec和量子密钥的双重加密方法的加密网关,其特征在于:包括:
7.如权利要求6所述的一种基于IPsec和量子密钥的双重加密网关,其特征在于:xfrm模块具体包括:
8.如权利要求6所述的一种基于IPsec和量子密钥的双重加密网关,其特征在于:
9.如权利要求8所述的一种基于IPsec和量子密钥的双重加密网关,其特
10.一种基于IPsec和量子密钥的双重加密方法,适用于报文数据通过第一加密网关传入第二加密网关,其特征在于:其中第一加密网关和第二加密网关采用权利要求6-9任一项所述的机构,该加密方法包含以下步骤:
...【技术特征摘要】
1.一种基于ipsec和量子密钥的双重加密方法,用于加密网关,其特征在于:包括下述步骤:
2.如权利要求1所述的一种基于ipsec和量子密钥的双重加密方法,其特征在于:所述步骤s20包括下述步骤:
3.如权利要求2所述的一种基于ipsec和量子密钥的双重加密方法,其特征在于:步骤s40具体包括:
4.如权利要求3所述的一种基于ipsec和量子密钥的双重加密方法,其特征在于:步骤s403中,数据加密采用cbc+的模式,其中具体包括:
5.如权利要求3所述的一种基于ipsec和量子密钥的双重加密方法,其特征在于:步骤s404具体包括:
6.执行权利要求1至5任一项所述的...
【专利技术属性】
技术研发人员:徐凯年,覃洋,龙翔,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。