本发明涉及信息安全领域,尤其是一种基于量子保密通信技术的电能计量系统安全防护方法。
背景技术:
随着信息技术高速发展,电力计量系统从业务层面上,是电力营销系统的重要组成部分,从系统和设备组成上,是横跨了电能计量系统、中心信息系统、边缘计算系统等多场景、多系统的综合体,是实现电力系统各环节状态全面感知、信息高效处理、应用便捷灵活的重要卡口环节。
现有的电力计量系统中的电力用户用电信息采集系统通信协议,其帧结构参考模型是基于gb/t18657.3—2002规定的三层参考模型“增强性能体系结构”。帧格式定义采用gb/t18657.1的6.2.4条ft1.2异步式传输帧格式。由于采用国标体系,便在专业应用范围内存在着通用性和普遍性,即使帧数据采取了加密手段,也是基于伪随数发生器所生产的密钥对其帧数据进行加密,在通信协议中存在着一定程度的安全风险。
增强电能计量系统安全可靠性,是电力行业适应内外部形势和挑战的必然要求,能够为规划建设、经营管理、综合服务、新业务新模式发展、企业生态环境构建等各方面提供充足有效的安全信息和数据支撑,是实现创新发展、节省成本提升效益的有力举措。国家电网公司在电能计量系统建设工作部署电视电话会议中强调要加强顶层设计,全力攻克网络安全的核心技术。所以,如何采用更有效的安全防护技术和方法来保证计量系统中通信过程中的安全性,是本领域技术人员亟待解决的问题。
技术实现要素:
本发明的目的在于弥补现有技术的不足之处,提供一种基于量子保密通信技术的电能计量系统安全防护方法,其利用量子保密通信技术对原有通信协议中帧数据进行加密,采用世界公认的量子随机数发生源(真随机数发生器)对原有通信协议中的帧数据进行量子增强加密,以提升主站与采集终端通信协议的安全等级,并采用量子对称加密方式,确保帧数据的安全性。
为了解决上述技术问题,本发明采用如下技术方案:
一种基于量子保密通信技术的电能计量系统安全防护方法,包括以下步骤:
在主站与采集终端装置中加入能产生量子随机数源的量子设备qkd,使得通信协议中帧数据加密均基于量子设备qkd所提供的量子随机数;
在通信网络中加入对称密钥管理系统qkdm,以达到密钥管理的功能;
在量子设备qkd上配置相关策略将采集终端通信协议中的帧数据需要加密的数据进行加密,其他数据流保持原有状态进行转发;
部署完成后帧数据流经采集终端的量子设备qkd后会被加密,通过网络传输设备送至对端的主站,帧数据流经主站的量子设备qkd后会被解密并送至后端的内网;
完成一次通信传输过程。
进一步地,所述通信协议中帧数据的加密采用一次一密的方式进行更新。
进一步地,所述量子设备qkd与所述对称密钥管理系统qkdm均可以部署成冗余结构。
与现有技术相比,本发明的有益效果是:
1、本发明的效益集中体现在长期性安全效益和由此体现的经济效益上。基于量子密码的电能计量系统具有长期性安全效益,且经济投入不比传统安全系统大很多。
2、电能计量安全可靠性是电能计量质量管理的重要指标之一,直接涉及电力企业的经济效益;也是供电企业对客户持续可靠供电,电网运行安全、管理精益、服务优质的重要指标;更可以基于此充分发挥电网独特优势,开拓数字经济这一巨大蓝海市场,意义十分重大。
3、量子保密通信在国防、金融、政务、能源、公共安全、云服务等方面,已经体现出具有重大的应用价值,被认为是保障信息社会通信机密性和隐私的关键技术,是事关国家信息安全的战略性技术,也已成为国际科技界竞相追逐的热点。本发明的成果对于电能计量系统的长效安全意义重大,推广难度低,用户接受度高。
附图说明
为了使本发明的优点更容易理解,将通过参考在附图中示出的具体实施方式更详细地描述上文简要描述的本发明。可以理解这些附图只描绘了本发明的典型实施方式,因此不应认为是对其保护范围的限制,通过附图以附加的特性和细节来描述和解释本发明。
图1为采用量子保密通信技术的电能计量系统结构图;
图2为采集终端通信协议中帧格式的示意图。
具体实施方式
在下文的描述中,给出了大量具体的细节以便提供对本发明更为彻底的理解。然而,对于本领域技术人员来说显而易见的是,本发明实施方式可以无需一个或多个这些细节而得以实施。在其他的例子中,为了避免与本发明实施方式发生混淆,对于本领域公知的一些技术特征未进行描述。
为了彻底了解本发明实施方式,将在下列的描述中提出详细的结构。显然,本发明实施方式的施行并不限定于本领域的技术人员所熟习的特殊细节。本发明的较佳实施方式详细描述如下,然而除了这些详细描述外,本发明还可以具有其他实施方式。
下面结合附图对本发明的实施例作进一步详细的说明:
参见图1和图2,本发明提供的一种基于量子保密通信技术的电能计量系统安全防护方法,包括以下步骤:
在主站与采集终端装置中加入能产生量子随机数源的量子设备qkd,使得通信协议中帧数据加密均基于量子设备qkd所提供的量子随机数;其中,通信协议中帧数据的加密采用一次一密的方式进行更新;
在通信网络中加入对称密钥管理系统qkdm,以达到密钥管理的功能;
在量子设备qkd上配置相关策略将采集终端通信协议中的帧数据需要加密的数据进行加密,其他数据流保持原有状态进行转发;
部署完成后帧数据流经采集终端的量子设备qkd后会被加密,通过网络传输设备送至对端的主站,帧数据流经主站的量子设备qkd后会被解密并送至后端的内网;
完成一次通信传输过程。
在实际使用过程中,量子设备qkd与对称密钥管理系统qkdm均可以部署成冗余结构,这样即使单台设备损坏也可以保障数据通信的质量。
图2中控制域c、地址域a、链路用户数据、控制域、地址域、链路用户数据(应用层)和用户数据区等帧数据是经过量子技术加密以后的数据,通过此种方式对主站与采集终端的通信协议完成了量子加密增强的功能,以达到提升通信协议安全等级的目的。同时本发明的优点体现为以下几个方面:
1、不改变原通信协议中原有的帧结构;
2、加密算法也无需改造;
3、在实施过程中对原有的计量系统装置改造的方面较少;
4、在不改变原有通信协议规约的条件下,提升了原通信协议的安全等级;
5、未增加原有计量系统维护人员的技术难度与工作量;
6、可快速部署实施。
本发明的安全防护方法的实现原理为:
1、量子密钥分发采用单个量子(通常为单光子)作为信息载体;由于单光子不可再分,因此窃听者无法通过窃取半个光子并测量其状态的方法来获得密钥信息。
2、窃听者可以在截取单光子后,测量其状态,然后根据测量结果发送一个新光子给接收方。但根据海森堡测不准原理,这个过程一定会引起光子状态的扰动,发送方和接收方可以通过一定的方法检测到窃听者对光子的测量,从而检验他们之间所建立的密钥的安全性。
3、窃听者也试图在截取单光子后,通过复制单光子量子态来窃取信息;但量子力学中的不可克隆原理保证了未知的量子态不可能被精确复制。
4、量子密钥分发方法自动地保证了产生绝对随机的密钥,不需要第三方进行密钥的传送。
量子密钥分发不依赖于计算的复杂性来保证通信安全,而是基于量子力学基本原理,从原理上保证了一旦存在窃听就必然被发现。换言之,一旦成功在通信双方建立了密钥,这组密钥就是安全的,而这种具有绝对随机性的密钥从原理上是无法被破解的。量子密码系统的安全性不会受到计算能力和数学水平的不断提高的威胁,从而保证了利用量子密码系统加密的信息不仅在现在是安全的,而且在未来都是安全的。因此,量子保密通信技术是目前唯一实现了实用化、达到产业化水平的量子技术,而量子保密通信也因此成为人类已知唯一的具有长期安全性保障的安全通信解决方案。
在本发明中,通过对通信协议中的帧格式中的数据进行量子增强加密,以确保主站与采集终端之间数据传输的安全性,即使窃听者掌握所有的信息规约与加密算法,也无法获得帧格式中的原始数据,以达到通信安全性的目的。
综上所述,本发明的内容并不局限在上述的实施例中,本领域的技术人员可以在本发明的技术指导思想之内提出其他的实施例,但这些实施例都包括在本发明的范围之内。
1.一种基于量子保密通信技术的电能计量系统安全防护方法,其特征在于,包括以下步骤:
在主站与采集终端装置中加入能产生量子随机数源的量子设备qkd,使得通信协议中帧数据加密均基于量子设备qkd所提供的量子随机数;
在通信网络中加入对称密钥管理系统qkdm,以达到密钥管理的功能;
在量子设备qkd上配置相关策略将采集终端通信协议中的帧数据需要加密的数据进行加密,其他数据流保持原有状态进行转发;
部署完成后帧数据流经采集终端的量子设备qkd后会被加密,通过网络传输设备送至对端的主站,帧数据流经主站的量子设备qkd后会被解密并送至后端的内网;
完成一次通信传输过程。
2.根据权利要求1所述的一种基于量子保密通信技术的电能计量系统安全防护方法,其特征在于,所述通信协议中帧数据的加密采用一次一密的方式进行更新。
3.根据权利要求1所述的一种基于量子保密通信技术的电能计量系统安全防护方法,其特征在于,所述量子设备qkd与所述对称密钥管理系统qkdm均可以部署成冗余结构。
技术总结