【技術實現步驟摘要】
本專利技術涉及通信,具體涉及一種全域量子安全虛擬專網的組網方法及系統。
技術介紹
1、虛擬專用網絡,簡稱虛擬專網(vpn),其主要功能是在公用網絡上建立專用網絡,進行加密通訊。在企業網絡中有廣泛應用。vpn網關通過對數據包的加密和數據包目標地址的轉換實現遠程訪問。
2、根據申請號為201910683782.6的專利《虛擬專網的調度方法和系統》中所述的:“邊緣節點之間可以直接通信,并且通過一次尋址到達目標地址,從而可以提高虛擬專網中邊緣節點之間的通信速度以及網絡尋址速度。”可見,虛擬專網中的通信依賴于地址信息,在該專利中地址使用的是物理地址mac地址。由于通信依賴于地址信息,所以地址信息需要公開才能被尋址到,這在數據傳輸的過程中會被直接暴露,給了不法用戶仿冒截取地址信息以仿冒具有該地址的偽造設備,從而截獲本應發給具有該地址的正常設備的數據,產生安全風險。
3、另外,兩個不同的虛擬專網a和b之間是相互隔離的,虛擬專網a和虛擬專網b均使用各自的內網地址,這就使得虛擬專網a和b之間是無法直接使用內網地址進行通信的。
4、綜上,目前的虛擬專網依賴于已被公開的地址信息進行通信的方法造成了該虛擬專網容易被入侵、數據容易被竊取的風險;并且不同虛擬專網之間的隔離使得隸屬于不同專網之間的兩個設備通信困難。有鑒于此,當前需要一個安全的虛擬專網解決通信安全的問題以及通信隔離的問題。
技術實現思路
1、專利技術目的:本專利技術目的是提供一種全域量子安全虛擬專網的組網方法及
2、技術方案:本專利技術提供一種全域量子安全虛擬專網的組網方法,所述組網方法的參與方包括第一邊界基站、接入基站、客戶端、第二邊界基站,所述組網方法包含以下步驟:
3、步驟1:第一邊界基站與第二邊界基站通過互聯網建立連接,并同步原始密鑰文件;
4、步驟2:第一邊界基站與至少一個接入基站分別通過局域網建立連接,第二邊界基站與至少一個接入基站分別通過局域網建立連接,接入基站從第一邊界基站或第二邊界基站中獲取通信密鑰;
5、步驟3:接入基站接收至少一個客戶端的接入請求,基于所述接入請求,確定所述客戶端是否滿足組網接入條件,響應于確定所述客戶端滿足組網接入條件,同意所述接入請求;響應于確定所述客戶端不滿足組網接入條件,拒絕所述接入請求;
6、步驟4:接入基站基于同意接入請求的指示,通過互聯網與所述客戶端建立連接;
7、步驟5:接入基站為接入的客戶端分發通信密鑰。
8、作為本專利技術的一種改進,所述第一邊界基站的內部或外部配置有第一真隨機數發生器,所述第二邊界基站的內部或外部配置有第二真隨機數發生器;在所述步驟1中,所述同步原始密鑰文件的具體過程為:
9、1-1:第一邊界基站基于第一真隨機數發生器產生第一組密鑰,形成長度為n的第一密鑰文件;第二邊界基站基于第二真隨機數發生器產生第二組密鑰,形成長度為n的第二密鑰文件;其中,第一密鑰文件和第二密鑰文件均為量子密鑰;
10、1-2:第一邊界基站將第一密鑰文件加密發送給第二邊界基站,第二邊界基站將第二密鑰文件加密發送給第一邊界基站;
11、1-3:第一邊界基站針對第一密鑰文件和第二密鑰文件執行異或操作,得到并保存第三密鑰文件;第二邊界基站針對第二密鑰文件和第一密鑰文件執行異或操作,得到并保存與第三密鑰文件相同的第四密鑰文件;其中,所述第三密鑰文件和第四密鑰文件為邊界基站為接入基站提供的原始密鑰文件。
12、作為本專利技術的一種改進,所述第一邊界基站或第二邊界基站中設置有密鑰剩余量閾值,當原始密鑰文件的大小低于密鑰剩余量閾值時,重復執行步驟1-1至1-3。
13、作為本專利技術的一種改進,在所述步驟3中,所述滿足組網接入條件的客戶端具有通信區、隔離區、安全區,其中,通信區設置有通信代理,用于客戶端與外界進行通信,接收或發送數據;隔離區設置于通信區和安全區之間,用于連接通信區和安全區,設置有解密單元、加密單元、和應答單元,解密單元用于對從通信區接收到的數據進行解密,加密單元用于對從安全區發送出的數據進行加密,應答單元用于驗證問詢語句的數據格式,并對問詢作出反饋;安全區設置有信息處理單元和密鑰單元,信息處理單元用于進行客戶端中的數據處理過程,密鑰單元用于存儲接入基站分發的通信密鑰;其中,所述通信區的通信代理與隔離區的解密單元、加密單元分別連接,隔離區的解密單元與安全區的信息處理單元、密鑰單元分別連接,隔離區的加密單元與安全區的信息處理單元、密鑰單元分別連接,隔離區的解密單元還與隔離區的應答單元連接。
14、作為本專利技術的一種改進,在所述步驟3中,所述基于所述接入請求,確定所述客戶端是否滿足組網接入條件的具體過程為:
15、3-1:接入基站基于客戶端的接入請求,向客戶端發出問詢q,并與客戶端協商一組通信密鑰k,使用所述通信密鑰k加密問詢q,得到密文q⊕k,其中,所述問詢q的數據格式為具備安全區的客戶端所認可的數據格式,且所述問詢q的接收對象為隔離區的應答單元;
16、3-2:客戶端的通信代理將接收的密文q⊕k傳輸至隔離區的解密單元進行解密,得到問詢q,從解密得到的問詢q中獲得問詢的接收對象;
17、3-3:解密單元基于問詢的接收對象將所述問詢q發送至應答單元;
18、3-4:應答單元對所述問詢q進行數據格式的驗證,響應于驗證通過,應答單元響應所述問詢,反饋此次問詢結果為是,確定所述客戶端滿足組網接入條件,同意所述接入請求;響應于驗證不通過,應答單元拒絕響應該問詢,反饋此次問詢結果為空,確定所述客戶端不滿足組網接入條件,拒絕所述接入請求,所述客戶端重新向所述接入基站發起接入請求。
19、作為本專利技術的一種改進,所述步驟5的具體過程為:
20、5-1:接入基站向第一邊界基站或第二邊界基站請求密鑰,第一邊界基站或第二邊界基站響應所述請求,從存儲的第三密鑰文件或第四密鑰文件中選取一部分發送給接入基站作為接入基站的種子密鑰;
21、5-2:接入基站監測到與所述客戶端建立連接后,確定所述客戶端中密鑰單元的存儲大小;
22、5-3:接入基站基于步驟5-2中的客戶端中密鑰單元的存儲大小針對種子密鑰執行擴充算法,得到滿足存儲大小的擴充密鑰文件;
23、5-4:接入基站將擴充密鑰文件加密發送給所述客戶端;
24、5-5:所述客戶端的通信代理接收加密后的擴充密鑰文件,將接收到的加密后的擴充密鑰文件轉發至隔離區的解密單元進行解密,解密單元將解密得到的擴充密鑰文件傳輸至安全區的密鑰單元進行存儲。
25、作為本專利技術的一種改進,還提供一種全域量子安全虛擬專網的組網系統,所述組網系統采用如上文所述的全域量子安全虛擬專網的組網方法構建,所述組網系統包括經由互聯網連接的第一邊界基站和第二邊界基站,以及與第一邊界基站通過局域網相連接的至少一個接入基站、與第二邊界本文檔來自技高網...
【技術保護點】
1.一種全域量子安全虛擬專網的組網方法,其特征在于,所述組網方法的參與方包括第一邊界基站、接入基站、客戶端、第二邊界基站,所述組網方法包含以下步驟:
2.根據權利要求1所述的全域量子安全虛擬專網的組網方法,其特征在于,所述第一邊界基站的內部或外部配置有第一真隨機數發生器,所述第二邊界基站的內部或外部配置有第二真隨機數發生器;在所述步驟1中,所述同步原始密鑰文件的具體過程為:
3.根據權利要求2所述的全域量子安全虛擬專網的組網方法,其特征在于,所述第一邊界基站或第二邊界基站中設置有密鑰剩余量閾值,當原始密鑰文件的大小低于密鑰剩余量閾值時,重復執行步驟1-1至1-3。
4.根據權利要求2所述的全域量子安全虛擬專網的組網方法,其特征在于,在所述步驟3中,所述滿足組網接入條件的客戶端具有通信區、隔離區、安全區,其中,通信區設置有通信代理,用于客戶端與外界進行通信,接收或發送數據;隔離區設置于通信區和安全區之間,用于連接通信區和安全區,設置有解密單元、加密單元、和應答單元,解密單元用于對從通信區接收到的數據進行解密,加密單元用于對從安全區發送出的數據進行
5.根據權利要求4所述的全域量子安全虛擬專網的組網方法,其特征在于,在所述步驟3中,所述基于所述接入請求,確定所述客戶端是否滿足組網接入條件的具體過程為:
6.根據權利要求4所述的全域量子安全虛擬專網的組網方法,其特征在于,所述步驟5的具體過程為:
7.一種全域量子安全虛擬專網的組網系統,所述組網系統采用如權利要求1至6中任一項所述的全域量子安全虛擬專網的組網方法構建,其特征在于,所述組網系統包括經由互聯網連接的第一邊界基站和第二邊界基站,以及與第一邊界基站通過局域網相連接的至少一個接入基站、與第二邊界基站通過局域網相連接的至少一個接入基站,以及與接入基站連接的至少一個客戶端;
8.根據權利要求7所述的全域量子安全虛擬專網的組網系統,其特征在于,所述第一邊界基站和第二邊界基站的內部或外部分別配置有相對應的第一真隨機數發生器和第二真隨機數發生器,以生成原始密鑰文件、并為相應的接入基站提供種子密鑰。
9.根據權利要求7所述的全域量子安全虛擬專網的組網系統,其特征在于,所述第一邊界基站和/或所述第二邊界基站與多個接入基站對應連接,每個接入基站接入有至少一個客戶端,每個接入基站和與其接入的至少一個客戶端構成一個用戶組。
10.根據權利要求7至9中任一項所述的全域量子安全虛擬專網的組網系統,其特征在于,除第一邊界基站和第二邊界基站外,所述組網系統包括與第一邊界基站和第二邊界基站功能相同的其他邊界基站。
...【技術特征摘要】
1.一種全域量子安全虛擬專網的組網方法,其特征在于,所述組網方法的參與方包括第一邊界基站、接入基站、客戶端、第二邊界基站,所述組網方法包含以下步驟:
2.根據權利要求1所述的全域量子安全虛擬專網的組網方法,其特征在于,所述第一邊界基站的內部或外部配置有第一真隨機數發生器,所述第二邊界基站的內部或外部配置有第二真隨機數發生器;在所述步驟1中,所述同步原始密鑰文件的具體過程為:
3.根據權利要求2所述的全域量子安全虛擬專網的組網方法,其特征在于,所述第一邊界基站或第二邊界基站中設置有密鑰剩余量閾值,當原始密鑰文件的大小低于密鑰剩余量閾值時,重復執行步驟1-1至1-3。
4.根據權利要求2所述的全域量子安全虛擬專網的組網方法,其特征在于,在所述步驟3中,所述滿足組網接入條件的客戶端具有通信區、隔離區、安全區,其中,通信區設置有通信代理,用于客戶端與外界進行通信,接收或發送數據;隔離區設置于通信區和安全區之間,用于連接通信區和安全區,設置有解密單元、加密單元、和應答單元,解密單元用于對從通信區接收到的數據進行解密,加密單元用于對從安全區發送出的數據進行加密,應答單元用于驗證問詢語句的數據格式,并對問詢作出反饋;安全區設置有信息處理單元和密鑰單元,信息處理單元用于進行客戶端中的數據處理過程,密鑰單元用于存儲接入基站分發的通信密鑰;其中,所述通信區的通信代理與隔離區的解密單元、加密單元分別連接,隔離區的解密單元與安全區的信息處理單元、密鑰單元分別連接,隔離區的加密單元與安全區的信息處理單元、密鑰...
【專利技術屬性】
技術研發人員:朱夢雅,汪慧,
申請(專利權)人:矩陣時光數字科技有限公司,
類型:發明
國別省市:
還沒有人留言評論。發表了對其他瀏覽者有用的留言會獲得科技券。