一種智能電表的隱私保護方案

◆吳聯大 鄧 攀 莫凌峰 楊詩清

?

一種智能電表的隱私保護方案

◆吳聯大 鄧 攀 莫凌峰 楊詩清

(南華大學電氣工程學院 湖南 421001)

智能電表是智能電網中最重要的用戶側設備，然而其大規模應用正面臨著數據隱私問題的挑戰。本文設計了一種智能電表的隱私保護方案，該方案利用對稱同態加密算法來有效地保護用電數據的機密性和完整性，并通過數據安全聚合保護用戶隱私。最后，通過軟件仿真驗證了該方案在計算開銷上的優越性。

智能電表；同態加密；隱私保護

0 引言

智能電網中，由智能電表、廣域通信網絡及相關管理系統共同組成的系統稱為高級量測體系（Advanced Metering Infrastructure, AMI），負責用戶用電數據的測量、收集和運用。用戶側的智能電表需要每數分鐘采集一次實時用電數據并將其發送至電力企業以供運營和管理之需。然而已有研究表明，對實時用電數據的分析可能暴露用戶日常行為習慣等隱私信息[1]。

目前，已有許多文獻提出了用電數據的隱私保護技術。這些技術分為身份隱私保護技術和數據隱私保護技術兩大類[2]。前者的目標是，電力企業或其他實體可以知曉智能電表的實時用電數據，但無法把數據和某一確定電表對應起來；后者則正好相反，智能電表的身份可以被公開，但單一智能電表的用電數據應確保不被外部目標竊聽或截取，也不能被電力企業直接訪問。數據隱私保護的關鍵在于，不僅要對智能電表的實時用電數據進行加密，還要將數據以某種方式合并從而隱藏單一用戶信息，通常稱之為安全聚合。安全聚合一般通過具備加法同態性的加密算法來實現，即在不經過解密的情況下計算若干電表的用電數據之和，從而隱藏單一電表數據，實現隱私保護。

很多數據隱私保護方案[3-6]均應用了具有加法同態性的非對稱加密算法，如著名的Paillier[7]密碼系統。然而，非對稱加密算法的運算復雜度往往較高，可能不適合成本和處理能力有限的智能電表。與之相比，本文基于Cheon等人[8]提出的對稱同態加密算法設計了一種智能電表隱私保護方案，其加密和解密只需要使用模乘法及加法運算，可有效降低運算復雜度。

1 智能電表隱私保護方案

1.1 網絡結構

本文的研究對象是一個具備用電信息自動采集功能的住宅小區，或者稱為一個簡化的AMI網絡，如圖1所示。該網絡主要包含以下三類實體：

（1）控制中心(Control Center)，包含主控系統、前端服務器、存儲服務器等一系列設備。其作用是接收并處理收集到的用戶用電信息，以及將各類信息和命令發送至智能電表。控制中心也作為密鑰服務器負責通信密鑰的分發、撤銷和更新，或可將此功能交付可信任第三方(Trusted Third Party, TTP)。

（2）集中器(Local Aggregator)，是安裝于小區內的專用采集設備。根據覆蓋范圍不同，一個小區內可以安裝一個或多個集中器。集中器的作用是采集小區用戶的用電數據（主要包括實時用電數據、賬單信息、智能用電策略等），并通過專用通信信道傳輸給控制中心，以及下發或執行控制中心的管理命令。

（3）智能電表(Smart meter)，安裝在小區用戶側的終端設備。智能電表的主要功能之一是記錄、存儲用戶的實時用電數據，并將其發送至集中器。另一方面，智能電表可以自動或由用戶手動執行集中器下發的各類管理命令。

出于建設成本的考慮，集中器一般采用無線通信方式覆蓋小區內所有智能電表，可以視為一個微型基站。根據用戶環境特性的不同，集中器與控制中心間可以使用光纖、4G、電力線載波等技術進行通信。在本文中，所有的無線信道被視為不安全的，即可能被竊聽或攻擊。

圖1 簡化的AMI網絡

1.2 方案初始化

在數據通信開始前，需要進行方案初始化，包括以下步驟：

（1）控制中心選擇安全參數Q和sk，以及用于HMAC算法的驗證密鑰ak。

Q：消息空間范圍，其大小視具體需求而定。每一條明文消息可以表示為位于(-Q/2.Q/2]的整數。

sk：通信密鑰，sk={N, p1, p2, q1, q2}。這里，p1和p2為兩個η位的大質數，且和Q互質；N為p1和p2的乘積；q1是一個1到N之間，模p1為1且模p2為0的整數，即：

類似地可以定義q2。

ak：驗證密鑰，為一滿足長度要求的隨機二進制串。

（2）智能電表Mi(i=1,2,..n)向控制中心發起設備注冊請求。注冊時可以使用指紋識別，智能卡等方式來驗證戶主本人身份，并通過電表內置的初始密鑰來確保此次通信的安全性[6]。注冊完成后，Mi將獲得設備身份標識IDi，通信密鑰sk和驗證密鑰ak。

1.3 數據通信流程

智能電表的數據通信流程包括以下步驟：

（1）生成用電數據。在一天當中的固定時刻，智能電表Mi生成本時段用電數據di={IDi, ci, ts}。其中IDi為設備身份標識，ci為本時段用電量，ts為采集時間。后續計算要求ci為整數，為此可將其小數點向右移動一個固定的位數；

（2）數據加密。在(-2ρ, 2ρ)范圍內選擇隨機整數ri，這里ρ為大于η的整數，且相差一定距離。計算密文：

（3）生成消息驗證碼。使用密文ei，采集時間ts和驗證密鑰ak計算：

（4）Mi將{IDi, ei, maci, ts}發送至集中器。

集中器的數據通信流程包括以下步驟：

（1）將接收到的采集時間ts和本地時間對比，若匹配則接受數據，否則丟棄數據；

（2）用ei和ts重新計算maci，若匹配則接受數據；否則，丟棄數據，記錄IDi并向服務中心發送警告消息。

（3）將數據進行安全聚合。即計算：

然后，使用安全信道將esum發送至控制中心。

控制中心使用sk進行解密。即計算：

由剩余定理易知：

即解密結果為整個小區的本時段用電總量。

縱觀整個數據通信流程可見，直接和隱私相關的單一用戶用電數據ci經加密后最遠僅到達集中器。集中器不具備解密的能力，因為安全聚合并不需要通信密鑰sk。控制中心雖然具備解密能力，但解密后只能獲知小區用電總量csum，并不能由此推斷出單一用戶用電數據。因此，單一用戶的用電數據隱私得到了保護。

2 安全性分析

除了對用電數據隱私的保護以外，本文提出方案還包括以下幾個方面的安全性：

2.1 用電數據的機密性

機密性即所有的受保護數據不應被未授權實體所訪問，如竊聽者等。在通信密鑰不泄露的情況下，這直接依賴于加密算法的安全性。本文采用算法的安全性依賴于co-ACD(co-Approximate Common Divisor)問題在數學上的難解性，也就是說如果存在一種算法能高效地求出co-ACD問題的解，那么算法就是不安全的。Chen[9]和Coron[10]提出了對co-ACD問題的一些攻擊方式，而Cheon[8]指出合理的參數選擇仍然可以保證該算法的安全性。同時，為進一步提高方案的安全性，算法的安全參數應當作定期更新。

2.2 用電數據的完整性

完整性主要通過消息驗證碼算法HMAC來保證，而HMAC的安全性主要依賴于驗證密鑰，即只要驗證密鑰不泄露，可以認為所有的消息驗證碼是可靠的。同樣為提高安全性，應當定期更新驗證密鑰。應當指出的是本方案采用HMAC是因為其在計算和通信開銷上都具有優勢；一些數字簽名算法可以提供更好的安全性能，但會引入額外的計算和通信開銷。

2.3 應對重放攻擊

重放攻擊是指截取網絡中合法數據包并在一定時間后在網絡中重傳以干擾系統運行。本方案在數據中加入了采集時間并用于生成消息驗證碼，從而過時數據包的消息驗證碼將不會被接受，可以在一定程度上防止重放攻擊。

3 性能分析

由于加解密運算是方案中計算開銷的主要部分，這里從加解密的計算開銷方面來分析方案的性能。本文方案所使用算法是一種快速的對稱同態加密算法，在加解密過程中的復雜運算相對較少。表1列出了本文方案與經典的Paillier算法之間的密碼學運算次數比較。

表1 密碼學運算次數比較

由表1可見，本文方案的一大優勢是加密和解密過程均無需進行模指數運算，而大整數的模指數運算正是影響計算開銷的主要因素。

最后，通過軟件仿真程序驗證方案實際性能。仿真程序運行的硬件和軟件環境是Intel Core 2 Duo T9400 CPU, 3GB內存，JDK 7.0。表2列出了本文方案與Paillier算法在幾種不同安全參數下的加解密運算時間比較。這里消息空間范圍Q取2256，即32字節；安全參數在本文方案中指模數N的位數2η，也作為Paillier算法中的公鑰長度；隨機整數ei的長度取ρ=η+256。

表2 加解密運算時間比較

由表2可見，本文方案的加解密時間確實遠小于Paillier算法。進一步地，對于其他需要使用模指數運算的算法而言，可以認為本文方案在計算開銷上更具有優勢。

4 結論

智能電表作為智能電網用戶側不可或缺的設備，其應用和推廣中必須要解決的一個問題就是隱私保護問題。本文為解決此問題設計了一種智能電表隱私保護方案，利用具有加法同態性質的對稱加密算法對用戶實時用電數據進行加密和安全聚合來保護用戶隱私。安全性分析和軟件仿真表明，該方案在實現用電數據隱私保護的同時，具有較好的安全性和較低的計算開銷，尤其適用于處理能力有限的智能電表設備。

[1]Khurana H, Hadley M, Lu N, et al.Smart-Grid Security Issues[J].IEEE Security & Privacy，2010.

[2]田秀霞，李麗莎，孫超超等.面向智能電表的隱私保護技術綜述[J].華東師范大學學報(自然科學版)，2015.

[3]Yu C M,Chen C Y,Kuo S Y,et al.Privacy-Preserving Power Request in Smart Grid Networks[J].IEEE Systems Journal，2014.

[4]Deng P,Yang L.A secure and privacy-preserving communication scheme for Advanced Metering Infrastructure[C]//IEEE Pes Innovative Smart Grid Technologies.IEEE Computer Society，2012.

[5]翟峰，徐薇，馮云，孫毅.面向智能電表隱私保護方案的改進Paillier算法設計[J].電力信息與通信技術，2016.

[6]鄧攀，韓光輝，范波等.一種智能電表的安全通信方案[J].電力信息與通信技術，2015.

[7]Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//International Conference on Theory and Application of Cryptographic Techniques. Springer-Verlag，1999.

[8]Cheon J H,Lee H T,Seo J H.A New Additive Homomorphic Encryption based on the co-ACD Problem[C]// ACM，2014.

[9]Chen Y,Nguyen P Q.Faster algorithms for approximate common divisors: breaking fully-homomorphic-encryption challenges over the integers[C]//International Conference on the Theory and Applications of Cryptographic Techniques.Springer, Berlin, Heidelberg，2012.

[10]Coron J,Naccache D,Tibouchi M.Public Key Compression and Modulus Switching for Fully Homomorphic Encryption over the Integers[M]//Advances in Cryptology – EUROCRYPT 2012.Springer Berlin Heidelberg，2012.

2016年度湖南省大學生研究性學習和創新性實驗計劃項目（編號965）。