【技术实现步骤摘要】
本专利技术涉及量子加密通信,特别是一种支持后量子算法的ssl vpn远程访问方法、系统及相关装置。
技术介绍
1、vpn全称为虚拟私人网络(virtual private network),常用于连接中、大型企业或团体间私人网络的通讯方法,比如多地办公的公司,可以使用vpn将不同地区连接在同一内网下;或者在家办公的时候也可以通过vpn接入公司内网中。
2、当用户在外部网络想要使用vpn与内部网络的目标服务器进行数据交互时,vpn客户端会在用户和vpn服务器之间建立一个加密的连接,这个连接被称为vpn隧道。该隧道通过使用加密协议将用户的数据包加密,确保数据在传输过程中的安全性。在vpn隧道中,用户的数据包会被封装在新的数据包中,并在发送到目标服务器之前进行加密。一旦数据到达vpn服务器,vpn服务器会解密用户的数据包,并将其发送到目标服务器。在返回数据时,vpn服务器再将数据包加密,通过隧道传输给用户。这样,用户和目标服务器之间的通信就能够在公共网络上被保护起来,第三方无法窃听或截取用户的数据。
3、目前用户和目标服务器之间的通信都是使用经典算法进行保护,未来难以抵抗量子计算机的攻击。
技术实现思路
1、本专利技术的目的是提供一种支持后量子算法的ssl vpn远程访问方法、系统及相关装置,以解决现有技术中的技术问题,它能够提供抗量子保护。
2、第一方面,本专利技术提供了一种支持后量子算法的ssl vpn远程访问方法,应用于客户端,以使得所述客户端通
3、与vpn服务器建立pqc安全信道,以协商确定密钥和身份认证;
4、使用协商好的加密密钥对原始数据进行加密,将加密后的数据发送给所述vpn服务器;
5、加密后的数据被vpn服务器使用协商好的解密密钥进行解密后发送至目标服务器。
6、如上所述的一种支持后量子算法的ssl vpn远程访问方法,其中,优选的是,所述客户端与vpn服务器建立pqc安全信道,以协商确定密钥和身份认证,包括:
7、向所述vpn服务器发送第一随机数、会话id、支持的协议版本以及支持的算法种类;
8、接收所述vpn服务器发送的第一后量子算法公钥、第二随机数、会话id、被选中的协议版本以及被选中的算法,以确认所述客户端与所述vpn服务器基于相同的参数进行通信;
9、获取来自于所述vpn服务器发送的服务端签名,所述服务端签名为所述vpn服务器利用第二后量子算法私钥对vpn服务器信息进行签名得到;
10、使用内置的第二后量子算法公钥验证服务端签名,确认vpn服务器身份;
11、使用第一后量子算法公钥封装出预主密钥和预主密钥的密文,保留预主密钥,使用第一随机数、第二随机数和所述预主密钥生成主密钥,并根据所述主密钥派生出会话密钥,然后发送密文给vpn服务器;
12、在所述密文被vpn服务器解密后,所述会话密钥也被所述vpn服务器生成,所述客户端与所述vpn服务器互相验证双方的会话密钥,所述会话密钥被验证成功后,所述客户端使用所述会话密钥与所述vpn服务器进行加密通信。
13、如上所述的一种支持后量子算法的ssl vpn远程访问方法,其中,优选的是,所述客户端与vpn服务器建立pqc安全信道,以协商确定密钥和身份认证,包括:
14、向所述vpn服务器发送第一随机数、会话id、支持的协议版本以及支持的算法种类;
15、接收所述vpn服务器发送的第二随机数、会话id、被选中的协议版本以及被选中的算法,以确认所述客户端与所述vpn服务器基于相同的参数进行通信;
16、使用第一后量子算法公钥封装出预主密钥和预主密钥的密文,保留预主密钥,使用第一随机数、第二随机数和所述预主密钥生成主密钥,并根据所述主密钥派生出会话密钥,然后发送密文给vpn服务器;
17、在所述密文被vpn服务器解密后,所述会话密钥也被所述vpn服务器生成,所述客户端与所述vpn服务器互相验证双方的会话密钥,所述会话密钥被验证成功后,所述客户端使用所述会话密钥与所述vpn服务器进行加密通信。
18、如上所述的一种支持后量子算法的ssl vpn远程访问方法,其中,优选的是,
19、所述会话密钥也被所述vpn服务器生成;
20、所述客户端与所述vpn服务器各自构造一个finished信息,所述finished信息包括会话密钥、固定字符串以及握手信息的哈希值,所述客户端和所述vpn服务器使用所述会话密钥对所述finished消息进行加密;
21、加密后的finished消息被发送给对方,接收方使用会话密钥解密收到的finished消息,接收方计算finished消息的理论上包含的哈希值,并与解密后的finished消息中的哈希值进行比较,如果哈希值匹配,说明发送方使用的是正确的会话密钥,且握手消息没有被篡改;
22、如果finished消息验证成功,所述客户端与所述服务器端使用所述会话密钥进行加密通信。
23、如上所述的一种支持后量子算法的ssl vpn远程访问方法,其中,优选的是,所述客户端支持的算法采用以下任一项:
24、后量子算法;
25、国密算法;
26、国际经典算法;
27、基于所述后量子算法与所述国密算法的第一混合算法;
28、基于所述后量子算法与所述国际经典算法的第二混合算法;
29、基于所述国密算法和所述国际经典算法的第三混合算法;
30、基于所述后量子算法、所述国密算法和所述国际经典算法的第四混合算法。
31、如上所述的一种支持后量子算法的ssl vpn远程访问方法,其中,优选的是,所述第一后量子算法为后量子密码封装算法,所述第二后量子算法为后量子密码签名算法。
32、第二方面,本专利技术提供了一种ssl vpn远程访问系统,包括客户端、vpn服务器以及目标服务器,所述客户端具有依次信号连接的应用程序、第一vpn功能模块以及第一网络接口,所述vpn服务器具有依次信号连接的第二网络接口、第二vpn功能模块以及转发模块,所述目标服务器具有多个业务模块,其中:
33、所述应用程序发送原始数据至所述第一vpn功能模块,所述第一vpn功能模块与所述第二vpn功能模块建立pqc安全信道,以协商确定密钥;所述第一vpn功能模块使用协商好的加密密钥对原始数据进行加密,加密数据由所述第一vpn模块发送给所述第一网络接口;
34、所述第二网络接口接收所述第一网络接口发送的加密数据后,加密数据被传递至所述第二vpn功能模块,所述第二vpn功能模块使用协商好的解密密钥对加密数据进行解密,并发送给所述转发模块,所述转发模块将解密数据转发到所述目标服务器的对应的所述业务模块。
35、如上所述的一种ssl vpn远本文档来自技高网...
【技术保护点】
1.一种支持后量子算法的SSL VPN远程访问方法,其特征在于:应用于客户端,以使得所述客户端通过VPN服务器远程访问目标服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于:所述客户端与VPN服务器建立PQC安全信道,以协商确定密钥和身份认证,包括:
3.根据权利要求2所述的方法,其特征在于:所述客户端与VPN服务器建立PQC安全信道,以协商确定密钥和身份认证,包括:
4.根据权利要求2或3所述的方法,其特征在于:
5.根据权利要求2或3所述的方法,其特征在于:所述客户端支持的算法采用以下任一项:
6.根据权利要求2所述的方法,其特征在于:所述第一后量子算法为后量子密码封装算法,所述第二后量子算法为后量子密码签名算法。
7.一种SSL VPN远程访问系统,其特征在于,包括客户端、VPN服务器以及目标服务器,所述客户端具有依次信号连接的应用程序、第一VPN功能模块以及第一网络接口,所述VPN服务器具有依次信号连接的第二网络接口、第二VPN功能模块以及转发模块,所述目标服务器具有多个业务模块,其中:
8.一种SSL VPN远程访问系统,其特征在于,所述第一VPN功能模块与所述第二VPN功能模块建立PQC安全信道,包括:
9.一种电子设备,包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序,其特征在于,所述处理器执行所述计算机程序时实现权利要求1至6任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质存储有执行权利要求1至6任一项所述的方法。
...【技术特征摘要】
1.一种支持后量子算法的ssl vpn远程访问方法,其特征在于:应用于客户端,以使得所述客户端通过vpn服务器远程访问目标服务器,所述方法包括:
2.根据权利要求1所述的方法,其特征在于:所述客户端与vpn服务器建立pqc安全信道,以协商确定密钥和身份认证,包括:
3.根据权利要求2所述的方法,其特征在于:所述客户端与vpn服务器建立pqc安全信道,以协商确定密钥和身份认证,包括:
4.根据权利要求2或3所述的方法,其特征在于:
5.根据权利要求2或3所述的方法,其特征在于:所述客户端支持的算法采用以下任一项:
6.根据权利要求2所述的方法,其特征在于:所述第一后量子算法为后量子密码封装算法,所述第二后量子算法为后量子密码签名算法。
【专利技术属性】
技术研发人员:李叶,请求不公布姓名,
申请(专利权)人:本源量子计算科技合肥股份有限公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。