CN110995718A - 一种基于区块链的电力终端跨域认证机制 - Google Patents

Abstract

本发明公开了一种基于区块链的电力终端跨域认证机制，包括如下步骤：基于单个区块链的电力终端身份认证模型构建联盟区块链，并且在每个所述联盟区块链内设置身份管理服务方和单个区块链节点；在联盟区块链内查找从起始域到目的域的所有路由；基于所有路由计算可信度最优的路由；确定可信度最优的路由，并执行电力终端的跨域身份认证最优的路由，并执行电力终端的跨域身份认证；本发明通过分析电力通信网的组网特点，提出了基于区块链的电力终端身份认证模型和认证机制，以解决电力终端跨域认证时过程复杂和隐私泄露的问题。

Description

一种基于区块链的电力终端跨域认证机制

技术领域

本发明涉及电力通信网的安全管理技术领域，具体涉及一种基于区块链的电力终端跨域认证机制。

背景技术

随着物联网技术的快速发展和应用，电力终端的类型和数量快速增长。在电力公司运营中，为了保障电力数据的安全性，电力通信网一般由多个不同的域构成。电力终端要接入特定的电力服务系统时，需要经过多个域。这种背景下，如何实现电力终端的跨域认证，已成为一个急需解决的关键问题。

当前的相关研究主要分为研究新的去中心化架构、改进和简化现有认证架构两种。

(1)、研究新的去中心化架构方面，现有技术中包括针对现有跨域认证技术依赖认证中心的问题，将区块链技术应用到跨域认证中，提出了基于区块链的跨域认证方法；为了解决低安全级别身份终端越权访问高安全级别域的问题，将风险评价机制和主观信任度加权算法与联盟区块链技术结合，提出了基于区块链的跨域认证可信度机制。

(2)、改进和简化现有认证架构方面，现有技术中包括从简化跨域认证流程出发，采取生物特征作为随机密钥，采用区块链技术作为随机密钥的存储技术，有效解决了传统跨域认证中存在的密钥泄露、认证设备多和流程复杂等问题；从简化域代理部署复杂的问题出发，将身份密码与信任度相结合，提出了基于信任的实体跨域认证机制，有效降低了跨域认证时的计算开销和通信开销；以简化跨域认证中计算、存储、通信开销为目的，基于联盟区块链技术，将现有信任服务器构建为支持跨域认证的区块链节点；针对跨域认证中身份撤销慢的问题，将安全仲裁加入到跨域认证模型中，用于存储终端的私钥。

通过对已有研究分析可知，当前的主要研究成果集中在改进和简化现有认证架构领域，已经取得了较好的研究成果。但是，针对电力行业的电力终端跨域认证问题，已有研究并没有很好的解决。

发明内容

为此，本发明提供一种基于区块链的电力终端跨域认证机制，以解决现有技术中电力终端跨域认证时过程复杂和隐私泄露的问题。

为了实现上述目的，本发明的实施方式提供如下技术方案：

一种基于区块链的电力终端跨域认证机制，包括如下步骤：

步骤100、基于单个区块链的电力终端身份认证模型构建联盟区块链，并且在每个所述联盟区块链内设置身份管理服务方和单个区块链节点；

步骤200、在联盟区块链内查找从起始域到目的域的所有路由；

步骤300、基于所有路由计算可信度最优的路由；

步骤400、确定可信度最优的路由，并执行电力终端的跨域身份认证。

作为本发明的一种优选方案，在步骤100中，根据身份管理服务方的不同划分不同的域身份，所述域身份包括网页注册的虚拟身份VI、微信和支付宝公司颁发的互联网身份II、电信运营商颁发的号码身份NI、电力公司颁发的电力身份PI和公安机关颁发的法人身份LPI。

作为本发明的一种优选方案，对不同的所述域身份设定不同的可信度CL，具体为：

网页注册的虚拟身份的可信度为CL_VI，且CL_VI＝0；微信和支付宝公司颁发的互联网身份的可信度为CL_II，其中0＜CL_II≤0.25；电信运营商颁发的号码身份的可信度为CL_NI，其中0.25＜CL_NI≤0.5；电力公司颁发的电力身份的可信度为CL_PI，其中0.5＜CL_PI≤0.75；公安机关颁发的法人身份的可信度CL_LPI，其中0.75＜CL_LPI≤1。

作为本发明的一种优选方案，在步骤300中，将域i和域j间的身份认证可信度表示为CL_ij，所有身份认证可信度就可以构成跨域认证可信度矩阵R：

其中，矩阵的行数m为存在跨域认证请求的终端数量，列数n为域的数量。

作为本发明的一种优选方案，所述跨域认证可信度矩阵R中的元素取值为两个相邻域的域间身份认证可信度，且对两个相邻域的域间身份认证可信度采用最低身份原则进行匹配。

作为本发明的一种优选方案，对于跨域数量较多的域间身份认证可信度计算采用熵权法进行计算，具体计算步骤为：

确定各个域的熵值e_j，其中

计算两域间的权重w_j，其中

其中，0≤w_j≤1，并且

n个域之间的可信度权重值为W＝[w₁,...,w_j,...w_n]；

采用同趋化函数μ(x)计算每条路由的跨域可信度CL_i，

其中，

x表示变量。

作为本发明的一种优选方案，在步骤400中跨域身份认证包括电力终端身份创建、电力终端域内认证、电力终端域间认证。

作为本发明的一种优选方案，所述电力终端身份创建的具体步骤为：

申请身份，电力终端A向身份管理服务A提出身份申请；

签发身份，身份管理服务A为电力终端A签发身份；

申请保存身份，身份管理服务A向区块链节点A提出保存电力终端A的申请；

验证并保存，区块链节点A验证身份管理服务A提出的请求后，保存电力终端A的身份；

身份创建成功，电力终端A保存已创建的身份，并使用该身份进行认证。

作为本发明的一种优选方案，所述电力终端域内认证的具体步骤为：

申请接入域A，电力终端A向身份管理服务A请求接入域A；

域内身份验证请求，身份管理服务A请求区块链节点A进行验证；

执行身份验证，区块链节点A执行电力终端A的身份验证；

域内身份验证通过，根据区块链节点的验证结果，电力终端获得进入域A的权限。

作为本发明的一种优选方案，所述电力终端域间认证的具体步骤为：

申请接入域B，电力终端A向域B的身份管理服务B请求接入域B；

域间身份验证请求，身份管理服务B请求域A的身份管理服务A对电力终端A进行验证；

域内身份验证请求，域A的身份管理服务A向区块链节点A提出身份验证请求；

执行身份验证，区块链节点A执行电力终端A的身份验证；

域间身份验证通过，根据区块链节点的验证结果，电力终端获得进入域B的权限。

本发明具有如下优点：

(1)、在使用场景方面，本发明提出的基于区块链的电力终端跨域认证机制，主要用于解决电力终端的跨域认证问题，并且通过对电力终端身份申请流程、电力终端域内认证流程、电力终端的跨域身份认证流程的设计和分析可知，本发明提出的机制较好的实现了电力终端的跨域认证。

(2)、在算法科学性方面，本发明深入分析了域的可信度及其身份关系，设计了五级身份体系；并构建了跨域认证可信度矩阵，并在可信度矩阵的基础上提出了基于熵权法的域可信度权重求解方法，有效解决了人工计算和简单相加等求解方法带来的不准确问题。

(3)、在可扩展性、健壮性方面，本发明采用区块链技术作为电力终端身份认证的关键模块。区块链技术具有去中心化、数据不可篡改性等可扩展性、健壮性所必须的特点，本发明提出的基于区块链的电力终端跨域认证机制必然具有较好的可扩展性、健壮性。

附图说明

为了更清楚地说明本发明的实施方式或现有技术中的技术方案，下面将对实施方式或现有技术描述中所需要使用的附图作简单地介绍。显而易见地，下面描述中的附图仅仅是示例性的，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图引伸获得其它的实施附图。

图1为本发明的一种基于区块链的电力终端跨域认证机制的流程示意图；

图2为多域构成的电力通信网拓扑示意图；

图3为基于区块链的电力终端身份认证模型示意图；

图4为电力终端身份申请流程示意图；

图5为电力终端域内认证流程示意图；

图6为电力终端的跨域身份认证流程示意图。

具体实施方式

以下由特定的具体实施例说明本发明的实施方式，熟悉此技术的人士可由本说明书所揭露的内容轻易地了解本发明的其他优点及功效，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

如图1至图6所示，本发明提供了一种基于区块链的电力终端跨域认证机制，包括如下步骤：

步骤100、基于单个区块链的电力终端身份认证模型构建联盟区块链，并且在每个所述联盟区块链内设置身份管理服务方和单个区块链节点；

步骤200、在联盟区块链内查找从起始域到目的域的所有路由；

步骤300、基于所有路由计算可信度最优的路由；

步骤400、确定可信度最优的路由，并执行电力终端的跨域身份认证。

下面将结合具体的实施例说明该认证机制。

步骤100、基于单个区块链的电力终端身份认证模型构建联盟区块链，并且在每个所述联盟区块链内设置身份管理服务方和单个区块链节点。

随着物联网技术在电力通信网中的广泛应用，接入电力通信网的电力终端的类型和数量快速增加。为了将电力终端的数据传输到电力系统，需要通过电力通信网进行传输。但是，为每种电力终端和电力系统部署一套专网，必然带来很大的资源浪费。为解决此问题，电力终端数据的跨域传输已成为解决此问题的一个较好的方案。多域构成的电力通信网拓扑示意图如图2所示。从图可知，该电力通信网包括A、B、C、D、E、F共6个域，每个域包括多个电力终端和多条链路。其中，电力终端是指电力通信网中的终端设备，可以是给多个系统上报环境数据的采集设备，也可以是用于执行系统命令的终端设备。

要实现跨域安全传输，首先需要解决跨域认证的问题，所以，如何实现电力终端安全的跨域认证，已成为一个急需解决的问题。从图2可知，有些域之间直接相连(例如，域A和域B)，有些域之间不能直接相连(例如，域A和域E)。所以，电力终端的跨域认证问题包括直接相连的域之间认证、不直接相连的域之间认证两种。

为实现跨域认证，本发明提出的基于区块链的电力终端身份认证模型如图3所示。在每个域内设置身份管理服务方、区块链节点。所有域的区块链节点基于联盟区块链理论，构建联盟区块链。其中，身份管理服务方实现本域范围内电力终端身份的创建和管理。区块链节点用于实现电力终端域内身份的存储、跨域身份的创建和管理功能。

步骤200、在联盟区块链内查找从起始域到目的域的所有路由。

从电力终端的跨域身份认证流程可知，当电力终端进行跨域认证时，需要经过多个域进行认证。如果每个域的认证结果都有相同的可信度，那么电力终端可以根据认证结果接入到认证通过的所有域内。但是，在实际的网络环境中，每个域的可信度与其身份关系紧密。例如，域的身份属于网页注册身份，那么域的可信度就较低。如果域的身份属于公安机关颁发的法人身份，那么域的可信度就非常高。

基于此，本发明将域身份划分为网页注册的虚拟身份(virtual identity，VI)、微信和支付宝公司颁发的互联网身份(Internet identity，II)、电信运营商颁发的号码身份(number identity,NI)、电力公司颁发的电力身份(power identity，PI)、公安机关颁发的法人身份(legal person identity,LPI)共五级身份标识。

针对每个级别，分别设置可信度(confidence level，CL)如下：网页注册的虚拟身份的可信度CL_VI＝0，微信和支付宝公司颁发的互联网身份的可信度0＜CL_II≤0.25、电信运营商颁发的号码身份的可信度0.25＜CL_NI≤0.5、电力公司颁发的电力身份的可信度0.5＜CL_PI≤0.75、公安机关颁发的法人身份的可信度0.75＜CL_LPI≤1。

如果电力终端要经过两个及以上相连的域进行通信，电力终端的跨域身份认证过程是将跨越的所有域两两间的身份认证可信度进行计算，最终得到电力终端的跨域认证可信度。并基于计算得到的跨域认证可信度判定是否能够访问目标域。例如，位于域A的电力终端A要访问域E的电力系统，可以选择的最短路由包括：(1)、域A——域B——域E；(2)、域A——域F——域E；(3)、域A——域D——域E。此时，电力终端A需要计算三条路由的可信度，并最终选择其中的可信度最大的一条路由作为实际路由。

基于上述分析可知，电力终端在进行跨域路由时，通过求解多条路由中可信度最高的路由，作为电力终端到目标域的最大可信度路由。只有身份认证的可信度达到目标阈值的可信度范围，才能访问该级别的相关信息。所以，需要包括下面两个过程：(1)、寻找电力终端源域和目的域之间的所有路由；(2)、选择路由中可信度最大的一条路由作为实际路由。寻找所有路由时，使用电力通信网的网络拓扑构建无向图和邻接表后，采用深度优先算法进行求解，属于比较成熟的技术，本发明不在详细描述。所以，本发明主要研究如何选择路由中可信度最大的一条路由。

步骤300、基于所有路由计算可信度最优的路由。

为便于计算可信度，本发明将域i和域j间的身份认证可信度表示为CL_ij。所有身份认证可信度就可以构成跨域认证可信度矩阵R。

矩阵的行数m为存在跨域认证请求的终端数量，列数n为域的数量。矩阵中元素的取值为两域的可信度，即：两个相邻域的域间身份认证可信度。本发明使用两个域的最低身份进行匹配。例如，域A属于电信运营商颁发的号码身份，域B属于电力公司颁发的电力身份，那么，域A和域B的认证可信度只能取其最低的电信运营商颁发的号码身份，所以，域A和域B的认证可信度取值范围为0.25＜CL_NI≤0.5。

为客观计算跨域的可信度，降低域节点数量多导致可信度不准确的问题，本发明提出基于熵权法的域可信度权重求解方法。其中，熵权法是指基于各个域的信息量来衡量其可信度的权重，通过下式进行计算。

在求解出各个域的熵值e_j后，采用下式就可以获得两域间的权重w_j，

式中，0≤w_j≤1，并且

所以，n个域之间的可信度权重值为W＝[w₁,...,w_j,...w_n]。为便于计算电力终端跨域可信度，本发明使用同趋化函数

计算每条路由的跨域可信度CL_i，如式所示：

例如，假设第i条跨域路由的最优可信度取值为CL_i＝0.425＜0.5，此时，电力终端的域认证可信度为电信运营商颁发的号码身份级别，此时，电力终端在跨域通信时，获得的最高可信度为电信运营商颁发的号码身份的可信度。

步骤400、确定可信度最优的路由，并执行电力终端的跨域身份认证。

在使用本发明提出的基于区块链的电力终端身份认证模型，实现电力终端的跨域认证时，需要包括电力终端身份创建、电力终端域内认证、电力终端域间认证三个过程。其中，域间认证流程包括：两个相连的域认证、两个不直接相连的域认证两种情况。

电力终端身份申请流程的参与方主要包括电力终端、身份管理服务、区块链节点，具体的流程如图4所示。从流程可知，电力终端的身份保存在区块链节点，可以充分利用区块链技术的不可篡改、去中心化的优点，从而保障电力终端身份数据的安全。

申请身份。电力终端A向身份管理服务A提出身份申请；

签发身份。身份管理服务A为电力终端A签发身份；

申请保存身份。身份管理服务A向区块链节点A提出保存电力终端A的申请；

验证并保存。区块链节点A验证身份管理服务A提出的请求后，保存电力终端A的身份；

身份创建成功。电力终端A保存已创建的身份，并使用该身份进行认证。

电力终端域内认证流程的参与方主要包括电力终端、身份管理服务、区块链节点，具体的流程如图5所示。从流程可知，电力终端认证时由区块链节点执行身份验证，充分利用区块链节点的安全特性，所以，认证流程更加安全、可信。

申请接入域A。电力终端A向身份管理服务A请求接入域A；

域内身份验证请求。身份管理服务A请求区块链节点A进行验证；

执行身份验证。区块链节点A执行电力终端A的身份验证；

域内身份验证通过。根据区块链节点的验证结果，电力终端获得进入域A的权限。

电力终端的跨域身份认证流程的参与方主要包括两个域的电力终端、身份管理服务、区块链节点，具体的流程如图6所示。从流程可知，区块链节点是实现跨域认证的主要认证节点。这种设计大大降低了跨域认证的复杂度、安全性。因为原有的跨域认证需要不同的域之间进行多次交互，才能保证认证流程的安全。但是，本发明的跨域认证主要基于区块链节点进行认证，充分利用了区块链节点的全局一致性、安全性、不可篡改性等优点。

申请接入域B。电力终端A向域B的身份管理服务B请求接入域B；

域间身份验证请求。身份管理服务B请求域A的身份管理服务A对电力终端A进行验证；

域内身份验证请求。域A的身份管理服务A向区块链节点A提出身份验证请求；

执行身份验证。区块链节点A执行电力终端A的身份验证；

域间身份验证通过。根据区块链节点的验证结果，电力终端获得进入域B的权限。

本发明的优点在于：

(1)、在使用场景方面，本发明提出的基于区块链的电力终端跨域认证机制，主要用于解决电力终端的跨域认证问题，并且通过对电力终端身份申请流程、电力终端域内认证流程、电力终端的跨域身份认证流程的设计和分析可知，本发明提出的机制较好的实现了电力终端的跨域认证。

(2)、在算法科学性方面，本发明深入分析了域的可信度及其身份关系，设计了五级身份体系；并构建了跨域认证可信度矩阵，并在可信度矩阵的基础上提出了基于熵权法的域可信度权重求解方法，有效解决了人工计算和简单相加等求解方法带来的不准确问题。

(3)、在可扩展性、健壮性方面，本发明采用区块链技术作为电力终端身份认证的关键模块。区块链技术具有去中心化、数据不可篡改性等可扩展性、健壮性所必须的特点，本发明提出的基于区块链的电力终端跨域认证机制必然具有较好的可扩展性、健壮性。

虽然，上文中已经用一般性说明及具体实施例对本发明作了详尽的描述，但在本发明基础上，可以对之作一些修改或改进，这对本领域技术人员而言是显而易见的。因此，在不偏离本发明精神的基础上所做的这些修改或改进，均属于本发明要求保护的范围。

Claims (10)

1.一种基于区块链的电力终端跨域认证机制，其特征在于，包括如下步骤：

步骤100、基于单个区块链的电力终端身份认证模型构建联盟区块链，并且在每个所述联盟区块链内设置身份管理服务方和单个区块链节点；

步骤200、在联盟区块链内查找从起始域到目的域的所有路由；

步骤300、基于所有路由计算可信度最优的路由；

步骤400、确定可信度最优的路由，并执行电力终端的跨域身份认证。

2.根据权利要求1所述的一种基于区块链的电力终端跨域认证机制，其特征在于，在步骤100中，根据身份管理服务方的不同划分不同的域身份，所述域身份包括网页注册的虚拟身份VI、微信和支付宝公司颁发的互联网身份II、电信运营商颁发的号码身份NI、电力公司颁发的电力身份PI和公安机关颁发的法人身份LPI。

3.根据权利要求2所述的一种基于区块链的电力终端跨域认证机制，其特征在于，对不同的所述域身份设定不同的可信度CL，具体为：

网页注册的虚拟身份的可信度为CL_VI，且CL_VI＝0；微信和支付宝公司颁发的互联网身份的可信度为CL_II，其中0＜CL_II≤0.25；电信运营商颁发的号码身份的可信度为CL_NI，其中0.25＜CL_NI≤0.5；电力公司颁发的电力身份的可信度为CL_PI，其中0.5＜CL_PI≤0.75；公安机关颁发的法人身份的可信度CL_LPI，其中0.75＜CL_LPI≤1。

4.根据权利要求1所述的一种基于区块链的电力终端跨域认证机制，其特征在于，在步骤300中，将域i和域j间的身份认证可信度表示为CL_ij，所有身份认证可信度就可以构成跨域认证可信度矩阵R：

其中，矩阵的行数m为存在跨域认证请求的终端数量，列数n为域的数量。

5.根据权利要求4所述的一种基于区块链的电力终端跨域认证机制，其特征在于，所述跨域认证可信度矩阵R中的元素取值为两个相邻域的域间身份认证可信度，且对两个相邻域的域间身份认证可信度采用最低身份原则进行匹配。

6.根据权利要求5所述的一种基于区块链的电力终端跨域认证机制，其特征在于，对于跨域数量较多的域间身份认证可信度计算采用熵权法进行计算，步骤为：

确定各个域的熵值e_j，其中

计算两域间的权重w_j，其中

其中，0≤w_j≤1，并且

n个域之间的可信度权重值为W＝[w₁,...,w_j,...w_n]；

采用同趋化函数μ(x)计算每条路由的跨域可信度CL_i，

其中，

x表示变量。

7.根据权利要求1所述的一种基于区块链的电力终端跨域认证机制，其特征在于，在步骤400中跨域身份认证包括电力终端身份创建、电力终端域内认证、电力终端域间认证。

8.根据权利要求7所述的一种基于区块链的电力终端跨域认证机制，其特征在于，所述电力终端身份创建的具体步骤为：

申请身份，电力终端A向身份管理服务A提出身份申请；

签发身份，身份管理服务A为电力终端A签发身份；

申请保存身份，身份管理服务A向区块链节点A提出保存电力终端A的申请；

验证并保存，区块链节点A验证身份管理服务A提出的请求后，保存电力终端A的身份；

身份创建成功，电力终端A保存已创建的身份，并使用该身份进行认证。

9.根据权利要求8所述的一种基于区块链的电力终端跨域认证机制，其特征在于，所述电力终端域内认证的具体步骤为：

申请接入域A，电力终端A向身份管理服务A请求接入域A；

域内身份验证请求，身份管理服务A请求区块链节点A进行验证；

执行身份验证，区块链节点A执行电力终端A的身份验证；

域内身份验证通过，根据区块链节点的验证结果，电力终端获得进入域A的权限。

10.根据权利要求9所述的一种基于区块链的电力终端跨域认证机制，其特征在于，所述电力终端域间认证的具体步骤为：

申请接入域B，电力终端A向域B的身份管理服务B请求接入域B；

域间身份验证请求，身份管理服务B请求域A的身份管理服务A对电力终端A进行验证；

域内身份验证请求，域A的身份管理服务A向区块链节点A提出身份验证请求；

执行身份验证，区块链节点A执行电力终端A的身份验证；

域间身份验证通过，根据区块链节点的验证结果，电力终端获得进入域B的权限。

Images