一種智能電表的隱私保護方案

◆吳聯(lián)大 鄧 攀 莫凌峰 楊詩清

?

一種智能電表的隱私保護方案

◆吳聯(lián)大 鄧 攀 莫凌峰 楊詩清

(南華大學(xué)電氣工程學(xué)院 湖南 421001)

智能電表是智能電網(wǎng)中最重要的用戶側(cè)設(shè)備，然而其大規(guī)模應(yīng)用正面臨著數(shù)據(jù)隱私問題的挑戰(zhàn)。本文設(shè)計了一種智能電表的隱私保護方案，該方案利用對稱同態(tài)加密算法來有效地保護用電數(shù)據(jù)的機密性和完整性，并通過數(shù)據(jù)安全聚合保護用戶隱私。最后，通過軟件仿真驗證了該方案在計算開銷上的優(yōu)越性。

智能電表；同態(tài)加密；隱私保護

0 引言

智能電網(wǎng)中，由智能電表、廣域通信網(wǎng)絡(luò)及相關(guān)管理系統(tǒng)共同組成的系統(tǒng)稱為高級量測體系（Advanced Metering Infrastructure, AMI），負責(zé)用戶用電數(shù)據(jù)的測量、收集和運用。用戶側(cè)的智能電表需要每數(shù)分鐘采集一次實時用電數(shù)據(jù)并將其發(fā)送至電力企業(yè)以供運營和管理之需。然而已有研究表明，對實時用電數(shù)據(jù)的分析可能暴露用戶日常行為習(xí)慣等隱私信息[1]。

目前，已有許多文獻提出了用電數(shù)據(jù)的隱私保護技術(shù)。這些技術(shù)分為身份隱私保護技術(shù)和數(shù)據(jù)隱私保護技術(shù)兩大類[2]。前者的目標是，電力企業(yè)或其他實體可以知曉智能電表的實時用電數(shù)據(jù)，但無法把數(shù)據(jù)和某一確定電表對應(yīng)起來；后者則正好相反，智能電表的身份可以被公開，但單一智能電表的用電數(shù)據(jù)應(yīng)確保不被外部目標竊聽或截取，也不能被電力企業(yè)直接訪問。數(shù)據(jù)隱私保護的關(guān)鍵在于，不僅要對智能電表的實時用電數(shù)據(jù)進行加密，還要將數(shù)據(jù)以某種方式合并從而隱藏單一用戶信息，通常稱之為安全聚合。安全聚合一般通過具備加法同態(tài)性的加密算法來實現(xiàn)，即在不經(jīng)過解密的情況下計算若干電表的用電數(shù)據(jù)之和，從而隱藏單一電表數(shù)據(jù)，實現(xiàn)隱私保護。

很多數(shù)據(jù)隱私保護方案[3-6]均應(yīng)用了具有加法同態(tài)性的非對稱加密算法，如著名的Paillier[7]密碼系統(tǒng)。然而，非對稱加密算法的運算復(fù)雜度往往較高，可能不適合成本和處理能力有限的智能電表。與之相比，本文基于Cheon等人[8]提出的對稱同態(tài)加密算法設(shè)計了一種智能電表隱私保護方案，其加密和解密只需要使用模乘法及加法運算，可有效降低運算復(fù)雜度。

1 智能電表隱私保護方案

1.1 網(wǎng)絡(luò)結(jié)構(gòu)

本文的研究對象是一個具備用電信息自動采集功能的住宅小區(qū)，或者稱為一個簡化的AMI網(wǎng)絡(luò)，如圖1所示。該網(wǎng)絡(luò)主要包含以下三類實體：

（1）控制中心(Control Center)，包含主控系統(tǒng)、前端服務(wù)器、存儲服務(wù)器等一系列設(shè)備。其作用是接收并處理收集到的用戶用電信息，以及將各類信息和命令發(fā)送至智能電表。控制中心也作為密鑰服務(wù)器負責(zé)通信密鑰的分發(fā)、撤銷和更新，或可將此功能交付可信任第三方(Trusted Third Party, TTP)。

（2）集中器(Local Aggregator)，是安裝于小區(qū)內(nèi)的專用采集設(shè)備。根據(jù)覆蓋范圍不同，一個小區(qū)內(nèi)可以安裝一個或多個集中器。集中器的作用是采集小區(qū)用戶的用電數(shù)據(jù)（主要包括實時用電數(shù)據(jù)、賬單信息、智能用電策略等），并通過專用通信信道傳輸給控制中心，以及下發(fā)或執(zhí)行控制中心的管理命令。

（3）智能電表(Smart meter)，安裝在小區(qū)用戶側(cè)的終端設(shè)備。智能電表的主要功能之一是記錄、存儲用戶的實時用電數(shù)據(jù)，并將其發(fā)送至集中器。另一方面，智能電表可以自動或由用戶手動執(zhí)行集中器下發(fā)的各類管理命令。

出于建設(shè)成本的考慮，集中器一般采用無線通信方式覆蓋小區(qū)內(nèi)所有智能電表，可以視為一個微型基站。根據(jù)用戶環(huán)境特性的不同，集中器與控制中心間可以使用光纖、4G、電力線載波等技術(shù)進行通信。在本文中，所有的無線信道被視為不安全的，即可能被竊聽或攻擊。

圖1 簡化的AMI網(wǎng)絡(luò)

1.2 方案初始化

在數(shù)據(jù)通信開始前，需要進行方案初始化，包括以下步驟：

（1）控制中心選擇安全參數(shù)Q和sk，以及用于HMAC算法的驗證密鑰ak。

Q：消息空間范圍，其大小視具體需求而定。每一條明文消息可以表示為位于(-Q/2.Q/2]的整數(shù)。

sk：通信密鑰，sk={N, p1, p2, q1, q2}。這里，p1和p2為兩個η位的大質(zhì)數(shù)，且和Q互質(zhì)；N為p1和p2的乘積；q1是一個1到N之間，模p1為1且模p2為0的整數(shù)，即：

類似地可以定義q2。

ak：驗證密鑰，為一滿足長度要求的隨機二進制串。

（2）智能電表Mi(i=1,2,..n)向控制中心發(fā)起設(shè)備注冊請求。注冊時可以使用指紋識別，智能卡等方式來驗證戶主本人身份，并通過電表內(nèi)置的初始密鑰來確保此次通信的安全性[6]。注冊完成后，Mi將獲得設(shè)備身份標識IDi，通信密鑰sk和驗證密鑰ak。

1.3 數(shù)據(jù)通信流程

智能電表的數(shù)據(jù)通信流程包括以下步驟：

（1）生成用電數(shù)據(jù)。在一天當中的固定時刻，智能電表Mi生成本時段用電數(shù)據(jù)di={IDi, ci, ts}。其中IDi為設(shè)備身份標識，ci為本時段用電量，ts為采集時間。后續(xù)計算要求ci為整數(shù)，為此可將其小數(shù)點向右移動一個固定的位數(shù)；

（2）數(shù)據(jù)加密。在(-2ρ, 2ρ)范圍內(nèi)選擇隨機整數(shù)ri，這里ρ為大于η的整數(shù)，且相差一定距離。計算密文：

（3）生成消息驗證碼。使用密文ei，采集時間ts和驗證密鑰ak計算：

（4）Mi將{IDi, ei, maci, ts}發(fā)送至集中器。

集中器的數(shù)據(jù)通信流程包括以下步驟：

（1）將接收到的采集時間ts和本地時間對比，若匹配則接受數(shù)據(jù)，否則丟棄數(shù)據(jù)；

（2）用ei和ts重新計算maci，若匹配則接受數(shù)據(jù)；否則，丟棄數(shù)據(jù)，記錄IDi并向服務(wù)中心發(fā)送警告消息。

（3）將數(shù)據(jù)進行安全聚合。即計算：

然后，使用安全信道將esum發(fā)送至控制中心。

控制中心使用sk進行解密。即計算：

由剩余定理易知：

即解密結(jié)果為整個小區(qū)的本時段用電總量。

縱觀整個數(shù)據(jù)通信流程可見，直接和隱私相關(guān)的單一用戶用電數(shù)據(jù)ci經(jīng)加密后最遠僅到達集中器。集中器不具備解密的能力，因為安全聚合并不需要通信密鑰sk。控制中心雖然具備解密能力，但解密后只能獲知小區(qū)用電總量csum，并不能由此推斷出單一用戶用電數(shù)據(jù)。因此，單一用戶的用電數(shù)據(jù)隱私得到了保護。

2 安全性分析

除了對用電數(shù)據(jù)隱私的保護以外，本文提出方案還包括以下幾個方面的安全性：

2.1 用電數(shù)據(jù)的機密性

機密性即所有的受保護數(shù)據(jù)不應(yīng)被未授權(quán)實體所訪問，如竊聽者等。在通信密鑰不泄露的情況下，這直接依賴于加密算法的安全性。本文采用算法的安全性依賴于co-ACD(co-Approximate Common Divisor)問題在數(shù)學(xué)上的難解性，也就是說如果存在一種算法能高效地求出co-ACD問題的解，那么算法就是不安全的。Chen[9]和Coron[10]提出了對co-ACD問題的一些攻擊方式，而Cheon[8]指出合理的參數(shù)選擇仍然可以保證該算法的安全性。同時，為進一步提高方案的安全性，算法的安全參數(shù)應(yīng)當作定期更新。

2.2 用電數(shù)據(jù)的完整性

完整性主要通過消息驗證碼算法HMAC來保證，而HMAC的安全性主要依賴于驗證密鑰，即只要驗證密鑰不泄露，可以認為所有的消息驗證碼是可靠的。同樣為提高安全性，應(yīng)當定期更新驗證密鑰。應(yīng)當指出的是本方案采用HMAC是因為其在計算和通信開銷上都具有優(yōu)勢；一些數(shù)字簽名算法可以提供更好的安全性能，但會引入額外的計算和通信開銷。

2.3 應(yīng)對重放攻擊

重放攻擊是指截取網(wǎng)絡(luò)中合法數(shù)據(jù)包并在一定時間后在網(wǎng)絡(luò)中重傳以干擾系統(tǒng)運行。本方案在數(shù)據(jù)中加入了采集時間并用于生成消息驗證碼，從而過時數(shù)據(jù)包的消息驗證碼將不會被接受，可以在一定程度上防止重放攻擊。

3 性能分析

由于加解密運算是方案中計算開銷的主要部分，這里從加解密的計算開銷方面來分析方案的性能。本文方案所使用算法是一種快速的對稱同態(tài)加密算法，在加解密過程中的復(fù)雜運算相對較少。表1列出了本文方案與經(jīng)典的Paillier算法之間的密碼學(xué)運算次數(shù)比較。

表1 密碼學(xué)運算次數(shù)比較

由表1可見，本文方案的一大優(yōu)勢是加密和解密過程均無需進行模指數(shù)運算，而大整數(shù)的模指數(shù)運算正是影響計算開銷的主要因素。

最后，通過軟件仿真程序驗證方案實際性能。仿真程序運行的硬件和軟件環(huán)境是Intel Core 2 Duo T9400 CPU, 3GB內(nèi)存，JDK 7.0。表2列出了本文方案與Paillier算法在幾種不同安全參數(shù)下的加解密運算時間比較。這里消息空間范圍Q取2256，即32字節(jié)；安全參數(shù)在本文方案中指模數(shù)N的位數(shù)2η，也作為Paillier算法中的公鑰長度；隨機整數(shù)ei的長度取ρ=η+256。

表2 加解密運算時間比較

由表2可見，本文方案的加解密時間確實遠小于Paillier算法。進一步地，對于其他需要使用模指數(shù)運算的算法而言，可以認為本文方案在計算開銷上更具有優(yōu)勢。

4 結(jié)論

智能電表作為智能電網(wǎng)用戶側(cè)不可或缺的設(shè)備，其應(yīng)用和推廣中必須要解決的一個問題就是隱私保護問題。本文為解決此問題設(shè)計了一種智能電表隱私保護方案，利用具有加法同態(tài)性質(zhì)的對稱加密算法對用戶實時用電數(shù)據(jù)進行加密和安全聚合來保護用戶隱私。安全性分析和軟件仿真表明，該方案在實現(xiàn)用電數(shù)據(jù)隱私保護的同時，具有較好的安全性和較低的計算開銷，尤其適用于處理能力有限的智能電表設(shè)備。

[1]Khurana H, Hadley M, Lu N, et al.Smart-Grid Security Issues[J].IEEE Security & Privacy，2010.

[2]田秀霞，李麗莎，孫超超等.面向智能電表的隱私保護技術(shù)綜述[J].華東師范大學(xué)學(xué)報(自然科學(xué)版)，2015.

[3]Yu C M,Chen C Y,Kuo S Y,et al.Privacy-Preserving Power Request in Smart Grid Networks[J].IEEE Systems Journal，2014.

[4]Deng P,Yang L.A secure and privacy-preserving communication scheme for Advanced Metering Infrastructure[C]//IEEE Pes Innovative Smart Grid Technologies.IEEE Computer Society，2012.

[5]翟峰，徐薇，馮云，孫毅.面向智能電表隱私保護方案的改進Paillier算法設(shè)計[J].電力信息與通信技術(shù)，2016.

[6]鄧攀，韓光輝，范波等.一種智能電表的安全通信方案[J].電力信息與通信技術(shù)，2015.

[7]Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//International Conference on Theory and Application of Cryptographic Techniques. Springer-Verlag，1999.

[8]Cheon J H,Lee H T,Seo J H.A New Additive Homomorphic Encryption based on the co-ACD Problem[C]// ACM，2014.

[9]Chen Y,Nguyen P Q.Faster algorithms for approximate common divisors: breaking fully-homomorphic-encryption challenges over the integers[C]//International Conference on the Theory and Applications of Cryptographic Techniques.Springer, Berlin, Heidelberg，2012.

[10]Coron J,Naccache D,Tibouchi M.Public Key Compression and Modulus Switching for Fully Homomorphic Encryption over the Integers[M]//Advances in Cryptology – EUROCRYPT 2012.Springer Berlin Heidelberg，2012.

2016年度湖南省大學(xué)生研究性學(xué)習(xí)和創(chuàng)新性實驗計劃項目（編號965）。