您好!今天是:2025年-5月2日-星期五
面向時間敏感網絡的量子保密通信技術概述
點擊:1935 作者:繆亞軍,董芃 等 來源:安全內參微信號 發布時間:2024-08-25 10:34:29
摘要:隨著時間敏感網絡(Time-Sensitive Networking,TSN)技術的不斷發展,如何同時確保網絡的確定性和安全性成為了業界關注的焦點問題。量子保密通信技術為TSN的安全保障帶來全新解決方案。首先介紹量子密鑰分發(Quantum Key Distribution,QKD)與TSN網絡融合的意義和優勢;然后分別針對TSN時敏業務、同步信息和控制信息的安全保護問題,提出基于QKD技術的加密傳輸方案。
引言
時間敏感網絡(Time-Sensitive Networking,TSN)技術是下一代通信網絡與行業用戶網絡深度融合,實現產業效能提升的核心,能夠為信息技術(Information Technology,IT)與操控技術(Operation Technology,OT)融合的未來工業互聯網提供基礎支撐,其安全性備受關注。在TSN場景下實現高效實時加密通信給傳統密碼應用帶來嚴峻挑戰。量子密鑰分發(Quantum Key Distribution,QKD)基于物理學原理高速實時生成對稱密鑰,有望為TSN的時間同步及數據傳輸提供高度安全的解決方案。同時,QKD網絡自身也要求實時經典數據交互,TSN網絡可有效增強QKD經典信道通信協商實時性能。因此,如何將TSN網絡與QKD網絡有效融合,實現時間敏感量子通信網絡,對于滿足未來產業發展需求具有重要意義。
近年來,QKD與TSN的融合研究得到越來越多的關注[1-4]。2016年,電氣與電子工程師協會(Institute of Electrical and Electronics Engineers,IEEE)啟動P1913標準項目[5],制定量子通信與TSN融合技術標準。2018年10月,美國能源部啟動由通用電氣公司主導的“時間敏感量子密鑰分發”科研項目[6],研制了應用于電網的時間敏感量子加密設備。2023年3月,國際電信聯盟啟動QKD網絡與TSN融合應用技術標準研制工作[7]。
本文旨在研究QKD與TSN融合的應用意義、系統框架,以及如何利用QKD網絡保護TSN時敏業務流、同步信息和控制信息的相關技術。首先,從工業網絡的發展趨勢出發,揭示了TSN在工控領域的廣闊應用前景以及隨之而來的安全挑戰。其次,針對TSN業務流的實時性和安全性傳輸需求,設計了基于QKD的TSN時敏業務流端到端加密傳輸方案。再次,從TSN全局精準同步的需求出發,強調了保護同步信息的必要性,并提出了基于QKD的TSN安全時間同步技術方案。最后,針對TSN控制面信息的安全傳輸問題,介紹了基于QKD的TSN控制面信號加密傳輸方案。
1 QKD與TSN網絡融合意義及優勢
按照工業4.0的要求,傳統的分層工廠網絡將演變為未來的全互聯工業網絡,它可以在一個網絡中同時承載工廠級盡力而為的IT業務和現場級確定性的OT業務。如圖1所示,生產現場的大量輸入輸出(Input/Output,I/O)設備與可編程邏輯控制器(Programmable Logic Controller,PLC)之間的傳統現場級通信連接,可以由部署在云端的統一虛擬化控制器通過TSN網絡進行全局高效互聯,從而實現工業生產控制的全局優化和按需可重構管理,為工業4.0所設想的高效定制化、個性化智能制造的愿景提供基礎。
圖1 工業網絡演進方向
TSN是為完成IT/OT融合工業網絡的使命而開發的,與大多數關鍵工業數據(如控制電機的I/O信號)在封閉車間內傳輸的傳統工業網絡不同,TSN需要在大規模工廠網絡(至少是園區級)中傳輸確定性和關鍵的OT業務。這將使敏感的OT業務暴露出更多的安全漏洞,因此必須提供強大的網絡安全保障措施。然而,傳統的網絡安全措施,如用于密鑰分配的非對稱加密算法,會帶來額外的時延,從而難以滿足OT業務的確定性和硬實時性要求。根據本文研究,硬實時性要求指端到端時延小于1 ms,某些情況下抖動小于100 ns。
量子密鑰分發網絡(Quantum Key Distribution Network,QKDN)可以在物理帶外生成符合信息理論安全的對稱密鑰流。此外,根據本文研究,OT流量(如I/O控制信號)通常需要非常低的數據傳輸速率(例如,開關控制為1 bit,電機控制為每周期幾十比特)。目前的QKD密鑰速率足以對OT服務流進行一次性密碼本(One-Time Pad,OTP)加密。因此,只需進行基于OTP的逐位異或操作,就能以極其高效的方式對OT服務數據進行加密。與傳統加密方法相比,這種方法的時延極短,且可實現工控數據要求的一次一密高級別安全要求。
2 QKD與TSN融合關鍵技術
2.1 TSN功能結構概述
TSN是IEEE開發的一種廣泛應用的通信標準,旨在滿足工業環境嚴格的時延和時序要求。TSN依靠精確的時間同步和時間感知流量整形和調度來確保以太網中確定性和可重新配置的數據傳輸。如IEEE 802.1Q-2022[8]標準所規定,TSN網絡由終端、網橋組成,終端側的數據流能夠按照預定的時間、規律等進行發送。為實現這些數據流在網絡中各節點精準定時傳遞的要求,需要對網絡參數進行大量復雜的運算,為此TSN在集中式配置模型中引入了集中用戶配置(Centralized User Configuration,CUC)、集中網絡配置(Centralized Network Configuration,CNC)單元,負責收集大量終端用戶及業務需求,并對網橋路由、門控參數等進行精準調控,以保障端到端數據傳輸的確定性。CNC與TSN網橋之間的控制信令交互、TSN端點與網橋之間的數據傳遞以及時間同步消息都需要高度安全和實時的安全保護措施。
傳統的公鑰密鑰交換方法需要更多的計算資源并導致額外的時延,因此不適合TSN目標場景。由于QKD可以基于量子物理原理生成帶外對稱密鑰,有望成為增強TSN安全性的重要解決方案。
2.2 基于QKD的TSN時敏業務流端到端加密傳輸方案
對于任意兩個傳輸確定性數據流的TSN端點,通信發起方和監聽方都需要連接到QKDN用戶節點,以便及時獲取加密和解密密鑰,從而確保基于QKD密鑰的加密業務流能夠在要求的時延范圍內到達目的地并解密。
此外,TSN采用動態可重構設計,由CNC來實時確定路由并調度路由沿線每個TSN交換機上的門控參數。因此,當CNC重新調度TSN路由時,QKDN需要從CNC處獲取路由變化情況,并根據業務需求重新生成密鑰。如圖2所示,本文給出一種基于QKD的TSN時敏業務流端到端加密傳輸方案。
圖2 基于QKD的TSN時敏業務流端到端加密傳輸方案流程圖
該方案在TSN配置流程中引入了CNC與QKDN控制器的交互機制,使QKDN控制器動態獲取TSN時敏業務流需求,根據需求完成QKD網絡的配置,從而使QKD網絡能夠在業務傳輸的時限要求內生成TSN端點設備對稱共享密鑰,完成時敏業務流端到端加密傳輸。方案具體流程如下所述。
首先,TSN的CUC會從TSN端點設備獲取業務流的傳輸需求,為業務流創建流信息,包括流ID(Stream ID)、流等級(Stream Rank)、最大網絡時延要求等,再將業務流信息發送給CNC。CNC根據業務流信息以及TSN拓撲計算最優TSN調度策略,在對比TSN調度策略的端到端時延與業務流端到端傳輸時延需求后,CNC將時延余量等指標發送給QKDN控制器。
QKDN控制器收到指標信息后,根據需求計算與TSN端點設備連接的兩個QKDN用戶節點(QKD User Node,Q-UN)之間的最優密鑰傳輸路徑,配置QKD網絡對稱密鑰傳輸路由,并記錄QKD網絡生成共享對稱密鑰所花費的時間以及TSN業務數據與密鑰進行異或操作的時間(即加解密時間),判斷是否滿足時限要求。如果滿足,則向CNC報告QKD網絡能夠完成時敏業務流加密需求;如果不滿足,則需要優化QKD網絡。
TSN端點設備基于TSN路由以及QKDN密鑰傳輸路由進行TSN業務流的端到端加密傳輸。TSN Talker在發送業務數據前向連接的Q-UN請求密鑰,Q-UN通過QKD網絡使用逐跳生成量子密鑰的方式進行OTP加密傳輸,與TSN Listener側的Q-UN生成共享對稱密鑰。之后TSN Talker使用該密鑰完成業務數據的加密,經由網絡中間的TSN交換機設備傳輸到TSN Listener完成端到端的加密傳輸。
最后,當業務需求發生改變時,CNC將新的QKD網絡QoS指標重新發送給QKDN控制器,再次計算最優密鑰傳輸路徑,從而動態響應TSN業務需求變化,滿足時敏業務流加密傳輸需求。
2.3 基于QKD的TSN安全時間同步技術
TSN采用802.1AS協議確保全網時鐘的精準同步。TSN節點之間傳輸時間同步信息,并基于White Rabbit算法實現納秒級的同步性能,為網絡提供精確的時間參考,因此有必要保障同步信息傳遞的完整性。為了使用QKD密鑰確保這些信息的安全,所有帶時鐘的TSN節點都需要連接到QKDN節點,并獲取QKD密鑰,用于相鄰TSN節點之間的同步信息驗證。
圖3給出了基于QKD的TSN安全時間同步方案。圖中上方是TSN同步網絡示例,包括一個主時鐘節點,兩個精確時間協議(Precision Time Protocol,PTP)交換節點,1個PTP端節點。主時鐘節點負責提供時鐘信息,PTP交換節點從某一端口接收時間同步信息,修正時間同步信息后轉發到其他端口,PTP端節點接收來自主時鐘節點的時間同步信息。為保障同步信息完整性,在任意兩個相鄰節點之間傳輸時間同步信息時都需要QKD網絡提供加密服務。因此當同步網絡確定后,每兩個相鄰PTP節點都要連接到QKDN節點,QKDN控制器根據同步網絡配置密鑰生成路徑,隨后開啟TSN網絡時間同步流程。
圖3 基于QKD的TSN安全時間同步方案
首先,主時鐘節點發送同步信息前需要向連接的QKDN節點請求密鑰,QKD網絡生成密鑰后發送給主時鐘節點以及與主時鐘節點相鄰的PTP交換節點,以保障兩節點之間同步信息傳輸的完整性。由于主時鐘節點向同步信息內寫入時間戳后,還需使用密鑰對信息進行完整性保護后才能發送,因此主時鐘節點應提前計算處理時間,在寫入時間信息時進行補償。
然后,在PTP交換節點轉發收到的同步信息前,也向其相連的QKDN節點請求密鑰,QKD網絡生成密鑰后發送給PTP交換節點以及相鄰節點。PTP交換節點計算同步信息在其內部的駐留時間,包括對主時鐘節點同步信息完整性驗證的時間、PTP交換節點密鑰生成時間、節點對同步信息的處理時間以及PTP交換節點對同步信息完整性保護時間,最后將計算得出的駐留時間寫入同步信息中,通過密鑰保護后發送給后面的相鄰節點。網絡中后面連接的PTP交換節點的同步信息處理、密鑰請求流程與上述流程類似。
最后,PTP端節點收到同步信息并進行完整性驗證,獲取主時鐘時間信息、中間節點駐留時間等,基于802.1 AS時間同步原理,計算鏈路傳輸時延、時鐘偏差等信息,完成時鐘同步流程。
2.4 基于QKD的TSN控制面信號加密傳輸方案
TSN控制平面數據(包括CNC與TSN交換機之間用于調度和控制信號的數據流,以及CUC與TSN端點之間用于服務請求和QoS協商的數據流)需要受到保護,特別是在集成保證方面。因此,CNC/CUC需要與QKD節點連接,以獲取CNC/CUC與相關TSN端點或交換機之間的密鑰。
如圖4所示,本文給出一種基于QKD的TSN控制面信號加密傳輸方案,以CNC與TSN交換機之間的控制信息加密傳輸為例介紹方案流程。
圖4 基于QKD的TSN網絡控制面信號加密傳輸方案
首先,CNC掃描TSN物理網絡拓撲獲取到網絡中所有TSN設備的標識后,將標識信息發送給QKDN控制器。而后,由QKDN控制器為CNC與TSN交換機相連的QKDN節點配置密鑰生成路徑,建立TSN交換機標識和密鑰生成路徑之間的映射關系。
然后,當CNC需要對TSN交換機進行配置時,向QKD網絡請求密鑰。CNC向連接的QKDN節點發送密鑰獲取請求,其中攜帶TSN交換機標識,QKDN節點根據TSN交換機標識,通過預配置的密鑰傳輸路徑與目標TSN交換機相連的QKDN節點生成對稱共享密鑰,將密鑰及該密鑰的標識發送給CNC。
最后,CNC將用于加密此次控制信息的密鑰標識發送給目標TSN交換機,該交換機通過密鑰標識和CNC標識向其連接的QKDN節點獲取密鑰。此時CNC與TSN交換機獲取到對稱密鑰,CNC使用密鑰對控制面數據加密后發送,TSN交換機接收后進行相應解密。
3 結束語
本文介紹了面向TSN的量子保密通信技術。在TSN中,安全性和實時性是至關重要的,而傳統的加密方法往往無法滿足實時性的要求。QKD技術的引入為解決這一難題提供了全新的思路和解決方案。通過分析TSN與QKD網絡融合的意義和優勢,以及針對時敏業務流、同步信息和控制信息的安全保護方案進行設計,展現了量子保密通信技術在網絡安全領域的潛力和應用前景。
隨著工業網絡的不斷演進和工業4.0的發展,TSN將在工業領域發揮越來越重要的作用。量子保密通信技術的應用將為工業網絡的安全保障提供新的解決方案,推動工業互聯網進一步發展。相信隨著技術的不斷進步和應用的深入,量子安全的時間敏感網絡將在各垂直行業領域展現出更加廣闊的應用前景。
Overview of quantum secure communication technology for time-sensitive networking
MIAO Yajun1, DONG Peng2, LI Minghan1, MA Zhangchao2, QI Wei1
(1. CAS Quantum Network Co., Ltd., Shanghai 200123, China
2. University of Science and Technology Beijing, Beijing 100083, China)
Abstract: With the continuous development of Time-Sensitive Networking (TSN) technology, ensuring the determinism and security of the network has become a focal point in the industry. The emergence of quantum secure communication technology offers a new opportunity for enhancing the security of TSN. First, this paper introduces the significance and advantages of integrating TSN technology with Quantum Key Distribution (QKD) networks. Then, it proposes secure communication schemes based on QKD technology, specifically addressing the security protection of time-sensitive service information, synchronization information, and control information within TSN.
Keywords: quantum security; TSN; QKD
作者簡介
繆亞軍
國科量子通信網絡有限公司助理研究員,主要研究方向為科技政策與量子信息科技。
董芃
北京科技大學博士研究生在讀,主要研究方向為工業互聯網。
李明翰
國科量子通信網絡有限公司高級工程師,主要研究方向為量子通信及標準化。
馬彰超
北京科技大學副教授,主要研究方向為新一代工業控制系統與量子保密通信。
戚巍
國科量子通信網絡有限公司高級工程師,主要研究方向為量子通信工程。
文章來源于信息通信技術與政策 圖片來源網絡 侵刪
責任編輯:向太陽
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學習參考;
2、本站屬于非營利性網站,如涉及版權和名譽問題,請及時與本站聯系,我們將及時做相應處理;
3、歡迎各位網友光臨閱覽,文明上網,依法守規,IP可查。
作者 相關信息
內容 相關信息
? 昆侖專題 ?
? 高端精神 ?
? 新征程 新任務 新前景 ?
? 習近平治國理政 理論與實踐 ?
? 國策建言 ?
? 國資國企改革 ?
? 雄安新區建設 ?
? 黨要管黨 從嚴治黨 ?
熱點排行
建言點贊
