面向電力物聯(lián)網(wǎng)流數(shù)據(jù)的一種具有隱私保護(hù)的KNN查詢方法

摘 要：電力物聯(lián)網(wǎng)是一個(gè)智慧服務(wù)系統(tǒng)，為人們提供了狀態(tài)全面感知、信息高效處理、應(yīng)用便捷靈活的服務(wù)，然而在享受服務(wù)的同時(shí)卻面臨著隱私泄露的風(fēng)險(xiǎn)。目前有關(guān)電力數(shù)據(jù)的隱私保護(hù)的成果主要集中在安全聚合，對(duì)于諸多基礎(chǔ)服務(wù)的核心技術(shù)（如KNN查詢）卻鮮有涉及。與傳統(tǒng)關(guān)系型數(shù)據(jù)不同的是，電力物聯(lián)網(wǎng)采集的是用戶用電的流數(shù)據(jù)，并且電力參數(shù)的各數(shù)據(jù)之間還具有動(dòng)態(tài)相關(guān)性，攻擊者可以通過(guò)數(shù)據(jù)挖掘等手段推測(cè)未來(lái)數(shù)據(jù)的變化趨勢(shì)。為此，提出了一種具有隱私保護(hù)的KNN查詢方法。首先，提出了基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界；同時(shí)通過(guò)該模型，能將相似性度量轉(zhuǎn)換為集合的交操作；構(gòu)造了一種隱私保護(hù)函數(shù)，通過(guò)代入不同參數(shù)，可為各智能終端生成不同的數(shù)據(jù)隱私保護(hù)函數(shù)和查詢隱私保護(hù)函數(shù)；在此基礎(chǔ)上，提出了基于桶劃分和隨機(jī)數(shù)分配的數(shù)據(jù)編碼方案，編碼數(shù)據(jù)經(jīng)過(guò)隱私保護(hù)函數(shù)加密后，具有密文不可區(qū)分的特點(diǎn)，能有效抵抗選擇明文攻擊、數(shù)據(jù)挖掘攻擊、統(tǒng)計(jì)分析攻擊、ICA攻擊以及推理預(yù)測(cè)等攻擊手段。分析和仿真表明，提出的安全KNN查詢方法不僅具有較高的安全性，而且開銷較低。

關(guān)鍵詞： 電力物聯(lián)網(wǎng)；隱私保護(hù)；安全KNN查詢；邊緣服務(wù)器

中圖分類號(hào)： TP393文獻(xiàn)標(biāo)志碼：A 文章編號(hào)： 1001－3695（2024）04－035－1198－10

doi： 10.19734/j.issn.1001－3695.2023.07.0342

Privacy－preserving KNN query method for streaming data in power Internet of Things

Yi Yeqing Yi Yingjie2， Liu Yunru Mao Yimin1

（1.School of Information Engineering， Shaoguan University， Shaoguan Guangdong 512005， China; 2.Shenzhen Institute for Advanced Study， University of Electronic amp; Technology of China （UESTC）， Shenzhen Guangdong 518038， China）

Abstract：The power Internet of Things （PIoT） is a smart service system that offers full－state awareness， efficient information processing， and convenient and flexible applications to users. However， these services also pose a risk of privacy leakage. The existing research on privacy protection of power data mainly concentrates on secure aggregation， but seldom addresses the core technology of many basic services， such as KNN query. Unlike traditional relational dat the PIoT collects flowing data of user electricity consumption， and thevarious power parameters exhibit dynamic correlations. Attackers can use data mining andother methods to infer future trends in data changes. Therefore， this paper proposed a privacy－preserving KNN query method. Firstly， it proposed a similarity measurement model based on bucket distance， and proved the upper and lower bounds of the error between the similarity measurement model based on bucket distance and the similarity measurement model based on Euclidean distance. Through this model， the similarity measurement could be transformed into set intersection operations. Then， it constructed a privacy－preserving function，which could generate different data privacy－preserving functions and query privacy－ preserving functions for various smart terminals by substituting different parameters. Based on this， it proposed a data encoding scheme based on bucket partitioning and random number allocation. After being encrypted by the privacy－preserving function， the encoded data possessed the characteristic of ciphertext indistinguishability， and could effectively resist various attacks such as chosen plaintext attacks， data mining attacks， statistical analysis attacks， ICA attacks， and inference prediction attacks. Analysis and simulation demonstrate that the proposed secure KNN query method not only has high security but also has low overhead. Key words：power Internet of Things（PIoT）; privacy protection; secure KNN query; edge server

0 引言

電力物聯(lián)網(wǎng)是一個(gè)智慧服務(wù)系統(tǒng)，充分利用了現(xiàn)代信息技術(shù)，如移動(dòng)互聯(lián)和人工智能，以及先進(jìn)通信技術(shù)，實(shí)現(xiàn)了電力系統(tǒng)各個(gè)環(huán)節(jié)的萬(wàn)物互聯(lián)和人機(jī)交互， 具有全面感知電力系統(tǒng)狀態(tài)、高效處理信息和靈活便捷的應(yīng)用特征。電力物聯(lián)網(wǎng)通過(guò)智能終端采集了大量用戶用電的細(xì)粒度的流數(shù)據(jù)傳送給云服務(wù)器，并通過(guò)分析數(shù)據(jù)中的潛在信息， 從而輔助智能系統(tǒng)作出精準(zhǔn)的決策。電力物聯(lián)網(wǎng)不僅使電網(wǎng)變得更“聰明”，也能夠帶動(dòng)更多相關(guān)產(chǎn)業(yè)產(chǎn)生協(xié)同效應(yīng)，已被列為國(guó)家電網(wǎng)的建設(shè)重點(diǎn)，然而遺憾的是，電力物聯(lián)網(wǎng)在為人們的生活提供多種增值服務(wù)的同時(shí)，也帶來(lái)了一些隱私安全問(wèn)題［ 2］。比如，用戶的用電數(shù)據(jù)經(jīng)過(guò)一些有效的分析，可以從中獲得用戶的生活習(xí)慣、生產(chǎn)能力、用電行為模式等敏感信息，從而導(dǎo)致商業(yè)機(jī)密或用戶隱私的泄露。 近年來(lái)，隨著人們對(duì)隱私保護(hù)意識(shí)的不斷提高，相關(guān)的成果不斷地被報(bào)道。從公開報(bào)道的成果來(lái)看，有關(guān)電力數(shù)據(jù)隱私方面的成果主要是為了解決在不泄露隱私的情況下計(jì)算總/平均的用電量。主要的技術(shù)手段有匿名技術(shù)［3～6］、安全數(shù)據(jù)聚合技術(shù)［7～12］和擾動(dòng)技術(shù)［13～20］三類，然而對(duì)于更加復(fù)雜的KNN查詢，目前尚未檢索到有關(guān)的文獻(xiàn)報(bào)道。電力物聯(lián)網(wǎng)內(nèi)的數(shù)據(jù)通常是流數(shù)據(jù)，KNN查詢是電力物聯(lián)網(wǎng)諸多應(yīng)用的核心技術(shù)，它將k個(gè)與查詢條件最為接近的對(duì)象作為查詢結(jié)果返回給用戶，廣泛地應(yīng)用在隱患點(diǎn)查詢、故障點(diǎn)查詢、預(yù)測(cè)、事件檢測(cè)等［21］場(chǎng)景。盡管目前也有一些學(xué)者探索了具有隱私保護(hù)的KNN查詢［22～28］，但這些成果與電力物聯(lián)網(wǎng)的安全需求不匹配，難以直接將這些成果應(yīng)用到電力物聯(lián)網(wǎng)之中。如何在電力物聯(lián)網(wǎng)中實(shí)現(xiàn)安全的KNN查詢，是一個(gè)具有挑戰(zhàn)性的難題，其難點(diǎn)如下：a）為了保護(hù)數(shù)據(jù)的隱私，智能終端（如智能電表、數(shù)據(jù)采集終端等） 在提交數(shù)據(jù)之前，需要對(duì)數(shù)據(jù)進(jìn)行加密，再提交給就近的邊緣服務(wù)器，同時(shí)查詢條件也是一個(gè)重要的敏感數(shù)據(jù)，通常反映了用戶的關(guān)注焦點(diǎn)，控制中心必須對(duì)查詢條件進(jìn)行加密并遞交給本地邊緣服務(wù)器，因此，在邊緣服務(wù)器這一層，本文需要解決如何用加密的查詢條件去查詢加密的數(shù)據(jù)；b）與傳統(tǒng)關(guān)系型數(shù)據(jù)不同的是，電力物聯(lián)網(wǎng)采集的是用戶用電的流數(shù)據(jù)，攻擊者可以通過(guò)數(shù)據(jù)挖掘等手段推測(cè)未來(lái)數(shù)據(jù)的變化趨勢(shì)，通常情況下電力物聯(lián)網(wǎng)內(nèi)具有大量的重復(fù)數(shù)據(jù)，并且電力參數(shù)的各數(shù)據(jù)之間還具有動(dòng)態(tài)相關(guān)性，這些容易被攻擊者利用，攻擊者能通過(guò)對(duì)重復(fù)數(shù)據(jù)的統(tǒng)計(jì)、數(shù)據(jù)挖掘、推理預(yù)測(cè)以及用戶用電的基本規(guī)律來(lái)窺探數(shù)據(jù)的隱私，這也是電力數(shù)據(jù)區(qū)別于其他數(shù)據(jù)的最為本質(zhì)的特征；c）電力物聯(lián)網(wǎng)通常采用分布式邊緣計(jì)算的服務(wù)架構(gòu)，數(shù)據(jù)分布式地存儲(chǔ)于邊緣服務(wù)器之上，與基于云計(jì)算的KNN查詢相比，其系統(tǒng)結(jié)構(gòu)變得更加復(fù)雜。

為此，本文提出了一種面向電力物聯(lián)網(wǎng)流數(shù)據(jù)的具有隱私保護(hù)的KNN查詢方法，具體的貢獻(xiàn)包括：

針對(duì)難點(diǎn)a），本文提出了一種基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界，同時(shí)通過(guò)該模型，能將相似性度量問(wèn)題轉(zhuǎn)換為集合的交操作；

針對(duì)難點(diǎn)b），提出了一種基于桶劃分與隨機(jī)數(shù)分配相結(jié)合的數(shù)據(jù)編碼方案，編碼數(shù)據(jù)經(jīng)過(guò)隱私保護(hù)函數(shù)加密后，具有密文不可區(qū)分的特點(diǎn)，能有效抵抗選擇明文攻擊、數(shù)據(jù)挖掘攻擊、統(tǒng)計(jì)分析攻擊、ICA攻擊以及推理預(yù)測(cè)攻擊等各攻擊手段；

針對(duì)難點(diǎn)a）和c），提出了一種隱私保護(hù)函數(shù)，通過(guò)代入不同參數(shù)，可為各智能終端生成不同的數(shù)據(jù)隱私保護(hù)函數(shù)和查詢隱私保護(hù)函數(shù)，通過(guò)不同的隱私保護(hù)函數(shù)加密的數(shù)據(jù)能讓邊緣服務(wù)器在不知道真實(shí)查詢條件和數(shù)據(jù)的情況下依然能執(zhí)行集合的交操作。最后，形成了面向隱私保護(hù)的安全KNN查詢協(xié)議。

1 相關(guān)工作

1.1 電力物聯(lián)網(wǎng)中的數(shù)據(jù)隱私保護(hù)

匿名技術(shù)是電力物聯(lián)網(wǎng)中最早使用的隱私保護(hù)方法，該技術(shù)主要對(duì)用戶的標(biāo)識(shí)信息進(jìn)行刪除或修改，經(jīng)過(guò)對(duì)標(biāo)識(shí)信息的匿名化后的數(shù)據(jù)難以與用戶的身份建立聯(lián)系，從而達(dá)到了隱私保護(hù)的目的。用戶標(biāo)識(shí)信息的匿名化通常情況下是通過(guò)可信第三方以及數(shù)字簽名等方法來(lái)實(shí)現(xiàn)。Efthymiou 等人［3］針對(duì)當(dāng)前智能電網(wǎng)中用戶數(shù)據(jù)的敏感性和重要性，設(shè)計(jì)了一種第三方托管的架構(gòu)，然后利用虛假的標(biāo)識(shí)信息對(duì)用戶的敏感數(shù)據(jù)進(jìn)行匿名化處理。Cheung等人［4］提出通過(guò)使用基于盲簽名原理的匿名化方案，其基本思路是用戶自己生成一組憑證，并請(qǐng)求控制中心對(duì)它們進(jìn)行盲簽名，當(dāng)用戶以后需要請(qǐng)求更多的數(shù)據(jù)時(shí)，需要向控制中心出示已簽名的憑證作為身份的證明。童云海等人［5］提出了一種保持身份標(biāo)識(shí)屬性的K－匿名方法，它在保持隱私的同時(shí)進(jìn)一步提高了信息有效性。 Ren等人［6］針對(duì)智能電表計(jì)算、存儲(chǔ)和通信能力受限的情況，提出了一種輕量級(jí)的保護(hù)隱私且可信的安全方案（稱為PASS），該方案一方面可以保證保護(hù)隱私的可信性，另一方面適合資源受限的智能電表。 安全數(shù)據(jù)聚合通常是指，社區(qū)內(nèi)所有智能電表將實(shí)時(shí)采集的數(shù)據(jù)傳輸?shù)骄W(wǎng)關(guān)進(jìn)行聚合操作，得到了統(tǒng)計(jì)結(jié)果，然后網(wǎng)關(guān)將聚合結(jié)果發(fā)送給云服務(wù)器，云服務(wù)器得到的是整個(gè)社區(qū)總用戶的用電數(shù)據(jù)，安全聚合一方面能減少網(wǎng)絡(luò)傳輸量以及云的計(jì)算任務(wù)，另一方面可減少敏感數(shù)據(jù)泄露的可能。Liu等人［7］針對(duì)大多數(shù)現(xiàn)有的安全數(shù)據(jù)聚合方案依賴于一個(gè)可信的第三方（TTP）容易受到拒絕服務(wù)攻擊等問(wèn)題，提出了一種無(wú)須TTP的實(shí)用的保護(hù)隱私的數(shù)據(jù)聚合方案，其中具有一定程度信任的用戶構(gòu)建一個(gè)虛擬的聚合區(qū)域來(lái)掩蓋單個(gè)用戶的數(shù)據(jù)，同時(shí)聚合結(jié)果幾乎不會(huì)影響大規(guī)模應(yīng)用中的數(shù)據(jù)效用。Jo等人［8］提出了一種輕量級(jí)的保護(hù)隱私的計(jì)量協(xié)議，通過(guò)設(shè)計(jì)一種分布式的認(rèn)證方法來(lái)進(jìn)一步提高消息認(rèn)證過(guò)程的速度，在這項(xiàng)工作中，智能電表首先將被預(yù)置換加密密鑰，數(shù)據(jù)在發(fā)送前先用預(yù)置的密鑰進(jìn)行加密，同時(shí)將原始簽名發(fā)送給服務(wù)器，使得攻擊者難以獲得敏感數(shù)據(jù)。Shen等人［9］提出了一種保護(hù)隱私的立方數(shù)據(jù)聚合方案，用于電力消耗。一個(gè)數(shù)據(jù)項(xiàng)被描述為一個(gè)多維數(shù)據(jù)結(jié)構(gòu)（l維），用戶形成并居住在多個(gè)居住區(qū)域（m個(gè)區(qū)域，每個(gè)區(qū)域最多有n個(gè)用戶）。基于霍納法則，對(duì)于每個(gè)用戶，構(gòu)造一個(gè)用戶級(jí)多項(xiàng)式，用第一個(gè)霍納參數(shù)將維度值存儲(chǔ)在一個(gè)單一的數(shù)據(jù)空間中；再將第二個(gè)霍納參數(shù)嵌入到多項(xiàng)式中后，使用Paillier密碼系統(tǒng)來(lái)隱藏多項(xiàng)式。通過(guò)聚合m個(gè)區(qū)域的數(shù)據(jù)，將區(qū)域級(jí)多項(xiàng)式隱藏到最終的輸出之中。文獻(xiàn)［10～12］討論了如何使用安全數(shù)據(jù)聚合的思想解決電力物聯(lián)網(wǎng)中的數(shù)據(jù)隱私問(wèn)題。

數(shù)據(jù)擾動(dòng)技術(shù)也通常用于保護(hù)電力物聯(lián)網(wǎng)的數(shù)據(jù)隱私，其基本思想是通過(guò)向數(shù)據(jù)中加入一定量的噪聲，不僅能保全數(shù)據(jù)的效用性，也能有效地保護(hù)數(shù)據(jù)的隱私。數(shù)據(jù)擾動(dòng)的隱私保護(hù)技術(shù)主要分為基于差分的隱私和基于時(shí)間擾動(dòng)的隱私。于東等人［13］提出了一種面向數(shù)據(jù)發(fā)布的基于抽樣的過(guò)濾技術(shù)的差分隱私保護(hù)方法以及互信息評(píng)價(jià)機(jī)制，該方法首先利用Kakman過(guò)濾技術(shù)對(duì)擾動(dòng)后的數(shù)據(jù)評(píng)估預(yù)測(cè)和修正，從而有效提高數(shù)據(jù)的效用性。Savi 等人［14］探討了智能電表數(shù)據(jù)的隱私泄露和效用之間的權(quán)衡問(wèn)題，主要討論了構(gòu)建定量指標(biāo)來(lái)衡量每個(gè)電器的數(shù)據(jù)效用和隱私泄露，便于在數(shù)據(jù)操縱技術(shù)之間以及與BLH方案之間進(jìn)行比較；其次是分別定量地探索了下采樣和噪聲添加所能實(shí)現(xiàn)的權(quán)衡；最后是評(píng)估了這兩種技術(shù)的組合在隱私保護(hù)方面的有效性。Zhang等人［15］提出了一種基于電池的差分隱私保護(hù)（BDP）方案，進(jìn)一步通過(guò)擴(kuò)展BDP方案，提出了兩種成本友好的差分隱私保護(hù)（CDP）方案，兩種CDP方案的隱私損失都比現(xiàn)有的工作小，同時(shí)兩種CDP方案具有更低的開銷。Lyu 等人［16］提出了一種新穎的保護(hù)隱私的智能計(jì)量系統(tǒng)，用于聚合分布式的智能電表數(shù)據(jù)，它解決了兩個(gè)重要的問(wèn)題：a）個(gè)別用戶希望出于特定目的發(fā)布的敏感智能計(jì)量數(shù)據(jù); b）一個(gè)不可信的聚集器旨在對(duì)聚合數(shù)據(jù)進(jìn)行查詢。Wang等人［17］為了解決當(dāng)前智能電表隱私保護(hù)方法對(duì)用戶用電行為保護(hù)不足的問(wèn)題，提出了一種使用時(shí)間延遲擾動(dòng)來(lái)干擾數(shù)據(jù)形狀的方法，在保證智能電表數(shù)據(jù)可用性的前提下，推導(dǎo)出了一個(gè)基于時(shí)間擾動(dòng)的智能電表隱私保護(hù)模型，通過(guò)改變智能電表數(shù)據(jù)發(fā)布的時(shí)間點(diǎn)來(lái)達(dá)到數(shù)據(jù)安全性和可用性的平衡， 并采用非侵入式負(fù)載監(jiān)測(cè)算法來(lái)評(píng)估隱私安全性。文獻(xiàn)［18～ 20］同樣也使用差分隱私思路對(duì)數(shù)據(jù)進(jìn)行擾動(dòng)，從而實(shí)現(xiàn)對(duì)數(shù)據(jù)的隱私保護(hù)。

1.2 面向隱私保護(hù)的安全KNN查詢方法

到目前為止，具有隱私保護(hù)能力的KNN查詢主要集中在位置服務(wù)領(lǐng)域（location－based service），有關(guān)電力物聯(lián)網(wǎng)中的具有隱私保護(hù)的KNN查詢卻鮮有文獻(xiàn)涉及。賈金營(yíng)等人［22］設(shè)計(jì)了一種利用經(jīng)緯網(wǎng)格的遞增KNN位置隱私保護(hù)查詢算法，它將傳統(tǒng)的K－匿名算法和 SpaceTwist 算法結(jié)合起來(lái)，并用經(jīng)緯網(wǎng)格替換了原本精確的位置信息并發(fā)送給集中匿名器，從而實(shí)現(xiàn)了隱私保護(hù)的目標(biāo)。朱順痣等人［23］為了解決使用匿名框進(jìn)行興趣點(diǎn)K近鄰（KNN）查詢導(dǎo)致的通信成本高、延遲長(zhǎng)等問(wèn)題，提出了一種基于單個(gè)興趣點(diǎn) Voronoi 圖分割和四叉樹分層管理的KNN查詢方法，該方法根據(jù)興趣點(diǎn)的層次信息定制查詢匿名框來(lái)獲取精確查詢信息，不僅在保證位置隱私的同時(shí)減少了查詢通信消耗，還通過(guò)插入假查詢保護(hù)了用戶的真實(shí)查詢內(nèi)容隱私。梁麗莎等人［24］提出一種基于變換的加密方法，利用Hilbert 曲線將多維空間的每個(gè)空間點(diǎn)映射到單維空間，加密處理變換后的空間數(shù)據(jù)仍然保留了原有的順序，從而保證了數(shù)據(jù)的效用性并實(shí)現(xiàn)了隱私保護(hù)。張學(xué)軍等人［25］提出了一種隱私保護(hù)的K近鄰查詢方法，實(shí)現(xiàn)無(wú)須可信第三方就能保護(hù)用戶位置和查詢內(nèi)容的隱私以及對(duì)興趣點(diǎn)的精確查詢，同時(shí)通過(guò)構(gòu)造服務(wù)相似地圖生成擾動(dòng)位置，解決已有方法查詢處理開銷大的問(wèn)題，并保證查詢結(jié)果的準(zhǔn)確性。Li等人［26］提出了一種新的雙重隱私保護(hù)方案（DPPS），該方案包括兩種隱私保護(hù)機(jī)制： 首先，為了防止位置之間的相關(guān)性導(dǎo)致隱私泄露，提出了一種基于隱馬爾可夫模型（HMM）的相關(guān)性模型來(lái)模擬用戶的移動(dòng)性和對(duì)手的預(yù)測(cè)概率; 其次，為了提供每個(gè)單個(gè)位置的查詢概率匿名性，提出了一種先進(jìn)的K匿名算法來(lái)構(gòu)建掩蔽區(qū)域，在該算法中生成真實(shí)且不可區(qū)分的偽位置。此外，張大方等人［27］針對(duì)無(wú)線體域網(wǎng)中的數(shù)據(jù)隱私問(wèn)題，提出了一種適用于無(wú)線體域網(wǎng)的安全KNN查詢協(xié)議，能夠保護(hù)數(shù)據(jù)隱私與訪問(wèn)權(quán)限控制。該協(xié)議主要分為三個(gè)部分：首先采用非對(duì)稱矩陣向量積保值加密機(jī)制（ASPE）對(duì)數(shù)據(jù)和查詢條件分別進(jìn)行加密， 從而保護(hù)數(shù)據(jù)的隱私；其次基于R樹的桶劃分索引結(jié)構(gòu)BRtree，將數(shù)據(jù)劃分到桶節(jié)點(diǎn)后采用剪枝策略去除不必要的查詢來(lái)提高查詢效率；最后基于數(shù)據(jù)層面的訪問(wèn)權(quán)限授予回收機(jī)制，從ASPE加密密鑰中分解出權(quán)限密鑰，通過(guò)可信第三方實(shí)現(xiàn)了訪問(wèn)權(quán)限控制和訪問(wèn)權(quán)限遷移。Zheng等人［28］為了解決隱私和效率方面的挑戰(zhàn)，為加密的外包電子醫(yī)療數(shù)據(jù)設(shè)計(jì)了一種高效且保護(hù)隱私的KNN查詢方案， 特點(diǎn)是將k－d樹與同態(tài)加密技術(shù)相結(jié)合，以便在云中高效存儲(chǔ)加密數(shù)據(jù)，并處理加密數(shù)據(jù)上的隱私保護(hù)KNN查詢。

盡管在位置服務(wù)領(lǐng)域中已經(jīng)取得了上述的一些成果，但位置服務(wù)領(lǐng)域與電力物聯(lián)網(wǎng)的安全需求并不相同， 在位置服務(wù)領(lǐng)域中無(wú)須考慮重復(fù)數(shù)據(jù)的統(tǒng)計(jì)、數(shù)據(jù)挖掘、ICA（獨(dú)立分量分析）以及推理預(yù)測(cè)等攻擊手段，因此難以直接將這些成果應(yīng)用到電力物聯(lián)網(wǎng)之中［7］，需要專門研究針對(duì)電力物聯(lián)網(wǎng)的安全KNN機(jī)制。

2 系統(tǒng)模型與安全威脅

2.1 系統(tǒng)模型

一個(gè)典型的電力物聯(lián)網(wǎng)的基礎(chǔ)設(shè)施是由四個(gè)實(shí)體組成的“智能終端－邊緣服務(wù)器－控制中心”三層架構(gòu)，四個(gè)實(shí)體分別為運(yùn)行中心、邊緣服務(wù)器、用戶和智能終端（如智能電表等），如圖1所示。

控制中心從發(fā)電廠獲取電力，并控制電力輸送系統(tǒng)向用戶分配電力。為了維護(hù)電網(wǎng)的安全，控制中心經(jīng)常需要對(duì)邊緣服務(wù)器內(nèi)的數(shù)據(jù)進(jìn)行一些必要的查詢，檢測(cè)故障或隱患點(diǎn)，有時(shí)還需根據(jù)歷史數(shù)據(jù)進(jìn)行事件檢測(cè)等。

每個(gè)用戶都配備了一個(gè)智能終端（如智能電表等），一方面通過(guò)智能終端度量用戶的電量和電價(jià)，另一方面也檢測(cè)了電網(wǎng)中的一些必要的參數(shù)。智能終端在用戶和控制中心之間提供通信接口并將其測(cè)量的數(shù)據(jù)周期性地發(fā)送給邊緣服務(wù)器。邊緣服務(wù)器扮演了兩個(gè)角色，一方面邊緣服務(wù)器負(fù)責(zé)存儲(chǔ)多個(gè)社區(qū)的智能終端的數(shù)據(jù)，另一方面又扮演了網(wǎng)關(guān)的角色，是無(wú)線接入點(diǎn)或基站，用于連接控制中心和區(qū)域網(wǎng)絡(luò)中的智能終端。它們主要執(zhí)行存儲(chǔ)和轉(zhuǎn)發(fā)兩個(gè)功能。邊緣服務(wù)器存儲(chǔ)了居民區(qū)域內(nèi)智能終端的用電數(shù)據(jù)，等待控制中心的查詢命令（如聚合查詢、范圍查詢、KNN查詢等，本文僅關(guān)注KNN查詢），一旦邊緣服務(wù)器接收到控制中的查詢命令，則立即執(zhí)行查詢處理并向控制中心返回查詢結(jié)構(gòu)。

2.2 安全威脅

電力物聯(lián)網(wǎng)中的安全威脅來(lái)自于外部和內(nèi)部的攻擊者。外部攻擊者可能會(huì)入侵智能終端，獲取智能終端內(nèi)的密鑰等信息或竊聽通信信道，侵犯用戶的隱私；內(nèi)部攻擊者包括用戶、邊緣服務(wù)器和控制中心等。具體的危險(xiǎn)模型如下：

a）對(duì)于一個(gè)典型的電力物聯(lián)網(wǎng)來(lái)說(shuō)，智能終端通常在用戶端，直接在用戶的監(jiān)管范圍之內(nèi)，用戶是誠(chéng)實(shí)但好奇的，智能終端會(huì)嚴(yán)格按照各類算法和協(xié)議執(zhí)行各種操作（例如，它們不會(huì)惡意丟棄或扭曲任何收到的消息），但用戶卻對(duì)其他的用戶的用電數(shù)據(jù)充滿了好奇，他們可以利用智能終端內(nèi)的信息以及竊聽到的通信信道推斷他人的敏感數(shù)據(jù)。

b）邊緣服務(wù)器通常由并不可信的第三方托管，并且邊緣服務(wù)器擁有社區(qū)內(nèi)所有智能終端發(fā)送過(guò)來(lái)的加密數(shù)據(jù)，邊緣服務(wù)器同樣也是誠(chéng)實(shí)但好奇的，會(huì)嚴(yán)格按照裝載的程序完整地執(zhí)行各類算法和協(xié)議，但對(duì)存儲(chǔ)在其之上的數(shù)據(jù)具有窺探其隱私的濃厚興趣。

c）控制中心通常在電力企業(yè)的直接管控之下，不負(fù)責(zé)存儲(chǔ)數(shù)據(jù)，主要負(fù)責(zé)下發(fā)查詢指令和接收查詢結(jié)果，進(jìn)而判斷事件、故障和隱患發(fā)生的地點(diǎn)等，這自然地就知道了用戶的部分隱私。一個(gè)不能保護(hù)好自己客戶隱私的企業(yè)是很難生存的，因此電力企業(yè)對(duì)自己的職員有嚴(yán)格的管理制度，具有嚴(yán)格防止泄露數(shù)據(jù)隱私的措施。綜上，本文認(rèn)為控制中心是沒(méi)有惡意的。

d）除了上述的假設(shè)之外，假定控制中心、邊緣服務(wù)器以及智能終端之間不存在串謀攻擊。智能電表使用了來(lái)自制造商的先進(jìn)微控制器，如Analog Devices、Atmel等，以防止物理?yè)p壞，但它們?nèi)匀蝗菀资艿礁`取等常見的攻擊。

e）通常情況下電力物聯(lián)網(wǎng)內(nèi)具有大量的重復(fù)數(shù)據(jù)，并且電力參數(shù)的各數(shù)據(jù)之間還具有動(dòng)態(tài)相關(guān)性，這些容易被攻擊者利用，攻擊者能通過(guò)對(duì)重復(fù)數(shù)據(jù)的統(tǒng)計(jì)、數(shù)據(jù)挖掘、ICA（獨(dú)立分量分析）以及推理預(yù)測(cè)和用戶用電的基本規(guī)律來(lái)窺探數(shù)據(jù)的隱私。

f）假定存在著一個(gè)可信任的權(quán)威機(jī)構(gòu)（TA）是一個(gè)完全可信賴的第三方，它負(fù)責(zé)通過(guò)安全信道向智能終端和控制中心發(fā)放密鑰和需要預(yù)置的秘密信息。

2.3 基本的假設(shè)

a）系統(tǒng)時(shí)間被劃分為若干周期，每個(gè)周期采集一次數(shù)據(jù)，所有智能終端與控制中心在時(shí)間周期上保持松散的同步，并約定每n個(gè)周期向邊緣服務(wù)器提交1輪數(shù)據(jù)。

b）假設(shè)所有的智能終端被TA分配了一個(gè)唯一的ID與一個(gè)二元的數(shù)據(jù)隱私保護(hù)函數(shù)Pfi，k（x，t）， 其中i表示智能終端的ID，k表示TA產(chǎn)生的密鑰，x是需要加密的數(shù)據(jù)項(xiàng)，t表示周期。

c）假設(shè)控制中心被TA分配了一個(gè)三元的查詢隱私保護(hù)函數(shù)Qfk（i，x，t）。

3 具有隱私保護(hù)的KNN查詢方法

為了保護(hù)智能終端數(shù)據(jù)的隱私，需要加密智能終端采集的數(shù)據(jù)；同樣，為了保護(hù)查詢條件的隱私，也需要對(duì)查詢條件進(jìn)行加密。因此，問(wèn)題的關(guān)鍵就是如何讓加密的查詢條件在加密的數(shù)據(jù)上正確地執(zhí)行查詢處理。本文解決該問(wèn)題的思路主要包括四個(gè)部分：第一個(gè)部分為隱私保護(hù)函數(shù)的設(shè)計(jì)，主要任務(wù)是設(shè)計(jì)一個(gè)能加密數(shù)據(jù)和查詢條件的函數(shù)；第二個(gè)部分為可信方秘密信息的分配，主要探討可信方如何為智能終端與控制中心分配隱私保護(hù)函數(shù)、桶所對(duì)應(yīng)的區(qū)間等；第三部分為數(shù)據(jù)的編碼與相似性度量模型確立，主要介紹如何對(duì)智能終端采集的數(shù)據(jù)進(jìn)行規(guī)范化處理和編碼，然后選用合適的相似性度量問(wèn)題等；第四個(gè)部分為安全查詢協(xié)議，主要任務(wù)是介紹智能終端如何將數(shù)據(jù)遞交給邊緣服務(wù)器，控制中心如何將查詢條件發(fā)送給邊緣服務(wù)器，以及邊緣服務(wù)器如何利用改寫后的查詢對(duì)象在隱私后的數(shù)據(jù)中執(zhí)行查詢處理，并把查詢結(jié)果返回給控制中心。

3.1 隱私保護(hù)函數(shù)的設(shè)計(jì)

為了能設(shè)計(jì)一個(gè)好的隱私保護(hù)函數(shù)，本文擴(kuò)展了筆者的前期研究成果［29］。根據(jù)電力物聯(lián)網(wǎng)的安全需求，隱私保護(hù)函數(shù)需滿足如下四個(gè)條件：a）數(shù)據(jù)隱私保護(hù)函數(shù)與查詢條件隱私保護(hù)函數(shù)，代入相應(yīng)參數(shù)后必須是能直接比較大小的，這一條件可以保證存儲(chǔ)節(jié)點(diǎn)能判斷一個(gè)數(shù)據(jù)是否在一個(gè)范圍中；b）即使是相同的數(shù)據(jù)處在不同的智能終端中，通過(guò)數(shù)據(jù)隱私保護(hù)函數(shù)處理之后所對(duì)應(yīng)的值也不同。同樣，即使是同一智能終端的相同數(shù)據(jù)，通過(guò)編碼和數(shù)據(jù)隱私保護(hù)函數(shù)加密之后所對(duì)應(yīng)的值不同，這樣可保證密文的不可區(qū)分性，這一條件保證了數(shù)據(jù)的隱私安全性；c）通過(guò)數(shù)據(jù)隱私保護(hù)函數(shù)與查詢條件隱私保護(hù)函數(shù)處理后的數(shù)據(jù)值不能太大，這一條件保證了本文算法具有低開銷的特征；d）查詢條件隱私保護(hù)函數(shù)必須能在被不同數(shù)據(jù)隱私保護(hù)函數(shù)加密的數(shù)據(jù)上進(jìn)行查詢，這一條件可以保證控制中心不必為不同的智能終端發(fā)送不同的查詢條件隱私保護(hù)函數(shù)。

為了滿足上述四個(gè)條件，隱私保護(hù)函數(shù)包括了五個(gè)部分：a）數(shù)據(jù)處理部分G（x，*）是關(guān)于數(shù)據(jù)x（xgt;0）單調(diào)遞增的，這滿足條件a）c）；b）智能終端ID處理部分H（i，*），i表示z智能終端的ID號(hào)i，定義H（i，*）主要用于滿足條件b）d）；c）周期地處理部分Euclid Math OneRAp（t，*），t表示周期，定義Euclid Math OneRAp（t，*）主要用于滿足條件b）d）；d）查詢密鑰key的處理部分ξ（k，*），k表示查詢密鑰，定義ξ（k，*）主要用于滿足條件b）d）；e）結(jié)果擾動(dòng)部分s，主要用于防止攻擊者破解隱私保護(hù)函數(shù)。綜上，本文首先構(gòu)造一個(gè)基函數(shù)：

顯然，由上述性質(zhì)可知，構(gòu)造的數(shù)據(jù)隱私保護(hù)函數(shù)和查詢隱私保護(hù)函數(shù)滿足條件a）；由于每個(gè)智能終端的ID是唯一的，所以處于不同智能終端中相同的數(shù)據(jù)，通過(guò)數(shù)據(jù)隱私保護(hù)函數(shù)處理后的結(jié)果不同，同一智能終端不同周期內(nèi)的相同數(shù)據(jù)，經(jīng)過(guò)隱私保護(hù)函數(shù)處理之后結(jié)果不同；同樣由于查詢隱私保護(hù)函數(shù)與查詢條件有關(guān)，所以不同查詢條件有不同的查詢隱私保護(hù)函數(shù)，這一特性滿足了條件b）。函數(shù)G（x，*）受參數(shù)λ值的調(diào)控，因此G（x，*）值的增長(zhǎng)不會(huì)隨x的增長(zhǎng)而變得很大，這一特點(diǎn)滿足了條件c）。當(dāng)控制中心欲發(fā)起KNN查詢時(shí)，首先按照之前描述的方法對(duì)查詢條件進(jìn)行規(guī)范處理、置換和編碼，只需要將范圍的兩個(gè)端點(diǎn)代入到查詢隱私保護(hù)函數(shù)Qfk（x，i，t）中，然后將查詢隱私保護(hù)函數(shù)條件改寫成兩個(gè)二元函數(shù)并發(fā)送給邊緣服務(wù)器即可，這一性質(zhì)可滿足條件d）。綜上，構(gòu)造的隱私保護(hù)函數(shù)和查詢函數(shù)滿足了本文的設(shè)計(jì)目標(biāo)。

3.2 可信方秘密信息的分配

秘密信息的預(yù)置主要由可信第三方TA完成，主要包括隱私保護(hù)函數(shù)的生成與分配、隨機(jī)區(qū)間的分配等，具體如下：

a）可信第三方在安全服務(wù)器上首先生成如式（1）所示的隱私保護(hù)函數(shù)；

b）可信第三方秘密產(chǎn)生一個(gè)密鑰k，代入式（1）得到一個(gè)三元的查詢隱私保護(hù)函數(shù)Qfk（x，i，t），并通過(guò)安全信道傳送給控制中心，重復(fù)b），直達(dá)每個(gè)智能終端都分配了數(shù)據(jù)隱私保護(hù)函數(shù)；

c）可信第三方將密鑰k和智能終端的ID值i代入式（4），得到一個(gè)二元的數(shù)據(jù)隱私保護(hù)函數(shù)Pfi，k（x，t），并通過(guò)安全信道傳送給智能終端i；

d）智能終端的數(shù)據(jù)將被劃分成Μ桶，TA同樣也隨機(jī)生成Μ個(gè)互不相交的區(qū)間，并隨機(jī)指派給每一個(gè)桶，為了方便描述，桶依次用{E …，EM}表示，區(qū)間依次用{R …，RΜ}表示，并將指配結(jié)果〈E R1〉，〈E2，R2〉，…，〈EΜ，RΜ〉通過(guò)安全信道秘密發(fā)送給控制中心；

e）假定共有z個(gè)智能終端，在區(qū)間Re（1≤e≤Μ）內(nèi)再隨機(jī)生成z個(gè)互不相同的小的區(qū)間rej（1≤e≤Μ，1≤j≤z），并且滿足rej（1≤j≤z）Re，rej∩rei=（i≠j），然后為每個(gè)智能終端隨機(jī)指派一個(gè)小的區(qū)間，不妨假定智能終端i指派的小區(qū)間為rei（1≤e≤Μ），并將信息〈E r1i〉，〈E2，r2i〉，…，〈EΜ，rΜi〉通過(guò)安全信道秘密發(fā)送給智能終端i，重復(fù)e）直到所有終端都分配了區(qū)間。

3.3 數(shù)據(jù)的編碼與相似性度量模型確立

本節(jié)提出了一種基于桶劃分與隨機(jī)數(shù)分配相結(jié)合的數(shù)據(jù)編碼方法，并針對(duì)編碼后數(shù)據(jù)提出了一種基于桶距離的相似性度量模型，具體如下：

a）感知數(shù)據(jù)的規(guī)范化處理。

將感知數(shù)據(jù)按比例進(jìn)行縮放，使之落入一個(gè)小的特定區(qū)間（如［0.0，1.0］）。數(shù)據(jù)的規(guī)范化可有效地提升涉及距離度量算法的精度和有效性。

為了方便描述，用{（d t1），（d2，t2），…，（dn，tn）}表示一個(gè)智能終端在1個(gè)周期內(nèi)采集的n個(gè)數(shù)據(jù)，其中ti表示第i個(gè)周期，dmax 和 dmin 分別表示{d d2，…，dn}中的最大值和最小值，區(qū)間［A，B］為數(shù)據(jù)按比例進(jìn)行縮放到指定的區(qū)間，那么數(shù)據(jù)標(biāo)準(zhǔn)化的方法為

由定理2可知，本文提出的基于桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差下界為－Δc n ，誤差上界為Δc n 。

3.4 安全的KNN查詢協(xié)議

如圖2所示，該協(xié)議主要包括秘密信息的分配、智能終端的數(shù)據(jù)遞交、控制中心查詢條件的改寫以及邊緣服務(wù)器執(zhí)行的查詢處理四個(gè)方面的內(nèi)容。

下面將分別描述其內(nèi)容。

1）加密數(shù)據(jù)的遞交

加密數(shù)據(jù)的遞交主要由智能終端執(zhí)行，主要描述如何將采集到的數(shù)據(jù)遞交給邊緣服務(wù)器。假定所有的智能終端每n個(gè)周期提交一次數(shù)據(jù)，智能終端將按如下步驟遞交其數(shù)據(jù)給邊緣服務(wù)器：

2）查詢條件的改寫

查詢條件的改寫主要是由控制器來(lái)執(zhí)行的，假定控制中心需要查詢k個(gè)智能終端在連續(xù)的n個(gè)周期內(nèi)其數(shù)據(jù)變化趨勢(shì)與數(shù)據(jù)q …，qn變化最相似，即該數(shù)據(jù)為查詢條件，控制中心將按如下步驟將查詢條件改寫之后遞交其數(shù)據(jù)給邊緣服務(wù)器。

a）按照式（1）的方式對(duì)查詢條件{q …，qn}進(jìn)行規(guī)范化處理，得到{q …，qn}。

b）利用預(yù)置的參數(shù)ΔC等，將規(guī)范后的數(shù)據(jù)轉(zhuǎn)換為置換串{（Eu t1），（Eu2，t2），…，（Eun，tn）}。

c）對(duì)查詢條件的置換串進(jìn)行編碼，為了描述方便，不妨用{［a b1］，［a2，b2］，…，［an，bn］}表示編碼后的數(shù)據(jù)。

d）利用Qfk（x，i，t）對(duì)編碼后的查詢條加密得到{［Qfa k（i，t）， Qfb k（i，t）］，…，［Qfan，k（i，t）， Qfbn，k（i，t）］}。

e）最終將改寫后的查詢條件發(fā)給邊緣服務(wù)器。

3）查詢處理

4 算法分析

4.1 復(fù)雜性分析

假定某個(gè)社區(qū)共有z個(gè)智能終端，1個(gè)邊緣服務(wù)器，每個(gè)智能終端每一輪采集n個(gè)數(shù)據(jù)發(fā)送給邊緣服務(wù)器，數(shù)據(jù)被劃分成M個(gè)桶，控制中心的查詢條件平均包括了u個(gè)數(shù)據(jù)，那么最壞情況下，智能終端、邊緣服務(wù)器和控制中心的計(jì)算復(fù)雜性、通信復(fù)雜性和空間復(fù)雜性如表1所示。

從表1的結(jié)果可以看出，與已有工作不同，本文擬采用數(shù)據(jù)編碼和隱私保護(hù)函數(shù)的方式實(shí)現(xiàn)隱私保護(hù)，每個(gè)智能終端在將采集的數(shù)據(jù)遞交給邊緣服務(wù)器前，利用數(shù)據(jù)編碼算法將節(jié)點(diǎn)采集的數(shù)據(jù)進(jìn)行編碼，實(shí)際上，就是將采集的數(shù)據(jù)進(jìn)行量化與符號(hào)化，然后再將符號(hào)序列映射到一個(gè)區(qū)間并利用隱私保護(hù)函數(shù)進(jìn)行加密，在這個(gè)過(guò)程中僅需要一些復(fù)雜度較低的數(shù)學(xué)變換與運(yùn)算；由于在編碼過(guò)程中，本文提出了針對(duì)歐氏距離相似性度量模型的等價(jià)變換方法，所以原始空間中感知數(shù)據(jù)之間的相似度量問(wèn)題可轉(zhuǎn)換為編碼空間的相似性度量問(wèn)題。因此當(dāng)邊緣服務(wù)器接收到這些數(shù)據(jù)后，在不知道真實(shí)的數(shù)據(jù)值和查詢條件的情況下，可利用歐氏距離相似性度量模型直接度量加密數(shù)據(jù)與查詢條件的相似性，從而可達(dá)到防止邊緣服務(wù)器泄露敏感信息的目的。

4.2 安全性分析

a）隱私保護(hù)函數(shù)的安全性。

由于算法是在可信的第三方服務(wù)器上完成的，這種情況下需要討論在算法完全公開的基礎(chǔ)上隱私保護(hù)函數(shù)是否安全。假定式（4）中隱私保護(hù)母函數(shù)的G（x，n），H（i，m），Euclid Math OneRAp（t，l），ξ（k，w）函數(shù)的形式是完全公開的，但其系數(shù)An，m，l，w和密鑰k是不公開的，攻擊者的目標(biāo)是通過(guò)破解系數(shù)An，m，l，w（0≤n，m，l，w≤τ）和密鑰k來(lái)獲取隱私保護(hù)函數(shù)。

其中：方程組中共有（τ+1）4個(gè)方程，方程中未知量為An，m，l，w（0≤n，m，l，w≤τ），0， …，（τ+1）4，共2（τ+1）4+1個(gè)未知量，因此式（8）方程組沒(méi)有唯一解。攻擊者可以進(jìn)一步獲取一對(duì)明文和密文〈d*，E（d*）〉，則會(huì)增加一個(gè)方程，帶入一個(gè)新的量*，無(wú)法滿足方程數(shù)與未知量相等的條件。因此無(wú)法準(zhǔn)確獲得密鑰k和系數(shù)An，m，l，w（0≤n，m，l，w≤τ）。

綜上，本文定義的隱私保護(hù)函數(shù)在算法公開的情況下仍然是安全的。

b）邊緣服務(wù)器的安全性分析。

邊緣服務(wù)器負(fù)責(zé)存儲(chǔ)智能終端發(fā)送過(guò)來(lái)被數(shù)據(jù)隱私保護(hù)函數(shù)加密的數(shù)據(jù)并負(fù)責(zé)執(zhí)行控制中心的查詢指令，返回查詢結(jié)果。由于邊緣服務(wù)器需要長(zhǎng)期執(zhí)行查詢操作，所以一個(gè)惡意的邊緣服務(wù)器容易知道哪些加密數(shù)據(jù)滿足查詢條件，哪些不滿足查詢條件，經(jīng)過(guò)多次查詢之后能推斷出被加密數(shù)據(jù)的大小關(guān)系，進(jìn)而獲得數(shù)據(jù)的部分隱私。本文提出的安全KNN查詢協(xié)議能很好地解決這一問(wèn)題，這是因?yàn)椋?（a）在利用隱私保護(hù)函數(shù)加密之前對(duì)原始數(shù)據(jù)進(jìn)行了置換和編碼，相應(yīng)的原始數(shù)據(jù)被隨機(jī)分配的區(qū)間內(nèi)的隨機(jī)數(shù)所替代，邊緣服務(wù)器通過(guò)對(duì)查詢過(guò)程的分析和記錄只能推斷出這些被加密的隨機(jī)數(shù)的大小關(guān)系，并不是原數(shù)據(jù)的大小關(guān)系；（b）邊緣服務(wù)器是不知道置換串與區(qū)間的對(duì)應(yīng)關(guān)系，因此很難通過(guò)被加密的隨機(jī)數(shù)的大小關(guān)系推斷出原始數(shù)據(jù)的大小關(guān)系。數(shù)據(jù)挖掘（深度學(xué)習(xí)）、統(tǒng)計(jì)分析以及推理預(yù)測(cè)攻擊是近年發(fā)展起來(lái)的一類針對(duì)流數(shù)據(jù)的攻擊方法，對(duì)數(shù)據(jù)擾動(dòng)和隨機(jī)注入噪聲等隱私保護(hù)方法具有非常有效的攻擊效果。本文提出的安全KNN查詢協(xié)議具有密文不可區(qū)分的特性，能較好地抵抗統(tǒng)計(jì)分析和推理預(yù)測(cè)攻擊，這是因?yàn)椋海╝）在編碼階段，即使是兩個(gè)完全相同的數(shù)據(jù)，通過(guò)編碼之后，其對(duì)應(yīng)的值也很大概率不同；（b）在利用隱私保護(hù)函數(shù)加密的階段中，即使是兩個(gè)完全相同的編碼數(shù)據(jù)，其對(duì)應(yīng)的密文也不同。因此，攻擊者難以直接從密文上得到原始數(shù)據(jù)的隱私。

獨(dú)立分量分析（ICA）攻擊是將密文看作由原文和其他信息混合疊加而成的，因此采用信號(hào)分離的方法來(lái)獲取原文，它雖然不能得到原文，但能獲得原文對(duì)應(yīng)的趨勢(shì)。本文在利用隱私保護(hù)函數(shù)加密之前對(duì)原始數(shù)據(jù)進(jìn)行了置換和編碼，相應(yīng)的原始數(shù)據(jù)被隨機(jī)分配的區(qū)間內(nèi)的隨機(jī)數(shù)所替代。攻擊者通過(guò)ICA算法只能獲得這些被加密的隨機(jī)數(shù)對(duì)應(yīng)的趨勢(shì)，并不是原數(shù)據(jù)的趨勢(shì)。因此，本文提出的安全KNN查詢協(xié)議也能較好地抵抗ICA攻擊。

c）智能終端安全性分析。

假定一個(gè)懷有惡意的終端用戶，通過(guò)竊聽信道等手段獲得了大量其他終端的加密數(shù)據(jù)，但智能終端內(nèi)預(yù)置的數(shù)據(jù)隱私保護(hù)函數(shù)是唯一的，因此惡意用戶只有自己的數(shù)據(jù)隱私保護(hù)函數(shù)，在沒(méi)有破解如式（1）所示的母函數(shù)的情況下，無(wú)法知道其他終端的隱私保護(hù)函數(shù)，從而難以獲得其他用戶的隱私。

考慮一種極端的情況，假定一個(gè)惡意的終端用戶竊聽到所有其他終端用戶遞交給邊緣服務(wù)器的加密數(shù)據(jù)，由于本文的協(xié)議具有密文不可區(qū)分的特點(diǎn)，能有效抵抗數(shù)據(jù)挖掘、統(tǒng)計(jì)分析以及推理預(yù)測(cè)等攻擊手段。若該用戶使用ICA攻擊，獲得了編碼數(shù)據(jù)的趨勢(shì)，由于每個(gè)終端只知道自身的置換串與區(qū)間的對(duì)應(yīng)關(guān)系，所以只能獲得自身數(shù)據(jù)的趨勢(shì)，這對(duì)攻擊者來(lái)說(shuō)是沒(méi)有意義的。

4.3 與已有工作的對(duì)比

與傳統(tǒng)關(guān)系型數(shù)據(jù)不同的是，電力物聯(lián)網(wǎng)采集的是用戶用電的流數(shù)據(jù)，它反映了數(shù)據(jù)的模式特征，如波峰、波谷、周期、趨勢(shì)。攻擊者通過(guò)這些模式特征可以挖掘（預(yù)測(cè)）和推理出數(shù)據(jù)的未來(lái)變化。同時(shí)，在電力物聯(lián)網(wǎng)的隱私保護(hù)中，用戶的用電數(shù)據(jù)的多個(gè)變量之間可能還具有動(dòng)態(tài)相關(guān)性，具有大量重復(fù)數(shù)據(jù)等，攻擊者可以利用這些特征實(shí)施ICA攻擊、選擇明文攻擊等，這使得流數(shù)據(jù)的隱私保護(hù)更加困難［3 32］。用于位置服務(wù)（LBS）的隱私KNN查詢［22～26］面向的是位置數(shù)據(jù)，而不是流數(shù)據(jù)，因此無(wú)須考慮數(shù)據(jù)挖掘、推理預(yù)測(cè)和ICA等復(fù)雜的攻擊方式， 也沒(méi)有這些攻擊的應(yīng)對(duì)方案。文獻(xiàn)［27］是針對(duì)體域網(wǎng)設(shè)計(jì)的具有隱私保護(hù)的KNN查詢協(xié)議，該協(xié)議采用ASPE［33］加密技術(shù)，盡管體域網(wǎng)內(nèi)的數(shù)據(jù)也是流數(shù)據(jù)，然而不幸的是Gu等人［34］指出，ASPE在抵抗選擇明文攻擊和ICA攻擊等方面是非常脆弱的。文獻(xiàn)［28］是針對(duì)云計(jì)算環(huán)境下的外包醫(yī)療數(shù)據(jù)而設(shè)計(jì)的一種安全的KNN查詢機(jī)制，該機(jī)制采用了k－d樹和同態(tài)加密相結(jié)合的技術(shù)，Ren等人［6］指出同態(tài)加密的計(jì)算開銷和存儲(chǔ)開銷較高，不適合價(jià)格低廉且廣泛使用的智能電表。本文方法與已有工作的對(duì)比情況如表2所示。

5 仿真實(shí)驗(yàn)

本文將基于真實(shí)世界的電力使用情況來(lái)評(píng)估提出的安全KNN查詢方案，主要包括：a）查詢結(jié)果的準(zhǔn)確性；b）智能終端的空間開銷和通信開銷；c）邊緣服務(wù)器的空間開銷和通信開銷。由于前期的電力數(shù)據(jù)隱私保護(hù)的研究成果主要集中在安全聚合、匿名技術(shù)和數(shù)據(jù)擾動(dòng)技術(shù)，這與安全KNN查詢機(jī)制相差甚遠(yuǎn)，所以本文無(wú)法與這些成果進(jìn)行對(duì)比；已有的面向隱私保護(hù)的KNN查詢機(jī)制大多針對(duì)云計(jì)算、體域網(wǎng)或傳感器網(wǎng)絡(luò)等，這與電力物聯(lián)網(wǎng)的應(yīng)用場(chǎng)景、安全需求和網(wǎng)絡(luò)拓?fù)涞榷疾幌嗤?，所以無(wú)法與這些成果直接比較。

5.1 仿真實(shí)驗(yàn)數(shù)據(jù)集的選取

本文使用的數(shù)據(jù)集是MIT REDD數(shù)據(jù)集［34］，它提供了六個(gè)戶主的秒級(jí)的電力數(shù)據(jù)。在這六個(gè)戶主中，有兩個(gè)房屋的數(shù)據(jù)過(guò)于稀疏，因此本文主要使用另外四個(gè)戶主的數(shù)據(jù)。 本文選擇這四戶從2011年3月15日—2011年6月15日共90天的功率數(shù)據(jù)作為實(shí)驗(yàn)數(shù)據(jù)，每個(gè)戶主平均有777 6000個(gè)數(shù)據(jù)，數(shù)據(jù)的大小平均有475 M，數(shù)據(jù)波動(dòng)為0.5～15 000 KW， 并利用平均數(shù)對(duì)一些缺失的數(shù)據(jù)進(jìn)行補(bǔ)全。

5.2 網(wǎng)絡(luò)拓?fù)渑c實(shí)驗(yàn)參數(shù)的設(shè)定

為了能有效地驗(yàn)證本文所提出的安全KNN查詢，在實(shí)驗(yàn)中設(shè)置了4個(gè)智能終端、1個(gè)邊緣服務(wù)器和1個(gè)控制中心。4個(gè)智能終端分別代表了4個(gè)戶主，他們的ID號(hào)分別為1、2、3、4。模擬了可信第三方秘密地產(chǎn)生了如式（1）所示的隱私保護(hù)函數(shù)和密鑰k，并將ID和密鑰代入式（1），分別為4個(gè)智能終端產(chǎn)生數(shù)據(jù)隱私保護(hù)函數(shù)，為控制中心產(chǎn)生查詢隱私保護(hù)函數(shù)。在本次實(shí)驗(yàn)中，設(shè)定了智能終端每1 s采集一次數(shù)據(jù)，每采集一次數(shù)據(jù)為1個(gè)周期。查詢條件是隨機(jī)產(chǎn)生的。原始數(shù)據(jù)規(guī)范化的范圍設(shè)定為［0，20］。

5.3 性能評(píng)估

為了評(píng)估安全KNN查詢方法的精度，本文直接采用普通的基于歐氏距離的KNN查詢算法作為查詢精度判斷的依據(jù)，具體的方法如下：設(shè)定每30個(gè)周期提交一次數(shù)據(jù)的情況下，參數(shù)ΔC每取一個(gè)值，那么查詢中心將發(fā)起100次查詢，并將本文的安全KNN查詢的結(jié)果與普通的基于歐氏距離的KNN查詢進(jìn)行對(duì)比，查詢精度為兩種查詢的相同的結(jié)果數(shù)除k，最終的查詢精度是這100次查詢精度的平均值。

圖3是在不同ΔC取值的情況下，安全KNN的查詢精度。從圖3可以看出，當(dāng)參數(shù)ΔC的值較小時(shí)，安全KNN的查詢精度與普通基于歐氏距離的KNN查詢結(jié)果非常接近，也表明安全KNN的查詢精度非常高，但隨著參數(shù)ΔC的值不斷增大，其查詢精度逐步降低，這也印證了定理2的正確性。

圖4是每30個(gè)周期提交一次數(shù)據(jù)，在不同ΔC取值下，本次實(shí)驗(yàn)四個(gè)智能終端空間開銷和總的通信開銷，其中圖4（a）空間開銷是指在處理數(shù)據(jù)的過(guò)程中最大占用的內(nèi)存數(shù)， 并假定了智能終端遞交了本輪數(shù)據(jù)后就不再保存本輪的數(shù)據(jù)，圖4（b） 的通信開銷是指智能終端向邊緣服務(wù)器發(fā)送的數(shù)據(jù)總量，單位為M。從圖4（a）（b）描繪的結(jié)果來(lái)看，當(dāng)參數(shù)ΔC的值較小時(shí)，智能終端的空間開銷和通信開銷較大，但隨著參數(shù)ΔC的值變大，智能終端的空間開銷和通信開銷將逐步變小。

圖5同樣在設(shè)定每30個(gè)周期提交一次數(shù)據(jù)的情況下，在不同ΔC取值時(shí)的邊緣服務(wù)器平均每輪空間開銷和總的通信開銷，其中圖5（a）空間開銷是指在每1輪數(shù)據(jù)在處理過(guò)程中最大占用的內(nèi)存的平均值，圖5（b）的通信開銷是指智能終端向邊緣服務(wù)器平均發(fā)送的總數(shù)據(jù)量，單位為M。從圖5（a）（b）描繪的結(jié)果來(lái)看，當(dāng)參數(shù)ΔC的值較小時(shí)，邊緣服務(wù)器的空間開銷和通信開銷較大，但隨著參數(shù)ΔC的值不斷變大，邊緣服務(wù)器的空間開銷和通信開銷將逐步變小。

由圖3～5可知：查詢的精度與參數(shù)ΔC的值有關(guān)，ΔC值越大，誤差越大，ΔC值越小，精度越高；同樣，系統(tǒng)的開銷與參數(shù)ΔC的值有關(guān)，ΔC值越大，開銷越小，ΔC值越小，開銷越高。這表明了參數(shù)ΔC的取值實(shí)際上是性能和開銷折中的問(wèn)題。

圖6是設(shè)定在ΔC=2的情況下，每輪提交數(shù)據(jù)包含的周期數(shù)n不斷變化，四個(gè)智能終端總的空間開銷和通信開銷，并假定了智能終端遞交了本輪數(shù)據(jù)后就不再保存本輪的數(shù)據(jù)，單位為M。從圖6（a）（b）描繪的結(jié)果來(lái)看，參數(shù)n的值對(duì)智能終端的總的空間開銷和通信開銷幾乎沒(méi)有影響。

圖7同樣是設(shè)定在ΔC=2的情況下，每輪提交數(shù)據(jù)包含的周期數(shù)n不斷變化，邊緣服務(wù)器總的空間開銷和通信開銷，其中圖7（a）的空間開銷是指在處理數(shù)據(jù)的過(guò)程中最大占用的內(nèi)存，圖7（b）的通信開銷是指智能終端向邊緣服務(wù)器平均每輪發(fā)送的數(shù)據(jù)量，單位為M。從圖7（a）（b）描繪的結(jié)果來(lái)看，參數(shù)n的值對(duì)邊緣服務(wù)器的總的空間開銷和通信開銷幾乎沒(méi)有影響。

6 結(jié)束語(yǔ)

為解決執(zhí)行KNN查詢過(guò)程中惡意用戶窺探他人隱私的問(wèn)題，本文提出了一種具有隱私保護(hù)的KNN查詢方法，具體包括：為了保護(hù)數(shù)據(jù)隱私，首先設(shè)計(jì)了一種隱私保護(hù)函數(shù)，可信第三方通過(guò)該函數(shù)可以為每個(gè)智能終端生成不同的數(shù)據(jù)隱私保護(hù)函數(shù)和查詢隱私保護(hù)函數(shù)；在此基礎(chǔ)上，進(jìn)一步提出了一種基于桶劃分與隨機(jī)數(shù)分配相結(jié)合的數(shù)據(jù)編碼方案，并且編碼數(shù)據(jù)經(jīng)過(guò)隱私保護(hù)函數(shù)加密后具有密文不可區(qū)分的特點(diǎn)；為了保護(hù)數(shù)據(jù)的效用性，提出了一種基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界，該模型能直接在密文上度量查詢條件和數(shù)據(jù)之間的相似性；最后， 針對(duì)電力物聯(lián)網(wǎng)的安全需求，提出了面向隱私保護(hù)的安全KNN查詢協(xié)議。仿真和分析表明，本文的安全KNN查詢機(jī)制能有效抵抗選擇明文攻擊、數(shù)據(jù)挖掘攻擊、統(tǒng)計(jì)分析攻擊、ICA攻擊以及推理預(yù)測(cè)攻擊等，并且其開銷較低。

隨著智能電網(wǎng)和邊緣計(jì)算相融合，解決了云服務(wù)器負(fù)載較大的問(wèn)題，滿足高并發(fā)、實(shí)時(shí)處理等需求，但當(dāng)前隱私保護(hù)方法在電網(wǎng)和邊緣計(jì)算方面的問(wèn)題尚未得到深入研究。因此，還需研究適用于電網(wǎng)邊緣服務(wù)器高效的流式數(shù)據(jù)隱私保護(hù)方法，為智能電網(wǎng)邊緣服務(wù)器提供實(shí)時(shí)的安全防護(hù)。

參考文獻(xiàn)：

［1］Sanjab A，Saad W，Guvenc I，et al. Smart grid security： threats，challenges，and solutions ［EB/OL］. （2016）. https：//arxiv.org/abs/1606. 06992.

［2］Asghar M R，Dán G，Miorandi D，et al. Smart meter data privacy： a survey ［J］.IEEE Communications Surveys amp; Tutorials ，2017， 19 （4）： 2820－2835.

［3］Efthymiou C，Kalogridis G. Smart grid privacy via anonymization of smart metering data ［C］//Proc of the 1st IEEE International Confe－rence on Smart Grid Communications. Piscataway，NJ： IEEE Press，2010： 238－243.

［4］Cheung J C L，Chim T W，Yiu S M，et al. Credential－based privacy－preserving power request scheme for smart grid network［C］//Proc of IEEE Global Telecommunications Conference. Piscataway，NJ： IEEE Press，2011： 1－5.

［5］童云海，陶有東，唐世渭，等. 隱私保護(hù)數(shù)據(jù)發(fā)布中身份保持的匿名方法 ［J］. 軟件學(xué)報(bào)，2010， 21 （4）： 771－781. （Tong Yunhai，Tao Youdong，Tang Shiwei，et al. Identity－reserved anonymity in privacy preserving data publishing ［J］.Journal of Software ，2010， 21 （4）： 771－781.）

［6］Ren Wei，Song Jun，Yang Yu，et al. Lightweight privacy－aware yet accountable secure scheme for SM－SGCC communications in smart grid ［J］.Tsinghua Science and Technology ，201 16 （6）： 640－647.

［7］Liu Yining，Guo Wei，F(xiàn)an C I，et al. A practical privacy－preserving data aggregation （3PDA） scheme for smart grid ［J］.IEEE Trans on Industrial Informatics ，2018， 15 （3）： 1767－1774.

［8］Jo H J，Kim I S，Lee D H. Efficient and privacy－preserving metering protocols for smart grid systems ［J］.IEEE Trans on Smart Grid ，2015， 7 （3）： 1732－1742.

［9］Shen Hua，Zhang Mingwu，Shen Jian. Efficient privacy－preserving cube－data aggregation scheme for smart grids ［J］.IEEE Trans on Information Forensics and Security ，2017， 12 （6）： 1369－1381.

［10］Chen Le，Lu Rongxing，Cao Zhenfu. PDAFT： a privacy－preserving data aggregation scheme with fault tolerance for smart grid communications ［J］.Peer－to－Peer Networking and Applications ，2015， 8 （6）： 1122－1132.

［11］Abdallah A，Shen X S. A lightweight lattice－based homomorphic privacy preserving data aggregation scheme for smart grid ［J］.IEEE Trans on Smart Grid ，2016， 9 （1）： 396－405.

［12］He Debiao，Kumar N，Zeadally S，et al.Efficient and privacy－preservingdata aggregation scheme for smart grid against internal adversaries ［J］.IEEE Trans on Smart Grid ，2017， 8 （5）： 2411－2419.

［13］于東，康海燕. 面向時(shí)序數(shù)據(jù)發(fā)布的隱私保護(hù)方法研究 ［J］. 通信學(xué)報(bào)，2015， 36 （Z1）： 243－249. （Yu Dong，Kang Haiyan. Privacy protection method on time－series data publication ［J］.Journal on Communications ，2015， 36 （Z1）： 243－249.）

［14］Savi M，Rottondi C，Verticale G. Evaluation of the precision－privacy tradeoff of data perturbation for smart metering ［J］.IEEE Trans on Smart Grid ，2015， 6 （5）： 2409－2416.

［15］Zhang Zijian，Qin Zhan，Zhu Liehuang，et al. Cost－friendly differential privacy for smart meters： exploiting the dual roles of the noise ［J］.IEEE Trans on Smart Grid ，2016， 8 （2）： 619－626.

［16］Lyu Lingjuan，Law Y W，Jin Jiong，et al. Privacy－preserving aggregation of smart metering via transformation and encryption ［C］// Proc of IEEE Conference on TrustCom/BigDataSE/ICESS. Piscataway，NJ： IEEE Press，2017： 472－479.

［17］Wang Xiaoyan，Xu Zhenquan，Cai Ziwei，et al. Novel temporal perturbation－ based privacy－preserving mechanism for smart meters ［J］.Mobile Networks and Applications ，2019， 25 （4）： 1－15.

［18］cs G，Castelluccia C. I have a dream！ （differentially private smart metering） ［C］//Proc of International Workshop on Information Hiding. Berlin： Springer，2011： 118－132.

［19］Zhao Jing，Jung T，Wang Yu，et al. Achieving differential privacy of data disclosure in the smart grid ［C］//Proc of IEEE Conference on Computer Communications. Piscataway，NJ： IEEE Press，2014： 504－512.

［20］Ni Jianbing，Zhang Kuan，Alharbi K，et al. Differentially private smart metering with fault tolerance and range－based filtering ［J］.IEEE Trans on Smart Grid ，2017， 8 （5）： 2483－2493.

［21］董道國(guó)，劉振中，薛向陽(yáng). VA－Trie： 一種用于近似K近鄰查詢的高維索引結(jié)構(gòu) ［J］. 計(jì)算機(jī)研究與發(fā)展，2005， 42 （12）： 2213－2218. （Dong Daoguo，Liu Zhenzhong，Xue Xiangyang. VA－Trie： a new and efficient high dimensional index structure for approximate K nearest neighbor ［J］.Journal of Computer Research and Deve－lopment ，2005， 42 （12）： 2213－2218.）

［22］賈金營(yíng)， 張鳳荔. 基于經(jīng)緯網(wǎng)格的遞增 KNN 位置隱私保護(hù)查詢算法 ［J］. 計(jì)算機(jī)應(yīng)用研究，2014， 31 （12）： 3689－3691. （Jia Jin－ying，Zhang Fengli. Incremented KNN inquiry algorithm based on grid of latitude－longitude for location privacy protection ［J］.Application Research of Computers ，2014， 31 （12）： 3689－3691.）

［23］朱順痣，黃亮，周長(zhǎng)利，等. 一種基于興趣點(diǎn)分布的匿名框 KNN查詢方法 ［J］. 電子學(xué)報(bào)，2016， 44 （6）： 2423－2431. （Zhu Shunzhi，Huang Liang，Zhou Changli，et al. A privacy－preserving method based on PoIs distribution using cloaking region for K nearest neighbor query ［J］.Acta Electronica Sinica ，2016， 44 （6）： 2423－2431.）

［24］梁麗莎，盧來(lái)，吳衛(wèi)祖. LBS中外包空間數(shù)據(jù)的KNN安全查詢方法 ［J］. 計(jì)算機(jī)應(yīng)用與軟件，202 38 （1）： 325－329. （Liang Lisha，Lu Lai，Wu Weizu. Secure KNN queries of outsourced spatial data in location－based services ［J］.Computer Applications and Software ，202 38 （1）： 325－329.）

［25］張學(xué)軍，李佳樂(lè)，楊依行，等. 基于服務(wù)相似性的隱私保護(hù)K近鄰查詢方法 ［J］. 蘭州交通大學(xué)學(xué)報(bào)，2023， 42 （1）： 44－61. （Zhang Xuejun，Li Jiale，Yang Yixing，et al. Privacy－preserving K－nearest neighbor query method based on service similarity ［J］.Journal of Lanzhou Jiaotong University ，2023， 42 （1）： 44－61.）

［26］Li Long，Huang Jianbo，Chang Liang，et al. DPPS： a novel dual privacy－ preserving scheme for enhancing query privacy in continuous location－based services ［J］.Frontiers of Computer Science，F(xiàn)ormerly Known as Frontiers of Computer Science in China ，2023， 17 （5）： 175814.

［27］張大方，徐鴻玥，李睿. 無(wú)線體域網(wǎng)中隱私保護(hù)安全KNN查詢協(xié)議 ［J］. 電子科技大學(xué)學(xué)報(bào)，2017， 46 （5）： 722－727. （Zhang Dafang，Xu Hongyue，Li Rui. Privacy preserving KNN query protocol for wireless body sensor networks ［J］.Journal of University of Electronic Science and Technology of China ，2017， 46 （5）： 722－727.）

［28］Zheng Yandong，Lu Rongxing，Shao Jun.Achieving efficient and privacy－ preserving KNN query for outsourced eHealthcare data ［J］.Journal of medical systems ，2019， 43 （5）： 123.

［29］Yi Yeqing，Li Rui，Chen Fei，et al. A digital watermarking approach to secure and precise range query processing in sensor networks ［C］// Proc of IEEE International Conference on Computer Communications.Piscataway，NJ：IEEE Press，2013： 1950－1958.

［30］Kolter J Z，Johnson M J. REDD： a public data set for energy disaggregation research ［C］// Proc of Sust KDD Workshop on Data Mi－ning Applications in Sustainability. 2011.

［31］Yuan Xiaoyong，He Pan，Zhu Qile，et al. Adversarial examples： attacks and defenses for deep learning ［J］.IEEE Trans on Neural Networks and Learning Systems ，2019， 30 （9）： 2805－2824.

［32］張聰叢，郜潁潁，趙暢，等. 開放政府?dāng)?shù)據(jù)共享與使用中的隱私保護(hù)問(wèn)題研究—基于開放政府?dāng)?shù)據(jù)生命周期理論 ［J］. 電子政務(wù)，2018（9）： 24－36. （Zhang Congcong，Gao Yingying，Zhao Chang，et al. Research on privacy protection issues in open government data sharing and utilization－based on the theory of open government data lifecycle ［J］.E－Government ，2018（9）： 24－36.）

［33］Wong W K，Cheung D W，Kao Ben，et al. Secure KNN computation on encrypted database ［C］//Proc of ACM SIGMOD International Conference on Management of Data. New York： ACM Press，2009： 139－152.

［34］Gu Chunsheng，Gu Jixing. Known－plaintext attack on secure KNN computation on encrypted databases ［J］.Security amp; Communication Networks ，2014， 7 （12）： 2432－2441.