面向电网应用的量子保密通信系统VPN实测分析
0 引言
能源问题事关各国经济社会发展的全局,为了保障能源资源的大范围优化配置,我国大力推进建设并投运了特高压交直流电网。信息通信技术是实现电网智能化、互动化和大电网运行控制的重要基础,为适应电网规模的发展、信息通信范围的大幅扩张,对电力信息通信的安全性要求更加迫切和严
格[1-2]。而近年来乌克兰电网大停电等重大安全事件频发,预示金融、电力、通信等涉及国家安全的信息基础设施面临着较大的风险隐患与安全威胁。传统电力通信传输安全主要使用经典保密通信模式、专网专用或者内外网隔离等策略。在经典保密通信模式中应用了各种密码算法,随着计算能力的提升,基于传统安全加密机制的网络传输设备面临被破解的风险,黑客攻击带来的风险巨大且与日俱增。随着各种集中式、分布式电源的快速建设,电动汽车等柔性负荷逐步接入,电网源-网-荷互动日益频繁,承载电网各种生产控制业务信息的电力通信网日趋复杂。同时,电力行业内各种“互联网+”新型业务模式也在不断涌现,信息内、外网环境更加复杂,同样面临着严峻的安全威胁。
目前,电力通信网中主流的安全通信方式是利用虚拟专用网技术(Virtual Private Networks,VPN)来保障数据通信的安全性,VPN的安全性仍然依托于密码算法的支撑,会话密钥被用在高级加密标准(Advanced Encryption Standard,AES)、数据加密算法(Data Encryption Standard,DES)等加密算法中,以保证通信的机密性、完整性。但是这种安全性是有条件的,其密钥预交换共享过程依赖于计算复杂度,随着计算机处理能力的提升,其安全性面临严峻的挑战[3-5]。量子保密通信是基于量子密钥分发(Quantum Key Distribution,QKD)的新型保密通信技术,量子密钥分发是建立在量子力学原理之上,应用量子力学的海森堡不确定性原理和量子态的不可克隆原理,在收发双方之间建立一串共享的密钥,通过“一次一密”(One-Time-Pad,OTD)的加密策略,实现原理上无条件的安全通信[6-7]。QKD技术是通信技术发展史上的重要里程碑,相较于传统对称加密,QKD最显著作用就是替换其最薄弱的密钥交换环节[8],基于量子特性产生和交换密钥是安全的。
由于量子保密通信技术具有广阔的应用价值,国内外已经出现了量子保密通信相关商业产品。电力行业已开展量子保密通信技术应用研究以及光量子信号电磁干扰、传输损耗等测试分析[9-10],并分步推进建立电力量子保密通信城域网建设与业务示范应用。量子VPN作为量子保密通信系统的核心设备,是量子密码与传统VPN的融合发展,它以共享密钥作为通信双方的会话密钥,对内部传输的数据进行加解密。量子密钥分发与电力通信网融合将会产生新型电力专用的量子保密通信网络,最大程度提高电网业务数据传输的安全性。在电网应用中,量子VPN可承担电网业务数据的加解密处理任务,其运行性能特征对于满足电力通信安全可靠、稳定运行的高要求至关重要。由于目前量子VPN在电力行业尚没有进行大规模工程化的应用实践,我国尚无相关技术规范和标准,为此需要对其工作机制以及运行的稳定性和可靠性进行研究与测试。本文为使量子保密通信技术能够适应电网应用工程化、实用化、规模化发展需求,基于商用级的基于偏振调制的量子保密通信系统,研究量子密钥分发和量子VPN工作原理,建立量子VPN性能测试系统结构与测试环境,深入测试分析量子VPN的吞吐量、时延、加密算法等运行核心性能特征,验证分析量子VPN对电网业务数据安全传输的适应性。
1 量子保密通信
量子保密通信是以量子密钥分发(QKD)为核心,基于量子不可克隆原理,通过单光子信号的量子通信协议和“一次一密”的方式,实现用户间无条件的安全通信,可极大提高通信传输网络的安全水平。量子保密通信系统中的单光子量子信号调制主要有偏振和相位两种,本文主要针对基于偏振的调制方式。
1.1 基于偏振调制的量子密钥分发原理
量子密钥分发是利用单光子不可分割、量子态不可复制的原理特性实现通信双方间的安全密钥分发,解决对称加密算法中密钥分发的安全性问题,实现传输数据的安全加密通信。基于单光子的QKD系统主要以BB84协议作为量子通信协议,双方之间利用量子信道和可信经典信道来生成安全密钥[11]。基于偏振调制的量子密钥分发原理如
在
1.2 基于QKD的量子保密通信系统
目前在国内,基于量子密钥分发系统的量子保密通信系统已经商用化,其物理链路基于光纤,系统主要由量子密钥终端、量子VPN、用户终端、通信线路等部分构成。基于QKD的量子保密通信系统如
在用户A进行业务数据传输时,发送端的量子VPN按报文流量或者时间周期向量子密钥终端Alice请求提取密钥对业务数据进行加密处理,加密密文通过经典信道传输给接收端的量子VPN,按照量子通信协议机制,量子密钥终端Bob提供相同密钥给量子VPN进行数据的解密处理,最终解密后的数据传递至用户B,实现数据在用户之间的安全传输。
2 量子VPN工作原理
现有的实际业务数据加密通信场景中,主要采用IPSec VPN网关实现安全接入。量子VPN是将量子保密通信技术与IPSec VPN进行结合的设备,并且是以量子密钥作为会话密钥。量子VPN具有密钥交换功能,量子VPN工作原理如
量子VPN从QKD终端中得到量子密钥,可直接替换掉IKE中的相应密钥,之后的过程与原始的协议一样[12]。因此,对于传统VPN进行升级改造即能融合使用量子密钥,方案可行性高,可以满足VPN网关到网关的对接或者终端到网关的安全接入,大大提高用户数据在网络上的安全传输水平。例如,在电网企业中,电力调度中心可以通过量子VPN在CA中心与多个调度分中心的加密管理机之间传递非对称加密算法的私钥,从而保障CA中心私钥在线分发传输中的安全性、可靠性。
3 量子VPN测试与分析
3.1 测试结构与方法
本文试验在不同加密算法、不同数据流量条件下统计测试量子VPN的运行特性,指标采用吞吐量和时延,它们是电网业务数据传输的重要性能参
考[13-15]。测试系统主要由商用级QKD终端、量子VPN和思博伦(Spirent)网络综合测试仪(N11U)组成,量子VPN的测试结构如
其中,QKD终端的光量子是基于偏振调制的单向诱骗态(One-Way Decoy)脉冲,工作频率为40 MHz;量子VPN设备标称数据吞吐量为500 Mbps(单向),支持的加密算法包括DES、3DES、AES、SM1、SM4等。综合测试仪仿真生成不同报文流量数据并存储测试结果数据,流量数据传送到量子VPN后使用量子密钥加密,密文通过经典信道传输到对端量子VPN进行解密处理。
为获取量子VPN的运行特性数据,连接好相关设备后,测试流程如下。
1)配置网络测试仪参数,在综合测试仪中设置测试性能特征量,配置数据帧长、连接的量子VPN等参数,本次测试中的帧长配置包括64 B、128 B、256 B、512 B、1 024 B、1 428 B和1 518 B;
2)配置量子VPN参数,在量子VPN中设置加密算法与密钥长度、密钥更新频率等,本次测试中,量子VPN采用的加密算法为AES、SM1、SM4;
3)开始测试,记录测试数据;
4)如果性能测试未完成,转步骤1;
5)所有测试项完毕,进行数据统计与评估分析。
3.2 测试数据分析
在本次测试结果中,吞吐量是在量子VPN网关丢包率为0条件下达到的单向最大数据流量,时延是在丢包率为0条件下加解密所消耗的平均时间。
不
责任编辑:售电衡衡
-
权威发布 | 新能源汽车产业顶层设计落地:鼓励“光储充放”,有序推进氢燃料供给体系建设
2020-11-03新能源,汽车,产业,设计 -
中国自主研制的“人造太阳”重力支撑设备正式启运
2020-09-14核聚变,ITER,核电 -
探索 | 既耗能又可供能的数据中心 打造融合型综合能源系统
2020-06-16综合能源服务,新能源消纳,能源互联网
-
新基建助推 数据中心建设将迎爆发期
2020-06-16数据中心,能源互联网,电力新基建 -
泛在电力物联网建设下看电网企业数据变现之路
2019-11-12泛在电力物联网 -
泛在电力物联网建设典型实践案例
2019-10-15泛在电力物联网案例
-
权威发布 | 新能源汽车产业顶层设计落地:鼓励“光储充放”,有序推进氢燃料供给体系建设
2020-11-03新能源,汽车,产业,设计 -
中国自主研制的“人造太阳”重力支撑设备正式启运
2020-09-14核聚变,ITER,核电 -
能源革命和电改政策红利将长期助力储能行业发展
-
探索 | 既耗能又可供能的数据中心 打造融合型综合能源系统
2020-06-16综合能源服务,新能源消纳,能源互联网 -
5G新基建助力智能电网发展
2020-06-125G,智能电网,配电网 -
从智能电网到智能城市