基于量子密钥加密的ERP联网监控系统及其应用方法技术方案

本发明专利技术提供一种基于量子密钥加密的ERP联网监控系统及其应用方法，所述ERP联网监控系统包括企业用户端和监控中心端，两者之间通过公共互联网连接；所述企业用户端前置机VPN客户端和监控中心端的VPN设备建立SSL或者IPsec VNP安全通道；和所述企业用户端和所述监控中心端之间还设置实现量子数据传输的量子保密通信网络装置，使数据具备双重安全传输保障。本发明专利技术系统在原有VPN安全通道的基础上增加多一重量子加密手段，对数据增加一把量子密钥加密保护锁，使数据具备双重安全传输保障。同时由于采用量子保密通信技术实现量子密钥分发，可具备抗量子计算机破解攻击的能力，有效提升ERP联网监数据传输的安全性。

【技术实现步骤摘要】
基于量子密钥加密的ERP联网监控系统及其应用方法
本专利技术涉及大数据安全领域，具体涉及一种基于量子密钥加密的ERP联网监控系统及其应用方法。
技术介绍
监管部门通过ERP联网监控系统自动提取企业ERP数据，运用大数据分析技术，将企业订单、生产过程、财务核算等ERP数据自动报送监管部门，目前企业ERP联网监控系统跨公共互联网接入安全传输方式主要有两种：基于SSLVPN方式进行安全通道传输和基于IPsecVPN方式进行安全通道传输。SSLVPN方式进行安全通道传输，当前的SSLVPN产品，主要依赖非对称密码体制进行身份鉴别和密钥交换，身份鉴别通过后协商PreMasterSecret，再跟服务端和客户端在Hello阶段产生的随机数结合在一起生成MasterSecret，进而推导出会话密钥，并使用会话密钥进行加解密和完整性校验。也就是说SSLVPN主要通过公钥密码技术来保障数据在传输的过程中的安全性。SSLVPN依赖非对称密码技术保障系统安全性。传统的计算机在破解非对称密码时，需要消耗难以承受的运算量，这一特点确保了非对称密码体制的抗攻击特性。但是，随着量子计算机技术的发展，计算机的运算能力有望在未来取得突破。届时，SSLVPN将面临新的安全隐患。一旦SSLVPN的非对称密码体制被攻破，用户的私钥就可能被窃取，进而带来身份造假，传输数据被破解的风险。基于IPsecVPN方式进行安全通道传输，当前的IPSecVPN产品，主要依赖非对称密码体制进行身份鉴别和密钥交换，通过IKE协议，对通网关双方协商产生通信的工作密钥、会话密钥，并通过加解密和完整性校验等技术保障数据在传输过程中的安全性。IPsecVPN方式同样依赖非对称密码技术保障系统安全性。随着量子计算机技术的发展，计算机的运算能力有望在未来取得突破，依托于非对称加密体系的传统IPsecVPN技术将同样面临安全隐患。
技术实现思路
为了解决上述问题，本专利技术提供一种基于量子密钥加密的ERP联网监控系统，所述ERP联网监控系统包括企业用户端和监控中心端，两者之间通过公共互联网连接；所述企业用户端部署ERP数据采集客户端，所述监控中心端部署VPN设备和ERP数据采集服务端；所述企业用户端前置机VPN客户端和监控中心端的VPN设备建立SSL或者IPsecVNP安全通道；和所述企业用户端和所述监控中心端之间还设置实现量子数据传输的量子保密通信网络装置，所述ERP数据采集客户端提取企业ERP数据后，通过所述量子保密通信网络装置对采集到的ERP数据进行量子应用加密，并通过所述SSL或者IPsecVNP安全通道将加密数据报送监控中心端的ERP数据采集服务端，并对量子密钥加密后的数据进行解密；从而在SSL或者IPsecVNP安全通道的基础上增加多一重量子加密手段，使数据具备双重安全传输保障。在一种实施方式中，所述量子保密通信网络装置包括：量子保密通信网络；设置在所述监控中心端的量子密钥管理平台、服务端量子密钥分发设备和服务端SDK；设置在ERP数据采集客户端SDK和量子密钥存储介质；和在密钥充注站点设置的充注站点量子密钥分发设备和量子密钥充注机。在一种实施方式中，所述量子密钥管理平台完成所述量子密钥存储介质发行、激活工作，并将其转交到所述量子密钥充注站点；所述量子密钥充注机依托所述量子保密通信网络，与所述量子密钥管理平台进行安全交互，完成所述量子密钥存储介质的密钥充注；和完成密钥充注后的所述量子密钥存储介质接入所企业用户端前置机的通信接口。在一种实施方式中，所述量子保密通信网络装置的数据传输包括ERP联网监控系统通过加密策略协商、量子密钥协商和量子密钥加密数据传输过程。在一种实施方式中，所述加密策略协商过程包括企业用户端前置机ERP数据采集客户端采集完ERP数据后，向客户端量子安全SDK接口申请加密策略协商，客户端量子安全SDK通过SSL或者IPsecVPN安全通道连接量子密钥管理平台申请加密策略协商，获取加密策略协商结果，并将加密策略协商结果转发给服务端量子安全SDK，客户端量子安全SDK获取的加密策略协商结果采用客户端的量子密钥存储介质中充注的量子密钥加密保护，确保只有客户端才能解密协商的加密策略，转发给服务端量子安全SDK的加密策略协商结果采用服务端的量子密钥进行加密保护，确保只有服务端才能解密协商的加密策略。在一种实施方式中，所述量子密钥协商包括：数据采集客户端向客户端量子安全SDK接口申请量子密钥，客户端量子安全SDK通过SSL或者IPsecVPN安全通道连接量子密钥管理平台申请量子密钥协商；客户端量子安全SDK获取量子密钥协商结果，并将量子密钥协商结果转发给数据采集服务端量子安全SDK，客户端量子安全SDK获取的量子密钥协商结果采用了客户端的量子密钥存储介质中充注的量子密钥加密保护，确保只有客户端才能解密协商的量子密钥，转发给服务端量子安全SDK的量子密钥协商结果采用了服务端的量子密钥进行加密保护，确保只有服务端才能解密协商的量子密钥。在一种实施方式中，所述量子密钥加密数据传输包括：数据采集客户端根据加密密钥协商结果反馈的量子密钥和加密策略协商结果，将采集到的ERP数据进行“一次一密”加密或者“一业一密”加密，并根据ERP联网监控系统通信协议传输密文报文，数据采集服务端以对应的量子密钥句柄和加密策略对密文报文进行解密，在通信双方完成加密报文传输后结束保密数据传输。在一种实施方式中，本专利技术提供ERP联网监控系统的应用方法，所述方法包括以下步骤：步骤1，完成量子密钥存储介质发行和转交，完成量子密钥存储介质密钥充注和领用，和将量子密钥存储介质接入前置机通信接口；步骤2，ERP数据采集客户端获取企业的ERP数据；步骤3，企业用户前置机数据采集客户端和监控中心端的VPN设备完成SSL或者IPsecVPN安全通道建立，ERP联网监控系统企业数据采集客户端和数据采集服务端实现通信连接；步骤4，ERP联网监控系统通过加密策略协商、量子密钥协商、量子密钥加密数据传输过程，完成ERP数据的量子密钥加密数据传输；和步骤5，ERP联网监控系统完成数据采集传输。在本专利技术中ERP指企业资源计划即ERP(EnterpriseResourcePlanning)，是一种主要面向制造行业进行物质资源、资金资源和信息资源集成一体化管理的企业信息管理系统。VPN设备：利用VPN技术实现网络中安全通信服务的设备。IPsecVPN:指采用IPSec协议来实现远程接入的一种VPN技术，在公网上为两个私有网络提供安全通信通道,通过加密通道保证连接的安全。SSLVPN：指采用SSL协议来实现远程接入的一种新型VPN技术，用于构建客户端和服务端之间的安全通道。在本专利技术中各种术语含义如下。密钥：控制密码算法运算的关键信息或参数。对称加密：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密。非对称密码体制：非对称密码体制又称为双密钥密码体制或公开密钥密码体制，是指加密和解密操作分别使用两个不同的密钥，本文档来自技高网...

【技术保护点】
1.基于量子密钥加密的ERP联网监控系统，其特征在于，所述ERP联网监控系统包括企业用户端和监控中心端，两者之间通过公共互联网连接；/n所述企业用户端部署ERP数据采集客户端，所述监控中心端部署VPN设备和ERP数据采集服务端；/n所述企业用户端前置机VPN客户端和监控中心端的VPN设备建立SSL或者IPsec VNP安全通道；和/n所述企业用户端和所述监控中心端之间还设置实现量子数据传输的量子保密通信网络装置，所述ERP数据采集客户端提取企业ERP数据后，通过所述量子保密通信网络装置对采集到的ERP数据进行量子应用加密，并通过所述SSL或者IPsec VNP安全通道将加密数据报送监控中心端的ERP数据采集服务端，并对量子密钥加密后的数据进行解密；从而在SSL或者IPsec VNP安全通道的基础上增加多一重量子加密手段，使数据具备双重安全传输保障。/n

【技术特征摘要】
1.基于量子密钥加密的ERP联网监控系统，其特征在于，所述ERP联网监控系统包括企业用户端和监控中心端，两者之间通过公共互联网连接；
所述企业用户端部署ERP数据采集客户端，所述监控中心端部署VPN设备和ERP数据采集服务端；
所述企业用户端前置机VPN客户端和监控中心端的VPN设备建立SSL或者IPsecVNP安全通道；和
所述企业用户端和所述监控中心端之间还设置实现量子数据传输的量子保密通信网络装置，所述ERP数据采集客户端提取企业ERP数据后，通过所述量子保密通信网络装置对采集到的ERP数据进行量子应用加密，并通过所述SSL或者IPsecVNP安全通道将加密数据报送监控中心端的ERP数据采集服务端，并对量子密钥加密后的数据进行解密；从而在SSL或者IPsecVNP安全通道的基础上增加多一重量子加密手段，使数据具备双重安全传输保障。


2.根据权利要求1所述的ERP联网监控系统，其特征在于，所述量子保密通信网络装置包括：量子保密通信网络；设置在所述监控中心端的量子密钥管理平台、服务端量子密钥分发设备和服务端SDK；设置在ERP数据采集客户端SDK和量子密钥存储介质；和在密钥充注站点设置的充注站点量子密钥分发设备和量子密钥充注机。


3.根据权利要求2所述的ERP联网监控系统，其特征在于，所述量子密钥管理平台完成所述量子密钥存储介质发行、激活工作，并将其转交到所述量子密钥充注站点；所述量子密钥充注机依托所述量子保密通信网络，与所述量子密钥管理平台进行安全交互，完成所述量子密钥存储介质的密钥充注；和完成密钥充注后的所述量子密钥存储介质接入所述企业用户端前置机的通信接口。


4.根据权利要求2所述的ERP联网监控系统，其特征在于，所述量子保密通信网络装置的数据传输包括ERP联网监控系统通过加密策略协商、量子密钥协商和量子密钥加密数据传输过程。


5.根据权利要求4所述的ERP联网监控系统，其特征在于，所述加密策略协商过程包括企业用户端前置机ERP数据采集客户端采集完ERP数据后，向客户端量子安全SDK接口申请加密策略协商，客户端量子安全SDK通过SSL或者IPsecVPN安全通道连接量子密钥管理平台申请加密策略协商，获取加密策略协商结...

【专利技术属性】
技术研发人员：张雪松，王家勇，姜红超，杨勇华，李淼，
申请(专利权)人：国科量子通信网络有限公司，
类型：发明
国别省市：上海;31