基于量子安全通道的配电终端点对点密钥协商方法及装置与流程

1.本发明涉及数据传输技术领域，尤其涉及一种基于量子安全通道的配电终端点对点密钥协商方法及装置。


背景技术：

2.近年来，国家一直在推动电网与互联网深度融合，着力构建能源互联网。通过充分应用移动互联、人工智能、5g通信、北斗和量子保密等现代信息技术和先进通信技术，实现电力系统各个环节万物互联、人机交互，打造状态全面感知、信息高效处理、应用便捷灵活的智能电网，为电网安全经济运行、提高经营绩效、改善服务质量以及培育发展战略性新兴产业，提供强有力的数据资源支撑。
3.随着5g技术的逐步成熟，电力系统逐步考虑将海量的配电终端系统，根据应用场景通信情况，采用5g技术进行数据传输。但随之而来的是配电业务在业务信息、业务模式、业务载体等方面都面临着新的安全威胁，若网络遭入侵，将会严重影响各类关键系统的稳定运行，进而严重威胁经济社会稳定和人民生产生活。传统依靠物理隔离、部署安全手段的纵深防御体系不再适用5g网络，如何进行有效业务安全防护成为急需解决的全新问题。
4.量子保密通信技术利用量子不确定性原理与量子态不可复制的特性进行安全密钥分发，攻击者无法测量和复制密钥（量子态），且一旦进行窃听即会被发现，具有比传统密钥分发机制更高的安全性，也是目前实用化程度最高的量子技术。因此，探索利用量子保密通信安全防护技术与现有5g网络安全防护技术兼容机制，提升5g网络在电力系统应用中得安全等级，对提升调度自动化业务在5g系统网络中运行具有重要意义。
5.国内公司完成了国内首个以5g+量子通信终端承载精准负荷控制业务的验证，进一步提出了推广性强、部署简洁的5g+量子通信终端的应用解决方案，5g+量子通信终端具备5g通信和量子保密双重功能，能够应用于各类型业务场景，解决了公网5g网络承载电力生产控制类业务的安全性、可靠性问题。作为国内首次将5g通信技术、量子加密技术与电力业务设备的融合应用，该应用既发挥出5g高带宽、低时延、广链接的优势，又发挥量子通信的安全可靠优势，能够为5g+量子在电力中的应用提供科技研究、实验验证、性能测试、安全分析、创新研发等全方位支撑能力。
6.如图1所示是量子安全服务平台网络基础架构设计图，主要包括量子密钥生成系统、量子密钥调度系统、量子密钥应用系统，各部分功能如下：1.量子密钥生成系统，包括量子密钥生成与管理终端，量子随机数发生器，主要功能为：利用量子特性生成量子密钥，为前端系统提供量子密钥支撑。
7.2.量子密钥调度系统，包括交换密码机，量子密码服务平台系统，量子密钥充注系统，主要功能为：交换密码机负责量子密钥存储及输出；量子密码服务平台系统负责实现量子密钥的调度和协商，确保量子密钥可以安全有序的分发至量子密钥应用系统；量子密钥充注系统，负责将量子密钥通过u盾/tf卡等方式进行充注，并在量子密钥应用终端使用。
8.3.量子密钥应用系统，包括量子安全网关和量子cpe，主要功能为：利用量子密钥
构建量子安全加密传输通道，提升5g传输通道的安全等级，确保业务系统数据可以安全的传输至无线安全接入区，并通过安全接入区传输至电力内网主站系统。
9.现有的量子保密通信方案是通过量子密钥分发将量子密钥分发至量子cpe和配电终端，通过密钥协商建立量子cpe与配电终端之间的量子安全通道。其量子密钥一般由量子密钥生成系统生成，而密钥的分发则由量子密钥分发系统完成，但是在配电终端之间如何建立安全通道还没有一种高效的方式。


技术实现要素：

10.本发明实施例提供一种基于量子安全通道的配电终端点对点密钥协商方法及装置，能够通过配电终端之间进行点对点的协商得到相应的密钥，保障数据传输的安全性。
11.本发明实施例的第一方面，提供一种基于量子安全通道的配电终端点对点密钥协商方法，第一配电终端、第二配电终端以及中继设备，所述第一配电终端、第二配电终端以及中继设备分别与量子网络基础平台连接，通过以下步骤在所述第一配电终端和第二配电终端之间进行密钥协商，包括：所述第一配电终端和所述中继设备基于接收到的第一传输密钥、中继密钥建立第一信道 ，所述第二配电终端和所述中继设备基于接收到的第二传输密钥、中继密钥生成第二信道；第一配电终端基于当前时刻的属性信息和数据抓取信息生成第一协商密钥，所述第一协商密钥经过所述第一信道传输至中继设备，中继设备基于所述第一信道和第二信道的属性生成中间协商密钥，将所述第一协商密钥、中间协商密钥分别发送至所述第二配电终端；第二配电终端基于当前时刻的属性信息和数据抓取信息生成第二协商密钥，所述第二协商密钥经过所述第二信道传输至中继设备，中继设备基于所述第二信道和第一信道的属性生成中间协商密钥，将所述第二协商密钥、中间协商密钥分别发送至所述第一配电终端；所述第一配电终端和第二配电终端分别基于所述第一协商密钥、中继密钥、第二协商密钥生成第一组合密钥和第二组合密钥；若中继设备判断所述第一组合密钥和第二组合密钥相同，则第一配电终端和所述第二配电终端基于所述第一组合密钥和第二组合密钥建立数据传输信道。
12.可选地，在第一方面的一种可能实现方式中，所述量子网络基础平台用于生成第一传输密钥、中继密钥以及第二传输密钥；基于量子安全服务引擎和终端密钥分发系统将所述第一传输密钥、中继密钥以及第二传输密钥分别分发至第一配电终端、中继设备以及第二配电终端。
13.可选地，在第一方面的一种可能实现方式中，所述第一配电终端和所述第二配电终端的属性信息预先设置。可选地，在第一方面的一种可能实现方式中，第一配电终端基于当前时刻的属性信息和数据抓取信息生成第一协商密钥包括：获取当前时刻第一配电终端的电能监测数据，抓取所述电能监测数据中的第一电能信息和第二电能信息，所述数据抓取信息包括所述第一电能信息和第二电能信息；所述属性信息包括第一配电终端的编码信息值和当前时刻的时间信息，对所述时
间信息量化处理得到量化后的时间值；通过以下公式计算第一协商密钥，其中，为第一协商密钥，为第一电能信息的权重值，为第一电能信息的量值，为第二电能信息的权重值，为第二电能信息的量值，为第一配电终端的编码信息值，为第一配电终端量化后的时间值，为预设的调整值；中继设备基于所述第一信道和第二信道的属性生成中间协商密钥包括：中继设备获取所述第一信道建立的第一时刻以及所述第二信道建立的第二时刻，基于所述第一时刻和第二时刻生成中间协商密钥。
14.可选地，在第一方面的一种可能实现方式中，第二配电终端基于当前时刻的属性信息和数据抓取信息生成第二协商密钥，所述第二协商密钥经过所述第二信道传输至中继设备包括：获取第二配电终端在当前时刻的电能监测数据，抓取所述电能监测数据中的第三电能信息和第四电能信息，所述数据抓取信息包括所述第三电能信息和第四电能信息；所述属性信息包括第二配电终端的编码信息值和当前时刻的时间信息，对所述时间信息量化处理得到量化后的时间值；通过以下公式计算第二协商密钥，其中，为第二协商密钥，为第三电能信息的权重值，为第三电能信息的量值，为第四电能信息的权重值，为第四电能信息的量值，为第二配电终端的编码信息值，为第二配电终端量化后的时间值，为预设的调整值；中继设备基于所述第二信道和第一信道的属性生成中间协商密钥包括：中继设备获取所述第一信道建立的第一时刻以及所述第二信道建立的第二时刻，基于所述第一时刻和第二时刻生成中间协商密钥。
15.可选地，在第一方面的一种可能实现方式中，所述第一配电终端和第二配电终端分别基于所述第一协商密钥、中继密钥、第二协商密钥生成第一组合密钥和第二组合密钥包括：第一配电终端和第二配电终端分别获取所述第一配电终端和第二配电终端的编码信息值，基于所述编码信息值将所述第一协商密钥、中继密钥、第二协商密钥分别填入至预先设置的密钥生成模板中生成第一组合密钥和第二组合密钥。
16.可选地，在第一方面的一种可能实现方式中，基于所述编码信息值将所述第一协商密钥、中继密钥、第二协商密钥分别填入至预先设置的密钥生成模板中生成第一组合密钥和第二组合密钥包括：
所述密钥生成模板包括第一槽位、第二槽位以及第三槽位；若第一配电终端的编码信息值大于第二配电终端的编码信息值，则将所述第一组合密钥置于所述第一槽位、第二组合密钥置于所述第三槽位、将所述中继密钥设置于第二槽位。
17.可选地，在第一方面的一种可能实现方式中，若中继设备判断所述第一组合密钥和第二组合密钥相同，则第一配电终端和所述第二配电终端基于所述第一组合密钥和第二组合密钥建立数据传输信道包括：第一配电终端和所述第二配电终端生成所述第一组合密钥和第二组合密钥后分别发送至所述中继设备；中继设备判断所述第一组合密钥和第二组合密钥相同，则向第一配电终端发送请求指令、向所述第二配电终端发送接收指令；所述第一配电终端在接收到所述请求指令后以所述第一组合密钥为请求基础向所述第二配电终端请求建立数据传输信道；所述第二配电终端基于所述接收指令接收第一配电终端的请求，根据所述第二组合密钥对第一组合密钥验证，若第一组合密钥与所述第二组合密钥相同，则所述第一配电终端与所述第二配电终端基于所述第一组合密钥建立数据传输信道。
18.可选地，在第一方面的一种可能实现方式中，所述第一配电终端和第二配电终端分别具有唯一的编码信息值。
19.本发明实施例的第二方面，提供一种基于量子安全通道的配电终端点对点密钥协商装置，第一配电终端、第二配电终端以及中继设备，所述第一配电终端、第二配电终端以及中继设备分别与量子网络基础平台连接，通过以下装置在所述第一配电终端和第二配电终端之间进行密钥协商，包括：第一信道建立模块，用于使所述第一配电终端和所述中继设备基于接收到的第一传输密钥、中继密钥建立第一信道 ，所述第二配电终端和所述中继设备基于接收到的第二传输密钥、中继密钥生成第二信道；第一密钥协商模块，用于使第一配电终端基于当前时刻的属性信息和数据抓取信息生成第一协商密钥，所述第一协商密钥经过所述第一信道传输至中继设备，中继设备基于所述第一信道和第二信道的属性生成中间协商密钥，将所述第一协商密钥、中间协商密钥分别发送至所述第二配电终端；第二密钥协商模块，用于使第二配电终端基于当前时刻的属性信息和数据抓取信息生成第二协商密钥，所述第二协商密钥经过所述第二信道传输至中继设备，中继设备基于所述第二信道和第一信道的属性生成中间协商密钥，将所述第二协商密钥、中间协商密钥分别发送至所述第一配电终端；组合模块，用于使所述第一配电终端和第二配电终端分别基于所述第一协商密钥、中继密钥、第二协商密钥生成第一组合密钥和第二组合密钥；第二信道建立模块，若中继设备判断所述第一组合密钥和第二组合密钥相同，则第一配电终端和所述第二配电终端基于所述第一组合密钥和第二组合密钥建立数据传输信道。
20.本发明实施例的第三方面，提供一种可读存储介质，所述可读存储介质中存储有
计算机程序，所述计算机程序被处理器执行时用于实现本发明第一方面及第一方面各种可能设计的所述方法。
21.本发明提供的一种基于量子安全通道的配电终端点对点密钥协商方法及装置，首先根据量子网络基础平台使第一配电终端、第二配电终端以及中继设备建立量子通讯信道，然后根据第一配电终端、第二配电终端的属性分别生成第一协商密钥和第二协商密钥，通过中继设备将第一协商密钥和第二协商密钥分别发送实现第一配电终端和第二配电终端之间的密钥协商，使得第一配电终端和第二配电终端处分别根据第一协商密钥、第二协商密钥以及中间协商密钥生成相应的第一组合密钥和第二组合密钥，使得每个终端在生成密钥时都会充分考虑其他终端的情况、获取其他终端的信息，使得所生成的密钥会根据当前的数据传输场景进行变化，保障了在第一配电终端和第二配电终端之间所建立的数据传输信道的安全性。
22.本发明在生成第一协商密钥和第二协商密钥时，会充分考虑第一配电终端和第二配电终端的属性信息、当前的电力数据抓取信息以及当前时刻的时间信息，保障第一协商密钥和第二协商密钥不会出现重复的情况。并且第一协商密钥和第二协商密钥是动态变化的，在动态变化时会与第一配电终端和第二配电终端存在一定的关联，既保障了第一协商密钥和第二协商密钥的可循性，又保障了其具有一定的随机性。
23.本发明在生成第一组合密钥和第二组合密钥时，会根据第一配电终端和第二配电终端的编码信息对第一协商密钥、中继密钥、第二协商密钥进行排序，并将排序结果填入至相应的槽位中，使得能够快速的将第一协商密钥、中继密钥、第二协商密钥进行结合得到组合密钥，提高了组合密钥生成的效率。
附图说明
24.图1为量子网络基础平台的连接结构示意图；图2为基于量子安全通道的配电终端点对点密钥协商方法的第一种实施方式的流程图；图3为基于量子安全通道的配电终端点对点密钥协商方法的第二种实施方式的流程图；图4为基于量子安全通道的配电终端点对点密钥协商装置的第一种实施方式的结构图；图5为配电终端和cpe之间的通道示意图；图6为配电终端和配电终端之间的通道示意图。
具体实施方式
25.为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
26.本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”“第四”等（如果存在）是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理
解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。
27.应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。
28.应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。
29.应当理解，在本发明中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，a和/或b，可以表示：单独存在a，同时存在a和b，单独存在b这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含a、b和c”、“包含a、b、c”是指a、b、c三者都包含，“包含a、b或c”是指包含a、b、c三者之一，“包含a、b和/或c”是指包含a、b、c三者中任1个或任2个或3个。
30.应当理解，在本发明中，“与a对应的b”、“与a相对应的b”、“a与b相对应”或者“b与a相对应”，表示b与a相关联，根据a可以确定b。根据a确定b并不意味着仅仅根据a确定b，还可以根据a和/或其他信息确定b。a与b的匹配，是a与b的相似度大于或等于预设的阈值。
31.取决于语境，如在此所使用的“若”可以被解释成为“在
……
时”或“当
……
时”或“响应于确定”或“响应于检测”。
32.下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。
33.本发明提供一种基于量子安全通道的配电终端点对点密钥协商方法，第一配电终端、第二配电终端以及中继设备，所述第一配电终端、第二配电终端以及中继设备分别与量子网络基础平台连接，如图1所示，量子安全网关可以看做是第一配电终端或第二配电终端所连接的网关。
34.所述量子网络基础平台用于生成第一传输密钥、中继密钥以及第二传输密钥；基于量子安全服务引擎和终端密钥分发系统将所述第一传输密钥、中继密钥以及第二传输密钥分别分发至第一配电终端、中继设备以及第二配电终端。本发明可以通过量子密钥生成系统生成第一传输密钥、中继密钥以及第二传输密钥。
35.所述中继设备为量子cpe，量子cpe通过量子安全tf卡的充注密钥对中继密钥解密；量子cpe和第一配电终端分别基于所述中继密钥和第一传输密钥建立第一信道；量子cpe和第二配电终端分别基于所述中继密钥和第二传输密钥建立第二信道。第一信道和第二信道可以看做是图中的量子安全加密隧道。
36.如图2所示，配电终端点对点密钥协商方法具体包括：步骤s110、所述第一配电终端和所述中继设备基于接收到的第一传输密钥、中继密钥建立第一信道 ，所述第二配电终端和所述中继设备基于接收到的第二传输密钥、中继密钥生成第二信道。本发明提供的技术方案，第一信道和第二信道可以是量子安全加密隧道，通过该量子安全加密隧道可以保障第一配电终端和中继设备之间、第二配电终端和中继设备之间的数据传输的安全性。
37.步骤s120、第一配电终端基于当前时刻的属性信息和数据抓取信息生成第一协商密钥，所述第一协商密钥经过所述第一信道传输至中继设备，中继设备基于所述第一信道和第二信道的属性生成中间协商密钥，将所述第一协商密钥、中间协商密钥分别发送至所述第二配电终端。第一配电终端和所述第二配电终端的属性信息预先设置。
38.在步骤s120的一种实施方式中，步骤s120具体包括：获取当前时刻第一配电终端的电能监测数据，抓取所述电能监测数据中的第一电能信息和第二电能信息，所述数据抓取信息包括所述第一电能信息和第二电能信息。本发明中的当前时刻可以是第一配电终端与中继设备之间建立第一信道的时刻，该第一时刻可以是2020年10月15日12时19分。由于第一配电终端会进行配电，在配电过程中会产生相应的配电电压、配电电流、配电功率等等。本发明中的第一电能信息和第二电能信息可以是配电电压、配电电流、配电功率等等。第一电能信息和第二电能信息可以是1000v、20a等等，对于第一电能信息和第二电能信息的具体形式，本发明不做任何限定。
39.所述属性信息包括第一配电终端的编码信息值和当前时刻的时间信息，对所述时间信息量化处理得到量化后的时间值。本发明会对时间值进行量化，使其成为一个数值，例如说2020年10月15日12时19分，本发明可以直接将其量化为202010151219，将其统计为一个数字，对其进行量化的目的是其方便用于计算、生成密钥。编码信息值可以是预先设置的，本发明的技术方案中，每个第一配电终端和第二配电终端分别具有唯一的编码信息值，编码信息值可以是阿拉伯数字，例如说11100、11421等等。
40.通过以下公式计算第一协商密钥，其中，为第一协商密钥，为第一电能信息的权重值，为第一电能信息的量值，为第二电能信息的权重值，为第二电能信息的量值，为第一配电终端的编码信息值，为第一配电终端量化后的时间值，为预设的调整值。
41.通过可以得到第一配电终端在电能维度上的相关数量值，通过可以得到第一配电终端在其自身编码和对电能信息的采集时间值，其中为固定的，、以及都是随着时间的变化、用电场景的变化而动态变化的。通过可以对的量值进行调整，使得第一协商密钥能够达到相应的位数。
42.所生成的第一协商密钥中，会具有第一配电终端的编码信息、时间信息以及电能信息，由于时间信息以及电能信息都是动态变化的，所以会使第一协商密钥也是动态变化的，保障该第一动态密钥不会被破译。
43.中继设备基于所述第一信道和第二信道的属性生成中间协商密钥包括：中继设备获取所述第一信道建立的第一时刻以及所述第二信道建立的第二时刻，基于所述第一时刻和第二时刻生成中间协商密钥。本发明在第一配电终端和第二配电终端之间建立数据传输通道时，中继设备会进行参与，其会根据第一信道建立的第一时刻以及
第二信道建立的第二时刻得到中间协商密钥，中间协商密钥=第一时刻+第二时刻，其中和可以是一天中的某个时间，例如说07:52:57和10:02:37，07:52:57则为75257，100237则为，中间协商密钥=75257+100237。
44.步骤s130、第二配电终端基于当前时刻的属性信息和数据抓取信息生成第二协商密钥，所述第二协商密钥经过所述第二信道传输至中继设备，中继设备基于所述第二信道和第一信道的属性生成中间协商密钥，将所述第二协商密钥、中间协商密钥分别发送至所述第一配电终端。
45.其中，步骤s130具体包括：获取第二配电终端在当前时刻的电能监测数据，抓取所述电能监测数据中的第三电能信息和第四电能信息，所述数据抓取信息包括所述第三电能信息和第四电能信息。本发明中的当前时刻可以是第一配电终端与中继设备之间建立第二信道的时刻，该第二时刻可以是2020年10月15日14时21分。由于第二配电终端会进行配电，在配电过程中会产生相应的配电电压、配电电流、配电功率等等。本发明中的第三电能信息和第四电能信息可以是配电电压、配电电流、配电功率等等。第三电能信息和第四电能信息可以是1000v、20a等等，对于第三电能信息和第四电能信息的具体形式，本发明不做任何限定。
46.所述属性信息包括第二配电终端的编码信息值和当前时刻的时间信息，对所述时间信息量化处理得到量化后的时间值。本发明会对时间值进行量化，使其成为一个数值，例如说2020年10月15日14时21分，本发明可以直接将其量化为202010151421，将其统计为一个数字，对其进行量化的目的是其方便用于计算、生成密钥。编码信息值可以是预先设置的，本发明的技术方案中，每个第一配电终端和第二配电终端分别具有唯一的编码信息值，编码信息值可以是阿拉伯数字，例如说11100、11421等等。
47.通过以下公式计算第二协商密钥，其中，为第二协商密钥，为第三电能信息的权重值，为第三电能信息的量值，为第四电能信息的权重值，为第四电能信息的量值，为第二配电终端的编码信息值，为第二配电终端量化后的时间值，为预设的调整值。
48.通过可以得到第二配电终端在电能维度上的相关数量值，通过可以得到第二配电终端在其自身编码和对电能信息的采集时间值，其中为固定的，、以及都是随着时间的变化、用电场景的变化而动态变化的。通过可以对的量值进行调整，使得第二协商密钥能够达到相应的位数。
49.所生成的第一协商密钥中，会具有第一配电终端的编码信息、时间信息以及电能
信息，由于时间信息以及电能信息都是动态变化的，所以会使第一协商密钥也是动态变化的，保障该第一动态密钥不会被破译。
50.中继设备基于所述第二信道和第一信道的属性生成中间协商密钥包括：中继设备获取所述第一信道建立的第一时刻以及所述第二信道建立的第二时刻，基于所述第一时刻和第二时刻生成中间协商密钥。该步骤与步骤s120的步骤相似，本发明不再赘述。
51.步骤s140、所述第一配电终端和第二配电终端分别基于所述第一协商密钥、中间协商密钥、第二协商密钥生成第一组合密钥和第二组合密钥。
52.本发明实施例提供的技术方案，步骤s140具体包括：第一配电终端和第二配电终端分别获取所述第一配电终端和第二配电终端的编码信息值，基于所述编码信息值将所述第一协商密钥、中间协商密钥、第二协商密钥分别填入至预先设置的密钥生成模板中生成第一组合密钥和第二组合密钥。
53.其中，基于所述编码信息值将所述第一协商密钥、中间协商密钥、第二协商密钥分别填入至预先设置的密钥生成模板中生成第一组合密钥和第二组合密钥包括：所述密钥生成模板包括第一槽位、第二槽位以及第三槽位。密钥生成模板可以是
□‑□‑□
，第一个方框为密钥生成模板的第一槽位、第二个方框为密钥生成模板的第二槽位、第三个方框为密钥生成模板的第三槽位。
54.若第一配电终端的编码信息值大于第二配电终端的编码信息值，则将所述第一组合密钥置于所述第一槽位、第二组合密钥置于所述第三槽位、将所述中继密钥设置于第二槽位。
55.本发明在将第一协商密钥、中间协商密钥、第二协商密钥分别填入至密钥生成模板中时，可以是根据每个配电终端的编码信息值进行确定，例如说第一配电终端的编码信息值是11100，第二配电终端的编码信息值是11421，则第二配电终端的编码信息值大于第一配电终端的编码信息值，此时本发明会将第一配电终端对应的第一协商密钥填入至第三槽位，将第二配电终端对应的第二协商密钥填入至第一槽位。此时的第一组合密钥和第二组合密钥是第二协商密钥的数字
‑
中继密钥的数字
‑
第一组合密钥的数字。
56.会根据第一配电终端和第二配电终端的编码信息对第一协商密钥、中间协商密钥、第二协商密钥进行排序，并将排序结果填入至相应的槽位中，使得能够快速的将第一协商密钥、中间协商密钥、第二协商密钥进行结合得到组合密钥，提高了组合密钥生成的效率。
57.步骤s150、若中继设备判断所述第一组合密钥和第二组合密钥相同，则第一配电终端和所述第二配电终端基于所述第一组合密钥和/或第二组合密钥建立数据传输信道。
58.本发明提供的技术方案，如图3所示，步骤s150具体包括：步骤s1501、第一配电终端和所述第二配电终端生成所述第一组合密钥和第二组合密钥后分别发送至所述中继设备。第一配电终端和所述第二配电终端会将各自分别生成的第一组合密钥和第二组合密钥后分别发送至所述中继设备以寻求验证。
59.步骤s1502、中继设备判断所述第一组合密钥和第二组合密钥相同，则向第一配电终端发送请求指令、向所述第二配电终端发送接收指令。当第一组合密钥和第二组合密钥是相同的时，作为第三方的中继设备会分别向第一配电终端和第二配电终端发送相应的指
令，在进行指令发送之前，中继设备会判断第一配电终端和所述第二配电终端的编码信息值的关系，本发明会将编码信息值大的终端作为第二配电终端，将编码信息值小的终端作为第二配电终端。该种方式的设定，会使中继设备根据第一配电终端和第二配电终端之间能够固定数据传输通道的建立方式。即向第一配电终端发送请求指令、向所述第二配电终端发送接收指令。
60.步骤s1503、所述第一配电终端在接收到所述请求指令后，以所述第一组合密钥为请求基础，向所述第二配电终端请求建立数据传输信道。本发明提供的技术方案，第一配电终端在接收到所述请求指令后会请求第二配电终端与其建立数据传输信道。
61.步骤s1504、所述第二配电终端基于所述接收指令接收第一配电终端的请求，根据所述第二组合密钥对第一组合密钥验证，若第一组合密钥与所述第二组合密钥相同，则所述第一配电终端与所述第二配电终端基于所述第一组合密钥建立数据传输信道。第二配电终端在接收到第一配电终端的请求后对第一配电终端发送的第一组合密钥进行验证，当第一组合密钥与所述第二组合密钥相同，此时第一配电终端与所述第二配电终端建立数据传输信道。此时数据传输信道中所传输数据的加密密钥即为第一组合密钥。
62.本发明的实施例还提供一种基于量子安全通道的配电终端点对点密钥协商装置，第一配电终端、第二配电终端以及中继设备，所述第一配电终端、第二配电终端以及中继设备分别与量子网络基础平台连接，通过以下装置在所述第一配电终端和第二配电终端之间进行密钥协商，如图4所示，配电终端点对点密钥协商装置具体包括：第一信道建立模块，用于使所述第一配电终端和所述中继设备基于接收到的第一传输密钥、中继密钥建立第一信道 ，所述第二配电终端和所述中继设备基于接收到的第二传输密钥、中继密钥生成第二信道；第一密钥协商模块，用于使第一配电终端基于当前时刻的属性信息和数据抓取信息生成第一协商密钥，所述第一协商密钥经过所述第一信道传输至中继设备，中继设备基于所述第一信道和第二信道的属性生成中间协商密钥，将所述第一协商密钥、中间协商密钥分别发送至所述第二配电终端；第二密钥协商模块，用于使第二配电终端基于当前时刻的属性信息和数据抓取信息生成第二协商密钥，所述第二协商密钥经过所述第二信道传输至中继设备，中继设备基于所述第二信道和第一信道的属性生成中间协商密钥，将所述第二协商密钥、中间协商密钥分别发送至所述第一配电终端；组合模块，用于使所述第一配电终端和第二配电终端分别基于所述第一协商密钥、中间协商密钥、第二协商密钥生成第一组合密钥和第二组合密钥；第二信道建立模块，若中继设备判断所述第一组合密钥和第二组合密钥相同，则第一配电终端和所述第二配电终端基于所述第一组合密钥和/或第二组合密钥建立数据传输信道。
63.在本发明的另外一种实施方式中，如图5所示，设定量子cpe和第i个配电终端之间的共享密钥为。现需要为配电终端之间两两建立安全通道，例如，为配电终端和配电终端建立一个安全通道（即利用和为和协商出一个共享密钥）。设计配电终端之间的密钥协商机制。两个配电终端之间的密钥协商主要分为三个阶段，第一阶
段通过量子cpe的中转将传给，而后第二阶段同样通过量子cpe将传给，最后第三阶段双方利用相同哈希函数得出一致的共享密钥。双方交换的具体内容如下表所示：基本思路：（1）步骤001，随机生成一个数，并通过与量子cpe之间的安全量子通道把n
i
发送给量子cpe。
64.（2）步骤002，量子cpe通过自己与之间的安全量子通道把n
i
转发给。
65.（3）步骤003，随机生成一个数，并通过与量子cpe之间的安全量子通道把发送给量子cpe。
66.（4）步骤004，量子cpe通过自己与之间的安全量子通道把转发给。
67.（5）如前4个步骤无误，和各自计算。得到的k就是和之间的共享密钥。
68.（6）步骤005，如出现网络故障或传输错误，每一方都可传输005号error给其余两者，收到rst的一方清空之前建立的消息队列，强制刚才参与协商的对象重新从001号消息开始密钥协商。
69.在本发明的另外一种实施方式中，如图6所示，设定配电终端和之间的安全通道已被建立，且共享密钥为k。现需要认证所协商出的密钥k的安全性和正确性。保证密钥协商结果的正确性。两个配电终端之间的验证过程分为四个阶段。第一阶段，利用共享密钥k和对方的公钥通过哈希函数映射到一个值，而后通过刚才双方建立的安全通道将其发给。第二阶段，在收到之后，其验证自己的公钥和自己算出的共享密钥k经过哈希映射后是否能得到相同的t值。此时如果验证通过进入第三阶段，否则密钥协商失败，发送005号消息重新协商。第三阶段，利用共享密钥k和对方的公钥通过哈希
函数映射到一个值，并把发给。第四阶段，在收到之后，其验证自己的公钥和自己算出的共享密钥k经过哈希映射后是否能得到相同的t值。此时如果相等，则验证通过，否则密钥协商失败，发送005号消息重新协商。交换的具体内容如下表所示：基本思路：（1）步骤006，计算，并把发送给。
70.（2）步骤007，收到后，计算并比较是否等于，如果相等，则验证通过，否则密钥协商失败，发送005号消息重新协商。
71.如果验证通过，进入步骤008，计算，并把发送给。
72.（3）步骤009，收到后，计算，并比较是否等于，如果相等，则验证通过，否则密钥协商失败，发送005号消息重新协商。
73.其中，可读存储介质可以是计算机存储介质，也可以是通信介质。通信介质包括便于从一个地方向另一个地方传送计算机程序的任何介质。计算机存储介质可以是通用或专用计算机能够存取的任何可用介质。例如，可读存储介质耦合至处理器，从而使处理器能够从该可读存储介质读取信息，且可向该可读存储介质写入信息。当然，可读存储介质也可以是处理器的组成部分。处理器和可读存储介质可以位于专用集成电路(application specific integrated circuits，简称：asic)中。另外，该asic可以位于用户设备中。当然，处理器和可读存储介质也可以作为分立组件存在于通信设备中。可读存储介质可以是只读存储器（rom）、随机存取存储器（ram）、cd
‑
rom、磁带、软盘和光数据存储设备等。
74.本发明还提供一种程序产品，该程序产品包括执行指令，该执行指令存储在可读存储介质中。设备的至少一个处理器可以从可读存储介质读取该执行指令，至少一个处理器执行该执行指令使得设备实施上述的各种实施方式提供的方法。
75.在上述终端或者服务器的实施例中，应理解，处理器可以是中央处理单元（英文：central processing unit，简称：cpu），还可以是其他通用处理器、数字信号处理器（英文：digital signal processor，简称：dsp）、专用集成电路（英文：application specific integrated circuit，简称：asic）等。通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。结合本发明所公开的方法的步骤可以直接体现为硬件处理器执行完成，或者用处理器中的硬件及软件模块组合执行完成。
76.最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依
然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。