CN116055091A - 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备 - Google Patents

一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备 Download PDF

Info

Publication number
CN116055091A
CN116055091A CN202211427640.1A CN202211427640A CN116055091A CN 116055091 A CN116055091 A CN 116055091A CN 202211427640 A CN202211427640 A CN 202211427640A CN 116055091 A CN116055091 A CN 116055091A
Authority
CN
China
Prior art keywords
key
security
network
policy
management
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211427640.1A
Other languages
English (en)
Other versions
CN116055091B (zh
Inventor
罗俊
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
China Telecom Quantum Technology Co ltd
Original Assignee
China Telecom Quantum Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by China Telecom Quantum Technology Co ltd filed Critical China Telecom Quantum Technology Co ltd
Priority to CN202211427640.1A priority Critical patent/CN116055091B/zh
Publication of CN116055091A publication Critical patent/CN116055091A/zh
Application granted granted Critical
Publication of CN116055091B publication Critical patent/CN116055091B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/20Network architectures or network communication protocols for network security for managing network security; network security policies in general
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4633Interconnection of networks using encapsulation techniques, e.g. tunneling
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/28Data switching networks characterised by path configuration, e.g. LAN [Local Area Networks] or WAN [Wide Area Networks]
    • H04L12/46Interconnection of networks
    • H04L12/4641Virtual LANs, VLANs, e.g. virtual private networks [VPN]
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L12/00Data switching networks
    • H04L12/66Arrangements for connecting between networks having differing types of switching systems, e.g. gateways
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/06Network architectures or network communication protocols for network security for supporting key management in a packet data network
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)

Abstract

本发明公开一种采用软件定义和量子密钥分发实现IPSec VPN的方法,通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥,设备节点作为上报流量信息,并对数据流进行IPSecVPN的隧道封装解封和加解密处理的执行点。本发明还公开一种实现IPSec VPN的装置。本方案中,管控平台作为全安全域唯一的集中控制器,IPSec VPN网关仅作为执行点,用于网络拓扑动态变化的场景,具有较高的安全性和扩展性。

Description

一种采用软件定义和量子密钥分发实现IPSec VPN的方法及设备
技术领域
本发明属于密码应用领域,特别属于基于密钥分发***的网络密码设备应用领域。
背景技术
目前各种企事业单位和党政机关的各分支机构的局域网互联互通都是通过IPSecVPN(采用IPSec协议的虚拟专用网络)设备之类的加密网关建立安全加密通道进行,同一安全域内不同的加密网关从同一个证书机构签发数字证书,之后就可以采用IKE(Internet key exchange,因特网密钥交换)等密钥交换协议来自主协商数据通信使用的会话密钥进而进行数据加密通信。这种模式存在以下问题:
1、加密网关之间可以基于数字证书自主进行密钥协商,中心管控力度低,只能通过访问控制策略下发等手段进行通信管控,无法做到强制访问控制。
2、需要有可以直接进行密钥协商的通信信道,这对于NAT(Network AddressTranslation,网络地址交换)等复杂网络环境在实现上有较大难度,特别是对于通信两端的网关都需要进行NAT之后才能上网的情况。
3、协商过程较为复杂,有一定的计算和通信代价,因此产生的会话密钥一般会使用一段时间,从安全性上来讲无法做到一次一密。
4、密钥协商的过程基于非对称密钥对和数字证书,用于加密传送会话密钥素材的公钥是公开的,若量子计算机计算能力提升,存在被破译的可能性,从而导致需传递的会话密钥被破译窃取。
5、IPSecVPN网关需要承载密钥管理、密钥协商、策略管理和数据加解密等多个安全功能,对软硬件资源要求高,实现成本高且可维护性不好。
发明内容
本发明所要解决的技术问题在于网络拓扑动态变换场景下的安全策略设置和会话密钥分发问题以及NAT等复杂网络环境下IPSecVPN网关无法直接协商密钥的问题。
本发明通过以下技术手段实现解决上述技术问题的:一种采用软件定义和量子密钥分发实现IPSec VPN的方法,通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥,设备节点作为上报流量信息,并对数据流进行IPSecVPN的隧道封装解封和加解密处理的执行点。
作为进一步优化的技术方案,所述通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥前,还包括下述步骤:
S1:所述管控平台划定安全域,通过量子密钥分发网络向安全存储介质注入密钥,量子密钥分发网络中的量子网络节点在密钥池中存储分发给安全域内预分配给不同设备节点的主密钥及主密钥ID;
S2:通过安全存储介质往域内的设备节点通过密钥注入模块注入预充注的主密钥,建立主密钥池;
S3:管控平台根据全安全域内的统一网络规划,为设备节点配置网络和安全参数;
S4:设备节点通过注册与密钥申请模块向管控平台进行注册,管控平台收到注册信息后,向量子密钥分发网络请求设备ID和主密钥ID对应的设备主密钥进行完整性验证,验证通过即填入设备节点的注册信息。
作为进一步优化的技术方案,所述通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥,设备节点仅作为上报流量信息,并对数据流进行IPSecVPN的隧道封装解封和加解密处理的执行点,具体包括下述步骤:
S5:设备节点从内网口收到出站网络报文,对网络报文进行IPSecVPN的封装和加密处理或产生一个实时随机数作为安全参数索引SPI-I,并向管控平台发出策略和密钥申请报文;
S6:管控平台收到源设备节点的策略和密钥申请报文并向量子密钥分发网络请求源设备节点ID和主密钥ID对应的源设备节点主密钥,并根据返回的主密钥进行完整性验证后,查找得到匹配的目的设备节点,构成安全策略I及安全关联I,向量子密钥分发网络申请两个会话密钥Key-A和Key-B,并随机选取源设备节点的主密钥对会话密钥加密形成会话密钥密文KeyI-A/KeyI-B,随机选取目的设备节点的主密钥对会话密钥加密形成会话密钥密文KeyR-A/KeyR-B,然后用目的设备节点的主密钥对安全策略I、安全关联I和会话密钥密文KeyR-A进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S7:目的设备节点接收到策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并产生一个实时随机数作为安全参数索引SPI-R,向管控平台回复安全参数索引SPI-R;
S8:管控平台收到并验证上述回复报文后,构成安全策略R及安全关联R,随机选取源设备节点的主密钥对安全策略I和R、安全关联I和R以及会话密钥密文KeyI-A和KeyI-B进行密码杂凑运算的完整性校验后一起分发给源设备节点;
S9:源设备节点接收到管控中心发来的策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并回复管控平台成功状态;
S10:管控平台接收源设备节点的回复并验证后,随机选取目的设备节点的主密钥对安全策略R、安全关联R以及会话密钥密文KeyR-B进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S11:目的设备节点接收到管控平台发来的上述策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并回复管控平台成功状态。
作为进一步优化的技术方案,完成步骤S5至S11的安全策略和会话密钥分发过程后,IPSecVPN网关之间能够直接进行双向加密隧道通信。
作为进一步优化的技术方案,IPSecVPN网关之间进行双向加密隧道通信过程如下:
S12:IPSecVPN网关对于内网口收到的网络报文,对网络报文进行IPSec隧道封装和加密后从外网口发送;
S13:IPSecVPN网关对于外网口收到的IPSecVPN报文,对解封装和解密后的原始报文查找匹配项,并将找到匹配项的报文按照常规的路由转发处理。
作为进一步优化的技术方案,步骤S3中,所述每个设备节点的配置数据包括设备ID、设备IP地址、受保护网络信息、设备的安全级别。
作为进一步优化的技术方案,步骤S3中,其中设备IP地址对于采用动态地址的设备节点由设备注册时填入,设备的受保护网络信息在设备注册时由设备节点上报,设备的安全级别表示设备进行网络数据加密时的强度,不同的安全级别对应对称加密算法的不同密钥长度和密码杂凑算法的不同哈希值长度,同一安全域内的设备节点采用同一种对称加密算法和密码杂凑算法,但能够赋予不同的安全级别,不同安全级别的设备节点通过算法强度的区分而强制不能互通。
作为进一步优化的技术方案,步骤S4中,所述注册信息包括设备IP地址、受保护网络信息,注册信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别。
作为进一步优化的技术方案,步骤S5中,
所述设备节点的策略管理模块根据该网络报文的五元组信息检索正向策略流表,无命中则继续查找正向安全策略表,两张表有一张命中则采用查找到的安全关联对网络报文进行IPSecVPN的封装和加密处理,如果两张表都未命中,则产生一个实时随机数作为安全参数索引SPI-I,并通过注册与密钥申请模块向管控平台发出策略和密钥申请报文。
作为进一步优化的技术方案,步骤S5中,所述五元组信息包括源、目的IP地址和源、目的端口以及协议号,所述正向策略流表由不同数据流的五元组及对应的IPSec安全关联组成,采用哈希链表的形式,IPSec安全关联包括加密和杂凑算法、安全参数索引、封装用的源和目的IP地址,所述正向安全策略表由源和目的的受保护网络信息及对应的IPSec安全关联组成,该策略表为线性链表,所述报文包括安全参数索引SPI-I和五元组信息,信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别。
作为进一步优化的技术方案,步骤S6中,根据五元组中的目的IP在各设备节点的受保护网络信息中进行查找得到匹配的目的设备节点,并确保该目的设备节点的安全级别和发出申请报文的源设备节点相同,源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、命中的目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、安全参数索引SPI-I及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略I及安全关联I。
作为进一步优化的技术方案,步骤S6中,量子密钥分发网络随机选取源设备节点的主密钥对会话密钥加密形成会话密钥密文KeyI-A/KeyI-B,随机选取目的设备节点的主密钥对会话密钥加密形成会话密钥密文KeyR-A/KeyR-B,用于加密会话密钥的主密钥对管控平台不可见,管控平台从量子密钥分发网络得到的是会话密钥的密文,然后管控平台向量子密钥分发网络申请目的设备节点的其他主密钥对安全策略I、安全关联I和会话密钥密文KeyR-A进行密码杂凑运算的完整性校验后一起分发给目的设备节点。
作为进一步优化的技术方案,步骤S7中,目的设备节点接收到策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表,安全策略I***反向安全策略表。
作为进一步优化的技术方案,步骤S8中,管控平台收到并验证上述回复报文后,将目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、安全参数索引SPI-R及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略R及安全关联R。
作为进一步优化的技术方案,步骤S9中,源设备节点接收到上述管控中心发来的策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表、将安全策略R***目的设备的反向安全策略表、将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表、安全策略I***正向安全策略表。
作为进一步优化的技术方案,步骤S11中,目的设备节点接收到管控平台发来的上述策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表,安全策略R***正向安全策略表。
作为进一步优化的技术方案,步骤S12中,IPSecVPN网关对于内网口收到的网络报文,其VPN隧道处理模块从正向策略流表或正向安全策略表中找到匹配报文五元组的安全策略及安全关联,采用安全关联中的安全参数索引SPI、封装的源和目的IP地址、加密算法、杂凑算法对网络报文进行IPSec隧道封装和加密后从外网口发送。
作为进一步优化的技术方案,步骤S12中,如果是查找正向安全策略表得到安全关联,则将五元组和对应的安全关联加入正向策略流表,正向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项,对于正向安全策略表,设定软/硬两个生命周期并维护一个定时器,软生命周期到期则触发策略和密钥重申请过程,删除超出硬生命周期的安全策略。
作为进一步优化的技术方案,步骤S13中,IPSecVPN网关对于外网口收到的IPSecVPN报文,其VPN隧道处理模块根据报文的安全参数索引SPI、目的IP地址和协议号三元组在安全关联表中查找匹配的安全关联,并采用命中的安全关联的会话密钥进行完整性验证和解密,对解封装和解密后的原始报文,按照五元组在反向策略流表中或反向安全策略表查找匹配项,并将找到匹配项的报文按照常规的路由转发处理,如果是查找反向安全策略表得到匹配项,则将五元组加入反向策略流表,反向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项,对于反向安全策略表,设定一个生命周期并维护一个定时器,删除超出生命周期的安全策略,反向安全策略表的生命周期略长于正向安全策略表的硬生命周期。
本发明还提供一种用于执行上述任一技术方案的装置,包括IPSecVPN网关、管控平台、量子密钥分发网络,其中:
IPSecVPN网关:对通过网络传输的用户网络数据进行IPSecVPN的隧道封装解封和加解密处理;
量子密钥分发网络:包含若干个量子网络节点和量子网络链路控制中心,所有量子网络节点连接到量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
管控平台:提供IPSecVPN网关、密钥代理、量子网络节点的对应关系,进行安全域划分,提供IPSec网关的注册和身份绑定服务,维护全局安全参数表,并直接向IPSecVPN网关分发安全策略和会话密钥。
作为进一步优化的技术方案,所述装置还包括密钥代理:在IPSec VPN网关不能直接在量子密钥分发网络的量子网络节点进行密钥充注的情况下提供密钥充注的代理功能,并在加密通信网络不能直接连接量子密钥分发网络的情况下提供密钥分发的代理功能。
作为进一步优化的技术方案,所述装置还包括大容量安全存储介质,用来向各设备节点离线预充注大量的主密钥。
本发明的优点在于:
本方案中,管控平台作为全安全域唯一的集中控制器,维护相关安全参数并根据实时流量信息为IPSecVPN网关生成IPSec VPN安全策略,根据IPSec VPN网关的需要实时申请并在线分发会话密钥,对域内IPSec VPN网关的安全策略和会话密钥进行动态的统一管控;IPSec VPN网关仅作为执行点,上报流量信息并由管控平台基于安全参数和实际数据流的五元组信息产生安全策略并申请会话密钥,使用实时在线分发的会话密钥和动态实时生成的加密隧道安全策略对数据流进行IPSecVPN的隧道封装解封和加解密处理,具有下述优点:
1、本方案实现了软件定义方式的IPSec加密通信和集中动态策略管理,适用于网络拓扑动态变化的场景,具有较高的安全性和扩展性。
2、不需要IPSecVPN网关之间具有可以直接进行密钥协商的通信信道,避免了NAT等复杂网络环境下IPSecVPN网关无法直接协商密钥的问题,解决网络拓扑动态变换场景下的IPSecVPN安全策略设置和会话密钥分发问题,增强不同局域网通过IPSec VPN网关安全互联互通时加密传输的集中管控力度。
3、避免了会话密钥需要使用一段时间导致安全性降低的问题,本方案的IPSecVPN策略和密钥分发过程采用预充注的量子主密钥进行保护,实现了分发过程的一次一密,具备较高的安全性。
4、本方案的密钥和安全策略的分发采用由网络流量按需触发和设备实时申请的方式,重要的安全参数不由管控平台管理,密钥由量子密钥分发网络生成再由管控平台分发,SPI安全参数索引由通信双方的IPSecVPN网关各自产生再通过管控平台交换,密钥对管控平台不可见,管控平台仅负责地址的查找和安全策略、安全关联的合成。保护子网等网络参数可以由IPSecVPN网关注册时自动上报,可以不需要管控平台预先配置,能够适应动态地址的网络部署。
附图说明
图1是本发明实施例的量子密钥分发实现IPSec VPN的设备***架构图;
图2是本发明实施例的IPSec VPN网关的结构示意图;
图3A和图3B是本发明实施例的数据报文处理及密钥申请流程图;
图4是本发明实施例的采用软件定义和密钥分发实现IPSec VPN的方法的时序图。
具体实施方式
为使本发明实施例的目的、技术方案和优点更加清楚,下面将结合本发明实施例,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
本实施例提供了一种采用软件定义和密钥分发实现IPSec VPN的方法和设备,如图1所示,所述采用软件定义和密钥分发实现IPSec VPN的设备包括至少一个IPSecVPN网关、管控平台、量子密钥分发网络,在一些情况下,还需要包括密钥代理。
IPSecVPN网关:对通过网络传输的用户网络数据进行IPSecVPN的隧道封装解封和加解密处理,如图2所示,所述IPSecVPN网关包括VPN隧道处理模块、策略管理模块、注册与密钥申请模块、密钥注入模块,并且所述IPSecVPN网关具有连接内部网络的内网口和连接外部网络的外网口。
其中:
所述策略管理模块,用来根据网络报文的五元组信息(源、目的IP地址和源、目的端口以及协议号)检索正向策略流表和正向安全策略表,并对网络报文进行IPSecVPN的封装和解封和加解密处理或产生一个实时随机数作为安全参数索引,并通过注册与密钥申请模块向管控平台发出策略和密钥申请报文,其中正向策略流表由不同数据流的五元组及对应的IPSec安全关联(实际为在安全关联表中的索引)组成,正向安全策略表由源和目的的受保护网络信息及对应的IPSec安全关联(实际为在安全关联表中的索引)组成,该正向安全策略表为线性链表;
所述VPN隧道处理模块用来从正向策略流表或(前者未命中时)正向安全策略表中找到匹配报文五元组的安全策略及安全关联,以及在安全关联表中查找匹配的安全关联,对网络报文进行IPSec隧道封装解封和加解密;
所述注册与密钥申请模块用来向管控平台进行IPSecVPN网关的注册,以及接收所述策略管理模块的策略和密钥申请报文并转发给所述管控平台;
所述密钥注入模块用来将预充注的主密钥注入该设备节点。
量子密钥分发网络:包含若干个量子网络节点和量子网络链路控制中心,所有量子网络节点连接到量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务。其中,量子网络节点:存储生成的量子密钥,接收密钥代理或管控平台的密钥申请,向密钥代理或管控平台提供密钥或直接提供密钥充注和密钥分发服务;量子网络链路控制中心:可按照量子网络节点ID建立量子网络节点间的量子密钥分发及中继链路。
管控平台:提供IPSecVPN网关、密钥代理、量子网络节点的对应关系,进行安全域划分,提供IPSec网关的注册和身份绑定服务,维护全局安全参数表,并直接向IPSecVPN网关分发安全策略和会话密钥。
密钥代理:在IPSec VPN网关不能直接在量子密钥分发网络的量子网络节点进行密钥充注的情况下提供密钥充注的代理功能,并在加密通信网络不能直接连接量子密钥分发网络的情况下提供密钥分发的代理功能。
大容量安全存储介质:如安全TF卡或安全U盾,用来向各设备节点离线预充注大量的主密钥。
该设备工作的过程包括下述步骤:
首先需要进行安全域划定、密钥充注、配置网络和安全参数以及注册的步骤:
S1:所述管控平台划定安全域,通过量子密钥分发网络向安全TF卡或安全U盾等大容量安全存储介质注入密钥,量子密钥分发网络中的量子网络节点在密钥池中存储分发给安全域内预分配给不同设备节点的主密钥及主密钥ID;
S2:通过大容量安全存储介质往域内的IPSecVPN网关设备节点(以下简称设备节点)通过密钥注入模块注入预充注大量的主密钥,建立主密钥池,密钥格式可选的为2字节设备ID+4字节密钥ID+n字节密钥和n字节初始化向量(n与加密算法相关);
S3:管控平台根据全安全域内的统一网络规划,为设备节点配置网络和安全参数。每个设备节点的配置数据包括设备ID、设备IP地址、受保护网络信息、设备的安全级别。其中设备IP地址对于采用动态地址的设备节点由设备注册时填入。所述受保护网络信息也可以在设备注册时由设备节点上报,具体形式可以是子网及掩码、子网及子网前缀、地址范围。设备的安全级别表示设备进行网络数据加密时的强度,不同的安全级别对应对称加密算法的不同密钥长度和密码杂凑算法的不同哈希值长度(例如,对称加密算法AES/SM4-128/192/256分别代表128、192、256比特密钥长度的AES或SM4算法,SHA256/384/512分别代表SHA2算法的不同哈希值长度),同一安全域内的设备节点采用同一种对称加密算法和密码杂凑算法,但可以赋予不同的安全级别,不同安全级别的设备节点通过算法强度的区分而强制不能互通;
S4:设备节点通过注册与密钥申请模块向管控平台进行注册,注册信息包括设备IP地址、受保护网络信息,注册信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别。管控平台收到注册信息后,向量子密钥分发网络请求设备ID和主密钥ID对应的设备主密钥,并根据量子密钥分发网络返回的设备ID和主密钥ID对应的设备主密钥进行完整性验证,验证通过即填入设备节点的IP地址和受保护网络信息(如有)等注册信息并向设备节点返回注册成功信息;
完成上述安全域划定、密钥充注、配置网络和安全参数以及注册的步骤后,设备节点间每次报文前只需要进行安全策略和会话密钥分发,无需每次进行安全域划定、密钥充注、配置网络和安全参数以及注册。安全策略和会话密钥分发步骤如下:
S5:设备节点从内网口收到出站网络报文,其策略管理模块即根据该报文的五元组信息(源、目的IP地址和源、目的端口以及协议号)检索正向策略流表(由不同数据流的五元组及对应的IPSec安全关联(实际为在安全关联表中的索引)组成,采用哈希链表的形式,哈希算法本文件不涉及。IPSec安全关联包括加密和杂凑算法、安全参数索引、封装用的源和目的IP地址),无命中则继续查找正向安全策略表(由源和目的的受保护网络信息及对应的IPSec安全关联(实际为在安全关联表中的索引)组成,该策略表为线性链表),两张表有一张命中则采用查找到的安全关联对网络报文进行IPSecVPN的封装和加密处理。如果两张表都未命中,则产生一个实时随机数作为安全参数索引SPI-I,并通过注册与密钥申请模块向管控平台发出策略和密钥申请报文,报文包括安全参数索引SPI-I和五元组信息,信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别;
S6:管控平台收到源设备节点的策略和密钥申请报文并向量子密钥分发网络请求源设备节点ID和主密钥ID对应的源设备节点主密钥,并根据量子密钥分发网络返回的设备ID和主密钥ID对应的设备主密钥进行完整性验证后,根据五元组中的目的IP在各设备节点的受保护网络信息中进行查找得到匹配的目的设备节点(目的设备节点)并确保该目的设备节点的安全级别和发出申请报文的源设备节点相同,源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、命中的目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、安全参数索引SPI-I及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略I(内容为:源设备节点的IP属于NetS并且目的设备节点的IP属于NetD的数据流采用安全关联I进行处理)及安全关联I(内容为:IPSec隧道封装源设备节点的IP为SIP,目的设备节点的IP为DIP,安全参数索引为SPI-I,对称加密算法为ENC_X,密码杂凑算法为HMAC_Y,会话密钥xxx。会话密钥在设备节点解密后生效,在管控平台明文不可见)。管控平台向量子密钥分发网络申请两个会话密钥Key-A和Key-B。量子密钥分发网络随机选取源设备节点的主密钥对会话密钥加密形成会话密钥密文KeyI-A/KeyI-B,随机选取目的设备节点的主密钥对会话密钥加密形成会话密钥密文KeyR-A/KeyR-B,用于加密会话密钥的主密钥对管控平台不可见,管控平台从量子密钥分发网络得到的是会话密钥的密文。然后管控平台向量子密钥分发网络申请目的设备节点的其他主密钥对安全策略I、安全关联I和会话密钥密文KeyR-A进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S7:目的设备节点接收到策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表(基于安全参数索引SPI、目的设备节点IP地址和IPSec协议号(ESP或AH)三元组的哈希链表,哈希算法本文件不涉及),安全策略I***反向安全策略表(与正向安全策略表结构相同,由源和目的设备节点的受保护网络信息及对应的IPSec安全关联索引组成,该策略表为线性链表)。目的设备节点同时产生一个实时随机数作为安全参数索引SPI-R,通过注册与密钥申请模块向管控平台回复安全参数索引SPI-R并采用随机选取的主密钥进行密码杂凑运算进行完整性保护;
S8:管控平台收到并验证上述回复报文后,将目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、安全参数索引SPI-R及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略R(内容为:源IP属于NetD并且目的IP属于NetS的数据流采用安全关联R进行处理)及安全关联R(内容为:IPSec隧道封装源IP为DIP,目的IP为SIP,安全参数索引为SPI-R,对称加密算法为ENC_X,密码杂凑算法为HMAC_Y,会话密钥yyy。会话密钥在设备节点解密后生效,在管控平台明文不可见)。然后随机选取源设备节点的主密钥对安全策略I和R、安全关联I和R以及会话密钥密文KeyI-A和KeyI-B进行密码杂凑运算的完整性校验后一起分发给源设备节点;
S9:源设备节点接收到上述管控中心发来的策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表、将安全策略R***目的设备的反向安全策略表、将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表、安全策略I***正向安全策略表,并回复管控平台成功状态,该状态用主密钥进行HMAC完整性保护;
S10:管控平台接收源设备节点的回复并验证后,随机选取目的设备节点的主密钥对安全策略R、安全关联R以及会话密钥密文KeyR-B进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S11:目的设备节点接收到管控平台发来的上述策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表,安全策略R***正向安全策略表,可以回复或者不回复管控平台成功状态,若回复则该状态用主密钥进行HMAC完整性保护;
完成上述安全策略和会话密钥分发过程后,IPSecVPN网关之间可以进行双向加密隧道通信:
S12:IPSecVPN网关对于内网口收到的网络报文,其VPN隧道处理模块从正向策略流表或(前者未命中时)正向安全策略表中找到匹配报文五元组的安全策略及安全关联,采用安全关联中的安全参数索引SPI、封装的源和目的IP地址、加密算法、杂凑算法对网络报文进行IPSec隧道封装和加密后从外网口发送。如果是查找正向安全策略表得到安全关联,则将五元组和对应的安全关联(实际为在安全关联表中的索引)加入正向策略流表。正向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项。对于正向安全策略表,设定软/硬两个生命周期并维护一个定时器,软生命周期(短于硬生命周期)到期则触发策略和密钥重申请过程,删除超出硬生命周期的安全策略。
S13:IPSecVPN网关对于外网口收到的IPSecVPN报文,其VPN隧道处理模块根据报文的安全参数索引SPI、目的IP地址和IPSec协议号(ESP或AH)三元组在安全关联表中查找匹配的安全关联,并采用命中的安全关联的会话密钥进行完整性验证和解密。对解封装和解密后的原始报文,按照五元组在反向策略流表中或(前者未命中时)反向安全策略表查找匹配项,并将找到匹配项的报文按照常规的路由转发处理。如果是查找反向安全策略表得到匹配项,则将五元组加入反向策略流表。反向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项。对于反向安全策略表,设定一个生命周期并维护一个定时器,删除超出生命周期的安全策略,反向安全策略表的生命周期略长于正向安全策略表的硬生命周期。
上述实施例中的设备及方法基于但并不限于QKD密钥分发网络,本发明涉及的密钥预充注和在线密钥分发功能可采用任何一种对称密钥管理***及设备实现。
以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述各实施例所记载的技术方案进行修改,或者对其中部分技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。

Claims (22)

1.一种采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥,设备节点作为上报流量信息,并对数据流进行IPSecVPN的隧道封装解封和加解密处理的执行点。
2.如权利要求1所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥前,还包括下述步骤:
S1:所述管控平台划定安全域,通过量子密钥分发网络向安全存储介质注入密钥,量子密钥分发网络中的量子网络节点在密钥池中存储分发给安全域内预分配给不同设备节点的主密钥及主密钥ID;
S2:通过安全存储介质往域内的设备节点通过密钥注入模块注入预充注的主密钥,建立主密钥池;
S3:管控平台根据全安全域内的统一网络规划,为设备节点配置网络和安全参数;
S4:设备节点通过注册与密钥申请模块向管控平台进行注册,管控平台收到注册信息后,向量子密钥分发网络请求设备ID和主密钥ID对应的设备主密钥进行完整性验证,验证通过即填入设备节点的注册信息。
3.如权利要求1所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:所述通过管控平台根据实时流量信息为IPSecVPN网关设备节点生成IPSec VPN安全策略并向量子密钥分发网络申请会话密钥,设备节点仅作为上报流量信息,并对数据流进行IPSecVPN的隧道封装解封和加解密处理的执行点,具体包括下述步骤:
S5:设备节点从内网口收到出站网络报文,对网络报文进行IPSecVPN的封装和加密处理或产生一个实时随机数作为安全参数索引SPI-I,并向管控平台发出策略和密钥申请报文;
S6:管控平台收到源设备节点的策略和密钥申请报文并向量子密钥分发网络请求源设备节点ID和主密钥ID对应的源设备节点主密钥,并根据返回的主密钥进行完整性验证后,查找得到匹配的目的设备节点,构成安全策略I及安全关联I,向量子密钥分发网络申请两个会话密钥Key-A和Key-B,并随机选取源设备节点的主密钥对会话密钥加密形成会话密钥密文KeyI-A/KeyI-B,随机选取目的设备节点的主密钥对会话密钥加密形成会话密钥密文KeyR-A/KeyR-B,然后用目的设备节点的主密钥对安全策略I、安全关联I和会话密钥密文KeyR-A进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S7:目的设备节点接收到策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并产生一个实时随机数作为安全参数索引SPI-R,向管控平台回复安全参数索引SPI-R;
S8:管控平台收到并验证上述回复报文后,构成安全策略R及安全关联R,随机选取源设备节点的主密钥对安全策略I和R、安全关联I和R以及会话密钥密文KeyI-A和KeyI-B进行密码杂凑运算的完整性校验后一起分发给源设备节点;
S9:源设备节点接收到管控中心发来的策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并回复管控平台成功状态;
S10:管控平台接收源设备节点的回复并验证后,随机选取目的设备节点的主密钥对安全策略R、安全关联R以及会话密钥密文KeyR-B进行密码杂凑运算的完整性校验后一起分发给目的设备节点;
S11:目的设备节点接收到管控平台发来的上述策略和密钥分发报文并通过完整性验证和解密密钥密文后,进行处理并回复管控平台成功状态。
4.如权利要求3所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:完成步骤S5至S11的安全策略和会话密钥分发过程后,IPSecVPN网关之间能够直接进行双向加密隧道通信。
5.如权利要求4所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:IPSecVPN网关之间进行双向加密隧道通信过程如下:
S12:IPSecVPN网关对于内网口收到的网络报文,对网络报文进行IPSec隧道封装和加密后从外网口发送;
S13:IPSecVPN网关对于外网口收到的IPSecVPN报文,对解封装和解密后的原始报文查找匹配项,并将找到匹配项的报文按照常规的路由转发处理。
6.如权利要求2所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S3中,所述每个设备节点的配置数据包括设备ID、设备IP地址、受保护网络信息、设备的安全级别。
7.如权利要求6所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S3中,其中设备IP地址对于采用动态地址的设备节点由设备注册时填入,设备的受保护网络信息在设备注册时由设备节点上报,设备的安全级别表示设备进行网络数据加密时的强度,不同的安全级别对应对称加密算法的不同密钥长度和密码杂凑算法的不同哈希值长度,同一安全域内的设备节点采用同一种对称加密算法和密码杂凑算法,但能够赋予不同的安全级别,不同安全级别的设备节点通过算法强度的区分而强制不能互通。
8.如权利要求2所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S4中,所述注册信息包括设备IP地址、受保护网络信息,注册信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别。
9.如权利要求3所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S5中,
所述设备节点的策略管理模块根据该网络报文的五元组信息检索正向策略流表,无命中则继续查找正向安全策略表,两张表有一张命中则采用查找到的安全关联对网络报文进行IPSecVPN的封装和加密处理,如果两张表都未命中,则产生一个实时随机数作为安全参数索引SPI-I,并通过注册与密钥申请模块向管控平台发出策略和密钥申请报文。
10.如权利要求9所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S5中,所述五元组信息包括源、目的IP地址和源、目的端口以及协议号,所述正向策略流表由不同数据流的五元组及对应的IPSec安全关联组成,采用哈希链表的形式,IPSec安全关联包括加密和杂凑算法、安全参数索引、封装用的源和目的IP地址,所述正向安全策略表由源和目的的受保护网络信息及对应的IPSec安全关联组成,该策略表为线性链表,所述报文包括安全参数索引SPI-I和五元组信息,信息由IPSecVPN网关随机选择的主密钥进行带密钥的密码杂凑运算进行完整性保护和身份鉴别。
11.如权利要求3所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S6中,根据五元组中的目的IP在各设备节点的受保护网络信息中进行查找得到匹配的目的设备节点,并确保该目的设备节点的安全级别和发出申请报文的源设备节点相同,源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、命中的目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、安全参数索引SPI-I及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略I及安全关联I。
12.如权利要求3所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S6中,量子密钥分发网络随机选取源设备节点的主密钥对会话密钥加密形成会话密钥密文KeyI-A/KeyI-B,随机选取目的设备节点的主密钥对会话密钥加密形成会话密钥密文KeyR-A/KeyR-B,用于加密会话密钥的主密钥对管控平台不可见,管控平台从量子密钥分发网络得到的是会话密钥的密文,然后管控平台向量子密钥分发网络申请目的设备节点的其他主密钥对安全策略I、安全关联I和会话密钥密文KeyR-A进行密码杂凑运算的完整性校验后一起分发给目的设备节点。
13.如权利要求11所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S7中,目的设备节点接收到策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表,安全策略I***反向安全策略表。
14.如权利要求13所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S8中,管控平台收到并验证上述回复报文后,将目的设备节点的IP地址DIP及五元组目的IP对应的受保护网络信息NetD、源设备节点的IP地址SIP及五元组源IP对应的受保护网络信息NetS、安全参数索引SPI-R及安全级别对应的对称加密算法和密码杂凑算法构成一条安全策略R及安全关联R。
15.如权利要求14所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S9中,源设备节点接收到上述管控中心发来的策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表、将安全策略R***目的设备的反向安全策略表、将会话密钥Key-A加入安全关联I并将安全关联I加入安全关联表、安全策略I***正向安全策略表。
16.如权利要求15所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S11中,目的设备节点接收到管控平台发来的上述策略和密钥分发报文并通过完整性验证和解密密钥密文后,其策略管理模块将会话密钥Key-B加入安全关联R并将安全关联R加入安全关联表,安全策略R***正向安全策略表。
17.如权利要求5所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S12中,IPSecVPN网关对于内网口收到的网络报文,其VPN隧道处理模块从正向策略流表或正向安全策略表中找到匹配报文五元组的安全策略及安全关联,采用安全关联中的安全参数索引SPI、封装的源和目的IP地址、加密算法、杂凑算法对网络报文进行IPSec隧道封装和加密后从外网口发送。
18.如权利要求17所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S12中,如果是查找正向安全策略表得到安全关联,则将五元组和对应的安全关联加入正向策略流表,正向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项,对于正向安全策略表,设定软/硬两个生命周期并维护一个定时器,软生命周期到期则触发策略和密钥重申请过程,删除超出硬生命周期的安全策略。
19.如权利要求18所述的采用软件定义和量子密钥分发实现IPSec VPN的方法,其特征在于:步骤S13中,IPSecVPN网关对于外网口收到的IPSecVPN报文,其VPN隧道处理模块根据报文的安全参数索引SPI、目的IP地址和协议号三元组在安全关联表中查找匹配的安全关联,并采用命中的安全关联的会话密钥进行完整性验证和解密,对解封装和解密后的原始报文,按照五元组在反向策略流表中或反向安全策略表查找匹配项,并将找到匹配项的报文按照常规的路由转发处理,如果是查找反向安全策略表得到匹配项,则将五元组加入反向策略流表,反向策略流表每个表项都有一个引用计数,每次命中则加一,超过阈值则删除该表项,同时维护一个定时器定时检查各表项,删除一定时间内没有被命中过的表项,对于反向安全策略表,设定一个生命周期并维护一个定时器,删除超出生命周期的安全策略,反向安全策略表的生命周期略长于正向安全策略表的硬生命周期。
20.一种用于执行权利要求1-19项所述方法的装置,其特征在于:包括IPSecVPN网关、管控平台、量子密钥分发网络,其中:
IPSecVPN网关:对通过网络传输的用户网络数据进行IPSecVPN的隧道封装解封和加解密处理;
量子密钥分发网络:包含若干个量子网络节点和量子网络链路控制中心,所有量子网络节点连接到量子网络链路控制中心,实现量子密钥生成、量子密钥中继、量子密钥提供等服务;
管控平台:提供IPSecVPN网关、密钥代理、量子网络节点的对应关系,进行安全域划分,提供IPSec网关的注册和身份绑定服务,维护全局安全参数表,并直接向IPSecVPN网关分发安全策略和会话密钥。
21.如权利要求20所述的装置,其特征在于:还包括密钥代理:在IPSec VPN网关不能直接在量子密钥分发网络的量子网络节点进行密钥充注的情况下提供密钥充注的代理功能,并在加密通信网络不能直接连接量子密钥分发网络的情况下提供密钥分发的代理功能。
22.如权利要求20所述的装置,其特征在于:还包括大容量安全存储介质,用来向各设备节点离线预充注大量的主密钥。
CN202211427640.1A 2022-11-15 2022-11-15 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及*** Active CN116055091B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211427640.1A CN116055091B (zh) 2022-11-15 2022-11-15 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211427640.1A CN116055091B (zh) 2022-11-15 2022-11-15 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及***

Publications (2)

Publication Number Publication Date
CN116055091A true CN116055091A (zh) 2023-05-02
CN116055091B CN116055091B (zh) 2024-01-09

Family

ID=86112214

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211427640.1A Active CN116055091B (zh) 2022-11-15 2022-11-15 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及***

Country Status (1)

Country Link
CN (1) CN116055091B (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743380A (zh) * 2023-08-14 2023-09-12 ***量子科技有限公司 基于量子密钥分发的otn加密通信方法及***

Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070186281A1 (en) * 2006-01-06 2007-08-09 Mcalister Donald K Securing network traffic using distributed key generation and dissemination over secure tunnels
CN104660603A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 IPSec VPN中扩展使用量子密钥的方法及***
CN113824551A (zh) * 2020-06-19 2021-12-21 中创为(成都)量子通信技术有限公司 一种应用于安全存储***的量子密钥分发方案及装置
CN114726523A (zh) * 2022-05-18 2022-07-08 北京国科量子共创通信科技研究院有限公司 密码应用服务***和量子安全能力开放平台

Patent Citations (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20070186281A1 (en) * 2006-01-06 2007-08-09 Mcalister Donald K Securing network traffic using distributed key generation and dissemination over secure tunnels
CN104660603A (zh) * 2015-02-14 2015-05-27 山东量子科学技术研究院有限公司 IPSec VPN中扩展使用量子密钥的方法及***
CN113824551A (zh) * 2020-06-19 2021-12-21 中创为(成都)量子通信技术有限公司 一种应用于安全存储***的量子密钥分发方案及装置
CN114726523A (zh) * 2022-05-18 2022-07-08 北京国科量子共创通信科技研究院有限公司 密码应用服务***和量子安全能力开放平台

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116743380A (zh) * 2023-08-14 2023-09-12 ***量子科技有限公司 基于量子密钥分发的otn加密通信方法及***
CN116743380B (zh) * 2023-08-14 2023-10-31 ***量子科技有限公司 基于量子密钥分发的otn加密通信方法及***

Also Published As

Publication number Publication date
CN116055091B (zh) 2024-01-09

Similar Documents

Publication Publication Date Title
US11240218B2 (en) Key distribution and authentication method and system, and apparatus
WO2017185692A1 (zh) 密钥分发、认证方法,装置及***
Aboba et al. Extensible authentication protocol (EAP) key management framework
US8559640B2 (en) Method of integrating quantum key distribution with internet key exchange protocol
US20090210699A1 (en) Method and apparatus for secure network enclaves
CN103095710A (zh) 以内容为中心的网络中基于身份的广播加密传输方法
EP2767029B1 (en) Secure communication
WO2002068418A2 (en) Authentication and distribution of keys in mobile ip network
CN104219217A (zh) 安全关联协商方法、设备和***
CN113364811B (zh) 基于ike协议的网络层安全防护***及方法
CN115567210A (zh) 采用量子密钥分发实现零信任访问的方法及***
KR20180130203A (ko) 사물인터넷 디바이스 인증 장치 및 방법
CN110769420A (zh) 网络接入方法、装置、终端、基站和可读存储介质
CN114285571A (zh) 一种在IPSec协议中使用量子密钥的方法、网关装置与***
CN116055091B (zh) 一种采用软件定义和量子密钥分发实现IPSec VPN的方法及***
Farinacci et al. Locator/ID separation protocol (LISP) data-plane confidentiality
JP2010539839A (ja) サーバ基盤移動インターネットプロトコルシステムにおけるセキュリティ方法
JP2011176395A (ja) IPsec通信方法およびIPsec通信システム
CN103227742A (zh) 一种IPSec隧道快速处理报文的方法
CN103188228B (zh) 一种实现端到端安全防护的方法、安全网关及***
US10805082B2 (en) ID-based data plane security for identity-oriented networks
CN115567208A (zh) 网络会话数据流细粒度透明加解密方法及***
CN115733683A (zh) 采用量子密钥分发的以太链路自组织加密隧道实现方法
Li et al. Secure and Privacy-preserving Network Slicing in 3GPP 5G System Architecture
KR101329968B1 (ko) IPSec VPN 장치들 사이의 보안 정책을 결정하기 위한 방법 및 시스템

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant