一種電網sslvpn中密鑰更新和使用的方法

2023-09-10 15:25:05 2

一種電網ssl vpn中密鑰更新和使用的方法
【專利摘要】本發明公開了一種電網SSL?VPN中密鑰更新和使用的方法，該方法將量子密鑰分配網絡和電力系統調度數據網進行雙網結合，其目的在於以雙網結合的方式將無條件安全的量子密鑰應用與電網中，保障電力數據傳輸的安全性。本發明給出了兩個網絡融合的具體實現方法，將量子密鑰應用於電網SSL?VPN中的三種形式，以及結合後網絡中的具體通信流程。本發明的優點在於方便實用，在節約成本的同時，又能增強傳輸數據的安全性。
【專利說明】—種電網SSLVPN中密鑰更新和使用的方法
【技術領域】
[0001]本發明涉及通信領域和量子密碼領域，特別是一種電網SSL VPN中密鑰更新和使用的方法，該方法利用通信領域和量子密碼兩者的交叉結合，給出了量子密鑰技術在電網中的一類使用方法。
【背景技術】
[0002]隨著業務的發展，電力系統調度數據網的規模越來越大，需要處理的數據類型種類繁多，而另一方面，隨著網絡的普及，電網分布的地域也越來越廣泛，從國家主要省市到鄉鎮幾乎都建立了相應的子網。子網之間以及子網與總站之間就需要一個有效的通信機制來保證數據的安全性。它不但要保證基站之間信息的機密性，還要確保不同業務之間的隔離，不同用戶之間的身份認證等。根據這一需求，目前普遍採用的技術是虛擬專用網技術(VPN)，在基站之間建立虛擬的隧道，隧道能為傳輸的數據提供完整性、機密性等保證。為實現多任務的需求，進一步為每個任務建立一個隧道。實現虛擬專用網絡的技術有很多，如基於PPP、IPSec, TLS、SSL等協議。從成本和便利性考慮，SSL技術在電網中有著廣泛的使用前景，因為SSL是內嵌在瀏覽器中，不需要像傳統IPSec VPN —樣必須為每一臺客戶機安裝客戶端軟體。
[0003]傳統的VPN技術採用密鑰協商、預共享密鑰等手段來分發主密鑰，之後再由主密鑰進一步計算出會話密鑰。會話密鑰用在AES、DES等加密算法中，保證通信的機密性、完整性。但是這種安全性是有條件的，它的密鑰預共享過程依賴於計算複雜度，隨著計算機處理能力的提升，特別是量子計算技術的出現，使得安全性面臨嚴峻的挑戰。例如Grover量子搜索算法能讓搜索時間從N量級縮減至根號N量級，可以大大縮減破解DES密碼所需要的時間。這就迫切需要提出新的密鑰共享方案，使通信雙方之間能夠建立無條件安全的密鑰。
[0004]量子密鑰分配技術很好地解決了密鑰分配的難題，它使得通信雙方能夠獲得資訊理論意義上無條件安全的密鑰。它的安全性基於量子力學中的海森堡不確定性原理，任何攻擊者都無法竊取最終的安全密鑰，即使攻擊者擁有無限的計算資源。隨著量子路由器、量子密鑰分配收發終端等設備的研製成功，量子密鑰分配網絡已經能夠投入實用。那麼在這樣前提下，如何將量子密鑰分配技術融合到經典網絡中，才能夠有效地保證數據的安全性呢？前面已經有學者提出IPSec、TLS等協議與量子密鑰的結合。但是針對電網的具體需求，目前還沒有很好的方法能為其提供安全的密鑰，通信雙方之間的信息，特別是控制信息以及一些機密的消息還是有被竊聽者竊取的危險。

【發明內容】

[0005]鑑於上述所提的現有技術問題，本發明的目的是提供一種電網SSL VPN中密鑰更新和使用的方法，通過將量子密鑰分配網絡與電網有機融合在一起，實現無條件安全的量子密鑰在電力系統調度網絡中的更新和使用，最大限度地保障電力數據傳輸的完整性和機密性。[0006]本發明實現上述的目的採用的技術方案為:一種電網SSL VPN中密鑰更新和使用的方法，該方法需要兩個網絡，一個是量子密鑰分配網絡，一個是電力系統調度網絡。
[0007]其中，量子密鑰分配網絡用來實現密鑰的安全分配。實現密鑰分配使用BB84、B92、E91等單光子協議或者連續變量協議。實現端到端的密鑰分發功能，至少需要通信雙方各有一個量子密鑰分配終端，並共享一條量子信道和一條經典信道。為了實現網絡功能，需要使用到可信中繼、量子路由器、交換機等設備來實現不同地域節點之間通信路徑的選擇。根據量子信道的實現方式的不同，量子密鑰分配網絡分為基於光纖的量子網絡和基於自由空間的量子網絡。
[0008]其中，電力系統調度網絡是用來實現電力系統安全數據傳輸和承載調度命令的經典網絡。它是根據需要在一定區域內基站間建立的專用區域網路。考慮到不同的基站子網之間的消息互通性和安全性，使用了虛擬專用網技術來將不同區域網路連接起來，組建成電力系統調度網絡使用。同時由於電力系統調度網絡中任務繁多，為了實現不同任務之間的有效隔離，實現任務分區和分級管理，針對不同的任務建立了不同的虛擬專用隧道。這裡的電力系統調度網絡的組建至少需要兩個區域網，每個區域網中至少需要一個虛擬專用網伺服器、多臺主機、網線和多臺任務伺服器。為了組建覆蓋面更廣的網絡，需要將所有的基站-基站之間、基站-主站之間都連接起來，實現全網的安全通信。
[0009]為了在電力系統調度網絡中使用量子密鑰分配網絡中的量子密鑰，需要將兩網進行有效地結合，在融合後的網絡中至少包含幾個必備的組成部分:量子密鑰分配網絡、量子密鑰伺服器、公網、SSL VPN伺服器和客戶端、調度任務伺服器和項目伺服器等其他資料庫伺服器。
[0010]所述量子密鑰分配網絡，是指用於傳遞分配量子密鑰的專用網絡，其傳輸通道是光纖信道或者自由空間信道。隨著距離的增加和網絡規模的擴大，這裡還應該包含為延長距離而採用的可信中繼和量子中繼，為節約資源和增加靈活性而使用到量子路由器、交換機等設備。
[0011]所述量子密鑰伺服器，是指使用量子密鑰的節點為接入量子密鑰分配網絡獲取安全密鑰的設備，集成了從量子密鑰分配網絡中獲取量子密鑰的終端模塊，以及密鑰存儲單元。量子密鑰實時地直接提供給應用伺服器，或者暫時存儲在伺服器的存儲單元中，待需要使用時，再從存儲單元中調出，實現對突發應用數據的處理。
[0012]所述SSL VPN伺服器和客戶端，用於實現電力系統調度網絡中虛擬隧道的建立和控制，管理VPN所需的加密算法、密鑰協商和提取等過程。在用戶登錄時實現用戶身份的驗證，然後需要在傳輸數據的兩端建立起虛擬專用連結，根據傳輸信息的需要，量子密鑰伺服器協商密鑰的大小，以及調度策略，待密鑰讀取進入伺服器後對傳輸或接收的數據進行加解密處理。
[0013]所述其他資料庫伺服器，用於實現具體任務所需的資料庫，將不同的任務分區處理，如任務調度伺服器、項目伺服器等。這些伺服器主要用於分類存放相應的數據信息。在處理不同的業務時，需要從指定的伺服器上讀取或者寫入數據。
[0014]本專利目的在於通過實現量子密鑰在電力系統調度網絡中的使用，最大限度地保障電力數據傳輸的完整性和機密性。其主要實現方法包含以下過程:
[0015]A.消息協商過程。將量子密鑰分配網絡得到量子密鑰用在電力系統調度網絡有三種形式，分別是將量子密鑰用來替代SSL協議建立過程中的認證密鑰、預主密鑰或主密鑰、會話密鑰。因此在連接建立之後，通信雙方需要協商好從量子密鑰伺服器得到密鑰的具體用途，也就是需要指明是用來替換認證密鑰，還是替換預主密鑰或主密鑰，抑或是替換會話密鑰的，也可能三者中的兩者或者三者全部替換。當量子密鑰被用來替換會話密鑰時，我們需要進一步協商在同一個會話之間量子密鑰更新的頻率。為了進一步實現資訊理論無條件的安全性需求，需在加密算法集合中引入「一次一密」算法，擴大加密算法的選擇性。因此還需要協商是否使用「一次一密」算法等信息。
[0016]B.量子密鑰分配過程。使用量子密鑰伺服器在通信雙方或者多方之間建立共享的量子密鑰。如果不使用存儲技術，那麼每次啟動量子密鑰分配過程時，都需要實時的進行密鑰分配處理，等到密鑰量到達上層協議所需要求時再停止。若是使用了存儲技術，那麼在每次啟動量子密鑰分配過程時，需先檢驗存儲器中的密鑰量是否滿足任務的需要，若是滿足需要，則直接調用存儲器中的密鑰，否則需要開始密鑰分配過程。本專利使用的量子密鑰分配過程，對是否使用存儲器不作要求，附圖1給出了量子密鑰分配過程在有存儲器情況下的示意圖，對於沒有存儲器時的情況相當於存儲器中存儲量恆等於零。
[0017]C.電網SSL VPN伺服器和客戶端調用量子密鑰過程。在建立隧道後，當上層任務信息到達後，SSL VPN伺服器和客戶端分別需要向量子密鑰伺服器請求所需的密鑰量。當量子密鑰伺服器中現有的密鑰量能滿足請求所需，則直接向SSL VPN伺服器和客戶端傳輸密鑰，否則需要等待，直到量子密鑰量達到請求所需的密鑰量。
[0018]D.密鑰替代過程，使用量子密鑰替代SSL協議中相應的密鑰。當隧道建立之後，SSL VPN伺服器和客戶端也已經從量子密鑰伺服器處提取出所需的量子密鑰，這時需要根據具體的需求將提出的量子密鑰替代掉原始SSL協議中相應的密鑰。
[0019]所述的應用過程中，過程C電網SSL VPN伺服器和客戶端調用量子密鑰過程可以進一步劃分為以下的兩個基本步驟:
[0020]Cl.SSL VPN伺服器或客戶端向量子密鑰伺服器發送請求密鑰的消息，這個消息裡面應該包含任務所需密鑰量的大小以及任務編號等其他信息。
[0021]C2.量子密鑰伺服器接收到密鑰請求消息後，根據其中的密鑰量大小信息檢查存儲器中的密鑰量是否能夠滿足請求所需。如果已有的現存密鑰的數量能夠滿足請求所需的密鑰量，直接將密鑰傳給SSL VPN伺服器或客戶端。反之如果密鑰的存儲不足，說明需要啟動量子密鑰分配過程，這時協議伺服器向SSL VPN伺服器或客戶端發送等待信息，並且啟動量子密鑰分配過程，直到存儲器中的密鑰量達到請求所需的密鑰量，將準備好的密鑰傳送給SSL VPN伺服器或客戶端。已經在進行的量子密鑰分配過程可根據具體的需要仍然繼續分配量子密鑰到適當的時間停止，也可在密鑰量達到請求所需的密鑰量時停止。
[0022]所述的應用過程中，過程D密鑰替代過程可以進一步分為三種情況，分別列出如下:
[0023]Dl.量子密鑰用作認證密鑰
[0024]在SSL連接建立的過程中，首先需要確認通信雙方的身份，這就需要對雙方或者其中一方進行身份認證。傳統的方法是使用預共享或者公鑰密碼體系分發認證所需的初始密鑰，或者採用證書的形式進行身份認證。不論是上面的哪種方法，都會涉及到認證時所使用的認證密鑰。因此，將量子密鑰分配網絡得到密鑰用在電力系統調度網絡的第一種形式就是將量子密鑰替換掉此處用作認證身份的認證密鑰。具體的作法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換掉認證密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接時使用的認證密鑰，並為下一次連接的建立留下認證所需的密鑰材料。
[0025]D2.量子密鑰用作預主密鑰或者主密鑰
[0026]在SSL連接的建立過程中，傳統的方法需要通信雙方通過公鑰的形式協商出一個預主密鑰或者主密鑰，以便進一步地計算出每次會話使用的會話密鑰。將量子密鑰分配網絡得到密鑰用在電力系統調度網絡中的第二種形式就是用量子密鑰替換掉此處SSL協議中的預主密鑰或者主密鑰，之後的會話密鑰將都由量子密鑰經過進一步的計算得到。具體的使用方法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換預主密鑰或者主密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接過程中得到的預主密鑰或者主密鑰，之後會話過程所需的會話密鑰將會使用替換掉的預主密鑰或者主密鑰進行計算得到。
[0027]D3.量子密鑰用作會話密鑰
[0028]在SSL連接建立後，為了保障電力數據傳輸的完整性和機密性，需要使用AES、DES等加密算法對數據進行加密，並且每次會話都要使用不同會話密鑰。因此將量子密鑰分配網絡得到的量子密鑰用在電力系統調度網絡的第三形式就是將量子密鑰替換掉會話密鑰。具體的使用方法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換會話密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接過程中得到的會話密鑰，之後的數據加密過程將使用替代後的量子密鑰進行加密。
[0029]上述將從量子密鑰分配網絡中得到量子密鑰用在電力系統調度網絡中的三種形式在不同的網絡環境下應當有選擇地使用。舉例如下，為了實現實時傳輸，減少任務等待的時間，若量子密鑰分配網絡的密鑰分配速率非常低，或者上層應用需要發送的數據量過大，量子密鑰產出量不能滿足用來替換會話密鑰的要求，那麼可以使用第二種方法，只將SSL協議中的預主密鑰或主密鑰替換為量子密鑰。若量子密鑰分配網絡的密鑰分配速率非常高或者上層應用需要傳輸的數據量較少，量子密鑰的產出量能夠滿足替換會話密鑰的要求，那麼選擇第二種或者第三種方法其中之一，或者兩者同時選擇。
[0030]進一步地，為了實現資訊理論意義上的無條件安全，系統使用「一次一密」加密方法，需要量子密鑰與傳輸數據長度相同，只有量子密鑰的產出量達到一定值時才能實現實時傳輸，否則需要等待。使用量子密鑰替換SSL協議中的會話密鑰時，通過設定替換密鑰更新的時間間隔，可在條件允許的情況下既能保證一定的實時傳輸特性，又能保障較高的安全級別。
[0031]本發明的優點在於方便實用，在節約成本的同時，又能增強傳輸數據的安全性。由於SSLVPN技術已廣泛應用於電力網絡中，本發明在進行量子密鑰分配網絡和電力系統調度網絡雙網融合時，並不需要重新搭建專門的VPN伺服器，而是延用現有的SSL VPN伺服器和客戶端。所述的協議過程也不需要修改現有的SSL協議，使用原始協議建立起連接後，只需引入一個消息協商過程用來協商量子密鑰使用的相關信息，從量子密鑰分配網絡中得到量子密鑰也是直接替換掉原始連接中的相應密鑰，之後的過程與原始的協議一樣，整個協議過程操作起來比較簡單。
【專利附圖】

【附圖說明】
[0032]圖1為量子密鑰伺服器接收密鑰請求後工作流程圖；
[0033]圖2為SSL VPN使用量子密鑰的具體協議步驟示意圖；
[0034]圖3為量子密鑰分配網絡與電網融合後SSL VPN實施實例示意圖。
【具體實施方式】
[0035]為使本發明的目的、技術方案和優點更加清楚明白，下面結合具體實施例，並參照附圖，對本發明作進一步的詳細說明。
[0036]本發明中直接使用現有的SSL VPN協議先建立起安全傳輸信道，然後再協商關於量子密鑰使用的相關參數。參照附圖2，SSL VPN客戶端與伺服器端先建立SSL連接，然後雙方再進行一次握手協商。此次協商包括加密算法選擇、量子密鑰使用形式、量子密鑰生存時間等等。所述使用方法的具體協議步驟如下:
[0037](I)通信雙方使用傳統的SSL VPN協議建立虛擬隧道，這一步中不需要對原始的SSL協議進行修改，其中涉及的認證密鑰和主密鑰等信息也都是原始協商的。
[0038](2)通信雙方根據需要重新協商加密算法以及量子密鑰使用的形式(即密鑰替代方式)、密鑰更新頻率(即量子密鑰生存時間)等。在這一步中，需要根據具體電力系統調度網絡和量子密鑰分配網絡的特性，決定傳輸電力數據需要保護的程度，若是非常高安全級別的指令就需要指定加密算法為「一次一密」;若量子密鑰分配網絡速率受限，為了實現電力數據的及時傳輸，就需要指定量子密鑰的使用形式為替換預主密鑰或主密鑰。
[0039](3) SSL VPN伺服器或客戶端向量子密鑰伺服器發送請求消息，請求傳送密鑰數據，根據協商的結果，向量子密鑰伺服器請求一定的量子密鑰。當協商的消息中定義了更新的時間，那麼在通信雙方得到量子密鑰伺服器傳輸回來的量子密鑰之後，間隔一個更新時間，VPN伺服器或者客戶端需要重新向量子密鑰伺服器請求密鑰。
[0040](4)量子密鑰伺服器根據存儲的密鑰量決定是否啟動量子密鑰分配過程。當存儲器中密鑰量小於請求所需的密鑰量時，則啟動量子密鑰分配過程，通信雙方的量子密鑰伺服器通過量子密鑰分配網絡獲得資訊理論無條件安全的量子密鑰，否則不需要啟動量子密鑰分配過程。
[0041](5)量子密鑰伺服器向SSL VPN客戶端或伺服器傳送密鑰比特。量子密鑰伺服器準備好任務所需的量子密鑰，將密鑰比特傳輸給SSL VPN客戶端或伺服器。
[0042](6)替換密鑰。SSL VPN客戶端或伺服器接收到密鑰後，根據之前協商的信息，用量子密鑰替換指定的密鑰。
[0043](7)安全數據傳輸。完成密鑰替換之後的過程，若量子密鑰替換掉的是會話密鑰時，直接使用替換掉的密鑰來進行數據加密即可；若替換掉的是預主密鑰或主密鑰，使用原始的會話建立過程重新計算出會話密鑰，之後再進行安全數據傳輸。
[0044]下面結合較常見的電網SSL VPN實例進行詳細說明。
[0045]如附圖3所示，是量子密鑰分配網絡與電力系統調度數據網融合的示意圖。圖中電力系統調度數據網包含三個基本子網，分別稱為總站、基站一和基站二。電網的總站和兩個基站之間，基站與基站之間需要進行安全通信，內容包含任務調度命令以及其他項目信息，如招標項目、基建項目等。為了實現任務的分區分級保護，這裡建立調度任務伺服器和項目伺服器，調度任務伺服器用於存儲總站向基站發送的調度命令等相關信息的記錄和備份，項目伺服器用於存儲具體的項目的一些相關信息和備份。從安全性角度考慮，調度任務需要實現高安全等級的要求，同時由於調度任務的信息數據量較小，非常適合採用「一次一密」的加密方式。而基本項目信息安全級別要求不是太高，只採用一般的對稱加密算法來保證其安全性就足夠了，因此只需延用原始SSL協議的加密算法。
[0046]如果總站需要向基站一發送電力任務調度命令，這時總站的SSL VPN伺服器和基站一的SSL VPN客戶端之間先建立起安全連接通道，然後雙方進行信息協商，確定採用「一次一密」的加密方法，協商消息包含所需密鑰量的大小，密鑰用於直接替換會話密鑰。然後SSL VPN客戶端和伺服器各自向量子密鑰伺服器請求對應的密鑰，將所需密鑰數量告訴量子密鑰伺服器，如果量子密鑰伺服器的存儲密鑰量滿足需求，就直接將所需密鑰傳輸給請求方。否則發回等待信息，並啟動量子密鑰分配過程，直到存儲器中的密鑰量達到請求所需的量，再將密鑰傳輸給SSL VPN伺服器和客戶端。當SSL VPN客戶端和伺服器接收到密鑰後，採用的是「一次一密」的加密方法，直接對電力調度數據進行加密安全傳輸。
[0047]如果總站與基站二之間要傳送關於基站電力項目相關的信息，只需採用原始SSL協議的加密算法即可。總站的SSL VPN伺服器和基站二的SSL VPN客戶端之間先建立起安全連接通道，然後雙方進行信息協商，協商消息包含所需密鑰量的大小，密鑰用於直接替換會話密鑰，以及量子密鑰更新時間等。然後SSL VPN客戶端和伺服器各自向量子密鑰伺服器請求對應的密鑰，將所需密鑰數量通知量子密鑰伺服器，如果量子密鑰伺服器的存儲密鑰量滿足需求，就直接將所需密鑰傳輸給請求方。否者發回等待信息，並啟動量子密鑰分配過程，直到存儲器中的密鑰量達到請求所需的量，再將密鑰傳輸給SSL VPN伺服器和客戶端。當SSL VPN客戶端和伺服器接收到密鑰後，直接替代之前建立連接時得到的會話密鑰，即可進行安全通信。從SSL VPN客戶端和伺服器接收到密鑰開始計算直到更新時間為止，如果會話還沒有結束，就需要重新請求量子密鑰。
【權利要求】
1.一種電網SSL VPN中密鑰更新和使用的方法，其特徵在於，該方法需要兩個網絡，一個是量子密鑰分配網絡，一個是電力系統調度網絡； 其中，量子密鑰分配網絡用來實現密鑰的安全分配，實現密鑰分配使用BB84、B92、E91單光子協議或者連續變量協議，實現端到端的密鑰分發功能，至少需要通信雙方各有一個量子密鑰分配終端，並共享一條量子信道和一條經典信道，為了實現網絡功能，需要使用到可信中繼、量子路由器、交換機設備來實現不同地域節點之間通信路徑的選擇，根據量子信道的實現方式的不同，量子密鑰分配網絡分為基於光纖的量子網絡和基於自由空間的量子網絡； 其中，電力系統調度網絡是用來實現電力系統安全數據傳輸和承載調度命令的經典網絡，它是根據需要在一定區域內基站間建立的專用區域網路，考慮到不同的基站子網之間的消息互通性和安全性，使用了虛擬專用網技術來將不同區域網路連接起來，組建成電力系統調度網絡使用，同時由於電力系統調度網絡中任務繁多，為了實現不同任務之間的有效隔離，實現任務分區和分級管理，針對不同的任務建立了不同的虛擬專用隧道，這裡的電力系統調度網絡的組建至少需要兩個區域網，每個區域網中至少需要一個虛擬專用網伺服器、多臺主機、網線和多臺任務伺服器，為了組建覆蓋面更廣的網絡，需要將所有的基站-基站之間、基站-主站之間都連接起來，實現全網的安全通信； 為了在電力系統調度網絡中使用量子密鑰分配網絡中的量子密鑰，需要將兩網進行有效地結合，在融合後的網絡中至少包含幾個必備的組成部分:量子密鑰分配網絡、量子密鑰伺服器、公網、SSL VPN伺服器和客戶端、調度任務伺服器和項目伺服器等其他資料庫伺服器； 所述量子密鑰分配網絡，是指用於傳遞分配量子密鑰的專用網絡，其傳輸通道是光纖信道或者自由空間信道，隨著距離的增加和網絡規模的擴大，這裡還應該包含為延長距離而採用的可信中繼和量子中繼，為節約資源和增加靈活性而使用到量子路由器、交換機設備; 所述量子密鑰伺服器，是指使用量子密鑰的節點為接入量子密鑰分配網絡獲取安全密鑰的設備，集成了從量子密鑰分配網絡中獲取量子密鑰的終端模塊，以及密鑰存儲單元，量子密鑰實時地直接提供給應用伺服器，或者暫時存儲在伺服器的存儲單元中，待需要使用時，再從存儲單元中調出，實現對突發應用數據的處理； 所述SSL VPN伺服器和客戶端，用於實現電力系統調度網絡中虛擬隧道的建立和控制，管理VPN所需的加密算法、密鑰協商和提取過程，在用戶登錄時實現用戶身份的驗證，然後需要在傳輸數據的兩端建立起虛擬專用連結，根據傳輸信息的需要，量子密鑰伺服器協商密鑰的大小，以及調度策略，待密鑰讀取進入伺服器後對傳輸或接收的數據進行加解密處理； 所述其他資料庫伺服器，用於實現具體任務所需的資料庫， 將不同的任務分區處理，這些伺服器主要用於分類存放相應的數據信息，在處理不同的業務時，需要從指定的伺服器上讀取或者寫入數據； 通過實現量子密鑰在電力系統調度網絡中的使用，最大限度地保障電力數據傳輸的完整性和機密性，其主要實現方法包含以下過程: A.消息協商過程:將量子密鑰分配網絡得到量子密鑰用在電力系統調度網絡有三種形式，分別是將量子密鑰用來替代SSL協議建立過程中的認證密鑰、預主密鑰或主密鑰、會話密鑰，因此在連接建立之後，通信雙方需要協商好從量子密鑰伺服器得到密鑰的具體用途，也就是需要指明是用來替換認證密鑰，還是替換預主密鑰或主密鑰，抑或是替換會話密鑰的，也可能三者中的兩者或者三者全部替換，當量子密鑰被用來替換會話密鑰時，需要進一步協商在同一個會話之間量子密鑰更新的頻率，為了進一步實現資訊理論無條件的安全性需求，需在加密算法集合中引入「一次一密」算法，擴大加密算法的選擇性，因此還需要協商是否使用「一次一密」算法信息； B.量子密鑰分配過程: 使用量子密鑰伺服器在通信雙方或者多方之間建立共享的量子密鑰，如果不使用存儲技術，那麼每次啟動量子密鑰分配過程時，都需要實時的進行密鑰分配處理，等到密鑰量到達上層協議所需要求時再停止，若是使用了存儲技術，那麼在每次啟動量子密鑰分配過程時，需先檢驗存儲器中的密鑰量是否滿足任務的需要，若是滿足需要，則直接調用存儲器中的密鑰，否則需要開始密鑰分配過程，量子密鑰分配過程，對是否使用存儲器不作要求，對於沒有存儲器時的情況相當於存儲器中存儲量恆等於零； C.電網SSLVPN伺服器和客戶端調用量子密鑰過程: 在建立隧道後，當上層任務信息到達後，SSL VPN伺服器和客戶端分別需要向量子密鑰伺服器請求所需的密鑰量，當量子密鑰伺服器中現有的密鑰量能滿足請求所需，則直接向SSLVPN伺服器和客戶端傳輸密鑰，否則需要等待，直到量子密鑰量達到請求所需的密鑰量; D.密鑰替代過程，使用量子密鑰替代SSL協議中相應的密鑰: 當隧道建立之後，SSL VPN伺服器和客戶端也已經從量子密鑰伺服器處提取出所需的量子密鑰，這時需要根據具體的需求將提出的量子密鑰替代掉原始SSL協議中相應的密鑰。
2.根據權利要求1所述的一種電網SSLVPN中密鑰更新和使用的方法，其特徵在於，過程C中電網SSL VPN伺服器和客戶端調用量子密鑰過程進一步劃分為以下的兩個基本步驟: Cl.SSL VPN伺服器或客戶端向量子密鑰伺服器發送請求密鑰的消息，這個消息裡面應該包含任務所需密鑰量的大小以及任務編號信息； C2.量子密鑰伺服器接收到密鑰請求消息後，根據其中的密鑰量大小信息檢查存儲器中的密鑰量是否能夠滿足請求所需，如果已有的現存密鑰的數量能夠滿足請求所需的密鑰量，直接將密鑰傳給SSL VPN伺服器或客戶端，反之如果密鑰的存儲不足，說明需要啟動量子密鑰分配過程，這時協議伺服器向SSL VPN伺服器或客戶端發送等待信息，並且啟動量子密鑰分配過程，直到存儲器中的密鑰量達到請求所需的密鑰量，將準備好的密鑰傳送給SSLVPN伺服器或客戶端，已經在進行的量子密鑰分配過程根據具體的需要仍然繼續分配量子密鑰到適當的時間停止，也可在密鑰量達到請求所需的密鑰量時停止。
3.根據權利要求1所述的一種電網SSLVPN中密鑰更新和使用的方法，其特徵在於，過程D中密鑰替代過程進一步分為三種情況，分別列出如下: Dl.量子密鑰用作認證密鑰在SSL連接建立的過程中，首先需要確認通信雙方的身份，這就需要對雙方或者其中一方進行身份認證，將量子密鑰分配網絡得到密鑰用在電力系統調度網絡的第一種形式就是將量子密鑰替換掉此處用作認證身份的認證密鑰，具體的作法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換掉認證密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接時使用的認證密鑰，並為下一次連接的建立留下認證所需的密鑰材料； D2.量子密鑰用作預主密鑰或者主密鑰 在SSL連接的建立過程中，將量子密鑰分配網絡得到密鑰用在電力系統調度網絡中的第二種形式就是用量子密鑰替換掉此處SSL協議中的預主密鑰或者主密鑰，之後的會話密鑰將都由量子密鑰經過進一步的計算得到，具體的使用方法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換預主密鑰或者主密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接過程中得到的預主密鑰或者主密鑰，之後會話過程所需的會話密鑰將會使用替換掉 的預主密鑰或者主密鑰進行計算得到； D3.量子密鑰用作會話密鑰 在SSL連接建立後，為了保障電力數據傳輸的完整性和機密性，需要使用AES或DES加密算法對數據進行加密，並且每次會話都要使用不同會話密鑰，因此將量子密鑰分配網絡得到的量子密鑰用在電力系統調度網絡的第三形式就是將量子密鑰替換掉會話密鑰，具體的使用方法是，如果在初始連接建立之後，雙方進行協商的消息中說明需要替換會話密鑰，那麼，在SSL VPN伺服器或客戶端得到從量子密鑰伺服器提出的密鑰比特串後，直接用量子密鑰替換這一次建立連接過程中得到的會話密鑰，之後的數據加密過程將使用替代後的量子密鑰進行加密。
4.根據權利要求3所述的一種電網SSLVPN中密鑰更新和使用的方法，其特徵在於，將從量子密鑰分配網絡中得到量子密鑰用在電力系統調度網絡中的三種形式在不同的網絡環境下應當有選擇地使用，為了實現實時傳輸，減少任務等待的時間，若量子密鑰分配網絡的密鑰分配速率非常低，或者上層應用需要發送的數據量過大，量子密鑰產出量不能滿足用來替換會話密鑰的要求，那麼可以使用第二種方法，只將SSL協議中的預主密鑰或主密鑰替換為量子密鑰；若量子密鑰分配網絡的密鑰分配速率非常高或者上層應用需要傳輸的數據量較少，量子密鑰的產出量能夠滿足替換會話密鑰的要求，那麼選擇第二種或者第三種方法其中之一，或者兩者同時選擇。
5.根據權利要求4所述的一種電網SSLVPN中密鑰更新和使用的方法，其特徵在於，為了實現資訊理論意義上的無條件安全，系統使用「一次一密」加密方法，需要量子密鑰與傳輸數據長度相同，只有量子密鑰的產出量達到一定值時才能實現實時傳輸，否則需要等待；使用量子密鑰替換SSL協議中的會話密鑰時，通過設定替換密鑰更新的時間間隔，在條件允許的情況下既能保證一定的實時傳輸特性，又能保障較高的安全級別。
【文檔編號】H04L9/32GK103490891SQ201310373510
【公開日】2014年1月1日 申請日期:2013年8月23日 優先權日:2013年8月23日
【發明者】王雙, 周靜, 劉 東, 陳巍, 銀振強, 黃靖正, 周政, 陳希, 雷煜卿, 韓正甫, 郭光燦 申請人:中國科學技術大學, 中國電力科學研究院, 國網北京市電力公司