0 引言

近年來,陸續(xù)發(fā)生了烏克蘭、以色列電網(wǎng)受攻擊等重大安全事件,預(yù)示金融、電力、通信等涉及國(guó)家安全的信息基礎(chǔ)設(shè)施面臨著較大的風(fēng)險(xiǎn)隱患與安全威脅^[1]。目前,電力通信網(wǎng)絡(luò)信息的傳輸安全主要使用經(jīng)典保密通信模式或者專網(wǎng)專用、內(nèi)外網(wǎng)隔離的策略,但各種加密方式的安全性仍然依托于密碼算法的支撐,會(huì)話密鑰被用在高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard,AES）、數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard,DES）等加密算法中,以保證通信的機(jī)密性、完整性^[2]。但是這種安全性是有條件的,它們的密鑰預(yù)交換共享過程依賴于計(jì)算復(fù)雜度,隨著計(jì)算機(jī)處理能力的提升,基于傳統(tǒng)安全加密機(jī)制的網(wǎng)絡(luò)傳輸設(shè)備也面臨著被破解的風(fēng)險(xiǎn),黑客攻擊帶來的風(fēng)險(xiǎn)巨大且與日俱增。而量子保密通信是在量子力學(xué)的基礎(chǔ)上利用量子態(tài)的不確定性、不可分割性和偏振性等性質(zhì),可以實(shí)現(xiàn)無條件安全通信^[3]。如果在電網(wǎng)生產(chǎn)領(lǐng)域中建設(shè)量子保密通信網(wǎng)絡(luò),則可以提高電網(wǎng)中的通信信息安全。

本文首先對(duì)量子保密通信的原理進(jìn)行了簡(jiǎn)單的介紹;然后就量子加密系統(tǒng)如何在電力通信網(wǎng)中進(jìn)行應(yīng)用給出了具體的架構(gòu)設(shè)計(jì)方案;接著結(jié)合北京電力公司的業(yè)務(wù)特點(diǎn),設(shè)計(jì)了北京城區(qū)某區(qū)域重要供電節(jié)點(diǎn)的配電自動(dòng)化業(yè)務(wù)的設(shè)計(jì)部署方案,為量子保密通信技術(shù)在電網(wǎng)的實(shí)際應(yīng)用提供參考;最后對(duì)量子保密通信技術(shù)未來的應(yīng)用進(jìn)行了展望。

 1 量子保密通信原理

在量子保密通信過程中,發(fā)送方和接收方采用單光子的狀態(tài)作為信息載體來建立密鑰。由于單光子不可分割,竊聽者無法將單光子分割成2部分,讓其中一部分繼續(xù)傳送,而對(duì)另一部分進(jìn)行狀態(tài)測(cè)量獲取密鑰信息。由于量子測(cè)不準(zhǔn)原理和不可克隆定理,竊聽者無論是對(duì)單光子狀態(tài)進(jìn)行測(cè)量或是試圖復(fù)制之后再測(cè)量,都會(huì)對(duì)光子的狀態(tài)產(chǎn)生擾動(dòng),從而使竊聽行為暴露^[4]。數(shù)學(xué)上可以嚴(yán)格證明,若密鑰是絕對(duì)保密的,且密鑰長(zhǎng)度與被傳送的明文長(zhǎng)度相等,那么通信雙方的通信是絕對(duì)保密的。

量子保密通信是以量子密鑰分發(fā)（Quantum Key Distribution,QKD）為核心,基于量子不可克隆原理,通過單光子信號(hào)的量子通信協(xié)議和“一次一密”的方式,實(shí)現(xiàn)用戶間無條件的安全通信,極大提高通信傳輸網(wǎng)絡(luò)的安全水平^[5]。BB84協(xié)議是最早提出的量子保密通信協(xié)議（見圖1）,是其他協(xié)議的基礎(chǔ),并且最接近實(shí)用化。

圖1 BB84協(xié)議示意Fig.1 Schematic diagram of BB84 protocol

BB84協(xié)議中使用光子的水平偏振態(tài)、垂直偏振態(tài)和±45°偏振態(tài)來實(shí)現(xiàn)編碼。如圖1所示,發(fā)送端Alice主要由量子信號(hào)源、調(diào)制器、隨機(jī)數(shù)發(fā)生器等部件構(gòu)成,根據(jù)隨機(jī)生成的二進(jìn)制數(shù)串,生成不同的偏振態(tài)單光子作為發(fā)送的量子比特。接收端Bob通過量子信道接收單光子信號(hào),隨機(jī)選擇基矢對(duì)光子進(jìn)行測(cè)量,并將測(cè)量基矢通過經(jīng)典信道告知Alice,雙方保留基矢相同的部分;最后,雙方再通過公開一段量子密鑰,來估計(jì)誤碼率和可能的竊聽者Eve的存在,最終Alice和Bob共同產(chǎn)生量子密鑰^[6]。

 2 電力量子保密通信網(wǎng)架構(gòu)設(shè)計(jì)原則

電力通信網(wǎng)作為與電網(wǎng)共生并存的第二張實(shí)體網(wǎng)絡(luò),承載著電力生產(chǎn)、調(diào)度、營(yíng)銷、管理等重要業(yè)務(wù),是信息時(shí)代變革和重塑電網(wǎng)生產(chǎn)要素組合的重要部分,而量子保密通信技術(shù)作為目前最安全的通信加密體系,在電力通信網(wǎng)中具有廣闊的應(yīng)用前景^[7]。但是電力通信網(wǎng)較為復(fù)雜,在具體應(yīng)用于某種業(yè)務(wù)時(shí)需要針對(duì)其特點(diǎn)進(jìn)行多個(gè)方面的設(shè)計(jì)。

2.1 業(yè)務(wù)流設(shè)計(jì)

在進(jìn)行業(yè)務(wù)流設(shè)計(jì)時(shí),要考慮站點(diǎn)兩邊的設(shè)備類型、數(shù)據(jù)量大小、時(shí)延要求和數(shù)據(jù)量時(shí)間發(fā)布等方面的因素,針對(duì)站點(diǎn)不同的情況進(jìn)行相應(yīng)的設(shè)計(jì)。業(yè)務(wù)系統(tǒng)接入業(yè)務(wù)應(yīng)用層,經(jīng)過量子VPN網(wǎng)關(guān)利用量子密鑰進(jìn)行加密處理后,通過利用國(guó)網(wǎng)數(shù)據(jù)網(wǎng)創(chuàng)建的IPSec隧道轉(zhuǎn)發(fā)至對(duì)端,再經(jīng)過量子VPN網(wǎng)關(guān)的解密操作還原出未加密的真實(shí)數(shù)據(jù),到達(dá)目的
端^[8]。其中,需要在原有業(yè)務(wù)系統(tǒng)與網(wǎng)關(guān)之間接入業(yè)務(wù)交換機(jī),通過在業(yè)務(wù)交換機(jī)上創(chuàng)建VLAN的方式旁掛上量子VPN網(wǎng)關(guān),并將原先的數(shù)據(jù)流到數(shù)據(jù)網(wǎng)邊緣設(shè)備調(diào)整為到量子VPN網(wǎng)關(guān)加密后再轉(zhuǎn)發(fā)至數(shù)據(jù)網(wǎng)邊緣設(shè)備即可^[9]。量子保密通信設(shè)備連接示意如圖2所示。

圖2 量子保密通信設(shè)備連接示意Fig.2 Connection diagram of quantum private communication equipment

2.2 VPN隧道設(shè)計(jì)

量子VPN網(wǎng)關(guān)之間通過國(guó)網(wǎng)數(shù)據(jù)網(wǎng)建立點(diǎn)對(duì)點(diǎn)的IPSec隧道。使用隧道模式,在隧道中傳輸?shù)臉I(yè)務(wù)數(shù)據(jù)需要經(jīng)過量子密鑰的對(duì)稱加密處理,而量子密鑰的獲取是通過量子VPN網(wǎng)關(guān)與QKD的即時(shí)交互獲得^[10]。

隧道模式的工作原理是先將IP數(shù)據(jù)包整個(gè)進(jìn)行加密后再加上ESP的頭和新的IP頭,這個(gè)新的IP頭中包含有隧道源/宿的地址。當(dāng)通過ESP隧道的數(shù)據(jù)包到達(dá)目的網(wǎng)關(guān)（即隧道的另一端）后,利用ESP頭中的安全相關(guān)信息對(duì)加密過的原IP包進(jìn)行安全相關(guān)處理,將已還原的高層數(shù)據(jù)按原IP頭標(biāo)明的IP地址遞交,以完成信源—信宿之間的安全傳輸^[11]。因此,基于此原理,隧道模式常用于網(wǎng)關(guān)與網(wǎng)關(guān)之間保護(hù)的內(nèi)部網(wǎng)絡(luò),同時(shí)亦可用于主機(jī)與網(wǎng)關(guān)之間的安全保護(hù)。而傳輸模式的原理是在IP包的包頭與數(shù)據(jù)包之間插入一個(gè)ESP頭,并將數(shù)據(jù)包進(jìn)行加密,然后在公網(wǎng)上傳輸。這種模式的特點(diǎn)是保留了原IP頭信息,即信源/宿地址不變,所有安全相關(guān)信息包括在ESP頭中。ESP傳輸模式適用于主機(jī)與主機(jī)的安全通信^[12]。在設(shè)計(jì)VPN隧道時(shí),需要考慮節(jié)點(diǎn)間通信需求,是單個(gè)主站對(duì)應(yīng)多個(gè)子站,還是多個(gè)主站對(duì)應(yīng)多個(gè)子站,或是子站間也有通信的需求。

2.3 量子通道設(shè)計(jì)

量子密鑰層的量子密鑰生成與管理終端（發(fā)送端／接收端）之間的連接是通過獨(dú)立的單芯裸光纖,中間可以進(jìn)行跳接,但不能經(jīng)過傳輸或光電轉(zhuǎn)換設(shè)備,否則會(huì)影響光量子信號(hào)。同時(shí),考慮到量子線路的穩(wěn)定成碼條件,對(duì)QKD與QKD之間的距離和光纖衰耗也有一定的要求,建議通信距離小于50 km,光纖衰減小于13 dB^[13]。如果通信距離在50 km內(nèi)宜選擇常規(guī)型設(shè)備,50~80 km之間選擇加長(zhǎng)型設(shè)備。此外,還要綜合線路的隧道和架空等環(huán)境條件,架空情況下對(duì)風(fēng)力和氣溫等不可控環(huán)境因素的影響,也會(huì)給量子線路的成碼率產(chǎn)生影響,所以需要根據(jù)實(shí)際鏈路狀況選擇是否使用帶有快速偏振反饋功能的設(shè)備進(jìn)行糾偏或是采用基于相位調(diào)制的量子加密設(shè)備。

 3 北京城域配電自動(dòng)化業(yè)務(wù)部署方案

北京城域電力量子通信保密技術(shù)在電網(wǎng)生產(chǎn)領(lǐng)域的綜合示范應(yīng)用項(xiàng)目基于目前已有的北京電力通信網(wǎng)資源,以及“北京城域電力量子保密組網(wǎng)”基礎(chǔ)網(wǎng)絡(luò)建設(shè),通過選取合適的試驗(yàn)應(yīng)用站點(diǎn)、線路和業(yè)務(wù),開展實(shí)際環(huán)境下的示范應(yīng)用建設(shè)。選取北京城區(qū)公司與某區(qū)域重要供電節(jié)點(diǎn)之間的配電自動(dòng)化業(yè)務(wù),部署量子保密通信系統(tǒng),實(shí)現(xiàn)配電自動(dòng)化業(yè)務(wù)數(shù)據(jù)的量子保密通信傳輸,驗(yàn)證量子保密通信系統(tǒng)在調(diào)度數(shù)據(jù)網(wǎng)上的應(yīng)用效果。配電自動(dòng)化業(yè)務(wù)架構(gòu)如圖3所示。

圖3 配電自動(dòng)化業(yè)務(wù)架構(gòu)Fig.3 Architecture diagram of distribution automation

由于該配電自動(dòng)化業(yè)務(wù)只涉及2個(gè)站點(diǎn)之間的通信,所以其VPN隧道的設(shè)計(jì)采用點(diǎn)對(duì)點(diǎn)的隧道設(shè)計(jì)模型,且節(jié)點(diǎn)距離較近。網(wǎng)絡(luò)的量子通道采用管道光纖,量子通信設(shè)備采用常規(guī)型設(shè)備,不需要設(shè)置中繼節(jié)點(diǎn)。另外,光纖屬于非架空型光纜,因此采用基于偏振調(diào)制的設(shè)備且不需要加入偏振反饋模塊。

配電自動(dòng)化組網(wǎng)結(jié)構(gòu)復(fù)雜,跨調(diào)度數(shù)據(jù)網(wǎng)和EPON接入網(wǎng)。目前EPON段網(wǎng)絡(luò)難以提供空余裸纖給量子保密系統(tǒng),因此將保密段設(shè)置在調(diào)度數(shù)據(jù)網(wǎng)邊緣,即城區(qū)公司主站側(cè)和某區(qū)域節(jié)點(diǎn)調(diào)度數(shù)據(jù)網(wǎng)邊緣。城區(qū)公司側(cè),量子VPN網(wǎng)關(guān)物理旁接、邏輯串接入業(yè)務(wù)核心交換機(jī),通過在核心交換機(jī)上配置路由實(shí)現(xiàn)數(shù)據(jù)選路。如還有其他業(yè)務(wù),也可采用城區(qū)公司側(cè)方案旁接。配電自動(dòng)化數(shù)據(jù)通過量子VPN網(wǎng)關(guān)進(jìn)行隧道傳輸,到達(dá)對(duì)端量子VPN網(wǎng)關(guān)后,經(jīng)對(duì)端量子VPN網(wǎng)關(guān)解密后轉(zhuǎn)發(fā)至目標(biāo)設(shè)備,實(shí)現(xiàn)城區(qū)公司和某區(qū)域重要供電節(jié)點(diǎn)之間的配電自動(dòng)化業(yè)務(wù)的量子保密通信數(shù)據(jù)傳輸。

 4 量子保密通信技術(shù)應(yīng)用展望

量子保密通信技術(shù)作為信息通信領(lǐng)域重要的發(fā)展方向,探索其在電力系統(tǒng)中的應(yīng)用是非常有意義和前瞻性的工作。但目前量子保密通信技術(shù)的應(yīng)用還存在著一定的局限性,未來還可以在以下幾個(gè)方面進(jìn)行研究和發(fā)展。

1）長(zhǎng)距離量子保密通信研究。目前量子信號(hào)在商用光纖上的成碼率、傳輸距離、抗干擾性能都有一定局限性,一般最大傳輸距離為50~80 km,無法滿足長(zhǎng)距離加密通信的需求^[14]。多家科研機(jī)構(gòu)正在研制能夠在光纖中進(jìn)行長(zhǎng)距離密鑰分發(fā)的量子設(shè)備,同時(shí)在未來可以考慮通過發(fā)射量子衛(wèi)星實(shí)現(xiàn)天地一體的量子密鑰分發(fā),從而使量子保密通信的通信距離增加。

2）復(fù)雜環(huán)境下進(jìn)行量子保密通信。量子密鑰分發(fā)主要使用獨(dú)立光傳輸通道,涉及通信網(wǎng)絡(luò)改造。目前電力通信光纜部分為架空線路,相對(duì)于地埋光纜,量子信號(hào)在光纜中傳輸更易受環(huán)境干擾,對(duì)量子密鑰的生成有一定的影響^[15-16]。因此,針對(duì)電力架空線路及實(shí)際應(yīng)用環(huán)境,可以在量子保密通信系統(tǒng)中加入偏振反饋裝置,然后設(shè)計(jì)相應(yīng)的部署方案,使量子保密技術(shù)能夠適應(yīng)電力系統(tǒng)各種復(fù)雜的環(huán)境。

3）能對(duì)多種信息格式進(jìn)行加密。現(xiàn)有的量子保密通信應(yīng)用體系主要是與IPSec VPN技術(shù)相配合,對(duì)IP數(shù)據(jù)包進(jìn)行加解密操作,對(duì)非IP數(shù)據(jù)尚無成熟產(chǎn)品方案,而電網(wǎng)中縱差設(shè)備間的通信未采用IP包的方式,無法直接使用現(xiàn)有的量子加密體系。未來可以對(duì)量子加密系統(tǒng)進(jìn)行改進(jìn),使其對(duì)各種類型的業(yè)務(wù)數(shù)據(jù)都能夠進(jìn)行加密。

 5 結(jié)語(yǔ)

隨著信息技術(shù)的演進(jìn)和攻擊技術(shù)的發(fā)展,傳統(tǒng)的信息加密方法日益力不從心,而量子保密通信作為新一代的通信加密技術(shù),已完成了所有的理論準(zhǔn)備和部分實(shí)踐應(yīng)用,且具備了應(yīng)用到電網(wǎng)業(yè)務(wù)上的基本條件。本文針對(duì)量子保密通信在電力系統(tǒng)中的應(yīng)用給出了架構(gòu)設(shè)計(jì)方案,并在北京城域電網(wǎng)中的配電自動(dòng)化生產(chǎn)應(yīng)用領(lǐng)域設(shè)計(jì)了具體的部署方案,最后對(duì)量子保密通信技術(shù)發(fā)展進(jìn)行了展望。面對(duì)千差萬別的各類電網(wǎng)業(yè)務(wù),量子保密通信還需要在應(yīng)用的過程中不斷創(chuàng)新改進(jìn),才能在電力生產(chǎn)和運(yùn)營(yíng)中發(fā)揮出應(yīng)有的效益。

(編輯:張欽芝)

參考文獻(xiàn)

[1] 陳暉, 祝世雄, 朱甫臣. 量子通信的安全性分析[J]. 信息安全與通信保密, 2008, 30(12): 120-121. 
CHEN Hui, ZHU Shi-xiong, ZHU Fu-chen.Study on security of quantum communication[J]. Information Security and Communications Privacy, 2008, 30(12): 120-121.

[2] 尹浩, 韓陽(yáng). 量子通信原理與技術(shù)[M]. 北京: 電子工業(yè)出版社, 2013.

[3] KEITH S, STUART G.Optical network security: technical analysis of fiber tapping mechanisms and methods for detection and prevention[C]// IEEE military communications conference, 2004.

[4] WANG X B.Beating the photo-number-splitting attack in practical quantum cryptography[J]. Physical Review Letters, 2005, 94(23): 230-233

[5] 朱暢華, 裴昌幸, 馬懷新, 等. 一種量子局域網(wǎng)方案及其性能分析[J]. 西安電子科技大學(xué)學(xué)報(bào): 自然科學(xué)版, 2006, 33(6): 839-843. 
ZHU Chang-hua, PEI Chang-xing, MA Huai-xin, et al.A scheme for quantum local area network and performance analysis[J]. Journal of Xidian University: Natural Science Edition, 2006, 33(6): 839-843.

[6] GISIN N, RIBORDY G, TITTEL W, et al.Quantum cryptography[J]. Reviews of Modern Physics,2002(74): 145-195.

[7] CASTELVECCHI D.IBM’s quantum cloud computer goes commercial[J]. Nature, 2017, 543(7644): 159.

[8] BENNETT C, BR G.Quantum cryptography: public key distribution and coin tossing[C]// Proceeding of the IEEE International Conference on Computers, System and Signal Processing, 1984.

[9] 張翼英, 張素香. 量子通信及其在電力通信的應(yīng)用[J]. 電力信息與通信技術(shù), 2016, 14(9): 7-11. 
ZHANG Yi-ying, ZHANG Su-xiang.Quantum communication and its application in power communication[J].Electric Power Information and Communication Technology, 2016, 14(9): 7-11.

[10] 葉志遠(yuǎn), 陳華智, 王文清. 量子密鑰分發(fā)保密通信系統(tǒng)電力應(yīng)用方向探討[J]. 工程建設(shè)與設(shè)計(jì), 2016,64(8): 236-238. 
YE Zhi-yuan, CHEN Hua-zhi, WANG Wen-qing.Exploring the power application direction of secure communication system for quantum key distribution[J]. Construction & Design for Project, 2016, 64(8): 236-238.

[11] SHOR P W P. Simple proof of security of the BB84 quantum key distribution protocol[J]. Physical Review Letters, 2000, 76(6): 441-444.

[12] 王繼業(yè), 郭經(jīng)紅, 曹軍威, 等. 能源互聯(lián)網(wǎng)信息通信關(guān)鍵技術(shù)綜述[J]. 智能電網(wǎng), 2015, 3(6): 473-485. 
WANG Ji-ye, GUO Jing-hong, CAO Jun-wei, et al.Review on information and communication key technologies of energy Internet[J]. Smart Grid, 2015, 3(6): 473-485.

[13] BRASSARD G, LTKENHAUS N, MOR T, et al.Limitation on practical quantum cryptography[J].Physical Review Letters, 2000, 76(6): 1330-1333.

[14] JOHNSON M W, AMIN M H S, GILDER S, et al. Quantum annealing with manufactured spins[J].Nature, 2011, 537(473): 194-198.

[15] CHARLES H B.Quantum cryptography using any two nonorthogonal states[J]. Physical Review Letters,1992, 68(2): 3121-3124.

[16] 楊永標(biāo), 李逸馳, 陳霜, 等. 雙向互動(dòng)服務(wù)平臺(tái)的關(guān)鍵技術(shù)與總體構(gòu)架[J]. 廣東電力, 2015, 28(8): 28-32. 
YANG Yong-biao, LI Yi-chi, CHEN Shuang, et al.Key technology and overall framework of bilateral interaction service platform[J]. Guangdong Electric Power, 2015, 28(8): 28-32.