(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202111454706.1 (22)申请日 2021.12.01 (71)申请人 江苏省电力试验研究院有限公司 地址 211100 江苏省南京市江宁区帕威尔 路1号 申请人 国网江苏省电力有限公司电力科 学 研究院 (72)发明人 曾飞　杨雄　杨景刚　袁晓冬　 史明明　孙健　肖小龙　苏伟　 司鑫尧　 (74)专利代理 机构 南京纵横知识产权代理有限 公司 32224 专利代理师 许婉静 (51)Int.Cl. H04L 9/40(2022.01)H04L 9/32(2006.01) G06F 16/27(2019.01) G06F 21/62(2013.01) (54)发明名称 一种面向配电物联网的边缘层数据安全防 护方法、 系统及存 储介质 (57)摘要 本发明公开了一种面向配电物联网的边缘 层数据安全防护方法、 系统及存储介质， 方法包 括创建环 签名组， 在CryptoNote协议中采用一次 性使用的环签名和密钥图像作为标记为用户提 供隐身地址协议； 设计了边缘层分布式电力数据 存储架构， 利用环 签名和CryptoNote协议加密边 设备存储节 点间的交互数据， 并实现双方身份认 证； 基于区块链智能合约实现分布式电力数据安 全存储系统中节点间的数据共享。 本发明分布式 存储电力数据可以克服集中式存储的安全隐患， 通过区块链和各种加密技术提高了数据存储的 安全性和高效性， 同时在区块链的智能合约保证 了存储数据的高效安全 共享。 权利要求书4页 说明书6页 附图1页 CN 114615006 A 2022.06.10 CN 114615006 A 1.一种面向配电物联网的边 缘层数据安全防护方法， 其特 征在于， 包括以下步骤： 创建环签名组， 在CryptoNote协议中设计一次性使用的环签名和密钥图像作为标记， 为用户提供隐身地址协议； 建立边缘层分布式电力数据存储架构， 利用环签名和CryptoNote协议加密边设备存储 节点间的交 互数据， 并进行 数据交互节点双方身份认证； 利用区块链中的智能合约进行分布式电力数据安全 存储系统中节点间的数据共享。 2.根据权利要求1所述的面向配电物联网的边缘层数据安全防护方法， 其特征在于， 创 建环签名组的具体过程如下： 1)构建签名， 即Signφ(ms， Ps， Pk1， Pk2，…， Pkn)， 签名由每个消息ms的公钥(Ps， Pk1， Pk2， ...， Pkn)组成， 并与签名者的私钥Ps相关联以产生签名φ， Pkn为第n个成员的签名， n为 签名者的数量； 2)验证签名， 即φVerify(ms， φ)， 由所有可能的签名者的公钥以及消息ms组成， 输出 结果是真或假， m s表示消息； CryptoNote协议提供一次性使用的环签名和密钥图像作 为标记， 所述密钥图像提供有 关具有特定签名φn的存储交互信息， 根据接收者 的随机数据(A， B)与发送者的随机数据r 相关联得出签名值P为： P＝Hs(rA)G+B 其中Hs是加密散列函数， G是基点， 接收者的随机数据由发送者通过安全通道询问接收 者获得； A、 B分别是 随机数据一和随机数据二， 接收者使用其私钥(a， b)检查 收到的存储交 互数据， 并获得认证值P ′为： P′＝Hs(aR)G+b R表示认证权 重， 最后接收者可以回复对应的一次性密钥x为： x＝Hs(aR)+b 由于接收者收到的消息与 一次性密钥关联， 因此CryptoNote协议的数据存储交互对于 攻击者而言为 不可追踪。 3.根据权利要求1所述的面向配电物联网的边缘层数据安全防护方法， 其特征在于， 所 述隐身地址的生成过程 为： 1)成员一生成一个父密钥对与临时密钥一共同组成一 次性添加密钥一， 并将一次性添 加密钥一发布， 发布的一次性添加密钥一称为隐身地址， 所述父密钥对包括父代公钥和父 代私钥； 2)成员二接收一次性添加密钥一， 且自身生成一个临时密钥二， 成员一的一次性添加 密钥一和成员二自身生成的临时密钥二结合生成一次性添加密钥二， 即一次性存储交互地 址二， 所述 一次性存 储交互地址二由门限置换生成。 4.根据权利要求1所述的面向配电物联网的边缘层数据安全防护方法， 其特征在于： 分 布式电力数据安全存储系统中， 电力用户通过端设备将存储请求传至边设备， 所述边设备 包括智能融合终端、 物联代理装置， 每个边设备拥有若干个存储节点， 组合成数据聚合器， 边设备收到存储请求后将需求传至各自的存储节点， 存储节点进行应答， 整个存储过程记 录于区块链中， 数据分布式存 储利用区块链的多 级加密服 务。 5.根据权利要求4所述的面向配电物联网的边缘层数据安全防护方法， 其特征在于： 在权　利　要　求　书 1/4 页 2 CN 114615006 A 2加密服务中， 加密存 储过程如下： 1)电力用户向边设备传输存储需求， 即从分布式存储节点中选取一个节点进行数据存 储， 如果存储需求发出， 则 设定时间内不再向别的节点传输请求， 存储节点接 收请求后， 传 输需要存 储的电力数据； 2)如果存储节点接收请求， 则存储节点提供相应的存储服务给请求发出方， 即电力用 户， 并且提供存储服务的顺序满足请求发出时间的前后顺序， 当收到确认消息即进行数据 传输； 3)将存储节点完成数据存储的记录上传至区块链， 所述区块链 由多个区块构成， 每个 区块包括区块头和区块体， 根据预设的评价标准， 由边设备或者电力用户对存储过程进行 信用评价， 根据评价结果对 存储节点的性能进行相应的评估。 6.根据权利要求 4所述的面向配电物联网的边 缘层数据安全防护方法， 其特 征在于： 在分布式数据存储系统中， 设置有一个环签名组， 环签名组包括智能电力设备、 用户和 存储节点， 如新成员的公钥为已知， 则基于成员公钥的加密构造一环签名组： 式中， yn＝fn(xn)， 其中fn由扩展的门限排列函数定义， fn(xn)在{0， 1}b上扩展为 存储数据由b位数ω＝lin+qi组成， 因此， 扩展的门限排列函数fi(ω)的值 表示为： 式中， qi是发送者产生的随机数， li是接收者产生的随机 数， n是签名者数量， xi…xn为函 数的自变量； 表示布尔运 算； mod表示取模运 算； 中间变量ω＝ lin+qi。 7.根据权利要求4所述的面向配电物联网的边缘层数据安全防护方法， 其特征在于： 利 用智能合约的数据共享 步骤如下： 1)数据共享的请 求Req是数据存储节点Np发出， 由存储节点Nq接收， 所述请 求Req中包括 访问地址、 时间与频次信息； 存储节点Nq针对存储节点Np制定访问约束条件 Con再授权访问， 并将访问地址、 时间与频次、 约束条件信息的私钥SKPID发送给邻近集 合器Bj： Nq→Np: Np→Bj: 式中， t为时间戳， Cert为证书， fPK为使用实体的公钥加密信息， PK为公钥， SK为私钥， Mes表示存储的数据； 为存储节点的公钥加密信息； 为集合器的公钥加密信息； Con 表示访问约束条件； s是作为实际签名者的成员的顺序； 2)集合器Bj验证信息后根据存储节点设定的约束条件执行智能合约， 按照已有的密钥 将脚本锁定， 然后将共享数据包 进行解密， 同时利用公钥 加密环签名， 之后输出共享数权　利　要　求　书 2/4 页 3 CN 114615006 A 3