(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202211189379.6 (22)申请日 2022.09.28 (71)申请人 矩阵时光数字科技有限公司 地址 210000 江苏省南京市中国(江苏)自 由贸易试验区南京片区江淼路88号腾 飞大厦b座1 1层 (72)发明人 傅波海　虞传志　吴樱　冯杨　 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/40(2022.01) (54)发明名称 一种量子安全 数据发送、 接收方法及通信系 统 (57)摘要 本申请公开了一种量子安全 数据发送、 接收 方法及通信系统。 通过该隔离模块可以实现隐私 模块以及加密模块之间的隔离， 将应用数据与量 子安全数据分离， 避免应用数据影 响量子安全数 据的安全性， 且 该隔离模块可以对隐私模块收发 的数据进行管控， 进一步避免应用数据影响量子 安全数据的安全性。 第一加密模块可以基于目的 IP地址， 映射到接收端的入网标识以及通信模块 可达IP地址， 有利于后续将密文数据以及加密报 文准确地发送到接收端。 该第一通信模块为该发 送端内与外网进行通信的模块， 第一隔离模块实 现第一通信模块分别与第一加密模块 以及第一 隐私模块之间的隔离， 避免外网数据影 响发送端 的第一隐私模块以及第一加密模块的安全性。 权利要求书4页 说明书26页 附图9页 CN 115549900 A 2022.12.30 CN 115549900 A 1.一种量子安全数据发送方法， 其特 征在于， 所述方法包括： 第一隔离模块接收第 一隐私模块安装的应用发起的应用数据， 并根据 所述应用数据的 数据类型， 重构所述应用数据的链路层， 将所述应用数据发送至第一加密模块； 所述第一加密模块从所述应用数据中提取目的IP地址， 根据获取到的密钥以及预设的 加密方式， 对所述应用数据进行加密， 以获取密文数据； 根据所述目的IP地址， 获取所述接 收端的入网标识以及通信模块可达IP地址； 将获取到的传输数据发送至所述第一隔离模 块， 以通过所述第一隔离模块将所述传输数据发送至所述第一通信模块； 所述传输数据包 括第一传输数据和 第二传输数据， 所述第一传输数据携带有 所述通信模块可达IP地址以及 所述密文数据， 所述第二传输数据携带有密钥信息 以及发送端接入的基站的基站通信信 息， 所述密钥 信息包括所述密钥的密钥索引以及所述入网标识； 所述第一通信模块接收所述第 一隔离模块发送的所述传输数据； 根据 所述传输数据的 链路层， 将所述传输数据发送至所述接收端； 其中， 所述 根据所述传输数据的链路层， 将所述传输数据发送至所述接收端， 包括： 若根据所述传输数据的链路层， 确定所述传输数据包括第二传输数据， 则根据所述第 二传输数据携带的通信模块可达IP地址， 将所述第二传输数据携带的密 文数据发送至所述 接收端； 若根据所述传输数据的链路层， 确定所述传输数据包括第一传输数据， 则根据所述第 一传输数据携带的基站 通信信息， 将所述第一传输数据携带的所述密钥信息发送至所述基 站， 以通过 所述基站将所述密钥 信息发送至所述接收端。 2.如权利要求1所述的方法， 其特 征在于， 所述方法还 包括： 对于所述第 一隔离模块接收到的所述第 一隐私模块发送的数据， 若所述第 一隔离模块 根据所述数据的链路层， 确定所述数据为非应用发起的应用数据， 则将所述数据丢弃。 3.如权利要求1所述的方法， 其特征在于， 所述第 一加密模块根据获取到的密钥以及预 设的加密方式， 对所述应用数据进行加密， 包括： 若所述加密方式为全加密方式， 则根据所述密钥以及第一预设加密算法， 对所述应用 数据中不属于链路层的数据进行加密； 和/或， 若所述加密方式为负载加密方式， 则根据所述密钥以及第二预设加密算法， 对所述应 用数据中的应用层数据进行加密。 4.如权利要求3所述的方法， 其特征在于， 若所述加密方式为负载加密方式， 所述第一 加密模块根据获取到的密钥以及预设的加密方式， 对所述应用数据进行加密， 以获取密文 数据之后， 所述第一加密模块获取 所述传输数据之前， 所述方法还 包括： 根据预设的校验和算法， 确定所述密文数据中应用层所对应的第一校验和； 根据所述第一校验和， 对所述密文数据中携带的第 二校验和进行更新； 其中， 所述第二 校验和是根据所述应用数据中的应用层以及所述校验和算法确定的。 5.如权利要求1所述的方法， 其特征在于， 所述第一加密模块根据所述目的IP地址， 获 取所述接收端的入网标识以及通信模块可达IP地址， 包括： 根据所述目的IP地址、 以及预先保存 的IP地址与入网标识、 以及通信模块可达IP地址 的对应关系， 确定所述接收端的入网标识以及通信模块可达IP地址 。 6.如权利要求5所述的方法， 其特征在于， 通过如下至少一种方式获取所述IP地址对应权　利　要　求　书 1/4 页 2 CN 115549900 A 2的入网标识， 包括： 从量子安全域名解析设备获取 所述IP地址对应的入网标识； 从所述应用的量子安全应用服务设备获取使用所述应用的至少一个量子安全终端的 IP地址分别对应的入网标识。 7.如权利要求1所述的方法， 其特征在于， 所述第 一加密模块将 获取到的传输数据发送 至所述第一隔离模块之前， 所述方法还 包括： 根据所述传输数据的数据类型， 重构所述传输数据的链路层。 8.如权利要求1所述的方法， 其特征在于， 所述第 一加密模块将 获取到的传输数据发送 至所述第一隔离模块之前， 所述方法还 包括： 获取第一动态标识； 根据所述传输数据的数据类型以及所述第一动态标识， 重构所述传输数据的链路层。 9.如权利要求8所述的方法， 其特征在于， 所述通过所述第 一隔离模块将所述传输数据 发送至所述第一 通信模块， 包括： 所述第一隔离模块对所述传输数据的链路层中携带的第 一动态标识进行校验， 若确定 所述第一动态标识通过 校验， 则将所述传输数据发送至所述第一 通信模块。 10.如权利要求9所述的方法， 其特征在于， 所述第一通信模块接收所述第一隔离模块 发送的所述传输数据之后， 所述第一通信模块根据所述传输数据的链路层， 将所述传输数 据发送至所述接收端之前， 所述方法还 包括： 所述第一 通信模块确定所述传输数据的链路层中携带的第一动态标识通过 校验。 11.如权利要求1所述的方法， 其特征在于， 所述第一通信模块接收所述第一隔离模块 发送的所述传输数据之后， 所述第一通信模块根据所述传输数据的链路层， 将所述传输数 据发送至所述接收端之前， 所述方法还 包括： 若根据所述传输数据的链路层， 确定所述传输数据不满足第一预设传输要求， 则将所 述传输数据丢弃， 并不执行根据所述传输数据的链路层， 将所述传输数据发送至所述接 收 端的步骤。 12.如权利要求1所述的方法， 其特征在于， 所述根据所述第二传输数据携带的通信模 块可达IP地址， 将所述第二传输数据携带的密文数据发送至所述接收端， 包括： 所述第一通信模块确定已创建与所述通信模块可达IP地址的第一链接， 通过所述第一 链接将所述密文数据发送至所述接收端； 所述根据 所述第一传输数据携带的基站通信信 息， 将所述第 一传输数据携带的所述密 钥信息发送至所述基站， 包括： 确定已创建与 所述基站通信信 息的第二链接， 通过所述第 二链接将所述密钥信 息发送 至所述基站。 13.一种量子安全数据接收方法， 其特 征在于， 所述方法包括： 第一通信模块接收数据， 并根据所述数据的数据类型， 重构所述数据的链路层， 将所述 数据发送至第一隔离模块， 以通过所述第一隔离模块将所述数据发送至第一加密模块； 其 中， 所述数据包括加密报文， 或， 密钥信息， 所述加密报文包括密文数据以及所述第一通信 模块链接的源IP地址， 所述密钥 信息包括密钥索引以及入网标识； 所述第一加密模块接收所述第一隔离模块发送的数据； 针对接收到的加密报文， 确定权　利　要　求　书 2/4 页 3 CN 115549900 A 3