基于量子安全加密技術(shù)的5G通信創(chuàng)新應(yīng)用

宋安平 高新平 王 靜 張 明

1.聯(lián)通（江蘇）產(chǎn)業(yè)互聯(lián)網(wǎng)公司；2.網(wǎng)絡(luò)通信與安全紫金山實驗室；3.聯(lián)通華盛江蘇公司

0 引言

隨著5G網(wǎng)絡(luò)的部署進一步加速以及智能終端的廣泛普及，各行各業(yè)的信息化將進一步向移動化發(fā)展，新業(yè)務(wù)應(yīng)用大量涌現(xiàn)，移動互聯(lián)網(wǎng)將極大地拓展業(yè)務(wù)的覆蓋范圍，工業(yè)生產(chǎn)、經(jīng)濟活動、城市治理、國防建設(shè)等將變得更加高效。5G移動通信系統(tǒng)可靠運行的關(guān)鍵基礎(chǔ)是網(wǎng)絡(luò)安全?！笆奈濉币?guī)劃和2035年遠景目標綱要里，“安全”和“網(wǎng)絡(luò)”是兩個重要的關(guān)鍵詞，網(wǎng)絡(luò)安全是建設(shè)數(shù)字中國戰(zhàn)略的基座，不僅關(guān)乎國家安全、城市安全、社會安全、基礎(chǔ)設(shè)施安全，也和我們每個人的生活密切相關(guān)。

國際標準化組織3GPP等明確提出打破以往“打補丁式”的安全技術(shù)演進模式，使5G安全技術(shù)與5G移動通信技術(shù)同步演進。現(xiàn)有安全分析通常從信息安全或通信安全角度單獨展開，這種思維模式難以系統(tǒng)化地滿足5G融合演進中的安全需求。因此，5G安全需要和部署需要打破這種思維模式，采用5G通信技術(shù)與其他新型安全加密技術(shù)相結(jié)合的交叉融合模式。

近年來，量子計算的發(fā)展已呈加速之勢，國外以谷歌、IBM，微軟、Intel等巨頭為代表的企業(yè)紛紛投入巨資研發(fā)。國內(nèi)，以潘建偉院士和科大國盾為首的單位和企業(yè)，也投身于如何應(yīng)對“量子安全”問題，設(shè)計能夠抵御量子計算攻擊的量子安全密碼技術(shù)，已成為下一代信息通信系統(tǒng)必須考慮的問題。

基于量子物理基本原理的量子密鑰分發(fā)技術(shù)，提供了不再依賴于數(shù)學(xué)計算復(fù)雜度的新型密鑰分發(fā)方法。通過這種具有信息理論安全特性的密鑰分發(fā)方式，即使通過不安全的信道分發(fā)密鑰也可以保證安全，進一步結(jié)合OTP方案或其他加密算法，可以有效地提高信息安全性，抵御量子計算帶來的安全威脅。

移動化、互聯(lián)網(wǎng)化在帶來社會高效運轉(zhuǎn)的同時，也帶來了數(shù)據(jù)保護、身份鑒別、訪問控制等方面的安全問題。在移動化、互聯(lián)網(wǎng)化、量子計算發(fā)展趨勢不可逆轉(zhuǎn)的情況下，基于量子密鑰分發(fā)技術(shù)的量子通信和5G網(wǎng)絡(luò)結(jié)合，利用特有的量子密鑰充注和分發(fā)技術(shù)，將量子密鑰存儲在安全加密芯片中，使得5G移動終端具備“一次一密”的量子安全功能，保護端到端的通信安全，在工業(yè)互聯(lián)網(wǎng)、智慧政務(wù)、智慧交通、智慧金融、教育醫(yī)療等領(lǐng)域有相當(dāng)廣闊的應(yīng)用前景。

1 5G網(wǎng)絡(luò)的量子安全加密技術(shù)

1.1 量子密碼學(xué)原理

量子密碼技術(shù)（QC）是指用量子狀態(tài)作為信息加密和解密的密鑰技術(shù)，結(jié)合量子力學(xué)和密碼學(xué)的量子密碼學(xué)（主要是指量子密鑰分配QKD--Quantum key Distribution）可使密鑰分配的保密性得到完全的保障。QKD的安全性主要基于量子力學(xué)的基本原理與經(jīng)典信息論的數(shù)據(jù)安全處理協(xié)議13J。這種密鑰分配方案將密鑰信息編碼在量子念中，根據(jù)海森堡測不準原理，當(dāng)我們在測量量子態(tài)的某個性質(zhì)時，會使得另一個性質(zhì)受到擾動。所以在量子密碼系統(tǒng)里，任何竊取者在竊取光子束時都會更動到它，從而被發(fā)送者或接收者察覺，而且可估算出竊聽者截獲信息的最大信息量。

1.2 量子安全加密技術(shù)

在實際應(yīng)用中，利用量子密鑰分發(fā)QKD自身的獨特優(yōu)勢，同時結(jié)合密鑰管理服務(wù)平臺，可將QKD網(wǎng)絡(luò)產(chǎn)生的對稱量子密鑰充注到終端的安全存儲介質(zhì)（例如SD卡、SIM卡、U盾、安全芯片等），用于其通信過程中的鑒權(quán)和會話加密，保護端到端及端到服務(wù)器的通信安全性，可在移動辦公、移動作業(yè)、物聯(lián)網(wǎng)等多種場景進行應(yīng)用。

量子安全加密系統(tǒng)各組成模塊可通過如下兩種方式獲取量子密鑰服務(wù)。

方式一：從QKD網(wǎng)絡(luò)直接獲取量子密鑰服務(wù)。

網(wǎng)絡(luò)設(shè)備直接從QKD設(shè)備獲取量子密鑰的場景，該網(wǎng)絡(luò)設(shè)備需遵循科大國盾提供的私有接口協(xié)議與QKD設(shè)備進行交互，以獲取量子密鑰，從而進行數(shù)據(jù)的加解密操作。

方式二：從EQC平臺獲取量子密鑰服務(wù)。

安全存儲介質(zhì)從EQC平臺充注適量的量子密鑰，終端設(shè)備裝載已充注預(yù)置量子密鑰的安全存儲介質(zhì)，通過EQC SDK調(diào)用標準的API接口申請協(xié)商獲得會話密鑰，從而進行數(shù)據(jù)的加解密操作。網(wǎng)絡(luò)設(shè)備裝載已充注預(yù)置量子密鑰的安全存儲介質(zhì)，遵循科大國盾提供的私有接口協(xié)議與EQC平臺進行交互，以獲取會話密鑰，從而進行數(shù)據(jù)的加解密操作，其架構(gòu)圖如圖1所示。

圖1 基于EQC平臺的量子秘鑰服務(wù)方式

量子密鑰的應(yīng)用過程主要分為三個步驟：

（1）密鑰充注：密鑰充注流程是量子密鑰更新人員在量子密鑰更新管理終端上對量子密鑰用戶的量子密鑰存儲設(shè)備進行量子密鑰更新的流程。

（2）用戶認證：認證流程是所有持有量子密鑰存儲設(shè)備的用戶在EQC平臺進行所有操作的前提，認證流程為用戶與平臺后續(xù)在有效生命期內(nèi)的通信協(xié)商好加密協(xié)議。通過認證，用戶可在認證有效生命期內(nèi)獲取會話密鑰。通過認證的量子密鑰更新管理終端可在認證有效生命期內(nèi)進行量子密鑰用戶的管理和量子密鑰用戶對應(yīng)的量子密鑰存儲設(shè)備密鑰更新操作。

（3）會話密鑰分發(fā)：量子密鑰用戶客戶端上層的應(yīng)用服務(wù)軟件與量子密鑰應(yīng)用設(shè)備上層的應(yīng)用服務(wù)軟件進行通信時需要會話密鑰進行會話過程信息的加密。量子密鑰用戶客戶端和量子密鑰應(yīng)用設(shè)備通過與EQC協(xié)商，分別為雙方的上層應(yīng)用軟件提供會話密鑰。

1.3 5G網(wǎng)絡(luò)中的量子安全加密

5G網(wǎng)絡(luò)，依靠自身大帶寬、低時延和廣連接的技術(shù)優(yōu)勢，助力行業(yè)信息化的進一步發(fā)展。信息化是一把雙刃劍，帶來便利性的同時，也帶來了安全隱患，因此，如何提高5G終端通信安全的問題成為當(dāng)務(wù)之急?；诹孔影踩用艿?G移動通信的解決方案，均可實現(xiàn)各類業(yè)務(wù)場景的安全加密，整體部署技術(shù)方案如圖2所示。

圖2 基于量子安全加密的5G移動通信的解決方案

在5G智能終端插入TF卡，加密所需關(guān)鍵信息通過密鑰充注機事先充注至TF卡上，啟用加密通信時調(diào)用，保障通信的端到端安全。

量子密鑰管理服務(wù)平臺包括密鑰沖注機、量子安全網(wǎng)關(guān)和量子密鑰服務(wù)系統(tǒng)三部分，可對各業(yè)務(wù)系統(tǒng)和接入終端提供密鑰及管理服務(wù)，為用戶提供任意多點間的密鑰協(xié)商、接入認證、訪問控制、安全存儲等功能服務(wù)，實現(xiàn)量子安全移動終端基于量子密鑰實現(xiàn)安全通信。主要功能如下：（1）密鑰生命周期管理：提供量子密鑰全生命周期安全管理，包括密鑰生成、存儲、分發(fā)、導(dǎo)入、更新、銷毀等功能；（2）接入認證及訪問控制：對訪問系統(tǒng)的移動終端進行安全認證和訪問控制，授權(quán)在許可的生命周期內(nèi)提供量子應(yīng)用密鑰的分發(fā)服務(wù)；（3）多點間密鑰協(xié)商：為已認證的多個移動終端及服務(wù)器端，提供量子密鑰分發(fā)服務(wù)；（4）加解密服務(wù)：支持基于量子密鑰的SM1、SM3、SM4等國家密碼局標準算法進行加解密服務(wù)；（5）量子安全設(shè)備管理服務(wù)：提供包括量子安全介質(zhì)和量子可信設(shè)備管理服務(wù)，內(nèi)容包含權(quán)限管理，生命周期管理等。

在移動終端側(cè)，手機適配量子安全VPN客戶端，即可通過安全操作系統(tǒng)，調(diào)用量子安全加密TF卡，實現(xiàn)密鑰協(xié)商，搭建量子安全加密VPN隧道，實現(xiàn)基于量子VPN保護的各種移動辦公業(yè)務(wù)，其加密流程如圖3所示。

圖3 基于量子VPN保護的加密示意圖

密鑰分發(fā)基本流程：（1）發(fā)送方每次隨機制備一個確定偏振態(tài)的光子（編碼）；（2）接收方每次隨機使用一個測量基對該光子進行測量，記錄測量結(jié)果；（3）接收方將每次測量所采用的測量基告訴發(fā)送方；（4）發(fā)送方告訴接收方所使用的測量機哪幾個是錯誤的，自己保留正確的量子態(tài)；（5）接收方丟棄錯誤測量結(jié)果，保留正確的測量結(jié)果；（6）雙方同時協(xié)商出了本次的原始密鑰。

為了保證通話的安全性，每次加密通話都會進行一次密鑰協(xié)商過程，包括認證密鑰和業(yè)務(wù)密鑰過程。會話密鑰更新成功之后，一秒鐘即可進入正常通話。并且為了保護用戶的隱私和安全，加密通話關(guān)閉錄音功能，為防止通話內(nèi)容泄露，只開通靜音和免提功能，實現(xiàn)了本地端和傳輸?shù)碾p重保護。

2 基于量子安全加密的5G應(yīng)用場景

5G網(wǎng)絡(luò)應(yīng)用中，業(yè)務(wù)模式可分為語言通話、數(shù)據(jù)流量、短信息和5G消息三大類，如何將量子安全加密技術(shù)部署在5G網(wǎng)絡(luò)中，以及如何應(yīng)用到語音通話、數(shù)據(jù)傳輸和短消息等主要場景中，下面將分別進行闡述。

2.1 5G網(wǎng)絡(luò)量子加密部署方式

基于量子安全密鑰的5G網(wǎng)絡(luò)通信是對量子安全加密技術(shù)應(yīng)用范圍的創(chuàng)新拓展，如圖4所示，其部署分為服務(wù)端和客戶端兩個組成部分，其中：

圖4 基于量子安全密鑰的5G網(wǎng)絡(luò)加密示意圖

（1）服務(wù)端部署量子密鑰管理服務(wù)平臺和量子安全充注設(shè)備等設(shè)備，實現(xiàn)系統(tǒng)整體的安全管理；

（2）客戶端針對不同的5G通信終端按需部署量子安全U盾或者量子安全TF卡等設(shè)備，實現(xiàn)對終端傳輸信息的量子加密。

另外，服務(wù)端的量子安全加密系統(tǒng)可根據(jù)不同的場景按需部署在運營商側(cè)和企業(yè)側(cè)，其中：

（1）部署在運營商側(cè)可將量子安全加密功能作為增值服務(wù)提供給金融、政務(wù)、能源、國防等高安全性要求的行業(yè)客戶，助力運營商業(yè)務(wù)的數(shù)字化轉(zhuǎn)型升級；

（2）針對安全性要求比較高的企業(yè)，可采用私有化部署方案，將量子密鑰管理服務(wù)平臺和量子安全充注設(shè)備等設(shè)備部署在企業(yè)側(cè)，實現(xiàn)企業(yè)自有業(yè)務(wù)的安全加密。

2.2 5G語音加密通信

5G網(wǎng)絡(luò)下，當(dāng)前語音通話有兩種方式，即VoNR和VoLTE，無論是在SA模式還是NSA模式，語音通話時網(wǎng)絡(luò)優(yōu)選VoNR方式，如不支持，則回落到到4G的VoLTE。本系統(tǒng)方案基于運營商語音通話系統(tǒng)，對語音通信實施端到端加密，保障通話網(wǎng)絡(luò)環(huán)境安全可靠。基于量子安全加密原理，加密所需關(guān)鍵信息通過密鑰充注機事先充注至TF卡或者U盾上，啟用加密通信時調(diào)用，同步和比照發(fā)送端和接收端的量子態(tài)，實現(xiàn)5G語音通信的端到端安全保障。業(yè)務(wù)流程圖如圖5所示。

圖5 基于量子安全密鑰的5G語音業(yè)務(wù)加密方案示意圖

該方案可滿足對于安全要求比較高的客戶提供語音通話服務(wù)，包括部隊、政府等客戶。其優(yōu)勢主要體現(xiàn)在：（1）具有高安全等級的硬件加密，一業(yè)一密；（2）端到端加密應(yīng)用不影響業(yè)務(wù)通訊，用戶使用無感知；（3）量子密鑰管理服務(wù)平臺與運營商核心網(wǎng)采用互聯(lián)網(wǎng)對接，終端的加密TF卡與量子密鑰管理服務(wù)平臺可不受地域可達，因此可支持國內(nèi)國外跨域通信。

2.3 5G數(shù)據(jù)業(yè)務(wù)加密通信

5G數(shù)據(jù)業(yè)務(wù)量子加密通信主要應(yīng)用在終端遠程訪問中心服務(wù)器場景。終端側(cè)通過量子安全U盾或者量子安全TF卡預(yù)制量子密鑰的形式，實現(xiàn)和安全網(wǎng)關(guān)的認證互通，終端之間以及終端和網(wǎng)關(guān)之間的密鑰協(xié)商統(tǒng)一由密鑰管理服務(wù)平臺實現(xiàn)。終端側(cè)網(wǎng)關(guān)可以是硬件網(wǎng)關(guān)或軟件網(wǎng)關(guān)，網(wǎng)關(guān)的接入申請統(tǒng)一由安全接入平臺處理?？蔀椴痪邆鋵＞€接入條件的各級政務(wù)部門、企事業(yè)單位、移動辦公人員、現(xiàn)場執(zhí)法人員和公眾用戶，基于移動網(wǎng)提供安全智能終端間互相通信、接入到政務(wù)外網(wǎng)網(wǎng)絡(luò)或者業(yè)務(wù)的服務(wù)平臺的能力。終端訪問內(nèi)部服務(wù)器的加密服務(wù)組網(wǎng)方案如圖6所示。

圖6 基于量子安全密鑰的5G數(shù)據(jù)業(yè)務(wù)加密方案示意圖

終端支持5G手機和5G CPE兩種形態(tài)，該方案優(yōu)勢體現(xiàn)在：（1）平臺具有開放性，支持多業(yè)務(wù)平臺安全接入；（2）接入容量可按需靈活擴容，建設(shè)方式靈活，支持大規(guī)模終端接入?？蛇m用5G智能手機或5G CPE間數(shù)據(jù)流量服務(wù)（視頻會議等業(yè)務(wù)）、5G智能手機或5G CPE訪問中心服務(wù)器等多種應(yīng)用場景中。

2.4 5G短消息加密通信

基于運營商短消息服務(wù)系統(tǒng)和量子安全加密管理系統(tǒng)，對短消息實施端到端加密，保障網(wǎng)絡(luò)環(huán)境安全可靠。加密所需關(guān)鍵信息通過密鑰充注機事先充注至TF卡或者U盾上，啟用加密通信時調(diào)用，保障通信的端到端安全。加密短信實行一業(yè)一密功能，即發(fā)送一條短信，更新一次會話密鑰，達到同樣的短信內(nèi)容在傳輸過程中的內(nèi)容完全不同，保護了數(shù)據(jù)的安全性，短信內(nèi)容在本地端也可以通過密文顯示，方案示意圖如圖7所示。

圖7 基于量子安全密鑰的5G短消息業(yè)務(wù)加密方案示意圖

5G短信量子加密方案支持終端與終端短信互通以及終端到平臺短信互通，其優(yōu)勢包括：（1）支持5G RCS通信；（2）具有高安全等級的硬件加密，一業(yè)一密；（3）加密應(yīng)用不影響用戶業(yè)務(wù)使用感知；（4）與語音加密情況一樣，不受地域限制，支持國內(nèi)國外跨域通信。

2.5 量子加密場景分析

以語音通信為例（如圖8所示），當(dāng)單光子密碼通信時，可以試想成甲向乙逐個且隨機地發(fā)出互不正交的兩種量子狀態(tài)，即450偏振單光子和水平偏振單光子，并規(guī)定450偏振碼值為0，水平偏振碼值為1。丙要獲取信息，需截取并測量甲乙間的通信。此時丙有50%的機率猜對甲發(fā)送的是哪一種偏振光子，并同時正確測出碼值。即使丙猜錯偏正光子，但仍有50%機率得到正確碼值，這樣合起來丙測得機率75%的正確碼值。丙一經(jīng)測得，從甲向乙發(fā)送的量子態(tài)遭到影響。丙為掩蓋竊聽，需偽裝甲向乙發(fā)出的量子態(tài)，由于丙只有75%的正確碼值，因而丙向乙發(fā)送的單光子狀態(tài)將有25%的錯誤機率，如此高的誤碼率，將很容易被甲或乙發(fā)現(xiàn)。于是甲乙會舍棄這次通信，以確保通信安全。

圖8 場景分析示意圖

3 結(jié)束語

在新基建戰(zhàn)略的推動下，數(shù)字經(jīng)濟日益成為社會發(fā)展的主旋律，高可靠的網(wǎng)絡(luò)安全保障措施成為國家安全的核心要求?；诹孔蛹夹g(shù)不可克隆、測不準和5G網(wǎng)絡(luò)大帶寬、低時延、廣連接的特點，探索跟區(qū)塊鏈、大數(shù)據(jù)、云計算、人工智能等新型信息技術(shù)的融合創(chuàng)新，為端到端移動通信的提供高可靠的安全保障，助力5G網(wǎng)絡(luò)賦能實體經(jīng)濟，進一步釋放創(chuàng)新活力。