基于雙層區塊鏈的電動汽車充電隱私數據可信聚合方法

李達,馮景麗,平健,嚴正

(1. 國網數字科技控股有限公司,北京市 100053;2. 國家電網有限公司區塊鏈技術實驗室,北京市 100053;3. 上海交通大學國家電投智慧能源創新學院,上海市 200240;4. 電力傳輸與功率變換控制教育部重點實驗室(上海交通大學),上海市 200240)

0 引 言

隨著電動汽車的普及以及充電基礎設施的廣泛建設,近年來,我國電動汽車保有量及充電負荷呈現快速上升趨勢。預計到“十四五”末,我國將形成滿足超過2 000萬輛電動汽車充電需求的充電基礎設施體系[1]。海量電動汽車充電負荷在時間和空間維度上的聚集效應將顯著改變配網凈負荷形態,其充電方式亟需由傳統的“自由無序”模式轉向“可觀可控”模式[2]。

新形勢下,聚合配網各區域的電動汽車充電負荷數據是制定電動汽車需求響應策略、引導電動汽車有序充電的重要基礎[3]。然而,傳統數據聚合手段在海量電動汽車接入場景下將面臨可行性問題:若由電網企業直接采集充電數據[4-5]將給電網企業較大工作負擔,存在可擴展性問題;若由第三方服務商聚合再匯總至電網企業,則數據流轉傳遞過程存在數據篡改及隱私暴露風險[6]。因此,如何以可信、可擴展、隱私保護的方式聚合電動汽車充電數據,在海量電動汽車接入的配電網未來場景下具有重要意義。

近年來,以安全可信、公開透明為重要特征的區塊鏈技術受到能源行業的廣泛關注,為能源行業提供了自治化、可信賴化的解決方案[7-10]。電動汽車充電場景涉及電網企業、充電服務商、電動汽車車主等多個獨立利益主體,且充電數據量龐大分散。區塊鏈技術可以以多方共治方式實現可信、可溯源的電動汽車充電流程管理[11],降低電動汽車充電場景各利益方的信任成本。文獻[12]設計了一種代理拜占庭容錯(delegated Byzantine fault tolerance, DBFT)共識算法,使電動汽車車主可以驗證、審計其與充電站簽訂的充電合約。上述研究利用區塊鏈實現了電動汽車數據交互及電能交易的可信賴性,但仍聚焦于單個充電站或少量充電站場景,難以應對海量電動汽車接入后整個配網區域的電動汽車充電需求。文獻[13]提出了基于區塊鏈的充電樁運維系統,實現海量充電樁數據的透明、可信管理。文獻[14]通過設計區塊鏈智能合約,建立起配網運營商、充電服務商和電動汽車間透明互信的數據傳遞渠道。文獻[15]提出了基于區塊鏈的電動汽車響應機制,平抑配電系統負荷峰谷差。文獻[16]提出了基于區塊鏈的電動汽車日前充電計劃協同方法,文獻[17-18]提出了基于區塊鏈的多充電站站間交易方法。上述研究通過區塊鏈聚合配網中的電動汽車充電需求,實現了需求響應、靈活調度的目標,然而,區塊鏈公開透明的技術特征也給各參與方帶來了隱私暴露風險。以上研究均要求電動汽車車主向充電站等第三方披露其充電計劃,難以滿足車主的隱私保護訴求,限制了其可實踐性[19]。

此外,國內外學者也已開展了數據聚合場景下的隱私保護方法研究,其主流研究方法可分為兩類:第一類是基于差分隱私算法的隱私保護方法。這一類研究通過向數據添加服從一定概率分布的噪聲,實現隱私數據保護的目的,同時盡可能保留數據自身的特征。文獻[20]基于差分隱私方法提出了隱私保護的居民用戶用電監測方法。文獻[21]提出了基于差分隱私的用戶用電數據聚類分析方法。然而,差分隱私算法在利用噪聲隱藏隱私數據的同時也不可避免地導致數據可用性的下降,進而影響數據聚合結果的精確性。另一類是基于秘密共享算法的隱私保護方法。文獻[22]提出了基于Shamir秘密共享的智能電表數據采集方法。文獻[23]提出了基于經驗模態分解與同態加密的用電數據隱私保護方法。然而,上述研究均未考慮數據聚合服務方的數據篡改、數據丟失風險,在數據聚合服務方非可信情況下存在應用局限性。

綜上所述,現有研究仍未能以可信任、保護隱私手段實現電動汽車充電負荷數據聚合。為此,本文提出基于雙層區塊鏈的電動汽車充電隱私數據可信聚合方法。首先,建立電動汽車充電數據多層級聚合架構,以多層級、多區塊鏈協同的方式聚合配網內部充電負荷數據;隨后,提出隱私保護的電動汽車充電數據可信聚合算法,保證聚合過程的隱私保護性和可信賴性;最后,通過理論推導和算例分析,論證所提方法相較直接聚合方法以及基于傳統實用拜占庭容錯(practical Byzantine fault tolerance, PBFT)共識的聚合方法在防篡改及隱私保護方面的優越性。算例結果表明,本文方法可以在保護電動汽車充電計劃隱私信息的前提下,實現配網各區域充電負荷數據的可信聚合,且聚合效率可以滿足充電負荷數據聚合場景的效率要求。

1 電動汽車充電數據多層級聚合架構

電動汽車充電數據聚合架構包含3個層級:充電樁層、加密聚合層、解密提交層,如圖1所示。其中,充電樁層包括配網中各區域(如居民小區、工商業園區等)全部充電樁節點。各充電樁節點制定本地充電計劃,并將加密后的充電計劃共享至加密聚合層。加密聚合層中,各區域由一組預先選取的充電樁代表節點作為該區域加密聚合小組,每個加密聚合小組包含一個加密主代表,其余成員為加密從代表。各加密聚合小組各自維護一條加密聚合區塊鏈,收集充電樁密文充電計劃,并將密文充電計劃聚合結果提交至解密提交層。解密提交層由加密聚合層的全部代表節點組成,包含一個解密主代表,其余成員為解密從代表。全部代表共同維護解密提交區塊鏈,收集加密聚合層提交的密文充電計劃聚合結果,解密計算得到各區域總充電負荷情況并提交至電網企業。充電數據聚合場景參與者僅涉及配網區域內的充電樁節點及電網企業。相較公有鏈技術,聯盟鏈技術在參與節點規模有限時能保證更高運行效率及更低運行成本[24]。因此,加密聚合區塊鏈及解密提交區塊鏈均采用聯盟鏈技術搭建。

圖1 電動汽車充電數據多層級聚合架構

在圖1所示的多層級聚合架構下,各充電樁僅提交加密后的本地充電計劃(也即預測充電負荷曲線),保證其隱私信息不被泄露。充電數據聚合結果由充電樁代表節點共同解密計算和驗證,當部分代表節點篡改結果時,其他代表節點仍能計算出正確的聚合結果,保證聚合結果的可信賴性。不失一般性,本文假設配網分為K個區域,每個加密聚合小組包含N個加密代表(包括加密主代表及加密從代表)。此外,有不超過fF個代表節點為惡意代表,加密聚合小組k中有fk個惡意代表,惡意代表可能通過共同篡改結果影響數據聚合準確性,或通過竊取隱私信息侵犯充電樁權益。顯然有:

(1)

2 電動汽車充電數據聚合算法

本節結合第1節所介紹的電動汽車充電數據多層級聚合架構,提出隱私保護的電動汽車充電數據聚合算法。在充電樁層,提出隱私保護的本地充電計劃共享算法,使車主僅需上傳加密后的充電計劃數據;在加密聚合層,提出基于PBFT共識的充電數據加密聚合算法,實現加密充電計劃的可信聚合;在解密提交層,提出基于改進PBFT共識的聚合充電負荷數據解密算法,以可信方式解密配網內部各區域的充電負荷數據。相較其他非拜占庭容錯的聯盟鏈共識算法,如Paxos[25]、Raft[26]共識等,本文采用的PBFT共識在維持較低通信復雜度的前提下,可以在存在惡意代表節點時保證充電負荷數據聚合結果的正確性。該共識算法已被廣泛應用于需建立各方信任關系的能源區塊鏈應用場景。

2.1 隱私保護的本地充電計劃共享算法

在充電樁層,充電樁首先制定本地充電計劃,隨后,基于Shamir秘密共享機制[27]生成K份密文充電計劃,分別提交給各加密主代表。本地充電計劃共享算法流程如圖2所示。詳細步驟如下:

圖2 本地充電計劃共享算法流程

1)充電樁隨機構造一組多項式,如式(2)所示:

(2)

式中:Lit表示t時段充電樁i的充電功率;Tmin、Tmax為須提交充電計劃的起止時段;aitl為充電樁i針對t時段隨機生成的多項式l次冪系數;q為多項式的最高次冪。

2)充電樁基于式(3)計算得到密文充電計劃,添加數字簽名后提交給各加密主代表。

{Li}k=[piTmin(k),pi(Tmin+1)(k),…,piTmax(k)]

(3)

上述密文充電計劃生成方法具備以下特性:

1)該方法為(q+1,K)門限機制,也即當且僅當掌握不少于任意q+1個加密主代表收集到的充電樁i密文充電計劃時,可根據式(4)解密得到充電樁i的真實充電計劃。

(4)

2)該方法滿足加法同態性,也即當且僅當掌握不少于q+1個加密主代表收集到的充電樁集合Ω密文充電計劃之和時,可根據式(5)解密得到集合Ω中全部充電樁的總充電負荷。

(5)

2.2 基于PBFT共識的充電數據加密聚合算法

2)加密從代表驗證密文充電計劃的合法性。當且僅當各密文充電計劃均包含正確的充電樁數字簽名時,向其他加密代表轉發密文充電計劃。

3)當加密代表收到不少于2fk+1份相同密文充電計劃(來自加密主代表或加密從代表)時,向其他加密代表發送承諾消息。

4)當加密代表收到來自不少于2fk個加密代表的承諾消息時,認為加密代表已就各充電樁密文充電計劃達成一致,執行部署在加密聚合層區塊鏈的智能合約,也即依據式(6)計算各區域的密文充電計劃聚合結果,并提交至解密主代表。

(6)

基于PBFT共識的充電數據加密聚合算法整體通信流程如圖4所示。

圖4 基于PBFT共識的充電數據加密聚合算法

2.3 基于改進PBFT共識的聚合充電負荷數據解密算法

在解密提交層,全部代表須根據加密聚合層提交的密文信息共同解密出各區域的聚合充電負荷。然而,加密聚合層的惡意代表的惡意行為可能導致加密聚合小組未提交正確的密文聚合結果,進而影響解密過程。為此,本文提出基于改進PBFT共識的聚合充電負荷數據解密算法,保證聚合充電負荷計算的正確性。聚合充電負荷數據解密算法流程如圖5所示。詳細步驟如下:

步驟1：解密主代表收集加密聚合層提交的分區域密文充電計劃聚合結果。對于加密聚合小組k,當且僅當解密主代表收到不少于fk+1個加密代表發來的相同密文聚合結果(如式(7)所示)時,認為該密文聚合結果已在該加密聚合小組達成共識,為可信聚合結果。

(7)

步驟2：若解密主代表收到不少于(2K+q+1)/3份共識密文聚合結果,則將全部共識密文聚合結果轉發給全部解密從代表;否則,將未達成共識的加密聚合小組加密主代表視為惡意代表,向全部充電樁節點發送惡意加密主代表名單,進入步驟7。

步驟3：解密從代表驗證密文聚合結果的合法性。當且僅當不少于(2K+q+1)/3份密文聚合結果滿足式(7)時,向其他解密代表轉發共識密文聚合結果。

步驟4：當解密代表收到不少于2f+1份相同共識密文聚合結果(來自解密主代表或解密從代表)時,向其他解密代表發送承諾消息。

步驟5：當解密代表收到來自不少于2f個解密代表的承諾消息時,認為解密代表已就不少于(2K+q+1)/3份共識密文聚合結果達成一致,則執行部署在解密提交層區塊鏈的智能合約,也即依據式(8)、(9)解密各區域的聚合充電負荷,并發送給電網企業。

(8)

(9)

步驟6：若電網企業收到不少于fF+1個解密代表的相同聚合充電負荷結果,認為該結果可信。否則,向全部充電樁節點發送更換解密主代表消息,按順序由下一個代表作為解密主代表,并進入步驟8。

步驟7：收到惡意加密主代表名單后,加密主代表在名單上的加密聚合小組按順序將下一個加密代表視為新加密主代表;全部充電樁節點向新加密主代表重新發送密文充電功率向量,重新開始充電數據加密聚合過程。

步驟8：收到更換解密主代表消息后,各加密代表向新解密主代表重新發送分區域密文充電計劃聚合結果,返回步驟1。

基于改進PBFT共識的聚合充電負荷數據解密算法整體通信流程如圖6所示。

圖6 基于改進PBFT共識的聚合充電負荷數據解密算法

3 算法性能分析

本節從防篡改性能及隱私保護性能等2個維度,論證所提方法的效果,并與現有方法對比,分析所提方法的優越性。

3.1 防篡改性能分析

定理1：當式(10)、(11)成立時,也即有不少于(2K+q+1)/3個加密聚合小組中惡意代表占比不多于1/3、且解密代表中惡意代表占比不多于1/3時,惡意代表無法篡改電動汽車充電負荷數據聚合結果。

(10)

NK≥3fF+1

(11)

證明：

1)由式(10)可知,在加密聚合層,至少有(2K+q+1)/3個加密聚合小組中惡意代表占比少于1/3,因此,聚合充電負荷數據解密算法步驟2及步驟7保證解密主代表可收到不少于(2K+q+1)/3份共識密文聚合結果。

3)當解密主代表非惡意代表時,式(11)保證電網企業可收到不少于fF+1個解密代表的相同聚合充電負荷結果,且該結果已得到非惡意解密代表的確認。當解密主代表為惡意代表時,聚合充電負荷數據解密算法步驟6及步驟8保證聚合充電負荷數據解密過程不會受其影響。

綜上,當式(10)、(11)成立時,本文方法保證惡意代表無法篡改電動汽車充電負荷數據聚合結果。

3.2 隱私保護性能分析

定理2：當惡意代表數量滿足式(12)時,也即有不少于K-q個加密聚合小組中不存在惡意代表時,惡意代表無法通過分享信息竊取充電樁隱私信息。

(12)

證明：

1)由式(12)可知,在加密聚合層,僅不超過q個加密聚合小組存在惡意代表,其通過分享信息至多掌握充電樁i的q份密文充電計劃。因此,惡意代表無法通過式(4)解密充電樁i的真實充電計劃。

2)在解密提交層,惡意代表只掌握各區域的聚合充電負荷,無法分析得到充電樁充電計劃。

綜上,當且僅當式(12)成立時,本文方法保證惡意代表無法通過分享信息竊取充電樁隱私信息。

3.3 對比分析

為說明本文方法相較傳統聚合方法的優越性,本節對比所提方法與直接聚合方法、基于PBFT共識的聚合方法在防篡改、隱私保護方面的性能。

在直接聚合方法下,各充電樁直接將充電計劃提交給所在區域的數據聚合中心,各區域的數據聚合中心將聚合結果提交至電網企業。此時,數據聚合中心將具備潛在作惡空間,一方面,其可以篡改充電樁提交的充電計劃,生成錯誤聚合結果;另一方面,數據聚合中心可以直接收集到全部充電樁的充電計劃,難以保護充電樁的隱私信息。

在基于PBFT共識區塊鏈的聚合方法下,各充電樁直接將充電計劃提交給所在區域的區域聚合小組,聚合小組代表通過PBFT共識確認聚合結果,并提交電網企業。此時,當各區域聚合小組的惡意代表占比均不多于1/3,也即滿足?k∈[1,K],N≥3fk+1時,可保證聚合結果的正確性。與之相比,本文方法僅要求一定數量的區域聚合小組中惡意代表占比不多于1/3,且惡意代表占代表總數比例不多于1/3,也即滿足式(10)、(11)時,可保證聚合結果的正確性。因此,相較基于PBFT共識區塊鏈的聚合方法,本文方法具有更強的防篡改性能。此外,在基于PBFT共識區塊鏈的聚合方法下,區域聚合小組中的任意代表均可直接獲取充電樁充電計劃,相較直接聚合方法,其隱私暴露風險更高。

綜上所述,本文方法與直接聚合方法、基于PBFT共識的聚合方法的對比結果如表1所示。

表1 本文方法與傳統聚合方法的性能對比

此外,根據定理1、定理2可知,增加各加密聚合小組代表數量N或增大門限值q將分別提升本文方法的防篡改性能和隱私保護性能,但同時也將增加節點間交叉通信次數、增大聚合充電負荷數據解密算法中枚舉解密結果的工作量,從而降低聚合方法運行效率。因此,在實際應用中,應在滿足數據聚合效率要求的前提下,增加代表數量或增大門限值,從而盡可能保障防篡改性能、隱私保護性能。區塊鏈最優參數配置可以通過實測分析[29-30]或虛擬化仿真方式[31]確定,限于篇幅,本文不再贅述。

需要指出,本文所提出的隱私數據可信聚合方法不僅適用于電動汽車充電數據聚合這一場景,也可以推廣應用至其他具有同樣防篡改訴求及隱私保護訴求的能源數據聚合場景中,例如分布式電源數據聚合、虛擬電廠數據聚合等。

4 算例分析

為驗證本文算法的有效性,本節在一個含10區域,每區域78個充電樁的算例系統[16]中測試本文方法。算例仿真在一臺安裝有英特爾i7-10700 CPU及16 GB內存的個人計算機上完成,基于Matlab開發了數據聚合算法的功能代碼,模擬各節點的運算過程以及各節點間的通信過程,從而測試本文方法的防篡改性能及隱私保護性能,并對比本文方法、基于PBFT共識區塊鏈的聚合方法以及直接聚合方法的聚合效率。在本文方法下,假設每個加密聚合小組包含7個加密代表,門限值取q=3。此時,根據定理1可知,當至多2個加密聚合小組中惡意代表占比超過1/3時,本文方法可保證防篡改性;根據定理2可知,當至多2個加密聚合小組中存在惡意代表時,本文方法可保證隱私保護性。不失一般性,算例假設加密聚合小組3、4中存在惡意代表,且惡意代表占比均超過1/3。假設任意2個節點(包括充電樁節點、代表節點、數據聚合中心和電網企業等)間的通信延時均滿足均值為0.02 s的指數分布[32]。

4.1 防篡改性能驗證

在本文方法下,加密聚合小組3、4中的惡意代表均篡改其計算的密文充電計劃聚合結果。在解密提交層,解密主代表從加密聚合小組3、4收到被篡改結果,從其他加密聚合小組收到正確結果。圖7展示了本文聚合充電負荷數據解密算法下區域4的聚合充電負荷枚舉情況以及實際聚合負荷情況。

圖7 區域4聚合充電負荷枚舉情況

作為對比,若采用基于PBFT共識區塊鏈的聚合方法,則由于區域4的區域聚合小組惡意代表占比超過1/3,無法保證該區域充電數據聚合結果的正確性。若采用直接聚合方法,則無法防范區域4的數據聚合中心的篡改行為。

4.2 隱私保護性能驗證

為驗證本文算法的隱私保護性能,圖8展示了區域3某充電樁的實際充電計劃及聚合小組3、4加密代表收到的密文充電計劃。

圖8 區域3某充電樁實際及密文充電計劃

由圖8可知,聚合小組3、4中的惡意代表僅能接收到與充電樁實際充電計劃有顯著差異的密文充電計劃。同時,由于惡意代表無法掌握足夠數量的密文充電計劃,因此也無法通過式(4)解密得到充電樁充電計劃信息。

作為對比,若采用基于PBFT共識區塊鏈的聚合方法,則區域3的區域聚合小組中的任一惡意代表均可以掌握、泄露該充電樁的實際充電計劃。若采用直接聚合方法,則區域3的數據聚合中心可以直接獲取該充電樁的實際充電計劃信息,導致潛在隱私暴露風險。

4.3 充電數據聚合效率測試

本節對比測試本文方法、基于PBFT共識區塊鏈的聚合方法以及直接聚合方法的聚合效率。其中,基于PBFT共識區塊鏈的聚合方法下的聚合小組及代表節點設置與本文方法保持一致。

表2對比了不同充電數據聚合方法的聚合運算耗時。其中,所有時間均通過10次測試取均值得到。

表2 不同聚合方法的聚合耗時

由表2可知,相較直接聚合方法,基于PBFT共識聚合方法及本文方法2種基于區塊鏈的聚合方法聚合耗時顯著增加,其主要原因是區塊鏈環境下需要花費較長時間用于代表節點之間的多輪交叉通信。相較基于PBFT共識的聚合方法,本文方法的聚合耗時更長,其主要原因是本文方法在解密提交層要求解密代表進行枚舉計算,從而導致更長耗時。然而,本文方法耗時仍可以滿足電動汽車充電數據聚合場景的效率需求。需要說明的是,本文方法相對其他傳統聚合方法的額外耗時,也可以視為為保證充電數據聚合過程的不可篡改性及隱私保護性所必須付出的效率代價。

5 結 論

在海量電動汽車接入的配電網未來場景下,以可信、隱私保護的方式聚合電動汽車充電負荷數據是開展電動汽車需求響應,引導電動汽車有序充電的重要前提。本文提出了基于雙層區塊鏈的電動汽車充電隱私數據可信聚合方法,在聚合架構方面,提出了包括充電樁層、加密聚合層、解密提交層的電動汽車充電數據多層級聚合架構,以自治方式實現配網內部充電負荷數據聚合。在聚合算法方面,分別設計了聚合架構各層級的運行算法。理論及算例分析結果表明:

1)本文方法以區塊鏈為手段,使海量充電樁以自組織、自校驗方式實現充電數據聚合,減輕了電網企業收集海量電動汽車充電數據的負擔;

2)相較直接聚合方法及傳統的基于區塊鏈聚合方法,本文方法提升了充電數據聚合過程的防篡改性能和隱私保護性能,使得惡意節點既無法篡改數據聚合結果,也無法獲取各充電樁實際充電計劃信息,且方法計算耗時可滿足電動汽車充電數據聚合場景的效率需求。

基于區塊鏈的電動汽車充電管理方法值得進一步研究,未來可能的研究方向包括提出保護隱私的電動汽車需求響應方法,提出防篡改性能更高的共識算法等。