1.本发明涉及数据处理领域,特别涉及一种基于拆分加密的大脑中枢系统。
背景技术:
2.供电企业在信息化建设方面已经基本实现了主要系统数据融合贯通,依托数据中台建设成果,初步实现业务层面的数字化、可视化、在线化。同时,公司积极开展电力大数据的运营与应用工作,已经形成相对完整的指标运营监测体系,对内形成了多类提质增效、基层减负等电力大数据运营分析成果,对外与政府部门、企业用户和互联网平台开展广泛的数据合作,初步形成了多种应用场景相结合的数据增值服务产品体系。大脑中枢系统作为各类数据的汇集处,起到了类似大脑的作用,在日常运营中起到了至关重要的效果。
3.而密集的信息传递必然需要更安全的加密方式,但是目前的系统在信息传输上通常仅采用非对称加密或对称加密之一,而国网信息与其他领域或行业的信息之间存在明显特征,即其中存在着大量重复的指令信息和控制信息,这些信息经过传统方式加密后,一样信息呈现出一样的加密结果,因此即使无法解密,攻击者也能够通过大量的数据分析精确推测到每种固定数据的真实信息。现有技术中,如公开号cn102055580a发明申请公开了一种工业互联网中企业信息安全发送接收方法及通讯设备,又如公开号cn112671809a的发明申请公开了一种数据传输方法、信源端及接收端。这些现有技术都采用了数据拆分加密方案,可以一定程度上解决上述问题,但拆分后本质上仍然只是对每份数据分别进行单独的加密和解密,也就是说整个方案唯一的变化仅在于每份数据加密前的拆分和解密后的拼接,而对于过程中间的每份数据加解密的过程来说并没有改变;因此采用上述技术时,不论数据是否经过拆分,其加解密过程本身实际上并没有产生区别和新的效果,因此安全性并没有实质性提高。
技术实现要素:
4.针对现有技术中大脑中枢系统的信息传输安全性欠佳的问题,本发明提供了一种基于拆分加密的大脑中枢系统,对大脑中枢系统的信息传输和加密的方式进行了改进,通过通讯站对数据进行拆分加密,并实现拿到任意单独的拆分后数据都无法进行完整解密,体现出了拆分加密的价值,使得各加密过程形成联动,环环相扣,使数据的传输过程安全性大幅提高。
5.以下是本发明的技术方案。
6.一种基于拆分加密的大脑中枢系统,包括:感知模块,用于采集所需的电网信息数据并上传指定的通讯站;通讯站,根据执行的任务分为一级通讯站以及二级通讯站,所述一级通讯站对感知模块上传的数据进行拆分和标记并利用第一密钥加密,并将该次加密所使用的第一密钥拆分为密钥片段,该密钥片段作为解密信息拼接到拆分加密后的数据一端,然后发送至若干不同的二级通讯站,所述二级通讯站利用第二密钥对拼接有密钥片段的数据二次加密后
附上密钥编号发送至中枢模块,其中第二密钥通过指定公钥加密后附上密钥编号发送至密钥暂存模块;密钥暂存模块,保存有经指定公钥加密后的第二密钥以及密钥编号;中枢模块,接收来自通讯站的加密后的数据,根据每份数据附带的密钥编号向密钥暂存模块索取经指定公钥加密后的第二密钥,并利用指定私钥解密得到第二密钥,利用第二密钥进行解密,得到带有密钥片段的加密数据,再将对应密钥片段拼接得到第一密钥,利用第一密钥进行解密得到原始数据。
7.本发明对数据进行拆分后加密,增加截取完整数据的难度,同时消除了相同信息加密后内容相同的问题,然后通过设置密钥暂存模块,使得密钥传输通道与加密数据传输通道不共用,窃听任意的通讯链路都无法获取完整信息,并通过解密信息和密钥编号作为索引,帮助中枢模块进行解密。另外,一级通讯站发出的每个数据包中,包含了拆分并加密后的数据以及对应的密钥片段,因此除一级通讯站之外任何模块因没有对应密钥而暂时无法解密;二级通讯站在此基础上,利用第二密钥对该数据包进行加密,至此任何模块都无法单独将数据完全解密,另外由于指定私钥仅保存在中枢模块,因此其他模块也无法解密经指定公钥加密后的内容。
8.作为优选,每个通讯站的密钥独立生成,任意密钥作为第一密钥或第二密钥使用后,即被转移或标记,不再使用。
9.作为优选,所述中枢模块解密数据的过程包括:根据收到的数据中的标记筛选出同一份源数据的所有拆分数据,根据密钥编号向密钥暂存模块请求经指定公钥加密后的第二密钥,利用指定私钥解密得到第二密钥,进行一次解密得到带有密钥片段的加密数据,将密钥片段拼接,利用拼接得到的第一密钥对加密数据进行解密,得到解密数据,将解密数据按标记拼接,得到原始数据。当中枢模块收到众多加密数据后,根据标记可以分类出同一个源数据的加密数据,随后进行上述解密步骤可以得到原始数据;由于指定私钥仅在中枢模块保存,因此仅有中枢模块可以解密经指定公钥加密后的密钥,同时由于拆分后的数据仅在中枢模块汇总,因此密钥片段也仅可能在中枢模块内拼接,因此不同通讯站之间看似无关的加密步骤在中枢模块解密时得到联动,大幅提高安全性。
10.作为优选,所述中枢模块生成指定公钥和指定私钥,并由中枢模块将指定公钥广播至所有通讯站。
11.作为优选,每个通讯站针对每份收到的数据选择性执行一级通讯站或二级通讯站的工作模式:当当收到的数据是由感知模块发出,则通讯站对该数据处理时采用一级通讯站的处理模式;当收到的数据是由其他通讯站发出,则通讯站对该数据处理时采用二级通讯站的处理模式。为了提高工作效率和资源利用率,每个通讯站都具备一级通讯站和二级通讯站的工作模式。
12.作为优选,所述密钥暂存模块收到经指定公钥加密后的第二密钥以及密钥编号后,返回确认信息至对应通讯站,该通讯站收到确认信息后删除对应密钥;所述中枢模块收到经指定公钥加密后的第二密钥后,返回确认信息至密钥暂存模块,密钥暂存模块收到确认信息后删除对应密钥。删除过程可以减少密钥泄露的可能性,以提高信息安全性。
13.另外,所述感知模块采集所需的电网信息数据时附上验证信息,最终中枢模块解密得到原始数据后,通过明文将该验证信息发回感知模块,感知模块确认后通过明文返回
确认结果至中枢模块。验证信息一般为该原始数据对应的哈希值,感知模块收到后验证哈希值是否一致即可确认。额外的确认步骤,可以用于确认信息是否为对应感知模块发出,以免被调包。
14.作为优选,所述通讯站对数据进行拆分时,记录收到该数据的时刻,根据该时刻的秒数得到拆分数量,其中秒数的个位数为2至9时,数值即对应拆分数量,个位数为0或1则拆分数量为2,拆分时根据数据长度平均拆分。
15.本发明的实质性效果包括:通过拆分加密以及二次加密,利用密钥片段和密钥编码等方式,实现每份单独的加密数据都无法被完整解密,必须由中枢模块根据多份数据进行多模块多步骤的联动解密,具有关键信息分别产生、分散存储、汇总使用的特点,不易被破解,信息传输安全性高。
附图说明
16.图1是本发明实施例的系统框图。
具体实施方式
17.下面将结合实施例,对本申请的技术方案进行描述。另外,为了更好的说明本发明,在下文中给出了众多的具体细节。本领域技术人员应当理解,没有某些具体细节,本发明同样可以实施。在一些实例中,对于本领域技术人员熟知的方法、手段、元件和电路未做详细描述,以便于凸显本发明的主旨。
18.实施例:一种基于拆分加密的大脑中枢系统,如图1所示,包括:感知模块,用于采集所需的电网信息数据并上传指定的通讯站;通讯站,根据执行的任务分为一级通讯站以及二级通讯站,所述一级通讯站对感知模块上传的数据进行拆分和标记并利用第一密钥加密,并将该次加密所使用的第一密钥拆分为密钥片段,该密钥片段作为解密信息拼接到拆分加密后的数据一端,然后发送至若干不同的二级通讯站,所述二级通讯站利用第二密钥对拼接有密钥片段的数据二次加密后附上密钥编号发送至中枢模块,其中第二密钥通过指定公钥加密后附上密钥编号发送至密钥暂存模块;密钥暂存模块,保存有经指定公钥加密后的第二密钥以及密钥编号;中枢模块,接收来自通讯站的加密后的数据,根据每份数据附带的密钥编号向密钥暂存模块索取经指定公钥加密后的第二密钥,并利用指定私钥解密得到第二密钥,利用第二密钥进行解密,得到带有密钥片段的加密数据,再将对应密钥片段拼接得到第一密钥,利用第一密钥进行解密得到原始数据。指定公钥和指定私钥由中枢模块生成,并由中枢模块将指定公钥广播至所有通讯站。
19.其中,感知模块可以是各类传感器与通讯模块及处理模块组成的可编程设备;通讯站、密钥暂存模块以及中枢模块可以是带有通讯模块以及处理模块组成的可编程设备。感知模块、通讯站、密钥暂存模块以及中枢模块也可以被用于执行除本方案提及以外的其他任务,但由于其他任务或功能并不涉及本方案改进之处,因此不做额外说明。本实施例中的拆分,是指以拆分对象的数据长度为基准,根据需要拆分出的结果个数进行平均截取,例
如n个字节的数据拆分为n份,则每份长度为n/n。
20.本实施例对数据进行拆分后加密,增加截取完整数据的难度,同时消除了相同信息加密后内容相同的问题,然后通过设置密钥暂存模块,使得密钥传输通道与加密数据传输通道不共用,窃听任意的通讯链路都无法获取完整信息,并通过解密信息和密钥编号作为索引,帮助中枢模块进行解密。
21.下面对本实施例的工作过程进行解释。
22.首先,感知模块采集所需的电网信息数据并上传通讯站,其中通讯站的选择可以预先指定也可以随机指定。
23.其次,每个通讯站针对每份收到的数据选择性执行一级通讯站或二级通讯站的工作模式:当当收到的数据是由感知模块发出,则通讯站对该数据处理时采用一级通讯站的处理模式;当收到的数据是由其他通讯站发出,则通讯站对该数据处理时采用二级通讯站的处理模式。每个通讯站的密钥独立生成,任意密钥作为第一密钥或第二密钥使用后,即被转移或标记,不再使用。通讯站对数据进行拆分时,记录收到该数据的时刻,根据该时刻的秒数得到拆分数量,其中秒数的个位数为2至9时,数值即对应拆分数量,个位数为0或1则拆分数量为2,拆分时根据数据长度平均拆分。拆分方式有多种多样,不会对拆分效果产生实质性影响,这里选取一种非固定的拆分方式,以提高安全性。
24.随后,由中枢模块进行解密数据,过程包括:根据收到的数据中的标记筛选出同一份源数据的所有拆分数据,根据密钥编号向密钥暂存模块请求经指定公钥加密后的第二密钥,利用指定私钥解密得到第二密钥,进行一次解密得到带有密钥片段的加密数据,将密钥片段拼接,利用拼接得到的第一密钥对加密数据进行解密,得到解密数据,将解密数据按标记拼接,得到原始数据。
25.另外还包括有部分确认步骤,感知模块采集所需的电网信息数据时附上验证信息,最终中枢模块解密得到原始数据后,通过明文将该验证信息发回感知模块,感知模块确认后通过明文返回确认结果至中枢模块。验证信息一般为该原始数据对应的哈希值,感知模块收到后验证哈希值是否一致即可确认。额外的确认步骤,可以用于确认信息是否为对应感知模块发出,以免被调包。密钥暂存模块收到经指定公钥加密后的密钥以及密钥编号后,返回确认信息至对应通讯站,该通讯站收到确认信息后删除对应密钥;中枢模块收到经指定公钥加密后的密钥后,返回确认信息至密钥暂存模块,密钥暂存模块收到确认信息后删除对应密钥。删除过程可以减少密钥泄露的可能性,以提高信息安全性。
26.本实施例中,为了提高工作效率和资源利用率,每个通讯站都具备一级通讯站和二级通讯站模式。其中,一级通讯站发出的每个数据包中,包含了拆分并加密后的数据以及对应的密钥片段,因此除一级通讯站之外任何模块因没有对应密钥而暂时无法解密;二级通讯站在此基础上,利用另外的密钥对该数据包进行加密,至此任何模块都无法单独将数据完全解密,另外由于指定私钥仅保存在中枢模块,因此其他模块也无法解密经指定公钥加密后的内容。
27.本实施例中,当中枢模块收到众多加密数据后,根据标记可以分类出同一个源数据的加密数据,随后进行上述解密步骤可以得到原始数据;由于指定私钥仅在中枢模块保存,因此仅有中枢模块可以解密经指定公钥加密后的密钥,同时由于拆分后的数据仅在中枢模块汇总,因此密钥片段也仅可能在中枢模块内拼接,因此不同通讯站之间看似无关的
加密步骤在中枢模块解密时得到联动,大幅提高安全性。
28.因此,本实施例的实质性效果包括:通过拆分加密以及二次加密,利用密钥片段和密钥编码等方式,将每次加密区别化,最后由中枢模块进行多模块多步骤的联动解密,具有关键信息分别产生、分散存储、汇总使用的特点,不易被破解,信息传输安全性高。
29.通过以上实施方式的描述,所属领域的技术人员可以了解到,为描述的方便和简洁,仅以上述各功能模块的划分进行举例说明,实际应用中可以根据需要而将上述功能分配由不同的功能模块完成,即将具体装置的内部结构划分成不同的功能模块,以完成以上描述的全部或者部分功能。
30.在本申请所提供的实施例中,应该理解到,所揭露的结构和方法,可以通过其它的方式实现。例如,模块或单元的划分,仅仅为一种逻辑功能划分,实际实现时可以有另外的划分方式,例如多个单元或组件可以结合或者可以集成到另一个结构,或一些特征可以忽略,或不执行。另一点,所显示或讨论的相互之间的耦合或直接耦合或通信连接可以是通过一些接口,结构或单元的间接耦合或通信连接,可以是电性,机械或其它的形式。
31.作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是一个物理单元或多个物理单元,即可以位于一个地方,或者也可以分布到多个不同地方。可以根据实际的需要选择其中的部分或者全部单元来实现本实施例方案的目的。
32.另外,在本申请实施例中的各功能单元可以集成在一个处理单元中,也可以是各个单元单独物理存在,也可以两个或两个以上单元集成在一个单元中。上述集成的单元既可以采用硬件的形式实现,也可以采用软件功能单元的形式实现。
33.集成的单元如果以软件功能单元的形式实现并作为独立的产品销售或使用时,可以存储在一个可读取存储介质中。基于这样的理解,本申请实施例的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的全部或部分可以以软件产品的形式体现出来,该软件产品存储在一个存储介质中,包括若干指令用以使得一个设备(可以是单片机,芯片等)或处理器(processor)执行本申请各个实施例方法的全部或部分步骤。而前述的存储介质包括:u盘、移动硬盘、只读存储器(read only memory,rom)、随机存取存储器(random access memory,ram)、磁碟或者光盘等各种可以存储程序代码的介质。
34.以上内容,仅为本申请的具体实施方式,但本申请的保护范围并不局限于此,任何熟悉本技术领域的技术人员在本申请揭露的技术范围内,可轻易想到变化或替换,都应涵盖在本申请的保护范围之内。因此,本申请的保护范围应以权利要求的保护范围为准。