一种量子密码在IP安全通信中的使用方法和系统

摘要

本发明提供一种量子密码在IP安全通信中的使用方法和系统，所述方法基于ISAKMP定义的框架，包括以下步骤：分发量子密钥，建立共享秘密；进行IQKE SA协商；进行IPSec SA协商；生成会话密钥。本发明的方法和系统定义的IQKE协议采用ISAKMP定义的框架，独立于标准的IKE协议，可以避免标准IKE与QKD系统的兼容性问题，从而使得IPSec利用QKD产生的量子密钥增强其安全性成为可能；此外，IQKE协议采用QKD产生的量子密钥作为预共享密钥，无需采用经典密钥交换算法，降低密钥协商的复杂性。QIKE可以和QKD并行运行，对于低速率的QKD系统，采用密钥存储技术，对于高速QKD系统，可以实现OTP加密，实现无条件的安全性。本发明所述应用对于IP通信安全性的提升具有重要意义。

说明书

技术领域

本发明属于安全通信领域，具体涉及一种量子密码在IP安全通信中的使用方法和系 统。

背景技术

虚拟专用网络（VPN）是一种在公共通信基础网络上通过逻辑方式隔离出来的网络， 其效果相当于在广域网络中建立一条虚拟专用线路。VPN采用三种关键技术：加密技术、 用户身份认证技术和隧道技术。其中，VPN的加密技术由IP安全协议（IPSec）实现。 IPSec是由因特网标准组织的因特网工程任务组（IETF）提出的一组协议，是在因特网上 实现安全数据通信的最普遍的方法。

目前，基于IPSec安全协议的VPN技术现在已经非常成熟，几乎在各行各业中都有 应用。但是IPSec安全协议仅使用强的密码认证协议和传统的加密算法来保护IP通信的 完整性和保密性，而这种保密性随着计算技术和密码分析技术的发展，将面临越来越严 峻的安全挑战。另一方面，随着量子密码技术的迅速发展，国际上已经开始研究具有无 条件安全的量子密钥分配技术（QKD）与互联网技术的融合问题。

Internet密钥交换（IKE）协议是IPSec中最重要的组成部分。在公共网络中，用IPSec 保护一个IP数据包之前，必须先建立一个安全通道，也即安全联盟（SA）。密码学中规 定，确保加密系统的安全，会话密钥必须动态更新，而IPSec本身不具备动态更新会话密 钥的能力，从而引用了IKE协议,用于动态建立和维护SA，以实现会话密钥的动态更新。

值得注意的是，标准的IKE协议是利用Diffie-Hellman密钥交换算法在IPSec通信双 方直接协商安全策略、交换安全参数、验证双方身份以及生成共享的会话密钥。 Diffie-Hellman密钥交换算法是一种基于“离散对数问题”的公共密钥算法，其安全性源 于在有限域上计算离散对数比计算指数更难的事实，即，安全性局限于当前的计算能力。 随着高性能计算技术的发展，尤其是量子计算技术的逐步实用化，破解Diffie-Hellman算 法将变得非常容易，这将直接威胁到IPSec VPN的安全性。

发明内容

为了克服上述现有技术的不足，本发明提供一种增强IP通信安全性的密钥交换方法 和系统，其安全性不依赖于计算复杂性，可以抵御高性能计算攻击。

为了实现上述发明目的，本发明采取如下技术方案：

一方面，本发明提供一种量子密码在IP安全通信中的使用方法，该方法基于ISAKMP 定义的框架；其特征在于，所述方法包括以下步骤：

A.分发量子密钥，建立共享秘密；

B.进行IQKE SA协商；

C.进行IPSec SA协商；

D.生成会话密钥。

优选地，所述步骤B中的IQKE SA为协商双方为保护其通信而使用的共享策略和密钥； 所述步骤B包括：

B-1.协商共享策略；

B-2.交换密钥以生成密钥参数；

B-3.认证交换过程。

优选地，所述步骤A中，通过量子密钥分发设备实现所述分发；所述共享秘密为于通 信双方之间建立的量子共享秘密QSS；所述分发包括：启动量子密钥分发时，先检验存储 器中的密钥量是否满足任务的需要，若满足，则直接调用存储器中的密钥；否则开始所 述密钥分发。

优选地，所述步骤B-2采用步骤A建立的所述共享秘密；该步骤包括：发起者发送表 示QSS编号的QSS_ID至响应者，响应者回复表示该QSS状态的QSS_Stat值，以协商双 方使用的所述共享秘密；

所述步骤B-1包括：发起者通过报文1向响应者提供安全关联负载SAi，该SAi包括 算法的提议和变换；响应者选择所述提议和变换生成自己的安全关联负载SAr，并通过报 文2返回至发起者确认；所述报文1和报文2的报文头分别包括随机数Ci和Cr；

所述密钥参数包括：SKYEYID、SKEYID_d、SKEYID_a和SKEYID_e；所述SKYEYID为 IQKE SA的基本密钥参数；所述SKEYID_a为用于验证IQKE SA消息完整性以及数据源身 份的工作密钥；所述SKEYID_e为用来保护IQKE SA消息机密性的工作密钥；所述SKEYID_d 用于产生会话密钥；其计算公式如下：

SKEYID＝prf(PSK，Ni|Nr)；

SKEYID_d＝prf(SKEYID,QSS|Ci|Cr|0)；

SKEYID_a＝prf(SKEYID,SKEYID_d|Ci|Cr|1)；

SKEYID_e＝prf(SKEYID,SKEYID_a|Ci|Cr|2)；

式中，prf是伪随机函数,Ni和Nr是用于防止重放攻击的随机数；PSK为预共享密钥， 其包括量子共享秘密QSS。

优选地，所述步骤B-3中的所述认证通过对称密码算法加密，且密钥使用SKEYID_e； 所述步骤B-3交换的消息中包括发起者计算的散列值HASHi和响应者计算的散列值 HASHr。

优选地，所述步骤C中，所述IPSec SA于所述IQKE SA的保护下建立，其包括：IPSec 协议、加密和认证算法、会话密钥、安全索引参数SPI以及随机函数nonce；所述IPSec 协议包括：ESP、AH；所述IPSec SA协商包括双方交换保护需求，该步骤包括：发起者 发送QSS的编号QSS_ID和数目N，响应者收到后回复表示目前密钥存储器的状态信息的 QSS_Stat值。

优选地，所述生成会话密钥用下式表达：

KEYMAT=prf(SKEYID_d，QSS|protocol|SPI|Ni|Nr)；

式中，protocol和SPI从协商得到的ISAKMP建议载荷中选取；会话密钥按照算法要 求的长度从KEYMAT中依次选取，所述会话密钥包括：用于加密的会话密钥和用于完整性 校验的会话密钥。

优选地，所述共享策略包括是否使用OTP算法。

另一方面，本发明提供一种量子密码在IP安全通信中的使用系统，其特征在于，所 述系统包括QKD系统层和IPSec网关层；

所述QKD系统层包括：

QKD子系统，用于生成量子密钥，包括QKD协议单元和QKD器件单元；

QKD密钥存储器，用于存储量子共享秘密并对其编号；

密钥管理单元，用于防止非授权用户非法接入和修改QKD密钥存储器；

所述IPSec网关层包括：

IQKE软件模块，用于进行IQKE SA协商和IPSec SA协商；

SA数据库，用于管理协商生成的IPSec SA。

优选地，所述QKD协议单元为一组用于实施保密放大、误码校验的软件和硬件实体； 所述QKD器件单元为用于实施量子通信的光学和电子学装置。

与现有技术相比，本发明的有益效果在于：

本发明提出的于IP安全通信中使用量子密码的方法，其安全性不依赖于计算复杂性， 可以抵御高性能计算攻击。该方法定义的IQKE协议采用ISAKMP定义的框架，独立于 标准的IKE协议，可以避免标准IKE与QKD系统的兼容性问题，从而使得IPSec利用 QKD产生的量子密钥增强其安全性成为可能。此外，IQKE协议采用QKD产生的量子密 钥作为预共享密钥，无需采用经典密钥交换算法，降低密钥协商的复杂性。QIKE可以和 QKD并行运行，对于低速率的QKD系统，采用密钥存储技术，对于高速QKD系统，可 以实现OTP加密，实现无条件的安全性。本发明所述应用对于IP通信安全性的提升具有 重要意义。

附图说明

图1是本发明方法的实现环境示意图；

图2是本发明第2阶段（IQKE SA）消息协商过程流程图；

图3是本发明第3阶段（IPSec SA）消息协商过程流程图；

图4是本发明中IQKE系统结构图。

具体实施方式

下面结合附图对本发明作进一步详细说明。

本发明提出了一种增强IP通信安全性的密钥交换方法，其安全性不依赖于计算复杂 性，可以抵御高性能计算攻击。该方法采用ISAKMP定义的框架，建立因特网量子密钥 交换协议（简称IQKE），该协议独立于标准的IKE协议，可以避免IKE与QKD的兼容 性，从而使得IPSec利用QKD产生的量子密钥增强其安全性成为可能。本发明所述方法 的实现需要至少建立两条物理分离的通道：一条是连接IPSec网关之间的经典通道，另一 条是连接QKD系统的量子通道。此外，QKD设备需要通过经典通道进行身份认证，以 防止中间人攻击。QKD系统生成的量子密钥通过本地连接注入到IPSec网关，该密钥可 用于IPSec网关之间的身份认证、会话密钥协商保护、数据报文的加密和完整性保护以及 OTP加密等。

如图1所示，实现本发明方法的实现环境至少包括以下几个组件：QKD系统、QKD 网络、IPSec网关和IP网络。

所述QKD系统，是指用于实现量子密钥分发的终端设备、协议软件以及数据库管理 单元，里面集成了光源、探测器、编解码器、存储器、处理器等基本单元，实现量子信 号的制备、探测与成码，最终产生可用的安全密钥。这些密钥通过网线实时的直接提供 给应用程序，或者暂时存储在服务器的密钥管理存储单元中，待需要使用时，在从存储 单元中调去，实现对突发应用数据的处理。

所述QKD网络，是指用于传输量子信号的专用信道，可以是光纤信道也可以是自由 空间信道，随着距离的增加，这里还应该包含为了延长量子密钥分配的距离是采用的量 子中继，可信中继，量子路由等中间设备。

所述IPSec网关，是指支持IPSec协议的网间连接设备。特别说明的是，本发明所述 的IPSec网关能够提供QKD接口，支持QIKE软件的集成。

所述IP网络，是指支持TCP/IP协议的通信网络,是IP数据包的传输通道,同时也是为 QKD设备进行密钥协商提供经典身份认证通道。

传统的IPSec采用经典密码技术保护IP通信安全，本发明提出采用量子密码技术替 代IPSec中的经典密码算法，实现密钥的安全分发。为实现上述目的，本发明基于ISAKMP 框架定义了新的协议IQKE。IQKE的运行包含3个阶段：第1阶段进行量子密钥交换； 第2阶段进行IQKE SA的协商；第3阶段进行IPSec SA协商。IQKE的运行包含3种模 式：量子模式，主模式和快速模式。其中，第1阶段运行在量子模式下,第2阶段和第3 阶段分别运行于主模式和快速模式。IQKE的具体实现过程如下：

A.第1阶段：量子密钥交换，是使用QKD设备在通信双方之间建立共享秘密。该阶 段运行于量子模式。如果不使用存储技术，那么每次启动量子密钥分发过程时，都需要 实时的进行密钥分发处理，等到所需密钥量到达上层协议所需要求时才能停止。若是使 用了存储技术，那么在每次启动量子密钥分发过程时，需先检验存储器中的密钥量是否 满足任务的需要，若是满足需要，则直接调用存储器中的密钥，否则需要开始密钥分发 过程。本发明使用的量子密钥分发过程，重点考虑了使用存储器的情况，对于没有存储 器时的情况相当于存储器中存储量恒等于零的情况。该过程完成之后，通信双方将建立 量子共享秘密(QSS:Quantum Share Secret）。QSS进行编号之后,分别放置在双方的存储器 中,为后续阶段SA协商提供密钥材料。

B.第2阶段:IQKE SA协商，主要用于为通信双方建立一个IQKE SA。该SA是协商 双方为保护它们之间的通信而使用的共享策略和密钥。该阶段与标准IKE不同的地方在 于，IQKE在该阶段采用了第1阶段产生的量子共享秘密，因此在该阶段无需定义DH群 组，也可以不使用数字签名和数字证书。

第2阶段的实现包含3个步骤，共交换6条消息，如图2所示。

B.1第1步：包含消息1和2。主要用于协商策略，如何使用何种加密认证算法。其 过程是，发送方通过消息1向响应方提供安全关联负载SAi（包含各种算法的提议和变 换），响应方从中选择合适的提议和变换构成SAr,并通过消息2向发送方确认，从而完成 策略协商。另外，在报文头中还包含了通信双方的随机数cookie,用Ci和Cr表示。Cookie 主要用作通信双方的“上场”证据，提供有限的抵抗“拒绝服务攻击”的能力。

进一步为了实现无条件的安全性要求，我们在加密算法集合中引入OTP算法，增加 了加密算法的选择性。因此还需要协商是否使用OTP算法等信息。

B.2第2步：包含消息3和4。主要生成通信双方基本密钥参数SKYEYID。在该步 骤，与IKE不同的是，IQKE不需要采用DH算法交换公开值以生成共享密钥，而是采用 第1阶段生成的量子密钥作为通信双方的共享秘密。其中,QSS_ID是发起方向响应方发送 的QKD密钥存储器中的QSS编号，双方约定使用哪一个（组）共享秘密，响应方返回 一个值QSS_Stat，表示当前密钥存储器中指定编号的QSS的状态。通过该消息的协商， 双方提取共同的QSS，进行以下密钥的计算。

第2步结束时候，共生成4种秘密：SKYEYID、SKEYID_d、SKEYID_a和SKEYID_e， 其中后3种秘密都建立在SKEYID的基础上。SKEYID_e是IQKE SA用来保护其消息机 密性所使用的工作密钥。SKEYID_a是IQKE SA用来验证其消息完整性以及数据源身份 所使用的工作密钥。SKEYID_d用于会话密钥的产生。计算公式如下：

SKEYID＝prf(PSK，Ni|Nr);

SKEYID_d＝prf(SKEYID,QSS|Ci|Cr|0);

SKEYID_a＝prf(SKEYID,SKEYID_d|Ci|Cr|1);

SKEYID_e＝prf(SKEYID,SKEYID_a|Ci|Cr|2);

上述计算公式中，prf是伪随机函数,Ni和Nr是交换用来防“重放攻击”的随机数。 PSK为预共享密钥。本发明中的预共享密钥可以是QKD密钥存储装置中的QSS。

B.3第3步：包含消息5和6。通信双方认证前面的交换过程。这两个消息中传递的 信息使用对称密码算法加密。对称加密算法和Hash算法均由消息1和消息2确定，密钥 使用SKEYID_e。交换的消息中包括双方各自计算的散列值HASHi和HASHr，只有当这 两个值通过双方的验证之后，IQKE的第2阶段交换才算完成。HDR^*表示IQKE后面的 载荷是加密的。

第2阶段完成后，通信双方交换得到如下基本信息：（1）共享密钥，该密钥由第1 阶段的量子密钥交换过程产生，该密钥用于第2阶段的身份认证和加密数据。（2）加密 算法，该加密算法用于第3阶段SA参数的协商。该算法包括3DES,DES,AES等，此外 还包括OTP。（3）HASH函数，该函数用于通信双方校验消息完整性和对方身份认证。

C.第3阶段:安全联盟协商，该阶段运行于快速模式。该阶段在第2阶段IQKE SA的 保护下建立IPSec SA，IPSec SA主要包含IPSec协议（ESP或AH）、加密和认证算法、 会话密钥、安全索引参数SPI以及随机函数nonce,用于包含IP数据包的安全传输。

该阶段的实现包含2个步骤，共交换4条消息，如图3所示。

C.1第1步：包含消息1和2。首先，发起方发送一个新的QSS_ID和N值。QSS_ID 表示QSS在QKD密钥存储器中的编号，N表示所需要提取的QSS的个数。如，双方协 商一致之后，分别从各自的密钥存储器中提取N个QSS，其编号依次为：QSS_ID, QSS_ID+1…QSS_ID+N-1。

然后，响应方回复一个QSS_Stat值，表示目前密钥存储器的状态。如，当前存储器 满足密钥提前需求，则QSS_Stat=0,否则返回值为1。

C.2第2步：包含消息3和4。发起方向响应方发送一个杂凑载荷，即消息3，用于 对上一步的交换进行认证；响应方向发起方回复一个杂凑载荷，即消息4，用于对上一步 的交换的认证。

第3阶段会话密钥计算公式为：

KEYMAT=prf(SKEYID_d，QSS|protocol|SPI|Ni|Nr)；

其中，protocol和SPI从协商得到的ISAKMP建议载荷中选取。

第3阶段结束后，生成用于加密的会话密钥和用于完整性校验的会话密钥。这两种 密钥按照算法要求长度从KEYMAT中依次选取。

本发明提供的量子密码在IP安全通信中的使用系统如图4所示：

该系统分为两层：QKD系统层和IPSec网关层。其中，QKD系统层由QKD协议、 QKD器件和QKD密钥存储器、密钥管理单元等组成。QKD协议是一组用于实施保密放 大、误码校验等过程的软件和硬件实体；QKD器件是用于实施量子通信的光学和电子学 装置；密钥管理单元是用于防止非授权用户非法接入和修改QKD密钥存储器。

QKD子系统执行IQKE协议的量子密钥交换（即第1阶段），生成量子密钥流，并依 次注入到QKD密钥存储器中，用QSS_ID进行编号。这些经存储的量子密钥在后续交换 阶段中将作为密钥生成材料，用于IPSec网关之间的身份认证、会话密钥协商保护、数据 报文的加密和完整性保护等。

配置在IPSec网关侧的IQKE软件执行IQKE协议的IQKE SA协商和IPSec SA协商 （即第2、3阶段），通过密钥管理单元从QKD密钥存储器中提取通信双方所协商好的 QSS，用于建立多条IPSec安全联盟。这些建立的IPSec安全联盟由SA数据库进行统一 管理，进一步用于IP层的数据通信。

最后应当说明的是：以上实施例仅用以说明本发明的技术方案而非对其限制，尽管 参照上述实施例对本发明进行了详细的说明，所属领域的普通技术人员应当理解：依然 可以对本发明的具体实施方式进行修改或者等同替换，而未脱离本发明精神和范围的任 何修改或者等同替换，其均应涵盖在本发明的权利要求范围当中。