(1山西益通电网保护自动化有限公司山西太原030001;2佛山电力设计院有限公司广东佛山528000)
摘要:山西电力数据通信网采用MPLSVPN传送电网业务,内部缺乏对数据的加密处理,存在安全隐患。本文探讨了量子密钥分配(QKD)机制、协议、量子态的编码方式,并结合电力通信网的实际特点,分析了架空光缆摆动、色散、损耗、传输距离对QKD的影响,给出了山西电力通信数据网安全传输方案,为量子密钥分配技术在电力数据通信网的应用提供参考依据。
关键词:量子通信;网络安全;电力数据通信网
0引言
目前山西电力数据通信网采用MPLS-VPN技术传送各类业务数据[1],但MPLSVPN只能通过路由隔离、地址隔离、端口隔离等手段阻止网络攻击和病毒,对数据本身并不提供加密的防护手段,在路由信息交换及数据传输时漏洞较大,存在一定的安全风险。
量子通信是近二十年发展起来的利用海森堡不确定原理及量子纠缠效应进行信息保密传送的通信方式。量子密钥分配技术可以为分隔两地的用户提供无条件安全的共享密钥,在根本上保证了密钥传送的安全性[2-3],在电力信息通信安全领域有着广阔的应用前景[4]。
本文在国网山西省电力公司数据通信网基础上,结合承载电力数据通信网的电力线路架空光缆的实际运行情况,提出了基于量子密钥分配技术的网络安全传送方案,为电力系统信息的安全传输提供参考依据。
1山西电力通信系统对QKD系统要求
电力通信网络主要使用OPGW和ADSS电力特种光缆来传输电力系统相关的数据。相比于地埋光缆,架空电力OPGW和ADSS光缆会面临温度变化、风振、舞动和高压等复杂的电力光缆架空环境,导致光缆的物理特性会发生变化。因此,在以电力特种光缆承载的通信网中实现量子密钥分配时,对系统的编码方式、系统实现、同步模式等方面均提出了不同的要求[5]。
1.1架空光缆对QKD编码方式的影响
在电力架空光缆中,偏振态的变化速率通常在秒量级,特殊情况甚至更快,例如风振的频率可能达到上百赫兹,这将直接导致偏振编码系统无法运行,需要采用基于相位的编码方式。由于电力架空光缆非本征双折射的快速变化会使得在其中传输量子信号偏振态的快速变化,无法保证通信两端不等臂干涉仪完全对称,因此,基于Mach-Zehnder干涉环的相位编码系统在电力架空光缆中无法稳定运行。
1.2光纤损耗与色散对QKD系统的影响
由于单光子探测器的暗计数和光纤传输线路上的随机应力等不理想因素的影响,需要对光纤量子保密通信系统进行误码纠错,这一过程将会降低密钥的生成率。因此,要提高传输距离或密钥生成率就必须降低误码率。使用G.652光纤,在1550nm工作波长配合色散补偿模块,能够有效提高QKD系统的传输距离,满足QKD系统长距传输的需求。
2量子密钥分配技术在山西电力数据通信网中的应用
2.1山西电力数据通信网现状
国网山西电力数据通信网目前采用全PE的模式,覆盖了省公司、地市公司、直属单位、35kV及以上变电站、营业厅和供电所,全网共计2500余个节点。域内IGP采用ISIS协议,BGP采用G+V形式,域间采用EBGP的Option-C模式对接。
2.2山西电力数据通信网安全需求
国网山西电力数据通信网在运行效率方面基本能保证网络延迟最大值在30ms以内,网络带宽最小为2M。目前各类影响网络健康稳定发展的因素中安全最为突出。目前整个MPLSVPN网络上虽然部署了多个访控列表,多种安全认证手段,但基本都是防止外部人员破坏网络或窃取数据,对于内部人员,缺乏行之有效的防控措施,亟需在数据包传递过程中采用加密的形式,在数据包被截获后也不涉及信息泄露。
利用量子密钥分配技术来提升的山西电力数据通信网安全性。量子密钥可以作为身份认证的认证密钥使用、也可以用作安全连接的主密钥和数据传输的会话密钥。在基于的电力数据通信网络中引入量子密码网络,使用量子密钥设备为VPN提供量子密钥。使用额外的消息协商过程为通信双方协商量子密钥相关信息。
2.3应用方案
在MPLPVPN中引入IPSec协议。在接入网边缘路由器(CE)端用IPSec协议对数据进行加密,在骨干网边缘路由器(PE)端对数据进行封装处理,为提高数据处理效率,仅使用IPSec的加密功能,对进出MPLSVPN的数据包进行加密解密处理。同时使用量子密钥分配技术来传输密钥。信息发送端把量子密钥传送给接收端,将该量子态携带的信息分为经典信息和量子信息两部分,分别经由经典信道和量子信道传送给接收端。
首先利用QDK系统制备量子密钥,然后利用ESP协议在客户路由器端对数据包进行加密,在MPLS边缘路由器端对数据进行封装。
其加密解密处理过程如下:
(1)由工作主机将数据包发送至CE,用户路由器CE向量子QDK终端请求生成量子密钥;
(2)利用QKD系统制备量子密钥,通过可信中继完成对密钥的安全传送;
(3)通过ESP协议用生成好的量子密钥对数据包进行加密操作;
(3)加上ESP头的数据包由CE路由器传送到边缘路由器PE;
(4)通过PE路由器、P路由器建立MPLS隧道,将数据发送到目的PE;
(5)目的PE路由器去掉数据包标签,并将数据包转发给和它相连的CE;
(6)使用QKD制备的量子密钥对数据进行解密,并发送给目的主机。
3结论
本文将量子密钥分配技术应用于山西电力数据通信网,分析了在电力特殊的传输环境中,各种因素对量子密钥分配技术的影响,并给出了相应的解决办法。将IPSec协议中的加密机制引入MPLSVPN网络,利用IPSec在CE路由器端加密,在MPLS边缘路由器端进行数据封装的方法构建数据通信网VPN,通过QKD生成加密算法密钥,提高了电力数据通信网传输的安全性。接下来,可以考虑将QKD与ISAKMP进行整合,结合一次一密算法,为电力数据的安全传送提供保障。
参考文献
[1]段敬,张淑娟.山西电力骨干数据通信网优化方案研究[J].山西电力,2011,5(168):54-58.
[2]吴华,王向斌,潘建伟.量子通信现状与展望[J].中国科学:信息科学,2014,44(3):296-311.
[3]赖俊森,吴冰冰,汤瑞,等.量子通信应用现状及发展分析[J].电信科学,2016,32(3):123-129.
[4]张翼英,张素香.量子通信及其在电力通信的应用[J].电力信息与通信技术,2016,9(14):7-11.
[5]刘东.量子密码实际安全性与应用研究[D].中国科学技术大学,2014.男男女女女女不女
作者简介
王聪(1985—),女,山西运城人,2008年毕业于华北电力大学通信工程专业,工程师,从事电力系统通信运行维护管理工作。
孙菁(1986—),女,青海西宁人,2008年毕业于华北电力大学通信工程专业,工程师,从事电力系统通信规划设计工作。
陈莹(1976—),女,山西太原人,2003年毕业于华北电力大学通信工程专业,高级工程师,从事电力系统通信运行维护管理工作。