一种小型化电力专用量子加密一体化装置的制作方法

本实用新型涉及一种小型化电力专用量子加密一体化装置，属于电力量子保密通信领域。

背景技术：

随着智能电网建设的逐步推进，密码技术在智能电网业务系统中得到了广泛应用，在调度自动化、用电信息采集等业务系统安全防护中发挥了重要作用。目前，电力各领域使用的密码体系一般使用非对称加密算法进行会话密钥协商，然后使用对称加密算法进行业务数据加解密。但是非对称密码体制只提供了计算安全性，不能保证无条件安全性；在目前的计算机能力不断发展的条件下，出现了可以在较短的时间内破译现有密码的方案，尤其是量子计算机的出现，将运算速度提高几个数量级，使得目前应用广泛的密码体制无法抵抗量子计算的穷举攻击，这不仅对电力系统的信息安全构成了很大威胁，也给经典密码体制带来严峻挑战。

量子密钥分发技术是近几年来新出现的一种新型通信加密手段，利用单光子水平上的量子态编码信息，通信双方可以共享大量的随机密钥。由于在物理原理上单光子不可分割，量子态不可克隆，因此量子密钥分发在物理原理上是不可窃听的，具有理论上的绝对安全性。量子密钥分配为大规模网络中应用不可破译的“One Time Pad”（一次一密，OTP）方式加密数据创造了可能性。

目前量子保密通信技术已经在电力领域开展了试点应用，现有公开的技术方案中，量子密钥生成设备、量子密钥管理设备、数据加解密设备通常都是三个独立的装置，三个装置之间通信存在安全风险；且体积较大，每个装置一般为2U—4U高度的机架式尺寸，加上各设备之间通信所需的其他网络设备，一套量子保密通信系统的装置需要占用一整个机柜，导致了设备体积大、成本高、安装工作量大，施工调试不便捷等问题，制约了量子保密通信系统在电力领域的推广使用。

技术实现要素：

本实用新型提供了一种小型化电力专用量子加密一体化装置，解决了现有整套量子保密通信系统存在的问题。

为了解决上述技术问题，本实用新型所采用的技术方案是：

一种小型化电力专用量子加密一体化装置，包括机壳以及设置在机壳内的电源模块、量子密钥生成模块、量子密钥管理模块和数据加解密模块；电源模块为量子密钥生成模块、量子密钥管理模块和数据加解密模块供电，量子密钥生成模块和数据加解密模块均与量子密钥管理模块通信连接，量子密钥生成模块上连接有伸出机壳的光纤接口和以太网接口，量子密钥管理模块上连接有伸出机壳的以太网接口，数据加解密模块上连接有伸出机壳的以太网接口、调试串口和USB接口，电源模块上连接有伸出机壳的电源接口。

机壳内设置有总线，总线包括电源总线和数据总线，电源模块、量子密钥生成模块、量子密钥管理模块和数据加解密模块均连接电源总线，量子密钥生成模块、量子密钥管理模块和数据加解密模块均连接数据总线。

总线固定在位于机壳内腔中部的固定板上，量子密钥生成模块、量子密钥管理模块和数据加解密模块位于固定板前方的空腔内，电源模块位于固定板后方的空腔内。

固定板的前侧面和后侧门均设置有散热片，散热片上方的机壳上设置有热风扇。

以太网接口采用RealtekRTL8208的PHY芯片与所在模块的CPU连接。

数据加解密模块中使用电力专用密码卡进行加解密运算，密码卡通过PCI-E接口与数据加解密模块的CPU连接。

本实用新型所达到的有益效果：1、本实用新型将量子密钥生成、量子密钥管理、数据加解密三个模块设计在一个机壳内，实现了小型化、一体化，降低了成本，提高了安装调试的便捷度，促进了电力量子保密通信系统的实用化；2、本实用新型通过一体化的设计，量子密钥生成、量子密钥管理、数据加解密三个模块之间通过总线通信，降低了三者之间使用外部网口通信的安全风险。

附图说明

图1为本实用新型的结构框图。

具体实施方式

下面结合附图对本实用新型作进一步描述。以下实施例仅用于更加清楚地说明本实用新型的技术方案，而不能以此来限制本实用新型的保护范围。

如图1所示，一种小型化电力专用量子加密一体化装置，包括机壳以及设置在机壳内的电源模块、量子密钥生成模块、量子密钥管理模块和数据加解密模块。电源模块为量子密钥生成模块、量子密钥管理模块和数据加解密模块供电，量子密钥生成模块和数据加解密模块均与量子密钥管理模块通信连接，量子密钥生成模块上连接有伸出机壳的光纤接口和以太网接口，量子密钥管理模块上连接有伸出机壳的以太网接口，数据加解密模块上连接有伸出机壳的以太网接口、调试串口和USB接口，电源模块上连接有伸出机壳的电源接口。

量子密钥生成模块由光学元器件和嵌入式微处理器等电子元器件组成，其电路结构和功能与量子密钥生成设备一致，对外提供一个光纤接口和一个以太网接口分别作为量子通道和经典通道，该模块用于与对端的量子密钥生成装置通过光量子协商生成对称量子密钥，经过光电转换器将光信号转换为电信号，最后传送至量子密钥管理模块。

量子密钥管理模块由嵌入式微处理器等电子元器件组成，其电路结构和功能与量子密钥管理设备一致，包含独立的操作系统，对外提供一个以太网口连接量子密钥服务器，用于对生成的量子密钥进行管理，具有获取、同步、存储和中继密钥等功能，对内用于为数据加解密模块提供量子密钥。

数据加解密模块由嵌入式微处理器等电子元器件组成，其电路结构和功能与数据加解密设备一致，包含独立的操作系统，使用量子密钥为业务数据提供端到端的加解密服务，对外提供两个以太网口分别连接本地业务终端和对端加密装置，对外提供一个调试串口用于设备调试，调试串口通过UART接口与数据加解密模块的CPU连接，使用RS232协议进行串口数据通信，对外提供一个USB接口用于管理员身份鉴别认证，对内用于向量子密钥管理模块获取量子密钥。

数据加解密模块中使用电力专用密码卡进行加解密运算，密码卡通过PCI-E接口与数据加解密模块的CPU连接，密码卡中包含一片电力专用SSF09 芯片、一片国密SM1芯片、一片国密SM2/SM3/SM4芯片、两片WNG-9物理噪声源芯片，为电力业务数据通信提供硬件加解密算法。

上述各模块的以太网接口均采用RealtekRTL8208的PHY芯片，PHY芯片与所在模块的CPU连接，提供业务接口的物理层及链路层功能，用于收发报文。

为了降低了通信的安全风险，上述模块通过总线连接，总线包括电源总线和数据总线，电源模块、量子密钥生成模块、量子密钥管理模块和数据加解密模块均连接电源总线，量子密钥生成模块、量子密钥管理模块和数据加解密模块均连接数据总线，数据总线为以太网通道。

上述总线固定在位于机壳内腔中部的固定板上，固定板将机壳内腔一分为二，量子密钥生成模块、量子密钥管理模块和数据加解密模块位于固定板前方的空腔内，电源模块位于固定板后方的空腔内。固定板的前侧面和后侧门均设置有散热片，分别为两个腔室内散热，散热片上方的机壳上设置有热风扇。

机壳的前侧板和后侧板设置成可拆卸结构，电源模块损坏时打开后侧板，其他模块损坏打开前侧板，不需要整体拆卸维修，便于维护。

上述装置在工作时，首先由量子密钥生成模块通过光量子协商生成对称量子密钥，通过光电转换器传送至量子密钥管理模块；其次，量子密钥管理模块存储量子密钥，并进行同步管理，为数据加解密模块提供对称量子密钥服务；然后，数据加解密模块通过协商向量子密钥管理模块获取量子会话密钥，使用电力专用加密芯片，将本地业务终端的明文数据通过硬件加密后发送给对端加密装置，同时收到对端加密装置发来的密文数据，使用量子会话密钥通过硬件解密后发送至本地业务终端；根据设定的时间周期更新量子会话密钥，如此循环完成量子保密通信系统的加解密工作。

上述装置将量子密钥生成、量子密钥管理、数据加解密三个模块设计在一个机壳内，实现了小型化、一体化，降低了成本，提高了安装调试的便捷度，促进了电力量子保密通信系统的实用化；同时量子密钥生成、量子密钥管理、数据加解密三个模块之间通过总线通信，降低了三者之间使用外部网口通信的安全风险。

以上所述仅是本实用新型的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本实用新型技术原理的前提下，还可以做出若干改进和变形，这些改进和变形也应视为本实用新型的保护范围。