基于共識機制的電力物聯網群組密鑰管理研究

徐龍,劉勇,李曉坤,2,3

(1.黑龍江大學 計算機科學技術學院,哈爾濱 150080;2.黑龍江恒訊科技有限公司國家博士后科研工作站,哈爾濱 150080;3.黑龍江訊翱科技有限公司,哈爾濱 150090)

0 引 言

隨著國家5G戰略的部署,物聯網的發展也伴隨著海量終端的應用[1]。尤其是在電力方面,國家電網提出電力物聯網的建設,必將同時伴隨著海量電力終端設備接入電力物聯網系統中,終端接入數量的大量增加,實現低延遲和提供實時服務是傳統電力物聯網面臨的兩大挑戰。現有的電力物聯網系統仍采用中心化體系架構,而隨著海量終端的不斷接入,在需要滿足大數據量傳輸,穩定,多節點的場景時,必然會要求加大規模假設和維護成本[2-4]。中心化體系架構的安全性問題,在于所有的數據信息安全依賴中心服務器,極易引起整個中心化體系架構的崩塌[5]。如黑客惡意攻擊物聯網系統中核心節點服務器,竊取用戶資料及商業機密,破壞核心服務器正常運作,將商業機密及用戶個人信息進行肆意傳播和非法運作,破壞電力物聯網的服務支撐,會對社會公共財產安全及個人信息安全有著極大的危害。

傳統電力物聯網終端傳感器同服務器和數據聚合器在數據通信過程中信息交互的過程安全性低[6-10],終端傳感器向上游設備返回采集數據及數據聚合器對傳感器發送信息指令,無法保證傳輸過程的安全及數據的真實性,同時海量電力終端設備的引入導致整個電力物聯網體系時刻要受到大量的數據流吞吐。因此,在信息安全和數據存儲交互方面,傳統的電力物聯網已經不滿足日益擴增的海量電力終端的接入。

本文利用區塊鏈技術與電力物聯網相融合,擁有分布式、去中心化及去信任等特點的區塊鏈技術使得滿足物聯網接入終端[11],解決密鑰管理保護終端信息安全成為可能[12-14]。每一個電力物聯網中的設備在數據傳輸前進行認證,由服務器作為認證中心進行認證管理,對所傳輸數據進行密鑰加密解密,保證數據的安全性和完整性。

電力物聯網終端的信息安全問題是制約電力物聯網泛在化的核心問題之一[15],本文創新性提出區塊鏈特性及密鑰管理、認證算法相結合的一種密鑰管理方案,可以實現對整個物聯網體系進行信息加密處理及保證傳輸安全,保障整個電力物聯網體系信息安全。對電力物聯網泛在化有著重要而積極的作用[16]。

基于共識機制同電力物聯網的融合應用,應用于電力物聯網的認證管理環節,提出了一種基于區塊鏈的電力物聯網系統互認證和密鑰管理方案。本文的結構安排如下。在第1節中,對相關技術背景進行介紹。之后,在第2節中介紹了我們提出的方案框架,提供了理論分析,以證明所提出的方案可以滿足必要的安全要求。第3節介紹了所提議方案和三個相關方案,即文獻[17]提出的基于假名的加密隱私保護認證方案,文獻[18]根據智能網格邊緣匿名配對計算加密認證方案和文獻[19]提出的基于移動邊緣計算認證方案的性能和安全性的比較,進行了仿真分析比對。

1 技術介紹

1.1 區塊鏈

區塊鏈技術是一種去中心化、自治的、信息不可篡改,允許對等傳輸的共享賬本技術[20]。

區塊鏈的整體體系架構共有六層,自底向上分別是:數據層,網絡層,共識層,激勵層,合約層和應用層。分散節點在區塊鏈系統的一致性由共識機制保證。共識層包括有權益證明機制(POS)及工作量證明機制(POW)等共識機制[21-23]。

區塊鏈體系結構如圖1所示。

圖1 區塊鏈體系結構

1.2 電力物聯網

電力物聯網(PIOT)是物聯網在電力行業的具體表現形式,是現代通信技術及物聯網技術的融合。而電力網絡是物聯網技術的應用對象,電力物聯網在電力能源領域實現開放互通,信息互聯[24-25]。

電力物聯網架構包括:感知層、網絡層、平臺層及應用層。架構如圖2所示。

圖2 電力物聯網體系

2 提出方案

提出了一種基于共識機制的電力物聯網系統互認證和密鑰管理方案。解決了終端(TA)與數據聚合器(DA)之間安全私有通信和密鑰管理問題,提供了一個有效的密鑰更新和撤銷算法。本文首先將于2.1節描述系統所用組件,2.2節介紹所提出協議,2.3及2.4節介紹所提出的注冊、更新及吊銷密鑰算法。

2.1 系統組件

如圖3所示,使用的電網模型由RA、TA、DA、BC組成。

圖3 本文協議體系結構

1)RA:即電力服務提供商,受到電力物聯網系統所有參與者的信任。RA的任務是為所有的當事人分發關鍵材料,并且它能夠利用區塊鏈記錄對使用共識機制的當事人的關鍵材料進行身份驗證、密鑰更新和撤銷。

2)TA:即是電力物聯網系統中的終端設備。每個TA可以連接多個DA,但通常選擇最近的DA。

3)DA:即數據聚合器,具有所需的計算和存儲資源。它負責提供及時的數據分析和服務交付。每個DA都加入區塊鏈網絡。

4)BC:即區塊鏈系統,用于記錄密鑰的發布,更新和撤銷。

如圖3所示,TA與DA需預先在RA中進行認證登陸,DA和RA的數據請求交互通過區塊鏈進行記錄及傳輸,TA對DA的數據請求傳輸需要進行身份驗證。

2.2 算法協議

系統設置階段由RA在系統部署開始時執行,如下所述。

2)BC初始化:RA創建一個包含配置參數的文件以建立BC。然后,RA選擇幾個受信任的合作伙伴,并按照共識機制,啟動BC。RA可以直接加入現有的BC系統,RA秘密地保存s并發布公共系統參數:p=(G,P,q,h1,h2,Ppub)。

3)相關的算法過程簡要顯示在表1～4中。

表1 初始化密鑰信息

表2 更新密鑰信息

表3 獲取密鑰信息

表4 撤銷密鑰信息

使用共識機制來管理密鑰關鍵信息(KMI)。基于共識機制,該系統可以為通信者提供有條件的匿名身份驗證,并支持有效的撤銷,而不會帶來異步問題。

2.3 注冊階段

注冊階段由RA和最終用戶TAi(或數據聚合器DAj)交互執行。以最終用戶TAi為例,注冊步驟如下。假設在此階段,RA和TAi之間的通信通道是專用且安全的。

2)TAi計算PIDi=h1(PKi),然后調用算法3即queryKMI(owner,PIDi)以獲取(PIDi,Ci,Ri,EDTi)。然后,TAi使用以下步驟檢查收到的密鑰對的有效性。TAi檢查xi·P=Ri+h1(IDi||Ri),Ppub=PKi的有效性。以上等式通過驗證,則TAi存儲密鑰xi。否則,TAi須再次注冊。

DAj的注冊過程與TAi相似,故省略。

2.4 認證方式

認證階段由已注冊的TAi和DAj交互運行。在此階段,BC為身份驗證提供信任幫助。

則從上述過程中,可得出:

(1)

(2)

由公式(1),公式(2)得出SKij=SKji。

2.5 更新和撤銷密鑰

更新:在以下兩種情況下,TAi應該更新密鑰關鍵信息。第一種情況,當到達到期時間ETi并且TA在智能系統中仍然有效時,RA將按照與注冊階段中所述步驟相同的步驟生成新的私鑰和相應的公鑰。同時,密文Ci也應被更新以防止可追溯性。在第二種情況下,如果使用TAi的私鑰,則TAi必須請求密鑰更新,然后RA會幫助更新密鑰信息。當存在TAi的更新事件時,RA會調用updateKMI={prePID,PID,R,Cipher}。

撤銷:在兩種情況下,TAi(或DAj)的私鑰和公鑰也將被撤銷。在第一種情況下,如果RA從TAi發現可疑行為活動,則RA發送撤銷交易并從KMI中刪除條目(h(PKi),Ri,σ,txidi,ETi)。在第二種情況下,如果TAi想要退出系統,則它將撤銷請求發送到RA,RA將相應地撤銷TAi的密鑰。當存在TAi的撤消事件時,RA會調用revokeKMI={owner,PID}。

3 驗證分析

仿真環境及采用加密算法庫詳情見表5。

表5 實驗環境

本節中將對提出的協議框架與近期的相關協議進行比對,即文獻[17]提出的基于假名的加密隱私保護認證方案文獻[18]提出的根據智能網格邊緣匿名配對計算加密認證方案和文獻[19]提出的基于移動邊緣計算認證方案進行比較。在本節中,評估了本文提出的協議和文獻[17]提出方案的效率,對三個方案及所方案的存儲成本和時間成本進行了對比和分析。表6為相關符號及描述。

表6 相關符號解釋

其中|G|為16 bits,|GT|為16 bits,log2q為32 bits,|T|為16 bits,|ID|為32 bits。

3.1 存儲成本

計算了四個方案的存儲成本,記NumTA為DA管理TA的數量,Sinter為TA每分鐘與DA交互次數。Tcerti表示為Sinter和BC的認證周期,使用式(3)計算SCtotle中的整個存儲成本:

SCtotle=|G|+|GT|+(log2q+|T|+|ID|)×

NumTA×(Tcerti/Sinter×2.628×106)

(3)

DA也可作為密鑰的存儲介質。表7為四種方案TA存儲成本對比。

表7 四種方案TA存儲成本對比

本文將Sinter設置為10,進行四個方案的比較。

觀察圖4可得,Tcerti同TA的存儲成本呈現正比增長,存儲成本增長的幅度始終保持平穩的趨勢。本文方案在存儲成本上優于其他三者。

圖4 相同Sinter存儲成本曲線

3.2 時間成本

消息傳輸有時間限制,所以必須計算所需時間成本,本小節對本文框架方案的時間成本進行了計算和對比。

時間成本:本文從式(4)計算TA的時間成本每個TA的時間成本為ξTA:

ξTA=O(log2lhash-chain)

(4)

其中l是數據長度。哈希函數和哈希序列遍歷的操作速率約為1 Gb/s。計算成本極小,不予考慮,其對消息傳輸的影響極小。

設定常量如下:Sinter=30,Tcertri=5。計算了時間成本,于表8中匯總了結果。

表8 四種方案時間成本對比

根據表8,可見NumTA決定了TA的時間成本。

圖5顯示了在多個NumTA下計算時間成本。消息處理的放慢對達成共識所花費的平均時間有更大的影響,本文協議在時間內成本上優于其他三者。

圖5 不同NumTA的時間成本對比

4 結束語

實現終端和數據聚合器的安全、私有通信對于電力物聯網基礎建設極為重要。提出了一種具有高效密鑰管理的匿名認證和密鑰協議方案。與文獻[17-19]中的現有協議相比,所提出的協議不僅提供了基本的安全特性,還實現了其他重要的安全特性。該協議的亮點在于,它提供了一個有效的密鑰更新和撤銷,減少了通信成本,減少了條件身份匿名的計算成本。性能評估結果也表明,該協議比其他三者協議更高效,同時達到了相關的安全性能。

本文提出一種基于共識機制的群組密鑰管理方案。引入了區塊鏈技術以解決現有電力物聯網體系集中化及數據篡改的問題。此外,本文通過對比現有的相關協議的認證通信成本及存儲成本比較分析,證明該協議的實用性和優越性。針對電力物聯網的特性,融合區塊鏈共識機制在密鑰管理中的應用,包括準確性,有效性和效率以及實際應用,都有著明顯的優勢。

基于現有電力物聯網體系中的不足之處,本文創新性的將密鑰認證加密、管理技術同區塊鏈技術融合,解決了在電力物聯網數據傳輸安全及數據存儲安全無法得到保證的問題,提供了一個強大的物聯網數據安全保障體系方案,與同類方案相比,在時間效率和存儲效率方面也是有著巨大的優勢。

本文提出的群組密鑰管理方案,可幫助我國在電力系統制定新的有效的運行規則,電力物聯網利用現代信息技術和先進的通信技術,通過群組密鑰管理在電力網聯網海量傳感器網絡中形成有效的閉環管理體系,高效的信息處理,方便靈活的應用程序,和電網的安全經濟運行,可以提高電力服務質量,促進戰略性新興產業和生成強大的數據資源。