基于量子加密的配电终端加密通信系统及方法与流程

1.本发明涉及量子安全移动通信领域，尤其是指一种基于量子加密的配电终端加密通信系统及方法。


背景技术：

2.目前电力系统中配电自动化主站与开闭所之间采用光纤网络的方式进行通信，对于光纤网络庞大的光纤网络运营成本比较大，特别是在偏远地区，这一问题更为突出。在一些光纤无法接入的场所，电力系统开辟了无线安全接入区，配网信息通过无线安全接入区进入到电力信息系统。随着5g技术的逐步成熟，电力系统逐步考虑采用5g网络通信方式来替代目前配电自动化主站与开闭所之间通信光纤传输的方式。但是5g网络通信方式依旧面临着多个方面的安全威胁，如遭到网络入侵、通信过程中密钥被窃取、通信报文被窃听等问题，这将会影响到电力系统的稳定运行，进而威胁到经济社会稳定和人民生产生活。
3.现有技术中对于通信传输过程中存在的密钥被窃取、通信报文被窃听等问题常采用分发密钥、对分发的密钥进行完整性和准确性校验等方式来提高通信传输中密钥的安全性。但是在分发密钥以及后续的密钥校验的通信过程中，密钥的安全性并不能得到完全的保障，一旦校验规则被泄漏，很可能在校验密钥的过程中，由假冒的接收端截取加密信息，并进行破解，从而出现密钥被窃取的情况，后续的通信过程的安全性同样无法得到保障。


技术实现要素：

4.本发明的目的是克服现有技术中的缺点，提供一种密钥加密因素更多，保密性更强，即便转换规则被泄漏，也能够防止信息被破解造成的密钥泄漏的量子加密的配电终端加密通信系统及方法，以进一步提高密钥传输过程中的安全性。
5.本发明的第一个方面是提供了一种基于量子加密的配电终端加密通信方法，包括以下步骤：
6.步骤一，配电终端发起通信请求，量子信号转发单元获取充注密钥并将其发送至量子密钥调度模块；
7.步骤二，量子密钥调度模块接收充注密钥，从量子密钥池中按序调取量子密钥对，并从中选取出量子加密密钥，随机选取量子加密密钥的一部分数，将选取出的数均分为若干份，并将每份数按照充注密钥和转换规则进行转换，再构建若干个空白图像，一个空白图像对应一份转换后的数，一个数对应空白图像内的一个像素的像素值，根据对应的转换后的数获取所有空白图像对应的子校验图像，再根据充注密钥发送时间对应数字将子校验图像进行旋转处理，并将旋转后的图像进行拼接，作为校验图像发生至量子信号转发单元；
8.步骤三，量子信号转发单元根据充注密钥发送时间对应数字、充注密钥和转换规则对校验图像进行还原，并根据子校验图像的还原转换的顺序以及每个子校验图像对应的数获取还原结果，并将还原结果发送回量子密钥调度模块，量子密钥调度模块将还原结果与选取出的数进行对比，根据对比结果对量子信号转发单元进行身份识别，当还原结果与
选取的数一一对应时，确认量子信号转发单元身份准确，将完整的量子加密密钥通过会话协商发送至量子信号转发单元，同时将对应的量子解密密钥发送至量子安全网关；若还原结果与选取的数不能一一对应，则确认量子信号转发单元身份不符，并拒绝发送完整的量子密钥，同时发出报警；
9.步骤四，量子信号转发单元根据会话密钥协商接收到的量子加密密钥对电力业务数据进行加密，并通过量子加密通道将加密后的电力业务数据发送至量子安全网关，量子安全网关根据接收到的量子解密密钥对加密后的电力业务数据进行解密；
10.步骤五，量子安全网关将解密后的电力业务数据传输至配电主站，完成通信。
11.进一步的，步骤一中所述量子信号转发单元通过量子密钥芯片获取充注密钥，量子密钥芯片内包括若干个充注密钥，配电终端发起的一次通信请求对应一个充注密钥，在配电终端发起下一次通信请求时，量子信号转发单元从量子密钥芯片内获取新的充注密钥。
12.进一步的，量子安全网关根据接收到的量子解密密钥对加密后的电力业务数据进行解密后，还对解密后的电力业务数据进行误码率计算，并通过计算所得误码率对电力业务数据通信过程是否遭到监听进行检测，当计算所得误码率超过预设误码率阈值时，则判断此时电力业务数据遭到监听，并发出报警。
13.进一步的，在量子信号转发单元将还原结果发送至量子密钥调度模块时，还将设备标识一同发送至量子密钥调度模块，量子密钥在确认量子信号转发单元的身份后，将设备标识以及完整的量子加密密钥发送至量子信号转发单元，若设备标识识别一致，则量子信号转发单元获取完整的量子加密密钥，若设备标识识别不一致，则对量子加密密钥进行销毁处理。
14.本发明的第二个方面，提供了一种基于量子加密的配电终端加密通信系统，在所述基于量子加密的配电终端加密通信系统的运行过程中，执行上述的一种基于量子加密的配电终端加密通信方法，包括量子密钥调度模块、若干个量子信号转发单元和量子安全网关，每个所述量子信号转发单元均与配电终端连接，一个配电终端设置一个量子信号转发单元，量子密钥调度模块同时与量子信号转发单元以及量子安全网关连接，所述量子安全网关还与量子信号转发单元连接，所述量子信号转发单元用于对配电终端传输的电力业务数据进行量子加密，所述量子安全网关用于对量子信号转发单元加密后电力业务数据进行解密处理，所述量子密钥调度模块用于分配调度量子密钥，所述量子密钥调度模块还用于对量子信号转发单元进行身份验证。
15.进一步的，配电终端加密通信系统还包括量子密钥芯片和量子密钥充注机，所述量子密钥芯片与量子信号转发单元连接，所述量子密钥芯片用于储存充注密钥；所述量子密钥充注机与量子密钥芯片连接，所述量子密钥充注机内储存有若干个量子密钥，所述量子密钥充注机用于将储存的量子密钥充注至量子密钥芯片内作为量子信号转发单元的充注密钥。
16.进一步的，配电终端加密通信系统还包括量子密钥分发管理单元和量子随机数发生机，所述量子密钥分发管理单元以及量子随机数发生机均与量子密钥调度模块连接，所述量子随机数发生机和量子密钥分发管理单元均实时生成量子密钥，所述量子密钥分发管理单元内还包括量子密钥池，所述量子密钥分发管理单元所生成的量子密钥按序储存在量
子密钥池中，量子随机数发生机所生成的量子密钥通过量子密钥调度模块储存至量子密钥充注机中。
17.进一步的，所述量子信号转发单元与量子安全网关之间还连接有量子加密通道，所述量子信号转发单元通过量子加密通道传输加密后的电力业务数据至量子安全网关。
18.本发明的有益效果是：
19.通过密钥协商的方式来分发密钥，并在分发密钥时对量子信号转发单元进行身份认证，保证了分发密钥的安全性，不会出现在分发密钥时，因量子信号转发单元被假冒而造成的密钥泄漏。且通过充注密钥、转换规则以及充注密钥发送时间来进行加密，相较于常见密钥协商进行的密钥分发，采用的密钥加密因素更多，保密性更强，即便转换规则被泄漏，也能够防止信息被破解造成的密钥泄漏，进一步提高密钥传输过程中的安全性。在校验量子信号转发单元的身份时，仅截取量子加密密钥的部分数进行校验，即使在校验时，被假冒量子信号转发单元所获取，也不会造成密钥泄漏。且进一步将校验图像进行旋转拼接处理，有效提高还原难度，进而提高密钥校验的可靠性。
附图说明
20.图1是本发明的一种流程示意图；
21.图2是本发明的一种结构示意图。
22.其中：1、量子密钥调度模块，2、量子信号转发单元，3、量子安全网关，4、量子密钥芯片，5、量子密钥充注机，6、量子密钥分发管理单元，7、量子随机数发生机，8、配电终端，9、配电主站。
具体实施方式
23.下面结合附图和实施例对本发明进一步描述。
24.实施例：
25.基于量子加密的配电终端加密通信方法，如图1所示，包括以下步骤：
26.步骤一，配电终端8发起通信请求，量子信号转发单元2获取充注密钥并将其发送至量子密钥调度模块1；
27.步骤二，量子密钥调度模块1接收充注密钥，从量子密钥池中按序调取量子密钥对，并从中选取出量子加密密钥，随机选取量子加密密钥的一部分数，将选取出的数均分为若干份，并将每份数按照充注密钥和转换规则进行转换，再构建若干个空白图像，一个空白图像对应一份转换后的数，一个数对应空白图像内的一个像素的像素值，根据对应的转换后的数获取所有空白图像对应的子校验图像，再根据充注密钥发送时间对应数字将子校验图像进行旋转处理，并将旋转后的图像进行拼接，作为校验图像发生至量子信号转发单元2；
28.步骤三，量子信号转发单元2根据充注密钥发送时间对应数字、充注密钥和转换规则对校验图像进行还原，并根据子校验图像的还原转换的顺序以及每个子校验图像对应的数获取还原结果，并将还原结果发送回量子密钥调度模块1，量子密钥调度模块1将还原结果与选取出的数进行对比，根据对比结果对量子信号转发单元2进行身份识别，当还原结果与选取的数一一对应时，确认量子信号转发单元2身份准确，将完整的量子加密密钥通过会
话协商发送至量子信号转发单元2，同时将对应的量子解密密钥发送至量子安全网关3；若还原结果与选取的数不能一一对应，则确认量子信号转发单元2身份不符，并拒绝发送完整的量子密钥，同时发出报警；
29.步骤四，量子信号转发单元2根据会话密钥协商接收到的量子加密密钥对电力业务数据进行加密，并通过量子加密通道将加密后的电力业务数据发送至量子安全网关3，量子安全网关3根据接收到的量子解密密钥对加密后的电力业务数据进行解密；
30.步骤五，量子安全网关3将解密后的电力业务数据传输至配电主站9，完成通信。
31.本实施例中通过量子密钥对电力业务数据进行加解密时，具体采用对称加密算法，如des算法等。
32.本实施例中转换规则可以为将对应数据进行对数转换、取平方根等处理的数据处理规则。
33.在通过充注密钥发送时间对应的数对校验图像进行旋转时，一个时间段对应一个角度，本实施例中，以发送时间的分钟数值确定旋转角度，在1-15分钟时间段内的，校验图像的旋转角度为90度，而16-30分钟时间段内的，其旋转角度为180度，31-45分钟时间段内的，旋转角度为270度，46-60分钟时间段内，旋转角度为360度。
34.在将选取出的数均分为若干份时，划分数量设置为n*n份，校验图像也就是根据这n*n份数对应的子校验图像拼接而成，可以将校验图像划分为n行n列，在进行拼接时，拼接顺序按照以下顺序进行：根据旋转处理的子校验图像的先后确定拼接的顺序，越早进行旋转处理的子校验图像作为最前面进行拼接的子校验图像，子校验图像进行旋转处理时，随机抽取子校验图像进行旋转，其旋转顺序随机。拼接时，先拼接完成校验图像内第一行的n个子校验图像，再进行下一行的n个子校验图像拼接，直至完成n行的n个子校验图像的进行拼接。
35.以划分数量为2*2份，即4份数为例，在进行转换、像素值填充以及旋转后，所获取的子校验图像个数为4个，以最先进行旋转的子校验图像作为校验图像中第一行的第一个子校验图像，再将第二个进行旋转的子校验图像作为第一行的第二个子校验图像，第一行的第一个子校验图像的右边界和第二个子校验图像的左边界拼接至一起，构成校验图像的第一行部分的图像，第三个进行旋转的子校验图像则作为第二行的第一个子校验图像，第四个进行旋转的子校验则作为第二行的第二个子校验图像，第二行的第一个子校验图像的右边界和第二个子校验图像的左边界拼接至一起，构成校验图像的第二行部分图像，第一行部分图像的下边界与第二行部分图像的上边界进行拼接，最终获取校验图像。
36.在进行还原时，量子信号转发单元2先根据拼接的图像边界，将校验图像进行拆分，并按照充注密钥对应的数依次将拆分出的子校验图像进行旋转还原，并通过充注密钥和转换规则获取每个子校验图像对应的数，作为还原结果发送至量子密钥调度模块1。
37.在量子信号转发单元2发送还原结果时，还将自身标识也发送至量子密钥调度模块1，量子密钥调度模块1将完整的量子加密密钥发送至量子信号转发单元2时，将先前与还原结果一同接收到的量子信号转发单元2的自身标识也发送过去，并将其与量子信号转发单元2的标识进行对比，若不一致，则将量子加密密钥进行销毁，若一致，则同意量子信号转发单元2使用量子加密密钥。
38.步骤一中所述量子信号转发单元2通过量子密钥芯片4获取充注密钥，量子密钥芯
片4内包括若干个充注密钥，配电终端8发起的一次通信请求对应一个充注密钥，在配电终端8发起下一次通信请求时，量子信号转发单元2从量子密钥芯片4内获取新的充注密钥。
39.量子安全网关3根据接收到的量子解密密钥对加密后的电力业务数据进行解密后，还对解密后的电力业务数据进行误码率计算，并通过计算所得误码率对电力业务数据通信过程是否遭到监听进行检测，当计算所得误码率超过预设误码率阈值时，则判断此时电力业务数据遭到监听，并发出报警。
40.在量子信号转发单元2将还原结果发送至量子密钥调度模块1时，还将设备标识一同发送至量子密钥调度模块1，量子密钥在确认量子信号转发单元2的身份后，将设备标识以及完整的量子加密密钥发送至量子信号转发单元2，若设备标识识别一致，则量子信号转发单元2获取完整的量子加密密钥，若设备标识识别不一致，则对量子加密密钥进行销毁处理。
41.一种基于量子加密的配电终端加密通信系统，在所述基于量子加密的配电终端加密通信系统的运行过程中，执行上述的一种基于量子加密的配电终端加密通信方法，如图2所示，包括量子密钥调度模块1、若干个量子信号转发单元2和量子安全网关3，每个所述量子信号转发单元2均与配电终端8连接，一个配电终端8设置一个量子信号转发单元2，量子密钥调度模块1同时与量子信号转发单元2以及量子安全网关3连接，所述量子安全网关3还与量子信号转发单元2连接，所述量子信号转发单元2用于对配电终端8传输的电力业务数据进行量子加密，所述量子安全网关3用于对量子信号转发单元2加密后电力业务数据进行解密处理，所述量子密钥调度模块1用于分配调度量子密钥，所述量子密钥调度模块1还用于对量子信号转发单元2进行身份验证。
42.配电终端8加密通信系统还包括量子密钥芯片4和量子密钥充注机5，所述量子密钥芯片4与量子信号转发单元2连接，所述量子密钥芯片4用于储存充注密钥；所述量子密钥充注机5与量子密钥芯片4连接，所述量子密钥充注机5内储存有若干个量子密钥，所述量子密钥充注机5用于将储存的量子密钥充注至量子密钥芯片4内作为量子信号转发单元2的充注密钥。
43.量子密钥芯片4可以为u盾或者tf卡。
44.配电终端8加密通信系统还包括量子密钥分发管理单元6和量子随机数发生机7，所述量子密钥分发管理单元6以及量子随机数发生机7均与量子密钥调度模块1连接，所述量子随机数发生机7和量子密钥分发管理单元6均实时生成量子密钥，所述量子密钥分发管理单元6内还包括量子密钥池，所述量子密钥分发管理单元6所生成的量子密钥按序储存在量子密钥池中，量子随机数发生机7所生成的量子密钥通过量子密钥调度模块1储存至量子密钥充注机5中。
45.本实施例中所提及的量子密钥包括利用qkd(量子密钥分发设备)生成的量子密钥，以及利用量子随机数发生器生成的量子密钥，量子密钥充注机5中所储存的量子密钥即为利用量子随机数发生器生成的量子密钥，利用qkd生成的量子密钥则作为配电终端8和配电主站9间通信所采用的会话密钥。
46.本实施例中所述量子密钥分发管理单元6即为量子密钥分发设备。
47.无论是qkd生成的量子密钥还是量子随机数发生机7生成的量子密钥，均通过量子密钥调度模块1进行分发，在分发量子密钥时，先通过是否接收到充注密钥来判断量子密钥
分发对象，若接收到充注密钥，则量子密钥调度模块1判断分发对象为量子信号转发单元2，并从量子分发管理单元的量子密钥池中按序调取量子密钥对进行后续发送。若在检测到量子密钥充注机5接入量子密钥调度模块1时，量子密钥调度模块1将量子随机数发生机7所生成的量子密钥发送至量子密钥充注机5中。在未检测到任何量子密钥分发对象时，量子密钥调度模块1不进行量子密钥的分发，量子密钥分发管理单元6和量子随机数发生机7均继续生成量子密钥，并自行储存。
48.所述量子信号转发单元2与量子安全网关3之间还连接有量子加密通道，所述量子信号转发单元2通过量子加密通道传输加密后的电力业务数据至量子安全网关3。本实施例中量子安全网关3和量子信号转发单元2间具体通过ipsec sm4建立量子加密通道。
49.配电终端8可以为柱上开关或者环网柜，且配电终端8与配电主站9之间基于5g专网配合量子加密通道实现通信，将量子保密通信技术与5g通信技术进行综合，能够提高5g网络的安全性，也能够降低传统光纤专网所带来的管理、部署困难和成本高的问题。量子信号转发单元2可以为cpe(customer premise equipment，客户前置设备)，是一种能够将5g信号转换为wifi信号并进行转发的移动信号接入设备。
50.本实施例中所述量子安全网关3为具备量子解密功能的网关，所述量子安全网关3上设置有数据通信接口，数据通信接口通过量子加密通道与设置在配电终端8上的量子信号转发单元2连接，量子安全网关3通过数据通信接口接收加密后的电力业务数据。量子安全网关3上还设置有与量子密钥调度模块1连接的量子通信接口，量子安全网关3通过量子通信接口接收量子密钥调度模块1发送的量子解密密钥。同时，量子安全网关3上还设置有数据解密模块，数据解密模块通过接收到的量子解密密钥对接收到的加密后电力业务数据进行解密。所述数据解密模块可以为单片机、量子解密芯片等。
51.同时量子安全网关3上还设置有身份识别模块和权限校验模块，量子信号转发单元2在发送电力业务数据时，量子安全网关3还对量子信号转发单元2的身份进行识别，确定进行通信的配电终端8身份，并进行权限校验。在权限校验通过时，按照识别结果的先后顺序确定对应的量子解密密钥。如量子安全网关3先后收到两个量子解密密钥，量子安全网关3确定第一个建立通信的量子信号转发单元2具备数据传输权限后，调取收到的第一个量子解密密钥进行解密。由于量子密钥调度模块1在分发密钥时需要按照通信请求的前后进行分发，且量子信号转发单元2建立与量子安全网关3的通信所需时间相同，因此，量子安全网关3在确定量子信号转发单元2具备进行数据传输的权限后，按照其建立通信的顺序调取对应的量子解密密钥对接收到的电力业务数据进行解密。
52.所述身份识别通过所连接通信接口以及对应ip进行识别，所述权限校验通过对比设备权限表进行，当识别出的配电终端8处于设备权限表中时，判断对应配电终端8具备通信权限。
53.量子安全网关3侧还设有防火墙，保障配电主站9内数据的安全。
54.在量子密钥调度模块1出现故障时，无法通过会话密钥协商获取通信所需的量子密钥，量子信号转发单元2和量子安全网关3将最近一次所用的量子密钥或者是预设的备用密钥作为此次通信所使用的量子密钥，保证配电终端8和配电主站9间的电力业务数据能够正常传输。
55.所述量子信号转发单元2与量子安全网关3之间还连接有量子加密通道，所述量子
信号转发单元2通过量子加密通道传输加密后的电力业务数据至量子安全网关3。
56.以上所述的实施例只是本发明的一种较佳的方案，并非对本发明作任何形式上的限制，在不超出权利要求所记载的技术方案的前提下还有其它的变体及改型。