[发明专利]一种基于量子安全的5G虚商密钥库分发方法

权利要求书

1.一种基于量子安全的5G虚商密钥库分发方法，其特征在于，在部署有运营商SIM卡发行数据库设备的A地部署第一量子VPN网关和第一量子QKD设备，在部署有虚拟运营商SIM卡发行数据库设备的B地部署第二量子VPN网关和第二量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与第一量子VPN网关、第二量子VPN网关连接，并通过第一量子VPN网关与第二量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，同时对量子VPN网关要发送的数据在传输层进行加密，以实现信源数据的安全和TCP协议传输的安全；两地的量子QKD设备之间通过专用信道进行量子密钥的安全共享；

量子密钥在两地的量子QKD设备之间共享后，量子QKD设备将量子密钥提供给本地的量子VPN网关，量子VPN网关基于量子密钥同远端的量子VPN网关进行SSL VPN会话密钥的协商；

两地的量子VPN网关进行SSL VPN会话密钥协商的过程如下：

1）量子密钥共享：两地的量子QKD设备同步量子密钥QKEY，并分别向本地的量子VPN网关输出QKEY；量子密钥QKEY包括Q-ID和Q-Value两个参数，Q-ID从0开始+1递增，Q-Value为量子QKD设备根据QKD-BB84协商出的量子密钥；

2）Client Hello：客户端，即第一量子VPN网关告知自己的协议版本，加密套件，Session ID、随机数A；

3）Server Hello：服务器，即第二量子VPN网关根据Client Hello及自身能力回复协商内容及自己的随机数B；

4）Server证书：服务器发送自己的数字证书，用于Client验证其身份；

5）Client证书：客户端发送自己的数字证书，用于Server验证其身份；

6）量子密钥提供：第二量子VPN网关获取QKEY；

7）QID：服务器向客户端发送QID，QID用于第一量子VPN网关选择对应的Q-Value；

8）量子密钥提供：第一量子VPN网关通过QID向第一量子QKD设备获取Q-Value；

9）Server密钥协商：服务器验证对方证书后，生成随机数PreMastKey，用随机数A、随机数B及Q-Value共同计算MastKey；服务器用Client证书中的公钥加密PreMastKey发送给客户端；

10）协商完成：客户端验证对方证书，用自身私钥解密PreMastKey，并根据量子密钥Q-Value计算出MastKey；

客户端与服务器之间共享MastKey后，进行传输层隧道的会话机密。

2.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，所述第一量子QKD设备和第二量子QKD设备分别随机产生量子密钥，并在两地的量子QKD设备之间共享。

3.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，所述第一量子QKD设备和第二量子QKD设备之间设有单向光量子信道及经典信道，并基于QKD-BB84协议进行量子密钥的共享。

4.根据权利要求1所述的一种基于量子安全的5G虚商密钥库分发方法，其特征在于，应用层数据由数据库设备构造，主要由以单个SIM卡信息为信源的机密信息构成，包括：

Type-ID，应用数据的协议种类；

SIM-ID，每个SIM卡个人化信息的唯一ID，在应用层明文传输；

Q-ID为量子密钥的ID，该ID在两地的量子QKD设备之间共享；

SIM卡个人化数据加密信息SM4，以国密SM4对称加密算法，以Q-Value为密钥，以SIM卡个人化数据为明文的加密运算密文；

完整性校验值，以国密SM3算法，以Q-Value为密钥的HMAC校验值；以及

SIM数据信源，在应用层由SIM卡数据库实现一次一密的加密强度，密钥为量子QKD设备输出的专用量子密钥。