CN115567207A - 采用量子密钥分发实现组播数据加解密方法及系统 - Google Patents

采用量子密钥分发实现组播数据加解密方法及系统 Download PDF

Info

Publication number
CN115567207A
CN115567207A CN202211198254.XA CN202211198254A CN115567207A CN 115567207 A CN115567207 A CN 115567207A CN 202211198254 A CN202211198254 A CN 202211198254A CN 115567207 A CN115567207 A CN 115567207A
Authority
CN
China
Prior art keywords
key
encryption
multicast
master
message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211198254.XA
Other languages
English (en)
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202211198254.XA priority Critical patent/CN115567207A/zh
Publication of CN115567207A publication Critical patent/CN115567207A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • H04L63/065Network architectures or network communication protocols for network security for supporting key management in a packet data network for group communications
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/06Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols the encryption apparatus using shift registers or memories for block-wise or stream coding, e.g. DES systems or RC4; Hash functions; Pseudorandom sequence generators
    • H04L9/0618Block ciphers, i.e. encrypting groups of characters of a plain text message using fixed encryption transformation
    • H04L9/0637Modes of operation, e.g. cipher block chaining [CBC], electronic codebook [ECB] or Galois/counter mode [GCM]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0861Generation of secret information including derivation or calculation of cryptographic keys or passwords
    • H04L9/0869Generation of secret information including derivation or calculation of cryptographic keys or passwords involving random numbers or seeds
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种采用量子密钥分发实现组播数据加解密方法及系统,包括向管控平台发送注册请求,注册多个安全域,每个安全域对应一个组播地址;向QKD发送密钥充注请求,获取不同安全域对应的主密钥,建立多个主密钥池;从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密组播数据报文,得到加密处理后数据报文;基于组播数据报文的IP地址,从相应的主密钥池中获取主密钥;采用密码杂凑算法将主密钥变换得到密钥加密密钥;将使用密钥加密密钥加密数据加密密钥得到的密文及主密钥的ID标识放入加密处理后的数据报文的安全报文头中,得到出站加密报文;从连接外网的网络接口发送出站加密报文。

Description

采用量子密钥分发实现组播数据加解密方法及系统
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用量子密钥分发实现组播数据加解密方法及系统。
背景技术
目前,对于音视频等组播业务在组播节点之间的网络传输过程中的数据加密问题,因为密钥分发的复杂度较高,得到成功应用的案例很少,很多情况下往往转化为多个单播数据流的加密问题,导致网络带宽的极大浪费和管理复杂度的非必要增加,性价比较低,可推广性不强。
相关技术中,公布号为CN112653551A的中国发明专利文献记载了一种分层结构多播量子密钥分配的方法,该方法包括:对多播组的发送方和接受方进行初步的连接所必须的初始化的过程。密钥的生成,第一个密钥是组密钥,由QMKDC生成用于加密QMKDC和多播组之间的通信,第二个密钥是共享对称密钥,用于多播组成员内的加密/解密通信,也可以在多播组中的所有成员之间共享。组密钥分发,通过随机选择一个位串并使用每个多播组的私有密钥进行加密而生成的。每个多播组将通过解密接收到的消息来检索组密钥。通过组共享密钥加密消息,接收机使用相同密钥解密它,实现同多播组成员的通信。
公布号为CN103036675A的中国发明专利文献记载了一种基于动态密钥的数据通信方法、发送端和接收端,其中发送端的方法包括以下步骤:发送端生成用来加密通信数据的会话密钥Ks,Ks=HS(K1)XORHT(K2);其中,S为发送端中计数器的数值,其初始值为1,S+T=n,发送端与接收端每进行一次会话,则计数器的数值加1;K1和K2为将密钥种子K分成的长度相等的两个部分,密钥种子K为接收端和发送端预先约定的共享密钥;发送端采用会话密钥Ks对通信数据进行加密;发送端将加密后的通信数据发送给接收端。
发明内容
本发明所要解决的技术问题在于如何实现系统内多个组播组的组播数据报文的安全自由传输,且减少组播加密通信密钥分发的复杂度。
本发明通过以下技术手段实现解决上述技术问题的:
本发明提出了一种采用量子密钥分发实现组播数据加解密方法,所述方法应用于加密网关,包括以下步骤:
向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥;
采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
从连接外网的网络接口发送所述出站加密报文。
本发明为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程;适用于系统中存在多个组播业务,各组播业务数据需要加密保护并且各组播业务需要相互隔离,同时在密钥管理方面只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景。
进一步地,所述主密钥的格式为4字节域ID+4字节密钥ID+n字节密钥+n字节初始化向量,n为常数。
进一步地,所述利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,包括:
将实时产生的随机数作为所述数据加密密钥对所述组播数据报文进行一包一密的加密处理,其中,加密模式为CBC算法和CFB算法。
进一步地,所述采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,包括:
使用所述主密钥mk对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,组播IP地址|主密钥ID)。
进一步地,所述方法还包括:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号;
向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
进一步地,在所述从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
进一步地,在所述加密网关作为接收方时,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则根据所述出站加密报文的组播IP地址,从对应的所述主密钥池中选取与主密钥的ID标识对应的主密钥;
将该主密钥转换为所述密钥加密密钥,并利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
此外,本发明还提出了一种采用量子密钥分发实现组播数据加解密网关,所述网关包括数据加解密处理模块、密钥变换模块、密钥注入模块和多个主密钥池,所述密钥注入模块的输入端连接有安全存储介质,所述密钥注入模块的输出端连接所述主密钥池,其中:
所述数据加解密处理模块,用于向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
进一步地,所述网关还包括计数器模块和预警模块,所述计数器模块包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号至所述预警模块进行预警;
所述数据加解密模块,还用于所述主密钥使用累加器的计数值超过设定阈值时,向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
此外,本发明还提出了一种采用量子密钥分发实现组播数据加解密系统,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、密钥变换模块、密钥注入模块和多个主密钥池,所述密钥注入模块的输入端连接有安全存储介质,所述密钥注入模块的输出端连接所述主密钥池,所述安全存储介质中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于基于组播地址进行安全域划分,以及对所述第一加密网关和所述第二加密网关的进行注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块,用于向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
本发明的优点在于:
(1)本发明为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程,解决了组播域内的加密网关不直接参与在线密钥管理情况下的组播数据安全加密通信问题;适用于系统中存在多个组播业务,各组播业务数据需要加密保护并且各组播业务需要相互隔离,同时在密钥管理方面只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景。
(2)通过在加密网关中使用量子密钥分发系统产生的大容量主密钥,解决对组播数据进行网络传输加密时组播域内的网络密码设备的密钥分发问题和一次一密的组播密钥同步问题,从而增强音视频等类型的组播业务数据网络传输的安全性和易用性。
(3)基于量子密钥分发网络和对称密码体系分发组播密钥的网络组播数据加密方案,该方案无需复杂度较高的组播密钥管理方案,实现了高效的组播加密通信,可显著减少组播加密通信密钥分发的复杂度。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例中采用量子密钥分发实现组播数据加解密方法的流程示意图;
图2是本发明第二实施例中采用量子密钥分发实现组播数据加解密网关的结构示意图;
图3是本发明第三实施例中采用量子密钥分发实现组播数据加解密系统的结构示意图;
图4是本发明中采用量子密钥分发实现组播数据加解密系统的工作流程示意图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出了一种采用量子密钥分发实现组播数据加解密方法,所述方法应用于加密网关,包括以下步骤:
S101、向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
S102、向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
S103、从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
S104、基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥;
S105、采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
S106、将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
S107、从连接外网的网络接口发送所述出站加密报文。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程,解决了组播域内的加密网关不直接参与在线密钥管理情况下的组播数据安全加密通信问题;适用于系统中存在多个组播业务,各组播业务数据需要加密保护并且各组播业务需要相互隔离,同时在密钥管理方面只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景。且采用数字信封方式,将数据和加密数据的密钥在同一包中安全传送,可以避免密钥不同步,实现一包一密。
需要说明的是,与公开号为CN112653551A的方案所采用的量子手段集中式分发组密钥给组播成员,且组密钥直接加密组播通信,不能实现一包一密且需要可信的密钥分发中心相比,本实施例方案用于加密组播通信数据的组密钥是每包随机产生,每包采用不同主密钥变换作为密钥加密密钥来保护组密钥,实现组播一包一密。
在一实施例中,所述主密钥的格式为4字节域ID+4字节密钥ID+n字节密钥+n字节初始化向量,n为常数且其取值与采用的加密算法有关,比如密钥和初始化向量的长度与不同密码算法相关,例如SM4算法是128字节。
本实施例中,主密钥的格式中包含了用户ID和密钥ID,可唯一确定一个密钥。
在一实施例中,所述数据报文的安全报文头的格式为:4字节密钥ID+n字节密钥密文,n与加密算法相关。
需要说明的是,本实施例通过量子密钥分发网络QKD向安全TF卡或安全U盾等大容量安全存储介质中离线预充注大量的主密钥,安全域即组播组内各加密网关设备节点通过安全存储介质获取预充注大量的主密钥,构建主密钥池,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,安全域ID直接对应组播IP地址。加入多个安全域即组播组的加密网关设备需使用多个不同的存储介质进行多次充注,每次充注对应一个安全域,并对应构建多个主密钥池,主密钥池使用域ID即组播IP地址区分。
在一实施例中,所述步骤S103中,利用数据加密密钥加密组播数据报文,得到加密处理后的数据报文,具体为:
将实时产生的随机数作为所述数据加密密钥对所述组播数据报文进行一包一密的加密处理,其中,加密模式为CBC算法和CFB算法。
其中,CBC算法对分组整数倍进行处理,CFB算法对分组整数倍之外的余数部分进行处理。
在一实施例中,所述步骤S105:采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,包括以下步骤:
使用所述主密钥mk对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,组播IP地址|主密钥ID)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述方法还包括以下步骤:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号;
向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
需要说明的是,本实施例利用计数器分别针对主密钥序号和主密钥使用,一个组播数据包使用一个主密钥并使主密钥序号加1,一个组播数据包使用一次主密钥加密并使主密钥使用计数加1;当主密钥使用累加器(代表本次充注的主密钥总的使用次数)超出阈值时,加密网关通过指示灯、蜂鸣器、日志监控、邮件等形式进行预警,由管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
在一实施例中,在所述步骤S107:从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括以下步骤:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
需要说明的是,加密网关设备节点对出站的组播报文加安全报文头后如果超出MTU则进行分片处理。
在一实施例中,在所述加密网关作为接收方时,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则根据所述出站加密报文的组播IP地址,从对应的所述主密钥池中选取与主密钥的ID标识对应的主密钥;
将该主密钥转换为所述密钥加密密钥,并利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,通过在加密网关中使用量子密钥分发系统产生的大容量主密钥,解决对组播数据进行网络传输加密时组播域内的网络密码设备的密钥分发问题和一次一密的组播密钥同步问题,从而增强音视频等类型的组播业务数据网络传输的安全性和易用性。主要优势在于:与基于公钥密码和组播树进行组播密钥管理的技术不同,本方法构造了基于量子密钥分发网络和对称密码体系分发组播密钥的网络组播数据加密方案,该方案无需复杂度较高的组播密钥管理方案,实现了高效的组播加密通信,可显著减少组播加密通信密钥分发的复杂度。解决了组播域内的加密网关不直接参与在线密钥管理情况下的组播数据安全加密通信问题。
实施例2
如图2所示,本发明第二实施例提出了一种采用量子密钥分发实现组播数据加解密网关,所述网关包括数据加解密处理模块11、密钥变换模块13、密钥注入模块12和多个主密钥池,所述密钥注入模块12的输入端连接有安全存储介质,所述密钥注入模块12的输出端连接所述主密钥池,其中:
所述数据加解密处理模块11,用于向管控平台3发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络4发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块13,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块11,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
其中,所述主密钥的格式为4字节域ID+4字节密钥ID+n字节密钥+n字节初始化向量,n为常数且其取值与采用的加密算法有关。
数据报文的安全报文头的格式为:4字节密钥ID+n字节密钥密文,n与加密算法相关。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程,解决了组播域内的加密网关不直接参与在线密钥管理情况下的组播数据安全加密通信问题;适用于系统中存在多个组播业务,各组播业务数据需要加密保护并且各组播业务需要相互隔离,同时在密钥管理方面只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景。
在一实施例中,所述密钥变换模块13,具体用于使用所述主密钥mk对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,组播IP地址|主密钥ID)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述网关还包括计数器模块14和预警模块15,所述计数器模块14包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号至所述预警模块15进行预警;
所述数据加解密模块,还用于所述主密钥使用累加器的计数值超过设定阈值时,向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
在一实施例中,所述网关还包括:
第一判断模块,用于判断所述出站加密报文是否超过MTU;
分片处理模块,用于在第一判断模块输出结果为是时,对所述出站加密报文进行分片处理;
所述数据加解密处理模块11,用于在第一判断模块输出结果为否时,从连接外网的网络接口发送所述出站加密报文。
需要说明的是,加密网关设备节点对出站的组播报文加安全报文头后如果超出MTU则进行分片处理。
在一实施例中,所述加密网关作为接收方时,还包括:
加密报文接收模块,用于从连接外网的网络接口接收所述出站加密报文;
第二判断模块,用于判断所述出站加密报文是否为分片报文;
合片处理模块,用于在第二判断模块输出结果为是时,进行合片处理;
解密模块,用于在所述第二判断模块输出结果为否时,根据所述出站加密报文的组播IP地址,从对应的所述主密钥池中选取与主密钥的ID标识对应的主密钥;将该主密钥转换为所述密钥加密密钥,并利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;利用所述数据加密密钥解密所述加密处理后的数据报文。
需要说明的是,本发明所述采用量子密钥分发实现组播数据加解密网关的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例3
如图3所示,本发明第三实施例提出了一种采用量子密钥分发实现组播数据加解密系统,所述系统包括第一加密网关1、第二加密网关2、管控平台3和量子密钥分发网络4,所述第一加密网关1、所述第二加密网关2和所述量子密钥分发网络4均与管控平台3连接,所述第一加密网关1和所述第二加密网关2均与所述量子密钥分发网络4连接,其中,所述第一加密网关1和所述第二加密网关2均包括数据加解密处理模块11、密钥变换模块13、密钥注入模块12和多个主密钥池,所述密钥注入模块12的输入端连接有安全存储介质,所述密钥注入模块12的输出端连接所述主密钥池,所述安全存储介质中存储有经所述量子密钥分发网络4预先充注的主密钥;
所述管控平台3,用于基于组播地址进行安全域划分,以及对所述第一加密网关1和所述第二加密网关2的进行注册和身份绑定服务;
所述量子密钥分发网络4,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块11,用于向管控平台3发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络4发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块11,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块13,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块11,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
本实施例为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程,解决了组播域内的加密网关不直接参与在线密钥管理情况下的组播数据安全加密通信问题;适用于系统中存在多个组播业务,各组播业务数据需要加密保护并且各组播业务需要相互隔离,同时在密钥管理方面只能离线充注主密钥且无法进行在线密钥协商和密钥分发的场景。
具体到本实施例中,加密网关:用于对通过网络传输的组播业务数据进行加解密处理,由数据加解密处理、密钥变换、密钥注入、计数器、预警等功能模块构成;
管控平台3:用于提供加密网关、密钥代理、量子网络节点的对应关系,进行组播安全域划分,并提供组播域内加密网关的注册和身份绑定服务;
密钥代理:用于在加密网关不能直接在量子密钥分发网络4的节点进行密钥充注的情况下提供密钥充注的代理功能;
量子密钥分发网络4:包含量子网络节点和量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
量子网络节点:用于存储生成的量子密钥,接收密钥代理的密钥申请,向密钥代理提供密钥或直接提供密钥充注服务;
量子网络链路控制中心:用于按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
在一实施例中,所述密钥变换模块13,具体用于使用所述主密钥mk对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,组播IP地址|主密钥ID)。
其中,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3。
在一实施例中,所述网关还包括计数器模块14和预警模块15,所述计数器模块14包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号至所述预警模块15进行预警;
所述数据加解密模块,还用于所述主密钥使用累加器的计数值超过设定阈值时,向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
在一实施例中,在所述第一加密网关1或第二加密网关2作为接收方法时,还包括:
加密报文接收模块,用于从连接外网的网络接口接收所述出站加密报文;
第二判断模块,用于判断所述出站加密报文是否为分片报文;
合片处理模块,用于在第二判断模块输出结果为是时,进行合片处理;
解密模块,用于在所述第二判断模块输出结果为否时,根据所述出站加密报文的组播IP地址,从对应的所述主密钥池中选取与主密钥的ID标识对应的主密钥;将该主密钥转换为所述密钥加密密钥,并利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;利用所述数据加密密钥解密所述加密处理后的数据报文。
如图4所示,本实施例提出的采用量子密钥分发实现组播数据加解密系统的工作流程如下:
(1)由管控平台划定安全域,每一个组播地址对应一个安全域,一台加密网关设备可以注册多个安全域,即加入多个组播组。通过量子密钥分发网络QKD向安全TF卡或安全U盾等大容量安全存储介质离线预充注大量的主密钥,同一安全域内各设备共享由相同密钥ID标识的相同的主密钥,域ID直接对应组播IP地址;加入多个安全域即组播组的加密网关设备需使用多个不同的存储介质进行多次充注,每次充注对应一个安全域。
其中,密钥格式为4字节域ID+4字节密钥ID+n字节密钥和n字节初始化向量,n与加密算法相关。
(2)安全域即组播组内各加密网关设备节点从其连接的安全存储介质中获取主密钥,构建主密钥池。
加入多个安全域即组播组的加密网关设备需建立多个主密钥池,使用多个不同的存储介质进行密钥注入,每次注入对应一个主密钥池和安全域(组播组),主密钥池使用域ID即组播IP地址区分。
(3)加密网关设备节点对出站的组播数据报文进行一包一密的加密处理,数据的加密密钥为实时产生的随机数,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),并对每个数据报文附加一个安全报文头,将数据加密密钥用密钥加密密钥加密后放入报文头。密钥加密密钥由主密钥按下式变换得到(下式中mk为主密钥,kek为变换后得到的密钥加密密钥,PRF(key,msg)指使用密钥key对msg进行带密钥的密码杂凑运算,密码杂凑算法采用SM3),主密钥从数据报文目的IP地址(组播IP地址)对应的主密钥池中选取:
kek=PRF(mk,组播IP地址|主密钥ID)。
加密网关设备为每个主密钥池维持两个计数器,从1开始依次递增。其中一个计数器为主密钥序号发生器,每次按其值对应ID选取主密钥后加1,当其值超过该主密钥池预充注的主密钥最大数量后重新从1开始计数,另外一个计数器为主密钥使用累加器,在每次使用主密钥时加1。为主密钥使用累加器设置阈值,当主密钥使用累加器(代表本次充注的主密钥总的使用次数)超出阈值时,加密网关通过指示灯、蜂鸣器、日志监控、邮件等形式进行预警,由管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
(4)加密网关设备节点对出站的组播报文加安全报文头后如果超出MTU则进行分片处理。
(5)加密网关设备节点对入站的组播数据报文进行解密处理(分片报文则先合片),首先根据数据报文目的IP地址(组播IP地址)选定对应的主密钥池,再从主密钥池中根据密钥ID取出密钥和初始化向量,解密数据加密密钥后对组播报文数据解密。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,提供了一种不基于公私钥密码技术并可实现一包一密的网络组播数据安全通信方法,为不同的组播组建立彼此独立的安全域和主密钥池,加密网关通过离线充注多个主密钥池而支持多个组播组,数据加密密钥一包一密实时产生并和组播数据报文一起传输,实现系统内多个组播组的组播数据报文的安全自由传输,并且不需要复杂的组播密钥管理体系和密钥分发过程。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。

Claims (10)

1.一种采用量子密钥分发实现组播数据加解密方法,其特征在于,所述方法应用于加密网关,包括以下步骤:
向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;
向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥;
采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;
从连接外网的网络接口发送所述出站加密报文。
2.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,所述主密钥的格式为4字节域ID+4字节密钥ID+n字节密钥+n字节初始化向量,n为常数。
3.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,所述利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,包括:
将实时产生的随机数作为所述数据加密密钥对所述组播数据报文进行一包一密的加密处理,其中,加密模式为CBC算法和CFB算法。
4.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,所述采用密码杂凑算法将所述主密钥变换得到密钥加密密钥,包括:
使用所述主密钥mk对加密信息进行带密钥的密码杂凑运算,得到所述密钥加密密钥kek,公式表示如下:
kek=PRF(mk,组播IP地址|主密钥ID)。
5.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,所述方法还包括:
使用主密钥序号发生器对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
使用主密钥使用累加器对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号;
向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
6.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,在所述从连接外网的网络接口发送所述出站加密报文之前,所述方法还包括:
判断所述出站加密报文是否超过MTU;
若是,则对所述出站加密报文进行分片处理;
若否,则从连接外网的网络接口发送所述出站加密报文。
7.如权利要求1所述的采用量子密钥分发实现组播数据加解密方法,其特征在于,在所述加密网关作为接收方时,所述方法还包括:
从连接外网的网络接口接收所述出站加密报文;
判断所述出站加密报文是否为分片报文;
若是,则进行合片处理;
若否,则根据所述出站加密报文的组播IP地址,从对应的所述主密钥池中选取与主密钥的ID标识对应的主密钥;
将该主密钥转换为所述密钥加密密钥,并利用所述密钥加密密钥解密所述密文,得到所述数据加密密钥;
利用所述数据加密密钥解密所述加密处理后的数据报文。
8.一种采用量子密钥分发实现组播数据加解密网关,其特征在于,所述网关包括数据加解密处理模块、密钥变换模块、密钥注入模块和多个主密钥池,所述密钥注入模块的输入端连接有安全存储介质,所述密钥注入模块的输出端连接所述主密钥池,其中:
所述数据加解密处理模块,用于向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
9.如权利要求8所述的采用量子密钥分发实现组播数据加解密网关,其特征在于,所述网关还包括计数器模块和预警模块,所述计数器模块包括主密钥序号发生器和主密钥使用累加器,其中:
所述主密钥序号发生器,用于对选取的所述主密钥进行计数,并在计数值超过预充注的主密钥最大数量时,将计数值清零从1开始重新计数;
所述主密钥使用累加器,用于对主密钥的使用次数进行计数,并在计数值超过设定阈值时,产生预警信号至所述预警模块进行预警;
所述数据加解密模块,还用于所述主密钥使用累加器的计数值超过设定阈值时,向管理员发送主密钥更新请求,以使所述管理员进行该组播组对应主密钥池的主密钥更新操作,重新为加密网关对应该组播组的主密钥池充注新的主密钥。
10.一种采用量子密钥分发实现组播数据加解密系统,其特征在于,所述系统包括第一加密网关、第二加密网关、管控平台和量子密钥分发网络,所述第一加密网关、所述第二加密网关和所述量子密钥分发网络均与管控平台连接,所述第一加密网关和所述第二加密网关均与所述量子密钥分发网络连接,其中,所述第一加密网关和所述第二加密网关均包括数据加解密处理模块、密钥变换模块、密钥注入模块和多个主密钥池,所述密钥注入模块的输入端连接有安全存储介质,所述密钥注入模块的输出端连接所述主密钥池,所述安全存储介质中存储有经所述量子密钥分发网络预先充注的主密钥;
所述管控平台,用于基于组播地址进行安全域划分,以及对所述第一加密网关和所述第二加密网关的进行注册和身份绑定服务;
所述量子密钥分发网络,用于向所述安全存储介质预充注主密钥;
所述数据加解密处理模块,用于向管控平台发送注册请求,注册多个安全域,每个所述安全域对应一个组播地址;以及向量子密钥分发网络发送密钥充注请求,以获取与不同安全域对应的主密钥,并建立多个主密钥池,每个所述主密钥池中存储同一个安全域对应的主密钥;
所述数据加解密处理模块,用于从连接内网的网络接口接收出站的组播数据报文,并利用数据加密密钥加密所述组播数据报文,得到加密处理后的数据报文,所述数据加密密钥为实时产生的随机数;
所述密钥变换模块,用于基于所述组播数据报文的IP地址,从相应的所述主密钥池中获取主密钥,并采用密码杂凑算法将所述主密钥变换得到密钥加密密钥;
所述数据加解密处理模块,用于将使用所述密钥加密密钥加密所述数据加密密钥得到的密文及所述主密钥的ID标识放入所述加密处理后的数据报文的安全报文头中,得到出站加密报文;以及从连接外网的网络接口发送所述出站加密报文。
CN202211198254.XA 2022-09-29 2022-09-29 采用量子密钥分发实现组播数据加解密方法及系统 Pending CN115567207A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211198254.XA CN115567207A (zh) 2022-09-29 2022-09-29 采用量子密钥分发实现组播数据加解密方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211198254.XA CN115567207A (zh) 2022-09-29 2022-09-29 采用量子密钥分发实现组播数据加解密方法及系统

Publications (1)

Publication Number Publication Date
CN115567207A true CN115567207A (zh) 2023-01-03

Family

ID=84742093

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211198254.XA Pending CN115567207A (zh) 2022-09-29 2022-09-29 采用量子密钥分发实现组播数据加解密方法及系统

Country Status (1)

Country Link
CN (1) CN115567207A (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743380A (zh) * 2023-08-14 2023-09-12 中电信量子科技有限公司 基于量子密钥分发的otn加密通信方法及系统
CN117768118A (zh) * 2023-12-31 2024-03-26 长江量子(武汉)科技有限公司 密钥充注方法及系统
CN117997538A (zh) * 2024-04-03 2024-05-07 江苏元信网安科技有限公司 基于puf技术的流媒体加密解密系统及加密解密方法

Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134672A (zh) * 2018-03-16 2018-06-08 安徽问天量子科技股份有限公司 基于量子加密交换机装置的数据传输系统及其传输方法
CN108667607A (zh) * 2018-05-18 2018-10-16 国网信息通信产业集团有限公司 一种配用电终端的量子密钥同步方法
CN110224821A (zh) * 2019-06-06 2019-09-10 安徽问天量子科技股份有限公司 一种无人移动平台的通信加密方法
CN111698238A (zh) * 2020-06-05 2020-09-22 中国电力科学研究院有限公司 电力物联网终端层设备密钥的管理方法、系统及存储介质
CN111953492A (zh) * 2020-09-15 2020-11-17 国科量子通信网络有限公司 基于量子密钥加密的erp联网监控系统及其应用方法
WO2021090027A1 (en) * 2019-11-08 2021-05-14 Arqit Limited Quantum-safe networking
CN112887086A (zh) * 2021-01-19 2021-06-01 北京邮电大学 量子密钥同步方法及系统
CN113890732A (zh) * 2021-10-14 2022-01-04 成都信息工程大学 一种基于区块链的保密通信方法及其安全事件的追溯方法
CN114785421A (zh) * 2022-04-24 2022-07-22 矩阵时光数字科技有限公司 一种基于量子加密的im离线消息处理方法
CN114826569A (zh) * 2022-03-28 2022-07-29 北京沃东天骏信息技术有限公司 一种信息处理方法及服务器、客户端、存储介质

Patent Citations (10)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108134672A (zh) * 2018-03-16 2018-06-08 安徽问天量子科技股份有限公司 基于量子加密交换机装置的数据传输系统及其传输方法
CN108667607A (zh) * 2018-05-18 2018-10-16 国网信息通信产业集团有限公司 一种配用电终端的量子密钥同步方法
CN110224821A (zh) * 2019-06-06 2019-09-10 安徽问天量子科技股份有限公司 一种无人移动平台的通信加密方法
WO2021090027A1 (en) * 2019-11-08 2021-05-14 Arqit Limited Quantum-safe networking
CN111698238A (zh) * 2020-06-05 2020-09-22 中国电力科学研究院有限公司 电力物联网终端层设备密钥的管理方法、系统及存储介质
CN111953492A (zh) * 2020-09-15 2020-11-17 国科量子通信网络有限公司 基于量子密钥加密的erp联网监控系统及其应用方法
CN112887086A (zh) * 2021-01-19 2021-06-01 北京邮电大学 量子密钥同步方法及系统
CN113890732A (zh) * 2021-10-14 2022-01-04 成都信息工程大学 一种基于区块链的保密通信方法及其安全事件的追溯方法
CN114826569A (zh) * 2022-03-28 2022-07-29 北京沃东天骏信息技术有限公司 一种信息处理方法及服务器、客户端、存储介质
CN114785421A (zh) * 2022-04-24 2022-07-22 矩阵时光数字科技有限公司 一种基于量子加密的im离线消息处理方法

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743380A (zh) * 2023-08-14 2023-09-12 中电信量子科技有限公司 基于量子密钥分发的otn加密通信方法及系统
CN117768118A (zh) * 2023-12-31 2024-03-26 长江量子(武汉)科技有限公司 密钥充注方法及系统
CN117997538A (zh) * 2024-04-03 2024-05-07 江苏元信网安科技有限公司 基于puf技术的流媒体加密解密系统及加密解密方法
CN117997538B (zh) * 2024-04-03 2024-06-11 江苏元信网安科技有限公司 基于puf技术的流媒体加密解密系统及加密解密方法

Similar Documents

Publication Publication Date Title
US5633933A (en) Method and apparatus for a key-management scheme for internet protocols
US8600063B2 (en) Key distribution system
CN105743646B (zh) 一种基于身份的加密方法及系统
US5812671A (en) Cryptographic communication system
US7602919B2 (en) Method of integrating QKD with IPSec
CN112398651B (zh) 一种量子保密通信方法、装置、电子设备以及存储介质
CN115567207A (zh) 采用量子密钥分发实现组播数据加解密方法及系统
EP0876027A2 (en) Method and apparatus for achieving perfect forward secrecy in closed user groups
WO2010030161A2 (en) Method of integrating quantum key distribution with internet key exchange protocol
CN109586908A (zh) 一种安全报文传输方法及其系统
WO2020162982A1 (en) End-to-end double-ratchet encryption with epoch key exchange
CN115567206A (zh) 采用量子分发密钥实现网络数据报文加解密方法及系统
CN115567210A (zh) 采用量子密钥分发实现零信任访问的方法及系统
CN115567205A (zh) 采用量子密钥分发实现网络会话数据流加解密方法及系统
CN115766002A (zh) 采用量子密钥分发及软件定义实现以太数据加解密的方法
CN102905199A (zh) 一种组播业务实现方法及其设备
CN101729536B (zh) 一种ip多媒体子系统延迟媒体信息传输方法及系统
CN116405320B (zh) 数据传输方法及装置
CN115567192A (zh) 采用量子密钥分发实现组播数据透明加解密方法及系统
CN110912691A (zh) 一种云环境下基于格上访问控制加密算法的密文分发方法、装置、系统及存储介质
CN114050897B (zh) 一种基于sm9的异步密钥协商方法及装置
CN113271586B (zh) 电力设备体域网安全通信方法及系统、存储介质
CN116112202A (zh) 采用自学习自组织方式实现以太数据加解密的方法
CN115567208A (zh) 网络会话数据流细粒度透明加解密方法及系统
CN114362926B (zh) 基于密钥池的量子保密通信网络密钥管理通信系统及方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination