量子保密通信在电网业务应用的方案研究与设计

《量子保密通信在电网业务应用的方案研究与设计》由会员分享，可在线阅读，更多相关《量子保密通信在电网业务应用的方案研究与设计（5页珍藏版）》请在金锄头文库上搜索。

1、量子保密通信在电网业务应用的方案研究与设计量子保密通信在电网业务应用的方案研究与设计摘要：电力通信网作为与电网共生并存的第二张实体网络，其通信的安全性对 电网的运行有着很大的影响。文章以量子保密通信技术在电力通信网中的应用 为出发点，给出了相应的架构设计原则，并为量子保密通信技术在北京城域配 电自动化业务中的应用设计了相应的部署方案。该方案满足了电网生产领域中 不同的业务需求及高安全等级通信的需求，为类似应用场景提供了参考，并从 电力业务应用的角度提出量子通信技术的发展方向。0 0 引言引言近年来，陆续发生了乌克兰、以色列电网受攻击等重大安全事件，预示金 融、电力、通信等涉及国家安全的信息基础

2、设施面临着较大的风险隐患与安全 威胁。目前，电力通信网络信息的传输安全主要使用经典保密通信模式或者专 网专用、内外网隔离的策略，但各种加密方式的安全性仍然依托于密码算法的 支撑，会话密钥被用在高级加密标准(Advanced Encryption Standard，AES）、 数据加密标准（Data Encryption Standard，DES）等加密算法中，以保证通信 的机密性、完整性。但是这种安全性是有条件的，它的密钥预交换共享过程依 赖于计算复杂度，随着计算机处理能力的提升，基于传统安全加密机制的网络 传输设备也面临着被破解的风险，黑客攻击带来的风险巨大且与日俱增。而量 子保密通信是在量

3、子力学的基础上利用量子态的不确定性、不可分割性和偏振 性等性质，可以实现无条件安全通信。如果在电网生产领域中建设量子保密通 信网络，则可以提高电网中的通信信息安全。本文首先对量子保密通信的原理进行了简单的介绍；然后就量子加密系统 如何在电力通信网中进行应用给出了具体的架构设计方案；接着结合北京电力 公司的业务特点，设计了北京城区某区域重要供电节点的配电自动化业务的设 计部署方案，为量子保密通信技术在电网的实际应用提供参考；对量子保密通 信技术未来的应用进行了展望。1 1 量子保密通信原理量子保密通信原理量子保密通信过程中，发送方和接收方采用单光子的状态作为信息载体来 建立密钥。由于单光子不可分

4、割，窃听者无法将单光子分割成 2 部分，让其中 一部分继续传送，而对另一部分进行状态测量获取密钥信息。由于量子测不准 原理和不可克隆定理，窃听者无论是对单光子状态进行测量或是试图复制之后 再测量，都会对光子的状态产生扰动，从而使窃听行为暴露。数学上可以严格 证明，若密钥是绝对保密的，且密钥长度与被传送的明文长度相等，那么通信 双方的通信是绝对保密的。 量子保密通信是以量子密钥分发（Quantum Key Distribution，QKD）为核 心，基于量子不可克隆原理，通过单光子信号的量子通信协议和“一次一密” 的方式，实现用户间无条件的安全通信，极大提高通信传输网络的安全水平。BB84 协议

5、是最早提出的量子保密通信协议（见图 1），是其他协议的基础，并 且最接近实用化。 BB84 协议中使用光子的水平偏振态、垂直偏振态和45偏振态来实现编 码。如图 1 所示，发送端 Alice 主要由量子信号源、调制器、随机数发生器等 部件构成，根据随机生成的二进制数串吧，生成不同的偏振态单光子作为发送 的量子比特。接收端 Bob 通过量子信道接收单光子信号，随机选择基矢对光子 进行测量，并将测量基矢通过经典信道告知 Alice，双方保留基矢相同的部分； 最后，双方再通过公开一段量子密钥，来估计误码率和可能的窃听者 Eve 的存 在，最终 Alice 和 Bob 共同产生量子密钥。图 1 BB8

6、4 协议示意2 2 电力量子保密通信网架构设计原则电力量子保密通信网架构设计原则电力通信网作为与电网共生并存的第二张实体网络，承载着电力生产、调 度、营销、管理等重要业务，是信息时代变革和重塑电网生产要素组合的重要 部分，而量子保密通信技术作为目前最安全的通信加密体系，在电力通信网中 具有广阔的应用前景。但是电力通信网较为复杂，在具体应用于某种业务时需 要针对其特点进行多个方面的设计。2.12.1 业务流设计业务流设计在进行业务流设计时，要考虑站点两边的设备类型、数据量大小、时延要 求和数据量时间发布等方面的因素，针对站点不同的情况进行相应的设计。业 务系统接入业务应用层，经过量子 VPN 网

7、关利用量子密钥进行加密处理后，通 过利用国网数据网创建的 IPSec 隧道转发至对端，再经过量子 VPN 网关的解密 操作还原出未加密的真实数据，到达目的端。其中，需要在原有业务系统与网 关之间接入业务交换机，通过在业务交换机上创建 VLAN 的方式旁挂上量子 VPN网关，并将原先的数据流到数据网边缘设备调整为到量子 VPN 网关加密后再转 发至数据网边缘设备即可。量子保密通信设备连接示意如图 2 所示。图 2 量子保密通信设备连接示意2.2VPN 隧道设计隧道设计量子 VPN 网关之间通过国网数据网建立点对点 IPSec 隧道。使用隧道模式， 在隧道中传输的业务数据需要经过量子密钥的对称加密

8、处理，而量子密钥的获 取是通过量子 VPN 网关与 QKD 的即时交互获得。 隧道模式的工作原理是先将 IP 数据包整个进行加密后再加上 ESP 的头和新 的 IP 头，这个新的 IP 头中包含有隧道源/宿的地址。当通过 ESP 隧道的数据包 到达目的网关（即隧道的另一端）后，利用 ESP 头中的安全相关信息对加密过 的原 IP 包进行安全相关处理，将已还原的高层数据按原 IP 头标明的 IP 地址递 交，以完成信源-信宿之间的安全传输。因此，基于此原理，隧道模式常用于网 关与网关之间保护的内部网络，同时亦可用于主机与网关之间的安全保护。而 传输模式的原理是在 IP 包的包头与数据包之间插入一

9、个 ESP 头，并将数据包进 加密，然后在公网上传输。这种模式的特点是保留了原 IP 头信息，即信源/宿 地址不变，所有安全相关信息包括在 ESP 头中。ESP 传输模式适用于主机与主 机的安全通信。在设计 VPN 隧道时，需考虑节点间通信需求，是单个主站对应 多个子站，还是多个主站对用多个子站，或是子站间也有通信的需求。2.3 量子通道设计量子通道设计量子密钥层的量子密钥生成与管理终端（发送端/接收端）之间的连接是通 过独立的单芯裸光纤，中间可以进行跳接，但不能经过传输或光电转换设备， 否则会影响光量子信号。同时，考虑到量子线路的稳定成码条件，对 QKD 与 QKD 之间的距离和光纤衰耗也有

10、一定的要求，建议通信距离小于 50km，光纤衰减小于 13dB。如果通信距离在 50km 内宜选择常规型设备，50-80km 之间选择加 长型设备。此外，还要综合线路的隧道和架空等环境条件，架空情况下对风力 和气温等不可控环境因素的影响，也会给量子线路的成码率产生影响，所以需 要根据实际链路状况选择是否使用带有快速偏振反馈功能的设备进行纠偏或是 采用基于相位调制的量子加密设备。3 3 北京城域配电自动化业务部署方案北京城域配电自动化业务部署方案北京城域电力量子通信保密技术在电网生产领域的综合示范应用项目基于 目前已有的北京电力通信网资源，以及“北京城域电力量子保密组网”基础网 络建设，通过选取

11、合适的试验应用站点、线路和业务，开展实际环境下的示范 应用建设。选取北京城区公司与某区域重要供电节点之间的配电自动化业务， 部署量子保密通信系统，实现配电自动化业务数据的量子保密通信传输，验证 量子保密通信系统在调度数据网上的应用效果。配电自动化业务架构如图 3 所 示。图 3 配电自动化业务架构由于该配电自动化业务只涉及 2 个站点之间的通信，所以其 VPN 隧道的设 计采用点对点的隧道设计模型，且节点距离较近。网络的量子通道采用管道光 纤，量子通信设备采用常规型设备，不需要设置中继节点。另外，光纤属于非 架空型光缆，因此采用基于偏振调制的设备且不需要加入偏振反馈模块。配电自动化组网结构复杂

12、，跨调度数据网和 EPON 接入网。目前 EPON 段网 络难以提供空余裸纤给量子保密系统，因此将保密段设置在调度数据网边缘， 即城区公司主站侧和某区域节点调度数据网边缘。城区公司侧，量子 VPN 网关 物理旁接、逻辑串接人业务核心交换机，通过在核心交换机上配置路由实现数 据选路。如还有其他业务，也可采用城区公司侧方案旁接。配电自动化数据通 过量子 VPN 网关进行隧道传输，到达对端量子 VPN 网关后，经对端量子 VPN 网 关解密后转发至目标设备，实现城区公司和某区域重要供电节点之间的配电自 动化业务的量子保密通信数据传输。4 4 量子保密通信技术应用展望量子保密通信技术应用展望量子保密通

13、信技术作为信息通信领域重要的发展方向，探索其在电力系统 中的应用是非常有意义和前瞻性的工作。但目前量子保密通信技术的应用还存 在着一定的局限性，未来还可以在以下几个方面进行研究和发展。 1）长距离量子保密通信研究。目前量子信号在商用光纤上的成码率、传输 距离、抗干扰性能都有一定局限性，一般最大传输距离为 50-80km，无法满足 长距离加密通信的需求。多家科研机构正在研制能够在光纤中进行长距离密钥 分发的量子设备，同时在未来可以考虑通过发射量子卫星实现天地一体的量子 密钥分发，从而使量子保密通信的通信距离增加。 2）复杂环境下进行量子保密通信。量子密钥分发主要使用独立光传输通道， 涉及通信网络

14、改造。目前电力通信光缆部分为架空线路，相对于地埋光缆，量 子信号在光缆中传输更易受环境干扰，对量子密钥的生成有一定的影响。因此， 针对电力架空线路及实际应用环境，可以在量子保密通信系统中加入偏振反馈 装置，然后设计相应的部署方案，使量子保密技术能够适应电力系统各种复杂 的环境。 3）能对多种信息格式进行加密。现有的量子保密通信密通信应用体系主要 是与 IPSec VPN 技术相配合，对 IP 数据包进行加解密操作，对非 IP 数据尚无 成熟产品方案，而电网中纵差设备间的通信未采用 IP 包的方式，无法直接使用 现有的量子加密体系。未来可以对量子加密系统进行改进，使其对各种类型的 业务数据都能够进行加密。5 5 结语结语随着信息技术的演进和攻击技术的发展，传统的信息加密方法日益力不从 心，而量子保密通信作为新一代的通信加密技术，已完成了所有的理论准备和 部分实践应用，且具备了应用到电网业务上的基本条件。本文针对量子保密通 信在电力系统中的应用给出了架构设计方案，并在北京城域电网中的配电自动 化生产应用领域设计了具体的部署方案，最后对量子保密通信技术发展进行了 展望。面对千差万别的各类电网业务，量子保密通信还需要在应用的过程中不 断创新改进，才能在电力生产和运营中发挥出应有的效益。