认证请求,与向其提供服务的量子密钥管理终端进行握手认证。
3.如权利要求2所述的方法,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送认证请求帧,第一和第二量子密钥管理终端分别回复认证响应帧给发起和响应IPSec VPN网关,如果认证成功,发起和响应IPSec VPN网关分别与第一和第二量子密钥管理终端建立对应关系。
4.如权利要求3所述的方法,其特征在于,在握手认证之前,还包括发起和响应IPSecVPN网关、第一和第二量子密钥管理终端的初始化,该初始化包括: 第一,对发起和响应IPSec VPN网关的设备参数进行页面配置,参数包括量子密钥更新频率、会话密钥源、IPSec生存周期、设备ID、隧道标识以及IP地址; 第二,对IPSec VPN网关与量子密钥管理终端间的物理连接进行确认。
5.如权利要求1所述的方法,其特征在于步骤2中的量子密钥协商过程包括: 发起和响应IPSec VPN网关协商确定参数配置,包括开始ID、目的ID、隧道标识、密钥使用方式、一次请求的密钥量;其中,所述开始ID和目的ID用于标识发起IPSec VPN网关对应的第一量子密钥管理终端和响应IPSec VPN网关对应的第二量子密钥管理终端间共享的量子密钥; 发起和响应IPsec VPN网关根据协商的参数配置,分别向第一和第二量子密钥管理终端发送密钥请求以获取量子密钥。
6.如权利要求5所述的方法,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送密钥请求帧,该密钥请求帧中包括确定的参数配置。
7.如权利要求6所述的方法,其特征在于:第一和第二量子密钥管理终端建立与隧道标识相对应的隧道缓存,用于分别缓存发起和响应IPSec VPN网关一次请求的量子密钥,同时第一和第二量子密钥管理终端回复密钥响应帧,当有足够的量子密钥时,密钥响应帧中的密钥数据为隧道缓存中的量子密钥;当没有足够的量子密钥时,密钥响应帧中的密钥数据为空。
8.如权利要求7所述的方法,其特征在于:发起和响应IPSecVPN网关分别建立与隧道标识相对应的隧道缓存,用于存放对应隧道所使用的量子密钥。
9.如权利要求8所述的方法,其特征在于:当密钥响应帧中的密钥数据不为空时,发起和响应IPSec VPN网关将获取的量子密钥分别存入相应的隧道缓存,并对获取的量子密钥进行一致性校验,通过一致性校验的量子密钥将作为IPsec SA的第一会话密钥。
10.如权利要求1-9之一所述的方法,其特征在于:当第一会话密钥为空时,发起和响应IPSec VPN网关使用第二会话密钥进行安全通信。
11.如权利要求10所述的方法,其特征在于:发起和响应IPSecVPN网关检查所建立的IPSec SA是否到期,如果未到期,则持续更新量子密钥,并保持IKE协商密钥不变;如果已到期,则清除自身的与该条隧道的隧道标识相应的隧道缓存,并分别向第一和第二量子密钥管理终端发送清除隧道缓存请求。
12.—种IPSecVPN系统,该系统包括发起IPSec VPN网关和响应IPSec VPN网关在内的至少两个IPSec VPN网关,及对应的包括第一和第二量子密钥管理终端在内的至少两个量子密钥管理终端,其特征在于: 发起IPSec VPN网关,用于发起与响应IPSec VPN网关的ISAKMP SA协商和IPSec SA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第一量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥; 响应IPSec VPN网关,用于响应发起IPSec VPN网关发起的ISAKMP SA协商和IPSecSA协商,其中并行处理量子密钥和IKE协商密钥的协商,并根据协商参数向第二量子密钥管理终端请求并获取量子密钥,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥; 第一量子密钥管理终端,用于缓存管理供给发起IPSec VPN网关的量子密钥; 第二量子密钥管理终端,用于缓存管理供给响应IPSec VPN网关的量子密钥; 发起和响应IPSec VPN网关使用所建立的IPSec SA对用户数据加解密,进行安全通信。
13.如权利要求12所述的系统,其特征在于:发起和响应IPSecVPN网关进行ISAKMPSA协商前,分别向第一和第二量子密钥管理终端发送认证请求,与向其提供服务的量子密钥管理终端进行握手认证。
14.如权利要求13所述的系统,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送认证请求帧,第一和第二量子密钥管理终端分别回复认证响应帧给发起和响应IPSec VPN网关,如果认证成功,发起和响应IPSec VPN网关分别与第一和第二量子密钥管理终端建立对应关系。
15.如权利要求14所述的系统,其特征在于,在握手认证之前,还包括发起和响应IPSec VPN网关、第一和第二量子密钥管理终端的初始化,该初始化包括: 第一,对发起和响应IPSec VPN网关的设备参数进行页面配置,参数包括量子密钥更新频率、会话密钥源、IPSec生存周期、设备ID、隧道标识以及IP地址; 第二,对IPSec VPN网关与量子密钥管理终端间的物理连接进行确认。
16.如权利要求12所述的系统,其特征在于,量子密钥的协商过程包括: 发起和响应IPSec VPN网关协商确定参数配置,包括开始ID、目的ID、隧道标识、密钥使用方式、一次请求的密钥量;其中,所述开始ID和目的ID用于标识发起IPSec VPN网关对应的第一量子密钥管理终端和响应IPSec VPN网关对应的第二量子密钥管理终端间共享的量子密钥; 发起和响应IPSec VPN网关根据协商的参数配置,分别向第一和第二量子密钥管理终端发送密钥请求以获取量子密钥。
17.如权利要求16所述的系统,其特征在于:发起和响应IPSecVPN网关分别向第一和第二量子密钥管理终端发送密钥请求帧,该密钥请求帧中包括确定的参数配置。
18.如权利要求17所述的系统,其特征在于:第一和第二量子密钥管理终端建立与隧道标识相对应的隧道缓存,用于分别缓存发起和响应IPSec VPN网关一次请求的量子密钥,同时第一和第二量子密钥管理终端回复密钥响应帧,当有足够的量子密钥时,密钥响应帧中的密钥数据为隧道缓存中的量子密钥;当没有足够的量子密钥时,密钥响应帧中的密钥数据为空。
19.如权利要求18所述的系统,其特征在于:发起和响应IPSecVPN网关分别建立与隧道标识相对应的隧道缓存,用于存放对应隧道所使用的量子密钥。
20.如权利要求19所述的系统,其特征在于:当密钥响应帧中的密钥数据不为空时,发起和响应IPSec VPN网关将获取的量子密钥分别存入相应的隧道缓存,并对获取的量子密钥进行一致性校验,通过一致性校验的量子密钥将作为IPsec SA的第一会话密钥。
21.如权利要求12-20之一所述的系统,其特征在于:当第一会话密钥为空时,发起和响应IPSec VPN网关使用第二会话密钥进行安全通信。
22.如权利要求20所述的系统,其特征在于:发起和响应IPSecVPN网关检查所建立的IPSec SA是否到期,如果未到期,则持续更新量子密钥,并保持IKE协商密钥不变;如果已到期,则清除自身的与该条隧道的隧道标识相应的隧道缓存,并分别向第一和第二量子密钥管理终端发送清除隧道缓存请求。
23.—种IPSecVPN网关,用于在IPSec VPN系统中与其他至少一个IPSec VPN网关之间扩展使用量子密钥,该IPSec VPN网关包括: 密钥协商IKE模块,用于与其他至少一个IPSec VPN网关进行传统IKE密钥协商以及扩展使用量子密钥时的相关参数协商,其中并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥,并将所建立的IPSec SA发送到IPSec协议栈模块; 量子密钥交互模块,用于根据所述协商参数向量子密钥管理终端请求并获取量子密钥; IPSec协议栈模块,用于接收密钥协商IKE模块发送的IPSec SA,实现发起和响应IPSec VPN网关间对用户通信数据的加解密。
24.如权利要求23所述的IPSecVPN网关,其特征在于,还包括: 初始化模块,用于对IPSec VPN网关进行页面配置和物理连接确认的初始化工作;所述页面配置的参数包括量子密钥更新频率、会话密钥源、IPSec生存周期、设备ID、隧道标识以及IP地址。
25.如权利要求24所述的IPSecVPN网关,其特征在于,还包括: 认证模块,用于根据初始化模块的配置,向对应的量子密钥管理终端发送认证请求帧,并接收来自对应的量子密钥管理终端的认证响应帧,实现与对应的量子密钥管理终端间的握手认证。
26.如权利要求25所述的IPSecVPN网关,其特征在于,还包括: 缓存模块,用于根据隧道标识建立相应的隧道缓存,以缓存量子密钥交互模块所获取的量子密钥,并将量子密钥发送到密钥协商IKE模块,密钥协商IKE模块进行密钥的完整性校验,并将通过校验的量子密钥用作会话密钥。
27.如权利要求23-26之一所述的IPSecVPN网关,其特征在于: 所述协商参数包括开始ID、目的ID、隧道标识、密钥使用方式、一次请求的密钥量;其中,所述开始ID和目的ID用于标识发起IPSec VPN网关对应的量子密钥管理终端和响应IPSec VPN网关对应的量子密钥管理终端间共享的量子密钥。
28.—种量子密钥管理终端,用于提供在IPSec VPN系统中的至少两个IPSec VPN网关之间扩展使用的量子密钥,其中在IPSec VPN网关中具有两种会话密钥源,量子密钥作为优先使用的第一会话密钥,该量子密钥管理终端包括: 输出缓存模块,用于将接收缓存模块发送的量子密钥进行缓存,并将量子密钥发送到量子密钥交互模块; 量子密钥交互模块,用于接收对应的IPSec VPN网关发送的密钥请求,从输出缓存模块中获取量子密钥,实现向IPSec VPN网关的量子密钥输出; 接收缓存模块,用于对QKD系统发送的量子密钥进行缓存管理,根据对应的IPSec VPN网关的密钥需求,将相应数量的量子密钥发送到输出缓存模块。
29.如权利要求28所述的量子密钥管理终端,其特征在于,还包括: 初始化模块,用于对量子密钥管理终端进行物理连接确认的初始化工作。
30.如权利要求29所述的量子密钥管理终端,其特征在于,还包括: 认证模块,用于接收对应的IPSec VPN网关发送的认证请求帧,并回复认证响应帧,实现与IPSec VPN网关间的握手认证。
31.如权利要求28-30任一所述的量子密钥管理终端,其特征在于: 所述输出缓存模块根据IPSec VPN网关间协商的隧道标识建立与隧道标识对应的隧道缓存。
【专利摘要】本发明公开了一种在IPSec VPN系统中扩展使用量子密钥的方法及系统,其中该IPSec VPN系统具有包括发起IPSec VPN网关和响应IPSec VPN网关在内的至少两个IPSec VPN网关及对应的量子密钥管理终端,该方法通过并行处理量子密钥和IKE协商密钥的协商,将量子密钥作为优先使用的第一会话密钥,IKE协商密钥作为第二会话密钥进行安全通信。另外,本发明还提供相应的IPSec VPN网关、量子密钥管理终端及IPSec VPN系统。本发明通过扩展使用量子密钥作为会话密钥,在兼容原有IPSec协议的情况下,极大地提高了会话密钥更新的频率,确保了现有IPSec VPN的安全通信性能。
【IPC分类】H04L9-08, H04L29-06
【公开号】CN104660603
【申请号】CN201510079480
【发明人】李霞, 赵梅生, 周雷, 赵波
【申请人】山东量子科学技术研究院有限公司, 安徽量子通信技术有限公司
【公开日】2015年5月27日
【申请日】2015年2月14日