一种量子安全的物联网系统的制作方法

1.本技术涉及信息安全技术领域，尤其涉及一种量子安全的物联网系统。


背景技术：

2.物联网系统是由相互连接的物理设备、传感器、软件和网络组成的网络系统。这些设备通过互联网进行通信和数据交换，使得物理世界与数字世界相互融合。物联网系统可以应用于各种领域，如智能家居、智能城市、工业自动化、医疗保健等。
3.物联网系统的安全性是一个重要的关注点，因为它涉及大量的设备和数据。为保护通信和数据的机密性、完整性和可用性，安全加密技术在物联网系统中起着关键作用。目前物联网系统的安全加密主要依赖于数据加密和安全通信协议。其中，数据加密技术是指数据在传输和存储过程中需要进行加密，以防止未经授权的访问和窃听，常用的加密算法包括aes(高级加密标准)和rsa(一种非对称加密算法)等；安全通信协议，是指利用tls(传输层安全协议)和dtls(基于数据报的传输层安全协议)等安全性较高的传输协议传输数据。
4.然而，随着计算机和算法的不断进步，一些传统加密算法，特别是那些依赖于大素数分解和离散对数的加密算法，可能会被高算力计算设备破解。因此目前采用传统数据加密方式的物联网系统，虽然在当前计算环境下可以提供一定程度的安全性，但在面对未来可能出现的强大计算能力的计算机设备时则可能会受到威胁。而量子加密技术能够较好的抵御高算力计算机设备的攻击，提供更高级别的保密性和安全性。为此如何在物联网系统中采用量子加密技术以提高现有物联网系统的安全性，成为本发明所要解决的技术问题。


技术实现要素：

5.本技术提供了一种量子安全的物联网系统，包括：客户端、量子安全模块和服务端；其中，所述客户端与所述服务端之间通过所述量子安全模块建立通信连接；所述量子安全模块，用于过滤来自客户端或服务端的通信数据，以得到物联网业务数据，再向所述客户端或服务端转发所述物联网业务数据，所述物联网业务数据包括数据明文和量子安全数据密文，所述量子安全模块还用于根据配置通过量子密钥加密所述数据明文得到量子安全数据密文，或者解密所述量子安全数据密文以得到数据明文。
6.上述方案中，进一步包括：物联网设备、量子安全系统和量子隐私计算机；
7.其中，当所述物联网设备作为客户端时，所述量子安全系统或量子隐私计算机作为服务端，所述物联网设备用于向所述量子安全系统或量子隐私计算机上报物联网业务数据；所述量子安全系统或量子隐私计算机用于接收来自物联网设备的物联网业务数据；
8.当所述量子安全系统或量子隐私计算机作为客户端时，所述物联网设备作为服务端，所述量子安全系统或量子隐私计算机用于向所述物联网设备请求物联网业务数据；所述物联网设备用于根据请求向所述量子安全系统或量子隐私计算机发送物联网业务数据。
9.上述方案中，所述量子安全系统包括密钥服务器、密钥中继服务器以及一个或多
个用户设备；其中，所述密钥服务器用于生成量子密钥组，以及向所述量子安全模块和密钥中继服务器分发所述生成的量子密钥组；
10.所述密钥中继服务器用于跟所述量子安全模块和所述用户设备通信，并根据来自量子安全模块或用户设备的认证信息确定所述量子安全模块或用户设备的身份是否合法，以及根据接收的量子密钥索引在其存储的量子密钥组中确定对应的量子密钥，再将该量子密钥发送至量子安全模块或用户设备；
11.所述用户设备用于获取并处理所述物联网业务数据。
12.上述方案中，所述量子安全系统还包括边界基站服务器，所述边界基站服务器用于接收加密所述物联网业务数据的量子密钥，以及将所述量子密钥转发至与其归属于同一局域网中的密钥中继服务器，或外网中的边界基站服务器。
13.上述方案中，所述量子隐私计算机包括隐私模块、加解密模块以及通信模块；所述隐私模块与所述加解密模块通信连接，用于发起物联网业务流程；所述加解密模块还与所述通信模块通信连接，用于在所述隐私模块与通信模块之间处理并转发物联网业务数据；所述通信模块用于跟量子安全模块通信连接，以传输物联网业务数据。
14.上述方案中，所述加解密模块还用于跟所述量子安全模块同步配置，所述配置包括加密规则和端口配置。
15.上述方案中，所述量子隐私计算机还包括过滤模块，所述隐私模块和通信模块分别与所述过滤模块通信连接，所述过滤模块与所述加解密模块通信连接，所述加解密模块经过所述过滤模块与所述隐私模块和通信模块进行通信，所述过滤模块用于过滤来自所述隐私模块或通信模块的内部传输数据。
16.上述方案中，所述量子安全模块包括隔离模块和量子加密模块，所述隔离模块具有第一通信接口和第二通信接口；
17.所述第一通信接口和第二通信接口用于收发所述客户端或服务端的通信数据；
18.所述隔离模块与所述量子加密模块通信连接，所述隔离模块用于根据过滤规则对接收到的通信数据进行过滤，以得到物联网业务数据，再将过滤得到的物联网业务数据转发至量子加密模块；所述量子加密模块用于根据加密规则对物联网业务数据执行量子加解密操作。
19.上述方案中，所述客户端与所述服务端之间通过固定ip地址进行通信，当所述客户端通过代理路由连接所述服务端时，所述客户端的ip地址为所述代理路由代理下的局域网ip地址。
20.上述方案中，所述代理路由包括4g代理路由、5g代理路由、wifi路由和有线代理路由。
21.本技术的有益效果如下：
22.本技术涉及的物联网系统在客户端与服务端之间通过量子安全模块建立通信连接；在该物联网系统中，量子安全模块一方面能够过滤来自客户端或服务端的通信数据，以得到符合规则的物联网业务数据，降低非法数据传输的风险；例如基于以太协议类型进行数据的过滤时，只有符合量子安全模块配置的协议类型的数据才允许通过；另一方面还可以对物联网业务数据进行量子加密和解密，为物联网系统提供更高级别的通信安全保护。
附图说明
23.为了更清楚地说明本技术实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本技术的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。
24.图1为本实施例中物联网设备主动直连模式的系统组网方式结构示意图；
25.图2为本实施例中物联网设备主动代理模式的系统组网方式结构示意图；
26.图3为本实施例中物联网设备被动直连模式的系统组网方式结构示意图；
27.图4为本实施例中物联网设备被动代理模式的系统组网方式结构示意图；
28.图5为本实施例中量子安全模块的结构示意图。
具体实施方式
29.为了使本技术的目的、技术方案和优点更加清楚，下面将结合附图对本技术作进一步地详细描述，显然，所描述的实施例仅仅是本技术一部分实施例，而不是全部的实施例。基于本技术中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本技术保护的范围。
30.实施例：一种量子安全的物联网系统，包括：客户端、量子安全模块和服务端；其中，所述客户端与所述服务端之间通过所述量子安全模块建立通信连接；所述量子安全模块，用于过滤来自客户端或服务端的通信数据，以得到物联网业务数据，再向所述客户端或服务端转发所述物联网业务数据，所述物联网业务数据包括数据明文和量子安全数据密文，所述量子安全模块还用于根据配置通过量子密钥加密所述数据明文得到量子安全数据密文，或者解密所述量子安全数据密文以得到数据明文；
31.在一种示例中，客户端和服务端包括：物联网设备、量子安全系统和量子隐私计算机；其中，物联网设备主要包括摄像头、传感器和工业机器人等物联网终端；量子隐私计算机为具有对通信数据进行量子加解密功能的一体机，例如笔记本形态的一体机；
32.所述量子安全模块包括隔离模块和量子加密模块；参见图5，隔离模块500包括fpga芯片、第一通信接口502和第二通信接口503，第一通信接口502和第二通信接口503采用以太网接口，两者均与fpga芯片501通信连接；所述第一通信接口502和第二通信接口503用于收发所述客户端或服务端的通信数据，通信数据主要包括物联网业务数据、信令数据和网络配置数据；
33.所述隔离模块500与所述量子加密模块600通信连接，所述隔离模块500用于根据过滤规则对接收到的通信数据进行过滤，以得到物联网业务数据，再将过滤得到的物联网业务数据转发至量子加密模块600；所述量子加密模块600用于根据加密规则对物联网业务数据执行量子加解密操作；
34.例如，物联网设备的通信数据经第一通信接口发送至fpga芯片501时，fpga芯片501基于配置的过滤规则对通信数据进行过滤，该过滤可以基于白名单规则，只有满足该规则的业务数据才允许通过；例如采用基于以太协议类型过滤规则时，可以过滤arp、dhcp、ipv4、ipv6四种协议中的一种或多种协议类型；其中，过滤规则具体在量子安全模块安装部署后再进行配置；
35.上述过滤时只有满足过滤规则的协议类型数据才能被转发至量子加密模块600，过滤得到的数据经过量子加密模块处理后再发送至第一通信接口502或第二通信接口503，由第一通信接口502或第二通信接口503发送至客户端或服务端，使得不合法数据难以在客户端和服务端之间传输；
36.量子加密模块600包括arm/x86处理芯片601、ram内存单元602和存储单元603，存储单元603可采用hdd、ssd或emmc，其用于存储预置的量子密钥文件，后续补充的量子密钥文件以及量子密钥模块工作所需的参数信息例如网络配置信息、接入认证信息、密钥补充配置信息；
37.量子加密模块600用于根据加密规则执行量子加解密操作；加解密操作时根据隔离模块500与所述量子加密模块600之间的端口配置执行量子加密或解密操作，若接收到的数据来自端口配置为加密端口的端口，则通过量子加密方式加密通过该端口接收到的数据，否则，对通过该端口接收到的数据不执行加密操作；从解密端口接收到加密数据时，则执行量子解密操作；量子加解密操作为通过量子密钥加密数据或利用量子密钥解密数据的操作；该量子密钥为量子真随机数，通过量子随机数生成器(qrng)生成；加密方式采用一次一密的方式，因此整体的安全性更高。
38.根据物联网设备的交互方式，下面举例来说明其可能的系统组网方式：
39.方式一：参见图1，物联网设备主动直连模式：
40.物联网设备100作为客户端，主动向服务端上报数据，服务端是量子安全系统300或量子隐私计算机400，量子安全模块200采用网线直连到互联网；物联网设备具有独立互联网固定ip，服务端具有独立互联网固定ip。
41.方式二：参见图2，物联网设备主动代理模式：
42.物联网设备100作为客户端，主动向服务端上报数据，服务端是量子安全系统300或量子隐私计算机400，量子安全模块200采用代理路由连接到互联网；客户端与所述服务端之间通过固定ip地址进行通信，所述客户端的ip地址为所述代理路由代理下的局域网ip地址。
43.其中，所述代理路由包括4g代理路由、5g代理路由、wifi路由和有线代理路由。
44.方式三：参见图3，物联网设备被动直连模式：
45.物联网设备100作为服务端，由量子安全系统300或量子隐私计算机400主动向物联网设备拉取数据，量子安全模块200采用网线直连到互联网。客户端与所述服务端之间通过固定ip地址进行通信。
46.方式四：参见图4，物联网设备被动代理模式：
47.物联网设备100作为服务端，由量子安全系统300或量子隐私计算机400主动向物联网设备拉取数据，量子安全模块200采用代理路由直连到互联网。客户端与所述服务端之间通过固定ip地址进行通信；客户端的ip地址为所述代理路由代理下的局域网ip地址，该代理路由包括4g代理路由、5g代理路由、wifi路由和有线代理路由。
48.上述方案中，当所述物联网设备作为客户端时，所述量子安全系统或量子隐私计算机作为服务端，所述物联网设备用于向所述量子安全系统或量子隐私计算机上报物联网业务数据；所述量子安全系统或量子隐私计算机用于接收来自物联网设备的物联网业务数据；
49.当所述量子安全系统或量子隐私计算机作为客户端时，所述物联网设备作为服务端，所述量子安全系统或量子隐私计算机用于向所述物联网设备请求物联网业务数据；所述物联网设备用于根据请求向所述量子安全系统或量子隐私计算机发送物联网业务数据。
50.量子安全系统主要包括密钥服务器、密钥中继服务器以及一个或多个用户设备；其中，所述密钥服务器为配置有量子随机数生成器的服务器，用于生成量子密钥组，以及向所述量子安全模块和密钥中继服务器分发所述生成的量子密钥组；所述用户设备用于获取并处理所述物联网业务数据；该用户设备可以是计算机设备，也可以是上述量子隐私计算机。
51.所述密钥中继服务器用于跟所述量子安全模块和所述用户设备通信，并根据来自量子安全模块或用户设备的认证信息确定所述量子安全模块或用户设备的身份是否合法，以及根据接收的量子密钥索引在其存储的量子密钥组中确定对应的量子密钥，再将该量子密钥发送至量子安全模块或用户设备；
52.所述量子安全系统还包括边界基站服务器，所述边界基站服务器用于接收加密所述物联网业务数据的量子密钥，以及将所述量子密钥转发至与其归属于同一局域网中的密钥中继服务器，或外网中的边界基站服务器。
53.在物联网设备、量子安全模块与量子安全系统组成的物联网系统中，密钥中继服务器下接入有一个或多个用户设备，以及量子安全模块，密钥中继服务器与量子安全模块在建立通信链接后，两者之间进行量子密钥的配对，双方均存储有相同的量子密钥组，后续用于加密物联网业务数据中的量子密钥从该量子密钥组中选取，两者之间的量子密钥组在使用完毕后，通过密钥服务器生成新的密钥组，并同步分发至量子安全模块和密钥中继服务器，以保障两者之间的加密通信；
54.以上述方式一为例，具体通信时，物联网设备主动向量子安全模块发送携带有物联网业务数据的通信数据，量子安全模块根据过滤规则对该通信数据进行过滤，以得到物联网业务数据，再将物联网业务数据转发至量子加密模块，若该物联网业务数据是经过端口配置为加密端口的端口发送至量子加密模块时，量子加密模块根据预置的量子密钥加密该物联网业务数据，加密方式为异或方式，得到物联网业务数据密文，同时生成用于加密的量子密钥的对应的索引，该索引用于指示量子密钥的位置信息；之后将物联网业务数据密文通过传统互联网转发至用户设备，再将索引信息通过量子安全模块的第二通信接口转发至密钥中继服务器；
55.密钥中继服务器根据接收的索引，在其与量子安全模块配对过的量子密钥组中匹配到对应的量子密钥，并将该匹配到的量子密钥转发至用户设备，以实现量子密钥的中继；
56.用户设备根据来自密钥中继服务器中继的量子密钥解密所述接收到的物联网业务数据密文，以执行相关物联网业务操作。
57.当用户设备为非本地局域网中的设备时，量子密钥的中继通过本地局域网内的边界基站服务器与外网中的边界基站服务器进行中继，具体中继时量子安全模块先将索引传输至本地局域网内的密钥中继服务器，本地局域网内的密钥中继服务器根据索引匹配本地量子密钥组，取出对应的量子密钥，再将取出的量子密钥转发至本地局域网内的边界基站服务器，本地局域网内的边界基站服务器根据配置的路由关系将接收到的量子密钥转发至对应的外网中的边界基站服务器，外网中的边界基站服务器接收到量子密钥后再转发至与
其归属于同一局域网内的密钥中继服务器，再由密钥中继服务器将量子密钥发送至接入在该密钥中继服务器下的用户端设备，以此实现量子密钥的中继；在本地局域网内的边界基站服务器与外网中的边界基站服务器之间传输量子密钥时，可以预先在两者之间分发同样的加密密钥，通过该加密密钥加密传输的量子密钥，当加密的量子密钥到达外网中的边界基站服务器后，再通过预置的加密密钥解密以得到量子密钥明文，从而避免两者之间进行明文传输，提升了密钥传输过程中的安全性。
58.上述量子安全系统中，物联网业务数据密文由传统互联网发送至用户设备，用于加密的量子密钥单独通过密钥中继服务器转发至用户设备，两者通过不同的路线进行传输，避免了密钥和密文数据的同时泄露，安全性更高；密钥中继服务器接入了一个或多个用户设备，能够实现多设备之间的通信，此外通过边界基站服务器还能够实现跨局域网之间的安全通信。
59.本实施例中，所述量子隐私计算机包括隐私模块、加解密模块以及通信模块；所述隐私模块与所述加解密模块通信连接，用于发起物联网业务流程；该隐私模块可以为独立的计算处理模块，例如x86或arm架构的通用计算处理设备，隐私模块中可以部署相关操作系统，并能够安装相关应用，以执行相关业务流程；
60.所述加解密模块还与所述通信模块通信连接，用于在所述隐私模块与通信模块之间处理并转发物联网业务数据；所述通信模块用于跟量子安全模块通信连接，以传输物联网业务数据；加解密模块也可以采用x86或arm架构的独立处理模块，用于物联网业务数据以及相关业务请求消息的加密和解密；通信模块为有线或无线网卡设备，用于对外通信；
61.具体通信过程中，通信模块与量子隐私计算机相连，物联网设备的通信数据经过量子安全模块过滤后，通过量子密钥加密形成物联网业务数据密文，再将物联网业务数据密文转发至量子隐私计算机的通信模块，由通信模块转发至加解密模块，通过量子隐私计算机的加解密模块解密物联网业务数据密文，得到物联网业务数据明文后，再发送至隐私模块，通过隐私模块处理接收到的物联网业务数据明文；量子安全模块与量子隐私计算机的加解密模块中均预置有相同的量子密钥组，以保证两者之间的保密通信，后续量子密钥组使用完毕后，可通过离线方式或接入相应的量子随机数生成器在线进行补充；量子安全模块在加密物联网业务数据时，也同步生成用于加密的量子密钥对应的索引，传输物联网业务数据密文时，也同步将对应的索引传输至量子隐私计算机，以使量子隐私计算机中的加解密模块根据接收的索引，确定对应的量子密钥，正确解密物联网业务数据密文；通过量子安全模块和量子隐私计算机中加解密模块的配合实现了物联网设备与量子隐私计算机之间的安全通信。
62.加解密模块还用于跟所述量子安全模块同步配置，所述配置包括加密规则和端口配置；例如在加解密模块和量子安全模块之前均启用同样的端口，并建立端口映射关系，在建立有端口映射关系的一组端口之间只传输一种数据流，避免混乱；在加解密模块与所述量子安全模块之间均配置同一种加密规则，以便于两者之间基于同一种规则进行加密和解密操作；
63.为了进一步提升数据在量子隐私计算机中各模块间传输时的安全性，所述量子隐私计算机还包括过滤模块，所述隐私模块和通信模块分别与所述过滤模块通信连接，所述过滤模块与所述加解密模块通信连接，所述加解密模块经过所述过滤模块与所述隐私模块
和通信模块进行通信，所述过滤模块用于过滤来自所述隐私模块或通信模块的内部传输数据；过滤规则可以采用黑白名单规则，过滤内容可以是安全性相对更高的传输协议数据，或者某些定制专属传输协议数据；通过在隐私模块、加解密模块和通信模块之间进一步增加过滤模块过滤掉一些安全性低的传输协议数据或者是一些不符合要求的非法数据，提高了数据在量子隐私计算机中各模块间传输时的安全性；上述过滤模块具体可以采用fpga模块，通过预置相关过滤规则，以实现数据的过滤。
64.显然，本领域的技术人员可以对本技术进行各种改动和变型而不脱离本技术的精神和范围。这样，倘若本技术的这些修改和变型属于本技术权利要求及其等同技术的范围之内，则本技术也意图包含这些改动和变型在内。

技术特征：
1.一种量子安全的物联网系统，其特征在于，包括：客户端、量子安全模块和服务端；其中，所述客户端与所述服务端之间通过所述量子安全模块建立通信连接；所述量子安全模块，用于过滤来自客户端或服务端的通信数据，以得到物联网业务数据，再向所述客户端或服务端转发所述物联网业务数据，所述物联网业务数据包括数据明文和量子安全数据密文，所述量子安全模块还用于根据配置通过量子密钥加密所述数据明文得到量子安全数据密文，或者解密所述量子安全数据密文以得到数据明文。2.根据权利要求1所述的物联网系统，其特征在于，进一步包括：物联网设备、量子安全系统和量子隐私计算机；其中，当所述物联网设备作为客户端时，所述量子安全系统或量子隐私计算机作为服务端，所述物联网设备用于向所述量子安全系统或量子隐私计算机上报物联网业务数据；所述量子安全系统或量子隐私计算机用于接收来自物联网设备的物联网业务数据；当所述量子安全系统或量子隐私计算机作为客户端时，所述物联网设备作为服务端，所述量子安全系统或量子隐私计算机用于向所述物联网设备请求物联网业务数据；所述物联网设备用于根据请求向所述量子安全系统或量子隐私计算机发送物联网业务数据。3.根据权利要求2所述的物联网系统，其特征在于，所述量子安全系统包括密钥服务器、密钥中继服务器以及一个或多个用户设备；其中，所述密钥服务器用于生成量子密钥组，以及向所述量子安全模块和密钥中继服务器分发所述生成的量子密钥组；所述密钥中继服务器用于跟所述量子安全模块和所述用户设备通信，并根据来自量子安全模块或用户设备的认证信息确定所述量子安全模块或用户设备的身份是否合法，以及根据接收的量子密钥索引在其存储的量子密钥组中确定对应的量子密钥，再将该量子密钥发送至量子安全模块或用户设备；所述用户设备用于获取并处理所述物联网业务数据。4.根据权利要求3所述的物联网系统，其特征在于，所述量子安全系统还包括边界基站服务器，所述边界基站服务器用于接收加密所述物联网业务数据的量子密钥，以及将所述量子密钥转发至与其归属于同一局域网中的密钥中继服务器，或外网中的边界基站服务器。5.根据权利要求2所述的物联网系统，其特征在于，所述量子隐私计算机包括隐私模块、加解密模块以及通信模块；所述隐私模块与所述加解密模块通信连接，用于发起物联网业务流程；所述加解密模块还与所述通信模块通信连接，用于在所述隐私模块与通信模块之间处理并转发物联网业务数据；所述通信模块用于跟量子安全模块通信连接，以传输物联网业务数据。6.根据权利要求5所述的物联网系统，其特征在于，所述加解密模块还用于跟所述量子安全模块同步配置，所述配置包括加密规则和端口配置。7.根据权利要求5所述的物联网系统，其特征在于，所述量子隐私计算机还包括过滤模块，所述隐私模块和通信模块分别与所述过滤模块通信连接，所述过滤模块与所述加解密模块通信连接，所述加解密模块经过所述过滤模块与所述隐私模块和通信模块进行通信，所述过滤模块用于过滤来自所述隐私模块或通信模块的内部传输数据。8.根据权利要求1-7中任一项所述的物联网系统，其特征在于，所述量子安全模块包括隔离模块和量子加密模块，所述隔离模块具有第一通信接口和第二通信接口；
所述第一通信接口和第二通信接口用于收发所述客户端或服务端的通信数据；所述隔离模块与所述量子加密模块通信连接，所述隔离模块用于根据过滤规则对接收到的通信数据进行过滤，以得到物联网业务数据，再将过滤得到的物联网业务数据转发至量子加密模块；所述量子加密模块用于根据加密规则对物联网业务数据执行量子加解密操作。9.根据权利要求1所述的物联网系统，其特征在于，所述客户端与所述服务端之间通过固定ip地址进行通信，当所述客户端通过代理路由连接所述服务端时，所述客户端的ip地址为所述代理路由代理下的局域网ip地址。10.根据权利要求9所述的物联网系统，其特征在于，所述代理路由包括4g代理路由、5g代理路由、wifi路由和有线代理路由。

技术总结
本申请公开了一种量子安全的物联网系统，该系统包括：客户端、量子安全模块和服务端，物联网系统的客户端与服务端之间通过量子安全模块建立通信连接；其中，量子安全模块用于过滤来自客户端或服务端的通信数据，以及执行量子加解密操作。在该物联网系统中，量子安全模块一方面能够过滤来自客户端或服务端的通信数据，以得到符合规则的物联网业务数据，降低非法数据传输的风险；例如基于以太协议类型进行数据的过滤时，只有符合量子安全模块配置的协议类型的数据才允许通过；另一方面还可以对物联网业务数据进行量子加密和解密，为物联网系统提供更高级别的通信安全保护。系统提供更高级别的通信安全保护。系统提供更高级别的通信安全保护。


技术研发人员：傅波海 黎爽
受保护的技术使用者：矩阵时光数字科技有限公司
技术研发日：2023.06.27
技术公布日：2023/9/7