一种在IPSec中融合量子密钥的自适应一次一密数据保护方法
摘要文本
本发明公开了一种在IPSec中融合量子密钥的自适应一次一密数据保护方法。该方法使用量子密钥对数据包进行一次一密加密并不断更新密钥,解决了现有方法中在密钥交换阶段融合量子密钥而不进行更新的问题,保证了数据传输的安全性;同时,该方法基于量子分组尺寸的密钥自适应使用策略,实现了量子密钥与IPSec协议的有机融合。通过动态的密钥派生机制,缓解了直接使用量子密钥一次一密加密导致的效率低下问题,在低码率量子密钥供应情况下,该方法保证了对高带宽数据传输的稳健性;此外,基于量子密钥窗口的密钥同步机制,解决了量子密钥在使用过程中由于在本地进行密钥操作而导致的量子密钥同步问题。
申请人信息
- 申请人:中国科学技术大学; 合肥国家实验室
- 申请人地址:230026 安徽省合肥市包河区金寨路96号
- 发明人: 中国科学技术大学; 合肥国家实验室
专利详细信息
| 项目 | 内容 |
|---|---|
| 专利名称 | 一种在IPSec中融合量子密钥的自适应一次一密数据保护方法 |
| 专利类型 | 发明申请 |
| 申请号 | CN202410207077.X |
| 申请日 | 2024/2/26 |
| 公告号 | CN117792796A |
| 公开日 | 2024/3/29 |
| IPC主分类号 | H04L9/40 |
| 权利人 | 中国科学技术大学; 合肥国家实验室 |
| 发明人 | 薛开平; 高旭民; 刘斌; 李健; 陈鲁同; 俞能海 |
| 地址 | 安徽省合肥市包河区金寨路96号; 安徽省合肥市蜀山区望江西路5099号 |
专利主权项内容
1.一种在IPSec中融合量子密钥的自适应一次一密数据保护方法,其特征在于,包括:当第一网关向第二网关发起IPSec请求时,启动IPSec协商过程并建立IPSec SA用于保护数据通信,同时所述第一网关向与自身相连的第一密钥管理器发送初始的量子密钥分组尺寸,所述第二网关向与自身相连的第二密钥管理器发送初始的量子密钥分组尺寸;所述第一密钥管理器和所述第二密钥管理器之间同步各自所获取的初始的量子密钥分组尺寸,在同步操作结束后,所述第一密钥管理器和所述第二密钥管理器分别对各自本地密钥池中量子密钥进行分组操作,分别得到各自的量子密钥分组,并分别对所述各自的量子密钥分组进行添加序号操作、填充窗口操作和量子密钥一致性检验操作;当所述第一网关向所述第二网关转发数据且匹配所述IPSec SA时,所述第一网关的IPSec进程向所述第一密钥管理器发送量子密钥获取请求,所述第一密钥管理器根据自身量子密钥获取请求内的数据包序号和加密量子密钥的窗口序号范围确定每个所述数据包所对应的量子密钥分组,并将确定的量子密钥分组转发给所述第一网关;在所述第一网关的IPSec进程从所述第一密钥管理器得到所述确定的量子密钥分组后,根据所要处理的IPSec的数据包长度和加密量子密钥分组尺寸,所述第一网关的IPSec进程通过使用量子密钥分组或派生量子密钥进行自适应一次一密加密操作对所述数据包进行加密,并将加密的数据包转发给所述第二网关;当所述第二网关接收到所述加密的数据包且所述加密的数据包匹配所述IPSec SA时,所述第二网关的IPSec进程向所述第二密钥管理器发送量子密钥获取请求,所述第二密钥管理器根据自身量子密钥获取请求内的所述加密的数据包序号和解密量子密钥窗口的序号范围确定每个所述加密的数据包所对应的量子密钥分组,所述第二网关使用获取的量子密钥分组进行自适应一次一密解密操作,进而完成从所述第一网关到所述第二网关的加密数据传输操作。