[发明专利]一种基于量子密钥的OpenVPN安全通信方法和通信系统

说明书

本发明公开了一种基于量子密钥的OpenVPN安全通信方法的通信系统，本发明通信方法实施在作为OpenVPN网络通信双方的服务器和至少一个客户端之间，本发明通信系统，包括分别作为OpenVPN网络通信方的服务器和至少一个客户端，通信双方分别匹配有一量子设备，通信双方的量子设备中存储相应的量子密钥，用以通信双方之间进行身份认证以及数据加密传输。本发明充分利用量子密钥和量子分配网络优点，实现了OpenVPN系统扩展使用量子密钥作为认证密钥和会话密钥，且会话密钥更新频率高，极大地提高了现有OpenVPN的安全通信性能。

技术领域

本发明涉及应用层互联网安全协议的虚拟专用网(OpenVPN)，尤其涉及一种一种基于量子密钥的OpenVPN安全通信方法和通信系统。

背景技术

随着科技的进步，远程通信安全成为厄待解决的问题，虚拟专用网络(VPN)是一种在公共通信基础网络上通过逻辑方式隔离出来的网络，其效果相当于在广域网络中建立一条虚拟专用线路，从而保证通信安全。

OpenVPN是一个基于OpenSSL库的应用层VPN实现。和传统VPN相比，它的优点是简单易用。OpenVPN提供了多种身份验证方式，用以确认参与连接双方的身份，包括：第三方证书，用户名/密码组合及预享私钥。基于PKI的第三方证书提供了最完善的功能，但是需要额外的精力去维护一个PKI证书体系。OpenVPN2.0后引入了用户名/口令组合的身份验证方式，它可以省略客户端证书，但是仍有一份服务器证书需要被用作加密。预享密钥最为简单，但同时它只能用于建立点对点的VPN，且目前预享密钥采用基于经典算法的加密方式，这种加密的保密程度依赖于算法的复杂性，随着当代计算能力的不断提供以及未来量子计算机的出现，其安全性受到严重的威胁。

申请号为201310373510.9的发明专利申请公开了一种电网SSLVPN中密钥更新和使用的方法，采用基于DH、RSA算法的经典的加密方式，这种加密的保密程度依赖于算法的复杂性，随着当代计算能力的不断提高以及未来量子计算机的出现，其安全性受到严重的威胁。SSLVPN比较适合用于移动用户的远程接入(Client-Site)，对(Client-Client)模式支持不够好。

现有的OpenVPN协议中，客户端与服务器、客户端与客户端之间的交互都采用基于算法的经典的加密方式，这种加密的保密程度依赖于算法的复杂性，随着当代计算能力的不断提供以及未来量子计算机的出现，其安全性受到严重的威胁。

发明内容

本发明提供一种基于量子密钥的OpenVPN安全通信方法，充分利用量子密钥和量子分配网络优点，实现了OpenVPN系统扩展使用量子密钥作为认证密钥和会话密钥，且会话密钥更新频率高，极大地提高了现有OpenVPN的安全通信性能。另外也相应的对OpenVPN的认证与密钥协商协议进行扩展，

本发明提供一种基于量子密钥的OpenVPN安全通信方法，实施在作为OpenVPN网络通信双方的服务器和至少一个客户端之间，通信双方分别匹配有一量子设备，通信双方的量子设备中存储相应的量子密钥，用以通信双方之间进行身份认证以及数据加密传输。

本发明还提供一种基于量子密钥的OpenVPN安全通信系统，包括分别作为OpenVPN网络通信方的服务器和至少一个客户端，通信双方分别匹配有一量子设备，通信双方的量子设备中存储相应的量子密钥，用以通信双方之间进行身份认证以及数据加密传输。

本发明中，通信双方分别匹配有一量子设备，在OpenVPN系统部署和数据传输中，通信双方可从所匹配的量子设备中获得相应的量子密钥(例如采用对称加密方式，两量子密钥存储有相同的量子密钥，分别用于数据的加、解密)，实现相互认证或加密传输。

作为OpenVPN网络通信双方的服务器和客户端，也可分别成为OpenVPN服务器和OpenVPN客户端。

作为优选，通信双方分别匹配的量子设备之间通过QKD方式获得相应的量子密钥。