基于區塊鏈的配電物聯網無線安全接入研究

李翌昊 高齊澤

DOI：10.19850/j.cnki.2096-4706.2021.09.042

摘? 要：海量異構終端對配電物聯網終端安全接入提出了更高的要求，為解決傳統身份認證技術帶來的一系列安全問題，提出一種利用區塊鏈進行身份認證的配電物聯網無線安全接入方案。方案使用區塊鏈技術存儲并驗證終端身份信息，在實現接入過程去中心化的同時確保終端的安全接入、保障終端身份信息的安全可靠和避免非法節點的接入，有效規避重放攻擊、中間人攻擊等多種網絡攻擊行為，滿足電力系統對實時性和可靠性的安全需求。

關鍵詞：配電物聯網;區塊鏈;無線安全接入;去中心化;網絡攻擊

中圖分類號：TP309;TP311.1? ? ? ?文獻標識碼：A 文章編號：2096-4706（2021）09-0162-05

Research on Wireless Secure Access of Distribution Internet of Things?Based on Blockchain

LI Yihao，GAO Qize

（Department of Computer，North China Electric Power University（Baoding），Baoding? 071003，China）

Abstract：Massive heterogeneous terminals put forward higher requirements for the secure access of distribution internet of things terminals. In order to solve a series of security problems brought by traditional identity authentication technology，a wireless secure access scheme of distribution internet of things using blockchain for identity authentication is proposed. This scheme uses blockchain technology to store and verify terminal identity information. While realizing the decentralization of the access process，it ensures the secure access of the terminal，guarantees the safety and reliability of the terminal identity information，and avoids the access of illegal nodes. It can also effectively avoid multiple network attacks such as replay attacks and man-in-the-middle attacks，and meet the security requirements of power systems for real-time and reliability.

Keywords：distribution internet of things;blockchain;wireless secure access;decentralization;network attack

0? 引? 言

隨著電網規模越來越大，電力系統發、輸、變、配、用電等環節都廣泛使用了工業物聯網技術，因此保障電力系統的穩定運行、推動電網向能源互聯網轉型升級顯得尤其重要^[1-3]。配電物聯網是泛在電力物聯網的重要組成部分，是連接用戶和輸電網的重要橋梁，海量的終端設備主要應用于配電物聯網并廣泛使用無線公網方式進行數據傳輸，因此配電物聯網在網絡安全防護方面有更高的要求^[4-6]。當前配電物聯網的建設面臨諸多挑戰，需要應對諸如重放攻擊、內部攻擊、中間人攻擊、系統漏洞和病毒侵入等一系列的問題^[7-9]。為此研究人員建立了相應的網絡安全防護體系，身份認證技術就是其中的關鍵技術之一^[10-14]。

區塊鏈技術是一種互聯網數據庫技術，具有去中心化、不可篡改性、匿名性、可追溯性等優點。區塊鏈可以依靠其分布式賬本、非對稱加密、共識機制和智能合約四大核心技術，實現對數據信息的永久存儲、可追溯和防篡改。區塊鏈技術能夠在不借助第三方機構介入的情況下使用戶之間及用戶與區塊鏈產品之間產生和保持信任^[15]。目前已應用于金融業、物流業、互聯網等多個領域。文獻^[16]提出一種基于區塊鏈的法律證據管理方案LEChain，用以監督警方調查期間搜證和取證的整個證據流及法院數據。文獻^[17]提到區塊鏈技術在電子健康領域有巨大潛力，例如可以進行電子健康記錄的安全共享、多個醫療實體間的數據訪問管理等。

目前區塊鏈技術在電力系統的應用尚少，相關的應用探索剛剛起步^[18]。文獻^[19]利用區塊鏈思維將區塊鏈技術與物聯網相結合，提出了基于區塊鏈的電力設備泛在物聯網建設方案，闡述了在物聯網區塊鏈應用中的分區并行高通量聯盟鏈、跨鏈通信、共識算法、智能合約、加密算法和數據壓縮等關鍵技術。文獻^[20]提出了一種新型的深度學習和基于區塊鏈的智能電網能源框架DeepCoin。文獻^[21]提出了適用于電力物聯網的分布式認證方案，并且研制了基于區塊鏈的電力泛在業務接入網關。本文結合具體的配電物聯網應用場景，提出了一種基于區塊鏈的配電物聯網無線安全接入方案，解決配電物聯網中因海量異構終端的接入導致的網絡安全問題，保障終端身份信息的安全可靠。

1? 應用場景

1.1? 智能配變終端

智能配變終端TTU（distribution Transformer supervisory Terminal Unit）安裝在配電室或配電變壓器處，負責對電力供配電系統中的配電變壓器進行信息采集和處理的終端設備。基于“硬件平臺化、業務APP化”的設計理念，TTU主要由電源模塊、遠程/就地通信模塊、軟件平臺模塊、核心性能處理模塊、安防模塊五個部分組成。TTU能夠實時監測配電變壓器的運行工況，并且將所采集的信息傳到主站或者其他的智能裝置，同時提供配電系統運行控制及管理所需要的數據，為低壓配電網絡優化提供最真實最準確的決策依據。

1.2? 應用場景描述

用戶表箱里有若干末端感知終端，將采集的數據信息通過微功率無線傳輸或者電力線載波方式傳送至TTU^[22]。例如智能電表可以采集用戶端的電流、電量和電壓等數據信息，再通過集中器匯總上送相關數據信息至TTU。TTU匯聚傳送上來的數據信息后，通過無線網絡，上傳給配電自動化系統和用電采集系統。本文提出的基于區塊鏈的配電物聯網無線安全接入方案就應用于TTU通過無線網絡上傳數據信息的過程中，如圖1所示。

2? 基于區塊鏈的配電物聯網無線安全接入方案

基于區塊鏈的配電物聯網無線安全接入方案分為注冊階段和認證階段兩個部分：

（1）注冊階段。通信終端向認證中心提出注冊請求。認證中心收到請求后，判斷該設備是否已經注冊過，若沒有該設備的記錄則將其相關信息存儲到認證中心維護的認證區塊鏈中，并將生成的用戶證明發回給通信終端。

（2）認證階段。通信終端向認證網關發出接入請求，認證網關經過初步篩選后將符合要求的接入請求發送到認證中心。認證中心通過利用認證區塊鏈的共識機制得到認證結果并反饋給認證網關，認證網關再根據認證結果決定是否允許該設備接入網絡。

下文接入過程以某一通信終端A為例。

2.1? 注冊階段

第一階段：A先用認證中心公鑰PKCA，再用A的私鑰SKA加密注冊信息（包括業務類型標識、A的唯一身份標識等信息），然后將加密的注冊信息發送給認證中心，以此提出注冊申請。認證中心收到加密的注冊信息后，先用A的公鑰PKA，再用認證中心私鑰SKCA解密注冊信息，然后生成包含有效期、權限、業務類型標識、A的唯一身份標識等注冊信息的數字證書，再利用雜湊函數對其進行運算生成用戶證明HCert。

第二階段：利用認證區塊鏈的共識機制檢查A的用戶證明是否已經存在，若不存在則可以進入下一階段。選擇認證區塊鏈節點形成認證組的過程和共識過程與認證階段中第三階段的步驟2相同。

第三階段：在認證中心維護的認證區塊鏈中生成一個帶時間戳的新節點，用于存儲A的用戶證明HCert。

第四階段：認證中心向A發回先由認證中心私鑰SKCA、再由A的公鑰PKA加密后的用戶證明PKA（SKCA（HCert））。其注冊階段過程如圖2所示。

2.2? 認證階段

第一階段：向認證網關發出接入請求。

步驟1：A首先利用共享密鑰K1（K1為A和認證網關的共享密鑰）計算請求信息X（包括請求時間、請求業務類型、設備類型）的消息認證碼CK1（X），并將消息認證碼CK1（X）、請求信息X和用戶證明HCert先用A的私鑰SKA、再用認證網關公鑰PKG加密后（SKA（PKG（X||CK1（X）||HCert））發送給認證網關，向認證網關發出接入請求。

步驟2：認證網關收到后，先使用A的公鑰PKA、再使用認證網關私鑰SKG解密收到的信息，根據收到的請求信息X和共享密鑰K1計算CK1（X），然后對比CK1（X）和CK1（X），一致則進入下一階段;若不一致，拒絕該通信設備的接入請求并留存記錄。

認證網關在第一階段（包括步驟1和步驟2）的工作如圖3所示。

第二階段：認證網關初步篩選。

認證網關對發來的請求信息X進行初步篩選，例如：業務類型和設備類型不相符，拒絕該通信設備的接入請求;請求時間不在接收時間范圍內，拒絕該通信設備的接入請求;留存記錄中有該通信設備多次接入失敗的記錄且距此次發出請求的時間間隔較短，拒絕該通信設備的接入請求等。

第三階段：身份認證。

進入身份認證模塊，利用區塊鏈技術，對有關信息進行快速共識驗證：

步驟1：認證網關用認證網關私鑰SKG加密收到的用戶證明HCert、請求時間Time和由請求時間、共享密鑰K2（K2為認證網關和認證中心的共享密鑰）計算出的消息認證碼CK2（Time）（SKG（HCert||Time||CK2（Time））），并將其發送給認證中心，提出認證請求。

步驟2：認證中心用認證網關公鑰PKG解密收到的請求信息，對比CK2（Time）與CK2（Time）一致且消息發送時間范圍合理后，認證中心響應認證請求，以響應請求的時間Rtime為隨機數種子，生成隨機數，以此在其維護的認證區塊鏈中選擇出參與共識驗證的節點形成認證節點組。認證過程如圖4所示。

步驟3：認證節點組運用共識機制得到認證結果后，將認證結果提交給認證中心，認證中心再將用自己私鑰加密后的認證結果反饋給認證網關。每個認證組節點數為3f+1，f為拜占庭節點個數，節點0為主節點，具體工作為：

（1）request階段：認證中心發送用戶證明到認證組中的節點0。

（2）pre-prepare階段：節點0接收到由認證中心發送來的用戶證明后，向組內其余節點發送pre-prepare消息。

（3）prepare階段和commit階段：非主節點收到pre-prepare消息后，判斷是否接受，如果接受則向組內其他節點發送promise消息。如果認證組中的某個節點收到了2f+1個promise消息，該節點就向外廣播commit消息。

（4）reply階段：當節點0收到2f+1個commit消息時，就將認證結果提交給認證中心，本輪共識達成，成功認證身份。

第四階段：接入網絡。

認證網關收到認證結果，若認證成功即允許A接入相應的網絡;若認證失敗則拒絕A接入網絡并留存記錄。其認證階段過程如圖5所示。

3? 性能分析

3.1? 安全性

3.1.1? 偽裝攻擊

區塊鏈采用分布式存儲方式，任意節點行為均受全網監督，惡意用戶在這種情況下無法偽裝進行欺詐行為，因此本方案可以防止偽裝攻擊。

3.1.2? 重放攻擊

認證網關收到請求信息后，會對其進行初步篩選，例如在留存記錄中有此設備多次接入失敗的記錄且距離此次發出請求的時間間隔較短，對此次請求不予應答。而認證機構在收到認證網關發來的請求信息后也會對其中的請求時間進行驗證是否在接收窗口內。

3.1.3? DDoS攻擊

區塊鏈利用P2P分布式網絡架構實現去中心化，因此每個節點都高度自治。即便認證組中的某個節點出現故障無法正常工作，其他節點仍然可以進行信息交互，通過共識機制向認證中心提交認證結果，不會導致系統崩潰。相比中心化的傳統認證方式，本方案在應對分布式拒絕服務攻擊DDoS時更有效。

3.1.4? 內部攻擊

本方案對數字證書進行哈希處理生成用戶證明。雜湊函數具有單向性和防碰撞性，即使惡意通信終端竊聽到了合法通信終端的請求信息X，根據用戶證明HCert也幾乎不可能推測出合法通信終端的身份信息，從而有效防止內部攻擊。

3.1.5? 中間人攻擊

本方案在各階段進行信息交互時都應用了數字簽名機制，可以保證交互信息的真實性。此外，本方案還使用了消息認證機制以保證通信終端發送的信息的完整性，因此可以規避中間人攻擊。

將本文提出的基于區塊鏈的配電物聯網無線安全接入方案與文獻^[21]、文獻^[23]和文獻^[24]提出的方案進行比較。文獻^[21]提出的是電力系統安全穩定控制終端接入方案，文獻^[23]提出的是基于橢圓曲線密碼的改進認證方案，文獻^[24]提出的是基于區塊鏈的電力物聯網接入方案，對比結果如表1所示。

3.2? 運算量分析

運算量分析主要表現為方案運算簡單、系統開銷小，本方案與文獻^[23]提出的傳統認證方案在運算量方面進行了比較，對比結果如表2所示。文獻^[23]的方案描述各階段信息傳送時都是使用安全信道傳輸，因此本文將其加密、解密次數統計為0。通過比較，可以認為本方案在應用區塊鏈技術后，使得方案運算量較傳統認證方案減少了。

4? 結? 論

配電物聯網安全防護是當前泛在電力物聯網發展的重要組成部分，是保障電力安全穩定運行的基礎。本文主要研究配電物聯網終端設備的接入認證技術，旨在解決海量的物聯網終端與上級平臺交互時的身份認證問題。首先分析了配電物聯網目前所面臨的網絡安全風險。其次介紹了區塊鏈技術的應用現在和優勢。最后結合配電物聯網中智能配變終端TTU通過無線網絡上送數據信息的具體工作場景，提出了一種利用區塊鏈去中心化的技術進行身份認證的無線安全接入方案并對其進行安全性和運算量兩個方面的性能分析。該方案使得終端身份接入時認證與授權分離，實現接入過程的弱中心化，同時確保終端的安全接入和保障終端身份信息的安全可靠。因此，該方案可以解決配電物聯網現有認證方式下可能存在的業務高峰期中心節點過載、中心節點故障導致全網崩潰、中心節點被攻擊導致終端身份信息泄露等一系列中心化程度過高引起的安全問題，同時提高認證效率，滿足電力系統對安全性、及時性和可靠性的多種需求。

參考文獻：

[1] 王鶴，李石強，于華楠，等.基于分布式壓縮感知和邊緣計算的配電網電能質量數據壓縮存儲方法 [J].電工技術學報，2020，35（21）：4553-4564.

[2] 王靜雯，李華強，李旭翔，等.綜合能源服務效用模型及用戶需求評估 [J].中國電機工程學報，2020，40（2）：411-425.

[3] 何奉祿，陳佳琦，李欽豪，等.智能電網中的物聯網技術應用與發展 [J].電力系統保護與控制，2020，48（3）：58-69.

[4] 戴銘，王宇，趙金平.配電物聯網的信息安全方案分析 [J].智能電網，2020，10（5）：225-230.

[5] 趙萌萌，唐平舟，孫堃，等.泛在電力物聯網發展與展望 [J].華北電力大學學報（自然科學版），2020，47（5）：63-74.

[6] 呂軍，欒文鵬，劉日亮，等.基于全面感知和軟件定義的配電物聯網體系架構 [J].電網技術，2018，42（10）：3108-3115.

[7] 呂軍，盛萬興，劉日亮，等.配電物聯網設計與應用 [J].高電壓技術，2019，45（6）：1681-1688.

[8] 王哲，趙宏大，朱銘霞，等.電力無線專網在泛在電力物聯網中的應用 [J].中國電力，2019，52（12）：27-38.

[9] 曾鳴，劉英新，趙靜，等.“云大物移智”與泛在電力物聯網融合的安全風險分析及安全架構體系設計 [J].智慧電力，2019，47（8）：25-31.

[10] HOU R，REN G W，ZHOU C L，et al. Analysis and research on network security and privacy security in ubiquitous electricity Internet of Things [J].Computer Communications，2020（158）：64-72.

[11] HUANG J C，SHU M H，HSU B M，et al. Service architecture of IoT terminal connection based on blockchain identity authentication system [J].Computer Communications，2020（160）：411-422.

[12] GUO S Y，HU X，ZHOU Z Q，et al. Trust Access Authentication in Vehicular Network Based on Blockchain [J].中國通信，2019，16（6）：18-30.

[13] 田福糧，田秀霞，陳希.基于區塊鏈的智能電表身份認證方案 [J].華東師范大學學報（自然科學版），2018（5）：135-143+ 171.

[14] 馬曉婷，馬文平，劉小雪.基于區塊鏈技術的跨域認證方案 [J].電子學報， 2018，46（11）：2571-2579.

[15] LI X Y，ZHENG Z B，DAI H N. When services computing meets blockchain： Challenges and opportunities [J].Journal of Parallel and Distributed Computing，2021（150）：1-14.

[16] LI M，LAL C，CONTI M，et al. LEChain： A blockchain-based lawful evidence management scheme for digital forensics [J].Future Generation Computer Systems，2021（115）：406-420.

[17] NGUYEN D.C，PATHIRANA P.N，DING M，et al. Blockchain for Secure EHRs Sharing of Mobile Cloud Based E-Health Systems（Article） [J].IEEE Access，2019（7）：66792-66806.

[18] 魯倫.泛在電力物聯網主要特征分析及安全技術展望 [J].電力安全技術，2020，22（9）：8-10.

[19] 江秀臣，羅林根，余鐘民，等.區塊鏈在電力設備泛在物聯網應用的關鍵技術及方案 [J].高電壓技術，2019，45（11）：3393-3400.

[20] FERRAG M A，MAGLARAS L. DeepCoin：A Novel Deep Learning and Blockchain-Based Energy Exchange Framework for Smart Grids [J].IEEE Transactions on Engineering Management，2020，67（4）：1285-1297.

[21] 楊晗竹，完顏紹澎，胡光宇，等.基于區塊鏈的電力泛在業務接入網關的研究 [J]. 廣東電力，2020，33（8）：54-61.

[22] 鮑音夫，張平，陳浩然，等.基于泛在電力物聯網的智能配變終端應用 [J].東北電力技術，2020，41（1）：1-3.

[23] 殷秋實，陳建華.多服務器環境下基于橢圓曲線密碼的改進的身份認證協議 [J].計算機科學，2018，45（6）：111-116+150.

[24] 陳孝蓮，虎嘯，沈超，等.基于區塊鏈的電力物聯網接入認證技術研究 [J].電子技術應用，2019，45（11）：77-81.

作者簡介：李翌昊（2001—），女，漢族，廣東韶關人，本科在讀，研究方向：網絡安全;高齊澤（2001—），男，漢族，江蘇鹽城人，本科在讀，研究方向：網絡安全。

收稿日期：2021-04-25