CN115567192B 采用量子密钥分发实现组播数据透明加解密方法及系统 （中电信量子科技有限公司）

采用量子密钥分发实现组播数据透明加解本发明公开一种采用量子密钥分发实现组功则采用所匹配流表项对组播数据报文进行不配不成功则基于组播数据报文的组播IP地址及生成会话密钥分发消息；接收会话密钥分发消连接外网的网络接口发送出站加密报文至接收2从连接内网的网络接口接收出站的组播数据报文，并根据该组播数据若匹配成功，则采用所匹配流表项中的会话密钥和安全属性信若匹配不成功，则基于组播IP地址、该组播IP地址对应的主密钥将所述会话密钥请求消息发送至管控平台，以使所述管接收所述会话密钥分发消息，新建流表项，并基于新建流表项对从连接外网的网络接口发送所述出站加密报文至接收方，以使的主密钥。所述若匹配不成功，则基于所述组播数据报文的组播IP地址及该组播IP地址对应的主密从与所述组播IP地址对应的所述主密钥池中随机选取主密钥I基于所述主密钥ID标识、所述组播IP地址和该组播IP地址对应的安全基于所述主密钥ID标识选取对应的主密钥；对所述加密消息做HMAC运算，得到加密校验后的会话密钥请求信息3根据所述安全域ID标识和所述主密钥ID标识，从量子密钥分发网在解密和校验成功后，基于所述组播IP地址和所述安全域ID标识从预先配置的所述安全策略表中读取所述组播数据报文对应的安全属性所述管控平台从所述量子密钥分发网络中对应的主密钥池中取出主密钥在匹配通过后，基于所述组播IP地址、所述安全属性信息从所述安全域ID标识对应的主密钥池中取出主密钥，并利用该主密钥对所所述密钥注入模块的输入端连接有至少一个安全存储介质、输出端连接有所述主密钥池，所述流表管理模块，用于根据该组播数据报文的组播IP地址匹配流表项，所述4所述数据加解密处理模块，用于在匹配成功时，采用所匹配流表项中所述数据加解密处理模块，用于从连接外网的网络接口发送所述出站所述管控平台，用于进行安全域划分，以及所述第一加密网关和所注册和身份绑定服务，以及向所述第一加密网关和第二加密网关分发会话密钥和安全策所述流表管理模块，用于根据该组播数据报文的组播IP地址匹配流表项，所述所述数据加解密处理模块，用于在匹配成功时，采用所匹配流表项中所述数据加解密处理模块，用于从连接外网的网络接口发送所述出站5[0002]目前，对于音视频等组播业务在组播节点之间的网络传输过程中的数据加密问[0004]该方案该用于加密通信的组密钥采用公钥加密/私钥解密的非对称体制，私钥在[0005]公布号为CN106161015A的中国发明专利文献记载了一种基于DPI的量子秘钥分发过量子链路获取会话密钥。6[0020]基于所述主密钥ID标识、所述组播IP地址和该组播IP地址7[0034]对加密后的会话密钥分发消息做HMAC运算，得到加密校验后的会话密钥分发消[0047]所述数据加解密处理模块，用于从连接内网的网络接口接收出站的组播数据报8[0056]所述数据加解密处理模块，用于从连接内网的网络接口接收出站的组播数据报[0063](1)本发明为不同的组播组建立彼此独立的安全域和主密钥池，基于目的IP即组9[0066]图1是本发明第一实施例中采用量子密钥分发实现组播数据透明加解密方法的流[0067]图2是本发明第二实施例中采用量子密钥分发实现组播数据透明加解密网关的结[0068]图3是本发明第三实施例中采用量子密钥分发实现组播数据透明加解密系统的结[0086]基于所述主密钥ID标识、所述组播IP地址和该组播IP地址[0100]对加密后的会话密钥分发消息做HMAC运算，得到加密校验后的会话密钥分发消从量子密钥分发网络QKD中获取主密钥解密消息并作完整性验证，若验证未通过则终止本策略表中读取该组播组IP地址对应的加密算法和偏移量等安全属性信息，并将会话密钥+组播IP+安全属性信息+随机选取的域内主密钥ID+域ID构成会话密钥分发消息。然后从对发网络结合安全策略管控中心集中统一分发组播组(安全域)内各加密网关加密组播数据[0118]如图2所示，本发明第二实施例提出了一种采用量子密钥分发实现组播数据透明钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理，得到出站加密报[0129]基于所述主密钥ID标识、所述组播IP地址和该组播IP地址钥分发网络4中获取对应的主密钥用于解密和校验所[0140]从所述量子密钥分发网络4中对应的主密钥池中取出主密钥，并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加[0141]对加密后的会话密钥分发消息做HMAC运算，得到加密校验后的会话密钥分发消策略表中读取该组播组IP地址对应的加密算法和偏移量等安全属性信息，并将会话密钥+组播IP+安全属性信息+随机选取的域内主密钥ID+域ID构成会话密钥分发消息。然后从对发网络4结合安全策略管控中心集中统一分发组播组(安全域)内各加密网关加密组播数据[0159]如图3所示，本发明第三实施例提出了一种采用量子密钥分发实现组播数据透明述第一加密网关1和所述第二加密网关2均包括数据加解密处理模块11、流表管理模块13、网关2的注册和身份绑定服务，以及向所述第一加密网关1和第二加密网关2分发会话密钥钥和安全属性信息对所述组播数据报文进行不变长度的透明加密处理，得到出站加密报[0171]密钥代理：用于在加密网关不能直接在量子密钥分发网络4的节点进行密钥充注的情况下提供密钥充注的代理功能，并在加密通信网络不能直接连接量子密钥分发网络4[0173]量子网络节点：用于存储生成的量子密钥，接收密钥代理或管控平台3的密钥申[0175]需要说明的是，本实施例中采用的量子密钥分发设备基于但并不限于QKD密钥分钥分发网络4中获取对应的主密钥用于解密和校验所[0182]从所述量子密钥分发网络4中对应的主密钥池中取出主密钥，并利用该主密钥对所述会话密钥分发消息中的所述会话密钥、所述安全属性信息和所述组播IP地址进行加[0183]对加密后的会话密钥分发消息做HMAC运算，得到加密校验后的会话密钥分发消[0184]如图4所示，本实施例提出的采用量子密钥分发实现组播数据透明加解密系统的质中预充注大量的主密钥，同一安全域内各设备共享由相同密钥ID标识的相同的主密钥，[0187](2)安全域内的加密网关设备节点通过其连接的安全存储介质获取主密钥，建立[0189](3)加密网关设备节点对出站的组播数据报文按照其目的IP即组播IP地址匹配流会话密钥对整个数据报文偏移量后的部分进行不变长度的透明加密处理，加密模式为CBC[0193](6)加密网关设备节点接到会话密钥分发消息后，从安全域ID对应的主密钥池中[0194](7)作为接收方的加密网关设备节