| 发明名称 | 一种电网SSL VPN中密钥更新和使用的方法 | ||
| 摘要 | 本发明公开了一种电网SSL VPN中密钥更新和使用的方法,该方法将量子密钥分配网络和电力系统调度数据网进行双网结合,其目的在于以双网结合的方式将无条件安全的量子密钥应用于电网中,保障电力数据传输的安全性。本发明给出了两个网络融合的具体实现方法,将量子密钥应用于电网SSL VPN中的三种形式,以及结合后网络中的具体通信流程。本发明的优点在于方便实用,在节约成本的同时,又能增强传输数据的安全性。 | ||
| 申请公布号 | CN103490891B | 申请公布日期 | 2016.09.07 |
| 申请号 | CN201310373510.9 | 申请日期 | 2013.08.23 |
| 申请人 | 中国科学技术大学;中国电力科学研究院;国网北京市电力公司 | 发明人 | 王双;周静;刘东;陈巍;银振强;黄靖正;周政;陈希;雷煜卿;甫;郭光灿 |
| 分类号 | H04L9/32(2006.01)I;H04L9/08(2006.01)I;H04L29/06(2006.01)I | 主分类号 | H04L9/32(2006.01)I |
| 代理机构 | 北京科迪生专利代理有限责任公司 11251 | 代理人 | 杨学明 |
| 主权项 | 一种电网SSL VPN中密钥更新和使用的方法,其特征在于,该方法需要两个网络,一个是量子密钥分配网络,一个是电力系统调度网络;其中,量子密钥分配网络用来实现密钥的安全分配,实现密钥分配使用BB84、B92、E91单光子协议或者连续变量协议,实现端到端的密钥分发功能,至少需要通信双方各有一个量子密钥分配终端,并共享一条量子信道和一条经典信道,为了实现网络功能,需要使用到可信中继、量子路由器和交换机设备来实现不同地域节点之间通信路径的选择,根据量子信道的实现方式的不同,量子密钥分配网络分为基于光纤的量子网络和基于自由空间的量子网络;其中,电力系统调度网络是用来实现电力系统安全数据传输和承载调度命令的经典网络,它是根据需要在一定区域内基站间建立的专用局域网络,考虑到不同的基站子网之间的消息互通性和安全性,使用了虚拟专用网技术来将不同局域网络连接起来,组建成电力系统调度网络使用,同时由于电力系统调度网络中任务繁多,为了实现不同任务之间的有效隔离,实现任务分区和分级管理,针对不同的任务建立了不同的虚拟专用隧道,这里的电力系统调度网络的组建至少需要两个局域网,每个局域网中至少需要一个虚拟专用网服务器、多台主机、网线和多台任务服务器,为了组建覆盖面更广的网络,需要将所有的基站‑基站之间、基站‑主站之间都连接起来,实现全网的安全通信;为了在电力系统调度网络中使用量子密钥分配网络中的量子密钥,需要将两网进行有效地结合,在融合后的网络中至少包含几个必备的组成部分:量子密钥分配网络、量子密钥服务器、公网、SSL VPN服务器和客户端、调度任务服务器和项目服务器其他数据库服务器;所述量子密钥分配网络,是指用于传递分配量子密钥的专用网络,其传输通道是光纤信道或者自由空间信道,随着距离的增加和网络规模的扩大,这里还包含为延长距离而采用的可信中继和量子中继,为节约资源和增加灵活性而使用到量子路由器、交换机设备;所述量子密钥服务器,是指使用量子密钥的节点为接入量子密钥分配网络获取安全密钥的设备,集成了从量子密钥分配网络中获取量子密钥的终端模块,以及密钥存储单元,量子密钥实时地直接提供给应用服务器,或者暂时存储在量子密钥服务器的存储单元中,待需要使用时,再从存储单元中调出,实现对突发应用数据的处理;所述SSL VPN服务器和客户端,用于实现电力系统调度网络中虚拟隧道的建立和控制,管理VPN所需的加密算法、密钥协商和提取过程,在用户登录时实现用户身份的验证,然后需要在传输数据的两端建立起虚拟专用链接,根据传输信息的需要,量子密钥服务器协商密钥的大小,以及调度策略,待密钥读取进入服务器后对传输或接收的数据进行加解密处理;所述其他数据库服务器,用于实现具体任务所需的数据库,将不同的任务分区处理,这些服务器主要用于分类存放相应的数据信息,在处理不同的业务时,需要从指定的服务器上读取或者写入数据;通过实现量子密钥在电力系统调度网络中的使用,最大限度地保障电力数据传输的完整性和机密性,其主要实现方法包含以下过程:A.消息协商过程:将量子密钥分配网络得到量子密钥用在电力系统调度网络有三种形式,分别是将量子密钥用来替代SSL协议建立过程中的认证密钥、预主密钥或主密钥、会话密钥,因此在连接建立之后,通信双方需要协商好从量子密钥服务器得到密钥的具体用途,也就是需要指明是用来替换认证密钥,还是替换预主密钥或主密钥,抑或是替换会话密钥的,也可能三者中的两者或者三者全部替换,当量子密钥被用来替换会话密钥时,需要进一步协商在同一个会话之间量子密钥更新的频率,为了进一步实现信息论无条件的安全性需求,需在加密算法集合中引入“一次一密”算法,扩大加密算法的选择性,因此还需要协商是否使用“一次一密”算法信息;B.量子密钥分配过程:使用量子密钥服务器在通信双方或者多方之间建立共享的量子密钥,如果不使用存储技术,那么每次启动量子密钥分配过程时,都需要实时的进行密钥分配处理,等到密钥量到达上层协议所需要求时再停止,若是使用了存储技术,那么在每次启动量子密钥分配过程时,需先检验存储器中的密钥量是否满足任务的需要,若是满足需要,则直接调用存储器中的密钥,否则需要开始密钥分配过程,量子密钥分配过程,对是否使用存储器不作要求,对于没有存储器时的情况相当于存储器中存储量恒等于零;C.电网SSL VPN服务器和客户端调用量子密钥过程:在建立隧道后,当上层任务信息到达后,SSL VPN服务器和客户端分别需要向量子密钥服务器请求所需的密钥量,当量子密钥服务器中现有的密钥量能满足请求所需,则直接向SSL VPN服务器和客户端传输密钥,否则需要等待,直到量子密钥量达到请求所需的密钥量;D.密钥替代过程,使用量子密钥替代SSL协议中相应的密钥:当隧道建立之后,SSL VPN服务器和客户端也已经从量子密钥服务器处提取出所需的量子密钥,这时需要根据具体的需求将提出的量子密钥替代掉原始SSL协议中相应的密钥。 | ||
| 地址 | 230026 安徽省合肥市包河区金寨路96号 | ||