[发明专利]一种满足电力业务隔离需求的量子保密通信系统及方法

说明书

本发明公开了一种满足电力业务隔离需求的量子保密通信系统及方法，包括量子密钥分发层、量子密钥管控层和电力业务应用层。所述量子密钥分发层实现量子密钥的远程分发；所述量子密钥管控层实现量子密钥的全生命周期管控，采用时分复用、独立存储技术实现不同安全大区量子密钥的物理隔离；所述电力业务应用层实现量子密钥的使用。本发明实现了电力不同安全大区之间量子密钥的物理隔离，基于一张量子保密通信网络为不同安全大区业务提供量子密钥，大幅降低了网络建设和运维成本。

技术领域

本发明属于量子保密技术领域，具体涉及一种满足电力业务隔离需求的量子保密通信系统，还涉及一种满足电力业务隔离需求的量子保密通信方法。

背景技术

电力系统关系国计民生，对信息安全具有极高要求。为此，针对电力二次系统制定了“安全分区、网络专用、横向隔离、纵向认证”的安全防护策略，相应的把电力业务划分为位于I/II区（高安全等级大区）的生产控制类业务和位于III/IV区（低安全等级大区）的管理信息类业务。

电力通信网络同时承载两个安全大区电力业务时，需满足物理隔离要求。当前，采用同一张通信网络承载不同安全大区业务时，主要通过不同纤芯、波长或时隙方式实现物理隔离。

然而，对应于量子密钥分发，主要通过在不同安全大区独立部署量子保密通信设备，建设两张量子保密通信网络，以满足不同安全大区业务隔离需求，存在建设成本高、运维难度大等问题。

发明内容

本发明的目的在于克服现有技术中的不足，提供了一种满足电力业务隔离需求的量子保密通信系统及方法，基于一张量子保密通信网络为不同安全大区业务提供量子密钥，大幅降低了网络建设和运维成本。

为解决上述技术问题，本发明提供了一种满足电力业务隔离需求的量子保密通信系统，包括：

部署于量子密钥分发层的至少一对量子密钥分发终端，部署于量子密钥管控层的至少一对量子密钥管控终端，以及部署于电力业务应用层的至少一对电力专用量子VPN和电力业务终端；

所述电力业务终端包括两类：位于I/II区的电网生产控制类业务和位于III/IV区的电网管理信息类业务；对应的，所述电力专用量子VPN也包括两类：支持电力调度专用加密算法、与I/II区电力业务终端互联的电力专用量子VPN；以及支持国密标准IPSec或SSL协议、与III/IV区电力业务终端互联的电力专用量子VPN；

量子密钥分发终端与量子密钥管控终端一一对应互联，量子密钥管控终端与电力专用量子VPN互联，

所述量子密钥分发终端，用于量子密钥的远程分发；

所述量子密钥管控终端，用于以分时复用技术控制互联的量子密钥分发终端进行量子密钥远程分发，并对从量子密钥分发终端接收的量子密钥进行管理以及物理隔离存储；所述量子密钥包括I/II区量子密钥和III/IV区量子密钥；

所述电力业务终端，用于将所承载的电力业务发送给互联的电力专用量子VPN，属于同一安全大区的两个电力业务终端通过电力专用量子VPN加密传输电力业务；

所述电力专用量子VPN，用于根据互联的电力业务终端所属的不同安全大区从量子密钥管控终端获取相应安全大区的量子密钥，并采用此量子密钥对电力业务进行加密传输。

进一步的，所述量子密钥管控终端包括两个物理隔离的独立存储器件，分别用来存储I/II区量子密钥和III/IV区量子密钥。

进一步的，量子密钥管控终端通过不同端口分别与I/II区电力专用量子VPN、III/IV区电力专用量子VPN相连。

相应的，根据上述系统的一种满足电力业务隔离需求的量子保密通信方法，包括：