技術領域

本發明屬于保密通信技術領域，尤其涉及一種用于金融證券網絡的量子保密通信網關系統。

背景技術

量子保密通信是在“海森堡測不準原理”和“量子不可克隆原理”之上逐漸形成的一種稱為在物理上“絕對安全”的通信方式。量子保密通信以單量子態作為信息載體，由于單量子態具有無法被克隆，而且任何測量操作都會改變其量子態的特點，因此竊聽者無法在不被發現的前提下獲得任何有效信息。信息的合法接收者可以根據量子態的改變判斷信道中存在竊聽，從而保證通信過程的安全。因此這種高度安全的通信方式與傳統的基于算法復雜性的加密方式相比擁有巨大優勢，在國防，軍事，政治，金融等各個領域都具有重要的研究價值。

上個世紀八十年代開始，C.H.Bennett和G.Brassard首次提出利用偏振光進行量子密鑰分發的協議，將其稱為BB84協議。在此之后又有科學家提出BB92，E91等方案。目前量子保密通信已經歷了近30年的基礎理論研究和安全性驗證，實用化的時機已經成熟，也得到世界各國高度關注，促使其產業化的速度在加快。美國、歐洲、日本等發達國家已經開始了高速量子通信和大規模保密通信網絡的探索，我國也將量子保密通信技術及其產業化發展列為重點科研項目進行研究。

在量子保密通信過程中，信息載體為單光子，考慮到單光子在光纖信道中的衰減及探測器探測效率以及量子密鑰篩選糾錯過程等原因，商用系統的通信量子密鑰成碼速率要明顯低于高速的網絡數據傳輸速率，這種局限性使得量子保密通信技術容易成為高速網絡傳輸的瓶頸，這大大限制了量子保密通信的使用范圍，對其實用化的發展進程也帶來了阻礙。

近年來隨著國家經濟水平的快速發展，國內證券行業的進一步開放促使金融證券網絡規模不斷擴大，金融機構目前大多采用同步數字序列(SDH)和異步轉移模式(ATM)等數據網絡提供固定(虛擬)線路來連接需要通信的部門和分支機構。從內部網絡流出的數據不加防范地在網際線路中穿行，給使用搭線竊聽、電磁泄露等入侵手段的不法黑客以可趁之機隨著金融電子化的不斷發展，金融領域無論從資金業務到辦公自動化等信息業務都越來越依賴于計算機網絡。

目前在金融證券網絡的加密方式主要使用傳統密鑰加密機或者VPN技術進行加密，采用前國際上常用的多種密碼算法，這些算法都是基于算法復雜度的加密算法，VPN等技術密鑰交換方式多數采用的因特網信息交換(IKE)方案，所使用的密鑰都是在傳統的網絡上進行信息交換后經計算得到，這都使傳輸存在著很大的安全風險。量子密鑰加密因為具有無條件安全性，通過量子密鑰加密信道可以可靠的安全傳輸，但是目前主要的量子密鑰分發過程中，量子密鑰的生成速度和密鑰量都是非常有限的，若用于金融證券網絡中所有網絡應用的高速傳輸，將很大程度上影響網絡傳輸的效率，成為網絡傳輸的瓶頸。因此迫切需要一種可以識別出金融證券網絡中需要高度安全加密的業務流量，并采用量子加密與傳統加密結合的技術，確保金融證券網絡核心業務的高度安全性和高效的傳輸效率的技術。

發明內容

本發明實施例的目的在于提供一種用于金融證券網絡的量子保密通信網關系統，旨在實現對金融證券網絡核心業務流量的區分和鑒別，對不同業務流量進行分級加密，基于業務的安全級別，依據加密策略選擇量子密鑰分發加密或傳統加密方式，實現金融證券網絡的核心業務流量的量子保密通信，并兼顧金融網絡業務的傳輸效率。

本發明實施例是這樣實現的，一種用于金融證券網絡的量子保密通信網關系統，該用于金融證券網絡的量子保密通信網關系統包括：網絡接入模塊、DPI分析模塊、加密策略選擇模塊、網絡透傳或傳統加密模塊、量子密鑰加密模塊、策略庫；

網絡接入模塊，具有可擴展性網絡接口選擇的功能，根據實際網絡布線的需要，板載多個PCI-E接口，通過轉換模組連接各種廣域網端接口和局域網端接口；

DPI分析模塊，與網絡接入模塊連接，用于對網絡數據流進行應用層分析，識別各種應用及其內容，不同應用的協議根據DPI進入模塊的數據流進行業務分類，對于辦公網絡使用的常規業務應用以及金融和證券網絡中的核心業務及交易業務進行區分標識，提交給加密策略選擇模塊；

加密策略選擇模塊，與DPI分析模塊連接，用于根據金融證券網絡中實際各種業務安全需求級別，以及量子加密模塊量子密鑰生成狀態，根據用戶事先在策略庫中定義加密策略，將加密策略的優先級分為：必須量子加密、根據量子密鑰狀態選擇量子密鑰加密或傳統加密、只需傳統加密、不需加密四個等級；