电力线载波通信设备身份认证及窃听定位方法

技术领域

本发明涉及电力系统技术领域，具体涉及一种电力线载波通信设备身份认证及窃听定位方法。

背景技术

电力线通信（power line communication，PLC）技术目前被广泛应用于我国配电网中，支撑配电自动化、智能数据采集等智能电网业务发展。PLC依托于电力线实现信息传输和数据交换，载波通信设备以广播形式向该电力线上的所有设备进行信息传输，使得攻击者可以通过物理接入获取数据甚至进行虚假数据注入攻击，对数据信息的保密性、完整性造成威胁。

在此背景下，对载波通信设备进行身份认证和对非法接入设备实现识别定位是保证PLC安全的必要手段。目前，对载波通信设备进行身份认证和窃听定位的方案，需要对电力线载波通信网络进行大范围的搜寻，对电力线载波通信网络中非法接入的窃听设备的窃听定位效率较低且可靠性低。

发明内容

本发明为解决上述技术问题，提供了一种电力线载波通信设备身份认证及窃听定位方法，避免了大范围的搜寻窃听设备，能够提高窃听定位的效率且可靠性较高。

本发明采用的技术方案如下：

一种电力线载波通信设备身份认证及窃听定位方法，电力线载波通信网络包括根节点和多个子节点，所述根节点包括主载波通信设备，每个所述子节点包括对应的一个子载波通信设备，所述方法包括以下步骤：S1，采集每个所述子节点的信号；S2，从每个所述子节点的信号中提取节点指纹；S3，根据每个所述子节点的节点指纹和预设节点指纹库中对应的基准节点指纹进行身份认证；S4，如果身份认证不通过，则根据所述多个子节点之间的拓扑关系建立双向链表，并根据所述双向链表进行窃听定位。

另外，根据本发明上述提出的电力线载波通信设备身份认证及窃听定位方法还可以具有如下附加的技术特征：

根据本发明的一个实施例，步骤S2具体包括：对每个所述子节点的信号进行消噪处理；对消噪处理后的信号进行频域变换，提取每个所述子节点在预设信号频段中预设数量的信号频点的幅值和相位，并基于所述预设数量的幅值和相位组成每个所述子节点的节点指纹。

根据本发明的一个实施例，所述预设信号频段为根据信号衰减特性，从每个所述子节点的信号的信号频段中截取适合进行节点指纹提取的信号频段，其中，所述预设信号频段上包含预设数量的信号频点。

根据本发明的一个实施例，所述预设节点指纹库包括每个所述子节点的基准节点指纹，所述基准节点指纹为在所述主载波设备下发组网命令时提取的节点指纹。

根据本发明的一个实施例，在所述主载波设备下发组网命令时，一级子网进行组网，二级子网由静态中继实现组网，同时以主载波设备所在的节点作为树形网络的根节点，识别电力线载波通信网络中每个节点的父节点和子节点，形成树形网络。

根据本发明的一个实施例，步骤S3具体包括：根据每个所述子节点的节点指纹和所述预设节点指纹库中对应的基准节点指纹，计算对应的每个所述子节点的幅值距离和相位距离，得到所有子节点的指纹距离向量，构成指纹距离集合，其中，所述幅值距离和所述相位距离的计算公式为：

其中，

其中，

根据本发明的一个实施例，步骤S4具体包括：根据每个所述子节点的节点指纹和所述预设节点指纹库中对应的基准节点指纹，计算每个所述子节点的节点指纹中的幅值比例的变化和相位偏移，得到每个所述子节点的指纹转移向量；按照遍历原则根据所述多个子节点之间的拓扑关系建立双向链表；从所述根节点轮询访问每个所述子节点，将所述指纹转移变量存储到所述双向链表中；根据所述双向链表，从处于所述双向链表的一端的子节点向所述根节点搜索，进行窃听定位。

根据本发明的一个实施例，在步骤S4中，基于余弦相似度进行窃听定位。

本发明的有益效果：

本发明通过根据每个子节点的节点指纹和预设节点指纹库中对应的基准节点指纹进行身份认证，然后根据多个子节点之间的拓扑关系建立双向链表，并根据双向链表进行窃听定位，避免了大范围的搜寻窃听设备，能够提高窃听定位的效率且可靠性较高。

附图说明

图1为本发明一个具体实施例的电力线载波通信网络的示意图；

图2为本发明一个具体实施例的电力线载波通信网络的树形网络图；

图3为本发明实施例的电力线载波通信设备身份认证及窃听定位方法的流程图；

图4为本发明一个实施例的双向链表存储及指向示意图；

图5为本发明一个具体实施例的电力线载波通信网络子节点编号及未知量分布图；

图6为本发明一个具体实施例的高斯白噪声示意图；

图7为本发明一个具体实施例的窃听设备接入位置示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

在本发明的实施例中，电力线载波通信网络包括根节点和多个子节点，根节点包括主载波通信设备，每个子节点包括对应的一个子载波通信设备。

在本发明的一个实施例中，在主载波设备下发组网命令时，一级子网进行组网，二级子网由静态中继实现组网，同时以主载波设备所在的节点作为树形网络的根节点，识别电力线载波通信网络中每个节点的父节点和子节点，形成树形网络。

在本发明的一个具体实施例中，电力线载波通信网络为配电网如图1所示，根节点T1包括主载波通信设备，子节点T2-T12每个子节点包括一个对应的子载波通信设备，节点T2和T6均布置有静态中继，节点T3是常闭联络开关，节点T7是常开联络开关，

根据该电力线载波通信网络形成的树形网络如图2所示，该电力线载波通信网络通过根节点T1接入到主电网的母线，节点T3和T8为节点T2的子节点，节点T7和T11为节点T6的子节点，图中标示的箭头表示信息上传路径，如节点T11和T12的数据将通过节点T6处的静态中继转发，节点T1-T7构成一级子网，节点T8-T10和节点T11-T12构成两个二级子网。

如图3所示，本发明实施例的电力线载波通信设备身份认证及窃听定位方法，包括以下步骤：

S1，采集每个子节点的信号。

在本发明的一个实施例中，采集电力线载波通信网络中每个子节点的原始信号为电力线上每个子节点的高频信号，由于载波通信是有线通信，且高频信号需要通过滤波器、电容器等设备耦合到电力线上，可以借由子载波通信设备与电力线之间的耦合设备进行高频信号的采集，然后对采集到的高频信号进行滤波，得到每个子节点的信号。

S2，从每个子节点的信号中提取节点指纹。

在本发明的一个实施例中，步骤S2具体可包括：

S21，对每个子节点的信号进行消噪处理。

需要说明的是，由于电力线上的各类电气负载设备会对电力线上的高频信号产生噪声，而且还存在部分外界环境干扰噪声，因此需要对每个子节点的信号进行消噪处理。

在本发明的一个实施例中，可以利用小波消噪算法、噪声对消等对每个子节点的信号中存在的信道传输附加的背景噪音进行消除。

S22，对消噪处理后的信号进行频域变换，提取每个子节点在预设信号频段中预设数量的信号频点的幅值和相位，并基于预设数量的幅值和相位组成每个子节点的节点指纹。

在本发明的一个实施例中，可以根据快速傅里叶变换对消噪处理后的信号进行频域变换，提取幅值和相位计算公式如下：

其中，

在本发明的一个实施例中，预设信号频段可为根据信号衰减特性，从每个子节点的信号的信号频段中截取适合进行节点指纹提取的信号频段，其中，预设信号频段上包含预设数量的信号频点。

在本发明的一个实施例中，可以通过对电力线载波通信网络的信道进行建模得到信号衰减特性。

假设一个电力线载波通信网络中有

在本发明的一个实施例中，适合进行节点指纹提取的信号频段为[

基于预设数量的幅值和相位组成的子节点的节点指纹可以表示为：

其中，幅值和相位对应信号频点的频率满足条件

此时，所有子节点的节点指纹的集合为F={

S3，根据每个子节点的节点指纹和预设节点指纹库中对应的基准节点指纹进行身份认证。

需要说明的是，由于电力线载波通信网络接入了大量的可变负荷，当负荷固定或波动较小时，节点指纹受影响很小，可以通过将每个子节点的节点指纹与预设节点指纹库中对应的基准节点指纹进行简单的指纹比对完成身份认证；当负荷随机波动较大，且具有发生波动的时间存在不确定性时，会对信号的复衰减产生影响，从而影响到子节点的节点指纹，使得节点指纹会在一定的小范围内发生变化，此时简单的指纹比对会造成极大的误检率，于是考虑通过比较指纹距离的变化来进行设备认证。

在本发明的一个实施例中，预设节点指纹库包括每个子节点的基准节点指纹，基准节点指纹为在主载波设备下发组网命令时提取的节点指纹。

在本发明的一个实施例中，当电力线载波通信网络开始运行或者运行方式发生变化时，电力线载波通信网络会重新组网，此时主载波设备下发组网命令，下属的

在本发明的一个实施例中，步骤S3具体可包括以下步骤：

S31，根据每个子节点的节点指纹和预设节点指纹库中对应的基准节点指纹，计算对应的每个子节点的幅值距离和相位距离，得到所有子节点的指纹距离向量，构成指纹距离集合，其中，幅值距离和相位距离的计算公式为：

其中，

此时，一个子节点的指纹距离向量可以表示为

S32，计算指纹距离集合中所有指纹距离向量的幅值距离和相位距离的平均值。

需要说明的是，当电力线载波通信网络中没有窃听设备接入时，节点指纹只会因为负载波动而在极小的范围内变化；而当窃听设备接入时，相当于改变了基于电力线的信道，节点指纹会发生明显的较大的变化，且变化幅度不一。故考虑计算所有指纹距离向量的幅值距离和相位距离的平均值，若指纹距离集合中有元素明显大于或明显小于该均值，则可以认为存在非法接入的窃听设备。

S33，基于身份认证公式进行身份认证，当指纹距离集合内所有指纹距离向量均满足身份认证公式时身份认证通过，否则身份认证不通过，其中，身份认证公式为：

其中，

需要说明的是，如果指纹距离集合内存在指纹距离向量不能满足身份认证公式，则表明指纹距离向量对应的子节点的节点指纹存在相对于其他节点指纹存在明显较大的变化，表明该子节点发生了异常情况，例如子节点附近存在窃听设备接入，此时身份认证不通过。

S4，如果身份认证不通过，则根据多个子节点之间的拓扑关系建立双向链表，并根据双向链表进行窃听定位。

在本发明的一个实施例中，双向链表存储及指向示意图如图4所示，当指针

根据双向链表进行窃听定位时，可以从一级子网的末端子节点开始向根节点移动，计算当前节点与前一节点的指纹转移向量之间余弦相似度S。根据图4说明具体实现方式：将指针

但是当节点

在本发明的一个实施例中，步骤4具体可包括：

S41，根据每个子节点的节点指纹和预设节点指纹库中对应的基准节点指纹，计算每个子节点的节点指纹中的幅值比例的变化和相位偏移，得到每个子节点的指纹转移向量。

需要说明的是，对于有线通信来说，电力线载波通信网络在物理层表现为一个电路，窃听设备接入电力线载波通信网络相当于在既定电路中的某一点并联了一个阻抗，根据电路原理容易得到以下结论：非法设备接入之后附近子节点的节点电压会出现相同的相位偏移和幅值的比例变化，因此可以根据每个子节点的节点指纹中的幅值比例的变化和相位偏移进行窃听定位。

在本发明的一个实施例中，子节点的指纹转移向量

其中，

S42，按照遍历原则根据多个子节点之间的拓扑关系建立双向链表。

S43，从根节点轮询访问每个子节点，将指纹转移变量存储到双向链表中。

S44，根据双向链表，从处于双向链表的一端的子节点向根节点搜索，进行窃听定位。

在本发明的一个实施例中，可以基于余弦相似度进行窃听定位。

需要说明的是，为了判断指纹转移向量间的一致性，可以引入余弦相似度的概念，通过计算两个指纹转移向量的夹角余弦值来评价二者在指向上的相似度，余弦相似度的计算公式如下：

其中，

余弦相似度的数值范围为[-1,1]，当计算获得的余弦相似度为1时，表示两个指纹转移向量指向完全相同，当计算获得的余弦相似度为0时表示二者是独立的，当计算获得的余弦相似度为-1时，表示二者指向完全相反，其余值表示二者一定相似性或相异性。

需要说明的是，在根据双向链表，从处于双向链表的一端的子节点向根节点搜索时，如果计算某个当前子节点与前一子节点的指纹转移向量之间的余弦相似度小于设定的余弦相似度阈值，表明则两个指纹转移向量相异，则认为该当前节点和前一子节点之间的支路上布置有窃听设备，否则继续向根节点方向搜索，直到找到两个相异的指纹转移向量或回溯到根节点为止。

下面结合本发明的一个具体实施例，验证本发明的电力线载波通信设备身份认证及窃听定位方法的有益效果。

电力线载波通信网络如图1所示，根据该电力线载波通信网络建立的树形网路如图2所示，通过对该电力线载波通信网络的信道进行建模，即可求得信号在该电力线载波通信网络中通信的衰减特性。

在该电力线载波通信网络中，电力线单位长度电容

表1

表2

使用Simulink搭建变压器的中频（<1MHz）和高频（>1MHz）模型，并使用其自带的阻抗测量（impedance measurement）模块进行阻抗测量，得到阻抗与频率之间的关系。通过仿真测试，在2MHz下，该变压器模型在满载（160kVA）时的相地耦合等效阻抗为188.1Ω，空载时等效阻抗为204.4Ω。根据仿真结果做出如下假设，如表3所示。

表3

对电力线载波通信网络的信道进行建模，得到如图5所示的各节点及端点的设置下，通过建立69个方程，得到共70个未知量任意2个未知量之间的比值关系，从而得到信号在电力线载波通信网络中通信的衰减特性，即信号衰减特性。图中，T1为根节点，T2-T12为子节点，U

假设消噪后的信号的信噪比为25dB。仿真中在主载波设备发出的信号上附加上一个高斯白噪声，来模拟消噪后的信号噪声，高斯白噪声示意图如图6。

根据信号衰减特性，从每个子节点的信号的信号频段中截取适合进行节点指纹提取的信号频段，其中，预设信号频段上包含预设数量的信号频点，在本实施例中预设信号频段的信号频点为2MHz、3MHz和5MHz。

进行正常场景的仿真，以获得预设节点指纹库：在仿真时设置12组负载变化组合，采集一级子网中6个子节点的节点指纹，共计12组。计算其平均值作为基准节点指纹记入预设节点指纹库，如表4所示。

表4

表5所示是一组在正常场景下采集到的节点指纹。计算其与预设节点指纹库中对应的基准节点指纹的幅值距离和相位距离于表6中。计算其平均值为[0.006059034,0.289383667]。由于设置的合法阈值系数为[0.25,2]，因此该组子节点的节点指纹均在合法范围内，身份认证通过。

表5

表6

然后进行窃听场景的仿真，设置两种窃听接入位置：一是在一级子网中的任意两个相邻节点间非法接入窃听设备1号；二是在二级子网中的任意两个相邻节点间非法接入窃听设备2号。在本实施例中共计仿真了11个窃听场景，图7中展示了在图1所示的电力线载波通信网络中可能出现的两个窃听场景中非法接入窃听设备的位置，图中，在节点T8、T9、T10处标注“*”并在节点T11和T12处标注“’”表明这五个节点分别属于两个不同的二级子网。

在11个窃听场景中，对窃听设备设置相同的接入位置，同样对12组负载波动组合进行仿真，得到121组节点指纹。又对同一组负载设置6种不同窃听设备的接入位置，得到66组节点指纹。综上共得到187组窃听场景的节点指纹。

下面举例说明窃听设备设置与两种不同的窃听接入位置时，窃听定位的具体过程。

在某个窃听场景下，窃听设备接入在一级子网中的任意两个相邻节点间，表7所示该窃听场景下采集到的子节点的幅值距离和相位距离。计算其平均值为[0.150213239,9.398440131]，这组指纹距离集合中存在有指纹距离向量中的元素为合法范围外的异常距离，即该元素无法满足身份认证公式，因此身份认证不通过，需要进行窃听设备分区定位。

表7

窃听定位时，对照预设节点指纹库，计算每个节点指纹的指纹转移向量ΔZ，如表8所示。按照一级子网和二级子网的树形网络以双向链表的结构存储指纹转移向量，树形网络的树枝信息如表9所示。

表8

/>

表9

将双向链表的指针

在另一窃听场景下，窃听设备接入在二级子网中的任意两个相邻节点间。当窃听定位已定位到窃听设备在子节点T5和T6之间时，由于子节点T6同时又是二级子网的主节点，窃听设备可能存在于支路

表10

仿真结果表明，根据本发明的电力线载波通信设备身份认证及窃听定位方法进行仿真，对187组窃听场景下节点指纹的窃听检测正确率为98.93%，即98.93%的窃听场景下的节点指纹没有通过身份认证，检测出电力线载波通信网络存在窃听设备。对被判为存在窃听设备的185组指纹的窃听定位的正确率为99.46%。这表明本发明的电力线载波通信设备身份认证及窃听定位方法在进行窃听定位，可以通过根据多个子节点之间的拓扑关系沿着双向链表进行窃听定位，避免了大范围的搜寻窃听设备，提高了窃听定位的效率且可靠性较高。

本发明通过根据每个子节点的节点指纹和预设节点指纹库中对应的基准节点指纹进行身份认证，然后根据多个子节点之间的拓扑关系建立双向链表，并根据双向链表进行窃听定位，避免了大范围的搜寻窃听设备，能够提高窃听定位的效率且可靠性较高。

在本发明的描述中，术语“第一”、“第二”仅用于描述目的，而不能理解为指示或暗示相对重要性或者隐含指明所指示的技术特征的数量。由此，限定有“第一”、“第二”的特征可以明示或者隐含地包括一个或者更多个该特征。“多个”的含义是两个或两个以上，除非另有明确具体的限定。

在本发明中，除非另有明确的规定和限定，术语“安装”、“相连”、“连接”、“固定”等术语应做广义理解，例如，可以是固定连接，也可以是可拆卸连接，或成一体；可以是机械连接，也可以是电连接；可以是直接相连，也可以通过中间媒介间接相连，可以是两个元件内部的连通或两个元件的相互作用关系。对于本领域的普通技术人员而言，可以根据具体情况理解上述术语在本发明中的具体含义。

在本发明中，除非另有明确的规定和限定，第一特征在第二特征“上”或“下”可以是第一和第二特征直接接触，或第一和第二特征通过中间媒介间接接触。而且，第一特征在第二特征“之上”、“上方”和“上面”可是第一特征在第二特征正上方或斜上方，或仅仅表示第一特征水平高度高于第二特征。第一特征在第二特征“之下”、“下方”和“下面”可以是第一特征在第二特征正下方或斜下方，或仅仅表示第一特征水平高度小于第二特征。

在本说明书的描述中，参考术语“一个实施例”、“一些实施例”、“示例”、“具体示例”、或“一些示例”等的描述意指结合该实施例或示例描述的具体特征、结构、材料或者特点包含于本发明的至少一个实施例或示例中。在本说明书中，对上述术语的示意性表述不必针对相同的实施例或示例。而且，描述的具体特征、结构、材料或者特点可以在任一个或多个实施例或示例中以合适的方式结合。此外，在不相互矛盾的情况下，本领域的技术人员可以将本说明书中描述的不同实施例或示例以及不同实施例或示例的特征进行结合和组合。

流程图中或在此以其他方式描述的任何过程或方法描述可以被理解为，表示包括一个或更多个用于实现特定逻辑功能或过程的步骤的可执行指令的代码的模块、片段或部分，并且本发明的优选实施方式的范围包括另外的实现，其中可以不按所示出或讨论的顺序，包括根据所涉及的功能按基本同时的方式或按相反的顺序，来执行功能，这应被本发明的实施例所属技术领域的技术人员所理解。

在流程图中表示或在此以其他方式描述的逻辑和/或步骤，例如，可以被认为是用于实现逻辑功能的可执行指令的定序列表，可以具体实现在任何计算机可读介质中，以供指令执行系统、装置或设备（如基于计算机的系统、包括处理器的系统或其他可以从指令执行系统、装置或设备取指令并执行指令的系统）使用，或结合这些指令执行系统、装置或设备而使用。就本说明书而言，“计算机可读介质”可以是任何可以包含、存储、通信、传播或传输程序以供指令执行系统、装置或设备或结合这些指令执行系统、装置或设备而使用的装置。计算机可读介质的更具体的示例（非穷尽性列表）包括以下：具有一个或多个布线的电连接部（电子装置），便携式计算机盘盒（磁装置），随机存取存储器（RAM），只读存储器（ROM），可擦除可编辑只读存储器（EPROM或闪速存储器），光纤装置，以及便携式光盘只读存储器（CDROM）。另外，计算机可读介质甚至可以是可在其上打印所述程序的纸或其他合适的介质，因为可以例如通过对纸或其他介质进行光学扫描，接着进行编辑、解译或必要时以其他合适方式进行处理来以电子方式获得所述程序，然后将其存储在计算机存储器中。

应当理解，本发明的各部分可以用硬件、软件、固件或它们的组合来实现。在上述实施方式中，多个步骤或方法可以用存储在存储器中且由合适的指令执行系统执行的软件或固件来实现。例如，如果用硬件来实现，和在另一实施方式中一样，可用本领域公知的下列技术中的任一项或他们的组合来实现：具有用于对数据信号实现逻辑功能的逻辑门电路的离散逻辑电路，具有合适的组合逻辑门电路的专用集成电路，可编程门阵列（PGA），现场可编程门阵列（FPGA）等。

本技术领域的普通技术人员可以理解实现上述实施例方法携带的全部或部分步骤是可以通过程序来指令相关的硬件完成，所述的程序可以存储于一种计算机可读存储介质中，该程序在执行时，包括方法实施例的步骤之一或其组合。

此外，在本发明各个实施例中的各功能单元可以集成在一个处理模块中，也可以是各个单元单独物理存在，也可以两个或两个以上单元集成在一个模块中。上述集成的模块既可以采用硬件的形式实现，也可以采用软件功能模块的形式实现。所述集成的模块如果以软件功能模块的形式实现并作为独立的产品销售或使用时，也可以存储在一个计算机可读取存储介质中。

尽管上面已经示出和描述了本发明的实施例，可以理解的是，上述实施例是示例性的，不能理解为对本发明的限制，本领域的普通技术人员在本发明的范围内可以对上述实施例进行变化、修改、替换和变型。