本發(fā)明專利涉及量子保密通信，具體涉及一種基于redcap的5g量子加密通信方法及裝置。

背景技術：

1、當前，配電自動化、無人機巡檢和巡檢機器人等新型電力系統(tǒng)業(yè)務增長迅速，終端與業(yè)務主站之間的數(shù)據(jù)交互愈發(fā)頻繁，數(shù)據(jù)傳輸安全存在被破解的風險。

2、量子保密通信技術基于量子力學基本原理，結合香農(nóng)“一次一密”理論，可實現(xiàn)信息論上的無條件安全通信，為電網(wǎng)安全提供了新的技術手段。在電網(wǎng)領域，量子保密通信技術主要面向電網(wǎng)末端業(yè)務節(jié)點，部署4g/5g量子cpe終端，搭建量子密鑰服務平臺，實現(xiàn)量子密鑰離線充注和在線分發(fā)，電網(wǎng)實時業(yè)務信息及運行狀態(tài)監(jiān)控數(shù)據(jù)依托于5g網(wǎng)絡回傳主站。

3、然而現(xiàn)有的5g量子加密通信技術及終端功耗大、資源利用率低，難以大規(guī)模推廣。因此，亟需一種輕量化的5g量子加密通信方法。

技術實現(xiàn)思路

1、為解決現(xiàn)有的5g量子加密通信技術及終端功耗大、資源利用率低的問題，本發(fā)明提供了一種基于redcap的5g量子加密通信方法，包括：

2、s1、5g?redcap量子cpe終端基于預置的充注密鑰向量子密服平臺發(fā)起入網(wǎng)認證；

3、s2、量子密服平臺對所述入網(wǎng)認證檢驗通過后，建立5g?redcap量子cpe終端與量子加密網(wǎng)關的應用會話，向量子密服平臺申請會話密鑰；

4、s3、將量子加密網(wǎng)關中的會話密鑰和量子密服平臺準備下發(fā)給5g?redcap量子cpe終端的會話密鑰進行一致性比對，將一致性比對通過的會話密鑰調(diào)度到5g?redcap量子cpe終端；

5、s4、5g?redcap量子cpe終端對量子密服平臺下發(fā)的會話密鑰進行解密，獲得會話密鑰明文數(shù)據(jù)，再利用該會話密鑰對業(yè)務數(shù)據(jù)明文進行加密，最終得到用于數(shù)據(jù)傳輸?shù)臉I(yè)務數(shù)據(jù)密文。

6、進一步的，所述5g?redcap量子cpe終端支持量子密鑰離線充注/在線分發(fā)，支持3gpp?release?17(5g?redcap)協(xié)議，支持4g/5g通信，支持國密標準ipsec協(xié)議實現(xiàn)加密隧道通信，支持國密sm2、sm3、sm4算法加密，支持采用tr069協(xié)議實現(xiàn)遠程網(wǎng)管。

7、進一步的，所述5g?redcap量子cpe終端預置充注密鑰是qrng密鑰，采用加密硬件的方式充注，所述加密硬件為u盾或tf卡。

8、進一步的，所述入網(wǎng)認證的具體步驟如下：

9、步驟11：5g?redcap量子cpe終端設備啟動后，向量子密服平臺發(fā)起入網(wǎng)認證第一幀；

10、步驟12：量子密服平臺接受到入網(wǎng)認證第一幀后，從數(shù)據(jù)庫中查詢提供預置充注密鑰源的交換密碼機信息、充注密鑰信息；

11、步驟13：量子密服平臺在查詢到的充注密鑰信息中選擇充注密鑰標識，生成隨機數(shù)a，向5g?redcap量子cpe終端返回充注密鑰標識和隨機數(shù)a，完成入網(wǎng)認證第一幀的響應；

12、步驟14：5g?redcap量子cpe終端得到入網(wǎng)第一幀的響應后，解析響應獲得的充注密鑰標識和隨機數(shù)a；

13、步驟15：加密硬件產(chǎn)生一個隨機數(shù)b作為認證確認的本地信息，依據(jù)充注密鑰標識在充注密鑰文件中找到充注密鑰密文，解密得到充注密鑰明文；使用國密算法sm4的cbc_mac算法計算認證校驗碼mac1，并立即銷毀此次使用的充注密鑰；

14、步驟16：加密硬件將計算出的認證校驗碼mac1返回給5g?redcap量子cpe終端，同時將認證校驗碼mac1及隨機數(shù)a、隨機數(shù)b、充注密鑰標識發(fā)送給量子密服平臺，發(fā)起入網(wǎng)認證第二幀；

15、步驟17：量子密服平臺接收到入網(wǎng)認證第二幀后，從本地的緩存中查詢隨機數(shù)a、認證用的充注密鑰標識，與入網(wǎng)認證第一幀的信息進行比對，比對結果一致則向步驟1所述的交換密碼機下發(fā)計算認證mac的指令；

16、步驟18：交換密碼機根據(jù)量子密服平臺提供的充注密鑰標識在量子密鑰存儲庫中查詢對應的充注密鑰密文，使用內(nèi)部的密碼卡進行解密，得到的認證校驗碼mac2返回給量子密服平臺；

17、步驟19：量子密服平臺將兩次的認證校驗碼mac1和mac2進行比對，比對結果一致則給5g?redcap量子cpe終端生成認證令牌，同時為該認證令牌設置有效期；

18、步驟110：5g?redcap量子cpe終端獲得所述認證令牌，完成入網(wǎng)認證，在認證令牌有效期內(nèi)在線獲取會話密鑰。

19、進一步的，所述s2包括如下步驟：

20、步驟21：以5g?redcap量子cpe終端為發(fā)送端、以量子加密網(wǎng)關為接收端，建立應用會話，向量子密服平臺申請會話密鑰；

21、步驟22：量子密服平臺驗證身份認證令牌后，查詢發(fā)送端、接收端的交換密碼機設備信息，量子密服平臺向發(fā)送端、接收端的交換密碼機分別發(fā)送會話密鑰獲取指令；

22、步驟23：發(fā)送端的交換密碼機接收到會話密鑰獲取指令，將發(fā)送端會話密鑰返回給量子密服平臺。在5g?redcap量子cpe終端中預先充注的密鑰密文及要輸出的會話密鑰密文，在發(fā)送端交換密碼機的密碼卡中對充注密鑰密文和會話密鑰密文解密，并使用解密后的充注密鑰明文對會話密鑰明文進行加密得到會話密鑰密文；同時借助qkd設備使接收端擁有與發(fā)送端相同的會話密鑰。

23、步驟24：量子密服平臺將發(fā)送端會話密鑰密文返回給5g?redcap量子cpe終端，同時將接收端會話密鑰密文暫時緩存在本地，等待接收端量子加密網(wǎng)關進行獲取。

24、進一步的，所述s4包括如下步驟：

25、步驟41：電力業(yè)務終端向本地接入的5g?redcap量子cpe終端發(fā)送業(yè)務數(shù)據(jù)；

26、步驟42：5g?redcap量子cpe終端利用內(nèi)部的加密硬件對會話密鑰密文進行解密，調(diào)用加密硬件的密碼模塊對業(yè)務數(shù)據(jù)明文進行加密，并將業(yè)務數(shù)據(jù)密文返回給5g?redcap量子cpe終端，由5g?redcap量子cpe終端通過無線網(wǎng)絡發(fā)送給量子加密網(wǎng)關；

27、步驟43：量子加密網(wǎng)關接收到業(yè)務數(shù)據(jù)密文后，進行數(shù)據(jù)解析，然后調(diào)用內(nèi)部的加密硬件進行解密；

28、步驟44：量子加密網(wǎng)關的加密硬件將解密后的業(yè)務數(shù)據(jù)返回給量子加密網(wǎng)關，由量子加密網(wǎng)關將業(yè)務數(shù)據(jù)明文發(fā)送給業(yè)務主站系統(tǒng)。

29、進一步的，s4由物理硬件機制保證了業(yè)務數(shù)據(jù)加解密的安全，會話密鑰密文的解密均當需要對業(yè)務數(shù)據(jù)進行加解密時才會實施，且會話密鑰密文解密及業(yè)務數(shù)據(jù)加解密的操作均在加密硬件內(nèi)進行。

30、本發(fā)明還公開了一種基于redcap的5g量子加密通信裝置，該裝置運行時，能夠?qū)崿F(xiàn)前述方法的步驟，該裝置包括：

31、5g?redcap量子cpe終端，用以充注量子密鑰；利用會話密鑰對業(yè)務數(shù)據(jù)明文進行加密；與量子加密網(wǎng)關建立應用通話，傳輸加密后的業(yè)務數(shù)據(jù)；

32、量子密服平臺，用以對會話密鑰進行一致性比對；對5g?redcap量子cpe終端進行入網(wǎng)認證；發(fā)放會話密鑰；

33、量子加密網(wǎng)關，用以接收加密后的業(yè)務數(shù)據(jù)；對加密后的業(yè)務數(shù)據(jù)進行解密。

34、有益效果：本發(fā)明攻克了5g無線通信、ipsec協(xié)議、redcap與量子加密融合技術，提出了基于redcap的“5g+量子+通道加密”應用方案及支持5g通信、量子密鑰和ipsec協(xié)議的5g?redcap量子cpe裝置。基于實時更新的量子密鑰，構建量子加密隧道，解決了配電自動化、無人機巡檢和巡檢機器人等電網(wǎng)末端業(yè)務終端接入靈活性不足、數(shù)據(jù)采集安全性和可靠性不高等問題，在提升5g無線通道傳輸業(yè)務數(shù)據(jù)安全性的同時，有效降低數(shù)據(jù)加密復雜度及裝置研發(fā)成本，是一種輕量化的5g量子加密通信方法。