CN211352206U - 基于量子密钥分发的IPSec VPN密码机 - Google Patents
基于量子密钥分发的IPSec VPN密码机 Download PDFInfo
- Publication number
- CN211352206U CN211352206U CN201920190050.9U CN201920190050U CN211352206U CN 211352206 U CN211352206 U CN 211352206U CN 201920190050 U CN201920190050 U CN 201920190050U CN 211352206 U CN211352206 U CN 211352206U
- Authority
- CN
- China
- Prior art keywords
- quantum key
- vpn
- key
- quantum
- industrial control
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Landscapes
- Data Exchanges In Wide-Area Networks (AREA)
- Small-Scale Networks (AREA)
Abstract
本实用新型的基于量子密钥分发的IPSec VPN密码机,包括采用服务器架构的工控主板,支持常规电网口,用于与对端VPN设备建立VPN协商线路;还包括设有光纤网口的量子密钥模块板卡,用于与服务端量子密钥系统进行交互,获取特定的量子密钥,用于VPN握手协商过程;加密卡与工控主板通过数据总线连接,提供常规密钥和加解密算法,用于VPN握手协商和数据加解密;电子钥匙与加密卡通过数据线连接,用于密钥的备份和恢复;DOM盘与工控主板通过数据总线连接,存储VPN密码机的软件系统。本实用新型的量子VPN技术是将量子密钥分发系统中产生的密钥用于Internet协议安全性标准框架结构中的握手协商过程,利用量子密钥分发技术解决密钥的安全问题,使通信双方之间能共享无条件安全的密钥。
Description
技术领域
本发明属于量子安全保密通信技术领域,具体涉及基于量子密钥分发的IPSecVPN密码机。
背景技术
VPN(Virtual Private Network)虚拟专用网络,是一种在公共网络上利用隧道加密技术建立起来的专用网络,进行加密传输。它可以帮助异地用户、分支机构、商业伙伴与公司内部网络建立可信的安全连接,并保证数据的安全传输。
IPSec协议由IETF(Internet工程任务组)制定的端到端的确保基于IP通信数据安全性的一种网络层协议,可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。IKE (Internet密钥交换协议)属于一种混合协议,基于ISAKMP(互联网安全联盟和密钥管理协议)定义的框架,用于交换和管理在VPN协商过程中使用的密钥。
目前传统VPN密码机均采用IKE方式进行握手协商,例如专利公告号为CN102111377A的发明专利”网络密码机“便是一款传统VPN 密码机,随着计算能力的进一步提高,在VPN协商过程中密钥存在被破解的风险。如何将量子保密通信技术与传统VPN网络融合,提高数据传输的安全性,成为目前关注的重点。
发明内容
本发明为将量子保密通信技术与传统VPN网络融合,提高数据传输的安全性,提供了一款量子VPN密码机,在传统的VPN密码机基础上增加相应的量子密钥板卡,将量子密钥分发技术引入到IKE密钥协商过程中,解决传统VPN密码机协商过程的安全性问题。
本发明的基于量子密钥分发的IPSec VPN密码机,包括:
工控主板:采用服务器架构的工控主板,设有常规电网口,常规电网口用于与对端VPN设备建立常规VPN线路;
加密卡:与工控主板通过外围器件互联总线标准进行连接;
电子钥匙:与加密卡采用通用串行总线连接,用于密钥的备份和恢复;
DOM盘:与工控主板通过电脑总线连接;
其特征在于还包括:
量子密钥板卡:与工控主板通过外围器件互联总线进行连接,用于对量子密钥的管理;
量子密钥板卡设有光纤接口,光纤接口与量子密钥分发服务器进行连接。
具体地,所述量子密钥板卡与工控主板通过PCI-E插槽连接。
具体地,所述加密卡与工控主板通过PCI-E插槽连接。
具体地,所述电子钥匙与加密卡通过USB连接。
具体地,所述DOM盘与工控主板通过SATA方式连接。
本发明是基于量子密钥分配协议和IPSec安全协议的一款采用工控机构架的千兆VPN密码机。量子保密通信则是由经典密码理论与量子力学的基本原理相结合而产生的,但与经典的数学密码不同的是,量子保密通信的最大优点是其具有理论上的无条件安全性和高效性。现阶段量子通信的主要应用形式是基于量子密钥分发(QKD)的保密通信,分发过程就是通信双方在不安全的信道(量子信道和经典信道)上完成密钥协商的过程,量子信道可以是光纤或者自由空间,用于传输单光子信号或者纠缠光子对,经典信道用于后续的协商等。量子密钥的安全性依赖于密钥的生成与验证机制,验证机制确保通信双方可以发现窃听者的存在,从而保证密钥协商过程的安全性。
本发明的基于量子密钥分配的IPSec VPN密码机是将量子密钥分发服务器中产生的密钥用于Internet协议安全性标准框架结构 (IPSec协议)中的握手协商过程,利用量子密钥分配技术解决密钥安全分配的问题,使通信双方之间能共享无条件安全的密钥。
本发明的量子VPN密码机硬件平台增加量子密钥板卡,与工控主板通过外围器件互联总线进行连接,用于对量子密钥的管理,量子密钥板卡设有光纤接口,通过光纤网口与量子服务器连接获取量子密钥 (即通过光纤网口获取量子密钥),通过硬件加密卡进行加、解密运算,硬件加密卡提供密码运算模块。使用发明的量子VPN密码机时,配有相应的软件平台,包含:系统内核模块、量子密钥模块、密码运算模块、页面配置模块。量子VPN密码机兼容传统VPN密码机功能,当获取量子密钥失败时,将自动切换为传统IKE(Internet密钥交换协议)与对端进行协商。
在密钥协商模式方面,量子VPN密码机是采用量子密钥分发协议和IPSec协议相结合,也支持传统的标准IKE协商模式。标准协商模式是2014年国家密码管理局颁布的IPSecVPN技术规范中的协商标准,包含密钥交换模块、隧道封装模块。此处的密钥协商模式是在标准协商模式的基础上,集成了量子密钥的使用。目前国家还没有出台关于量子密钥的VPN技术规范。标准协商模式包括密钥交换子模块和隧道封装子模块。密钥交换子模块主要完成通信双方的会话密钥协商,形成通信双方的加密通道。隧道封装子模块完成IP数据包的捕获,根据数据包的信息查询安全策略,并根据安全策略进行相应的流转处理:转发、加密、解密、转上层协议等。
附图说明
为了更清楚地说明本发明实施例技术中的技术方案,下面将对实施例技术描述中所需要使用的附图作简单地介绍。基于量子密钥分发的IPSec VPN密码机这里简称“量子VPN密码机”。
图1为量子VPN密码机功能结构图;
图2为量子VPN密码机采用的协议图;
图3为量子VPN密码机数据包进出流程图;
图4为量子VPN密码机应用环境图;
图5为量子VPN密码机应用日志显示。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述。
参照附图1所示,本发明内容是基于量子密钥分发的IPSec VPN 密码机,包括:
工控主板:采用服务器架构的工控主板,设有常规电网口,常规电网口用于与对端VPN设备建立常规VPN线路;
量子密钥板卡,与工控主板通过PCI-E插槽连接,对量子密钥的获取、量子密钥标识、校验、存储、使用等进行管理,用于VPN握手协商过程;
量子密钥板卡设有光纤接口,光纤接口与量子密钥分发服务器进行连接,首先获取特定的量子密钥,待校验合格后,用于VPN握手协商过程;
加密卡:与工控主板通过PCI-E插槽连接,提供常规密钥和加解密算法,用于VPN握手协商和数据加解密;常见的PCI也可以使用。
电子钥匙:与加密卡采用通用串行总线,支持热插拔,本实施例中采用USB连接,用于密钥的备份和恢复;
DOM盘:与工控主板通过SATA方式连接,存储VPN密码机的软件系统。SATA属于电脑总线,主要功能是用作主板和大量存储设备,如硬盘等。
本发明的基于量子密钥分发的IPSec VPN密码机具体使用时,配有相应的软件,所述软件包括系统内核模块、量子密钥模块、密码运算模块、页面配置模块,各模块之间需要通信,采用进程间通信方式,
所述系统内核模块:用于密码机的正常启动运行,包括启动程序、各硬件驱动、对物理层数据的处理、系统常用指令;
量子密钥模块:用于对量子密钥的管理及使用,包括量子密钥的获取、量子密钥的协商使用、本端量子密钥和对端量子密钥的标识、认证密钥、加密密钥;
密码运算模块:用于协商过程、以及协商完成后数据传输的加解密工作,包括对称算法、非对称算法、杂凑算法、随机数;
页面配置模块:用于对密码机进行管理,通过浏览器登录密码机管理页面,包括对本地密码机内外网口信息、路由信息、账户信息进行配置,完成配置后即可与对端密码机进行协商通信。
为适应量子密码机而定制开发的量子密钥模块,基本信息包括获取时间周期、量子密钥标识、认证密钥、加密密钥,配置完成后,所述量子模块将首先去获取量子密钥、对量子密钥进行校验并将量子密钥用于IKE协商过程,系统默认采用量子密钥与对端进行IKE协商,如果量子密钥获取失败或者校验错误,则自动切换到常规IKE协商,不影响原有VPN隧道的访问。
所述量子密钥模块还包括内含密钥交换协议的密钥交换协商模块,所述密钥交换协议包括第一阶段和第二阶段,第一阶段采用主模式,第二阶段采用快速模式:
在第一阶段交换中,主模式是一个基于身份保护的交换阶段,实现通信双方的身份认证和密钥协商,得到工作密钥;通信双方(发送端和接收端)建立了一个ISAKMP(互联网安全联盟和密钥管理协议) 的SA(安全联盟),该SA是协商双方为保护它们之间的通信而使用的共享策略和密钥,用这个SA来保护IPSec SA的协商过程。一个 ISAKMP SA可以用于建立多个IPSec SA;共享策略是两个终端进行 VPN协商的策略信息,依实际的应用环境而定,本实施例中,发起方和接收方需交换数据,交换的内容包括Nonce(生成加密密钥和认证密钥所必需的参数)、身份识别ID等载荷,交换过程中还涉及到具体的数据格式、各种加密算法模式等这样一些共享策略信息。
在第二阶段交换中,快速模式交换依赖于第一阶段的主模式交换,作为IPSec SA协商过程的一部分协商IPSec SA的安全策略并衍生会话密钥;通信双方使用第一阶段ISAKMP SA协商建立IPSec SA,确定通信双方的IPSec安全策略及会话密钥。
本实施例中,所述量子模块根据量子密钥的生成速度和协商过程中量子密钥的消耗量,可以调节量子密钥的获取周期,由于量子密钥生成速度有限,假如量子密钥每次只能采集到1KB大小,而每一次 VPN协商需要使用512B大小的量子密钥,则每两次VPN协商后去采集量子密钥,达到充分利用量子密钥的目的。
本发明的软件包含:系统内核模块、量子密钥模块、密码运算模块、页面配置模块。系统内核模块用于密码机的正常启动运行。量子密钥模块用于对量子密钥的管理,包括获取量子密钥、量子密钥协商、本端量子标识、认证密钥、加密密钥等。密码运算模块用于协商成功后的数据加解密工作。页面配置用于给管理员提供WEB配置操作。
针对量子VPN密码机采用的协议,参照附图2所示,以太网是当今最重要的局域网组网技术,在细化和实用TCP/IP体系结构中的网络层和网络接入层的时候,采用了IEEE802.2逻辑链路控制作为 TCP/IP体系结构的底层协议。而量子密钥分发协议和IEEE802.2逻辑链路控制同属网络接入(口)层,它为上层提供具有无条件安全的加密服务。IPSec(层)安全协议所提供的安全服务是在网络层上提供的,它为上层协议提供诸如网络单元的访问控制,数据源认证和有限的数据流保密。同时对量子密钥分发协议进行子层的划分,编码层主要是产生原始的密钥流;筛选层用于过滤掉一些受到噪声、窃听、破坏等影响的不符合要求的量子密钥比特;检错和纠错层用于对筛选后的量子密钥比特进行检错和纠错;保密增强层用于对双方通信过程中使用的量子密钥进行加密传输;认证层用于防止通信过程中的攻击行为,对量子密钥的完整性和一致性进行认证。
当通信方一旦确定要对数据流进行量子密钥分配处理的时候,就进入了量子密钥分配协议安全关联库数据库中进行查找匹配,数据库中有很多安全条目,每个条目由以下几个域所组成:
1.筛选域:该域供虚拟专用网络的通信双方协商具体的筛选技术和策略;
2.检错和纠错域:该域供虚拟专用网络通信双方协商具体的检错和纠错技术;
3.保密增强域:该域供虚拟专用网络的通信双方协商具体的保密增强技术和策略;
4.安全关联生存期域:该域中包含了一个时间间隔,外加一个当该安全联盟过期的时候是否被替代还是被终止的标志。安全关联的生存期用两种参数形式来表示,一种是时间间隔的形式,另一种是所生成的最终用于加密的密钥数。如果这两种参数都使用了,则以先过期的为准,即最先过期的参数优先。
当有一个数据包要进行量子分配密钥处理时,通过从上层数据包头域中解析出来的域信息搜索量子密钥分配协议安全关联数据库,如果找到一个匹配的条目,就对数据包进行处理,如果未找到匹配的条目,就丢弃该数据包。
针对量子VPN密码机对数据包的封装以及流入流出格式,参照附图3所示,通信双方在SA协商完成后,在SPD(安全策略库)添加相应的策略并且填充SA安全联盟数据库。当发送端密码机发送IP数据包文时,首先根据IP数据包中源IP地址、目的IP地址、源端口、目的端口以及协议号查找对应的SA。根据SA来对数据包进行加密、计算HMAC校验和、ESP协议封装。IP数据报文传输到接收端密码机时,接收端密码机首先根据ESP头部的SPI(安全策略索引)参数查找SA,对接受到数据包进行HMAC完整性验证、根据ESP头部中的序列号进行放重放检查、对数据进行解密以及填充位检查,最后对数据包进行解封重组发送出去。
在确定了量子密钥分配协议的情况下,量子密钥的产生和交换过程如下:
1.发送端生成原始密钥且经过量子密钥分配协议各层子层处理之后,经过量子密钥分配网络传输到接收端,经双方协商,最终生成用于加密的密钥;
2.这些密钥在发送端作为IPSec安全协议加密算法的密钥输入,对虚拟专用网(VPN)通信双方的数据流进行加密;
3.加密后的数据流在公共基础设施网络中传输,到达接收端;
4.接收端采用协商的密钥对数据流进行解密,生成原始数据流。
量子VPN密码机实际的应用环境,参照附图4所示,采用路由方式进行部署,同时支持单臂模式部署。图4中业务终端就是目前的工作电脑,业务交换机就是目前常规的经典交换机,量子VPN就是本发明的基于量子密钥分发的IPSec VPN密码机、量子密钥网关用于给VPN密码机提供量子密钥,量子交换机用于量子网络中数据的转发。
在系统及网络环境正常时,模拟量子密钥中断的情况下,测试 IKE密钥和量子密钥的自动切换效果,参照附图5所示:VPN日志显示加密方式为量子密钥通过日志观察,应用终端模拟量子密钥故障,需要将VPN协商从量子密钥切换到IKE密钥共测3次:
第1次测试时间:2017-1-11 17:34至2017-1-11 18:10
第2次测试时间:2017-1-11 18:14至2017-1-11 18:22
第3次测试时间:2017-1-11 18:28至2017-1-11 18:39
模拟当量子密钥恢复后,VPN协商从IKE密钥切换到量子密钥。
Claims (3)
1.基于量子密钥分发的IPSec VPN密码机,包括:
工控主板:采用服务器架构的工控主板,设有常规电网口,常规电网口用于与对端VPN设备建立常规VPN线路;
加密卡:与工控主板通过外围器件互联总线标准进行连接;
电子钥匙:与加密卡采用通用串行总线连接,用于密钥的备份和恢复;
DOM盘:与工控主板通过电脑总线连接;
其特征在于还包括:
量子密钥板卡:与工控主板通过外围器件互联总线进行连接,用于对量子密钥的管理;
量子密钥板卡设有光纤接口,光纤接口与量子密钥分发服务器进行连接;
所述量子密钥板卡与工控主板通过PCI-E插槽连接;
所述加密卡与工控主板通过PCI-E插槽连接。
2.根据权利要求1所述的基于量子密钥分发的IPSec VPN密码机,其特征在于:所述电子钥匙与加密卡通过USB连接。
3.根据权利要求1所述的基于量子密钥分发的IPSec VPN密码机,其特征在于:所述DOM盘与工控主板通过SATA方式连接。
Applications Claiming Priority (4)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN2018202561979 | 2018-02-12 | ||
| CN201820256197 | 2018-02-12 | ||
| CN201822107427 | 2018-12-16 | ||
| CN2018221074278 | 2018-12-16 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN211352206U true CN211352206U (zh) | 2020-08-25 |
Family
ID=72100737
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201920190050.9U Active CN211352206U (zh) | 2018-02-12 | 2019-02-11 | 基于量子密钥分发的IPSec VPN密码机 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN211352206U (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173652A (zh) * | 2018-02-12 | 2018-06-15 | 武汉三江航天网络通信有限公司 | 基于量子密钥分发的IPSec VPN密码机 |
| CN113259362A (zh) * | 2021-05-25 | 2021-08-13 | 北京华胜信安电子科技发展有限公司 | 一种安全加密的工业级路由器终端 |
| CN114173312A (zh) * | 2021-12-14 | 2022-03-11 | 乾讯信息技术(无锡)有限公司 | 一种无需任何物理连接的无线网络vpn密码机的实现方法 |
-
2019
- 2019-02-11 CN CN201920190050.9U patent/CN211352206U/zh active Active
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN108173652A (zh) * | 2018-02-12 | 2018-06-15 | 武汉三江航天网络通信有限公司 | 基于量子密钥分发的IPSec VPN密码机 |
| CN113259362A (zh) * | 2021-05-25 | 2021-08-13 | 北京华胜信安电子科技发展有限公司 | 一种安全加密的工业级路由器终端 |
| CN114173312A (zh) * | 2021-12-14 | 2022-03-11 | 乾讯信息技术(无锡)有限公司 | 一种无需任何物理连接的无线网络vpn密码机的实现方法 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN107018134B (zh) | 一种配电终端安全接入平台及其实现方法 | |
| US11792169B2 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN109088870B (zh) | 一种新能源厂站发电单元采集终端安全接入平台的方法 | |
| JP2023116573A (ja) | クライアント-クラウドまたはリモートサーバーの安全なデータまたはファイル・オブジェクト暗号化ゲートウェイ | |
| JP4707992B2 (ja) | 暗号化通信システム | |
| CN108173652A (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| US20200351107A1 (en) | Secure authentication of remote equipment | |
| CN111756529B (zh) | 一种量子会话密钥分发方法及系统 | |
| CN106603487B (zh) | 一种基于cpu时空隔离机制对tls协议处理进行安全改进的方法 | |
| CN211352206U (zh) | 基于量子密钥分发的IPSec VPN密码机 | |
| CA3066728A1 (en) | Cloud storage using encryption gateway with certificate authority identification | |
| CN111756528B (zh) | 一种量子会话密钥分发方法、装置及通信架构 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及系统 | |
| Li et al. | ME-TLS: middlebox-enhanced TLS for internet-of-things devices | |
| CN114844730A (zh) | 一种基于可信隧道技术构建的网络系统 | |
| Angelo | Secure Protocols And Virtual Private Networks: An Evaluation. | |
| CN107276996A (zh) | 一种日志文件的传输方法及系统 | |
| CN101179470A (zh) | 一种基于双协议vpn的实现方法 | |
| CN113904767A (zh) | 一种基于ssl建立通信的系统 | |
| CN112073182B (zh) | 一种基于区块链的量子密钥管理方法及系统 | |
| JPH10242957A (ja) | ユーザ認証方法およびシステムおよびユーザ認証用記憶媒体 | |
| KR20140091221A (ko) | 웹 보안 프로토콜에 따른 암호화 데이터를 복호화하는 보안 장치 및 그것의 동작 방법 | |
| CN113810422A (zh) | 一种基于Emqx broker架构的物联平台设备数据安全连接方法 | |
| CN113242216A (zh) | 一种基于国产商用密码算法的可信网络摄像机 | |
| Jain | “Sec-KeyD” an efficient key distribution protocol for critical infrastructures |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| GR01 | Patent grant | ||
| GR01 | Patent grant |