電力多終端量子密鑰融合設計及驗證

夏少嫻，翟 峰，夏 信，王守志

(1.北京電科智芯科技有限公司，北京 100192； 2.中國電力科學研究院有限公司 計量研究所，北京 100192)

0 引 言

電力等重要基礎設施領域已成為“網絡戰”重點攻擊目標之一[1],在嚴峻復雜的網絡安全和數據安全形勢下，量子安全保密通信技術應運而生,其作為一種理論上無條件安全的密鑰分發方式，勢必掀起密碼技術發展的變革[2]。

目前電力系統中的量子密鑰分發(Quantum Key Distribution, QKD)系統通常是由點對點鏈路上的一對通過量子信道連接的設備組成[3]。量子保密終端的基礎是3層架構，兩端QKD生成量子密鑰，并推送給量子密鑰管理 (Quantum Key Management, QKM) 設備，然后再將量子密鑰推送給對稱算法加密機，在兩站點間進行數據加密。本文結合電力系統應用場景[4-6]，將量子保密通信技術與經過深入研究的傳統技術和經典設施相融合，創新應用模式，開展多終端量子密鑰應用研究，提出了一種基于量子保密通信技術的手持抄表解決方案，以保護電力系統數據安全，提升系統整體安全防護能力。

1 電力量子密鑰融合

在電力系統經典應用架構中，對稱和非對稱密鑰的使用是保證各項業務數據流安全傳輸的重要前提。為進一步提高密鑰的利用率，多采用密鑰合成、分散和分級等方式來預防黑客攻擊。由QKD生成的量子密鑰基于Heisenberg測不準原理和不可克隆原理，若發現竊聽者的存在，則雙方均將此時段的二進制信息拋棄，最終得到可靠的對稱密鑰。電力量子密鑰融合即將量子密鑰與傳統非對稱密鑰相結合，一方面提高了密鑰的可靠性，簡化了密鑰的使用流程；另一方面保留了電力通用業務的使用，二者珠聯璧合，有效提升了電力系統應用架構的整體安全性。

1.1 電力某多終端應用場景概述

基于某費控體系的手持抄表終端安全單元作為主站和電表之間的紐帶，主要用來保證主站對電表任務數據和采集信息的安全性和可靠性。安全單元內嵌兩顆安全芯片，根據應用需求，芯片內部存儲多條密鑰參與國密算法計算，一顆用于對操作員身份的鑒別，另一顆用于手持抄表終端的業務流程控制。

信息安全不僅要保證通信的安全，也要保證終端的安全[7]。如果終端安全可以做得很好，加上QKD[8]之后，就能夠非常全面和可靠地保證信息安全。

1.2 多終端量子密鑰應用探究

在圖1所示的架構中，應用側手持終端、電能表和集中器均為內嵌安全模塊的終端設備，主要包括電能表-主站、電能表-手持終端和手持終端-主站3種數據傳輸模式。結合圖1提出圖2所示的基于量子保密通信技術的手持抄表解決方案。紅色為主站與手持終端(或電表)之間的加密通信，紫色為手持終端和電表之間的加密通信。在量子密鑰推送后，主站和終端之間及各個終端之間都可以進行加密通信，終端不僅可以以密碼機(Hardware Security Module, HSM)的形式存在，也可以軟件開發工具包的形式存在。安全模塊中存儲的量子密鑰在進行“一次一密”通信過程中，在執行每一次的業務操作時，對數據進行對稱加密運算均使用新密鑰進行處理，保證每一條密鑰僅使用一次，后期需要通過主站定期更新密鑰，對安全模塊密鑰進行充注。

圖1 基于某費控體系的手持抄表終端架構圖

圖2 基于量子保密通信技術的手持抄表解決方案

2 QKM系統設計

2.1 總體架構

QKM系統由系統初始化、系統管理、系統安全、業務功能和審計功能組成，總體功能結構如圖3所示。

圖3 QKM系統架構圖

QKM系統部署完成后，需要通過初始化功能初始化系統及設備信息，然后切換系統運行狀態。系統管理包含用戶和角色管理。角色默認提供基本角色：管理員、安全員、審核員和默認操作員4個角色。系統安全模塊可對系統運行參數、登陸密碼和令牌PIN進行修改。量子密鑰的生成是業務的核心，結合分散因子管理，完成量子HSM和QKM令牌等密碼設備的發行。系統信息可以查看系統版本、級別和運行配置信息等，用戶進行操作時，會記錄相關的系統日志。操作用戶可以查看自己的系統運行操作記錄，審核員可以查看所有人員的操作記錄。QKM設備審計可對量子HSM和QKM令牌進行審計，可查看所有與系統連接過的設備的運行狀態及詳細運行信息。QKM系統提供按日生成日志文件功能和加密碼算法校驗功能，將文件路徑、名稱和生成日期等信息存儲在數據庫中，并提供查詢上述信息的界面。

2.2 量子密鑰生成

QKM系統負責內部量子密鑰的存儲與更新，QKD與QKM之間的交互包括[9-11]：身份認證、會話協商和獲取量子密鑰等。QKM之間同步獲取量子密鑰，具體業務流程如圖4所示。

圖4 獲取量子密鑰業務流程圖

QKM-1與QKD-Bob、QKM-2與QKD-Alice、QKM-1與QKM-2分別建立連接，QKM與QKD雙方通過雙向挑戰應答機制進行設備身份認證，確保通信對方為可信合法設備，身份認證通過后，雙方通過雙向密鑰協商機制進行會話密鑰協商。當會話密鑰生命周期到期時，QKM與QKD通過會話密鑰更新流程完成會話密鑰更新。

以QKM-1為同步獲取密鑰發起端，組裝量子密鑰請求報文，向QKD-Bob獲取密鑰； QKD-Bob解析量子密鑰請求后從量子密鑰池獲取密鑰，向QKM-1發送量子密鑰反饋報文，攜帶獲取到的密鑰列表和ID列表；QKM-1解析量子密鑰反饋報文，得到量子密鑰和密鑰ID，向QKD-Bob發送量子密鑰確認報文攜帶密鑰ID，確認己方已收到，并向QKM-2發起密鑰同步請求，攜帶獲取到的密鑰ID；QKD-Bob收到量子密鑰確認報文，從密鑰池刪除本次輸出的密鑰信息；QKM-2接收密鑰同步請求，取出密鑰ID，組裝量子密鑰請求報文，向QKD-Alice獲取指定ID密鑰；QKD-Alice解析量子密鑰請求報文，從量子密鑰池獲取指定ID密鑰，向QKM-2發送量子密鑰反饋報文，攜帶獲取到的密鑰列表和密鑰ID列表；QKM-2解析量子密鑰反饋報文，得到量子密鑰和密鑰ID，向QKD-Alice發送量子密鑰確認報文攜帶密鑰ID，確認己方已收到，并向QKM-1發起密鑰同步反饋；QKM-1收到密鑰同步反饋，表示QKM-2已取到與自己完全一致的密鑰，則將本次待同步量子密鑰存入已同步密鑰，并通知QKM-2已存儲；QKM-2收到QKM-1存儲通知，則將本次待同步量子密鑰存入已同步密鑰；至此，QKM-1與QKM-2同步獲取量子密鑰過程完畢。

3 多終端量子密鑰應用驗證

3.1 量子密鑰驗證架構

在實驗探究階段，結合經典QKD架構，本文提出如圖5所示的多終端量子密鑰應用驗證架構。除經典模塊外，新增模擬終端和模擬主站系統(即主站和終端交互測試程序)，以驗證量子密鑰的可行性。

圖5 多終端量子密鑰應用驗證架構圖

根據量子保密通信系統密鑰交互接口技術規范，定制化開發QKM系統[12-14]，實現QKD控制、量子密鑰分配和量子密鑰傳輸等功能。結合應用流程詳細設計，包括：主站和終端/量子HSM連接、斷開主站和終端/量子HSM的連接、數據加密應用、數據解密應用、會話協商、身份認證和密鑰更新等，定制化開發QKD設備、量子HSM及模擬終端交互接口。主站和終端交互測試程序作為模擬主站系統，調用量子HSM，配合模擬終端，實現各應用流程的驗證。

3.2 應用接口開發

如圖5所示，QKD設備、量子HSM及模擬終端交互接口可總結為以下6類，如表1所示。

表1 量子密鑰驗證方案接口明細表

3.3 安全性提升說明

結合設計框架，搭建如6圖所示的系統進行驗證。除驗證常規應用流程外，配合使用光纖耦合夾，將光纖剝皮后夾在上面，通過彎曲光纖分光。根據散出的小部分光還原數據，達到光纖竊聽的目的，進一步驗證生成量子密鑰的安全性。

圖6 量子保密通信技術系統研究實物圖

4 結束語

電力領域量子保密通信技術的應用正處于試驗探索的初期階段，市場上還沒有成熟的量子保密通信解決方案去應對多終端的應用場景。綜上所述，本文提出的基于量子保密通信技術的手持抄表解決方案及相關研究是電力多終端量子密鑰應用的可行場景。此外，縱觀用電信息采集系統和配網自動化密鑰管理系統等配用電系統均已在網穩定運行，其安全性滿足各項安全要求。對量子密鑰的深入研究將有利于量子保密通信技術與電力應用的有效融合，實現技術升級換代，系統在安全、準確、可靠、有效和實時等方面性能得到進一步提升。