一种基于量子密钥分配技术的电力安全通信网络
技术领域
本发明涉及电力安全通信网络,尤其涉及一种基于量子密钥分配技术的电力安全通信网络。
背景技术
安全性是通信网络中重要的评价指标,密码学为安全通信提供了有力保证。传统密码学基于数学算法的计算复杂度,不能保证密钥的绝对安全。量子密码学,利用量子力学的基本原理来保证密码绝对安全:任何对量子系统的测量都会对系统产生干扰,如果有第三方试图窃听密码,必须用某种方式测量它,其测量会带来可察觉的异常,通信的双方便会知道,这是量子密码一个最重要也是最独特的性质,当窃听发生时,可以切断链路,保障通信的安全性。
量子安全网络是采用量子密码的一种安全通信网络。如图1所示,量子安全网络是由量子通信网络和经典通信网络共同构建而成。量子通信网络主要由密钥生成控制服务器1、经典交换机2、QKD(quantum key distribution,量子密钥分配)系统3和量子信道组成,通信双方通过发送量子比特,在两地之间形成无条件安全的随机数密钥,密钥可通过某些加密算法来加密信息,信息的加密、解密和传输都在经典通信网络中进行。
电力系统通过电力架空光缆传输电力相关数据,数据的安全性对整个电力系统至关重要。电力纵向加密认证装置是针对电力二次安全防护体系(Electric Power Secondary System)中电力调度数据保密通信的专用密码设备,是电力二次系统安全防护的核心关键设备,电力专用纵向加密认证装置位于电力控制系统的内部局域网与电力调度数据网络的路由器之间。目前电力纵向加密认证装置中一般使用经典密码学算法对通信数据进行加解密处理,因此有被破解和篡改的风险。
本专利探索将量子密钥分发(QKD)运用于电力系统,以解决传输链路安全的问题、保障信息传递的保密性。
本专利的技术方案中将使用到量子集控站,关于量子集控站的信息参见专利号为201110170292.X的发明专利,该发明专利公开了一种基于量子集控站的光量子通信组网结构及其通信方法,量子集控站由一个或多个矩阵光开关、一台或多台量子密钥收发一体机(即QKD系统)以及一台量子通信服务器(即密钥生成控制服务器)组成,量子密钥收发一体机通过通讯接口与量子通信服务器通讯,量子密钥收发一体机通过矩阵光开关与相邻量子集控站、光交换机以及用户相连。量子集控站之间通过量子信道实现量子密钥分发。
发明内容
本发明所要解决的技术问题在于提供一种将量子密钥分发(QKD)系统与电力二次防护设备相结合,将量子通信技术应用于传统电力通信网络,大幅提高电力通信网络数据传输的安全性的基于量子密钥分配技术的电力安全通信网络。
本发明采用以下技术方案解决上述技术问题的:一种基于量子密钥分配技术的电力安全通信网络,包括电力纵向加密认证装置,每个用户终端均配备一台电力纵向加密认证装置,还包括密钥生成控制服务器、经典交换机、QKD系统,密钥生成控制服务器通过经典交换机连接到QKD系统,每台电力纵向加密认证装置部署一台QKD系统,QKD系统与对应的电力纵向加密认证装置连接,QKD系统之间通过量子信道完成量子密钥分发,电力纵向加密认证装置之间通过经典信道通信,电力纵向加密认证装置中包括依序连接的量子密钥传输单元、量子密钥处理单元、电力通信数据加解密单元。
该电力安全通信网络的工作过程如下:密钥生成控制服务器定时检测QKD系统当前的量子密钥量,并启动QKD系统的量子密钥分发;每台QKD系统都通过唯一的ID号进行身份标识,自身与另一台QKD系统进行量子密钥分发后,会使用对方的ID号,对生成的量子密钥进行标识和存储,当其中主叫用户要与另一个被叫用户进行通信,在密钥生成控制服务器的协调下,主叫用户的QKD系统会根据ID号,自动将与被叫用户分发的量子密钥提供给主叫用户的电力纵向加密认证装置,与此同时,被叫用户的QKD系统会根据ID号,自动将与主叫用户分发的量子密钥提供给被叫用户的电力纵向加密认证装置,主叫用户与被叫用户的电力纵向加密认证装置使用量子密钥,对数据进行加解密处理,在经典信道中完成保密通信过程。
在多用户应用场景下,该电力安全通信网络还包括全通型光量子交换机,各个用户的QKD系统均挂接到全通型光量子交换机下,全通型光量子交换机和经典交换机连接,实现两两用户之间的量子密钥分发功能。
多用户应用场景下,使用该基于量子密钥分配技术的电力安全通信网络进行数据传输的步骤如下:
步骤1)密钥生成控制服务器定时检测各个用户当前的量子密钥量,通过既定排队策略,将各个QKD系统进行配对,并启动量子密钥分发,通过全通型光量子交换机实现任意两个用户间的量子密钥分发;
步骤2)每个QKD系统都通过唯一的ID号进行身份标识,自身与某台QKD系统进行量子密钥分发后,会使用对方的ID号,对生成的量子密钥进行标识和存储;
步骤3)若其中一主叫用户要与另一被叫用户进行通信,在密钥生成控制服务器的统一协调下,主叫用户的QKD系统会根据ID号,自动将与被叫用户分发的量子密钥提供给主叫用户的电力纵向加密认证装置,与此同时,被叫用户的QKD系统会根据ID号,自动将与主叫用户分发的量子密钥提供给被叫用户的电力纵向加密认证装置;
步骤4)主叫用户和被叫用户的电力纵向加密认证装置使用量子密钥,对数据进行加解密处理,完成保密通信过程。
所述电力通信网络中分为“生产大区”和“管理大区”两大部分,上述的多用户中的一部分用户归属“生产大区”,管理大区是剩下的一个用户或者多个用户。
本发明还公开了一种基于量子密钥分配技术的电力安全通信网络,包括省级电力调度中心、该省下辖各城市管理中心、城市下属的各个厂站,省级电力调度中心、该省下辖各城市管理中心、城市下属的各个厂站均配备一台电力纵向加密认证装置,还包括至少一个量子集控站、零个或若干个可信中继、多个经典交换机、全通型光量子交换机、QKD系统,省级电力调度中心、该省下辖各城市管理中心均部署一台与其电力纵向加密认证装置连接的量子集控站或可信中继,量子集控站或可信中继之间通过量子信道实现量子密钥分发,每个厂站均部署一台与该厂站的电力纵向加密认证装置连接的QKD系统,所有的量子集控站或可信中继、QKD系统均连接到经典交换机,在同一个城市下,所有厂站的QKD系统以及该城市管理中心的量子集控站或可信中继均连接到全通型光量子交换机。上述省级电力调度中心、该省下辖各城市管理中心的电力纵向加密认证装置与量子集控站或可信中继的连接方式可以是与量子集控站或可信中继中的QKD系统相连,也可以与部署在量子集控站或可信中继附近的一个QKD系统相连,而该QKD系统与量子集控站或可信中继直接或间接相连,电力纵向加密认证装置中包括依序连接的量子密钥传输单元、量子密钥处理单元、电力通信数据加解密单元。
可信中继与量子集控站的区别在于可信中继中无密钥生成控制服务器,也就是说,可信中继由一个或多个矩阵光开关、一台或多台量子密钥收发一体机组成,所以当采用可信中继时,所述省级电力调度中心和该省下辖各城市管理中心中至少部署一台与各可信中继连接的密钥生成控制服务器,以启动各可信中继中的QKD系统的量子密钥分发,即所述省级电力调度中心和该省下辖各城市管理中心中至少部署一台量子集控站,其他的地方部署可信中继,量子集控站与各可信中继相连。
所述各厂站均具有多用户,各厂站下的电力安全通信网络包括密钥生成控制服务器、经典交换机、QKD系统、全通型光量子交换机,密钥生成控制服务器通过经典交换机连接到QKD系统,每台电力纵向加密认证装置部署一台QKD系统,QKD系统与对应的电力纵向加密认证装置连接,所有的QKD系统均连接到全通型光量子交换机,全通型光量子交换机和经典交换机连接,任意两个QKD系统通过全通型光量子交换机实现量子密钥分发,电力纵向加密认证装置之间通过经典信道通信。
所述省级电力调度中心与各城市之间的电力通信数据加解密与传输流程包括如下步骤:
步骤10)省级电力调度中心的量子集控站或可信中继与各城市的量子集控站或可信中继之间,在处于量子集控站中的密钥生成控制服务器的统一协调下,完成量子密钥分发;
步骤12)如其中一城市需要完成与省级电力调度中心的电力通信数据传输,该城市的电力纵向加密认证装置首先使用与省级电力调度中心分发的量子密钥,对电力通信数据进行加密处理,然后通过经典网络传输给省级电力调度中心的电力纵向加密认证装置;
步骤14)省级电力调度中心的电力纵向加密认证装置接收到该城市传输的加密电力通信数据,其电力纵向加密认证装置使用与该城市分发的量子密钥进行解密,这样就完成了该城市传输电力通信数据给省级电力调度中心的功能;
步骤16)同时,省级电力调度中心需要下发调度指令给该城市,其电力纵向加密认证装置使用与该城市分发的量子密钥,对调度指令进行加密处理,然后通过经典网络传输给该城市的电力纵向加密认证装置;
步骤18)该城市的电力纵向加密认证装置接收到省级电力调度中心传输的加密调度指令,电力纵向加密认证装置使用与省级电力调度中心分发的量子密钥进行解密,这样就完成了省级电力调度中心传输电力通信数据给该城市的功能。
所述厂站和厂站所属城市之间的电力通信数据加解密与传输流程包括如下步骤:
步骤20)各厂站与城市之间,在处于量子集控站中的密钥生成控制服务器的统一协调下,完成量子密钥分发;
步骤21)该城市下的一厂站需要完成与该城市的电力通信数据传输,该厂站的电力纵向加密认证装置首先使用与该城市分发的量子密钥,对电力通信数据进行加密处理,然后通过经典网络传输给该城市的电力纵向加密认证装置;
步骤22)城市的电力纵向加密认证装置接收到该厂站传输的加密电力通信数据,其电力纵向加密认证装置使用与该厂站分发的量子密钥进行解密,这样就完成了该厂站传输电力通信数据给该城市;
步骤23)同时,该城市需要下发调度指令给该厂站,其电力纵向加密认证装置使用与该厂站分发的量子密钥,对调度指令进行加密处理,然后通过经典网络传输给厂站的电力纵向加密认证装置;
步骤24)该厂站的电力纵向加密认证装置接收到该城市传输的加密调度指令,其电力纵向加密认证装置使用与该城市分发的量子密钥进行解密,这样就完成了该城市传输电力通信数据给该厂站。
一城市下的一厂站直接传输电力通信数据给省级电力调度中心的步骤如下:
步骤30)省级电力调度中心的量子集控站或可信中继与该城市下的该厂站的QKD系统,通过它们之间的城市的量子集控站或可信中继,采用密钥中继的方式,实现厂站与省级电力调度中心之间拥有共享的量子密钥;
步骤31)该厂站的电力纵向加密认证装置,使用上述共享的量子密钥作为业务密钥,对需要传输给省级电力调度中心的数据进行加密处理,然后通过经典网络传输给省级电力调度中心的电力纵向加密认证装置;
步骤32)省级电力调度中心的电力纵向加密认证装置,使用对应的量子密钥作为业务密钥,将该厂站传输过来的加密数据进行解密,这样就完成了该厂站与省级电力调度中心之间电力通信数据加密传输功能。
本发明的优点在于:提出一种融合量子密钥分配技术的电力安全通信网络实现技术,给出了电力系统多用户应用场景下的量子密钥分配、存储和管理机制实现方案,将量子通信技术应用于传统电力通信网络,大幅提高电力通信网络数据传输的安全性。
附图说明
图1是现有量子安全网络的结构示意图。
图2为本发明基于量子密钥分配技术的电力安全通信网络的QKD系统与电力二次防护设备的结合原理示意图。
图3为本发明的在多用户应用场景下的QKD系统与电力二次防护设备的结合原理示意图。
图4为电力通信网络与量子网络融合实例的结构示意图。
具体实施方式
以下结合附图对本发明进行详细的描述。
基于本申请人对电力安全通信网络的研究,以及长期以来致力于量子保密通信网络的研究,清楚的了解到电力纵向加密认证装置也可以使用对称密钥,QKD系统分发的量子密钥可以直接提供给电力纵向加密认证装置用作业务密钥,让该电力纵向加密认证装置再采用经典对称密钥算法对电力通信数据进行加解密处理,完成QKD系统与电力纵向加密认证装置的结合,以提高电力通信的安全性。
实施例一
请参阅图2所示,图2中,仅示出了基于量子密钥分配技术的电力安全通信网络中的任两个用户相互通信的原理,也就是建立了一个QKD系统与电力纵向加密认证装置结合的模型。本发明一种基于量子密钥分配技术的电力安全通信网络包括密钥生成控制服务器10、经典交换机20、QKD系统30和电力纵向加密认证装置40。
密钥生成控制服务器10通过经典交换机20连接到QKD系统30,每个用户终端均包括一台电力纵向加密认证装置40,每台电力纵向加密认证装置40部署一台QKD系统30。QKD系统30与对应的电力纵向加密认证装置40连接。QKD系统30之间通过量子信道完成量子密钥分发,电力纵向加密认证装置40之间通过经典信道通信。电力纵向加密认证装置40中包括依序连接的量子密钥传输单元、量子密钥处理单元、电力通信数据加解密单元。
密钥生成控制服务器10定时检测两台QKD系统30当前的量子密钥量,并启动两台QKD系统30的量子密钥分发;每台QKD系统30都通过唯一的ID号进行身份标识,自身与另一台QKD系统30进行量子密钥分发后,会使用对方的ID号,对生成的量子密钥进行标识和存储。当用户1要与用户2进行通信,在密钥生成控制服务器10的协调下,用户1的QKD系统30会根据ID号,自动将与用户2分发的量子密钥提供给用户1的电力纵向加密认证装置40,与此同时,用户2的QKD系统30会根据ID号,自动将与用户1分发的量子密钥提供给用户2的电力纵向加密认证装置;两台电力纵向加密认证装置40使用量子密钥,对数据进行加解密处理,在经典信道中完成保密通信过程。
实施例二
如图3所示,给出了在电力系统多用户应用场景下,QKD系统与电力纵向加密认证装置结合的模型。事实上,电力通信网络都是多用户同时存在的,以省一级的电力通信网络为例,现有的电力通信网络通常具有省级电力调度中心、该省下辖各城市管理中心、城市下属的各个厂站。每个厂站都具有多个电力用户。为了实现任意两个用户之间的通信,本实施例中,在实施例一的基于量子密钥分配技术的电力安全通信网络的模型的基础上,增加使用一个全通型光量子交换机,具体的结构如下所述。
该基于量子密钥分配技术的电力安全通信网络包括一台密钥生成控制服务器10、一台经典交换机20、QKD系统30、电力纵向加密认证装置40和全通型光量子交换机50。
每个用户终端均包括一台电力纵向加密认证装置40,每台电力纵向加密认证装置40部署一台QKD系统30,密钥生成控制服务器10通过经典交换机20连接到QKD系统30,QKD系统30与对应的电力纵向加密认证装置40连接。所有的QKD系统30均连接到全通型光量子交换机50,全通型光量子交换机50和经典交换机20连接,全通型光量子交换机50能够实现所有光端口两两互连,也就是可以实现任两个QKD系统30之间的量子密钥分发。全通型光量子交换机50使用现有的产品,如本申请人生产并已上市的16口全通型光量子交换机。电力纵向加密认证装置40之间通过经典信道通信。电力纵向加密认证装置40中包括依序连接的量子密钥传输单元、量子密钥处理单元、电力通信数据加解密单元。
使用该基于量子密钥分配技术的电力安全通信网络进行数据传输的步骤如下:
步骤1)密钥生成控制服务器10定时检测各个用户当前的量子密钥量,通过既定排队策略,将各个QKD系统30进行配对,并启动量子密钥分发,通过全通型光量子交换机50实现任意两个用户间的量子密钥分发;
步骤2)每个QKD系统30都通过唯一的ID号进行身份标识,自身与某台QKD系统30进行量子密钥分发后,会使用对方的ID号,对生成的量子密钥进行标识和存储;
步骤3)若其中一用户1要与另一用户3进行通信,在密钥生成控制服务器10的统一协调下,用户1的QKD系统30会根据ID号,自动将与用户3分发的量子密钥提供给用户1的电力纵向加密认证装置40,与此同时,用户3的QKD系统30会根据ID号,自动将与用户1分发的量子密钥提供给用户3的电力纵向加密认证装置;
步骤4)用户1和用户3的电力纵向加密认证装置40使用量子密钥,对数据进行加解密处理,完成保密通信过程。
基于电力通信网络管理的需要,电力通信网络中分为“生产大区”和“管理大区”两大部分,则上述的多用户中的一部分用户归属“生产大区”,管理大区可以是包括如图2中的一个用户,也可以是多个用户,视实际需要而定,起到管理监督生产大区各用户的作用。
实施例三
如上所述,在实际的电力通信网络中,都是多用户同时存在的,以省一级的电力通信网络为例,现有的电力通信网络通常具有省级电力调度中心、该省下辖各城市管理中心、城市下属的各个厂站,而各个厂站下包括多个电力用户。实施例二讨论了各个厂站下多个电力用户之间的加密数据传输。参阅图4,本实施例给出了在省级调度中心管辖下,电力通信网络与量子网络融合的实例。本实施例中,将对基于量子集控站的实现方式进行相关说明。对于基于可信中继的实现方式,与基于量子集控站的实现方式在原理上无实质区别,本领域技术人员在了解了本实施例后,将可以清楚的理解基于可信中继如何实现,故不再对基于可信中继的实现方式进行相关说明。
该基于量子密钥分配技术的电力安全通信网络包括多个电力纵向加密认证装置100、多个量子集控站200、多个经典交换机300、全通型光量子交换机400、QKD系统500。
省级电力调度中心、该省下辖各城市管理中心、城市下属的各个厂站均配备一台电力纵向加密认证装置100,省级电力调度中心、该省下辖各城市管理中心均部署一台与其电力纵向加密认证装置100连接的量子集控站200,量子集控站200之间通过量子信道实现量子密钥分发。每个厂站均部署一台与该厂站的电力纵向加密认证装置100连接的QKD系统500,所有的量子集控站200、QKD系统500均连接到经典交换机300,在同一个城市下,所有厂站的QKD系统500以及该城市管理中心的量子集控站200均连接到全通型光量子交换机400。
通过上述电力网络结构,省级电力调度中心对各城市的电力通信网络进行控制,而省级电力调度中心与各城市之间均可通过量子集控站200,实现两两之间的量子信道建立,在处于量子集控站200中的密钥生成控制服务器的统一协调下,使其具备两两之间分发量子密钥的能力。这样,各城市之间、省级电力调度中心与各城市之间就可以实现两两之间的电力纵向加密认证设备100通过使用量子密钥进行加解密处理的电力保密通信。
该场景下的省级电力调度中心与各城市之间的电力通信数据加解密与传输流程包括如下步骤:
步骤10)省级电力调度中心的量子集控站200与各城市的量子集控站200之间,在处于量子集控站200中的密钥生成控制服务器的统一协调下,完成量子密钥分发;
步骤12)如其中一城市1需要完成与省级电力调度中心的电力通信数据传输,该城市1的电力纵向加密认证装置100首先使用与省级电力调度中心分发的量子密钥,对电力通信数据进行加密处理,然后通过经典网络传输给省级电力调度中心的电力纵向加密认证装置100;
步骤14)省级电力调度中心的电力纵向加密认证装置100接收到该城市1传输的加密电力通信数据,其电力纵向加密认证装置100使用与该城市1分发的量子密钥进行解密,这样就完成了该城市1传输电力通信数据给省级电力调度中心的功能;
步骤16)同时,省级电力调度中心需要下发调度指令给该城市1,其电力纵向加密认证装置100使用与该城市1分发的量子密钥,对调度指令进行加密处理,然后通过经典网络传输给该城市1的电力纵向加密认证装置100;
步骤18)该城市1的电力纵向加密认证装置100接收到省级电力调度中心传输的加密调度指令,电力纵向加密认证装置100使用与省级电力调度中心分发的量子密钥进行解密,这样就完成了省级电力调度中心传输电力通信数据给该城市1的功能。
在一个城市如城市1下,各厂站的QKD系统500如厂站1和厂站2的QKD系统500,通过全通型光量子交换机400与该城市的量子集控站200连接,实现厂站1、厂站2和城市1两两之间的量子密钥分发。
该场景下的厂站和城市之间的电力通信数据加解密与传输流程包括如下步骤:
步骤20)各厂站与城市之间,如厂站1与城市1、厂站2与城市1,在处于城市1的量子集控站200中的密钥生成控制服务器的统一协调下,完成量子密钥分发;
步骤21)其中一城市如城市1下的厂站1需要完成与该城市1的电力通信数据传输,厂站1的电力纵向加密认证装置100首先使用与该城市1分发的量子密钥,对电力通信数据进行加密处理,然后通过经典网络传输给该城市1的电力纵向加密认证装置100;
步骤22)城市1的电力纵向加密认证装置100接收到该厂站1传输的加密电力通信数据,其电力纵向加密认证装置100使用与该厂站1分发的量子密钥进行解密,这样就完成了厂站1传输电力通信数据给城市1的功能;
步骤23)同时,城市1需要下发调度指令给厂站1,其电力纵向加密认证装置100使用与厂站1分发的量子密钥,对调度指令进行加密处理,然后通过经典网络传输给厂站1的电力纵向加密认证装置100;
步骤24)厂站1的电力纵向加密认证装置100接收到城市1传输的加密调度指令,其电力纵向加密认证装置100使用与该城市1分发的量子密钥进行解密,这样就完成了城市1传输电力通信数据给厂站1的功能。
如果一城市下的厂站如城市1下的厂站1或厂站2需要直接传输电力通信数据给省级电力调度中心,则需要使用到密钥中继功能,以厂站1上传数据给省级电力调度中心为例,包括如下步骤:
步骤30)省级电力调度中心的量子集控站200与该城市1下的厂站1的QKD系统500,通过它们之间的城市1的量子集控站200,采用密钥中继的方式,实现厂站1与省级电力调度中心之间拥有共享的量子密钥;
步骤31)厂站1的电力纵向加密认证装置100,使用上述共享的量子密钥作为业务密钥,对需要传输给省级电力调度中心的数据进行加密处理,然后通过经典网络传输给省级电力调度中心的电力纵向加密认证装置100;
步骤32)省级电力调度中心的电力纵向加密认证装置100,使用对应的量子密钥作为业务密钥,将厂站1传输过来的加密数据进行解密,这样就完成了厂站1与省级电力调度中心之间电力通信数据加密传输功能。
以上内容对QKD设备应用于电力领域进行阐述和分析,从现有电力通信网络的现状尤其是其安全性特点出发,给出了电力系统多用户应用场景下的量子密钥分配、存储和管理机制实现方案;同时,研究QKD装置与电力二次防护设备相结合的有效方法,提出一种融合量子密钥分配技术的电力安全通信网络实现技术。
本专利还详细说明了量子保密通信网络与电力光纤通信网络之间的互联互通技术,提出量子网络与电力专用通信网的融合实现方案,并研究任意节点之间的互联互通机理以及针对量子保密通信网络的密钥中继技术,为实现电力系统量子安全通信网络奠定基础。
以上所述仅为本发明创造的较佳实施例而已,并不用以限制本发明创造,凡在本发明创造的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明创造的保护范围之内。