本发明是关于电力安全通信技术领域,特别是关于一种基于量子保密通信的配用电通信系统及方法、量子技术改造方法。
背景技术
随着智能电网建设的发展,配电自动化、用电信息采集等智能化业务系统对配用电业务信息安全防护提出了更高的要求,目前所采取的安全防护措施较侧重于软硬件集中部署的主站系统,由于配电自动化、用电信息采集等业务系统部署了数量庞大、分布广泛的各类业务终端、通信终端,存在着点多面广、环境开放等特点,其安全防护措施相对薄弱,随着网络攻击手段的增强,信息泄露、篡改伪造、旁路控制等风险加剧,攻击者能够通过终端迂回攻击主站,造成更大范围的安全威胁。
量子保密通信技术利用量子不确定性原理与量子态不可复制的特性进行安全密钥分发,攻击者无法测量和复制密钥(量子态),且一旦进行窃听即会被发现,具有比传统密钥分发机制更高的安全性,量子保密通信通过一次一密的加密方式可以实现点对点方式的安全经典通信,由物理学基本原理来保证密钥分配过程的无条件安全性,从而建立安全的通信密码,是目前实用化程度最高的量子技术。
现有的量子通信技术应用方案是通过建设专用的光纤量子信道及量子密钥生成设备来进行密钥协商,得到量子密钥,在量子密钥分发环节,有两种方法,一种方法是通过光纤量子信道进行量子密钥在线分发,另一种是通过移动设备进行离线分发,目前的方案都只是应用了其中一种,因此无论是哪一种量子密钥分发方法均存在自身的应用局限性。随着配用电系统建设的发展,光纤敷设的范围越来越广,许多变电站内都具备光纤节点,现有方案均没有充分利用现有资源。如何提供一种量子密钥在线分发和离线分发相结合的量子密钥分发模式是本发明的关注点。
公开于该背景技术部分的信息仅仅旨在增加对本发明的总体背景的理解,而不应当被视为承认或以任何形式暗示该信息构成已为本领域一般技术人员所公知的现有技术。
技术实现要素:
本发明的目的在于提供一种基于量子保密通信的配用电通信系统及方法、量子技术改造方法,其能够在配用电通信系统中对量子密钥进行在线分发和离线分发。
为实现上述目的,本发明提供了一种基于量子保密通信的配用电通信系统。该配用电通信系统包括配用电终端、电力通信网、主站系统、量子密钥生成设备组、量子密钥管理设备、量子密钥移动存储设备、终端加密模块、主站加密模块。量子密钥生成设备组包括第一量子密钥生成设备和第二量子密钥生成设备,所述第一量子密钥生成设备与所述第二量子密钥生成设备共同协商后生成量子密钥。量子密钥管理设备与所述量子密钥生成设备组进行数据交互,用于对所述量子密钥进行存储和管理。量子密钥移动存储设备与所述量子密钥管理设备进行数据交互,用于读取所述量子密钥管理设备中的量子密钥。终端加密模块与所述第一量子密钥生成设备和所述量子密钥移动存储设备均能够进行数据交互,所述第一量子密钥生成设备通过在线方式向所述终端加密模块分发量子密钥,所述量子密钥移动存储设备通过离线方式向所述终端加密模块分发量子密钥,该终端加密模块通过所述量子密钥对该配用电终端的配用电业务的数据进行加解密。安全接入网关与所述电力通信网以及所述第二量子密钥生成设备均能够进行数据交互,该安全接入网关内部或外部部署认证模块,该认证模块用于读取所述第二量子密钥生成设备分发的量子密钥并通过该量子密钥对所述电力通信网传输的配用电业务进行身份认证,该安全接入网关将通过身份认证的配用电业务数据进行传输。主站加密模块与所述第二量子密钥生成设备以及所述主站系统均能够进行数据交互,主站加密模块,与所述第二量子密钥生成设备、所述安全接入网关以及所述主站系统均能够进行数据交互,该主站加密模块用于读取所述第二量子密钥生成设备分发的量子密钥,并且通过该量子密钥对通过身份认证的配用电业务的数据进行加解密,将加解密后的配用电业务数据传输至主站系统进行处理。
在一优选的实施方式中,所述终端加密模块被配置在所述配用电终端内部或被配置在所述配用电终端外部。
在一优选的实施方式中,所述主站加密模块被配置在所述主站系统内部或被配置在所述主站系统外部。
在一优选的实施方式中,所述配用电终端包括接入光纤通道的配用电终端,所述第一量子密钥生成设备将量子密钥分发给所述接入光纤通道的配用电终端。
在一优选的实施方式中,所述配用电终端包括未接入光纤通道的配用电终端,所述量子密钥移动存储设备将读取的量子密钥分发给所述未接入光纤通道的配用电终端。
在一优选的实施方式中,所述配用电通信系统还包括业务应用系统,其与所述配用电终端设备进行数据交互,该业务应用系统在所述配用电终端在部署配用电业务前授权写入注册许可证,该注册许可证用于所述配用电终端在所述主站系统的注册。
在一优选的实施方式中,所述配用电通信系统还包括量子密钥应用方式选择模块,其与所述终端加密模块进行数据交互,用于确定该终端加密模块在进行加解密过程中是否采用量子密钥、采用的量子密钥id、量子密钥重复使用频率。
在一优选的实施方式中,所述配用电通信系统还包括:量子密钥销毁模块,其与所述终端加密模块、主站加密模块、认证模块、量子密钥管理设备均能够进行数据交互,用于销毁终止使用的量子密钥。
本发明还提供了一种对称密钥加密的配用电系统的量子技术改造方法,该基于对称密钥加密的配用电系统包括:使用对称密钥加解密的配用电终端和主站系统、使用对称密钥认证的安全接入网关、电力通信网,其特征在于,该量子技术改造方法包括:在配用电终端内部或外部部署终端加密模块,该终端加密模块与所述配用电终端相连,能够对配用电终端输出的配用电业务数据使用量子密钥进行加解密;将所述使用对称密钥认证的安全接入网关内部或外部部署使用量子密钥对配用电业务进行认证的认证模块;将所述主站系统内部或外部部署能够使用量子密钥对配用电业务进行加解密的主站加密模块;将第一量子密钥生成设备和第二量子密钥生成设备部署在配用电系统中,第一量子密钥生成设备和第二量子密钥生成设备相互协商生成量子密钥,该第一量子密钥生成设备和所述终端加密模块进行数据交互,用于通过在线方式向所述终端加密模块分发量子密钥,该第二量子密钥生成设备与所述主站加密模块、所述认证模块以及所述安全接入网关均进行数据交互,用于向所述主站加密模块、所述认证模块以及所述安全接入网关分发量子密钥;将量子密钥管理设备部署在配用电系统中,该量子密钥管理设备与所述第一量子密钥生成设备和所述第二量子密钥生成设备进行数据交互,用于存储和管理量子密钥;将量子密钥移动存储设备部署在配用电系统中,该量子密钥移动存储设备和所述量子密钥管理设备能够进行数据交互,用于读取所述量子密钥管理设备的量子密钥并且将该量子密钥通过离线的方式分发给配用电终端。
本发明还提供了一种基于量子保密通信的配用电通信方法,该方法包括利用第一量子密钥生成设备与第二量子密钥生成设备共同协商后生成量子密钥;通过量子密钥管理设备对所述量子密钥进行存储和管理;量子密钥移动存储设备读取所述量子密钥管理设备中的量子密钥;配用电终端接收所述第一量子密钥生成设备和所述量子密钥移动存储设备中的量子密钥并对配用电业务的数据进行加解密;通过电力通信网传输所述配用电业务;认证模块对所述电力通信网传输的配用电业务的数据进行身份认证,安全接入网关将通过身份认证的配用电业务数据进行传输;主站加密模块接收所述安全接入网关传输的配用电业务数据,并读取所述第二量子密钥生成设备分发的量子密钥,采用该量子密钥对通过身份认证的配用电业务的数据进行加解密,并将加解密后的配用电业务数据进行传输;主站系统接收并处理所述加解密后的配用电业务数据。
在一优选的实施方式中,所述配用电终端中接入光纤通道的配用电终端接收所述第一量子密钥生成设备的量子密钥;所述配用电终端中未接入光纤通道的配用电终端接收所述第一量子密钥生成设备的量子密钥。
在一优选的实施方式中,该配用电通信方法还包括:业务应用系统在所述配用电终端部署配用电业务前授权写入注册许可证,然后所述配用电终端通过电力通信网络向主站系统进行注册。
在一优选的实施方式中,该配用电通信方法还包括:在对配用电业务的数据进行加解密前,确认是否采用量子密钥加密方式,若采用量子密钥加密方式,则设置采用的量子密钥id以及量子密钥重复使用频率,然后采用量子密钥对配用电业务的数据进行加解密,若不采用量子密钥加密方式,则对配用电业务的数据采用对称密钥加密方式或不加密。
在一优选的实施方式中,该配用电通信方法还包括:当量子密钥终止使用时对该量子密钥进行销毁。
与现有技术相比,根据本发明的基于量子保密通信的配用电通信系统及方法,配用电终端的终端加密模块能够与第一量子密钥生成设备和量子密钥移动存储设备均进行数据交互,量子密钥可通过第一量子密钥生成设备采用在线分发的方式分发量子密钥到配用电终端,量子密钥移动存储设备采用离线分发的方式分发量子密钥到配用电终端。利用量子密钥对配用电终端的配用电业务的数据进行加解密,通过电力通信网和安全接入网关传输配用电业务,主站采用量子密钥对配用电业务进行加解密,在进行配用电业务的数据的加解密前可以根据实际需要通过量子密钥应用方式选择模块选择是否采用量子密钥加密方式,若采用量子密钥加密方式,则采用量子密钥对配用电业务的数据进行加解密,若不采用量子密钥加密方式,则对配用电业务的数据采用对称密钥加密方式或不加密,从而实现灵活的通信配置,提高量子通信效率。
附图说明
图1是根据本发明一实施方式的基于量子保密通信的配用电通信系统的示意图;
图2是根据本发明一实施方式的基于量子保密通信的配用电通信方法的流程图。
具体实施方式
下面结合附图,对本发明的具体实施方式进行详细描述,但应当理解本发明的保护范围并不受具体实施方式的限制。
除非另有其它明确表示,否则在整个说明书和权利要求书中,术语“包括”或其变换如“包含”或“包括有”等等将被理解为包括所陈述的元件或组成部分,而并未排除其它元件或其它组成部分。
本发明提供了一种基于量子保密通信的配用电通信系统及方法、量子技术改造方法,其能够在配用电通信系统中对量子密钥进行在线分发和离线分发。
图1是根据本发明一实施方式的基于量子保密通信的配用电通信系统的示意图。
该基于量子保密通信的配用电通信系统包括:第一量子密钥生成设备10、第二量子密钥生成设备11、量子密钥管理设备12、量子密钥移动存储设备13、配用电终端14、业务应用系统15、电力通信网16、安全接入网关17、主站系统18。
为了便于理解,将该配用电通信系统分为3个网络层,分别是终端层、接入层、汇聚层。
终端层包括:量子密钥移动存储设备10、配用电终端14、业务应用系统15。
接入层包括:第一量子密钥生成设备10、电力通信网16、量子密钥管理设备12。
汇聚层包括:第二量子密钥生成设备11、安全接入网关17、主站系统18。
在汇聚层和接入层之间,第一量子密钥生成设备10与第二量子密钥生成设备11共同协商后生成量子密钥。
在接入层和终端层之间,第一量子密钥生成设备10通过在线方式向接入光纤通道的配用电终端直接分发量子密钥。量子密钥管理设备12对量子密钥进行存储和管理。当量子密钥很多时,通过量子密钥管理设备12可以有序地管理各个量子密钥,并将量子密钥分配至相应的量子密钥移动存储设备13中。量子密钥移动存储设备13用于读取量子密钥管理设备12的量子密钥并通过离线方式向未接入光纤通道的配用电终端分发量子密钥。
在终端层,配用电终端14内部配置或外部部署终端加密模块14a,该终端加密模块14a通过量子密钥对配用电终端的配用电业务的数据进行加解密。业务应用系统15,与所述配用电终端设备进行数据交互,该业务应用系统15在所述配用电终端14在部署配用电业务前授权写入注册许可证,该注册许可证用于所述配用电终端14在主站系统18的注册。
在接入层,电力通信网16用于承载所述配用电业务。
在汇聚层,安全接入网关17内部或外部部署认证模块17a,认证模块17a读取第二量子密钥生成设备11的量子密钥,并通过该量子密钥对所述电力通信网16传输的配用电业务进行身份认证。主站系统18用于处理通过身份认证的配用电业务。该主站系统18内部配置或外部部署主站加密模块18a,该主站加密模块18a读取所述第二量子密钥生成设备11分发的量子密钥,通过该量子密钥对通过身份认证的配用电业务的数据进行加解密。
在一实施方式中,配用电通信系统还包括量子密钥应用方式选择模块,其与所述终端加密模块14a进行数据交互,用于确定该终端加密模块14a在进行加解密过程中是否采用量子密钥、采用的量子密钥id、量子密钥重复使用频率。
在一实施方式中,所述配用电通信系统还包括量子密钥销毁模块,其与所述配用电终端14、主站系统18、量子密钥管理设备12均能够进行数据交互,用于销毁终止使用的量子密钥。
区别于上述的基于量子保密通信的配用电通信系统,传统的基于对称密钥加密的配用电系统包括:使用对称密钥加解密的配用电终端和主站系统、使用对称密钥认证的安全接入网关、使用对称密钥加解密的加密认证装置、电力通信网。
将现有的传统的基于对称密钥加密的配用电系统改造成基于量子保密通信的配用电通信系统,可以根据实际情况选择改造方法。比如可以采用以下两种方法进行改造。
第一种方法,在配用电终端侧单独部署终端加密模块14a,在主站侧对使用对称密钥认证的安全接入网关进行改造,改造成能够使用量子密钥认证的安全接入网关,该安全接入网关中还可以内置或外部部署一个能够使用量子密钥进行加解密的认证模块17a。在主站侧部署主站加密模块18a。并且部署第一量子密钥生成设备10、第二量子密钥生成设备11、量子密钥管理设备12、量子密钥移动存储设备13。该第一种部署方法无需改造现有的主站系统和配用电终端。配用电业务在终端进行传统密钥加密算法之后,输出到终端加密模块进行量子密钥二次加密,经过电力通信网传输至主站系统侧,再通过改造后的安全接入网关进行认证和量子密钥解密,将获得的通信业务进入主站系统再进行业务数据加解密。
第二种方法,在配用电终端内部部署终端加密模块14a,可以用量子密钥代替现有的对称密钥,直接对配用电终端业务数据进行加解密。在主站侧无需对使用对称密钥认证的安全接入网关进行改造,而是在该安全接入网关中还外部部署一个能够使用量子密钥加解密的认证模块17a。在主站侧部署主站加密模块18a。并且部署第一量子密钥生成设备10、第二量子密钥生成设备11、量子密钥管理设备12、量子密钥移动存储设备13。该第二种部署方法改造了现有的配用电终端。配用电业务在配电终端可以直接进行量子密钥加密,经过电力通信网传输至主站系统侧,再通过现有的安全接入网关进行认证,通过新部署的主站加密模块可以进行量子密钥解密,将获得的通信业务进入主站系统再进行业务数据加解密。
本发明还提供了一种基于量子保密通信的配用电通信方法。图2是根据本发明一实施方式的基于量子保密通信的配用电通信方法的流程图。基于量子保密通信的配用电通信方法包括以下步骤。
在s1中,生成量子密钥。第一量子密钥生成设备与第二量子密钥生成设备共同协商后生成量子密钥。
在s2中,管理量子密钥。通过量子密钥管理设备对所述量子密钥进行存储和管理。
在s3中,移动存储设备读取量子密钥。量子密钥移动存储设备读取所述量子密钥管理设备中的量子密钥。
在s4中,配用电终端注册到主站系统。业务应用系统在配用电终端部署配用电业务前授权写入注册许可证,然后所述配用电终端通过电力通信网络向主站系统进行注册。
在s5中,配用电终端通过终端加密模块进行配用电业务的量子密钥加解密。终端加密模块接收所述第一量子密钥生成设备和所述量子密钥移动存储设备中的量子密钥并对配用电业务的数据进行加解密。接入光纤通道的配用电终端接收所述第一量子密钥生成设备的量子密钥,未接入光纤通道的配用电终端接收所述第一量子密钥生成设备的量子密钥。
在s6中,通过电力通信网传输所述配用电业务。
可选地,在s7中,对配用电业务进行身份认证。认证模块通过量子密钥对所述电力通信网传输的配用电业务进行身份认证,安全接入网关将通过身份认证的数据进行传输。
在s8中,对通过身份认证的配用电业务的数据进行加解密。主站系统通过主站加密模块读取所述第二量子密钥生成设备分发的量子密钥,确认是否采用量子密钥加密方式、采用的量子密钥id以及量子密钥重复使用频率,然后对通过身份认证的配用电业务的数据进行加解密。
可选地,还包括s9,当量子密钥终止使用时对该量子密钥进行销毁。
综上所述,根据本发明的基于量子保密通信的配用电通信系统及方法,配用电终端的终端加密模块能够与第一量子密钥生成设备和量子密钥移动存储设备均进行数据交互,量子密钥可通过第一量子密钥生成设备采用在线分发的方式分发量子密钥到配用电终端,通过在线分发和离线分发的量子密钥移动存储设备采用离线分发的方式分发量子密钥到配用电终端。利用量子密钥对配用电终端的配用电业务的数据进行加解密,通过电力通信网和安全接入网关传输配用电业务,主站采用量子密钥对配用电业务进行加解密,在进行配用电业务的数据的加解密前可以根据实际需要通过量子密钥应用方式选择模块选择是否采用量子密钥加密方式从而实现灵活的通信配置,提高量子通信效率。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、cd-rom、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用于说明本发明的技术方案而非对其保护范围的限制,尽管参照上述实施例对本申请进行了详细的说明,所属领域的普通技术人员应当理解:本领域技术人员阅读本申请后依然可对申请的具体实施方式进行种种变更、修改或者等同替换,但这些变更、修改或者等同替换,均在申请待批的权利要求保护范围之内。