本申請涉及網(wǎng)絡安全，尤其涉及一種基于深度包檢測的網(wǎng)絡量子安全風險評估方法及裝置。

背景技術：

1、隨著量子計算技術的快速發(fā)展，傳統(tǒng)的非對稱加密算法面臨著日益嚴峻的安全威脅。比如，對于橢圓曲線密碼學(elliptic?curve?cryptography，ecc)和rsa(rivest-shamir-adleman)加密算法，這些算法的安全性主要基于大數(shù)分解和離散對數(shù)問題的計算復雜度，而量子計算機有潛力在多項式時間內解決這些問題，從而破解現(xiàn)有的加密系統(tǒng)。

2、然而，現(xiàn)有的網(wǎng)絡安全監(jiān)控系統(tǒng)主要關注傳統(tǒng)的網(wǎng)絡攻擊，如惡意軟件、分布式拒絕服務攻擊(distributed?denial?of?service，ddos)攻擊等，對于加密通信中使用的具體算法缺乏深入分析，因此普遍缺乏對量子計算威脅的認知和應對能力。

3、雖然有一些系統(tǒng)可以識別加密協(xié)議類型，比如傳輸層安全性協(xié)議(transportlayer?security，tls)或互聯(lián)網(wǎng)協(xié)議安全(internet?protocol?security，ipsec)，但無法精確識別協(xié)議內部使用的具體加密算法。這導致網(wǎng)絡管理員無法及時發(fā)現(xiàn)和評估網(wǎng)絡中存在的量子安全風險。

技術實現(xiàn)思路

1、本申請?zhí)峁┝艘环N基于深度包檢測的網(wǎng)絡量子安全風險評估方法、裝置及計算機存儲介質，能夠準確識別加密協(xié)議使用的加密算法，從而提高對系統(tǒng)網(wǎng)絡量子安全風險的評估能力。

2、第一方面，本申請?zhí)峁┮环N基于深度包檢測的網(wǎng)絡量子安全風險評估方法，應用于利用至少一個加密協(xié)議進行網(wǎng)絡通信的通信雙方中的任一方，方法包括：獲取系統(tǒng)的網(wǎng)絡流量；網(wǎng)絡流量包括多個目標數(shù)據(jù)包，多個目標數(shù)據(jù)包的載荷用于傳輸至少一個加密協(xié)議對應的目標消息；目標消息為通信雙方在加密協(xié)議握手階段發(fā)送的確定加密參數(shù)的協(xié)商消息；采用深度包檢測技術按照預設規(guī)則從多個目標數(shù)據(jù)包的載荷中提取目標消息包括的加密參數(shù)；預設規(guī)則包括指定目標消息和加密參數(shù)的匹配條件；利用預設算法特征庫對加密參數(shù)進行匹配和分析，得到目標消息對應的加密協(xié)議使用的加密算法；根據(jù)使用的加密算法，從至少一個加密協(xié)議中確定使用非量子安全加密算法的目標加密協(xié)議；目標加密協(xié)議所關聯(lián)網(wǎng)絡路徑的流量和連接狀態(tài)用于評估系統(tǒng)的網(wǎng)絡量子安全風險。

3、由此，通過深度包檢測技術對網(wǎng)絡流量中數(shù)據(jù)包的載荷進行檢測，能準確識別加密協(xié)議使用的加密算法，從而提高系統(tǒng)的網(wǎng)絡量子安全風險評估能力。

4、在一種可能的實現(xiàn)方式中，提取目標消息包括的加密參數(shù)，包括：使用預設規(guī)則對至少一個加密協(xié)議對應的目標消息進行安全性檢查，得到符合安全性檢查的目標消息；從符合安全性檢查的目標消息中提取該目標消息包括的加密參數(shù)。

5、在一種可能的實現(xiàn)方式中，使用預設規(guī)則對至少一個加密協(xié)議對應的目標消息進行安全性檢查，得到符合安全性檢查的目標消息，包括：使用預設規(guī)則對至少一個目標消息進行加密協(xié)議類型的安全性檢測，得到符合預設加密協(xié)議類型的目標消息；對符合預設加密協(xié)議類型的目標消息，確定該目標消息所使用的加密協(xié)議版本；根據(jù)加密協(xié)議版本對該目標消息進行消息類型的安全性檢測，得到符合安全性檢查的目標消息。

6、在一種可能的實現(xiàn)方式中，利用預設算法特征庫對加密參數(shù)進行匹配和分析，包括：將加密參數(shù)中包括的加密算法特征與預設算法特征庫進行匹配和分析；預設算法特征庫包括多個鍵值對，每個鍵值對表示一個加密算法與該加密算法的多個加密算法特征的對應關系。

7、在一種可能的實現(xiàn)方式中，利用預設算法特征庫對加密參數(shù)進行匹配和分析，包括：使用ac自動機將加密參數(shù)和預設算法特征庫進行匹配和分析。

8、在一種可能的實現(xiàn)方式中，從至少一個加密協(xié)議中確定使用非量子安全加密算法的目標加密協(xié)議，包括：根據(jù)預設量子安全評估數(shù)據(jù)得到使用的加密算法的量子安全性能；根據(jù)使用的加密算法的量子安全性能，從至少一個加密協(xié)議中確定使用非量子安全加密算法的目標加密協(xié)議。

9、在一種可能的實現(xiàn)方式中，方法還包括：統(tǒng)計網(wǎng)絡流量中至少一個加密協(xié)議對應的目標消息的第一數(shù)量；對目標消息包括的加密參數(shù)進行分類，以及統(tǒng)計分類中各類別加密參數(shù)的第二數(shù)量；第一數(shù)量和第二數(shù)量用于評估系統(tǒng)的網(wǎng)絡量子安全風險。

10、在一種可能的實現(xiàn)方式中，目標加密協(xié)議所關聯(lián)網(wǎng)絡路徑的流量和連接狀態(tài)由數(shù)據(jù)可視化工具進行監(jiān)控。

11、第二方面，本申請?zhí)峁┮环N基于深度包檢測的網(wǎng)絡量子安全風險評估裝置，部署于于利用至少一個加密協(xié)議進行網(wǎng)絡通信的通信雙方中的任一方，裝置包括：獲取模塊，用于獲取系統(tǒng)的網(wǎng)絡流量；網(wǎng)絡流量包括多個目標數(shù)據(jù)包，多個目標數(shù)據(jù)包的載荷用于傳輸至少一個加密協(xié)議對應的目標消息；目標消息為通信雙方在加密協(xié)議握手階段發(fā)送的確定加密參數(shù)的協(xié)商消息；提取模塊，用于采用深度包檢測技術按照預設規(guī)則從多個目標數(shù)據(jù)包的載荷中提取目標消息包括的加密參數(shù)；預設規(guī)則包括指定目標消息和加密參數(shù)的匹配條件；匹配和分析模塊，用于利用預設算法特征庫對加密參數(shù)進行匹配和分析，得到目標消息對應的加密協(xié)議使用的加密算法；輸出模塊，用于根據(jù)使用的加密算法，從至少一個加密協(xié)議中確定使用非量子安全加密算法的目標加密協(xié)議；目標加密協(xié)議所關聯(lián)網(wǎng)絡路徑的流量和連接狀態(tài)用于評估系統(tǒng)的網(wǎng)絡量子安全風險。

12、第三方面，本申請?zhí)峁┮环N計算機存儲介質，計算機存儲介質中存儲有指令，當指令在計算機上運行時，使得計算機執(zhí)行如第一方面或第一方面的任一種可能的實現(xiàn)方式所描述的方法。

13、可以理解的是，上述第二方面至第三方面的有益效果可以參見上述第一方面中的相關描述，在此不再贅述。

技術特征：

1.一種基于深度包檢測的網(wǎng)絡量子安全風險評估方法，應用于利用至少一個加密協(xié)議進行網(wǎng)絡通信的通信雙方中的任一方，所述方法包括：

2.根據(jù)權利要求1所述的方法，所述提取所述目標消息包括的加密參數(shù)，包括：

3.根據(jù)權利要求2所述的方法，所述使用所述預設規(guī)則對至少一個加密協(xié)議對應的目標消息進行安全性檢查，得到符合安全性檢查的目標消息，包括：

4.根據(jù)權利要求1所述的方法，所述利用預設算法特征庫對所述加密參數(shù)進行匹配和分析，包括：

5.根據(jù)權利要求1所述的方法，所述利用預設算法特征庫對所述加密參數(shù)進行匹配和分析，包括：

6.根據(jù)權利要求1所述的方法，所述從至少一個加密協(xié)議中確定使用非量子安全加密算法的目標加密協(xié)議，包括：

7.根據(jù)權利要求1所述的方法，所述方法還包括：

8.根據(jù)權利要求1所述的方法，所述目標加密協(xié)議所關聯(lián)網(wǎng)絡路徑的流量和連接狀態(tài)由數(shù)據(jù)可視化工具進行監(jiān)控。

9.一種基于深度包檢測的網(wǎng)絡量子安全風險評估裝置，部署于于利用至少一個加密協(xié)議進行網(wǎng)絡通信的通信雙方中的任一方，所述裝置包括：

10.一種計算機存儲介質，計算機存儲介質中存儲有指令，當指令在計算機上運行時，使得計算機執(zhí)行如權利要求1-8任一所述的方法。

技術總結
本申請實施例提供了一種基于深度包檢測的網(wǎng)絡量子安全風險評估方法，應用于利用至少一個加密協(xié)議進行網(wǎng)絡通信的通信雙方中的任一方，方法包括：獲取系統(tǒng)的網(wǎng)絡流量；采用深度包檢測技術按照預設規(guī)則從多個目標數(shù)據(jù)包的載荷中提取目標消息包括的加密參數(shù)；利用預設算法特征庫對加密參數(shù)進行匹配和分析，得到目標消息對應的加密協(xié)議使用的加密算法；確定使用非量子安全加密算法的目標加密協(xié)議；目標加密協(xié)議所關聯(lián)網(wǎng)絡路徑的流量和連接狀態(tài)用于評估系統(tǒng)的網(wǎng)絡量子安全風險。由此，通過深度包檢測技術對網(wǎng)絡流量中數(shù)據(jù)包的載荷進行檢測，能準確識別加密協(xié)議使用的加密算法，從而提高系統(tǒng)的網(wǎng)絡量子安全風險評估能力。

技術研發(fā)人員：馮凱,黃蕾蕾
受保護的技術使用者：正則量子（北京）技術有限公司
技術研發(fā)日：
技術公布日：2025/5/15