CN108259467A - 一种区块链通信***的加密认证方法 - Google Patents
一种区块链通信***的加密认证方法 Download PDFInfo
- Publication number
- CN108259467A CN108259467A CN201711330906.XA CN201711330906A CN108259467A CN 108259467 A CN108259467 A CN 108259467A CN 201711330906 A CN201711330906 A CN 201711330906A CN 108259467 A CN108259467 A CN 108259467A
- Authority
- CN
- China
- Prior art keywords
- certified
- equipment
- certificate
- encryption
- certificate server
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Withdrawn
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0823—Network architectures or network communication protocols for network security for authentication of entities using certificates
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0807—Network architectures or network communication protocols for network security for authentication of entities using tickets, e.g. Kerberos
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
- H04L63/0815—Network architectures or network communication protocols for network security for authentication of entities providing single-sign-on or federations
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer And Data Communications (AREA)
Abstract
本发明公开了一种区块链通信***的加密认证方法,其包括:认证服务器与待认证设备连接时,认证服务器向待认证设备发起挑战认证,待认证设备返回相应的签名和其证书;认证服务器认证待认证设备提交的证书;认证服务器认证待认证设备提交签名;认证服务器为待认证设备分配一个登录令牌;业务服务器与待认证设备连接时,获取待认证设备发送的登录令牌,并将其加密并发送给认证服务器进行查询,业务服务器在认证服务器确认登录令牌有效后,允许待认证设备登陆。本认证方法通过TDE对称加密、非对称加密及数字证书对采集设备进行认证以最大限度保障安全性;同时认证过程由统一的登录程序负责使得整个***更加可靠。
Description
技术领域
本发明涉及一种区块链能源***,具体涉及区块链能源***中的区块链通信的身份认证技术。
背景技术
目前区块链通信***采集设备配置过程非常耗时耗力,需要专业工程人员前往现场进行调试,提高了区块链通信***的建设成本,对家用小型电站的建设造成很大阻碍。
因为现有的采集设备在应用时,需要掌握电站设备的通讯协议才能与之交互,而不同厂商的设备或者同一厂商的不同设备的通信协议均存在差别,由此需要根据情况进行配置。而传统电站采集协议只能通过串口或局域网访问,导致必须有专业人员前往现场调试。
针对该情况,采用分布式的通信管理***来实现对电站设备的管理,以此来提高区块链通信***采集设备的管理和配置效率。
但是现有的分布式通信管理***在安全管理上存在一定的问题,这列管理***进行分布式管理时,需要针对相应的设备进行身份认证,而现有的认证技术无法确保身份验证的准确性,从而无法有效提高电站设备的管理效率和效果。
此外目前的电站管理***的登录凭证并没有统一管理,这不仅导致密码修改维护困难,同时容易遭受黑客攻击导致密码泄露。而新***通过单点登录的方式将所有登录凭证统一管理以成功解决上述两个问题。
新的智能分布式通信服务器***在设计中也考虑了嵌入式设备资源紧缺和成本压缩导致的程序优化问题,同时考虑了偏远地区的带宽、流量资源节约,因此采取高度紧凑的数据结构以优化整个***性能。
发明内容
针对现有区块链通信***采集设备管理方案所存在的问题,需要一种新的区块链通信***的安全管理方案。
为此,本发明所要解决的技术问题是提供一种区块链通信***的加密认证方法,以提高能源***分布式管理设备的效率。
为了达到上述目的,本发明提供的区块链通信***的加密认证方法,包括:
认证服务器与待认证设备连接时,认证服务器向待认证设备发起挑战认证,待认证设备返回相应的签名和其证书;
认证服务器认证待认证设备提交的证书;
认证服务器认证待认证设备提交签名;
认证服务器为待认证设备分配一个登录令牌;
业务服务器与待认证设备连接时,获取待认证设备发送的登录令牌,并将其加密并发送给认证服务器进行查询,业务服务器在认证服务器确认登录令牌有效后,允许待认证设备登陆。
进一步的,所述业务服务器与允许登录的设备之间采用TDE加密算法进行数据通信。
进一步的,所述TDE加密算法采用变量位移加密和不固定替换加密;
其中变量位移加密根据数据在数据流中的不同位置采用不同位移量进行位移;
不固定替换加密,采用私密的位移替换表,同时根据每个数据的前一个数据来确定使用的加替换表数据。
进一步的,所述认证服务器与待认证设备之间采用非对称加密算法进行数据通信。
进一步的,所述认证方法还包括如下的认证前准备步骤:
认证服务器中配置一对密钥,待认证设备中烧录证书、密钥对,这些数据由证书生成器统一生成,其中证书使用认证服务器的密钥进行签名。
进一步的,所述待认证设备中烧录证书的过程采用私密的位移加密算法进行加密。
进一步的,所述签名过程如下:
认证服务器将待认证设备的身份信息及其公钥存入证书中,随后使用摘要算法对这些内容生成摘要,并使用待认证设备的私钥对加密该摘要,形成签名,并存入证书中。
进一步的,所述认证服务器与待认证设备之间的挑战认证过程如下:
认证服务器向待认证设备发送一个随机报文,要求待认证设备对该报文进行签名,如果在规定时间未获得待认证设备的响应,则认为挑战认证失败;
待认证设备签名时,首先使用摘要算法生成认证服务器发送的随机报文的摘要,随后使用自己的私钥对该摘要进行加密,形成签名,并将该签名和证书一起发送给登录服务器。
进一步的,所述待认证设备会同时发送报文的奇偶校验值。
进一步的,引入包括CPU使用率P,网卡网速M,固定系数S真实环境的随机数来生成无法被暴力猜解的随机报文。
进一步的,所述认证服务器认证待认证设备提交的证书的过程如下:
首先认证服务器从证书中取出待认证设备的身份信息并使用摘要算法生成摘要;
随后认证服务器从证书中取出签名,并使用自己的公钥对该签名进行解密;
然后将解密结果与刚刚生成的摘要进行比较,如果相同则验证通过,否则为验证失败。
进一步的,所述认证服务器认证待认证设备提交签名的过程如下:
首先认证服务器计算随机报文的摘要;
随后认证服务器从证书中取出待认证设备的公钥并解密待认证设备发送来的签名;
然后将解密结果和刚刚计算的随机报文摘要进行比较,如果相同则验证通过,否则登录失败。
进一步的,所述认证服务器在计算随机报文的摘要还对报文使用奇校验来进行验证。
本发明提供的认证方法能够实现快速且准确的身份认证,可实现相关设备高效且精确的登陆管理,有效解决现有技术所存在的问题。
再者,本方案易于实现且在具体应用时能够极大的提高能源***中分布式通信管理***的运行效率。
附图说明
以下结合附图和具体实施方式来进一步说明本发明。
图1为本发明实例中通过云平台下方配置文件的流程图;
图2为本发明实例中采集设备上报状态信息的流程图;
图3为本发明实例中云平台中设备库的原理框图;
图4为本发明实例中接入服务器的原理框图;
图5为本发明实例中登录服务器对采集设备的认证流程图;
图6为本发明实例中业务服务器与采集设备之间认证登录流程图;
图7为本发明实例中租约机制的原理图。
具体实施方式
为了使本发明实现的技术手段、创作特征、达成目的与功效易于明白了解,下面结合具体图示,进一步阐述本发明。
本实例以区块链通信***中的智能分布式通信服务器对采集设备进行配置管理为例进行说明。
这里的智能分布式通信服务器用于对采集设备进行远程自助式的图形化调试和配置。
参见图1和图2,本实例中智能分布式通信服务器包含三大组件:云平台100、接入服务器200以及采集设备300。
其中,云平台100负责和用户交互,同时用于对采集设备进行配置,形成对应的配置文件。
本云平台100具体包括提供图形化以配置采集设备、展示采集设备的状态、对采集设备进行控制、展示电站设备数据等功能。
该云平台通过WEB2.0访问方式提供相应的服务内容,用户可以通过浏览器访问方式对云平台进行访问。
参见图3,在整个协议通讯的过程中,云平台100进行设备信息配置和设备信息呈现,在配置的过程中,所有设备通过云平台中的设备库110进行所有设备的管理,设备库通过各种途径收集到设备相关的信息,进行添加和管理。
而,本方案中的整个设备库110主要分为三部分:
1.设备基础数据单元111,
该单元中主要存储各种设备的基础信息,包括型厂商等信息。
2.设备驱动单元112,
该设备驱动单元包括各设备驱动包,其对应于设备基础数据单元中存储的各种设备的基础信息。
每个设备驱动包中包含了设备测点信息(一个或者多个),且该信息中包含了各个测点的名称和设备的采集参数。
3.设备属性单元113,
该设备属性单元主要存储各设备的基本属性,该设备属性主要标示设备出厂之后的一些默认参数,例如:出厂时间,额定信息。
据此构成的云平台100能够对采集设备300进行管理,以及采集设备工作的情景设定。
该云平台100具体可通过统一管理界面对所有的采集设备300进行统一管理:包括对采集设备的控制以及工作状态的管理(展示采集设备的状态、展示被采集设备数据),使得采集设备300根据预设值的结构信息来采集相关的数据。云平台100在进入调试模式之后将向在现场采集设备300发送相关的配置信息,采集设备300根据配置信息进行工作,继而根据配置信息中预设值的采集信息资料采集相关的设备。
本智能分布式通信服务器中的接入服务器200,其负责接收采集设备300采集的数据,并担任云平台100和采集设备300之间的通道。
本接入服务器200具有大并发、高性能的特点,同时可以缓存采集设备的数据并提供验证采集设备功能的作用。
参见图4,本接入服务器200由一个中央登录服务器210和多个业务服务器220组成。中央登录服务器负责验证采集设备300的身份,并接受业务服务器220对采集设备300的登录信息查询;业务服务器负责业务交互功能。
登录服务器210分为如下模块:网络模块、日志模块、配置文件模块、采集设备交互模块、业务服务器交互模块、登录令牌管理模块。
网络模块、日志模块、配置文件模块为基础模块,供其它模块调用,其中网络模块封装网络连接,包括TCP通信、UDP通信、心跳超时;日志模块输出日志信息至文件和终端;配置文件模块读取配置文件并分析配置信息。
而采集设备交互模块负责登录验证并在验证成功后请求登录令牌管理模块生成登录令牌。
业务服务器交互模块负责接收业务服务器对登录令牌的查询并请求登录令牌管理模块验证令牌有效性。
登录令牌管理模块用于管理所有的登录令牌,实现验证和超时的功能。
业务服务器220分为如下模块:网络模块、日志模块、配置文件模块、采集设备交互模块、登录服务器交互模块、云平台交互模块。
网络模块、日志模块、配置文件模块同样为基础模块,供其它模块调用,作用与登录服务器中相应模块相同。
采集设备交互模块负责与采集设备300相关的逻辑处理,包括登录验证,接收数据,下发指令等。其中登录验证功能需要和登录服务器交互模块协作,而接受数据、下发指令这些功能需要和云平台100交互模块协作。
登录服务器交互模块负责向登录服务器查询采集设备300登录信息的有效性,并将结果通知给采集设备交互模块。
云平台交互模块负责与云平台100进行协作,包括上传数据、接收命令、通知采集设备300的连接状态等。这些功能需要和采集设备交互模块协作。
由此构成的接入服务器200,对采集设备300的验证过程如下(参见图5):
验证采集设备300前的准备工作如下:登录服务器建立时将配置一对密钥。在采集设备300出厂时由相关人员为其烧录证书、密钥对,这些数据由证书生成器统一生成,其中证书使用登录服务器的密钥进行签名。
本方案中,烧录证书、密钥对的过程采用私密的位移加密算法进行加密,这样可防止黑客通过串口烧录导入恶意代码并伪装成正常设备,同时位移加密执行速度快,不影响烧录速度。
本方案中对证书的签名过程如下:
登录服务器将采集设备300的身份信息及其公钥存入证书中,随后使用摘要算法对这些内容生成摘要,并使用登录服务器的私钥对加密该摘要,加密后的结果即为签名。该签名也将存入证书中。
当采集设备连接300连接至登录服务器时,后者将发起挑战认证,即向采集设备300发送一个随机报文,要求它对该报文进行签名,如果采集设备300未在10秒钟内响应该挑战则被认为登录失败。签名时采集设备300首先使用摘要算法生成该报文的摘要,随后使用自己的私钥对该摘要进行加密,加密结果即为签名。接下来采集设备300将该签名和其证书一起发送给登录服务器。
为了防止黑客攻击,本方案在该挑战认证过程中,待认证设备会同时发送该报文的奇偶校验值,本方案优选采用奇校验确保这组报文中1的个数为奇数。
进一步,对于服务器中随机报文的生成方案,为了防止随机seed被暴力猜解导致随机报文泄露,本方案通过引入真实环境的随机数,包括CPU使用率(P),网卡网速(M),固定系数(S),并使用seed(P,M,S)即生成无法被暴力猜解的随机报文。
本方案中,登录服务器收到采集设备300的回复后通过两个步骤验证该设备的身份:
第一步将验证证书有效性,首先登录服务器从证书中取出采集设备300的身份信息并使用摘要算法生成摘要,随后从证书中取出签名,并使用自己的公钥对该签名进行解密,然后将解密结果与刚刚生成的摘要进行比较,如果相同则表示第一步验证通过,否则为验证失败。
第二步将验证采集设备300对随机报文的签名。首先登录服务器计算随机报文的摘要,随后服务器从证书中取出采集设备300的公钥并解密采集设备300发送来的签名,然后将解密结果和刚刚计算的随机报文摘要进行比较,如果相同则验证通过,即采集设备登录成功,否则登录失败。
在该第二步中,根据需要在计算随机报文的摘要前,服务器使用奇校验来验证这组报文中的1是否为奇数个,如果是则说明报文正常,验证完全通过。否则表示报文异常,验证失败。
在登录成功后,登录服务器检测采集设备300的证书是否为出厂默认证书,若是则直接进入下一步;否则,登录服务器为其生成新证书并下发给盖采集设备300。
登录服务器将为该采集设备300分配一个登录令牌,其有效期为一分钟且只可使用一次,该令牌通过加密方式发送给采集设备300。
参见图6,接下来采集设备300将连接至业务服务器,连接成功后其将登录令牌加密并发送给业务服务器,业务服务器获取登录令牌后将其加密并发送给登录服务器进行查询,登录服务器在确认该令牌有效且没有超出有效期时将告知业务服务器该令牌有效,否则无效。业务服务器此时根据令牌有效性判断是否允许该采集设备300登录。
在后续过程中,业务服务器与允许登录的采集设备300之间采用TDE加密算法进行后续通信。
本方案中TDE加密算法采用变量位移加密和不固定替换加密以实现数据的高效率、高强度加密。这里优选首先进行变量位移加密,随后进行不固定替换加密,通过两者的相互配合,实现数据高效率、高强度加密。
这里的变量位移加密,具体根据数据在数据流中的不同位置采用不同位移量进行位移,比传统的位移加密破解难度高很多。
随后使用的不固定替换加密,具体采用私密的位移替换表,同时根据每个数据的前一个数据来确定使用的加替换表数据以保证高加密强度。
再者,本接入服务器200的中央登录服务器210与采集设备300之间认证过程优选非对称加密算法进行加密数据传输。
作为举例,本方案中非对称加密算法计算过程如下:
认证服务器初始化时选择两个全局公开的参数,一个素数q和一个整数S,S是q的一个原根。
假设服务器S和客户端C希望交换一个密钥,服务器S选择一个作为私有密钥的随机数XS(XS<q),并计算公开密钥YS=S^XS mod q。S对XS的值保密存放而使YS能被C公开获得。类似地,客户端C选择一个私有的随机数XC<q,并计算公开密钥YC=S^XC mod q。C对XC的值保密存放而使YC能被S公开获得。
服务器S产生共享秘密密钥的计算方式是K=(YC)^XS mod q。同样,为客户端C产生共享秘密密钥的计算是K=(YS)^XC mod q。
这两个计算产生相同的结果:K=(YC)^XS mod q=(S^XC mod q)^XS mod q=(S^XC)^XS mod q(根据取模运算规则得到)=S^(XCXS)mod q=(S^XS)^XC mod q=(S^XS modq)^XC mod q=(YS)^XC mod q;
由于XS和XC是保密的,一个恶意攻击者可以利用的参数只有q,S,YS和YC。因而恶意攻击者被迫取离散对数来确定密钥,例如,要获取客户端C的秘密密钥,恶意攻击者必须先计算XC=indS,q(YC);然后再使用客户端C采用的同样方法计算其秘密密钥K。但对于大的素数,计算出离散对数几乎是不可能的,由此可大大提高安全性。
与上述接入服务器方案,本智能分布式通信服务器中的采集设备300,其安装在电站内部,用于直接和电站的设备通信并通过接入服务器200连接至云平台100。该采集设备300在通过与接入服务器200的身份验证后,通过接入服务器200从云平台100获取相应的配置文件,实现通过灵活的配置文件以兼容不同厂商的不同设备。
据此构成的接入服务器中在具体实现时,其中的证书及加密信息可采用更紧凑的数据格式,由此可提高嵌入式设备的性能并降低成本。
同时,采用单点登录方式,即在***扩容时支持一台认证服务器配合多台业务服务器使用,以方便登录凭证管理并防止黑客攻击。
基于上述方案构成的智能分布式通信服务器,其基本的运行过程如下:
接入服务器200通过访问协议接入云平台100,云平台100通过原先认证的信息进行校验,校验通过之后允许接入服务器200加入,接入服务器200将所有挂在其下的采集设备300的信息通过协议发送至云平台100,云平台100进行数据库存储和缓存处理,管理所有采集设备300信息;这个过程中云平台会针对多个接入服务器200和接入服务器200以下的采集设备300。
当用户操作相关采集设备300信息的时候,云平台100会根据存储的信息找到该采集设备300对应的接入服务器200,并向该接入服务器200发送指令和配置信息;接入服务器200将接收到的配置信息发送至现场采集设备300,采集设备300根据配置信息进行工作,继而根据配置信息中预设值的采集信息资料采集相关的设备。
采集设备300通过对应的接入服务器200,将采集到的数据通报给云平台100;云平台100进行实时的数据存储和备份,同时将采集设备300采集到的数据呈现给用户。
由此,该智能分布式通信服务器的具体应用过程如下:
参见图1,实施过程中首先开启采集设备300并连接网络,随后连接上需要采集的电站设备;
接着,通过接入服务器200对相应的采集设备进行身份认证;
再接着,在完成身份认证后,可以在云平台100观察到这台采集设备的连接状态,并可以开始对其进行配置,配置完成后下发配置文件到接入服务器200,再由接入服务器200转发给相应的采集设备300;
最后,采集设备300通过网络载入配置文件后,实现与需要采集的电站设备的兼容。
参见图2,在采集设备300完成配置后,其实时采集电站设备的运行数据和工作状态数据,并将采集到的数据信息通过网络上传至接入服务器200;
接着,接入服务器200在接收采集设备上传的数据信息后,并转发给云平台100;
最后,云平台100接收到接入服务器200转发的数据信息后,进行处理、存储和展示,通过与用户交互的功能,使得用户在平台上查看其采集的设备信息,同时对采集设备进300行控制。
为了进一步提高智能分布式通信服务器在具体应用的性能,本方案在智能分布式通信服务器中进一步采用区块链选举算法来控制调节服务端与若干客户端之间的关系。
本方案中要求每个节点对应一个序号,序号最高的节点为主节点。主节点宕机后次高序号的节点被重选为主节点。但是在网络分化的场景下以上会遇到一个问题,被分隔的节点都认为自己具有最大的序号、将产生多个主节点,这时候就需要引入多数派。多数派其确保网络分化情况下决议唯一。多数派的原理如下,假如节点总数为2f+1,则一项决议得到多于f节点赞成则获得通过。主节点选举中,网络分化场景下只有具备多数派节点的部分才可能选出主节点,这避免了多主节点的产生。
为了有效判断主节点是否可用、何时应该发起重新选举。统的方法通过心跳判别主节点状态是否正常,但在网络拥塞或瞬断的情况下,这容易导致出现双主。本方案采用租约机制,即某节点成为主节点时将声明自己作为主节点的有效时间,超过有效时间后主节点必须向其他所有节点再续约,当超过半数节点确认后才能继续保持主节点的身份,这确保了一个时刻最多只有一个主节点,避免只使用心跳机制产生双主的问题(参见图7)。
而传统的租约机制采取***配置的固定时间来进行检测,但这在实际过程中面临诸多问题,当网络稳定时固定时间过短会给***和网络带来多余的负载,而当网络波动时固定时间过长会造成服务不可用导致***稳定性下降和极差的用户体验,因此本方案通过不断检测网络状态,当网络稳定时我们调整固定时间到下限,当网络波动经常出现时调整固定时间直到上限,以此来解决这现有机制存在的问题。
在上述方案的基础上,本实例在高智能分布式通信服务器方案中,进一步采用差时分享机制。该差时分享机制基于分布式记账方案来形成,即当***中添加一个新的账号或者认证信息时,则挑选一个最适合的服务器以验证该账号信息是否有效,是否可能被授权,如果满足则添加到认证信息库中,随后该***将这些信息同步到其他***中,以此实现账号和认证信息的分布式保存,这样即使其中某些***出问题也不会影响整个***的运行。
采用本差时分享机制还可降低对***资源的要求或者称为提高***性能。传统的方法中分布式的数据是实时同步的,这容易导致数据库称为瓶颈,同时给网络带宽提出了更高的要求,而通过差时分享机制,可将这些操作转移至***的空闲时间,有效解决这些问题。
由上可知,本智能分布式通信服务器,其相对于现有技术具有非常高的优越性,主要体现在两方面:不需要专业的电站知识和不需要工程人员前往现场。
由于传统的采集设备协议配置需要先读懂相关设备的采集协议并直接进行配置,因此需要配置人员懂得电力和计算机的相关知识,导致配置难度过大,也同时造成希望建立小型家用电站的用户进入门槛过高。另外因为是全手动操作,每次需要人工检查,整个过程非常耗时。若利用本智能分布式通信服务器,对于通信协议相同的所有设备,只需在智能分布式通信服务器云平台进行一次统一配置即可,降低了对配置人员数量的要求,同时不需要每次配置完成后都进行检查。
另外,传统电力行业中,在进行采集设备配置时,需要相关工程人员必须前往现场,这会带来很大的人力财力消耗,同时导致那些时间紧迫的项目很难实施。若利用本智能分布式通信服务器,则可利用云平台与网络进行配置文件的快速下发,避免工程人员前往现场,大大提高效率和降低成本。
再者,针对通信中遇到的安全问题,本智能分布式通信服务器摒弃传统的用户名密码式的身份认证,基于数字证书身份认证,该服务器通过证书对采集设备进行认证以最大限度保障安全性;同时认证过程由统一的登录程序负责使得整个***更加可靠。
以上显示和描述了本发明的基本原理、主要特征和本发明的优点。本行业的技术人员应该了解,本发明不受上述实施例的限制,上述实施例和说明书中描述的只是说明本发明的原理,在不脱离本发明精神和范围的前提下,本发明还会有各种变化和改进,这些变化和改进都落入要求保护的本发明范围内。本发明要求保护范围由所附的权利要求书及其等效物界定。
Claims (13)
1.区块链通信***的加密认证方法,其特征在于,包括:
认证服务器与待认证设备连接时,认证服务器向待认证设备发起挑战认证,待认证设备返回相应的签名和其证书;
认证服务器认证待认证设备提交的证书;
认证服务器认证待认证设备提交签名;
认证服务器为待认证设备分配一个登录令牌;
业务服务器与待认证设备连接时,获取待认证设备发送的登录令牌,并将其加密并发送给认证服务器进行查询,业务服务器在认证服务器确认登录令牌有效后,允许待认证设备登陆。
2.根据权利要求1所述的加密认证方法,其特征在于,所述业务服务器与允许登录的设备之间采用TDE加密算法进行数据通信。
3.根据权利要2所述的加密认证方法,其特征在于,所述TDE加密算法采用变量位移加密和不固定替换加密;
其中变量位移加密根据数据在数据流中的不同位置采用不同位移量进行位移;
不固定替换加密,采用私密的位移替换表,同时根据每个数据的前一个数据来确定使用的加替换表数据。
4.根据权利要求1所述的加密认证方法,其特征在于,所述认证服务器与待认证设备之间采用非对称加密算法进行数据通信。
5.根据权利要求1所述的加密认证方法,其特征在于,所述认证方法还包括如下的认证前准备步骤:
认证服务器中配置一对密钥,待认证设备中烧录证书、密钥对,这些数据由证书生成器统一生成,其中证书使用认证服务器的密钥进行签名。
6.根据权利要求5所述的加密认证方法,其特征在于,所述待认证设备中烧录证书的过程采用私密的位移加密算法进行加密。
7.根据权利要求5所述的加密认证方法,其特征在于,所述签名过程如下:
认证服务器将待认证设备的身份信息及其公钥存入证书中,随后使用摘要算法对这些内容生成摘要,并使用待认证设备的私钥对加密该摘要,形成签名,并存入证书中。
8.根据权利要求1所述的加密认证方法,其特征在于,所述认证服务器与待认证设备之间的挑战认证过程如下:
认证服务器向待认证设备发送一个随机报文,要求待认证设备对该报文进行签名,如果在规定时间未获得待认证设备的响应,则认为挑战认证失败;
待认证设备签名时,首先使用摘要算法生成认证服务器发送的随机报文的摘要,随后使用自己的私钥对该摘要进行加密,形成签名,并将该签名和证书一起发送给登录服务器。
9.根据权利要求8所述的加密认证方法,其特征在于,所述待认证设备会同时发送报文的奇偶校验值。
10.根据权利要求8所述的加密认证方法,其特征在于,引入包括CPU使用率P,网卡网速M,固定系数S真实环境的随机数来生成无法被暴力猜解的随机报文。
11.根据权利要求1所述的加密认证方法,其特征在于,所述认证服务器认证待认证设备提交的证书的过程如下:
首先认证服务器从证书中取出待认证设备的身份信息并使用摘要算法生成摘要;
随后认证服务器从证书中取出签名,并使用自己的公钥对该签名进行解密;
然后将解密结果与刚刚生成的摘要进行比较,如果相同则验证通过,否则为验证失败。
12.根据权利要求1所述的加密认证方法,其特征在于,所述认证服务器认证待认证设备提交签名的过程如下:
首先认证服务器计算随机报文的摘要;
随后认证服务器从证书中取出待认证设备的公钥并解密待认证设备发送来的签名;
然后将解密结果和刚刚计算的随机报文摘要进行比较,如果相同则验证通过,否则登录失败。
13.根据权利要求12所述的加密认证方法,其特征在于,所述认证服务器在计算随机报文的摘要还对报文使用奇校验来进行验证。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711330906.XA CN108259467A (zh) | 2017-12-13 | 2017-12-13 | 一种区块链通信***的加密认证方法 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN201711330906.XA CN108259467A (zh) | 2017-12-13 | 2017-12-13 | 一种区块链通信***的加密认证方法 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN108259467A true CN108259467A (zh) | 2018-07-06 |
Family
ID=62722659
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN201711330906.XA Withdrawn CN108259467A (zh) | 2017-12-13 | 2017-12-13 | 一种区块链通信***的加密认证方法 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN108259467A (zh) |
Cited By (10)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510830A (zh) * | 2018-11-22 | 2019-03-22 | 南方电网科学研究院有限责任公司 | 一种智能电表的认证方法、装置、介质及设备 |
| CN109936569A (zh) * | 2019-02-21 | 2019-06-25 | 领信智链(北京)科技有限公司 | 一种基于以太坊区块链的去中心化数字身份登录管理*** |
| CN110046996A (zh) * | 2019-01-18 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 区块链交易的生成方法和装置 |
| CN110180188A (zh) * | 2019-05-22 | 2019-08-30 | 杭州复杂美科技有限公司 | 发牌方法、游戏方法、设备和存储介质 |
| CN110209683A (zh) * | 2019-06-05 | 2019-09-06 | 北京清大智信科技有限公司 | 一种实时获取环境数据并将其写入区块链的*** |
| CN110232764A (zh) * | 2019-05-16 | 2019-09-13 | 暨南大学 | 基于区块链的匿名电子投票方法及*** |
| CN110311784A (zh) * | 2019-06-10 | 2019-10-08 | 北京信安世纪科技股份有限公司 | 一种json报文签名方法、验签方法及装置 |
| CN113114638A (zh) * | 2021-03-26 | 2021-07-13 | 湖南和信安华区块链科技有限公司 | 联盟链的访问和验证方法及*** |
| CN113487783A (zh) * | 2021-07-06 | 2021-10-08 | 西北工业大学 | 基于智能手机生物特征识别功能实现门禁***控制的方法 |
| CN115514478A (zh) * | 2022-09-22 | 2022-12-23 | 广西电网有限责任公司南宁供电局 | 一种配电智能终端的加密认证方法、***及存储介质 |
Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN102541508A (zh) * | 2010-12-29 | 2012-07-04 | 鸿富锦精密工业(深圳)有限公司 | 真随机数产生***及方法 |
| CN103583060A (zh) * | 2011-06-03 | 2014-02-12 | 黑莓有限公司 | 用于接入私有网络的***和方法 |
| US20160261414A1 (en) * | 2015-03-06 | 2016-09-08 | Comcast Cable Communications, Llc | Secure authentication of remote equipment |
-
2017
- 2017-12-13 CN CN201711330906.XA patent/CN108259467A/zh not_active Withdrawn
Patent Citations (4)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN1805341A (zh) * | 2006-01-11 | 2006-07-19 | 西安电子科技大学 | 跨安全域的网络认证和密钥分配方法 |
| CN102541508A (zh) * | 2010-12-29 | 2012-07-04 | 鸿富锦精密工业(深圳)有限公司 | 真随机数产生***及方法 |
| CN103583060A (zh) * | 2011-06-03 | 2014-02-12 | 黑莓有限公司 | 用于接入私有网络的***和方法 |
| US20160261414A1 (en) * | 2015-03-06 | 2016-09-08 | Comcast Cable Communications, Llc | Secure authentication of remote equipment |
Non-Patent Citations (2)
| Title |
|---|
| 余洋等: "面向产业链协同SaaS平台的数据安全模型", 《计算机集成制造***》 * |
| 宋海龙等: "一种在计算机上产生真随机数的方法", 《计算机时代》 * |
Cited By (18)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN109510830A (zh) * | 2018-11-22 | 2019-03-22 | 南方电网科学研究院有限责任公司 | 一种智能电表的认证方法、装置、介质及设备 |
| CN109510830B (zh) * | 2018-11-22 | 2021-01-29 | 南方电网科学研究院有限责任公司 | 一种智能电表的认证方法、装置、介质及设备 |
| WO2020147489A1 (zh) * | 2019-01-18 | 2020-07-23 | 阿里巴巴集团控股有限公司 | 区块链交易的生成方法和装置 |
| TWI798483B (zh) * | 2019-01-18 | 2023-04-11 | 開曼群島商創新先進技術有限公司 | 區塊鏈交易的產生方法和裝置 |
| CN110046996A (zh) * | 2019-01-18 | 2019-07-23 | 阿里巴巴集团控股有限公司 | 区块链交易的生成方法和装置 |
| US11283627B2 (en) | 2019-01-18 | 2022-03-22 | Advanced New Technologies Co., Ltd. | Method and apparatus for generating blockchain transaction |
| US11895248B2 (en) | 2019-01-18 | 2024-02-06 | Advanced New Technologies Co., Ltd. | Method and apparatus for generating blockchain transaction |
| CN109936569B (zh) * | 2019-02-21 | 2021-05-28 | 领信智链(北京)科技有限公司 | 一种基于以太坊区块链的去中心化数字身份登录管理*** |
| CN109936569A (zh) * | 2019-02-21 | 2019-06-25 | 领信智链(北京)科技有限公司 | 一种基于以太坊区块链的去中心化数字身份登录管理*** |
| CN110232764A (zh) * | 2019-05-16 | 2019-09-13 | 暨南大学 | 基于区块链的匿名电子投票方法及*** |
| CN110232764B (zh) * | 2019-05-16 | 2021-09-21 | 暨南大学 | 基于区块链的匿名电子投票方法及*** |
| CN110180188A (zh) * | 2019-05-22 | 2019-08-30 | 杭州复杂美科技有限公司 | 发牌方法、游戏方法、设备和存储介质 |
| CN110180188B (zh) * | 2019-05-22 | 2022-06-28 | 杭州复杂美科技有限公司 | 发牌方法、游戏方法、设备和存储介质 |
| CN110209683A (zh) * | 2019-06-05 | 2019-09-06 | 北京清大智信科技有限公司 | 一种实时获取环境数据并将其写入区块链的*** |
| CN110311784A (zh) * | 2019-06-10 | 2019-10-08 | 北京信安世纪科技股份有限公司 | 一种json报文签名方法、验签方法及装置 |
| CN113114638A (zh) * | 2021-03-26 | 2021-07-13 | 湖南和信安华区块链科技有限公司 | 联盟链的访问和验证方法及*** |
| CN113487783A (zh) * | 2021-07-06 | 2021-10-08 | 西北工业大学 | 基于智能手机生物特征识别功能实现门禁***控制的方法 |
| CN115514478A (zh) * | 2022-09-22 | 2022-12-23 | 广西电网有限责任公司南宁供电局 | 一种配电智能终端的加密认证方法、***及存储介质 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| CN108259467A (zh) | 一种区块链通信***的加密认证方法 | |
| CN112187831B (zh) | 设备入网方法和装置、存储介质及电子设备 | |
| EP1926245B1 (en) | Method and system for obtaining ssh host key of managed device | |
| CN108111301A (zh) | 基于后量子密钥交换实现ssh协议的方法及其*** | |
| CN107332808A (zh) | 一种云桌面认证的方法、服务器及终端 | |
| CN110808829B (zh) | 一种基于密钥分配中心的ssh认证方法 | |
| CN113347741B (zh) | 网关设备的上线方法及*** | |
| JP4962117B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| CN103765842A (zh) | 用于建立端到端的安全连接和用于安全地传送数据分组的方法、设备以及*** | |
| TW201811087A (zh) | 連接建立方法、裝置和設備 | |
| CN110247803B (zh) | 一种针对网络管理协议SNMPv3的协议优化架构及其方法 | |
| CN104580190A (zh) | 安全浏览器的实现方法和安全浏览器装置 | |
| CN111181912B (zh) | 浏览器标识的处理方法、装置、电子设备及存储介质 | |
| CN113411187B (zh) | 身份认证方法和***、存储介质及处理器 | |
| WO2017201406A1 (en) | Implicit rsa certificates | |
| CN111614596B (zh) | 一种基于IPv6隧道技术的远程设备控制方法及*** | |
| JP5012173B2 (ja) | 暗号通信処理方法及び暗号通信処理装置 | |
| CN112422560A (zh) | 基于安全套接层的轻量级变电站安全通信方法及*** | |
| CN103973438B (zh) | 通信信道动态加密方法 | |
| CN103781026A (zh) | 通用认证机制的认证方法 | |
| CN111031012B (zh) | 一种实现dds域参与者安全认证的方法 | |
| CN115190042B (zh) | 一种网络靶场靶标接入状态探测***与方法 | |
| CN106331142A (zh) | 一种基于云服务的智能家居控制*** | |
| CN111327563B (zh) | 一种物联网设备登录管理方法及装置 | |
| Noalettin | Performance analysis of cryptographic protocols for the Internet of Things |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination | ||
| WW01 | Invention patent application withdrawn after publication | ||
| WW01 | Invention patent application withdrawn after publication |
Application publication date: 20180706 |