基于量子技术的5G网元安全通信方法、设备及介质与流程

本技术涉及通信安全，尤其涉及基于量子技术的5g网元安全通信方法、设备及介质。

背景技术：

1、在5g通信网络中，核心网通常是按省或区集中部署，而接入网通常分散部署在靠近用户侧。进一步，在5g行业专网中，用户通常要求把用户功能(user plane function，upf)网元下沉到企业园区中，使5g核心网在运营商域，upf网元在用户域，如移动边缘计算(mobile edge computing,，mec)。然而这种部署方式，容易使5g核心网upf与之间在传输过程中存在安全隐患。

2、为了解决上述问题，5g核心网与mec间通常采用超文本安全传输协议(hypertexttransfer protocol secure，https)或互联网安全协议(internet protocol security，ipsec)等协议，实现网元间的身份认证和安全通信。

3、采用上述这种认证机制，需要提前为每个网元设备预置证书授权(certificateauthority，ca)证书和/或密钥，例如，网元内所需的身份认证密钥、数据加密密钥等都需提前预置。在通信过程中，为了保证每次会话的安全性，每次会话需要新的密钥，才能实现一次一密的安全通信。但上述这种提前预置方式，会存在ca证书到期和/或密钥泄露的问题，一旦发生ca证书到期和/或密钥泄露，也会导致通信安全存在隐患。

技术实现思路

1、本技术提供了基于量子技术的5g网元安全通信方法，用以保证通信的安全性。

2、第一方面，提供基于量子技术的5g网元安全通信方法，包括：

3、5g核心网设备接收来自于mec的通信消息，其中，所述通信消息至少包括第一通信密钥的密钥标识信息，以及使用所述第一通信密钥加密后的业务通信数据，所述第一通信密钥是所述mec根据所述业务通信数据，从自身存储的有效量子密钥中选取第一有效量子密钥，并对所述第一有效量子密钥进行转换得到的；

4、所述5g核心网设备根据所述第一通信密钥的密钥标识信息，从自身存储的有效量子密钥中获取与所述密钥标识信息相对应的第二有效量子密钥，并将所述第二有效量子密钥转换成第二通信密钥；

5、所述5g核心网设备使用所述第二通信密钥对所述加密的业务通信数据执行解密操作。

6、本技术实施例中，5g核心网设备接收来自于mec的通信消息，该通信消息至少包括第一通信密钥的密钥标识信息，以及使用该第一通信密钥加密的业务通信数据，该第一通信密钥是mec根据业务通信数据，可从自身存储的有效量子密钥中选取第一有效量子密钥，并对该第一有效量子密钥进行转换得到的；5g核心网设备根据第一通信密钥的密钥标识信息，从自身存储的有效量子密钥中获取与密钥标识信息相对应的第二有效量子密钥，并将第二有效量子密钥转换成第二通信密钥；最后，再使用该第二通信密钥对加密的业务通信数据执行解密操作。由于在通信过程中，可根据不同加密的业务通信数据，进行有效量子密钥的选取，并对选取的有效量子密钥转换成通信密钥，再使用该通信密钥对其进行解密，相较于现有技术，结合了量子密钥的特性，且可以将选取的有效量子密钥进行灵活变换，进一步防止密钥被泄露，因此提高了5g核心网设备与mec之间的通信安全性。

7、可选的，所述5g核心网设备接收来自于mec的通信消息之前，还包括：

8、5g核心网设备将生成的初始密钥进行编码，得到量子密钥；

9、所述5g核心网设备将所述量子密钥发送给所述mec；

10、所述5g核心网设备接收所述mec发送的第一测量基矢，将所述第一测量基矢与第二测量基矢进行比对，得到测量基矢一致位的候选量子密钥，并将所述候选量子密钥发送给所述mec；其中，所述第一测量基矢是所述mec对所述量子密钥进行译码所使用的测量基矢，所述第二测量基矢是所述5g核心网设备对所述量子密钥进行编码所使用的测量基矢；

11、所述5g核心网设备接收所述mec从所述候选量子密钥中选取的部分候选量子密钥，根据所述部分候选量子密钥，确定有效量子密钥；

12、所述5g核心网设备为所述有效量子密钥分配密钥标识信息，并将所述有效量子密钥进行存储；

13、所述5g核心网设备根据所述有效量子密钥向所述mec发送有效量子密钥确认消息，以使所述mec根据所述有效量子密钥确认消息将确定出的所述有效量子密钥进行存储，并为所述有效量子密钥分配密钥标识信息。

14、可选的，所述5g核心网设备根据所述候选部分量子密钥，确定有效量子密钥，包括：

15、所述5g核心网设备将所述部分候选量子密钥进行抽样检测；

16、当所述部分候选量子密钥的抽样检测为通过时，所述5g核心网设备将所述部分候选量子密钥删除，并将所述候选量子密钥中剩余候选量子密钥作为所述有效量子密钥。

17、可选的，所述将所述第二有效量子密钥转换成第二通信密钥，包括：

18、对所述第二有效量子密钥执行合并操作，并根据合并后的第二有效量子密钥生成所述第二通信密钥；或者

19、对所述第二有效量子密钥执行截取操作，并根据截取后的第二有效量子密钥生成所述第二通信密钥。

20、第二方面，提供基于量子技术的5g网元安全通信方法，包括：

21、mec生成用于对业务通信数据加密的密钥获取请求；

22、所述mec根据所述密钥获取请求，从自身存储的有效量子密钥中确定出第一有效量子密钥；

23、所述mec将第一有效量子密钥转换成第一通信密钥；

24、所述mec向5g核心设备发送通信消息，其中，所述通信消息至少包括所述第一通信密钥的密钥标识信息，以及使用所述第一通信密钥加密后的业务通信数据；以使所述5g核心网设备根据所述第一通信密钥的密钥标识信息，从自身存储的有效量子密钥中获取与所述密钥标识信息相对应的第二有效量子密钥，并将所述第二有效量子密钥转换成第二通信密钥，并使用所述第二通信密钥对所述加密的通信数据执行解密操作。

25、本技术实施例中，mec可根据，生成用于对业务通信数据加密的密钥获取请求，并根据密钥获取请求，从自身存储的有效量子密钥中确定出第一有效量子密钥；将第一有效量子密钥转换成第一通信密钥；向5g核心设备发送通信消息，该通信消息至少包括第一通信密钥的密钥标识信息，以及使用第一通信密钥加密后的业务通信数据。由于在通信过程中，可根据不同需加密的业务通信数据，进行有效量子密钥的选取，并对选取的有效量子密钥转换成通信密钥，再使用该通信密钥对其进行加密，相较于现有技术，结合了量子密钥的特性，且可以将选取的有效量子密钥进行灵活变换，进一步防止密钥被泄露，因此提高了5g核心网设备与mec之间的通信安全性。

26、可选的，所述方法，还包括：

27、所述mec接收所述5g核心网设备发送的量子密钥；其中，所述量子密钥是所述5g核心网设备对生成的初始密钥进行编码得到的；

28、所述mec对接收到的所述量子密钥进行译码，并将译码使用的第一测量基矢发送给所述5g核心网设备，以使5g核心网设备将对所述量子密钥进行编码的第二测量基矢与所述第一测量基矢进行比对，得到测量基矢一致位的候选量子密钥；

29、所述mec接收所述5g核心网设备发送的所述候选量子密钥，并在所述候选量子密钥中选取部分候选量子密钥发送给所述5g核心网设备，以使所述5g核心网设备根据所述部分候选量子密钥确定有效量子密钥；

30、所述mec接收所述5g核心网设备发送的有效量子密钥确认消息，根据所述有效量子密钥确认消息，将所述部分候选量子密钥删除，并为确定出的所述有效量子密钥分配密钥标识信息，将所述有效量子密钥进行存储。

31、可选的，所述mec将第一有效量子密钥转换成第一通信密钥，包括：

32、对所述第一有效量子密钥执行合并操作，并根据合并后的第一有效量子密钥生成所述第一通信密钥；或者

33、对所述第一有效量子密钥执行截取操作，并根据截取后的第一有效量子密钥生成所述第一通信密钥。

34、可选的，所述密钥获取请求包括有效量子密钥的长度和/或数量。

35、第三方面，提供5g核心网设备，包括：

36、安全应用单元，用于接收来自于mec的通信消息，其中，所述通信消息至少包括第一通信密钥的密钥标识信息，以及使用所述第一通信密钥加密的业务通信数据，所述第一通信密钥是所述mec根据所述业务通信数据，从自身存储的有效量子密钥中选取第一有效量子密钥，并对所述第一有效量子密钥进行转换得到的；

37、所述量子密钥管理单元，用于根据所述第一通信密钥的密钥标识信息从量子密钥分发单元存储的有效量子密钥中获取与所述密钥标识信息相对应的第二有效量子密钥，并将所述第二有效量子密钥转化成第二通信密钥；以及用于使用所述第二通信密钥对所述加密的业务通信数据执行解密操作；

38、所述量子密钥分发单元，用于存储所述有效量子密钥，并根据所述量子密钥管理单元的调用向所述量子密钥管理单元提供与所述密钥标识信息相对应的第二有效量子密钥。

39、可选的，所述量子密钥分发单元包括量子密钥生成模块、量子密钥分发模块；

40、所述量子密钥分发模块，用于将所述量子密钥生成模块生成的初始密钥进行编码，得到量子密钥；将所述量子密钥发送给所述mec；接收所述mec发送的第一测量基矢，将所述第一测量基矢与第二测量基矢进行比对，得到测量基矢一致位的候选量子密钥；其中，所述第一测量基矢是所述mec对所述量子密钥进行译码所使用的测量基矢，所述第二测量基矢是所述5g核心网设备对所述量子密钥进行编码所使用的测量基矢；接收所述mec从所述候选量子密钥中选取的部分候选量子密钥，根据所述部分候选量子密钥，确定有效量子密钥；以及用于根据所述有效量子密钥向所述mec发送有效量子密钥确认消息，以使所述mec根据所述有效量子密钥确认消息将所述有效量子密钥进行存储，并为所述有效量子密钥分配密钥标识信息；

41、所述量子密钥生成模块，用于生成所述初始密钥，以及为所述有效量子密钥分配密钥标识信息，并将所述有效量子密钥进行存储。

42、可选的，所述量子密钥分发模块，具体用于：

43、将所述部分候选量子密钥进行抽样检测；

44、当所述部分候选量子密钥的抽样检测为通过时，所述量子密钥分发模块将所述部分候选量子密钥删除，并将所述候选量子密钥中剩余候选量子密钥作为所述有效量子密钥。

45、可选的，所述量子密钥管理单元包括量子密钥交换模块、通信密钥生成模块；

46、所述量子密钥交换模块，用于对所述第二有效量子密钥执行合并操作，并指示所述通信密钥生成模块合并后的第二有效量子密钥生成所述第二通信密钥；或者对所述第二有效量子密钥执行截取操作，并指示所述通信密钥生成模块根据截取后的第二有效量子密钥生成所述第二通信密钥。

47、第四方面，提供mec，包括：

48、量子密钥管理单元，用于生成用于对业务通信数据加密的密钥获取请求；用于当量子密钥分发单元确定出第一有效量子密钥后，将所述第一有效量子密钥转换成第一通信密钥；

49、所述安全应用单元，用于向5g核心设备发送通信消息；其中，所述通信消息至少包括所述第一通信密钥的密钥标识信息，以及使用所述第一通信密钥加密的业务通信数据；以使所述5g核心网设备根据所述第一通信密钥的密钥标识信息，从自身存储的有效量子密钥中获取与所述密钥标识信息相对应的第二有效量子密钥，并将所述第二有效量子密钥转换成第二通信密钥，并使用所述第二通信密钥对所述加密后的业务通信数据执行解密操作；

50、所述量子密钥分发单元，根据所述密钥获取请求，从自身存储的有效量子密钥中确定出所述第一有效量子密钥。

51、可选的，所述量子密钥分发单元包括：量子密钥生成模块、量子密钥分发模块；所述量子密钥分发模块，用于接收所述5g核心网设备发送的量子密钥；其中，所述量子密钥是所述5g核心网设备对生成的初始密钥进行编码得到的；

52、对接收到的所述量子密钥进行译码，并将译码使用的第二测量基矢发送给所述5g核心网设备，以使5g核心网设备将对所述量子密钥进行编码的第二测量基矢与所述第一测量基矢进行比对，得到测量基矢一致位的候选量子密钥；

53、接收所述5g核心网设备发送的所述候选量子密钥，并在所述候选量子密钥中选取部分候选量子密钥发送给所述5g核心网设备，以使所述5g核心网设备根据所述部分候选量子密钥确定有效量子密钥；

54、接收所述5g核心网设备发送的有效量子密钥确认消息，根据所述有效量子密钥确认消息，将所述部分候选量子密钥删除，并指示所述量子密钥生成模块为所述有效量子密钥分配密钥标识信息，将所述有效量子密钥进行存储。

55、可选的，所述量子密钥管理单元包括量子密钥交换模块、通信密钥生成模块；

56、所述量子密钥交换模块，用于对所述第一有效量子密钥执行合并操作，并根据合并后的第一有效量子密钥指示所述通信密钥生成模块生成所述第一通信密钥；或者用于对所述第一有效量子密钥执行截取操作，并根据截取后的第一有效量子密钥指示所述通信密钥生成模块生成所述第一通信密钥。

57、第五方面，提供电子设备，包括：

58、存储器，用于存放计算机程序；处理器，用于执行所述存储器上所存放的计算机程序时，实现第一方面中任一项所述的方法步骤。

59、第六方面，提供计算机可读存储介质，所述计算机可读存储介质内存储有计算机程序，所述计算机程序被处理器执行时实现第一方面中任一项所述的方法步骤。