(19)中华 人民共和国 国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111626874.4 (22)申请日 2021.12.28 (66)本国优先权数据 202011643685.3 2020.12.3 0 CN (71)申请人 广东国腾量子科技有限公司 地址 526238 广东省肇庆市高新区北江大 道18号富民大厦1319室 (72)发明人 郭邦红　胡敏　 (51)Int.Cl. G06F 21/46(2013.01) G06F 21/60(2013.01) G06F 21/64(2013.01) G06N 10/60(2022.01) (54)发明名称 一种在SSL VPN中融合量子密钥和经 典密钥 的方法 (57)摘要 本发明公开了一种在SSLVPN中融合量子密 钥和经典密钥的方法， 该方法利用客户端发送认 证请求到KM1； 客户端和KM1之间通信， 完成握手 认证的工作， 确保连接安全； 服务端发送认证请 求到KM2和KM2之间通信确保连接安全； 完成握手 协议流程； 生成经典会话密钥； 客户端和服务端 分别发送量子密钥请求命令到KM1和KM2； KM1和 KM2分别响应量子密钥请求到客户端和服务端； 判断获取的量子密钥是否一致； 如果量子密钥一 致且足量， 优先选择量子密钥作为会话密钥； 使 用会话密钥进行安全通信。 本发 明在加密通信过 程中， 优先使用量子密钥并遵循一次一密的原则 进行， 极大的提高了S SLVPN数据通信的安全性。 权利要求书2页 说明书5页 附图3页 CN 114386022 A 2022.04.22 CN 114386022 A 1.一种在SSLVPN中融合量子密钥和经典密钥的方法， 应用在SSLVPN系统上， 其特征在 于， 所述SSLVPN系统包括多个SSLVPN客户端和多个SSLVPN服务端， 任意一个SSLVPN客户端 分别连接多个KM1， 任意一个KM1连接有一个QKD1； 任意一个SSLVPN服务端分别连接多个 KM2， 任意 一个KM2连接一个QKD2， 该方法包括以下步骤： 步骤1.SSLVPN客户端发送 认证请求到KM1； 步骤2.SSLVPN客户端和KM1之间通信， 完成握 手认证过程； 步骤3.SSLVPN服务端发送 认证请求到KM2； 步骤4.SSLVPN服务端和KM2之间通信， 完成握 手认证过程； 步骤5.SSLVPN客户端与S SLVPN服务端建立连接， 完成握 手协议流程； 步骤6.SSLVPN客户端和S SLVPN服务端协商， 生成经典会话密钥； 步骤7.SSLVPN客户端和S SLVPN服务端分别发送量子密钥请求命令 到KM1和KM2； 步骤8.KM1和KM2分别响应量子密钥请求到S SLVPN客户端和S SLVPN服务端； 步骤9.SSLVPN客户端和SSLVPN服务端协商， 判断SSLVPN客户端和SSLVPN服务端 获取的 量子密钥是否一 致； 步骤10.如果量子密钥一致且大于100Mbyte， 则选择量子密钥作为会话密钥； 量子密钥 小于10Mbyte， 则会切换到经典密钥作为当前的会话密钥； 步骤11.采用所述会话密钥进行安全通信。 2.如权利 要求1所述的一种在SSLVPN中融合量子密钥和经典密钥的方法， 其特征在于， SSLVPN客户端和S SLVPN服务端之间的握 手协议流程如下： a)SSLVPN客户端在TCP建立之后， 生成随机数RNc； b)SSLVPN客户端发送cl ient_hel lo信息到SSLVPN服务端； c)SSLVPN服务端生成随机数RNs； d)SSLVPN服务端发送server_hel lo信息到SSLVPN客户端； e)SSLVPN服务端发送服 务端证书到S SLVPN客户端； f)SSLVPN服务端发送请求发送客户端数字证书的命令 到SSLVPN客户端； g)SSLVPN客户端验证服 务端证书的合法性； h)SSLVPN客户端发送数字证书到S SLVPN服务端； i)SSLVPN服务端验证客户端数字证书的合法性； j)SSLVPN客户端采用Hash函数处理所有接收到的消息， 将处理结果私钥加密发送到 SSLVPN服务端； k)SSLVPN服务端用客户端的公钥解密检查hash和签名； l)SSLVPN客户端和S SLVPN服务端生成经典密钥作为会话密钥。 3.如权利 要求1所述的一种在SSLVPN中融合量子密钥和经典密钥的方法， 其特征在于， 步骤A:生成经典密钥作为会话密钥的步骤如下： 步骤B:SSLVPN客户端生成临时的对称加密 密钥PMS； 步骤C:SSLVPN客户端用S SLVPN服务端的公钥加密PMS， 并发送到S SLVPN服务端； 步骤D:SSLVPN服务端用本地私钥解密获得PMS； 步骤E:SSLVPN客户端根据PMS、 RNc和RNs计算 生成对称会话密钥；权　利　要　求　书 1/2 页 2 CN 114386022 A 2步骤F:SSLVPN服务端根据接收到的PMS和RNc以及本地生成的RNs计算生成对称会话密 钥。 4.如权利 要求1所述的一种在SSLVPN中融合量子密钥和经典密钥的方法， 其特征在于， 所述client_hel lo信息包括S SLVPN客户端支持的加密信息 。 5.如权利 要求1所述的一种在SSLVPN中融合量子密钥和经典密钥的方法， 其特征在于， 所述数字证书包 含客户端的公钥 信息。权　利　要　求　书 2/2 页 3 CN 114386022 A 3