【精彩論文推薦】國家電網有限公司信通分公司 陳智雨等:基於量子密鑰的電力業務最優數據保護模型

電力系統自動化2018-07-07 00:16:49

 提示點擊"電力系統自動化"關注本刊微信


原文發表在《電力系統自動化》2018年第42卷第11期,歡迎品讀。



本文引文信息

陳智雨, 高德荃, 王棟, 等. 基於量子密鑰的電力業務最優數據保護模型 [J]. 電力系統自動化, 2018, 42(11): 115-121. DOI: 10.7500/ AEPS20171026005.

CHEN Zhiyu, GAO Dequan, WANG Dong, et al. Quantum Key Based Optimal Data Protection Model for Power Business [J]. Automation of Electric Power Systems, 2018, 42(11): 115-121. DOI: 10.7500/ AEPS20171026005.



基於量子密鑰的電力業務最優數據保護模型

DOI: 10.7500/AEPS20171026005

陳智雨,高德荃,王棟,李國春,葛冰玉,趙子巖



1  研究背景


量子保密通信技術是量子力學與經典通信相結合,任何竊聽操作都會對量子態產生干擾,導致密鑰分發誤碼率增加,很容易發現竊聽行為,保障了數據安全傳輸,可有效解決傳統通信加密算法易被破解和傳輸過程易被監聽的難題。量子保密通信技術在電力行業的應用,可極大提升數據被破解的複雜度,強化和提升電力業務數據傳輸的安全性。


由於現有量子密鑰分配QKD設備產生的量子密鑰資源量有限,且受環境因素(風、雨、雪及電磁干擾)影響較大,難以保證全電力業務數據一次一密的加密傳輸。同時,考慮到傳統量子VPN無法實現電力業務精準數據保護,影響量子密鑰的應用效率:①傳統量子VPN沒有考慮各業務屬性的差異,採用時分機制對各業務採用相同的加密方式,不利於電力業務數據的安全等級保護;②傳統量子VPN以定時追加的方式向QKD設備請求密鑰,未考慮因報文流量變化可能導致的密鑰需求量增加或減小,進而出現量子VPN密鑰緩衝池中的密鑰資源不足或因補充過渡導致資源浪費。本文從電力業務運行角度出發,提出基於業務屬性的量子VPN密鑰應用最優化策略,實現電力量子VPN精準數據保護的目標,從而促進電網運營穩定性和信息安全等級的提升。



2  量子VPN技術


BB84協議是最早提出的量子保密通信協議,是其他協議的基礎且最接近實用化。主流的量子保密通信系統以該協議為基礎,雙方遵循通信協議實現無條件安全的密鑰分發。IPSec VPN是在網絡上利用隧道技術建立專用網絡進行加密通信的方式,廣泛用於信息通信網絡保障數據傳輸的安全。量子VPN是量子加密與傳統VPN的融合,可實現動態口令(OTP)通信。量子VPN與IPSec VPN基本框架一致,採用密鑰策略控制器調節密鑰選擇方式和密鑰更新頻率等參數。量子VPN採用量子密鑰交互管理器從QKD設備獲取密鑰替換IKE模式中相應的密鑰進行數據加密。若量子密鑰獲取異常,量子VPN切換成IKE模式加密。


傳統量子VPN週期性從QKD設備獲取定量密鑰緩存,採用時分方式進行數據加密。在量子密鑰資源量受限的情況下,傳統量子VPN沒有考慮電力業務屬性的差異,無法按照數據安全等級保護的需求對密鑰進行精準化分配和補充。因此,對量子VPN中密鑰的補充策略和應用策略進行了優化及設計。



3  基於電力業務屬性的量子密鑰應用策略


圖1展示了量子VPN在電力行業應用的組網結構圖,典型場景有生產調度、電力營銷和管理信息化。由於電力業務的多樣性,本節從業務屬性的特徵出發,結合實時量子密鑰量資源、業務數據資產重要度和業務報文流量等因素分析,構建自適應電力業務重要度和報文流量的密鑰應用模型,以提高量子密鑰的使用效率。從數據資產重要度和報文流量兩方面建立精準化量子密鑰應用模型。


圖1  基於量子VPN的電力保密通信網絡結構圖


3.1

電力業務屬性量化模型


不同的電力業務具有不同的在線屬性。電力業務屬性包括業務傳輸優先級、數據資產重要度、傳輸實時性和數據準確性等性質。由於數據資產重要級別代表不同業務數據的安全保障需求級別,建議基於數據資產重要度從精準數據保護的角度構建量子密鑰應用策略。通過分析各電力業務的差異性,建立風險評估模型對數據資產重要度進行量化。風險評估是異常情況發生的可能性和後果的組合。


表1  電力業務數據資產重要度

業務數據資產重要度是風險度的一個重要體現,電力業務風險度可以通過數據資產重要度和故障發生概率聯合計算。根據實際分析得到的各業務數據資產重要度如表1所示,給密鑰應用策略的設計提供了重要的參考依據。此外,數據傳輸時延和帶寬等通信指標也是電力業務的兩個重要屬性。


3.2

電力量子密鑰應用策略


通過對傳統量子VPN工作機制分析,量子密鑰應用策略的設計主要集中在兩個環節:①設計根據不同的電力業務屬性採用不同的密鑰應用策略;②設計基於業務報文流量的量子密鑰補充機制。


3.2.1  基於業務屬性的量子密鑰應用策略


由於各電力業務屬性的差異性,各業務有著不同的加密需求和安全要求。傳統量子VPN在數據加密時,無法根據業務屬性自適應調整密鑰應用策略。考慮到環境對量子密鑰成碼率的影響,本文結合實時量子密鑰資源量和業務數據資產重要度,對各業務數據加密進行優先級排序,並制定合適的量子密鑰應用策略,主要流程為:①首先獲取實時密鑰資源量和傳輸的各業務數據資產重要度;②其次依據數據資產重要度計算各業務密鑰的更新頻率;③然後根據傳輸情況判斷是否更新頻率。為提升業務數據的安全保障能力,建議採用資產重要度為計算因子,給重要度高的業務分配較多的密鑰資源量,提高密鑰更新頻率進而提升數據傳輸的安全性。


圖2展示了密鑰應用策略的主要模塊。通過對各項業務屬性分析,根據各業務加密需求進行密鑰分配,最後實現數據精準加解密。根據一個時間段內各業務報文流量和密鑰消耗量可以計算出量子VPN中該時間段內的總報文流量和總消耗密鑰量,為量子密鑰補充策略的設計提供參考依據。

圖2  量子VPN密鑰應用框架


3.2.2  基於業務報文流量的量子密鑰補充策略


傳統量子VPN以定時的方式從QKD設備獲取密鑰,並以密鑰數據追加的方式補充,可能出現密鑰量補充不足或補充過渡而覆蓋已有的密鑰,難以自適應加密需求的變化,影響保密系統的應用效率和安全性。本文聯合業務報文流量、密鑰消耗量以及剩餘密鑰資源量是否足夠支持後續數據加密等因素,設計具有動態適應性的量子密鑰補充策略。根據報文流量與密鑰消耗量的關係預判剩餘密鑰資源量的消耗趨勢,進而採取相應的補充策略補充密鑰緩衝池的密鑰。


量子密鑰補充策略首先獲取當前的總報文流量、實時密鑰量和量子密鑰補充頻率;然後根據三個因素計算量子VPN的最優補充參數,並檢測原有補充參數和最優補充參數是否一致;最後根據結果,判斷是否需要調整密鑰補充參數。量子密鑰補充模塊根據前一個時間段內的傳輸情況獲得一個時間段內待加密業務量與密鑰消耗量的關係。通過對實際傳輸狀況確定報文傳輸量的閾值,當傳輸報文量大於閾值時,密鑰補充模塊依據密鑰的剩餘量檢查實時量子密鑰資源量是否足夠支持接下來幾個時間段內的數據加密。如果密鑰量充足,則不進行密鑰補充操作。如果不足以支持,則量子VPN從QKD設備獲取密鑰進行補充。


4  結語


通過在典型電力業務場景下,建立適用不同業務間的量子密鑰使用方案,並對提出方法的實驗結果進行分析。調度自動化利用量子VPN對主網自動化生產數據進行加密傳輸,可實現低延遲高安全的指令傳輸;數據容災業務數據的重要度較調度業務低,可達到數據快速精準的安全傳輸;用電信息採集的實時性跟安全性需求在三者中最低,提出方法可有效保證數據的安全性,並規避與前兩類業務數據加密的衝突。


由於在生產調度、營銷、企業運營管理等方面業務數據的保密等級和網絡性能的需求存在差異,如何優化量子VPN密鑰應用策略實現精準化數據保護將成為一個提升網絡保密性能的重要課題。與電力調度業務擁有專用的加密算法相比,基於量子密鑰的適用電力信息類業務的專用加密算法還處於起步階段。下一步,將開展加密算法設計的相關工作,進一步提高電力量子VPN的數據保護性能。


下方查看歷史文章




《電力系統自動化》2018年第11期目次


【精彩論文推薦】清華大學 伍俊,魯宗相等:考慮儲能動態充放電效率特性的風儲電站運行優化


【精彩論文推薦】上海交通大學 張高,蔣傳文等:基於主從博弈的含電動汽車虛擬電廠協調調度


【精彩論文推薦】合肥工業大學 吳紅斌等:基於電壓源型換流器的多端直流配電網潮流計算


主要作者介紹

陳智雨,博士,國家電網有限公司信息通信分公司電力工程技術工程師。主要研究方向:電力信息通信技術、電力系統自動化、電力系統可視化運維。獲得省部級二等獎1項、國網公司級三等獎2項。發表論文28篇,其中SCI論文2篇,Ei論文13篇;申請發明專利8項和實用新型專利1項;參與編制行業標準1項。


鄭重聲明:根據國家版權局相關規定,紙媒、網站、微博、微信公眾號轉載、摘編本微信作品,需包含本微信名稱、二維碼等關鍵信息,並在文首註明《電力系統自動化》原創。個人請按本微信原文轉發、分享。


關於《電力系統自動化》


點擊左下方“閱讀原文”查看原文











閱讀原文

TAGS:密鑰量子密鑰量子VPN傳統量子VPN