CN113392429A - 基于区块链的配电物联网数据安全防护方法、装置 - Google Patents

Abstract

本发明公开了一种基于区块链的配电物联网数据安全防护方法、装置，所述方法包括：获取配电物联网中的数据信息，并转送至配电边缘代理装置；根据节点的产生和对外发送的信息列表，计算节点的信任值，基于信任值决定节点是否为共识节点；配电边缘代理装置预提交的数据信息，与其他节点进行验证，确定共识节点；各个配电边缘代理装置训练原始攻击检测模型，配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。采用上述技术方案，根据监测的数据信息，生成基于区块链技术的分散式攻击检测模型，各攻击检测模块融合进行网络攻击的最优检测，提升了对分布式网络不同类型数据的防护能力，增强了网络的检测效率和防护力度。

Description

基于区块链的配电物联网数据安全防护方法、装置

技术领域

本发明涉及配电网技术领域，尤其涉及基于区块链的配电物联网数据安全防护方法、装置。

背景技术

随着信息和通信技术的发展以及传感器技术的普及，物联网已广泛应用于医疗、智慧城市和智能电网等各个领域。近年来，随着配电物联网的建设推进以及配电网源-荷两端随机性的增强，新型智能配电网的结构得到了明显优化，但配电网运行环境复杂，不仅要基于物联网技术实现泛在物联和全景感知，还要面临由于物联网灵活多样的接入环境、方式，以及数量庞大的终端所带来的配电网结构动态多变和数据安全风险增大的问题，同时，配电物联网的分布式特性，更难实现监视各分布式***的历史数据。以上种种原因，导致配电物联网难以识别接入节点的真实性，容易遭受来自外部的攻击。

发明内容

发明目的：本发明旨在提供一种基于区块链的配电物联网数据安全防护方法、装置，通过边缘层的多个配电边缘代理装置形成区块链，存储数据信息，一方面可以应对外部攻击，避免数据丢失，另一方面可以训练攻击检测模型。

技术方案：本发明提供一种基于区块链的配电物联网数据安全防护方法，包括：

通过设置于配电智能终端的传感单元，获取配电物联网中线路和设备的数据信息，并转送至配电边缘代理装置；

根据节点的产生和对外发送的信息列表，信任模型计算配电云主站对于各个节点的信任值，并基于信任值决定节点是否为配电物联网中的共识节点；其中，节点包括配电边缘代理装置；

在攻击缓解阶段，对于配电边缘代理装置预提交至配电云主站的数据信息，与其他配电边缘代理装置和配电物联网进行验证，确定配电物联网中的共识节点；

各个配电边缘代理装置根据传感单元的数据信息训练原始攻击检测模型，配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。

具体的，所述信任模型用于sybil攻击的检测，在每个参与共识的节点中进行，根据节点的产生，第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

其中，0＜α＜1；

根据节点对外发送的信息列表，R_i(t+1)为：

其中，0＜β＜α＜1；

信任值为0，则将对应节点从配电物联网中删去。

具体的，配电智能终端和传感单元发起业务广播，配电云主站收到业务广播并进行验证，若无效则从配电物联网中删去，若有效则保留并生成区块头以打包到区块中。

具体的，配电云主站广播准备消息到各个配电边缘代理装置，准备消息包括区块高度、时间戳、区块头摘要、当前节点ID和共识节点信息列表；配电边缘代理装置收到准备消息，在经过验证后转发至其他节点；配电边缘代理装置收到其他配电边缘代理装置发送的准备消息，若发送准备消息的配电边缘代理装置的信任值大于阈值，则作为共识节点并更新本地共识状态，向配电云主站发送预提交的数据信息；配电云主站比对收到的预提交的数据信息，根据信任模型更新每个节点的信任值和共识节点信息列表，同时反馈至配电智能终端、传感单元和配电边缘代理装置。

具体的，所述配电云主站通过指定数据驱动攻击检测，配电边缘代理装置通过本地数据信息训练原始攻击检测模型；将配电物联网业务数据信息分散存储，以哈希值的形式记录原始攻击检测模型的参数；原始攻击检测模型训练完成后发布至校对代理装置，校对代理装置进行链下评估，根据评估结果，配电云主站进行融合。

具体的，将攻击检测任务确定为深度学习分类，数据集a＝{a1,a2,…,an}；

在深度学习模型中，第一隐藏层的输出作为下一隐藏层的输入，用于训练网络参数；

深度学习训练过程中，网络参数通过梯度下降法进行更新，描述如下：

其中，σ和b表示网络参数，L和ε分别表示标准梯度下降算法的最大迭代次数和学习率，J表示损失函数。

具体的，使用每个原始攻击检测模型的特征进行模型的训练融合；

提取m个原始攻击检测模型的最后隐藏层g_N中的特征向量(f₁,f₂,…,f_k,…,f_m)；

将第k个模型的特征向量f_k进行级联获得级联特征向量f_c；

计算级联特征向量的加权和，以获得大小为

的隐藏层；其中|c_k|是第k个模型中标记类别的数量；

完全连接的权重矩阵ω₁和ω₂分别用于计算第i隐藏层输出H_i，和对应共d层中第j最终输出Y_i，其中隐藏层输出为：

使用softmax函数计算最终输出Y_i：

本发明还提供一种基于区块链的配电物联网数据安全防护装置，包括：感知层、边缘层和云层，其中：感知层包括配电智能终端和传感单元，边缘层包括配电边缘代理装置，云层包括配电云主站；感知层通过设置于配电智能终端的传感单元，获取配电物联网中线路和设备的数据信息，并转送至配电边缘代理装置；边缘层根据节点的产生和对外发送的信息列表，信任模型计算配电云主站对于各个节点的信任值，并基于信任值决定节点是否为配电物联网中的共识节点；其中，节点包括配电边缘代理装置；在攻击缓解阶段，边缘层对于配电边缘代理装置预提交至配电云主站的数据信息，与其他配电边缘代理装置和配电物联网进行验证，确定配电物联网中的共识节点；边缘层各个配电边缘代理装置根据传感单元的数据信息训练原始攻击检测模型，云层配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。

具体的，所述信任模型用于sybil攻击的检测，在每个参与共识的节点中进行，根据节点的产生，第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

其中，0＜α＜1；

根据节点对外发送的信息列表，Ri(t+1)为：

其中，0＜β＜α＜1；

信任值为0，则将对应节点从配电物联网中删去。

具体的，配电智能终端和传感单元发起业务广播，配电云主站收到业务广播并进行验证，若无效则从配电物联网中删去，若有效则保留并生成区块头以打包到区块中。

有益效果：与现有技术相比，本发明具有如下显著优点：通过边缘层的多个配电边缘代理装置形成区块链，存储数据信息，一方面可以应对外部攻击，避免数据丢失，另一方面可以训练攻击检测模型。

附图说明

图1为本发明提供的安全防护结构示意图；

图2为本发明提供的基于区块链的攻击检测结构；

图3为本发明提供的攻击模型融合过程示意图。

具体实施方式

下面结合附图对本发明的技术方案作进一步说明。

参阅图1，本发明提供一种基于区块链的配电物联网数据安全防护方法，包括设计的一种分散式安全防护模型，其中每个配电边缘代理装置均有自身的攻击检测模型，并与其他节点、配电云主站服务器共享该模型；根据模型中SDN(软件定义网络)自适应动态管理数据的特性，通过设置于配电智能终端(物联网终端)的传感单元，连续监控和分析整个网络的流量数据。

在具体实施中，根据监测的网络流量数据生成基于区块链技术的分散式攻击检测模型，并且使用早期融合，将各原始攻击检测模型融合进行网络攻击的最优检测；在配电边缘代理装置处进行攻击缓解，且加入预提交阶段。

在具体实施中，分散式安全防护模型包括三个层次：感知层，边缘层和云层。其中，感知层由许多配电智能终端和分布广泛的传感单元组成，可监视配电网线路和设备的各种电气量和状态量数据，并转发至边缘层；边缘层由配电边缘代理装置构成，每个配电边缘代理装置均配置低功耗高性能SDN聚合器，每个SDN聚合器都链接其本地的多个配电智能终端和传感器，处理和分析来自配电智能终端和传感器的流量数据，初步处理的数据传至云层的配电云主站的代理核心(Agent center，AC)控制器，每个AC控制器与SDN聚合器集群相关联，并负责分析处理后的数据以识别异常流量，基于识别出的异常流量，AC控制器更新和管理流向其各自SDN聚合器的流量规则，并指示SDN聚合器以低延迟检测攻击。

区块链网络架构下的sybil攻击会严重损耗网络中各节点的计算开销，影响网络中节点的资源共享，因此采用信任模型实现sybil攻击的检测。

信任模型可以在每个参与共识的节点中执行，设定的信任值是0至1的实数，信任值越大，可信度越高。共识节点是配电物联网中可信任的节点，可以安全的进行数据信息传输的节点，共识行为是配电物联网中确定节点是否为共识节点的行为过程。新增共识节点初始信任值通常都设定为0.5，根据配电云主站与节点之间不同的共识行为，可以分以下2种情况讨论：

(1)在t轮共识建立程序中，生成的节点(新区块)将增大配电云主站的信任值，并且信任值增大的速度会随着共识轮次的增多而降低，但其最大值小于1。否则，若无新区块生成，将使配电云主站信任值降低，降低的速度由系数α(0＜α＜1)决定。

第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

(2)在t轮共识过程中，若配电边缘代理装置发送了同样的消息列表到其他节点，并核实到各节点投票结果(对配电边缘代理装置的消息列表的验证结果)一致，则配电边缘代理装置信任值将增加。但若配电边缘代理装置未参加共识过程，则其信任值将降低，降低速度由α确定。若配电边缘代理装置虽然参加了共识过程，但是各节点投票结果没有一致，那么其信任值也将降低，降低速度由系数β(0＜β＜α＜1)确定。若某共识节点发送出不同的消息列表，则判定其为sybil(女巫攻击)节点，则将其信任值降为0，并从配电物联网中删除，则R_i(t+1)为：

本发明实施例中，通过信任值评估检测区块链中sybil节点的攻击缓解流程如下：

(1)配电智能终端和传感单元发起业务tra并广播。配电云主站0收到业务，首先对其进行验证；若无效则直接删除，若有效则保留并生成区块头B_head以打包到区块中。

(2)配电云主站0广播预准备消息到各配电边缘代理装置，内容为＜＜PRE-PREPARE,h,κ,t,P₀,CNIL₀＞_δ0,B_head＞，其中h是区块高度，t是时间戳，k是B_head的摘要，P₀是当前节点ID，CNIL₀是配电云主站0的共识节点信息列表。

(3)配电边缘代理装置1和2收到配电云主站0广播的信息，同样首先进行有效性验证，通过验证后再将准确信息转发至其他节点，内容为:＜＜PREPARE,h,κ,t,P_i,CNIL_i＞_δi,B_head＞。

(4)配电边缘代理装置1、2收到的准备消息来自其他配电边缘代理装置，发送消息的节点拥有不同的信任值。首先配电边缘代理装置计算当前向其发送消息的节点的信任值，如果大于信任值阈值，则更新本地业务信息共识状态，并发送内容为＜＜PRE-COMMIT,h,κ,t,P_i＞_δi,＜CNIL＞_δi＞的预提交信息。

(5)配电云主站比对预提交信息，根据信任模型更新每个节点信任值和共识节点信息列表，同时反馈结果至配电智能终端、传感单元和配电边缘代理装置，配电边缘代理装置发送提交消息，内容为＜＜COMMIT,h,κ,t,P₀＞_δ0,＜CNIL＞_δ0＞。

在具体实施中，通过配电边缘代理装置攻击缓解阶段的预提交过程，更新网络中可信任的节点，避免出现攻击直接到达配电云主站的情况。

本发明实施例中，基于区块链的攻击检测中包括两个实体，即配电云主站和配电边缘代理装置。配电云主站服务器定义了用于攻击检测的数据驱动任务，提供测试数据集并描述估计的准确性以验证来自每个配电边缘代理装置的攻击检测模型。配电边缘代理装置是负责处理分散式攻击检测模型的实体。

在具体实施中，配电物联网所有参与者都通过区块链进行数据流量交互。首先，配电云主站服务器通过指定数据驱动任务启动攻击检测过程，对于给定的数据驱动任务，处理代理(配电边缘代理装置)通过对其本地数据执行机器学习训练，来准备原始攻击检测模型。同时，将配电网业务文件分散存储，以哈希值的形式记录其攻击检测模型的参数。然后，将准备好的攻击检测发布到校对代理，一旦校对代理收到广播的攻击检测模型，便开始对模型进行链下评估，并通过分散式应用程序宣布评估结果。最后，配电云主站服务器可以利用校对代理所采用的相同策略对各个原始攻击检测模型进行融合，从而获得融合攻击检测模型。

参阅图2，在具体实施中，采用早期融合用于攻击检测模型的融合。基于早期融合的攻击检测模型中，假设攻击检测任务是深度学习分类，每个处理代理根据配电云主站服务器赋予的攻击检测任务设计分类模型，给定用于深度学习模型A_k的未标记数据集a＝{a₁,a₂,…,a_n}，在深度学习模型中，第一个隐藏层g₁输出为下一个隐藏层g₂的输入，用于训练网络参数σ和b。在重复训练过程，直到给定第N个隐藏层g_N训练网络参数σ_N。g_N为模型A_k第N层的提取特征。为了便于说明，使用σ＝[σ₁,σ₂,…,σ_N]和b＝[b₁,b₂,…,b_n]代表深度学习模型A_k的第N隐藏层的网络参数(权重矩阵和偏差矢量)。

本发明实施例中，深度学习训练过程中的网络参数通过梯度下降法进行更新，可以描述如下：

其中，L和ε分别是标准梯度下降算法的最大迭代次数和学习率，J表示损失函数。

在具体实施中，基于提取的特征，所有攻击检测模型(A₁,A₂,…,A_k,…,A_m)的早期融合如图3所示。使用每个模型的特征来执行每个攻击检测模型的训练过程，每个模型的最后一个隐藏层g_N中提取(f₁,f₂,…,f_k,…,f_m)。为了融合m个共享模型，首先，通过将每个第k个模型的特征向量f_k进行级联来获得级联的特征f_c。然后，计算级联特征向量f_c的加权和，以获得大小为

的隐藏层H，其中|c_k|是第k个模型中标记类别的数量，完全连接的权重矩阵ω₁和ω₂分别用于计算隐藏层输出H_i和最终输出Y_i。最初，两个权重矩阵均会随机初始化，并使用反向传播算法获得这两个矩阵的最佳值。其中隐藏层输出为：

使用softmax函数计算最终输出Y_i：

本发明设计一种基于区块链的分散式安全防护模型，在每个配电边缘代理装置中均配置自身的攻击检测模型，其中SDN自适应动态管理数据的特性，能够连续监控和分析整个网络的流量数据，克服了集中式与分布式攻击检测中所存在的问题，保证了配电物联网的数据安全。同时，根据监测的网络流量数据，生成基于区块链技术的分散式攻击检测模型，并且使用早期融合将各攻击检测模块融合进行网络攻击的最优检测，提升了网络对分布式电源、节点和终端等不同类型数据的防护能力，进一步增强了网络的检测效率和防护力度。

本发明还提供一种基于区块链的配电物联网数据安全防护装置，包括：感知层、边缘层和云层，其中：

感知层包括配电智能终端和传感单元，边缘层包括配电边缘代理装置，云层包括配电云主站；感知层通过设置于配电智能终端的传感单元，获取配电物联网中线路和设备的数据信息，并转送至配电边缘代理装置；边缘层根据节点的产生和对外发送的信息列表，信任模型计算配电云主站对于各个节点的信任值，并基于信任值决定节点是否为配电物联网中的共识节点；其中，节点包括配电边缘代理装置；在攻击缓解阶段，边缘层对于配电边缘代理装置预提交至配电云主站的数据信息，与其他配电边缘代理装置和配电物联网进行验证，确定配电物联网中的共识节点；边缘层各个配电边缘代理装置根据传感单元的数据信息训练原始攻击检测模型，云层配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。

本发明实施例中，所述信任模型用于sybil攻击的检测，在每个参与共识的节点中进行，根据节点的产生，第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

其中，0＜α＜1；

根据节点对外发送的信息列表，R_i(t+1)为：

其中，0＜β＜α＜1；

信任值为0，则将对应节点从配电物联网中删去。

本发明实施例中，所述攻击缓解阶段，包括：配电智能终端和传感单元发起业务广播，配电云主站收到业务广播并进行验证，若无效则从配电物联网中删去，若有效则保留并生成区块头以打包到区块中。

Claims (10)

1.一种基于区块链的配电物联网数据安全防护方法，其特征在于，包括：

通过设置于配电智能终端的传感单元，获取配电物联网中线路和设备的数据信息，并转送至配电边缘代理装置；

根据节点的产生和对外发送的信息列表，信任模型计算配电云主站对于各个节点的信任值，并基于信任值决定节点是否为配电物联网中的共识节点；其中，节点包括配电边缘代理装置；

在攻击缓解阶段，对于配电边缘代理装置预提交至配电云主站的数据信息，与其他配电边缘代理装置和配电物联网进行验证，确定配电物联网中的共识节点；

各个配电边缘代理装置根据传感单元的数据信息训练原始攻击检测模型，配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。

2.根据权利要求1所述的基于区块链的配电物联网数据安全防护方法，其特征在于，所述信任模型用于sybil攻击的检测，在每个参与共识的节点中进行，根据节点的产生，第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

其中，0＜α＜1；

根据节点对外发送的信息列表，R_i(t+1)为：

其中，0＜β＜α＜1；

信任值为0，则将对应节点从配电物联网中删去。

3.根据权利要求2所述的基于区块链的配电物联网数据安全防护方法，其特征在于，所述攻击缓解阶段，包括：

配电智能终端和传感单元发起业务广播，配电云主站收到业务广播并进行验证，若无效则从配电物联网中删去，若有效则保留并生成区块头以打包到区块中。

4.根据权利要求3所述的基于区块链的配电物联网数据安全防护方法，其特征在于，所述攻击缓解阶段，包括：

配电云主站广播准备消息到各个配电边缘代理装置，准备消息包括区块高度、时间戳、区块头摘要、当前节点ID和共识节点信息列表；

配电边缘代理装置收到准备消息，在经过验证后转发至其他节点；

配电边缘代理装置收到其他配电边缘代理装置发送的准备消息，若发送准备消息的配电边缘代理装置的信任值大于阈值，则作为共识节点并更新本地共识状态，向配电云主站发送预提交的数据信息；

配电云主站比对收到的预提交的数据信息，根据信任模型更新每个节点的信任值和共识节点信息列表，同时反馈至配电智能终端、传感单元和配电边缘代理装置。

5.根据权利要求4所述的基于区块链的配电物联网数据安全防护方法，其特征在于，包括：

所述配电云主站通过指定数据驱动攻击检测，配电边缘代理装置通过本地数据信息训练原始攻击检测模型；

将配电物联网业务数据信息分散存储，以哈希值的形式记录原始攻击检测模型的参数；

原始攻击检测模型训练完成后发布至校对代理装置，校对代理装置进行链下评估，根据评估结果，配电云主站进行融合。

6.根据权利要求5所述的基于区块链的配电物联网数据安全防护方法，其特征在于，包括：

将攻击检测任务确定为深度学习分类，数据集a＝{a₁,a₂,…,a_n}；

在深度学习模型中，第一隐藏层的输出作为下一隐藏层的输入，用于训练网络参数；

深度学习训练过程中，网络参数通过梯度下降法进行更新，描述如下：

其中，σ和b表示网络参数，L和ε分别表示标准梯度下降算法的最大迭代次数和学习率，J表示损失函数。

7.根据权利要求6所述的基于区块链的配电物联网数据安全防护方法，其特征在于，包括：

使用每个原始攻击检测模型的特征进行模型的训练融合；

提取m个原始攻击检测模型的最后隐藏层g_N中的特征向量(f₁,f₂,…,f_k,…,f_m)；

将第k个模型的特征向量f_k进行级联获得级联特征向量f_c；

计算级联特征向量的加权和，以获得大小为

的隐藏层；其中|c_k|是第k个模型中标记类别的数量；

完全连接的权重矩阵ω₁和ω₂分别用于计算第i隐藏层输出H_i，和对应共d层中第j最终输出Y_i，其中隐藏层输出为：

使用softmax函数计算最终输出Y_i：

8.一种基于区块链的配电物联网数据安全防护装置，其特征在于，包括：感知层、边缘层和云层，其中：

感知层包括配电智能终端和传感单元，边缘层包括配电边缘代理装置，云层包括配电云主站；

感知层通过设置于配电智能终端的传感单元，获取配电物联网中线路和设备的数据信息，并转送至配电边缘代理装置；

边缘层根据节点的产生和对外发送的信息列表，信任模型计算配电云主站对于各个节点的信任值，并基于信任值决定节点是否为配电物联网中的共识节点；其中，节点包括配电边缘代理装置；

在攻击缓解阶段，边缘层对于配电边缘代理装置预提交至配电云主站的数据信息，与其他配电边缘代理装置和配电物联网进行验证，确定配电物联网中的共识节点；

边缘层各个配电边缘代理装置根据传感单元的数据信息训练原始攻击检测模型，云层配电云主站融合各个原始攻击检测模型得到融合攻击检测模型，应用于攻击检测。

9.根据权利要求8所述的基于区块链的配电物联网数据安全防护装置，其特征在于，所述信任模型用于sybil攻击的检测，在每个参与共识的节点中进行，根据节点的产生，第t轮共识后节点S_i的信任值为R_i(t)，则R_i(t+1)为：

其中，0＜α＜1；

根据节点对外发送的信息列表，R_i(t+1)为：

其中，0＜β＜α＜1；

信任值为0，则将对应节点从配电物联网中删去。

10.根据权利要求9所述的基于区块链的配电物联网数据安全防护方法，其特征在于，所述攻击缓解阶段，包括：

配电智能终端和传感单元发起业务广播，配电云主站收到业务广播并进行验证，若无效则从配电物联网中删去，若有效则保留并生成区块头以打包到区块中。

Images