基于量子加密的配电自动化防护方法和系统与流程

本发明涉及量子保密通信应用，具体的，涉及基于量子加密的配电自动化防护方法和系统。

背景技术：

1、随着能源互联网建设的不断推进，更多的新型电力用能设施大量接入，点多面广的电网接入设备，对电网通信安全也提出了更高的要求。以浙江为例，当前国网浙江省11家地市供电公司生产控制大区均已部署量子加密安全服务平台系统，开展了架空线路智能开关无线公网远程控制规模化改造，并针对低压台区就地控制开展了试点应用。

2、在现有技术中，当配电终端进行硬件改造时，通常是将量子加密芯片安装于配电终端核心单元主板上，串联于国网加密模块与通信模块之间，配电终端与量子通信装置之间用于传输三遥、远程维护及程序升级的数据等。然而，随着量子加密应用的不断推广，量子加密平台依然为外网部署，对于量子加密平台而言存在安全风险，且量子加密平台在部分节点上设备单一，若出现异常情况下，无法正常运行。此外，对于地县主站的通信安防等级低，且需集中于市局主站侧完成保护密钥(充注密钥)的灌注工作，存在属地化管理困难的问题。

技术实现思路

1、本发明的目的是针对量子加密应用的量子加密平台存在安全风险与部分节点设备单一，以及地县级通信安防等级低的问题，提出基于量子加密的配电自动化防护方法，通过内置隔离加固及设备冗余部署，并在地县上建立保密通信通道，能够增强量子加密平台的安全性，保证系统稳定运行的同时，提高与地县通信的安全度，实现属地化管理。

2、第一方面，本发明实施例中提供的一种技术方案是基于量子加密的配电自动化防护方法，适用于配电网，所述配电网包括配电主站、配电子站和量子安全服务平台，所述配电子站包括量子密钥充注子站，包括以下步骤：

3、对所述量子安全服务平台进行内置隔离加固以及关键节点设备冗余部署；

4、建立所述配电主站与所述量子安全服务平台之间的第一保密通信通道，以及所述配电主站与所述配电子站之间的第二保密通信通道，所述第一保密通信通道包括安全接入网关；

5、若配电终端发起数据请求，则通过所述量子安全服务平台获取会话密钥，基于所述会话密钥获取量子密钥进行数据加密，并通过所述第二保密通信通道将所述会话密钥充注至所述配电子站的量子密钥充注子站；

6、通过所述安全接入网关进行数据解密，并将解密后的业务数据发送至所述配电主站。

7、可选的，所述量子安全服务平台包括原始量子安全服务模块，所述原始量子安全服务模块包括通信连接的量子密钥生成模块、量子密钥调度模块、量子密钥应用模块以及量子网管模块，所述对所述量子安全服务平台进行内置隔离加固，包括：

8、对所述量子密钥生成模块、所述量子密钥调度模块、所述量子密钥应用模块以及所述量子网管模块进行正反向隔离加固，且所述量子密钥生成模块通过第一通信连接端与所述配电终端连接，通过所述第一信号连接端将所述数据请求发送至所述量子密钥生成模块。

9、可选的，所述对所述量子安全服务平台进行关键节点设备冗余部署，包括：

10、基于所述原始量子安全服务模块之上，部署量子密码服务引擎镜像装置、第一量子密钥服务镜像装置、第二量子密钥服务镜像装置以及正反向安全隔离装置，所述量子密码服务引擎镜像装置与所述正反向安全隔离装置通过第二通信连接端连接，所述正反向安全隔离装置与所述第一量子密钥服务镜像装置及所述第二量子密钥服务镜像装置的一端通过第三通信连接端连接，所述第一量子密钥服务镜像装置及所述第二量子密钥服务镜像装置的另一端连接第四通信连接端，所述第四通信连接端连接到所述安全接入网关。

11、可选的，所述量子密钥生成模块包括单发型量子密钥生成与管理终端、单收型量子密钥生成与管理终端以及量子随机数发生器，所述通过所述量子安全服务平台获取会话密钥，基于所述会话密钥获取量子密钥进行数据加密，包括：

12、若任一通信连接端接收到所述配电终端发送的数据请求，则通过所述量子随机数发生器产生量子随机数，以及通过所述单发型量子密钥生成与管理终端与所述单收型量子密钥生成与管理终端生成会话密钥；

13、所述量子密钥调度模块根据所述会话密钥与所述量子随机数生成所述量子密钥，通过所述量子密钥对数据请求中包含的业务数据进行加密。

14、可选的，所述量子密钥调度模块包括交换密码机、量子密码服务引擎装置以及量子密钥充注设备，所述通过所述量子密钥对数据请求中包含的业务数据进行加密，包括：

15、通过所述交换密码机进行业务数据加密并将所述量子密钥分发至所述量子密码服务引擎装置；

16、根据预设调度协商规则，所述量子密码服务引擎装置将所述量子密钥分发至所述量子密钥应用模块，并通过所述量子密钥充注设备对所述量子密钥进行密钥充注；

17、若检测到所述量子密码服务引擎装置存在异常事件，则通过所述量子密码服务引擎镜像装置根据预设调度协商规则将所述量子密钥分发至所述量子密钥应用模块。

18、可选的，所述量子网管模块包括通信连接的量子网管数据库服务器以及量子网管业务服务器，在进行量子加密过程中，通过所述量子网管数据库服务器以及所述量子网管业务服务器对所述量子密钥生成模块、所述量子密钥调度模块、所述量子密钥应用模块的运行状态进行网络管理及监控。

19、可选的，所述安全接入网关包括通信连接且部署在所述量子安全服务平台一侧的量子安全接入网关，以及部署在所述配电主站一侧的配网安全网关，所述通过所述安全接入网关进行数据解密，并将解密后的业务数据发送至所述配电主站，包括：

20、通过所述量子安全接入网关以及所述配网安全接入网关对所述业务数据进行加密传输，并在所述配电主站一侧通过所述配网安全网关进行解密，将解密后的所述业务数据发送至配电主站。

21、可选的，所述第二保密通信通道包括与所述配电主站以及所述量子安全感服务平台通信连接的第一量子密钥传输装置，以及部署在所述配电子站内并与所述第一量子密钥传输装置进行保密通信的第二量子密钥传输装置，所述第二量子密钥传输装置与所述量子密钥充注子站及所述配电子站中的配电设备通信，所述第一量子密钥传输装置与所述第二量子密钥传输装置用于所述配电主站与配电子站的通信传输，以及用于所述量子密钥充注设备对所述量子密钥充注子站进行量子密钥充注。

22、第二方面，本发明实施例中还提供的一种技术方案是基于量子加密的配电自动化防护系统，用于执行任一实施例所述的基于量子加密的配电自动化防护方法，系统包括：

23、量子安全服务平台部署模块，用于对所述量子安全服务平台进行内置隔离加固以及关键节点设备冗余部署；

24、通道建立模块，用于建立所述配电主站与所述量子安全服务平台之间的第一保密通信通道，以及所述配电主站与所述配电子站之间的第二保密通信通道，所述第一保密通信通道包括安全接入网关；

25、密钥获取模块，用于若配电终端发起数据请求，则通过所述量子安全服务平台获取会话密钥，基于所述会话密钥获取量子密钥进行数据加密，并通过所述第二保密通信通道将所述会话密钥充注至所述配电子站的量子密钥充注子站；

26、主站数据传输模块，用于通过所述安全接入网关进行数据解密，并将解密后的业务数据发送至所述配电主站。

27、可选的，所述量子安全服务平台包括原始量子安全服务模块，所述原始量子安全服务模块包括通信连接的量子密钥生成模块、量子密钥调度模块、量子密钥应用模块以及量子网管模块，所述对所述量子安全服务平台进行内置隔离加固，所述量子安全服务平台部署模块具体用于：

28、对所述量子密钥生成模块、所述量子密钥调度模块、所述量子密钥应用模块以及所述量子网管模块进行正反向隔离加固，且所述量子密钥生成模块通过第一通信连接端与所述配电终端连接，通过所述第一信号连接端将所述数据请求发送至所述量子密钥生成模块。

29、本发明的有益效果：本发明通过对量子安全服务平台进行内置隔离加固，能够实现正反向物理隔离，提升平台安全防护水平；通过对量子安全服务平台进行关键节点设备冗余部署，能够在量子安全服务平台中关键节点设备出现异常时进行替换，保证系统工作稳定运行。此外，通过建立第一保密通信通道以及第二保密通信通道，在配电过程中，当接收到配电终端发起的数据请求时，可以基于第一保密通信通道进行数据加密传输，保证数据加密传输的安全性，以及通过第二保密通信通道实现配电主站与配电子站之间的数据加密传输，增强数据传输的安全性；且量子安全服务平台能够基于第二保密通信通道对配电子站的量子密钥充注子站进行密钥充注，便于在配电子站中进行数据加解密操作，实现属地化管理。所以，本发明能够增强量子加密平台的安全性，保证系统稳定运行的同时，提高与地县通信的安全度，实现属地化管理。

30、上述
技术实现要素：
仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。