ICS 35.040 L80 T/CSEE 0087.2—2018 CSEE 中国电机工程学会标准 T/CSEE 0087.2 一 2018 电力量子保密通信系统 第2部分：VPN网关设备 Powerquantum secure communication system 中国电机工程学会标准 Part 2: VPN gateway device 电力量子保密通信系统 第2部分：VPN网关设备 T/CSEE 0087.2—2018 中国电力出版社出版、发行 （北京市东城区北京站西街19号100005htp:/www.cepp-sgc.com.cn） 北京九天众诚印刷有限公司印刷 2019年1月第一版 2019年1月北京第一次印刷 SEE 880毫米×1230毫米 ：16开本1印张26千字 统一书号155198·1103定价26.00元 版权专有 侵权必究 本书如有印装质量问题，我社营销中心负责退换 2018-12-25发布 2019-03-01实施 中国电机工程学会 发布 155198.1103 T / CSEE 0087.2 - 2018 次 目 前言 范围. 2 规范性用文件 3 术语和定义 缩略语： 5 量子保密通信系统模型 密码算法和密钥种类 6 6.1 密码算法 6.2 密钥种类 协议与接口 7 7.1 密钥来源方式 7.2 量子密钥获取协议 7.3 量子密钥同步确认 7.4 安全报文协议 8 设备要求 8.1 功能要求 8.2 性能要求 8.3 安全管理要求 8.4 管理维护要求 8.5 硬件要求·· 9 标志、 包装 运输 存 9.1 标志 9.2 包装 运输 9.3 9.4 贮存 T / CSEE 0087.2 —2018 前 言 本部分按照《中国电机工程学会标准管理办法（暂行）》的要求，依据GB/T1.1一2009《标准化工 作导则 第1部分： 标的结构和编写》的规则起草 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本部分由中国电机工程学会提出。 本部分由中国电机工程学会电力通信专业委员会技术归口并解释。 本部分起草单位：国家电网公司信息通信分公司、南瑞集团有限公司、南京南瑞国盾量子技术有 限公司、 南京南瑞信息通信科技有限公司、国网信息通信产业集团有限公司、 安徽继远软件有限公 司、 国网北京市电力公司、北京国电通网络技术有限公司、北京国盾量子信息技术有限公司、全球能 源互联网研究院有限公司， 国网江苏省电力有限公司、 、国网山东省电力有限公司、 、国网安徽省电力有 限公司、安徽问天量子科技股份有限公司、北京天融信科技有限公司、深圳奥联信息安全技术有限公 司、 广东电网有限责任公司 本部分主要起草人： 李国春、曾楠、赵高峰、吴冰、赵子岩、汪晓岩、闫龙川、刘金锁、高德荃、 陈智雨、吕超、李莉敏、 、于浩、卓文合、何迎利、郭子昕、史睿、何永远、白东霞、黄益彬、 冯宝、 张影、 胡倩倩、 贾玮、 完颜绍澎、下宇翔、谢华菁、朱孟江、叶志宁、张如通、王普滩、李温静、 张叶峰、 叶志远、张英华、苗华春。 本部分为首次发布， 本部分在执行过程中的意见或建议反馈至中国电机工程学会标准执行办公室（地址：北京市西城 区白广路二条1号， 100761，网址：http： 邮箱： //www.csee.org.cn, [email protected])。 1I T / CSEE 0087.2 2018 电力量子保密通信系统 第 2 部分： VPN 网关设备 1 范围 本部分规定了电力行业使用的电力量子保密通信系统中的VPN网关设备（简称“量子 VPN 设 备”） 的密码算法和密钥种类、协议与接口、设备要求以及标志、包装、 运输、贮存要求。 本部分适用于电力量子保密通信系统中基于IPSec协议和SSL协议的VPN网关设备的设计、制 造、 应用及检验。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的弓引用文件，仅注日期的版本适用于本文 件。 凡是不注日期的弓用文件， 其最新版本（包括所有的修改单）适用于本文件。 GB/T 191 包装储运图示标志 GB/T 4208 -2017 外壳防护等级（IP代码） GB/T 17626.2 2006 电磁兼容 试验和测量技术 静电放电抗扰度试验 GB/T 17626.3 2006 电磁兼容 试验和测量技术 射频电磁场辐射抗扰度试验 GB/T 17626.4 2008 电磁兼容 试验和测量技术 电快速瞬变脉冲群抗扰度试验 GB/T 17626.5 2008 电磁兼容 试验和测量技术 浪涌 （冲击）抗扰度试验 GB/T 17626.8 2006 电磁兼容 试验和测量技术 工频磁场抗扰度试验 GB/T 17626.11 2008 电磁兼容 试验和测量技术 电压暂降、 短时中断和电压变化的抗扰度试验 GB/T 17626.18- -2016 电磁兼容 试验和测量技术 阻尼振荡波抗扰度试验 GM/T 0005 随机性检测规范 GM/T 0009 SM2密码算法使用规范 GM/T 0014 数字证书认证系统密码协议规范 GM/T 0015 基于SM2密码算法的数字证书格式规范 GM/T 0022 2014 IPSec VPN技术规范 GM/T 0023 2014 IPSecVPN网关产品规范 GM/T 0024 2014 SSLVPN技术规范 GM/T 0025 2014 SSLVPN网关产品规范 3 术语和定义 下列术语和定义适用于本文件。 3.1 量子密钥分发 quantum key distribution 通信双方通过量子态的传送方法实现信息理论安全的密钥分发过程。 3.2 量子保密通信 quantum secure communication 结合量子密钥分发和对称密码技术的安全通信。 1 T / CSEE 0087.2 -2018 3.3 量子信道 quantum channel 在量子保密通信网络中， QKD终端设备间传递量子态信息的通道。 3.4 经典信道 classical channel 在量子保密通信网络中， QKD终端设备间传递密钥协商信息的通道。 3.5 量子密钥 quantum ke. 通过量子密钥分发产生的由量子力学基本定律保证安全性的密钥。 3.6 虚专用网络 virtual private network 使用密码技术在通信网络中构建安全通道的技术。 ［GM/T 0022- 2014，定义3.1.18 量子VPN设备 quantum VPN equipment 支持量子密钥加密建立虚拟专用网络的设备。 3.8 量子密钥服务 向量子VPN设备提供量子密钥的功能模块。 3.9 第一阶段 phase one IPSec 协议交换的主模式，用于实现通信双方的身份鉴别和密钥交换， 生成工作密钥， 工作密钥用 于保护第二阶段的协商过程。 3.10 第二阶段 phase tw IPSec协议交换的快速模式，用于实现通信双方IPSec安全联盟的协商， 确定通信双方的IPSec 安 全策略及经典会话密钥。 3.11 加解密吞吐率 throughput of encryption and decryption 在64字节以太顿长和1428字节 （IPv6是1408字节）以太顿长时，量子VPN设备在50条安全策 略、 丢包率为0的条件下内网口上达到的双向数据最大流量。 3.12 加解密时延 delay of encryption and decryption 在 64 字节以太顿长和1428 （IPv6 是 1408字节）以太顿长时，量子VPN设备在50%加解密 3字节 吞吐率、 丢包率为0的条件下， 个明文数据流经加密变为密文，再由密文解密还原为明文所消耗的 平均时间。 3.13 加解密丢包率 packet loss rate of encryption and decryption 在64字节以太长和1428字节（IPv6是1408字节） 以太帧长时，在量子VPN设备内网口达到 线速标准时，单位时间内错误或丢失的数据包占总发数据包数量的百分比。 3.14 最大并发隧道数 maximum concurrent number of tunnels 量子VPN设备同时并存的隧道数目的最大值。 2 T / CSEE 0087.2 - 2018 3.15 嵌入式量子VPN 设备 embedded quantum VPN device 嵌入在量子密钥分发设备内部， 与业务设备数据接口相连的量子VPN设备。 4 缩略语 下列缩略语适用于本文件。 AH: 鉴别头 (authentication header) API: 应用程序接口 ( application program interface) CBC: 密码分组链接 (cipher block chaining) CRC: 循环亢余校验 (cyclic redundancy check) ESP: 封装安全载荷 (encapsulating security payload) IKE: 因特网密钥交换 (internet key exchange) IPSec: IP安全 (internet protocol security ) NAT: 网络地址转换 (network address translation ) QKD: 量子密钥分发 (quantum key distribution) QKS: 量子密钥服务 (quantum key service) SSL: 安全套接层 (secure socket