本发明专利技术公开了一种电网SSL?VPN中密钥更新和使用的方法,该方法将量子密钥分配网络和电力系统调度数据网进行双网结合,其目的在于以双网结合的方式将无条件安全的量子密钥应用与电网中,保障电力数据传输的安全性。本发明专利技术给出了两个网络融合的具体实现方法,将量子密钥应用于电网SSL?VPN中的三种形式,以及结合后网络中的具体通信流程。本发明专利技术的优点在于方便实用,在节约成本的同时,又能增强传输数据的安全性。
【技术实现步骤摘要】
【专利摘要】本专利技术公开了一种电网SSL?VPN中密钥更新和使用的方法,该方法将量子密钥分配网络和电力系统调度数据网进行双网结合,其目的在于以双网结合的方式将无条件安全的量子密钥应用与电网中,保障电力数据传输的安全性。本专利技术给出了两个网络融合的具体实现方法,将量子密钥应用于电网SSL?VPN中的三种形式,以及结合后网络中的具体通信流程。本专利技术的优点在于方便实用,在节约成本的同时,又能增强传输数据的安全性。【专利说明】—种电网SSLVPN中密钥更新和使用的方法
本专利技术涉及通信领域和量子密码领域,特别是一种电网SSL VPN中密钥更新和使用的方法,该方法利用通信领域和量子密码两者的交叉结合,给出了量子密钥技术在电网中的一类使用方法。
技术介绍
随着业务的发展,电力系统调度数据网的规模越来越大,需要处理的数据类型种类繁多,而另一方面,随着网络的普及,电网分布的地域也越来越广泛,从国家主要省市到乡镇几乎都建立了相应的子网。子网之间以及子网与总站之间就需要一个有效的通信机制来保证数据的安全性。它不但要保证基站之间信息的机密性,还要确保不同业务之间的隔离,不同用户之间的身份认证等。根据这一需求,目前普遍采用的技术是虚拟专用网技术(VPN),在基站之间建立虚拟的隧道,隧道能为传输的数据提供完整性、机密性等保证。为实现多任务的需求,进一步为每个任务建立一个隧道。实现虚拟专用网络的技术有很多,如基于PPP、IPSec, TLS、SSL等协议。从成本和便利性考虑,SSL技术在电网中有着广泛的使用前景,因为SSL是内嵌在浏览器中,不需要像传统IPSec VPN —样必须为每一台客户机安装客户端软件。传统的VPN技术采用密钥协商、预共享密钥等手段来分发主密钥,之后再由主密钥进一步计算出会话密钥。会话密钥用在AES、DES等加密算法中,保证通信的机密性、完整性。但是这种安全性是有条件的,它的密钥预共享过程依赖于计算复杂度,随着计算机处理能力的提升,特别是量子计算技术的出现,使得安全性面临严峻的挑战。例如Grover量子搜索算法能让搜索时间从N量级缩减至根号N量级,可以大大缩减破解DES密码所需要的时间。这就迫切需要提出新的密钥共享方案,使通信双方之间能够建立无条件安全的密钥。量子密钥分配技术很好地解决了密钥分配的难题,它使得通信双方能够获得信息论意义上无条件安全的密钥。它的安全性基于量子力学中的海森堡不确定性原理,任何攻击者都无法窃取最终的安全密钥,即使攻击者拥有无限的计算资源。随着量子路由器、量子密钥分配收发终端等设备的研制成功,量子密钥分配网络已经能够投入实用。那么在这样前提下,如何将量子密钥分配技术融合到经典网络中,才能够有效地保证数据的安全性呢?前面已经有学者提出IPSec、TLS等协议与量子密钥的结合。但是针对电网的具体需求,目前还没有很好的方法能为其提供安全的密钥,通信双方之间的信息,特别是控制信息以及一些机密的消息还是有被窃听者窃取的危险。
技术实现思路
鉴于上述所提的现有技术问题,本专利技术的目的是提供一种电网SSL VPN中密钥更新和使用的方法,通过将量子密钥分配网络与电网有机融合在一起,实现无条件安全的量子密钥在电力系统调度网络中的更新和使用,最大限度地保障电力数据传输的完整性和机密性。本专利技术实现上述的目的采用的技术方案为:一种电网SSL VPN中密钥更新和使用的方法,该方法需要两个网络,一个是量子密钥分配网络,一个是电力系统调度网络。其中,量子密钥分配网络用来实现密钥的安全分配。实现密钥分配使用BB84、B92、E91等单光子协议或者连续变量协议。实现端到端的密钥分发功能,至少需要通信双方各有一个量子密钥分配终端,并共享一条量子信道和一条经典信道。为了实现网络功能,需要使用到可信中继、量子路由器、交换机等设备来实现不同地域节点之间通信路径的选择。根据量子信道的实现方式的不同,量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络。其中,电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络。它是根据需要在一定区域内基站间建立的专用局域网络。考虑到不同的基站子网之间的消息互通性和安全性,使用了虚拟专用网技术来将不同局域网络连接起来,组建成电力系统调度网络使用。同时由于电力系统调度网络中任务繁多,为了实现不同任务之间的有效隔离,实现任务分区和分级管理,针对不同的任务建立了不同的虚拟专用隧道。这里的电力系统调度网络的组建至少需要两个局域网,每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器。为了组建覆盖面更广的网络,需要将所有的基站-基站之间、基站-主站之间都连接起来,实现全网的安全通信。为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥,需要将两网进行有效地结合,在融合后的网络中至少包含几个必备的组成部分:量子密钥分配网络、量子密钥服务器、公网、SSL VPN服务器和客户端、调度任务服务器和项目服务器等其他数据库服务器。所述量子密钥分配网络,是指用于传递分配量子密钥的专用网络,其传输通道是光纤信道或者自由空间信道。随着距离的增加和网络规模的扩大,这里还应该包含为延长距离而采用的可信中继和量子中继,为节约资源和增加灵活性而使用到量子路由器、交换机等设备。所述量子密钥服务器,是指使用量子密钥的节点为接入量子密钥分配网络获取安全密钥的设备,集成了从量子密钥分配网络中获取量子密钥的终端模块,以及密钥存储单元。量子密钥实时地直接提供给应用服务器,或者暂时存储在服务器的存储单元中,待需要使用时,再从存储单元中调出,实现对突发应用数据的处理。所述SSL VPN服务器和客户端,用于实现电力系统调度网络中虚拟隧道的建立和控制,管理VPN所需的加密算法、密钥协商和提取等过程。在用户登录时实现用户身份的验证,然后需要在传输数据的两端建立起虚拟专用链接,根据传输信息的需要,量子密钥服务器协商密钥的大小,以及调度策略,待密钥读取进入服务器后对传输或接收的数据进行加解密处理。所述其他数据库服务器,用于实现具体任务所需的数据库,将不同的任务分区处理,如任务调度服务器、项目服务器等。这些服务器主要用于分类存放相应的数据信息。在处理不同的业务时,需要从指定的服务器上读取或者写入数据。本专利目的在于通过实现量子密钥在电力系统调度网络中的使用,最大限度地保障电力数据传输的完整性和机密性。其主要实现方法包含以下过程:A.消息协商过程。将量子密钥分配网络得到量子密钥用在电力系统调度网络有三种形式,分别是将量子密钥用来替代SSL协议建立过程中的认证密钥、预主密钥或主密钥、会话密钥。因此在连接建立之后,通信双方需要协商好从量子密钥服务器得到密钥的具体用途,也就是需要指明是用来替换认证密钥,还是替换预主密钥或主密钥,抑或是替换会话密钥的,也可能三者中的两者或者三者全部替换。当量子密钥被用来替换会话密钥时,我们需要进一步协商在同一个会话之间量子密钥更新的频率。为了进一步实现信息论无条件的安全性需求,需在加密算法集合中引入“一次一密”算法,扩大加密算法的选择性。因此还需要协商是否使用“一次一密”算法等信息。B.量子密钥分配过程。使用量子密钥服务器在通信双方或者多方之间建立共享的量子密钥。如果不本文档来自技高网...
【技术保护点】
一种电网SSL?VPN中密钥更新和使用的方法,其特征在于,该方法需要两个网络,一个是量子密钥分配网络,一个是电力系统调度网络;其中,量子密钥分配网络用来实现密钥的安全分配,实现密钥分配使用BB84、B92、E91单光子协议或者连续变量协议,实现端到端的密钥分发功能,至少需要通信双方各有一个量子密钥分配终端,并共享一条量子信道和一条经典信道,为了实现网络功能,需要使用到可信中继、量子路由器、交换机设备来实现不同地域节点之间通信路径的选择,根据量子信道的实现方式的不同,量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络;其中,电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络,它是根据需要在一定区域内基站间建立的专用局域网络,考虑到不同的基站子网之间的消息互通性和安全性,使用了虚拟专用网技术来将不同局域网络连接起来,组建成电力系统调度网络使用,同时由于电力系统调度网络中任务繁多,为了实现不同任务之间的有效隔离,实现任务分区和分级管理,针对不同的任务建立了不同的虚拟专用隧道,这里的电力系统调度网络的组建至少需要两个局域网,每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器,为了组建覆盖面更广的网络,需要将所有的基站?基站之间、基站?主站之间都连接起来,实现全网的安全通信;为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥,需要将两网进行有效地结合,在融合后的网络中至少包含几个必备的组成部分:量子密钥分配网络、量子密钥服务器、公网、SSL?VPN服务器和客户端、调度任务服务器和项目服务器等其他数据库服务器;所述量子密钥分配网络,是指用于传递分配量子密钥的专用网络,其传输通道是光纤信道或者自由空间信道,随着距离的增加和网络规模的扩大,这里还应该包含为延长距离而采用的可信中继和量子中继,为节约资源和增加灵活性而使用到量子路由器、交换机设备;所述量子密钥服务器,是指使用量子密钥的节点为接入量子密钥分配网络获取安全密钥的设备,集成了从量子密钥分配网络中获取量子密钥的终端模块,以及密钥存储单元,量子密钥实时地直接提供给应用服务器,或者暂时存储在服务器的存储单元中,待需要使用时,再从存储单元中调出,实现对突发应用数据的处理;所述SSL?VPN服务器和客户端,用于实现电力系统调度网络中虚拟隧道的建立和控制,管理VPN所需的加密算法、密钥协商和提取过程,在用户登录时实现用户身份的验证,然后 需要在传输数据的两端建立起虚拟专用链接,根据传输信息的需要,量子密钥服务器协商密钥的大小,以及调度策略,待密钥读取进入服务器后对传输或接收的数据进行加解密处理;所述其他数据库服务器,用于实现具体任务所需的数据库,将不同的任务分区处理,这些服务器主要用于分类存放相应的数据信息,在处理不同的业务时,需要从指定的服务器上读取或者写入数据;通过实现量子密钥在电力系统调度网络中的使用,最大限度地保障电力数据传输的完整性和机密性,其主要实现方法包含以下过程:A.消息协商过程:将量子密钥分配网络得到量子密钥用在电力系统调度网络有三种形式,分别是将量子密钥用来替代SSL协议建立过程中的认证密钥、预主密钥或主密钥、会话密钥,因此在连接建立之后,通信双方需要协商好从量子密钥服务器得到密钥的具体用途,也就是需要指明是用来替换认证密钥,还是替换预主密钥或主密钥,抑或是替换会话密钥的,也可能三者中的两者或者三者全部替换,当量子密钥被用来替换会话密钥时,需要进一步协商在同一个会话之间量子密钥更新的频率,为了进一步实现信息论无条件的安全性需求,需在加密算法集合中引入“一次一密”算法,扩大加密算法的选择性,因此还需要协商是否使用“一次一密”算法信息;B.量子密钥分配过程:使用量子密钥服务器在通信双方或者多方之间建立共享的量子密钥,如果不使用存储技术,那么每次启动量子密钥分配过程时,都需要实时的进行密钥分配处理,等到密钥量到达上层协议所需要求时再停止,若是使用了存储技术,那么在每次启动量子密钥分配过程时,需先检验存储器中的密钥量是否满足任务的需要,若是满足需要,则直接调用存储器中的密钥,否则需要开始密钥分配过程,量子密钥分配过程,对是否使用存储器不作要求,对于没有存储器时的情况相当于存储器中存储量恒等于零;C.电网SSL?VPN服务器和客户端调用量子密钥过程:在建立隧道后,当上层任务信息到达后,SSL?VPN服务器和客户端分别需要向量子密钥服务器请求所需的密钥量,当量子密钥服务器中现有的密钥量能满足请求所需,则直接向SSLVPN服务器和...
【技术特征摘要】
【专利技术属性】
技术研发人员:王双,周静,刘东,陈巍,银振强,黄靖正,周政,陈希,雷煜卿,韩正甫,郭光灿,
申请(专利权)人:中国科学技术大学,中国电力科学研究院,国网北京市电力公司,
类型:发明
国别省市:
还没有人留言评论。发表了对其他浏览者有用的留言会获得科技券。