5G+量子融合安全提升解決方案——面向能源領域的工業互聯網安全構建
方案概述
電力行業是我國重要的工業領域之一,發展工業互聯網是電力行業數字化轉型的必然過程,根據工信部印發的《工業互聯網創新發展行動計劃(2021-2023 年)》的相關內容要求,電力行業將進一步加快工業互聯網創新發展步伐,持續推動工業數字化轉型。安徽移動面向國網電力安徽公司虛擬電廠、配網保護等生產控制應用,建立5G電力專網,通過RB預留、Flexe硬切片、UPF下沉隔離、網絡邊界一體融合的安全防護體系等技術實現電力業務網絡承載層面數據安全隔離,結合應用層面量子加密系統融入5G專網通信體系,打造網業一體的電力網絡安全解決方案。
1.方案背景
2020年,中央政治局就量子科技研究和應用前景舉行第二十四次集中學習,并寫入國家“十四五規劃”。2021年《國家電網公司能源互聯網規劃》要求,要通過建設堅強骨干網架、彈性靈活配電網、平臺云網融合等,構建能源互聯網安全防御體系,提高“雙高”“雙峰”背景下電網抗擾動能力和自愈能力,提升信息安全態勢感知能力和智能化、動態化網絡安全防護水平,實現更高水平的電力安全保障。2022年,國網“十四五數字化規劃”和“十四五”配電數字化建設應用工作方案,提出要探索研究量子加密技術在海量分布式新能源接入、“源網荷儲”高效互動、配電網等業務場景的應用。隨著以新能源為主體的新型電力系統建設,海量分布式新能源并網接入,源網荷儲友好互動,對通信網絡的靈活接入、實時性、可靠性和安全性提出了更高要求。
2.方案簡介
方案通過5G專網+量子加密體系融合,基于5G專網技術,結合量子保密通信在5G通信通道加密、電力業務數據加密和身份認證、鑒權等方面的關鍵技術,攻關“5G+量子+縱向加密認證技術”和“5G+量子+橫向加密技術”,提出“5G+量子”方案,建設省級電力量子密鑰服務平臺,研發首臺5G量子縱向加密認證裝置、首個具有精準時間同步功能的5G量子橫向加密通信終端,將實時更新的量子密鑰融入電力二次安防體系,為5G承載不同電力業務提供定制化的保密服務,構建新型電力系統堅強護盾。
3.方案目標
以5G專網為承載基礎,結合5G承載電網調控業務的量子密鑰應用需求,遵循“統一量子密碼服務平臺+定制化密碼應用”的整體思路,積極貫徹落實國家“十四五”規劃量子科技戰略,建設具有差異化量子密鑰供給能力的量子密服平臺,研制涵蓋“5G+量子+縱向加密、橫向加密”兩款5G量子密鑰應用產品,通過將隨機性更強、更新頻率更高的量子密鑰引入5G通信通道加密和調控業務數據加密環節,提升5G承載電網調控類業務的安全水平。
方案實施概況
5G網絡引入網絡功能虛擬化、網絡切片、邊緣計算、網絡能力開放等關鍵技術,一定程度上帶來了新的安全威脅和風險,對數據保護、安全防護和運營部署等方面提出了更高要求。本方案通過建設5G專網安全防護體系,結合業務應用安全要求特點,將5G專網與電力應用加密網絡二網融合,建立面向業務的端到端安全防護體系。
1. 方案總體架構和主要內容
基于5G+AICDE,為安徽電力打造5G業務專網,形成網絡+業務的的一體化安全解決方案,以5G專網安全為基礎,設計了面向通道加密、身份認證、數據加密的差異化量子密鑰應用策略,設計了首套支持量子隨機數、多廠家多制式QKD密碼源,支持多種量子密碼應用策略,支持對外提供統一API接口的量子密碼服務平臺,并在國網安徽省電力公司統一部署,滿足不同電力業務的差異化量子密鑰應用需求。
圖2-1 安徽移動電力5G專網系統架構
2. 網絡、平臺或安全互聯架構
(1)打造面向客戶的網絡安全方案
圍繞SDN、安全資源池、云安全管理平臺3大模塊,構建云化網絡防護能力,安全能力部署在UPF近源側,通過分流減壓縱深化檢、安全編排云邊協同、虛擬資源彈性伸縮多維度安全協同,為企業客戶打造專屬的安全解決方案,對企業網絡進行全流量安全監控,保障園區資產的安全訪問與使用。
圖2-2 安徽移動電力5G專網網絡安全系統架構
(2)融合業務應用提升業務側安全能力
通過部署“5G+量子+縱向加密認證技術”,使用支持5G通信、量子密鑰和縱向加密認證功能的5G量子縱向加密認證裝置,并在分布式新能源群調群控和虛擬電廠兩個業務場景開展業務安全部署。通過攻關“5G+量子+橫向加密技術”,研發具有精準時間同步功能的5G量子橫向加密通信終端,并在配網保護業務場景落地使用。
圖2-3 安徽移動電力5G專網應用安全系統架構
3. 具體應用場景和安全應用模式
(1) 面向電力企業主網調控的“5G+量子縱向加密”安全應用
針對新型電力系統分布式新能源并網、“源網荷”友好互動、虛擬電廠等業務安全接入需求,在主站側對縱向加密認證裝置進行量子化升級,在終端側部署5G量子縱向加密認證裝置,基于5G專網安全的承載通道,利用量子密碼服務平臺實時分發和統一調度的量子密鑰構建縱向加密隧道,選取典型分布式新能源場站開展業務部署驗證,探索5G+量子加密技術在分布式新能源群調群控和虛擬電廠等主網調控業務中應用的可行性,為安全電網運行提供端到端一體化安全防護能力。
(2)面向電力企業配網調控的“5G+量子橫向加密”應用
針對配網差動保護業務安全提升需求,結合人工智能技術預測配網差動保護業務狀態,提出差異化的量子密鑰應用策略,通過具備精準時間同步功能的5G量子橫向加密通信終端,利用量子密碼服務平臺實時分發和統一調度的量子密鑰,構建量子加密隧道,實現對5G無線通道的加密,并選取典型的配網保護業務場景開展示范應用,驗證面向配網保護業務的5G與量子密鑰融合技術應用的可行性。
4. 安全及可靠性
(1)面向電力企業的5G網絡安全
面向電力企業業務場景,構建集5G安全自動化檢測、全業務/全通道數據采集監測、云安全自適應防護、AI智能化分析、安全編排與響應于一體的5G網絡安全整體防護能力,通過部署防火墻、IPS及WAF 3種安全組件,保障企業設備數據交換間的傳輸安全。
(2)面向應用場景的端到端業務安全
通過5G專網與量子加密技術融合,為電力配網保護、虛擬電廠等電力關鍵業務運營提供專屬的安全防護能力。
密碼隨機:密鑰隨機性由量子力學原理保證;
一次一密:量子密服平臺實時更新會話密鑰;
高頻更新:會話密鑰的更新頻率秒級可配置;
深度融合:5G網絡、量子加密與電力業務需求深度融合;
冗余備份:支持量子密鑰、經典密鑰的無縫切換;
本方案安全方案經驗證可滿足新型電力系統背景下主配網調控業務的大帶寬、高并發、低延時的差異化安全通信需求。
5. 其他亮點
國內首個電力行業專網安全應用,融合5G專網通信技術、量子加密技術,為電力企業對安全性要求較高的生產業務提供端到端安全保障。方案獲得第五屆“綻放杯”5G應用征集大賽智慧能源專題賽三等獎(支持新型電力系統的省域5G專網及示范應用)、2022年安徽省“5G+工業互聯網”十大創新應用(安徽國網新型城市5G智能電網繼電保護)。
下一步實施計劃
1. 主網調控業務場景推廣部署
在國網電力安徽公司信義6期10kV光伏站點開展分布式新能源群調群控應用示范,在蔚來換電站開展虛擬電廠應用示范,進一步驗證“5G+量子縱向加密認證”技術,制定全省推廣計劃,通過5G專網二期方案逐步分地市進行全覆蓋。
2. 配網保護業務場景推廣部署
一期通過5G專網覆蓋區域,在合肥城區部分開閉所開展配網保護業務5G+量子加密全場景覆蓋測試,驗證“5G+量子+橫向加密”技術,制定全省推廣計劃,通過5G專網二期方案逐步分地市進行全覆蓋。
方案創新點和實施效果
1. 方案先進性及創新點
(1)方案研發了首臺支持電力專用加密算法和國調證書體系的5G量子縱向加密認證裝置,可實現分布式新能源群調群控業務安全接入調度自動化系統進行遠程控制,提升分布式新能源廠站信息無線接入的安全性,解決部分新能源廠站光纜未覆蓋、重要信息無線傳輸不安全的問題。
(2)方案研發了首臺支持高精度授時技術、電力專用算法的5G量子橫向加密網關,可接入配網差動保護等典型業務,提升配網保護業務的無線接入安全性,大幅縮短配電網故障隔離時間。
(3)方案通過采用的隨機性更好、更新頻率更高的量子密鑰,在5G網絡基礎上構建電力專用量子加密隧道,大幅提升了主配網控制類業務的安全性。
2. 實施效果
(1)助力電力企業5G承載電網調控業務安全提升
關鍵技術設備國產化
量子密鑰生成設備、調度設備和應用設備均已實現全國產化,推動了量子科技進步和實用化水平,進一步提升了5G承載電網調控業務的安全性,保證業務接入、承載、安全及端到端的自主管控。
具有良好地社會效益
通過將5G通信、量子密碼技術、電網調控業務深度融合,構建了一道安全可靠的電力應用網絡,有效的解決電力智慧系統的安全和接入的問題,助力電力企業數字化轉型,增強供電可靠性。
(2)形成了可復制、可推廣的“5G+量子+調控業務安全提升”典型方案
設計了“5G專網+應用安全”的整體安全解決方案架構,在5G專網基礎上,建設量子密碼服務平臺,支持光纖QKD、量子隨機數、量子衛星密鑰源,支持量子密鑰的生成、統一管理和靈活調度;在應用側,針對不同調控業務場景,提出了涵蓋“5G+量子+縱向加密”“5G+量子+橫向加密”的主配網安全提升整體解決方案,部署5G+量子加密定制化裝置,融入現有安全防護體系,構建量子加密通道實現主配網調控業務安全提升,為“5G+量子”技術在電網調控領域的應用提供了重要參考。
單位基本信息
本方案由中國移動通信集團有限公司信息安全管理與運行中心牽頭。2011年11月,中國移動通信集團有限公司信息安全管理與運行中心成立(以下簡稱“信安中心”),具備“管理+生產”雙重職能,負責歸口信息安全管理與不良信息治理,開展不良信息集中治理與信息安全集中運營。2018年8月,集團成立中國移動網絡安全領導小組,領導小組辦公室設在我中心,負責集團網絡安全相關工作統籌和協調。信安中心深入學習貫徹習近平總書記關于網信工作的重要指示精神,以建設網絡強國為己任,工作范圍覆蓋終端安全、網絡安全、應用安全、業務安全、內容安全等多領域,形成了全國“一盤棋”的工作格局,相關工作整體能力與水平始終保持行業領先。近年來,信安中心在開展網絡安全重保、防范打擊電信詐騙、組織網絡安全攻防競賽、開展網絡安全研發等方面卓有成效。在工業互聯網方面,特別成立了專門的研發中心,開展工業互聯網業務及工業互聯網安全防護解決方案的研制和推廣。
中國移動通信集團安徽有限公司作為本次方案聯合申報單位,下轄16個市分公司、64個縣(市)分公司及1個全資子公司,擁有各類員工16700余人。公司以滿意服務為宗旨,以創無限通信世界,做信息社會棟梁為使命,全面實施服務與業務領先戰略,努力為安徽經濟的騰飛服務。中國移動安徽公司自成立以來,運營收入平均增速達20%,成為區域主導通信運營企業。2002年上市以來,累計上繳中央和地方稅收達119億元。移動通信網絡已全面覆蓋全省各市、縣、鄉、村。中國移動安徽公司大力推進行業應用,助推政府和企業信息化建設。公司一直致力于以移動信息化助推當地經濟社會發展。企業發展不忘回報,積極開展教育扶貧、捐資助學,支持農村教育、科技和文化事業發展。公司近年的發展得到了社會各界充分肯定,先后獲得“全國五一勞動獎狀”、“中央企業先進集體”、“全國履行社會責任貢獻突出獎”、“全國通信行業用戶滿意企業”、國家級“誠信維權單位”、“全國優秀外商投資企業”、“全國內部審計先進單位”、“全省外商投資經濟效益先進企業、經濟效益最好企業”、“全省模范勞動關系和諧企業”等榮譽稱號。
國網安徽省電力有限公司信息通信分公司于2010年3月成立,是國網安徽電力的信息通信業務支撐機構,承擔信息通信系統的建設與運行維護工作。主要負責安徽省境內一二三四級骨干通信網的運行監視和三四級骨干通信網的調度指揮,承擔500kV及以上變電站通信系統運維檢修和工程建設。負責省公司信息通信機房的建設與運維工作,承擔主機、存儲及網絡設備的日常運維工作,負責省級集中部署業務應用系統的建設和運維工作。承擔省公司數據中臺建設運營和數據價值挖掘應用等工作。負責網絡與信息安全保障工作,承擔網絡保密檢查監測中心、商用密碼服務中心日常運營工作。
AII微信公眾號
AII頭條號