CN103490891B - 一种电网ssl vpn中密钥更新和使用的方法 - Google Patents
一种电网ssl vpn中密钥更新和使用的方法 Download PDFInfo
- Publication number
- CN103490891B CN103490891B CN201310373510.9A CN201310373510A CN103490891B CN 103490891 B CN103490891 B CN 103490891B CN 201310373510 A CN201310373510 A CN 201310373510A CN 103490891 B CN103490891 B CN 103490891B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- network
- server
- quantum key
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
- 238000000034 method Methods 0.000 title claims abstract description 103
- 230000005540 biological transmission Effects 0.000 claims abstract description 35
- 230000006854 communication Effects 0.000 claims abstract description 9
- 238000005516 engineering process Methods 0.000 claims description 16
- 238000004891 communication Methods 0.000 claims description 8
- 239000013307 optical fiber Substances 0.000 claims description 4
- 238000005192 partition Methods 0.000 claims description 4
- 230000004927 fusion Effects 0.000 claims description 3
- 238000005315 distribution function Methods 0.000 claims description 2
- 238000000605 extraction Methods 0.000 claims description 2
- 230000006870 function Effects 0.000 claims description 2
- 239000000463 material Substances 0.000 claims description 2
- 230000010354 integration Effects 0.000 abstract 1
- 238000010586 diagram Methods 0.000 description 5
- 231100000279 safety data Toxicity 0.000 description 2
- RYAUSSKQMZRMAI-YESZJQIVSA-N (S)-fenpropimorph Chemical compound C([C@@H](C)CC=1C=CC(=CC=1)C(C)(C)C)N1C[C@H](C)O[C@H](C)C1 RYAUSSKQMZRMAI-YESZJQIVSA-N 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 238000010276 construction Methods 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000007726 management method Methods 0.000 description 1
- 230000005610 quantum mechanics Effects 0.000 description 1
- 238000000682 scanning probe acoustic microscopy Methods 0.000 description 1
- 238000013316 zoning Methods 0.000 description 1
Landscapes
- Small-Scale Networks (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种电网SSL VPN中密钥更新和使用的方法,该方法将量子密钥分配网络和电力系统调度数据网进行双网结合,其目的在于以双网结合的方式将无条件安全的量子密钥应用于电网中,保障电力数据传输的安全性。本发明给出了两个网络融合的具体实现方法,将量子密钥应用于电网SSL VPN中的三种形式,以及结合后网络中的具体通信流程。本发明的优点在于方便实用,在节约成本的同时,又能增强传输数据的安全性。
Description
技术领域
本发明涉及通信领域和量子密码领域,特别是一种电网SSL VPN中密钥更新和使用的方法,该方法利用通信领域和量子密码两者的交叉结合,给出了量子密钥技术在电网中的一类使用方法。
背景技术
随着业务的发展,电力系统调度数据网的规模越来越大,需要处理的数据类型种类繁多,而另一方面,随着网络的普及,电网分布的地域也越来越广泛,从国家主要省市到乡镇几乎都建立了相应的子网。子网之间以及子网与总站之间就需要一个有效的通信机制来保证数据的安全性。它不但要保证基站之间信息的机密性,还要确保不同业务之间的隔离,不同用户之间的身份认证等。根据这一需求,目前普遍采用的技术是虚拟专用网技术(VPN),在基站之间建立虚拟的隧道,隧道能为传输的数据提供完整性、机密性等保证。为实现多任务的需求,进一步为每个任务建立一个隧道。实现虚拟专用网络的技术有很多,如基于PPP、IPSec、TLS、SSL等协议。从成本和便利性考虑,SSL技术在电网中有着广泛的使用前景,因为SSL是内嵌在浏览器中,不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。
传统的VPN技术采用密钥协商、预共享密钥等手段来分发主密钥,之后再由主密钥进一步计算出会话密钥。会话密钥用在AES、DES等加密算法中,保证通信的机密性、完整性。但是这种安全性是有条件的,它的密钥预共享过程依赖于计算复杂度,随着计算机处理能力的提升,特别是量子计算技术的出现,使得安全性面临严峻的挑战。例如Grover量子搜索算法能让搜索时间从N量级缩减至根号N量级,可以大大缩减破解DES密码所需要的时间。这就迫切需要提出新的密钥共享方案,使通信双方之间能够建立无条件安全的密钥。
量子密钥分配技术很好地解决了密钥分配的难题,它使得通信双方能够获得信息论意义上无条件安全的密钥。它的安全性基于量子力学中的海森堡不确定性原理,任何攻击者都无法窃取最终的安全密钥,即使攻击者拥有无限的计算资源。随着量子路由器、量子密钥分配收发终端等设备的研制成功,量子密钥分配网络已经能够投入实用。那么在这样前提下,如何将量子密钥分配技术融合到经典网络中,才能够有效地保证数据的安全性呢?前面已经有学者提出IPSec、TLS等协议与量子密钥的结合。但是针对电网的具体需求,目前还没有很好的方法能为其提供安全的密钥,通信双方之间的信息,特别是控制信息以及一些机密的消息还是有被窃听者窃取的危险。
发明内容
鉴于上述所提的现有技术问题,本发明的目的是提供一种电网SSL VPN中密钥更新和使用的方法,通过将量子密钥分配网络与电网有机融合在一起,实现无条件安全的量子密钥在电力系统调度网络中的更新和使用,最大限度地保障电力数据传输的完整性和机密性。
本发明实现上述的目的采用的技术方案为:一种电网SSL VPN中密钥更新和使用的方法,该方法需要两个网络,一个是量子密钥分配网络,一个是电力系统调度网络。
其中,量子密钥分配网络用来实现密钥的安全分配。实现密钥分配使用BB84、B92、E91等单光子协议或者连续变量协议。实现端到端的密钥分发功能,至少需要通信双方各有一个量子密钥分配终端,并共享一条量子信道和一条经典信道。为了实现网络功能,需要使用到可信中继、量子路由器、交换机等设备来实现不同地域节点之间通信路径的选择。根据量子信道的实现方式的不同,量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络。
其中,电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络。它是根据需要在一定区域内基站间建立的专用局域网络。考虑到不同的基站子网之间的消息互通性和安全性,使用了虚拟专用网技术来将不同局域网络连接起来,组建成电力系统调度网络使用。同时由于电力系统调度网络中任务繁多,为了实现不同任务之间的有效隔离,实现任务分区和分级管理,针对不同的任务建立了不同的虚拟专用隧道。这里的电力系统调度网络的组建至少需要两个局域网,每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器。为了组建覆盖面更广的网络,需要将所有的基站-基站之间、基站-主站之间都连接起来,实现全网的安全通信。
为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥,需要将两网进行有效地结合,在融合后的网络中至少包含几个必备的组成部分:量子密钥分配网络、量子密钥服务器、公网、SSL VPN服务器和客户端、调度任务服务器和项目服务器等其他数据库服务器。
所述量子密钥分配网络,是指用于传递分配量子密钥的专用网络,其传输通道是光纤信道或者自由空间信道。随着距离的增加和网络规模的扩大,这里还应该包含为延长距离而采用的可信中继和量子中继,为节约资源和增加灵活性而使用到量子路由器、交换机等设备。
所述量子密钥服务器,是指使用量子密钥的节点为接入量子密钥分配网络获取安全密钥的设备,集成了从量子密钥分配网络中获取量子密钥的终端模块,以及密钥存储单元。量子密钥实时地直接提供给应用服务器,或者暂时存储在服务器的存储单元中,待需要使用时,再从存储单元中调出,实现对突发应用数据的处理。
所述SSL VPN服务器和客户端,用于实现电力系统调度网络中虚拟隧道的建立和控制,管理VPN所需的加密算法、密钥协商和提取等过程。在用户登录时实现用户身份的验证,然后需要在传输数据的两端建立起虚拟专用链接,根据传输信息的需要,量子密钥服务器协商密钥的大小,以及调度策略,待密钥读取进入服务器后对传输或接收的数据进行加解密处理。
所述其他数据库服务器,用于实现具体任务所需的数据库,将不同的任务分区处理,如任务调度服务器、项目服务器等。这些服务器主要用于分类存放相应的数据信息。在处理不同的业务时,需要从指定的服务器上读取或者写入数据。
本专利目的在于通过实现量子密钥在电力系统调度网络中的使用,最大限度地保障电力数据传输的完整性和机密性。其主要实现方法包含以下过程:
A.消息协商过程。将量子密钥分配网络得到量子密钥用在电力系统调度网络有三种形式,分别是将量子密钥用来替代SSL协议建立过程中的认证密钥、预主密钥或主密钥、会话密钥。因此在连接建立之后,通信双方需要协商好从量子密钥服务器得到密钥的具体用途,也就是需要指明是用来替换认证密钥,还是替换预主密钥或主密钥,抑或是替换会话密钥的,也可能三者中的两者或者三者全部替换。当量子密钥被用来替换会话密钥时,我们需要进一步协商在同一个会话之间量子密钥更新的频率。为了进一步实现信息论无条件的安全性需求,需在加密算法集合中引入“一次一密”算法,扩大加密算法的选择性。因此还需要协商是否使用“一次一密”算法等信息。
B.量子密钥分配过程。使用量子密钥服务器在通信双方或者多方之间建立共享的量子密钥。如果不使用存储技术,那么每次启动量子密钥分配过程时,都需要实时的进行密钥分配处理,等到密钥量到达上层协议所需要求时再停止。若是使用了存储技术,那么在每次启动量子密钥分配过程时,需先检验存储器中的密钥量是否满足任务的需要,若是满足需要,则直接调用存储器中的密钥,否则需要开始密钥分配过程。本专利使用的量子密钥分配过程,对是否使用存储器不作要求,附图1给出了量子密钥分配过程在有存储器情况下的示意图,对于没有存储器时的情况相当于存储器中存储量恒等于零。
C.电网SSL VPN服务器和客户端调用量子密钥过程。在建立隧道后,当上层任务信息到达后,SSL VPN服务器和客户端分别需要向量子密钥服务器请求所需的密钥量。当量子密钥服务器中现有的密钥量能满足请求所需,则直接向SSL VPN服务器和客户端传输密钥,否则需要等待,直到量子密钥量达到请求所需的密钥量。
D.密钥替代过程,使用量子密钥替代SSL协议中相应的密钥。当隧道建立之后,SSL VPN服务器和客户端也已经从量子密钥服务器处提取出所需的量子密钥,这时需要根据具体的需求将提出的量子密钥替代掉原始SSL协议中相应的密钥。
所述的应用过程中,过程C电网SSL VPN服务器和客户端调用量子密钥过程可以进一步划分为以下的两个基本步骤:
C1.SSL VPN服务器或客户端向量子密钥服务器发送请求密钥的消息,这个消息里面应该包含任务所需密钥量的大小以及任务编号等其他信息。
C2.量子密钥服务器接收到密钥请求消息后,根据其中的密钥量大小信息检查存储器中的密钥量是否能够满足请求所需。如果已有的现存密钥的数量能够满足请求所需的密钥量,直接将密钥传给SSL VPN服务器或客户端。反之如果密钥的存储不足,说明需要启动量子密钥分配过程,这时协议服务器向SSL VPN服务器或客户端发送等待信息,并且启动量子密钥分配过程,直到存储器中的密钥量达到请求所需的密钥量,将准备好的密钥传送给SSL VPN服务器或客户端。已经在进行的量子密钥分配过程可根据具体的需要仍然继续分配量子密钥到适当的时间停止,也可在密钥量达到请求所需的密钥量时停止。
所述的应用过程中,过程D密钥替代过程可以进一步分为三种情况,分别列出如下:
D1.量子密钥用作认证密钥
在SSL连接建立的过程中,首先需要确认通信双方的身份,这就需要对双方或者其中一方进行身份认证。传统的方法是使用预共享或者公钥密码体系分发认证所需的初始密钥,或者采用证书的形式进行身份认证。不论是上面的哪种方法,都会涉及到认证时所使用的认证密钥。因此,将量子密钥分配网络得到密钥用在电力系统调度网络的第一种形式就是将量子密钥替换掉此处用作认证身份的认证密钥。具体的作法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换掉认证密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接时使用的认证密钥,并为下一次连接的建立留下认证所需的密钥材料。
D2.量子密钥用作预主密钥或者主密钥
在SSL连接的建立过程中,传统的方法需要通信双方通过公钥的形式协商出一个预主密钥或者主密钥,以便进一步地计算出每次会话使用的会话密钥。将量子密钥分配网络得到密钥用在电力系统调度网络中的第二种形式就是用量子密钥替换掉此处SSL协议中的预主密钥或者主密钥,之后的会话密钥将都由量子密钥经过进一步的计算得到。具体的使用方法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换预主密钥或者主密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接过程中得到的预主密钥或者主密钥,之后会话过程所需的会话密钥将会使用替换掉的预主密钥或者主密钥进行计算得到。
D3.量子密钥用作会话密钥
在SSL连接建立后,为了保障电力数据传输的完整性和机密性,需要使用AES、DES等加密算法对数据进行加密,并且每次会话都要使用不同会话密钥。因此将量子密钥分配网络得到的量子密钥用在电力系统调度网络的第三形式就是将量子密钥替换掉会话密钥。具体的使用方法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换会话密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接过程中得到的会话密钥,之后的数据加密过程将使用替代后的量子密钥进行加密。
上述将从量子密钥分配网络中得到量子密钥用在电力系统调度网络中的三种形式在不同的网络环境下应当有选择地使用。举例如下,为了实现实时传输,减少任务等待的时间,若量子密钥分配网络的密钥分配速率非常低,或者上层应用需要发送的数据量过大,量子密钥产出量不能满足用来替换会话密钥的要求,那么可以使用第二种方法,只将SSL协议中的预主密钥或主密钥替换为量子密钥。若量子密钥分配网络的密钥分配速率非常高或者上层应用需要传输的数据量较少,量子密钥的产出量能够满足替换会话密钥的要求,那么选择第二种或者第三种方法其中之一,或者两者同时选择。
进一步地,为了实现信息论意义上的无条件安全,系统使用“一次一密”加密方法,需要量子密钥与传输数据长度相同,只有量子密钥的产出量达到一定值时才能实现实时传输,否则需要等待。使用量子密钥替换SSL协议中的会话密钥时,通过设定替换密钥更新的时间间隔,可在条件允许的情况下既能保证一定的实时传输特性,又能保障较高的安全级别。
本发明的优点在于方便实用,在节约成本的同时,又能增强传输数据的安全性。由于SSLVPN技术已广泛应用于电力网络中,本发明在进行量子密钥分配网络和电力系统调度网络双网融合时,并不需要重新搭建专门的VPN服务器,而是延用现有的SSL VPN服务器和客户端。所述的协议过程也不需要修改现有的SSL协议,使用原始协议建立起连接后,只需引入一个消息协商过程用来协商量子密钥使用的相关信息,从量子密钥分配网络中得到量子密钥也是直接替换掉原始连接中的相应密钥,之后的过程与原始的协议一样,整个协议过程操作起来比较简单。
附图说明
图1为量子密钥服务器接收密钥请求后工作流程图;
图2为SSL VPN使用量子密钥的具体协议步骤示意图;
图3为量子密钥分配网络与电网融合后SSL VPN实施实例示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚明白,下面结合具体实施例,并参照附图,对本发明作进一步的详细说明。
本发明中直接使用现有的SSL VPN协议先建立起安全传输信道,然后再协商关于量子密钥使用的相关参数。参照附图2,SSL VPN客户端与服务器端先建立SSL连接,然后双方再进行一次握手协商。此次协商包括加密算法选择、量子密钥使用形式、量子密钥生存时间等等。所述使用方法的具体协议步骤如下:
(1)通信双方使用传统的SSL VPN协议建立虚拟隧道,这一步中不需要对原始的SSL协议进行修改,其中涉及的认证密钥和主密钥等信息也都是原始协商的。
(2)通信双方根据需要重新协商加密算法以及量子密钥使用的形式(即密钥替代方式)、密钥更新频率(即量子密钥生存时间)等。在这一步中,需要根据具体电力系统调度网络和量子密钥分配网络的特性,决定传输电力数据需要保护的程度,若是非常高安全级别的指令就需要指定加密算法为“一次一密”;若量子密钥分配网络速率受限,为了实现电力数据的及时传输,就需要指定量子密钥的使用形式为替换预主密钥或主密钥。
(3)SSL VPN服务器或客户端向量子密钥服务器发送请求消息,请求传送密钥数据,根据协商的结果,向量子密钥服务器请求一定的量子密钥。当协商的消息中定义了更新的时间,那么在通信双方得到量子密钥服务器传输回来的量子密钥之后,间隔一个更新时间,VPN服务器或者客户端需要重新向量子密钥服务器请求密钥。
(4)量子密钥服务器根据存储的密钥量决定是否启动量子密钥分配过程。当存储器中密钥量小于请求所需的密钥量时,则启动量子密钥分配过程,通信双方的量子密钥服务器通过量子密钥分配网络获得信息论无条件安全的量子密钥,否则不需要启动量子密钥分配过程。
(5)量子密钥服务器向SSL VPN客户端或服务器传送密钥比特。量子密钥服务器准备好任务所需的量子密钥,将密钥比特传输给SSL VPN客户端或服务器。
(6)替换密钥。SSL VPN客户端或服务器接收到密钥后,根据之前协商的信息,用量子密钥替换指定的密钥。
(7)安全数据传输。完成密钥替换之后的过程,若量子密钥替换掉的是会话密钥时,直接使用替换掉的密钥来进行数据加密即可;若替换掉的是预主密钥或主密钥,使用原始的会话建立过程重新计算出会话密钥,之后再进行安全数据传输。
下面结合较常见的电网SSL VPN实例进行详细说明。
如附图3所示,是量子密钥分配网络与电力系统调度数据网融合的示意图。图中电力系统调度数据网包含三个基本子网,分别称为总站、基站一和基站二。电网的总站和两个基站之间,基站与基站之间需要进行安全通信,内容包含任务调度命令以及其他项目信息,如招标项目、基建项目等。为了实现任务的分区分级保护,这里建立调度任务服务器和项目服务器,调度任务服务器用于存储总站向基站发送的调度命令等相关信息的记录和备份,项目服务器用于存储具体的项目的一些相关信息和备份。从安全性角度考虑,调度任务需要实现高安全等级的要求,同时由于调度任务的信息数据量较小,非常适合采用“一次一密”的加密方式。而基本项目信息安全级别要求不是太高,只采用一般的对称加密算法来保证其安全性就足够了,因此只需延用原始SSL协议的加密算法。
如果总站需要向基站一发送电力任务调度命令,这时总站的SSL VPN服务器和基站一的SSL VPN客户端之间先建立起安全连接通道,然后双方进行信息协商,确定采用“一次一密”的加密方法,协商消息包含所需密钥量的大小,密钥用于直接替换会话密钥。然后SSL VPN客户端和服务器各自向量子密钥服务器请求对应的密钥,将所需密钥数量告诉量子密钥服务器,如果量子密钥服务器的存储密钥量满足需求,就直接将所需密钥传输给请求方。否则发回等待信息,并启动量子密钥分配过程,直到存储器中的密钥量达到请求所需的量,再将密钥传输给SSL VPN服务器和客户端。当SSL VPN客户端和服务器接收到密钥后,采用的是“一次一密”的加密方法,直接对电力调度数据进行加密安全传输。
如果总站与基站二之间要传送关于基站电力项目相关的信息,只需采用原始SSL协议的加密算法即可。总站的SSL VPN服务器和基站二的SSL VPN客户端之间先建立起安全连接通道,然后双方进行信息协商,协商消息包含所需密钥量的大小,密钥用于直接替换会话密钥,以及量子密钥更新时间等。然后SSL VPN客户端和服务器各自向量子密钥服务器请求对应的密钥,将所需密钥数量通知量子密钥服务器,如果量子密钥服务器的存储密钥量满足需求,就直接将所需密钥传输给请求方。否者发回等待信息,并启动量子密钥分配过程,直到存储器中的密钥量达到请求所需的量,再将密钥传输给SSL VPN服务器和客户端。当SSL VPN客户端和服务器接收到密钥后,直接替代之前建立连接时得到的会话密钥,即可进行安全通信。从SSL VPN客户端和服务器接收到密钥开始计算直到更新时间为止,如果会话还没有结束,就需要重新请求量子密钥。
Claims (5)
1.一种电网SSL VPN中密钥更新和使用的方法,其特征在于,该方法需要两个网络,一个是量子密钥分配网络,一个是电力系统调度网络;
其中,量子密钥分配网络用来实现密钥的安全分配,实现密钥分配使用BB84、B92、E91单光子协议或者连续变量协议,实现端到端的密钥分发功能,至少需要通信双方各有一个量子密钥分配终端,并共享一条量子信道和一条经典信道,为了实现网络功能,需要使用到可信中继、量子路由器和交换机设备来实现不同地域节点之间通信路径的选择,根据量子信道的实现方式的不同,量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络;
其中,电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络,它是根据需要在一定区域内基站间建立的专用局域网络,考虑到不同的基站子网之间的消息互通性和安全性,使用了虚拟专用网技术来将不同局域网络连接起来,组建成电力系统调度网络使用,同时由于电力系统调度网络中任务繁多,为了实现不同任务之间的有效隔离,实现任务分区和分级管理,针对不同的任务建立了不同的虚拟专用隧道,这里的电力系统调度网络的组建至少需要两个局域网,每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器,为了组建覆盖面更广的网络,需要将所有的基站-基站之间、基站-主站之间都连接起来,实现全网的安全通信;
为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥,需要将两网进行有效地结合,在融合后的网络中至少包含几个必备的组成部分:量子密钥分配网络、量子密钥服务器、公网、SSL VPN服务器和客户端、调度任务服务器和项目服务器其他数据库服务器;
所述量子密钥分配网络,是指用于传递分配量子密钥的专用网络,其传输通道是光纤信道或者自由空间信道,随着距离的增加和网络规模的扩大,这里还包含为延长距离而采用的可信中继和量子中继,为节约资源和增加灵活性而使用到量子路由器、交换机设备;
所述量子密钥服务器,是指使用量子密钥的节点为接入量子密钥分配网络获取安全密钥的设备,集成了从量子密钥分配网络中获取量子密钥的终端模块,以及密钥存储单元,量子密钥实时地直接提供给应用服务器,或者暂时存储在量子密钥服务器的存储单元中,待需要使用时,再从存储单元中调出,实现对突发应用数据的处理;
所述SSL VPN服务器和客户端,用于实现电力系统调度网络中虚拟隧道的建立和控制,管理VPN所需的加密算法、密钥协商和提取过程,在用户登录时实现用户身份的验证,然后需要在传输数据的两端建立起虚拟专用链接,根据传输信息的需要,量子密钥服务器协商密钥的大小,以及调度策略,待密钥读取进入服务器后对传输或接收的数据进行加解密处理;
所述其他数据库服务器,用于实现具体任务所需的数据库,将不同的任务分区处理,这些服务器主要用于分类存放相应的数据信息,在处理不同的业务时,需要从指定的服务器上读取或者写入数据;
通过实现量子密钥在电力系统调度网络中的使用,最大限度地保障电力数据传输的完整性和机密性,其主要实现方法包含以下过程:
A.消息协商过程:
将量子密钥分配网络得到量子密钥用在电力系统调度网络有三种形式,分别是将量子密钥用来替代SSL协议建立过程中的认证密钥、预主密钥或主密钥、会话密钥,因此在连接建立之后,通信双方需要协商好从量子密钥服务器得到密钥的具体用途,也就是需要指明是用来替换认证密钥,还是替换预主密钥或主密钥,抑或是替换会话密钥的,也可能三者中的两者或者三者全部替换,当量子密钥被用来替换会话密钥时,需要进一步协商在同一个会话之间量子密钥更新的频率,为了进一步实现信息论无条件的安全性需求,需在加密算法集合中引入“一次一密”算法,扩大加密算法的选择性,因此还需要协商是否使用“一次一密”算法信息;
B.量子密钥分配过程:
使用量子密钥服务器在通信双方或者多方之间建立共享的量子密钥,如果不使用存储技术,那么每次启动量子密钥分配过程时,都需要实时的进行密钥分配处理,等到密钥量到达上层协议所需要求时再停止,若是使用了存储技术,那么在每次启动量子密钥分配过程时,需先检验存储器中的密钥量是否满足任务的需要,若是满足需要,则直接调用存储器中的密钥,否则需要开始密钥分配过程,量子密钥分配过程,对是否使用存储器不作要求,对于没有存储器时的情况相当于存储器中存储量恒等于零;
C.电网SSL VPN服务器和客户端调用量子密钥过程:
在建立隧道后,当上层任务信息到达后,SSL VPN服务器和客户端分别需要向量子密钥服务器请求所需的密钥量,当量子密钥服务器中现有的密钥量能满足请求所需,则直接向SSLVPN服务器和客户端传输密钥,否则需要等待,直到量子密钥量达到请求所需的密钥量;
D.密钥替代过程,使用量子密钥替代SSL协议中相应的密钥:
当隧道建立之后,SSL VPN服务器和客户端也已经从量子密钥服务器处提取出所需的量子密钥,这时需要根据具体的需求将提出的量子密钥替代掉原始SSL协议中相应的密钥。
2.根据权利要求1所述的一种电网SSL VPN中密钥更新和使用的方法,其特征在于,过程C中电网SSL VPN服务器和客户端调用量子密钥过程进一步划分为以下的两个基本步骤:
C1.SSL VPN服务器或客户端向量子密钥服务器发送请求密钥的消息,这个消息里面包含任务所需密钥量的大小以及任务编号信息;
C2.量子密钥服务器接收到密钥请求消息后,根据其中的密钥量大小信息检查存储器中的密钥量是否能够满足请求所需,如果已有的现存密钥的数量能够满足请求所需的密钥量,直接将密钥传给SSL VPN服务器或客户端,反之如果密钥的存储不足,说明需要启动量子密钥分配过程,这时协议服务器向SSL VPN服务器或客户端发送等待信息,并且启动量子密钥分配过程,直到存储器中的密钥量达到请求所需的密钥量,将准备好的密钥传送给SSL VPN服务器或客户端,已经在进行的量子密钥分配过程根据具体的需要仍然继续分配量子密钥到适当的时间停止,也可在密钥量达到请求所需的密钥量时停止。
3.根据权利要求1所述的一种电网SSL VPN中密钥更新和使用的方法,其特征在于,过程D中密钥替代过程进一步分为三种情况,分别列出如下:
D1.量子密钥用作认证密钥
在SSL连接建立的过程中,首先需要确认通信双方的身份,这就需要对双方或者其中一方进行身份认证,将量子密钥分配网络得到密钥用在电力系统调度网络的第一种形式就是将量子密钥替换掉此处用作认证身份的认证密钥,具体的作法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换掉认证密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接时使用的认证密钥,并为下一次连接的建立留下认证所需的密钥材料;
D2.量子密钥用作预主密钥或者主密钥
在SSL连接的建立过程中,将量子密钥分配网络得到密钥用在电力系统调度网络中的第二种形式就是用量子密钥替换掉此处SSL协议中的预主密钥或者主密钥,之后的会话密钥将都由量子密钥经过进一步的计算得到,具体的使用方法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换预主密钥或者主密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接过程中得到的预主密钥或者主密钥,之后会话过程所需的会话密钥将会使用替换掉的预主密钥或者主密钥进行计算得到;
D3.量子密钥用作会话密钥
在SSL连接建立后,为了保障电力数据传输的完整性和机密性,需要使用AES或DES加密算法对数据进行加密,并且每次会话都要使用不同会话密钥,因此将量子密钥分配网络得到的量子密钥用在电力系统调度网络的第三形式就是将量子密钥替换掉会话密钥,具体的使用方法是,如果在初始连接建立之后,双方进行协商的消息中说明需要替换会话密钥,那么,在SSL VPN服务器或客户端得到从量子密钥服务器提出的密钥比特串后,直接用量子密钥替换这一次建立连接过程中得到的会话密钥,之后的数据加密过程将使用替代后的量子密钥进行加密。
4.根据权利要求3所述的一种电网SSL VPN中密钥更新和使用的方法,其特征在于,将从量子密钥分配网络中得到量子密钥用在电力系统调度网络中的三种形式在不同的网络环境下有选择地使用,为了实现实时传输,减少任务等待的时间,若量子密钥分配网络的密钥分配速率非常低,或者上层应用需要发送的数据量过大,量子密钥产出量不能满足用来替换会话密钥的要求,那么可以使用第二种方法,只将SSL协议中的预主密钥或主密钥替换为量子密钥;若量子密钥分配网络的密钥分配速率非常高或者上层应用需要传输的数据量较少,量子密钥的产出量能够满足替换会话密钥的要求,那么选择第二种或者第三种方法其中之一,或者两者同时选择。
5.根据权利要求4所述的一种电网SSL VPN中密钥更新和使用的方法,其特征在于,为了实现信息论意义上的无条件安全,系统使用“一次一密”加密方法,需要量子密钥与传输数据长度相同,只有量子密钥的产出量达到一定值时才能实现实时传输,否则需要等待;使用量子密钥替换SSL协议中的会话密钥时,通过设定替换密钥更新的时间间隔,在条件允许的情况下既能保证一定的实时传输特性,又能保障较高的安全级别。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310373510.9A CN103490891B (zh) | 2013-08-23 | 2013-08-23 | 一种电网ssl vpn中密钥更新和使用的方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201310373510.9A CN103490891B (zh) | 2013-08-23 | 2013-08-23 | 一种电网ssl vpn中密钥更新和使用的方法 |
Publications (2)
| Publication Number | Publication Date |
|---|---|
| CN103490891A CN103490891A (zh) | 2014-01-01 |
| CN103490891B true CN103490891B (zh) | 2016-09-07 |
Family
ID=49830865
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201310373510.9A Expired - Fee Related CN103490891B (zh) | 2013-08-23 | 2013-08-23 | 一种电网ssl vpn中密钥更新和使用的方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN103490891B (zh) |
Families Citing this family (29)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| US9407612B2 (en) * | 2014-10-31 | 2016-08-02 | Intel Corporation | Technologies for secure inter-virtual network function communication |
| CN104486316B (zh) * | 2014-12-08 | 2017-12-26 | 国家电网公司 | 一种提高电力数据传输安全性的量子密钥分等级提供方法 |
| CN104780040A (zh) * | 2015-04-06 | 2015-07-15 | 安徽问天量子科技股份有限公司 | 基于量子密码的手持设备加密方法及系统 |
| CN105337726A (zh) * | 2015-04-06 | 2016-02-17 | 安徽问天量子科技股份有限公司 | 基于量子密码的端对端手持设备加密方法及系统 |
| CN106209739B (zh) | 2015-05-05 | 2019-06-04 | 科大国盾量子技术股份有限公司 | 云存储方法及系统 |
| CN105515766A (zh) * | 2015-12-16 | 2016-04-20 | 浙江神州量子网络科技有限公司 | 一种量子密钥在stunnel中的应用方法 |
| CN106230582B (zh) * | 2016-07-17 | 2019-03-26 | 西安电子科技大学 | 量子保密通信网络中的随机路由方法 |
| CN106452750B (zh) * | 2016-10-19 | 2019-05-03 | 长春大学 | 一种用于移动设备的量子加密通信方法 |
| CN106656493A (zh) * | 2017-01-18 | 2017-05-10 | 中国人民解放军国防科学技术大学 | 基于量子密钥分发的软件定义网络安全通信方法 |
| CN108809632B (zh) * | 2017-04-28 | 2021-06-15 | 广东国盾量子科技有限公司 | 一种量子安全套接层装置及系统 |
| CN107172027A (zh) * | 2017-05-05 | 2017-09-15 | 北京凤凰理理它信息技术有限公司 | 证书管理方法、存储设备、存储介质和装置 |
| CN107483197B (zh) * | 2017-09-14 | 2020-02-11 | 杭州迪普科技股份有限公司 | 一种vpn网络终端密钥分发方法及装置 |
| CN108574573B (zh) * | 2017-12-14 | 2021-07-23 | 成都卫士通信息产业股份有限公司 | 为虚拟vpn提供密码服务的方法、密码设备及虚拟vpn服务系统 |
| CN107896148A (zh) * | 2017-12-25 | 2018-04-10 | 北京天融信网络安全技术有限公司 | 一种加解密数据的方法及系统 |
| CN108429615A (zh) * | 2018-01-10 | 2018-08-21 | 如般量子科技有限公司 | 一种基于量子密钥的Stunnel通信方法和Stunnel通信系统 |
| CN108449145B (zh) * | 2018-03-21 | 2019-03-29 | 广州大学 | 一种基于量子密钥的密文传输方法 |
| CN109412794B (zh) * | 2018-08-22 | 2021-10-22 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
| CN108965344B (zh) * | 2018-09-30 | 2020-12-08 | 国网江苏省电力有限公司南京供电分公司 | 一种用于异地数据安全备份的系统及方法 |
| CN109039615A (zh) * | 2018-10-15 | 2018-12-18 | 北京天融信网络安全技术有限公司 | 利用ssl vpn协议获取量子密钥的方法及相应设备和存储介质 |
| CN109309570B (zh) * | 2018-10-15 | 2021-09-14 | 北京天融信网络安全技术有限公司 | 量子密钥在ssl vpn中使用的方法及相应设备和存储介质 |
| CN110138559B (zh) * | 2019-06-03 | 2022-02-01 | 北京智芯微电子科技有限公司 | 对台区内的终端进行量子密钥分配的方法及系统 |
| CN111600914B (zh) * | 2020-07-27 | 2020-11-24 | 北京信安世纪科技股份有限公司 | 一种数据传输方法、服务端和客户端 |
| CN111953492B (zh) * | 2020-09-15 | 2024-08-16 | 国科量子通信网络有限公司 | 基于量子密钥加密的erp联网监控系统及其应用方法 |
| US11470059B2 (en) * | 2020-10-14 | 2022-10-11 | Schweitzer Engineering Laboratories, Inc. | Systems and methods for establishing secure communication in an electric power distribution system |
| CN112929168A (zh) * | 2021-02-05 | 2021-06-08 | 安徽华典大数据科技有限公司 | 一种基于量子密钥分配方法 |
| CN113489586B (zh) * | 2021-07-26 | 2023-01-31 | 河南国科量子通信网络有限公司 | 一种兼容量子密钥协商的vpn网络系统 |
| CN113757909B (zh) * | 2021-11-08 | 2022-02-08 | 国网浙江省电力有限公司绍兴供电公司 | 基于量子加密技术的空调集群控制方法 |
| CN113765665B (zh) * | 2021-11-10 | 2022-02-08 | 济南量子技术研究院 | 基于量子密钥的区块链网络及数据安全传输方法 |
| CN115514583B (zh) * | 2022-11-21 | 2023-03-24 | 北京长亭未来科技有限公司 | 一种流量采集及阻断方法、系统、设备及存储介质 |
Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| EP2493113A2 (en) * | 2011-02-23 | 2012-08-29 | General Electric Company | Systems, methods, and apparatus for electrical grid quantum key distribution |
| CN102859945A (zh) * | 2010-04-30 | 2013-01-02 | 株式会社东芝 | 具有密钥更新机制的密钥管理设备、系统和方法 |
-
2013
- 2013-08-23 CN CN201310373510.9A patent/CN103490891B/zh not_active Expired - Fee Related
Patent Citations (2)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN102859945A (zh) * | 2010-04-30 | 2013-01-02 | 株式会社东芝 | 具有密钥更新机制的密钥管理设备、系统和方法 |
| EP2493113A2 (en) * | 2011-02-23 | 2012-08-29 | General Electric Company | Systems, methods, and apparatus for electrical grid quantum key distribution |
Non-Patent Citations (2)
| Title |
|---|
| PROSPECTS OF FIBER QUANTUM KEY DISTRIBUTION TECHNOLOGY FOR POWER SYSTEMS;Ruirui Zhang,Xi Chen;《22nd International Conference on Electricity Distribution》;20130610;全文 * |
| 光纤量子密钥分配技术在电网中的应用前景;张睿汭,周静,陈希;《电力系统通信》;20121010;全文 * |
Also Published As
| Publication number | Publication date |
|---|---|
| CN103490891A (zh) | 2014-01-01 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN103490891B (zh) | 一种电网ssl vpn中密钥更新和使用的方法 | |
| CN103491531B (zh) | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 | |
| CN104660603B (zh) | IPSec VPN中扩展使用量子密钥的方法及系统 | |
| CN109995515B (zh) | 一种量子密钥中继方法 | |
| CN109995510B (zh) | 一种量子密钥中继服务方法 | |
| Tysowski et al. | The engineering of a scalable multi-site communications system utilizing quantum key distribution (QKD) | |
| CN110581763B (zh) | 一种量子密钥服务区块链网络系统 | |
| Jiang et al. | Security in space information networks | |
| CN202206418U (zh) | 流量管理设备、系统和处理器 | |
| CN101183938B (zh) | 一种无线网络安全传输方法、系统及设备 | |
| CN101227376B (zh) | 一种虚拟专用网多实例安全接入的方法及设备 | |
| CN109314638A (zh) | 密钥配置及安全策略确定方法、装置 | |
| CN109995511A (zh) | 一种基于量子密钥分发网络的移动保密通信方法 | |
| CN108848111A (zh) | 一种基于区块链技术的去中心化虚拟专用网络组建方法 | |
| TW201633742A (zh) | 基於可信中繼的量子密鑰分發系統、方法及裝置 | |
| CN109995514A (zh) | 一种安全高效的量子密钥移动服务方法 | |
| CN111953492B (zh) | 基于量子密钥加密的erp联网监控系统及其应用方法 | |
| CN109995513A (zh) | 一种低延迟的量子密钥移动服务方法 | |
| CN102130769A (zh) | 一种用于量子密钥分配请求控制与自动实现的模型和方法 | |
| CN109842485A (zh) | 一种有中心的量子密钥服务网络系统 | |
| CN111277404A (zh) | 一种用于实现量子通信服务区块链的方法 | |
| CN111342952B (zh) | 一种安全高效的量子密钥服务方法与系统 | |
| CN109413194A (zh) | 用于移动通信系统的用户信息云端协同处理及转移方法 | |
| CN109995512A (zh) | 一种基于量子密钥分发网络的移动安全应用方法 | |
| CN109842442B (zh) | 一种以机场为区域中心的量子密钥服务方法 |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| C06 | Publication | ||
| PB01 | Publication | ||
| C10 | Entry into substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| C14 | Grant of patent or utility model | ||
| GR01 | Patent grant | ||
| CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20160907 |
|
| CF01 | Termination of patent right due to non-payment of annual fee |