一种电力数据边界保护方法、设备、介质及装置与流程

本发明涉及电力数据保护领域，具体涉及一种电力数据边界保护方法、设备、介质及装备。

背景技术：

1、随着数字化经济时代的到来，数据成为与物质资产、人力资本同样重要的基础生产要素，从数据中能够挖掘出越来越多看似不存在的敏感信息，包括国家秘密、商业秘密、个人隐私信息等，而这些敏感信息的泄露将会对个人生活、企业重大利益、社会稳定及国家安全造成威胁，因此，确保电力数据边界安全成为电力数字化转型发展最为重要的前提条件。

2、数据加密技术是以密码技术为基础对数据进行编码转化的保护方法，是网络安全和数据安全领域的通用关键技术。加密技术用于满足数据全生命周期的存储、应用、共享流通等各个环节的安全需求，并兼顾数据安全性与可用性的平衡。随着数据共享流通场景保护需求的不断增加，数据加密技术从静态数据加密向动态数据加密扩展。另一方面，目前数据加密因为新兴领域的需求不断变化，而产生新的演进方向。

3、数据脱敏技术可以在不泄露敏感信息的前提下保留数据源的可用性，是目前应用最多的数据安全保护技术手段。数据脱敏技术的核心是脱敏算法的选择，目前脱敏算法主要分为三类，一是标准的加密算法，数据加密后完全失去业务属性，且算法开销大；二是基于数据失真的算法，如随机干扰、乱序等；三是置换算法，兼具可逆和保持数据业务属性的特点。选择业务系统的脱敏算法时，可用性和隐私保护的平衡是关键。基于应用场景不同，数据脱敏技术可以分为静态数据脱敏与动态数据脱敏两类。

4、传统电力数据边界主要是通过数据加密、数据访问控制等手段对数据进行安全保护的，其目标是通过将数据隔离在某个范围内，减少数据被获得的可能性或在严格范围内进行共享。而数据产业发展的基础是数据的开放共享，是通过推动数据资源的整合，提升数据与数据的关联程度。传统电力数据边界保护方法与数字化转型的产业发展存在着天然矛盾。

5、目前市面上提供的数据边界技术防护能力，如身份认证、访问控制、数据加密、数据审计、数据脱敏等都是基于单点能力。而鉴于数据的流动性与易传播性，数据会在不同的主机、网络及应用等载体间进行流转和移动，缺乏载体之间的协调联动能力，导致安全策略一致性差、管控效率低、全面性弱等问题。另外，传统的加密方法对数值型敏感数据进行加密，通常会改变数据长度和数据类型等，使原始数据库存储单元无法直接存储密文结果，应用程序无法正确读取和显示，降低了数据处理后的利用率，且易引发隐私泄露。

技术实现思路

1、为克服上述现有技术的不足，本发明提供一种电力数据边界保护方法、设备、介质及装置，使数据加密后的密文格式与加密前的明文格式完全相同，且加密过程可逆，加密后的数据可以通过密钥解密还原原始数据，并对流经数据边界的业务数据进行统一安全监测和安全管控，识别敏感信息的泄漏威胁并告警处置。

2、基于本发明的一方面，提供电力数据边界保护方法，具体包括以下步骤：

3、s1：获取原始电力数据，对原始电力数据进行聚类分析，得到隐私型特征数据；

4、s2：根据敏感识别规则识别所述隐私型特征数据中的敏感数据，并根据数据分段处理规则对所述隐私型特征数据进行分段处理，得到敏感数据段；

5、s3：根据数据脱敏规则调用相应的数据脱敏算法对敏感数据段进行脱敏处理；所述脱敏处理具体包括以下步骤：

6、s301：当所述敏感数据段长度为奇数时，基于国密对称加密算法和截取构造f函数对分段后的敏感数据段明文进行非平衡费斯妥结构轮运算和取模运算，得到输出密文组；当所述敏感数据段长度为偶数时，基于国密对称加密算法和截取构造f函数对分段后的敏感数据段明文进行平衡费斯妥结构轮运算和取模运算，得到输出密文组；

7、s302：对所述输出密文组进行校验，得到所述敏感数据段的密文。

8、上述技术方案中，采用分段思想，算法中伪随机函数由国密对称算法构造，因国密对称算法的轮函数是一次一次的迭代运算，包括参数输入、分组变换、非线性变换等操作，引入调整因子，使加密变得更加灵活。降低了cycle-walking的使用，提高了加密效率和性能，用国密的对称算法优化也具有更好的安全性。

9、采用基于国密对称算法对数据格式保留加密方法进行优化，有效的实现了对包含隐私特征数据加密前后格式的一致性，增强了国密算法的应用性。

10、在上述脱敏处理过程中，经处理的数据不被扩充，经处理的数据类型不被改变，经处理的数据必能被确定性加密，经加密过后的数据必能通过密钥解密还原为原始数据。

11、进一步地，在所述获取原始电力数据前还包括以下步骤：

12、构建电力数据边界保护基础运行环境，初始化敏感信息字典库、敏感类型语义表达式、密码算法密钥和数据分段处理规则；对于电力数据，依据电力数据电压、电流、潮流值等自身特征性，对于多种数据模型量身定制了数据分段处理规则。

13、内存预分配，提前分配好系统达到最大数据处理量时所需的内存；初始化电力数据边界保护的用户管理配置、数据存储和数据处理内存块；

14、创建基于透明模式实现的电力数据边界保护服务进程，所述电力数据边界保护服务进程包括一个主服务进程和多个工作进程；

15、通过所述主服务进程设置安全代理规则、敏感识别规则和数据脱敏规则，为每个所述工作进程创建基于格式保留加密的数据处理过程；

16、所述构建电力数据边界保护基础运行环境包括以下步骤：

17、加载linux系统内核，加载密码单元内核驱动模块；所述驱动采用轮询模式；

18、构建符合整数集大小的分组密码，根据不同敏感类型的模板定义分组大小、密钥长度、轮次数、子密钥生成及轮函数。

19、所述初始化内存块的方法为：

20、内存块部分空间用于存储该内存块自身的状态信息和特性信息，其他空间用于加密解密数据的存储；内存池在程序启动的时候创建，程序运行过程中不进行内存的分配和释放操作。

21、同一数据流包的处理均在同一个工作进程中完成，多个工作进程之间并行处理，每个工作进程与指定的cpu核绑定，互不干扰；所述被绑定的cpu核只运行绑定的工作进程，不参与系统进程调度。

22、将密码单元读写队列和工作进程通过亲和性绑定到固定的cpu逻辑核的方式，减少cpu核间任务切换，所有资源都按核分配，每个核都有自己独有的一份，避免多进程访问共享的资源带来的开销。

23、进一步地，所述分段处理具体包括以下步骤：

24、将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配，直至命中对应的规则，获得该隐私型特征数据对应的敏感识别规则，依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。

25、进一步地，步骤s302中，所述校验包括以下步骤：

26、先检验所述输出密文组与脱敏处理前的敏感数据段中对应的数据段序号是否一致，若是，则进一步检验所述输出密文组是否满足脱敏处理前的敏感数据段的数据构造规则，若满足，则校验成功。

27、进一步地，在步骤s1中，所述获取原始电力数据的方法为：接收用户根据安全代理规则发送的数据请求，将所述数据请求转发至电力业务系统，接收来自所述电力业务系统的原始电力数据。

28、进一步地，在步骤s1中，所述聚类分析包括以下步骤：

29、s101：从所述原始电力数据中随机选取一个样本点作为初始聚类中心，计算剩余的每一个电力数据样本点与所述初始聚类中心的距离；

30、s102：根据所述距离计算每个样本点被选为下一个聚类中心的概率，并根据所述概率选择一个新的电力数据样本点作为新的聚类中心；

31、s103：重复s101和s102直到k个聚类中心都被确定，将所述k个聚类中心点作为簇质心；

32、s104：计算样本点与所述簇质心之间的距离，并将样本点分配给距离最近的簇质心所对应的簇中，更新每个簇的质心为该簇所有点的平均值，反复迭代，直至更新后的质心和更新前的质心之间的距离小于预设阈值时终止，获得最终聚类中心；

33、s105：计算样本点与所述最终聚类中心的距离，距离小于设定阈值的样本点为隐私型特征数据。

34、作为本发明的另一方面，提供一种计算机设备，所述计算机设备包括处理器、存储器，以及存储在所述存储器上并可被所述处理器执行的计算机程序，其中所述计算机程序被所述处理器执行时，实现电力数据边界保护方法的步骤。

35、作为本发明的又一方面，提供一种计算机可读存储介质，所述计算机可读存储介质上存储有计算机程序，其中所述计算机程序被处理器执行时，实现电力数据边界保护方法的步骤。

36、作为本发明的又一方面，提供一种电力数据边界保护装置，其特征在于，包括：

37、数据获取模块，所述数据获取模块用于获取原始电力数据；

38、聚类分析模块，所述聚类分析模块用于对原始电力数据进行聚类分析，得到隐私型特征数据；

39、识别模块，所述识别模块用于识别隐私型特征数据中的敏感数据段；

40、分段处理模块，所述分段模块用于根据数据分段处理规则对所述隐私型特征数据进行分段处理，得到敏感数据段；

41、数据脱敏模块，所述数据脱敏模块用于对敏感数据段进行脱敏处理，所述数据脱敏模块具体用于：当所述敏感数据段长度为奇数时，基于国密对称加密算法和截取构造f函数对所述敏感数据段的明文进行非平衡费斯妥结构轮运算和取模运算，得到输出密文组；当敏感数据段长度为偶数时，基于国密对称加密算法和截取构造f函数对所述敏感数据段的明文进行平衡费斯妥结构轮运算和取模运算，得到输出密文组；对所述输出密文组进行校验，得到所述敏感数据段的密文。

42、进一步地，所述分段处理模块，具体用于：将所述隐私型特征数据与所述敏感识别规则中的属性逐个匹配，直至命中对应的规则，获得该隐私型特征数据对应的敏感识别规则，依据所命中规则中的敏感数据段定义和非敏感数据段定义对隐私型特征数据进行分段处理。

43、与现有技术相比，本发明的有益效果在于：

44、(1)本发明利用数据分段思想对待处理的数据进行费斯妥结构轮运算和取模运算，在每轮轮运算中用国密对称算法加密截断实现f函数功能，既能保留数据的长度和基本特征，更降低中间过程密文落入错误域的概率，提高算法效率。

45、(2)本发明采用聚类算法对电力大数据初始监测分类，敏感数据处理部分由数据识别及数据处理组成，数据识别根据多种敏感类型来识别监测电力大数据中的包含个人敏感信息的数据，确保用户访问的数据不包含敏感信息。

46、(3)本发明采用采用多工作进程并行调度设计，每个工作进程对应一个独立的加密运算通道,保证该通道的写返回数据一定是对应的读操作的工作进程，实现多核多进程对数据加解密的高效、并行处理，充分发挥出多核处理器硬件的优势。