【技术实现步骤摘要】
基于量子密钥分发的网络通信方法、系统、装置及存储介质
[0001]本专利技术涉及通信
,尤其涉及一种基于量子密钥分发的网络通信方法、系统、装置及存储介质。
技术介绍
[0002]在信息安全领域,传统安全模型不能解决更高强度的数据攻击,零信任安全理念逐渐被提出和应用。在零信任架构下,假定人、终端、资源都是不可信的,网络边界不再决定访问权限,在访问之前所有的访问对象都必须经过动态实时的身份认证和授权,每一次资源请求都需要校验和建立信任关系。零信任安全系统基于大量的数据源对网络进行安全监测和信任评估来阻断数据攻击,解决了传统边界安全理念对已经突破边界的攻击行为防护能力有限的问题,提高了对数据攻击的发现和响应能力,但是零信任防护系统中也存在薄弱环节。
[0003]目前大多数零信任防护系统中的链路模块采用的是非对称加密算法,随着量子计算机的发展,无论是基于因子分解的RSA加密算法,还是基于椭圆曲线上离散对数的ElGamal加密算法,都可能在短时间内被量子计算机破解,所以,面对超级计算机,现有的加密算法很难保障数据的安全。
[0004]首先,零信任网络安全防护系统的网关存在端口被暴露的风险,一旦对外端口被暴露,很容易成为黑客攻击的入口,可能导致服务阻塞,严重时会导致无法进行正常的数据访问,影响网络通信。
[0005]其次,现有技术中零信任网络安全防护系统的网络链路安全性较弱,网络链路没有量子秘钥协商的加密过程,随着超级计算机的快速发展,存在网络安全防护系统被超级计算机破解的风险。
[0006 ...
【技术保护点】
【技术特征摘要】
1.一种基于量子密钥分发的网络通信方法,其特征在于,所述方法包括:运行于用户设备上的终端代理向网关发送动态端口请求;所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求;所述量子密钥分发服务器基于所述量子随机数请求生成一对量子随机数,并将所述一对量子随机数中的一个分发给所述终端代理,另一个分发给所述网关,以触发所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号;所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信,以经由所述网关从数据资源服务器获取目标数据资源。2.如权利要求1所述的方法,其特征在于,所述方法还包括:在所述终端代理向所述网关发送所述动态端口请求之前,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥。3.如权利要求2所述的方法,其特征在于,所述运行于用户设备上的终端代理向网关发送动态端口请求包括:所述终端代理在需要与所述网关进行数据通信之前生成所述动态端口请求,并使用所述公钥加密所述动态端口请求,以及将加密后的动态端口请求发送至所述网关。4.如权利要求1所述的方法,其特征在于,所述网关基于所述动态端口请求向量子密钥分发服务器发送量子随机数请求包括:所述网关基于预存的私钥解密所述动态端口请求,并基于解密出的动态端口请求生成所述量子随机数请求,并将所述量子随机数请求发送至所述量子密钥分发服务器。5.如权利要求1所述的方法,其特征在于,所述方法还包括:在所述终端代理向所述量子密钥分发服务器发送所述量子密钥请求之前,所述终端代理向所述量子密钥分发服务器发送注册认证请求;在注册认证成功之后,所述终端代理在预存的量子密钥的数量小于第一阈值时向所述量子密钥分发服务器发送所述量子密钥请求;所述量子密钥分发服务器根据所述量子密钥请求生成量子密钥,并将所述量子密钥分发给所述终端代理和所述网关。6.如权利要求5所述的方法,其特征在于,所述终端代理和所述网关基于预存的量子密钥在所述动态端口号所指示的动态端口上进行后续的数据通信包括:所述终端代理在与所述网关进行数据通信时,每传输一次数据报文时使用一个所述预存的量子密钥以加密所述数据报文,并随后将使用过的量子密钥丢弃。7.如权利要求2所述的方法,其特征在于,所述方法还包括:所述安全控制服务器通过量子感知引擎实时检测所述量子密钥分发服务器中的量子链路是否异常;在检测出发生异常时,所述安全控制服务器确定发生异常的量子链路并记录异常次数,以及判断各个量子链路的异常次数是否超过第二阈值;当一个或多个量子链路的异常次数超过第二阈值时,断开所述一个或多个量子链路。8.如权利要求2所述的方法,其特征在于,所述终端代理向安全控制服务器发送注册请求以在注册成功的情况下获得所述安全控制服务器返回的公钥包括:所述终端代理生成所述用户设备的唯一标识码,并向所述安全控制服务器发送包含所
述唯一标识码和用户设备属性信息的所述注册请求。9.如权利要求8所述的方法,其特征在于,所述方法还包括:所述安全控制服务器在接收到所述注册请求后审核其所包含的唯一标识码和用户设备属性信息,并在审核通过后将所述用户设备设置为可信任状态并向所述终端代理返回所述公钥。10.如权利要求1所述的方法,其特征在于,所述终端代理和所述网关基于接收到的量子随机数确定同一动态端口号包括:所述终端代理和所述网关分别基于预设的映射函数将接收到的量子随机数转换为所述动态端口号。11.如权利要求5所述的方法,其特征在于,所述方法还包括:所述终端代理生成所述用户设备的唯一标识码,并向所述量子密钥分发服务器发送包含所述唯一标识码和用户设备属性信息的所述注册认证请求;所述量子密钥分发服务器对接收到的所述唯一标识码和用...
【专利技术属性】
技术研发人员:张维,
申请(专利权)人:南京易科腾信息技术有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。