V2G網(wǎng)絡(luò)的安全和隱私問題研究

張雄，張海春，劉政林

V2G網(wǎng)絡(luò)的安全和隱私問題研究

張雄1，張海春2，劉政林2

（1.華中科技大學(xué)中歐清潔與可再生能源學(xué)院，湖北 武漢 430074；2.華中科技大學(xué)光學(xué)與電子信息學(xué)院，湖北 武漢 430074）

汽車充放電網(wǎng)絡(luò)（Vehcle to Grid, V2G）能夠?qū)崿F(xiàn)新能源電動汽車到智能電網(wǎng)之間的雙向能源流動和信息通信，是智能電網(wǎng)的重要一環(huán)。文章描述了V2G網(wǎng)絡(luò)的安全和隱私威脅及需求，分析了一些常見的V2G網(wǎng)絡(luò)攻擊方式，最后提出了新的安全策略來支持V2G網(wǎng)絡(luò)，包括匿名認證、環(huán)簽名、消息機密性和完整性認證。

智能電網(wǎng)；V2G；信息安全；隱私；匿名認證

前言

智能電網(wǎng)是將傳統(tǒng)電網(wǎng)轉(zhuǎn)變?yōu)槲磥怼澳茉椿ヂ?lián)網(wǎng)”的下一代電網(wǎng)[1]，集成了通信技術(shù)、信息技術(shù)和傳感測量技術(shù)。它可以實現(xiàn)對各設(shè)備、組成部分的智能調(diào)度和控制，以達到系統(tǒng)最優(yōu)化運行[2]。汽車接入電網(wǎng)（Vehicle to Grid, V2G）是智能電網(wǎng)的一項重要的能源和網(wǎng)絡(luò)服務(wù)，是電網(wǎng)與交通系統(tǒng)集成的典型應(yīng)用[3]。將汽車接入電網(wǎng)的主要目的是為汽車充電，電動汽車可以選擇向電網(wǎng)注入電力，汽車接入電網(wǎng)支持跨電網(wǎng)和電動汽車的通信和能量雙向流動，它在電動汽車與電網(wǎng)之間雙向傳遞產(chǎn)生大量信息數(shù)據(jù)，這些數(shù)據(jù)可用于提供需求負荷預(yù)測、價格預(yù)測、最優(yōu)能耗調(diào)度、備用電力等有價值的服務(wù)[3]。V2G通信網(wǎng)絡(luò)不同于其他傳統(tǒng)網(wǎng)絡(luò)，它的信息交換控制著配電網(wǎng)中的物理組件，信息或網(wǎng)絡(luò)安全威脅可能導(dǎo)致關(guān)鍵電力基礎(chǔ)設(shè)施的故障或損壞。V2G系統(tǒng)中存在的安全和隱私方面的挑戰(zhàn)將極大地影響下一代汽車接入電網(wǎng)技術(shù)的實際應(yīng)用[4]。

V2G網(wǎng)絡(luò)的安全和隱私問題已有相關(guān)研究人員廣泛研究。Saxena等人[4]提出了一種新的網(wǎng)絡(luò)安全和隱私保護架構(gòu)來支持V2G網(wǎng)絡(luò)。Eizaet[5]等人通過結(jié)合無證書公鑰加密和限制性部分盲簽名技術(shù)，提出了一種安全且隱私敏感的代理移動IPv6協(xié)議，既保證了電動汽車的位置隱私，又保持了電動汽車與充電服務(wù)之間的會話連續(xù)性。Yang等人[6]討論了V2G網(wǎng)絡(luò)中一種精確的獎勵方案，使用基于身份的限制性部分盲簽名技術(shù)在他們的方案中生成許可，確保驗證者不能通過許可證鏈接電動汽車的真實身份。但是該方案后來被證明是不安全的，其中使用的基于身份的限制性部分盲簽名生成的許可證很容易被偽造[7]。Abdallah等人[8]提出了一種針對V2G連接的隱私保護認證方案，利用哈希函數(shù)和位異或操作，設(shè)計了一個健壯的密鑰協(xié)商協(xié)議，在V2G環(huán)境中實現(xiàn)了相互認證。

但是，目前還沒有研究系統(tǒng)性地分析解決V2G網(wǎng)絡(luò)的安全性和隱私性問題。為此，在本文中我們描述了V2G網(wǎng)絡(luò)中的隱私和安全威脅以及挑戰(zhàn)，分析了網(wǎng)絡(luò)中存在的常見的攻擊方式，最后提出了針對性的隱私和安全防護策略。

1 汽車充放電網(wǎng)絡(luò)

電動汽車充放電網(wǎng)絡(luò)的主要思想是將電動汽車的蓄電池組作為儲能源，通過先進的信息和通信技術(shù)實現(xiàn)電動汽車與智慧電網(wǎng)間的能源流動。V2G利用大量的電動汽車儲能源作為智慧電網(wǎng)的緩沖能源，當電網(wǎng)的負荷比較高時，電動汽車將多余的電能反饋給電網(wǎng)；當電網(wǎng)負荷比較低時，大量電動汽車的電池組可用來存儲電網(wǎng)多余的電能，借助這種方式，可以有效地對電網(wǎng)起到“削峰填谷”的作用，還可以為電動汽車用戶帶來一定的利益[9]。

網(wǎng)可以通過V2G網(wǎng)絡(luò)與電動汽車建立雙向的信息流通信，實現(xiàn)電動汽車與電網(wǎng)之間實現(xiàn)雙向可控的電力流交換。充放電的通信網(wǎng)絡(luò)如圖1所示，包括電網(wǎng)控制中心通過匯聚單元與充電樁間的通信，充電樁與電動汽車的通信和它們在可信中心的認證通信三部分。充電樁對電動汽車的電壓、電流、充放電狀態(tài)以及電池溫度等信息實時采集，并將采集到的信息數(shù)據(jù)上傳給電網(wǎng)控制調(diào)度中心，控制中心對接收到的數(shù)據(jù)進行分析和處理，根據(jù)分析結(jié)果過對充電樁下達控制命令，實現(xiàn)電動汽車雙向可控制的與電網(wǎng)進行電力流交換，可信中心負責三者之間的可信認證[10]。具體如下：

電網(wǎng)控制中心（Grid Control Center, GCC）負責發(fā)布整個電網(wǎng)的實時電力需求和電價等相關(guān)信息，同時對電動汽車的實時狀態(tài)、位置信息以及電池使用情況等進行監(jiān)測，根據(jù)監(jiān)控的數(shù)據(jù)和電網(wǎng)的自身相關(guān)需求制定出最優(yōu)的控制策略等。

可信中心（Central Authority, CA）是一個完全可信的第三方機構(gòu)，如電力監(jiān)管部門，它主要負責整個系統(tǒng)的安全基礎(chǔ)，一般假定CA可以完全被網(wǎng)絡(luò)中的其他實體信任，具有較高的安全級別。

匯聚單元（Aggregator, AG）充電樁與上層電網(wǎng)控制中心之間的通信媒介，負責對電動汽車的充/放電操作和狀態(tài)進行監(jiān)測，并上傳給電網(wǎng)控制中心，傳達電網(wǎng)控制中心的調(diào)度命令，完成電動汽車的有序充放電操作。

充電樁（Charging Spot, CS）負責電動汽車與匯聚單元之間的數(shù)據(jù)交換。對電動汽車進行充放電的實時轉(zhuǎn)狀態(tài)進行監(jiān)測，并將相關(guān)信息上傳給控制中心，根據(jù)策略實現(xiàn)對電動汽車充電/放電的控制。

電動汽車（Electric Vehicle, EV）具有雙向能源交易能力的電動汽車，有助于維持智能電網(wǎng)的穩(wěn)定性，它們可以作為能源生產(chǎn)者，在高峰時間給電池充電，還可以在非高峰時間充電，充當能源消耗者的角色。

V2G通信網(wǎng)絡(luò)與現(xiàn)有的其他通信網(wǎng)絡(luò)有很多不同之處，比如車輛的移動性、車輛的地理位置、充放電作業(yè)、行駛方式、有限的通信范圍等。在安全方面，V2G網(wǎng)絡(luò)中的認證需要快速高效，才能支持大量預(yù)計將參與動態(tài)充放電的電動汽車。需要保護車輛身份、車型、充放電時間、充電站身份等保密信息。電動汽車可以通過分布式或集中式V2G網(wǎng)絡(luò)與智能電網(wǎng)通信，從電網(wǎng)向電網(wǎng)充放電。

圖1 電動汽車充放電網(wǎng)絡(luò)架構(gòu)

2 隱私和安全威脅

本節(jié)更詳細地描述了V2G網(wǎng)絡(luò)的各種隱私和安全威脅，包括網(wǎng)絡(luò)中的各種安全攻擊、身份跟蹤、獲取位置信息等。

2.1 隱私威脅

用戶享有有關(guān)能源消耗的隱私信息包括用戶的身份、車輛日用電量、位置等，具體包括：

（1）身份隱私。包括電動汽車用戶的真實身份信息，包括用戶的姓名、家庭住址、身份證號、駕駛證號等。電網(wǎng)需要對身份信息進行驗證以保證為用戶提供個性化的服務(wù)。

（2）位置隱私。電動汽車的位置等相關(guān)信息，如果攻擊者獲得相關(guān)的位置隱私，就可以通過跟蹤監(jiān)視用戶的行為，輕易地獲知其他敏感信息。

（3）電池狀態(tài)隱私。包括電動汽車電池的電壓、電量、使用狀態(tài)等信息。攻擊者可以根據(jù)電池狀態(tài)推斷出用戶的用電喜好、生活習(xí)慣，甚至是用戶位置及個人身份等隱私信息。

受損害的匯聚中心可以檢索車輛的信息，并通過將信息傳遞給攻擊者而濫用該信息。匯聚中心還可以跟蹤特定車輛的信息，比如充電站的位置以及車輛在充電站停留了多長時間。如果汽車經(jīng)常在特定充電站充電或放電，也可以追蹤車主的計時模式。對充放電操作的選擇和每輛車電池的將私人信息泄露給匯聚中心，攻擊者可以檢索這些信息并存儲用戶歷史記錄。

2.2 安全威脅

攻擊者可能會對V2G網(wǎng)絡(luò)進行攻擊，如竊聽和重放攻擊、假冒攻擊、中間人攻擊、基于流量的DoS攻擊等，以下場景描述了V2G網(wǎng)絡(luò)中不同類型的攻擊，探討電動汽車充放電網(wǎng)絡(luò)組件上的幾種典型攻擊向量。

2.2.1竊聽和重放攻擊

攻擊者在電動汽車和充電樁通信鏈路間以監(jiān)聽抓包等方式手段獲取通信數(shù)據(jù)，造成汽車身份、位置和電池狀態(tài)數(shù)據(jù)等隱私數(shù)據(jù)泄露。同時攻擊者可以攔截、注入或重新發(fā)送以前發(fā)送的消息，以便執(zhí)行重放攻擊，這可能導(dǎo)致電動車注冊身份被盜用或偽造憑證以獲取其他電動車用戶獲取充電服務(wù)。

圖2 竊聽和重放攻擊

2.2.2假冒攻擊

如果攻擊者知道受害者電動汽車或匯聚器的身份或會話密鑰，它就可以執(zhí)行假冒攻擊。攻擊者可以假冒車輛，使用偽造的身份生成消息的散列，代表受害車輛將完整的消息發(fā)送到各自的充電樁。攻擊者也可以假冒充電樁，向車輛發(fā)送偽造信息。

圖3 假冒攻擊

2.2.3中間人攻擊

中間人攻擊是一種對通信鏈路的間接攻擊方式，將攻擊者置于通信鏈中，嗅探、偽造以及篡改通信數(shù)據(jù)。如果車輛或充電樁的私鑰被泄露，或者源實體的身份和簽名沒有得到驗證，攻擊者可以生成共享密鑰。作為攻擊者可以假冒充電樁，竊取車輛提供的信息，然后使用這些信息從合法的充電樁訪問系統(tǒng)。

圖4 中間人攻擊

2.2.4基于流量的DoS攻擊

攻擊者向匯聚器發(fā)送大量的充電或放電請求，建立半開的連接，拒絕完成連接，最終耗盡匯聚器的網(wǎng)絡(luò)資源，這將導(dǎo)致充電站無法為需要電力服務(wù)的合法車輛提供充放電服務(wù)，即充電站癱瘓。

圖5 基于流量的DoS攻擊

3 V2G網(wǎng)絡(luò)安全目標

3.1 隱私安全目標

根據(jù)以上分析，當電動汽車接入充電站時，必須保護電動汽車的隱私，所提出的解決方案必須滿足V2G網(wǎng)絡(luò)中的以下隱私目標：

（1）身份匿名。車輛的身份不應(yīng)該被披露，因為不受信任的聚合者也可以接收車輛的信息，并通過將信息傳遞給攻擊者來濫用信息。

（2）車輛不可追溯性。策略應(yīng)保持車輛不可追溯性，使攻擊者無法區(qū)分兩條不同的消息（帶有偽身份和車輛位置、電池狀態(tài)、選擇帶時間信息的充放電）是來自同一輛車還是來自兩輛不同的車輛。如果對手不能以高于隨機猜測的概率猜出正確的車輛，則策略滿足不可追溯性。

3.2 認證安全目標

提出的防護策略必須滿足V2G網(wǎng)絡(luò)的以下安全目標：

（1）相互認證。V2G網(wǎng)絡(luò)必須提供車輛與匯聚中心或注冊機構(gòu)之間的相互認證，此過程有助于保護網(wǎng)絡(luò)免受仿冒攻擊和中間人攻擊。充電站的車輛必須能夠安全地與聚合器通信，任何假冒或惡意的車輛都不能連接到充電站進行充放電操作。

（2）信息機密性。機密性V2G網(wǎng)絡(luò)的強制性目標，私人信息必須是秘密的或隱藏的，以便為傳輸信息提供機密性，加密用于為消息提供機密性。

（3）消息完整性。保證V2G網(wǎng)絡(luò)中所有傳輸消息的完整性。對于每個發(fā)送的消息，都需要驗證在消息傳輸過程中是否發(fā)生了任何違規(guī)行為。

4 V2G網(wǎng)絡(luò)安全和隱私防護策略

下面詳細描述了防護V2G網(wǎng)絡(luò)安全性和隱私性方面的策略。

4.1 匿名認證

V2G網(wǎng)絡(luò)的安全需求不同于典型的認證系統(tǒng)，必須要求對車輛進行匿名認證，保護車輛的個人隱私信息。該網(wǎng)絡(luò)必須保持身份匿名性和不可跟蹤性屬性，只有認證服務(wù)器知道并驗證車輛的實際身份，但通信服務(wù)器和充電設(shè)施等中間實體并不知道。車輛驗證的一種選擇是使用可信的第三方，向可信的用戶提供充放電服務(wù)，然而第三方可能會受到外部或惡意的內(nèi)部操作人員的威脅。

由此我們選擇匿名認證策略，匿名認證可以使用各種技術(shù)來實現(xiàn)，如環(huán)簽名、盲簽名方案和部分盲簽名方案。V2G網(wǎng)絡(luò)中的電動汽車本質(zhì)上是動態(tài)的，很多車輛經(jīng)常離開和加入網(wǎng)絡(luò)。因此，在每個不同的地理區(qū)域組成一個動態(tài)組可以處理這種情況。一旦形成一個動態(tài)組，會生成一個初始密鑰進行認證，使得車輛可以加入和離開網(wǎng)絡(luò)。為了在不影響其他車輛參與的情況下保持鍵的獨立性，需要保證組結(jié)構(gòu)的改變會準確地改變相應(yīng)的組鍵。匿名可以確保匯聚器無法知道車輛的身份，而只是驗證車輛是否屬于一個經(jīng)過授權(quán)的車輛組。

4.2 環(huán)簽名

為了在對消息進行簽名時保護車輛身份，可以采用環(huán)簽名策略。環(huán)簽名允許充電設(shè)施輕松地驗證簽名屬于一組注冊車輛中的某一輛，但是充電設(shè)施不能識別到消息簽名的實際車輛信息。環(huán)簽名可用于充電站為大量車輛提供服務(wù)的情況。在一個大的隊列中，可以形成數(shù)量有限的少數(shù)群體，車輛使用群組中所有成員車輛的有序公鑰創(chuàng)建環(huán)簽名。環(huán)簽名沒有組管理員、沒有設(shè)置和撤銷過程、沒有協(xié)作，不需要任何可信的授權(quán)。在V2G網(wǎng)絡(luò)中生成環(huán)簽名時，任何車輛都可以選擇任意數(shù)量的可能簽名者車輛（包括自己），使用自己的密鑰和其他車輛的公鑰對消息進行簽名，甚至不需要得到其他車輛的批準。對于支持大車輛群的理想群簽名方案，群公鑰、群私鑰和簽名的長度與群內(nèi)車輛數(shù)無關(guān)。

4.3 同態(tài)加密

為了保證在V2G通信網(wǎng)絡(luò)上傳輸?shù)南⒌陌踩?，對信息機密性和消息完整性認證提出了很高的要求。同態(tài)加密是保護匯聚信息的一種很好的解決方案。它通過將加密消息從車輛傳輸?shù)絽R聚單元來維護端到端的信息機密性。然而，匯聚器不能解密消息信息，而是對從不同車輛接收到的數(shù)據(jù)執(zhí)行不同的操作。在V2G網(wǎng)絡(luò)中，為了維護消息完整性，可以使用散列函數(shù)或消息驗證功能（MAC）來進行簽名和校驗。加密和完整性可以通過先加密后驗證、先校驗后加密或同時加密校驗等方式實現(xiàn)。其中，先加密后驗證被認為是最安全的模式。

5 結(jié)語

本文系統(tǒng)描述了V2G汽車充放電網(wǎng)絡(luò)在安全性和隱私方面面臨的威脅和挑戰(zhàn)，由此針對性地提出了相應(yīng)的安全目標。最后我們通過一系列的防護策略架構(gòu)來保證V2G網(wǎng)絡(luò)的安全性和隱私性，包括通過匿名身份驗證、環(huán)簽名來實現(xiàn)隱私性防護，通過同態(tài)加密來實現(xiàn)消息保密和完整性防護。上述提出的安全策略為構(gòu)建更安全、更隱私的智能V2G網(wǎng)絡(luò)提供了框架，從而使V2G網(wǎng)絡(luò)中的所有參與者都更不受安全攻擊的影響。

[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網(wǎng)技術(shù)綜述[J].電網(wǎng)技術(shù),2009, 33(08):1-7.

[2] 董朝陽,趙俊華,文福拴,等.從智能電網(wǎng)到能源互聯(lián)網(wǎng):基本概念與研究框架[J].電力系統(tǒng)自動化,2014,38(15):1-11.

[3] 項頂,宋永華,胡澤春,等.電動汽車參與V2G的最優(yōu)峰谷電價研究[J].中國電機工程學(xué)報,2013,33(31):15-25+2.

[4] N.Saxena,S.Grijalva,V.Chukwuka,et al.Network Security and Privacy Challenges in Smart Vehicle-to-Grid[J].IEEE Wireless Communica- tions,2017,24(4): 88-98.

[5] M. H. Eiza, Q.Shi, A.Marnerides, et al.Secure and privacy-aware proxy mobile IPv6 protocol for vehicle-to-grid networks[C].IEEE International Conference on Communications (ICC),2016:1-6.

[6] Yang Z, Yu S, Lou W, et al.Privacy-Preserving Communication and Precise Reward Architecture for V2G Networks in Smart Grid[J]. Ieee Transactions on Smart Grid,2011,2(4):697-706.

[7] Hu X,Huang S.Analysis of ID-based restrictive partially blind signa- tures and applications[J].Journal of Systems and Software,2008, 81 (11):1951-1954.

[8] Abdallah A,Shen X.Lightweight Authentication and Privacy- Preser- ving Scheme for V2G Connections[J].IEEE Transactions on Vehicular Technology,2016:1-1.

[9] 劉曉飛,張千帆,崔淑梅.電動汽車V2G技術(shù)綜述[J].電工技術(shù)學(xué)報,2012,27(02):121-127.

[10] 李積強.電動汽車智能充電的信息安全認證機制研究[D].北京:華北電力大學(xué)(北京),2017.

Research on Security and Privacy of V2G Network

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU Institute for Clean and Renewable Energy, Huazhong University of Science and Technology,Hubei Wuhan 430074; 2.School of Optical and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

Vehicle to Grid network (V2G) is an important part of smart grid, which can realize the two-way energy flow and information communication between new energy electric vehicles and smart grids. In this paper, we describe the security and privacy threats and requirements of V2G networks, analyze some common V2G network attacks, and finally put forward new security policies to support V2G networks, including anonymous authentication, ring signature, information confidentiality and integrity authentication.

Smart grid;V2G;Information security;Privacy;Anonymous authentication

U495

A

1671-7988(2021)23-12-04

U495

A

1671-7988(2021)23-12-04

10.16638/j.cnki.1671-7988.2021.023.004

張雄（1997—），男，就讀于華中科技大學(xué)中歐清潔與可再生能源學(xué)院新能源科學(xué)與工程專業(yè)，研究方向為新能源汽車、V2G網(wǎng)絡(luò)、車聯(lián)網(wǎng)安全等。

國家重點研發(fā)計劃資助項目（2019 YFB1310001）。