基于量子加密的移动业务平台安全管理系统的制作方法

1.本发明属于网络信息安全技术领域，涉及量子加密技术，具体是基于量子加密的移动业务平台安全管理系统。


背景技术：

2.随着信息技术的发展，尤其是互联网的广泛普及和应用，网络正逐步改变着人类的生活和工作方式，越来越多的企业、组织和单位建立了依赖于网络的业务信息系统，如网络办公，对社会的各行各业产生了深远的影响，信息安全的重要性也在不断提升，为此，人们在信息传输的两端建立了密钥安全认证，可以在很大程度上规避了安全信息问题。
3.然而，传统的密钥算法生成的密钥较为规律，虽说破解所花费的时间比较长，但随着现代量子计算机的出现会更加容易破解，而量子加密技术相对传统的加密技术更加安全，量子加密通信是利用单光子量子态不可分割、不可复制，结合一次一密的加密方式进行保密传输的新型通讯方式，具有不可窃听、不可破译的无条件安全特性。
4.因此，本发明提出了基于量子加密的移动业务平台安全管理系统。


技术实现要素：

5.本发明旨在至少解决现有技术中存在的技术问题之一。为此，本发明提出基于量子加密的移动业务平台安全管理系统，该基于量子加密的移动业务平台安全管理系统解决了企业或单位人员进行移动业务平台办公的安全管理的技术问题。
6.为实现上述目的，根据本发明的第一方面的实施例提出基于量子加密的移动业务平台安全管理系统，包括：若干个移动客户端、外网量子安全网关、vpn隧道、防火墙、内网量子安全网关组、交换机、业务办公平台；
7.所述移动客户端安装有量子安全sim卡，所述移动客户端用于用户远程访问所述业务办公平台并进行业务办公操作；量子安全sim卡支持所述移动客户端接入所述外网量子安全网关；
8.所述外网量子安全网关用于对所述移动客户端发送或接收的数据包进行检查并对数据包进行封装加密或解包解密；
9.所述vpn隧道与所述外网量子安全网关和所述内网量子安全网关组无线连接，所述vpn隧道存在于互联网中，用于对所述外网量子安全网关和所述内网量子安全网关组之间的通信数据进行传输；
10.所述防火墙设置在vpn隧道与所述内网量子安全网关组之间，所述防火墙用于将外网与内网分开并对安全风险进行过滤隔离；
11.所述内网量子安全网关组包括主内网量子安全网关和从内网量子安全网关，主内网量子安全网关和从内网量子安全网关呈双机热备的部署模式；所述内网量子安全网关组用于对业务办公平台发送或接收的数据包进行检查并对数据包进行封装加密或解包解密；
12.所述交换机用于按照通信两端传输数据的需要，把传输的数据送至符合要求的内
网量子安全网关或业务办公平台的子类别中；
13.所述业务办公平台安置于内网中，所述业务办公平台用于针对移动化应用提供统一管理和统一访问。
14.进一步地，移动客户端和业务办公平台之间通信过程如下：
15.步骤一：用户通过安装有量子安全sim卡移动客户端发送访问数据包至业务办公平台；
16.步骤二：外网量子安全网关对访问数据包中的目标地址进行检查，若目标地址符合业务办公平台所在的内网地址，则外网量子安全网关对访问数据包进行封装并生成vpn数据包，封装过程中使用量子密钥的国密算法进行加密；外网量子安全网关将vpn数据包通过vpn隧道发送至内网量子安全网关组；
17.步骤三：内网的防火墙对vpn数据包进行安全风险过滤隔离；内网量子安全网关组对vpn数据包进行检查，若判断为外网量子安全网关发送的vpn数据包，则对vpn数据包进行解包处理并还原成原始访问数据包，解包过程中使用量子密钥的国密算法进行解密；内网量子安全网关组将原始访问数据包通过交换机发送至业务办公平台；
18.步骤四：从业务办公平台返回至移动客户端的数据包处理过程与从移动客户端发送访问数据包至单位平台类似。
19.进一步地，国密算法包括国密sm2算法、sm3算法以及sm4算法。
20.进一步地，安装有量子安全sim卡的移动客户端、外网量子安全网关、vpn隧道以及内网量子安全网关组组成量子密钥管理模块；所述量子密钥管理模块提供量子密钥全生命周期管理；所述量子密钥管理模块采用量子随机数生成密钥，量子随机数来源于量子密钥分发网络或量子随机数发生器。
21.进一步地，量子密钥管理模块设置有对象进行认证，对象包括用户、设备以及应用程序，对鉴权成功的访问进行必要的授权，认证未通过的访问将不能通过所述量子密钥管理模块在业务办公平台进行任何业务操作。
22.进一步地，量子密钥管理模块为需要进行通信的移动客户端和业务办公平台提供会话密钥的分发功能，通信双方完成密钥分发后，便可获取到相应的会话密钥进行加密通信。
23.进一步地，量子密钥管理模块提供为量子安全sim卡进行单点的量子密钥充注，支持在线和离线两种充注方式。
24.与现有技术相比，本发明的有益效果是：
25.本发明通过将移动客户端安装有量子安全sim卡，从而支持移动客户端接入外网量子安全网关，移动用户端发送访问数据包至业务办公平台，其中外网量子安全网关对访问数据包进行检查、封装以及量子密钥加密，通过vpn隧道和防火墙传输至内网安全网关组进行检查、解包以及量子密钥解密，最终获得原始访问数据包通过交换机传输至业务办公平台；本发明采用了量子加密技术对移动客户端和业务办公平台之间的通信数据包进行加密和解密，利用单光子量子态不可分割、不可复制，结合一次一密的加密方式进行保密传输的新型通讯方式，具有不可窃听、不可破译的无条件安全特性，解决了企业或单位人员进行移动业务平台办公的安全管理的技术问题。
附图说明
26.图1为本发明的网络应用部署结构示意图；
27.图2为本发明的移动客户端和业务办公平台之间通信过程示意图。
具体实施方式
28.下面将结合实施例对本发明的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本发明保护的范围。
29.如图1所示，基于量子加密的移动业务平台安全管理系统，包括：若干个移动客户端、外网量子安全网关、vpn隧道、防火墙、内网量子安全网关组、交换机、业务办公平台；
30.所述移动客户端安装有量子安全sim卡，所述移动客户端用于用户远程访问所述业务办公平台并进行业务办公操作；其中，量子安全sim卡支持所述移动客户端接入所述外网量子安全网关；需要说明的是，移动客户端安装有自主安全cos操作系统；
31.在本实施例中，量子安全sim卡容量不小于1m，支持javacos，卡空间和应用可以动态安全管理，量子安全sim卡应保障数据安全，数据保存期不少于10年，量子安全sim卡内存可擦写次数不少于10万次，应满足可靠性要求，工作温度需满足：-25℃～85℃，esd(hbm)不小于5kv；
32.所述外网量子安全网关用于对所述移动客户端发送或接收的数据包进行检查并对数据包进行封装加密或解包解密；
33.所述vpn隧道与所述外网量子安全网关和所述内网量子安全网关组无线连接，所述vpn隧道存在于互联网中，用于对所述外网量子安全网关和所述内网量子安全网关组之间的通信数据进行传输；
34.所述防火墙设置在vpn隧道与所述内网量子安全网关组之间，所述防火墙用于将外网与内网分开并对安全风险进行过滤隔离；
35.所述内网量子安全网关组包括主内网量子安全网关和从内网量子安全网关，其中主内网量子安全网关和从内网量子安全网关呈双机热备的部署模式，即正常情况下主内网量子安全网关处于工作状态，从内网量子安全网关处于监视状态，一旦从内网量子安全网关发现主内网量子安全网关异常，从内网量子安全网关将会在很短的时间内代替主内网量子安全网关，完全实现主内网量子安全网关的功能；所述内网量子安全网关组安置在企业或单位的内网中，所述内网量子安全网关组用于对业务办公平台发送或接收的数据包进行检查并对数据包进行封装加密或解包解密；
36.所述交换机用于按照通信两端传输数据的需要，把传输的数据送至符合要求的内网量子安全网关或业务办公平台的子类别中；
37.所述业务办公平台安置于内网中，所述业务办公平台用于针对移动化应用提供统一管理和统一访问；具体地，所述业务办公平台包括通讯录、移动应用商店以及消息中心等多项基础的应用功能，信息一站式浏览和处理，帮助单位实现业务运营移动化，有效保护内部信息安全。
38.如图2所示，应用于基于量子加密的移动业务平台安全管理系统，移动客户端和业
务办公平台之间通信过程如下：
39.步骤一：用户通过安装有量子安全sim卡的移动客户端对业务办公平台进行访问，即用户通过安装有量子安全sim卡移动客户端发送访问数据包至业务办公平台；
40.步骤二：外网量子安全网关对安装有量子安全sim卡的移动客户端发送的访问数据包中的目标地址进行检查，若目标地址符合业务办公平台所在的内网地址，则外网量子安全网关对移动客户端发送的访问数据包进行封装并生成vpn数据包，其中封装过程中使用量子密钥的国密算法进行加密；外网量子安全网关将vpn数据包通过vpn隧道发送至内网量子安全网关组；
41.步骤三：内网的防火墙对vpn数据包进行安全风险过滤隔离；内网量子安全网关组对vpn数据包进行检查，若判断为外网量子安全网关发送的vpn数据包，则对vpn数据包进行解包处理并还原成原始访问数据包，其中解包过程中使用量子密钥的国密算法进行解密；内网量子安全网关组将原始访问数据包通过交换机发送至业务办公平台；
42.步骤四：从业务办公平台返回至移动客户端的数据包处理过程与从移动客户端发送访问数据包至单位平台类似；
43.本实施例中，国密算法包括国密sm2算法、sm3算法以及sm4算法；
44.需要说明的是，安装有量子安全sim卡的移动客户端、外网量子安全网关、vpn隧道以及内网量子安全网关组组成量子密钥管理模块；
45.所述量子密钥管理模块提供量子密钥全生命周期管理，满足国密标准相关要求；所述量子密钥管理模块采用量子随机数生成密钥，量子随机数来源于量子密钥分发网络或量子随机数发生器；其中，量子密钥全生命周期管理包括密钥的生成、存储、使用、导入、导出、更新、备份、恢复、归档以及销毁，严格按照密钥的分类来控制各类密钥的使用权限；所述量子密钥管理模块设置有对象进行认证，对象包括用户、设备以及应用程序，对鉴权成功的访问进行必要的授权，认证未通过的访问将不能通过所述量子密钥管理模块在业务办公平台进行任何业务操作；
46.所述量子密钥管理模块为需要进行通信的移动客户端和业务办公平台提供会话密钥的分发功能，通信双方完成密钥分发后，便可获取到相应的会话密钥进行加密通信；
47.所述量子密钥管理模块提供为量子安全介质产品，即量子安全sim卡进行单点的量子密钥充注，支持在线和离线两种充注方式。
48.以上实施例仅用以说明本发明的技术方法而非限制，尽管参照较佳实施例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方法进行修改或等同替换，而不脱离本发明技术方法的精神和范围。