基于量子密钥分发的网络通信方法、系统、装置及存储介质制造方法及图纸

本发明专利技术公开了一种基于量子密钥分发的网络通信方法、系统、装置及存储介质，其中，所述方法包括：用户设备上的终端代理向网关发送动态端口请求；网关基于动态端口请求向量子密钥分发服务器发送量子随机数请求；量子密钥分发服务器基于量子随机数请求生成一对量子随机数，并将一个发给终端代理，另一个发给网关，以触发终端代理和网关基于量子随机数确定同一动态端口号；终端代理和网关在动态端口号对应的端口上进行数据通信以获取目标数据资源。本发明专利技术所提供的技术方案能够解决现有技术中零信任网络安全防护系统中加密链路容易被破解，且破解后不易被发现，导致资源被持续非法访问，以及网关的对外端口暴露后被攻击导致服务无法访问的技术问题。无法访问的技术问题。无法访问的技术问题。

【技术实现步骤摘要】
基于量子密钥分发的网络通信方法、系统、装置及存储介质


[0001]本专利技术涉及通信
，尤其涉及一种基于量子密钥分发的网络通信方法、系统、装置及存储介质。

技术介绍

[0002]在信息安全领域，传统安全模型不能解决更高强度的数据攻击，零信任安全理念逐渐被提出和应用。在零信任架构下，假定人、终端、资源都是不可信的，网络边界不再决定访问权限，在访问之前所有的访问对象都必须经过动态实时的身份认证和授权，每一次资源请求都需要校验和建立信任关系。零信任安全系统基于大量的数据源对网络进行安全监测和信任评估来阻断数据攻击，解决了传统边界安全理念对已经突破边界的攻击行为防护能力有限的问题，提高了对数据攻击的发现和响应能力，但是零信任防护系统中也存在薄弱环节。
[0003]目前大多数零信任防护系统中的链路模块采用的是非对称加密算法，随着量子计算机的发展，无论是基于因子分解的RSA加密算法，还是基于椭圆曲线上离散对数的ElGamal加密算法，都可能在短时间内被量子计算机破解，所以，面对超级计算机，现有的加密算法很难保障数据的安全。
[0004]首先，零信任网络安全防护系统的网关存在端口被暴露的风险，一旦对外端口被暴露，很容易成为黑客攻击的入口，可能导致服务阻塞，严重时会导致无法进行正常的数据访问，影响网络通信。
[0005]其次，现有技术中零信任网络安全防护系统的网络链路安全性较弱，网络链路没有量子秘钥协商的加密过程，随着超级计算机的快速发展，存在网络安全防护系统被超级计算机破解的风险。
[0006]最后，当非法访问者对网络资源进行数据攻击时，服务端无法感知加密链路何时被破解，不能及时断开链路，一旦被非法窃取密钥，资源可能持续被非法访问。
[0007]综上所述，需要一种能够保障数据安全的零信任网络安全防护系统。

技术实现思路

[0008]本专利技术提供一种基于量子密钥分发的网络通信方法、系统、装置及存储介质，旨在有效解决现有技术中零信任网络安全防护系统中无法感知加密链路是否被破解，不能及时断开链路，资源可能被持续非法访问，以及网关的对外端口暴露后被攻击导致服务无法访问的技术问题。
[0009]根据本专利技术的一方面，本专利技术提供一种基于量子密钥分发的网络通信方法，所述方法包括：运行于用户设备上的终端代理向网关发送动态端口请求；所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求；所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数，并将所
述一对量子随机数中的一个分发给所述终端代理，另一个分发给所述网关，以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号；所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信，以经由所述网关从数据资源服务器获取目标数据资源。
[0010]进一步地，所述方法还包括：在所述终端代理向所述网关发送所述动态端口请求之前，所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。
[0011]进一步地，所述运行于用户设备上的终端代理向网关发送动态端口请求包括：所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求，并使用所述公钥加密所述动态端口请求，以及将加密后的动态端口请求发送至所述网关。
[0012]进一步地，所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括：所述网关基于预存的私钥解密所述动态端口请求，并基于解密出的动态端口请求生成所述量子随机数请求，并将所述量子随机数请求发送至所述量子密钥分发服务器。
[0013]进一步地，所述方法还包括：在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前，所述终端代理向所述量子密钥分发服务器发送注册认证请求；在注册认证成功之后，所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求；所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥，并将所述量子密钥分发给所述终端代理和所述网关。
[0014]进一步地，所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括：所述终端代理在与所述网关进行数据通信时，每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文，并随后将使用过的量子密钥丢弃。
[0015]进一步地，所述方法还包括：所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常；在检测出发生异常时，所述安全控制服务器确定发生异常的量子链路并记录异常次数，以及判断各个量子链路的异常次数是否超过第二阈值；当一个或多个量子链路的异常次数超过第二阈值时，断开所述一个或多个量子链路。
[0016]进一步地，所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括：所述终端代理生成所述用户设备的唯一标识码，并向所述安全控制服务器发送包含所述唯一标识码和用户设备属性信息的所述注册请求。
[0017]进一步地，所述方法还包括：所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息，并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返
回所述公钥。
[0018]进一步地，所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括：所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。
[0019]进一步地，所述方法还包括：所述终端代理生成所述用户设备的唯一标识码，并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求；所述量子密钥分发服务器对接收到的所述唯一标识码和用户设备属性信息进行审核，并在审核通过后将所述注册认证请求中包含的信息存储到本地数据库。
[0020]根据本专利技术的另一方面，本专利技术还提供了一种基于量子密钥分发的通信方法，用于用户设备，其特征在于，所述方法包括：运行于所述用户设备上的终端代理向网关发送动态端口请求，以触发所述网关向量子密钥分发服务器发送量子随机数请求；接收所述量子密钥分发服务器分发的量子随机数，并基于接收到的所述量子随机数确定动态端口号；基于预存的量子密钥在所述动态端口号所指示的动态端口上与所述网关进行后续的数据通信，以经由所述网关从数据资源服务器获取目标数据资源。
[0021]根据本专利技术的另一方面，本专利技术还提供了一种基于量子密钥分发的通信方法，用于网关，其特征在于，所述方法包括：接收运行于用户设备上的终端代理所发送的动态端口请求；基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求；接收所述量子密钥分发服务器分发的量子随机数，并基于接收到的所述量子随机数确定动态端口号；开启所述动态端口号所指示的动态端口，并在所开启的动态端口上与所述终端代理进行后续的数据通信，以协助所述终端代理从数据资源服务器获取目标数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于量子密钥分发的网络通信方法，其特征在于，所述方法包括：运行于用户设备上的终端代理向网关发送动态端口请求；所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求；所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数，并将所述一对量子随机数中的一个分发给所述终端代理，另一个分发给所述网关，以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号；所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信，以经由所述网关从数据资源服务器获取目标数据资源。2.如权利要求1所述的方法，其特征在于，所述方法还包括：在所述终端代理向所述网关发送所述动态端口请求之前，所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。3.如权利要求2所述的方法，其特征在于，所述运行于用户设备上的终端代理向网关发送动态端口请求包括：所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求，并使用所述公钥加密所述动态端口请求，以及将加密后的动态端口请求发送至所述网关。4.如权利要求1所述的方法，其特征在于，所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括：所述网关基于预存的私钥解密所述动态端口请求，并基于解密出的动态端口请求生成所述量子随机数请求，并将所述量子随机数请求发送至所述量子密钥分发服务器。5.如权利要求1所述的方法，其特征在于，所述方法还包括：在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前，所述终端代理向所述量子密钥分发服务器发送注册认证请求；在注册认证成功之后，所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求；所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥，并将所述量子密钥分发给所述终端代理和所述网关。6.如权利要求5所述的方法，其特征在于，所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括：所述终端代理在与所述网关进行数据通信时，每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文，并随后将使用过的量子密钥丢弃。7.如权利要求2所述的方法，其特征在于，所述方法还包括：所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常；在检测出发生异常时，所述安全控制服务器确定发生异常的量子链路并记录异常次数，以及判断各个量子链路的异常次数是否超过第二阈值；当一个或多个量子链路的异常次数超过第二阈值时，断开所述一个或多个量子链路。8.如权利要求2所述的方法，其特征在于，所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括：所述终端代理生成所述用户设备的唯一标识码，并向所述安全控制服务器发送包含所
述唯一标识码和用户设备属性信息的所述注册请求。9.如权利要求8所述的方法，其特征在于，所述方法还包括：所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息，并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返回所述公钥。10.如权利要求1所述的方法，其特征在于，所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括：所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。11.如权利要求5所述的方法，其特征在于，所述方法还包括：所述终端代理生成所述用户设备的唯一标识码，并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求；所述量子密钥分发服务器对接收到的所述唯一标识码和用...

【专利技术属性】
技术研发人员：张维，
申请(专利权)人：南京易科腾信息技术有限公司，
类型：发明
国别省市：