一种量子安全设备数据通信方法与流程

1.本发明涉及量子安全技术领域，具体涉及一种量子安全设备数据通信方法。


背景技术：

2.在当前网络数据通信中，数据安全一直是高度关注的重点。数据安全是指在数据的整个生命周期中保护数据免受未经授权的访问、损坏或盗窃。这个概念涵盖了信息安全的各个方面，从硬件和存储设备的物理安全到管理和访问控制，再到软件应用程序的逻辑安全。强大的数据安全策略不仅保护组织的信息资产免受网络犯罪活动的影响，也可以防止内部威胁和人为错误。数据安全是企业稳健经营的重要因素，近些年从监管趋势上也不难看出，国家对数据安全管控的重视。通过提升安全团队专业化能力来逐步构建企业的数据安全文化，助推企业数据资产价值的不断提升。而数据安全的保障无一不对数据加密算法有着极高的要求，加密算法的优化提升也进而对计算机的算力有了一定要求。而随着超级计算机和量子计算机的出现，算力得到极大的提升，量子加密技术的发展就成了历史必然。量子加密技术的发展势必会应运而生出量子安全通信系统。
3.目前，中国专利公开号为cn115001686a的发明公开了一种全域量子安全设备实现量子安全通信。在该发明中全域量子安全设备作为终端用于数据加密发送和接收解密处理。数据由量子安全设备的应用产生并进行量子加密，通过通信模块发送数据实现数据交互。
4.而量子安全设备之间的信息交互和以往的设备信息交互不同，如何实现各量子安全设备发送的数据能够查找到目标量子安全设备信息，再经网络将数据发送给目标量子安全设备，以及如何实现发送端给接收端同一应用端口发送的数据经量子安全设备加密后不会乱序发送都是急需解决的问题。


技术实现要素：

5.发明目的：本发明目的是提供一种量子安全设备数据通信方法，解决了如何实现各量子安全设备发送的数据能够查找到目标量子安全设备信息，再经网络将数据发送给目标量子安全设备的问题，以及解决了如何实现发送端给接收端同一应用端口发送的数据经量子安全设备加密后不会乱序发送的问题。
6.技术方案：本发明一种量子安全设备数据通信方法，所述方法的参与方包括作为发送端的第一量子安全设备和作为接收端的第二量子安全设备，方法包括以下步骤：
7.(1)发送端的隐私模块将生成的用户数据发送到发送端的加解密模块，发送端的加解密模块根据用户数据获取到用户数据对应的发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号，将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值，再将第一至第四哈希值相互异或得到消息哈希值；
8.(2)发送端的加解密模块根据消息哈希值与本地的线程数生成流索引，并将流索
引对应的线程标记为用户数据的第一发送线程；发送端的加解密模块通过接收端量子ip查找对应接收端的通信ip和唯一标识rid，然后对用户数据采用量子密钥进行量子加密得到量子密文，再将量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引形成流索引报文；发送端的加解密模块通过用户数据的第一发送线程将流索引报文发送至发送端的通信模块；
9.(3)发送端的通信模块对流索引报文进行解析得到量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引，根据流索引标记对应的线程为用户数据的第二发送线程；然后发送端的通信模块根据接收端通信ip与接收端的通信模块建立连接，再将量子密文、接收端通信ip和本地的发送端通信ip形成tcp报文，通过用户数据的第二发送线程将tcp报文发送至互联网，再通过互联网将tcp报文发送至接收端；接着，发送端的通信模块将量子密钥和接收端的唯一标识rid形成密钥报文，通过用户数据的第二发送线程将密钥报文发送至量子安全基站，量子安全基站解析得到量子密钥和接收端的唯一标识rid，量子安全基站根据接收端的唯一标识rid将量子密钥中继至接收端。
10.进一步的，所述发送端的加解密模块通过接收端量子ip查找对应接收端的通信ip和唯一标识rid的具体过程为：
11.首先，发送端的加解密模块调用路由关系映射表；然后通过接收端量子ip在路由关系映射表中查找到对应接收端的通信ip和唯一标识rid；
12.其中，路由关系映射表含有每个量子安全设备的量子ip、通信ip和唯一标识rid，且每个量子安全设备的量子ip、通信ip和唯一标识rid三者进行关联匹配形成对应关系。
13.进一步的，所述路由关系映射表存储在发送端的加解密模块中，且路由关系映射表按预设的时间进行更新。
14.进一步的，所述将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值的具体过程为：
15.发送端的加解密模块调用本地存储的哈希函数，然后将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号依次进行哈希计算，得到第一至第四哈希值；其中，哈希函数为基于线性移位寄存器的托普利兹哈希函数。
16.进一步的，所述加解密模块和通信模块中均包括n个线程，所有线程按顺序依次进行标记编号。
17.进一步的，所述发送端的加解密模块根据消息哈希值与本地的线程数生成流索引的过程包括：
18.发送端的加解密模块将消息哈希值与本地的线程数进行取余数操作，将得到的余数值标记为流索引。
19.进一步的，所述发送端的加解密模块根据消息哈希值与本地的线程数生成流索引的过程包括：
20.发送端的加解密模块调用流索引映射表，将消息哈希值在流索引映射表中进行查找，若查找到与消息哈希值对应的整数数值，则将整数数值标记为流索引；若查找不到与消息哈希值对应的整数数值，则在本地的线程数1到n之间随机生成一个整数数值，将生成的整数数值标记为流索引，同时将消息哈希值与生成的整数数值形成对应关系存储在流索引映射表中，且流索引映射表以消息哈希值作为索引。
21.本发明的有益效果：本发明的量子安全设备在数据处理流程中，根据消息哈希值与本地的线程数生成流索引，根据流索引从而选择发送的线程，发送端给接收端不同应用端口发送的数据所用到的线程不同，而发送端给接收端同一应用端口发送的数据所用的线程是同一线程，保证发送端给接收端同一应用端口发送的数据在经量子安全设备加密后不会乱序发送，保证数据的顺序性，也避免了处理过程中因乱序导致的一些问题。
附图说明
22.图1为本发明的量子安全设备结构示意图；
23.图2为本发明的数据发送示意图。
具体实施方式
24.下面结合附图和实施例对本发明做进一步描述：
25.如图1所示，量子安全设备就相当于是量子网和互联网通信中的一个终端设备，这些量子安全设备在接入量子网之后都会被分配一个唯一标识rid，互联网通过ip地址定位终端设备，量子网则是通过量子安全基站分配的rid来定位终端设备。在描述量子安全设备之间通信之前，先要了解下量子安全设备的内部模块划分，量子安全设备包括隐私模块、加解密模块和通信模块，模块和模块之间进行数据传输。由于模块间都是隔离开的，所以在网络通信里隐私模块有自己的ip地址，称之为量子ip，对应通信模块的ip地址称为通信ip。
26.量子安全设备之间生成的用户数据都是从隐私模块发出来的，在数据传输过程中，数据的传输都是需要经过量子加密的，而加解密模块来实现数据的量子加解密，通信模块则是负责与外界通信，将处理好的量子密文和量子密钥传输到对端的量子安全设备上，最后数据都是由通信模块发送。而通信模块有自己的通信ip，并且也需要知道接收端的通信ip才能发送；同时如果发送端分别给好几个接收端发送消息，而且给同一个接收端的同一应用端口连续发送了好几条消息，那么就可能会导致消息是乱序发送出去的，这也是本发明要解决的问题。
27.如图2所示，为了实现各量子安全设备发送的数据能够查找到目标量子安全设备信息，以及实现发送端给接收端同一应用端口发送的数据经量子安全设备加密后不会乱序发送，因此本发明提出一种量子安全设备数据通信方法，方法的参与方包括作为发送端的第一量子安全设备和作为接收端的第二量子安全设备，方法包括以下步骤：
28.(1)第一量子安全设备即发送端给第二量子安全设备即接收端发送消息，发送端的隐私模块生成用户数据，将生成的用户数据发送到发送端的加解密模块，发送端的加解密模块获取到用户数据后，发送端的加解密模块根据用户数据获取到用户数据对应的发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号，由于发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号可以唯一定位到具体的接收端的具体应用，因此将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值，再将第一至第四哈希值相互异或得到消息哈希值；或者也可以使用其他的算法来结合这四个数据，本发明采用哈希计算。
29.将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值的具体过程为：发送端的加解密模块调用本地存储的哈
希函数，然后将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号依次进行哈希计算，得到第一至第四哈希值；其中，哈希函数为基于线性移位寄存器的托普利兹哈希函数。
30.(2)发送端的加解密模块根据消息哈希值与本地的线程数生成流索引，并将流索引对应的线程标记为用户数据的第一发送线程。其中，发送端的加解密模块根据消息哈希值与本地的线程数生成流索引的过程包括：发送端的加解密模块可以将消息哈希值与本地的线程数进行取余数操作，将得到的余数值标记为流索引；或者为发送端的加解密模块调用流索引映射表，将消息哈希值在流索引映射表中进行查找，若查找到与消息哈希值对应的整数数值，则将整数数值标记为流索引；若查找不到与消息哈希值对应的整数数值，则在本地的线程数1到n之间随机生成一个整数数值，将生成的整数数值标记为流索引，同时将消息哈希值与生成的整数数值形成对应关系存储在流索引映射表中，流索引映射表存储在发送端的加解密模块中，且流索引映射表以消息哈希值作为索引。
31.为了效率总是会有n个线程支持并发操作，根据具体的服务器运算能力大小分配合适的线程数，无论是发送端还是接收端，他们的加解密模块和通信模块中均包括n个线程，所有线程按顺序依次进行标记编号，也就是1代表1号线程，2代表2号线程
……
，而取余操作后的余数值是多少，或者生成的整数数值是多少，对应的线程就标记为用户数据的第一发送线程；
32.发送端的加解密模块通过接收端量子ip查找对应接收端的通信ip和唯一标识rid，其具体过程为：首先，发送端的加解密模块调用路由关系映射表，路由关系映射表存储在发送端的加解密模块中，路由关系映射表含有每个量子安全设备的量子ip、通信ip和唯一标识rid，且每个量子安全设备的量子ip、通信ip和唯一标识rid三者进行关联匹配形成对应关系，这三者知道其中任意一个，就可以获取另外两个地址；将路由关系映射表存储在发送端的加解密模块中，使得查询的速度快，同时路由关系映射表按预设的时间进行更新，预设的时间可以是一天或一周等等。
33.当一个量子安全设备接入到通信网络中时，该量子安全设备的量子ip、通信ip和唯一标识rid信息也可以被实时存储于云端服务器。由于路由关系映射表是按照预设的时间进行更新的，所以有可能出现在上一次更新和此次更新的时间间隔过程中接入通信网络的量子安全设备。如果发送端加解密模块中的路由关系映射表查不到信息，可以直接根据云端服务器的路由关系映射表进行更新，由于发送端加解密模块中的路由关系映射表不断更新和完善，可以保证数据传输的顺畅；然后通过接收端量子ip在路由关系映射表中查找到对应接收端的通信ip和唯一标识rid；
34.接着对用户数据采用量子密钥进行量子加密得到量子密文，再将量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引形成流索引报文；发送端的加解密模块通过用户数据的第一发送线程将流索引报文发送至发送端的通信模块；
35.这样，发送端发送给同一个接收端的同一个应用端口的消息就会按照顺序依次由第一发送线程处理，保障了数据封装的有序；之后发送端的加解密模块将上文提到的量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和保障有序的流索引一起封装为流索引报文发送至发送端的通信模块。
36.(3)发送端的通信模块和加解密模块一样，有n个处理线程，发送端的通信模块在
获取到流索引报文数据之后，对流索引报文进行解析得到量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引，根据流索引标记对应的线程为用户数据的第二发送线程，该过程和选择用户数据的第一发送线程过程一样，这样在通信模块也可以保证数据的有序处理；
37.然后发送端的通信模块根据接收端通信ip与接收端的通信模块建立连接，再将量子密文、接收端通信ip和本地的发送端通信ip形成tcp报文，通过用户数据的第二发送线程将tcp报文发送至互联网，再通过互联网将tcp报文发送至接收端；接着，发送端的通信模块将量子密钥和接收端的唯一标识rid形成密钥报文，通过用户数据的第二发送线程将密钥报文发送至量子安全基站，量子安全基站解析得到量子密钥和接收端的唯一标识rid，量子安全基站根据接收端的唯一标识rid将量子密钥中继至接收端。
38.本发明的量子安全设备在数据处理流程中，根据流索引从而选择发送的线程，使发送端给接收端同一应用端口发送的数据所用的线程是同一线程，保证发送端给接收端同一应用端口发送的数据在经量子安全设备加密后不会乱序发送，保证数据的顺序性。
39.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种量子安全设备数据通信方法，其特征在于，所述方法的参与方包括作为发送端的第一量子安全设备和作为接收端的第二量子安全设备，方法包括以下步骤：(1)发送端的隐私模块将生成的用户数据发送到发送端的加解密模块，发送端的加解密模块根据用户数据获取到用户数据对应的发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号，将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值，再将第一至第四哈希值相互异或得到消息哈希值；(2)发送端的加解密模块根据消息哈希值与本地的线程数生成流索引，并将流索引对应的线程标记为用户数据的第一发送线程；发送端的加解密模块通过接收端量子ip查找对应接收端的通信ip和唯一标识rid，然后对用户数据采用量子密钥进行量子加密得到量子密文，再将量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引形成流索引报文；发送端的加解密模块通过用户数据的第一发送线程将流索引报文发送至发送端的通信模块；(3)发送端的通信模块对流索引报文进行解析得到量子密文、接收端通信ip、量子密钥、接收端的唯一标识rid和流索引，根据流索引标记对应的线程为用户数据的第二发送线程；然后发送端的通信模块根据接收端通信ip与接收端的通信模块建立连接，再将量子密文、接收端通信ip和本地的发送端通信ip形成tcp报文，通过用户数据的第二发送线程将tcp报文发送至互联网，再通过互联网将tcp报文发送至接收端；接着，发送端的通信模块将量子密钥和接收端的唯一标识rid形成密钥报文，通过用户数据的第二发送线程将密钥报文发送至量子安全基站，量子安全基站解析得到量子密钥和接收端的唯一标识rid，量子安全基站根据接收端的唯一标识rid将量子密钥中继至接收端。2.根据权利要求1所述的一种量子安全设备数据通信方法，其特征在于：所述发送端的加解密模块通过接收端量子ip查找对应接收端的通信ip和唯一标识rid的具体过程为：首先，发送端的加解密模块调用路由关系映射表；然后通过接收端量子ip在路由关系映射表中查找到对应接收端的通信ip和唯一标识rid；其中，路由关系映射表含有每个量子安全设备的量子ip、通信ip和唯一标识rid，且每个量子安全设备的量子ip、通信ip和唯一标识rid三者进行关联匹配形成对应关系。3.根据权利要求2所述的一种量子安全设备数据通信方法，其特征在于：所述路由关系映射表存储在发送端的加解密模块中，且路由关系映射表按预设的时间进行更新。4.根据权利要求1所述的一种量子安全设备数据通信方法，其特征在于：所述将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值的具体过程为：发送端的加解密模块调用本地存储的哈希函数，然后将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号依次进行哈希计算，得到第一至第四哈希值；其中，哈希函数为基于线性移位寄存器的托普利兹哈希函数。5.根据权利要求1所述的一种量子安全设备数据通信方法，其特征在于：所述加解密模块和通信模块中均包括n个线程，所有线程按顺序依次进行标记编号。6.根据权利要求1所述的一种量子安全设备数据通信方法，其特征在于：所述发送端的加解密模块根据消息哈希值与本地的线程数生成流索引的过程包括：
发送端的加解密模块将消息哈希值与本地的线程数进行取余数操作，将得到的余数值标记为流索引。7.根据权利要求5所述的一种量子安全设备数据通信方法，其特征在于：所述发送端的加解密模块根据消息哈希值与本地的线程数生成流索引的过程包括：发送端的加解密模块调用流索引映射表，将消息哈希值在流索引映射表中进行查找，若查找到与消息哈希值对应的整数数值，则将整数数值标记为流索引；若查找不到与消息哈希值对应的整数数值，则在本地的线程数1到n之间随机生成一个整数数值，将生成的整数数值标记为流索引，同时将消息哈希值与生成的整数数值形成对应关系存储在流索引映射表中，且流索引映射表以消息哈希值作为索引。

技术总结
本发明公开了一种量子安全设备数据通信方法，方法包括发送端的隐私模块将生成的用户数据发送到发送端的加解密模块，发送端的加解密模块根据用户数据获取到用户数据对应的发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号，将发送端量子ip、发送端端口号、接收端量子ip以及接收端端口号这四个数据进行哈希计算得到第一至第四哈希值，再将第一至第四哈希值相互异或得到消息哈希值。本发明的量子安全设备在数据处理流程中，根据流索引从而选择发送的线程，使发送端给接收端同一应用端口发送的数据所用的线程是同一线程，保证发送端给接收端同一应用端口发送的数据在经量子安全设备加密后不会乱序发送，保证数据的顺序性。序性。序性。


技术研发人员：徐辉 杨鸽 冯俊 张仕峰 李亦 李超龙
受保护的技术使用者：矩阵时光数字科技有限公司
技术研发日：2023.04.24
技术公布日：2023/8/16