一种在SSLVPN中融合量子密钥和经典密钥的方法与流程

一种在ssl vpn中融合量子密钥和经典密钥的方法
技术领域
1.本发明涉及量子网络与量子密钥领域，具体涉及一种在ssl vpn中融合量子密钥和经典密钥的方法。


背景技术：

2.ssl vpn指采用ssl协议来加密ip数据链路实现远程接入的一种新型vpn技术。ssl vpn是解决远程用户访问公司敏感数据最简单最安全的解决技术。
3.ssl协议主要由ssl握手协议和ssl记录协议组成，它们共同为应用访问连接提供认证、加密和防篡改功能。
4.ssl握手协议和ipsec协议体系中的ike协议类似，主要用于客户和服务器之间的相互认证，mac(messageauthenticationcode-消息认证码)算法和协商加密算法，主要用于ssl记录协议中生成并使用的加密和认证密钥。
5.ssl记录协议为各种应用协议提供最基本的安全服务，在客户端和服务端握手协议完成后使用，主要提供保密性和完整性两个服务。
6.参照图1，整个ssl vpn握手协议过程如下所述：
7.ssl客户端在tcp建立之后，发送客户端ssl版本、随机数等信息；
8.服务端给客户端返回ssl版本、随机数等信息，以及服务器公钥；
9.客户端校验服务端证书是否合法，合法继续，否则告警；
10.客户端校验通过后，将自己的证书及公钥发送给服务器；
11.服务端对客户端证书进行校验，校验结束后获得客户端公钥；
12.客户端发送可支持的对称加密方案给服务端，供其选择；
13.服务端选择加密级别高的加密方式；
14.服务端将选择好的加密方式使用客户端公钥进行加密后发送给客户端；
15.客户端接收到加密方式后，使用私钥进行解密，产生随机码，作为对称加密密钥，使用服务端公钥进行加密后，发送给服务端；
16.服务端使用私钥对加密信息进行解密，获得对称加密密钥；
17.量子密钥分发(qkd)技术基于“海森堡测不准原理”和“量子不可复制原理”，使用每比特单光子传输随机数，使发送端和接收端能够产生并共享随机数密钥。理论上，在量子密钥分发过程中的任何窃听都会被发现。由于单光子是光能量的最小单元，已经不可再分，存在窃听后，该单光子能量消失；“量子不可复制原理”决定了未知单光子不能被精确复制，因此窃听者也不能通过截获后再复制一个单光子方式来操作，“海森堡测不准原理”则决定了对未知单光子状态的测量必然会对其状态产生扰动，可以利用这一点来判断信息是否有被窃听的可能，因为量子密钥分发过程所产生的密钥具有理论上的绝对安全。
18.ssl vpn在加密传输过程中，由加密算法生成的会话密钥，且使用的加密算法局限于当前的计算能力。随着高性能的计算技术的出现，尤其是量子计算技术的逐步产业化，破解当前使用的加密算法将变得很容易，这对ssl vpn的安全性带来了极大的挑战。
19.安全性是通信网络中重要的评价指标，密码学为安全通信提供了有力保证。传统密码学基于数学算法的计算复杂度，不能保证密钥的绝对安全。量子密码学，利用量子力学的基本原理来保证密码绝对安全：任何对量子系统的测量都会对系统产生干扰，如果有第三方试图窃听密钥，必须用某种方式测量它，其测量会带来可觉察的异常，通信的双方便会知道，这是量子密码一个最重要也是最独特的性质。
20.因此，需要对现有的ssl vpn在加密传输进行改进，增加ssl vpn数据通信的安全性。


技术实现要素：

21.为了解决上述技术问题，提出了增加ssl vpn数据通信的安全性的ssl vpn中融合量子密钥和经典密钥的方法。
22.为实现上述目的，本发明采取的技术方案如下：一种在ssl vpn中融合量子密钥和经典密钥的方法，应用在ssl vpn系统上，所述ssl vpn系统包括多个ssl vpn客户端和多个ssl vpn服务端，任意一个ssl vpn客户端分别连接多个km1，任意一个km1连接有一个qkd1；任意一个ssl vpn服务端分别连接多个km2，任意一个km2连接一个qkd2，该方法包括以下步骤：
23.步骤1.ssl vpn客户端发送认证请求到km1；
24.步骤2.ssl vpn客户端和km1之间通信，完成握手认证的工作，确保连接安全；
25.步骤3.ssl vpn服务端发送认证请求到km2；
26.步骤4.ssl vpn服务端和km2之间通信，完成握手认证的工作，确保连接安全；
27.步骤5.ssl vpn客户端与ssl vpn服务端建立连接，完成握手协议流程；
28.步骤6.ssl vpn客户端和ssl vpn服务端协商，生成经典会话密钥；
29.步骤7.ssl vpn客户端和ssl vpn服务端分别发送量子密钥请求命令到km1和km2；
30.步骤8.km1和km2分别响应量子密钥请求到ssl vpn客户端和ssl vpn服务端；
31.步骤9.ssl vpn客户端和ssl vpn服务端协商，判断二者获取的量子密钥是否一致；
32.步骤10.如果量子密钥一致，则选择该量子密钥作为会话密钥；
33.步骤11.采用所述会话密钥进行安全通信。
34.优选地，ssl vpn客户端和ssl vpn服务端之间的握手协议流程如下：
35.m)ssl vpn客户端在tcp建立之后，生成随机数rnc；
36.n)ssl vpn客户端发送client_hello信息到ssl vpn服务端，；
37.o)ssl vpn服务端生成随机数rns；
38.p)ssl vpn服务端发送server_hello信息到ssl vpn客户端，该信息包括服务端支持的加密信息；
39.q)ssl vpn服务端发送服务端证书到ssl vpn客户端；
40.r)ssl vpn服务端发送请求发送客户端数字证书的命令到ssl vpn客户端；
41.s)ssl vpn客户端验证服务端证书的合法性；
42.t)ssl vpn客户端发送数字证书到ssl vpn服务端；
43.u)ssl vpn服务端验证客户端数字证书的合法性；
vpn客户端分别连接多个km1，任意一个km1连接有一个qkd1；任意一个ssl vpn服务端分别连接多个km2，任意一个km2连接一个qkd2，该方法包括以下步骤：
67.步骤1.客户端发送认证请求到km1；
68.步骤2.客户端和km1之间通信，完成握手认证的工作，确保连接安全；
69.步骤3.服务端发送认证请求到km2；
70.步骤4.服务端和km2之间通信，完成握手认证的工作，确保连接安全；
71.步骤5.客户端与服务端建立连接，完成握手协议流程；
72.步骤6.客户端和服务端协商，生成经典会话密钥；
73.步骤7.客户端和服务端分别发送量子密钥请求命令到km1和km2；
74.步骤8.km1和km2分别响应量子密钥请求到客户端和服务端；
75.步骤9.客户端和服务端协商，判断获取的量子密钥是否一致；
76.步骤10.如果量子密钥一致且大于100mbyte，优先选择量子密钥作为会话密钥，如果量子密钥小于100mbyte，会周期性检测量子密钥量的大小，如果小于10mbyte，则会切换到经典密钥作为当前的会话密钥；同样会周期性检测量子密钥量大小，当大于100mbyte时，则会切换到量子密钥作为当前的会话密钥；
77.步骤11.使用会话密钥进行安全通信。
78.优选地，ssl vpn客户端和ssl vpn服务端之间的握手协议流程如下：
79.aa)客户端在tcp(传输控制协议)建立之后，生成随机数rnc(客户端随机数)；
80.bb)客户端发送client_hello信息(采用gmt 0024-2014ssl vpn技术规范)到服务端，该信息主要包括客户端支持的加密信息，rnc等内容；
81.服务端生成随机数rns；
82.服务端发送server_hello信息(采用gmt 0024-2014ssl vpn技术规范)到客户端,该信息主要包括服务端支持的加密信息，rns(服务端随机数)等内容；
83.服务端发送数字证书(包含服务器公钥)到客户端，其中数字证书是由电子商务认证中心所颁发的一种较为权威与公正的证书，人为预置的；
84.服务端发送请求客户端发送客户端数字证书命令；
85.客户端验证服务端证书的合法性；
86.客户端发送数字证书(包含客户端的公钥)到服务端；
87.服务端验证客户端数字证书的合法性；
88.客户端使用hash(散列函数)将所有先前接收到的消息作为输入，经过hash计算后输出固定长度的消息，作为信息摘要，然后用客户端私钥通过rsa加密算法将信息摘要和所有先前收到的消息进行加密处理，将处理结果数据发送到服务端；
89.服务端用客户端的公钥解密检查hash和签名；
90.生成经典密钥作为会话密钥。
91.优选地，步骤a:生成经典密钥作为会话密钥的步骤如下：
92.步骤b:客户端生成临时的对称加密密钥pms(premaster secret预主密钥)；
93.步骤c:客户端用服务端的公钥加密pms，并发送服务端；
94.步骤d:服务端用自己私钥解密获得pms；
95.步骤e:客户端根据pms、rnc和rns计算生成对称会话密钥；
96.步骤f:同理服务端根据接收到的pms和rnc以及本地生成的rns计算生成对称会话密钥。
97.根据上述说明书的揭示和教导，本发明所属领域的技术人员还可以对上述实施方式进行变更和修改。因此，本发明并不局限于上面揭示和描述的具体实施方式，对发明的一些修改和变更也应当落入本发明的权利要求的保护范围内。此外，尽管本说明书中使用了一些特定的术语，但这些术语只是为了方便说明，并不对发明构成任何限制。