基于Paillier 算法的智能電網數據聚合與激勵方案

朱 嵩，王化群

（南京郵電大學 計算機學院，南京 210023）

0 概述

智能電網的基本要求是使操作中心可以通過用戶配備的智能電表收集電力數據，獲得其管轄范圍內所有用戶的實時電力數據，從而能夠進行動態的電力調度、電價制定等操作。然而，在這個過程中存在較大的隱私安全問題。由于智能電網與日常生活緊密相連，電力數據在傳送過程中可能被非法攻擊者竊取，從而造成用戶隱私信息泄露［1］。例如，攻擊者通過收集大量某用戶在各個時段的電力數據，即可推測出用戶的作息習慣，這樣會暴露用戶的個人隱私。另一方面，近年來分布式光伏發電產業發展迅速，對智能電網提出了新的要求。2017 年，德國1/3 的家庭已在房頂上安裝太陽能電池板，自發自用，分布式光伏發電約占全國年用電量的8%。此外，德國實行溢價補貼，即光伏發電可獲得固定發電補貼。電網用戶在獲得光伏發電獎勵時，并不想暴露個人信息，因此，隱私安全顯得尤為重要，尤其是電網用戶的匿名性。智能電網的實現需滿足以下3 個需求：安全性需求，即保證個體用戶實時電力信息的數據保密；實用性需求，即保證操作中心可以得到所有用戶的真實電力數據總和；匿名性需求，即保證用戶在上傳電力數據和獲得光伏發電獎勵時保持匿名。

NAKAMOTO［2］于2008 年在比特幣論壇上提出區塊鏈的概念，十年來區塊鏈技術得到飛速發展，相關研究與應用呈爆發式增長態勢，許多研究者從不同角度探討了將區塊鏈應用在電力系統上的意義。KUSHCH 等［3］分析了智能電網技術的發展前景、可再生能源成本降低的趨勢以及智能計量的技術路線，提出開發基于區塊鏈的解決方案以提高智能電網生態的總體安全性。MYLREA 等［4］探討了將區塊鏈以及智能合約應用于智能電網，進一步提升智能電網的彈性和安全性。區塊鏈可以將信任商品化，并使自動化的智能合約根據預定義規則支持可審計的多方交易。WU 等［5］研究區塊鏈技術在智能電網需求側響應管理中的應用，并給出一個區塊鏈被用來促進機器對機器（M2M）交互的實例。

本文基于Paillier 算法提出一個新的智能電網數據聚合和激勵方案。利用同態Paillier 加密技術實現外包計算下的數據安全聚合，并通過區塊鏈獲得光伏發電獎勵時電網用戶和電網管理中心的雙向匿名性和不可鏈接性。

1 相關工作

隨著智能電網的發展，越來越多的研究者開始關注智能電網中的數據聚合和激勵。2012 年，LU等［6］提出一種隱私保護的智能電網通信聚合方案，采用超遞增序列來構造多維數據，并采用同態Paillier 加密技術對結構化數據進行加密。一旦本地網關受到攻擊而聚合錯誤的密文，運營中心并不能及時地發現，從而不能恢復出正確的聚合明文信息。2013 年，ROTTONDI 等［7］提出一種基于客戶端網關的分布式數據聚合安全體系結構。2016 年，WANG等［8］提出平衡匿名性和可跟蹤性的智能電網外包小規模數據線性聚合方案。該方案支持基于外包計算的多維數據線性聚合，但該方案中設置了可信第三方，用戶的隱私并不能得到充分保障。2017 年，HE等［9］提出一種新的隱私保護數據聚合方案，利用Boneh-Goh-Nissim 公鑰密碼對抗內部攻擊者且計算效率更高，但是在多維數據聚合上的表現并不理想。這方面的研究成果還有很多，但是抗內部攻擊的多維數據聚合仍是亟需解決的問題。

因此，對于智能電網中的能源交易，研究者們做了大量的工作。2011 年，YANG 等［10］提出一種保密通信和精確的車聯網（V2G）獎勵架構，這是一種精確而公平的激勵模式，V2G 網絡的運營商為每個參與的用戶提供每項服務獎勵。考慮到V2G 網絡的特殊性，他們首次嘗試解決隱私問題。2015 年，WANG等［11］提出一種新的可跟蹤隱私保護通信和精確獎勵方案，但并不滿足不可鏈接性。2018 年，AITZHAN等［12］通過區塊鏈技術、多簽名和匿名加密消息流實現了分布式能源交易系統的概念驗證，使用戶能夠匿名協商能源價格，并安全地進行交易，但是該方案中仍然需要存在可信第三方。2019 年，DORRI 等［13］提出一個基于區塊鏈的私有框架，使能源消費者能夠以分布式的方式協商能源價格和交易能源，采用路由方法來轉發協商流量，從而減少了相關開銷，但并沒有給出具體的算法。GAI 等［14］提出一種基于聯盟鏈的方案來解決無限制交易的隱私泄露問題。該方法主要解決了智能電網中能源交易用戶的隱私問題，并對賣家的能源銷售分布進行篩選。

智能電網中的數據聚合和激勵得到了眾多研究者的關注，然而現有方案仍存在一些安全隱私問題。

2 預備知識

2.1 橢圓曲線與雙線性對

定義一個在有限域Fq上的橢圓曲線E，其中q為一個素數。E(Fq) 由下式給出：E：y2=x3+ax+bmodq，其中，G為E(Fq) 素數階l的一個生成元。離散對數問題（Discrete Logarithm Problem，DLP）和計算Diffie-Hellman問題（Calculation Diffie-Hellman Problem，CDHP）給出如下定義：

定義1（DLP）給定(G,G1)∈E(Fq)，尋找使得G1=xG。

定義2（CDHP）給定(G,G1,G2)∈E(Fq)3，其中G1=xG，G2=yG，x,y未知，計算x、y、G。

選擇一個雙線性群對(G1,G2)，G1、G2分別為素數階p的一個循環加法群和循環乘法群，P是G1的一個生成元。令e：G1×G1→G2為一個具有以下性質的雙線性映射。

2.2 Paillier 密碼系統

Paillier 密碼系統可以實現加法同態，在隱私保護方面得到了廣泛的應用。加密系統由密鑰生成、加密和解密3 種算法組成。

2.3 Monero 區塊鏈與環簽名

環簽名是一種數字簽名方案，最初由RIVEST等［15］提出。環簽名是一種簡化的群簽名，環簽名中只有環簽名成員沒有管理者，不需要環簽名成員間的合作。由于環簽名具有無條件匿名性和不可偽造性的特點，使其在隱秘性方面比一般的群簽名更突出。而環簽名的代表項目是Monero 區塊鏈［16］。Monero 區塊鏈是一種公有鏈，其交易由分布式共識機制同步，然后記錄在區塊鏈上。Monero 區塊鏈使用環簽名、環保密交易和隨機地址來混淆所有交易的來源、金額和目的地。它集合了去中心化加密貨幣的所有優勢，而沒有任何隱私方面的缺陷。因發送和接收地址以及交易金額在默認情況下是混淆的，所以Monero 區塊鏈上的交易不能鏈接到特定用戶或真實身份。

3 基于Paillier的智能電網數據聚合和激勵方案

3.1 系統模型

在本文方案存在5 個實體，分別為電網管理中心（State Grid Management Center，SGMC）、云計算中心（Cloud Computation Center，CCC）、電 網用戶（Ui）、智能電表（SMi）和Monero 區塊鏈。

1）電網管理中心是整個智能電網的管理員，通過SMi為Ui提供電力保障，可以遠程查詢數據線性聚合信息進行統計和預測，制定分時電價來指導用戶用電習慣，并通過區塊鏈對自發電用戶進行獎勵。

2）云計算中心具有龐大的存儲空間和計算資源來維護用戶數據，負責聚合用戶上傳的電力數據。在聚合計算過程中，有可能會遺漏一些數據，或者受到外部攻擊聚合一些錯誤數據。在聚合密文出錯時，SGMC 可以及時發現并向其追責。SGMC 可能通過交易這些隱私數據來牟利。此外，由于在獎勵自發電用戶過程中，CCC 負責發放相關收據和憑證，有可能將獎勵錯誤導向利益相關的區塊鏈地址或者修改獎勵金額。

3）默認電網用戶Ui都已經安裝了SMi，用戶可以將自己隨機選擇的區塊鏈地址寫入SMi，以便接收獎勵。

4）假設SMi基于可信硬件［17］，誠實且不可篡改，并在固定的時間間隔將電力信息以密文形式發送給CCC。智能電表SMi對電網用戶Ui不完全透明，相關電力數據和收據對Ui公開，但與其他實體協商產生的密鑰和參數對Ui保密。

5）SGMC 通過區塊鏈（本文為Monero 區塊鏈）將獎勵發送給Ui。Ui也可以檢查它們的獎勵是否已經由SGMC 發送。

3.2 安全目標

安全是智能電網安全通信成功的關鍵。在安全模型方面，默認SGMC 是可信的，SMi誠實且不可篡改。本文方案必須滿足以下3 個安全目標：

1）身份驗證和數據完整性，CCC 驗證SGMC 授權用戶發送的密文數據，并且在傳輸過程中未被更改，即如果敵手偽造或者修改數據，則應及時檢測到該惡意操作。同時只有正確的聚合密文才能被SGMC 接收，在此情況下才能完成對電網狀況的監控和自發電獎勵。

2）Ui的匿名性，在SMi上傳數據的過程中，CCC無法通過SMi識別Ui的身份。在授權和獎勵的過程中，SGMC 也無法識別Ui的身份。

3）SGMC 的匿名性，雖然Ui接收SGMC 的獎勵，但Ui無法識別SGMC 在區塊鏈上的地址。

根據上述安全需求，給出以下安全定義：

定義3（Ui的匿名性）在本文方案中，Ui是無條件匿名的，即使敵手的計算能力是無限的，也無法識別Ui的真實身份。

定義4（SGMC 的匿名性）假設SGMC 在發送獎勵時只有一個地址，本文方案滿足SGMC 的匿名性，需滿足以下兩個條件。

1）當SGMC 有n1個輸出地址時，如果所有的輸出地址都不屬于敵手，那么識別SGMC 變化地址的概率不超過(1/n1)。如果n2個輸出地址屬于敵手，那么識別SGMC 變化地址的概率不超過[1/(n1-n2)]。

2）如果SGMC 計算有n個區塊鏈地址的環簽名，任何不屬于該環的敵手猜測到SGMC 地址的概率應不大于1/n。如果該環中有n'個地址屬于敵手，那么猜測到SGMC 地址的概率不大于(1/(n-n'))。

定義5（不可追蹤性）對于發送到區塊鏈上的每個交易請求，所有可能的發送方都是等概率的。

3.3 本文方案

為體現方案設計的直觀性，本文方案的具體架構如圖1 所示。

圖1 本文方案架構Fig.1 Architecture of the proposed scheme

3.3.1 初始化

本文方案采用兩種類型的系統參數。一種類型參數是針對Monero 區塊鏈，另一種用于授權、認證、加密、驗證等。其生成步驟是使用與Monero 區塊鏈同樣的橢圓曲線參數。在有限域Fq上定義橢圓曲線E=-x2+y2=1+dx2y2，其中q=2255-19,d=-122 665/121666。選擇 一個素數階的生成元G，=2252+27 742 317 777 372 353 535 851937 790 883 648 493。此外，選擇兩個安全的密碼散列函數H1：{0,1}*→Fl，H2：E(Fq)→E(Fq)，用戶Ui選擇作為它的私鑰。對應的公鑰為(Ai,Bi)，其中Ai=aiG,Bi=biG，并將(Ai,Bi)寫入SMi。SGMC 選擇作為它的私鑰，對應的公鑰為(X,X1)，其中X=xG,X1=x1G。在這個階段，SGMC 在區塊鏈的地址X上存儲了大量的Monero 幣。

在公鑰基礎設施（Public Key Infrastructwe，PKI）中，給定安 全參數?,?1，首先通 過Gen(?) 生 成(p,P,G1,G2,e)，其中(G1,G2)為素數階p的雙線性群對，雙線性映射為e：G1×G1→G2，P是G1的一個生成元。SGMC 選擇一個隨機數作為它的私鑰并計算它的公鑰Y=yP。CCC 選擇一個隨機數作為它的私鑰并計算其公鑰Z=zP。SGMC 計算Paillier 密碼系統的公鑰(n=p1q1,g)和對應的私鑰(λ,μ)，其中p1和q1是兩個足夠大的素數并滿足|p1|=|q1|=?1。假設聚合的總數據量不超過一個常數N，且有3 種類型的數據(φ1,φ2,φ3)需要在Paillier 密碼系統中進行加密，其中φ1是用戶的用電數據，φ2是用戶的發電數據，φ3是一個基于哈希的消息驗證碼，且φi值始終小于一個足夠大的常數d。SGMC 構造一個超遞增序列α→=(a1=1,a2,a3)，其中a2,a3是足夠大的素數并滿足|a2|,|a3|≥?1，且然后計算(g1,g2,g3)，其中此外，選擇2 個安全的密碼散列函數H和HMACk，其中H：{0,1}*→G1,HMACk：{0,1}*→Fd，一個對 稱加密算法(E,D)，如AES，與一個安全的簽名/驗證算法對(Sign,Verify)。

3.3.2 基于合同的授權

為了能夠匿名上傳電力數據和獲得自發電獎勵，SMi需要定期獲得SGMC 授權。同時，SGMC 也需要收集SMi的狀態信息，根據這些信息來創建合同Conti，其中包含SMi的狀態信息、所屬社區等。為了保護Ui的隱私，Conti中不包含Ui的身份信息。但是，(Ai,Bi)被包含到Conti中以獲得授權。同時，為了進行安全交互，Ui和SGMC 共同協商一個會話密鑰ki。SGMC 還初始化一個表格，其中列出了授權SMi的隨機公鑰(Ai,Bi)、認證期限和合同有效期限Ti。SGMC 執行以下2 個步驟以授權SMi：1）SGMC 初始化一個表格，為Conti生成簽 名σi=yH(Conti)，將(Ai,Bi)、認證期限和合同有效期限Ti添加到Tab；2）SGMC 將(Conti,σi,ki,g1,g2,g3)發送給SMi，將更新后的Tab 發送給CCC。

3.3.3 匿名認證

當SMi接收到(Conti,σi,ki,g1,g2,g3)后需要在認證期限內向CCC 完成認證。首先它選擇一個隨機數作為臨時私鑰，并計算Wi=wi P作為臨時公鑰，然后將(Conti,σi,Wi)發送給CCC。CCC 接收到(Conti,σi,Wi)后，執行以下3 個步驟驗證授權的有效性。

1）在一段時間內，CCC 接收到很多(Conti,σi,Wi)，其中i∈I，且|I|≤N。

2）CCC 選擇隨機數δi∈Fp，其中i∈I，之后驗證是否成立。如果公式不成立，CCC 找出其中的無效對，并拒絕它們，然后繼續執行后續步驟。

3）對于每 個i∈I，CCC 從Conti提取其公鑰(Ai,Bi)。如果(Ai,Bi)屬于Tab 并在認證期限內第一次提出認證請求，則將Wi添加到Tab 對應的(Ai,Bi)；否則，CCC 拒絕SMi的認證請求。

3.3.4 數據上傳

每隔固定的時間間隔智能電表SMi會自動收集這一時間段t內用戶Ui的電力數據，并執行以下步驟：1）SMi選擇一個隨機數儲存在本地并計算其中，di1為用戶Ui在時間段t內的用電數據，di2為用戶Ui在時間段t內的發電數據，di3=HMACki(Ai,Bi,t)；2）SMi利用對稱密鑰ki加密得 到計算發送給CCC。

3.3.5 數據聚合

在時間段t內，智能電表發送一系列的密文數據，CCC 需要對這些數據驗證后存儲、存儲后聚合。

3.3.6 驗證和解密

SGMC 接收到CCC 發送的聚合密文后，執行以下步驟驗證和解密密文。

算法1恢復聚合數據

3.3.7 匿名獎勵

當合同有效期限Ti到期后，CCC 計算SMi在合同有效期限Ti內上傳數據的聚合密文，并將其發送給SMi和SGMC 分別作為收據和憑證，其中|Ti|≤N×|t|。

當SMi接收到后，先驗證的有效性。利用保存在本地的合同有效期限Ti內的用電和發電總量以及每次上傳數據時生成的消息驗證碼和ri,t計算：

3.3.8 驗證和接收獎勵

當接收到SGMC 發送的(P0,…,Pnr,m,σ)后，區塊鏈驗證者執行以下步驟來驗證σ的有效性：

4 安全性分析

定理1（正確性）如果SGMC 是誠實的，那么通過調用算法1，能夠成功地將聚合密文恢復為明文。

證明令X3=M，則：

定理2（正確性）如果SGMC 和區塊鏈驗證者是誠實的，并且遵循所提出的方案，那么SGMC 的簽名就可以通過區塊鏈的驗證。

證明在SGMC 簽名的生成過程中，已知以下2 點。

定理3（不可偽造性）本文方案SMi來自SGMC的授權，來自CCC 的收據和憑證，SMi上傳的密文數據，以及SGMC 的環簽名都滿足了不可偽造性。

證明為了獲得高效的授權算法、收據和憑證生成算法，BONEH 等［18］提出在PKI 中的短簽名方案，該方案是可證安全的。對于SMi上傳的密文數據，利用KRAWEZYK 等［19］提出密鑰相關的哈希運算消息認證碼（Hash-based Message Authentication Code，HMAC）來確保密文數據的不可偽造性。在利用Paillier 密碼系統進行加密時，將HMAC 作為多維數據中的一種與電力數據一起加密。證明過程和KRAWEZYK 等人的證明過程類似。對于SGMC 的環簽名，利用WANG 等［20］提出的簽名方案，該方案是可證安全的，文獻［20］已給出詳細的證明過程。

定理4（機密性）SMi上傳的單個密文數據只能由SMi和SGMC 解密，聚合密文數據只能由SGMC 解密。

定理5（Ui的匿名性）在本文方案中，Ui是無條件匿名的。即使敵手的計算能力是無限的，它也無法識別Ui的真實身份。

證明基于合同的認證階段，SMi提交的Conti不包含Ui的身份信息。選定的公鑰對(Ai,Bi)也和Ui的身份信息無關。在匿名認證階段，SMi向CCC 提交(Conti,σi)，而被提交的信息中心也不包含任何與Ui身份有關的信息。綜上所述，本文方案不需要Ui的身份信息且滿足Ui的匿名性。

定理6（SGMC 的匿名性）本文方案滿足SGMC 的匿名性。

證明基于定理5，本文從以下兩個部分來證明：

1）當SGMC 有n1個輸出地址而所有的輸出地址都不屬于敵手時，由于哈希函數H1的性質，所有的一次 性公鑰都是隨機的。Ui對應的獎勵被發送到隨機區塊鏈地址。因此，所有n1個輸出地址對于敵手都是隨機的，SGMC 的變化地址被識別的概率不超過(1/n1)。當n2個輸出地址屬于敵手時，其他(n1-n2)個輸出地址對于敵手仍然是隨機的。SGMC 的變化地址被識別的概率不超過(1/(n1-n2))。

2）在匿名獎勵階段本文方案利用環簽名思想來實現SGMC 的匿名性。從最后發送給驗證者的簽名σ=(I,A,c0,…,cnr,r0,…,rnr) 中可以得知I=xs H2(Ps),ci,ri,i≠s是隨機的。也是隨機的。因此，如果SGMC 計算nr個區塊鏈地址的環簽名，SGMC 的匿名性可以被保證。

5 性能分析

本文使用GMP（GMP-6.20）和PBC（pbc-0.5.14）的python 編程語言。本文實驗是在使用Intel（R）CoreTMi7-8750H CPU（2.20 GHz）、4 GB 內存和運行unbuntu14.04 操作系統的個人計算機上進行的。為更好地對比系統各實體時間開銷，采用單線程方式編寫仿真程序。除上述仿真環境外，本文還利用Monero 區塊鏈和對應的PKCs。對于PKI 中的PKCs，利用雙線性群對(G1,G2)，其中G1被定義在有限域是階為160 bits 的超奇異橢圓曲線。同時，在Paillier 密碼系統中，|?1|=128 bits。本文方案整個流程的時間開銷如圖2 所示，合同期限內電網用戶上傳數據的次數j=5，環簽名參與者數量nr+1=11，其中Total 對應系統執行一次方案中所有步驟時間開銷包括SMi、SGMC、CCC和Monero 區塊鏈的總和。從圖2 可以看出，該系統計算成本與用戶數量基本呈線性關系。

圖2 系統時間開銷Fig.2 Time cost of the system.

在匿名獎勵階段SGMC 和CCC 的時間開銷對比如圖3 所示。電網用戶Ui的數量為100，環簽名參與者數量nr+1=11。驗證和接收獎勵階段區塊鏈的時間開銷如圖4 所示。

圖3 匿名獎勵階段SGMC 和CCC 的時間開銷對比Fig.3 Time cost comparison of SGMC and CCC in anonymous reward

圖4 驗證和接收獎勵階段區塊鏈的時間開銷Fig.4 Time cost of blockchain in vertification and anonymous reward

2012 年，LU 等［6］提出基于超遞增序列構造多維數據和同態Paillier 密碼技術的智能電網通信聚合方案EPPA。2019 年，WANG 等［20］提出 基于橢圓曲線的V2G 網絡匿名獎勵機制BBARS。本文方案、EPPA 方案、BBARS 方案安全屬性對比如表1 所示。從表1 可以看出，EPPA 方案可以在聚合器可信的前提下進行線性聚合，然而當聚合器受到攻擊或自發修改密文數據時，EPPA 方案無法及時發現。本文方案基于半可信的第三方外包計算和儲存，即使CCC受到攻擊或自發修改密文數據，電網管理中心也可以及時發現并更正。

表1 EPPA、BBARS 和本文方案的安全屬性對比Table 1 Security property comparison of EPPA，BBARS and the proposed schemes

BBARS、EPPA 和本文方案在數據聚合階段加密和解密的時間開銷對比如圖5 所示。從圖5 可以看出，BBARS、EPPA 與本文方案在數據聚合階段的加密和解密時間開銷均與用戶數量呈線性相關。由于BBARS 方案基于橢圓曲線，在解密時需解決涉及離散對數問題，因此時間開銷最大。本文方案與EPPA 方案都基于Paillier 同態加密算法，時間開銷近似，本文方案在加密時涉及可聚合驗證消息驗證碼的計算，因此時間開銷略大于EPPA 方案。

圖5 BBARS、EPPA 和本文方案加密和解密時間開銷對比Fig.5 Time cost of encryption and decryption comparison of BBARS，EPPA and the proposed schemes

6 結束語

針對智能電網數據聚合和激勵過程中存在的安全問題，本文提出一種基于Paillier 算法的智能電網數據聚合和激勵方案。采用超遞增序列設計多維同態加密算法，并加入可聚合驗證消息以保證聚合數據的真實性和完整性。此外，通過引入Monero 區塊鏈保護光伏發電獎勵時用戶和電網管理員的雙向匿名性和不可鏈接性。分析結果表明，本文方案安全高效，且其計算開銷與智能電網規模呈線性相關。后續將把可信計算技術引入云計算中心，進一步提高云計算的安全性和高效性。