本发明公开了一种通信数据加密方法及装置、电子设备、存储介质,包括:S1:获取原始通信数据;S2:结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;S3:根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;S4:建立加密数据表,包括待加密数据的哈希值、加密结果和动态调整系数,待加密数据包括所述敏感数据和重要数据;S5:如果在加密数据表中能够查到待加密数据的信息,则直接查表输出加密结果;S6:如果在加密数据表中不能查到待加密数据的信息,则对待加密数据进行加密;在S5和S6执行的过程中,在预定数据窗口下,根据待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出加密数据表中的条目。
S2:结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
S3:对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
S4:建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
S5:如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
S6:如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
其中,在S5和S6执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目;
其中对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据,包括:获取当前系统的资源状态,所述系统资源状态Ls=MAX[(1‑A1),(1‑A2)],其中A1为CPU占用率,A2为内存占用率;
获取当前系统的风险等级Lf=B1*Qb1+B2*Qb2,其中B1为系统被攻击的次数,Qb1为B1的权重,B2为系统宕机的次数,Qb2为B2的权重;
根据当前系统的资源状态及风险等级,计算出随机策略值Q,Q=Ls*Lf,Q在0到Qmax之间,通过比较O和Q的值,O为随机数发生器的返回值,O在0到Omax之间,当O小于Q时,从所述非敏感数据中筛选出重要数据;
所述动态调整系数C=N*Qn+L*Ql,N和Qn分别为待加密数据的哈希值存在于所述加密数据表中的次数及对应的权重,L和Ql分别为每条数据的长度及对应的权重。
2.根据权利要求1所述的方法,其特征在于,若当计算出的风险等级Lf大于Lfmax时,则Lf按照Lfmax取值,Lfmax为最大风险等级。
3.根据权利要求1所述的方法,其特征在于,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目,包括:设定数据窗口,将所述加密数据表分为2个相同行数的表1和表2,所述表1为持续调整的表sheet1,表2为每次暂存当前数据窗口内,待加密数据的表sheet2,所述表2在每个数据窗口结束后进行清空;
将所述表1中查找不到的待加密数据,暂存在所述表2中;
在所述数据窗口内,统计待加密数据的哈希值存在于所述加密数据表中的次数N及对应的权重Qn,统计每条数据的长度L及对应权重Ql,则动态调整系数C=N*Qn+L*Ql;
每一个数据窗口结束后,更新加密数据表中的已存在的每一行数据的动态调整系数的值,对每一行数据按照所述动态调整系数重新排序,以调整表1和表2中的数据条目。
划分模块,用于结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
筛选模块,用于对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
建立模块,用于建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
第一判断模块,用于如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
第二判断模块,用于如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
其中,在第一判断模块和第二判断模块执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目;
其中对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据,包括:获取当前系统的资源状态,所述系统资源状态Ls=MAX[(1‑A1),(1‑A2)],其中A1为CPU占用率,A2为内存占用率;
获取当前系统的风险等级Lf=B1*Qb1+B2*Qb2,其中B1为系统被攻击的次数,Qb1为B1的权重,B2为系统宕机的次数,Qb2为B2的权重;
根据当前系统的资源状态及风险等级,计算出随机策略值Q,Q=Ls*Lf,Q在0到Qmax之间,通过比较O和Q的值,O为随机数发生器的返回值,O在0到Omax之间,当O小于Q时,从所述非敏感数据中筛选出重要数据;
所述动态调整系数C=N*Qn+L*Ql,N和Qn分别为待加密数据的哈希值存在于所述加密数据表中的次数及对应的权重,L和Ql分别为每条数据的长度及对应的权重。
5.根据权利要求4所述的装置,其特征在于,若当计算出的风险等级Lf大于Lfmax时,则Lf按照Lfmax取值,Lfmax为最大风险等级。
6.根据权利要求4所述的装置,其特征在于,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目,包括:设定数据窗口,将所述加密数据表分为2个相同行数的表1和表2,所述表1为持续调整的表sheet1,表2为每次暂存当前数据窗口内,待加密数据的表sheet2,所述表2在每个数据窗口结束后进行清空;
将所述表1中查找不到的待加密数据,暂存在所述表2中;
在所述数据窗口内,统计待加密数据的哈希值存在于所述加密数据表中的次数N及对应的权重Qn,统计每条数据的长度L及对应权重Ql,则动态调整系数C=N*Qn+L*Ql;
每一个数据窗口结束后,更新加密数据表中的已存在的每一行数据的动态调整系数的值,对每一行数据按照所述动态调整系数重新排序,以调整表1和表2中的数据条目。
当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如权利要求1‑3任一项所述的方法。
8.一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如权利要求1‑3中任一项所述方法的步骤。
一种通信数据加密方法及装置、电子设备、存储介质
技术领域
[0001] 本申请涉及数据加密技术领域,尤其涉及一种通信数据加密方法及装置、电子设备、存储介质。
背景技术
[0002] 工业网络安全事件频发,新型恶意软件和恶意工具攻击能力增强,工控网络系统的安全防护态势发生转变,特别是新技术、新应用、新业务形态的大量出现,尤其是人工智能、大数据、物联网、云计算、全数字化仪控系统等的快速发展,安全趋势和形势的急速变化,传统工控安全系统和静态防护机制等难以应对,而工业控制系统作为关键基础设施的重要组成部分。
[0003] 在实现本发明的过程中,发明人发现现有技术中至少存在如下问题:
[0004] 1、新型算法目前尚不成熟,且未获得国家批准,从合规性角度不适合产品应用。
[0005] 2、嵌入式系统,资源低且实时性要求高,现有的国密算法会占用较高的系统资源,不适合嵌入式场景。
发明内容
[0006] 本申请实施例的目的是提供一种通信数据加密方法及装置、电子设备、存储介质,以适合工控系统计算资源受限的场景,满足保证通信数据完整性和机密性的需求。
[0007] 根据本申请实施例的第一方面,提供一种通信数据加密方法,其特征在于,包括:
[0008] S1:获取原始通信数据;
[0009] S2:结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
[0010] S3:对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
[0011] S4:建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
[0012] S5:如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
[0013] S6:如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
[0014] 其中,在S5和S6执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目。
[0015] 进一步地,对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据,包括:
[0016] 获取当前系统的资源状态,所述系统资源状态Ls=MAX[(1‑A1),(1‑A2)],其中A1为CPU占用率,A2为内存占用率;
[0017] 获取当前系统的风险等级Lf=B1*Qb1+B2*Qb2,其中B1为系统被攻击的次数,Qb1为B1的权重,B2为系统宕机的次数,Qb2为B2的权重;
[0018] 根据当前系统的资源状态及风险等级,计算出随机策略值Q,Q=Ls*Lf,Q在0到Qmax之间,通过比较O和Q的值,O为随机数发生器的返回值,O在0到Omax之间,当O小于Q时,从所述非敏感数据中筛选出重要数据。
[0019] 进一步地,若当计算出的风险等级Lf大于Lfmax时,则Lf按照Lfmax取值,Lfmax为最大风险等级。
[0020] 进一步地,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目,包括:
[0021] 设定数据窗口,将所述加密数据表分为2个相同行数的表1和表2,所述表1为持续调整的表sheet1,表2为每次暂存当前数据窗口内,待加密数据的表sheet2,所述表2在每个数据窗口结束后进行清空;
[0022] 将所述表1中查找不到的待加密数据,暂存在所述表2中;
[0023] 在所述数据窗口内,统计待加密数据的哈希值存在于所述加密数据表中的次数N及对应的权重Qn,统计每条数据的长度L及对应权重Ql,则动态调整系数C=N*Qn+L*Ql;
[0024] 每一个数据窗口结束后,更新加密数据表中的已存在的每一行数据的动态调整系数的值,对每一行数据按照所述动态调整系数重新排序,以调整表1和表2中的数据条目。
[0025] 根据本申请实施例的第二方面,提供一种通信数据加密装置,包括:
[0026] 获取模块,用于获取原始通信数据;
[0027] 划分模块,用于结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
[0028] 筛选模块,用于对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
[0029] 建立模块,用于建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
[0030] 第一判断模块,用于如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
[0031] 第二判断模块,用于如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
[0032] 其中,在第一判断模块和第二判断模块执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目。
[0033] 根据本申请实施例的第三方面,提供一种电子设备,包括:
[0034] 一个或多个处理器;
[0035] 存储器,用于存储一个或多个程序;
[0036] 当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如第一方面所述的方法。
[0037] 根据本申请实施例的第四方面,提供一种计算机可读存储介质,其上存储有计算机指令,该指令被处理器执行时实现如第一方面所述方法的步骤。
[0038] 本申请的实施例提供的技术方案可以包括以下有益效果:
[0039] 由以上技术方案可知,通过筛选非敏感数据中的重要数据,选择性的对数据进行加密,可节省加密算法所带来的资源消耗。通过加密数据表,可将重复出现的待加密数据查表给出加密结果,节省加密算法导致的资源消耗。从而提高系统实时性。
[0040] 应当理解的是,以上的一般描述和后文的细节描述仅是示例性和解释性的,并不能限制本申请。
附图说明
[0041] 此处的附图被并入说明书中并构成本说明书的一部分,示出了符合本申请的实施例,并与说明书一起用于解释本申请的原理。
[0042] 图1是根据一示例性实施例示出的一种通信数据加密方法的流程图。
[0043] 图2是根据一示例性实施例示出的S3的流程图。
[0044] 图3是根据一示例性实施例示出的动态换入换出所述加密数据表中的条目的流程图。
[0045] 图4是根据一示例性实施例示出的一种通信数据加密装置的框图。
[0046] 图5是根据一示例性实施例示出的一种电子设备的框图。
具体实施方式
[0047] 这里将详细地对示例性实施例进行说明,其示例表示在附图中。下面的描述涉及附图时,除非另有表示,不同附图中的相同数字表示相同或相似的要素。以下示例性实施例中所描述的实施方式并不代表与本申请相一致的所有实施方式。相反,它们仅是与如所附权利要求书中所详述的、本申请的一些方面相一致的装置和方法的例子。
[0048] 在本申请使用的术语是仅仅出于描述特定实施例的目的,而非旨在限制本申请。在本申请和所附权利要求书中所使用的单数形式的“一种”、“所述”和“该”也旨在包括多数形式,除非上下文清楚地表示其他含义。还应当理解,本文中使用的术语“和/或”是指并包含一个或多个相关联的列出项目的任何或所有可能组合。
[0049] 应当理解,尽管在本申请可能采用术语第一、第二、第三等来描述各种信息,但这些信息不应限于这些术语。这些术语仅用来将同一类型的信息彼此区分开。例如,在不脱离本申请范围的情况下,第一信息也可以被称为第二信息,类似地,第二信息也可以被称为第一信息。取决于语境,如在此所使用的词语“如果”可以被解释成为“在……时”或“当……时”或“响应于确定”。
[0050] 图1是根据一示例性实施例示出的一种通信数据加密方法的流程图,如图1所示,可以包括以下步骤:
[0051] S1:获取原始通信数据;
[0052] S2:结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
[0053] S3:对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
[0054] S4:建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
[0055] S5:如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
[0056] S6:如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
[0057] 其中,在S5和S6执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目。
[0058] 由上述实施例可知,本申请通过筛选非敏感数据中的重要数据,选择性的对数据进行加密,可节省加密算法所带来的资源消耗。通过加密数据表,可将重复出现的待加密数据查表给出加密结果,节省加密算法导致的资源消耗。从而提高系统实时性。
[0059] 在S2的具体实施中:结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据,可以减少加密数据量,提高实时性。
[0060] 具体地,这里的业务特征为业务相关的操作、状态、文件类型等特征,一般会在数据包中以功能码的形式体现,比如参数配置、组态工程下装、固件烧录等。
[0061] 这里的敏感数据和非敏感数据的划分以PLC控制系统为例,根据业务特征,可以主要分为以下几种数据类型:(1)设备参数;(2)组态工程文件;(3)固件升级文件;(4)系统及设备状态信息;(5)控制器运行日志;(6)其他。其中(1)、(2)、(3)为敏感数据,因为这些数据一旦被篡改或破坏,会导致严重后果。(4)、(5)、(6)可以定义为非敏感数据。
[0062] 在S3的具体实施中:对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;参考图2,该步骤可以包括以下子步骤:
[0063] S31:获取当前系统的资源状态,所述系统资源状态Ls=MAX[(1‑A1),(1‑A2)],其中A1为CPU占用率,取值在0 1;A2为内存占用率,取值在0 1;~ ~
[0064] S32:获取当前系统的风险等级Lf=B1*Qb1+B2*Qb2,其中B1为系统被攻击的次数,Qb1为B1的权重,B2为系统宕机的次数,Qb2为B2的权重;
[0065] 在一定的时间窗口Wf内,统计的系统被攻击的次数B1,系统宕机的次数B2,做出的风险等级Lf评估。
[0066] 若当计算出的风险等级Lf大于Lfmax时,则Lf按照Lfmax取值,Lfmax为Lf的最大值。
[0067] S33:根据当前系统的资源状态及风险等级,计算出随机策略值Q,Q=Ls*Lf,Q在0到Qmax之间,通过比较O和Q的值,O为随机数发生器的返回值,O在0到Omax之间,当O小于Q时,从所述非敏感数据中筛选出重要数据。
[0068] 随机策略值Q的确定方法如下:
[0069] 总体原则是,资源状态Ls越低,越要减少加密的次数;风险等级越高,越要增加加密的次数。
[0070] 可以通过以下公式简化处理:
[0071] Q=Ls*Lf,其中Omax=Qmax=Lsmax*Lfmax,Lsmax为Ls的最大值。
[0072] 通过资源状态和风险等级综合确定需加密的数据,简化公式可提供一种便于工程实现的方法。
[0073] 在S4的具体实施中:建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
[0074] 具体地,所述加密数据表分为2个相同行数的表1和表2,所述表1为持续调整的表sheet1,表2为每次暂存当前数据窗口内,待加密数据的表sheet2,所述表2在每个数据窗口结束后进行清空;表1和表2包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据。
[0075] 在S5和S6的具体实施中,这里加密可以增加硬件密码芯片,提供额外的密码算力,分担计算资源消耗。对数据采用硬件密码芯片处理还是软件密码库处理,需综合考虑数据长度及对实时性的要求。对于数据量大且实时性要求不高的情况,应将数据通过高速总线发送给硬件密码芯片,加密由硬件处理;对于数据量小且实时性要求高的情况,应直接由软件算法库处理。
[0076] 其中,在S5和S6执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目。参考图3,可以包括以下子步骤:
[0077] S71:设定数据窗口,将所述加密数据表分为2个相同行数的表1和表2,所述表1为持续调整的表sheet1,表2为每次暂存当前数据窗口内,待加密数据的表sheet2,所述表2在每个数据窗口结束后进行清空;
[0078] S72:将所述表1中查找不到的待加密数据,暂存在所述表2中;
[0079] S73:在所述数据窗口内,统计待加密数据的哈希值存在于所述加密数据表中的次数N及对应的权重Qn,统计每条数据的长度L及对应权重Ql,则动态调整系数C=N*Qn+L*Ql;
[0080] S74:每一个数据窗口结束后,更新加密数据表中的已存在的每一行数据的动态调整系数的值,对每一行数据按照所述动态调整系数重新排序,以调整表1和表2中的数据条目。
[0081] 综上,本申请具有如下技术效果:
[0082] 1、实时性高:在兼顾安全性的同时,最大限度的降低因加解密算法带来的系统资源消耗,从而将更多的资源用于业务处理,减少对系统的实时性的影响。
[0083] 2、低延时:整体上减少通信报文中的加密数据的占比,从数据加密到解密的角度,减少加解密数据处理时间,减少通信延时。
[0084] 3、实用性强:可使用通用的加解密算法,无需进行密码算法的开发,面向基于通用加解密算法的快速应用,对于工控系统厂家,更容易进行落地应用。
[0085] 与前述的通信数据加密方法的实施例相对应,本申请还提供了通信数据加密装置的实施例。
[0086] 图4是根据一示例性实施例示出的一种通信数据加密装置框图。参照图4,该装置包括获取模块21、划分模块22、筛选模块23、建立模块24、第一判断模块25和第二判断模块26。
[0087] 获取模块21,用于获取原始通信数据;
[0088] 划分模块22,用于结合业务特征,将所述原始通信数据分为敏感数据和非敏感数据;
[0089] 筛选模块23,用于对于所述非敏感数据,根据当前系统的资源状态及风险等级,筛选出所述非敏感数据中的重要数据;
[0090] 建立模块24,用于建立加密数据表,所述加密数据表包括待加密数据的哈希值、加密结果和动态调整系数,所述待加密数据包括所述敏感数据和重要数据;
[0091] 第一判断模块25,用于如果在所述加密数据表中能够查到所述待加密数据的信息,则直接查表输出加密结果;
[0092] 第二判断模块26,用于如果在所述加密数据表中不能查到所述待加密数据的信息,则对所述待加密数据进行加密;
[0093] 其中,在第一判断模块和第二判断模块执行的过程中,在预定数据窗口下,根据所述待加密数据的重复出现的频率及需加密处理的数据长度,动态换入换出所述加密数据表中的条目。
[0094] 关于上述实施例中的装置,其中各个模块执行操作的具体方式已经在有关该方法的实施例中进行了详细描述,此处将不做详细阐述说明。
[0095] 对于装置实施例而言,由于其基本对应于方法实施例,所以相关之处参见方法实施例的部分说明即可。以上所描述的装置实施例仅仅是示意性的,其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的,作为单元显示的部件可以是或者也可以不是物理单元,即可以位于一个地方,或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本申请方案的目的。本领域普通技术人员在不付出创造性劳动的情况下,即可以理解并实施。
[0096] 相应的,本申请还提供一种电子设备,包括:一个或多个处理器;存储器,用于存储一个或多个程序;当所述一个或多个程序被所述一个或多个处理器执行,使得所述一个或多个处理器实现如上述的一种通信数据加密方法。如图5所示,为本发明实施例提供的一种通信数据加密装置所在任意具备数据处理能力的设备的一种硬件结构图,除了图5所示的处理器、内存、之外,实施例中装置所在的任意具备数据处理能力的设备通常根据该任意具备数据处理能力的设备的实际功能,还可以包括其他硬件,对此不再赘述。
[0097] 相应的,本申请还提供一种计算机可读存储介质,其上存储有计算机指令,其特征在于,该指令被处理器执行时实现如上述的一种通信数据加密方法。所述计算机可读存储介质可以是前述任一实施例所述的任意具备数据处理能力的设备的内部存储单元,例如硬盘或内存。所述计算机可读存储介质也可以是风力发电机的外部存储设备,例如所述设备上配备的插接式硬盘、智能存储卡(Smart Media Card,SMC)、SD卡、闪存卡(Flash Card)等。进一步的,所述计算机可读存储介质还可以既包括任意具备数据处理能力的设备的内部存储单元也包括外部存储设备。所述计算机可读存储介质用于存储所述计算机程序以及所述任意具备数据处理能力的设备所需的其他程序和数据,还可以用于暂时地存储已经输出或者将要输出的数据。
[0098] 本领域技术人员在考虑说明书及实践这里公开的内容后,将容易想到本申请的其它实施方案。本申请旨在涵盖本申请的任何变型、用途或者适应性变化,这些变型、用途或者适应性变化遵循本申请的一般性原理并包括本申请未公开的本技术领域中的公知常识或惯用技术手段。说明书和实施例仅被视为示例性的,本申请的真正范围和精神由权利要求指出。
[0099] 应当理解的是,本申请并不局限于上面已经描述并在附图中示出的精确结构,并且可以在不脱离其范围进行各种修改和改变。本申请的范围仅由所附的权利要求来限制。
