VPN(Virtual Private Network,假造专用网络)是在公共网上建的假造专用网,创建假造信道使用隧道技能实现的。传统VPN的本质是同网络操纵系同一样的平台上的一系列的程序。如许的VPN提供给远端的办公人员或个人到他们的机构网络的一种安全接入,使用的是共享的公众通讯底子结构和标准安全步伐。
量子安全网关(QVPN)是在传统安全网关(VPN)的底子上重新计划,参加量子密钥注入、管理模块,替换现有基于公钥算法的密钥更新方式。通过调用量子密钥对传输数据举行加密,无条件安全的保密通讯,解决了现有经典保密通讯系统无法彻底解决的密钥分配和窃听检测等技能困难。
本文对量子安全网关相关环境举行讨论。
1.量子安全VPN根本概念
传统的VPN一般采用公钥以及对称算法(如AES,SHA1)来实现保密、认证、数据完整性。VPN 是在公共通讯的网络上构造假造的私有网,它必要满足以下几个部分:身份认证、数据秘密性以、完整性以及访问控制性。身份认证是用来检验通讯两边身份的真实性:数据秘密性则用来确保数据传输时外人不能够查看准确的信息:数据完整性确保数据未被修改;访问控制性是假造专用网的服务提供商根据用户的身份来制定其访问某些信息或者控制的权限。只有满足以上几个条件要求的 VPN,如许才是真正安全的假造专网。
量子安全VPN是指将量子保密通讯技能与传统信息安全技能相团结。如今基于IPSce安全协议的假造专用网络技能已经非常成熟,是服务商建设VPN的一项重要方案。如今IPSec安全协议采用传统加解密算法以及强的密码认证协议来保护数据通讯的完整性。借这个话题,我恰好叙述一下经典加密要引入量子加密的底层逻辑,大白话来讲就是只要用到的是经典加密,其密钥都是基于数学的复杂性的,因此理论上一定是能破解的,随着量子算法(Shor算法)以及量子计算逐步实用化,经典安全岌岌可危。而量子密钥分发技能是纯物理天生的密钥,并且是由来量子力学特性包管其安全性,因此要采用量子技能举行安全增强。
2.量子安全VPN用途及用法
本文主要基于IPSce VPN来叙述量子VPN的原理。起首简朴先容一下IPSec协议,IPSec协议并不是一个单独的隧道协议,IPSec协议主要包罗认证头Authentication Header(AH)、封装安全载荷协议Encapsulating Security Payload(ESP)、密钥管理协议 Internet Key Exchange (IKE)以及用于身份认证和加解密的算法等。
当前关于IPSec协议的用途用法如今有现行的行业标准作为实用依据。
YD/T 4303-2023 基于IPSec协议的量子保密通讯应用装备技能规范https://hbba.sacinfo.org.cn/attachment/onlineRead/a35409650ed4579bbc0825557162c95856dad8581da79c64b6d9ff7e9dbf5bc8
基于量子密钥的加密服务的一种典型实现方式就是量子密钥分发系统与IPSec协议举行融合,为收发双发提供信道加密安全服务。
基于IPSec协议和QKD的量子保密通讯系统,在网关到网关安全接入场景中的应用模式如下图,网关装备作为IPSec VPN网关,使用量子加密服务密钥,与IPSec密钥交换协议相团结,在用户网络链路中创建双向安全同盟(Security Association,SA),提供安全性着呢够呛的加密传输通道。
基于IPSec协议和QKD的量子保密通讯系统,在终端到网关安全接入场景中的应用模式如下图所示。详细方式为,终端密钥协商服务与QKD系统或 QKD 网络直接通讯,以在线方式获取量子加密服务密钥。终端装备通过加载密钥存储介质或在线更新获取终端充注密钥。终端密钥加密服务与终端装备在传输量子加密服务密钥时,通过终端充注密钥对量子加密服务密钥举行加密保护。
3.量子安全VPN实现原理
如下图为一种典型的基于量子密钥分发的IPSec VPN密码机结构示意图。此中光纤网口与量子密钥服务器举行毗连,获取特定的量子密钥,用于VPN握手协商过程;常规电网口用于与对端VPN装备创建常规VPN线路;加密卡与工控主板通过数据总线毗连,提供常规密钥和加解密算法,用于VPN握手协商和数据加解密;电子钥匙与加密卡通过数据线毗连,用于密钥的备份和恢复:DOM盘与工控主板通过数据总线毗连,存储VPN密码机的软件系统。
量子VPN技能是将量子密钥分发系统中产生的密钥用于Internet协议安全性标准框架结构(IPSec协议)中的握手协商过程,使用量子密钥分配技能解决密钥安全分配的问题,使通讯两边之间能共享无条件安全的密钥。基于IPSec协议的量子保密通讯应用网关装备和终端装备,在业务加密过程中使用下列密钥。
- 装备密钥:可使用基于非对称密码算法的公私钥对,包罗署名密钥对和加密密钥对,用于身份鉴别、数字署名和数字信封等。也可使用预置对称密钥,用于基于对称密钥的装备身份鉴别和密钥协商。
- 工作密钥:在密钥交换一阶段得到的密钥,用于会话密钥交换过程的保护。
- 会话密钥:在密钥交换二阶段得到的密钥,用于数据报文及报文MAC的加密。
- 量子加密服务密钥:基于QKD系统天生的量子密钥,通过QKD网络中继转发或终端密钥协商服务等方式天生,为基于IPSec 协议的量子保密通讯应用装备提供的端到端密钥,用于在密钥交换协议中,辅助天生工作密钥和会话密钥,增强IPSec协议和保密通讯的安全性。
- 终端充注密钥:通过密钥存储介质充注或在线更新,加载到终端装备中预存使用的密钥,可用于终端装备与终端密钥协商服务之间,获取量子加密服务密钥过程的加密。
4.写在最后
终于聊到详细应用层面的装备了。通过本文各人可以直观的感受到量子密钥如何应用到业务中。本文只是从原理层面浅浅的分享了一下量子VPN的工作原理,总之就是用量子密钥替换了经典密钥。但是其详细的加解密过程、安全防护还是有许多细节值得讨论的。后期我们逐步分析。
本文如有谬误,还望各位小伙伴不吝指出。
5.主要参考文献
[1]查振兴.基于量子密钥分发的IPSec VPN密码机[P]
[2]赵著.基于量子密钥的VPN密钥管理模子研究[J]
[3]张明.基于量子密钥的VPN安全性研究[D]
[4]惠晨犇.安全网关基于量子加密算法VPN系统的研究与实现[D]
———————分割线———————
博主在C站建了一个关于量子城域网的专栏,我会在这个专栏里面持续输出与量子城域网相关的文章,欢迎各人关注。专栏传送门:
专栏:量子城域网http://t.csdnimg.cn/nPXYB
———————分割线———————
下面是博主的CSDN主页,里面还有其他的量子相关文章,欢迎各人围观并关注博主~我会持续更新量子领域各类博文。
关于量子的一切-CSDN博客https://quantum.blog.csdn.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
