文獻(xiàn)標(biāo)識(shí)碼: A
DOI:10.16157/j.issn.0258-7998.190124
中文引用格式: 陳孝蓮,,徐曉海,,過(guò)烽,等. 基于Hyperledger的電力物聯(lián)網(wǎng)分布式認(rèn)證研究[J].電子技術(shù)應(yīng)用,,2019,,45(5):57-60,,65.
英文引用格式: Chen Xiaolian,Xu Xiaohai,,Guo Feng,,et al. Research on distributed authentication of power IoT based on Hyperledger blockchain[J]. Application of Electronic Technique,2019,,45(5):57-60,,65.
0 引言
隨著智能電網(wǎng)和能源互聯(lián)網(wǎng)的發(fā)展,,電力物聯(lián)網(wǎng)在電力生產(chǎn)的各個(gè)環(huán)節(jié)起到了越來(lái)越重要的作用。特別是在作為電力傳輸最后10公里的配電網(wǎng)中,,在用電計(jì)量,、售電服務(wù)、分布式發(fā)電,、新能源并網(wǎng),、智能充電樁等應(yīng)用場(chǎng)景中,電力物聯(lián)網(wǎng)的應(yīng)用更加常見(jiàn),。
現(xiàn)有電力業(yè)務(wù)系統(tǒng)大部分采用中心化的架構(gòu),,隨著分布式電源、可控負(fù)荷,、增量配電網(wǎng),、物資服務(wù)等業(yè)務(wù)的不斷發(fā)展,各主體之間的信息交互的頻度、復(fù)雜性和時(shí)效性要求越來(lái)越高,,集中化的信息交互手段已無(wú)法滿足源網(wǎng)荷儲(chǔ)互動(dòng),、物資精準(zhǔn)供應(yīng)等由多方參與的業(yè)務(wù)系統(tǒng)信任需求。
電力物聯(lián)網(wǎng)在廣泛應(yīng)用的同時(shí),,也帶來(lái)了愈加嚴(yán)峻的安全挑戰(zhàn),。一方面,電力物聯(lián)網(wǎng)終端節(jié)點(diǎn)數(shù)量多,、部署范圍廣,,節(jié)點(diǎn)物理環(huán)境不可控,容易受到物理劫持,、節(jié)點(diǎn)復(fù)制,、信號(hào)截獲竊取重放、中間人攻擊等威脅,;另一方面,,電力物聯(lián)網(wǎng)終端由于體積和電量限制,其計(jì)算,、存儲(chǔ)和通信能力有限,,無(wú)法部署完整的密碼算法。此外,,信息傳遞和交互多采用集中式廣播和組播實(shí)現(xiàn),容易出現(xiàn)單點(diǎn)失效問(wèn)題,。
區(qū)塊鏈(Blockchain)技術(shù)具有去中心化,、防篡改、高度可擴(kuò)展等特點(diǎn),,正成為繼大數(shù)據(jù),、云計(jì)算、人工智能,、虛擬現(xiàn)實(shí)等技術(shù)后又一項(xiàng)將對(duì)未來(lái)產(chǎn)生重大影響的新興技術(shù),。在美國(guó)、日本和歐盟一些國(guó)家和地區(qū)已將區(qū)塊鏈發(fā)展上升為國(guó)家重要發(fā)展戰(zhàn)略,。我國(guó)政府亦高度重視區(qū)塊鏈技術(shù)創(chuàng)新與產(chǎn)業(yè)發(fā)展,,積極推動(dòng)國(guó)內(nèi)區(qū)塊鏈的相關(guān)領(lǐng)域研究、標(biāo)準(zhǔn)化制定,,大力推進(jìn)區(qū)塊鏈技術(shù)研發(fā)和應(yīng)用推廣,,《“十三五”國(guó)家信息化規(guī)劃》、《國(guó)務(wù)院辦公廳關(guān)于積極推進(jìn)供應(yīng)鏈創(chuàng)新與應(yīng)用的指導(dǎo)意見(jiàn)》及習(xí)總書(shū)記在中國(guó)科學(xué)院第十九次院士大會(huì),、中國(guó)工程院第十四次院士大會(huì)上發(fā)表的講話中,,均明確指出了區(qū)塊鏈等技術(shù)在科技強(qiáng)國(guó)中的戰(zhàn)略意義。
區(qū)塊鏈可分為公有鏈、私有鏈,、聯(lián)盟鏈,、許可鏈等類型。其中聯(lián)盟鏈?zhǔn)侵赣陕?lián)盟或行業(yè)內(nèi)若干個(gè)機(jī)構(gòu)共同參與管理的區(qū)塊鏈,,較為適合應(yīng)用于電力場(chǎng)景,。其數(shù)據(jù)只允許系統(tǒng)內(nèi)的機(jī)構(gòu)進(jìn)行讀取修改和訪問(wèn)等活動(dòng),通過(guò)制定接入準(zhǔn)測(cè)和訪問(wèn)權(quán)限,,保證系統(tǒng)安全性,。聯(lián)盟鏈的典型開(kāi)發(fā)平臺(tái)是Hyperledger項(xiàng)目,它提供一個(gè)模塊化的構(gòu)架,,實(shí)現(xiàn)節(jié)點(diǎn),、鏈碼(智能合約)執(zhí)行以及可配置的共識(shí)和成員服務(wù)。在接入認(rèn)證方面,,通過(guò)MSP(Membership Service Provider)服務(wù),,實(shí)現(xiàn)X.509證書(shū)管理和成員身份驗(yàn)證。本文基于Hyperledger聯(lián)盟鏈架構(gòu),,研究適用于電力物聯(lián)網(wǎng)的分布式認(rèn)證策略,,改進(jìn)傳統(tǒng)物聯(lián)網(wǎng)安全協(xié)議中對(duì)認(rèn)證中心節(jié)點(diǎn)的依賴,實(shí)現(xiàn)群體接入認(rèn)證,,在保證安全的前提下,,提高電力物聯(lián)網(wǎng)中大量節(jié)點(diǎn)并發(fā)接入的響應(yīng)速度。
1 相關(guān)工作
傳統(tǒng)物聯(lián)網(wǎng)安全接入認(rèn)證方面的研究多側(cè)重于降低安全算法的計(jì)算復(fù)雜度,、存儲(chǔ)復(fù)雜度和通信開(kāi)銷(xiāo),,例如CHANG Q等人[1]提出了一種基于橢圓曲線加密算法的無(wú)線傳感節(jié)點(diǎn)認(rèn)證協(xié)議;鄒長(zhǎng)忠等人[2]提出的基于節(jié)點(diǎn)ID驗(yàn)證的抗DoS攻擊節(jié)點(diǎn)認(rèn)證協(xié)議在保證良好攻擊防御性的前提下,,降低了認(rèn)證的時(shí)間開(kāi)銷(xiāo)和網(wǎng)絡(luò)的通信負(fù)載,。在去中心化的分布式認(rèn)證方面,有研究者提出了采用秘密共享概念的分布式節(jié)點(diǎn)認(rèn)證機(jī)制[3],,通過(guò)利用節(jié)點(diǎn)的ID生成會(huì)話密鑰或采用數(shù)字簽名算法達(dá)到安全認(rèn)證的目的,。
基于公鑰基礎(chǔ)設(shè)施(PKI)的身份認(rèn)證是目前較為成熟的認(rèn)證技術(shù),目前的算法中為了實(shí)現(xiàn)其分布式應(yīng)用,,往往采用門(mén)限密碼機(jī)制,,需要消耗較大的計(jì)算和通信開(kāi)銷(xiāo),不利于在電力物聯(lián)網(wǎng)中大范圍部署,。為了達(dá)到去中心化的效果,,有學(xué)者開(kāi)始研究區(qū)塊鏈技術(shù)在身份認(rèn)證領(lǐng)域的應(yīng)用。文獻(xiàn)[4]基于比特幣系統(tǒng)提出了分布式PKI認(rèn)證體系,,但是存在用戶公鑰等敏感信息泄露的問(wèn)題,。針對(duì)這個(gè)問(wèn)題,文獻(xiàn)[5]提出了一種帶隱私保護(hù)的PKI認(rèn)證方案進(jìn)行改進(jìn)。文獻(xiàn)[6]基于以太坊平臺(tái)提出了提高證書(shū)撤銷(xiāo)和證書(shū)查詢效率的方案,。
在聯(lián)盟鏈方面,,佘維等人[7]針對(duì)分布式能源交易認(rèn)證中的安全問(wèn)題,探討了基于聯(lián)盟鏈的分布式能源交易認(rèn)證模型,。通過(guò)區(qū)塊鏈權(quán)益證明,、數(shù)據(jù)加密、時(shí)間戳和分布式共識(shí)的方法,,提高了分布式能源交易數(shù)據(jù)安全性,、信息透明度和自動(dòng)化認(rèn)證水平。
目前基于區(qū)塊鏈的物聯(lián)網(wǎng)接入認(rèn)證方案大多基于公共區(qū)塊鏈平臺(tái),,實(shí)現(xiàn)了分布式PKI的模擬,,但未能針對(duì)電力物聯(lián)網(wǎng)業(yè)務(wù)將聯(lián)盟鏈和輕量級(jí)分布式認(rèn)證協(xié)議進(jìn)行有效的整合,難以滿足智能電網(wǎng)和能源互聯(lián)網(wǎng)去中心化,、泛在接入,、廣域互聯(lián)的需求。本文基于Hyperledger架構(gòu),,設(shè)計(jì)分布式門(mén)限加密認(rèn)證算法,,提高電力物聯(lián)網(wǎng)分布式安全級(jí)別,支撐安全可靠的電力物聯(lián)網(wǎng)應(yīng)用,。
2 預(yù)備知識(shí)
2.1 Hyperledger區(qū)塊鏈
超級(jí)賬本(Hyperledger)是Linux基金會(huì)于2015年發(fā)起的開(kāi)源區(qū)塊鏈項(xiàng)目,,目標(biāo)是滿足行業(yè)用戶案例,并簡(jiǎn)化業(yè)務(wù)流程,?;谕耆蚕怼⑼该骱腿ブ行幕卣?,Hyperledger非常適合制造、能源,、物聯(lián)網(wǎng)等行業(yè)應(yīng)用,。
Hyperledger由成員服務(wù)(Membership)、區(qū)塊鏈服務(wù)(Blockchain)和鏈碼服務(wù)(Chaincode)3個(gè)組件構(gòu)成,,具有成員節(jié)點(diǎn)身份驗(yàn)證,、共識(shí)算法靈活、智能合約易于實(shí)現(xiàn)等優(yōu)點(diǎn),。Hyperledger架構(gòu)如圖1所示,。
不同于以太坊等區(qū)塊鏈平臺(tái),Hyperledger在成員服務(wù)中,,利用PKI 體系,、數(shù)字證書(shū)、加解密算法等安全技術(shù),加強(qiáng)了身份證書(shū)管理服務(wù),,實(shí)現(xiàn)了權(quán)限管理,、交易加解密、分布式賬本機(jī)制等模塊化可拔插架構(gòu),,用戶可以根據(jù)業(yè)務(wù)需要靈活部署應(yīng)用,。
在區(qū)塊鏈服務(wù)中,分布式賬本是最核心的結(jié)構(gòu),,基于前后關(guān)聯(lián)的鏈?zhǔn)浇Y(jié)構(gòu),,Hyperledger通過(guò)P2P網(wǎng)絡(luò)、數(shù)據(jù)庫(kù)和共識(shí)機(jī)制,,記錄應(yīng)用信息,。應(yīng)用則通過(guò)發(fā)起交易來(lái)向賬本中記錄數(shù)據(jù)。
智能合約部分通過(guò)鏈碼服務(wù)實(shí)現(xiàn),,鏈碼基于容器,、狀態(tài)機(jī)等技術(shù),可基于第三方開(kāi)發(fā)語(yǔ)言和相應(yīng)SDK實(shí)現(xiàn),,應(yīng)用程序可以通過(guò)API實(shí)現(xiàn)安全的業(yè)務(wù)邏輯和功能,。
超級(jí)賬本Fabric平臺(tái)采用兩種類型節(jié)點(diǎn):(1)order節(jié)點(diǎn),負(fù)責(zé)執(zhí)行數(shù)據(jù)的讀寫(xiě),、查詢操作,,借助區(qū)塊鏈共識(shí)算法、一致性協(xié)議,,維護(hù)區(qū)塊鏈賬本數(shù)據(jù)庫(kù),;(2)Peer節(jié)點(diǎn),用來(lái)連接用戶和鄰近的Peer節(jié)點(diǎn),,執(zhí)行查詢驗(yàn)證操作,,不執(zhí)行記入交易數(shù)據(jù)操作。
在基于Hyperledger的區(qū)塊鏈認(rèn)證系統(tǒng)中,,電力物聯(lián)網(wǎng)終端APP從CA獲取合法的數(shù)字證書(shū),,使用SDK訪問(wèn)Fabric網(wǎng)絡(luò)并發(fā)起認(rèn)證請(qǐng)求,構(gòu)造交易申請(qǐng)并提交給Endorser 進(jìn)行背書(shū),,終端收集到足夠的背書(shū)支持后可以構(gòu)造一個(gè)合法的請(qǐng)求,,發(fā)給Orderer進(jìn)行記賬處理。
2.2 Difffe-Hellman密鑰交換
Diffe-Hellman算法是電力物聯(lián)網(wǎng)系統(tǒng)中常用的密鑰交換算法,,該算法基于有限域中離散對(duì)數(shù)難解問(wèn)題,,可在公開(kāi)信道中安全交換密鑰信息。假設(shè)密鑰交換雙方為Alice和Bob,,算法步驟如下:
初始化階段,,雙方約定隨機(jī)選取的大素?cái)?shù)n和原始根g,。
Alice產(chǎn)生一個(gè)秘密的隨機(jī)數(shù)x,計(jì)算X=gx mod n并通過(guò)公開(kāi)信道發(fā)送給Bob,。
Bob產(chǎn)生一個(gè)秘密的隨機(jī)數(shù)y,,計(jì)算Y=gy mod n并通過(guò)公開(kāi)信道發(fā)送給Alice。
A通過(guò)計(jì)算Key=Yx mod n獲得密鑰Key,,B通過(guò)計(jì)算Key=Xy mod n獲得密鑰Key,。
3 認(rèn)證模型和算法
3.1 認(rèn)證模型
身份認(rèn)證技術(shù)是通過(guò)密碼學(xué)手段在計(jì)算機(jī)系統(tǒng)中確認(rèn)實(shí)體對(duì)某種資源或服務(wù)是否有訪問(wèn)權(quán)限的方法和機(jī)制[8]。電力物聯(lián)網(wǎng)中終端節(jié)點(diǎn)數(shù)量多,、單點(diǎn)計(jì)算存儲(chǔ)能力弱,,其身份認(rèn)證需要采用效率高的方案?;趨^(qū)塊鏈技術(shù)的電力物聯(lián)網(wǎng)分布式認(rèn)證過(guò)程中,,從電力應(yīng)用場(chǎng)景中選擇同屬一個(gè)應(yīng)用或者覆蓋區(qū)域的終端認(rèn)證組,負(fù)責(zé)對(duì)新接入的節(jié)點(diǎn)進(jìn)行接入認(rèn)證,。終端認(rèn)證組節(jié)點(diǎn)通過(guò)電力物聯(lián)網(wǎng)業(yè)務(wù)流程和規(guī)范對(duì)新入節(jié)點(diǎn)進(jìn)行準(zhǔn)入投票,,獲得51%的節(jié)點(diǎn)通過(guò)后獲得認(rèn)證區(qū)塊鏈記賬權(quán)限,調(diào)用Hpyerledger功能創(chuàng)建區(qū)塊鏈節(jié)點(diǎn),。具體認(rèn)證模型如圖2所示,。
其中,認(rèn)證過(guò)程可分為3個(gè)階段:(1)終端節(jié)點(diǎn)向接入網(wǎng)關(guān)發(fā)送接入請(qǐng)求,,網(wǎng)關(guān)對(duì)請(qǐng)求進(jìn)行應(yīng)答,,終端獲得內(nèi)網(wǎng)訪問(wèn)權(quán)限;(2)終端向認(rèn)證組中的排序節(jié)點(diǎn)發(fā)送認(rèn)證請(qǐng)求,,認(rèn)證組Peer節(jié)點(diǎn)發(fā)起分布式認(rèn)證,,排序節(jié)點(diǎn)結(jié)合認(rèn)證結(jié)果訪問(wèn)超級(jí)賬本系統(tǒng)并記賬,記賬完成后返回認(rèn)證結(jié)果,;(3)認(rèn)證組排序節(jié)點(diǎn),,向接入網(wǎng)關(guān)下發(fā)令牌,接入網(wǎng)關(guān)將授權(quán)令牌反饋給終端,,終端因此獲得業(yè)務(wù)接入權(quán)限,。
3.2 認(rèn)證算法
認(rèn)證算法分為注冊(cè)階段、密鑰協(xié)商階段和認(rèn)證階段三個(gè)過(guò)程:注冊(cè)階段生成公鑰和私鑰,,排序節(jié)點(diǎn)公布系統(tǒng)參數(shù),認(rèn)證組節(jié)點(diǎn)根據(jù)系統(tǒng)公布的參數(shù)生成自己的秘密多項(xiàng)式,;密鑰協(xié)商階段,,排序節(jié)點(diǎn)廣播發(fā)送認(rèn)證請(qǐng)求報(bào)文,認(rèn)證組Peer節(jié)點(diǎn)通過(guò)電力物聯(lián)網(wǎng)業(yè)務(wù)邏輯選擇對(duì)新接入節(jié)點(diǎn)的準(zhǔn)入結(jié)果,,如果同意節(jié)點(diǎn)接入,,則向排序節(jié)點(diǎn)提交簽名,,排序節(jié)點(diǎn)得到多于門(mén)限數(shù)量份簽名后可以形成認(rèn)證許可,發(fā)送給電力物聯(lián)網(wǎng)接入網(wǎng)關(guān)作為認(rèn)證依據(jù),;認(rèn)證階段,,網(wǎng)關(guān)可通過(guò)公開(kāi)參數(shù)中的群公鑰驗(yàn)證簽名的合法性。
得到群密鑰Sk,,說(shuō)明滿足門(mén)限數(shù)量的合法終端已經(jīng)確認(rèn)對(duì)新入終端的認(rèn)證,。排序節(jié)點(diǎn)將認(rèn)證信息提交記賬節(jié)點(diǎn),生成新的區(qū)塊,,同時(shí),,用Sk加密令牌,將結(jié)果發(fā)送給網(wǎng)關(guān),。
網(wǎng)關(guān)用公鑰Pk解密令牌,,發(fā)送給請(qǐng)求入網(wǎng)的電力物聯(lián)網(wǎng)終端,認(rèn)證結(jié)束,。
4 仿真驗(yàn)證
本節(jié)通過(guò)在實(shí)驗(yàn)室部署Hyperledger和鏈碼來(lái)模擬電力物聯(lián)網(wǎng)接入認(rèn)證過(guò)程,,用于驗(yàn)證本文所提算法的有效性。實(shí)驗(yàn)環(huán)境為Intel CoreTM i7-7700HQ [email protected] GHz,,8 GB內(nèi)存,,CentOS 7操作系統(tǒng)。仿真實(shí)驗(yàn)時(shí),,模擬終端發(fā)起接入認(rèn)證請(qǐng)求,,用docker模擬認(rèn)證組節(jié)點(diǎn)和排序節(jié)點(diǎn),通過(guò)在鏈碼上部署認(rèn)證算法進(jìn)行接入認(rèn)證仿真,。所有仿真數(shù)據(jù)為運(yùn)行10次的平均值,。
圖3 是不同節(jié)點(diǎn)數(shù)量下接入認(rèn)證時(shí)間的曲線圖,可以看出,,認(rèn)證時(shí)間隨節(jié)點(diǎn)數(shù)量的增加呈增大趨勢(shì),,但是增大幅度有所降低,這是因?yàn)殡S著節(jié)點(diǎn)數(shù)量的增加,,基于區(qū)塊鏈的接入認(rèn)證方案通過(guò)分布式認(rèn)證降低了系統(tǒng)總體開(kāi)銷(xiāo),,效率較集中式接入認(rèn)證有所提高。
圖4是系統(tǒng)并發(fā)數(shù)量與認(rèn)證網(wǎng)關(guān)CPU負(fù)載的關(guān)系圖,,數(shù)據(jù)顯示,,并發(fā)數(shù)量增加會(huì)導(dǎo)致接入網(wǎng)關(guān)CPU負(fù)載增高,這是因?yàn)榫W(wǎng)關(guān)需要處理更多的認(rèn)證信息,,但是負(fù)載總體情況在可接受的范圍內(nèi),。
5 結(jié)論
電力物聯(lián)網(wǎng)是信息通信技術(shù)和電力系統(tǒng)基礎(chǔ)設(shè)施的有效融合,對(duì)電網(wǎng)發(fā),、輸,、變,、配、用電等環(huán)節(jié)提供了重要技術(shù)支撐,。本文基于超級(jí)賬本區(qū)塊鏈技術(shù),,提出了適用于電力物聯(lián)網(wǎng)的分布式接入認(rèn)證系統(tǒng),可提高電力物聯(lián)網(wǎng)系統(tǒng)安全性和有效性,。下一步將在電網(wǎng)實(shí)際應(yīng)用場(chǎng)景中,,研究基于區(qū)塊鏈的高并發(fā)的電力物聯(lián)網(wǎng)終端接入技術(shù)。
參考文獻(xiàn)
[1] CHANG Q,,ZHANG Y G,,QIN L L.A node authentication protocol based on ECC in WSN[C].International Conference on Computer Design And Appliations(ICCDA 2010),NJ United States:IEEE Computer Society,,2010,,2:606-609.
[2] 鄒長(zhǎng)忠.線傳感器網(wǎng)絡(luò)中基于節(jié)點(diǎn)ID驗(yàn)證的防御DOS攻擊策略[J].小型微型計(jì)算機(jī)系統(tǒng),2012,,33(3):486-491.
[3] HAIMABATI D,RAJA D.Monitoring threshold cryptography based wireless sensor networks with projective plane[C].5th International Conference on Computers and Devices for Communication(CO-DEC),,Kanyakumari,,India,Washington DC United States:IEEE Computer Society,2012:1-4.
[4] SUN Y,,YU Y,,LI X,et al.Batch verifiable computation with public verifiability for outsourcing polynomials and matrix computations[C].Proceedings of the 21st Australasian Conference on Information Security and Privacy:Part I,,LNCS 9722.Cham:Springer,,2016:293-309.
[5] 張昕偉,張華,,郭肖旺,,等.基于區(qū)塊鏈的電子投票選舉系統(tǒng)研究分析[J].電子技術(shù)應(yīng)用,2017,,43(11):132-135.
[6] GARG S,,GENTRY C,HALEVI S.Candidate multilinear maps from ideal lattices[C].EUROCRYPT 2013:Proceedings of the2013 Annual International Conference on the Theory and Applications of Cryptographic Techniques,,LNCS 7881.Berlin:Springer,,2012:1-17.
[7] 佘維,胡躍,,楊曉宇,,等.基于能源區(qū)塊鏈網(wǎng)絡(luò)的虛擬電廠運(yùn)行與調(diào)度模型[J].中國(guó)電機(jī)工程學(xué)報(bào),2017,,37(13):3729-3736.
[8] 徐琳,,溫蜜,李晉國(guó).智能配電網(wǎng)中具有隱私保護(hù)的數(shù)據(jù)安全認(rèn)證方案[J].電子技術(shù)應(yīng)用,,2015,,41(12):98-101.
作者信息:
陳孝蓮1,徐曉海2,,過(guò) 烽1,,李 洋3,蔡世龍3,,高 雪3
(1.國(guó)網(wǎng)無(wú)錫供電公司,,江蘇 無(wú)錫214002;2.國(guó)網(wǎng)鎮(zhèn)江供電公司,,江蘇 鎮(zhèn)江212050,;
3.南瑞集團(tuán)有限公司(國(guó)網(wǎng)電力科學(xué)研究院),江蘇 南京211106)