CN108075890A - 数据发送端、数据接收端、数据传输方法及系统 - Google Patents
数据发送端、数据接收端、数据传输方法及系统 Download PDFInfo
- Publication number
- CN108075890A CN108075890A CN201611036995.2A CN201611036995A CN108075890A CN 108075890 A CN108075890 A CN 108075890A CN 201611036995 A CN201611036995 A CN 201611036995A CN 108075890 A CN108075890 A CN 108075890A
- Authority
- CN
- China
- Prior art keywords
- key
- business
- quantum
- encryption key
- request
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/06—Network architectures or network communication protocols for network security for supporting key management in a packet data network
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明实施例提供了一种数据发送端、数据接收端、数据传输方法及系统;该方法包括:数据发送端向量子密钥管理终端发送加密密钥请求,接收量子密钥管理终端返回的量子密钥作为业务加密密钥,向数据接收端发送同步请求,接收数据接收端返回的业务解密密钥哈希值,对业务加密密钥计算哈希值并比对,在比对通过后,使用业务加密密钥对业务报文进行加密发送;数据接收端在接收到同步请求时,向量子密钥管理终端发送解密密钥请求,接收量子密钥管理终端返回的量子密钥作为业务解密密钥,计算业务解密密钥的哈希值并返回至数据发送端,使用业务解密密钥对接收到的业务报文进行解密。本发明引入量子密钥作为业务密钥,大大增强了业务中数据传输的安全性。
Description
技术领域
本发明涉及通信领域,尤其涉及一种数据发送端、数据接收端、数据传输方法及系统。
背景技术
在某些通信网络进行业务报文传输时,需要对报文进行加密及解密处理,以保证报文的安全性,例如VPN(Virtual Private Network,虚拟专用网),其是一种在公共通信基础网络上通过逻辑方式隔离出来的网络,其效果相当于在广域网络中建立一条虚拟专用线路。VPN的加密技术由IP安全协议(IPSec)实现,Internet密钥交换(IKE)协议是IPSec中最重要的组成部分,在公共网络中,用IPSec保护一个IP数据包之前,必须先建立一个安全通道,也即安全联盟(SA)。现有IKE协议是利用Diffie-Hellman密钥交换算法在IPSec通信双方直接协商安全策略、交换安全参数、验证双方身份以及生成共享的会话密钥。
由于Diffie-Hellman密钥交换算法是基于“离散对数问题”的公共密钥算法,其安全性局限于当前的计算能力。随着高性能计算技术的发展,破解Diffie-Hellman算法将变得非常容易,这将直接威胁到IPSec VPN的安全性,降低VPN用户数据传输的安全性,进而降低VPN用户的使用体验。
发明内容
本发明实施例提供了一种数据发送端、数据接收端、数据传输方法及系统,以解决现有用户数据传输安全性较低的问题。
一方面,提供了一种数据传输方法,包括:
在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;加密密钥请求用于请求获取当前业务的业务加密密钥;
在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;同步请求用于触发数据接收端向量子密钥管理终端发送解密密钥请求,解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
接收数据接收端返回的同步请求的响应消息,提取响应消息携带的业务解密密钥的哈希值;
对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;
比对业务加密密钥的哈希值与业务解密密钥的哈希值;
在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端。
一方面,提供了一种数据传输方法,包括:
在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;同步请求为数据发送端向量子密钥管理终端发送加密密钥请求时发送的,加密密钥请求用于请求获取当前业务的业务加密密钥,解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;
对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
在接收到当前业务的业务报文后,使用业务解密密钥对业务报文进行解密。
一方面,提供了一种数据传输方法,包括:
数据发送端在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
数据接收端在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
数据发送端对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端;
数据接收端在接收到当前业务的待解密业务报文后,使用业务解密密钥对待解密业务报文进行解密。
一方面,提供了一种数据发送端,包括:
加密密钥获取模块,用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求,加密密钥请求用于请求获取当前业务的业务加密密钥;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求,同步请求用于触发数据接收端向量子密钥管理终端发送解密密钥请求,解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;接收数据接收端返回的同步请求的响应消息,提取响应消息携带的业务解密密钥的哈希值;对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;
报文加密模块,用于比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端。
一方面,提供了一种数据接收端,包括:
解密密钥获取模块,用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求,同步请求为数据发送端向量子密钥管理终端发送加密密钥请求时发送的,加密密钥请求用于请求获取当前业务的业务加密密钥,解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
报文解密模块,用于在接收到当前业务的业务报文后,使用业务解密密钥对业务报文进行解密。
一方面,提供了一种数据传输系统,包括:量子密钥管理终端、数据发送端及数据接收端,其中,
量子密钥管理终端用于产生量子密钥;
数据发送端用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
数据接收端用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
数据发送端还用于对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端;
数据接收端还用于在接收到当前业务的待解密业务报文后,使用业务解密密钥对待解密业务报文进行解密。
另一方面,提供了一种计算机存储介质,计算机存储介质中存储有计算机可执行指令,计算机可执行指令用于执行前述的数据传输方法。
本发明实施例的有益效果:
本发明实施例提供了一种数据传输方法,该方法创造性的引入量子密钥作为VPN业务等需要加密解密传输报文业务传输中的业务加密密钥及解密密钥,基于量子密钥的快速更新性及不可复制性,大大增强了数据传输的安全性,增强了用户的使用体验;同时,该方法仅需要数据发送端在获取量子密钥作为加密密钥时,通知对端同步获取量子密钥作为解密密钥,即可实现数据传输双端加解密密钥的一致性,利用配置及量子密钥的一致性特性就可以实现数据保护,而不再需要现有IKE繁杂的密钥协商过程,简化了VPN业务的建链流程,增强了建链速度,也增强了用户的使用体验。
附图说明
图1为本发明第一实施例提供的数据传输方法的流程图;
图2为本发明第二实施例提供的数据传输系统的结构示意图;
图3为本发明第三实施例提供的VPN网关的结构示意图;
图4为本发明第三实施例提供的VPN业务实现方法的流程图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例只是本发明中一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
现通过具体实施方式结合附图的方式对本发明做出进一步的诠释说明。
第一实施例:
图1为本发明第一实施例提供的数据传输方法的流程图,由图1可知,本实施例提供的数据传输方法包括:
S101:数据发送端在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
在实际应用中,数据发送端需要判断是否需要获取业务加密密钥,例如,在建立SA链路之前,数据发送端及接收端完成了握手时,在使用SA链路进行数据传输时,由于量子密钥的高更新性,需要周期性的进行更新时,认为是满足虚拟专用网业务发送条件;在这个过程中包括3个场景:在进行当前业务前,向数据接收端发送握手信号、且收到数据接收端返回的握手响应信号时,需要获取业务加密密钥,本场景获取的业务加密密钥是这个业务的第一个加密密钥;或者,在进行当前业务时,在前一次获取到的量子加密密钥失效时,需要获取业务加密密钥,因为量子密钥存在有效期,所以需要周期性的获取量子密钥,本场景是在前面一个量子密钥有效期到达时,重新获取;或者,在进行当前业务时,在距离前一次获取到的量子加密密钥失效前预定时长时,需要获取业务加密密钥,在实际应用中,获取量子密钥的过程需要占用一定时长,本场景为了避免业务因为没有加密密钥而暂停,在当前量子密钥的有效期到达失效时,提前预定时长获取下一个量子密钥,实现量子密钥的无缝切换。
S102:数据接收端在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
S103:数据发送端对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端;
S104:数据接收端在接收到当前业务的待解密业务报文后,使用业务解密密钥对待解密业务报文进行解密。
本发明实施例提供了一种数据传输方法,该方法创造性的引入量子密钥作为加密密钥及解密密钥,基于量子密钥的快速更新性及不可复制性,大大增强了VPN业务等需要加密解密传输报文业务传输中的业务数据传输的安全性,增强了用户的使用体验;同时,该方法仅需要数据发送端在获取量子密钥作为加密密钥时,通知对端同步获取量子密钥作为解密密钥,即可实现数据传输双端加解密密钥的一致性,利用配置及量子密钥的一致性特性就可以实现数据保护,而不再需要现有IKE繁杂的密钥协商过程,简化了VPN业务的建链流程,增强了建链速度,也增强了用户的使用体验。
在一些实施例中,上述实施例中的数据传输方法还包括:
配置密钥调用规则,例如使用量子密钥中的前4个相邻字节作为第一个报文的加密/解密密钥,使用量子密钥中的下一个4个相邻字节作为第二个报文的加密/解密密钥,依次类推;
数据发送端及数据接收端获取密钥调用规则;
数据发送端根据待发送业务报文的报文标识及密钥调用规则,从量子加密密钥中,截取加密字段;使用加密字段对待发送业务报文进行加密;
数据接收端根据待解密业务报文的报文标识及密钥调用规则,从量子解密密钥中,截取解密字段;使用解密字段对待解密业务报文进行解密。
在实际应用中,量子密钥的长度很长,至少包括1KB(1024个字节),而配置的转码中加解密或者认证算法的密钥长度都是固定的,一般是8~32字节之间,不需要1024个字节。,因此本实施例提供了一种新的加密机制,该机制根据各报文的标识调用不同的密钥字节段进行加密,例如,配置的转码算法为DES加密,其密钥长度为8个字节,密钥调用规则为根据报文标识确定密钥字段,针对标识为OOXX1的报文,使用量子密钥的第1-8个字节作为加密密钥,针对标识为OOXX2的报文,使用量子密钥的第9-16个字节作为加密密钥,依次类推,这样一个量子密钥可以至少加密128个报文,在发送到第120个报文时,可以同时请求新的量子密钥,当第129个报文需要发送时,可以直接使用新量子密钥进行加密,实现了业务的平滑过渡。
在一些实施例中,上述实施例中的数据传输方法在数据发送端的体现包括:
在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;加密密钥请求用于请求获取当前业务的业务加密密钥;
在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;同步请求用于触发数据接收端向量子密钥管理终端发送解密密钥请求,解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
接收数据接收端返回的同步请求的响应消息,提取响应消息携带的业务解密密钥的哈希值;
对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;
比对业务加密密钥的哈希值与业务解密密钥的哈希值;
在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端。
在一些实施例中,上述实施例中的需要获取业务加密密钥的场景包括:在进行当前业务前,向数据接收端发送握手信号、且收到数据接收端返回的握手响应信号时,需要获取业务加密密钥;或者,在进行当前业务时,在前一次获取到的量子加密密钥失效时,需要获取业务加密密钥;或者,在进行当前业务时,在距离前一次获取到的量子加密密钥失效前预定时长时,需要获取业务加密密钥。
在一些实施例中,上述实施例中的使用量子加密密钥对业务报文进行加密包括:
获取密钥调用规则;
根据待发送业务报文的报文标识及密钥调用规则,从业务加密密钥中,截取加密字段;
使用加密字段对待发送业务报文进行加密。
在实际应用中,量子密钥的长度很长,至少包括1KB(1024个字节),而配置的转码算法的密钥长度一般是8~32字节,,因此本实施例提供了一种新的加密机制,该机制根据各报文的标识调用不同的字节进行加密,例如,针对标识为OOXX1的报文,使用量子密钥的第1-8个字节作为加密密钥,针对标识为OOXX2的报文,使用量子密钥的第9-16个字节作为加密密钥,依次类推,这样一个量子密钥可以至少加密128个报文,在发送到第120个报文时,可以同时请求新的量子密钥,当第129个报文需要发送时,可以直接使用新量子密钥进行加密,实现了业务的平滑过渡。
在一些实施例中,上述实施例中的数据传输方法在数据接收端的体现包括:
在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;同步请求为数据发送端向量子密钥管理终端发送加密密钥请求时发送的,加密密钥请求用于请求获取当前业务的业务加密密钥,解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;
对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
在接收到当前业务的业务报文后,使用业务解密密钥对业务报文进行解密。
在一些实施例中,上述实施例中的使用业务解密密钥对业务报文进行解密包括:
获取密钥调用规则;
根据待解密业务报文的报文标识及密钥调用规则,从业务解密密钥中,截取解密字段;
使用解密字段对待解密业务报文进行解密。
本实施例与数据发送端的类似,例如,针对标识为OOXX1的报文,使用量子密钥的第1-8个字节作为解密密钥,针对标识为OOXX2的报文,使用量子密钥的第9-16个字节作为解密字段,依次类推,这样一个量子密钥可以至少解密128个报文,在接收到第120个报文时,可以同时请求新的量子密钥,当第129个报文需要解密时,可以直接使用新量子密钥进行解密,实现了业务的平滑过渡。
第二实施例:
图2为本发明第二实施例提供的VPN数据传输系统的结构示意图,由图2可知,本实施例提供的VPN数据传输系统包括:量子密钥管理终端3(图2所示的3a及3b)、数据发送端1及数据接收端2,其中,
量子密钥管理终端3用于产生量子密钥;
数据发送端1用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
数据接收端2用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
数据发送端1还用于对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端;
数据接收端2还用于在接收到当前业务的待解密业务报文后,使用业务解密密钥对待解密业务报文进行解密。
在一些实施例中,上述实施例中的数据传输系统包括两个量子密钥管理终端,两个量子密钥管理终端在发送量子密钥之前,还用于对待发送的量子密钥进行校验,在校验通过时,发送量子密钥。
在实际应用中,量子密钥管理终端对待发送的量子密钥进行校验主要应用在系统中存在两个量子密钥管理终端的情景下,量子密钥管理终端3a生成准备发送给数据发送端的量子密钥a,获取量子密钥管理终端3b准备发送给数据接收端的量子密钥b,将量子密钥b与量子密钥a比对,当两者比对通过,如相同时,认为量子密钥a验证通过,将量子密钥a发送至数据发送端,量子密钥管理终端3b也执行类似的校验步骤。
在一些实施例中,图2所示实施例中的数据发送端1,包括:
加密密钥获取模块11,用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求,加密密钥请求用于请求获取当前业务的业务加密密钥;在发送加密密钥请求时,同步向当前业务的数据接收端发送同步请求,同步请求用于触发数据接收端向量子密钥管理终端发送解密密钥请求,解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;接收数据接收端返回的同步请求的响应消息,提取响应消息携带的业务解密密钥的哈希值;对业务加密密钥进行哈希值计算,获取业务加密密钥的哈希值;
报文加密模块12,用于比对业务加密密钥的哈希值与业务解密密钥的哈希值;在比对通过后,使用业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至数据接收端。
在一些实施例中,上述实施例中的加密密钥获取模块11用于在进行当前业务前,向数据接收端发送握手信号、且收到数据接收端返回的握手响应信号时,发送加密密钥请求;或者,在进行当前业务时,在前一次获取到的量子加密密钥失效时,发送加密密钥请求;或者,在进行当前业务时,在距离前一次获取到的量子加密密钥失效前预定时长时,发送加密密钥请求。
在一些实施例中,上述实施例中的报文加密模块12用于获取密钥调用规则;根据待发送业务报文的报文标识及密钥调用规则,从业务加密密钥中,截取加密字段;使用加密字段对待发送业务报文进行加密。
在一些实施例中,图2所示实施例中的数据接收端2,包括:
解密密钥获取模块21,用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求,同步请求为数据发送端向量子密钥管理终端发送加密密钥请求时发送的,加密密钥请求用于请求获取当前业务的业务加密密钥,解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对业务解密密钥进行哈希值计算,获取业务解密密钥的哈希值,并添加至同步请求的响应消息中,发送至数据发送端;
报文解密模块22,用于在接收到当前业务的业务报文后,使用业务解密密钥对业务报文进行解密。
在一些实施例中,上述实施例中的报文解密模块22用于获取密钥调用规则;根据待解密业务报文的报文标识及密钥调用规则,从业务解密密钥中,截取解密字段;使用解密字段对待解密业务报文进行解密。
在实际应用中,图2所示实施例中的所有功能模块,都可以采用处理器、编辑逻辑器件等方式实现。
第三实施例:
现以VPN为应用对象,结合具体应用场景对本发明做进一步的诠释说明。
本实施例为了克服现有技术中存在安全性受到越来越严峻的挑战的问题和缺陷,提供一种采用量子密钥实现IPsec的方法和系统。本实施例提供的采用量子密钥实现IPsec的系统包括:IPsec VPN网关1,IPsec VPN网关2以及对应的两个量子密钥管理终端3a及3b。
如图3所示,IPsec VPN网关中包括配置管理模块31,ipsec SA管理模块32,ipsec加解密处理模块33,握手管理模块34,量子密钥获取与处理模块35,量子密钥缓存管理模块36,其中,配置管理模块31,ipsec SA管理模块32,ipsec加解密处理模块33为现有系统中已有的模块,不再赘述。握手管理模块34,主要负责通知IPsecVPN网关对端,本端已经配置完备,可以进行获取量子密钥流程了。只有双方握手完成之后才可以进行后续的获取量子密钥流程;量子密钥获取与处理模块35,主要负责协同对端一起把加解密的密钥从量子密钥管理终端获取下来,这里跟量子密钥终端的对接过程参照量子设备的规范,不再描述;量子密钥缓存管理模块36,这里主要是对获取到的密钥进行缓存管理,根据配置的转码分配出合适的key值,然后生成SA用于加解密数据流。
本实施例实现的前提保证两个IPsecVPN的基本配置一致,否则会造成加解密失败。
如图4所示,本实施例提供的采用量子密钥的IPsecVPN业务实现方法包括以下步骤:
S401,IPsecVPN1配置完备之后向IPsecVPN2发送hello请求报文,告知对端配置已经准备好,可以进行密钥获取了。
S402,IPsecVPN2收到hello报文之后,确认本端设备是否配置完善,如果配置已经准备好,则向IPsecVPN1发送hello应答报文。
S403,IPsecVPN1向IPsecVPN2发送同步获取当前SPI密钥的请求,同时向量子密钥管理终端3a发送获取当前SPI的加密密钥请求。
S404,IPsecVPN2收到同步获取SPI的请求后,向量子密钥管理终端3b发送获取当前SPI的解密密钥请求。
S405,量子密钥管理终端3a和量子密钥管理终端3b收到密钥请求后,生成密钥并进行校验后,各自向IPsecVPN1和IPsecVPN2发送获取密钥的应答报文。
S406,IPsecVPN1收到当前SPI的加密密钥之后存储下来。
S407,IPsecVPN2收到当前SPI的解密密钥之后存储下来,同时生成hash值,发送给IPsecVPN1;并且生成解密SA。
S408,IPsecVPN1收到IPsecVPN2获取的密钥hash值后与本地获取的加密密钥生成的hash值做比较,hash校验通过后,生成加密SA。
S409,IPsecVPN1对感兴趣的流使用加密SA加密后,到IPsecVPN2后使用解密SA解密,完成数据流的安全传输。
从S403到S409只是完成了单向的从IPsecVPN1到IPsecVPN2的安全保护,如果要实现双向保护,则需要从IPsecVPN2发起获取加密密钥的流程,类似从S403到S409的过程。
进一步地讲,重复S409,可以实现密钥的更新与切换。
进一步地讲,通过多个SPI重复S409,可以实现密钥更新时的平滑过渡,即更新获得到新SPI密钥后,保留一段时间旧的SPI的密钥,使得数据流在传输到对端时能找到匹配的解密密钥。
采用本发明方法和系统,与现有技术相比,达到了快速更新IPsec SA密钥的效果,提高了IPsec安全性,同时,整个方案不需要繁琐的IKE协商过程,利用配置以及量子密钥的特性就可以实现IPsec数据保护。
在实际应用中,对于组网可以采用现有的IPsec的组网,这里不再叙述;与量子密钥管理终端之间的交互采用量子密钥协议,不再叙述;IPsec网关与量子密钥管理终端之间身份认证通过是实施本发明的前置条件,不再描述。
场景一
以两个IPsec网关之间建立IPsec隧道,采用隧道模式对数据流进行保护为应用场景,本场景下,本实施例提供的VPN业务实现方法包括:
步骤1,IPsec网关基本配置
1)配置物理接口,IPsec网关之间通信的物理接口。
2)感兴趣流,只有对感兴趣流进行保护,不在这个范围内的数据流都不会进行保护。
3)IPsec保护所需要的转码,包括加解密算法,和封装模式。这里建立IPsec隧道,封装模式必须配置为隧道。
4)量子IPsec profile配置,绑定感兴趣流,转码,SPI范围,以及与量子密钥管理终端交互的profile
5)IPsec隧道配置,该隧道为量子配置类型,绑定量子IPsec profile,以及本端和对端的接口地址,用于IPsec间的通信。
以上基本配置需要IPsec网关双方一致,本端的加密SPI必须与对端的解密SPI一致,对端的加密SPI必须与本端的解密SPI一致。
步骤2,IPsec网关根据配置的remote地址向对端IPsec网关发送Hello请求报文,通知对端,本端配置已经完备,可以进行密钥获取流程处理了。
1)Hello请求报文采用扩展的IKE Informational报文,报文中的扩展定义都是在IPsec协议规定的私有定义范围内。
2)交换类型定义为ISAKMP_ETYPE_QUANTUM_KEY 240
3)通知载荷的DOI定义为QUANTUM_DOI 8013
4)通知载荷的Protocol-ID定义为QUANTUMDOI_PROTO_ESP 1
5)通知载荷中的SPI Size固定为4字节
6)通知载荷的Notify MesSAge Type定义为QUANTUM_NTYPE_HELLO 33000
7)通知载荷中的SPI值填写隧道绑定的量子profile的SPI范围中的第一个值
步骤3,IPsec网关收到Hello报文之后,根据报文中的SPI以及源目的地址查找匹配的隧道配置,隧道配置完备后,给对端IPsec网关发送Hello Ack报文,通知对端IPsec网关配置已经完备。
1)如果本端IPsec网关配置不完备,或者没有匹配的隧道,则直接丢弃Hello请求报文。
2)如果本端IPsec网关的隧道已经向对端IPsec网关发送过Hello请求报文了,则根据一定的策略选择丢弃收到的Hello请求报文,并等待对端IPsec网关的Hello Ack报文或者给对端IPsec网关回应Hello Ack报文。
3)Hello Ack报文采用扩展的IKE Informational报文,报文中的扩展定义都是在IPsec协议规定的私有定义范围内
4)Hello Ack报文中的字段定义除Notify MesSAge Type外,与步骤2中的报文定义相同。
5)通知载荷中的Notify MesSAge Type定义为QUANTUM_NTYPE_HELLO_ACK 33001
步骤4,IPsec网关收到Hello Ack报文后根据报文中的SPI查找到匹配的隧道,标记IPsec网关两端握手成功。
进一步地,如果步骤4中一直没有收到Hello Ack报文,则超时后继续重传Hello请求报文,直到握手成功。
步骤5,IPsec网关根据配置中的加密SPI,向对端IPsec网关发送同步获取此SPI的解密密钥的请求报文,同时向对应的密钥管理终端发送获取此SPI的加密密钥请求。
1)IPsec网关双方可以同时发送此报文,各自单独执行获取密钥的流程,互不影响。
2)同步请求报文格式及定义同步骤2,其中通知载荷的Notify MesSAge Type定义为QUANTUM_NTYPE_GET_KEY_REQUEST 33002
3)整个密钥获取流程就从这个同步请求开始,如果在配置的时间内没有完成密钥的获取与校验,则认为处理失败,统一走失败处理流程,即过一段时间后发起新一轮的密钥获取流程,直到获取成功。
4)考虑到密钥获取失败可能是因为密钥机来不及生成密钥导致,为了避免在这种情况下频繁的获取密钥失败,可以引入惩罚机制,即延长触发获取密钥流程的时间。
5)向密钥管理终端获取密钥的请求采用密钥机设备提供的协议。不在本发明的范畴。
步骤6,IPsec网关收到同步获取密钥的请求后,向密钥管理终端发起获取指定SPI的解密密钥的请求。
步骤7,IPsec网关收到量子密钥管理终端发过来的加密密钥,存储到加密密钥池中。
步骤8,IPsec网关收到量子密钥管理终端发过来的解密密钥,存储到解密密钥池中,同时采用SHA-1生成hash值并发送同步应答报文到对端IPsec网关。
1)根据收到的密钥生成hash值,这里的hash算法只要双方约定好即可。
2)同步应答报文格式及定义同步骤2,其中通知载荷的Notify MesSAge Type定义为QUANTUM_NTYPE_GET_KEY_SUCCESS 33003
3)同步应答报文中还需要增加通知载荷的Notification Data部分,用于填充计算生成的hash值
4)如果获取解密密钥失败,则丢弃,也不向对端IPsec网关发送失败应答,由对端根据定时器超时失败处理。
步骤9,IPsec网关收到同步获取解密密钥的应答,根据本端获取的加密密钥进行hash校验。
1)如果hash校验失败,则丢弃收到的应答报文,走失败流程
2)如果在一定的时间内没有完成本次密钥获取流程,则走失败流程
步骤10,IPsec网关双方根据配置的SPI范围,转码来分配获取到的量子密钥。
1)通常,根据量子密钥设备提供的协议,一次可以获取1K~64K密钥。
2)这些密钥一次全部获取下来后,放入密钥存储池,然后根据转码中匹配的密钥长度,分别给配置的起始SPI按序分配密钥。
3)加密端的密钥分配和解密端的密钥分配策略一致
步骤11,IPsec网关双方生成SA用于对感兴趣的加解密。
1)每个SPI都生成一个加密SA或者解密SA
2)加密SA的选择,采用从起始SPI的SA开始按序选择。
3)加密SA的更新,根据配置的更新周期进行更新
步骤12,当生成的SA快没有的时候,需要触发新的一轮获取密钥的过程,重复步骤5~步骤11。
1)当前加密SA已经没有可以更新,并且第二次重新获取流程还没有结束,或者失败,则加密SA重新从第二个开始循环按序使用。
2)密钥获取流程结束后,加密SA从新的第一个加密SA开始按序选择
3)为了保证密钥池更新期间,感兴趣流保护能平滑过渡,旧的解密SA需要缓存一段时间,超时后释放。
场景二
以两个IPsec网关之间采用IPsec transport接口,采用transport封装模式对数据流进行保护为应用场景,本场景下,本实施例提供的VPN业务实现方法包括:
步骤1,IPsec网关基本配置
1)配置物理接口,IPsec网关之间通信的物理接口。
2)感兴趣流,只有对感兴趣流进行保护,不在这个范围内的数据流都不会进行保护。
3)IPsec保护所需要的转码,包括加解密算法,和封装模式。这里封装模式必须配置为transport。
4)量子IPsec profile配置,绑定感兴趣流,转码,SPI范围,以及与量子密钥管理终端交互的profile
5)IPsec transport配置,该transport为量子配置类型,绑定量子IPsecprofile,以及本端和对端的接口地址,用于IPsec间的通信。
以上基本配置需要IPsec网关双方一致,本端的加密SPI必须与对端的解密SPI一致,对端的加密SPI必须与本端的解密SPI一致。
后续步骤可以采用场景一中的步骤2~步骤12来完成整个密钥获取以及生成对应的SA用于对感兴趣流的IPsec保护。
综上可知,通过本发明实施例的实施,至少存在以下有益效果:
本发明实施例提供了一种数据传输方法,该方法创造性的引入量子密钥作为VPN业务传输中的加密密钥及解密密钥,基于量子密钥的快速更新性及不可复制性,大大增强了VPN业务中数据传输的安全性,增强了用户的使用体验;同时,该方法仅需要数据发送端在获取量子密钥作为加密密钥时,通知对端同步获取量子密钥作为解密密钥,即可实现数据传输双端加解密密钥的一致性,利用配置及量子密钥的一致性特性就可以实现数据保护,而不再需要现有IKE繁杂的密钥协商过程,简化了VPN业务的建链流程,增强了建链速度,也增强了用户的使用体验。
本领域内的技术人员应明白,本发明的实施例可提供为方法、系统、或计算机程序产品。因此,本发明可采用硬件实施例、软件实施例、或结合软件和硬件方面的实施例的形式。而且,本发明可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器和光学存储器等)上实施的计算机程序产品的形式。
本发明是参照根据本发明实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上仅是本发明的具体实施方式而已,并非对本发明做任何形式上的限制,凡是依据本发明的技术实质对以上实施方式所做的任意简单修改、等同变化、结合或修饰,均仍属于本发明技术方案的保护范围。
Claims (13)
1.一种数据传输方法,包括:
在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;所述加密密钥请求用于请求获取当前业务的业务加密密钥;
在发送所述加密密钥请求时,同步向当前业务的数据接收端发送同步请求;所述同步请求用于触发所述数据接收端向量子密钥管理终端发送解密密钥请求,所述解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为所述业务加密密钥;
接收所述数据接收端返回的所述同步请求的响应消息,提取所述响应消息携带的业务解密密钥的哈希值;
对所述业务加密密钥进行哈希值计算,获取所述业务加密密钥的哈希值;
比对所述业务加密密钥的哈希值与所述业务解密密钥的哈希值;
在比对通过后,使用所述业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至所述数据接收端。
2.如权利要求1所述的数据传输方法,其特征在于,所述需要获取业务加密密钥包括:在进行当前业务前,向所述数据接收端发送握手信号、且收到所述数据接收端返回的握手响应信号时,需要获取业务加密密钥;或者,在进行当前业务时,在前一次获取到的量子加密密钥失效时,需要获取业务加密密钥;或者,在进行当前业务时,在距离前一次获取到的量子加密密钥失效前预定时长时,需要获取业务加密密钥。
3.如权利要求1或2所述的数据传输方法,其特征在于,所述使用所述业务加密密钥对当前业务的业务报文进行加密包括:
获取密钥调用规则;
根据待发送业务报文的报文标识及所述密钥调用规则,从所述业务加密密钥中,截取加密字段;
使用所述加密字段对所述待发送业务报文进行加密。
4.一种数据传输方法,包括:
在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;所述同步请求为所述数据发送端向量子密钥管理终端发送加密密钥请求时发送的,所述加密密钥请求用于请求获取当前业务的业务加密密钥,所述解密密钥请求用于请求获取当前业务的业务解密密钥;
接收量子密钥管理终端返回的量子密钥,作为所述业务解密密钥;
对所述业务解密密钥进行哈希值计算,获取所述业务解密密钥的哈希值,并添加至所述同步请求的响应消息中,发送至所述数据发送端;
在接收到当前业务的业务报文后,使用所述业务解密密钥对所述业务报文进行解密。
5.如权利要求4所述的数据传输方法,其特征在于,所述使用所述业务解密密钥对所述业务报文进行解密包括:
获取密钥调用规则;
根据待解密业务报文的报文标识及所述密钥调用规则,从所述业务解密密钥中,截取解密字段;
使用所述解密字段对所述待解密业务报文进行解密。
6.一种数据传输方法,包括:
数据发送端在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送所述加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
所述数据接收端在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对所述业务解密密钥进行哈希值计算,获取所述业务解密密钥的哈希值,并添加至所述同步请求的响应消息中,发送至所述数据发送端;
所述数据发送端对所述业务加密密钥进行哈希值计算,获取所述业务加密密钥的哈希值;比对所述业务加密密钥的哈希值与所述业务解密密钥的哈希值;在比对通过后,使用所述业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至所述数据接收端;
所述数据接收端在接收到当前业务的待解密业务报文后,使用所述业务解密密钥对所述待解密业务报文进行解密。
7.一种数据发送端,包括:
加密密钥获取模块,用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求,所述加密密钥请求用于请求获取当前业务的业务加密密钥;在发送所述加密密钥请求时,同步向当前业务的数据接收端发送同步请求,所述同步请求用于触发所述数据接收端向量子密钥管理终端发送解密密钥请求,所述解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为所述业务加密密钥;接收所述数据接收端返回的所述同步请求的响应消息,提取所述响应消息携带的业务解密密钥的哈希值;对所述业务加密密钥进行哈希值计算,获取所述业务加密密钥的哈希值;
报文加密模块,用于比对所述业务加密密钥的哈希值与所述业务解密密钥的哈希值;在比对通过后,使用所述业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至所述数据接收端。
8.如权利要求7所述的数据发送端,其特征在于,所述加密密钥获取模块用于在进行当前业务前,向所述数据接收端发送握手信号、且收到所述数据接收端返回的握手响应信号时,发送所述加密密钥请求;或者,在进行当前业务时,在前一次获取到的量子加密密钥失效时,发送所述加密密钥请求;或者,在进行当前业务时,在距离前一次获取到的量子加密密钥失效前预定时长时,发送所述加密密钥请求。
9.如权利要求7或8所述的数据发送端,其特征在于,所述报文加密模块用于获取密钥调用规则;根据待发送业务报文的报文标识及所述密钥调用规则,从所述业务加密密钥中,截取加密字段;使用所述加密字段对所述待发送业务报文进行加密。
10.一种数据接收端,包括:
解密密钥获取模块,用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求,所述同步请求为所述数据发送端向量子密钥管理终端发送加密密钥请求时发送的,所述加密密钥请求用于请求获取当前业务的业务加密密钥,所述解密密钥请求用于请求获取当前业务的业务解密密钥;接收量子密钥管理终端返回的量子密钥,作为所述业务解密密钥;对所述业务解密密钥进行哈希值计算,获取所述业务解密密钥的哈希值,并添加至所述同步请求的响应消息中,发送至所述数据发送端;
报文解密模块,用于在接收到当前业务的业务报文后,使用所述业务解密密钥对所述业务报文进行解密。
11.如权利要求10所述的数据接收端,其特征在于,所述报文解密模块用于获取密钥调用规则;根据待解密业务报文的报文标识及所述密钥调用规则,从所述业务解密密钥中,截取解密字段;使用所述解密字段对所述待解密业务报文进行解密。
12.一种数据传输系统,包括:量子密钥管理终端、数据发送端及数据接收端,其中,
所述量子密钥管理终端用于产生量子密钥;
所述数据发送端用于在需要获取业务加密密钥时,向量子密钥管理终端发送加密密钥请求;在发送所述加密密钥请求时,同步向当前业务的数据接收端发送同步请求;接收量子密钥管理终端返回的量子密钥,作为业务加密密钥;
所述数据接收端用于在接收到当前业务的数据发送端发送的同步请求时,向量子密钥管理终端发送解密密钥请求;接收量子密钥管理终端返回的量子密钥,作为业务解密密钥;对所述业务解密密钥进行哈希值计算,获取所述业务解密密钥的哈希值,并添加至所述同步请求的响应消息中,发送至所述数据发送端;
所述数据发送端还用于对所述业务加密密钥进行哈希值计算,获取所述业务加密密钥的哈希值;比对所述业务加密密钥的哈希值与所述业务解密密钥的哈希值;在比对通过后,使用所述业务加密密钥对当前业务的业务报文进行加密,将加密后的业务报文发送至所述数据接收端;
所述数据接收端还用于在接收到当前业务的待解密业务报文后,使用所述业务解密密钥对所述待解密业务报文进行解密。
13.如权利要求12所述的数据传输系统,其特征在于,包括两个量子密钥管理终端,所述两个量子密钥管理终端在发送量子密钥之前,还用于对待发送的量子密钥进行校验,在校验通过时,发送所述量子密钥。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611036995.2A CN108075890A (zh) | 2016-11-16 | 2016-11-16 | 数据发送端、数据接收端、数据传输方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201611036995.2A CN108075890A (zh) | 2016-11-16 | 2016-11-16 | 数据发送端、数据接收端、数据传输方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108075890A true CN108075890A (zh) | 2018-05-25 |
Family
ID=62161268
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201611036995.2A Pending CN108075890A (zh) | 2016-11-16 | 2016-11-16 | 数据发送端、数据接收端、数据传输方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108075890A (zh) |
Cited By (19)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108833100A (zh) * | 2018-07-27 | 2018-11-16 | 江苏亨通问天量子信息研究院有限公司 | 信息验证方法、发送端系统、接收端系统及验证端系统 |
| CN108900295A (zh) * | 2018-07-02 | 2018-11-27 | 国网电力信息通信有限公司 | 基于量子密钥加密的数据发送、接收方法、装置及系统 |
| CN108923917A (zh) * | 2018-06-28 | 2018-11-30 | 浙江九州量子信息技术股份有限公司 | 一种基于量子通信的虚拟专用网络加密方法 |
| CN109361511A (zh) * | 2018-11-08 | 2019-02-19 | 华为技术有限公司 | 数据传输方法、网络设备及计算机存储介质 |
| CN109660329A (zh) * | 2018-12-27 | 2019-04-19 | 安徽继远软件有限公司 | 一种可抵抗外部攻击的两方量子保密比较相等协议 |
| CN109714164A (zh) * | 2019-02-26 | 2019-05-03 | 安徽皖通邮电股份有限公司 | 一种IKEv2协商使用量子密钥的方法 |
| CN109802830A (zh) * | 2019-02-21 | 2019-05-24 | 深圳优仕康通信有限公司 | 一种加密传输方法和量子加密方法 |
| CN110048833A (zh) * | 2019-03-04 | 2019-07-23 | 全球能源互联网研究院有限公司 | 基于量子卫星密钥网络的电力业务加密方法及装置 |
| CN110620650A (zh) * | 2018-06-20 | 2019-12-27 | 中国电信股份有限公司 | 通信方法、系统、装置及计算机可读存储介质 |
| WO2020103643A1 (zh) * | 2018-11-23 | 2020-05-28 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN112153583A (zh) * | 2020-09-28 | 2020-12-29 | 中国电子科技集团公司第五十四研究所 | 一种用于加解密服务间的多密钥协商方法 |
| CN112398651A (zh) * | 2021-01-12 | 2021-02-23 | 南京易科腾信息技术有限公司 | 一种量子保密通信方法、装置、电子设备以及存储介质 |
| CN113315626A (zh) * | 2020-02-27 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 一种通信方法、密钥管理方法、设备、系统及存储介质 |
| CN113328801A (zh) * | 2021-05-19 | 2021-08-31 | 郑州信大捷安信息技术股份有限公司 | 一种基于可见光通讯的数据加密通讯方法和装置 |
| CN113676314A (zh) * | 2020-05-14 | 2021-11-19 | 科大国盾量子技术股份有限公司 | 量子密钥管理方法、比对方法、输出方法、装置及系统 |
| CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
| CN115567209A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN116233767A (zh) * | 2023-03-20 | 2023-06-06 | 中国联合网络通信集团有限公司 | 集群对讲通信方法、装置、设备及存储介质 |
| CN116340954A (zh) * | 2023-03-24 | 2023-06-27 | 合芯科技有限公司 | 一种数据安全通道建立方法、系统控制处理器和启动固件 |
Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| CN103081396A (zh) * | 2010-08-24 | 2013-05-01 | 三菱电机株式会社 | 通信终端、通信系统、通信方法以及通信程序 |
| CN104065472A (zh) * | 2014-06-25 | 2014-09-24 | 上海协霖电子有限公司 | 电表加密方法 |
| US20150036825A1 (en) * | 2013-08-01 | 2015-02-05 | Kabushiki Kaisha Toshiba | Communication apparatus, computer program product, and communication system |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
| CN104660602A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及系统 |
| CN104767610A (zh) * | 2015-04-23 | 2015-07-08 | 数据堂(北京)科技股份有限公司 | 一种数据加密方法及系统 |
| CN106230585A (zh) * | 2016-07-22 | 2016-12-14 | 安徽皖通邮电股份有限公司 | 一种量子密钥快速同步更新的方法 |
-
2016
- 2016-11-16 CN CN201611036995.2A patent/CN108075890A/zh active Pending
Patent Citations (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN103081396A (zh) * | 2010-08-24 | 2013-05-01 | 三菱电机株式会社 | 通信终端、通信系统、通信方法以及通信程序 |
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| US20150036825A1 (en) * | 2013-08-01 | 2015-02-05 | Kabushiki Kaisha Toshiba | Communication apparatus, computer program product, and communication system |
| CN104065472A (zh) * | 2014-06-25 | 2014-09-24 | 上海协霖电子有限公司 | 电表加密方法 |
| CN104660603A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | IPSec VPN中扩展使用量子密钥的方法及系统 |
| CN104660602A (zh) * | 2015-02-14 | 2015-05-27 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及系统 |
| CN104767610A (zh) * | 2015-04-23 | 2015-07-08 | 数据堂(北京)科技股份有限公司 | 一种数据加密方法及系统 |
| CN106230585A (zh) * | 2016-07-22 | 2016-12-14 | 安徽皖通邮电股份有限公司 | 一种量子密钥快速同步更新的方法 |
Cited By (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110620650A (zh) * | 2018-06-20 | 2019-12-27 | 中国电信股份有限公司 | 通信方法、系统、装置及计算机可读存储介质 |
| CN108923917A (zh) * | 2018-06-28 | 2018-11-30 | 浙江九州量子信息技术股份有限公司 | 一种基于量子通信的虚拟专用网络加密方法 |
| CN108900295A (zh) * | 2018-07-02 | 2018-11-27 | 国网电力信息通信有限公司 | 基于量子密钥加密的数据发送、接收方法、装置及系统 |
| CN108833100A (zh) * | 2018-07-27 | 2018-11-16 | 江苏亨通问天量子信息研究院有限公司 | 信息验证方法、发送端系统、接收端系统及验证端系统 |
| CN108833100B (zh) * | 2018-07-27 | 2021-07-20 | 江苏亨通问天量子信息研究院有限公司 | 信息验证方法、发送端系统、接收端系统及验证端系统 |
| CN109361511A (zh) * | 2018-11-08 | 2019-02-19 | 华为技术有限公司 | 数据传输方法、网络设备及计算机存储介质 |
| WO2020103643A1 (zh) * | 2018-11-23 | 2020-05-28 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN111224772A (zh) * | 2018-11-23 | 2020-06-02 | 中兴通讯股份有限公司 | 数据处理方法、装置及计算机可读存储介质 |
| CN109660329A (zh) * | 2018-12-27 | 2019-04-19 | 安徽继远软件有限公司 | 一种可抵抗外部攻击的两方量子保密比较相等协议 |
| CN109802830A (zh) * | 2019-02-21 | 2019-05-24 | 深圳优仕康通信有限公司 | 一种加密传输方法和量子加密方法 |
| CN109714164A (zh) * | 2019-02-26 | 2019-05-03 | 安徽皖通邮电股份有限公司 | 一种IKEv2协商使用量子密钥的方法 |
| CN109714164B (zh) * | 2019-02-26 | 2021-11-30 | 安徽皖通邮电股份有限公司 | 一种IKEv2协商使用量子密钥的方法 |
| CN110048833A (zh) * | 2019-03-04 | 2019-07-23 | 全球能源互联网研究院有限公司 | 基于量子卫星密钥网络的电力业务加密方法及装置 |
| CN113315626A (zh) * | 2020-02-27 | 2021-08-27 | 阿里巴巴集团控股有限公司 | 一种通信方法、密钥管理方法、设备、系统及存储介质 |
| CN113315626B (zh) * | 2020-02-27 | 2023-01-10 | 阿里巴巴集团控股有限公司 | 一种通信方法、密钥管理方法、设备、系统及存储介质 |
| CN113676314B (zh) * | 2020-05-14 | 2022-07-26 | 科大国盾量子技术股份有限公司 | 量子密钥管理方法、比对方法、输出方法、装置及系统 |
| CN113676314A (zh) * | 2020-05-14 | 2021-11-19 | 科大国盾量子技术股份有限公司 | 量子密钥管理方法、比对方法、输出方法、装置及系统 |
| CN112153583A (zh) * | 2020-09-28 | 2020-12-29 | 中国电子科技集团公司第五十四研究所 | 一种用于加解密服务间的多密钥协商方法 |
| CN112398651A (zh) * | 2021-01-12 | 2021-02-23 | 南京易科腾信息技术有限公司 | 一种量子保密通信方法、装置、电子设备以及存储介质 |
| CN113328801B (zh) * | 2021-05-19 | 2022-03-15 | 郑州信大捷安信息技术股份有限公司 | 一种基于可见光通讯的数据加密通讯方法和装置 |
| CN113328801A (zh) * | 2021-05-19 | 2021-08-31 | 郑州信大捷安信息技术股份有限公司 | 一种基于可见光通讯的数据加密通讯方法和装置 |
| CN113726507A (zh) * | 2021-08-26 | 2021-11-30 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
| CN113726507B (zh) * | 2021-08-26 | 2023-10-27 | 新华三信息安全技术有限公司 | 数据传输方法、系统、装置及存储介质 |
| CN115567209A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN115567209B (zh) * | 2022-09-29 | 2023-09-22 | 中电信量子科技有限公司 | 采用透明代理和量子密钥预充注实现VoIP加解密方法 |
| CN116233767A (zh) * | 2023-03-20 | 2023-06-06 | 中国联合网络通信集团有限公司 | 集群对讲通信方法、装置、设备及存储介质 |
| CN116233767B (zh) * | 2023-03-20 | 2024-04-30 | 中国联合网络通信集团有限公司 | 集群对讲通信方法、装置、设备及存储介质 |
| CN116340954A (zh) * | 2023-03-24 | 2023-06-27 | 合芯科技有限公司 | 一种数据安全通道建立方法、系统控制处理器和启动固件 |
| CN116340954B (zh) * | 2023-03-24 | 2024-01-23 | 合芯科技有限公司 | 一种数据安全通道建立方法、系统控制处理器和启动固件 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
| US10601594B2 (en) | End-to-end service layer authentication | |
| Breiling et al. | Secure communication for the robot operating system | |
| CN107453869B (zh) | 一种实现量子安全的IPSecVPN的方法 | |
| CN103763315B (zh) | 一种应用于移动设备云存储的可信数据存取控制方法 | |
| Bonetto et al. | Secure communication for smart IoT objects: Protocol stacks, use cases and practical examples | |
| CN110719248B (zh) | 用户数据报协议报文的转发方法及装置 | |
| CN106788989B (zh) | 一种建立安全加密信道的方法及设备 | |
| CN104660602A (zh) | 一种量子密钥传输控制方法及系统 | |
| CN101150572B (zh) | 移动节点和通信对端绑定更新的方法及装置 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN104219217A (zh) | 安全关联协商方法、设备和系统 | |
| CN104683359A (zh) | 一种安全通道建立方法及其数据保护方法和安全通道秘钥更新方法 | |
| Bali et al. | Lightweight authentication for MQTT to improve the security of IoT communication | |
| CN101110672A (zh) | 通信系统中建立esp安全联盟的方法和系统 | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN114024698A (zh) | 一种基于国密算法的配电物联网业务安全交互方法及系统 | |
| Cho et al. | Secure open fronthaul interface for 5G networks | |
| US10015208B2 (en) | Single proxies in secure communication using service function chaining | |
| KR20190040443A (ko) | 스마트미터의 보안 세션 생성 장치 및 방법 | |
| CN107135226B (zh) | 基于socks5的传输层代理通信方法 | |
| Pandey et al. | A system and method for authentication in wireless local area networks (wlans) | |
| Gupta et al. | Security mechanisms of Internet of things (IoT) for reliable communication: a comparative review | |
| CN117201200B (zh) | 基于协议栈的数据安全传输方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| RJ01 | Rejection of invention patent application after publication |
Application publication date: 20180525 |
|
| RJ01 | Rejection of invention patent application after publication |