一种用于电力资金安全管控的密钥监控系统技术方案

本发明专利技术公开了一种用于电力资金安全管控的密钥监控系统，涉及电力管控技术领域，系统包括：设备监控模块，设备监控模块针对电力财务运营环境中大部分主要设备进行监控，财务密钥监控模块，对三个不同的电力资金管控密钥进行标号，分别定义为一级密钥、二级密钥和三级密钥，并记录各密钥的位置数据、时间数据、温度数据、湿度数据，三级财务密钥校验模块。本发明专利技术通过设置三级财务密钥校验模块，并分别散布在局域网、领域网和电网财务中心中，要在指定的网络才可以接收到上一级密钥校验员的财务消息，采用分散保管的方式有利于落实电网管理要求中的“三个密钥三人分开保持”，避免在同一楼栋监管不到位的情况。栋监管不到位的情况。栋监管不到位的情况。

【技术实现步骤摘要】
一种用于电力资金安全管控的密钥监控系统


[0001]本专利技术涉及电网财务管控
，尤其涉及一种用于电力资金安全管控的密钥监控系统。

技术介绍

[0002]国网安徽电力集团外部网银Ukey虽然在财务管控
‑
密钥台账功能已实现手工登记管控，但对于密钥的监控缺乏相应的在线监控手段，由于电网分布在全国各地，通过手工登记的方式低效，无法监管密钥的情况，尤其是对于是否落实“三个密钥三人分开保存”有较大的难度，且难以准时知晓各电网的密钥是否处于正常的待工状态，是否发生丢弃等，为加强对集团外部银行账户资金支付安全管控，防范集团外部银行账户支付风险以及提高外部银行网银UKey保管权限委托的便捷性和灵活性，现有的人工登记管控的方式明显无法满足电网财务产业升级需求。

技术实现思路

[0003]本专利技术的目的是为了解决上述的问题，而提出的一种用于电力资金安全管控的密钥监控系统。
[0004]为了实现上述目的，本专利技术采用了如下技术方案：
[0005]一种用于电力资金安全管控的密钥监控系统，该系统包括：
[0006]设备监控模块，设备监控模块针对电力财务运营环境中大部分主要设备进行监控，主要设备包括服务器、网络设备、密钥进行监控，服务器监控，主要是对服务器运行的系统的性能指标进行监控，如果数据指标超过设定的阈值或收不到数据将会后动告警，通知运维人员进行处理；网络设备监控主要监控网络负荷是否过大或网络不能连通；对密钥进行监控主要关注是否正常工作；
[0007]财务密钥监控模块，对三个不同的电力资金管控密钥进行标号，并记录各密钥的位置数据、时间数据、温度数据、湿度数据，电力资金管控密钥时，通过北斗导航记录各电力资金管控密钥的起始位置K1，以及当前时间K2，并在电力资金管控密钥开启期间通过温湿度传感器采集并计算各密钥的温度值K3和环境数据，所述环境数据包括噪声强度K4和湿度值K4,得到指标空间K,K＝{K1，K2，K3，K4}；
[0008]三级财务密钥校验模块，设置某一固定时间段，一级密钥采集指标空间K作为一个消息，接着一级密钥校验员选择一个随机数然后对采集到的监控数据进行加密生成电力财务数据密文A
ij
：
[0009]同时使用防篡改设备TPD来对加密后的电力财务数据签名：
[0010]其中，T
ij
表示对电力财务密文A
ij
前面的时间；
[0011]接着一级密钥校验员将数据A
ij
||B
i
||P
ij
||K
ij
||T
bi
||σ
Bi
发送至局域网，令接收到消息的当前时间为T
′
ij
，电网财务系统下允许的最大传输时延值为ΔT，当接收到密钥发送过来的消息后，局域网首先通过判断不等式|T
′
ij
‑
T
ij
|≤ΔT是否成立来验证消息的有效性：
[0012]如果不等式不成立，则认为该消息已失效，本地服务器可选择拒绝或丢弃该消息；如果成立，则继续验证消息签名的合法性，在验证消息合法性前，应先执行以下步骤：
[0013][0014]其中H1，H2为安全哈希函数，P
ij
为三个密钥，B
j
为第i个电力财务楼栋的局域网，K
ij
为随机数，接着验证下面等式是否成立：
[0015]e(σ
ij
,p)＝e(k
ij
,h
i,2
)e(h
i,1
P
pub
,h
i,2
)，其中，σ
ij
为防篡改设备TPD使用自身的密钥对加密后的财务数据签名；
[0016]如果等式成立，则表示由密钥发来的数据是合法的，否则本地服务器选择拒绝或者丢弃该电力财务数据消息，验证完消息的有效性后通过一级数据加密聚合将加密后的数据PA1上传至邻域网并发送给二级密钥校验员；
[0017]当二级密钥校验员接收到数据PA1||NAN||B
i
||P
ij
||T
bi
||σ
Bi
时，一对消息进行验证，然后计算并验证下面等式是否成立：
[0018]e(P,σ
Bi
)＝e(Y
bi
,H2(PA1||NAN||B
i
||P
ij
||T
bi
||σ
Bi
))，
[0019]如果等式成立，则认为二级密钥校验员发送的数据合法；否则拒绝或丢弃该消息；
[0020]验证完消息的合法性后通过二级数据加密聚合将加密后的数据PA2上传至电网财务中心并发送给三级密钥校验员。
[0021]可选地，所述一级数据加密聚合的保护措施如下：
[0022]S1，计算用户的财务数据m
i1
,C
i1
,C
i1
。。。C
iω
上的加密聚合数据PA1：
[0023][0024]S2，使用私钥X
Bi
签名：
[0025]σBi＝x
bi
H2(PA
i
||NAN||B
i
||P
ij
||T
bi
)，其中T
bi
表示对一级数据加密聚合数据PA1签名的当前时间，NAN为相邻电力财务楼栋的邻域网；
[0026]最后将加密后的数据PA
i
||NAN||B
i
||P
ij
||T
bi
||σ
Bi
上传至邻域网并发送给二级密钥校验员。
[0027]可选地，所述二级数据加密聚合PA2的保护措施如下：
[0028]S1，计算
[0029]S2，使用私钥X
N
签名：
[0030]σN＝x
N
H2(SA
i
||NAN||P
ij
||T
N
)，其中T
N
表示对二级数据加密聚合PA2签名的当前时间。
[0031]可选地，所述本地服务器进行批量化认证操作如下：
[0032]其中，P
pub
为系统的主公钥，如果等式成立，则表示批量消息有效，并发送给下一级密钥校验员，否则本地服务器选择拒绝或者丢弃该电力财务数据消息。
[0033]本专利技术相比现有技术，具备以下优点：
[0034]本专利技术通过设置设备监控模块，设备监控模块针对电力财务运营环境中大部分主要设备进行监控，主要设备包括服务器、网络设备、密钥进行监控，监控这些设备的正常运行，给密钥的进一步监控打下基础。本文档来自技高网...

【技术保护点】

【技术特征摘要】
1.一种用于电力资金安全管控的密钥监控系统，其特征在于，该系统包括：设备监控模块，设备监控模块针对电力财务运营环境中大部分主要设备进行监控，主要设备包括服务器、网络设备、密钥进行监控，服务器监控，主要是对服务器运行的系统的性能指标进行监控，如果数据指标超过设定的阈值或收不到数据将会后动告警，通知运维人员进行处理；网络设备监控主要监控网络负荷是否过大或网络不能连通；对密钥进行监控主要关注是否正常工作；财务密钥监控模块，对三个不同的电力资金管控密钥进行标号，分别定义为一级密钥、二级密钥和三级密钥，并记录各密钥的位置数据、时间数据、温度数据、湿度数据，电力资金管控密钥时，通过北斗导航记录各电力资金管控密钥的起始位置K1，以及当前时间K2，并在电力资金管控密钥开启期间通过温湿度传感器采集并计算各密钥的温度值K3和湿度值K4,得到指标空间K,K＝{K1，K2，K3，K4}；三级财务密钥校验模块，设置某一固定时间段，一级密钥采集指标空间K作为一个消息，接着一级密钥校验员选择一个随机数然后对采集到的监控数据进行加密生成电力财务数据密文A
ij
：同时使用防篡改设备TPD来对加密后的电力财务数据签名：其中，T
ij
表示对电力财务密文A
ij
前面的时间；接着一级密钥校验员将数据A
ij
||B
i
||P
ij
||K
ij
||T
bi
||σ
Bi
发送至局域网，令接收到消息的当前时间为T
′
ij
，电网财务系统下允许的最大传输时延值为ΔT，当接收到密钥发送过来的消息后，局域网首先通过判断不等式|T
′
ij
‑
T
ij
|≤ΔT是否成立来验证消息的有效性：如果不等式不成立，则认为该消息已失效，本地服务器可选择拒绝或丢弃该消息；如果成立，则继续验证消息签名的合法性，在验证消息合法性前，应先执行以下步骤：其中H1，H2为安全哈希函数，P
ij
为三个密钥，B
j
为第i个电力财务楼栋的局域网，K
ij
为随机数，接着验证下面等式是否成立：e(σ
ij
,p)＝e(k
ij
,h
i,2
)e(h
i,1
P
pub
,h
i,2
)，其中，σ
ij
为防篡改设备TPD使用自身的密钥对加密后的财务数据签名；如果等式成立，则表示由密钥发来的数据是合法的，否则本地服务器选择...

【专利技术属性】
技术研发人员：胡婷婷，王灿，张莉，朱宁宁，吴宇，姜克兢，杨益伟，袁毅，陈萌，郎慧，叶芳，
申请(专利权)人：国网安徽省电力有限公司综合服务中心，
类型：发明
国别省市：