數(shù)據(jù)安全及隱私保護(hù)在智能電網(wǎng)中的應(yīng)用研究*

潘 濤

（國網(wǎng)河南省電力公司周口供電公司，河南 周口 466000）

0 引 言

智能電網(wǎng)通常會(huì)實(shí)時(shí)監(jiān)控智能電表的數(shù)據(jù)，并遠(yuǎn)程采集后存放在云端；智能電表中含有用戶的身份信息、實(shí)時(shí)數(shù)據(jù)等隱私內(nèi)容，這些在云端的數(shù)據(jù)如果不加以控制的話會(huì)造成智能電網(wǎng)用戶隱私數(shù)據(jù)的泄漏。

1 智能電網(wǎng)的數(shù)據(jù)安全及隱私問題

隨著云計(jì)算技術(shù)、人工智能技術(shù)、大數(shù)據(jù)技術(shù)等在電力領(lǐng)域的不斷深入應(yīng)用，智能電網(wǎng)也越來越向智能化、自動(dòng)化發(fā)展。然而，這種智能電網(wǎng)的應(yīng)用需求使用戶逐漸暴露于日益增長的數(shù)據(jù)安全及隱私泄露威脅下。

作為一個(gè)復(fù)雜并且高度耦合的專業(yè)系統(tǒng)，智能電網(wǎng)的數(shù)據(jù)安全建設(shè)至少需要滿足以下要求[1]：（1）可用性。 需要確保電力系統(tǒng)數(shù)據(jù)的正常使用，一旦出現(xiàn)可用性問題，會(huì)導(dǎo)致電力系統(tǒng)喪失智能性，難以全面正確地感知電網(wǎng)的運(yùn)行狀態(tài)。（2）完整性。電網(wǎng)內(nèi)部的數(shù)據(jù)，如果未經(jīng)授權(quán)不能被隨意修改，避免電力系統(tǒng)中的數(shù)據(jù)被惡意破壞、篡改，否則的話會(huì)因?yàn)闊o法及時(shí)檢測到電網(wǎng)中潛在的安全風(fēng)險(xiǎn)。（3）隱私性。在智能電網(wǎng)各業(yè)務(wù)系統(tǒng)服務(wù)的全流程中，要確保用戶的隱私數(shù)據(jù)不會(huì)被泄露給未授權(quán)用戶；另外數(shù)據(jù)所有者可以任意支配其數(shù)據(jù)。用戶的隱私信息一旦被惡意第三方獲取，就可能會(huì)被用來實(shí)施進(jìn)一步的非法目的。

和傳統(tǒng)電網(wǎng)中各業(yè)務(wù)模塊的獨(dú)立性不同，智能電網(wǎng)中發(fā)電、輸電、配電以及用電各個(gè)環(huán)節(jié)的聯(lián)系更加緊密。電力系統(tǒng)整體層面上，電力系統(tǒng)的安全穩(wěn)定運(yùn)行以及數(shù)據(jù)隱私問題是智能電網(wǎng)的兩大核心問題。雖然智能電表在實(shí)時(shí)傳輸用戶端的用電情況、發(fā)布供電側(cè)的發(fā)電情況等應(yīng)用廣泛，但硬件設(shè)備的限制使其在進(jìn)行高強(qiáng)度的加解密計(jì)算時(shí)受到一定的限制，因而面臨很大的脆弱性，容易受到安全性攻擊。另外，電力系統(tǒng)內(nèi)在傳輸數(shù)據(jù)時(shí)也會(huì)借助公用網(wǎng)絡(luò)，這也給外界攻擊者帶來機(jī)會(huì)。

2 基于數(shù)據(jù)聚合技術(shù)的隱私保護(hù)方案

智能電網(wǎng)通常借助高級(jí)測量體系（Advanced Measurement Infrastructure，AMI）實(shí)現(xiàn)用戶端智能電表數(shù)據(jù)的采集、監(jiān)控以及上傳等操作。AMI主要包括用戶網(wǎng)關(guān)、智能電表等設(shè)備，如圖1所示。

圖1 高級(jí)測量體系（AMI）結(jié)構(gòu)

智能電網(wǎng)中有眾多的用戶類型，而且涉及到多種業(yè)務(wù)系統(tǒng)，所以其信息網(wǎng)絡(luò)很有可能面臨安全威脅。針對(duì)智能電網(wǎng)用戶側(cè)的攻擊類型有[2]：（1）內(nèi)部攻擊。主要通過設(shè)備偽裝、惡意中間實(shí)體等方式，偽造或篡改用戶數(shù)據(jù)，從而產(chǎn)生安全威脅。（2）外部攻擊。針對(duì)包括智能電表在內(nèi)的各種通信終端進(jìn)行主動(dòng)的竊聽、故障攻擊，竊取用戶數(shù)據(jù)。（3）其他攻擊。諸如拒絕服務(wù)攻擊、重放攻擊等在內(nèi)的攻擊方式，其目的不是獲取數(shù)據(jù)，而且使智能電表等設(shè)備不能正常使用。

智能電表中的數(shù)據(jù)主要有：智能電表用戶身份信息、電表用電總量數(shù)據(jù)、用電實(shí)時(shí)數(shù)據(jù)等。用電總量數(shù)據(jù)一般不會(huì)對(duì)用戶隱私產(chǎn)生影響，但實(shí)時(shí)用的數(shù)據(jù)會(huì)導(dǎo)致個(gè)人隱私信息泄露，外部惡意人員一旦掌握了電表的用戶身份信息以及實(shí)時(shí)用電數(shù)據(jù)，就能夠間接的推測用戶的電器使用情況及實(shí)時(shí)活動(dòng)信息，從而危及用戶的財(cái)產(chǎn)安全。另外，如果攻擊人員惡意地偽造或篡改大量用戶的隱私數(shù)據(jù)，就有可能嚴(yán)重影響智能電網(wǎng)的安全穩(wěn)定運(yùn)行。

為了解決高級(jí)測量體系（AMI）中智能電表的數(shù)據(jù)安全及用戶隱私問題，可以設(shè)計(jì)一種智能電表的數(shù)據(jù)安全模型，以某智能電網(wǎng)用戶小區(qū)作為基本組成單元；此數(shù)據(jù)安全模型的主要組成部分包括[3]：通信信道、可信第三方（Trusted Third Party，TTP）、控制中心（Control Center，CC）、聚合器以及智能電表，如圖2所示。其中的通信信道包括無線信道以及有線信道兩種，由于需要保證數(shù)據(jù)的安全性以及私密性，因此控制中心與聚合器以及可信第三方之間進(jìn)行通信時(shí)都是使用有線信道傳輸數(shù)據(jù)。聚合器以及可信第三方必須通過控制中心連接起來，控制中心充當(dāng)了智能電網(wǎng)中采集信息、反饋信息的作用。可信第三方的作用是管理AMI安全數(shù)據(jù)模型通信過程中的密鑰。聚合器連接了控制中心以及智能電表，在收集到智能電表的數(shù)據(jù)后，將其發(fā)送到控制中心，同時(shí)也會(huì)執(zhí)行控制中心反饋的控制信號(hào)，如果聚合器不能處理此控制信號(hào)則轉(zhuǎn)發(fā)給智能電表。

圖2 數(shù)據(jù)安全模型

智能電表會(huì)把用戶的用電信息發(fā)送給聚合器，在較短時(shí)間內(nèi)的累積后得到一段時(shí)間內(nèi)的實(shí)時(shí)用電數(shù)據(jù)，這一數(shù)據(jù)泄露的話有可能影響用戶隱私，因此需要進(jìn)行重點(diǎn)保護(hù)。為了保證用戶數(shù)據(jù)在從智能電表傳輸給聚合器的過程中不存在安全問題，需要在發(fā)送給聚合器前先進(jìn)行用戶數(shù)據(jù)的驗(yàn)證和加密。聚合器每隔一段時(shí)間都會(huì)對(duì)接收到的聚合區(qū)域內(nèi)的所有智能電表的用戶加密數(shù)據(jù)再次進(jìn)行加密，然后才會(huì)發(fā)送給供電公司。供電公司接收到的聚合后數(shù)據(jù)在經(jīng)過身份認(rèn)證后，需要進(jìn)行用戶數(shù)據(jù)的分析、挖掘，然后把對(duì)應(yīng)的控制信號(hào)等信息反饋給用戶處的智能電表。

上述用于保護(hù)用戶隱私的安全數(shù)據(jù)模型中，雖然控制中心與聚合器以及可信第三方之間的有線通信信道都是安全可靠的，但是涉及到無線通信的通信信道都存在一定的安全隱患，隨時(shí)有可能被惡意第三方攻擊。在分析智能電表可能受到的攻擊類型后，可以對(duì)上述模型進(jìn)行改進(jìn)，使其可以實(shí)現(xiàn)的安全目標(biāo)滿足[4]：（1）雙向認(rèn)證。智能電表在加入安全數(shù)據(jù)模型系統(tǒng)之前需要先進(jìn)行身份認(rèn)證，這樣做的目的是防止惡意第三方騙取隱私數(shù)據(jù)；如果認(rèn)證不通過，則不允許接入到安全數(shù)據(jù)模型系統(tǒng)中。（2）數(shù)據(jù)的機(jī)密性和完整性。實(shí)體間傳輸數(shù)據(jù)時(shí)需要進(jìn)行加密，防止未授權(quán)實(shí)體訪問用戶的用電數(shù)據(jù)、控制信號(hào)等隱私信息。（3）高效率的同時(shí)保護(hù)隱私數(shù)據(jù)。加密數(shù)據(jù)所使用的秘密算法不僅要能保證用戶數(shù)據(jù)安全，還應(yīng)該具有較高的效率，在加密的同時(shí)不能增加智能電表的開銷。

為了達(dá)成上述目標(biāo)，使用安全數(shù)據(jù)模型保護(hù)用戶隱私數(shù)據(jù)的方案是基于這樣的假設(shè)：惡意攻擊人員只有在同時(shí)獲取到智能電表的用戶身份以及實(shí)時(shí)數(shù)據(jù)才能進(jìn)行攻擊，只獲取到任一因素都難以對(duì)用戶隱私產(chǎn)生威脅。因此，在使用上述安全數(shù)據(jù)模型包含用戶隱私時(shí)是針對(duì)智能電表的實(shí)時(shí)數(shù)據(jù)，間接實(shí)現(xiàn)了用戶側(cè)智能電表的隱私保護(hù)。

每個(gè)新增加的智能電表在加入到安全模型之前，需要先向控制中心注冊(cè)，注冊(cè)過程實(shí)現(xiàn)了對(duì)智能電表的身份認(rèn)證。首先，智能電表通過內(nèi)置的算法生成自身的具有唯一標(biāo)識(shí)的注冊(cè)信息；然后加密注冊(cè)信息，并進(jìn)行哈希計(jì)算得到消息的驗(yàn)證碼MAC；把加密消息以及驗(yàn)證碼同時(shí)發(fā)送給聚合器。聚合器接收到消息后，通過控制中心轉(zhuǎn)發(fā)給可信第三方，第三方重新計(jì)算消息的校驗(yàn)碼，如果此校驗(yàn)碼和MAC不一致則拒絕注冊(cè)請(qǐng)求，如果一致就通知控制中心核驗(yàn)注冊(cè)。

基于對(duì)稱加密算法及數(shù)據(jù)聚合技術(shù)的隱私保護(hù)方案先把用戶的隱私數(shù)據(jù)加密，然后再進(jìn)行聚合，比傳統(tǒng)的基于公鑰算法的數(shù)據(jù)聚合方法成本開銷更低、效率更高。

3 基于群簽名技術(shù)的保護(hù)方案

通常情況下，基于橢圓曲線算法的群簽名方案的基本原理是[5]：（1）初始化。在一個(gè)有限域上定義橢圓曲線，并生成橢圓曲線的基點(diǎn)；然后定義一個(gè)可以將橢圓曲線上的點(diǎn)進(jìn)行變換的函數(shù)。（2）加入成員。為請(qǐng)求加入的成員A產(chǎn)生公私鑰對(duì)，并發(fā)送給群管理者；群管理者B給用戶A發(fā)送一個(gè)用于盲化身份的密鑰，用戶B使用此密鑰簽名；然后，群管理者B對(duì)群內(nèi)成員完成同樣操作。（3）產(chǎn)生群簽名。成員A在發(fā)送消息前，對(duì)消息進(jìn)行簽名，并把此簽名發(fā)送給驗(yàn)證者。（4）驗(yàn)證簽名。簽名驗(yàn)證者首先驗(yàn)證簽名者（成員A）是否是合法的簽名者；如果是則確定其收到的簽名確實(shí)是成員A對(duì)消息的合法簽名，否則簽名驗(yàn)證不通過。（5）簽名者身份追蹤。在出現(xiàn)簽名爭執(zhí)的情況下，需要追蹤簽名用戶的身份；在必要的時(shí)候，還需要撤銷群成員資格。

基于橢圓曲線的群簽名方案在簽名長度、簽名驗(yàn)證的計(jì)算量等方面效果很好，但是也存在一定的缺陷[6]：（1）成員撤銷算法本身在安全性上有一定的問題，而且撤銷過程也比較繁瑣；在撤銷成員時(shí)，成員撤銷前的所有簽名都會(huì)成為非法狀態(tài)，也就是說是前向不安全的。（2）簽名驗(yàn)證者的安全性。雖然簽名驗(yàn)證者可以按照安全協(xié)議的要求進(jìn)行簽名驗(yàn)證，但他可以把簽名認(rèn)證信息和簽名中的公鑰聯(lián)系起來，從而能夠打開之前的簽名和新產(chǎn)生的簽名，也就是說基于橢圓算法的群簽名機(jī)制具有弱匿名性。

結(jié)合智能電表用戶隱私數(shù)據(jù)在應(yīng)用時(shí)的特殊性，可以修改傳統(tǒng)的基于橢圓算法的群簽名方案：（1）可以把地域作為智能電表建立群體的要素，在對(duì)智能電表進(jìn)行分組時(shí)，同一小組的用戶使用一個(gè)公共的證書，證書驗(yàn)證成功即可認(rèn)為是合法的用戶；在進(jìn)行簽名驗(yàn)證時(shí)，需要借助此組內(nèi)部所有用戶的公鑰，從而避免用戶的簽名被簽名驗(yàn)證者打開后進(jìn)行簽名身份的鏈接盜用。（2）用數(shù)據(jù)加密標(biāo)準(zhǔn)（Data Encryption Standard，DES）等對(duì)稱加密算法加密用戶的隱私數(shù)據(jù)以及控制信號(hào)等信息，這樣一來就只有控制中心在解密后獲取到相關(guān)參數(shù)；然后，控制中心把參數(shù)提交給高群管理者進(jìn)行用戶追蹤。在這一過程內(nèi)，群管理者對(duì)控制中心負(fù)責(zé)，而控制中心對(duì)用戶負(fù)責(zé)。

使用改進(jìn)后的群簽名機(jī)制保護(hù)智能電表的基本原理是[7]：（1）初始化。定義橢圓曲線，并構(gòu)造橢圓曲線的點(diǎn)變換函數(shù)；另外，還需要生成群管理者以及控制中心的公私鑰對(duì)。（2）加入新用戶。在加入電網(wǎng)之前，新用戶需要把自身的公私鑰對(duì)發(fā)送給群管理者，在群管理者核驗(yàn)完用戶的身份后會(huì)向用戶頒發(fā)進(jìn)群的證書。控制中心根據(jù)用戶端電表所處的區(qū)域，把新用戶劃分到相應(yīng)的組中。（3）群管理者對(duì)群中的所有成員完成上述操作，然后從控制中心處獲取分組信息，發(fā)送相應(yīng)的密鑰給組內(nèi)的所有用戶。（3）采集實(shí)時(shí)用戶數(shù)據(jù)。組內(nèi)的各智能電表都需要將自身的實(shí)時(shí)數(shù)據(jù)發(fā)送給控制中心，控制中心在收到用電量的簽名后首先驗(yàn)證證書的合法性，驗(yàn)證通過后再驗(yàn)證簽名的正確性。（4）如果對(duì)用戶身份信息存在爭議，則需要追蹤簽名者。控制中心將追蹤參數(shù)發(fā)送給群管理者，群管理者經(jīng)過相應(yīng)計(jì)算后從保存的數(shù)據(jù)中恢復(fù)簽名者的身份，并反饋給控制中心。

在用戶加入階段，如果攻擊者想要獲取用戶隱私數(shù)據(jù)，則需要解決橢圓曲線離散對(duì)數(shù)問題和哈希算法，同時(shí)還需要知道加密過程中使用的隨機(jī)數(shù)，這三個(gè)限制條件使得在短時(shí)間內(nèi)破解用戶的隱私數(shù)據(jù)是不可能的，所以可以認(rèn)為用戶簽名在被群管理者打開之前是滿足安全條件的。另外，對(duì)于任意兩個(gè)簽名，攻擊者也不能確定是否是由同一個(gè)簽名者生成的，因而滿足不可鏈接性的安全要求。

4 結(jié) 語

本文對(duì)智能電網(wǎng)中用戶面臨的數(shù)據(jù)安全問題進(jìn)行研究，研究了數(shù)據(jù)安全方案在保護(hù)用戶隱私等方面的應(yīng)用。首先，說明智能電網(wǎng)中用戶面臨的數(shù)據(jù)安全及隱私泄露問題；接下來，介紹了基于數(shù)據(jù)聚合技術(shù)的保護(hù)方案以及基于群簽名技術(shù)的保護(hù)方案，對(duì)數(shù)據(jù)安全及隱私保護(hù)技術(shù)在智能電網(wǎng)中的應(yīng)用研究有一定的幫助。