CN116192437A - 一种基于区块链及Signal协议的配网作业安全接入方法及系统 - Google Patents

一种基于区块链及Signal协议的配网作业安全接入方法及系统 Download PDF

Info

Publication number
CN116192437A
CN116192437A CN202211583196.2A CN202211583196A CN116192437A CN 116192437 A CN116192437 A CN 116192437A CN 202211583196 A CN202211583196 A CN 202211583196A CN 116192437 A CN116192437 A CN 116192437A
Authority
CN
China
Prior art keywords
distribution network
key
identity
network terminal
blockchain
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Pending
Application number
CN202211583196.2A
Other languages
English (en)
Inventor
李鑫卓
许逵
张历
张俊杰
李欣
余昌皓
张锐锋
班国邦
冯光璐
孟令雯
肖小兵
刘君
李洋
张后谊
李博文
唐赛秋
付胜军
范强
王宇
陈沛龙
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Guizhou Power Grid Co Ltd
Original Assignee
Guizhou Power Grid Co Ltd
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Guizhou Power Grid Co Ltd filed Critical Guizhou Power Grid Co Ltd
Priority to CN202211583196.2A priority Critical patent/CN116192437A/zh
Publication of CN116192437A publication Critical patent/CN116192437A/zh
Pending legal-status Critical Current

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/08Network architectures or network communication protocols for network security for authentication of entities
    • H04L63/0876Network architectures or network communication protocols for network security for authentication of entities based on the identity of the terminal or configuration, e.g. MAC address, hardware or software configuration or device fingerprint
    • GPHYSICS
    • G16INFORMATION AND COMMUNICATION TECHNOLOGY [ICT] SPECIALLY ADAPTED FOR SPECIFIC APPLICATION FIELDS
    • G16YINFORMATION AND COMMUNICATION TECHNOLOGY SPECIALLY ADAPTED FOR THE INTERNET OF THINGS [IoT]
    • G16Y30/00IoT infrastructure
    • G16Y30/10Security thereof
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/104Peer-to-peer [P2P] networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/12Protocols specially adapted for proprietary or special-purpose networking environments, e.g. medical networks, sensor networks, networks in vehicles or remote metering networks
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0816Key establishment, i.e. cryptographic processes or cryptographic protocols whereby a shared secret becomes available to two or more parties, for subsequent use
    • H04L9/0838Key agreement, i.e. key establishment technique in which a shared key is derived by parties as a function of information contributed by, or associated with, each of these
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L9/00Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
    • H04L9/08Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
    • H04L9/0891Revocation or update of secret information, e.g. encryption key update or rekeying
    • YGENERAL TAGGING OF NEW TECHNOLOGICAL DEVELOPMENTS; GENERAL TAGGING OF CROSS-SECTIONAL TECHNOLOGIES SPANNING OVER SEVERAL SECTIONS OF THE IPC; TECHNICAL SUBJECTS COVERED BY FORMER USPC CROSS-REFERENCE ART COLLECTIONS [XRACs] AND DIGESTS
    • Y04INFORMATION OR COMMUNICATION TECHNOLOGIES HAVING AN IMPACT ON OTHER TECHNOLOGY AREAS
    • Y04SSYSTEMS INTEGRATING TECHNOLOGIES RELATED TO POWER NETWORK OPERATION, COMMUNICATION OR INFORMATION TECHNOLOGIES FOR IMPROVING THE ELECTRICAL POWER GENERATION, TRANSMISSION, DISTRIBUTION, MANAGEMENT OR USAGE, i.e. SMART GRIDS
    • Y04S40/00Systems for electrical power generation, transmission, distribution or end-user application management characterised by the use of communication or information technologies, or communication or information technology specific aspects supporting them
    • Y04S40/20Information technology specific aspects, e.g. CAD, simulation, modelling, system security

Landscapes

  • Engineering & Computer Science (AREA)
  • Signal Processing (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Computer Security & Cryptography (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Power Engineering (AREA)
  • Health & Medical Sciences (AREA)
  • General Health & Medical Sciences (AREA)
  • Medical Informatics (AREA)
  • Data Exchanges In Wide-Area Networks (AREA)
  • Small-Scale Networks (AREA)

Abstract

本发明属于配网作业的技术领域,公开了一种基于区块链及Signal协议的配网作业安全接入方法及系统,通过采用基于区块链的设备可信身份认证技术,避免了当前物联网身份认证采用中心化结构而导致的效率较低,容易遭受单点故障、恶意攻击等问题,提高了认证效率,保障了通信安全。采用基于Signal协议来实现密钥协商,对消息进行安全加密,做到了“一次一密”,保证了通信过程中数据的前后向安全,提高了计算效率。

Description

一种基于区块链及Signal协议的配网作业安全接入方法及 系统
技术领域
本发明涉及配网作业的技术领域,尤其涉及一种基于区块链及Signal协议的配网作业安全接入方法及系统。
背景技术
目前常用的配网作业安全接入的方法有两种:基于国密SM2的安全接入系统、基于国密SM9的安全接入系统。
基于国密SM2的安全接入系统是利用基于SM2的安全密钥交换技术以及基于数字证书技术的双向身份认证来实现智能配网终端DT接入通道的安全。此系统中由公钥基础设施(PKI)提供和管理数字证书,由证书颁发机构(CA)将证书发放到终端中,证书将被存储起来。在进行认证之前配网终端DT和网关要预装对方的数字证书,利用自身私钥进行签名,然后利用对方证书中的公钥进行验签操作来证明对方身份的真实性。此方法的优点是安全系数高,当前电网系统所采用的电力调度建设数字证书系统即采用这种方式,还能实现各个机关系统的逐级管理。但此系统采用PKI体系导致证书管理复杂,证书查找、更新、撤销等操作占用较大的存储开销和计算量,难以保证未来不断增加的配网终端DT。
基于国密SM9的安全接入系统是利用基于SM9数字签名的密钥协商来实现身份认证和密钥交换,从而保证配网终端DT的数据保密传输。此系统中配网终端DT和安全接入网关均拥有一个用户私钥和用户身份标识,用户私钥由密钥生成中心(KGC)根据系统主私钥和用户标识生成,通信双方使用SM9算法对对方发来的信息进行签名,并发送给对方进行签名验证,签名验证成功后,即表明双方协商了一个会话密钥。此系统采用基于标识密码系统(IBC)的密钥协商,由于不需要进行数字证书的传输和验证,省去了维护CA的成本,适用于网络带宽资源受限的配网终端DT。但其需要KGC统一管理用户私钥,存在密钥托管的问题。
基于PKI体系安全接入的问题:它将用户的公钥与身份关联起来,所有的安全操作都需要通过数字证书来实现,因此在配网终端DT的密钥协商过程中,需要将终端中的证书发送到安全接入平台的证书认证机构(CA)来进行认证,验证证书的有效性。虽当前电网系统采用本体系进行身份认证,但在未来配网作业环境中,配网终端DT设备增多,因证书的颁发和管理复杂,实现成本较高、效率较低,不利于实现基于属性、策略的加密。
基于IBC体系安全接入的问题:用户的密钥是通过可信的密钥生成中心(KGC)生成的,因其统一管理用户私钥,因此存在密钥托管的问题。本发明采用的Signal密钥协商是一种广泛应用在热门通讯软件的端到端加密的安全通信协议,通过X3DH密钥协商协议和双棘轮算法避免了证书管理和密钥托管问题,实现会话密钥的安全性和通信过程的前后向安全。当前物联网以中心化管控模式为主,存在效率低的问题,设备在通信过程中需要经过复杂的计算,并且设备容易受到各种恶意攻击,本发明结合区块链分布式和不可篡改的特点,通过令配网终端DT在通信前身份信息的去中心化管理和分布式认证技术,提高身份认证效率。
发明内容
本部分的目的在于概述本发明的实施例的一些方面以及简要介绍一些较佳实施例。在本部分以及本申请的说明书摘要和发明名称中可能会做些简化或省略以避免使本部分、说明书摘要和发明名称的目的模糊,而这种简化或省略不能用于限制本发明的范围。
鉴于上述现有存在的问题,提出了本发明。
因此,本发明解决的技术问题是:现有技术存在效率低的、设备在通信过程中需要经过复杂的计算、并且设备容易受到各种恶意攻击的问题。
为解决上述技术问题,本发明提供如下技术方案:
一方面本发明实施例提供了一种基于区块链及Signal协议的配网作业安全接入方法,包括:
初始化配网终端DT设备信息,基于区块链认证网络判断所述配网终端DT是否达到入网要求;
在配网终端DT完成设备入网后,对链上信息进行初始化,由配网主站控制平台P对所述配网终端DT进行身份认证;
在通信双方完成身份认证后,通过X3DH算法和双棘轮算法进行密钥协商,并对密钥进行更新。
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:所述配网终端DT用于收集电力信息数据、向配网主站控制平台P发送数据信息以及接收并执行来自配网主站控制平台P的指令;
所述设备信息包括设备的身份ID、身份哈希链、设备拥有的功能、投运时间、设备厂商;
所述身份哈希链由由配网终端DT选取一个随机数k,对k进行连续n次的哈希函数运算,将所有的计算结果串联起来组成,所述哈希链的尾值表示为:
Hn(k)=H(H(H(…H(k)…)))(ntimes)
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:当新的配网终端DT申请加入区块链认证网络时,链上节点会从链上发布对配网终端DT的接入请求,并且附带所述配网终端DT的身份信息,由链上初始节点根据所述配网终端DT身份信息进行入网投票,统计投票率r;
所述投票过程为配网主站控制平台P接收到配网终端DT发送的入网请求后,根据其身份ID与本地备份的身份ID进行比较,若两个值相同则给配网终端DT投票准许入网,当r≥50%时,表示配网终端DT可以加入区块链认证网络;
在加入区块链认证网络后,将身份信息上传到区块链进行存储。
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:所述对链上信息进行初始化,包括:
把配网终端DT预置身份信息和公共参数上传到区块链中,所述配网终端DT的预置身份信息和公共参数,包括身份ID、身份公钥IKDT哈希链、临时密钥对EKDT哈希链;所述身份密钥以随机种子值k作为私钥,公钥为身份哈希链尾值Hn(k);
所述配网主站控制平台P的身份密钥,包括哈希链由身份公钥链IKP、已签名预共享公钥链SPKP和签名链Sig;
初始可信节点生成并维护实数z链和大素数p链;配网终端DT生成随机数x,计算Y1=Tx(z),配网主站控制平台P生成随机数y,计算Y2=Ty(z)。
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:所述身份认证,包括:
配网终端DT通过配网主站控制平台P的身份ID向其发送身份认证请求,并将身份哈希链中的Hn-r(k)发送给主站P;其中r为配网终端DT正在进行第r次认证;
主站P接收到Hn-r(k)后会对该值进行一次哈希运算,表示为:
c=Hn-r+1(k)=H(Hn-r(k))
当主站P中有攻击者获取配网终端DT的身份哈希值,使用Hn-r(k)与其他设备进行通信时,攻击者无法获取配网终端DT发送的具体信息,并且主站P在完成身份认证后不会返回DT的身份信息;
主站P从认证区块链上通过配网终端DT的身份ID查询Hn-r+1(k)的值C;当c=C时,主站P向配网终端DT发送身份认证通过的信息;若c≠C,则主站P发出安全警告信息;
在配网终端DT身份认证通过后,会向区块链认证网络申请将Hn-r(k)上传到区块链中;当此类配网终端下次接入且投票率大于50%时,该值会直接上传至区块链。
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:所述密钥协商前配网终端DT和配网主站控制平台P通过X3DH算法协商生成初始密钥SK;
所述配网终端DT计算初始密钥SK表示为:
DH1=DH(IKDT.pri,SPKP.pub)
DH2=DH(EKDT.pri,IKP.pub)
DH3=DH(EKDT.pri,SPKT.pub)
SK=KDF(DH1||DH2||DH3)
所述配网主站控制平台P计算初始密钥SK表示为:
DH′1=DH(SPKP.pri,IKDT.pub)
DH′2=DH(IKP.pri,EKDT.pub)
DH′3=DH(SPKP.pri,EKDT.pub)
Figure BDA0003990431100000041
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:通过扩展切比雪夫棘轮生成附加值密钥ST,包括:
所述配网终端DT计算附加值密钥ST表示为:
ST=Tx(Y2)modp=Tx(Ty(z))modp=Txy(z)modp
所述配网主站控制平台P计算附加值密钥ST表示为:
ST=Ty(Y1)modp=Ty(Tx(z))modp=Txy(z)modp
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:通过KDF棘轮计算出会话密钥S和下次的双棘轮算法的主密钥SK′,包括:
所述配网终端DT计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,ST)
所述配网主站控制平台P计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,SK)
作为本发明所述的基于区块链及Signal协议的配网作业安全接入方法的一种优选方案,其中:所述对密钥进行更新包括:
通信双方经过密钥协商后,得到会话密钥S,即可以进行数据信息的安全传输;当配网终端DT完成一次信息发送,主站P完成一次信息回复后,双方会重新生成随机数x和y,使得扩展切比雪夫棘轮和KDF棘转动更新,从而不断生成新的会话密钥S进行通信。
另一方面,本发明实施例提供了一种基于区块链及Signal协议的配网作业安全接入系统,包括:
配网终端DT、窄带物联网基站、配网安全接入网关和配网主站控制平台P;
所述配网终端DT用于收集电力数据信息,将计算处理后将结果发送至所述窄带物联网基站,所述窄带物联网基站与所述配网安全接入网关进行安全验证通信,在验证通过后发送电力数据信息至所述配网主站控制平台P;所述配网主站控制平台P对收到的电力数据信息进行分析处理后,对所述配网终端DT进行决策、发送指令和可视化电力数据信息的操作。
本发明的有益效果:本发明提供的一种基于区块链及Signal协议的配网作业安全接入方法及系统,通过采用基于区块链的设备可信身份认证技术,避免了当前物联网身份认证采用中心化结构而导致的效率较低,容易遭受单点故障、恶意攻击等问题,提高了认证效率,保障了通信安全。采用基于Signal协议来实现密钥协商,对消息进行安全加密,做到了“一次一密”,保证了通信过程中数据的前后向安全,提高了计算效率。
附图说明
为了更清楚地说明本发明实施例的技术方案,下面将对实施例描述中所需要使用的附图作简单地介绍,显而易见地,下面描述中的附图仅仅是本发明的一些实施例,对于本领域普通技术人员来讲,在不付出创造性劳动性的前提下,还可以根据这些附图获得其它的附图。其中:
图1为本发明一个实施例所述的基于区块链及Signal协议的配网作业安全接入方法及系统的配网终端DT入网流程图;
图2为本发明一个实施例所述的基于区块链及Signal协议的配网作业安全接入方法及系统的配网终端DT身份认证图;
图3为本发明一个实施例所述的基于区块链及Signal协议的配网作业安全接入方法及系统的系统示意图;
图4为本发明一个实施例所述的基于区块链及Signal协议的配网作业安全接入方法及系统的实验数据图。
具体实施方式
为使本发明的上述目的、特征和优点能够更加明显易懂,下面结合说明书附图对本发明的具体实施方式做详细的说明,显然所描述的实施例是本发明的一部分实施例,而不是全部实施例。基于本发明中的实施例,本领域普通人员在没有做出创造性劳动前提下所获得的所有其他实施例,都应当属于本发明的保护的范围。
在下面的描述中阐述了很多具体细节以便于充分理解本发明,但是本发明还可以采用其他不同于在此描述的其它方式来实施,本领域技术人员可以在不违背本发明内涵的情况下做类似推广,因此本发明不受下面公开的具体实施例的限制。
其次,此处所称的“一个实施例”或“实施例”是指可包含于本发明至少一个实现方式中的特定特征、结构或特性。在本说明书中不同地方出现的“在一个实施例中”并非均指同一个实施例,也不是单独的或选择性的与其他实施例互相排斥的实施例。
本发明结合示意图进行详细描述,在详述本发明实施例时,为便于说明,表示器件结构的剖面图会不依一般比例作局部放大,而且所述示意图只是示例,其在此不应限制本发明保护的范围。此外,在实际制作中应包含长度、宽度及深度的三维空间尺寸。
同时在本发明的描述中,需要说明的是,术语中的“上、下、内和外”等指示的方位或位置关系为基于附图所示的方位或位置关系,仅是为了便于描述本发明和简化描述,而不是指示或暗示所指的装置或元件必须具有特定的方位、以特定的方位构造和操作,因此不能理解为对本发明的限制。此外,术语“第一、第二或第三”仅用于描述目的,而不能理解为指示或暗示相对重要性。
本发明中除非另有明确的规定和限定,术语“安装、相连、连接”应做广义理解,例如:可以是固定连接、可拆卸连接或一体式连接;同样可以是机械连接、电连接或直接连接,也可以通过中间媒介间接相连,也可以是两个元件内部的连通。对于本领域的普通技术人员而言,可以具体情况理解上述术语在本发明中的具体含义。
实施例1
参照图1—2,为本发明的一个实施例,该实施例提供了一种基于区块链及Signal协议的配网作业安全接入方法,包括:
S1:初始化配网终端DT设备信息,基于区块链认证网络判断所述配网终端DT是否达到入网要求;
更进一步的,配网终端DT用于收集电力信息数据、向配网主站控制平台P发送数据信息以及接收并执行来自配网主站控制平台P的指令;
所述设备信息包括设备的身份ID、身份哈希链、设备拥有的功能、投运时间、设备厂商;
所述身份哈希链由由配网终端DT选取一个随机数k,对k进行连续n次的哈希函数运算,将所有的计算结果串联起来组成,所述哈希链的尾值表示为:
Hn(k)=H(H(H(…H(k)…)))(ntimes)
应说明的是,配网终端DT出场时会初始化设备信息,这些信息都将被加密存储在内嵌的安全芯片上,其中身份ID是基于配网终端的唯一性以及相关性的日志文件,用来监管和追溯设备行为,并且可以用来对设备的身份认证行为进行安全分析,从而保障区块链认证网络的安全性。
更进一步的,如图1所示,当新的配网终端DT申请加入区块链认证网络时,链上节点会从链上发布对配网终端DT的接入请求,并且附带所述配网终端DT的身份信息,由链上初始节点根据所述配网终端DT身份信息进行入网投票,统计投票率r;
所述投票过程为配网主站控制平台P接收到配网终端DT发送的入网请求后,根据其身份ID与本地备份的身份ID进行比较,若两个值相同则给配网终端DT投票准许入网,当r≥50%时,表示配网终端DT可以加入区块链认证网络;
在加入区块链认证网络后,将身份信息上传到区块链进行存储。
S2:在配网终端DT完成设备入网后,对链上信息进行初始化,由配网主站控制平台P对所述配网终端DT进行身份认证;
更进一步的,对链上信息进行初始化,包括:
把配网终端DT预置身份信息和公共参数上传到区块链中,所述配网终端DT的预置身份信息和公共参数,包括身份ID、身份公钥IKDT哈希链、临时密钥对EKDT哈希链;所述身份密钥以随机种子值k作为私钥,公钥为身份哈希链尾值Hn(k);
所述配网主站控制平台P的身份密钥,包括哈希链由身份公钥链IKP、已签名预共享公钥链SPKP和签名链Sig;
初始可信节点生成并维护实数z链和大素数p链;配网终端DT生成随机数x,计算Y1=Tx(z),配网主站控制平台P生成随机数y,计算Y2=Ty(z)。
应说明的是,公共参数是为后续扩展切比雪夫棘轮做准备的。
更进一步的,如图2所示,身份认证,包括:
配网终端DT通过配网主站控制平台P的身份ID向其发送身份认证请求,并将身份哈希链中的Hn-r(k)发送给主站P;其中r为配网终端DT正在进行第r次认证;
主站P接收到Hn-r(k)后会对该值进行一次哈希运算,表示为:
c=Hn-r+1(k)=H(Hn-r(k))
当主站P中有攻击者获取配网终端DT的身份哈希值,使用Hn-r(k)与其他设备进行通信时,攻击者无法获取配网终端DT发送的具体信息,并且主站P在完成身份认证后不会返回DT的身份信息;
应说明的是,由于哈希函数的单向性,攻击者无法获取配网终端DT发送的具体信息,并且主站P在完成身份认证后不会返回DT的身份信息,提高了隐私信息的安全性。
主站P从认证区块链上通过配网终端DT的身份ID查询Hn-r+1(k)的值C;当c=C时,主站P向配网终端DT发送身份认证通过的信息;若c≠C,则主站P发出安全警告信息;
应说明的是,因为主站P是一级设备,可以用过本地备份的数据查询到C,或通过哈希验证并前向查询来得到区块链上的数据。
在配网终端DT身份认证通过后,会向区块链认证网络申请将Hn-r(k)上传到区块链中;当此类配网终端下次接入且投票率大于50%时,该值会直接上传至区块链。
S3:在通信双方完成身份认证后,通过X3DH算法和双棘轮算法进行密钥协商,并对密钥进行更新。
更进一步的,密钥协商前配网终端DT和配网主站控制平台P通过X3DH算法协商生成初始密钥SK;
所述配网终端DT计算初始密钥SK表示为:
DH1=DH(IKDT.pri,SPKP.pub)
DH2=DH(EKDT.pri,IKP.pub)
DH3=DH(EKDT.pri,SPKT.pub)
SK=KDF(DH1||DH2||DH3)
所述配网主站控制平台P计算初始密钥SK表示为:
DH′1=DH(SPKP.pri,IKDT.pub)
DH′2=DH(IKP.pri,EKDT.pub)
DH′3=DH(SPKP.pri,EKDT.pub)
Figure BDA0003990431100000091
应说明的是,SK将作为双棘轮算法的主密钥。我们由链上信息初始化阶段已知,配网终端DT拥有两种密钥对:身份认证密钥对IKDT和临时密钥对EKDT;主站P也拥有两种密钥对:身份认证密钥对IKP和临时密钥对SPKP
更进一步的,通过扩展切比雪夫棘轮生成附加值密钥ST,包括:
所述配网终端DT计算附加值密钥ST表示为:
ST=Tx(Y2)modp=Tx(Ty(z))modp=Txy(z)modp
所述配网主站控制平台P计算附加值密钥ST表示为:
ST=Ty(Y1)modp=Ty(Tx(z))modp=Txy(z)modp
应说明的是,我们已知在先前链上信息初始化时初始可信节点生成并维护实数z链和大素数p链,配网终端DT生成随机数x,配网主站控制平台P生成随机数y,并且计算出Y1=Tx(z)和Y2=Ty(z)。
更进一步的,通过KDF棘轮计算出会话密钥S和下次的双棘轮算法的主密钥SK′,包括:
所述配网终端DT计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,ST)
所述配网主站控制平台P计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,SK)
更进一步的,对密钥进行更新包括:
通信双方经过密钥协商后,得到会话密钥S,即可以进行数据信息的安全传输;当配网终端DT完成一次信息发送,主站P完成一次信息回复后,双方会重新生成随机数x和y,使得扩展切比雪夫棘轮和KDF棘转动更新,从而不断生成新的会话密钥S进行通信。
另一方面,本发明实施例还提供一种基于区块链及Signal协议的配网作业安全接入系统,包括:
配网终端DT100、窄带物联网基站200、配网安全接入网关300和配网主站控制平台P400;
所述配网终端DT100用于收集电力数据信息,将计算处理后将结果发送至所述窄带物联网基站200,所述窄带物联网基站200与所述配网安全接入网关300进行安全验证通信,在验证通过后发送电力数据信息至所述配网主站控制平台P400;所述配网主站控制平台P400对收到的电力数据信息进行分析处理后,对所述配网终端DT100进行决策、发送指令和可视化电力数据信息的操作。
应说明的是,配网终端需要内嵌有安全芯片,用于进行加密存储,对于无法加入安全芯片的老旧配网终端,则需要连接一个内置安全芯片的安全接入装置,安全接入装置能起到对数据进行加密的作用;配网安全接入网关部署在配网终端和配网主站控制平台之间,并且包含数据隔离组件,提高安全防护能力,起到了横向隔离的作用;配网主站控制平台在与配网终端通信前会进行身份认证和密钥协商,能够保证信息传输安全。
实施例2
参照图1—3,为本发明的一个实施例,该实施例提供了一种基于区块链及Signal协议的配网作业安全接入方法及系统,为了证明本发明的有益效果,通过具体实施数据进行科学论证。
本发明实施例使用计算机模拟区块链进行设备入网和身份认证实验,区块链使用Hyperledger Fabric v1.0平台,实验中生成长度为100的哈希链,,经过多次运行得到实验结果是设备入网时间平均为304ms,身份认证时间平均为134ms。设备入网阶段是在设备在投入使用前进行的,不会影响在实际工作中的身份认证效率。实验数据如下表1:
表1
Figure BDA0003990431100000111
在计算机上通过Java来模拟配网终端与配网主站密钥协商过程。密钥协商算法包括X3DH算法和双棘轮算法,双棘轮算法基于OpenSSL和Signal密钥协商协议开源的libsignal-protocol-java库进行修改和实现。
X3DH算法使用GENERATE_DH()函数来输出双棘轮算法的主密钥SK,参数为通信双方的身份公钥。双棘轮算法使用SHA-256算法的KDF_RK()函数实现,参数为GENERATE_DH()函数生成的主密钥SK和GENERATE_ECP()函数生成的附加值密钥ST,输出为本次会话密钥S和下次KDF棘轮的初始密钥SK’。
经过长时间的运行测试可以得到密钥协商的平均时间为23ms到25ms之间。实验数据如图4所示,可以得到经过身份认证阶段和密钥协商的总时间约为157ms到159ms之间,能够满足配网作业的需求。
应说明的是,以上实施例仅用以说明本发明的技术方案而非限制,尽管参照较佳实施例对本发明进行了详细说明,本领域的普通技术人员应当理解,可以对本发明的技术方案进行修改或者等同替换,而不脱离本发明技术方案的精神和范围,其均应涵盖在本发明的权利要求范围当中。

Claims (10)

1.一种基于区块链及Signal协议的配网作业安全接入方法,其特征在于,包括:
初始化配网终端DT设备信息,基于区块链认证网络判断所述配网终端DT是否达到入网要求;
在配网终端DT完成设备入网后,对链上信息进行初始化,由配网主站控制平台P对所述配网终端DT进行身份认证;
在通信双方完成身份认证后,通过X3DH算法和双棘轮算法进行密钥协商,并对密钥进行更新。
2.如权利要求1所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:所述配网终端DT用于收集电力信息数据、向配网主站控制平台P发送数据信息以及接收并执行来自配网主站控制平台P的指令;
所述设备信息包括设备的身份ID、身份哈希链、设备拥有的功能、投运时间、设备厂商;
所述身份哈希链由由配网终端DT选取一个随机数k,对k进行连续n次的哈希函数运算,将所有的计算结果串联起来组成,所述哈希链的尾值表示为:
Hn(k)=H(H(H(…H(k)…)))(n times)。
3.如权利要求2所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:当新的配网终端DT申请加入区块链认证网络时,链上节点会从链上发布对配网终端DT的接入请求,并且附带所述配网终端DT的身份信息,由链上初始节点根据所述配网终端DT身份信息进行入网投票,统计投票率r;
所述投票过程为配网主站控制平台P接收到配网终端DT发送的入网请求后,根据其身份ID与本地备份的身份ID进行比较,若两个值相同则给配网终端DT投票准许入网,当r≥50%时,表示配网终端DT可以加入区块链认证网络;
在加入区块链认证网络后,将身份信息上传到区块链进行存储。
4.如权利要求3所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:所述对链上信息进行初始化,包括:
把配网终端DT预置身份信息和公共参数上传到区块链中,所述配网终端DT的预置身份信息和公共参数,包括身份ID、身份公钥IKDT哈希链、临时密钥对EKDT哈希链;所述身份密钥以随机种子值k作为私钥,公钥为身份哈希链尾值Hn(k);
所述配网主站控制平台P的身份密钥,包括哈希链由身份公钥链IKP、已签名预共享公钥链SPKP和签名链Sig;
初始可信节点生成并维护实数z链和大素数p链;配网终端DT生成随机数x,计算Y1=Tx(z),配网主站控制平台P生成随机数y,计算Y2=Ty(z)。
5.如权利要求4所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:所述身份认证,包括:
配网终端DT通过配网主站控制平台P的身份ID向其发送身份认证请求,并将身份哈希链中的Hn-r(k)发送给主站P;其中r为配网终端DT正在进行第r次认证;
主站P接收到Hn-r(k)后会对该值进行一次哈希运算,表示为:
c=Hn-r+1(k)=H(Hn-r(k))
当主站P中有攻击者获取配网终端DT的身份哈希值,使用Hn-r(k)与其他设备进行通信时,攻击者无法获取配网终端DT发送的具体信息,并且主站P在完成身份认证后不会返回DT的身份信息;
主站P从认证区块链上通过配网终端DT的身份ID查询Hn-r+1(k)的值C;当c=C时,主站P向配网终端DT发送身份认证通过的信息;若c≠C,则主站P发出安全警告信息;
在配网终端DT身份认证通过后,会向区块链认证网络申请将Hn-r(k)上传到区块链中;当此类配网终端下次接入且投票率大于50%时,该值会直接上传至区块链。
6.如权利要求5所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:所述密钥协商前配网终端DT和配网主站控制平台P通过X3DH算法协商生成初始密钥SK;
所述配网终端DT计算初始密钥SK表示为:
DH1=DH(IKDT.pri,SPKP.pub)
DH2=DH(EKDT.pri,IKP.pub)
DH3=DH(EKDT.pri,SPKT.pub)
SK=KDF(DH1||DH2||DH3)
所述配网主站控制平台P计算初始密钥SK表示为:
DH′1=DH(SPKP.pri,IKDT.pub)
DH′2=DH(IKP.pri,EKDT.pub)
DH′3=DH(SPKP.pri,EKDT.pub)
Figure QLYQS_1
7.如权利要求6所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:通过扩展切比雪夫棘轮生成附加值密钥ST,包括:
所述配网终端DT计算附加值密钥ST表示为:
ST=Tx(Y2)mod p=Tx(Ty(z))mod p=Txy(z)mod p
所述配网主站控制平台P计算附加值密钥ST表示为:
ST=Ty(Y1)mod p=Ty(Tx(z))mod p=Txy(z)mod p。
8.如权利要求7所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:通过KDF棘轮计算出会话密钥S和下次的双棘轮算法的主密钥SK′,包括:
所述配网终端DT计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,ST)
所述配网主站控制平台P计算会话密钥S和下次的双棘轮算法的主密钥SK′表示为:
(SK′,S)=KDF(SK,ST)。
9.如权利要求8所述的基于区块链及Signal协议的配网作业安全接入方法,其特征在于:所述对密钥进行更新包括:
通信双方经过密钥协商后,得到会话密钥S,即可以进行数据信息的安全传输;当配网终端DT完成一次信息发送,主站P完成一次信息回复后,双方会重新生成随机数x和y,使得扩展切比雪夫棘轮和KDF棘转动更新,从而不断生成新的会话密钥S进行通信。
10.一种基于区块链及Signal协议的配网作业安全接入系统,其特征在于,包括:
配网终端DT(100)、窄带物联网基站(200)、配网安全接入网关(300)和配网主站控制平台P(400);
所述配网终端DT(100)用于收集电力数据信息,将计算处理后将结果发送至所述窄带物联网基站(200),所述窄带物联网基站(200)与所述配网安全接入网关(300)进行安全验证通信,在验证通过后发送电力数据信息至所述配网主站控制平台P(400);所述配网主站控制平台P(400)对收到的电力数据信息进行分析处理后,对所述配网终端DT(100)进行决策、发送指令和可视化电力数据信息的操作。
CN202211583196.2A 2022-12-09 2022-12-09 一种基于区块链及Signal协议的配网作业安全接入方法及系统 Pending CN116192437A (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN202211583196.2A CN116192437A (zh) 2022-12-09 2022-12-09 一种基于区块链及Signal协议的配网作业安全接入方法及系统

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN202211583196.2A CN116192437A (zh) 2022-12-09 2022-12-09 一种基于区块链及Signal协议的配网作业安全接入方法及系统

Publications (1)

Publication Number Publication Date
CN116192437A true CN116192437A (zh) 2023-05-30

Family

ID=86443167

Family Applications (1)

Application Number Title Priority Date Filing Date
CN202211583196.2A Pending CN116192437A (zh) 2022-12-09 2022-12-09 一种基于区块链及Signal协议的配网作业安全接入方法及系统

Country Status (1)

Country Link
CN (1) CN116192437A (zh)

Cited By (1)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117857061A (zh) * 2024-03-07 2024-04-09 肇庆学院 一种基于区块链的无线传感器网络认证方法及系统

Cited By (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN117857061A (zh) * 2024-03-07 2024-04-09 肇庆学院 一种基于区块链的无线传感器网络认证方法及系统
CN117857061B (zh) * 2024-03-07 2024-05-28 肇庆学院 一种基于区块链的无线传感器网络认证方法及系统

Similar Documents

Publication Publication Date Title
CN108111301B (zh) 基于后量子密钥交换实现ssh协议的方法及其系统
CN111083131B (zh) 一种用于电力物联网感知终端轻量级身份认证的方法
CN108418686B (zh) 一种多分布式的sm9解密方法与介质及密钥生成方法与介质
US9515825B2 (en) Method for password based authentication and apparatus executing the method
JPH10510692A (ja) ユーザコンピュータユニットuとネットワークコンピュータユニットnの間における暗号鍵のコンピュータ支援交換方法
CN104754581A (zh) 一种基于公钥密码体制的lte无线网络的安全认证方法
CN101159639A (zh) 一种单向接入认证方法
CN114826656A (zh) 一种数据链路可信传输方法和系统
CN109756877A (zh) 一种海量NB-IoT设备的抗量子快速认证与数据传输方法
CN111698238A (zh) 电力物联网终端层设备密钥的管理方法、系统及存储介质
CN111769937A (zh) 面向智能电网高级测量体系的两方认证密钥协商协议
CN111865579B (zh) 基于sm2算法改造的数据加解密方法及装置
CN114024698A (zh) 一种基于国密算法的配电物联网业务安全交互方法及系统
CN115514474A (zh) 一种基于云-边-端协同的工业设备可信接入方法
CN113055394A (zh) 一种适用于v2g网络的多服务双因子认证方法及系统
CN111416712A (zh) 基于多个移动设备的量子保密通信身份认证系统及方法
CN116192437A (zh) 一种基于区块链及Signal协议的配网作业安全接入方法及系统
CN113676448B (zh) 一种基于对称秘钥的离线设备双向认证方法和系统
CN114531680A (zh) 基于量子密钥的轻量化ibc双向身份认证系统及方法
CN116599659B (zh) 无证书身份认证与密钥协商方法以及系统
CN114070579A (zh) 一种基于量子密钥的工控业务鉴权认证方法和系统
CN113079003A (zh) 一种分布式sm9密钥生成方法及系统
CN108933659A (zh) 一种智能电网的身份验证系统及验证方法
CN114844649B (zh) 一种基于超晶格puf的含可信第三方的密钥分发方法
CN114040390B (zh) 一种基于量子安全的5g虚商密钥库分发方法

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination