一种量子安全模块和加密方法与流程

本申请涉及信息安全，尤其涉及一种量子安全模块和加密方法。

背景技术：

1、在现有相关技术中，加密模块是一种具有安全芯片的模块，它可用于提供安全的身份验证和加密功能。加密模块通常集成密码学算法和密钥管理功能，可以用于保护敏感数据和进行安全通信。例如在电子政务领域中，政府机构可以利用其进行数字签名和加密敏感数据，以确保在线交互的安全性和可信度。在物联网安全领域中，加密模块用于确保物联网设备之间的数据和指令传输是安全可信的。

2、上述加密模块在加密时主要利用传统的加密算法进行加密，比如aes、rsa和ecc，其安全性强度取决于所使用的密钥长度。较长的密钥长度可以增加破解的难度和时间。例如，128位的aes密钥被认为是较为安全的。但随着计算机和算法的进步，传统加密算法可能面临被破解的风险。例如，随着量子计算机的发展，一些传统加密算法，特别是基于大素数分解和离散对数的算法，可能会受到量子计算攻击的威胁。

3、为此如何改进现有加密模块并使其具有更高的安全性，成为本发明所要解决的技术问题。

技术实现思路

1、为了解决现有技术的问题，本发明提供了一种量子安全模块和加密方法。所述技术方案如下：

2、第一方面，本申请提供了一种量子安全模块，所述量子安全模块包括：隔离模块和加密模块，所述隔离模块包括第一通信接口、第二通信接口以及隔离芯片，所述第一通信接口和第二通信接口分别与所述隔离芯片通信连接；

3、所述隔离芯片与所述加密模块之间通过第三通信接口和第四通信接口通信连接；

4、所述隔离模块用于接收所述加密模块发送的过滤规则，并根据所述过滤规则对接收到的通信数据进行过滤，再将过滤得到的关键数据转发至对应的通信接口；

5、所述加密模块用于执行预设流程，以及根据加密规则执行量子加解密操作；其中，所述预设流程包括：过滤规则配置流程，以及接入认证和密钥补充流程。

6、上述方案中，所述加密模块包括处理芯片、ram内存单元、flash单元、存储单元和调试接口，所述处理芯片分别与所述ram内存单元、flash单元、存储单元和调试接口相连接；

7、所述加密模块通过所述调试接口执行调试、文件上传、版本升级和固件升级操作。

8、上述方案中，所述第一通信接口用于接收来自客户端或服务端的通信数据，以及向客户端或服务端发送通信数据；

9、所述第二通信接口用于量子加密数据、量子密钥中继数据、量子密钥补充数据以及量子安全网络信令的接收和发送。

10、上述方案中，所述第三通信接口与所述第一通信接口相对应，在所述隔离芯片与所述加密模块之间形成第一数据通道；

11、所述第四通信接口与所述第二通信接口相对应，在所述隔离芯片与所述加密模块之间形成第二数据通道。

12、第二方面，本申请还提供了一种加密方法，该方法由上述方案中的量子安全模块执行，所述方法包括：

13、隔离芯片接收通过第一通信接口发送的通信数据，并根据过滤规则对接收到的通信数据进行过滤，再将过滤得到的关键数据通过第三通信接口转发至加密模块；

14、当所述加密模块根据配置确定需要对接收到的关键数据进行加密时，根据加密规则利用量子密钥对所述关键数据执行加密操作，以得到量子加密数据，并生成所述量子密钥对应的索引，再将所述索引发送至接收端，以使接收端根据所述索引确定所述量子密钥；

15、其中，所述量子密钥为量子安全模块与所述接收端之间配对过的密钥。

16、上述方案中，所述加密模块根据的配置为所述第三通信接口与所述加密模块之间的端口配置；

17、其中，若端口配置为加密端口，则加密通过该端口接收到的关键数据；否则，对通过该端口接收到的关键数据不执行加密操作。

18、上述方案中，所述隔离芯片将过滤得到的关键数据通过第三通信接口转发至加密模块时，先根据预置的关键数据的流处理策略匹配所述第三通信接口与所述加密模块之间启用的第一端口，再将所述关键数据通过所述第一端口发送至所述加密模块；

19、当所述加密模块需要发送加密所述关键数据得到的量子加密数据时，通过所述加密模块与所述第四通信接口之间启用的第二端口将所述量子加密数据转发至所述第二通信接口，其中，所述第一端口和所述第二端口形成映射关系。

20、上述方案中，所述量子密钥来源于预置在所述量子安全模块中的根密钥组或所述量子安全模块中补充的密钥组。

21、上述方案中，所述加密规则包括所述关键数据的流所对应的加密比例，所述加密比例为量子密钥的长度与待加密的关键数据的长度之比；

22、所述隔离芯片过滤得到所述关键数据时，还根据所述关键数据的流生成对应的标识，并将所述标识发送至所述加密模块，以使所述加密模块根据所述标识确定所述关键数据的流所对应的加密比例。

23、上述方案中，所述索引包括密钥位置信息和密钥偏移信息，所述密钥位置信息用于指示所述量子密钥的存储位置，所述密钥偏移信息用于指示所述量子密钥在量子密钥文件中的偏移量。

24、本申请的有益效果如下：本申请的量子安全模块包含有隔离模块和加密模块两个相互独立的模块；其中，隔离模块用于提供通信接口对外通信，以及针对通信数据进行过滤，加密模块用于执行预设流程和量子加解密操作；预设流程包括：过滤规则配置流程，以及接入认证和密钥补充流程；量子安全模块在使用中其接收到的通信数据均需要经过隔离模块过滤后，才能进行数据的转发，以避免不合法数据到达加密模块，使得外界难以直接对加密模块中存储的数据进行访问和操作；同时量子安全模块在与其它设备通信的过程中，通信的数据经过量子加密处理，加密的安全性更高。

技术特征：

1.一种量子安全模块，其特征在于，所述量子安全模块包括：隔离模块和加密模块，所述隔离模块包括第一通信接口、第二通信接口以及隔离芯片，所述第一通信接口和第二通信接口分别与所述隔离芯片通信连接；

2.如权利要求1所述的量子安全模块，其特征在于，所述加密模块包括处理芯片、ram内存单元、flash单元、存储单元和调试接口，所述处理芯片分别与所述ram内存单元、flash单元、存储单元和调试接口相连接；

3.如权利要求2所述的量子安全模块，其特征在于，所述第一通信接口用于接收来自客户端或服务端的通信数据，以及向客户端或服务端发送通信数据；

4.如权利要求3所述的量子安全模块，其特征在于，所述第三通信接口与所述第一通信接口相对应，在所述隔离芯片与所述加密模块之间形成第一数据通道；

5.一种加密方法，其特征在于，所述方法由权利要求1-4任一项所述的量子安全模块执行，所述方法包括：

6.如权利要求5所述的加密方法，其特征在于，所述加密模块根据的配置为所述第三通信接口与所述加密模块之间的端口配置；

7.如权利要求5所述的加密方法，其特征在于，所述隔离芯片将过滤得到的关键数据通过第三通信接口转发至加密模块时，先根据预置的关键数据的流处理策略匹配所述第三通信接口与所述加密模块之间启用的第一端口，再将所述关键数据通过所述第一端口发送至所述加密模块；

8.如权利要求5所述的加密方法，其特征在于，所述量子密钥来源于预置在所述量子安全模块中的根密钥组或所述量子安全模块中补充的密钥组。

9.如权利要求5所述的加密方法，其特征在于，所述加密规则包括所述关键数据的流所对应的加密比例，所述加密比例为量子密钥的长度与待加密的关键数据的长度之比；

10.如权利要求5-9任一项所述的加密方法，其特征在于，所述索引包括密钥位置信息和密钥偏移信息，所述密钥位置信息用于指示所述量子密钥的存储位置，所述密钥偏移信息用于指示所述量子密钥在量子密钥文件中的偏移量。

技术总结
本申请公开了一种量子安全模块和加密方法，所述量子安全模块包含有隔离模块和加密模块两个相互独立的模块；其中，隔离模块用于提供通信接口对外通信，以及针对通信数据进行过滤，加密模块用于执行预设流程和量子加解密操作；预设流程包括：过滤规则配置流程，以及接入认证和密钥补充流程；量子安全模块在使用中其接收到的通信数据均需要经过隔离模块过滤后，才能进行数据的转发，以避免不合法数据到达加密模块，使得外界难以直接对加密模块中存储的数据进行访问和操作；量子安全模块在与其它设备通信的过程中，通信的数据经过量子加密处理，加密的安全性更高。

技术研发人员：傅波海,黎爽
受保护的技术使用者：矩阵时光数字科技有限公司
技术研发日：
技术公布日：2024/1/14