融合量子密钥实现IPsecSA换钥零丢包的方法、网关、系统与流程
本发明的涉及网络安全通信领域,特别是实现ipsec sa换钥零丢包的方法。
背景技术:
1、ipsec协议:ipsec作为关键技术,提供了对ip数据的加密、完整性验证和身份认证等安全功能。
2、安全关联(sa)管理:sa管理是指对sa的生成、维护和更新等操作。其中,sa是存储安全参数的数据结构,包括加密算法、密钥等信息。
3、量子密钥分发:利用量子密钥分发设备,通过发送和接收量子态来创建共享的安全密钥。
4、在传统的ipsec(internet protocol security)网络中,安全关联(securityassociation,sa)的换钥过程可能会导致数据传输中的丢包和服务中断。
5、在ipsec通信过程中为了保持安全性,ipsec sa设计了更新和老化机制,其中包括流量老化和时间老化两种方式。在流量老化方式下,当流量达到一定限额时,会触发ipsecsa的更新。在时间老化方式下,当经过一定时间后,ipsec sa也会被更新。目前常见的更新方法是,在发起方的流量或时间达到限额时,开始重新协商ipsec sa,并发送重协商ipsecsa报文;响应方接收ipsec sa报文并进行响应操作。当发起方和响应方都更新新的sa时,存在问题:发起方更新sa后,响应方发送重协商ipsec sa的报文可能在网络中出现延迟,未及时到达响应方。这样一来,响应方尚未更新sa,而发起方使用新的sa加密的数据到达响应方时,响应方无法解密,导致报文被丢弃。
6、公开号为cn112910893a的专利文献公开了一种防止ipsec sa老化后丢包的方法,包括:s1、与对端设备之间建立ip s e c通道,并生成第一ipsecsa;s2、当接收到对端设备发送的密钥交换报文或者当第一ipsec sa达到老化要求时,向对端设备发送密钥交换报文,与对端设备重新协商密钥后,创建第二ipsec sa,并保留第一ipsecsa;s3、启动定时器,并在定时器到时之前,采用第一ipsec sa对发送至对端设备的加密报文进行加密;s4、在定时器到时后,判断对端设备发送的加密报文是否采用第二ipsec sa加密;s5、当定时器到时后,对端设备发送的加密报文是采用第二ipsec sa加密时,删除第一ipsec sa,否则,重复步骤s3至步骤s4。本发明解决了目前sa老化后经常出现丢包的问题。该专利文献中没有融合量子密钥,存在如下缺陷:1)无法抵抗量子计算机的破解,数据传输安全性低;2)协商效率低,容易老化从而出现丢包问题。
技术实现思路
1、本发明所要解决的技术问题在于如何避免ipsec sa换钥过程导致的数据传输中的丢包和服务中断。
2、本发明通过以下技术手段实现解决上述技术问题的:融合量子密钥实现ipsec sa换钥零丢包的方法,包括下述步骤:
3、s1、发起方发起密钥协商与响应方建立ipsec通道,并生成第一ipsec sa;
4、s2、当第一ipsec sa达到老化要求时,重协商中发起方首先根据ike_sa中spi生成量子sa,并向响应方发送密钥交换报文,启动发起方第一定时器;
5、s3、响应方收到密钥交换报文同样用ike_sa中spi生成量子sa,启动响应方第一定时器;
6、s4、双方第一定时器到达预定时间,同步从第一ipsec sa切换到量子sa;
7、s5、双方重密钥协商完成,均启动第二定时器;
8、s6、双方第二定时器到达预定时间,同步从量子sa切换到第二ipsec sa。
9、作为其中一种进一步具体的技术方案,所述步骤s1包括以下内容:
10、s11、本端设备发起ike协商请求;
11、s12、对端设备接收到请求后进行应答,双方根据配置参数进行协商,从而生成ikesa;
12、s13、当ike sa生成后,双方发起ipsec的协商,双方根据配置参数通过密钥协商模块进行协商,从而生成第一个ipsec sa;
13、s14、双方的ipsec sa达到established状态后,双方根据ipsec sa进行数据传输。
14、作为其中一种进一步具体的技术方案,所述步骤s2包括以下内容:
15、s21、重新协商的发起方根据ike_sa中initiator_spi和responder_spi从qt安全sim卡模块获取到对应的两组量子密钥;
16、s22、利用国密密码部件模块中sm4算法采用cbc加密方式对量子密钥进解密,获取两组量子密钥明文;
17、s23、将两组量子密钥明文分别衍生成32字节的sm3密钥和16字节sm4密钥;
18、s24、发起方利用initiator_spi生成的sa作为out方向,利用responder_spi生成的sa作为in方向;
19、s25、两组量子密钥生成的发起方量子sa通过netlink发送给内核,并采用定时器模块同时启动发起方第一定时器,其时间设置在第一ipsec sa硬到期之前。
20、作为其中一种进一步具体的技术方案,所述步骤s3包括以下内容:
21、收到重新密钥协商第一个包从message中能获取到ike_sa中initiator_spi和responder_spi,采用同步骤s2方法生成两个sa,利用initiator_spi生成的量子sa作为in方向,利用responder_spi生成的量子sa作为out方向,同时采用定时器模块启动响应方第一定时器,响应方第一定时器和发起方第一定时器到期时间同步。
22、作为其中一种进一步具体的技术方案,所述步骤s5包括以下内容:一旦重密钥协商完成,即双方都成功获取了新的密钥有第二ipsec sa,接下来会启动定时器来切换sa,启动第二定时器后,双方设备根据预定的时间间隔执行相应切换sa操作。
23、本发明还提供一种执行上述任一方案所述的融合量子密钥实现ipsec sa换钥零丢包的方法的量子网关,包括:qt安全sim卡模块、国密密码部件模块、密钥协商模块,和定时器。
24、本发明还提供一种融合量子密钥实现ipsec sa换钥零丢包的系统,包括下述模块:
25、第一ipsec sa模块,用于发起方发起密钥协商与响应方建立ipsec通道,并生成第一ipsec sa;
26、发起方第一定时器启动模块,用于当第一ipsec sa达到老化要求时,重协商中发起方首先根据ike_sa中spi生成量子sa,并向响应方发送密钥交换报文,启动发起方第一定时器;
27、响应方第一定时器启动模块,用于响应方收到密钥交换报文同样用ike_sa中spi生成量子sa,启动响应方第一定时器;
28、第一切换模块,用于双方第一定时器到达预定时间,同步从第一ipsec sa切换到量子sa;
29、第二定时器启动模块,双方重密钥协商完成,均启动第二定时器;
30、第二切换模块,双方第二定时器到达预定时间,同步从量子sa切换到第二ipsecsa。
31、作为其中一种进一步具体的技术方案,第一ipsec sa模块包括以下内容:
32、ike协商请求单元,用于本端设备发起ike协商请求;
33、ike sa生成单元,用于对端设备接收到请求后进行应答,双方根据配置参数进行协商,从而生成ike sa;
34、第一个ipsec sa生成单元,用于当ike sa生成后,双方发起ipsec的协商,双方根据配置参数通过密钥协商模块进行协商,从而生成第一个ipsec sa;
35、数据传输单元,用于双方的ipsec sa达到established状态后,双方根据ipsec sa进行数据传输。
36、作为其中一种进一步具体的技术方案,发起方第一定时器启动模块包括以下内容:
37、量子密钥获取单元,用于重新协商的发起方根据ike_sa中initiator_spi和responder_spi从qt安全sim卡模块获取到对应的两组量子密钥;
38、量子密钥明文获取单元,用于利用国密密码部件模块中sm4算法采用cbc加密方式对量子密钥进解密,获取两组量子密钥明文;
39、sa中的spi获取单元,用于将两组量子密钥明文分别衍生成32字节的sm3密钥和16字节sm4密钥;
40、方向确定单元,用于发起方利用initiator_spi生成的sa作为out方向,利用responder_spi生成的sa作为in方向;
41、第一定时器启动单元,用于两组量子密钥生成的发起方量子sa通过netlink发送给内核,并采用定时器模块同时启动发起方第一定时器,其时间设置在第一ipsec sa硬到期之前。
42、本发明的优点在于:
43、相较于现有技术,本发明通过融合量子密钥技术,可以抵抗量子计算机的破解,提高数据传输安全;
44、将其应用于ipsec sa换钥过程中,利用传统ipsec sa中发起方和响应方的spi在量子sim卡中直接获取,从获取方式、获取速度、传输安全方面,本技术因为是从本机获取第二ipsec sa,速度更快,传输更安全,第二ipsec sa为量子sa,抵抗量子计算机的能力更强,安全性更高,高效的解决老化出现的丢包问题;
45、相对于公开号为cn112910893a的专利申请,公开号为cn112910893a的专利申请中,第二ipsec sa的产生是依靠ike协商完成的,本技术中第二ipsec sa的产生是通过量子sa来完成,cn112910893a的专利申请中第二ipsec sa的产生速度没有本技术量子sa的产生速度快,且cn112910893a的专利申请中第二ipsec sa的安全性没有本技术量子sa的安全性高;
46、这种创新方法、装置和设备不仅提供了更高级别的网络安全保护,还能抵御未来可能出现的量子计算攻击。它为数据通信提供了稳定可靠的保障,确保信息的机密性和完整性得以保持。
47、该技术在网络安全领域具有重要的应用价值。
- 还没有人留言评论。精彩留言会获得点赞!