CN110505227A - 基于区块链的电力通信网接入认证方法和装置 - Google Patents

Abstract

本发明提供一种基于区块链的电力通信网接入认证装置，包括：认证服务器、认证网关、密钥管理系统；以及一种基于区块链的电力通信网接入认证方法，包括以下步骤：步骤S1，密钥管理系统生成电力通信网终端的私钥x_i；步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；然后计算认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；步骤S3，生成证书；步骤S4，接入请求；步骤S5，接入认证；步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关；本发明提高了认证效率和安全性。

Description

基于区块链的电力通信网接入认证方法和装置

技术领域

本发明涉及电力通信网，尤其是一种基于区块链的电力通信网可信接入认证方法。

背景技术

电力通信网是保证电力系统安全稳定运行的通讯网络，在电力生产的各个环节起到了重要作用。然而，大量终端的分布式接入给系统可信性带来严峻挑战。

传统电力系统中对接入终端的可信性保障主要依赖集中式的密钥管理实现，需要较大的时间和管理成本，一旦密钥系统出现漏洞，会导致整个系统安全性的危机。随着分布式电源、可控负荷、增量配电网、物资服务的不断发展，各主体之间的信息交互的频度、复杂性和时效性要求越来越高，智能终端的类型、数量和处理能力也大幅度提高。集中化的信息交互手段已无法满足电力通信网中源网荷储互动、物资精准供应等由多方参与的业务系统信任需求。

区块链是一种分布式数字账本的技术，具有主体对等、公开透明、安全通信、难以篡改和多方共识等特性，正成为继大数据、云计算、人工智能、虚拟现实等技术后又一项将对未来产生重大影响的新兴技术，在电力系统中的应用也日益广泛。区块链技术为电力通信网终端的分布式信任关系提供了良好的技术支持，是构建可信电力通信网的有效途径。

电力通信网终端可信研究中常见的方式是基于公钥证书的中心化认证。即采用证书管理公钥，通过第三方的可信任机构CA，把用户的公钥和用户的ID进行绑定，生成用于验证终端身份的证书。这种认证方式需要集中式认证服务器来对用户的数字证书或身份令牌来进行可信管理。由于电力通信网具有覆盖范围广，数据体量大，采用集中认证的方式会降低认证效率和安全性，因而分布式认证方式更适合于电力通信网。

发明内容

本发明的目的在于克服现有技术中存在的不足，提供一种基于区块链的电力通信网接入认证方法和装置，对于电力通信网中待接入终端的认证，提高了认证效率和安全性。本发明采用的技术方案是：

一种基于区块链的电力通信网接入认证装置，包括：认证服务器、认证网关、密钥管理系统；

待接入终端通过该认证装置接入电力通信网的认证过程如下：

步骤S1，密钥管理系统生成电力通信网终端的私钥x_i；

步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；然后计算认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；

步骤S3，生成证书：密钥管理系统将电力通信网终端的证书信息存储于区块链中，每个区块存储一个终端的证书，区块链运行于接入网关中；

步骤S4，接入请求：待接入终端接入电力通信网之前，首先需要联系认证网关获取访问电力通信网内网访问权限，待接入终端获取内网访问权限后，认证服务器从电力通信网业务场景包含的终端中选取符合条件的合法终端，组成认证组；

步骤S5，接入认证：认证服务器将电力通信网中待接入终端的请求信息M发送给认证组终端，同意此待接入终端接入的认证组终端根据自己的权限份额对M进行签名，生成选票σ_i＝H₂(y_i)||M，并将(σ_i,y_i,M)作为认证判据发送给认证服务器；H₂()表示hash函数；

认证服务器收到认证组终端发来的认证判据后，根据收到的请求信息M和认证服务器上的认证组终端权重份额y_i，计算H₂(y_i)||M的值，判定认证组终端发送的认证判据的有效性；待收到t份合法的认证判据后，得到t个点对：(x₁,y₁),...,(x_t,y_t)；然后计算群私钥S_k′，比较S_k′与S_k若一致，说明满足门限数量的合法终端已经确认对新接入终端的认证；

步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关，认证网关用群公钥P_k解密令牌，发送给新接入的电力通信网终端，认证结束。

进一步地，步骤S1中，密钥管理系统获取电力通信网终端的硬件序列号PIDi作为密钥生成参数，运行公钥密码算法生成与该参数唯一对应的密钥，作为电力通信网终端的私钥；计算如下：

x_i＝H₁(PID_i) (1)

x_i为电力通信网终端的私钥，H₁()表示hash函数。

进一步地，步骤S2中，计算认证组终端的权重份额，具体包括：设满足电力通信网业务安全性要求的认证组终端数为t，认证服务器随机选择t-1个元素a₁,...,a_t-1,令f(x)＝S_k+a₁x+a₂x²+...+a_t-1x^t-1，计算y_i＝f(x_i),1≤i≤t≤n作为认证组终端的权重份额；n为电力通信网内终端总数。

进一步地，步骤S4中，选取符合条件的合法终端组成认证组，可以是通过检索区块链中记录的数据，选择业务类型相同、地理位置接近、电量充足、活跃度高的终端节点组成认证组。

进一步地，步骤S5中，使用拉格朗日秘密共享算法，计算：

一种基于区块链的电力通信网接入认证方法，包括以下步骤：

步骤S1，密钥管理系统生成电力通信网终端的私钥x_i；

步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；然后计算认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；

步骤S3，生成证书：密钥管理系统将电力通信网终端的证书信息存储于区块链中，每个区块存储一个终端的证书，区块链运行于接入网关中；

步骤S4，接入请求：待接入终端接入电力通信网之前，首先需要联系认证网关获取访问电力通信网内网访问权限，待接入终端获取内网访问权限后，认证服务器从电力通信网业务场景包含的终端中选取符合条件的合法终端，组成认证组；

步骤S5，接入认证：认证服务器将电力通信网中待接入终端的请求信息M发送给认证组终端，同意此待接入终端接入的认证组终端根据自己的权限份额对M进行签名，生成选票σ_i＝H₂(y_i)||M，并将(σ_i,y_i,M)作为认证判据发送给认证服务器；H₂()表示hash函数；

认证服务器收到认证组终端发来的认证判据后，根据收到的请求信息M和认证服务器上的认证组终端权重份额y_i，计算H₂(y_i)||M的值，判定认证组终端发送的认证判据的有效性；待收到t份合法的认证判据后，得到t个点对：(x₁,y₁),...,(x_t,y_t)；然后计算群私钥S_k′，比较S_k′与S_k若一致，说明满足门限数量的合法终端已经确认对新接入终端的认证；

步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关，认证网关用群公钥P_k解密令牌，发送给新接入的电力通信网终端，认证结束。

本发明的优点：本发明基于区块链技术，通过去中心化的可信信息维护，实现分布式认证机制，改进传统电力通信网安全协议中对认证中心节点的依赖，实现群体接入认证，在保证安全的前提下，提高电力通信网中大量节点并发接入的响应速度。

附图说明

图1为本发明的接入认证装置示意图。

具体实施方式

下面结合具体附图和实施例对本发明作进一步说明。

如图1所示，本发明提出的一种基于区块链的电力通信网接入认证装置，包括：认证服务器、认证网关、密钥管理系统；

待接入终端通过该认证装置接入电力通信网的认证过程如下：

步骤S1，电力通信网终端私钥的产生；

密钥管理系统获取电力通信网终端的硬件序列号PIDi作为密钥生成参数，运行公钥密码算法生成与该参数唯一对应的密钥，作为电力通信网终端的私钥；计算如下：

x_i＝H₁(PID_i) (1)

x_i为电力通信网终端的私钥，H₁()表示hash函数；

步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；

设满足电力通信网业务安全性要求的认证组终端数为t，认证服务器随机选择t-1个元素a₁,...,a_t-1,令f(x)＝S_k+a₁x+a₂x²+...+a_t-1x^t-1，计算y_i＝f(x_i),1≤i≤t≤n作为认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；n为电力通信网内的终端总数；

步骤S3，生成证书：密钥管理系统将电力通信网终端的证书信息存储于区块链中，每个区块存储一个终端的证书，区块链运行于接入网关中；

步骤S4，接入请求：待接入终端接入电力通信网之前，首先需要联系认证网关获取访问电力通信网内网访问权限，以便在认证过程中与分布式认证成员(即认证组中的各终端)进行信息交互；待接入终端获取内网访问权限后，认证服务器从电力通信网业务场景包含的终端中选取符合条件的合法终端，组成认证组；

选取符合条件的合法终端组成认证组，可以是通过检索区块链中记录的数据，选择业务类型相同、地理位置接近、电量充足、活跃度高的终端节点组成认证组；

步骤S5，接入认证：认证服务器将电力通信网中待接入终端的请求信息M发送给认证组终端，同意此待接入终端接入的认证组终端根据自己的权限份额对M进行签名，生成选票σ_i＝H₂(y_i)||M，并将(σ_i,y_i,M)作为认证判据发送给认证服务器；H₂()表示hash函数；

认证服务器收到认证组终端发来的认证判据后，根据收到的请求信息M和认证服务器上的认证组终端权重份额y_i，计算H₂(y_i)||M的值，判定认证组终端发送的认证判据的有效性；待收到t份合法的认证判据后，得到t个点对：(x₁,y₁),...,(x_t,y_t)；使用拉格朗日秘密共享算法，计算：

得到群私钥S_k′，比较S_k′与S_k若一致，说明满足门限数量的合法终端已经确认对新接入终端的认证；

步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关，认证网关用群公钥P_k解密令牌，发送给新接入的电力通信网终端，认证结束。

认证服务器对于认证通过的新接入终端，通过调用网络控制指令开启认证网关上的业务接口，开通终端对电力通信网业务的访问权限。

最后所应说明的是，以上具体实施方式仅用以说明本发明的技术方案而非限制，尽管参照实例对本发明进行了详细说明，本领域的普通技术人员应当理解，可以对本发明的技术方案进行修改或者等同替换，而不脱离本发明技术方案的精神和范围，其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于区块链的电力通信网接入认证装置，其特征在于，包括：认证服务器、认证网关、密钥管理系统；

待接入终端通过该认证装置接入电力通信网的认证过程如下：

步骤S1，密钥管理系统生成电力通信网终端的私钥x_i；

步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；然后计算认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；

步骤S3，生成证书：密钥管理系统将电力通信网终端的证书信息存储于区块链中，每个区块存储一个终端的证书，区块链运行于接入网关中；

步骤S4，接入请求：待接入终端接入电力通信网之前，首先需要联系认证网关获取访问电力通信网内网访问权限，待接入终端获取内网访问权限后，认证服务器从电力通信网业务场景包含的终端中选取符合条件的合法终端，组成认证组；

步骤S5，接入认证：认证服务器将电力通信网中待接入终端的请求信息M发送给认证组终端，同意此待接入终端接入的认证组终端根据自己的权限份额对M进行签名，生成选票σ_i＝H₂(y_i)||M，并将(σ_i,y_i,M)作为认证判据发送给认证服务器；H₂()表示hash函数；

认证服务器收到认证组终端发来的认证判据后，根据收到的请求信息M和认证服务器上的认证组终端权重份额y_i，计算H₂(y_i)||M的值，判定认证组终端发送的认证判据的有效性；待收到t份合法的认证判据后，得到t个点对：(x₁,y₁),...,(x_t,y_t)；然后计算群私钥S_k′，比较S_k′与S_k若一致，说明满足门限数量的合法终端已经确认对新接入终端的认证；

步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关，认证网关用群公钥P_k解密令牌，发送给新接入的电力通信网终端，认证结束。

2.如权利要求1所述的基于区块链的电力通信网接入认证装置，其特征在于，

步骤S1中，密钥管理系统获取电力通信网终端的硬件序列号PIDi作为密钥生成参数，运行公钥密码算法生成与该参数唯一对应的密钥，作为电力通信网终端的私钥；计算如下：

x_i＝H₁(PID_i) (1)

x_i为电力通信网终端的私钥，H₁()表示hash函数。

3.如权利要求2所述的基于区块链的电力通信网接入认证装置，其特征在于，

步骤S2中，计算认证组终端的权重份额，具体包括：设满足电力通信网业务安全性要求的认证组终端数为t，认证服务器随机选择t-1个元素a₁,...,a_t-1,令f(x)＝S_k+a₁x+a₂x²+...+a_t-1x^t-1，计算y_i＝f(x_i),1≤i≤t≤n作为认证组终端的权重份额；n为电力通信网内终端总数。

4.如权利要求1、2或3所述的基于区块链的电力通信网接入认证装置，其特征在于，

步骤S4中，选取符合条件的合法终端组成认证组，可以是通过检索区块链中记录的数据，选择业务类型相同、地理位置接近、电量充足、活跃度高的终端节点组成认证组。

5.如权利要求1、2、3或4所述的基于区块链的电力通信网接入认证装置，其特征在于，

步骤S5中，使用拉格朗日秘密共享算法，计算：

6.一种基于区块链的电力通信网接入认证方法，其特征在于，包括以下步骤：

步骤S1，密钥管理系统生成电力通信网终端的私钥x_i；

步骤S2，认证服务器生成群签名密钥对(P_k,S_k)；P_k为群公钥，S_k为群私钥；然后计算认证组终端的权重份额，发送给区块链上记载的所有合法且活跃的终端；

步骤S3，生成证书：密钥管理系统将电力通信网终端的证书信息存储于区块链中，每个区块存储一个终端的证书，区块链运行于接入网关中；

步骤S4，接入请求：待接入终端接入电力通信网之前，首先需要联系认证网关获取访问电力通信网内网访问权限，待接入终端获取内网访问权限后，认证服务器从电力通信网业务场景包含的终端中选取符合条件的合法终端，组成认证组；

步骤S5，接入认证：认证服务器将电力通信网中待接入终端的请求信息M发送给认证组终端，同意此待接入终端接入的认证组终端根据自己的权限份额对M进行签名，生成选票σ_i＝H₂(y_i)||M，并将(σ_i,y_i,M)作为认证判据发送给认证服务器；H₂()表示hash函数；

认证服务器收到认证组终端发来的认证判据后，根据收到的请求信息M和认证服务器上的认证组终端权重份额y_i，计算H₂(y_i)||M的值，判定认证组终端发送的认证判据的有效性；待收到t份合法的认证判据后，得到t个点对：(x₁,y₁),...,(x_t,y_t)；然后计算群私钥S_k′，比较S_k′与S_k若一致，说明满足门限数量的合法终端已经确认对新接入终端的认证；

步骤S6，认证服务器将认证信息提交区块链中的记账节点，对新接入的终端生成新的区块，同时用S_k′加密令牌，将结果发送给认证网关，认证网关用群公钥P_k解密令牌，发送给新接入的电力通信网终端，认证结束。

7.如权利要求6所述的基于区块链的电力通信网接入认证方法，其特征在于，

步骤S1中，密钥管理系统获取电力通信网终端的硬件序列号PIDi作为密钥生成参数，运行公钥密码算法生成与该参数唯一对应的密钥，作为电力通信网终端的私钥；计算如下：

x_i＝H₁(PID_i) (1)

x_i为电力通信网终端的私钥，H₁()表示hash函数。

8.如权利要求7所述的基于区块链的电力通信网接入认证方法，其特征在于，

步骤S2中，计算认证组终端的权重份额，具体包括：设满足电力通信网业务安全性要求的认证组终端数为t，认证服务器随机选择t-1个元素a₁,...,a_t-1,令f(x)＝S_k+a₁x+a₂x²+...+a_t-1x^t-1，计算y_i＝f(x_i),1≤i≤t≤n作为认证组终端的权重份额；n为电力通信网内终端总数。

9.如权利要求6、7或8所述的基于区块链的电力通信网接入认证方法，其特征在于，

步骤S4中，选取符合条件的合法终端组成认证组，可以是通过检索区块链中记录的数据，选择业务类型相同、地理位置接近、电量充足、活跃度高的终端节点组成认证组。

10.如权利要求6、7、8或9所述的基于区块链的电力通信网接入认证方法，其特征在于，

步骤S5中，使用拉格朗日秘密共享算法，计算：