广东电网有限责任公司中山供电局 广东中山 528400
摘要:本文从电力二次系统安全防护的总体原则出发,简要介绍了目前电力系统典型的通信方式。通过对量子通信技术的概述,引出量子秘钥分配技术,并对量子秘钥分配系统进行了详细的技术说明。最后介绍了纵向加密认证网关与量子密钥分配终端之间通信接口的设计思路。虽然电力系统通信与量子通信技术的融合还有很长的道路要走,但是量子通信技术在电力系统通信中的应用前景值得期待。
关键词:量子通信,二次系统安全防护,量子密钥分配
0.引言
随着世界首颗量子科学实验卫星“墨子号”发射升空,量子通信技术被越来越多的人所了解。量子通信技术高度安全的特性恰恰符合电力系统对通信技术的要求。那么量子通信技术在电力系统通信中的应用前景如何?
1.电力系统典型通信方式
根据电监安全【2006】34号文“关于印发《电力二次系统安全防护总体方案》等安全防护方案的通知”的要求,目前电力系统已经建成比较完善的电力二次系统安全防护体系。电力二次系统安全防护可以通过有效的技术手段和管理措施保护电力实时闭环监控系统及调度数据网络的安全,在统一的安全策略下使重点保护的系统免受黑客、病毒、恶意代码等侵害,防止电力二次系统的安全事件引发或导致电力一次系统事故或大面积停电事故,保障电网安全稳定运行。电力二次系统安全防护的总体原则是“安全分区、网络专用、横向隔离、纵向认证”。
图1为目前220kV变电站典型通信结构图,该图示意了二次系统安全区域的划分、安全区域之间横向互联的逻辑结构、安全区域之间纵向互联的逻辑结构以及网络安全产品的总体部署。安全分区:根据系统中各业务的重要性和对一次系统的影响,变电站二次系统划分为生产控制大区和管理信息大区,生产控制大区又分为控制区(安全区Ⅰ)和非控制区(安全区Ⅱ),管理信息大区又分为生产管理区(安全区III)和管理信息区(安全区IV)。根据变电站电力二次系统和功能模块的特点、重要程度、数据流程和安全要求,按安全区划分原则,各业务系统或功能模块分别置于不同的安全区。横向隔离:各安全区内具有横向数据通信业务的业务系统汇集接入各自安全区的横向互联交换机,各安全区通过各自的横向互联交换机及相应安全面强度防护设备横向连接相关的安全区域,尤其是在生产控制大区与管理信息大区之间有实行有效安全隔离。纵向认证:各安全区内具有纵向数据通信业务的业务系统汇集接入各自安全区的纵向互联交换机,各安全区通过各自的纵向互联交换机及相应的安全防护设备纵向连接不同的广域网络,采用认证、加密、访问控制等技术实现生产控制数据的远程安全传输以及纵向边界的安全防护。
在电力系统二次安全防护体系中,负责纵向认证的设备是纵向加密认证网关,它需要使用对称密钥完成对通信数据的加解密处理。然而密钥存在被窃取的风险,给电力系统的安全稳定运行带来安全隐患。
图1 220kV变电站典型通信结构图
2.量子通信技术
广义的量子通信是指把量子态从一个地方传送到另一个地方,它包括量子隐形传态、量子密集编码、量子密钥分配。而狭义的量子通信则是指量子密钥分配或基于量子密钥分配的通信方式。量子密钥分配是密码学与量子力学结合的产物,它并不是传输密文,而只是负责产生和分发加密通信所需要的密钥。
量子密钥分配的主要思想是将密钥信息编码在量子态中。1984年,Bennet C.H.和Brassard G.在Wiesner的“电子钞票”启发下,首先提出了第一个量子密码分配协议——BB84协议。这种加密技术与现有的加密技术最大的区别就是能够抵挡任何的破译技术和计算工具的攻击。原因是它的安全性是建立在量子物理学中的定律之上,而不是靠某种复杂度高的运算,利用量子力学的Heisenberg原理以及不可克隆定理,在量子信道上建立密钥。从原理上保证了一旦存在窃听就必然被发现。换言之,一旦成功在通信双方建立了密钥,这组密钥就是安全的。从这个角度来看,量子密钥分配技术是到目前为止我们所知的最安全的加密技术,有着其他加密技术无法比拟的优势。
3.量子密钥分配系统
量子密钥分配系统由量子密钥分配(quantum key distribution,QKD)终端、密钥生成控制系统、经典交换机、全通型光量子交换机、经典信道和量子信道等部份组成,如图2 所示。量子密钥分配终端是产生和接收量子密钥的装置,一般由随机数发生器、弱脉冲激光器和高性能探测器组成。密钥生成控制系统用于下发控制指令给量子密钥分配终端设备,以完成对整个量子密钥分发系统的工作流程控制。全通型光量子交换机可以挂接多个量子密钥分配终端,实现量子密钥分配终端之间的通信,将量子密钥分配系统扩展成为多点量子通信网络,更好地满足现实通信系统的需求。量子信道一般利用传统的光纤信道。系统采用相位编码或偏振编码的量子密码方案,密钥信息被加载到光子的相位或偏振态这一物理量之上。量子密钥分发系统通过密钥输入和输出接口,对外部设备提供对称密钥服务,任何经典加密装置均可以通过此接口获取高安全性的对称密钥,以完成对通信数据的加解密处理,从而实现安全地通信。
图2 量子密钥分配系统
4.量子密钥分配应用于电力二次安全防护系统
量子密钥分配系统的引入,并不会改变原有电力系统通信网络结构,只需要对传统纵向加密认证网关扩展量子密钥输入接口即可。纵向加密认证网关需要在系统结构设计时加入与量子密钥分配终端的通信管理模块,用于同量子密钥分配终端的信息交换(如密钥接收、身份认证等),以及新接收到的量子密钥数据的保存等。通信管理模块的通信接口可以采用RJ45 、RS485、RS232等通用通信接口,但推荐使用RJ45 接口。该接口用于纵向加密认证网关与量子密钥分配终端之间量子密钥数据的传输。根据量子密钥更新周期或者其他量子密钥更新触发条件,触发纵向加密认证网关向量子密钥分配终端请求量子密钥,量子密钥分配终端生成量子密钥后再将其下发到纵向加密认证网关。纵向加密认证网关可自由选择使用量子密钥对数据进行加密或者使用传统密钥对数据进行加密,支持量子密钥的同时兼容传统密钥,允许量子密钥和传统密钥协同工作,因此使用量子密钥的同时并不影响传统密钥的使用。
5.结论
目前,量子通信技术仍处于不断发展完善的阶段,尚不具备大规模商业应用的技术条件。电力系统通信与量子通信技术的融合也还有很长的道路要走,比如量子密钥生成及获取方式、相关通信接口标准等。但是随着黑客攻击手段的不断发展,电力系统通信所面临的安全风险越来越多、越来越大、越来越难以预防。作为理论上绝对安全的通信方式,量子通信技术在电力系统通信中的应用前景值得期待。
参考文献
1.《南方电网电力二次系统安全防护技术实施规范》。
2.《广东电网电力二次系统安全防护实施规范》。
3.BENNET C.H.,BRASSARD G.Quantum Cryptography:Public Key Distribution and Coin Tossing[C],International Conference on Computers,Systems & Signal Processing. Bagalore,India:[s.n.],1984:175-179。
4.毛秀伟.电力数据通信综合传输平台探讨.电力系统通.2007,28(177):6-7。
论文作者:张宝坤
论文发表刊物:《电力技术》2016年第11期
论文发表时间:2017/3/1
标签:量子论文; 密钥论文; 分配论文; 纵向论文; 系统论文; 通信论文; 安全区论文; 《电力技术》2016年第11期论文;