CN107743125A

CN107743125A - 一种电力业务终端的数据安全管理方法

Info

Publication number: CN107743125A
Application number: CN201710991746.7A
Authority: CN
Inventors: 吴克河; 徐美娇; 刘忠海; 张鹏; 郭伟
Original assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; North China Electric Power University; State Grid Jibei Electric Power Co Ltd; Beijing Smartchip Microelectronics Technology Co Ltd; Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Current assignee: State Grid Corp of China SGCC; State Grid Information and Telecommunication Co Ltd; North China Electric Power University; State Grid Jibei Electric Power Co Ltd; Beijing Smartchip Microelectronics Technology Co Ltd; Information and Telecommunication Branch of State Grid Liaoning Electric Power Co Ltd
Priority date: 2017-10-17
Filing date: 2017-10-17
Publication date: 2018-02-27

Abstract

本发明公开一种电力业务终端的数据安全管理方法，包括构建基于安全芯片的电力业务终端多级安全模型，所述电力业务终端多级安全模型包括可信软件栈功能架构，可信软件栈功能架构包括以下部分：可信访问控制、数据隐私保护、资源访问控制、数据存在与可使用性证明和容忍数据库中的数据隔离技术。本发明电力业务终端的数据安全管理方法，所构建的基于安全芯片的电力业务终端多级安全模型，在应用层对系统应用进行了安全防护；有效降低由于数据非法篡改、指令非法控制造成大面积停电等恶性事件发生的风险，有利于确保电网的安全、保证用电客户的用电质量；能提高电网运行安全性、供电可靠性，改善用户用电质量，提高服务质量方面具有重要意义。

Description

一种电力业务终端的数据安全管理方法

技术领域

本发明涉及信息统计安全技术领域，尤其涉及一种电力业务终端的数据安全管理方法。

背景技术

随着移动手持设备的普及，移动手持设备的信息安全问题越来越受到人们的重视。移动手持设备的信息安全主要涉及：移动端到端保密通信技术、移动信息监管技术、移动可信计算技术、移动身份获取与认证技术和移动安全接入技术。目前，在电力领域使用的移动手持设备，很多都没有考虑信息安全问题，少数考虑到安全的产品也仅仅是考虑了移动手持设备的安全接入和身份认证问题，对移动手持设备的使用缺乏必要的监管，对数据的可信缺乏必要鉴别。移动手持设备在电力领域中使用环境非常复杂，很多应用在野外现场作业、强干扰等环境，需要长时间高强度工作，对设备功耗和抗扰能力都有很高要求。

在其他行业，包括涉及国家安全机密的相关行业和部门以及其他公共事业领域，单一的基于PC机的大型系统已不足于满足办公和服务的需求，随着便携式手持终端设备技术的日益成熟，许多电力领域外也开始将移动手持终端作为常规化办公工具。随着智能移动终端的普及，在物流、交通、环保、仓储、餐饮等行业中，手持移动终端的应用越来越趋于常态。另外，基于个人使能手机的支付、认购、预约业务也越来越普遍，如何保证这些业务和应用的信息安全问题，也逐渐成为当前的一个热门课题。

为解决电力移动手持设备现场作业数据安全问题，需要研发基于安全芯片的电力业务终端安全架构与防护体系。通过安全的远程通信技术手段，确保移动终端信息交互的安全，为现场作业提供了强大的技术、业务支撑，实现现场作业数据采集的实时化，提高现场工作人员的工作效率，进一步提升服务客户的能力，提高了客户服务的满意度。为确保电力移动终端信息交互和存储的安全，特别是涉及国家机密的相关领域，对信息安全的需求更加强烈，因此，开发一款符合电力移动终端设备使用的安全芯片，建立一套基于安全芯片的电力业务终端安全架构与防护体系，并且依托电力应用模式拓展到其他行业，符合市场的需求。

发明内容

发明目的：为克服现有技术不足，本发明旨于提供一种电力业务终端的数据安全管理方法。

技术方案：为解决上述技术问题，本发明提供如下技术方案：

一种电力业务终端的数据安全管理方法，包括构建基于安全芯片的电力业务终端多级安全模型，所述电力业务终端多级安全模型包括可信软件栈功能架构，可信软件栈功能架构包括以下部分：

(1)可信访问控制：包括基于层次密钥生成与分配策略实施访问控制的方法；利用基于属性的加密算法，基于代理重加密的方法；以及在用户密钥或密文中嵌入访问控制树的方法；基于密码类方案面临的一个重要问题是权限撤销，一个基本方案是为密钥设置失效时间，每隔一定时间，用户从认证中心更新私钥；有人曾对其加以改进，引入了一个在线的半可信第三方维护授权列表，同时提出基于用户的唯一ID属性及非门结构，实现对特定用户进行权限撤销；

由于无法信赖服务商实施用户定义的访问控制策略，所以在数据安全技术中，研究者关心的是如何通过非传统访问控制类手段实施数据对象的访问控制；其中得到关注最多的是基于密码学方法实现访问控制。

(2)数据隐私保护：数据隐私保护涉及数据生命周期的每一个阶段，将集中信息流控制DIFC和差分隐私保护技术数据生成与计算阶段，通过隐私保护系统airavat，防止mapreduce计算过程中非授权的隐私数据泄露出去，并支持对计算结果的自动除密；在数据存储和使用阶段，通过基于客户端的隐私管理工具，提供以用户为中心的信任模型，帮助用户控制自己的敏感信息在云端的存储和使用；通过K匿名、图匿名以及数据预处理，作用于大规模待发布数据时所面临的问题；通过匿名数据搜索引擎，使得交互双方搜索对方的数据，获取自己所需要的部分，同时保证搜索询问的内容不被对方所知，搜索时与请求不相关的内容不会被获取。

(3)资源访问控制:当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理；

(4)数据存在与可使用性证明：在用户取回很少数据的情况下，通过某种知识证明协议或概率分析手段，以高置信概率判断远端数据是否完整；

由于当前环境下通常需要传输大规模数据所导致的巨大通信代价，用户不可能将数据下载后再验证其正确性。

(5)入侵容忍数据库中的数据隔离技术：该技术能够容忍数据库的损伤并能将数据库恢复到一个正确的状态，通过对用户操纵数据库的行为进行监测和分析，最终确认某一用户是正常用户还是恶意用户；若是正常用户，则不需要做出反应；若是恶意用户，则需要将其对数据库进行的操作进行回滚undo操作，使数据库恢复到一个正确的状态；该技术的目的是要实现一个通用数据库的隔离系统，在数据库受到攻击的情况下如何最大限度的控制受损数据的扩散，以及最终如何将数据库恢复到一个正确的状态，从而保证数据库数据安全。

网络系统、操作系统和数据库管理系统DBMS是信息系统的主要支撑平台，在这三者之间，数据库往往是最吸引攻击者的目标。这是因为数据库作为信息系统的核心，集中存放了大量的数据。如电子商务系统中保存了大量的商业伙伴和客户的机密信息，由于这些数据的重要性和敏感性，一旦数据被黑客窃取或者是破坏，其损失难以估量。另一方面，网络数据库和分布式数据库的使用也使得数据库的安全显得更加脆弱，数据库安全问题日益突出。

当数据库受到攻击时，传统的数据库安全机制重点在于预防，着眼于对外部用户的身份和权限约束的检查，来保证用户操作的合法性。如包括用户身份验证和识别的用户认证技术、存取控制技术和数据加密技术等。然而，以身份认证和存取控制为主的数据库安全机制对数据的保护能力非常有限，攻击者往往能窃取到合法的身份或权限来执行恶意事务。

进一步的，所述(1)可信访问控制中，加密算法为密钥规则的基于属性加密方案KP-ABE或密文规则的基于属性加密方案CP-ABE。

进一步的，所述(3)资源访问控制中，在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略，需要支持策略的合成；通过强制访问控制策略的合成框架，将两个安全格合成一个新的格结构，策略合成的同时还要保证新策略的安全性，新的合成策略必须不能违背各个域原来的访问控制策略；再通过自治原则、安全原则以及访问控制策略合成代数，基于集合论使用合成运算符来合成安全策略；最后通过基于授权状态变化的策略合成代数框架，构造语义Web服务的策略合成方案，建立一个多信任域RBAC策略合成策略，侧重于解决合成的策略与各域原有策略的一致性问题。

进一步的，所述(4)数据存在与可使用性证明中，面向用户单独验证的数据可检索性证明POR方法、公开可验证的数据持有证明PDP方法；改进并提高POR方法的处理速度以及验证对象规模，且能够支持公开验证。

进一步的，所述公开验证技术包括基于新的树形结构MACTree的方案、基于代数签名的方法、基于BLS同态签名和RS纠错码的方法。

进一步的，所述(5)入侵容忍数据库中的数据隔离技术在恢复过程中，受损数据会扩散，加上入侵检测的检测期需要一个比较长的时延，恶意事务会在这期间影响到正常事务，在恢复期间将这些受影响的事务全部做重做redo操作，使得数据库性能消耗很大；依据前面的分析，在此提出数据隔离的思想：在入侵检测的检测期，当发现用户的操作可疑的时候，将该用户的操作放在一个独立的数据库中进行，当最终入侵检测确认该用户是正常的时候，再将该隔离数据库中的数据“融合”到真实数据库中；如果最终入侵检测确认该用户是恶意用户，只需要将该隔离数据库中的数据丢弃，并且将该用户被判定为可疑用户之前对数据库进行的操作进行回滚操作，使之不会影响到真实数据库中数据的正确性，保证了数据库安全。

有益效果：本发明电力业务终端的数据安全管理方法，所构建的基于安全芯片的电力业务终端多级安全模型，在应用层对系统应用进行了安全防护。通过对终端制定安全防护策略，部署应用安全防护装置，有效降低由于数据非法篡改、指令非法控制造成大面积停电等恶性事件发生的风险，保障公司智能电网信息安全风险的可控、能控、再控，有利于确保电网的安全、保证用电客户的用电质量；通过对终端数据安全管控将提升公司系统对实时运行状态的信息采集，保障电网数据的机密、完整、准确，对于提升现代电网管理水平，提高电网运行安全性、供电可靠性，改善用户用电质量，提高服务质量方面具有重要意义。

附图说明

图1为本发明资源访问请求与响应流程图；

图2为本发明数据隔离子系统体系结构图。

具体实施方式

实施例1

(1)可信访问控制：由于无法信赖服务商实施用户定义的访问控制策略，所以在数据安全技术中，研究者关心的是如何通过非传统访问控制类手段实施数据对象的访问控制；其中得到关注最多的是基于密码学方法实现访问控制；包括基于层次密钥生成与分配策略实施访问控制的方法；利用基于属性的加密算法，如密钥规则的基于属性加密方案KP-ABE或密文规则的基于属性加密方案CP-ABE；基于代理重加密的方法；以及在用户密钥或密文中嵌入访问控制树的方法；基于密码类方案面临的一个重要问题是权限撤销，一个基本方案是为密钥设置失效时间，每隔一定时间，用户从认证中心更新私钥；有人曾对其加以改进，引入了一个在线的半可信第三方维护授权列表，同时提出基于用户的唯一ID属性及非门结构，实现对特定用户进行权限撤销；

(3)资源访问控制:当用户跨域访问资源时，需在域边界设置认证服务，对访问共享资源的用户进行统一的身份认证管理；在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略，需要支持策略的合成；通过强制访问控制策略的合成框架，将两个安全格合成一个新的格结构，策略合成的同时还要保证新策略的安全性，新的合成策略必须不能违背各个域原来的访问控制策略；再通过自治原则、安全原则以及访问控制策略合成代数，基于集合论使用合成运算符来合成安全策略；最后通过基于授权状态变化的策略合成代数框架，构造语义Web服务的策略合成方案，建立一个多信任域RBAC策略合成策略，侧重于解决合成的策略与各域原有策略的一致性问题。

(4)数据存在与可使用性证明：由于当前环境下通常需要传输大规模数据所导致的巨大通信代价，用户不可能将数据下载后再验证其正确性；在用户取回很少数据的情况下，通过某种知识证明协议或概率分析手段，以高置信概率判断远端数据是否完整；面向用户单独验证的数据可检索性证明POR方法、公开可验证的数据持有证明PDP方法；改进并提高POR方法的处理速度以及验证对象规模，且能够支持公开验证。

(5)入侵容忍数据库中的数据隔离技术：网络系统、操作系统和数据库管理系统(DBMS)是信息系统的主要支撑平台，在这三者之间，数据库往往是最吸引攻击者的目标；这是因为数据库作为信息系统的核心，集中存放了大量的数据。如电子商务系统中保存了大量的商业伙伴和客户的机密信息，由于这些数据的重要性和敏感性，一旦数据被黑客窃取或者是破坏，其损失难以估量。另一方面，网络数据库和分布式数据库的使用也使得数据库的安全显得更加脆弱，数据库安全问题日益突出。

基于入侵容忍技术的数据库系统是目前的研究热点，该技术能够容忍数据库的损伤并能将数据库恢复到一个正确的状态。该技术主要是通过对用户操纵数据库的行为进行监测和分析，最终确认某一用户是正常用户还是恶意用户。若是正常用户，则不需要做出反应；若是恶意用户，则需要将其对数据库进行的操作进行回滚(undo)操作，使数据库恢复到一个正确的状态。但在这个恢复过程中，受损数据会扩散。加上入侵检测的检测期需要一个比较长的时延，恶意事务会在这期间影响到正常事务。在恢复期间必须将这些受影响的事务全部做重做(redo)操作，使得数据库性能消耗很大。依据前面的分析，在此提出数据隔离的思想：在入侵检测的检测期，当发现用户的操作可疑的时候，将该用户的操作放在一个独立的数据库中进行，当最终入侵检测确认该用户是正常的时候，再将该隔离数据库中的数据“融合”到真实数据库中；如果最终入侵检测确认该用户是恶意用户，只需要将该隔离数据库中的数据丢弃，并且将该用户被判定为可疑用户之前对数据库进行的操作进行回滚操作，使之不会影响到真实数据库中数据的正确性，保证了数据库安全。该技术的目的是要实现一个通用数据库的隔离系统，在数据库受到攻击的情况下如何最大限度的控制受损数据的扩散，以及最终如何将数据库恢复到一个正确的状态，从而保证数据库安全。

图1所示表示资源访问请求与响应流程：

制造资源访问请求的决策与执行过程分离，其原因在于访问控制请求的执行可以依据决策结果由驻留在系统中的智能程序自动执行，包括开放访问权限、对接资源代理等操作；而访问请求的决策过程需要安全管理员的参与。决策过程中，一些技术手段是必要的，如安全策略的隶属域识别(既然服务执行环境在物理上相互隔离，则发生在安全策略执行环境内的访问请求事务只与隶属于该环境的安全策略及云制造服务平台的宏策略相关)，此外，依据角色层次关系，递归获得与访问控制主体相关的角色集，并依此分拣出相关的安全策略也是必要的。这些技术上的操作可以削减相关安全策略的数量，从而简化安全策略集所蕴含的语义空间，降低授权路径问题求解的难度。

图2所示是本发明的数据隔离子系统体系结构。

当入侵检测子系统发现某用户的行为偏离了正常轨道，但在不进一步观察的情况下无法确认是否为正常或恶意用户，就将该用户设定为可疑用户，并且将其用户名和操纵数据库的语句发送给隔离子系统。

隔离控制模块主要是接收入侵检测子系统的数据，对SQL语句进行分析，获取用户想要操纵的表名，依据可疑用户的操作类型来执行不同的操作。若可疑用户的操作类型是SELECT操作，则直接读真实表中的数据；若可疑用户执行的是INSERT、UPDATE、DELETE中操作的一种，则首先去查系统中是否有该可疑用户维护的隔离表。若有该用户维护的隔离表，则将该语句定位到该隔离表中进行操作；若没有隔离表，则先用存储过程获取真实表的创建语句，建立相同结构的隔离表，再将该语句定位到该隔离表中进行操作。

隔离用户的操作语句经过隔离控制模块的处理后，并不是直接得到返回的结果。而是通过代理模块，代理模块将隔离用户SQL语句执行后的结果处理后分别写入到相应版本的隔离表中。

在隔离子系统运行的过程当中，入侵检测子系统仍旧对该用户的行为进行监控和分析，最终会确认该用户的性质。若入侵检测最终发现该用户是恶意用户，则直接将该用户维护的隔离版本的数据丢弃，并且将该用户被判定为可疑用户之前对数据库的操作进行undo操作，则该用户不会对数据库中的数据造成任何损伤。若入侵检测最终发现该用户是正常用户时，则要将该用户维护的隔离版本数据库融合到真实版本的数据库当中。融合的前提是要知道该数据库中所有操作的日志记录，通过日志记录去查找所有事务之间的读写依赖关系，为版本融合模块提供数据支持。

事务日志模块主要是记录某一数据项被修改时的值的变化以及修改的精确时间。采用触发器来获取用户的写操作，对表中每个列都设置触发器，当对其有写操作时，利用系统中两张临时表Inserted表和Deleted表，可以得到写操作的精确信息。对于事务的读操作，采用“读模版”和写临时表的方法来获取。

在电力市场中，移动手持设备广泛应用于用电、配电、输电和变电领域，2011年，国网招标要求移动手持设备接入国网系统，必须通过安全防护接入。国网的政策要求在移动手持设备中加入安全芯片。其中，在用电市场，依据各网省公司的采购计划，每2000个居民用户配备一台移动手持设备，每100个企业用户配备一台移动手持设备；到2015年底国网将达到3.6亿居民用户，企业用户智能转变终端采购数量将达到160万。因此用电市场到2015年底移动手持设备的市场容量是接近20万。移动手持设备的轮换周期为4至5年，预计每年用电领域移动手持设备的采购量为6万台左右。另外，随着农网改造项目的实施，由于农村通讯网络的不便和缺陷，对用电PDA的应用需求将更加迫切。全国大约有68万个行政村，按平均每个行政村一个用电移动手持设备计算，农网用电移动手持设备的市场容量至少为68万个。假设改造周期为10年，则每年农网对移动手持设备的需求量为10万台(考虑到因故障轮换)。在输配电应用领域，电力线路巡检移动手持设备，按近几年每年每个网省的需求量在2000至1500台左右，国网年需求量在3万台左右。应急抢修移动手持设备国网年需求量在1万台左右。所以，在输配变电应用领域，移动手持设备的年需求量在4万台左右。综上所述，结合用电和输配变电应用，国网每年对移动手持设备的需求量为20万台。按每个移动手持设备一个安全芯片计算，每年的芯片需求量在20万片左右。

而在电力外市场，根据权威机构的市场调研分析，2011年至2014年，国内移动手持设备市场的需求量年平均为500万台，按每个移动手持设备一个安全芯片计算，市场容量为500万片。另外，随着个人智能手机的普及，如果在个人手机终端通过植入安全模块，安装相应的软件应用，就可实现某种特定业务应用，将大大方便人们的工作与生活；智能手机和目前市场上的PDA其功能具有互通性，随着移动个人终端业务的增加，我们的移动作业平台安全芯片，完全可以推广到个人智能手机领域，市场将呈现爆发性增长，所以我们在电力业务终端应用层实现的数据安全管理方法必不可少。

本发明未提及的技术均为现有技术。

Claims

1.一种电力业务终端的数据安全管理方法，其特征在于：包括构建基于安全芯片的电力业务终端多级安全模型，所述电力业务终端多级安全模型包括可信软件栈功能架构，可信软件栈功能架构包括以下部分：

(2)数据隐私保护：数据隐私保护涉及数据生命周期的每一个阶段，将集中信息流控制DIFC和差分隐私保护技术数据生成与计算阶段，通过隐私保护系统airavat，防止mapreduce计算过程中非授权的隐私数据泄露出去，并支持对计算结果的自动除密；在数据存储和使用阶段，通过基于客户端的隐私管理工具，提供以用户为中心的信任模型，帮助用户控制自己的敏感信息在云端的存储和使用；通过K匿名、图匿名以及数据预处理，作用于大规模待发布数据时所面临的问题；通过匿名数据搜索引擎，使得交互双方搜索对方的数据，获取自己所需要的部分，同时保证搜索询问的内容不被对方所知，搜索时与请求不相关的内容不会被获取；

(5)入侵容忍数据库中的数据隔离技术：该技术能够容忍数据库的损伤并能将数据库恢复到一个正确的状态，通过对用户操纵数据库的行为进行监测和分析，最终确认某一用户是正常用户还是恶意用户；若是正常用户，则不需要做出反应；若是恶意用户，则需要将其对数据库进行的操作进行回滚undo操作，使数据库恢复到一个正确的状态。

2.根据权利要求1所述的电力业务终端的数据安全管理方法，其特征在于：所述(1)可信访问控制中，加密算法为密钥规则的基于属性加密方案KP-ABE或密文规则的基于属性加密方案CP-ABE。

3.根据权利要求1所述的电力业务终端的数据安全管理方法，其特征在于：所述(3)资源访问控制中，在跨多个域的资源访问中，各域有自己的访问控制策略，在进行资源共享和保护时必须对共享资源制定一个公共的、双方都认同的访问控制策略，需要支持策略的合成；通过强制访问控制策略的合成框架，将两个安全格合成一个新的格结构，策略合成的同时还要保证新策略的安全性，新的合成策略必须不能违背各个域原来的访问控制策略；再通过自治原则、安全原则以及访问控制策略合成代数，基于集合论使用合成运算符来合成安全策略；最后通过基于授权状态变化的策略合成代数框架，构造语义Web服务的策略合成方案，建立一个多信任域RBAC策略合成策略，侧重于解决合成的策略与各域原有策略的一致性问题。

4.根据权利要求1所述的电力业务终端的数据安全管理方法，其特征在于：所述(4)数据存在与可使用性证明中，面向用户单独验证的数据可检索性证明POR方法、公开可验证的数据持有证明PDP方法；改进并提高POR方法的处理速度以及验证对象规模，且能够支持公开验证。

5.根据权利要求4所述的电力业务终端的数据安全管理方法，其特征在于：所述公开验证技术包括基于新的树形结构MACTree的方案、基于代数签名的方法、基于BLS同态签名和RS纠错码的方法。

6.根据权利要求1-5任意一项所述的电力业务终端的数据安全管理方法，其特征在于：所述(5)入侵容忍数据库中的数据隔离技术在恢复过程中，受损数据会扩散，加上入侵检测的检测期需要一个比较长的时延，恶意事务会在这期间影响到正常事务，在恢复期间将这些受影响的事务全部做重做redo操作，使得数据库性能消耗很大；依据前面的分析，在此提出数据隔离的思想：在入侵检测的检测期，当发现用户的操作可疑的时候，将该用户的操作放在一个独立的数据库中进行，当最终入侵检测确认该用户是正常的时候，再将该隔离数据库中的数据“融合”到真实数据库中；如果最终入侵检测确认该用户是恶意用户，只需要将该隔离数据库中的数据丢弃，并且将该用户被判定为可疑用户之前对数据库进行的操作进行回滚操作，使之不会影响到真实数据库中数据的正确性，保证了数据库安全。