一种电力专用量子加密网关系统的制作方法

一种电力专用量子加密网关系统的制作方法
【专利摘要】本发明提供了一种电力专用量子加密网关系统，包括通过量子链路与网关管理装置通信连接的电力专用量子加密网关；电力专用量子加密网关通过量子链路或经典链路进行加密通信；量子密钥分配装置集成设置在电力专用量子加密网关，包括垂直集成模式和横向集成模式；量子链路包括通过光纤或自由空间连接的量子密钥发送装置和量子密钥接收装置；网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块。和现有技术相比，本发明提供的电力专用量子加密网关系统可以同时支持传统模式和量子模式两种加密功能，在量子模式下可以为电力系统数据传输提供无条件的信息安全保障；便于电力专用量子加密网大规模部署和产业实用化。
【专利说明】—种电力专用量子加密网关系统
【技术领域】
[0001]本发明涉及一种电力加密网关，具体涉及一种电力专用量子加密网关系统。
【背景技术】
[0002]计算机和网络技术在电力系统领域具有广泛的应用，其中电力调度数据网是为满足调度生产单位间逐步增加的数据交换需求建立的计算机网络；通过电力调度数据网，全国各级电力调度系统能够更为快捷、有效的实时交换调度生产的各种信息，保证电网的稳定运行。
[0003]目前，电力调度数据网采用电力专用纵向加密认证网关(以下简称电力专用网关)进行电力调度数据网的广域边界防护，以完成对电力调度数据网上的数据机密性、完整性、真实性和不可否认性的保护。电力专用网关使用的是电力专用密码卡，该密码卡的对称加密算法为电力系统专用SSX06密码算法，非对称加密算法为国际标准通用的RSA算法；对称加密算法基于分组密码算法(如，DES算法)，用于保护设备之间的数据通信加密；非对称算法用于设备的认证与会话密钥的协商。
[0004]目前电力专用网关主要采用RSA非对称密码体制来解决身份识别的安全问题；以RSA算法为代表的非对称密码体制使用两个不同的密钥，一个作为公开密钥，另一个作为秘密密钥；任何人都可以利用公开密钥加密要传送的明文消息，并利用秘密密钥对已加密的明文消息解密得到原消息。但是RSA非对称密码体制只提供了计算安全性，不能保证无条件安全性；在目前的计算机技术条件下，利用网格计算可以在较短的时间内破译现有的许多密码方案，这不仅对电力系统的信息安全构成了很大威胁，同样也对使用类似密码系统的商务、金融、政务等领域的信息安全构成了重大威胁。同时，量子计算技术的发展将给经典密码体制带来严峻挑战；量子计算机的并行计算能力提高了计算效率并将运算速度提高几个数量级甚至更高，这使目前应用广泛的密码体制无法抵抗量子计算的穷举攻击。
[0005]无论是对称密码体制还是非对称密码体制，都存在一定的缺陷。首先，它们都是基于一个目前难以解决的NP完全问题，其安全性局限于当前的计算能力；其次，经典密码体制的密钥分发一直是比较困难的问题，接收方在接收密钥时，没有充分的证据说明该密钥在传输过程中没有被窃取、篡改、调换等。
[0006]因此，需要提出一种新型的保密通信技术克服上述经典密码体制所面临的难题；其中，量子密钥分配技术(QKD)能够使通信双方获得信息论意义上无条件安全的密钥；其安全性基于量子力学中的海森堡不确定性原理，任何攻击者都无法获得传输的密钥。综上本发明为满足现有技术的需要提供一种适用于电力系统安全领域的电力专用量子加密网关系统。

【发明内容】

[0007]为了满足现有技术的需求，本发明提供了一种电力专用量子加密网关系统；所述系统包括通过量子链路与网关管理装置通信连接的电力专用量子加密网关；所述电力专用量子加密网关通过所述量子链路或经典链路进行加密通信；量子密钥分配装置集成设置在所述电力专用量子加密网关上；所述经典链路包括TCP/IP网络通道、载波通道、微波通道和光纤通道。
[0008]优选的，所述电力专用量子加密网关包括用户配置接口解析模块、用户认证模块、密钥协商模块、数据加解密模块和通信接口模块；所述密钥协商模块的密钥协商模式包括量子模式和传统模式；所述数据加解密模块支持SSX06、RSA和OTP加密算法；所述通信接口模块包括量子密钥分配装置专用接口；
[0009]优选的，所述传统模式和所述量子模式的切换条件为:
[0010]①:所述量子密钥分配装置产生的密钥无法满足所述数据加解密模块的需求时，由量子模式切换至传统模式；
[0011]②:用户不具备启动所述量子模式的权限时，则默认采用传统模式；
[0012]③:用户通过所述密钥协商模块预设所述密钥协商模式；
[0013]优选的，所述量子密钥分配装置包括量子密钥发送装置和量子密钥接收装置；所述量子密钥发送装置包括量子密钥发送控制器、随机数发生器和量子发送器；所述量子密钥接收装置包括量子密钥接收控制器和量子接收器；所述量子链路包括通过光纤或自由空间连接的所述量子密钥发送装置和所述量子密钥接收装置；
[0014]优选的，所述密钥协商模式的所述量子模式包括下述步骤:
[0015]1-1:所述随机数发生器对所述量子发送器发出的每个光子进行光子调制；所述光子调制采用BB84编码协议；所述随机数发生器将所述光子调制的调制信息发送到所述量子密钥发送控制器；所述调制信息包括编码基和编码协议；
[0016]1-2:所述量子接收器随机选择所述编码基对接收的所述光子进行测量；所述量子接收器将测量数据发送到所述量子密钥接收控制器；
[0017]1-3:所述量子密钥发送控制器和所述量子密钥接收控制器通过所述经典链路进行身份认证和通信后建立共享秘钥；
[0018]优选的，所述网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块；
[0019]所述用户权限/证书管理模块用于管理用户和业务应用系统的信息，并定义权限和安全性，只有满足权限的所述用户和所述业务应用系统才允许通过所述量子链路分发安全密钥；
[0020]所述量子密钥管理模块包括与所述业务应用系统对应的密钥存储单元；所述量子密钥管理模块用于分配和管理密钥记录，通过所述密钥记录确定密钥分配方式，并根据所述业务应用系统的密钥的消耗速度，从所述密钥存储单元中提取所述密钥；
[0021]优选的，所述量子密钥分配装置的集成模式包括垂直集成模式和横向集成模式；所述垂直集成模式为所述数据加解密模块和所述量子密钥分配装置均集成在所述电力专用量子加密网关内；所述横向集成模式为所述数据加解密模块通过所述通信接口模块与所述量子密钥分配装置通信连接。
[0022]本发明的有益效果是:
[0023]1、本发明技术方案中，电力专用量子加密网关增加了量子密钥扩展功能，可以同时支持传统模式和量子模式两种加密功能；在网关大规模部署的情况下无需改变现有的网络结构，且对现有设备的基本结构改动较小，便于产业实用化。
[0024]2.本发明技术方案中，网关管理装置具有量子密钥管理功能扩展了传统的电力调度证书服务系统，同时网关管理装置具备传统的电力调度系统CA的认证功能；
[0025]3.本发明技术方案中，网关管理装置可以为网络中没有直连量子链路的用户之间建立共享密钥，从而可以在提高安全性的同时，有效降低因搭建量子链路而产生的建设成本；
[0026]4.本发明技术方案中，量子密钥能够使通信双方获得信息论意义上无条件安全的密钥；其安全性基于量子力学中的海森堡不确定性原理，任何攻击者都无法获得传输的密钥，能够极大的提高电力系统数据传输安全性；
[0027]5.本发明技术方案中，量子密钥装置集成在电力专用量子加密网关中，具有两种集成模式，无需更改现有电力信息通信安全防护体系，便于实现和规模化应用。
【专利附图】

【附图说明】
[0028]下面结合附图对本发明进一步说明。
[0029]图1是:本发明实施例中的一种电力专用量子加密网关系统结构示意图；
[0030]图2是:本发明实施例中的电力专用量子加密网关结构示意图；
[0031]图3是:本发明实施例中的量子密钥分配装置的垂直集成模式结构示意图；
[0032]图4是:本发明实施例中的量子密钥分配装置的横向集成模式结构示意图；
[0033]图5是:本发明实施例中的量子链路结构示意图。
【具体实施方式】
[0034]下面将结合本申请实施例中的附图,对本申请实施例中的技术方案进行清楚、完整地描述。
[0035]图1示出了本发明实施例中的一种电力专用量子加密网关系统结构示意图；电力专用量子加密网关系统包括网关管理装置PS-QKMC、电力专用量子加密网关、量子链路、经典链路；电力专用量子加密网关通过量子链路与网关管理装置通信连接；电力专用量子加密网关之间通过量子链路或经典链路进行加密通信；电力专用量子加密网关上集成设置有量子密钥分配装置QKD ；
[0036]经典链路包括TCP/IP网络通道、载波通道、微波通道和光纤通道。
[0037]网关A和网关B之间不具备直连的量子链路时，网关管理装置PS-QKMC通过建立多级密钥实现网关A和B网关的加密通信；具体为:网关管理装置PS-QKMC分别通过量子链路向网关A和网关B分发一组共享密钥，即一级密钥{KS};网关A和网关B通过一级密钥{KS}建立通信会话密钥，即二级密钥{WK};最后网关A和B基于会话密钥{WK}完成安全通信过程。
[0038]图2示出了电力专用量子加密网关结构示意图；电力专用量子加密网关包括用户配置接口解析模块、用户认证模块、密钥协商模块、数据加解密模块和通信接口模块；密钥协商模块的密钥协商模式包括量子模式和传统模式；数据加解密模块支持电力系统专用SSX06对称密码算法、国际标准通用的RSA非对称算法和OTP加密算法(One-timePassword, OTP);通信接口模块包括内网口、外网口、配网口和量子密钥分配装置专用接口 ；[0039]量子密钥分配装置包括量子密钥发送装置和量子密钥接收装置；量子密钥发送装置包括量子密钥发送控制器、随机数发生器和量子发送器；量子密钥接收装置包括量子密钥接收控制器和量子接收器；如图5所示本实施例中的量子链路包括通过光纤或自由空间连接的量子密钥发送装置和量子密钥接收装置；
[0040]网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块；用户权限/证书管理模块用于管理用户和业务应用系统的信息，并定义用户和业务应用系统的权限和安全性，只有满足权限的用户和业务应用系统才允许通过量子链路分发安全密钥；量子密钥管理模块包括与业务应用系统对应的密钥存储单元；量子密钥管理模块用于分配和管理密钥记录，通过所密钥记录确定密钥分配方式，并根据业务应用系统的密钥的消耗速度，从密钥存储单元中提取密钥；
[0041]如图3和4所示量子密钥分配装置的集成模式包括垂直集成模式和横向集成模式；垂直集成模式为数据加解密模块和量子密钥分配装置均集成在电力专用量子加密网关内；电力专用量子加密网关分为经典层和量子层；经典层包括数据加解密模块，密钥协商模块采用传统模式进行密钥协商；量子层包括量子密钥分配装置，密钥协商模块采用量子模式进行密钥协商；横向集成模式为数据加解密模块通过通信接口与经典链路和量子链路通信连接。
[0042]本实施例中密钥协商模块的量子模式包括下述步骤:
[0043]1、随机数发生器对量子发送器发出的每个光子进行光子调制；光子调制采用BB84编码协议；所述随机数发生器将光子调制的调制信息发送到所述量子密钥发送控制器；调制信息包括编码基和编码协议；
[0044]2、量子接收器随机选择编码基对接收的光子进行测量；量子接收器将测量数据发送到量子密钥接收控制器；
[0045]3、量子密钥发送控制器和量子密钥接收控制器通过经典链路进行身份认证和通信后建立共享秘钥；通信包括密钥筛选、协商纠错和保密放大；
[0046]①密钥筛选:网关A通过经典链路将光子测量数据的测量基传输给网关B ;测量基包括水平/垂直基和对角基；一个光子只能用一个测量基进行测量，如果采用了错误的测量基，则测量值将会完全随机。网关A保留网关B采用正确测量基的测量值，并将这些测量值通过经典链路反馈给网关B ;从而网关A和网关B拥有了一串长度相同的筛选密钥列表；
[0047]②协商纠错:利用BBSS，Cascade和Winnow算法对存在“误码”的密钥列表进行筛选；在协商纠错之前随机公开一部分密钥，以评估误码率；通过误码率初步分析是否有Eve进行窃听，如果误码率小于11.5%，则认为本次通信安全，否则认为有Eve窃听，通信失败；
[0048]③保密放大:由于Eve也存在一个较小的概率可以得到正确的比特，当合法用户在公开信道中进行对基时，Eve也可以获取部分信息；因此需要对协商纠错之后的密钥列表进行数学处理，通过牺牲部分密钥来除去Eve获得的信息。
[0049]本实施例中的密钥协商模块传统模式包括下述步骤:
[0050]1、网关A的随机数发生器产生随机数rl，并用网关B对应证书中的公钥进行加密，同时用私钥进行签名，作Msg_A=Ecert_B(rl) | Eskey (H(rl)),并将Msg_A发送给网关B ；
[0051 ] 2、网关B接收到Msg_A后，用本网关的私钥解密Msg_A，并验证网关A的签名，如果签名验证成功，网关B采用内部的随机数发生器产生随机数r2，并用网关A对应证书中的公钥进行加密，同时用私钥进行签名，作MSg_B=Ecert_A(r2) | Eskey (H(r2))，将Msg_B发送给网关A ；
[0052]3、网关A接收到Msg_B后,用本网关的私钥解S Msg_B,并验证网关B的签名，如果签名验证成功，合成会话密钥31(=1'1^2，并作拟3!1运算，作此8」:=!1(1'1^2)，并将Msg_C发送给网关B;
[0053]4、网关B同样对合成密钥作HASH运算,作Msg_D=H(rl |r2),并比较Msg_C与Msg_D是否相同，如果相同则密钥协商与认证完成，进入正常通信阶段。
[0054]传统模式和量子模式切换基本条件为:
[0055]1、量子密钥分配装置QKD因设备故障、量子通道性能下降、窃听攻击和光纤损耗等导致其产生的密钥无法满足数据加解密模块的需求时，由量子模式切换至传统模式；
[0056]2、当用户不具备启动量子加密的权限时，则默认采用传统模式；如业务安全性等级较低和通信网关之间不具备量子链路等；
[0057]3、用户在密钥协商模块中预设网关的工作模式，以满足不同安全性等级的业务数据加密传输需求。
[0058]最后应当说明的是:所描述的实施例仅是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于 本申请保护的范围。
【权利要求】
1.一种电力专用量子加密网关系统，其特征在于，所述系统包括通过量子链路与网关管理装置通信连接的电力专用量子加密网关；所述电力专用量子加密网关通过所述量子链路或经典链路进行加密通信；量子密钥分配装置集成设置在所述电力专用量子加密网关上；所述经典链路包括TCP/IP网络通道、载波通道、微波通道和光纤通道。
2.如权利要求1所述的一种电力专用量子加密网关系统，其特征在于，所述电力专用量子加密网关包括用户配置接口解析模块、用户认证模块、密钥协商模块、数据加解密模块和通信接口模块；所述密钥协商模块的密钥协商模式包括量子模式和传统模式；所述数据加解密模块支持SSX06、RSA和OTP加密算法；所述通信接口模块包括量子密钥分配装置专用接口。
3.如权利要求2所述的一种电力专用量子加密网关系统，其特征在于，所述传统模式和所述量子模式的切换条件为: ①:所述量子密钥分配装置产生的密钥无法满足所述数据加解密模块的需求时，由量子模式切换至传统模式； ②:用户不具备启动所述量子模式的权限时，则默认采用传统模式； ③:用户通过所述密钥协商模块预设所述密钥协商模式。
4.如权利要求1所述的一种电力专用量子加密网关系统，其特征在于，所述量子密钥分配装置包括量子密钥发送装置和量子密钥接收装置；所述量子密钥发送装置包括量子密钥发送控制器、随机数发生器和量子发送器；所述量子密钥接收装置包括量子密钥接收控制器和量子接收器；所述量子链路包括通过光纤或自由空间连接的所述量子密钥发送装置和所述量子密钥接收装置。
5.如权利要求1-4任一项所述的一种电力专用量子加密网关系统，其特征在于，所述密钥协商模式的所述量子模式包括下述步骤: .1-1:所述随机数发生器对所述量子发送器发出的每个光子进行光子调制；所述光子调制采用BB84编码协议；所述随机数发生器将所述光子调制的调制信息发送到所述量子密钥发送控制器；所述调制信息包括编码基和编码协议； .1-2:所述量子接收器随机选择所述编码基对接收的所述光子进行测量；所述量子接收器将测量数据发送到所述量子密钥接收控制器； .1-3:所述量子密钥发送控制器和所述量子密钥接收控制器通过所述经典链路进行身份认证和通信后建立共享秘钥；所述通信包括密钥筛选、协商纠错和保密放大。
6.如权利要求1所述的一种电力专用量子加密网关系统，其特征在于，所述网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块； 所述用户权限/证书管理模块用于管理用户和业务应用系统的信息，并定义权限和安全性，只有满足权限的所述用户和所述业务应用系统才允许通过所述量子链路分发安全密钥； 所述量子密钥管理模块包括与所述业务应用系统对应的密钥存储单元；所述量子密钥管理模块用于分配和管理密钥记录，通过所述密钥记录确定密钥分配方式，并根据所述业务应用系统的密钥的消耗速度，从所述密钥存储单元中提取所述密钥。
7.如权利要求1或2所述的一种电力专用量子加密网关系统，其特征在于，所述量子密钥分配装置的集成模式包括垂直集成模式和横向集成模式；所述垂直集成模式为所述数据加解密模块和所述量子密钥分配装置均集成在所述电力专用量子加密网关内；所述横向集成模式为所述数据加解密 模块通过所述通信接口模块与所述量子密钥分配装置通信连接。
【文档编号】H04L12/66GK103475464SQ201310364635
【公开日】2013年12月25日 申请日期:2013年8月20日 优先权日:2013年8月20日
【发明者】周静, 雷煜卿, 卢立峰, 陈希 申请人:国家电网公司, 中国电力科学研究院, 国网山东省电力公司电力科学研究院