【技术实现步骤摘要】
本专利技术涉及信息安全,特别涉及一种通信数据传输方法、装置、设备及存储介质。
技术介绍
1、ipsec(internet protocol security,互联网安全协议)协议是构建虚拟专用网络vpn(virtual private network,虚拟专用网络)的重要技术之一,是一组基于网络层和应用密码学的安全通信协议族,通过在特定通信方之间建立ipsec隧道,使用公钥密码、对称密码和杂凑密码等技术手段,为网络通信数据提供机密性、真实性和完整性的安全保障。而量子计算的快速发展和shor、grover等量子算法的提出对现役密码学带了极大的威胁和挑战,导致现役国产公钥密码算法sm2、sm9等可能被破解,现役对称及哈希算法sm3、sm4等安全性减半。国际后量子密码算法标准化工作的实质性进展加速推进了后量子密码迁移的工作。而建立在现役国产商用密码算法的协议会因为量子计算攻击而失去其安全价值,因此协议需逐步过渡到量子安全的密码算法上来,同时具备向后续密码技术迁移更新的能力。
2、国密ipsec协议总体参考及遵循国际ipsec协议的规范,但仍存在符合商用密码技术的特点。国际上ipsec协议的后量子密码迁移已有较多的尝试和实践,但是针对国密ipsec协议的量子安全增强方法还尚未明确。
技术实现思路
1、有鉴于此,本专利技术的目的在于提供一种通信数据传输方法、装置、设备及存储介质,能够实现国密互联网安全协议的量子安全增强。其具体方案如下:
2、第一方面,本申请公开了一种
3、通过发起方将基于前量子密码算法、后量子密码算法以及用于对密钥交换协议的混合模式进行建议的载荷确定的第一安全联盟载荷发送至响应方,以便所述响应方基于所述第一安全联盟载荷向发起方发送用于确定目标混合模式的第二安全联盟载荷;所述前量子密码算法为sm2算法;
4、若所述目标混合模式为预设拼接混合模式,则通过所述响应方将前量子双证书和后量子双证书发送至所述发起方,若所述目标混合模式为预设嵌套混合模式,则通过所述响应方将前后量子混合双证书发送至所述发起方;所述前后量子混合双证书为将所述前量子双证书与所述后量子双证书混合后得到的双证书;
5、通过通信双方基于自身本地的双证书以及互相发送的交换数据进行所述通信双方的身份鉴别以及自身目标密钥参数的生成,并在鉴别成功后,对所述通信双方分别对应的所述目标密钥参数进行校验;
6、若所述目标密钥参数校验成功,则基于所述目标密钥参数、后量子对称密码算法以及后量子哈希密码算法进行密钥交换,以确定会话密钥,根据安全报文协议以及所述会话密钥进行所述通信双方之间的通信数据传输。
7、可选的,所述前量子双证书包括sm2加密证书和sm2数字签名证书;所述后量子双证书包括后量子数字签名证书和后量子密钥封装证书;所述前后量子混合双证书包括所述前量子双证书和所述后量子双证书混合后得到的数字签名证书和加密密钥封装证书。
8、可选的,所述通过通信双方基于自身本地的双证书以及互相发送的交换数据进行所述通信双方的身份鉴别以及自身目标密钥参数的生成,包括:
9、通过所述通信双方基于自身本地的双证书对互相发送的交换数据分别进行解密验签计算,获取相应的计算结果;
10、将所述通信双方各自获取的计算结果分别与自身本地的预设数据进行对比;
11、若所述通信双方各自对应的计算结果均与自身本地的预设数据相同,则完成对所述通信双方的身份鉴别,并通过所述通信双方基于自身本地的双证书、所述交换数据以及前量子密码算法和/或后量子密码算法各自生成相应的目标密钥参数;
12、否则,直接结束。
13、可选的,所述对所述通信双方分别对应的所述目标密钥参数进行校验,包括:
14、通过所述发起方利用所述后量子哈希密码算法对所述发起方对应的目标密钥参数进行哈希载荷计算,以得到第一哈希值,并基于后量子对称密码算法将所述第一哈希值加密发送至所述响应方;
15、通过所述响应方利用所述后量子哈希密码算法对所述响应方对应的目标密钥参数进行哈希载荷计算,以得到第二哈希值,并基于所述后量子对称密码算法将所述第二哈希值加密发送至所述发起方;
16、在所述通信双方各自收到对方发送的哈希值后,将所述第一哈希值与所述第二哈希值进行对比;
17、若所述通信双方的第一哈希值均与第二哈希值相等,则所述目标密钥参数校验成功。
18、可选的,所述对所述通信双方分别对应的所述目标密钥参数进行校验之后,还包括:
19、若所述通信双方的第一哈希值与第二哈希值不相等,则发送报错信息,并直接结束。
20、可选的,所述根据安全报文协议以及所述会话密钥进行所述通信双方之间的通信数据传输之前,还包括:
21、通过所述通信双方之间的数据交换完成参数以及安全策略的协商,以便基于所述参数以及安全策略进行所述通信双方之间的通信数据传输;所述安全策略包括加密算法、封装协议、封装模式以及密钥有限期中任意一种或几种的组合。
22、可选的,所述根据安全报文协议以及所述会话密钥进行所述通信双方之间的通信数据传输,包括:
23、对所述目标密钥参数进行衍生,以确定加密密钥以及完整性密钥;
24、通过所述加密密钥确定认证头协议,并基于所述完整性密钥确定封装安全载荷协议;
25、确定预先协商的所述安全报文协议;
26、若所述安全报文协议为所述认证头协议,则基于后量子对称密码算法以及所述会话密钥进行所述通信双方之间的通信数据传输;
27、若所述安全报文协议为所述封装安全载荷协议,则基于后量子哈希密码算法以及所述会话密钥进行所述通信双方之间的通信数据传输;
28、若所述安全报文协议为所述认证头协议和所述封装安全载荷协议,则基于所述后量子对称密码算法、所述后量子哈希密码算法以及所述会话密钥进行所述通信双方之间的通信数据传输。
29、第二方面,本申请公开了一种通信数据传输装置,包括:
30、安全联盟载荷发送模块,用于通过发起方将基于前量子密码算法、后量子密码算法以及用于对密钥交换协议的混合模式进行建议的载荷确定的第一安全联盟载荷发送至响应方,以便所述响应方基于所述第一安全联盟载荷向发起方发送用于确定目标混合模式的第二安全联盟载荷;所述前量子密码算法为sm2算法;
31、证书发送模块,用于若所述目标混合模式为预设拼接混合模式,则通过所述响应方将前量子双证书和后量子双证书发送至所述发起方,若所述目标混合模式为预设嵌套混合模式,则通过所述响应方将前后量子混合双证书发送至所述发起方;所述前后量子混合双证书为将所述前量子双证书与所述后量子双证书混合后得到的双证书;
32、身份鉴别模块,用于通过通信双方基于自身本地的双证书以及互相发送的交换数据进行所述通信双方的身份鉴别以及自身目标密钥参数本文档来自技高网...
【技术保护点】
1.一种通信数据传输方法,其特征在于,包括:
2.根据权利要求1所述的通信数据传输方法,其特征在于,所述前量子双证书包括SM2加密证书和SM2数字签名证书;所述后量子双证书包括后量子数字签名证书和后量子密钥封装证书;所述前后量子混合双证书包括所述前量子双证书和所述后量子双证书混合后得到的数字签名证书和加密密钥封装证书。
3.根据权利要求1所述的通信数据传输方法,其特征在于,所述通过通信双方基于自身本地的双证书以及互相发送的交换数据进行所述通信双方的身份鉴别以及自身目标密钥参数的生成,包括:
4.根据权利要求1所述的通信数据传输方法,其特征在于,所述对所述通信双方分别对应的所述目标密钥参数进行校验,包括:
5.根据权利要求4所述的通信数据传输方法,其特征在于,所述对所述通信双方分别对应的所述目标密钥参数进行校验之后,还包括:
6.根据权利要求1所述的通信数据传输方法,其特征在于,所述根据安全报文协议以及所述会话密钥进行所述通信双方之间的通信数据传输之前,还包括:
7.根据权利要求1至6任一项所述的通信数据传输方
8.一种通信数据传输装置,其特征在于,包括:
9.一种电子设备,其特征在于,包括:
10.一种计算机可读存储介质,其特征在于,用于保存计算机程序,所述计算机程序被处理器执行时实现如权利要求1至7任一项所述的通信数据传输方法。
...【技术特征摘要】
1.一种通信数据传输方法,其特征在于,包括:
2.根据权利要求1所述的通信数据传输方法,其特征在于,所述前量子双证书包括sm2加密证书和sm2数字签名证书;所述后量子双证书包括后量子数字签名证书和后量子密钥封装证书;所述前后量子混合双证书包括所述前量子双证书和所述后量子双证书混合后得到的数字签名证书和加密密钥封装证书。
3.根据权利要求1所述的通信数据传输方法,其特征在于,所述通过通信双方基于自身本地的双证书以及互相发送的交换数据进行所述通信双方的身份鉴别以及自身目标密钥参数的生成,包括:
4.根据权利要求1所述的通信数据传输方法,其特征在于,所述对所述通信双方分别对应的所述目标密钥参数进行校验,包括:
5.根据权利要求...
【专利技术属性】
技术研发人员:张小青,李文华,王良成,黄妙,
申请(专利权)人:中电科网络安全科技股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。