CN115964407A - 双副本电力网络安全审计方法、系统、介质及设备 - Google Patents

双副本电力网络安全审计方法、系统、介质及设备 Download PDF

Info

Publication number
CN115964407A
CN115964407A CN202211252800.3A CN202211252800A CN115964407A CN 115964407 A CN115964407 A CN 115964407A CN 202211252800 A CN202211252800 A CN 202211252800A CN 115964407 A CN115964407 A CN 115964407A
Authority
CN
China
Prior art keywords
data
copy
audit
chain
block
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211252800.3A
Other languages
English (en)
Inventor
黄伟
王黎明
姜海涛
王梓莹
韦磊
赵新冬
郭雅娟
朱道华
顾智敏
郭静
孙云晓
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Original Assignee
State Grid Jiangsu Electric Power Co Ltd
Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by State Grid Jiangsu Electric Power Co Ltd, Electric Power Research Institute of State Grid Jiangsu Electric Power Co Ltd filed Critical State Grid Jiangsu Electric Power Co Ltd
Priority to CN202211252800.3A priority Critical patent/CN115964407A/zh
Publication of CN115964407A publication Critical patent/CN115964407A/zh
Pending legal-status Critical Current

Links

Images

Landscapes

  • Storage Device Security (AREA)

Abstract

本发明公开了一种双副本电力网络安全审计方法、系统、介质及设备,基于待审计验证的电力系统终端的审计数据生成副本I和副本II;所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;将所述副本I和所述副本II进行比对,得到审计结果。优点:基于区块链的网络安全审计平台中审计数据不能被随意修改和删除,具有存证和取证独立、存证数据可靠、风险识别度高等性能。通过链上审计数据和链外审计数据的双副本机制,实现电力网络安全审计数据的有效存证和取证。

Description

双副本电力网络安全审计方法、系统、介质及设备
技术领域
本发明涉及一种双副本电力网络安全审计方法、系统、介质及设备,属于电力系统审计技术领域。
背景技术
随着新型电力系统的发展,各类型终端泛在互联,电子数据的形式复杂多样,给电力网络安全审计的有效性带来了挑战。传统的基于区块链的审计系统中,审计数据与链外数据之间的“映射关系”无法体现,当链外环境发生变化时,审计人员将无法及时获知并进行取证。此外,电力网络安全审计系统中处理的数据类型多样,传统区块链系统以交易数据处理为主,难以有效处理复杂的非结构化数据。
发明内容
本发明所要解决的技术问题是克服现有技术的缺陷,提供一种双副本电力网络安全审计方法、系统、介质及设备。
为解决上述技术问题,本发明提供一种双副本电力网络安全审计方法,包括:
基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
将所述副本I和所述副本II进行比对,得到审计结果。
进一步的,基于待审计验证的电力系统终端的审计数据生成副本I和副本II,包括:
对所述审计数据进行数字签名处理,得到带签名的审计存证数据,将所述带签名的审计存证数据通过上链预言机存储在区块链上;
对所述审计数据进行数字签名和索引生成处理,得到带签名和链上索引的原始审计数据,将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
进一步的,所述在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II,包括:
对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验,检验通过后得到电力系统终端对应的副本I;
对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签,验证通过后得到电力系统终端对应的的副本II。
进一步的,所述将所述副本I和所述副本II进行比对,得到审计结果,包括:
电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,根据证据计算、凭证校验和事件追溯的结果得到审计结果。
进一步的,所述副本I的数据存取原始存证数据的元数据,按照区块的形式组织,所述区块包括区块头、存证树、存证指纹和附加数据;
所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针;所述块标识,用于唯一指定区块链上的一个区块;所述块高度,用于表示当前区块距离创世块的距离;所述时间戳,用于记录存证上链的时间信息;所述前区块指针指,用于指向前区块的区块头;所述存证根,用于存放当前区块中存证信息的hash值;所述存证指纹指针,用于指向本区块所包含存证项的存证指纹信息;
所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点,叶子节点为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值;
所述存证指纹,用于保存待审计验证的电力系统终端的存证数据一致性验证信息;
所述附加数据为电力网络安全审计业务指定的自定义信息。
进一步的,所述数字签名为证据指纹注入及存证上链过程,包括:
选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n;其中,Zq为q阶整数群,G为非奇异椭圆曲线上的生成元,G1为加法群,GT为乘法群,H1和H2分别表示hash函数H1和hash函数H2,n为密文长度;
给定用户标识为User_ID,
其对应的公钥PID为经过hash函数H1映射生成的G1中的元素,表示为:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);Data_Set为存证数据集,Time_Stamp为时间戳,hash()为除H1、H2之外的任意hash函数;
其对应的私钥SID为:SID=rPID=rH1(User_ID||hash(Data_Set)||Time_Stamp);
副本I的数据上链前,进行证据指纹的注入,包括:
获取拟注入指纹的副本II数据的hash摘要Su,表示为:
Su=hash(join{Data_ID|ID∈Data_Set})
join为不同数据标识所对应的审计数据项的联合,采用字符串连接方式,Data_ID为审计数据项标识;
使用私钥SID将hash摘要Su进行身份基加密,包括:
择随机数k,计算密文组件C1,表示为:C1=kPID
计算密文组件C2,表示为:其中, 为双线性映射;
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为为副本I,表示为:<C1,C2,审计存证数据>。
进一步的,所述基于证据指纹进行一致性检验,包括:
根据密文组件C1,密文组件C2和公钥PID,计算得到拟注入指纹的副本II数据的hash摘要Su;
根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data_ID|ID∈Data_Set});
判断Su'是否等于Su,若成立,则表明存证数据具有一致性,否则返回存证验证异常,Su'表示副本II数据的hash摘要的验证计算结果。
一种基于区块链的双副本电力网络安全审计系统,包括:
生成模块,用于基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
获取模块,在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
比对模块,用于将所述副本I和所述副本II进行比对,得到审计结果。
进一步的,所述生成模块,用于
对所述审计数据进行数字签名处理,得到带签名的审计存证数据,将所述带签名的审计存证数据通过上链预言机存储在区块链上;
对所述审计数据进行数字签名和索引生成处理,得到带签名和链上索引的原始审计数据,将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
进一步的,所述获取模块,用于
对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验,检验通过后得到电力系统终端对应的副本I;
对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签,验证通过后得到电力系统终端对应的的副本II。
进一步的,所述比对模块,
用于将电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,根据证据计算、凭证校验和事件追溯的结果得到审计结果。
进一步的,所述副本I的数据存取原始存证数据的元数据,按照区块的形式组织,所述区块包括区块头、存证树、存证指纹和附加数据;
所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针;所述块标识,用于唯一指定区块链上的一个区块;所述块高度,用于表示当前区块距离创世块的距离;所述时间戳,用于记录存证上链的时间信息;所述前区块指针指,用于指向前区块的区块头;所述存证根,用于存放当前区块中存证信息的hash值;所述存证指纹指针,用于指向本区块所包含存证项的存证指纹信息;
所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点,叶子节点为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值;
所述存证指纹,用于保存待审计验证的电力系统终端的存证数据一致性验证信息;
所述附加数据为电力网络安全审计业务指定的自定义信息。
进一步的,所述生成模块包括:
初始化单元,用于选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n;其中,Zq为q阶整数群,G为非奇异椭圆曲线上的生成元,G1为加法群,GT为乘法群,H1和H2分别表示hash函数H1和hash函数H2,n为密文长度;
给定用户标识为User_ID;
其对应的公钥PID为经过hash函数H1映射生成的G1中的元素,表示为:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);Data_Set为存证数据集,Time_Stamp为时间戳,hash()为除H1、H2之外的任意hash函数;
其对应的私钥SID为:SID=rPID=rH1(User_ID||Data_Set||Time_Stamp);
数字签名单元,用于副本I的数据上链前,进行证据指纹的注入,包括:
获取拟注入指纹的副本II数据的hash摘要Su,表示为:
Su=hash(join{Data_ID|ID∈Data_Set})
join为不同数据标识所对应的审计数据项的联合,采用字符串连接方式,Data_ID为审计数据项标识;
使用私钥SID将hash摘要Su进行身份加密,包括:
择随机数k,计算密文组件C1,表示为:C1=kPID
计算密文组件C2,表示为:其中, 为双线性映射;
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为副本I,表示为:<C1,C2,审计存证数据>。
进一步的,所述比对模块包括:
第一计算单元,用于根据密文组件C1,密文组件C2和公钥PID,计算得到拟注入指纹的副本II数据的hash摘要Su;
第二计算单元,用于根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data-ID|ID∈Data_Set});
判断Su'是否等于Su,若成立,则表明存证数据具有一致性,否则返回存证验证异常,Su'表示副本II数据的hash摘要的验证计算结果。
一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述的方法中的任一方法。
一种计算设备,包括:
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。
本发明所达到的有益效果:
基于区块链的网络安全审计平台中审计数据不能被随意修改和删除,具有存证和取证独立、存证数据可靠、风险识别度高等性能。通过链上审计数据和链外审计数据的双副本机制,实现电力网络安全审计数据的有效存证和取证。
附图说明
图1为本发明的流程示意图;
图2为本发明内容框架图;
图3为副本II数据结构图;
图4为副本I数据结构图。
具体实施方式
下面结合附图对本发明作进一步描述。以下实施例仅用于更加清楚地说明本发明的技术方案,而不能以此来限制本发明的保护范围。
如图1所示,一种双副本电力网络安全审计方法,包括:
基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
将所述副本I和所述副本II进行比对,得到审计结果。
本发明方法中,电力系统终端审计数据通过嵌入式数据采集接口传入审计平台,平台经过基于区块链和链外审计数据库的双副本进行存证,链上只存储带有证据指纹的元数据。审计验证时通过获取链上审计数据与链外数据进行比对,得到可信的审计结果。如图2所示。
具体包含如下步骤:
步骤一:被审计节点提交的审计数据(如业务记录、日志等)通过基础数据采集模块提交到审计系统的数据接口。
步骤二:数据接口对原始数据进行数字签名后进行存证。其中,存证的审计数据保存为两个对等的副本。副本I为带签名的审计存证数据,经注入证据数据指纹后,进行HASH摘要得到的审计凭证,此数据通过上链预言机进行上链存储;副本II为带签名和链上索引的原始审计数据,存入链外审计数据库。
步骤三:副本I数据通过上链预言机调用智能合约进行上链存储,区块链采用联盟链,共识算法采用RAFT。区块链分布式账本同步存储于调度节点、新能源节点、储能终端节点、可调负荷终端节点、运营商节点等新型电力系统节点中,账本数据使用星际文件系统(IPFS)存储。
步骤四:审计组件通过链上数据和链外数据综合比对,得到审计结果。其中,从区块链中查询的数据在使用前需对证据指纹进行一致性检验,检验通过后得到副本I;从链外审计数据获取的数据在使用前需进行签名验签,验证通过后得到副本II。副本I和副本II数据通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,上述结果可支撑核验服务和追溯服务。
步骤五:审计组件通过数据交互接口与网络安全管理平台中的审计模块进行对接,实现网络安全管理平台的审计功能。
进一步的,所述存证数据采用特定的格式存储,具体如下:
(1)原始审计存证数据格式(副本II)
副本II的数据项存储格式如图3所示。副本II数据可标识为8元组Data_i=<User_ID,Data_ID,Type,Length,Time_Stamp,Data,D_sig,EoD>表示。
其中:
User_ID:用户标识。
Data_ID:审计数据的标识。
Type:指示审计数据的来源,不同来源编号不同。
Length:描述数字部分的长度,以字节为单位。
Time_Stamp:标识存证数据生成的时间。
Data:包含被审计方的数据日志和行为记录数据,数据内容为可变长度,根据节点业务特征制定。
D_sig:使用数字签名算法对数据字段内容进行签名。
EoD:存证记录结束标识,设定为111。
(2)区块链数据存证数据格式(副本I)
区块链数据存证只存取原始存证数据的元数据,此数据按照区块的形式组织,具体如下:
其中,区块包括区块头、存证树、存证指纹和附加数据组成,由前区块指针指向前区块的区块头。存证树包含存证根和树形结构的Hash节点,叶子节点D1、D2、D3、D4为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值。具体计算方法如下:
块标识唯一指定链上的一个区块。
存证指纹指针指向本区块所包含存证项的存证指纹信息。附加数据为电力网络安全审计业务指定的自定义信息,不参与区块的散列值计算,具体内容根据链上配置的内容而决定。
块高度表示当前区块距离创世块的距离,可以准确地描述出当前区块在链上的位置,创世区块高度为0。
副本I数据采用JSON格式存储。
进一步的,所述证据指纹注入和验证过程如下:
1、证据指纹注入及存证上链过程
证据指纹注入采用身份基加密体制,将被审计终端节点身份作为加密公钥,用其身份对应的私钥将上链数据标识和时间戳进行加密,系统额外设置密钥管理中心负责基于身份密钥的产生和更新。设用户标识为User_ID,数据集表示为:
Data_Set={Data_IDi:Time_Stampi|i∈N}
其中,数据集指代同一个区块中对应的多个审计数据项集合(N为每个数据集中的数据项个数),每次指纹注入以一个区块存储的数据项数量为单位。证据指纹注入过程具体包含如下步骤:
步骤11):初始化过程。密钥管理中心产生基于身份加密体制的加密参数:选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG,其中G为椭圆曲线上的生成元;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n,其中,G1为加法群,GT为乘法群。
给定户标识为User_ID,其对应的公钥PID为经过hash函数H1映射生成的G1中的元素:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);
私钥SID为:SID=rPID=rH1(User_ID||Data_Set||Time_Stamp)。其中hash()为除H1、H2之外的任意hash函数,可选用SHA-3、MD5、国密SM3等。
步骤12):副本I数据上链前,进行证据指纹的注入,包含如下子步骤:
子步骤1:获取拟注入指纹的副本II数据的hash摘要:
Su=hash(join{Data-ID|ID∈Data_Set})
子步骤2:使用私钥SID将摘要信息进行身份基加密:
计算密文组件C1:选择随机数k,计算C1=kP;
计算密文组件C2:其中
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为:<C1,C2,副本I>。
2、数据指纹一致性验证过程
步骤21):根据密文组件C1,C2和公钥PID,计算
步骤22):根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data-ID|ID∈Data_Set})
判断Su'=Su是否成立,若成立,则表明存证数据具有一致性,否则返回存证验证异常。
通过将数据采集模块嵌入到被审计节点中,达到对新型电力系统中的业务平台进行实时数据访问,实现审计数据的采集、挖掘、存证和自动化智能审计。基于区块链的网络安全审计平台中审计数据不能被随意修改和删除,具有存证和取证独立、存证数据可靠、风险识别度高等性能。通过链上审计数据和链外审计数据的双副本机制,实现电力网络安全审计数据的有效存证和取证。
相应的本发明还提供一种双副本电力网络安全审计系统,包括:
生成模块,用于基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
获取模块,在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
比对模块,用于将所述副本I和所述副本II进行比对,得到审计结果。
进一步的,所述生成模块,用于
对所述审计数据进行数字签名处理,得到带签名的审计存证数据,将所述带签名的审计存证数据通过上链预言机存储在区块链上;
对所述审计数据进行数字签名和索引生成处理,得到带签名和链上索引的原始审计数据,将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
进一步的,所述获取模块,用于
对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验,检验通过后得到电力系统终端对应的副本I;
对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签,验证通过后得到电力系统终端对应的的副本II。
进一步的,所述比对模块,
用于将电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,根据证据计算、凭证校验和事件追溯的结果得到审计结果。
进一步的,所述副本I的数据存取原始存证数据的元数据,按照区块的形式组织,所述区块包括区块头、存证树、存证指纹和附加数据;
所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针;所述块标识,用于唯一指定区块链上的一个区块;所述块高度,用于表示当前区块距离创世块的距离;所述时间戳,用于记录存证上链的时间信息;所述前区块指针指,用于指向前区块的区块头;所述存证根,用于存放当前区块中存证信息的hash值;所述存证指纹指针,用于指向本区块所包含存证项的存证指纹信息;
所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点,叶子节点为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值;
所述存证指纹,用于保存待审计验证的电力系统终端的存证数据一致性验证信息;
所述附加数据为电力网络安全审计业务指定的自定义信息。
进一步的,所述生成模块包括:
初始化单元,用于选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n;其中,Zq为q阶整数群,G为非奇异椭圆曲线上的生成元,G1为加法群,GT为乘法群,H1和H2分别表示hash函数H1和hash函数H2,n为密文长度;
给定用户标识为User_ID;
其对应的公钥PID为经过hash函数H1映射生成的G1中的元素,表示为:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);Data_Set为存证数据集,Time_Stamp为时间戳,hash()为除H1、H2之外的任意hash函数;
其对应的私钥SID为:SID=rPID=rH1(User_ID||Data_Set||Time_Stamp);
数字签名单元,用于副本I的数据上链前,进行证据指纹的注入,包括:
获取拟注入指纹的副本II数据的hash摘要Su,表示为:
Su=hash(join{Data_ID|ID∈Data_Set})
join为不同数据标识所对应的审计数据项的联合,采用字符串连接方式,Data_ID为审计数据项标识;
使用私钥SID将hash摘要Su进行身份加密,包括:
择随机数k,计算密文组件C1,表示为:C1=kPID
计算密文组件C2,表示为:其中, 为双线性映射;
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为副本I,表示为:<C1,C2,审计存证数据>。
进一步的,所述比对模块包括:
第一计算单元,用于根据密文组件C1,密文组件C2和公钥PID,计算得到拟注入指纹的副本II数据的hash摘要Su;
第二计算单元,用于根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data-ID|ID∈Data_Set});
判断Su'是否等于Su,若成立,则表明存证数据具有一致性,否则返回存证验证异常,Su'表示副本II数据的hash摘要的验证计算结果。
相应的本发明还提供一种存储一个或多个程序的计算机可读存储介质,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行所述的方法中的任一方法。
相应的本发明还提供一种计算设备,包括:
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行所述的方法中的任一方法的指令。
本领域内的技术人员应明白,本申请的实施例可提供为方法、系统、或计算机程序产品。因此,本申请可采用完全硬件实施例、完全软件实施例、或结合软件和硬件方面的实施例的形式。而且,本申请可采用在一个或多个其中包含有计算机可用程序代码的计算机可用存储介质(包括但不限于磁盘存储器、CD-ROM、光学存储器等)上实施的计算机程序产品的形式。
本申请是参照根据本申请实施例的方法、设备(系统)、和计算机程序产品的流程图和/或方框图来描述的。应理解可由计算机程序指令实现流程图和/或方框图中的每一流程和/或方框、以及流程图和/或方框图中的流程和/或方框的结合。可提供这些计算机程序指令到通用计算机、专用计算机、嵌入式处理机或其他可编程数据处理设备的处理器以产生一个机器,使得通过计算机或其他可编程数据处理设备的处理器执行的指令产生用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的装置。
这些计算机程序指令也可存储在能引导计算机或其他可编程数据处理设备以特定方式工作的计算机可读存储器中,使得存储在该计算机可读存储器中的指令产生包括指令装置的制造品,该指令装置实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能。
这些计算机程序指令也可装载到计算机或其他可编程数据处理设备上,使得在计算机或其他可编程设备上执行一系列操作步骤以产生计算机实现的处理,从而在计算机或其他可编程设备上执行的指令提供用于实现在流程图一个流程或多个流程和/或方框图一个方框或多个方框中指定的功能的步骤。
以上所述仅是本发明的优选实施方式,应当指出,对于本技术领域的普通技术人员来说,在不脱离本发明技术原理的前提下,还可以做出若干改进和变形,这些改进和变形也应视为本发明的保护范围。

Claims (16)

1.一种双副本电力网络安全审计方法,其特征在于,包括:
基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
将所述副本I和所述副本II进行比对,得到审计结果。
2.根据权利要求1所述的双副本电力网络安全审计方法,其特征在于,基于待审计验证的电力系统终端的审计数据生成副本I和副本II,包括:
对所述审计数据进行数字签名处理,得到带签名的审计存证数据,将所述带签名的审计存证数据通过上链预言机存储在区块链上;
对所述审计数据进行数字签名和索引生成处理,得到带签名和链上索引的原始审计数据,将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
3.根据权利要求2所述的双副本电力网络安全审计方法,其特征在于,所述在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II,包括:
对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验,检验通过后得到电力系统终端对应的副本I;
对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签,验证通过后得到电力系统终端对应的的副本II。
4.根据权利要求3所述的双副本电力网络安全审计方法,其特征在于,所述将所述副本I和所述副本II进行比对,得到审计结果,包括:
电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,根据证据计算、凭证校验和事件追溯的结果得到审计结果。
5.根据权利要求2所述的双副本电力网络安全审计方法,其特征在于,
所述副本I的数据存取原始存证数据的元数据,按照区块的形式组织,所述区块包括区块头、存证树、存证指纹和附加数据;
所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针;所述块标识,用于唯一指定区块链上的一个区块;所述块高度,用于表示当前区块距离创世块的距离;所述时间戳,用于记录存证上链的时间信息;所述前区块指针指,用于指向前区块的区块头;所述存证根,用于存放当前区块中存证信息的hash值;所述存证指纹指针,用于指向本区块所包含存证项的存证指纹信息;
所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点,叶子节点为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值;
所述存证指纹,用于保存待审计验证的电力系统终端的存证数据一致性验证信息;
所述附加数据为电力网络安全审计业务指定的自定义信息。
6.根据权利要求5所述的双副本电力网络安全审计方法,其特征在于,所述数字签名为证据指纹注入及存证上链过程,包括:
选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n;其中,Zq为q阶整数群,G为非奇异椭圆曲线上的生成元,G1为加法群,GT为乘法群,H1和H2分别表示hash函数H1和hash函数H2,n为密文长度;
给定用户标识为User_ID,
其对应的公钥PID为经过hash函数H1映射生成的G1中的元素,表示为:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);Data_Set为存证数据集,Time_Stamp为时间戳,hash()为除H1、H2之外的任意hash函数;
其对应的私钥SID为:SID=rPID=rH1(User_ID||hash(Data_Set)||Time_Stamp);
副本I的数据上链前,进行证据指纹的注入,包括:
获取拟注入指纹的副本II数据的hash摘要Su,表示为:
Su=hash(join{Data_ID|ID∈Data_Set})
join为不同数据标识所对应的审计数据项的联合,采用字符串连接方式,Data_ID为审计数据项标识;
使用私钥SID将hash摘要Su进行身份基加密,包括:
择随机数k,计算密文组件C1,表示为:C1=kPID
计算密文组件C2,表示为:
Figure FDA0003888538140000031
其中,
Figure FDA0003888538140000032
Figure FDA0003888538140000033
为双线性映射;
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为为副本I,表示为:<C1,C2,审计存证数据>。
7.根据权利要求6所述的双副本电力网络安全审计方法,其特征在于,所述基于证据指纹进行一致性检验,包括:
根据密文组件C1,密文组件C2和公钥PID,计算得到拟注入指纹的副本II数据的hash摘要Su;
根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data_ID|ID∈Data_Set});
判断Su'是否等于Su,若成立,则表明存证数据具有一致性,否则返回存证验证异常,Su'表示副本II数据的hash摘要的验证计算结果。
8.一种双副本电力网络安全审计系统,其特征在于,包括:
生成模块,用于基于待审计验证的电力系统终端的审计数据生成副本I和副本II;其中,所述副本I为存储在区块链上的带签名的链上审计存证数据,所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据;
获取模块,在进行审计时,从所述区块链上获取所述副本I,从所述链外审计数据库中获取所述副本II;
比对模块,用于将所述副本I和所述副本II进行比对,得到审计结果。
9.根据权利要求8所述的双副本电力网络安全审计系统,其特征在于,所述生成模块,用于
对所述审计数据进行数字签名处理,得到带签名的审计存证数据,将所述带签名的审计存证数据通过上链预言机存储在区块链上;
对所述审计数据进行数字签名和索引生成处理,得到带签名和链上索引的原始审计数据,将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
10.根据权利要求9所述的双副本电力网络安全审计系统,其特征在于,所述获取模块,用于
对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验,检验通过后得到电力系统终端对应的副本I;
对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签,验证通过后得到电力系统终端对应的的副本II。
11.根据权利要求9所述的双副本电力网络安全审计系统,其特征在于,所述比对模块,
用于将电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对,对比通过后进行证据计算、凭证校验和事件追溯,根据证据计算、凭证校验和事件追溯的结果得到审计结果。
12.根据权利要求8所述的双副本电力网络安全审计系统,其特征在于,
所述副本I的数据存取原始存证数据的元数据,按照区块的形式组织,所述区块包括区块头、存证树、存证指纹和附加数据;
所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针;所述块标识,用于唯一指定区块链上的一个区块;所述块高度,用于表示当前区块距离创世块的距离;所述时间戳,用于记录存证上链的时间信息;所述前区块指针指,用于指向前区块的区块头;所述存证根,用于存放当前区块中存证信息的hash值;所述存证指纹指针,用于指向本区块所包含存证项的存证指纹信息;
所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点,叶子节点为副本II类型存证项的MD5摘要,叶子节点具有唯一的父节点,其值为对应hash值;
所述存证指纹,用于保存待审计验证的电力系统终端的存证数据一致性验证信息;
所述附加数据为电力网络安全审计业务指定的自定义信息。
13.根据权利要求12所述的双副本电力网络安全审计系统,其特征在于,所述生成模块包括:
初始化单元,用于选择素数q∈Zq,选取一条有限域GF(q)上的非奇异椭圆曲线;选取随机整数r∈Zq作为当前安全周期T内的系统私钥,计算签名公钥Kpub=rG;选取公共hash函数H1:{0,1}*→G1*,H2:GT→{0,1}n;其中,Zq为q阶整数群,G为非奇异椭圆曲线上的生成元,G1为加法群,GT为乘法群,H1和H2分别表示hash函数H1和hash函数H2,n为密文长度;
给定用户标识为User_ID;
其对应的公钥PID为经过hash函数H1映射生成的G1中的元素,表示为:PID=H1(User_ID||hash(Data_Set)||Time_Stamp);Data_Set为存证数据集,Time_Stamp为时间戳,hash()为除H1、H2之外的任意hash函数;
其对应的私钥SID为:SID=rPID=rH1(User_ID||Data_Set||Time_Stamp);
数字签名单元,用于副本I的数据上链前,进行证据指纹的注入,包括:
获取拟注入指纹的副本II数据的hash摘要Su,表示为:
Su=hash(join{Data_ID|ID∈Data_Set})
join为不同数据标识所对应的审计数据项的联合,采用字符串连接方式,Data_ID为审计数据项标识;
使用私钥SID将hash摘要Su进行身份加密,包括:
择随机数k,计算密文组件C1,表示为:C1=kPID
计算密文组件C2,表示为:
Figure FDA0003888538140000061
其中,
Figure FDA0003888538140000062
Figure FDA0003888538140000063
为双线性映射;
上链预言机调用智能合约进行存证指纹和数据上链,上链内容为副本I,表示为:<C1,C2,审计存证数据>。
14.根据权利要求13所述的双副本电力网络安全审计系统,其特征在于,所述比对模块包括:
第一计算单元,用于根据密文组件C1,密文组件C2和公钥PID,计算得到拟注入指纹的副本II数据的hash摘要Su;
第二计算单元,用于根据从副本II获取的对应User_ID和Data_ID数据,计算
Su'=hash(join{Data-ID|ID∈Data_Set});
判断Su'是否等于Su,若成立,则表明存证数据具有一致性,否则返回存证验证异常,Su'表示副本II数据的hash摘要的验证计算结果。
15.一种存储一个或多个程序的计算机可读存储介质,其特征在于,所述一个或多个程序包括指令,所述指令当由计算设备执行时,使得所述计算设备执行根据权利要求1至7所述的方法中的任一方法。
16.一种计算设备,其特征在于,包括:
一个或多个处理器、存储器以及一个或多个程序,其中一个或多个程序存储在所述存储器中并被配置为由所述一个或多个处理器执行,所述一个或多个程序包括用于执行根据权利要求1至7所述的方法中的任一方法的指令。
CN202211252800.3A 2022-10-13 2022-10-13 双副本电力网络安全审计方法、系统、介质及设备 Pending CN115964407A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211252800.3A CN115964407A (zh) 2022-10-13 2022-10-13 双副本电力网络安全审计方法、系统、介质及设备

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211252800.3A CN115964407A (zh) 2022-10-13 2022-10-13 双副本电力网络安全审计方法、系统、介质及设备

Publications (1)

Publication Number Publication Date
CN115964407A true CN115964407A (zh) 2023-04-14

Family

ID=87351858

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211252800.3A Pending CN115964407A (zh) 2022-10-13 2022-10-13 双副本电力网络安全审计方法、系统、介质及设备

Country Status (1)

Country Link
CN (1) CN115964407A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116956332A (zh) * 2023-09-20 2023-10-27 深圳市智慧城市科技发展集团有限公司 Bim数据处理方法、设备及计算机可读存储介质

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN116956332A (zh) * 2023-09-20 2023-10-27 深圳市智慧城市科技发展集团有限公司 Bim数据处理方法、设备及计算机可读存储介质
CN116956332B (zh) * 2023-09-20 2024-01-05 深圳市智慧城市科技发展集团有限公司 Bim数据处理方法、设备及计算机可读存储介质

Similar Documents

Publication Publication Date Title
CN111914027B (zh) 一种区块链交易关键字可搜索加密方法及系统
US10944548B2 (en) Method for registration of data in a blockchain database and a method for verifying data
CN107682308B (zh) 基于区块链潜信道技术的电子证据保存系统
CN109409122B (zh) 文件存储方法及其电子设备、存储介质
CN110912706B (zh) 一种基于身份的动态数据完整性审计方法
CN109377244B (zh) 一种基于多链互联区块链网络的食品快速溯源系统及方法
US10754848B2 (en) Method for registration of data in a blockchain database and a method for verifying data
US11949789B2 (en) Blockchain-enabled computing
CN102195781B (zh) 一种基于电子记录关联签名的电子证据取证系统
CN111815321A (zh) 交易提案的处理方法、装置、系统、存储介质和电子装置
CN112732695B (zh) 一种基于区块链的云存储数据安全去重方法
CN115208628B (zh) 基于区块链的数据完整性验证方法
Chen et al. Towards usable cloud storage auditing
CN112565264B (zh) 一种基于区块链的云存储数据完整性检测方法
CN114691669A (zh) 一种电子存证方法、装置、电子设备及存储介质
CN114637808A (zh) 基于区块链技术的档案隐私保护和加密存证方法及系统
CN105187218A (zh) 一种多核心基础设施的数字化记录签名、验证方法
Xiong et al. Electronic evidence preservation model based on blockchain
CN110851848B (zh) 对称可搜索加密的隐私保护方法
CN112699123A (zh) 一种数据存储系统中数据存在性和完整性校验方法及系统
CN114078061A (zh) 一种基于区块链的电力核心数据溯源系统
CN112380269A (zh) 一种基于区块链的身份证信息查询固证与取证方法
Li et al. CIA: A collaborative integrity auditing scheme for cloud data with multi-replica on multi-cloud storage providers
CN115964407A (zh) 双副本电力网络安全审计方法、系统、介质及设备
CN115208656A (zh) 一种基于区块链和权限管理的供应链数据共享方法及系统

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination