改進PBFT算法的配電物聯網接入認證方法

張銘泉，楊 甜，朵春紅

華北電力大學（保定）計算機系，河北 保定 071003

隨著新能源技術蓬勃發展，國家電網有限公司對建設配電系統的投入力度不斷加大，在保障居民用電需求、改善配電薄弱設施、提高供電安全性水平以及解決大規模終端接入等方面效果顯著[1]。伴隨人工智能、邊緣計算等技術賦能物聯網，配電網正逐步向配電物聯網轉型[2]。配電物聯網是智能電網結合物聯網技術形成的一種新型電力系統運行模式，可劃分為“云管邊端”四大核心層級[3]。“云”是實現海量終端設備即插即用等業務需求的云主站平臺；“管”是完成信息高效傳輸的通道；“邊”是匯集和處理數據的開放式平臺；“端”是感知狀態并控制執行的終端單元[4]。現行配電物聯網系統本質上是一種集中式的數據處理和存儲模式，隨著海量低壓智能終端的接入，其安全問題日益突顯[5]。例如，在業務請求過程中系統中心節點故障，或中心節點數據被泄露篡改都可能會給國民經濟甚至國家安全造成重大損失。其次，當前電網系統信息交互頻繁，攻擊者可能會截獲某些設備的電力數據并偽裝成合法終端不斷向系統發送處理請求，增加系統負擔，使其無法正常運行。除此之外，還存在中間人攻擊、重放攻擊、內部攻擊等一系列網絡攻擊問題[6]。身份認證技術可以很好地解決上述問題，但基于公鑰基礎設施（public key infrastructure，PKI）的傳統認證方式依賴于第三方可信機構，且認證過程需頻繁進行證書交換，導致認證效率低、安全性差。并且終端設備數量多、分布廣，使用PKI認證會導致中心節點流量過大引起網絡延遲。因此，傳統PKI認證方式無法滿足配電系統對時效性和安全性的需求[7]。區塊鏈是一種將智能合約、共識機制和加密算法等深度融合的分布式存儲技術，可有效解決傳統認證方式擴展性差、中心節點不可靠等問題[8]。

本文針對配電物聯網規模龐大等特點，基于區塊鏈共識機制設計一種分布式認證方法，實現終端設備安全接入。

1 相關工作

隨著大規模電力設備的建設和入網，電力系統利用區塊鏈分布式特性進行身份認證成為未來發展趨勢之一。賴業寧等[9]基于區塊鏈和哈希表提出的分布式方案，用來驗證電網安全穩定控制終端，保障通信過程安全高效。Wang等[10]結合區塊鏈、橢圓曲線密碼、動態加入退出機制和批量驗證，為智能電表提出一種高效、可靠的認證協議。Li等[11]為智能電子設備設計的身份認證方法，將哈希鏈用作認證密碼，引入更新機制實現輕量級認證。張利華等[12]提出基于區塊鏈的微電網認證技術，通過零知識證明認證新節點身份，使用瑞波共識協議實現節點共識。陳洶等[13]基于聯盟鏈提出安全穩定控制系統認證方案，業務傳輸前對設備實行輕量級認證，保證系統通信安全。梅文明等[14]提出的分布式新能源安全接入方案，使用區塊鏈技術構建身份認證模型，通過智能合約將合法終端接入系統。Zhong等[15]提出智能電網分布式認證協議，使用智能合約實現終端身份認證及資源的通信授權功能。Wu等[16]提出電力終端跨域認證模型，可與原有身份認證系統兼容，但主從鏈通信會占用較多鏈路資源。劉期烈等[17]基于區塊鏈提出一種V2G匿名身份認證模型，實現電動汽車與充電站、數據中心三者間的相互認證。Xu等[18]提出基于區塊鏈的車聯網系統認證架構，路邊單元RSU根據共識算法驗證車輛身份，實現車輛之間信息交換和共享。

以上認證方法通過區塊鏈技術可有效避免傳統方式存在的單點化風險，但沒有考慮共識效率問題。PBFT是解決分布式系統一致性問題的常用算法，但由于其可擴展性差、多節點共識效率低、主節點選取簡單等問題在現實應用中受限。因此，研究人員對PBFT進行各種改進和創新。Yang等[19]提出的NBFT使用哈希算法將節點分組，使全局共識變成分層次多中心共識，減少通信次數。Li等[20]提出可擴展多層共識機制，將節點分層并限制組內通信，降低原有單層PBFT的通信復雜度。但以上兩種方法通過分層降低通信開銷要以犧牲一定的安全性為代價。Wu等[21]結合PBFT和PoS提出一種混合共識算法，通過可驗證加密排序方式將共識節點數量減少到恒定值，但引入PoS會影響系統的分布式性能。Zhang等[22]提出基于量化角色的拜占庭共識算法，計算節點可靠性評估分數，選擇高安全性節點共識，但容易使認證權集中在少數節點手中。伍星等[23]提出的Q-PBFT算法根據QoS值組建候選共識集，將PBFT共識協議優化為兩個階段，但其獎懲機制有待完善。Tang等[24]提出的tPBFT引入信任評分機制，簡化PBFT預準備階段，在回復階段實現哈希事務列表驗證。上述幾種方法通過減少共識節點數量甚至簡化一致性過程來降低交互開銷，但其選取主節點的方式不夠安全，若主節點接連被攻擊要頻繁進行視圖切換，嚴重影響共識效率，威脅系統安全。Li等[25]提出可伸縮的層次拜占庭容錯，算法中設置主節點選擇和彈劾機制，確保主節點安全。Zheng等[26]將C4.5算法與PBFT相結合，利用決策樹對節點信任度進行評估，引入積分投票機制確定領導節點。但這兩種方法對大規模節點系統來說認證效率較低。

基于以上研究發現，現有采用區塊鏈技術的身份認證系統主要是通過PBFT算法實現的，但傳統PBFT算法要求所有節點參與共識，導致系統共識效率急劇下降。上述提到的PBFT改進方法，主要存在降低通信開銷以系統安全為代價、選取共識節點的獎勵機制不完善、系統分布式性能下降、主節點選舉過程不夠安全、仍無法滿足大規模系統對認證效率的現實需求等問題。

鑒于以上問題，為實現配電物聯網大規模環境下終端設備接入過程安全且高效，本文從共識規模、主節點安全以及一致性協議三方面對PBFT算法進行改進，形成一種配電物聯網終端共識算法，既能保證共識結果安全可靠，又能大大提升終端認證效率。主要工作如下：（1）引入終端權重，根據權重選擇候選節點，從候選節點中隨機抽取認證節點，既能提升節點偽造成本又能避免認證權落在少數節點手中影響系統分布式性能；（2）引入VRF抽簽算法，通過VRF從認證組中確定主節點，由于VRF可本地抽簽，攻擊者無法提前得知主節點，有效降低視圖切換浪費的時間資源；（3）根據配電物聯網實際應用場景簡化PBFT算法的一致性協議，減少一次全網廣播，優化回復階段，降低網絡通信開銷。

2 基于PBFT改進的配電物聯網終端共識算法

2.1 傳統PBFT算法

實用拜占庭容錯算法（practical Byzantine fault tolerance，PBFT）主要包含客戶端、主節點、從節點三種角色，分為請求、預準備、準備、提交和回復五個步驟。假設系統節點總數為n，其中惡意節點數為F，正常節點數為n-F。F個惡意節點可能不返回任何消息，也可能返回錯誤消息。因此，當收到n-F個消息時系統就要做出判斷，但節點可能會出現延遲或宕機等情況，導致沒返 回消息的F個節點可能全是正常節點，而回復的n-F個節點中有F個惡意節點返回的錯誤信息。為達成共識，要保證返回消息的正常節點數量大于惡意節點數量，即n-F-F>F，且節點個數必須為整數，故n≥3F+1，也就是說規模為n的系統能容納F個惡意節點，即PBFT算法具有(n-1)/3的容錯性。同理，在最壞情況下，某一節點先收到F個惡意消息時，想要正常進入下一階段至少要再收到F+1個正確信息，即至少收到2F+1個信息才能進入下一階段。PBFT工作流程如圖1所示。

圖1 PBFT流程圖Fig.1 PBFT flow chart

請求階段：客戶端向主節點發送請求信息。

預準備階段：主節點接收請求并分配編號，生成預準備消息，廣播至所有從節點。

準備階段：從節點檢查預準備消息，若認同消息，則生成準備消息并向所有節點廣播，當存在2F+1個一致的準備消息時進入提交階段。

提交階段：所有節點廣播一條提交消息并執行事務列表中的請求，當節點收集到2F+1個提交信息后，生成新區塊。

回復階段：節點將響應結果返回給客戶端。客戶端收到F+1個相同響應，表明至少有一個正確消息返回，節點間達成共識。

由于PBFT算法具有可容錯性，當存在一定數量的惡意節點時，仍然能達成系統共識。但該算法要求所有節點參與共識，且每輪共識需要兩次全網廣播。當系統規模不斷增大時，帶寬消耗和共識延遲會急劇增大。因此，共識集群規模是導致PBFT算法性能受限的主要因素。

2.2 PBFT算法改進思路

PBFT算法的基本操作為準備和提交階段的兩次全網通信過程，每個階段的通信次數為n，則PBFT算法的通信復雜度為O(n?n)=O(n2)，隨著節點規模增大，系統共識時間將呈指數級增長。其按編號順序選取主節點的方式過于簡單，導致無論是否為拜占庭節點都有相等機會當選主節點。發現主節點進行惡意操作后，只能通過視圖切換保障共識協議繼續執行，極大威脅系統的安全性與公平性，降低共識效率。

針對上述問題，本文基于配電物聯網大規模終端應用場景，對原有PBFT算法進行以下改進，改進的共識算法流程如圖2所示。

圖2 改進的共識算法流程圖Fig.2 Flowchart of improved consensus algorithm

（1）引入角色劃分機制。將終端節點分為待接入節點、普通節點、候選節點和認證節點。將要接入配電物聯網系統的新終端稱為待接入節點；已經接入系統并上鏈存儲的節點稱為普通節點；假設系統所允許的最大拜占庭節點數為F，擇優選出2F+1個普通節點組成候選節點；從候選節點中隨機抽取若干節點作為認證節點。

（2）引入動態權重機制。通過公式計算節點權重值，每輪共識結束后根據節點行為進行動態調整。總是選擇權重最大的2F+1個節點組成候選節點，同時將權重作為抽取認證節點的依據。區塊鏈中攻擊者可能利用單個節點偽造多重身份，從而影響共識結果，造成女巫攻擊。引入權重機制可以提高傀儡節點偽造成本杜絕女巫攻擊，保證共識結果的正確性。

（3）優化主節點選取機制。引入可驗證隨機函數后，可實現節點本地抽簽，攻擊者無法提前得知主節點，保證數據打包過程足夠安全。由于VRF具有可驗證性，任何節點都可得到中簽節點廣播的證明，其結果無法偽造。

（4）簡化一致性協議，省略PBFT中的commit和reply階段。一致性是指分布式系統中所有節點給出的認證結果保持一致的性質，區塊鏈網絡中通過執行一致性協議實現區塊信息的一致性。PBFT完成prepare階段說明已經被足夠數量的合法節點驗證通過，即達成系統所需共識。commit階段的貢獻僅是統計票數，確保各節點知曉其他節點所處狀態，確認本輪共識是否達成，該功能可由區塊同步實現。reply階段是區塊鏈節點與客戶端的交互過程，而配電物聯網終端接入認證時由主節點生成新區塊，客戶端無需參與。優化的一致性協議可減少多次不必要通信，進一步提升共識效率。

2.3 改進的配電物聯網終端共識算法設計

2.3.1 引入權重更新機制

節點權重w是用來衡量節點性能的重要指標，當終端節點w值較高時，該節點的穩定性和可信度較高，很難被攻破。新節點接入網絡時，可由w值較高的部分節點通過共識機制對新節點進行身份驗證。由于w由影響因子α、權重值c共同決定，因此，權重正貢獻值（節點在共識過程中返回正確結果時產生的權重值）c1越高越好，權重負貢獻值（節點在共識過程中不返回或返回錯誤結果時產生的權重值）c2越低越好。由此，為w建立一種計算方法。假設某一終端節點i的權重為wi，初始值為0。一輪共識完成后，根據節點的共識表現對wi進行更新，計算公式如式（1）：

其中，w1為權重增長部分，w2為權重下降部分。

w1的計算公式如式（2）：

其中，α1為終端權重增長的影響因子，c1為權重正貢獻值，計算公式如式（3）：

其中，λ為當選候選節點次數，μ為當選認證節點次數，γ為當選主節點次數。節點日志文件中設有節點類型計數器，每輪共識結束后節點對自己在本輪共識中的節點類型進行記錄，如在一輪共識中當選主節點，執行γ+1,λ、μ、γ的值由計數器累加結果產生。為保證系統分布式性能不被減弱，要避免候選節點、認證節點、主節點三種類型的節點各自長期由相同節點擔任。因此，人為設定系統中λ、μ、γ的閾值分別為50，20，10。當其中任一參數超出閾值時，將計數器置零，重新計數。即當存在節點擔任50次候選節點或20次認證節點或10次主節點時，更新計數器，避免認證權落在少數節點手中。

w2的計算公式如式（4）：

其中，α2為終端權重下降的影響因子，c2為權重負貢獻值，計算公式如式（5）：

其中，M為節點發生故障的次數，N為節點給出惡意結果的次數。若節點日志文件中沒有當次共識記錄判定為節點故障，若節點日志中的共識結果與其他節點不一致則認為節點給出惡意結果。

假設α1=0.01,c1逐漸增大時，w1增長曲線如圖3所示。

圖3 w1增長速率Fig.3 w1growth rate

假設α2=0.02,c2逐漸增大時，w2增長曲線如圖4所示。

圖4 w2增長速率Fig.4 w2growth rate

從圖3、圖4可以看出，w1增長速度隨c1增加而減慢，w2增長速度隨c2增加而變快，由此來放大節點違背共識結果需要付出的代價，使其短時間無法恢復認證資格，杜絕節點連續作惡。當節點權重相同時，優先選擇新入終端或從未當選過的終端節點，并在共識輪次到達一定周期時，清空節點共識記錄，從零開始重新計算，避免認證權落在少數節點手中減弱系統分布式性能。

2.3.2 基于權重值的認證節點抽取設計

檢索2F+1個權重值最大的候選節點，從中隨機抽出若干數量認證節點形成分布式認證組。每一個候選節點被選為認證節點的概率為：

其中，分子為某個節點權重，分母為候選節點權重之和。這就使得節點被選中的概率與其權重相對應，節點權重越高，被選為認證節點可能性越大，認證結果也就越安全。

2.3.3 主節點選舉機制的優化

VRF算法是一種具有驗證功能的偽隨機函數，僅私鑰持有者可以計算哈希，公鑰所有者只能檢驗結果是否正確，無法做出反向推斷。通過VRF確定主節點，首先在候選節點中執行主節點抽取算法，輸入某一特定值m及私鑰Sk，VRF會輸出隨機數、對應證明和抽取結果。將抽取結果與預先設定好的閾值進行比較，若大于閾值則確定自己為主節點，向其他候選節點廣播抽簽結果，其他節點通過公鑰和證明驗證結果是否正確，若驗證通過則該節點擔任主節點。執行過程如圖5所示。

圖5 基于VRF的主節點選取過程Fig.5 Selection process of master node based on VRF

（1）輸入m和Sk，執行主節點抽取算法，如式（7）：

其中，m是隨機數種子，Sk為終端私鑰，v、proof、node分別對應輸出的隨機數、證明和抽取結果。

（2）終端節點判斷自己是否為主節點，如式（8）：

其中，β為閾值，hashlen是哈希長度，若式（8）成立則當前終端為主節點。

（3）向其他節點廣播抽取結果(v,proof,node_id)，node_id表示當前節點標識信息。

（4）其余節點收到廣播后，檢驗v是否合法，如式（9）：

若判定v合法，確定當前節點為主節點，否則重新執行主節點選取算法。

VRF的整個過程不必暴露私鑰，且攻擊者無法區分VRF輸出和隨機源，故由此確定的主節點足夠安全。

2.3.4 一致性協議的優化設計

配電物聯網終端共識算法一致性協議運行過程如圖6所示。

圖6 配電物聯網終端共識協議Fig.6 Distribution IoT terminal consensus protocol

請求階段：待接入終端節點向主節點發送請求，附帶簽名，終端節點標識ID，有效時間等相關信息。

準備階段：主節點收到接入請求后驗證消息合法性，如信息是否完整未被篡改，請求終端是否與鏈上已有終端沖突，請求是否超時等。主節點將驗證通過的信息進行編號，并廣播給其他認證節點。

驗證階段：收到準備消息的認證節點首先對內容進行校驗，隨后向所有認證節點傳送合法消息。各節點將其他節點傳來的消息與自己日志中的對應字段進行對比，當主節點收到2F+1個不同認證節點的相同驗證消息時表明本輪共識達成，進入下一階段。否則拒絕該終端節點接入，留存失敗記錄。

反饋階段：對于達成共識的終端節點，主節點生成新區塊保存設備信息并告知其認證結果。一輪共識完成，更新節點權重以及共識信息列表，為下一終端節點接入系統做準備。

3 基于改進PBFT的配電物聯網終端接入認證方法

3.1 配電物聯網終端接入認證模型

本文設計的配電物聯網終端接入認證模型如圖7所示。該模型主要由待接入終端節點、配電物聯網網關、認證節點和區塊鏈四部分組成。

圖7 配電物聯網終端接入認證模型Fig.7 Distribution IOT terminal access authentication model

待接入終端節點是配電物聯網環境下分散的終端設備，如智能電表、電流傳感器、智能充電樁等。在本模型中，使用分布式共識方法對其接入系統時進行身份認證可以增強配電物聯網的健壯性，降低設備故障率，優化用戶體驗。

配電物聯網網關由智能融合終端擔任，在配電物聯網系統中，智能融合終端意義重大，具有設備信息采集、數據匯集處理、臺區狀態監測等功能，并且可以實現數據交互，具備通信網關功能。在模型中，通過網關把終端登記證明轉發到區塊鏈上，防止惡意設備多次接入。

認證節點是根據配電物聯網終端共識算法選出的參與共識的終端設備。由認證節點執行分布式算法，既能提升認證效率，又能保證共識結果正確性。

區塊鏈則是為已經接入配電物聯網系統的合法終端設備提供存儲空間，實現終端信息不被篡改和可追溯，保障設備安全。

3.2 配電物聯網終端接入認證執行過程

配電物聯網網關負責系統初始化，登記申請終端信息，將登記證明提交到區塊鏈，區塊鏈驗證其有效性完成注冊。認證節點通過共識算法對新終端進行分布式認證，主節點為合法終端生成新區塊存儲設備信息。配電物聯網終端接入認證執行流程包括三個部分：系統初始化階段、登記注冊階段、接入認證階段。

（1）系統初始化階段

網關根據橢圓曲線數字簽名算法（elliptic curve digital signature algorithm，ECDSA）選取橢圓曲線，假設曲線基點為O，階數為r。生成隨機數k∈(1,n-1)，使用隨機數k通過單向哈希函數H1生成私鑰Sk，基于ECDSA計算公鑰Pk=Sk?O。公布公有變量O、k、Pk和H1。

（2）登記注冊階段

終端節點將時間戳、業務類型、設備ID等信息根據ECDSA算法進行數字簽名，把簽名信息發送到網關。終端i通過單向哈希函數H1和ECDSA產生i的公私鑰對Pki和Ski。網關收到消息后進行簽名驗證，將驗簽合格且在請求時間范圍內的終端節點進行登記。并根據其設備ID為終端節點生成偽身份FID記作登記證明。

網關將終端節點登記證明發送到區塊鏈，檢查與區塊鏈上已有證明是否沖突，若不沖突，則將其保存在區塊鏈中，表明終端注冊成功，并將登記證明用終端公鑰加密后返回給終端。

（3）認證接入階段

終端節點根據請求時間、業務類型、登記證明FID等信息生成接入請求信息，將簽名信息發送給主節點。

主節點驗簽通過后，檢索區塊鏈接入失敗列表，該節點不在列表中則執行下一步。若在列表中，根據其失敗原因進行處理。如因請求超時而失敗的節點執行下一步，但對于業務與設備類型不匹配，存在三次以上失敗記錄且與本次請求間隔較短等情況直接拒絕其接入。

通過終端共識算法對節點進行分布式認證，對于得到2/3以上認證節點同意的終端節點成功接入系統，并將其終端信息保存到區塊鏈中。驗證不通過的終端節點拒絕接入并在區塊鏈接入失敗列表中留存登記證明和失敗原因。

4 安全性分析

4.1 防止內部攻擊

所有配電物聯網終端都有唯一的設備ID，并為其生成偽身份作為登記證明，即使惡意終端竊取到請求信息，也無法根據偽身份推測出合法終端身份，阻止惡意終端假冒身份發起內部攻擊。

4.2 防止重放攻擊

本文接入認證方法設有時間戳，須在有效時間內才能進行相關操作。主節點收到請求信息首先檢驗是否超時，對超時請求不予應答。對各階段時效性進行嚴格把控，可有效抵抗重放攻擊。

4.3 防止中間人攻擊

本方法各階段均采用數字簽名技術，由于哈希函數的單向散列性，即使發送的加密信息被“中間人”截取，也很難破解出原始內容，保證信息安全交互，有效規避偽造身份的中間人攻擊。

4.4 防止DDoS攻擊

本方法由共識算法得出認證結果，區塊鏈上各節點高度自治，即使某個認證節點被攻擊，其余節點依然能正常工作，不影響認證結果。相較于傳統集中式認證架構，抵抗DDoS攻擊效果更好。

4.5 防止女巫攻擊

本文改進的共識算引入權重機制縮小共識規模，認證節點是根據權重從候選節點中隨機選出的，權重機制可提高攻擊者偽造傀儡節點的成本從而杜絕女巫攻擊。

5 實驗結果與分析

通過Java編程模擬對基于區塊鏈共識機制的配電物聯網終端接入認證方法進行實驗，以驗證該方法的安全性和高效性。在以下實驗中，實驗數據均選用10次結果的平均值。實驗中涉及到的參數含義如表1所示。

表1 實驗參數含義表Table 1 Meanings of experimental parameters

5.1 通信開銷實驗及分析

通信開銷是系統節點執行共識算法消耗的時間資源。測試認證節點數量A分別為4、7、10個時產生的通信開銷，實驗結果如圖8所示。其中E為通信開銷，n為系統節點規模。

圖8 本文方法通信開銷Fig.8 Communication overhead of this method

由圖8可知，當系統規模相同時，認證節點數量越多，完成認證產生的通信開銷越大，但隨著系統節點規模不斷增大，本方法通信開銷穩定在一個較低水平，較傳統PBFT算法通信量呈指數級增長有明顯改善。

文獻[18]中的SG-PBFT在網絡中選取一半節點作為共識節點，并改進提交階段。預準備階段通信次數為(n/2-1)；準備階段通信次數為(n/2-1)(n/2-1)；響應階段通信次數為(n/2-1)。因此，SG-PBFT共識算法執行一次的通信次數為(n/2-1)(n/2+1)。

文獻[20]提出一種基于PBFT的可擴展多層共識機制，將節點分層分組到不同層，并限制組內通信，最小通信量可降至(16n-16)/3。本方案通過權重機制將共識規模縮小至A并簡化一致性協議。請求階段通信次數為1，準備階段通信次數為A-1，驗證階段通信次數為A2，反饋階段通信次數為1。本方案執行一輪共識的通信次數為A2+A+1。

以認證節點A=10為例與文獻[18]、文獻[20]兩種方法進行對比，實驗結果如圖9所示。

圖9 通信開銷對比圖Fig.9 Comparison of communication overhead

由圖9可知，隨著終端節點數量增加，文獻[18]的通信開銷呈指數型增長、文獻[20]的通信開銷呈線性增長，兩種方法都有明顯增長趨勢，當終端節點規模較大時，會嚴重影響系統認證效率。而本方法通信開銷不會隨節點規模增大產生變化，始終趨于平穩狀態。在系統終端節點數量小于20時，文獻[18]、文獻[20]兩方法的通信開銷略小于本文方法。但當節點數量大于20時，本方法通信開銷逐漸小于其他兩種方法，且節點規模越大，優勢越明顯。結合圖8、圖9可知，本方法的通信開銷明顯降低，系統認證效率得到提升，在終端節點數量龐大的配電物聯網環境中實用性較強。

5.2 吞吐量實驗及分析

吞吐量指系統單位時間內完成的事務數，一般用每秒事務數（transaction per second，TPS）表示。共識效率是影響TPS的主要因素，用其來測試本方法對配電物聯網終端的接入認證效率，并與其他兩種方法進行對比，可直觀反映改進共識算法的性能，如圖10所示。

圖10 吞吐量對比圖Fig.10 Throughput comparison

由圖10可以看出，文獻[18]、文獻[20]兩種方法的吞吐量隨系統規模增大不斷減小，當系統規模超過100時，系統吞吐量將無法滿足正常工作需求。但本方法吞吐量幾乎不受系統規模影響，穩定在同一水平。且認證節點數量越小，系統吞吐量越大。當認證節點為4個時，系統吞吐量達到200以上，遠大于其他兩種方法。當認證節點分別為7個和10個時，吞吐量在少量終端節點下小于其他兩種方法，但當系統規模逐漸增大時，即使認證節點數量較大也比其他兩種方法吞吐量高的多。據此，可根據系統規模及其對認證效率的要求合理設置認證節點數量。

5.3 攻擊性實驗及分析

當系統節點規模為100時，候選節點數量為67個，系統所能容忍的拜占庭節點最多為33個。假設正常節點權重值為0.8，拜占庭節點權重值為0.4。當候選節點中被攻擊者控制的節點數量逐漸增長到33個時，系統被攻擊成功的概率情況如圖8所示，其中x為攻擊者控制的候選節點個數，y為系統被攻擊成功的概率。

由圖11可知，當系統節點規模一定時，被控制候選節點數量增多，系統被攻擊成功的概率變大，但最大不會超過0.2。當認證節點數量相同時，被攻擊成功的概率與系統中拜占庭節點數量成正比，并且呈指數型趨勢。當被控制的候選節點數量小于22個時，認證規模較大的系統安全性要高一些，但被控制的候選節點數量超過22個時，認證節點規模較小的系統安全性反而更強一些，但由于本方法存在簽名與驗簽過程，并且嚴格根據節點表現計算權重值，控制候選節點很難實現。當攻擊者僅控制少部分候選節點時，本方法被攻擊成功的概率極低。即使被控制的候選節點達到最大值，本方法仍然能夠保障系統以一個較低的可能性被攻擊成功。

圖11 不同認證節點下被攻擊成功的概率Fig.11 Probability of successful attack under different authentication nodes

假設系統中被控制的候選節點數量為4，且正常節點權重值為0.8，拜占庭節點權重值為0.4。隨著終端節點規模增大，不同認證節點數量下系統被攻擊成功的概率如圖12所示。

圖12 不同系統節點規模下被攻擊成功的概率Fig.12 Probability of successful attack under different system node sizes

由圖12可知，在相同認證節點數量下，隨著終端規模不斷增大，系統被攻擊成功的概率整體呈下降趨勢。且認證節點數量越多，系統被攻擊成功的概率越低。當系統節點規模小于20，認證節點數量為4時，系統被攻擊的概率最大，略大于0.5。當節點規模大于40時，系統被攻擊成功的概率下降至不到0.1，并隨著節點規模持續增大無限趨近于0。

假設系統中被控制的候選節點數為4個，正常節點權重值為0.8，拜占庭節點權重值a分別為0.3、0.4、0.5時，不同系統節點規模下被攻擊成功的概率如圖13所示。

圖13 不同拜占庭節點權重下被攻擊成功的概率Fig.13 Probability of successful attack under different Byzantine node weights

由圖13可知，終端節點規模相同時，在同一認證節點數量下，惡意節點權重值越小，系統被攻擊成功的概率越低。當終端節點數量小于40時，降低惡意節點權重可明顯降低系統被攻擊成功的概率，當終端節點數量大于40時，惡意節點權重對系統安全性的影響很小，不同權重值下系統被攻擊的概率都趨近于0。因此，結合圖12、13可知，新建立的少數節點區塊鏈系統穩定性較弱，被攻擊的可能性高于多節點系統，但當系統節點數量大于40后，系統將很難被攻擊。為使新建系統接入過程更安全，可適當提高認證節點數量及當選認證節點閾值，增大惡意節點參與共識的難度，保障配電物聯網系統安全穩定運行。當系統節點數超過40以后，可適當減少認證節點數量，此時不會對系統安全造成影響，同時可以提升共識效率。

6 結論

隨著物聯網技術在配電網領域的深入發展，配電物聯網對終端安全接入提出更高要求。本文基于區塊鏈共識機制設計一種面向配電物聯網終端的接入認證方法。通過配電物聯網網關為待接入終端節生成偽身份，保證終端身份不被竊取篡改；使用改進的配電物聯網終端共識算法認證節點身份，將合法終端上鏈存儲，實現終端數據不可篡改和可追溯。相比于其他方法，該方法能夠抵御多種網絡攻擊、改善一系列中心化程度過高造成的安全問題；對于配電物聯網多終端節點環境具有更低的通信開銷和更高的吞吐量；就不同情境系統被攻擊成功的概率進行量化分析，表明該方法可以通過調整認證節點數量和閾值來滿足對認證效率和安全強度需求不同的系統。