量子密钥在电网SSLVPN中的应用

基于虚拟专用网(virtual private networks,VPN)技术的电力系统调度数据网使用对称加密技术来保护通信数据的安全性,加密密钥的分配和使用都存在不安全因素。为此,提出将量子密钥分配网络与电网相融合的方案,利用量子密钥分配技术解决密钥安全分配的问题,使通信双方之间能共享无条件安全的密钥。两网融合方案是通过使用量子服务器和VPN服务器来实现的,服务器能完成量子密钥从量子网络到电网应用的调度。通过对安全套接层(secure sockets layer,SSL)协议进行详细分析,从认证密钥、主密钥和会话密钥3个层次给出了量子密码的应用形式。在通信协议方面,为减少对现有协议的修改,通过附加的协商过程来协商量子密码的应用形式,实现密钥的获取和替换。该方法降低了整个融合方案的复杂性,提高了其可用性。

基于PON网络的安全量子VPN方案

该文提出了一个新的无源光网络PON组成模型。利用该模型设计了一个具有身份认证功能的高效量子密钥分配方案,以满足无源光网络中光线路终端对光网络单元的身份认证和两者间的相互量子密钥分配,以及实现光虚拟专用网内部光网络单元间的量子密钥分配。安全性分析和实验方案表明了该协议的绝对安全性和可行性。将共享密钥作为通信双方的会话密钥,对内部传输数据进行加密,最终实现量子虚拟专用网。

面向电网应用的量子保密通信系统VPN实测分析

保障电网业务相关的核心、敏感数据安全传输是电力通信安全的关键,电力量子保密通信系统依托量子密钥分发机制,以量子虚拟专用网技术(Virtual Private Networks,VPN)作为电力量子保密通信系统的核心组成设备,其基于量子密钥进行数据加解密以改进传统VPN的密码安全性。文章针对基于偏振调制的商用级量子保密通信系统VPN进行实测研究,描述了量子密钥分发以及量子VPN设备的工作机制;设计了量子VPN的仿真测试结构,利用实际的量子密钥分发设备、量子VPN和网络测试仪搭建了实验环境;通过综合网络测试仪仿真电网应用业务信息,对量子VPN的吞吐量、时延、加密算法等核心性能特征进行测试和统计分析,并实现了量子VPN对业务数据安全传输的验证。测试结果可为量子VPN在电网生产控制和管理信息化业务中的推广应用提供参考。

基于SSLVPN的密钥分配的安全性分析

针对SSL VPN协议中密钥分配存在安全隐患的问题,采用Openssl和Wireshark抓包软件,对SSL协议以及密钥管理的安全性进行了分析。针对分析的结果,提出采用量子密钥分配技术解决SSL VPN密钥分配过程中安全隐患问题,尽可能少的对原协议的修改,通过对密钥的获取和替换,给出合理的实现方案,提高数据传输的安全性。

PQVPN:抗量子计算攻击的软件VPN设计

随着量子破译算法的不断优化和量子计算机硬件技术的快速发展,目前传统密码算法面临越来越大的安全风险,这使得抗量子计算成为研究热点,目前用传统密码体制构建的VPN,越来越受到量子计算攻击的威胁。为了解决传统VPN中在身份验证和密钥协商环节不能抵抗量子计算攻击的问题,本文基于Microsoft PQCrypto-VPN项目的框架,依赖于OpenSSL的Open Quantum Safe项目分支,设计了一套抗量子计算攻击的软件VPN系统。对比进入NIST第三轮筛选的后量子数字签名和密钥协商算法,通过综合考量运算性能和安全性能,系统采用后量子签名算法Picnic和密钥协商算法CRYSTALS-KYBER,以实现VPN通信中数据的抗量子计算攻击安全保护。同时,本文对所使用的上述两种后量子算法进行了安全性分析,以阐述本系统的抗量子安全性能,并对系统进行了性能测试。在测试的带宽条件下,VPN连接后最高上传速度可达206Kb/s,下载速度可达2495Kb/s,与通过公网直接传输和通过传统OpenVPN传输两种情形下的传输速度相近;在通信延迟方面,相比目前提出的三种后量子VPN系统均有明显降低,在牺牲少量带宽的情况下实现了对数据通信的更高安全保障。

基于QS-KMS的VPN增强电网通信安全方案

在未来量子计算时代,构筑虚拟专用网络(VPN)安全的认证和密钥交换环节将存在安全隐患。为此,建立基于量子安全密钥管理服务(QS-KMS)的VPN增强安全架构,实现基于量子密码的量子安全解决方案。使用全局统一的后台QS-KMS服务为IPSec VPN提供认证和会话密钥,以进行VPN业务与物理层量子设备的解耦合。针对电力架空光缆工作状况复杂、存在强环境干扰等现状,应用量子QS-KMS密钥池动态密钥管理技术与后量子密码技术使密钥池持续拥有充足密钥,以保障VPN稳定运行。在此基础上,实现电力通信网络中有效量子安全VPN服务。测试结果表明,该方法能够满足电网控制通信的需求。

基于量子密钥的电力业务最优数据保护模型

传统量子保密通信系统实时生成的量子密钥量有限,难以适应电力生产调度、营销和管理信息化等业务数据不同的安全等级和通信特性需求,无法对各类电力业务数据实现精准数据保护。文中深入分析了各电力业务的数据资产重要度和数据传输指标需求,提出自适应电力业务属性的量子密钥更新频率计算方法、密钥补充策略和最优分配策略,并优化量子虚拟专用网络(VPN)的量子密钥控制流程,解决了传统量子VPN对各业务采用无差别量子密钥更新频率的不足。实验结果展示了所阐述方法可实现各电力业务精准数据保护的量子密钥最优分配自动化及智能化。该方法可构建基于量子密钥的精准安全数据保护机制。