CN113630425A - 一种多电力主体的财务数据安全传输方法 - Google Patents

Abstract

本发明提出了一种多电力主体的财务数据安全传输方法，包括：获取第一电力主体的若干个待传输的数据包，包括各个结算时刻的业务数据、财务数据以及获取路径；基于最小二乘法对业务数据与财务数据进行拟合，记录拟合得到的目标函数中的参数；将参数作为特征对结算时刻进行聚类，在每个类中分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径；若存在疑似异常路径，判断疑似异常路径是否符合保密要求，若符合保密要求，对财务数据进行密钥加密处理后发送给第二电力主体。通过局部敏感哈希算法对获取路径进行异常分析，从而筛选出来源异常的数据，避免了财务数据被误传的风险。

Description

一种多电力主体的财务数据安全传输方法

技术领域

本发明属于数据安全领域，尤其涉及一种多电力主体的财务数据安全传输方法。

背景技术

随着电力技术的变革以及经济环境的变化，发电企业、售电企业以及用电企业等电力主体的业务情况也会随之发生变化。而各电力主体在进行财务结算时，往往需要参考相关联的其他电力主体的有关财务数据，否则可能会因电力主体之间的财务方面上信息不对称，导致结算结果不准确或不及时。

因此，为了防止信息不对称的问题出现，现阶段急需一种传输方便又具有安全保障的数据传输方法。在数据传输时常规的安全保障方案通常需要设置密钥为财务数据加密后即传输给其他电力主体，但在这个过程中存在将需要保密的财务数据误传输的风险。

发明内容

为了解决现有技术中存在的缺点和不足，本发明提出了一种多电力主体的财务数据安全传输方法，包括：

S100：获取第一电力主体的若干个待传输的数据包，所述数据包中包括第一电力主体在各个结算时刻的业务数据、根据业务数据结算的财务数据以及业务数据和财务数据的获取路径；

S200：基于最小二乘法对各个结算时刻的业务数据与财务数据的关联关系进行拟合，记录拟合得到的目标函数中的参数；

S300：将参数作为特征对结算时刻进行聚类，在每个类中获取各个结算时刻下业务数据与财务数据的获取路径，分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径；

S400：若存在疑似异常路径，获取疑似异常路径涉及到的数据地址，结合数据地址的预设保密等级判断疑似异常路径是否符合保密要求，若不符合则拒绝传输数据包的请求，若符合保密要求，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体；

S500：若所有类中均不存在疑似异常路径，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体。

可选的，所述业务数据包括发电企业的机组运行数据以及设备作业数据、售电企业的用户数据以及分时电价、用电用户的电能消耗数据，所述财务数据为发电企业的作业成本数据以及发电成本数据、售电企业的售电盈利数据、用电企业的电能消费数据。

可选的，所述将参数作为特征对结算时刻进行聚类，包括：

S310：随机选取k个结算时刻作为聚类中心；

S320：计算其他结算时刻对应的参数与聚类中心对应的参数的距离，将其他结算时刻划分到距离最近的聚类中心的类中，重新计算每个类的聚类中心；

S330：判断重新计算的聚类中心与S320中的聚类中心的差值是否小于预设阈值，若不小于预设阈值则重复S320，直至相邻两次计算的聚类中心小于预设阈值，得到k个类。

可选的，所述分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径，包括：

S340：按照获取路径的访问顺序为获取路径中的数据地址设置权重，访问顺序越靠前的数据地址权重越高；

S350：通过hash函数分别计算每个数据地址的原始哈希值，基于S340中设置的权重对原始哈希值进行加权；

S360：将加权结果累加，将累加得到的序列串作为每个获取路径的局部敏感哈希值；

S370：分别计算每个获取路径的局部敏感哈希值之间的汉明距离，根据汉明距离的计算结果分析局部敏感哈希值中的离群值。

可选的，所述S350包括：

依次对原始哈希值中的每一位二进制数进行加权计算，当二进制数为1，将二进制数与权重相乘进行加权，当二进制数为0时，将二进制数置为权重的负数。

可选的，所述S400包括：

获取疑似异常路径中业务数据和财务数据的起始数据地址；

当任一起始数据地址的预设保密等级属于禁止对外传输的等级时，判定疑似异常路径不符合保密要求；

当两个起始数据地址均不属于禁止对外传输的等级时，分析两个起始数据地址的预设保密等级匹配情况，若两个起始数据地址的预设保密等级不匹配，则判定疑似异常路径不符合保密要求；若两个起始数据地址的预设保密等级匹配，确定疑似异常路径与其他获取路径的数据地址的交集，判断疑似异常路径中交集以外的数据地址的预设保密等级是否属于禁止对外传输的等级，若属于，则判定疑似异常路径不符合保密要求，否则判定疑似异常路径符合保密要求。

可选的，所述分析两个起始数据地址的预设保密等级匹配情况，包括：

确定疑似异常路径中业务数据和财务数据的起始数据地址的预设保密等级之间的等级间隔，若等级间隔在预设范围之外，则两个起始数据地址的预设保密等级不匹配，若等级间隔在预设范围内，则两个起始数据地址的预设保密等级匹配。

可选的，所述对数据包中的财务数据进行密钥加密处理后发送给第二电力主体，包括：

确定数据包中所有的获取路径经过次数最多的数据地址，获取所述数据地址所属数据库的用户密钥；

通过用户密钥对数据包进行加密后传输给第二电力主体。

本发明提供的技术方案带来的有益效果是：

（1）本发明通过局部敏感哈希算法对业务数据与财务数据的获取路径进行异常分析，从而及时筛选出数据包中来源异常的数据，从通过对获取路径进行溯源分析确定数据包是否可以对外传输，避免了具有保密要求的财务数据被误传的风险；

（2）本发明利用局部敏感哈希算法将获取路径转换为哈希值以降低异常分析时的数据维度，提高了获取路径异常分析的效率。

附图说明

为了更清楚地说明本发明的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明一实施例提出的一种多电力主体的财务数据安全传输方法的流程示意图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明的说明书和权利要求书及上述附图中的术语“第一”、“第二”、“第三”、“第四”等（如果存在）是用于区别类似的对象，而不必用于描述特定的顺序或先后次序。应该理解这样使用的数据在适当情况下可以互换，以便这里描述的本发明的实施例能够以除了在这里图示或描述的那些以外的顺序实施。

应当理解，在本发明的各种实施例中，各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施过程构成任何限定。

应当理解，在本发明中，“包括”和“具有”以及他们的任何变形，意图在于覆盖不排他的包含，例如，包含了一系列步骤或单元的过程、方法、系统、产品或设备不必限于清楚地列出的那些步骤或单元，而是可包括没有清楚地列出的或对于这些过程、方法、产品或设备固有的其它步骤或单元。

应当理解，在本发明中，“多个”是指两个或两个以上。“和/或”仅仅是一种描述关联对象的关联关系，表示可以存在三种关系，例如，和/或B，可以表示：单独存在A，同时存在A和B，单独存在B这三种情况。字符“/”一般表示前后关联对象是一种“或”的关系。“包含A、B和C”、“包含A、B、C”是指A、B、C三者都包含，“包含A、B或C”是指包含A、B、C三者之一，“包含A、B和/或C”是指包含A、B、C三者中任1个或任2个或3个。

应当理解，在本发明中，“与A对应的B”、“与A相对应的B”、“A与B相对应”或者“B与A相对应”，表示B与A相关联，根据A可以确定B。根据A确定B并不意味着仅仅根据A确定B，还可以根据A和/或其他信息确定B。A与B的匹配，是A与B的相似度大于或等于预设的阈值。

取决于语境，如在此所使用的“若”可以被解释成为“在……时”或“当……时”或“响应于确定”或“响应于检测”。

下面以具体地实施例对本发明的技术方案进行详细说明。下面这几个具体的实施例可以相互结合，对于相同或相似的概念或过程可能在某些实施例不再赘述。

实施例一

如图1所述，本实施例提出了一种多电力主体的财务数据安全传输方法，包括：

S100：获取第一电力主体的若干个待传输的数据包，所述数据包中包括第一电力主体在各个结算时刻的业务数据、根据业务数据结算的财务数据以及业务数据和财务数据的获取路径；

S200：基于最小二乘法对各个结算时刻的业务数据与财务数据的关联关系进行拟合，记录拟合得到的目标函数中的参数；

S300：将参数作为特征对结算时刻进行聚类，在每个类中获取各个结算时刻下业务数据与财务数据的获取路径，分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径；

S400：若存在疑似异常路径，获取疑似异常路径涉及到的数据地址，结合数据地址的预设保密等级判断疑似异常路径是否符合保密要求，若不符合则拒绝传输数据包的请求，若符合保密要求，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体；

S500：若所有类中均不存在疑似异常路径，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体。

为了保障数据传输的安全，现有的做法通常仅关注了传输链路上的加密情况，而忽略的传输数据的源头是否安全。实际上，由于外部恶意攻击、人员误操作等情况的存在，一些保密需求较高、不能对外传输的财务数据存在被误传的风险。因此，本实施例在财务数据发送至传输链路之前，通过局部敏感哈希算法对业务数据与财务数据的获取路径进行异常分析，从而及时筛选出数据包中来源异常的数据，从通过对获取路径进行溯源分析确定数据包是否可以对外传输，避免了具有保密要求的财务数据被误传的风险。

在本实施例中，所述电力主体包括发电企业中的各个配电站、变电站、开关站等，还包括售电企业以及用电企业等电力相关的主体。所述业务数据包括发电企业的机组运行数据以及设备作业数据、售电企业的用户数据以及分时电价、用电用户的电能消耗数据，所述财务数据为发电企业的作业成本数据以及发电成本数据、售电企业的售电盈利数据、用电企业的电能消费数据。

在本实施例中，基于预设频率根据业务数据对财务数据进行结算，每隔一定时间生成数据包，以数据包为单位对财务数据是否能够对外传输进行分析，其中所述数据包中包括第一电力主体在各个结算时刻的业务数据、根据业务数据结算的财务数据以及业务数据和财务数据的获取路径。所述获取路径是按照获取业务数据和财务数据时依次访问的数据地址的顺序形成的路径。

本实施例考虑到各类财务数据的结算周期可能不同，因此首先利用最小二乘法分析不同结算时刻下业务数据与财务数据之间的关联关系进行拟合，以拟合得到的目标函数中的各项参数描述业务数据与财务数据之间的关联关系，并进行聚类。具体包括：

S310：随机选取k个结算时刻作为聚类中心；

S320：计算其他结算时刻对应的参数与聚类中心对应的参数的距离，将其他结算时刻划分到距离最近的聚类中心的类中，重新计算每个类的聚类中心；

S330：判断重新计算的聚类中心与S320中的聚类中心的差值是否小于预设阈值，若不小于预设阈值则重复S320，直至相邻两次计算的聚类中心小于预设阈值，得到k个类。

在由此得到的类中，业务数据与对应的财务数据之间聚类类似的关联关系，同属一类的结算时刻下的业务数据与财务数据的关联关系类似，因此可认为同属一类的财务数据的类型相似，在正常情况下获取路径应当是类似的。

本实施例采用局部敏感哈希算法实现获取路径的异常分析。一般的哈希算法中，当输入哈希函数的原内容发生微小变化后，哈希算法计算出的哈希值可能会发生很大的变化，而局部敏感哈希算法的改进之处在于，当输入哈希函数的原内容发生微小变化后，其哈希值也只会发生微小的变化。因此，本实施例利用局部敏感哈希算法改进后的特性，将获取路径降维成固定字节长度的局部敏感哈希值，有利于快速筛选出疑似异常路径。局部敏感哈希算法的主要流程一般分为分词、哈希、加权以及合并，在本实施例中，分词流程为从获取路径中拆分出各个数据地址，哈希流程为对数据地址分别计算常规的原始哈希值，加权为根据预设的权重对常规的原始哈希值进行加权，合并流程为将各个加权后的原始哈希值累加变成一个序列串，具体为：

S340：按照获取路径的访问顺序为获取路径中的数据地址设置权重，访问顺序越靠前的数据地址权重越高。因为本实施例中获取路径按各个数据地址的访问顺序由前到后排列，因此越靠前的数据地址越接近数据的源地址，因此赋予较高的权重以提高局部敏感哈希值与原内容之间对应关系的准确性。

S350：通过hash函数分别计算每个数据地址的原始哈希值，基于S340中设置的权重对原始哈希值进行加权；具体加权方式为：依次对原始哈希值中的每一位二进制数进行加权计算，当二进制数为1，将二进制数与权重相乘进行加权，当二进制数为0时，将二进制数置为权重的负数。在本实施例中，原始哈希值为二进制的字符串，例如，原始哈希值为“10 0 1 1 0”，该原始哈希值对应的数据地址的权重为5，则加权后的结果为“5 -5 -5 5 5 -5”。

S360：将加权结果累加，将累加得到的序列串作为每个获取路径的局部敏感哈希值。例如，一个加权结果为“5 -5 -5 5 5 -5”，另一个加权结果为“8 8 -8 8 -8 -8”，则累加后得到的序列串为“13 3 -13 13 -3 -13”。

S370：分别计算每个获取路径的局部敏感哈希值之间的汉明距离，根据汉明距离的计算结果分析局部敏感哈希值中的离群值。通过汉明距离分析局部敏感哈希值彼此之间的距离，若所有汉明距离均未超过预设的距离阈值，则说明局部敏感哈希值中不存在离群值，进而能够认为所有获取路径相似且均为正常合法的获取路径。若存在汉明距离超过预设的距离阈值，则能够筛选出距离其他局部敏感哈希值较远的离群值，说明该离群值对应的获取路径与类中其他获取路径存在较大差异，标记为疑似异常路径并在后续进一步判断。

在本实施例中，还可以在S360后追加一个降维流程，将序列串中大于0的序列值即为1，小于0的序列值记为0，便于后续分析。

在上述获取路径的异常分析过程，筛选出的疑似异常路径中绝大部分对应的财务数据都是保密等级较高、本不应该对外传输的数据，但在实际应用中会发现，获取路径不同未必代表业务数据或财务数据的来源异常，例如，某一数据库中的存储节点出现故障，因此为了防止财务数据对外传输的过度拦截，本实施例还会对疑似异常路径进行进一步判断，具体为：

获取疑似异常路径中业务数据和财务数据的起始数据地址；

当任一起始数据地址的预设保密等级属于禁止对外传输的等级时，判定疑似异常路径不符合保密要求；

当两个起始数据地址均不属于禁止对外传输的等级时，分析两个起始数据地址的预设保密等级匹配情况，若两个起始数据地址的预设保密等级不匹配，则判定疑似异常路径不符合保密要求；若两个起始数据地址的预设保密等级匹配，确定疑似异常路径与其他获取路径的数据地址的交集，判断疑似异常路径中交集以外的数据地址的预设保密等级是否属于禁止对外传输的等级，若属于，则判定疑似异常路径不符合保密要求，否则判定疑似异常路径符合保密要求。

本实施例中分析两个起始数据地址的预设保密等级匹配情况，包括：确定疑似异常路径中业务数据和财务数据的起始数据地址的预设保密等级之间的等级间隔，若等级间隔在预设范围之外，则两个起始数据地址的预设保密等级不匹配，若等级间隔在预设范围内，则两个起始数据地址的预设保密等级匹配。即只有业务数据和财务数据来源地址的保密程度相当才能认为财务数据的结算程序是正常的。

若匹配，则确定疑似异常路径与其他获取路径的数据地址的交集，判断疑似异常路径中交集以外的数据地址的预设保密等级是否属于禁止对外传输的等级，即进一步判断疑似异常路径与其他正常的获取路径中不同的数据地址的预设保密等级，若属于，则判定疑似异常路径不符合保密要求，否则判定疑似异常路径符合保密要求。

通过上述过程完成获取路径的异常分析，只有通过了上述异常分析过程的获取路径对应的财务数据才可以对外传输，在对外传输时，确定数据包中所有的获取路径经过次数最多的数据地址，获取所述数据地址所属数据库的用户密钥；通过用户密钥对数据包进行加密后传输给第二电力主体。

上述实施例中的各个序号仅仅为了描述，不代表各部件的组装或使用过程中的先后顺序。

以上所述仅为本发明的实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (8)

1.一种多电力主体的财务数据安全传输方法，其特征在于，所述财务数据安全传输方法包括：

S100：获取第一电力主体的若干个待传输的数据包，所述数据包中包括第一电力主体在各个结算时刻的业务数据、根据业务数据结算的财务数据以及业务数据和财务数据的获取路径；

S200：基于最小二乘法对各个结算时刻的业务数据与财务数据的关联关系进行拟合，记录拟合得到的目标函数中的参数；

S300：将参数作为特征对结算时刻进行聚类，在每个类中获取各个结算时刻下业务数据与财务数据的获取路径，分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径；

S400：若存在疑似异常路径，获取疑似异常路径涉及到的数据地址，结合数据地址的预设保密等级判断疑似异常路径是否符合保密要求，若不符合则拒绝传输数据包的请求，若符合保密要求，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体；

S500：若所有类中均不存在疑似异常路径，对数据包中的财务数据进行密钥加密处理后发送给第二电力主体。

2.根据权利要求1所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述业务数据包括发电企业的机组运行数据以及设备作业数据、售电企业的用户数据以及分时电价、用电用户的电能消耗数据，所述财务数据为发电企业的作业成本数据以及发电成本数据、售电企业的售电盈利数据、用电企业的电能消费数据。

3.根据权利要求1所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述将参数作为特征对结算时刻进行聚类，包括：

S310：随机选取k个结算时刻作为聚类中心；

S320：计算其他结算时刻对应的参数与聚类中心对应的参数的距离，将其他结算时刻划分到距离最近的聚类中心的类中，重新计算每个类的聚类中心；

S330：判断重新计算的聚类中心与S320中的聚类中心的差值是否小于预设阈值，若不小于预设阈值则重复S320，直至相邻两次计算的聚类中心小于预设阈值，得到k个类。

4.根据权利要求1所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述分别计算每个获取路径的局部敏感哈希值，通过分析局部敏感哈希值中是否存在离群值，在获取路径中选出疑似异常路径，包括：

S340：按照获取路径的访问顺序为获取路径中的数据地址设置权重，访问顺序越靠前的数据地址权重越高；

S350：通过hash函数分别计算每个数据地址的原始哈希值，基于S340中设置的权重对原始哈希值进行加权；

S360：将加权结果累加，将累加得到的序列串作为每个获取路径的局部敏感哈希值；

S370：分别计算每个获取路径的局部敏感哈希值之间的汉明距离，根据汉明距离的计算结果分析局部敏感哈希值中的离群值。

5.根据权利要求4所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述S350包括：

依次对原始哈希值中的每一位二进制数进行加权计算，当二进制数为1，将二进制数与权重相乘进行加权，当二进制数为0时，将二进制数置为权重的负数。

6.根据权利要求1所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述S400包括：

获取疑似异常路径中业务数据和财务数据的起始数据地址；

当任一起始数据地址的预设保密等级属于禁止对外传输的等级时，判定疑似异常路径不符合保密要求；

当两个起始数据地址均不属于禁止对外传输的等级时，分析两个起始数据地址的预设保密等级匹配情况，若两个起始数据地址的预设保密等级不匹配，则判定疑似异常路径不符合保密要求；若两个起始数据地址的预设保密等级匹配，确定疑似异常路径与其他获取路径的数据地址的交集，判断疑似异常路径中交集以外的数据地址的预设保密等级是否属于禁止对外传输的等级，若属于，则判定疑似异常路径不符合保密要求，否则判定疑似异常路径符合保密要求。

7.根据权利要求6所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述分析两个起始数据地址的预设保密等级匹配情况，包括：

确定疑似异常路径中业务数据和财务数据的起始数据地址的预设保密等级之间的等级间隔，若等级间隔在预设范围之外，则两个起始数据地址的预设保密等级不匹配，若等级间隔在预设范围内，则两个起始数据地址的预设保密等级匹配。

8.根据权利要求1所述的一种多电力主体的财务数据安全传输方法，其特征在于，所述对数据包中的财务数据进行密钥加密处理后发送给第二电力主体，包括：

确定数据包中所有的获取路径经过次数最多的数据地址，获取所述数据地址所属数据库的用户密钥；

通过用户密钥对数据包进行加密后传输给第二电力主体。

Images