一种量子安全网络权限管理系统及方法与流程

1.本发明涉及信息安全技术领域，具体涉及一种量子安全网络权限管理系统及方法。


背景技术：

2.信息安全是事关国计民生的重大战略领域。传统的信息安全通过依赖于计算复杂度的加密算法来实现，然而随着计算能力的飞速发展，依赖于计算复杂度的传统加密算法面临着日益加剧的安全风险。
3.基于量子密钥分发的量子保密通信是迄今唯一原理上无条件安全的通信方式。量子密钥分发是指利用量子态来加载信息，通过一定的协议产生密钥。量子力学基本原理保证了密钥的不可窃听，从而实现安全的量子保密通信。量子保密通信的安全性基于物理学基本原理，与计算复杂度无关，即使未来强大的量子计算机问世也不会对其安全性形成威胁。
4.量子保密通信是最先走向实用化和产业化的量子信息技术。目前我国已先后建成国际上首个全通型城域量子安全网络、首个量子政务网以及首个规模化城域量子安全网络，并在这一过程中将相关技术发展成熟，自主研制的量子保密通信装备已经为很多重要活动提供了信息安全保障。
5.在量子安全网络方面，针对信息保护理念而设计的量子安全设备，能够达到一个全方位的信息保护环境，它能够与外界进行通信，并对数据信息进行量子加密，形成加密密钥及加密密文，例如中国专利申请号：cn202010886203.0的专利文本中所公开的设备。虽然该设备能够提升内部通信的安全性，但在实际应用中，如果非法用户拥有同样的量子安全设备，此时如果有人向该非法用户传输业务数据，则存在业务数据泄露的风险。


技术实现要素：

6.为解决上述问题，本发明公开了一种量子安全网络权限管理系统及方法。
7.第一方面，本技术提供了一种量子安全网络权限管理系统，所述系统包括量子安全设备及边界基站；
8.所述量子安全设备，用于获取加密密钥及加密密文所归属的发送者的特征信息，若所述特征信息处于预先配置的第一预设规则中，则对外发送加密密钥及加密密文；否则，对所述加密密钥及所述加密密文进行拦截；
9.所述边界基站，用于接收所述加密密钥，以及获取所述特征信息，若所述特征信息处于预先配置的第二预设规则中，则对外发送所述加密密钥；否则，对所述加密密钥进行拦截；
10.上述特征信息包括用户身份信息、业务信息、设备信息及数据类型。
11.进一步的，所述系统还包括网管服务器及接入基站；
12.所述网管服务器分别与接入基站及边界基站相连；用于设置第一预设规则及第二
预设规则，并向接入基站分发第一预设规则，向边界基站分发第二预设规则；
13.所述接入基站，用于接收所述第一预设规则，并向量子安全设备传输第一预设规则。
14.进一步的，所述量子安全设备包括密区和非密区，所述非密区与密区之间通过数据摆渡模块建立连接，所述非密区具有外部通信接口，用于接收外部数据并对数据进行装卸。
15.进一步的，所述密区包括存储模块、处理模块、文件系统及用于加密和解密数据信息的量子加解密装置。
16.进一步的，所述文件系统包括安全沙箱，所述安全沙箱包括沙箱文件系统及用户交互层，所述用户交互层用于执行对沙箱文件系统的运行、浏览及编辑操作。
17.第二方面，本技术还提供了一种量子安全网络权限管理方法，所述量子安全网络包括量子安全设备及边界基站，所述方法包括：
18.由量子安全设备执行以下步骤：
19.获取加密密钥及加密密文所归属的发送者的特征信息；
20.判断所述特征信息是否处于预先配置的第一预设规则中，若是，则对外发送加密密钥及加密密文；若否，则对所述加密密钥及所述加密密文进行拦截；
21.由边界基站执行以下步骤：
22.获取所述特征信息；
23.判断所述特征信息是否处于预先配置的第二预设规则中，若是，则向外网发送加密密钥，若否，则对所述加密密钥进行拦截。
24.进一步的，所述特征信息包括用户身份信息、业务信息、设备信息及数据类型。
25.进一步的，所述第一预设规则与第二预设规则相同。
26.进一步的，所述量子安全设备还向边界基站发送第一预设规则，所述边界基站判断第一预设规则与第二预设规则是否相同，若是，则向外网发送加密密钥，若否，则对所述加密密钥进行拦截。
27.相对于现有技术，本发明的有益效果为：量子安全设备通过获取加密密钥及加密密文所归属的发送者的特征信息，以判断特征信息是否处于预先配置的第一预设规则中，若不处于，则对加密密钥及加密密文进行拦截；进而能够在源头对加密密钥及加密密文进行拦截；同时结合边界基站获取的特征信息，再次验证其是否处于第二预设规则中，以判断是否对加密密钥进行拦截，避免了在实际应用中通过单独对第一预设规则或第二预设规则进行篡改来绕过量子安全设备或边界基站的拦截，实现了加密密钥的双重防护；针对特征信息所设置的第一预设规则及第二预设规则，能够拦截不具有权限的用户或设备等，向外传输加密密钥或加密密文，提升整体的安全性及可靠性，并能够实现简单高效的权限管理。
附图说明
28.图1为本技术实施例的量子安全网络权限管理系统结构框图；
29.图2为本技术的实施例中特征信息的结构框图；
30.图3为本技术的实施例中量子安全网络权限管理方法的流程示意图。
具体实施方式
31.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图本技术作进一步地详细描述，显然，所描述的实施例仅是本技术的一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本技术保护的范围。
32.实施例：图1为本技术实施例的量子安全网络权限管理系统结构框图；
33.本系统包括量子安全设备100及边界基站200；
34.其中，量子安全设备100，用于获取加密密钥及加密密文所归属的发送者的特征信息，若该特征信息处于预先配置的第一预设规则中，则对外发送加密密钥及加密密文；否则，对所述加密密钥及所述加密密文进行拦截；具体的，量子安全设备100通过边界基站200向对端的量子安全设备100发送加密密钥；通过网关500及互联网向对端发送加密密文；
35.边界基站200，用于接收上述加密密钥，以及获取所述特征信息，若所述特征信息处于预先配置的第二预设规则中，则对外发送所述加密密钥；否则，对所述加密密钥进行拦截；
36.上述特征信息主要包括用户身份信息、业务信息、设备信息及数据类型，其中，用户信息主要包括账户密码信息、ca证书、指纹信息、脸部特征信息及声音信息，业务信息包括合法应用及进程信息，设备信息包括设备id，除此之外也可以是某台专用设备，在该专用设备上只能传输特定数据信息，数据类型包括文件数据、音频及视频数据。
37.本实施例的系统还包括网管服务器300及接入基站400；
38.其中，网管服务器300分别与接入基站400及边界基站200相连；用于设置第一预设规则及第二预设规则，并向接入基站400分发第一预设规则，向边界基站200分发第二预设规则；
39.接入基站400，用于接收第一预设规则，并向量子安全设备100传输第一预设规则；
40.第一预设规则及第二预设规则，通过网管服务器300一次配置同步向边界基站200及量子安全设备100分发，能够简化操作步骤。
41.具体实施过程中，网管服务器300分别向量子安全设备100及边界基站200分发第一预设规则及第二预设规则，为了便于配置，简化操作步骤，将第一预设规则与第二预设规则设置成相同的规则；第一预设规则及第二预设规则均可以为白名单形式，第一预设规则及第二预设规则中均包括发送者的特征信息所允许发出的加密密钥及加密密文；在向量子安全设备100请求业务数据时，量子安全设备100先将业务数据通过量子加密方式形成加密密钥及加密密文后，再准备向外发送；在发送前量子安全设备100根据预设的第一规则，判断发送者的特征信息，即具体是何种用户、设备、应用，是否处于预设的第一规则中，若上述特征信息处于预设的第一规则中，则对加密密钥及加密密文放行，通过边界基站200向对端的量子安全设备100发送加密密钥；通过网关500及互联网向对端发送加密密文；若特征信息不处于第一规则中，则对加密密钥及加密密文同时拦截，以保证业务数据的安全性；
42.边界基站200在接收来自量子安全设备100发送的加密密钥后，判断发送者的特征信息，即具体是何种用户、设备、应用，是否处于预设的第二规则中，若特征信息处于第二规则中，则允许加密密钥通过，向对端的量子安全设备100发送加密密钥；否则，对加密密钥进行拦截；通过边界基站200及量子安全设备100的双重拦截，避免了在实际应用中通过单独
对第一预设规则或第二预设规则进行篡改来绕过量子安全设备或边界基站的拦截，实现了加密密钥的双重防护，提高了其整体的安全性。
43.本实施例中的量子安全设备100还包括密区和非密区，非密区与密区之间通过数据摆渡模块建立连接，非密区具有外部通信接口，非密区用于接收外部数据并对数据进行装卸；密区和非密区可以为逻辑层面的划分，也可以是物理硬件层面的划分，密区用于存储敏感业务数据，其不与外网直连，只与非密区通信连接，外部数据需要进入密区时，只能通过非密区对其进行通信协议剥离，例如tcp/ip协议的剥离，再通过数据摆渡模块将其传输到密区进行交互；其中数据摆渡模块为私有协议接口模块，例如自定义串口通信协议(spcp)接口等；
44.其中，密区包括存储模块、处理模块、文件系统、用于加密和解密数据信息的量子加解密装置；量子加解密装置使用现有的基于量子加密原理的加解密装置；文件系统可以是exfat文件系统，也可以是ntfs文件系统等；
45.存储模块可以是随机存取存储器(random access memory，ram)，也可以是非易失性存储器(non-volatile memory，nvm)，它用于数据文件的存储；
46.处理模块可以为通用处理器、中央处理器、网络处理器(network processor，np)等，用于文件的编辑处理；
47.在一些可能的实施方式中，量子安全设备也可采用中国专利申请号为cn202010886203.0的专利申请中提供的一种可灵活配置的量子通信设备；
48.文件系统包括安全沙箱，安全沙箱包括沙箱文件系统及用户交互层，用户交互层用于执行对沙箱文件系统的运行、浏览及编辑操作；安全沙箱的用户交互层可以为独立操作系统，其整体可通过安装windows等系统的虚拟机来实现。
49.图3为本技术的实施例中量子安全网络权限管理方法的流程示意图；
50.本技术还提供了一种量子安全网络权限管理方法，量子安全网络包括量子安全设备、边界基站及网关，该方法包括：
51.由量子安全设备执行以下步骤：
52.s100：获取加密密钥及加密密文所归属的发送者的特征信息；
53.s101：判断特征信息是否处于预先配置的第一预设规则中；
54.s102：若否，则对加密密钥及加密密文进行拦截；
55.s103：若是，则通过边界基站发送加密密钥，通过网关发送加密密文；
56.由边界基站执行以下步骤：
57.s200：获取特征信息；判断特征信息是否处于预先配置的第二预设规则中；
58.s201：若否，则对加密密钥进行拦截；
59.s202：若是，则向外网发送加密密钥；
60.由网关执行以下步骤：
61.接收加密密文，并向外网发送加密密文。
62.参见图2，其中，特征信息包括用户身份信息、业务信息、设备信息及数据类型；
63.其中，用户信息包括账户密码信息、ca证书、指纹信息、脸部特征信息及声音信息，业务信息包括合法应用及进程信息，设备信息包括设备id，数据类型包括文件数据、音频及视频数据。
64.第一预设规则与第二预设规则设置也可以设置成不同的规则，例如第一预设规则设置所需要拦截的项目相对较少，以保证内部通信的便利性，而在第二预设规则中增加所需要拦截的项目，提高其覆盖面，来严格限制能够对外发送的加密密钥。
65.量子安全设备还向边界基站发送第一预设规则，边界基站判断第一预设规则与第二预设规则是否相同，若是，则向外网发送加密密钥，若否，则对加密密钥进行拦截，通过边界基站验证第一预设规则是否与第二预设规则相同，可防止在规则配置中，对某一方进行的单独篡改，进一步提高安全性。
66.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。