[发明专利]一种量子密匙分发系统及方法

权利要求书

1.一种量子密匙分发系统，包括服务器、支持多种终端操作的量子安全网关和量子密匙管理分发设备，其特征在于：所述量子安全网关分别与服务器和量子密匙管理分发设备电性连接，所述服务器包括加密模块，所述量子密匙管理分发设备包括管理模块、分发模块和控制模块，所述管理模块与控制模块电性连接，所述控制模块与分发模块电性连接，所述管理模块包括通道隔离单元、权限管理单元和具有多项认证的身份认证单元，所述通道隔离单元、权限管理单元和身份认证单元分别与控制模块电性连接，所述分发模块包括密匙产生单元、密匙读取单元、密匙存储单元和密匙传输单元，所述密匙产生单元与密匙读取单元电性连接，所述密匙读取单元与密匙存储单元电性连接，所述密匙存储单元与密匙传输单元电性连接；

所述通道隔离单元是通过量子密匙管理分发设备和服务器与量子安全接入网关之间建立了专用的数据传输通道，且数据传输通道之间相互隔离；所述权限管理单元中通过量子安全接入网关支持根据用户角色进行权限的分配；

所述身份认证单元是基于数字证书的方式提供对终端的强身份认证单元功能，同时提供终端对量子安全接入网关身份的认证，从而实现双向对等鉴别和认证功能，其中数字证书包括Ldap、OCSP、CRL、PKI/CA数字证书和第三方证书，所述身份认证单元支持双向/单向身份认证单元机制和Radius、kerberos的标准认证协议；

所述量子安全网关包括报文内容过滤和安全审计，所述报文内容过滤可针对不同的报文内容进行过滤，实现数据交换过程中的合法数据信息的识别和非法数据信息的过滤，杜绝非法信息进入内网，并防止敏感信息泄露，所述安全审计可审计事件生成审计记录，并提供事件审计查阅功能，审计记录包含事件产生的日期和时间，事件的结果。

2.根据权利要求1所述的一种量子密匙分发系统，其特征在于：所述量子密匙管理分发设备包括计算机和打印机，所述量子密匙管理分发设备至少设置有两组，且两组所述量子密匙管理分发设备均与服务器和量子安全网关电性连接，所述量子密匙管理分发设备设置为可以使用量子密钥建立起IPsec隧道，实现业务终端安全接入、通信链路加密传输、边界安全防护，并集成量子保密通信功能的设备，该量子密匙管理分发设备能够定期获取相同的量子密钥，并且定期频率可设置。

3.根据权利要求2所述的一种量子密匙分发系统，其特征在于：所述密匙产生单元是通过量子密钥生成终端生成时间相位型量子密钥，且量子密钥生成终端在量子保密通信网络中属于量子层设备，负责实现点对点的量子密钥协商与分发。

4.根据权利要求3所述的一种量子密匙分发系统，其特征在于：所述密匙传输单元包括在线分发和离线传输，所述密匙读取单元和密匙存储单元是将量子密钥生成终端产生的密钥进行读取和安全存储，并通过在线分发和离线传输两种方式将量子密钥输出到服务器的加密模块中。

5.根据权利要求4所述的一种量子密匙分发系统，其特征在于：所述控制模块包括访问控制和IP地址控制，所述访问控制是通过量子安全接入网关只允许身份验证正确的实体访问被授权访问的资源，只有具有授权的实体才能发出访问请求，进行网络层的安全访问控制，对终端可切回的内网资源服务及数据内容进行有效地控制，禁止终端对内网资源越权访回，对网络访问控制至少应该控制到IP地址、端口级；所述IP地址控制用于使量子安全接入网关能够通过IP地址进行访问控制。

6.根据权利要求5所述的一种量子密匙分发系统，其特征在于：所述量子安全网关支持至少一种操作终端，其中操作终端包括PC机、安全盒子和移动终端，所述管理模块通过Web的方式和使用HTTPS通道安全地进行管理，所述量子安全网关还包括硬件负载均衡设备，通过硬件负载均衡设备把并发请求分配到多台安全接入服务器上来解决因用户访问量大，用户的访问请求处理面临的并发处理压力的问题。

7.一种根据权利要求1-6任意一项所述的量子密匙分发系统的方法，其特征在于：包括如下步骤：

S1、将至少两个量子密匙管理分发设备与服务器和量子安全网关进行电性连接；

S2、其中一个量子密匙管理分发设备先通过量子密钥生成终端生成时间相位型量子密钥，再通过密匙读取单元和密匙存储单元读取产生的量子密钥和安全储存，并将量子密钥输出到加密模块中；

S3、另一个量子密匙管理分发设备通过量子安全网关定期获取相同的量子密钥，实现两个量子密匙管理分发设备之间的密钥分发和接收。