CN114398627A - 一种基于零信任的电力调度量子密码云应用系统及方法 - Google Patents

一种基于零信任的电力调度量子密码云应用系统及方法 Download PDF

Info

Publication number
CN114398627A
CN114398627A CN202210093598.8A CN202210093598A CN114398627A CN 114398627 A CN114398627 A CN 114398627A CN 202210093598 A CN202210093598 A CN 202210093598A CN 114398627 A CN114398627 A CN 114398627A
Authority
CN
China
Prior art keywords
power
quantum
service
zero
trust
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202210093598.8A
Other languages
English (en)
Inventor
冯宝
赵高峰
黄海东
霍雪松
卞宇翔
张天兵
贾玮
裴培
白晨阳
王海清
刘苇
吕超
完颜绍澎
胡倩倩
朱雪阳
李洋
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Nanjing Nanrui Guodun Quantum Technology Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Original Assignee
Nanjing Nanrui Guodun Quantum Technology Co ltd
State Grid Corp of China SGCC
State Grid Jiangsu Electric Power Co Ltd
Nari Information and Communication Technology Co
State Grid Electric Power Research Institute
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Nanjing Nanrui Guodun Quantum Technology Co ltd, State Grid Corp of China SGCC, State Grid Jiangsu Electric Power Co Ltd, Nari Information and Communication Technology Co, State Grid Electric Power Research Institute filed Critical Nanjing Nanrui Guodun Quantum Technology Co ltd
Priority to CN202210093598.8A priority Critical patent/CN114398627A/zh
Publication of CN114398627A publication Critical patent/CN114398627A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/30Authentication, i.e. establishing the identity or authorisation of security principals
    • G06F21/45Structures or tools for the administration of authentication
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/602Providing cryptographic facilities or services
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/64Protecting data integrity, e.g. using checksums, certificates or signatures
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q10/00Administration; Management
    • G06Q10/06Resources, workflows, human or project management; Enterprise or organisation planning; Enterprise or organisation modelling
    • G06Q10/063Operations research, analysis or management
    • G06Q10/0631Resource planning, allocation, distributing or scheduling for enterprises or organisations
    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06QINFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
    • G06Q50/00Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
    • G06Q50/06Energy or water supply

Landscapes

  • Engineering & Computer Science (AREA)
  • Business, Economics & Management (AREA)
  • Theoretical Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Human Resources & Organizations (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Economics (AREA)
  • Health & Medical Sciences (AREA)
  • General Engineering & Computer Science (AREA)
  • General Health & Medical Sciences (AREA)
  • Software Systems (AREA)
  • Strategic Management (AREA)
  • Computer Hardware Design (AREA)
  • Bioethics (AREA)
  • Marketing (AREA)
  • Entrepreneurship & Innovation (AREA)
  • Tourism & Hospitality (AREA)
  • General Business, Economics & Management (AREA)
  • Development Economics (AREA)
  • Water Supply & Treatment (AREA)
  • Primary Health Care (AREA)
  • Educational Administration (AREA)
  • Public Health (AREA)
  • Game Theory and Decision Science (AREA)
  • Operations Research (AREA)
  • Quality & Reliability (AREA)
  • Mobile Radio Communication Systems (AREA)

Abstract

本发明公开了一种基于零信任的电力调度量子密码云应用系统及方法,该系统包括电力调度系统、零信任平台和量子密码云平台;基于零信任平台对电力调度业务交互实体进行动态统一身份认证和安全行为持续分析,并动态管控量子密钥获取和业务数据交互权限,保证业务交互实体的身份可信、行为可知、权限可控。利用量子密钥对业务数据进行传输加密、存储加密和运算加密,提高电力调度业务数据交互、存储和使用的安全性。

Description

一种基于零信任的电力调度量子密码云应用系统及方法
技术领域
本发明涉及一种基于零信任的电力调度量子密码云应用系统及方法,属于电力通信技术领域。
背景技术
当前,电力调度系统安全防护措施主要包括身份认证、数据加密及内外网隔离等多个层面。其中,内外网隔离基于物理隔离方式,安全性高。但随着新型电力系统建设,传统的信息安全防护边界日益模糊,对现有的身份认证、数据加密方式提出了挑战。
在身份认证层面,当前电力调度系统身份认证一般基于证书方式,采用“一次认证、默认安全”的权限控制策略,业务终端/数据访问客户端一旦通过系统认证后,在业务交互过程中/会话有效期内不再重新验证身份,其可持续拥有电力调度系统访问权限。此时,即使业务终端/数据访问客户端进行了异常操作/不安全的操作/甚至超出权限范围的操作,电力调度系统也无法识别,存在较大的安全风险。在电力调度系统内部,缺少对内部人员的行为监测。在电力调度系统外部,尤其是在新型电力系统中,海量分布式新能源、多元负荷接入调度系统,出现了大量的半可信终端和不可信终端。以上人员或终端一旦通过系统认证后,将产生巨大的安全风险。
在数据加密层面,电力调度系统普遍基于电力光纤专网和符合国密要求的电力专用算法保证业务数据的传输安全,受制于内网环境和现有算力水平,安全性可以得到较好保障。然而,随着新型电力系统建设,海量新能源终端接入调度系统,受制于成本、施工难度等原因,在电网末端无法实现光纤全覆盖,需要采用无线公网等方式,信道安全风险陡增,容易受到外部攻击。同时,由于电力调度系统部署于电力内网,一般基于内网安全假设,在数据调用过程采用直接从数据库读取明文方式,存在业务数据泄漏风险。未来,随着量子计算技术的发展,现有的加密体系也面临很大的安全风险。
综上,目前对电力调度业务数据的安全增强,并未实现全过程安全提升。
发明内容
本发明的目的在于提供一种基于零信任的电力调度量子密码云应用系统及方法,基于零信任理念和量子保密通信技术,在身份认证、数据加密等多个层面,从业务交互实体、业务通信通道和业务数据处理等层面对电力调度系统安全防护方案进行端到端、全过程的安全提升。
为达到上述目的,本发明采用的技术方案如下:
本发明提供一种基于零信任的电力调度量子密码云应用系统,包括:电力调度系统、零信任平台和量子密码云平台;
所述电力调度系统与量子密码云平台、零信任平台相连;所述量子密码云平台和零信任平台相连;
所述量子密码云平台用于为电力调度系统供给量子密钥以及对量子密钥进行管理;
所述电力调度系统用于采集电力调控业务数据,以及基于所述量子密码云平台提供的量子密钥上传电力调控业务数据以及下发控制指令;
所述零信任平台用于进行电力调度系统交互实体的统一身份认证,生成权限管理策略,将生成的权限管理策略发送至量子密码云平台和电力调度系统;以及对电力调度系统交互实体进行安全行为分析,并根据分析结果更新权限管理策略。
进一步的,所述电力调度系统包括部署于业务终端侧的电力调度业务终端和终端电力量子纵向加密认证装置,以及,部署于业务主站侧的电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云和微应用。
进一步的,所述电力调度系统交互实体是指电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云、微应用、零信任平台和量子密码云平台中的任意一个。
进一步的,所述零信任平台和量子密码云平台均部署于业务主站侧。
进一步的,所述零信任平台和量子密码云平台均通过API接口与电力调控云相连;
所述电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站和主站电力量子纵向加密认证装置均通过FE网口与量子密码云平台相连。
进一步的,所述零信任平台具体用于,
进行电力调度业务交互实体与零信任平台之间的统一身份认证;以及具有数据交互的电力调度业务交互实体之间的身份认证。
进一步的,所述零信任平台具体用于,
在电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证,生成初始权限管控策略;所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥,获取量子密钥的长度、更新频度和总量;以及,允许/拒绝建立通信链接,允许/拒绝访问/操作电力调度系统业务数据;
以及,
在电力调度业务交互实体数据交互过程中,持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量,根据分析结果触发动态统一身份认证,生成动态权限管控策略。
进一步的,所述量子密码云平台具体用于,
如果电力调度业务交互实体与量子密码云平台相连,则直接向电力调度业务交互实体供给量子密钥;
如果电力调度业务交互实体没有与量子密码云平台相连,则向电力调控云供给量子密钥,电力调度业务交互实体从电力调控云获取量子密钥。
进一步的,所述量子密码云平台具体用于,
对量子密钥的生成、分发、存储、备份、更新、撤销、归档、恢复以及安全进行全生命周期管理。
本发明还提供一种基于零信任的电力调度数据传输方法,包括:
通过前述的零信任平台对电力调度业务交互实体进行统一身份认证,生成权限管控策略;
统一身份认证通过且获取权限后,通过前述的量子密码云平台向电力调度业务交互实体供给量子密钥;
基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输。
进一步的,所述权限管控策略包括量子密钥获取权限和业务数据交互权限。
进一步的,所述对电力调度业务交互实体进行统一身份认证包括:
电力调度业务交互实体与零信任平台之间的统一身份认证;
以及,
具有数据交互的电力调度业务交互实体之间的身份认证。
进一步的,所述对电力调度业务交互实体进行统一身份认证,认证方式至少包括身份信息认证、行为信息认证和安全凭证认证中的任意两种;
所述身份信息包括MAC地址、用户生理特征、手机验证码和邮箱验证链接;
所述行为信息包括申请通信资源、业务数据读写和修改权限;
所述安全凭证包括数字证书和数字签名。
进一步的,所述对电力调度业务交互实体进行统一身份认证包括初始统一身份认证和动态统一身份认证两种方式;
电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证,生成初始权限管控策略;所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥,获取量子密钥的长度、更新频度和总量;以及,允许/拒绝建立通信链接,允许/拒绝访问/操作电力调度系统业务数据;
数据交互过程中,满足相应的触发条件时进行动态统一身份认证,生成动态权限管控策略;
所述触发条件包括重新建立通信链接或业务会话时;当前通信链接或业务会话申请更高权限时;以及,根据安全行为持续分析结果需要重新认证时;
所述动态权限管控策略包括:维持当前权限,收回当前全部权限,指定收回当前某个权限,增加新的权限以及进行二次身份认证。
进一步的,所述向电力调度业务交互实体供给量子密钥,包括以下两种方式:
通过量子密码云平台直接向电力调度业务交互实体供给量子密钥;
通过量子密码云平台向电力调控云供给量子密钥,电力调度业务交互实体从电力调控云获取量子密钥。
进一步的,所述基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输包括:
电力调度业务终端采用获取的量子密钥对数据进行加密,以及主站和终端电力量子纵向加密认证装置采用获取的量子密钥建立加密隧道;
通过加密隧道将加密后的数据传输至电力调度业务主站;
电力调度业务主站将接收到的数据存储到电力调控云;
微应用采用同态加密技术对电力调控云端加密数据进行运算,并通过API接口获取的量子密钥进行解密运算。
进一步的,还包括:持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量,根据分析结果触发动态统一身份认证。
进一步的,所述电力调度业务交互实体之间的本体行为包括:安全凭证查验、身份信息认证、数据交互行为感知和业务数据处理权限;
电力调度业务交互实体之间的业务数据包括:电力调度业务终端状态量采集类数据和电力调度业务主站控制类数据的数据包类型、数据包大小、数据采集周期、数据采集触发条件,以及电力调度人员对电力调控云的访问时间、访问地点、访问时长、访问载体、访问的业务数据;
电力调度业务交互实体之间的网络流量包括:周期性流量或突发性流量、点对点流量或汇聚型流量、流量方向、流量阈值和流量交互方式。
进一步的,所述触发动态统一身份认证的触发条件为以下任意一种:
电力调度业务交互实体申请新的权限;
电力调度业务交互实体之间的本体行为、业务数据或网络流量发生变化;
达到设定的时间周期。
本发明的有益效果为:
(1)本发明基于零信任平台对电力调度业务交互实体进行持续性身份认证、安全行为分析和精益化权限管理,解决了当前“一次认证、默认安全”的权限控制策略可能存在的权限蔓延问题,可有效保证量子密钥获取和电力调度业务数据交互过程的身份可信、行为可知、权限可控。
(2)本发明在“身份可信、行为可知、权限可控”的基础上,融合量子保密通信技术,基于量子密钥对业务数据进行传输加密、存储加密和运算加密,将量子保密通信技术的应用场景从传输通道加密扩展到存储加密和运算加密,可有效提升电力调度业务数据交互、存储和使用的安全性。
(3)本发明基于零信任理念和量子保密通信技术,在身份认证、数据加密等多个层面,从业务交互实体、业务通信通道和业务数据处理等层面对电力调度系统安全防护方案进行端到端、全过程的安全提升,从而保证电力系统的安全、稳定、高效和可靠调度,提升供电可靠性。
附图说明
图1为本发明实施例提供的一种基于零信任的电力调度量子密码云应用系统架构。
图2为本发明实施例提供的一种基于零信任的电力调度数据传输方法流程图。
具体实施方式
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。
本发明的一个实施例提供一种基于零信任的电力调度量子密码云应用系统,参见图1,由电力调度系统、零信任平台、量子密码云平台组成。
具体的,电力调度系统由部署于业务终端侧的电力调度业务终端和终端电力量子纵向加密认证装置,以及,部署于业务主站侧的电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云和电力调控云微应用组成。电力调度系统主要用于实现电力调控业务数据的采集、控制指令的下发等功能。电力调度系统通过API接口或物理接口与量子密码云平台、零信任平台互联互通。
零信任平台部署于业务主站侧,主要用于实现电力调度系统所有交互实体的动态统一身份认证、安全行为持续分析、权限动态管控等功能。零信任平台通过API接口与电力调控云互联互通。
量子密码云平台部署于业务主站侧,主要用于实现电力调度系统量子密钥供给、使用和管理等功能,通过API接口或物理接口与电力调度业务交互实体互联互通。
需要说明的是,电力调度业务交互实体包括电力调度业务终端、电力调度业务主站、电力量子纵向加密认证装置、量子密码云平台、电力调控云、电力调控云微应用等。
本发明的另一个具体实施例提供的基于零信任的电力调度数据传输方法,实现过程参见图2,包括以下步骤:
步骤1:搭建由电力调度系统、零信任平台、量子密码云平台组成的基于零信任的电力调度量子密码云应用系统。
步骤2:利用零信任平台对电力调度业务交互实体进行初始/动态统一身份认证,生成初始权限管控策略/动态更新权限管控策略。
步骤3:根据零信任平台初始权限管理策略,量子密码云平台向电力调度业务交互实体供给量子密钥,并进行量子密钥管理。
步骤4:基于量子密码云平台供给的量子密钥进行电力调度系统业务数据的传输加密、存储加密及电力调控云数据的运算加密。
步骤5:收集并持续分析电力调度业务交互实体之间的本体行为、业务数据、网络流量等特征,根据安全行为分析结果重复步骤2-4。
本实施例中,利用零信任平台对电力调度业务交互实体进行统一身份认证,包括两个层面:一是,电力调度业务交互实体与零信任平台之间的统一身份认证;二是,具有数据交互的电力调度业务交互实体之间的身份认证。
其中具有数据交互的电力调度业务交互实体包括:用于构建业务通道的电力调度业务终端和电力调度业务主站之间,用于构建通信通道的两台电力量子纵向加密认证装置之间,用于构建量子密钥获取通道的电力调度业务终端、电力调度业务主站、电力量子纵向加密认证装置、电力调控云、电力调控云微应用与量子密码云平台之间。
需要说明的是,利用零信任平台对电力调度业务交互实体进行统一身份认证包括两种情况:一是进行初始统一身份认证;二是进行动态统一身份认证。进行初始统一身份认证生成初始权限管控策略,进行动态统一身份认证生成动态更新权限管控策略。
进一步的,初始/动态统一身份认证采用多因子认证方式,认证方式至少包括MAC地址/用户生理特征/手机验证码/邮箱验证链接等具备唯一性的身份信息、申请通信资源/业务数据读写改权限等行为信息、数字证书/数字签名等安全凭证中的至少两种及以上。
进一步的,初始权限管控策略包括量子密钥获取和业务数据交换两个层面。其中,量子密钥获取包括允许/拒绝从量子密码云平台获取量子密钥,获取量子密钥的长度、更新频度、总量等;业务数据交互包括允许/拒绝建立通信链接、允许/拒绝访问/操作电力调度系统业务数据等。
进一步的,动态统一身份认证基于零信任理念进行触发条件,具体包括以下情况:①重新建立通信链接或业务会话时;②当前通信链接或业务会话申请更高权限时;③依据步骤5安全行为持续分析结果,认为需要重新认证时。
动态更新权限管控策略包括:①维持当前权限,即保持当前量子密钥获取权限、通信链接、加密通道、业务通道和业务数据处理权限;②收回/部分收回当前权限,即全部收回当前量子密钥获取、通信链接、加密通道、业务通道和业务数据处理权限,或仅收回其一;③增加新的权限以及进行二次身份认证等。
更进一步的,动态更新权限管控策略采用最小化原则,包括量子密钥获取和业务数据交互两个层面。①量子密钥获取权限可进一步细化为:电力调度业务交互实体与量子密码云平台之间建立获取量子密钥会话的请求、应答、连接、关闭;以及获取量子密钥的长度、更新频度、总量等。②业务数据交互权限可进一步细化为电力调度业务交互实体之间通信链接、加密通道、业务通道的请求、应答、连接、关闭;以及电力调度业务数据处理过程中,针对不同电力调度业务交互实体的权限等级,除设置读、写、改、删等大颗粒操作权限,还进一步的设置上述操作的数据对象、时间段、特定字段等细粒度权限。
本实施例中,量子密码云平台向电力调度业务交互实体供给量子密钥的前置条件为:业务交互实体之间均通过零信任平台完成了动态统一身份认证,并获取初始的量子密钥获取权限和业务数据交互权限。
其中,统一身份认证过程包括:主站侧和终端侧的电力量子纵向加密认证装置之间身份认证通过并建立通信通道,确保从量子密码云平台获取同步的量子密钥;电力调度业务终端和电力调度业务主站之间身份认证通过,确保从量子密码云平台获取同步的量子密钥;电力调度业务主站和电力调控云/微应用之间身份认证通过,确保从量子密码云平台获取同步的量子密钥;量子密码云平台与电力调度业务交互实体之间身份认证通过并建立通信通道,确保从量子密码云平台获取同步的量子密钥。
进一步的,量子密钥供给方式包括通过与量子密码云设备物理接口(如FE网口)直接相连获取(如电力量子纵向加密认证装置、电力调度业务主站等)、和通过API接口经电力调控云获取(如电力调控云微应用等)两种方式。
本实施例中,量子密码云平台的量子密钥管理功能具体包括:量子密钥的生成、分发、存储、备份、更新、撤销、归档、恢复以及安全管理等全生命周期管理。
本实施例中,量子密码云平台为电力调度业务终端和电力调度业务主站提供同步的量子密钥分别用于加密和解密过程;
具体的,电力调度系统业务数据的加密传输包括两个层面:一是,业务数据层面的加密传输,即电力调度业务终端和电力调度业务主站之间采用量子密钥进行数据加解密;二是,通信通道层面的加密传输,即成对的电力量子纵向加密认证装置之间采用量子密钥建立加密隧道进行业务数据的加密传输和解密落地。
电力调度系统业务数据的安全存储主要是基于从量子密码云平台获取的量子密钥对电力调度业务数据进行安全存储。
电力调控云数据的加密运算采用同态加密技术,对经量子密钥加密后的电力调度业务数据密文进行操作,计算得出想要的结果。
本实施例中,电力调度业务交互实体的本体行为包括安全凭证查验、身份信息认证、数据交互行为感知、业务数据处理权限等。
业务交互实体的业务数据包括业务终端状态量采集类数据和业务主站控制类数据的数据包类型、数据包大小、数据采集周期、数据采集触发条件,以及电力调度人员对电力调控云系统的访问时间、访问地点、访问时长、访问载体、访问的业务数据等。
业务交互实体的网络流量特征包括周期性流量或突发性流量、点对点流量或汇聚型流量、流量方向、流量阈值、流量交互方式等。
具体的,安全行为持续分析的触发条件包括:①业务交互实体申请新的权限;②前述多个业务交互实体之间的本体行为、业务数据、网络流量特征发生变化;③除前述两种情况之外,在设定的固定时间周期之后。该周期根据业务交互实体的权限进行设置,对业务终端进行远程控制的实体,可设置为秒级;对于业务终端仅进行信息采集的实体,可设置为分钟级。
安全行为持续分析结果为变化,或安全行为持续分析结果未变化,但在固定时间周期之后,重复步骤2-4。所述固定的时间周期根据业务访问时长确定。
相关技术术语的名词解释
零信任理论:根据NIST定义,零信任是一组不断演进的网络安全范式,它将网络防御的重心从静态的、基于网络的边界转移到了用户、设备和资源上。零信任安全模型假设网络上已经存在攻击者,并且企业自有的网络基础设施(内网)与其他网络(如公网)没有任何不同,不再默认内容是可信的。
量子保密通信理论:基于量子不可分割、不可克隆、测不准等量子力学基本原理,实现量子密钥的远距离安全分发。基于量子密钥和香农“一次一密”理论,可实现业务数据的安全传输。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
最后应当说明的是:以上实施例仅用以说明本发明的技术方案而非对其限制,尽管参照上述实施例对本发明进行了详细的说明,所属领域的普通技术人员应当理解:依然可以对本发明的具体实施方式进行修改或者等同替换,而未脱离本发明精神和范围的任何修改或者等同替换,其均应涵盖在本发明的权利要求保护范围之内。

Claims (19)

1.一种基于零信任的电力调度量子密码云应用系统,其特征在于,包括:电力调度系统、零信任平台和量子密码云平台;
所述电力调度系统与量子密码云平台、零信任平台相连;所述量子密码云平台和零信任平台相连;
所述量子密码云平台用于为电力调度系统供给量子密钥以及对量子密钥进行管理;
所述电力调度系统用于采集电力调控业务数据,以及基于所述量子密码云平台提供的量子密钥上传电力调控业务数据以及下发控制指令;
所述零信任平台用于进行电力调度系统交互实体的统一身份认证,生成权限管理策略,将生成的权限管理策略发送至量子密码云平台和电力调度系统;以及对电力调度系统交互实体进行安全行为分析,并根据分析结果更新权限管理策略。
2.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述电力调度系统包括部署于业务终端侧的电力调度业务终端和终端电力量子纵向加密认证装置,以及,部署于业务主站侧的电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云和微应用。
3.根据权利要求2所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述电力调度系统交互实体是指电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云、微应用、零信任平台和量子密码云平台中的任意一个。
4.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述零信任平台和量子密码云平台均部署于业务主站侧。
5.根据权利要求2所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述零信任平台和量子密码云平台均通过API接口与电力调控云相连;
所述电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站和主站电力量子纵向加密认证装置均通过FE网口与量子密码云平台相连。
6.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述零信任平台具体用于,
进行电力调度业务交互实体与零信任平台之间的统一身份认证;以及具有数据交互的电力调度业务交互实体之间的身份认证。
7.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述零信任平台具体用于,
在电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证,生成初始权限管控策略;所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥,获取量子密钥的长度、更新频度和总量;以及,允许/拒绝建立通信链接,允许/拒绝访问/操作电力调度系统业务数据;
以及,
在电力调度业务交互实体数据交互过程中,持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量,根据分析结果触发动态统一身份认证,生成动态权限管控策略。
8.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述量子密码云平台具体用于,
如果电力调度业务交互实体与量子密码云平台相连,则直接向电力调度业务交互实体供给量子密钥;
如果电力调度业务交互实体没有与量子密码云平台相连,则向电力调控云供给量子密钥,电力调度业务交互实体从电力调控云获取量子密钥。
9.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统,其特征在于,所述量子密码云平台具体用于,
对量子密钥的生成、分发、存储、备份、更新、撤销、归档、恢复以及安全进行全生命周期管理。
10.一种基于零信任的电力调度数据传输方法,其特征在于,包括:
通过权利要求1至9任意一项所述的零信任平台对电力调度业务交互实体进行统一身份认证,生成权限管控策略;
统一身份认证通过且获取权限后,通过权利要求1至9任意一项所述的量子密码云平台向电力调度业务交互实体供给量子密钥;
基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输。
11.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述权限管控策略包括量子密钥获取权限和业务数据交互权限。
12.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述对电力调度业务交互实体进行统一身份认证包括:
电力调度业务交互实体与零信任平台之间的统一身份认证;
以及,
具有数据交互的电力调度业务交互实体之间的身份认证。
13.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述对电力调度业务交互实体进行统一身份认证,认证方式至少包括身份信息认证、行为信息认证和安全凭证认证中的任意两种;
所述身份信息包括MAC地址、用户生理特征、手机验证码和邮箱验证链接;
所述行为信息包括申请通信资源、业务数据读写和修改权限;
所述安全凭证包括数字证书和数字签名。
14.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述对电力调度业务交互实体进行统一身份认证包括初始统一身份认证和动态统一身份认证两种方式;
电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证,生成初始权限管控策略;所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥,获取量子密钥的长度、更新频度和总量;以及,允许/拒绝建立通信链接,允许/拒绝访问/操作电力调度系统业务数据;
数据交互过程中,满足相应的触发条件时进行动态统一身份认证,生成动态权限管控策略;
所述触发条件包括重新建立通信链接或业务会话时;当前通信链接或业务会话申请更高权限时;以及,根据安全行为持续分析结果需要重新认证时;
所述动态权限管控策略包括:维持当前权限,收回当前全部权限,指定收回当前某个权限,增加新的权限以及进行二次身份认证。
15.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述向电力调度业务交互实体供给量子密钥,包括以下两种方式:
通过量子密码云平台直接向电力调度业务交互实体供给量子密钥;
通过量子密码云平台向电力调控云供给量子密钥,电力调度业务交互实体从电力调控云获取量子密钥。
16.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输包括:
电力调度业务终端采用获取的量子密钥对采集的调控业务数据进行加密,以及主站和终端电力量子纵向加密认证装置采用获取的量子密钥建立加密隧道;
通过加密隧道将加密后的数据传输至电力调度业务主站;
电力调度业务主站将接收到的数据存储到电力调控云;
微应用采用同态加密技术对电力调控云端加密数据进行运算,并通过API接口获取的量子密钥进行解密运算。
17.根据权利要求10所述的一种基于零信任的电力调度数据传输方法,其特征在于,还包括:持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量,根据分析结果触发动态统一身份认证。
18.根据权利要求17所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述电力调度业务交互实体之间的本体行为包括:安全凭证查验、身份信息认证、数据交互行为感知和业务数据处理权限;
电力调度业务交互实体之间的业务数据包括:电力调度业务终端状态量采集类数据和电力调度业务主站控制类数据的数据包类型、数据包大小、数据采集周期、数据采集触发条件,以及电力调度人员对电力调控云的访问时间、访问地点、访问时长、访问载体、访问的业务数据;
电力调度业务交互实体之间的网络流量包括:周期性流量或突发性流量、点对点流量或汇聚型流量、流量方向、流量阈值和流量交互方式。
19.根据权利要求17所述的一种基于零信任的电力调度数据传输方法,其特征在于,所述触发动态统一身份认证的触发条件为以下任意一种:
电力调度业务交互实体申请新的权限;
电力调度业务交互实体之间的本体行为、业务数据或网络流量发生变化;
达到设定的时间周期。
CN202210093598.8A 2022-01-26 2022-01-26 一种基于零信任的电力调度量子密码云应用系统及方法 Pending CN114398627A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202210093598.8A CN114398627A (zh) 2022-01-26 2022-01-26 一种基于零信任的电力调度量子密码云应用系统及方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202210093598.8A CN114398627A (zh) 2022-01-26 2022-01-26 一种基于零信任的电力调度量子密码云应用系统及方法

Publications (1)

Publication Number Publication Date
CN114398627A true CN114398627A (zh) 2022-04-26

Family

ID=81231866

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202210093598.8A Pending CN114398627A (zh) 2022-01-26 2022-01-26 一种基于零信任的电力调度量子密码云应用系统及方法

Country Status (1)

Country Link
CN (1) CN114398627A (zh)

Cited By (4)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296938A (zh) * 2022-10-09 2022-11-04 湖南警云智慧信息科技有限公司 云计算管理系统及云计算管理方法
CN115987642A (zh) * 2022-12-25 2023-04-18 众芯汉创(北京)科技有限公司 一种基于公网的电力远端设备加密传输系统和方法
CN117254954A (zh) * 2023-09-21 2023-12-19 广州怡水水务科技有限公司 用于调度管理的直饮水云平台安全接入方法
CN117728937A (zh) * 2023-07-21 2024-03-19 安徽省大数据中心 基于云密码统一服务平台的多类别数据加密系统及方法

Cited By (5)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN115296938A (zh) * 2022-10-09 2022-11-04 湖南警云智慧信息科技有限公司 云计算管理系统及云计算管理方法
CN115987642A (zh) * 2022-12-25 2023-04-18 众芯汉创(北京)科技有限公司 一种基于公网的电力远端设备加密传输系统和方法
CN117728937A (zh) * 2023-07-21 2024-03-19 安徽省大数据中心 基于云密码统一服务平台的多类别数据加密系统及方法
CN117254954A (zh) * 2023-09-21 2023-12-19 广州怡水水务科技有限公司 用于调度管理的直饮水云平台安全接入方法
CN117254954B (zh) * 2023-09-21 2024-04-05 广州怡水水务科技有限公司 用于调度管理的直饮水云平台安全接入方法

Similar Documents

Publication Publication Date Title
Liang et al. PDPChain: A consortium blockchain-based privacy protection scheme for personal data
Batalla et al. Secure smart homes: Opportunities and challenges
KR102464299B1 (ko) 블록체인 구현 방법 및 시스템
CN114398627A (zh) 一种基于零信任的电力调度量子密码云应用系统及方法
CN108880800B (zh) 基于量子保密通信的配用电通信系统及方法
CN110061845A (zh) 区块链数据加密方法、装置、计算机设备及存储介质
KR101753859B1 (ko) 서버 및 이에 의한 스마트홈 환경의 관리 방법, 스마트홈 환경의 가입 방법 및 스마트 기기와의 통신 세션 연결 방법
CN107404472A (zh) 用户发起的加密密钥的迁移
Künnemann et al. YubiSecure? Formal security analysis results for the Yubikey and YubiHSM
Jeong et al. An efficient authentication system of smart device using multi factors in mobile cloud service architecture
CN110061983A (zh) 一种数据处理方法及系统
CN113872944A (zh) 一种面向区块链的零信任安全架构及其集群部署框架
Aung et al. Ethereum-based emergency service for smart home system: Smart contract implementation
CN110855707A (zh) 物联网通信管道安全控制系统和方法
Tanveer et al. Towards a secure and computational framework for internet of drones enabled aerial computing
Premarathne et al. Secure and reliable surveillance over cognitive radio sensor networks in smart grid
CN113204757A (zh) 一种信息交互方法、装置和系统
CN110224816A (zh) 基于密钥卡和序列号的抗量子计算应用系统以及近距离节能通信方法和计算机设备
Zhang et al. A secure revocable fine-grained access control and data sharing scheme for SCADA in IIoT systems
Agarkhed et al. An efficient auditing scheme for data storage security in cloud
Ma et al. Research on data security and privacy protection of smart grid based on alliance chain
Alshomrani et al. PUFDCA: A Zero‐Trust‐Based IoT Device Continuous Authentication Protocol
Alkhyeli et al. Secure Chat Room Application Using AES-GCM Encryption and SHA-256
CN111190694A (zh) 一种基于鲲鹏平台的虚拟化安全加固方法及装置
Zou et al. Information Security Transmission Technology in Internet of Things Control System.

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination