[发明专利]一种电力专用量子加密网关系统

摘要

本发明提供了一种电力专用量子加密网关系统，包括通过量子链路与网关管理装置通信连接的电力专用量子加密网关；电力专用量子加密网关通过量子链路或经典链路进行加密通信；量子密钥分配装置集成设置在电力专用量子加密网关，包括垂直集成模式和横向集成模式；量子链路包括通过光纤或自由空间连接的量子密钥发送装置和量子密钥接收装置；网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块。和现有技术相比，本发明提供的电力专用量子加密网关系统可以同时支持传统模式和量子模式两种加密功能，在量子模式下可以为电力系统数据传输提供无条件的信息安全保障；便于电力专用量子加密网大规模部署和产业实用化。

主权项

1.一种电力专用量子加密网关系统，其特征在于，所述系统包括通过量子链路与网关管理装置通信连接的电力专用量子加密网关；所述电力专用量子加密网关通过所述量子链路或经典链路进行加密通信；量子密钥分配装置集成设置在所述电力专用量子加密网关上；所述经典链路包括TCP/IP网络通道、载波通道、微波通道和光纤通道；所述电力专用量子加密网关包括用户配置接口解析模块、用户认证模块、密钥协商模块、数据加解密模块和通信接口模块；所述密钥协商模块的密钥协商模式包括量子模式和传统模式；所述数据加解密模块支持SSX06、RSA和OTP加密算法；所述通信接口模块包括量子密钥分配装置专用接口；所述传统模式和所述量子模式的切换条件为：①：所述量子密钥分配装置产生的密钥无法满足所述数据加解密模块的需求时，由量子模式切换至传统模式；②：用户不具备启动所述量子模式的权限时，则默认采用传统模式；③：用户通过所述密钥协商模块预设所述密钥协商模式；所述量子密钥分配装置包括量子密钥发送装置和量子密钥接收装置；所述量子密钥发送装置包括量子密钥发送控制器、随机数发生器和量子发送器；所述量子密钥接收装置包括量子密钥接收控制器和量子接收器；所述量子链路包括通过光纤或自由空间连接的所述量子密钥发送装置和所述量子密钥接收装置；所述网关管理装置包括用户认证模块、用户权限/证书管理模块、量子密钥管理模块和通信接口模块；所述用户权限/证书管理模块用于管理用户和业务应用系统的信息，并定义权限和安全性，只有满足权限的所述用户和所述业务应用系统才允许通过所述量子链路分发安全密钥；所述量子密钥管理模块包括与所述业务应用系统对应的密钥存储单元；所述量子密钥管理模块用于分配和管理密钥记录，通过所述密钥记录确定密钥分配方式，并根据所述业务应用系统的密钥的消耗速度，从所述密钥存储单元中提取所述密钥；所述量子密钥分配装置的集成模式包括垂直集成模式和横向集成模式；所述垂直集成模式为所述数据加解密模块和所述量子密钥分配装置均集成在所述电力专用量子加密网关内；所述横向集成模式为所述数据加解密模块通过所述通信接口模块与所述量子密钥分配装置通信连接；所述密钥协商模式的所述量子模式包括下述步骤：1‑1：所述随机数发生器对所述量子发送器发出的每个光子进行光子调制；所述光子调制采用BB84编码协议；所述随机数发生器将所述光子调制的调制信息发送到所述量子密钥发送控制器；所述调制信息包括编码基和编码协议；1‑2：所述量子接收器随机选择所述编码基对接收的所述光子进行测量；所述量子接收器将测量数据发送到所述量子密钥接收控制器；1‑3：所述量子密钥发送控制器和所述量子密钥接收控制器通过所述经典链路进行身份认证和通信后建立共享秘钥；所述通信包括密钥筛选、协商纠错和保密放大；所述量子链路进行加密通信包括：网关A和网关B之间不具备直连的量子链路时，网关管理装置PS‑QKMC通过建立多级密钥实现网关A和B网关的加密通信；具体为：网关管理装置PS‑QKMC分别通过量子链路向网关A和网关B分发一组共享密钥，即一级密钥{KS}；网关A和网关B通过一级密钥{KS}建立通信会话密钥，即二级密钥{WK}；最后网关A和B基于会话密钥{WK}完成安全通信过程；所述密钥筛选包括：网关A通过经典链路将光子测量数据的测量基传输给网关B；测量基包括水平/垂直基和对角基；一个光子只能用一个测量基进行测量，如果采用了错误的测量基，则测量值将会完全随机； 网关A保留网关B采用正确测量基的测量值，并将这些测量值通过经典链路反馈给网关B；从而网关A和网关B拥有了一串长度相同的筛选密钥列表；所述协商纠错包括：利用BBSS，Cascade和Winnow算法对存在“误码”的密钥列表进行筛选；在协商纠错之前随机公开一部分密钥，以评估误码率；通过误码率初步分析是否有Eve进行窃听，如果误码率小于11.5％，则认为本次通信安全，否则认为有Eve窃听，通信失败；所述保密放大包括：由于Eve也存在一个较小的概率可以得到正确的比特，当合法用户在公开信道中进行对基时，Eve也可以获取部分信息；因此需要对协商纠错之后的密钥列表进行数学处理，通过牺牲部分密钥来除去Eve获得的信息；所述密钥协商模块传统模式包括下述步骤：1)、网关A的随机数发生器产生随机数r1，并用网关B对应证书中的公钥进行加密，同时用私钥进行签名，作Msg_A＝Ecert_B(r1)||Eskey|(H(r1))，并将Msg_A发送给网关B；2)、网关B接收到Msg_A后，用本网关的私钥解密Msg_A，并验证网关A的签名，如果签名验证成功，网关B采用内部的随机数发生器产生随机数r2，并用网关A对应证书中的公钥进行加密，同时用私钥进行签名，作Msg_B＝Ecert_A(r2)||Eskey|(H(r2))，将Msg_B发送给网关A；3)、网关A接收到Msg_B后，用本网关的私钥解密Msg_B，并验证网关B的签名，如果签名验证成功，合成会话密钥SK＝r1|r2，并作HASH运算，作Msg_C＝H(r1|r2)，并将Msg_C发送给网关B；4)、网关B同样对合成密钥作HASH运算，作Msg_D＝H(r1|r2)，并比较Msg_C与Msg_D是否相同，如果相同则密钥协商与认证完成，进入正常通信阶段。