一种基于零信任的电力调度量子密码云应用系统及方法技术方案

本发明专利技术公开了一种基于零信任的电力调度量子密码云应用系统及方法，该系统包括电力调度系统、零信任平台和量子密码云平台；基于零信任平台对电力调度业务交互实体进行动态统一身份认证和安全行为持续分析，并动态管控量子密钥获取和业务数据交互权限，保证业务交互实体的身份可信、行为可知、权限可控。利用量子密钥对业务数据进行传输加密、存储加密和运算加密，提高电力调度业务数据交互、存储和使用的安全性。的安全性。的安全性。

【技术实现步骤摘要】
一种基于零信任的电力调度量子密码云应用系统及方法


[0001]本专利技术涉及一种基于零信任的电力调度量子密码云应用系统及方法，属于电力通信


技术介绍

[0002]当前，电力调度系统安全防护措施主要包括身份认证、数据加密及内外网隔离等多个层面。其中，内外网隔离基于物理隔离方式，安全性高。但随着新型电力系统建设，传统的信息安全防护边界日益模糊，对现有的身份认证、数据加密方式提出了挑战。
[0003]在身份认证层面，当前电力调度系统身份认证一般基于证书方式，采用“一次认证、默认安全”的权限控制策略，业务终端/数据访问客户端一旦通过系统认证后，在业务交互过程中/会话有效期内不再重新验证身份，其可持续拥有电力调度系统访问权限。此时，即使业务终端/数据访问客户端进行了异常操作/不安全的操作/甚至超出权限范围的操作，电力调度系统也无法识别，存在较大的安全风险。在电力调度系统内部，缺少对内部人员的行为监测。在电力调度系统外部，尤其是在新型电力系统中，海量分布式新能源、多元负荷接入调度系统，出现了大量的半可信终端和不可信终端。以上人员或终端一旦通过系统认证后，将产生巨大的安全风险。
[0004]在数据加密层面，电力调度系统普遍基于电力光纤专网和符合国密要求的电力专用算法保证业务数据的传输安全，受制于内网环境和现有算力水平，安全性可以得到较好保障。然而，随着新型电力系统建设，海量新能源终端接入调度系统，受制于成本、施工难度等原因，在电网末端无法实现光纤全覆盖，需要采用无线公网等方式，信道安全风险陡增，容易受到外部攻击。同时，由于电力调度系统部署于电力内网，一般基于内网安全假设，在数据调用过程采用直接从数据库读取明文方式，存在业务数据泄漏风险。未来，随着量子计算技术的发展，现有的加密体系也面临很大的安全风险。
[0005]综上，目前对电力调度业务数据的安全增强，并未实现全过程安全提升。

技术实现思路

[0006]本专利技术的目的在于提供一种基于零信任的电力调度量子密码云应用系统及方法，基于零信任理念和量子保密通信技术，在身份认证、数据加密等多个层面，从业务交互实体、业务通信通道和业务数据处理等层面对电力调度系统安全防护方案进行端到端、全过程的安全提升。
[0007]为达到上述目的，本专利技术采用的技术方案如下：本专利技术提供一种基于零信任的电力调度量子密码云应用系统，包括：电力调度系统、零信任平台和量子密码云平台；所述电力调度系统与量子密码云平台、零信任平台相连；所述量子密码云平台和零信任平台相连；所述量子密码云平台用于为电力调度系统供给量子密钥以及对量子密钥进行管
理；所述电力调度系统用于采集电力调控业务数据，以及基于所述量子密码云平台提供的量子密钥上传电力调控业务数据以及下发控制指令；所述零信任平台用于进行电力调度系统交互实体的统一身份认证，生成权限管理策略，将生成的权限管理策略发送至量子密码云平台和电力调度系统；以及对电力调度系统交互实体进行安全行为分析，并根据分析结果更新权限管理策略。
[0008]进一步的，所述电力调度系统包括部署于业务终端侧的电力调度业务终端和终端电力量子纵向加密认证装置，以及，部署于业务主站侧的电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云和微应用。
[0009]进一步的，所述电力调度系统交互实体是指电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云、微应用、零信任平台和量子密码云平台中的任意一个。
[0010]进一步的，所述零信任平台和量子密码云平台均部署于业务主站侧。
[0011]进一步的，所述零信任平台和量子密码云平台均通过API接口与电力调控云相连；所述电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站和主站电力量子纵向加密认证装置均通过FE网口与量子密码云平台相连。
[0012]进一步的，所述零信任平台具体用于，进行电力调度业务交互实体与零信任平台之间的统一身份认证；以及具有数据交互的电力调度业务交互实体之间的身份认证。
[0013]进一步的，所述零信任平台具体用于，在电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证，生成初始权限管控策略；所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥，获取量子密钥的长度、更新频度和总量；以及，允许/拒绝建立通信链接，允许/拒绝访问/操作电力调度系统业务数据；以及，在电力调度业务交互实体数据交互过程中，持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量，根据分析结果触发动态统一身份认证，生成动态权限管控策略。
[0014]进一步的，所述量子密码云平台具体用于，如果电力调度业务交互实体与量子密码云平台相连，则直接向电力调度业务交互实体供给量子密钥；如果电力调度业务交互实体没有与量子密码云平台相连，则向电力调控云供给量子密钥，电力调度业务交互实体从电力调控云获取量子密钥。
[0015]进一步的，所述量子密码云平台具体用于，对量子密钥的生成、分发、存储、备份、更新、撤销、归档、恢复以及安全进行全生命周期管理。
[0016]本专利技术还提供一种基于零信任的电力调度数据传输方法，包括：通过前述的零信任平台对电力调度业务交互实体进行统一身份认证，生成权限管控策略；
统一身份认证通过且获取权限后，通过前述的量子密码云平台向电力调度业务交互实体供给量子密钥；基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输。
[0017]进一步的，所述权限管控策略包括量子密钥获取权限和业务数据交互权限。
[0018]进一步的，所述对电力调度业务交互实体进行统一身份认证包括：电力调度业务交互实体与零信任平台之间的统一身份认证；以及，具有数据交互的电力调度业务交互实体之间的身份认证。
[0019]进一步的，所述对电力调度业务交互实体进行统一身份认证，认证方式至少包括身份信息认证、行为信息认证和安全凭证认证中的任意两种；所述身份信息包括MAC地址、用户生理特征、手机验证码和邮箱验证链接；所述行为信息包括申请通信资源、业务数据读写和修改权限；所述安全凭证包括数字证书和数字签名。
[0020]进一步的，所述对电力调度业务交互实体进行统一身份认证包括初始统一身份认证和动态统一身份认证两种方式；电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证，生成初始权限管控策略；所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥，获取量子密钥的长度、更新频度和总量；以及，允许/拒绝建立通信链接，允许/拒绝访问/操作电力调度系统业务数据；数据交互过程中，满足相应的触发条件时进行动态统一身份认证，生成动态权限管控策略；所述触发条件包括重新建立通信链接或业务会话时；当前通信链接或业务会话申请更高权限时；以及，根据安全行为持续分析结果需要重新认证时；所述动态权限管控策略包括：维持当前权限，收回当前全部权限，指定收回当前某个权限，增加新的权限以及进行二次本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种基于零信任的电力调度量子密码云应用系统，其特征在于，包括：电力调度系统、零信任平台和量子密码云平台；所述电力调度系统与量子密码云平台、零信任平台相连；所述量子密码云平台和零信任平台相连；所述量子密码云平台用于为电力调度系统供给量子密钥以及对量子密钥进行管理；所述电力调度系统用于采集电力调控业务数据，以及基于所述量子密码云平台提供的量子密钥上传电力调控业务数据以及下发控制指令；所述零信任平台用于进行电力调度系统交互实体的统一身份认证，生成权限管理策略，将生成的权限管理策略发送至量子密码云平台和电力调度系统；以及对电力调度系统交互实体进行安全行为分析，并根据分析结果更新权限管理策略。2.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述电力调度系统包括部署于业务终端侧的电力调度业务终端和终端电力量子纵向加密认证装置，以及，部署于业务主站侧的电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云和微应用。3.根据权利要求2所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述电力调度系统交互实体是指电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站、主站电力量子纵向加密认证装置、电力调控云、微应用、零信任平台和量子密码云平台中的任意一个。4.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述零信任平台和量子密码云平台均部署于业务主站侧。5.根据权利要求2所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述零信任平台和量子密码云平台均通过API接口与电力调控云相连；所述电力调度业务终端、终端电力量子纵向加密认证装置、电力调度业务主站和主站电力量子纵向加密认证装置均通过FE网口与量子密码云平台相连。6.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述零信任平台具体用于，进行电力调度业务交互实体与零信任平台之间的统一身份认证；以及具有数据交互的电力调度业务交互实体之间的身份认证。7.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述零信任平台具体用于，在电力调度业务交互实体初次进行数据交互情况下进行初始统一身份认证，生成初始权限管控策略；所述初始权限管控策略包括允许/拒绝从量子密码云平台获取量子密钥，获取量子密钥的长度、更新频度和总量；以及，允许/拒绝建立通信链接，允许/拒绝访问/操作电力调度系统业务数据；以及，在电力调度业务交互实体数据交互过程中，持续分析电力调度业务交互实体之间的本体行为、业务数据和网络流量，根据分析结果触发动态统一身份认证，生成动态权限管控策略。8.根据权利要求3所述的一种基于零信任的电力调度量子密码云应用系统，其特征在
于，所述量子密码云平台具体用于，如果电力调度业务交互实体与量子密码云平台相连，则直接向电力调度业务交互实体供给量子密钥；如果电力调度业务交互实体没有与量子密码云平台相连，则向电力调控云供给量子密钥，电力调度业务交互实体从电力调控云获取量子密钥。9.根据权利要求1所述的一种基于零信任的电力调度量子密码云应用系统，其特征在于，所述量子密码云平台具体用于，对量子密钥的生成、分发、存储、备份、更新、撤销、归档、恢复以及安全进行全生命周期管理。10.一种基于零信任的电力调度数据传输方法，其特征在于，包括：通过权利要求1至9任意一项所述的零信任平台对电力调度业务交互实体进行统一身份认证，生成权限管控策略；统一身份认证通过且获取权限后，通过权利要求1至9任意一项所述的量子密码云平台向电力调度业务交互实体供给量子密钥；基于量子密码云平台供给的量子密钥对采集的调控业务数据进行传输。11.根据权利要求10所述的一种基于零信任的电力调度数...

【专利技术属性】
技术研发人员：冯宝，赵高峰，黄海东，霍雪松，卞宇翔，张天兵，贾玮，裴培，白晨阳，王海清，刘苇，吕超，完颜绍澎，胡倩倩，朱雪阳，李洋，
申请(专利权)人：国网江苏省电力有限公司南京南瑞信息通信科技有限公司国网电力科学研究院有限公司国家电网有限公司，
类型：发明
国别省市：