智能電網(wǎng)中隱私保護(hù)狀態(tài)估計(jì)的數(shù)據(jù)混淆算法

陳 倩，高鈺瑩，易 松

(昆明理工大學(xué) 信息工程與自動化學(xué)院，云南 昆明 650500)

隨著社會的發(fā)展，智能電網(wǎng)(Smart Grid，SG)已成為電網(wǎng)未來發(fā)展的趨勢。通過電網(wǎng)的智能化，不僅可以更有效地使用電力，減少能源生產(chǎn)對環(huán)境的影響，還能夠整合個(gè)人生成的再生能源，建立電動汽車等[1-2]。目前正在實(shí)施的SG計(jì)劃為先進(jìn)的計(jì)量基礎(chǔ)設(shè)施(Advanced Metering Infrastructure，AMI)，它提供公用事業(yè)公司與消費(fèi)者智能電表(Smart Meter，SM)之間的雙向通信。公用事業(yè)公司可以使用這種基礎(chǔ)設(shè)施短期監(jiān)控電力需求，提供更準(zhǔn)確的計(jì)費(fèi)，并利用動態(tài)定價(jià)促使峰值需求降低[3-4]。一般情況下，可利用基于IEEE 802.15.4或IEEE 802.11s標(biāo)準(zhǔn)的無線網(wǎng)狀網(wǎng)絡(luò)(Wireless Mesh Network，WMN)來確保雙向AMI通信。

對細(xì)粒度儀表數(shù)據(jù)進(jìn)行收集處理時(shí)，存在用戶敏感信息泄露問題。為了有效保護(hù)用戶隱私，常使用以下3種方式：(1)使細(xì)粒度儀表數(shù)據(jù)匿名化；(2)掩蓋或模糊個(gè)人消費(fèi)；(3)僅關(guān)注保護(hù)與威脅通信網(wǎng)絡(luò)中的儀表數(shù)據(jù)[5]。但是以上幾種方式的使用，雖然有效的保護(hù)了隱私信息，但也大幅減小了公用事業(yè)公司執(zhí)行電網(wǎng)的分布狀態(tài)估計(jì)、計(jì)費(fèi)和動態(tài)定價(jià)的能力。

為了有效實(shí)現(xiàn)電網(wǎng)的隱私保護(hù)和狀態(tài)估計(jì)，本文提出一種儀表數(shù)據(jù)混淆方法來保護(hù)具有執(zhí)行分布狀態(tài)估計(jì)能力的消費(fèi)者隱私，即在基于802.11s的WMN中，由網(wǎng)關(guān)負(fù)責(zé)創(chuàng)建混淆向量，然后通過引入多個(gè)網(wǎng)關(guān)安全而有效的方式將混淆值進(jìn)行分配，最后對混淆測量值進(jìn)行計(jì)算和傳輸，所得混淆值使儀表讀數(shù)模糊化。該方法在有效保護(hù)了消費(fèi)者隱私免受竊聽者和公用事業(yè)公司的影響的同時(shí)，也保持了公用事業(yè)公司使用數(shù)據(jù)進(jìn)行狀態(tài)估計(jì)的能力。對比基線，基準(zhǔn)符號，基準(zhǔn)秒和反應(yīng)性混淆，仿真結(jié)果表明，數(shù)據(jù)混淆法在數(shù)據(jù)包傳輸率，數(shù)據(jù)吞吐量和延遲方面都有性能提升。

1 系統(tǒng)建模

1.1 基礎(chǔ)AMI網(wǎng)絡(luò)

假設(shè)一個(gè)AMI通信網(wǎng)絡(luò)由許多的SMs組成，且在SMs之間通過WMN對作為中繼的網(wǎng)關(guān)服務(wù)器進(jìn)行連接，除了電源質(zhì)量和連接點(diǎn)的電壓、電流等瞬時(shí)值外，SM測量主要衡量客戶的實(shí)時(shí)電能消耗。在目前的AMI系統(tǒng)中，這些測量數(shù)據(jù)由公共事業(yè)公司控制中心或TTP(Time Triggered Protocol)進(jìn)行收集。在本文中，因?yàn)橹醒肟刂浦行牡拿糠N類型的處理都不是可擴(kuò)展的選項(xiàng)，所以假設(shè)存在TTP，則所考慮的AMI網(wǎng)絡(luò)的典型基礎(chǔ)設(shè)施如圖1所示。

圖1 AMI基礎(chǔ)設(shè)施

在圖1中，無線網(wǎng)狀網(wǎng)絡(luò)WMN采用新的IEEE 802.11s標(biāo)準(zhǔn)進(jìn)行創(chuàng)建，該標(biāo)準(zhǔn)允許通過802.11 MAC(Media Access Control)、PHY(Physical Layer)層標(biāo)準(zhǔn)在SM間進(jìn)行網(wǎng)狀網(wǎng)絡(luò)的連接[6]。在802.11s的WMN中，所有節(jié)點(diǎn)被看作是網(wǎng)格點(diǎn)(Mesh Points，MPs)，且能為其它MPs之間的數(shù)據(jù)鏈路層提供連接，若MP還提供與因特網(wǎng)的連接，則稱該節(jié)點(diǎn)為網(wǎng)格門戶點(diǎn)(Mesh Portal Point，MPP)。在網(wǎng)格網(wǎng)絡(luò)中，網(wǎng)關(guān)為MPP，它通過多跳路由收集在MPs(即SMs)上混淆的儀表讀數(shù)。另外，IEEE 802.11s標(biāo)準(zhǔn)提供混合無線路由協(xié)議(Hybrid Wireless Routing Protocol，HWMP)作為默認(rèn)的路由協(xié)議，以找到朝向目的地的多跳路徑。TTP主要負(fù)責(zé)從網(wǎng)關(guān)收集數(shù)據(jù)，并將收集的數(shù)據(jù)進(jìn)行存儲以供將來訪問，或以數(shù)據(jù)向量(例如陣列)的形式轉(zhuǎn)發(fā)到公共事業(yè)公司。而公共事業(yè)公司主要負(fù)責(zé)創(chuàng)建和傳輸用于隱私保護(hù)的混淆基礎(chǔ)信息到網(wǎng)關(guān)，網(wǎng)關(guān)收到混淆信息后，將創(chuàng)建各個(gè)混淆值并分發(fā)給SMs。為了有效的保護(hù)用戶隱私，假設(shè)每個(gè)SM都采用基于橢圓曲線加密(Elliptic Curve Cryptography，ECC)的公鑰、私鑰進(jìn)行初始化。ECC的開銷與其他公共加密方案相比是最小的[7]；ECC使用與當(dāng)前對稱加密算法相當(dāng)?shù)拿荑€大小，避免了由于密鑰大小較大而導(dǎo)致的其他公鑰算法的高計(jì)算。本方法還假設(shè)網(wǎng)關(guān)知道其網(wǎng)狀網(wǎng)絡(luò)中每個(gè)SM的公鑰，每個(gè)SM都知道網(wǎng)關(guān)的公鑰。

1.2 WLSs狀態(tài)估計(jì)

已知電力系統(tǒng)由總線收集、輸電線路和電力儀表組成。狀態(tài)估計(jì)用于監(jiān)視電力系統(tǒng)的狀態(tài)，即每個(gè)總線的電壓幅度和相位角，以便保持可靠的供電。除了從配電系統(tǒng)變電站收集測量值外，通過使用儀表及其瞬時(shí)測量(如有功功率、無功功率和電壓幅度)的低壓配電網(wǎng)進(jìn)行狀態(tài)估計(jì)也是至關(guān)重要的。在狀態(tài)估計(jì)過程中最常用的一種技術(shù)為WLSs(Weighted Least Squares)狀態(tài)估計(jì)[8-9]。

在WLSs狀態(tài)估計(jì)中，將網(wǎng)絡(luò)的狀態(tài)估計(jì)為變量x=(x1,…,xn)T的矢量，并使用由功率計(jì)測量組成的z=(z1,…,zm)T，其中n,m是正整數(shù)，且m>n，x∈Rn，z∈Rm。因此，系統(tǒng)的狀態(tài)表示如下

z=h(x)+e

(1)

(2)

其中，W-1是e的協(xié)方差矩陣。

1.3 隱私保護(hù)狀態(tài)估計(jì)

在分布式網(wǎng)絡(luò)的狀態(tài)估計(jì)中，存在嚴(yán)重的數(shù)據(jù)隱私泄露問題，而解決該問題的方法之一是擾亂收集的SM數(shù)據(jù)。為此，需要從核心表示為ker((H-1WH)-1HTW)的基礎(chǔ)集合O={o1,…,om-n}的跨度中創(chuàng)建一個(gè)無失真的混淆空間，每個(gè)oi∈O是一個(gè)向量，其中有m個(gè)元素用于中斷SM值，有m-n個(gè)矢量用于擾動[10]。另外，還創(chuàng)建了一個(gè)混淆的測量向量zobf，其中zobf=z+o,o∈O，表明可以通過使用zobf而不是z來計(jì)算相同的估計(jì)狀態(tài)x。O主要來源于電網(wǎng)分布的狀態(tài)，如變壓器的升壓或降壓、總線配置分支成多個(gè)配線。O只能由公司在發(fā)生任何動態(tài)更改時(shí)發(fā)送，它可以重復(fù)使用多個(gè)讀數(shù)，直到提供新的讀數(shù)為止。

完成上述計(jì)算后，向量o中的元素將被發(fā)送到相應(yīng)的SM，且每個(gè)SM將此元素添加到其實(shí)際功率測量中以隱藏的方式對數(shù)據(jù)隱私進(jìn)行保護(hù)。

1.4 威脅模式和安全目標(biāo)

已知對AMI收集的細(xì)粒度儀表數(shù)據(jù)的隱私和安全性攻擊如下，并確定了相關(guān)的安全目標(biāo)。攻擊對象主要為：(1)消費(fèi)者的隱私；(2)公用事業(yè)公司的隱私。

第一組為消費(fèi)者的細(xì)粒度儀表數(shù)據(jù)的隱私：

攻擊1公用事業(yè)公司濫用所獲得的細(xì)粒度儀表數(shù)據(jù)來分析消費(fèi)者的行為或與第三方共享數(shù)據(jù)。

安全目標(biāo)1混淆收集的細(xì)粒度儀表數(shù)據(jù)，防止公用事業(yè)公司或相關(guān)第三方誤用。

攻擊2竊聽者監(jiān)視通信通道以捕獲目標(biāo)SM和網(wǎng)關(guān)之間的消息中的電表數(shù)據(jù)，以確定其消費(fèi)者的行為。

安全目標(biāo)2保護(hù)包含SM讀數(shù)的通信。

攻擊3竊聽者損害網(wǎng)關(guān)收集存儲的重現(xiàn)基準(zhǔn)的混淆基礎(chǔ) ，以重新生成實(shí)際的儀表讀數(shù)。

安全目標(biāo)3限制網(wǎng)關(guān)入侵時(shí)可能獲得的混淆數(shù)據(jù)量。

第二組為準(zhǔn)確的狀態(tài)估計(jì)和計(jì)費(fèi)：

攻擊4攻擊者模擬網(wǎng)關(guān)，并向SM發(fā)送制造的混淆值，以改變電網(wǎng)的狀態(tài)。

安全目標(biāo)4提供發(fā)件人身份驗(yàn)證以驗(yàn)證郵件的發(fā)件人和內(nèi)容。

攻擊5攻擊者捕獲模糊值并重播它們以更改狀態(tài)或計(jì)費(fèi)。

安全目標(biāo)5識別和丟棄重播的消息。

2 WMN上的數(shù)據(jù)混淆算法

2.1 概述

在本節(jié)中，將詳細(xì)描述一個(gè)現(xiàn)實(shí)架構(gòu)的設(shè)計(jì)，以及收集和混淆SM數(shù)據(jù)的過程。該算法主要有兩個(gè)階段：(1)混淆值由網(wǎng)關(guān)創(chuàng)建并分發(fā)給SMs；(2)每個(gè)SM創(chuàng)建其模糊功率讀數(shù)并將其發(fā)送到網(wǎng)關(guān)，該方法避免了每個(gè)SM與TTP通信鏈路的假設(shè)。網(wǎng)關(guān)將所有數(shù)據(jù)傳輸?shù)截?fù)責(zé)創(chuàng)建數(shù)據(jù)向量的TTP，并發(fā)送到公用事業(yè)控制中心(Utility Control Center，UCC)進(jìn)行狀態(tài)估計(jì)，TTP在每個(gè)計(jì)費(fèi)周期結(jié)束時(shí)執(zhí)行計(jì)費(fèi)計(jì)算，并存儲所有模糊的客戶數(shù)據(jù)。

2.2 數(shù)據(jù)混淆過程

(1)創(chuàng)建混淆向量。

首先，由網(wǎng)關(guān)負(fù)責(zé)模糊向量的創(chuàng)建，即公用事業(yè)公司將混淆空間O的基礎(chǔ)信息直接發(fā)送到網(wǎng)關(guān)，網(wǎng)關(guān)隨機(jī)選擇O中每個(gè)向量的權(quán)重值η，并構(gòu)建一個(gè)模糊向量。當(dāng)在接收到O時(shí)，網(wǎng)關(guān)隨機(jī)選擇O中每個(gè)向量vi的權(quán)重，并構(gòu)建實(shí)際的模糊向量o。若假設(shè)有單個(gè)網(wǎng)關(guān)，則每個(gè)SM將從該向量o分配一個(gè)元素。然而，鑒于AMI網(wǎng)絡(luò)的大型化，且網(wǎng)絡(luò)需要被劃分成由不同網(wǎng)關(guān)引導(dǎo)的多個(gè)SMs集群，該假設(shè)方案可行性較低。對于該情況，每個(gè)網(wǎng)關(guān)將獲得相同的O，并將為所有SMs創(chuàng)建一個(gè)模糊向量，且每個(gè)網(wǎng)關(guān)僅服務(wù)于所有SMs的子集。在分發(fā)混淆值時(shí)，只需聯(lián)系該網(wǎng)關(guān)集群內(nèi)的SMs。

(2)安全分配的混淆值。

一旦在網(wǎng)關(guān)上創(chuàng)建了模糊向量o，將以安全有效的方式將這些值發(fā)送給SMs。為了減少交通流量，可以在網(wǎng)絡(luò)內(nèi)廣播整個(gè)向量，并讓每個(gè)SM選擇其相應(yīng)的模糊值。但是，該方法存在一些問題，首先，使用的TCP(Transmission Control Protocol)不支持廣播，即使在沒有確認(rèn)的情況下使用UDP(User Data Protocol)，也會在網(wǎng)絡(luò)中引起不必要的洪泛，即部分SM會從鄰居多次接收相同的向量。另外，整個(gè)向量的大小隨著SM計(jì)數(shù)的增加而增長，在IEEE 802.11標(biāo)準(zhǔn)中因超過最大傳輸單位(Maximum Transfer Unit，MTU)，需要額外的廣播。為此，SMs需要定期發(fā)送讀數(shù)，并在一定間隔時(shí)間內(nèi)使用IEEE 802.11s標(biāo)準(zhǔn)的單播能力通過其路由協(xié)議HWMP分發(fā)混淆值，網(wǎng)關(guān)為每個(gè)SM準(zhǔn)備一個(gè)數(shù)據(jù)包，并分別傳輸?shù)矫總€(gè)SM。

另外，網(wǎng)關(guān)通常采用128位的AES塊密碼來加密向量中的元素。首先，為每個(gè)SM創(chuàng)建一個(gè)唯一的密鑰，并通過使用其對應(yīng)的 的公鑰 將其與相應(yīng)的SM進(jìn)行交換。然后網(wǎng)關(guān)通過采用共享密鑰(Shared Key，SK)加密混淆向量o[i]的每個(gè)SM發(fā)送對應(yīng)的元素，并用自己的專用密鑰PRG進(jìn)行簽名，其時(shí)間戳(TS，Time Stamp)添加如下

Gateway→SMi:
{}SK,SigPRG({}SK)

(3)

(3)計(jì)算和傳輸混淆測量。

當(dāng)SMi接收到其元素o[i]時(shí)，通過將其當(dāng)前功率讀數(shù)pi和o[i]相加來計(jì)算其混淆功率測量opi：opi=pi+o[i]。然后，SMi時(shí)間戳總和，網(wǎng)關(guān)使用私鑰PRi對總和進(jìn)行數(shù)字簽名，SMi再次使用HWMP將其發(fā)送到網(wǎng)關(guān)

SMi→Gateway:
,SigPRi()

(4)

從每個(gè)SM中接收模糊測量時(shí)，網(wǎng)關(guān)對數(shù)字簽名和TSs進(jìn)行驗(yàn)證，并將它們發(fā)送到TTP，假設(shè)網(wǎng)關(guān)可以等待所有的SM讀數(shù)，并將其作為單個(gè)數(shù)據(jù)包發(fā)送。TTP為公共事業(yè)公司準(zhǔn)備了模糊的測量向量，且當(dāng)計(jì)費(fèi)周期結(jié)束時(shí)，對所有測量進(jìn)行總和操作，以獲取每個(gè)SM在計(jì)費(fèi)周期內(nèi)對用戶收費(fèi)的總使用量，而公共事業(yè)公司將接收來自TTP的模糊測量向量并使用它進(jìn)行狀態(tài)估計(jì)。

2.3 采用多種網(wǎng)關(guān)的情況

假設(shè)AMI網(wǎng)絡(luò)分為多個(gè)集群，每個(gè)集群由不同的網(wǎng)關(guān)引導(dǎo)，每個(gè)網(wǎng)關(guān)節(jié)點(diǎn)分別具有用于802.11和用于LTE(Long Term Evolution)的無線電，且每個(gè)網(wǎng)關(guān)提前知道其集群內(nèi)的SM的ID和其他網(wǎng)關(guān)的公鑰，網(wǎng)關(guān)需要彼此進(jìn)行通信，以便使用裝置到設(shè)備(D2D)通信架構(gòu)來交換混淆元件[11]。然而，在這種情況下，該混淆向量的形成是不同的，即公用事業(yè)公司導(dǎo)出的混淆基礎(chǔ)O需要分解為g個(gè)組件，其中g(shù)表示網(wǎng)關(guān)數(shù)量，其中每個(gè)組件都使用每個(gè)網(wǎng)關(guān)的公鑰加密，并通過LTE網(wǎng)絡(luò)發(fā)送到該網(wǎng)關(guān)。

對于有g(shù)個(gè)網(wǎng)關(guān)的情況，公用事業(yè)公司需要發(fā)送g個(gè)消息以發(fā)送部分混淆基礎(chǔ)，參與模糊向量生成的每個(gè)網(wǎng)關(guān)都需要聯(lián)系g-1個(gè)網(wǎng)關(guān)來發(fā)送自己的模糊向量，其余步驟與單網(wǎng)關(guān)方法類似，最后將有g(shù)個(gè)從網(wǎng)關(guān)發(fā)送的消息 TTP。由于互聯(lián)網(wǎng)間通信將使用LTE直接，因此該方式不會對網(wǎng)關(guān)造成任何負(fù)擔(dān)。

3 仿真分析

3.1 實(shí)驗(yàn)設(shè)置

為了驗(yàn)證數(shù)據(jù)混淆法在數(shù)據(jù)包傳輸率，數(shù)據(jù)吞吐量和延遲方面的性能提升，首先進(jìn)行實(shí)驗(yàn)設(shè)置，如下：采用網(wǎng)絡(luò)仿真器ns-3來實(shí)現(xiàn)算法仿真，該仿真器具有IEEE 802.11s的實(shí)現(xiàn)，可以真實(shí)地模擬SM中的物理層和任何隨機(jī)的干擾[12]。創(chuàng)建隨機(jī)連接的AMI網(wǎng)絡(luò)拓?fù)?，在大小?200 m×1200 m的區(qū)域中布置25、36、49、64、81和100個(gè)節(jié)點(diǎn)。在該區(qū)域中，將模擬使用單個(gè)網(wǎng)關(guān)與公共鄰域的大小公司進(jìn)行通信，且每個(gè)SM的傳輸范圍設(shè)置為100 m。底層MAC協(xié)議是IEEE 802.11g，TCP協(xié)議用于確?？煽啃?，SM的數(shù)據(jù)頻率設(shè)置為10 s，模擬運(yùn)行1 000 s，通過測試20次不同拓?fù)涞拿看芜\(yùn)行，報(bào)告拓?fù)涞钠骄怠?/p>

另外，將采用crypto ++庫[13]來進(jìn)行加密操作，橢圓曲線數(shù)字簽名算法(ECDSA)是美國政府使用的批準(zhǔn)簽名算法，橢圓曲線綜合加密方案(ECIES)是具有多項(xiàng)標(biāo)準(zhǔn)的知名方案[14-15]。僅當(dāng)需要簽名時(shí)使用ECDSA，在同時(shí)需要加密和簽名時(shí)使用ECIES，在這兩種情況下，使用帶有SHA1的ASN.1 secp128r1標(biāo)準(zhǔn)曲線，密鑰長度為256位。

3.2 基準(zhǔn)和性能指標(biāo)

為了與其它算法進(jìn)行仿真比較，考慮了3個(gè)基準(zhǔn)，如下所述：

(1)基線:即表示為以清晰的方式發(fā)送儀表讀數(shù)，不提供隱私；

(2)基準(zhǔn)符號:即提供驗(yàn)證，但不會在傳輸中提供任何機(jī)密性，并且公用事業(yè)提供商具有訪問權(quán)限到細(xì)粒度的儀表數(shù)據(jù)；

(3)基準(zhǔn)秒:即提供了身份驗(yàn)證和機(jī)密性，但是公共事業(yè)公司的程序提供商仍然可以訪問細(xì)粒度的儀表數(shù)據(jù)。

此外，將對不同設(shè)置進(jìn)行分析，如將儀表讀數(shù)頻率設(shè)置為10和20 s，以觀察其特別是端到端(End To End，ETE)延遲的影響，并將基于不同數(shù)據(jù)傳輸策略實(shí)現(xiàn)的三種模糊機(jī)制描述如下：

(1)數(shù)據(jù)混淆：即在計(jì)費(fèi)器接收到的情況下，SM每隔10 s向網(wǎng)關(guān)發(fā)送模糊讀取值的調(diào)度傳輸混淆值較早，網(wǎng)關(guān)將模糊值同時(shí)發(fā)送到下一個(gè)報(bào)告時(shí)間的SM；

(2)反應(yīng)性混淆：收到模糊值后，儀表將模糊讀取值，并即時(shí)發(fā)送到網(wǎng)關(guān)；

(3)輕松混淆：類似于數(shù)據(jù)混淆，但網(wǎng)關(guān)不會同時(shí)發(fā)送混淆值，相反，在混淆值分布和抄表報(bào)告過程之間有10 s或20 s。

在進(jìn)行仿真比較時(shí)，考慮了3個(gè)性能指標(biāo)如下：

(1)吞吐量：即每秒由網(wǎng)關(guān)在應(yīng)用層接收的數(shù)據(jù)量；

(2)數(shù)據(jù)延遲：即讀取到達(dá)網(wǎng)關(guān)所需的總時(shí)間；

(3)數(shù)據(jù)包傳送率(Packet Delivery Ratio， PDR)：即與SM發(fā)送的數(shù)據(jù)包數(shù)量相比傳送到網(wǎng)關(guān)的數(shù)據(jù)包的比率。

3.3 安全分析

對本文所提的安全目標(biāo)進(jìn)行評估，評估如下：

(1)安全目標(biāo)1：由于細(xì)粒度儀表數(shù)據(jù)被模糊化，因此無法隨時(shí)確定實(shí)際讀數(shù)，即無法對消費(fèi)者的任何活動或行為進(jìn)行分析；

(2)安全目標(biāo)2：SM發(fā)送給網(wǎng)關(guān)的模糊讀數(shù)并不反映實(shí)際的讀數(shù)，即使竊聽者捕捉到這種讀數(shù)，它對用戶活動的推斷也是錯(cuò)誤的。此外，由于網(wǎng)關(guān)在每個(gè)讀數(shù)收集期間傳播不同的混淆值，竊聽者不能提取消費(fèi)者的功耗模式；

(3)安全目標(biāo)3：如果網(wǎng)關(guān)受到威脅，可以獲得有關(guān)該集群的混淆信息，然而，由于還有來自其他網(wǎng)關(guān)的其他混淆值，攻擊者也需要訪問所有其他網(wǎng)關(guān)。因此，在單個(gè)網(wǎng)關(guān)被破壞的情況下，無法獲得實(shí)際的儀表讀數(shù)；

(4)安全目標(biāo)4：由于所有的SM都使用包含混淆信息和測量的消息的數(shù)字簽名，因此可以驗(yàn)證數(shù)字簽名以確認(rèn)消息發(fā)送者的身份。由于所有消息都是時(shí)間戳和數(shù)字簽名的，因此可以檢查TS以驗(yàn)證接收的消息是否用于當(dāng)前讀??；

(5)安全目標(biāo)5：由于所有消息都是時(shí)間戳和數(shù)字簽名的，所以可以檢查TS以驗(yàn)證接收的消息是否用于當(dāng)前讀取。

3.4 仿真結(jié)果

為了驗(yàn)證所提數(shù)據(jù)混淆算法性能最優(yōu)化，將對基線、基準(zhǔn)符號、基準(zhǔn)秒、反應(yīng)性混淆法與數(shù)據(jù)混淆在PDR、實(shí)際吞吐量、ETE延遲方面進(jìn)行仿真分析，其實(shí)驗(yàn)結(jié)果如圖2～圖7所示。

(1)PDR包傳送率。

圖2 PDR隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖2所示，隨著SM數(shù)量的增加，基線、基準(zhǔn)符號、基準(zhǔn)秒和數(shù)據(jù)混淆法的PDR逐漸減少，PDR減小由傳輸數(shù)據(jù)包數(shù)量增加引起的沖突所造成。從圖中可以看出，基線的PDR達(dá)到最高，而數(shù)據(jù)混淆法的PDR達(dá)到最低，基線符號和基線秒的PDR幾乎相同。當(dāng)節(jié)點(diǎn)數(shù)為100時(shí)，基線、基準(zhǔn)符號、基準(zhǔn)秒和數(shù)據(jù)混淆法的PDR分別為：86%、86%、86%和80%。對比基線、基準(zhǔn)符號和基準(zhǔn)秒，數(shù)據(jù)混淆法的PDR達(dá)到最優(yōu)。

(2)實(shí)際吞吐量。

圖3 吞吐量隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖3所示，隨著節(jié)點(diǎn)數(shù)量的增加，基線、基準(zhǔn)符號、基準(zhǔn)秒和數(shù)據(jù)混淆法的吞吐量逐漸增加。從圖中可以看出，基線的增幅最小。由于從網(wǎng)關(guān)向SM發(fā)送混淆值時(shí)，通過相同路徑會引起干擾和網(wǎng)絡(luò)繁忙，最終導(dǎo)致吞吐率的增加率略有降低。相比基線、基線符號、基線秒，數(shù)據(jù)混淆法具有更高的有效性，這由發(fā)送的數(shù)據(jù)包的大小決定，即使基線具有最高的PDR，但其他3種方法產(chǎn)生的數(shù)據(jù)包的大小補(bǔ)償了這種差異并導(dǎo)致較高的吞吐量。

(3)ETE延遲。

圖4 延遲隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖4所示，顯示了基線，基準(zhǔn)符號，基準(zhǔn)秒和數(shù)據(jù)混淆法的延遲隨節(jié)點(diǎn)數(shù)量的變化示意圖。從圖中可以看出，節(jié)點(diǎn)數(shù)多達(dá)49個(gè)節(jié)點(diǎn)時(shí)，所有算法的延遲都是相似的，而隨著網(wǎng)絡(luò)規(guī)模的增長，擁塞程度也逐漸增加，導(dǎo)致延遲增大。當(dāng)節(jié)點(diǎn)數(shù)超過49時(shí)，相比基線，基準(zhǔn)符號和基準(zhǔn)秒，數(shù)據(jù)混淆法的延遲最低。這是由于SM正在等待來自網(wǎng)關(guān)的混淆值，所以不能在同一時(shí)間發(fā)送讀數(shù)，而混淆值則由于網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)在不同時(shí)間到達(dá)目的地。在其他方法中，更多節(jié)點(diǎn)同時(shí)參與消息發(fā)送，因此由于重爭用和干擾，信道接入延遲顯著增加。

(4)數(shù)據(jù)混淆與反應(yīng)性混淆。

圖5 PDR隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖5所示，顯示了基線，數(shù)據(jù)混淆法和反應(yīng)性混淆的PDR隨節(jié)點(diǎn)數(shù)的變化示意圖。所謂反應(yīng)性混淆，即SM在收到模糊值時(shí)會將其模糊讀數(shù)發(fā)送到網(wǎng)關(guān)而不是等待下一個(gè)報(bào)告時(shí)間。由于對于混淆值分配，沒有來自網(wǎng)關(guān)的流量導(dǎo)致?lián)砣透蓴_，反應(yīng)性混淆的PDR幾乎與數(shù)據(jù)的模糊化相同，而基線的PDR卻最高。在這里，可以使用TCP確保即使SM之間存在競爭，訪問信道也可以傳送分組。

圖6 吞吐量隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖6所示，顯示了基線，數(shù)據(jù)混淆法和反應(yīng)性混淆的實(shí)際吞吐量隨節(jié)點(diǎn)數(shù)的變化示意圖。從圖中可以看出，反應(yīng)混淆和數(shù)據(jù)混淆的吞吐量幾乎一致，當(dāng)節(jié)點(diǎn)數(shù)量接近100時(shí)，數(shù)據(jù)混淆法吞吐量大于反應(yīng)性混淆，而基線的吞吐量較低。相比反應(yīng)性混淆和基線，數(shù)據(jù)混淆法的吞吐量最高。

圖7 延遲隨節(jié)點(diǎn)數(shù)量的變化示意圖

如圖7所示， 對反應(yīng)混淆的ETE延遲性能進(jìn)行測試，并將其與數(shù)據(jù)混淆法和基線進(jìn)行比較。從圖中可以看出，在95%的置信區(qū)間中，結(jié)果保持在樣本平均值的1%～13%之內(nèi)。雖然反應(yīng)性混淆在PDR和吞吐量兩方面都與數(shù)據(jù)混淆法相似，但在ETE延遲方面卻顯著降低了。這是因?yàn)楫?dāng)混淆值在不同時(shí)間到達(dá)SM時(shí)，來自SM的讀數(shù)的傳輸時(shí)間在反應(yīng)性混淆中是不同的。由于MAC層上的WiFi信道的不可用性，許多SM重復(fù)地經(jīng)歷退避，將顯著增加延遲，但在反應(yīng)性混淆中卻并非如此。

4 結(jié)束語

在智能電網(wǎng)中，通過收集和使用細(xì)粒度的電表數(shù)據(jù)，可以有效推斷用戶的活動和行為模式。針對存在敏感數(shù)據(jù)泄露的嚴(yán)重問題，雖然可以通過數(shù)據(jù)隱藏實(shí)現(xiàn)用戶隱私的保護(hù)，卻降低了分布狀態(tài)估計(jì)能力。為此，本文提出一種儀表數(shù)據(jù)混淆算法來保護(hù)具有執(zhí)行分布狀態(tài)估計(jì)能力的消費(fèi)者隱私，即在基于802.11s的無線網(wǎng)狀網(wǎng)絡(luò)中，由網(wǎng)關(guān)負(fù)責(zé)創(chuàng)建混淆向量，然后通過引入多個(gè)網(wǎng)關(guān)安全有效的將混淆值進(jìn)行分配，最后對混淆測量值進(jìn)行計(jì)算和傳輸，所得混淆值使儀表讀數(shù)模糊化。該方法既有效保護(hù)了消費(fèi)者隱私免受竊聽者和公用事業(yè)公司的影響，同時(shí)又保持公用事業(yè)公司使用數(shù)據(jù)進(jìn)行狀態(tài)估計(jì)的能力。對比基線、基準(zhǔn)符號、基準(zhǔn)秒和反應(yīng)性混淆，仿真結(jié)果表明，數(shù)據(jù)混淆法在數(shù)據(jù)包傳輸率、數(shù)據(jù)吞吐量和延遲方面都有性能提升。