一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法
【專利摘要】本發(fā)明提供一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法����,包括以下步驟:通信發(fā)起方判斷本地密鑰長度是否滿足本次通信要求;通信接收方收到本次通信請求后�,判斷自身剩余的本地密鑰長度是否滿足本次通信要求;通信接收方開始量子密鑰加密通信�;通信發(fā)起方開始量子密鑰加密通信�。本發(fā)明提供的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法����,在緩解量子密鑰分配速度與業(yè)務(wù)需求速度不匹配的問題的同時,為不同安全性等級的電力系統(tǒng)數(shù)據(jù)傳輸提供了滿足其安全需求的加密服務(wù)�����,大大提高了量子加密技術(shù)在電力系統(tǒng)中的實用性����。
【專利說明】一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法
【技術(shù)領(lǐng)域】
[0001]本發(fā)明屬于電力系統(tǒng)自動化【技術(shù)領(lǐng)域】,具體涉及一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法�����。
【背景技術(shù)】
[0002]配電管理自動化是利用現(xiàn)代計算機����、通信技術(shù)手段和設(shè)備對配電網(wǎng)的運行進行管理的一個信息收集和處理的系統(tǒng)。配電自動化系統(tǒng)處理的數(shù)據(jù)屬于電力行業(yè)的核心數(shù)據(jù)��,因此配電自動化系統(tǒng)對安全性有很高的要求��。目前配電自動化系統(tǒng)采用RSA���、ElGamal,Rabin以及ECC等加密算法進行通信加密�����。近年來����,計算機技術(shù)飛速發(fā)展,使得這些依靠計算復(fù)雜度保證安全性的加密方式的可靠性越來越低�。具有無條件安全性的量子通信的發(fā)展為解決這一問題帶來了曙光�。
[0003]量子通信的無條件安全性是由量子力學的幾個基本規(guī)律保證的,即海森堡不確定性原理�����、測量塌縮原理和量子態(tài)不可克隆原理��。目前研宄最多����、最有希望的量子通信工作方式是量子密鑰分配(Quantum Key Distribut1n, QKD) o QKD量子密鑰最早是由Bennett等人提出和實現(xiàn)的,它建立在量子力學的基本原理上�����,是密碼技術(shù)與量子力學結(jié)合的產(chǎn)物,通過分發(fā)協(xié)議和量子態(tài)信息的傳輸���,在收發(fā)雙方之間建立一串共享的密鑰�����。QKD技術(shù)與經(jīng)典的“一次一密”方案相結(jié)合�,可以從物理上實現(xiàn)絕對安全的量子保密通信��。
[0004]隨著量子密鑰分配技術(shù)的不斷發(fā)展���,美國���、日本以及歐洲等國相繼將量子密鑰融入到實際應(yīng)用中。美國巴特爾紀念研宄所和IdQuantique公司于2012年簽訂合同�����,建立美國首個商用量子加密網(wǎng)絡(luò)���,可以讓華盛頓的研宄人員通過光纖以及量子加密通道����,和遠在俄亥俄州的研宄人員通信,這條量子通信線路長達650公里����。日本NICT于2010年10月14日,在大手町舉行了不可竊聽的多點電視會議系統(tǒng)試運行開幕式���,在試運行期間���,NTT在大手町到小金井之間,利用鋪設(shè)的光纖線路����,通過環(huán)回方式在最大為90千米的通路上����,實現(xiàn)了電視會議系統(tǒng)的連通。這些雖然仍是半商業(yè)化半實驗性的應(yīng)用����,但是其硬件層面的難題基本已經(jīng)解決。目前�,制約量子密鑰應(yīng)用于實際使用的最大障礙就是量子密鑰設(shè)備的密鑰產(chǎn)生速度很慢,高速接收設(shè)備的價格十分昂貴����。另外����,目前量子密鑰的應(yīng)用方案基本是面向金融以及政府通信等方面設(shè)計的��,無法良好的支持電力數(shù)據(jù)傳輸?shù)奶囟ㄍㄐ拍P汀?br>
【發(fā)明內(nèi)容】
[0005]為了克服上述現(xiàn)有技術(shù)的不足����,本發(fā)明提供一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法,在緩解量子密鑰分配速度與業(yè)務(wù)需求速度不匹配的問題的同時��,為不同安全性等級的電力系統(tǒng)數(shù)據(jù)傳輸提供了滿足其安全需求的加密服務(wù)�,大大提高了量子加密技術(shù)在電力系統(tǒng)中的實用性。
[0006]為了實現(xiàn)上述發(fā)明目的�����,本發(fā)明采取如下技術(shù)方案:
[0007]本發(fā)明提供一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法����,所述方法包括以下步驟:
[0008]步驟1:通信發(fā)起方判斷本地密鑰長度是否滿足本次通信要求;
[0009]步驟2:通信接收方收到本次通信請求后���,判斷自身剩余的本地密鑰長度是否滿足本次通信要求�;
[0010]步驟3:通信接收方開始量子密鑰加密通信;
[0011]步驟4:通信發(fā)起方開始量子密鑰加密通信�。
[0012]所述步驟I中,通信發(fā)起方根據(jù)業(yè)務(wù)安全性服務(wù)級別和預(yù)計數(shù)據(jù)量判斷本地密鑰長度是否滿足本次通信要求�;若本地密鑰長度滿足本次通信要求,則將本次通信請求告知通信接收方��,等待通信接收方回應(yīng)���;若本地密鑰長度不滿足本次通信要求�����,通信發(fā)起方向中心密鑰控制器發(fā)出量子密鑰獲取請求并在獲取完成后繼續(xù)執(zhí)行該步驟��。
[0013]所述步驟2中����,若通信接收方自身剩余的本地密鑰長度不滿足本次通信要求����,則向中心密鑰控制器發(fā)出量子密鑰獲取請求并計時�����,若超時后自身剩余的本地密鑰長度與獲取的量子密鑰長度總和仍未滿足本次通信要求,則回復(fù)通信發(fā)起方本次通信請求失敗并執(zhí)行下一步�����;若通信接收方自身剩余的本地密鑰長度滿足本次通信請求�,則回復(fù)通信發(fā)起方本次通信請求失敗,由通信發(fā)起方通知應(yīng)用程序本次通信請求失敗��。
[0014]通信發(fā)起方或通信接收方從中心密鑰控制器獲取量子密鑰的過程如下:
[0015](I)由通信發(fā)起方或通信接收方發(fā)出量子密鑰獲取請求�����,并將該量子密鑰獲取請求的目的地址��、業(yè)務(wù)安全性服務(wù)需求和預(yù)計數(shù)據(jù)量發(fā)送給中心密鑰控制器���;
[0016](2)中心密鑰控制器的資源管理模塊根據(jù)當前量子密鑰信道資源使用情況為需要通信的終端密鑰產(chǎn)生器分配資源���;
[0017](3)若中心密鑰控制器成功為需要通信的終端密鑰產(chǎn)生器分配資源,則啟動中心密鑰控制器的量子接收模塊�,通過中心通信模塊通知終端密鑰產(chǎn)生器;如果中心密鑰控制器為需要通信的終端密鑰產(chǎn)生器分配資源失敗�,則不啟動中心密鑰控制器的量子接收模塊并將結(jié)果返回給通信發(fā)起方或通信接收方�,要求通信發(fā)起方或通信接收方再次發(fā)出量子密鑰獲取請求�;
[0018](4)終端密鑰產(chǎn)生器啟動量子發(fā)送模塊,開始產(chǎn)生量子密鑰�����;
[0019](5)在通信發(fā)起方或通信接收方獲得滿足本次通信需求的量子密鑰或者本次通信結(jié)束后����,業(yè)務(wù)安全性服務(wù)需求響應(yīng)完成。
[0020]所述步驟3包括以下步驟:
[0021]步驟3-1:通信接收方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰����,提取完成后通信接收方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管;
[0022]步驟3-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置�����。
[0023]所述步驟4包括以下步驟:
[0024]步驟4-1:通信發(fā)起方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰��,提取完成后通信發(fā)起方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管���;
[0025]步驟4-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置���。
[0026]所述中心密鑰控制器包括中心通信模塊、量子接收模塊�����、資源管理模塊和中心密鑰存儲模塊�;
[0027]所述中心通信模塊包括第一以太網(wǎng)接口和第一解碼芯片,負責處理與終端密鑰產(chǎn)生器之間的經(jīng)典信道數(shù)據(jù)通信���;
[0028]所述量子接收模塊用于接收終端密鑰產(chǎn)生器發(fā)送的量子信號���,產(chǎn)生量子密鑰;
[0029]所述資源管理模塊包括與業(yè)務(wù)終端通信的USB接口和微處理芯片�����,所述微處理芯片用于監(jiān)測當前量子信道的帶寬資源�����,并對量子密鑰獲取請求進行處理����;
[0030]所述中心密鑰存儲模塊包括存儲介質(zhì)和訪問控制器,用于存儲與每個終端密鑰產(chǎn)生器產(chǎn)生的量子密鑰����。
[0031]所述終端密鑰產(chǎn)生器包括終端通信模塊�、量子發(fā)送設(shè)備和終端密鑰存儲模塊��;
[0032]所述終端通信模塊包括第二以太網(wǎng)口和第二解碼芯片�,負責處理與中心密鑰控制器之間的經(jīng)典信道數(shù)據(jù)通信;
[0033]所述量子發(fā)送設(shè)備用于發(fā)送量子信號到中心密鑰控制器以產(chǎn)生量子密鑰��;
[0034]所述終端密鑰存儲模塊由大容量硬盤構(gòu)成��,用于存儲與中心密鑰控制器對應(yīng)的量子密鑰���。
[0035]業(yè)務(wù)安全性服務(wù)級別包括一次一密型加密服務(wù)��、安全盡力型加密服務(wù)和密鑰節(jié)約型加密服務(wù)��,三者的安全性服務(wù)級別按照一次一密型加密服務(wù)�����、安全盡力型加密服務(wù)���、密鑰節(jié)約型加密服務(wù)的順序依次遞減。
[0036]一次一密型加密服務(wù)中�����,利用按位異或的方式對將要傳輸?shù)臄?shù)據(jù)進行加密��,一個字節(jié)的密鑰只用來加密一個字節(jié)的數(shù)據(jù)�,所有密鑰只使用一次;
[0037]安全盡力型加密服務(wù)中�,L表示每個密鑰數(shù)據(jù)段的長度,Μ表示密鑰數(shù)據(jù)段的個數(shù)�����,Ν表示本密鑰幀需要重復(fù)使用的次數(shù)����;一個密鑰幀由Μ*Ν字節(jié)的幀頭以及L*M字節(jié)的密鑰數(shù)據(jù)構(gòu)成,其中密鑰數(shù)據(jù)分為Μ個L字節(jié)的數(shù)據(jù)段����,整個幀數(shù)據(jù)均為量子密鑰;第一次使用時直接使用密鑰數(shù)據(jù)段使用一次一密方式加密�����,第k次使用時將Μ個密鑰數(shù)據(jù)段的第i個數(shù)據(jù)段中的每個字節(jié)與幀頭的第(k-2)*M+i個字節(jié)異或形成新的密鑰數(shù)據(jù)段���,使用該密鑰數(shù)據(jù)段對數(shù)據(jù)進行一次一密方式加密����,其中k取值范圍為2至N+l,i的取值范圍為1至Μ ����;
[0038]密鑰節(jié)約型加密服務(wù)中,直接使用量子密鑰作為會話密鑰���,使用對稱加密算法進行加密�����。
[0039]與現(xiàn)有技術(shù)相比���,本發(fā)明的有益效果在于:
[0040]1.本發(fā)明可以有效地緩解量子密鑰產(chǎn)生速度與業(yè)務(wù)需求不匹配的問題,提高了量子密鑰的實用性���,使量子密鑰應(yīng)用于電力數(shù)據(jù)傳輸成為可能��;
[0041]2.實現(xiàn)了對電力數(shù)據(jù)傳輸業(yè)務(wù)中數(shù)據(jù)的多安全級別加密��,在滿足安全需求的同時緩解了量子密鑰產(chǎn)生速度低無法滿足業(yè)務(wù)需求的問題���;
[0042]3.本發(fā)明通過每次加密時利用幀頭的量子密鑰對密鑰數(shù)據(jù)段進行分段異或處理后產(chǎn)生新的密鑰數(shù)據(jù)段���,由幀頭量子密鑰重新引入的隨機性可以有效地抵抗頻率攻擊,提高了量子密鑰在多次使用時的安全性����;
[0043]4.密鑰幀結(jié)構(gòu)實現(xiàn)簡單�����,計算量小�����,加密和解密速度很快���,很好地符合了電力數(shù)據(jù)傳輸?shù)牡吞幚頃r延的要求����;
[0044]5.密鑰幀結(jié)構(gòu)中的參數(shù)L�����、M、N均可以根據(jù)當前密鑰剩余量以及具體業(yè)務(wù)的安全需求動態(tài)調(diào)節(jié)���,具有非常高的靈活性�����。
【專利附圖】
【附圖說明】
[0045]圖1是本發(fā)明實施例中提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法流程圖�;
[0046]圖2是本發(fā)明實施例中通信發(fā)起方或通信接收方從中心密鑰控制器獲取量子密鑰流程圖���;
[0047]圖3是本發(fā)明實施例中中心密鑰控制器與終端密鑰產(chǎn)生器連接方式示意圖����;
[0048]圖4是本發(fā)明實施例中采用的緩沖技術(shù)示意圖����;
[0049]圖5是本發(fā)明實施例中安全盡力型密鑰服務(wù)的密鑰幀結(jié)構(gòu)圖。
【具體實施方式】
[0050]下面結(jié)合附圖對本發(fā)明作進一步詳細說明�。
[0051]本發(fā)明提供一種用于提高電力系統(tǒng)通信安全性的量子密鑰提供方法,對于量子密鑰設(shè)備的密鑰生成速率慢的問題����,首先采用緩沖池技術(shù),即無論是否有業(yè)務(wù)需求,都進行密鑰分配�;其次,針對電力系統(tǒng)數(shù)據(jù)傳輸安全性需求�,本方案提供了一次一密(OTP)型、安全盡力型和密鑰節(jié)約型等三種不同的通信加密服務(wù)��。通過改變密鑰的使用方式來平衡安全性與時延要求���,根據(jù)當前密鑰余量��,動態(tài)分配密鑰資源��,利用有限的量子密鑰提供盡可能可靠的加密服務(wù)。
[0052]如圖1�����,提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法包括以下步驟:
[0053]步驟1:通信發(fā)起方判斷本地密鑰長度是否滿足本次通信要求��;
[0054]步驟2:通信接收方收到本次通信請求后��,判斷自身剩余的本地密鑰長度是否滿足本次通信要求�;
[0055]步驟3:通信接收方開始量子密鑰加密通信(理論上應(yīng)與通信發(fā)起方一致,主要檢測由于網(wǎng)絡(luò)以及其他原因造成的密鑰同步錯誤����,同時考慮通信時上下行數(shù)據(jù)量的不對稱性)���。
[0056]步驟4:通信發(fā)起方開始量子密鑰加密通信。
[0057]所述步驟1中���,通信發(fā)起方根據(jù)業(yè)務(wù)安全性服務(wù)級別和預(yù)計數(shù)據(jù)量判斷本地密鑰長度是否滿足本次通信要求���;若本地密鑰長度滿足本次通信要求,則將本次通信請求告知通信接收方����,等待通信接收方回應(yīng);若本地密鑰長度不滿足本次通信要求����,通信發(fā)起方向中心密鑰控制器發(fā)出量子密鑰獲取請求并在獲取完成后繼續(xù)執(zhí)行該步驟。
[0058]業(yè)務(wù)安全性服務(wù)級別包括一次一密型加密服務(wù)�、安全盡力型加密服務(wù)和密鑰節(jié)約型加密服務(wù)����,三者的安全性服務(wù)級別按照一次一密型加密服務(wù)�、安全盡力型加密服務(wù)��、密鑰節(jié)約型加密服務(wù)的順序依次遞減。
[0059](1) 一次一密型加密服務(wù):此種加密方式具有最高的安全性���;利用按位異或的方式對將要傳輸?shù)臄?shù)據(jù)進行加密��,一個字節(jié)的密鑰只用來加密一個字節(jié)的數(shù)據(jù),所有密鑰只使用一次����;符合OTP原則����,理論上無法破解����。應(yīng)用于電力數(shù)據(jù)傳輸中的饋線自動化業(yè)務(wù)以及數(shù)據(jù)采集業(yè)務(wù)中的遙控功能���,對安全性要求極高��,因此包括中心密鑰控制器與終端密鑰產(chǎn)生器之間的通信都利用量子密鑰以一次一密方式進行加密��,保證通信數(shù)據(jù)的最高安全性��,需要預(yù)先存儲足夠的量子密鑰,可以最大程度保證電力設(shè)備不被入侵者控制���。
[0060](2)安全盡力型加密服務(wù):此種加密方式擁有很高的安全性��。L表示每個密鑰數(shù)據(jù)段的長度����,Μ表示密鑰數(shù)據(jù)段的個數(shù)����,Ν表示本密鑰幀需要重復(fù)使用的次數(shù)�;一個密鑰幀由Μ*Ν字節(jié)的幀頭以及L*M字節(jié)的密鑰數(shù)據(jù)構(gòu)成,其中密鑰數(shù)據(jù)分為Μ個L字節(jié)的數(shù)據(jù)段����,整個幀數(shù)據(jù)均為量子密鑰����;第一次使用時直接使用密鑰數(shù)據(jù)段使用一次一密方式加密,第k次使用時將Μ個密鑰數(shù)據(jù)段的第i個數(shù)據(jù)段中的每個字節(jié)與幀頭的第(k-2)*M+i個字節(jié)異或形成新的密鑰數(shù)據(jù)段����,使用該密鑰數(shù)據(jù)段對數(shù)據(jù)進行一次一密方式加密��,其中k取值范圍為2至N+l�,i的取值范圍為1至M。
[0061]這種加密方式中的L����、M、N均根據(jù)當前密鑰剩余狀態(tài)以及業(yè)務(wù)類型進行動態(tài)調(diào)節(jié)����,密鑰剩余量越多,L*M越大�����,反之L*M越?����?�;L與Μ可以根據(jù)業(yè)務(wù)的數(shù)據(jù)類型做相應(yīng)的調(diào)整,L應(yīng)與業(yè)務(wù)的通信數(shù)據(jù)長度不同��,并使L與業(yè)務(wù)數(shù)據(jù)長度的最小公約數(shù)盡量大以減小任意兩次密文的相關(guān)性舊不應(yīng)過小,否則會降低重復(fù)使用時量子密鑰的隨機性;業(yè)務(wù)安全需求越高��,Ν越小�,反之Ν越大�。同時,參數(shù)中的Ν也對應(yīng)于安全級別���,一次一密型加密服務(wù)的安全級別為0����,安全盡力型加密服務(wù)的安全級別為大于1的常數(shù),密鑰節(jié)約型加密服務(wù)的安全級別為-1���。應(yīng)用于配電通信中的數(shù)據(jù)采集業(yè)務(wù)中除遙控功能外的其他業(yè)務(wù),對時延與安全性要求均較高��。本服務(wù)根據(jù)當前剩余密鑰量以及業(yè)務(wù)安全需求,通過動態(tài)調(diào)節(jié)加密參數(shù)提供最高的安全加密服務(wù)�����,相比一次一密型加密服務(wù)����,雖然安全性有所降低,但是對于預(yù)先分配的量子密鑰數(shù)量要求大大降低�����,能夠應(yīng)對較高速率的數(shù)據(jù)通信����。
[0062]以下內(nèi)容為本類型服務(wù)的使用實例:
[0063]當前量子密鑰剩余約10000字節(jié)�����,若業(yè)務(wù)Α的安全級別相對較高���,其數(shù)據(jù)長度為50字節(jié),那么L應(yīng)設(shè)置為99����,Μ應(yīng)設(shè)置為100����,假設(shè)Ν為1�����,即量子密鑰只重復(fù)使用一次以盡力為業(yè)務(wù)Α提供更高的安全保證,那么實際可以提供給業(yè)務(wù)Α的密鑰量大約為20000字節(jié)�;若業(yè)務(wù)B的安全級別相對較低��,其數(shù)據(jù)長度為99字節(jié)����,那么L應(yīng)設(shè)置為50�,Μ應(yīng)設(shè)置為200,假設(shè)Ν為10���,那么實際可以提供給業(yè)務(wù)Β的密鑰量大約為100000字節(jié)��。
[0064](3)密鑰節(jié)約型加密服務(wù)中,直接使用量子密鑰作為會話密鑰�,使用對稱加密算法進行加密�,使用現(xiàn)代對稱加密算法����,使整個系統(tǒng)的安全性不再受限于公鑰系統(tǒng)的安全性,同時利用更多位數(shù)的量子密鑰直接作為對稱密鑰進行加密��,由于對稱加密的加密和解密過程較快���,因此對于系統(tǒng)的延時影響很低。為了節(jié)約量子密鑰的使用����,每個量子密鑰根據(jù)當前計算能力的不同���,選擇不同長度以及不同的使用次數(shù)以保證一定的安全性���。隨著計算能力的不斷進步,作為對稱加密密鑰的量子密鑰的長度應(yīng)不斷增加�����,同時使用次數(shù)也應(yīng)該減少�����。應(yīng)用于配電監(jiān)測��,其業(yè)務(wù)安全敏感度較低�����,但數(shù)據(jù)量較大���。因此,應(yīng)用本服務(wù)提供能夠保證數(shù)據(jù)保密期內(nèi)安全的加密服務(wù)并盡可能節(jié)約密鑰的使用���,相比前兩種業(yè)務(wù),安全性最低�,但是需要預(yù)先分配量子密鑰數(shù)極少����。
[0065]所述步驟2中���,若通信接收方自身剩余的本地密鑰長度不滿足本次通信要求,則向中心密鑰控制器發(fā)出量子密鑰獲取請求并計時�����,若超時后自身剩余的本地密鑰長度與獲取的量子密鑰長度總和仍未滿足本次通信要求,則回復(fù)通信發(fā)起方本次通信請求失敗并執(zhí)行下一步�;若通信接收方自身剩余的本地密鑰長度滿足本次通信請求,則回復(fù)通信發(fā)起方本次通信請求失敗�,由通信發(fā)起方通知應(yīng)用程序本次通信請求失敗。
[0066]如圖2���,通信發(fā)起方或通信接收方從中心密鑰控制器獲取量子密鑰的過程如下:
[0067](1)由通信發(fā)起方或通信接收方發(fā)出量子密鑰獲取請求�,并將該量子密鑰獲取請求的目的地址����、業(yè)務(wù)安全性服務(wù)需求和預(yù)計數(shù)據(jù)量發(fā)送給中心密鑰控制器�����;
[0068](2)中心密鑰控制器的資源管理模塊根據(jù)當前量子密鑰信道資源使用情況為需要通信的終端密鑰產(chǎn)生器分配資源�;
[0069](3)若中心密鑰控制器成功為需要通信的終端密鑰產(chǎn)生器分配資源�����,則啟動中心密鑰控制器的量子接收模塊�,通過中心通信模塊通知終端密鑰產(chǎn)生器;如果中心密鑰控制器為需要通信的終端密鑰產(chǎn)生器分配資源失敗�,則不啟動中心密鑰控制器的量子接收模塊并將結(jié)果返回給通信發(fā)起方或通信接收方,要求通信發(fā)起方或通信接收方再次發(fā)出量子密鑰獲取請求�����;
[0070](4)終端密鑰產(chǎn)生器啟動量子發(fā)送模塊���,開始產(chǎn)生量子密鑰;
[0071](5)在通信發(fā)起方或通信接收方獲得滿足本次通信需求的量子密鑰或者本次通信結(jié)束后��,業(yè)務(wù)安全性服務(wù)需求響應(yīng)完成�����。
[0072]所述步驟3包括以下步驟:
[0073]步驟3-1:通信接收方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰,提取完成后通信接收方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管����;
[0074]步驟3-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置(減少由于網(wǎng)絡(luò)環(huán)境不穩(wěn)定造成的損失,即使數(shù)據(jù)到達的先后順序無法保證��,也可以保證數(shù)據(jù)的正確解密)�����。
[0075]所述步驟4包括以下步驟:
[0076]步驟4-1:通信發(fā)起方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰��,提取完成后通信發(fā)起方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管�;
[0077]步驟4-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置(減少由于網(wǎng)絡(luò)環(huán)境不穩(wěn)定造成的損失,即使數(shù)據(jù)到達的先后順序無法保證���,也可以保證數(shù)據(jù)的正確解密)�。
[0078]所述中心密鑰控制器包括中心通信模塊���、量子接收模塊���、資源管理模塊和中心密鑰存儲模塊��;
[0079]所述中心通信模塊包括第一以太網(wǎng)接口和第一解碼芯片�,負責處理與終端密鑰產(chǎn)生器之間的經(jīng)典信道數(shù)據(jù)通信��;
[0080]所述量子接收模塊用于接收終端密鑰產(chǎn)生器發(fā)送的量子信號���,產(chǎn)生量子密鑰�;
[0081]所述資源管理模塊包括與業(yè)務(wù)終端通信的USB接口和微處理芯片�,所述微處理芯片用于監(jiān)測當前量子信道的帶寬資源,并對量子密鑰獲取請求進行處理�����;
[0082]所述中心密鑰存儲模塊包括存儲介質(zhì)和訪問控制器�����,用于存儲與每個終端密鑰產(chǎn)生器產(chǎn)生的量子密鑰�����。
[0083]所述終端密鑰產(chǎn)生器包括終端通信模塊����、量子發(fā)送設(shè)備和終端密鑰存儲模塊;
[0084]所述終端通信模塊包括第二以太網(wǎng)口和第二解碼芯片����,負責處理與中心密鑰控制器之間的經(jīng)典信道數(shù)據(jù)通信;
[0085]所述量子發(fā)送設(shè)備用于發(fā)送量子信號到中心密鑰控制器以產(chǎn)生量子密鑰�����;
[0086]所述終端密鑰存儲模塊由大容量硬盤構(gòu)成�����,用于存儲與中心密鑰控制器對應(yīng)的量子密鑰�。
[0087]實施例1:
[0088]電力調(diào)度控制中心(主站)需要對子站進行遙控,密鑰存儲器模塊中的密鑰存儲量不足����。
[0089]步驟1:電力調(diào)度控制中心(主站)通過USB線纜將本次加密通信的目的子站ID、安全級別需求以及預(yù)計流量發(fā)送給中心密鑰控制器�,本例中假設(shè)為子站1,安全級別為0�,預(yù)計流量為1500字節(jié)。
[0090]步驟2:中心密鑰控制器收到請求信息后���,得知本次業(yè)務(wù)為遙控通信��,需要最高的安全性并可以接受小于10秒的延時��,再結(jié)合本次通信的預(yù)計流量使用計算出要完成本次通信需要3000字節(jié)的密鑰(包括額外開銷以及密鑰冗余)并查詢中心密鑰存儲器模塊中子站1的密鑰剩余量�。
[0091]步驟3:查詢得到尚有密鑰2000字節(jié),密鑰剩余量不足�����,向中心密鑰控制器發(fā)出密鑰不足的消息�。
[0092]步驟4:中心密鑰控制器的資源管理模塊查詢得知本次通信的安全級別為0,是遙控指令��,擁有最高優(yōu)先級��,則為中心密鑰控制器與子站1之間分配資源�。
[0093]步驟5:密鑰產(chǎn)生速率為200字節(jié)每秒,密鑰消耗速率為300字節(jié)每秒�����,本業(yè)務(wù)可以忍受一定的延時�����,經(jīng)過計算可以完成本次通信,為本次通信提供一次一密型加密服務(wù)�����。
[0094]步驟6:中心密鑰控制器將本次通信請求通過中心通信模塊中的以太網(wǎng)接口通過經(jīng)典信道發(fā)送給子站1的終端密鑰產(chǎn)生器并等待回應(yīng)��。
[0095]步驟7:子站1的終端密鑰產(chǎn)生器回復(fù)可以進行通信���,則將可以通信的消息通過USB線纜返回給電力調(diào)度控制中心(主站)并將本次通信需要的密鑰傳給電力調(diào)度控制中心(主站)。
[0096]步驟8:開始加密通信�����。
[0097]實施例2:
[0098]電力調(diào)度控制中心(主站)需要對子站進行遙控���,密鑰存儲器模塊中的密鑰存儲量不足���。
[0099]步驟1:電力調(diào)度控制中心(主站)通過USB線纜將本次加密通信的目的子站ID、安全級別需求以及預(yù)計流量發(fā)送給中心密鑰控制器�,本例中假設(shè)為子站1,安全級別為5�����,預(yù)計流量為3000字節(jié)。
[0100]步驟2:中心密鑰控制器收到請求信息后��,得知本次業(yè)務(wù)為遙測通信���,需要很高的安全性并可以接受小于4秒的延時����,再結(jié)合本次通信的預(yù)計流量使用計算出要完成本次通信需要1000字節(jié)的密鑰(包括額外開銷以及密鑰冗余)并查詢中心密鑰存儲器模塊中子站1的密鑰剩余量�����。
[0101]步驟3:查詢得到密鑰剩余量只有600字節(jié)����,不足以進行本次通信,根據(jù)安全盡力型加密服務(wù)的密鑰提供方法���,本次加密通信的安全級別被降低為9并將動態(tài)調(diào)節(jié)的安全級別通過USB線纜返回給電力調(diào)度控制中心(主站)��。
[0102]步驟4:電力調(diào)度控制中心(主站)接受本次動態(tài)調(diào)整安全級別�,中心密鑰控制器通過中心通信模塊的以太網(wǎng)接口向子站1的終端密鑰產(chǎn)生器發(fā)送加密通信請求并告知本次通信的安全級別以及預(yù)計流量�。
[0103]步驟5:子站1的終端密鑰產(chǎn)生器回復(fù)可以進行通信,則將可以通信的消息通過USB線纜返回給電力調(diào)度控制中心(主站)并將本次通信需要的密鑰傳給電力調(diào)度控制中心(主站)��。
[0104]步驟6:開始加密通信。
[0105]實施例3:
[0106]子站響應(yīng)電力調(diào)度控制中心(主站)的遙測指令���,密鑰存儲器中的密鑰存儲量充足����。
[0107]步驟1:子站1響應(yīng)電力調(diào)度控制中心(主站)的指令請求發(fā)送當前的線路參數(shù)數(shù)據(jù)��,本次通信的安全級別為-1��,預(yù)計流量為5000字節(jié)����,通過USB線纜將本次通信請求發(fā)送給終端密鑰產(chǎn)生器����。
[0108]步驟2:終端密鑰產(chǎn)生器收到請求,檢查當前用作對稱加密的量子密鑰已經(jīng)使用1小時��,尚未達到更換時間(2小時)�����。
[0109]步驟3:終端密鑰產(chǎn)生器向中心密鑰控制器發(fā)送加密通信請求�。
[0110]步驟4:收到中心密鑰控制器同意本次加密通信的信息后����,終端密鑰產(chǎn)生器將當前用作對稱加密的量子密鑰通過USB線纜返回給子站1�����。
[0111]步驟5:開始加密通信��。
[0112]最后應(yīng)當說明的是:以上實施例僅用以說明本發(fā)明的技術(shù)方案而非對其限制�����,所屬領(lǐng)域的普通技術(shù)人員參照上述實施例依然可以對本發(fā)明的【具體實施方式】進行修改或者等同替換�����,這些未脫離本發(fā)明精神和范圍的任何修改或者等同替換��,均在申請待批的本發(fā)明的權(quán)利要求保護范圍之內(nèi)����。
【權(quán)利要求】
1.一種提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法,其特征在于:所述方法包括以下步驟: 步驟1:通信發(fā)起方判斷本地密鑰長度是否滿足本次通信要求���; 步驟2:通信接收方收到本次通信請求后��,判斷自身剩余的本地密鑰長度是否滿足本次通信要求�; 步驟3:通信接收方開始量子密鑰加密通信; 步驟4:通信發(fā)起方開始量子密鑰加密通信�。
2.根據(jù)權(quán)利要求1所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法,其特征在于:所述步驟I中�����,通信發(fā)起方根據(jù)業(yè)務(wù)安全性服務(wù)級別和預(yù)計數(shù)據(jù)量判斷本地密鑰長度是否滿足本次通信要求����;若本地密鑰長度滿足本次通信要求�����,則將本次通信請求告知通信接收方���,等待通信接收方回應(yīng)����;若本地密鑰長度不滿足本次通信要求�,通信發(fā)起方向中心密鑰控制器發(fā)出量子密鑰獲取請求并在獲取完成后繼續(xù)執(zhí)行該步驟。
3.根據(jù)權(quán)利要求2所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法����,其特征在于:所述步驟2中��,若通信接收方自身剩余的本地密鑰長度不滿足本次通信要求���,則向中心密鑰控制器發(fā)出量子密鑰獲取請求并計時,若超時后自身剩余的本地密鑰長度與獲取的量子密鑰長度總和仍未滿足本次通信要求��,則回復(fù)通信發(fā)起方本次通信請求失敗并執(zhí)行下一步���;若通信接收方自身剩余的本地密鑰長度滿足本次通信請求��,則回復(fù)通信發(fā)起方本次通信請求失敗����,由通信發(fā)起方通知應(yīng)用程序本次通信請求失敗��。
4.根據(jù)權(quán)利要求3所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法�����,其特征在于:通信發(fā)起方或通信接收方從中心密鑰控制器獲取量子密鑰的過程如下: (1)由通信發(fā)起方或通信接收方發(fā)出量子密鑰獲取請求���,并將該量子密鑰獲取請求的目的地址���、業(yè)務(wù)安全性服務(wù)需求和預(yù)計數(shù)據(jù)量發(fā)送給中心密鑰控制器���; (2)中心密鑰控制器的資源管理模塊根據(jù)當前量子密鑰信道資源使用情況為需要通信的終端密鑰產(chǎn)生器分配資源; (3)若中心密鑰控制器成功為需要通信的終端密鑰產(chǎn)生器分配資源�,則啟動中心密鑰控制器的量子接收模塊,通過中心通信模塊通知終端密鑰產(chǎn)生器���;如果中心密鑰控制器為需要通信的終端密鑰產(chǎn)生器分配資源失敗�,則不啟動中心密鑰控制器的量子接收模塊并將結(jié)果返回給通信發(fā)起方或通信接收方���,要求通信發(fā)起方或通信接收方再次發(fā)出量子密鑰獲取請求; (4)終端密鑰產(chǎn)生器啟動量子發(fā)送模塊�����,開始產(chǎn)生量子密鑰�; (5)在通信發(fā)起方或通信接收方獲得滿足本次通信需求的量子密鑰或者本次通信結(jié)束后,業(yè)務(wù)安全性服務(wù)需求響應(yīng)完成����。
5.根據(jù)權(quán)利要求1所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法,其特征在于:所述步驟3包括以下步驟: 步驟3-1:通信接收方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰,提取完成后通信接收方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管����; 步驟3-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置。
6.根據(jù)權(quán)利要求1所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法��,其特征在于:所述步驟4包括以下步驟: 步驟4-1:通信發(fā)起方的應(yīng)用程序從本地密鑰中提取出本次通信所需密鑰��,提取完成后通信發(fā)起方的存儲模塊刪除提取出的密鑰并交由應(yīng)用程序保管�����; 步驟4-2:應(yīng)用程序在每個加密數(shù)據(jù)包的頭部加入本次通信使用的密鑰長度以及起始位置��。
7.根據(jù)權(quán)利要求2所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法����,其特征在于:所述中心密鑰控制器包括中心通信模塊、量子接收模塊�、資源管理模塊和中心密鑰存儲模塊; 所述中心通信模塊包括第一以太網(wǎng)接口和第一解碼芯片�����,負責處理與終端密鑰產(chǎn)生器之間的經(jīng)典信道數(shù)據(jù)通信��; 所述量子接收模塊用于接收終端密鑰產(chǎn)生器發(fā)送的量子信號,產(chǎn)生量子密鑰���; 所述資源管理模塊包括與業(yè)務(wù)終端通信的USB接口和微處理芯片�����,所述微處理芯片用于監(jiān)測當前量子信道的帶寬資源��,并對量子密鑰獲取請求進行處理�����; 所述中心密鑰存儲模塊包括存儲介質(zhì)和訪問控制器�����,用于存儲與每個終端密鑰產(chǎn)生器產(chǎn)生的量子密鑰���。
8.根據(jù)權(quán)利要求4所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法��,其特征在于:所述終端密鑰產(chǎn)生器包括終端通信模塊���、量子發(fā)送設(shè)備和終端密鑰存儲模塊��; 所述終端通信模塊包括第二以太網(wǎng)口和第二解碼芯片�����,負責處理與中心密鑰控制器之間的經(jīng)典信道數(shù)據(jù)通信���; 所述量子發(fā)送設(shè)備用于發(fā)送量子信號到中心密鑰控制器以產(chǎn)生量子密鑰��; 所述終端密鑰存儲模塊由大容量硬盤構(gòu)成�,用于存儲與中心密鑰控制器對應(yīng)的量子密鑰���。
9.根據(jù)權(quán)利要求2所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法��,其特征在于:業(yè)務(wù)安全性服務(wù)級別包括一次一密型加密服務(wù)���、安全盡力型加密服務(wù)和密鑰節(jié)約型加密服務(wù),三者的安全性服務(wù)級別按照一次一密型加密服務(wù)����、安全盡力型加密服務(wù)、密鑰節(jié)約型加密服務(wù)的順序依次遞減�。
10.根據(jù)權(quán)利要求9所述的提高電力數(shù)據(jù)傳輸安全性的量子密鑰分等級提供方法,其特征在于:一次一密型加密服務(wù)中�,利用按位異或的方式對將要傳輸?shù)臄?shù)據(jù)進行加密��,一個字節(jié)的密鑰只用來加密一個字節(jié)的數(shù)據(jù)��,所有密鑰只使用一次��; 安全盡力型加密服務(wù)中�����,L表示每個密鑰數(shù)據(jù)段的長度��,M表示密鑰數(shù)據(jù)段的個數(shù)�,N表示本密鑰幀需要重復(fù)使用的次數(shù)���;一個密鑰幀由M*N字節(jié)的幀頭以及L*M字節(jié)的密鑰數(shù)據(jù)構(gòu)成��,其中密鑰數(shù)據(jù)分為M個L字節(jié)的數(shù)據(jù)段�,整個幀數(shù)據(jù)均為量子密鑰���;第一次使用時直接使用密鑰數(shù)據(jù)段使用一次一密方式加密��,第k次使用時將M個密鑰數(shù)據(jù)段的第i個數(shù)據(jù)段中的每個字節(jié)與幀頭的第(k-2)*M+i個字節(jié)異或形成新的密鑰數(shù)據(jù)段,使用該密鑰數(shù)據(jù)段對數(shù)據(jù)進行一次一密方式加密�����,其中k取值范圍為2至N+l,i的取值范圍為I至M; 密鑰節(jié)約型加密服務(wù)中���,直接使用量子密鑰作為會話密鑰��,使用對稱加密算法進行加tMI_L| O
【文檔編號】H04L9/08GK104486316SQ201410743632
【公開日】2015年4月1日 申請日期:2014年12月8日 優(yōu)先權(quán)日:2014年12月8日
【發(fā)明者】周靜, 孫詠梅, 盧利鋒, 焦健 申請人:國家電網(wǎng)公司, 中國電力科學研究院, 北京郵電大學