数据传输方法、系统、装置及存储介质制造方法及图纸

本申请提供了一种数据传输方法、系统、装置及存储介质，接收量子服务器发送的第一量子密钥，将第一量子密钥进行密钥重组，得到第一密钥；将第一密钥的加密报文通过IPsec隧道发送至第二端服务器；并计算第一密钥的第一Hash值；接收第二端服务器响应第一密钥的加密报文后，计算第二Hash值；并将第二Hash值与第一Hash值进行对比；若第一Hash值与第二Hash值相同，则通过第一密钥替换第一端服务器的当前加密密钥，并作为与第二端服务器的第一公共密钥发送至第二端服务器。本申请通过量子服务器提供了高随机性的量子密钥，可以在第一端服务器以及第二端服务器之间建立的IPsec隧道的端点处，对量子密钥进行双随机数重组，提升IPsec加解密性能。解密性能。解密性能。

【技术实现步骤摘要】
数据传输方法、系统、装置及存储介质


[0001]本申请属于数据通信
，具体地，涉及一种数据传输方法、系统、设备及存储介质。

技术介绍

[0002]互联网安全协议IPsec(Internet Protocol Security)是国际互联网工程任务组IETF(The Internet Engineering Task Force)制定的三层隧道加密协议，它为互联网上传输的数据提供了高质量的、基于密码学的安全保证，IPsec是一种传统的实现三层虚拟专用网络VPN(Virtual Private Network)的安全技术。
[0003]IPsec通过在特定通信方之间，例如两个安全网关之间建立“通道”，来保护通信方之间传输的用户数据安全，该通道通常称为IPsec隧道。IPsec隧道建立后，为了防止加密密钥被破解而影响数据的安全性，IPsec隧道在一定的时间间隔或者传输流量达到一定值后，就会进行加密密钥的重新协商，生成新的密钥来对数据进行加密，原来的老密钥废弃。
[0004]因此，保证IPsec隧道密钥的安全性是IPsec隧道的关键。目前，不管是IKEv1还是IKEv2都是采用的DH交换算法产生新的密钥。但传统密钥的熵源为软件随机数或经典物理随机数，软件随机数具有可预测，可重复，安全性较低的特点；经典物理随机数存在被建模模拟破解的风险。因此DH交换算法，存在如下的缺点：密码安全性的强度不够，容易被破解；DH交换算法需要三个报文才能够完成；加密和解密使用相同的密钥，一个方向上密码破解，意味着两个方向的数据都泄漏。
[0005]因此，需要一种替换DH交换算法，提升数据保护的安全性的数据传输方法。

技术实现思路

[0006]本专利技术提出的数据传输方法、系统、设备及存储介质，使用量子计算密钥，生成双向各自的加解密密钥，替换DH算法密钥协商方式，提升了数据传输的安全性。
[0007]根据本申请实施例的第一个方面，提供了一种数据传输方法，应用于第一端服务器，包括：
[0008]接收量子服务器发送的第一量子密钥，将第一量子密钥进行密钥重组，得到第一密钥；
[0009]将第一密钥的加密报文通过IPsec隧道发送至第二端服务器；并计算第一密钥的第一Hash值；
[0010]接收第二端服务器响应第一密钥的加密报文后，计算第二Hash值；并将第二Hash值与第一Hash值进行对比；
[0011]若第一Hash值与第二Hash值相同，则通过第一密钥替换第一端服务器的当前加密密钥，并作为与第二端服务器的第一公共密钥发送至第二端服务器。
[0012]在本申请一些实施方式中，接收量子服务器发送的第一量子密钥之前，还包括：向量子服务器周期性发送量子密钥请求。
[0013]在本申请一些实施方式中，将第一量子密钥进行密钥重组，得到第一密钥，具体包括：
[0014]根据第一量子密钥长度N，随机生成1至N
‑
2之间的第一随机数R1，然后随机生成R1+1至N
‑
R1之间的第二随机数R2；
[0015]截取第一量子密钥前R1位的密钥片段，将所述密钥片段插入第一量子密钥R2位与R2+1位之间位置，得到第一密钥。
[0016]在本申请一些实施方式中，将第一密钥以加密报文形式通过IPsec隧道发送至第二端服务器，具体采用IKEv1协议或者IKEv2协议对应的报文格式，得到加密报文。
[0017]在本申请一些实施方式中，第一Hash值与第二Hash值通过第一端服务器与第二端服务器使用IKE协商的Hash算法进行计算得到。
[0018]在本申请一些实施方式中，还包括：
[0019]接收第二端服务器发送的加密报文，使用上一协商公共密钥作为当前解密密钥解密得到第二密钥，计算第二密钥的第三Hash值；
[0020]向第二端服务器发送第三Hash值；
[0021]若接收到第二端服务器返回的第二公共密钥时，则通过第二公共密钥替换第一端服务器的当前解密密钥。
[0022]在本申请一些实施方式中，上一协商公共密钥的初始公共密钥，通过第一端服务器与第二端服务器基于IKE协议协商得到。
[0023]根据本申请实施例的第二个方面，提供了一种数据传输方法，应用于第二端服务器，包括：
[0024]接收第一端服务器发送的加密报文，使用以及上一协商公共密钥作为当前解密密钥解密得到第一密钥，计算第一密钥的第二Hash值；
[0025]向第一端服务器发送第二Hash值；
[0026]若接收到第一端服务器返回的第一公共密钥时，则通过第一公共密钥替换第二端服务器的当前解密密钥以及上一协商公共密钥。
[0027]在本申请一些实施方式中，还包括：
[0028]接收量子服务器发送的第二量子密钥，将第二量子密钥进行密钥重组，得到第二密钥；
[0029]将第二密钥的加密报文通过IPsec隧道发送至第一端服务器，计算第二密钥的第四Hash值；
[0030]接收第一端服务器响应第二密钥的加密报文后计算的第三Hash值，并将第三Hash值与第四Hash值进行对比；
[0031]若第三Hash值与第四Hash值相同，则通过第二密钥替换第二端服务器的当前加密密钥，并作为与第一端服务器的第二公共密钥发送至第一端服务器。
[0032]根据本申请实施例的第三个方面，提供了一种数据传输系统，包括量子服务器、第一端服务器以及第二端服务器，其中：
[0033]量子服务器，被配置为周期性接收第一端服务器周期性发送的量子密钥请求，并向第一端服务器周期性发送第一量子密钥；
[0034]第一端服务器，被配置为接收量子服务器发送的第一量子密钥，将第一量子密钥
进行密钥重组，得到第一密钥；并将第一密钥的加密报文通过IPsec隧道发送至第二端服务器；并计算第一密钥的第一Hash值；
[0035]第二端服务器，被配置为接收第一端服务器发送的加密报文，使用上一协商公共密钥作为当前解密密钥解密得到第一密钥；并计算第一密钥的第二Hash值；并向第一端服务器发送第二Hash值；
[0036]第一端服务器，被配置为接收第二端服务器响应第一密钥的加密报文后，计算第二Hash值，将第二Hash值与第一Hash值进行对比；若第一Hash值与第二Hash值相同，则通过第一密钥替换第一端服务器的当前加密密钥，并作为与第二端服务器的第一公共密钥发送至第二端服务器；
[0037]第二端服务器，被配置为若接收到第一端服务器返回的第一公共密钥时，则通过第一公共密钥替换第二端服务器的当前解密密钥以及上一协商公共密钥。
[0038]在本申请一些实施方式中，还包括：
[0039]量子服务器，被配置为周期性接收第二端服务器周期性发送的量子密钥请求，并向第二端服务器周期性发送第二量子密钥；
[0040]第二端服务器，被配置为接收量子服务器发送的第二量子密钥，将第二量子密钥进行本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种数据传输方法，其特征在于，应用于第一端服务器，包括：接收量子服务器发送的第一量子密钥，将所述第一量子密钥进行密钥重组，得到第一密钥；将所述第一密钥的加密报文通过IPsec隧道发送至第二端服务器，计算所述第一密钥的第一Hash值；接收所述第二端服务器响应第一密钥的加密报文后计算的第二Hash值，将所述第二Hash值与所述第一Hash值进行对比；若所述第一Hash值与第二Hash值相同，则通过所述第一密钥替换第一端服务器的当前加密密钥，并作为与所述第二端服务器的第一公共密钥发送至所述第二端服务器。2.根据权利要求1所述的数据传输方法，其特征在于，所述接收量子服务器发送的第一量子密钥之前，还包括：向量子服务器周期性发送量子密钥请求。3.根据权利要求1所述的数据传输方法，其特征在于，所述将所述第一量子密钥进行密钥重组，得到第一密钥，具体包括：根据第一量子密钥长度N，随机生成1至N
‑
2之间的第一随机数R1，然后随机生成1至N
‑
R1之间的第二随机数R2；截取第一量子密钥前R1位的密钥片段，将所述密钥片段插入第一量子密钥R1+R2位与R1+R2+1位之间位置，得到第一密钥。4.根据权利要求1所述的数据传输方法，其特征在于，所述将所述第一密钥以加密报文形式通过IPsec隧道发送至第二端服务器，具体采用IKEv1协议或者IKEv2协议对应的报文格式，得到加密报文。5.根据权利要求1所述的数据传输方法，其特征在于，所述第一Hash值与第二Hash值通过第一端服务器与第二端服务器使用IKE协商的Hash算法进行计算得到。6.根据权利要求1所述的数据传输方法，其特征在于，还包括：接收第二端服务器发送的加密报文，使用上一协商公共密钥作为当前解密密钥解密得到第二密钥，计算所述第二密钥的第三Hash值；向所述第二端服务器发送所述第三Hash值；若接收到第二端服务器返回的第二公共密钥时，则通过所述第二公共密钥替换第一端服务器的当前解密密钥以及上一协商公共密钥。7.根据权利要求6所述的数据传输方法，其特征在于，所述上一协商公共密钥的初始公共密钥，通过所述第一端服务器与第二端服务器基于IKE协议协商得到。8.一种数据传输方法，其特征在于，应用于第二端服务器，包括：接收第一端服务器发送的加密报文，使用上一协商公共密钥作为当前解密密钥解密得到第一密钥，计算所述第一密钥的第二Hash值；向所述第一端服务器发送所述第二Hash值；若接收到第一端服务器返回的第一公共密钥时，则通过所述第一公共密钥替换第二端服务器的当前解密密钥以及上一协商公共密钥。9.根据权利要求8所述的数据传输方法，其特征在于，还包括：接收量子服务器发送的第二量子密钥，将所述第二量子密钥进行密钥重组，得到第二密钥；
将所述第二密钥的加密报文通过IPsec隧道发送至第一端服务器，计算所述第二密钥的第四Hash值；接收所述第一端服务器响应所述第二密钥的加密报文后计算的第三Hash值，将所述第三Hash值与所述第四Hash值进行对比；若所述第三Hash值与第四Hash值相同，则通过所述第二密钥替换第二端服务器的当前加密密钥，并作为与所述第一端服务器的第二公共密钥发送至第一端服务器。10.一种数据传输系统，其特征在于，包括量子服务器、第一端服务器以及第二端服务器，其中：量子服务器，被配置为周期性接收第一端服务器周期性发送的量子密钥请求，并向所述第一端服务器周期性发送第一量子密钥；第一端服务器，被配置为接收量子服务器...

【专利技术属性】
技术研发人员：李永波，
申请(专利权)人：新华三信息安全技术有限公司，
类型：发明
国别省市：