[go: up one dir, main page]

CN117528506A - 数据转发方法、接入控制器、无线接入点、设备及介质 - Google Patents

数据转发方法、接入控制器、无线接入点、设备及介质 Download PDF

Info

Publication number
CN117528506A
CN117528506A CN202311346877.1A CN202311346877A CN117528506A CN 117528506 A CN117528506 A CN 117528506A CN 202311346877 A CN202311346877 A CN 202311346877A CN 117528506 A CN117528506 A CN 117528506A
Authority
CN
China
Prior art keywords
access point
wireless access
access controller
quantum key
data message
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202311346877.1A
Other languages
English (en)
Inventor
潘华清
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Shenzhen Dazoo Technology Co ltd
Original Assignee
Shenzhen Dazoo Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Shenzhen Dazoo Technology Co ltd filed Critical Shenzhen Dazoo Technology Co ltd
Priority to CN202311346877.1A priority Critical patent/CN117528506A/zh
Publication of CN117528506A publication Critical patent/CN117528506A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/04Key management, e.g. using generic bootstrapping architecture [GBA]
    • H04W12/043Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
    • H04W12/0431Key distribution or pre-distribution; Key agreement
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/32Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
    • H04L9/3247Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/03Protecting confidentiality, e.g. by encryption
    • H04W12/033Protecting confidentiality, e.g. by encryption of the user plane, e.g. user's traffic

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本申请提供一种数据转发方法、接入控制器、无线接入点、设备及介质,方法包括:接入控制器按照量子密钥协议流程,分别与第一无线接入点和第二无线接入点协商获得第一量子密钥和第二量子密钥;接入控制器若接收到第一无线接入点发送的第一加密数据报文,则基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;接入控制器将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。本申请的方案,提高了数据转发的安全性和准确性。

Description

数据转发方法、接入控制器、无线接入点、设备及介质
技术领域
本申请涉及通信技术,尤其涉及一种数据转发方法、接入控制器、无线接入点、设备及介质。
背景技术
无线网络中包括多个无线接入点(Access Point,简称AP),为了保证多个无线接入点之间数据传输的安全性,可以通过接入控制器(Access Controller,简称AC)实现无线接入点之间数据的集中转发。
集中式转发模式下,所有无线接入点的数据都需要通过接入控制器进行转发处理,这使得数据转发通道成为数据安全的关键点。随着现代计算能力的不断提升,极大地提高了密码破解的速度和效率。
相关技术中,无线接入点和接入控制器之间信道仍采用传统的保密通信方式,无线网络中的数据存在被窃取和篡改的风险,数据转发的安全性和准确性较低。
发明内容
本申请提供一种数据转发方法、接入控制器、无线接入点、设备及介质,旨在解决数据转发的安全性和准确性较低的问题。
第一方面,本申请提供一种数据转发方法,应用于接入控制器,所述方法包括:所述接入控制器按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;所述接入控制器若接收到所述第一无线接入点发送的第一加密数据报文,则基于所述第一量子密钥对所述第一加密数据报文进行解密,获得待转发数据报文;其中,所述第一加密数据报文是所述第一无线接入点基于所述第一量子密钥对所述待转发数据报文进行量子加密得到的;所述接入控制器按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;基于所述第二量子密钥对解密得到的所述待转发数据报文进行量子加密,得到第二加密数据报文;所述接入控制器将所述第二加密数据报文发送给所述第二无线接入点,以使所述第二无线接入点基于所述第二量子密钥解密得到所述待转发数据报文。
可选的,所述量子密钥协商流程包括:所述接入控制器生成对称密钥;所述接入控制器将所述对称密钥发送给当前协商的无线接入点;所述接入控制器生成量子密钥,基于所述对称密钥对所述量子密钥进行异或计算,获得中间量子密钥;所述接入控制器将所述中间量子密钥发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
可选的,所述接入控制器生成对称密钥之前,所述方法还包括:所述接入控制器获取第一验证信息,所述第一验证信息包括:所述当前协商的无线接入点对应的公钥;所述接入控制器生成第一随机数;并将所述第一随机数发送给所述当前协商的无线接入点,以使所述当前协商的无线点接入点生成第二随机数;所述接入控制器将接入控制器的标识发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第一杂凑值,以及,以使所述当前协商的无线接入点应用SM2算法基于所述当前协商的无线接入点对应的公钥、所述当前协商的无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;所述接入控制器接收所述当前协商的无线接入点发送的所述第二随机数、所述第一杂凑值以及所述第一签名值;所述接入控制器基于所述当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;所述接入控制器生成对称密钥,具体包括:所述接入控制器判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
可选的,所述第一验证信息还包括所述接入控制器对应的公钥、所述接入控制器对应的私钥;所述接入控制器将所述对称密钥发送给当前协商的无线接入点包括:所述接入控制器应用SM2算法基于所述当前协商的无线接入点对应的公钥对所述对称密钥进行加密,获得加密数据;所述接入控制器应用SM3算法基于所述加密数据生成第三杂凑值;所述接入控制器应用SM2算法基于所述接入控制器对应的公钥和所述接入控制器对应的私钥对所述第三杂凑值进行签名,获得第二签名值;所述接入控制器将所述加密数据、所述第三杂凑值以及所述第二签名值发送给所述当前协商的无线接入点;以使所述当前协商的无线接入点基于所述加密数据、所述第三杂凑值以及所述第二签名值获得所述对称密钥。
第二方面,本申请提供一种数据转发方法,应用于无线接入点,所述方法包括:所述无线接入点按照量子密钥协商流程,与接入控制器协商获得量子密钥;所述无线接入点基于所述量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;将所述第一加密数据报文发送给所述接入控制器,以使所述接入控制器基于所述量子密钥对所述第一加密数据报文进行解密,获得所述第一待转发数据报文;或者,所述无线接入点接收所述接入控制器发送的第二加密数据报文,基于所述量子密钥对所述第二加密数据报文进行解密,获得第二待转发数据报文;其中,所述第二加密数据报文为所述接入控制器基于所述量子密钥对所述第二待转发数据报文加密得到的。
可选的,所述量子密钥协商流程包括:所述无线接入点接收所述接入控制器发送的对称密钥;所述无线接入点接收所述接入控制器发送的中间量子密钥;所述无线接入点基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
可选的,所述无线接入点接收所述接入控制器发送的对称密钥之前,所述方法还包括:所述无线接入点获取第二验证信息,所述第二验证信息包括:所述无线接入点对应的公钥和所述无线接入点对应的私钥;所述无线接入点接收所述接入控制器发送的第一随机数,生成第二随机数;所述无线接入点接收所述接入控制器发送的接入控制器的标识;所述无线接入点应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成的第一杂凑值;所述无线接入点应用SM2算法基于所述无线接入点对应的公钥、所述无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;所述无线接入点将所述第二随机数、所述第一杂凑值以及所述第一签名值发送给所述接入控制器,以使所述接入控制器基于所述当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;并判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
可选的,所述第二验证信息还包括:所述接入控制器对应的公钥;所述无线接入点接收所述接入控制器发送的对称密钥包括:所述无线接入点接收加密数据、第三杂凑值以及第二签名值;其中,所述加密数据为所述接入控制器应用SM2算法基于所述无线接入点对应的公钥对所述对称密钥进行加密获得的;所述第三杂凑值为所述接入控制器应用SM3算法基于所述加密数据生成的;所述第二签名值为所述接入控制器应用SM2算法对所述接入控制器对应的公钥和所述接入控制器对应的私钥对所述第三杂凑值进行签名获得的;所述无线接入点基于所述接入控制器对应的公钥验证所述第二签名值;验证通过后,应用SM3算法生成所述加密数据对应的第四杂凑值;所述无线接入点判断所述第三杂凑值与所述第四杂凑值是否相同;若相同,应用SM2算法基于所述无线接入点对应的公钥对所述加密数据解密获得所述对称密钥。
第三方面,本申请提供一种接入控制器,所述接入控制器,包括:第一协商模块、第一接收模块、第一解密模块、第一加密模块以及第一发送模块;所述第一协商模块,用于按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;所述第一解密模块,用于若所述第一接收模块接收到所述第一无线接入点发送的第一加密数据报文,则基于所述第一量子密钥对所述第一加密数据报文进行解密,获得待转发数据报文;其中,所述第一加密数据报文是所述第一无线接入点基于所述第一量子密钥对所述待转发数据报文进行量子加密得到的;所述第一协商模块,还用于按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;所述第一加密模块,用于基于所述第二量子密钥对解密得到的所述待转发数据报文进行量子加密,得到第二加密数据报文;所述第一发送模块,用于将所述第二加密数据报文发送给所述第二无线接入点,以使所述第二无线接入点基于所述第二量子密钥解密得到所述待转发数据报文。
可选的,所述第一协商模块具体用于:生成对称密钥;将所述对称密钥发送给当前协商的无线接入点;生成量子密钥,基于所述对称密钥对所述量子密钥进行异或计算,获得中间量子密钥;将所述中间量子密钥发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
可选的,所述接入控制器还包括:第一获取模块、第一生成模块以及验证模块;所述第一获取模块,用于获取第一验证信息,所述第一验证信息包括:所述当前协商的无线接入点对应的公钥;所述第一生成模块,用于生成第一随机数;所述第一发送模块,还用于将所述第一随机数发送给所述当前协商的无线接入点,以使所述当前协商的无线点接入点生成第二随机数;所述第一发送模块,还用于将接入控制器的标识发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第一杂凑值,以及,以使所述当前协商的无线接入点应用SM2算法基于所述当前协商的无线接入点对应的公钥、所述当前协商的无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;所述第一接收模块,还用于接收所述当前协商的无线接入点发送的所述第二随机数、所述第一杂凑值以及所述第一签名值;所述验证模块,用于基于所述当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;所述第一协商模块用于生成对称密钥时,具体用于:判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
可选的,所述第一验证信息还包括所述接入控制器对应的公钥、所述接入控制器对应的私钥;所述第一协商模块用于将所述对称密钥发送给当前协商的无线接入点时,具体用于:应用SM2算法基于所述当前协商的无线接入点对应的公钥对所述对称密钥进行加密,获得加密数据;应用SM3算法基于所述加密数据生成第三杂凑值;应用SM2算法基于所述接入控制器对应的公钥和所述接入控制器对应的私钥对所述第三杂凑值进行签名,获得第二签名值;将所述加密数据、所述第三杂凑值以及所述第二签名值发送给所述当前协商的无线接入点;以使所述当前协商的无线接入点基于所述加密数据、所述第三杂凑值以及所述第二签名值获得所述对称密钥。
第四方面,本申请提供一种无线接入点,所述无线接入点包括:第二协商模块、第二加密模块、第二发送模块、第二接收模块以及第二解密模块;所述第二协商模块,用于按照量子密钥协商流程,与接入控制器协商获得量子密钥;所述第二加密模块,用于基于所述量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;所述第二发送模块,用于将所述第一加密数据报文发送给所述接入控制器,以使所述接入控制器基于所述量子密钥对所述第一加密数据报文进行解密,获得所述第一待转发数据报文;或者,所述第二接收模块,用于接收所述接入控制器发送的第二加密数据报文;所述第二解密模块,用于基于所述量子密钥对所述第二加密数据报文进行解密,获得第二待转发数据报文;其中,所述第二加密数据报文为所述接入控制器基于所述量子密钥对所述第二待转发数据报文加密得到的。
可选的,所述第二协商模块,具体用于:接收所述接入控制器发送的对称密钥;接收所述接入控制器发送的中间量子密钥;基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
可选的,所述无线接入点还包括:第二获取模块、第二生成模块以及签名模块;所述第二获取模块,用于获取第二验证信息,所述第二验证信息包括:所述无线接入点对应的公钥和所述无线接入点对应的私钥;所述第二接收模块,还用于接收所述接入控制器发送的第一随机数,生成第二随机数;所述第二接收模块,还用于接收所述接入控制器发送的接入控制器的标识;所述第二生成模块,用于应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成的第一杂凑值;所述签名模块,用于应用SM2算法基于所述无线接入点对应的公钥、所述无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;所述第二发送模块,还用于将所述第二随机数、所述第一杂凑值以及所述第一签名值发送给所述接入控制器,以使所述接入控制器基于所述当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;并判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
可选的,所述第二验证信息还包括:所述接入控制器对应的公钥;所述第二协商模块用于接收所述接入控制器发送的对称密钥时,具体用于:接收加密数据、第三杂凑值以及第二签名值;其中,所述加密数据为所述接入控制器应用SM2算法基于所述无线接入点对应的公钥对所述对称密钥进行加密获得的;所述第三杂凑值为所述接入控制器应用SM3算法基于所述加密数据生成的;所述第二签名值为所述接入控制器应用SM2算法对所述接入控制器对应的公钥和所述接入控制器对应的私钥对所述第三杂凑值进行签名获得的;基于所述接入控制器对应的公钥验证所述第二签名值;验证通过后,应用SM3算法生成所述加密数据对应的第四杂凑值;判断所述第三杂凑值与所述第四杂凑值是否相同;若相同,应用SM2算法基于所述无线接入点对应的公钥对所述加密数据解密获得所述对称密钥。
第五方面,本申请提供一种无线控制服务器,包括如前所述的接入控制器。
第六方面,本申请提供一种电子设备,包括:处理器,以及与所述处理器通信连接的存储器;所述存储器存储计算机执行指令;所述处理器执行所述存储器存储的计算机执行指令,以实现用于实现如前所述的方法。
第七方面,本申请提供一种计算机可读存储介质,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如前所述的方法。
本申请提供的数据转发方法、接入控制器、无线接入点、设备及介质中,接入控制器按照量子密钥协议流程,分别与第一无线接入点和第二无线接入点协商获得第一量子密钥和第二量子密钥;接入控制器若接收到第一无线接入点发送的第一加密数据报文,则基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;其中,第一加密数据报文是第一无线接入点基于第一量子密钥对待转发数据报文进行量子加密得到的;基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;接入控制器将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。本申请的方案,第一无线接入点为发送端无线接入点,第二无线接入点为接收端无线接入点,接入控制器与第一无线接入点协商获得第一量子密钥,第一无线接入点基于第一量子密钥对待转发数据加密获得第一加密数据报文,接入控制器基于第一量子密钥对第一加密数据报文进行解密获得待转发数据报文;并且,接入控制器与第二无线接入点协商获得第二量子密钥,接入控制器基于第二量子密钥对待转发数据加密获得第二加密数据报文,第二无线接入点基于第二量子密钥对第二加密数据报文进行解密获得待转发数据报文,能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
附图说明
此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
图1为本申请提供的数据转发方法的场景示意图;
图2为本申请实施例一提供的一种数据转发方法的流程示意图;
图3为本申请实施例一提供的一种接入控制器的数据收发流程图;
图4为本申请实施例二提供的一种数据转发方法的流程示意图;
图5为本申请实施例二提供的一种无线接入点的数据收发流程图;
图6为本申请实施例三提供的一种数据转发方法的交互流程示意图;
图7为本申请实施例三提供的一种量子密钥协商流程交互示意图;
图8为本申请实施例四提供的一种接入控制器的结构示意图;
图9为本申请实施例五提供的一种无线接入点的结构示意图;
图10为本申请实施例六提供的电子设备的结构示意图。
通过上述附图,已示出本申请明确的实施例,后文中将有更详细的描述。这些附图和文字描述并不是为了通过任何方式限制本申请构思的范围,而是通过参考特定实施例为本领域技术人员说明本申请的概念。
具体实施方式
这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
需要说明的是,本申请中对于术语的简要说明,仅是为了方便理解接下来描述的实施方式,而不是意图限定本申请的实施方式。除非另有说明,这些术语应当按照其普通和通常的含义理解。
本申请中说明书和权利要求书及上述附图中的术语“第一”、“第二”等是用于区别类似或同类的对象或实体,而不必然意味着限定特定的顺序或先后次序,除非另外注明(Unless otherwise indicated)。应该理解这样使用的用语在适当情况下可以互换,例如能够根据本申请实施例图示或描述中给出那些以外的顺序实施。
此外,术语“包括”和“具有”以及他们的任何变形,意图在于覆盖但不排他的包含,例如,包含了一系列组件的产品或设备不必限于清楚地列出的那些组件,而是可包括没有清楚地列出的或对于这些产品或设备固有的其它组件。本申请中使用的术语“模块”,是指任何已知或后来开发的硬件、软件、固件、人工智能、模糊逻辑或硬件或/和软件代码的组合,能够执行与该元件相关的功能。
本申请各实施例中使用的术语“无线接入点(Access Point,简称AP)”,是指允许无线设备连接到有线网络的网络设备,例如,路由器、基站等。本申请各实施例中使用的术语“接入控制器(Access Controller,简称AC)”,是指无线局域网接入控制设备,负责将来自不同无线接入点的数据进行汇聚并接入网络中,同时完成无线接入点设备的配置管理和无线用户的认证、管理,以及带宽、访问、切换、安全等控制功能。
实际中,无线网络中包括多个无线接入点(AP),为了保证多个无线接入点之间数据传输的安全性,可以通过接入控制器(AC)实现无线接入点之间数据的集中转发。
图1为本申请提供的数据转发方法的场景示意图。如图1所示,无线接入点101和无线接入点102之间数据传输需要通过接入控制器100转发。无线接入点101对应终端103,无线接入点102对应终端104。
其中,终端103和终端104可以是智能设备,如移动终端、计算机、服务器、平板电脑、笔记本电脑、智能手表等。终端103和终端104可以通过本地网(Local Area Network,简称LAN)、广域网(Wide Area Network,简称WAN)、无线局域网(Wireless Local AreaNetwork,简称WLAN)或其他网络分别与无线接入点101和无线接入点102通信。实际应用中,每个无线接入点可以对应多个终端。
实际应用中,每个无线接入点既可以将数据发送给接入控制器100,也可以接收接入控制器100发送的数据。以将终端103发送的数据转发至终端104的过程进行示例,终端103将数据发送给无线接入点101,无线接入点101通过CAPWAP隧道封装数据发送给接入控制器100;在接入控制器100端对接收的数据解封装、分析和处理,然后通过CAPWAP隧道封装将数据发送给无线接入点102;在无线接入点102端对接收的数据解封装、分析和处理,将数据发送给终端104。
在集中式转发模式下,用户的所有业务流量都通过接入控制器100进行转发处理,这使得数据转发通道成为了数据安全的关键点。如果数据转发通道受到攻击、泄漏或被入侵,可能导致整个网络的数据安全受到威胁。随着现代计算能力的不断提升,特别是量子计算机的出现,极大地提高了密码破解的速度和效率。传统的加密算法,如对称加密和公钥加密,可能在面对大规模的计算攻击时变得脆弱。强大的计算能力使得攻击者可以使用暴力破解、字典攻击和分析方法更快地破解加密的密钥,从而获取敏感信息。
相关技术中,无线接入点和接入控制器之间信道仍采用传统的加密算法,无线网络中的数据存在被窃取和篡改的风险,数据转发的安全性和准确性较低。
本申请提供的技术内容,旨在解决相关技术的如上述技术问题。
下面以具体的实施例对本申请的技术方案以及本申请的技术方案进行详细说明。下面这几个具体的实施例可以相互结合,对于相同或相似的概念或过程可能在某些实施例中不再赘述。在本申请的描述中,除非另有明确的规定和限定,各术语应在本领域内做广义理解。下面将结合附图,对本申请的实施例进行描述。
图2为本申请实施例一提供的一种数据转发方法的流程示意图,应用于接入控制器,如图2所示,该方法包括以下步骤:步骤201:接入控制器按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;步骤202:接入控制器若接收到第一无线接入点发送的第一加密数据报文,则基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;其中,第一加密数据报文是第一无线接入点基于第一量子密钥对待转发数据报文进行量子加密得到的;步骤203:接入控制器按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;步骤204:接入控制器基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;步骤205:接入控制器将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。
本实施例中,第一无线接入点是指发送待转发数据报文的无线接入点,第二无线接入点是指接收待转发数据报文的无线接入。实际应用中,接入控制器对应多个无线接入点,每个无线接入点对应多个终端。无线接入点既可以作为第一无线接入点也可以作为第二无线接入点。
具体的,无线接入点作为第一无线接入点时,无线接入点对应的终端将待转发数据报文传输给无线接入点,无线接入点基于预先与接入控制器协商获得的第一量子密钥对待转发数据报文进行加密获得第一加密数据报文,并添加CAPWA隧道头部对第一加密数据报文进行封装,并将封装后的第一加密数据报文发送给接入控制器。对应的,接入控制器接收无线接入点发送的经过封装的第一加密数据报文,去掉CAPWA隧道头部进行解封装,并基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文。
实际应用中,接入控制器获得待转发数据报文之后,确定第二无线接入点。可选的,在一种示例中,待转发报文数据中包括第二无线接入点的标识,接入控制器获得待转发数据报文之后,基于第二无线接入点的标识从接入控制器对应的多个无线接入点中,确定第二无线接入点。
具体的,接入控制器按照与第二无线接入点协商获得的第二量子密钥,对待转发数据报文进行加密,获得第二加密数据报文,并添加CAPWA隧道头部对第二加密数据报文进行封装,并将封装后的第二加密数据报文发送给第二无线接入点。对应的,第二无线接入点接收接入控制器发送的经过封装的第二加密数据报文,去掉CAPWA隧道头部进行解封装,基于第二量子密钥对第二加密数据报文进行解密,获得待转发数据报文。
实际应用中,第二无线接入点获得待转发数据报文之后,可以将待转发数据报文发送给第二无线接入点对应的终端。可选的,在一种示例中,待转发数据报文包括接收待转发数据报文的终端的标识,第二无线接入点获得待转发数据报文之后,基于接收待转发数据报文的终端的标识,确定接收待转发数据报文的终端,并将待转发数据报文发送给该终端。
需要说明的是,量子密钥为无线接入点与接入控制器需要通信时,实时协商获得的,并且量子密钥是随机产生的,窃听者无法预测或干预这些量子态的产生,具有更高的安全性。本实施例中,接入控制器将第一无线接入点发送的待转发数据,转发给第二无线接入点,对于第一无线接入点与接入控制器之间传输过程,通过预先协商获得的第一量子密钥对待转发数据进行加密;对于第二无线接入点与接入控制器之间传输过程,通过预先协商获得的第二量子密钥对待转发数据进行加密。可以理解的是,本实施例中的数据转发方法能够实现对整个数据转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,步骤201或步骤203中的量子密钥协商流程包括:接入控制器生成对称密钥;接入控制器将对称密钥发送给当前协商的无线接入点;接入控制器生成量子密钥,基于对称密钥对量子密钥进行异或计算,获得中间量子密钥;接入控制器将中间量子密钥发送给当前协商的无线接入点,以使当前协商的无线接入点基于对称密钥对中间量子密钥进行异或计算,获得量子密钥。
实际应用中,为了保证当前协商的无线接入点获得的量子密钥的准确性,接入控制器不直接将量子密钥发送给当前协商的无线接入点。本实施方式中,基于异或运算的特性,将量子密钥发送给当前协商的无线接入点。
实际应用中,无线接入点需要与接入控制器通信时,无线接入点向接入控制器发送密钥请求,接入控制器对无线接入点进行验证,验证通过后,随机生成对称密钥,接入控制器将对称密钥发送给无线接入点。接入控制器生成量子密钥,将对称密钥和量子密钥进行异或运算得到中间量子密钥,并将中间量子密钥发送给当前协商的无线接入点。对应的,无线接入点将对称密钥与中间量子密钥进行异或运算获得量子密钥。
本实施方式中,接入控制器分别向当前协商的无线接入点发送对称密钥和中间量子密钥,基于异或运算的特性计算获得量子密钥,实现了量子密钥的协商的同时,提高了量子协商的准确性,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述接入控制器生成对称密钥之前,该方法还包括:接入控制器获取第一验证信息,第一验证信息包括:当前协商的无线接入点对应的公钥;接入控制器生成第一随机数;将第一随机数发送给当前协商的无线接入点,以使当前协商的无线点接入点生成第二随机数;接入控制器将接入控制器的标识发送给当前协商的无线接入点,以使当前协商的无线接入点应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第一杂凑值,以及,以使当前协商的无线接入点应用SM2算法基于当前协商的无线接入点对应的公钥、当前协商的无线接入点对应的私钥以及接入控制器的标识对第一杂凑值进行签名获得第一签名值;接入控制器接收当前协商的无线接入点发送的第二随机数、第一杂凑值以及第一签名值;接入控制器基于当前协商的无线接入点对应的公钥验证第一签名值;验证通过后,应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第二杂凑值;上述接入控制器生成对称密钥,具体包括:接入控制器判断第一杂凑值和第二杂凑值是否相同;若相同,则生成对称密钥。
本实施方式中,接入控制器与当前协商的无线接入点按照量子密钥协商流程,协商获得量子密钥之前,接入控制器对当前协商的无线接入点进行验证,进一步保证了接入控制器与当前协商的无线接入点之间通信的安全性和准确性,在此基础上可以获得准确的量子密钥,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,关于对称密钥的发送方式,在一种可能的实施方式中,上述第一验证信息还包括接入控制器对应的公钥、接入控制器对应的私钥;接入控制器将对称密钥发送给当前协商的无线接入点包括:接入控制器应用SM2算法基于当前协商的无线接入点对应的公钥对上述对称密钥进行加密,获得加密数据;接入控制器应用SM3算法基于加密数据生成第三杂凑值;接入控制器应用SM2算法基于接入控制器对应的公钥和接入控制器对应的私钥对第三杂凑值进行签名,获得第二签名值;接入控制器将加密数据、第三杂凑值以及第二签名值发送给当前协商的无线接入点;以使当前协商的无线接入点基于加密数据、第三杂凑值以及第二签名值获得对称密钥。
为了更好的理解接入控制器的工作原理,结合图3进行说明,图3为本申请实施例一提供的一种接入控制器的数据收发流程图。具体的,接入控制器包括AC网口、AC隧道接口以及内核网络协议栈。
实际应用中,接入控制器通过AC网口接收报文,将报文传输给内核网络协议栈,内核网络协议栈判断报文是否是通过AC隧道接口接收的,若是,说明该报文为第一无线接入点发送的第一加密数据报文,则去掉CAPWAP隧道头部,基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文,将待转发数据报文传输给内核网络协议栈;若不是,说明该数据报文可能是,与接入控制器端连接的其他设备发送的,则继续协议栈处理。
对应的,内核网络协议栈判断是否需要将待转发数据报文通过AC隧道接口发送,即将待转发数据报文传输给第二无线接入点;若需要将待转发数据报文通过AC隧道接口发送,则基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;并对第二加密数据报文封装CAPWAP隧道头部,接入控制器通过AC网口将经过封装的第二加密数据报文发送给第二无线接入点。
可选的,接入控制器对第一加密数据报文进行量子解密以及对待转发数据报文进行量子加密的过程可以通过接入控制器中的软件程序实现,例如,应用软件程序调用量子硬件安全卡;也可以调用接入控制器中硬件实现,例如,调用CPU单元,在此不做具体限定。
本实施例提供的数据转发方法中,接入控制器按照量子密钥协议流程,分别与第一无线接入点和第二无线接入点协商获得第一量子密钥和第二量子密钥;接入控制器若接收到第一无线接入点发送的第一加密数据报文,则基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;其中,第一加密数据报文是第一无线接入点基于第一量子密钥对待转发数据报文进行量子加密得到的;基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;接入控制器将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。本申请实施例中,第一无线接入点为发送端无线接入点,第二无线接入点为接收端无线接入点,接入控制器与第一无线接入点协商获得第一量子密钥,第一无线接入点基于第一量子密钥对待转发数据加密获得第一加密数据报文,接入控制器基于第一量子密钥对第一加密数据报文进行解密获得待转发数据报文;并且,接入控制器与第二无线接入点协商获得第二量子密钥,接入控制器基于第二量子密钥对待转发数据加密获得第二加密数据报文,第二无线接入点基于第二量子密钥对第二加密数据报文进行解密获得待转发数据报文,能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
图4为本申请实施例二提供的一种数据转发方法的流程示意图,应用于无线接入点,如图4所示,该方法包括以下步骤:步骤401:无线接入点按照量子密钥协商流程,与接入控制器协商获得量子密钥;步骤402:无线接入点基于量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;步骤403:无线接入点将第一加密数据报文发送给接入控制器,以使接入控制器基于量子密钥对第一加密数据报文进行解密,获得第一待转发数据报文;步骤404:无线接入点接收接入控制器发送的第二加密数据报文;步骤405:无线接入点基于量子密钥对第二加密数据报文进行解密,获得第二待转发数据报文;其中,第二加密数据报文为接入控制器基于量子密钥对第二待转发数据报文加密得到的。
实际应用中,接入控制器对应多个无线接入点,每个无线接入点对应多个终端。无线接入点既可以作为发送端无线接入点也可以作为接收端的无线接入点,在此不做具体限定。本实施例中,对于一次数据转发过程,发送端的无线接入点为第一接入点,接收端的无线接入点为第二接入点,无线接入点既可以作为第一无线接入点也可以作为第二无线接入点。
具体的,无线接入点作为第一无线接入点时,无线接入点对应的终端将第一待转发数据报文传输给无线接入点,无线接入点基于预先与接入控制器协商获得的量子密钥对第一待转发数据报文进行加密获得第一加密数据报文,并添加CAPWA隧道头部对第一加密数据报文进行封装,并将封装后的第一加密数据报文发送给接入控制器。对应的,接入控制器接收无线接入点发送的经过封装的第一加密数据报文,去掉CAPWA隧道头部进行解封装,并基于量子密钥对第一加密数据报文进行解密,获得第一待转发数据报文。
实际应用中,接入控制器获得第一待转发数据报文之后,基于第一待转发数据报文确定第二无线接入点。可选的,在一种示例中,第一待转发报文数据中包括第二无线接入点的标识,接入控制器获得第一待转发数据报文之后,基于第二无线接入点的标识从接入控制器对应的多个无线接入点中,确定第二无线接入点。
具体的,无线接入点作为第二无线接入点时,接入控制器按照与第二无线接入点协商获得的量子密钥,对第二待转发数据报文进行加密,获得第二加密数据报文,并添加CAPWA隧道头部对第二加密数据报文进行封装,并将封装后的第二加密数据报文发送给第二无线接入点。对应的,无线接入点接收接入控制器发送的经过封装的第二加密数据报文,去掉CAPWA隧道头部进行解封装,基于量子密钥对第二加密数据报文进行解密,获得第二待转发数据报文。
实际应用中,无线接入点获得第二待转发数据报文之后,可以将第二待转发数据报文发送给无线接入点对应的终端。可选的,在一种示例中,第二待转发数据报文包括接收待转发数据报文的终端的标识,无线接入点获得第二待转发数据报文之后,基于接收第二待转发数据报文的终端的标识,确定接收第二待转发数据报文的终端,并将第二待转发数据报文发送给该终端。
需要说明的是,量子密钥为无线接入点与接入控制器需要通信时,实时协商获得的,并且量子密钥是随机产生的,窃听者无法预测或干预这些量子态的产生,具有更高的安全性。本实施例中,无线接入点可以为第一无线接入点也可以第二无线接入点,无线接入点与接入控制器协商获得量子密钥,无线接入点基于量子密钥对第一待转发数据加密获得第一加密数据报文,实现了无线接入点至接入控制器之间发送路径上的量子加密;并且,无线接入点基于量子密钥可以对接入控制器发送的第二加密数据报文进行解密,实现了接入控制器至无线接入点之间接收路径上的量子加密;即能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,步骤201中量子密钥协商流程包括:无线接入点接收接入控制器发送的对称密钥;无线接入点接收接入控制器发送的中间量子密钥;无线接入点基于对称密钥对中间量子密钥进行异或计算,获得量子密钥。
其中,量子密钥为无线接入点与接入控制器之间数据传输所用的密钥。实际应用中,为了保证无线接入点获得的量子密钥的准确性,接入控制器不直接将量子密钥发送给无线接入点。本实施方式中,基于异或运算的特性,将量子密钥发送给当前协商的无线接入点。
实际应用中,无线接入点需要与接入控制器通信时,无线接入点向接入控制器发送密钥请求,接入控制器对无线接入点进行验证,验证通过后,随机生成对称密钥,接入控制器将对称密钥发送给无线接入点。接入控制器生成量子密钥,将对称密钥和量子密钥进行异或运算得到中间量子密钥,并将中间量子密钥发送给无线接入点。对应的,无线接入点将对称密钥与中间量子密钥进行异或运算获得量子密钥。
本实施方式中,无线接入点分别接收接入控制器发送的对称密钥和中间量子密钥,基于异或运算的特性计算获得量子密钥,实现了量子密钥的协商的同时,提高了量子协商的准确性,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述无线接入点接收接入控制器发送的对称密钥之前,该方法还包括:无线接入点获取第二验证信息,第二验证信息包括:无线接入点对应的公钥和无线接入点对应的私钥;无线接入点接收接入控制器发送的第一随机数,生成第二随机数;无线接入点接收接入控制器发送的接入控制器的标识;无线接入点应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成的第一杂凑值;无线接入点应用SM2算法基于无线接入点对应的公钥、无线接入点对应的私钥以及接入控制器的标识对第一杂凑值进行签名获得第一签名值;无线接入点将第二随机数、第一杂凑值以及第一签名值发送给接入控制器,以使接入控制器基于当前协商的无线接入点对应的公钥验证第一签名值;验证通过后,应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第二杂凑值;并判断第一杂凑值和第二杂凑值是否相同;若相同,则生成对称密钥。
本实施方式中,接入控制器与无线接入点按照量子密钥协商流程,协商获得量子密钥之前,接入控制器对无线接入点进行验证,进一步保证了接入控制器与无线接入点之间通信的安全性和准确性,在此基础上可以获得准确的量子密钥,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述第二验证信息还包括:接入控制器对应的公钥;上述无线接入点接收接入控制器发送的对称密钥包括:无线接入点接收加密数据、第三杂凑值以及第二签名值;其中,加密数据为接入控制器应用SM2算法基于无线接入点对应的公钥对上述对称密钥进行加密获得的;第三杂凑值为接入控制器应用SM3算法基于加密数据生成的;第二签名值为接入控制器应用SM2算法对接入控制器对应的公钥和接入控制器对应的私钥对第三杂凑值进行签名获得的;无线接入点基于接入控制器对应的公钥验证第二签名值;验证通过后,应用SM3算法生成加密数据对应的第四杂凑值;无线接入点判断第三杂凑值与第四杂凑值是否相同;若相同,应用SM2算法基于无线接入点对应的公钥对加密数据解密获得对称密钥。
为了更好的理解无线接入点的工作原理,结合图5进行说明,图5为本申请实施例二提供的一种无线接入点的数据收发流程图。具体的,无线接入点包括:接入控制器包括AC网口、AC隧道接口以及内核网络协议栈。
实际应用中,无线接入点通过AC网口接收报文或者接收终端报文,将报文传输给内核网络协议栈;内核网络协议栈判断报文是否通过AP隧道接口接收的;若是,说明报文为接入控制器发送的第二加密数据报文,则去掉CAPWAP隧道头部,基于量子密钥对第二加密数据报文进行解密,获得第二待转发数据报文,将第二待转发数据报文作为待发送数据报文传输给内核网络协议栈处理,继续协议栈处理;若不是,说明该数据报文为无线接入点对应的终端发送的第一待转发数据报文,则作为待发送数据报文继续协议栈处理。
具体的,继续协议栈处理包括:内核网络协议栈判断当前报文是否需要通过AP隧道接口发送;若是,说明待发送数据报文为第一待转发数据报文,则对第一待转发数据报文进行量子加密,得到第一加密数据报文;并对第一加密数据报文封装CAPWAP隧道头部,无线接入点通过AC网口将经过封装的第一加密数据报文发送给接入控制器;若不是,说明待转发数据报文为第二待转发数据报文,则将第二待转发数据报文发送给终端。
可选的,无线接入点对第一待转发数据报文进行量子加密以及对第二加密数据报文进行解密的过程可以通过接入控制器中的软件程序实现,例如,应用软件程序调用量子硬件安全卡;也可以调用接入控制器中硬件实现,例如,调用CPU单元,在此不做具体限定。
本申请实施例中,无线接入点可以为第一无线接入点也可以第二无线接入点,无线接入点与接入控制器协商获得量子密钥,无线接入点基于量子密钥对第一待转发数据加密获得第一加密数据报文,实现了无线接入点至接入控制器之间发送路径上的量子加密;并且,无线接入点基于量子密钥可以对接入控制器发送的第二加密数据报文进行解密,实现了接入控制器至无线接入点之间接收路径上的量子加密;即能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
图6为本申请实施例三提供的一种数据转发方法的交互流程示意图,如图6所示,该方法包括以下步骤:步骤601:接入控制器与第一无线接入点,按照量子密钥协商流程,协商获得第一量子密钥;步骤602:第一无线接入点基于第一量子密钥对待转发数据报文进行加密,获得第一加密数据报文;步骤603:第一无线接入点将第一加密数据报文发送给接入控制器;步骤604:接入控制器基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;步骤605:接入控制器与第二无线接入点,按照量子密钥协商流程,协商获得第二量子密钥;步骤606:接入控制器基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;步骤607:接入控制器将第二加密数据报文发送给第二无线接入点;步骤608:第二无线接入点基于第二量子密钥对第二加密数据报文进行解密,获得待转发数据报文。
可选的,在一种可能的实施方式中,图7本申请实施例三提供的一种量子密钥协商流程交互示意图,如图7所示,上述量子密钥协商流程包括如下步骤:步骤701:接入控制器获取第一验证信息,第一验证信息包括:当前协商的无线接入点对应的公钥、接入控制器对应的公钥以及接入控制器对应的私钥;步骤702:无线接入点获取第二验证信息,第二验证信息包括:无线接入点对应的公钥、无线接入点对应的私钥以及接入控制器对应的公钥;步骤703:接入控制器生成第一随机数;步骤704:接入控制器将第一随机数发送给当前协商的无线接入点;步骤705:无线接入点生成第二随机数;步骤706:无线接入点接收接入控制器发送的接入控制器的标识;步骤707:无线接入点应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成的第一杂凑值;步骤708:无线接入点应用SM2算法基于无线接入点对应的公钥、无线接入点对应的私钥以及接入控制器的标识对第一杂凑值进行签名获得第一签名值;步骤709:无线接入点将第二随机数、第一杂凑值以及第一签名值发送给接入控制器;步骤710:接入控制器基于当前协商的无线接入点对应的公钥验证第一签名值;步骤711:验证通过后,接入控制器应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第二杂凑值;步骤712:接入控制器判断第一杂凑值和第二杂凑值是否相同;若相同,则生成对称密钥。步骤713:接入控制器应用SM2算法基于当前协商的无线接入点对应的公钥对上述对称密钥进行加密,获得加密数据;步骤714:接入控制器应用SM3算法基于加密数据生成第三杂凑值;步骤715:接入控制器应用SM2算法基于接入控制器对应的公钥和接入控制器对应的私钥对第三杂凑值进行签名,获得第二签名值;步骤716:接入控制器将加密数据、第三杂凑值以及第二签名值发送给当前协商的无线接入点;步骤717:无线接入点基于接入控制器对应的公钥验证第二签名值;验证通过后,应用SM3算法生成加密数据对应的第四杂凑值;步骤718:无线接入点判断第三杂凑值与第四杂凑值是否相同;若相同,应用SM2算法基于无线接入点对应的公钥对加密数据解密获得对称密钥;步骤719:接入控制器生成量子密钥,基于对称密钥对量子密钥进行异或计算,获得中间量子密钥;步骤720:接入控制器将中间量子密钥发送给当前协商的无线接入点;步骤721:无线接入点基于对称密钥对中间量子密钥进行异或计算,获得量子密钥。
本申请实施例中,第一无线接入点为发送端无线接入点,第二无线接入点为接收端无线接入点,接入控制器与第一无线接入点协商获得第一量子密钥,第一无线接入点基于第一量子密钥对待转发数据加密获得第一加密数据报文,接入控制器基于第一量子密钥对第一加密数据报文进行解密获得待转发数据报文;并且,接入控制器与第二无线接入点协商获得第二量子密钥,接入控制器基于第二量子密钥对待转发数据加密获得第二加密数据报文,第二无线接入点基于第二量子密钥对第二加密数据报文进行解密获得待转发数据报文,能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
图8为本申请实施例四提供的一种接入控制器的结构示意图,如图8所示,该接入控制器,包括:第一接收模块81、第一发送模块82、第一解密模块83、第一加密模块84以及第一协商模块85;第一协商模块85,用于按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;第一解密模块83,用于若第一接收模块81接收到第一无线接入点发送的第一加密数据报文,则基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;其中,第一加密数据报文是第一无线接入点基于第一量子密钥对待转发数据报文进行量子加密得到的;第一协商模块85,还用于按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;第一加密模块84,用于基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;第一发送模块82,用于将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。
本实施例中,第一无线接入点是指发送待转发数据报文的无线接入点,第二无线接入点是指接收待转发数据报文的无线接入。实际应用中,接入控制器对应多个无线接入点,每个无线接入点对应多个终端。无线接入点既可以作为第一无线接入点也可以作为第二无线接入点。
具体的,无线接入点作为第一无线接入点时,无线接入点对应的终端将待转发数据报文传输给无线接入点,无线接入点基于预先与第一协商模块85协商获得的第一量子密钥对待转发数据报文进行加密获得第一加密数据报文,并添加CAPWA隧道头部对第一加密数据报文进行封装,并将封装后的第一加密数据报文发送给接入控制器。对应的,第一接收模块81接收无线接入点发送的经过封装的第一加密数据报文,第一解密模块83去掉CAPWA隧道头部进行解封装,并基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文。
实际应用中,第一解密模块83获得待转发数据报文之后,确定第二无线接入点。可选的,在一种示例中,待转发报文数据中包括第二无线接入点的标识,第一解密模块83获得待转发数据报文之后,基于第二无线接入点的标识从接入控制器对应的多个无线接入点中,确定第二无线接入点。
具体的,第一加密模块84按照第一协商模块85与第二无线接入点协商获得的第二量子密钥,对待转发数据报文进行加密,获得第二加密数据报文,并添加CAPWA隧道头部对第二加密数据报文进行封装,第一发送模块82将封装后的第二加密数据报文发送给第二无线接入点。对应的,无线接入点作为第二无线接入点时,无线接入点接收第一发送模块82发送的第二加密数据报文,去掉CAPWA隧道头部进行解封装,基于第二量子密钥对第二加密数据报文进行解密,获得待转发数据报文。
实际应用中,第二无线接入点获得待转发数据报文之后,可以将待转发数据报文发送给第二无线接入点对应的终端。可选的,在一种示例中,待转发数据报文包括接收待转发数据报文的终端的标识,第二无线接入点获得待转发数据报文之后,基于接收待转发数据报文的终端的标识,确定接收待转发数据报文的终端,并将待转发数据报文发送给该终端。
需要说明的是,量子密钥为无线接入点与接入控制器需要通信时,实时协商获得的,并且量子密钥是随机产生的,窃听者无法预测或干预这些量子态的产生,具有更高的安全性。本实施例中,接入控制器将第一无线接入点发送的待转发数据,转发给第二无线接入点,对于第一无线接入点与接入控制器之间传输过程,通过预先协商获得的第一量子密钥对待转发数据进行加密;对于第二无线接入点与接入控制器之间传输过程,通过预先协商获得的第二量子密钥对待转发数据进行加密。可以理解的是,本实施例中的接入控制器能够实现对整个数据转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
实际应用中,对于接入控制器的实现形式不做限定,可以是独立的装置也可以集成在其他装置中。可选的,在一种示例中,可以设置无线控制服务器,无线控制服务器包括上述接入控制器。
可选的,在一种可能的实施方式中,第一协商模块85具体用于:生成对称密钥;将对称密钥发送给当前协商的无线接入点;生成量子密钥,基于对称密钥对量子密钥进行异或计算,获得中间量子密钥;将中间量子密钥发送给当前协商的无线接入点,以使当前协商的无线接入点基于对称密钥对中间量子密钥进行异或计算,获得量子密钥。
实际应用中,为了保证当前协商的无线接入点获得的量子密钥的准确性,第一协商模块85不直接将量子密钥发送给当前协商的无线接入点。本实施方式中,基于异或运算的特性,将量子密钥发送给当前协商的无线接入点。
实际应用中,无线接入点需要与接入控制器通信时,无线接入点向接入控制器发送密钥请求,接入控制器对无线接入点进行验证,验证通过后,第一协商模块85随机生成对称密钥,将对称密钥发送给当前协商的无线接入点。第一协商模块85生成量子密钥,将对称密钥和量子密钥进行异或运算得到中间量子密钥,并将中间量子密钥发送给当前协商的无线接入点。对应的,无线接入点将对称密钥与中间量子密钥进行异或运算获得量子密钥。
本实施方式中,第一协商模块85分别向当前协商的无线接入点发送对称密钥和中间量子密钥,基于异或运算的特性计算获得量子密钥,实现了量子密钥的协商的同时,提高了量子协商的准确性,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述接入控制器还包括:第一获取模块、第一生成模块以及验证模块;第一获取模块,用于获取第一验证信息,第一验证信息包括:当前协商的无线接入点对应的公钥;第一生成模块,用于生成第一随机数;第一发送模块,还用于将第一随机数发送给当前协商的无线接入点,以使当前协商的无线点接入点生成第二随机数;第一发送模块82,还用于将接入控制器的标识发送给当前协商的无线接入点,以使当前协商的无线接入点应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第一杂凑值,以及,以使当前协商的无线接入点应用SM2算法基于当前协商的无线接入点对应的公钥、当前协商的无线接入点对应的私钥以及接入控制器的标识对第一杂凑值进行签名获得第一签名值;第一接收模块81,还用于接收当前协商的无线接入点发送的第二随机数、第一杂凑值以及第一签名值;验证模块,用于基于当前协商的无线接入点对应的公钥验证第一签名值;验证通过后,应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第二杂凑值;第一协商模块85用于生成对称密钥时,具体用于:判断第一杂凑值和第二杂凑值是否相同;若相同,则生成对称密钥。
本实施方式中,第一协商模块85与当前协商的无线接入点按照量子密钥协商流程,协商获得量子密钥之前,验证模块对当前协商的无线接入点进行验证,进一步保证了接入控制器与当前协商的无线接入点之间通信的安全性和准确性,在此基础上可以获得准确的量子密钥,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述第一验证信息还包括接入控制器对应的公钥、接入控制器对应的私钥;上述第一协商模块85用于将对称密钥发送给当前协商的无线接入点时,具体用于:应用SM2算法基于当前协商的无线接入点对应的公钥对上述对称密钥进行加密,获得加密数据;应用SM3算法基于加密数据生成第三杂凑值;应用SM2算法基于接入控制器对应的公钥和接入控制器对应的私钥对第三杂凑值进行签名,获得第二签名值;将加密数据、第三杂凑值以及第二签名值发送给当前协商的无线接入点;以使当前协商的无线接入点基于加密数据、第三杂凑值以及第二签名值获得对称密钥。
本实施例提供的接入控制器中,第一协商模块按照量子密钥协议流程,分别与第一无线接入点和第二无线接入点协商获得第一量子密钥和第二量子密钥;若第一接收模块接收到第一无线接入点发送的第一加密数据报文,则第一解密模块基于第一量子密钥对第一加密数据报文进行解密,获得待转发数据报文;其中,第一加密数据报文是第一无线接入点基于第一量子密钥对待转发数据报文进行量子加密得到的;第一加密模块基于第二量子密钥对解密得到的待转发数据报文进行量子加密,得到第二加密数据报文;第一发送模块将第二加密数据报文发送给第二无线接入点,以使第二无线接入点基于第二量子密钥解密得到待转发数据报文。本申请实施例中,第一无线接入点为发送端无线接入点,第二无线接入点为接收端无线接入点,第一协商模块与第一无线接入点协商获得第一量子密钥,第一无线接入点基于第一量子密钥对待转发数据加密获得第一加密数据报文,第一解密模块基于第一量子密钥对第一加密数据报文进行解密获得待转发数据报文;并且,第一协商模块与第二无线接入点协商获得第二量子密钥,第一加密模块基于第二量子密钥对待转发数据加密获得第二加密数据报文,第二无线接入点基于第二量子密钥对第二加密数据报文进行解密获得待转发数据报文,能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
图9为本申请实施例五提供的一种无线接入点的结构示意图,如图9所示,该无线接入点,包括:第二接收模块91、第二发送模块92、第二解密模块93、第二加密模块94、以及第二协商模块95;第二协商模块95,用于按照量子密钥协商流程,与接入控制器协商获得量子密钥;第二加密模块94,用于基于量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;第二发送模块92,用于将第一加密数据报文发送给接入控制器,以使接入控制器基于量子密钥对第一加密数据报文进行解密,获得第一待转发数据报文;或者,第二接收模块91,用于接收接入控制器发送的第二加密数据报文;第二解密模块93,用于基于量子密钥对第二加密数据报文进行解密,获得第二待转发数据报文;其中,第二加密数据报文为接入控制器基于量子密钥对第二待转发数据报文加密得到的。
实际应用中,接入控制器对应多个无线接入点,每个无线接入点对应多个终端。无线接入点既可以作为发送端无线接入点也可以作为接收端的无线接入点,在此不做具体限定。本实施例中,对于一次数据转发过程,发送端的无线接入点为第一接入点,接收端的无线接入点为第二接入点,无线接入点既可以作为第一无线接入点也可以作为第二无线接入点。
具体的,无线接入点作为第一无线接入点时,无线接入点对应的终端将第一待转发数据报文传输给无线接入点,第二加密模块94基于预先第二协商模块95与接入控制器协商获得的量子密钥对第一待转发数据报文进行加密获得第一加密数据报文,并添加CAPWA隧道头部对第一加密数据报文进行封装,第二发送模块92将封装后的第一加密数据报文发送给接入控制器。对应的,接入控制器接收无线接入点发送的经过封装的第一加密数据报文,去掉CAPWA隧道头部进行解封装,并基于量子密钥对第一加密数据报文进行解密,获得第一待转发数据报文。
实际应用中,接入控制器获得第一待转发数据报文之后,基于第一待转发数据报文确定第二无线接入点。可选的,在一种示例中,第一待转发报文数据中包括第二无线接入点的标识,接入控制器获得第一待转发数据报文之后,基于第二无线接入点的标识从接入控制器对应的多个无线接入点中,确定第二无线接入点。
具体的,无线接入点作为第二无线接入点时,接入控制器按照与第二协商模块95协商获得的量子密钥,对第二待转发数据报文进行加密,获得第二加密数据报文,并添加CAPWA隧道头部对第二加密数据报文进行封装,并将封装后的第二加密数据报文发送给第二无线接入点。对应的,第二接收模块91接收接入控制器发送的经过封装的第二加密数据报文,去掉CAPWA隧道头部进行解封装,第二解密模块93基于量子密钥对第二加密数据报文进行解密,获得第二待转发数据报文。
实际应用中,第二解密模块93获得第二待转发数据报文之后,第二发送模块92可以将第二待转发数据报文发送给无线接入点对应的终端。可选的,在一种示例中,第二待转发数据报文包括接收待转发数据报文的终端的标识,第二解密模块93获得第二待转发数据报文之后,基于接收第二待转发数据报文的终端的标识,确定接收第二待转发数据报文的终端,第二发送模块92将第二待转发数据报文发送给该终端。
需要说明的是,量子密钥为无线接入点与接入控制器需要通信时,实时协商获得的,并且量子密钥是随机产生的,窃听者无法预测或干预这些量子态的产生,具有更高的安全性。本实施例中,无线接入点可以为第一无线接入点也可以第二无线接入点,无线接入点与接入控制器协商获得量子密钥,无线接入点基于量子密钥对第一待转发数据加密获得第一加密数据报文,实现了无线接入点至接入控制器之间发送路径上的量子加密;并且,无线接入点基于量子密钥可以对接入控制器发送的第二加密数据报文进行解密,实现了接入控制器至无线接入点之间接收路径上的量子加密;即能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,第二协商模块95,具体用于:接收接入控制器发送的对称密钥;接收接入控制器发送的中间量子密钥;基于对称密钥对中间量子密钥进行异或计算,获得量子密钥。
其中,量子密钥为无线接入点与接入控制器之间数据传输所用的密钥。实际应用中,为了保证无线接入点获得的量子密钥的准确性,接入控制器不直接将量子密钥发送给无线接入点。本实施方式中,基于异或运算的特性,对称密钥对量子密钥进行异或运算获得中间量子密钥,对称密钥对中间量子密钥进行异或运算可以得到量子密钥。
实际应用中,无线接入点需要与接入控制器通信时,无线接入点向接入控制器发送密钥请求,接入控制器对无线接入点进行验证,验证通过后,随机生成对称密钥,接入控制器将对称密钥发送给无线接入点。接入控制器生成量子密钥,将对称密钥和量子密钥进行异或运算得到中间量子密钥,并将中间量子密钥发送给无线接入点。对应的,第二协商模块95将对称密钥与中间量子密钥进行异或运算获得量子密钥。
本实施方式中,第二协商模块95分别接收接入控制器发送的对称密钥和中间量子密钥,基于异或运算的特性计算获得量子密钥,实现了量子密钥的协商的同时,提高了量子协商的准确性,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述无线接入点还包括:第二获取模块、第二生成模块以及签名模块;第二获取模块,用于获取第二验证信息,第二验证信息包括:无线接入点对应的公钥和无线接入点对应的私钥;第二接收模块91,还用于接收接入控制器发送的第一随机数,生成第二随机数;第二接收模块91,还用于接收接入控制器发送的接入控制器的标识;第二生成模块,用于应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成的第一杂凑值;签名模块,用于应用SM2算法基于无线接入点对应的公钥、无线接入点对应的私钥以及接入控制器的标识对第一杂凑值进行签名获得第一签名值;第二发送模块92,还用于将第二随机数、第一杂凑值以及第一签名值发送给接入控制器,以使接入控制器基于当前协商的无线接入点对应的公钥验证第一签名值;验证通过后,应用SM3算法基于第一随机数、第二随机数以及接入控制器的标识生成第二杂凑值;并判断第一杂凑值和第二杂凑值是否相同;若相同,则生成对称密钥。
本实施方式中,接入控制器与第二协商模块95按照量子密钥协商流程,协商获得量子密钥之前,接入控制器对无线接入点进行验证,进一步保证了接入控制器与无线接入点之间通信的安全性和准确性,在此基础上可以获得准确的量子密钥,从而,将量子密钥应用于整个数据转发过程的对待转发数据报文进行量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
可选的,在一种可能的实施方式中,上述第二验证信息还包括:接入控制器对应的公钥;第二协商模块95用于接收接入控制器发送的对称密钥时,具体用于:接收加密数据、第三杂凑值以及第二签名值;其中,加密数据为接入控制器应用SM2算法基于无线接入点对应的公钥对上述对称密钥进行加密获得的;第三杂凑值为接入控制器应用SM3算法基于加密数据生成的;第二签名值为接入控制器应用SM2算法对接入控制器对应的公钥和接入控制器对应的私钥对第三杂凑值进行签名获得的;基于接入控制器对应的公钥验证第二签名值;验证通过后,应用SM3算法生成加密数据对应的第四杂凑值;判断第三杂凑值与第四杂凑值是否相同;若相同,应用SM2算法基于无线接入点对应的公钥对加密数据解密获得对称密钥。
本申请实施例中,无线接入点可以为第一无线接入点也可以第二无线接入点,第二协商模块与接入控制器协商获得量子密钥,第二加密模块基于量子密钥对第一待转发数据加密获得第一加密数据报文,实现了无线接入点至接入控制器之间发送路径上的量子加密;并且,第二解密模块基于量子密钥可以对接入控制器发送的第二加密数据报文进行解密,实现了接入控制器至无线接入点之间接收路径上的量子加密;即能够实现整个转发过程的量子加密,能够降低待转发数据报文被窃取和篡改的风险,提高了数据转发的安全性和准确性。
图10为本申请实施例六提供的电子设备的结构示意图,如图10所示,该电子设备包括:处理器(processor)101,主控装置还包括了存储器(memory)102;还可以包括通信接口(Communication Interface)103和总线104。其中,处理器105、存储器102、通信接口103、可以通过总线104完成相互间的通信。通信接口103可以用于信息传输。处理器101可以调用存储器102中的逻辑指令,以执行上述实施例的方法。
此外,上述的存储器102中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个计算机可读取存储介质中。存储器102作为一种计算机可读存储介质,可用于存储软件程序、计算机可执行程序,如本申请实施例中的方法对应的程序指令/模块。处理器101通过运行存储在存储器102中的软件程序、指令以及模块,从而执行功能应用以及数据处理,即实现上述方法实施例中的方法。存储器102可包括存储程序区和存储数据区,其中,存储程序区可存储操作系统、至少一个功能所需的应用程序;存储数据区可存储根据终端设备的使用所创建的数据等。此外,存储器102可以包括高速随机存取存储器,还可以包括非易失性存储器。
本申请实施例还提供一种计算机可读存储介质,上述计算机可读存储介质中存储有计算机执行指令,上述计算机执行指令被处理器执行时用于实现任一实施例中的方法。例如,上述计算机可读存储介质可以是ROM、随机存取存储器(RAM)、CD-ROM、磁带、软盘和光数据存储设备等。
本领域技术人员在考虑说明书及实践这里公开的发明后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由下面的权利要求书指出。
应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求书来限制。

Claims (10)

1.一种数据转发方法,其特征在于,应用于接入控制器,所述方法包括:
所述接入控制器按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;
所述接入控制器若接收到所述第一无线接入点发送的第一加密数据报文,则基于所述第一量子密钥对所述第一加密数据报文进行解密,获得待转发数据报文;其中,所述第一加密数据报文是所述第一无线接入点基于所述第一量子密钥对所述待转发数据报文进行量子加密得到的;
所述接入控制器按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;基于所述第二量子密钥对解密得到的所述待转发数据报文进行量子加密,得到第二加密数据报文;
所述接入控制器将所述第二加密数据报文发送给所述第二无线接入点,以使所述第二无线接入点基于所述第二量子密钥解密得到所述待转发数据报文。
2.根据权利要求1所述的方法,其特征在于,所述量子密钥协商流程包括:
所述接入控制器生成对称密钥;
所述接入控制器将所述对称密钥发送给当前协商的无线接入点;
所述接入控制器生成量子密钥,基于所述对称密钥对所述量子密钥进行异或计算,获得中间量子密钥;
所述接入控制器将所述中间量子密钥发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
3.根据权利要求2所述的方法,其特征在于,所述接入控制器生成对称密钥之前,所述方法还包括:
所述接入控制器获取第一验证信息,所述第一验证信息包括:所述当前协商的无线接入点对应的公钥;
所述接入控制器生成第一随机数;并将所述第一随机数发送给所述当前协商的无线接入点,以使所述当前协商的无线点接入点生成第二随机数;
所述接入控制器将接入控制器的标识发送给所述当前协商的无线接入点,以使所述当前协商的无线接入点应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第一杂凑值,以及,以使所述当前协商的无线接入点应用SM2算法基于所述当前协商的无线接入点对应的公钥、所述当前协商的无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;
所述接入控制器接收所述当前协商的无线接入点发送的所述第二随机数、所述第一杂凑值以及所述第一签名值;
所述接入控制器基于所述当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;
所述接入控制器生成对称密钥,具体包括:
所述接入控制器判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
4.一种数据转发方法,其特征在于,应用于无线接入点,所述方法包括:
所述无线接入点按照量子密钥协商流程,与接入控制器协商获得量子密钥;
所述无线接入点基于所述量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;将所述第一加密数据报文发送给所述接入控制器,以使所述接入控制器基于所述量子密钥对所述第一加密数据报文进行解密,获得所述第一待转发数据报文;或者,
所述无线接入点接收所述接入控制器发送的第二加密数据报文,基于所述量子密钥对所述第二加密数据报文进行解密,获得第二待转发数据报文;其中,所述第二加密数据报文为所述接入控制器基于所述量子密钥对所述第二待转发数据报文加密得到的。
5.根据权利要求4所述的方法,其特征在于,所述量子密钥协商流程包括:
所述无线接入点接收所述接入控制器发送的对称密钥;
所述无线接入点接收所述接入控制器发送的中间量子密钥;
所述无线接入点基于所述对称密钥对所述中间量子密钥进行异或计算,获得所述量子密钥。
6.根据权利要求5所述的方法,其特征在于,所述无线接入点接收所述接入控制器发送的对称密钥之前,所述方法还包括:
所述无线接入点获取第二验证信息,所述第二验证信息包括:所述无线接入点对应的公钥和所述无线接入点对应的私钥;
所述无线接入点接收所述接入控制器发送的第一随机数,生成第二随机数;
所述无线接入点接收所述接入控制器发送的接入控制器的标识;
所述无线接入点应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成的第一杂凑值;
所述无线接入点应用SM2算法基于所述无线接入点对应的公钥、所述无线接入点对应的私钥以及所述接入控制器的标识对所述第一杂凑值进行签名获得第一签名值;
所述无线接入点将所述第二随机数、所述第一杂凑值以及所述第一签名值发送给所述接入控制器,以使所述接入控制器基于当前协商的无线接入点对应的公钥验证所述第一签名值;验证通过后,应用SM3算法基于所述第一随机数、所述第二随机数以及所述接入控制器的标识生成第二杂凑值;并判断所述第一杂凑值和所述第二杂凑值是否相同;若相同,则生成对称密钥。
7.一种接入控制器,其特征在于,所述接入控制器,包括:第一协商模块、第一接收模块、第一解密模块、第一加密模块以及第一发送模块;
所述第一协商模块,用于按照量子密钥协商流程,与第一无线接入点协商获得第一量子密钥;
所述第一解密模块,用于若所述第一接收模块接收到所述第一无线接入点发送的第一加密数据报文,则基于所述第一量子密钥对所述第一加密数据报文进行解密,获得待转发数据报文;其中,所述第一加密数据报文是所述第一无线接入点基于所述第一量子密钥对所述待转发数据报文进行量子加密得到的;
所述第一协商模块,还用于按照量子密钥协商流程,与第二无线接入点协商获得第二量子密钥;
所述第一加密模块,用于基于所述第二量子密钥对解密得到的所述待转发数据报文进行量子加密,得到第二加密数据报文;
所述第一发送模块,用于将所述第二加密数据报文发送给所述第二无线接入点,以使所述第二无线接入点基于所述第二量子密钥解密得到所述待转发数据报文。
8.一种无线接入点,其特征在于,所述无线接入点包括:第二协商模块、第二加密模块、第二发送模块、第二接收模块以及第二解密模块;
所述第二协商模块,用于按照量子密钥协商流程,与接入控制器协商获得量子密钥;
所述第二加密模块,用于基于所述量子密钥对第一待转发数据报文进行加密,获得第一加密数据报文;所述第二发送模块,用于将所述第一加密数据报文发送给所述接入控制器,以使所述接入控制器基于所述量子密钥对所述第一加密数据报文进行解密,获得所述第一待转发数据报文;或者,
所述第二接收模块,用于接收所述接入控制器发送的第二加密数据报文;所述第二解密模块,用于基于所述量子密钥对所述第二加密数据报文进行解密,获得第二待转发数据报文;其中,所述第二加密数据报文为所述接入控制器基于所述量子密钥对所述第二待转发数据报文加密得到的。
9.一种电子设备,其特征在于,包括:处理器,以及与所述处理器通信连接的存储器;
所述存储器存储计算机执行指令;
所述处理器执行所述存储器存储的计算机执行指令,以实现如权利要求1-3中任一项所述的方法,或者,实现如权利要求4-6中任一项所述的方法。
10.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质中存储有计算机执行指令,所述计算机执行指令被处理器执行时用于实现如权利要求1-3中任一项所述的方法,或者,实现如权利要求4-6中任一项所述的方法。
CN202311346877.1A 2023-10-17 2023-10-17 数据转发方法、接入控制器、无线接入点、设备及介质 Pending CN117528506A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202311346877.1A CN117528506A (zh) 2023-10-17 2023-10-17 数据转发方法、接入控制器、无线接入点、设备及介质

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202311346877.1A CN117528506A (zh) 2023-10-17 2023-10-17 数据转发方法、接入控制器、无线接入点、设备及介质

Publications (1)

Publication Number Publication Date
CN117528506A true CN117528506A (zh) 2024-02-06

Family

ID=89761543

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202311346877.1A Pending CN117528506A (zh) 2023-10-17 2023-10-17 数据转发方法、接入控制器、无线接入点、设备及介质

Country Status (1)

Country Link
CN (1) CN117528506A (zh)

Similar Documents

Publication Publication Date Title
CN111314056B (zh) 基于身份加密体制的天地一体化网络匿名接入认证方法
CN105162772B (zh) 一种物联网设备认证与密钥协商方法和装置
CN101600204B (zh) 一种文件传输方法及系统
CN111614621B (zh) 物联网通信方法和系统
CN111756529B (zh) 一种量子会话密钥分发方法及系统
CN113806772A (zh) 基于区块链的信息加密传输方法及装置
CN104468126B (zh) 一种安全通信系统及方法
CN112351037B (zh) 用于安全通信的信息处理方法及装置
CN111148094B (zh) 5g用户终端的注册方法、用户终端设备及介质
CN113193957B (zh) 一种与量子网络分离的量子密钥服务方法与系统
CN111756627A (zh) 一种电力监控系统的云平台安全接入网关
CN113572766A (zh) 电力数据传输方法和系统
CN106788960A (zh) 一种密钥协商的方法及装置
CN107249002B (zh) 一种提高智能电能表安全性的方法、系统及装置
CN116865966B (zh) 基于量子密钥生成工作密钥的加密方法、装置及存储介质
CN111756528B (zh) 一种量子会话密钥分发方法、装置及通信架构
CN117675285A (zh) 一种身份验证方法、芯片及设备
CN111130775A (zh) 一种密钥协商方法、装置及设备
CN113193958A (zh) 一种高安全高效率的量子密钥服务方法与系统
CN116743372A (zh) 基于ssl协议的量子安全协议实现方法及系统
CN110049045B (zh) 一种电力载波的安全认证系统
CN117914483A (zh) 安全通信方法、装置、设备和介质
CN114928503B (zh) 一种安全通道的实现方法及数据传输方法
CN114374519B (zh) 一种数据传输的方法、系统及设备
CN116405206A (zh) 安全网关数据加密方法、解密方法及安全网关

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination