[发明专利]密码应用服务系统和量子安全能力开放平台

说明书

本发明涉及量子通信领域，公开了一种密码应用服务系统和量子安全能力开放平台。本发明中，密码应用服务系统包括：QKD网络、量子密码应用中间件和量子安全能力开放平台；QKD网络与量子密码应用中间件通信连接，QKD网络用于向量子密码应用中间件提供量子密钥；量子密码应用中间件与量子安全能力开放平台通信连接，并向用户侧提供密码服务接口。量子密码应用中间件从QKD网络提取量子密钥，通过量子安全能力开放平台，与合作伙伴/内容服务商产品、技术集成，封装成标准安全能力实现身份认证、机密性、完整性保护等功能。避免了目前的点对点量子VPN加密的局限性，可以实现多节点的组网，可以对QKD网络进行统一的运营/运维管理，形成了一种业务运营网络。

技术领域

本发明实施例涉及量子通信领域，特别涉及一种密码应用服务系统和量子安全能力开放平台。

背景技术

在目前的量子加密路由器的方案中，通过在IPSec 虚拟专用网络（VirtualPrivate Network，简称“VPN”）网关中，增加量子密钥分发（Quantum Key Distribution ，简称“QKD”）网络的安全接口，在IPSec VPN安全策略中增加量子密钥接入及应用机制，在IPSec加密组件中增加基于量子密钥的一次一密加密选项，并增加优先采用量子密钥作为预共享密码、数据加密算法的会话密码、HMAC算法的共享密码的策略；实现量子密钥与IPSec协议的融合应用，提升IPSec VPN系统的身份认证、消息鉴别和数据加密的量子安全性。

然而，发明人发现在如上方案中，存在以下问题：实现的是点对点的量子VPN加密，不能实现多节点的组网，实现功能相对单一，技术的可拓展性不足，没有形成业务运营网络。

发明内容

本发明实施方式的目的在于提供一种密码应用服务系统和量子安全能力开放平台，避免了目前的点对点量子VPN加密的局限性，可以实现多节点的组网，而且可以对QKD网络进行统一的运营/运维管理，跨域互联互通，形成了一种业务运营网络。

为解决上述技术问题，本发明的实施方式提供了一种密码应用服务系统，包括：量子密钥分发QKD网络、量子密码应用中间件和量子安全能力开放平台；QKD网络与量子密码应用中间件通信连接，QKD网络用于向量子密码应用中间件提供量子密钥；量子密码应用中间件与量子安全能力开放平台通信连接，向量子安全能力开放平台提供量子安全能力，并向用户侧提供密码服务接口；量子安全能力开放平台用于与内容服务商服务器进行交互，将内容服务商服务器提供的服务与量子安全能力结合，形成带有量子安全能力的服务；其中，量子密码应用中间件用于根据从QKD网络获取的量子密钥，通过密码服务接口向用户侧提供带有量子安全能力的应用，量子安全能力包括量子密钥、加密算法和密码协议。

本发明的实施方式还提供了一种量子安全能力开放平台，该量子安全能力开放平台分别与内容服务商服务器和量子密码应用中间件通信连接，用于将内容服务商服务器提供的服务与由量子密码应用中间件提供的量子安全能力进行结合，形成带有量子安全能力的服务；其中，量子安全能力开放平台包括：注册中心和服务模块；注册中心用于对内容服务商服务器提供的服务进行服务能力的注册；服务模块用于提供将注册中心注册的服务能力和量子安全能力进行结合的定制业务、密钥策略和业务支撑系统BSS功能。

由于量子密码应用中间件可以从QKD网络提取量子密钥，通过量子安全能力开放平台，可以将合作伙伴/内容服务商的服务，如产品或技术进行集成，封装成标准安全能力（如量子密钥、加密算法和密码协议等），为用户侧提供带有量子安全能力的应用，实现身份认证、机密性、完整性保护等功能。实现了多节点的组网，解决了QKD网络与合作伙伴/内容服务商的产品或技术的集成，同时实现QKD网络统一运营/运维管理、跨域互联互通，形成了一种业务运营网络。同时，将业务部署和承载网络分离开来，成为独立部分以便合作伙伴/内容服务商有机会参与竞争，有利于多厂商互通和快速地部署新业务，最大限度地避免网络的演进对原有业务和新业务的冲击和影响。