CN115567206A - 采用量子分发密钥实现网络数据报文加解密方法及系统 - Google Patents
采用量子分发密钥实现网络数据报文加解密方法及系统 Download PDFInfo
- Publication number
- CN115567206A CN115567206A CN202211198246.5A CN202211198246A CN115567206A CN 115567206 A CN115567206 A CN 115567206A CN 202211198246 A CN202211198246 A CN 202211198246A CN 115567206 A CN115567206 A CN 115567206A
- Authority
- CN
- China
- Prior art keywords
- key
- encryption
- network
- data
- master
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 57
- 238000012545 processing Methods 0.000 claims abstract description 35
- 230000005540 biological transmission Effects 0.000 claims abstract description 14
- 230000001131 transforming effect Effects 0.000 claims abstract description 12
- 230000009466 transformation Effects 0.000 claims description 22
- 238000002347 injection Methods 0.000 claims description 19
- 239000007924 injection Substances 0.000 claims description 19
- 238000013467 fragmentation Methods 0.000 claims description 12
- 238000006062 fragmentation reaction Methods 0.000 claims description 12
- 239000003795 chemical substances by application Substances 0.000 claims description 10
- 238000010030 laminating Methods 0.000 claims description 3
- 230000002457 bidirectional effect Effects 0.000 abstract description 7
- 238000004891 communication Methods 0.000 description 17
- 239000012634 fragment Substances 0.000 description 6
- 230000008569 process Effects 0.000 description 5
- 230000006870 function Effects 0.000 description 4
- 238000010586 diagram Methods 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 230000004048 modification Effects 0.000 description 3
- 238000012986 modification Methods 0.000 description 3
- 238000012544 monitoring process Methods 0.000 description 2
- 239000000243 solution Substances 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005516 engineering process Methods 0.000 description 1
- 230000004927 fusion Effects 0.000 description 1
- 230000007246 mechanism Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0838—Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种采用量子分发密钥实现网络数据报文加解密方法及系统,包括从所连接的安全存储介质读取主密钥,建立主密钥池;用数据加密密钥对网络数据报文进行加密,得到加密处理后的数据报文;从主密钥池中随机选取主密钥,并采用密码杂凑算法将主密钥变换得到密钥加密密钥;将使用密钥加密密钥加密数据加密密钥得到的密文及主密钥的ID标识放入加密处理后的数据报文的安全报文头中,得到出站加密报文;从连接外网的网络接口发送出站加密报文。本发明解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用量子分发密钥实现网络数据报文加解密方法及系统。
背景技术
目前各分支机构的局域网互联互通都是通过VPN设备之类的加密网关建立安全加密通道进行,在加密通信之前需要加密网关之间采用IKE等密钥交换协议来协商数据通信使用的会话密钥。这种模式存在以下问题:
(1)加密网关之间需要有可以直接进行密钥协商的通信信道,这对于NAT等复杂网络环境在实现上有较大难度,特别是对于通信两端的网关都需要进行NAT之后才能上网的情况。
(2)协商过程较为复杂,有一定的计算和通信代价,因此产生的会话密钥一般会使用一段时间,从安全性上来讲无法做到一次一密。
(3)密钥协商的过程基于非对称密钥对和数字证书,用于加密传送会话密钥素材的公钥是公开的,若量子计算机计算能力提升,存在被破译的可能性,从而导致需传递的会话密钥被破译窃取。
因此,存在着双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题。
相关技术中,公布号为公布号为CN107453869A的中国发明专利文献记载了一种实现量子安全的IPSecVPN的方法,通过在IPSec VPN网关中增加QKD的安全接口,在IPSec VPN安全策略中增加量子密钥接入及应用机制,在IPSec加密组件中增加基于量子密钥的一次一密加密选项,并增加优先采用量子密钥作为预共享密钥、数据加密算法的会话密钥、HMAC算法的共享密钥的策略;实现QKD和量子加密与IPSec协议的融合应用,提升IPSecVPN系统的身份认证、消息鉴别和数据加密的量子安全性。
但该方案需要进行密钥协商,网络拓扑结构复杂;且直接使用预共享密钥作为加密密钥,密钥安全性偏低。
公布号为CN110213050A的中国发明专利文献记载了一种密钥生成方法、装置及存储介质,该方法包括:获取量子密钥生成终端生成的量子密钥;将量子密钥划分为多个第一密钥和多个第二密钥;使用多个第一密钥和多个第二密钥进行m轮衍生变换,得到多个衍生密钥。
公布号为CN103036675A的中国发明专利文献记载了一种基于动态密钥的数据通信方法、发送端和接收端,其中发送端的方法包括以下步骤:发送端生成用来加密通信数据的会话密钥Ks,Ks=HS(K1)XORHT(K2);其中,S为发送端中计数器的数值,其初始值为1,S+T=n,发送端与接收端每进行一次会话,则计数器的数值加1;K1和K2为将密钥种子K分成的长度相等的两个部分,密钥种子K为接收端和发送端预先约定的共享密钥;发送端采用会话密钥Ks对通信数据进行加密;发送端将加密后的通信数据发送给接收端。
发明内容
本发明所要解决的技术问题在于如何解决只能离线充注密钥且无法进行在线密钥协商和密钥分发场景下数据报文安全加密通信的问题。
本发明通过以下技术手段实现解决上述技术问题的:
本发明提出了一种采用量子分发密钥实现网络数据报文加解密方法,应用于加密网关,所述加密网关连接有安全存储介质,所述方法包括:
从所连接的安全存储介质读取主密钥,建立主密钥池,所述主密钥为量子密钥分发网络预先充注至所述安全存储介质;
从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
从连接外网的网络接口发送所述出站加密报文。
本发明通过离线充注大量的主密钥并在安全域内各加密网关共享,利用主密钥变换产生密钥加密密钥,密钥加密密钥用于加密数据加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议,适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景;解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
进一步地,所述从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,包括:
从所述主密钥池中随机选取所述主密钥为mk;
使用所述主密钥对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID标识)。
进一步地,所述方法还包括:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号,并进行主密钥更新。
进一步地,在所述从连接内网的网络接口接收出站的网络数据报文之后,所述方法还包括:
判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度;
若是,则修改所述网络数据报文的数据长度MSS=MSS-4-n,n为密钥或初始化向量的长度;
若否,则利用所述数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文。
进一步地,在所述从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
进一步地,所述在所述从安全存储介质读取主密钥之前,所述方法还包括:
向管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向所述安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同。
进一步地,在所述加密网关作为接收方,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则从主密钥池中选取与该主密钥的ID标识对应的主密钥转换为所述密钥加密密钥;
利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
此外,本发明还提出了一种采用量子分发密钥实现网络数据报文加解密网关,所述网关包括数据加解密处理模块、密钥变换模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储有经量子密钥分发网络预先充注的主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
进一步地,所述网关还包括计数器模块和预警模块,所述计数器模块包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,进行主密钥更新,并产生预警信号至所述预警模块进行预警。
此外,本发明还提出了一种采用量子分发密钥实现网络数据报文加解密系统,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、密钥变换模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于进行安全域划分,以及所述第一加密网关和所述第二加密网关的注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
本发明的优点在于:
(1)本发明通过离线充注大量的主密钥并在安全域内各加密网关共享,利用主密钥变换产生密钥加密密钥,密钥加密密钥用于加密数据加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议,适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景;解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
(2)基于预充注的主密钥,采用数字信封的方式将数据密文和加密数据的密钥密文一起传送,实现一包一密,具有很强的适应性和容错性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例提出的采用量子分发密钥实现网络数据报文加解密方法的流程示意图;
图2是本发明第二实施例提出的采用量子分发密钥实现网络数据报文加解密网关的结构示意图;
图3是本发明第三实施例提出的采用量子分发密钥实现网络数据报文加解密系统的结构示意图;
图4是本发明第三实施例提出的采用量子分发密钥实现网络数据报文加解密系统的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出了一种采用量子分发密钥实现网络数据报文加解密方法,应用于加密网关,所述加密网关连接有安全存储介质,加密网关作为发送方时,所述方法包括以下步骤:
S101、从所连接的安全存储介质读取主密钥,建立主密钥池,所述主密钥为量子密钥分发网络预先充注至所述安全存储介质;
需要说明的是,主密钥的格式为4字节密钥ID+n字节密钥和n字节初始化向量,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,n的取值与加密算法相关。
S102、从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
需要说明的是,加密网关对出站的网络数据报文进行一包一密的加密处理,数据的加密密钥为实时产生的随机数,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分)。
S103、从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
具体地,本实施例中采用主密钥作为密钥,对源、目的IP和密钥ID的拼接进行带密钥的杂凑运算,得到密钥加密密钥,算法具体为SM3国密算法。
S104、将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
本实施例对每个数据报文附加一个安全报文头,将数据加密密钥用密钥加密密钥加密后放入报文头,采用数字信封方式,将数据和加密数据的密钥在同一包中安全传送,可以避免密钥不同步,实现一包一密。
具体地,安全报文头格式为:4字节密钥ID+n字节密钥密文,n的取值与加密算法相关。
S105、从连接外网的网络接口发送所述出站加密报文。
本实施例通过离线充注大量的主密钥并在安全域内各加密网关共享,利用主密钥变换产生密钥加密密钥,密钥加密密钥用于加密数据加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议,适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景;解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
在一实施例中,所述步骤S103:从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,具体为:
从所述主密钥池中随机选取所述主密钥为mk;
使用所述主密钥对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID标识)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述方法还包括以下步骤:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号,并进行主密钥更新。
需要说明的是,本实施例采用计数器分别针对密钥序号和密钥使用,一个五元组所确定的数据流使用一个主密钥并使主密钥序号加1,一个数据包使用一次主密钥加密并使主密钥使用计数加1;当主密钥使用累加器(代表本次充注的主密钥总的使用次数)超出阈值时,加密网关通过指示灯、蜂鸣器、日志监控、邮件等形式进行预警,由管理员进行安全域内的主密钥更新操作,重新为加密网关充注新的主密钥。
在一实施例中,在所述步骤S102:从连接内网的网络接口接收出站的网络数据报文之后,所述方法还包括以下步骤:
判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度;
若是,则修改所述网络数据报文的数据长度MSS=MSS-4-n,n为密钥或初始化向量的长度;
若否,则利用所述数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文。
需要说明的是,加密网关设备节点对出站的TCP连接建立阶段的MSS数据内容进行修改,新的MSS=MSS–4–n,以避免增加安全报文头之后导致报文再分片。
在一实施例中,在所述步骤S105:从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括以下步骤:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
需要说明的是,非TCP报文加安全报文头后如果超出MTU则进行分片处理。
在一实施例中,在所述步骤S101之前,所述方法还包括以下步骤:
向管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向所述安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同。
本实施例使用量子密钥分发网络解决网络间数据加密通信问题,实现了传统基于非对称密码和IKE协议无法解决的免握手网络通信加密方案,规避了握手过程的安全风险。
需要说明的是,本实施例所采用的量子密钥分发设备包括但并不限于QKD密钥分发网络,所涉及的密钥预充注功能可采用任何一种对称密钥管理系统及设备实现。
在一实施例中,在所述加密网关作为接收方时,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则从主密钥池中选取与该主密钥的ID标识对应的主密钥转换为所述密钥加密密钥;
利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
本实施例使用量子密钥分发网络解决网络间数据加密通信问题,实现了传统基于非对称密码和IKE协议无法解决的免握手网络通信加密方案,规避了握手过程的安全风险。与基于公钥密码进行密钥协商的技术不同,构造了基于量子密钥分发网络和对称密码体系分发密钥的网络数据加密方案;解决了加密网关不直接交互密钥信息情况下的安全互通问题。
实施例2
如图2所示,本发明第二实施例提出了一种采用量子分发密钥实现网络数据报文加解密网关,其特征在于,所述网关包括数据加解密处理模块11、密钥变换模块13和密钥注入模块12,所述密钥注入模块12连接有安全存储介质,所述安全存储介质中存储有经量子密钥分发网络4预先充注的主密钥;
所述密钥注入模块12,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块13,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
本实施例通过离线充注大量的主密钥并在安全域内各加密网关共享,利用主密钥变换产生密钥加密密钥,密钥加密密钥用于加密数据加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议,适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景;解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
在一实施例中,所述密钥变换模块13,用于使用所述主密钥对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID标识)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述网关还包括计数器模块14和预警模块15,所述计数器模块14包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,进行主密钥更新,并产生预警信号至所述预警模块15进行预警。
在一实施例中,所述网关还包括:
数据长度判断模块,用于判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度;
数据长度修改模块,用于在所述数据长度判断模块输出结果为是时,修改所述网络数据报文的数据长度MSS=MSS-4-n,n为密钥或初始化向量的长度;
所述数据加解密处理模块11,用于在所述数据长度判断模块输出结果为否时,利用所述数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文。
在一实施例中,所述网关还包括:
判断模块,用于判断所述出站加密报文是否超过MTU;
分片处理模块,用于在所述判断模块输出的结果为是时,对所述出站加密报文进行分片处理;
所述数据加解密处理模块11,还用于在所述判断模块输出结果为否时,从连接外网的网络接口发送所述出站加密报文。
在一实施例中,所述网关还包括:
注册模块,用于向管控平台3发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台3划分;
密钥充注请求模块,用于向所述管控平台3发送密钥充注请求,以使所述管控平台3将所述密钥充注请求转发至所述量子密钥分发网络4,所述量子密钥分发网络4通过密钥代理或量子网络节点,向所述安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;所述量子密钥分发网络4中存储有安全域划分信息以及各安全域内加密网关信息。
在一实施例中,在所述加密网关作为接收方时,所述加密网关还包括:
加密报文接收模块,用于从连接外网的网络接口接收所述出站加密报文;
分片判断模块,用于判断所述出站加密报文是否为分片报文;
合片处理模块,用于在所述分片判断模块输出结果为是时,进行合片处理;
所述数据加解密处理模块11,还用于在所述分片判断模块输出结果为否时,从主密钥池中选取与该主密钥的ID标识对应的主密钥转换为所述密钥加密密钥;利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;利用所述数据加密密钥解密所述加密处理后的数据报文。
需要说明的是,本发明所述采用量子分发密钥实现网络数据报文加解密网关的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例3
如图3所示,本发明第三实施例还提出了一种采用量子分发密钥实现网络数据报文加解密系统,所述系统包括第一加密网关1、第二加密网关2、管控平台3和量子密钥分发网络4,所述第一加密网关1、所述第二加密网关2和所述量子密钥分发网络4均与管控平台3连接,所述第一加密网关1和所述第二加密网关2均与所述量子密钥分发网络4连接,其中,所述第一加密网关1和所述第二加密网关2均包括数据加解密处理模块11、密钥变换模块13和密钥注入模块12,所述密钥注入模块12连接有安全存储介质,所述安全存储介质中存储有经所述量子密钥分发网络4预先充注的主密钥;
所述管控平台3,用于进行安全域划分,以及所述第一加密网关1和所述第二加密网关2的注册和身份绑定服务;
所述量子密钥分发网络4,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块12,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块13,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
本实施例通过离线充注大量的主密钥并在安全域内各加密网关共享,利用主密钥变换产生密钥加密密钥,密钥加密密钥用于加密数据加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议,适用于只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景;解决双向NAT等复杂网络环境下加密网关无法协商密钥的问题以及一次一密加密数据报文的密钥同步问题,增强局域网之间互联互通时数据传输的机密性保护的安全强度。
具体到本实施例中,加密网关:用于对通过网络传输的用户数据进行加解密处理,由数据加解密处理、密钥变换、密钥注入、计数器、预警等功能模块构成;
管控平台3:用于提供加密网关、密钥代理、量子网络节点的对应关系,进行安全域划分,并提供加密网关的注册和身份绑定服务;
密钥代理:用于在加密网关不能直接在量子密钥分发网络4的节点进行密钥充注的情况下提供密钥充注的代理功能;
量子密钥分发网络4:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点:用于存储生成的量子密钥,接收密钥代理的密钥申请,向密钥代理提供密钥或直接提供密钥充注服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
在一实施例中,所述密钥变换模块13,用于使用所述主密钥对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID标识)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述网关还包括计数器模块14和预警模块15,所述计数器模块14包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,进行主密钥更新,并产生预警信号至所述预警模块15进行预警。
在一实施例中,所述网关还包括:
数据长度判断模块,用于判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度;
数据长度修改模块,用于在所述数据长度判断模块输出结果为是时,修改所述网络数据报文的数据长度MSS=MSS-4-n,n为密钥或初始化向量的长度;
所述数据加解密处理模块11,用于在所述数据长度判断模块输出结果为否时,利用所述数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文。
在一实施例中,所述网关还包括:
判断模块,用于判断所述出站加密报文是否超过MTU;
分片处理模块,用于在所述判断模块输出的结果为是时,对所述出站加密报文进行分片处理;
所述数据加解密处理模块11,还用于在所述判断模块输出结果为否时,从连接外网的网络接口发送所述出站加密报文。
在一实施例中,所述网关还包括:
注册模块,用于向管控平台3发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台3划分;
密钥充注请求模块,用于向所述管控平台3发送密钥充注请求,以使所述管控平台3将所述密钥充注请求转发至所述量子密钥分发网络4,所述量子密钥分发网络4通过密钥代理或量子网络节点,向所述安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同;所述量子密钥分发网络4中存储有安全域划分信息以及各安全域内加密网关信息。
在一实施例中,在所述加密网关作为接收方时,所述加密网关还包括:
加密报文接收模块,用于从连接外网的网络接口接收所述出站加密报文;
分片判断模块,用于判断所述出站加密报文是否为分片报文;
合片处理模块,用于在所述分片判断模块输出结果为是时,进行合片处理;
所述数据加解密处理模块11,还用于在所述分片判断模块输出结果为否时,从主密钥池中选取与该主密钥的ID标识对应的主密钥转换为所述密钥加密密钥;利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;利用所述数据加密密钥解密所述加密处理后的数据报文。
进一步地,如图4所示,本实施例提出的采用量子分发密钥实现网络数据报文加解密系统的工作流程如下:
(1)由管控平台划定安全域,通过量子密钥分发网络QKD,实用安全TF卡或安全U盾等大容量安全存储介质,向安全域内各加密网关设备节点离线预充注大量的主密钥,建立主密钥池,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,主密钥的格式为4字节密钥ID+n字节密钥和n字节初始化向量。
(2)加密网关设备节点对出站的TCP连接建立阶段的MSS数据内容进行修改,新的MSS=MSS–4–n,以避免增加安全报文头之后导致报文再分片。
(3)加密网关设备节点使用数据加密密钥对出站的数据报文进行一包一密的加密处理,数据加密密钥为实时产生的随机数,并对每个数据报文附加一个安全报文头,将数据加密密钥用密钥加密密钥加密后放入报文头。
密钥加密密钥由主密钥按下式变换得到(下式中mk为主密钥,kek为变换后得到的密钥加密密钥,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3):
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID)。
加密网关设备维持两个计数器,从1开始依次递增。其中一个计数器为主密钥序号发生器,每次按其值对应ID选取主密钥后加1,当其值超过预充注的主密钥最大数量后重新从1开始计数,另外一个计数器为主密钥使用累加器,在每次使用主密钥时加1。为主密钥使用累加器设置阈值,当主密钥使用累加器(代表本次充注的主密钥总的使用次数)超出阈值时,加密网关通过指示灯、蜂鸣器、日志监控、邮件等形式进行预警,由管理员进行安全域内的主密钥更新操作,重新为加密网关充注新的主密钥。
(4)非TCP报文加安全报文头后如果超出MTU则进行分片处理。
(5)加密网关设备节点对入站的数据报文进行解密处理(分片报文则先合片),根据安全报文头的密钥ID从主密钥池中取出密钥和初始化向量,解密数据加密密钥后对报文数据解密。
本实施例使用量子密钥分发网络解决网络间数据加密通信问题,实现了传统基于非对称密码和IKE协议无法解决的免握手网络通信加密方案,规避了握手过程的安全风险。通过离线充注大量的主密钥并在安全域内各加密网关共享,主密钥变换产生密钥加密密钥,数据加密密钥一包一密实时产生并和数据报文一起传输,实现安全域内数据报文的安全自由传输,并且不需要复杂的密钥管理体系和密钥协商协议。解决了只能离线充注密钥且无法进行在线密钥协商和密钥分发场景下的数据报文安全加密通信问题。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种采用量子分发密钥实现网络数据报文加解密方法,其特征在于,应用于加密网关,所述加密网关连接有安全存储介质,所述方法包括:
从所连接的安全存储介质读取主密钥,建立主密钥池,所述主密钥为量子密钥分发网络预先充注至所述安全存储介质;
从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
从连接外网的网络接口发送所述出站加密报文。
2.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,所述从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,包括:
从所述主密钥池中随机选取所述主密钥为mk;
使用所述主密钥对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,源IP地址|目的IP地址|主密钥ID标识)。
3.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,所述方法还包括:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号,并进行主密钥更新。
4.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,在所述从连接内网的网络接口接收出站的网络数据报文之后,所述方法还包括:
判断所述网络数据报文的数据长度MSS是否超过所允许传送的最大数据部分的长度;
若是,则修改所述网络数据报文的数据长度MSS=MSS-4-n,n为密钥或初始化向量的长度;
若否,则利用所述数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文。
5.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,在所述从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
6.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,所述在所述从安全存储介质读取主密钥之前,所述方法还包括:
向管控平台发送注册请求,以绑定到相应的安全域,所述安全域由所述管控平台划分;
向所述管控平台发送密钥充注请求,以使所述管控平台将所述密钥充注请求转发至所述量子密钥分发网络,所述量子密钥分发网络中存储有安全域划分信息以及各安全域内加密网关信息;
通过密钥代理或量子网络节点,向所述安全存储介质离线充注所述主密钥,且同一安全域内各加密网关所连接的安全存储介质内充注的主密钥的ID标识相同。
7.如权利要求1所述的采用量子分发密钥实现网络数据报文加解密方法,其特征在于,在所述加密网关作为接收方,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则从主密钥池中选取与该主密钥的ID标识对应的主密钥转换为所述密钥加密密钥;
利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
8.一种采用量子分发密钥实现网络数据报文加解密网关,其特征在于,所述网关包括数据加解密处理模块、密钥变换模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储有经量子密钥分发网络预先充注的主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
9.如权利要求8所述的采用量子分发密钥实现网络数据报文加解密网关,其特征在于,所述网关还包括计数器模块和预警模块,所述计数器模块包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,进行主密钥更新,并产生预警信号至所述预警模块进行预警。
10.一种采用量子分发密钥实现网络数据报文加解密系统,其特征在于,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、密钥变换模块和密钥注入模块,所述密钥注入模块连接有安全存储介质,所述安全存储介质中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于进行安全域划分,以及所述第一加密网关和所述第二加密网关的注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述密钥注入模块,用于从所连接的安全存储介质读取主密钥,建立主密钥池;
所述密钥变换模块,用于从所述主密钥池中随机选取所述主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的网络数据报文,并利用数据加密密钥对所述网络数据报文进行加密,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211198246.5A CN115567206A (zh) | 2022-09-29 | 2022-09-29 | 采用量子分发密钥实现网络数据报文加解密方法及系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202211198246.5A CN115567206A (zh) | 2022-09-29 | 2022-09-29 | 采用量子分发密钥实现网络数据报文加解密方法及系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN115567206A true CN115567206A (zh) | 2023-01-03 |
Family
ID=84743723
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202211198246.5A Pending CN115567206A (zh) | 2022-09-29 | 2022-09-29 | 采用量子分发密钥实现网络数据报文加解密方法及系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN115567206A (zh) |
Cited By (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987514A (zh) * | 2023-03-17 | 2023-04-18 | 易迅通科技有限公司 | 一种量子与经典密码融合加密传输设备 |
CN116089989A (zh) * | 2023-04-10 | 2023-05-09 | 广东广宇科技发展有限公司 | 一种用于离线数据端的数据迭代加密处理方法 |
CN116707804A (zh) * | 2023-08-07 | 2023-09-05 | 中电信量子科技有限公司 | 增强ff1格式保留加密安全性的方法及设备 |
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108667607A (zh) * | 2018-05-18 | 2018-10-16 | 国网信息通信产业集团有限公司 | 一种配用电终端的量子密钥同步方法 |
CN110224821A (zh) * | 2019-06-06 | 2019-09-10 | 安徽问天量子科技股份有限公司 | 一种无人移动平台的通信加密方法 |
CN111698238A (zh) * | 2020-06-05 | 2020-09-22 | 中国电力科学研究院有限公司 | 电力物联网终端层设备密钥的管理方法、系统及存储介质 |
CN111953492A (zh) * | 2020-09-15 | 2020-11-17 | 国科量子通信网络有限公司 | 基于量子密钥加密的erp联网监控系统及其应用方法 |
CN113890732A (zh) * | 2021-10-14 | 2022-01-04 | 成都信息工程大学 | 一种基于区块链的保密通信方法及其安全事件的追溯方法 |
CN114726523A (zh) * | 2022-05-18 | 2022-07-08 | 北京国科量子共创通信科技研究院有限公司 | 密码应用服务系统和量子安全能力开放平台 |
CN114826569A (zh) * | 2022-03-28 | 2022-07-29 | 北京沃东天骏信息技术有限公司 | 一种信息处理方法及服务器、客户端、存储介质 |
-
2022
- 2022-09-29 CN CN202211198246.5A patent/CN115567206A/zh active Pending
Patent Citations (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108667607A (zh) * | 2018-05-18 | 2018-10-16 | 国网信息通信产业集团有限公司 | 一种配用电终端的量子密钥同步方法 |
CN110224821A (zh) * | 2019-06-06 | 2019-09-10 | 安徽问天量子科技股份有限公司 | 一种无人移动平台的通信加密方法 |
CN111698238A (zh) * | 2020-06-05 | 2020-09-22 | 中国电力科学研究院有限公司 | 电力物联网终端层设备密钥的管理方法、系统及存储介质 |
CN111953492A (zh) * | 2020-09-15 | 2020-11-17 | 国科量子通信网络有限公司 | 基于量子密钥加密的erp联网监控系统及其应用方法 |
CN113890732A (zh) * | 2021-10-14 | 2022-01-04 | 成都信息工程大学 | 一种基于区块链的保密通信方法及其安全事件的追溯方法 |
CN114826569A (zh) * | 2022-03-28 | 2022-07-29 | 北京沃东天骏信息技术有限公司 | 一种信息处理方法及服务器、客户端、存储介质 |
CN114726523A (zh) * | 2022-05-18 | 2022-07-08 | 北京国科量子共创通信科技研究院有限公司 | 密码应用服务系统和量子安全能力开放平台 |
Cited By (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN115987514A (zh) * | 2023-03-17 | 2023-04-18 | 易迅通科技有限公司 | 一种量子与经典密码融合加密传输设备 |
CN115987514B (zh) * | 2023-03-17 | 2023-05-23 | 易迅通科技有限公司 | 一种量子与经典密码融合加密传输设备 |
CN116089989A (zh) * | 2023-04-10 | 2023-05-09 | 广东广宇科技发展有限公司 | 一种用于离线数据端的数据迭代加密处理方法 |
CN116089989B (zh) * | 2023-04-10 | 2023-08-01 | 广东广宇科技发展有限公司 | 一种用于离线数据端的数据迭代加密处理方法 |
CN116707804A (zh) * | 2023-08-07 | 2023-09-05 | 中电信量子科技有限公司 | 增强ff1格式保留加密安全性的方法及设备 |
CN116707804B (zh) * | 2023-08-07 | 2023-10-31 | 中电信量子科技有限公司 | 增强ff1格式保留加密安全性的方法及设备 |
CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US11477037B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using ephemeral Diffie-Hellman key exchange | |
US8559640B2 (en) | Method of integrating quantum key distribution with internet key exchange protocol | |
Molva | Internet security architecture | |
CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
CN108650227A (zh) | 基于数据报安全传输协议的握手方法及系统 | |
CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
CN112637136A (zh) | 加密通信方法及系统 | |
CN104394129A (zh) | 安全外壳ssh2协议数据的采集方法和装置 | |
US11637699B2 (en) | Rollover of encryption keys in a packet-compatible network | |
CN113784298B (zh) | 基于量子密钥的北斗短报文的通信系统 | |
CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 | |
CN115567210A (zh) | 采用量子密钥分发实现零信任访问的方法及系统 | |
CN115567205A (zh) | 采用量子密钥分发实现网络会话数据流加解密方法及系统 | |
CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
CN113904809B (zh) | 一种通信方法、装置、电子设备及存储介质 | |
CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
CN113572766A (zh) | 电力数据传输方法和系统 | |
CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
CN108040071A (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
CN115567208A (zh) | 网络会话数据流细粒度透明加解密方法及系统 | |
CN115567192A (zh) | 采用量子密钥分发实现组播数据透明加解密方法及系统 | |
CN112822015B (zh) | 信息传输方法及相关装置 | |
CN210839642U (zh) | 一种物联网终端数据安全接收、发送的装置 | |
CN113708928A (zh) | 一种边缘云通信方法及相关装置 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |