史豐圖

摘要：本文基于同態(tài)加密技術(shù)設(shè)計(jì)了一種安全有效的智能電網(wǎng)WSNs安全數(shù)據(jù)融合方案.結(jié)果表明，利用對稱同態(tài)加密方案來保護(hù)數(shù)據(jù)的機(jī)密性，實(shí)現(xiàn)了數(shù)據(jù)端到端的完整性檢測，融合節(jié)點(diǎn)能夠?qū)κ盏降臄?shù)據(jù)進(jìn)行驗(yàn)證，實(shí)現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，確保了數(shù)據(jù)的有效性，與現(xiàn)有方案相比本文提出的方案具有更高的消息驗(yàn)證率和更低的計(jì)算開銷和通信開銷，可以更好地保護(hù)數(shù)據(jù)的完整性和機(jī)密性，具有重要的理論意義和實(shí)際應(yīng)用價(jià)值.

關(guān)鍵詞：同態(tài)加密;智能電網(wǎng);數(shù)據(jù)聚合;通信開銷

中圖分類號：TP393;TP212.9? 文獻(xiàn)標(biāo)識碼：A? 文章編號：1673-260X（2019）04-0059-04

0 引言

智能電網(wǎng)是通過使用數(shù)字化的通信和控制技術(shù)，能夠?qū)崿F(xiàn)對系統(tǒng)中的電網(wǎng)節(jié)點(diǎn)和每個(gè)用戶進(jìn)行有效的控制和監(jiān)視，保證整個(gè)配電過程中電能和節(jié)點(diǎn)信息之間的雙向流動，一種新型的、完全自動化的電力傳輸網(wǎng)絡(luò)[1].本文基于同態(tài)加密技術(shù)，設(shè)計(jì)了一種安全有效的智能電網(wǎng)WSNs可恢復(fù)安全數(shù)據(jù)融合方案，并對提出的方案進(jìn)行了性能分析和安全性分析，以期為智能電網(wǎng)WSNs安全數(shù)據(jù)聚合提供理論指導(dǎo)，有著重要的實(shí)際應(yīng)用價(jià)值.

1 系統(tǒng)模型

1.1 網(wǎng)絡(luò)模型

WSNs包含一個(gè)基站和大量傳感器節(jié)點(diǎn).每個(gè)簇?fù)碛幸粋€(gè)簇頭節(jié)點(diǎn)（CH），網(wǎng)絡(luò)拓?fù)浠诖氐慕Y(jié)構(gòu)，每個(gè)傳感器節(jié)點(diǎn)對應(yīng)一個(gè)簇頭，成員節(jié)點(diǎn)直接與簇頭進(jìn)行通信.在該方案中每個(gè)節(jié)點(diǎn)有獨(dú)特的ID，系統(tǒng)可以根據(jù)ID進(jìn)行辨別;網(wǎng)絡(luò)部署完成后，基站（BS）是固定的，所有節(jié)點(diǎn)都是靜止.本文用到的符號說明，如表1所示.

1.2 攻擊者模型

（1）攻擊者向任意BS、CH、成員節(jié)點(diǎn)發(fā)送虛假數(shù)據(jù).（2）攻擊者對WSNs中正在傳輸?shù)臄?shù)據(jù)進(jìn)行監(jiān)控并竊聽.將兩種攻擊細(xì)化為A、B兩類.

在A類中，攻擊者旨在通過偽造數(shù)據(jù)包、重放舊的數(shù)據(jù)包或篡改消息內(nèi)容的方式達(dá)到欺騙基站的目的.

未授權(quán)融合：將多個(gè)密文融合成一個(gè)錯(cuò)誤的密文并注入網(wǎng)絡(luò).

數(shù)據(jù)包偽造：攻擊者偽造數(shù)據(jù)包欺騙基站.

重放攻擊：攻擊者將基站消息稍后重放欺騙基站.

延展性：在不知道數(shù)據(jù)包內(nèi)容的情況下，允許攻擊者對其進(jìn)行篡改.

在B類中，攻擊者旨在推測出密鑰或獲取秘密信息，為衡量同態(tài)加密方案的安全強(qiáng)度建立下3種攻擊者模型.

選擇明文攻擊：攻擊者請求任意明文所對應(yīng)的密文分析推斷出密鑰信息.

己知明文攻擊：攻擊者嘗試分析已知的明文和密文進(jìn)而獲取秘密信息或推斷密鑰.

唯密文攻擊：攻擊者嘗試通過加密相同密鑰的密文來推斷密鑰或明文.

2 WSNs中基于同態(tài)加密的可恢復(fù)安全數(shù)據(jù)融合方案

恢復(fù)數(shù)據(jù)融合方案由5部分組成，如圖1所示.在初始化階段系統(tǒng)預(yù)先加載系統(tǒng)參數(shù)和必要的密鑰.若節(jié)點(diǎn)加入該WSN，須獲取ID和私鑰.節(jié)點(diǎn)向簇頭節(jié)點(diǎn)發(fā)送數(shù)據(jù)時(shí)，首先執(zhí)行加密過程，并將加密結(jié)果發(fā)送至簇頭節(jié)點(diǎn).數(shù)據(jù)融合階段，簇頭節(jié)點(diǎn)只負(fù)責(zé)融合，每個(gè)簇頭節(jié)點(diǎn)需要驗(yàn)證所有成員節(jié)點(diǎn)的簽名，并融合密文、簽名，濾掉部分虛假數(shù)據(jù)包，進(jìn)而避免消耗不必要的能量.數(shù)據(jù)解密階段，基站通過對加密數(shù)據(jù)的完整性進(jìn)行驗(yàn)證，并解密融合的密文，提取感知數(shù)據(jù)，執(zhí)行任意的融合操作.

2.1 系統(tǒng)初始化

初始化階段，基站BS生成系統(tǒng)參數(shù)和密鑰信息，過程如下：

（1）設(shè)Fn為n階有限域，E為橢圓曲線.基站BS將s∈Zq作為主私鑰，公鑰為：

Ppub=sP

基站BS選擇兩個(gè)單向哈希函數(shù)H1：{0，1}*→Zq;H2：{0，1}*→Zq;并發(fā)布參數(shù)parama={P，Ppub，q，H1，H2}，秘密保留BS的私鑰s.

（2）BS生成一大素?cái)?shù)p，加載在節(jié)點(diǎn)上;為保證其正確性，p滿足：

2.2 私鑰提取

若某一節(jié)點(diǎn)加入WSNs，應(yīng)首先獲取其IDij以及對應(yīng)的密鑰kij和私鑰SKij：

（1）BS選擇一個(gè)新的IDij，隨機(jī)數(shù)wij，生成私鑰：

然后，BS將私鑰SKij=（Tij，Sij）和IDij加載至節(jié)點(diǎn).

（2）BS生成隨機(jī)數(shù)kij作為節(jié)點(diǎn)的對稱密鑰.每一個(gè)CHj存儲一個(gè)成員列表LCMj，BS同時(shí)存儲一個(gè)由CH組成的列表LCH.

2.3 數(shù)據(jù)加密

若節(jié)點(diǎn)CMij（i=1，…，η-1）向簇頭節(jié)點(diǎn)CHj發(fā)送數(shù)據(jù)dij，需執(zhí)行以下步驟：

（1）編碼：mij=dij||0z，其中z=l·（i-1）;（2）密鑰生成：為保證密鑰的隨機(jī)性，Kij=HMAC（kij，nonce）;（3）加密：計(jì)算密文cij=E（mij，Kij，p）=（mij+kij）mod p;（4）簽名：身份為IDij，私鑰為SKij=（Tij，Sij）的節(jié)點(diǎn).CMij選取時(shí)間戳tij∈RZq，計(jì)算：

則σij=（Tij，Rij，Vij）為節(jié)點(diǎn)CMij的簽名.然后，節(jié)點(diǎn)CMij將（cij，σij，IDij，tij）發(fā)送給它的簇頭節(jié)點(diǎn)CHj.

2.4 數(shù)據(jù)融合

一旦收到來自成員節(jié)點(diǎn)CMij發(fā)來的消息（cij，σij，IDij，tij}，則CHj首先在其存儲的列表LCMi中搜索相應(yīng)的身份IDij，并檢查時(shí)間戳tij的有效性.若時(shí)間戳均有效，則CHj執(zhí)行以下操作：

若IDij不存在，則CHi拒絕該消息.

2.5 數(shù)據(jù)解密

當(dāng)收到來自CHj（1≤j≤nc）的消息（cj，？子j，ID，tj）時(shí)，基站BS搜索對應(yīng)的身份IDj，并檢查時(shí)間戳tj的有效性，若所有的時(shí)間戳均有效，則基站BS對感知數(shù)據(jù)進(jìn)行驗(yàn)證和恢復(fù)：

最后，基站BS執(zhí)行融合操作.

3 數(shù)據(jù)融合方案性能分析

3.1 安全分析

（1）該方案在A類攻擊者存在時(shí)，仍能提供數(shù)據(jù)端到端的完整性.

分析：該解決方案通過簽名方案解決了A類攻擊者造成的問題.如果發(fā)生損害數(shù)據(jù)完整性的惡意表現(xiàn)，則簽名驗(yàn)證將不會成功.

該方案中，通過簽名方案對數(shù)據(jù)的完整性進(jìn)行驗(yàn)證.若加密數(shù)據(jù)遭到篡改，簽名數(shù)據(jù)將無法被認(rèn)證，并且基站BS會拒絕接收的數(shù)據(jù)包.

（2）該方案在B類攻擊者存在時(shí)，仍能提供數(shù)據(jù)端到端的機(jī)密性.

該方案在整個(gè)傳輸過程中融合結(jié)果和原始感知數(shù)據(jù)均處于加密狀態(tài)，接下來詳細(xì)分析A類攻擊者存在時(shí)該方案仍能保證數(shù)據(jù)的機(jī)密性.

選擇明文攻擊：使用nonce來確保密鑰的動態(tài)性，傳感節(jié)點(diǎn)用它進(jìn)行加密，基站BS用其解密.由于nonce不斷變化，使得每一輪會話存在不同的密鑰.因此，即使在某一時(shí)刻攻擊者推斷出會話密鑰，也無法從此次結(jié)論中獲益.

已知明文攻擊：在WSNs中，由于網(wǎng)絡(luò)部署無人值守且環(huán)境惡劣，傳感節(jié)點(diǎn)易發(fā)生變節(jié).該方案中，節(jié)點(diǎn)密鑰僅與基站BS共享，攻擊者無法獲取其他節(jié)點(diǎn)消息.

唯密文攻擊：該方案中通過偽隨機(jī)函數(shù)產(chǎn)生獨(dú)一無二的密鑰，攻擊者通過對密文的分析無法推斷出明文或密鑰信息.

3.2 性能評估

從能量消耗、通信開銷、計(jì)算開銷等幾個(gè)方面與相關(guān)方案[2]-[4]進(jìn)行了對比.首先對端到端的完整性、機(jī)密性、授權(quán)融合、網(wǎng)內(nèi)虛假數(shù)據(jù)過濾和數(shù)據(jù)可恢復(fù)等性能進(jìn)行對比，如表2所示.可以看出，與其他三種方案相比本文方案支持的功能更加豐富.

3.3 通信開銷

本文方案中，需要傳輸時(shí)間戳、節(jié)點(diǎn)身份、簽名和密文，傳輸消息的總長度為712 bits.Sen-SDA方案中，節(jié)點(diǎn)發(fā)送一個(gè)消息的總長度為912 bits，其中一個(gè)傳輸?shù)南〞r(shí)間戳tt，簽名σ，發(fā)送者ID，接收者ID，密文C.CDAMA方案中，密文的大小為（k+1）×256+1 bits，其中k為網(wǎng)絡(luò)中簇的數(shù)目.RCDA-HOTO方案中，傳輸?shù)南芪腃1和對應(yīng)的簽名σi，節(jié)點(diǎn)發(fā)送一個(gè)消息的總長度為482 bits.各方案的通信開銷對比，如表3所示.

可以看出，本文方案實(shí)現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，有助于節(jié)省能量.雖然RCDA-HOMO方案的通信開銷比本文方案的通信開銷低，但是沒有采用時(shí)間戳來保證數(shù)據(jù)的新鮮性.而本文方案可以避免因傳輸送虛假數(shù)據(jù)包而消耗不必要的能量.除此之外，每個(gè)簇的數(shù)據(jù)包是單獨(dú)認(rèn)證的，在多個(gè)虛假數(shù)據(jù)包到達(dá)基站的情況下，方案極大地節(jié)省了通信開銷.

3.4 能量消耗

計(jì)算開銷和通信開銷是影響能量消耗的兩個(gè)主要因素.通過自變量為n的函數(shù)來表示能量消耗，其中n為成員節(jié)點(diǎn)個(gè)數(shù).不同方案的能量消耗對比結(jié)果，如表4所示.

將CDAMA方案中的k取最小值2，詳細(xì)對比不同方案的能量消耗，計(jì)算結(jié)果如圖2所示.可以看出，本文方案在能量消耗方面是最優(yōu)的.

4 結(jié)論

基于同態(tài)加密技術(shù)設(shè)計(jì)了一種安全有效的智能電網(wǎng)WSNs安全數(shù)據(jù)融合方案，并對提出的方案進(jìn)行了性能分析和安全性分析，得出以下結(jié)論：

（1）利用對稱同態(tài)加密方案來對數(shù)據(jù)的機(jī)密性和完整性進(jìn)行保護(hù)，融合節(jié)點(diǎn)實(shí)現(xiàn)了網(wǎng)內(nèi)虛假數(shù)據(jù)過濾，提高了數(shù)據(jù)的有效性.

（2）本方案可以避免因傳輸送虛假數(shù)據(jù)包而消耗不必要的能量.除此之外，每個(gè)簇的數(shù)據(jù)包是單獨(dú)認(rèn)證的，在多個(gè)虛假數(shù)據(jù)包到達(dá)基站的情況下，方案極大地節(jié)省了通信開銷;得益于無雙線性配對的簽名方案的高效性和對稱同態(tài)加密方案的簡單高效性，本文方案的成員節(jié)點(diǎn)的計(jì)算代價(jià)是最低的.

（3）與現(xiàn)有方案相比本文提出的方案具有更高的消息驗(yàn)證率和更低的計(jì)算開銷和通信開銷，很好地保護(hù)數(shù)據(jù)的完整性和機(jī)密性，能夠?yàn)橹悄茈娋W(wǎng)WSNs安全數(shù)據(jù)聚合提供理論指導(dǎo).

參考文獻(xiàn)：

〔1〕劉雪艷，張強(qiáng)，李戰(zhàn)明，等.面向智能電網(wǎng)通信系統(tǒng)的數(shù)據(jù)聚合和訪問控制方法[J].電力系統(tǒng)自動化，2016，40（14）：135-144.

〔2〕Liehuang Zhu， Yan Liu， Feng Wang， et al. Universal Transformations for Supporting Fuzzy Keyword Search in Searchable Encryption[J]. International Journal of Wireless and Mobile Computing， 2014，12（3）：1371-1375.

〔3〕Abdallah A， Shen X S. A Lightweight Lattice-Based Homomorphic Privacy-Preserving Data Aggregation Scheme for Smart Grid[J]. IEEE Transactions on Smart Grid， 2017， 9（1）：396-405.

〔4〕Xia J， Wang Y. Secure Key Distribution for the Smart Grid[J]. IEEE TRANSACTIONS ON SMART GRID， SEPTEMBER， 2012， （3）：1437-1443.