量子密鑰分發（QKD）作為目前唯一被嚴格證明“信息論安全”的密鑰交換技術，以“竊聽即留痕、量擾即自毀”的物理特性，為通信雙方構建起不可破譯的密鑰護城河，已成為各國競相布局的戰略制高點。與此同時，量子計算機的加速成熟，讓 RSA、ECC 等非對稱算法在 Shor 算法面前岌岌可危，傳統密碼學大廈隨時可能崩塌。為抵御“后量子時代”的密鑰崩塌風險，美、歐、日等密集發布 PQC（Post-Quantum Cryptography）抗量子/后量子標準化路線圖，將可抵御量子攻擊的新一代公鑰算法視為數字世界的“最后一道防洪堤”。

面對雙向夾擊，公司依托深厚研發力量，率先實現 量子+抗量子的“雙軌融合”，推出“量子密鑰分發 + 抗量子算法 + 國密算法”一體化安全網關（簡稱量子安全網關）。該產品以量子密鑰為根、PQC 算法為干，既解決傳統網關 PKI 體系“算法被破即全網淪陷”的結構性缺陷，又填補了國內量子級安全通信裝備的空白，為國家關鍵信息基礎設施披上“量子鎧甲”，在量子時代搶先筑起牢不可破的安全長城。

1.  量子密鑰安全網關，全稱為：基于量子隨機數和量子密鑰交換實現安全會話密鑰分發的加密認證網關。量子密鑰網關能夠幫助用戶建立一條專用的安全通訊隧道，底層基于國密數字證書與國密算法，構建PKI體系同時依托量子密鑰交換服務建立專用的加密和認證通道，使得客戶兩個（或多個）機構之間的應用數據能夠在這條通道進行安全、可靠、高效的傳輸。

   
   

   
   

   
   

   
   

   量子安全網關的工作原理如上圖所示，核心服務系統遵循PKI公鑰基礎設施體系，通過使用國密證書與密鑰（雙證書模式）進行IPSec/SSL協議握手并完成標準國密協商過程。在此基礎上，量子密鑰服務器之間通過量子密鑰通訊技術完成密鑰的交換，并將量子密鑰傳入網關核心服務，注入到PKI模塊中。接下來應用數據經由國密IPSEC/SSL安全通道進行傳輸時，數據加密模塊將同時采用量子密鑰對每一個數據包進行加密，最終實現國密PKI與量子加密的雙重安全特性。
   

   
   

2. PQC 抗量子安全網關子系統，是在傳統SSL高并發引擎與PQC算法框架之上，面向“量子威脅”與“國密合規”雙重要求設計的新一代密鑰交換與傳輸安全內核。其核心理念是：在經典 TLS 握手通道內，無縫植入符合 NIST PQC 標準化進程的抗量子公鑰算法，使網關既能兼容現有生態，又可在量子計算時代繼續保障“不可破譯”的連接安全。

   
   

   
   

   系統以SSL引擎插件機制為底座，將 Kyber（密鑰封裝，又名ML-KEM）、Dilithium（數字簽名，又名ML-DSA）、SPHINCS+（又名SLH-DSA）等已固化算法以 EVP 接口形式注入SSL 握手流程。當客戶端首次發起 HTTPS 請求時，網關優先啟用 X25519Kyber768 混合密鑰交換：經典 X25519 負責前向兼容，Kyber768 負責抗量子機密性；同時以 Dilithium3 雙證書路徑完成身份認證，既滿足現行 PKI 體系驗證，又在量子環境下提供不可偽造簽名。整個握手過程遵循 TLS 1.3 的 0-RTT 優化邏輯，時延增量 < 5 %，可支撐高性能 PQC 完整握手，性能損耗可忽略。

   通過“經典+量子”混合模式，子系統實現在用業務零改造、零中斷遷移；配合國領自研的量子隨機數模塊，為每次會話注入物理熵源，進一步消除算法級后門風險。最終，PQC 抗量子安全網關子系統以芯片級加速、可插拔算法倉庫、灰度發布三大特性，為國家關鍵基礎設施提供面向未來 10～20 年的可持續量子安全能力。

   
   

產品特點：

1) 量子相關技術指標

- 支持QKD量子密鑰分發接口對接

- 支持內置量子隨機數硬件芯片/模塊

- 支持 NIST PQC 標準化進程的抗量子算法：

a)ML-KEM（原 CRYSTALS-Kyber） FIPS 203標準

b)ML-DSA（原 CRYSTALS-Dilithium） FIPS 204標準

c)SLH-DSA（原 SPHINCS+）FIPS 205標準

- 支持如下PQC算法套件能力：

a)ML_KEM_512

b)ML_KEM_768

c)ML_KEM_1024

d)SecP256r1 & ML_KEM_768

e)X25519 & ML_KEM_768

f)SecP384r1 & ML_KEM_1024

2) 網絡功能技術指標

- 中心網關或分支網關均支持單臂、雙臂連接組網模式。

- 能夠單獨設置網關的管理和ICMP屬性

- 支持靜態、動態路由協議

- 支持NTP服務器

3) 負載均衡功能技術指標

- 支持七層負載均衡

- 支持四層負載均衡

- 支持多種輪詢、IP哈希、最小連接、最小響應負載均衡算法。

- 支持加權

- 支持ICMP/TCP/UDP/HTTP狀態/HTML關鍵字/HTML哈希等多種健康檢查方法。

- 支持自定義UDP/TCP健康檢查。

- 支持健康檢查組合。

- 支持IP、Cookie、URL、Header、Body、SSL Session等多種會話保持方式。

- 支持服務重定向功能。

- 支持連接復用/緩存/壓縮等功能。

- 支持HTTP錯誤重定向功能，支持自定義錯誤頁面。

- 支持HTTP數據包表頭編輯，插入、刪除指定表頭。

- 支持虛擬服務與主機的狀態監控。

- 支持基于IP和服務的連接限制和速率限制。

- 支持多URL映射。

- 支持Host/IP/SSL算法轉發。

4) IPSec/SSL技術指標

- 支持：SHA1/SHA256，

- 支持RSA1024/2048/4096算法

- 支持國密SM2、SM3、SM4算法

- IPSec協議支持國密GMT0022/0023標準，支持IKEv1、IKEv2

- SSL協議支持：SSL3.0/TLS1.0/TLS1.1/TLS1.2/TLS1.3

- 支持SSL算法配置

- 密鑰協商支持預共享模式

- 支持單向/雙向SSL認證（RSA與國密版）

- 支持一個地址端口上RSA與SM2自適應

- 支持LDAP/HTTP載CRL方式

- 支持自定義SSL錯誤頁面

- 支持低于指定加密強度或者證書秘鑰強度的告警或者重定向。

- 支持TCP的SSL交付與加速

- 支持 DTLS協議交付與加速

5) 高可用技術指標

- 支持冗余電源，支持熱插拔。

- 支持主備、主主、集群模式組網。

- 支持多組熱備。

- 支持優先級配置。

- 支持搶占和非搶占模式。

- 支持熱備切換，可設定CPU、內存、儲存、IP、服務等閾值

- 支持熱備告警。

6) 設備管理技術指標

- 支持本地日志查看、遠端syslog日志記錄、SNMP功能。

- 支持NTP網絡時鐘同步功能。

- 支持實時監控報表、歷史監控報表。

- 支持配置的備份及恢復功能。

- 支持多種方式登錄設備功能。

- 支持多種版本升級方式。

- 支持統計數據表：接口統計/虛擬服務統計/后臺服務統計

- 支持為管理員分配不同角色，規定用戶操作權限

- 支持日志級別設置

- 支持自定義日志格式

- 支持設備間同步系統配置

- 支持管理員RADIUS認證與授權

- 支持Email、Syslog告警。

- 支持IP定位，可升級定位數據庫。

- 能查看設備實時狀態，可查從分鐘級別到一個月的狀態曲線。

7) 自主可控技術指標

- 可提供完全自主可控軟硬件一體網關產品

- 完全自主知識產權量子安全網關軟件系統

- 國密局認證通過的國產密碼算法硬件加速模塊

- 采用自主可控國產操作系統

- 支持國產CPU自主可控芯片

- 支持國產自主可控量子隨機數芯片