變電站量子通信模型、量子密鑰分發(fā)中心及模型實(shí)現(xiàn)方法技術(shù)

本發(fā)明專利技術(shù)涉及一種變電站量子通信模型、基于模型的量子密鑰分發(fā)中心及模型實(shí)現(xiàn)方法，通信模型為量子密鑰分配系統(tǒng)，包括量子密鑰分發(fā)QKD光學(xué)設(shè)備、密鑰提取模塊和密鑰控制模塊；密鑰控制模塊、密鑰提取模塊和量子密鑰分發(fā)QKD光學(xué)設(shè)備依次連接；量子密鑰分發(fā)中心包括兩級(jí)；一級(jí)量子密鑰分發(fā)中心QKDC配置在控制中心中，二級(jí)量子密鑰分發(fā)中心QKDC配置在變電站的控制器端；本發(fā)明專利技術(shù)通過(guò)定義兼容量子密鑰分配協(xié)議的密碼套件，設(shè)計(jì)安全密鑰分配方法，提高密鑰分配的安全性和效率，增強(qiáng)了數(shù)據(jù)的安全傳輸，保證電力系統(tǒng)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定和安全。

【技術(shù)實(shí)現(xiàn)步驟摘要】
變電站量子通信模型、量子密鑰分發(fā)中心及模型實(shí)現(xiàn)方法
本專利技術(shù)涉及電力系統(tǒng)安全通信
，具體涉及一種變電站量子通信模型、基于模型的量子密鑰分發(fā)中心及模型實(shí)現(xiàn)方法。
技術(shù)介紹
由于計(jì)算機(jī)和通信網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)中的更為廣泛的應(yīng)用，其信息通信系統(tǒng)開(kāi)放性所導(dǎo)致的負(fù)面影響也開(kāi)始波及到電力系統(tǒng)，隨著公網(wǎng)上的黑客和病毒的日益盛行，國(guó)內(nèi)外電力系統(tǒng)通信網(wǎng)絡(luò)也屢次遭到來(lái)自外部的惡意攻擊；與此同時(shí)，電力工業(yè)市場(chǎng)化改革使得具備潛在攻擊能力的內(nèi)部用戶大大增加，內(nèi)部攻擊威脅不容忽視。因此，如何有效保障電力調(diào)度控制系統(tǒng)以及通信信息安全已經(jīng)是一項(xiàng)非常重要而急迫的任務(wù)。在電力系統(tǒng)中，信息安全防護(hù)體系已經(jīng)基本形成，各種信息安全技術(shù)已經(jīng)廣泛應(yīng)用于電力自動(dòng)化系統(tǒng)。加密技術(shù)作為一種最簡(jiǎn)單、常用的方式，可以有效的減少系統(tǒng)安全漏洞所帶來(lái)的安全問(wèn)題。目前，對(duì)于實(shí)時(shí)性和安全性要求高的關(guān)鍵數(shù)據(jù)，如，四遙數(shù)據(jù)(遙測(cè)、遙信、遙控、遙調(diào))，基本上沒(méi)有采取加密措施，為了保證其安全性，通常采用網(wǎng)絡(luò)隔離或者虛擬專網(wǎng)(VPN)的方式。隨著智能電網(wǎng)的建設(shè)和發(fā)展，網(wǎng)絡(luò)數(shù)據(jù)流量的膨脹，基于TCP/IP的網(wǎng)絡(luò)通信方式將成為今后的主要電力系統(tǒng)通信方式。由于電力系統(tǒng)數(shù)據(jù)通信網(wǎng)仍然以計(jì)算機(jī)網(wǎng)絡(luò)為基礎(chǔ)，基于TCP/IP的網(wǎng)絡(luò)本身并沒(méi)有考慮安全問(wèn)題，即使與Internet隔離，也并不能防范來(lái)自內(nèi)部的攻擊，電力系統(tǒng)數(shù)據(jù)通信安全的威脅仍然存在。隨著變電站遠(yuǎn)程維護(hù)、遠(yuǎn)程控制技術(shù)的發(fā)展，變電站與調(diào)度控制中心的遠(yuǎn)程數(shù)據(jù)通信安全面臨嚴(yán)峻的挑戰(zhàn)。在TCP/IP網(wǎng)絡(luò)通信方式下，如果電力系統(tǒng)一些關(guān)鍵數(shù)據(jù)仍以明文的方式傳輸?shù)脑挘瑢⑹请娏ο到y(tǒng)安全穩(wěn)定運(yùn)行的一個(gè)重大安全隱患。任何入侵?jǐn)?shù)據(jù)通信網(wǎng)絡(luò)者，一旦對(duì)關(guān)鍵數(shù)據(jù)進(jìn)行截獲、篡改、偽造，將會(huì)造成開(kāi)關(guān)誤動(dòng)、拒動(dòng)，上傳數(shù)據(jù)紊亂和整定參數(shù)的錯(cuò)等，引發(fā)重大事故。目前，國(guó)際電工委員會(huì)(IEC)第15工作組制定的電力系統(tǒng)數(shù)據(jù)和通信安全標(biāo)準(zhǔn)IEC62351-3提出采用安全套接層(SSL)協(xié)議滿足數(shù)據(jù)通信安全要求，包括實(shí)現(xiàn)身份認(rèn)證，保證完整性和機(jī)密性等。然而，SSL支持的是基于計(jì)算安全的傳統(tǒng)密碼算法，如，RSA和DES等。一旦新型的量子計(jì)算機(jī)能夠替代現(xiàn)有的計(jì)算設(shè)備，現(xiàn)有的加密技術(shù)將不再安全。近年來(lái)的研究工作表明[1-3]，大數(shù)質(zhì)因子的快速分解意味著廣泛應(yīng)用于密碼通信中的公鑰體制RSA算法將失去意義。1996年Grover提出量子快速搜索算法，能夠快速尋找到DES加密算法的密鑰，使得DES算法也不再具有計(jì)算安全性。因而必須探索更加安全的加密技術(shù)，以適應(yīng)量子計(jì)算機(jī)存在條件下的信息技術(shù)的發(fā)展。密鑰分配是加密技術(shù)亟需解決的問(wèn)題，存在兩種方案：一種是數(shù)學(xué)方案，即，公鑰密碼算法；另一種是物理方案，即，利用量子特性實(shí)現(xiàn)的量子密碼。量子加密是一種前沿性的信息安全技術(shù)，與已有的安全技術(shù)相比，它從物理機(jī)制上嚴(yán)格保證了加密過(guò)程的安全性，是信息安全領(lǐng)域中的一項(xiàng)新的理論和技術(shù)。量子密碼體制與經(jīng)典密碼體制相比，其優(yōu)點(diǎn)在于量子密碼體制提供了可證明的安全性和對(duì)外界干擾行為的檢測(cè)能力。檢測(cè)方法是：在獲取密鑰時(shí)利用量子力學(xué)原理對(duì)合法通信者間發(fā)送的量子態(tài)的擾動(dòng)情況進(jìn)行測(cè)試，具體做法依賴于相應(yīng)的量子密鑰分配協(xié)議。目前智能變電站通信系統(tǒng)中數(shù)據(jù)加密存在的安全風(fēng)險(xiǎn)問(wèn)題。
技術(shù)實(shí)現(xiàn)思路
針對(duì)目前智能變電站通信系統(tǒng)中數(shù)據(jù)加密存在的安全風(fēng)險(xiǎn)問(wèn)題，本專利技術(shù)提供一種通信模型、基于模型的量子密鑰分發(fā)中心及模型實(shí)現(xiàn)方法，本專利技術(shù)通過(guò)定義兼容量子密鑰分配協(xié)議的密碼套件，設(shè)計(jì)安全密鑰分配方法，提高密鑰分配的安全性和效率，增強(qiáng)了數(shù)據(jù)的安全傳輸，保證電力系統(tǒng)網(wǎng)絡(luò)運(yùn)行的穩(wěn)定和安全。本專利技術(shù)的目的是采用下述技術(shù)方案實(shí)現(xiàn)的：一種變電站量子安全通信模型，其改進(jìn)之處在于，所述量子安全通信模型為量子密鑰分配系統(tǒng)，所述量子密鑰分配系統(tǒng)配置在量子密鑰分發(fā)中心中，所述量子密鑰分配系統(tǒng)包括量子密鑰分發(fā)QKD光學(xué)設(shè)備、密鑰提取模塊和密鑰控制模塊；所述密鑰控制模塊、密鑰提取模塊和量子密鑰分發(fā)QKD光學(xué)設(shè)備依次連接；所述量子密鑰分配中心配置至少一套的量子密鑰分配系統(tǒng)。其中，所述量子密鑰分發(fā)QKD光學(xué)設(shè)備生成密鑰裸碼，并將密鑰裸碼傳送給密鑰提取模塊。其中，所述密鑰提取模塊與所述量子密鑰分發(fā)QKD光學(xué)設(shè)備對(duì)基，生成篩選密碼，并對(duì)所述篩選密碼進(jìn)行糾錯(cuò)，得到糾錯(cuò)密碼。其中，所述密鑰提取模塊對(duì)所述糾錯(cuò)密碼進(jìn)行保密放大后得到安全密鑰，并傳送給密鑰控制模塊。其中，所述密鑰控制模塊對(duì)所述安全密碼進(jìn)行管理。本專利技術(shù)基于另一目的提供的一種基于量子安全通信模型的量子密鑰分發(fā)中心，其改進(jìn)之處在于，所述量子密鑰分發(fā)中心包括兩級(jí)；所述一級(jí)量子密鑰分發(fā)中心QKDC配置在控制中心中，用于負(fù)責(zé)控制中心與變電站通信時(shí)的密鑰分發(fā)；所述二級(jí)量子密鑰分發(fā)中心QKDC配置在變電站的控制器端，用于：①在變電站與控制中心通信時(shí)，配合一級(jí)量子密鑰分發(fā)中心QKDC，進(jìn)行量子密鑰分發(fā)；②當(dāng)其中一個(gè)變電站的控制器與另一個(gè)變電站進(jìn)行通信時(shí)，將與另一個(gè)變電站的二級(jí)量子密鑰分發(fā)中心QKDC配合，進(jìn)行量子密鑰分發(fā)；③二級(jí)量子密鑰分發(fā)中心QKDC通過(guò)信道對(duì)變電站內(nèi)智能電子設(shè)備進(jìn)行量子密鑰分發(fā)。其中，所述量子密鑰分發(fā)中心包括密鑰控制模塊，所述密鑰控制模塊存儲(chǔ)安全密鑰并對(duì)安全密鑰進(jìn)行管理。其中，所述控制中心和變電站之間進(jìn)行數(shù)據(jù)通信，以及兩兩變電站之間進(jìn)行數(shù)據(jù)通信時(shí)基于TCP/IP協(xié)議棧，根據(jù)電力系統(tǒng)數(shù)據(jù)和通信安全標(biāo)準(zhǔn)IEC62351-3，采用量子密鑰分發(fā)QKD的SSL協(xié)議中的握手協(xié)議滿足數(shù)據(jù)通信安全要求。其中，進(jìn)行所述量子密鑰分發(fā)QKD的SSL協(xié)議中的握手協(xié)議時(shí)包括下述步驟：(1)客戶端方和服務(wù)器方進(jìn)行身份認(rèn)證；(2)所述客戶端方和服務(wù)器方協(xié)商初始密鑰；(3)確定客戶端方和服務(wù)器方量子密鑰分發(fā)QKD在信道中通信的加密算法和加密密鑰；(4)所述客戶端方和服務(wù)器方向其所在的量子密鑰分發(fā)中心QKDC提出申請(qǐng)，完成量子密鑰分發(fā)；(5)量子密鑰分發(fā)中心QKDC將由量子密鑰分發(fā)生成的初始密鑰發(fā)送給變電站內(nèi)加密的通信模塊或設(shè)備，通信設(shè)備根據(jù)之前協(xié)商的算法生成會(huì)話密鑰，以及通信的各種密鑰，包括服務(wù)器加密密鑰、客戶端加密密鑰、服務(wù)器MAC密鑰和客戶端MAC密鑰；通信模塊或設(shè)備指的是指能夠?qū)崿F(xiàn)變電站通信功能的模塊；包括：控制中心通信模塊、變電站控制器通信模塊、智能電子設(shè)備IED通信模塊；(6)所述客戶端方和服務(wù)器方互相發(fā)出Finished消息，表示握手協(xié)議結(jié)束。其中，所述步驟(1)中，客戶端方向服務(wù)器方發(fā)送ClientHello信息；所述ClientHello信息包含客戶端方支持的密碼套件和證書；所述服務(wù)器方向客戶端方發(fā)送ServerHello信息；所述ServerHello信息包含服務(wù)器方的密碼套件和證書；完成客戶端方和服務(wù)器方進(jìn)行身份認(rèn)證。本專利技術(shù)基于另一目的提供的一種智能變電站量子安全通信模型的實(shí)現(xiàn)方法，其改進(jìn)之處在于，所述方法包括下述步驟：A、所述量子密鑰分發(fā)QKD光學(xué)設(shè)備接收量子比特，并生成密鑰裸碼；B、所述密鑰提取模塊接收裸碼，并與所述量子密鑰分發(fā)QKD光學(xué)設(shè)備對(duì)基，生成篩選密碼；C、所述密鑰提取模塊與所述量子密鑰分發(fā)QKD光學(xué)設(shè)備對(duì)篩選密碼糾錯(cuò)，生成糾錯(cuò)密碼；D、所述密鑰提取模塊對(duì)糾錯(cuò)密碼進(jìn)行保密放大，生成安全密鑰；E、提交安全密鑰。其中，本文檔來(lái)自技高網(wǎng)...

【技術(shù)保護(hù)點(diǎn)】
一種變電站量子安全通信模型，其特征在于，所述量子安全通信模型為量子密鑰分配系統(tǒng)，所述量子密鑰分配系統(tǒng)配置在量子密鑰分發(fā)中心中，所述量子密鑰分配系統(tǒng)包括量子密鑰分發(fā)QKD光學(xué)設(shè)備、密鑰提取模塊和密鑰控制模塊；所述密鑰控制模塊、密鑰提取模塊和量子密鑰分發(fā)QKD光學(xué)設(shè)備依次連接；所述量子密鑰分配中心配置至少一套的量子密鑰分配系統(tǒng)。

【技術(shù)特征摘要】
1.一種基于量子安全通信模型的量子密鑰分發(fā)中心，其特征在于，所述量子安全通信模型為量子密鑰分配系統(tǒng)，所述量子密鑰分配系統(tǒng)配置在量子密鑰分發(fā)中心中，所述量子密鑰分配系統(tǒng)包括量子密鑰分發(fā)QKD光學(xué)設(shè)備、密鑰提取模塊和密鑰控制模塊；所述密鑰控制模塊、密鑰提取模塊和量子密鑰分發(fā)QKD光學(xué)設(shè)備依次連接；所述量子密鑰分發(fā)中心配置至少一套的量子密鑰分配系統(tǒng)；所述量子密鑰分發(fā)QKD光學(xué)設(shè)備生成密鑰裸碼，并將密鑰裸碼傳送給密鑰提取模塊；所述密鑰提取模塊與所述量子密鑰分發(fā)QKD光學(xué)設(shè)備對(duì)基，生成篩選密碼，并對(duì)所述篩選密碼進(jìn)行糾錯(cuò)，得到糾錯(cuò)密碼；所述密鑰提取模塊對(duì)所述糾錯(cuò)密碼進(jìn)行保密放大后得到安全密鑰，并傳送給密鑰控制模塊；所述密鑰控制模塊對(duì)所述安全密鑰進(jìn)行管理；所述量子密鑰分發(fā)中心包括兩級(jí)；一級(jí)量子密鑰分發(fā)中心QKDC配置在控制中心中，用于負(fù)責(zé)控制中心與變電站通信時(shí)的密鑰分發(fā)；二級(jí)量子密鑰分發(fā)中心QKDC配置在變電站的控制器端，用于：①在變電站與控制中心通信時(shí)，配合一級(jí)量子密鑰分發(fā)中心QKDC，進(jìn)行量子密鑰分發(fā)；②當(dāng)其中一個(gè)變電站的控制器與另一個(gè)變電站進(jìn)行通信時(shí)，將與另一個(gè)變電站的二級(jí)量子密鑰分發(fā)中心QKDC配合，進(jìn)行量子密鑰分發(fā)；③二級(jí)量子密鑰分發(fā)中心QKDC通過(guò)信道對(duì)變電站內(nèi)智能電子設(shè)備進(jìn)行量子密鑰分發(fā)。2.如權(quán)利要求1所述的量子密鑰分發(fā)中心，其特征在于，所述量子密鑰分發(fā)中心包括密鑰控制模塊，所述密鑰控制模塊存儲(chǔ)安全密鑰并對(duì)安全密鑰進(jìn)行管理。3.如權(quán)利要求1所述的量子密鑰分發(fā)中心，其特征在于，所述控制中心和變電站之間進(jìn)行數(shù)據(jù)通信，以及兩兩變電站之間進(jìn)行數(shù)據(jù)通信時(shí)基于TCP/IP協(xié)議棧，根據(jù)電力系統(tǒng)數(shù)據(jù)和通信安全標(biāo)準(zhǔn)IEC62351-3，采用量子密鑰分發(fā)QKD的SSL協(xié)議中的握手協(xié)議滿足數(shù)據(jù)通信安全要求。4.如權(quán)利要求3所述的量子密鑰分發(fā)中心，其特征在于，進(jìn)行所述量子密鑰分發(fā)QKD的SSL協(xié)議中的握手協(xié)議時(shí)包括下述步驟：(1)客戶端方和服務(wù)器方進(jìn)行身份認(rèn)證；(2)所述客戶端方和服務(wù)器方協(xié)商初始密鑰；(3)確定客戶端方和服務(wù)器方量子密鑰分發(fā)QKD在信道中通信的加密算法和加密密鑰；(4)所述客戶端方和服務(wù)器方向其所在的量子密鑰分發(fā)中心QKDC提出申請(qǐng)，完成量子密鑰分發(fā)；(5)量子密鑰分發(fā)中心QKDC...

【專利技術(shù)屬性】
技術(shù)研發(fā)人員：周靜，盧立峰，張睿汭，雷煜卿，盧錕，
申請(qǐng)(專利權(quán))人：中國(guó)電力科學(xué)研究院，國(guó)家電網(wǎng)公司，
類型：發(fā)明
國(guó)別省市：