[发明专利]融合量子加密和零信任的数据加密控制系统

说明书

本发明公开了融合量子加密和零信任的数据加密控制系统，包括有安装于能源站的若干数据采集终端、零信任边代设备、零信任网关设备、量子密钥生成设备、防火墙以及平台服务器；若干所述数据采集终端通过零信任边代设备与防火墙建立通信，所述平台服务器通过零信任网关设备与防火墙建立通信，所述防火墙通过代理服务器获取平台服务器的特征信息构建网络安全基线，所述防火墙与量子密钥生成设备通信，所述量子密钥生成设备分别与零信任边代设备和零信任网关设备建立量子信道进行量子密钥的分发；本方案采用不同的网络通信策略和信息安全传输模式，保证平台服务器不受攻击并提高信息传输的安全可靠性。

技术领域

本发明涉及物联网技术领域，具体的，涉及融合量子加密和零信任的数据加密控制系统。

背景技术

随着泛在电力物联网建设的快速推进，存在大量的未知安全的物联终端应用场景出现，物联终端自身安全、传输安全的不安全性，造成了供电公司无法将此类数据信息直接提取使用；一方面，作为下接终端、上连网络的关键节点，边代设备的安全十分重要，但是现阶段缺乏快速有效的安全保护措施；另一方面，边缘物联代理的种类繁多，无论架构还是操作系统，都存在较大差异，现有安全检测技术无法很好地覆盖。由于边代设备管理的终端设备众多，平台服务器与若干边代设备连接，需要验证边代设备的安全性，防止异常接入对平台服务器带来安全隐患，其次，需要对终端采集信息进行验证，防止终端采集信息被篡改。

发明内容

本发明的目的是提出融合量子加密和零信任的数据加密控制系统，通过防火墙对终端采集信息的完整性进行验证以及对零信任边代设备的零信任指纹信息进行验证，采用不同的网络通信策略和信息安全传输模式，保证平台服务器不受攻击并提高信息传输的安全可靠性。

为实现上述技术目的，本发明提供的一种技术方案是，融合量子加密和零信任的数据加密控制系统，包括有安装于能源站的若干数据采集终端、零信任边代设备、零信任网关设备、量子密钥生成设备、防火墙以及平台服务器；若干所述数据采集终端通过零信任边代设备与防火墙建立通信，所述平台服务器通过零信任网关设备与防火墙建立通信，所述防火墙通过代理服务器获取平台服务器的特征信息构建网络安全基线，所述防火墙与量子密钥生成设备通信，若网络安全异常数值超过网络安全基线设定阈值，激励量子密钥生成设备生成量子密钥并进行量子密钥分发，所述量子密钥生成设备分别与零信任边代设备和零信任网关设备建立量子信道进行量子密钥的分发。

作为优选，所述防火墙包括有安全基线提取单元、危情分析单元、密钥触发单元、白名单单元以及网关设置单元；

所述安全基线提取单元分别提取平台服务器的零信任指纹信息库的设备指纹信息以及当前零信任边代设备的零信任指纹信息；

危情分析单元通过对比零信任指纹信息确定危情等级并检测终端采集信息的完整性，确定危情等级；

所述白名单单元存储有可信任的零信任边代设备的MAC地址；

所述网关设置单元与零信任网关设备进行通信，单元根据危情等级确定对应的网络连通模式；密钥触发单元用于激励所述量子密钥生成设备分发量子密钥。

作为优选，所述设备指纹信息包括有零信任边代设备的操作系统版本信息、MAC地址、端口信息、协议信息、服务信息、上线时间信息、IP信息、接入位置信息以及业务流量信息；

所述防火墙与零信任边代设备连通后，安全基线提取单元获取对应的零信任边代设备的零信任指纹信息，危情分析单元通过对比零信任指纹信息计算危情分值，根据危情分值确定危情等级进而确定对应的网络连通模式；同步的，危情分析单元根据终端采集信息的完整性确定是否启动量子密钥生成设备。

作为优选，零信任边代设备端设置有量子加密终端，所述量子秘钥终端接收量子密钥生成设备分发的量子密钥对检测异常的终端采集信息进行加密。

作为优选，零信任网关设备端设置有量子解密终端，所述量子解密终端接收量子密钥生成设备分发的量子密钥对获取的终端采集信息进行解密。