(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210808397.1 (22)申请日 2022.07.12 (71)申请人 成都量安区块链科技有限公司 地址 610041 四川省成 都市高新区九兴大 道6号高发大厦A幢202号 (72)发明人 李全兵　 其他发明人请求 不公开姓名　 (51)Int.Cl. H04L 9/40(2022.01) H04L 9/08(2006.01) (54)发明名称 一种量子安全加密应用系统、 方法与接入装 置 (57)摘要 本发明提供了一种量子安全加密应用系统， 包括至少一个前端接入装置、 至少一个后端接入 装置和至少一个密码服务装置， 前端接入装置与 用户端的应用装置通过串联或旁路接入方式接 入网络； 后端接入装置与业务端的服务器装置通 过串联或旁路接入方式接入网络； 密码服务装置 与前端接入装置和后端接入装置分别通过传统 网络或量子网络连接。 本发明还提供了一种量子 安全加密应用方法， 包括初始化、 身份认 证、 密钥 协商和透明加密传输。 本发明还提供了一种量子 安全加密应用接入装置。 本发明通过一种安全高 效的系统和方法实现即插即用型的量子安全透 明加密传输 应用， 具有良好的应用前 景。 权利要求书2页 说明书5页 附图1页 CN 115549941 A 2022.12.30 CN 115549941 A 1.一种量子安全加密应用系统， 包括， 至少一个前端接入装置、 至少一个后端接入装置 和至少一个密码服务装置， 前端接入装置与用户端的应用装置通过直连或旁挂接入方式接 入网络； 后端接入装置与业务端的服务器装置通过直连或旁挂接入方式接入网络； 密码服 务装置与前端接入 装置和后端接入 装置分别通过传统网络或量子网络连接； 其特 征在于： 前端接入 装置用于通过流 量拦截、 IP包过 滤或代理加密方式实现透明加密 传输； 后端接入 装置用于通过流 量拦截、 IP包过 滤或代理加密方式实现透明加密 传输； 密码服务装置用于协商共享密钥或共享密钥因子， 包括， 前端接入装置和后端接入装 置之间采用抗量子计算的密钥交换算法协商共享密钥或共享密钥因子， 或， 采用量子增强 密钥模式协商共享密钥或共享密钥因子； 其中， 流量拦截或IP包过滤包括对IP包进行解析、 对载荷数据进行加密/解密、 再封装 IP包和转发IP包； 代理加密方式包括获取目标数据包、 解封装数据包并对其中的载荷数据 进行加密/解密， 重新封装数据包并进行重 定向发送。 2.根据权利要求1所述的一种量子安全加密应用系统， 包括： 安全存储装置， 其特征在 于， 安全存储装置通过USB、 网口或近场通信方式与接入装置连接， 安全存储装置用于存储 CA证书和预置随机数， 用于与其它接入 装置之间的身份认证和共享会话密钥协商。 3.根据权利要求1或2所述的一种量子安全加密应用系统， 包括： QKD网络或量子密钥服 务子系统， 其特征在于， QKD 网络用于为前端接入装置和后端接入装置协商共享量子密钥； 量子密钥服务子系统用于为前端接入装置和 后端接入装置提供量子密钥服务关联数据， 其 中， 量子密钥服务关联数据是前端接入装置的一个随机密钥分组与后端接入装置的一个随 机密钥分组的异或值。 4.根据权利要求1所述的一种量子安全加密应用系统， 其特征在于， 直连采用无线连接 方式。 5.根据权利要求1所述的一种量子安全加密应用系统， 其特征在于， 在配置多个后端接 入装置的情况 下， 其中， 一个后端接入 装置用于双机热 备份。 6.根据权利要求1所述的一种量子安全加密应用系统， 其特征在于， 量子增强密钥模式 协商共享密钥或共享密钥因子包括， 密码服务装置把与前端接入装置和 后端接入装置 关联 的随机数分组分别发送给前端接入装置和后端接入装置， 前端接入装置和后端接入装置基 于该随机数分组协商一个第一会话密钥因子； 前端接入装置和后端接入装置之 间采用抗量 子计算的密钥交换算法协商一个第二会话密钥因子， 把第一会话密钥因子和 第二会话密钥 因子进行保密增强并得到数据加密或解密所使用的共享密钥或会话密钥。 7.一种量子安全加密应用方法， 所适用的应用系统包括至少一个前端接入装置、 至少 一个后端接入装置和至少一个密码服务装置， 前端接入装置与用户端的应用装置通过直连 或旁挂接入方式接入网络； 后端接入装置与业务端的服务器装置通过直连或旁挂接入方式 接入网络； 密码服务装置与前端接入装置和 后端接入装置 分别通过传统网络或量子网络连 接； 其特征在于， 包括： 对前端接入装置和后端接入装置进行初始化， 前端接入装置和后端 接入装置之 间进行身份认证， 协商共享密钥或通过密码服务装置协商共享密钥因子并进 行 保密增强， 前端接入装置和 后端接入装置通过流量拦截或IP包过滤或代理加密方式实现透 明加密传输； 其中， 流量拦截或IP包过滤包括对IP包进行解析、 对载荷数据进 行加密/解密、权　利　要　求　书 1/2 页 2 CN 115549941 A 2再封装IP包和转发IP包； 代理加密方式包括获取目标数据包、 解封装数据包并对其中的载 荷数据进行加密/解密， 重新封装数据包并进行重 定向发送。 8.根据权利要求7所述的一种量子安全加密应用方法， 包括跨域互通方法， 其特征在 于： 第一密码服务装置与第二密码服务装置通过量子密钥服务子系统获取与两个目标接入 装置关联的随机数分组， 两个目标接入 装置基于所述随机数分组协商一个共享密钥因子 。 9.根据权利要求7所述的一种量子安全加密应用方法， 其特征在于， 对前端接入装置和 后端接入装置进 行初始化包括： 分发CA证书， 分发预置随机数， 创建所述预置随机数与CA证 书的关联 标识。 10.一种量子安全加密应用接入装置， 其特征在于， 用于实现权利要求7所述的一种量 子安全加密应用方法。权　利　要　求　书 2/2 页 3 CN 115549941 A 3