CN115567192A - 采用量子密钥分发实现组播数据透明加解密方法及系统 - Google Patents
采用量子密钥分发实现组播数据透明加解密方法及系统 Download PDFInfo
- Publication number
- CN115567192A CN115567192A CN202211198406.6A CN202211198406A CN115567192A CN 115567192 A CN115567192 A CN 115567192A CN 202211198406 A CN202211198406 A CN 202211198406A CN 115567192 A CN115567192 A CN 115567192A
- Authority
- CN
- China
- Prior art keywords
- multicast
- key
- message
- address
- encryption
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/06—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
- H04L9/0643—Hash functions, e.g. MD5, SHA, HMAC or f9 MAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/02—Details
- H04L12/16—Arrangements for providing special services to substations
- H04L12/18—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast
- H04L12/185—Arrangements for providing special services to substations for broadcast or conference, e.g. multicast with management of multicast group membership
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种采用量子密钥分发实现组播数据透明加解密方法及系统,包括从连接内网的网络接口接收出站的组播数据报文,并根据该组播数据报文的组播IP地址匹配流表项;匹配成功则采用所匹配流表项对组播数据报文进行不变长度的透明加密处理,得到出站加密报文;匹配不成功则基于组播数据报文的组播IP地址及对应的主密钥,生成会话密钥请求消息并发送至管控平台,以使管控平台从预先配置的安全策略表中读取组播数据报文对应的安全属性信息,并生成会话密钥分发消息;接收会话密钥分发消息,新建流表项,并基于新建流表项对组播数据报文进行透明加密处理,得到出站加密报文;从连接外网的网络接口发送出站加密报文至接收方进行透明解密处理。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用量子密钥分发实现组播数据透明加解密方法及系统。
背景技术
目前,对于音视频等组播业务在组播节点之间的网络传输过程中的数据加密问题,由于密钥分发复杂度高,得到成功应用的案例较少,很多情况下往往转化为多个单播数据流的加密问题,而且由于不能实现透明加解密而加入的相关报文头,导致网络带宽的较大浪费和数据处理复杂度的增加,对组播组成员的控制也比较弱,常用的IGMP协议自身缺乏认证控制机制。
相关技术中,公布号为CN112653551A的中国发明专利文献记载了一种分层结构多播量子密钥分配的方法,该方法包括:对多播组的发送方和接受方进行初步的连接所必须的初始化的过程。密钥的生成,第一个密钥是组密钥,由QMKDC生成用于加密QMKDC和多播组之间的通信,第二个密钥是共享对称密钥,用于多播组成员内的加密/解密通信,也可以在多播组中的所有成员之间共享。组密钥分发,通过随机选择一个位串并使用每个多播组的私有密钥进行加密而生成的。每个多播组将通过解密接收到的消息来检索组密钥。通过组共享密钥加密消息,接收机使用相同密钥解密它,实现同多播组成员的通信。
该方案该用于加密通信的组密钥采用公钥加密/私钥解密的非对称体制,私钥在组内共享并通过量子私有链路传送,用于保护组密钥的公私钥长期使用。
公布号为CN106161015A的中国发明专利文献记载了一种基于DPI的量子秘钥分发方法,该系统的DPI分析模块对网络数据流进行应用层分析,识别出各种应用的业务类型并提交给加密策略选择模块;加密策略选择模块对不同安全级别的业务进行按照优先级的量子密钥加密或者传统密钥加密或者选择透明传输;网络透传或传统密钥加密模块进行无加密的透明传输或基于算法安全的传统加密算法进行加密;量子密钥加密模块进行量子加密传输。该方法实现对网络核心业务流量的区分和鉴别,对不同业务流量进行分级加密,依据加密策略选择量子密钥分发加密或传统加密方式,实现了网络的核心业务流量的量子保密通信,并兼顾了网络业务的传输效率。
该方案对不同应用分别采用量子加密和传统加密方式,其量子加密方式主要是通过量子链路获取会话密钥。
发明内容
本发明所要解决的技术问题在于如何实现组播数据报文的透明加解密。
本发明通过以下技术手段实现解决上述技术问题的:
本发明提出了一种采用量子密钥分发实现组播数据透明加解密方法,所述方法应用于加密网关,所述加密网关内设置有至少一个主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域,包括以下步骤:
从连接内网的网络接口接收出站的组播数据报文,并根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
若匹配成功,则采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
若匹配不成功,则基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;
将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
本发明为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,采用集中在线分发组播会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发方法,实现对组播加密通信密钥的可管可控;通过匹配流表项对组播数据报文进行透明加解密,即不增加任何额外数据和业务数据流量,没有新增报文头,具备良好的网络适应性。
进一步地,所述若匹配不成功,则基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息,包括:
若匹配不成功,缓存所述组播数据报文,并从所述组播数据报文中提取组播IP地址;
从与所述组播IP地址对应的所述主密钥池中随机选取主密钥ID标识;
基于所述主密钥ID标识、所述组播IP地址和该组播IP地址对应的安全域ID标识,生成所述会话密钥请求消息。
进一步地,所述方法还包括:
基于所述主密钥ID标识选取对应的主密钥;
使用所述主密钥对所述会话密钥请求消息中的地址信息做加密处理,得到加密消息;
对所述加密消息做HMAC运算,得到加密校验后的会话密钥请求信息并发送至所述管控平台。
进一步地,所述方法还包括:
若不存在与所述组播IP地址对应的所述主密钥池,则丢弃所述组播数据报文。
进一步地,所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息,包括:
根据所述安全域ID标识和所述主密钥ID标识,从量子密钥分发网络中获取对应的主密钥用于解密和校验所述加密校验后的会话密钥请求信息;
在解密和校验成功后,基于所述组播IP地址和所述安全域ID标识,从所述量子密钥分发网络获取会话密钥;
从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性信息,所述安全属性信息包括偏移量和加密模式;
基于所述会话密钥、所述组播IP地址、所述安全属性信息、所述安全域ID标识和该安全域内随机选取的主密钥ID标识,生成所述会话密钥分发消息。
进一步地,所述方法还包括:
所述管控平台从所述量子密钥分发网络中对应的主密钥池中取出主密钥,并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加密,得到加密后的会话密钥分发消息;
对加密后的会话密钥分发消息做HMAC运算,得到加密校验后的会话密钥分发消息。
进一步地,所述接收所述会话密钥分发消息,新建流表项,包括:
将所述组播IP地址和所述安全域ID标识进行匹配;
在匹配通过后,基于所述组播IP地址、所述安全属性信息和所述会话密钥,新建流表项。
进一步地,所述方法还包括:
从所述安全域ID标识对应的主密钥池中取出主密钥,并利用该主密钥对所述加密校验后的会话密钥分发消息进行解密和校验,得到所述会话密钥分发消息。
进一步地,所述方法还包括:
向所述管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥。
进一步地,所述方法还包括:
为所述流表项中的每个表项建立超时时间;
在临近超时时间未被访问时,则向所述管控平台发送会话密钥更新请求。
此外,本发明还提出了一种采用量子密钥分发实现组播数据透明加解密网关,所述网关包括数据加解密处理模块、流表管理模块、密钥更新模块、密钥注入模块和至少一个主密钥池,所述密钥注入模块的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
此外,本发明还提出了一种采用量子密钥分发实现组播数据透明加解密系统,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、流表管理模块、密钥更新模块、密钥注入模块和至少一个主密钥池,所述密钥注入模块的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述管控平台,用于进行安全域划分,以及所述第一加密网关和所述第二加密网关的注册和身份绑定服务,以及向所述第一加密网关和第二加密网关分发会话密钥和安全策略;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
本发明的优点在于:
(1)本发明为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,采用集中在线分发组播会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发方法,实现对组播加密通信密钥的可管可控;通过匹配流表项对组播数据报文进行透明加解密,即不增加任何额外数据和业务数据流量,没有新增报文头,具备良好的网络适应性。
(2)由管控平台建立由组播IP地址及偏移量、加密算法、会话密钥等元素构成的安全策略,在主密钥一次一密的保护下进行组播会话密钥的全域(组播组)更新,实现了软件定义方式的组播透明加密通信,具有很高的安全性和灵活性,而且实现了集中管控。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例中采用量子密钥分发实现组播数据透明加解密方法的流程示意图;
图2是本发明第二实施例中采用量子密钥分发实现组播数据透明加解密网关的结构示意图;
图3是本发明第三实施例中采用量子密钥分发实现组播数据透明加解密系统的结构示意图;
图4是本发明中采用量子密钥分发实现组播数据透明加解密系统的流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
本发明提出了一种采用量子密钥分发实现组播数据透明加解密方法,所述方法应用于加密网关,所述加密网关内设置有至少一个主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域,包括以下步骤:
S101、从连接内网的网络接口接收出站的组播数据报文,并根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥,在匹配成功时执行步骤S102,在匹配未成功时执行步骤S103;
S102、采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
需要说明的是,在流表项匹配成功时,采用会话密钥对整个数据报文偏移量后的部分进行不变长度的透明加密处理,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分)。
S103、基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;
S104、将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
S105、接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
S106、从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,采用集中在线分发组播会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发方法,实现对组播加密通信密钥的可管可控;通过匹配流表项对组播数据报文进行透明加解密,即不增加任何额外数据和业务数据流量,没有新增报文头,具备良好的网络适应性。
需要说明的是,与公开号为CN112653551A的中国发明专利记载的方案相比,本发明实施例完全基于对称密码体制,用于加密通信的组密钥采用一次一密的方式用预存的对称密钥保护,预存的密钥保护密钥即主密钥离线大容量充注,网关和管控平台之间通信信道均为公开信道,无需私有链路;密钥分发是基于流表按需申请和分发,该专利是基于策略进行主动分发。
与公开号CN106161015A的中国发明专利文献记载的方案相比,本发明实施例中会话密钥在线分发方式是利用大量预存密钥实现一次一密的分发,无需特殊信道;密钥分发是基于流表按需申请和分发,而不是基于策略进行主动分发。
在一实施例中,所述步骤S103:基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息,包括以下步骤:
存所述组播数据报文,并从所述组播数据报文中提取组播IP地址;
从与所述组播IP地址对应的所述主密钥池中随机选取主密钥ID标识;
基于所述主密钥ID标识、所述组播IP地址和该组播IP地址对应的安全域ID标识,生成所述会话密钥请求消息。
在一实施例中,所述方法还包括以下步骤:
基于所述主密钥ID标识选取对应的主密钥;
使用所述主密钥对所述会话密钥请求消息中的地址信息做加密处理,得到加密消息;
对所述加密消息做HMAC运算,得到加密校验后的会话密钥请求信息并发送至所述管控平台。
在一实施例中,所述方法还包括以下步骤:
若不存在与所述组播IP地址对应的所述主密钥池,则丢弃所述组播数据报文。
在一实施例中,所述步骤S104中,所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息,包括以下步骤:
根据所述安全域ID标识和所述主密钥ID标识,从量子密钥分发网络中获取对应的主密钥用于解密和校验所述加密校验后的会话密钥请求信息;
在解密和校验成功后,基于所述组播IP地址和所述安全域ID标识,从所述量子密钥分发网络获取会话密钥;
从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性信息,所述安全属性信息包括偏移量和加密模式;
基于所述会话密钥、所述组播IP地址、所述安全属性信息、所述安全域ID标识和该安全域内随机选取的主密钥ID标识,生成所述会话密钥分发消息。
在一实施例中,所述方法还包括:
所述管控平台从所述量子密钥分发网络中对应的主密钥池中取出主密钥,并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加密,得到加密后的会话密钥分发消息;
对加密后的会话密钥分发消息做HMAC运算,得到加密校验后的会话密钥分发消息。
本实施例中,管控平台在接收到会话密钥请求消息后,基于安全域ID和主密钥ID从量子密钥分发网络QKD中获取主密钥解密消息并作完整性验证,若验证未通过则终止本次会话,在验证通过后,将组播IP与域ID进行匹配,从QKD获取会话密钥;从预先配置的安全策略表中读取该组播组IP地址对应的加密算法和偏移量等安全属性信息,并将会话密钥+组播IP+安全属性信息+随机选取的域内主密钥ID+域ID构成会话密钥分发消息。然后从对应安全域内的主密钥池取出主密钥ID对应的主密钥,对该消息中的会话密钥、安全属性信息和组播IP进行加密,整个消息进行HMAC,然后向安全域(组播组)内所有加密网关设备节点发送该会话密钥分发消息。
在一实施例中,所述步骤S105中,接收所述会话密钥分发消息,新建流表项,包括以下步骤:
将所述组播IP地址和所述安全域ID标识进行匹配;
在匹配通过后,基于所述组播IP地址、所述安全属性信息和所述会话密钥,新建流表项。
应当理解的是,若匹配未通过,则终止本次会话。
在一实施例中,所述方法还包括以下步骤:
从所述安全域ID标识对应的主密钥池中取出主密钥,并利用该主密钥对所述加密校验后的会话密钥分发消息进行解密和校验,得到所述会话密钥分发消息。
在一实施例中,所述方法还包括以下步骤:
向所述管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,使用量子密钥分发网络结合安全策略管控中心集中统一分发组播组(安全域)内各加密网关加密组播数据流使用的会话密钥,并关联安全策略来解决网络组播数据加密通信问题。
在一实施例中,所述方法还包括以下步骤:
为所述流表项中的每个表项建立超时时间;
在临近超时时间未被访问时,则向所述管控平台发送会话密钥更新请求。
需要说明的是,会话密钥更新的步骤与步骤S103~S105相同,该处不再赘述。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,为流表项建立由目的(组播)IP地址及偏移量、加密算法、会话密钥等元素构成的安全策略,在主密钥一次一密的保护下进行组播会话密钥的全域(组播组)更新,实现了软件定义方式的组播透明加密通信,具有很高的安全性和灵活性,而且实现了集中管控。
实施例2
如图2所示,本发明第二实施例提出了一种采用量子密钥分发实现组播数据透明加解密网关,所述网关包括数据加解密处理模块11、流表管理模块13、密钥更新模块14、密钥注入模块12和至少一个主密钥池,所述密钥注入模块12的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块14的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块13,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块11,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块14,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台3,以使所述管控平台3从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块13,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块11,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,采用集中在线分发组播会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发方法,实现对组播加密通信密钥的可管可控;通过匹配流表项对组播数据报文进行透明加解密,即不增加任何额外数据和业务数据流量,没有新增报文头,具备良好的网络适应性。
在一实施例中,所述密钥更新模块14包括会话密钥请求消息生成单元,具体用于执行如下步骤:
存所述组播数据报文,并从所述组播数据报文中提取组播IP地址;
从与所述组播IP地址对应的所述主密钥池中随机选取主密钥ID标识;
基于所述主密钥ID标识、所述组播IP地址和该组播IP地址对应的安全域ID标识,生成所述会话密钥请求消息。
在一实施例中,所述密钥更新模块14还包括请求消息加密单元,具体用于执行如下步骤:
基于所述主密钥ID标识选取对应的主密钥;
使用所述主密钥对所述会话密钥请求消息中的地址信息做加密处理,得到加密消息;
对所述加密消息做HMAC运算,得到加密校验后的会话密钥请求信息并发送至所述管控平台3。
在一实施例中,所述管控平台3包括:
第一解密校验模块,用于根据所述安全域ID标识和所述主密钥ID标识,从量子密钥分发网络4中获取对应的主密钥用于解密和校验所述加密校验后的会话密钥请求信息;
会话密钥获取模块,用于在解密和校验成功后,基于所述组播IP地址和所述安全域ID标识,从所述量子密钥分发网络4获取会话密钥;
安全属性信息读取模块,用于从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性信息,所述安全属性信息包括偏移量和加密模式;
会话密钥分发消息生成模块,用于基于所述会话密钥、所述组播IP地址、所述安全属性信息、所述安全域ID标识和该安全域内随机选取的主密钥ID标识,生成所述会话密钥分发消息。
在一实施例中,所述管控平台3还包括会话密钥分发消息加密模块,具体用于执行如下步骤:
从所述量子密钥分发网络4中对应的主密钥池中取出主密钥,并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加密,得到加密后的会话密钥分发消息;
对加密后的会话密钥分发消息做HMAC运算,得到加密校验后的会话密钥分发消息。
本实施例中,管控平台3在接收到会话密钥请求消息后,基于安全域ID和主密钥ID从量子密钥分发网络4QKD中获取主密钥解密消息并作完整性验证,若验证未通过则终止本次会话,在验证通过后,将组播IP与域ID进行匹配,从QKD获取会话密钥;从预先配置的安全策略表中读取该组播组IP地址对应的加密算法和偏移量等安全属性信息,并将会话密钥+组播IP+安全属性信息+随机选取的域内主密钥ID+域ID构成会话密钥分发消息。然后从对应安全域内的主密钥池取出主密钥ID对应的主密钥,对该消息中的会话密钥、安全属性信息和组播IP进行加密,整个消息进行HMAC,然后向安全域(组播组)内所有加密网关设备节点发送该会话密钥分发消息。
在一实施例中,所述流表管理模块13,具体用于执行以下步骤:
将所述组播IP地址和所述安全域ID标识进行匹配;
在匹配通过后,基于所述组播IP地址、所述安全属性信息和所述会话密钥,新建流表项。
应当理解的是,若匹配未通过,则终止本次会话。
在一实施例中,所述加密网关还包括:
第二解密校验模块,用于从所述安全域ID标识对应的主密钥池中取出主密钥,并利用该主密钥对所述加密校验后的会话密钥分发消息进行解密和校验,得到所述会话密钥分发消息。
在一实施例中,所述加密网关还包括:
注册模块,用于向所述管控平台3发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
密钥注入请求模块,用于向量子密钥分发网络4发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,使用量子密钥分发网络4结合安全策略管控中心集中统一分发组播组(安全域)内各加密网关加密组播数据流使用的会话密钥,并关联安全策略来解决网络组播数据加密通信问题。
在一实施例中,所述密钥更新模块14还用于:
为所述流表项中的每个表项建立超时时间;
在临近超时时间未被访问时,则向所述管控平台3发送会话密钥更新请求。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,为流表项建立由目的(组播)IP地址及偏移量、加密算法、会话密钥等元素构成的安全策略,在主密钥一次一密的保护下进行组播会话密钥的全域(组播组)更新,实现了软件定义方式的组播透明加密通信,具有很高的安全性和灵活性,而且实现了集中管控。
需要说明的是,本发明所述采用量子密钥分发实现组播数据透明加解密网关的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例3
如图3所示,本发明第三实施例提出了一种采用量子密钥分发实现组播数据透明加解密系统,所述系统包括第一加密网关1、第二加密网关2、管控平台3和量子密钥分发网络4,所述第一加密网关1、所述第二加密网关2和所述量子密钥分发网络4均与管控平台3连接,所述第一加密网关1和所述第二加密网关2均与所述量子密钥分发网络4连接,其中,所述第一加密网关1和所述第二加密网关2均包括数据加解密处理模块11、流表管理模块13、密钥更新模块14、密钥注入模块12和至少一个主密钥池,所述密钥注入模块12的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块14的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述管控平台3,用于进行安全域划分,以及所述第一加密网关1和所述第二加密网关2的注册和身份绑定服务,以及向所述第一加密网关1和第二加密网关2分发会话密钥和安全策略;
所述量子密钥分发网络4,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块13,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块11,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块14,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台3,以使所述管控平台3从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块13,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块11,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,基于目的IP即组播IP地址建立流表,采用集中在线分发组播会话密钥的方式,并和细粒度安全策略相结合,实现软件定义量子密钥分发方法,实现对组播加密通信密钥的可管可控;通过匹配流表项对组播数据报文进行透明加解密,即不增加任何额外数据和业务数据流量,没有新增报文头,具备良好的网络适应性。
具体到本实施例中,加密网关:用于对通过网络传输的组播数据进行透明加解密处理,由数据加解密处理、流表管理、密钥更新、密钥注入等功能模块构成;
管控平台3:用于提供加密网关、密钥代理、量子网络节点的对应关系,进行组播安全域划分,提供加密网关的注册和身份绑定服务,维护流表及安全策略,并直接向加密网关分发会话密钥及安全策略;
密钥代理:用于在加密网关不能直接在量子密钥分发网络4的节点进行密钥充注的情况下提供密钥充注的代理功能,并在加密通信网络不能直接连接量子密钥分发网络4的情况下提供密钥分发的代理功能;
量子密钥分发网络4:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点:用于存储生成的量子密钥,接收密钥代理或管控平台3的密钥申请,向密钥代理或管控平台3提供密钥或直接提供密钥充注服务;
量子网络链路控制中心:用于按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
需要说明的是,本实施例中采用的量子密钥分发设备基于但并不限于QKD密钥分发网络,所涉及的密钥预充注和在线密钥分发功能可采用任何一种对称密钥管理系统及设备实现。
在一实施例中,所述所述管控平台3包括:
第一解密校验模块,用于根据所述安全域ID标识和所述主密钥ID标识,从量子密钥分发网络4中获取对应的主密钥用于解密和校验所述加密校验后的会话密钥请求信息;
会话密钥获取模块,用于在解密和校验成功后,基于所述组播IP地址和所述安全域ID标识,从所述量子密钥分发网络4获取会话密钥;
安全属性信息读取模块,用于从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性信息,所述安全属性信息包括偏移量和加密模式;
会话密钥分发消息生成模块,用于基于所述会话密钥、所述组播IP地址、所述安全属性信息、所述安全域ID标识和该安全域内随机选取的主密钥ID标识,生成所述会话密钥分发消息。
在一实施例中,所述管控平台3还包括会话密钥分发消息加密模块,具体用于执行如下步骤:
从所述量子密钥分发网络4中对应的主密钥池中取出主密钥,并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加密,得到加密后的会话密钥分发消息;
对加密后的会话密钥分发消息做HMAC运算,得到加密校验后的会话密钥分发消息。
如图4所示,本实施例提出的采用量子密钥分发实现组播数据透明加解密系统的工作流程如下:
(1)管控平台划定安全域,每一个组播地址对应一个安全域,一台加密网关设备可以注册多个安全域,即加入多个组播组。通过量子密钥分发网络QKD,使用安全TF卡或安全U盾等大容量安全存储介质,向安全域即组播组内各加密网关设备节点所连接的安全存储介质中预充注大量的主密钥,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,域ID直接对应组播IP地址;加入多个安全域即组播组的加密网关设备需使用多个不同的存储介质进行多次充注,每次充注对应一个安全域;
其中,密钥格式为4字节域ID+4字节密钥ID+n字节密钥和n字节初始化向量,n的具体取值与加密算法相关。
(2)安全域内的加密网关设备节点通过其连接的安全存储介质获取主密钥,建立主密钥池。
若加入多个安全域即组播组的加密网关设备需建立多个主密钥池,使用多个不同的存储介质进行密钥注入,每次注入对应一个主密钥池和安全域(组播组),主密钥池使用域ID即组播IP地址区分。
(3)加密网关设备节点对出站的组播数据报文按照其目的IP即组播IP地址匹配流表项,流表项由组播IP地址及偏移量、加密算法、会话密钥等元素构成,匹配成功则采用该会话密钥对整个数据报文偏移量后的部分进行不变长度的透明加密处理,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分)。
(4)上一步骤(3)中若未匹配成功流表项,则缓存组播数据报文,并提取其组播IP地址,从组播IP地址对应的主密钥池中随机选取主密钥ID,基于组播IP地址+主密钥ID+安全域ID构成会话密钥请求消息;然后从主密钥池中取出主密钥ID对应的主密钥,对会话密钥请求消息中的地址信息加密并对整个消息作HMAC运算,然后发往管控平台。
需要说明的是,如果组播IP地址对应的主密钥池不存在则丢弃该组播数据报文。
(5)管控平台收到会话密钥请求消息后,根据安全域ID+主密钥ID从量子密钥分发网络QKD获取主密钥解密消息并作完整性验证,并将组播IP与安全域ID进行匹配,从QKD获取会话密钥,从预先配置的安全策略表中读取该组播组对应的加密算法和偏移量等安全属性信息,并将会话密钥+组播IP+安全属性信息+随机选取的域内主密钥ID+域ID构成会话密钥分发消息;然后从对应安全域内的主密钥池取出主密钥ID对应的主密钥,对该消息中的会话密钥、安全属性信息和组播IP进行加密,整个消息进行HMAC,然后向域(组播组)内所有加密网关设备节点发送该会话密钥分发消息。
(6)加密网关设备节点接到会话密钥分发消息后,从安全域ID对应的主密钥池中取出主密钥ID对应的主密钥,解密消息并作完整性验证,并将组播IP与安全域ID进行匹配,匹配通过后基于组播IP地址、安全属性信息和会话密钥新建流表项,根据流表项信息对匹配该新建流表的数据流进行如步骤(3)的透明加解密。
(7)作为接收方的加密网关设备节点对入站的数据报文按照其组播IP地址匹配流表项,取出命中流表项的会话密钥解密数据报文,如无命中的流表项则丢弃该组播数据报文。
进一步地,加密网关设备上的数据流表中的每个表项均建立超时时间,临近超时时间之时发起会话密钥更新操作,操作过程与步骤(4)~(6)相同。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,使用量子密钥分发网络结合安全策略管控中心集中统一分发组播组(安全域)内各加密网关加密组播数据流使用的会话密钥,并关联安全策略来解决网络组播数据加密通信问题。与基于公钥密码进行密钥协商的技术不同,提供了一种不基于公钥密码技术并可一流一密集中统一分发组播组内会话密钥的组播通信透明加解密方法,实现了网络组播数据加密通信的集中统一强管控和低开销。解决了加密网关不直接交互密钥和安全策略信息情况下的音视频等组播业务安全互通问题,可显著减少组播加密通信涉及到的密钥管理的相关交互信息和复杂度,规避了组密钥管理的复杂性以及对数据报文结构的修改,增强了网络适应性。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (12)
1.一种采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法应用于加密网关,所述加密网关内设置有至少一个主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域,包括以下步骤:
从连接内网的网络接口接收出站的组播数据报文,并根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
若匹配成功,则采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
若匹配不成功,则基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;
将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
2.如权利要求1所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述若匹配不成功,则基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息,包括:
若匹配不成功,缓存所述组播数据报文,并从所述组播数据报文中提取组播IP地址;
从与所述组播IP地址对应的所述主密钥池中随机选取主密钥ID标识;
基于所述主密钥ID标识、所述组播IP地址和该组播IP地址对应的安全域ID标识,生成所述会话密钥请求消息。
3.如权利要求2所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
基于所述主密钥ID标识选取对应的主密钥;
使用所述主密钥对所述会话密钥请求消息中的地址信息做加密处理,得到加密消息;
对所述加密消息做HMAC运算,得到加密校验后的会话密钥请求信息并发送至所述管控平台。
4.如权利要求2所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
若不存在与所述组播IP地址对应的所述主密钥池,则丢弃所述组播数据报文。
5.如权利要求3所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息,包括:
根据所述安全域ID标识和所述主密钥ID标识,从量子密钥分发网络中获取对应的主密钥用于解密和校验所述加密校验后的会话密钥请求信息;
在解密和校验成功后,基于所述组播IP地址和所述安全域ID标识,从所述量子密钥分发网络获取会话密钥;
从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性信息,所述安全属性信息包括偏移量和加密模式;
基于所述会话密钥、所述组播IP地址、所述安全属性信息、所述安全域ID标识和该安全域内随机选取的主密钥ID标识,生成所述会话密钥分发消息。
6.如权利要求5所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
所述管控平台从所述量子密钥分发网络中对应的主密钥池中取出主密钥,并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加密,得到加密后的会话密钥分发消息;
对加密后的会话密钥分发消息做HMAC运算,得到加密校验后的会话密钥分发消息。
7.如权利要求5所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述接收所述会话密钥分发消息,新建流表项,包括:
将所述组播IP地址和所述安全域ID标识进行匹配;
在匹配通过后,基于所述组播IP地址、所述安全属性信息和所述会话密钥,新建流表项。
8.如权利要求6所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
从所述安全域ID标识对应的主密钥池中取出主密钥,并利用该主密钥对所述加密校验后的会话密钥分发消息进行解密和校验,得到所述会话密钥分发消息。
9.如权利要求1所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
向所述管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥。
10.如权利要求1所述的采用量子密钥分发实现组播数据透明加解密方法,其特征在于,所述方法还包括:
为所述流表项中的每个表项建立超时时间;
在临近超时时间未被访问时,则向所述管控平台发送会话密钥更新请求。
11.一种采用量子密钥分发实现组播数据透明加解密网关,其特征在于,所述网关包括数据加解密处理模块、流表管理模块、密钥更新模块、密钥注入模块和至少一个主密钥池,所述密钥注入模块的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
12.一种采用量子密钥分发实现组播数据透明加解密系统,其特征在于,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、流表管理模块、密钥更新模块、密钥注入模块和至少一个主密钥池,所述密钥注入模块的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池,所述密钥更新模块的输出端连接所述主密钥池,每个所述主密钥池中存储同一组播组对应的主密钥,每一所述组播组的组播IP地址对应一个安全域;
所述管控平台,用于进行安全域划分,以及所述第一加密网关和所述第二加密网关的注册和身份绑定服务,以及向所述第一加密网关和第二加密网关分发会话密钥和安全策略;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文;
所述流表管理模块,用于根据该组播数据报文的组播IP地址匹配流表项,所述流表项中信息包括组播IP地址、安全属性信息以及会话密钥;
所述数据加解密处理模块,用于在匹配成功时,采用所匹配流表项中的会话密钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理,得到出站加密报文;
所述密钥更新模块,用于在匹配不成功时,基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密钥,生成会话密钥请求消息;并将所述会话密钥请求消息发送至管控平台,以使所述管控平台从预先配置的安全策略表中读取所述组播数据报文对应的安全属性信息,并生成会话密钥分发消息;
所述流表管理模块,用于接收所述会话密钥分发消息,新建流表项,并基于新建流表项对所述组播数据报文进行透明加密处理,得到所述出站加密报文;
所述数据加解密处理模块,用于从连接外网的网络接口发送所述出站加密报文至接收方,以使所述接收方对所述出站加密报文进行透明解密处理。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198406.6A CN115567192A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现组播数据透明加解密方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198406.6A CN115567192A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现组播数据透明加解密方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115567192A true CN115567192A (zh) | 2023-01-03 |
Family
ID=84742496
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211198406.6A Pending CN115567192A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现组播数据透明加解密方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115567192A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
-
2022
- 2022-09-29 CN CN202211198406.6A patent/CN115567192A/zh active Pending
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN116743380B (zh) * | 2023-08-14 | 2023-10-31 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US8935529B2 (en) | Methods and systems for end-to-end secure SIP payloads | |
| US5748736A (en) | System and method for secure group communications via multicast or broadcast | |
| US7334125B1 (en) | Facilitating secure communications among multicast nodes in a telecommunications network | |
| US6038322A (en) | Group key distribution | |
| US8301892B2 (en) | Secure instant messaging system | |
| US8559640B2 (en) | Method of integrating quantum key distribution with internet key exchange protocol | |
| WO2017185692A1 (zh) | 密钥分发、认证方法,装置及系统 | |
| US7991993B2 (en) | Telecommunication system, for example an IP telecommunication system, and equipment units for use in the system | |
| US20010023482A1 (en) | Security protocol | |
| US20010005883A1 (en) | Security protocol | |
| WO2009060283A1 (en) | Method and apparatus for secure communication | |
| WO2007092588A2 (en) | Secure digital content management using mutating identifiers | |
| US8645680B2 (en) | Sending media data via an intermediate node | |
| CN109194477B (zh) | 量子保密通信网络系统的接入节点装置以及包括该装置的通信网络系统 | |
| CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 | |
| CN112332986B (zh) | 一种基于权限控制的私有加密通信方法及系统 | |
| CN115567210A (zh) | 采用量子密钥分发实现零信任访问的方法及系统 | |
| CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
| CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
| CN102905199B (zh) | 一种组播业务实现方法及其设备 | |
| CN110808834A (zh) | 量子密钥分发方法和量子密钥分发系统 | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN115567192A (zh) | 采用量子密钥分发实现组播数据透明加解密方法及系统 | |
| CN115567208A (zh) | 网络会话数据流细粒度透明加解密方法及系统 | |
| Hanatani et al. | Secure multicast group management and key distribution in IEEE 802.21 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |