[发明专利]一种兼容量子密钥协商的VPN网络系统

说明书

本发明提供了一种兼容量子密钥协商的VPN网络系统，包括，量子密钥应用装置（包括IPSec VPN网关、SSL VPN网关、密码机、加密应用客户端）、随机数服务装置、量子节点装置的虚拟机、安全隔离装置、虚拟量子链路切片服务装置、量子密钥服务装置。本发明可以通过用户侧量子节点为量子密钥应用装置提供量子服务接入和随机数服务，量子密钥服务装置基于虚拟量子链路切片提供实时协商端到端共享量子密钥的服务。该系统可以实现实时的端到端量子密钥协商与应用，是一种安全、高效、灵活的兼容量子密钥协商的VPN网络系统，具有良好的规模应用前景。

技术领域

本发明涉及量子密钥服务和VPN技术领域，尤其涉及一种兼容量子密钥协商的VPN网络系统。

背景技术

VPN网络在电子政务和金融系统等广泛应用，但是，VPN采用的非对称密码算法不能抵抗量子计算攻击，而其所采用的对称密码算法的安全强度在量子计算攻击下具有一定的脆弱性，因此，提升VPN网络的安全性具有非常重要的意义。目前，利用量子密钥提升VPN网络的安全性是一个重要技术方向，但是，由于量子密钥分发（简称为QKD）网络是独立于VPN网络的硬件基础设施，二者之间的无缝适配成为规模应用的关键。例如，授权公告号CN104660603 B的发明通过并行处理量子密钥和IKE协商密钥的协商，将量子密钥作为优先使用的第一会话密钥，IKE协商密钥作为第二会话密钥进行安全通信。但是，IKE协商密钥采用的是互联网标准协议，而量子密钥协商需要量子密钥分发链路网络保障。存在规模应用接入不便、量子密钥应用安全管理难度大等不足。

为了实现QKD与VPN网络的高效适配，本发明系统采用虚拟量子链路切片为VPN网络的网关之间实时协商量子密钥并用于增强VPN网络通信安全性。本发明可以通过用户侧量子服务节点为量子密钥应用装置提供量子服务认证接入和量子随机数服务，并基于虚拟量子链路切片实时协商端到端共享量子密钥。该系统可以实现实时的端到端量子密钥协商与应用，是一种安全、高效、灵活的采用量子密钥提升安全性的VPN网络系统，具有良好的规模应用前景。

发明内容

本发明提供了一种兼容量子密钥协商的VPN网络系统，包括：两个或多个量子密钥应用装置、至少一个随机数服务装置、两个或多个量子节点装置的虚拟机、安全隔离装置、虚拟量子链路切片服务装置、量子密钥服务装置；其中，随机数服务装置用于为量子密钥应用装置提供随机密钥分组服务，并创建相应的服务关联；量子节点装置的虚拟机用于响应量子密钥应用装置或/和量子密钥服务装置的请求，并向其所关联的量子节点装置请求服务数据，再把服务数据发送给量子密钥应用装置或/和量子密钥服务装置；安全隔离装置用于对流向或/和流出量子节点装置的数据进行安全检测和过滤；虚拟量子链路切片服务装置用于管理虚拟量子链路切片并提供服务；量子密钥服务装置用于响应量子密钥应用装置的服务请求，并从虚拟量子链路切片服务装置中选择与目标量子链路关联的一个或多个虚拟量子链路切片中的一个或多个关联异或值，获取与两个目标量子密钥应用装置关联的参数，量子密钥应用装置之间基于上述参数协商共享量子密钥；量子密钥应用装置把上述共享量子密钥与采用其它方法协商的会话密钥再进行保密增强得到新的会话密钥，或优先采用上述共享量子密钥作为会话密钥。

进一步地，上述系统还包括：两个或多个量子节点装置；上述量子节点装置用于与目标QKD网络中的相邻量子节点装置协商量子密钥，如果量子节点装置作为可信中继节点使用，则上述量子节点装置参与创建虚拟量子链路切片，即，计算其与其它两个相邻量子节点装置之间协商的量子密钥分组的异或值；量子节点装置还用于与其关联的量子节点装置的虚拟机进行数据通信。

本发明具有如下创新性：本发明系统基于量子节点虚拟机和虚拟量子链路切片实时协商量子密钥，并与采用其它方法协商的会话密钥再进行保密增强得到新的会话密钥，或优先采用上述共享量子密钥作为会话密钥；本发明系统可以实现实时的端到端量子密钥协商与应用，是一种安全、高效、灵活的采用量子密钥提升安全性的VPN网络系统，具有良好的规模应用前景。

附图说明

图1为本发明实施例提供的一种兼容量子密钥协商的IPSec VPN网络系统原理示意图；