量子保密通信在电网业务应用的方案研究与设计

 0 引言

近年来,陆续发生了乌克兰、以色列电网受攻击等重大安全事件,预示金融、电力、通信等涉及国家安全的信息基础设施面临着较大的风险隐患与安全威胁^[1]。目前,电力通信网络信息的传输安全主要使用经典保密通信模式或者专网专用、内外网隔离的策略,但各种加密方式的安全性仍然依托于密码算法的支撑,会话密钥被用在高级加密标准（Advanced Encryption Standard,AES）、数据加密标准（Data Encryption Standard,DES）等加密算法中,以保证通信的机密性、完整性^[2]。但是这种安全性是有条件的,它们的密钥预交换共享过程依赖于计算复杂度,随着计算机处理能力的提升,基于传统安全加密机制的网络传输设备也面临着被破解的风险,黑客攻击带来的风险巨大且与日俱增。而量子保密通信是在量子力学的基础上利用量子态的不确定性、不可分割性和偏振性等性质,可以实现无条件安全通信^[3]。如果在电网生产领域中建设量子保密通信网络,则可以提高电网中的通信信息安全。

本文首先对量子保密通信的原理进行了简单的介绍;然后就量子加密系统如何在电力通信网中进行应用给出了具体的架构设计方案;接着结合北京电力公司的业务特点,设计了北京城区某区域重要供电节点的配电自动化业务的设计部署方案,为量子保密通信技术在电网的实际应用提供参考;最后对量子保密通信技术未来的应用进行了展望。

 1 量子保密通信原理

在量子保密通信过程中,发送方和接收方采用单光子的状态作为信息载体来建立密钥。由于单光子不可分割,窃听者无法将单光子分割成2部分,让其中一部分继续传送,而对另一部分进行状态测量获取密钥信息。由于量子测不准原理和不可克隆定理,窃听者无论是对单光子状态进行测量或是试图复制之后再测量,都会对光子的状态产生扰动,从而使窃听行为暴露^[4]。数学上可以严格证明,若密钥是绝对保密的,且密钥长度与被传送的明文长度相等,那么通信双方的通信是绝对保密的。

量子保密通信是以量子密钥分发（Quantum Key Distribution,QKD）为核心,基于量子不可克隆原理,通过单光子信号的量子通信协议和“一次一密”的方式,实现用户间无条件的安全通信,极大提高通信传输网络的安全水平^[5]。BB84协议是最早提出的量子保密通信协议（见图1）,是其他协议的基础,并且最接近实用化。

图1 BB84协议示意Fig.1 Schematic diagram of BB84 protocol

BB84协议中使用光子的水平偏振态、垂直偏振态和±45°偏振态来实现编码。如图1所示,发送端Alice主要由量子信号源、调制器、随机数发生器等部件构成,根据随机生成的二进制数串,生成不同的偏振态单光子作为发送的量子比特。接收端Bob通过量子信道接收单光子信号,随机选择基矢对光子进行测量,并将测量基矢通过经典信道告知Alice,双方保留基矢相同的部分;最后,双方再通过公开一段量子密钥,来估计误码率和可能的窃听者Eve的存在,最终Alice和Bob共同产生量子密钥^[6]。

 2 电力量子保密通信网架构设计原则

电力通信网作为与电网共生并存的第二张实体网络,承载着电力生产、调度、营销、管理等重要业务,是信息时代变革和重塑电网生产要素组合的重要部分,而量子保密通信技术作为目前最安全的通信加密体系,在电力通信网中具有广阔的应用前景^[7]。但是电力通信网较为复杂,在具体应用于某种业务时需要针对其特点进行多个方面的设计。

2.1 业务流设计

在进行业务流设计时,要考虑站点两边的设备类型、数据量大小、时延要求和数据量时间发布等方面的因素,针对站点不同的情况进行相应的设计。业务系统接入业务应用层,经过量子VPN网关利用量子密钥进行加密处理后,通过利用国网数据网创建的IPSec隧道转发至对端,再经过量子VPN网关的解密操作还原出未加密的真实数据,到达目的
端^[8]。其中,需要在原有业务系统与网关之间接入业务交换机,通过在业务交换机上创建VLAN的方式旁挂上量子VPN网关,并将原先的数据流到数据网边缘设备调整为到量子VPN网关加密后再转发至数据网边缘设备即可^[9]。量子保密通信设备连接示意如图2所示。

图2 量子保密通信设备连接示意Fig.2 Connection diagram of quantum private communication equipment

2.2 VPN隧道设计

量子VPN网关之间通过国网数据网建立点对点的IPSec隧道。使用隧道模式,在隧道中传输的业务数据需要经过量子密钥的对称加密处理,而量子密钥的获取是通过量子VPN网关与QKD的即时交互获得^[10]。

隧道模式的工作原理是先将IP数据包整个进行加密后再加上ESP的头和新的IP头,这个新的IP头中包含有隧道源/宿的地址。当通过ESP隧道的数据包到达目的网关（即隧道的另一端）后,利用ESP头中的安全相关信息对加密过的原IP包进行安全相关处理,将已还原的高层数据按原IP头标明的IP地址递交,以完成信源—信宿之间的安全传输^[11]。因此,基于此原理,隧道模式常用于网关与网关之间保护的内部网络,同时亦可用于主机与网关之间的安全保护。而传输模式的原理是在IP包的包头与数据包之间插入一个ESP头,并将数据包进行加密,然后在公网上传输。这种模式的特点是保留了原IP头信息,即信源/宿地址不变,所有安全相关信息包括在ESP头中。ESP传输模式适用于主机与主机的安全通信^[12]。在设计VPN隧道时,需要考虑节点间通信需求,是单个主站对应多个子站,还是多个主站对应多个子站,或是子站间也有通信的需求。

2.3 量子通道设计

量子密钥层的量子密钥生成与管理终端（发送端／接收端）之间的连接是通过独立的单芯裸光纤,中间可以进行跳接,但不能经过传输或光电转换设备,否则会影响光量子信号。同时,考虑到量子线路的稳定成码条件,对QKD与QKD之间的距离和光纤衰耗也有一定的要求,建议通信距离小于50 km,光纤衰减小于13 dB^[13]。如果通信距离在50 km内宜选择常规型设备,50~80 km之间选择加长型设备。此外,还要综合线路的隧道和架空等环境条件,架空情况下对风力和气温等不可控环境因素的影响,也会给量子线路的成码率产生影响,所以需要根据实际链路状况选择是否使用带有快速偏振反馈功能的设备进行纠偏或是采用基于相位调制的量子加密设备。

 3 北京城域配电自动化业务部署方案

北京城域电力量子通信保密技术在电网生产领域的综合示范应用项目基于目前已有的北京电力通信网资源,以及“北京城域电力量子保密组网”基础网络建设,通过选取合适的试验应用站点、线路和业务,开展实际环境下的示范应用建设。选取北京城区公司与某区域重要供电节点之间的配电自动化业务,部署量子保密通信系统,实现配电自动化业务数据的量子保密通信传输,验证量子保密通信系统在调度数据网上的应用效果。配电自动化业务架构如图3所示。

图3 配电自动化业务架构Fig.3 Architecture diagram of distribution automation

由于该配电自动化业务只涉及2个站点之间的通信,所以其VPN隧道的设计采用点对点的隧道设计模型,且节点距离较近。网络的量子通道采用管道光纤,量子通信设备采用常规型设备,不需要设置中继节点。另外,光纤属于非架空型光缆,因此采用基于偏振调制的设备且不需要加入偏振反馈模块。

配电自动化组网结构复杂,跨调度数据网和EPON接入网。目前EPON段网络难以提供空余裸纤给量子保密系统,因此将保密段设置在调度数据网边缘,即城区公司主站侧和某区域节点调度数据网边缘。城区公司侧,量子VPN网关物理旁接、逻辑串接入业务核心交换机,通过在核心交换机上配置路由实现数据选路。如还有其他业务,也可采用城区公司侧方案旁接。配电自动化数据通过量子VPN网关进行隧道传输,到达对端量子VPN网关后,经对端量子VPN网关解密后转发至目标设备,实现城区公司和某区域重要供电节点之间的配电自动化业务的量子保密通信数据传输。

 4 量子保密通信技术应用展望

量子保密通信技术作为信息通信领域重要的发展方向,探索其在电力系统中的应用是非常有意义和前瞻性的工作。但目前量子保密通信技术的应用还存在着一定的局限性,未来还可以在以下几个方面进行研究和发展。

1）长距离量子保密通信研究。目前量子信号在商用光纤上的成码率、传输距离、抗干扰性能都有一定局限性,一般最大传输距离为50~80 km,无法满足长距离加密通信的需求^[14]。多家科研机构正在研制能够在光纤中进行长距离密钥分发的量子设备,同时在未来可以考虑通过发射量子卫星实现天地一体的量子密钥分发,从而使量子保密通信的通信距离增加。

2）复杂环境下进行量子保密通信。量子密钥分发主要使用独立光传输通道,涉及通信网络改造。目前电力通信光缆部分为架空线路,相对于地埋光缆,量子信号在光缆中传输更易受环境干扰,对量子密钥的生成有一定的影响^[15-16]。因此,针对电力架空线路及实际应用环境,可以在量子保密通信系统中加入偏振反馈装置,然后设计相应的部署方案,使量子保密技术能够适应电力系统各种复杂的环境。

3）能对多种信息格式进行加密。现有的量子保密通信应用体系主要是与IPSec VPN技术相配合,对IP数据包进行加解密操作,对非IP数据尚无成熟产品方案,而电网中纵差设备间的通信未采用IP包的方式,无法直接使用现有的量子加密体系。未来可以对量子加密系统进行改进,使其对各种类型的业务数据都能够进行加密。

 5 结语

随着信息技术的演进和攻击技术的发展,传统的信息加密方法日益力不从心,而量子保密通信作为新一代的通信加密技术,已完成了所有的理论准备和部分实践应用,且具备了应用到电网业务上的基本条件。本文针对量子保密通信在电力系统中的应用给出了架构设计方案,并在北京城域电网中的配电自动化生产应用领域设计了具体的部署方案,最后对量子保密通信技术发展进行了展望。面对千差万别的各类电网业务,量子保密通信还需要在应用的过程中不断创新改进,才能在电力生产和运营中发挥出应有的效益。

(编辑:张钦芝)

参考文献

[1] 陈晖, 祝世雄, 朱甫臣. 量子通信的安全性分析[J]. 信息安全与通信保密, 2008, 30(12): 120-121. 
CHEN Hui, ZHU Shi-xiong, ZHU Fu-chen.Study on security of quantum communication[J]. Information Security and Communications Privacy, 2008, 30(12): 120-121.

[2] 尹浩, 韩阳. 量子通信原理与技术[M]. 北京: 电子工业出版社, 2013.

[3] KEITH S, STUART G.Optical network security: technical analysis of fiber tapping mechanisms and methods for detection and prevention[C]// IEEE military communications conference, 2004.

[4] WANG X B.Beating the photo-number-splitting attack in practical quantum cryptography[J]. Physical Review Letters, 2005, 94(23): 230-233

[5] 朱畅华, 裴昌幸, 马怀新, 等. 一种量子局域网方案及其性能分析[J]. 西安电子科技大学学报: 自然科学版, 2006, 33(6): 839-843. 
ZHU Chang-hua, PEI Chang-xing, MA Huai-xin, et al.A scheme for quantum local area network and performance analysis[J]. Journal of Xidian University: Natural Science Edition, 2006, 33(6): 839-843.

[6] GISIN N, RIBORDY G, TITTEL W, et al.Quantum cryptography[J]. Reviews of Modern Physics,2002(74): 145-195.

[7] CASTELVECCHI D.IBM’s quantum cloud computer goes commercial[J]. Nature, 2017, 543(7644): 159.

[8] BENNETT C, BR G.Quantum cryptography: public key distribution and coin tossing[C]// Proceeding of the IEEE International Conference on Computers, System and Signal Processing, 1984.

[9] 张翼英, 张素香. 量子通信及其在电力通信的应用[J]. 电力信息与通信技术, 2016, 14(9): 7-11. 
ZHANG Yi-ying, ZHANG Su-xiang.Quantum communication and its application in power communication[J].Electric Power Information and Communication Technology, 2016, 14(9): 7-11.

[10] 叶志远, 陈华智, 王文清. 量子密钥分发保密通信系统电力应用方向探讨[J]. 工程建设与设计, 2016,64(8): 236-238. 
YE Zhi-yuan, CHEN Hua-zhi, WANG Wen-qing.Exploring the power application direction of secure communication system for quantum key distribution[J]. Construction & Design for Project, 2016, 64(8): 236-238.

[11] SHOR P W P. Simple proof of security of the BB84 quantum key distribution protocol[J]. Physical Review Letters, 2000, 76(6): 441-444.

[12] 王继业, 郭经红, 曹军威, 等. 能源互联网信息通信关键技术综述[J]. 智能电网, 2015, 3(6): 473-485. 
WANG Ji-ye, GUO Jing-hong, CAO Jun-wei, et al.Review on information and communication key technologies of energy Internet[J]. Smart Grid, 2015, 3(6): 473-485.

[13] BRASSARD G, LTKENHAUS N, MOR T, et al.Limitation on practical quantum cryptography[J].Physical Review Letters, 2000, 76(6): 1330-1333.

[14] JOHNSON M W, AMIN M H S, GILDER S, et al. Quantum annealing with manufactured spins[J].Nature, 2011, 537(473): 194-198.

[15] CHARLES H B.Quantum cryptography using any two nonorthogonal states[J]. Physical Review Letters,1992, 68(2): 3121-3124.

[16] 杨永标, 李逸驰, 陈霜, 等. 双向互动服务平台的关键技术与总体构架[J]. 广东电力, 2015, 28(8): 28-32. 
YANG Yong-biao, LI Yi-chi, CHEN Shuang, et al.Key technology and overall framework of bilateral interaction service platform[J]. Guangdong Electric Power, 2015, 28(8): 28-32.