VPN网关也进行类似的过程,并向第二量子密钥管理终端发送清除隧道缓存请求帧。第一量子密钥管理终端根据隧道标识,清除相应的隧道缓存,并回复发起IPSecVPN网关清除隧道缓存响应帧(如图11所示);第二量子密钥管理终端也进行类似的过程,并回复响应IPSec VPN网关清除隧道缓存响应帧。IPSec VPN网关间重新通过步骤2进行IPSec SA协商,为该条隧道建立相应的IPSec SA ;IPSec SA的建立标志着该条隧道的生效。
[0125]图10和图11的清除隧道缓存请求帧/响应帧的结构中,私有信息包括:开始ID、目的ID、隧道标识、密钥使用方式、响应值。
[0126]步骤3.发起和响应IPSec VPN网关使用所建立的IPSec SA对用户数据加解密,进行安全通信。
[0127]本发明不改变SA表的尺寸,即不改变SA表中SA的数量,一条隧道仍对应一对IPSec SA (流入和流出),能够更好地兼容原有IPSec协议;同时,所述的IPSec SA的会话密钥结构新颖,每个SA中含有两种会话密钥源一一量子密钥和IKE协商密钥,优先使用量子密钥直接作为会话密钥,IKE协商密钥为备用会话密钥。在一个IPSec生存周期内,IKE协商密钥不再更新,量子密钥以设定的密钥更新频率进行更新,即不断地有量子密钥作为会话密钥供IPSec SA使用,会话密钥在不断地更新。
[0128]本发明优先使用具有较高更新频率的量子密钥直接作为会话密钥,若量子密钥为空,则使用IKE协商密钥,不降低原有系统的安全性,且能很好地保持业务数据传输的连续性;此种处理机制快捷高效,既保证了通信的高安全性,又能使得会话密钥以较高的频率更新,密钥更新频率的提高反过来又进一步提高了通信的安全性,两者相辅相成。
[0129]通过本实施例提供的在IPSec VPN网关中支持量子密钥作为会话密钥的方法,实现了将量子密钥优先作为第一会话密钥,增强了会话密钥的安全性,而且有效提高了会话密钥的更新频率。
[0130]实施例二
[0131]如图12所示,本发明实施例提供一种IPSec VPN系统,该系统包括发起IPSec VPN网关和响应IPSec VPN网关,第一量子密钥管理终端和第二量子密钥管理终端,其特征在于:
[0132]发起IPSec VPN网关,用于发起与响应IPSec VPN网关的ISAKMP SA协商和IPSecSA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第一量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;
[0133]响应IPSec VPN网关,用于响应发起IPSec VPN网关发起的ISAKMP SA协商和IPSec SA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第二量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;
[0134]第一量子密钥管理终端,用于缓存管理供给发起IPSec VPN网关的量子密钥;
[0135]第二量子密钥管理终端,用于缓存管理供给响应IPSec VPN网关的量子密钥;
[0136]发起和响应IPSec VPN网关使用所建立的IPSec SA对用户数据加解密,进行安全通信。
[0137]优选地,发起和响应IPSec VPN网关进行ISAKMP SA协商之前,分别向第一和第二量子密钥管理终端发送认证请求,与向其提供服务的量子密钥管理终端进行握手认证。
[0138]本发明一个实施例的IPSec VPN系统结构框图如图12所示,其中:
[0139]内网I与内网2分别通过发起IPSec VPN网关与响应IPSec VPN网关,在隧道模式下实现安全的加密通信,发起IPSec VPN网关、响应IPSec VPN网关在公网的对外IP分别为IP1、IP2 ;本领域技术人员知道,该IPSec VPN系统可以包括多个内网、多个IPSec VPN网关和多个量子密钥管理终端,如图2所示;
[0140]IPSec VPN网关使用两种密钥源——量子密钥和IKE协商密钥,且优选的第一密钥源为量子密钥;
[0141]QKD-1与QKD-2为量子密钥分发(QKD)系统,分别与第一量子密钥管理终端、第二量子密钥管理终端连接,两个QKD系统之间通过量子网络进行量子密钥分发,并将所生成的量子密钥发送到相应的量子密钥管理终端;
[0142]量子密钥管理终端将QKD系统发送的量子密钥进行缓存管理,并以量子设备ID作为标识,以便IPSec VPN网关能够根据量子设备ID获取相应的量子密钥。
[0143]对于发起IPSec VPN网关与响应IPSec VPN网关进行ISAKMP SA协商和IPSec SA协商的过程与实施例一中的相同,在这里不再赘述。而且,实施例一中的优选方式都可以应用于实施例二中。
[0144]实施例三
[0145]参见图12a,本发明实施例提供一种IPSec VPN网关,用于在IPSec VPN系统中与其他至少一个IPSec VPN网关之间扩展使用量子密钥,该IPSec VPN网关包括:
[0146]密钥协商IKE模块,用于与其他至少一个IPSec VPN网关进行传统IKE密钥协商以及扩展使用量子密钥时的相关参数协商,其中并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥,并将所建立的IPSec SA发送到IPSec协议栈模块;
[0147]量子密钥交互模块,用于根据所述协商参数向量子密钥管理终端请求并获取量子密钥;
[0148]IPSec协议栈模块,用于接收密钥协商IKE模块发送的IPSec SA,实现发起和响应IPSec VPN网关间对用户通信数据的加解密。
[0149]优选地,IPSec VPN网关如图12b所示,进一步包括:
[0150]初始化模块,用于对IPSec VPN网关进行页面配置和物理连接确认等初始化工作,并对配置信息进行存储,可实现配置的显示、查询、添加、删除、导入、导出等。
[0151]进一步地,本发明的IPSec VPN网关还包括:
[0152]认证模块,用于根据初始化模块的配置,向对应的量子密钥管理终端发送认证请求帧,并接收量子密钥管理终端发送的认证响应帧,实现与对应的量子密钥管理终端间的握手认证。
[0153]进一步地,本发明的IPSec VPN网关还包括:
[0154]缓存模块,用于根据隧道标识建立相应的隧道缓存,以缓存量子密钥交互模块所获取的量子密钥,并将量子密钥发送到密钥协商IKE模块,以用作会话密钥。
[0155]另外,本发明的IPSec VPN网关还包括控制模块,用于IPSec VPN网关的内部功能控制。
[0156]进一步,所述页面配置的参数包括量子密钥更新频率、会话密钥源、IPSec生存周期、设备ID、隧道标识、IP地址等参数。
[0157]进一步,所述协商参数包括开始ID、目的ID、隧道标识、密钥使用方式、一次请求的密钥量,具体协商过程与实施例一中的过程相同,在这里不再赘述。
[0158]进一步,所述密钥协商IKE模块,接收缓存模块发送的量子密钥,进行密钥数据的完整性校验,将通过完整性校验的量子密钥作为会话密钥。
[0159]进一步,所述量子密钥交互模块根据所述协商参数向对应的量子密钥管理终端发送密钥请求帧、清除隧道缓存请求帧,接收量子密钥管理终端发送的密钥响应帧、清除隧道缓存响应帧。上述帧结构参见图8-11,具体描述参见实施例一的相关描述。
[0160]其中IPSec VPN网关初始化过程、握手认证的方式、量子密钥的传输、隧道缓存的处理机制等与实施例一中的相同,在这里不再赘述。
[0161]实施例四
[0162]参见图13a,本发明实施例提供一种量子密钥管理终端,用于提供在IPSec VPN系统中的至少两个IPSec VPN网关之间扩展使用的量子密钥,其中在IPSec VPN网关中具有两种会话密钥源,量子密钥作为优先使用的第一会话密钥,该量子密钥管理终端包括:
[0163]输出缓存模块,用于将接收缓存模块发送的量子密钥进行缓存,并将量子密钥发送到量子密钥交互模块;
[0164]量子密钥交互模块,用于接收对应的IPSec VPN网关发送的密钥请求,从输出缓存模块中获取量子密钥,实现向IPSec VPN网关的量子密钥输出;
[0165]接收缓存模块,用于对QKD系统发送的量子密钥进行缓存管理,根据对应的IPSecVPN网关的密钥需求,将相应数量的量子密钥发送到输出缓存模块。
[0166]优选地,参见图13b,量子密钥管理终端进一步包括如下模块:
[0167]初始化模块,用于对量子密钥管理终端进行物理连接确认等初始化工作。
[0168]进一步地,本发明的量子密钥管理终端还包括:
[0169]认证模块,用于接收对应的IPSec VPN网关发送的认证请求帧,并发送认证响应帧,实现与IPSec VPN网关间的握手认证。
[0170]另外,本发明的量子密钥管理终端还包括控制模块,用于量子密钥管理终端的内部功能控制。
[0171]进一步,所述输出缓存模块根据隧道标识建立相应的隧道缓存,将接收缓存模块发送的量子密钥进行缓存,并将量子密钥发送到量子密钥交互模块。
[0172]进一步,所述量子密钥交互模块接收对应的IPSec VPN网关发送的密钥请求帧、清除隧道缓存请求帧,向IPSec VPN网关发送密钥响应帧、清除隧道缓存响应帧。上述帧结构参见图8-11,具体描述参见实施例一的相关描述。
[0173]其中量子密钥管理终端的初始化过程、握手认证的方式、量子密钥的传输、隧道缓存的处理机制等与实施例一中的相同,在这里不再赘述。
[0174]本发明支持使用量子密钥代替传统IPSec SA中的会话密钥,量子密钥管理终端配合IPSec VPN可达到会话密钥更新频率为300次/min,远远大于传统IPSec SA中的会话密钥最快只有约每分钟一次的更新速率,如此高的密钥更新频率使得加密数据无法被破解,从而确保了使用IPSec VPN对数据进行加密传输的安全性。
[0175]以上对本发明实施例所提供的在IPSec VPN中支持量子密钥作为会话密钥的方法、IPSec VPN网关、量子密钥管理终端以及IPSec VPN系统进行了详细介绍,但是以上实施例的说明只是用于帮助理解本发明的方法及其核心思想,不应理解为对本发明的限制。本技术领域的技术人员在本发明揭露的技术范围内,轻易想到的变化或者替换,都应涵盖在本发明的保护范围之内。。
【主权项】
1.一种在IPSec VPN系统中扩展使用量子密钥的方法,其中该IPSec VPN系统具有包括发起IPSec VPN网关和响应IPSec VPN网关在内的至少两个IPSec VPN网关、及对应的包括第一和第二量子密钥管理终端在内的至少两个量子密钥管理终端,该方法包括: 步骤1.发起和响应IPSec VPN网关进行ISAKMP SA协商,建立ISAKMP SA,该SA是网关间为建立IPSec SA而使用的共享策略和密钥; 步骤2.发起和响应IPSec VPN网关进行IPSec SA协商,建立IPSec SA,该SA是为保护网关间数据通信的安全而使用的共享策略和密钥,其中并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥;而且,发起和响应IPSec VPN网关分别向第一和第二量子密钥管理终端获取所需的量子密钥; 步骤3.发起和响应IPSec VPN网关使用所建立的IPSec SA对用户数据加解密,进行安全通信。
2.如权利要求1所述的方法,其特征在于:发起和响应IPSecVPN网关进行ISAKMP SA协商前,分别向第一和第二量子密钥管理终端发送