会话数据的安全通信方法、后量子安全通道装置及系统与流程

本申请涉及但不限于信息，尤其涉及一种会话数据的安全通信方法、后量子安全通道装置及系统。

背景技术：

1、具有强大密码破解能力的量子计算机近年来已经不断取得实质性进展，研究者们普遍认为应该尽早部署能够抵御这种威胁的后量子密码技术，从而将信息网络系统面临的总体风险降至最低。目前5g核心网单元和数据网络(data network，dn)之间n6接口为明文数据传输，若通过连接ipsec安全网关进行明文数据加密，ipsec使用dh(diffie-hellman)算法进行会话数据的公共密钥协商，dh算法为公钥密码算法之一，无法应对量子计算机带来的安全威胁。

技术实现思路

1、有鉴于此，本申请实施例至少提供一种会话数据的安全通信方法、后量子安全通道装置及系统。

2、本申请实施例的技术方案是这样实现的：

3、第一方面，本申请实施例提供一种会话数据的安全通信方法，应用于发送端，所述方法包括：

4、响应于接收到核心网用户面的会话数据，通过后量子算法生成第一私钥和第一公钥；利用所述第一私钥和第一公钥，向所述接收端请求身份认证并协商所述会话密钥；利用所述会话密钥对所述会话数据进行加密；根据预设的ipsec网络认证协议和通道封装模式，对加密后的所述会话数据进行封装并转发至接收端。

5、第二方面，本申请实施例提供一种会话数据的安全通信方法，应用于接收端，所述方法包括：

6、通过后量子算法生成第二公钥和第二私钥；利用所述第二公钥和所述第二私钥，向发送端请求身份认证并协商会话密钥；根据预设的ipsec网络认证协议和通道封装模式，对发送端传输的加密后的会话数据进行解封装和拆包；利用协商的所述会话密钥对拆包后的会话数据进行解密，并将解密后的会话数据传输至对应的核心网。

7、第三方面，本申请实施例提供一种后量子安全通道装置，包括核心网处理单元和后量子ipsec处理单元，其中：

8、所述核心网处理单元，用于进行核心网的控制和用户面会话数据的处理；

9、所述后量子ipsec处理单元，用于基于上述第一方面所述的方法或者基于上述第二方面所述的方法建立核心网用户面与数据网络之间的后量子安全通道。

10、第四方面，本申请实施例提供一种会话数据的安全通信系统，其特征在于，所述系统包括发送端和接收端，其中：

11、所述发送端，用于响应于接收到核心网用户面的会话数据，通过后量子算法生成第一私钥和第一公钥；利用所述第一私钥和第一公钥，向所述接收端请求身份认证并协商所述会话密钥；利用所述会话密钥对所述会话数据进行加密；根据预设的ipsec网络认证协议和通道封装模式，对加密后的所述会话数据进行封装并转发至接收端；

12、所述接收端，用于通过后量子算法生成第二公钥和第二私钥；利用所述第二公钥和所述第二私钥，向所述发送端请求身份认证并协商所述会话密钥；根据预设的ipsec网络认证协议和通道封装模式，对所述发送端传输的加密后的会话数据进行解封装和拆包；利用协商的所述会话密钥对拆包后的会话数据进行解密，并将解密后的会话数据传输至对应的核心网。

13、第五方面，本申请实施例提供一种计算机设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，所述处理器执行所述程序时实现上述第一方面方法中的步骤，或者实现上述第二方面方法中的步骤。

14、第六方面，本申请实施例提供一种计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现上述第一方面方法中的步骤，或者实现上述第二方面方法中的步骤。

15、应当理解的是，以上的一般描述和后文的细节描述仅是示例性和解释性的，而非限制本公开的技术方案。

16、本申请实施例至少具有以下技术效果：

17、在本申请实施例中，首先引入后量子算法生成公私密钥对，然后利用公私密钥对加强对安全通道装置的身份认证，并协商会话密钥，再利用会话密钥对核心网用户面的会话数据进行加密，最后根据预设的ipsec网络认证协议和通道封装模式，对加密后的所述会话数据进行封装并转发，实现5g核心网网元处理单元和数据网络之间的会话数据加密通道；如此，通过引入后量子算法，在类ipsec协商过程中增加后量子密钥因子协商，减少使用dh算法进行密钥协商，无法应对量子计算机带来的安全威胁的问题。

技术特征：

1.一种会话数据的安全通信方法，其特征在于，应用于发送端，所述方法包括：

2.根据权利要求1所述的方法，其特征在于，所述利用所述第一公钥和第一私钥，向所述接收端请求认证并协商会话密钥，包括：

3.根据权利要求2所述的方法，其特征在于，在将所述会话密钥密文发送至所述接收端之前，所述方法还包括：

4.一种会话数据的安全通信方法，其特征在于，应用于接收端，所述方法包括：

5.根据权利要求4所述的方法，其特征在于，所述利用所述第二公钥和所述第二私钥，向发送端请求身份认证并协商会话私钥，包括：

6.根据权利要求5所述的方法，其特征在于，在利用所述第二私钥对所述会话密钥密文进行解密之前，所述方法还包括：

7.一种后量子安全通道装置，其特征在于，包括核心网处理单元和后量子ipsec处理单元，其中：

8.根据权利要求7所述的装置，其特征在于，所述后量子ipsec处理单元的输出接口为密文传输。

9.一种会话数据的安全通信系统，其特征在于，所述系统包括发送端和接收端，其中：

10.一种计算机设备，包括存储器和处理器，所述存储器存储有可在处理器上运行的计算机程序，其特征在于，所述处理器执行所述程序时实现权利要求1至3任一项所述方法中的步骤，或者实现权利要求4至6任一项所述方法中的步骤。

11.一种计算机可读存储介质，其上存储有计算机程序，其特征在于，该计算机程序被处理器执行时实现权利要求1至3任一项所述方法中的步骤，或者实现权利要求4至6任一项所述方法中的步骤。

技术总结
本申请实施例公开了一种会话数据的安全通信方法、后量子安全通道装置及系统，其中，所述方法包括：发送端响应于接收到核心网用户面的会话数据，通过后量子算法生成第一私钥和第一公钥；利用所述第一私钥和第一公钥，向所述接收端请求身份认证并协商会话密钥；利用所述会话密钥对所述会话数据进行加密；根据预设的IPSEC网络认证协议和通道封装模式，对加密后的所述会话数据进行封装并转发至接收端。

技术研发人员：宋琪,何明,陈宇,徐超,彭伟智,张才普,王震,王梦茹
受保护的技术使用者：中移（成都）信息通信科技有限公司
技术研发日：
技术公布日：2024/4/7