唐鵬毅,李國春,余 剛,鐘 軍,張英華,薛 路,趙子巖, 閆龍川,陳智雨,盧昌斌,羅 斌,高 松,劉建宏,

(1.科大國盾量子技術股份有限公司,合肥 230088; 2.國網(wǎng)電力信息通信有限公司,北京 100761;3.北京國盾量子信息技術有限公司,北京 100193)

0 概述

量子保密通信是基于量子密鑰分發(fā)(Quantum Key Distribution,QKD)的安全通信技術,其以量子力學原理和信息論為基礎,能夠從理論上嚴格證明安全性。目前,量子通信產(chǎn)業(yè)化主要分為2種實現(xiàn)方案:一種是嚴格按照一次一密綁定量子設備的點對點安全通信,該方案主要針對軍用方面;另一種是不需要通信方綁定量子設備的量子密鑰池方案,該方案解決密鑰使用者對量子設備的依賴問題,結構上支持向云量子安全遷移,是如今商用系統(tǒng)普遍采用的方式。隨著量子通信京滬干線的建成,量子安全通信已從模擬實驗進入工程化實現(xiàn)階段[1]。在頻繁受擾動的復雜信道(如架空光纜、海底光纜)[2-3]中,如何保證量子通信的穩(wěn)定運行,是目前量子通信工程領域的研究重點。

近年來,烏克蘭電網(wǎng)大規(guī)模停電等重大安全事件頻發(fā),顯示電力工控網(wǎng)等國家信息基礎設施面臨著持續(xù)的安全威脅,亟待提升其安全等級。電力系統(tǒng)工控網(wǎng)絡的安全通信主要基于IPSec VPN實現(xiàn)。虛擬專用網(wǎng)絡(Virtual Private Network,VPN)通過數(shù)據(jù)包目標地址的轉換和對數(shù)據(jù)包的加密,在公網(wǎng)上建立專用通道并進行加密通信,是目前廣泛應用的一種安全通信方式。另一方面,通信和網(wǎng)絡攻擊持續(xù)升級,更嚴峻的情況是隨著量子信息技術的發(fā)展,人類即將進入量子計算和量子安全時代。通用量子計算機加上量子算法,能夠顯著加快對經(jīng)典密碼學算法的攻擊效率。以公鑰體系為例,采用Shor算法可以將大數(shù)分解和離散對數(shù)問題的算法復雜度從指數(shù)級降為多項式級[4],這會對如今通用的DH(Diffie-Hellman)與ECDH(Elliptic Curve Diffie-Hellman)密鑰交換算法的安全性造成嚴重威脅。以對稱密碼體系為例,Grover算法能將搜索復雜度從O(N)降為O(N1/2),等效于密碼長度減半?？梢钥闯?依賴于上述密碼學技術的常規(guī)VPN體系在量子安全時代將不可避免地面臨嚴峻威脅,為此,需要提前融合量子密碼技術以對抗未來的攻擊。

1 量子安全密鑰管理服務

QS-KMS結構如圖1所示。相比傳統(tǒng)系統(tǒng),QS-KMS擴展了3種特有的密鑰模塊:QKD產(chǎn)生對稱密鑰,量子隨機數(shù)發(fā)生器(Quantum Random Number Generator,QRNG)產(chǎn)生量子隨機數(shù),使用格密碼等算法的后量子密碼技術(Post-Quantum Cryptography,PQC)對經(jīng)典密碼學實現(xiàn)的密碼增強模塊[5]。QS-KMS主要支持3類應用:對稱密鑰的提取,云安全存儲,安全簽名。系統(tǒng)安全等級分為2級:量子安全(物理級)及后量子安全(算法級)。擁有QKD設備的客戶端可以實現(xiàn)量子安全性。擁有Ukey的客戶端,可以通過定期從QS-KMS服務域內(nèi)站點充注QRNG產(chǎn)生的量子隨機數(shù)與QKD組建的城際網(wǎng)絡建立安全連接,以實現(xiàn)后量子安全。在不具備QKD和Ukey或者量子網(wǎng)絡受到攻擊出現(xiàn)異常的情況下,仍可以通過PQC密碼增強方案,例如密鑰交換、簽名,實現(xiàn)合理水平的安全性增強。

圖1 QS-KMS結構示意圖

2 QS-KMS與量子安全VPN

經(jīng)典的IPSec采用IKE協(xié)議實現(xiàn)認證和密鑰交換[6]。為保障VPN在量子計算下的安全性,通常對IKE協(xié)議進行改造,使用QKD量子密鑰替換原有基于公鑰體系的認證和密鑰交換,從而完成認證與會話密鑰協(xié)商環(huán)節(jié)[7-9]。

區(qū)別于上述將VPN與QKD設備綁定的方案,本文方案采用QS-KMS實現(xiàn)量子設備與VPN等密鑰應用者的解耦合,使應用者可以更靈活地面向業(yè)務優(yōu)化結構和接口。QS-KMS與VPN功能的結合過程如圖2所示。量子密鑰層QKD設備在兩地實時地分發(fā)對稱密鑰,KM服務器獲取并保存QKD產(chǎn)生的對稱密鑰,多個KM服務器協(xié)同工作組成QS-KMS,提供量子密鑰或后量子增強密鑰供應用層VPN功能模塊申請使用。應用層VPN通過通用層間接口(量子密鑰交互模塊)向KMS層申請、獲取對稱密鑰,并基于量子安全密鑰進行認證與加解密通信。QRNG模塊向QS-KMS提供量子隨機數(shù),作為QS-KMS的認證密鑰通過Ukey傳遞給VPN,實現(xiàn)VPN與QS-KMS之間的安全通信。QS-KMS中分別保存QKD產(chǎn)生的待提取的會話密鑰、需長期保存的QRNG產(chǎn)生的認證密鑰,以及密鑰使用者(VPN等)在申請密鑰時要求KMS長期保存的會話密鑰。綜上,QS-KMS繼承傳統(tǒng)KMS功能,應用方式和接口協(xié)議完全兼容KMS,其創(chuàng)新點是擴展集成了量子密鑰層的多種密鑰生成方式,包括不同量子編碼協(xié)議(偏振、相位、時間相位、MDI等)或不同廠商QKD設備,集成量子隨機數(shù)或抗量子密碼增強方案產(chǎn)生的密鑰,隨密鑰塊增加標簽字段標注密鑰來源方式,可以供經(jīng)典層根據(jù)不同的安全等級有選擇地申請使用。

圖2 基于量子密鑰的VPN系統(tǒng)結構

3 VPN與量子KMS的結合

本文方案將整個量子密鑰分發(fā)網(wǎng)絡抽象封裝到QS-KMS底層,經(jīng)典VPN網(wǎng)絡與量子密鑰的結合主要是IKE協(xié)議與KMS的結合,分為認證和密鑰交換2個部分。VPN等經(jīng)典層應用可以在附近的密鑰管理服務器注冊認證后接入量子網(wǎng),通過密鑰管理服務完成與其他在量子網(wǎng)注冊的應用之間的密鑰交換。

3.1 認證

在KMS上注冊認證時,VPN之間建立安全信道的認證均通過對稱密鑰實現(xiàn)。

KMS與VPN服務器之間可以通過設備信息與預置認證密鑰(IDA,KA)進行認證。VPN服務器選擇所屬域密鑰管理服務站點接入,認證密鑰通常采用UKey傳遞(IDA,KA)的方式定期更換。其中,(IDA,KA)是VPN_A連入量子網(wǎng)a節(jié)點的身份證明及安全獲取量子密鑰的保證,通過(IDA,KA),VPN_A可以申請量子網(wǎng)內(nèi)其他節(jié)點與a節(jié)點之間的對稱密鑰。

VPN服務器之間的認證(替換IKE協(xié)議安全信道的建立階段)均采用預置對稱密鑰作為初始認證密鑰,當認證密鑰耗盡需要更換時,密鑰管理模塊KM會使用QKD產(chǎn)生的量子密鑰更新認證密鑰。VPN服務器會向密鑰交換模塊請求從KM獲取新的認證密鑰,該過程同第3.2節(jié)密鑰交換過程。

受訓人員使用VR手套與場景交互，手套與按鈕、油門手柄發(fā)生碰撞，觸發(fā)交互對象的操作動畫。VR手套與上述物體交互時，操作對象的動畫播放與VR手套的操作不一致；例如使用VR手套撥動油門手柄時，手柄穿透VR手套且未及時播放動作動畫。

VPN之間、KM之間的認證過程相同,均采用雙向認證方案,只有擁有認證密鑰的雙方才能正確地進行加解密,并通過挑戰(zhàn)應答的方式判斷對方的身份。

3.2 密鑰交換

將IPSec VPN中的D-H密鑰交換替換為從KMS申請量子密鑰[10],如圖3所示。在VPN的密鑰交換模塊中增添一個環(huán)形緩沖區(qū),將經(jīng)典VPN密鑰交換改為共同協(xié)商從緩沖區(qū)提取密鑰片段。作為量子密鑰分發(fā)網(wǎng)的節(jié)點,KMS內(nèi)設置了密鑰池來緩存2個KM服務器之間的對稱密鑰,QKD設備向密鑰池中補充密鑰。當VPN環(huán)形緩沖區(qū)內(nèi)密鑰消耗量超過預定義的一次密鑰提取申請的密鑰量時,VPN便會向KM服務器發(fā)起密鑰提取請求,并用提取的密鑰覆蓋已使用的密鑰。

圖3 量子密鑰交換

當VPN雙方相互認證成功并且均獲得KMS認證后,即可請求KM服務器為它們推送密鑰KA,B[11]。請求與推送過程如下(在以下協(xié)議設計中,KM服務器密鑰池包含由后量子算法增強經(jīng)典密碼算法、量子密鑰分發(fā)算法產(chǎn)生的對稱密鑰):

1)VPN_B->VPN_A:IDA‖IDB‖Ag。VPN服務器B向VPN服務器A提出補充密鑰請求,協(xié)商補充密鑰的生成算法Ag(選擇量子密鑰分發(fā)算法),并發(fā)送給服務器A。

2)VPN_A->KM_A:IDA‖IDB‖L‖Ag。VPN服務器A向KM_A提出需要和VPN服務器B協(xié)商密鑰,則向KM_A發(fā)送雙方VPN服務器的ID、需要的密鑰長度L、密鑰生成算法Ag。

3)KM_A->KM_B:E(KKM,L‖IDA‖IDB‖Ag‖R‖Check)。KM_A生成密鑰塊標識R,然后將IDA、IDB、密鑰長度L、生成算法Ag、密鑰標識R通過兩地KM之間的主密鑰加密發(fā)送給KM_B。KM_B根據(jù)KM_A所指定的長度L、生成算法Ag鎖定對應的密碼片段,驗證校驗值是否為Check,并將該片段標記為IDA‖IDB‖R,然后將校驗結果反饋給KM_A。

4)KM_A->VPN_A:E(KA,KA,B‖R)。收到校驗正常的反饋后,KM_A使用VPN_A與KM_A之間的認證密鑰KA加密的密鑰KA,B和密鑰塊標識R,發(fā)送給VPN服務器A。

5)VPN_A->VPN_B:E(KCAB,R)。VPN服務器A解密得到密鑰,并將密鑰塊標識R加密發(fā)送給VPN_B。

6)VPN_B->KM_B:E(KB,IDA‖IDB‖R)。VPN_B將IDA‖IDB‖R加密發(fā)送給KM_B,申請?zhí)崛拿荑€。

7)KM_B->VPN_B:E(KB,KA,B)。KM_B將VPN_B與KM_B之間的認證密鑰KB加密的密鑰KA,B推送給VPN_B。

由于電網(wǎng)等工控網(wǎng)絡中往往需要對網(wǎng)絡傳遞的指令或者數(shù)據(jù)進行備份與審核,在VPN服務器中保存明文指令或會話密鑰均需要提升服務器安全級別。在QS-KMS中可以使用云安全模塊的安全存儲功能解決這一問題:使用KMS的VPN服務器可以在向QS-KMS申請會話密鑰時,注明該段密鑰需要KMS備份。因此,VPN服務器可以將密文和密鑰片段的標識符轉發(fā)給審核機構,審核機構從KMS中獲取對應密鑰后解密并進行數(shù)據(jù)審核。審核機構同樣需要Ukey獲取量子隨機數(shù)與KMS認證,并加密傳輸?shù)膶徍嗣荑€。

4 QS-KMS中的動態(tài)密鑰調(diào)節(jié)

外界環(huán)境干擾或攻擊會對量子網(wǎng)絡造成影響,導致量子密鑰分發(fā)成碼率產(chǎn)生波動,最終使其無法穩(wěn)定地輸出量子密鑰。一般采用密鑰池(密鑰緩存)的方法來解決該問題。但實際中多數(shù)為長距離架空光纜的電力通信網(wǎng)絡,受環(huán)境影響劇烈,惡劣天氣等因素會導致其日均成碼率存在較大波動,普通的密鑰池策略難以為其提供穩(wěn)定的密鑰輸出條件。因此,為保證電網(wǎng)應用中VPN的長期穩(wěn)定工作,本文在KMS中加入動態(tài)密鑰管理策略,以解決惡劣天氣等因素造成的部分鏈路量子密鑰不足問題,在此基礎上,設計一種集成后量子密碼保密增強方案,作為QKD中斷后的應急備用措施。

KMS中每個KM服務器代表一個區(qū)域性的密鑰供給站點,可以接入多個QKD設備,分別為不同的密鑰池補充密鑰。一對QKD設備與兩地KM中的一對密鑰池對應,KM可以根據(jù)當前密鑰需求量對密鑰生成鏈路進行調(diào)節(jié)[12-13]。如圖4所示,A、B、C處3個KM下掛QKD組成兩兩相連的密鑰分發(fā)網(wǎng)。如果AB之間的密鑰不足,而AC、BC之間的密鑰池內(nèi)密鑰充足,則KM會通過AC、BC之間的密鑰中繼向AB之間的密鑰池補充對稱密鑰:KM_A直接將密鑰池AC的部分密鑰轉移到密鑰池AB并通知KM_C,KM_C將該部分密鑰通過從密鑰池BC中取出的密鑰一次一密加密發(fā)送給KM_B[14],KM_B從密鑰池BC中取出對應密鑰并解密,然后將解密結果存入密鑰池AB。

圖4 KM中的密鑰池對應關系

KM接收到提取密鑰請求時查詢當前剩余的密鑰量,若KM密鑰池中的剩余密鑰不足40%,KM則向其他節(jié)點提出通過密鑰中繼補充密鑰的請求,根據(jù)各節(jié)點給出的密鑰量反饋選擇一條或多條密鑰池密鑰量均超過70%的鏈路,然后通過密鑰中繼補充密鑰。

對于一般VPN服務器之間的數(shù)據(jù)量而言,量子密鑰分發(fā)的效率難以滿足一次一密要求,因此,當VPN與量子密鑰結合時,仍沿用VPN原有的加解密和更換密鑰的策略。當因特殊原因?qū)е翶M密鑰池中的密鑰消耗過快,KM無法通過量子網(wǎng)絡的調(diào)節(jié)補充充足的密鑰時,會通知VPN量子密鑰不足,并切換到使用后量子密碼增強密鑰進行加密通信的模式。

QS-KMS使用liboqs庫[5]實現(xiàn)多種效率高于經(jīng)典ECDH算法的后量子密碼算法。在密碼增強方案中,默認采用Newhope算法[15]產(chǎn)生的密鑰與ECDH算法生成的密鑰進行異或運算,結果作為后量子安全密鑰供VPN提取使用。

5 系統(tǒng)性能測試

將本文QS-KMS與VPN結合的方案應用于電力通信中的抗干擾量子通信系統(tǒng)實驗。量子層設備為40 MHz快速偏振反饋方案QKD,實驗環(huán)境選擇的鏈路為合肥市肥東變電站至肥西變電站之間共68 km的架空光纜,測試周期為16 d,實驗時以電網(wǎng)中QKD設備在強環(huán)境干擾下的真實成碼率支撐QS-KMS和VPN傳輸業(yè)務。經(jīng)過優(yōu)化與測試,該段鏈路偏振編碼QKD每小時平均成碼率的波動范圍為1.1 Kb/s～3.8 Kb/s,每日平均成碼率大于2 Kb/s[16]。隨后,對1 GHz高速時間相位編碼的QKD進行測試,選擇的鏈路為上海市北電力與災備中心的架空光纜,全程75 km,其中,架空部分長55.5 km,測試周期為28 d。測試結果為:1 h成碼率波動范圍在1.82 Kb/s～5.63 Kb/s,總平均成碼率為4.238 Kb/s。在上述實地測試案例中,QKD性能為Kb/s量級,以128 bit密鑰長度為例,每分鐘更新10次作為目標,對應于每分鐘1 000次以上的更新速度,量子密鑰能夠支撐100個VPN實例同時運行。

在嵌入式模塊LS1043上測試PQC算法模塊的運行效率。其中,經(jīng)典的ECDH算法密鑰產(chǎn)生速率為75 Kb/s,Newhope算法密鑰產(chǎn)生的速率為184 Kb/s,后者能夠?qū)崿F(xiàn)對經(jīng)典算法的密鑰增強,增強后整體密鑰產(chǎn)生速率為75 Kb/s,單片卡足以滿足中等規(guī)模網(wǎng)絡的VPN應用需求,且可以根據(jù)需要對多卡進行并行擴容。

基于QS-KMS的統(tǒng)一后臺服務能夠為VPN提供靈活、可重配的密鑰來源與更新速率,面向電網(wǎng)實際業(yè)務進行應用實驗,針對不同業(yè)務安全性需求,按照業(yè)務安全等級配置相應的VPN密鑰使用策略,然后將量子密碼和量子通信技術有效地融入到電力通信網(wǎng)絡中,從而提升網(wǎng)絡管理和信息傳輸?shù)陌踩燃塠17-18]。

6 結束語

本文通過QS-KMS與IKE協(xié)議的融合,在量子密鑰管理中擴展加入密鑰動態(tài)調(diào)節(jié)和后量子密碼算法,實現(xiàn)了持續(xù)穩(wěn)定運行的量子安全VPN。將該量子安全VPN的實現(xiàn)方案及實驗設備在區(qū)域電網(wǎng)實地場景中進行測試,結果表明,該方案能夠滿足電網(wǎng)控制通信的需求。今后將針對電網(wǎng)、工控網(wǎng)、大數(shù)據(jù)中心等實際運營環(huán)境,進一步完善QS-KMS系統(tǒng)結構,設計并集成量子安全簽名和后量子安全簽名等諸多方案,以建立工控網(wǎng)絡中完善穩(wěn)定的量子安全通信體系。

備注作者唐鵬毅與劉建宏對本文成果作出同等貢獻。