专利汇可以提供一种IKEv2协商使用量子密钥的方法专利检索,专利查询,专利分析的服务。并且一种IKEv2协商使用量子密钥的方法,涉及通信技术领域。可解决现有的网络加密方法容易被破解不够安全的技术问题。包括使用量子密钥分发协议QKD产生量子密钥QK,用QK替代或结合Diffie-Hellman密钥交换产生的共享密钥g^ir,给出了使用QK值计算密钥材料、HASH值的具体步骤,使得生成的IKE SA和IPSEC SA密钥间接使用了量子密钥;在ISAKMP协议中新增量子密钥票据QKT 载荷 ,唯一标识本次产生QK密钥,用QKT载荷替代或结合Diffie-Hellman密钥交换的KE载荷进行量子密钥交换,给出了IKEv2协商时的具体交换步骤。本 发明 可以结合新型的量子加密技术,使传统的IPSEC技术能够在IKEv2协商阶段时使用量子密钥生成IKE SA和CHILD SA,协商阶段的加密和隧道报文的加密因使用了量子密钥而提高了安全性。,下面是一种IKEv2协商使用量子密钥的方法专利的具体信息内容。
1.一种IKEv2协商使用量子密钥的方法,其特征在于:包括以下步骤:
S100、发起方和响应方采用量子密钥分发协议QKD,产生量子密钥QK,用QK替代或结合Diffie-Hellman密钥交换产生的共享密钥g^ir;
S200、使用量子密钥票据QKT,唯一标识本次产生量子密钥QK;
S300、发起方和响应方采用IKEv2协议进行密钥交换,新增QKT载荷,由发起方发给响应方;
S400、对于IKEv2初始交换计算产生基础密钥材料SKEYSEED及工作密钥;
S500、对于IKEv2初始交换进行计算生成的SA的密钥材料KEYMAT;
S600、创建子SA时,发起方重新产生一个的量子密钥QK(new)和量子票据QKT(new),然后进行CREATE_CHILD_SA交换;
S700、CREATE_CHILD_SA交换生成密钥材料KEYMAT。
2.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S400中的IKEv2的初始交换采用以下步骤:
第一对消息,即IKE_SA_INIT交换,进行协商加密算法,传递量子票据,交换nonce,可选做一个Diffie-Hellman的KE密钥交换,具体的消息内容为:发起方发送HDR,SAi1,QKT,[KEi,]Ni;响应方发送HDR,SAr1,[KEr,]Nr,[CERTREQ]。
第二对消息,即IKE_AUTH交换,验证前一对消息,交换身份和证书,并建立第一个子SA,消息内容用SK_e密钥加密,用SK_a密钥认证,具体的消息内容为:发起方发送HDR,SK{IDi,[CERT,][CERTREQ,][IDr,]AUTH,SAi2,TSi,TSr};响应方发送HDR,SK{IDr,[CERT,]AUTH,SAr2,TSi,TSr}。
QKT为发起方通过QKD密钥分发协议产生量子密钥QK对应的量子票据,作为IKE载荷发给响应方,响应方使用QKT向量子QKD设备请求得到QK;
[KEi,]、[KEr,]为可选项,KE表示Diffie-Hellman密钥交换时的KE载荷,i和r分别代表发起方和响应方;采用量子密钥QK替代Diffie-Hellman密钥交换方式,交换过程中不携带KE载荷。
3.根据权利要求2所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S400对于IKEv2初始交换计算产生基础密钥材料SKEYSEED及工作密钥,计算方法如下:
SKEYSEED=prf(Ni|Nr,QK[|g^ir])
然后产生7种工作密钥:
{SK_d|SK_ai|SK_ar|SK_ei|SK_er|SK_pi|SK_pr}=prf+(SKEYSEED,Ni|Nr|SPIi|SPIr)说明:
[|g^ir]为可选项,g^ir表示Diffie-Hellman的KE密钥交换产生的共享密钥;
若采用量子密钥QK替代Diffie-Hellman的KE密钥交换方式时,[|g^ir]不参与计算;
SK_d:d代表deriving,为派生密钥;
SK_a:a代表authenticating,为认证密钥;
SK_e:e代表encrypting,为加密密钥;
SK_p:p代表payload,生成AUTH有效负载时使用的密钥;
i:代表发起方;
r:代表响应方。
4.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:
所述S500对于IKEv2初始交换生成的SA的密钥材料KEYMAT的计算方法如下:
KEYMAT=prf+(SK_d,Ni|Nr)
KEYMAT分为两部,第一部分用于IPSEC SA的加密密钥,另一部分用于认证密钥。
5.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S600中所述CREATE_CHILD_SA交换可用于创建新的子SA、IKE SA的密钥更新、子SA的密钥更新,分别采用以下步骤:
创建新的子SA的消息内容用SK_e密钥加密,用SK_a密钥认证,发起方发送HDR,SK{SA,Ni,QKT(new),[KEi,]TSi,TSr};响应方发送HDR,SK{SA,Nr,[KEr,]TSi,TSr}。
IKE SA的密钥更新的消息内容用SK_e密钥加密,用SK_a密钥认证,发起方发送HDR,SK{SA,Ni,QKT(new),[KEi]};响应方发送HDR,SK{SA,Nr,[KEr]}。
子SA的密钥更新消息内容用SK_e密钥加密,用SK_a密钥认证,发起方发送HDR,SK{N(REKEY_SA),SA,Ni,QKT(new),[KEi,]TSi,TSr};响应方发送HDR,SK{SA,Nr,[KEr,]TSi,TSr}。
6.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S100具体包括:
在两个加密设备之间建立IPSEC隧道,具体为在两个加密设备之间配置IPSEC隧道参数,包括,
S101、配置设备的IP地址和路由;
S102、配置IKE参数,采用IKEv2版本,使用预共享密钥身份认证方式,并配置预共享密钥;
S103、配置IPSEC的加密算法为SM4,认证算法为SM3;
S104、配置量子密钥输出协议,并与量子QKD设备完成协商;
S105、采用量子密钥QK替代Diffie-Hellman密钥交换方式。
7.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S300中发起方和响应方采用IKEv2协议,通过2个交互消息完成IKE_SA_INIT交换:
1)发起方发送一个带有SAi1,QKT,Ni载荷的消息;
2)响应方回应一个带有SAr1,Nr载荷的消息。
8.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S300中发起方和响应方采用IKEv2协议进行密钥交换,具体通过2个交互消息完成IKE_AUTH交换:
1)发起方发送一个加密和认证的,带有IDi,AUTH,SAi2,TSi,TSr载荷的消息;
2)响应方回应一个加密和认证的,带有IDr,AUTH,SAr2,TSi,TSr载荷的消息。
9.根据权利要求1所述的IKEv2协商使用量子密钥的方法,其特征在于:所述步骤S700的CREATE_CHILD_SA交换生成密钥材料KEYMAT的计算方法如下:
KEYMAT=prf+(SK_d,QK(new)[|g^ir(new)]|Ni|Nr)
[|g^ir(new)]为可选项,g^ir(new)表示创建子SA时Diffie-Hellman的KE密钥交换产生的共享密钥;若采用量子密钥QK替代Diffie-Hellman的KE密钥交换方式时,[|g^ir(new)]不参与计算;
KEYMAT可分为两部,第一部分用于IPSEC SA的加密密钥,另一部分用于认证密钥。
标题 | 发布/更新时间 | 阅读量 |
---|---|---|
一种基于广义支付数据的信用积分建模方法 | 2020-05-11 | 234 |
网络控制系统到公共云中的扩展 | 2020-05-12 | 119 |
一种IKEv2协商使用量子密钥的方法 | 2020-05-12 | 685 |
一种基于BPM自动化技术的大宗商品物流管理系统 | 2020-05-14 | 95 |
基于车联网的汽车全生命周期服务平台和服务方法 | 2020-05-14 | 105 |
一种电气设备防误操作系统及其操作方法 | 2020-05-13 | 552 |
一种基于区块链技术的存量房交易系统 | 2020-05-08 | 709 |
基于Bayes模型的Hadoop架构信任评估方法 | 2020-05-16 | 649 |
一种基于发光量子点的油性荧光防伪油墨 | 2020-05-16 | 768 |
一种办理税务发票的自助设备 | 2020-05-08 | 331 |
高效检索全球专利专利汇是专利免费检索,专利查询,专利分析-国家发明专利查询检索分析平台,是提供专利分析,专利查询,专利检索等数据服务功能的知识产权数据服务商。
我们的产品包含105个国家的1.26亿组数据,免费查、免费专利分析。
专利汇分析报告产品可以对行业情报数据进行梳理分析,涉及维度包括行业专利基本状况分析、地域分析、技术分析、发明人分析、申请人分析、专利权人分析、失效分析、核心专利分析、法律分析、研发重点分析、企业专利处境分析、技术处境分析、专利寿命分析、企业定位分析、引证分析等超过60个分析角度,系统通过AI智能系统对图表进行解读,只需1分钟,一键生成行业专利分析报告。