面向配電網的量子加密信息安全防護技術研究

錢 錦，李 昂，徐李冰，張 吉

(1.國網浙江省電力有限公司杭州供電公司，浙江 杭州 310000；2.國網浙江省電力有限公司信息通信分公司，浙江 杭州 310000)

0 引言

隨著新型電力系統(tǒng)的建設，海量風力發(fā)電、光伏及分布式電源等新能源終端的不斷接入，使得電源出力的間歇性、波動性加劇，同時傳統(tǒng)無線通信方式難以滿足電網涉控類業(yè)務的安全可靠性要求，增加了電網穩(wěn)定運行的潛在風險。如何確保電力設備的運行安全以及新能源終端穩(wěn)定高效的接入是電網成功轉型的關鍵，而5G+量子技術正是解決此類問題的有效手段。

1 概況

當前，國內電網的電力自動化技術應用已具備較高水平，投運各類配電自動化終端50 萬余套，其中采用無線公網通信方式有49 萬余套，占比96.14 %，采用光纖通信19 000 余套，占比3.86 %，約10 %的終端開關可實現(xiàn)遙控操作[1]。由于信息安全與通信傳輸?shù)某杀締栴}，導致大多數(shù)智能配網設備無法開啟無線遠程遙控功能，尤其在保電、安全演練等特殊時期，無線接入設備一直是電網管理最大的安全隱患。因此，為提升電力系統(tǒng)控制的潛力，將海量通信資源充分利用起來，就必須進行信息的加固防護。在配電網領域將5G 電力虛擬專網+量子加密信息安全防護技術進行融合，針對配電網業(yè)務建立無線安全接入信息安全防護技術體系，不僅能夠保障電力系統(tǒng)更加安全可靠的運行，還能有效降低建設和運維成本。

2 配電網量子加密信息安全防護技術方案

2.1 配電網終端情況

配電網終端主要指智能配電網系統(tǒng)中最末端設備，用于實現(xiàn)對電網的監(jiān)測、控制和管理，是智能電網的重要組成部分之一，其主要通過信息通信技術將配電網中各種數(shù)據進行集中管理和處理。配電自動化是利用先進的信息、通信和控制技術，對配電系統(tǒng)進行智能化管理和控制的過程。通過配電自動化系統(tǒng)，可實現(xiàn)對配電網絡的實時監(jiān)測、遠程操作、自動調節(jié)和故障診斷等，以提高電網的操作效率、可靠性和安全性。

目前，常見的配電網自動化終端主要有配電終端單元(DTU)、饋線終端設備(FTU)及臺區(qū)智能融合終端設備(TTU)。DTU 主要安裝在常規(guī)的開閉所/站、戶外小型開閉所、環(huán)網柜、各類變電站等處，完成對開關設備的位置信號、電壓、電流、有功功率、無功功率、功率因數(shù)、電能量等數(shù)據的采集與計算，并對開關進行分合閘操作，實現(xiàn)對饋線開關的故障識別、隔離和對非故障區(qū)間的恢復供電；FTU 是裝設在饋線開關旁的開關監(jiān)控裝置，負責在架空線上監(jiān)控負荷開關的通斷；TTU 主要監(jiān)測并記錄配電變壓器運行狀態(tài)，根據低壓側三相電壓、電流采樣值，定時計算一次電壓有效值、電流有效值、有功功率、無功功率、功率因數(shù)、有功電能、無功電能等運行技術參數(shù)，并記錄、保存一段時間[2]。

2.2 電力5G 虛擬專網情況

電力5G 虛擬專網是指在運營商5G 網絡中，基于網絡切片、多接入邊緣計算(multi-access edge computing，MEC)等技術，通過無線傳輸、承載網、核心網、轉發(fā)數(shù)據等環(huán)節(jié)虛擬出一張面向電力行業(yè)的專用網絡，可實現(xiàn)與電力信息通信專網跨域融合，完成電力場景下端到端的業(yè)務承載、高可靠的安全隔離以及通信資源管理[3]。5G MEC 是一種移動邊緣計算技術，其使得數(shù)據處理和存儲更近地與用戶連接，從而提高移動網絡的速度和效率。在電力領域，5G MEC 實現(xiàn)更快的數(shù)據傳輸和更低的延遲，從而支持智能電網的實現(xiàn)。

同時，電力5G 虛擬專網需要滿足電力行業(yè)基本的安全防護要求，即“安全分區(qū)、網絡專用、橫向隔離、縱向認證”的原則。尤其是電力生產控制類業(yè)務，電力5G 虛擬專網需達到等同于物理隔離的網絡專用程度，因此生產控制大區(qū)相關專屬網元要獨立部署，以滿足電力監(jiān)控系統(tǒng)安全防護要求(國能安全〔2015〕36 號)。

2.3 量子加密信息安全防護技術

隨著量子力學與信息科學的結合，量子信息技術逐漸形成，其中量子加密技術使用較為頻繁。量子加密技術通過測量量子物理系統(tǒng)中內秉的隨機特性產生真隨機數(shù)的量子隨機數(shù)發(fā)生器(quantum random number generator，QRNG)，每次輸出的密鑰隨機性是由量子力學基本原理所形成的，相較于其他隨機數(shù)產生而言更具安全性[4]。因此，利用光量子產生不可預測結果的百變特性，研制出量子加密安全服務平臺和加密模塊，每次傳輸?shù)臄?shù)據都通過該模塊進行加密，由于量子密鑰“隨機生成、一次一變”的特性，可以確保交互指令不易被破解。

2.4 量子加密信息安全防護方案設計

2.4.1 量子加密和配電網改造工程

近年來，我國在量子信息技術領域取得了突破性發(fā)展。在具體應用中，不僅有基于有線光纖網絡和量子密鑰分發(fā)技術，通過發(fā)射墨子號衛(wèi)星形成星地一體化傳輸體系，并形成一定規(guī)模的量子密鑰分發(fā)網絡，為用戶提供更加安全可靠的點對點量子信息防護手段；還有結合量子密鑰分發(fā)技術的應用，通過4G/5G 無線通信技術將海量無線終端設備和業(yè)務應用接入，提升無線通信網絡的整體安全性。

隨著國家能源局《新型電力系統(tǒng)發(fā)展藍皮書》以及工信部《5G 應用“揚帆”行動計劃(2021—2023 年)》的發(fā)布，基于5G 技術的數(shù)字化牽引新型電力系統(tǒng)正在全面開展。2022 年，國網浙江省電力有限公司正式啟動了配電網5G 通信設備改造工程，推進架空線路智能化升級工作。

2.4.2 基于MEC 的量子加密應用架構組成

現(xiàn)有的量子密鑰分發(fā)網絡由量子密鑰分發(fā)設備、光量子真隨機數(shù)發(fā)生器、量子安全網關組成。光量子真隨機數(shù)發(fā)生器能夠生成海量的量子密鑰，這些密鑰由密鑰管理系統(tǒng)統(tǒng)一進行管理，再通過量子安全服務平臺，推送給需要使用量子密鑰的配電網業(yè)務和終端。基于量子密鑰分發(fā)網絡環(huán)境，將量子密鑰的應用關口前移，將防護前移至無線安全接入區(qū)前，提出基于5G 網絡的量子安全服務平臺應用模式(見圖1)。系統(tǒng)通過量子密鑰分發(fā)網絡生成量子密鑰，在量子安全服務平臺注冊后，通過量子密鑰充注方式將量子密鑰充注到量子密鑰移動介質(TF 卡、U-Key 等等)，再用于量子移動終端。

圖1 量子安全服務平臺應用模式

5G 電力虛擬專網中通過MEC 部署應用，包括身份認證應用、量子安全服務平臺、UPF 網絡轉發(fā)等，并利用5G 特性與運營商進行能力互動，可實現(xiàn)將安全防護關口前移、安全事件的毫秒級快速響應、身份二次鑒權提升安全性等。

3 技術應用

3.1 應用環(huán)境設計

配電自動化應用通過使用5G 電力虛擬專網，可實現(xiàn)高可靠的配電網保護，實現(xiàn)故障的快速定位與隔離快速恢復、負荷精準控制、視頻監(jiān)控的高效傳輸?shù)?。在實際使用過程中，整個5G 配電網量子加密環(huán)境主要包含部署在MEC 中的量子安全服務平臺(應用服務側)、傳輸過程中5G 的安全能力交互、配電終端應用的量子加密模塊(終端側)。

量子安全服務平臺主要包括量子密鑰生成、量子密鑰統(tǒng)一調度管理以及兩端的量子密鑰應用[5-6]。

在應用服務側，量子密鑰生成主要是利用光量子隨機數(shù)發(fā)生器產生不可預測結果的密鑰，再進行量子加密，形成最終的加密量子密鑰。在量子密鑰的統(tǒng)一調度管理過程中，還需要量子密鑰管理機、交換密碼機、量子密碼服務平臺以及量子密鑰充注系統(tǒng)。量子密鑰管理機主要負責管理和存儲量子密鑰；交換密碼機主要負責在傳輸過程中控制量子密鑰的輸出與交換；量子密碼服務平臺主要負責量子密鑰的對外調度使用，確保量子密鑰可以安全有序地分發(fā)至需要使用的應用系統(tǒng)；量子密鑰充注系統(tǒng)主要負責將量子密鑰通過U 盾/TF 卡等方式進行充注，并在量子加密終端使用[5]，確保初始密鑰也得到安全保障。在終端側，量子加密終端由量子安全網關、量子加密模塊和5G 傳輸終端(如客戶端設備CPE 等)，通過利用量子安全加密傳輸通道，提升5G 終端接入、傳輸?shù)陌踩燃墸_保電力業(yè)務系統(tǒng)網絡傳輸更加安全可靠。

3.2 系統(tǒng)測試

3.2.1 延遲測試

選取配電網DTU 進行測試，用筆記本電腦1 模擬104 主站，筆記本電腦2 模擬本地主站。DTU 終端通過5G CPE 無線連接至本地主站系統(tǒng)，另一端連接至測試筆記本電腦1，做“三遙”(遙測、遙信、遙控)測試，通過104 主站與本地模擬主站收到的相同報文時間差作對比，即可以得到報文延時時間，如圖2 所示。同時在主站側部署5G 環(huán)境和5G+量子環(huán)境分別進行傳輸測試。

圖2 DTU 終端測試

由測試結果可知：在5G 部署環(huán)境下，1 000次測試中最大延遲為121.23 ms，而5G+量子環(huán)境下最大延遲為200.23 ms，符合配電網的通信要求。

3.2.2 遙信突變下的延遲測試

DTU 終端通過使用5G CPE 無線連接至本地主站系統(tǒng)，通過遙信突變分析主站報文收到時間與報文生成時間的事件順序記錄(SOE)時標時間差，即可以得到報文延時時間。通過測試得到“三遙”相關數(shù)據，如表1、2 和3 所示。

表1 5G DTU 遙信測試

表2 5G DTU 遙測測試

表3 5G DTU 遙控測試

將各項測試得到的報文延時的結果與系統(tǒng)要求的響應時間進行對比，測試結果均符合電力系統(tǒng)響應時間的要求。

4 結論

針對配電網終端無線通信的安全問題，提出了在電力5G 無線網絡MEC 環(huán)境中引入量子加密防護技術，為配電自動化業(yè)務使用“三遙”功能提供安全支撐。試驗證明，應用該方案系統(tǒng)響應時間符合電力業(yè)務規(guī)范要求。后續(xù)可通過不斷放開“三遙”等功能，大幅縮短故障隔離和恢復送電時間等，也為實現(xiàn)故障快速定位與隔離恢復，以及精準負荷控制、實時視頻監(jiān)控等提供技術支持。