一种5G馈线终端通信安全防护方法、装置及存储介质

一种5g馈线终端通信安全防护方法、装置及存储介质
技术领域
1.本发明属于馈线自动化技术领域，具体是涉及一种5g馈线终端通信安全防护方法、装置及存储介质。


背景技术：

2.馈线自动化是一种重要的配电网故障自愈控制技术，通过检测故障、隔离故障、最后再恢复供电的方式来提升供电可靠性。目前智能分布式馈线自动化在农村和城郊等不便铺设光纤的区域的应用仍受到制约。5g通信具有高带宽、低时延和海量连接等特点，可以为馈线终端提供超低时延的通信网络保证。
3.然而，馈线自动化5g网络依然存在如下安全风险：随着接入的馈线终端增多且所处环境复杂，原先的物理隔离网络安全边界逐渐瓦解，“一次认证、始终信任”容易导致电力合法终端被利用，存在以合法终端作为跳板进入内网发起攻击的风险，使得馈线终端间的通信容易受到信号干扰、窃听等安全威胁，无法保证馈线自动化控制指令的正确转发。因此需要秉承“零信任”安全架构的设计理念，采用“一次一密”加密技术来保证通信的安全性。目前，对于馈线系统的加密技术主要采用固定密钥的加密方式，这种加密方式的密钥管理是一个非常重要且繁琐的过程；密钥需要由管理员进行生成、存储、分发、更新和销毁，且需要保证密钥的安全性；这个过程中，可能会发生密钥泄露、丢失或者被篡改等问题，导致通信安全受到威胁。


技术实现要素：

4.为解决上述技术问题，本发明提供了一种5g馈线终端通信安全防护方法、装置及存储介质，在每次通信过程中，都会使用不同的密钥ki进行加密，提高了通信的安全性；同时，由于密钥ki是由加解密安全芯片自动生成的，无需人工干预，并且会话密钥ki在使用后会立即销毁。这种自动化的密钥管理方式大大简化了密钥管理的过程，减少了人工干预的风险，提高了密钥的安全性和管理的便利性,从而简化了密钥管理的过程。
5.本发明所述的一种5g馈线终端通信安全防护方法，包括以下步骤：s1、在馈线终端ftu内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥k1向安全服务移动引擎进行身份认证，安全服务移动引擎收到身份认证请求后进行双向身份认证；s2、当馈线终端收到双向身份认证成功消息后，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，包括安全服务平台生成新鲜秘钥ko和向馈线终端分发一定数量的新鲜秘钥ko；s3、加解密安全芯片使用改进后基于shamir的秘密共享算法将根秘钥ko不断扩散出新的会话秘钥ki；s4、进行对等通信的馈线终端双方获得会话密钥ki，使用会话密钥ki进行一次加密通信，本次加密通信结束后，通信双方及时销毁会话密钥ki。
6.进一步的，s1具体步骤为：在馈线终端的加解密安全芯片中预充注一个密钥k1，馈线终端向安全服务移动引擎发送身份认证请求，所述身份认证请求包括以下信息：馈线终端的硬件id、固件版本v、生产批次b，预充注密钥k1的密文；记安全服务移动引擎生成的随机数为r，生成的消息验证码为mc，短信验证码为sms；安全服务移动引擎发送给ftu的加密随机数为enc(r)，双向身份认证成功的消息为msgsuc；则身份认证请求表示为：，其中表示对预充注密钥k1的加密；安全服务移动引擎使用预共享密钥sk对预充注密钥k1进行解密，表示为：，并与馈线终端发送的硬件id、固件版本v、生产批次b进行比对，以确保该馈线终端是合法的；安全服务移动引擎生成一个随机数r并加密发送给馈线终端，加密后的随机数密文为，同时也发送一个短信验证码sms给馈线终端；馈线终端使用预充注密钥k1解密随机数r，表示为，然后使用该随机数r和其他信息生成一个消息验证码mc，表示为：，其中，hash表示哈希函数，可以使用sha-256等安全哈希算法；安全服务移动引擎收到消息验证码mc后进行验证，确保该馈线终端是具有合法预充注密钥k1的合法设备，并返回一个双向身份认证成功的消息给馈线终端，表示为：。
7.进一步的，s2中，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，具体包括以下步骤：s2-1、安全服务平台生成新鲜秘钥ko的过程：安全服务平台生成一个伪随机数（pseudo-random number）作为新鲜秘钥ko的种子，表示为：，其中，r为伪随机数，prng为伪随机数生成器，ks为作为种子的秘钥；安全服务平台使用种子作为输入，通过加密哈希函数生成一个密钥派生函数kdf（key derivation function, kdf）的输入参数，即秘钥衍生参数kdp（key derivation parameter, kdp），表示为：，其中，h表示加密哈希函数。
8.安全服务平台使用kdp和一个预设的常数向量c作为输入，通过密钥派生函数kdf生成一个长度为n的新鲜秘钥ko，表示为：，其中ko为长度为n的新鲜秘钥；安全服务平台将新鲜秘钥ko存储在一个安全的数据库中，等待分发给馈线终端；s2-2、安全服务平台向馈线终端分发新鲜秘钥ko的过程：安全服务平台向馈线终端发送一条消息msg，表示为，其
中，表示新鲜秘钥ko的密文，表示新鲜秘钥ko的哈希值，表示时间戳，表示安全服务平台的签名；馈线终端收到消息后，将新鲜秘钥ko的密文和哈希值存储在本地，馈线终端使用预充注密钥k1对新鲜秘钥ko的密文进行解密，表示为：，并检查新鲜秘钥ko的哈希值是否与消息中的哈希值相等，即验证是否成立，以确保收到的新鲜秘钥ko是安全服务平台发送的，并且未被篡改；如果验证通过，馈线终端将新鲜秘钥ko存储在本地，用于不断扩散出新的会话秘钥ki。
9.进一步的，s3中，使用改进的基于shamir的秘密共享算法来扩散根秘钥ko，以产生新的会话秘钥ki；具体包括以下步骤：选择要生成的会话秘钥数量k和阈值t，其中；阈值t表示恢复会话秘钥所需的最小秘密份额数；在5g场景下，k代表终端之间的会话数量，t代表在终端间共享会话秘钥时所需要的最小终端数；选择一个大质数p，用于生成公私钥对；选择一个比p小的随机数a作为加法器，使得a与p互质，保证每个秘密份额不同；选择一个比p小的随机数g作为生成元，用于生成秘密份额和公私钥对，使得g的阶为；选择一个大质数q，用于生成会话密钥，使得q是p-1的一个因子，且p和q均为质数；选择一个随机数x，计算，其中，%表示取模运算，并将x作为私钥，h作为公钥，用于计算会话密钥；将根秘钥ko表示为一个整数，，其中为0到之间的整数，m为整数的位数；将根秘钥ko拆分成m个子秘密，使得不为0；对于每个要生成的第i个会话秘钥，选择一个随机数，计算，并将该值作为秘密份额，用于计算会话秘钥；将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端；在终端中，根据收到的秘密份额和公钥h，计算会话秘钥，其中表示上一个会话秘钥的扩散因子，即的k值；如需生成更多的会话秘钥，则重复上述步骤。
10.进一步的，进行对等通信的馈线终端双方获得会话密钥ki并使用ki进行一次加密通信，具体步骤如下：馈线终端1采用国密sm1对称加密算法，利用会话密钥ki对明文m加密，生成密文c，并将密文c通过5g无线网络发送给馈线终端2；馈线终端2接收到密文c后，使用会话密钥ki对密文c进行解密，以得到原始明文m，完成了一次加密通信；
在通信结束后，馈线终端1和馈线终端2都将会话密钥ki以及与会话密钥ki相关的信息从内存中清除，以确保不会被恶意程序或攻击者窃取；如有必要保留通信记录，将记录中的会话密钥ki使用混合加密算法进行加密后再存储。
11.本发明还提供了一种5g馈线终端通信安全防护装置，包括：加解密安全芯片，用于预充注密钥k1，通过密钥k1向安全服务移动引擎进行身份认证，通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki；安全服务移动引擎，用于接收馈线终端的身份认证请求，发送身份认证成功消息给馈线终端；安全服务平台，用于生成新鲜根秘钥ko，并向馈线终端分发根秘钥ko；馈线终端ftu，用于接收安全服务分发的根秘钥ko，使用会话密钥ki进行一次加密通信，并在加密通信结束后及时销毁会话密钥ki。
12.本发明还提供了一种计算机可读存储介质，其存储有计算机程序，其中，所述计算机可读存储介质所在设备执行所述计算机程序时，实现上述5g馈线终端通信安全防护方法。
13.本发明所述的有益效果为：1）本发明所述方法通过在馈线终端内集成加解密安全芯片并进行身份认证，确保只有经过身份认证的合法终端可以进行通信，防止未经授权的终端进入网络，提高通信的安全性和可靠性；安全服务移动引擎进行双向身份认证，确保双向身份认证的安全性，确认通信双方的合法性，并向馈线终端分发新鲜密钥作为根密钥，为后续会话密钥的生成提供安全基础；2）安全服务平台根据双向身份认证的结果向馈线终端分发新鲜秘钥ko作为根秘钥。这个过程由安全服务平台自动完成，减少了人工分发密钥的工作量和潜在的错误；3）本发明采用改进后基于shamir的秘密共享算法将根秘钥ko扩散为会话密钥ki，提供了动态的加密密钥ki，这种算法能够将根秘钥分散成多个秘密份额，并在终端之间共享这些份额来生成会话秘钥。相比于传统的固定密钥加密方式，本发明的算法提供了更高的安全性和抗攻击能力，其无需人工干预，消除了密钥生成过程中的人为错误和风险；4）采用一次一密加密技术，每次通信都使用不同的会话密钥ki进行加密，防止了密钥的重复使用，保护通信内容的机密性和完整性，防止信号干扰、窃听和恶意攻击等安全威胁，防止密钥被攻击或泄露后对其他通信会话产生影响，增强了通信的安全性；5）使用会话密钥ki进行一次加密通信，会话密钥ki在每次通信结束后立即销毁，不再使用，这种自动销毁的方式确保了会话密钥的安全性，减少了人工管理密钥的复杂性和风险，避免密钥泄露和不必要的保留，进一步增加通信的安全性。
附图说明
14.图1是本发明提供的一种5g馈线终端通信安全防护方法的一个优选实施例的流程示意图；图2是本发明提供的一种5g馈线终端通信安全防护装置的一个优选实施例的结构示意图；
图3是本发明提供的一种5g馈线终端通信安全防护方法的另一个优选实施例的流程示意图；图4是本发明提供的一种5g馈线终端通信安全防护装置的另一个优选实施例的结构示意图。
具体实施方式
15.为了使本发明的内容更容易被清楚地理解，下面根据具体实施例并结合附图，对本发明作进一步详细的说明。
16.请参阅图1，图1是本发明提供的一种5g馈线终端通信安全防护方法的一个优选实施例的流程示意图。所述5g馈线终端通信安全防护方法，包括：s1，在馈线终端ftu内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥k1向安全服务移动引擎进行身份认证，身份认证请求包括以下信息：馈线终端的硬件id、固件版本、生产批次，预充注密钥k1的密文。安全服务移动引擎收到身份认证请求后进行双向身份认证；s2，当馈线终端收到双向身份认证成功消息后，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，包括安全服务平台生成新鲜秘钥ko和向馈线终端分发一定数量的新鲜秘钥ko；s3，在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki，使用改进后基于shamir的秘密共享算法来扩散根秘钥ko，以产生新的会话秘钥ki；s4，馈线终端1和馈线终端2获得会话密钥ki，使用会话密钥ki进行一次加密通信，本次加密通信结束后，馈线终端1和馈线终端2及时销毁会话密钥ki。
17.具体的，本发明实施例在馈线终端ftu内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥k1向安全服务移动引擎进行身份认证，身份认证请求包括以下信息：馈线终端的硬件id、固件版本、生产批次，预充注密钥k1的密文。安全服务移动引擎收到身份认证请求后进行双向身份认证；当馈线终端收到双向身份认证成功消息后，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，包括安全服务平台生成新鲜秘钥ko和向馈线终端分发一定数量的新鲜秘钥ko；在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki，使用改进后基于shamir的秘密共享算法来扩散根秘钥ko，以产生新的会话秘钥ki；馈线终端1和馈线终端2获得会话密钥ki，使用会话密钥ki进行一次加密通信，本次加密通信结束后，馈线终端1和馈线终端2及时销毁会话密钥ki。
18.本实施例具有自动生成密钥、简化密钥管理过程、提高通信安全性的优点，能够解决现有5g场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题，从而提升5g场景下馈线终端通信的安全性和可靠性。
19.在另一个优选实施例中，所述方法还包括：
20.在馈线终端的加解密安全芯片中预充注一个密钥k1，馈线终端向安全服务移动引擎发送身份认证请求，所述身份认证请求包括以下信息：馈线终端的硬件id、固件版本v、生产批次b，预充注密钥k1的密文。记安全服务移动引擎生成的随机数为r，生成的消息验证码
为mc，短信验证码为sms；安全服务移动引擎发送给ftu的加密随机数为enc(r)，双向身份认证成功的消息为msgsuc；则身份认证请求可以表示为：,其中表示对预充注密钥k1的加密。
21.安全服务移动引擎使用预共享密钥sk对预充注密钥k1进行解密，表示为：，并与馈线终端发送的硬件id、固件版本、生产批次等信息进行比对，以确保该馈线终端是合法的。
22.安全服务移动引擎生成一个随机数r并加密发送给馈线终端，加密后的随机数密文为enc(r)，同时也发送一个短信验证码sms给馈线终端。
23.馈线终端使用预充注密钥k1解密随机数r，表示为，然后使用该随机数r和其他信息生成一个消息验证码mc，表示为：，其中，hash表示哈希函数，可以使用sha-256等安全哈希算法。
24.安全服务移动引擎收到消息验证码mc后进行验证，确保该馈线终端是具有合法预充注密钥k1的合法设备，并返回一个双向身份认证成功的消息给馈线终端，表示为：。
25.在又一个优选实施例中，所述安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，具体包括：安全服务平台生成新鲜秘钥ko的过程：安全服务平台生成一个伪随机数（pseudo-random number）作为新鲜秘钥ko的种子。表示为：，其中，r为伪随机数，prng为伪随机数生成器，ks为作为种子的秘钥；安全服务平台使用种子作为输入，通过加密哈希函数生成一个密钥派生函数（key derivation function, kdf）的输入参数，即秘钥衍生参数（key derivation parameter, kdp）；表示为：，其中，h表示加密哈希函数；安全服务平台使用kdp和一个预设的常数向量c作为输入，通过密钥派生函数生成一个长度为n的新鲜秘钥ko；表示为：，其中ko为长度为n的新鲜秘钥；安全服务平台将新鲜秘钥ko存储在一个安全的数据库中，等待分发给馈线终端。
26.安全服务平台向馈线终端分发新鲜秘钥ko的过程：安全服务平台向馈线终端发送一条消息msg，该消息包含新鲜秘钥ko的密文、新鲜秘钥ko的哈希值、时间戳、安全服务平台的签名等信息。表示为，其中，表示新鲜秘钥ko的密文，表示新鲜秘钥ko的密文，表示时间戳，表示安全服务平台的签名；馈线终端收到消息后，将新鲜秘钥ko的密文和哈希值存储在本地，馈线终端
使用预充注密钥k1对新鲜秘钥ko的密文进行解密，表示为：，并检查新鲜秘钥ko的哈希值是否与消息中的哈希值相等，即验证是否成立，以确保收到的新鲜秘钥ko是安全服务平台发送的，并且未被篡改；如果验证通过，馈线终端将新鲜秘钥ko存储在本地，用于不断扩散出新的会话秘钥ki。
27.在又一个优选实施例中，使用改进的基于shamir的秘密共享算法来扩散根秘钥ko，以产生新的会话秘钥ki，具体实现过程如下：选择要生成的会话秘钥数量k和阈值t，其中；阈值t表示恢复会话秘钥所需的最小秘密份额数；在5g场景下，k代表终端之间的会话数量，t代表在终端间共享会话秘钥时所需要的最小终端数；设要生成的会话秘钥数量，阈值；选择一个大质数，用于生成公私钥对，选择一个比p小的随机数a作为加法器，使得a与p互质，保证每个秘密份额不同，选择随机数；选择一个比p小的随机数作为生成元，用于生成秘密份额和公私钥对；选择一个大质数，用于生成会话密钥，q是的一个因子，且p和q均为质数；选择一个随机数，计算，其中，%表示取模运算，并将作为私钥，作为公钥，用于计算会话密钥；将根秘钥拆分成3个子秘密，，；对于每个要生成的第i个会话秘钥，选择一个随机数，计算，并将该值作为秘密份额，用于计算会话秘钥；选择，，，分别计算：，，，将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端。
28.在终端中，根据收到的秘密份额和公钥h，计算会话秘钥，其中表示上一个会话秘钥的扩散因子，即的k值。
29.计算会话秘钥k1：，计算会话秘钥k2：
30.，
31.计算会话秘钥k3：。
32.在又一个优选实施例中，所述馈线终端1和馈线终端2获得会话密钥ki并使用ki进行一次加密通信，具体包括：馈线终端1需要将明文m加密，并将密文c发送给馈线终端2。加密过程使用国密sm1对称加密算法实现；馈线终端1使用会话密钥ki对明文m进行加密。sm1算法的输入参数包括明文m和会话密钥ki，输出为密文c；馈线终端1通过5g无线网络将密文c发送给馈线终端2；馈线终端2接收到密文c后，需要使用会话密钥ki对密文进行解密，以得到原始明文m；馈线终端2使用会话密钥ki对密文c进行解密；sm1算法的输入参数包括密文c和会话密钥ki，输出为明文m；馈线终端2得到原始明文m后，完成了一次加密通信。
33.为实现“一次一密”的目的，需要在通信结束后及时销毁会话密钥ki。具体过程如下：在通信结束后，馈线终端1和馈线终端2都将会话密钥ki以及与会话密钥ki相关的信息从内存中清除，以确保不会被恶意程序或攻击者窃取；如有必要保留通信记录，可以将记录中的会话密钥ki使用混合加密算法进行加密后再存储；即使用非对称加密算法（如rsa）的公钥加密会话密钥ki，得到加密后的ki，使用对称加密算法（如aes）的密钥，对已加密的ki进行加密，得到最终的加密会话密钥。这样可以结合了非对称加密算法的安全性和对称加密算法的效率，确保通信结束后的会话密钥ki在存储时得到适当的保护。
34.本发明实施例通过在馈线终端ftu内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥k1向安全服务移动引擎进行身份认证；身份认证成功后，安全服务平台向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥；在馈线终端内集成的加解密安全芯片通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki；馈线终端1和馈线终端2获得会话密钥ki，使用ki进行一次加密通信。能够解决现有5g场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题，从而提升5g场景下馈线终端通信的安全性和可靠性。
35.相应地，本发明还提供一种5g馈线终端通信安全防护装置，能够实现上述实施例中的一种5g馈线终端通信安全防护方法的所有流程。
36.请参阅图2，图2是本发明提供的一种5g馈线终端通信安全防护装置的一个优选实施例的结构示意图。所述一种5g馈线终端通信安全防护装置，包括：加解密安全芯片，用于预充注密钥k1，通过密钥k1向安全服务移动引擎进行身份认证，通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki；
安全服务移动引擎，用于接收馈线终端的身份认证请求，发送身份认证成功消息给馈线终端；安全服务平台，用于生成新鲜根秘钥ko，并向馈线终端分发根秘钥ko；馈线终端ftu，用于接收安全服务分发的根秘钥ko，使用会话密钥ki进行一次加密通信，并在加密通信结束后及时销毁会话密钥ki。
37.请参阅图3，图3是本发明提供的一种5g馈线终端通信安全防护方法的一个优选实施例的流程示意图。所述5g馈线终端通信安全防护方法，包括：s1、选择要生成的会话秘钥数量k和阈值t，其中。阈值t表示恢复会话秘钥所需的最小秘密份额数。在5g场景下，k代表终端之间的会话数量，t代表在终端间共享会话秘钥时所需要的最小终端数；s2、选择一个大质数p，用于生成公私钥对，选择一个比p小的随机数a作为加法器，使得a与p互质，保证每个秘密份额不同。选择一个比p小的随机数g作为生成元，用于生成秘密份额和公私钥对，使得g的阶为；s3、选择一个大质数q，用于生成会话密钥，使得q是的一个因子，且p和q均为质数；s4、选择一个随机数x，计算，其中，%表示取模运算，并将x作为私钥，h作为公钥，用于计算会话密钥；s5、将根秘钥ko表示为一个整数，，其中为0到p-1之间的整数，m为整数的位数。将根秘钥ko拆分成m个子秘密使得不为0；s6、对于每个要生成的第i个会话秘钥，选择一个随机数，计算，并将该值作为秘密份额，用于计算会话秘钥；s7，将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端；s8，在终端中，根据收到的秘密份额和公钥h，计算会话秘钥，其中表示上一个会话秘钥的扩散因子，即的k值。
38.如需生成更多的会话秘钥，则重复上述步骤s6~s8。
39.请参阅图4，图4是本发明提供的一种5g馈线终端通信安全防护装置的另一个优选实施例的结构示意图。所述一种5g馈线终端通信安全防护装置包括处理器301、存储器302以及存储在所述存储器302中且被配置为由所述处理器301执行的计算机程序，所述处理器301执行所述计算机程序时实现上述任一实施例所述的5g馈线终端通信安全防护方法。
40.优选地，所述计算机程序可以被分割成一个或多个模块/单元（如计算机程序1、计算机程序2、
……
），所述一个或者多个模块/单元被存储在所述存储器302中，并由所述处理器301执行，以完成本发明。所述一个或多个模块/单元可以是能够完成特定功能的一系列计算机程序指令段，该指令段用于描述所述计算机程序在所述5g馈线终端通信安全防护装置中的执行过程。
41.所述处理器301可以是中央处理单元（central processing unit，cpu），还可以是
其他通用处理器、数字信号处理器（digital signal processor，dsp）、专用集成电路（application specific integrated circuit，asic）、现场可编程门阵列（field-programmable gate array，fpga）或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等，通用处理器可以是微处理器，或者所述处理器301也可以是任何常规的处理器，所述处理器301是所述5g馈线终端通信安全防护装置的控制中心，利用各种接口和线路连接所述5g馈线终端通信安全防护装置的各个部分。
42.所述存储器302主要包括程序存储区和数据存储区，其中，程序存储区可存储操作系统、至少一个功能所需的应用程序等，数据存储区可存储相关数据等。此外，所述存储器302可以是高速随机存取存储器，还可以是非易失性存储器，例如插接式硬盘，智能存储卡（smart media card，smc）、安全数字（secure digital，sd）卡和闪存卡（flash card）等，或所述存储器302也可以是其他易失性固态存储器件。
43.需要说明的是，上述5g馈线终端通信安全防护装置可包括，但不仅限于，处理器、存储器，本领域技术人员可以理解，图4的结构示意图仅仅是上述5g馈线终端通信安全防护装置的示例，并不构成对上述5g馈线终端通信安全防护装置的限定，可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件。
44.本发明实施例还提供了一种计算机可读存储介质，所述计算机可读存储介质包括存储的计算机程序，其中，在所述计算机程序运行时控制所述计算机可读存储介质所在设备执行上述任一实施例所述的5g馈线终端通信安全防护方法。
45.本发明与现有的固定密钥加密方式相比，采用每次通信过程中使用不同的会话密钥ki进行加密的方法，确保了每次通信的独特性，即使密钥泄露或被攻击，也只会影响单个通信会话，而不会对其他会话产生影响，提高了通信的安全性，有效防止了密钥重复使用和长期存储带来的潜在风险。本发明在馈线终端内集成了加解密安全芯片，并通过自动生成的密钥k1进行身份认证，相比于传统的密钥管理方式，大大简化了密钥管理的过程，减少了人工干预的风险；自动生成密钥和自动化的密钥管理使得密钥的生成、分发、更新和销毁变得更加便捷，提高了密钥管理的效率和安全性；本发明采用了"零信任"安全架构设计，每次通信使用不同的会话密钥ki进行加密，并在通信结束后及时销毁会话密钥ki，这种安全架构设计有效解决了通信受到干扰、窃听和恶意攻击等问题，提升了5g场景下馈线终端通信的安全性和可靠性。
46.需说明的是，以上所描述的系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。另外，本发明提供的系统实施例附图中，模块之间的连接关系表示它们之间具有通信连接，具体可以实现为一条或多条通信总线或信号线。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。
47.以上所述仅为本发明的优选方案，并非作为对本发明的进一步限定，凡是利用本发明说明书及附图内容所作的各种等效变化均在本发明的保护范围之内。

技术特征：
1.一种5g馈线终端通信安全防护方法，其特征在于，包括以下步骤：s1、在馈线终端ftu内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥k1向安全服务移动引擎进行身份认证，安全服务移动引擎收到身份认证请求后进行双向身份认证；s2、当馈线终端收到双向身份认证成功消息后，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥；s3、加解密安全芯片使用改进后基于shamir的秘密共享算法将根秘钥ko不断扩散出新的会话秘钥ki；s4、进行对等通信的馈线终端双方获得会话密钥ki，使用会话密钥ki进行一次加密通信，本次加密通信结束后，通信双方及时销毁会话密钥ki。2.如权利要求1所述的一种5g馈线终端通信安全防护方法，其特征在于，s1具体步骤为：在馈线终端的加解密安全芯片中预充注一个密钥k1，馈线终端向安全服务移动引擎发送身份认证请求，所述身份认证请求包括以下信息：馈线终端的硬件id、固件版本v、生产批次b，预充注密钥k1的密文；记安全服务移动引擎生成的随机数为r，生成的消息验证码为mc，短信验证码为sms；安全服务移动引擎发送给ftu的加密随机数为enc(r)，双向身份认证成功的消息为msgsuc；则身份认证请求表示为：，其中表示对预充注密钥k1的加密；安全服务移动引擎使用预共享密钥sk对预充注密钥k1进行解密，表示为：，并与馈线终端发送的硬件id、固件版本v、生产批次b进行比对，以确保该馈线终端是合法的；安全服务移动引擎生成一个随机数r并加密发送给馈线终端，加密后的随机数密文为，同时也发送一个短信验证码sms给馈线终端；馈线终端使用预充注密钥k1解密随机数r，表示为，然后使用该随机数r和其他信息生成一个消息验证码mc，表示为：，其中，hash表示哈希函数；安全服务移动引擎收到消息验证码mc后进行验证，确保该馈线终端是具有合法预充注密钥k1的合法设备，并返回一个双向身份认证成功的消息给馈线终端，表示为：。3.如权利要求2所述的一种5g馈线终端通信安全防护方法，其特征在于，s2中，安全服务平台将向馈线终端分发一定数量的新鲜秘钥ko作为根秘钥，具体包括以下步骤：s2-1、安全服务平台生成新鲜秘钥ko的过程：安全服务平台生成一个伪随机数作为新鲜秘钥ko的种子，表示为：，其中，r为伪随机数，prng为伪随机数生成器，ks为作为种子的秘钥；安全服务平台使用种子作为输入，通过加密哈希函数生成一个密钥派生函数kdf的输入参数，即秘钥衍生参数kdp，表示为：，其中，h表示加密哈希函数；安全服务平台使用kdp和一个预设的常数向量c作为输入，通过密钥派生函数kdf生成
一个长度为n的新鲜秘钥ko，表示为：，其中ko为长度为n的新鲜秘钥；安全服务平台将新鲜秘钥ko存储在一个安全的数据库中，等待分发给馈线终端；s2-2、安全服务平台向馈线终端分发新鲜秘钥ko的过程：安全服务平台向馈线终端发送一条消息msg，表示为，其中，表示新鲜秘钥ko的密文，表示新鲜秘钥ko的哈希值，表示时间戳，表示安全服务平台的签名；馈线终端收到消息后，将新鲜秘钥ko的密文和哈希值存储在本地，馈线终端使用预充注密钥k1对新鲜秘钥ko的密文进行解密，表示为：，并检查新鲜秘钥ko的哈希值是否与消息中的哈希值相等，即验证是否成立，以确保收到的新鲜秘钥ko是安全服务平台发送的，并且未被篡改；如果验证通过，馈线终端将新鲜秘钥ko存储在本地，用于不断扩散出新的会话秘钥ki。4.如权利要求3所述的一种5g馈线终端通信安全防护方法，其特征在于，s3中，使用改进的基于shamir的秘密共享算法来扩散根秘钥ko，以产生新的会话秘钥ki；具体包括以下步骤：选择要生成的会话秘钥数量k和阈值t，其中；k代表终端之间的会话数量，t代表在终端间共享会话秘钥时所需要的最小终端数；选择一个大质数p，用于生成公私钥对；选择一个比p小的随机数a作为加法器，使得a与p互质，保证每个秘密份额不同；选择一个比p小的随机数g作为生成元，用于生成秘密份额和公私钥对，使得g的阶为p-1；选择一个大质数q，用于生成会话密钥，使得q是p-1的一个因子，且p和q均为质数；选择一个随机数x，计算，其中，表示取模运算，并将x作为私钥，h作为公钥；将根秘钥ko表示为一个整数，，其中为0到p-1之间的整数，m为整数的位数；将根秘钥ko拆分成m个子秘密, , ..., ，使得不为0；对于每个要生成的第i个会话秘钥，选择一个随机数，计算，并将该值作为秘密份额；将所有的秘密份额和公钥h发送给需要生成会话秘钥的终端；在终端中，根据收到的秘密份额和公钥h，计算会话秘钥，其中表示上一个会话秘钥的扩散因子，即的k值；如需生成更多的会话秘钥，则重复上述步骤。5.如权利要求4所述的一种5g馈线终端通信安全防护方法，其特征在于，进行对等通信的馈线终端双方获得会话密钥ki并使用ki进行一次加密通信，具体步骤如下：馈线终端1采用国密sm1对称加密算法，利用会话密钥ki对明文m加密，生成密文c，并将密文c通过5g无线网络发送给馈线终端2；馈线终端2接收到密文c后，使用会话密钥ki对密文c进行解密，以得到原始明文m，完成了一次加密通信；在通信结束后，馈线终端1和馈线终端2都将会话密钥ki以及与会话密钥ki相关的信息从内存中清除；
如有必要保留通信记录，将记录中的会话密钥ki使用混合加密算法进行加密后再存储。6.一种5g馈线终端通信安全防护装置，其特征在于，包括：加解密安全芯片，用于预充注密钥k1，通过密钥k1向安全服务移动引擎进行身份认证，通过分散算法将根秘钥ko不断扩散出新的会话秘钥ki；安全服务移动引擎，用于接收馈线终端的身份认证请求，发送身份认证成功消息给馈线终端；安全服务平台，用于生成新鲜根秘钥ko，并向馈线终端分发根秘钥ko；馈线终端ftu，用于接收安全服务分发的根秘钥ko，使用会话密钥ki进行一次加密通信，并在加密通信结束后及时销毁会话密钥ki。7.一种计算机可读存储介质，其特征在于，所述计算机可读存储介质存储有计算机程序，其中，所述计算机可读存储介质所在设备执行所述计算机程序时，实现如权利要求1至5中任意一项所述的5g馈线终端通信安全防护方法。

技术总结
本发明属于馈线自动化技术领域，公开了一种5G馈线终端通信安全防护方法、装置及存储介质，所述方法首先在馈线终端内集成加解密安全芯片，通过预充注在加解密安全芯片内的密钥K1向安全服务移动引擎进行身份认证；认证成功后，安全服务平台向馈线终端分发一定数量的新鲜秘钥Ko作为根秘钥；加解密安全芯片通过分散算法将根秘钥Ko不断扩散出新的会话秘钥Ki；馈线终端1和馈线终端2获得会话密钥Ki，使用Ki进行一次加密通信。本发明可自动生成密钥、简化密钥管理过程、提高通信安全性，能够解决现有5G场景下馈线自动化终端间对等通信容易受到干扰、窃听等风险问题，从而提升5G场景下馈线终端通信的安全性和可靠性。终端通信的安全性和可靠性。终端通信的安全性和可靠性。


技术研发人员：张腾飞 王录泽 周霞 戴剑丰 刘增稷
受保护的技术使用者：南京邮电大学
技术研发日：2023.07.10
技术公布日：2023/8/9