一种量子网络接入安全托管客户机平台及其运作方法与流程

1.本发明涉及量子通信技术领域，具体涉及一种量子网络接入安全托管客户机平台及其运作方法。


背景技术：

2.我国量子科技虽然起步较晚，但是凭借政策大力支持及大量资金投入，在量子通信领域成功实现了直道超车，在试点应用数量和网络建设规模方面全球领先，并且多项建设记录领跑全球。自2014年，京沪干线开启建设以来，中国量子保密通信建设开始提速，骨干网、城域网、星地一体化网络建设不断完善，为量子通信向政务、金融、电力、交通等行业渗透打下基础。但是目前量子通信网络应用落地依然存在很多问题，例如应用形态单一、应用融合方式不够灵活、对接原有应用体系的代价较高、接入量子网络困难、硬件设备价格昂贵等。
3.目前量子安全能力应用产品形态单一，用户业务系统接入困难繁琐，形态多样且标准规范的产品非常匮乏，直接导致了量子安全能力落地难、接入难、管理难。
4.基于以上，我们研发了量子网络接入安全托管客户机平台，平台以量子安全客户机为最终量子安全能力的载体，以多样化的形态深入用户业务场景进行无感知、无侵入的量子安全能力交付，包括sdk级、应用级、docker级、设备级。支持通过各类型交付模块与企业内部各种承载业务的应用系统、网络设备、云资源进行深度结合，从而帮助各类企业服务进行量子安全加固。用户无需关注除自身系统业务之外的其他问题，从根本上解决了用户接入广域量子保密通信网络难、使用量子安全能力要求高的问题，助力国家、企业乃至个人实现信息安全保障。


技术实现要素：

5.针对现有技术的不足，本发明公开了一种量子网络接入安全托管客户机平台及其运作方法，用于解决目前量子安全能力应用产品形态单一，用户业务系统接入困难繁琐，形态多样且标准规范的产品非常匮乏，直接导致了量子安全能力落地难、接入难、管理难的问题。
6.本发明通过以下技术方案予以实现：
7.第一方面，本发明提供了一种量子网络接入安全托管客户机平台，包括
8.密码模块，用于对量子密钥进行细粒度全生命周期的管理，并对外围输出该量子密钥；
9.执行机模块，用于接收所述密码模块输出的量子密钥，同时进行数据加解密、完整性校验和认证授权；
10.策略机模块，用于管理并生成策略配置，并发送至所述密码模块及所述执行机模块，实现量子安全能力的便捷管理与交付。
11.更进一步的，所述密码模块用于密钥的生成、衍生、存储、使用、更新、备份以及销
毁，所述密码模块生成密码时基于所述策略机模块发送的策略配置作为根密钥生成非对称密钥，利用非对称密钥中的私钥对根密钥和随机串进行签名得到签名字段。
12.更进一步的，所述执行机模块进行数据加解密时，加密时根据量子密钥信息通过哈希算法和椭圆加密算法计算用户私钥和公钥；解密时获取量子密钥信息，根据机密模块内置哈希算法和椭圆加密算法，通过该量子密钥信息计算出私钥和公钥。
13.更进一步的，所述执行机模块进行完整性校验时，通过网络数据源节点的校验专用芯片单元对网络数据执行完整性校验计算，然后将加入完整性校验码的网络数据发送给网络汇聚节点；或者通过网络数据源节点的通信单元将初始的网络数据发送给网络汇聚节点，由网络汇聚节点对网络数据执行完整性校验计算并加入完整性校验码。
14.更进一步的，所述执行机模块集成有策略执行、安全审计、入网申请及拦截、国密算法对接及数据采集/同步功能。
15.更进一步的，所述安全审计接收密码模块发送的量子密钥，经审计通过后控制所述认证授权进行相关的认证和授权，其中授权认证时，根据信息获取目标端口的认证方式，并根据所述认证方式对应的认证过程确定所述用户终端是否为授权用户；若所述用户终端为授权用户，则所述执行机模块获取所述授权用户的数据发送给所述用户终端。
16.更进一步的，所述数据传输加密基于所述执行机模块接收的量子密钥，所述量子密钥在量子通信中，消息编码为量子状态。
17.更进一步的，所述国密算法对接包括sm2、sm3和sm4国密算法。
18.更进一步的，所述策略机模块包括密钥策略、衍生策略、过滤策略、认证策略和协议策略。
19.更进一步的，所述密码模块还包括量子密钥比对子模块，所述量子密钥比对子模块能根据量子密钥分发规则对获取量子密钥的量子比特序列进行测量，计算误码率值，并能根据误码率值的大小推算量子密钥的安全性能。
20.更进一步的，所述密码模块还包括警告日志子模块，所述警告日志子模块能对量子密钥的安全性能进行记录，并能供用户查阅。
21.更进一步的，所述量子密钥对比子模块所推算的量子密钥的安全性能包括安全性能低和安全性能高，在安全性能低时，所述量子密钥失效销毁，并重新生成新的量子密钥并同步到所述执行机模块和密码模块中。
22.第二方面，本发明提供了一种量子网络接入安全托管客户机平台的运作方法，包括以下步骤：
23.s1通过策略机模块管理并生成策略配置，并发送至密码模块及执行机模块；
24.s2密码模块根据策略配置，管理生成量子密钥，同时发送至执行机模块；
25.s3执行机模块接收量子密钥，同时进行数据加解密、完整性校验和认证授权；
26.s4密码模块、执行机模块及策略机模块进行深入交互配合，完成量子安全能力的便捷管理与交付。
27.更进一步的，所述s2和所述s3之间还包括a1，所述a1为对量子密钥进行检测，通过计算误码率值的大小推算量子密钥的安全性能，并根据安全性能和用户的设置使密码模块做出是否重新生成新的量子密钥的指令。
28.本发明的有益效果为：
29.本发明通过形态多样的量子安全客户机为载体，灵活的与用户业务系统进行无感知、无侵入的深度融合，同时对各类量子安全客户机进行自动化配置、全方位监控管理，减少用户对自身业务以外的关注，提供安全可靠的量子能力的同时最大限度的降低用户的接入成本，从而助力量子通信技术民用化的实现。
附图说明
30.为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
31.图1是一种量子网络接入安全托管客户机平台原理框图；
32.图2是一种量子网络接入安全托管客户机平台的运作方法步骤图；
33.图3是本发明实施例软件管理界面图。
具体实施方式
34.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
35.实施例1
36.参照图1所示，本实施例提供一种量子网络接入安全托管客户机平台，包括
37.密码模块，用于对量子密钥进行细粒度全生命周期的管理，并对外围输出该量子密钥；
38.执行机模块，用于接收所述密码模块输出的量子密钥，同时进行数据加解密、完整性校验和认证授权；
39.策略机模块，用于管理并生成策略配置，并发送至所述密码模块及所述执行机模块，实现量子安全能力的便捷管理与交付。
40.本实施例密码模块用于密钥的生成、衍生、存储、使用、更新、备份以及销毁。
41.本实施例通过底层qkm设备协商量子密钥，生成过程完全在密钥服务系统中完成，外界无法干扰，保证了密钥产生的安全和质量。
42.本实施例支持量子密钥唯一标识，与用户应用一一绑定，做到用户级、应用级安全隔离。
43.本实施例提供sdk级、应用级、docker级、设备级等多种产品形态，与用户业务系统灵活融合。
44.本实施例密码模块用于密钥的生成、衍生、存储、使用、更新、备份以及销毁，所述密码模块生成密码时基于所述策略机模块发送的策略配置作为根密钥生成非对称密钥，利用非对称密钥中的私钥对根密钥和随机串进行签名得到签名字段。
45.本实施例执行机模块进行数据加解密时，加密时根据量子密钥信息通过哈希算法和椭圆加密算法计算用户私钥和公钥；解密时获取量子密钥信息，根据机密模块内置哈希
算法和椭圆加密算法，通过该量子密钥信息计算出私钥和公钥。
46.本实施例执行机模块进行完整性校验时，通过网络数据源节点的校验专用芯片单元对网络数据执行完整性校验计算，然后将加入完整性校验码的网络数据发送给网络汇聚节点；或者通过网络数据源节点的通信单元将初始的网络数据发送给网络汇聚节点，由网络汇聚节点对网络数据执行完整性校验计算并加入完整性校验码。
47.本实施例执行机模块集成有策略执行、安全审计、入网申请及拦截、国密算法对接及数据采集/同步功能。
48.本实施例安全审计接收密码模块发送的量子密钥，经审计通过后控制所述认证授权进行相关的认证和授权，其中授权认证时，根据信息获取目标端口的认证方式，并根据所述认证方式对应的认证过程确定所述用户终端是否为授权用户；若所述用户终端为授权用户，则所述执行机模块获取所述授权用户的数据发送给所述用户终端。
49.本实施例数据传输加密基于所述执行机模块接收的量子密钥，所述量子密钥在量子通信中，消息编码为量子状态。
50.本实施例支持从认证授权、数据传输安全、数据存储安全等维度保护用户系统安全。
51.本实施例支持对量子安全客户机的安全策略进行配置管理，支持单点、主备、集群、云平台部署方式，支持以串联或并联的方式与业务系统融合。
52.本实施例量子网络接入安全托管客户机平台作为量子安全能力的最终交付载体，一方面以形态多样、接入标准规范统一的量子安全客户机深入用户业务场景进行量子安全能力交付，另一方面支持对各形态交付产品的统一安全管理。
53.本实施例中的所述密码模块还包括量子密钥比对子模块，所述量子密钥比对子模块能根据量子密钥分发规则对获取量子密钥的量子比特序列进行测量，计算误码率值，并能根据误码率值的大小推算量子密钥的安全性能。通过计算量子密钥所对应的误码率值，推算出窃取者窃取量子密钥的可能性，并推算出量子密钥的安全性能，以便用户能知晓所加密的数据是否处于无人窃取或被他人尝试窃取的装置，便于用户监控量子密钥和加密数据的状态。
54.本实施例中的所述密码模块还包括警告日志子模块，所述警告日志子模块能对量子密钥的安全性能进行记录，并能供用户查阅。用户能从警告日志子模块中查询量子密钥在不同时间段的状态，进一步加强了用户对量子密钥的监控。
55.本实施例中的所述量子密钥对比子模块所推算的量子密钥的安全性能包括安全性能低和安全性能高，在安全性能低时，所述量子密钥失效销毁，并重新生成新的量子密钥并同步到所述执行机模块和密码模块中。在量子密钥处于安全性能低的状态时，已生成的量子密钥失效销毁，同时生成新的量子密钥，从而控制了单个量子密钥的风险系数，避免了在量子密钥安全性能持续处于较低状态(即量子密钥的风险系数持续处于较高状态)时窃取者有较大几率获取加密数据信息，进而极大提高了加密数据的安全性。
56.实施例2
57.在具体实施层面，本实施例提供一种量子网络接入安全托管客户机系统，是在国家高度重视信息安全自主可控，大力支持量子通信技术以及目前量子通信落地应用困难重重的状态下，独立自主研发的满足用户轻松便捷接入的量子安全能力交付平台。
58.如图3所示，本实施例通过量子网络接入安全托管客户机系统软件管理界面，可对量子密钥进行全生命周期管理，对量子安全客户机进行安全管理以及策略管理等，实现量子安全客户机全方位、细粒度的管控。
59.本实施例量子网络接入安全托管客户机平台三个核心模块包括密码模块、执行机、策略机。
60.本实施例密码模块对量子密钥进行全生命周期的管理，包括密钥的生成、衍生、存储、使用、更新、备份以及销毁。
61.本实施例执行机具备数据加解密、完整性校验和认证鉴权的基本功能，除此之外，支持通过各类型客户机与企业内部各种承载业务的应用系统、网络设备、云资源等进行深度结合，帮助各类企业服务具备量子安全能力的支撑。
62.本实施例策略机为密码模块以及执行机提供灵活的策略配置与管理；三个模块相互配合，共同完成量子安全能力的便捷管理与交付。
63.本实施例研发标准合规的量子网络接入安全托管客户机系统，支持对最终交付用户的多形态客户机进行配置管理，解决量子安全能力对接用户系统时接入难、使用难、管理难的问题。
64.本实施例研发多样化形态的、具备标准化接口规范的用户应用接入软件，并集成相应功能的硬件环境模块。解决量子网络与最终用户系统对接标准不统一，使用开发困难的技术问题。
65.本实施例研发具备全生命周期量子密钥管理功能的软件系统，支持量子密钥的生成、衍生、使用、存储、更新、备份、销毁以及密钥唯一标识管理，解决量子密钥细粒度的追踪管理难题。
66.实施例3
67.在具体实施层面，本实施例提供一种量子网络接入安全托管客户机平台的研发过程，包括以下过程：
68.技术调研：调研研究面向用户侧的量子能力交付接口规范，调研研究量子干线网、城域网及私有化部署网络量子应用实践，研究量子保密通信技术规范、国家通信安全规范、商用密码规范。
69.规范及方案设计：设计开发多样化形态的、具备标准化接口规范的用户应用接入软硬件平台以及平台软件系统概要设计。
70.软件系统开发：基于以上方案设计，评审论证冻结设计后，做软件代码编写。
71.硬件平台集成：筛选符合软件运行要求的信创硬件平台，及开发定制化功能需求的硬件模块，整合集成成套硬件平台，并进行软件适配性测试。
72.实施例4
73.参照图2所示，本实施例提供一种量子网络接入安全托管客户机平台的运作方法，包括以下步骤：
74.s1通过策略机模块管理并生成策略配置，并发送至密码模块及执行机模块；
75.s2密码模块根据策略配置，管理生成量子密钥，同时发送至执行机模块；
76.s3执行机模块接收量子密钥，同时进行数据加解密、完整性校验和认证授权；
77.s4密码模块、执行机模块及策略机模块进行深入交互配合，完成量子安全能力的
便捷管理与交付。
78.本实施中的所述s2和所述s3之间还包括a1，所述a1为对量子密钥进行检测，通过计算误码率值的大小推算量子密钥的安全性能，并根据安全性能和用户的设置使密码模块做出是否重新生成新的量子密钥的指令。
79.本实施例通过底层qkm设备协商量子密钥，生成过程完全在密钥服务系统中完成，外界无法干扰，保证了密钥产生的安全和质量。
80.本实施例对量子密钥进行细粒度的全生命周期的追踪管控。对国家密码局公布的sm2、sm3、sm4国密算法的全面支持。
81.本实施例支持量子密钥唯一标识，与用户应用一一绑定，做到用户级、应用级安全隔离。
82.本实施例提供sdk级、应用级、docker级、设备级等多种产品形态，与用户业务系统灵活融合。
83.本实施例支持从认证授权、数据传输安全、数据存储安全等维度保护用户系统安全。
84.本实施例支持对量子安全客户机的安全策略进行配置管理；支持单点、主备、集群、云平台部署方式，支持以串联或并联的方式与业务系统融合。
85.综上，本发明通过形态多样的量子安全客户机为载体，灵活的与用户业务系统进行无感知、无侵入的深度融合，同时对各类量子安全客户机进行自动化配置、全方位监控管理，减少用户对自身业务以外的关注，提供安全可靠的量子能力的同时最大限度的降低用户的接入成本，从而助力量子通信技术民用化的实现。
86.以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。