一种量子安全网关系统技术方案

本发明专利技术提供一种量子安全网关系统，涉及安全网关技术领域

【技术实现步骤摘要】
一种量子安全网关系统


[0001]本专利技术涉及安全网关
，尤其涉及一种量子安全网关系统
。

技术介绍

[0002]随着云计算
、
大数据
、
物联网等新兴技术以及党政企事业单位数字化转型的不断发展，越来越多的应用系统开始基于互联网
、
物联网提供不同方式的移动办公，业务应用上云，物联网终端的访问大数据中心等远程接入能力
。
[0003]如何将党政企事业公司总部的各个应用系统安全地推广到各个分支结构
、
办事处和移动办公人员，实现应用系统安全实时统一管理；如何保障云端业务的安全访问；如何在保障业务数据安全传输的基础上，同时能够保证移动用户的接入体验；如何保障物联网终端接入的安全性以及数据传输过程中的机密性与完整性，都成为很多单位面临的安全问题
。
[0004]因此，有必要提供一种新的量子安全网关系统解决上述技术问题
。

技术实现思路

[0005]为解决上述技术问题，本专利技术提供一种安全性高的量子安全网关系统
。
[0006]本专利技术提供的量子安全网关系统包括：虚拟设备接入模块
、
业务支撑模块
、IPSec/SSL
处理模块
、
密匙管理模块
、
用户管理模块和日志审计模块；所述虚拟设备接入模块用于调用底层驱动，向外部应用提供密码服务，以及向管理界面提供操作服务；完成硬件板卡的自检
、
密钥生成
、
随机数生成等功能；所述业务支撑模块主要负责
IPSec/SSL
参数配置，日志
、
告警功能的开启与关闭
、
防火墙配置
、
网卡功能配置
、
系统监控功能配置等；所述
IPSec/SSL
处理模块负责数据包处理和
IPSec/SSL
协议处理；所述密匙管理模块用于确保敏感数据的安全存储；所述用户管理模块用于隔离各种访问权限，确保系统安全；所述日志审计模块负责日志管理，安全记录和入侵审计
。
[0007]优选的，所述密匙管理模块中密钥的生成必须采用量子光随机数发生器
、
物理噪声源，确保密钥的真随机性；除公钥外，密钥需密文存储，确保任何时候量子安全网关存储的密钥不能以明文形式出现在量子安全网关之外；量子安全网关内存储的密钥需具备防探测和非法读取的保护机制；量子安全网关的密钥分发
、
备份
、
恢复等操作需保证密钥的机密性和完整性；管理密钥与工作密钥分离，管理密钥不对应用系统开放；工作密钥实行专钥专用，不同用途的密钥不能交叉用
。
[0008]优选的，所述密匙管理模块支持量子密钥和经典密钥的动态切换；支持专用量子密钥网口
、TF
卡和
U
盾量子密钥接入和充注
。
[0009]优选的，所述日志审计模块中的日志管理支持
Welf、Syslog
等多种日志格式的查询
、
导出，支持日志分级；支持日志完整性保护，可对日志进行加密传输；支持操作日志
、
系统运行日志
、
故障日志等实时记录；独立的日志审计管理员权限；支持与外部日志服务器对接
。
[0010]优选的，所述用户管理模块实现对用户身份的认证，在用户身份进行认证时支持使用口令认证
、
本地认证
、
数字证书
(CA)
认证等常用的安全认证方式和管理；支持口令复杂度设置，支持密码找回
、
首次登录修改口令功能；可为用户管理员分配不同的权限，管理不同的用户信息；支持管理员的三权分立；支持安全管理员
、
系统管理员
、
审计管理员分权管理，管理员身份凭证信息安全存储在智能密码钥匙
。
[0011]优选的，所述虚拟设备接入模块在生成密钥时，采用符合规定的国密算法以及二级安全等级要求的安全芯片
、
四路随机数芯片
、
国密算法芯片，支持多种国内自主研制的硬件密码算法，采用硬件密码模块进行密码算法运算，支持国密
SM1/SM2/SM3/SM4
等算法
。
[0012]优选的，所述业务支撑模块在进行统监控功能配置时，支持网络接口
、CPU
利用率
、
内存使用率
、
操作系统状况
、
网络状况
、
硬件系统
、
进程
、
进程内存
、
加密卡状况的监测；根据配置文件进行错误恢复；支持设备硬件和软件服务的实时监控；包括
CPU、
内存
、
硬盘
、
网络
、
在线用户数等
。
[0013]优选的，所述业务支撑模块还用于流量分析；在进行流量分析时，支持基于
IP
对
session
数的统计等功能；支持基于
IP
对流量的统计；支持基于传输层端口进行流量
、session
数的统计
。
[0014]与相关技术相比较，本专利技术提供的量子安全网关系统具有如下有益效果：
[0015]本专利技术提供一种量子安全网关系统，具有量子随机数
、
量子密钥分发
、
可信身份认证
、
加密传输
、
角色授权
、SSLVPN
及应用代理
、IPSec VPN
等，并包含基本访问控制功能
。
自主可控，性能强大，扩展性好，易于管理；
[0016]本专利技术提供一种量子安全网关系统，安全网关内置经国家密码管理局审批的高速密码芯片，全面支持
SM1、SM2、SM3、SM4
密码算法，满足
IPSec/SSL
双规范设计标准，所有密码运算均由内置高速密码芯片实现，完全释放主机
CPU
性能，为用户提供安全
、
高效的密码应用服务
。
该产品同时具备国密标准的
IPSec VPN
和
SSLVPN
功能，既可作为
Site
‑
to
‑
Site(
网到网
)
的网关型隧道设备，亦可解决
End
‑
to
‑
Site(
点到网
)
的安全接入场景；
[0017]本专利技术通过产品的多种
VPN
功能可以实现党政企业总部与各个分支机构
、
合作伙伴
、<本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.
一种量子安全网关系统，其特征在于，包括：虚拟设备接入模块
、
业务支撑模块
、IPSec/SSL
处理模块
、
密匙管理模块
、
用户管理模块和日志审计模块；所述虚拟设备接入模块用于调用底层驱动，向外部应用提供密码服务，以及向管理界面提供操作服务；完成硬件板卡的自检
、
密钥生成
、
随机数生成等功能；所述业务支撑模块主要负责
IPSec/SSL
参数配置，日志
、
告警功能的开启与关闭
、
防火墙配置
、
网卡功能配置
、
系统监控功能配置等；所述
IPSec/SSL
处理模块负责数据包处理和
IPSec/SSL
协议处理；所述密匙管理模块用于确保敏感数据的安全存储；所述用户管理模块用于隔离各种访问权限，确保系统安全；所述日志审计模块负责日志管理，安全记录和入侵审计
。2.
根据权利要求1所述的量子安全网关系统，其特征在于，所述密匙管理模块中密钥的生成必须采用量子光随机数发生器
、
物理噪声源，确保密钥的真随机性；除公钥外，密钥需密文存储，确保任何时候量子安全网关存储的密钥不能以明文形式出现在量子安全网关之外；量子安全网关内存储的密钥需具备防探测和非法读取的保护机制；量子安全网关的密钥分发
、
备份
、
恢复等操作需保证密钥的机密性和完整性；管理密钥与工作密钥分离，管理密钥不对应用系统开放；工作密钥实行专钥专用，不同用途的密钥不能交叉用
。3.
根据权利要求1所述的量子安全网关系统，其特征在于，所述密匙管理模块支持量子密钥和经典密钥的动态切换；支持专用量子密钥网口
、TF
卡和
U
盾量子密钥接入和充注
。4.
根据权利要求1所述的量子安全网关系统，其特征在于，所述日志审计模块中的日志管理支持
Welf、Syslog
等多种日志格式的查询
、
导出，支持日志分级；支持日志完整性保护，可对日志进行加密传输；支持操作日志
、
系统运行日志

【专利技术属性】
技术研发人员：计艳明，
申请(专利权)人：流光天津量子科技有限公司，
类型：发明
国别省市：