CN113872762B - 基于配电终端设备的量子加密通信系统及其使用方法 - Google Patents
基于配电终端设备的量子加密通信系统及其使用方法 Download PDFInfo
- Publication number
- CN113872762B CN113872762B CN202111437064.4A CN202111437064A CN113872762B CN 113872762 B CN113872762 B CN 113872762B CN 202111437064 A CN202111437064 A CN 202111437064A CN 113872762 B CN113872762 B CN 113872762B
- Authority
- CN
- China
- Prior art keywords
- key
- quantum
- distribution terminal
- charging
- image
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Active
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/03—Protecting confidentiality, e.g. by encryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/041—Key generation or derivation
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/04—Key management, e.g. using generic bootstrapping architecture [GBA]
- H04W12/043—Key management, e.g. using generic bootstrapping architecture [GBA] using a trusted network node as an anchor
- H04W12/0431—Key distribution or pre-distribution; Key agreement
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L2209/00—Additional information or applications relating to cryptographic mechanisms or cryptographic arrangements for secret or secure communication H04L9/00
- H04L2209/80—Wireless
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Physics & Mathematics (AREA)
- Electromagnetism (AREA)
- Theoretical Computer Science (AREA)
- Two-Way Televisions, Distribution Of Moving Picture Or The Like (AREA)
Abstract
本发明提供一种基于配电终端设备的量子加密通信系统及其使用方法,通过将部分充注密钥用于传输数据的加密,并转换为图像作为解密的载体,便于电力业务服务器获取密钥。通过这样的技术方案进一步提高了系统的整体安全性能。并且由于数据加密依然采用的是由量子密钥调度系统中发出的充注密钥转换而来的加密信息,无需配置额外的加密设备即可对传输的数据进行二次加密,同时提高了充注密钥的流转速度。
Description
技术领域
本发明涉及量子安全通信领域。
背景技术
随着量子通信技术的逐步成熟,电力系统逐步考虑采用量子通信网络来替代目前配电自动化主站与开闭所之间通信光纤传输的方式,即采用带有量子密码的通信方式来传输信息。采用量子密码的优势在于,除了古典密码学上的数学难题之外,再加上某些量子力学的特性,可达成古典密码学无法企及的效果。例如,以量子态加密的资讯无法被复制;又例如,任何试图尝试读取量子态的行动,都会改变量子态本身,这使得任何窃听量子态的行动都会被发现。
量子密码最著名的例子是量子密钥分发,而量子密钥分发提供了通讯两方安全传递密钥的方法,且该方法的安全性可被信息论所证明。量子通信的安全性能非常高,完全克服了5G网络通信方式常见的安全威胁,如遭到网络入侵、通信过程中密钥被窃取、通信报文被窃听等问题。但是在应用过程中发现,现有技术中大量的攻击并不是直接攻击加密的信道,而是从加密网关的接口,以及网关硬件设备中留有的漏洞入手,直接从接收端进行窃取,最终导致加密过程中被严密保护的信息依然被窃取。现有技术中也有单独对传递信息进行加密的技术方案,但是这样需要额外接入一套数据加密系统,而对于安全系统而言,新增数据加密系统不仅增加了额外使用成本,而且其实际安全性能也难以衡量。
发明内容
本发明的目的是克服现有技术中的缺点,提供一种基于配电终端设备的量子加密通信系统及其使用方法,通过将部分充注密钥用于传输数据的加密,并转换为图像作为解密的载体,便于电力业务服务器获取密钥,进一步提高了系统的整体安全性能;并且由于数据加密依然采用的是由量子密钥调度系统中发出的充注密钥转换而来的加密信息,无需配置额外的加密设备即可对传输的数据进行加密,同时提高了充注密钥的流转速度。
本发明的目的是通过下述技术方案予以实现,基于配电终端设备的量子加密通信系统,包括:
量子密钥生成设备,用于利用量子特性生成量子密钥;
量子密钥调度系统,用于实现量子密钥在整个系统中的协调调度,其包括量子安全服务平台和量子密钥充注系统;
量子密钥应用系统,利用量子密钥在电力网络中构建量子安全加密传输通道;
其中,量子密钥应用系统包括连接至电力系统业务服务器的量子安全网关和连接到电力终端数据传输单元的配电终端设备;
量子密钥充注系统向量子密钥芯片中加入充注密钥;
量子密钥芯片接入配电终端设备,将充注密钥发送至配电终端设备;配电终端设备内还设有基于充注密钥的数据传输加密装置,基于连接的电力终端数据传输单元的业务类型,所述数据传输加密装置从配电终端设备中随机提取部分充注密钥作为对传输数据加密的充注密钥,并转化生成图像。此处所述的图像分辨率通常不低于1600×1200。1600×1200分辨率的图像中包含了至少200W个像素点,每个像素点对应24位密钥,这样能支持4800W位的密钥,不会出现换算的像素点数量超过图像尺寸的情况。再高的分辨率会影响解密速度,并不适合本发明。
电力终端数据传输单元向电力系统业务服务器发送信息时,传输数据通过充注密钥进行加密;
量子安全网关接收到加密后的传输数据后转发给电力系统业务服务器,在电力系统业务服务器中进行解密。
优选的,所述配电终端设备内设有信息解析单元,所述信息解析单元用于判断经过配电终端设备发出的数据是否包含图像信息;
当传输的数据中包含图像信息时,随机选取一张图像,将此图像复制并保证图像的精度足以放置所有充注密钥包含的信息;通过充注密钥加密其余传输数据,这部分充注密钥转化后隐藏在修改后的图像中,带有充注密钥的图像和其它图像存放在一起打包发送;
当传输的数据中不包含图像信息时,将传输数据由充注密钥加密,再将这部分充注密钥转化为带有坐标的像素点,形成图片格式,放置在传输数据包的注释中,记载像素坐标的数组以明文形式放置在注释末尾。
根据不同的发送内容采用不同的加密方式能提高加密和解密的速度和效率,而且非单一化的加密方式也使得密钥更加难以被破解。
本发明还包括基于配电终端设备的量子加密通信系统的使用方法,包括配电终端设备获取充注密钥步骤和配电终端设备利用充注密钥获取量子密钥步骤;配电终端设备定期通过量子密钥芯片获取充注密钥;而配电终端设备利用充注密钥获取量子密钥步骤为配电终端设备和电力系统业务服务器建立通信连接前实施以下步骤:
S1. 对配电终端设备、电力系统业务服务器一侧的量子安全网关与量子安全服务平台分别进行配置,将配电终端设备的ID信息和电力系统业务服务器一侧的量子安全网关ID信息写入量子安全服务平台中的合法访问设备列表;配电终端设备和量子安全服务平台建立连接,确认连通性;
S2. 量子安全服务平台检查剩余量子密钥数量,量子密钥数量低于阈值时,导入新的量子密钥,否则进行下一步;
S3.配电终端设备将充注密钥发送到量子安全服务平台,量子安全服务平台验证无误后分别向配电终端设备和电力系统业务服务器一侧的量子安全网关发送一组对应的量子密钥,配电终端设备和电力系统业务服务器一侧的量子安全网关之间通过这组量子密钥进行连接;
S4.配电终端设备随机提取一组未使用的充注密钥作为对传输数据加密的充注密钥,并转化生成图像;
S5.利用充注密钥对传输数据进行加密。
优选的,当传输的数据中包含图像信息时,将充注密钥作为对传输数据加密的充注密钥,并转化生成图像,具体步骤为:当传输的数据中包含图像信息时,量子密钥生成模块取出一组充注密钥,量子密钥调度模块依次选取充注密钥中多组连续的数,每组数长度为8位,每三组数对应一个像素点,三组数按照顺序分别转化一个像素点的红、绿、蓝三颜色分量,配电终端设备内的数据转换单元根据充注密钥以及转换规则获取选取的数对应的所有像素点,提取任意一张图像,密钥转换单元将像素点依次替换该图像上已有的前景像素点形成包含充注密钥的图像。
此处的背景色定义为所述图像中所含比例最高的相同颜色属性的像素点。当生成的像素点和背景色像素点的颜色属性相同时,将跳过该像素点。
优选的,当传输的数据中不包含图像信息时,充注密钥对传输数据加密,并转化后生成图像,具体步骤为:将充注密钥转化为一维数组img,并根据转换规则对数组img内每个数进行转换,即获取数组img1={p01,p02,p03,p04,p05,p06,…,p21,p22,p23,p24,…,pn*24},其中p01为第一个像素点的第一个红色分量子像素值,p02为第一个像素点的第一个绿色分量子像素值,p03为第一个像素点的第一个蓝色分量子像素值,p04为第一个像素点的第二个红色分量子像素值,p05为第一个像素点的第二个绿色分量子像素值, …,p24为第一个像素点的第8个蓝色分量子像素值,p n*24为对应最后一个像素点的最后一个像素点的蓝色分量子像素值;
建立二维坐标系,生成数组key={k1,k2,…,k2n-1,k2n},key为一组正整数数组;其中k1为第一个像素点在建立的二维坐标系中的x轴坐标值,k2为第一个像素点在建立的二维坐标系中的y轴坐标值,k2n-1为第n个像素点在建立的二维坐标系中的x轴坐标值,k2n为第n个像素点在建立的二维坐标系中的y轴坐标值;该数组中生成的坐标不得重复。最后根据每个像素点的具体坐标以及对应的红、绿、蓝三色分量子像素值来生成包含充注密钥的图像。这样的方案适用于不带图像的数据传输,缺点在于转换步骤相对较多,导致转换效率相对较低,并且数组key通常只能以明文形式传输。
优选的,数组img中的数位转化后不是24的倍数时,用0补齐缺少的数位形成数组img1。这样的设置会使得解密后的密钥不唯一,但是在前面数值确定的情况下,后面的数字通过少量尝试就能确定,不会影响最终解密结果。
优选的,所述充注密钥的图像带有时间戳,所述时间戳内包括充注密钥的转化时间和充注密钥的生命周期。时间戳用于配合形成多种解密规则,最常用的是接收到充注密钥的图像后充注密钥生命周期。
优选的,量子密钥生成设备配置完成后其运行方式为:
配电终端设备A的使用其量子安全存储介质的充注密钥RA1加密约定信息S1,形成Msg_A发送至量子安全网关B;
量子安全网关B接收到Msg_A后,从量子安全服务平台中调用RA1解密,验证配电终端设备A的接入合法性;并通知量子安全服务平台要在双方共享工作密钥;
量子安全服务平台从量子密钥分发网络中调用新鲜的量子密钥K,使用配电终端设备A的量子安全存储介质中的密钥RA2,以及量子安全网关B的量子安全存储介质中的密钥RB2进行异或操作,生成KK1 = K⊕RA2和KK2 = K⊕RB2,分别将KK1发送给终端A,将KK2发送给量子安全网关B;
配电终端设备A执行 K=KK1⊕RA2;量子安全网关B执行K=KK1⊕RB2,双方共享相同的密钥K;
配电终端设备A将加密后的传输数据上传,通过秘钥K加密发送给量子安全网关B;
量子安全网关B将获得的加密后的传输数据发送到电力业务服务器,电力业务服务器对加密后的传输数据进行解密,获取实际传输数据。
在本发明的实施方式中采用了对称加密算法,对称加密算法与量子安全以及加密结合,形成数据长期安全性的解决方案。
优选的,电力业务服务器对加密后的传输数据进行解密的具体步骤为:
电力业务服务器对加密后的传输数据进行解密的具体步骤为:
判断传输数据中是否有未加密的图像文件包,如有,则从其中通过像素特征找到包含充注密钥的图像;
否则从传输数据包传输文件的注释末尾找到包含充注密钥的图像和数组key;
根据图像所在位置不同,采用不同的方式解析图像,从图像的像素点中还原出充注密钥并利用充注密钥解开加密后的传输数据,获取完整的实际传输数据。
优选的,当存在大量传输数据时,将传输数据分为多个加密包,每个加密包的生成时间早于充注密钥的生成时间且该加密包的传输时间短于对应充注密钥的生命周期。这样避免过长的数据传输时间导致加密过程过长,降低了传输的效率。
本发明的有益效果:
和现有的量子加密方式一样,本发明通过量子加密方式提高通信过程的安全性。但是量子加密只能保证传输的通道安全,而对实际传输的数据并无加密。本发明还进一步通过部分充注密钥,在对传输的数据进行加密,这样即便在接收设备上存在安全隐患,泄露的数据依然存在保护,只有最终的电力系统业务服务器上才能获取真实的传输数据。这样的设计带来的效果在于:
初始密钥的发生充分利用了已有的量子密钥调度系统产生的充注密钥,无需额外购置加密设备。
以现有技术中的U盾或TF卡一次传输的充注密钥数量较大,通常能供配电终端设备使用数年之久,本发明将部分充注密钥转换为图形密钥给传输数据加密,这样的过程加快了充注密钥的使用速度,增加了充注密钥补充的频率,有利于系统的整体安全。
作为接收端的量子安全网关中没有任何解密信息,如果量子安全网关中被留有后门,攻击者只能获得加密过后的数据包,依然无法得知实际传输数据内容。
解密过程中需要采用图像识别装置,而普通解密方式中并不会涉及这样的设备,提高了破解的难度。
本发明的实施基于像素点的识别,这样对图像识别的精度要求较高。而现有技术中常见的窃取图像信息的手段,往往仅注重图像内容而忽视图像色彩信息,这样会使得包含充注密钥的图像即便被盗取,也会由于色彩失真导致无法破译。
附图说明
图1是本发明所涉及的量子加密通信系统整体方案示意图;
图2是本发明的具体系统结构示意图;
图3是本发明的流程示意图。
具体实施方式
下面结合附图和实施方式对本发明作进一步的详细说明。可以理解的是,此处所描述的具体实施方式仅用于解释相关内容,而非对本发明的限定。另外还需要说明的是,为了便于描述,附图中仅示出了与本发明相关的部分。
需要说明的是,在不冲突的情况下,本发明中的实施方式及实施方式中的特征可以相互组合。下面将参考附图并结合实施方式来详细说明本发明。
如图1所示,本发明包括一种基于配电终端设备的量子加密通信系统。
本发明所述的配电终端设备,不仅包括常规的智能分布式馈线终端、二遥动作型站所终端、智能分布式站所终端等,也包括连接有主机和相应传输设备的配电变压器、配电开关设备、低压开关设备、故障指示器、电源系统等。
本发明基于配电终端设备的量子加密通信系统包括:
量子密钥生成系统,主要用于利用量子特性生成量子密钥,为后续系统提供密钥支撑,其量子密钥来源可以包括利用量子密钥分发技术生成的量子密钥,也可以包括量子随机数生成的量子密钥,具体设备可包括量子密钥生成设备、量子随机数发生器等。
量子密钥调度系统,用于实现量子密钥在整个系统中的协调调度,其主要包括量子密钥安全服务平台以及量子密钥充注系统。主要功能为:量子密钥安全服务平台负责实现量子密钥的调度和协商,确保量子密钥可以安全有序的分发至量子密钥应用系统;量子密钥充注系统负责将量子密钥通过量子密钥芯片进行充注,并在量子密钥应用终端使用。量子密钥芯片包括U盾及TF卡。
量子密钥应用系统,利用量子密钥在电力5G网络中构建量子安全加密传输通道,提升5G传输通道的安全等级,包括连接至电力系统业务服务器的量子安全网关和连接到电力终端数据传输单元的配电终端设备。由于配电终端设备在远端站点,通过量子密钥芯片中的充注密钥与量子安全服务平台协商获取会话密钥。所述会话密钥可以是利用量子密钥分发技术生成的量子密钥,也可以是利用量子随机数发生器生成的量子密钥。具体的,量子安全服务平台利用与充注密钥相同的对称密钥通过“一次一密”的方式,将会话密钥加密传输至配电终端设备,配电终端设备通过量子密钥芯片的充注密钥,对加密的会话密钥进行解密,获取当前的会话密钥;量子安全网关与量子安全服务平台协商获取相同的会话密钥,并利用相关会话密钥实现对电力业务的加解密操作,通过5G专网进行信息的安全传输。这些设备和连接方式,在现有的量子加密技术中已经被广泛使用,在此对其具体原理不再进行复述。
本发明的配电终端设备内还设有基于充注密钥的数据传输加密装置,根据连接的电力终端数据传输单元的业务类型,所述数据传输加密装置从配电终端设备中随机提取部分充注密钥,提取的充注密钥对传输数据加密,并转化后生成图像;电力终端数据传输单元向电力系统业务服务器发送信息时,传输数据通过充注密钥进行加密;量子安全网关接收到加密后的传输数据,转发给电力系统业务服务器,在电力系统业务服务器中进行解密。
具体的说,所述配电终端设备内设有信息解析单元,所述信息解析单元用于判断经过配电终端设备发出的数据是否包含图像信息;这一步通常通过解析数据传输格式就能判断。对于连接电脑的配电终端设备而言,信息解析单元可以是安装在电脑中的一个程序。
当传输的数据中包含图像信息时,信息解析单元提取出图像信息。这个提取过程相对比较简单,即随机选取一张图像,将此图像复制并保证图像的精度足以放置所有充注密钥包含的信息。通过充注密钥加密其余传输数据,这部分充注密钥转化并隐藏在修改后的图像中,带有充注密钥的图像和其它图像存放在一起打包发送;
当传输的数据中不包含图像信息时,将传输数据由充注密钥加密,再将这部分充注密钥转化为带有坐标的像素点,形成图片格式,放置在传输数据包的注释中,记载像素坐标的数组以明文形式放置在注释末尾。
本发明所采用的电力系统业务服务器需要配置有图像解析的环境。通常需要包括显存为8G以上的显卡,以及32G以上的内存。而图形识别以及解密的功能是通过pycharmcommunity实现的。在一些高端的服务器中可以配置PyCharm Professional。
以下我们以具体实施方式来进行进一步的说明:
在未采用本发明技术方案前,量子密钥生成设备在实际应用的过程中,尤其在密钥更新的时候,经常会记录一些异常请求。虽然大部分异常请求被安全网关的安全策略屏蔽掉,但是依然存在较大的风险。 并且部分机房中有大量旧设备支持,而旧设备由于性能和较早的系统配置,里面可能存在无法弥补的漏洞和后门。例如量子安全网关可以是单独设计的设备,或者是在现有的5G通信设备上加载量子密钥生成与管理模块升级而成。有些机房购买的网关设备中不敢保证没有后门存在,一旦接收端在量子加密完成后的解密数据被完整复制盗取,则传输过程中的保密就毫无意义。
在以下实施例中我们均采用SGQ-3000量子IPSec VPN安全防护网关作为量子安全网关。
实施例1: 传输数据中已包含图像数据时:
一种基于量子加密的配电终端加密通信系统,量子密钥生成系统和量子密钥调度系统均设置在电力公司大楼中,且量子密钥生成系统选用的是量子随机数发生器,系统服务于一个开闭所和变电站主站之间通信的量子加密。
为确保变电站主站的安全性,在量子安全网关一侧还设有安全边界防火墙。而开闭所一侧的配电终端设备先通过U盾加载了充注密钥。传输数据中包括无人机拍摄的铁塔的电力检修航拍图,如图2、图3所示,包括配电终端设备获取充注密钥步骤和配电终端设备利用充注密钥获取量子密钥步骤;配电终端设备定期通过量子密钥芯片获取充注密钥;而配电终端设备利用充注密钥获取量子密钥步骤为配电终端设备和电力系统业务服务器建立通信连接前实施以下步骤:
S1. 对配电终端设备、电力系统业务服务器一侧的量子安全网关与量子安全服务平台分别进行配置,将配电终端设备的ID信息和电力系统业务服务器一侧的量子安全网关ID信息写入量子安全服务平台中的合法访问设备列表;配电终端设备和量子安全服务平台建立连接,确认连通性;
S2. 量子安全服务平台检查剩余量子密钥数量,量子密钥量低于阈值时导入新的量子密钥,否则进行下一步;
S3. 配电终端设备将充注密钥发送到量子安全服务平台,量子安全服务平台验证无误后通过量子密钥管理机分别向配电终端设备和电力系统业务服务器一侧的量子安全网关发送一组对应的量子密钥。本实施例中选用了量子密钥管理机为QKM-T500/QKM-T501。量子密钥管理机成对设置,与量子安全服务平台的密钥生成控制服务协作,控制所管辖的光路切换及量子密钥分发流程控制;与量子密钥管理服务系统的中继路由服务协作,获取密钥中继路由表,完成密钥中继流程,实现网络化量子密钥分发。产品配电终端设备和电力系统业务服务器一侧的量子安全网关之间通过这组量子密钥进行连接;
S4. 配电终端设备随机提取一组未使用的充注密钥对传输数据加密,并转化后生成图像;在本实施例中,已经包含了多张无人机拍摄的铁塔的电力检修航拍图,且为了保证检验精度,这些电力检修航拍图的图像分辨率均超过200万像素。确保转化后的像素点足以填充图像而不会溢出。传输的数据中包含图像信息时,将充注密钥进行转化后植入图像,作为对传输数据加密的充注密钥。具体步骤为:量子密钥生成模块取出一组充注密钥,量子密钥调度模块依次选取密钥中多组连续的数,每组数长度为8位,每三组数对应一个像素点,三组数按照顺序分别转化一个像素点的红、绿、蓝三颜色分量,配电终端设备内的数据转换单元根据充注密钥以及转换规则获取选取的数对应的所有像素点,提取任意一张图像,首先需要扫描图片,选择数量最多的相同颜色的像素点,将这些像素点的坐标作为背景图。然后从充注密钥中提取数值,例如从密钥中依次获取到“10011011”,“11100000”“00101010”,此时转化成像素点即为红:155,绿:224,蓝:42的类似鲜绿色的像素点。将该像素点放置在图片中非背景色位置。放置像素点可以从左往右,从上到下依次放置,重复操作直到将整个密钥分配完成。最后一个像素点如果数位不足,则由0代替。将像素点依次替换该图像上已有的前景像素点形成包含充注密钥的图像。完成后在图像信息中写入时间戳,所述时间戳内包括充注密钥转化时间和充注密钥生命周期。充注密钥生命周期超过后将自动破坏该图像,破坏方式包括删除或格式化。
传输前,用充注密钥里包含的内容对传输数据进行加密,充注密钥里包含的是一组几兆的二进制数,而二进制数选用8位后,转化为十进制的数值就是0-255之间的数字。而0-255也正好是RBG值中每个参数的数值范围,两者可以完美匹配。这样,将需要传输的数据通过充注密钥加密后,通过转化后的图像传递密钥信息,便于电力业务服务器解密。
配电终端设备A使用其量子安全存储介质的充注密钥RA1加密约定信息S1,形成Msg_A发送至量子安全网关B;
量子安全网关B接收到Msg_A后,从量子安全服务平台中调用RA1解密,验证配电终端设备A的接入合法性;并通知量子安全服务平台要在双方共享工作密钥;
量子安全服务平台从量子密钥分发网络中调用新鲜的量子密钥K,使用配电终端设备A的量子安全存储介质中的密钥RA2,以及量子安全网关B的量子安全存储介质中的密钥RB2进行异或操作,生成KK1 = K⊕RA2和KK2 = K⊕RB2,分别将KK1发送给终端A,将KK2发送给量子安全网关B;
配电终端设备A执行 K=KK1⊕RA2;量子安全网关B执行K=KK1⊕RB2,双方共享相同的密钥K;
配电终端设备A将加密后的传输数据上传,通过K加密发送给量子安全网关B;
量子安全网关B将获得的加密后的传输数据发送到电力业务服务器,电力业务服务器对加密后的传输数据进行解密,获取实际传输数据。
电力业务服务器获取传输数据后对加密后的传输数据进行解密,具体步骤为:
判断是否有未加密图像文件包。如有,在这个图像文件包中,带有充注密钥的图像里的图像和它的原图像内容相同,且构成图像前景的部分像素点颜色混乱且无序,电力业务服务器很容易将其找到,找到后通过从上至下、从左往右的顺序提取像素点信息,再将像素点信息还原成二进制数,最终获取解开的密钥。利用该密钥解开压缩包的密码即可获取实际传输数据,这样就避免了传输过程中带来的信息泄密问题。
由于电力系统现在也非常专注于图像识别技术领域,例如无人机巡检图像识别、红外探伤图像识别等,都需要图像识别设备和软件,因此常规配置的电力业务服务器都具有图像识别的能力。本发明巧妙地将密钥信息通过图片的形式发送到电力业务服务器上,安全可靠,且只需添加算法,无需额外的加密设备。
而别有用心者即便获取了发送的未加密图像文件包,也无法判断这些图片和密钥有何关系。而对于劫持或复制了传输数据内容的,无法得知加密信息的解码密钥就夹杂在这些图案中,也无法找到藏有解密信息的图像。而在电力业务服务器的正确的图像识别处理下会很容易找到带有密钥的图像。
最为关键的是,本发明对每个像素点的精度要求很高。而窃取者在窃取过程中由于依靠其他攻击软件,在获取图像信息时通常都会带来图像的失真,这样即便对方获得了图像依然无法实际还原出密钥。
实施例2:传输数据中不包含图像数据时。
设备配置和传输过程和实施例1相同,在此不再赘述。加密过程为:将充注密钥作为对传输数据加密的充注密钥,并转化生成图像。具体步骤为:将充注密钥记为一维数组img,并根据转换规则对数组img内每个数进行转换获取数组img1={p01,p02,p03,p04,p05,p06,…,p21,p22,p23,p24,…, pn*24},其中p01为第一个像素点的第一个红色分量子像素值,p02为第一个像素点的第一个绿色分量子像素值,p03为第一个像素点的第一个蓝色分量子像素值,p04为第一个像素点的第二个红色分量子像素值,p05为第一个像素点的第二个绿色分量子像素值, …,p24为第一个像素点的第8个蓝色分量子像素值,p n*24为对应最后一个像素点的最后一个像素点的蓝色分量子像素值。如果img1长度不是24的倍数,则将其长度补齐到24的倍数,最后补充的位置上的数值以0代替。例如转换后最后一组数组只有14位,分别为01001101001001;则将其补充到24位,即010 011 010 010 010 000 000 000;然后取出这个最后一个像素点的红色分量子像素值00000000,绿色分子量像素值11111000;以及蓝色像素值01000000;对应RGB:0,248,64。这样在最后一个像素点上填充对应的翠绿色。
这样的设置会使得解密后的密钥不唯一,但是在前面数值确定的情况下,后面的数字通过几次尝试就能确定,不会影响最终解密结果。充注密钥中为二进制数字,8位数字正好对应一个0-255的R或G或B值。建立二维坐标系,并生成数组key={k1,k2,…,k2n-1,k2n},key为一组正整数数组。其中k1为第一个像素点在建立的二维坐标系中的x轴坐标值,k2为第一个像素点在建立的二维坐标系中的y轴坐标值,k2n-1为第n个像素点在建立的二维坐标系中的x轴坐标值,k2n为第n个像素点在建立的二维坐标系中的y轴坐标值,该数组中生成的坐标不得重复。最后根据每个像素点的具体坐标以及对应的红、绿、蓝三色分量子像素值来生成包含充注密钥的图像。这样的方案适用于不带图像的数据传输,缺点在于转换步骤相对较多,解密时需要进行多次尝试导致转换效率相对较低,并且数组key通常只能以明文形式传输。
配电终端设备A使用其量子安全存储介质的充注密钥RA1加密约定信息S1,形成Msg_A发送至量子安全网关B;
量子安全网关B接收到Msg_A后,从量子安全服务平台中调用RA1解密,验证配电终端设备A的接入合法性;并通知量子安全服务平台要在双方共享工作密钥;
量子安全服务平台从量子密钥分发网络中调用新鲜的量子密钥K,使用配电终端设备A的量子安全存储介质中的密钥RA2,以及量子安全网关B中量子安全存储介质的密钥RB2进行异或操作,生成KK1 = K⊕RA2和KK2 = K⊕RB2,分别将KK1发送给终端A,将KK2发送给量子安全网关B;
配电终端设备A执行 K=KK1⊕RA2;量子安全网关B执行K=KK1⊕RB2,双方共享相同的密钥K;
配电终端设备A将加密后的传输数据上传,通过K加密发送给量子安全网关B;
量子安全网关B将获得的加密后的传输数据发送到电力业务服务器,电力业务服务器对加密后的传输数据进行解密,获取实际传输数据。
电力业务服务器获取传输数据后对加密后的传输数据进行解密。具体步骤为:
判断是否有未加密图像文件包。未发现图形文件包,则从压缩包的注释文件中找到密钥图像和对应的key,根据key指出的坐标从图像中依次找到对应像素点,依次提取这些像素点的RGB值,恢复到img1数组中,最终获取解密的密钥。
在这个过程中,有可能由于最后数组不是24的倍数导致最后几位数值有误,但是有误差的二进制数位置最多23位,可以通过穷举法快速确定。而整个密钥长度是兆级的,基本不少于100万位。这23位数字的误差可以接受并且还能给攻击者一定的误导。
实施例3:传输较大的文件时。
通常当存在大量传输数据时,将传输数据分为多个加密包,每个加密包需要单独配置一个充注密钥,且加密包的生成时间早于充注密钥转化时间且该加密包传输时间短于对应充注密钥生命周期。充注密钥的图像带有时间戳,所述时间戳内包括充注密钥的转化时间和充注密钥的生命周期。整个数据包只要超过了充注密钥的生命周期,就会自行销毁。在实际操作过程中,电力业务服务器和量子安全网关均能读取充注密钥的生命周期信息,同时将充注密钥的转化时间和设备中的时间相比较,该密钥实际存在时间大于等于充注密钥的生命周期的时长,则直接删除或破坏该传输数据,这样进一步提高了数据传输的安全性。
对于电力系统而言,电力业务服务器的安全等级非常高,很难被攻破,但是量子安全网关的数据接口是入侵的高发地带。尤其对于一些旧设备改造成量子安全网关的设备,其中依然可能有部分后门存在。为了保证电力业务服务器和量子安全网关之间的数据安全,本发明实际是直接采用充注密钥作为密钥对传输文件进行加密,但是这样的加密文件无法被电力业务服务器解密。因此需要将充注密钥转化并通过图片的形式进行传递。这样保证了传输的数据不会直接被破解,同时也充分利用了现有的资源,无需额外购买加密设备,起到了良好的效果。
需要说明的是,以各个工区普遍配置的电力业务服务器性能,在取得充注密钥后实际解密时间在20秒以内。这样的速度可以满足通常的数据交流,但是如果是对响应时间在毫秒级的紧急指令,是不适合采用本发明加密的,那些信息在发出前会作出鉴别,不进行加密直接发出。
在本说明书的描述中,参考术语“一个实施例/方式”、“一些实施例/方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例/方式或示例描述的具体特征、结构、材料或者特点包含于本申请的至少一个实施例/方式或示例中。在本说明书中,对上述术语的示意性表述不必须针对的是相同的实施例/方式或示例。而且,描述的具体特征、结构、材料或者特点可以在任一个或多个实施例/方式或示例中以合适的方式结合。此外,在不相互矛盾的情况下,本领域的技术人员可以将本说明书中描述的不同实施例/方式或示例以及不同实施例/方式或示例的特征进行结合和组合。
此外,术语“第一”、“第二”仅用于描述目的,而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此,限定有“第一”、“第二”的特征可以明示或者隐含地包括至少一个该特征。在本申请的描述中,“多个”的含义是至少两个,例如两个,三个等,除非另有明确具体的限定。
本领域的技术人员应当理解,上述实施方式仅仅是为了清楚地说明本发明,而并非是对本发明的范围进行限定。对于所属领域的技术人员而言,在上述公开的基础上还可以做出其它变化或变型,并且这些变化或变型仍处于本发明的范围内。
Claims (8)
1.基于配电终端设备的量子加密通信系统,其特征在于包括:
量子密钥生成设备,用于利用量子特性生成量子密钥;量子密钥调度系统,用于实现量子密钥在整个系统中的协调调度,其包括量子安全服务平台和量子密钥充注系统;量子密钥应用系统,利用量子密钥在电力网络中构建量子安全加密传输通道;其中,量子密钥应用系统包括连接至电力系统业务服务器的量子安全网关和连接到电力终端数据传输单元的配电终端设备;量子密钥充注系统向量子密钥芯片中加入充注密钥;量子密钥芯片接入配电终端设备,将充注密钥发送至配电终端设备;配电终端设备内还设有基于充注密钥的数据传输加密装置,基于连接的电力终端数据传输单元的业务类型,所述数据传输加密装置从配电终端设备中随机提取充注密钥对传输数据加密,并转化生成图像;电力终端数据传输单元向电力系统业务服务器发送信息时,传输数据通过充注密钥进行加密;量子安全网关接收到加密后的传输数据后转发给电力系统业务服务器,在电力系统业务服务器中进行解密;包括配电终端设备获取充注密钥步骤和配电终端设备利用充注密钥获取量子密钥步骤;配电终端设备定期通过量子密钥芯片获取充注密钥;配电终端设备利用充注密钥获取量子密钥,为配电终端设备和电力系统业务服务器建立通信连接前实施以下步骤:
S1. 对配电终端设备、电力系统业务服务器一侧的量子安全网关与量子安全服务平台分别进行配置,将配电终端设备的ID信息和电力系统业务服务器一侧的量子安全网关ID信息写入量子安全服务平台中的合法访问设备列表;配电终端设备和量子安全服务平台建立连接,确认连通性;
S2. 量子安全服务平台检查剩余量子密钥数量,量子密钥数量低于阈值时,导入新的量子密钥,否则进行下一步;
S3. 配电终端设备将充注密钥发送到量子安全服务平台,量子安全服务平台验证无误后,分别向配电终端设备和电力系统业务服务器一侧的量子安全网关发送一组对应的量子密钥,配电终端设备和电力系统业务服务器一侧的量子安全网关之间通过这组量子密钥进行连接;
S4. 配电终端设备随机提取一组未使用的充注密钥进行转化后生成图像,作为对传输数据加密的充注密钥;
S5. 利用充注密钥对传输数据进行加密;
其中量子密钥生成设备配置完成后的运行方式为:
配电终端设备A使用其量子安全存储介质的充注密钥RA1加密约定信息S1,形成Msg_A发送至量子安全网关B;
量子安全网关B接收到Msg_A后,从量子安全服务平台中调用RA1解密,验证配电终端设备A的接入合法性;并通知量子安全服务平台要在双方共享工作密钥;
量子安全服务平台从量子密钥分发网络中调用新鲜的量子密钥K,使用配电终端设备A的量子安全存储介质中的密钥RA2、量子安全网关B的量子安全存储介质中的密钥RB2进行异或操作,生成KK1 = K⊕RA2和KK2 = K⊕RB2,分别将KK1发送给配电终端设备A、将KK2发送给量子安全网关B;
配电终端设备A执行 K=KK1⊕RA2;量子安全网关B执行K=KK1⊕RB2,双方共享相同的密钥K;配电终端设备A将加密后的传输数据上传,通过密钥K加密发送给量子安全网关B;量子安全网关B将获得的加密后的传输数据发送到电力业务服务器,电力业务服务器对加密后的传输数据进行解密,获取实际传输数据。
2.如权利要求1所述的基于配电终端设备的量子加密通信系统,其特征在于:所述配电终端设备内设有信息解析单元,所述信息解析单元用于判断经过配电终端设备发出的数据是否包含图像信息;当传输的数据中包含图像信息时,随机选取一张图像,将此图像复制并保证图像的精度足以放置所有充注密钥包含的信息;通过充注密钥加密传输数据,这部分充注密钥对传输数据加密,并转化生成图像,带有充注密钥的图像和其它图像存放在一起打包发送;当传输的数据中不包含图像信息时,传输数据由充注密钥加密并将充注密钥转化生成图像,即转化为带有坐标的像素点,形成图片格式,放置在传输数据包的注释中,记载像素坐标的数组以明文形式放置在注释末尾。
3.根据权利要求1所述的基于配电终端设备的量子加密通信系统,其特征在于,当传输的数据中包含图像信息时,充注密钥对传输数据加密,并转化生成图像,具体步骤为:量子密钥生成模块取出一组充注密钥,量子密钥调度模块依次选取充注密钥中多组连续的数,每组数长度为8位,每三组数对应一个像素点,三组数按照顺序分别转化一个像素点的红、绿、蓝三颜色分量,配电终端设备内的数据转换单元根据充注密钥以及转换规则获取选取的数对应的所有像素点,提取任意一张图像,密钥转换单元将像素点依次替换该图像上已有的前景像素点形成包含充注密钥的图像。
4.根据权利要求1所述的基于配电终端设备的量子加密通信系统,其特征在于,当传输的数据中不包含图像信息时,充注密钥对传输数据加密,并转化生成图像,具体步骤为:将充注密钥记为一维数组img,并根据转换规则对数组img内每个数进行转换,即获取数组img1={p01,p02,p03,p04,p05,p06,…,p21,p22,p23,p24,…,pn*24},其中p01为第一个像素点的第一个红色分量子像素值,p02为第一个像素点的第一个绿色分量子像素值,p03为第一个像素点的第一个蓝色分量子像素值,p04为第一个像素点的第二个红色分量子像素值,p05为第一个像素点的第二个绿色分量子像素值,…,p24为第一个像素点的第8个蓝色分量子像素值,p n*24为对应最后一个像素点的蓝色分量子像素值;
建立二维坐标系,生成数组key={k1,k2,…,k2n-1,k2n},key为一组正整数数组;其中k1为第一个像素点在建立的二维坐标系中的x轴坐标值,k2为第一个像素点在建立的二维坐标系中的y轴坐标值,k2n-1为第n个像素点在建立的二维坐标系中的x轴坐标值,k2n为第n个像素点在建立的二维坐标系中的y轴坐标值;该数组中生成的坐标不得重复;最后根据每个像素点的具体坐标以及对应的红、绿、蓝三色分量子像素值来生成包含充注密钥的图像。
5.根据权利要求4所述的基于配电终端设备的量子加密通信系统,其特征在于,数组img中的数位转化后不是24的倍数时,用0补齐缺少的数位形成数组img1。
6.根据权利要求4或5所述的基于配电终端设备的量子加密通信系统,其特征在于,所述充注密钥的图像带有时间戳,所述时间戳内包括充注密钥转化时间和充注密钥生命周期。
7.根据权利要求4所述的基于配电终端设备的量子加密通信系统,其特征在于,电力业务服务器对加密后的传输数据进行解密的具体步骤为:判断传输数据中是否有未加密的图像文件包,如有,则从其中通过像素特征找到包含充注密钥的图像;否则从传输数据包的注释末尾找到包含充注密钥的图像和数组key;
根据图像所在位置不同,采用不同的方式解析图像,从图像的像素点中还原出充注密钥并利用充注密钥解密加密后的传输数据,获取完整的实际传输数据。
8.根据权利要求1所述的基于配电终端设备的量子加密通信系统,其特征在于,当存在大量传输数据时,将传输数据分为多个加密包,每个加密包的生成时间早于充注密钥的转化时间且该加密包的传输时间短于对应充注密钥的生命周期。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111437064.4A CN113872762B (zh) | 2021-11-29 | 2021-11-29 | 基于配电终端设备的量子加密通信系统及其使用方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202111437064.4A CN113872762B (zh) | 2021-11-29 | 2021-11-29 | 基于配电终端设备的量子加密通信系统及其使用方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN113872762A CN113872762A (zh) | 2021-12-31 |
CN113872762B true CN113872762B (zh) | 2022-03-25 |
Family
ID=78985318
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202111437064.4A Active CN113872762B (zh) | 2021-11-29 | 2021-11-29 | 基于配电终端设备的量子加密通信系统及其使用方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN113872762B (zh) |
Families Citing this family (7)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN114499853B (zh) * | 2022-02-11 | 2022-11-15 | 浙江国盾量子电力科技有限公司 | 基于5g和量子加密的配电站视频传输通信系统及方法 |
CN114697092B (zh) * | 2022-03-18 | 2023-11-03 | 国网浙江省电力有限公司绍兴市上虞区供电公司 | 融合量子加密和零信任的数据加密控制系统 |
CN114745109B (zh) * | 2022-04-06 | 2024-07-09 | 国网浙江省电力有限公司宁波供电公司 | 基于量子加密的配电终端加密通信系统及方法 |
CN114844639B (zh) * | 2022-07-04 | 2022-09-06 | 中国长江三峡集团有限公司 | 基于量子密钥的数据传输方法、系统及存储介质 |
CN115270164B (zh) * | 2022-09-28 | 2022-12-13 | 佳卓智能科技(南通)有限责任公司 | 基于微服务架构的传输数据安全监测的方法 |
CN115567205A (zh) * | 2022-09-29 | 2023-01-03 | 中电信量子科技有限公司 | 采用量子密钥分发实现网络会话数据流加解密方法及系统 |
CN117938385B (zh) * | 2024-03-21 | 2024-05-31 | 合肥工业大学 | 一种基于充电站的车辆量子密钥充注系统及充注方法 |
Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281136A (zh) * | 2011-07-28 | 2011-12-14 | 中国电力科学研究院 | 用于电动汽车智能充电网络安全通信的量子密钥分配系统 |
CN109087232A (zh) * | 2018-07-26 | 2018-12-25 | 合肥同佑电子科技有限公司 | 一种在防伪造图像中嵌入密钥的方法 |
CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
CN113037486A (zh) * | 2021-05-24 | 2021-06-25 | 国网浙江省电力有限公司杭州供电公司 | 一种基于量子加固的配电自动化信息加密方法 |
CN113297613A (zh) * | 2021-05-12 | 2021-08-24 | 捷德(中国)科技有限公司 | 密钥存取方法、密钥处理装置、设备及计算机存储介质 |
CN113612596A (zh) * | 2021-07-02 | 2021-11-05 | 重庆邮电大学 | 一种基于超混沌系统的图像自解密方法 |
Family Cites Families (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN1725681A (zh) * | 2004-07-19 | 2006-01-25 | 松下电器产业株式会社 | 可动态产生密钥的密钥连结方法及其应用 |
JP2010136206A (ja) * | 2008-12-05 | 2010-06-17 | Toshiba Corp | 画像処理方法及び画像処理装置 |
CN110581760A (zh) * | 2018-06-07 | 2019-12-17 | 科大国盾量子技术股份有限公司 | 用于电力调度业务的量子纵向加密设备、系统及加密方法 |
CN108880800B (zh) * | 2018-07-03 | 2020-12-11 | 北京智芯微电子科技有限公司 | 基于量子保密通信的配用电通信系统及方法 |
-
2021
- 2021-11-29 CN CN202111437064.4A patent/CN113872762B/zh active Active
Patent Citations (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN102281136A (zh) * | 2011-07-28 | 2011-12-14 | 中国电力科学研究院 | 用于电动汽车智能充电网络安全通信的量子密钥分配系统 |
CN109087232A (zh) * | 2018-07-26 | 2018-12-25 | 合肥同佑电子科技有限公司 | 一种在防伪造图像中嵌入密钥的方法 |
CN109412794A (zh) * | 2018-08-22 | 2019-03-01 | 南京南瑞国盾量子技术有限公司 | 一种适应电力业务的量子密钥自动充注方法及系统 |
CN113297613A (zh) * | 2021-05-12 | 2021-08-24 | 捷德(中国)科技有限公司 | 密钥存取方法、密钥处理装置、设备及计算机存储介质 |
CN113037486A (zh) * | 2021-05-24 | 2021-06-25 | 国网浙江省电力有限公司杭州供电公司 | 一种基于量子加固的配电自动化信息加密方法 |
CN113612596A (zh) * | 2021-07-02 | 2021-11-05 | 重庆邮电大学 | 一种基于超混沌系统的图像自解密方法 |
Also Published As
Publication number | Publication date |
---|---|
CN113872762A (zh) | 2021-12-31 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN113872762B (zh) | 基于配电终端设备的量子加密通信系统及其使用方法 | |
EP2697931B1 (en) | Qkd key management system | |
CN108574569B (zh) | 一种基于量子密钥的认证方法及认证装置 | |
CN108683501B (zh) | 基于量子通信网络的以时间戳为随机数的多次身份认证系统和方法 | |
US20090006852A1 (en) | Method and Apparatus for Securing Unlock Password Generation and Distribution | |
CN108650028B (zh) | 基于量子通信网络与真随机数的多次身份认证系统和方法 | |
EP2745212A1 (en) | Virtual zeroisation system and method | |
CN109995530B (zh) | 一种适用于移动定位系统的安全分布式数据库交互系统 | |
CN110505053B (zh) | 一种量子密钥充注方法、装置及系统 | |
CN113489710B (zh) | 一种文件共享方法、装置、设备和存储介质 | |
CN111224958A (zh) | 一种数据传输方法和系统 | |
CN114499857A (zh) | 一种实现大数据量子加解密中数据正确性与一致性的方法 | |
CN114697082A (zh) | 一种无服务器环境的加解密装置的生产及应用方法 | |
CN111490874B (zh) | 一种配网安全防护方法、系统、装置及存储介质 | |
CN111489462B (zh) | 一种个人用蓝牙钥匙系统 | |
CN111563980B (zh) | 一种蓝牙锁钥匙生成与认证方法 | |
CN115242785B (zh) | 桌面云服务器与终端安全通信方法 | |
CN111541652B (zh) | 一种用于提高秘密信息保管及传递安全性的系统 | |
CN109120589B (zh) | 一种基于加密密码的终端信息保护方法和装置 | |
CN111489461B (zh) | 一种集团用蓝牙钥匙系统 | |
CN114173303A (zh) | Ctcs-3级列控系统车地会话密钥生成方法和系统 | |
CN111431846A (zh) | 数据传输的方法、装置和系统 | |
CN111901101B (zh) | 一种密钥更新方法与系统 | |
CN220475843U (zh) | 一种大型活动中的活动区域安全管理系统 | |
CN111162901B (zh) | 非sim终端的应用共享密钥获取方法 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |