佟為明，梁建權(quán)，李中偉，金顯吉

（哈爾濱工業(yè)大學(xué) 電氣工程及自動化學(xué)院，黑龍江 哈爾濱 150001）

0 引言

高級量測體系A(chǔ)MI（Advanced Metering Infrastructure）是智能電網(wǎng)發(fā)展的一個關(guān)鍵環(huán)節(jié)，并被視為電網(wǎng)智能化的第一步［1-3］。無線傳感器網(wǎng)絡(luò)WSNs（Wireless Sensor Networks）是一種新興的無線通信技術(shù)，它在AMI中已經(jīng)被廣泛應(yīng)用于智能電表（IM）及其他智能設(shè)備中［4-6］。在AMI中，大量的信息通過WSNs進(jìn)行采集、傳輸，從而提高了電網(wǎng)的感知能力和智能控制能力，給電網(wǎng)的發(fā)展、規(guī)劃和維護(hù)提供了可靠的信息支撐。

AMI需要保證電力消費(fèi)與供應(yīng)數(shù)據(jù)的準(zhǔn)確性，防止數(shù)據(jù)被篡改和竊電行為的發(fā)生。然而，由于傳感器節(jié)點資源受限的特點，用其傳輸大規(guī)模數(shù)據(jù)會占用較多的通信資源和內(nèi)存資源，容易造成網(wǎng)絡(luò)擁塞，給智能電網(wǎng)通信的準(zhǔn)確性、實時性及安全性帶來不利的影響。為了減少網(wǎng)內(nèi)數(shù)據(jù)傳輸量、提高傳輸效率、延長網(wǎng)絡(luò)壽命，WSNs在正常工作時通常都會對采集的數(shù)據(jù)進(jìn)行網(wǎng)內(nèi)聚合處理，再將聚合后的數(shù)據(jù)發(fā)送至基站［7］。因此，為了保證AMI應(yīng)用服務(wù)數(shù)據(jù)在通信過程中的完整性和機(jī)密性，數(shù)據(jù)的隱私聚合技術(shù)應(yīng)運(yùn)而生。

現(xiàn)有的在WSNs中應(yīng)用的安全數(shù)據(jù)聚合方案［8-12］基本上都是基于加法同態(tài)加密實現(xiàn)的，即最終解密所得的數(shù)據(jù)是所有采集數(shù)據(jù)的和，這顯然與AMI中的數(shù)據(jù)應(yīng)用不符。文獻(xiàn)［13-14］提出了數(shù)據(jù)可恢復(fù)的安全數(shù)據(jù)聚合方案，但是2個文獻(xiàn)中的方案都是基于橢圓曲線密碼ECC（Elliptic Curve Cryptography）實現(xiàn)的，在實現(xiàn)過程中需要將明文數(shù)據(jù)映射成橢圓曲線上的點，而在橢圓曲線上的點反映射回明文數(shù)據(jù)時需要暴力解決橢圓曲線離散對數(shù)問題，計算量非常大，這對資源受限的傳感器節(jié)點而言，實現(xiàn)非常困難。

針對上述問題，現(xiàn)提出一種基于對稱同態(tài)加密HE（Homomorphic Encryption）的數(shù)據(jù)可恢復(fù)安全數(shù)據(jù)聚合方案（ERCDA），并用中國剩余定理 CRT（Chinese Remainder Theorem）實現(xiàn)數(shù)據(jù)完整性驗證，最后對所提方案的安全性及其他性能進(jìn)行了詳細(xì)分析。

1 安全數(shù)據(jù)聚合方案設(shè)計

1.1 AMI中WSNs模型

AMI的通信體系主要分為三部分：廣域網(wǎng)（WAN）、鄰域網(wǎng)（NAN）和用戶戶內(nèi)網(wǎng)（HAN），其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。WSNs通信主要應(yīng)用于NAN和HAN中，主要涉及的設(shè)備有IM、匯聚節(jié)點（AN）和數(shù)據(jù)集中器（LGW），IM和AN以及AN和LGW之間能直接進(jìn)行通信，IM和LGW之間的通信需要經(jīng)過AN轉(zhuǎn)發(fā)。整個WSNs通信部分就是實現(xiàn)安全數(shù)據(jù)聚合方案的網(wǎng)絡(luò)模型。

圖1 基于WSNs的AMI通信結(jié)構(gòu)Fig.1 Communication architecture of AMI based on WSNs

1.2 方案總體策略

本文所提安全數(shù)據(jù)聚合算法的實現(xiàn)過程如下：IM負(fù)責(zé)采集每個HAN中各種智能用電設(shè)備的耗能功率及用電數(shù)據(jù)，對這些數(shù)據(jù)進(jìn)行同態(tài)加密，同時生成驗證標(biāo)簽，處理完后將加密數(shù)據(jù)和驗證標(biāo)簽發(fā)送至AN；每個AN負(fù)責(zé)收集以其為簇頭的簇內(nèi)IM的加密數(shù)據(jù)，并對加密數(shù)據(jù)進(jìn)行聚合，將聚合后的數(shù)據(jù)發(fā)送至網(wǎng)關(guān)節(jié)點LGW；LGW通過解密得到采集數(shù)據(jù)的聚合數(shù)據(jù)或各IM的原始采集數(shù)據(jù)。數(shù)據(jù)的完整性驗證通過CRT實現(xiàn)，主要實現(xiàn)過程為：利用CRT可以計算出一個數(shù)據(jù)和，將該數(shù)據(jù)和與解密所得的數(shù)據(jù)和進(jìn)行比較，判斷2個數(shù)據(jù)和是否一致，如果不一致則說明數(shù)據(jù)在傳輸過程中遭到篡改或數(shù)據(jù)已經(jīng)過期，拒絕接收數(shù)據(jù)，否則進(jìn)行下一步數(shù)據(jù)處理。

1.3 方案中的相關(guān)數(shù)學(xué)理論

（1）同態(tài)加密。

同態(tài)加密最初由Rivest等人于1978年提出［15］，該算法可以允許密文之間直接進(jìn)行運(yùn)算操作。對于基于對稱加密的同態(tài)加密算法而言，假設(shè)Ek（·）為加密運(yùn)算，Dk（·）為解密運(yùn)算，k為加解密密鑰，則加法同態(tài)加密可以表示為：

乘法同態(tài)加密可以表示為：

其中，a、b 為各項明文數(shù)據(jù)；k1、k2、k3為加解密密鑰。

由于乘法同態(tài)加密需要消耗更多的資源，鑒于WSNs節(jié)點資源有限，本文采用加法同態(tài)加密來實現(xiàn)數(shù)據(jù)聚合。

（2）CRT。

CRT［16］是密碼學(xué)中常用的一種理論，其主要原理如下。

假設(shè)有 N 個素數(shù) pi（i?［1，N］），所有素數(shù)的乘積為， 有任意一組整數(shù)｛m1，m2，…，mN｝，則同余方程組 X=mi（mod pi）（i?［1，N］），在［0，M-1］范圍內(nèi)存在以下唯一的X，可表示為：

其中，ai為CRT系數(shù)。

ai可以通過Qiqi計算得到，其中Qi=P/pi為除了pi以外其他所有素數(shù)的乘積，qi為Qi模pi的乘法逆元素，即qiQi=1（mod pi）。在本文的安全數(shù)據(jù)聚合中，CRT被用于檢測數(shù)據(jù)完整性。

2 具有數(shù)據(jù)可恢復(fù)功能的安全數(shù)據(jù)聚合技術(shù)

2.1 初始化

假設(shè)第i個IM（IMi）所采集的數(shù)據(jù)為datai，選擇一個大素數(shù)M，M須大于，其中 D=max（datai），n 是以 ANj為簇頭的簇內(nèi) IM 數(shù)，i?［1，n］。隨機(jī)選取一組素數(shù) pv，v?［1，N］，所有素數(shù)的乘積為滿足P＞M。為了減少數(shù)據(jù)的傳輸量，本文算法將參數(shù)M、pv、P及同態(tài)加密時用到的密鑰預(yù)置于各IM和LGW中。

2.2 數(shù)據(jù)加密及驗證標(biāo)簽生成

（1）數(shù)據(jù)的同態(tài)加密。

為了使LGW能夠恢復(fù)IMi的采集數(shù)據(jù)，在IMi中先對采集數(shù)據(jù)datai進(jìn)行編碼，編碼過程為：

其中，mi為IMi的采集數(shù)據(jù)經(jīng)過編碼后的數(shù)據(jù)，稱為IMi的編碼明文；“‖”表示連接符，連接左右兩邊的數(shù)；ε=l（i-1）為所加 0的位數(shù)，l為采集數(shù)據(jù)用二進(jìn)制表示時的位數(shù)。

采集數(shù)據(jù)編碼完成后，利用加法同態(tài)加密對其進(jìn)行加密，如式（5）所示。

其中，Ci為通過同態(tài)加密得到的密文數(shù)據(jù)，稱為IMi的同態(tài)加密數(shù)據(jù)；kBti為加解密密鑰，由IMi與LGW共享的鏈路密鑰 kBi進(jìn)行哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），滿足 kBti?［0，M-1］。

（2）驗證標(biāo)簽的產(chǎn)生。

a.用IMi采集的數(shù)據(jù)datai與素數(shù)pv進(jìn)行模運(yùn)算，得到一組余數(shù) eiv，即 eiv=datai（mod pv），并將 eiv進(jìn)行編碼：

其中，Eciv為余數(shù)eiv經(jīng)過編碼后的數(shù)據(jù)。

b.將編碼后的余數(shù)相加，得到一個lN位二進(jìn)制數(shù)：

c.將IMi生成的二進(jìn)制數(shù)進(jìn)行加密，得到各自的驗證標(biāo)簽：

其中，rtL為數(shù)據(jù)新鮮性驗證參數(shù)，大小為rt（一個哈希序列）的低80位數(shù)。

IMi在進(jìn)行完數(shù)據(jù)的同態(tài)加密和驗證標(biāo)簽的生成后，將由密文數(shù)據(jù)和驗證標(biāo)簽組成的報文消息（Ci，Tagi）發(fā)送至 ANj。

2.3 數(shù)據(jù)的聚合

ANj在接收到IMi發(fā)送來的報文消息后，將所有的密文和驗證標(biāo)簽進(jìn)行聚合，聚合階段的具體實施過程如下。

（1）同態(tài)加密數(shù)據(jù)的聚合。

ANj將IMi的Ci進(jìn)行求和得到聚合密文：

（2）驗證標(biāo)簽的聚合。

ANj將IMi的驗證標(biāo)簽Tagi進(jìn)行聚合處理得到聚合驗證標(biāo)簽：

聚合完成后，匯聚節(jié)點ANj將聚合密文C和聚合驗證標(biāo)簽Tag組成報文消息（C，Tag）發(fā)送到LGW。

2.4 數(shù)據(jù)解密及驗證

LGW在接收到報文消息（C，Tag）后，對數(shù)據(jù)進(jìn)行解密，并進(jìn)行完整性和新鮮性驗證。

（1）數(shù)據(jù)的解密。

由于LGW保存了與IMi共享的所有鏈路密鑰kBi，因此可以通過解密得到編碼明文mi的和msum為：

將msum進(jìn)行解碼可以獲得所有采集數(shù)據(jù)datai：

式（12）表示各IM采集數(shù)據(jù)datai的值等于截取編碼明文和msum中的第（i-1）l位至第il-1位組成的l位二進(jìn)制數(shù)。

LGW對所有IM采集的數(shù)據(jù)datai進(jìn)行求和：

（2）驗證標(biāo)簽的解密。

LGW對接收到的聚合驗證標(biāo)簽進(jìn)行解密：

再將所得的Ec進(jìn)行解碼，解碼過程為：

其中，ev為l位的二進(jìn)制數(shù)，v?［1，N］。

（3）數(shù)據(jù)的完整性校驗。

根據(jù)預(yù)置的素數(shù)pv先求出CRT系數(shù)Qv和qv，然后將求得的 Qv、qv和 ev代入式（3）可得：

將通過CRT計算所得的sum′和解密所得的sum進(jìn)行比較，如果2個數(shù)據(jù)值相等，則說明校驗成功，可以對數(shù)據(jù)進(jìn)行下一步處理；如果2個數(shù)據(jù)值不相等，則說明數(shù)據(jù)遭到篡改，校驗不成功，丟棄該組數(shù)據(jù)。

3 安全數(shù)據(jù)聚合實例

通過一個簡單的數(shù)據(jù)聚合實例來描述本文所提方案的實現(xiàn)過程，證明方案的可實現(xiàn)性。假設(shè)AMI中的一個WSNs由1個LGW、1個AN和4個IM節(jié)點（分別為IM1、IM2、IM3和 IM4）組成。在某一采集周期內(nèi)各IM采集的用電量分別為90 kW·h、100 kW·h、80 kW·h和120 kW·h。M為160位的素數(shù)，二進(jìn)制位數(shù)l取10。

（1）數(shù)據(jù)加密。

為了能夠方便地敘述加密過程，將各IM的鏈路密鑰 kBi分別取為37、41、33 和 57，kBti分別取為25、31、23和34，數(shù)據(jù)新鮮性驗證參數(shù)rtL取為17。各IM用電量經(jīng)過式（4）編碼和式（5）加密后可得編碼明文mi和加密數(shù)據(jù)Ci，如表1所示。

表1 經(jīng)過編碼和加密后的IM用電量數(shù)據(jù)Table 1 Encoded and encrypted power consumption data of IMs

（2）驗證標(biāo)簽生成。

假設(shè)預(yù)置于各IM中的素數(shù)pv為p1=5，p2=11，p3=13，P=715。先求出各IM的用電數(shù)據(jù)模pv的余數(shù)eiv，然后利用式（6）可以求出其編碼值Eciv，對應(yīng)數(shù)據(jù)如表2所示。

表2 余數(shù)eiv的編碼值EcivTable 2 Eciv，codes of remainder eivfor different IMs

將表2中的數(shù)據(jù)代入式（7）可以求出Eci的值，將Eci代入式（8）可以得到驗證標(biāo)簽Tagi，對應(yīng)數(shù)據(jù)如表3所示。

表3 余數(shù)編碼和Eci和驗證標(biāo)簽TagiTable 3 Eci，code of remainder，and its verification tag Tagifor different IMs

（3）數(shù)據(jù)的聚合。

利用式（9）計算表1中的加密數(shù)據(jù)Ci可以得到聚合密文C，利用式（10）計算表3中的驗證標(biāo)簽Tagi可以得到聚合標(biāo)簽Tag，所有計算所得的數(shù)據(jù)見表4。

表4 聚合密文C和聚合驗證標(biāo)簽TagTable 4 Aggregated ciphertext C and aggregated verification tag Tag

（4）解密及驗證。

利用式（11）對表4中的聚合密文C進(jìn)行解密得到 msum，再將 msum代入式（12）可得 data1=msum［0，9］、data2=msum［10，19］、…、data4=msum［30，39］，對各用電量數(shù)據(jù)datai用式（13）計算出明文數(shù)據(jù)的和sum，如表5所示。從表5中可以看出，本文方案所得用電量數(shù)據(jù)和實際值一致。

表5 解密和解碼后數(shù)據(jù)datai和明文數(shù)據(jù)的和Table 5 Decrypted and decoded dataiand calculated sum

在進(jìn)行數(shù)據(jù)完整性驗證時，首先將表4中的聚合驗證標(biāo)簽Tag代入式（14）可以得到解密后的聚合驗證標(biāo)簽Ec；再將得到的Ec代入式（15）可以得到CRT所需的 ev為e1=Ec［0，9］、e2=Ec［10，19］、e3=Ec［20，29］。所有計算所得的數(shù)據(jù)見表6。

表6 解密和解碼后的驗證標(biāo)簽Table 6 Decrypted and decoded verification tag

通過各IM中預(yù)置的素數(shù)p1、p2、p3，可以計算出P，根據(jù) CRT 原理可得 Q1=143，Q2=65，Q3=55，q1=3，q2=10，q3=3。將這些參數(shù)代入式（16）可得 sum′=390。由于在本實例中數(shù)據(jù)在傳輸時沒有被篡改，數(shù)據(jù)是完整的，因此經(jīng)過CRT計算所得的sum′與表5中解密所得的sum相等。如果在傳輸過程中數(shù)據(jù)被篡改，則sum和sum′不相等。

整個過程說明本文所提方案可以正確實現(xiàn)數(shù)據(jù)的安全聚合，并能夠正確恢復(fù)各IM的采集數(shù)據(jù)。

4 性能分析

4.1 安全性分析

4.1.1 機(jī)密性和數(shù)據(jù)隱私性分析

分2種情況對本文所提方案在數(shù)據(jù)的機(jī)密性和隱私性保護(hù)方面進(jìn)行分析。

（1）攻擊者沒有俘獲任何節(jié)點。

當(dāng)網(wǎng)絡(luò)中沒有任何節(jié)點被俘獲時，攻擊者不能破解任何節(jié)點的密鑰，攻擊者只能通過竊聽信道來獲取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)從而達(dá)到破壞的目的。在本文方案中，攻擊者只有同時破解密鑰kBti和大素數(shù)M才能解密密文，kBti和大素數(shù)M都為160 bit數(shù)據(jù)，因此密文被破解的實際概率為2-320。同時，kBti又是通過哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），哈希函數(shù)的單向性增加了本文方案的安全性。因此，在沒有節(jié)點被俘獲的情況下攻擊者的成功率非常低，能滿足安全性要求。

（2）攻擊者俘獲部分節(jié)點。

當(dāng)系統(tǒng)中有IM節(jié)點被俘獲時，由于在本文提出的安全數(shù)據(jù)聚合算法中，各IM在進(jìn)行數(shù)據(jù)同態(tài)加密時用的是其本身和LGW的鏈路密鑰，因此單個IM的密鑰信息泄漏對其他IM的數(shù)據(jù)隱私威脅有限。

當(dāng)被俘獲的節(jié)點為AN時，由于IMi傳輸給AN的是加密信息，且AN中不存儲加密的密鑰，攻擊者想要破解密文只有同時破解密鑰kBi和大素數(shù)M，密文被破解的概率幾乎可以忽略不計。因此，AN被俘獲不會影響采集數(shù)據(jù)的機(jī)密性和隱私性。

綜上所述，本文所提的方案具有較好的數(shù)據(jù)機(jī)密性和隱私性保護(hù)性能。

4.1.2 數(shù)據(jù)完整性和新鮮性分析

（1）數(shù)據(jù)完整性保護(hù)。

本文利用CRT理論來驗證數(shù)據(jù)傳輸時有無遭到篡改，即利用CRT計算的數(shù)據(jù)和sum′與接收到的數(shù)據(jù)和sum的比較結(jié)果來完成數(shù)據(jù)完整性檢測。而能否實現(xiàn)完整性驗證取決于利用CRT求解出的唯一解是否就是采集數(shù)據(jù)的數(shù)據(jù)和，具體證明過程如下。

a.假設(shè) IMi的采集數(shù)據(jù)為datai，i?［1，n］。系統(tǒng)為每個 IM 預(yù)置 g 個素數(shù) pj，j?［1，g］，素數(shù)的乘積為P，P 滿足：P≥n·max（datai）+1。

b.求出各 IM 的余數(shù)組：eij=datai（mod pj）。

c.將每個IM的余數(shù)組中的第j個元素求和：。

d.將所有采集數(shù)據(jù)的和記為。

e.計算式（17）可以看出，sum 和 ej模 pj同余，即sum=ej（mod pj），j?［1，g］。該同余式完全符合 CRT 的原理，因此在［0，P-1］范圍內(nèi)存在唯一的 sum，可以通過式（3）求出，即經(jīng)過CRT求出的唯一解就是采集數(shù)據(jù)的數(shù)據(jù)和。

因此，如果數(shù)據(jù)datai在傳輸或聚合過程中遭到篡改就會導(dǎo)致驗證不通過。例如，在第3節(jié)的實例中，如果在傳輸過程中攻擊者改動了報文中IM3的加密數(shù)據(jù)C3，如被篡改為0000010001，在LGW節(jié)點中通過解密計算出的數(shù)據(jù)和sum就變?yōu)?99，而經(jīng)過CRT計算出的sum′還是390，因此可以判斷數(shù)據(jù)遭到篡改。如果在傳輸或聚合過程中攻擊者篡改的是Tagi或Tag，最后在LGW節(jié)點中經(jīng)過CRT計算所得的sum′就不等于390，因此也可以判斷出數(shù)據(jù)遭到篡改。綜上可知，本文所提方案能夠滿足數(shù)據(jù)完整性要求。

（2）數(shù)據(jù)新鮮性保護(hù)。

加密函數(shù)進(jìn)行加密時的密鑰kBti是通過哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），并且加入了時間參數(shù) t，哈希函數(shù)的單向性增加了kBti的安全性，并且隨著t的變化kBti也在更新。因此，如果發(fā)生重放攻擊，在LGW中的kBti和攻擊節(jié)點的kBti不一致，解密得出的sum就會不一致，從而導(dǎo)致數(shù)據(jù)完整性驗證失敗，故本文所提方案能有效保證數(shù)據(jù)的新鮮性。同時，隨著t的變化kBti也在變化，使得明文和密文之間不存在固定的關(guān)系，因此能夠抵抗惟密文攻擊和已知明文攻擊。

4.2 其他性能分析

IM作為嵌入式設(shè)備，其資源十分有限，因此在保證算法安全性的前提下盡可能減少節(jié)點的計算和通信消耗是每一種聚合算法所追求的目標(biāo)。為了更好地評估本文所提方案的算法性能，將本文所提方案與文獻(xiàn)［13］提出的RCDA-HOMO方案在通信開銷、計算開銷這2個方面進(jìn)行比較。其中，對稱加密算法中的密鑰和ECC算法中的密鑰都采用160 bit。

4.2.1 計算開銷分析

算法的計算開銷主要包括加密及驗證標(biāo)簽生成、聚合和解密及驗證3個階段的總開銷，由于解密及驗證階段發(fā)生在根節(jié)點，一般假設(shè)根節(jié)點資源充足，因此在本文不予考慮。本文只對各方案的加密及驗證標(biāo)簽生成和聚合這2個階段的計算開銷進(jìn)行分析，采用計算所花費(fèi)的時間來衡量計算開銷指標(biāo)。假設(shè)1次大數(shù)乘法運(yùn)算所需時間為tmul，大數(shù)加法運(yùn)算的時間相較于其他運(yùn)算可以忽略，1次求模運(yùn)算所需時間為tmod，1次模乘運(yùn)算所需時間為tm，1次模加運(yùn)算所需時間為tam，1次橢圓曲線標(biāo)量乘運(yùn)算所需時間為tme，1次橢圓曲線上的點加運(yùn)算所需時間為tae，1次哈希函數(shù)運(yùn)算時間為thash。

（1）本文方案的計算開銷。

在本文方案中，數(shù)據(jù)加密時進(jìn)行1次模加運(yùn)算，生成密鑰時進(jìn)行1次哈希運(yùn)算，驗證標(biāo)簽的生成進(jìn)行3次求模運(yùn)算；在聚合階段，密文和驗證標(biāo)簽的聚合采用求和取模運(yùn)算，共進(jìn)行2次模加運(yùn)算。

因此，本文方案的加密及標(biāo)簽計算開銷為：。本文方案的數(shù)據(jù)聚合開銷為：。

（2）RCDA-HOMO方案的計算開銷。

在RCDA-HOMO方案中，計算驗證標(biāo)簽包括1次標(biāo)量乘運(yùn)算和1次哈希運(yùn)算；數(shù)據(jù)加密時采用的是ECC算法，包括2次橢圓曲線點乘運(yùn)算和1次橢圓曲線點加運(yùn)算；明文映射到橢圓曲線時進(jìn)行1次橢圓曲線點乘運(yùn)算；密文聚合時需要進(jìn)行2（f-1）次橢圓曲線點加運(yùn)算，f為簇成員節(jié)點的數(shù)量；驗證標(biāo)簽的聚合時進(jìn)行加法運(yùn)算。

因此，RCDA-HOMO方案的加密及標(biāo)簽計算開銷為：。RCDA-HOMO方案的數(shù)據(jù)聚合開銷為：。

通過以上對各方案的計算開銷分析可以看出，由于存在不同數(shù)學(xué)運(yùn)算方法，因此無法直接進(jìn)行比較。參照文獻(xiàn)［17］給出的計算方法，將橢圓曲線上的標(biāo)量乘和點加運(yùn)算開銷都轉(zhuǎn)換到基本單位（160 bit的模乘運(yùn)算開銷tmm）。換算以后的具體計算開銷如表7所示。從表中可以看出，本文方案的計算開銷比RCDAHOMO方案少很多。

表7 2種方案的計算開銷對比Table 7 Comparison of computation cost between two schemes

4.2.2 通信開銷分析

在所有的安全數(shù)據(jù)聚合方案中，數(shù)據(jù)的傳輸方式為：終端節(jié)點將加密數(shù)據(jù)發(fā)送給聚合節(jié)點，聚合節(jié)點再將密文轉(zhuǎn)發(fā)給sink節(jié)點。假設(shè)使用通信方式是相同的，因此每次傳輸?shù)臄?shù)據(jù)包大小一致，則影響通信開銷大小的主要因素是密文數(shù)據(jù)的長度。由于聚合前后的數(shù)據(jù)長度不影響通信開銷大小，因此只對終端節(jié)點發(fā)送到聚合節(jié)點的密文數(shù)據(jù)長度進(jìn)行分析，對各方案的通信開銷分析如下。

（1）本文方案的通信開銷。

在本文方案中，由于采用的密鑰和M都為160bit數(shù)據(jù)，因此求得的Ci和Tagi都為20 Byte，IM向聚合節(jié)點發(fā)送的報文（Ci，Tagi）一共為40 Byte。

（2）RCDA-HOMO方案的通信開銷。

在RCDA-HOMO方案中，采用的是在有限域F160上的橢圓曲線，每個橢圓曲線上的點可表示為160bit，即20 Byte。RCDA-HOMO方案的消息格式為ci‖σi，其中 ci=（Ri，Si），Ri和 Si為橢圓曲線上的 2 個點，因此ci為40Byte，生成的驗證標(biāo)簽σi為34Byte。所以，終端節(jié)點發(fā)送給聚合節(jié)點的數(shù)據(jù)長度一共為74 Byte。

通過以上分析可知，本文方案的通信開銷比RCDAHOMO方案小。

5 結(jié)論

本文針對AMI在進(jìn)行數(shù)據(jù)聚合時，由于有些應(yīng)用需要獲取各用戶IM對應(yīng)的數(shù)據(jù)，提出一種具有數(shù)據(jù)可恢復(fù)的安全數(shù)據(jù)聚合方案。通過對方案的性能的分析可以得出以下結(jié)論：

a.本文方案的AN能夠在不解密的情況下實現(xiàn)各IM的數(shù)據(jù)聚合，并能在LGW中準(zhǔn)確恢復(fù)各IM的數(shù)據(jù)；

b.本文方案能夠確保數(shù)據(jù)在傳輸過程中的機(jī)密性、數(shù)據(jù)隱私性、數(shù)據(jù)完整性和數(shù)據(jù)新鮮性，且能夠抵抗惟密文攻擊和已知明文攻擊；

c.將本文方案與同樣具有數(shù)據(jù)恢復(fù)功能的RCDA-HOMO聚合方案在計算開銷和通信開銷上進(jìn)行比較，開銷計算結(jié)果表明本文方案在這2項性能上具有更好的表現(xiàn)。

參考文獻(xiàn)：

［1］張國榮，陳夏冉.能源互聯(lián)網(wǎng)未來發(fā)展綜述［J］.電力自動化設(shè)備，2017，37（1）：1-7.ZHANG Guorong，CHEN Xiaran.Future development of energy internet［J］.Electric Power Automation Equipment，2017，37（1）：1-7.

［2］WANG W，XU Y，KHANNA M.A survey on the communication architectures in smart grid［J］.Computer Network，2011，55（15）：3604-3629.

［3］王守相，葛磊蛟，王凱.智能配電系統(tǒng)的內(nèi)涵及其關(guān)鍵技術(shù)［J］.電力自動化設(shè)備，2016，36（6）：1-6.WANG Shouxiang，GE Leijiao，WANG Kai.Main contents and key technologies of smart distribution system［J］.Electric Power Automation Equipment，2016，36（6）：1-6.

［4］ZHENG G，GAO Y，WANG L.Realization of automatic meter reading system based on ZigBee with improved routing protocol［C］∥2010 Asia-Pacific Power and Energy Engineering Conference.Chengdu，China：IEEE，2010：1-6.

［5］EROL-KANTARCI M，MOUFTAH H T.Wireless sensor networks for cost-efficient residential energy management in the smart grid［J］.IEEE Transactions on Smart Grid，2011，2（2）：314-325.

［6］NGUYEN M T，NGUYEN L L，NGUYEN T D.A practical implementation ofwireless sensornetwork based smarthome system for smart grid integration［C］∥2015 International Conference on Advanced Technologies for Communications（ATC）.Ho Chi Minh，Vietnam：IEEE，2015：604-609.

［7］TANG X，XU J.Extending network lifetime for precision constrained data aggregation in wireless sensor networks［C］∥25th IEEE InternationalConferenceon ComputerCommunications.Barcelona，Spain：IEEE，2006：1-12.

［8］PAPADOPOULOS S，KIAYIAS A，PAPADIAS D.Secure and efficient in-network processing of exact SUM queries［C］∥2011 IEEE 27th International Conference on Data Engineering（ICDE）.Hannover，Germany：IEEE，2011：517-528.

［9］OZDEMIR S，CAM H.Integration of false data detection with data aggregation and confidential transmission in wireless sensor networks［J］.IEEE /ACM Transactions on Networking，2010，18（3）：736-749.

［10］OZDEMIR S，XIAO Y.Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］.Computer Networks，2011，55（8）：1735-1746.

［11］趙小敏，梁學(xué)利，蔣雙雙，等.安全的WSN數(shù)據(jù)融合隱私保護(hù)方案設(shè)計［J］.通信學(xué)報，2014，35（11）：154-161.ZHAO Xiaomin，LIANG Xueli，JIANG Shuangshuang，et al.Design of secure privacy-preserving data aggregation scheme for wireless sensor network［J］.Journal on Communications，2014，35（11）：154-161.

［12］周強(qiáng)，楊庚，陳蕾，等.基于同態(tài)MAC的無線傳感網(wǎng)安全數(shù)據(jù)融合方案［J］.電子與信息學(xué)報，2014，36（7）：1743-1748.ZHOU Qiang，YANG Geng，CHEN Lei，et al.Secure data aggregation scheme based on homomorphic MAC for wireless sensor networks［J］.Journal of Electronics&Information Technology，2014，36（7）：1743-1748.

［13］CHEN C M，LIN Y H，LIN Y C，et al.RCDA：recoverable concealed data aggregation for data integrity in wireless sensor networks［J］.IEEE Transactions on Parallel and Distributed Systems，2012，23（4）：727-734.

［14］丁超，楊立君，吳蒙.一種同時保障隱私性與完整性的無線傳感器網(wǎng)絡(luò)可恢復(fù)數(shù)據(jù)聚合方案［J］.電子與信息學(xué)報，2015，37（12）：2808-2814.DING Chao，YANG Lijun，WU Meng.A recoverable privacypreserving integrity-assured data aggregation scheme for wireless sensor networks［J］.Journal of Electronics&Information Technology，2015，37（12）：2808-2814.

［15］RIVEST R L，ADLEMAN L，DETROUZOS M L.On data banks and privacy homomorphism［J］.Foundations of Secure Computation，1978：169-179.

［16］WU C H，HONG J H，WU C W.RSA cryptosystem design based on the Chinese remainder theorem［C］∥Proceedings of the ASP-DAC 2001.Asia and South Pacific Design Automation Conference，2001.Yokohama，Japan：IEEE，2001：391-395.

［17］MYKLETUN E，GIRAO J，WESTHOFF D.Public key based cryptoschemes for data concealment in wireless sensor networks［C］∥2006 IEEE International Conference on Communications.Barcelona，Spain：IEEE，2006：2288-2295.