【技术实现步骤摘要】
本申请涉及网络安全领域,更具体而言,涉及一种通信网络的国密ssl vpn协议的抗量子安全增强方法。
技术介绍
1、以量子计算为代表的算力飞跃,在安全性方面对经典密码学中的相关算法造成较大影响。可以理解地,随着大型量子计算机实现,会对经典密码学中密钥协商、加密、签名等应用产生一定影响。因而提供可抵抗量子计算攻击的密码技术成为亟待解决的问题。
技术实现思路
1、本申请提供了一种通信网络的国密ssl vpn协议的抗量子安全增强方法。
2、本申请实施方式提供一种通信网络的国密ssl vpn协议的抗量子安全增强方法,所述通信网络包括终端和网络设备,所述方法用于所述网络设备,所述方法包括:
3、自接入到所述网络设备的第一网络节点获取第一量子密钥和量子密钥标识符;
4、对所述量子密钥标识符进行后量子密码加密处理,并将经所述后量子密码加密处理的第一加密结果发送给所述终端;
5、对接收到的由所述终端发送的第二加密结果进行解密处理获得第二解密结果,所述第二加密结果根据所述第一加密结果得到;
6、根据所述第一加密结果、所述第二解密结果得到第一主密钥;
7、根据所述第一主密钥、所述第一加密结果、所述第二解密结果和所述第一量子密钥生成得到第二主密钥,以对所述网络设备和所述终端的通信进行加密。
8、如此,在网络设备和终端的通信过程中,网络设备和终端申请获得量子密钥,并利用后量子密码算法对量子密钥进行加密处理生成能够抵抗量子计算
9、在某些实施方式中,所述方法还包括:
10、通过预先建立的信道接入第一网络节点;
11、加载所述终端的安全证书或所述网络设备的安全证书。
12、如此,在与终端进行数据传输前,通过预先建立的信道接入第一网络节点,预先建立的信道能够在数据传输过程中保护数据,减少了数据传输过程中未被授权访问的风险。接着,加载终端的安全证书或网络设备的安全证书,安全证书加载完成后,将被用于建立和维持安全的通信通道,增强数据在传输过程中的安全性。
13、某些实施方式中,所述自接入到所述网络设备的第一网络节点获取第一量子密钥和量子密钥标识符,包括:
14、向所述第一网络节点发送量子密钥申请;
15、接收所述第一网络节点根据所述量子密钥申请分发的第一量子密钥和量子密钥标识符,所述量子密钥标识符由所述第一网络节点使用所述第一网络节点的识别码对第一量子密钥进行标注获得。
16、如此,向第一网络节点发送量子密钥申请。接着,量子密钥申请被通过后,接收第一网络节点根据量子密钥申请分发的第一量子密钥和量子密钥标识符,量子密钥标识符由第一网络节点利用第一网络节点的识别码对第一量子密钥进行标注获得。这样获得了第一量子密钥和量子密钥标识符,第一量子密钥可用于后续生成具有抗量子计算攻击能力的密钥,量子密钥标识符有助于使用和管理第一量子密钥。
17、在某些实施方式中,所述对所述量子密钥标识符进行后量子密码加密处理,并将经所述后量子密码加密处理的第一加密结果发送给所述终端,包括:
18、对所述量子密钥标识符和随机生成的第一随机数进行拼接处理获得第一握手消息;
19、根据所述第一握手消息和所述第一加密结果中的第一握手随机数得到第二握手消息;
20、对所述第一握手消息进行后量子密码派生处理,生成第一握手密钥;
21、对所述第一握手消息进行后量子密码加密处理,生成所述第一加密结果中的第一加密消息;
22、对所述量子密钥标识符、所述第一握手随机数和所述网络设备使用的公钥密钥交换算法对应的签名参数进行拼接处理得到第一验证消息;
23、对所述第一验证消息进行后量子密码签名处理,生成所述第一加密结果中的第一签名消息;
24、将所述第一加密结果发送给所述终端。
25、如此,将量子密钥标识符与随机生成的第一随机数进行拼接处理得到第一握手消息。接着,将第一握手消息与第一加密结果中的第一握手随机数异或,以生成第一加密结果中的第二握手消息。然后,对第二握手消息进行后量子密码派生处理以生成第一握手密钥,并对第二握手消息进行后量子密码加密处理以生成第一加密结果中的第一加密消息。将量子密钥标识符、第一握手随机数和网络设备使用的公钥密钥交换算法对应的签名参数进行拼接处理获得第一验证消息,再对第一验证消息进行后量子密码签名处理以生成第一加密结果中的第一签名消息,第一签名消息用于验证数据的真实性与完整性。最后将第一加密结果发送给终端。通过将量子密钥标识符与第一随机数拼接增加了量子密钥标识符的机密性,并且利用后量子密码算法对量子密钥标识符及其派生产物进行处理以结合量子密钥分发技术与后量子密码技术增加量子密钥标识符的复杂度。
26、在某些实施方式中,所述对接收到的由所述终端发送的第二加密结果进行解密处理获得第二解密结果,包括:
27、接收所述终端发送的所述第二加密结果,所述第二加密结果由所述终端对第一解密结果进行后量子密码加密处理得到,所述第一解密结果由所述终端对所述第一加密结果进行解密处理得到;
28、对所述第二加密结果进行解密处理得到第二解密结果,所述第二解密结果包括第二握手随机数、第四握手消息和第二签名消息。
29、如此,接收终端发送的第二加密结果,第二加密结果是由终端对第一解密结果进行加密处理得到,而第一解密结果则是由终端对第一加密结果进行解密处理得到。对第二加密结果进行解密处理得到第二解密结果,第二解密结果包括第二握手随机数、第四握手消息和第二签名消息。这样网络设备确定了与终端之间用于通信的通道的可用性,并得到了终端的密钥信息,可用这些密钥信息与网络设备的相关密钥信息结合生成安全性更高的密钥。
30、在某些实施方式中,所述方法还包括:
31、根据所述第四握手消息得到第二握手密钥;
32、根据所述第四握手消息和所述第二握手随机数得到第三握手消息和量子密钥标识符。
33、如此,根据第四握手消息得到第二握手密钥。接着,再根据第四握手消息和第二握手随机数得到第三握手消息和量子密钥标识符。这样获得第二握手密钥用于后续的密钥生成以获得具有良好抗量子计算攻击能力的密钥。
34、在某些实施方式中,所述方法还包括:
35、根据所述第二签名消息得到第二验证消息;
36、对所述第二签名消息进行后量子密码验签处理,以确认所述第二验证消息的正确性,所述第二验证消息由所述量子密钥标识符、所述第二握手随机数和所述终端使用的公钥密钥交换算法对应的密钥材料信息拼接获得。
37、如此,根据第二签名消息得到第二验证消息,再对第二签名消息本文档来自技高网...
【技术保护点】
1. 一种通信网络的国密SSL VPN协议的抗量子安全增强方法,所述通信网络包括终端和网络设备,所述方法用于所述网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述自接入到所述网络设备的第一网络节点获取第一量子密钥和量子密钥标识符,包括:
4.根据权利要求1所述的方法,其特征在于,所述对所述量子密钥标识符进行后量子密码加密处理,并将经所述后量子密码加密处理的第一加密结果发送给所述终端,包括:
5.根据权利要求1所述的方法,其特征在于,所述对接收到的由所述终端发送的第二加密结果进行解密处理获得第二解密结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
8.根据权利要求6所述的方法,其特征在于,所述第一加密结果包括第一握手密钥,所述根据所述第一主密钥、所述第一加密结果、所述第二解密结果和所述第一量子密钥生成得到第二主密钥,以对所述网络设备和所
9. 一种通信网络的国密SSL VPN协议的抗量子安全增强方法,所述通信网络包括终端和网络设备,所述方法用于所述终端,所述方法包括:
10.根据权利要求9所述的方法,其特征在于,所述第一解密结果包括第二握手消息和第一握手随机数,所述方法还包括:
11.根据权利要求9所述的方法,其特征在于,所述第一解密结果包括第一签名消息,所述方法还包括:
12.根据权利要求11所述的方法,其特征在于,所述自接入所述终端的服务节点获取第二量子密钥,包括:
13.根据权利要求10所述的方法,其特征在于,所述对所述第一解密结果进行后量子加密处理,并将经所述后量子密码加密处理的第二加密结果发送给所述网络设备,包括:
14.根据权利要求13所述的方法,其特征在于,所述第一解密结果包括第二握手消息,所述根据所述第一主密钥、所述第一解密结果、所述第二加密结果和第二量子密钥生成得到第二主密钥,以对所述网络设备和所述终端的通信进行加密,包括:
...【技术特征摘要】
1. 一种通信网络的国密ssl vpn协议的抗量子安全增强方法,所述通信网络包括终端和网络设备,所述方法用于所述网络设备,所述方法包括:
2.根据权利要求1所述的方法,其特征在于,所述方法还包括:
3.根据权利要求1所述的方法,其特征在于,所述自接入到所述网络设备的第一网络节点获取第一量子密钥和量子密钥标识符,包括:
4.根据权利要求1所述的方法,其特征在于,所述对所述量子密钥标识符进行后量子密码加密处理,并将经所述后量子密码加密处理的第一加密结果发送给所述终端,包括:
5.根据权利要求1所述的方法,其特征在于,所述对接收到的由所述终端发送的第二加密结果进行解密处理获得第二解密结果,包括:
6.根据权利要求5所述的方法,其特征在于,所述方法还包括:
7.根据权利要求5所述的方法,其特征在于,所述方法还包括:
8.根据权利要求6所述的方法,其特征在于,所述第一加密结果包括第一握手密钥,所述根据所述第一主密钥、所述第一加密结果、所述第二解密结果和所述第一量子密钥生成...
【专利技术属性】
技术研发人员:罗俊,
申请(专利权)人:中电信量子信息科技集团有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。