量子密鑰分發(fā)（QKD）作為目前唯一被嚴格證明“信息論安全”的密鑰交換技術(shù)，以“竊聽即留痕、量擾即自毀”的物理特性，為通信雙方構(gòu)建起不可破譯的密鑰護城河，已成為各國競相布局的戰(zhàn)略制高點。與此同時，量子計算機的加速成熟，讓 RSA、ECC 等非對稱算法在 Shor 算法面前岌岌可危，傳統(tǒng)密碼學(xué)大廈隨時可能崩塌。為抵御“后量子時代”的密鑰崩塌風(fēng)險，美、歐、日等密集發(fā)布 PQC（Post-Quantum Cryptography）抗量子/后量子標準化路線圖，將可抵御量子攻擊的新一代公鑰算法視為數(shù)字世界的“最后一道防洪堤”。

面對雙向夾擊，公司依托深厚研發(fā)力量，率先實現(xiàn) 量子+抗量子的“雙軌融合”，推出“量子密鑰分發(fā) + 抗量子算法 + 國密算法”一體化安全網(wǎng)關(guān)（簡稱量子安全網(wǎng)關(guān)）。該產(chǎn)品以量子密鑰為根、PQC 算法為干，既解決傳統(tǒng)網(wǎng)關(guān) PKI 體系“算法被破即全網(wǎng)淪陷”的結(jié)構(gòu)性缺陷，又填補了國內(nèi)量子級安全通信裝備的空白，為國家關(guān)鍵信息基礎(chǔ)設(shè)施披上“量子鎧甲”，在量子時代搶先筑起牢不可破的安全長城。

1.  量子密鑰安全網(wǎng)關(guān)，全稱為：基于量子隨機數(shù)和量子密鑰交換實現(xiàn)安全會話密鑰分發(fā)的加密認證網(wǎng)關(guān)。量子密鑰網(wǎng)關(guān)能夠幫助用戶建立一條專用的安全通訊隧道，底層基于國密數(shù)字證書與國密算法，構(gòu)建PKI體系同時依托量子密鑰交換服務(wù)建立專用的加密和認證通道，使得客戶兩個（或多個）機構(gòu)之間的應(yīng)用數(shù)據(jù)能夠在這條通道進行安全、可靠、高效的傳輸。

   
   

   
   

   
   

   
   

   量子安全網(wǎng)關(guān)的工作原理如上圖所示，核心服務(wù)系統(tǒng)遵循PKI公鑰基礎(chǔ)設(shè)施體系，通過使用國密證書與密鑰（雙證書模式）進行IPSec/SSL協(xié)議握手并完成標準國密協(xié)商過程。在此基礎(chǔ)上，量子密鑰服務(wù)器之間通過量子密鑰通訊技術(shù)完成密鑰的交換，并將量子密鑰傳入網(wǎng)關(guān)核心服務(wù)，注入到PKI模塊中。接下來應(yīng)用數(shù)據(jù)經(jīng)由國密IPSEC/SSL安全通道進行傳輸時，數(shù)據(jù)加密模塊將同時采用量子密鑰對每一個數(shù)據(jù)包進行加密，最終實現(xiàn)國密PKI與量子加密的雙重安全特性。
   

   
   

2. PQC 抗量子安全網(wǎng)關(guān)子系統(tǒng)，是在傳統(tǒng)SSL高并發(fā)引擎與PQC算法框架之上，面向“量子威脅”與“國密合規(guī)”雙重要求設(shè)計的新一代密鑰交換與傳輸安全內(nèi)核。其核心理念是：在經(jīng)典 TLS 握手通道內(nèi)，無縫植入符合 NIST PQC 標準化進程的抗量子公鑰算法，使網(wǎng)關(guān)既能兼容現(xiàn)有生態(tài)，又可在量子計算時代繼續(xù)保障“不可破譯”的連接安全。

   
   

   
   

   系統(tǒng)以SSL引擎插件機制為底座，將 Kyber（密鑰封裝，又名ML-KEM）、Dilithium（數(shù)字簽名，又名ML-DSA）、SPHINCS+（又名SLH-DSA）等已固化算法以 EVP 接口形式注入SSL 握手流程。當客戶端首次發(fā)起 HTTPS 請求時，網(wǎng)關(guān)優(yōu)先啟用 X25519Kyber768 混合密鑰交換：經(jīng)典 X25519 負責(zé)前向兼容，Kyber768 負責(zé)抗量子機密性；同時以 Dilithium3 雙證書路徑完成身份認證，既滿足現(xiàn)行 PKI 體系驗證，又在量子環(huán)境下提供不可偽造簽名。整個握手過程遵循 TLS 1.3 的 0-RTT 優(yōu)化邏輯，時延增量 < 5 %，可支撐高性能 PQC 完整握手，性能損耗可忽略。

   通過“經(jīng)典+量子”混合模式，子系統(tǒng)實現(xiàn)在用業(yè)務(wù)零改造、零中斷遷移；配合國領(lǐng)自研的量子隨機數(shù)模塊，為每次會話注入物理熵源，進一步消除算法級后門風(fēng)險。最終，PQC 抗量子安全網(wǎng)關(guān)子系統(tǒng)以芯片級加速、可插拔算法倉庫、灰度發(fā)布三大特性，為國家關(guān)鍵基礎(chǔ)設(shè)施提供面向未來 10～20 年的可持續(xù)量子安全能力。

   
   

產(chǎn)品特點：

1) 量子相關(guān)技術(shù)指標

- 支持QKD量子密鑰分發(fā)接口對接

- 支持內(nèi)置量子隨機數(shù)硬件芯片/模塊

- 支持 NIST PQC 標準化進程的抗量子算法：

a)ML-KEM（原 CRYSTALS-Kyber） FIPS 203標準

b)ML-DSA（原 CRYSTALS-Dilithium） FIPS 204標準

c)SLH-DSA（原 SPHINCS+）FIPS 205標準

- 支持如下PQC算法套件能力：

a)ML_KEM_512

b)ML_KEM_768

c)ML_KEM_1024

d)SecP256r1 & ML_KEM_768

e)X25519 & ML_KEM_768

f)SecP384r1 & ML_KEM_1024

2) 網(wǎng)絡(luò)功能技術(shù)指標

- 中心網(wǎng)關(guān)或分支網(wǎng)關(guān)均支持單臂、雙臂連接組網(wǎng)模式。

- 能夠單獨設(shè)置網(wǎng)關(guān)的管理和ICMP屬性

- 支持靜態(tài)、動態(tài)路由協(xié)議

- 支持NTP服務(wù)器

3) 負載均衡功能技術(shù)指標

- 支持七層負載均衡

- 支持四層負載均衡

- 支持多種輪詢、IP哈希、最小連接、最小響應(yīng)負載均衡算法。

- 支持加權(quán)

- 支持ICMP/TCP/UDP/HTTP狀態(tài)/HTML關(guān)鍵字/HTML哈希等多種健康檢查方法。

- 支持自定義UDP/TCP健康檢查。

- 支持健康檢查組合。

- 支持IP、Cookie、URL、Header、Body、SSL Session等多種會話保持方式。

- 支持服務(wù)重定向功能。

- 支持連接復(fù)用/緩存/壓縮等功能。

- 支持HTTP錯誤重定向功能，支持自定義錯誤頁面。

- 支持HTTP數(shù)據(jù)包表頭編輯，插入、刪除指定表頭。

- 支持虛擬服務(wù)與主機的狀態(tài)監(jiān)控。

- 支持基于IP和服務(wù)的連接限制和速率限制。

- 支持多URL映射。

- 支持Host/IP/SSL算法轉(zhuǎn)發(fā)。

4) IPSec/SSL技術(shù)指標

- 支持：SHA1/SHA256，

- 支持RSA1024/2048/4096算法

- 支持國密SM2、SM3、SM4算法

- IPSec協(xié)議支持國密GMT0022/0023標準，支持IKEv1、IKEv2

- SSL協(xié)議支持：SSL3.0/TLS1.0/TLS1.1/TLS1.2/TLS1.3

- 支持SSL算法配置

- 密鑰協(xié)商支持預(yù)共享模式

- 支持單向/雙向SSL認證（RSA與國密版）

- 支持一個地址端口上RSA與SM2自適應(yīng)

- 支持LDAP/HTTP載CRL方式

- 支持自定義SSL錯誤頁面

- 支持低于指定加密強度或者證書秘鑰強度的告警或者重定向。

- 支持TCP的SSL交付與加速

- 支持 DTLS協(xié)議交付與加速

5) 高可用技術(shù)指標

- 支持冗余電源，支持熱插拔。

- 支持主備、主主、集群模式組網(wǎng)。

- 支持多組熱備。

- 支持優(yōu)先級配置。

- 支持搶占和非搶占模式。

- 支持熱備切換，可設(shè)定CPU、內(nèi)存、儲存、IP、服務(wù)等閾值

- 支持熱備告警。

6) 設(shè)備管理技術(shù)指標

- 支持本地日志查看、遠端syslog日志記錄、SNMP功能。

- 支持NTP網(wǎng)絡(luò)時鐘同步功能。

- 支持實時監(jiān)控報表、歷史監(jiān)控報表。

- 支持配置的備份及恢復(fù)功能。

- 支持多種方式登錄設(shè)備功能。

- 支持多種版本升級方式。

- 支持統(tǒng)計數(shù)據(jù)表：接口統(tǒng)計/虛擬服務(wù)統(tǒng)計/后臺服務(wù)統(tǒng)計

- 支持為管理員分配不同角色，規(guī)定用戶操作權(quán)限

- 支持日志級別設(shè)置

- 支持自定義日志格式

- 支持設(shè)備間同步系統(tǒng)配置

- 支持管理員RADIUS認證與授權(quán)

- 支持Email、Syslog告警。

- 支持IP定位，可升級定位數(shù)據(jù)庫。

- 能查看設(shè)備實時狀態(tài)，可查從分鐘級別到一個月的狀態(tài)曲線。

7) 自主可控技術(shù)指標

- 可提供完全自主可控軟硬件一體網(wǎng)關(guān)產(chǎn)品

- 完全自主知識產(chǎn)權(quán)量子安全網(wǎng)關(guān)軟件系統(tǒng)

- 國密局認證通過的國產(chǎn)密碼算法硬件加速模塊

- 采用自主可控國產(chǎn)操作系統(tǒng)

- 支持國產(chǎn)CPU自主可控芯片

- 支持國產(chǎn)自主可控量子隨機數(shù)芯片