[发明专利]通信链接的建立方法、装置、存储介质、处理器及系统

说明书

本发明公开了一种通信链接的建立方法、装置、存储介质、处理器及系统。其中，该方法包括：密钥的协商过程，协商过程用于确定加密密钥，协商过程包括:将发起端产生的第一消息转发至接收端；将接收端返回的第二消息反馈至发起端，其中，第一消息和第二消息用于确定第一混合加密密钥；将发起端发送的第三消息转发至接收端，其中，第三消息为采用第一混合加密密钥加密后的消息且第三消息用于确定第二混合加密密钥；将接收端返回的第四消息反馈至发起端，其中，第四消息为采用第二混合加密密钥加密后的消息。本发明解决了现有技术中的抗VPN技术容易被破解的技术问题。

技术领域

本发明涉及数据加密领域，具体而言，涉及一种通信链接的建立方法、装置、存储介质、处理器及系统。

背景技术

不同的数据中心之间(例如，阿里云的不同数据中心间，或者阿里云数据中心与政企专有网络间)都具有将通信数据流量暴露在公网上的风险，尽管对客户数据以及关键型业务的高敏感数据会采用VPN等手段进行数据加密，但面临当前量子计算机的快速发展，对于需要长期存储的敏感数据而言，仍然面临着威胁，比如，窃听者会将敏感数据进行拦截后保存下来，等未来量子计算机商用后再进行破解。

目前，现有技术中出现了一些抗量子VPN方案，有些方案中将PQC与经典DH算法混合，这种方案的缺点为:基于纯软件的抗量子VPN方案，理论上还是全部基于数学复杂度的抗量子方案，仍然有算法被破解后导致数据被破解的风险。还有的方案采用软硬件结合的方式，例如，基于软硬件一体的抗量子IPsec VPN网关产品，这些方案缺点为:成本高且灵活性较差，用户可控性较差，运维成本较高。

针对上述的问题，目前尚未提出有效的解决方案。

发明内容

本发明实施例提供了一种通信链接的建立方法、装置、存储介质、处理器及系统，以至少解决现有技术中的抗VPN技术容易被破解的技术问题。

根据本发明实施例的一个方面，提供了一种通信链接的建立方法，包括：包括密钥的协商过程，所述协商过程用于确定加密密钥，所述协商过程包括:将发起端产生的第一消息转发至接收端；将所述接收端返回的第二消息反馈至所述发起端，其中，所述第一消息和所述第二消息用于确定第一混合加密密钥；将所述发起端发送的第三消息转发至所述接收端，其中，所述第三消息为采用所述第一混合加密密钥加密后的消息且所述第三消息用于确定第二混合加密密钥；将所述接收端返回的第四消息反馈至所述发起端，其中，所述第四消息为采用所述第二混合加密密钥加密后的消息。

进一步地，所述第一消息和所述第二消息用于协商第一预定密钥、第一预定算法以及第二预定算法以确定所述第一混合加密密钥。

进一步地，所述第一消息包括第一参数、第二参数以及第三参数，所述第一参数用于协商是否支持所述第一预定算法，所述第二参数用于协商是否支持所述第二预定算法，所述第三参数用于协商所述第一预定密钥。

进一步地，所述第二消息包括第四参数、第五参数和第六参数，所述第四参数为对所述第一参数中的信息进行回复的参数，所述第五参数为对所述第二参数中的信息进行回复的参数，所述第六参数为对所述第三参数中的信息进行回复的参数。

进一步地，所述第一混合加密密钥为第一密钥和第二密钥的混合加密密钥，其中，所述第一密钥为所述发起端接收到的所述第二消息中的公钥部分经过所述第一预定算法计算得到的密钥，所述第二密钥为所述第一预定密钥。

进一步地，所述第二混合加密密钥为所述第一混合加密密钥与第三密钥混合得到的密钥，所述第三密钥为所述接收端接收到的所述第三消息中的公钥部分经过所述第二预定算法计算得到的密钥。