量子通信技術在變電站領域的應用展望

李心宇，王 松，阮黎翔，許 烽

（國網浙江省電力有限公司電力科學研究院，杭州 310014）

0 引言

21世紀量子力學與信息技術不斷深度融合，利用先進的光電子技術以量子為載體實現經典信息的獲取、處理和傳遞，形成了以量子通信、量子計算、精密測量等為代表的量子信息技術。量子信息技術在第十三屆全國人大四次會議上被列為關系國家發展戰略的關鍵技術。國網公司也提出要總結利用量子信息技術，助力新型電力系統建設。

量子信息技術在電力系統的應用探索已經取得了一定的研究成果。量子精密測量方面，基于約瑟夫森效應的量子電壓標準實現了以基本物理常數表征單位，提升了電壓測量的準確度；基于鈣離子光鐘的時間計量技術提升了時間頻率標準量值精度，有利于實現大電網廣域級聯保護技術［1］。量子計算方面，丹麥技術大學和IBM 公司于2022年首次在真實量子計算機上完成了電網潮流計算。量子計算理論上在計算不確定、大規模、復雜系統的優化問題時比經典算法有優勢，但目前量子計算機對運行環境要求極為苛刻，硬件、計算系統也仍未成熟，無法取代經典計算機［2-3］。量子通信方面，在河南開展了輔控系統“量子密鑰+縱密”的有線組網試驗；在北京完成了國網公司兩會視頻直播衛星應急業務系統間數據量子加密傳輸［4］；在上海完成了面向能源互聯網的三表集抄業務的量子加密傳輸［5］；在天津完成了綜合能源智慧管控系統量子加密傳輸；在杭州完成了G20 保電指揮系統和電纜監控系統的量子加密傳輸［6］；在紹興、金華、杭州等地的配電網系統中，開展了量子開關示范工程建設等。

但在變電站監控系統領域，量子通信技術的應用尚屬空白。當前變電站均采用光纖點對點通信方式，缺乏靈活性及可拓展性；部分變電站存在受網架結構限制導致僅有單條通信通道，不滿足“N-1”原則的問題；變電站無線接入設備在通信過程中缺乏有效的加密及防護措施，存在信息被竊取、篡改等生產安全風險。同時，在分布式能源廣泛接入的背景下，新型電力系統要求提升電網的信息感知和協同控制能力，變電站上承各級調度，下接源荷儲等各種資源，不僅是電網的能量樞紐，也將是信息樞紐。利用量子通信技術的安全性和先進性［7］，有利于提升變電站在未來電網中的通信安全和信息安全。

基于上述需求背景，本文介紹了量子通信技術的原理，構想了在當前及未來變電站中的應用場景，并對量子通信技術在變電站領域應用面臨的問題提出了建議。

1 量子通信技術發展現狀

量子通信是基于量子力學中的不確定性、測量坍縮和不可克隆三大原理，具備竊聽感知能力和無法被計算破解的保密通信技術。量子通信有量子密鑰分發［8-21］、量子隱形傳態［22-24］、量子安全直接通信［25-30］等主要研究方向。

量子密鑰分發是1984年Bennett 與Brassard 提出了經典的BB84協議［8］，該協議是首個具有竊聽感知能力的密鑰協商協議，原理上可實現“無條件安全”通信［9］。隨著量子密鑰分發領域的進一步研究和應用，又出現了E91 協議［10］、BBM92 協議［11］、CV-QKD 協議［12］、DI-QKD 協議［13］、MDI-QKD協議［14］等變體協議，思想原理與BB84協議相同，意在消除元器件不完美符合理想BB84協議數學模型帶來的安全風險，提升安全通信距離及安全碼率，提升量子密鑰分發技術的可實施性［15-17］。BB84 協議密鑰協商基于單光子的調制與測量，量子密鑰分發技術通過量子信道協商、分發密鑰，而通信仍依賴于經典信道，存在信息攜帶率較低的問題，但單光子調制與測量的實現較為容易。目前已有商用產品在金融、電力等行業開展示范應用［18-21］。

量子隱形傳態方面是1993年由Bennett 與Brassard等人提出的利用糾纏效應進行信息傳輸的通信方案［22］。2017年，合肥及加拿大卡爾加里的兩個實驗組分別實現了獨立光源的外場試驗［23］，但近年在實驗方面未有重大突破。目前，量子隱形傳態采取的方案是先制備糾纏光子對，信息發送方（以下稱為“Alice”）將一半糾纏光子序列發給信息接收方（以下稱為“Bob”），抽取部分光子進行測量用于通信安全判斷。Alice 判斷通信安全后，將需要傳輸的信息與持有的光子序列進行聯合貝爾基測量，信息本身利用糾纏效應不經過任何信道在聯合貝爾基測量瞬時完成傳輸，但作為密鑰的聯合貝爾基測量結果仍需通過經典信道向Bob發送，Bob 才能對持有的光子序列進行幺正變換，再作單粒子測量以提取信息。目前，量子隱形傳態通信需要產生、分離糾纏光子對，并進行光量子存儲、挑選、變換等操作，且聯合貝爾基測量較為復雜，相關設備尚未實現技術突破，尚難以滿足工程化應用需求［24］。

量子直接安全通信是2000年由龍桂魯和劉曉曙提出的，意在實現使用量子信道直接傳輸機密信息［25］。2004年，鄧富國和龍桂魯提出了基于單光子量子態序列的量子一次一密直接通信方案DL04協議［26］。2020年，周瀾等人提出儀器無關量子直通協議［27］，從協議層面消除儀器缺陷引起的漏洞。量子直接安全通信不使用密鑰，光量子由Bob 發出，通信安全性判斷也由Bob 判斷，Alice通過對Bob 發出的單光子序列進行幺正變換實現機密信息編碼，發還給Bob 進行信息提取及通信安全性判斷。相比量子密鑰分發和量子隱形傳態省去了經典信道，成碼率、信息攜帶率高，但目前存在對量子存儲、挑選、處理裝置要求較高的問題，還需要采取措施避免傳輸過程中噪聲造成的誤碼、丟碼，尚無滿足工程化應用的產品［28-30］。

因此，在當前技術條件下，仍僅有量子密鑰分發技術在設備方面達到了工程應用標準。具備推廣應用基礎，有助于提升變電站通信安全性和接入靈活性。

2 傳統非對稱密鑰加密技術與量子密鑰分發技術的密碼學對比

當前電力系統中縱向加密裝置加密通常采用傳統非對稱密鑰加密技術（如SM2 算法），其密碼學上的安全性是由通過實踐檢驗的數學難題來保證的，如橢圓曲線等。傳統非對稱密鑰加密技術的安全性取決于攻擊算法和算力，當開發出針對性算法或高算力破解工具，完成對數學難題的破解后，對應算法安全性將受到影響（如RSA 算法），非對稱密鑰的優勢是在網絡通信場景中保證密鑰數量不會指數級增長，利于密鑰管理和使用。

量子密鑰分發技術的核心是由信息發送方和信息接收方協商生成真隨機的密鑰序列，密鑰僅在量子信道上傳輸且具有竊聽感知能力，可保證生成的密鑰未發生外泄，攻擊者僅可截獲經典信道上傳輸的密文，而密文采用等長真隨機數序列加密，攻擊者無法總結密鑰生成規律對密鑰序列進行推斷。不同于賬號密碼破解，密文無“登陸成功/失敗”反饋，無法通過暴力破解手段解密。量子密鑰分發技術在密碼學上的安全性與攻擊算法、算力無關，是通過滿足香儂《通信的數學理論》中“無條件安全通信”條件來保證的，即：加密密鑰采用真隨機序列；加密密鑰序列不短于待加密明文；每次通信使用新的密鑰。

量子密鑰分發技術通常采用對稱密鑰加密信息，更適用于點對點通信場景，若直接用于網絡通信場景則可能產生密鑰對數指數級增長的情況，不利于密鑰管理，需要在量子密鑰基礎上進行改良。

3 量子密鑰分發方案

量子安全服務平臺是實現量子密鑰分發技術工程應用的物理設備，平臺為通信終端提供密鑰生成、密鑰管理、密鑰分配等服務，根據密鑰分發形式不同有以下3種實現方案［31-32］。

1）經典有線分發型

經典有線分發型將量子密鑰分發系統分別部署在業務數據通信接收端及發送端（定義匯集端為“接收端”，另一端為“發送端”），兩端用光纖連接，用以傳輸光量子并生成量子密鑰。需要建立通信時，通過解密設備向平臺申請量子密鑰，密鑰服務器將生成的量子密鑰通過有線網絡傳輸給加解密設備，再由兩端加解密設備應用密鑰完成加密通信。其優勢是密鑰產生、分發、應用過程滿足香儂的無條件安全理論，存在的問題是需要在通信的兩端間敷設有線光纖通道，難以適用于大規模終端間的通信場景。經典有線分發型系統架構如圖1所示。

圖1 經典有線分發型系統架構Fig.1 Architecture of traditional wired distribution system

2）充注無線分發型

充注無線分發型將量子密鑰分發系統完全部署在業務數據接收端，平臺使用隨機數發生器生成兩組隨機數密鑰，通過密碼交換機、密鑰充注服務器將隨機數密鑰轉移至介質（U盤、TF卡等）中，由人工方式將介質插入發送端量子加密終端。使用隨機數密鑰對實時生成的量子密鑰進行加密后通過無線公網進行量子密鑰分發，發送端量子加密終端接收量子密鑰后使用量子密鑰對業務數據進行加密，與接收端量子安全網關進行通信。其優勢是密鑰分發不再依賴于有線傳輸，可節省有線信道的敷設、維護成本，但存在量子密鑰分發系統未發揮作用、充注密鑰介質轉移過程存在安全風險的問題，需要配合完善充注密鑰介質轉移過程中的人員管控。充注無線分發型系統架構如圖2所示。

圖2 充注無線分發型系統架構Fig.2 Architecture of rechargeable wireless distribution system

3）星-地無線分發型

星-地無線分發型將量子密鑰分發系統部署在業務數據接收端及發送端，兩端用量子通信衛星連接，用自由空間信道傳輸光量子并協商生成量子密鑰，密鑰服務器將生成的量子密鑰通過有線網絡傳輸給兩端加解密設備。其優勢是密鑰產生、分發、應用過程滿足“無條件安全通信”條件，且脫離物理光纖網絡敷設。存在的問題是當前量子通信衛星網絡尚未建立，尚無法適應主廠站全天候實時通信需求。星-地無線分發型系統架構如圖3所示。

圖3 星-地分發型系統架構Fig.3 Satellite-to-ground quantum key distribution system

綜上所述，經典有線分發方式與充注無線分發方式在理論上均具有較高的安全性，具備技術可行性和工程實施的基礎，在需要無線通信的場景下適合使用充注無線分發型，在加強已有調度數據網的場景下適合使用經典有線分發型。但目前相關量子通信設備尚無權威機構檢測與認定，不能定義設備本身防護等級，工程實施需要考慮網絡安全管理要求。同時，需要在量子實驗室、示范工程中驗證量子保密通信技術對變電站業務通信實時性和可靠性的影響。

4 應用展望

當前，量子通信技術以量子隨機密鑰生成及應用為核心，有助于提升無線及有線通信的安全性，未來在變電站領域的應用有以下幾個方向：

1）調度數據網縱密融合提升。將量子密鑰與縱向加密裝置融合，利用已有光纖通道和量子密鑰分發技術實現縱向加密裝置證書及公私鑰在線更新，提升基于非對稱公私鑰體系的調度數據網數據安全。

2）關鍵變電站應急通信備用通道。構建基于量子密鑰加密的公網無線通信架構，采用站內組屏或可移動設備的形式形成公網無線應急備用通道，在因外部因素致使光纜外破失去對關鍵變電站監視后，可使用無線應急備用通道快速恢復與主站通信，與光纜通道故障定位、修復工作解耦。

3）偏遠海島變電站通信補強。偏遠海島變電站通信光纜與電纜同通道架設，與主站單通道通信，不滿足N-1 要求，可能因為海纜斷線導致失去對海島變電站的監視與控制，可采用站內組屏的形式形成公網無線通信通道，提升海島變電站通信的可靠性。

4）基建站調試通道快速建立。在新建變電站建設過程中，通信光纜隨輸電線路架設，建設周期長，往往會出現主廠站通信調試與光纜建設時間不匹配，影響調試計劃或需要架設臨時光纜用于調試的情況，增加了工程復雜性，可采用可移動設備的形式形成公網無線通信通道，提升主、廠站間通信調試的自主性、靈活性，簡化基建工作流程。

5）站內輔控無線通信設備安全提升。當前變電站內采用常規無線通信的設備，如巡視機器人、無人機等，存在信息外泄及入侵風險，可采用增加量子加密設備的形式，對無線通信設備控制命令及回傳信息進行加密，提升輔控設備無線通信安全性。

5 結語

量子通信技術在變電站領域的應用符合國家發展戰略、新型電力系統建設和變電站業務發展轉型需求，有理論可行性和良好的發展前景。本文概述了主流量子通信技術的發展現狀，介紹了量子密鑰分發技術，設計了應用場景，為量子通信技術變電站應用提供參考。但在量子通信技術變電站工程實施中，尚有以下幾個問題有待解決：

1）技術推廣應用有待國家政府層面的管理規定進一步跟進。目前電力系統對于無線通信的網絡安全要求基于2014年發改委發文，屬于國家政府層面強制性規定，由國家能源局及其派出機構監督執行，其中要求無線通信在主、廠站間通信領域的應用必須增加無線接入區及橫向單向安全隔離裝置等設備，雖然利用量子通信技術在通道建立的靈活性上有所提高，但由于增加了設備成本，增大了通信時延，技術優勢難以完全發揮，應用收效有限，有待國家層面對新技術、新形勢進行研判。

2）量子通信相關設備有待評審認定?；诹孔用荑€分發技術的加密體系相對于國網公司已有網絡安全認證加密技術體系，在會話密鑰生成方面的安全性有所增強但平臺、加密網關、加密終端及整體安全防護架構尚未經國家權威檢測機構及電力系統網絡安全委員會評審認定，且尚不滿足電力系統對邊界防護設備的功能要求，有待進一步完善相關功能，聯合國家權威檢測機構及相關國家實驗室開展檢測，完成與現有邊界防護設備的融合或形成替代現有邊界防護設備的產品。

3）量子通信相關運行管理制度有待配套完善。量子通信技術在現有網安架構基礎上增加了量子安全服務平臺相關設備，需要進行平臺部署、主廠站量子密鑰分發、站內認證加密機制應用以及密鑰全壽命周期管理。涉及到平臺、設備、證書、密鑰的建設管理和運維管理，需完善相關管理辦法和實施細則，保障量子通信技術在變電站實際現場的有效實施。

4）量子通信實施方案在變電站領域乃至電力系統領域應用時需作適應性改造。電力系統已有一套行之有效的網絡安全管控環境，量子通信技術工程實施時應加以利用，力求在滿足業務需求的前提下盡可能提升資金利用效率和通信效率。如：無線通信加密算法有待進一步研究，當前量子通信產品對于業務數據無線通信加密采用的是無線通信國密標準SM4 算法時，理論通信效率較低，有必要結合加密強度對加密算法進行優化；現有產品設備組成存在未起作用部分，需要能夠結合應用需求改變設備組成方案。