基于G-AES算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法及系統(tǒng)與流程

本發(fā)明涉及數(shù)字信息，具體而言，涉及基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法及系統(tǒng)。

背景技術：

1、隨著我國的數(shù)字化建設規(guī)模逐年提升，在支撐社會高速發(fā)展的同時，也面臨著越來越多的安全挑戰(zhàn)。其中，數(shù)據(jù)安全是數(shù)字化建設的核心議題，一是數(shù)據(jù)攻擊手段越來越多樣化，病毒入侵、木馬植入、網(wǎng)絡勒索、網(wǎng)頁釣魚等各種數(shù)據(jù)攻擊手段時有發(fā)生，造成數(shù)據(jù)丟失、篡改等嚴重后果。二是原生系統(tǒng)的安全漏洞廣泛存在，當前的數(shù)字化建設依賴組件化模塊，這些組件因為使用廣泛經(jīng)常被暴露出安全漏洞，特別是開源組件更容易被黑客發(fā)現(xiàn)漏洞，對系統(tǒng)的數(shù)據(jù)安全構成嚴重威脅。三是人為因素的社會工程攻擊難以防范，常見的如暴力破解口令潛入系統(tǒng)進行數(shù)據(jù)篡改、內部人員數(shù)據(jù)泄露、數(shù)據(jù)存儲設備被盜取等情況，直接威脅著最核心的數(shù)據(jù)安全。

2、電網(wǎng)的數(shù)據(jù)安全是一項至關重要的任務，因為電力系統(tǒng)是關乎國家經(jīng)濟、國防和公共生活的關鍵基礎設施之一，數(shù)據(jù)泄露、黑客攻擊和數(shù)據(jù)濫用等數(shù)據(jù)安全風險廣泛存在，企業(yè)需要進一步提高數(shù)據(jù)安全防護措施。目前，電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)的數(shù)據(jù)以明文的形式保存在文件系統(tǒng)、數(shù)據(jù)庫和云容器上，通過系統(tǒng)安全分區(qū)將各業(yè)務系統(tǒng)隔離，難以對數(shù)據(jù)進行有效的保護。

技術實現(xiàn)思路

1、本發(fā)明的目的是克服現(xiàn)有技術中存在的電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)的數(shù)據(jù)以明文的形式保存在文件系統(tǒng)、數(shù)據(jù)庫和云容器上，通過系統(tǒng)安全分區(qū)將各業(yè)務系統(tǒng)隔離，數(shù)據(jù)安全隔離措施不夠完善的缺陷，提供了一種基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法及系統(tǒng)。

2、第一方面，本發(fā)明提供一種基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法，包括：

3、將電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)中不同類型的交互操作業(yè)務容器化，得到多個不同類型的業(yè)務容器池；

4、基于g-aes算法構建g-aes數(shù)據(jù)交換池，將所述g-aes數(shù)據(jù)交換池中多個不同的數(shù)據(jù)加密模式與多個所述業(yè)務容器池關聯(lián)匹配，任意一個所述業(yè)務容器池至少關聯(lián)匹配一個所述數(shù)據(jù)加密模式；

5、通過所述電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)獲取用戶操作指令；

6、根據(jù)所述用戶操作指令生成調用指令，并響應于所述調用指令調用對應類型的目標業(yè)務容器池以及相關聯(lián)的目標數(shù)據(jù)加密模式；

7、基于所述目標業(yè)務容器池響應于所述用戶操作指令執(zhí)行對應類型的所述交互操作業(yè)務，并根據(jù)所述目標數(shù)據(jù)加密模式對所述交互操作業(yè)務執(zhí)行過程中的所述目標業(yè)務容器池進行數(shù)據(jù)安全保護。

8、在一些實施例中，所述電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)包括：erp管理系統(tǒng)、pms管理系統(tǒng)、tms管理系統(tǒng)、scada事務系統(tǒng)、ens分析系統(tǒng)。

9、在一些實施例中，所述交互操作業(yè)務包括數(shù)據(jù)庫操作業(yè)務、文件系統(tǒng)操作業(yè)務、設備感知數(shù)據(jù)交互業(yè)務和云資源數(shù)據(jù)交互業(yè)務；

10、所述將電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)中不同類型的交互操作業(yè)務容器化，得到多個不同類型的業(yè)務容器池包括如下步驟：

11、將所述數(shù)據(jù)庫操作業(yè)務中的操作軟件和軟件配置打包成獨立的容器鏡像，形成數(shù)據(jù)庫容器池；

12、將所述文件系統(tǒng)操作業(yè)務中的存儲服務和訪問服務打包成獨立的容器鏡像，形成文件系統(tǒng)容器池；

13、將所述設備感知數(shù)據(jù)交互業(yè)務中的驅動程序和驅動服務打包成獨立的容器鏡像，并集成到預設的容器運行環(huán)境中，形成設備感知容器池；

14、將所述云資源數(shù)據(jù)交互業(yè)務中的應用程序接口和開發(fā)工具包打包成獨立的容器鏡像，形成云資源容器池。

15、在一些實施例中，所述基于g-aes算法構建g-aes數(shù)據(jù)交換池，將所述g-aes數(shù)據(jù)交換池中多個不同的數(shù)據(jù)加密模式與多個所述業(yè)務容器池關聯(lián)匹配包括如下步驟：

16、基于g-aes算法構建g-aes數(shù)據(jù)交換池，所述g-aes數(shù)據(jù)交換池包括多個不同的數(shù)據(jù)加密模式，所述數(shù)據(jù)加密模式包括aes-gcm數(shù)據(jù)加密模式、aes-cbc數(shù)據(jù)加密模式和aes-ctr數(shù)據(jù)加密模式；

17、將所述數(shù)據(jù)庫容器池與所述aes-gcm數(shù)據(jù)加密模式關聯(lián)匹配；

18、將所述文件系統(tǒng)容器池與所述aes-cbc數(shù)據(jù)加密模式關聯(lián)匹配；

19、將所述設備感知容器池和所述云資源容器池均與所述aes-ctr數(shù)據(jù)加密模式關聯(lián)匹配。

20、在一些實施例中，所述基于所述目標業(yè)務容器池響應于所述用戶操作指令執(zhí)行對應類型的所述交互操作業(yè)務，并根據(jù)所述目標數(shù)據(jù)加密模式對所述交互操作業(yè)務執(zhí)行過程中的所述目標業(yè)務容器池進行數(shù)據(jù)安全保護包括如下步驟：

21、當所述目標業(yè)務容器池為所述數(shù)據(jù)庫容器池時，基于所述數(shù)據(jù)庫容器池響應于所述用戶操作指令執(zhí)行所述數(shù)據(jù)庫操作業(yè)務；

22、在所述數(shù)據(jù)庫操作業(yè)務執(zhí)行過程中生成第一加密請求；

23、響應于所述第一加密請求從所述數(shù)據(jù)庫操作業(yè)務中提取待加密數(shù)據(jù)庫數(shù)據(jù)；

24、結合所述待加密數(shù)據(jù)庫數(shù)據(jù)所屬數(shù)據(jù)庫的數(shù)據(jù)庫編號和所述第一加密請求的請求生成時間生成第一初始計數(shù)器值；

25、基于所述第一初始計數(shù)器值并采用所述aes-gcm數(shù)據(jù)加密模式對所述待加密數(shù)據(jù)庫數(shù)據(jù)執(zhí)行第一數(shù)據(jù)加密步驟，得到加密數(shù)據(jù)庫數(shù)據(jù)；

26、將所述加密數(shù)據(jù)庫數(shù)據(jù)寫入所述數(shù)據(jù)庫容器池；

27、所述第一數(shù)據(jù)加密步驟包括如下步驟：

28、根據(jù)所述第一初始計數(shù)器值的數(shù)值長度將所述待加密數(shù)據(jù)庫數(shù)據(jù)拆分為n個數(shù)據(jù)庫數(shù)據(jù)塊；以所述第一初始計數(shù)器值為基礎并按照預設的數(shù)值遞增量遞增生成n-1個第一計數(shù)器值；對所述第一初始計數(shù)器值和n-1個所述第一計數(shù)器值進行aes算法加密，生成n個第一密鑰塊；將n個所述數(shù)據(jù)庫數(shù)據(jù)塊與n個所述第一密鑰塊進行異或加密操作，得到n個數(shù)據(jù)庫密文數(shù)據(jù)塊，合并所有所述數(shù)據(jù)庫密文數(shù)據(jù)塊。

29、在一些實施例中，所述基于所述目標業(yè)務容器池響應于所述用戶操作指令執(zhí)行對應類型的所述交互操作業(yè)務，并根據(jù)所述目標數(shù)據(jù)加密模式對所述交互操作業(yè)務執(zhí)行過程中的所述目標業(yè)務容器池進行數(shù)據(jù)安全保護包括如下步驟：

30、當所述目標業(yè)務容器池為所述文件系統(tǒng)容器池時，基于所述數(shù)據(jù)庫容器池響應于所述用戶操作指令執(zhí)行所述文件系統(tǒng)操作業(yè)務；

31、在所述文件系統(tǒng)操作業(yè)務執(zhí)行過程中生成第二加密請求；

32、響應于所述第二加密請求從所述文件系統(tǒng)操作業(yè)務中提取待加密文件數(shù)據(jù)；

33、結合所述待加密文件數(shù)據(jù)所屬文件夾的文件夾編號和所述第二加密請求的請求生成時間生成第二初始計數(shù)器值；

34、基于所述第二初始計數(shù)器值并采用所述aes-cbc數(shù)據(jù)加密模式對所述待加密文件數(shù)據(jù)執(zhí)行第二數(shù)據(jù)加密步驟，得到加密文件數(shù)據(jù)；

35、將所述加密文件數(shù)據(jù)寫入所述文件系統(tǒng)容器池；

36、所述第二數(shù)據(jù)加密步驟包括如下步驟：

37、根據(jù)所述第二初始計數(shù)器值的數(shù)值長度將所述待加密文件數(shù)據(jù)拆分為m個文件數(shù)據(jù)塊；將m個所述文件數(shù)據(jù)塊按照生成時間進行排序，根據(jù)排序結果選取第一個所述文件數(shù)據(jù)塊作為目標文件數(shù)據(jù)塊；將所述目標文件數(shù)據(jù)塊與所述第二初始計數(shù)器值進行異或加密操作，生成一個文件密文數(shù)據(jù)塊；根據(jù)所述排序結果依次選取下一個所述文件數(shù)據(jù)塊作為所述目標文件數(shù)據(jù)塊，并將所述目標文件數(shù)據(jù)塊與最新生成的所述文件密文數(shù)據(jù)塊進行所述異或加密操作，直至所有所述文件數(shù)據(jù)塊均進行過一次所述異或加密操作，得到m個所述文件密文數(shù)據(jù)塊，合并所有所述文件密文數(shù)據(jù)塊。

38、在一些實施例中，所述基于所述目標業(yè)務容器池響應于所述用戶操作指令執(zhí)行對應類型的所述交互操作業(yè)務，并根據(jù)所述目標數(shù)據(jù)加密模式對所述交互操作業(yè)務執(zhí)行過程中的所述目標業(yè)務容器池進行數(shù)據(jù)安全保護包括如下步驟：

39、當所述目標業(yè)務容器池為所述設備感知容器池或所述云資源容器池時，基于所述設備感知容器池或所述云資源容器池并響應于所述用戶操作指令執(zhí)行所述設備感知數(shù)據(jù)交互業(yè)務或所述云資源數(shù)據(jù)交互業(yè)務；

40、在所述設備感知數(shù)據(jù)交互業(yè)務或所述云資源數(shù)據(jù)交互業(yè)務執(zhí)行過程中生成第三加密請求；

41、響應于所述第三加密請求從所述設備感知數(shù)據(jù)交互業(yè)務中提取待加密設備交互數(shù)據(jù)，或從所述云資源數(shù)據(jù)交互業(yè)務中提取待加密云資源數(shù)據(jù)；

42、若提取到所述待加密設備交互數(shù)據(jù)，則結合所述待加密設備交互數(shù)據(jù)所屬設備的設備編號和所述第三加密請求的請求生成時間生成第三初始計數(shù)器值；

43、基于所述第三初始計數(shù)器值并采用所述aes-ctr數(shù)據(jù)加密模式對所述待加密設備交互數(shù)據(jù)執(zhí)行第三數(shù)據(jù)加密步驟，得到加密設備交互數(shù)據(jù)，將所述加密設備交互數(shù)據(jù)寫入所述設備感知容器池；

44、若提取到所述待加密云資源數(shù)據(jù)，則結合所述待加密云資源數(shù)據(jù)所屬云服務端的服務器編號和所述第三加密請求的請求生成時間生成第三初始計數(shù)器值；

45、基于所述第三初始計數(shù)器值并采用所述aes-ctr數(shù)據(jù)加密模式對所述待加密云資源數(shù)據(jù)執(zhí)行所述第三數(shù)據(jù)加密步驟，得到加密云資源交互數(shù)據(jù)，將所述加密云資源交互數(shù)據(jù)寫入所述云資源容器池；

46、所述第三數(shù)據(jù)加密步驟包括如下步驟：

47、根據(jù)所述第三初始計數(shù)器值的數(shù)值長度將所述待加密設備交互數(shù)據(jù)或所述待加密云資源數(shù)據(jù)拆分為l個待加密數(shù)據(jù)塊；將所述第三初始計數(shù)器值進行aes算法加密，生成密鑰流塊；將所述密鑰流塊依次與l個所述待加密數(shù)據(jù)塊進行異或加密操作，得到l個加密數(shù)據(jù)塊，合并所有所述加密數(shù)據(jù)塊。

48、第二方面，本發(fā)明實施例提供了一種基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護系統(tǒng)，包括：

49、容器化模塊，用于將電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)中不同類型的交互操作業(yè)務容器化，得到多個不同類型的業(yè)務容器池；

50、加密模式構建模塊，用于基于g-aes算法構建多個不同的數(shù)據(jù)加密模式，將多個所述數(shù)據(jù)加密模式與多個所述業(yè)務容器池關聯(lián)匹配，任意一個所述業(yè)務容器池至少關聯(lián)匹配一個所述數(shù)據(jù)加密模式；

51、指令獲取模塊，用于通過所述電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)獲取用戶操作指令；

52、調用模塊，用于根據(jù)所述用戶操作指令生成調用指令，并響應于所述調用指令調用對應類型的目標業(yè)務容器池以及相關聯(lián)的目標數(shù)據(jù)加密模式；

53、交互操作模塊，用于基于所述目標業(yè)務容器池響應于所述用戶操作指令執(zhí)行對應類型的所述交互操作業(yè)務，并根據(jù)所述目標數(shù)據(jù)加密模式對所述交互操作業(yè)務執(zhí)行過程中的所述目標業(yè)務容器池進行數(shù)據(jù)安全保護。

54、第三方面，本發(fā)明實施例提供了一種基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護設備，包括存儲器和處理器，所述存儲器，用于存儲計算機程序代碼，并將所述計算機程序代碼傳輸給所述處理器；所述處理器，用于根據(jù)所述計算機程序代碼中的指令執(zhí)行上述任一項基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法。

55、第四方面，本發(fā)明實施例提供了一種計算機可讀存儲介質，所述計算機可讀存儲介質上存儲有計算機程序，所述計算機程序被處理器執(zhí)行時實現(xiàn)上述任一項基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法。

56、與現(xiàn)有技術相比，本發(fā)明的有益效果為：

57、在本發(fā)明的一種基于g-aes算法的電網(wǎng)實物資產(chǎn)數(shù)據(jù)保護方法中，將數(shù)據(jù)庫軟件和配置打、文件系統(tǒng)的存儲和訪問服務、設備感知的驅動程序和服務、云資源分別打包成獨立的容器鏡像，并通過容器編排技術進行部署和管理，得到對應的數(shù)據(jù)庫容器池、文件系統(tǒng)容器池、設備感知容器池、云資源容器池，基于g-aes算法構建不同的數(shù)據(jù)加密模式，電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)通過根據(jù)用戶指令及對應的加密模式，執(zhí)行數(shù)據(jù)庫操作、文件讀寫操作、設備感知數(shù)據(jù)交互、云資源數(shù)據(jù)交互，在交互操作執(zhí)行過程中基于g-aes加密算法為不同的業(yè)務定制個性化的加密方式，確保每種業(yè)務的數(shù)據(jù)交互過程都能得到有效的安全保護。同時，電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)包括erp管理系統(tǒng)、pms管理系統(tǒng)、tms管理系統(tǒng)、scada事務系統(tǒng)、ens分析系統(tǒng)五個子系統(tǒng)，電網(wǎng)實物資產(chǎn)業(yè)務系統(tǒng)橫跨電網(wǎng)資產(chǎn)管理、設備管理、運維檢修計劃管理等業(yè)務，將上述多個子系統(tǒng)的數(shù)據(jù)庫軟件和配置、文件存儲和訪問服務、設備感知的驅動程序和服務、云資源統(tǒng)一打包為數(shù)據(jù)庫訪問容器池、文件系統(tǒng)容器池、設備感知容器池、云資源容器池這四個相互獨立的容器池，簡化和優(yōu)化了資源管理、部署和維護，且數(shù)據(jù)不會因部分子系統(tǒng)關閉而缺失。