CN110958111B - 一种基于区块链的电力移动终端身份认证机制 - Google Patents

Abstract

本发明公开了一种基于区块链的电力移动终端身份认证机制，包括如下步骤：基于区块链的移动终端身份认证模型构建联盟区块链；在联盟区块链内构建移动终端注册流程；在联盟区块链内构建移动终端身份认证流程；在联盟区块链内对移动终端身份进行验证；本发明提出的基于区块链的电力移动终端身份认证机制，可以有效利用区块链技术的去中心化、不可篡改等优点，削弱了身份认证过程对授权机构的依赖程度。

Description

一种基于区块链的电力移动终端身份认证机制

技术领域

本发明涉及电力通信网的安全管理技术领域，具体涉及一种基于区块链的电力移动终端身份认证机制。

背景技术

随着移动互联网技术的快速发展，移动终端在电力公司的运营过程中应用越来越多。尤其是电力公司的现场建设工作人员、维护保障工作人员使用移动终端进行工作的需求较多。这种背景下，电力工作人员需要使用移动终端随时连接到所需的电力服务系统中。所以，电力移动终端如何安全接入电力系统已成为一个急需解决的问题，其中，电力移动终端的身份认证是一个关键的研究内容。

在已有的移动终端身份认证研究方面，可以分为认证准确率提升、移动终端硬件安全能力提升、移动终端软件安全能力提升三种。

(1)、认证准确率提升方面：主要是针对移动终端身份认证存在的准确率低的问题，采用深度学习、机器学习等智能化算法对移动终端上报的数据进行识别和训练，从而提升移动终端身份识别的准确率；

(2)、移动终端硬件安全能力提升方面：针对移动终端中的SIM卡存在的不安全问题，将SWP等加密技术应用到SIM卡的设计和加工工作中，有效提升了SIM卡的安全和授权的效率，将网络电子身份证、NFC(near field communication)等技术应用到移动身份认证过程中，实现了移动终端的前端、后端等数据安全，有效解决了移动互联网中存在的数据泄密问题；

(3)、移动终端软件安全能力提升：针对移动终端身份容易被泄露的问题，将新型的密钥算法应用到移动终端的身份认证过程中，有效解决了移动终端认证过程中因数据泄露导致的安全问题，将二维码作为移动终端身份认证的数据形式，并结合加密技术，有效解决了云计算环境下移动终端在认证过程中出现的信息泄露问题，将生物识别技术应用到移动终端的身份认证过程中，并且通过数据优化和分类，有效减小了生物识别技术带来的身份认证效率低的问题。

通过对已有研究分析可知，移动终端的安全问题已经取得了较多的研究成果。但是，当前已有研究主要采用集中式的身份认证机制进行移动终端的身份认证。导致身份认证过程容易出现单点故障问题。

发明内容

为此，本发明提供一种基于区块链的电力移动终端身份认证机制，以解决现有技术中电力公司员工通过移动终端访问电力系统时容易出现信息泄露的问题。

为了实现上述目的，本发明的实施方式提供如下技术方案：

一种基于区块链的电力移动终端身份认证机制，包括如下步骤：

步骤100、基于区块链的移动终端身份认证模型构建联盟区块链；

步骤200、在联盟区块链内构建移动终端注册流程；

步骤300、在联盟区块链内构建移动终端身份认证流程；

步骤400、在联盟区块链内对移动终端身份进行验证。

作为本发明的一种优选方案，所述区块链的移动终端身份认证模型包括移动终端、电力服务系统、身份提供系统和区块链。

作为本发明的一种优选方案，所述移动终端的对象是用户方，包括身份初始化、服务需求两个功能，其中，身份初始化包括用户身份建立、身份认证，服务需求包括用户的服务需求描述、服务请求、服务使用；

所述电力服务系统的对象是服务方，包括用户身份认证、系统服务两个功能，其中，用户身份认证包括身份认证请求、用户身份认证，系统服务包括服务请求接收、服务提供、服务能力提升；

所述身份提供系统的对象是身份提供方，包括用户管理、认证记录管理两个功能，其中，用户管理包括用户的注册、认证、管理，认证记录管理包括认证过程的增加、查询；

所述区块链的对象是身份数据存储和身份认证方，包括智能合约服务、区块链服务、分布式存储服务三个功能，在构建区块链时，各个电力服务系统和身份提供系统所在的电力公司均可申请成为区块链节点。具体申请可以采用联盟链的共识机制进行申请和创建

作为本发明的一种优选方案，在步骤200中，移动终端注册流程的具体步骤为：

步骤201、注册请求，移动终端向身份提供系统提出注册请求，注册请求内容包括使用人员的ID、移动终端ID、接入的电力服务系统列表；

步骤202、同意申请，身份提供系统根据电力公司的政策，验证注册请求的内容，如果验证通过，给移动终端返回同意申请的通知，并要求提供相关证明材料；

步骤203、生成公私密钥，为了确保移动终端身份数据的安全，移动终端生成公私密钥，用于对身份等信息进行签名；

步骤204、发送材料和公钥，移动终端按照身份提供系统要求，提供相关证明材料，并连同自己的公钥一起发送给身份提供系统；

步骤205、验证材料，身份提供系统对移动终端发送的材料进行验证，验证通过后，将移动终端的ID、公钥数据保存在本地系统中；

步骤206、请求存储移动终端的身份数据，身份提供系统将移动终端的数据进行签名和哈希，得到签名数据包、数据哈希值，向区块链请求存储移动终端的身份；

步骤207、存储移动终端的身份数据，区块链接收到移动终端的签名数据包、数据哈希值后，按照共识机制和智能合约规制，对其进行存储；

步骤208、注册成功，身份提供系统接收到区块链存储成功的消息后，给移动终端返回注册成功的消息。

作为本发明的一种优选方案，在步骤300和步骤400中，对移动终端身份认证流程具体步骤为：

步骤1、身份认证请求，移动终端请求接入电力服务系统，请求内容包括使用人员的ID、移动终端ID；

步骤2、要求提供相关材料，电力服务系统核对移动终端的请求内容后，要求移动终端提供公钥、相关证明材料；

步骤3、提供签名的材料和公钥，移动终端将注册时的证明材料使用公钥进行签名，并将签名后的材料和公钥信息发送给电力服务系统；

步骤4、请求验证，电力服务系统将移动终端的数据发送到身份提供系统，请求对其进行验证；

步骤5、验证移动终端材料，身份提供系统首先验证移动终端的公钥是否正确，之后根据移动终端的ID值，在本地查找其允许接入的电力服务系统列表，验证当前电力服务系统是否在此列表中，如在列表中，表明当前移动终端允许使用当前的此电力服务系统；

步骤6、申请移动终端的数据哈希值，身份服务系统向区块链申请当前移动终端ID在身份注册时存储的数据哈希值；

步骤7、查找数据哈希值，区块链根据移动终端ID在分布式存储系统中，查询数据哈希值；

步骤8、返回数据哈希值，区块链给身份服务系统返回移动终端ID的数据哈希值；

步骤9、验证移动终端数据，身份服务系统将移动终端的数据求解哈希值，并与区块链返回的哈希值进行比较，如果哈希值相同，表示验证成功；

步骤10、返回验证成功，身份服务系统向电力服务系统返回验证成功的消息；

步骤11、返回认证成功，电力服务系统向移动终端返回认证成功的消息。

本发明具有如下优点：

本发明提出的基于区块链的电力移动终端身份认证机制，可以有效利用区块链技术的去中心化、不可篡改等优点，削弱了身份认证过程对授权机构的依赖程度。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

图1为本发明的一种基于区块链的电力移动终端身份认证机制的流程示意图；

图2为基于区块链的移动终端身份认证模型示意图；及

图3为移动终端注册流程示意图；

图4为移动终端身份认证流程示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1所示，本发明提供了一种基于区块链的电力移动终端身份认证机制，包括如下步骤：

步骤100、基于区块链的移动终端身份认证模型构建联盟区块链；

步骤200、在联盟区块链内构建移动终端注册流程；

步骤300、在联盟区块链内构建移动终端身份认证流程；

步骤400、在联盟区块链内联盟区块链内基于移动终端注册流程进行移动终端注册，并基于移动终端身份认证流程对移动终端的身份进行验证。

为了更好的说明上述技术方案，本实施方式将结合具体的实施例进行说明。

步骤100、基于区块链的移动终端身份认证模型构建联盟区块链。

为便于电力公司的现场建设工作人员、维护保障工作人员能够使用移动终端随时连接到所需的电力服务系统中，并且能够保证被连接电力服务系统的安全，本发明提出了基于区块链的移动终端身份认证模型，包括移动终端、电力服务系统、身份提供系统、区块链四个模块。

(1)、移动终端属于该模型的用户方，包括身份初始化、服务需求两个功能。其中，身份初始化主要实现用户的身份建立、身份认证过程。服务需求主要实现用户的服务需求描述、服务请求、服务使用。

(2)、电力服务系统属于该模型的服务方，包括用户身份认证、系统服务两个功能。其中，用户身份认证主要实现身份认证请求、用户身份认证。系统服务主要实现服务请求接收、服务提供、服务能力提升。

(3)、身份提供系统属于该模型的身份提供方，包括用户管理、认证记录管理两个功能。其中，用户管理主要实现用户的注册、认证、管理；认证记录管理主要实现认证过程的增加、查询。

(4)、区块链属于该模型的身份数据存储和身份认证方，包括智能合约服务、区块链服务、分布式存储服务三个功能。在构建区块链时，各个电力服务系统和身份提供系统所在的电力公司都可以申请成为区块链节点。具体申请可以采用联盟链的共识机制进行申请和创建。

该模型中，身份提供系统和区块链作为移动终端身份认证主要模块，为移动终端和电力系统提供所需的身份认证服务。身份提供系统属于现有技术，下面对区块链各个模块进行详细分析。

智能合约是区块链技术能够快速应用到各个行业的一项关键技术。智能合约是通过高级编程语言实现的自动化执行程序，并且部署上线后，就永久存储和不可改变。基于此，智能合约技术可以实现预置事件触发和自动执行，从而避免人为因素对区块链达成的合约进行修改，导致数据的一致性和不可篡改性被破坏等问题。

为了实现电力移动终端的身份管理，本发明设计的智能合约服务主要包括电力移动终端的身份管理、数据合约管理。其中，电力移动终端的身份管理主要实现身份的创建和管理，数据合约管理主要实现身份数据的存储和查询。

区块链服务是区块链的核心技术和基础技术，是区块链能够运行的关键。本发明的区块链服务主要实现共识机制、分布式账本、通信协议。考虑到本发明提出的认证机制属于电力公司范围内的区块链应用场景，所以，共识机制方面，本方案采用联盟链技术中的实用拜占庭容错算法PBFT，从而实现各个区块链节点的一致性。基于PBFT可以非常方便的实现分布式账本，实现数据在所有区块链节点的一致性。通信协议方面，考虑到区块链中不存在一个中心节点，所以，传统的C/S结构的网络拓扑不适合区块链场景。对等计算机网络(P2P网络)是一种分布式、去中心化的网络架构，与区块链网络拓扑完全契合，所以，区块链场景下，P2P网络已成为应用最广泛的通信协议。

分布式存储服务主要实现用户身份的分布式存储。采用激励机制，可以有效调动数据存储方的积极性。为了存储电力移动身份数据，本发明采用联盟链中应用较多的InterPlanetary文件系统(IPFS)，该文件系统不但可以通过激励机制调动数据存储方的积极性，而且可以基于数据内容实现数据去重功能，从而有效提高存储资源的利用率，方便实现数据的分散化、永久性、资源利用率最大化的存储。所以，将用户的身份数据存储在区块链中，充分利用了区块链的去中心化、防篡改等优点，保护了用户的隐私。

步骤200、在联盟区块链内构建移动终端注册流程。

采用本发明提出的基于区块链的移动终端身份认证模型，可以方便的实现电力移动终端的身份认证功能。因为用户进行身份认证之前，需要用户进行注册。所以，本发明提出的基于区块链的电力移动终端身份认证机制包括移动终端注册、移动终端身份认证两个方面。另外，在描述移动终端注册流程、移动终端身份认证流程时，各个参与方在进行数据传输时，都采用非对称加密算法对数据进行加密后才进行传输，有效保障了数据的传输安全。考虑到非对称加密数据技术属于比较成熟的技术，为了简化流程图，所以在流程图中没有描述数据的加密和解密过程。

移动终端注册流程使用到模型中的移动终端、身份提供系统、区块链三个模块。其中，移动终端主要实现注册的申请和注册资料的生成，身份提供系统主要实现移动终端身份的验证，区块链主要实现移动终端身份的存储等功能。具体流程如下。

步骤201、注册请求，移动终端向身份提供系统提出注册请求，注册请求内容包括使用人员的ID、移动终端ID、接入的电力服务系统列表；

步骤202、同意申请，身份提供系统根据电力公司的政策，验证注册请求的内容，如果验证通过，给移动终端返回同意申请的通知，并要求提供相关证明材料；

步骤203、生成公私密钥，为了确保移动终端身份数据的安全，移动终端生成公私密钥，用于对身份等信息进行签名；

步骤204、发送材料和公钥，移动终端按照身份提供系统要求，提供相关证明材料，并连同自己的公钥一起发送给身份提供系统；

步骤205、验证材料，身份提供系统对移动终端发送的材料进行验证，验证通过后，将移动终端的ID、公钥数据保存在本地系统中；

步骤206、请求存储移动终端的身份数据，身份提供系统将移动终端的数据进行签名和哈希，得到签名数据包、数据哈希值，向区块链请求存储移动终端的身份；

步骤207、存储移动终端的身份数据，区块链接收到移动终端的签名数据包、数据哈希值后，按照共识机制和智能合约规制，对其进行存储；

步骤208、注册成功，身份提供系统接收到区块链存储成功的消息后，给移动终端返回注册成功的消息。

步骤300、在联盟区块链内构建移动终端身份认证流程，在联盟区块链内对移动终端身份进行验证。

移动终端身份认证流程包括移动终端、电力服务系统、身份提供系统、区块链四个模块。其中，移动终端主要实现身份认证请求和相关材料的提交，电力服务系统主要实现身份认证的请求和认证结果的确认，身份提供系统主要实现移动终端身份的验证和认证申请，区块链主要实现移动终端身份数据的提供。具体流程如下。

步骤1、身份认证请求，移动终端请求接入电力服务系统，请求内容包括使用人员的ID、移动终端ID；

步骤2、要求提供相关材料，电力服务系统核对移动终端的请求内容后，要求移动终端提供公钥、相关证明材料；

步骤3、提供签名的材料和公钥，移动终端将注册时的证明材料使用公钥进行签名，并将签名后的材料和公钥信息发送给电力服务系统；

步骤4、请求验证，电力服务系统将移动终端的数据发送到身份提供系统，请求对其进行验证；

步骤5、验证移动终端材料，身份提供系统首先验证移动终端的公钥是否正确，之后根据移动终端的ID值，在本地查找其允许接入的电力服务系统列表，验证当前电力服务系统是否在此列表中，如在列表中，表明当前移动终端允许使用当前的此电力服务系统；

步骤6、申请移动终端的数据哈希值，身份服务系统向区块链申请当前移动终端ID在身份注册时存储的数据哈希值；

步骤7、查找数据哈希值，区块链根据移动终端ID在分布式存储系统中，查询数据哈希值；

步骤8、返回数据哈希值，区块链给身份服务系统返回移动终端ID的数据哈希值；

步骤9、验证移动终端数据，身份服务系统将移动终端的数据求解哈希值，并与区块链返回的哈希值进行比较，如果哈希值相同，表示验证成功；

步骤10、返回验证成功，身份服务系统向电力服务系统返回验证成功的消息；

步骤11、返回认证成功，电力服务系统向移动终端返回认证成功的消息。

传统的身份认证一般包括中心化身份管理、开放授权(oAuth)身份管理、在线快速身份验证(FIDO)三种。其中，中心化身份管理需要一个中心服务器处理用户身份认证过程，容易出现单点故障。开放授权(oAuth)身份管理通过令牌的方式实现用户身份认证。在线快速身份验证(FIDO)采用生物特征的强身份鉴别、基于风险分析的动态鉴别等技术，有效解决了口令认证和短信验证码认证方式存在的问题。

通过分析可知，oAuth认证和FIDO认证技术有效解决了中心化身份管理带来的单点故障问题，但是，仍然非常依赖授权机构的安全性。而本发明提出的基于区块链的电力移动终端身份认证机制，可以有效利用区块链技术的去中心化、不可篡改等优点，削弱了身份认证过程对授权机构的依赖程度。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims (4)

1.一种基于区块链的电力移动终端身份认证机制，其特征在于，包括如下步骤：

步骤100、基于区块链的移动终端身份认证模型构建联盟区块链；

步骤200、在所述联盟区块链内构建移动终端注册流程；

步骤300、在所述联盟区块链内构建移动终端身份认证流程；

步骤400、在所述联盟区块链内基于所述移动终端注册流程进行移动终端注册，并基于所述移动终端身份认证流程对移动终端的身份进行验证；

在步骤200中，移动终端注册流程的具体步骤为：

步骤201、注册请求，移动终端向身份提供系统提出注册请求，注册请求内容包括使用人员的ID、移动终端ID、接入的电力服务系统列表；

步骤202、同意申请，身份提供系统根据电力公司的政策，验证注册请求的内容，如果验证通过，给移动终端返回同意申请的通知，并要求提供相关证明材料；

步骤203、生成公私密钥，为了确保移动终端身份数据的安全，移动终端生成公私密钥，用于对身份等信息进行签名；

步骤204、发送材料和公钥，移动终端按照身份提供系统要求，提供相关证明材料，并连同自己的公钥一起发送给身份提供系统；

步骤205、验证材料，身份提供系统对移动终端发送的材料进行验证，验证通过后，将移动终端的ID、公钥数据保存在本地系统中；

步骤206、请求存储移动终端的身份数据，身份提供系统将移动终端的数据进行签名和哈希，得到签名数据包、数据哈希值，向区块链请求存储移动终端的身份；

步骤207、存储移动终端的身份数据，区块链接收到移动终端的签名数据包、数据哈希值后，按照共识机制和智能合约规制，对其进行存储；

步骤208、注册成功，身份提供系统接收到区块链存储成功的消息后，给移动终端返回注册成功的消息。

2.根据权利要求1所述的一种基于区块链的电力移动终端身份认证机制，其特征在于，所述区块链的移动终端身份认证模型包括移动终端、电力服务系统、身份提供系统和区块链。

3.根据权利要求2所述的一种基于区块链的电力移动终端身份认证机制，其特征在于，所述移动终端的对象是用户方，包括身份初始化、服务需求两个功能，其中，身份初始化包括用户身份建立、身份认证，服务需求包括用户的服务需求描述、服务请求、服务使用；

所述电力服务系统的对象是服务方，包括用户身份认证、系统服务两个功能，其中，用户身份认证包括身份认证请求、用户身份认证，系统服务包括服务请求接收、服务提供、服务能力提升；

所述身份提供系统的对象是身份提供方，包括用户管理、认证记录管理两个功能，其中，用户管理包括用户的注册、认证、管理，认证记录管理包括认证过程的增加、查询；

所述区块链的对象是身份数据存储和身份认证方，包括智能合约服务、区块链服务、分布式存储服务三个功能，在构建区块链时，各个电力服务系统和身份提供系统所在的电力公司均可申请成为区块链节点；具体申请可以采用联盟链的共识机制进行申请和创建。

4.根据权利要求1所述的一种基于区块链的电力移动终端身份认证机制，其特征在于，在步骤300和步骤400中，对移动终端身份认证流程具体步骤为：

步骤1、身份认证请求，移动终端请求接入电力服务系统，请求内容包括使用人员的ID、移动终端ID；

步骤2、要求提供相关材料，电力服务系统核对移动终端的请求内容后，要求移动终端提供公钥、相关证明材料；

步骤3、提供签名的材料和公钥，移动终端将注册时的证明材料使用公钥进行签名，并将签名后的材料和公钥信息发送给电力服务系统；

步骤4、请求验证，电力服务系统将移动终端的数据发送到身份提供系统，请求对其进行验证；

步骤5、验证移动终端材料，身份提供系统首先验证移动终端的公钥是否正确，之后根据移动终端的ID值，在本地查找其允许接入的电力服务系统列表，验证当前电力服务系统是否在此列表中，如在列表中，表明当前移动终端允许使用当前的此电力服务系统；

步骤6、申请移动终端的数据哈希值，身份服务系统向区块链申请当前移动终端ID在身份注册时存储的数据哈希值；

步骤7、查找数据哈希值，区块链根据移动终端ID在分布式存储系统中，查询数据哈希值；

步骤8、返回数据哈希值，区块链给身份服务系统返回移动终端ID的数据哈希值；

步骤9、验证移动终端数据，身份服务系统将移动终端的数据求解哈希值，并与区块链返回的哈希值进行比较，如果哈希值相同，表示验证成功；

步骤10、返回验证成功，身份服务系统向电力服务系统返回验证成功的消息；

步骤11、返回认证成功，电力服务系统向移动终端返回认证成功的消息。