基于同態(tài)加密的智能電網(wǎng)WSNs安全數(shù)據(jù)聚合

史豐圖

摘要：本文基于同態(tài)加密技術(shù)設(shè)計了一種安全有效的智能電網(wǎng)WSNs安全數(shù)據(jù)融合方案.結(jié)果表明，利用對稱同態(tài)加密方案來保護數(shù)據(jù)的機密性，實現(xiàn)了數(shù)據(jù)端到端的完整性檢測，融合節(jié)點能夠?qū)κ盏降臄?shù)據(jù)進行驗證，實現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，確保了數(shù)據(jù)的有效性，與現(xiàn)有方案相比本文提出的方案具有更高的消息驗證率和更低的計算開銷和通信開銷，可以更好地保護數(shù)據(jù)的完整性和機密性，具有重要的理論意義和實際應(yīng)用價值.

關(guān)鍵詞：同態(tài)加密;智能電網(wǎng);數(shù)據(jù)聚合;通信開銷

中圖分類號：TP393;TP212.9? 文獻標(biāo)識碼：A? 文章編號：1673-260X（2019）04-0059-04

0 引言

智能電網(wǎng)是通過使用數(shù)字化的通信和控制技術(shù)，能夠?qū)崿F(xiàn)對系統(tǒng)中的電網(wǎng)節(jié)點和每個用戶進行有效的控制和監(jiān)視，保證整個配電過程中電能和節(jié)點信息之間的雙向流動，一種新型的、完全自動化的電力傳輸網(wǎng)絡(luò)[1].本文基于同態(tài)加密技術(shù)，設(shè)計了一種安全有效的智能電網(wǎng)WSNs可恢復(fù)安全數(shù)據(jù)融合方案，并對提出的方案進行了性能分析和安全性分析，以期為智能電網(wǎng)WSNs安全數(shù)據(jù)聚合提供理論指導(dǎo)，有著重要的實際應(yīng)用價值.

1 系統(tǒng)模型

1.1 網(wǎng)絡(luò)模型

WSNs包含一個基站和大量傳感器節(jié)點.每個簇擁有一個簇頭節(jié)點（CH），網(wǎng)絡(luò)拓撲基于簇的結(jié)構(gòu)，每個傳感器節(jié)點對應(yīng)一個簇頭，成員節(jié)點直接與簇頭進行通信.在該方案中每個節(jié)點有獨特的ID，系統(tǒng)可以根據(jù)ID進行辨別;網(wǎng)絡(luò)部署完成后，基站（BS）是固定的，所有節(jié)點都是靜止.本文用到的符號說明，如表1所示.

1.2 攻擊者模型

（1）攻擊者向任意BS、CH、成員節(jié)點發(fā)送虛假數(shù)據(jù).（2）攻擊者對WSNs中正在傳輸?shù)臄?shù)據(jù)進行監(jiān)控并竊聽.將兩種攻擊細化為A、B兩類.

在A類中，攻擊者旨在通過偽造數(shù)據(jù)包、重放舊的數(shù)據(jù)包或篡改消息內(nèi)容的方式達到欺騙基站的目的.

未授權(quán)融合：將多個密文融合成一個錯誤的密文并注入網(wǎng)絡(luò).

數(shù)據(jù)包偽造：攻擊者偽造數(shù)據(jù)包欺騙基站.

重放攻擊：攻擊者將基站消息稍后重放欺騙基站.

延展性：在不知道數(shù)據(jù)包內(nèi)容的情況下，允許攻擊者對其進行篡改.

在B類中，攻擊者旨在推測出密鑰或獲取秘密信息，為衡量同態(tài)加密方案的安全強度建立下3種攻擊者模型.

選擇明文攻擊：攻擊者請求任意明文所對應(yīng)的密文分析推斷出密鑰信息.

己知明文攻擊：攻擊者嘗試分析已知的明文和密文進而獲取秘密信息或推斷密鑰.

唯密文攻擊：攻擊者嘗試通過加密相同密鑰的密文來推斷密鑰或明文.

2 WSNs中基于同態(tài)加密的可恢復(fù)安全數(shù)據(jù)融合方案

恢復(fù)數(shù)據(jù)融合方案由5部分組成，如圖1所示.在初始化階段系統(tǒng)預(yù)先加載系統(tǒng)參數(shù)和必要的密鑰.若節(jié)點加入該WSN，須獲取ID和私鑰.節(jié)點向簇頭節(jié)點發(fā)送數(shù)據(jù)時，首先執(zhí)行加密過程，并將加密結(jié)果發(fā)送至簇頭節(jié)點.數(shù)據(jù)融合階段，簇頭節(jié)點只負責(zé)融合，每個簇頭節(jié)點需要驗證所有成員節(jié)點的簽名，并融合密文、簽名，濾掉部分虛假數(shù)據(jù)包，進而避免消耗不必要的能量.數(shù)據(jù)解密階段，基站通過對加密數(shù)據(jù)的完整性進行驗證，并解密融合的密文，提取感知數(shù)據(jù)，執(zhí)行任意的融合操作.

2.1 系統(tǒng)初始化

初始化階段，基站BS生成系統(tǒng)參數(shù)和密鑰信息，過程如下：

（1）設(shè)Fn為n階有限域，E為橢圓曲線.基站BS將s∈Zq作為主私鑰，公鑰為：

Ppub=sP

基站BS選擇兩個單向哈希函數(shù)H1：{0，1}*→Zq;H2：{0，1}*→Zq;并發(fā)布參數(shù)parama={P，Ppub，q，H1，H2}，秘密保留BS的私鑰s.

（2）BS生成一大素數(shù)p，加載在節(jié)點上;為保證其正確性，p滿足：

2.2 私鑰提取

若某一節(jié)點加入WSNs，應(yīng)首先獲取其IDij以及對應(yīng)的密鑰kij和私鑰SKij：

（1）BS選擇一個新的IDij，隨機數(shù)wij，生成私鑰：

然后，BS將私鑰SKij=（Tij，Sij）和IDij加載至節(jié)點.

（2）BS生成隨機數(shù)kij作為節(jié)點的對稱密鑰.每一個CHj存儲一個成員列表LCMj，BS同時存儲一個由CH組成的列表LCH.

2.3 數(shù)據(jù)加密

若節(jié)點CMij（i=1，…，η-1）向簇頭節(jié)點CHj發(fā)送數(shù)據(jù)dij，需執(zhí)行以下步驟：

（1）編碼：mij=dij||0z，其中z=l·（i-1）;（2）密鑰生成：為保證密鑰的隨機性，Kij=HMAC（kij，nonce）;（3）加密：計算密文cij=E（mij，Kij，p）=（mij+kij）mod p;（4）簽名：身份為IDij，私鑰為SKij=（Tij，Sij）的節(jié)點.CMij選取時間戳tij∈RZq，計算：

則σij=（Tij，Rij，Vij）為節(jié)點CMij的簽名.然后，節(jié)點CMij將（cij，σij，IDij，tij）發(fā)送給它的簇頭節(jié)點CHj.

2.4 數(shù)據(jù)融合

一旦收到來自成員節(jié)點CMij發(fā)來的消息（cij，σij，IDij，tij}，則CHj首先在其存儲的列表LCMi中搜索相應(yīng)的身份IDij，并檢查時間戳tij的有效性.若時間戳均有效，則CHj執(zhí)行以下操作：

若IDij不存在，則CHi拒絕該消息.

2.5 數(shù)據(jù)解密

當(dāng)收到來自CHj（1≤j≤nc）的消息（cj，？子j，ID，tj）時，基站BS搜索對應(yīng)的身份IDj，并檢查時間戳tj的有效性，若所有的時間戳均有效，則基站BS對感知數(shù)據(jù)進行驗證和恢復(fù)：

最后，基站BS執(zhí)行融合操作.

3 數(shù)據(jù)融合方案性能分析

3.1 安全分析

（1）該方案在A類攻擊者存在時，仍能提供數(shù)據(jù)端到端的完整性.

分析：該解決方案通過簽名方案解決了A類攻擊者造成的問題.如果發(fā)生損害數(shù)據(jù)完整性的惡意表現(xiàn)，則簽名驗證將不會成功.

該方案中，通過簽名方案對數(shù)據(jù)的完整性進行驗證.若加密數(shù)據(jù)遭到篡改，簽名數(shù)據(jù)將無法被認證，并且基站BS會拒絕接收的數(shù)據(jù)包.

（2）該方案在B類攻擊者存在時，仍能提供數(shù)據(jù)端到端的機密性.

該方案在整個傳輸過程中融合結(jié)果和原始感知數(shù)據(jù)均處于加密狀態(tài)，接下來詳細分析A類攻擊者存在時該方案仍能保證數(shù)據(jù)的機密性.

選擇明文攻擊：使用nonce來確保密鑰的動態(tài)性，傳感節(jié)點用它進行加密，基站BS用其解密.由于nonce不斷變化，使得每一輪會話存在不同的密鑰.因此，即使在某一時刻攻擊者推斷出會話密鑰，也無法從此次結(jié)論中獲益.

已知明文攻擊：在WSNs中，由于網(wǎng)絡(luò)部署無人值守且環(huán)境惡劣，傳感節(jié)點易發(fā)生變節(jié).該方案中，節(jié)點密鑰僅與基站BS共享，攻擊者無法獲取其他節(jié)點消息.

唯密文攻擊：該方案中通過偽隨機函數(shù)產(chǎn)生獨一無二的密鑰，攻擊者通過對密文的分析無法推斷出明文或密鑰信息.

3.2 性能評估

從能量消耗、通信開銷、計算開銷等幾個方面與相關(guān)方案[2]-[4]進行了對比.首先對端到端的完整性、機密性、授權(quán)融合、網(wǎng)內(nèi)虛假數(shù)據(jù)過濾和數(shù)據(jù)可恢復(fù)等性能進行對比，如表2所示.可以看出，與其他三種方案相比本文方案支持的功能更加豐富.

3.3 通信開銷

本文方案中，需要傳輸時間戳、節(jié)點身份、簽名和密文，傳輸消息的總長度為712 bits.Sen-SDA方案中，節(jié)點發(fā)送一個消息的總長度為912 bits，其中一個傳輸?shù)南〞r間戳tt，簽名σ，發(fā)送者ID，接收者ID，密文C.CDAMA方案中，密文的大小為（k+1）×256+1 bits，其中k為網(wǎng)絡(luò)中簇的數(shù)目.RCDA-HOTO方案中，傳輸?shù)南芪腃1和對應(yīng)的簽名σi，節(jié)點發(fā)送一個消息的總長度為482 bits.各方案的通信開銷對比，如表3所示.

可以看出，本文方案實現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，有助于節(jié)省能量.雖然RCDA-HOMO方案的通信開銷比本文方案的通信開銷低，但是沒有采用時間戳來保證數(shù)據(jù)的新鮮性.而本文方案可以避免因傳輸送虛假數(shù)據(jù)包而消耗不必要的能量.除此之外，每個簇的數(shù)據(jù)包是單獨認證的，在多個虛假數(shù)據(jù)包到達基站的情況下，方案極大地節(jié)省了通信開銷.

3.4 能量消耗

計算開銷和通信開銷是影響能量消耗的兩個主要因素.通過自變量為n的函數(shù)來表示能量消耗，其中n為成員節(jié)點個數(shù).不同方案的能量消耗對比結(jié)果，如表4所示.

將CDAMA方案中的k取最小值2，詳細對比不同方案的能量消耗，計算結(jié)果如圖2所示.可以看出，本文方案在能量消耗方面是最優(yōu)的.

4 結(jié)論

基于同態(tài)加密技術(shù)設(shè)計了一種安全有效的智能電網(wǎng)WSNs安全數(shù)據(jù)融合方案，并對提出的方案進行了性能分析和安全性分析，得出以下結(jié)論：

（1）利用對稱同態(tài)加密方案來對數(shù)據(jù)的機密性和完整性進行保護，融合節(jié)點實現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，提高了數(shù)據(jù)的有效性.

（2）本方案可以避免因傳輸送虛假數(shù)據(jù)包而消耗不必要的能量.除此之外，每個簇的數(shù)據(jù)包是單獨認證的，在多個虛假數(shù)據(jù)包到達基站的情況下，方案極大地節(jié)省了通信開銷;得益于無雙線性配對的簽名方案的高效性和對稱同態(tài)加密方案的簡單高效性，本文方案的成員節(jié)點的計算代價是最低的.

（3）與現(xiàn)有方案相比本文提出的方案具有更高的消息驗證率和更低的計算開銷和通信開銷，很好地保護數(shù)據(jù)的完整性和機密性，能夠為智能電網(wǎng)WSNs安全數(shù)據(jù)聚合提供理論指導(dǎo).

參考文獻：

〔1〕劉雪艷，張強，李戰(zhàn)明，等.面向智能電網(wǎng)通信系統(tǒng)的數(shù)據(jù)聚合和訪問控制方法[J].電力系統(tǒng)自動化，2016，40（14）：135-144.

〔2〕Liehuang Zhu， Yan Liu， Feng Wang， et al. Universal Transformations for Supporting Fuzzy Keyword Search in Searchable Encryption[J]. International Journal of Wireless and Mobile Computing， 2014，12（3）：1371-1375.

〔3〕Abdallah A， Shen X S. A Lightweight Lattice-Based Homomorphic Privacy-Preserving Data Aggregation Scheme for Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， 9（1）：396-405.

〔4〕Xia J， Wang Y. Secure Key Distribution for the Smart Grid[J]. IEEE TRANSACTIONS ON SMART GRID， SEPTEMBER， 2012， （3）：1437-1443.