CN116346335A - 电能表与集中器的加密通讯方法及加密通讯系统 - Google Patents
电能表与集中器的加密通讯方法及加密通讯系统 Download PDFInfo
- Publication number
- CN116346335A CN116346335A CN202310281928.0A CN202310281928A CN116346335A CN 116346335 A CN116346335 A CN 116346335A CN 202310281928 A CN202310281928 A CN 202310281928A CN 116346335 A CN116346335 A CN 116346335A
- Authority
- CN
- China
- Prior art keywords
- electric energy
- concentrator
- energy meter
- key
- quantum
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0816—Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
- H04L9/0852—Quantum cryptography
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00001—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by the display of information or by user interaction, e.g. supervisory control and data acquisition systems [SCADA] or graphical user interfaces [GUI]
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
-
- H—ELECTRICITY
- H02—GENERATION; CONVERSION OR DISTRIBUTION OF ELECTRIC POWER
- H02J—CIRCUIT ARRANGEMENTS OR SYSTEMS FOR SUPPLYING OR DISTRIBUTING ELECTRIC POWER; SYSTEMS FOR STORING ELECTRIC ENERGY
- H02J13/00—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network
- H02J13/00006—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment
- H02J13/00028—Circuit arrangements for providing remote indication of network conditions, e.g. an instantaneous record of the open or closed condition of each circuitbreaker in the network; Circuit arrangements for providing remote control of switching means in a power distribution network, e.g. switching in and out of current consumers by using a pulse code signal carried by the network characterised by information or instructions transport means between the monitoring, controlling or managing units and monitored, controlled or operated power network element or electrical equipment involving the use of Internet protocols
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0891—Revocation or update of secret information, e.g. encryption key update or rekeying
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3271—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials using challenge-response
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Power Engineering (AREA)
- Theoretical Computer Science (AREA)
- Physics & Mathematics (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Electromagnetism (AREA)
- Human Computer Interaction (AREA)
- Arrangements For Transmission Of Measured Signals (AREA)
Abstract
本发明提供一种电能表与集中器的加密通讯方法及加密通讯系统,其中,所述电能表与集中器的加密通讯方法,包括以下具体步骤:根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据,以此实现了一种集中器与电能表基于量子密钥非对称加密的提高安全防护性的通讯技术方案。
Description
技术领域
本发明涉及电能表及用电信息采集系统技术领域,尤其涉及一种电能表与集中器的加密通讯方法及加密通讯系统。
背景技术
电能表与集中器组成的用电信息采集系统,是电网运行的重要通讯系统,承担了电力营销的主要职能,可以远程获取每个用户的电量、功率等用电数据,是支撑电力公司售电工作正常运行的主要手段。
已有的用电信息采集系统,采用不加密或者SM1算法加密的方案。不加密的系统具有明文传输的特点,无法对用电数据等敏感信息进行安全防护,存在仿冒设备、窃听、篡改数据等技术风险;SM1算法加密通过ESAM芯片进行密钥管理,采用对称加密的方式,使用密文传输,但是存在密钥被复制及破解的风险。
发明内容
为解决上述技术问题,本发明提供了一种电能表与集中器的加密通讯方法及加密通讯系统,可实现电能表与集中器之间通过量子密钥非对称加密的方式通讯,提高了通讯的安全防护性。
本发明提供一种电能表与集中器的加密通讯方法,包括以下具体步骤:
根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;
根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;
根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;
根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
进一步地,根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文,包括以下具体步骤:
接收目标集中器的明文指令;
根据集中器量子密钥加密所述明文指令,得到加密指令;
协议封装所述加密指令,得到第一协议密文;
组包所述第一协议密文,生成第一组包密文。
进一步地,根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令,包括以下具体步骤:
接收并解包所述第一组包密文,得到第一解包密文;
协议解析所述第一解包密文,得到指令密文;
根据电能表解密密钥,解密所述指令密文,生成与所述明文指令对应的交互指令。
进一步地,根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文,包括以下具体步骤:
接收目标电能表响应所述交互指令得到的响应数据;
根据电能表量子密钥加密所述响应数据,得到加密响应数据;
协议封装所述加密响应数据,得到第二协议密文;
组包所述第二协议密文,生成第二组包密文。
进一步地,根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据,包括以下具体步骤:
接收并解包所述第二组包密文,得到第二解包密文;
协议解析所述第二解包密文,得到应答密文;
根据集中器解密密钥,解密所述应答密文,生成与所述明文指令对应的明文应答数据。
进一步地,按照第一预设时间间隔,从集中器密钥池获取新的量子密钥,更新所述集中器量子密钥,并生成更新通知;
根据所述更新通知,从电能表密钥池获取新的量子密钥,更新所述电能表量子密钥。
进一步地,还包括以下具体步骤:
匹配所述电能表量子密钥的更新时间间隔与第二预设时间间隔;
当所述更新时间间隔超出所述第二预设时间间隔时,从所述电能表密钥池获取新的量子密钥,更新所述电能表量子密钥;
根据更新的所述电能表量子密钥,从所述集中器密钥池获取新的量子密钥,更新所述集中器量子密钥。
进一步地,所述集中器密钥池和所述电能表密钥池,由量子安全验证平台系统生成的初始量子密钥数据集充注得到。
进一步地,所述集中器解密密钥和所述电能表解密密钥由所述量子安全验证平台系统根据所述初始量子密钥数据集和系统参数的随机数得到。
本申请还提供一种电能表与集中器的加密通讯系统,用于运行加密通讯方法,包括:
量子安全验证平台系统,部署于用电信息采集主站;
集中器量子加密模组,部署于集中器,用于根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;
电能表量子加密模组,集成于电能表,用于根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;还用于根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;
其中,所述集中器量子加密模组还用于根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
本发明提供的技术方案至少具有以下有益效果:
通过将集中器量子密钥和电能表解密密钥运用到明文指令的加、解密过程,并将电能表量子密钥和集中器解密密钥运用到响应数据的加、解密过程,实现了电能表与集中器之间基于量子密钥非对称加密的通讯,提高了通讯网络数据的安全性。
附图说明
图1为本发明提供的一种电能表与集中器的加密通讯方法的流程图;
图2为本发明提供的一种密钥分发与交互流程图;
图3为本发明提供的一种电能表通讯加解密流程图;
图4为本发明提供的一种电能表与集中器的加密通讯系统的系统架构图;
图5为本发明提供的一种集中器量子加密模组的结构示意图;
图6为本发明提供的一种电能表量子加密模组的结构示意图。
具体实施方式
为了加深对本发明的理解,下面将结合附图和实施例对本发明做进一步详细描述,该实施例仅用于解释本发明,并不对本发明的保护范围构成限定。
请参照图1,本发明提供一种电能表与集中器的加密通讯方法,包括以下具体步骤:
S100:根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文。
本实施例中,集中器量子密钥可以理解为常规的集中器中存储的量子密钥,用于对数据进行加密。目标集中器可以理解为发送明文指令的集中器。明文指令是指未加密的指令,比如:查询指令,可用于查询电能表的用电量及功率等数据。第一组包密文可以理解为明文指令在经过集中器量子密钥的加密处理后,经过协议封装、组包等操作得到的用于发送的数据。具体的,集中器在初次投运时,由运营主站即用户信息采集主站的量子安全验证平台系统的量子密钥分发(QKD)根据集中器产品的编码型号,生成针对该集中器的初始量子密钥数据集,初始量子密钥数据集通过USB或者TF接口录入到该集中器的量子加密模块(即集中器量子加密模组)内,充注得到集中器密钥池。集中器首次接入到通讯系统(即由集中器、电能表及运营主站等构建的通讯系统)时,集中器会判定自身是否为初次接入,判定为初次接入通讯系统后,发起校验流程,与量子安全验证平台系统进行量子密钥校验,量子安全验证平台系统根据事先充注给集中器的初始量子密钥数据集和系统参数的随机数,更新下发最新的集中器解密密钥,集中器根据集中器解密密钥和充注的集中器密钥池,建立正式可用的集中器的设备密钥池。在组建设备密钥池时,需要从集中器密钥池获取待用的量子密钥作为集中器量子密钥,结合下发的集中器解密密钥,共同组成集中器的设备密钥池。优选地,集中器通过设置的量子加密芯片生成随机数,基于随机数从集中器密钥池获取待用的量子密钥作为集中器量子密钥。
进一步地,根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文,包括以下具体步骤:
接收目标集中器的明文指令;
根据集中器量子密钥加密所述明文指令,得到加密指令;
协议封装所述加密指令,得到第一协议密文;
组包所述第一协议密文,生成第一组包密文。
本实施例中,集中器量子密钥由集中器的设备密钥池提供。在一种具体的实施方式中,目标集中器的处理器首先发出查询指令即请求指令,该请求指令以明文方式(即明文指令)发送给目标集中器中的加密通用MCU;加密通用MCU判定该请求指令是发给某一电能表的,发送明文请求指令给量子加密芯片;量子加密芯片采用密钥池的量子密钥(即设备密钥池中的集中器量子密钥),对明文请求指令进行加密处理,把处理后得到的查询指令密文(即加密指令)发送给加密通用MCU;集中器的量子加密通用MCU对查询指令密文进行协议封装得到第一协议密文,并转发给集中器的下行模组;下行模组根据网络内的物理地址,对第一协议密文进行组包得到第一组包密文,并且由下行通讯硬件接口通过HPLC或RF网络发送出去。这里的下行模组可以采用HPLC或RF模组。
S200:根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令。
本实施例中,电能表解密密钥可以理解为电能表中存储的解密密钥,用于对数据进行解密。交互指令是基于电能表解密密钥解密后得到的明文数据,该明文数据用于表征明文指令。显然,在生成交互指令时,除了解密操作,还包括常规的数据解包、协议解析等常规操作。具体的,电能表在初次投运时,由运营主站的量子安全验证平台系统的量子密钥分发(QKD)根据电能表产品的编码型号,生成针对该电能表的初始量子密钥数据集,初始量子密钥数据集通过USB或者TF接口录入到该电能表的量子加密模块(即电能表量子加密模组)内,充注得到电能表密钥池。具体地,电能表首次接入到通讯系统(即由集中器、电能表及运营主站等构建的通讯系统)时,集中器会判定电能表是否为首次上线,判定为初次接入通讯系统后,发起校验流程,与量子安全验证平台系统进行量子密钥校验,量子安全验证平台系统根据事先充注给电能表的初始量子密钥数据集和系统参数的随机数,更新下发最新的电能表解密密钥,由集中器转发给电能表,电能表根据电能表解密密钥和充注的电能表密钥池,建立正式可用的电能表的设备密钥池。在组建设备密钥池时,需要从电能表密钥池获取待用的量子密钥作为电能表量子密钥,如基于电能表中的量子加密芯片生成随机数,基于随机数从电能表密钥池获取量子密钥,结合下发的电能表解密密钥,共同组成电能表的设备密钥池。需要说明的是,电能表实际上线时,会使用明文通讯功能,首先检查与集中器之间的通讯通道是否建立完整(HPLC/RF),与集中器建立完通讯通道后,如果不是首次上线,则查询固有的集中器的设备密钥池,然后根据集中器发送的数据更新电能表的设备密钥池。在一种具体的实施方式中,请参考图2的密钥分发与交互流程图:电能表上电上线时,会使用明文通讯功能进行认证请求,判断是否通信接入,即检查与集中器之间的通讯通道是否建立完整(HPLC/RF),如果否,则返回上一步,如果是,则判断是否首次上线。如果是首次上线,则通过量子安全验证平台分发密钥即通过量子安全验证平台系统更新下发最新的集中器设备解密密钥(即集中器解密密钥)和电能表设备解密密钥(即电能表解密密钥),集中器设备建立密钥池(即集中器的设备密钥池),对应的电能表也建立相应的设备密钥池。如果不是首次上线,则查询密钥池(即查询固有的集中器的设备密钥池),更新密钥(即根据集中器发送的数据更新电能表的设备密钥池)。电能表还可以主动判定自身的密钥是否过期,如果过期,则返回更新密钥步骤,如果不过期,则集中器设备下发密文,电表设备解密密文(即电能表解密该密文),电表设备返回数据(即电能表根据解密的密文,进行相应的响应,并将响应的数据返回),在进行下一步的密文传输前,电能表重新进行密钥是否过期的判断,以此循环进行。
进一步地,根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令,包括以下具体步骤:
接收并解包所述第一组包密文,得到第一解包密文;
协议解析所述第一解包密文,得到指令密文;
根据电能表解密密钥,解密所述指令密文,生成与所述明文指令对应的交互指令。
本实施例中,电能表解密密钥由电能表的设备密钥池提供。在一种具体的实施方式中,假设明文指令为查询指令,电能表接收到组包密文(即第一组包密文)后,进行地址解析,非本机地址的报文丢弃;本机地址的报文进行解包得到第一解包密文,把协议包装的密文(即第一解包密文)发送给电能表的加密通用MCU;加密通用MCU根据通讯协议进行数据指令提取,校验数据的完整的指令密文转发给电能表的量子加密芯片;电能表的量子加密芯片根据其设备密钥池中的解密密钥即电能表解密密钥,对密文进行解密,解密后的明文发送给加密通用MCU;加密通用MCU判定明文为查询指令,此时该明文即为交互指令,将交互指令转发给电能表通用处理MCU,以便通过电能表通用处理MCU获取电能表存储的相关数据。
S300:根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文。
本实施例中,电能表量子密钥由电能表的设备密钥池提供,用于对数据进行加密。响应数据由目标电能表根据交互指令提供,比如,这里的交互指令为查询指令,则电能表按照查询指令查询相应的数据作为响应数据。第二组包密文可以理解为响应数据在经过电能表量子密钥的加密处理后,经过协议封装、组包等操作得到的最终用于发送的数据。
进一步地,根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文,包括以下具体步骤:
接收目标电能表响应所述交互指令得到的响应数据;
根据电能表量子密钥加密所述响应数据,得到加密响应数据;
协议封装所述加密响应数据,得到第二协议密文;
组包所述第二协议密文,生成第二组包密文。
本实施例中,电能表量子密钥由电能表的设备密钥池提供。在一种具体的实施方式中,假设明文指令为查询指令,即交互指令也为查询指令,电能表通用处理MCU根据查询指令,准备数据,将应答的明文即响应数据发送给电能表的加密通用MCU;加密通用MCU判定数据是发送给集中器的,发送明文给电能表的量子加密芯片;电能表内的量子加密芯片根据其设备密钥池的加密密钥(即电能表量子密钥),对数据进行加密,加密后的数据密文(即加密响应数据)发送给电能表的加密通用MCU;加密通用MCU根据通讯协议,进行数据协议封装,发送协议封装后的密文(即第二协议密文)给电能表的上行模组;电能表的上行模组添加集中器地址后,对数据进行组包得到第二组包密文,通过HPLC/RF网络发送出去。这里的上行模组可以采用HPLC/RF模组。
S400:根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
本实施例中,集中器解密密钥可以理解为集中器中存储的解密密钥,由集中器的设备密钥池提供,用于对数据进行解密。明文应答数据是基于集中器解密密钥解密后得到的明文数据,该明文数据为响应明文指令所得到的最终的数据。显然,在生成明文应答数据时,除了解密操作,还包括常规的数据解包、协议解析等常规操作。
进一步地,根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据,包括以下具体步骤:
接收并解包所述第二组包密文,得到第二解包密文;
协议解析所述第二解包密文,得到应答密文;
根据集中器解密密钥,解密所述应答密文,生成与所述明文指令对应的明文应答数据。
本实施例中,集中器解密密钥由集中器的设备密钥池提供。在一种具体的实施方式中,集中器的下行模组接收到数据组包(即第二组包密文)后,进行地址解析,对本机的数据进行解包得到应答的协议报文(即第二解包密文),把应答的协议报文发送给集中器的加密通用MCU;加密通用MCU进行协议解析得到应答密文,然后发送应答密文给集中器的量子加密芯片;集中器的量子加密芯片根据其设备密钥池的解密密钥(即集中器解密密钥),对数据进行解密,解密后的数据明文(即明文应答数据)发送给集中器的加密通用MCU;集中器校验数据的完整性,将最终的应答数据明文发送给集中器处理CPU;至此一轮交互完成。
在一种具体的实施方式中,请参考图3,电能表进行正常通讯的加密和解密流程时,集中器处理CPU会向集中器中的加密通用MCU发送明文(即1-明文,如查询指令),集中器中的加密通用MCU处理后向集中器中的量子加密芯片发送明文(即2-明文),集中器中的量子加密芯片加密处理后向集中器中的加密通用MCU发送密文(即3-密文),集中器中的加密通用MCU进行协议封装处理后向集中器HPLC/RF下行模组发送经协议封装的密文(即4-密文+协议),集中器HPLC/RF下行模组进行组包处理后向电能表HPLC/RF上行模组发送组包的密文(即5-密文组包),电能表HPLC/RF上行模组进行解包处理后向电能表的加密通用MCU发送协议封装的密文(即6-密文+协议),电能表的加密通用MCU进行协议解析后向电能表的量子加密芯片发送协议解析后的密文(即7-密文),电能表的量子加密芯片解密处理后向电能表的加密通用MCU发送解密的明文(即8-明文),电能表的加密通用MCU处理后向电能表通用处理MCU发送明文(即9-明文),电能表通用处理MCU判定具体指令后得到相应的相应数据并以明文形式向电能表的加密通用MCU返回应答明文(即10-应答明文),电能表的加密通用MCU处理后向电能表的量子加密芯片发送应答明文(即11-应答明文),电能表的量子加密芯片加密处理后向电能表的加密通用MCU发送加密的应答密文(即12-应答密文),电能表的加密通用MCU进行协议封装后向电能表HPLC/RF上行模组发送协议封装的应答密文(即13-应答密文+协议),电能表HPLC/RF上行模组进行组包后向集中器HPLC/RF下行模组发送组包的应答密文(即14-应答密文+组包),集中器HPLC/RF下行模组解包后向集中器的加密通用MCU发送协议封装的应答密文(即15-应答密文+协议),集中器的加密通用MCU经协议解析后向集中器的量子加密芯片发送加密的应答密文(即16-应答密文),集中器的量子加密芯片经解密后向集中器的加密通用MCU返回解密的应答明文(即17-应答明文),集中器的加密通用MCU处理后向集中器处理CPU返回应答明文(即18-应答明文),以此完成一个加解密的流程,其中的序号1-18用于表示流程的先后顺序。
进一步地,按照第一预设时间间隔,从集中器密钥池获取新的量子密钥,更新所述集中器量子密钥,并生成更新通知;
根据所述更新通知,从电能表密钥池获取新的量子密钥,更新所述电能表量子密钥。
本实施例中,集中器量子密钥可以根据实际需要按照一定的时间间隔进行更新。这里的第一预设时间间隔即为按照需要设定的时间间隔。在一种具体的实施方式中,这里的第一预设时间间隔可以采用15分钟。集中器定期(15分钟)更新为下一个通讯密钥,并且通知电能表同步更新。这里的通讯密钥可以理解为集中器量子密钥。集中器每隔15分钟,从集中器密钥池获取新的量子密钥,该新的量子密钥和原先的集中器解密密钥重新组成集中器的设备密钥池。同时,集中器向电能表下发密钥更新通知,电能表从电能表密钥池获取新的量子密钥,该新的量子密钥和原先的电能表解密密钥重新组成电能表的设备密钥池。在另一种具体的实施方式中,集中器还可以按照第一预设时间间隔或者其他预设的时间间隔,从量子安全验证平台系统获取新的集中器的解密密钥并更新所述集中器解密密钥;电能表也可以按照第一预设时间间隔或者其他预设的时间间隔,从量子安全验证平台系统获取新的电能表的解密密钥并更新所述电能表解密密钥。
进一步地,还包括以下具体步骤:
匹配所述电能表量子密钥的更新时间间隔与第二预设时间间隔;
当所述更新时间间隔超出所述第二预设时间间隔时,从所述电能表密钥池获取新的量子密钥,更新所述电能表量子密钥;
根据更新的所述电能表量子密钥,从所述集中器密钥池获取新的量子密钥,更新所述集中器量子密钥。
本实施例中,电能表量子密钥可以根据实际需要按照一定的时间间隔进行主动更新。这里的第二预设时间间隔即为按照需要设定的时间间隔。这里的第二预设时间间隔优选大于第一预设时间间隔。这里的第二预设时间间隔优选不超过24小时。在一种具体的实施方式中,电能表可以定期主动获取电能表量子密钥的更新时间间隔,将更新时间间隔与第二预设时间间隔进行匹配,判定本机的密钥已经过期后(如24小时最长),主动从电能表密钥池获取新的量子密钥更新其设备密钥池中的电能表量子密钥,并且通过新的电能表量子密钥与集中器通讯,集中器同步更新其设备密钥池中的集中器量子密钥。
进一步地,所述集中器密钥池和所述电能表密钥池,由量子安全验证平台系统生成的初始量子密钥数据集充注得到。
本实施例中,集中器在初次投运时,由运营主站即用户信息采集主站的量子安全验证平台系统的量子密钥分发(QKD)根据集中器产品的编码型号,生成针对该集中器的初始量子密钥数据集,初始量子密钥数据集通过USB或者TF接口录入到该集中器的量子加密模块(即集中器量子加密模组)内,充注得到集中器密钥池。电能表在初次投运时,由运营主站的量子安全验证平台系统的量子密钥分发(QKD)根据电能表产品的编码型号,生成针对该电能表的初始量子密钥数据集,初始量子密钥数据集通过USB或者TF接口录入到该电能表的量子加密模块(即电能表量子加密模组)内,充注得到电能表密钥池。
进一步地,所述集中器解密密钥和所述电能表解密密钥由所述量子安全验证平台系统根据所述初始量子密钥数据集和系统参数的随机数得到。
本实施例中,集中器首次接入到通讯系统(即由集中器、电能表及运营主站等构建的通讯系统)时,集中器会判定本体是否为初次接入,判定为初次接入通讯系统后,发起校验流程,与量子安全验证平台系统进行量子密钥校验,量子安全验证平台系统根据事先充注给集中器的初始量子密钥数据集和系统参数的随机数,更新下发最新的集中器解密密钥,集中器由此获取到集中器解密密钥。电能表首次接入到通讯系统(即由集中器、电能表及运营主站等构建的通讯系统)时,集中器会判定电能表是否为首次上线,判定为初次接入通讯系统后,发起校验流程,与量子安全验证平台系统进行量子密钥校验,量子安全验证平台系统根据事先充注给电能表的初始量子密钥数据集和系统参数的随机数,更新下发最新的电能表解密密钥,由集中器转发给电能表,电能表由此获取到电能表解密密钥。
请参考图4-6,本申请还提供一种电能表与集中器的加密通讯系统,用于运行加密通讯方法,包括:
量子安全验证平台系统,部署于用电信息采集主站;
集中器量子加密模组,部署于集中器,用于根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;
电能表量子加密模组,集成于电能表,用于根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;还用于根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;
其中,所述集中器量子加密模组还用于根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
本发明涉及电能表及用电信息采集系统,采用量子加密的方案及量子安全验证平台系统,对电能表与集中器的数据传输、通讯系统进行数据加密与防护,支持SM1\SM2\SM3等三种国密加解密方式,其密钥的分发、校验是以量子服务系统即量子安全验证平台系统来完成。密钥的随机数通过量子加密芯片产生,具备密钥无法截获破解,密钥可频繁更新的特点,可有效的对用电信息采集系统进行防护。
请参考图4,量子安全验证平台系统部署于用电信息采集主站侧,该系统包括量子密钥管理机、数据交换密码机、量子随机数发生器、量子密码服务系统、量子密钥充注系统、用电业务专用量子安全网关等。量子安全验证平台系统通过随机数与量子密钥管理机生成量子密钥,并负责集中器与电能表的量子密钥分发工作,同时通过数据交换密码机生成集中器与电能表的充注密钥。用电信息采集主站还包括日常的业务数据系统。用电信息采集系统主站内置量子安全验证平台系统,可以对整个通讯网络的密钥进行校验与更新,保障了通讯网络的稳定及加密功能的完善。
集中器量子加密模组部署在集中器设备之上,由硬件的量子加密芯片与量子加解密软件程序等组成,采用量子密钥分发(QKD)密钥对集中器设备的明文进行加密,并且使用DL/T645协议进行封装报文,通过通讯硬件接口利用HPLC/RF方式发送给电能表;接收电能表密文信息时,采用QKD密钥对电能表数据进行解密,并提供明文给集中器。请参考图4,集中器主要包括用于与用电信息采集主站的业务数据系统进行通讯的4G专网通道1、用于与量子安全验证平台系统通讯的4G专网通道2、采集软件程序、量子加密软件程序、通讯驱动程序及通讯硬件接口(HPLC)等。具体的,请参考图5,集中器量子加密模组由电源芯片、加密通用MCU、通讯接口芯片、下行通讯硬件接口、量子加密芯片、密钥充注接口等组成。其中,集中器电源通过集中器量子加密模组的电源芯片变换后,为集中器的量子加密模组中各芯片、电路、接口供电;密钥充注接口提供USB接口方式,也可以是TF接口,可由人员注入密钥;量子加密芯片保存注入的密钥,通过量子随机数的方式,生成具体的密钥,并且可对加密通用MCU的数据进行加密与解密操作;加密通用MCU负责相互的密钥校对、密钥更新、协议报文解包与打包、报文完整度校验、发起加密或解密需求等操作;通讯接口芯片负责桥接集中器量子加密模组与集中器处理CPU的通讯,负责桥接集中器量子加密模组内加密通用MCU与下行通讯硬件接口的通讯;下行通讯硬件接口负责与电能表的上行通讯硬件接口进行物理层、链路层的通讯维护与对接。
电能表量子加密模组安装部署在电能表之中,由硬件的量子加密模组与运行的加解密软件等组成。电能表量子加密模组负责桥接电能表与集中器量子加密模组的通讯,采用QKD密钥对集中器量子加密模组发送的数据进行解密,获取明文数据;采用QKD密钥对电能表的通用处理模组发送的数据进行加密,并进行协议的封装;封装后的密文由通讯硬件接口采用HPLC/RF网络发送。请参考图4,电能表主要包括量子加密模组即电能表量子加密模组、通用处理模组、计量模组、通讯硬件接口(HPLC)等。电能表量子加密模组桥接在电能表的通用处理模组与通讯硬件接口之间,进行明文与密文的转换,进行密钥的充注与存储。具体的,请参考图6,电能表量子加密模组由加密通用MCU、通讯接口软件、上行通讯硬件接口、量子加密芯片、密钥充注接口等组成。电能表量子加密模组由电能表低压电源3.3V统一为模组内各芯片供电;密钥充注接口可采用USB/TF接口方式,可由人员注入密钥;量子加密芯片保存注入的密钥,并且可对加密通用MCU的数据进行加密与解密操作;加密通用MCU负责更换密钥、协议报文解包与打包、报文完整度校验、发起加密或解密需求等操作;通讯接口芯片负责桥接电能表量子加密模组与电能表通用处理MCU的通讯,负责桥接电能表量子加密模组内加密通用MCU与上行通讯硬件接口的通讯;上行通讯硬件接口负责与集中器的下行通讯硬件接口进行物理层、链路层的通讯维护与对接。
在一种具体的实施方式中,集中器量子加密模组与集中器处理CPU之间采用UART(串口)通讯模式,全双工通讯;集中器量子加密模组的下行通讯硬件接口,使用HPLC(电力宽带载波)或者RF(无线射频)与电能表进行通讯;电能表量子加密模组的上行通讯硬件接口,使用HPLC或者RF与集中器进行通讯,双方的通讯方式必须保持一致;电能表量子加密模组与电能表通用处理MCU之间采用UART(串口)通讯模式,全双工通讯。
集中器与电能表的通讯采用量子密钥非对称加密的方式,相比于传统的非加密方式或者ESAM方式更具备安全防护性。电能表使用的量子密钥非对称加密方案,可以实现一次一密或者定期(如15分钟)更新一次密钥的功能,密钥的量子特性使得密钥无法被复制、截取;一旦出现了密钥的窃听,各量子加密芯片将能主动发现风险,保障通讯网络数据的安全。
上述实施例不应以任何方式限制本发明,凡采用等同替换或等效转换的方式获得的技术方案均落在本发明的保护范围内。
Claims (10)
1.一种电能表与集中器的加密通讯方法,其特征在于,包括以下具体步骤:
根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;
根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;
根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;
根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
2.根据权利要求1所述的加密通讯方法,其特征在于,根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文,包括以下具体步骤:
接收目标集中器的明文指令;
根据集中器量子密钥加密所述明文指令,得到加密指令;
协议封装所述加密指令,得到第一协议密文;
组包所述第一协议密文,生成第一组包密文。
3.根据权利要求1所述的加密通讯方法,其特征在于,根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令,包括以下具体步骤:
接收并解包所述第一组包密文,得到第一解包密文;
协议解析所述第一解包密文,得到指令密文;
根据电能表解密密钥,解密所述指令密文,生成与所述明文指令对应的交互指令。
4.根据权利要求1所述的加密通讯方法,其特征在于,根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文,包括以下具体步骤:
接收目标电能表响应所述交互指令得到的响应数据;
根据电能表量子密钥加密所述响应数据,得到加密响应数据;
协议封装所述加密响应数据,得到第二协议密文;
组包所述第二协议密文,生成第二组包密文。
5.根据权利要求1所述的加密通讯方法,其特征在于,根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据,包括以下具体步骤:
接收并解包所述第二组包密文,得到第二解包密文;
协议解析所述第二解包密文,得到应答密文;
根据集中器解密密钥,解密所述应答密文,生成与所述明文指令对应的明文应答数据。
6.根据权利要求1所述的加密通讯方法,其特征在于,按照第一预设时间间隔,从集中器密钥池获取新的量子密钥,更新所述集中器量子密钥,并生成更新通知;
根据所述更新通知,从电能表密钥池获取新的量子密钥,更新所述电能表量子密钥。
7.根据权利要求6所述的加密通讯方法,其特征在于,还包括以下具体步骤:
匹配所述电能表量子密钥的更新时间间隔与第二预设时间间隔;
当所述更新时间间隔超出所述第二预设时间间隔时,从所述电能表密钥池获取新的量子密钥,更新所述电能表量子密钥;
根据更新的所述电能表量子密钥,从所述集中器密钥池获取新的量子密钥,更新所述集中器量子密钥。
8.根据权利要求7所述的加密通讯方法,其特征在于,所述集中器密钥池和所述电能表密钥池,由量子安全验证平台系统生成的初始量子密钥数据集充注得到。
9.根据权利要求8所述的加密通讯方法,其特征在于,所述集中器解密密钥和所述电能表解密密钥由所述量子安全验证平台系统根据所述初始量子密钥数据集和系统参数的随机数得到。
10.一种电能表与集中器的加密通讯系统,其特征在于,用于运行权利要求1-9中任一项所述的加密通讯方法,包括:
量子安全验证平台系统,部署于用电信息采集主站;
集中器量子加密模组,部署于集中器,用于根据集中器量子密钥和目标集中器的明文指令,生成第一组包密文;
电能表量子加密模组,集成于电能表,用于根据所述第一组包密文和电能表解密密钥,生成与所述明文指令对应的交互指令;还用于根据电能表量子密钥和目标电能表响应所述交互指令得到的响应数据,生成第二组包密文;
其中,所述集中器量子加密模组还用于根据集中器解密密钥和所述第二组包密文,生成与所述明文指令对应的明文应答数据。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310281928.0A CN116346335A (zh) | 2023-03-21 | 2023-03-21 | 电能表与集中器的加密通讯方法及加密通讯系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310281928.0A CN116346335A (zh) | 2023-03-21 | 2023-03-21 | 电能表与集中器的加密通讯方法及加密通讯系统 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116346335A true CN116346335A (zh) | 2023-06-27 |
Family
ID=86894301
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310281928.0A Pending CN116346335A (zh) | 2023-03-21 | 2023-03-21 | 电能表与集中器的加密通讯方法及加密通讯系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116346335A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116915399A (zh) * | 2023-07-24 | 2023-10-20 | 徐州昊德照明有限公司 | 一种电能表与集中器的加密通讯系统 |
-
2023
- 2023-03-21 CN CN202310281928.0A patent/CN116346335A/zh active Pending
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN116915399A (zh) * | 2023-07-24 | 2023-10-20 | 徐州昊德照明有限公司 | 一种电能表与集中器的加密通讯系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN108513704B (zh) | 终端主密钥的远程分发方法及其系统 | |
CN109412794A (zh) | 一种适应电力业务的量子密钥自动充注方法及系统 | |
CN110753344B (zh) | 基于NB-IoT的智能表安全接入系统 | |
CN113114460B (zh) | 一种基于量子加密的配电网信息安全传输方法 | |
CN103491531A (zh) | 在电力系统WiMAX无线通信网中使用量子密钥提高电力信息传输安全性的方法 | |
CN102025503B (zh) | 一种集群环境下数据安全实现方法和一种高安全性的集群 | |
CN104579679B (zh) | 用于农配网通信设备的无线公网数据转发方法 | |
CN101738516A (zh) | 一种电子式电能表数据安全传输的方法及电能表装置 | |
CN111435390B (zh) | 一种配电终端运维工具安全防护方法 | |
CN112020038A (zh) | 一种适用于轨道交通移动应用的国产加密终端 | |
CN106453391A (zh) | 一种重复长数据加密传输的方法及系统 | |
CN112383917B (zh) | 一种基于商密算法的北斗安全通信方法和系统 | |
CN1323523C (zh) | 一种在无线局域网中生成动态密钥的方法 | |
CN106941403A (zh) | 基于量子密钥的保密移动通信系统及方法 | |
CN116346335A (zh) | 电能表与集中器的加密通讯方法及加密通讯系统 | |
CN210899418U (zh) | 一种视频数据采集传输安全性的保护装置 | |
CN107155184B (zh) | 一种带有安全加密芯片的wifi模块及其通信方法 | |
CN113612608A (zh) | 一种双模对讲机基于公网实现集群加密的方法及系统 | |
CN111093060B (zh) | 一种视频数据采集传输安全性的保护装置和保护方法 | |
CN109995519A (zh) | 一种量子密钥流量服务方法与系统 | |
CN107659405A (zh) | 一种变电站主子站间数据通信的加密解密方法 | |
CN113114713A (zh) | 一种基于云平台移动互联技术的电力信息交互方法 | |
CN117014139A (zh) | 基于量子加密的虚拟电厂业务融合系统及方法 | |
CN105187453A (zh) | 一种故障指示器的安全加密通信方法 | |
CN116915399A (zh) | 一种电能表与集中器的加密通讯系统 |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |