[发明专利]一种量子网络接入安全托管客户机平台

说明书

本发明涉及量子通信技术领域，具体涉及一种量子网络接入安全托管客户机平台及其运作方法，包括密码模块，用于对量子密钥进行细粒度全生命周期的管理，并对外围输出该量子密钥；执行机模块，用于接收密码模块输出的量子密钥，同时进行数据加解密、完整性校验和认证授权；策略机模块，用于管理并生成策略配置，并发送至密码模块及执行机模块，实现量子安全能力的便捷管理与交付。本发明通过形态多样的量子安全客户机为载体与用户业务系统进行无感知、无侵入深度融合，对各类量子安全客户机进行自动化配置，减少用户对自身业务以外的关注，提供安全可靠的量子能力的同时最大限度的降低用户的接入成本，从而助力量子通信技术民用化的实现。

技术领域

本发明涉及量子通信技术领域，具体涉及一种量子网络接入安全托管客户机平台及其运作方法。

背景技术

我国量子科技虽然起步较晚，但是凭借政策大力支持及大量资金投入，在量子通信领域成功实现了直道超车，在试点应用数量和网络建设规模方面全球领先，并且多项建设记录领跑全球。自2014年，京沪干线开启建设以来，中国量子保密通信建设开始提速，骨干网、城域网、星地一体化网络建设不断完善，为量子通信向政务、金融、电力、交通等行业渗透打下基础。但是目前量子通信网络应用落地依然存在很多问题，例如应用形态单一、应用融合方式不够灵活、对接原有应用体系的代价较高、接入量子网络困难、硬件设备价格昂贵等。

目前量子安全能力应用产品形态单一，用户业务系统接入困难繁琐，形态多样且标准规范的产品非常匮乏，直接导致了量子安全能力落地难、接入难、管理难。

基于以上，我们研发了量子网络接入安全托管客户机平台，平台以量子安全客户机为最终量子安全能力的载体，以多样化的形态深入用户业务场景进行无感知、无侵入的量子安全能力交付，包括SDK级、应用级、Docker级、设备级。支持通过各类型交付模块与企业内部各种承载业务的应用系统、网络设备、云资源进行深度结合，从而帮助各类企业服务进行量子安全加固。用户无需关注除自身系统业务之外的其他问题，从根本上解决了用户接入广域量子保密通信网络难、使用量子安全能力要求高的问题，助力国家、企业乃至个人实现信息安全保障。

发明内容

针对现有技术的不足，本发明公开了一种量子网络接入安全托管客户机平台及其运作方法，用于解决目前量子安全能力应用产品形态单一，用户业务系统接入困难繁琐，形态多样且标准规范的产品非常匮乏，直接导致了量子安全能力落地难、接入难、管理难的问题。

本发明通过以下技术方案予以实现：

第一方面，本发明提供了一种量子网络接入安全托管客户机平台，包括

密码模块，用于对量子密钥进行细粒度全生命周期的管理，并对外围输出该量子密钥；

执行机模块，用于接收所述密码模块输出的量子密钥，同时进行数据加解密、完整性校验和认证授权；

策略机模块，用于管理并生成策略配置，并发送至所述密码模块及所述执行机模块，实现量子安全能力的便捷管理与交付。

更进一步的，所述密码模块用于密钥的生成、衍生、存储、使用、更新、备份以及销毁，所述密码模块生成密码时基于所述策略机模块发送的策略配置作为根密钥生成非对称密钥，利用非对称密钥中的私钥对根密钥和随机串进行签名得到签名字段。

更进一步的，所述执行机模块进行数据加解密时，加密时根据量子密钥信息通过哈希算法和椭圆加密算法计算用户私钥和公钥；解密时获取量子密钥信息，根据机密模块内置哈希算法和椭圆加密算法，通过该量子密钥信息计算出私钥和公钥。

更进一步的，所述执行机模块进行完整性校验时，通过网络数据源节点的校验专用芯片单元对网络数据执行完整性校验计算，然后将加入完整性校验码的网络数据发送给网络汇聚节点；或者通过网络数据源节点的通信单元将初始的网络数据发送给网络汇聚节点，由网络汇聚节点对网络数据执行完整性校验计算并加入完整性校验码。