CN116522355A - 一种电力数据边界保护方法、设备、介质及装置 - Google Patents
一种电力数据边界保护方法、设备、介质及装置 Download PDFInfo
- Publication number
- CN116522355A CN116522355A CN202310210889.5A CN202310210889A CN116522355A CN 116522355 A CN116522355 A CN 116522355A CN 202310210889 A CN202310210889 A CN 202310210889A CN 116522355 A CN116522355 A CN 116522355A
- Authority
- CN
- China
- Prior art keywords
- data
- sensitive
- rule
- power data
- cluster
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
- 238000000034 method Methods 0.000 title claims abstract description 112
- 230000008569 process Effects 0.000 claims abstract description 72
- 238000012545 processing Methods 0.000 claims abstract description 61
- 238000000586 desensitisation Methods 0.000 claims abstract description 42
- 238000007621 cluster analysis Methods 0.000 claims abstract description 15
- 230000011218 segmentation Effects 0.000 claims description 34
- 238000010276 construction Methods 0.000 claims description 19
- 230000006870 function Effects 0.000 claims description 17
- 238000004590 computer program Methods 0.000 claims description 16
- 238000003860 storage Methods 0.000 claims description 13
- 238000007726 management method Methods 0.000 claims description 7
- 238000013500 data storage Methods 0.000 claims description 5
- 238000004321 preservation Methods 0.000 claims description 3
- 238000012795 verification Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 description 10
- 239000003795 chemical substances by application Substances 0.000 description 8
- 238000012544 monitoring process Methods 0.000 description 5
- 230000009466 transformation Effects 0.000 description 4
- 238000012550 audit Methods 0.000 description 3
- 238000011161 development Methods 0.000 description 3
- 230000018109 developmental process Effects 0.000 description 3
- 238000010586 diagram Methods 0.000 description 3
- 238000004458 analytical method Methods 0.000 description 2
- 239000000969 carrier Substances 0.000 description 2
- 239000000463 material Substances 0.000 description 2
- 230000003068 static effect Effects 0.000 description 2
- 230000026676 system process Effects 0.000 description 2
- 238000003491 array Methods 0.000 description 1
- 230000006399 behavior Effects 0.000 description 1
- 230000009286 beneficial effect Effects 0.000 description 1
- 230000000903 blocking effect Effects 0.000 description 1
- 238000004891 communication Methods 0.000 description 1
- 238000005520 cutting process Methods 0.000 description 1
- 238000013499 data model Methods 0.000 description 1
- 230000007547 defect Effects 0.000 description 1
- 238000013461 design Methods 0.000 description 1
- 238000001514 detection method Methods 0.000 description 1
- 238000009826 distribution Methods 0.000 description 1
- 230000010354 integration Effects 0.000 description 1
- 238000002955 isolation Methods 0.000 description 1
- 238000012423 maintenance Methods 0.000 description 1
- 230000014759 maintenance of location Effects 0.000 description 1
- 238000004519 manufacturing process Methods 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
- 230000002441 reversible effect Effects 0.000 description 1
- 238000006467 substitution reaction Methods 0.000 description 1
- 230000007474 system interaction Effects 0.000 description 1
Classifications
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/602—Providing cryptographic facilities or services
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06F—ELECTRIC DIGITAL DATA PROCESSING
- G06F21/00—Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
- G06F21/60—Protecting data
- G06F21/62—Protecting access to data via a platform, e.g. using keys or access control rules
- G06F21/6218—Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
- G06F21/6245—Protecting personal data, e.g. for financial or medical purposes
-
- G—PHYSICS
- G06—COMPUTING; CALCULATING OR COUNTING
- G06Q—INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES; SYSTEMS OR METHODS SPECIALLY ADAPTED FOR ADMINISTRATIVE, COMMERCIAL, FINANCIAL, MANAGERIAL OR SUPERVISORY PURPOSES, NOT OTHERWISE PROVIDED FOR
- G06Q50/00—Information and communication technology [ICT] specially adapted for implementation of business processes of specific business sectors, e.g. utilities or tourism
- G06Q50/06—Energy or water supply
-
- Y—GENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
- Y04—INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
- Y04S—SYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
- Y04S40/00—Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
- Y04S40/20—Information technology specific aspects, e.g. CAD, simulation, modelling, system security
Landscapes
- Engineering & Computer Science (AREA)
- Theoretical Computer Science (AREA)
- Health & Medical Sciences (AREA)
- General Health & Medical Sciences (AREA)
- General Physics & Mathematics (AREA)
- Physics & Mathematics (AREA)
- Business, Economics & Management (AREA)
- Bioethics (AREA)
- Computer Security & Cryptography (AREA)
- Software Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Hardware Design (AREA)
- Economics (AREA)
- Databases & Information Systems (AREA)
- Medical Informatics (AREA)
- Public Health (AREA)
- Water Supply & Treatment (AREA)
- Human Resources & Organizations (AREA)
- Marketing (AREA)
- Primary Health Care (AREA)
- Strategic Management (AREA)
- Tourism & Hospitality (AREA)
- General Business, Economics & Management (AREA)
- Storage Device Security (AREA)
Abstract
本发明公开一种电力数据边界保护方法、设备、介质及装置,方法包括以下步骤:创建一个主服务进程和多个工作进程;通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则,每个工作进程创建基于格式保留加密的数据处理过程;获取原始电力数据,基于所述数据处理过程对原始电力数据进行聚类分析,得到隐私型特征数据和非隐私型特征数据;工作进程根据敏感识别规则识别隐私型特征数据中的敏感数据,并根据数据保护规则调用相应的数据脱敏算法对敏感数据进行脱敏处理,最后将脱敏处理后的数据发送给用户。本发明既能保留数据的长度和基本特征,更降低中间过程密文落入错误域的概率,提高算法效率。
Description
技术领域
本发明涉及电力数据保护领域,具体涉及一种电力数据边界保护方法、设备、介质及装备。
背景技术
随着数字化经济时代的到来,数据成为与物质资产、人力资本同样重要的基础生产要素,从数据中能够挖掘出越来越多看似不存在的敏感信息,包括国家秘密、商业秘密、个人隐私信息等,而这些敏感信息的泄露将会对个人生活、企业重大利益、社会稳定及国家安全造成威胁,因此,确保电力数据边界安全成为电力数字化转型发展最为重要的前提条件。
数据加密技术是以密码技术为基础对数据进行编码转化的保护方法,是网络安全和数据安全领域的通用关键技术。加密技术用于满足数据全生命周期的存储、应用、共享流通等各个环节的安全需求,并兼顾数据安全性与可用性的平衡。随着数据共享流通场景保护需求的不断增加,数据加密技术从静态数据加密向动态数据加密扩展。另一方面,目前数据加密因为新兴领域的需求不断变化,而产生新的演进方向。
数据脱敏技术可以在不泄露敏感信息的前提下保留数据源的可用性,是目前应用最多的数据安全保护技术手段。数据脱敏技术的核心是脱敏算法的选择,目前脱敏算法主要分为三类,一是标准的加密算法,数据加密后完全失去业务属性,且算法开销大;二是基于数据失真的算法,如随机干扰、乱序等;三是置换算法,兼具可逆和保持数据业务属性的特点。选择业务系统的脱敏算法时,可用性和隐私保护的平衡是关键。基于应用场景不同,数据脱敏技术可以分为静态数据脱敏与动态数据脱敏两类。
传统电力数据边界主要是通过数据加密、数据访问控制等手段对数据进行安全保护的,其目标是通过将数据隔离在某个范围内,减少数据被获得的可能性或在严格范围内进行共享。而数据产业发展的基础是数据的开放共享,是通过推动数据资源的整合,提升数据与数据的关联程度。传统电力数据边界保护方法与数字化转型的产业发展存在着天然矛盾。
目前市面上提供的数据边界技术防护能力,如身份认证、访问控制、数据加密、数据审计、数据脱敏等都是基于单点能力。而鉴于数据的流动性与易传播性,数据会在不同的主机、网络及应用等载体间进行流转和移动,缺乏载体之间的协调联动能力,导致安全策略一致性差、管控效率低、全面性弱等问题。另外,传统的加密方法对数值型敏感数据进行加密,通常会改变数据长度和数据类型等,使原始数据库存储单元无法直接存储密文结果,应用程序无法正确读取和显示,降低了数据处理后的利用率,且易引发隐私泄露。
发明内容
为克服上述现有技术的不足,本发明提供一种电力数据边界保护方法、设备、介质及装置,使数据加密后的密文格式与加密前的明文格式完全相同,且加密过程可逆,加密后的数据可以通过密钥解密还原原始数据,并对流经数据边界的业务数据进行统一安全监测和安全管控,识别敏感信息的泄漏威胁并告警处置。
基于本发明的一方面,提供电力数据边界保护方法,具体包括以下步骤:
S1:获取原始电力数据,对原始电力数据进行聚类分析,得到隐私型特征数据;
S2:根据敏感识别规则识别所述隐私型特征数据中的敏感数据,并根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
S3:根据数据脱敏规则调用相应的数据脱敏算法对敏感数据段进行脱敏处理;所述脱敏处理具体包括以下步骤:
S301:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对分段后的敏感数据段明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当所述敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对分段后的敏感数据段明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;
S302:对所述输出密文组进行校验,得到所述敏感数据段的密文。
上述技术方案中,采用分段思想,算法中伪随机函数由国密对称算法构造,因国密对称算法的轮函数是一次一次的迭代运算,包括参数输入、分组变换、非线性变换等操作,引入调整因子,使加密变得更加灵活。降低了Cycle-Walking的使用,提高了加密效率和性能,用国密的对称算法优化也具有更好的安全性。
采用基于国密对称算法对数据格式保留加密方法进行优化,有效的实现了对包含隐私特征数据加密前后格式的一致性,增强了国密算法的应用性。
在上述脱敏处理过程中,经处理的数据不被扩充,经处理的数据类型不被改变,经处理的数据必能被确定性加密,经加密过后的数据必能通过密钥解密还原为原始数据。
进一步地,在所述获取原始电力数据前还包括以下步骤:
构建电力数据边界保护基础运行环境,初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则;对于电力数据,依据电力数据电压、电流、潮流值等自身特征性,对于多种数据模型量身定制了数据分段处理规则。
内存预分配,提前分配好系统达到最大数据处理量时所需的内存;初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块;
创建基于透明模式实现的电力数据边界保护服务进程,所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程;
通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则,为每个所述工作进程创建基于格式保留加密的数据处理过程;
所述构建电力数据边界保护基础运行环境包括以下步骤:
加载Linux系统内核,加载密码单元内核驱动模块;所述驱动采用轮询模式;
构建符合整数集大小的分组密码,根据不同敏感类型的模板定义分组大小、密钥长度、轮次数、子密钥生成及轮函数。
所述初始化内存块的方法为:
内存块部分空间用于存储该内存块自身的状态信息和特性信息,其他空间用于加密解密数据的存储;内存池在程序启动的时候创建,程序运行过程中不进行内存的分配和释放操作。
同一数据流包的处理均在同一个工作进程中完成,多个工作进程之间并行处理,每个工作进程与指定的CPU核绑定,互不干扰;所述被绑定的CPU核只运行绑定的工作进程,不参与系统进程调度。
将密码单元读写队列和工作进程通过亲和性绑定到固定的CPU逻辑核的方式,减少CPU核间任务切换,所有资源都按核分配,每个核都有自己独有的一份,避免多进程访问共享的资源带来的开销。
进一步地,所述分段处理具体包括以下步骤:
将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
进一步地,步骤S302中,所述校验包括以下步骤:
先检验所述输出密文组与脱敏处理前的敏感数据段中对应的数据段序号是否一致,若是,则进一步检验所述输出密文组是否满足脱敏处理前的敏感数据段的数据构造规则,若满足,则校验成功。
进一步地,在步骤S1中,所述获取原始电力数据的方法为:接收用户根据安全代理规则发送的数据请求,将所述数据请求转发至电力业务系统,接收来自所述电力业务系统的原始电力数据。
进一步地,在步骤S1中,所述聚类分析包括以下步骤:
S101:从所述原始电力数据中随机选取一个样本点作为初始聚类中心,计算剩余的每一个电力数据样本点与所述初始聚类中心的距离;
S102:根据所述距离计算每个样本点被选为下一个聚类中心的概率,并根据所述概率选择一个新的电力数据样本点作为新的聚类中心;
S103:重复S101和S102直到k个聚类中心都被确定,将所述k个聚类中心点作为簇质心;
S104:计算样本点与所述簇质心之间的距离,并将样本点分配给距离最近的簇质心所对应的簇中,更新每个簇的质心为该簇所有点的平均值,反复迭代,直至更新后的质心和更新前的质心之间的距离小于预设阈值时终止,获得最终聚类中心;
S105:计算样本点与所述最终聚类中心的距离,距离小于设定阈值的样本点为隐私型特征数据。
作为本发明的另一方面,提供一种计算机设备,所述计算机设备包括处理器、存储器,以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现电力数据边界保护方法的步骤。
作为本发明的又一方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现电力数据边界保护方法的步骤。
作为本发明的又一方面,提供一种电力数据边界保护装置,其特征在于,包括:
数据获取模块,所述数据获取模块用于获取原始电力数据;
聚类分析模块,所述聚类分析模块用于对原始电力数据进行聚类分析,得到隐私型特征数据;
识别模块,所述识别模块用于识别隐私型特征数据中的敏感数据段;
分段处理模块,所述分段模块用于根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
数据脱敏模块,所述数据脱敏模块用于对敏感数据段进行脱敏处理,所述数据脱敏模块具体用于:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;对所述输出密文组进行校验,得到所述敏感数据段的密文。
进一步地,所述分段处理模块,具体用于:将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
与现有技术相比,本发明的有益效果在于:
(1)本发明利用数据分段思想对待处理的数据进行费斯妥结构轮运算和取模运算,在每轮轮运算中用国密对称算法加密截断实现F函数功能,既能保留数据的长度和基本特征,更降低中间过程密文落入错误域的概率,提高算法效率。
(2)本发明采用聚类算法对电力大数据初始监测分类,敏感数据处理部分由数据识别及数据处理组成,数据识别根据多种敏感类型来识别监测电力大数据中的包含个人敏感信息的数据,确保用户访问的数据不包含敏感信息。
(3)本发明采用采用多工作进程并行调度设计,每个工作进程对应一个独立的加密运算通道,保证该通道的写返回数据一定是对应的读操作的工作进程,实现多核多进程对数据加解密的高效、并行处理,充分发挥出多核处理器硬件的优势。
附图说明
图1为根据本发明实施例的电力数据边界保护方法流程图;
图2为根据本发明实施例的的费斯妥轮运算算法流程图;
图3为根据本发明实施例的计算设备的结构示意图;
图4为根据本发明实施例的电力数据边界保护装置结构示意图。
具体实施方式
以下将结合附图对本发明各实施例的技术方案进行清楚、完整的描述,显然,所描述发实施例仅仅是本发明的一部分实施例,而不是全部的实施例。基于本发明的实施例,本领域普通技术人员在没有做出创造性劳动的前提下所得到的所有其它实施例,都属于本发明所保护的范围。
如图1所示,本实施例提供一种电力数据边界保护方法,包括以下步骤:
构建电力数据边界保护基础运行环境,构建基础运行环境时采用的是X86/ARM架构的多核处理器,运行在Linux系统上,Linux内核版本为3.10.0及以上初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则;所述构建电力数据边界保护基础运行环境包括以下步骤:
加载Linux系统内核,加载密码单元内核驱动模块;所述驱动采用轮询模式,不采用中断模式;
构建符合整数集大小的分组密码,根据不同敏感类型的模板定义分组大小、密钥长度、轮次数、子密钥生成及轮函数。
内存预分配,提前分配好系统达到最大数据处理量时所需的内存;初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块。所述初始化内存块的方法为:
内存块部分空间用于存储该内存块自身的状态信息和特性信息,其他空间用于加密解密数据的存储;内存池在程序启动的时候创建,程序运行过程中不进行内存的分配和释放操作。
创建基于透明模式实现的电力数据边界保护服务进程,所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程;每个工作进程处理独立事件队列内的数据协议解析、数据访问控制、敏感数据识别、格式保留加密处理、数据监测告警等任务;所述透明模式为对于业务系统无感知的部署方式,可选择透明串接或者旁路接入两种模式,也可同时选择两种模式共存;
采用多进程服务的高可用架构,具备高可用性、高并发性及负载均衡,具有可扩展性和支持灵活配置,能适应不同的电力数据边界保护需求。
通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则,每个工作进程创建基于格式保留加密的数据处理过程。
同一数据流包的处理均在同一个工作进程中完成,多个工作进程之间并行处理,每个工作进程与指定的CPU核绑定,互不干扰;所述被绑定的CPU核只运行绑定的工作进程,不参与系统进程调度。
完成上述步骤后,进行以下步骤:
S1:获取原始电力数据,基于所述数据处理过程对原始电力数据进行聚类分析,得到隐私型特征数据和非隐私型特征数据;
S2:工作进程根据敏感识别规则识别隐私型特征数据中的敏感数据段,并根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
S3:根据数据脱敏规则调用相应的数据脱敏算法对所述敏感数据段进行脱敏处理,最后将脱敏处理后的数据发送给用户;所述脱敏处理具体包括以下步骤:
S301:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对分段后的敏感数据段明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当所述敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对分段后的敏感数据段明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;
S302:对输出密文组进行校验,得到所述敏感数据段的密文。
具体地,所述分段处理具体包括以下步骤:
将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
具体地,步骤S302中,所述校验包括以下步骤:
先检验所述输出密文组与脱敏处理前的敏感数据段中对应的数据段序号是否一致,若是,则进一步检验所述输出密文组是否满足脱敏处理前的敏感数据段的数据构造规则,若满足,则校验成功。
具体地,在步骤S1中,所述获取原始电力数据的方法为:用户登录配置管理服务,通过鉴权认证后建立SSL连接,用户根据安全代理规则发送数据请求,将所述数据请求转发至电力业务系统,安全代理接收来自所述电力业务系统的原始电力数据。
具体地,在步骤S1中,所述聚类分析包括以下步骤:
S101:从所述原始电力数据中随机选取一个样本点作为初始聚类中心,计算剩余的每一个电力数据样本点与所述初始聚类中心的距离;
S102:根据所述距离计算每个样本点被选为下一个聚类中心的概率,并根据所述概率选择一个新的电力数据样本点作为新的聚类中心;
S103:重复S101和S102直到k个聚类中心都被确定,将所述k个聚类中心点作为簇质心;
S104:计算样本点与所述簇质心之间的距离,并将样本点分配给距离最近的簇质心所对应的簇中,更新每个簇的质心为该簇所有点的平均值,反复迭代,直至更新后的质心和更新前的质心之间的距离小于预设阈值时终止,获得最终聚类中心;
S105:计算样本点与所述最终聚类中心的距离,距离小于设定阈值的样本点为隐私型特征数据。
优选地,所述数据监测预警的实现过程如下:向数据安全监测平台发送告警审计,数据安全监测平台对整个电力数据边界的敏感信息分布、数据访问趋势、数据流转态势等进行统计。
优选地,在步骤S4中,工作进程根据敏感识别规则识别监测敏感数据类型,如GIS、财务信息、姓名或身份证号等包含个人隐私信息的敏感数据,根据数据保护规则调用相应的脱敏算法实现对敏感数据的脱敏处理,通过输出模块将处理后的数据发送给用户。
采用隔离区之间、安全域之间及系统交互之间的部署方式,对流经电力数据边界的业务数据开展敏感发现、风险识别与告警、数据脱敏、数据加密、违规访问阻断、访问行为审计等防护,与数据安全监测中心联动完成全面的态势预计分析和防护策略执行。
如图4所示,根据本发明说明书的一方面,提供一种电力数据边界保护装置,包括:
数据获取模块,所述数据获取模块用于获取原始电力数据;
聚类分析模块,所述聚类分析模块用于对原始电力数据进行聚类分析,得到隐私型特征数据;
识别模块,所述识别模块用于识别隐私型特征数据中的敏感数据段;
分段处理模块,所述分段模块用于根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
数据脱敏模块,所述数据脱敏模块用于对敏感数据段进行脱敏处理,所述数据脱敏模块具体用于:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;对所述输出密文组进行校验,得到所述敏感数据段的密文。
进一步地,所述分段处理模块,具体用于:将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
进一步地,本实施例提供的一种电力数据边界保护装置还包括:
运行环境构建模块,所述运行环境构建模块用于构建电力数据边界保护基础运行环境,初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则;
内存预分配模块,所述内存预分配模块用于内存预分配,提前分配好系统达到最大数据处理量时所需的内存;初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块;
进程创建模块,所述进程创建模块用于创建基于透明模式实现的电力数据边界保护服务进程,所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程;
规则设置模块,所述规则设置模块用于通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则;
数据处理过程创建模块,所述数据处理过程创建模块用于为每个所述工作进程创建基于格式保留加密的数据处理过程。
进一步地,所述数据脱敏模块还用于:先检验所述输出密文组与脱敏处理前的敏感数据段中对应的数据段序号是否一致,若是,则进一步检验所述输出密文组是否满足脱敏处理前的敏感数据段的数据构造规则,若满足,则校验成功。
进一步地,所述数据获取模块还用于:接收用户根据安全代理规则发送的数据请求,将所述数据请求转发至电力业务系统,接收来自所述电力业务系统的原始电力数据。
进一步地,所述聚类分析模块还用于:
从所述原始电力数据中随机选取一个样本点作为初始聚类中心,计算剩余的每一个电力数据样本点与所述初始聚类中心的距离;
根据所述距离计算每个样本点被选为下一个聚类中心的概率,并根据所述概率选择一个新的电力数据样本点作为新的聚类中心;
重复上述过程直到k个聚类中心都被确定,将所述k个聚类中心点作为簇质心;
计算样本点与所述簇质心之间的距离,并将样本点分配给距离最近的簇质心所对应的簇中,更新每个簇的质心为该簇所有点的平均值,反复迭代,直至更新后的质心和更新前的质心之间的距离小于预设阈值时终止,获得最终聚类中心;
计算样本点与所述最终聚类中心的距离,距离小于设定阈值的样本点为隐私型特征数据。
如图3所示,根据本发明说明书的一方面,提供一种计算机设备,该计算机设备可以为工控机、服务器或计算机终端。
所述计算机设备包括处理器、存储器,以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现所述的基于格式保留加密的电力数据边界保护方法的步骤。
该计算机设备包括通过系统总线连接的处理器、存储器和网络接口,其中,存储器可以包括非易失性存储介质和内存储器。
非易失性存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令,该程序指令被执行时,可使得处理器执行任意一种基于格式保留加密的电力数据边界保护方法。
处理器用于提供计算和控制能力,支撑整个计算机设备的运行。
内存储器为非易失性存储介质中的计算机程序的运行提供环境,该计算机程序被处理器执行时,可使得处理器执行任意一种基于格式保留加密的电力数据边界保护方法。
该网络接口用于进行网络通信,如发送分配的任务等。本领域技术人员可以理解,图3中示出的结构,仅仅是与本申请方案相关的部分结构的框图,并不构成对本申请方案所应用于其上的计算机设备的限定,具体的计算机设备可以包括比图中所示更多或更少的部件,或者组合某些部件,或者具有不同的部件布置。
应当理解的是,处理器可以是中央处理单元(Central Processing Unit,CPU),该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor,DSP)、专用集成电路(Application Specific Integrated Circuit,ASIC)、现场可编程门阵列(Field-Programmable Gate Array,FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中,通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。
其中,在一个实施例中,所述处理器用于运行存储在存储器中的计算机程序,以实现如下步骤:
构建电力数据边界保护基础运行环境,初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则;
内存预分配,提前分配好系统达到最大数据处理量时所需的内存;初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块;
创建基于透明模式实现的电力数据边界保护服务进程,所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程;
通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则,每个工作进程创建基于格式保留加密的数据处理过程;
获取原始电力数据,基于所述数据处理过程对原始电力数据进行聚类分析,得到隐私型特征数据和非隐私型特征数据;
工作进程根据敏感识别规则识别隐私型特征数据中的敏感数据,并根据数据保护规则调用相应的数据脱敏算法对敏感数据进行脱敏处理,最后将脱敏处理后的数据发送给用户。
根据本发明说明书的一方面,提供一种计算机可读存储介质,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现所述的运动阈值自动检测方法的步骤。
其中,所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元,例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备,例如所述计算机设备上配备的插接式硬盘,智能存储卡(SmartMediaCard,SMC),安全数字(Secure Digital,SD)卡,闪存卡(Flash Card)等。
在本说明书的描述中,参考术语“一个实施方式”、“某些实施方式”、“示意性实施方式”、“示例”、“具体示例”、或“一些示例”等的描述意指结合所述实施方式或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施方式或示例中。在本说明书中,对上述术语的示意性表述不一定指的是相同的实施方式或示例。而且,描述的具体特征、
最后应说明的是:以上实施例仅用以说明本发明的技术方案,而非对其限制;尽管参照前述实施例对本发明进行了详细的说明,本领域的普通技术人员应当理解:其依然可以对前述实施例所记载的技术方案进行修改,或者对其中部分或者全部技术特征进行等同替换;而这些修改或者替换,并不使相应技术方案的本质脱离本发明实施例技术方案。
Claims (10)
1.一种电力数据边界保护方法,其特征在于,包括以下步骤:
S1:获取原始电力数据,对所述原始电力数据进行聚类分析,得到隐私型特征数据;
S2:根据敏感识别规则识别所述隐私型特征数据中的敏感数据,并根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
S3:根据数据脱敏规则调用相应的数据脱敏算法对所述敏感数据段进行脱敏处理;所述脱敏处理具体包括以下步骤:
S301:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当所述敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;
S302:对所述输出密文组进行校验,得到所述敏感数据段的密文。
2.根据权利要求1所述的电力数据边界保护方法,其特征在于,在所述获取原始电力数据前还包括以下步骤:
构建电力数据边界保护基础运行环境,初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则;
内存预分配,提前分配好系统达到最大数据处理量时所需的内存;初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块;
创建基于透明模式实现的电力数据边界保护服务进程,所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程;
通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则,为每个所述工作进程创建基于格式保留加密的数据处理过程。
3.根据权利要求1所述的电力数据边界保护方法,其特征在于,所述分段处理具体包括以下步骤:
将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
4.根据权利要求1所述的电力数据边界保护方法,其特征在于,步骤S302中,所述校验包括以下步骤:
先检验所述输出密文组与脱敏处理前的敏感数据段中对应的数据段序号是否一致,若是,则进一步检验所述输出密文组是否满足脱敏处理前的敏感数据段的数据构造规则,若满足,则校验成功。
5.根据权利要求1所述的电力数据边界保护方法,其特征在于,在步骤S1中,所述获取原始电力数据的方法为:接收用户根据安全代理规则发送的数据请求,将所述数据请求转发至电力业务系统,接收来自所述电力业务系统的原始电力数据。
6.根据权利要求1所述的电力数据边界保护方法,其特征在于,在步骤S1中,所述聚类分析包括以下步骤:
S101:从所述原始电力数据中随机选取一个样本点作为初始聚类中心,计算剩余的每一个电力数据样本点与所述初始聚类中心的距离;
S102:根据所述距离计算每个样本点被选为下一个聚类中心的概率,并根据所述概率选择一个新的电力数据样本点作为新的聚类中心;
S103:重复S101和S102直到k个聚类中心都被确定,将所述k个聚类中心点作为簇质心;
S104:计算样本点与所述簇质心之间的距离,并将样本点分配给距离最近的簇质心所对应的簇中,更新每个簇的质心为该簇所有点的平均值,反复迭代,直至更新后的质心和更新前的质心之间的距离小于预设阈值时终止,获得最终聚类中心;
S105:计算样本点与所述最终聚类中心的距离,距离小于设定阈值的样本点为隐私型特征数据。
7.一种计算机设备,其特征在于,所述计算机设备包括处理器、存储器,以及存储在所述存储器上并可被所述处理器执行的计算机程序,其中所述计算机程序被所述处理器执行时,实现如权利要求1至6中任一项所述的电力数据边界保护方法的步骤。
8.一种计算机可读存储介质,其特征在于,所述计算机可读存储介质上存储有计算机程序,其中所述计算机程序被处理器执行时,实现如权利要求1至6中任一项所述的电力数据边界保护方法的步骤。
9.一种电力数据边界保护装置,用以实现如权利要求1-6中任一项所述的电力数据边界保护方法,其特征在于,包括:
数据获取模块,所述数据获取模块用于获取原始电力数据;
聚类分析模块,所述聚类分析模块用于对原始电力数据进行聚类分析,得到隐私型特征数据;
识别模块,所述识别模块用于识别隐私型特征数据中的敏感数据段;
分段处理模块,所述分段模块用于根据数据分段处理规则对所述隐私型特征数据进行分段处理,得到敏感数据段;
数据脱敏模块,所述数据脱敏模块用于对敏感数据段进行脱敏处理,所述数据脱敏模块具体用于:当所述敏感数据段长度为奇数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行非平衡费斯妥结构轮运算和取模运算,得到输出密文组;当敏感数据段长度为偶数时,基于国密对称加密算法和截取构造F函数对所述敏感数据段的明文进行平衡费斯妥结构轮运算和取模运算,得到输出密文组;对所述输出密文组进行校验,得到所述敏感数据段的密文。
10.根据权利要求9所述的电力数据边界保护装置,其特征在于,所述分段处理模块,具体用于:将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配,直至命中对应的规则,获得该隐私型特征数据对应的敏感识别规则,依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310210889.5A CN116522355A (zh) | 2023-03-07 | 2023-03-07 | 一种电力数据边界保护方法、设备、介质及装置 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN202310210889.5A CN116522355A (zh) | 2023-03-07 | 2023-03-07 | 一种电力数据边界保护方法、设备、介质及装置 |
Publications (1)
Publication Number | Publication Date |
---|---|
CN116522355A true CN116522355A (zh) | 2023-08-01 |
Family
ID=87405342
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN202310210889.5A Pending CN116522355A (zh) | 2023-03-07 | 2023-03-07 | 一种电力数据边界保护方法、设备、介质及装置 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN116522355A (zh) |
Cited By (1)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117520020A (zh) * | 2024-01-05 | 2024-02-06 | 同盾科技有限公司 | 用于实现隐私计算的数据交互方法、装置、系统 |
-
2023
- 2023-03-07 CN CN202310210889.5A patent/CN116522355A/zh active Pending
Cited By (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN117520020A (zh) * | 2024-01-05 | 2024-02-06 | 同盾科技有限公司 | 用于实现隐私计算的数据交互方法、装置、系统 |
CN117520020B (zh) * | 2024-01-05 | 2024-03-29 | 同盾科技有限公司 | 用于实现隐私计算的数据交互方法、装置、系统 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
US10965717B2 (en) | Intrusion detection and mitigation in data processing | |
CN110637301B (zh) | 减少虚拟机中敏感数据的泄密 | |
CN114221994B (zh) | 一种pcie密码卡虚拟化资源动态分配方法 | |
US11848965B2 (en) | Secure software defined storage | |
CN112434326B (zh) | 一种基于数据流的可信计算方法及装置 | |
US20230026253A1 (en) | Dynamic selection and calibration of ciphers based on network and resource constraints | |
CN114041132A (zh) | 执行环境和网守布置 | |
KR20080029687A (ko) | 암호화 기능이 내장된 메모리를 이용한 고속 대용량의암호화 장치 및 그 구현 방법 | |
CN116522355A (zh) | 一种电力数据边界保护方法、设备、介质及装置 | |
CN114528603B (zh) | 嵌入式系统的隔离动态保护方法、装置、设备和存储介质 | |
CN110807205B (zh) | 一种文件安全防护方法及装置 | |
CA3054213A1 (en) | Information management method and device | |
US11240243B2 (en) | Preventing statistical inference attacks on data that is shared among multiple stakeholders with disjoint access privileges | |
CN113721983A (zh) | 外部存储器、提供密码服务的方法及业务处理设备 | |
CN114969832B (zh) | 一种基于无服务器架构的隐私数据管理方法和系统 | |
CN114238938B (zh) | 一种pcie密码卡虚拟化配置管理方法 | |
JP2023542527A (ja) | ヘテロジニアス暗号化を通したソフトウェア・アクセス | |
CN111475844A (zh) | 一种数据共享方法、装置、设备及计算机可读存储介质 | |
CN111859351A (zh) | 向芯片写入信息的方法、系统、服务器及存储介质 | |
CN110648218A (zh) | 基于隐私保护的信贷风控系统及方法、计算机装置 | |
CN115495767B (zh) | 虚拟会话方法、装置、电子设备及计算机可读存储介质 | |
US20240111896A1 (en) | Splitting and reconstructing data between secure and nonsecure databases | |
CN117675267A (zh) | 一种日志处理的方法及装置 | |
CN113507364B (zh) | 一种交易账本的处理方法、装置、电子设备和存储介质 | |
US20230403146A1 (en) | Smart round robin delivery for hardware security module host requests |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination |