CN115567210A - 采用量子密钥分发实现零信任访问的方法及系统 - Google Patents
采用量子密钥分发实现零信任访问的方法及系统 Download PDFInfo
- Publication number
- CN115567210A CN115567210A CN202211198409.XA CN202211198409A CN115567210A CN 115567210 A CN115567210 A CN 115567210A CN 202211198409 A CN202211198409 A CN 202211198409A CN 115567210 A CN115567210 A CN 115567210A
- Authority
- CN
- China
- Prior art keywords
- key
- master key
- security level
- security
- message
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 51
- 238000013507 mapping Methods 0.000 claims abstract description 42
- 238000005516 engineering process Methods 0.000 abstract description 4
- 239000010410 layer Substances 0.000 description 10
- 238000004891 communication Methods 0.000 description 9
- 238000012545 processing Methods 0.000 description 8
- 230000008569 process Effects 0.000 description 7
- 238000013475 authorization Methods 0.000 description 6
- 239000003795 chemical substances by application Substances 0.000 description 6
- 238000011156 evaluation Methods 0.000 description 5
- 238000010586 diagram Methods 0.000 description 3
- 230000006870 function Effects 0.000 description 3
- 239000000463 material Substances 0.000 description 3
- 238000004806 packaging method and process Methods 0.000 description 2
- 230000004075 alteration Effects 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000006872 improvement Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000003287 optical effect Effects 0.000 description 1
- 239000013307 optical fiber Substances 0.000 description 1
- 239000002356 single layer Substances 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000001360 synchronised effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/10—Network architectures or network communication protocols for network security for controlling access to devices or network resources
- H04L63/105—Multiple levels of security
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/321—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority
- H04L9/3213—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving a third party or a trusted authority using tickets or tokens, e.g. Kerberos
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开一种采用量子密钥分发实现零信任访问的方法及系统,包括向安全中心发送资源访问请求,以使安全中心从与用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,利用用户主密钥加密安全等级主密钥,生成信任令牌;接收安全中心返回的所述信任令牌,基于信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;向加密网关发送用户会话数据报文并建立第一流表,所述第一流表存放被访问资源信息和数据加密密钥的映射关系;接收加密网关返回的出站报文并基于第一流表,取出数据加密密钥,并对出站报文进行解密得到所需访问的资源信息。基于量子密钥分发和对称密码技术实现了传统零信任方案所缺乏的强制访问控制。
Description
技术领域
本发明涉及密码应用技术领域,具体涉及一种采用量子密钥分发实现零信任访问的方法及系统。
背景技术
目前各种零信任解决方案,都是把VPN设备之类的加密网关作为策略执行点-零信任网关,通过SSL通道的建立实现流量加密,通过安全策略实现对资源的访问控制,这种模式存在以下问题:
(1)根据信任评估结果决定给用户的访问授权是通过安全策略的方式下发,类似于自主访问控制(Discretinoary Access Control,DAC),没有起到强制访问控制(MandatoryAccessControl,MAC)的目的。
(2)SSL加密通道建立的握手过程较为复杂,有一定的计算和通信代价,因此产生的会话密钥一般会使用一段时间,从安全性上来讲无法做到一次一密。
(3)SSL加密通道建立的握手过程基于非对称密钥对和数字证书,用于加密传送会话密钥素材的公钥是公开的,随着量子计算机计算能力的提升,存在被破译的可能性,从而导致需传递的会话密钥被破译窃取。
相关技术中,公布号为CN114338019A的中国发明专利文献记载了一种基于量子密钥分发的网络通信方法、系统、装置及存储介质,实现步骤包括:用户设备上的终端代理向网关发送动态端口请求;网关基于动态端口请求向量子密钥分发服务器发送量子随机数请求;量子密钥分发服务器基于量子随机数请求生成一对量子随机数,并将一个发给终端代理,另一个发给网关,以触发终端代理和网关基于量子随机数确定同一动态端口号;终端代理和网关在动态端口号对应的端口上进行数据通信以获取目标数据资源。该方案用于实现量子密钥分发的零信任安全防护,主要特点在于:(1)基于量子随机数产生用户终端访问网关的动态端口;(2)基于预存量子密钥一包一密加密保护用户终端和网关之间的通信。
该方案中预存密钥直接用于数据通信加密,安全性不高。
公布号为CN114499834A的中国发明专利文献记载了一种物联网量子密钥分发方法、系统、电子设备及存储介质,通过将量子密钥服务内嵌于物联网网关中,在物联网工作流程中,通过物联网网关对终端设备的加密需求进行等级划分,实现根据终端设备业务安全需求等级的高低来先后提供量子密钥资源,物联网网关向网络层发出量子密钥查询请求,得到量子密钥池中的量子密钥量与加密需求查询结果。根据查询结果,物联网网关采用加密算法对量子密钥池中的量子密钥进行扩充。该方案用于实现不同终端设备间业务加密安全级别的差异动态量子密钥供给,主要特点在于:(1)建立与量子加密等级相当的量子密钥池并根据需要扩充;(2)由集中式的密钥控制器和密钥管理器进行密钥池的管理和密钥分发。该方案中加密等级对应于不同的密钥供给量。
发明内容
本发明所要解决的技术问题在于如何实现对零信任网关所保护资源的强制访问控制。
本发明通过以下技术手段实现解决上述技术问题的:
第一方面,本发明提出了一种采用量子密钥分发实现零信任访问的方法,所述方法应用于用户终端,所述用户终端内设置用户主密钥池,所述用户主密钥池中存储有经量子密钥分发网络预先充注的用户主密钥,包括以下步骤:
向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
本发明分发给用户终端的安全等级主密钥直接和用户访问资源的权限对应,不同安全等级的资源其访问权限对应于不同的安全等级主密钥;直接使用安全等级主密钥来进行访问授权,不同安全等级主密钥构成了访问令牌,用户和所访问资源的安全等级不匹配时,用户和加密网关所持有的密钥也不匹配,从而无法互通;使用了三层密钥体系,用户主密钥和域主密钥保护安全等级主密钥的分发,安全等级主密钥保护数据加密密钥,数据加密密钥采用一包一密或一流一密的模式随机产生,用户主密钥、域主密钥和安全等级主密钥均来自于由预先产生的量子密钥充注的对应的主密钥池;量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护。
进一步地,所述接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,包括:
接收所述安全中心返回的所述信任令牌,所述信任令牌携带有用户主密钥的ID标识、所述安全等级主密钥及其ID标识;
基于所述用户主密钥的ID标识从所述用户主密钥池中获取对应的用户主密钥,并解密所述信任令牌,获取所述安全等级主密钥及其ID标识;
利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,以用于发送至所述加密网关。
进一步地,所述利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,包括:
使用所述数据加密密钥对所述用户会话数据报文进行加密,得到加密报文,并在所述加密报文中附加安全报文头;
使用所述安全等级主密钥对所述数据加密密钥进行加密,并将数据加密密钥密文放入所述安全报文头,得到加密处理后的所述用户会话数据报文,所述安全报文头的格式为:安全等级主密钥+数据加密密钥密文+附加信息。
进一步地,所述基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息,包括:
基于所述第一流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥;
利用所述数据加密密钥对所述出站报文进行解密,得到用户所需访问的资源信息。
第二方面,本发明提出了一种采用量子密钥分发实现零信任访问的方法,所述方法应用与加密网关,所述加密网关中设置域主密钥池,所述域主密钥池中存储有经量子密钥分发网络预先充注的域主密钥,包括以下步骤:
接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
进一步地,所述接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系,包括:
接收所述安全中心返回的所述安全等级主密钥密文,并利用所述域主密钥解密所述安全等级主密钥密文,得到所述安全等级主密钥;
使用所述安全等级主密钥解密所述数据加密密钥密文,得到所述数据加密密钥;
使用所述数据加密密钥,解密所述用户会话数据报文,并建立所述第二流表,存放资源信息和所述数据加密密钥的映射关系。
进一步地,所述资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
第三方面,本发明提出了一种采用量子密钥分发实现零信任访问的用户终端,所述用户终端内集成第一数据收发模块、用户会话数据报文生成模块、第一流表建立模块、资源访问模块以及第一安全存储介质,所述第一安全存储介质内有由用户主密钥构建的用户主密钥池;
所述第一数据收发模块,用于向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述第一数据收发模块,用于接收所述安全中心返回的所述信任令牌;
所述用户会话数据报文生成模块,用于基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
所述第一数据收发模块,用于向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
第一流表建立模块,用于建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述第一数据收发模块,用于接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
所述资源信息访问模块,用于基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
第四方面,本发明提出了一种采用量子密钥分发实现零信任访问的加密网关,所述加密网关内集成第二数据收发模块、密钥请求报文生成模块、第二流表建立模块、出站报文生成模块和第二安全存储介质,所述第二安全存储介质中设置由域主密钥构成的域主密钥池;
第二数据收发模块,用于接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
密钥请求报文生成模块,用于从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
第一数据收发模块,用于向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
第一数据收发模块,用于接收所述安全中心返回的所述安全等级主密钥密文;
第二流表建立模块,用于基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
出站报文生成模块,用于获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
第五方面,本发明提出了一种采用量子密钥分发实现零信任访问的系统,所述系统包括用户终端、加密网关、安全中心和量子密钥分发网络,所述用户终端、所述加密网关和所述安全中心均与所述量子密钥分发网络连接,所述用户终端与所述加密网关连接,所述用户终端集成第一安全存储介质,所述加密网关集成第二安全存储介质,所述安全中心集成第三安全存储介质,所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质中分别存储有用户主密钥、域主密钥和与资源安全等级对应的安全等级主密钥,其中:
所述量子密钥分发网络,用于向所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质内分别充注对应的主密钥;
所述用户终端用于向安全中心发送资源访问请求,所述安全中心根据所述资源访问请求从与所述用户终端的可访问资源安全等级对应的安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述用户终端基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,并发送至所述加密网关;并建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述加密网关,用于从所述第二安全存储介质内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;并采用对应的安全等级主密钥解密得到所述数据加密密钥,利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成出站报文;
所述用户终端,用于接收所述加密网关返回的出站报文,并基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
本发明的优点在于:
(1)用户终端向安全中心发送资源访问请求,获取与用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,分发给用户终端的安全等级主密钥直接和用户访问资源的权限对应,不同安全等级的资源其访问权限对应于不同的安全等级主密钥;直接使用安全等级主密钥来进行访问授权,不同安全等级主密钥构成了访问令牌,用户和所访问资源的安全等级不匹配时,用户和加密网关所持有的密钥也不匹配,从而无法互通;使用了三层密钥体系,用户主密钥和域主密钥保护安全等级主密钥的分发,安全等级主密钥保护数据加密密钥,数据加密密钥采用一包一密或一流一密的模式随机产生,用户主密钥、域主密钥和安全等级主密钥均来自于由预先产生的量子密钥充注的对应的主密钥池;量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护。通过采用量子密钥分发和零信任安全等级绑定的方式实现对零信任系统所保护资源的强制访问控制,具备更高的密钥安全性、更强的访问控制能力和更好的系统扩展性。
本发明附加的方面和优点将在下面的描述中部分给出,部分将从下面的描述中变得明显,或通过本发明的实践了解到。
附图说明
图1是本发明第一实施例提出的采用量子密钥分发实现零信任访问的方法的流程示意图;
图2是本发明第二实施例提出的采用量子密钥分发实现零信任访问的方法的流程示意图;
图3是本发明第三实施例提出的采用量子密钥分发实现零信任访问的用户终端的结构示意图;
图4是本发明第四实施例提出的采用量子密钥分发实现零信任访问的用户终端的结构示意图;
图5是本发明第五实施例提出的采用量子密钥分发实现零信任访问的系统的结构示意图;
图6是本发明第五实施例提出的采用量子密钥分发实现零信任访问的系统的工作流程图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
实施例1
如图1所示,本发明第一实施例提出的一种采用量子密钥分发实现零信任访问的方法,所述方法应用于用户终端,所述用户终端内设置用户主密钥池,所述用户主密钥池中存储有经量子密钥分发网络预先充注的用户主密钥,包括以下步骤:
S101、向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
S102、接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
S103、向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
S104、建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
S105、接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
S106、基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
需要说明的是,用户终端集成有第一安全存储介质,第一安全存储介质内设置用户主密钥池,该第一安全存储介质可采用安全SIM卡、安全TF卡或安全U盾等大容量安全存储介质,其中安全SIM卡和TF卡可放入终端(如手机)内部,U盾是插拔式。
利用量子密钥分发网络等对称密钥管理系统向注册用户终端离线预充注大量的用户主密钥,密钥格式为:4字节用户ID+用户主密钥ID+n字节用户主密钥和n字节初始化向量,通过定义了用户ID和密钥ID并唯一确定一个密钥,不同用户的主密钥各自不同。
应当理解的是,n取值与具体采用的加密算法相关,本实施例不作具体限定。
需要说明的是,安全中心为被保护的资源划分安全等级,通过量子密钥分发网络为每个安全等级建立一个安全等级主密钥池,每个安全等级主密钥池存储对应等级的安全等级主密钥,且同一安全等级主密钥池中的密钥ID相同。
本实施例中用户终端向安全中心发送资源访问请求,获取与用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,分发给用户终端的安全等级主密钥直接和用户访问资源的权限对应,不同安全等级的资源其访问权限对应于不同的安全等级主密钥;直接使用安全等级主密钥来进行访问授权,不同安全等级主密钥构成了访问令牌,用户和所访问资源的安全等级不匹配时,用户和加密网关所持有的密钥也不匹配,从而无法互通;使用了三层密钥体系,用户主密钥和域主密钥保护安全等级主密钥的分发,安全等级主密钥保护数据加密密钥,数据加密密钥采用一包一密或一流一密的模式随机产生,用户主密钥、域主密钥和安全等级主密钥均来自于由预先产生的量子密钥充注的对应的主密钥池;量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护。通过采用量子密钥分发和零信任安全等级绑定的方式实现对零信任系统所保护资源的强制访问控制,具备更高的密钥安全性、更强的访问控制能力和更好的系统扩展性。
本实施例实现了强制访问控制,分发给网关的密钥和资源的安全等级匹配,客户端如果跨等级访问,因为密钥不同,无法成功;网关的访问控制策略允许访问也没用,因为密钥是和安全等级相匹配的并由安全中心统一分发。
需要说明的是,与公开号为CN114338019A的中国发明专利记载的方案相比,本实施例中,预存密钥不是直接用于数据通信加密,而是作为密钥保护密钥保护加密数据通信的会话密钥的分发,安全性更高。通过采用两层密钥比单一层的密钥安全性高,就算被破解也只是得到密钥而不是数据,要得到数据还得进一步破解。而且实际的数据加密密钥是实时产生的,不用担心存储过程的泄露问题,比预存密钥安全性高。
与公开为CN114499834A的中国发明专利文献记载的方案相比,本实施例安全等级对应于不同的资源及其密钥池,密钥池用于保护会话密钥的分发,分发给网关和客户端的密钥都属于客户端被授权访问的资源的安全等级对应的密钥池,如果客户端访问其他安全等级的资源,客户端得到的密钥和网关得到的密钥就会属于不同的安全等级的密钥池,就无法互通,进而决定了客户端只能访问对应安全等级的资源。
在一实施例中,所述方法还包括以下步骤:
接收所述安全中心返回的所述信任令牌,所述信任令牌在所述安全中心基于量子密钥分发网络进行基于预充注用户主密钥对用户终端进行身份认证及动态信任评估通过后生成;
接收所述安全中心返回的通话终止指令,所述通话终止指令在所述全中心基于量子密钥分发网络进行基于预充注用户主密钥对用户终端进行身份认证及动态信任评估未通过后生成。
在一实施例中,所述安全中心生成信任令牌的过程为:根据用户终端的信任等级确定用户终端可访问资源的安全等级,从对应安全等级的密钥池中随机选则安全等级主密钥,通过量子密钥分发网络随机选取用户主密钥,并利用用户主密钥对安全等级主密钥及其密钥ID标识进行加密,封装为信任令牌:用户主密钥ID+安全等级主密钥及其ID标识。
在一实施例中,所述步骤S102:接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,包括以下步骤:
S121、接收所述安全中心返回的所述信任令牌,所述信任令牌携带有用户主密钥的ID标识、所述安全等级主密钥及其ID标识;
S122、基于所述用户主密钥的ID标识从所述用户主密钥池中获取对应的用户主密钥,并解密所述信任令牌,获取所述安全等级主密钥及其ID标识;
S123、利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,以用于发送至所述加密网关。
本实施例中,用户终端解密信任令牌获取安全等级主密钥及其ID标识,对用户会话数据报文进行一包一密或一流一密的加密处理,数据的加密密钥为实时产生的随机数,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),采用该加密方式可可处理非分组整数倍的数据。
在一实施例中,所述步骤S123中:利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,包括以下步骤:
使用所述数据加密密钥对所述用户会话数据报文进行加密,得到加密报文,并在所述加密报文中附加安全报文头;
使用所述安全等级主密钥对所述数据加密密钥进行加密,并将数据加密密钥密文放入所述安全报文头,得到加密处理后的所述用户会话数据报文,所述安全报文头的格式为:安全等级主密钥+数据加密密钥密文+附加信息。
需要说明的是,安全文头格式为:4字节安全等级主密钥ID+n字节数据加密密钥密文+附加信息,在加密传输层信息的情况,附加信息为源端口信息和目的端口信息。另外,该处的n的取值与采用的加密算法相关,本实施例不作具体限定。
本实施例中,量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护;且用户会话数据报文的格式采用数字信封方式,将数据和加密数据的密钥在同一包中安全传送,可以避免密钥不同步,实现一包一密。
在一实施例中,所述步骤S104:建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系,包括以下步骤:
基于所述第一流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥;
利用所述数据加密密钥对所述出站报文进行解密,得到用户所需访问的资源信息。
需要说明的是,资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
本实施例采用一包一密模式,用户终端对会话的每个出站报文重复一流一密模式,在会话的生命周期使用同一个数据加密密钥,即首包之后的会话数据流的每个出站报文均根据资源五元组和数据加密密钥的映射关系,取出数据加密密钥加密用户数据报文,安全报文头只在首包出现。
本实施例基于量子密钥分发技术提供的大容量对称预共享密钥,提供了一种不基于公钥密码体制并可实现一次一密形式全流量加密的零信任网络身份认证和安全通信方法,基于量子密钥分发和对称密码技术实现了传统零信任方案所缺乏的强制访问控制,提高了安全性;并可显著减少采用PKI作为零信任身份管理方案的复杂度,因为PKI体系涉及到数字证书及公私钥密钥对的产生、签发、认证、有效性验证、撤销一及个人身份的注册、鉴别、授权等一系列复杂问题,相较于本方案的集中量子密钥分发,实现的复杂度较高。
实施例2
如图2所示,本发明第二实施例提出了一种采用量子密钥分发实现零信任访问的方法,所述方法应用与加密网关,所述加密网关中设置域主密钥池,所述域主密钥池中存储有经量子密钥分发网络预先充注的域主密钥,包括以下步骤:
S201、接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
S202、从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
S203、向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
S204、接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
S205、获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
需要说明的是,加密网关集成有第二安全存储介质,第二安全存储介质内设置域主密钥池,该第二安全存储介质可采用安全SIM卡、安全TF卡或安全U盾等大容量安全存储介质,其中安全SIM卡和TF卡可放入加密网关内部,U盾是插拔式。
利用量子密钥分发网络等对称密钥管理系统向注册加密网关离线预充注大量的用户主密钥,密钥格式为:4字节网关ID+域主密钥ID+n字节域主密钥和n字节初始化向量,通过定义了光管ID和域主密钥ID并唯一确定一个密钥,不同加密网关的主密钥各自不同。
应当理解的是,n取值与具体采用的加密算法相关,本实施例不作具体限定。
需要说明的是,域内所有网关共享由相同域主密钥ID标识的相同域主密钥。
本实施例使用了三层密钥体系,用户主密钥和域主密钥保护安全等级主密钥的分发,安全等级主密钥保护数据加密密钥,数据加密密钥采用一包一密或一流一密的模式随机产生,用户主密钥、域主密钥和安全等级主密钥均来自于由预先产生的量子密钥充注的对应的主密钥池;量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护。通过采用量子密钥分发和零信任安全等级绑定的方式实现对零信任系统所保护资源的强制访问控制,具备更高的密钥安全性、更强的访问控制能力和更好的系统扩展性。
在一实施例中,用户对会话的每个出站报文重复一流一密加密模式,在会话的生命周期使用同一个数据加密密钥,即首包之后的会话数据流的每个出站报文均根据资源五元组和数据加密密钥的映射关系,取出数据加密密钥加密用户数据报文,安全报文头只在首包出现。因此加密网关对于不含安全报文头的数据报文则直接从流表获取数据加密密钥,对于包含安全报文头的数据报文,则需要向安全中心请求获取对应的安全等级主密钥,利用安全等级主密钥解密数据加密密钥密文,来获取数据加密密钥。
在一实施例中,所述步骤S204:接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系,包括以下步骤:
S241、接收所述安全中心返回的所述安全等级主密钥密文,并利用所述域主密钥解密所述安全等级主密钥密文,得到所述安全等级主密钥;
S242、使用所述安全等级主密钥解密所述数据加密密钥密文,得到所述数据加密密钥;
S243、使用所述数据加密密钥,解密所述用户会话数据报文,并建立所述第二流表,存放资源信息和所述数据加密密钥的映射关系。
加密网关对从被保护资源返回的资源信息,根据第二流表中资源五元组和数据加密密钥的映射关系,取出数据加密密钥加密资源信息,得到出站报文并返回至用户终端。
本实施例基于量子密钥分发和对称密码技术实现了传统零信任方案所缺乏的强制访问控制,提高了安全性。
在一实施例中,所述资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
实施例3
如图3所示,本发明第三实施例提出了一种采用量子密钥分发实现零信任访问的用户终端,所述用户终端内集成第一数据收发模块11、用户会话数据报文生成模块12、第一流表建立模块13、资源访问模块14以及第一安全存储介质15,所述第一安全存储介质15内有由用户主密钥构建的用户主密钥池;
所述第一数据收发模块11,用于向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述第一数据收发模块11,用于接收所述安全中心返回的所述信任令牌;
所述用户会话数据报文生成模块12,用于基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
所述第一数据收发模块11,用于向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
第一流表建立模块13,用于建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述第一数据收发模块11,用于接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
所述资源信息访问模块14,用于基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
第一安全存储介质内设置用户主密钥池,该第一安全存储介质可采用安全SIM卡、安全TF卡或安全U盾等大容量安全存储介质,其中安全SIM卡和TF卡可放入终端(如手机)内部,U盾是插拔式。
利用量子密钥分发网络等对称密钥管理系统向注册用户终端离线预充注大量的用户主密钥,密钥格式为:4字节用户ID+用户主密钥ID+n字节用户主密钥和n字节初始化向量,通过定义了用户ID和密钥ID并唯一确定一个密钥,不同用户的主密钥各自不同。
需要说明的是,安全中心为被保护的资源划分安全等级,通过量子密钥分发网络为每个安全等级建立一个安全等级主密钥池,每个安全等级主密钥池存储对应等级的安全等级主密钥,且同一安全等级主密钥池中的密钥ID相同。
本实施例通过采用量子密钥分发和零信任安全等级绑定的方式实现对零信任系统所保护资源的强制访问控制,具备更高的密钥安全性、更强的访问控制能力和更好的系统扩展性。
在一实施例中,所述安全中心生成信任令牌的过程为:根据用户终端的信任等级确定用户终端可访问资源的安全等级,从对应安全等级的密钥池中随机选则安全等级主密钥,通过量子密钥分发网络随机选取用户主密钥,并利用用户主密钥对安全等级主密钥及其密钥ID标识进行加密,封装为信任令牌:用户主密钥ID+安全等级主密钥及其ID标识。
在一实施例中,所述用户会话数据报文生成模块12,具体包括:
信任令牌解密单元,用于基于所述用户主密钥的ID标识从所述用户主密钥池中获取对应的用户主密钥,并解密所述信任令牌,获取所述安全等级主密钥及其ID标识;
用户会话数据报文加密单元,用于利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,以用于发送至所述加密网关。
本实施例中,用户终端解密信任令牌获取安全等级主密钥及其ID标识,对用户会话数据报文进行一包一密或一流一密的加密处理,数据的加密密钥为实时产生的随机数,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),采用该加密方式可可处理非分组整数倍的数据。
在一实施例中,所述用户会话数据报文加密单元,具体用于:
使用所述数据加密密钥对所述用户会话数据报文进行加密,得到加密报文,并在所述加密报文中附加安全报文头;
使用所述安全等级主密钥对所述数据加密密钥进行加密,并将数据加密密钥密文放入所述安全报文头,得到加密处理后的所述用户会话数据报文,所述安全报文头的格式为:安全等级主密钥+数据加密密钥密文+附加信息。
需要说明的是,安全文头格式为:4字节安全等级主密钥ID+n字节数据加密密钥密文+附加信息,在加密传输层信息的情况,附加信息为源端口信息和目的端口信息。另外,该处的n的取值与采用的加密算法相关,本实施例不作具体限定。
在一实施例中,所述第一流表建立模块13,具体用于:
基于所述第一流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥;
利用所述数据加密密钥对所述出站报文进行解密,得到用户所需访问的资源信息。
需要说明的是,资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
本实施例采用一包一密模式,用户终端对会话的每个出站报文重复一流一密模式,在会话的生命周期使用同一个数据加密密钥,即首包之后的会话数据流的每个出站报文均根据资源五元组和数据加密密钥的映射关系,取出数据加密密钥加密用户数据报文,安全报文头只在首包出现。
需要说明的是,本发明所述采用量子密钥分发实现零信任访问的用户终端的其他实施例或具有实现方法可参照上述方法实施例1,此处不再赘余。
实施例4
如图4所示,本发明第四实施例提出了一种采用量子密钥分发实现零信任访问的加密网关,所述加密网关内集成第二数据收发模块21、密钥请求报文生成模块22、第二流表建立模块23、出站报文生成模块24和第二安全存储介质25,所述第二安全存储介质25中设置由域主密钥构成的域主密钥池;
第二数据收发模块21,用于接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
密钥请求报文生成模块22,用于从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
第一数据收发模块21,用于向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
第一数据收发模块21,用于接收所述安全中心返回的所述安全等级主密钥密文;
第二流表建立模块23,用于基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
出站报文生成模块24,用于获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
需要说明的是,第二安全存储介质可采用安全SIM卡、安全TF卡或安全U盾等大容量安全存储介质,其中安全SIM卡和TF卡可放入加密网关内部,U盾是插拔式。
利用量子密钥分发网络等对称密钥管理系统向注册加密网关离线预充注大量的用户主密钥,密钥格式为:4字节网关ID+域主密钥ID+n字节域主密钥和n字节初始化向量,通过定义了光管ID和域主密钥ID并唯一确定一个密钥,不同加密网关的主密钥各自不同。
需要说明的是,域内所有网关共享由相同域主密钥ID标识的相同域主密钥。
本实施例使用了三层密钥体系,用户主密钥和域主密钥保护安全等级主密钥的分发,安全等级主密钥保护数据加密密钥,数据加密密钥采用一包一密或一流一密的模式随机产生,用户主密钥、域主密钥和安全等级主密钥均来自于由预先产生的量子密钥充注的对应的主密钥池;量子密钥分发网络充注的用户主密钥、域主密钥以及安全等级主密钥不直接加密数据,只用于数据加密密钥的分发保护。通过采用量子密钥分发和零信任安全等级绑定的方式实现对零信任系统所保护资源的强制访问控制,具备更高的密钥安全性、更强的访问控制能力和更好的系统扩展性。
在一实施例中,所述出站报文生成模块24,具体包括:
安全等级主密钥密文解密单元,用于利用所述域主密钥解密所述安全等级主密钥密文,得到所述安全等级主密钥;
数据加密密钥密文解密单元,用于使用所述安全等级主密钥解密所述数据加密密钥密文,得到所述数据加密密钥;
用户会话数据报文解密单元,用于使用所述数据加密密钥,解密所述用户会话数据报文,并建立所述第二流表,存放资源信息和所述数据加密密钥的映射关系。
本实施例基于量子密钥分发和对称密码技术实现了传统零信任方案所缺乏的强制访问控制,提高了安全性。
在一实施例中,所述资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
需要说明的是,本发明所述采用量子密钥分发实现零信任访问加密网关的其他实施例或具有实现方法可参照上述方法实施例2,此处不再赘余。
实施例5
如图5所示,本发明第五实施例提出了一种采用量子密钥分发实现零信任访问的系统,所述系统包括用户终端10、加密网关20、安全中心30和量子密钥分发网络40,所述用户终端10、所述加密网关20和所述安全中心30均与所述量子密钥分发网络40连接,所述用户终端10与所述加密网关20连接,所述用户终端10集成第一安全存储介质,所述加密网关20集成第二安全存储介质,所述安全中心30集成第三安全存储介质,所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质中分别存储有用户主密钥、域主密钥和与资源安全等级对应的安全等级主密钥,其中:
所述量子密钥分发网络40,用于向所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质内分别充注对应的主密钥;
所述用户终端10用于向安全中心30发送资源访问请求,所述安全中心30根据所述资源访问请求从与所述用户终端的可访问资源安全等级对应的安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述用户终端10基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,并发送至所述加密网关;并建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述加密网关20,用于从所述第二安全存储介质内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;并采用对应的安全等级主密钥解密得到所述数据加密密钥,利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成出站报文;
所述用户终端10,用于接收所述加密网关返回的出站报文,并基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
本实施例中,加密网关:用于对通过网络传输的用户数据进行加解密处理和对访问业务资源的行为进行网络访问控制;
安全中心:用于提供加密网关、密钥代理、量子网络节点的对应关系,进行应用资源的安全等级划分,提供安全等级对应的主密钥,提供用户和加密网关的注册和身份绑定服务,提供身份认证和信任评估服务;
量子密钥分发网络:用于包含量子网络节点和量子网络链路控制中心,实现量子密钥生成和分发、量子密钥中继、量子密钥提供等服务;
量子网络节点:用于存储生成的量子密钥,接收密钥代理的密钥申请,向密钥代理提供密钥或直接提供密钥充注和密钥分发服务;
量子网络链路控制中心:可按照量子网络节点ID建立节点间的量子密钥分发及中继链路。
在一实施例中,所述系统还包括加密代理,用于在加密网关不能直接在量子密钥分发网络的节点进行密钥充注和密钥分发的情况下提供密钥充注和密钥分发的代理功能。
在一实施例中,所述用户终端10,还用于:
基于所述用户主密钥的ID标识从所述用户主密钥池中获取对应的用户主密钥,并解密所述信任令牌,获取所述安全等级主密钥及其ID标识;
使用所述数据加密密钥对所述用户会话数据报文进行加密,得到加密报文,并在所述加密报文中附加安全报文头;
使用所述安全等级主密钥对所述数据加密密钥进行加密,并将数据加密密钥密文放入所述安全报文头,得到加密处理后的所述用户会话数据报文,所述安全报文头的格式为:安全等级主密钥+数据加密密钥密文+附加信息。
如图6所示,本实施例提出的采用量子密钥分发实现零信任访问的系统的工作流程如下:
(1)量子密钥分发网络分别为用户终端、加密网关和安全中心内充注用户主密钥、域主密钥和安全等级主密钥;安全中心为被保护的资源划分安全等级,不同的资源安全等级对应建立一个安全等级主密钥池。
(2)用户终端向安全中心对提出资源访问请求,安全中心对用户通过量子密钥分发网络进行基于预充注用户主密钥的身份认证及动态信任评估后,根据其信任等级确定其可访问资源的安全等级,从安全等级的密钥池中随机选则主密钥,将主密钥及其密钥ID用随机选择的用户主密钥(通过量子密钥分发网络获取)加密,封装为信任令牌:用户主密钥ID+安全等级主密钥及其ID,发送给用户终端;
(3)用户终端解密信任令牌获取安全等级主密钥及其ID,对用户会话数据报文进行一包一密或一流一密的加密处理,数据的加密密钥为实时产生的随机数,加密模式为CBC(算法分组整数倍)+CFB(算法分组整数倍之外的余数部分),并对每个数据报文附加一个安全报文头,将数据加密密钥用安全等级主密钥加密后放入报文头,在发送加密处理的用户会话数据报文的同时建立第一流表,存放被访问资源五元组和数据加密密钥的映射关系;
安全文头格式为:4字节安全等级主密钥ID+n字节数据加密密钥密文(n与加密算法相关)+附加信息(在加密传输层信息的情况下,在此处加入源和目的端口信息)。
(4)加密网关接收到入站的含有安全报文头的用户会话数据报文后,随机选择域主密钥并用域主密钥加密用户访问的资源信息和安全等级主密钥ID,并加上明文的域主密钥ID,形成安全等级主密钥申请报文以向安全中心请求安全等级主密钥,加密网关对于不含安全报文头的数据报文则直接从流表获取数据加密密钥。
(5)安全中心根据资源对应的安全等级,从该安全等级的密钥池中按照安全等级主密钥ID取出安全等级主密钥,用请求报文的域主密钥ID对应的域主密钥加密后发给加密网关。
(6)加密网关用域主密钥解密安全等级主密钥,然后用安全等级主密钥解密数据加密密钥,进一步用数据加密密钥解密用户数据报文,并建立第二流表存放资源五元组和数据加密密钥的映射关系。
(7)加密网关对从被保护资源返回的资源信息,根据资源五元组和数据加密密钥的映射关系,取出数据加密密钥加密资源信息,得到出站报文。
(8)用户接收到从被保护资源返回的出站报文,根据第二流表中资源五元组和数据加密密钥的映射关系,取出数据加密密钥解密出站报文,得到访问的资源信息。
需要说明的是,在流程图中表示或在此以其他方式描述的逻辑和/或步骤,例如,可以被认为是用于实现逻辑功能的可执行指令的定序列表,可以具体实现在任何计算机可读介质中,以供指令执行系统、装置或设备(如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统)使用,或结合这些指令执行系统、装置或设备而使用。就本说明书而言,“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例(非穷尽性列表)包括以下:具有一个或多个布线的电连接部(电子装置),便携式计算机盘盒(磁装置),随机存取存储器(RAM),只读存储器(ROM),可擦除可编辑只读存储器(EPROM或闪速存储器),光纤装置,以及便携式光盘只读存储器(CDROM)。另外,计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质,因为可以例如通过对纸或其他介质进行光学扫描,接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序,然后将其存储在计算机存储器中。
应当理解,本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中,多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如,如果用硬件来实现,和在另一实施方式中一样,可用本领域公知的下列技术中的任一项或他们的组合来实现:具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路,具有合适的组合逻辑门电路的专用集成电路,可编程门阵列(PGA),现场可编程门阵列(FPGA)等。
在本说明书的描述中,参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施例或示例。而且,描述的具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本发明的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
尽管上面已经示出和描述了本发明的实施例,可以理解的是,上述实施例是示例性的,不能理解为对本发明的限制,本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。
Claims (10)
1.一种采用量子密钥分发实现零信任访问的方法,其特征在于,所述方法应用于用户终端,所述用户终端内设置用户主密钥池,所述用户主密钥池中存储有经量子密钥分发网络预先充注的用户主密钥,包括以下步骤:
向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
2.如权利要求1所述的采用量子密钥分发实现零信任访问的方法,其特征在于,所述接收所述安全中心返回的所述信任令牌,并基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,包括:
接收所述安全中心返回的所述信任令牌,所述信任令牌携带有用户主密钥的ID标识、所述安全等级主密钥及其ID标识;
基于所述用户主密钥的ID标识从所述用户主密钥池中获取对应的用户主密钥,并解密所述信任令牌,获取所述安全等级主密钥及其ID标识;
利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,以用于发送至所述加密网关。
3.如权利要求2所述的采用量子密钥分发实现零信任访问的方法,其特征在于,所述利用实时产生的随机数作为所述数据加密密钥对用户会话数据报文进行加密处理,得到加密处理后的用户会话数据报文,包括:
使用所述数据加密密钥对所述用户会话数据报文进行加密,得到加密报文,并在所述加密报文中附加安全报文头;
使用所述安全等级主密钥对所述数据加密密钥进行加密,并将数据加密密钥密文放入所述安全报文头,得到加密处理后的所述用户会话数据报文,所述安全报文头的格式为:安全等级主密钥+数据加密密钥密文+附加信息。
4.如权利要求2所述的采用量子密钥分发实现零信任访问的方法,其特征在于,所述基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息,包括:
基于所述第一流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥;
利用所述数据加密密钥对所述出站报文进行解密,得到用户所需访问的资源信息。
5.一种采用量子密钥分发实现零信任访问的方法,其特征在于,所述方法应用与加密网关,所述加密网关中设置域主密钥池,所述域主密钥池中存储有经量子密钥分发网络预先充注的域主密钥,包括以下步骤:
接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
6.如权利要求5所述的采用量子密钥分发实现零信任访问的方法,其特征在于,所述接收所述安全中心返回的所述安全等级主密钥密文,并基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系,包括:
接收所述安全中心返回的所述安全等级主密钥密文,并利用所述域主密钥解密所述安全等级主密钥密文,得到所述安全等级主密钥;
使用所述安全等级主密钥解密所述数据加密密钥密文,得到所述数据加密密钥;
使用所述数据加密密钥,解密所述用户会话数据报文,并建立所述第二流表,存放资源信息和所述数据加密密钥的映射关系。
7.如权利要求5所述的采用量子密钥分发实现零信任访问的方法,其特征在于,所述资源信息包括源IP地址、目的IP地址、源端口、目的端口以及协议号。
8.一种采用量子密钥分发实现零信任访问的用户终端,其特征在于,所述用户终端内集成第一数据收发模块、用户会话数据报文生成模块、第一流表建立模块、资源访问模块以及第一安全存储介质,所述第一安全存储介质内有由用户主密钥构建的用户主密钥池;
所述第一数据收发模块,用于向安全中心发送资源访问请求,以使所述安全中心从与所述用户终端的可访问资源的安全等级对应的安全等级主密钥池中获取安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述第一数据收发模块,用于接收所述安全中心返回的所述信任令牌;
所述用户会话数据报文生成模块,用于基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文;
所述第一数据收发模块,用于向加密网关发送所述用户会话数据报文,以使所述加密网关从自身域主密钥池内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;
第一流表建立模块,用于建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述第一数据收发模块,用于接收所述加密网关返回的出站报文,所述出站报文由所述加密网关采用对应的安全等级主密钥解密得到所述数据加密密钥,并利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成;
所述资源信息访问模块,用于基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
9.一种采用量子密钥分发实现零信任访问的加密网关,其特征在于,所述加密网关内集成第二数据收发模块、密钥请求报文生成模块、第二流表建立模块、出站报文生成模块和第二安全存储介质,所述第二安全存储介质中设置由域主密钥构成的域主密钥池;
第二数据收发模块,用于接收用户终端发送的用户会话数据报文,所述用户会话数据报文由所述用户终端利用实时产生的数据加密密钥加密生成,且所述用户会话数据报文中附加安全报文头,所述安全报文头中放入有利用安全等级主密钥加密所述数据加密密钥得到的数据加密密钥密文,所述安全等级主密钥与所述用户终端可访问资源的安全等级对应;
密钥请求报文生成模块,用于从所述域主密钥池中获取所述域主密钥,并利用所述域主密钥加密所述用户终端所需访问的资源信息和安全等级主密钥的ID标识,并将加密密文和所述域主密钥的ID标识明文生成密钥请求报文;
第一数据收发模块,用于向所述安全中心发送所述密钥请求报文,以使所述安全中心根据所述用户终端可访问资源的安全等级,获取对应的安全等级主密钥,并根据所述域主密钥的ID标识从所述量子密钥分发网络中获取对应的域主密钥对该安全等级主密钥进行加密,得到安全等级主密钥密文;
第一数据收发模块,用于接收所述安全中心返回的所述安全等级主密钥密文;
第二流表建立模块,用于基于所述安全等级主密钥密文,建立第二流表,所述第二流表存放资源信息和所述数据加密密钥的映射关系;
出站报文生成模块,用于获取从被保护资源返回的资源信息,并根据所述第二流表中资源信息和所述数据加密密钥的映射关系,取出所述数据加密密钥对所述资源信息进行加密,得到用于发送至所述用户终端的出站报文。
10.一种采用量子密钥分发实现零信任访问的系统,其特征在于,所述系统包括用户终端、加密网关、安全中心和量子密钥分发网络,所述用户终端、所述加密网关和所述安全中心均与所述量子密钥分发网络连接,所述用户终端与所述加密网关连接,所述用户终端集成第一安全存储介质,所述加密网关集成第二安全存储介质,所述安全中心集成第三安全存储介质,所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质中分别存储有用户主密钥、域主密钥和与资源安全等级对应的安全等级主密钥,其中:
所述量子密钥分发网络,用于向所述第一安全存储介质、所述第二安全存储介质和所述第三安全存储介质内分别充注对应的主密钥;
所述用户终端用于向安全中心发送资源访问请求,所述安全中心根据所述资源访问请求从与所述用户终端的可访问资源安全等级对应的安全等级主密钥,并利用从量子密钥分发网络中获取的用户主密钥加密所述安全等级主密钥及其ID标识,生成信任令牌;
所述用户终端基于所述信任令牌和实时产生的数据加密密钥,生成用户会话数据报文,并发送至所述加密网关;并建立第一流表,所述第一流表存放被访问资源信息和所述数据加密密钥的映射关系;
所述加密网关,用于从所述第二安全存储介质内获取域主密钥,并基于所述域主密钥生成密钥请求报文发送至所述安全中心请求获取对应的安全等级主密钥;并采用对应的安全等级主密钥解密得到所述数据加密密钥,利用所述数据加密密钥对所述用户终端所需访问的资源信息加密生成出站报文;
所述用户终端,用于接收所述加密网关返回的出站报文,并基于所述第一流表,取出所述数据加密密钥,并对所述出站报文进行解密得到所需访问的资源信息。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198409.XA CN115567210A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现零信任访问的方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202211198409.XA CN115567210A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现零信任访问的方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115567210A true CN115567210A (zh) | 2023-01-03 |
Family
ID=84743520
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202211198409.XA Pending CN115567210A (zh) | 2022-09-29 | 2022-09-29 | 采用量子密钥分发实现零信任访问的方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115567210A (zh) |
Cited By (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116707807A (zh) * | 2023-08-09 | 2023-09-05 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN116974624A (zh) * | 2023-06-28 | 2023-10-31 | 三峡科技有限责任公司 | 一种企业级接口文档管理的系统和方法 |
| CN117176346A (zh) * | 2023-11-01 | 2023-12-05 | 中电信量子科技有限公司 | 分布式量子密钥链路控制方法及密钥管理系统 |
| CN117254954A (zh) * | 2023-09-21 | 2023-12-19 | 广州怡水水务科技有限公司 | 用于调度管理的直饮水云平台安全接入方法 |
Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016060568A1 (en) * | 2014-10-13 | 2016-04-21 | Invenia As | Method and system for protecting and sharing digital data between users in a network |
| US20200084030A1 (en) * | 2018-09-11 | 2020-03-12 | Dycrav Security Incorporated | System, method, and program for transmitting and receiving any type of secure digital data |
| CN111711517A (zh) * | 2020-07-23 | 2020-09-25 | 苏州大学 | 基于业务安全等级的量子密钥分发保护方法及系统 |
| CN114338019A (zh) * | 2022-03-08 | 2022-04-12 | 南京易科腾信息技术有限公司 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
-
2022
- 2022-09-29 CN CN202211198409.XA patent/CN115567210A/zh active Pending
Patent Citations (5)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2016060568A1 (en) * | 2014-10-13 | 2016-04-21 | Invenia As | Method and system for protecting and sharing digital data between users in a network |
| US20200084030A1 (en) * | 2018-09-11 | 2020-03-12 | Dycrav Security Incorporated | System, method, and program for transmitting and receiving any type of secure digital data |
| CN111711517A (zh) * | 2020-07-23 | 2020-09-25 | 苏州大学 | 基于业务安全等级的量子密钥分发保护方法及系统 |
| CN114553568A (zh) * | 2022-02-25 | 2022-05-27 | 重庆邮电大学 | 一种基于零信任单包认证与授权的资源访问控制方法 |
| CN114338019A (zh) * | 2022-03-08 | 2022-04-12 | 南京易科腾信息技术有限公司 | 基于量子密钥分发的网络通信方法、系统、装置及存储介质 |
Non-Patent Citations (1)
| Title |
|---|
| 孙夏声;王远强;: "基于TCM的网络安全访问模型", 通信技术, no. 05, 10 May 2019 (2019-05-10) * |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116974624A (zh) * | 2023-06-28 | 2023-10-31 | 三峡科技有限责任公司 | 一种企业级接口文档管理的系统和方法 |
| CN116974624B (zh) * | 2023-06-28 | 2024-04-05 | 三峡科技有限责任公司 | 一种企业级接口文档管理的系统和方法 |
| CN116707807A (zh) * | 2023-08-09 | 2023-09-05 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
| CN116707807B (zh) * | 2023-08-09 | 2023-10-31 | 中电信量子科技有限公司 | 分布式零信任微隔离访问控制方法及系统 |
| CN116743380A (zh) * | 2023-08-14 | 2023-09-12 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN116743380B (zh) * | 2023-08-14 | 2023-10-31 | 中电信量子科技有限公司 | 基于量子密钥分发的otn加密通信方法及系统 |
| CN117254954A (zh) * | 2023-09-21 | 2023-12-19 | 广州怡水水务科技有限公司 | 用于调度管理的直饮水云平台安全接入方法 |
| CN117254954B (zh) * | 2023-09-21 | 2024-04-05 | 广州怡水水务科技有限公司 | 用于调度管理的直饮水云平台安全接入方法 |
| CN117176346A (zh) * | 2023-11-01 | 2023-12-05 | 中电信量子科技有限公司 | 分布式量子密钥链路控制方法及密钥管理系统 |
| CN117176346B (zh) * | 2023-11-01 | 2024-03-08 | 中电信量子科技有限公司 | 分布式量子密钥链路控制方法及密钥管理系统 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| EP3432532B1 (en) | Key distribution and authentication method, apparatus and system | |
| US9531685B2 (en) | Providing forward secrecy in a terminating SSL/TLS connection proxy using Ephemeral Diffie-Hellman key exchange | |
| CN115567210A (zh) | 采用量子密钥分发实现零信任访问的方法及系统 | |
| US5416842A (en) | Method and apparatus for key-management scheme for use with internet protocols at site firewalls | |
| US7590843B1 (en) | Key exchange for a network architecture | |
| EP1635502B1 (en) | Session control server and communication system | |
| US20170201382A1 (en) | Secure Endpoint Devices | |
| EP2767029B1 (en) | Secure communication | |
| CN109075973B (zh) | 一种使用基于id的密码术进行网络和服务统一认证的方法 | |
| CN103155512A (zh) | 用于对服务提供安全访问的系统和方法 | |
| JP2013034220A (ja) | セキュリティ・アソシエーションを確立するための方法および装置 | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| EP2291971A1 (en) | Method and apparatus for machine-to-machine communication | |
| WO2006137625A1 (en) | Device for realizing security function in mac of portable internet system and authentication method using the device | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
| CN115567207A (zh) | 采用量子密钥分发实现组播数据加解密方法及系统 | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN110832806B (zh) | 针对面向身份的网络的基于id的数据面安全 | |
| EP3216163B1 (en) | Providing forward secrecy in a terminating ssl/tls connection proxy using ephemeral diffie-hellman key exchange | |
| EP3340530B1 (en) | Transport layer security (tls) based method to generate and use a unique persistent node identity, and corresponding client and server | |
| GB2543359A (en) | Methods and apparatus for secure communication | |
| WO2018060163A1 (en) | Method to generate and use a unique persistent node identity, corresponding initiator node and responder node | |
| CN117479154B (zh) | 基于统一多域标识认证的办公终端数据处理方法与系统 | |
| CN112954679B (zh) | 基于DH算法的LoRa终端安全接入方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |