本發明涉及量子通信技術領域，具體涉及一種量子網絡接入安全托管客戶機平臺及其運作方法，包括密碼模塊，用于對量子密鑰進行細粒度全生命周期的管理，并對外圍輸出該量子密鑰；執行機模塊，用于接收密碼模塊輸出的量子密鑰，同時進行數據加解密、完整性校驗和認證授權；策略機模塊，用于管理并生成策略配置，并發送至密碼模塊及執行機模塊，實現量子安全能力的便捷管理與交付。本發明通過形態多樣的量子安全客戶機為載體與用戶業務系統進行無感知、無侵入深度融合，對各類量子安全客戶機進行自動化配置，減少用戶對自身業務以外的關注，提供安全可靠的量子能力的同時最大限度的降低用戶的接入成本，從而助力量子通信技術民用化的實現。

技術領域

本發明涉及量子通信技術領域，具體涉及一種量子網絡接入安全托管客戶機平臺及其運作方法。

背景技術

我國量子科技雖然起步較晚，但是憑借政策大力支持及大量資金投入，在量子通信領域成功實現了直道超車，在試點應用數量和網絡建設規模方面全球領先，并且多項建設記錄領跑全球。自2014年，京滬干線開啟建設以來，中國量子保密通信建設開始提速，骨干網、城域網、星地一體化網絡建設不斷完善，為量子通信向政務、金融、電力、交通等行業滲透打下基礎。但是目前量子通信網絡應用落地依然存在很多問題，例如應用形態單一、應用融合方式不夠靈活、對接原有應用體系的代價較高、接入量子網絡困難、硬件設備價格昂貴等。

目前量子安全能力應用產品形態單一，用戶業務系統接入困難繁瑣，形態多樣且標準規范的產品非常匱乏，直接導致了量子安全能力落地難、接入難、管理難。

基于以上，我們研發了量子網絡接入安全托管客戶機平臺，平臺以量子安全客戶機為最終量子安全能力的載體，以多樣化的形態深入用戶業務場景進行無感知、無侵入的量子安全能力交付，包括SDK級、應用級、Docker級、設備級。支持通過各類型交付模塊與企業內部各種承載業務的應用系統、網絡設備、云資源進行深度結合，從而幫助各類企業服務進行量子安全加固。用戶無需關注除自身系統業務之外的其他問題，從根本上解決了用戶接入廣域量子保密通信網絡難、使用量子安全能力要求高的問題，助力國家、企業乃至個人實現信息安全保障。

發明內容

針對現有技術的不足，本發明公開了一種量子網絡接入安全托管客戶機平臺及其運作方法，用于解決目前量子安全能力應用產品形態單一，用戶業務系統接入困難繁瑣，形態多樣且標準規范的產品非常匱乏，直接導致了量子安全能力落地難、接入難、管理難的問題。

本發明通過以下技術方案予以實現：

第一方面，本發明提供了一種量子網絡接入安全托管客戶機平臺，包括

密碼模塊，用于對量子密鑰進行細粒度全生命周期的管理，并對外圍輸出該量子密鑰；

執行機模塊，用于接收所述密碼模塊輸出的量子密鑰，同時進行數據加解密、完整性校驗和認證授權；

策略機模塊，用于管理并生成策略配置，并發送至所述密碼模塊及所述執行機模塊，實現量子安全能力的便捷管理與交付。

更進一步的，所述密碼模塊用于密鑰的生成、衍生、存儲、使用、更新、備份以及銷毀，所述密碼模塊生成密碼時基于所述策略機模塊發送的策略配置作為根密鑰生成非對稱密鑰，利用非對稱密鑰中的私鑰對根密鑰和隨機串進行簽名得到簽名字段。

更進一步的，所述執行機模塊進行數據加解密時，加密時根據量子密鑰信息通過哈希算法和橢圓加密算法計算用戶私鑰和公鑰；解密時獲取量子密鑰信息，根據機密模塊內置哈希算法和橢圓加密算法，通過該量子密鑰信息計算出私鑰和公鑰。

更進一步的，所述執行機模塊進行完整性校驗時，通過網絡數據源節點的校驗專用芯片單元對網絡數據執行完整性校驗計算，然后將加入完整性校驗碼的網絡數據發送給網絡匯聚節點；或者通過網絡數據源節點的通信單元將初始的網絡數據發送給網絡匯聚節點，由網絡匯聚節點對網絡數據執行完整性校驗計算并加入完整性校驗碼。