[发明专利]安全网关数据加密方法、解密方法及安全网关

说明书

本发明公开一种安全网关数据加密方法、解密方法及安全网关，加密方法包括分别从随机数池中获取与本端安全网关对应的原始密钥key1以及与对端安全网关对应的原始密钥key2；从随机数池中获取LcQuantum密钥，并分别利用key1和key2对LcQuantum密钥进行加密，得到密文LcQuantum1和密文LcQuantum2；将key2和LcQuantum2发送至对端安全网关；利用LcQuantum密钥对用户数据加密，并封装成数据报文发送至对端安全网关，数据报文的安全参数索引为LcQuantum密钥SessionId，序列号为原始密钥key2的索引ID。实现用户数据一包一密的方式进行加解密和传输。

技术领域

本发明涉及密码应用技术领域，具体涉及一种安全网关数据加密方法、解密方法及安全网关。

背景技术

随着用户对高机密性数据要求的日益增长以及量子技术的不断发展，大部分加密业务采用的是利用安全协议(IP Security，IPSec)之类的安全网关来建立安全通道，加密通信前需要加密网关之间采用如互联网密钥交换协议(Internet Key Exchange，IKE)等来协商数据通信使用的会话密钥。这种模式存在以下问题：

(1)只使用基于密钥协商的加密是不够安全的，密钥协商过程是基于非对称密钥对和数字证书，用于加密传送会话密钥素材的公钥是公开的，随着量子计算机的计算能力提升，存在被破译的可能性，从而导致需传递的会话密钥被破译窃取。

(2)通过IKE密钥交换协议来协商建立IPSec SA及会话密钥，由于加密网关之间的协商需要交换数据，则会话密钥的换钥次数无法达到一包一次，随着量子计算机的计算能力提升，存在被破译的可能性。

相关技术中，申请公布号为CN102082790A的中国发明专利申请文献公开了一种数字签名的加/解密方法及装置，该方案中生成的随机数包括第一随机数和第二随机数两组随机数，对签名信息原文进行加密的随机数为第二随机数，采用第一随机数对第二随机数进行加密，获得第二随机数加密数据；对第一随机数，以及第二随机数加密数据进行公钥加密，获得密钥密文；但该方案中利用第二随机数对签名数据明文加密获取签名数据密文，利用公钥对第二随机数明文加密获取第二随机数密文，密钥传输是通过网络自身的链路进行传输。

申请公布号为CN115567206A的中国发明专利申请公开了一种采用量子分发密钥实现网络数据报文加解密方法及系统，该方案中利用数据加密密钥对网络数据报文进行加密，得到加密处理后的数据报文，其中，数据加密密钥为实时产生的随机数；采用密码杂凑算法将主密钥变换得到密钥加密密钥；将使用密钥加密密钥加密数据加密密钥得到的密文及主密钥的ID标识放入数据报文的安全报文头中，得到出站加密报文；该方案中获取密钥的方式为加密密钥是通过安全存储介质进行充注获取，密钥分发功能是通过管控中心进行分发。

发明内容

本发明所要解决的技术问题在于如何提高网关设备数据传输的安全性。

本发明通过以下技术手段实现解决上述技术问题的：

第一方面，本发明提出了一种安全网关数据加密方法，所述加密方法包括以下步骤：

分别从随机数池中获取与本端安全网关对应的原始密钥key1以及与对端安全网关对应的原始密钥key2；

从所述随机数池中获取LcQuantum密钥，并分别利用所述原始密钥key1和所述原始密钥key2对所述LcQuantum密钥进行加密，得到密文LcQuantum1和密文LcQuantum2；

将所述原始密钥key2和所述密文LcQuantum2发送至对端安全网关；

利用所述LcQuantum密钥对用户数据加密，并封装成数据报文发送至对端安全网关，所述数据报文的安全参数索引为LcQuantum密钥SessionId，序列号为原始密钥key2的索引ID。