2. 技术
  3. 一种基于量子密钥的VPN密钥管理系统、方法、设备及计算机可读介质与流程

一种基于量子密钥的VPN密钥管理系统、方法、设备及计算机可读介质与流程

allin2024-08-05  84

一种基于量子密钥的vpn密钥管理系统、方法、设备及计算机可读介质
技术领域
1.本发明涉及数据通信与密钥管理领域,具体涉及一种基于量子密钥的vpn密钥管理系统、方法、设备及可读介质。


背景技术:

2.虚拟专用网络(vpn)是一种在公共网上利用隧道技术把企业和组织在全球各地的分支机构联系起来的专用网络,由于组建虚拟专用网络的价格优势和安全优势,越来越多的公司和企业组建虚拟专用网络来进行安全可靠的数据传输。虚拟专用网络(vpn)采用各种加密技术,完成对vpn中数据的保护,能有效解决网络安全传输问题,为数据的安全性提供保障。
3.华中科技大学魏臻的论文《ipsec vpn密钥管理服务端的设计与实现》中提到了利用安全关联(sa)使用ah和esp中携带的spi编号来指示哪个sa用户数据包,还包括ip目标地址以指示端点,提供加密、数据封装和数据机密性。ipsec协议能有效确保ip网络上数据通信的完整性,机密性和身份验证。源主机和目标主机进行数据传输时必须直接执行所有加密操作,建立安全性。
4.上述基于ipsec协议的vpn密钥管理设计虽然可以提高网络安全性性,但是其复杂性高,维护不良极易导致关键系统故障;同时数据在信道传输过程中,防窃听和抗攻击性不强,容易被截获、修改和复制;数据传输过程存在严重的安全隐患。
5.因此,有点对现有的vpn密钥管理方案进行进一步地改进,使系统简单,防窃听和抗攻击性增强。


技术实现要素:

6.为了解决上述技术问题,提出了一种系统简单,数据传输过程中不易被截获、修改和复制,安全性高的基于量子密钥的vpn密钥管理系统及方法。
7.为实现上述目的,本发明采取的技术方案如下:
8.一种基于量子密钥的vpn密钥管理系统,包括客户发送端、随机数发生器、密钥集和客户接收端,其中:
9.所述客户发送端和客户接收端均设置有控制器、对比模块和验证模块;
10.所述客户发送端和客户接收端分别连接有qkd设备,客户发送端和客户接收端之间人通过经典信道连接,所述qkd设备之间通过量子信道连接;
11.所述随机数发生器用于产生随机数;
12.所述qkd设备用于产生量子密钥对;
13.所述密钥集用于存储量子密钥对;
14.所述控制器用于控制对比模块和验证模块,同时用于接收随机数以及量子密钥对;
15.所述验证模块用于验证数字证书的合法性;
16.所述对比模块用于将解密后的密钥与发送的随机数数据进行比对。
17.一种基于量子密钥的vpn密钥管理方法,包括以下步骤:
18.通信双方建立通信通道:
19.步骤一:客户发送端生成随机数;
20.步骤二:tcp建立,客户发送端发送随机数至客户接收端,客户接收端接收到随机数信息后,将客户接收端数字证书信息发送至客户发送端;
21.步骤三:客户发送端校验客户接收端数字证书是否合法,若合法则选择一种非对称加密算法作为通信加密并将该算法以及客户发送端数字证书发送至客户接收端,否则发送连接错误信号并返回步骤二;
22.步骤四:所述客户接收端校验客户发送端证书是否合法,若合法则解析加密算法并发送确认信号至客户发送端,若不通过,则发送连接错误信号并返回步骤二;
23.步骤五:客户发送端接收确认信号后,根据选定的加密算法生成公钥与私钥,并将公钥发送至客户接收端,未接收到信号则发送错误信号并返回步骤二;
24.步骤六:客户接收端收到客户发送端公钥后,根据选定的加密算法生成客户接收端的公钥和私钥,利用客户发送端公钥将随机数进行加密并将加密后的第一密文与客户接收端公钥发送至客户发送端;若未接收到客户发送端信息,则不予应答;
25.步骤七:客户发送端接收到应答后,利用私钥对第一密文进行解密并与随机数对比,若比对结果相符,则利用客户接收端公钥加密随机数得到第二密文,将得到的第二密文与确认信号发送至客户接收端;若不符,则发送解密错误信号并返回步骤五;步骤八:客户接收端接收到第二密文后,利用私钥解密第二密文并比对随机数,若相符则发送连接确认信号,若不符则发送错误信号并返回步骤六;
26.步骤九:客户发送端接收到应答后,通信建立,若未接收应答到则返回步骤七。
27.优选地,建立好量子通信信道后,利用量子密钥对数据进行加密传输,具体步骤如下:
28.步骤1:通过量子密钥生成器利用电磁能产生一对密钥,所述密钥对为量子密钥对,并将量子密钥对存储在密钥集中;
29.步骤2:客户发送端输入待加密数据,生成待加密数据的数据索引值;
30.步骤3:客户发送端通过控制器获取量子密钥对并选择其中的一个量子密钥a通过量子信道将量子密钥a传送至客户接收端;
31.步骤4:若所述客户发送端监测到传送异常则重复步骤3;
32.步骤5:所述客户接收端正常接收后发送确认信号;
33.步骤6:若所述客户发送端超时未接收到确认信号,执行步骤3;
34.步骤7:所述客户发送端接收确认信号后,利用量子密钥a对待加密数据进行加密,将待加密数据通过经典信道传送给客户接收端;
35.步骤8:所述客户接收端监测数据安全状态,若检测到数据被改变则接收失败,发送接收失败信号;若接收成功则发送确认接收信号给客户发送端;
36.步骤9:所述客户发送端超时未收到确认信号则回到步骤3;
37.步骤10:完成一次信息传输后,继续传输则返回步骤2。
38.优选地,所述t的取值范围为大于100微秒。
39.优选地,所述n的取值范围是4-8。
40.优选地,所述非对称算法采用rsa算法或者elgamal算法。
41.优选地,步骤七中,若超时未接收到客户接收端应答,则记录连接超时次数,若达到5 次,则返回步骤五。
42.优选地,步骤8中,检测到数据被改变是指:接收数据也会被破坏而发生改变。
43.一种基于量子密钥的vpn密钥管理设备,包括:
44.存储器,用于存储计算机程序;
45.处理器,用于执行所述计算机程序时实现了上述基于量子密钥的vpn密钥管理方法的步骤。
46.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现上述的基于量子密钥的vpn密钥管理方法。
47.本发明有益的技术效果:
48.本发明使用基于量子密钥的vpn密钥管理模型,不仅可以解决网络安全问题,也同时可以提高传输信息的可用性与完整性,更好确保信息传输的安全性,基于量子密钥的vpn 管理模型提高vpn的安全性。
49.量子密钥的更新在一定程度上加强了数据通信的安全。
50.使用量子信号对携带的信息加密以及解密,使得密钥更具高效率,并且可以实现随机密钥分发机制,可以有效解决保密问题,大大提高用户在网络上的信息安全。
附图说明
51.图1是本发明一种基于量子密钥的vpn密钥管理系统的原理框图;
52.图2为本发明的一种基于量子密钥的vpn密钥管理方法的整体结构框图。
具体实施方式
53.为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例对本发明进行进一步详细说明,但本发明要求保护的范围并不局限于下述具体实施例。
54.量子的具有不确定性、不可克隆、纠缠性,为数据传输提供安全保障。根据“海森堡测不准原理”可知,对未知状态系统的每一次测量都必将改变系统原来的状态,即测量后的量子微粒相比于测量之前,必然会产生变化。由此特性可使得量子密钥具备强大的抗攻击性。根据“量子不可复制原理”,一个未知的量子态不能被完全地克隆。在量子力学中,不存在这样一个物理过程:实现对一个未知量子态的精确复制,使得每个复制态与初始量子态完全相同。因此,量子密钥具备良好的防窃听能力,黑客无法精确复制通信通道中的数据,从而窃听到通信内容。而量子态纠缠性,为通信双方提供了数据状态监测能力。两个及以上的量子在特定的环境下可以处于较稳定的量子纠缠状态,基于这种纠缠,某个粒子的作用将会瞬时地影响另一个粒子。通信双方可以观测持有的量子的状态判断通信通道中数据的状态。
55.因此,在本实施例中,在vpn密钥管理中,引入量子密钥技术,利用量子保密通讯提高网络信息传输的安全性。
56.如图1所示,一种基于量子密钥的vpn密钥管理系统,包括客户发送端、随机数发生器、密钥集和客户接收端,其中:
57.所述客户发送端和客户接收端均设置有控制器、对比模块和验证模块;
58.所述客户发送端和客户接收端分别连接有qkd设备,客户发送端和客户接收端之间人通过经典信道连接,所述qkd设备之间通过量子信道连接;
59.所述随机数发生器用于产生随机数;
60.所述qkd设备用于产生量子密钥对;
61.所述密钥集用于存储量子密钥对;
62.所述控制器用于控制对比模块和验证模块,同时用于接收随机数以及量子密钥对;
63.所述验证模块用于验证数字证书的合法性;
64.所述对比模块用于将解密后的密钥与发送的随机数数据进行比对。
65.本系统中各个模块的功能的具体实现方法与以下的一种基于量子密钥的vpn密钥管理方法采用的方式方法一致。
66.如图2所示,一种基于量子密钥的vpn密钥管理方法,应用了上述基于量子密钥的vpn 密钥管理系统,该方法包括以下步骤:
67.通信双方建立通信通道:
68.步骤一:客户发送端生成随机数;
69.步骤二:建立tcp(transmission control protocol,传输控制协议)连接,通过tcp 客户发送端将随机数发送至客户接收端,若所述客户接收端接收到随机数信息,将客户接收端数字证书信息发送至客户发送端;
70.若客户接收端未接收到信息,则不予应答;客户发送端通过连接定时计数器监测数据收发时间间隔,在规定间隔时间t(所述t的取值范围为大于100微秒,本实施例中超时间隔为100微秒)内未接收客户接收端应答,客户发送端则重发随机数,在规定重发次数n (所述n的取值范围是4-8,本事实例中重发次数为5次)内未接收客户接收端应答,客户发送端则重新与客户接收端建立tcp连接;
71.步骤三:客户发送端校验客户接收端数字证书是否合法,若合法则选择一种非对称加密算法作为通信加密并将该算法以及客户发送端数字证书发送至客户接收端,否则发送连接错误信号并返回步骤二;其中非对称加密算法采用rsa算法,elgamal算法等算法。
72.步骤四:所述客户接收端校验客户发送端证书是否合法,若合法则解析加密算法并发送确认信号至客户发送端,若不通过,则发送连接错误信号并返回步骤二;
73.步骤五:客户发送端接收确认信号后,根据选定的加密算法生成公钥与私钥(公钥与私钥对对应的,公钥用于加密,私钥存储在接收放用于对加密后的信息进行解密),并将公钥发送至客户接收端,若超时未接收到确认信号,则重新发送选定的加密算法以及客户发送端的数字证书至客户接收端;若超过规定重发次数,则发送连接错误信号返回步骤二。
74.步骤六:客户接收端收到客户发送端公钥后,根据选定的加密算法生成客户接收端的公钥和私钥,利用客户发送端公钥将随机数进行加密并将加密后的第一密文与客户接收端公钥发送至客户发送端;若未接收到客户发送端信息,则不予应答;
75.步骤七:客户发送端接收到应答后,利用私钥(数据客户发送端使用非对称加密算
法进行加密时是使用数据客户接收端公开的公钥对数据进行加密,在解密时,则是数据客户接收端利用与之相对应的私钥进行解密,私钥保存在数据客户接收端。只有公钥是开始对外公开的,以便外界可以根据公钥对数据加密并发送至客户接收端,被公钥加密后的密文,也只能被与之对应的私钥解密)对第一密文进行解密并与随机数对比,若比对结果相符,则利用客户接收端公钥加密随机数得到第二密文,将得到的第二密文与确认信号发送至客户接收端;若不符,则发送解密错误信号并返回步骤五;若超时未接收到客户接收端应答,则记录连接超时次数,若达到5次,则返回步骤五。
76.步骤八:客户接收端接收到第二密文后,利用私钥解密第二密文并比对随机数,若相符则发送连接确认信号,若不符则发送错误信号并返回步骤六;
77.步骤九:客户发送端接收到应答后,通信建立,若未接收应答到则返回步骤七。
78.进一步地,采用量子密钥对数据进行加密传输的过程如下:
79.步骤1:通过量子密钥生成器利用电磁能产生一对密钥,所述密钥对为量子密钥对,并将量子密钥对存储在密钥集中;
80.步骤2:客户发送端输入待加密数据,生成待加密数据的数据索引值;
81.步骤3:客户发送端通过控制器获取量子密钥对并选择一个量子密钥a,通过量子信道将量子密钥a传送至客户接收端;
82.步骤4:若所述客户发送端监测到传送异常则重复步骤3;
83.步骤5:所述客户接收端正常接收后发送确认信号;
84.步骤6:若所述客户发送端超时未接收到确认信号,执行步骤3;
85.步骤7:所述客户发送端接收确认信号后,利用量子密钥a对待加密数据进行加密,将待加密数据通过经典信道传送给客户接收端;
86.步骤8:所述客户接收端监测数据安全状态,若检测到数据被改变则接收失败,发送接收失败信号;若接收成功则发送确认接收信号给客户发送端;
87.检测到数据被改变是指:基于量子的量子态纠缠性,使用了量子密钥的数据在被试图获取时,量子的状态会发生改变,数据也会被破坏,同时,客户接收端持有的量子密钥会由于量子纠缠状态特性,也会被瞬间影响而发生改变。因此,数据若被监听则客户接收端监测到持有的量子密钥会被改变。
88.步骤9:所述客户发送端超时未收到确认信号则回到步骤3;
89.步骤10:完成一次信息传输后,继续传输则返回步骤2。
90.一种基于量子密钥的vpn密钥管理设备,包括:
91.存储器,用于存储计算机程序;
92.处理器,用于执行所述计算机程序时实现如上述的基于量子密钥的vpn密钥管理方法的步骤。
93.一种计算机可读介质,其上存储有计算机程序,所述程序被处理器执行时实现如权利要求上述的基于量子密钥的vpn密钥管理方法。
94.根据上述说明书的揭示和教导,本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此,本发明并不局限于上面揭示和描述的具体实施方式,对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外,尽管本说明书中使用了一些特定的术语,但这些术语只是为了方便说明,并不对发明构成任何限制。

技术特征:
1.一种基于量子密钥的vpn密钥管理系统,其特征在于,包括客户发送端、随机数发生器、密钥集和客户接收端,其中:所述客户发送端和客户接收端均设置有控制器、对比模块和验证模块;所述客户发送端和客户接收端分别连接有qkd设备,客户发送端和客户接收端之间人通过经典信道连接,所述qkd设备之间通过量子信道连接;所述随机数发生器用于产生随机数;所述qkd设备用于产生量子密钥对;所述密钥集用于存储量子密钥对;所述控制器用于控制对比模块和验证模块,同时用于接收随机数以及量子密钥对;所述验证模块用于验证数字证书的合法性;所述对比模块用于将解密后的密钥与发送的随机数数据进行比对。2.一种基于量子密钥的vpn密钥管理方法,其特征在于:应用了如权利要求1所述的基于量子密钥的vpn密钥管理系统,该方法包括以下步骤:通信双方建立通信通道:步骤一:客户发送端生成随机数;步骤二:tcp建立,客户发送端发送随机数至客户接收端,客户接收端接收到随机数信息后,将客户接收端数字证书信息发送至客户发送端;若客户接收端未接收到信息,则不予应答;客户发送端通过连接定时计数器监测数据收发时间间隔,在规定间隔时间t内未接收客户接收端应答,客户发送端则重发随机数,在规定重发次数n内未接收客户接收端应答,客户发送端则重新与客户接收端建立tcp连接;步骤三:客户发送端校验客户接收端数字证书是否合法,若合法则选择非对称加密算法作为通信加密算法并将所述非对称加密算法以及客户发送端数字证书发送至客户接收端;若不合法,则客户发送端发送连接错误信号并返回步骤二;步骤四:所述客户接收端校验所述客户发送端数字证书是否合法,若合法则解析加密算法并发送确认信号至客户发送端;若不合法,则所述客户接收端发送连接错误信号并返回步骤二;步骤五:客户发送端接收确认信号后,根据所述非对称加密算法生成公钥与私钥,并将公钥发送至客户接收端;若所述客户发送端未接收到信号则发送错误信号并返回步骤二;步骤六:客户接收端收到客户发送端公钥后,根据所述非对称加密算法生成客户接收端的公钥和私钥,利用客户发送端公钥将随机数进行加密并将加密后的第一密文与客户接收端公钥发送至客户发送端;若所述客户接收端未接收到客户发送端信息,则不予应答;步骤七:客户发送端接收到应答后,利用私钥对第一密文进行解密并将解密密钥与所述随机数对比,若比对结果相符,则利用客户接收端公钥加密随机数得到第二密文,将得到的第二密文与确认信号发送至客户接收端;若比对结果不符,则所述客户发送端发送解密错误信号并返回步骤五;步骤八:客户接收端接收到第二密文后,利用私钥解密第二密文并将第二密文解密后的密文与所述随机数比对,若比对相符则发送连接确认信号;若比对不符则客户接收端发送错误信号并返回步骤六;步骤九:客户发送端接收到应答后,通信建立;若客户发送端未接收应答到则返回步骤
七。3.如权利要求2所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,该方法还包括利用量子密钥对数据进行加密传输步骤:步骤1:通过量子密钥生成器利用电磁能产生一对量子密钥对,并将所述量子密钥对存储在密钥集中;步骤2:客户发送端输入待加密数据,生成待加密数据的数据索引值;步骤3:客户发送端通过控制器从密钥集中获取量子密钥对中的一个量子密钥a再通过量子信道将获取的一个量子密钥传a送至客户接收端;步骤4:若所述客户发送端监测到传送异常则重复步骤3;步骤5:所述客户接收端正常接收后发送确认信号;步骤6:若所述客户发送端超时未接收到确认信号,则返回到步骤3;步骤7:所述客户发送端接收确认信号后,利用量子密钥a对待加密数据进行加密,将加密数据通过经典信道传送给客户接收端;步骤8:所述客户接收端监测数据安全状态,若检测到数据被改变则接收失败,发送接收失败信号;若接收成功则发送确认接收信号给客户发送端;步骤9:所述客户发送端超时未收到确认信号则返回到步骤3;步骤10:完成一次信息传输后,继续传输则返回到步骤2。4.如权利要求2所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,所述时间t的取值范围为大于100微秒。5.如权利要求2所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,所述重发次数n的取值范围是4-8。6.如权利要求2所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,所述非对称算法采用rsa算法或者elgamal算法。7.如权利要求2所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,所述步骤七中,若超时未接收到客户接收端应答,则记录连接超时次数,若达到5次,则返回步骤五。8.如权利要求3所述的一种基于量子密钥的vpn密钥管理方法,其特征在于,步骤8中,检测到数据被改变是指:接收数据也会被破坏而发生改变。9.一种基于量子密钥的vpn密钥管理设备,其特征在于,包括:存储器,用于存储计算机程序;处理器,用于执行所述计算机程序时实现如权利要求2至7中任一项基于量子密钥的vpn密钥管理方法的步骤。10.一种计算机可读介质,其上存储有计算机程序,其特征在于,所述程序被处理器执行时实现如权利要求2至7中任一项所述的基于量子密钥的vpn密钥管理方法。

技术总结
本发明公开了一种基于量子密钥的VPN密钥管理方法,利用客户发送端发送随机数至客户接收端,客户接收端返回客户接收端数字证书信息到客户发送端校验,若合法则选择加密算法及客户发送端数字证书发送至客户接收端验证,通过后解析加密算法发送确认信号至客户发送端;客户发送端接收后生成公钥与私钥,并发送公钥至客户接收端;客户接收端接收到后生成公钥与私钥,用私钥加密随机数并将密文与客户接收端公钥发送至客户发送端;客户发送端接收后,解密密文并比对随机数,相符则将密文与确认信号发送至客户接收端;客户接收端接收后,解密对比密文相符则建立通信,使用量子密钥进行加密通信。本发明量子密钥进行信息加密以及解密,使得密钥更具安全效率,大大提高用户在网络上的信息安全。信息安全。信息安全。


技术研发人员:郭邦红 邝绍文 胡敏
受保护的技术使用者:广东国腾量子科技有限公司
技术研发日:2021.12.31
技术公布日:2022/7/5
转载请注明原文地址: https://www.8miu.com/read-15999.html

专利

最新回复(0)