System.ArgumentOutOfRangeException: 索引和长度必须引用该字符串内的位置。 参数名: length 在 System.String.Substring(Int32 startIndex, Int32 length) 在 zhuanliShow.Bind() 一种全域量子安全虚拟专网的组网方法及系统技术方案_技高网
当前位置: 首页 > 专利查询>矩阵时光数字科技有限公司专利>正文

一种全域量子安全虚拟专网的组网方法及系统技术方案

技术编号:43813679 阅读:4 留言:0更新日期:2024-12-27 13:28
本申请公开了一种全域量子安全虚拟专网的组网方法及系统,所述组网方法包含以下步骤:第一边界基站与第二边界基站通过互联网建立连接,并同步原始密钥文件;第一边界基站与至少一个接入基站分别通过局域网建立连接,第二边界基站与至少一个接入基站分别通过局域网建立连接;接入基站接收至少一个客户端的接入请求,基于接入请求,确定客户端是否满足组网接入条件,响应于确定客户端满足组网接入条件,同意接入请求;接入基站基于同意接入请求的指示,通过互联网与客户端建立连接;接入基站为接入的客户端分发通信密钥。本发明专利技术所涉及的组网方法及组网系统提供一个安全的虚拟专网以解决通信安全问题以及通信隔离问题。

全部详细技术资料下载

【技术实现步骤摘要】

本专利技术涉及通信,具体涉及一种全域量子安全虚拟专网的组网方法及系统


技术介绍

1、虚拟专用网络,简称虚拟专网(vpn),其主要功能是在公用网络上建立专用网络,进行加密通讯。在企业网络中有广泛应用。vpn网关通过对数据包的加密和数据包目标地址的转换实现远程访问。

2、根据申请号为201910683782.6的专利《虚拟专网的调度方法和系统》中所述的:“边缘节点之间可以直接通信,并且通过一次寻址到达目标地址,从而可以提高虚拟专网中边缘节点之间的通信速度以及网络寻址速度。”可见,虚拟专网中的通信依赖于地址信息,在该专利中地址使用的是物理地址mac地址。由于通信依赖于地址信息,所以地址信息需要公开才能被寻址到,这在数据传输的过程中会被直接暴露,给了不法用户仿冒截取地址信息以仿冒具有该地址的伪造设备,从而截获本应发给具有该地址的正常设备的数据,产生安全风险。

3、另外,两个不同的虚拟专网a和b之间是相互隔离的,虚拟专网a和虚拟专网b均使用各自的内网地址,这就使得虚拟专网a和b之间是无法直接使用内网地址进行通信的。

4、综上,目前的虚拟专网依赖于已被公开的地址信息进行通信的方法造成了该虚拟专网容易被入侵、数据容易被窃取的风险;并且不同虚拟专网之间的隔离使得隶属于不同专网之间的两个设备通信困难。有鉴于此,当前需要一个安全的虚拟专网解决通信安全的问题以及通信隔离的问题。


技术实现思路

1、专利技术目的:本专利技术目的是提供一种全域量子安全虚拟专网的组网方法及系统以解决现有技术中存在的问题。

2、技术方案:本专利技术提供一种全域量子安全虚拟专网的组网方法,所述组网方法的参与方包括第一边界基站、接入基站、客户端、第二边界基站,所述组网方法包含以下步骤:

3、步骤1:第一边界基站与第二边界基站通过互联网建立连接,并同步原始密钥文件;

4、步骤2:第一边界基站与至少一个接入基站分别通过局域网建立连接,第二边界基站与至少一个接入基站分别通过局域网建立连接,接入基站从第一边界基站或第二边界基站中获取通信密钥;

5、步骤3:接入基站接收至少一个客户端的接入请求,基于所述接入请求,确定所述客户端是否满足组网接入条件,响应于确定所述客户端满足组网接入条件,同意所述接入请求;响应于确定所述客户端不满足组网接入条件,拒绝所述接入请求;

6、步骤4:接入基站基于同意接入请求的指示,通过互联网与所述客户端建立连接;

7、步骤5:接入基站为接入的客户端分发通信密钥。

8、作为本专利技术的一种改进,所述第一边界基站的内部或外部配置有第一真随机数发生器,所述第二边界基站的内部或外部配置有第二真随机数发生器;在所述步骤1中,所述同步原始密钥文件的具体过程为:

9、1-1:第一边界基站基于第一真随机数发生器产生第一组密钥,形成长度为n的第一密钥文件;第二边界基站基于第二真随机数发生器产生第二组密钥,形成长度为n的第二密钥文件;其中,第一密钥文件和第二密钥文件均为量子密钥;

10、1-2:第一边界基站将第一密钥文件加密发送给第二边界基站,第二边界基站将第二密钥文件加密发送给第一边界基站;

11、1-3:第一边界基站针对第一密钥文件和第二密钥文件执行异或操作,得到并保存第三密钥文件;第二边界基站针对第二密钥文件和第一密钥文件执行异或操作,得到并保存与第三密钥文件相同的第四密钥文件;其中,所述第三密钥文件和第四密钥文件为边界基站为接入基站提供的原始密钥文件。

12、作为本专利技术的一种改进,所述第一边界基站或第二边界基站中设置有密钥剩余量阈值,当原始密钥文件的大小低于密钥剩余量阈值时,重复执行步骤1-1至1-3。

13、作为本专利技术的一种改进,在所述步骤3中,所述满足组网接入条件的客户端具有通信区、隔离区、安全区,其中,通信区设置有通信代理,用于客户端与外界进行通信,接收或发送数据;隔离区设置于通信区和安全区之间,用于连接通信区和安全区,设置有解密单元、加密单元、和应答单元,解密单元用于对从通信区接收到的数据进行解密,加密单元用于对从安全区发送出的数据进行加密,应答单元用于验证问询语句的数据格式,并对问询作出反馈;安全区设置有信息处理单元和密钥单元,信息处理单元用于进行客户端中的数据处理过程,密钥单元用于存储接入基站分发的通信密钥;其中,所述通信区的通信代理与隔离区的解密单元、加密单元分别连接,隔离区的解密单元与安全区的信息处理单元、密钥单元分别连接,隔离区的加密单元与安全区的信息处理单元、密钥单元分别连接,隔离区的解密单元还与隔离区的应答单元连接。

14、作为本专利技术的一种改进,在所述步骤3中,所述基于所述接入请求,确定所述客户端是否满足组网接入条件的具体过程为:

15、3-1:接入基站基于客户端的接入请求,向客户端发出问询q,并与客户端协商一组通信密钥k,使用所述通信密钥k加密问询q,得到密文q⊕k,其中,所述问询q的数据格式为具备安全区的客户端所认可的数据格式,且所述问询q的接收对象为隔离区的应答单元;

16、3-2:客户端的通信代理将接收的密文q⊕k传输至隔离区的解密单元进行解密,得到问询q,从解密得到的问询q中获得问询的接收对象;

17、3-3:解密单元基于问询的接收对象将所述问询q发送至应答单元;

18、3-4:应答单元对所述问询q进行数据格式的验证,响应于验证通过,应答单元响应所述问询,反馈此次问询结果为是,确定所述客户端满足组网接入条件,同意所述接入请求;响应于验证不通过,应答单元拒绝响应该问询,反馈此次问询结果为空,确定所述客户端不满足组网接入条件,拒绝所述接入请求,所述客户端重新向所述接入基站发起接入请求。

19、作为本专利技术的一种改进,所述步骤5的具体过程为:

20、5-1:接入基站向第一边界基站或第二边界基站请求密钥,第一边界基站或第二边界基站响应所述请求,从存储的第三密钥文件或第四密钥文件中选取一部分发送给接入基站作为接入基站的种子密钥;

21、5-2:接入基站监测到与所述客户端建立连接后,确定所述客户端中密钥单元的存储大小;

22、5-3:接入基站基于步骤5-2中的客户端中密钥单元的存储大小针对种子密钥执行扩充算法,得到满足存储大小的扩充密钥文件;

23、5-4:接入基站将扩充密钥文件加密发送给所述客户端;

24、5-5:所述客户端的通信代理接收加密后的扩充密钥文件,将接收到的加密后的扩充密钥文件转发至隔离区的解密单元进行解密,解密单元将解密得到的扩充密钥文件传输至安全区的密钥单元进行存储。

25、作为本专利技术的一种改进,还提供一种全域量子安全虚拟专网的组网系统,所述组网系统采用如上文所述的全域量子安全虚拟专网的组网方法构建,所述组网系统包括经由互联网连接的第一边界基站和第二边界基站,以及与第一边界基站通过局域网相连接的至少一个接入基站、与第二边界本文档来自技高网...

【技术保护点】

1.一种全域量子安全虚拟专网的组网方法,其特征在于,所述组网方法的参与方包括第一边界基站、接入基站、客户端、第二边界基站,所述组网方法包含以下步骤:

2.根据权利要求1所述的全域量子安全虚拟专网的组网方法,其特征在于,所述第一边界基站的内部或外部配置有第一真随机数发生器,所述第二边界基站的内部或外部配置有第二真随机数发生器;在所述步骤1中,所述同步原始密钥文件的具体过程为:

3.根据权利要求2所述的全域量子安全虚拟专网的组网方法,其特征在于,所述第一边界基站或第二边界基站中设置有密钥剩余量阈值,当原始密钥文件的大小低于密钥剩余量阈值时,重复执行步骤1-1至1-3。

4.根据权利要求2所述的全域量子安全虚拟专网的组网方法,其特征在于,在所述步骤3中,所述满足组网接入条件的客户端具有通信区、隔离区、安全区,其中,通信区设置有通信代理,用于客户端与外界进行通信,接收或发送数据;隔离区设置于通信区和安全区之间,用于连接通信区和安全区,设置有解密单元、加密单元、和应答单元,解密单元用于对从通信区接收到的数据进行解密,加密单元用于对从安全区发送出的数据进行加密,应答单元用于验证问询语句的数据格式,并对问询作出反馈;安全区设置有信息处理单元和密钥单元,信息处理单元用于进行客户端中的数据处理过程,密钥单元用于存储接入基站分发的通信密钥;其中,所述通信区的通信代理与隔离区的解密单元、加密单元分别连接,隔离区的解密单元与安全区的信息处理单元、密钥单元分别连接,隔离区的加密单元与安全区的信息处理单元、密钥单元分别连接,隔离区的解密单元还与隔离区的应答单元连接。

5.根据权利要求4所述的全域量子安全虚拟专网的组网方法,其特征在于,在所述步骤3中,所述基于所述接入请求,确定所述客户端是否满足组网接入条件的具体过程为:

6.根据权利要求4所述的全域量子安全虚拟专网的组网方法,其特征在于,所述步骤5的具体过程为:

7.一种全域量子安全虚拟专网的组网系统,所述组网系统采用如权利要求1至6中任一项所述的全域量子安全虚拟专网的组网方法构建,其特征在于,所述组网系统包括经由互联网连接的第一边界基站和第二边界基站,以及与第一边界基站通过局域网相连接的至少一个接入基站、与第二边界基站通过局域网相连接的至少一个接入基站,以及与接入基站连接的至少一个客户端;

8.根据权利要求7所述的全域量子安全虚拟专网的组网系统,其特征在于,所述第一边界基站和第二边界基站的内部或外部分别配置有相对应的第一真随机数发生器和第二真随机数发生器,以生成原始密钥文件、并为相应的接入基站提供种子密钥。

9.根据权利要求7所述的全域量子安全虚拟专网的组网系统,其特征在于,所述第一边界基站和/或所述第二边界基站与多个接入基站对应连接,每个接入基站接入有至少一个客户端,每个接入基站和与其接入的至少一个客户端构成一个用户组。

10.根据权利要求7至9中任一项所述的全域量子安全虚拟专网的组网系统,其特征在于,除第一边界基站和第二边界基站外,所述组网系统包括与第一边界基站和第二边界基站功能相同的其他边界基站。

...

【技术特征摘要】

1.一种全域量子安全虚拟专网的组网方法,其特征在于,所述组网方法的参与方包括第一边界基站、接入基站、客户端、第二边界基站,所述组网方法包含以下步骤:

2.根据权利要求1所述的全域量子安全虚拟专网的组网方法,其特征在于,所述第一边界基站的内部或外部配置有第一真随机数发生器,所述第二边界基站的内部或外部配置有第二真随机数发生器;在所述步骤1中,所述同步原始密钥文件的具体过程为:

3.根据权利要求2所述的全域量子安全虚拟专网的组网方法,其特征在于,所述第一边界基站或第二边界基站中设置有密钥剩余量阈值,当原始密钥文件的大小低于密钥剩余量阈值时,重复执行步骤1-1至1-3。

4.根据权利要求2所述的全域量子安全虚拟专网的组网方法,其特征在于,在所述步骤3中,所述满足组网接入条件的客户端具有通信区、隔离区、安全区,其中,通信区设置有通信代理,用于客户端与外界进行通信,接收或发送数据;隔离区设置于通信区和安全区之间,用于连接通信区和安全区,设置有解密单元、加密单元、和应答单元,解密单元用于对从通信区接收到的数据进行解密,加密单元用于对从安全区发送出的数据进行加密,应答单元用于验证问询语句的数据格式,并对问询作出反馈;安全区设置有信息处理单元和密钥单元,信息处理单元用于进行客户端中的数据处理过程,密钥单元用于存储接入基站分发的通信密钥;其中,所述通信区的通信代理与隔离区的解密单元、加密单元分别连接,隔离区的解密单元与安全区的信息处理单元、密钥单元分别连接,隔离区的加密单元与安全区的信息处理单元、密钥...

【专利技术属性】
技术研发人员:朱梦雅汪慧
申请(专利权)人:矩阵时光数字科技有限公司
类型:发明
国别省市:

全部详细技术资料下载 我是这个专利的主人
相关技术
网友询问留言 已有0条评论

  • 还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。

1
发布您的意见
相关领域技术

关于我们 | 联系我们 | 支付方式

Copyright © 2018 All Rights Reserved.

津ICP备16005673号-1 津公网安备 12019202000132号 技高德科技(天津)有限公司版权所有