基于噪聲與聚合簽密的智能電網(wǎng)數(shù)據(jù)隱私保護(hù)方案

謝光敏，黎師良

（西華大學(xué)計(jì)算機(jī)與軟件工程學(xué)院，成都 610039）

0 引言

智能電網(wǎng)有著安全、可靠、高效率等諸多優(yōu)點(diǎn)，因此越來(lái)越受到人們的關(guān)注。然而，在智能電網(wǎng)如火如荼發(fā)展的同時(shí)，也面臨一些新的風(fēng)險(xiǎn)。例如，智能電網(wǎng)中用電數(shù)據(jù)泄露會(huì)導(dǎo)致用戶生活隱私也被泄露，因?yàn)榭梢岳弥悄茈姳淼募?xì)粒度功耗數(shù)據(jù)來(lái)揭示消費(fèi)者的日常工作或房屋內(nèi)設(shè)備有關(guān)的私人信息。例如，根據(jù)用電數(shù)據(jù)分析得到用戶某時(shí)刻不在家，然后對(duì)其實(shí)施盜竊。為了防止惡意的用戶訪問(wèn)或惡意的篡改數(shù)據(jù)，保護(hù)智能電網(wǎng)的安全，因此在電網(wǎng)中傳輸消息應(yīng)該進(jìn)行認(rèn)證和加密?，F(xiàn)階段智能電網(wǎng)的用電數(shù)據(jù)隱私保護(hù)主要從兩方面來(lái)進(jìn)行，一方面是用戶的身份隱私保護(hù)，另一方面是用電數(shù)據(jù)保護(hù)。

身份匿名技術(shù)是實(shí)現(xiàn)身份隱私保護(hù)的關(guān)鍵技術(shù)之一。其基本思想是攻擊者即使竊取了某用戶的智能電表細(xì)粒度功耗數(shù)據(jù)，也不能實(shí)現(xiàn)將數(shù)據(jù)與用戶身份進(jìn)行一一關(guān)聯(lián)，從而實(shí)現(xiàn)保護(hù)數(shù)據(jù)隱私。匿名技術(shù)主要有群簽名、盲簽名、環(huán)簽名等。文獻(xiàn)[1]中采用群簽名來(lái)實(shí)現(xiàn)保護(hù)用戶的身份隱私，但該技術(shù)無(wú)法實(shí)現(xiàn)將用戶的身份與其用電數(shù)據(jù)進(jìn)行一一關(guān)聯(lián)，因此不能實(shí)現(xiàn)計(jì)費(fèi)統(tǒng)計(jì)功能。在文獻(xiàn)[2，3]中用盲簽名來(lái)保護(hù)身份隱私從而實(shí)現(xiàn)不可追蹤性，但電力公司只能獲取區(qū)域總電量，而不能獲得具體用戶的用電數(shù)據(jù)從而也不能實(shí)現(xiàn)計(jì)費(fèi)統(tǒng)計(jì)功能。盲簽名技術(shù)還存在計(jì)算復(fù)雜度較高等問(wèn)題，在實(shí)際場(chǎng)景并不適用。在文獻(xiàn)[4]中，一種基于環(huán)簽名的方案來(lái)保護(hù)用戶的使用情況。但是，其計(jì)算成本隨環(huán)的大小而增加。

聚合技術(shù)是現(xiàn)階段一種比較實(shí)用的用電隱私保護(hù)方法，聚合技術(shù)基本思想是通過(guò)聚合方法來(lái)掩蓋用電數(shù)據(jù)，這樣即使攻擊者識(shí)破了用戶身份，也不知道該用戶的真實(shí)用電數(shù)據(jù)，從而達(dá)到隱私保護(hù)的目的。文獻(xiàn)[5]采用了聚合技術(shù)對(duì)用戶電量進(jìn)行聚合，聚合技術(shù)導(dǎo)致不能知道用戶具體用電細(xì)節(jié)，所以不能針對(duì)單個(gè)用戶做一些增值服務(wù)，如計(jì)費(fèi)統(tǒng)計(jì)功能等。文獻(xiàn)[6，7，8]采用同態(tài)加密與數(shù)據(jù)聚合技術(shù)的結(jié)合來(lái)實(shí)現(xiàn)數(shù)據(jù)隱私的保護(hù)，但這些方案的通信和計(jì)算的開(kāi)銷(xiāo)和復(fù)雜度較大，不太符合在真實(shí)的環(huán)境中運(yùn)用。

文獻(xiàn)[9]采用掩蔽隨機(jī)數(shù)與聚合簽密相結(jié)合的方法。其中，可以用掩蔽隨機(jī)數(shù)來(lái)實(shí)現(xiàn)掩蓋用戶真實(shí)的用電數(shù)據(jù)。聚合簽密技術(shù)可以對(duì)用電數(shù)據(jù)進(jìn)行加密和認(rèn)證從而保證通信過(guò)程中的數(shù)據(jù)安全。這里的掩蔽隨機(jī)數(shù)是按照一定規(guī)則來(lái)添加的，能夠正確執(zhí)行計(jì)費(fèi)功能。其基本思想如下：

（1）區(qū)域網(wǎng)關(guān)根據(jù)電量的測(cè)量次數(shù)和某區(qū)域用戶個(gè)數(shù)生成的一個(gè)隨機(jī)二維矩陣。矩陣滿足每一行和每一列的數(shù)相加為0，然后將生成的隨機(jī)矩陣發(fā)送給用戶。

（2）用戶收到隨機(jī)矩陣后，將隨機(jī)矩陣與用電數(shù)據(jù)結(jié)合，再通過(guò)聚合簽密技術(shù)來(lái)實(shí)現(xiàn)用電數(shù)據(jù)的機(jī)密性，最后發(fā)送給控制中心。

（3）控制中心解密后得到添加了掩蔽隨機(jī)數(shù)的用電數(shù)據(jù)并進(jìn)行計(jì)費(fèi)。因?yàn)?，隨機(jī)矩陣是按照一定規(guī)則生成的，所以方案中用戶的用電數(shù)據(jù)能夠得到正確的統(tǒng)計(jì)和計(jì)費(fèi)。也因?yàn)榘l(fā)送的用電數(shù)據(jù)是添加了掩蔽隨機(jī)數(shù)，攻擊者無(wú)法正確的獲得用電真實(shí)數(shù)據(jù)，從而達(dá)到用電數(shù)據(jù)機(jī)密性。

此方案的隱私保護(hù)依賴于掩蔽隨機(jī)數(shù)與聚合簽密。通過(guò)分析發(fā)現(xiàn)，此方案仍然存在安全隱患。生滿足要求的隨機(jī)矩陣時(shí)，如果區(qū)域網(wǎng)關(guān)出錯(cuò)產(chǎn)生了不符合要求的隨機(jī)矩陣，會(huì)導(dǎo)致最終的用電數(shù)據(jù)錯(cuò)誤和計(jì)費(fèi)錯(cuò)誤。而且在該方案的聚合簽密階段，采用的是效率較低的雙線性對(duì)映射構(gòu)造，與乘法運(yùn)算和指數(shù)運(yùn)算及其他運(yùn)算相比，雙線性的成本和復(fù)雜度要高很多[10]。

針對(duì)文獻(xiàn)[9]方案的問(wèn)題，本文提出了基于噪聲與聚合簽密的智能電網(wǎng)數(shù)據(jù)隱私保護(hù)方案。并在隨機(jī)預(yù)言機(jī)模型下，基于離散對(duì)數(shù)困難性問(wèn)題和計(jì)算Diffi-Hellman機(jī)密性。最后通過(guò)性能分析表證明本方案安全、高效，更適合智能電網(wǎng)中的數(shù)據(jù)采集系統(tǒng)。

1 預(yù)備知識(shí)

1.1 相關(guān)困難性問(wèn)題

（1）計(jì)算Diffie-Hellman困難問(wèn)題(CDHP)：設(shè)G是一個(gè)大素?cái)?shù)階為q的加法循環(huán)群，P是G的生成元，給定aP,bP∈G，a,b∈要求計(jì)算abP。

（2）離散對(duì)數(shù)困難問(wèn)題(DLP)：設(shè)G是一個(gè)階為q的加法循環(huán)群，P是G的生成元，給定P,aP∈G，a∈，計(jì)算a。

1.2 安全模型

參照文獻(xiàn)[12]中的安全模型，本方案面臨兩類(lèi)攻擊者AI和AII。其中，AI類(lèi)攻擊者。他無(wú)法獲得系統(tǒng)的主密鑰，可以獲得所有簽密者的公鑰。本文中分為了敵手，他試圖攻破本方案的機(jī)密性，敵手是試圖攻破本方案的不可偽造性。AII類(lèi)攻擊者。他是控制中心，可以知道系統(tǒng)的主密鑰，以及用戶的部分私鑰和部分公鑰。但是不能獲知簽密用戶的私鑰，也不可以更換用戶公鑰。文獻(xiàn)[12]詳細(xì)介紹了AI和AII兩類(lèi)敵手是如何破解方案的不可偽造性和機(jī)密性。

2 方案設(shè)計(jì)

2.1 設(shè)計(jì)思想

本方案從保護(hù)用電數(shù)據(jù)隱私出發(fā)，在用電數(shù)據(jù)中加入噪聲以模糊用電數(shù)據(jù)。聚合簽密技術(shù)可以實(shí)現(xiàn)用電數(shù)據(jù)的認(rèn)證和加密。加入噪聲是在自動(dòng)化智能儀表SM中完成，加入噪聲后可以防止非侵入式負(fù)載監(jiān)視器（NILM）[13]等攻擊機(jī)制獲得的測(cè)量信息，這樣用戶可以在自動(dòng)化智能儀表SM中正確繳費(fèi)，而不受到攻擊。方案中噪聲是由用戶ID、用戶部分私鑰、時(shí)間戳、作為隨機(jī)種子。生成的隨機(jī)噪聲加入用電數(shù)據(jù)后再用聚合簽密技術(shù)保證通信安全。

2.2 方案實(shí)體描述

本方案采用三層通信模型[9]，包括用戶、區(qū)域網(wǎng)關(guān)、控制中心三個(gè)實(shí)體，如圖1所示。

圖1 數(shù)據(jù)傳輸圖

假設(shè)電力控制中心CC可以覆蓋m個(gè)區(qū)域網(wǎng)關(guān)，每個(gè)區(qū)域網(wǎng)關(guān)由n個(gè)用戶網(wǎng)絡(luò)組成。此外，每個(gè)用戶分配自動(dòng)化智能儀表SM以實(shí)現(xiàn)與區(qū)域網(wǎng)關(guān)BG之間的雙向通信。

控制中心CC：負(fù)責(zé)系統(tǒng)的初始化，生成系統(tǒng)參數(shù)，用戶信息管理，以及接收來(lái)自區(qū)域網(wǎng)關(guān)BG的消息驗(yàn)證和解密等功能。

區(qū)域網(wǎng)關(guān)BG：負(fù)責(zé)接收來(lái)從智能電網(wǎng)發(fā)來(lái)的通訊數(shù)據(jù)，并對(duì)其進(jìn)行聚合。若驗(yàn)證通過(guò)則發(fā)給CC。

用戶Ui：每個(gè)用戶配有一個(gè)自動(dòng)化智能儀表SM，用戶在智能儀表SM中進(jìn)行繳費(fèi)，并周期性將用電數(shù)據(jù)發(fā)給BG。

3 方案實(shí)現(xiàn)

3.1 系統(tǒng)初始化

輸入?yún)?shù)k，生成兩個(gè)大素?cái)?shù)p,q，且滿足q|p-1。G是橢圓曲線上的循環(huán)群，P為G中任意一個(gè)階為q的生成元，哈希函數(shù)其中，l1為用戶身份標(biāo)識(shí)的長(zhǎng)度，l2為加密數(shù)據(jù)的長(zhǎng)度。CC隨機(jī)選擇一個(gè)s∈作為主密鑰。計(jì)算ypub=sP，保存主密鑰。公開(kāi)參數(shù)params={p,q,G,ypub,H1,H2,H3}。CC把計(jì)費(fèi)周期T和時(shí)隙t發(fā)送給BG，BG再轉(zhuǎn)發(fā)給用戶。

3.2 噪聲生成

根據(jù)文獻(xiàn)[10]的噪聲生成方法在用戶用電數(shù)據(jù)中添加噪聲可以保護(hù)用電實(shí)際數(shù)據(jù)，防止敵手非侵入式負(fù)載監(jiān)視器等攻擊機(jī)制獲得的測(cè)量信息，從而在自動(dòng)化智能儀表SM中獲得用電數(shù)據(jù)。該過(guò)程在自動(dòng)化智能儀表SM中完成。具體步驟如下：

（1）假設(shè)第i個(gè)用戶在t時(shí)間內(nèi)用電原始測(cè)量數(shù)據(jù)為，（用戶i在時(shí)隙為t中真實(shí)的儀表數(shù)據(jù)），其中t∈[1,…,N]（N代表負(fù)載配置大?。┰紲y(cè)量報(bào)告為（加入噪聲之前，用戶i在時(shí)隙為t中能夠測(cè)量的儀表數(shù)據(jù)）。最終測(cè)量報(bào)告為。（加入噪聲之后，用戶i在時(shí)隙為t中最終測(cè)量?jī)x表數(shù)據(jù)）。

（3）原始測(cè)量報(bào)告生成：滿足下面條件，在每個(gè)時(shí)隙內(nèi)原始測(cè)量報(bào)告等于當(dāng)前時(shí)隙內(nèi)的測(cè)量數(shù)據(jù)值減去下一個(gè)時(shí)隙的噪聲。計(jì)算：

（4）最終報(bào)告生成：最終報(bào)告等于原始測(cè)量報(bào)告加上噪聲。計(jì)算

因?yàn)橐粋€(gè)計(jì)費(fèi)周期中第一個(gè)時(shí)隙和最后一個(gè)時(shí)隙的噪聲因子為0，所以最終測(cè)量報(bào)告和原始測(cè)量數(shù)據(jù)參與計(jì)費(fèi)結(jié)果都一樣。

3.3 用戶密鑰生成

（1）用 戶Ui(1≤i≤n)隨 機(jī) 選 擇，計(jì)算，將身份標(biāo)識(shí)IDi和Xi發(fā)送給CC。

（2）CC隨 機(jī) 選 擇，計(jì)算Yi=wiP，Di=wi+sH1(IDi,Xi,Yi)+H3(IDi,Yi,sXi)，將 (Di,Yi)發(fā)送給用戶。（這里不需要安全信道）

（3）為確保(Di,Yi)的有效性，用戶IDi可以通過(guò)驗(yàn)證Yi+ypubH1(IDi,Xi,Yi)+PH3(IDi,Yi,xiypub)=DiP是否成立，如果成立，通過(guò)計(jì)算得出CC的部分私鑰yi=Di-H3(sXi)=wi+sH1(IDi,Xi,Yi)。因此用戶的私鑰為(xi,yi)，公鑰為（Xi,Yi）。同樣CC的私鑰為 (xcc,ycc)，公鑰為（Xcc,Ycc）。

3.4 用電數(shù)據(jù)簽密

用戶Ui將加入噪聲的最終報(bào)告發(fā)給BG。用戶Ui(1≤i≤n)隨機(jī)選擇ri，計(jì)算：

3.5 聚合簽密

BG收到用戶Ui的密文σ=(Si,Ri,Ci)后進(jìn)行聚合。計(jì)算即為聚合簽密。BG再將聚合簽密發(fā)給CC。

3.6 驗(yàn)證及解聚合簽密

CC收到BG發(fā)送后的聚合密文σ=(S,R1,R2,…,Rn,C1,C2,…,Cn)，首先對(duì)BG的簽名驗(yàn)證，驗(yàn)證是否滿足以下等式：

如果等式成立，證明聚合密文有效，CC用自已私鑰執(zhí)行以下步驟，否則CC拒絕接受聚合密文。

3.7 數(shù)據(jù)保存

CC根據(jù)得到和用戶ID分別進(jìn)行存儲(chǔ)，并可以實(shí)現(xiàn)計(jì)算各地方區(qū)域的電量總和。根據(jù)總電量，CC可以了解各個(gè)區(qū)域的用電情況，根據(jù)用電情況來(lái)進(jìn)行分析并制定電費(fèi)價(jià)格。也可以根據(jù)不同時(shí)間的總電量來(lái)制定高峰期用電價(jià)格和低峰期用電價(jià)格等。

4 方案的安全性分析

4.1 正確性分析

要證明本文方案是正確的，只需驗(yàn)證聚合簽密密文σ=(S,R1,R2,…,Rn,C1,C2,…,Cn)的合法性及明文的正確性，具體如下：

解密密文的正確性檢查：

4.2 本方案滿足機(jī)密性

隨機(jī)預(yù)言模型下，基于DL困難問(wèn)題，本文提出的方案具有不可偽造性。

證明：在AI類(lèi)型下攻擊不可偽造

如果攻擊者想要假冒用戶進(jìn)行簽密，那么他就要偽造簽名C，然而偽造簽名C就要知道簽密者的隨機(jī)因子r和私鑰(xiyi)，以及系統(tǒng)的主密鑰，即使攻擊者知道Ri，想用Ri來(lái)算出ri也不可能的，除非能夠解決CDH問(wèn)題。同樣即使知道y，p，求出主密鑰也是不可能的，也是基于CDH問(wèn)題。同時(shí)，攻擊者想要偽造Si也是不可能的，因?yàn)镾i=yi+(xi+ri)h2，因?yàn)楣粽卟豢赡塬@得用戶私鑰(xiyi)和ri。

證明：AI類(lèi)型下攻擊不可偽造

假如控制中心CC想要冒充某個(gè)用戶進(jìn)行簽密，那么他需要偽造簽名C，然而需要偽造簽名C，即使控制中心已經(jīng)知道系統(tǒng)主密鑰si，以及簽密者xi，可以計(jì)算yi=wi+sH1(IDCC,XCC,YCC)，從而知道用戶私鑰(xiyi)。但是攻擊者仍然不知道用戶隨機(jī)選擇的ri，也不可能偽造Si，除非能夠解決CDH問(wèn)題。

5 結(jié)語(yǔ)

聚合簽密技術(shù)與隨機(jī)噪聲的結(jié)合不僅能夠保護(hù)通訊過(guò)程中的通訊安全，隨機(jī)噪聲還能夠?qū)φ鎸?shí)的用電數(shù)據(jù)進(jìn)行隱藏。本文提出一種基于噪聲與聚合簽密的智能電網(wǎng)數(shù)據(jù)隱私保護(hù)方案。方案從保護(hù)真實(shí)用電數(shù)據(jù)安全性出發(fā)，達(dá)到用戶用電數(shù)據(jù)保護(hù)的目的。并且在本方案算法中，僅采用橢圓曲線上的模乘運(yùn)算，具有高性率性，更加適合于真實(shí)智能電網(wǎng)環(huán)境。最后，證明了其不可以偽造性，用電數(shù)據(jù)的機(jī)密性，同時(shí)還可以進(jìn)行計(jì)費(fèi)，符合真實(shí)的應(yīng)用環(huán)境。