[发明专利]一种在IPSec协议中使用量子密钥的方法、网关装置与系统

说明书

本发明提供了一种在IPSec协议中使用量子密钥的方法、网关装置与系统，其中，该方法包括初始化过程和通信过程，该方法在常规IPSec协议的基础上，并行执行IKE密钥协商和量子密钥协商，将IKE协议所协商的会话密钥与共享量子密钥进行保密增强，并用于替换IKE密钥协商所协商的会话密钥；该网关装置包括初始化模块、身份认证模块、收发器模块和数据处理模块；该系统包括网关和服务器。本发明中的量子密钥协商过程全部在互联网上完成，与常规IPSec VPN完全兼容，更安全和高效，同时规避了常规的量子密钥与IPSec协议融合方法所碰到的保密难题和应用不便难题，具有更好的应用性能和应用前景。

技术领域

本发明涉及量子密钥分发与IPSe VPN技术领域，尤其涉及一种在IPSec协议中使用量子密钥的方法、网关装置与系统。

背景技术

互联网密钥交换(IKE)协议为IPSec VPN的安全通信提供密钥，其密钥交换过程分为两个阶段，在第一阶段交换中，发起方和响应方协商建立了一个互联网安全关联和密钥管理协议(ISAKMP)安全关联(SA)，即ISAKMP SA，该SA是协商双方为建立IPSec SA而使用的共享策略和密钥，使用该SA保护IPSec SA的协商过程；在第二阶段交换中，通信双方使用第一阶段ISAKMP SA协商建立IPSec SA，该IPSec SA是为保护数据通信而使用的共享策略和密钥。

IPSec VPN在电子政务、交通、金融、能源等领域广泛应用，但是，IPSec协议采用的密码算法在量子计算攻击下存在脆弱性，因此，提升IPSec协议的安全性具有非常重要的意义，利用量子密钥提升IPSec协议的安全性是一个重要应用方向。文献“IPSec VPN中扩展使用量子密钥的方法及系统”（授权公告号CN 104660603 A）公开了一种通过并行处理量子密钥和IKE协商密钥的方法，并将量子密钥作为优先使用的第一会话密钥，IKE协商密钥作为第二会话密钥进行安全通信。但是，一方面，由于量子密钥分发（QKD）网络是独立于互联网的硬件基础设施，QKD网络与IPSec VPN的兼容性差；另一方面，该系统新增了量子密钥管理终端，引入了量子密钥管理终端的保密管理问题，大幅度地增加了IPSec VPN的保密管理难度。因此，解决上述问题具有非常重要的实践意义。

发明内容

为了解决背景技术中所存在的问题，本发明提供了一种在IPSec协议中使用量子密钥的方法，采用该方法的IPSec VPN系统包括至少两个IPSec VPN网关和一个服务器，包括初始化过程和通信过程；其中，初始化过程：为新接入IPSec VPN网关分发CA证书，注入预置随机数，创建上述预置随机数与CA证书的关联标识；通信过程：发起和响应IPSec VPN网关进行ISAKMP SA协商，建立ISAKMP SA；进行IPSec SA协商，建立IPSec SA，执行IKE密钥协商和量子密钥协商，将IKE协议所协商的会话密钥作为第一密钥因子，将量子密钥协商的共享量子密钥作为第二密钥因子，对上述第一密钥因子与上述第二密钥因子进行保密增强并得到第三密钥因子，并用第三密钥因子替换IKE密钥协商所协商的会话密钥；基于所建立的IPSec SA进行数据加密传输或通信；其中，量子密钥协商包括，上述服务器对发起和响应IPSec VPN网关分别进行身份认证，在通过身份认证后把相应的一个或多个关联异或值分别发送给发起和响应IPSec VPN网关，发起和响应IPSec VPN网关基于上述一个或多个关联异或值协商一个共享量子密钥，其中，上述关联异或值是发起IPSec VPN网关的预置随机数中的一个密钥分组与响应IPSec VPN网关的预置随机数中的一个密钥分组的异或值。

进一步地，上述方法还包括：对预置随机数进行加密存储。