CN117675395A - 一种具有隔离功能的量子加密网络设备 - Google Patents

Abstract

本申请公开了一种具有隔离功能的量子加密网络设备，该设备包括内网通信区、外网通信区和安全数据处理区；安全数据处理区充当内网和外网之间的缓冲层，所有通过内网和外网之间的数据传输都必须经过这个区域；该安全数据处理区具备数据过滤功能和量子加解密功能，能够有效地识别和拦截非法的数据；通过这种方式，不安全的数据都可以在到达内网前被阻截；同时引入了量子加解密技术，由于量子加密技术被认为是一种高度安全的加密手段，使得任何企图破解的尝试都极为困难，甚至在理论上是不可能的；在数据传输通道中应用量子加密技术，即便数据在传输过程中被截获，数据的安全性也能够得到较好的保障。

Description

一种具有隔离功能的量子加密网络设备

技术领域

本申请涉及信息安全技术领域，尤其涉及一种具有隔离功能的量子加密网络设备。

背景技术

内网和外网是两种常见的网络类型，它们在访问控制、用途和范围上具有显著的差异。内网是一个受限的网络，它使用互联网协议技术(如TCP/IP)来构建一个私有的网络环境。这种网络通常是企业、组织或机构内部的网络，目的是为了分享公司资源和信息、提高工作效率以及促进员工之间的协作。外网，即互联网，是一个全球性的公共网络，由无数个小型和大型网络互联组成。它不像内网那样受限制，为人们提供了从任何地方访问全球信息的能力。在安全性方面，互联网上的数据传输可能会受到窃听、攻击或其他安全威胁，这就需要额外的安全措施，如数据加密、防病毒软件和其他安全协议来保护数据和设备。

在相关技术中用于保护内网与外网之间传输数据安全性的设备，例如中国专利申请号为：CN202223595433.5的专利文本中提到：本实用新型公开一种量子安全工业互联网网关及平台，涉及量子安全工业互联网技术领域，包括：处理模块、通信模块和安全模块；所述处理模块与通信模块连接，所述安全模块具有SPI接口，通过SPI接口与通信模块连接。基于通用网关SPI接口，无需改动网关原有接口，通过将具有SPI接口的安全模块、量子安全服务平台与IOT平台等进行有机结合，无需定制支持SIM卡的网关设备接口，可直接应用于工业互联网网关。

上述方案的网络设备中，工业互联网网关将采集后的数据加密传输给IOT平台，IOT平台收到业务数据密文及会话密钥标识后，向量子安全服务平台申请相应的会话密钥，并使用相应的会话密钥对加密数据进行解密得到业务数据明文，最终将业务数据明文发送给MES系统，完成业务数据的安全传输；同时其在加密时，需要向量子安全服务平台申请密钥，再根据申请的密钥解密得到用于加密数据的密钥后，再通过该解密得到的会话密钥去加密数据；使用过程中需要依赖于量子安全服务平台，一旦网络环境出现异常，例如安全模块到量子安全服务平台的通信出现故障或者通信延迟较大，则会直接影响数据的加密处理；此外，由于其安全模块仅具有密钥申请的功能，因此也难以实现数据类型的判断，比如区别安全的数据和不安全的数据，因此其安全性也有待提高。

发明内容

为了解决上述技术问题，本申请公开了一种具有隔离功能的量子加密网络设备，该设备包括有转发模块、交换模块、隔离模块、量子加解密模块、第一无线接口模块、第二无线接口模块、第一有线接口模块和第二有线接口模块组成的内网通信区、外网通信区和安全数据处理区，所述转发模块包括内网转发单元和外网转发单元；

所述内网通信区通过所述安全数据处理区与外网通信区之间建立数据传输通道，所述安全数据处理区用于对数据传输通道中传输的数据进行过滤和量子加解密处理；

所述转发模块的内网转发单元分别与第一无线接口模块和交换模块相连，所述交换模块与所述第一有线接口模块相连，以此构成内网通信区；所述第二无线接口模块、第二有线接口模块和转发模块的外网转发单元构成外网通信区，在所述外网通信区中，第二无线接口模块与转发模块的外网转发单元相连；所述隔离模块和量子加解密模块构成安全数据处理区，在所述安全数据处理区中，隔离模块分别与转发模块的外网转发单元、量子加解密模块、交换模块和第二有线接口模块相连。

上述方案中，所述第一无线接口模块与第一有线接口模块之间通过转发模块的内网转发单元和交换模块建立第一内网数据传输通道；

所述第一有线接口模块中的物理接口之间通过所述交换模块建立第二内网数据传输通道；

所述第一无线接口模块的通信端口之间通过转发模块的内网转发单元建立第三内网数据传输通道；

所述第一无线接口模块与第二有线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的内网转发单元建立第一安全数据传输通道；

所述第一无线接口模块与第二无线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的外网转发单元建立第二安全数据传输通道；

所述第一有线接口模块与第二有线接口模块之间通过交换模块和隔离模块建立第三安全数据传输通道；

所述第一有线接口模块与第二无线接口模块之间通过交换模块、隔离模块和转发模块的外网转发单元建立第四安全数据传输通道。

上述方案中，所述转发模块的内网转发单元配置有第一数据转发表，所述转发模块通过第一数据转发表确定第一无线接口模块和交换模块侧数据的转发；

所述转发模块的外网转发单元配置有第二数据转发表，所述转发模块通过第二数据转发表确定第二无线接口模块和交换模块侧数据的转发；

所述交换模块中配置有第三数据转发表，所述交换模块通过第三数据转发表确定第一有线接口模块、转发模块的内网转发单元、转发模块的外网转发单元和第二有线接口模块侧数据的转发。

上述方案中，所述转发模块和交换模块查询转发表时，基于目的MAC地址查询对应的目的物理端口信息。

上述方案中，所述安全数据处理区中的量子加解密模块用于对内网通信区和外网通信区之间传输的数据进行量子加解密处理；所述隔离模块在对数据进行过滤时，对交换模块和转发模块所涉及的链路层协议进行透传。

上述方案中，内网通信区和外网通信区之间传输的数据是否进行加密或解密，通过量子加密网络设备的端口配置确定，所述端口配置包括量子加密网络设备接收数据的源端口与量子加密网络设备转发数据时所对应的目的端口之间的配置。

上述方案中，所述量子加解密模块进一步用于根据数据的源物理端口确定其对应的加密类型，所述加密类型包括量子加密，和量子加密与国密加密相结合的双重加密。

上述方案中，所述量子加解密模块加密的过程包括：

交换模块基于数据的源物理端口信息以及目的物理端口信息，查询加密配置表，若确定所述数据需要加密,则生成对应的加密标识，将加密标识和该数据对应的源物理端口信息发送至隔离模块；

隔离模块根据加密标识判断需要对数据进行加密时，将数据和源物理端口信息转发至量子加解密模块；

量子加解密模块根据加密标识确定需要进行加密处理时，根据源物理端口信息在其存储的加密类型表中匹配对应的加密类型，根据该加密类型对数据进行加密处理，得到加密数据，并在加密数据的数据头携带其对应的加密类型信息，然后将加密数据发送至隔离模块；

隔离模块将接收到的加密数据和源物理端口信息转发至交换模块；

交换模块根据源物理端口信息查询第三转发表，确定加密数据对应的目的物理端口信息，根据目的物理端口信息，将加密数据经隔离模块和转发模块转发出去。

上述方案中，所述量子加解密模块解密的过程包括：

隔离模块接收来自转发模块的外网数据，将外网数据中符合加密特征的数据密文发送至交换模块；其中，数据密文的数据头中携带有加密类型信息和目的MAC地址；

交换模块根据目的MAC地址查询第三转发表，确定目的物理端口信息，根据加密配置表的端口配置，判断是否需要解密，若需要解密，则生成对应的解密标识，并将带有解密标识的数据密文发送至隔离模块；

隔离模块将带有解密标识的数据密文转发至量子加解密模块；

量子加解密模块根据解密标识确定需要解密时，根据数据密文中的数据头获取该数据的加密类型，以此对数据密文进行解密，然后将解密得到的数据明文发送至隔离模块；

隔离模块将接收到的数据明文转发至交换模块，交换模块根据目的MAC地址查询第三转发表，从匹配到的目的物理端口将数据明文转发出去。

本申请的有益效果如下：在本申请的方案中，将安全数据处理区则充当内网和外网之间的缓冲层，它是本架构中的关键组成部分；所有通过内网和外网之间的数据传输都必须经过这个区域；安全数据处理区具备数据过滤功能和量子加解密功能，能够有效地识别和拦截非法的数据；通过这种方式，不安全的数据都可以在到达内网前被阻截；同时引入了量子加解密技术，量子加密技术被认为是一种高度安全的加密手段，因为它依赖于量子力学的原理，这使得任何企图破解的尝试都极为困难，甚至在理论上是不可能的；在数据传输通道中应用量子加密，意味着即便数据在传输过程中被截获，数据的安全性也得以保障。

附图说明

为了更清楚地说明本申请实施例中的技术方案，下面将对实施例描述中所需要使用的附图作简要介绍，显而易见地，下面描述中的附图仅仅是本申请的一些实施例，对于本领域的普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本实施例中的一种具有隔离功能的量子加密网络设备结构示意图；

图2为本实施例中的另一种具有隔离功能的量子加密网络设备结构示意图；

图3为本实施例中加密配置表的数据结构示意图；

图4为本实施例中数据加密方法的流程图；

图5为本实施例中数据解密方法的流程图。

具体实施方式

为了使本申请的目的、技术方案和优点更加清楚，下面将结合附图对本申请作进一步地详细描述，显然，所描述的实施例仅仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其它实施例，都属于本申请保护的范围。

实施例：一种具有隔离功能的量子加密网络设备，包括由转发模块、交换模块、隔离模块、量子加解密模块、第一无线接口模块、第二无线接口模块、第一有线接口模块和第二有线接口模块组成的内网通信区、外网通信区和安全数据处理区；

所述内网通信区通过所述安全数据处理区与外网通信区之间建立安全数据传输通道，所述安全数据处理区用于对安全数据传输通道中传输的数据进行过滤和量子加解密处理；

内网通信区、外网通信区和量子安全数据处理区的组成：

参见图1，所述转发模块包括内网转发单元和外网转发单元；

所述第一无线接口模块、转发模块的内网转发单元、交换模块和第一有线接口模块构成内网通信区；

所述第二无线接口模块、第二有线接口模块和转发模块的外网转发单元构成外网通信区；

所述隔离模块和量子加解密模块构成安全数据处理区；

在所述内网通信区中，所述转发模块分别与所述交换模块、隔离模块、第一无线接口模块和第二无线接口模块相连；所述第一有线接口模块包括一个或多个物理接口；

参见图2，在一种可能的实施方式中，转发模块和量子加解密模块为采用ARM/X86架构的处理模块；隔离模块可采用FPGA(Field Programmable Gate Array)、PAL、GAL以及其它相同功能的模块；第一无线接口模块为WIFI模组；第二无线接口模块为4G/5G模组；第一有线接口模块为包括一个或多个物理接口的LAN接口；第一有线接口模块为WAN接口；其中，转发模块在逻辑上划出两个功能单元，分别为用于在第一有线接口模块与交换模块之间进行数据转发的内网转发单元，以及在第二无线接口模块与交换模块之间传输数据的外网转发单元；

第一无线接口模块和第二无线接口模块通过PCIE接口与转发模块通信连接，转发模块通过RGMII/serdes数据接口与交换模块通信连接，第一有线接口模块和第二有线接口模块通过PHY芯片与交换模块通信连接，交换模块通过UARI/SPI/PCIe接口与隔离模块通信连接；隔离模块通过UARI/SPI/PCIe接口与量子加解密模块通信连接；

基于上述连接关系，本实施例中的网络设备中包含有以下数据的传输通道：

所述第一无线接口模块与第一有线接口模块之间通过转发模块的内网转发单元和交换模块建立第一内网数据传输通道；

所述第一有线接口模块中的物理接口之间通过所述交换模块建立第二内网数据传输通道；

所述第一无线接口模块的通信端口之间通过转发模块的内网转发单元建立第三内网数据传输通道；

所述第一无线接口模块与第二有线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的内网转发单元建立第一安全数据传输通道；

所述第一无线接口模块与第二无线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的外网转发单元建立第二安全数据传输通道；

所述第一有线接口模块与第二有线接口模块之间通过交换模块和隔离模块建立第三安全数据传输通道；

所述第一有线接口模块与第二无线接口模块之间通过交换模块、隔离模块和转发模块的外网转发单元建立第四安全数据传输通道；

上述的数据传输通道具体通过转发表确定数据的转发，转发表包括：

转发模块中内网转发单元配置的第一数据转发表；转发模块通过第一数据转发表确定第一无线接口模块和交换模块侧数据的转发；

转发模块中外网转发单元配置的第二数据转发表，转发模块通过第二数据转发表确定第二无线接口模块和交换模块侧数据的转发；第一数据转发表通过转发模块进行维护和更新；

所述交换模块中配置有第三数据转发表，所述交换模块通过第三数据转发表确定第一有线接口模块、转发模块的内网转发单元、转发模块的外网转发单元和第二有线接口模块侧数据的转发；

在具体转发过程中，根据目的MAC地址查询对应的转发表，以确定目的物理端口信息；

转发表可以通过两种方式建立，一种是自学习，另一种是手动配置静态条目；

自学习的过程包括：

当网关的某个端口接收到一个数据帧时，将这个数据帧的源MAC地址和接收数据帧的物理端口号作为一个自学习转发条目保存在自己的转发表中，同时在接收到这个数据帧时重置这个条目的老化计时器时间；

如果老化时间期限内，网关再次从同一个端口，收到包含有相同源MAC地址的数据帧时，交换机更新之前建立的自学习转发条目的老化计时器，以确保活跃的条目不会老化；

但是如果在老化时间内都没收到与之前自学习转发条目相匹配的数据帧，则交换机将该自学习转发条目从自己的转发表中删除。

手动配置静态条目：

可以通过转发模块，手动配置在网关的转发表中添加静态条目；静态添加的MAC地址条目优先动态学习的条目进行转发，但静态条目没有老化时间，会一直保存在网关的转发表中。

内网通信区与外网通信区之间传输数据的安全处理包括以下：

在所述第一安全数据传输通道、第二安全数据传输通道、第三安全数据传输通道和第四安全数据传输通道中通过所述隔离模块对传输的数据进行过滤

在一种可能的实施方式中，过滤规则包括加密特征，当外网通信区的数据不满足加密特征，则对来自外网通信区的数据进行拦截；又例如当接收到内网通信区向外网通信区传输的数据时，根据数据头判断其是否为加密数据，若是，则允许该数据传输至外网通信区；否则，对该数据进行拦截；其中，数据的加密方式是，基于IP负载加密，即加密时只对IP协议后的负载加密，不对IP协议本身即外层协议加密；示例性的，在数据的帧头携带有该数据的加密类型信息和数据类型信息；隔离模块基于数据帧头中的数据类型信息判断该数据是否为敏感数据，例如用户数据，若为敏感数据且基于加密类型判断为非加密数据，则对该数据进行拦截，阻止其通过，以此保障数据的安全性；

内网通信区向外网通信区，以及外网通信区向内网通信区发送的数据均需通过隔离模块进行处理，使得内网通信区中的不安全数据，例如非加密数据，难以向外传输；来自外网通信区的不安全数据，难以进入内网通信区；

安全数据处理区中的量子加解密模块，用于对内网通信区和外网通信区之间传输的数据进行量子加解密处理；隔离模块在对数据进行过滤时，对交换模块和转发模块所涉及的链路层协议进行透传，以使网络能够正常发现设备和接口；

量子加解密模块通过量子密钥对数据进行加解密处理，该量子密钥通过量子随机数发生器(Quantum Random Number Generator,QRNG)生成；示例性的，在量子加解密过程中：可以在量子加解密模块与数据发送端或接收端共享一组对称量子密钥文件，量子加解密模块在进行量子加解密时，根据数据的长度从共享的量子密钥文件选取对应长度的量子密钥，以异或方式加密该数据形成量子加密数据，并生成用于加密该数据的量子密钥对应的索引，该索引用于指示量子密钥在量子密钥文件中的位置信息，之后将索引和量子加密数据发送至接收端，接收端根据索引从其与发送端共享的量子密钥文件中确定用于解密的量子密钥，以此解密接收到的量子加密数据；此外用于加解密的量子密钥也可以是其它网络设备转发过来的量子密钥；例如发送端或接收端，和量子安全模块共同接入在同一服务器之下，量子加解密模块通过量子密钥数据后，将用于加密的量子密钥发送至服务器，由服务器将量子密钥转发至接收端，或者是服务器将来自发送端用于加密数据的量子密钥转发至量子加解密模块，量子加解密模块根据接收的量子密钥解密其接收到的量子加密数据；

数据传输通道中的量子加解密处理：

参见图3，内网通信区和外网通信区之间传输的数据是否进行加密或解密，通过量子加密网络设备的端口配置确定，所述端口配置包括所述量子加密网络设备接收数据的源端口与量子加密网络设备转发数据时所对应的目的端口之间的配置；具体可由加密配置表中的端口配置进行确定；例如，加密配置表的端口配置中：G0/1与G0/6的端口配置为加密，则经过G0/1端口向G0/6端口发送的数据，均需要通过量子加解密模块进行量子加密处理；G0/8与G0/5的端口配置为解密，则来自G0/8端口向G0/5的端口发送的加密数据，需要通过量子加解密模块进行量子解密后，再向G0/8端口转发该解密后得到的数据；

数据的加密或者解密通过端口对的配置确定，简化了操作步骤，这种方法允许系统管理员在网络设备上预先设定一组端口对，以此来指定哪些端口所处理的数据需要进行加密，哪些端口的数据需要解密；一旦端口对配置完成，所有通过这些端口的数据流都将自动进行加密或者解密处理，无需额外的用户干预。例如，在企业内部网络中，可能会将从内网到外网的出口端口配置为加密端口，而从外网到内网的入口端口配置为解密端口。当数据包经过这些端口时，安全系统会根据预定义的规则自动对数据包进行相应的安全处理。此外，由于加密和解密操作是自动执行的，这降低了因人为错误导致的安全风险。操作人员不需要对每个独立的数据包进行手动加解密操作，这不仅节省了时间，还减少了操作的复杂性。同时，自动化流程可保证所有敏感数据在传输过程中始终得到一致和连续的保护。

量子加解密模块在进行加密时，进一步根据数据的源物理端口确定其对应的加密类型，所述加密类型包括量子加密，和量子加密与国密加密相结合的双重加密；在一种可能的实施方式中，加密的方式包括：量子加密、先量子加密后国密加密和先国密加密后量子加密；

参见图4，加密的过程包括：

S101：交换模块基于数据的源物理端口信息以及目的物理端口信息，查询加密配置表，若确定所述数据需要加密,则生成对应的加密标识，将加密标识和该数据对应的源物理端口信息发送至隔离模块；

其中，数据包括从第一无线接口模块经转发模块的内网转发单元转发的数据，以及来自第一有线接口模块的数据；

S102：隔离模块根据加密标识判断需要对数据进行加密时，将数据和源物理端口信息转发至量子加解密模块；

隔离模块可以进一步配置为若确定数据属于加密范围的数据，则将数据转发给量子加解密模块，执行下一步的数据加密流程；其中，经过隔离模块确定的需要进行加密的数据未携带有加密标识时，则由隔离模块生成对应的加密标识，携带在数据的帧头；通过隔离模块进一步对数据进行识别判断，使得隔离模块具有了安全保护功能，例如敏感数据未从对应的加密端口发出，但经过隔离模块被识别为需要加密保护的数据，则进一步执行加密流程，从而提高了整体的安全性；

S103：量子加解密模块根据加密标识确定需要进行加密处理时，根据源物理端口信息在其存储的加密类型表中匹配对应的加密类型，根据该加密类型对数据进行加密处理，得到加密数据，并在加密数据的数据头携带其对应的加密类型信息，然后将加密数据发送至隔离模块；

加密类型表基于各源物理端口信息建立与之对应的加密类型，具体加密的类型包括有以下几种：量子加密、先量子加密后国密加密和先国密加密后量子加密；

S104：隔离模块将接收到的加密数据和源物理端口信息转发至交换模块；

S105：交换模块根据源物理端口信息查询第三转发表，确定加密数据对应的目的物理端口信息，根据目的物理端口信息，将加密数据经隔离模块和转发模块转发出去。

参见图5，解密的过程包括：

S201：隔离模块接收来自转发模块的外网数据，将外网数据中符合加密特征的数据密文发送至交换模块；其中，数据密文的数据头中携带有加密类型信息和目的MAC地址；

外网数据包括来自第二有线接口模块的数据，以及第二无线接口模块经转发模块的外网转发单元转发的数据；

S202：交换模块根据目的MAC地址查询第三转发表，确定目的物理端口信息，根据加密配置表的端口配置，判断是否需要解密，若需要解密，则生成对应的解密标识，并将带有解密标识的数据密文发送至隔离模块；

S203：隔离模块将带有解密标识的数据密文转发至量子加解密模块；

S204：量子加解密模块根据解密标识确定需要解密时，根据数据密文中的数据头获取该数据的加密类型，以此对数据密文进行解密，然后将解密得到的数据明文发送至隔离模块；

若该数据的加密类型为先量子加密后国密加密，则先对其进行量子解密处理，再根据预设的国密算法进行国密解密；

若该数据的加密类型为先国密加密后量子加密，则先根据预设的国密算法进行国密解密后，再对其进行量子解密处理；

若该数据的加密类型为量子加密，则直接进行对应的量子解密处理；

S205：隔离模块将接收到的数据明文转发至交换模块，交换模块根据目的MAC地址查询第三转发表，从匹配到的目的物理端口将数据明文转发出去；

其中，用于解密的量子解密密钥可通过其它量子安全设备获取，例如通过服务器转发的量子解密密钥；

若不需要解密，则直接根据目的MAC地址查询第三转发表，从匹配到的目的物理端口将数据密文转发出去。

在一种可能的实施方式中，隔离模块在接收到来自外网通信区的符合加密特征的数据密文时，分别将该数据密文转发至交换模块，和量子加解密模块中的缓存区，待交换模块确定需要解密后响应对应的解密请求隔离模块，由隔离模块通知量子加解密模块执行对应的解密流程，以此减少隔离模块再次向量子加解密模块传输数据密文过程中的等待时间，提高解密过程的处理效率。

显然，本领域的技术人员可以对本申请进行各种改动和变型而不脱离本申请的精神和范围。这样，倘若本申请的这些修改和变型属于本申请权利要求及其等同技术的范围之内，则本申请也意图包含这些改动和变型在内。

Claims (9)

1.一种具有隔离功能的量子加密网络设备，其特征在于，包括由转发模块、交换模块、隔离模块、量子加解密模块、第一无线接口模块、第二无线接口模块、第一有线接口模块和第二有线接口模块组成的内网通信区、外网通信区和安全数据处理区，所述转发模块包括内网转发单元和外网转发单元；

所述内网通信区通过所述安全数据处理区与外网通信区之间建立数据传输通道，所述安全数据处理区用于对数据传输通道中传输的数据进行过滤和量子加解密处理；

所述转发模块的内网转发单元分别与第一无线接口模块和交换模块相连，所述交换模块与所述第一有线接口模块相连，以此构成内网通信区；所述第二无线接口模块、第二有线接口模块和转发模块的外网转发单元构成外网通信区，在所述外网通信区中，第二无线接口模块与转发模块的外网转发单元相连；所述隔离模块和量子加解密模块构成安全数据处理区，在所述安全数据处理区中，隔离模块分别与转发模块的外网转发单元、量子加解密模块、交换模块和第二有线接口模块相连。

2.根据权利要求1所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述第一无线接口模块与第一有线接口模块之间通过转发模块的内网转发单元和交换模块建立第一内网数据传输通道；

所述第一有线接口模块中的物理接口之间通过所述交换模块建立第二内网数据传输通道；

所述第一无线接口模块的通信端口之间通过转发模块的内网转发单元建立第三内网数据传输通道；

所述第一无线接口模块与第二有线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的内网转发单元建立第一安全数据传输通道；

所述第一无线接口模块与第二无线接口模块之间通过转发模块的内网转发单元、交换模块、隔离模块和转发模块的外网转发单元建立第二安全数据传输通道；

所述第一有线接口模块与第二有线接口模块之间通过交换模块和隔离模块建立第三安全数据传输通道；

所述第一有线接口模块与第二无线接口模块之间通过交换模块、隔离模块和转发模块的外网转发单元建立第四安全数据传输通道。

3.根据权利要求2所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述转发模块的内网转发单元配置有第一数据转发表，所述转发模块通过第一数据转发表确定第一无线接口模块和交换模块侧数据的转发；

所述转发模块的外网转发单元配置有第二数据转发表，所述转发模块通过第二数据转发表确定第二无线接口模块和交换模块侧数据的转发；

所述交换模块中配置有第三数据转发表，所述交换模块通过第三数据转发表确定第一有线接口模块、转发模块的内网转发单元、转发模块的外网转发单元和第二有线接口模块侧数据的转发。

4.根据权利要求3所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述转发模块和交换模块查询转发表时，基于目的MAC地址查询对应的目的物理端口信息。

5.根据权利要求1所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述安全数据处理区中的量子加解密模块用于对内网通信区和外网通信区之间传输的数据进行量子加解密处理；所述隔离模块在对数据进行过滤时，对交换模块和转发模块所涉及的链路层协议进行透传。

6.根据权利要求5所述的一种具有隔离功能的量子加密网络设备，其特征在于，内网通信区和外网通信区之间传输的数据是否进行加密或解密，通过量子加密网络设备的端口配置确定，所述端口配置包括量子加密网络设备接收数据的源端口与量子加密网络设备转发数据时所对应的目的端口之间的配置。

7.根据权利要求6所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述量子加解密模块进一步用于根据数据的源物理端口确定其对应的加密类型，所述加密类型包括量子加密，和量子加密与国密加密相结合的双重加密。

8.根据权利要求7所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述量子加解密模块加密的过程包括：

交换模块基于数据的源物理端口信息以及目的物理端口信息，查询加密配置表，若确定所述数据需要加密,则生成对应的加密标识，将加密标识和该数据对应的源物理端口信息发送至隔离模块；

隔离模块根据加密标识判断需要对数据进行加密时，将数据和源物理端口信息转发至量子加解密模块；

量子加解密模块根据加密标识确定需要进行加密处理时，根据源物理端口信息在其存储的加密类型表中匹配对应的加密类型，根据该加密类型对数据进行加密处理，得到加密数据，并在加密数据的数据头携带其对应的加密类型信息，然后将加密数据发送至隔离模块；

隔离模块将接收到的加密数据和源物理端口信息转发至交换模块；

交换模块根据源物理端口信息查询第三转发表，确定加密数据对应的目的物理端口信息，根据目的物理端口信息，将加密数据经隔离模块和转发模块转发出去。

9.根据权利要求8所述的一种具有隔离功能的量子加密网络设备，其特征在于，所述量子加解密模块解密的过程包括：

隔离模块接收来自转发模块的外网数据，将外网数据中符合加密特征的数据密文发送至交换模块；其中，数据密文的数据头中携带有加密类型信息和目的MAC地址；

交换模块根据目的MAC地址查询第三转发表，确定目的物理端口信息，根据加密配置表的端口配置，判断是否需要解密，若需要解密，则生成对应的解密标识，并将带有解密标识的数据密文发送至隔离模块；

隔离模块将带有解密标识的数据密文转发至量子加解密模块；

量子加解密模块根据解密标识确定需要解密时，根据数据密文中的数据头获取该数据的加密类型，以此对数据密文进行解密，然后将解密得到的数据明文发送至隔离模块；

隔离模块将接收到的数据明文转发至交换模块，交换模块根据目的MAC地址查询第三转发表，从匹配到的目的物理端口将数据明文转发出去。