(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 20221010496 6.4 (22)申请日 2022.01.28 (71)申请人 国电南瑞南京控制系统有限公司 地址 211106 江苏省南京市江宁区诚信大 道19号 申请人 国网电力科 学研究院有限公司 　 国网江苏省电力有限公司电力科 学 研究院　 国家电网有限公司 (72)发明人 卢虹宇　蔡月明　刘明祥　张强　 周俊　王文轩　樊轶　刘遐龄　 杨涛　何钊睿　陈亚楼　邹航　 蒋海生　孙建东　张驰　陆凡　 王佳　高煜钦　陈琛　陈娜　徐晨　 刘润苗　孙淑云　孙健　(74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 张赏 (51)Int.Cl. H04L 9/08(2006.01) H04L 9/32(2006.01) H04L 9/14(2006.01) (54)发明名称 一种基于量子加密的配电纵向加密方法及 系统 (57)摘要 本发明公开了一种基于量子加密的配电纵 向加密方法及系统， 该方法应用量子特性， 基于 BB84原理生成绝对安全的量子密钥； 基于数字证 书的双向认证技术， 实现配电终端与配电主站、 安全网关之间的双向身份鉴别， 有效的防范了伪 造终端身份、 重放攻击等攻击形式； 利用基于对 称密码算法的数据加密和消息认证技术确保业 务数据的保密性和完整性。 权利要求书3页 说明书8页 附图2页 CN 114553404 A 2022.05.27 CN 114553404 A 1.一种基于量子加密的配电纵向加密方法， 其特 征在于， 包括： 基于量子密钥网络QKD生成对称的量子密钥； 将所述量子密钥网络QKD生成的量子密钥分发给配电主站和配电终端； 分别对配电终端与安全网关、 配电终端与配电主站进行双 向身份认证， 认证通过后配 电主站与配电终端之间建立 通信连接； 通过认证的配电主站和配电终端双方基于获取的量子密钥进行业 务数据交 互。 2.根据权利要求1所述的一种基于量子加密的配电纵向加密方法， 其特征在于， 对配电 终端与安全网关进行双向身份认证包括： 配电主站向安全 网关发起与配电终端进行连接的请求； 同时安全 网关发起与配电终端 之间的TCP连接； 安全网关产生随机数R1发送给配电终端并保存， 配电终端获取随机数R2， 将R1+R2签名 后发送给配电主站； 安全网关用配电终端证书验证签名有 效性， 验证通过完成配电主站对配电终端的身份 认证； 安全网关对配电终端随机数R2进行签名， 将签名结果发送配电终端； 配电终端验证安全 网关签名的正确性， 验证通过完成配电终端对安全 网关的身份认证 并返回认证确认信息； 安全网关将连接成功的结果返回给配电主站。 3.根据权利要求1所述的一种基于量子加密的配电纵向加密方法， 其特征在于， 对配电 终端与配电主站进行双向身份认证包括： 配电主站从配电加密认证装置获取配电主站随机数R 1， 发送给配电终端； 配电终端获取随机数R2， 将R 1+R2签名后发送给配电主站， 并保存R 1； 配电主站验证 配电终端签名有效性， 验证通过完成配电主站对配电终端的身份； 配电主站对配电终端随机数R2签名， 将结果发送配电终端； 配电终端验证配电主站签名的正确性， 验证通过完成配电终端对配电主站的身份认证 并返回认证确认信息 。 4.根据权利要求1所述的一种基于量子加密的配电纵向加密方法， 其特征在于， 所述通 过认证的配电主站和配电终端双方基于获取的量子密钥进行业 务数据交 互， 包括： 如果配电主站与配电终端之间交 互的为信息采集类报文， 则数据交 互过程为， 配电终端基于获取的量子密钥， 结合加密算法将要上传的业务报文进行加密并计算消 息认证码MAC， 将密文数据和 消息认证码MAC  作为上行报文的数据域， 发送给配电主站； 配电主站接收报文后， 验证消息认证码MAC的正确性； 对验证正确的报文解密获得明文数据。 5.根据权利要求1所述的一种基于量子加密的配电纵向加密方法， 其特征在于， 所述通 过认证的配电主站和配电终端双方基于获取的量子密钥进行业 务数据交 互， 包括： 如果配电主站与配电终端之间交 互的为控制类报文， 则数据交 互过程为， 配电主站对要下发的业 务报文加入随机数和时间因子认证， 并进行签名； 将签名数据和原 始报文数据采用获取的量子密钥进行加密后发送给配电终端；权　利　要　求　书 1/3 页 2 CN 114553404 A 2配电终端接收到数据后进行解密， 获得原始报文数据和签名数据， 并判断指令时效， 验 证配电主站签名的正确性； 如果验证不 正确则返回配电主站错 误信息， 验证正确则执 行相关操作。 6.根据权利要求1所述的一种基于量子加密的配电纵向加密方法， 其特征在于， 还包括 定期进行量子密钥更新的步骤如下： 配电主站向配电终端发送获取密钥版本号指令， 配电终端读取对称密钥版本号， 返回 配电主站； 配电主站通过密钥版本号判断配电终端的密钥版本， 通过量子密钥 网络QKD获取更新 的量子密钥； 配电主站对更新的量子密钥进行签名， 并使用上一次的量子密钥进行对称加密； 配电主站将加密的数据和签名结果发送给配电终端； 配电终端对获取的数据进行解密并验证 签名； 配电终端将签名验证通过的量子密钥发送到安全芯片或量子U盾进行量子密钥更新。 7.一种基于量子加密的配电纵向加密系统， 其特征在于， 包括： 配电终端， 配电主站， 量 子密钥网络QKD， 离线量子密钥充注系统和认证模块； 所述配电终端和配电主站为 通信的双方； 所述量子密钥网络QKD用于生成通信双方的对称的量子密钥； 所述配电主站和配电终端双方用于基于从所述量子密钥网络QKD获取的量子密钥进行 业务数据交 互； 所述认证模块用于分别对配电终端与安全 网关、 配电终端与配电主站进行双向身份认 证， 认证通过后使配电主站与配电终端之间建立 通信连接 。 8.根据权利要求7所述的一种基于量子加密的配电纵向加密系统， 其特征在于， 所述配 电主站通过量子通道接入量子密钥网络QKD， 定时获取配电主站和配电终端量子密钥。 9.根据权利要求7所述的一种基于量子加密的配电纵向加密系统， 其特征在于， 所述配 电终端配置安全芯片或量子U盾， 所述配电终端的安全芯片或量子U盾通过离线量子密钥充 注系统接入量子密钥网络QKD， 获取量子密钥。 10.根据权利要求7所述的一种基于量子加密的配电纵向加密系统， 其特征在于， 所述 认证模块具体用于， 通过安全网关产生随机数R1发送给配电终端并保存， 配电终端取随机数R2， 将R1+R2签 名后发送给配电主站； 通过安全网关用配电终端证书验证签名有效性， 验证通过完成配电主站对配电终端的 身份认证； 通过安全网关对配电终端随机数R2进行签名， 将签名结果发送配电终端； 通过配电终端验证安全 网关签名的正确性， 验证通过完成配电终端对安全 网关的身份 认证并返回认证确认信息； 通过安全网关将连接成功的结果返回给配电主站； 以及， 通过配电主站从配电加密认证装置获取配电主站随机数R 1， 发送给配电终端； 通过配电终端取随机数R2， 将R 1+R2签名后发送给配电主站， 并保存R 1；权　利　要　求　书 2/3 页 3 CN 114553404 A 3