5G+量子技术助力智慧监狱建设 ----以安徽省监狱管理局为例

　　摘要：本文以安徽省监狱管理局5G+量子融合应用项目为例，简要阐述了5G+量子技术的相关基础概念、技术架构和安全设计，结合实际应用场景，阐述了5G+量子技术在监狱移动通信场景下的应用成效。

　　关建词：5G 量子 智慧监狱

　　近年来，安徽省监狱管理局紧紧围绕“数字法治 智慧司法”总体部署，以《智慧监狱 技术规范》、《司法行政移动执法系统技术规范》等技术标准为指引，全面推进智慧监狱建设，特别是在移动执法执勤终端的建设应用上，安徽省监狱管理局积极探索、勇于创新，将量子密码技术融入移动警务，利用5G VPDN技术实现网络通道隔离，监狱民警通过移动终端定制APN接入内网，再利用量子密码服务平台结合量子SSL VPN、量子SIMKEY等软硬件系统，深度对接监狱移动警务大平台，配合5G VPDN专属网络为移动终端的安全接入提供身份认证和加密传输能力，有效保障各类数据传输安全可靠。

　　一、安徽监狱5G+量子融合应用架构

　　通过部署5G宏站、5G室分及量子相关设备，构建5G+量子移动专网，按照“统一平台接入、统一集中管控、统一标准规范”的原则，依托5G网络、量子密钥、国密算法、硬件加密等技术，进行安全移动办公、安全通信等移动安全信息化建设，实现5G+量子移动专网与公众业务隔离，确保警务通具有高速、安全、可靠的通讯网络。

　　5G+量子移动专网平台拓扑分为5G专网、移动接入区、业务内网共三个大区域。

　　监狱移动终端通过5G网络（信号回落4G不影响数据传输）的定制APN接入点接入电信核心网，通过VPDN专线实现从核心网到移动安全接入区的连接，VPDN专线通过虚拟局域网技术实现专网与互联网的网络隔离，连接成功后无法访问互联网，且定制终端的安全空间可与APN进行深度绑定，从而在终端层面形成了网络隔离区。

　　通过在防火墙上开通数据链路层的L2TP协议实现与VPDN专线末端的LNS服务器的互通完成专线接入，终端管理系统可部署在移动安全接入区或业务内网，在监狱移动终端能够访问业务系统之前就先对终端进行入网鉴别和管控，而后通过VPN实现数字证书和量子密钥的身份鉴别，实现SIM卡、加密模块、用户证书、终端的多重绑定和认证。

　　业务内网与移动安全接入区之间通过网闸进行隔离，量子密钥服务管理系统、移动业务应用的后台、存储都部署在这一区域，监狱所有用户行为均进行审计。

　　二、5G VPDN专线组网

　　基于L2TP VPN技术,为监狱构建的一张虚拟专用网络，监狱工作人员在任何地点都能够通过移动网络安全、快速的连接到监狱内网，实现个人的移动办公和业务的远程控制。

　　该VPDN组网方案通过在运营商无线接入网和无线核心网上建立逻辑隧道，对网络层进行加密以及采用口令保护、身份验证等措施而实现的。监狱移动终端通过无线网络分组域的接入认证，与vLNS平台建立起L2TP隧道连接，终端就可以通过专用隧道接入监狱内网。

　　三、量子密钥分发系统

　　量子密钥服务体系

　　量子密钥管理服务由基于量子信息技术构建的量子移动安全引擎提供核心安全能力，能够为移动终端规避信息被窃取、被篡改的风险，确保信息在移动端与后台之间交互的机密性、完整性。能够为监狱的移动接入用户提供安全、可靠、可信的信息安全交互服务，满足监狱对移动接入安全的高等级需求。

　　交换密码服务是量子密钥服务的核心组件之一，负责从量子随机数服务获取量子密钥并进行存储管理、通过充注服务实现量子密钥充注到量子SIM卡。移动终端通过密码服务SDK向量子安全移动引擎进行服务注册和认证，从交换密码服务获取会话密钥，从而实现移动警务数据传输过程中的安全性保护。

　　充注服务通过交换密码服务与量子安全移动引擎进行身份认证后，将从交换密码服务获取的量子密钥（来自量子随机数服务）通过管理员的操作安全地充注到量子SIM卡中，充注完成后量子SIM卡便可以通过此部分预充注密钥与量子安全移动引擎进行身份认证和密钥协商，从而实现量子密钥从“有线，扩展到“无线”。

　　量子SIM卡

　　“量子SIM卡”是结合了普通SIM卡功能和安全芯片功能的特殊SIM卡。既可提供运营商入网的鉴权等普通SIM卡的功能，又可提供符合国密标准的安全芯片加密功能。实现为普通移动加密终端提供安全能力的同时又不额外多占用移动加密终端卡槽。

　　量子SIM卡作为一种专用型SIM卡，适用于各种智能手机终端。除标准的通信功能外，封装了加密存储模块。扩展支持量子应用接口和相关安全功能，包括：量子密钥导入、数据加解密、签名验签、国密算法、量子密钥安全存储等功能。

　　卡内置常用的密码算法，为外部各安全应用提供服务，内置的运算过程具有更高的安全性。

　　量子SIM卡具有大容量存储空间，存储逻辑遵循国家密码局相关要求，卡内可存储量子密钥、数字证书等密钥信息。在量子安全相关业务中，该空间被应用于存储量子密钥。

　　四、安徽监狱5G+量子融合应用成效

　　安徽监狱5G+量子融合应用项目已获得工信部第四届绽放杯5G应用征集大赛全国总决赛一等奖等荣誉，得到工信部及行业内外专家高度认可。该方案具有高技术性、高实用性等应用成效。

　　高技术性：该方案基于监狱业务应用需求，通过大带宽、低时延的5G网络，提供覆盖全系统的量子密钥服务，实现量子密钥对移动端信息的全面加密。量子密钥具备与业务应用结合实现加密能力的共享，量子系统以安全平台为基础，采用国密体系指定技术标准和接口规范，可无缝集成兼容国密规范的监狱的应用系统，具有良好的扩展性和兼容性同时兼顾安全性。方案结合智能终端技术和5G网络切片技术，实现智能终端在移动网络上的安全接入和认证。同时基于现有网络体系，结合SSL/TLS技术、AAA认证、国密加密算法和量子密钥等多种技术，实现端到端的身份认证、信息加密传输，确保数据的传输安全，支持SM2、SM3，SM4等国家密码局标准算法进行加解密服务。

　　高实用性：监狱多业务场景对网络时延、带宽、数据安全性有高需求，主要场景及痛点如下1.在移动通信方面，当前定制终端较多使用普通4G信号传输数据，存在定制终端数据传输安全性低、定制终端数据不能智慧分流、定制终端执法网络时延高等痛点。2.在人员安全管理方面，存在监控视频回传时延高、电子围栏带宽受限、机器巡检视频回传安全性低等痛点。3.在外出管理方面，存在车载监控视频回传安全性低、布控球视频数据传输不及时、不支持多路视频实时回传等痛点。5G+量子融合应用解决方案同时具备5G、量子安全技术的特点，适用于高安全高保密应用场景。该方案在5G低时延、大带宽、广连接的网络基础上叠加量子安全保障，基于5G和量子安全技术，能够为监狱解决终端时延高、带宽小以及信息被窃取、被篡改等痛点，确保信息的实时性、机密性、真实性、完整性和行为不可抵赖性，能够为监狱客户提供高速、安全、便捷、可信的信息交互服务。

　　五、监狱5G+量子融合应用的展望

　　中国电信股份有限公司安徽分公司、中电信量子科技有限公司作为安徽省监狱管理局5G+量子融合应用项目的承建单位，将充分发挥各自领域的技术优势，对5G定制网络和量子安全技术在监狱移动警务的深度融合应用继续深入探索，研究如何利用量子安全技术并结合国密体系的相关密码技术对移动警务终端的安全接入、身份认证和数据加密传输进行安全防护等，对监狱移动执法执勤业务进行量子安全赋能；同时，结合监狱行业应用场景，将量子安全技术与5G执法记录仪、5G布控球机、智能腕带等智能警用装备相结合，为监狱指挥中心提供基于狱外就医等场景下的全过程安全可视化监管能力，为打造更加安全、更加智慧的监狱移动警务技术贡献应有力量！

　　责任编辑：广汉