CN115314386A

CN115314386A - 一种量子安全设备的固件升级系统

Info

Publication number: CN115314386A
Application number: CN202210941997.5A
Authority: CN
Inventors: 傅波海; 戴大海; 杨鸽; 赵呈洋; 付晓满
Original assignee: Matrix Time Digital Technology Co Ltd
Current assignee: Matrix Time Digital Technology Co Ltd
Priority date: 2022-08-08
Filing date: 2022-08-08
Publication date: 2022-11-08
Anticipated expiration: 2042-08-08
Also published as: CN115314386B

Abstract

本发明公开了一种量子安全设备的固件升级系统，用于量子安全设备内专用硬件的系统升级，所述系统包括第一通信模块、摆渡模块、第二通信模块及输入输出模块；所述第一通信模块与外部互联网通信，用于接收升级配置文件A并剥离其网络通信协议，以及将该升级配置文件A与预先配置的私有通信协议封装形成升级配置文件B；上述生成的升级配置文件B通过第二通信模块剥离网络通信协议后，破坏了以太网和IP的通信规范，使得外网的以太报文无法仿造渗入；同时结合升级配置文件的量子加密传输方式，对其难以进行破解，有效提高了量子安全设备中专用硬件升级的安全性、可靠性。

Description

一种量子安全设备的固件升级系统

技术领域

本发明涉及信息安全技术领域，具体涉及一种量子安全设备的固件升级系统。

背景技术

随着信息安全问题日益严峻，加密算法的重要性也凸显出来。经典密码体系如RSA算法等被破解的新闻层出不穷，特别是当面对量子计算的算力将指数级提升的情况下，量子计算机将会对由传统密码体系如公钥加密、签章(如RSA和椭圆曲线)等保护的信息安全构成致命的打击，而同样基于量子物理基本原理的量子保密技术则可以有效抵御这种攻击。

基于量子加密技术设计的全域量子安全设备，能够使信息在产生、传输和使用过程中都受到严格的保护而不被窃取、篡改，让信息产生时处于一个全方位保护的环境中，它使用无条件安全的量子加密技术对信息进行加密，信息在传输和使用时也都处于一个全方位保护的环境中。

量子安全设备内部通常设置了多种专用硬件，例如外设切换模块、电源管理模块、专用摄像头、键盘及鼠标等；这些专用硬件通常都包含相应的固件，专用硬件在后续使用中需要对其进行升级维护，如若在升级过程中存在非法的固件修改，则会给设备带来安全隐患，因此如何保障量子安全设备中专用硬件升级的安全性，阻止潜在的非法修改固件的可能性，成为亟待解决的问题。

发明内容

为解决上述问题，本发明公开了一种量子安全设备的固件升级系统。

本申请提供了一种量子安全设备的固件升级系统，用于量子安全设备内专用硬件的系统升级，所述系统包括第一通信模块、摆渡模块、第二通信模块及输入输出模块；

所述第一通信模块与外部互联网通信，用于接收升级配置文件A并剥离其网络通信协议，以及将该升级配置文件A与预先配置的私有通信协议封装形成升级配置文件B；

所述摆渡模块与第一通信模块及第二通信模块通过私有通信协议通信，用于接收第一通信模块发送的升级配置文件B，并将其传输至第二通信模块；

所述第二通信模块与输入输出模块通信，用于接收摆渡模块传输的升级配置文件B，并向输入输出模块发送升级配置文件B；

所述输入输出模块与至少一个专用硬件通信，用于传输升级配置文件B。

在一些可能的实施方式中，所述升级配置文件B为通过量子密钥加密的文件，所述系统还包括量子加解密模块，所述量子加解密模块用于获取所述升级配置文件B，并对其进行解密。

在一些可能的实施方式中，所述系统还包括版本管理服务器，所述版本管理服务器与第一通信模块通信，并用于生成哈希函数，以及利用所述哈希函数计算用于专用硬件升级的升级配置文件的哈希值A；还用于将所述升级配置文件及哈希值A通过量子密钥加密，以得到升级配置文件A，并向第一通信模块发送所述升级配置文件A；

所述第二通信模块还包括验证模块，所述验证模块用于获取所述哈希函数、解密后的升级配置文件B及哈希值A，并利用所述哈希函数计算解密后的升级配置文件B的哈希值B，以及验证所述哈希值A与所述哈希值B是否相同，若相同，则向输入输出模块发送升级配置文件，若不相同，则对升级配置文件进行拦截并对其进行删除操作。

在一些可能的实施方式中，所述第二通信模块还用于获取本地随机数s，并根据随机数s生成不可约多项式p(x)，以及通过摆渡模块向第一通信模块传输随机数s及不可约多项式p(x)；

所述第一通信模块还用于接收随机数s及不可约多项式p(x)，并向所述版本管理服务器发送随机数s及不可约多项式p(x)；所述版本管理服务器还用于接收所述随机数s及不可约多项式p(x)，并根据所述随机数s及不可约多项式p(x)生成所述哈希函数。

在一些可能的实施方式中，所述哈希函数采用基于线性反馈移位寄存器的托普利兹矩阵。

在一些可能的实施方式中，所述专用硬件包括摆渡模块、外设切换模块、电源管理模块、键盘及鼠标中的一种或多种。

在一些可能的实施方式中，所述量子安全设备包括密区模块和非密区模块，所述密区模块用于对待发送的数据进行量子加密，以形成加密数据，所述非密区模块用于接收加密数据，并向外部互联网发送加密数据。

相对于现有技术，本发明的有益效果为：本发明提供了量子安全设备中专用硬件的固件升级系统，固件升级时首先通过第一通信模块与外部互联网通信，在接收升级配置文件A后，剥离其网络通信协议，根据预先配置的私有传输协议，将该升级配置文件A与私有通信协议封装形成升级配置文件B，再通过摆渡模块将升级配置文件B传输至第二通信模块，最终由与第二通信模块相连的输入输出模块输出至专用硬件进行升级操作；上述生成的升级配置文件B通过第二通信模块剥离网络通信协议后，破坏了以太网和IP的通信规范，使得外网的以太报文无法仿造渗入；同时结合升级配置文件的量子加密传输方式，对其难以进行破解，有效提高了量子安全设备中专用硬件升级的安全性、可靠性。

附图说明

图1为本申请实施例中固件升级系统结构框图；

图2为本申请的实施例中量子安全设备的结构框图；

图3为本申请的实施例中专用硬件固件升级时的流程图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图本申请作进一步地详细描述，显然，所描述的实施例仅是本申请的一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

实施例：参见图1-3，一种量子安全设备的固件升级系统，用于量子安全设备内专用硬件500的系统升级，所述系统包括第一通信模块100、摆渡模块200、第二通信模块300及输入输出模块400；

所述第一通信模块100与外部互联网通信，用于接收升级配置文件A并剥离其网络通信协议，例如TCP/IP协议的剥离，以及将该升级配置文件A与预先配置的私有通信协议封装形成升级配置文件B；

所述摆渡模块200与第一通信模块100及第二通信模块300通过私有通信协议通信，用于接收第一通信模块100发送的升级配置文件B，并将其传输至第二通信模块300；由于该私有通信协议与现有的网络通信协议不同，上述生成的升级配置文件B通过第一通信模块100剥离网络通信协议后，破坏了以太网和IP的通信规范，使得外网的以太报文无法仿造渗入；

所述第二通信模块300与输入输出模块400通信，用于接收摆渡模块200传输的升级配置文件B，并向输入输出模块400发送升级配置文件B；

所述输入输出模块400与至少一个专用硬件500通信，用于传输升级配置文件B。

本实施例中，输入输出模块400与多个专用硬件500连接，第二通信模块300分别与摆渡模块200及输入输出模块400连接，摆渡模块200还与第一通信模块100连接，第一通信模块100与外部互联网连接通信；其中，第二通信模块300不与外部互联网直接连接，而是通过内部的摆渡模块200进行中转，为升级配置文件的传输提供了一个独立的软硬件运行环境，通过一个可接入互联网的第一通信模块100与外界进行通信，将接收的升级配置文件通过摆渡模块200摆渡到内部，然后在第二通信模块300内部进行处理；即相当于在一个隔离区域内进行升级配置文件的处理，该隔离区域保证了数据的安全性；

上述输入输出模块400可以是移动产业处理器接口(mobile industry processorinterface，MIPI)模块、通用输入输出(general-purposeinput/output，GPIO)接口模块、通用串行总线接口模块等；通过输入输出模块400输出升级配置文件至设备内的专用硬件500，对专用硬件500的固件进行升级操作；

摆渡模块200为私有协议接口模块，例如自定义串口通信协议(SPCP)接口模块等，具体可通过写入有私有协议的FPGA硬件实现；

专用硬件500可以是量子安全设备中的摆渡模块200、外设切换模块、电源管理模块、键盘、鼠标等专门为设备定制的硬件；

本系统中的摆渡模块200也是具备固件的，因此后续使用中，也可以对其进行升级；

外设切换模块可以为用于切换外设的KVM模块；

电源管理模块可以是硬件开关，用户能够通过控制量子安全设备上的硬件开关，实现对该量子安全设备内至少一个模块的被供电状态；

键盘及鼠标专用硬件500，可以是通过内部直连的方式直接连接设备内部的IO接口，而不是通过通用的USB接口进行可插拔的连接，以避免在使用中通过USB接口连接了不安全的外设可能带来的风险；

通过输入输出模块400管理上述多个专用硬件500的升级配置，使得升级操作变得更加便利。

上述过程中第一通信模块100与第二通信模块300之间，通过摆渡模块200进行隔离，将与外界进行通信的功能全部交第一通信模块100进行代理，整个设备只有第一通信模块100具有连接外界网络的能力和接通外部存储的能力，第一通信模块100完成所有的与外界的网络通信和存储接入，通信的内容可以为第二通信模块300内的量子加密数据等，一种情形下是本地第二通信模块300的量子加密数据经由业务代理发往网络上的其他量子安全设备，另一种情形下是接收网络上的其它设备发出的加密数据，经由摆渡模块200这一专用逻辑硬件的中转，传输进第二通信模块300；数据在从第二通信模块300到第一通信模块100或者从第一通信模块100到第二通信模块300可以在摆渡模块200进行相应的数据安全校验合法后进行安全摆渡，以保证穿越系统的数据都是安全、可靠、合法的。

为了进一步提高升级配置文件B在传输过程中的安全性，本实施例的所述升级配置文件B为通过量子密钥加密的文件，所述系统还包括量子加解密模块301，所述量子加解密模块301用于获取所述升级配置文件B，并对其进行解密；量子加解密模块301的硬件结构及加解密方式可以使用现有模块装置实现；例如中国专利申请号为CN201020537240.2的专利文件提供的一种基于量子密钥的网络加密机；

量子加解密模块301一方面可用于对收到的数据进行解密，另一方面还可用于对待发送至外网设备的数据进行加密，并将加密后的数据发送至摆渡模块200，其中数据包括业务数据、用户数据、密钥数据、信令数据等；本实施例中主要用于解密升级配置文件B。

本实施例的系统还包括版本管理服务器600，所述版本管理服务器600与第一通信模块100通信，并用于生成哈希函数，以及利用所述哈希函数计算用于专用硬件500升级的升级配置文件的哈希值A；还用于将所述升级配置文件及哈希值A通过量子密钥加密，以得到升级配置文件A，并向第一通信模块100发送所述升级配置文件A；

此外所述第二通信模块300还用于获取本地随机数s，并根据随机数s生成不可约多项式p(x)，以及通过摆渡模块200向第一通信模块100传输随机数s及不可约多项式p(x)，所述第一通信模块100还用于接收随机数s及不可约多项式p(x)，并向所述版本管理服务器600发送随机数s及不可约多项式p(x)；

所述版本管理服务器600还用于接收所述随机数s及不可约多项式p(x)，并根据所述随机数s及不可约多项式p(x)生成哈希函数；即版本管理服务器600对升级配置文件的哈希处理所利用的哈希函数，是根据量子安全设备内第二通信模块300提供的随机数s和不可约多项式p(x)得到的，在未请求升级时外部无法预先知晓；

所述第二通信模块300还包括验证模块302，所述验证模块302用于获取所述哈希函数、解密后的升级配置文件B及哈希值A，并利用所述哈希函数计算解密后的升级配置文件B的哈希值B，以及验证所述哈希值A与所述哈希值B是否相同，若相同，则向输入输出模块400发送升级配置文件，若不相同，则对升级配置文件进行拦截并对其进行删除操作；

所述哈希函数优先采用基于线性反馈移位寄存器的托普利兹矩阵；具体可参考如下流程：第二通信模块300从其本地的真随机数发生器(TRNG)选择一组n位随机数s，依次用n位随机数的每一位对应多项式中除最高项以外每一项的系数，生成一个GF(2)域中的n阶多项式，最高项的系数为1；例如，随机数s为(a_n-1，a_n-2，...，a₁，a₀)，则生成的多项式为：p(x)＝xⁿ+a_n-1x^n-1+…+a₁x+a₀；具体进行升级操作时，第二通信模块300及版本管理服务器600均根据随机数s及不可约多项式p(x)将n阶不可约多项式p(x)和作为输入随机数的s生成基于线性反馈移位寄存器的哈希函数；具体也可以参照专利申请号为CN202111360637.8的专利文本中提供的一种认证加密方法中提到的哈希函数的生成和运算的具体过程；

上述量子安全设备包括一密区模块和一非密区模块，所述密区模块用于对待发送的数据进行量子加密，以形成加密数据，所述非密区模块用于接收加密数据，并向外部互联网发送加密数据，通过密区和非密区的配合实现了数据的加密传输，其中，非密区与密区之间可以通过数据摆渡模块200建立连接，非密区具有外部通信接口，非密区用于接收或发送数据；密区和非密区可以为逻辑层面的划分，也可以是物理硬件层面的划分，密区用于存储敏感业务数据，其不与外网直连，只与非密区通信连接，外部数据需要进入密区时，通过数据摆渡模块200将其传输到密区进行交互。

如图3中流程图所示，专用硬件500的固件升级时，在向版本管理服务器600请求版本后具体执行如下操作流程：

S100：第二通信模块300从本地获取随机数s，生成不可约多项式p(x)；并将p(x)及随机数s发送至摆渡模块200；

S101：摆渡模块200将p(x)及随机数s传输至第一通信模块100，由第一通信模块100发送至版本管理服务器600；

S102：版本管理服务器600接收p(x)及随机数s，根据所述随机数s及不可约多项式p(x)生成哈希函数h，并计算待升级配置文件的哈希值A；以及加密升级配置文件及哈希值A，得到升级配置文件A；并向第一通信模块100发送升级配置文件A；

S103：第一通信模块100接收升级配置文件A，剥离其网络通信协议，并与私有协议封装形成升级配置文件B，再向摆渡模块200发送升级配置文件B；

S104：摆渡模块200接收升级配置文件B，并将其传输至第二通信模块300；

S105：第二通信模块300接收升级配置文件B后，通过量子加解密模块301，对升级配置文件B进行解密，得到升级配置文件及哈希值A；

通过验证模块302，利用哈希函数h计算升级配置文件的哈希值B，验证接收到的哈希值A与哈希值B是否相同，若相同，则发送升级配置文件至输入输出模块400，若不相同，则对升级配置文件进行拦截并对其进行删除操作；

S106：输入输出模块400输出升级配置文件至对应的专用硬件500，进行最终升级操作；其中升级配置文件包括硬件信息、版本信息及固件代码等。

上述方式中，不可约多项式p(x)及随机数s由量子安全设备在向版本管理服务器600请求版本升级时提供，即用于计算升级配置文件的哈希函数外部无法预先知晓，也就难以在升级配置文件传输的过程中对升级配置文件进行篡改，任何对升级配置文件的篡改，在后续量子安全设备的校验中都能够通过计算验证哈希值及时发现，从而能够保证升级配置文件的一致性；同时升级配置文件和哈希值通过量子密钥进行传输，难以对其进行破解；两者的结合有效提高了量子安全设备中专用硬件500升级的安全性、可靠性。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims

1.一种量子安全设备的固件升级系统，用于量子安全设备内专用硬件的系统升级，其特征在于：所述系统包括第一通信模块、摆渡模块、第二通信模块及输入输出模块；

2.根据权利要求1所述的一种量子安全设备的固件升级系统，其特征在于：所述升级配置文件B为通过量子密钥加密的文件，所述系统还包括量子加解密模块，所述量子加解密模块用于获取所述升级配置文件B，并对其进行解密。

3.根据权利要求2所述的一种量子安全设备的固件升级系统，其特征在于：所述系统还包括版本管理服务器，所述版本管理服务器与第一通信模块通信，用于生成哈希函数，以及利用所述哈希函数计算用于专用硬件升级的升级配置文件的哈希值A；还用于将所述升级配置文件及哈希值A通过量子密钥加密，以得到升级配置文件A，并向第一通信模块发送所述升级配置文件A；

4.根据权利要求3所述的一种量子安全设备的固件升级系统，其特征在于：所述第二通信模块还用于获取本地随机数s，并根据随机数s生成不可约多项式p(x)，以及通过摆渡模块向第一通信模块传输随机数s及不可约多项式p(x)；

所述第一通信模块还用于接收随机数s及不可约多项式p(x)，并向所述版本管理服务器发送随机数s及不可约多项式p(x)；

所述版本管理服务器还用于接收所述随机数s及不可约多项式p(x)，并根据所述随机数s及不可约多项式p(x)生成所述哈希函数。

5.根据权利要求4所述的一种量子安全设备的固件升级系统，其特征在于：所述哈希函数采用基于线性反馈移位寄存器的托普利兹矩阵。

6.根据权利要求1所述的一种量子安全设备的固件升级系统，其特征在于：所述专用硬件包括摆渡模块、外设切换模块、电源管理模块、键盘及鼠标中的一种或多种。

7.根据权利要求1-6任一项所述的一种量子安全设备的固件升级系统，其特征在于：所述量子安全设备包括密区模块和非密区模块，所述密区模块用于对待发送的数据进行量子加密，以形成加密数据，所述非密区模块用于接收加密数据，并向外部互联网发送加密数据。