一種智能電表的隱私保護(hù)方案

◆吳聯(lián)大 鄧 攀 莫凌峰 楊詩(shī)清

?

一種智能電表的隱私保護(hù)方案

◆吳聯(lián)大 鄧 攀 莫凌峰 楊詩(shī)清

(南華大學(xué)電氣工程學(xué)院 湖南 421001)

智能電表是智能電網(wǎng)中最重要的用戶側(cè)設(shè)備，然而其大規(guī)模應(yīng)用正面臨著數(shù)據(jù)隱私問(wèn)題的挑戰(zhàn)。本文設(shè)計(jì)了一種智能電表的隱私保護(hù)方案，該方案利用對(duì)稱同態(tài)加密算法來(lái)有效地保護(hù)用電數(shù)據(jù)的機(jī)密性和完整性，并通過(guò)數(shù)據(jù)安全聚合保護(hù)用戶隱私。最后，通過(guò)軟件仿真驗(yàn)證了該方案在計(jì)算開銷上的優(yōu)越性。

智能電表；同態(tài)加密；隱私保護(hù)

0 引言

智能電網(wǎng)中，由智能電表、廣域通信網(wǎng)絡(luò)及相關(guān)管理系統(tǒng)共同組成的系統(tǒng)稱為高級(jí)量測(cè)體系（Advanced Metering Infrastructure, AMI），負(fù)責(zé)用戶用電數(shù)據(jù)的測(cè)量、收集和運(yùn)用。用戶側(cè)的智能電表需要每數(shù)分鐘采集一次實(shí)時(shí)用電數(shù)據(jù)并將其發(fā)送至電力企業(yè)以供運(yùn)營(yíng)和管理之需。然而已有研究表明，對(duì)實(shí)時(shí)用電數(shù)據(jù)的分析可能暴露用戶日常行為習(xí)慣等隱私信息[1]。

目前，已有許多文獻(xiàn)提出了用電數(shù)據(jù)的隱私保護(hù)技術(shù)。這些技術(shù)分為身份隱私保護(hù)技術(shù)和數(shù)據(jù)隱私保護(hù)技術(shù)兩大類[2]。前者的目標(biāo)是，電力企業(yè)或其他實(shí)體可以知曉智能電表的實(shí)時(shí)用電數(shù)據(jù)，但無(wú)法把數(shù)據(jù)和某一確定電表對(duì)應(yīng)起來(lái)；后者則正好相反，智能電表的身份可以被公開，但單一智能電表的用電數(shù)據(jù)應(yīng)確保不被外部目標(biāo)竊聽或截取，也不能被電力企業(yè)直接訪問(wèn)。數(shù)據(jù)隱私保護(hù)的關(guān)鍵在于，不僅要對(duì)智能電表的實(shí)時(shí)用電數(shù)據(jù)進(jìn)行加密，還要將數(shù)據(jù)以某種方式合并從而隱藏單一用戶信息，通常稱之為安全聚合。安全聚合一般通過(guò)具備加法同態(tài)性的加密算法來(lái)實(shí)現(xiàn)，即在不經(jīng)過(guò)解密的情況下計(jì)算若干電表的用電數(shù)據(jù)之和，從而隱藏單一電表數(shù)據(jù)，實(shí)現(xiàn)隱私保護(hù)。

很多數(shù)據(jù)隱私保護(hù)方案[3-6]均應(yīng)用了具有加法同態(tài)性的非對(duì)稱加密算法，如著名的Paillier[7]密碼系統(tǒng)。然而，非對(duì)稱加密算法的運(yùn)算復(fù)雜度往往較高，可能不適合成本和處理能力有限的智能電表。與之相比，本文基于Cheon等人[8]提出的對(duì)稱同態(tài)加密算法設(shè)計(jì)了一種智能電表隱私保護(hù)方案，其加密和解密只需要使用模乘法及加法運(yùn)算，可有效降低運(yùn)算復(fù)雜度。

1 智能電表隱私保護(hù)方案

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

本文的研究對(duì)象是一個(gè)具備用電信息自動(dòng)采集功能的住宅小區(qū)，或者稱為一個(gè)簡(jiǎn)化的AMI網(wǎng)絡(luò)，如圖1所示。該網(wǎng)絡(luò)主要包含以下三類實(shí)體：

（1）控制中心(Control Center)，包含主控系統(tǒng)、前端服務(wù)器、存儲(chǔ)服務(wù)器等一系列設(shè)備。其作用是接收并處理收集到的用戶用電信息，以及將各類信息和命令發(fā)送至智能電表?？刂浦行囊沧鳛槊荑€服務(wù)器負(fù)責(zé)通信密鑰的分發(fā)、撤銷和更新，或可將此功能交付可信任第三方(Trusted Third Party, TTP)。

（2）集中器(Local Aggregator)，是安裝于小區(qū)內(nèi)的專用采集設(shè)備。根據(jù)覆蓋范圍不同，一個(gè)小區(qū)內(nèi)可以安裝一個(gè)或多個(gè)集中器。集中器的作用是采集小區(qū)用戶的用電數(shù)據(jù)（主要包括實(shí)時(shí)用電數(shù)據(jù)、賬單信息、智能用電策略等），并通過(guò)專用通信信道傳輸給控制中心，以及下發(fā)或執(zhí)行控制中心的管理命令。

（3）智能電表(Smart meter)，安裝在小區(qū)用戶側(cè)的終端設(shè)備。智能電表的主要功能之一是記錄、存儲(chǔ)用戶的實(shí)時(shí)用電數(shù)據(jù)，并將其發(fā)送至集中器。另一方面，智能電表可以自動(dòng)或由用戶手動(dòng)執(zhí)行集中器下發(fā)的各類管理命令。

出于建設(shè)成本的考慮，集中器一般采用無(wú)線通信方式覆蓋小區(qū)內(nèi)所有智能電表，可以視為一個(gè)微型基站。根據(jù)用戶環(huán)境特性的不同，集中器與控制中心間可以使用光纖、4G、電力線載波等技術(shù)進(jìn)行通信。在本文中，所有的無(wú)線信道被視為不安全的，即可能被竊聽或攻擊。

圖1 簡(jiǎn)化的AMI網(wǎng)絡(luò)

1.2 方案初始化

在數(shù)據(jù)通信開始前，需要進(jìn)行方案初始化，包括以下步驟：

（1）控制中心選擇安全參數(shù)Q和sk，以及用于HMAC算法的驗(yàn)證密鑰ak。

Q：消息空間范圍，其大小視具體需求而定。每一條明文消息可以表示為位于(-Q/2.Q/2]的整數(shù)。

sk：通信密鑰，sk={N, p1, p2, q1, q2}。這里，p1和p2為兩個(gè)η位的大質(zhì)數(shù)，且和Q互質(zhì)；N為p1和p2的乘積；q1是一個(gè)1到N之間，模p1為1且模p2為0的整數(shù)，即：

類似地可以定義q2。

ak：驗(yàn)證密鑰，為一滿足長(zhǎng)度要求的隨機(jī)二進(jìn)制串。

（2）智能電表Mi(i=1,2,..n)向控制中心發(fā)起設(shè)備注冊(cè)請(qǐng)求。注冊(cè)時(shí)可以使用指紋識(shí)別，智能卡等方式來(lái)驗(yàn)證戶主本人身份，并通過(guò)電表內(nèi)置的初始密鑰來(lái)確保此次通信的安全性[6]。注冊(cè)完成后，Mi將獲得設(shè)備身份標(biāo)識(shí)IDi，通信密鑰sk和驗(yàn)證密鑰ak。

1.3 數(shù)據(jù)通信流程

智能電表的數(shù)據(jù)通信流程包括以下步驟：

（1）生成用電數(shù)據(jù)。在一天當(dāng)中的固定時(shí)刻，智能電表Mi生成本時(shí)段用電數(shù)據(jù)di={IDi, ci, ts}。其中IDi為設(shè)備身份標(biāo)識(shí)，ci為本時(shí)段用電量，ts為采集時(shí)間。后續(xù)計(jì)算要求ci為整數(shù)，為此可將其小數(shù)點(diǎn)向右移動(dòng)一個(gè)固定的位數(shù)；

（2）數(shù)據(jù)加密。在(-2ρ, 2ρ)范圍內(nèi)選擇隨機(jī)整數(shù)ri，這里ρ為大于η的整數(shù)，且相差一定距離。計(jì)算密文：

（3）生成消息驗(yàn)證碼。使用密文ei，采集時(shí)間ts和驗(yàn)證密鑰ak計(jì)算：

（4）Mi將{IDi, ei, maci, ts}發(fā)送至集中器。

集中器的數(shù)據(jù)通信流程包括以下步驟：

（1）將接收到的采集時(shí)間ts和本地時(shí)間對(duì)比，若匹配則接受數(shù)據(jù)，否則丟棄數(shù)據(jù)；

（2）用ei和ts重新計(jì)算maci，若匹配則接受數(shù)據(jù)；否則，丟棄數(shù)據(jù)，記錄IDi并向服務(wù)中心發(fā)送警告消息。

（3）將數(shù)據(jù)進(jìn)行安全聚合。即計(jì)算：

然后，使用安全信道將esum發(fā)送至控制中心。

控制中心使用sk進(jìn)行解密。即計(jì)算：

由剩余定理易知：

即解密結(jié)果為整個(gè)小區(qū)的本時(shí)段用電總量。

縱觀整個(gè)數(shù)據(jù)通信流程可見，直接和隱私相關(guān)的單一用戶用電數(shù)據(jù)ci經(jīng)加密后最遠(yuǎn)僅到達(dá)集中器。集中器不具備解密的能力，因?yàn)榘踩酆喜⒉恍枰ㄐ琶荑€sk?？刂浦行碾m然具備解密能力，但解密后只能獲知小區(qū)用電總量csum，并不能由此推斷出單一用戶用電數(shù)據(jù)。因此，單一用戶的用電數(shù)據(jù)隱私得到了保護(hù)。

2 安全性分析

除了對(duì)用電數(shù)據(jù)隱私的保護(hù)以外，本文提出方案還包括以下幾個(gè)方面的安全性：

2.1 用電數(shù)據(jù)的機(jī)密性

機(jī)密性即所有的受保護(hù)數(shù)據(jù)不應(yīng)被未授權(quán)實(shí)體所訪問(wèn)，如竊聽者等。在通信密鑰不泄露的情況下，這直接依賴于加密算法的安全性。本文采用算法的安全性依賴于co-ACD(co-Approximate Common Divisor)問(wèn)題在數(shù)學(xué)上的難解性，也就是說(shuō)如果存在一種算法能高效地求出co-ACD問(wèn)題的解，那么算法就是不安全的。Chen[9]和Coron[10]提出了對(duì)co-ACD問(wèn)題的一些攻擊方式，而Cheon[8]指出合理的參數(shù)選擇仍然可以保證該算法的安全性。同時(shí)，為進(jìn)一步提高方案的安全性，算法的安全參數(shù)應(yīng)當(dāng)作定期更新。

2.2 用電數(shù)據(jù)的完整性

完整性主要通過(guò)消息驗(yàn)證碼算法HMAC來(lái)保證，而HMAC的安全性主要依賴于驗(yàn)證密鑰，即只要驗(yàn)證密鑰不泄露，可以認(rèn)為所有的消息驗(yàn)證碼是可靠的。同樣為提高安全性，應(yīng)當(dāng)定期更新驗(yàn)證密鑰。應(yīng)當(dāng)指出的是本方案采用HMAC是因?yàn)槠湓谟?jì)算和通信開銷上都具有優(yōu)勢(shì)；一些數(shù)字簽名算法可以提供更好的安全性能，但會(huì)引入額外的計(jì)算和通信開銷。

2.3 應(yīng)對(duì)重放攻擊

重放攻擊是指截取網(wǎng)絡(luò)中合法數(shù)據(jù)包并在一定時(shí)間后在網(wǎng)絡(luò)中重傳以干擾系統(tǒng)運(yùn)行。本方案在數(shù)據(jù)中加入了采集時(shí)間并用于生成消息驗(yàn)證碼，從而過(guò)時(shí)數(shù)據(jù)包的消息驗(yàn)證碼將不會(huì)被接受，可以在一定程度上防止重放攻擊。

3 性能分析

由于加解密運(yùn)算是方案中計(jì)算開銷的主要部分，這里從加解密的計(jì)算開銷方面來(lái)分析方案的性能。本文方案所使用算法是一種快速的對(duì)稱同態(tài)加密算法，在加解密過(guò)程中的復(fù)雜運(yùn)算相對(duì)較少。表1列出了本文方案與經(jīng)典的Paillier算法之間的密碼學(xué)運(yùn)算次數(shù)比較。

表1 密碼學(xué)運(yùn)算次數(shù)比較

由表1可見，本文方案的一大優(yōu)勢(shì)是加密和解密過(guò)程均無(wú)需進(jìn)行模指數(shù)運(yùn)算，而大整數(shù)的模指數(shù)運(yùn)算正是影響計(jì)算開銷的主要因素。

最后，通過(guò)軟件仿真程序驗(yàn)證方案實(shí)際性能。仿真程序運(yùn)行的硬件和軟件環(huán)境是Intel Core 2 Duo T9400 CPU, 3GB內(nèi)存，JDK 7.0。表2列出了本文方案與Paillier算法在幾種不同安全參數(shù)下的加解密運(yùn)算時(shí)間比較。這里消息空間范圍Q取2256，即32字節(jié)；安全參數(shù)在本文方案中指模數(shù)N的位數(shù)2η，也作為Paillier算法中的公鑰長(zhǎng)度；隨機(jī)整數(shù)ei的長(zhǎng)度取ρ=η+256。

表2 加解密運(yùn)算時(shí)間比較

由表2可見，本文方案的加解密時(shí)間確實(shí)遠(yuǎn)小于Paillier算法。進(jìn)一步地，對(duì)于其他需要使用模指數(shù)運(yùn)算的算法而言，可以認(rèn)為本文方案在計(jì)算開銷上更具有優(yōu)勢(shì)。

4 結(jié)論

智能電表作為智能電網(wǎng)用戶側(cè)不可或缺的設(shè)備，其應(yīng)用和推廣中必須要解決的一個(gè)問(wèn)題就是隱私保護(hù)問(wèn)題。本文為解決此問(wèn)題設(shè)計(jì)了一種智能電表隱私保護(hù)方案，利用具有加法同態(tài)性質(zhì)的對(duì)稱加密算法對(duì)用戶實(shí)時(shí)用電數(shù)據(jù)進(jìn)行加密和安全聚合來(lái)保護(hù)用戶隱私。安全性分析和軟件仿真表明，該方案在實(shí)現(xiàn)用電數(shù)據(jù)隱私保護(hù)的同時(shí)，具有較好的安全性和較低的計(jì)算開銷，尤其適用于處理能力有限的智能電表設(shè)備。

[1]Khurana H, Hadley M, Lu N, et al.Smart-Grid Security Issues[J].IEEE Security & Privacy，2010.

[2]田秀霞，李麗莎，孫超超等.面向智能電表的隱私保護(hù)技術(shù)綜述[J].華東師范大學(xué)學(xué)報(bào)(自然科學(xué)版)，2015.

[3]Yu C M,Chen C Y,Kuo S Y,et al.Privacy-Preserving Power Request in Smart Grid Networks[J].IEEE Systems Journal，2014.

[4]Deng P,Yang L.A secure and privacy-preserving communication scheme for Advanced Metering Infrastructure[C]//IEEE Pes Innovative Smart Grid Technologies.IEEE Computer Society，2012.

[5]翟峰，徐薇，馮云，孫毅.面向智能電表隱私保護(hù)方案的改進(jìn)Paillier算法設(shè)計(jì)[J].電力信息與通信技術(shù)，2016.

[6]鄧攀，韓光輝，范波等.一種智能電表的安全通信方案[J].電力信息與通信技術(shù)，2015.

[7]Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//International Conference on Theory and Application of Cryptographic Techniques. Springer-Verlag，1999.

[8]Cheon J H,Lee H T,Seo J H.A New Additive Homomorphic Encryption based on the co-ACD Problem[C]// ACM，2014.

[9]Chen Y,Nguyen P Q.Faster algorithms for approximate common divisors: breaking fully-homomorphic-encryption challenges over the integers[C]//International Conference on the Theory and Applications of Cryptographic Techniques.Springer, Berlin, Heidelberg，2012.

[10]Coron J,Naccache D,Tibouchi M.Public Key Compression and Modulus Switching for Fully Homomorphic Encryption over the Integers[M]//Advances in Cryptology – EUROCRYPT 2012.Springer Berlin Heidelberg，2012.

2016年度湖南省大學(xué)生研究性學(xué)習(xí)和創(chuàng)新性實(shí)驗(yàn)計(jì)劃項(xiàng)目（編號(hào)965）。