CN111478902B

CN111478902B - 电力边缘网关设备及基于该设备的传感数据上链存储方法

Info

Publication number: CN111478902B
Application number: CN202010264956.8A
Authority: CN
Inventors: 张万生; 何源; 刘恢; 姚刚
Original assignee: Jiangsu Runhe Zhirong Technology Co ltd
Current assignee: Jiangsu Zhirong Energy Technology Co ltd
Priority date: 2020-04-07
Filing date: 2020-04-07
Publication date: 2021-03-23
Anticipated expiration: 2040-04-07
Also published as: US20230017740A1; WO2021203733A1; CN111478902A

Abstract

本发明公开了一种电力边缘网关设备，该设备采用区块链技术实现网关的通信认证和数据传输加密。边缘网关设备作为本地信息的汇聚处理设备，不仅可与本地的多种电力传感终端设备构成一个局部区块链网络，还可以与其他边缘网关、电力管理平台构建区域型的区块链网络。边缘网关作为这两种区块链的关键节点，借助区块链技术的不可篡改性和可追溯性，实现电力传感终端设备间的身份合法性认证、关键数据的区块链账本存储、控制和联动功能的区块链交易部署实施，以及安全可靠的数据交互等功能。本发明还公开了基于电力边缘网关设备的传感数据上链存储方法。

Description

电力边缘网关设备及基于该设备的传感数据上链存储方法

技术领域

本发明涉及电气工程科学领域，特别是一种电力边缘网关设备及基于该设备的传感数据上链存储方法。

背景技术

随着物联网、互联网等新一代信息技术与智能电网的有效融合，促使传统电网逐步向智能电网双向互动服务模式转型，电力管理部门能够借助智能终端及时掌握与了解电力设施运行情况以及设备故障、环境信息等内容，从而对电力运维进行合理安排。与传统电网相比，新型智能电网具有通信网络异构化、网络安全防护边界泛在化、业务安全接入需求多样化等特点，这也直接增加了电力信息泄露、设备非法接入以及设备管理失控等一系列安全风险，加大了异构网络电力信息的安全防护难度，致使针对电力数据的漏洞挖掘、完整性保护、机密性保护以及攻击防御难度显著增加，同时对不同种类的智能终端接入方式、本地数据处理能力、联动控制实时性和设备和信息的安全防护都提出了更加严格的要求。

当前大量电力监测传感设备已经广泛应用于电力输变配等电力监测领域，这些监测系统的建设方案，一般都是采用将海量传感器获取的感知数据通过边缘网关上传，并最终通过网络层的接入控制器进入云平台的服务器。边缘网关作为传感数据的汇聚节点和处理设备，对物联网终端设备接入身份认证和数据通信安全，以及边缘网关和云平台之间的数据通信安全是当前智能电网应用需要解决的重要问题。

在设备安全方面，电力物联网终端设备随着数据价值的增长，将成为黑客恶意攻击的潜在对象；在信息安全方面，电力物联网中的流式数据，特别是经由无线网络进行传输时，极易被窃取。同时，随着大数据与物联网的结合，海量数据存储在少数中心节点，数据缺少备份，数据安全性得不到保证。在用户隐私安全方面，传统物联网不具备抵抗密钥共享攻击等基于应用的隐私保护能力。电力设备物联网中各类传感器的 GPS 定位系统能否对用户的隐私数据做到完全保密，信息是否被生产厂商所监控，都是电力传感监测系统安全需要面对的重要问题。

目前，电力边缘网关一般通过软件加密算法，实现设备认证和通信加密，但加密算法对设备资源有一定要求，电力传感终端设备一般都是资源受限设备，所以，边缘网关与传感设备间的通信安全一般不适用复杂性高的加密算法。还有的电力传边缘网关通过额外增加安全加密芯片或安全设备等硬件加密方式实现设备认证和数据通信的加密功能，但是硬件加密会增加设备成本和设备功耗，同时，硬件加密方式也不适用于传感终端设备。

发明内容

本发明所要解决的技术问题是克服现有技术的不足，而提供一种电力边缘网关设备及基于该设备的传感数据上链存储方法，采用本方案的电力边缘网关，可以作为电力传感数据存储区块链的一个节点，可实现与链上其他节点（传感设备、汇聚节点、其他边缘网关、云平台）的身份双向认证，使得设备间能够验证彼此身份，从而建立起信任关系，以实现后续数据交互行为等功能。

本发明为解决上述技术问题采用以下技术方案：

根据本凡提出的一种电力边缘网关设备，包括支持多种有线和无线通信模式的通信模块、传感数据采集模块、数据交换模块、传感设备控制模块和区块链处理模块；其中，通信模块与区块链处理模块相连，区块链处理模块与传感数据采集模块、数据交换模块和传感设备控制模块分别连接；区块链处理模块包括数据采集处理单元、设备控制处理单元、数据存储处理单元、本地智能处理单元和加密模块；

通信模块，用于将外部设备发送的通信数据经其传输至区块链处理模块；

区块链处理模块，用于实现外部设备的安全认证、通信数据解密；

传感数据采集模块，用于采集传感终端设备的信息，输出传感数据至数据采集处理单元、本地智能处理单元；

数据采集处理单元，用于将传感数据采集模块传输来的传感数据输出至加密模块进行数据加解密处理，加解密后的数据又输出至数据采集处理单元、设备控制处理单元；数据采集处理单元按照传感数据格式，进行数据解析，解析后的数据输出至通信模块、数据存储处理单元；

数据交换模块，用于负责与区块链处理模块的数据交互，对接区块链主链的远程过程调用RPC和物联网设备的应用程序接口API；

传感设备控制模块，用于接受传感终端设备发出的操控指令并执行相应操作；

设备控制处理单元，与传感设备控制模块直接相连，用于对外部接入或传感设备控制模块输出的从设备进行设备认证、设备签名处理；同时，负责将经过加解密后的数据，解析为控制指令，实现对外部设备的控制；

本地智能处理单元，用于对传感数据采集模块输出的传感数据进行数据过滤、数据归类以及数据融合处理；

数据存储处理单元，用于对经过数据采集处理单元传输的数据，采用区块链超级账本结构，实现数据存储；

加密模块，用于储存网关信任域内的其他所有从设备的私钥和数据，并且保存了所有已经通过授权的使用者的公钥，通过加密芯片储存在加密储存介质中；负责与网关连接的从设备的数据签名，数据加密和签名验证。

作为本发明所述的一种电力边缘网关设备进一步优化方案，还包括边缘计算处理模块，本地智能处理单元输出融合处理后的数据至边缘计算处理模块，边缘计算处理模块用于对本地智能处理单元传输过来的数据进行边缘计算处理。

基于上述的一种电力边缘网关设备的传感数据上链存储方法，电力传感数据区块链上设备中，只有边缘网关设备作为主设备用于存储聚合电力传感数据账本，其他从设备只参与区块链身份验证上链申请区块的合法性，以及采用 PBFT 共识机制将上链数据同步到电力传感数据区块链中；具体步骤如下：

步骤1、主设备将从链上接收到的传感数据进行排序整理后，生成一个区块，将数据填充到区块中，加上自己签名以及该区块的哈希，将其广播到电力传感数据区块链网络中；

步骤2、从设备接收到新区块后，将其中的区块头添加到自己拥有的最新区块账本当中，即追加一个区块记录，并对该区块进行哈希审计，若哈希与主设备所发来的一致则通过验证，并将验证结果信息广播到电力传感数据区块链；

步骤3、各个设备在验证主节点所广播区块的同时也接收其他节点的验证结果，在收集到一半设备数目以上其他节点发来的正确性确认消息后，认为该区块有效，将该区块提交到本地所拥有的电力传感数据区块链账本当中；

至此，各个设备完成电力传感数据的账本同步操作。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

（1）本发明采用区块链技术实现设备通信认证和数据传输加密；该设备可与电力传感设备、汇聚节点、其他边缘网关，以及云平台构建电力传感设备认证和数据传输、数据存储区块链，借助区块链的不可篡改性和可追溯性，将证实设备身份合法的关键数据以区块链交易的形式存储在由多个分布式区块链节点共同维护的区块链账本中，而并不由某个可信第三方生成与管理；

（2）采用本方案的电力边缘网关，可以作为电力传感数据存储区块链的一个节点，可实现与链上其他节点（传感设备、汇聚节点、其他边缘网关、云平台）的身份双向认证，使得设备间能够验证彼此身份，从而建立起信任关系，以实现后续数据交互行为等功能；各类监测数据汇聚到边缘网关设备，采用边缘计算技术，实现监测数据的本地处理，实现站房设备运行状态监测、故障预警、故障报警，以及联动控制等功能，最终实现配电站房的自愈功能。

附图说明

图1是分层区块链系统结构图。

图2是电力边缘网关的简单示意结构图。

图3是边缘网关功能结构图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

以下描述中，为了说明而不是为了限定，提出了诸如特定内部程序、技术之类的具体细节，以便透彻理解本发明实施例。然而，本领域的技术人员应当清楚，在没有这些具体细节的其它实施例中也可以实现本发明。在其它情况中，省略对众所周知的系统、装置、电路以及方法的详细说明，以免不必要的细节妨碍本发明的描述。

1、分层区块链电力监控系统架构

电力边缘网关（本文后面简称网关）设备作为电力监控系统的关键核心设备，不仅可实现配电站房信息的全方位监测和数据本地化处理，还作为分层区块链的关键节点，实现电力传感信息的可靠传输和安全存储。电力区块链监控系统结构图见附图1。系统采用两层并行的区块链结构，不同分区内部采用站内区块链，不同分区之间采用站间区块链结构。

在站房内，由电力传感终端设备或汇聚节点，与网关设备构成一个小型区域内的电力传感数据区块链系统。在这个系统中，网关作为区块链交易的主设备，传感终端设备或汇聚节点是从设备。由主设备构建一个区块链信任域，该信任域内的从设备是在边缘网关通信区域内的传感终端设备或汇聚节点。

站房之间，由网关或边缘代理设备，以及远程管理平台构成一个大型电力信息管理区块链系统。在这个大型区块链系统中，远程管理平台作为主设备，网关设备为从设备。由主设备构建信任域，新的网关设备作为从设备，申请关联到信任域。远程管理平台上运行的应用服务可为监控中心与运维人员提供各类电力信息监测数据，如通过运维人员可通过移动APP使用管理平台提供的信息查询、运维检修和查询服务等。

2、网关设备结构

网关是电力设备泛在物联网感知层的汇聚节点和接入节点，同时作为网络层的接入控制器和接入设备。网关设备包括数据接入、信息本地处理和边缘计算功能外，网关还具有区块链功能。区块链功能除负责终端接入管理外，还需具备交易管理功能，负责对终端发起的交易在网络内进行转发，验证账本中新增交易的合法性，维护统一账本。因此，客观上要求网关具备一定的计算能力和较大的存储空间。

网关设备由通信模块（支持多种有线和无线通信模式）、传感数据采集模块、数据交换模块、传感设备控制模块、区块链处理模块(里面具体单元的连接关系没画出，区块链处理模块采用ARM处理器)、边缘计算处理模块（GPU或CPU处理器），电源管理模块等组成，设备结构见附图2。

设备内部各模块连接关系：通信模块与区块链处理模块直接相连，区块链处理模块与传感数据采集模块、数据交换模块、传感设备控制模块，以及边缘计算处理模块分别直接相连。

网关与外部设备通信数据流

1）外部设备向网关发送的通信数据，数据首先进入区块链处理模块。区块链处理模块实现外部设备安全认证、通信数据解密等功能，然后区块链根据数据类型转发到传感数据采集模块、数据交换模块和传感设备控制模块或边缘计算处理模块，继续进行处理；

2）传感数据采集模块、数据交换模块和传感设备控制模块或边缘计算处理模块处理完成的数据，准备发出给其他设备时，这些数据首先发送到区块链处理模块，经过数据加密、签名认证后，再传输到通信模块，发送给指定的外部设备。

网关各组成模块功能

数据交互模块：数据交互模块负责其他所有模块的数据交互，用以对接区块链主链的RPC（远程过程调用）和物联网设备的API（应用程序接口）。

传感数据采集模块：传感数据采集模块可采集传感终端设备，如摄像头、GPS、传感器等设备信息，采集到的数据归并到设备应用。

传感设备控制模块：IoT设备的操控模块，可以接受设备发出的操控指令执行相应操作，例如联动控制的开关、开锁、接通电源等。

区块链处理模块：区块链处理部分包括：数据采集处理单元、设备控制处理单元、本地智能处理单元、数据存储处理单元，以及加密模块，具体功能架构图见附图2。

数据采集处理单元：将传感数据采集模块传输来的数据，进行数据加解密处理。

设备控制处理单元：对外部接入或控制输出的设备进行设备认证、设备签名等控制处理。

本地智能处理单元：实现本地采集的数据进行数据过滤、数据归类等数据融合处理，如数据需要进一步高级处理，则本部分处理后的数据，直接传输到边缘计算处理模块，进行边缘计算处理。

数据存储处理单元：采用区块链超级账本结构，实现数据存储。

加密模块：该模块是设备区块链功能实现的核心模块，其中储存有设备特有的私钥和数据，并且保存了所有已经通过授权的使用者的公钥，通过加密芯片储存在加密储存介质中。该模块负责所有相关的数据签名，数据加密和签名验证等。

边缘计算处理模块：在功能架构上分硬件抽象层、操作系统层、基础功能层和边缘服务层，如附图3所示。其中，硬件层包括设备唯一标识、可信计算模块等功能；操作系统层包括系统监测、安全接入、应用隔离、可信度量等功能；基础功能层包括子设备接入、物模型管理、消息队列等功能，支持通过系统APP应用进行系统管理，实现边缘计算框架；边缘服务层包括流计算、规则引擎等功能，并支撑资源、数据、智能、应用管理等的云边协同。

3、区块链工作流程

3.1区块链认证方法

本方案提出的电力传感终端认证方法主要基于数字签名算法、哈希算法和区块链技术。其中，引进数字签名和哈希算法的意义在于对设备之间的数据消息进行签名验证，保证数据消息的完整性和不可否认性。而引进区块链技术的意义在于将身份认证机制中的关键数据信息以区块链交易的形式存储在由多个区块链节点维护的分布式账本中，保证数据信息的不可篡改和可追溯性，最终实现去中心化认证。

3.2 传感设备采集数据上报认证流程

传感设备每次采集所获得的电力数据，利用其秘钥对采集数据进行Keccak算法加密，对加密后的电力传感数据，采用ECDSA算法进行签名后连同加密数据的Hash值一起形成区块申请上链。认证架构见附图3，具体认证流程如下：

电力传感数据通信加密方法

具体通信加密流程如下：

步骤1：电力传感设备采集到各种数据后，根据传感网络通信协议生成上发数据包。

步骤2：采用Keccak加密算法加密传感数据得到密文；

步骤3：为密文生成签名及其Hash值；

步骤4：将加密后的密文，Hash值和数据生成的时间戳上报给区域内的主节点设备：边缘网关；

步骤5：其他区块链从节点（电力传感设备），对数据进行签名验证和Hash值验证：如果为真，该采集数据真实有效；如果为假，丢弃该数据，并重新召测；

电力传感数据签名加密方法

ECDSA 算法，即椭圆曲线数字签名算法，使用椭圆曲线密码(ECC)对数字签名算法(DSA)的模拟。ECDSA 签名算法的实现过程包括：域参数选择、密钥对生成、签名生成和签名验证4个步骤。

1、域参数由椭圆曲线上的各个参数构成；

2、密钥对生成：ECDSA 密钥对包括公钥PK-A和私钥SK-A；

3、签名生成：发送者A使用依赖于私钥SK-A的签名算法 Sig 对消息 m 的哈希值H(m) 进行签名，生成签名结果SigSK-A(H(m))，将此签名结果连同消息发给接收者 B；

4、签名验证：为了验证发送者 A对消息 m 的签名结果，接收者 B 需要预先获得A的域参数和公钥，用于签名解密验证。签名验证过程一般由消息的接收者 B来完成，使用依赖于公钥PK-A 的验证算法 Ver 对签名结果SigSK-A(H(m))，进行验证，得到解密后的哈希值 H(m)，与使用同样哈希函数 H 计算出接收消息的哈希值进行比较，如果两者相等，则验证成功，表明该消息确实是由 A发送的。

3.3 传感数据上链存储流程

传感数据经过认证后，由主设备（边缘网关）担任共识过程的发起与引导作用，如将上链请求排序等。主设备一般由计算性能更强的边缘网关担任，但并不能占据共识中的投票优势，其余节点作为从节点。数据上链存储架构见附图3，

电力传感数据区块链上节点中，只有边缘网关作为主设备用于存储聚合电力传感数据账本，其他从节点由于受到设备资源的限制，只参与区块链身份验证上链申请区块的合法性，以及采用 PBFT 共识机制将上链数据同步到电力传感数据区块链中。具体步骤如下：

步骤1：主节点将从链上接收到的传感数据进行排序整理后，生成一个区块，将数据填充到区块中，加上自己签名以及该区块的哈希，将其广播到电力传感数据区块链网络中；

步骤2：从节点接收到新区块后，将其中的区块头添加到自己拥有的最新区块账本当中，即追加一个区块记录，并对该区块进行哈希审计，若哈希与主节点所发来的一致则通过验证，并将验证结果信息广播到电力传感数据区块链；

步骤3：各个节点在验证主节点所广播区块的同时也接收其他节点的验证结果，在收集到一般节点以上其他节点发来的正确性确认消息后，认为该区块有效，将该区块提交到本地所拥有的电力传感数据区块链账本当中。

至此，各个节点完成电力传感数据的账本同步操作。本发明中的主设备为主节点，从设备为从节点，节点指设备，设备包括主设备和从设备。

以上详细描述了本发明的具体实施例。应当理解，本领域的普通技术人员无需创造性劳动就可以根据本发明的构思作出诸多修改和变化。因此，凡本技术领域中技术人员依本发明的构思在现有技术的基础上通过逻辑分析、推理或者有限的实验可以得到的技术方案，皆应在由权利要求书所确定的保护范围内。

Claims

1.一种电力边缘网关设备，其特征在于，包括支持多种有线和无线通信模式的通信模块、传感数据采集模块、数据交换模块、传感设备控制模块和区块链处理模块；其中，通信模块与区块链处理模块相连，区块链处理模块与传感数据采集模块、数据交换模块和传感设备控制模块分别连接；区块链处理模块包括数据采集处理单元、设备控制处理单元、数据存储处理单元、本地智能处理单元和加密模块；

2.根据权利要求1所述的一种电力边缘网关设备，其特征在于，还包括边缘计算处理模块，本地智能处理单元输出融合处理后的数据至边缘计算处理模块，边缘计算处理模块用于对本地智能处理单元传输过来的数据进行边缘计算处理。

3.基于权利要求1所述的一种电力边缘网关设备的传感数据的上链存储方法，其特征在于，电力传感数据区块链上的上链设备中，只有边缘网关设备作为主设备用于存储聚合电力传感数据账本，其他从设备只参与区块链身份验证上链申请区块的合法性，以及采用PBFT 共识机制将上链数据同步到电力传感数据区块链中；具体步骤如下：

至此，各个设备完成电力传感数据的账本同步操作。