本发明涉及视频监控系统安全领域,尤其是一种基于量子随机数的dtls数据报安全传输的方法。
背景技术:
1、随着网络和通信技术的发展,监控系统的成熟发展使得其应用也越来越广泛,从智慧社区、智慧交通到智慧城市。但同时也存在越来越多的安全隐患,如dos攻击导致监控系统服务器瘫痪无法正常运行,加密密钥简单容易被破解导致传输数据被窃取。因此,如何降低监控系统被攻击的可能性成为一个亟待解决的问题。传统解决方法是使用流量过滤和防火墙技术来检测和过滤掉恶意流量,以减轻攻击对目标系统的影响;密钥生成算法使用随机数来降低破解风险。但是,流量过滤和防火墙技术规则制定繁琐,且无法应对有规模有计划的攻击;一般的随机数生成算法是伪随机数,很容易被目前新兴的量子计算机破解。为了解决以上存在的问题,通过量子随机数参与生成的量子密钥成作为一种新兴的技术,与dtls(datagram transport layer security)安全传输协议结合,引发了大众们的广泛关注。dtls数据安全传输协议建立在传输层协议udp(user datagram protocol)之上,为udp通信提供了加密和身份验证的功能,保留了udp的无连接特性和高效性。量子随机数利用量子内在本身的不可预测的随机性,生成具有真随机性的量子随机数。因此,使用量子随机数参与dtls的双向数字证书校验、密钥信息传输的公钥私钥对、消息认证密钥和数据报安全传输密钥生成,更具有高度安全性和真随机性,公钥加密算法使用基于量子计算机的量子加密算法,能够提高dtls客户端和dtls服务器之间通信的安全性和完整性。
技术实现思路
1、本发明公开了一种基于量子随机数的dtls数据报安全传输的方法,涉及视频监控系统安全领域,将量子随机数应用于双向数字证书校验和密钥信息传输的公钥私钥对生成过程中,应用于消息认证密钥生成过程中,同时应用于加密通信密钥生成过程中,公钥加密算法使用基于量子计算机的量子加密算法,降低了窃听、篡改、冒充风险,提高了dtls数据报传输的安全性和完整性。
2、方法包括:
3、发送client hello报文,所述client hello报文包括加密套件、压缩算法、sessionid;
4、qrng模块生成量子随机数cookie;
5、发送hello verify request报文,所述hello verify request报文包括cookie;
6、发送client hello报文,所述client hello报文包括第一次client hello报文内容,以及dtls服务器返回的cookie;
7、qrng模块生成多个量子随机数用于生成dtls服务器的公钥私钥对,向dtls量子认证服务器发送相关信息,所述相关信息包括公钥、加密套件、dtls客户端信息,并接收dtls服务器数字证书;
8、发送server certificate报文,所述server certificate报文包括dtls服务器数字证书;
9、获取dtls量子认证服务器的公钥和有效期,使用其公钥校验dtls服务器数字证书;
10、发送client certificate request报文;
11、qrng模块生成多个量子随机数用于生成dtls客户端的公钥私钥对,向dtls量子认证服务器发送相关信息,所述相关信息包括公钥、加密套件、dtls服务器信息,并接收dtls客户端数字证书;
12、发送client certificate报文,所述client certificate报文包括dtls客户端数字证书;
13、获取dtls量子认证服务器的公钥和有效期,使用其公钥校验dtls客户端数字证书;
14、qrng模块生成多个量子随机数,所述多个随机数包括用于生成master-key的随机数a、作为pre-master key的随机数b和用于消息认证的多个随机数p,并使用dtls服务器的公钥加密生成dtls客户端加密信息;
15、发送client key exchange报文,所述client key exchange报文包括dtls客户端加密信息;
16、qrng模块生成多个量子随机数,所述多个随机数包括用于生成master-key的随机数c、用于消息认证的多个随机数q,并使用dtls客户端的公钥加密生成dtls服务器加密信息;
17、发送server key exchange报文,所述server key exchange报文包括dtls服务器加密信息;
18、使用dtls客户端的私钥解密dtls服务器加密信息,使用随机数c生成pre-masterkey,使用随机数a、b、pre-master key生成master-key,使用用于消息认证的多个随机数p和q生成密钥r;
19、使用dtls服务器的私钥解密dtls客户端加密信息,使用随机数c生成pre-masterkey,使用随机数a、b、pre-master key生成master-key,使用用于消息认证的多个随机数p和q生成密钥r;
20、使用密钥r消息认证并使用master-key加密安全传输。
21、优选的,所述加密套件包括公钥密码算法、消息认证算法和对称加密算法。
22、优选的,所述公钥密码算法至少包括基于格的密码算法、基于编码的密码算法、基于多项式的密码算法、rsa算法和椭圆曲线密码中的一种。
23、优选的,所述消息认证算法至少包括基于散列函数、基于对称加密算法、基于密码分组链接模式、基于galois域运算和基于离散对数问题的消息认证算法中的一种。
24、优选的,所述对称加密算法至少包括des、3des、aes、blowfish、idea中的一种。
25、优选的,所述qrng模块包括光源,量子系统,量子测量装置,探测器,随机数提取器以及控制和数据处理单元。
26、优选的,所述qrng模块生成多个量子随机数方法至少是以下方法的一种:单光子计数、量子态测量、量子干涉、量子热噪声。
27、优选的,所述向dtls量子认证服务器发送相关信息并接收dtls服务器数字证书过程如下:
28、s1,dtls服务器向dtls量子认证服务器发送相关信息,所述相关信息包括公钥、加密套件和dtls客户端信息;
29、s2,dtls量子认证服务器根据加密套件,为每对dtls服务器和dtls客户端生成dtls量子认证服务器公钥私钥对,使用hash算法和dtls量子认证服务器私钥生成dtls服务器数字证书;
30、s3,dtls量子认证服务器向dtls服务器发送dtls服务器数字证书。
31、优选的,所述使用hash算法和dtls量子认证服务器私钥生成dtls服务器数字证书过程如下:
32、s1,dtls量子认证服务器对文件证书使用hash算法得到hash值;
33、s2,使用dtls量子认证服务器私钥对hash值进行加密生成数字签名;
34、s3,将数字签名添加在文件证书上组成dtls服务器数字证书。
35、优选的,所述文件证书包括证书序列号、证书签名算法、证书颁发者、有效期和dtls服务器公钥。
36、优选的,所述向dtls量子认证服务器发送相关信息并接收dtls客户端数字证书过程如下:
37、s1,dtls客户端向dtls量子认证服务器发送相关信息,所述相关信息包括公钥、加密套件、dtls服务器信息;
38、s2,dtls量子认证服务器根据加密套件,使用hash算法和dtls量子认证服务器私钥生成dtls客户端数字证书;
39、s3,dtls量子认证服务器向dtls客户端发送dtls客户端数字证书。
40、优选的,所述消息认证指对对称加密通信过程中数据进行完整性校验。
41、优选的,所述使用dtls服务器的公钥加密指使用协商确认后的非对称加密算法加密;所述使用dtls客户端的公钥加密指使用协商确认后的非对称加密算法加密;所述使用dtls客户端的私钥解密指使用协商确认后的非对称加密算法解密;所述使用dtls服务器的私钥解密指使用协商确认后的非对称加密算法解密。
42、优选的,所述使用密钥r消息认证是指使用协商确认后的消息认证算法对数据报和密钥r进行加密验证其完整性。
43、优选的,所述使用master-key加密安全传输是指使用协商确认后的对称加密算法和master-key密钥对通信数据加密传输。
44、本发明通过量子随机数的真随机性和不可预测性特点,将其应用在dtls数据报传输过程中,同时使用基于量子计算机的量子加密算法,提高dtls客户端和dtls服务器之间通信的安全性和完整性,具体优点在于:
45、(1)通过量子随机数作为cookie,提升cookie的安全性,且只有dtls客户端返回hello verify request报文中携带对应cookie,dtls服务器才会为该dtls客户端分配相关资源并进行一系列消耗资源的通信传输过程,从而有效防止dos(denial of service)攻击;
46、(2)第三方dtls量子认证服务器使用量子随机数参与公钥私钥对生成过程,并使用该公钥私钥对进行客户端和服务器的双向数字证书校验,加密算法可使用基于量子计算机的量子加密算法,降低冒充风险,提高通信双方认证安全性;
47、(3)经过上述客户端和服务器的双向数字证书校验同时,通过量子随机数分别参与dtls服务器和dtls客户端的非对称加密算法的公钥私钥对生成过程,dtls客户端使用认证后的dtls服务器公钥加密消息认证和对称加密通信中密钥生成信息,并将加密后的信息发送给dtls服务器,dtls服务器使用dtls服务器的私钥解密得到相关信息;dtls服务器使用认证后的dtls客户端公钥加密消息认证和对称加密通信中密钥生成信息,并将加密后的信息发送给dtls客户端,dtls客户端使用dtls客户端的私钥解密得到相关信息;加密算法可使用基于量子计算机的量子加密算法,进一步降低冒充风险和篡改风险,提高对称加密算法通信过程传输的安全性;
48、(4)通过量子随机数参与消息认证密钥生成过程,降低篡改风险,提高数据报的完整性;
49、(5)通过量子随机数参与对称加密通信密钥生成过程,进一步降低窃听和风险,提高数据报传输的安全性;
50、(6)兼容性问题:当通信双方中有一方不支持基于量子计算机的加密算法,通信双方可以回退到仅使用量子随机数参与的传统加密算法,保证系统的兼容性;
51、(7)容错机制:当握手阶段量子随机数生成器出现异常无法正常使用,可以立刻切换到其他备用随机性源或者传统随机数生成算法,以确保通信的连续性;当dtls量子认证服务器出现异常,无法正常生成dtls服务器数字证书,可以使用现有受信任的数字证书颁发机构ca颁发的数字证书,提高系统的容错性。
1.一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,包括以下步骤:
2.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述加密套件包括公钥密码算法、消息认证算法和对称加密算法。
3.根据权利要求2所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述公钥密码算法至少包括基于格的密码算法、基于编码的密码算法、基于多项式的密码算法、rsa算法和椭圆曲线密码中的一种。
4.根据权利要求2所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述消息认证算法至少包括基于散列函数、基于对称加密算法、基于密码分组链接模式、基于galois域运算和基于离散对数问题的消息认证算法中的一种。
5.根据权利要求2所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述对称加密算法至少包括des、3des、aes、blowfish、idea中的一种。
6.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述qrng模块包括光源,量子系统,量子测量装置,探测器,随机数提取器以及控制和数据处理单元。
7.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述qrng模块生成多个量子随机数方法至少是以下方法的一种:单光子计数、量子态测量、量子干涉、量子热噪声。
8.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述向dtls量子认证服务器发送相关信息并接收dtls服务器数字证书过程如下:
9.根据权利要求8所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述使用hash算法和dtls量子认证服务器私钥生成dtls服务器数字证书过程如下:
10.根据权利要求9所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述文件证书包括证书序列号、证书签名算法、证书颁发者、有效期和dtls服务器公钥。
11.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述向dtls量子认证服务器发送相关信息并接收dtls客户端数字证书过程如下:
12.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述消息认证指对对称加密通信过程中数据进行完整性校验。
13.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述使用dtls服务器的公钥加密指使用协商确认后的非对称加密算法加密;所述使用dtls客户端的公钥加密指使用协商确认后的非对称加密算法加密;所述使用dtls客户端的私钥解密指使用协商确认后的非对称加密算法解密;所述使用dtls服务器的私钥解密指使用协商确认后的非对称加密算法解密。
14.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述使用密钥r消息认证是指使用协商确认后的消息认证算法对数据报和密钥r进行加密验证其完整性。
15.根据权利要求1所述的一种基于量子随机数的dtls数据报安全传输的方法,其特征在于,所述使用master-key加密安全传输是指使用协商确认后的对称加密算法和master-key密钥对通信数据加密传输。
