一种多终端量子安全加密设备的制作方法

本申请涉及信息安全，尤其涉及一种多终端量子安全加密设备。

背景技术：

1、量子安全技术是一系列为抵御量子计算能力而设计的安全措施和加密方法。这些技术的核心目标是保护数据免受未来量子计算机的潜在破解，特别是针对目前广泛使用的公钥加密算法，如rsa和ecc，这些算法基于数学问题的复杂性，而这些问题有可能被量子计算机迅速解决。量子安全技术的两大主要领域包括后量子密码学和量子密钥分发(qkd)。其中，量子密钥分发(qkd)系统的架构是建立在量子力学原理之上的，主要目的是实现两个通信方之间安全的密钥交换。qkd系统通常包括几个关键组件：源端(发送方)、信道、接收端(接收方)以及必要的支持系统，如控制软件和认证机制。源端装备有量子发射设备，比如可以发射单个光子的激光器，这些光子被编码为量子比特，携带着加密密钥信息。这些量子比特可以采用不同的量子态，如偏振态或相位态。发射出的信号通过量子信道通常是光纤或自由空间传输到达接收端。在传输过程中，任何的窃听尝试都会因为量子力学的不确定性原理和量子纠缠现象，导致信号的不可预测改变，从而被检测到。接收端包含量子检测器，如光子探测器，用于读取量子比特的状态并重建密钥。

2、在现有量子安全相关技术的具体应用领域中，例如中国专利申请号为：cn202310347327.5，的专利申请文本中公开的一种基于soc的高带宽量子保密通信路由器、系统及通信方法，量子保密通信路由器包括soc芯片、明文通信单元、密钥通信单元、网络通信单元；明文通信单元与若干外部的客户端设备连接，用于客户端设备与soc芯片之间的数据传输；密钥通信单元与若干qkd系统连接，用于从qkd系统获取量子密钥并传输至soc芯片；网络通信单元用于接入网络与通信服务器建立基于tcp/ip协议的通信，用于通信服务器与soc芯片之间的数据传输；soc芯片用于实现非量子加密模式和量子加密模式，实现数据路由。

3、上述方案的设备中，密钥管理模块为量子保密通信路由器与qkd系统建立通信连接，但单台qkd系统可提供的量子密钥速率十分有限，其在具体实施时需要连接多套qkd系统，这样虽然可以使量子密钥获取的速率成倍、甚至数量级的增加，但是由于qkd系统的架构相对复杂，整体设备较为庞大，实施成本也相对较高，例如专用光纤的铺设，因此难以实际推广应用。为此如何简化设备系统架构，并保持设备使用安全性，降低使用成本是本发明旨在解决的技术问题。

技术实现思路

1、为了解决上述技术问题，本申请公开了一种多终端量子安全加密设备，包括内容过滤模块、量子安全模块、交换模块，以及所述交换模块对应的终端接口模块和网络接口模块；所述网络接口模块与所述交换模块建立通信连接；所述终端接口模块通过内容过滤模块与所述交换模块建立通信连接，所述量子安全模块与内容过滤模块通信连接；其中，所述内容过滤模块用于基于数据特征确定数据的处理对象，所述处理对象包括所述交换模块和所述量子安全模块；当所述处理对象为所述量子安全模块时，所述量子安全模块对接收到的数据进行量子加解密处理，其中，用于进行量子加解密处理的量子密钥为量子随机数发生器生成的量子真随机数；当所述处理对象为所述交换模块时，所述交换模块根据接收到的数据对应的目的地址查询对应的转发表匹配该数据的下一接口模块，并将所述数据发送至该下一接口模块。

2、上述方案中，所述量子密钥的来源包括：量子安全模块中预置的量子密钥，量子安全服务端中继的量子密钥，以及从量子安全服务端更新的量子密钥；所述量子安全模块加密数据时，对ip协议后的负载进行加密，保持数据的ip外层协议为明文。

3、上述方案中，所述内容过滤模块进一步用于根据数据特征匹配内容转发策略，根据匹配到的内容转发策略，确定数据是否能够发送至所述量子安全模块。

4、上述方案中，所述内容转发策略包括白名单策略、黑名单策略和灰名单策略中的一种或多种。

5、上述方案中，当数据特征不符合所述白名单策略和所述黑名单策略时，则根据灰名单策略中的配置参数确定是否将数据转发至所述量子安全模块。

6、上述方案中，所述内容过滤模块根据数据特征匹配内容转发策略时，进一步根据预置的优先级策略，去依次匹配所述优先级策略中对应的策略。

7、上述方案中，所述内容转发策略包括ip控制策略，所述ip控制策略包括局域网ip策略和广域网ip策略；

8、所述内容过滤模块根据局域网ip策略，获取局域网内源ip与目的ip之间的加密配置，若根据局域网内源ip与目的ip之间的加密配置，确定需要进行量子加解密时，则将数据转发至所述量子安全模块；否则，阻止数据进入所述量子安全模块；

9、所述内容过滤模块根据广域网ip策略获取局域网ip与广域网ip之间的加密配置，若根据局域网ip与广域网ip之间的加密配置，确定需要进行量子加解密时，则将数据转发至量子安全模块；否则，阻止数据进入所述量子安全模块。

10、上述方案中，所述终端接口模块通过所述内容过滤模块与所述量子安全模块建立有配置数据传输通道，所述配置数据传输通道用于传输所述量子安全模块的配置数据，以此使用户通过所述终端接口模块配置所述量子安全模块。

11、上述方案中，所述加密配置包括加密类型和加密比例，所述加密类型包括量子加密，以及国密加密与量子加密的混合加密类型；所述加密比例为所述量子加密时用于加密的量子密钥的长度与待加密的数据长度之比。

12、上述方案中，当所述内容过滤模块接收到的数据协议类型为arp、ndp、dhcp或dhcpv6中的一种时，则阻止所述数据发送至量子安全模块。

13、本申请的有益效果如下：本申请的量子安全加密设备集成了量子安全模块和内容过滤模块，待传输的数据需要统一经过内容过滤模块进行识别判断后，再由内容过滤模块将过滤得到的符合加密传输特征的数据，转发至量子安全模块进行量子加密处理，以此保证数据传输的安全性；内容过滤模块的存在确保了只有经过筛选和验证的数据才会被加密，这不仅提高了效率，还节省了不必要的加密处理资源；进一步的，内容过滤模块通过配置的内容转发策略进行数据的转发控制，该内容转发策略首先包括多种类型，其次各种类型划分出不同的优先级，这种策略的组合方式可以确保只有验证过和符合特定策略的数据才能进入量子安全模块，减少了恶意数据对量子安全模块的直接攻击可能性，即使某一层策略被绕过，其他层的策略仍可提供保护。

技术特征：

1.一种多终端量子安全加密设备，其特征在于，包括内容过滤模块、量子安全模块、交换模块，以及所述交换模块对应的终端接口模块和网络接口模块；所述网络接口模块与所述交换模块建立通信连接；所述终端接口模块通过内容过滤模块与所述交换模块建立通信连接，所述量子安全模块与内容过滤模块通信连接；其中，所述内容过滤模块用于基于数据特征确定数据的处理对象，所述处理对象包括所述交换模块和所述量子安全模块；当所述处理对象为所述量子安全模块时，所述量子安全模块对接收到的数据进行量子加解密处理，其中，用于进行量子加解密处理的量子密钥为量子随机数发生器生成的量子真随机数；当所述处理对象为所述交换模块时，所述交换模块根据接收到的数据对应的目的地址查询对应的转发表匹配该数据的下一接口模块，并将所述数据发送至该下一接口模块。

2.根据权利要求1所述的一种多终端量子安全加密设备，其特征在于，所述量子密钥的来源包括：量子安全模块中预置的量子密钥，量子安全服务端中继的量子密钥，以及从量子安全服务端更新的量子密钥；所述量子安全模块加密数据时，对ip协议后的负载进行加密，保持数据的ip外层协议为明文。

3.根据权利要求2所述的一种多终端量子安全加密设备，其特征在于，所述内容过滤模块进一步用于根据数据特征匹配内容转发策略，根据匹配到的内容转发策略，确定数据是否能够发送至所述量子安全模块。

4.根据权利要求3所述的一种多终端量子安全加密设备，其特征在于，所述内容转发策略包括白名单策略、黑名单策略和灰名单策略中的一种或多种。

5.根据权利要求4所述的一种多终端量子安全加密设备，其特征在于，当数据特征不符合所述白名单策略和所述黑名单策略时，则根据灰名单策略中的配置参数确定是否将数据转发至所述量子安全模块。

6.根据权利要求5所述的一种多终端量子安全加密设备，其特征在于，所述内容过滤模块根据数据特征匹配内容转发策略时，进一步根据预置的优先级策略，去依次匹配所述优先级策略中对应的策略。

7.根据权利要求6所述的一种多终端量子安全加密设备，其特征在于，所述内容转发策略包括ip控制策略，所述ip控制策略包括局域网ip策略和广域网ip策略；

8.根据权利要求7所述的一种多终端量子安全加密设备，其特征在于，所述终端接口模块通过所述内容过滤模块与所述量子安全模块建立有配置数据传输通道，所述配置数据传输通道用于传输所述量子安全模块的配置数据，以此使用户通过所述终端接口模块配置所述量子安全模块。

9.根据权利要求7所述的一种多终端量子安全加密设备，其特征在于，所述加密配置包括加密类型和加密比例，所述加密类型包括量子加密，以及国密加密与量子加密的混合加密类型；所述加密比例为所述量子加密时用于加密的量子密钥的长度与待加密的数据长度之比。

10.根据权利要求7所述的一种多终端量子安全加密设备，其特征在于，当所述内容过滤模块接收到的数据协议类型为arp、ndp、dhcp或dhcpv6中的一种时，则阻止所述数据发送至量子安全模块。

技术总结
本申请公开了一种多终端量子安全加密设备，该设备包括内容过滤模块、量子安全模块、交换模块，以及所述交换模块对应的终端接口模块和网络接口模块；所述网络接口模块与所述交换模块建立通信连接；所述终端接口模块通过内容过滤模块与所述交换模块建立通信连接，所述量子安全模块与内容过滤模块通信连接；设备中待传输的数据需要统一经过内容过滤模块进行识别判断后，再由内容过滤模块将过滤得到的符合加密传输特征的数据，转发至量子安全模块进行量子加密处理，以此保证数据传输的安全性；内容过滤模块的存在确保了只有经过筛选和验证的数据才会被加密，这不仅提高了效率，还节省了不必要的加密处理资源。

技术研发人员：傅波海,黎爽,吴樱,杨鸽
受保护的技术使用者：矩阵时光数字科技有限公司
技术研发日：
技术公布日：2024/3/21