面向电网应用的量子保密通信系统VPN实测分析

2018-03-28 22:10:28 《电力信息与通信技术》微信公众号  点击量: 评论 (0)
保障电网业务相关的核心、敏感数据安全传输是电力通信安全的关键,电力量子保密通信系统依托量子密钥分发机制,以量子虚拟专用网技术(Virtual Private Networks,VPN)作为电力量子保密通信系统的核心组成设备,其基于量子密钥进行数据加解密以改进传统VPN 的密码安全性。文章针对基于偏振调

0 引言

能源问题事关各国经济社会发展的全局,为了保障能源资源的大范围优化配置,我国大力推进建设并投运了特高压交直流电网。信息通信技术是实现电网智能化、互动化和大电网运行控制的重要基础,为适应电网规模的发展、信息通信范围的大幅扩张,对电力信息通信的安全性要求更加迫切和严
[1-2]。而近年来乌克兰电网大停电等重大安全事件频发,预示金融、电力、通信等涉及国家安全的信息基础设施面临着较大的风险隐患与安全威胁。传统电力通信传输安全主要使用经典保密通信模式、专网专用或者内外网隔离等策略。在经典保密通信模式中应用了各种密码算法,随着计算能力的提升,基于传统安全加密机制的网络传输设备面临被破解的风险,黑客攻击带来的风险巨大且与日俱增。随着各种集中式、分布式电源的快速建设,电动汽车等柔性负荷逐步接入,电网源-网-荷互动日益频繁,承载电网各种生产控制业务信息的电力通信网日趋复杂。同时,电力行业内各种“互联网+”新型业务模式也在不断涌现,信息内、外网环境更加复杂,同样面临着严峻的安全威胁。

目前,电力通信网中主流的安全通信方式是利用虚拟专用网技术(Virtual Private Networks,VPN)来保障数据通信的安全性,VPN的安全性仍然依托于密码算法的支撑,会话密钥被用在高级加密标准(Advanced Encryption Standard,AES)、数据加密算法(Data Encryption Standard,DES)等加密算法中,以保证通信的机密性、完整性。但是这种安全性是有条件的,其密钥预交换共享过程依赖于计算复杂度,随着计算机处理能力的提升,其安全性面临严峻的挑战[3-5]。量子保密通信是基于量子密钥分发(Quantum Key Distribution,QKD)的新型保密通信技术,量子密钥分发是建立在量子力学原理之上,应用量子力学的海森堡不确定性原理和量子态的不可克隆原理,在收发双方之间建立一串共享的密钥,通过“一次一密”(One-Time-Pad,OTD)的加密策略,实现原理上无条件的安全通信[6-7]。QKD技术是通信技术发展史上的重要里程碑,相较于传统对称加密,QKD最显著作用就是替换其最薄弱的密钥交换环节[8],基于量子特性产生和交换密钥是安全的。

由于量子保密通信技术具有广阔的应用价值,国内外已经出现了量子保密通信相关商业产品。电力行业已开展量子保密通信技术应用研究以及光量子信号电磁干扰、传输损耗等测试分析[9-10],并分步推进建立电力量子保密通信城域网建设与业务示范应用。量子VPN作为量子保密通信系统的核心设备,是量子密码与传统VPN的融合发展,它以共享密钥作为通信双方的会话密钥,对内部传输的数据进行加解密。量子密钥分发与电力通信网融合将会产生新型电力专用的量子保密通信网络,最大程度提高电网业务数据传输的安全性。在电网应用中,量子VPN可承担电网业务数据的加解密处理任务,其运行性能特征对于满足电力通信安全可靠、稳定运行的高要求至关重要。由于目前量子VPN在电力行业尚没有进行大规模工程化的应用实践,我国尚无相关技术规范和标准,为此需要对其工作机制以及运行的稳定性和可靠性进行研究与测试。本文为使量子保密通信技术能够适应电网应用工程化、实用化、规模化发展需求,基于商用级的基于偏振调制的量子保密通信系统,研究量子密钥分发和量子VPN工作原理,建立量子VPN性能测试系统结构与测试环境,深入测试分析量子VPN的吞吐量、时延、加密算法等运行核心性能特征,验证分析量子VPN对电网业务数据安全传输的适应性。

 1 量子保密通信

量子保密通信是以量子密钥分发(QKD)为核心,基于量子不可克隆原理,通过单光子信号的量子通信协议和“一次一密”的方式,实现用户间无条件的安全通信,可极大提高通信传输网络的安全水平。量子保密通信系统中的单光子量子信号调制主要有偏振和相位两种,本文主要针对基于偏振的调制方式。

1.1 基于偏振调制的量子密钥分发原理

量子密钥分发是利用单光子不可分割、量子态不可复制的原理特性实现通信双方间的安全密钥分发,解决对称加密算法中密钥分发的安全性问题,实现传输数据的安全加密通信。基于单光子的QKD系统主要以BB84协议作为量子通信协议,双方之间利用量子信道和可信经典信道来生成安全密钥[11]。基于偏振调制的量子密钥分发原理如图1所示。

图1中,发送端Alice主要由激光器、衰减器、起偏器等部件组成,根据随机生成的二进制数串,通过起偏器和偏振控制器制备生成不同的偏振态单光子,作为发送的量子比特。接收端Bob通过量子信道接收单光子量子信号,通过分束器后,随机选择基矢对光子进行测量,采集模块获取单光子的量子态测量结果,在协商信道双方按照量子通信协议进行筛选、纠缠和保密增强。最终,量子密钥分发的发送端Alice和接收端Bob通过协商信道进行交互协商,共同产生量子密钥。在基于单光子的量子密钥分发中,偏振调制是简单有效的调节方式,但其偏振方向易受环境影响,一般需要偏振补偿[5]

图1 基于偏振调制的量子密钥分发原理Fig.1 QKD principle with polarization modulation

1.2 基于QKD的量子保密通信系统

目前在国内,基于量子密钥分发系统的量子保密通信系统已经商用化,其物理链路基于光纤,系统主要由量子密钥终端、量子VPN、用户终端、通信线路等部分构成。基于QKD的量子保密通信系统如图2所示。

图2 基于QKD的量子保密通信系统Fig.2 Quantum secret communication system using QKD

在用户A进行业务数据传输时,发送端的量子VPN按报文流量或者时间周期向量子密钥终端Alice请求提取密钥对业务数据进行加密处理,加密密文通过经典信道传输给接收端的量子VPN,按照量子通信协议机制,量子密钥终端Bob提供相同密钥给量子VPN进行数据的解密处理,最终解密后的数据传递至用户B,实现数据在用户之间的安全传输。

 2 量子VPN工作原理

现有的实际业务数据加密通信场景中,主要采用IPSec VPN网关实现安全接入。量子VPN是将量子保密通信技术与IPSec VPN进行结合的设备,并且是以量子密钥作为会话密钥。量子VPN具有密钥交换功能,量子VPN工作原理如图3所示。密钥策略控制器可调节密钥选择方式以及密钥的更新频率等,因特网密钥交换(Internet Key Exchange,IKE)在第一阶段协商生成工作密钥,用于保护第二阶段的协商过程。密钥交换第二阶段的主要目的是生成会话密钥,传统模式下IKE协商出IKE密钥作为会话密钥,而在量子VPN中,通过量子密钥交互管理器能安全连接QKD终端中的量子密钥资源池,获取量子密钥存储于量子VPN中的量子密钥池,作为会话密钥,用于量子VPN网关之间的数据加密通信。一旦量子密钥池资源不足,量子VPN也可以按照密钥策略切换控制使用IKE密钥进行加密。

图3 量子VPN工作原理Fig.3 Quantum VPN working principle

量子VPN从QKD终端中得到量子密钥,可直接替换掉IKE中的相应密钥,之后的过程与原始的协议一样[12]。因此,对于传统VPN进行升级改造即能融合使用量子密钥,方案可行性高,可以满足VPN网关到网关的对接或者终端到网关的安全接入,大大提高用户数据在网络上的安全传输水平。例如,在电网企业中,电力调度中心可以通过量子VPN在CA中心与多个调度分中心的加密管理机之间传递非对称加密算法的私钥,从而保障CA中心私钥在线分发传输中的安全性、可靠性。

 3 量子VPN测试与分析

3.1 测试结构与方法

本文试验在不同加密算法、不同数据流量条件下统计测试量子VPN的运行特性,指标采用吞吐量和时延,它们是电网业务数据传输的重要性能参
[13-15]。测试系统主要由商用级QKD终端、量子VPN和思博伦(Spirent)网络综合测试仪(N11U)组成,量子VPN的测试结构如
图4所示。

其中,QKD终端的光量子是基于偏振调制的单向诱骗态(One-Way Decoy)脉冲,工作频率为40 MHz;量子VPN设备标称数据吞吐量为500 Mbps(单向),支持的加密算法包括DES、3DES、AES、SM1、SM4等。综合测试仪仿真生成不同报文流量数据并存储测试结果数据,流量数据传送到量子VPN后使用量子密钥加密,密文通过经典信道传输到对端量子VPN进行解密处理。

图4 量子VPN的测试结构Fig.4 Testing structure of quantum VPN

为获取量子VPN的运行特性数据,连接好相关设备后,测试流程如下。

1)配置网络测试仪参数,在综合测试仪中设置测试性能特征量,配置数据帧长、连接的量子VPN等参数,本次测试中的帧长配置包括64 B、128 B、256 B、512 B、1 024 B、1 428 B和1 518 B;

2)配置量子VPN参数,在量子VPN中设置加密算法与密钥长度、密钥更新频率等,本次测试中,量子VPN采用的加密算法为AES、SM1、SM4;

3)开始测试,记录测试数据;

4)如果性能测试未完成,转步骤1;

5)所有测试项完毕,进行数据统计与评估分析。

3.2 测试数据分析

在本次测试结果中,吞吐量是在量子VPN网关丢包率为0条件下达到的单向最大数据流量,时延是在丢包率为0条件下加解密所消耗的平均时间。

大云网官方微信售电那点事儿

责任编辑:售电衡衡

免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞