CN114338019A - 基于量子密钥分发的网络通信方法、系统、装置及存储介质 - Google Patents
基于量子密钥分发的网络通信方法、系统、装置及存储介质 Download PDFInfo
- Publication number
- CN114338019A CN114338019A CN202210217949.1A CN202210217949A CN114338019A CN 114338019 A CN114338019 A CN 114338019A CN 202210217949 A CN202210217949 A CN 202210217949A CN 114338019 A CN114338019 A CN 114338019A
- Authority
- CN
- China
- Prior art keywords
- quantum
- gateway
- request
- dynamic port
- terminal agent
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于量子密钥分发的网络通信方法、系统、装置及存储介质,其中,所述方法包括:用户设备上的终端代理向网关发送动态端口请求;网关基于动态端口请求向量子密钥分发服务器发送量子随机数请求;量子密钥分发服务器基于量子随机数请求生成一对量子随机数,并将一个发给终端代理,另一个发给网关,以触发终端代理和网关基于量子随机数确定同一动态端口号;终端代理和网关在动态端口号对应的端口上进行数据通信以获取目标数据资源。本发明所提供的技术方案能够解决现有技术中零信任网络安全防护系统中加密链路容易被破解,且破解后不易被发现,导致资源被持续非法访问,以及网关的对外端口暴露后被攻击导致服务无法访问的技术问题。
Description
技术领域
本发明涉及通信技术领域,尤其涉及一种基于量子密钥分发的网络通信方法、系统、装置及存储介质。
背景技术
在信息安全领域,传统安全模型不能解决更高强度的数据攻击,零信任安全理念逐渐被提出和应用。在零信任架构下,假定人、终端、资源都是不可信的,网络边界不再决定访问权限,在访问之前所有的访问对象都必须经过动态实时的身份认证和授权,每一次资源请求都需要校验和建立信任关系。零信任安全系统基于大量的数据源对网络进行安全监测和信任评估来阻断数据攻击,解决了传统边界安全理念对已经突破边界的攻击行为防护能力有限的问题,提高了对数据攻击的发现和响应能力,但是零信任防护系统中也存在薄弱环节。
目前大多数零信任防护系统中的链路模块采用的是非对称加密算法,随着量子计算机的发展,无论是基于因子分解的RSA加密算法,还是基于椭圆曲线上离散对数的ElGamal加密算法,都可能在短时间内被量子计算机破解,所以,面对超级计算机,现有的加密算法很难保障数据的安全。
首先,零信任网络安全防护系统的网关存在端口被暴露的风险,一旦对外端口被暴露,很容易成为黑客攻击的入口,可能导致服务阻塞,严重时会导致无法进行正常的数据访问,影响网络通信。
其次,现有技术中零信任网络安全防护系统的网络链路安全性较弱,网络链路没有量子秘钥协商的加密过程,随着超级计算机的快速发展,存在网络安全防护系统被超级计算机破解的风险。
最后,当非法访问者对网络资源进行数据攻击时,服务端无法感知加密链路何时被破解,不能及时断开链路,一旦被非法窃取密钥,资源可能持续被非法访问。
综上所述,需要一种能够保障数据安全的零信任网络安全防护系统。
发明内容
本发明提供一种基于量子密钥分发的网络通信方法、系统、装置及存储介质,旨在有效解决现有技术中零信任网络安全防护系统中无法感知加密链路是否被破解,不能及时断开链路,资源可能被持续非法访问,以及网关的对外端口暴露后被攻击导致服务无法访问的技术问题。
根据本发明的一方面,本发明提供一种基于量子密钥分发的网络通信方法,所述方法包括:
运行于用户设备上的终端代理向网关发送动态端口请求;
所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个分发给所述终端代理,另一个分发给所述网关,以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号;
所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
进一步地,所述方法还包括:
在所述终端代理向所述网关发送所述动态端口请求之前,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。
进一步地,所述运行于用户设备上的终端代理向网关发送动态端口请求包括:
所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求,并使用所述公钥加密所述动态端口请求,以及将加密后的动态端口请求发送至所述网关。
进一步地,所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括:
所述网关基于预存的私钥解密所述动态端口请求,并基于解密出的动态端口请求生成所述量子随机数请求,并将所述量子随机数请求发送至所述量子密钥分发服务器。
进一步地,所述方法还包括:
在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前,所述终端代理向所述量子密钥分发服务器发送注册认证请求;
在注册认证成功之后,所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求;
所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥,并将所述量子密钥分发给所述终端代理和所述网关。
进一步地,所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括:
所述终端代理在与所述网关进行数据通信时,每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文,并随后将使用过的量子密钥丢弃。
进一步地,所述方法还包括:
所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常;
在检测出发生异常时,所述安全控制服务器确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过第二阈值;
当一个或多个量子链路的异常次数超过第二阈值时,断开所述一个或多个量子链路。
进一步地,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括:
所述终端代理生成所述用户设备的唯一标识码,并向所述安全控制服务器发送包含所述唯一标识码和用户设备属性信息的所述注册请求。
进一步地,所述方法还包括:
所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息,并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返回所述公钥。
进一步地,所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括:
所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。
进一步地,所述方法还包括:
所述终端代理生成所述用户设备的唯一标识码,并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求;
所述量子密钥分发服务器对接收到的所述唯一标识码和用户设备属性信息进行审核,并在审核通过后将所述注册认证请求中包含的信息存储到本地数据库。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信方法,用于用户设备,其特征在于,所述方法包括:
运行于所述用户设备上的终端代理向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信方法,用于网关,其特征在于,所述方法包括:
接收运行于用户设备上的终端代理所发送的动态端口请求;
基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信方法,用于安全控制服务器,其特征在于,所述方法包括:
接收运行于用户设备上的终端代理所发送的认证请求;
审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常;
在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值;
当一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信装置,用于用户设备,其特征在于,所述装置包括:
动态端口请求单元,用于向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元,用于基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信装置,用于网关,其特征在于,所述装置包括:
量子随机数请求,用于接收运行于用户设备上的终端代理所发送的动态端口请求,并基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元,用于开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
根据本发明的另一方面,本发明还提供了一种基于量子密钥分发的通信装置,用于安全控制服务器,其特征在于,所述装置包括:
认证单元,用于接收运行于用户设备上的终端代理所发送的认证请求,审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
异常检测单元,用于通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常,在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值,并在一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
根据本发明的另一方面,本发明还提供了一种存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如上所述的任一基于量子密钥分发的网络通信方法、系统、装置及存储介质。
通过本发明中的上述实施例中的一个实施例或多个实施例,至少可以实现如下技术效果:
在本发明所公开的技术方案中,通过量子密钥分发服务器向网关和用户设备上的终端代理分发量子密钥,当终端代理对网关进行数据访问时,根据量子密钥确定用于获取目标数据资源的动态端口。由此,首先,通信网络中通过动态端口访问数据可以有效防止零信任网络安全系统因端口暴露被攻击导致的服务不能正常访问的问题。其次,在通信链路中有申请量子秘钥协商的过程,终端代理和网关之间通过量子密钥加密传输数据,可以解决零信任系统中加密容易被破解的问题。最后,基于量子密钥分发服务的网络通信实现了对网络链路的加密,并设置有量子感知引擎,可以及时感知到通信系统的异常情况,防止未知者通过非法访问量子密钥分发服务器窃取量子密钥而导致的数据丢失,保障了网络通信的安全性和可靠性。
附图说明
下面结合附图,通过对本发明的具体实施方式详细描述,将使本发明的技术方案及其它有益效果显而易见。
图1为本发明实施例提供的一种基于量子密钥分发的网络通信方法的步骤流程图;
图2为本发明实施例提供的一种基于量子密钥分发的网络通信系统的技术框架示意图;
图3为本发明提供的用于用户设备的基于量子密钥分发的网络通信方法的流程示意图;
图4为本发明提供的用于网关的基于量子密钥分发的网络通信方法的流程示意图;
图5为本发明提供的用于安全控制服务器的基于量子密钥分发的网络通信方法的流程示意图;
图6为本发明提供的用于用户设备的基于量子密钥分发的网络通信装置的结构示意图;
图7为本发明提供的用于网关的基于量子密钥分发的网络通信装置的结构示意图;
图8为本发明提供的用于安全控制服务器的基于量子密钥分发的网络通信装置的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在本发明的描述中,需要说明的是,除非另有明确的规定和限定,本文中术语“和/或”,仅仅是一种描述关联对象的关联关系,表示可以存在三种关系,例如,A和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。另外,本文中字符“/”,在不做特别说明的情况下,一般表示前后关联对象是一种“或”的关系。
如图1所示,为本发明实施例一所提供的基于量子密钥分发的网络通信方法的步骤流程图,所述基于量子密钥分发的网络通信方法包括:
步骤101:运行于用户设备上的终端代理向网关发送动态端口请求;
步骤102:所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
步骤103:所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个分发给所述终端代理,另一个分发给所述网关,以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号;
步骤104:所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
图2为本发明实施例提供的一种基于量子密钥分发的网络通信系统的技术框架示意图,用户设备上有零信任终端代理(agent),访问主体通过零信任终端代理进行对用户设备的可信认证,终端代理每次访问网关时,网关的端口都是基于量子密钥协商动态生成,防止端口暴露导致数据被攻击。
零信任网络防护系统包括控制中心和网关,控制中心的核心功能是实现对访问请求的授权决策,以及为决策而开展的身份认证、安全检测、可信评估、策略管理、终端安全管理等功能。网关的核心功能则是执行控制中心的决策,以及对访问主体的安全信息进行录入操作,对访问请求进行加密解密、转发、拦截等操作。
量子密钥分发服务器(QKD)的核心功能是提供底层量子密钥生成和分发服务,给终端和网关分发一致的量子密钥。
在步骤101中,运行于用户设备上的终端代理向网关发送动态端口请求。
示例性地,如果网关的端口为固定端口,一旦该固定端口被暴露,网关信息就可能面临数据被盗取的风险,为了保障数据安全,防止因网关端口号暴露而引起的信息被窃取,用户设备和网关进行数据通信时取消用固定端口进行数据传输。每当进行数据访问时通过动态端口进行数据传输,由此,每次的传输端口都是不同的,提高了数据传输的安全性。为了确定动态端口号,在用户设备中有负责信息安全防护的零信任终端代理,终端代理根据用户设备的相关信息向网关发送动态端口请求。
在步骤102中,所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求。
示例性地,当网关收到用户设备发送的动态端口请求以后,向量子密钥分发服务器发送用于获取量子密钥的量子随机数请求,由量子密钥分发服务器生成量子随机数,并像终端代理和网关分发量子随机数。
步骤103:所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个分发给所述终端代理,另一个分发给所述网关,以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号。
示例性地,动态端口需要通过量子随机数来确定,其中,终端代理和网关持有量子随机数是相同的,相同的量子随机数确定出同一个动态端口。量子密钥分发服务器收到量子随机数请求后,根据量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个随机数分发给终端代理,将另一个随机数分发给网关。终端代理和网关相同的量子随机数来确定同一动态端口号。
步骤104:所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
示例性地,为了防止网关端口号暴露引起的信息窃取,用户设备和网关通过动态端口进行网络通信。在终端代理和网关中都存有多个量子密钥,终端代理和网关基于预存的量子密钥确定动态端口号,根据动态端口号确定用于通信的动态端口,当网关开启该动态端口后,用户设备在该动态端口上进行后续的数据通信,以经由网关从数据资源服务器获取目标数据资源。
在本发明所公开的技术方案中,通过量子密钥分发服务器向网关和用户设备上的终端代理分发量子密钥,当终端代理对网关进行数据访问时,根据量子密钥确定用于获取目标数据资源的动态端口。由此,首先,通信网络中通过动态端口访问数据可以有效防止零信任网络安全系统因端口暴露被攻击导致的服务不能正常访问的问题。其次,在通信链路中有申请量子秘钥协商的过程,终端代理和网关之间通过量子密钥加密传输数据,可以解决零信任系统中加密容易被破解的问题。最后,基于量子密钥分发服务的网络通信实现了对网络链路的加密,并设置有量子感知引擎,可以及时感知到通信系统的异常情况,可防止未知者通过非法访问量子密钥分发服务器窃取量子密钥而导致的数据丢失,保障了网络通信的安全性和可靠性。
进一步地,在本发明所公开的技术方案中,所述方法还包括:在所述终端代理向所述网关发送所述动态端口请求之前,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。
示例性地,当通信网络中有新的用户设备加入时,该用户设备上用于数据安全防护的终端代理根据用户设备的相关信息生成注册请求,向网络中的安全控制服务器发送注册请求以进行注册,安全控制服务器对终端代理进行审核,审核通过后注册成功,安全控制服务器确定该终端代理为可信状态,并向终端代理返回服务端公钥。
进一步地,所述运行于用户设备上的终端代理向网关发送动态端口请求包括:所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求,并使用所述公钥加密所述动态端口请求,以及将加密后的动态端口请求发送至所述网关。
示例性地,当终端代理获取到服务端公钥以后,向网关申请数据访问所需的动态端口。具体来说,终端代理根据用户设备的相关信息生成动态端口请求,并根据服务端公钥对动态端口请求进行加密,将其发送到网关。
进一步地,所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括:所述网关基于预存的私钥解密所述动态端口请求,并基于解密出的动态端口请求生成所述量子随机数请求,并将所述量子随机数请求发送至所述量子密钥分发服务器。
示例性地,终端代理通过服务端公钥对动态端口请求进行加密,当网关收到加密的动态端口请求后,需要通过预存的私钥对动态端口请求进行解密,然后根据动态端口请求中的终端代理的相关信息生成量子随机数请求,并将其发送到量子密钥分发服务器以申请量子随机数。
进一步地,所述方法还包括:
在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前,所述终端代理向所述量子密钥分发服务器发送注册认证请求;
在注册认证成功之后,所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求;
所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥,并将所述量子密钥分发给所述终端代理和所述网关。
示例性地,在安全防护方面,终端代理除了和网关建立关联之外,还需要和量子密钥分发服务器建立关联,具体来说,在终端代理向量子密钥分发服务器发送量子密钥请求之前,终端代理需要在量子密钥分发服务器上进行注册认证,通过向量子密钥分发服务器发送注册认证请求来完成注册认证。
零信任网络防护系统假定人、终端、资源都是不可信的,在每次访问之前,都必须对终端代理进行身份认证和访问授权,每当终端代理发送一次加密业务报文时都需要使用一个量子密钥,所以当量子密钥不断减少以后可能会影响网络正常通信,终端代理需要向量子密钥分发服务器申请备用的量子密钥以保障正常的网络通信。具体来说,在注册认证成功之后,终端代理会检测数据库中预存的量子密钥,当量子密钥的数量小于第一阈值时,终端代理向所述量子密钥分发服务器发送量子密钥请求以获取更多的量子密钥。
量子密钥分发服务器收到量子密钥请求后,解析量子密钥请求以生成量子密钥,因为终端代理和网关的量子密钥相同时才能确定同一动态端口,所以当量子密钥分发服务器生成量子密钥后,需要将量子密钥分别发送给终端代理和网关。
进一步地,在步骤104中,所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括:所述终端代理在与所述网关进行数据通信时,每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文,并随后将使用过的量子密钥丢弃。
示例性地,在每次访问之前,网关都必须对终端代理进行身份认证和访问授权,用户设备在与网关进行数据通信时,每当终端代理发送一次数据报文时都需要消耗一个量子密钥,其中,被使用过的量子密钥会被系统删除,在下一次出现数据访问时,则需要使用新的量子密钥。
进一步地,所述方法还包括:
所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常;
在检测出发生异常时,所述安全控制服务器确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过第二阈值;
当一个或多个量子链路的异常次数超过第二阈值时,断开所述一个或多个量子链路。
示例性地,本方案的基于量子密钥分发的网络通信系统中还包括量子感知引擎,防护系统通过网关的服务端感知系统是否被数据攻击,如果出现信息安全问题,则及时处理出现问题的链路,主动断开链路,防止数据资源被持续非法访问而导致数据被窃取。
基于量子力学的基本原理,如果第三方试图使用某种方式测量量子密钥分发服务器来窃听量子密钥时,量子密钥分发服务器可以及时捕捉到异常状态,并将异常信息上传到网关。量子密钥系统有不同于其它密钥系统的优良特质,即如果有第三方试图窃听密码,则通信的双方便会察觉。这种性质基于量子力学的基本原理,任何对量子系统的测量都会对系统产生干扰,第三方试图窃听密码时必须用某种方式测量量子系统,而这些测量就会带来可察觉的异常。通过量子叠加态或量子纠缠态来传输信息,通信系统便可以检测是否存在窃听。
当量子密钥分发服务器检测出链路处于异常状态时,量子密钥分发服务器向网关发送量子感知请求,网关将量子感知请求转发给安全控制服务器。
安全控制服务器通过量子感知引擎实时检测量子密钥分发服务器中的量子链路是否异常,当安全控制服务器收到量子感知请求报文后,及时处理以防止出现数据攻击。
在检测出量子链路发生异常时,安全控制服务器解析出异常的量子链路信息并对异常情况和次数进行记录,根据异常次数是否超过第二阈值来判断该量子链路是否为被攻击的量子链路。
如果在一定时间内一个或多个异常量子链路的报警次数超过预设的第二阈值时,表示该一个或多个链路存在数据攻击的风险,零信任控制中心会及时处理处于异常状态的链路,暂时断开该量子链路,阻断量子传输的通道,管理人员在确认异常访问链路的IP已经加入黑名单并且对应的IP被禁止访问后即可确定风险可控。一旦确定风险可控,管理人员可以再次开启该链路,恢复正常的链路功能。
进一步地,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括:所述终端代理生成所述用户设备的唯一标识码,并向所述安全控制服务器发送包含所述唯一标识码和用户设备属性信息的所述注册请求。
示例性地,终端代理可以为用户设备生成唯一标识码,并收集用户设备的相关信息,用于使安全控制服务器判断终端代理是否处于安全状态。终端代理将唯一标识码和用户设备属性信息加载到注册请求中,将该注册请求发送到安全控制服务器以进行注册。
进一步地,所述方法还包括:所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息,并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返回所述公钥。
示例性地,安全控制服务器接收到注册请求后解析注册请求,根据解析出的唯一标识码和用户设备属性信息对终端信息进行审核,审核通过后即可将用户设备设置为可信状态,同时,安全控制服务器向终端代理返回公钥。
进一步地,所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括:所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。
示例性地,终端代理和网关通过映射函数把量子密钥中的量子随机数转换为网关的动态端口。其中,映射函数可以把量子随机数的字符转换为对应的数值,最后把该数值作为动态端口号。终端代理和网关的转换算法相同,所以终端代理和网关可以通过相同的量子随机数获取到相同的动态端口号。网关的服务端根据动态端口号开启对应的动态端口后,用户设备后续通过此动态端口进行请求访问。
进一步地,所述方法还包括:
所述终端代理生成所述用户设备的唯一标识码,并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求;
所述量子密钥分发服务器对接收到的所述唯一标识码和用户设备属性信息进行审核,并在审核通过后将所述注册认证请求中包含的信息存储到本地数据库。
示例性地,终端代理为用户设备生成终端唯一标识码并收集终端信息,终端代理将唯一标识码和用户设备属性信息装载到注册认证请求中,然后将注册认证请求发送给量子密钥分发服务器进行注册。量子密钥分发服务器根据唯一标识码和用户设备属性信息对终端代理进行审核,审核通过后将用户设备的终端号、终端状态、终端代理类型等相关数据保存到量子密钥分发服务器的数据库中。
如图3所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信方法,用于用户设备,其特征在于,所述方法包括:
步骤301:运行于所述用户设备上的终端代理向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
步骤302:接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
步骤303:基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
如图4所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信方法,用于网关,其特征在于,所述方法包括:
步骤401:接收运行于用户设备上的终端代理所发送的动态端口请求;
步骤402:基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
步骤403:接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
步骤404:开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
如图5所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信方法,用于安全控制服务器,其特征在于,所述方法包括:
步骤501:接收运行于用户设备上的终端代理所发送的认证请求;
步骤502:审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
步骤503:通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常;
步骤504:在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值;
步骤505:当一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
如图6所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信装置,用于用户设备,其特征在于,所述装置包括:
动态端口请求单元601,用于向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元602,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元603,用于基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
如图7所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信装置,用于网关,其特征在于,所述装置包括:
量子随机数请求701,用于接收运行于用户设备上的终端代理所发送的动态端口请求,并基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元702,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元703,用于开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
如图8所示,基于与本发明实施例一种基于量子密钥分发的网络通信方法同样的发明构思,本发明还提供了一种基于量子密钥分发的通信装置,用于安全控制服务器,其特征在于,所述装置包括:
认证单元801,用于接收运行于用户设备上的终端代理所发送的认证请求,审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
异常检测单元802,用于通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常,在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值,并在一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
根据本发明的另一方面,本发明提供一种存储介质,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如上所述的任一基于量子密钥分发的网络通信方法。
综上所述,虽然本发明已以优选实施例揭露如上,但上述优选实施例并非用以限制本发明,本领域的普通技术人员,在不脱离本发明的精神和范围内,均可作各种更动与润饰,因此本发明的保护范围以权利要求界定的范围为准。
Claims (18)
1.一种基于量子密钥分发的网络通信方法,其特征在于,所述方法包括:
运行于用户设备上的终端代理向网关发送动态端口请求;
所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个分发给所述终端代理,另一个分发给所述网关,以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号;
所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
2.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述终端代理向所述网关发送所述动态端口请求之前,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。
3.如权利要求2所述的方法,其特征在于,所述运行于用户设备上的终端代理向网关发送动态端口请求包括:
所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求,并使用所述公钥加密所述动态端口请求,以及将加密后的动态端口请求发送至所述网关。
4.如权利要求1所述的方法,其特征在于,所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括:
所述网关基于预存的私钥解密所述动态端口请求,并基于解密出的动态端口请求生成所述量子随机数请求,并将所述量子随机数请求发送至所述量子密钥分发服务器。
5.如权利要求1所述的方法,其特征在于,所述方法还包括:
在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前,所述终端代理向所述量子密钥分发服务器发送注册认证请求;
在注册认证成功之后,所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求;
所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥,并将所述量子密钥分发给所述终端代理和所述网关。
6.如权利要求5所述的方法,其特征在于,所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括:
所述终端代理在与所述网关进行数据通信时,每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文,并随后将使用过的量子密钥丢弃。
7.如权利要求2所述的方法,其特征在于,所述方法还包括:
所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常;
在检测出发生异常时,所述安全控制服务器确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过第二阈值;
当一个或多个量子链路的异常次数超过第二阈值时,断开所述一个或多个量子链路。
8.如权利要求2所述的方法,其特征在于,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括:
所述终端代理生成所述用户设备的唯一标识码,并向所述安全控制服务器发送包含所述唯一标识码和用户设备属性信息的所述注册请求。
9.如权利要求8所述的方法,其特征在于,所述方法还包括:
所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息,并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返回所述公钥。
10.如权利要求1所述的方法,其特征在于,所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括:
所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。
11.如权利要求5所述的方法,其特征在于,所述方法还包括:
所述终端代理生成所述用户设备的唯一标识码,并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求;
所述量子密钥分发服务器对接收到的所述唯一标识码和用户设备属性信息进行审核,并在审核通过后将所述注册认证请求中包含的信息存储到本地数据库。
12.一种基于量子密钥分发的通信方法,用于用户设备,其特征在于,所述方法包括:
运行于所述用户设备上的终端代理向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
13.一种基于量子密钥分发的通信方法,用于网关,其特征在于,所述方法包括:
接收运行于用户设备上的终端代理所发送的动态端口请求;
基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
14.一种基于量子密钥分发的通信方法,用于安全控制服务器,其特征在于,所述方法包括:
接收运行于用户设备上的终端代理所发送的认证请求;
审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常;
在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值;
当一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
15.一种基于量子密钥分发的通信装置,用于用户设备,其特征在于,所述装置包括:
动态端口请求单元,用于向网关发送动态端口请求,以触发所述网关向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元,用于基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。
16.一种基于量子密钥分发的通信装置,用于网关,其特征在于,所述装置包括:
量子随机数请求,用于接收运行于用户设备上的终端代理所发送的动态端口请求,并基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;
动态端口确定单元,用于接收所述量子密钥分发服务器分发的量子随机数,并基于接收到的所述量子随机数确定动态端口号;
通信单元,用于开启所述动态端口号所指示的动态端口,并在所开启的动态端口上与所述终端代理进行后续的数据通信,以协助所述终端代理从数据资源服务器获取目标数据资源。
17.一种基于量子密钥分发的通信装置,用于安全控制服务器,其特征在于,所述装置包括:
认证单元,用于接收运行于用户设备上的终端代理所发送的认证请求,审核认证请求所包含的所述用户设备的唯一标识码和属性信息,并在审核通过的情况下向所述终端代理返回公钥,以触发所述终端代理建立与网关之间的基于量子密钥和动态端口的数据通信链路;
异常检测单元,用于通过内置的量子感知引擎实时检测分发所述量子密钥的量子密钥分发服务器中的量子链路是否异常,在检测出发生异常时,确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过预设值,并在一个或多个量子链路的异常次数超过所述预设值时,断开所述一个或多个量子链路。
18.一种存储介质,其特征在于,所述存储介质中存储有多条指令,所述指令适于由处理器加载以执行如权利要求12至14中任一项所述的方法。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210217949.1A CN114338019B (zh) | 2022-03-08 | 2022-03-08 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210217949.1A CN114338019B (zh) | 2022-03-08 | 2022-03-08 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN114338019A true CN114338019A (zh) | 2022-04-12 |
| CN114338019B CN114338019B (zh) | 2022-05-17 |
Family
ID=81030738
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210217949.1A Active CN114338019B (zh) | 2022-03-08 | 2022-03-08 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN114338019B (zh) |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001686A (zh) * | 2022-08-02 | 2022-09-02 | 矩阵时光数字科技有限公司 | 一种全域量子安全设备及系统 |
| CN115567210A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现零信任访问的方法及系统 |
| CN115996121A (zh) * | 2023-03-22 | 2023-04-21 | 南京数脉动力信息技术有限公司 | 一种基于volte网络的量子加密的可信视频通信系统和方法 |
| CN117579390A (zh) * | 2024-01-16 | 2024-02-20 | 四川高速公路建设开发集团有限公司 | 一种可变信息情报板安全防护方法、系统及存储介质 |
Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737092A (zh) * | 2018-06-15 | 2018-11-02 | 董绍锋 | 移动终端管理服务器、移动终端、业务云平台和应用系统 |
| CN110138734A (zh) * | 2019-04-10 | 2019-08-16 | 天津大学 | 基于tls协议的对抗中间人攻击的安全增强系统及方法 |
| US20210083864A1 (en) * | 2019-09-12 | 2021-03-18 | General Electric Company | Communication systems and methods |
-
2022
- 2022-03-08 CN CN202210217949.1A patent/CN114338019B/zh active Active
Patent Citations (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108737092A (zh) * | 2018-06-15 | 2018-11-02 | 董绍锋 | 移动终端管理服务器、移动终端、业务云平台和应用系统 |
| CN110138734A (zh) * | 2019-04-10 | 2019-08-16 | 天津大学 | 基于tls协议的对抗中间人攻击的安全增强系统及方法 |
| US20210083864A1 (en) * | 2019-09-12 | 2021-03-18 | General Electric Company | Communication systems and methods |
Cited By (7)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN115001686A (zh) * | 2022-08-02 | 2022-09-02 | 矩阵时光数字科技有限公司 | 一种全域量子安全设备及系统 |
| CN115001686B (zh) * | 2022-08-02 | 2022-11-04 | 矩阵时光数字科技有限公司 | 一种全域量子安全设备及系统 |
| CN115567210A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现零信任访问的方法及系统 |
| CN115996121A (zh) * | 2023-03-22 | 2023-04-21 | 南京数脉动力信息技术有限公司 | 一种基于volte网络的量子加密的可信视频通信系统和方法 |
| CN115996121B (zh) * | 2023-03-22 | 2023-06-20 | 南京数脉动力信息技术有限公司 | 一种基于volte网络的量子加密的可信视频通信系统和方法 |
| CN117579390A (zh) * | 2024-01-16 | 2024-02-20 | 四川高速公路建设开发集团有限公司 | 一种可变信息情报板安全防护方法、系统及存储介质 |
| CN117579390B (zh) * | 2024-01-16 | 2024-04-05 | 四川高速公路建设开发集团有限公司 | 一种可变信息情报板安全防护方法、系统及存储介质 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN114338019B (zh) | 2022-05-17 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN114338019B (zh) | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 | |
| JP5860815B2 (ja) | コンピューターポリシーを施行するためのシステムおよび方法 | |
| US7752320B2 (en) | Method and apparatus for content based authentication for network access | |
| CN107579991B (zh) | 一种对客户端进行云端防护认证的方法、服务器和客户端 | |
| US20210352101A1 (en) | Algorithmic packet-based defense against distributed denial of service | |
| CN114629719B (zh) | 资源访问控制方法和资源访问控制系统 | |
| CN113626802B (zh) | 一种设备密码的登录验证系统及方法 | |
| CN113872944A (zh) | 一种面向区块链的零信任安全架构及其集群部署框架 | |
| CN112671735B (zh) | 一种基于区块链和重加密的数据加密分享系统及方法 | |
| CN104243452B (zh) | 一种云计算访问控制方法及系统 | |
| CN108900595B (zh) | 访问云存储服务器数据的方法、装置、设备及计算介质 | |
| CN117155716B (zh) | 访问校验方法和装置、存储介质及电子设备 | |
| CN110035035B (zh) | 一种单点登录的二次认证方法及系统 | |
| CN107888548A (zh) | 一种信息验证方法及装置 | |
| CN111611620B (zh) | 一种访问平台的访问请求处理方法及相关装置 | |
| KR20130085473A (ko) | 클라우드 컴퓨팅 서비스 침입 탐지 시스템의 암호화 시스템 | |
| CN116192497B (zh) | 一种基于零信任体系的网络准入和用户认证的安全交互方法 | |
| CN117081815A (zh) | 数据安全传输的方法、装置、计算机设备及存储介质 | |
| CN109587134B (zh) | 接口总线的安全认证的方法、装置、设备和介质 | |
| CN114466353A (zh) | App用户ID信息保护的装置、方法、电子设备及存储介质 | |
| CN111669746B (zh) | 一种用于物联网信息安全的防护系统 | |
| AU2021106427A4 (en) | System and Method for achieving cyber security of Internet of Things (IoT) devices using embedded recognition token | |
| CN114257437B (zh) | 远程访问方法、装置、计算设备及存储介质 | |
| Jabbari et al. | A Privacy-Preserving Surveillance Video Sharing Scheme: Storage, Authentication, and Joint Retrieval | |
| TEKDOĞAN et al. | Prevention Techniques for SSL Hacking Threats to E-Government Services. |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| EE01 | Entry into force of recordation of patent licensing contract |
Application publication date: 20220412 Assignee: Suzhou Heyu Finance Leasing Co.,Ltd. Assignor: Nanjing yiketeng Information Technology Co.,Ltd. Contract record no.: X2022320010029 Denomination of invention: Network communication method, system, device and storage medium based on quantum key distribution Granted publication date: 20220517 License type: Exclusive License Record date: 20221209 |
|
| EE01 | Entry into force of recordation of patent licensing contract | ||
| PE01 | Entry into force of the registration of the contract for pledge of patent right |
Denomination of invention: Network communication method, system, device and storage medium based on quantum key distribution Effective date of registration: 20221210 Granted publication date: 20220517 Pledgee: Suzhou Heyu Finance Leasing Co.,Ltd. Pledgor: Nanjing yiketeng Information Technology Co.,Ltd. Registration number: Y2022320010788 |
|
| PE01 | Entry into force of the registration of the contract for pledge of patent right |