CN115632779A - 一种基于配电网的量子加密通信方法及*** - Google Patents

一种基于配电网的量子加密通信方法及*** Download PDF

Info

Publication number
CN115632779A
CN115632779A CN202211652893.9A CN202211652893A CN115632779A CN 115632779 A CN115632779 A CN 115632779A CN 202211652893 A CN202211652893 A CN 202211652893A CN 115632779 A CN115632779 A CN 115632779A
Authority
CN
China
Prior art keywords
group
key
service
power distribution
session
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Granted
Application number
CN202211652893.9A
Other languages
English (en)
Other versions
CN115632779B (zh
Inventor
张磐
徐科
陈尊耀
魏然
王学富
吴磊
梁海深
郑悦
陈沼宇
张海丰
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Corp of China SGCC
State Grid Tianjin Electric Power Co Ltd
Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Quantumctek Co Ltd
Original Assignee
State Grid Corp of China SGCC
State Grid Tianjin Electric Power Co Ltd
Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd
Quantumctek Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Corp of China SGCC, State Grid Tianjin Electric Power Co Ltd, Electric Power Research Institute of State Grid Tianjin Electric Power Co Ltd, Quantumctek Co Ltd filed Critical State Grid Corp of China SGCC
Priority to CN202211652893.9A priority Critical patent/CN115632779B/zh
Publication of CN115632779A publication Critical patent/CN115632779A/zh
Application granted granted Critical
Publication of CN115632779B publication Critical patent/CN115632779B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/14Session management
    • H04L67/141Setup of application sessions
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0819Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s)
    • H04L9/083Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP]
    • H04L9/0833Key transport or distribution, i.e. key establishment techniques where one party creates or otherwise obtains a secret value, and securely transfers it to the other(s) involving central third party, e.g. key distribution center [KDC] or trusted third party [TTP] involving conference or group key
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Theoretical Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于配电网的量子加密通信方法及***,该方法包括:配电主站创建至少一会话组及配置组成员信息,将每一会话组的组成员信息发送至密码服务平台;密码服务平台生成每一会话组的组密钥标识并发送至交换密码机;交换密码机根据接收到的组密钥标识生成组密钥;组密钥生成后,密码服务平台将每一会话组的组密钥标识反馈至配电主站,以使配电主站将组密钥标识下发至各配电终端;配电终端在发起业务时,根据组密钥标识向密码服务平台申请对应的组密钥,以作为会话密钥与业务接收方进行业务数据的量子加密传输。本发明能够解决现有的量子安全服务平台在用于智能分布式馈线自动化这一多节点会话模式时,各配电终端之间通信效率降低的问题。

Description

一种基于配电网的量子加密通信方法及***
技术领域
本发明涉及配电自动化技术领域,尤其涉及一种基于配电网的量子加密通信方法及***。
背景技术
随着智能电网和全球能源互联网的深化发展,配电网愈来愈趋向开放性和互动性,信息安全问题也在不断滋生,网络通讯中出现了伪造身份、重放攻击、信息泄露等安全隐患。因此,为了保障配电网安全稳定运行,现有技术通过在配电主站侧搭建量子安全服务平台,在配电终端侧加装量子安全终端,从而为配电主站与配电终端之间搭建一条量子加密安全隧道,以增强配电主站与配电终端之间电力业务数据传输的安全性。
但是,由于目前的量子安全服务平台主要通过一次一密的加密方式实现量子密钥点到点的分发,导致其仅适用于配电网中集中型馈线自动化下的点对点会话模式,若面临智能分布式馈线自动化这一多节点会话模式,则会默认将一个多节点会话的业务请求作为多个点对点的业务请求去处理,造成智能分布式馈线自动化下各配电终端之间的通信效率降低。例如:配电终端A同时发起对配电终端B和配电终端C的业务请求时,现有的量子安全服务平台会默认将配电终端A与配电终端B的会话,以及,配电终端A与配电终端C的会话作为两个会话,生成不同的两组会话密钥,导致配电终端A在与配电终端B和配电终端C同时进行量子加密会话时,需要使用不同的两组会话密钥分别进行加解密,从而对配电终端A、配电终端B和配电终端C之间的通信效率造成影响。
发明内容
本发明提供一种基于配电网的量子加密通信方法及***,能够解决现有的量子安全服务平台在用于智能分布式馈线自动化这一多节点会话模式时,各配电终端之间通信效率降低的问题。
本发明实施例提供了一种基于配电网的量子加密通信方法,适用于配电网;其中,所述配电网包括配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;所述方法包括:
所述配电主站根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
所述密码服务平台存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
所述密码服务平台在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
作为上述方案的改进,所述每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
作为上述方案的改进,在所述密码服务平台响应于所述密钥申请请求之后,所述密码服务平台若根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,判定到所述业务发起方和任一所述业务接收方不属于同一所述会话组,则所述方法还包括:
所述密码服务平台根据接收到的所述业务发起方的身份标识和所有所述业务接收方的身份标识,创建临时分组和配置所述临时分组的组成员信息,并生成所述临时分组的临时密钥标识,以及,向所述交换密码机发送所述临时密钥标识和临时密钥生成请求;
所述交换密码机响应于所述临时密钥生成请求,根据接收到的所述临时密钥标识,生成所述临时分组的临时密钥,并反馈临时密钥生成信息至所述密码服务平台;其中,所述临时密钥标识用于确定所述临时密钥存储在所述交换密码机中的位置;
所述密码服务平台在接收到所述交换密码机反馈的临时密钥生成信息后,将所述临时密钥标识反馈至所述业务发起方和所有所述业务接收方;
所述临时分组内的配电终端根据其身份标识和接收到的所述临时密钥标识,向所述密码服务平台申请所述临时密钥,通过所述临时密钥与所述临时分组的其他所述配电终端进行业务数据的量子加密传输。
作为上述方案的改进,所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥;
所述业务发起方通过所述充注密钥对所述加密后的组密钥进行解密,并将解密后的组密钥作为会话密钥,根据所述会话密钥将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方;
每一所述业务接收方在接收到加密后的所述业务数据后,对所述业务发起方加密后的组密钥标识进行解密,根据解密得到的组密钥标识和所述业务接收方的身份标识向所述密码服务平台申请对应的组密钥,以对加密后的所述业务数据进行解密。
作为上述方案的改进,所述交换密码机中设有存储若干密钥块的缓存空间,所述缓存空间中的密钥块由所述交换密码机周期性从量子密钥生成***中实时获取并更新;所述组密钥标识包括组密钥所在密钥块的标识、组密钥在密钥块内的序号和组密钥的密钥长度;则,
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台,具体为:
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,从所述缓存空间中获取每一所述会话组对应的组密钥,并反馈组密钥生成信息至所述密码服务平台。
作为上述方案的改进,所述组成员信息还包括组成员数量;则,
所述配电主站在配置组成员信息时,若所述会话组内配电终端的数量小于所述配电终端的总量,则将所述组成员数量配置为所述会话组内配电终端的数量;若所述会话组内配电终端的数量等于所述配电终端的总量,则将所述组成员数量配置为预设标识;其中,所述预设标识用于表示当前所述会话组的组密钥开放给所有所述配电终端调用。
作为上述方案的改进,所述方法还包括:
所述配电主站通过网络拓扑分析,确定任一所述会话组的配电终端发生变动时,根据变动后的所述配电终端的身份标识更新所述会话组的组成员信息,并将所述会话组更新后的组成员信息下发至所述密码服务平台;
所述密码服务平台接收到所述会话组更新后的组成员信息后,对应存储所述会话组更新后的组成员信息,并为所述会话组生成新的组密钥标识,以及,向所述交换密码机发送所述新的组密钥标识;
所述交换密码机在接收到所述新的组密钥标识后,根据所述新的组密钥标识生成新的组密钥,并反馈第一密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第一密钥更新成功信息后,将所述新的组密钥标识反馈给所述配电主站,以使所述配电主站将所述新的组密钥标识下发至对应的所述会话组内的所有所述配电终端。
作为上述方案的改进,所述方法还包括:
所述密码服务平台周期性更新每一所述会话组的组密钥标识,并向所述交换密码机发送每一所述会话组更新后的组密钥标识和组密钥更新请求;
所述交换密码机响应于所述组密钥更新请求,根据接收到的每一所述会话组更新后的组密钥标识,对应更新每一所述会话组的组密钥,并反馈第二密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第二密钥更新成功信息后,将每一所述会话组更新后的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的所述更新后的组密钥标识下发至组内的所有所述配电终端。
相应地,本发明另一实施例提供一种基于配电网的量子加密通信***,包括配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;其中,
所述配电主站,用于根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
所述密码服务平台,用于存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
所述交换密码机,用于响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
所述密码服务平台,还用于在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
每一所述配电终端,用于在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
作为上述方案的改进,每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,具体包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
与现有技术相比,本发明实施例公开的基于配电网的量子加密通信方法及***,配电主站根据下挂的所有配电终端的业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求。由所述密码服务平台为每一所述会话组生成组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识,以使所述交换密码机根据每一会话组的组密钥标识,生成每一所述会话组的组密钥。在组密钥生成后,再由所述密码服务平台将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站将每一所述会话组的组密钥标识下发至每一所述会话组的配电终端。从而,同一会话组的配电终端均能够通过其接收到的组密钥标识向密码服务平台申请所在会话组的组密钥,以作为会话密钥与组内的其他配电终端进行业务数据的量子加密传输,从而实现点到多点或多点到多点的多节点会话模式,使量子安全服务平台也能够适用于智能分布式馈线自动化下多节点会话模式,以保证智能分布式馈线自动化下各配电终端之间的通信效率。
附图说明
图1是本发明实施例提供的一种基于配电网的量子加密通信方法的流程示意图。
图2是本发明实施例提供的一种组密钥的申请流程示意图。
图3是本发明实施例提供的一种配电终端之间进行业务数据加密传输的流程示意图。
图4是本发明实施例提供的一种基于配电网的量子加密通信***的结构示意图。
具体实施方式
下面将结合本发明实施例中的附图,对本发明实施例中的技术方案进行清楚、完整地描述,显然,所描述的实施例仅仅是本发明一部分实施例,而不是全部的实施例。基于本发明中的实施例,本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
参见图1,图1是本发明一实施例提供的一种基于配电网的量子加密通信方法的流程示意图。
参见图1和图2,本发明实施例提供的基于配电网的量子加密通信方法,适用于配电网;其中,所述配电网包括配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;所述方法包括步骤:
S1、所述配电主站根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
S2、所述密码服务平台存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
S3、所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
S4、所述密码服务平台在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
S5、每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
需要说明的是,量子安全服务平台主要包括量子密钥生成***、量子密钥调度***、量子密钥应用***。其中,量子密钥生成***包括量子密钥生成设备,密钥分发网络管理***,量子随机数发生器,所述量子密钥生成***主要功能为利用量子原理生成量子密钥,以为前端***提供量子密钥支撑。量子密钥调度***包括量子密钥管理器、交换密码机、密码服务平台和量子密钥充注***,所述量子密钥调度***主要功能为:所述量子密钥管理器用于管理和存储所述量子密钥生成***形成的量子密钥;所述交换密码机用于整体控制量子密钥的存储及输出;所述密码服务平台用于实现量子密钥的对外调度和协商,确保量子密钥可以安全有序地分发至量子密钥应用***,即配电主站和配电终端;所述量子密钥充注***用于将量子密钥通过U盾/TF卡等安全介质进行充注,以在配电终端等量子密钥应用终端使用。
值得说明的是,现有的量子安全服务平台的具体应用过程如下:量子密钥充注***通过密码服务平台向交换密码机发送充注密钥申请,由密码服务平台进行密钥充注控制;量子随机数发生器生成充注密钥,并向量子密钥充注***返回充注密钥,由量子密钥充注***对配电终端进行密钥充注;交换密码机通过计算认证MAC信息对配电终端和配电主站进行入网认证;密码服务平台从交换密码机申请获取会话密钥,并将会话密钥发送给移动终端,移动终端之间通过所述会话密钥进行量子加密通信。但是,由于现有的量子安全服务平台的密钥分发所采用的是“一次一密”和“用后即毁”的分发机制,导致任意两个移动终端在从密码服务平台获取到会话密钥之后,密码服务平台就会将原先的会话密钥销毁,若其中一个移动终端想要与其他移动终端进行业务数据传输时,则需要重新向密码服务平台申请新的会话密钥,从而导致在两个以上的移动终端之间需要进行业务数据的传输时,现有的量子安全服务平台也会以两两分组的形式,将多个移动终端的一个业务请求作为多个业务请求去处理。
例如,在配电终端A需要将同一业务数据发送给配电终端B和配电终端C时,配电终端A根据其身份标识、配电终端B和C的身份标识向密码服务平台申请业务加密所需的会话密钥,配电终端A通过密码服务平台所反馈的会话密钥对业务数据进行加密传输至配电终端B、C,若配电终端B率先向所述密码服务平台申请对应的会话密钥对接收到的业务数据进行解密,那么所述密码服务平台在将会话密钥反馈给配电终端B后,就会将所存储的会话密钥删除,则在配电终端C想要向所述密码服务平台申请对应的会话密钥对业务数据进行解密时,就无法再从所述密码服务平台中获取到相同的会话密钥。这也就导致现有的量子安全服务平台,在处理多节点会话的业务请求时,会默认将一个多节点会话的业务请求作为多个点对点的业务请求去处理,即,为配电终端A和配电终端B,以及,配电终端A和配电终端C分别生成两组会话密钥,如:第一会话密钥和第二会话密钥,配电终端A和配电终端B之间通过所述第一会话密钥进行业务数据的加解密,配电终端A和配电终端C之间通过所述第二会话密钥进行业务数据的加解密,导致配电终端A与配电终端B、配电终端C之间的通信效率较低,多节点会话的配电终端的数量越多,则通信效率也会越低,同时,还可能面临兼容性和密钥使用等多重问题。这也就导致,目前的量子安全服务平台仅适用于集中型馈线自动化场景下配电终端到配电主站的点对中心的会话模式,而无法有效应用于智能分布式馈线自动化场景下点对多点或多点对多点的多节点会话模式。
基于现有技术的不足,在本发明实施例中,通过所述配电主站为各个存在业务传输需求的所述配电终端创建会话组,以及,由所述密码服务平台为每个所述会话组生成组密钥标识,以使所述交换密码机根据所述组密钥标识生成对应的组密钥,并缓存在所述交换密码机中,再通过所述密码服务平台和所述配电主站将每一所述会话组的组密码标识下发至相应会话组的配电终端。则,同一所述会话组的配电终端就能共享同一组密钥,通过其接收到的组密钥标识向密码服务平台申请所在会话组的组密钥,以作为会话密钥与组内的其他配电终端进行业务数据的量子加密传输,从而实现点到多点或多点到多点的多节点会话模式,使量子安全服务平台也能够适用于智能分布式馈线自动化下多节点会话模式,以保证智能分布式馈线自动化下各配电终端之间的通信效率。
可以理解地,基于本发明组密钥方案的改造后,配电网可基于量子安全服务平台同时构建配电主站至各配电终端、配电终端与配电终端之间的业务加密传输通道,以使现有的量子安全服务平台既可以适用于集中型馈线自动化场景,又可兼容智能分布式馈线自动化场景下的业务数据加密传输,并且可以拓展至各类型的配电业务场景应用,形成体系化的配电量子安全服务应用解决方案,实现一套平台满足多场景的拓展应用,大大降低配电网中量子安全服务平台应用的复杂度和建设成本,进一步推动基于量子密钥的配电自动化工控安全技术构建完备的“横向-纵向”新型加密认证体系。
具体地,在步骤S1中,所述配电主站按照同一台区下配电终端的业务需求或者一个区域内配电终端的业务需求,将同一台区或者同一区域下的配电终端划分为一个会话组。
需要说明,在本实际应用中,主要是由所述配电主站的业务服务器创建会话组和配置组成员信息。参见表1,在实际应用过程中,配电主站参见表1的形式创建会话组和配置会话组的分组信息,以便于在对会话组进行增加、编辑、修改、删除等操作时有对应的条目来查询和操作,同时,也可以记录不同时间和人员对会话组的定义和操作,提供相关日志供查询。
表1 会话组的分组信息
Figure 700588DEST_PATH_IMAGE001
进一步地,所述密码服务平台存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求,具体为:
所述密码服务平台存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,通过认证管理服务验证所述组密钥标识生成请求的请求方的身份标识,认证通过后由会话管理服务生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求。
具体地,所述每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
具体地,作为业务接收方的所述配电终端的身份标识由所述业务发起方根据预先存储的网络拓扑信息表获取;每一所述配电终端的网络拓扑信息表中设有与所述配电终端相关联的配电终端的身份标识。具体情况可参考智能分布式馈线自动化下配电终端的传输。
需要说明,所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求,具体为:
响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,根据所述业务发起方的身份标识,对所述业务发起方访问其发送的所述组密钥标识对应的组密钥的权限进行校验,在检验成功后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求。
在一个具体的实施例中,在所述密码服务平台响应于所述密钥申请请求之后,所述密码服务平台若根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,判定到所述业务发起方和任一所述业务接收方不属于同一所述会话组,则所述方法还包括:
所述密码服务平台根据接收到的所述业务发起方的身份标识和所有所述业务接收方的身份标识,创建临时分组和配置所述临时分组的组成员信息,并生成所述临时分组的临时密钥标识,以及,向所述交换密码机发送所述临时密钥标识和临时密钥生成请求;
所述交换密码机响应于所述临时密钥生成请求,根据接收到的所述临时密钥标识,生成所述临时分组的临时密钥,并反馈临时密钥生成信息至所述密码服务平台;其中,所述临时密钥标识用于确定所述临时密钥存储在所述交换密码机中的位置;
所述密码服务平台在接收到所述交换密码机反馈的临时密钥生成信息后,将所述临时密钥标识反馈至所述业务发起方和所有所述业务接收方;
所述临时分组内的配电终端根据其身份标识和接收到的所述临时密钥标识,向所述密码服务平台申请所述临时密钥,通过所述临时密钥与所述临时分组的其他所述配电终端进行业务数据的量子加密传输。
示例性地,在实际的配电网智能分布式馈线自动化场景下,当配电终端检测到所在馈线发生故障时,则,故障侧的配电终端发起包含故障信息的业务请求,故障侧的配电终端根据其预先存储的网络拓扑信息表获取故障点两侧的配电终端的身份标识,故障侧的配电终端向所述密码服务平台发送其身份标识、故障点两侧的配电终端的身份标识、接收到的组密钥标识和密钥申请请求;所述密码服务平台响应于所述密钥申请请求,根据接收到的故障侧的配电终端的身份标识、故障点两侧的配电终端的身份标识和预先存储的每一会话组的组成员信息,判断故障侧的配电终端与故障点两侧的配电终端是否属于同一会话组,若属于同一会话组,则向所述交换密码机发送故障侧的配电终端的身份标识、故障侧的配电终端接收到的组密钥标识和组密钥获取请求;所述交换密码机响应于所述组密钥获取请求,根据故障侧的配电终端接收到的组密钥标识,查询故障侧的配电终端所在会话组的组密钥,并根据故障侧的配电终端的身份标识获取充注密钥,通过充注密钥对所述组密钥进行加密,将加密后的组密钥反馈至密码服务平台,以使密码服务平台将加密后的组密钥下发至故障侧的配电终端;故障侧的配电终端在接收到加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,通过充注密钥对加密后的组密钥进行解密,以作为会话密钥与故障点两侧的配电终端进行故障信息的量子加密传输,以使故障点两侧的配电终端将故障点两侧的开关断开。
此外,所述密码服务平台若根据接收到的故障侧的配电终端的身份标识、故障点两侧的配电终端的身份标识和预先存储的每一会话组的组成员信息,判断到故障侧的配电终端与故障点两侧的配电终端不属于同一会话组,则所述密码服务平台根据故障侧的配电终端的身份标识、故障点两侧的配电终端的身份标识创建临时分组和配置所述临时分组的组成员信息,生成所述临时分组的临时密钥标识,并向所述交换密码机发送所述临时密钥标识和临时密钥生成请求;所述交换密码机响应于所述临时密钥生成请求,根据接收到的所述临时密钥标识,生成所述临时分组的临时密钥,并反馈临时密钥生成信息至所述密码服务平台;所述密码服务平台在接收到所述交换密码机反馈的临时密钥生成信息后,将所述临时密钥标识反馈至故障侧的配电终端和故障点两侧的配电终端,以使故障侧和故障点两侧的配电终端根据临时密钥标识向所述密码服务平台申请临时密钥,以进行故障信息的量子加密传输,从而使故障点两侧的配电终端将故障点两侧的开关断开。
可以理解地,在实际智能分布式馈线自动化场景下,由于每个台区或者区域的电网之间是相互连通的,在根据台区或者区域进行分组时,两个相连接的台区或区域之间,会存在一些边界设备。如:以社区为分组依据,社区A的配电终端1-10为一个会话组,社区B的配电终端11-20为一个会话组,每个配电终端按照编码顺序依次连接,则配电终端10和配电终端11就视为边界设备。以配电终端10发生故障为例,在配电终端10发生故障时,其故障会影响到相邻两侧的配电终端9和11,则配电终端10会依据其网络拓扑信息表,查找配电终端9和11的身份标识,配电终端10将自身的身份标识、配电终端9的身份标识和配电终端11的身份标识发送至密码服务平台以申请组密钥,若密码服务平台根据预先存储的每一会话组的组成员信息,发现配电终端11和配电终端10不属于一个组,则此时所述密码服务平台需要建立一个临时分组和配置临时密钥标识,根据临时密钥标识向所述交换密码机申请临时密钥,以供配电终端9、10、11之间进行故障信息的量子加密传输。
具体地,所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥;
所述业务发起方通过所述充注密钥对所述加密后的组密钥进行解密,并将解密后的组密钥作为会话密钥,根据所述会话密钥将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方;
每一所述业务接收方在接收到加密后的所述业务数据后,对所述业务发起方加密后的组密钥标识进行解密,根据解密得到的组密钥标识和所述业务接收方的身份标识向所述密码服务平台申请对应的组密钥,以对加密后的所述业务数据进行解密。
需要说明的是,所述会话密钥除了可以用于建立Ipsec隧道,所述业务发起方通过所述Ipsec隧道将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方,还可以用于sslvpn等加密协议,通过sslvpn等加密协议将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方。此外,还可以由所述会话密钥直接对所需要传输的业务数据和所述业务发起方对应的组密钥标识进行加密,将加密后的业务数据和组密钥标识传输至所有所述业务接收方,在此不对由所述会话密钥对所需要传输的业务数据和所述业务发起方对应的组密钥标识进行加密的加密方式进行限定。
在一个具体的实施例中,所述量子安全服务平台还包括量子密钥生成***;所述量子密钥生成***用于根据量子原理生成量子密钥;所述交换密码机中设有存储若干密钥块的缓存空间,所述缓存空间中的密钥块由所述交换密码机周期性从量子密钥生成***中实时获取并更新;所述组密钥标识包括组密钥所在密钥块的标识、组密钥在密钥块内的序号和组密钥的密钥长度;则,
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台,具体为:
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,从所述缓存空间中获取每一所述会话组对应的组密钥,并反馈组密钥生成信息至所述密码服务平台。
参见表2,在实际应用中,可参照表2的形式生成每一所述会话组的组密钥标识。
表2会话组的组密钥标识
Figure 577278DEST_PATH_IMAGE002
需要说明的是,在实际应用中,由量子安全服务平台的量子随机数发生器生成保护密钥,并将所述保护密钥存储于对应交换密码机之中,量子密钥调度***中的量子密钥充注***通过内网直连方式为U盾/TF卡等安全介质充注保护密钥,即本发明中所述的充注密钥,同时将相关充注信息反馈至密码服务平台中。在充注过程中,操作员需要基于PIN码及管理员Ukey进行身份认证,然后充注密钥采用数字信封模式从交换密码机中传输至量子密钥充注***后加密存储于U盾/TF卡等安全介质中。
在一些可选的实施例中,所述组成员信息还包括组成员数量;则,
所述配电主站在配置组成员信息时,若所述会话组内配电终端的数量小于所述配电终端的总量,则将所述组成员数量配置为所述会话组内配电终端的数量;若所述会话组内配电终端的数量等于所述配电终端的总量,则将所述组成员数量配置为预设标识;其中,所述预设标识用于表示当前所述会话组的组密钥开放给所有所述配电终端调用。
具体地,所述预设标识为-1。则,若所述会话组的组成员数量为正,则表示限定只有组成员数组内定义的组成员有权限调用该会话组的组密钥;若所述会话组的组成员数量为负,则跳过组成员数组的定义,开放权限供所有入网设备调用组密钥。
参见表3,在实际的应用中,可参照表3的形式配置每一所述会话组的组成员信息;其中,所述组成员数量采用有符号的32位整数类型来描述纳入会话组的配电终端的数量;所述组成员数组则通过调用配电终端的身份信息配置文件将该会话组内的配电终端的身份标识写入数组。
表3会话组的组成员信息
Figure 462057DEST_PATH_IMAGE003
进一步地,所述方法还包括:
所述配电主站通过网络拓扑分析,确定任一所述会话组的配电终端发生变动时,根据变动后的所述配电终端的身份标识更新所述会话组的组成员信息,并将所述会话组更新后的组成员信息下发至所述密码服务平台;
所述密码服务平台接收到所述会话组更新后的组成员信息后,对应存储所述会话组更新后的组成员信息,并为所述会话组生成新的组密钥标识,以及,向所述交换密码机发送所述新的组密钥标识;
所述交换密码机在接收到所述新的组密钥标识后,根据所述新的组密钥标识生成新的组密钥,并反馈第一密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第一密钥更新成功信息后,将所述新的组密钥标识反馈给所述配电主站,以使所述配电主站将所述新的组密钥标识下发至对应的所述会话组内的所有所述配电终端。
需要说明的是,组密钥的删除及组成员的更新需要统一由配电主站的业务服务器获取对应管理权限后发起,密码服务平台收到相关请求后,即重建分组并更换组密钥标识和组密钥,同时将原有的组成员信息和组密钥标识从数据库中删除,再将结果反馈至配电主站的业务服务器,由配电主站的业务服务器同步至各配电终端。
在一些更优的实施例中,所述方法还包括:
所述密码服务平台周期性更新每一所述会话组的组密钥标识,并向所述交换密码机发送每一所述会话组更新后的组密钥标识和组密钥更新请求;
所述交换密码机响应于所述组密钥更新请求,根据接收到的每一所述会话组更新后的组密钥标识,对应更新每一所述会话组的组密钥,并反馈第二密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第二密钥更新成功信息后,将每一所述会话组更新后的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的所述更新后的组密钥标识下发至组内的所有所述配电终端。
需要说明的是,在实际应用中,可以依据业务需求设置组密钥的更新频率来更新组密钥,最高频率可设置每分钟更新一次,在重新申请组密钥标识并生成新组密钥的同时,也会重新加载最新的会话组的分组信息至密码服务平台,历史的组密钥信息和分组信息依然保留。
参见图3,下面以一个具体实施例对本实施例所提供的基于配电网的量子加密通信方法进行说明:
1、组业务发起:
配电终端发起业务传输请求,发出组密钥申请流程,配电终端通过调用对应量子接口,使用组密钥标识、其身份标识和作为业务接收方的配电终端的身份标识向密码服务平台申请对应的组密钥。
2、组密钥申请:
密码服务平台收到配电终端的组密钥申请后,首先验证业务发起方的身份标识,并依据业务发起方的身份标识和业务接收方的身份标识比对组成员配置进行权限校验,校验通过后,再依据业务发起方的身份标识和组密钥标识向交换密码机发起组密钥生成请求。
3、组密钥下发:
交换密码机收到所述组密钥生成请求后,依据组密钥标识获取组密钥,和依据业务发起方的身份标识查询对应的充注密钥,使用对应的充注密钥加密所述组密钥后,得到组密钥密文,返回组密钥密文至密码服务平台,再通过密码服务平台下发至作为业务发起方的配电终端。
4、业务数据加解密:
作为业务发起方的配电终端获取到组密钥密文后,使用对应的充注密钥解密,并使用解密后的组密钥建立ipsec隧道,将业务数据和组密钥标识加密传输至作为业务接收方的配电终端,作为业务接收方的配电终端接收到加密的业务数据密文后,解析加密的组密钥标识,依据组密钥标识向密码服务平台申请对应的组密钥解密所述业务数据密文,得到业务数据明文。
参见图4,是本发明实施例提供的一种基于配电网的量子加密通信***的结构示意图。
本发明实施例提供的基于配电网的量子加密通信***,包括:配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;其中,
所述配电主站,用于根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
所述密码服务平台,用于存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
所述交换密码机,用于响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
所述密码服务平台,还用于在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
每一所述配电终端,用于在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
具体地,每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,具体包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
作为业务发起方的所述配电终端在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
作为上述方案的改进,在所述密码服务平台响应于所述密钥申请请求之后,所述密码服务平台若根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,判定到所述业务发起方和任一所述业务接收方不属于同一所述会话组,则,
所述密码服务平台,还用于根据接收到的所述业务发起方的身份标识和所有所述业务接收方的身份标识,创建临时分组和配置所述临时分组的组成员信息,并生成所述临时分组的临时密钥标识,以及,向所述交换密码机发送所述临时密钥标识和临时密钥生成请求;
所述交换密码机,还用于响应于所述临时密钥生成请求,根据接收到的所述临时密钥标识,生成所述临时分组的临时密钥,并反馈临时密钥生成信息至所述密码服务平台;其中,所述临时密钥标识用于确定所述临时密钥存储在所述交换密码机中的位置;
所述密码服务平台,还用于在接收到所述交换密码机反馈的临时密钥生成信息后,将所述临时密钥标识反馈至所述业务发起方和所有所述业务接收方;
所述临时分组内的配电终端,用于根据其身份标识和接收到的所述临时密钥标识,向所述密码服务平台申请所述临时密钥,通过所述临时密钥与所述临时分组的其他所述配电终端进行业务数据的量子加密传输。
作为其中一个具体的实施方式,所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,具体包括:
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥;
所述业务发起方通过所述充注密钥对所述加密后的组密钥进行解密,并将解密后的组密钥作为会话密钥,根据所述会话密钥将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方,以实现所述业务发起方与所有所述业务接收方之间业务数据的量子加密传输;则,
每一所述业务接收方在接收到加密后的所述业务数据后,对所述业务发起方加密后的组密钥标识进行解密,根据解密得到的组密钥标识和所述业务接收方的身份标识向所述密码服务平台申请对应的组密钥,以对加密后的所述业务数据进行解密。
作为其中一个具体的实施例,所述量子安全服务平台还包括量子密钥生成***;所述量子密钥生成***用于根据量子原理生成量子密钥;所述交换密码机中设有存储若干密钥块的缓存空间,所述缓存空间中的密钥块由所述交换密码机周期性从所述量子密钥生成***中实时获取并更新;所述组密钥标识包括组密钥所在密钥块的标识、组密钥在密钥块内的序号和组密钥的密钥长度;则,
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台,具体包括:
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,从所述缓存空间中获取每一所述会话组对应的组密钥,并反馈组密钥生成信息至所述密码服务平台。
作为其中一个优选的实施例,所述配电主站配置的所述组成员信息还包括组成员数量;则,
所述配电主站在用于配置组成员信息时,若所述会话组内配电终端的数量小于所述配电终端的总量,则将所述组成员数量配置为所述会话组内配电终端的数量;若所述会话组内配电终端的数量等于所述配电终端的总量,则将所述组成员数量配置为预设标识;其中,所述预设标识用于表示当前所述会话组的组密钥开放给所有所述配电终端调用。
作为一个优选的实施例,所述配电主站还用于通过网络拓扑分析,确定任一所述会话组的配电终端发生变动时,根据变动后的所述配电终端的身份标识更新所述会话组的组成员信息,并将所述会话组更新后的组成员信息下发至所述密码服务平台;则,
所述密码服务平台,还用于接收到所述会话组更新后的组成员信息后,对应存储所述会话组更新后的组成员信息,并为所述会话组生成新的组密钥标识,以及,向所述交换密码机发送所述新的组密钥标识;
所述交换密码机,还用于在接收到所述新的组密钥标识后,根据所述新的组密钥标识生成新的组密钥,并反馈第一密钥更新成功信息至所述密码服务平台;
所述密码服务平台,还用于在接收到所述第一密钥更新成功信息后,将所述新的组密钥标识反馈给所述配电主站,以使所述配电主站将所述新的组密钥标识下发至对应的所述会话组内的所有所述配电终端。
作为其中一个优选的实施例,所述密码服务平台还用于周期性更新每一所述会话组的组密钥标识,并向所述交换密码机发送每一所述会话组更新后的组密钥标识和组密钥更新请求;则,
所述交换密码机,还用于响应于所述组密钥更新请求,根据接收到的每一所述会话组更新后的组密钥标识,对应更新每一所述会话组的组密钥,并反馈第二密钥更新成功信息至所述密码服务平台;
所述密码服务平台,还用于在接收到所述第二密钥更新成功信息后,将每一所述会话组更新后的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的所述更新后的组密钥标识下发至组内的所有所述配电终端。
需要说明的是,本实施例的基于配电网的量子加密通信***的各实施例的相关具体描述和有益效果可以参考上述的基于配电网的量子加密通信方法的各实施例的相关具体描述和有益效果,在此不再赘述。
以上所述是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明原理的前提下,还可以做出若干改进和润饰,这些改进和润饰也视为本发明的保护范围。

Claims (10)

1.一种基于配电网的量子加密通信方法,适用于配电网;其中,所述配电网包括配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;其特征在于,所述方法包括:
所述配电主站根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
所述密码服务平台存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
所述密码服务平台在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
2.如权利要求1所述的基于配电网的量子加密通信方法,其特征在于,所述每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
3.如权利要求2所述的基于配电网的量子加密通信方法,其特征在于,在所述密码服务平台响应于所述密钥申请请求之后,所述密码服务平台若根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,判定到所述业务发起方和任一所述业务接收方不属于同一所述会话组,则所述方法还包括:
所述密码服务平台根据接收到的所述业务发起方的身份标识和所有所述业务接收方的身份标识,创建临时分组和配置所述临时分组的组成员信息,并生成所述临时分组的临时密钥标识,以及,向所述交换密码机发送所述临时密钥标识和临时密钥生成请求;
所述交换密码机响应于所述临时密钥生成请求,根据接收到的所述临时密钥标识,生成所述临时分组的临时密钥,并反馈临时密钥生成信息至所述密码服务平台;其中,所述临时密钥标识用于确定所述临时密钥存储在所述交换密码机中的位置;
所述密码服务平台在接收到所述交换密码机反馈的临时密钥生成信息后,将所述临时密钥标识反馈至所述业务发起方和所有所述业务接收方;
所述临时分组内的配电终端根据其身份标识和接收到的所述临时密钥标识,向所述密码服务平台申请所述临时密钥,通过所述临时密钥与所述临时分组的其他所述配电终端进行业务数据的量子加密传输。
4.如权利要求2所述的基于配电网的量子加密通信方法,其特征在于,所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,包括:
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥;
所述业务发起方通过所述充注密钥对所述加密后的组密钥进行解密,并将解密后的组密钥作为会话密钥,根据所述会话密钥将业务数据和所述业务发起方对应的组密钥标识加密传输至所有所述业务接收方;
每一所述业务接收方在接收到加密后的所述业务数据后,对所述业务发起方加密后的组密钥标识进行解密,根据解密得到的组密钥标识和所述业务接收方的身份标识向所述密码服务平台申请对应的组密钥,以对加密后的所述业务数据进行解密。
5.如权利要求1所述的基于配电网的量子加密通信方法,其特征在于,所述交换密码机中设有存储若干密钥块的缓存空间,所述缓存空间中的密钥块由所述交换密码机周期性从量子密钥生成***中实时获取并更新;所述组密钥标识包括组密钥所在密钥块的标识、组密钥在密钥块内的序号和组密钥的密钥长度;则,
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台,具体为:
所述交换密码机响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,从所述缓存空间中获取每一所述会话组对应的组密钥,并反馈组密钥生成信息至所述密码服务平台。
6.如权利要求1所述的基于配电网的量子加密通信方法,其特征在于,所述组成员信息还包括组成员数量;则,
所述配电主站在配置组成员信息时,若所述会话组内配电终端的数量小于所述配电终端的总量,则将所述组成员数量配置为所述会话组内配电终端的数量;若所述会话组内配电终端的数量等于所述配电终端的总量,则将所述组成员数量配置为预设标识;其中,所述预设标识用于表示当前所述会话组的组密钥开放给所有所述配电终端调用。
7.如权利要求1所述的基于配电网的量子加密通信方法,其特征在于,所述方法还包括:
所述配电主站通过网络拓扑分析,确定任一所述会话组的配电终端发生变动时,根据变动后的所述配电终端的身份标识更新所述会话组的组成员信息,并将所述会话组更新后的组成员信息下发至所述密码服务平台;
所述密码服务平台接收到所述会话组更新后的组成员信息后,对应存储所述会话组更新后的组成员信息,并为所述会话组生成新的组密钥标识,以及,向所述交换密码机发送所述新的组密钥标识;
所述交换密码机在接收到所述新的组密钥标识后,根据所述新的组密钥标识生成新的组密钥,并反馈第一密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第一密钥更新成功信息后,将所述新的组密钥标识反馈给所述配电主站,以使所述配电主站将所述新的组密钥标识下发至对应的所述会话组内的所有所述配电终端。
8.如权利要求1所述的基于配电网的量子加密通信方法,其特征在于,所述方法还包括:
所述密码服务平台周期性更新每一所述会话组的组密钥标识,并向所述交换密码机发送每一所述会话组更新后的组密钥标识和组密钥更新请求;
所述交换密码机响应于所述组密钥更新请求,根据接收到的每一所述会话组更新后的组密钥标识,对应更新每一所述会话组的组密钥,并反馈第二密钥更新成功信息至所述密码服务平台;
所述密码服务平台在接收到所述第二密钥更新成功信息后,将每一所述会话组更新后的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的所述更新后的组密钥标识下发至组内的所有所述配电终端。
9.一种基于配电网的量子加密通信***,其特征在于,包括配电主站、若干配电终端和量子安全服务平台;所述量子安全服务平台包括密码服务平台和交换密码机;其中,
所述配电主站,用于根据业务传输需求创建至少一会话组用于在至少两个所述配电终端之间进行通信及配置每一所述会话组的组成员信息,并向所述密码服务平台发送每一所述会话组的组成员信息和组密钥标识生成请求;其中,所述组成员信息包括组内所有所述配电终端的身份标识;
所述密码服务平台,用于存储接收到的每一所述会话组的组成员信息,以及,响应于所述组密钥标识生成请求,生成每一所述会话组的组密钥标识,并向交换密码机发送每一所述会话组的组密钥标识和组密钥生成请求;
所述交换密码机,用于响应于所述组密钥生成请求,根据接收到的每一所述会话组的组密钥标识,生成每一所述会话组的组密钥,并反馈组密钥生成信息至所述密码服务平台;其中,所述组密钥标识用于确定所述组密钥存储在所述交换密码机中的位置;
所述密码服务平台,还用于在接收到所述交换密码机反馈的组密钥生成信息后,将每一所述会话组的组密钥标识反馈至所述配电主站,以使所述配电主站根据每一所述会话组的组成员信息,将对应的组密钥标识下发至组内的所有所述配电终端;
每一所述配电终端,用于在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
10.如权利要求9所述的基于配电网的量子加密通信***,其特征在于,每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,根据业务发起方的身份标识、所有所述业务接收方的身份标识和接收到的所述组密钥标识,向所述密码服务平台申请对应的组密钥,以作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输,具体包括:
每一所述配电终端在发起业务时,获取所有作为业务接收方的配电终端的身份标识,向所述密码服务平台发送其身份标识、所有所述业务接收方的身份标识、接收到的所述组密钥标识和密钥申请请求;
所述密码服务平台响应于所述密钥申请请求,根据接收到的作为业务发起方的身份标识、所有所述业务接收方的身份标识和预先存储的每一所述会话组的组成员信息,确定所述业务发起方与所有所述业务接收方属于同一会话组后,向所述交换密码机发送所述业务发起方的身份标识、所述业务发起方对应的组密钥标识和组密钥获取请求;
所述交换密码机响应于所述组密钥获取请求,根据接收到的所述业务发起方对应的组密钥标识,查询所述业务发起方所在会话组的组密钥,并根据接收到的所述业务发起方的身份标识获取充注密钥,通过所述充注密钥对所述业务发起方的组密钥进行加密,将加密后的组密钥反馈至所述密码服务平台,以使所述密码服务平台将所述加密后的组密钥下发至所述业务发起方;
所述业务发起方在接收到所述加密后的组密钥后,通过其对应的安全介质获取所述充注密钥,以及,通过所述充注密钥对所述加密后的组密钥进行解密,将解密后的组密钥作为会话密钥与所有所述业务接收方进行业务数据的量子加密传输。
CN202211652893.9A 2022-12-22 2022-12-22 一种基于配电网的量子加密通信方法及*** Active CN115632779B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211652893.9A CN115632779B (zh) 2022-12-22 2022-12-22 一种基于配电网的量子加密通信方法及***

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211652893.9A CN115632779B (zh) 2022-12-22 2022-12-22 一种基于配电网的量子加密通信方法及***

Publications (2)

Publication Number Publication Date
CN115632779A true CN115632779A (zh) 2023-01-20
CN115632779B CN115632779B (zh) 2023-03-28

Family

ID=84910792

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211652893.9A Active CN115632779B (zh) 2022-12-22 2022-12-22 一种基于配电网的量子加密通信方法及***

Country Status (1)

Country Link
CN (1) CN115632779B (zh)

Cited By (3)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117527228A (zh) * 2023-12-06 2024-02-06 安徽省气象信息中心 一种基于量子安全隧道的地面气象观测数据传输密钥协商方法及***
CN117579276A (zh) * 2024-01-16 2024-02-20 浙江国盾量子电力科技有限公司 用于馈线终端的量子加密方法及量子板卡模组
CN117768118A (zh) * 2023-12-31 2024-03-26 长江量子(武汉)科技有限公司 密钥充注方法及***

Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160080329A1 (en) * 2013-12-17 2016-03-17 Beijing Nq Technology Co., Ltd Mobile terminal and method thereof
CN111475796A (zh) * 2020-03-20 2020-07-31 南京如般量子科技有限公司 基于秘密共享和量子通信服务站的抗量子计算身份认证方法及***
CN112260832A (zh) * 2020-12-17 2021-01-22 南京易科腾信息技术有限公司 信息加密、解密及控制方法、装置及电子设备
CN114205084A (zh) * 2022-02-16 2022-03-18 国网浙江省电力有限公司金华供电公司 基于量子密钥的电子邮件多操作加密方法及装置
CN114430328A (zh) * 2020-10-14 2022-05-03 ***通信有限公司研究院 密钥协商方法、装置、设备及存储介质
CN115459912A (zh) * 2022-09-13 2022-12-09 浙江九州量子信息技术股份有限公司 一种基于量子密钥集中管理的通信加密方法及***

Patent Citations (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
US20160080329A1 (en) * 2013-12-17 2016-03-17 Beijing Nq Technology Co., Ltd Mobile terminal and method thereof
CN111475796A (zh) * 2020-03-20 2020-07-31 南京如般量子科技有限公司 基于秘密共享和量子通信服务站的抗量子计算身份认证方法及***
CN114430328A (zh) * 2020-10-14 2022-05-03 ***通信有限公司研究院 密钥协商方法、装置、设备及存储介质
CN112260832A (zh) * 2020-12-17 2021-01-22 南京易科腾信息技术有限公司 信息加密、解密及控制方法、装置及电子设备
CN114205084A (zh) * 2022-02-16 2022-03-18 国网浙江省电力有限公司金华供电公司 基于量子密钥的电子邮件多操作加密方法及装置
CN115459912A (zh) * 2022-09-13 2022-12-09 浙江九州量子信息技术股份有限公司 一种基于量子密钥集中管理的通信加密方法及***

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117527228A (zh) * 2023-12-06 2024-02-06 安徽省气象信息中心 一种基于量子安全隧道的地面气象观测数据传输密钥协商方法及***
CN117768118A (zh) * 2023-12-31 2024-03-26 长江量子(武汉)科技有限公司 密钥充注方法及***
CN117768118B (zh) * 2023-12-31 2024-06-18 长江量子(武汉)科技有限公司 密钥充注方法及***
CN117579276A (zh) * 2024-01-16 2024-02-20 浙江国盾量子电力科技有限公司 用于馈线终端的量子加密方法及量子板卡模组
CN117579276B (zh) * 2024-01-16 2024-03-29 浙江国盾量子电力科技有限公司 用于馈线终端的量子加密方法及量子板卡模组

Also Published As

Publication number Publication date
CN115632779B (zh) 2023-03-28

Similar Documents

Publication Publication Date Title
CN115632779B (zh) 一种基于配电网的量子加密通信方法及***
EP3432532B1 (en) Key distribution and authentication method, apparatus and system
CN109412794B (zh) 一种适应电力业务的量子密钥自动充注方法及***
CN109842485B (zh) 一种有中心的量子密钥服务网络***
US7978858B2 (en) Terminal device, group management server, network communication system, and method for generating encryption key
CN108462573B (zh) 一种灵活的量子安全移动通信方法
US20130007457A1 (en) Exchange of key material
CN101651539A (zh) 更新及分配加密密钥
KR20080104180A (ko) Sim 기반 인증방법
CN101420686B (zh) 基于密钥的工业无线网络安全通信实现方法
CN108847928B (zh) 基于群组型量子密钥卡实现信息加解密传输的通信***和通信方法
WO2023082599A1 (zh) 基于量子密钥的区块链网络安全通信方法
CN112153641B (zh) 基于边缘upf的二次认证增强与端到端加密方法及***
CN110808834B (zh) 量子密钥分发方法和量子密钥分发***
CN113612608A (zh) 一种双模对讲机基于公网实现集群加密的方法及***
CN110635894B (zh) 一种基于帧协议格式的量子密钥输出方法及其***
CN111031012B (zh) 一种实现dds域参与者安全认证的方法
CN101431409B (zh) 可在不同无线局域网中实现保密通信的方法
KR101760376B1 (ko) 안전한 메신저 서비스를 제공하는 단말 및 방법
CN112906032B (zh) 基于cp-abe与区块链的文件安全传输方法、***及介质
CN113452514B (zh) 密钥分发方法、装置和***
CN112054905B (zh) 一种移动终端的安全通信方法及***
CN113660285A (zh) 多媒体会议在网终端管控方法、装置、设备及存储介质
CN105610599A (zh) 用户数据管理方法及装置
CN114244506B (zh) 一种量子密钥的快速同步的方法及***

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant