CN117155568A - 基于量子密钥应用机制的IPv6报文加解密方法 - Google Patents
基于量子密钥应用机制的IPv6报文加解密方法 Download PDFInfo
- Publication number
- CN117155568A CN117155568A CN202311218729.1A CN202311218729A CN117155568A CN 117155568 A CN117155568 A CN 117155568A CN 202311218729 A CN202311218729 A CN 202311218729A CN 117155568 A CN117155568 A CN 117155568A
- Authority
- CN
- China
- Prior art keywords
- message
- ipv6
- encryption
- key
- verification
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 50
- 230000007246 mechanism Effects 0.000 title claims abstract description 8
- 238000005538 encapsulation Methods 0.000 claims abstract description 24
- 230000005540 biological transmission Effects 0.000 claims abstract description 20
- 230000008569 process Effects 0.000 claims abstract description 15
- 238000012545 processing Methods 0.000 claims abstract description 13
- 238000012795 verification Methods 0.000 claims description 65
- 230000006854 communication Effects 0.000 claims description 18
- 238000004891 communication Methods 0.000 claims description 17
- 238000009826 distribution Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 8
- 238000011084 recovery Methods 0.000 claims description 4
- 238000013524 data verification Methods 0.000 claims description 3
- 238000004806 packaging method and process Methods 0.000 claims description 2
- 238000003825 pressing Methods 0.000 claims description 2
- 238000005516 engineering process Methods 0.000 description 11
- 238000012986 modification Methods 0.000 description 4
- 230000004048 modification Effects 0.000 description 4
- 230000005610 quantum mechanics Effects 0.000 description 4
- 238000011161 development Methods 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 230000006399 behavior Effects 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000005336 cracking Methods 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 238000012858 packaging process Methods 0.000 description 1
- 238000011160 research Methods 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3236—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions
- H04L9/3242—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using cryptographic hash functions involving keyed hash functions, e.g. message authentication codes [MACs], CBC-MAC or HMAC
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2101/00—Indexing scheme associated with group H04L61/00
- H04L2101/60—Types of network addresses
- H04L2101/618—Details of network addresses
- H04L2101/659—Internet protocol version 6 [IPv6] addresses
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Power Engineering (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明提供基于量子密钥应用机制的IPv6报文加解密方法,所述方法实现由发送端和接收端协同完成,在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输;使用量子密钥直接加密报文,和报文封装是利用IPv6协议自有可扩展特性,在IPv6报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数。本发明中使用量子密钥加密与IPv6的报文直接相结合为创新点,在报文加解密时直接使用量子密钥加密,无需使用其它密钥协商方法,也无需再引用其它网络协议协商密钥,使方案更安全和更简单。本发明利用IPv6协议扩展性特性对加密的报文进行封装,使加密后的报文依然是标准的IPv6报文,整个方案的报文都遵循IPv6协议无需额外的协议开销。
Description
技术领域
本发明涉及量子通信领域,具体涉及基于量子密钥应用机制的IPv6报文加解密方法。
背景技术
QKD-based IPSec(基于QKD的IPSec):将量子密钥分发(QKD)技术与IPsec协议相结合,实现在传统IP网络上建立安全隧道的能力。Quantum Secure Socket Layer(QSSL)(量子安全套接层),QSSL是一种基于量子密钥分发的安全通信协议,通过使用量子密钥来保护数据传输的一致性和隐私性。
现有技术未见专门对针对IPv6的应用方案。现有传统VPN技术实现了类似的报文加密功能,而VPN技术关键是密钥共享问题,传统的密钥共享方式中主要使用预共享密钥、Diffie-Hellman密钥交换或非对称密钥交换方式来实现密钥的共享,著名的IPSec的IKE和SSL协议都是结合了Diffie-Hellman密钥交换和非对称加密算法,用于在通信双方间协商和交换临时的对称加密密钥的。传统的这些方法的安全性主要依赖于所选的加密算法和密钥管理方法,如果算法或密钥存在漏洞,则可能导致数据泄露或被破解的风险。
现有量子VPN借用了传统密码协议进行改造,把IPSec改造以支持QKD的量子密钥接入或在SSL协议中穿插量子密钥实现带量子密钥概念的SSL密钥协商。传统协议不是针对量子密钥设计的,个别技术细节实现上难免牵强套用,另一方面与传统密钥协议捆绑在一起增加了应用的复杂度和冗余度,不利于后续维护和升级。
随着互联网的快速发展,网络安全问题日益凸显。现有的加密方案往往需要依赖于复杂的数学算法,而这些算法可能会受到未来量子计算机的攻击。为了解决这个问题,量子密钥加密成为一种备受关注的加密技术,它利用了量子力学的原理,在传输过程中实现了密钥的安全分发。
另一方面,IPv6作为下一代互联网协议,以其灵活的扩展性和强大的地址空间,逐渐取代了IPv4。IPv6报文头较IPv4报文头引入了扩展报文头的概念,可以根据需要插入扩展报文头来扩展IPv6报文头的功能。这样可以在不改变基本报文头结构的情况下,根据需要灵活地添加自定义或标准化的扩展。这使得IPv6在可以方便地支持新的功能和协议。
发明内容
为了解决上述问题,为了确保传输的安全性,实现网络应用中往往对网络流量进行加密保护处理。本发明提供了一种基于量子密钥应用机制的IPv6报文加解密方法,旨在提高IPv6报文传输的安全性,保护数据在传输过程中的机密性和完整性。
本发明提供一种基于量子密钥应用机制的IPv6报文加解密方法,所述方法实现由发送端和接收端协同完成,在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输;报文加密是基于量子通信生成的量子密钥采用对称加密和HMAC验证组合对报文加密和验证处理;使用量子密钥直接加密报文,QKD分发生成的量子密钥存储在安全模块,所述安全模块是硬件安全模块或软件密钥容器,加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对IPv6报文进行加密,验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到;和报文封装是利用IPv6协议自有可扩展特性,在IPv6报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数,新的IPv6载荷由通过量子密钥计算的验证码和原载荷密文组成,这样加密和封装前后报文仍然符合IPv6报文格式定义,从而IPv6报文能通过原链路传输,实现IPv6报文在两端点之间的加密传输流程。
在一种实施方式中,提供一种基于量子密钥应用机制的IPv6报文加解密方法,所述方法实现由发送端和接收端协同完成,在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输;报文加密是基于量子通信生成的量子密钥采用对称加密和HMAC验证组合对报文加密和验证处理;使用量子密钥直接加密报文,QKD分发生成的量子密钥存储在安全模块,所述安全模块是硬件安全模块或软件密钥容器,加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对IPv6报文进行加密,验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到;和报文封装是利用IPv6协议自有可扩展特性,在IPv6报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数,新的IPv6载荷由通过量子密钥计算的验证码和原载荷密文组成,这样加密和封装前后报文仍然符合IPv6报文格式定义,从而IPv6报文通过量子密钥加密传输的全过程,实现IPv6报文在两端点之间的加密传输流程。
在一种实施方式中,所述方法包括以下步骤:步骤1:量子通信生成量子密钥,利用量子保密通信线路和QKD设备实现量子密钥分发,在发送方与接收方生成一致的量子密钥,使用密钥存储池来保存生成的量子密钥,可选的密钥存储方法有硬件安全模块或软件密钥容器;步骤2:报文加密,从网络设备中钩出IPv6协议报文,然后根据IPv6的源地址、目的地址和流标签确定IPv6通道标识,从所述安全模块中随机获取两把量子密钥的密钥标识,并与IPv6通道进行绑定,所述两把量子密钥的密钥标识中一把是加密密钥标识,用于加密报文;另一把是验证密钥标识用于计算报文验证码,然后使用量子密钥直接加密报文;完成报文加密处理,加密所使用加密密钥标识、验证密钥标识、报文密文、密文验证码和加密算法信息传输给后续的报文封装环节进行IPv6报文封装;步骤3:报文封装,完成IPv6密文报文封装,封装后的IPv6报文即为IPv6隧道报文;步骤4:发送报文,将所述IPv6隧道报文压回协议栈,由协议栈负责按原来发送方式发送该报文;步骤5:接收报文,接收端收取网络设备上的网络报文,通过设置钩子把本方法自定义IPv6协议头部类型钩取出来作后续的解封装处理;步骤6:报文解封装,解析IPv6隧道报文的扩展报文头,从扩展报文头的中提取出加密密钥标识、验证密钥标识、加密算法标识和验证算法标识,从载荷中解析出验证代码和报文密文;和,步骤7:接收端报文解密,根据报文解封装的信息对加密报文进行解密和验证并恢复出原IPv6载荷。
在一种实施方式中,在上述步骤3中,所述报文封装过程如下:
步骤1:新增一块扩展报文头,扩展报文头遵循IPv6报文格式定义,其各字段如下表:
步骤2:新的扩展报文头插入到IPv6报文头的第一个扩展报文头之前位置;
步骤3:封装载荷,新的报文载荷由HMAC验证码和报文密文连接组成,新的报文载荷放置在IPv6报文头后面;
步骤4:按IPv6协议重新计算IPv6报文有效载荷长度并更新至报文头的载荷长度;
步骤5:完成IPv6密文报文封装,封装后的IPv6报文即为IPv6隧道报文。
在一种实施方式中,在上述步骤7中,所述接收端报文解密过程如下:
步骤1:量子密钥检索:根据解封装出来的加密密钥标识和验证密钥标识在安全模块中检索量子密钥的量子密钥;
步骤2:密文数据验证:根据验证算法标识使用对应的算法和检索到的验证密钥标识调用安全模块的验证服务接口对报文验证,确认与载荷中解析的验证代码一致即验证通过;
步骤3:载荷恢复:根据加密算法标识算法使用对应的解密算法和检索到的量子密钥标识调用安全模块的解密服务接口对报文进行解密,恢复出原始的报文。
本发明中使用量子密钥加密与IPv6的报文直接相结合为创新点,其具体技术创新还体现在两个方面。
1.在报文加解密时直接使用量子密钥加密,无需使用其它密钥协商方法,也无需再引用其它网络协议协商密钥,使方案更安全和更简单。
2.基于IPv6协议的报文封装方法,本方法利用IPv6协议扩展性特性对加密的报文进行封装,使加密后的报文依然是标准的IPv6报文,整个方案的报文都遵循IPv6协议无需额外的协议开销。
本发明方法是基于量子密钥分发技术,利用量子密钥分发的密钥对IPv6报文进行加密,其优越性主要体现在以下几个方面:
更高级别的安全性:相较于传统的密钥协商方案本方法使用的密钥是由量子密钥分发所得,量子密钥分发提供了无条件安全性、能够检测窃听行为、利用量子力学原理进行加密等优势,使得密钥分发和通信过程更加安全可靠。
简化通信流程:因为使用了量子密钥分发技术,利用量子力学原理中的不可克隆性和不可能窃听的特性,确保密钥分发的安全性,使得通信双方可以直接使用分发的量子密钥在IPv6协议中加密。与借助传统的SSL或IPSec方案相比,直接在IPv6协议上加密可以简化通信流程。在传统方案中,需要进行握手、协商、建立安全隧道等步骤才能实现加密通信,而本发明可以省去这些握手和建立过程,从而减少协议开销和简化了流程。
更好的兼容性:用于IPv6是国际通用的标准协议,直接在IPv6协议中加密可以使得加密功能更加透明和无缝集成到现有的网络设备和协议栈中。这意味着无论是网络设备还是应用程序,它们无需额外的配置和修改,就可以利用到IPv6协议的加密功能。
通过将量子密钥与IPv6协议结合,实现了对IPv6报文加密传输的目的。因为使用了量子加密技术,量子加密利用了量子力学的原理,采用基于量子的加密算法和协议,提供了比传统加密更高级别的安全性。量子加密具有不可破解性和信息泄露检测能力,可以有效抵御传统计算机无法解决的攻击方法,如量子计算机攻击和破解。
量子加密作为一种新兴的加密技术,为网络安全领域带来了创新。设计和实施基于量子加密的IPv6报文系统将促进相关技术研究和应用的发展,推动整个网络安全技术的进步。
另一方面IPv6协议具备灵活的扩展性和广阔的地址空间,适用于各种网络环境和应用场景,但由于当前网络演化的背景下,IPv6的未得到更广泛应用,设计和实现基于量子加密的IPv6报文系统将促进IPv6技术在安全领域的应用和进一步发展。这将加速IPv6的普及和推广,为构建更安全、更可靠的互联网奠定基础。
附图说明
为了更清楚地说明本申请实施例中的技术方案,下面将对实施例中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请中记载的一些实施例,对于本领域普通技术人员来说,在不付出创造性劳动的前提下,还可以根据这些附图获得其它的附图。
图1是本发明的IPv6报文加密实现原理示意图;
图2是本发明的IPv6加密报文封装示意图;
图3是本发明的加密的IPv6报文格式示意图。
具体实施方式
为了使本领域技术领域人员更好地理解本申请中的技术方案,下面将结合实施例对本发明作进一步说明,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例,都应当属于本申请保护的范围。下面结合附图及实施例对本发明作进一步描述。
如图1所示,本方法实现由发送端和接收端协同完成,图中描述了IPv6报文在使用本方法一次加密传输的过程,在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输。以下对实现流程进行逐步描述:
1.量子通信生成量子密钥
利用量子保密通信线路和QKD设备实现的量子密钥分发,在发送方与接收方生成一致的量子密钥。生成密钥过程与使用密钥过程是异步进行的,这里要使用一个密钥存储池来保存生成的量子密钥,为了保护密钥安全防止密钥被未经授权的访问和窃取,需要选择合适的密钥保护方式来确保密钥存储和使用的安全。可选的密钥存储方法有硬件安全模块(Hardware Security Module,HSM)或软件密钥容器等。量子密钥存储后为后续的报文加密和报文解密环节提供加解密所需密钥。
2.报文加密
报文加密是基于量子通信生成的量子密钥采用对称加密和HMAC验证组合对报文加密和验证处理。首先从网络设备中钩出IPv6协议报文,然后根据IPv6的源地址(SourceAddress)、目的地址(Destination Address)和流标签(Flow Label)确定IPv6通道标识,从密钥存储池中随机获取两把量子密钥的密钥标识(一把是加密密钥标识,用于加密报文;另一把是验证密钥标识用于计算报文验证码)并与通道进行绑定,通道使用量子密钥的次数或时间长短处决于通道设置的量子密钥更新策略(可根据通道流量值或使用时长设置量子密钥更新的阀值)。最后是使用量子密钥直接加密报文,QKD分发生成的量子密钥存储在硬件安全模块或软件密钥容器等安全模块,加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对IPv6报文进行加密的,而同样验证码(HMAC验证码)生成是使用验证密钥标识调用安全模块的验证服务接口计算得到。完成报文加密处理,加密所使用加密密钥标识、验证密钥标识、报文密文、密文验证码和加密算法等信息传输给后续的报文封装组环节进行IPv6报文封装。
3.报文封装
报文封装是利用IPv6协议自有可扩展特性,在IPv6报文的头部中添加新的扩展报文头(Extension Headers)用于记录报文加密使用到的参数,这样加密和封装前后报文仍然符合IPv6报文格式定义。
如图2所示,在上方表格为IPv6报文头,而下方表格为本方案新增的扩展报文头。图中“箭头<1>”表示原IPv6的“Next Header”更改为本方案自定义的类型值0x89;“箭头<2>”表示将原IPv6的“Next Header”值记录到新增的扩展头的“Next Header”字段位置;“箭头<3>”指示整个新增的扩展报文头安放在原IPv6报文头中的位置。
报文的具体封装过程是:
3.1.新增一块扩展报文头,扩展报文头遵循IPv6报文格式定义,其各字段如下表:
表(1)新增的扩展报文头格式
3.2.新的扩展报文头插入到IPv6报文头的第一个扩展报文头之前位置。
3.3.封装载荷,如图3所示,新的报文载荷由HMAC验证码和报文密文连接组成,新的报文载荷放置在IPv6报文头后面。
3.4.按IPv6协议重新计算IPv6报文有效载荷长度并更新至报文头的裁荷长度。
3.5.完成IPv6密文报文封装,新的IPv6报文即为IPv6的隧道报文。封装好的报文交由发送报文环节进行下一步处理。
4.发送报文
将上面封装的IPv6隧道报文压回协议栈,由协议栈负责按原来发送方式发送该报文。至此发送端处理结束,加密后的报文将到达接收端,由接收端进行报文解密恢复处理。
5.接收报文
接收端收取网络设备上的网络报文,通过设置钩子把本方法自定义IPv6协议头部类型0x89钩取出来作后续的解封装处理。
6.报文解封装
解析IPv6隧道报文的“Next Header”和0x89类型对应的扩展报文头,从扩展报文头的中提取出加密密钥标识、验证密钥标识、加密算法标识和验证算法标识,从载荷中解析出验证代码和报文密文。解析提取到的信息传递给后续的报文解密环节报文解密使用。
7.接收端报文解密
根据报文解封装的信息对加密报文进行解密和验证并恢复出原IPv6载荷,解密过程如下:
7.1.量子密钥检索:根据解封装出来的加密密钥标识和验证密钥标识在安全模块中检索量子密钥的量子密钥。
7.2.密文数据验证:根据验证算法标识使用对应的算法和检索到的验证密钥标识调用安全模块的验证服务接口对报文验证,确认与载荷中解析的验证代码一致即验证通过。
7.3.载荷恢复:根据加密算法标识算法使用对应的解密算法和检索到的量子密钥标识调用安全模块的解密服务接口对报文进行解密,恢复出原始的报文。
以上步骤实施完毕即完成IPv6报文通过量子密钥加密传输的全过程,通过本方法可实现IPv6报文在两端点之间的加密传输流程。
本领域的技术人员容易理解的是,在不冲突的前提下,上述各有利方式可以自由地组合、叠加。
以上仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。以上仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变型,这些改进和变型也应视为本发明的保护范围。
Claims (4)
1.基于量子密钥应用机制的IPv6报文加解密方法,其特征在于,所述方法实现由发送端和接收端协同完成,在传输返回时发送端与接收端交换角色以相同的处理过程实现反方向的报文加密传输;报文加密是基于量子通信生成的量子密钥采用对称加密和HMAC验证组合对报文加密和验证处理;使用量子密钥直接加密报文,QKD分发生成的量子密钥存储在安全模块,所述安全模块是硬件安全模块或软件密钥容器,加密报文是使用加密密钥标识和指定的加密算法调用安全模块的加密服务接口对IPv6报文进行加密,验证码生成是使用验证密钥标识调用安全模块的验证服务接口计算得到;和报文封装是利用IPv6协议自有可扩展特性,在IPv6报文的头部中添加新的扩展报文头用于记录报文加密使用到的参数,新的IPv6载荷由通过量子密钥计算的验证码和原载荷密文组成,这样加密和封装前后报文仍然符合IPv6报文格式定义,从而IPv6报文能通过原链路传输,实现IPv6报文在两端点之间的加密传输流程。
2.根据权利要求1所述的方法,其特征在于,所述方法包括以下步骤:
步骤1:量子通信生成量子密钥,利用量子保密通信线路和QKD设备实现量子密钥分发,在发送方与接收方生成一致的量子密钥,使用密钥存储池来保存生成的量子密钥,可选的密钥存储方法有硬件安全模块或软件密钥容器;
步骤2:报文加密,从网络设备中钩出IPv6协议报文,然后根据IPv6的源地址、目的地址和流标签确定IPv6通道标识,从所述安全模块中随机获取两把量子密钥的密钥标识,并与IPv6通道进行绑定,所述两把量子密钥的密钥标识中一把是加密密钥标识,用于加密报文;另一把是验证密钥标识用于计算报文验证码,然后使用量子密钥直接加密报文;完成报文加密处理,加密所使用加密密钥标识、验证密钥标识、报文密文、密文验证码和加密算法信息传输给后续的报文封装环节进行IPv6报文封装;
步骤3:报文封装,完成IPv6密文报文封装,封装后的IPv6报文即为IPv6隧道报文;
步骤4:发送报文,将所述IPv6隧道报文压回协议栈,由协议栈负责按原来发送方式发送该报文;
步骤5:接收报文,接收端收取网络设备上的网络报文,通过设置钩子把本方法自定义IPv6协议头部类型钩取出来作后续的解封装处理;
步骤6:报文解封装,解析IPv6隧道报文的扩展报文头,从扩展报文头的中提取出加密密钥标识、验证密钥标识、加密算法标识和验证算法标识,从载荷中解析出验证代码和报文密文;
步骤7:接收端报文解密,根据报文解封装的信息对加密报文进行解密和验证并恢复出原IPv6载荷。
3.根据权利要求2所述的方法,其特征在于,在步骤3中,所述报文封装过程如下:
步骤1:新增一块扩展报文头,扩展报文头遵循IPv6报文格式定义,其各字段如下表:
步骤2:新的扩展报文头插入到IPv6报文头的第一个扩展报文头之前位置;
步骤3:封装载荷,新的报文载荷由HMAC验证码和报文密文连接组成,新的报文载荷放置在IPv6报文头后面;
步骤4:按IPv6协议重新计算IPv6报文有效载荷长度并更新至报文头的载荷长度;
步骤5:完成IPv6密文报文封装,封装后的IPv6报文即为IPv6隧道报文。
4.根据权利要求2所述的方法,其特征在于,在步骤7中,所述接收端报文解密过程如下:
步骤1:量子密钥检索:根据解封装出来的加密密钥标识和验证密钥标识在安全模块中检索量子密钥的量子密钥;
步骤2:密文数据验证:根据验证算法标识使用对应的算法和检索到的验证密钥标识调用安全模块的验证服务接口对报文验证,确认与载荷中解析的验证代码一致即验证通过;
步骤3:载荷恢复:根据加密算法标识算法使用对应的解密算法和检索到的量子密钥标识调用安全模块的解密服务接口对报文进行解密,恢复出原始的报文。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311218729.1A CN117155568A (zh) | 2023-09-21 | 2023-09-21 | 基于量子密钥应用机制的IPv6报文加解密方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202311218729.1A CN117155568A (zh) | 2023-09-21 | 2023-09-21 | 基于量子密钥应用机制的IPv6报文加解密方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN117155568A true CN117155568A (zh) | 2023-12-01 |
Family
ID=88884179
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202311218729.1A Pending CN117155568A (zh) | 2023-09-21 | 2023-09-21 | 基于量子密钥应用机制的IPv6报文加解密方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN117155568A (zh) |
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118694527A (zh) * | 2024-08-28 | 2024-09-24 | 中电信量子信息科技集团有限公司 | 信息保护方法、通信方法、网络设备、通信系统和存储介质 |
-
2023
- 2023-09-21 CN CN202311218729.1A patent/CN117155568A/zh active Pending
Cited By (1)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN118694527A (zh) * | 2024-08-28 | 2024-09-24 | 中电信量子信息科技集团有限公司 | 信息保护方法、通信方法、网络设备、通信系统和存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN102625995B (zh) | 无线网络中的伽罗瓦/计数器模式加密 | |
| US9209969B2 (en) | System and method of per-packet keying | |
| CN104219217B (zh) | 安全关联协商方法、设备和系统 | |
| CN106357690B (zh) | 一种数据传输方法、数据发送装置及数据接收装置 | |
| CN111614621B (zh) | 物联网通信方法和系统 | |
| CN110061996A (zh) | 一种数据传输方法、装置、设备及可读存储介质 | |
| CN108900540B (zh) | 一种基于双重加密的配电终端的业务数据处理方法 | |
| CN111756627A (zh) | 一种电力监控系统的云平台安全接入网关 | |
| CN113572766A (zh) | 电力数据传输方法和系统 | |
| CN117155568A (zh) | 基于量子密钥应用机制的IPv6报文加解密方法 | |
| CN113950802B (zh) | 用于执行站点到站点通信的网关设备和方法 | |
| CN113973001A (zh) | 一种认证密钥的更新方法及装置 | |
| CN115242392A (zh) | 基于安全传输协议实现工业信息安全传输的方法及系统 | |
| CN118214558B (zh) | 一种数据流通处理方法、系统、装置及存储介质 | |
| CN101325486B (zh) | 域许可密钥的转移方法及设备 | |
| CN114039812B (zh) | 数据传输通道建立方法、装置、计算机设备和存储介质 | |
| CN108111515B (zh) | 一种适用于卫星通信的端到端安全通信加密方法 | |
| CN112787819B (zh) | 一种工业控制安全通信系统及通信方法 | |
| CN111935112B (zh) | 一种基于串行的跨网数据安全摆渡设备和方法 | |
| CN108737414A (zh) | 一种互联网数据安全传输方法及其安全传输装置及其实现方法 | |
| CN115766271A (zh) | 一种基于后向散列链信源认证的网络隔离设备 | |
| CN111310211A (zh) | 一种商密sm4算法加密数据库的方法 | |
| CN117544951B (zh) | 一种5g物联网安全网关 | |
| CN117528506A (zh) | 数据转发方法、接入控制器、无线接入点、设备及介质 | |
| Li et al. | A Security Data Transmission Approach based on IPv4 Extension Header in CPN |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |