量子加密安全网关

量子密钥分发（QKD）作为目前唯一被严格证明“信息论安全”的密钥交换技术，以“窃听即留痕、量扰即自毁”的物理特性，为通信双方构建起不可破译的密钥护城河，已成为各国竞相布局的战略制高点。与此同时，量子计算机的加速成熟，让 RSA、ECC 等非对称算法在 Shor 算法面前岌岌可危，传统密码学大厦随时可能崩塌。为抵御“后量子时代”的密钥崩塌风险，美、欧、日等密集发布 PQC（Post-Quantum Cryptography）抗量子/后量子标准化路线图，将可抵御量子攻击的新一代公钥算法视为数字世界的“最后一道防洪堤”。

面对双向夹击，公司依托深厚研发力量，率先实现 量子+抗量子的“双轨融合”，推出“量子密钥分发 + 抗量子算法 + 国密算法”一体化安全网关（简称量子安全网关）。该产品以量子密钥为根、PQC 算法为干，既解决传统网关 PKI 体系“算法被破即全网沦陷”的结构性缺陷，又填补了国内量子级安全通信装备的空白，为国家关键信息基础设施披上“量子铠甲”，在量子时代抢先筑起牢不可破的安全长城。

1.  量子密钥安全网关，全称为：基于量子随机数和量子密钥交换实现安全会话密钥分发的加密认证网关。量子密钥网关能够帮助用户建立一条专用的安全通讯隧道，底层基于国密数字证书与国密算法，构建PKI体系同时依托量子密钥交换服务建立专用的加密和认证通道，使得客户两个（或多个）机构之间的应用数据能够在这条通道进行安全、可靠、高效的传输。

   
   

   
   

   
   

   
   

   量子安全网关的工作原理如上图所示，核心服务系统遵循PKI公钥基础设施体系，通过使用国密证书与密钥（双证书模式）进行IPSec/SSL协议握手并完成标准国密协商过程。在此基础上，量子密钥服务器之间通过量子密钥通讯技术完成密钥的交换，并将量子密钥传入网关核心服务，注入到PKI模块中。接下来应用数据经由国密IPSEC/SSL安全通道进行传输时，数据加密模块将同时采用量子密钥对每一个数据包进行加密，最终实现国密PKI与量子加密的双重安全特性。
   

   
   

2. PQC 抗量子安全网关子系统，是在传统SSL高并发引擎与PQC算法框架之上，面向“量子威胁”与“国密合规”双重要求设计的新一代密钥交换与传输安全内核。其核心理念是：在经典 TLS 握手通道内，无缝植入符合 NIST PQC 标准化进程的抗量子公钥算法，使网关既能兼容现有生态，又可在量子计算时代继续保障“不可破译”的连接安全。

   
   

   
   

   系统以SSL引擎插件机制为底座，将 Kyber（密钥封装，又名ML-KEM）、Dilithium（数字签名，又名ML-DSA）、SPHINCS+（又名SLH-DSA）等已固化算法以 EVP 接口形式注入SSL 握手流程。当客户端首次发起 HTTPS 请求时，网关优先启用 X25519Kyber768 混合密钥交换：经典 X25519 负责前向兼容，Kyber768 负责抗量子机密性；同时以 Dilithium3 双证书路径完成身份认证，既满足现行 PKI 体系验证，又在量子环境下提供不可伪造签名。整个握手过程遵循 TLS 1.3 的 0-RTT 优化逻辑，时延增量 < 5 %，可支撑高性能 PQC 完整握手，性能损耗可忽略。

   通过“经典+量子”混合模式，子系统实现在用业务零改造、零中断迁移；配合国领自研的量子随机数模块，为每次会话注入物理熵源，进一步消除算法级后门风险。最终，PQC 抗量子安全网关子系统以芯片级加速、可插拔算法仓库、灰度发布三大特性，为国家关键基础设施提供面向未来 10～20 年的可持续量子安全能力。

   
   

产品特点：

1) 量子相关技术指标

- 支持QKD量子密钥分发接口对接

- 支持内置量子随机数硬件芯片/模块

- 支持 NIST PQC 标准化进程的抗量子算法：

a)ML-KEM（原 CRYSTALS-Kyber） FIPS 203标准

b)ML-DSA（原 CRYSTALS-Dilithium） FIPS 204标准

c)SLH-DSA（原 SPHINCS+）FIPS 205标准

- 支持如下PQC算法套件能力：

a)ML_KEM_512

b)ML_KEM_768

c)ML_KEM_1024

d)SecP256r1 & ML_KEM_768

e)X25519 & ML_KEM_768

f)SecP384r1 & ML_KEM_1024

2) 网络功能技术指标

- 中心网关或分支网关均支持单臂、双臂连接组网模式。

- 能够单独设置网关的管理和ICMP属性

- 支持静态、动态路由协议

- 支持NTP服务器

3) 负载均衡功能技术指标

- 支持七层负载均衡

- 支持四层负载均衡

- 支持多种轮询、IP哈希、最小连接、最小响应负载均衡算法。

- 支持加权

- 支持ICMP/TCP/UDP/HTTP状态/HTML关键字/HTML哈希等多种健康检查方法。

- 支持自定义UDP/TCP健康检查。

- 支持健康检查组合。

- 支持IP、Cookie、URL、Header、Body、SSL Session等多种会话保持方式。

- 支持服务重定向功能。

- 支持连接复用/缓存/压缩等功能。

- 支持HTTP错误重定向功能，支持自定义错误页面。

- 支持HTTP数据包表头编辑，插入、删除指定表头。

- 支持虚拟服务与主机的状态监控。

- 支持基于IP和服务的连接限制和速率限制。

- 支持多URL映射。

- 支持Host/IP/SSL算法转发。

4) IPSec/SSL技术指标

- 支持：SHA1/SHA256，

- 支持RSA1024/2048/4096算法

- 支持国密SM2、SM3、SM4算法

- IPSec协议支持国密GMT0022/0023标准，支持IKEv1、IKEv2

- SSL协议支持：SSL3.0/TLS1.0/TLS1.1/TLS1.2/TLS1.3

- 支持SSL算法配置

- 密钥协商支持预共享模式

- 支持单向/双向SSL认证（RSA与国密版）

- 支持一个地址端口上RSA与SM2自适应

- 支持LDAP/HTTP载CRL方式

- 支持自定义SSL错误页面

- 支持低于指定加密强度或者证书秘钥强度的告警或者重定向。

- 支持TCP的SSL交付与加速

- 支持 DTLS协议交付与加速

5) 高可用技术指标

- 支持冗余电源，支持热插拔。

- 支持主备、主主、集群模式组网。

- 支持多组热备。

- 支持优先级配置。

- 支持抢占和非抢占模式。

- 支持热备切换，可设定CPU、内存、储存、IP、服务等阈值

- 支持热备告警。

6) 设备管理技术指标

- 支持本地日志查看、远端syslog日志记录、SNMP功能。

- 支持NTP网络时钟同步功能。

- 支持实时监控报表、历史监控报表。

- 支持配置的备份及恢复功能。

- 支持多种方式登录设备功能。

- 支持多种版本升级方式。

- 支持统计数据表：接口统计/虚拟服务统计/后台服务统计

- 支持为管理员分配不同角色，规定用户操作权限

- 支持日志级别设置

- 支持自定义日志格式

- 支持设备间同步系统配置

- 支持管理员RADIUS认证与授权

- 支持Email、Syslog告警。

- 支持IP定位，可升级定位数据库。

- 能查看设备实时状态，可查从分钟级别到一个月的状态曲线。

7) 自主可控技术指标

- 可提供完全自主可控软硬件一体网关产品

- 完全自主知识产权量子安全网关软件系统

- 国密局认证通过的国产密码算法硬件加速模块

- 采用自主可控国产操作系统

- 支持国产CPU自主可控芯片

- 支持国产自主可控量子随机数芯片