量子保密通信在电网业务应用的方案研究与设计 - 图文

1、量子保密通信在电网业务应用的方案研究与设计 - 图文 量子保密通信在电业务应用的方案研究与设计 摘要：电力通信作为与电共生并存的第二张实体络，其通信的安全性对电的运行有着很大的影响。文章以量子保密通信技术在电力通信中的应用为出发点，给出了相应的架构设计原则，并为量子保密通信技术在北京城域配电自动化业务中的应用设计了相应的部署方案。该方案满足了电生产领域中不同的业务需求及高安全等级通信的需求，为类似应用场景提供了参考，并从电力业务应用的角度提出量子通信技术的发展方向。 0引言 近年来，陆续发生了乌克兰、以色列电受攻击等重大安全事件，预示金融、 电力、通信等涉及国家安全的信息基础设施面临着较大的风

2、险隐患与安全威胁。目前，电力通信络信息的传输安全主要使用经典保密通信模式或者专专用、内外隔离的策略，但各种加密方式的安全性仍然依托于密码算法的支撑，会话密钥被用在高级加密标准(advanced encryption standard，aes）、数据加密标准（data encryption standard，des）等加密算法中，以保证通信的机密性、完整性。但是这种安全性是有条件的，它的密钥预交换共享过程依赖于计算复杂度，随着计算机处理能力的提升，基于传统安全加密机制的络传输设备也面临着被破解的风险，黑客攻击带来的风险巨大且与日俱增。而量子保密通信是在量子力学的基础上利用量子态的不确定性、不可分

3、割性和偏振性等性质，可以实现无条件安全通信。如果在电生产领域中建设量子保密通信络，则可以提高电中的通信信息安全。 本文首先对量子保密通信的原理进行了简单的介绍；然后就量子加密系统如何在电力通信中进行应用给出了具体的架构设计方案；接着结合北京电力公司的业务特点，设计了北京城区某区域重要供电节点的配电自动化业务的设计部署方案，为量子保密通信技术在电的实际应用提供参考；对量子保密通信技术未来的应用进行了展望。 1量子保密通信原理 量子保密通信过程中，发送方和接收方采用单光子的状态作为信息载体来建立密钥。由于单光子不可分割，窃听者无法将单光子分割成2部分，让其中一部分继续传送，而对另一部分进行状态测量

4、获取密钥信息。由于量子测不准原理和不可克隆定理，窃听者无论是对单光子状态进行测量或是试图复制之后再测量，都会对光子的状态产生扰动，从而使窃听行为暴露。数学上可以严格证明，若密钥是绝对保密的，且密钥长度与被传送的明文长度相等，那么通信双方的通信是绝对保密的。 量子保密通信是以量子密钥分发（quantum key distribution，qkd）为核心，基于量子不可克隆原理，通过单光子信号的量子通信协议和“一次一密”的方式，实现用户间无条件的安全通信，极大提高通信传输络的安全水平。bb84 协议是最早提出的量子保密通信协议（见图1），是其他协议的基础，并且最接近实用化。 bb84协议中使用光子的

5、水平偏振态、垂直偏振态和45偏振态来实现编码。如图1所示，发送端alice主要由量子信号源、调制器、随机数发生器等部件构成，根据随机生成的二进制数串吧，生成不同的偏振态单光子作为发送的量子比特。接收端bob通过量子信道接收单光子信号，随机选择基矢对光子进行测量，并将测量基矢通过经典信道告知alice，双方保留基矢相同的部分；最后，双方再通过公开一段量子密钥，来估计误码率和可能的窃听者eve的存在，最终alice和bob共同产生量子密钥。 图1 bb84协议示意 2电力量子保密通信架构设计原则 电力通信作为与电共生并存的第二张实体络，承载着电力生产、调度、营销、管理等重要业务，是信息时代变革和重

6、塑电生产要素组合的重要部分，而量子保密通信技术作为目前最安全的通信加密体系，在电力通信中具有广阔的应用前景。但是电力通信较为复杂，在具体应用于某种业务时需要针对其特点进行多个方面的设计。 2.1业务流设计 在进行业务流设计时，要考虑站点两边的设备类型、数据量大小、时延要求和数据量时间发布等方面的因素，针对站点不同的情况进行相应的设计。业务系统接入业务应用层，经过量子vpn关利用量子密钥进行加密处理后，通过利用国数据创建的ipsec隧道转发至对端，再经过量子vpn关的解密操作还原出未加密的真实数据，到达目的端。其中，需要在原有业务系统与关之间接入业务交换机，通过在业务交换机上创建vlan的方式旁

7、挂上量子vpn关，并将 原先的数据流到数据边缘设备调整为到量子vpn关加密后再转发至数据边缘设备即可。量子保密通信设备连接示意如图2所示。 图2 量子保密通信设备连接示意 2.2vpn隧道设计 量子vpn关之间通过国数据建立点对点ipsec隧道。使用隧道模式，在隧道中传输的业务数据需要经过量子密钥的对称加密处理，而量子密钥的获取是通过量子vpn关与qkd的即时交互获得。 隧道模式的工作原理是先将ip数据包整个进行加密后再加上esp的头和新的ip头，这个新的ip头中包含有隧道源/宿的地址。当通过esp隧道的数据包到达目的关（即隧道的另一端）后，利用esp头中的安全相关信息对加密过的原ip包进行安

8、全相关处理，将已还原的高层数据按原ip头标明的ip地址递交，以完成信源-信宿之间的安全传输。因此，基于此原理，隧道模式常用于关与关之间保护的内部络，同时亦可用于主机与关之间的安全保护。而传输模式的原理是在ip包的包头与数据包之间插入一个esp头，并将数据包进加密，然后在公上传输。这种模式的特点是保留了原ip头信息，即信源/宿地址不变，所有安全相关信息包括在esp头中。esp传输模式适用于主机与主机的安全通信。在设计vpn隧道时，需考虑节点间通信需求，是单个主站对应多个子站，还是多个主站对用多个子站，或是子站间也有通信的需求。 2.3量子通道设计 量子密钥层的量子密钥生成与管理终端（发送端/接收

9、端）之间的连接是通过独立的单芯裸光纤，中间可以进行跳接，但不能经过传输或光电转换设备，否则会影响光量子信号。同时，考虑到量子线路的稳定成码条件，对qkd与qkd 之间的距离和光纤衰耗也有一定的要求，建议通信距离小于50km，光纤衰减小于13db。如果通信距离在50km内宜选择常规型设备，50-80km之间选择加长型设备。此外，还要综合线路的隧道和架空等环境条件，架空情况下对风力和气温等不可控环境因素的影响，也会给量子线路的成码率产生影响，所以需要根据实际链路状况选择是否使用带有快速偏振反馈功能的设备进行纠偏或是采用基于相位调制的量子加密设备。 3北京城域配电自动化业务部署方案 北京城域电力量子

10、通信保密技术在电生产领域的综合示范应用项目基于目前已有的北京电力通信资源，以及“北京城域电力量子保密组”基础络建设，通过选取合适的试验应用站点、线路和业务，开展实际环境下的示范应用建设。选取北京城区公司与某区域重要供电节点之间的配电自动化业务，部署量子保密通信系统，实现配电自动化业务数据的量子保密通信传输，验证量子保密通信系统在调度数据上的应用效果。配电自动化业务架构如图3所示。 图3 配电自动化业务架构 由于该配电自动化业务只涉及2个站点之间的通信，所以其vpn隧道的设计采用点对点的隧道设计模型，且节点距离较近。络的量子通道采用管道光纤，量子通信设备采用常规型设备，不需要设置中继节点。另外，

11、光纤属于非架空型光缆，因此采用基于偏振调制的设备且不需要加入偏振反馈模块。 配电自动化组结构复杂，跨调度数据和epon接入。目前epon段络难以提供空余裸纤给量子保密系统，因此将保密段设置在调度数据边缘，即城区公司主站侧和某区域节点调度数据边缘。城区公司侧，量子vpn关物理旁接、逻辑串接人业务核心交换机，通过在核心交换机上配置路由实现数据选路。如还有其他业务，也可采用城区公司侧方案旁接。配电自动化数据通过量子vpn关进行隧道传输，到达对端量子vpn关后，经对端量子vpn关解密后转发至目标设备，实现城区公司和某区域重要供电节点之间的配电自动化业务的量子保密通信数据传输。 4量子保密通信技术应用展

12、望 量子保密通信技术作为信息通信领域重要的发展方向，探索其在电力系统中的应用是非常有意义和前瞻性的工作。但目前量子保密通信技术的应用还存在着一定的局限性，未来还可以在以下几个方面进行研究和发展。 1）长距离量子保密通信研究。目前量子信号在商用光纤上的成码率、传输距离、抗干扰性能都有一定局限性，一般最大传输距离为50-80km，无法满足长距离加密通信的需求。多家科研机构正在研制能够在光纤中进行长距离密钥分发的量子设备，同时在未来可以考虑通过发射量子卫星实现天地一体的量子密钥分发，从而使量子保密通信的通信距离增加。 2）复杂环境下进行量子保密通信。量子密钥分发主要使用独立光传输通道，涉及通信络改造

13、。目前电力通信光缆部分为架空线路，相对于地埋光缆，量子信号在光缆中传输更易受环境干扰，对量子密钥的生成有一定的影响。因此，针对电力架空线路及实际应用环境，可以在量子保密通信系统中加入偏振反馈装置，然后设计相应的部署方案，使量子保密技术能够适应电力系统各种复杂的环境。 3）能对多种信息格式进行加密。现有的量子保密通信密通信应用体系主要是与ipsec vpn技术相配合，对ip数据包进行加解密操作，对非ip数据尚无成熟产品方案，而电中纵差设备间的通信未采用ip包的方式，无法直接使用现有的量子加密体系。未来可以对量子加密系统进行改进，使其对各种类型的业务数据都能够进行加密。 5结语 随着信息技术的演进和攻击技术的发展，传统的