电力通信大数据保护方法、电子设备及存储介质

技术领域

本发明涉及通信传输技术领域，尤其是一种电力通信大数据保护方法、电子设备及存储介质。

背景技术

光传送网技术具有高带宽和波分复用等特点，可以提供更大的通信容量，满足电力系统通信的需求。然而在光传送网中，物理层是网络中最薄弱的一层，因为任何人都可以从网络的任何未经授权的位置访问光缆，并利用任何类型的漏洞开始攻击。

相关技术中仅在应用层使用标准加密算法对光传送网的网络数据进行保护，但由于应用层支持不同业务，不同业务对加密算法的需求不一样，因此不同业务引伸出了不同类型的加密算法，攻击者易根据业务类型推断所采用的加密算法，使得对光传送网的网络数据的破解概率较高；除此之外，目前光传送网的物理层通常是未经过再次的数据加密的，而电力系统的光传送网的网络数据的传输距离较长，攻击者可以通过对线缆进行切割，以将窃听设备接入物理层中并通过窃听将光信号分离，之后攻击者将保留一分光信号的实时副本，通过在该实时副本上的反映射过程中尝试不同类型的逆向工程，并根据光传送网帧的标准结构，攻击者可以到达客户端信号的原始层，从而对重要信息进行篡改或破坏，导致通信网络的安全性较低。

发明内容

为解决上述现有技术问题，本发明提供一种电力通信大数据保护方法、电子设备及存储介质，对光传送网物理层进行数据保护，使得攻击者无法通过逆向工程获取光传送网物理层的数据信息，进而提高了电力通信网络的安全性。

第一方面，本发明实施例提供了一种电力通信大数据保护方法，所述电力通信大数据保护方法具有：

获取光传送网帧；

对所述光传送网帧生成专属加密密钥，所述加密密钥是基于伪随机生成器，通过异或门操作和线性反馈移位寄存器生成的，且在生成所述加密密钥后需要对随机多项式和所述加密密钥进行检验，判断所述随机多项式和所述加密密钥是否可用；

对所述光传送网帧中的明文进行分割；

根据所述加密密钥对分割后的所述明文进行加密，在所述加密过程中存在多个加密周期，在与所述光传送网帧对应的加密周期完成时，所述光传送网帧的所述明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥；

根据所述加密密钥对经过加密得到的明文数据进行解密。

根据本发明第一方面的一些实施例，所述获取光传送网帧，具有：

获取源站信号；

根据所述源站信号的比特率，将所述源站信号映射至初始光传送网帧中，得到所述光传送网帧。

根据本发明第一方面的一些实施例，在所述伪随机生成器为同步伪随机生成器的情况下，所述对所述光传送网帧生成专属加密密钥，具有：

通过同一时钟对源站信号和目标站信号进行同步，生成与所述源站信号、所述目标站信号的光传送网帧对应的加密密钥，其中，所述源站信号和所述目标站信号的光传送网帧对应的加密密钥相同。

根据本发明第一方面的一些实施例，在所述伪随机生成器为非同步伪随机生成器的情况下，所述对所述光传送网帧生成专属加密密钥，具有：

将源站信号和目标站信号安排在每一站点中分别工作，生成与所述源站信号和所述目标站信号的光传送网帧分别对应的加密密钥。

根据本发明第一方面的一些实施例，所述在生成所述加密密钥后需要对随机多项式和所述加密密钥进行检验，判断所述随机多项式和所述加密密钥是否可用，具有：

根据真多项式和所述随机多项式，确定第一概率熵，所述真多项式是具有非零系数的所述随机多项式；

根据关键字和所述加密密钥，确定第二概率熵；

根据所述第一概率熵和所述第二概率熵，确定联合概率熵；

根据所述联合概率熵，确定所述随机多项式和所述加密密钥是否可用。

根据本发明第一方面的一些实施例，在所述根据真多项式和所述随机多项式，确定第一概率熵，所述真多项式是具有非零系数的所述随机多项式之前，具有；

根据所述加密密钥的目标长度，确定随机多项式的次数；

对所述随机多项式的次数进行欧拉函数运算，确定所述随机多项式。

根据本发明第一方面的一些实施例，所述根据所述加密密钥对分割后的所述明文进行加密，具有：

对所述明文和所述加密密钥进行第一异或运算，得到经过加密的明文数据。

根据本发明第一方面的一些实施例，所述根据所述加密密钥对经过加密得到的明文数据进行解密，具有：

对所述明文数据和所述加密密钥进行第二异或运算，得到解密后的所述明文。

第二方面，本发明实施例提供了一种电子设备，包括：存储器、处理器及存储在所述存储器上并可在所述处理器上运行的计算机程序，所述处理器执行所述计算机程序时实现：如上述第一方面所述的电力通信大数据保护方法。

第三方面，本发明实施例还提供了一种计算机可读存储介质，存储有计算机可执行指令，所述计算机可执行指令用于执行如上述第一方面所述的电力通信大数据保护方法。

本发明的有益效果体现在，获取光传送网帧，对光传送网帧生成专属加密密钥，加密密钥是基于伪随机生成器，通过异或门操作和线性反馈移位寄存器生成的，且在生成加密密钥后需要对随机多项式和加密密钥进行检验，判断随机多项式和加密密钥是否可用，对光传送网帧中的明文进行分割，根据加密密钥对分割后的明文进行加密，在加密过程中存在多个加密周期，在与光传送网帧对应的加密周期完成时，光传送网帧的明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥，根据加密密钥对经过加密得到的明文数据进行解密。本申请通过这种方法，对光传送网物理层的数据进行加密，实现对光传送网物理层的数据保护，使得攻击者即使通过切割线缆的方式获取到光传送网物理层中传输的光传送网帧，也无法通过逆向工程获取光传送网物理层的数据信息，提高了电力通信网络的安全性。

附图说明

图1为本发明第一方面实施例所提供的一种电力通信大数据保护方法的流程示意图；

图2是本发明第一方面实施例所提供的另一种电力通信大数据保护方法的流程示意图；

图3是本发明第一方面实施例所提供的另一种电力通信大数据保护方法的流程示意图；

图4是本发明第一方面实施例所提供的随机多项式控制加密密钥生成的流程示意图；

图5是本发明第二方面实施例提供的电子设备的一种结构示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

下面结合附图，通过具体的实施例及其应用场景对本发明实施例提供的一种电力通信大数据保护方法、电子设备及存储介质进行详细地说明。

实施例1：

参照图1，图1示出本发明第一方面实施例提供的一种电力通信大数据保护方法，该方法应用于电子设备，由电子设备执行。换言之，该方法可以由安装在电子设备的软件或硬件来执行，该方法包括如下步骤：

步骤S110，获取光传送网帧。

在本步骤中，光传送网帧是光传送网物理层中传输的光信号数据的基本单元。

需要说明的是，OTN全称为Optical Transport Network，译为光传输网络或光传送网，光传送网主要包括物理层、数字复用层和网络层，其中物理层是光传送网的底层，负责传输光信号，它使用光纤作为传输介质，将光信号转化为数字信号并进行调制、编解码，保证信号的稳定传输。物理层传输的光信号的基本单元为光传送网帧，光传送网帧由光数据单元构成。

步骤S120，对光传送网帧生成专属加密密钥。

加密密钥是基于伪随机生成器，通过异或门操作和线性反馈移位寄存器生成的，且在生成加密密钥后需要对随机多项式和加密密钥进行检验，判断随机多项式和加密密钥是否可用。

需要说明的是，线性反馈移位寄存器(LFSR，linear feedback shift register)是指反馈函数是线性函数的反馈移位寄存器，给定前一状态的输出，将该输出的线性函数再用作输入的移位寄存器。异或操作是最常见的单比特线性函数：对寄存器的某些位进行异或操作后作为输入，再对寄存器中的各比特进行整体移位。通过异或门操作和线性反馈移位寄存器生成伪随机序列，加密密钥来自基于异或门操作和线性反馈移位寄存器生成的伪随机序列。

步骤S130，对光传送网帧中的明文进行分割。

由于光传送网系统的高速，使得明文的长度变得非常长，用相同的加密密钥对该段长度的明文进行加密将非常困难，本申请通过将每一帧的明文m按照光数据单元的长度进行分割处理，分割处理过后的明文长度为L

步骤S140，根据加密密钥对分割后的明文进行加密。

在加密过程中存在多个加密周期，在与光传送网帧对应的加密周期完成时，光传送网帧的明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥。

在本步骤中，通过对光传送网物理层中的多个光传送网依次生成对应的专属加密密钥，多个加密周期与多个光传送网帧一一对应，当前光传送网帧的明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥，再次进行加密，直至每一光传送网帧均加密完成。

步骤S150，根据加密密钥对经过加密得到的明文数据进行解密。

需要说明的是，在光传送网物理层中，构建数据安全层并将光传送网帧置于数据安全层，光传送网帧物理层中的数据安全层的工作流程分为加密和解密两个过程，加密和解密过程均需要加密密钥，而加密密钥的生成有两种类型的伪随机生成器可以选择，其中，伪随机生成器的控制由双同步随机数生成器所生成的随机多项式控制，两种类型的伪随机生成器都使用相同的线性反馈移位寄存器，并通过异或运算执行加密和解密过程。

随着电力系统的规模和复杂度的增加，对通信带宽和容量的需求也在不断增长。电力通信网需要承载大量的监测数据、实时图像、视频流等信息，并且这些信息需要在广域范围内进行传输。传统的通信技术已经无法满足这种大容量传输的需求，而光传送网技术具有高带宽和波分复用等特点，可以提供更大的通信容量，满足电力系统通信的需求。然而在光传送网中的物理层是网络中最薄弱的一层，因为任何人都可以从网络的任何未经授权的位置访问光缆，并利用任何类型的漏洞开始攻击。攻击者从光纤电缆进入物理层，通过窃听将光信号分离，然后攻击者将保留一份光信号的实时副本，并通过在该实时副本上的反映射过程中尝试不同类型的逆向工程，并根据光传送网帧的标准结构，攻击者可以到达客户端信号的原始层，从而对重要信息进行篡改或破坏。因此，需要采用适当手段对光传送网物理层进行保护，以提高通信网安全性。

另外，相关技术中仅在应用层使用标准加密算法对光传送网的网络数据进行保护，但由于应用层支持不同业务，不同业务对加密算法的需求不一样，因此不同业务引伸出了不同类型的加密算法，攻击者易根据业务类型推断所采用的加密算法，使得对光传送网的网络数据的破解概率较高；除此之外，目前光传送网的物理层通常是未经过再次的数据加密的，而电力系统的光传送网的网络数据的传输距离较长，攻击者可以通过对线缆进行切割，以将窃听设备接入物理层中并对物理层所传输的数据进行截获，由于物理层数据并未加密，攻击者能够通过逆向工程对光传送网的网络数据进行破解，导致通信网络的安全性较低。

由此，本发明实施例提供的电力通信大数据保护方法，通过获取光传送网帧，对光传送网帧生成专属加密密钥，加密密钥是基于伪随机生成器，通过异或门操作和线性反馈移位寄存器生成的，且在生成加密密钥后需要对随机多项式和加密密钥进行检验，判断随机多项式和加密密钥是否可用，对光传送网帧中的明文进行分割，根据加密密钥对分割后的明文进行加密，在加密过程中存在多个加密周期，在与光传送网帧对应的加密周期完成时，光传送网帧的明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥，根据加密密钥对经过加密得到的明文数据进行解密。本申请通过这种方法，对光传送网物理层的数据进行加密，实现对光传送网物理层的数据保护，使得攻击者即使通过切割线缆的方式获取到光传送网物理层中传输的光传送网帧，也无法通过逆向工程获取光传送网物理层的数据信息，避免了对光传送网物理层中的重要信息进行篡改或破坏，进而提高了电力通信网络的安全性。

实施例2：

参照图2，图2示出本发明第一方面实施例提供的另一种电力通信大数据保护方法，该方法应用于电子设备，由电子设备执行。换言之，该方法可以由安装在电子设备的软件或硬件来执行，该方法包括如下步骤：

步骤S210，根据加密密钥的目标长度，确定随机多项式的次数。

步骤S220，对随机多项式的次数进行欧拉函数运算，确定随机多项式。

在步骤S210至步骤S220中，在加密密钥的生成过程中，双同步随机数生成器生成次数为n的随机多项式，生成过程具体为：

步骤S230，根据真多项式和随机多项式，确定第一概率熵；

在本步骤中，真多项式是具有非零系数的随机多项式。为了保证加密的安全，双同步随机数生成器生成的随机多项式需要通过真多项式去判断其不确定性。在密码学中，真多项式是一个具有非零系数的多项式，其中每个系数都是随机选择的，并且没有特定的模式或关系。随机多项式P

步骤S240，根据关键字和加密密钥，确定第二概率熵。

在本步骤中，伪随机生成器所生成的加密密钥k需计算第二概率熵，第二概率熵的计算公式如下：

步骤S250，根据第一概率熵和第二概率熵，确定联合概率熵。

在本步骤中，联合概率熵的计算公式如下：H＝H

步骤S260，根据联合概率熵，确定随机多项式和加密密钥是否可用。

在本步骤中，在联合概率熵H高于阈值的情况下，随机多项式P

目前光传送网的物理层通常是未经过再次的数据加密的，而电力系统的光传送网的网络数据的传输距离较长，攻击者可以通过对线缆进行切割，以将窃听设备接入物理层中并对物理层所传输的数据进行截获，由于物理层数据并未加密，攻击者能够通过逆向工程对光传送网的网络数据进行破解，导致通信网络的安全性较低。对双同步随机数生成器生成的多项式、伪随机生成器所生成的加密密钥未判断其可用性，导致加密的安全性无法得到保障。

本发明实施例提供的电力通信大数据保护方法，通过根据加密密钥的目标长度，确定随机多项式的次数，对随机多项式的次数进行欧拉函数运算，确定随机多项式；根据真多项式和随机多项式，确定第一概率熵，根据关键字和加密密钥，确定第二概率熵，根据第一概率熵和第二概率熵，确定联合概率熵，根据联合概率熵，确定随机多项式和加密密钥是否可用。通过这种方法，同时通过计算第一概率熵、第二概率熵及联合概率熵，确定了随机多项式和加密密钥的可用性，保证了加密的安全性；将经过可用性验证的加密密钥应用于光传送网物理层数据保护，对光传送网物理层的数据进行加密，实现对光传送网物理层的数据保护，使得攻击者即使通过切割线缆的方式获取到光传送网物理层中传输的光传送网帧，也无法通过逆向工程获取光传送网物理层的数据信息，提高了电力通信网络的安全性。

实施例3：

参照图3，图3示出本发明第一方面实施例提供的另一种电力通信大数据保护方法，该方法应用于电子设备，由电子设备执行。换言之，该方法可以由安装在电子设备的软件或硬件来执行，该方法包括如下步骤：

步骤S310，获取源站信号。

步骤S320，根据源站信号的比特率，将源站信号映射至初始光传送网帧中，得到光传送网帧。

在步骤S310至步骤S320中，当源站信号根据其比特率映射到光传送网帧中，通过数据安全层对数据进行加密，这里的加密是指的二次加密，如相关技术中的源站信号在发出时已经根据业务类型进行了一次加密了，二次加密后返回以填充光传送网帧，之后将其与其他波长进行光复用，并通过光纤电缆进行放大级以到达目标站。

步骤S331，通过同一时钟对源站信号和目标站信号进行同步，生成与源站信号、目标站信号的光传送网帧对应的加密密钥。

源站信号和目标站信号的光传送网帧对应的加密密钥相同。

步骤S332，将源站信号和目标站信号安排在每一站点中分别工作，生成与源站信号和目标站信号的光传送网帧分别对应的加密密钥。

在步骤S331至步骤S332中，数据安全层的工作流程分为加密和解密两个过程，加密和解密过程均需要加密密钥，而加密密钥的生成有两种类型的伪随机生成器可以选择，其中，伪随机生成器的控制由双同步随机数生成器所生成的随机多项式控制，两种类型的伪随机生成器都使用相同的线性反馈移位寄存器，并通过异或运算执行加密和解密过程。

第一种是同步伪随机生成器，而第二种是非同步伪随机生成器，它们之间的唯一区别是，在第一种类型的同步伪随机生成器中，源站和目标站使用相同的时钟同步，并且由于使用相同的时钟进行同步，因此在两个站点中生成相同的加密密钥；在第二种类型的非同步伪随机生成器中，源站和目标站在每个站点中分别工作，并生成不同的加密密钥。

步骤S340，对光传送网帧中的明文进行分割。

根据加密密钥对分割后的明文进行加密，在加密过程中存在多个加密周期，在与光传送网帧对应的加密周期完成时，光传送网帧的明文加密完成，当前加密密钥设置为不可用，下一个光传送网帧到来，生成与下一光传送网帧对应的新的加密密钥。

本步骤可以采用图1实施例步骤S130的描述，在此不再赘述。

步骤S350，对明文和加密密钥进行第一异或运算，得到经过加密的明文数据。

步骤S360，对明文数据和加密密钥进行第二异或运算，得到解密后的明文。

具体地，数据安全层中的加密过程的计算公式如下：y

相关技术中仅在应用层使用标准加密算法对光传送网的网络数据进行保护，但由于应用层支持不同业务，不同业务对加密算法的需求不一样，因此不同业务引伸出了不同类型的加密算法，攻击者易根据业务类型推断所采用的加密算法，使得对光传送网的网络数据的破解概率较高；除此之外，目前光传送网的物理层通常是未经过再次的数据加密的，而电力系统的光传送网的网络数据的传输距离较长，攻击者可以通过对线缆进行切割，以将窃听设备接入物理层中并对物理层所传输的数据进行截获，由于物理层数据并未加密，攻击者能够通过逆向工程对光传送网的网络数据进行破解，导致通信网络的安全性较低。

本发明实施例提供的电力通信大数据保护方法，通过获取源站信号，根据源站信号的比特率，将源站信号映射至初始光传送网帧中，得到光传送网帧，通过同一时钟对源站信号和目标站信号进行同步，生成与源站信号、目标站信号的光传送网帧对应的加密密钥，或者，将源站信号和目标站信号安排在每一站点中分别工作，生成与源站信号和目标站信号的光传送网帧分别对应的加密密钥，对光传送网帧中的明文进行分割，对明文和加密密钥进行第一异或运算，得到经过加密的明文数据，对明文数据和加密密钥进行第二异或运算，得到解密后的明文。本申请通过这种方法，通过数据安全层对光传送网物理层的数据进行加密或解密操作，实现对光传送网物理层的数据保护，使得攻击者即使通过切割线缆的方式获取到光传送网物理层中传输的光传送网帧，也无法通过逆向工程获取光传送网物理层的数据信息，提高了电力通信网络的安全性。

可选地，如图5所示，本发明第二方面实施例另提供一种电子设备700，包括处理器710和存储器720，存储器720上存储有可在处理器710上运行的程序或指令，该程序或指令被处理器710执行时实现上述第一方面电力通信大数据保护方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

需要说明的是，本发明实施例中的电子设备包括：服务器、终端或除终端之外的其他设备。

以上电子设备结构并不构成对电子设备的限定，电子设备可以包括比图示更多或更少的部件，或者组合某些部件，或者不同的部件布置，例如，输入单元，可以包括图形处理器(Graphics Processing Unit，GPU)和麦克风，显示单元可以采用液晶显示器、有机发光二极管等形式来配置显示面板。用户输入单元包括触控面板以及其他输入设备中的至少一种。触控面板也称为触摸屏。其他输入设备可以包括但不限于物理键盘、功能键(比如音量控制按键、开关按键等)、轨迹球、鼠标、操作杆，在此不再赘述。

存储器可用于存储软件程序以及各种数据。存储器可主要包括存储程序或指令的第一存储区和存储数据的第二存储区，其中，第一存储区可存储操作系统、至少一个功能所需的应用程序或指令(比如声音播放功能、图像播放功能等)等。此外，存储器可以包括易失性存储器或非易失性存储器，或者，存储器可以包括易失性和非易失性存储器两者。其中，非易失性存储器可以是只读存储器(Read-Only Memory，ROM)、可编程只读存储器(Programmable ROM，PROM)、可擦除可编程只读存储器(Erasable PROM，EPROM)、电可擦除可编程只读存储器(Electrically EPROM，EEPROM)或闪存。易失性存储器可以是随机存取存储器(Random Access Memory，RAM)，静态随机存取存储器(Static RAM，SRAM)、动态随机存取存储器(Dynamic RAM，DRAM)、同步动态随机存取存储器(Synchronous DRAM，SDRAM)、双倍数据速率同步动态随机存取存储器(Double Data Rate SDRAM，DDRSDRAM)、增强型同步动态随机存取存储器(Enhanced SDRAM，ESDRAM)、同步连接动态随机存取存储器(Synchlink DRAM，SLDRAM)和直接内存总线随机存取存储器(Direct Rambus RAM，DRRAM)。

处理器可包括一个或多个处理单元；可选的，处理器集成应用处理器和调制解调处理器，其中，应用处理器主要处理涉及操作系统、用户界面和应用程序等的操作，调制解调处理器主要处理无线通信信号，如基带处理器。可以理解的是，上述调制解调处理器也可以不集成到处理器中。

本发明实施例还提供一种可读存储介质，可读存储介质上存储有程序或指令，该程序或指令被处理器执行时实现上述第一方面电力通信大数据保护方法实施例的各个过程，且能达到相同的技术效果，为避免重复，这里不再赘述。

其中，处理器为上述实施例中的电子设备中的处理器。可读存储介质，包括计算机可读存储介质，如ROM、RAM、磁碟或者光盘等。

需要说明的是，在本文中，术语“包括”、“包含”或者其任何其他变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者装置不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者装置所固有的要素。在没有更多限制的情况下，由语句“包括一个……”限定的要素，并不排除在包括该要素的过程、方法、物品或者装置中还存在另外的相同要素。此外，需要指出的是，本发明实施方式中的方法和装置的范围不限按示出或讨论的顺序来执行功能，还可包括根据所涉及的功能按基本同时的方式或按相反的顺序来执行功能，例如，可以按不同于所描述的次序来执行所描述的方法，并且还可以添加、区域去、或组合各种步骤。另外，参照某些示例所描述的特征可在其他示例中被组合。

通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到上述实施例方法可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件，但很多情况下前者是更佳的实施方式。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以计算机软件产品的形式体现出来，该计算机软件产品存储在一个存储介质(如ROM/RAM、磁碟、光盘)中，包括若干指令用以使得一台终端(可以是手机，计算机，服务器，或者网络设备等)执行本发明各个实施例中的方法。

在本发明的实施例的描述中，术语“第一”、“第二”、“第三”、“第四”仅用以描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”、“第三”、“第四”的特征可以明示或者隐含地包括一个或者更多个该特征。在本发明的描述中，除非另有说明，“多个”的含义是两个或两个以上。

在本发明的实施例的描述中，具体特征、结构、材料或者特点可以在任何的一个或多个实施例或示例中以合适的方式结合。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。