一种配电终端的通信加密方法和装置

1.本发明涉及配电网技术领域，尤其涉及一种配电终端的通信加密方法和装置。


背景技术：

2.通信和信息安全是制约配电网自动化、实用化的两大难题，配电自动化接入层通信技术的发展要求与之相匹配的信息安全保障技术不断迭代完善。就目前技术发展趋势而言，5g通信成为配电自动化接入层通信的主要替代方式。基于5g通信的馈线自动化，一般采用速动型multi-agent、纵差保护等原理作为馈线自动化的主逻辑，特别适用于对供电可靠性要求极高的场景。速动型multi-agent、纵差保护等新型馈线自动化原理依赖于终端-终端间横向对等通信，而现行配电自动化加密认证体系仅建立在主站-终端间纵向通信维度，无法适应横向加密认证的安全业务需求。
3.因此，针对5g馈线自动化信息通信认证要求，通过配电终端量子安全移动介质独有的量子密钥对终端之间的通信数据进行加密，从而实现“终端-终端”间对等通信会话的安全传输，便于终端间的直接互认证，防止关键电力终端在复杂通信环境中身份信息遭受暴力篡改、捕获、窃取等攻击。量子密钥分发(quantum key distribution，qkd)技术具有理论上“无条件安全”的优势，使得量子保密通信相比于传统的通信方式更加安全可靠。
4.然而，发明人发现现有技术至少存在如下问题：随着量子保密通信的广泛应用，配电终端之间的通信业务不断增加，配电终端之间实现数据通信所需的量子密钥数量大幅上升，当前量子密钥分发器件的量子密钥生成率低，如果所有通信业务都采用一次一密（one-time pad，otp）方案，所需消耗的量子密钥量较多，导致量子密钥量不足，将无法满足配电终端之间所有电力业务的正常传输需求。


技术实现要素：

5.本发明实施例的目的是提供一种配电终端的通信加密方法和装置，其能够为不同优先级的电力业务分配不同的通信加密策略，并根据实际情况对加密传输过程进行调整，保证量子密钥池的剩余密钥量能够满足配电终端之间的正常通信需求。
6.为实现上述目的，本发明实施例提供了一种配电终端的通信加密方法，包括：根据配电终端之间待传输的电力业务的业务优先级，确定所述电力业务的通信加密策略；根据所述通信加密策略，从量子密钥池中获取原始量子密钥对所述电力业务进行加密传输；其中，所述原始量子密钥为量子密钥池生成的未使用的量子密钥；实时计算所述量子密钥池的净密钥生成速率；所述净密钥生成速率为单位时间内量子密钥池的量子密钥生成量与量子密钥消耗量之差；当所述净密钥生成速率小于等于预设的速率阈值时，从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输；其中，所述回收量子密钥是根据已使用过的原始量子密钥生成的。
7.作为上述方案的改进，所述电力业务的业务优先级越高，对应的通信加密策略的加密等级和密钥更新频率越高；其中，所述加密等级与传输所述电力业务所使用的量子密钥量呈正相关关系。
8.作为上述方案的改进，所述预设类型的电力业务为业务优先级低于第一预设等级阈值的电力业务。
9.作为上述方案的改进，通过以下方式生成和存储所述回收量子密钥：在获取原始量子密钥对所述电力业务进行加密传输的过程中，检测所述电力业务的加密传输过程是否安全；当所述加密传输过程安全时，获取所述加密传输过程中所使用的原始量子密钥中的第一量子密钥，作为所述回收量子密钥，并存储至所述回收密钥池中；其中，所述第一量子密钥是通过预设的分割算法对所述所使用的原始量子密钥进行划分后得到的。
10.作为上述方案的改进，所述在获取原始量子密钥对所述电力业务进行加密传输的过程中，检测所述电力业务的加密传输过程是否安全，具体为：在对所述电力业务进行加密传输之前，将所获取的原始量子密钥采用所述分割算法划分为所述第一量子密钥和第二量子密钥；根据所述第一量子密钥、所述第二量子密钥和所传输的电力业务生成检测标签；其中，k1为第一量子密钥，k2为第二量子密钥，x为所传输的电力业务的业务数据，为预设的哈希函数；在对所述电力业务进行加密传输之后，判断在预设等待时长内作为接收端的配电终端是否接收到业务数据；若是，根据所述接收到的业务数据生成验证标签；其中，x’为接收到的业务数据；当所述检测标签和所述验证标签相等时，判定所述电力业务的加密传输过程安全，当所述检测标签和所述验证标签不相等时，判定所述电力业务的加密传输过程不安全；若否，判定所述电力业务的加密传输过程不安全。
11.作为上述方案的改进，所述从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输，具体包括：随机获取所述回收密钥池中的至少两个回收量子密钥；将所述至少两个回收量子密钥采用预设的合成算法进行合成，得到组合量子密钥，并采用所述组合量子密钥对预设类型的待传输的电力业务进行加密传输。
12.作为上述方案的改进，所述从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输，具体包括：随机获取所述回收密钥池中的两个回收量子密钥，作为第一回收量子密钥和第二回收量子密钥；采用所述第一回收量子密钥对预设类型的待传输的电力业务的业务数据进行一次加密之后，再采用所述第二回收量子密钥对一次加密后的业务数据进行二次加密并传输。
13.作为上述方案的改进，所述回收量子密钥是根据业务优先级高于第二预设等级阈
值的电力业务在加密传输过程中已使用过的原始量子密钥生成的。
14.作为上述方案的改进，当所述净密钥生成速率小于等于所述预设的速率阈值时，所述方法还包括：通过降低每一所述电力业务的加密等级和/或密钥更新频率，对每一所述电力业务的通信加密策略进行调整。
15.本发明实施例还提供了一种配电终端的通信加密装置，包括：加密策略确定模块，用于根据配电终端之间待传输的电力业务的业务优先级，确定所述电力业务的通信加密策略；第一加密传输模块，用于根据所述通信加密策略，从量子密钥池中获取原始量子密钥对所述电力业务进行加密传输；其中，所述原始量子密钥为量子密钥池生成的未使用的量子密钥；净密钥生成速率计算模块，用于实时计算所述量子密钥池的净密钥生成速率；所述净密钥生成速率为单位时间内量子密钥池的量子密钥生成量与量子密钥消耗量之差；第二加密传输模块，用于当所述净密钥生成速率小于等于预设的速率阈值时，从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输；其中，所述回收量子密钥是根据已使用过的原始量子密钥生成的。
16.与现有技术相比，本发明公开的配电终端的通信加密方法和装置，为配电终端之间不同的业务优先级的电力业务分配不同的通信加密策略，并从量子密钥池中获取原始量子密钥进行加密传输，在电力业务的加密传输过程中，将已使用的原始量子密钥进行回收并存储，同时，实时计算当前时刻量子密钥池的净密钥生成速率，当检测到所述净密钥生成速率小于等于预设的速率阈值时，调整对电力业务的加密传输方式，针对预设类型的待传输的电力业务，从回收密钥池中获取回收量子密钥进行加密传输。
17.采用本发明实施例的技术手段，为不同业务优先级的电力业务分配不同的通信加密策略，低业务优先级的电力业务对应的通信加密策略的所消耗的量子密钥和密钥更新频率较小，高业务优先级的电力业务对应的通信加密策略的所消耗的量子密钥和密钥更新频率较大，从而减少低业务优先级的电力业务在加密传输过程中所需要消耗的量子密钥量，相比于所有电力业务均采用一次一密的方案，本发明实施例能够有效缓解量子密钥池生成量子密钥的速率较低导致无法满足所有电力业务的正常传输需求的问题。在此基础上，当检测到净密钥生成速率过低时，将部分电力业务的加密传输过程调整为采用已经使用过的量子密钥进行加密，可进一步节省原始量子密钥的使用量，为高业务优先级的电力业务保留更多的原始量子密钥，提高量子密钥池的净密钥生成速率，避免量子密钥量不足导致无法满足配电终端之间所有电力业务的正常传输需求的问题，保证配电终端之间的电力业务的正常传输需求和传输效率。
附图说明
18.图1是本发明实施例提供的第一种实施方式下的配电终端的通信加密方法的流程示意图；图2是本发明实施例中生成回收量子密钥的流程示意图；图3是本发明实施例中生成回收量子密钥的原理示意图；
图4是本发明实施例提供的一种配电终端的通信加密装置的结构示意图。
具体实施方式
19.下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
20.参见图1，是本发明实施例提供的第一种实施方式下的配电终端的通信加密方法的流程示意图，本发明实施例提供了一种配电终端的通信加密方法，应用于配电网系统，可以由配电网中的控制器执行，所述方法具体包括步骤s11至s14：s11、根据配电终端之间待传输的电力业务的业务优先级，确定所述电力业务的通信加密策略；s12、根据所述通信加密策略，从量子密钥池中获取原始量子密钥对所述电力业务进行加密传输；其中，所述原始量子密钥为量子密钥池生成的未使用的量子密钥；s13、实时计算所述量子密钥池的净密钥生成速率；所述净密钥生成速率为单位时间内量子密钥池的量子密钥生成量与量子密钥消耗量之差；s14、当所述净密钥生成速率小于等于预设的速率阈值时，从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输；其中，所述回收量子密钥是根据已使用过的原始量子密钥生成的。
21.配电网中的不同配电终端之间通常具有若干个电力业务需要进行通信数据传输，作为举例，常见的电力业务包括继电保护、安全稳定控制、调度数据网、变电站综合监控、调度电话、配网自动化、通信智能化管理系统、客户联络系统、客户关系管理系统、用户用电信息采集、数据中心和会议电视系统等业务场景。本发明实施例通过配电终端的量子安全移动介质独有的量子密钥对终端之间的电力业务通信数据进行加密，从而实现“终端-终端”间对等通信数据的安全传输，便于终端间的直接互认证。量子cpe配电终端基于诱骗态bb84协议，采用偏振编码实现量子密钥分发，为通信双方提供不可给通过计算破译的安全量子密钥。
22.在现有的数据通信领域中，采用量子密钥进行数据加密传输通常采用一次一密方案，所消耗的量子密钥量等于加密的数据量，因此对量子密钥的消耗量较大，特别是在密钥更新频率较快的情况下，量子密钥分发器件（也即量子密钥池）中原始的量子密钥的生成速率难以满足正常的加密通信需求。本发明实施例对配电终端之间电力业务的加密传输过程进行改进，以保证配电终端之间的电力业务的正常传输。
23.具体地，对配电终端之间需要传输的电力业务进行业务优先级的划分，进而根据预设的业务优先级与通信加密策略类型的对应关系，为不同业务登记的电力业务分配不同类型的通信加密策略。
24.作为可选的实施方式，所述对配电终端之间需要传输的电力业务进行业务优先级的划分，具体包括：确定配电终端之间待传输的电力业务的业务类型；其中，所述业务类型是根据确定所述电力业务的重要性和时延要求进行划分得到的；根据所述电力业务的业务类型，确
定所述电力业务的业务优先级；其中，所述电力业务的重要性和时延要求越高，所述业务优先级越高。
25.作为优选的实施方式，所述通信加密策略包括加密等级和密钥更新频率，所述加密等级与传输所述电力业务所使用的量子密钥量呈正相关关系，也即，加密等级越高，业务传输过程中所使用的量子密钥量越多，加密安全性也越高。密钥更新频率指的是业务传输过程中对量子密钥进行更新的频率，密钥更新频率越大，加密安全性也越高。
26.则步骤s11中，根据配电终端之间待传输的电力业务的业务优先级，确定所述电力业务的通信加密策略，满足以下需求：所述电力业务的业务优先级越高，对应的通信加密策略的加密等级和密钥更新频率越高。
27.进而，配电终端之间待传输的电力业务根据对应确定的通信加密策略，按照其密钥更新频率和加密等级，从量子密钥池中获取相应数量的原始量子密钥进行加密传输。
28.具体地，根据所述通信加密策略，从量子密钥池中获取对所述电力业务进行加密所需的原始量子密钥，作为目标量子密钥；采用所述目标量子密钥对所述电力业务的业务数据进行加密处理，得到加密业务数据，以使作为发送端的配电终端将所述加密业务数据通过量子传输信道发送给作为接收端的配电终端。
29.在具体应用场景中，作为举例，将配电网的电力业务划分为三个业务类型：属于第一业务类型的电力业务包括：继电保护、安全稳定控制、调度数据网、变电站综合监控；属于第二业务类型的电力业务包括：调度电话、配网自动化、通信智能化管理系统、客户联络系统；属于第三业务类型的电力业务包括：客户关系管理系统、用户用电信息采集、数据中心、会议电视系统。
30.其中第一业务类型的电力业务是维护电力系统稳定性的关键，应保证其最安全、最优先的传输，第二业务类型次之，第三业务类型最后。每一业务类型对应一个业务优先级，第一业务类型对应第一业务优先级，第二业务类型对应第二业务优先级，第三业务类型对应第三业务优先级，其中，第一业务优先级高于第二业务优先级，第二业务优先级高于第三业务优先级。
31.进一步地，针对三个业务优先级，分别对应设置三种通信加密策略：第一种通信加密策略为：一次一密方案，也即消耗的量子密钥量等于加密的数据量，该加密策略下所消耗的量子密钥量和密钥更新频率最大。
32.第二种通信加密策略为：使用量子密钥代替会话密钥。在该策略中，选择了aes-128加密算法。每个业务的长度和用于每次加密的密钥是128位。密钥更新频率为f=b/d，其中，f是量子密钥更新频率，b是某个电力业务传输在一秒内的数据流，d表示数据传输阈值，表示使用128位量子密钥的最大加密数据长度。可以看出，长度为bt 的电力业务在加密传输过程中所消耗的的量子密钥长度128 bt/d。考虑到密钥新鲜度的降低和由于数据传输阈值过高而产生的潜在安全风险，密钥每8-16个业务加密一次。也就是说，数据传输阈值的范围为1 kbit-2 kbit。该加密策略下所消耗的量子密钥量和密钥更新频率次之。
33.第三种通信加密策略为：使用量子密钥来替代主密钥。在经典加密中，主密钥生成
会话密钥的方式可以表示为ks=prf(km,n,s)，其中，ks是会话密钥，n是由两个站点协商的随机值，s是防止不同明文选择相同密钥的非随机字符串， km是主密钥，其长度可以记录为128位。prf为伪随机函数，通常用哈希函数代替，安全性较高的sha-256更为可取。因此，生成的会话密钥的长度为256位。根据主密钥和会话密钥的比例，更换主密钥时，密钥更新阈值和量子密钥更新频率分别是更换会话密钥时的2倍和1/2倍。则流量bt消耗的量子密钥是64bt/d。该加密策略下所消耗的量子密钥量和密钥更新频率最小。
34.需要说明的是，以上场景仅作为举例，在实际应用中，可以根据配电网的实际应用情况，对不同电力业务的业务优先级进行划分，并为不同的业务优先级分配不同的通信加密策略，均不影响本发明取得的有益效果。
35.并且需要特别说明的是，在对所述电力业务进行加密传输的过程中，本发明实施例还将控制器配置用于对加密传输过程中所使用的原始量子密钥进行采集，以生成回收量子密钥，并存储在预先设置的回收密钥池中作为备用。
36.进一步地，在对所述电力业务进行加密传输的过程中，所述控制器实时计算所述量子密钥池的净密钥生成速率，具体地，步骤s13通过以下步骤s131至s133计算得到：s131、获取单位时间内所述量子密钥池生成原始量子密钥的数量，记为生成数量x1，以及单位时间内所述量子密钥池消耗原始量子密钥的数量，记为消耗数量x2；s132、计算所述生成数量x1和所述消耗数量x2的差值；s133、根据所述差值和所述单位时间，计算得到所述量子密钥池的净密钥生成速率：
△
r=（x1-x2）/t；其中，
△
r为净密钥生成速率，t为所述单位时间，其值可以根据实际情况进行设置和调整。
37.可选地，单位时间内所述量子密钥池消耗原始量子密钥的数量x2是根据所述单位时间内配电网的所有电力业务的加密传输需求进行计算得到的。消耗数量x2满足以下计算公式：其中，表示采用第m种业务优先级的通信加密策略的电力业务所消耗的总量子密钥量，其中，m为划分的业务优先级的数量。
38.以上述三种业务优先级的电力业务为例，则消耗数量q2满足以下计算公式：其中，、和分别代表使用第一种业务优先级的通信加密策略的第i个电力业务、使用第二种业务优先级的通信加密策略的第j个电力业务和使用第三种业务优先级的通信加密策略的第k个电力业务所消耗的原始量子密钥量，y1、y2、y3分别代表这三种类型的电力业务的数量。
39.通常情况下，配电网的电力业务在量子密钥加密正常的情况下，需要密钥池中的
剩余密钥数量在合理的范围内波动，量子密钥池中原始量子密钥的剩余数量的增减速率取决于净密钥生成速率δr，当净密钥生成速率δr为正时，池中的密钥数量随时间增加，否则下降。因此，本发明实施例设置预设的速率阈值r
set
来对净密钥生成速率的大小进行表征，所述预设的速率阈值r
set
大于等于0。优选地，r
set
=0。
40.当所述净密钥生成速率满足δr≤r
set
时，表明当前量子密钥池中生成的原始量子密钥的数量无法满足当前配电网所有待传输的电力业务的加密传输需求，因此，需要对加密传输过程进行调整。
41.具体地，当所述净密钥生成速率小于等于预设的速率阈值时，判断当前所述配电终端的电力业务是否存在所述预设类型的电力业务；若是，确定待传输的电力业务中为预设类型的电力业务，针对该预设类型的电力业务，根据其通信加密策略，更换为从回收密钥池中获取回收量子密钥进行加密传输，而不消耗量子密钥池中生成的原始量子密钥。
42.可以理解地，对于不为所述预设类型的电力业务，可以仍然采用原来的通信加密策略，从量子密钥池中获取生成的原始量子密钥进行加密传输。
43.优选地，所述预设类型的电力业务为业务优先级低于第一预设等级阈值的电力业务。
44.需要说明的是，所述第一预设等级阈值为预先设置的，其值可以根据实际应用情况下对电力业务的业务优先级的划分数量进行确定，在此不做具体限定。
45.以上述三种业务优先级的电力业务为例，可以设置所述第一预设等级阈值为2，则对于第一业务优先级和第二业务等级的电力业务，当满足δr≤r
set
时，可以仍然从量子密钥池中获取生成的原始量子密钥进行加密传输；对于第三业务优先级的电力业务，更换为从回收密钥池中获取回收量子密钥进行加密传输。
46.本发明实施例提供了一种配电终端的通信加密方法，为配电终端之间不同的业务优先级的电力业务分配不同的通信加密策略，并从量子密钥池中获取原始量子密钥进行加密传输，在电力业务的加密传输过程中，将已使用的原始量子密钥进行回收并存储，同时，实时计算当前时刻量子密钥池的净密钥生成速率，当检测到所述净密钥生成速率小于等于预设的速率阈值时，调整对电力业务的加密传输方式，针对预设类型的待传输的电力业务，从回收密钥池中获取回收量子密钥进行加密传输。采用本发明实施例的技术手段，为不同业务优先级的电力业务分配不同的通信加密策略，低业务优先级的电力业务对应的通信加密策略的所消耗的量子密钥和密钥更新频率较小，高业务优先级的电力业务对应的通信加密策略的所消耗的量子密钥和密钥更新频率较大，从而减少低业务优先级的电力业务在加密传输过程中所需要消耗的量子密钥量，相比于所有电力业务均采用一次一密的方案，本发明实施例能够有效缓解量子密钥池生成量子密钥的速率较低导致无法满足所有电力业务的正常传输需求的问题。在此基础上，当检测到净密钥生成速率过低时，将部分电力业务的加密传输过程调整为采用已经使用过的量子密钥进行加密，可进一步节省原始量子密钥的使用量，为高业务优先级的电力业务保留更多的原始量子密钥，提高量子密钥池的净密钥生成速率，避免量子密钥量不足导致无法满足配电终端之间所有电力业务的正常传输需求的问题，保证配电终端之间的电力业务的正常传输需求和传输效率。
47.作为优选的实施方式，本发明实施例在上一实施例的基础上进一步实施，参见图2，是本发明实施例中生成回收量子密钥的流程示意图，通过以下步骤s21至s22生成和存储
所述回收量子密钥：s21、在获取原始量子密钥对所述电力业务进行加密传输的过程中，检测所述电力业务的加密传输过程是否安全；s22、当所述加密传输过程安全时，获取所述加密传输过程中所使用的原始量子密钥中的第一量子密钥，作为所述回收量子密钥，并存储至所述回收密钥池中；其中，所述第一量子密钥是通过预设的分割算法对所述所使用的原始量子密钥进行划分后得到的。
48.在本发明实施例中，为了保证已使用过的原始量子密码在后续业务加密过程中的应用安全性，需要对回收的原始量子密码进行安全性验证。具体地，采用量子密钥池生成的原始量子密钥对配电网的电力业务进行加密传输的过程中，所述控制器还用于检测该加密传输过程的安全性，当检测到该加密传输过程安全时，再将加密传输过程中所使用的原始量子密钥进行回收，并且，更优选为对已使用的原始量子密钥中的部分量子密钥（也即第一量子密钥）进行回收。而检测到该加密传输过程不安全时，则将该加密传输过程中所使用的原始量子密钥丢弃，不进行回收处理。
49.采用本发明实施例的技术手段，通过在检测加密传输安全之后再对使用的原始量子密钥进行回收，能够提高后续业务加密传输过程的安全性，并且，采用回收部分量子密钥的方式，能够使得任意两次加密传输过程所使用的密钥并不完全相同，更进一步提高了加密传输过程的安全性。
50.优选地，参见图3，是本发明实施例中生成回收量子密钥的原理示意图，步骤s21，也即所述在获取原始量子密钥对所述电力业务进行加密传输的过程中，检测所述电力业务的加密传输过程是否安全，具体包括步骤s211至s216：s211、在对所述电力业务进行加密传输之前，将所获取的原始量子密钥采用所述分割算法划分为所述第一量子密钥和第二量子密钥；s212、根据所述第一量子密钥、所述第二量子密钥和所传输的电力业务生成检测标签；其中，k1为第一量子密钥，k2为第二量子密钥，x为所传输的电力业务的业务数据，为预设的哈希函数；s213、在对所述电力业务进行加密传输之后，判断在预设等待时长内作为接收端的配电终端是否接收到业务数据；s214、若预设等待时长内作为接收端的配电终端接收到业务数据，根据所述接收到的业务数据生成验证标签；其中，x’为接收到的业务数据；s215、当所述检测标签和所述验证标签相等时，判定所述电力业务的加密传输过程安全，当所述检测标签和所述验证标签不相等时，判定所述电力业务的加密传输过程不安全；s216、若预设等待时长内作为接收端的配电终端未接收到业务数据，判定所述电力业务的加密传输过程不安全。
51.在本发明实施例中，首先将终端间（作为发送端的配电终端a和作为接收端的配电终端b）共享的原始量子密钥分成两部分k = k1‖k2，并使用它们来生成一个检测标签tag，，对于加密的业务数据x，表示为axu泛哈希函数。配电终端a将字符串x‖t在传输信道c上发送给配电终端b，经过一段预定时间，判断配电终端b是否接
收到字符串x
′
‖t
′
后，若接收到该字符串，检查验证标签是否与检测标签tag相等，若相等，表明没有检测到非法监听，传输信道c的传输是安全的，则它在外部接口接受并输出业务数据x
′
，并立即将配电终端a输出的密钥k1进行回收。若不相等，输出错误符号nor，判定的传输过程是不安全的。如果经过预定时间未接收到该字符串，同样输出错误符号nor，判定的传输过程是不安全的。
52.需要说明的是，采用预设的分割算法将原始量子密钥k划分为第一量子密钥 k1和第二量子密钥k2的具体手段根据实际情况进行设置，均不影响本发明取得的有益效果。
53.采用本发明实施例的技术手段，通过对原始量子密钥分成两部分，结合加密传输的业务数据，在传输前和传输后对应分别生成检测标签和验证标签，来实现对加密传输过程是否安全的判断，提高了对加密安全检测的精准性，保证了回收的量子密钥的可用性。
54.作为优选的实施方式，本发明实施例在上述任一实施例的基础上进一步实施，为了进一步提高采用回收量子密钥进行加密传输的安全性，本发明实施例对采用回收密钥池中的回收量子密钥对电力业务进行加密传输的过程进行优化。
55.在一种优选的实施方式下，在步骤s14中，所述从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输，具体包括步骤s141a和s142a：s141 a、随机获取所述回收密钥池中的至少两个回收量子密钥；s142a、将所述至少两个回收量子密钥采用预设的合成算法进行合成，得到组合量子密钥，并采用所述组合量子密钥对预设类型的待传输的电力业务进行加密传输。
56.在本发明实施例中，对于预设类型的待传输的电力业务，从回收密钥池中随机获取至少两个回收量子密钥，并将所述至少两个回收量子密钥进行合成，再用于对所述电力业务进行加密传输。
57.需要说明的是，采用预设的合成算法将至少两个回收量子密钥进行合成的具体手段根据实际情况进行设置，均不影响本发明取得的有益效果。
58.采用本发明实施例的技术手段，通过随机获取至少两个回收量子密钥合成为组合量子密钥，在很大概率上所述组合量子密钥不是来自于同一个电力业务在先加密过程中使用的原始量子密钥，采用所述组合量子密钥对后续业务进行加密传输，能够进一步提高加密安全性。
59.在另一种优选的实施方式下，在步骤s14中，所述从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输，具体包括步骤s141b和s142b：s141b、随机获取所述回收密钥池中的两个回收量子密钥，作为第一回收量子密钥和第二回收量子密钥；s142b、采用所述第一回收量子密钥对预设类型的待传输的电力业务的业务数据进行一次加密之后，再采用所述第二回收量子密钥对一次加密后的业务数据进行二次加密并传输。
60.在本发明实施例中，对于预设类型的待传输的电力业务，从回收密钥池中随机获取两个回收量子密钥，采用其中一个回收量子密钥对待传输的业务数据进行一次加密，再对一次加密后得到的加密数据采用另一个回收量子密钥进行二次加密，得到二次加密数据，再由发送端的配电终端通过传输信道发送给接收端的配电终端。
61.可以理解地，接收端的配电终端在接收到二次加密数据后，需要进行一次解密，再
进行二次解密得到业务数据。
62.发明实施例的技术手段，通过随机获取两个回收量子密钥来对业务数据进行两次加密，能够进一步提高加密安全性，很大程度上避免采用回收的量子密钥进行加密导致传输的业务数据容易被窃听的情况。
63.作为优选的实施方式，为了更进一步提高采用回收量子密钥进行加密传输的安全性，在本发明实施例中，所述回收量子密钥是根据业务优先级高于第二预设等级阈值的电力业务在加密传输过程中已使用过的原始量子密钥生成的。
64.需要说明的是，所述第二预设等级阈值为预先设置的，其值可以根据实际应用情况下对电力业务的业务优先级的划分数量进行确定，在此不做具体限定。
65.以上述三种业务优先级的电力业务为例，可以设置所述第二预设等级阈值为2，也即仅对第一业务优先级的电力业务在加密传输过程中所使用的原始量子密钥进行回收，对于第二和第三业务优先级的电力业务在加密传输过程中所使用的原始量子密钥则丢弃。
66.可选地，结合上述实施方式，将业务优先级高于第二预设等级阈值的电力业务（例如第一业务优先级的电力业务）在加密传输过程中已使用过的原始量子密钥中的第一量子密钥进行回收，生成回收量子密钥，并在检测到量子密钥池的净密钥生成速率小于等于预设的速率阈值时，从回收密钥池中获取回收量子密钥对业务优先级低于第一预设等级阈值的待传输的电力业务（例如第三业务优先级的电力业务）进行加密传输。
67.作为优选的实施方式，本发明实施例在上述任一实施例的基础上进一步实施所述方法还包括步骤s15：s15、当所述净密钥生成速率小于等于所述预设的速率阈值时，通过降低每一所述电力业务的加密等级和/或密钥更新频率，对每一所述电力业务的通信加密策略进行调整。
68.具体地，步骤s15包括：s151、获取当前待传输的电力业务中业务优先级大于第三预设等级阈值的电力业务，作为第一类调整电力业务；获取当前待传输的电力业务中业务优先级小于等于所述第三预设等级阈值的电力业务，作为第二类调整电力业务；s152、执行第一调整操作；所述第一调整操作包括：重置所述第一类调整电力业务的密钥更新频率，并将所述第一类调整电力业务的加密等级降低至少一个等级值，以及，将所述第二类调整电力业务的密钥更新频率降低至少一个频率调整步长；s153、经过第一预设时长，判断当前是否符合调整成功的条件；其中，所述调整成功的条件为：所述净密钥生成速率大于第二预设速率阈值r
set’，或所述量子密钥池中的剩余量子密钥大于预设密钥量阈值；其中，所述第二预设速率阈值r
set’大于所述预设的速率阈值r
set
；s154、若符合调整成功的条件，则重置每一电力业务的通信加密策略；s155、若不符合调整成功的条件，则执行第二调整操作，所述第二调整操作包括：将所述第一类调整电力业务的密钥更新频率降低至少一个频率调整步长，以及，重置所述第二类调整电力业务的密钥更新频率，并将所述第二类调整电力业务的加密等级降低至少一个等级值；s156、经过第二预设时长，判断当前是否符合所述调整成功的条件；s157、若符合调整成功的条件，则重置每一电力业务的通信加密策略；
s158、若不符合调整成功的条件，则返回步骤s151，重新执行第一调整操作。
69.采用本发明实施例的技术手段，当检测到所述净密钥生成速率小于等于预设的速率阈值时，除了启用量子密钥回收机制之外，还通过对电力业务的加密等级和/或密钥更新频率进行调整，以快速增大量子密钥池中的原始量子密钥的剩余数量，增大净密钥生成速率，保证配电终端之间的电力业务的正常传输需求和传输效率。
70.参见图4，是本发明实施例提供的一种配电终端的通信加密装置的结构示意图，本发明实施例还提供了一种配电终端的通信加密装置30，包括：加密策略确定模块31，用于根据配电终端之间待传输的电力业务的业务优先级，确定所述电力业务的通信加密策略；第一加密传输模块32，用于根据所述通信加密策略，从量子密钥池中获取原始量子密钥对所述电力业务进行加密传输；其中，所述原始量子密钥为量子密钥池生成的未使用的量子密钥；净密钥生成速率计算模块33，用于实时计算所述量子密钥池的净密钥生成速率；所述净密钥生成速率为单位时间内量子密钥池的量子密钥生成量与量子密钥消耗量之差；第二加密传输模块34，用于当所述净密钥生成速率小于等于预设的速率阈值时，从回收密钥池中获取回收量子密钥对预设类型的待传输的电力业务进行加密传输；其中，所述回收量子密钥是根据已使用过的原始量子密钥生成的。
71.采用本发明实施例的技术手段，为不同业务优先级的电力业务分配不同的通信加密策略，不同通信加密策略的所消耗的量子密钥和密钥更新频率不同，减少低业务优先级的电力业务在加密传输过程中所需要消耗的量子密钥量，相比于所有电力业务均采用一次一密的方案，本发明实施例能够有效缓解量子密钥池生成量子密钥的速率较低导致无法满足所有电力业务的正常传输需求的问题。在此基础上，当检测到净密钥生成速率过低时，将部分电力业务的加密传输过程调整为采用已经使用过的量子密钥进行加密，可进一步节省原始量子密钥的使用量，为高业务优先级的电力业务保留更多的原始量子密钥，提高量子密钥池的净密钥生成速率，避免量子密钥量不足导致无法满足配电终端之间所有电力业务的正常传输需求的问题，保证配电终端之间的电力业务的正常传输需求和传输效率。
72.需要说明的是，本发明实施例提供的一种配电终端的通信加密装置用于执行上述任一实施例提供的一种配电终端的通信加密方法的所有流程步骤，两者的工作原理和有益效果一一对应，因而不再赘述。
73.本领域普通技术人员可以理解实现上述实施例方法中的全部或部分流程，是可以通过计算机程序来指令相关的硬件来完成，所述的程序可存储于一计算机可读取存储介质中，该程序在执行时，可包括如上述各方法的实施例的流程。其中，所述的存储介质可为磁碟、光盘、只读存储记忆体（read-onlymemory，rom）或随机存储记忆体（randomaccessmemory，ram）等。
74.以上所述是本发明的优选实施方式，应当指出，对于本技术领域的普通技术人员来说，在不脱离本发明原理的前提下，还可以做出若干改进和润饰，这些改进和润饰也视为本发明的保护范围。