基于区块链的配电物联网无线安全接入研究
李翌昊 高齐泽
DOI:10.19850/j.cnki.2096-4706.2021.09.042
摘 要:海量异构终端对配电物联网终端安全接入提出了更高的要求,为解决传统身份认证技术带来的一系列安全问题,提出一种利用区块链进行身份认证的配电物联网无线安全接入方案。方案使用区块链技术存储并验证终端身份信息,在实现接入过程去中心化的同时确保终端的安全接入、保障终端身份信息的安全可靠和避免非法节点的接入,有效规避重放攻击、中间人攻击等多种网络攻击行为,满足电力系统对实时性和可靠性的安全需求。
关键词:配电物联网;区块链;无线安全接入;去中心化;网络攻击
中图分类号:TP309;TP311.1 文献标识码:A 文章编号:2096-4706(2021)09-0162-05
Research on Wireless Secure Access of Distribution Internet of Things Based on Blockchain
LI Yihao,GAO Qize
(Department of Computer,North China Electric Power University(Baoding),Baoding 071003,China)
Abstract:Massive heterogeneous terminals put forward higher requirements for the secure access of distribution internet of things terminals. In order to solve a series of security problems brought by traditional identity authentication technology,a wireless secure access scheme of distribution internet of things using blockchain for identity authentication is proposed. This scheme uses blockchain technology to store and verify terminal identity information. While realizing the decentralization of the access process,it ensures the secure access of the terminal,guarantees the safety and reliability of the terminal identity information,and avoids the access of illegal nodes. It can also effectively avoid multiple network attacks such as replay attacks and man-in-the-middle attacks,and meet the security requirements of power systems for real-time and reliability.
Keywords:distribution internet of things;blockchain;wireless secure access;decentralization;network attack
0 引 言
随着电网规模越来越大,电力系统发、输、变、配、用电等环节都广泛使用了工业物联网技术,因此保障电力系统的稳定运行、推动电网向能源互联网转型升级显得尤其重要[1-3]。配电物联网是泛在电力物联网的重要组成部分,是连接用户和输电网的重要桥梁,海量的终端设备主要应用于配电物联网并广泛使用无线公网方式进行数据传输,因此配电物联网在网络安全防护方面有更高的要求[4-6]。当前配电物联网的建设面临诸多挑战,需要应对诸如重放攻击、内部攻击、中间人攻击、系统漏洞和病毒侵入等一系列的问题[7-9]。为此研究人员建立了相应的网络安全防护体系,身份认证技术就是其中的关键技术之一[10-14]。
区块链技术是一种互联网数据库技术,具有去中心化、不可篡改性、匿名性、可追溯性等优点。区块链可以依靠其分布式账本、非对称加密、共识机制和智能合约四大核心技术,实现对数据信息的永久存储、可追溯和防篡改。区块链技术能够在不借助第三方機构介入的情况下使用户之间及用户与区块链产品之间产生和保持信任[15]。目前已应用于金融业、物流业、互联网等多个领域。文献[16]提出一种基于区块链的法律证据管理方案LEChain,用以监督警方调查期间搜证和取证的整个证据流及法院数据。文献[17]提到区块链技术在电子健康领域有巨大潜力,例如可以进行电子健康记录的安全共享、多个医疗实体间的数据访问管理等。
目前区块链技术在电力系统的应用尚少,相关的应用探索刚刚起步[18]。文献[19]利用区块链思维将区块链技术与物联网相结合,提出了基于区块链的电力设备泛在物联网建设方案,阐述了在物联网区块链应用中的分区并行高通量联盟链、跨链通信、共识算法、智能合约、加密算法和数据压缩等关键技术。文献[20]提出了一种新型的深度学习和基于区块链的智能电网能源框架DeepCoin。文献[21]提出了适用于电力物联网的分布式认证方案,并且研制了基于区块链的电力泛在业务接入网关。本文结合具体的配电物联网应用场景,提出了一种基于区块链的配电物联网无线安全接入方案,解决配电物联网中因海量异构终端的接入导致的网络安全问题,保障终端身份信息的安全可靠。
1 应用场景
1.1 智能配变终端
智能配变终端TTU(distribution Transformer supervisory Terminal Unit)安装在配电室或配电变压器处,负责对电力供配电系统中的配电变压器进行信息采集和处理的终端设备。基于“硬件平台化、业务APP化”的设计理念,TTU主要由电源模块、远程/就地通信模块、软件平台模块、核心性能处理模块、安防模块五个部分组成。TTU能够实时监测配电变压器的运行工况,并且将所采集的信息传到主站或者其他的智能装置,同时提供配电系统运行控制及管理所需要的数据,为低压配电网络优化提供最真实最准确的决策依据。
1.2 应用场景描述
用户表箱里有若干末端感知终端,将采集的数据信息通过微功率无线传输或者电力线载波方式传送至TTU[22]。例如智能电表可以采集用户端的电流、电量和电压等数据信息,再通过集中器汇总上送相关数据信息至TTU。TTU汇聚传送上来的数据信息后,通过无线网络,上传给配电自动化系统和用电采集系统。本文提出的基于区块链的配电物联网无线安全接入方案就应用于TTU通过无线网络上传数据信息的过程中,如图1所示。
2 基于区块链的配电物联网无线安全接入方案
基于区块链的配电物联网无线安全接入方案分为注册阶段和认证阶段两个部分:
(1)注册阶段。通信终端向认证中心提出注册请求。认证中心收到请求后,判断该设备是否已经注册过,若没有该设备的记录则将其相关信息存储到认证中心维护的认证区块链中,并将生成的用户证明发回给通信终端。
(2)认证阶段。通信终端向认证网关发出接入请求,认证网关经过初步筛选后将符合要求的接入请求发送到认证中心。认证中心通过利用认证区块链的共识机制得到认证结果并反馈给认证网关,认证网关再根据认证结果决定是否允许该设备接入网络。
下文接入过程以某一通信终端A为例。
2.1 注册阶段
第一阶段:A先用认证中心公钥PKCA,再用A的私钥SKA加密注册信息(包括业务类型标识、A的唯一身份标识等信息),然后将加密的注册信息发送给认证中心,以此提出注册申请。认证中心收到加密的注册信息后,先用A的公钥PKA,再用认证中心私钥SKCA解密注册信息,然后生成包含有效期、权限、业务类型标识、A的唯一身份标识等注册信息的数字证书,再利用杂凑函数对其进行运算生成用户证明HCert。
第二阶段:利用认证区块链的共识机制检查A的用户证明是否已经存在,若不存在则可以进入下一阶段。选择认证区块链节点形成认证组的过程和共识过程与认证阶段中第三阶段的步骤2相同。
第三阶段:在认证中心维护的认证区块链中生成一个带时间戳的新节点,用于存储A的用户证明HCert。
第四阶段:认证中心向A发回先由认证中心私钥SKCA、再由A的公钥PKA加密后的用户证明PKA(SKCA(HCert))。其注册阶段过程如图2所示。
2.2 认证阶段
第一阶段:向认证网关发出接入请求。
步骤1:A首先利用共享密钥K1(K1为A和认证网关的共享密钥)计算请求信息X(包括请求时间、请求业务类型、设备类型)的消息认证码CK1(X),并将消息认证码CK1(X)、请求信息X和用户证明HCert先用A的私钥SKA、再用认证网关公钥PKG加密后(SKA(PKG(X||CK1(X)||HCert))發送给认证网关,向认证网关发出接入请求。
步骤2:认证网关收到后,先使用A的公钥PKA、再使用认证网关私钥SKG解密收到的信息,根据收到的请求信息X和共享密钥K1计算CK1(X),然后对比CK1(X)和CK1(X),一致则进入下一阶段;若不一致,拒绝该通信设备的接入请求并留存记录。
认证网关在第一阶段(包括步骤1和步骤2)的工作如图3所示。
第二阶段:认证网关初步筛选。
认证网关对发来的请求信息X进行初步筛选,例如:业务类型和设备类型不相符,拒绝该通信设备的接入请求;请求时间不在接收时间范围内,拒绝该通信设备的接入请求;留存记录中有该通信设备多次接入失败的记录且距此次发出请求的时间间隔较短,拒绝该通信设备的接入请求等。
第三阶段:身份认证。
进入身份认证模块,利用区块链技术,对有关信息进行快速共识验证:
步骤1:认证网关用认证网关私钥SKG加密收到的用户证明HCert、请求时间Time和由请求时间、共享密钥K2(K2为认证网关和认证中心的共享密钥)计算出的消息认证码CK2(Time)(SKG(HCert||Time||CK2(Time))),并将其发送给认证中心,提出认证请求。
步骤2:认证中心用认证网关公钥PKG解密收到的请求信息,对比CK2(Time)与CK2(Time)一致且消息发送时间范围合理后,认证中心响应认证请求,以响应请求的时间Rtime为随机数种子,生成随机数,以此在其维护的认证区块链中选择出参与共识验证的节点形成认证节点组。认证过程如图4所示。
步骤3:认证节点组运用共识机制得到认证结果后,将认证结果提交给认证中心,认证中心再将用自己私钥加密后的认证结果反馈给认证网关。每个认证组节点数为3f+1,f为拜占庭节点个数,节点0为主节点,具体工作为:
(1)request阶段:认证中心发送用户证明到认证组中的节点0。
(2)pre-prepare阶段:节点0接收到由认证中心发送来的用户证明后,向组内其余节点发送pre-prepare消息。
(3)prepare阶段和commit阶段:非主节点收到pre-prepare消息后,判断是否接受,如果接受则向组内其他节点发送promise消息。如果认证组中的某个节点收到了2f+1个promise消息,该节点就向外广播commit消息。
(4)reply阶段:当节点0收到2f+1个commit消息时,就将认证结果提交给认证中心,本轮共识达成,成功认证身份。
第四阶段:接入网络。
认证网关收到认证结果,若认证成功即允许A接入相应的网络;若认证失败则拒绝A接入网络并留存记录。其认证阶段过程如图5所示。
3 性能分析
3.1 安全性
3.1.1 伪装攻击
区块链采用分布式存储方式,任意节点行为均受全网监督,恶意用户在这种情况下无法伪装进行欺诈行为,因此本方案可以防止伪装攻击。
3.1.2 重放攻击
认证网关收到请求信息后,会对其进行初步筛选,例如在留存记录中有此设备多次接入失败的记录且距离此次发出请求的时间间隔较短,对此次请求不予应答。而认证机构在收到认证网关发来的请求信息后也会对其中的请求时间进行验证是否在接收窗口内。
3.1.3 DDoS攻击
区块链利用P2P分布式网络架构实现去中心化,因此每个节点都高度自治。即便认证组中的某个节点出现故障无法正常工作,其他节点仍然可以进行信息交互,通过共识机制向认证中心提交认证结果,不会导致系统崩溃。相比中心化的传统认证方式,本方案在应对分布式拒绝服务攻击DDoS時更有效。
3.1.4 内部攻击
本方案对数字证书进行哈希处理生成用户证明。杂凑函数具有单向性和防碰撞性,即使恶意通信终端窃听到了合法通信终端的请求信息X,根据用户证明HCert也几乎不可能推测出合法通信终端的身份信息,从而有效防止内部攻击。
3.1.5 中间人攻击
本方案在各阶段进行信息交互时都应用了数字签名机制,可以保证交互信息的真实性。此外,本方案还使用了消息认证机制以保证通信终端发送的信息的完整性,因此可以规避中间人攻击。
将本文提出的基于区块链的配电物联网无线安全接入方案与文献[21]、文献[23]和文献[24]提出的方案进行比较。文献[21]提出的是电力系统安全稳定控制终端接入方案,文献[23]提出的是基于椭圆曲线密码的改进认证方案,文献[24]提出的是基于区块链的电力物联网接入方案,对比结果如表1所示。
3.2 运算量分析
运算量分析主要表现为方案运算简单、系统开销小,本方案与文献[23]提出的传统认证方案在运算量方面进行了比较,对比结果如表2所示。文献[23]的方案描述各阶段信息传送时都是使用安全信道传输,因此本文将其加密、解密次数统计为0。通过比较,可以认为本方案在应用区块链技术后,使得方案运算量较传统认证方案减少了。
4 结 论
配电物联网安全防护是当前泛在电力物联网发展的重要组成部分,是保障电力安全稳定运行的基础。本文主要研究配电物联网终端设备的接入认证技术,旨在解决海量的物联网终端与上级平台交互时的身份认证问题。首先分析了配电物联网目前所面临的网络安全风险。其次介绍了区块链技术的应用现在和优势。最后结合配电物联网中智能配变终端TTU通过无线网络上送数据信息的具体工作场景,提出了一种利用区块链去中心化的技术进行身份认证的无线安全接入方案并对其进行安全性和运算量两个方面的性能分析。该方案使得终端身份接入时认证与授权分离,实现接入过程的弱中心化,同时确保终端的安全接入和保障终端身份信息的安全可靠。因此,该方案可以解决配电物联网现有认证方式下可能存在的业务高峰期中心节点过载、中心节点故障导致全网崩溃、中心节点被攻击导致终端身份信息泄露等一系列中心化程度过高引起的安全问题,同时提高认证效率,满足电力系统对安全性、及时性和可靠性的多种需求。
参考文献:
[1] 王鹤,李石强,于华楠,等.基于分布式压缩感知和边缘计算的配电网电能质量数据压缩存储方法 [J].电工技术学报,2020,35(21):4553-4564.
[2] 王静雯,李华强,李旭翔,等.综合能源服务效用模型及用户需求评估 [J].中国电机工程学报,2020,40(2):411-425.
[3] 何奉禄,陈佳琦,李钦豪,等.智能电网中的物联网技术应用与发展 [J].电力系统保护与控制,2020,48(3):58-69.
[4] 戴铭,王宇,赵金平.配电物联网的信息安全方案分析 [J].智能电网,2020,10(5):225-230.
[5] 赵萌萌,唐平舟,孙堃,等.泛在电力物联网发展与展望 [J].华北电力大学学报(自然科学版),2020,47(5):63-74.
[6] 吕军,栾文鹏,刘日亮,等.基于全面感知和软件定义的配电物联网体系架构 [J].电网技术,2018,42(10):3108-3115.
[7] 吕军,盛万兴,刘日亮,等.配电物联网设计与应用 [J].高电压技术,2019,45(6):1681-1688.
[8] 王哲,赵宏大,朱铭霞,等.电力无线专网在泛在电力物联网中的应用 [J].中国电力,2019,52(12):27-38.
[9] 曾鸣,刘英新,赵静,等.“云大物移智”与泛在电力物联网融合的安全风险分析及安全架构体系设计 [J].智慧电力,2019,47(8):25-31.
[10] HOU R,REN G W,ZHOU C L,et al. Analysis and research on network security and privacy security in ubiquitous electricity Internet of Things [J].Computer Communications,2020(158):64-72.
[11] HUANG J C,SHU M H,HSU B M,et al. Service architecture of IoT terminal connection based on blockchain identity authentication system [J].Computer Communications,2020(160):411-422.
[12] GUO S Y,HU X,ZHOU Z Q,et al. Trust Access Authentication in Vehicular Network Based on Blockchain [J].中國通信,2019,16(6):18-30.
[13] 田福粮,田秀霞,陈希.基于区块链的智能电表身份认证方案 [J].华东师范大学学报(自然科学版),2018(5):135-143+ 171.
[14] 马晓婷,马文平,刘小雪.基于区块链技术的跨域认证方案 [J].电子学报, 2018,46(11):2571-2579.
[15] LI X Y,ZHENG Z B,DAI H N. When services computing meets blockchain:
Challenges and opportunities [J].Journal of Parallel and Distributed Computing,2021(150):1-14.
[16] LI M,LAL C,CONTI M,et al. LEChain:
A blockchain-based lawful evidence management scheme for digital forensics [J].Future Generation Computer Systems,2021(115):406-420.
[17] NGUYEN D.C,PATHIRANA P.N,DING M,et al. Blockchain for Secure EHRs Sharing of Mobile Cloud Based E-Health Systems(Article) [J].IEEE Access,2019(7):66792-66806.
[18] 鲁伦.泛在电力物联网主要特征分析及安全技术展望 [J].电力安全技术,2020,22(9):8-10.
[19] 江秀臣,罗林根,余钟民,等.区块链在电力设备泛在物联网应用的关键技术及方案 [J].高电压技术,2019,45(11):3393-3400.
[20] FERRAG M A,MAGLARAS L. DeepCoin:A Novel Deep Learning and Blockchain-Based Energy Exchange Framework for Smart Grids [J].IEEE Transactions on Engineering Management,2020,67(4):1285-1297.
[21] 杨晗竹,完颜绍澎,胡光宇,等.基于区块链的电力泛在业务接入网关的研究 [J]. 广东电力,2020,33(8):54-61.
[22] 鲍音夫,张平,陈浩然,等.基于泛在电力物联网的智能配变终端应用 [J].东北电力技术,2020,41(1):1-3.
[23] 殷秋实,陈建华.多服务器环境下基于椭圆曲线密码的改进的身份认证协议 [J].计算机科学,2018,45(6):111-116+150.
[24] 陈孝莲,虎啸,沈超,等.基于区块链的电力物联网接入认证技术研究 [J].电子技术应用,2019,45(11):77-81.
作者简介:李翌昊(2001—),女,汉族,广东韶关人,本科在读,研究方向:网络安全;高齐泽(2001—),男,汉族,江苏盐城人,本科在读,研究方向:网络安全。
收稿日期:2021-04-25
猜你喜欢网络攻击去中心化区块链基于模糊逻辑的智能电网中恶意节点的检测算法现代电子技术(2019年14期)2019-08-12区块链技术在医疗领域中的应用中国市场(2018年32期)2018-12-18移动互联时代“微商”的发展前景展望价值工程(2018年29期)2018-09-20计算机网络安全技术与网络攻击防范策略科教导刊·电子版(2018年22期)2018-09-17区块链技术重塑传媒业科技传播(2018年9期)2018-06-11受攻击后的网络可靠性估计模型设计现代电子技术(2017年22期)2017-11-18区块链技术的发展与前瞻电脑知识与技术(2017年23期)2017-10-31“一带一路”愿景下法学研究的分工与协作北极光(2016年12期)2017-07-28浅析区块链技术及其在合同管理方面的应用企业文化·下旬刊(2017年7期)2017-07-21区块链技术创新发展数字货币的研究综述时代金融(2017年11期)2017-05-17