CN117792796B - 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 - Google Patents
一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 Download PDFInfo
- Publication number
- CN117792796B CN117792796B CN202410207077.XA CN202410207077A CN117792796B CN 117792796 B CN117792796 B CN 117792796B CN 202410207077 A CN202410207077 A CN 202410207077A CN 117792796 B CN117792796 B CN 117792796B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- quantum key
- gateway
- packet
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
- 238000000034 method Methods 0.000 title claims abstract description 95
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 238000009795 derivation Methods 0.000 claims abstract description 9
- 230000003044 adaptive effect Effects 0.000 claims description 17
- 230000006854 communication Effects 0.000 claims description 17
- 238000004891 communication Methods 0.000 claims description 15
- 238000012790 confirmation Methods 0.000 claims description 10
- 230000001360 synchronised effect Effects 0.000 claims description 5
- 230000000977 initiatory effect Effects 0.000 claims 1
- 230000004927 fusion Effects 0.000 abstract description 3
- 238000010586 diagram Methods 0.000 description 6
- 238000013507 mapping Methods 0.000 description 3
- 238000005516 engineering process Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 1
- 230000005610 quantum mechanics Effects 0.000 description 1
- 230000001105 regulatory effect Effects 0.000 description 1
- 230000001960 triggered effect Effects 0.000 description 1
- 238000012795 verification Methods 0.000 description 1
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种在IPSec中融合量子密钥的自适应一次一密数据保护方法。该方法使用量子密钥对数据包进行一次一密加密并不断更新密钥,解决了现有方法中在密钥交换阶段融合量子密钥而不进行更新的问题,保证了数据传输的安全性;同时,该方法基于量子分组尺寸的密钥自适应使用策略,实现了量子密钥与IPSec协议的有机融合。通过动态的密钥派生机制,缓解了直接使用量子密钥一次一密加密导致的效率低下问题,在低码率量子密钥供应情况下,该方法保证了对高带宽数据传输的稳健性;此外,基于量子密钥窗口的密钥同步机制,解决了量子密钥在使用过程中由于在本地进行密钥操作而导致的量子密钥同步问题。
Description
技术领域
本发明涉及信息通信技术领域,特别涉及一种在IPSec中融合量子密钥的自适应一次一密数据保护方法。
背景技术
因特网协议安全(Internet Protocol Security,IPSec)是一种广泛使用的网络安全协议套件,旨在创建安全的虚拟专用网(Virtual Private Network,VPN)连接,为公共网络中传输的数据提供机密性、完整性和认证抗重放保护。它利用互联网密钥交换(Internet Key Exchange,IKE)协议来创建密钥和安全关联(Security Association,SA)。
标准的IKE协议利用Diffie-Hellman密钥交换算法在IPSec通信双方之间生成共享的会话密钥。然而,Diffie-Hellman密钥交换算法基于“离散对数问题”的公共密钥算法,其安全性受限于当前的计算能力。随着高性能计算技术的发展,尤其是量子计算技术的逐步实用化,破解Diffie-Hellman算法将变得容易,直接威胁到IPSec VPN的安全性。
作为该问题的有效解决方法,量子密钥分发(Quantum Key Distribution,QKD)技术基于量子力学原理,使通信双方能够共享一个安全的随机密钥流。QKD过程所产生的密钥具有理论上的无条件安全性,量子密钥分发结合一次一密可以保证加密的信息论安全。因此,利用量子密钥提升IPSec协议的安全性是一个重要的应用方向。尽管现有技术方案已经尝试将量子密钥与IPSec协议融合使用,但这些技术方案只关注Diffie-Hellman密钥交换协议的不安全性,尚未考虑加密隧道建立后不变的加密密钥和完整性保护密钥对实际传输的安全性的影响;或者考虑了量子密钥的更新,但是使用的是传统的对称加密算法,不能达到信息论安全,没有考虑数据加密的量子安全性。
发明内容
鉴于上述问题,本发明提供了一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,以期至少能够解决上述问题之一。
根据本发明的实施例,上述一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,包括:
当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸;
第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作;
当第一网关向第二网关转发数据且匹配IPSec SA时,第一网关的IPSec进程向第一密钥管理器发送量子密钥获取请求,第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给第一网关;
在第一网关的IPSec进程从第一密钥管理器得到确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对数据包进行加密,并将加密的数据包转发给第二网关;
当第二网关接收到加密的数据包且加密的数据包匹配IPSec SA时,第二网关的IPSec进程向第二密钥管理器发送量子密钥获取请求,第二密钥管理器根据自身量子密钥获取请求内的加密的数据包序号和解密量子密钥窗口的序号范围确定每个加密的数据包所对应的量子密钥分组,第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从第一网关到第二网关的加密数据传输操作。
根据本发明的实施例,上述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;
其中,第二密钥管理器与第二量子密钥分发设备直接相连并在本地解密密钥池中存储着由第二量子密钥分发设备生成的量子密钥;
其中,第一密钥管理器和第二密钥管理器将存储的量子密钥按照预定义的格式建立索引、对存储的量子密钥进行管理并将存储的量子密钥供应给各自的网关;
其中,初始的量子密钥分组尺寸表示从密钥管理器获取的每块原始量子密钥的字节数;
其中,初始的量子密钥分组尺寸根据预设过往时间段内网关发送的数据包的吞吐量和量子密钥分发设备能够提供的量子密钥的数量确定。
根据本发明的实施例,上述当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:
当第一网关向第二网关转发数据时,启动IPSec协商过程,第一网关和第二网关通过ISAKMP协商建立安全通道和IPSec SA用于保护数据通信;
第一量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第一网关供应一致的量子密钥,并将所分发的量子密钥暂存在第一密钥管理器的本地加密密钥池中,
第二量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第二网关供应一致的量子密钥,并将所分发的量子密钥暂存在第二密钥管理器的本地解密密钥池中。
根据本发明的实施例,上述第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:
第一密钥管理器将第一网关发送的初始的量子密钥分组尺寸发送给第二密钥管理器,并等待第二密钥管理器的确认消息,第二密钥管理器将第二网关发送的初始的量子密钥分组尺寸发送给第一密钥管理器,并等待第一密钥管理器的确认消息,在第一密钥管理器和第二密钥管理器均接收到对方的确认消息后,双方取自身发送的初始的量子密钥分组尺寸和对方发送的初始的量子密钥分组尺寸两者的最小值作为加密或解密量子密钥分组尺寸,第一密钥管理器更新自身的加密密钥分组尺寸,第二密钥管理器更新自身的解密密钥分组尺寸;
基于自身的量子密钥窗口尺寸默认值,以及自身的加密密钥分组尺寸或解密密钥分组尺寸,第一密钥管理器和第二密钥管理器分别对自身的量子密钥窗口进行划分,并分别从自身本地加密或解密密钥池中依次取出加密或解密密钥分组尺寸长度的量子密钥进行编号,形成带有序号的加密或解密量子密钥,第一密钥管理器将自身带有序号的加密量子密钥填充进自身划分好的加密量子密钥窗口内,第二密钥管理器将自身带有序号的解密量子密钥填充进自身划分好的解密量子密钥窗口内。
根据本发明的实施例,上述第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作还包括:
第一网关向第二网关发送当前加密量子密钥窗口的所有量子密钥的校验值,在第二网关收到第一网关的所有量子密钥的校验值后,第二网关计算自身的解密量子密钥窗口内的所有量子密钥的校验值,并将自身的所有量子密钥的检验值与第一网关的所有量子密钥的校验值进行比较,得到比较结果;
在比较结果是第一网关的量子密钥与第二网关的量子密钥一致的情况下,第一网关和第二网关之间同步各自的量子密钥窗口并完成量子密钥一致性检验操作;
在比较结果是第一网关的量子密钥与第二网关的量子密钥不一致的情况下,第一网关和第二网关之间同步各自本地密钥池中的量子密钥分组和量子密钥分组的索引,并分别将同步后的量子密钥分组填充到各自量子密钥窗口中,第一网关和第二网关重新进行量子密钥一致性检验操作。
根据本发明的实施例,上述当第一网关向第二网关转发数据且匹配IPSec SA时,第一网关的IPSec进程向第一密钥管理器发送量子密钥获取请求,第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给第一网关包括:
在当前数据包序号小于加密量子密钥窗口中的量子密钥分组序号最大值的情况下,第一密钥管理器将当前数据包序号所对应的量子密钥分组返回给第一网关;
在当前数据包序号大于或等于加密量子密钥窗口中的量子密钥分组序号最大值的情况下,第一密钥管理器将量子密钥分组序号最大值所对应的量子密钥分组返回给第一网关,同时第一密钥管理器从自身本地加密密钥池中按序移入自身量子密钥窗口尺寸默认值大小的量子密钥分组以完成自身量子密钥窗口的填充,将填充到自身量子密钥窗口内的量子密钥分组依次添加序号,得到带序号的量子密钥分组并更新加密量子密钥窗口的序号范围。
根据本发明的实施例,上述在第一网关的IPSec进程从第一密钥管理器得到确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对数据包进行加密,并将加密的数据包转发给第二网关包括:
在当前数据包的长度小于或者等于加密量子密钥分组尺寸的情况下,第一网关的IPSec进程通过补零操作对当前数据包进行长度对齐,并通过使用量子密钥分组进行异或操作从而完成对当前数据包的一次一密加密操作;
在当前数据包的长度大于初始的量子密钥分组尺寸的情况下,第一网关的IPSec进程根据当前数据包的序号和当前数包所对应的明文大小,利用基于哈希运算消息认证码的密钥导出函数计算派生密钥,并将所得到的派生密钥进行异或操作从而完成对当前数据的自适应一次一密加密操作。
根据本发明的实施例,上述当第二网关接收到加密的数据包且加密的数据包匹配IPSec SA时,第二网关的IPSec进程向第二密钥管理器发送量子密钥获取请求,第二密钥管理器根据自身量子密钥获取请求内的加密的数据包序号和解密量子密钥窗口的序号范围确定每个加密的数据包所对应的量子密钥分组,第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从第一网关到第二网关的加密数据传输操作包括:
在加密的数据包序号位于解密量子密钥窗口序号所限定的范围内,第二密钥管理器直接将加密后的数据包序号所对应的解密量子密钥分组返回给第二网关;
在加密的数据包序号不在解密量子密钥窗口序号所限定的范围内,第二密钥管理器从自身本地解密密钥池中按序读取与自身的解密密钥分组尺寸相一致的量子密钥分组,重新填充解密量子密钥窗口,更新解密量子密钥窗口序号范围,并根据加密后的数据包序号和更新后的解密量子密钥窗口序号范围共同确定的量子密钥分组返回给第二网关。
本发明提供的上述在IPSec中融合量子密钥的自适应一次一密数据保护方法,使用量子密钥对数据包进行一次一密加密并不断更新密钥,解决了现有方法中在密钥交换阶段融合量子密钥而不进行更新的问题,保证了数据传输的安全性;同时,本发明提供的上述方法基于量子密钥分组尺寸的密钥自适应使用策略,实现了量子密钥与IPSec协议的有机融合。通过动态的密钥派生机制,缓解了直接使用量子密钥一次一密加密导致的效率低下问题,在低码率量子密钥供应情况下,该方法保证了对高带宽数据传输的稳健性;此外,本发明提供的上述方法基于量子密钥窗口的密钥同步机制,解决了量子密钥在使用过程中由于在本地进行密钥操作而导致的量子密钥同步问题。
附图说明
图1是根据本发明实施例的在IPSec中融合量子密钥的自适应一次一密数据保护方法的流程图;
图2是根据本发明实施例的在IPSec中融合量子密钥的自适应一次一密数据保护方法的具体过程示意图;
图3是根据本发明实施例的发送端和接收端的密钥窗口缓存一致性校验示意图;
图4是根据本发明实施例的量子密钥窗口及数据包与量子密钥对应关系示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,以下结合具体实施例,并参照附图,对本发明作进一步的详细说明。
为了克服现有技术方案中存在的技术问题并充分发挥量子密钥的无条件安全性,本发明在IPSec数据包传输过程中使用量子密钥进行一次一密加解密。同时,考虑到在当前的技术条件下,有限的QKD成码率难以满足高带宽应用数据的传输需求,本发明提出了一种自适应调节量子密钥使用策略的机制,保证了对高带宽数据传输的稳健性。
图1是根据本发明实施例的在IPSec中融合量子密钥的自适应一次一密数据保护方法的流程图。
如图1所示,上述在IPSec中融合量子密钥的自适应一次一密数据保护方法包括操作S110~操作S150。
在操作S110,当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸。
当网关A(即第一网关,下同)向网关B(即第二网关,下同)转发数据时,首先启动IPSec协商过程,建立IPSec SA保护数据通信,同时网关A和B分别向与其相连的密钥管理器(Key Manager,KM)发出量子密钥请求,并附带初始的量子密钥分组尺寸大小,KM中本地密钥池存储由相连的QKD设备生成的量子密钥。
根据本发明的实施例,上述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;其中,第二密钥管理器与第二量子密钥分发设备直接相连并在本地解密密钥池中存储着由第二量子密钥分发设备生成的量子密钥;其中,第一密钥管理器和第二密钥管理器将存储的量子密钥按照预定义的格式建立索引、对存储的量子密钥进行管理并将存储的量子密钥供应给各自的网关;其中,初始的量子密钥分组尺寸表示从密钥管理器获取的每块原始量子密钥的字节数;其中,初始的量子密钥分组尺寸根据预设过往时间段内网关发送的数据包的吞吐量和量子密钥分发设备能够提供的量子密钥的数量确定。
在操作S120,第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作。
KM双方同步获取的量子密钥分组尺寸的大小,同步完成后,KM划分一个量子密钥窗口,对本地密钥池中的量子密钥进行分组形成量子密钥分组,为量子密钥分组添加序号,将量子密钥分组填充进量子密钥窗口内,并对量子密钥窗口内的量子密钥分组进行一致性校验。
在操作S130,当第一网关向第二网关转发数据且匹配IPSec SA时,第一网关的IPSec进程向第一密钥管理器发送量子密钥获取请求,第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给第一网关。
当网关A向网关B转发数据包且匹配相应IPSec SA时,网关A的IPSec进程向相连的KM发送获取量子密钥请求,KM收到获取量子密钥请求后,根据量子密钥窗口和数据包序号确定每个数据包对应的量子密钥分组,并发送给网关A。
在操作S140,在第一网关的IPSec进程从第一密钥管理器得到确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对数据包进行加密,并将加密的数据包转发给第二网关。
IPSec进程从KM得到量子密钥分组,根据要处理的IPSec数据包长度和量子密钥分组尺寸调整量子密钥的使用策略,使用量子密钥分组或派生量子密钥进行一次一密加密,并将加密后的数据包发送给网关B。
在操作S150,当第二网关接收到加密的数据包且加密的数据包匹配IPSec SA时,第二网关的IPSec进程向第二密钥管理器发送量子密钥获取请求,第二密钥管理器根据自身量子密钥获取请求内的加密的数据包序号和解密量子密钥窗口的序号范围确定每个加密的数据包所对应的量子密钥分组,第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从第一网关到第二网关的加密数据传输操作。
网关B接收到加密数据包且数据包匹配相应IPSec SA时,网关B的IPSec进程向KM请求量子密钥,根据量子密钥窗口和数据包序号获得量子密钥后,使用量子密钥分组或派生量子密钥进行一次一密解密,完成从网关A到网关B的加密数据传输。
本发明提供的上述在IPSec中融合量子密钥的自适应一次一密数据保护方法,使用量子密钥对数据包进行一次一密加密并不断更新密钥,解决了现有方法中在密钥交换阶段融合量子密钥而不进行更新的问题,保证了数据传输的安全性;同时,本发明提供的上述方法基于量子密钥分组尺寸的密钥自适应使用策略,实现了量子密钥与IPSec协议的有机融合。通过动态的密钥派生机制,缓解了直接使用量子密钥一次一密加密导致的效率低下问题,在低码率量子密钥供应情况下,该方法保证了对高带宽数据传输的稳健性;此外,本发明提供的上述方法基于量子密钥窗口的密钥同步机制,解决了量子密钥在使用过程中由于在本地进行密钥操作而导致的量子密钥同步问题。
根据本发明的实施例,上述当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:当第一网关向第二网关转发数据时,启动IPSec协商过程,第一网关和第二网关通过ISAKMP协商建立安全通道和IPSec SA用于保护数据通信;第一量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第一网关供应一致的量子密钥,并将所分发的量子密钥暂存在第一密钥管理器的本地加密密钥池中,第二量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向第二网关供应一致的量子密钥,并将所分发的量子密钥暂存在第二密钥管理器的本地解密密钥池中。
下面通过具体实施例并结合附图2对本发明提供的上述第一网关(即网关A)和第二网关(即网关B)之间的数据转发过程的初始阶段做进一步详细地说明。
图2是根据本发明实施例的在IPSec中融合量子密钥的自适应一次一密数据保护方法的具体过程示意图。
当网关A向网关B转发数据时,首先启动IPSec协商过程,网关A和B通过ISAKMP(Internet Security Association Key Management Protocol,互联网安全关联密钥管理协议)协商建立安全通道和SA用于保护后续的数据通信。各自的KM与各自的量子密钥分发设备相互连接,QKD(Quantum Key Distribution,量子密钥分发)设备根据QKD协议持续向KM提供对称的量子密钥;由网关A和B中的KM的量子密钥池存储由QKD设备发回的量子密钥,并划分为两个密钥池:加密密钥池和解密密钥池,作为发送端时,从加密密钥池获取量子密钥进行加密操作;作为接收端时,从解密密钥池获取量子密钥进行解密操作。
如图2所示,当网关A向网关B转发数据时,会触发IPSec 协商过程,双方通过ISAKMP协商好安全通道和对应的SA;同时与两个网关各自连接的QKD设备A和QKD设备B之间运行QKD协议,并持续不断的通过安全的接口向网关供应一致的量子密钥;在网关中的KM的密钥池暂存这些量子密钥,KM将密钥按照一致的格式建立索引、管理并供应给IPSec进程。其中,每个KM中的密钥池被分为两部分:加密密钥池和解密密钥池。发送端从加密密钥池获取量子密钥进行加密操作;接收端从解密密钥池获取量子密钥对的数据进行解密操作,发送端和接收端分别对应不同的单向SA,同时双方的加密密钥池和对方的解密密钥池要对应。
本发明实施例中保留了IKE (Internet Key Exchange) v2协议中IPSec SA(Security Association)的协商过程,但只用来协商安全策略,并不使用交换的会话密钥进行加解密。IPSec协商时,会向KM发出密钥同步请求并包含初始的量子密钥分组尺寸参数。量子密钥分组尺寸表示从KM获取的每块量子密钥的长度,即原始量子密钥的字节数。量子密钥分组尺寸参数可以由过去一段时间内量子密钥供应数据量和网关传输的历史数据量的比值确定,例如,过去一小时网关发送的数据包吞吐量为n,同时QKD设备能够提供的量子密钥量为m,则设置初始量子密钥分组尺寸,其中MTU表示网络中的最大传输单元,一般为1500字节。量子密钥分组尺寸选取不能低于128bit,防止攻击者对于量子密钥的穷举攻击。
根据本发明的实施例,上述第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:第一密钥管理器将第一网关发送的初始的量子密钥分组尺寸发送给第二密钥管理器,并等待第二密钥管理器的确认消息,第二密钥管理器将第二网关发送的初始的量子密钥分组尺寸发送给第一密钥管理器,并等待第一密钥管理器的确认消息,在第一密钥管理器和第二密钥管理器均接收到对方的确认消息后,双方取自身发送的初始的量子密钥分组尺寸和对方发送的初始的量子密钥分组尺寸两者的最小值作为加密或解密量子密钥分组尺寸,第一密钥管理器更新自身的加密密钥分组尺寸,第二密钥管理器更新自身的解密密钥分组尺寸;基于自身的量子密钥窗口尺寸默认值,以及自身的加密密钥分组尺寸或解密密钥分组尺寸,第一密钥管理器和第二密钥管理器分别对自身的量子密钥窗口进行划分,并分别从自身本地加密或解密密钥池中依次取出加密或解密密钥分组尺寸长度的量子密钥进行编号,形成带有序号的加密或解密量子密钥,第一密钥管理器将自身带有序号的加密量子密钥填充进自身划分好的加密量子密钥窗口内,第二密钥管理器将自身带有序号的解密量子密钥填充进自身划分好的解密量子密钥窗口内。
根据本发明的实施例,上述第一密钥管理器和第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,第一密钥管理器和第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作还包括:第一网关向第二网关发送当前加密量子密钥窗口的所有量子密钥的校验值,在第二网关收到第一网关的所有量子密钥的校验值后,第二网关计算自身的解密量子密钥窗口内的所有量子密钥的校验值,并将自身的所有量子密钥的检验值与第一网关的所有量子密钥的校验值进行比较,得到比较结果;在比较结果是第一网关的量子密钥与第二网关的量子密钥一致的情况下,第一网关和第二网关之间同步各自的量子密钥窗口并完成量子密钥一致性检验操作;在比较结果是第一网关的量子密钥与第二网关的量子密钥不一致的情况下,第一网关和第二网关之间同步各自本地密钥池中的量子密钥分组和量子密钥分组的索引,并分别将同步后的量子密钥分组填充到各自量子密钥窗口中,第一网关和第二网关重新进行量子密钥一致性检验操作。
下面通过具体实施例并结合附图3对本发明提供的上述量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作做进一步详细地说明。
图3是根据本发明实施例的发送端和接收端的密钥窗口缓存一致性校验示意图。
网关A的KM根据网关A发送的初始的量子密钥分组尺寸大小M1,发送给网关B的KM,网关B的KM根据网关B发送的初始的量子密钥分组尺寸大小M2,发送给网关A的KM;网关A的KM接收到B的KM的确认消息后,取M1和M2中的最小值,比如M1<M2,就可以更新自己的加密量子密钥分组尺寸为M1。同理,网关B的KM接收到A的KM的确认消息后,网关B的KM更新自己的解密量子密钥分组尺寸为M1,这两个量子密钥分组尺寸是一致的。
更新初始的量子密钥分组尺寸后,KM根据自己的初始加密量子密钥分组尺寸M1,和预设的默认密钥窗口大小N,划分密钥窗口,从加密密钥池中依次读取长度为M1的密钥,编号为序号1,序号2……序号N,放入加密密钥窗口。解密密钥窗口的操作也是一致的。窗口大小的选取N是可以配置的,可以根据网络的性能考虑,当一个窗口内的密钥缓存用完时,对量子密钥分组尺寸进行动态调整和同步。需要保证更新同步的频率在合适的范围内。
在完成窗口的划分之后,双方KM与对方进行密钥一致性的同步,同步的信息如图3所示,作为发送方的网关A向作为接收方的网关B发送其当前加密密钥窗口的所有密钥的校验值,如使用国密SM3摘要算法:SM3-A(dkey1|dkey2|…|dkeyN),而网关B收到后计算自身的解密密钥窗口内所有密钥的校验值SM3-B(ekey1|ekey2|…|ekeyN)并进行比较,如果一致说明双方的密钥是一致的,从而实现双方的密钥窗口的第一次同步。如果不一致说明双方的密钥池出现了偏移,需要重新同步密钥池的密钥,双方对密钥池的密钥索引进行同步,然后重新读入密钥窗口。
需要注意的是,加密端和解密端是相互对称的,在通信过程中,可以根据本领域技术人员的实际需求,指定一个终端为加密端,另一个终端是解密端;在通信过程中,解密端也可以作为实际的加密端使用,向作为对端设备发送加密数据包,反之亦然。
根据本发明的实施例,上述当第一网关向第二网关转发数据且匹配IPSec SA时,第一网关的IPSec进程向第一密钥管理器发送量子密钥获取请求,第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给第一网关包括:在当前数据包序号小于加密量子密钥窗口中的量子密钥分组序号最大值的情况下,第一密钥管理器将当前数据包序号所对应的量子密钥分组返回给第一网关;在当前数据包序号大于或等于加密量子密钥窗口中的量子密钥分组序号最大值的情况下,第一密钥管理器将量子密钥分组序号最大值所对应的量子密钥分组返回给第一网关,同时第一密钥管理器从自身本地加密密钥池中按序移入自身量子密钥窗口尺寸默认值大小的量子密钥分组以完成自身量子密钥窗口的填充,将填充到自身量子密钥窗口内的量子密钥分组依次添加序号,得到带序号的量子密钥分组并更新加密量子密钥窗口的序号范围。
下面通过具体实施例并结合附图4对本发明提供的上述第一网关确定与转发数据包相对应的量子密钥的过程做进一步详细地说明。
图4是根据本发明实施例的量子密钥窗口及数据包与量子密钥对应关系示意图。
在匹配IPSec SA的数据包传输过程中,双方网关的IPSec进程向各自的KM发送获取原始量子密钥请求,该请求包含对应SA的请求标识SPI(Security Parameter Index)以及所要加密的数据包的ESP (Encapsulating Security Payload)头序列号Seq。
根据量子密钥窗口确定每个数据包对应的原始量子密钥序号,分为下述两种情况:如果当前数据包序号在加密量子密钥窗口1到N范围内,则直接返回序号与序列号相同的量子密钥。如序列号为1的ESP包返回第一块加密密钥。如果即数据包序号超过N时,则需要读取新的量子密钥,每块量子密钥的大小即为M1值,更新自己的量子密钥窗口范围,返回对应的量子密钥。比如序列号为N+1的ESP数据包要获取密钥,发现不在量子密钥窗口内,则读入N块新的量子密钥,每块密钥的长度为M1值。读入完成后映射量子密钥窗口变成[N+1,2N]。此时判断N+1在新的量子密钥窗口内,返回第N+1块量子密钥。
如图4所示,ESP序列号为2的数据包对应量子密钥窗口中序号为2的量子密钥。
在本发明实施例中,网关中的KM对于加密密钥窗口是使用完毕后就进行更新替换,而对于解密密钥窗口,还维护一个旧的密钥窗口,用来接受那些网络中乱序到达的数据包的密钥请求。当解密密钥窗口更新时把原来的量子密钥放入旧量子密钥窗口,然后替换新的量子密钥。
本发明通过引入量子密钥分组尺寸参数,根据量子密钥的生成和消耗情况调节量子密钥分组尺寸大小,当量子密钥生成较多时,每个数据包可以受到更长的量子密钥保护,从而带来了更大的安全性,当量子密钥生成较少时,每个数据包收到较短的量子密钥保护,从而保证通信的效率。
根据本发明的实施例,上述在第一网关的IPSec进程从第一密钥管理器得到确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对数据包进行加密,并将加密的数据包转发给第二网关包括:在当前数据包的长度小于或者等于加密量子密钥分组尺寸的情况下,第一网关的IPSec进程通过补零操作对当前数据包进行长度对齐,并通过使用量子密钥分组进行异或操作完成对当前数据包的一次一密加密操作;在当前数据包的长度大于初始的量子密钥分组尺寸的情况下,第一网关的IPSec进程根据当前数据包的序号和当前数包所对应的明文大小,利用基于哈希运算消息认证码的密钥导出函数计算派生密钥,并将所得到的派生密钥进行异或操作从而完成对当前数据的自适应一次一密加密操作。
如果当前数据包长度L小于等于量子密钥分组尺寸M,则通过补零操作对数据包进行长度对齐,之后使用量子密钥分组进行一次一密加密操作。
如果当前数据包长度L大于量子密钥分组尺寸M,则需要对量子密钥进行派生,再进行异或操作。网关A的IPSec进程根据要处理的明文大小和数据包序号,计算派生密钥Derive_key,Derive_key的计算方式如公式(1)所示:
(1),
其中,QKEY表示量子密钥,seq表示数据包序列号,L表示要派生得到的密钥长度,HKDF表示基于哈希运算的消息认证码的密钥导出函数。其中L即为要进行一次一密的明文的长度。
根据本发明的实施例,上述当第二网关接收到加密的数据包且加密的数据包匹配IPSec SA时,第二网关的IPSec进程向第二密钥管理器发送量子密钥获取请求,第二密钥管理器根据自身量子密钥获取请求内的加密的数据包序号和解密量子密钥窗口的序号范围确定每个加密的数据包所对应的量子密钥分组,第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从第一网关到第二网关的加密数据传输操作包括:在加密的数据包序号位于解密量子密钥窗口序号所限定的范围内,第二密钥管理器直接将加密后的数据包序号所对应的解密量子密钥分组返回给第二网关;在加密的数据包序号不在解密量子密钥窗口序号所限定的范围内,第二密钥管理器从自身本地解密密钥池中按序读取与自身的解密密钥分组尺寸相一致的量子密钥分组,重新填充解密量子密钥窗口,更新解密量子密钥窗口序号范围,并根据加密后的数据包序号和更新后的解密量子密钥窗口序号范围共同确定的量子密钥分组返回给第二网关。
网关B的IPSec进程向KM发送获取量子密钥请求,KM根据解密量子密钥窗口确定对应的原始量子密钥,如果序列号在解密量子映射窗口内,则直接返回对应的解密量子密钥,否则更新解密量子映射窗口,重新读入N块大小为M的量子密钥。作为接收方的网关B无需计算解密量子密钥分组尺寸,而是从作为发送方的网关A的同步中获得;根据要处理的IPSec数据包长度和量子密钥分组尺寸来判断是否直接进行一次一密还是派生后进行自适应一次一密解密操作,得到明文。
本发明公开了一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,旨在提升IPSec协议的安全性。该方法利用量子密钥实现IPSec数据包的一次一密加密,提升了安全性。同时,采用自适应的量子密钥派生机制,在低码率量子密钥供应情况下保持高带宽数据传输的稳健性。
以上的具体实施例,对本发明的目的、技术方案和有益效果进行了进一步详细说明,应理解的是,以上仅为本发明的具体实施例而已,并不用于限制本发明,凡在本发明的精神和原则之内,所做的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。
Claims (8)
1.一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,其特征在于,包括:
当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时所述第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,所述第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸,其中,所述初始的量子密钥分组尺寸表示从密钥管理器获取的每块原始量子密钥的字节数,所述初始的量子密钥分组尺寸根据预设过往时间段内网关发送的数据包的吞吐量和量子密钥分发设备能够提供的量子密钥的数量确定;
所述第一密钥管理器和所述第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,所述第一密钥管理器和所述第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对所述各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作;
当所述第一网关向所述第二网关转发数据且匹配所述IPSec SA时,所述第一网关的IPSec进程向所述第一密钥管理器发送量子密钥获取请求,所述第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个所述数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给所述第一网关;
在所述第一网关的IPSec进程从所述第一密钥管理器得到所述确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,所述第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对所述数据包进行加密,并将加密的数据包转发给所述第二网关;
当所述第二网关接收到所述加密的数据包且所述加密的数据包匹配所述IPSec SA时,所述第二网关的IPSec进程向所述第二密钥管理器发送量子密钥获取请求,所述第二密钥管理器根据自身量子密钥获取请求内的所述加密的数据包序号和解密量子密钥窗口的序号范围确定每个所述加密的数据包所对应的量子密钥分组,所述第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从所述第一网关到所述第二网关的加密数据传输操作。
2.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器与第一量子密钥分发设备直接相连并在本地加密密钥池中存储着由第一量子密钥分发设备生成的量子密钥;
其中,所述第二密钥管理器与第二量子密钥分发设备直接相连并在本地解密密钥池中存储着由第二量子密钥分发设备生成的量子密钥;
其中,所述第一密钥管理器和第二密钥管理器将存储的量子密钥按照预定义的格式建立索引、对所述存储的量子密钥进行管理并将所述存储的量子密钥供应给各自的网关。
3.根据权利要求1所述的方法,其特征在于,当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时所述第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,所述第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸包括:
当所述第一网关向所述第二网关转发数据时,启动IPSec协商过程,所述第一网关和所述第二网关通过ISAKMP协商建立安全通道和IPSec SA用于保护数据通信;
第一量子密钥分发设备基于量子密钥分发协议通过安全的接口持续地向所述第一网关供应一致的量子密钥,并将所分发的量子密钥暂存在所述第一密钥管理器的本地加密密钥池中,
第二量子密钥分发设备基于所述量子密钥分发协议通过安全的接口持续地向所述第二网关供应一致的量子密钥,并将所分发的量子密钥暂存在所述第二密钥管理器的本地解密密钥池中。
4.根据权利要求1所述的方法,其特征在于,所述第一密钥管理器和所述第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,所述第一密钥管理器和所述第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对所述各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作包括:
所述第一密钥管理器将所述第一网关发送的初始的量子密钥分组尺寸发送给所述第二密钥管理器,并等待所述第二密钥管理器的确认消息,所述第二密钥管理器将所述第二网关发送的初始的量子密钥分组尺寸发送给所述第一密钥管理器,并等待所述第一密钥管理器的确认消息,在所述第一密钥管理器和所述第二密钥管理器均接收到对方的确认消息后,双方取自身发送的初始的量子密钥分组尺寸和对方发送的初始的量子密钥分组尺寸两者的最小值作为加密或解密量子密钥分组尺寸,所述第一密钥管理器更新自身的加密密钥分组尺寸,所述第二密钥管理器更新自身的解密密钥分组尺寸;
基于自身的量子密钥窗口尺寸默认值,以及自身的加密密钥分组尺寸或解密密钥分组尺寸,所述第一密钥管理器和所述第二密钥管理器分别对自身的量子密钥窗口进行划分,并分别从自身本地加密或解密密钥池中依次取出加密或解密密钥分组尺寸长度的量子密钥进行编号,形成带有序号的加密或解密量子密钥,所述第一密钥管理器将自身带有序号的加密量子密钥填充进自身划分好的加密量子密钥窗口内,所述第二密钥管理器将自身带有序号的解密量子密钥填充进自身划分好的解密量子密钥窗口内。
5.根据权利要求4所述的方法,其特征在于,还包括:
所述第一网关向所述第二网关发送当前加密量子密钥窗口的所有量子密钥的校验值,在所述第二网关收到所述第一网关的所有量子密钥的校验值后,所述第二网关计算自身的解密量子密钥窗口内的所有量子密钥的校验值,并将自身的所有量子密钥的检验值与所述第一网关的所有量子密钥的校验值进行比较,得到比较结果;
在所述比较结果是所述第一网关的量子密钥与所述第二网关的量子密钥一致的情况下,所述第一网关和所述第二网关之间同步各自的量子密钥窗口并完成所述量子密钥一致性检验操作;
在所述比较结果是所述第一网关的量子密钥与所述第二网关的量子密钥不一致的情况下,所述第一网关和所述第二网关之间同步各自本地密钥池中的量子密钥分组和量子密钥分组的索引,并分别将同步后的量子密钥分组填充到各自量子密钥窗口中,所述第一网关和所述第二网关重新进行量子密钥一致性检验操作。
6.根据权利要求1所述的方法,其特征在于,当所述第一网关向所述第二网关转发数据且匹配所述IPSec SA时,所述第一网关的IPSec进程向所述第一密钥管理器发送量子密钥获取请求,所述第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个所述数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给所述第一网关包括:
在当前数据包序号小于所述加密量子密钥窗口中的量子密钥分组序号最大值的情况下,所述第一密钥管理器将所述当前数据包序号所对应的量子密钥分组返回给所述第一网关;
在所述当前数据包序号大于或等于所述加密量子密钥窗口中的量子密钥分组序号最大值的情况下,所述第一密钥管理器将所述量子密钥分组序号最大值所对应的量子密钥分组返回给所述第一网关,同时所述第一密钥管理器从自身本地加密密钥池中按序移入自身量子密钥窗口尺寸默认值大小的量子密钥分组以完成自身量子密钥窗口的填充,将填充到自身量子密钥窗口内的量子密钥分组依次添加序号,得到带序号的量子密钥分组并更新所述加密量子密钥窗口的序号范围。
7.根据权利要求1所述的方法,其特征在于,在所述第一网关的IPSec进程从所述第一密钥管理器得到所述确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,所述第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对所述数据包进行加密,并将加密的数据包转发给所述第二网关包括:
在当前数据包的长度小于或者等于所述加密量子密钥分组尺寸的情况下,所述第一网关的IPSec进程通过补零操作对所述当前数据包进行长度对齐,并通过使用量子密钥分组进行异或操作从而完成对所述当前数据包的一次一密加密操作;
在当前数据包的长度大于所述初始的量子密钥分组尺寸的情况下,所述第一网关的IPSec进程根据所述当前数据包的序号和所述当前数据包所对应的明文大小,利用基于哈希运算消息认证码的密钥导出函数计算派生密钥,并将所得到的派生密钥进行异或操作从而完成对所述当前数据的自适应一次一密加密操作。
8.根据权利要求1所述的方法,其特征在于,当所述第二网关接收到所述加密的数据包且所述加密的数据包匹配所述IPSec SA时,所述第二网关的IPSec进程向所述第二密钥管理器发送量子密钥获取请求,所述第二密钥管理器根据自身量子密钥获取请求内的所述加密的数据包序号和解密量子密钥窗口的序号范围确定每个所述加密的数据包所对应的量子密钥分组,所述第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从所述第一网关到所述第二网关的加密数据传输操作包括:
在所述加密的数据包序号位于所述解密量子密钥窗口序号所限定的范围内,所述第二密钥管理器直接将所述加密后的数据包序号所对应的解密量子密钥分组返回给所述第二网关;
在所述加密的数据包序号不在所述解密量子密钥窗口序号所限定的范围内,所述第二密钥管理器从自身本地解密密钥池中按序读取与自身的解密密钥分组尺寸相一致的量子密钥分组,重新填充解密量子密钥窗口,更新所述解密量子密钥窗口序号范围,并根据所述加密后的数据包序号和更新后的解密量子密钥窗口序号范围共同确定的量子密钥分组返回给所述第二网关。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410207077.XA CN117792796B (zh) | 2024-02-26 | 2024-02-26 | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202410207077.XA CN117792796B (zh) | 2024-02-26 | 2024-02-26 | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN117792796A CN117792796A (zh) | 2024-03-29 |
CN117792796B true CN117792796B (zh) | 2024-05-03 |
Family
ID=90382013
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202410207077.XA Active CN117792796B (zh) | 2024-02-26 | 2024-02-26 | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN117792796B (zh) |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10790977B1 (en) * | 2018-06-22 | 2020-09-29 | Gideon Samid | SpaceFlip: unbound geometry security |
CN116155621A (zh) * | 2023-04-14 | 2023-05-23 | 中国科学技术大学 | 基于IPSec动态融合量子密钥的数据保护方法及系统 |
Family Cites Families (3)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN106301769B (zh) * | 2015-06-08 | 2020-04-10 | 阿里巴巴集团控股有限公司 | 量子密钥输出方法、存储一致性验证方法、装置及系统 |
GB2590062B (en) * | 2019-11-08 | 2022-04-20 | Arqit Ltd | A system and method for satellite quantum key distribution |
EP4047861A1 (en) * | 2021-02-18 | 2022-08-24 | Terra Quantum AG | Method and system for quantum key distribution |
-
2024
- 2024-02-26 CN CN202410207077.XA patent/CN117792796B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US10790977B1 (en) * | 2018-06-22 | 2020-09-29 | Gideon Samid | SpaceFlip: unbound geometry security |
CN116155621A (zh) * | 2023-04-14 | 2023-05-23 | 中国科学技术大学 | 基于IPSec动态融合量子密钥的数据保护方法及系统 |
Non-Patent Citations (2)
Title |
---|
基于密钥位协商的多路径量子密钥协商技术研究;赵红涛;王帅;;中原工学院学报;20141225(第06期);第55-58页 * |
量子密码安全性研究;李宏伟等;《中国科学》;20121120;第1237-1255页 * |
Also Published As
Publication number | Publication date |
---|---|
CN117792796A (zh) | 2024-03-29 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108650227B (zh) | 基于数据报安全传输协议的握手方法及系统 | |
US9071416B2 (en) | Galois/counter mode encryption in a wireless network | |
CN107104977B (zh) | 一种基于sctp协议的区块链数据安全传输方法 | |
CN108075890A (zh) | 数据发送端、数据接收端、数据传输方法及系统 | |
CN116155621B (zh) | 基于IPSec动态融合量子密钥的数据保护方法及系统 | |
CN111416706B (zh) | 基于秘密共享的量子保密通信系统及其通信方法 | |
CN102111273B (zh) | 一种基于预共享的电力负荷管理系统数据安全传输方法 | |
US20050160269A1 (en) | Common security key generation apparatus | |
CN110995414A (zh) | 基于国密算法在tls1_3协议中建立通道的方法 | |
US11637699B2 (en) | Rollover of encryption keys in a packet-compatible network | |
CN114172745A (zh) | 一种物联网安全协议系统 | |
CN115567206A (zh) | 采用量子分发密钥实现网络数据报文加解密方法及系统 | |
CN113572766A (zh) | 电力数据传输方法和系统 | |
CN108040071B (zh) | 一种VoIP音视频加密密钥动态切换方法 | |
CN114285571A (zh) | 一种在IPSec协议中使用量子密钥的方法、网关装置与系统 | |
CN117098123B (zh) | 一种基于量子密钥的北斗短报文加密通信系统 | |
CN106101056B (zh) | 一种代理软件软件架构中数据处理方法及让ie浏览器基于国密ssl协议通信的方法 | |
CN117792796B (zh) | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 | |
CN114363086B (zh) | 基于流密码的工业互联网数据加密传输方法 | |
CN113746861B (zh) | 基于国密技术的数据传输加密、解密方法及加解密系统 | |
CN114598462B (zh) | 量子城域网中基于动态调整的端到端密钥生成方法 | |
CN115225331A (zh) | 一种数据加密通信的方法 | |
CN114221801A (zh) | 一种网络安全通信方法及装置 | |
CN117201200B (zh) | 基于协议栈的数据安全传输方法 | |
CN115955302B (zh) | 一种基于协同签名的国密安全通信方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |