CN116668009A - 基于多终端的配电自动化数据安全处置方法及系统 - Google Patents

基于多终端的配电自动化数据安全处置方法及系统 Download PDF

Info

Publication number
CN116668009A
CN116668009A CN202310444393.4A CN202310444393A CN116668009A CN 116668009 A CN116668009 A CN 116668009A CN 202310444393 A CN202310444393 A CN 202310444393A CN 116668009 A CN116668009 A CN 116668009A
Authority
CN
China
Prior art keywords
quantum
power distribution
key
quantum key
substation
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202310444393.4A
Other languages
English (en)
Inventor
盛殿新
陈若成
杨方林
张旭之
王盛宝
赵荣
李振前
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Fanerjia Intelligent Electric Co ltd
Zhejiang Guodun Quantum Power Technology Co ltd
Original Assignee
Fanerjia Intelligent Electric Co ltd
Zhejiang Guodun Quantum Power Technology Co ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Fanerjia Intelligent Electric Co ltd, Zhejiang Guodun Quantum Power Technology Co ltd filed Critical Fanerjia Intelligent Electric Co ltd
Priority to CN202310444393.4A priority Critical patent/CN116668009A/zh
Publication of CN116668009A publication Critical patent/CN116668009A/zh
Pending legal-status Critical Current

Links

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0852Quantum cryptography
    • H04L9/0855Quantum cryptography involving additional nodes, e.g. quantum relays, repeaters, intermediate nodes or remote nodes
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Security & Cryptography (AREA)
  • Physics & Mathematics (AREA)
  • Electromagnetism (AREA)
  • Health & Medical Sciences (AREA)
  • Computing Systems (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Management, Administration, Business Operations System, And Electronic Commerce (AREA)
  • Remote Monitoring And Control Of Power-Distribution Networks (AREA)

Abstract

本发明公开基于多终端的配电自动化数据安全处置方法及系统,涉及量子保密通信应用领域,方法包括基于量子加密模块的原量子加密模块部署镜像装置,原量子加密模块与镜像装置分别连接至少两个设备接入端口,原量子加密模块包括配电子站充注密钥接口;部署量子安全存储与应用装置并与配电子站充注密钥接口连接;若任一设备接入端口获取到数据请求,基于量子加密模块进行业务数据加密,以及基于量子安全存储与应用装置对配电子站进行密钥充注;在配电子站侧进行业务数据解密并生成控制指令,通过充注密钥对控制指令保密传输至配电子站。本发明能够提升系统数据处能力及系统运行稳定性,且实现配电主站与配电子站之间数据传输的安全性。

Description

基于多终端的配电自动化数据安全处置方法及系统
技术领域
本发明涉及量子保密通信应用技术领域,具体的,涉及基于多终端的配电自动化数据安全处置方法及系统。
背景技术
随着能源互联网建设的不断推进,更多的新型电力用能设施大量接入,点多面广的电网接入设备,对电网通信安全也提出了更高的要求。为保证电网通信的安全性,现有技术中通过在终端与配电主站之间部署一量子加密安全服务平台,基于量子密钥中量子的不可克隆性、测不准原理、单个光子不可再分等物理特性保障数据传输的安全性。以浙江为例,当前国网浙江省11家地市供电公司生产控制大区均已部署量子加密安全服务平台系统,开展了架空线路智能开关无线公网远程控制规模化改造,并针对低压台区就地控制开展了试点应用。
但是,现阶段部署的量子加密安全服务平台只能对接到一到两个终端,无法实现更多终端的接入,达到对更大数据量处理的需求。此外,量子加密安全服务平台只部署在电网中的配电主站一侧,当与配电子站之间进行数据传输时,无法保证配电主站与配电子站之间数据传输的安全性。
发明内容
本发明的目的是针对配电主站侧的量子加密安全服务平台无法接入多终端以及配电主站与配电子站之间通信安全性的问题,提出了基于多终端的配电自动化数据安全处置方法,通过在量子加密模块中部署的镜像装置、多个提供给终端的设备接入端口以及配电子站充注密钥接口,能够为多个终端设备的接入提供量子加密功能的同时,还能基于部署的量子安全存储与应用装置将配电子站充注密钥接口与配电子站通信连接实现密钥充注,加强配电主站与配电子站之间的数据传输安全性。
第一方面,本发明实施例中提供的一种技术方案是基于多终端的配电自动化数据安全处置方法,适用于配电系统中,所述配电系统包括配电主站、配电子站以及量子加密模块,包括以下步骤:
基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
可选的,所述原量子加密模块一端接入第一设备接入端口,另一端与所述配电主站和所述配电子站通信,所述原量子加密模块包括通信连接的量子密钥生成单元、量子密钥调度单元、量子密钥应用单元以及量子网管单元,所述量子密钥生成单元包括量子密钥管理服务器,所述量子密钥调度单元包括量子密码服务引擎装置,当所述量子密钥生成单元接收到数据请求中的所述业务数据时,通过所述量子密钥管理服务器控制所述量子密钥生成单元生成量子密钥进行业务数据加密,并通过所述量子密码服务引擎装置对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
可选的,所述基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,包括:
在所述原量子加密模块中部署通信连接的量子密码服务引擎镜像装置、第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置,所述量子密码服务引擎镜像装置连接第二设备接入端口,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置的一端接入第三设备接入端口,另一端接入第四设备接入端口,所述第四设备接入端口通过安全接入网关连接到所述配电主站,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置进行数据相互备份。
可选的,所述基于所述量子加密模块进行业务数据加密传输,包括:
当所述第三设备接入端口和所述第四设备接入端口接收到数据请求时,则通过所述第一量子密钥服务器镜像装置或所述第二量子密钥服务器镜像装置控制所述量子密钥生成单元生成所述量子密钥,基于所述量子密钥进行业务数据加密,并发送至所述量子密钥调度单元;
若所述量子密钥调度单元中的所述量子密码服务引擎装置出现故障,则切换为所述量子密码服务引擎镜像装置根据预设规则对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
可选的,在所述第二设备接入端口与所述第三设备接入端口之间部署有正反向安全隔离装置。
可选的,所述第一设备接入端口、所述第二设备接入端口、所述第三设备接入端口以及所述第四设备接入端口分别包括交换机。
可选的,所述安全接入网关包括通信连接且部署在所述量子加密模块一侧的量子安全接入网关,以及部署在所述配电主站一侧的配网安全网关,通过所述量子安全接入网关以及所述配网安全接入网关对所述业务数据解解密传输,将解密后的所述业务数据发送至配电主站。
可选的,所述量子安全存储与应用装置包括与所述配电主站以及所述量子加密模块通信连接的第一量子密钥传输装置、部署在所述配电子站内与所述第一量子密钥传输装置进行保密通信的第二量子密钥传输装置,以及与所述第二量子密钥传输装置通信的量子密钥充注子站,通过所述第一量子密钥传输装置与所述第二量子密钥传输装置构建配电子站加密通道,所述原量子加密模块通过所述配电子站充注密钥接口以及所述配电子站加密通道对所述量子密钥充注子站进行密钥充注,所述第二量子密钥传输装置与所述量子密钥充注子站之间连接第五设备接入端口用于接入配电子站侧终端设备。
可选的,所述在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制,包括:
生成对应所述业务数据的控制指令,并获取所述量子密钥充注子站中的充注密钥对所述控制指令进行加密;
通过所述配电子站加密通道将所述控制指令保密传输至所述配电子站,对所述配电子站中自动化配电子设备进行配电控制。
第二方面,本发明实施例中还提供的一种技术方案是基于多终端的配电自动化数据安全处置系统,用于执行任一实施例所述的基于多终端的配电自动化数据安全处置方法,系统包括:
第一装置部署模块,用于基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
第二装置部署模块,用于在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
数据加密及密钥充注模块,用于若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
控制模块,用于对所述业务数据进行解密并传输至配电主站以生成控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
本发明的有益效果:本发明通过在量子加密模块中部署镜像装置以及多个提供给终端接入的设备接入端口,能够实现多终端接入,提升系统的数据处能力;与各设备接入端口连接的镜像装置能够作为备用的镜像装置执行量子加密过程,保证系统运行稳定性;此外,在原量子加密模块中部署了配电子站充注密钥接口,以及在配电子站与配电主站之间部署量子安全存储与应用装置,配电子站充注密钥接口与量子安全存储与应用装置通信连接,连接后可以实现配电子站的密钥充注,当配电子站与配电主站之间通过进行数据传输时,能够直接在配电子站中调取充注密钥进行数据加密传输,保证数据传输的安全性。
上述发明内容仅是本发明技术方案的概述,为了能够更清楚了解本发明的技术手段,而可依照说明书的内容予以实施,并且为了让本发明的上述和其它目的、特征和优点能够更明显易懂,以下特举本发明的具体实施方式。
附图说明
通过阅读参照以下附图所作的对非限制性实施例所作的详细描述,本发明的其它特征、目的和优点将会变得更明显。附图仅用于示出优选实施方式的目的,而并不认为是对本发明的限制。而且在整个附图中,用相同的参考符号表示相同的部件。
图1为本发明实施例提供的基于多终端的配电自动化数据安全处置方法的流程图;
图2为本发明实施例提供的配电主站、配电子站以及量子加密模块的整体通信示意图;
图3为本发明实施例提供的基于多终端的配电自动化数据安全处置系统的结构示意图。
具体实施方式
为使本发明的目的、技术方案以及优点更加清楚明白,下面结合附图和实施例对本发明作进一步详细说明,应当理解的是,此处所描述的具体实施方式仅是本发明的一种最佳实施例,仅用以解释本发明,并不限定本发明的保护范围,本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例,都属于本发明保护的范围。
在更加详细地讨论示例性实施例之前,应当提到的是,一些示例性实施例被描述成作为流程图描绘的处理或方法。虽然流程图将各项操作(或步骤)描述成顺序的处理,但是其中的许多操作(或步骤)可以被并行地、并发地或者同时实施。此外,各项操作的顺序可以被重新安排。当其操作完成时所述处理可以被终止,但是还可以具有未包括在附图中的附加步骤;所述处理可以对应于方法、函数、规程、子例程、子程序等等。
本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等(如果存在)是用于区别类似的对象,而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换,以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。还应当理解的是,在本发明的各种实施例中,各过程的序号的大小并不意味着执行顺序的先后,各过程的执行顺序应以其功能和内在逻辑确定,而不应对本发明实施例的实施过程构成任何限定。
应当理解,在本发明中,“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的变量关系,表示可以存在三种关系,例如,和/或B,可以表示:单独存在A,同时存在A和B,单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含,“包含A、B或C”是指包含A、B、C三者之一,“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。
应当理解,在本发明中,“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”,表示B与A相关联,根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B,还可以根据A和/或其他信息确定B。A与B的匹配,是A与B的相似度大于或等于预设的阈值。
实施例一
如图1所示,为本实施例提供的基于多终端的配电自动化数据安全处置方法的流程图。基于多终端的配电自动化数据安全处置方法,包括以下步骤:
S1、基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
S2、在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
S3、若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
S4、在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
具体的,本发明实施例提供的基于多终端的配电自动化数据安全处置方法适用于配电系统中,所述配电系统包括配电主站、配电子站以及量子加密模块。其中,配电主站可以指市局配电自动化主站,配电子站可以指地县工作站,基于配电主站与配电子站之间的通信连接可以实现数据交互。上述的终端(Feeder Terminal Unit,FTU)包括但不限于配电网中的各种电气设备,例如:断路器、互感器、变压器等,不同的设备对应的设备数据安全等级可以不同。可以基于量子加密模块对终端发出的数据请求中的业务数据进行数据加密后传输到配电主站,实现与配电主站的通信。其中,数据请求可以包括但不限于设备异常请求、故障检查请求、监控数据上传请求等;控制命令包括但不限于对配电子站进行参数调节、配电量控制、设备状态控制等。
更具体的,上述量子加密模块可以指通过量子加密技术对配电终端与配电主站之间传输的数据进行数据加解密的平台,其中,量子加密技术是利用量子原理进行密钥的生成、明文的混淆加密、密文的还原解密、密文的通信、反窃听等一系列加密技术。在量子加密模块中,包括用于量子密钥生成、加解密、密钥分发等内置装置。
更具体的,上述的原量子加密模块可以指量子加密模块中最基础的加密部分,原量子加密模块的一端接入至少两个设备接入端口,另一端接入配电主站,通过原量子加密模块可以实现终端到配电主站的数据加密。上述镜像装置可以是针对原量子加密模块中关键节点上的设备部署的备用装置。当原量子加密模块基于设备接入端口接收业务数据进行加密时关键节点上的量子设备出现问题,可以替换到镜像装置配合原量子加密模块中的其他正常运行的量子设备继续执行加密过程。此外,镜像装置部署在量子加密模块中时,一端与至少两个设备接入端口连接,另一端与原量子加密模块通信,当启动镜像装置执行加密过程时,可以通过与镜像装置连接的设备接入端口接收终端发出的数据请求。
更具体的,上述在原量子加密模块中部署配电子站充注密钥接口,能够为配电子站提供密钥充注服务。上述量子安全存储与应用装置可以包括提供量子密钥存储的装置以及通过量子加密传输的装置。将配电子站充注密钥接口与量子安全存储与应用装置通信连接,能够将量子加密模块中生成的量子密钥充注到配电子站侧进行存储,待配电主站一侧与配电子站之间有数据往来时可以直接在配电子站中获取。此外,量子安全存储与应用装置构建了配电主钻与配电子站之间的加密通信通道,当通过量子加密模块加密后的业务数据传输至配电主站解密后,可以根据业务数据生成对应的控制指令,通过量子安全存储与应用装置构建的加密通信通道进行加密传输至配电子站中,控制配电子站进行配电控制。其中,配电控制包括但不限于配电输出、配电输出暂停、配电子站设备状态控制等。
在本发明实施例中,本发明通过在量子加密模块中部署镜像装置以及多个提供给终端接入的设备接入端口,能够实现多终端接入,提升系统的数据处能力;与各设备接入端口连接的镜像装置能够作为备用的镜像装置执行量子加密过程,保证系统运行稳定性;此外,在原量子加密模块中部署了配电子站充注密钥接口,以及在配电子站与配电主站之间部署量子安全存储与应用装置,配电子站充注密钥接口与量子安全存储与应用装置通信连接,连接后可以实现配电子站的密钥充注,当配电子站与配电主站之间通过进行数据传输时,能够直接在配电子站中调取充注密钥进行数据加密传输,保证数据传输的安全性。
在本实施例中,所述原量子加密模块一端接入第一设备接入端口,另一端与所述配电主站和所述配电子站通信,所述原量子加密模块包括通信连接的量子密钥生成单元、量子密钥调度单元、量子密钥应用单元以及量子网管单元,所述量子密钥生成单元包括量子密钥管理服务器,所述量子密钥调度单元包括量子密码服务引擎装置,当所述量子密钥生成单元接收到数据请求中的所述业务数据时,通过所述量子密钥管理服务器控制所述量子密钥生成单元生成量子密钥进行业务数据加密,并通过所述量子密码服务引擎装置对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
具体的,在本实施例中,上述第一设备接入端口包括两台交换机。交换机能够为接入交换机的任意两个网络节点提供独享的电信号通路,例如:以太网交换机、光纤交换机等。上述量子密钥生成单元能够根据量子特性生成量子密钥,为量子密钥调度单元、量子密钥应用单元提供量子密钥支撑。上述量子密钥调度单元能够实现量子密钥的存储及输出、协商调度以及会话密钥充注。上述量子密钥应用单元能够利用量子密钥构建量子安全加密传输通道,以提升4G/5G传输通道的安全等级,确保业务数据可以安全的传输至配电主站或者其他业务系统。上述量子网管单元能够实现对量子加密模块的量子设备的运行状态进行网络管理和监控,监控运行状态能够提供运维支撑。
其中,量子密钥生成单元部署有量子密钥管理服务器,在量子密钥调度单元部署有量子密码服务引擎装置,量子密钥管理服务器用于管控量子密钥的生成,量子密码服务引擎装置用于量子密钥的调度协商,确保量子密钥可以安全有序的分发至量子密钥应用单元。当量子密钥生成单元中的量子密钥管理服务器接收到数据请求的业务数据时,量子密钥管理服务器可以控制量子密钥生成单元生中的单发型量子密钥生成与管理终端与单收型量子密钥生成与管理终端生产会话密钥,以及控制量子密钥生成单元中的量子随机数发生器产生量子随机数,根据会话密钥以及随机量子数产生量子密钥。通过量子密钥对业务数据加密后传输至量子密钥调度单元,通过量子密码服务引擎装置将量子密钥进行调度协商后输出至量子密钥应用单元。
在本实施例中,所述基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,包括:在所述原量子加密模块中部署通信连接的量子密码服务引擎镜像装置、第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置,所述量子密码服务引擎镜像装置连接第二设备接入端口,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置的一端接入第三设备接入端口,另一端接入第四设备接入端口,所述第四设备接入端口通过安全接入网关连接到所述配电主站,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置进行数据相互备份。
具体的,结合图2所示,可以在上述原始量子安全服务模块的基础上,部署量子密码服务引擎镜像装置作为量子密码服务引擎装置的备用设备,当量子密码服务引擎装置出现宕机等异常情况时,可以切换到量子密码服务引擎镜像装置实现同样功能,且在量子密码服务引擎装置恢复后,再切换到量子密码服务引擎装置工作,同时量子密码服务引擎镜像装置在切换工作过程中涉及到的数据可以同步到量子密码服务引擎装置中,通过备份功能保证数据的完整性。以及部署第一量子密钥服务器镜像装置和第二量子密钥服务器镜像装置实现量子密钥管理。其中,第一量子密钥服务器镜像装置与第二量子密钥服务器镜像装置作为相互的备用设备,当第一量子密钥服务器镜像装置为主设备时,第二量子密钥服务器镜像装置即为备用设备;当第二量子密钥服务器镜像装置为主设备时,第一量子密钥服务器镜像装置则为备用设备。第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置同时连接在第三设备接入端口与第四设备接入端口之间,当第三设备接入端口或第四设备接入端口有终端发出数据请求,且第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置之中任意一者出现不能正常工作时,可以切换到另一者进行工作,例如:主设备工作异常,切换到备用设备,待主设备恢复后,备用设备切换为主设备,切换后,在异常期间备用设备处理的数据可以同步到主设备中。
更具体的,上述第二设备接入端口、第三设备接入端口以及第四设备接入端口可以为交换机,每一台交换机在工作状态下都可以接收终端发出的数据请求,且第四设备接入端口通过安全接入网关加密通信连接到配电主站。当其中任意一个设备接入端口或者与任意一个设备接入端口连接的量子设备无法正常工作时,可以切换到其他正常工作的设备接入端口。可能的,还可以对第一设备接入端口、第二设备接入端口、第三设备接入端口以及第四设备接入端口设置通信等级,不同等级的端口对接不同安全等级的终端,例如:第一设备接入端口、第二设备接入端口、第三设备接入端口以及第四设备接入端口的通信等级为依次降序关系。上述通过提供多个设备接入端口能够实现灾备功能,满足更多终端需求,保证密钥应用的不间断服务。上述安全接入网关可以作为网络中的入口设备,能够实现量子加密模块与配电主站之间的安全加密隧道建设,完成身份认证及协议转换工作,实现量子加密模块与配电主站之间的数据加密传输。
在本实施例中,上述步骤S3中的所述基于所述量子加密模块进行业务数据加密传输,包括:
当所述第三设备接入端口和所述第四设备接入端口接收到数据请求时,则通过所述第一量子密钥服务器镜像装置或所述第二量子密钥服务器镜像装置控制所述量子密钥生成单元生成所述量子密钥,基于所述量子密钥进行业务数据加密,并发送至所述量子密钥调度单元;
若所述量子密钥调度单元中的所述量子密码服务引擎装置出现故障,则切换为所述量子密码服务引擎镜像装置根据预设规则对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
具体的,当第三设备接入端口的通信等级高于第四设备接入端口时,若同时接受到数据请求,则可以优先处理通信等级更高的一者。且当第三设备接入端口和/或所述第四设备接入端口接收到数据请求时,若第一量子密钥服务器镜像装置作为主设备,在正常工作情况下,通过主设备控制量子密钥生成过程;若主设备出现异常,则切换为作为备用设备的第二量子密钥服务器镜像装置控制量子密钥生成过程。生成量子密钥后对业务数据进行加密,发送至量子密钥调度单元,通过量子调度单元中的量子密码服务引擎装置进行调度协商将量子密钥下发至量子密钥应用单元。若量子密码服务引擎装置出现宕机等异常时,则切换为量子密码服务引擎镜像装置执行调度协商及下发过程,这样能够保证系统正常运行,提高系统运行稳定性,持续提供加密服务。
在本实施例中,结合图2所示,在所述第二设备接入端口与所述第三设备接入端口之间部署有正反向安全隔离装置。
具体的,正反向隔离为一种网络安全措施,在第二设备接入端口与第三设备接入端口之间部署正反向隔离装置,针对量子密码服务引擎镜像装置与第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置的安全等级不同,能够将不同安全等级的量子设备隔离开来,防止信息泄露和攻击。正反向隔离可以通过两个方面实现:一是通过网络拓扑设计,将高安全等级和低安全等级的量子设备隔离在不同的物理区域;二是通过网络安全设备对数据进行安全检测和过滤,只允许合法的数据通过,例如:在量子密码服务引擎镜像装置与第一量子密钥服务器镜像装置之间部署防火墙或入侵检测系统,当有攻击者预想进入安全等级更高的量子密码服务引擎镜像装置时,通过防火墙或入侵检测系统进行数据合法性检测,最后只允许合法的数据通过,从而实现对不合法数据的隔离。
在本实施例中,所述安全接入网关包括通信连接且部署在所述量子加密模块一侧的量子安全接入网关,以及部署在所述配电主站一侧的配网安全网关,通过所述量子安全接入网关以及所述配网安全接入网关对所述业务数据解解密传输,将解密后的所述业务数据发送至配电主站。
具体的,结合图2所示,在量子加密模块一侧有量子安全接入区,在配电主站一侧包括有市局无线安全接入区,上述量子安全接入网关部署在量子安全接入区,配网安全网关部署在市局无线安全接入区。量子安全接入网关与配网安全网关之间构成安全加密通道,量子加密模块中生成的量子密钥以及加密后的业务数据通过量子安全接入网关与配网安全网关之间安全加密通道传输,且在配电安全网关一侧对加密后的业务数据进行解密后发送至配电主站。通过安全接入网关可以保证加密后的业务数据在量子加密模块与配电主站之间的数据传输安全性。此外,可以在量子安全接入网关与电力无线虚拟专网(4G/G5)之间部署防火墙,且多运营商接入交换机部署在量子安全接入网关与电力无线虚拟专网之间,通过部署防火墙能够加强配电主站内的数据安全保障。
在本实施例中,所述量子安全存储与应用装置包括与所述配电主站以及所述量子加密模块通信连接的第一量子密钥传输装置、部署在所述配电子站内与所述第一量子密钥传输装置进行保密通信的第二量子密钥传输装置,以及与所述第二量子密钥传输装置通信的量子密钥充注子站,通过所述第一量子密钥传输装置与所述第二量子密钥传输装置构建配电子站加密通道,所述原量子加密模块通过所述配电子站充注密钥接口以及所述配电子站加密通道对所述量子密钥充注子站进行密钥充注,所述第二量子密钥传输装置与所述量子密钥充注子站之间连接第五设备接入端口用于接入配电子站侧终端设备。
具体的,结合图2所示,上述配电子站加密通道可以通过在配电主站与配电子站之间部署通信连接的第一量子密钥传输装置和第二量子密钥传输装置实现,第一量子密钥传输装置和第二量子密钥传输装置可以实现加解密传输,提高数据通信传输的安全防护水平。其中,第一量子密钥传输装置分别与第二量子密钥传输装置、量子加密模块以及配电主站通信;第二量子密钥传输装置基于第五设备接入端口与配电子站中的量子密钥充注子站及自动化配电子设备通信,其中,第五设备接入端口为至少2台交换机。上述电子站充注密钥接口具体可以设置在量子加密模块的量子密钥充注设备中,通过配电子站加密通道连接到量子密钥充注子站进行量子密钥充注。上述量子密钥充注设备可以将量子密钥通过U盾/TF卡等方式进行充注,并在量子密钥应用终端使用。将量子密钥存储至量子密钥充注子站中,当配电子站中产生量子密钥需求时,则无需从配电主站一侧获取量子密钥,在配电子站一侧即可直接获取,实现地县的密钥充注功能。
在本实施例中,上述步骤S4中所述在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制,包括:
生成对应所述业务数据的控制指令,并获取所述量子密钥充注子站中的充注密钥对所述控制指令进行加密;
通过所述配电子站加密通道将所述控制指令保密传输至所述配电子站,对所述配电子站中自动化配电子设备进行配电控制。
具体的,配电主站接收到业务数据后,可以针对业务数据生成相应的控制指令,且可以同步在配电子站的量子密钥充注子站中获取量子密钥对控制指令进行加密,最后通过配电子站加密通道进行数据加解密传输到配电子站中,根据控制指令控制自动化配电子设备执行对应操作。
实施例二
结合图3所示,本发明实施例中还提供的一种技术方案是基于多终端的配电自动化数据安全处置系统,用于执行实施例一中所述的基于多终端的配电自动化数据安全处置方法,系统40包括:
第一装置部署模块401,用于基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
第二装置部署模块402,用于在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
数据加密及密钥充注模块403,用于若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
控制模块404,用于对所述业务数据进行解密并传输至配电主站以生成控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
在本实施例中,所述原量子加密模块一端接入第一设备接入端口,另一端与所述配电主站和所述配电子站通信,所述原量子加密模块包括通信连接的量子密钥生成单元、量子密钥调度单元、量子密钥应用单元以及量子网管单元,所述量子密钥生成单元包括量子密钥管理服务器,所述量子密钥调度单元包括量子密码服务引擎装置,数据加密及密钥充注模块403具体用于:当所述量子密钥生成单元接收到数据请求中的所述业务数据时,通过所述量子密钥管理服务器控制所述量子密钥生成单元生成量子密钥进行业务数据加密,并通过所述量子密码服务引擎装置对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
在本实施例中,第一装置部署模块401具体用于:
在所述原量子加密模块中部署通信连接的量子密码服务引擎镜像装置、第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置,所述量子密码服务引擎镜像装置连接第二设备接入端口,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置的一端接入第三设备接入端口,另一端接入第四设备接入端口,所述第四设备接入端口通过安全接入网关连接到所述配电主站,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置进行数据相互备份。
在本实施例中,数据加密及密钥充注模块403具体用于:
当所述第三设备接入端口和所述第四设备接入端口接收到数据请求时,则通过所述第一量子密钥服务器镜像装置或所述第二量子密钥服务器镜像装置控制所述量子密钥生成单元生成所述量子密钥,基于所述量子密钥进行业务数据加密,并发送至所述量子密钥调度单元;
若所述量子密钥调度单元中的所述量子密码服务引擎装置出现故障,则切换为所述量子密码服务引擎镜像装置根据预设规则对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
在本实施例中,在所述第二设备接入端口与所述第三设备接入端口之间部署有正反向安全隔离装置。
在本实施例中,所述第一设备接入端口、所述第二设备接入端口、所述第三设备接入端口以及所述第四设备接入端口分别包括交换机。
在本实施例中,所述安全接入网关包括通信连接且部署在所述量子加密模块一侧的量子安全接入网关,以及部署在所述配电主站一侧的配网安全网关,通过所述量子安全接入网关以及所述配网安全接入网关对所述业务数据解解密传输,将解密后的所述业务数据发送至配电主站。
在本实施例中,所述量子安全存储与应用装置包括与所述配电主站以及所述量子加密模块通信连接的第一量子密钥传输装置、部署在所述配电子站内与所述第一量子密钥传输装置进行保密通信的第二量子密钥传输装置,以及与所述第二量子密钥传输装置通信的量子密钥充注子站,通过所述第一量子密钥传输装置与所述第二量子密钥传输装置构建配电子站加密通道,所述原量子加密模块通过所述配电子站充注密钥接口以及所述配电子站加密通道对所述量子密钥充注子站进行密钥充注,所述第二量子密钥传输装置与所述量子密钥充注子站之间连接第五设备接入端口用于接入配电子站侧终端设备。
在本实施例中,控制模块具体用于:
生成对应所述业务数据的控制指令,并获取所述量子密钥充注子站中的充注密钥对所述控制指令进行加密;
通过所述配电子站加密通道将所述控制指令保密传输至所述配电子站,对所述配电子站中自动化配电子设备进行配电控制。
本实施例提供的基于多终端的配电自动化数据安全处置系统能够实现上述基于多终端的配电自动化数据安全处置方法中的各个实施例方式以及达到相应的技术效果,为避免重复,在此不再赘述。
以上所述之具体实施方式为本发明基于多终端的配电自动化数据安全处置方法的较佳实施方式,并非以此限定本发明的具体实施范围,本发明的范围包括并不限于本具体实施方式,凡依照本发明之形状、结构所作的等效变化均在本发明的保护范围内。

Claims (10)

1.基于多终端的配电自动化数据安全处置方法,适用于配电系统中,所述配电系统包括配电主站、配电子站以及量子加密模块,其特征在于,包括以下步骤:
基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
2.如权利要求1所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述原量子加密模块一端接入第一设备接入端口,另一端与所述配电主站和所述配电子站通信,所述原量子加密模块包括通信连接的量子密钥生成单元、量子密钥调度单元、量子密钥应用单元以及量子网管单元,所述量子密钥生成单元包括量子密钥管理服务器,所述量子密钥调度单元包括量子密码服务引擎装置,当所述量子密钥生成单元接收到数据请求中的所述业务数据时,通过所述量子密钥管理服务器控制所述量子密钥生成单元生成量子密钥进行业务数据加密,并通过所述量子密码服务引擎装置对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
3.如权利要求2所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,包括:
在所述原量子加密模块中部署通信连接的量子密码服务引擎镜像装置、第一量子密钥服务器镜像装置以及第二量子密钥服务器镜像装置,所述量子密码服务引擎镜像装置连接第二设备接入端口,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置的一端接入第三设备接入端口,另一端接入第四设备接入端口,所述第四设备接入端口通过安全接入网关连接到所述配电主站,所述第一量子密钥服务器镜像装置与所述第二量子密钥服务器镜像装置进行数据相互备份。
4.如权利要求3所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述基于所述量子加密模块进行业务数据加密传输,包括:
当所述第三设备接入端口和所述第四设备接入端口接收到数据请求时,则通过所述第一量子密钥服务器镜像装置或所述第二量子密钥服务器镜像装置控制所述量子密钥生成单元生成所述量子密钥,基于所述量子密钥进行业务数据加密,并发送至所述量子密钥调度单元;
若所述量子密钥调度单元中的所述量子密码服务引擎装置出现故障,则切换为所述量子密码服务引擎镜像装置根据预设规则对所述量子密钥进行调度协商后输出至所述量子密钥应用单元。
5.如权利要求3所述的基于多终端的配电自动化数据安全处置方法,其特征在于,在所述第二设备接入端口与所述第三设备接入端口之间部署有正反向安全隔离装置。
6.如权利要求3所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述第一设备接入端口、所述第二设备接入端口、所述第三设备接入端口以及所述第四设备接入端口分别包括交换机。
7.如权利要求3所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述安全接入网关包括通信连接且部署在所述量子加密模块一侧的量子安全接入网关,以及部署在所述配电主站一侧的配网安全网关,通过所述量子安全接入网关以及所述配网安全接入网关对所述业务数据解解密传输,将解密后的所述业务数据发送至配电主站。
8.如权利要求1所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述量子安全存储与应用装置包括与所述配电主站以及所述量子加密模块通信连接的第一量子密钥传输装置、部署在所述配电子站内与所述第一量子密钥传输装置进行保密通信的第二量子密钥传输装置,以及与所述第二量子密钥传输装置通信的量子密钥充注子站,通过所述第一量子密钥传输装置与所述第二量子密钥传输装置构建配电子站加密通道,所述原量子加密模块通过所述配电子站充注密钥接口以及所述配电子站加密通道对所述量子密钥充注子站进行密钥充注,所述第二量子密钥传输装置与所述量子密钥充注子站之间连接第五设备接入端口用于接入配电子站侧终端设备。
9.如权利要求8所述的基于多终端的配电自动化数据安全处置方法,其特征在于,所述在所述配电子站侧进行业务数据解密并生成对应的控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制,包括:
生成对应所述业务数据的控制指令,并获取所述量子密钥充注子站中的充注密钥对所述控制指令进行加密;
通过所述配电子站加密通道将所述控制指令保密传输至所述配电子站,对所述配电子站中自动化配电子设备进行配电控制。
10.基于多终端的配电自动化数据安全处置系统,用于执行权利要求1-9中任一所述的基于多终端的配电自动化数据安全处置方法,其特征在于,系统包括:
第一装置部署模块,用于基于所述量子加密模块的原量子加密模块部署通信连接的镜像装置,所述原量子加密模块与所述镜像装置分别连接至少两个用于终端接入的设备接入端口,且所述原量子加密模块还包括配电子站充注密钥接口;
第二装置部署模块,用于在所述配电子站、所述配电主站和所述量子加密模块之间部署通信连接的量子安全存储与应用装置,且所述量子安全存储与应用装置与所述配电子站充注密钥接口连接;
数据加密及密钥充注模块,用于若任一所述设备接入端口获取到终端发起的数据请求,基于所述量子加密模块进行业务数据加密传输,以及基于所述量子安全存储与应用装置对所述配电子站进行密钥充注;
控制模块,用于对所述业务数据进行解密并传输至配电主站以生成控制指令,基于所述量子安全存储与应用装置,通过获取所述配电子站侧的充注密钥对所述控制指令保密传输至所述配电子站进行配电控制。
CN202310444393.4A 2023-04-24 2023-04-24 基于多终端的配电自动化数据安全处置方法及系统 Pending CN116668009A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202310444393.4A CN116668009A (zh) 2023-04-24 2023-04-24 基于多终端的配电自动化数据安全处置方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202310444393.4A CN116668009A (zh) 2023-04-24 2023-04-24 基于多终端的配电自动化数据安全处置方法及系统

Publications (1)

Publication Number Publication Date
CN116668009A true CN116668009A (zh) 2023-08-29

Family

ID=87721422

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202310444393.4A Pending CN116668009A (zh) 2023-04-24 2023-04-24 基于多终端的配电自动化数据安全处置方法及系统

Country Status (1)

Country Link
CN (1) CN116668009A (zh)

Similar Documents

Publication Publication Date Title
US11662760B2 (en) Wireless communication systems and methods for intelligent electronic devices
Habib et al. Multi-agent-based technique for fault location, isolation, and service restoration
CN109412794B (zh) 一种适应电力业务的量子密钥自动充注方法及系统
CN106789015B (zh) 一种智能配电网通信安全系统
CN116455564A (zh) 基于量子加密的配电自动化防护方法和系统
CN102385362A (zh) 一种远程控制方法、设备及系统
CN114123487B (zh) 基于电力物联网的分布式电源在线集中监测系统及方法
CN115079648A (zh) 一种智能工业控制系统
CN115632779A (zh) 一种基于配电网的量子加密通信方法及系统
CN114347835B (zh) 一种基于区块链的充电桩异常参数检测方法及系统
CN105046791A (zh) 一种通过移动终端控制开锁的智能门禁系统
CN114531942A (zh) 一种电网智能量测方法
CN202331125U (zh) 一种远程控制器
CN106411559A (zh) 一种低压台区反窃电诊断系统
CN116668009A (zh) 基于多终端的配电自动化数据安全处置方法及系统
US11997076B2 (en) Systems and methods for establishing secure communication in an electric power distribution system
US11843479B2 (en) Systems and methods for establishing a secure communication link in an electric power distribution system
CN216391430U (zh) 一种具有量子加密的配电自动化终端准入控制系统
CN115800554A (zh) 分布式光伏逆变器采集调度系统及方法
CN105162253A (zh) 一种一次设备智能化无线通信系统
CN111917782B (zh) 基于vpn的水电气集中器远程访问方法、装置和系统
CN116405329B (zh) 一种电力监控系统网络安全风险阻断装置及系统
CN117353905A (zh) 一种应用于低压台区的量子加密通信方法和系统
CN115333761B (zh) 应用于船舶的设备通信方法、装置及服务器
CN215268316U (zh) 一种配电变压器台区智能营配融合终端测试系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
CB02 Change of applicant information

Country or region after: China

Address after: 310000 room 706-717, building 10, No. 1818-2, Wenyi West Road, Yuhang street, Yuhang District, Hangzhou City, Zhejiang Province

Applicant after: Zhejiang GuoDun quantum Power Technology Co.,Ltd.

Applicant after: Fanerjia Intelligent Technology Co.,Ltd.

Address before: 310000 room 706-717, building 10, No. 1818-2, Wenyi West Road, Yuhang street, Yuhang District, Hangzhou City, Zhejiang Province

Applicant before: Zhejiang GuoDun quantum Power Technology Co.,Ltd.

Country or region before: China

Applicant before: Fanerjia Intelligent Electric Co.,Ltd.

CB02 Change of applicant information