劉廷峰 周平 李江鑫

摘 ? 要：為了實(shí)現(xiàn)泛在電力物聯(lián)網(wǎng)中的萬物互聯(lián)，安全、便捷的身份可信認(rèn)證是必要的前提。文章借鑒互聯(lián)網(wǎng)企業(yè)在物聯(lián)網(wǎng)領(lǐng)域采用“區(qū)塊鏈+身份認(rèn)證”的成功經(jīng)驗(yàn)，提出在泛在電力物聯(lián)網(wǎng)中引入?yún)^(qū)塊鏈來構(gòu)造身份認(rèn)證服務(wù)模型，在架構(gòu)上通過去中心化來降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并促進(jìn)多種信息和方式的融合。首先探索了區(qū)塊鏈的體系架構(gòu)以及關(guān)鍵技術(shù)，確立了技術(shù)基礎(chǔ)，然后研究了基于區(qū)塊鏈分布式信任服務(wù)合約機(jī)制，構(gòu)建通用聯(lián)盟鏈身份認(rèn)證模型。

關(guān)鍵詞：區(qū)塊鏈;泛在電力物聯(lián)網(wǎng);身份認(rèn)證;聯(lián)盟鏈;數(shù)據(jù)賬本

中圖分類號(hào)：TP3-05 ? ? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

Abstract： In order to achieve the interconnection of all things in the SG-eIoT（electric internet of Things）， secure and convenient identity authentication is a necessary prerequisite. This article use the successful experience of Internet enterprises in the field of Internet of Things in adopting blockchain + identity authentication for reference， and proposes to introduce blockchain to construct identity authentication service model in the SG-EIOT（electric internet of Things）. In the framework， the risk of data leakage is reduced by decentralization， and the integration of various information and modes is promoted. Firstly， the architecture and key technologies of blockchain are explored， and the technical foundation is established. Then， how to build a universal alliance chain identity authentication model based on blockchain distributed trust service contract mechanism is studied.

Key words： blockchain; SG-eIoT; identity authentication; alliance chain; data account book

1 引言

國(guó)家電網(wǎng)公司在2019年“兩會(huì)”報(bào)告以及在多個(gè)場(chǎng)合都提到了“三型兩網(wǎng)”的戰(zhàn)略目標(biāo)，這里所說的“兩網(wǎng)”分別是“堅(jiān)強(qiáng)智能電網(wǎng)”和“泛在電力物聯(lián)網(wǎng)”。泛在電力物聯(lián)網(wǎng)覆蓋能源電力“云、網(wǎng)、端”，是與智能電網(wǎng)“共同生存”的公司“第二張網(wǎng)”。所謂“泛在物聯(lián)”是指任何時(shí)間、任何地點(diǎn)、任何人、任何物之間的信息連接和交互。“泛在電力物聯(lián)網(wǎng)”將電力用戶及其設(shè)備、電網(wǎng)企業(yè)及其設(shè)備、發(fā)電企業(yè)及其設(shè)備、供應(yīng)商及其設(shè)備以及人和物連接起來，產(chǎn)生共享數(shù)據(jù)，為用戶、電網(wǎng)、發(fā)電、供應(yīng)商和政府社會(huì)服務(wù)。隨著建設(shè)不斷推進(jìn)，類型復(fù)雜、數(shù)量巨大的物聯(lián)設(shè)備將廣泛接入，設(shè)備的安全身份認(rèn)證及訪問授權(quán)將面臨嚴(yán)重的安全風(fēng)險(xiǎn)。在當(dāng)前安全防護(hù)碎片化、物聯(lián)身份認(rèn)證標(biāo)準(zhǔn)缺失、體系化支撐能力不足的情況下，需要建立標(biāo)準(zhǔn)化、體系化、多層次覆蓋的物聯(lián)網(wǎng)身份認(rèn)證體系，支撐泛在電力物聯(lián)網(wǎng)安全落地。

傳統(tǒng)身份認(rèn)證采用中心化的身份管理系統(tǒng)，中心化登錄[1]過程，如圖1所示。中心化管理的缺點(diǎn)也是顯而易見的，一旦身份提供商 （IDentity Provider，IDP）不可用或丟失數(shù)據(jù)，所有的用戶和應(yīng)用都將被影響。

當(dāng)前，國(guó)內(nèi)外對(duì)于身份認(rèn)證的研究重點(diǎn)是改變目前主流的基于密碼的在線身份驗(yàn)證技術(shù)，保證各廠商開發(fā)強(qiáng)認(rèn)證技術(shù)間的互操作性，逐步消除用戶對(duì)密碼的依賴，包括致力于“無密碼體驗(yàn)”[2]（生物特征）的UAF標(biāo)準(zhǔn)和“雙因子體驗(yàn)”（口令和特定設(shè)備）的 U2F標(biāo)準(zhǔn)。同時(shí)，傳統(tǒng)的身份管理機(jī)制在泛在電力物聯(lián)網(wǎng)的應(yīng)用中還面臨著問題，例如各個(gè)單位的數(shù)據(jù)孤島不能溝通、中心化管理系統(tǒng)的數(shù)據(jù)泄露風(fēng)險(xiǎn)高、數(shù)據(jù)認(rèn)證格式和安全級(jí)別不同。

隨著比特幣近年來的快速發(fā)展與普及，區(qū)塊鏈技術(shù)的研究與應(yīng)用也呈現(xiàn)出爆發(fā)式增長(zhǎng)態(tài)勢(shì)。目前，區(qū)塊鏈有Ripple、萬向區(qū)塊鏈實(shí)驗(yàn)室等應(yīng)用項(xiàng)目，這些項(xiàng)目產(chǎn)品在應(yīng)用中受到了學(xué)術(shù)專家的廣泛關(guān)注，同時(shí)也在不斷地更新和發(fā)展中[3]。2018年5月騰訊TUSI物聯(lián)網(wǎng)聯(lián)合實(shí)驗(yàn)室發(fā)布了身份區(qū)塊鏈產(chǎn)品，為同一用戶不同場(chǎng)景的身份提供交叉認(rèn)證服務(wù)，通過TUSI可信標(biāo)識(shí)串聯(lián)多個(gè)場(chǎng)景下人與物的關(guān)聯(lián)關(guān)系，將脫敏后的可信身份標(biāo)識(shí)通過區(qū)塊鏈索引給聯(lián)盟成員，為物聯(lián)網(wǎng)時(shí)代提供更高效可控的用戶身份鑒權(quán)方案與業(yè)務(wù)應(yīng)用接口。安全是身份認(rèn)證場(chǎng)景的前提，在物聯(lián)網(wǎng)領(lǐng)域，讓更多企業(yè)、更多設(shè)備之間建立可信關(guān)系，這也是深度契合萬物互聯(lián)的目標(biāo)。

借鑒互聯(lián)網(wǎng)企業(yè)在物聯(lián)網(wǎng)領(lǐng)域采用“區(qū)塊鏈+身份認(rèn)證”的實(shí)踐經(jīng)驗(yàn)，本文提出泛在電力物聯(lián)網(wǎng)引入?yún)^(qū)塊鏈來實(shí)現(xiàn)身份服務(wù)的統(tǒng)一與激勵(lì)[4]，在架構(gòu)上通過去中心化來降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并促進(jìn)多種信息和方式的融合。從跨域、跨聯(lián)盟身份管理的應(yīng)用種類來看，采用的區(qū)塊鏈模型不同于比特幣為代表的公有鏈，任何人都可以參與記賬，也不是只能在一個(gè)組織或?qū)嶓w內(nèi)部記賬的私有鏈，而是典型的聯(lián)盟鏈，設(shè)定多個(gè)組織、人、企業(yè)進(jìn)行認(rèn)證等。本文從泛在電力物聯(lián)網(wǎng)的安全身份認(rèn)證需求出發(fā)，以區(qū)塊鏈的原理和架構(gòu)為基礎(chǔ)，提出了基于區(qū)塊鏈的泛在電力物聯(lián)網(wǎng)身份認(rèn)證體系架構(gòu)和設(shè)計(jì)原則，為電力物聯(lián)網(wǎng)系統(tǒng)建設(shè)提供參考。

2 區(qū)塊鏈體系架構(gòu)及關(guān)鍵技術(shù)

區(qū)塊鏈?zhǔn)欠植际酱鎯?chǔ)、點(diǎn)對(duì)點(diǎn)傳輸、共識(shí)機(jī)制、加密算法等計(jì)算機(jī)技術(shù)的新型應(yīng)用模式。區(qū)塊連技術(shù)是利用鏈?zhǔn)綌?shù)據(jù)結(jié)構(gòu)驗(yàn)證與存儲(chǔ)數(shù)據(jù)，利用分布式節(jié)點(diǎn)共識(shí)算法生成和更新數(shù)據(jù)，利用密碼學(xué)的方式保證數(shù)據(jù)傳輸和訪問的安全，利用由自動(dòng)化腳本代碼組成的智能合約，編程和操作數(shù)據(jù)全新的分布式基礎(chǔ)架構(gòu)與計(jì)算范式[5]。

2.1 體系架構(gòu)

區(qū)塊鏈技術(shù)的體系架構(gòu)模型如圖2所示。區(qū)塊鏈系統(tǒng)由數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層和應(yīng)用層組成。其中，數(shù)據(jù)層封裝了底層數(shù)據(jù)區(qū)塊以及相關(guān)的數(shù)據(jù)加密和時(shí)間戳等技術(shù);網(wǎng)絡(luò)層則包括分布式組網(wǎng)機(jī)制、數(shù)據(jù)傳播機(jī)制和數(shù)據(jù)驗(yàn)證機(jī)制等;共識(shí)層主要封裝網(wǎng)絡(luò)節(jié)點(diǎn)的各類共識(shí)算法;激勵(lì)層將經(jīng)濟(jì)因素集成到區(qū)塊鏈技術(shù)體系中來，主要包括經(jīng)濟(jì)激勵(lì)的發(fā)行機(jī)制和分配機(jī)制等;合約層主要封裝各類腳本、算法和智能合約，是區(qū)塊鏈可編程特性的基礎(chǔ);應(yīng)用層則封裝了區(qū)塊鏈的各種應(yīng)用場(chǎng)景和案例。

（1）數(shù)據(jù)層

區(qū)塊鏈?zhǔn)侨ブ行幕到y(tǒng)各節(jié)點(diǎn)共享的數(shù)據(jù)賬本。每個(gè)分布式節(jié)點(diǎn)都可以通過特定的哈希算法和Merkle樹數(shù)據(jù)結(jié)構(gòu)，將一段時(shí)間內(nèi)接收到的交易數(shù)據(jù)和代碼，封裝到一個(gè)帶有時(shí)間戳的數(shù)據(jù)區(qū)塊中，并鏈接到當(dāng)前最長(zhǎng)的主區(qū)塊鏈上，形成最新的區(qū)塊。

（2）網(wǎng)絡(luò)層

網(wǎng)絡(luò)層封裝了區(qū)塊鏈系統(tǒng)的組網(wǎng)方式、消息傳播協(xié)議和數(shù)據(jù)驗(yàn)證機(jī)制等要素。結(jié)合實(shí)際應(yīng)用需求，通過設(shè)計(jì)特定的傳播協(xié)議和數(shù)據(jù)驗(yàn)證機(jī)制，可使得區(qū)塊鏈系統(tǒng)中每一個(gè)節(jié)點(diǎn)都能參與區(qū)塊數(shù)據(jù)的校驗(yàn)和記賬過程，當(dāng)區(qū)塊數(shù)據(jù)通過全網(wǎng)大部分節(jié)點(diǎn)驗(yàn)證后，才能記入?yún)^(qū)塊鏈。

（3）共識(shí)層

Pow 共識(shí)的核心思想是通過引入分布式節(jié)點(diǎn)的算力競(jìng)爭(zhēng)，來保證數(shù)據(jù)一致性和共識(shí)的安全性。在比特幣系統(tǒng)中，各節(jié)點(diǎn)基于各自的計(jì)算機(jī)算力相互競(jìng)爭(zhēng)，來共同解決一個(gè)求解復(fù)雜但驗(yàn)證容易的SHA256數(shù)學(xué)難題，最快解決該難題的節(jié)點(diǎn)將獲得區(qū)塊記賬權(quán)和系統(tǒng)自動(dòng)生成的比特幣獎(jiǎng)勵(lì)。

（4）激勵(lì)層

區(qū)塊鏈共識(shí)過程通過匯聚大規(guī)模共識(shí)節(jié)點(diǎn)的算力資源，來實(shí)現(xiàn)共享區(qū)塊鏈賬本的數(shù)據(jù)驗(yàn)證和記賬工作，因而其本質(zhì)上是一種共識(shí)節(jié)點(diǎn)間的任務(wù)眾包過程。去中心化系統(tǒng)中的共識(shí)節(jié)點(diǎn)本身是自利的，最大化自身收益是其參與數(shù)據(jù)驗(yàn)證和記賬的根本目標(biāo)。因此，必須設(shè)計(jì)激勵(lì)相容的合理眾包機(jī)制，使得共識(shí)節(jié)點(diǎn)最大化自身收益的個(gè)體理性行為與保障去中心化區(qū)塊鏈系統(tǒng)的安全和有效性的整體目標(biāo)相吻合。區(qū)塊鏈系統(tǒng)通過設(shè)計(jì)適度的經(jīng)濟(jì)激勵(lì)機(jī)制并與共識(shí)過程相集成，從而匯聚大規(guī)模的節(jié)點(diǎn)參與并形成了對(duì)區(qū)塊鏈歷史的穩(wěn)定共識(shí)。

（5）合約層

合約層封裝區(qū)塊鏈系統(tǒng)的各類腳本代碼、算法以及由此生成的更為復(fù)雜的智能合約。合約層建立在區(qū)塊鏈虛擬機(jī)之上的商業(yè)邏輯和算法，是實(shí)現(xiàn)區(qū)塊鏈系統(tǒng)靈活編程和操作數(shù)據(jù)的基礎(chǔ)。智能合約無須彼此信任，因?yàn)橹悄芎霞s不僅是由代碼進(jìn)行定義的，也是由代碼強(qiáng)制執(zhí)行的，完全自動(dòng)且無法干預(yù)。到了約定時(shí)間，機(jī)器就自動(dòng)執(zhí)行。

2.2 關(guān)鍵技術(shù)

本文主要從區(qū)塊結(jié)構(gòu)、非對(duì)稱加密算法、分布式結(jié)構(gòu)和智能合約四個(gè)部分進(jìn)行闡述。

（1）區(qū)塊結(jié)構(gòu)

區(qū)塊鏈?zhǔn)怯梢粋€(gè)個(gè)區(qū)塊組成的鏈。每個(gè)區(qū)塊分為區(qū)塊頭和區(qū)塊體（含交易數(shù)據(jù)）兩個(gè)部分。區(qū)塊體保存的是若干條記錄以及由每條記錄的Hash值構(gòu)成的二叉Merkle樹。區(qū)塊頭一般包括版本號(hào)、前一區(qū)塊的Hash值（Hash指針）、隨機(jī)數(shù)、目標(biāo)Hash值（本區(qū)塊的Hash值）、Merkle根，有時(shí)還會(huì)有用于PoW的計(jì)算困難門限值Difficulty等。根據(jù)不同的應(yīng)用，塊頭和塊身的數(shù)據(jù)項(xiàng)也會(huì)有所不同。

（2）非對(duì)稱加密算法

非對(duì)稱加密是為滿足安全性需求和所有權(quán)驗(yàn)證需求而集成到區(qū)塊鏈中的加密技術(shù)，常見算法包括RSA、Elgamal、Rabin、D-H、ECC（即橢圓曲線加密算法）等。

（3）分布式結(jié)構(gòu)

區(qū)塊鏈建立的物理網(wǎng)絡(luò)基礎(chǔ)是點(diǎn)對(duì)點(diǎn)的分布式網(wǎng)絡(luò)，這與中心化的“客戶端/服務(wù)器”網(wǎng)絡(luò)架構(gòu)差別較大，它是一種去中心化的網(wǎng)絡(luò)，這種分布式結(jié)構(gòu)不再讓數(shù)據(jù)集中在服務(wù)器上，而是使數(shù)據(jù)能夠分散地存儲(chǔ)在不同的節(jié)點(diǎn)上。當(dāng)節(jié)點(diǎn)想要寫入數(shù)據(jù)時(shí)，需半數(shù)以上其余節(jié)點(diǎn)通過共識(shí)機(jī)制確認(rèn)該節(jié)點(diǎn)的身份，才能夠?qū)?shù)據(jù)寫入到節(jié)點(diǎn)中。這就提高了數(shù)據(jù)傳輸?shù)男?，相比中心化的網(wǎng)絡(luò)結(jié)構(gòu)而言也具有更高的安全性。

（4）智能合約

智能合約是一種特殊協(xié)議，旨在提供、驗(yàn)證及執(zhí)行合約，它在不需要第三方的情況下，執(zhí)行可追溯、不可逆轉(zhuǎn)和安全的交易。

在智能合約中封裝了預(yù)先設(shè)定的響應(yīng)條件、觸發(fā)條件等內(nèi)容。各個(gè)節(jié)點(diǎn)就所簽署的合約達(dá)成一致后將合約內(nèi)容以代碼的形式嵌入?yún)^(qū)塊鏈中。一旦有滿足合約中相應(yīng)條件或者觸發(fā)條件時(shí)，自動(dòng)激活并且執(zhí)行智能合約。本質(zhì)上，智能合約是一個(gè)數(shù)字合約，除非滿足要求，否則不會(huì)產(chǎn)生結(jié)果。

3 基于區(qū)塊鏈的物聯(lián)網(wǎng)身份認(rèn)證服務(wù)模型及優(yōu)勢(shì)

3.1 身份認(rèn)證服務(wù)模型

大數(shù)據(jù)時(shí)代為信任服務(wù)引入了更多的實(shí)體，如何構(gòu)建泛在電力物聯(lián)網(wǎng)下的身份信任體系[6]十分重要，區(qū)塊鏈系統(tǒng)弱中心化、公開透明、安全可靠的特點(diǎn)為網(wǎng)絡(luò)空間的信任服務(wù)提供了理論基礎(chǔ)。用戶身份屬敏感信息，用戶和應(yīng)用商對(duì)系統(tǒng)有隱私保護(hù)的需求，而身份管理則要加強(qiáng)權(quán)威。從當(dāng)前中心化管理系統(tǒng)面臨的問題出發(fā)，考慮各方需求，系統(tǒng)架構(gòu)不可完全去中心化，也不可完全中心化，因此采用跨域、跨聯(lián)盟的聯(lián)盟鏈框架。該框架可以通過交易過程中的密碼學(xué)處理實(shí)現(xiàn)監(jiān)管。區(qū)塊鏈分布式存儲(chǔ)、不可篡改的特點(diǎn)是使用戶獲得數(shù)據(jù)操作主動(dòng)權(quán)的重要手段，能夠在了解身份提供商、監(jiān)管方、應(yīng)用商利益關(guān)系的基礎(chǔ)上設(shè)計(jì)契合多方需求的解決方案。基于區(qū)塊鏈分布式信任服務(wù)合約機(jī)制，對(duì)通用聯(lián)盟鏈模型[7]進(jìn)行分析，如圖3所示。

服務(wù)層提供基礎(chǔ)區(qū)塊鏈服務(wù)，包含三類邏輯結(jié)構(gòu)分別為區(qū)塊鏈服務(wù)模塊、智能合約服務(wù)模塊、成員管理模塊。其通過系統(tǒng)中的時(shí)間或事件觸發(fā)不同的模塊，比如新節(jié)點(diǎn)加入觸發(fā)成員管理模塊的注冊(cè)功能。

接口層為上層提供基本區(qū)塊鏈操作接口，并設(shè)定了用戶、應(yīng)用、身份提供商、監(jiān)管機(jī)構(gòu)等幾個(gè)實(shí)體，使得接口層能夠?qū)ν馓峁┗旧矸菡J(rèn)證服務(wù)，包括對(duì)應(yīng)用、用戶提供認(rèn)證接口，對(duì)監(jiān)管機(jī)構(gòu)提供監(jiān)管接口，同時(shí)與身份提供商接口對(duì)接，實(shí)現(xiàn)初始身份鑒別及登記。

接口層和服務(wù)層作為信任服務(wù)模型為外部應(yīng)用提供基礎(chǔ)的區(qū)塊鏈服務(wù)，基于該模型將徹底改變現(xiàn)有中心化身份管理體系的現(xiàn)狀，同時(shí)兼顧到用戶隱私保護(hù)需求與監(jiān)管需求。下面以注冊(cè)和認(rèn)證為例進(jìn)行說明。

用戶注冊(cè)流程如圖4所示，認(rèn)證流程如圖5所示。

（1）用戶注冊(cè)流程

1）身份提供商接到用戶通過終端應(yīng)用發(fā)起的注冊(cè)申請(qǐng)。

2）身份提供商選擇注冊(cè)要求，并將本次注冊(cè)的相關(guān)政策發(fā)回用戶。

3）用戶終端產(chǎn)生一對(duì)新公私鑰，該公私鑰對(duì)用戶、身份提供商、區(qū)塊鏈而言是唯一的。

4）用戶按政策要求選擇屬性、本人公鑰及其他自由選擇的屬性等，將其發(fā)回身份提供商，并出示相關(guān)證明材料。

5）身份提供商對(duì)用戶證明材料進(jìn)行驗(yàn)證，通過后保存用戶公鑰及關(guān)聯(lián)用戶，但不在本地保存用戶數(shù)據(jù)，而是對(duì)屬性數(shù)據(jù)進(jìn)行哈希處理和簽名處理，從而得到“證明”。

6）將“證明”發(fā)送到區(qū)塊鏈上進(jìn)行加密存儲(chǔ)。

7）響應(yīng)用戶注冊(cè)成功。

（2）認(rèn)證流程

1）應(yīng)用向用戶發(fā)送隨機(jī)數(shù)挑戰(zhàn)，要求用戶按策略認(rèn)證所需的數(shù)據(jù)。

2）用戶按照認(rèn)證要求的策略在終端選擇之前注冊(cè)時(shí)身份提供商認(rèn)證過的數(shù)據(jù)屬性。

3）用戶對(duì)挑戰(zhàn)值簽名，用公鑰加密應(yīng)用所需的屬性材料，并提供身份提供商的公鑰及關(guān)聯(lián)信息發(fā)送給應(yīng)用。

4）應(yīng)用根據(jù)提供的身份提供商信息，到身份提供商處查找用戶公鑰、關(guān)聯(lián)信息、區(qū)塊鏈“證明”位置信息。

5）身份提供商返回應(yīng)用要求的信息。

6）應(yīng)用自動(dòng)到區(qū)塊鏈查找“證明”信息。

7）應(yīng)用對(duì)用戶提供的認(rèn)證材料進(jìn)行哈希處理，并與用身份提供商公鑰簽名過的區(qū)塊鏈“證明”材料做比對(duì)，以驗(yàn)證認(rèn)證數(shù)據(jù)的有效性。

8）應(yīng)用驗(yàn)證成功后，不在本地存儲(chǔ)用戶數(shù)據(jù)，而是對(duì)用戶提供的有效數(shù)據(jù)進(jìn)行哈希處理并簽名，生成新的“認(rèn)證”材料（帶有時(shí)間戳等元數(shù)據(jù)）并發(fā)送到區(qū)塊鏈做記錄。

9）返回用戶認(rèn)證成功信息。

在注冊(cè)和認(rèn)證協(xié)議中，用戶、應(yīng)用、身份提供商之間的信息交互都通過非對(duì)稱加密技術(shù)來保證價(jià)值傳輸?shù)陌踩裕窗l(fā)送方對(duì)信息先用發(fā)送方私鑰簽名，再用接受方公鑰加密，然后發(fā)送給接收方。接收方接收到信息后先用發(fā)送方公鑰驗(yàn)證，再用接收方私鑰解密。

認(rèn)證步驟2）體現(xiàn)用戶對(duì)自己數(shù)據(jù)的控制和許可。信任傳遞通過區(qū)塊鏈的去中心交換來承諾實(shí)現(xiàn)，體現(xiàn)在認(rèn)證步驟8）中生成本次認(rèn)證的材料被應(yīng)用簽名記錄在區(qū)塊鏈中可供下次其他應(yīng)用對(duì)用戶認(rèn)證時(shí)使用，關(guān)系如圖6所示。

3.2 基于區(qū)塊鏈服務(wù)模型的優(yōu)勢(shì)

由于底層區(qū)塊鏈服務(wù)模型的支持，設(shè)計(jì)兼顧系統(tǒng)各參與方需求的注冊(cè)、認(rèn)證協(xié)議成為可能。借助區(qū)塊服務(wù)模塊增強(qiáng)系統(tǒng)的可靠性、抗攻擊性并實(shí)現(xiàn)分布式用戶數(shù)據(jù)管理。借助智能合約模塊定制特定場(chǎng)景來符合雙方需求的“合同”，用代碼更好地保證公平性。成員管理模塊維持系統(tǒng)各參與方有序進(jìn)行，增加了系統(tǒng)的可擴(kuò)展性。

首先，目前信任服務(wù)機(jī)制還不夠成熟，基于市場(chǎng)需求、身份提供商及身份使用方的利益關(guān)系，以現(xiàn)有信任服務(wù)及身份認(rèn)證為基礎(chǔ)，結(jié)合區(qū)塊鏈的優(yōu)勢(shì)特點(diǎn)，提出基于區(qū)塊鏈的信任服務(wù)模型，使之提供全網(wǎng)統(tǒng)一的信任模型，支持多個(gè)身份提供商的共同接入、多種格式身份的安全認(rèn)證，以及多種身份信息源認(rèn)證方式的融合統(tǒng)一。

然后，所有的認(rèn)證都是點(diǎn)對(duì)點(diǎn)發(fā)生的，用戶數(shù)據(jù)存于手機(jī)終端，區(qū)塊鏈只起到驗(yàn)證作用，管理機(jī)構(gòu)則不用維護(hù)中心化數(shù)據(jù)庫從而節(jié)約了大量成本，因?yàn)檎J(rèn)證的真實(shí)性是由區(qū)塊鏈上所有參與者共同驗(yàn)證和維護(hù)的，所以作為第三方的信用中介失去了價(jià)值。

其次，在聯(lián)盟鏈的框架下，系統(tǒng)間的信息交互不再因?yàn)榧嫒菪院突コ庑詫?dǎo)致部署成本高且連接困難，因?yàn)樗邢到y(tǒng)使用相同的技術(shù)協(xié)議，而參與方之間的認(rèn)證規(guī)則也依照協(xié)議共識(shí)寫入?yún)^(qū)塊鏈作為標(biāo)準(zhǔn)，不得篡改。

最后，區(qū)塊鏈智能合約可編程使得不同場(chǎng)景的管理機(jī)構(gòu)根據(jù)需要使認(rèn)證流程全自動(dòng)化;通過在區(qū)塊鏈嵌入預(yù)設(shè)好的認(rèn)證規(guī)則，達(dá)到預(yù)定條件則自動(dòng)完成，增加了用戶體驗(yàn)并提高了工作效率。

4 結(jié)束語

本文結(jié)合泛在電力物聯(lián)網(wǎng)建設(shè)過程中身份認(rèn)證業(yè)務(wù)需求及區(qū)塊鏈關(guān)鍵技術(shù)，提出了一種基于區(qū)塊鏈的特點(diǎn)及優(yōu)勢(shì)，采用跨域、跨聯(lián)盟的聯(lián)盟鏈框架打造泛在電力物聯(lián)網(wǎng)下的身份認(rèn)證模型，構(gòu)建可信身份信任體系的方案。

文中只是初步提出了如何將區(qū)塊鏈應(yīng)用于泛在電力物聯(lián)網(wǎng)身份認(rèn)證模型與架構(gòu)設(shè)計(jì)，對(duì)于智能設(shè)備、應(yīng)用信息系統(tǒng)中人與物如何具體實(shí)現(xiàn)身份認(rèn)證并未做深入的推究與探討。下一步可以探索如何構(gòu)建身份認(rèn)證服務(wù)或者標(biāo)準(zhǔn)，推動(dòng)“區(qū)塊鏈+身份認(rèn)證”在泛在電力物聯(lián)網(wǎng)建設(shè)過程中的具體落地，還可研究如何在區(qū)塊鏈公開賬本中存儲(chǔ)更多類型的信息，提供更多的服務(wù)，從而挖掘出區(qū)塊鏈技術(shù)在泛在電力物聯(lián)網(wǎng)應(yīng)用場(chǎng)景中的更多潛力。

參考文獻(xiàn)

[1] 陳劍勇，吳桂華.身份管理技術(shù)及其發(fā)展趨勢(shì)[J].電信科學(xué)， 2009，25（02）：35-41.

[2] 胡可欣.FIDO UAF認(rèn)證協(xié)議的安全性研究[D].合肥：中國(guó)科學(xué)技術(shù)大學(xué)，2016.

[3] 袁勇，王飛躍.區(qū)塊鏈技術(shù)發(fā)展現(xiàn)狀與展望[J].自動(dòng)化學(xué)報(bào)， 2016，42（04）：481-494.

[4] 邵奇峰，金澈清，張召，錢衛(wèi)寧，周傲英.區(qū)塊鏈技術(shù)：架構(gòu)及進(jìn)展[J].計(jì)算機(jī)學(xué)報(bào)，2018，41（05）：969-988.

[5] 林巧民.物聯(lián)網(wǎng)安全及隱私保護(hù)中若干關(guān)鍵技術(shù)研究[D].南京：南京郵電大學(xué)，2014.

[6] 李淼，馬楠，周椿入.物聯(lián)網(wǎng)系統(tǒng)應(yīng)用層協(xié)議安全性研究[J].網(wǎng)絡(luò)空間安全，2017，08（12）：40-41.

[7] 朱建明，付永貴.基于區(qū)塊鏈的供應(yīng)鏈動(dòng)態(tài)多中心協(xié)同認(rèn)證模型[J].網(wǎng)絡(luò)與信息安全學(xué)報(bào)，2016，2（01）：27-33.