基于量子密钥分发的IPSec VPN密码机制造技术

本发明专利技术的基于量子密钥分发的IPSec VPN密码机，包括采用服务器架构的工控主板，支持光纤网口和常规电网口，其中光纤网口与量子密钥服务器进行连接，获取特定的量子密钥，用于VPN握手协商过程；常规电网口用于与对端VPN设备建立常规VPN线路；加密卡与工控主板通过数据总线连接，提供常规密钥和加解密算法，用于VPN握手协商和数据加解密；电子钥匙与加密卡通过数据线连接，用于密钥的备份和恢复；DOM盘与工控主板通过数据总线连接，存储VPN密码机的软件系统。本发明专利技术的量子VPN技术是将量子密钥分发系统中产生的密钥用于Internet协议安全性标准框架结构(IPSec协议)中的握手协商过程，利用量子密钥分配技术解决密钥安全分配的问题，使通信双方之间能共享无条件安全的密钥。 1

IPSec VPN cryptography based on quantum key distribution

The IPSec VPN cryptographic machine based on quantum key distribution, including an industrial control motherboard using the server architecture, supports the optical fiber network port and the conventional grid port, in which the optical fiber network port is connected with the quantum key server to obtain a specific quantum key for the VPN handshake negotiation process, and the conventional grid port is used with the opposite end VPN set. The conventional VPN line is set up, the encryption card and the industrial control motherboard are connected through the data bus, the conventional key and the encryption and decryption algorithm are provided for the VPN handshake negotiation and data encryption and decryption; the electronic key is connected with the encrypted cartoon over the data line, and is used for the backup and recovery of the key. The DOM disk is connected to the industrial control motherboard through the data bus and stores VPN The software system of a cryptographic machine. The quantum VPN technology of the invention is used to use the key produced in the quantum key distribution system to use the handshake negotiation process in the Internet protocol security standard framework (IPSec protocol), and use the quantum key distribution technology to solve the key security distribution problem, so that the two parties can share unconditional security keys between the two parties. One

【技术实现步骤摘要】
基于量子密钥分发的IPSecVPN密码机
本专利技术属于量子安全保密通信
，具体涉及基于量子密钥分发的IPSecVPN密码机。
技术介绍
VPN(VirtualPrivateNetwork)虚拟专用网络，是一种在公共网络上利用隧道加密技术建立起来的专用网络，进行加密传输。它可以帮助异地用户、分支机构、商业伙伴与公司内部网络建立可信的安全连接，并保证数据的安全传输。IPSec协议由IETF(Internet工程任务组)制定的端到端的确保基于IP通信数据安全性的一种网络层协议，可以提供数据完整性保护、数据源鉴别、载荷机密性和抗重放攻击等安全服务。IKE(Internet密钥交换协议)属于一种混合协议，基于ISAKMP(互联网安全联盟和密钥管理协议)定义的框架，用于交换和管理在VPN协商过程中使用的密钥。目前传统VPN密码机均采用IKE方式进行握手协商，例如专利公告号为CN102111377A的专利技术专利”网络密码机“便是一款传统VPN密码机，随着计算能力的进一步提高，在VPN协商过程中密钥存在被破解的风险。如何将量子保密通信技术与传统VPN网络融合，提高数据传输的安全性，成为目前关注的重点。
技术实现思路
本专利技术为将量子保密通信技术与传统VPN网络融合，提高数据传输的安全性，提供了一款量子VPN密码机，将量子密钥分发技术引入到IKE密钥协商过程中，解决传统VPN密码机协商过程的安全性问题。本专利技术的基于量子密钥分发的IPSecVPN密码机，其特征在于包括：工控主板：采用服务器架构的工控主板，支持光纤网口和常规电网口，其中光纤网口与量子密钥服务器进行连接，获取特定的量子密钥，用于VPN握手协商过程；常规电网口用于与对端VPN设备建立常规VPN线路；加密卡：与工控主板通过外围器件互联总线标准进行连接，提供常规密钥和加解密算法，用于VPN握手协商和数据加解密；电子钥匙：与加密卡通过串行总线连接，用于密钥的备份和恢复；DOM盘：与工控主板通过电脑总线连接，存储VPN密码机的软件系统。具体地，所述软件系统包括系统内核模块、量子密钥交换模块、密码运算模块、页面配置模块，所述系统内核模块：用于密码机的正常启动运行，包括启动程序、各硬件驱动、对物理层数据的处理、系统常用指令；量子密钥交换模块：用于对量子密钥的管理及使用，包括量子密钥的获取、量子密钥的协商使用、本端量子密钥和对端量子密钥的标识、认证密钥、加密密钥；密码运算模块：用于协商过程、以及协商完成后数据传输的加解密工作，包括对称算法、非对称算法、杂凑算法、随机数；页面配置模块：用于对密码机进行管理，通过浏览器登录密码机管理页面，包括对本地密码机内外网口信息、路由信息、账户信息进行配置，完成配置后即可与对端密码机进行协商通信。具体地，所述量子密钥交换模块包括量子模块，所述量子模块的基本信息包括获取时间周期、量子密钥标识、认证密钥、加密密钥，配置完成后，所述量子模块将首先去获取量子密钥、对量子密钥进行校验并将量子密钥用于IKE协商过程，系统默认采用量子密钥与对端进行IKE协商，如果量子密钥获取失败或者校验错误，则自动切换到常规IKE协商，不影响VPN隧道的通断。具体地，所述量子密钥交换模块还包括内含密钥交换协议的密钥交换协商模块，所述密钥交换协议包括第一阶段和第二阶段：在第一阶段交换中，通信双方建立了一个ISAKMP的SA，该SA是协商双方为保护它们之间的通信而使用的共享策略和密钥。用这个SA来保护IPSecSA的协商过程。一个ISAKMPSA可以用于建立多个IPSecSA；在第二阶段交换中，通信双方使用第一阶段ISAKMPSA协商建立IPSecSA，确定通信双方的IPSec安全策略及会话密钥。优选地，所述加密卡与工控主板通过PCI-E插槽连接。优选地，所述电子钥匙与加密卡通过USB连接。优选地，所述DOM盘与工控主板通过SATA方式连接。本专利技术是基于量子密钥分配协议和IPSec安全协议的一款采用工控机构架的千兆VPN密码机。量子保密通信则是由经典密码理论与量子力学的基本原理相结合而产生的，但与经典的数学密码不同的是，量子保密通信的最大优点是其具有理论上的无条件安全性和高效性。现阶段量子通信的主要应用形式是基于量子密钥分发(QKD)的保密通信，分发过程就是通信双方在不安全的信道(量子信道和经典信道)上完成密钥协商的过程，量子信道可以是光纤或者自由空间，用于传输单光子信号或者纠缠光子对，经典信道用于后续的协商等。量子密钥的安全性依赖于密钥的生成与验证机制，验证机制确保通信双方可以发现窃听者的存在，从而保证密钥协商过程的安全性。本专利技术的基于量子密钥分配的IPSecVPN密码机是将量子密钥分发系统中产生的密钥用于Internet协议安全性标准框架结构(IPSec协议)中的握手协商过程，利用量子密钥分配技术解决密钥安全分配的问题，使通信双方之间能共享无条件安全的密钥。本专利技术的量子VPN密码机硬件平台采用光电接口主板，通过光纤网口与量子服务器连接获取量子密钥(即通过光纤网口获取量子密钥)，通过硬件加密卡进行加、解密运算，硬件加密卡提供密码运算模块。软件平台包含：系统内核模块、量子密钥交换模块、密码运算模块、页面配置模块。量子VPN密码机兼容传统VPN密码机功能，当获取量子密钥失败时，将自动切换为传统IKE(Internet密钥交换协议)与对端进行协商。在密钥协商模式方面，量子VPN密码机是采用量子密钥分发协议和IPSec协议相结合，也支持传统的标准IKE协商模式。标准协商模式是2014年国家密码管理局颁布的IPSecVPN技术规范中的协商标准，包含密钥交换模块、隧道封装模块。此处的密钥协商模式是在标准协商模式的基础上，集成了量子密钥的使用。目前国家还没有出台关于量子密钥的VPN技术规范。标准协商模式包括密钥交换子模块和隧道封装子模块。密钥交换子模块主要完成通信双方的会话密钥协商，形成通信双方的加密通道。隧道封装子模块完成IP数据包的捕获，根据数据包的信息查询安全策略，并根据安全策略进行相应的流转处理：转发、加密、解密、转上层协议等。附图及说明为了更清楚地说明本专利技术实施例技术中的技术方案，下面将对实施例技术描述中所需要使用的附图作简单地介绍。基于量子密钥分发的IPSecVPN密码机这里简称“量子VPN密码机”。图1为量子VPN密码机功能结构图；图2为量子VPN密码机采用的协议图；图3为量子VPN密码机数据包进出流程图；图4为量子VPN密码机应用环境图；图5为量子VPN密码机应用日志显示。具体实施方式下面将结合本专利技术实施例中的附图，对本专利技术实施例中的技术方案进行清楚、完整地描述。参照附图1所示，本
技术实现思路
是基于量子密钥分发的IPSecVPN密码机，包括：工控主板：采用服务器架构的工控主板，支持光纤网口和常规电网口，其中光纤网口与量子密钥服务器进行连接，获取特定的量子密钥，用于VPN握手协商过程；常规电网口用于与对端VPN设备建立常规VPN线路；加密卡：与工控主板通过PCI-E插槽连接，提供常规密钥和加解密算法，用于VPN握手协商和数据加解密；常见的PCI也可以使用。电子钥匙：与加密卡采用通用串行总线，支持热插拔，本实施例中采用USB连接，用于密钥的备份和恢复；DOM盘：与工控本文档来自技高网...

【技术保护点】
1.基于量子密钥分发的IPSec VPN密码机，其特征在于包括：

【技术特征摘要】
1.基于量子密钥分发的IPSecVPN密码机，其特征在于包括：工控主板：采用服务器架构的工控主板，支持光纤网口和常规电网口，其中光纤网口与量子密钥服务器进行连接，获取特定的量子密钥，用于VPN握手协商过程；常规电网口用于与对端VPN设备建立常规VPN线路；加密卡：与工控主板通过外围器件互联总线标准进行连接，提供常规密钥和加解密算法，用于VPN握手协商和数据加解密；电子钥匙：与加密卡采用通用串行总线连接，用于密钥的备份和恢复；DOM盘：与工控主板通过电脑总线连接，存储VPN密码机的软件系统。2.根据权利要求1中任何一项所述的基于量子密钥分发的IPSecVPN密码机，其特征在于：所述软件系统包括系统内核模块、量子密钥交换模块、密码运算模块、页面配置模块，所述系统内核模块：用于密码机的正常启动运行，包括启动程序、各硬件驱动、对物理层数据的处理、系统常用指令；量子密钥交换模块：用于对量子密钥的管理及使用，包括量子密钥的获取、量子密钥的协商使用、本端量子密钥和对端量子密钥的标识、认证密钥、加密密钥；密码运算模块：用于协商过程、以及协商完成后数据传输的加解密工作，包括对称算法、非对称算法、杂凑算法、随机数；页面配置模块：用于对密码机进行管理，通过浏览器登录密码机管理页面，包括对本地密码机内外网口信息、路由信息、账户信息进行配置，完成配置后即可与对端密码机进行协商通信。3.根据权利要求2中的基于量子密钥分发的IPSec...

【专利技术属性】
技术研发人员：查振兴，高泉，李强，刘潇，张伟，
申请(专利权)人：武汉三江航天网络通信有限公司，
类型：发明
国别省市：湖北,42