0 引言

能源問(wèn)題事關(guān)各國(guó)經(jīng)濟(jì)社會(huì)發(fā)展的全局,為了保障能源資源的大范圍優(yōu)化配置,我國(guó)大力推進(jìn)建設(shè)并投運(yùn)了特高壓交直流電網(wǎng)。信息通信技術(shù)是實(shí)現(xiàn)電網(wǎng)智能化、互動(dòng)化和大電網(wǎng)運(yùn)行控制的重要基礎(chǔ),為適應(yīng)電網(wǎng)規(guī)模的發(fā)展、信息通信范圍的大幅擴(kuò)張,對(duì)電力信息通信的安全性要求更加迫切和嚴(yán)
格^[1-2]。而近年來(lái)烏克蘭電網(wǎng)大停電等重大安全事件頻發(fā),預(yù)示金融、電力、通信等涉及國(guó)家安全的信息基礎(chǔ)設(shè)施面臨著較大的風(fēng)險(xiǎn)隱患與安全威脅。傳統(tǒng)電力通信傳輸安全主要使用經(jīng)典保密通信模式、專(zhuān)網(wǎng)專(zhuān)用或者內(nèi)外網(wǎng)隔離等策略。在經(jīng)典保密通信模式中應(yīng)用了各種密碼算法,隨著計(jì)算能力的提升,基于傳統(tǒng)安全加密機(jī)制的網(wǎng)絡(luò)傳輸設(shè)備面臨被破解的風(fēng)險(xiǎn),黑客攻擊帶來(lái)的風(fēng)險(xiǎn)巨大且與日俱增。隨著各種集中式、分布式電源的快速建設(shè),電動(dòng)汽車(chē)等柔性負(fù)荷逐步接入,電網(wǎng)源-網(wǎng)-荷互動(dòng)日益頻繁,承載電網(wǎng)各種生產(chǎn)控制業(yè)務(wù)信息的電力通信網(wǎng)日趨復(fù)雜。同時(shí),電力行業(yè)內(nèi)各種“互聯(lián)網(wǎng)+”新型業(yè)務(wù)模式也在不斷涌現(xiàn),信息內(nèi)、外網(wǎng)環(huán)境更加復(fù)雜,同樣面臨著嚴(yán)峻的安全威脅。

目前,電力通信網(wǎng)中主流的安全通信方式是利用虛擬專(zhuān)用網(wǎng)技術(shù)（Virtual Private Networks,VPN）來(lái)保障數(shù)據(jù)通信的安全性,VPN的安全性仍然依托于密碼算法的支撐,會(huì)話密鑰被用在高級(jí)加密標(biāo)準(zhǔn)（Advanced Encryption Standard,AES）、數(shù)據(jù)加密算法（Data Encryption Standard,DES）等加密算法中,以保證通信的機(jī)密性、完整性。但是這種安全性是有條件的,其密鑰預(yù)交換共享過(guò)程依賴于計(jì)算復(fù)雜度,隨著計(jì)算機(jī)處理能力的提升,其安全性面臨嚴(yán)峻的挑戰(zhàn)^[3-5]。量子保密通信是基于量子密鑰分發(fā)（Quantum Key Distribution,QKD）的新型保密通信技術(shù),量子密鑰分發(fā)是建立在量子力學(xué)原理之上,應(yīng)用量子力學(xué)的海森堡不確定性原理和量子態(tài)的不可克隆原理,在收發(fā)雙方之間建立一串共享的密鑰,通過(guò)“一次一密”（One-Time-Pad,OTD）的加密策略,實(shí)現(xiàn)原理上無(wú)條件的安全通信^[6-7]。QKD技術(shù)是通信技術(shù)發(fā)展史上的重要里程碑,相較于傳統(tǒng)對(duì)稱加密,QKD最顯著作用就是替換其最薄弱的密鑰交換環(huán)節(jié)^[8],基于量子特性產(chǎn)生和交換密鑰是安全的。

由于量子保密通信技術(shù)具有廣闊的應(yīng)用價(jià)值,國(guó)內(nèi)外已經(jīng)出現(xiàn)了量子保密通信相關(guān)商業(yè)產(chǎn)品。電力行業(yè)已開(kāi)展量子保密通信技術(shù)應(yīng)用研究以及光量子信號(hào)電磁干擾、傳輸損耗等測(cè)試分析^[9-10],并分步推進(jìn)建立電力量子保密通信城域網(wǎng)建設(shè)與業(yè)務(wù)示范應(yīng)用。量子VPN作為量子保密通信系統(tǒng)的核心設(shè)備,是量子密碼與傳統(tǒng)VPN的融合發(fā)展,它以共享密鑰作為通信雙方的會(huì)話密鑰,對(duì)內(nèi)部傳輸?shù)臄?shù)據(jù)進(jìn)行加解密。量子密鑰分發(fā)與電力通信網(wǎng)融合將會(huì)產(chǎn)生新型電力專(zhuān)用的量子保密通信網(wǎng)絡(luò),最大程度提高電網(wǎng)業(yè)務(wù)數(shù)據(jù)傳輸?shù)陌踩浴Ｔ陔娋W(wǎng)應(yīng)用中,量子VPN可承擔(dān)電網(wǎng)業(yè)務(wù)數(shù)據(jù)的加解密處理任務(wù),其運(yùn)行性能特征對(duì)于滿足電力通信安全可靠、穩(wěn)定運(yùn)行的高要求至關(guān)重要。由于目前量子VPN在電力行業(yè)尚沒(méi)有進(jìn)行大規(guī)模工程化的應(yīng)用實(shí)踐,我國(guó)尚無(wú)相關(guān)技術(shù)規(guī)范和標(biāo)準(zhǔn),為此需要對(duì)其工作機(jī)制以及運(yùn)行的穩(wěn)定性和可靠性進(jìn)行研究與測(cè)試。本文為使量子保密通信技術(shù)能夠適應(yīng)電網(wǎng)應(yīng)用工程化、實(shí)用化、規(guī)模化發(fā)展需求,基于商用級(jí)的基于偏振調(diào)制的量子保密通信系統(tǒng),研究量子密鑰分發(fā)和量子VPN工作原理,建立量子VPN性能測(cè)試系統(tǒng)結(jié)構(gòu)與測(cè)試環(huán)境,深入測(cè)試分析量子VPN的吞吐量、時(shí)延、加密算法等運(yùn)行核心性能特征,驗(yàn)證分析量子VPN對(duì)電網(wǎng)業(yè)務(wù)數(shù)據(jù)安全傳輸?shù)倪m應(yīng)性。

 1 量子保密通信

量子保密通信是以量子密鑰分發(fā)（QKD）為核心,基于量子不可克隆原理,通過(guò)單光子信號(hào)的量子通信協(xié)議和“一次一密”的方式,實(shí)現(xiàn)用戶間無(wú)條件的安全通信,可極大提高通信傳輸網(wǎng)絡(luò)的安全水平。量子保密通信系統(tǒng)中的單光子量子信號(hào)調(diào)制主要有偏振和相位兩種,本文主要針對(duì)基于偏振的調(diào)制方式。

1.1 基于偏振調(diào)制的量子密鑰分發(fā)原理

量子密鑰分發(fā)是利用單光子不可分割、量子態(tài)不可復(fù)制的原理特性實(shí)現(xiàn)通信雙方間的安全密鑰分發(fā),解決對(duì)稱加密算法中密鑰分發(fā)的安全性問(wèn)題,實(shí)現(xiàn)傳輸數(shù)據(jù)的安全加密通信。基于單光子的QKD系統(tǒng)主要以BB84協(xié)議作為量子通信協(xié)議,雙方之間利用量子信道和可信經(jīng)典信道來(lái)生成安全密鑰^[11]。基于偏振調(diào)制的量子密鑰分發(fā)原理如圖1所示。

在圖1中,發(fā)送端Alice主要由激光器、衰減器、起偏器等部件組成,根據(jù)隨機(jī)生成的二進(jìn)制數(shù)串,通過(guò)起偏器和偏振控制器制備生成不同的偏振態(tài)單光子,作為發(fā)送的量子比特。接收端Bob通過(guò)量子信道接收單光子量子信號(hào),通過(guò)分束器后,隨機(jī)選擇基矢對(duì)光子進(jìn)行測(cè)量,采集模塊獲取單光子的量子態(tài)測(cè)量結(jié)果,在協(xié)商信道雙方按照量子通信協(xié)議進(jìn)行篩選、糾纏和保密增強(qiáng)。最終,量子密鑰分發(fā)的發(fā)送端Alice和接收端Bob通過(guò)協(xié)商信道進(jìn)行交互協(xié)商,共同產(chǎn)生量子密鑰。在基于單光子的量子密鑰分發(fā)中,偏振調(diào)制是簡(jiǎn)單有效的調(diào)節(jié)方式,但其偏振方向易受環(huán)境影響,一般需要偏振補(bǔ)償^[5]。

圖1 基于偏振調(diào)制的量子密鑰分發(fā)原理Fig.1 QKD principle with polarization modulation

1.2 基于QKD的量子保密通信系統(tǒng)

目前在國(guó)內(nèi),基于量子密鑰分發(fā)系統(tǒng)的量子保密通信系統(tǒng)已經(jīng)商用化,其物理鏈路基于光纖,系統(tǒng)主要由量子密鑰終端、量子VPN、用戶終端、通信線路等部分構(gòu)成。基于QKD的量子保密通信系統(tǒng)如圖2所示。

圖2 基于QKD的量子保密通信系統(tǒng)Fig.2 Quantum secret communication system using QKD

在用戶A進(jìn)行業(yè)務(wù)數(shù)據(jù)傳輸時(shí),發(fā)送端的量子VPN按報(bào)文流量或者時(shí)間周期向量子密鑰終端Alice請(qǐng)求提取密鑰對(duì)業(yè)務(wù)數(shù)據(jù)進(jìn)行加密處理,加密密文通過(guò)經(jīng)典信道傳輸給接收端的量子VPN,按照量子通信協(xié)議機(jī)制,量子密鑰終端Bob提供相同密鑰給量子VPN進(jìn)行數(shù)據(jù)的解密處理,最終解密后的數(shù)據(jù)傳遞至用戶B,實(shí)現(xiàn)數(shù)據(jù)在用戶之間的安全傳輸。

 2 量子VPN工作原理

現(xiàn)有的實(shí)際業(yè)務(wù)數(shù)據(jù)加密通信場(chǎng)景中,主要采用IPSec VPN網(wǎng)關(guān)實(shí)現(xiàn)安全接入。量子VPN是將量子保密通信技術(shù)與IPSec VPN進(jìn)行結(jié)合的設(shè)備,并且是以量子密鑰作為會(huì)話密鑰。量子VPN具有密鑰交換功能,量子VPN工作原理如圖3所示。密鑰策略控制器可調(diào)節(jié)密鑰選擇方式以及密鑰的更新頻率等,因特網(wǎng)密鑰交換（Internet Key Exchange,IKE）在第一階段協(xié)商生成工作密鑰,用于保護(hù)第二階段的協(xié)商過(guò)程。密鑰交換第二階段的主要目的是生成會(huì)話密鑰,傳統(tǒng)模式下IKE協(xié)商出IKE密鑰作為會(huì)話密鑰,而在量子VPN中,通過(guò)量子密鑰交互管理器能安全連接QKD終端中的量子密鑰資源池,獲取量子密鑰存儲(chǔ)于量子VPN中的量子密鑰池,作為會(huì)話密鑰,用于量子VPN網(wǎng)關(guān)之間的數(shù)據(jù)加密通信。一旦量子密鑰池資源不足,量子VPN也可以按照密鑰策略切換控制使用IKE密鑰進(jìn)行加密。

圖3 量子VPN工作原理Fig.3 Quantum VPN working principle

量子VPN從QKD終端中得到量子密鑰,可直接替換掉IKE中的相應(yīng)密鑰,之后的過(guò)程與原始的協(xié)議一樣^[12]。因此,對(duì)于傳統(tǒng)VPN進(jìn)行升級(jí)改造即能融合使用量子密鑰,方案可行性高,可以滿足VPN網(wǎng)關(guān)到網(wǎng)關(guān)的對(duì)接或者終端到網(wǎng)關(guān)的安全接入,大大提高用戶數(shù)據(jù)在網(wǎng)絡(luò)上的安全傳輸水平。例如,在電網(wǎng)企業(yè)中,電力調(diào)度中心可以通過(guò)量子VPN在CA中心與多個(gè)調(diào)度分中心的加密管理機(jī)之間傳遞非對(duì)稱加密算法的私鑰,從而保障CA中心私鑰在線分發(fā)傳輸中的安全性、可靠性。

 3 量子VPN測(cè)試與分析

3.1 測(cè)試結(jié)構(gòu)與方法

本文試驗(yàn)在不同加密算法、不同數(shù)據(jù)流量條件下統(tǒng)計(jì)測(cè)試量子VPN的運(yùn)行特性,指標(biāo)采用吞吐量和時(shí)延,它們是電網(wǎng)業(yè)務(wù)數(shù)據(jù)傳輸?shù)闹匾阅軈?br style="box-sizing: border-box;" /> 考^[13-15]。測(cè)試系統(tǒng)主要由商用級(jí)QKD終端、量子VPN和思博倫（Spirent）網(wǎng)絡(luò)綜合測(cè)試儀（N11U）組成,量子VPN的測(cè)試結(jié)構(gòu)如圖4所示。

其中,QKD終端的光量子是基于偏振調(diào)制的單向誘騙態(tài)（One-Way Decoy）脈沖,工作頻率為40 MHz;量子VPN設(shè)備標(biāo)稱數(shù)據(jù)吞吐量為500 Mbps（單向）,支持的加密算法包括DES、3DES、AES、SM1、SM4等。綜合測(cè)試儀仿真生成不同報(bào)文流量數(shù)據(jù)并存儲(chǔ)測(cè)試結(jié)果數(shù)據(jù),流量數(shù)據(jù)傳送到量子VPN后使用量子密鑰加密,密文通過(guò)經(jīng)典信道傳輸?shù)綄?duì)端量子VPN進(jìn)行解密處理。

圖4 量子VPN的測(cè)試結(jié)構(gòu)Fig.4 Testing structure of quantum VPN

為獲取量子VPN的運(yùn)行特性數(shù)據(jù),連接好相關(guān)設(shè)備后,測(cè)試流程如下。

1）配置網(wǎng)絡(luò)測(cè)試儀參數(shù),在綜合測(cè)試儀中設(shè)置測(cè)試性能特征量,配置數(shù)據(jù)幀長(zhǎng)、連接的量子VPN等參數(shù),本次測(cè)試中的幀長(zhǎng)配置包括64 B、128 B、256 B、512 B、1 024 B、1 428 B和1 518 B;

2）配置量子VPN參數(shù),在量子VPN中設(shè)置加密算法與密鑰長(zhǎng)度、密鑰更新頻率等,本次測(cè)試中,量子VPN采用的加密算法為AES、SM1、SM4;

3）開(kāi)始測(cè)試,記錄測(cè)試數(shù)據(jù);

4）如果性能測(cè)試未完成,轉(zhuǎn)步驟1;

5）所有測(cè)試項(xiàng)完畢,進(jìn)行數(shù)據(jù)統(tǒng)計(jì)與評(píng)估分析。

3.2 測(cè)試數(shù)據(jù)分析

在本次測(cè)試結(jié)果中,吞吐量是在量子VPN網(wǎng)關(guān)丟包率為0條件下達(dá)到的單向最大數(shù)據(jù)流量,時(shí)延是在丟包率為0條件下加解密所消耗的平均時(shí)間。

不