CN107483197B - 一种vpn网络终端密钥分发方法及装置 - Google Patents
一种vpn网络终端密钥分发方法及装置 Download PDFInfo
- Publication number
- CN107483197B CN107483197B CN201710827200.8A CN201710827200A CN107483197B CN 107483197 B CN107483197 B CN 107483197B CN 201710827200 A CN201710827200 A CN 201710827200A CN 107483197 B CN107483197 B CN 107483197B
- Authority
- CN
- China
- Prior art keywords
- quantum key
- terminal
- creation
- message
- session
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L12/00—Data switching networks
- H04L12/28—Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
- H04L12/46—Interconnection of networks
- H04L12/4641—Virtual LANs, VLANs, e.g. virtual private networks [VPN]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本申请提供一种VPN网络终端密钥分发方法,其特征在于,所述方法包括:接收由主动创建终端发送的会话创建请求;根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。本申请方案为会话中的终端分配量子密钥块,基于量子密钥的不可克隆原理,实现所加密数据的安全传输。
Description
技术领域
本申请涉及网络安全技术领域,尤其涉及一种VPN网络终端密钥分发方法及装置。
背景技术
VPN(Virtual Private Network,虚拟专用网络)是在公共网络中通过隧道技术建立的专用网络,但是VPN的建立并没有实际地铺设光缆之类的物理线路,而是通过对数据包加密封装的手段,保证数据能够安全地经由公共网络传输。隧道技术就是对数据包的加密过程,同一会话中传输信息的双方,将使用相同的密钥。会话中的某个终端将数据包加密后发送,数据经过中间的公共网络中的信息通道——即所称的隧道——到达对方终端,接受消息的终端使用与发送消息的终端相同的密钥解封数据包,即可获得所传输的信息。在这一过程中,因为数据包被加密了,且密钥只有会话中的双方拥有,可以认为所传输的数据是安全的。因此,加密技术中所使用的密钥的安全性,对于VPN中数据的安全传输非常重要。
现有技术中,通常是不实际交换密钥,而是使用复杂的算法,实现会话中双方密钥材料的交换,密钥材料的交换可能是公开的,在交换密钥材料之后,每一方都生成相同的共享密钥。这种密钥分发方式的安全性,是基于有限范围内对密钥计算的复杂性,显然,这种安全性在理论上并不是绝对的,一旦攻击者在密钥分发阶段或之后的数据传输阶段破解了共享密钥,即可以获取所截获的数据包中的数据,而会话中的双方甚至完全不会察觉。
发明内容
有鉴于此,本申请提供一种VPN网络终端密钥分发方法及装置,技术方案如下:
根据本申请的第一方面,提供一种VPN网络终端密钥分发方法,该方法包括:
接收由主动创建终端发送的会话创建请求;
根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
根据本申请的第二方面,提供一种基于前述密钥的VPN网络终端报文加密方法,该方法包括:
在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
使用所述量子密钥单元,加密所述报文。
根据本申请的第三方面,提供一种基于前述密钥的VPN网络终端报文解密方法,该方法包括:
在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
使用所查找到的量子密钥单元,解密所接收的报文。
根据本申请的第四方面,提供一种VPN网络终端密钥分发装置,该装置包括:
请求接收模块,用于接收由主动创建终端发送的会话创建请求;
通知发送模块,用于根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
密钥分发模块,用于在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
根据本申请的第五方面,提供一种基于前述密钥的VPN网络终端报文加密装置,该装置包括:
序列号分配模块,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
密钥确定模块,用于在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
信息添加模块,用于将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
报文加密模块,用于使用所述量子密钥单元,加密所述报文。
根据本申请的第六方面,提供一种基于前述密钥的VPN网络终端报文解密装置,该装置包括:
序列号分配模块,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
报文解析模块,用于在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
密钥查找模块,用于根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
报文解密模块,用于使用所查找到的量子密钥单元,解密所接收的报文。
本申请所提供的技术方案,使用量子密钥加密传输的数据。根据量子不可克隆原理,任何对量子***的测量都会对***产生干扰,即当有攻击者试图窃听量子密钥时,将对密钥产生影响,使得密钥发生改变,这样即使攻击者获取了加密数据所用的原密钥,也无法使用原密钥解密所截获的数据。同时,由于密钥发生了改变,会话中的双方也无法使用原密钥解密传输的数据,则双方将知晓有攻击者试图窃听量子密钥,从而及时采取应对措施。
应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。此外,本申请中的任一实施例并不需要达到上述的全部效果。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来讲,还可以根据这些附图获得其他的附图。
图1是本申请的VPN网络终端密钥分发方法的流程示意图;
图2是本申请的VPN网络终端报文加密方法的流程示意图;
图3是本申请的VPN网络终端报文解密方法的流程示意图;
图4是本申请的VPN网络终端密钥分发装置的结构示意图;
图5是本申请的VPN网络终端报文加密装置的结构示意图;
图6是本申请的VPN网络终端报文解密装置的结构示意图。
具体实施方式
为了使本领域技术人员更好地理解本申请中的技术方案,下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行详细地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员所获得的所有其他实施例,都应当属于本申请保护的范围。
VPN通过在公共网络中建立专用数据传输通道,可以将企业或机构中远程的分支办公室、商业伙伴及移动办公人员等连接起来,提供安全的端到端的数据传输。本申请实施例中的VPN网络终端,可以是组成VPN的计算机、路由器及服务器等,该终端可以应用KMS(Key Management Service,密钥管理服务)***分发的密钥。
本申请实施例的KMS***中的密钥分发,是由QKD((Quantum Key Distribution,量子密钥分发)***实现,终端要使用QKD***分发的量子密钥,需要接入到量子网络中,量子网络会为每一个接入的终端分配唯一的ID。
图1所示,为本申请一种VPN网络终端密钥分发方法的流程示意图,具体可以包括以下步骤:
S101,接收由主动创建终端发送的会话创建请求;
接入量子网络的某一终端需要与网络中的另一终端传输数据时,首先需要创建会话,将两个终端关联在同一会话中,从而建立数据传输通道,传输使用量子密钥加密后的数据。因此,KMS将首先接收到需要创建会话的终端发来的会话创建请求。
S102,根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
为了向KMS说明会话中的对方终端具体为哪一终端,会话的主动创建终端向KMS发送的会话创建请求中,需要包括可以指定具体终端的标识。KMS根据请求中的终端标识,向主动创建终端和指定的被动创建终端,发送允许创建会话的通知。
其中,会话创建请求中的终端标识,可以是终端的IP地址、MAC地址等常用的标识,也可以是量子网络为接入的终端分配的ID,总之,可以实现指定具体终端的基本需求即可。
S103,在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
两个终端接收到KMS发来的通知后,将创建同一个会话,会话创建完成后,两个终端即被关联在同一会话中,可以进行数据传输。会话的主动创建终端将向KMS发送量子密钥申请,KMS接收到申请后,向同一会话中的两个终端发送相同的量子密钥,两个终端即可使用KMS发来的相同的量子密钥,加密、解密在创建的会话中传输的数据。
参见图2所示,基于上述的VPN网络终端密钥分发方法,终端进行数据传输时,对应的VPN网络终端报文加密方法可以包括以下步骤:
S201,在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
终端接收到KMS发来的量子密钥块后,将其存储在设备中,之后便可使用该密钥加密报文,为了保证同一会话中的两个终端在加密和解密报文时,能够使用同一密钥,这两个终端可以根据相同的规则,给接收到的每个密钥块,分配一一对应的序列号。
序列号的分配规则可以有很多种,例如:从1开始递增,将接收到的密钥块依次记为“密钥块1”、“密钥块2”……,或者预设一系列数字,依次分配给接收到的密钥块,等等。可以理解的是,同一会话中的两个终端,为接收到的相同密钥块分配相同序列号,目的是对量子密钥块进行标识,以便在加密和解密相同数据时,使用相同的量子密钥,因此本申请方案理论上并不需要对具体的序列号分配规则进行限定,在实际应用中,本领域技术人员可以根据具体需求选取适当的规则。
S202,在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
申请到量子密钥块并为密钥块分配对应的序列号后,即可使用密钥加密发送的报文。在实际情况中,KMS为终端分发的一块量子密钥中的密钥内容较多时,每次加密可以不使用一整块的量子密钥。
在本申请的一种具体实施方式中,每次使用的量子密钥单元可以为一块量子密钥块的一部分,每次加密报文时,从密钥块中取出一部分,并使用偏移量表征取用的位置,取用过的部分将不会被再次取用,当整块密钥全部被取用过之后则丢弃,并向KMS申请新的密钥块。
例如,假设KMS分发的每块量子密钥的长度为1024字节,每次加密报文使用的量子密钥单元为32字节。第一次从密钥块中取用密钥单元时,取用1024字节的1至32字节,偏移量为1;第二次取用时,取用33-64字节,偏移量为1+32即33……
此外,可以在从所接收的量子密钥块中提取所述预设长度的量子密钥单元后,记录提取次数,根据所述提取次数及所述预设长度,计算所接收的量子密钥块的剩余长度,检测所计算的剩余长度是否不小于所述预设长度。
例如,在第31次取用量子密钥单元后,记录取用次数为31,则在第32次取用前,根据31次乘32字节计算出已经取用了932字节,剩余32字节,从而判断出剩余长度不小于要取用的长度,可以从该密钥块中取用密钥单元。同样地,记录取用次数为32次,则在第33次取用前,根据32次乘32字节计算出已经取用了1024字节,剩余长度为0,则需要丢弃该密钥块,向KMS申请新的量子密钥块。
显然,每次加密报文时使用的量子密钥单元也可以是一块量子密钥,甚至可以是由多块量子密钥拼接而成。可以理解的是,无论量子密钥单元是由量子密钥块以何种形式生成,两者之间必然存在对应关系,需要解密报文时,即可根据对应关系确定解密所使用的量子密钥单元。
S203,将所述对应关系及、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
如前面所述,需要加密报文时,依次通过序列号、密钥单元与密钥块的对应关系,确定加密要使用的密钥单元,因此,需要将序列号和对应关系添加至发送到对方终端的报文中,以便对方终端解密报文时,确定需要使用的密钥单元。
同时,由于一个终端可能同时关联在多个会话中,而每个会话中两个终端使用的相同的序列号分配规则,可能与其他会话中的终端所使用的规则也相同,为了便于对方终端确定加密报文的来源,还可以将本终端的标识也添加至发送的报文中。
在本发明的一种具体实施方式中,可以在发送的报文的IP协议头部中增加一个字段,用于添加本终端的标识、所使用的密钥块的序列号、密钥单元与密钥块的对应关系。
此外,如果使用的终端标识为量子网络为接入的终端分配的ID,则在为密钥块分配序列号时,可以将序列号与ID一同保存,方便需要时获取。
S204,使用所述量子密钥单元,加密所述报文。
确定加密所使用的量子密钥单元,及密钥单元的信息后,即可使用量子密钥对发送的报文中的有效载荷进行加密,本申请对具体的加密方法不做限定。
参见图3所示,基于上述的VPN网络终端密钥分发方法,终端进行数据传输时,对应的VPN网络终端报文解密方法可以包括以下步骤:
S301,在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
终端接收到KMS发来的量子密钥块后,将其存储在设备中,之后便可使用该密钥解密报文,如前面所述,为了保证同一会话中的两个终端在加密和解密报文时,能够使用同一密钥,这两个终端可以根据相同的规则,给接收到的每个密钥块,分配一一对应的序列号,本申请方案对具体的分配规则不做限定。
S302,在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
当接收到同一会话中的对方终端发来的加密了的报文后,需要对报文进行解密,为了确定具体使用的量子密钥单元,需要解析所接收的报文,得到对方终端添加在报文中的对方终端的标识、所使用的密钥块的序列号、密钥单元与密钥块的对应关系。
如果对方终端是在发送的报文的IP协议头部中增加了一个字段,用于添加本终端的标识、所使用的密钥块的序列号、密钥单元与密钥块的对应关系,则解析所接收的报文的IP协议头部,即可得到预设字段中的终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系。
S303,根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
根据解析到的终端标识及序列号,查找量子密钥块,根据解析到的对应关系,在所查找到的量子密钥块中查找量子密钥单元。
例如,可以根据解析到的终端标识,确定具体的对方终端,并根据解析到的序列号,查找到对方终端加密时使用的量子密钥块,如果解析到的对应关系为量子密钥单元在量子密钥块中的偏移量,如64,则在量子密钥块中偏移64字节后,65至96字节的密钥即为加密时取用的密钥单元。
S304,使用所查找到的量子密钥单元,解密所接收的报文。
使用查找到的量子密钥单元,即可解密对方终端发来的加密了的报文,本申请对具体的解密方法不做限定。
可见,应用本申请方案,需要进行数据传输的两个终端关联后,可以向KMS申请相同的量子密钥块,并在对数据加密和解密时,使用相同的量子密钥单元,基于量子密钥的不可克隆原理,实现数据的安全传输。
相应于上述方法实施例,本申请还提供一种VPN网络终端密钥分发装置,参见图4所示,该装置可以包括:
请求接收模块110,用于接收由主动创建终端发送的会话创建请求;
通知发送模块120,用于根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
密钥分发模块130,用于在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
本申请还提供一种基于上述密钥的VPN网络终端报文加密装置,参见图5所示,该装置可以包括:
序列号分配模块210,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
密钥确定模块220,用于在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
信息添加模块230,用于将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
报文加密模块240,用于使用所述量子密钥单元,加密所述报文。
在本申请的一种具体实施方式中,密钥确定模块220具体可以用于:
在接收到报文发送请求的情况下,检测所接收的量子密钥块的剩余长度,是否不小于预设长度;
在所述剩余长度不小于所述预设长度的情况下,从所接收的量子密钥块中,提取所述预设长度的量子密钥单元;
确定所提取的量子密钥单元在所接收的量子密钥块中的偏移量,所述偏移量为所提取的量子密钥单元与所接收的量子密钥块的对应关系。
在本申请的一种具体实施方式中,密钥确定模块220具体还可以用于:
在所述剩余长度小于所述预设长度的情况下,发送量子密钥申请。
在本申请的一种具体实施方式中,信息添加模块230具体可以用于:
将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文的IP协议头部的预设字段中。
本申请还提供一种基于上述密钥的VPN网络终端报文解密装置,参见图6所示,该装置可以包括:
序列号分配模块310,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
报文解析模块320,用于在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
密钥查找模块330,用于根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
报文解密模块340,用于使用所查找到的量子密钥单元,解密所接收的报文。
在本申请的一种具体实施方式中,报文解析模块320具体可以用于:
在接收到加密报文的情况下,解析所接收报文的IP协议头部,得到预设字段中的终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系。
上述装置中各个模块的功能和作用的实现过程具体详见上述方法中对应步骤的实现过程,在此不再赘述。
通过以上的实施方式的描述可知,本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解,本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来,该计算机软件产品可以存储在存储介质中,如ROM/RAM、磁碟、光盘等,包括若干指令用以使得一台计算机设备(可以是个人计算机,服务器,或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法。
本说明书中的各个实施例均采用递进的方式描述,各个实施例之间相同相似的部分互相参见即可,每个实施例重点说明的都是与其他实施例的不同之处。尤其,对于装置或***实施例而言,由于其基本相似于方法实施例,所以描述得比较简单,相关之处参见方法实施例的部分说明即可。以上所描述的装置或***实施例仅仅是示意性的,其中所述作为分离部件说明的模块可以是或者也可以不是物理上分开的,在实施本申请方案时可以把各模块的功能在同一个或多个软件和/或硬件中实现。也可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
以上所述仅是本申请的具体实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本申请原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也应视为本申请的保护范围。
Claims (10)
1.一种VPN网络终端密钥分发方法,其特征在于,所述方法包括:
接收由主动创建终端发送的会话创建请求;
根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,基于所述同一会话为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
2.一种基于权利要求1所述方法的VPN网络终端报文加密方法,其特征在于,所述方法包括:
在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
使用所述量子密钥单元,加密所述报文。
3.根据权利要求2所述的方法,其特征在于,所述在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系,包括:
在接收到报文发送请求的情况下,检测所接收的量子密钥块的剩余长度,是否不小于预设长度;
在所述剩余长度不小于所述预设长度的情况下,从所接收的量子密钥块中,提取所述预设长度的量子密钥单元;
确定所提取的量子密钥单元在所接收的量子密钥块中的偏移量,所述偏移量为所提取的量子密钥单元与所接收的量子密钥块的对应关系。
4.根据权利要求3所述的方法,其特征在于,所述方法还包括:
在所述剩余长度小于所述预设长度的情况下,发送量子密钥申请。
5.根据权利要求2所述的方法,其特征在于,所述将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中,包括:
将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文的IP协议头部的预设字段中。
6.一种基于权利要求1所述方法的VPN网络终端报文解密方法,其特征在于,所述方法包括:
在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
使用所查找到的量子密钥单元,解密所接收的报文。
7.根据权利要求6所述的方法,其特征在于,所述在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系,包括:
在接收到加密报文的情况下,解析所接收报文的IP协议头部,得到预设字段中的终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系。
8.一种VPN网络终端密钥分发装置,其特征在于,所述装置包括:
请求接收模块,用于接收由主动创建终端发送的会话创建请求;
通知发送模块,用于根据所述会话创建请求,向所述主动创建终端与被动创建终端发送会话创建通知,所述被动创建终端由所述会话创建请求中的终端标识指定,所述被动创建终端创建的会话与所述主动创建终端创建的会话为同一会话;
密钥分发模块,用于在所述主动创建终端和所述被动创建终端完成会话创建后,在接收到所述主动创建终端的量子密钥申请的情况下,基于所述同一会话为所述主动创建终端与所述被动创建终端分发相同的量子密钥块。
9.一种基于权利要求8所述装置的VPN网络终端报文加密装置,其特征在于,所述装置包括:
序列号分配模块,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
密钥确定模块,用于在接收到报文发送请求的情况下,根据预设的密钥确定规则,确定量子密钥单元,及所述量子密钥单元与所对应的量子密钥块的对应关系;
信息添加模块,用于将所述对应关系、所述量子密钥单元对应的量子密钥块的序列号、及本终端的标识,添加至所述报文中;
报文加密模块,用于使用所述量子密钥单元,加密所述报文。
10.一种基于权利要求8所述装置的VPN网络终端报文解密装置,其特征在于,所述装置包括:
序列号分配模块,用于在接收到量子密钥块的情况下,根据预设的序列号分配规则,为所述接收的量子密钥块分配序列号,其中,同一会话中的主动创建终端与被动创建终端采用的序列号分配规则相同;
报文解析模块,用于在接收到加密报文的情况下,解析所接收的报文,得到终端标识、量子密钥块序列号、及量子密钥单元与所对应的量子密钥块的对应关系;
密钥查找模块,用于根据解析到的终端标识、序列号及对应关系,查找量子密钥单元;
报文解密模块,用于使用所查找到的量子密钥单元,解密所接收的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710827200.8A CN107483197B (zh) | 2017-09-14 | 2017-09-14 | 一种vpn网络终端密钥分发方法及装置 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201710827200.8A CN107483197B (zh) | 2017-09-14 | 2017-09-14 | 一种vpn网络终端密钥分发方法及装置 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN107483197A CN107483197A (zh) | 2017-12-15 |
| CN107483197B true CN107483197B (zh) | 2020-02-11 |
Family
ID=60584342
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201710827200.8A Active CN107483197B (zh) | 2017-09-14 | 2017-09-14 | 一种vpn网络终端密钥分发方法及装置 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN107483197B (zh) |
Families Citing this family (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN110048833B (zh) * | 2019-03-04 | 2021-10-29 | 全球能源互联网研究院有限公司 | 基于量子卫星密钥网络的电力业务加密方法及装置 |
| CN110190952A (zh) * | 2019-05-09 | 2019-08-30 | 浙江神州量子通信技术有限公司 | 一种基于量子随机数对物联网安全的加密传输方法 |
Family Cites Families (8)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US20050063547A1 (en) * | 2003-09-19 | 2005-03-24 | Audrius Berzanskis | Standards-compliant encryption with QKD |
| MY147120A (en) * | 2008-09-10 | 2012-10-31 | Mimos Berhad | Method of integrating quantum key distribution with internet key exchange protocol |
| CN201830272U (zh) * | 2010-09-17 | 2011-05-11 | 安徽问天量子科技股份有限公司 | 基于量子密钥的网络加密机 |
| CN103490891B (zh) * | 2013-08-23 | 2016-09-07 | 中国科学技术大学 | 一种电网ssl vpn中密钥更新和使用的方法 |
| CN104618387B (zh) * | 2015-02-14 | 2016-09-07 | 科大国盾量子技术股份有限公司 | 将sip信令用于量子安全通信***的方法、综合接入量子网关及*** |
| CN104660602B (zh) * | 2015-02-14 | 2017-05-31 | 山东量子科学技术研究院有限公司 | 一种量子密钥传输控制方法及*** |
| CN107086907B (zh) * | 2016-02-15 | 2020-07-07 | 阿里巴巴集团控股有限公司 | 用于量子密钥分发过程的密钥同步、封装传递方法及装置 |
| CN107040378A (zh) * | 2017-06-01 | 2017-08-11 | 浙江九州量子信息技术股份有限公司 | 一种基于多用户远程通信的密钥分配***与方法 |
-
2017
- 2017-09-14 CN CN201710827200.8A patent/CN107483197B/zh active Active
Also Published As
| Publication number | Publication date |
|---|---|
| CN107483197A (zh) | 2017-12-15 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US11316677B2 (en) | Quantum key distribution node apparatus and method for quantum key distribution thereof | |
| CN107040922B (zh) | 无线网络连接方法、装置及*** | |
| WO2017185692A1 (zh) | 密钥分发、认证方法,装置及*** | |
| CN108574569B (zh) | 一种基于量子密钥的认证方法及认证装置 | |
| WO2017114123A1 (zh) | 一种密钥配置方法及密钥管理中心、网元 | |
| WO2014058166A1 (ko) | 데이터 전송 장치 및 방법, 그리고 그 방법을 컴퓨터에서 실행시키기 위한 프로그램을 기록한 기록매체 | |
| CN105553951A (zh) | 数据传输方法和装置 | |
| CN102045210B (zh) | 一种支持合法监听的端到端会话密钥协商方法和*** | |
| CN108989325A (zh) | 加密通信方法、装置及*** | |
| EP3633949A1 (en) | Method and system for performing ssl handshake | |
| CN103036872B (zh) | 数据传输的加密和解密方法、设备及*** | |
| JP2006148982A (ja) | テレコミュニケーションネットワークの送信に対するセキュリティ方法 | |
| CN103986723B (zh) | 一种保密通信控制、保密通信方法及装置 | |
| CN105516062B (zh) | 一种实现L2TP over IPsec接入的方法 | |
| CA2938166C (en) | Method and system for protecting data using data passports | |
| CN104468126A (zh) | 一种安全通信***及方法 | |
| KR20180130203A (ko) | 사물인터넷 디바이스 인증 장치 및 방법 | |
| CN103997405B (zh) | 一种密钥生成方法及装置 | |
| CN113742709A (zh) | 信息的处理方法、装置、可读介质和电子设备 | |
| CN107483197B (zh) | 一种vpn网络终端密钥分发方法及装置 | |
| CN115766002A (zh) | 采用量子密钥分发及软件定义实现以太数据加解密的方法 | |
| CN106789963B (zh) | 非对称白盒密码加密方法和装置及设备 | |
| CN113193958B (zh) | 一种量子密钥服务方法与*** | |
| CN112152796B (zh) | 一种基于密钥动态协商的组播方法及相关装置 | |
| CN101572694A (zh) | 媒体流密钥的获取方法、会话设备与密钥管理功能实体 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant | ||
| TR01 | Transfer of patent right |
Effective date of registration: 20210615 Address after: 310051 05, room A, 11 floor, Chung Cai mansion, 68 Tong Xing Road, Binjiang District, Hangzhou, Zhejiang. Patentee after: Hangzhou Dip Information Technology Co.,Ltd. Address before: 6 / F, Zhongcai building, 68 Tonghe Road, Binjiang District, Hangzhou City, Zhejiang Province Patentee before: Hangzhou DPtech Technologies Co.,Ltd. |
|
| TR01 | Transfer of patent right |