双副本电力网络安全审计方法、系统、介质及设备技术方案

本发明专利技术公开了一种双副本电力网络安全审计方法、系统、介质及设备，基于待审计验证的电力系统终端的审计数据生成副本I和副本II；所述副本I为存储在区块链上的带签名的链上审计存证数据，所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据；在进行审计时，从所述区块链上获取所述副本I，从所述链外审计数据库中获取所述副本II；将所述副本I和所述副本II进行比对，得到审计结果。优点：基于区块链的网络安全审计平台中审计数据不能被随意修改和删除，具有存证和取证独立、存证数据可靠、风险识别度高等性能。通过链上审计数据和链外审计数据的双副本机制，实现电力网络安全审计数据的有效存证和取证。络安全审计数据的有效存证和取证。络安全审计数据的有效存证和取证。

【技术实现步骤摘要】
双副本电力网络安全审计方法、系统、介质及设备


[0001]本专利技术涉及一种双副本电力网络安全审计方法、系统、介质及设备，属于电力系统审计


技术介绍

[0002]随着新型电力系统的发展，各类型终端泛在互联，电子数据的形式复杂多样，给电力网络安全审计的有效性带来了挑战。传统的基于区块链的审计系统中，审计数据与链外数据之间的“映射关系”无法体现，当链外环境发生变化时，审计人员将无法及时获知并进行取证。此外，电力网络安全审计系统中处理的数据类型多样，传统区块链系统以交易数据处理为主，难以有效处理复杂的非结构化数据。

技术实现思路

[0003]本专利技术所要解决的技术问题是克服现有技术的缺陷，提供一种双副本电力网络安全审计方法、系统、介质及设备。
[0004]为解决上述技术问题，本专利技术提供一种双副本电力网络安全审计方法，包括：
[0005]基于待审计验证的电力系统终端的审计数据生成副本I和副本II；其中，所述副本I为存储在区块链上的带签名的链上审计存证数据，所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据；
[0006]在进行审计时，从所述区块链上获取所述副本I，从所述链外审计数据库中获取所述副本II；
[0007]将所述副本I和所述副本II进行比对，得到审计结果。
[0008]进一步的，基于待审计验证的电力系统终端的审计数据生成副本I和副本II，包括：
[0009]对所述审计数据进行数字签名处理，得到带签名的审计存证数据，将所述带签名的审计存证数据通过上链预言机存储在区块链上；
[0010]对所述审计数据进行数字签名和索引生成处理，得到带签名和链上索引的原始审计数据，将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。
[0011]进一步的，所述在进行审计时，从所述区块链上获取所述副本I，从所述链外审计数据库中获取所述副本II，包括：
[0012]对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验，检验通过后得到电力系统终端对应的副本I；
[0013]对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签，验证通过后得到电力系统终端对应的的副本II。
[0014]进一步的，所述将所述副本I和所述副本II进行比对，得到审计结果，包括：
[0015]电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对，对比通过后进行证据计算、凭证校验和事件追溯，根据证据计算、凭证校验和事件追溯
的结果得到审计结果。
[0016]进一步的，所述副本I的数据存取原始存证数据的元数据，按照区块的形式组织，所述区块包括区块头、存证树、存证指纹和附加数据；
[0017]所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针；所述块标识，用于唯一指定区块链上的一个区块；所述块高度，用于表示当前区块距离创世块的距离；所述时间戳，用于记录存证上链的时间信息；所述前区块指针指，用于指向前区块的区块头；所述存证根，用于存放当前区块中存证信息的hash值；所述存证指纹指针，用于指向本区块所包含存证项的存证指纹信息；
[0018]所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点，叶子节点为副本II类型存证项的MD5摘要，叶子节点具有唯一的父节点，其值为对应hash值；
[0019]所述存证指纹，用于保存待审计验证的电力系统终端的存证数据一致性验证信息；
[0020]所述附加数据为电力网络安全审计业务指定的自定义信息。
[0021]进一步的，所述数字签名为证据指纹注入及存证上链过程，包括：
[0022]选择素数q∈Z
q
，选取一条有限域GF(q)上的非奇异椭圆曲线；选取随机整数r∈Z
q
作为当前安全周期T内的系统私钥，计算签名公钥K
pub
＝rG；选取公共hash函数H1：{0，1}*
→
G1*,H2:G
T
→
{0,1}
n
；其中，Z
q
为q阶整数群，G为非奇异椭圆曲线上的生成元，G1为加法群，GT为乘法群，H1和H2分别表示hash函数H1和hash函数H2，n为密文长度；
[0023]给定用户标识为User_ID，
[0024]其对应的公钥P
ID
为经过hash函数H1映射生成的G1中的元素，表示为：P
ID
＝H1(User_ID||hash(Data_Set)||Time_Stamp)；Data_Set为存证数据集，Time_Stamp为时间戳，hash()为除H1、H2之外的任意hash函数；
[0025]其对应的私钥S
ID
为：S
ID
＝rP
ID
＝rH1(User_ID||hash(Data_Set)||Time_Stamp)；
[0026]副本I的数据上链前，进行证据指纹的注入，包括：
[0027]获取拟注入指纹的副本II数据的hash摘要Su，表示为：
[0028]Su＝hash(join{Data_ID|ID∈Data_Set})
[0029]join为不同数据标识所对应的审计数据项的联合，采用字符串连接方式，Data_ID为审计数据项标识；
[0030]使用私钥S
ID
将hash摘要Su进行身份基加密，包括：
[0031]择随机数k，计算密文组件C1，表示为：C1＝kP
ID
；
[0032]计算密文组件C2，表示为：其中，其中，为双线性映射；
[0033]上链预言机调用智能合约进行存证指纹和数据上链，上链内容为为副本I，表示为：<C1，C2，审计存证数据>。
[0034]进一步的，所述基于证据指纹进行一致性检验，包括：
[0035]根据密文组件C1，密文组件C2和公钥P
ID
，计算得到拟注入指纹的副本II数据的hash摘要Su；
[0036]根据从副本II获取的对应User_ID和Data_ID数据，计算
[0037]Su'＝hash(join{Data_ID|ID∈Data_Set})；
[0038]判断Su'是否等于Su，若成立，则表明存证数据具有一致性，否则返回存证验证异常，Su'表示副本II数据的hash摘要的验证计算结果。
[0039]一种基于区块链的双副本电力网络安全审计系统，包括：
[0040]生成模块，用于基于待审计验证的电力系统终端的审计数据生成副本I和副本II；其中，所述副本I为存储在区块链上的带签名的链上审计存证数据，所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种双副本电力网络安全审计方法，其特征在于，包括：基于待审计验证的电力系统终端的审计数据生成副本I和副本II；其中，所述副本I为存储在区块链上的带签名的链上审计存证数据，所述副本II为存储在链外审计数据库的带签名和链上索引的原始审计数据；在进行审计时，从所述区块链上获取所述副本I，从所述链外审计数据库中获取所述副本II；将所述副本I和所述副本II进行比对，得到审计结果。2.根据权利要求1所述的双副本电力网络安全审计方法，其特征在于，基于待审计验证的电力系统终端的审计数据生成副本I和副本II，包括：对所述审计数据进行数字签名处理，得到带签名的审计存证数据，将所述带签名的审计存证数据通过上链预言机存储在区块链上；对所述审计数据进行数字签名和索引生成处理，得到带签名和链上索引的原始审计数据，将所述带签名和链上索引的原始审计数据存入所述链外审计数据库。3.根据权利要求2所述的双副本电力网络安全审计方法，其特征在于，所述在进行审计时，从所述区块链上获取所述副本I，从所述链外审计数据库中获取所述副本II，包括：对从区块链中获取的电力系统终端对应的带签名的链上审计存证数据基于证据指纹进行一致性检验，检验通过后得到电力系统终端对应的副本I；对从链外审计数据库获取的电力系统终端对应的带签名和链上索引的原始审计数据在使用前需进行签名验签，验证通过后得到电力系统终端对应的的副本II。4.根据权利要求3所述的双副本电力网络安全审计方法，其特征在于，所述将所述副本I和所述副本II进行比对，得到审计结果，包括：电力系统终端对应的副本I和电力系统终端对应的的副本II通过索引进行关联比对，对比通过后进行证据计算、凭证校验和事件追溯，根据证据计算、凭证校验和事件追溯的结果得到审计结果。5.根据权利要求2所述的双副本电力网络安全审计方法，其特征在于，所述副本I的数据存取原始存证数据的元数据，按照区块的形式组织，所述区块包括区块头、存证树、存证指纹和附加数据；所述区块头包括块标识、块高度、时间戳、前区块指针指、存证根和存证指纹指针；所述块标识，用于唯一指定区块链上的一个区块；所述块高度，用于表示当前区块距离创世块的距离；所述时间戳，用于记录存证上链的时间信息；所述前区块指针指，用于指向前区块的区块头；所述存证根，用于存放当前区块中存证信息的hash值；所述存证指纹指针，用于指向本区块所包含存证项的存证指纹信息；所述存证树包括从区块头获取的存证根、树形结构的Hash节点和叶子节点，叶子节点为副本II类型存证项的MD5摘要，叶子节点具有唯一的父节点，其值为对应hash值；所述存证指纹，用于保存待审计验证的电力系统终端的存证数据一致性验证信息；所述附加数据为电力网络安全审计业务指定的自定义信息。6.根据权利要求5所述的双副本电力网络安全审计方法，其特征在于，所述数字签名为证据指纹注入及存证上链过程，包括：选择素数q∈Z
q
，选取一条有限域GF(q)上的非奇异椭圆曲线；选取随机整数r∈Z
q
作为
当前安全周期T内的系统私钥，计算签名公钥K
pub
＝rG；选取公共hash函数H1：{0，1}*
→
G1*,H2:G
T
→
{0,1}
n
；其中，Z
q
为q阶整数群，G为非奇异椭圆曲线上的生成元，G1为加法群，GT为乘法群，H1和H2分别表示hash函数H1和hash函数H2，n为密文长度；给定用户标识为User_ID，其对应的公钥P
ID
为经过hash函数H1映射生成的G1中的元素，表示为：P
ID
＝H1(User_ID||hash(Data_Set)||Time_Stamp)；Data_Set为存证数据集，Time_Stamp为时间戳，hash()为除H1、H2之外的任意hash函数；其对应的私钥S
ID
为：S
ID
＝rP
ID
＝rH1(User_ID||hash(Data_Set)||Time_Stamp)；副本I的数据上链前，进行证据指纹的注入，包括：获取拟注入指纹的副本II数据的hash摘要Su，表示为：Su＝hash(join{Data_ID|ID∈Data_Set})join为不同数据标识所对应的审计数据项的联合，采用字符串连接方式，Data_ID为审计数据项标识；使用私钥S
ID
将hash摘要Su进行身份基加密，包括：择随机数k，计算密文组件C1，表示为：C1＝kP
ID
；计算密文组件C2，表示为：其中，其中，为双线性映射；上链预言机调用智能合约进行存证指纹和数据上链，上链内容为为副本I，表示为：<C1，C2，审计存证数据>。7.根据权利要求6所述的双副本电力网络安全审计方法，其特征在于，所述基于证据指纹进行一致性检验，包括：根据密文组件C1，密文组件C2和公钥P
ID
，计算得到拟注入指纹的副本II数据的hash摘要Su；根据从副本II获取的对应User_ID和Data_ID数据，计算Su'＝hash(join{Data_ID|ID∈Data_Set})；判断Su'是否等于Su，若成立，则表明存证数据具有一致性，否则返回存证验证异常，Su'表示副本II数据的hash摘要的验证计算结果。8.一种双副本电力网络安全审计系统，其特征在于，包括：生成模块，用于基于待审计验证的电力系统终端的审计数据生成副本I和副本II；其中，所述副本I为存储在区块链上的带签名的链上审计存...

【专利技术属性】
技术研发人员：黄伟，王黎明，姜海涛，王梓莹，韦磊，赵新冬，郭雅娟，朱道华，顾智敏，郭静，孙云晓，
申请(专利权)人：国网江苏省电力有限公司江苏省电力试验研究院有限公司，
类型：发明
国别省市：