CN111224773A - 一种量子密钥管理设备 - Google Patents
一种量子密钥管理设备 Download PDFInfo
- Publication number
- CN111224773A CN111224773A CN201811418760.9A CN201811418760A CN111224773A CN 111224773 A CN111224773 A CN 111224773A CN 201811418760 A CN201811418760 A CN 201811418760A CN 111224773 A CN111224773 A CN 111224773A
- Authority
- CN
- China
- Prior art keywords
- fpga
- cpu
- ethernet frame
- quantum key
- key management
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/12—Applying verification of the received information
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1433—Vulnerability analysis
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L69/00—Network arrangements, protocols or services independent of the application payload and not provided for in the other groups of this subclass
- H04L69/30—Definitions, standards or architectural aspects of layered protocol stacks
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0819—Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2212/00—Encapsulation of packets
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Small-Scale Networks (AREA)
Abstract
本申请公开了一种量子密钥管理设备,包括硬盘、第一CPU和FPGA;硬盘用于存储量子密钥;第一CPU用于依据所述量子密钥生成向所述FPGA发送的第一数据流;FPGA用于对所述第一数据流进行合法性校验。通过本申请实施例,降低了不合法的第一数据流发向对端的概率,进而降低了量子密钥被窃取的概率。
Description
技术领域
本申请涉及量子密钥管理领域,特别是涉及一种量子密钥管理设备。
背景技术
量子密钥存储于硬盘,在CPU上安装有操作系统,操作系统运行量子密钥管理程序,量子密钥管理程序对量子密钥进行管理。量子密钥管理设备上具有网口,该量子密钥管理设备通过网口向对端(与该量子密钥管理设备通信的设备)发送第一数据流,以及接收对端发送的第二数据流。
因为硬盘中存储有量子密钥,因此,需要防止量子密钥被攻击者窃取。目前,通过加固操作系统软件和引入防火墙的方式,防止攻击者窃取量子密钥。
但是,加固操作系统的软件和防火墙软件存在安全漏洞的概率较高,使得量子密钥被窃取的概率较高。
发明内容
基于此,本申请提出了一种量子密钥管理设备,用以降低攻击者窃取量子密钥的概率。
本申请提供的技术方案为:
本申请公开了一种量子密钥管理设备,包括:硬盘、第一CPU和FPGA;
所述硬盘用于存储量子密钥;
所述第一CPU用于依据所述量子密钥生成向所述FPGA发送的第一数据流;
所述FPGA用于对所述第一数据流进行合法性校验。
其中,所述第一数据流为第一以太网帧;
所述FPGA用于对所述第一数据流进行合法性校验,包括:
所述FPGA具体用于获取待校验第一以太网帧;
对所述待校验第一以太网帧逐层解析以及对每层中的预设信息进行校验;
若对所述每层中的预设信息通过校验,将最后一层解析出的量子帧进行拼接,得到完整量子帧;
检测所述完整量子帧中的字段是否满足预设规则;
若所述完整量子帧中的字段满足所述预设规则,则确定所述待检验第一以太网帧合法。
其中,所述第一数据流为第一以太网帧;
所述第一CPU通过以下方式生成所述第一以太网帧:
所述第一CPU通过量子密钥管理程序生成量子帧;
所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧。
其中,还包括:第一收发器;所述第一收发器与所述第一CPU间通过网线连接;
所述第一收发器用于从所述第一CPU接收所述第一以太网帧;
所述第一收发器还用于将所述第一以太网帧发送到所述FPGA,以便所述FPGA对所述第一以太网帧进行合法性校验。
其中,所述第一数据流为第一以太网帧;所述第一CPU用于依据所述量子密钥生成向所述FPGA发送的第一数据流,包括:
所述第一CPU具体用于通过量子密钥管理程序生成业务数据,并将所述业务数据组装为所述量子帧;
通过调用操作系统接口向所述第一CPU中的TCP/IP协议栈发送所述量子帧;
通过所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧;
向所述FPGA发送所述第一以太网帧。
其中,所述第一CPU中预置有第一驱动程序;所述第一驱动程序运行实现网卡功能;
所述第一CPU还用于在通过所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧之后,通过所述TCP/IP协议栈将所述第一以太网帧发送给所述第一驱动程序;通过所述第一驱动程序重新整合所述第一以太网帧,得到量子帧;通过所述第一驱动程序对所述量子帧进行封装,得到封装后的第一以太网帧;通过所述第一驱动程序将所述封装后的第一以太网帧发送给所述FPGA。
其中,所述第一CPU与所述FPGA间通过总线连接。
其中,还包括:第二CPU;所述第二CPU与所述FPGA通过总线连接;所述第二CPU中预置有第二驱动程序和应用程序;所述第一数据流为第一以太网帧;
所述第二CPU控制所述第二驱动程序接收所述FPGA校验合法的第一以太网帧;
所述第二CPU控制所述第二驱动程序向所述应用程序发送所述FPGA校验合法的第一以太网帧;
所述第二CPU控制所述应用程序向所述对端,发送所述FPGA校验合法的第一以太网帧。
其中,所述总线包括:串口、网口或者PCIE。
其中,还包括:第二收发器;所述第一数据流为第一以太网帧;
所述第二收发器用于接收通过所述FPGA校验合法的第一以太网帧;
所述第二收发器还用于通过网线,向对端发送所述FPGA校验合法的第一以太网帧。
本申请还公开了一种量子密钥管理设备,包括:硬盘、第一CPU和FPGA;
所述硬盘用于存储量子密钥;
所述FPGA用于将对端发送的第二数据流进行合法性校验;
所述FPGA还用于将合法性校验后的第二数据流发送给所述第一CPU。
其中,所述第二数据流为第二以太网帧;
所述FPGA用于将对端发送的第二数据流进行合法性校验,包括:
所述FPGA具体用于获取待校验第二以太网帧;
依据所述待校验第二以太网帧中TCP协议中的序号,对所述待校验第二以太网帧进行排序,得到排序后的第二以太网帧;所述排序后的第二以太网帧的顺序与所述对端发送顺序相同;
对所述排序后的第二以太网帧逐层解析以及对每层中的预设信息进行校验;
若对所述每层中的预设信息通过校验,将最后一层解析出的量子帧进行拼接,得到完整量子帧;
检测所述完整量子帧中的字段是否满足预设规则;
若所述完整量子帧中的字段满足所述预设规则,则确定所述第二以太网帧合法。
其中,所述第一CPU中预置有第一驱动程序;所述第一驱动程序实现网卡功能;所述第二数据流为第二以太网帧;
所述FPGA还用于将合法性校验后的第二数据流发送给所述第一CPU,包括:
所述FPGA具体用于通过总线向所述第一驱动程序发送所述合法性校验后的第二以太网帧,使得通过所述第一驱动程序向应用层发送所述合法性校验后的第二以太网帧。
其中,还包括:第一收发器与第二收发器;所述第一收发器分别与所述第一CPU和所述FPGA相连,所述第二收发器分别与所述FPGA和网口相连;所述第二数据流为第二以太网帧;
所述第二收发器用于从所述网口上接收所述第二以太网帧;
所述第二收发器还用于将所述第二以太网帧发送给所述FPGA;
所述FPGA用于将对端发送的第二数据流进行合法性校验,包括:
所述FPGA具体用于对所述第二以太网帧进行合法性校验,得到校验后的第二以太网帧;
所述第一收发器用于向所述第一CPU发送所述合法性校验后的第二以太网帧。
其中,还包括:第二CPU;所述第二CPU与所述FPGA通过总线连接;所述第二数据流为第二以太网帧;
所述第二CPU从网口接收对端多次发送的多个第二以太网帧;
所述第二CPU对所述多个第二以太网帧进行排序,得到排序后的多个第二以太网帧;
所述第二CPU向所述FPGA发送所述排序后的多个第二以太网帧。
本申请的有益效果为:
现有技术中,量子密钥被窃取的概率高的原因为:一方面,用于防止量子密钥被窃取的软件程序依赖于操作系统,使得非法程序可以通过攻击操作系统获取到密钥;另一方面,在用于防止量子密钥被窃取的软件程序存在逻辑漏洞时,该软件程序有可能会执行非法程序的逻辑(即软件程序被非法程序攻破);在本申请实施例中,一方面,FPGA不依赖于操作系统,使得非法程序不可能绕过FPGA的校验而直接攻击操作系统;另一方面,即使FPGA中所烧写的用于防止量子密钥被窃取的程序存在逻辑漏洞,由于FPGA是由逻辑门阵列组成,具有一旦程序烧写完成后,不可能再执行其他程序的特性;使得即使非法程序可以攻击该FPGA中所烧写程序的漏洞,FPGA也不会执行非法程序的逻辑;从而,降低了不合法的第一数据流发向对端的概率,进而降低了量子密钥被窃取的概率。
附图说明
为了更清楚地说明本申请实施例或现有技术中的技术方案,下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本申请的实施例,对于本领域普通技术人员来讲,在不付出创造性劳动的前提下,还可以根据提供的附图获得其他的附图。
图1为本申请实施例中的一种量子密钥管理设备的结构示意图;
图2为本申请实施例中的又一种量子密钥管理设备的结构示意图;
图3为本申请实施例中的又一种量子密钥管理设备的结构示意图;
图4为本申请实施例中的又一种量子密钥管理设备的结构示意图;
图5为本申请实施例中的又一种量子密钥管理设备的结构示意图;
图6为本申请实施例中一种量子密钥管理设备的数据流程示意图;
图7为本申请实施例中又一种量子密钥管理设备的数据流程示意图;
图8为本申请实施例中又一种量子密钥管理设备的数据流程示意图;
图9为本申请实施例中又一种量子密钥管理设备的数据流程示意图;
图10为本申请实施例中又一种量子密钥管理设备的数据流程示意图。
具体实施方式
下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本申请一部分实施例,而不是全部的实施例。基于本申请中的实施例,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本申请保护的范围。
参考图1,示出了本申请实施例中的一种量子密钥管理设备的结构示意图,该量子密钥管理设备包括:硬盘、第一CPU、第一收发器、FPGA、第二收发器和网口。
其中,硬盘中存储有量子密钥;第一CPU中预置有操作系统,在操作系统中安装有量子密钥管理程序,该量子密钥管理程序用于进行业务处理;第一收发器用于在第一CPU与FPGA间传输以太网帧;第二收发器用于在FPGA与网口间传输以太网帧;FPGA用于对收发器所收发的以太网帧进行合法性校验。
需要说明的是,第一CPU与第一收发器之间通过网线连接,第二收发器与网口之间通过网线连接。
在本实施例中,将与该量子密钥管理设备进行通信的设备称为对端。具体的,量子密钥管理设备向对端发送信息的原理包括:
第一CPU中的量子密钥管理程序生成需要外发的业务数据,然后根据应用层协议将其组装成量子帧,其中,量子帧是本申请实施例定义的一种数据结构,属于应用层数据包。然后,调用应用层的socket接口,将量子帧发送给TCP/IP协议栈,TCP/IP协议栈对量子帧进行封装,将量子帧封装为以太网帧,最终由第一CPU上的网口向第一收发器发送。在实际应用中,当量子帧的长度较大时,TCP/IP协议栈会将其拆分到多个以太网帧中分别发送。
此时,向第一收发器发送的以太网帧属于链路层数据,由于FPGA不能直接接收链路层数据,因此,在本实施例中,通过第一收发器接收链路层上的以太网帧,并将所接收的以太网帧传输给FPGA。在实际应用中,第一收发器可以为PHY芯片,该PHY芯片连接在FPGA上。
FPGA对所接收到的以太网帧进行合法性校验,具体的,FPGA对以太网帧进行合法性校验的过程可以包括:对以太网帧进行逐层解析并校验。
具体的,以太网帧是链路层上的数据,在FPGA得到以太网帧后,对链路层上的MAC地址进行校验;若校验合格,依据以太网帧头中的字段获取到网络层中的IP包,并对网路层中的IP地址进行校验以及对承载的协议类型进行校验;若对网络层校验合格,则根据IP包头的字段获取到传输层的TCP包,并对传输层的端口以及TCP包的数据长度进行校验。(由于以太网帧默认的最大长度为1500字节,因此,在第一CPU操作系统中的TCP/IP协议栈将量子帧封装为以太网帧的过程中,可能将待封装的量子帧封装为多个以太网帧。因此,此处获取到的TCP包可能是多个)。
若对传输层校验合格,则从多个TCP包中解析出多个量子帧,并将多个量子帧拼接为一个完整量子帧,依据量子密钥管理程序使用的协议进行检查,得到完整量子帧中每个字段的信息;并将所得到的每个字段与预定规则进行比对,当所有规则都满足时,则确定该以太网帧是一个合法的以太网帧。
若FPGA确定以太网帧合法后,将合法的以太网帧通过第二收发器向网口发送。在本实施例中,第二收发器用于将FPGA校验合法的以太网帧通过网线,向网口发送;还用于接收网口发送的以太网帧,并将所接收的以太网帧传输给FPGA,使得FPGA对以太网帧进行合法性校验。
参考图2,示出了本申请实施例中又一种量子密钥管理设备的结构示意图,该量子密钥管理设备可以包括:硬盘、第一CPU、FPGA、第二收发器和网口。其中,与图1对应的实施例相比,本实施例相对于图1实施例,第一区别点为:本实施例中的第一CPU中预置有第一驱动程序,此时,第一CPU向FPGA发送以太网帧的过程,与图1中第一CPU向FPGA发送以太网帧的过程不同;第二区别点为:该实施例中的第一CPU与FPGA间通过总线连接。
具体的,在本实施例中,对于第一区别点,第一CPU中预置的第一驱动程序可以虚拟出一个网卡,此虚拟网卡可以设置IP地址和MAC地址;该第一驱动程序能够将从应用层接收到的以太网帧向FPGA发送。
针对第一区别点,第一CPU向FPGA发送以太网帧的原理为:
第一CPU中的量子密钥管理程序生成业务数据,并将业务数据依据应用层协议将其组装成量子帧,其中,量子帧是本申请实施例定义的一种数据结构,属于应用层数据包。然后,调用操作系统接口向操作系统中的TCP/IP协议栈发送该量子帧,使得TCP/IP协议栈将量子帧封装为以太网帧,并将以太网帧发送给第一驱动程序,使得第一驱动程序对该以太网帧进行重新整合;例如,将接收到的以太网帧层层解析,获取到量子帧,将一个量子帧封装到一个以太网帧中;并将整合后的以太网帧向FPGA发送。
由于第一驱动程序实现了对以太网帧的整合功能,即得到一个以太网帧中封装的是一个完整的量子帧,因此,在该实施例中,FPGA对接收到的以太网帧进行合法性校验的过程中,无需将解析出的量子帧拼接为一个完整的量子帧;FPGA的其他校验过程与图1对应的实施例中的FPGA的校验过程相同。
对于第二区别点,具体的,总线可以为网口、串口和PCIE等。
除了第一区别点与第二区别点外,本实施例与图1对应的实施例中的内容相同,对于相同之处可以参考图1中的具体内容,这里不再赘述。
参考图3,示出了本申请中又一种量子密钥管理设备的结构示意图,该量子密钥管理设备包括:硬盘、第一CPU、第一收发器、FPGA、第二CPU和网口。相比于图1,本实施例与图1对应的实施例的区别包括:第三区别点和第四区别点。其中,第三区别点为:本实施例中包括第二CPU,FPGA通过该第二CPU与网口相连;第四区别点为:FPGA与第二CPU间通过总线相连。
本实施例只对第三和第四区别点进行详细介绍,其他相同之处请参考图1中的对应内容,这里不再赘述。
对于第三区别点:第二CPU中预置有第二驱动程序和应用程序。具体的,向对端发送以太网帧时,第二驱动程序用于接收FPGA通过总线传输的以太网帧,应用程序用于接收第二驱动程序所发送的以太网帧,并将所接收的以太网帧通过Raw Socket技术直接发送到网口;从对端接收以太网帧时,第二CPU从网口接收对端发送的以太网帧,以及将以太网帧通过总线传输给FPGA。
对于第四区别点:第二CPU与FPGA间连接的总线,可以为串口、网口和PCIE等。
参考图4,示出了本申请实施例中又一种量子密钥管理设备的结构示意图,该量子密钥管理设备包括:硬盘、第一CPU、FPGA、第二CPU和网口。与图3对应的实施例相比,本实施例的量子密钥管理设备的区别点包括:第五区别点和第六区别点。
其中,第五区别点为:本实施例中的第一CPU中预置有第一驱动程序。第六区别点为:第一CPU和FPGA间直接通过总线连接。对于第五区别点与第六区别点的详细内容,可以参考图2对应的实施例中第一CPU,以及第一CPU与FPGA间的总线连接,这里不再赘述。
图5,示出了本申请中又一种量子密钥管理设备的结构示意图,该量子密钥管理设备包括:硬盘、第一CPU和FPGA;
其中,第一CPU用于依据硬盘中的量子密钥生成向FPGA发送的第一数据流;
硬盘和FPGA的功能与上述实施例提到的功能相同,这里不再赘述。
图6,示出了本申请中一种量子密钥管理设备的数据流程示意图,该数据流程示意图所对应的量子密钥管理设备如图1所示,这里不再赘述。
在本实施例中,量子密钥管理设备接收对端发送的以太网帧的流程包括:
对端发送的以太网帧经过量子密钥管理设备的网口,并通过网线传输到第二收发器,第二收发器将所接收的以太网帧传输给FPGA,如果FPGA接收到的以太网帧中承载的是TCP协议,则FPGA根据TCP协议中的序列号检查以太网帧的顺序;若以太网帧的顺序不是对端所发送以太网帧的顺序,FPGA按照TCP协议中的序列号对以太网帧排序,使得排序后的以太网帧的顺序是对端对以太网帧的发送顺序。
FPGA对排序后的以太网帧进行逐层解析与校验,对于具体的逐层解析与校验的过程,可以参考图1对应的实施例中,FPGA对以太网帧逐层解析与校验的过程,与之相同,这里不再赘述。FPGA合法性校验后的以太网帧发送给第一收发器,第一收发器通过网线将合法性校验后的以太网帧发送给第一CPU。
图7,示出了本申请中又一种量子密钥管理设备数据流程示意图,该数据流程示意图所对应的量子密钥管理设备示意图如图2所示,这里不再赘述。
与图6对应的实施例相比,本实施例相对于图6实施例,区别点为:本实施例中的第一CPU中预置有第一驱动程序,此时,FPGA向第一CPU发送合法性校验后的以太网帧的过程,与图6中FPGA向第一CPU发送以太网帧的过程不同。具体的,第一驱动程序能够从总线上接收来自FPGA的以太网帧,并可以将所接收到的以太网帧发送到应用层。
图8,示出了本申请中又一种量子密钥管理设备的数据流程示意图,该数据流程示意图所对应的量子密钥管理设备示意图如图4所示,这里不再赘述。在本实施例中,第二CPU中预置有第二驱动程序和应用程序。具体的,当第二CPU接收来自网口的以太网帧时,对同一个消息分多次发送的以太网帧进行排序(因为一个消息的以太网帧字节数超过了预设字节数量,对端将一个消息的量子帧封装成多个以太网帧发送,不同的以太网帧在网络上传输时,可能通过的路径不同,使得到达第二CPU的时间不同,可能出现次序错乱的现象),使得排序后的以太网帧为对端的发送顺序,节省了FPGA对多个顺序混乱的以太网帧的排序过程,进而使得FPGA更快速的对排序后的以太网帧进行逐层解析与校验,节省在FPGA上编写排序的程序的时间,减少对FPGA的开发成本。FPGA在接收到第二CPU中的应用程序发送的以太网帧后,对以太网帧进行合法性校验,并将合法性校验后的以太网帧通过总线发送给第一CPU。
图9,示出了本申请中又一种量子密钥管理设备的数据流程示意图,该数据流程示意图所对应的量子密钥管理设备示意图如图3所示,这里不再赘述。本实施例中,从网口到FPGA以太网帧的传输过程与图8对应的实施例中对应部分相同,这里不再赘述;从FPGA到第一CPU,合法校验后的以太网帧的传输过程与图6对应的实施例中的对应部分相同,这里不再赘述。
图10,示出了本申请中又一种量子密钥管理设备的数据流程示意图,该数据流程示意图所对应的量子密钥管理设备示意图如图5所示,这里不再赘述。在本实施例中,FPGA用于将对端发送的第二数据流进行合法性校验;FPGA还用于将合法性校验后的第二数据流发送给第一CPU。
本说明书中各个实施例采用递进的方式描述,每个实施例重点说明的都是与其它实施例的不同之处,各个实施例之间相同相似部分互相参见即可。在本文中,诸如“第一”和“第二”等之类的关系术语仅仅用来将一个实体或者操作与另一个实体或操作区分开来,而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。在文中的“包括”、“包含”等词语解释为包含的含义而不是排他或穷举的含义;也就是说,是“包含但不限于”的含义。在不脱离本发明构思的前提下,还可以做出变形、同等替换、改进等,这些都属于本发明的保护范围。
对所公开的实施例的上述说明,使本领域专业技术人员能够实现或使用本申请。对这些实施例的多种修改对本领域的专业技术人员来说将是显而易见的,本文中所定义的一般原理可以在不脱离本申请的精神或范围的情况下,在其它实施例中实现。因此,本申请将不会被限制于本文所示的这些实施例,而是要符合与本文所公开的原理和新颖特点相一致的最宽的范围。
Claims (15)
1.一种量子密钥管理设备,其特征在于,包括:硬盘、第一CPU和FPGA;
所述硬盘用于存储量子密钥;
所述第一CPU用于依据所述量子密钥生成向所述FPGA发送的第一数据流;
所述FPGA用于对所述第一数据流进行合法性校验。
2.根据权利要求1所述的量子密钥管理设备,其特征在于,所述第一数据流为第一以太网帧;
所述FPGA用于对所述第一数据流进行合法性校验,包括:
所述FPGA具体用于获取待校验第一以太网帧;
对所述待校验第一以太网帧逐层解析以及对每层中的预设信息进行校验;
若对所述每层中的预设信息通过校验,将最后一层解析出的量子帧进行拼接,得到完整量子帧;
检测所述完整量子帧中的字段是否满足预设规则;
若所述完整量子帧中的字段满足所述预设规则,则确定所述待检验第一以太网帧合法。
3.根据权利要求1所述的量子密钥管理设备,其特征在于,所述第一数据流为第一以太网帧;
所述第一CPU通过以下方式生成所述第一以太网帧:
所述第一CPU通过量子密钥管理程序生成量子帧;
所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧。
4.根据权利要求2或3所述的量子密钥管理设备,其特征在于,还包括:第一收发器;所述第一收发器与所述第一CPU间通过网线连接;
所述第一收发器用于从所述第一CPU接收所述第一以太网帧;
所述第一收发器还用于将所述第一以太网帧发送到所述FPGA,以便所述FPGA对所述第一以太网帧进行合法性校验。
5.根据权利要求1所述的量子密钥管理设备,其特征在于,所述第一数据流为第一以太网帧;所述第一CPU用于依据所述量子密钥生成向所述FPGA发送的第一数据流,包括:
所述第一CPU具体用于通过量子密钥管理程序生成业务数据,并将所述业务数据组装为所述量子帧;
通过调用操作系统接口向所述第一CPU中的TCP/IP协议栈发送所述量子帧;
通过所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧;
向所述FPGA发送所述第一以太网帧。
6.根据权利要求5所述的量子密钥管理设备,其特征在于,所述第一CPU中预置有第一驱动程序;所述第一驱动程序运行实现网卡功能;
所述第一CPU还用于在通过所述第一CPU的操作系统中的TCP/IP协议栈将所述量子帧封装为所述第一以太网帧之后,通过所述TCP/IP协议栈将所述第一以太网帧发送给所述第一驱动程序;通过所述第一驱动程序重新整合所述第一以太网帧,得到量子帧;通过所述第一驱动程序对所述量子帧进行封装,得到封装后的第一以太网帧;通过所述第一驱动程序将所述封装后的第一以太网帧发送给所述FPGA。
7.根据权利要求6所述的量子密钥管理设备,其特征在于,所述第一CPU与所述FPGA间通过总线连接。
8.根据权利要求1所述的量子密钥管理设备,其特征在于,还包括:第二CPU;所述第二CPU与所述FPGA通过总线连接;所述第二CPU中预置有第二驱动程序和应用程序;所述第一数据流为第一以太网帧;
所述第二CPU控制所述第二驱动程序接收所述FPGA校验合法的第一以太网帧;
所述第二CPU控制所述第二驱动程序向所述应用程序发送所述FPGA校验合法的第一以太网帧;
所述第二CPU控制所述应用程序向所述对端,发送所述FPGA校验合法的第一以太网帧。
9.根据权利要求7或8所述的量子密钥管理设备,其特征在于,所述总线包括:串口、网口或者PCIE。
10.根据权利要求1所述的量子密钥管理设备,其特征在于,还包括:第二收发器;所述第一数据流为第一以太网帧;
所述第二收发器用于接收通过所述FPGA校验合法的第一以太网帧;
所述第二收发器还用于通过网线,向对端发送所述FPGA校验合法的第一以太网帧。
11.一种量子密钥管理设备,其特征在于,包括:硬盘、第一CPU和FPGA;
所述硬盘用于存储量子密钥;
所述FPGA用于将对端发送的第二数据流进行合法性校验;
所述FPGA还用于将合法性校验后的第二数据流发送给所述第一CPU。
12.根据权利要求11所述的量子密钥管理设备,其特征在于,所述第二数据流为第二以太网帧;
所述FPGA用于将对端发送的第二数据流进行合法性校验,包括:
所述FPGA具体用于获取待校验第二以太网帧;
依据所述待校验第二以太网帧中TCP协议中的序号,对所述待校验第二以太网帧进行排序,得到排序后的第二以太网帧;所述排序后的第二以太网帧的顺序与所述对端发送顺序相同;
对所述排序后的第二以太网帧逐层解析以及对每层中的预设信息进行校验;
若对所述每层中的预设信息通过校验,将最后一层解析出的量子帧进行拼接,得到完整量子帧;
检测所述完整量子帧中的字段是否满足预设规则;
若所述完整量子帧中的字段满足所述预设规则,则确定所述第二以太网帧合法。
13.根据权利要求11所述的量子密钥管理设备,其特征在于,所述第一CPU中预置有第一驱动程序;所述第一驱动程序实现网卡功能;所述第二数据流为第二以太网帧;
所述FPGA还用于将合法性校验后的第二数据流发送给所述第一CPU,包括:
所述FPGA具体用于通过总线向所述第一驱动程序发送所述合法性校验后的第二以太网帧,使得通过所述第一驱动程序向应用层发送所述合法性校验后的第二以太网帧。
14.根据权利要求11所述的量子密钥管理设备,其特征在于,还包括:第一收发器与第二收发器;所述第一收发器分别与所述第一CPU和所述FPGA相连,所述第二收发器分别与所述FPGA和网口相连;所述第二数据流为第二以太网帧;
所述第二收发器用于从所述网口上接收所述第二以太网帧;
所述第二收发器还用于将所述第二以太网帧发送给所述FPGA;
所述FPGA用于将对端发送的第二数据流进行合法性校验,包括:
所述FPGA具体用于对所述第二以太网帧进行合法性校验,得到校验后的第二以太网帧;
所述第一收发器用于向所述第一CPU发送所述合法性校验后的第二以太网帧。
15.根据权利要求11所述的量子密钥管理设备,其特征在于,还包括:第二CPU;所述第二CPU与所述FPGA通过总线连接;所述第二数据流为第二以太网帧;
所述第二CPU从网口接收对端多次发送的多个第二以太网帧;
所述第二CPU对所述多个第二以太网帧进行排序,得到排序后的多个第二以太网帧;
所述第二CPU向所述FPGA发送所述排序后的多个第二以太网帧。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811418760.9A CN111224773B (zh) | 2018-11-26 | 2018-11-26 | 一种量子密钥管理设备 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201811418760.9A CN111224773B (zh) | 2018-11-26 | 2018-11-26 | 一种量子密钥管理设备 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN111224773A true CN111224773A (zh) | 2020-06-02 |
| CN111224773B CN111224773B (zh) | 2022-07-26 |
Family
ID=70827757
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201811418760.9A Active CN111224773B (zh) | 2018-11-26 | 2018-11-26 | 一种量子密钥管理设备 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN111224773B (zh) |
Cited By (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422126A (zh) * | 2021-12-31 | 2022-04-29 | 广东国腾量子科技有限公司 | 一种量子密钥管理软件模块的联调测试系统及方法 |
| CN114978950A (zh) * | 2022-06-02 | 2022-08-30 | 江苏新质信息科技有限公司 | 基于fpga、cpu协同的网络算法调用方法及系统 |
Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009141586A1 (en) * | 2008-05-19 | 2009-11-26 | Qinetiq Limited | Quantum key device |
| JP2009296195A (ja) * | 2008-06-04 | 2009-12-17 | Mitsubishi Electric Corp | 複数のcpuコアを備えたfpgaを用いた暗号装置 |
| CN103780438A (zh) * | 2013-12-31 | 2014-05-07 | 广东九博电子科技有限公司 | 一种基于fpga网管系统的网管帧发送方法 |
| CN104660462A (zh) * | 2015-01-15 | 2015-05-27 | 北京奥普维尔科技有限公司 | 一种万兆以太网测试设备的组包系统及方法 |
| CN106534168A (zh) * | 2016-12-06 | 2017-03-22 | 中国电子科技集团公司第三十二研究所 | 基于fpga的tcpip协议栈安全化处理系统 |
| CN106817223A (zh) * | 2017-01-11 | 2017-06-09 | 电子科技大学 | 一种基于SoPC的动态可配置密钥认证系统 |
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN107888337A (zh) * | 2017-11-07 | 2018-04-06 | 锐捷网络股份有限公司 | 一种fpga、fpga处理信息的方法、加速装置 |
| CN108462642A (zh) * | 2018-03-16 | 2018-08-28 | 西安电子科技大学 | 基于fpga的udp/ip硬件协议栈及实现方法 |
-
2018
- 2018-11-26 CN CN201811418760.9A patent/CN111224773B/zh active Active
Patent Citations (9)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| WO2009141586A1 (en) * | 2008-05-19 | 2009-11-26 | Qinetiq Limited | Quantum key device |
| JP2009296195A (ja) * | 2008-06-04 | 2009-12-17 | Mitsubishi Electric Corp | 複数のcpuコアを備えたfpgaを用いた暗号装置 |
| CN103780438A (zh) * | 2013-12-31 | 2014-05-07 | 广东九博电子科技有限公司 | 一种基于fpga网管系统的网管帧发送方法 |
| CN104660462A (zh) * | 2015-01-15 | 2015-05-27 | 北京奥普维尔科技有限公司 | 一种万兆以太网测试设备的组包系统及方法 |
| CN106534168A (zh) * | 2016-12-06 | 2017-03-22 | 中国电子科技集团公司第三十二研究所 | 基于fpga的tcpip协议栈安全化处理系统 |
| CN106817223A (zh) * | 2017-01-11 | 2017-06-09 | 电子科技大学 | 一种基于SoPC的动态可配置密钥认证系统 |
| CN107172072A (zh) * | 2017-06-09 | 2017-09-15 | 中国电子科技集团公司第四十研究所 | 一种基于FPGA的IPSec数据流高速处理系统及方法 |
| CN107888337A (zh) * | 2017-11-07 | 2018-04-06 | 锐捷网络股份有限公司 | 一种fpga、fpga处理信息的方法、加速装置 |
| CN108462642A (zh) * | 2018-03-16 | 2018-08-28 | 西安电子科技大学 | 基于fpga的udp/ip硬件协议栈及实现方法 |
Cited By (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN114422126A (zh) * | 2021-12-31 | 2022-04-29 | 广东国腾量子科技有限公司 | 一种量子密钥管理软件模块的联调测试系统及方法 |
| CN114422126B (zh) * | 2021-12-31 | 2023-11-28 | 广东国腾量子科技有限公司 | 一种量子密钥管理软件模块的联调测试系统及方法 |
| CN114978950A (zh) * | 2022-06-02 | 2022-08-30 | 江苏新质信息科技有限公司 | 基于fpga、cpu协同的网络算法调用方法及系统 |
| CN114978950B (zh) * | 2022-06-02 | 2023-10-27 | 江苏新质信息科技有限公司 | 基于fpga、cpu协同的网络算法调用方法及系统 |
Also Published As
| Publication number | Publication date |
|---|---|
| CN111224773B (zh) | 2022-07-26 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| US9065846B2 (en) | Analyzing data gathered through different protocols | |
| US8611342B2 (en) | Telecommunications apparatus and method, storage medium, and program | |
| EP3651437B1 (en) | Protecting a vehicle electronic system | |
| CN111628967B (zh) | 日志数据的传输方法、装置、计算机设备和存储介质 | |
| CN108965267B (zh) | 网络攻击处理方法、装置及车辆 | |
| US20160277358A1 (en) | Flow-Based Anti-Replay Checking | |
| King | Investigating and securing communications in the Controller Area Network (CAN) | |
| CN111224773B (zh) | 一种量子密钥管理设备 | |
| CN104994094A (zh) | 基于虚拟交换机的虚拟化平台安全防护方法、装置和系统 | |
| CN104424438A (zh) | 一种反病毒文件检测方法、装置及网络设备 | |
| CN111614731B (zh) | 物联网设备接入区块链方法、系统、聚合网关及存储介质 | |
| CN106656484B (zh) | 一种pci密码卡驱动系统及其实现方法 | |
| CN110474922B (zh) | 一种通信方法、pc系统及接入控制路由器 | |
| WO2021134418A1 (zh) | 一种数据校验方法及装置 | |
| CN105868982B (zh) | 一种改进的移动互联网支付系统及其控制方法 | |
| CN113438225A (zh) | 一种车载终端漏洞检测方法、系统、设备及存储介质 | |
| EP3692698A1 (en) | System and method for validation of authenticity of communication at in-vehicle networks | |
| CN110198202B (zh) | 一种afdx总线消息数据源的校验方法及装置 | |
| WO2020103420A1 (zh) | 一种数据传输方法、接收方法、装置及系统 | |
| CN117240603B (zh) | 数据传输方法、系统、装置、电子设备及存储介质 | |
| CN116961959A (zh) | 一种数据传输方法及网络隔离设备 | |
| CN106385417A (zh) | 一种计算设备及设备通信方法 | |
| Kumar et al. | Cybersecurity Vulnerabilities for Off-Board Commercial Vehicle Diagnostics | |
| Kim et al. | Routing Methods Considering Security and Real-Time of Vehicle Gateway System | |
| TWM580294U (zh) | 用於車輛之網路攻擊分析裝置 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| GR01 | Patent grant | ||
| GR01 | Patent grant |