技術領域

本發明涉及通信領域和量子密碼領域，特別是一種電網SSL?VPN中密鑰更新和使用的方法，該方法利用通信領域和量子密碼兩者的交叉結合，給出了量子密鑰技術在電網中的一類使用方法。

背景技術

隨著業務的發展，電力系統調度數據網的規模越來越大，需要處理的數據類型種類繁多，而另一方面，隨著網絡的普及，電網分布的地域也越來越廣泛，從國家主要省市到鄉鎮幾乎都建立了相應的子網。子網之間以及子網與總站之間就需要一個有效的通信機制來保證數據的安全性。它不但要保證基站之間信息的機密性，還要確保不同業務之間的隔離，不同用戶之間的身份認證等。根據這一需求，目前普遍采用的技術是虛擬專用網技術（VPN），在基站之間建立虛擬的隧道，隧道能為傳輸的數據提供完整性、機密性等保證。為實現多任務的需求，進一步為每個任務建立一個隧道。實現虛擬專用網絡的技術有很多，如基于PPP、IPSec、TLS、SSL等協議。從成本和便利性考慮，SSL技術在電網中有著廣泛的使用前景，因為SSL是內嵌在瀏覽器中，不需要像傳統IPSec?VPN一樣必須為每一臺客戶機安裝客戶端軟件。

傳統的VPN技術采用密鑰協商、預共享密鑰等手段來分發主密鑰，之后再由主密鑰進一步計算出會話密鑰。會話密鑰用在AES、DES等加密算法中，保證通信的機密性、完整性。但是這種安全性是有條件的，它的密鑰預共享過程依賴于計算復雜度，隨著計算機處理能力的提升，特別是量子計算技術的出現，使得安全性面臨嚴峻的挑戰。例如Grover量子搜索算法能讓搜索時間從N量級縮減至根號N量級，可以大大縮減破解DES密碼所需要的時間。這就迫切需要提出新的密鑰共享方案，使通信雙方之間能夠建立無條件安全的密鑰。

量子密鑰分配技術很好地解決了密鑰分配的難題，它使得通信雙方能夠獲得信息論意義上無條件安全的密鑰。它的安全性基于量子力學中的海森堡不確定性原理，任何攻擊者都無法竊取最終的安全密鑰，即使攻擊者擁有無限的計算資源。隨著量子路由器、量子密鑰分配收發終端等設備的研制成功，量子密鑰分配網絡已經能夠投入實用。那么在這樣前提下，如何將量子密鑰分配技術融合到經典網絡中，才能夠有效地保證數據的安全性呢？前面已經有學者提出IPSec、TLS等協議與量子密鑰的結合。但是針對電網的具體需求，目前還沒有很好的方法能為其提供安全的密鑰，通信雙方之間的信息，特別是控制信息以及一些機密的消息還是有被竊聽者竊取的危險。

發明內容

鑒于上述所提的現有技術問題，本發明的目的是提供一種電網SSL?VPN中密鑰更新和使用的方法，通過將量子密鑰分配網絡與電網有機融合在一起，實現無條件安全的量子密鑰在電力系統調度網絡中的更新和使用，最大限度地保障電力數據傳輸的完整性和機密性。

本發明實現上述的目的采用的技術方案為：一種電網SSL?VPN中密鑰更新和使用的方法，該方法需要兩個網絡，一個是量子密鑰分配網絡，一個是電力系統調度網絡。

其中，量子密鑰分配網絡用來實現密鑰的安全分配。實現密鑰分配使用BB84、B92、E91等單光子協議或者連續變量協議。實現端到端的密鑰分發功能，至少需要通信雙方各有一個量子密鑰分配終端，并共享一條量子信道和一條經典信道。為了實現網絡功能，需要使用到可信中繼、量子路由器、交換機等設備來實現不同地域節點之間通信路徑的選擇。根據量子信道的實現方式的不同，量子密鑰分配網絡分為基于光纖的量子網絡和基于自由空間的量子網絡。

其中，電力系統調度網絡是用來實現電力系統安全數據傳輸和承載調度命令的經典網絡。它是根據需要在一定區域內基站間建立的專用局域網絡。考慮到不同的基站子網之間的消息互通性和安全性，使用了虛擬專用網技術來將不同局域網絡連接起來，組建成電力系統調度網絡使用。同時由于電力系統調度網絡中任務繁多，為了實現不同任務之間的有效隔離，實現任務分區和分級管理，針對不同的任務建立了不同的虛擬專用隧道。這里的電力系統調度網絡的組建至少需要兩個局域網，每個局域網中至少需要一個虛擬專用網服務器、多臺主機、網線和多臺任務服務器。為了組建覆蓋面更廣的網絡，需要將所有的基站-基站之間、基站-主站之間都連接起來，實現全網的安全通信。

為了在電力系統調度網絡中使用量子密鑰分配網絡中的量子密鑰，需要將兩網進行有效地結合，在融合后的網絡中至少包含幾個必備的組成部分：量子密鑰分配網絡、量子密鑰服務器、公網、SSL?VPN服務器和客戶端、調度任務服務器和項目服務器等其他數據庫服務器。