【技术实现步骤摘要】
本专利技术的涉及网络安全通信领域,特别是实现ipsec sa换钥零丢包的方法。
技术介绍
1、ipsec协议:ipsec作为关键技术,提供了对ip数据的加密、完整性验证和身份认证等安全功能。
2、安全关联(sa)管理:sa管理是指对sa的生成、维护和更新等操作。其中,sa是存储安全参数的数据结构,包括加密算法、密钥等信息。
3、量子密钥分发:利用量子密钥分发设备,通过发送和接收量子态来创建共享的安全密钥。
4、在传统的ipsec(internet protocol security)网络中,安全关联(securityassociation,sa)的换钥过程可能会导致数据传输中的丢包和服务中断。
5、在ipsec通信过程中为了保持安全性,ipsec sa设计了更新和老化机制,其中包括流量老化和时间老化两种方式。在流量老化方式下,当流量达到一定限额时,会触发ipsecsa的更新。在时间老化方式下,当经过一定时间后,ipsec sa也会被更新。目前常见的更新方法是,在发起方的流量或时间达到限额时,开始重新协商ipsec sa,并发送重协商ipsecsa报文;响应方接收ipsec sa报文并进行响应操作。当发起方和响应方都更新新的sa时,存在问题:发起方更新sa后,响应方发送重协商ipsec sa的报文可能在网络中出现延迟,未及时到达响应方。这样一来,响应方尚未更新sa,而发起方使用新的sa加密的数据到达响应方时,响应方无法解密,导致报文被丢弃。
6、公开号为cn1129108
技术实现思路
1、本专利技术所要解决的技术问题在于如何避免ipsec sa换钥过程导致的数据传输中的丢包和服务中断。
2、本专利技术通过以下技术手段实现解决上述技术问题的:融合量子密钥实现ipsec sa换钥零丢包的方法,包括下述步骤:
3、s1、发起方发起密钥协商与响应方建立ipsec通道,并生成第一ipsec sa;
4、s2、当第一ipsec sa达到老化要求时,重协商中发起方首先根据ike_sa中spi生成量子sa,并向响应方发送密钥交换报文,启动发起方第一定时器;
5、s3、响应方收到密钥交换报文同样用ike_sa中spi生成量子sa,启动响应方第一定时器;
6、s4、双方第一定时器到达预定时间,同步从第一ipsec sa切换到量子sa;
7、s5、双方重密钥协商完成,均启动第二定时器;
8、s6、双方第二定时器到达预定时间,同步从量子sa切换到第二ipsec sa。
9、作为其中一种进一步具体的技术方案,所述步骤s1包括以下内容:
10、s11、本端设备发起ike协商请求;
11、s12、对端设备接收到请求后进行应答,双方根据配置参数进行协商,从而生成ikesa;
12、s13、当ike sa生成后,双方发起ipsec的协商,双方根据配置参数通过密钥协商模块进行协商,从而生成第一个ipsec sa;
13、s14、双方的ipsec sa达到established状态后,双方根据ipsec sa进行数据传输。
14、作为其中一种进一步具体的技术方案,所述步骤s2包括以下内容:
15、s21、重新协商的发起方根据ike_sa中initiator_spi和responder_spi从qt安全sim卡模块获取到对应的两组量子密钥;
16、s22、利用国密密码部件模块中sm4算法采用cbc加密方式对量子密钥进解密,获取两组量子密钥明文;
17、s23、将两组量子密钥明文分别衍生成32字节的sm3密钥和16字节sm4密钥;
18、s24、发起方利用initiator_spi生成的sa作为out方向,利用responder_spi生成的sa作为in方向;
19、s25、两组量子密钥生成的发起方量子sa通过netlink发送给内核,并采用定时器模块同时启动发起方第一定时器,其时间设置在第一ipsec sa硬到期之前。
20、作为其中一种进一步具体的技术方案,所述步骤s3包括以下内容:
21、收到重新密钥协商第一个包从message中能获取到ike_sa中initiator_spi和responder_spi,采用同步骤s2方法生成两个sa,利用initiator_spi生成的量子sa作为in方向,利用responder_spi生成的量子sa作为out方向,同时采用定时器模块启动响应方第一定时器,响应方第一定时器和发起方第一定时器到期时间同步。
22、作为其中一种进一步具体的技术方案,所述步骤s5包括以下内容:一旦重密钥协商完成,即双方都成功获取了新的密钥有第二ipsec sa,接下来会启动定时器来切换sa,启动第二定时器后,双方设备根据预定的时间间隔执行相应切换sa操作。
23、本专利技术还提供一种执行上述任一方案所述的融合量子密钥实现ipsec sa换钥零丢包的方法的量子网关,包括:qt安全sim卡模块、国密密码部件模块、密钥协商模块,和定时器。
24、本专利技术还提供一种融合量子密钥实现ipsec sa换钥零丢包的系统,包括下述模块:
25、第一ipsec sa模块,用于发起方发起密钥协商与响应方建立ipsec通道,并生成第一ipsec sa;
26、发起方第一定时器启动模块,用于当第一ipsec sa达到老化要求时,重协商中发起方首先根据ike_sa中spi生成量子sa,并向响应方发送密钥交换报文,启动发起方第一定时器;
27、响应方第一定时器启动模块,用于响应方收到密钥交换报文同样用ike_sa中spi生成量子sa,启动响应方第一定时器;
28、第一切换模块,用于双方第一定时器到达预定时间,同步从第一ipsec sa切换到量子sa;
29、第二定时器启动模块,双本文档来自技高网...
【技术保护点】
1.融合量子密钥实现IPsec SA换钥零丢包的方法,其特征在于:包括下述步骤:
2.如权利要求1所述的融合量子密钥实现IPsec SA换钥零丢包的方法,其特征在于:所述步骤S1包括以下内容:
3.如权利要求1所述的融合量子密钥实现IPsec SA换钥零丢包的方法,其特征在于:所述步骤S2包括以下内容:
4.如权利要求3所述的融合量子密钥实现IPsec SA换钥零丢包的方法,其特征在于:所述步骤S3包括以下内容:
5.如权利要求1所述的融合量子密钥实现IPsec SA换钥零丢包的方法,其特征在于:所述步骤S5包括以下内容:一旦重密钥协商完成,即双方都成功获取了新的密钥有第二IPsecSA,接下来会启动定时器来切换SA,启动第二定时器后,双方设备根据预定的时间间隔执行相应切换SA操作。
6.一种执行权利要求1至5任一项所述的融合量子密钥实现IPsec SA换钥零丢包的方法的量子网关,其特征在于:包括:QT安全SIM卡模块、国密密码部件模块、密钥协商模块,和定时器。
7.融合量子密钥实现IPsec SA换钥零丢包
8.如权利要求7所述的融合量子密钥实现IPsec SA换钥零丢包的系统,其特征在于:第一IPsec SA模块包括以下内容:
9.如权利要求8所述的融合量子密钥实现IPsec SA换钥零丢包的系统,其特征在于:发起方第一定时器启动模块包括以下内容:
...【技术特征摘要】
1.融合量子密钥实现ipsec sa换钥零丢包的方法,其特征在于:包括下述步骤:
2.如权利要求1所述的融合量子密钥实现ipsec sa换钥零丢包的方法,其特征在于:所述步骤s1包括以下内容:
3.如权利要求1所述的融合量子密钥实现ipsec sa换钥零丢包的方法,其特征在于:所述步骤s2包括以下内容:
4.如权利要求3所述的融合量子密钥实现ipsec sa换钥零丢包的方法,其特征在于:所述步骤s3包括以下内容:
5.如权利要求1所述的融合量子密钥实现ipsec sa换钥零丢包的方法,其特征在于:所述步骤s5包括以下内容:一旦重密钥协商完成,即双方都成功获取了新的密钥有第二ipsecsa,接下来...
【专利技术属性】
技术研发人员:龙翔,徐艳萍,徐凯年,胡雪纯,
申请(专利权)人:中电信量子科技有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。