一种在IPSec协议中使用量子密钥的方法、网关装置与系统与流程

技术特征：
1.一种在ipsec协议中使用量子密钥的方法，采用所述方法的ipsec vpn系统包括至少两个ipsec vpn网关和一个服务器，其特征在于，包括：初始化过程：为新接入ipsec vpn网关分发ca证书，注入预置随机数，创建所述预置随机数与ca证书的关联标识；通信过程：发起ipsec vpn网关和响应ipsec vpn网关进行isakmp sa协商，建立isakmp sa；进行ipsec sa协商，建立ipsec sa，执行ike密钥协商和量子密钥协商，将ike协议所协商的会话密钥作为第一密钥因子，将量子密钥协商的共享量子密钥作为第二密钥因子，对所述第一密钥因子与所述第二密钥因子进行保密增强并得到第三密钥因子，并用第三密钥因子替换ike密钥协商所协商的会话密钥；基于所建立的ipsec sa进行数据加密传输或通信；其中，量子密钥协商包括，所述服务器对发起ipsec vpn网和响应ipsec vpn网关分别进行身份认证，在通过身份认证后把相应的一个或多个关联异或值分别发送给发起ipsec vpn网和响应ipsec vpn网关，发起ipsec vpn网关和响应ipsec vpn网关基于所述一个或多个关联异或值协商一个共享量子密钥，其中，所述关联异或值是所述发起ipsec vpn网关的预置随机数中的一个密钥分组与所述响应ipsec vpn网关的预置随机数中的一个密钥分组的异或值。2.根据权利要求1所述的方法，其特征在于，包括：对预置随机数进行加密存储。3.根据权利要求1所述的方法，其特征在于，基于所述一个或多个关联异或值协商一个共享量子密钥，包括：对于基于一个关联异或值协商一个共享量子密钥的情况，一个ipsec vpn网关计算其存储的一个相应关联密钥与相应关联异或值的异或值并得到另一个ipsec vpn网关的相应关联密钥，把所述另一个ipsec vpn网关的相应关联密钥作为共享量子密钥；或，一个ipsec vpn网关产生一个随机密钥，并采用所述另一个ipsec vpn网关的相应关联密钥加密所述随机密钥，发送给另一个ipsec vpn网关，另一个ipsec vpn网关解密并得到所述随机密钥，两个ipsec vpn网关把所述随机密钥作为共享量子密钥；对于基于多个关联异或值协商一个共享量子密钥的情况，则重复所述基于一个关联异或值协商一个共享量子密钥的情况的步骤，得到多个共享量子密钥因子，再把所述多个共享量子密钥因子进行保密增强后的结果作为最终的共享量子密钥。4.根据权利要求1所述的方法，其特征在于，所述身份认证包括以下方法中的任一个：采用预置随机数的方法；采用ca证书与预置随机数相结合的方法；采用抗量子计算的身份认证算法；采用抗量子计算的身份认证算法与预置随机数相结合的方法。5.根据权利要求1所述的方法，其特征在于，所述保密增强包括以下任一个：异或运算，hash运算，采用对称密码算法的密码运算。6.根据权利要求1所述的方法，其特征在于，所述一个或多个关联异或值包括以下任一种：从所述服务器预先存储的相应的关联异或值数据库中选择一个或多个；所述服务器计算一个或多个两个相应ipsec vpn网关所关联的量子密钥服务器所提供的两个关联参数与所述服务器分别与两个量子密钥服务器共享的密钥分组的异或值的异或值；所述服务器计算一个或多个两个相应ipsec vpn网关所关联的量子密钥服务器所提供的两个关联参数与两个量子密钥服务器的相应量子密钥的异或值的异或值。7.一种在ipsec协议中使用量子密钥的网关装置，包括初始化模块、身份认证模块、收
发器模块和数据处理模块，其特征在于：初始化模块用于从服务器装置获取ca证书、预置随机数和预置随机数与ca证书的关联标识；身份认证模块，用于其与服务器和其他网关装置之间的身份认证；收发器模块，用于向服务器发送服务请求，用于接收服务器发送的其与其他网关装置的一个或多个关联异或值，用于与其他网关装置进行isakmp sa协商并建立isakmp sa、进行ipsec sa协商并建立ipsec sa，用于执行ike密钥协商和量子密钥协商，将ike协议所协商的会话密钥作为第一密钥因子，将量子密钥协商的共享量子密钥作为第二密钥因子，把所述第一密钥因子与所述第二密钥因子进行保密增强后得到的第三密钥因子替换ike密钥协商所协商的会话密钥，用于基于与其他网关装置所建立的ipsec sa进行数据加密传输或通信；数据处理模块，用于对所述第一密钥因子与所述第二密钥因子进行保密增强并得到第三密钥因子，并用第三密钥因子替换ike密钥协商所协商的会话密钥。8.一种在ipsec协议中使用量子密钥的系统，包括至少两个ipsec vpn网关和一个服务器，其特征在于，用于实现权利要求1中的方法。9.根据权利要求8所述的系统，其特征在于，包括至少1个量子密钥服务器，用于为新接入的ipsec vpn网关分发ca证书，注入预置随机数，创建所述预置随机数与ca证书的关联标识；还用于把其与ipsec vpn网关的一个随机密钥与一个量子密钥的异或值发送给服务器。

技术总结
本发明提供了一种在IPSec协议中使用量子密钥的方法、网关装置与系统，其中，该方法包括初始化过程和通信过程，该方法在常规IPSec协议的基础上，并行执行IKE密钥协商和量子密钥协商，将IKE协议所协商的会话密钥与共享量子密钥进行保密增强，并用于替换IKE密钥协商所协商的会话密钥；该网关装置包括初始化模块、身份认证模块、收发器模块和数据处理模块；该系统包括网关和服务器。本发明中的量子密钥协商过程全部在互联网上完成，与常规IPSec VPN完全兼容，更安全和高效，同时规避了常规的量子密钥与IPSec协议融合方法所碰到的保密难题和应用不便难题，具有更好的应用性能和应用前景。景。景。


技术研发人员：陈晖 杜新如 陈娟
受保护的技术使用者：成都量安区块链科技有限公司
技术研发日：2022.03.03
技术公布日：2022/4/5