一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)的制作方法
【專利摘要】本發(fā)明提供了一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)����,包括通過量子鏈路與網(wǎng)關(guān)管理裝置通信連接的電力專用量子加密網(wǎng)關(guān);電力專用量子加密網(wǎng)關(guān)通過量子鏈路或經(jīng)典鏈路進(jìn)行加密通信���;量子密鑰分配裝置集成設(shè)置在電力專用量子加密網(wǎng)關(guān)����,包括垂直集成模式和橫向集成模式�;量子鏈路包括通過光纖或自由空間連接的量子密鑰發(fā)送裝置和量子密鑰接收裝置;網(wǎng)關(guān)管理裝置包括用戶認(rèn)證模塊�、用戶權(quán)限/證書管理模塊、量子密鑰管理模塊和通信接口模塊�����。和現(xiàn)有技術(shù)相比,本發(fā)明提供的電力專用量子加密網(wǎng)關(guān)系統(tǒng)可以同時(shí)支持傳統(tǒng)模式和量子模式兩種加密功能�����,在量子模式下可以為電力系統(tǒng)數(shù)據(jù)傳輸提供無條件的信息安全保障����;便于電力專用量子加密網(wǎng)大規(guī)模部署和產(chǎn)業(yè)實(shí)用化��。
【專利說明】—種電力專用量子加密網(wǎng)關(guān)系統(tǒng)
【技術(shù)領(lǐng)域】
[0001]本發(fā)明涉及一種電力加密網(wǎng)關(guān)���,具體涉及一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)�����。
【背景技術(shù)】
[0002]計(jì)算機(jī)和網(wǎng)絡(luò)技術(shù)在電力系統(tǒng)領(lǐng)域具有廣泛的應(yīng)用���,其中電力調(diào)度數(shù)據(jù)網(wǎng)是為滿足調(diào)度生產(chǎn)單位間逐步增加的數(shù)據(jù)交換需求建立的計(jì)算機(jī)網(wǎng)絡(luò);通過電力調(diào)度數(shù)據(jù)網(wǎng)�,全國各級(jí)電力調(diào)度系統(tǒng)能夠更為快捷、有效的實(shí)時(shí)交換調(diào)度生產(chǎn)的各種信息���,保證電網(wǎng)的穩(wěn)定運(yùn)行��。
[0003]目前�����,電力調(diào)度數(shù)據(jù)網(wǎng)采用電力專用縱向加密認(rèn)證網(wǎng)關(guān)(以下簡(jiǎn)稱電力專用網(wǎng)關(guān))進(jìn)行電力調(diào)度數(shù)據(jù)網(wǎng)的廣域邊界防護(hù)����,以完成對(duì)電力調(diào)度數(shù)據(jù)網(wǎng)上的數(shù)據(jù)機(jī)密性、完整性�、真實(shí)性和不可否認(rèn)性的保護(hù)。電力專用網(wǎng)關(guān)使用的是電力專用密碼卡�����,該密碼卡的對(duì)稱加密算法為電力系統(tǒng)專用SSX06密碼算法����,非對(duì)稱加密算法為國際標(biāo)準(zhǔn)通用的RSA算法;對(duì)稱加密算法基于分組密碼算法(如�����,DES算法)�,用于保護(hù)設(shè)備之間的數(shù)據(jù)通信加密;非對(duì)稱算法用于設(shè)備的認(rèn)證與會(huì)話密鑰的協(xié)商��。
[0004]目前電力專用網(wǎng)關(guān)主要采用RSA非對(duì)稱密碼體制來解決身份識(shí)別的安全問題;以RSA算法為代表的非對(duì)稱密碼體制使用兩個(gè)不同的密鑰��,一個(gè)作為公開密鑰���,另一個(gè)作為秘密密鑰����;任何人都可以利用公開密鑰加密要傳送的明文消息���,并利用秘密密鑰對(duì)已加密的明文消息解密得到原消息。但是RSA非對(duì)稱密碼體制只提供了計(jì)算安全性�,不能保證無條件安全性;在目前的計(jì)算機(jī)技術(shù)條件下���,利用網(wǎng)格計(jì)算可以在較短的時(shí)間內(nèi)破譯現(xiàn)有的許多密碼方案���,這不僅對(duì)電力系統(tǒng)的信息安全構(gòu)成了很大威脅,同樣也對(duì)使用類似密碼系統(tǒng)的商務(wù)��、金融��、政務(wù)等領(lǐng)域的信息安全構(gòu)成了重大威脅���。同時(shí)����,量子計(jì)算技術(shù)的發(fā)展將給經(jīng)典密碼體制帶來嚴(yán)峻挑戰(zhàn);量子計(jì)算機(jī)的并行計(jì)算能力提高了計(jì)算效率并將運(yùn)算速度提高幾個(gè)數(shù)量級(jí)甚至更高��,這使目前應(yīng)用廣泛的密碼體制無法抵抗量子計(jì)算的窮舉攻擊��。
[0005]無論是對(duì)稱密碼體制還是非對(duì)稱密碼體制���,都存在一定的缺陷����。首先����,它們都是基于一個(gè)目前難以解決的NP完全問題,其安全性局限于當(dāng)前的計(jì)算能力�;其次,經(jīng)典密碼體制的密鑰分發(fā)一直是比較困難的問題���,接收方在接收密鑰時(shí)�,沒有充分的證據(jù)說明該密鑰在傳輸過程中沒有被竊取���、篡改����、調(diào)換等。
[0006]因此���,需要提出一種新型的保密通信技術(shù)克服上述經(jīng)典密碼體制所面臨的難題�;其中����,量子密鑰分配技術(shù)(QKD)能夠使通信雙方獲得信息論意義上無條件安全的密鑰����;其安全性基于量子力學(xué)中的海森堡不確定性原理,任何攻擊者都無法獲得傳輸?shù)拿荑€�����。綜上本發(fā)明為滿足現(xiàn)有技術(shù)的需要提供一種適用于電力系統(tǒng)安全領(lǐng)域的電力專用量子加密網(wǎng)關(guān)系統(tǒng)��。
【發(fā)明內(nèi)容】
[0007]為了滿足現(xiàn)有技術(shù)的需求����,本發(fā)明提供了一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)�;所述系統(tǒng)包括通過量子鏈路與網(wǎng)關(guān)管理裝置通信連接的電力專用量子加密網(wǎng)關(guān)����;所述電力專用量子加密網(wǎng)關(guān)通過所述量子鏈路或經(jīng)典鏈路進(jìn)行加密通信;量子密鑰分配裝置集成設(shè)置在所述電力專用量子加密網(wǎng)關(guān)上�;所述經(jīng)典鏈路包括TCP/IP網(wǎng)絡(luò)通道、載波通道���、微波通道和光纖通道��。
[0008]優(yōu)選的����,所述電力專用量子加密網(wǎng)關(guān)包括用戶配置接口解析模塊��、用戶認(rèn)證模塊�、密鑰協(xié)商模塊、數(shù)據(jù)加解密模塊和通信接口模塊���;所述密鑰協(xié)商模塊的密鑰協(xié)商模式包括量子模式和傳統(tǒng)模式���;所述數(shù)據(jù)加解密模塊支持SSX06、RSA和OTP加密算法���;所述通信接口模塊包括量子密鑰分配裝置專用接口���;
[0009]優(yōu)選的�����,所述傳統(tǒng)模式和所述量子模式的切換條件為:
[0010]①:所述量子密鑰分配裝置產(chǎn)生的密鑰無法滿足所述數(shù)據(jù)加解密模塊的需求時(shí)����,由量子模式切換至傳統(tǒng)模式��;
[0011]②:用戶不具備啟動(dòng)所述量子模式的權(quán)限時(shí)����,則默認(rèn)采用傳統(tǒng)模式��;
[0012]③:用戶通過所述密鑰協(xié)商模塊預(yù)設(shè)所述密鑰協(xié)商模式�;
[0013]優(yōu)選的,所述量子密鑰分配裝置包括量子密鑰發(fā)送裝置和量子密鑰接收裝置�����;所述量子密鑰發(fā)送裝置包括量子密鑰發(fā)送控制器����、隨機(jī)數(shù)發(fā)生器和量子發(fā)送器�����;所述量子密鑰接收裝置包括量子密鑰接收控制器和量子接收器���;所述量子鏈路包括通過光纖或自由空間連接的所述量子密鑰發(fā)送裝置和所述量子密鑰接收裝置;
[0014]優(yōu)選的���,所述密鑰協(xié)商模式的所述量子模式包括下述步驟:
[0015]1-1:所述隨機(jī)數(shù)發(fā)生器對(duì)所述量子發(fā)送器發(fā)出的每個(gè)光子進(jìn)行光子調(diào)制��;所述光子調(diào)制采用BB84編碼協(xié)議����;所述隨機(jī)數(shù)發(fā)生器將所述光子調(diào)制的調(diào)制信息發(fā)送到所述量子密鑰發(fā)送控制器�����;所述調(diào)制信息包括編碼基和編碼協(xié)議���;
[0016]1-2:所述量子接收器隨機(jī)選擇所述編碼基對(duì)接收的所述光子進(jìn)行測(cè)量��;所述量子接收器將測(cè)量數(shù)據(jù)發(fā)送到所述量子密鑰接收控制器����;
[0017]1-3:所述量子密鑰發(fā)送控制器和所述量子密鑰接收控制器通過所述經(jīng)典鏈路進(jìn)行身份認(rèn)證和通信后建立共享秘鑰;
[0018]優(yōu)選的��,所述網(wǎng)關(guān)管理裝置包括用戶認(rèn)證模塊����、用戶權(quán)限/證書管理模塊、量子密鑰管理模塊和通信接口模塊�;
[0019]所述用戶權(quán)限/證書管理模塊用于管理用戶和業(yè)務(wù)應(yīng)用系統(tǒng)的信息,并定義權(quán)限和安全性���,只有滿足權(quán)限的所述用戶和所述業(yè)務(wù)應(yīng)用系統(tǒng)才允許通過所述量子鏈路分發(fā)安全密鑰�����;
[0020]所述量子密鑰管理模塊包括與所述業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)應(yīng)的密鑰存儲(chǔ)單元��;所述量子密鑰管理模塊用于分配和管理密鑰記錄,通過所述密鑰記錄確定密鑰分配方式�����,并根據(jù)所述業(yè)務(wù)應(yīng)用系統(tǒng)的密鑰的消耗速度��,從所述密鑰存儲(chǔ)單元中提取所述密鑰;
[0021]優(yōu)選的�����,所述量子密鑰分配裝置的集成模式包括垂直集成模式和橫向集成模式�;所述垂直集成模式為所述數(shù)據(jù)加解密模塊和所述量子密鑰分配裝置均集成在所述電力專用量子加密網(wǎng)關(guān)內(nèi);所述橫向集成模式為所述數(shù)據(jù)加解密模塊通過所述通信接口模塊與所述量子密鑰分配裝置通信連接�����。
[0022]本發(fā)明的有益效果是:
[0023]1�����、本發(fā)明技術(shù)方案中�����,電力專用量子加密網(wǎng)關(guān)增加了量子密鑰擴(kuò)展功能����,可以同時(shí)支持傳統(tǒng)模式和量子模式兩種加密功能;在網(wǎng)關(guān)大規(guī)模部署的情況下無需改變現(xiàn)有的網(wǎng)絡(luò)結(jié)構(gòu)�,且對(duì)現(xiàn)有設(shè)備的基本結(jié)構(gòu)改動(dòng)較小,便于產(chǎn)業(yè)實(shí)用化。
[0024]2.本發(fā)明技術(shù)方案中���,網(wǎng)關(guān)管理裝置具有量子密鑰管理功能擴(kuò)展了傳統(tǒng)的電力調(diào)度證書服務(wù)系統(tǒng)����,同時(shí)網(wǎng)關(guān)管理裝置具備傳統(tǒng)的電力調(diào)度系統(tǒng)CA的認(rèn)證功能�;
[0025]3.本發(fā)明技術(shù)方案中,網(wǎng)關(guān)管理裝置可以為網(wǎng)絡(luò)中沒有直連量子鏈路的用戶之間建立共享密鑰�,從而可以在提高安全性的同時(shí),有效降低因搭建量子鏈路而產(chǎn)生的建設(shè)成本����;
[0026]4.本發(fā)明技術(shù)方案中,量子密鑰能夠使通信雙方獲得信息論意義上無條件安全的密鑰�;其安全性基于量子力學(xué)中的海森堡不確定性原理,任何攻擊者都無法獲得傳輸?shù)拿荑€����,能夠極大的提高電力系統(tǒng)數(shù)據(jù)傳輸安全性;
[0027]5.本發(fā)明技術(shù)方案中��,量子密鑰裝置集成在電力專用量子加密網(wǎng)關(guān)中����,具有兩種集成模式,無需更改現(xiàn)有電力信息通信安全防護(hù)體系���,便于實(shí)現(xiàn)和規(guī)?;瘧?yīng)用����。
【專利附圖】
【附圖說明】
[0028]下面結(jié)合附圖對(duì)本發(fā)明進(jìn)一步說明。
[0029]圖1是:本發(fā)明實(shí)施例中的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)結(jié)構(gòu)示意圖���;
[0030]圖2是:本發(fā)明實(shí)施例中的電力專用量子加密網(wǎng)關(guān)結(jié)構(gòu)示意圖�����;
[0031]圖3是:本發(fā)明實(shí)施例中的量子密鑰分配裝置的垂直集成模式結(jié)構(gòu)示意圖���;
[0032]圖4是:本發(fā)明實(shí)施例中的量子密鑰分配裝置的橫向集成模式結(jié)構(gòu)示意圖;
[0033]圖5是:本發(fā)明實(shí)施例中的量子鏈路結(jié)構(gòu)示意圖����。
【具體實(shí)施方式】
[0034]下面將結(jié)合本申請(qǐng)實(shí)施例中的附圖,對(duì)本申請(qǐng)實(shí)施例中的技術(shù)方案進(jìn)行清楚、完整地描述���。
[0035]圖1示出了本發(fā)明實(shí)施例中的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)結(jié)構(gòu)示意圖���;電力專用量子加密網(wǎng)關(guān)系統(tǒng)包括網(wǎng)關(guān)管理裝置PS-QKMC�、電力專用量子加密網(wǎng)關(guān)����、量子鏈路、經(jīng)典鏈路���;電力專用量子加密網(wǎng)關(guān)通過量子鏈路與網(wǎng)關(guān)管理裝置通信連接�����;電力專用量子加密網(wǎng)關(guān)之間通過量子鏈路或經(jīng)典鏈路進(jìn)行加密通信�;電力專用量子加密網(wǎng)關(guān)上集成設(shè)置有量子密鑰分配裝置QKD �����;
[0036]經(jīng)典鏈路包括TCP/IP網(wǎng)絡(luò)通道����、載波通道、微波通道和光纖通道��。
[0037]網(wǎng)關(guān)A和網(wǎng)關(guān)B之間不具備直連的量子鏈路時(shí)�,網(wǎng)關(guān)管理裝置PS-QKMC通過建立多級(jí)密鑰實(shí)現(xiàn)網(wǎng)關(guān)A和B網(wǎng)關(guān)的加密通信���;具體為:網(wǎng)關(guān)管理裝置PS-QKMC分別通過量子鏈路向網(wǎng)關(guān)A和網(wǎng)關(guān)B分發(fā)一組共享密鑰,即一級(jí)密鑰{KS};網(wǎng)關(guān)A和網(wǎng)關(guān)B通過一級(jí)密鑰{KS}建立通信會(huì)話密鑰���,即二級(jí)密鑰{WK};最后網(wǎng)關(guān)A和B基于會(huì)話密鑰{WK}完成安全通信過程。
[0038]圖2示出了電力專用量子加密網(wǎng)關(guān)結(jié)構(gòu)示意圖���;電力專用量子加密網(wǎng)關(guān)包括用戶配置接口解析模塊��、用戶認(rèn)證模塊��、密鑰協(xié)商模塊�、數(shù)據(jù)加解密模塊和通信接口模塊���;密鑰協(xié)商模塊的密鑰協(xié)商模式包括量子模式和傳統(tǒng)模式�����;數(shù)據(jù)加解密模塊支持電力系統(tǒng)專用SSX06對(duì)稱密碼算法���、國際標(biāo)準(zhǔn)通用的RSA非對(duì)稱算法和OTP加密算法(One-timePassword, OTP);通信接口模塊包括內(nèi)網(wǎng)口、外網(wǎng)口��、配網(wǎng)口和量子密鑰分配裝置專用接口 ;[0039]量子密鑰分配裝置包括量子密鑰發(fā)送裝置和量子密鑰接收裝置����;量子密鑰發(fā)送裝置包括量子密鑰發(fā)送控制器、隨機(jī)數(shù)發(fā)生器和量子發(fā)送器���;量子密鑰接收裝置包括量子密鑰接收控制器和量子接收器����;如圖5所示本實(shí)施例中的量子鏈路包括通過光纖或自由空間連接的量子密鑰發(fā)送裝置和量子密鑰接收裝置��;
[0040]網(wǎng)關(guān)管理裝置包括用戶認(rèn)證模塊�����、用戶權(quán)限/證書管理模塊�����、量子密鑰管理模塊和通信接口模塊�����;用戶權(quán)限/證書管理模塊用于管理用戶和業(yè)務(wù)應(yīng)用系統(tǒng)的信息�,并定義用戶和業(yè)務(wù)應(yīng)用系統(tǒng)的權(quán)限和安全性�����,只有滿足權(quán)限的用戶和業(yè)務(wù)應(yīng)用系統(tǒng)才允許通過量子鏈路分發(fā)安全密鑰�����;量子密鑰管理模塊包括與業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)應(yīng)的密鑰存儲(chǔ)單元;量子密鑰管理模塊用于分配和管理密鑰記錄�,通過所密鑰記錄確定密鑰分配方式,并根據(jù)業(yè)務(wù)應(yīng)用系統(tǒng)的密鑰的消耗速度�,從密鑰存儲(chǔ)單元中提取密鑰;
[0041]如圖3和4所示量子密鑰分配裝置的集成模式包括垂直集成模式和橫向集成模式�����;垂直集成模式為數(shù)據(jù)加解密模塊和量子密鑰分配裝置均集成在電力專用量子加密網(wǎng)關(guān)內(nèi)�����;電力專用量子加密網(wǎng)關(guān)分為經(jīng)典層和量子層����;經(jīng)典層包括數(shù)據(jù)加解密模塊,密鑰協(xié)商模塊采用傳統(tǒng)模式進(jìn)行密鑰協(xié)商���;量子層包括量子密鑰分配裝置���,密鑰協(xié)商模塊采用量子模式進(jìn)行密鑰協(xié)商��;橫向集成模式為數(shù)據(jù)加解密模塊通過通信接口與經(jīng)典鏈路和量子鏈路通信連接�。
[0042]本實(shí)施例中密鑰協(xié)商模塊的量子模式包括下述步驟:
[0043]1��、隨機(jī)數(shù)發(fā)生器對(duì)量子發(fā)送器發(fā)出的每個(gè)光子進(jìn)行光子調(diào)制����;光子調(diào)制采用BB84編碼協(xié)議;所述隨機(jī)數(shù)發(fā)生器將光子調(diào)制的調(diào)制信息發(fā)送到所述量子密鑰發(fā)送控制器�;調(diào)制信息包括編碼基和編碼協(xié)議;
[0044]2�、量子接收器隨機(jī)選擇編碼基對(duì)接收的光子進(jìn)行測(cè)量;量子接收器將測(cè)量數(shù)據(jù)發(fā)送到量子密鑰接收控制器��;
[0045]3�����、量子密鑰發(fā)送控制器和量子密鑰接收控制器通過經(jīng)典鏈路進(jìn)行身份認(rèn)證和通信后建立共享秘鑰�����;通信包括密鑰篩選、協(xié)商糾錯(cuò)和保密放大����;
[0046]①密鑰篩選:網(wǎng)關(guān)A通過經(jīng)典鏈路將光子測(cè)量數(shù)據(jù)的測(cè)量基傳輸給網(wǎng)關(guān)B ;測(cè)量基包括水平/垂直基和對(duì)角基;一個(gè)光子只能用一個(gè)測(cè)量基進(jìn)行測(cè)量�,如果采用了錯(cuò)誤的測(cè)量基,則測(cè)量值將會(huì)完全隨機(jī)���。網(wǎng)關(guān)A保留網(wǎng)關(guān)B采用正確測(cè)量基的測(cè)量值��,并將這些測(cè)量值通過經(jīng)典鏈路反饋給網(wǎng)關(guān)B ;從而網(wǎng)關(guān)A和網(wǎng)關(guān)B擁有了一串長度相同的篩選密鑰列表;
[0047]②協(xié)商糾錯(cuò):利用BBSS�,Cascade和Winnow算法對(duì)存在“誤碼”的密鑰列表進(jìn)行篩選;在協(xié)商糾錯(cuò)之前隨機(jī)公開一部分密鑰����,以評(píng)估誤碼率;通過誤碼率初步分析是否有Eve進(jìn)行竊聽�����,如果誤碼率小于11.5%��,則認(rèn)為本次通信安全,否則認(rèn)為有Eve竊聽��,通信失?��?;
[0048]③保密放大:由于Eve也存在一個(gè)較小的概率可以得到正確的比特����,當(dāng)合法用戶在公開信道中進(jìn)行對(duì)基時(shí),Eve也可以獲取部分信息�;因此需要對(duì)協(xié)商糾錯(cuò)之后的密鑰列表進(jìn)行數(shù)學(xué)處理,通過犧牲部分密鑰來除去Eve獲得的信息��。
[0049]本實(shí)施例中的密鑰協(xié)商模塊傳統(tǒng)模式包括下述步驟:
[0050]1��、網(wǎng)關(guān)A的隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)rl���,并用網(wǎng)關(guān)B對(duì)應(yīng)證書中的公鑰進(jìn)行加密��,同時(shí)用私鑰進(jìn)行簽名�,作Msg_A=Ecert_B(rl) | Eskey (H(rl)),并將Msg_A發(fā)送給網(wǎng)關(guān)B ��;
[0051 ] 2�、網(wǎng)關(guān)B接收到Msg_A后,用本網(wǎng)關(guān)的私鑰解密Msg_A,并驗(yàn)證網(wǎng)關(guān)A的簽名����,如果簽名驗(yàn)證成功,網(wǎng)關(guān)B采用內(nèi)部的隨機(jī)數(shù)發(fā)生器產(chǎn)生隨機(jī)數(shù)r2����,并用網(wǎng)關(guān)A對(duì)應(yīng)證書中的公鑰進(jìn)行加密,同時(shí)用私鑰進(jìn)行簽名�,作MSg_B=Ecert_A(r2) | Eskey (H(r2)),將Msg_B發(fā)送給網(wǎng)關(guān)A ���;
[0052]3�、網(wǎng)關(guān)A接收到Msg_B后,用本網(wǎng)關(guān)的私鑰解S Msg_B,并驗(yàn)證網(wǎng)關(guān)B的簽名�����,如果簽名驗(yàn)證成功��,合成會(huì)話密鑰31(=1'1^2����,并作擬3!1運(yùn)算�����,作此8」:=!1(1'1^2),并將Msg_C發(fā)送給網(wǎng)關(guān)B;
[0053]4����、網(wǎng)關(guān)B同樣對(duì)合成密鑰作HASH運(yùn)算,作Msg_D=H(rl |r2),并比較Msg_C與Msg_D是否相同,如果相同則密鑰協(xié)商與認(rèn)證完成����,進(jìn)入正常通信階段。
[0054]傳統(tǒng)模式和量子模式切換基本條件為:
[0055]1����、量子密鑰分配裝置QKD因設(shè)備故障、量子通道性能下降�����、竊聽攻擊和光纖損耗等導(dǎo)致其產(chǎn)生的密鑰無法滿足數(shù)據(jù)加解密模塊的需求時(shí)�,由量子模式切換至傳統(tǒng)模式;
[0056]2�、當(dāng)用戶不具備啟動(dòng)量子加密的權(quán)限時(shí),則默認(rèn)采用傳統(tǒng)模式���;如業(yè)務(wù)安全性等級(jí)較低和通信網(wǎng)關(guān)之間不具備量子鏈路等��;
[0057]3�����、用戶在密鑰協(xié)商模塊中預(yù)設(shè)網(wǎng)關(guān)的工作模式����,以滿足不同安全性等級(jí)的業(yè)務(wù)數(shù)據(jù)加密傳輸需求。
[0058]最后應(yīng)當(dāng)說明的是:所描述的實(shí)施例僅是本申請(qǐng)一部分實(shí)施例��,而不是全部的實(shí)施例��?���;诒旧暾?qǐng)中的實(shí)施例,本領(lǐng)域普通技術(shù)人員在沒有做出創(chuàng)造性勞動(dòng)前提下所獲得的所有其他實(shí)施例��,都屬于 本申請(qǐng)保護(hù)的范圍�����。
【權(quán)利要求】
1.一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)��,其特征在于��,所述系統(tǒng)包括通過量子鏈路與網(wǎng)關(guān)管理裝置通信連接的電力專用量子加密網(wǎng)關(guān)�����;所述電力專用量子加密網(wǎng)關(guān)通過所述量子鏈路或經(jīng)典鏈路進(jìn)行加密通信�����;量子密鑰分配裝置集成設(shè)置在所述電力專用量子加密網(wǎng)關(guān)上�;所述經(jīng)典鏈路包括TCP/IP網(wǎng)絡(luò)通道、載波通道���、微波通道和光纖通道�。
2.如權(quán)利要求1所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)�����,其特征在于�,所述電力專用量子加密網(wǎng)關(guān)包括用戶配置接口解析模塊、用戶認(rèn)證模塊����、密鑰協(xié)商模塊、數(shù)據(jù)加解密模塊和通信接口模塊�����;所述密鑰協(xié)商模塊的密鑰協(xié)商模式包括量子模式和傳統(tǒng)模式;所述數(shù)據(jù)加解密模塊支持SSX06���、RSA和OTP加密算法�����;所述通信接口模塊包括量子密鑰分配裝置專用接口����。
3.如權(quán)利要求2所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)����,其特征在于,所述傳統(tǒng)模式和所述量子模式的切換條件為: ①:所述量子密鑰分配裝置產(chǎn)生的密鑰無法滿足所述數(shù)據(jù)加解密模塊的需求時(shí)���,由量子模式切換至傳統(tǒng)模式���; ②:用戶不具備啟動(dòng)所述量子模式的權(quán)限時(shí),則默認(rèn)采用傳統(tǒng)模式���; ③:用戶通過所述密鑰協(xié)商模塊預(yù)設(shè)所述密鑰協(xié)商模式�。
4.如權(quán)利要求1所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)�,其特征在于,所述量子密鑰分配裝置包括量子密鑰發(fā)送裝置和量子密鑰接收裝置�����;所述量子密鑰發(fā)送裝置包括量子密鑰發(fā)送控制器��、隨機(jī)數(shù)發(fā)生器和量子發(fā)送器��;所述量子密鑰接收裝置包括量子密鑰接收控制器和量子接收器����;所述量子鏈路包括通過光纖或自由空間連接的所述量子密鑰發(fā)送裝置和所述量子密鑰接收裝置。
5.如權(quán)利要求1-4任一項(xiàng)所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)�����,其特征在于����,所述密鑰協(xié)商模式的所述量子模式包括下述步驟: .1-1:所述隨機(jī)數(shù)發(fā)生器對(duì)所述量子發(fā)送器發(fā)出的每個(gè)光子進(jìn)行光子調(diào)制;所述光子調(diào)制采用BB84編碼協(xié)議����;所述隨機(jī)數(shù)發(fā)生器將所述光子調(diào)制的調(diào)制信息發(fā)送到所述量子密鑰發(fā)送控制器����;所述調(diào)制信息包括編碼基和編碼協(xié)議��; .1-2:所述量子接收器隨機(jī)選擇所述編碼基對(duì)接收的所述光子進(jìn)行測(cè)量�����;所述量子接收器將測(cè)量數(shù)據(jù)發(fā)送到所述量子密鑰接收控制器���; .1-3:所述量子密鑰發(fā)送控制器和所述量子密鑰接收控制器通過所述經(jīng)典鏈路進(jìn)行身份認(rèn)證和通信后建立共享秘鑰�;所述通信包括密鑰篩選�、協(xié)商糾錯(cuò)和保密放大。
6.如權(quán)利要求1所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng)���,其特征在于�,所述網(wǎng)關(guān)管理裝置包括用戶認(rèn)證模塊����、用戶權(quán)限/證書管理模塊、量子密鑰管理模塊和通信接口模塊�; 所述用戶權(quán)限/證書管理模塊用于管理用戶和業(yè)務(wù)應(yīng)用系統(tǒng)的信息,并定義權(quán)限和安全性,只有滿足權(quán)限的所述用戶和所述業(yè)務(wù)應(yīng)用系統(tǒng)才允許通過所述量子鏈路分發(fā)安全密鑰��; 所述量子密鑰管理模塊包括與所述業(yè)務(wù)應(yīng)用系統(tǒng)對(duì)應(yīng)的密鑰存儲(chǔ)單元����;所述量子密鑰管理模塊用于分配和管理密鑰記錄���,通過所述密鑰記錄確定密鑰分配方式�,并根據(jù)所述業(yè)務(wù)應(yīng)用系統(tǒng)的密鑰的消耗速度�����,從所述密鑰存儲(chǔ)單元中提取所述密鑰�。
7.如權(quán)利要求1或2所述的一種電力專用量子加密網(wǎng)關(guān)系統(tǒng),其特征在于����,所述量子密鑰分配裝置的集成模式包括垂直集成模式和橫向集成模式;所述垂直集成模式為所述數(shù)據(jù)加解密模塊和所述量子密鑰分配裝置均集成在所述電力專用量子加密網(wǎng)關(guān)內(nèi)����;所述橫向集成模式為所述數(shù)據(jù)加解密 模塊通過所述通信接口模塊與所述量子密鑰分配裝置通信連接。
【文檔編號(hào)】H04L12/66GK103475464SQ201310364635
【公開日】2013年12月25日 申請(qǐng)日期:2013年8月20日 優(yōu)先權(quán)日:2013年8月20日
【發(fā)明者】周靜, 雷煜卿, 盧立峰, 陳希 申請(qǐng)人:國家電網(wǎng)公司, 中國電力科學(xué)研究院, 國網(wǎng)山東省電力公司電力科學(xué)研究院