一种基于量子安全的5G虚商密钥库分发方法技术

本发明专利技术涉及一种基于量子安全的5G虚商密钥库分发方法，在部署有运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备的A、B两地均部署量子VPN网关和量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与本地的量子VPN网关连接，并通过量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，对量子VPN网关要发送的数据在传输层进行加密，实现信源数据及TCP协议传输的安全；两地的量子QKD设备之间通过专用信道共享量子密钥。该方法有利于提高运营商与虚拟运营商之间进行SIM卡号资源传输的安全性。商之间进行SIM卡号资源传输的安全性。商之间进行SIM卡号资源传输的安全性。

【技术实现步骤摘要】
一种基于量子安全的5G虚商密钥库分发方法


[0001]本专利技术属于数据传输
，具体涉及一种基于量子安全的5G虚商密钥库分发方法。

技术介绍

[0002]5G网络为行业而生，5G架构支持多种虚拟运营商组网方案。其中一种经济的组网方式是运营商将其卡号资源批量的分发给虚拟运营商。
[0003]卡号资源是包括USIM卡根密钥等身份信息的机密数据，需要在运营商机房与虚拟运营企业机房间进行机密通信，从而实现运营商的卡号资源安全传输到虚拟运营商机房。
[0004]在现有技术中，卡号资源有以下几种传输方式：1）依靠移动存储介质进行传输，该方式传输不方便，移动介质物理安全及信息安全存在风险；2）依靠传统VPN网络进行传输，该方式传输通道信息安全存在风险。
[0005]SIM卡号资源具有巨大的信息价值，如果在传输过程中被窃取和复制，会对5G网络的接入安全带来致命的打击。因此，提供一种更安全的密钥分发技术，非常适合该技术应用场景，可以提供基于量子物理理论层面的不可监听及不可篡改能力。

技术实现思路

[0006]本专利技术的目的在于提供一种基于量子安全的5G虚商密钥库分发方法，该方法有利于提高运营商与虚拟运营商之间进行SIM卡号资源传输的安全性。
[0007]为实现上述目的，本专利技术采用的技术方案是：一种基于量子安全的5G虚商密钥库分发方法，在部署有运营商SIM卡发行数据库设备的A地部署第一量子VPN网关和第一量子QKD设备，在部署有虚拟运营商SIM卡发行数据库设备的B地部署第二量子VPN网关和第二量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与第一量子VPN网关、第二量子VPN网关连接，并通过第一量子VPN网关与第二量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，同时对量子VPN网关要发送的数据在传输层进行加密，以实现信源数据的安全和TCP协议传输的安全；两地的量子QKD设备之间通过专用信道进行量子密钥的安全共享。
[0008]进一步地，所述第一量子QKD设备和第二量子QKD设备分别随机产生量子密钥，并在两地的量子QKD设备之间共享。
[0009]进一步地，所述第一量子QKD设备和第二量子QKD设备之间设有单向光量子信道及经典信道，并基于QKD
‑
BB84协议进行量子密钥的共享。
[0010]进一步地，量子密钥在两地的量子QKD设备之间共享后，量子QKD设备将量子密钥提供给本地的量子VPN网关，量子VPN网关基于量子密钥同远端的量子VPN网关进行SSL VPN会话密钥的协商。
[0011]进一步地，两地的量子VPN网关进行SSL VPN会话密钥协商的过程如下：
1）量子密钥共享：两地的量子QKD设备同步量子密钥QKEY(Q
‑
ID,Q
‑
Value)，并分别向本地的量子VPN网关输出QKEY；Q
‑
ID从0开始+1递增；Q
‑
Value为量子QKD设备根据BB84协商出的量子密钥；2）Client Hello：客户端，即第一量子VPN网关告知自己的协议版本，加密套件，Session ID、随机数A；3）Server Hello：服务器，即第二量子VPN网关根据Client Hello及自身能力回复协商内容及自己的随机数B；4）Server证书：服务器发送自己的数字证书，用于Client验证其身份；5）Client证书：客户端发送自己的数字证书，用于Server验证其身份；6）量子密钥提供：第二量子VPN网关获取QKEY(Q
‑
ID,Q
‑
Value)；7）QID：服务器向客户端发送QID，QID用于第一量子VPN网关选择对应的Q
‑
Value；8）量子密钥提供：第一量子VPN网关通过QID向第一量子QKD设备获取Q
‑
Value；9）Server密钥协商：服务器验证对方证书后，生成随机数PreMastKey，用随机数A、随机数B及Q
‑
Value共同计算MastKey；服务器用Client证书中的公钥加密PreMastKey发送给客户端；10）协商完成：客户端验证对方证书，用自身私钥解密PreMastKey，并根据量子密钥Q
‑
Value计算出MastKey；客户端与服务器之间共享MastKey后，进行传输层隧道的会话机密。
[0012]进一步地，应用层数据由数据库设备构造，主要由以单个SIM卡信息为信源的机密信息构成，包括：Type
‑
ID，应用数据的协议种类；SIM
‑
ID，每个SIM卡个人化信息的唯一ID，在应用层明文传输；Q
‑
ID为量子密钥的ID，该ID在两地的量子QKD设备之间共享；SIM卡个人化数据加密信息SM4(Q
‑
Value，SIM个人化数据)，以国密SM4对称加密算法，以Q
‑
Value为密钥，以SIM卡个人化数据为明文的加密运算密文；完整性校验值，以国密SM3算法，以Q
‑
Value为密钥的HMAC校验值；以及SIM数据信源，在应用层由SIM卡数据库实现一次一密的加密强度，密钥为量子QKD设备输出的专用量子密钥。
[0013]与现有技术相比，本专利技术具有以下有益效果：提供了一种基于量子安全的5G虚商密钥库分发方法，该方法不仅可以实现实时的SIM卡数据传输，而且采用一套量子设备解决两个层面的安全问题，实现了应用层和传输层的双层加密；解决了传输层设备（及管理者）对业务安全数据进行窃密的可能性；此外，基于量子QKD共享密钥的安全性高，基于此密钥建立的VPN隧道安全性高于非量子VPN隧道。因此，本专利技术具有很强的实用性和广阔的应用前景。
附图说明
[0014]图1是本专利技术实施例的数据传输架构图。
[0015]图2是本专利技术实施例中量子密钥双层加密原理图。
[0016]图3是本专利技术实施例中量子密钥双层加密流程图。
[0017]图4是本专利技术实施例中SSL VPN会话密钥协商流程图。
[0018]图5是本专利技术实施例中基于量子密钥的信源结构示意图。
具体实施方式
[0019]下面结合附图及实施例对本专利技术做进一步说明。
[0020]应该指出，以下详细说明都是示例性的，旨在对本申请提供进一步的说明。除非另有指明，本文使用的所有技术和科学术语具有与本申请所属
的普通技术人员通常理解的相同含义。
[0021]需要注意的是，这里所使用的术语仅是为了描述具体实施方式，而非意图限制根据本申请的示例性实施方式。如在这里所使用的，除非上下文另外明确指出，否则单数形式也意图包括复数形式，此外，还应当理解的是，当在本说明书中使用术本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于量子安全的5G虚商密钥库分发方法，其特征在于，在部署有运营商SIM卡发行数据库设备的A地部署第一量子VPN网关和第一量子QKD设备，在部署有虚拟运营商SIM卡发行数据库设备的B地部署第二量子VPN网关和第二量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与第一量子VPN网关、第二量子VPN网关连接，并通过第一量子VPN网关与第二量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，同时对量子VPN网关要发送的数据在传输层进行加密，以实现信源数据的安全和TCP协议传输的安全；两地的量子QKD设备之间通过专用信道进行量子密钥的安全共享。2.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，所述第一量子QKD设备和第二量子QKD设备分别随机产生量子密钥，并在两地的量子QKD设备之间共享。3.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，所述第一量子QKD设备和第二量子QKD设备之间设有单向光量子信道及经典信道，并基于QKD
‑
BB84协议进行量子密钥的共享。4.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，量子密钥在两地的量子QKD设备之间共享后，量子QKD设备将量子密钥提供给本地的量子VPN网关，量子VPN网关基于量子密钥同远端的量子VPN网关进行SSL VPN会话密钥的协商。5.根据权利要求4所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，两地的量子VPN网关进行SSL VPN会话密钥协商的过程如下：1）量子密钥共享：两地的量子QKD设备同步量子密钥QKEY(Q
‑
ID,Q
‑
Value)，并分别向本地的量子VPN网关输出QKEY；Q
‑
ID从0开始+1递增；Q
‑
Value为量子QKD设备根据BB84协商出的量子密钥；2）Client Hello：客户端，即第一量子VPN网关告知自己的协议版本，加密套件，Session ID、随机数A...

【专利技术属性】
技术研发人员：张松磊，李源灏，陈爽，刘刚，陈人楷，耿震磊，陈瀚，陈曦，陈小倩，范炜琳，
申请(专利权)人：国网福建省电力有限公司信息通信分公司，
类型：发明
国别省市：