CN220475843U

CN220475843U - 一种大型活动中的活动区域安全管理系统

Info

Publication number: CN220475843U
Application number: CN202321298157.8U
Authority: CN
Inventors: 陈杰; 李冰; 任中明; 杨森; 李霞
Original assignee: Zhejiang Shenzhou Quantum Communication Technology Co ltd
Current assignee: Zhejiang Shenzhou Quantum Communication Technology Co ltd
Priority date: 2023-05-26
Filing date: 2023-05-26
Publication date: 2024-02-09
Anticipated expiration: 2033-05-26

Abstract

本实用新型提供了一种大型活动中的活动区域安全管理系统，包括经典通信网络、量子通信网络、量子安全服务平台和视频会议系统，每所述视频会议终端配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥，量子安全服务平台用于处理所述量子通信网络和视频会议系统间、以及所述视频会议系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述视频会议系统提供量子认证、授权和数据加解密中的一种或多种服务，通过所述量子安全服务平台中的量子安全服务移动引擎处理所述移动视频会议终端和所述量子通信网络间的通信、所述移动视频会议终端在所述视频会议系统内的通信。为视频通信提供了安全保障。

Description

一种大型活动中的活动区域安全管理系统

技术领域

本实用新型属于网络技术领域，尤其是涉及一种将量子通信网络和经典通信网络的相融合的网络结构，该网络结构形成一种大型活动中的活动区域安全管理系统。

背景技术

本部分所提供的与本实用新型相关的背景信息，可能并非都是现有技术，可能存在不构成现有技术的内容。

大型活动，如大型体育赛事，大型专业或综合会展等。

大型活动中涉及的活动区域远不止一个，各活动区域通常需要由组织者进行安全方面的维护。

为了能及时就安全事项进行沟通、协调，需要及时召开视频会议。为此需要在各活动区域安装一个视频会议系统。而视频会议系统目前主要是建立在经典(通信)网络上，在数字身份认证、数据传输等方面都存在一些安全隐患。

实用新型内容

本实用新型的目的在于提出一种安全管理系统，为量子通信技术与经典通信网络的融合的一个应用，为解决视频会议系统目前所可能面临的安全隐患问题成为可能。

基于上述目的，本实用新型提出一种大型活动中的活动区域安全管理系统，包括：

经典通信网络，包括设于每所述活动区域的至少一经典通信网络节点、以及用于连接所述经典通信网络节点的经典信道；

量子通信网络，每所述活动区域设置至少一量子通信网络节点，每所述量子通信网络节点包括量子密钥管理装置、量子密钥生成装置，所述量子密钥管理装置用于控制所述量子密钥生成装置，且存储所述量子密钥生成装置所生成的密钥，处于连接状态的两所述量子通信网络节点之间设有量子信道；

业务应用系统，包括指视频会议系统，所述视频会议系统包括视频会议云服务平台和设于至少一所述活动区域的至少一视频会议终端；所述视频会议终端包括设置位置相对固定的固定视频会议终端、可移动的移动视频会议终端中的一种或多种；在进行一所述视频会议时，所有参与该视频会议的所述视频会议终端网络连通于一所述视频会议云服务平台；以及

量子安全服务平台，用于处理所述量子通信网络和视频会议系统间、以及所述视频会议系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述视频会议系统提供量子认证、授权和数据加解密中的一种或多种服务，还包括量子安全服务移动引擎；

其中，所述量子密钥生成装置在生成所述密钥的过程中通过所述经典通信网络进行经典信息的比对；

其中，每所述视频会议终端配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥；

其中，在所述视频会议终端包括移动视频会议终端时，通过所述量子安全服务平台中的量子安全服务移动引擎处理所述移动视频会议终端和所述量子通信网络间的通信、所述移动视频会议终端在所述视频会议系统内的通信。

在一个实施例中，所述离线式量子安全存储介质包括配置于所述固定视频会议终端的量子安全盾，和/或配置于所述移动视频会议终端的量子安全卡、量子安全芯片中的一种或多种。

在一个实施例中，所述量子通信网络与所述业务应用系统之间设有量子密钥充注机，用于对与其连接的所述业务应用系统中的所述终端上的离线式量子安全存储介质注入量子密钥。

在一个实施例中，所述业务应用系统还包括指挥调度系统，该指挥调度系统包括：

作为指挥调度中心的指挥调度服务端；以及

指挥调度终端，设于至少一所述活动区域，所述指挥调度终端包括设置位置相对固定的固定指挥调度终端、可移动的移动指挥调度终端中的一种或多种；

其中，每所述指挥调度终端配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥，所述离线式量子安全存储介质包括配置于所述固定指挥调度终端的量子安全盾，和/或配置于所述移动指挥调度终端的量子安全卡、量子安全芯片中的一种或多种；

其中，所述量子安全服务平台还用于处理所述量子通信网络和所述指挥调度系统间、以及所述指挥调度系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述指挥调度系统实现量子认证、授权和数据加解密中的一种或多种服务；在所述指挥调度终端包括移动指挥调度终端时，通过所述量子安全服务平台中的量子安全服务移动引擎处理所述移动指挥调度终端和所述量子通信网络间的通信、所述移动指挥调度终端在所述指挥调度系统内的通信。

在一个实施例中，所述业务应用系统还包括对讲系统，该对讲系统包括：

语音对话终端，设于至少一所述活动区域，包括设置位置相对固定的固定语音对话终端、可移动的移动语音对话终端中的一种或多种；

其中，每所述语音对话终端为数字电子设备时，配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥，所述离线式量子安全存储介质包括配置于所述固定语音对话终端的量子安全盾，和/或配置于所述移动语音对话终端的量子安全卡、量子安全芯片中的一种或多种；

其中，所述量子安全服务平台还用于处理所述量子通信网络和所述对讲系统间、以及所述对讲系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述对讲系统实现量子认证、授权和数据加解密中的一种或多种服务；在所述语音对话终端包括移动语音对话终端时，通过所述量子安全服务移动引擎处理该移动语音对话终端和所述量子通信网络间的通信、以及该移动语音对话终端在所述对讲系统内的通信。

在一个实施例中，在所述语音对话终端为模拟电子设备时，该语音对话终端需通过数模转换设备与该对讲系统内的为数字电子设备的所述语音对话终端通信，该数模转换设备上配有至少一所述离线式量子安全存储介质。

在一个实施例中，所述业务应用系统还包括定位系统，该定位系统包括：

定位基站，设于至少一所述活动区域；

定位终端，设于所需定位的定位对象上，在所述定位终端位于所述定位基站所覆盖的区域内时，可通过所述定位基站与下述定位服务端通信，包括设置位置相对固定的固定定位终端、可移动的移动定位终端中的一种或多种；以及

定位服务端，用于通过所述定位基站获取来自所述定位终端的原始数据、位置解算与坐标输出；

其中，每所述定位终端配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥，所述离线式量子安全存储介质包括配置于所述固定定位终端的量子安全盾，和/或配置于所述移动定位终端的量子安全卡、量子安全芯片中的一种或多种；

其中，所述量子安全服务平台还用于处理所述量子通信网络和所述定位系统间、以及所述定位系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述定位系统实现量子认证、授权和数据加解密中的一种或多种服务；在所述定位系统包括移动定位终端时，通过所述量子安全服务移动引擎处理该移动定位终端和所述量子通信网络间的通信、以及该移动定位终端在所述定位系统内的通信。

在一个实施例中，所述业务应用系统还包括监控系统，该监控系统包括：

监控终端，设于至少一所述活动区域，包括设置位置相对固定的固定监控终端、可移动的移动监控终端中的一种或多种；以及

监控服务端，用于获取来自所述监控终端的原始数据；

其中，每所述监控终端配有至少一离线式量子安全存储介质，所述离线式量子安全存储介质用于存储量子密钥，所述离线式量子安全存储介质包括配置于所述固定监控终端的量子安全盾，和/或配置于所述移动监控终端的量子安全卡、量子安全芯片中的一种或多种；

其中，所述量子安全服务平台还用于处理所述量子通信网络和所述监控系统间、以及所述监控系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述监控系统实现量子认证、授权和数据加解密中的一种或多种服务；在所述监控终端包括该移动监控终端时，通过所述量子安全服务移动引擎处理该可移动的监控终端和所述量子通信网络间的通信、以及该可移动的所述监控终端在所述监控系统内的通信。

在一个实施例中，所述业务应用系统还包括身份核验系统，该身份核验系统包括：

身份核验终端，设于至少一所述活动区域，用于对待核验对象进行身份核验；以及

身份核验服务端，用于获取来自所述身份核验终端的原始数据、向待核验对象输出用于核验的量子安全数字认证码；

其中，所述量子安全服务平台还用于处理所述量子通信网络和所述身份核验系统间、以及所述身份核验系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述身份核验系统实现量子认证、授权和数据加解密中的一种或多种服务；在所述身份核验终端为可移动时，通过所述量子安全服务移动引擎处理该可移动的身份核验终端和所述量子通信网络间的通信、以及该可移动的所述身份核验终端在所述身份核验系统内的通信。

在一个实施例中，所述量子通信网络还包括量子集控站、量子分时复用设备，通过该量子集控站、量子分时复用设备，使所述量子通信网络实现星型组网。

本实用新型附加的方面和优点将在下面的描述中给出，部分将从下面的描述中变得明显，或通过本实用新型的实践了解到。

附图说明

为了更清楚地说明本实用新型实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本实用新型的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为根据本实用新型一个实方式中的视频会议系统的方案部署示示意图。

图2为根据本实用新型一个实方式中的指挥调度系的方案部署示示意图。

图3A为根据本实用新型一个实方式中的对讲系统的方案部署示示意图图。

图3B为根据本实用新型一个实方式中的对讲系统的方案部署示示意图。

图4A为根据本实用新型一个实方式中的定位系统的方案部署示示意图。

图4B为根据本实用新型一个实方式中的定位系统的方案部署示示意图。

图5A为根据本实用新型一个实方式中的监控系统的方案部署示示意图。

图5B为根据本实用新型一个实方式中的监控系统的方案部署示示意图。

图6为根据本实用新型一个实方式中的身份核验系统:的方案部署示示意图。

图7为根据本实用新型一个实方式中的量子通信网络为星型组网结构的示意图。

图8为根据本实用新型一个实方式中的量子通信网络为非直连方式应用组网的示意图。

图9为采用量子安全服务移动引擎技术的应用场景示意图。

图10为根据本实用新型一个实方式与网络应用层的SSL协议结合的原理图。

图11为根据本实用新型一个实方式与网络网络层的IPSec协议结合的原理图。

图12为根据本实用新型一个实方式中的分层图。

附图仅出于示意的目的，而不旨在按照比例绘制。在附图中，相同的参考符号被用于指示相同的元素。出于简明的目的，不是每一个组件在每张附图中均被标号。

具体实施方式

以下将参照若干实例来描述本发明。应当理解，描述这些实施方式是为了使得本领域普通技术人员能够更好地理解和实现本发明，而不表示或暗示对本发明范围的任何限制。

目前世界处于全球化的过程中，越来越多的国家正以全球化的视野来增进与其它国家的联系。大型活动的举办可以大大提升举办国、尤其是举办地的国际知名度。因此各个国家和/或地区对于举办大型活动的意愿也在增强。

而大型活动通常具有会程长、地点多、人流与信息流更为复杂的特点，另外，由于随着经典(通信)网络(如互联网、物联网、移动网络(如3G、4G、5G等))等信息技术的快速发展，近年来的信息安全问题频发并呈现愈加复杂的趋势。因此对大型活动的综合安全管理提出了更高的要求。

因此为了更好的应对大型活动的安全管理任务，以有效提高大型活动中的管理人员、执行人员间的沟通效率，通常会引入视屏会议系统。

而目前的视屏会议系统只通过经典(通信)网络来进行数据传输，存在的安全隐患主要包括两个部分:系统安全隐患、数据传输安全隐患。

上述系统安全性隐患，主要表现非法用户能够对系统进行攻击，非法获得管理员身份，从而获取会议信息。目前视频会议系统身份认证系统大多基于公钥体系的身份认证。而当前量子计算能力的不断提高，以及数学的不断进步，使得完全依赖于计算复杂度的非对称密钥体系安全性不能保证。对于接入的终端设备也同样存在身份认证的安全性隐患。

而上述数据传输安全隐患，通过视频会议内容的窃听，从而获取会议信息或篡改会议信息。目前视频会议系统大多基于H.320或H.323协议，所有的音视频数据包都是通过标准的协议进行压缩并打包经过网络发送，所以任何人只要能通过网络截取到数据包。多数传统视频会议厂商都声称对数据包进行了加密，但大多局限于AES、DES、3DES等国际公开密码算法，这些算法本身或者已被破解、或者自身既存在已知或未知的漏洞、后门，这样的保护形同虚设，危害性更高。

与上述经典(通信)网络(如互联网、物联网、移动网络(如3G、4G、5G等))不同的是，量子(通信)网络是结合信息理论安全的量子密钥分发技术和安全的密码算法等形成的加密通信安全解决方案。

由此可知，以量子密钥分发为基础的量子保密通信成为未来保障网络信息安全的一种非常有潜力的技术手段，是量子通信领域理论和应用研究的热点。

本实用新型中的视频会议系统的一个实施方式正是基于上述原因，通过将具有保密性的量子(通信)网络与经典(通信)网络(如互联网、物联网和/或移动网络)进行融合，以期解决该视频会议系统可能在数字身份认证、数据传输、数据防篡改等中的一个或多个出现信息安全方面的问题。

该实施方式具体包括经典通信网络、量子通信网络、量子安全服务平台和视频会议系统。

该经典通信网络，如上所述可以只包括互联网，也可以是在以互联网为主的基础的上再加上物联网和/或移动网络中的一种或多种，当然也可以是只包括物联网或移动网络，具体可根据需要而设置。该经典通信网络包括设于每所述活动区域的至少一经典通信网络节点、以及用于连接所述经典通信网络节点的经典信道(其相对于下述量子信道而言，即指不输送量子态的通信道路)。

该量子通信网络(又称量子网络、量子保密通信网络)，即是一个量子密钥分发(Quantum key distribution，QKD)网络，又称，其负责量子密钥的分发，量子通信网络通常包括量子骨干网和量子接入网两部分，而量子通信网络节点可分为量子通信网络中继节点、量子通信网络接入节点和量子通信网络用户节点，该量子通信网络中继节点设于该量子骨干网中，而该量子通信网络接入节点、量子通信网络用户节点设于量子接入网。本实施方式中的该量子通信网络中的量子通信网络节点是作为量子通信网络用户节点设在每个活动区域中。

量子密钥分发是最先实用化的量子信息技术，是量子通信的重要方向。量子密钥分发可以在空间分离的用户之间以信息理论安全的方式共享密钥，这是经典密码学无法完成的任务。基于国际学术界的广泛共识，包括2010年沃尔夫物理学奖获得者AntonZeilinger教授等在内的众多国际学者通常将量子密钥分发就称为量子通信；美国物理学会的学科分类系统PhySH将量子密码作为量子通信条目下的一个子条目；欧盟最新发布的量子技术旗舰计划《量子宣言》，将以量子密钥分发为核心的量子保密通信作为量子通信领域未来的主要发展方向。

现有实际量子密钥分发系统主要采用BB84协议，由Bennett和Brassard于1984年提出。与经典密码体制不同，量子密钥分发的安全性基于量子力学的基本原理。即便窃听者控制了通道线路，只要窃听者没有掌握能攻入合法用户设备内部的侧信道，量子密钥分发技术就能让空间分离的用户共享安全的密钥。学术界将这种安全性称之为“信息理论安全”(也可称为“无条件安全”)，它指的是拥有严格数学证明的安全性，但是有下列假设前提：窃听者不掌握攻入合法用户设备内部的侧信道；依赖的基础是量子物理学原理，即要求窃听者不能拥有违反量子物理学原理的技术，但是可以拥有任何不违反量子物理学原理的技术，例如计算能力任意强大的计算机，包括量子计算机。量子密钥分发的这种安全性，与计算复杂度无关，因此不论对手拥有多大的计算能力，其安全性都不会受到影响。

密钥分发技术的安全性原理如下：a、量子密钥分发采用单个量子(通常为单光子)作为信息载体，由于单光子不可再分，因此窃听者无法通过窃取半个光子并测量其状态的方法来获得密钥信息；b、窃听者可以在截取单光子后，测量其状态，然后根据测量结果发送一个新光子给接收方，但根据量子力学中的海森堡测不准原理，这个过程一定会引起光子状态的扰动，发送方和接收方可以通过一定的方法检测到窃听者对光子的测量，从而检验他们之间所建立的密钥的安全性；c、窃听者也试图在截取单光子后，通过复制单光子量子态来窃取信息，但量子力学中的不可克隆原理保证了未知的量子态不可能被精确复；d、量子密钥分发方法自动地保证了产生绝对随机的密钥，不需要第三方进行密钥的传送。

该每个量子通信网络节点上都设置有量子密钥管理装置、量子密钥生成装置，所述量子密钥管理装置用于控制所述量子密钥生成装置，且存储所述量子密钥生成装置所生成的密钥，处于连接状态的两所述量子通信网络节点之间设有量子信道(即输送量子态的通信道路)。所述的量子密钥生成装置可选择但不限于科大国盾量子技术股份有限公司生产的型号为琨腾QKD-POL100系列的小型化偏振编码QKD产品。所述量子密钥管理装置可选择但不限于科大国盾量子技术股份有限公司生产的型号为QKM-T500-S/QKM-T501-S的量子密钥管理机。

量子安全服务平台，用于处理所述量子通信网络和视频会议系统间、以及所述视频会议系统内的通信，基于所述量子通信网络所提供的量子密钥以对所述视频会议系统提供量子认证、授权和数据加解密中的一种或多种服务，还包括量子安全服务移动引擎。

作为该量子安全服务平台的实现可选择但不限于科大国盾量子技术股份有限公司研发的QKM-S600量子密钥管理服务系统。作为该量子安全服务移动引擎的实现可选择但不限于科大国盾量子技术股份有限公司研发的量子安全服务移动引擎(Quantum SafeService–MobileEngine,QSS-ME)。

对于无法通过铺设或复用现有裸光纤实现量子密钥获取的用户节点，采用该量子安全服务移动引擎(QSS-ME)技术，实现量子密钥获取。所述QSS-ME是基于有线光纤量子密钥分发网络量子应用网络平台，支持将量子密钥资源通过离线式量子安全存储介质(例如“科大国盾量子技术股份有限公司生产的量子安全U盾”和“科大国盾量子技术股份有限公司生产的量子安全TF卡”等)融合到量子用户节点的量子密钥应用设备中，并对量子密钥进行动态管理，为用户节点提供密钥协商、接入认证、访问控制功能服务。利用该QKD(量子密钥分发)网络自身的独特优势，同时结合该QSS-ME，可以将该QKD(量子密钥分发)网络生成的量子密钥应用于移动视频会议终端侧，保护端到端及端到服务器的通信安全性，可在移动办公、移动作业、移动支付、物联网等多种场景进行应用。

该离线式量子安全存储介质的应用，使得下述的业务应用系统中的各系统不再需要使接收量子密钥的网络一直保持连通。只需在量子密钥充注于该离线式量子安全存储介质内时保持与该接收量子密钥的网络连接，之后可以断开该网络，可减轻网络负载。

如图9所示，该QKD(量子密钥分发)网络结合用于管理QKD网络产生的量子密钥的量子安全服务移动引擎，即图中所示的QSS KDC(Quantum Safe Service KeyDistribution Center)，以及靠近用户的量子密钥更新终端设备(如量子充注机)，可将QKD网络产生的对称量子密钥充注到终端的离线式量子安全存储介质(例如科大国盾量子技术股份有限公司生产的SD卡、SIM卡、U盾、安全芯片等)，用于其通信过程中的鉴权和会话加密。

基于量子安全服务移动引擎的移动量子保密通信网络，其产生原因是考虑组网中某些节点QKD不具物理条件，安全级别、成本等综合因素，该应用场景中，QKD(量子密钥分发)网络解决主要通道密钥分发问题，量子安全服务移动引擎解决“最后一公里”量子密钥分发问题。

如图1所示，该视频会议系统是一款完全基于互联网架构设计的专业视频通信云服务系统(即视频会议云服务平台中的一种)，支持多终端多线路的视频会议一体化平台，视频会议终端(包括固定视频会议终端和移动视频会议终端)支持使用摄像头一体机、电脑端、移动端、小程序等多种方式进行建会和入会，而且还支持屏幕共享、云端录制、无线投屏等多种功能，并且最高支持上千人视频入会。图中Android手机、IOS手机为移动视频会议终端的一种，PC电脑、固定摄像机为固定视频会议终端的一种。系统采用量子保密通信、DRM信源加密等技术，确保用户接入认证及会议视频数据传输安全。

该视频会议系统以云计算为核心，采用公有云或混合云部署方式，让用户通过现有Internet即可实现跨地域多方视频沟通。系统采用最新的RTC低延时架构和自适应编码器，普通网络环境下也能输出高清视频，保持唇音同步，沟通更及时。

该视频会议系统与该量子安全服务平台相结合提升系统安全性，视音频经过量子加密后传输，具备抵御未来量子计算攻击的能力。

考虑应用场景以及使用习惯方面需要尽量兼容现有的方式，故在视频会议的身份认证、数据传输、防篡改的保护主要通改造SSL(Secure Sockets Layer，安全套接层)、IPSec(Internet Protocol Security，互联网安全)协议结合量子密钥实现，将协议的密钥协商过程增加量子密钥结合方式，实现后不与视频会议进行紧耦合，在其他场景中也可以进行复用。

针对该视频会议的业务的应用保护涉及身份认证，身份认证实现上主要考虑在应用层加密结合，数据传输方面考虑应用层、网络层加密结合的方案。

应用层实现考虑采用SSL协议结合，通过量子密钥应用针对该SSL协议的认证、隧道进行保护，进而实现对视频数据的保护，根据如图10所示的技术路线的原理图所示，实现如下：

步骤1、业务客户端与服务端建立链接；

步骤2、认证，客户端向服务端发起认证，在认证登录和启动SSL VPN的时候，使用量子密钥保护；

步骤3、密钥协商，认证成功后，服务端向客户端派业务量子密钥，分发过程使用量子密钥保护。

使用上述与该采用SSL协议结合的技术路线，客户端与服务端量子握手过程中基于量子密钥分发系统，不涉及非对称算法，计算量小，效率更高。客户端、服务端认证双向认证，能有效防止中间人攻击，且认证不依赖传统证书，服务端不存储私钥，没有泄露风险。

如图11所示，在网络层结合的实现方式主要在IPSec协议的基础上进行实现，将IPSec的密钥协商使用的IKE协议变更为量子密钥协商，使用量子密钥完成认证、数据传输、防篡改的保护。

作为上述实施方式的一个具体应用案例。在大型赛事举办的过程中，可在云服务平台部署视频会议云服务(即视频会议云服务平台中的一种)，为了保证多赛场大用户量的接入，可根据赛事中的场馆地域(即所述活动区域的一种)分布，部署多个呈分布式的通信网络节点；在云服务机房部署所述量子安全服务平台，并根据实际条件视情接入量子通信网络，提供异地发行充注服务；在赛事组织机构、比赛场馆、协调机构安装一体式视频会议终端；保障比赛的主要工作人员、保障人员、志愿者在其智能手机上安装手机端移动APP，并为其发放授权License。

该实施方式具有如下特点。

特点一、数字身份认证增强

基于分发的量子密钥对视频会议设备(即包括视频会议终端、视频会议云服务平台)进行身份认证，除了设备本身的信息外，增加量子密钥作为设备身份识别的关键。

特点二、数据传输增强

基于信源加密技术，直接对视频会议终端和MCU等数据源头的信息进行加密。从源头开始对信息进行保护，保密级别和安全性能高于信道加密。比基于数学计算安全的加密技术保密性更好，可以有效预防视频会议数据信息窃取。

通过基于量子通信的密钥分发技术，量子密钥完成端到端的分发后，使用密钥结合对称加密算法，实现对视频数据流的加密，保障视频数据传输的安全性。

特点三、数据防仿冒增强

通过量子密钥对视频数据在编码阶段打上身份标签，而视频会议平台接收到视频数据后，需要对标签进行核对。如此在传输过程即使会议终端设备被替换，或者视频数据被替换都将被后台识别，从而保证视频数据的真实性。

需要说明的是，上述三个特点即实现原理同样也可适用于下述业务应用系统中的各系统。

如图12所示，为本实用新型的一个实施方式的分层图，将本实施方式进行了分层论述。该图中的光纤量子通信基本实现系统和密钥管理系统即组成为本实施方式中的量子通信网络，分别用于量子密钥的生成和管理，该图中的应用系统即为本实施方式中的业务应用系统。该图中的两个节点A、节点B既表示本实施方式中的两个经典通信网络节点，同时也是表示本实施方式中的两个量子通信网络节点。

另外，量子通信网络中的量子密钥分发是点对点的组网络结构，且密钥分发依赖光纤。而视频会议系统为典型的星型网络结构，且有些场景应用涉及移动网络中的移动终端，需要能在组网上使该量子通信网络和该经典通信网络形成有效的融合以达到对视频会议系统给予量子安全保护的安全效果。

由于上述原因，为此产生了又一个本实用新型的实施方式中，在所述量子通信网络中，在原有的量子密钥分发点对点组网的基础上，增设量子集控站(可选择但不限于科大国盾量子技术股份有限公司研发的城域QKD集控站)、以及量子分时复用设备(可选择但不限于科大国盾量子技术股份有限公司研发的量子-经典波分复用终端)的技术，实现如图7所示的量子密钥分发的星型组网，针对视频会议应用具备光纤接入的固网环境，可以通过量子密钥分发终端提供量子密钥针对视频会议的接入认数据传输、防篡改的安全保护。而不具备光纤接入条件或者移动视频会议的接入，在固网量子密钥分发网络的基础上，设计量子安全移动引擎系统，将量子密钥分发、量子随机数发生器的密钥分配到离线式量子安全介质，该离线式量子安全介质提供标准的SDK接口，对接摄像头移动终端或者加密设备，实现基于量子密钥的视频会议的接入认数据传输、防篡改的安全保护。

如图8所示，为一个QKD(量子密钥分发)网络非直连方式应用的场景，其中涉及有线网路以及手持无线终端场景，针对此两种场景的结合方式考虑使用量子密钥的加密盒以及SIM卡、TF卡加密实现。

上述视频会议系统为业务应用系统中的一个，根据需要，在本实用新型的一个实施方式中该业务应用系统还可以加入下述指挥调度系统、对讲系统、定位系统、监控系统和身份核验系统中的一个或多个。

该业务应用系统中的各系统的终端可配有至少一用于存储量子密钥的所述离线式量子安全存储介质。基于该离线式量子安全存储介质，所述量子安全服务平台，可用于处理所述量子通信网络和该业务应用系统间、以及所述业务应用系统内的各系统的通信，基于所述量子通信网络所提供给该离线式量子安全存储介质的量子密钥以对所述业务应用系统中各系统提供终端设备的量子认证、授权和业务数据的量子加解密中的一种或多种服务。

而在业务应用系统中的一系统的终端中存在位置可移动的移动终端时，通过所述量子安全服务平台中的量子安全服务移动引擎处理所述移动终端和所述量子通信网络间的通信、以及所述移动终端在所述系统内的通信。

上述业务应用系统中的其余各系统的具体内容如下所述。

指挥调度系统

如图2所示，在指挥中心(所述活动区域的一种)部署指挥调度服务端，包括指挥调度服务器、量子安全服务平台、量子随机数发生器，量子SSL VPN设备等，公安、武警、保安等移动安保人员配备移动指挥调度终端，量子安全服务平台为固定指挥终端(即固定指挥调度终端)、移动指挥终端(即移动指挥调度终端)和指挥中心的指挥调度服务端之间实现量子认证以及授权、数据加解密服务,保障指挥调度业务的安全运行。该图中的量子网络即为所述量子通信网络，用于负责量子密钥分发，该图中的至少一个量子网关负责所述量子通信网络与业务应用系统中的指挥调度系统的通信。

对讲系统

对讲系统在大型活动安保期间是作为最重要的手段，所以对讲系统的安全变得尤为重要，在亚运会的安保活动中，由于安保级别高、范围广、跨度大、人员多、时间长,各部门之间存在着工作上的通讯需求，同时安保部门也需要和各部门协同工作，互相通讯，需要各部门一起联合行动,包括道路疏导、现场警卫、住区保卫等多个场景和较大的空间跨度，当前不管是模拟对讲机或者IP对讲系统都存在被窃听的风险，需要引入更加安全的数据传输技术。

为了真正实现“防止窃听、感知窃听”，本实施方式引入量子加密通讯技术，通过专用的基于量子加密的数字IP多媒体融合终端，实现对讲、通话、视频等多种通讯方式的融合，实现各设备之间的量子级别通信网络，在各设备之间的数据均通过量子网络进行加密传输，以保证信息传输的安全，防止各类窃听风险的发生，杜绝各类信息泄露。

如图3A所示，通过引入量子加密通讯技术，储存有量子密钥的量子数字对讲机之间、以及量子数字对讲机与储存有量子密钥的IP电话之间的通信安全性得到增强。

如图3B所示，通过图中最上端的量子密钥充注机对量子安全TF卡进行充注量子密钥，该充注有量子密钥的量子安全TF卡直接设置于该量子数字对讲机中，而对于模拟对讲机，则通过将充注有量子密钥的量子安全TF卡直接设置于量子数字转接机(即数模转换设备)，该量子数字转接机负责模拟对讲机与量子数字对讲机的通信。

定位系统

该系统将量子密钥分发技术应用于定位基站及定位标签，保障定位信息的的合法性以及定位数据的安全。即通过量子密钥来实现对定位基站、定位标签等设备的认证和授权，以及对定位数据进行加解密，以期全程实现对定位系统的保护。

如图4A、4B所示，定位系统包括：定位基站、定位终端(包括移动定位终端和固定定位终端)、数据传输通道、定位服务端(包括该图4A中的中心服务器和数据库服务器，以及图4B中的定位平台)，其中定位基站分布于场景区域的几何边缘，并对该区域进行信号覆盖；移动定位终端附着在定位对象表面；当定位终端进入基站的信号覆盖范围内，即自动与定位基站建立联系；定位基站依据内置规则完成定位数据的获取，并通过数据传输通道发送至定位服务端，进而计算出移动定位终端的实际位置；定位服务端支持大容量标签网络的原始数据获取、位置解算与坐标输出。类似地，对于固定定位终端的位置的确定原理同上。

如图4A所示，既展示了对于大容量平面或3维定位区(即所述活动区域的一种)内的配置有移动定位终端的人员(即所述定位对象的一种)的定位系统的应用场景，也展示了对于小容量平面或3维高精度定位区(即所述活动区域的一种)内的配置有移动定位终端的人员(即所述定位对象的一种)的定位系统的应用场景，还展示了对于1维走廊或通道定位区(即所述活动区域的一种)内的配置有移动定位终端的人员(即所述定位对象的一种)的定位系统的应用场景，另展示了定位服务端(包括中心服务器和数据库服务器)与配置有定位终端的设备(如移动手机，PC)的应用场景。

如图4B所示，为一个室内(所述活动区域的一种)内的定位系统的布局图，包括设于室内边缘的若干定位基站，贴于室内工作人员上的胸牌型标签(所述移动定位终端的一种，为一种可用于定位的电子标签)和贴于室内可移动的设备的车载型标签(所述移动定位终端的一种，为一种可用于定位的电子标签)，以及定位平台(所述定位服务端的一种或一部分)，该定位平台通过网络可实现与外部通信。

本实施方式中的定位系统主要用于安保人员的位置定位，即可将移动定位终端分发给安保人员、以让其随身携带，使得指挥中心能实时掌握安保人员的实时位置，有利于突发事件时进行精准指挥调度，传统的位置定位是通过GPS进行定位，但由于GPS使用卫星信号进行定位，本身存在定位精度局限，特别是在室内，卫星信号差，更加影响定位效果。所以室内定位技术需要通过UWB、蓝牙等短距离通信手段，在室内自建基站实现精准的定位。

将量子设备与量子安全服务引擎用于定位基站和定位标签的信息传递过程，将使定位信息不被窃取或修改，保证了定位信息的准确性。

监控系统

目前各个摄像头厂商提供的视频监控方案都是基于传统的账号密码进行安全控制，但这类安全控制很容易被黑客进行攻击和攻克。所以需要有一种安全的技术确保监控视频不会被非法截获。除数据传输通道的安全保障外，视频监控信息被仿冒的安全风险也在本方案中得到有效解决。

如图5A所示，通过对传统摄像头的改造，实现传统摄像头在MCU层面的量子加密，使得摄像头的各类信号和数据的传输均通过量子网络进行传输，确保在传输过程中的安全，防止信号被篡改和视频数据被非法截获。

如图5B所示，量子安全服务引擎通过量子安全服务移动引擎将存储有量子密钥的安全介质(T卡、U盾等)嵌入于摄像头或摄像头数据汇聚网络设备。即对于普通监控设备(如普通摄像头)，其通过连接安装有量子安全U盾的量子接入盾来实现设备的量子认证、授权和数据加解密，而对于经改装的量子监控设备，可以直接在其上设置量子安全TF卡的方式来实现设备的量子认证、授权和数据加解密。

身份核验系统

大型活动的安保工作中，身份验证安检设备一方面面临网络攻击的风险，同时也面临断电、断网等突发事件的影响，同时也存在临时突发的安检与身份验证需求，本方案利用量子安全数字认证码作为安检工作的备份方案，可实现断电、断网，以及临时突发安检等特殊情况下安全身份核验。

如图6所示，通过量子安全数字认证码进行身份核验的身份核验系统，包括后台服务设备端(即身份核验服务端)，主要包括中心服务器、生成服务器、量子安全服务平台、量子随机数发生器等)，前端安检人员通过手持式验证终端(身份核验终端的一种)对记者证等证件上打印的量子安全数字认证码进行核验，确认身份。

该量子安全数字认证码作为一种可视化的电子签章，以二维码形式呈现。它以编码签名的方式离线存储大量经过量子加密的信息，并使用经过量子密钥授权的智能手机或PC扫描仪对其进行解密核验，在脱离网络的情况下仍能完成量子安全数字认证码中存储的加密信息的读取核验。

该系统的一种具体部署形式可为：在云服务平台部署身份验证服务器软件；在用户数据机房部署量子安全服务平台、量子随机数发生器；在证件制作发行部门设置一至多台生成服务器，数量根据用户发证规模需求确定；安检人员手机或专用终端上安装身份核验APP。

通过上述本实用新型的一个实施方式可实现在大型活动(如展会，赛事等)建成一套可为举办大型活动各活动区域(如场馆等)内，相关终端至终端、终端至场馆、场馆至场馆以及城市间的一体化数据安全传输和数据安全共享服务的量子安全信息系统。

通过上述本实用新型的一个实施方式可与5G通信、安保反恐、区块链融合应用新模式，以供未来进一步复制、升级，向其他地区、行业推广，服务于发展数字经济战略规划。

上述本实用新型的一个实施方式均为量子技术首次成体系的应用于大型活动的信息系统的安全防护中，具有很好的标杆作用和示范作用。

在权利要求书中，词语“包括”不排除其他单元或步骤；词语“一”或“一个”并不排除多个。在权利要求书中，使用诸如“第一”“第二”等序数词来修饰权利要求元素本身并不意味着一个权利要求元素具有较另外一个权利要求元素的优先级、次序或者动作执行的时间顺序，而仅仅出于将一个权利要求的元素与另一个权利要求元素相区别的目的。尽管在互不相同的从属权利要求中分别记载了某些特定技术特征，但这并不意味着这些特定技术特征不能被组合利用。本发明的各个方面可单独、组合或者以未在前述实施例中具体讨论的各种安排来使用，从而并不将其应用限于前文所描述或附图中所示的组件的细节和排列。例如，可使用任何方式将一个实施例中描述的多个方面与其他实施例中描述的多个方面组合。多个模块或单元中所记载的步骤、功能或特征，可以由一个模块或一个单元执行或满足。本文所公开的方法的步骤不限于以任何特定的顺序执行，以其他的顺序执行部分或者全部的步骤时可能的。权利要求中的任何附图标记不应被解释为对权利要求范围的限制。

尽管已经通过附图和实施例的方式描述的本发明，但这样的描述和说明应当被认为是说明性或示例性而非限制性的。本领域的普通技术人员应当意识到,在不脱离由所附的权利要求书公开的本发明的范围和精神的情况下,各种改进、增加以及取代是可能的。

Claims

1.一种大型活动中的活动区域安全管理系统，其特征在于，所述活动区域安全管理系统包括：

2.根据权利要求1所述活动区域安全管理系统，其特征在于：

所述离线式量子安全存储介质包括配置于所述固定视频会议终端的量子安全盾，和/或配置于所述移动视频会议终端的量子安全卡、量子安全芯片中的一种或多种。

3.根据权利要求1所述活动区域安全管理系统，其特征在于：

所述量子通信网络与所述业务应用系统之间设有量子密钥充注机，用于对与其连接的所述业务应用系统中的所述终端上的离线式量子安全存储介质注入量子密钥。

4.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于，所述业务应用系统还包括指挥调度系统，该指挥调度系统包括：

作为指挥调度中心的指挥调度服务端；以及

5.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于，所述业务应用系统还包括对讲系统，该对讲系统包括：

6.根据权利要求5所述活动区域安全管理系统，其特征在于：

在所述语音对话终端为模拟电子设备时，该语音对话终端需通过数模转换设备与该对讲系统内的为数字电子设备的所述语音对话终端通信，该数模转换设备上配有至少一所述离线式量子安全存储介质。

7.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于，所述业务应用系统还包括定位系统，该定位系统包括：

定位基站，设于至少一所述活动区域；

8.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于，所述业务应用系统还包括监控系统，该监控系统包括：

监控服务端，用于获取来自所述监控终端的原始数据；

9.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于，所述业务应用系统还包括身份核验系统，该身份核验系统包括：

10.根据权利要求1至3任一所述活动区域安全管理系统，其特征在于：

所述量子通信网络还包括量子集控站、量子分时复用设备，通过该量子集控站、量子分时复用设备，使所述量子通信网络实现星型组网。