V2G網絡的安全和隱私問題研究

張雄，張海春，劉政林

V2G網絡的安全和隱私問題研究

張雄1，張海春2，劉政林2

（1.華中科技大學中歐清潔與可再生能源學院，湖北 武漢 430074；2.華中科技大學光學與電子信息學院，湖北 武漢 430074）

汽車充放電網絡（Vehcle to Grid, V2G）能夠實現新能源電動汽車到智能電網之間的雙向能源流動和信息通信，是智能電網的重要一環。文章描述了V2G網絡的安全和隱私威脅及需求，分析了一些常見的V2G網絡攻擊方式，最后提出了新的安全策略來支持V2G網絡，包括匿名認證、環簽名、消息機密性和完整性認證。

智能電網；V2G；信息安全；隱私；匿名認證

前言

智能電網是將傳統電網轉變為未來“能源互聯網”的下一代電網[1]，集成了通信技術、信息技術和傳感測量技術。它可以實現對各設備、組成部分的智能調度和控制，以達到系統最優化運行[2]。汽車接入電網（Vehicle to Grid, V2G）是智能電網的一項重要的能源和網絡服務，是電網與交通系統集成的典型應用[3]。將汽車接入電網的主要目的是為汽車充電，電動汽車可以選擇向電網注入電力，汽車接入電網支持跨電網和電動汽車的通信和能量雙向流動，它在電動汽車與電網之間雙向傳遞產生大量信息數據，這些數據可用于提供需求負荷預測、價格預測、最優能耗調度、備用電力等有價值的服務[3]。V2G通信網絡不同于其他傳統網絡，它的信息交換控制著配電網中的物理組件，信息或網絡安全威脅可能導致關鍵電力基礎設施的故障或損壞。V2G系統中存在的安全和隱私方面的挑戰將極大地影響下一代汽車接入電網技術的實際應用[4]。

V2G網絡的安全和隱私問題已有相關研究人員廣泛研究。Saxena等人[4]提出了一種新的網絡安全和隱私保護架構來支持V2G網絡。Eizaet[5]等人通過結合無證書公鑰加密和限制性部分盲簽名技術，提出了一種安全且隱私敏感的代理移動IPv6協議，既保證了電動汽車的位置隱私，又保持了電動汽車與充電服務之間的會話連續性。Yang等人[6]討論了V2G網絡中一種精確的獎勵方案，使用基于身份的限制性部分盲簽名技術在他們的方案中生成許可，確保驗證者不能通過許可證鏈接電動汽車的真實身份。但是該方案后來被證明是不安全的，其中使用的基于身份的限制性部分盲簽名生成的許可證很容易被偽造[7]。Abdallah等人[8]提出了一種針對V2G連接的隱私保護認證方案，利用哈希函數和位異或操作，設計了一個健壯的密鑰協商協議，在V2G環境中實現了相互認證。

但是，目前還沒有研究系統性地分析解決V2G網絡的安全性和隱私性問題。為此，在本文中我們描述了V2G網絡中的隱私和安全威脅以及挑戰，分析了網絡中存在的常見的攻擊方式，最后提出了針對性的隱私和安全防護策略。

1 汽車充放電網絡

電動汽車充放電網絡的主要思想是將電動汽車的蓄電池組作為儲能源，通過先進的信息和通信技術實現電動汽車與智慧電網間的能源流動。V2G利用大量的電動汽車儲能源作為智慧電網的緩沖能源，當電網的負荷比較高時，電動汽車將多余的電能反饋給電網；當電網負荷比較低時，大量電動汽車的電池組可用來存儲電網多余的電能，借助這種方式，可以有效地對電網起到“削峰填谷”的作用，還可以為電動汽車用戶帶來一定的利益[9]。

網可以通過V2G網絡與電動汽車建立雙向的信息流通信，實現電動汽車與電網之間實現雙向可控的電力流交換。充放電的通信網絡如圖1所示，包括電網控制中心通過匯聚單元與充電樁間的通信，充電樁與電動汽車的通信和它們在可信中心的認證通信三部分。充電樁對電動汽車的電壓、電流、充放電狀態以及電池溫度等信息實時采集，并將采集到的信息數據上傳給電網控制調度中心，控制中心對接收到的數據進行分析和處理，根據分析結果過對充電樁下達控制命令，實現電動汽車雙向可控制的與電網進行電力流交換，可信中心負責三者之間的可信認證[10]。具體如下：

電網控制中心（Grid Control Center, GCC）負責發布整個電網的實時電力需求和電價等相關信息，同時對電動汽車的實時狀態、位置信息以及電池使用情況等進行監測，根據監控的數據和電網的自身相關需求制定出最優的控制策略等。

可信中心（Central Authority, CA）是一個完全可信的第三方機構，如電力監管部門，它主要負責整個系統的安全基礎，一般假定CA可以完全被網絡中的其他實體信任，具有較高的安全級別。

匯聚單元（Aggregator, AG）充電樁與上層電網控制中心之間的通信媒介，負責對電動汽車的充/放電操作和狀態進行監測，并上傳給電網控制中心，傳達電網控制中心的調度命令，完成電動汽車的有序充放電操作。

充電樁（Charging Spot, CS）負責電動汽車與匯聚單元之間的數據交換。對電動汽車進行充放電的實時轉狀態進行監測，并將相關信息上傳給控制中心，根據策略實現對電動汽車充電/放電的控制。

電動汽車（Electric Vehicle, EV）具有雙向能源交易能力的電動汽車，有助于維持智能電網的穩定性，它們可以作為能源生產者，在高峰時間給電池充電，還可以在非高峰時間充電，充當能源消耗者的角色。

V2G通信網絡與現有的其他通信網絡有很多不同之處，比如車輛的移動性、車輛的地理位置、充放電作業、行駛方式、有限的通信范圍等。在安全方面，V2G網絡中的認證需要快速高效，才能支持大量預計將參與動態充放電的電動汽車。需要保護車輛身份、車型、充放電時間、充電站身份等保密信息。電動汽車可以通過分布式或集中式V2G網絡與智能電網通信，從電網向電網充放電。

圖1 電動汽車充放電網絡架構

2 隱私和安全威脅

本節更詳細地描述了V2G網絡的各種隱私和安全威脅，包括網絡中的各種安全攻擊、身份跟蹤、獲取位置信息等。

2.1 隱私威脅

用戶享有有關能源消耗的隱私信息包括用戶的身份、車輛日用電量、位置等，具體包括：

（1）身份隱私。包括電動汽車用戶的真實身份信息，包括用戶的姓名、家庭住址、身份證號、駕駛證號等。電網需要對身份信息進行驗證以保證為用戶提供個性化的服務。

（2）位置隱私。電動汽車的位置等相關信息，如果攻擊者獲得相關的位置隱私，就可以通過跟蹤監視用戶的行為，輕易地獲知其他敏感信息。

（3）電池狀態隱私。包括電動汽車電池的電壓、電量、使用狀態等信息。攻擊者可以根據電池狀態推斷出用戶的用電喜好、生活習慣，甚至是用戶位置及個人身份等隱私信息。

受損害的匯聚中心可以檢索車輛的信息，并通過將信息傳遞給攻擊者而濫用該信息。匯聚中心還可以跟蹤特定車輛的信息，比如充電站的位置以及車輛在充電站停留了多長時間。如果汽車經常在特定充電站充電或放電，也可以追蹤車主的計時模式。對充放電操作的選擇和每輛車電池的將私人信息泄露給匯聚中心，攻擊者可以檢索這些信息并存儲用戶歷史記錄。

2.2 安全威脅

攻擊者可能會對V2G網絡進行攻擊，如竊聽和重放攻擊、假冒攻擊、中間人攻擊、基于流量的DoS攻擊等，以下場景描述了V2G網絡中不同類型的攻擊，探討電動汽車充放電網絡組件上的幾種典型攻擊向量。

2.2.1竊聽和重放攻擊

攻擊者在電動汽車和充電樁通信鏈路間以監聽抓包等方式手段獲取通信數據，造成汽車身份、位置和電池狀態數據等隱私數據泄露。同時攻擊者可以攔截、注入或重新發送以前發送的消息，以便執行重放攻擊，這可能導致電動車注冊身份被盜用或偽造憑證以獲取其他電動車用戶獲取充電服務。

圖2 竊聽和重放攻擊

2.2.2假冒攻擊

如果攻擊者知道受害者電動汽車或匯聚器的身份或會話密鑰，它就可以執行假冒攻擊。攻擊者可以假冒車輛，使用偽造的身份生成消息的散列，代表受害車輛將完整的消息發送到各自的充電樁。攻擊者也可以假冒充電樁，向車輛發送偽造信息。

圖3 假冒攻擊

2.2.3中間人攻擊

中間人攻擊是一種對通信鏈路的間接攻擊方式，將攻擊者置于通信鏈中，嗅探、偽造以及篡改通信數據。如果車輛或充電樁的私鑰被泄露，或者源實體的身份和簽名沒有得到驗證，攻擊者可以生成共享密鑰。作為攻擊者可以假冒充電樁，竊取車輛提供的信息，然后使用這些信息從合法的充電樁訪問系統。

圖4 中間人攻擊

2.2.4基于流量的DoS攻擊

攻擊者向匯聚器發送大量的充電或放電請求，建立半開的連接，拒絕完成連接，最終耗盡匯聚器的網絡資源，這將導致充電站無法為需要電力服務的合法車輛提供充放電服務，即充電站癱瘓。

圖5 基于流量的DoS攻擊

3 V2G網絡安全目標

3.1 隱私安全目標

根據以上分析，當電動汽車接入充電站時，必須保護電動汽車的隱私，所提出的解決方案必須滿足V2G網絡中的以下隱私目標：

（1）身份匿名。車輛的身份不應該被披露，因為不受信任的聚合者也可以接收車輛的信息，并通過將信息傳遞給攻擊者來濫用信息。

（2）車輛不可追溯性。策略應保持車輛不可追溯性，使攻擊者無法區分兩條不同的消息（帶有偽身份和車輛位置、電池狀態、選擇帶時間信息的充放電）是來自同一輛車還是來自兩輛不同的車輛。如果對手不能以高于隨機猜測的概率猜出正確的車輛，則策略滿足不可追溯性。

3.2 認證安全目標

提出的防護策略必須滿足V2G網絡的以下安全目標：

（1）相互認證。V2G網絡必須提供車輛與匯聚中心或注冊機構之間的相互認證，此過程有助于保護網絡免受仿冒攻擊和中間人攻擊。充電站的車輛必須能夠安全地與聚合器通信，任何假冒或惡意的車輛都不能連接到充電站進行充放電操作。

（2）信息機密性。機密性V2G網絡的強制性目標，私人信息必須是秘密的或隱藏的，以便為傳輸信息提供機密性，加密用于為消息提供機密性。

（3）消息完整性。保證V2G網絡中所有傳輸消息的完整性。對于每個發送的消息，都需要驗證在消息傳輸過程中是否發生了任何違規行為。

4 V2G網絡安全和隱私防護策略

下面詳細描述了防護V2G網絡安全性和隱私性方面的策略。

4.1 匿名認證

V2G網絡的安全需求不同于典型的認證系統，必須要求對車輛進行匿名認證，保護車輛的個人隱私信息。該網絡必須保持身份匿名性和不可跟蹤性屬性，只有認證服務器知道并驗證車輛的實際身份，但通信服務器和充電設施等中間實體并不知道。車輛驗證的一種選擇是使用可信的第三方，向可信的用戶提供充放電服務，然而第三方可能會受到外部或惡意的內部操作人員的威脅。

由此我們選擇匿名認證策略，匿名認證可以使用各種技術來實現，如環簽名、盲簽名方案和部分盲簽名方案。V2G網絡中的電動汽車本質上是動態的，很多車輛經常離開和加入網絡。因此，在每個不同的地理區域組成一個動態組可以處理這種情況。一旦形成一個動態組，會生成一個初始密鑰進行認證，使得車輛可以加入和離開網絡。為了在不影響其他車輛參與的情況下保持鍵的獨立性，需要保證組結構的改變會準確地改變相應的組鍵。匿名可以確保匯聚器無法知道車輛的身份，而只是驗證車輛是否屬于一個經過授權的車輛組。

4.2 環簽名

為了在對消息進行簽名時保護車輛身份，可以采用環簽名策略。環簽名允許充電設施輕松地驗證簽名屬于一組注冊車輛中的某一輛，但是充電設施不能識別到消息簽名的實際車輛信息。環簽名可用于充電站為大量車輛提供服務的情況。在一個大的隊列中，可以形成數量有限的少數群體，車輛使用群組中所有成員車輛的有序公鑰創建環簽名。環簽名沒有組管理員、沒有設置和撤銷過程、沒有協作，不需要任何可信的授權。在V2G網絡中生成環簽名時，任何車輛都可以選擇任意數量的可能簽名者車輛（包括自己），使用自己的密鑰和其他車輛的公鑰對消息進行簽名，甚至不需要得到其他車輛的批準。對于支持大車輛群的理想群簽名方案，群公鑰、群私鑰和簽名的長度與群內車輛數無關。

4.3 同態加密

為了保證在V2G通信網絡上傳輸的消息的安全性，對信息機密性和消息完整性認證提出了很高的要求。同態加密是保護匯聚信息的一種很好的解決方案。它通過將加密消息從車輛傳輸到匯聚單元來維護端到端的信息機密性。然而，匯聚器不能解密消息信息，而是對從不同車輛接收到的數據執行不同的操作。在V2G網絡中，為了維護消息完整性，可以使用散列函數或消息驗證功能（MAC）來進行簽名和校驗。加密和完整性可以通過先加密后驗證、先校驗后加密或同時加密校驗等方式實現。其中，先加密后驗證被認為是最安全的模式。

5 結語

本文系統描述了V2G汽車充放電網絡在安全性和隱私方面面臨的威脅和挑戰，由此針對性地提出了相應的安全目標。最后我們通過一系列的防護策略架構來保證V2G網絡的安全性和隱私性，包括通過匿名身份驗證、環簽名來實現隱私性防護，通過同態加密來實現消息保密和完整性防護。上述提出的安全策略為構建更安全、更隱私的智能V2G網絡提供了框架，從而使V2G網絡中的所有參與者都更不受安全攻擊的影響。

[1] 陳樹勇,宋書芳,李蘭欣,等.智能電網技術綜述[J].電網技術,2009, 33(08):1-7.

[2] 董朝陽,趙俊華,文福拴,等.從智能電網到能源互聯網:基本概念與研究框架[J].電力系統自動化,2014,38(15):1-11.

[3] 項頂,宋永華,胡澤春,等.電動汽車參與V2G的最優峰谷電價研究[J].中國電機工程學報,2013,33(31):15-25+2.

[4] N.Saxena,S.Grijalva,V.Chukwuka,et al.Network Security and Privacy Challenges in Smart Vehicle-to-Grid[J].IEEE Wireless Communica- tions,2017,24(4): 88-98.

[5] M. H. Eiza, Q.Shi, A.Marnerides, et al.Secure and privacy-aware proxy mobile IPv6 protocol for vehicle-to-grid networks[C].IEEE International Conference on Communications (ICC),2016:1-6.

[6] Yang Z, Yu S, Lou W, et al.Privacy-Preserving Communication and Precise Reward Architecture for V2G Networks in Smart Grid[J]. Ieee Transactions on Smart Grid,2011,2(4):697-706.

[7] Hu X,Huang S.Analysis of ID-based restrictive partially blind signa- tures and applications[J].Journal of Systems and Software,2008, 81 (11):1951-1954.

[8] Abdallah A,Shen X.Lightweight Authentication and Privacy- Preser- ving Scheme for V2G Connections[J].IEEE Transactions on Vehicular Technology,2016:1-1.

[9] 劉曉飛,張千帆,崔淑梅.電動汽車V2G技術綜述[J].電工技術學報,2012,27(02):121-127.

[10] 李積強.電動汽車智能充電的信息安全認證機制研究[D].北京:華北電力大學(北京),2017.

Research on Security and Privacy of V2G Network

ZHANG Xiong1, ZHANG Haichun2, LIU Zhenglin2

( 1.China-EU Institute for Clean and Renewable Energy, Huazhong University of Science and Technology,Hubei Wuhan 430074; 2.School of Optical and Electronic Information, Huazhong University of Science and Technology, Hubei Wuhan 430074 )

Vehicle to Grid network (V2G) is an important part of smart grid, which can realize the two-way energy flow and information communication between new energy electric vehicles and smart grids. In this paper, we describe the security and privacy threats and requirements of V2G networks, analyze some common V2G network attacks, and finally put forward new security policies to support V2G networks, including anonymous authentication, ring signature, information confidentiality and integrity authentication.

Smart grid;V2G;Information security;Privacy;Anonymous authentication

U495

A

1671-7988(2021)23-12-04

U495

A

1671-7988(2021)23-12-04

10.16638/j.cnki.1671-7988.2021.023.004

張雄（1997—），男，就讀于華中科技大學中歐清潔與可再生能源學院新能源科學與工程專業，研究方向為新能源汽車、V2G網絡、車聯網安全等。

國家重點研發計劃資助項目（2019 YFB1310001）。