CN116232731B - 基于智能变电站边缘网络的近端安全防护方法及系统 - Google Patents

Abstract

本发明公开了基于智能变电站边缘网络的近端安全防护方法及系统，包括：S1、获取子站站内设备对应的真身份巡检表和伪身份对照表；S2、依据真身份巡检表按信息安全等级对子站巡检区域进行分区；S3、根据AB级巡检区的融合设备对应的历史链路状态值得到A级修正巡检区或/和B级修正巡检区；S4、通过第一加密算法对A级交互信息加密得到A级加密块；S5、通过第二加密算法对B级交互信息加密得到B级加密块；S6、代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站；S7、主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备。本方案提高信息传输的安全性的同时也提高信息分析效率。

Description

基于智能变电站边缘网络的近端安全防护方法及系统

技术领域

本发明涉及电力信息安全技术领域，具体的，涉及基于智能变电站边缘网络的近端安全防护方法及系统。

背景技术

随着新型电力系统的建设，海量风电、光伏及分布式电源等新能源终端的接入，将使得电源出力的间歇性、波动性加剧，同时传统无线通信方式难以满足电网涉控类业务安全可靠要求，增加了电网稳定运行的潜在风险。如何确保设备的安全、高效接入是电网成功转型的瓶颈问题,而无线网络+量子加密技术正是解决此类问题的有效手段。

量子加密技术，是利用量子原理，进行密钥的生成、明文的混淆加密、反窃听等一系列加密技术，能够保证信息传输的完整性，然后目前的量子加解密过程耗时长，仅仅作为数据被破坏的评判标准，而电力系统中涉及的各类信息众多，如何针对不同级别的信息采用针对性的防护措施，是提高信息传输的安全性，同时提高信息分析效率的关键所在；目前电力系统采用的加解密技术面对融合数据的处理效率低下，是急需解决的技术问题。

在所述背景技术部分公开的上述信息仅用于加强对本申请的背景的理解，因此它可以包括不构成对本领域普通技术人员已知的现有技术的信息。

发明内容

本发明的目的是针对传统电力系统采用的加解密技术面对融合数据的处理效率低下的问题，提出了基于智能变电站边缘网络的近端安全防护方法及系统，通过获取子站设备的真身份信息和伪身份信息，可以精确定位受控设备，避免信息被拦截或破解导致的受控设备被暴露的风险；通过对子站设备进行分类，将分类后的设备信息通过不同的加解密方式进行传输，提高信息传输的安全性的同时也提高信息分析效率。

第一方面，本发明实施例中提供的一种技术方案是基于智能变电站边缘网络的近端安全防护方法，包括如下步骤：

S1、根据站内设备安装属性表，获取子站站内设备对应的真身份信息和对应的伪身份信息，分别生成真身份巡检表和伪身份对照表；

S2、依据真身份巡检表按信息安全等级对子站巡检区域进行分区得到A级巡检区、B级巡检区以及AB级巡检区；

S3、根据AB级巡检区的融合设备对应的历史链路状态值对A级巡检区或B级巡检区的设备存量进行修正得到A级修正巡检区或B级修正巡检区；

S4、通过第一加密算法对A级修正巡检区内的A级交互信息进行加密得到A级加密块；

S5、通过第二加密算法对B级修正巡检区内的B级交互信息进行加密得到B级加密块；

S6、代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站；

S7、主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备。

本方案中，通过获取子站设备的真身份信息和伪身份信息，可以精确定位受控设备，避免信息被拦截或破解导致的受控设备被暴露的风险，通过根据获取的伪身份对照表能够锁定受控设备，将解密后的响应信息定向发送至受控设备进行调控；通过对子站设备进行分类，并通过设定的算法对AB级巡检区的设备进行评判，可以最大限度的保证危情程度高的信息采用更高级别的加密方式进行加密；将分类后的设备信息通过不同的加解密方式进行加解密和传输，提高信息传输的安全性的同时也提高信息分析效率。

作为优选，步骤S1中，根据站内设备安装属性表，获取子站站内设备对应的真身份信息和对应的伪身份信息，分别生成真身份巡检表和伪身份对照表，包括如下步骤：

S11、获取站内设备安装属性表中各设备的地理位置信息，根据各设备的地理位置与子站的实际距离由远及近对巡检区域内的设备进行编号；

S12、依次获取当前编号对应设备的地理位置信息作为真身份信息得到真身份巡检表；

S13、依次获取当前编号对应设备的前置编号设备和后置编号设备的地理位置信息作为伪身份信息得到伪身份对照表；根据伪身份对照表即可获得当前设备对应的地理位置信息及设备编号。

作为优选，步骤S2，所述依据真身份巡检表按信息安全等级对子站巡检区域进行分区得到A级巡检区、B级巡检区以及AB级巡检区，包括如此步骤：

S21、获取真身份巡检表中的纯涉控设备构建涉控设备集，基于涉控设备集对巡检区域进行分区得到A级巡检区；

S22、获取真身份巡检表中的非涉控设备构建非涉控设备集，基于非涉控设备集对巡检区域进行分区得到B级巡检区；

S23、获取巡检区域中除A级巡检区和B级巡检区外的巡检分区作为AB级巡检区；所述AB级巡检区内包括有同时具备监测和调控功能的融合设备；若干融合设备构建融合设备集。

作为优选，步骤S3中，所述根据AB级巡检区的融合设备对应的历史链路状态值对A级巡检区或B级巡检区的设备存量进行修正得到A级修正巡检区或B级修正巡检区；包括如下步骤：

S31、获取AB级巡检区的融合设备对应的融合信息中的第一涉控信息和第一非涉控信息；

S32、根据第一涉控信息对应的历史误码率和历史失真率计算第一链路状态值；

S33、根据第一非涉控信息对应的历史误码率和历史失真率计算第二链路状态值；

S34、结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值；

S35、基于历史链路状态值对AB级巡检区的融合设备进行区域划分，修正A级修正巡检区或B级修正巡检区。

作为优选，步骤S34中，所述结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值；包括：

第一涉控信息对应的安全因子Q_i的计算公式如下：

第一非涉控信息对应的安全因子Q_j的计算公式如下：

第一链路状态值G_i的计算公式如下：

第二链路状态值G_j的计算公式如下：

所述融合设备的历史链路状态值H计算公式为：

其中，S_总为AB级巡检区的总面积，S_ij为当前设备的监测区域面积；T_i当前设备因第一涉控信息丢失或破坏所需历史维修时间；T_j当前设备因第一非涉控信息丢失或破坏所需历史维修时间；T_max为AB级巡检区中的设备最长维修时间，T_min为AB级巡检区中的设备最短维修时间；/>分别为当前设备涉及到的第一涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重；分别为当前设备涉及到的第一非涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重；η_i,1为当前设备涉及到的第一涉控信息所对应失真率；η_i,2为当前设备涉及到的第一涉控信息所对应误码率；/>分别为当前设备涉及到的第一涉控信息所对应失真率权重和误码率权重；η_j,1为当前设备涉及到的第一非涉控信息所对应失真率；η_j,2为当前设备涉及到的第一非涉控信息所对应误码率；/>分别为当前设备涉及到的第一非涉控信息所对应失真率权重和误码率权重；/>为融合设备的归一化系数。

作为优选，步骤S4中，所述通过第一加密算法对A级修正巡检区内的A级交互信息进行加密得到A级加密块，包括：

S41、获取量子密钥发生器发送的量子密钥构建第一量子密钥池，所述量子密钥池的存储位数与所述A级修正巡检区的设备个数相同，建立量子密钥池与A级修正巡检区中设备集合的映射关系；

S42、根据真身份巡检表依次获取A级修正巡检区中当前设备的状态信息、根据伪身份巡检表获取当前设备对应的前置编号设备的地理位置信息和后置编号设备的地理位置信息并打包成第一信息块，调取量子密钥池中对应存储位的量子密钥对第一信息块进行加密得到A级加密块。

作为优选，步骤S5中，所述通过第二加密算法对B级修正巡检区内的B级交互信息进行加密得到B级加密块；包括如下步骤：

S51、获取随机数发生器生成的二进制随机码构建第二密钥池；

S52、根据B级修正巡检区内的设备数量生成相等数目的第二加密密钥，获取第二密钥池中若干二进制数构建二进制码L1，代理服务器发送与二进制码L1序列长度相同的二进制数Lx，将二进制码L1和二进制数Lx进行异或运算得到第二加密密钥；根据若干第二加密密钥构建第二加密密钥序列表，第二加密密钥序列表发送至子站进行存储；

S53、第二密钥池中除去二进制码L1对应的二进制数得到二进制码L2；根据所述二进制码L2中二进制数“1”和“0”的个数生成对应二进制码L1的第二解密密钥，生成第二解密密钥对照表；第二解密密钥对照表存储至代理服务器；

S54、根据真身份巡检表依次获取B级修正巡检区内的当前设备状态信息打包成第二信息块，调取第二加密密钥序列表中对应序列位的第二加密密钥对第二信息块进行加密得到B级加密块。

作为优选，步骤S6，所述代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站，包括如下步骤：

S61、代理服务器同步获取量子密钥发生器发送的量子密钥构建第二量子密钥池，建立与A级修正巡检区中设备集合的映射关系；

S62、代理服务器获取第二量子密钥池中对应存储位的量子密钥解密A级加密块得到第一信息块，提取出第一信息块中的当前设备的状态信息发送至主站；

S63、代理服务器获取子站发送过来的B级加密块及其对应的第二加密密钥，通过异或算法对第二加密密钥进行异或得到二进制码L1，将二进制码L1对应的二进制数与第二密钥池进行比对分析获取剩余的二进制数“1”和二进制数“0”，基于第二解密密钥对照表获取对应的第二解密密钥，对B级加密块进行解密得到第二信息块，并将第二信息块发送至主站。

作为优选，步骤S7、所述主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备，包括如下步骤：

S71、基于获取主站的应答信息替代状态信息对第一信息块进行更新得到第一更新信息块；第一更新信息块采用当前量子密钥进行加密后得到A级响应信息并通过代理服务器发送至子站；

S72、子站采用当前量子密钥对获取的A级响应信息进行解密得到应答信息、前置编号设备的地理位置信息和后置编号设备的地理位置信息；

S73、基于前置编号设备的地理位置信息和后置编号设备的地理位置信息依据伪身份对照表获取当前设备的地理位置信息，将获取的应答信息定向发送至对应的设备进行调控。

第二方面，本发明实施例中还提供的一种技术方案是一种近端安全防护系统，适用于基于智能变电站边缘网络的近端安全防护方法，包括有：主站、子站、代理服务器、第一加解密终端、第二加解密终端、随机数发生器、量子密钥发生器；

所述主站通过代理服务器与子站进行通讯，获取子站设备的状态信息并作出响应；

所述子站与巡检区域内的各设备进行交互；

所述代理服务器用于获取子站的信息并对获取的信息进行加解密；

所述第一加解密终端设置于代理服务器端，用于获取随机数发生器和量子密钥发生器的生成的密钥信息，并对获取的子站信息进行加解密；

所述第二加解密终端设置于子站端，分别与代理服务器和量子密钥发生器进行交互，获取秘钥信息对终端设备信息进行加解密；

所述随机数发生器用于生成的二进制随机码构建第二密钥池；

所述量子密钥发生器通过量子干线将量子秘钥分别分配至第一加解密终端和第二加解密终端。

本发明的有益效果：本发明设计的基于智能变电站边缘网络的近端安全防护方法及系统，通过获取子站设备的真身份信息和伪身份信息，可以精确定位受控设备，避免信息被拦截或破解导致的受控设备被暴露的风险，通过根据获取的伪身份对照表能够锁定受控设备，将解密后的响应信息定向发送至受控设备进行调控；通过对子站设备进行分类，并通过设定的算法对AB级巡检区的设备进行评判，可以最大限度的保证危情程度高的信息采用更高级别的加密方式进行加密；将分类后的设备信息通过不同的加解密方式进行加解密和传输，提高信息传输的安全性的同时也提高信息分析效率。

上述发明内容仅是本发明技术方案的概述，为了能够更清楚了解本发明的技术手段，而可依照说明书的内容予以实施，并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂，以下特举本发明的具体实施方式。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。

图1为本发明的基于智能变电站边缘网络的近端安全防护方法流程图。

具体实施方式

为使本发明的目的、技术方案以及优点更加清楚明白，下面结合附图和实施例对本发明作进一步详细说明，应当理解的是，此处所描述的具体实施方式仅是本发明的一种最佳实施例，仅用以解释本发明，并不限定本发明的保护范围，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在更加详细地讨论示例性实施例之前，应当提到的是，一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理，但是其中的许多操作(或步骤)可以被并行地、并发地或者同时实施。此外，各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止，但是还可以具有未包括在附图中的附加步骤；所述处理可以对应于方法、函数、规程、子例程、子程序等等。

实施例：如图1所示，一种技术方案是基于智能变电站边缘网络的近端安全防护方法，包括如下步骤：

S1、根据站内设备安装属性表，获取子站站内设备对应的真身份信息和对应的伪身份信息，分别生成真身份巡检表和伪身份对照表。

具体的，步骤S1包括如下步骤：

S11、获取站内设备安装属性表中各设备的地理位置信息，根据各设备的地理位置与子站的实际距离由远及近对巡检区域内的设备进行编号；

S12、依次获取当前编号对应设备的地理位置信息作为真身份信息得到真身份巡检表；

S13、依次获取当前编号对应设备的前置编号设备和后置编号设备的地理位置信息作为伪身份信息得到伪身份对照表；根据伪身份对照表即可获得当前设备对应的地理位置信息及设备编号。

可以理解的是，为了便于管理，站内设备安装时都具备固定的位置，且设备位置被记录在设备安装属性表中以供调用；根据设备的安装位置对设备进行编号得到设备的真身份巡检表，

子站通过真身份巡检表对设备的信息进行采集；设计的伪身份对照表中并没有包含当前设备的位置信息，即可以保证即使子站发送给主站的信息被拦截和破解，也不能得到具体设备的位置信息，进一步保证了当前设备被暴露的风险。

S2、依据真身份巡检表按信息安全等级对子站巡检区域进行分区得到A级巡检区、B级巡检区以及AB级巡检区。

具体的，步骤S2，包括如此步骤：

S21、获取真身份巡检表中的纯涉控设备构建涉控设备集，基于涉控设备集对巡检区域进行分区得到A级巡检区；

S22、获取真身份巡检表中的非涉控设备构建非涉控设备集，基于非涉控设备集对巡检区域进行分区得到B级巡检区；

S23、获取巡检区域中除A级巡检区和B级巡检区外的巡检分区作为AB级巡检区；所述AB级巡检区内包括有同时具备监测和调控功能的融合设备；若干融合设备构建融合设备集。

可以理解的是，巡检区域内，除了一些纯控制类的设备和纯监测类的设备，还涉及融合有监测和控制的融合设备，本实施例对融合设备进行进一步的归类和区分，以便于后期对具体设备数据进行加密和解密操作。

S3、根据AB级巡检区的融合设备对应的历史链路状态值对A级巡检区或B级巡检区的设备存量进行修正得到A级修正巡检区或B级修正巡检区。

具体的，步骤S3中包括如下步骤：

S31、获取AB级巡检区的融合设备对应的融合信息中的第一涉控信息和第一非涉控信息；

S32、根据第一涉控信息对应的历史误码率和历史失真率计算第一链路状态值；

S33、根据第一非涉控信息对应的历史误码率和历史失真率计算第二链路状态值；

S34、结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值；

S35、基于历史链路状态值对AB级巡检区的融合设备进行区域划分，修正A级修正巡检区或B级修正巡检区。

可以理解的是，本实施例针对AB级巡检区的融合设备进行分析，采用多种评判因素对融合设备进行综合评判，具体的，涉及第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值，根据设备安全级别分类的临界值进行比对，可以进一步对设备进行分类。

具体的，步骤S34中，结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值包括：

第一涉控信息对应的安全因子Q_i的计算公式如下：

第一非涉控信息对应的安全因子Q_j的计算公式如下：

第一链路状态值G_i的计算公式如下：

第二链路状态值G_j的计算公式如下：

所述融合设备的历史链路状态值H计算公式为：

其中，S_总为AB级巡检区的总面积，S_ij为当前设备的监测区域面积；T_i当前设备因第一涉控信息丢失或破坏所需历史维修时间；T_j当前设备因第一非涉控信息丢失或破坏所需历史维修时间；T_max为AB级巡检区中的设备最长维修时间，T_min为AB级巡检区中的设备最短维修时间；/>分别为当前设备涉及到的第一涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重，可以根据经验值进行设定，例如/> 分别为当前设备涉及到的第一非涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重，可以根据经验值进行设定，例如/>η_i,1为当前设备涉及到的第一涉控信息所对应失真率；η_i,2为当前设备涉及到的第一涉控信息所对应误码率；/>分别为当前设备涉及到的第一涉控信息所对应失真率权重和误码率权重，例如/>η_j,1为当前设备涉及到的第一非涉控信息所对应失真率；η_j,2为当前设备涉及到的第一非涉控信息所对应误码率；分别为当前设备涉及到的第一非涉控信息所对应失真率权重和误码率权重，例如 为融合设备的归一化系数，归一化系数通过AB级巡检区中所有的融合设备的历史链路状态值之和计算得出。

S4、通过第一加密算法对A级修正巡检区内的A级交互信息进行加密得到A级加密块。

具体的，步骤S4中包括如下步骤：

S41、获取量子密钥发生器发送的量子密钥构建第一量子密钥池，所述量子密钥池的存储位数与所述A级修正巡检区的设备个数相同，建立量子密钥池与A级修正巡检区中设备集合的映射关系；

S42、根据真身份巡检表依次获取A级修正巡检区中当前设备的状态信息、根据伪身份巡检表获取当前设备对应的前置编号设备的地理位置信息和后置编号设备的地理位置信息并打包成第一信息块，调取量子密钥池中对应存储位的量子密钥对第一信息块进行加密得到A级加密块。

可以理解的是，A级加密块是由三个设备的信息组合而成，其中，通过伪身份对照表查询前置编号设备的地理位置信息和后置编号设备的地理位置信息可以精确的定位到当前设备的位置信息，保证了即使A级加密块被拦截和破解，也不会暴露当前设备的风险。

S5、通过第二加密算法对B级修正巡检区内的B级交互信息进行加密得到B级加密块。

具体的，步骤S5中，包括如下步骤：

S51、获取随机数发生器生成的二进制随机码构建第二密钥池；

S52、根据B级修正巡检区内的设备数量生成相等数目的第二加密密钥，获取第二密钥池中若干二进制数构建二进制码L1，代理服务器发送与二进制码L1序列长度相同的二进制数Lx，将二进制码L1和二进制数Lx进行异或运算得到第二加密密钥；根据若干第二加密密钥构建第二加密密钥序列表，第二加密密钥序列表发送至子站进行存储；

S53、第二密钥池中除去二进制码L1对应的二进制数得到二进制码L2；根据所述二进制码L2中二进制数“1”和“0”的个数生成对应二进制码L1的第二解密密钥，生成第二解密密钥对照表；第二解密密钥对照表存储至代理服务器；

S54、根据真身份巡检表依次获取B级修正巡检区内的当前设备状态信息打包成第二信息块，调取第二加密密钥序列表中对应序列位的第二加密密钥对第二信息块进行加密得到B级加密块。

可以理解的是，选取第二密钥池中的二进制数分别构建二进制编码L1和二进制编码L2，其中，二进制编码L2的长度不超过20；其中，L1∪L2＝第二密钥池；因此，本方案不需要知道二进制编码L1的具体值，也可以对采用二进制编码L1加密的信息进行快速解密；为了防止因为知道第二密钥池以及对应的二进制编码L1而得到二进制编码L2，本方案进一步对二进制编码L1进行异或，生成的第二加密密钥更加具备迷惑性，进一步保证信息传输安全；例如二进制编码L2＝[1,0,1,0,1,1,1,0,1,0,1,0,1,0,1],二进制编码L2为15位，其中，“1”占了9位，“0”占了6位，因此第二解密密钥为9160。

S6、代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站。

具体的，步骤S6，包括如下步骤：

S61、代理服务器同步获取量子密钥发生器发送的量子密钥构建第二量子密钥池，建立与A级修正巡检区中设备集合的映射关系；

S62、代理服务器获取第二量子密钥池中对应存储位的量子密钥解密A级加密块得到第一信息块，提取出第一信息块中的当前设备的状态信息发送至主站；

S63、代理服务器获取子站发送过来的B级加密块及其对应的第二加密密钥，通过异或算法对第二加密密钥进行异或得到二进制码L1，将二进制码L1对应的二进制数与第二密钥池进行比对分析获取剩余的二进制数“1”和二进制数“0”，基于第二解密密钥对照表获取对应的第二解密密钥，对B级加密块进行解密得到第二信息块，并将第二信息块发送至主站。

S7、主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备。

作为优选，步骤S7、所述主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备，包括如下步骤：

S71、基于获取主站的应答信息替代状态信息对第一信息块进行更新得到第一更新信息块；第一更新信息块采用当前量子密钥进行加密后得到A级响应信息并通过代理服务器发送至子站；

S72、子站采用当前量子密钥对获取的A级响应信息进行解密得到应答信息、前置编号设备的地理位置信息和后置编号设备的地理位置信息；

S73、基于前置编号设备的地理位置信息和后置编号设备的地理位置信息依据伪身份对照表获取当前设备的地理位置信息，将获取的应答信息定向发送至对应的设备进行调控。

本实施例中，通过获取子站设备的真身份信息和伪身份信息，可以精确定位受控设备，避免信息被拦截或破解导致的受控设备被暴露的风险，通过根据获取的伪身份对照表能够锁定受控设备，将解密后的响应信息定向发送至受控设备进行调控；通过对子站设备进行分类，并通过设定的算法对AB级巡检区的设备进行评判，可以最大限度的保证危情程度高的信息采用更高级别的加密方式进行加密；将分类后的设备信息通过不同的加解密方式进行加解密和传输，提高信息传输的安全性的同时也提高信息分析效率。

本发明实施例中还提供的一种近端安全防护系统，近端安全防护系统由主站、子站、代理服务器、第一加解密终端、第二加解密终端、随机数发生器、量子密钥发生器；所述主站通过代理服务器与子站进行通讯，获取子站设备的状态信息并作出响应；所述子站与巡检区域内的各设备进行交互；所述代理服务器用于获取子站的信息并对获取的信息进行加解密；所述第一加解密终端设置于代理服务器端，用于获取随机数发生器和量子密钥发生器的生成的密钥信息，并对获取的子站信息进行加解密；所述第二加解密终端设置于子站端，分别与代理服务器和量子密钥发生器进行交互，获取秘钥信息对终端设备信息进行加解密；所述随机数发生器用于生成的二进制随机码构建第二密钥池；所述量子密钥发生器通过量子干线将量子秘钥分别分配至第一加解密终端和第二加解密终端。

以上所述之具体实施方式为本发明基于智能变电站边缘网络的近端安全防护方法及系统的较佳实施方式，并非以此限定本发明的具体实施范围，本发明的范围包括并不限于本具体实施方式，凡依照本发明之形状、结构所作的等效变化均在本发明的保护范围内。

Claims (5)

1.基于智能变电站边缘网络的近端安全防护方法，其特征在于：包括如下步骤：

S1、根据站内设备安装属性表，获取子站站内设备对应的真身份信息和对应的伪身份信息，分别生成真身份巡检表和伪身份对照表；

S2、依据真身份巡检表按信息安全等级对子站巡检区域进行分区得到A级巡检区、B级巡检区以及AB级巡检区；

S3、根据AB级巡检区的融合设备对应的历史链路状态值对A级巡检区或B级巡检区的设备存量进行修正得到A级修正巡检区或B级修正巡检区；

S4、通过第一加密算法对A级修正巡检区内的A级交互信息进行加密得到A级加密块；

S5、通过第二加密算法对B级修正巡检区内的B级交互信息进行加密得到B级加密块；

S6、代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站；

S7、主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备；

步骤S1中，根据站内设备安装属性表，获取子站站内设备对应的真身份信息和对应的伪身份信息，分别生成真身份巡检表和伪身份对照表，包括如下步骤：

S11、获取站内设备安装属性表中各设备的地理位置信息，根据各设备的地理位置与子站的实际距离由远及近对巡检区域内的设备进行编号；

S12、依次获取当前编号对应设备的地理位置信息作为真身份信息得到真身份巡检表；

S13、依次获取当前编号对应设备的前置编号设备和后置编号设备的地理位置信息作为伪身份信息得到伪身份对照表；根据伪身份对照表即可获得当前设备对应的地理位置信息及设备编号；

步骤S2，所述依据真身份巡检表按信息安全等级对子站巡检区域进行分区得到A级巡检区、B级巡检区以及AB级巡检区，包括如此步骤：

S21、获取真身份巡检表中的纯涉控设备构建涉控设备集，基于涉控设备集对巡检区域进行分区得到A级巡检区；

S22、获取真身份巡检表中的非涉控设备构建非涉控设备集，基于非涉控设备集对巡检区域进行分区得到B级巡检区；

S23、获取巡检区域中除A级巡检区和B级巡检区外的巡检分区作为AB级巡检区；所述AB级巡检区内包括有同时具备监测和调控功能的融合设备；若干融合设备构建融合设备集；

步骤S3中，所述根据AB级巡检区的融合设备对应的历史链路状态值对A级巡检区或B级巡检区的设备存量进行修正得到A级修正巡检区或B级修正巡检区；包括如下步骤：

S31、获取AB级巡检区的融合设备对应的融合信息中的第一涉控信息和第一非涉控信息；

S32、根据第一涉控信息对应的历史误码率和历史失真率计算第一链路状态值；

S33、根据第一非涉控信息对应的历史误码率和历史失真率计算第二链路状态值；

S34、结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值；

S35、基于历史链路状态值对AB级巡检区的融合设备进行区域划分，修正A级修正巡检区或B级修正巡检区；

步骤S4中，所述通过第一加密算法对A级修正巡检区内的A级交互信息进行加密得到A级加密块，包括：

S41、获取量子密钥发生器发送的量子密钥构建第一量子密钥池，所述量子密钥池的存储位数与所述A级修正巡检区的设备个数相同，建立量子密钥池与A级修正巡检区中设备集合的映射关系；

S42、根据真身份巡检表依次获取A级修正巡检区中当前设备的状态信息、根据伪身份巡检表获取当前设备对应的前置编号设备的地理位置信息和后置编号设备的地理位置信息并打包成第一信息块，调取量子密钥池中对应存储位的量子密钥对第一信息块进行加密得到A级加密块；

步骤S5中，所述通过第二加密算法对B级修正巡检区内的B级交互信息进行加密得到B级加密块；包括如下步骤：

S51、获取随机数发生器生成的二进制随机码构建第二密钥池；

S52、根据B级修正巡检区内的设备数量生成相等数目的第二加密密钥，获取第二密钥池中若干二进制数构建二进制码L1，代理服务器发送与二进制码L1序列长度相同的二进制数Lx，将二进制码L1和二进制数Lx进行异或运算得到第二加密密钥；根据若干第二加密密钥构建第二加密密钥序列表，第二加密密钥序列表发送至子站进行存储；

S53、第二密钥池中除去二进制码L1对应的二进制数得到二进制码L2；根据所述二进制码L2中二进制数“1”和“0”的个数生成对应二进制码L1的第二解密密钥，生成第二解密密钥对照表；第二解密密钥对照表存储至代理服务器；

S54、根据真身份巡检表依次获取B级修正巡检区内的当前设备状态信息打包成第二信息块，调取第二加密密钥序列表中对应序列位的第二加密密钥对第二信息块进行加密得到B级加密块。

2.根据权利要求1所述的基于智能变电站边缘网络的近端安全防护方法，其特征在于：步骤S34中，所述结合第一涉控信息对应的安全因子、第一非涉控信息对应的安全因子、第一链路状态值、第二链路状态值依次计算融合设备的历史链路状态值；包括：

第一涉控信息对应的安全因子Q_i的计算公式如下：

第一非涉控信息对应的安全因子Q_j的计算公式如下：

第一链路状态值G_i的计算公式如下：

第二链路状态值G_j的计算公式如下：

所述融合设备的历史链路状态值H计算公式为：

其中，S_总为AB级巡检区的总面积，S_ij为当前设备的监测区域面积；T_i当前设备因第一涉控信息丢失或破坏所需历史维修时间；T_j当前设备因第一非涉控信息丢失或破坏所需历史维修时间；T_max为AB级巡检区中的设备最长维修时间，T_min为AB级巡检区中的设备最短维修时间；/>分别为当前设备涉及到的第一涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重；/>分别为当前设备涉及到的第一非涉控信息所对应的监控区域权重、维修时间权重、涉密等级权重；η_i,1为当前设备涉及到的第一涉控信息所对应失真率；η_i,2为当前设备涉及到的第一涉控信息所对应误码率；/>分别为当前设备涉及到的第一涉控信息所对应失真率权重和误码率权重；η_j,1为当前设备涉及到的第一非涉控信息所对应失真率；η_j,2为当前设备涉及到的第一非涉控信息所对应误码率；/>分别为当前设备涉及到的第一非涉控信息所对应失真率权重和误码率权重；/>为融合设备的归一化系数。

3.根据权利要求1所述的基于智能变电站边缘网络的近端安全防护方法，其特征在于：

步骤S6，所述代理服务器对A级加密块和B级加密块进行验证和解密后发送至主站，包括如下步骤：

S61、代理服务器同步获取量子密钥发生器发送的量子密钥构建第二量子密钥池，建立与A级修正巡检区中设备集合的映射关系；

S62、代理服务器获取第二量子密钥池中对应存储位的量子密钥解密A级加密块得到第一信息块，提取出第一信息块中的当前设备的状态信息发送至主站；

S63、代理服务器获取子站发送过来的B级加密块及其对应的第二加密密钥，通过异或算法对第二加密密钥进行异或得到二进制码L1，将二进制码L1对应的二进制数与第二密钥池进行比对分析获取剩余的二进制数“1”和二进制数“0”，基于第二解密密钥对照表获取对应的第二解密密钥，对B级加密块进行解密得到第二信息块，并将第二信息块发送至主站。

4.根据权利要求1所述的基于智能变电站边缘网络的近端安全防护方法，其特征在于：

步骤S7、所述主站根据解密后的A级加密块生成A级响应信息，子站根据伪身份对照表将A级响应信息发送至对应的设备，包括如下步骤：

S71、基于获取主站的应答信息替代状态信息对第一信息块进行更新得到第一更新信息块；第一更新信息块采用当前量子密钥进行加密后得到A级响应信息并通过代理服务器发送至子站；

S72、子站采用当前量子密钥对获取的A级响应信息进行解密得到应答信息、前置编号设备的地理位置信息和后置编号设备的地理位置信息；

S73、基于前置编号设备的地理位置信息和后置编号设备的地理位置信息依据伪身份对照表获取当前设备的地理位置信息，将获取的应答信息定向发送至对应的设备进行调控。

5.一种近端安全防护系统，适用于如权利要求1-4任一项所述的基于智能变电站边缘网络的近端安全防护方法，其特征在于：

包括有主站、子站、代理服务器、第一加解密终端、第二加解密终端、随机数发生器、量子密钥发生器；

所述主站通过代理服务器与子站进行通讯，获取子站设备的状态信息并作出响应；

所述子站与巡检区域内的各设备进行交互；

所述代理服务器用于获取子站的信息并对获取的信息进行加解密；

所述第一加解密终端设置于代理服务器端，用于获取随机数发生器和量子密钥发生器的生成的密钥信息，并对获取的子站信息进行加解密；

所述第二加解密终端设置于子站端，分别与代理服务器和量子密钥发生器进行交互，获取秘钥信息对终端设备信息进行加解密；

所述随机数发生器用于生成的二进制随机码构建第二密钥池；

所述量子密钥发生器通过量子干线将量子秘钥分别分配至第一加解密终端和第二加解密终端。