System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法技术_技高网
当前位置: 首页 > 专利查询>中国科学技术大学专利>正文

一种在IPSec中融合量子密钥的自适应一次一密数据保护方法技术

技术编号:40840785 阅读:5 留言:0更新日期:2024-04-01 15:07
本发明专利技术公开了一种在IPSec中融合量子密钥的自适应一次一密数据保护方法。该方法使用量子密钥对数据包进行一次一密加密并不断更新密钥,解决了现有方法中在密钥交换阶段融合量子密钥而不进行更新的问题,保证了数据传输的安全性;同时,该方法基于量子分组尺寸的密钥自适应使用策略,实现了量子密钥与IPSec协议的有机融合。通过动态的密钥派生机制,缓解了直接使用量子密钥一次一密加密导致的效率低下问题,在低码率量子密钥供应情况下,该方法保证了对高带宽数据传输的稳健性;此外,基于量子密钥窗口的密钥同步机制,解决了量子密钥在使用过程中由于在本地进行密钥操作而导致的量子密钥同步问题。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及信息通信,特别涉及一种在ipsec中融合量子密钥的自适应一次一密数据保护方法。


技术介绍

1、因特网协议安全(internet protocol security,ipsec)是一种广泛使用的网络安全协议套件,旨在创建安全的虚拟专用网(virtual private network,vpn)连接,为公共网络中传输的数据提供机密性、完整性和认证抗重放保护。它利用互联网密钥交换(internet key exchange,ike)协议来创建密钥和安全关联(security association,sa)。

2、标准的ike协议利用diffie-hellman密钥交换算法在ipsec通信双方之间生成共享的会话密钥。然而,diffie-hellman密钥交换算法基于“离散对数问题”的公共密钥算法,其安全性受限于当前的计算能力。随着高性能计算技术的发展,尤其是量子计算技术的逐步实用化,破解diffie-hellman算法将变得容易,直接威胁到ipsec vpn的安全性。

3、作为该问题的有效解决方法,量子密钥分发(quantum key distribution,qkd)技术基于量子力学原理,使通信双方能够共享一个安全的随机密钥流。qkd过程所产生的密钥具有理论上的无条件安全性,量子密钥分发结合一次一密可以保证加密的信息论安全。因此,利用量子密钥提升ipsec协议的安全性是一个重要的应用方向。尽管现有技术方案已经尝试将量子密钥与ipsec协议融合使用,但这些技术方案只关注diffie-hellman密钥交换协议的不安全性,尚未考虑加密隧道建立后不变的加密密钥和完整性保护密钥对实际传输的安全性的影响;或者考虑了量子密钥的更新,但是使用的是传统的对称加密算法,不能达到信息论安全,没有考虑数据加密的量子安全性。


技术实现思路

1、鉴于上述问题,本专利技术提供了一种在ipsec中融合量子密钥的自适应一次一密数据保护方法,以期至少能够解决上述问题之一。

2、根据本专利技术的实施例,上述一种在ipsec中融合量子密钥的自适应一次一密数据保护方法,包括:

3、当第一网关向第二网关发起ipsec请求时,启动ipsec协商过程并建立ipsec sa用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸;

4、第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作;

5、当第一网关向第二网关转发数据且匹配ipsec sa时,第一网关的ipsec进程向第一密钥管理器发送量子密钥获取请求,第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给第一网关;

6、在第一网关的ipsec进程从第一密钥管理器得到确定的量子密钥分组后,根据所要处理的ipsec的数据包长度和加密量子密钥分组尺寸,第一网关的ipsec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对数据包进行加密,并将加密的数据包转发给第二网关;

7、当第二网关接收到加密的数据包且加密的数据包匹配ipsec sa时,第二网关的ipsec进程向第二密钥管理器发送量子密钥获取请求,第二密钥管理器根据自身量子密钥获取请求内的加密的数据包序号和解密量子密钥窗口的序号范围确定每个加密的数据包所对应的量子密钥分组,第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从第一网关到第二网关的加密数据传输操作。

8、根据本专利技术的实施例,上述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;

9、其中,第二密钥管理器与第二量子密钥分发设备直接相连并在本地解密密钥池中存储着由第二量子密钥分发设备生成的量子密钥;

10、其中,第一密钥管理器和第二密钥管理器将存储的量子密钥按照预定义的格式建立索引、对存储的量子密钥进行管理并将存储的量子密钥供应给各自的网关;

11、其中,初始的量子密钥分组尺寸表示从密钥管理器获取的每块原始量子密钥的字节数;

12、其中,初始的量子密钥分组尺寸根据预设过往时间段内网关发送的数据包的吞吐量和量子密钥分发设备能够提供的量子密钥的数量确定。

13、根据本专利技术的实施例,上述当第一网关向第二网关发起ipsec请求时,启动ipsec协商过程并建立ipsec sa用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:

14、当第一网关向第二网关转发数据时,启动ipsec协商过程,第一网关和第二网关通过isakmp协商建立安全通道和ipsec sa用于保护数据通信;

15、第一量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第一网关供应一致的量子密钥,并将所分发的量子密钥暂存在第一密钥管理器的本地加密密钥池中,

16、第二量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第二网关供应一致的量子密钥,并将所分发的量子密钥暂存在第二密钥管理器的本地解密密钥池中。

17、根据本专利技术的实施例,上述第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:

18、第一密钥管理器将第一网关发送的初始的量子密钥分组尺寸发送给第二密钥管理器,并等待第二密钥管理器的确认消息,第二密钥管理器将第二网关发送的初始的量子密钥分组尺寸发送给第一密钥管理器,并等待第一密钥管理器的确认消息,在第一密钥管理器和第二密钥管理器均接收到对方的确认消息后,双方取自身发送的初始的量子密钥分组尺寸和对方发送的初始的量子密钥分组尺寸两者的最小值作为加密或解密量子密钥分组尺寸,第一密钥管理器更新自身的加密密钥分组尺寸,第二密钥管理器更新自身的解密密钥分组尺寸;

19、基于自身的量子密钥窗口尺寸默认值,以及自身的加密密钥分组尺寸或解密密钥分组尺寸,第一密钥管理器和第二密钥管理器分别对自身的量子密钥窗口进行划分,并分别从自身本地加密或解密密钥池中依次取出加密或解密密钥分组尺寸长度的量子密钥进行编号,形成带有序号的加密或解密量子密钥,第一密钥管理器将自身带有序号的加密量子密钥填充进自身划分好的加密本文档来自技高网...

【技术保护点】

1.一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;

3.根据权利要求1所述的方法,其特征在于,当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时所述第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,所述第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:

4.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器和所述第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,所述第一密钥管理器和所述第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对所述各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:

5.根据权利要求4所述的方法,其特征在于,还包括:

6.根据权利要求1所述的方法,其特征在于,当所述第一网关向所述第二网关转发数据且匹配所述IPSec SA时,所述第一网关的IPSec进程向所述第一密钥管理器发送量子密钥获取请求,所述第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个所述数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给所述第一网关包括:

7.根据权利要求1所述的方法,其特征在于,在所述第一网关的IPSec进程从所述第一密钥管理器得到所述确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,所述第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对所述数据包进行加密,并将加密的数据包转发给所述第二网关包括:

8.根据权利要求1所述的方法,其特征在于,当所述第二网关接收到所述加密的数据包且所述加密的数据包匹配所述IPSec SA时,所述第二网关的IPSec进程向所述第二密钥管理器发送量子密钥获取请求,所述第二密钥管理器根据自身量子密钥获取请求内的所述加密的数据包序号和解密量子密钥窗口的序号范围确定每个所述加密的数据包所对应的量子密钥分组,所述第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从所述第一网关到所述第二网关的加密数据传输操作包括:

...

【技术特征摘要】

1.一种在ipsec中融合量子密钥的自适应一次一密数据保护方法,其特征在于,包括:

2.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;

3.根据权利要求1所述的方法,其特征在于,当第一网关向第二网关发起ipsec请求时,启动ipsec协商过程并建立ipsec sa用于保护数据通信,同时所述第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,所述第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:

4.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器和所述第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,所述第一密钥管理器和所述第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对所述各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:

5.根据权利要求4所述的方法,其特征在于,还包括:

6.根据权利要求1所述的方法,其特征在于,当所述第一网关向所述第二网关转发数据且匹配所述...

【专利技术属性】
技术研发人员:薛开平高旭民刘斌李健陈鲁同俞能海
申请(专利权)人:中国科学技术大学
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有