一种量子安全通信系统及其加密隧道建立方法与流程

本技术涉及信息安全，具体涉及一种量子安全通信系统及其加密隧道建立方法。

背景技术：

1、量子安全通信系统通常包括量子安全网关、业务终端和密钥管理平台，在量子安全通信系统的安全通信过程中，量子安全网关需要与业务终端协商建立加密通道，同时还要向密钥管理平台申请量子密钥，并调用量子密钥建立加密通道的隧道模式，可见量子安全通信系统建立加密隧道的过程较为复杂，当多个业务终端同时申请建立加密隧道时，量子安全网关完成一个建立加密隧道任务后,再处理下一个业务终端的申请并执行新的建立加密隧道任务，即多个建立加密隧道任务在量子安全网关中“串行”执行，容易出现量子安全网关的cpu使用率过高，从而无法快速建立多个加密隧道的情况。

2、为了提高量子安全通信系统建立加密隧道的效率，一些量子安全通信系统设有多个量子安全网关，以提高业务终端的可接入数量及建立加密隧道的速度。然而，随着量子安全网关数量的增加，量子安全网关、业务终端、密钥管理平台之间的网络和安全防护配置也越来越复杂，影响了建立加密隧道的可靠性。

技术实现思路

1、本技术正是基于现有技术的上述需求而提出的，本技术所要解决的技术问题是提供一种量子安全通信系统及其加密隧道建立方法，量子安全网关的每个cpu预先创建多个用于建立加密隧道的进程，每个进程预先创建多个用于执行建立加密隧道任务的线程，从而使量子安全网关能够基于多进程和多线程“并发”的与多个业务终端建立加密隧道，以提高建立加密隧道的效率和可靠性。

2、为了解决上述问题，本技术提供以下技术方案。

3、本技术提出一种量子安全通信系统的加密隧道建立方法，量子安全通信系统包括量子安全网关、业务终端、密钥管理平台，量子安全网关包括多个cpu，量子安全通信系统加密隧道的建立方法包括：创建进程和线程：每个cpu预先创建多个用于建立加密隧道的进程，每个进程预先创建多个用于执行建立加密隧道任务的线程；任务分配：当多个业务终端同时向量子安全网关申请建立加密隧道时，建立加密隧道任务按申请顺序依次分配给当前负载最小的cpu，并由该cpu中当前负载最小的进程的空闲线程执行；建立加密通道：被分配任务的线程开始执行，量子安全网关与对应的业务终端协商并建立加密通道；申请量子密钥：量子安全网关和对应的业务终端分别向密钥管理平台申请量子密钥，使密钥管理平台生成和分发量子密钥；建立加密隧道：量子安全网关和对应的业务终端收到量子密钥并调用量子密钥作为会话密钥，以建立加密通道的隧道模式。

4、进一步地，量子安全网关预先创建进程池和线程池，以控制每个cpu中进程的数量和每个进程中线程的数量。

5、进一步地，负载最小的cpu为包含空闲进程数最多的cpu，负载最小的进程为包含空闲线程数最多的进程。

6、进一步地，所有进程预设大小不同的默认序号，当业务终端申请建立加密隧道时，存在多个当前负载最小的cpu，且多个当前负载最小的cpu中存在多个当前负载最小的进程，则建立加密隧道任务分配给多个当前负载最小的进程中默认序号最小的进程，并由该进程的空闲线程执行。

7、进一步地，所有线程预设大小不同的默认序号，当业务终端申请建立加密隧道时，存在多个当前负载最小的cpu，且多个当前负载最小的cpu中存在多个当前负载最小的进程，则建立加密隧道任务分配给多个当前负载最小的进程中默认序号最小的空闲线程执行。

8、进一步地，量子安全通信系统的加密隧道建立方法还包括：预设超时响应时间：量子安全网关预设允许线程处于无响应状态的时间；统计无响应时间：线程执行建立加密隧道任务时进入无响应状态，则实时统计本次无响应状态的时间；是否超时无响应：判断无响应时间是否大于等于预设超时响应时间；无响应超时处理：若无响应时间大于等于预设超时响应时间，则线程停止执行当前建立加密隧道任务，并发送告警信息；无响应未超时处理：若无响应时间小于预设超时响应时间，则线程继续执行当前建立加密隧道任务、实时统计本次进入无响应状态的时间，并重新判断无响应时间是否大于等于预设超时响应时间。

9、进一步地，加密通道为ipsec vpn。

10、本技术还提出一种量子安全通信系统，量子安全通信系统应用上述方法建立加密隧道。

11、进一步地，量子安全通信系统中，量子安全网关的数量为多个，其中至少一个所述量子安全网关作为备用量子安全网关。

12、本技术的有益效果包括：

13、(1)量子安全网关的每个cpu预先创建多个用于建立加密隧道的进程，每个进程预先创建多个用于执行建立加密隧道任务的线程,当多个业务终端同时向密钥管理平台申请建立加密隧道时，量子安全网关能够基于多进程和多线程“并发”的与多个业务终端建立加密隧道，即量子安全网关能够同时处理所有业务终端的申请，并根据当前空闲的线程的数量执行其中的部分或全部的建立加密隧道任务，从而在执行多次建立加密隧道任务之间节约了处理申请的时间，并且分配至不同cpu的任务能够同时执行，在一定程度上实现了并行执行,提高了建立加密隧道的效率和可靠性。

14、(2)建立加密隧道任务按申请顺序依次分配给当前负载最小的cpu，并由该cpu中当前负载最小的进程的空闲线程执行，从而合理分发建立加密隧道任务，实现了量子安全网关中各cpu的负载均衡，避免出现某个cpu因使用率过高导致建立加密隧道的速度下降，进一步提高了建立加密隧道的效率和可靠性。

15、(3)通过预先创建进程池和线程池，量子安全网关能够控制进程和线程的数量，并且回收再利用空闲的进程和线程，当某一进程或线程中不存在建立加密隧道任务时，量子安全网关无需销毁结束该进程或线程，而是利用进程池或线程池对相关资源进行回收，使该进程或线程能够再次用于执行建立加密隧道任务，从而节约了创建和销毁进程和线程所需的时间，进一步提高了建立加密隧道的效率。

16、(4)每个量子安全网关的进程和/或线程可以具有大小不同的默认序号，当“存在多个当前负载最小的cpu，且多个当前负载最小的cpu中存在多个当前负载最小的进程”时，默认序号小的进程和/或线程仍具有更高的任务分配优先级，使对应的cpu更频繁的被分配建立加密隧道任务，而其他cpu更多的处于空闲状态，从而使不同cpu的使用率存在差别，以避免多个使用率接近的cpu同时出现故障并导致无法通信，进一步提高建立加密隧道的可靠性。

17、(5)多个量个量子安全网关的进程和/或线程也可以具有大小不同的默认序号，当多个量子安全网关同时接入一定数量的业务终端时，可以使其中某些量子安全网关更频繁的被分配处理建立加密隧道任务，而另一些量子安全网关更多的处于空闲状态，从而使不同量子安全网关的使用率存在差别，以避免多个量子安全网关同时出现故障并导致无法通信，进一步提高建立加密隧道的可靠性。

18、(6)通过预设超时响应时间，线程能够在超时无响应时停止执行当前任务并发送告警信息，在此期间由于线程处于被占用状态，其他建立加密隧道任务将跳过该线程并分配给其他线程，从而避免出现异常线程导致的通信拥塞，进一步提高了建立加密隧道的效率和可靠性。