[发明专利]一种用于金融证券网络的量子保密通信网关系统

权利要求书

1.一种用于金融证券网络的量子保密通信网关系统，其特征在于，该用于金融证券网络的量子保密通信网关系统包括：网络接入模块、DPI分析模块、加密策略选择模块、网络透传或传统加密模块、量子密钥加密模块、策略库；

网络接入模块，具有可扩展性网络接口选择的功能，根据实际网络布线的需要，板载多个PCI-E接口，通过转换模组连接各种广域网端接口和局域网端接口；

DPI分析模块，与网络接入模块连接，用于对网络数据流进行深度数据包检测，通过对网络流量特征分析，识别网络流量中各种应用及其内容的指纹特征，根据进入DPI分析模块的数据流进行业务分类，对于办公网络使用的常规业务应用以及金融和证券网络中的核心业务及交易业务进行区分标识，提交给加密策略选择模块；

加密策略选择模块，与DPI分析模块连接，用于根据金融证券网络中实际各种业务安全需求级别，以及量子加密模块量子密钥生成状态，根据用户事先在策略库中定义加密策略，将加密策略的优先级分为：必须量子加密、根据量子密钥状态选择量子密钥加密或传统加密、只需传统加密、不需加密四个等级；

网络透传或传统密钥加密模块，与加密策略选择模块连接，用于根据加密策略选择模块提供的指令，对不需要进行加密的网络业务流量通过存储转发方式透明进行传输；对于需要采用基于算法安全的传统加密算法进行加密的流量通过DES，AES，3DES，OTP，RSA，IPSEC加密算法进行加密；

量子密钥加密模块，与加密策略选择模块连接，用于根据加密策略选择模块指令，通过量子链路与量子密钥分发设备进行协商，获取当前量子密钥数量以及量子密钥成码率，根据当前进行量子加密业务的密钥需求，进行判断协商，具备量子密钥分发条件的，进行量子加密传输，密钥不足或生成速度异常时，采用业务流量缓存或密钥库扩展技术保证量子保密通信的流畅传输；

策略库，与加密策略选择模块连接，用于定义加密策略。

2.如权利要求1所述的用于金融证券网络的量子保密通信网关系统，其特征在于，广域网端接口，包括模拟、ISDNBRI、E1/T1/T1、GSM/WCDMA，接入金融证券网络广泛使用的SDH、ATM、PTN专用线路；局域网接口通过转换模组连接各种局域网接口，包括单模光纤接口、多模光纤接口、以及以太网RJ-45接口，可接入与局域网中的路由器、防火墙或交换机的网络设备连接。

3.如权利要求1所述的用于金融证券网络的量子保密通信网关系统，其特征在于，DPI分析模块的具体实现方法：

DPI引擎启动后，根据网络中不同业务所使用的应用层协议类型、协议端口以及网络数据包中的荷载信息，利用特征提取算法对流量数据特征进行提取，特征提取包括了对应用协议类型、协议端口映射为对象的特征提取，也包括对数据包深层具体载荷为对象的特征提取，和针对网络流统计特征的特征提取，DPI引擎通过深度挖掘应用协议网络数据包中常出现的稳定的独特的特征字符串，特征字符串是用于标识网络通信协议特征码，通过全局特征向量Hash映射表与金融证券核心业务特征库进行匹配，识别出当前网络数据流是否属于金融证券网络中需要通过量子加密保证其高度安全性的核心业务流量，对于进行完业务分类的流量，有效的对是否属于金融证券网络核心业务进行标识。