[发明专利]一种电网SSL VPN中密钥更新和使用的方法

说明书

技术领域

本发明涉及通信领域和量子密码领域，特别是一种电网SSL VPN中密钥更新和使用的方法，该方法利用通信领域和量子密码两者的交叉结合，给出了量子密钥技术在电网中的一类使用方法。

背景技术

随着业务的发展，电力系统调度数据网的规模越来越大，需要处理的数据类型种类繁多，而另一方面，随着网络的普及，电网分布的地域也越来越广泛，从国家主要省市到乡镇几乎都建立了相应的子网。子网之间以及子网与总站之间就需要一个有效的通信机制来保证数据的安全性。它不但要保证基站之间信息的机密性，还要确保不同业务之间的隔离，不同用户之间的身份认证等。根据这一需求，目前普遍采用的技术是虚拟专用网技术（VPN），在基站之间建立虚拟的隧道，隧道能为传输的数据提供完整性、机密性等保证。为实现多任务的需求，进一步为每个任务建立一个隧道。实现虚拟专用网络的技术有很多，如基于PPP、IPSec、TLS、SSL等协议。从成本和便利性考虑，SSL技术在电网中有着广泛的使用前景，因为SSL是内嵌在浏览器中，不需要像传统IPSec VPN一样必须为每一台客户机安装客户端软件。

传统的VPN技术采用密钥协商、预共享密钥等手段来分发主密钥，之后再由主密钥进一步计算出会话密钥。会话密钥用在AES、DES等加密算法中，保证通信的机密性、完整性。但是这种安全性是有条件的，它的密钥预共享过程依赖于计算复杂度，随着计算机处理能力的提升，特别是量子计算技术的出现，使得安全性面临严峻的挑战。例如Grover量子搜索算法能让搜索时间从N量级缩减至根号N量级，可以大大缩减破解DES密码所需要的时间。这就迫切需要提出新的密钥共享方案，使通信双方之间能够建立无条件安全的密钥。

量子密钥分配技术很好地解决了密钥分配的难题，它使得通信双方能够获得信息论意义上无条件安全的密钥。它的安全性基于量子力学中的海森堡不确定性原理，任何攻击者都无法窃取最终的安全密钥，即使攻击者拥有无限的计算资源。随着量子路由器、量子密钥分配收发终端等设备的研制成功，量子密钥分配网络已经能够投入实用。那么在这样前提下，如何将量子密钥分配技术融合到经典网络中，才能够有效地保证数据的安全性呢？前面已经有学者提出IPSec、TLS等协议与量子密钥的结合。但是针对电网的具体需求，目前还没有很好的方法能为其提供安全的密钥，通信双方之间的信息，特别是控制信息以及一些机密的消息还是有被窃听者窃取的危险。

发明内容

鉴于上述所提的现有技术问题，本发明的目的是提供一种电网SSL VPN中密钥更新和使用的方法，通过将量子密钥分配网络与电网有机融合在一起，实现无条件安全的量子密钥在电力系统调度网络中的更新和使用，最大限度地保障电力数据传输的完整性和机密性。

本发明实现上述的目的采用的技术方案为：一种电网SSL VPN中密钥更新和使用的方法，该方法需要两个网络，一个是量子密钥分配网络，一个是电力系统调度网络。

其中，量子密钥分配网络用来实现密钥的安全分配。实现密钥分配使用BB84、B92、E91等单光子协议或者连续变量协议。实现端到端的密钥分发功能，至少需要通信双方各有一个量子密钥分配终端，并共享一条量子信道和一条经典信道。为了实现网络功能，需要使用到可信中继、量子路由器、交换机等设备来实现不同地域节点之间通信路径的选择。根据量子信道的实现方式的不同，量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络。

其中，电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络。它是根据需要在一定区域内基站间建立的专用局域网络。考虑到不同的基站子网之间的消息互通性和安全性，使用了虚拟专用网技术来将不同局域网络连接起来，组建成电力系统调度网络使用。同时由于电力系统调度网络中任务繁多，为了实现不同任务之间的有效隔离，实现任务分区和分级管理，针对不同的任务建立了不同的虚拟专用隧道。这里的电力系统调度网络的组建至少需要两个局域网，每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器。为了组建覆盖面更广的网络，需要将所有的基站-基站之间、基站-主站之间都连接起来，实现全网的安全通信。

为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥，需要将两网进行有效地结合，在融合后的网络中至少包含几个必备的组成部分：量子密钥分配网络、量子密钥服务器、公网、SSL VPN服务器和客户端、调度任务服务器和项目服务器等其他数据库服务器。