[发明专利]一种基于量子安全的5G虚商密钥库分发方法

说明书

本发明涉及一种基于量子安全的5G虚商密钥库分发方法，在部署有运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备的A、B两地均部署量子VPN网关和量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与本地的量子VPN网关连接，并通过量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，对量子VPN网关要发送的数据在传输层进行加密，实现信源数据及TCP协议传输的安全；两地的量子QKD设备之间通过专用信道共享量子密钥。该方法有利于提高运营商与虚拟运营商之间进行SIM卡号资源传输的安全性。

技术领域

本发明属于数据传输技术领域，具体涉及一种基于量子安全的5G虚商密钥库分发方法。

背景技术

5G网络为行业而生，5G架构支持多种虚拟运营商组网方案。其中一种经济的组网方式是运营商将其卡号资源批量的分发给虚拟运营商。

卡号资源是包括USIM卡根密钥等身份信息的机密数据，需要在运营商机房与虚拟运营企业机房间进行机密通信，从而实现运营商的卡号资源安全传输到虚拟运营商机房。

在现有技术中，卡号资源有以下几种传输方式：1）依靠移动存储介质进行传输，该方式传输不方便，移动介质物理安全及信息安全存在风险；2）依靠传统VPN网络进行传输，该方式传输通道信息安全存在风险。

SIM卡号资源具有巨大的信息价值，如果在传输过程中被窃取和复制，会对5G网络的接入安全带来致命的打击。因此，提供一种更安全的密钥分发技术，非常适合该技术应用场景，可以提供基于量子物理理论层面的不可监听及不可篡改能力。

发明内容

本发明的目的在于提供一种基于量子安全的5G虚商密钥库分发方法，该方法有利于提高运营商与虚拟运营商之间进行SIM卡号资源传输的安全性。

为实现上述目的，本发明采用的技术方案是：一种基于量子安全的5G虚商密钥库分发方法，在部署有运营商SIM卡发行数据库设备的A地部署第一量子VPN网关和第一量子QKD设备，在部署有虚拟运营商SIM卡发行数据库设备的B地部署第二量子VPN网关和第二量子QKD设备，运营商SIM卡发行数据库设备、虚拟运营商SIM卡发行数据库设备分别与第一量子VPN网关、第二量子VPN网关连接，并通过第一量子VPN网关与第二量子VPN网关之间的TCP协议VPN信道进行数据通信；两地的量子QKD设备分别产生量子密钥QKEY并同时提供给本地的数据库设备和量子VPN网关，以对数据库设备要发送的数据源在应用层进行加密，同时对量子VPN网关要发送的数据在传输层进行加密，以实现信源数据的安全和TCP协议传输的安全；两地的量子QKD设备之间通过专用信道进行量子密钥的安全共享。

进一步地，所述第一量子QKD设备和第二量子QKD设备分别随机产生量子密钥，并在两地的量子QKD设备之间共享。

进一步地，所述第一量子QKD设备和第二量子QKD设备之间设有单向光量子信道及经典信道，并基于QKD-BB84协议进行量子密钥的共享。

进一步地，量子密钥在两地的量子QKD设备之间共享后，量子QKD设备将量子密钥提供给本地的量子VPN网关，量子VPN网关基于量子密钥同远端的量子VPN网关进行SSL VPN会话密钥的协商。

进一步地，两地的量子VPN网关进行SSL VPN会话密钥协商的过程如下：

1）量子密钥共享：两地的量子QKD设备同步量子密钥QKEY(Q-ID,Q-Value)，并分别向本地的量子VPN网关输出QKEY；Q-ID从0开始+1递增；Q-Value为量子QKD设备根据BB84协商出的量子密钥；

2）Client Hello：客户端，即第一量子VPN网关告知自己的协议版本，加密套件，Session ID、随机数A；