龍洋洋，陳玉玲*，辛 陽，豆 慧

（1.公共大數(shù)據(jù)國(guó)家重點(diǎn)實(shí)驗(yàn)室（貴州大學(xué)），貴陽 550025；2.貴州大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，貴陽 550025；3.北京郵電大學(xué)網(wǎng)絡(luò)空間安全學(xué)院，北京 100876）

（?通信作者電子郵箱61997525@qq.com）

0 引言

目前，在微網(wǎng)和園區(qū)中，能源交易主要是以集中式優(yōu)化決策的資源配置方式為主，建立一個(gè)易于設(shè)置、易于采用的控制中心來處理和管理能源交易。但該方法需要耗費(fèi)的人力物力成本較高，缺乏對(duì)隱私的保護(hù)和匿名性，存在單點(diǎn)故障問題?？刂浦行目梢灾苯踊蜷g接地查看用戶的隱私數(shù)據(jù)，根據(jù)所獲取到的數(shù)據(jù)分析和預(yù)測(cè)用戶的下一步行為。同時(shí)，控制中心的故障會(huì)對(duì)支付和認(rèn)證活動(dòng)造成干擾，阻礙提供可用性和可靠性安全目標(biāo)。針對(duì)這一弊端，需要尋求一種去中心化的管理方式來對(duì)能源交易進(jìn)行管理，降低成本，實(shí)現(xiàn)能源交易的自主管理，并且保障信息的安全性。區(qū)塊鏈技術(shù)結(jié)合數(shù)字簽名和分布式共識(shí)機(jī)制，是一種實(shí)現(xiàn)信息安全的數(shù)據(jù)存儲(chǔ)和分布式計(jì)算的新興技術(shù)，最早應(yīng)用于比特幣［1］。然而，在能源互聯(lián)網(wǎng)中，參與能源交易的主體數(shù)量多，如果采用公有鏈，則每筆交易的執(zhí)行都需要傳播給全網(wǎng)絕大多數(shù)節(jié)點(diǎn)并通過驗(yàn)證，交易速度比較緩慢，不能適應(yīng)能源互聯(lián)網(wǎng)高頻交易的需要。此外，倘若所有節(jié)點(diǎn)都存儲(chǔ)所有的歷史交易信息，存儲(chǔ)容量會(huì)很大，成本較高。因此在能源互聯(lián)網(wǎng)的能源交易中，可以采用聯(lián)盟鏈。聯(lián)盟鏈的核心在于將區(qū)塊鏈的節(jié)點(diǎn)分為全節(jié)點(diǎn)和輕節(jié)點(diǎn)兩類，全節(jié)點(diǎn)保存了歷史完整的交易信息，對(duì)區(qū)塊鏈具有讀寫權(quán)限，而輕節(jié)點(diǎn)只保存了自身相關(guān)的身份信息，只具有讀取權(quán)限，需要通過相關(guān)的協(xié)議向全節(jié)點(diǎn)發(fā)送讀取請(qǐng)求來確認(rèn)與自身相關(guān)的交易是否成功寫入?yún)^(qū)塊鏈，如簡(jiǎn)單支付驗(yàn)證（Simple Payment Verification，SPV）協(xié)議［2］。

目前關(guān)于區(qū)塊鏈應(yīng)用于能源互聯(lián)網(wǎng)的研究大多只是簡(jiǎn)單地提出了應(yīng)用方案，將去中心化的交易架構(gòu)應(yīng)用于能源互聯(lián)網(wǎng)，沒有針對(duì)能源互聯(lián)網(wǎng)中的隱私保護(hù)進(jìn)行分析［3-8］。歐盟的Scanergy項(xiàng)目提出發(fā)行NRG 幣作為能源交易的代幣進(jìn)行微網(wǎng)中的能源交易［3］。美國(guó)LO3 Eenergy 公司推出的Trans Active Grid項(xiàng)目只是將區(qū)塊鏈技術(shù)應(yīng)用在能源節(jié)點(diǎn)數(shù)量有限的微電網(wǎng)場(chǎng)景［4］。文獻(xiàn)［5-9］分別探討了將區(qū)塊鏈技術(shù)應(yīng)用到智能電網(wǎng)、車載網(wǎng)、智能家居和產(chǎn)業(yè)物聯(lián)網(wǎng)以實(shí)現(xiàn)分布式交易，但這些文獻(xiàn)對(duì)區(qū)塊鏈應(yīng)用于能源互聯(lián)網(wǎng)的隱私問題都缺乏討論，不足以支撐用戶的多樣化需求。

將區(qū)塊鏈技術(shù)應(yīng)用到能源互聯(lián)網(wǎng)中帶來的隱私問題，主要是由于區(qū)塊鏈中記錄交易數(shù)據(jù)的分布式全局賬本在網(wǎng)絡(luò)中都是公開的，任意攻擊者都能間接或者直接地獲取到錢包賬戶和交易行為等信息，導(dǎo)致隱私的泄露。例如，對(duì)賬本數(shù)據(jù)進(jìn)行分析整理，攻擊者可以通過數(shù)據(jù)挖掘算法獲取任意賬戶的交易信息，還可以分析同一用戶所持賬戶之間的交易關(guān)系圖譜等。目前已經(jīng)出現(xiàn)一些隱私保護(hù)機(jī)制［10］，主要思想是在不影響交易以及存儲(chǔ)效率的情況下，對(duì)公開數(shù)據(jù)中的部分信息進(jìn)行隱藏，增加數(shù)據(jù)分析的難度。文獻(xiàn)［11］提出了基于拉格朗日乘值法的隱私保護(hù)策略，文獻(xiàn)［12］提出了一種實(shí)現(xiàn)信息的隱私保護(hù)的優(yōu)化策略，文獻(xiàn)［13］提出了一種集成微電網(wǎng)的隱私保護(hù)模型，以減少相互之間的數(shù)據(jù)共享。在不知道用戶信息的情況下，文獻(xiàn)［14］采用在線驗(yàn)證機(jī)制來解決電動(dòng)車的隱私保護(hù)問題。文獻(xiàn)［15］提出一種基于低密度校驗(yàn)碼編解碼技術(shù)來實(shí)現(xiàn)通信數(shù)據(jù)的隱私保護(hù)。文獻(xiàn)［16］利用訪問控制來實(shí)現(xiàn)對(duì)隱私數(shù)據(jù)的保護(hù)。這些方法都對(duì)區(qū)塊鏈技術(shù)在能源互聯(lián)網(wǎng)中的隱私數(shù)據(jù)進(jìn)行了一定的保護(hù)，但仍然存在兩個(gè)亟待解決的問題：由于存儲(chǔ)在區(qū)塊中的噪聲記錄會(huì)引起分布式賬本發(fā)生故障，現(xiàn)有的隱私保護(hù)機(jī)制大多數(shù)無法在不影響分布式能源交易系統(tǒng)運(yùn)行效率的情況下，對(duì)隱私進(jìn)行保護(hù)；攻擊者可能不需要準(zhǔn)確的數(shù)據(jù)就可以獲取用戶的隱私。因此，需要提出一種能保護(hù)用戶隱私的能源互聯(lián)網(wǎng)交易模型。

本文在現(xiàn)有研究的基礎(chǔ)上，引入弱中心化的監(jiān)管方式，并結(jié)合智能合約［17］的需求側(cè)響應(yīng)，提出一種基于聯(lián)盟區(qū)塊鏈的安全能源交易模型，幫助能源交易實(shí)體雙方快速、可信、安全的交易。該模型通過一個(gè)一對(duì)多的賬戶匹配機(jī)制將小規(guī)模鄰近分布式能源交易的趨勢(shì)隱藏，防止基于數(shù)據(jù)挖掘算法的相關(guān)攻擊和確保交易實(shí)體之間交易信息的準(zhǔn)確性。

1 基于聯(lián)盟區(qū)塊鏈的安全能源交易模型

本文提出的模型構(gòu)成要素包括監(jiān)管中心（Supervision Center，SC）、本地聚合商（Logical Business Component，LBC）、交易實(shí)體三個(gè)核心對(duì)象，如圖1所示。

在模型中，參與交易的實(shí)體包括能源買家、能源賣家。交易實(shí)體可以根據(jù)自己的能源需求和狀態(tài)，選擇出售或購(gòu)買能源；本地聚合商作為可信能源中介，保存完整的區(qū)塊鏈數(shù)據(jù)，并為能源節(jié)點(diǎn)提供電力接入點(diǎn)和無線通信服務(wù)。每次能源出售節(jié)點(diǎn)都會(huì)向最近的本地聚合商發(fā)送能源售出的請(qǐng)求，經(jīng)本地聚合商對(duì)能源節(jié)點(diǎn)的交易請(qǐng)求核實(shí)，并向所有本地聚合商廣播這一需求，為能源節(jié)點(diǎn)進(jìn)行電力交易對(duì)的匹配；監(jiān)管中心作為能源交易的監(jiān)管部門，對(duì)本地聚合商、交易實(shí)體進(jìn)行授權(quán)的同時(shí)，也對(duì)交易數(shù)據(jù)進(jìn)行有效的監(jiān)管。

圖1 能源區(qū)塊鏈網(wǎng)絡(luò)Fig.1 Energy blockchain network

由于所有的交易數(shù)據(jù)均持有本地聚合商的數(shù)字簽名，若存在惡意的本地聚合商對(duì)交易數(shù)據(jù)更改，被更改的交易數(shù)據(jù)很容易被監(jiān)管中心統(tǒng)計(jì)和定位。經(jīng)監(jiān)管中心核實(shí)之后，該本地聚合商無法再進(jìn)行任何與交易相關(guān)的行為。

能源交易模型由三個(gè)部分組成：用戶注冊(cè)、交易和驗(yàn)證，如圖2所示。

1）用戶注冊(cè)：為了加強(qiáng)監(jiān)管和識(shí)別惡意用戶，用戶在參與交易前需要在監(jiān)管中心進(jìn)行注冊(cè)。本文采用半中心化的聯(lián)盟區(qū)塊鏈系統(tǒng)，設(shè)置由代幣銀行和交易服務(wù)器組成的本地聚合商，讓本地聚合商管理交易及用戶賬戶的信息，只有被授權(quán)的用戶才能進(jìn)入交易系統(tǒng)。

2）用戶交易：參與交易的交易實(shí)體根據(jù)自身能源狀態(tài)選擇出售或購(gòu)買能源，由本地聚合商對(duì)交易對(duì)象進(jìn)行匹配和參與能源區(qū)塊鏈系統(tǒng)的共識(shí)過程。

3）交易驗(yàn)證：由于聯(lián)盟區(qū)塊鏈可以通過選定的節(jié)點(diǎn)來執(zhí)行共識(shí)過程，每筆交易的執(zhí)行只需要傳播給預(yù)選節(jié)點(diǎn)進(jìn)行驗(yàn)證。在模型中，參與驗(yàn)證的節(jié)點(diǎn)為本地聚合商。

2 模型交易具體流程

如圖2 所示，本地聚合商包含兩個(gè)實(shí)體，即交易服務(wù)器（Transaction Server，TS）和存儲(chǔ)池。TS 主要負(fù)責(zé)從交易實(shí)體中收集能源請(qǐng)求，對(duì)交易實(shí)體進(jìn)行匹配，并為能源交易節(jié)點(diǎn)提供交易代幣和代幣兌換服務(wù)。存儲(chǔ)池用于存儲(chǔ)完整的區(qū)塊鏈信息。其中，交易代幣類似于NRG 幣，交易代幣的流通對(duì)模型交易效率、安全性均無影響。

2.1 用戶注冊(cè)

在用戶注冊(cè)過程中，監(jiān)管中心的角色可定義為第三方證書授權(quán)機(jī)構(gòu)，每個(gè)用戶向監(jiān)管中心提交相關(guān)信息，經(jīng)過監(jiān)管中心授權(quán)以后，用戶獲得數(shù)字證書以及自己的公鑰和私鑰。

用戶向監(jiān)管中心提交自己的信息（姓名、年齡、身份證號(hào)等），監(jiān)管中心使用非對(duì)稱加密算法為用戶生成一組公鑰PKi和私鑰SKi，并使用其私鑰SKsc對(duì)用戶的公鑰PKi進(jìn)行加密，形成數(shù)字簽名sign，最終將公鑰PKi、私鑰SKi以及數(shù)字簽名sign返回給用戶。用戶經(jīng)監(jiān)管中心注冊(cè)之后，就是一個(gè)合法節(jié)點(diǎn)。其他用戶可以使用監(jiān)管中心的公鑰PKsc來驗(yàn)證數(shù)字簽名sign的合法性。另外，在合法節(jié)點(diǎn)參與交易之前，需要接入本地聚合商，并將自己的賬戶上傳到本地聚合商，同時(shí)從本地聚合商中下載最新的交易數(shù)據(jù)，同步交易數(shù)據(jù)信息。其中，本地聚合商中已經(jīng)存儲(chǔ)了完整的區(qū)塊鏈數(shù)據(jù)，無論交易數(shù)據(jù)有多龐大，用戶不需要再存儲(chǔ)和驗(yàn)證整個(gè)區(qū)塊鏈上的交易數(shù)據(jù)，只需要同步區(qū)塊頭數(shù)據(jù)即可，每個(gè)區(qū)塊頭的大小只保持80 字節(jié)的大小，極大地減小了用戶在存儲(chǔ)方面的負(fù)擔(dān)。

圖2 能源區(qū)塊鏈網(wǎng)絡(luò)交易流程Fig.2 Transaction process in energy blockchain network

2.2 模型交易和區(qū)塊鏈共識(shí)過程

能源出售方向本地聚合商以智能合約的形式發(fā)送售能請(qǐng)求，經(jīng)TS核實(shí)無誤后，為賣家用戶選擇交易賬戶，并給該賬戶分配一個(gè)錢包，用于存儲(chǔ)交易代幣。賬戶選擇完畢，TS 將請(qǐng)求信息打包，并廣播到所有本地聚合商中以供買方匹配。TS如何為賣家用戶選擇交易賬戶在2.3節(jié)進(jìn)行詳細(xì)描述。

交易雙方匹配成功后，能源購(gòu)買方從本地聚合商處接收出售方所提交的售電合約Script，并產(chǎn)生新的合約newScript與出售方協(xié)商價(jià)格。與出售方達(dá)成協(xié)議后買方通過自己的錢包向出售方支付代幣，并生成交易記錄發(fā)送給出售方。出售方對(duì)交易記錄進(jìn)行驗(yàn)證并進(jìn)行數(shù)字簽名，將交易記錄上傳給本地聚合商進(jìn)行驗(yàn)證。

由于所有本地聚合商都是經(jīng)監(jiān)管中心注冊(cè)的可信節(jié)點(diǎn)，本文采取三階段共識(shí)機(jī)制。

第一階段是記賬節(jié)點(diǎn)的選取。所有的本地聚合商收集一段時(shí)間內(nèi)產(chǎn)生的交易信息，然后對(duì)交易信息進(jìn)行加密和數(shù)字簽名，并將加密后的交易記錄寫入?yún)^(qū)塊中。類似于比特幣，查找一個(gè)有效的工作量證明（一個(gè)滿足特定難度的哈希值），通過生成一個(gè)隨機(jī)數(shù)x，并結(jié)合前一個(gè)區(qū)塊的哈希值、時(shí)間戳、交易merkle 根等信息（定義為data）計(jì)算其所構(gòu)建區(qū)塊的哈希值。如式（1）所示：

其中，Difficulty是一個(gè)由系統(tǒng)控制的整數(shù)，主要用來調(diào)整隨機(jī)數(shù)x的查找速度。最快找出隨機(jī)數(shù)的本地聚合商為當(dāng)前共識(shí)過程的記賬節(jié)點(diǎn)，記作lbc。

第二階段是lbc將區(qū)塊數(shù)據(jù)、隨機(jī)數(shù)、時(shí)間戳信息打包并廣播給其他本地聚合商，交由其他本地聚合商對(duì)區(qū)塊數(shù)據(jù)進(jìn)行驗(yàn)證。驗(yàn)證結(jié)束后，其余本地聚合商將驗(yàn)證結(jié)果進(jìn)行數(shù)字簽名，并互相把驗(yàn)證結(jié)果互相比對(duì)，最終向lbc反饋比對(duì)結(jié)果，反饋信息包括每一個(gè)本地聚合商的驗(yàn)證結(jié)果、數(shù)字簽名、比對(duì)結(jié)果。

第三階段是lbc對(duì)收到的反饋進(jìn)行數(shù)理統(tǒng)計(jì)分析，若所有的本地聚合商都同意區(qū)塊數(shù)據(jù)，記賬節(jié)點(diǎn)則將當(dāng)前經(jīng)過驗(yàn)證的區(qū)塊數(shù)據(jù)進(jìn)行數(shù)字簽名，并向其他本地聚合商發(fā)送一份確認(rèn)結(jié)果，以便于存儲(chǔ)。

共識(shí)過程完成，區(qū)塊數(shù)據(jù)由記賬節(jié)點(diǎn)有序?qū)懭雲(yún)^(qū)塊鏈，記賬節(jié)點(diǎn)收到獎(jiǎng)勵(lì)的交易代幣。若存在本地聚合商對(duì)區(qū)塊的數(shù)據(jù)存在異議，記賬節(jié)點(diǎn)將進(jìn)一步分析驗(yàn)證結(jié)果，并再次給存在異議的本地聚合商發(fā)送區(qū)塊數(shù)據(jù)。在這一共識(shí)過程中，所有的驗(yàn)證結(jié)果均持有各自的數(shù)字簽名，很容易統(tǒng)計(jì)和查找。

2.3 賬戶匹配機(jī)制

安全能源交易模型的提出，需要解決在實(shí)現(xiàn)隱私保護(hù)的同時(shí)，不影響模型交易的效率與交易數(shù)據(jù)的完整性這一問題。本文基于上述交易模型提出一個(gè)賬戶保護(hù)機(jī)制，通過一對(duì)多的方式來實(shí)現(xiàn)對(duì)銷售方的交易數(shù)據(jù)進(jìn)行隱藏，如圖3所示。

圖3 賬戶匹配機(jī)制Fig.3 Account mapping mechanism

如圖3 所示，當(dāng)賣家向自己的錢包賬戶中存儲(chǔ)代幣時(shí)，此一對(duì)多的賬戶匹配機(jī)制至少能給賣家提供兩種方式：創(chuàng)建一個(gè)新的賬戶并向該賬戶的錢包中存儲(chǔ)代幣；向原有賬戶的錢包存儲(chǔ)代幣。選擇哪種方式取決于賣家交易代幣的數(shù)量。

模型設(shè)置一個(gè)動(dòng)態(tài)隨機(jī)數(shù)B用于決定是否創(chuàng)建新的賬戶，B的設(shè)定由分布式預(yù)測(cè)函數(shù)T()生成。此動(dòng)態(tài)隨機(jī)數(shù)的設(shè)定主要是為了防止數(shù)據(jù)挖掘算法對(duì)隨機(jī)數(shù)的檢測(cè)。當(dāng)賣家所需存儲(chǔ)的交易代幣數(shù)量小于B，則將交易代幣存儲(chǔ)至已存在的賬戶錢包；當(dāng)存儲(chǔ)的交易代幣大于B時(shí)，模型就會(huì)創(chuàng)建一個(gè)新的賬戶，并將交易代幣存儲(chǔ)在該新建的賬戶中。在賬戶創(chuàng)建的過程中，有兩種模式可供選擇，定義為Mt和Mf，Mt表示創(chuàng)建新的賬戶進(jìn)行交易代幣的存儲(chǔ)，Mf表示賣家選擇原有賬戶的錢包進(jìn)行交易代幣的存儲(chǔ)。若由函數(shù)f()決定選取哪種模式。f(si，vi，Mt)指為賣家si的第i筆能源交易選取模式Mt，其中vi為賣家的第i筆能源交易量。

該機(jī)制的提出需要解決三個(gè)關(guān)鍵問題：

①隨機(jī)數(shù)該如何設(shè)置，即使隨機(jī)數(shù)能設(shè)置為一個(gè)動(dòng)態(tài)改變的變量，單一隨機(jī)數(shù)控制模式的選取能在一定程度上有效防御攻擊，但還是不足以抵御應(yīng)用數(shù)據(jù)挖掘算法發(fā)起的相關(guān)攻擊。攻擊者可以觀察區(qū)塊鏈里的共享交易記錄信息，并針對(duì)所獲取到的售電量等信息，猜測(cè)出賬戶與隨機(jī)數(shù)之間的關(guān)系，進(jìn)而發(fā)起攻擊。為了解決這一問題，本文使用分布式預(yù)測(cè)函數(shù)T()來對(duì)隨機(jī)數(shù)B的波動(dòng)范圍進(jìn)行控制。隨機(jī)數(shù)B源于賣家的歷史交易數(shù)據(jù)，是一個(gè)交易量預(yù)測(cè)值，而不是狀態(tài)變量。將經(jīng)過分布式預(yù)測(cè)函數(shù)T()所創(chuàng)建的預(yù)測(cè)值作為隨機(jī)數(shù)B，其數(shù)學(xué)表達(dá)式如式（2）所示：

其中：vi表示賣家第i筆能源交易量；Vi-1表示賣家si的前i-1筆能源交易量之和；e1和e2表示當(dāng)前能源交易量vi所占的權(quán)重值以及前i-1 筆平均能源交易量交易所占的權(quán)重值，范圍在(0，1)。賣家的總能源交易量是一個(gè)可以計(jì)算的值，使用Vi表示賣家Si的前i筆能源交易量之和，用式（3）表示：

②在相鄰的用戶交易過程中，有許多用戶很少或從不出售能源，新賬戶的創(chuàng)建會(huì)使得這些用戶的賬戶更加明顯，尤其是在一個(gè)小規(guī)模的環(huán)境中。因此，新賬戶創(chuàng)建的同時(shí)也需要對(duì)這些不活躍賬戶進(jìn)行隱藏。針對(duì)這一問題，模型通過虛擬賬戶的創(chuàng)建來對(duì)這些不活躍賬戶隱藏。模型將能源交易數(shù)額較少的賬戶標(biāo)記為不活躍賬戶，使用限制參數(shù)m來估計(jì)不活躍賬戶的狀態(tài)，任意賬戶累計(jì)交易量少于m的賬戶均屬于不活躍賬戶。同時(shí)，維持不活躍賬戶的個(gè)數(shù)所占的比例在一個(gè)固定的階段，使用n表示，范圍在(0，1)。定義賣家si所持賬戶為集合R=Ria∪Ra，其中Ria為不活躍賬戶集合，Ra為活躍賬戶集合。使用N表示賣家si所持賬戶總數(shù)，K表示不活躍賬戶個(gè)數(shù)在滿足式（4）時(shí)，模型將創(chuàng)建一個(gè)虛擬賬戶。

③針對(duì)f(si，vi，Mf)，什么時(shí)候需要選取Mf模式，即Mf模式下如何選擇賬戶。攻擊者對(duì)分布式共享賬本數(shù)據(jù)進(jìn)行分析整理，可以通過數(shù)據(jù)挖掘算法獲取賬戶的交易信息，還可以分析同一用戶所持賬戶之間的交易關(guān)系圖譜。為了解決這一問題，在Mf模式下選擇原有賬戶時(shí)，模型根據(jù)賬戶的創(chuàng)建時(shí)間先后順序，從不活躍賬戶中選擇創(chuàng)建最早的賬戶為當(dāng)前交易的賬戶。

賬戶匹配算法可以用以下偽代碼表示：

算法1 賬戶映射算法。

3 算例分析

為了分析模型的相關(guān)特點(diǎn)，在Ubuntu 16.04環(huán)境下，基于超級(jí)賬本（Hyper-ledger Fabric 1.0）技術(shù)建立了仿真平臺(tái)，硬件參數(shù)如下：16 GB 內(nèi)存，i5-6500 CPU 和GeForce GT 730 顯卡。實(shí)驗(yàn)基于一組相鄰用戶對(duì)隱私保護(hù)性能進(jìn)行對(duì)比分析，并將模型與比特幣交易模型所需的交易驗(yàn)證時(shí)間進(jìn)行對(duì)比分析。除此之外，還對(duì)模型的安全性進(jìn)行評(píng)估。

實(shí)驗(yàn)選取了500 個(gè)能源節(jié)點(diǎn)來部署智能電表與光伏發(fā)電機(jī)，測(cè)試使用與不使用模型時(shí)交易的分布和趨勢(shì)。其中，包含200個(gè)買方節(jié)點(diǎn)，200個(gè)售方節(jié)點(diǎn)，100個(gè)本地聚合商節(jié)點(diǎn)。圖4（a）描述了從買方節(jié)點(diǎn)和賣方節(jié)點(diǎn)中隨機(jī)選取的50 個(gè)相鄰用戶在同一個(gè)月的光伏發(fā)電機(jī)發(fā)電情況，定義為A 組。在圖4（a）中，有50個(gè)鄰居用戶，其平均收集電量為90.79 kW·h，范圍為［62，124］。圖4（b）顯示了相同用戶群體在同一月份的電量消耗情況。在圖4（b）中，平均能耗為80.31 kW·h，范圍為［52，115］。圖4（c）描述了從買方節(jié)點(diǎn)和賣方節(jié)點(diǎn)中隨機(jī)選取的100 個(gè)相鄰用戶在同一個(gè)月的光伏發(fā)電機(jī)發(fā)電情況，定義為B 組。由于附近的地理位置，收集電量相似。在圖4（c）中，有100個(gè)鄰居用戶，其平均收集電量為89.58 kW·h，范圍為［25，149］。相應(yīng)地，圖4（d）顯示了相同用戶群體在同一月份的電量消耗情況。在圖4（d）中，平均能耗為79.54 kW·h，范圍為［40，111］。

圖4 兩組能源的收集與消耗情況Fig.4 Energy collection and consumption of two groups

圖5 展示了與A 組同一時(shí)間段從原始交易記錄中檢索到的50 個(gè)相鄰用戶的能源銷售分布情況。在圖5 中，對(duì)這些明顯不同的售能數(shù)據(jù)進(jìn)行標(biāo)記，容易看出至少4 家賣家的銷售電量超出正常生活用電或遠(yuǎn)低于平均銷售電量。圖6 展示了與B 組同一時(shí)間段從原始交易記錄中檢索到的100 個(gè)相鄰用戶的能源銷售分布情況。在圖6 中，對(duì)這些明顯不同的售能數(shù)據(jù)進(jìn)行標(biāo)記，容易看出很多賣家的能源交易數(shù)量與其他賣家明顯不同?？梢员砻鬟@些用戶家里配置了較多的光伏發(fā)電機(jī)，或很少呆在家里，除去日常用電之外，還有大量的電量剩余。同時(shí)，還可以表明這些售電量較低的用戶家里配置了較多的電力設(shè)備。

圖5 與A組同時(shí)段檢索到的50個(gè)相鄰用戶的原始售能分布Fig.5 Original energy sales distribution of 50 neighboring users retrieved in the same time period as group A

圖7 和圖8 顯示了使用隨機(jī)數(shù)B來限制活躍賣家的能源銷售情況。在圖7中，模型為賣家創(chuàng)建了14個(gè)賬戶，其中新賬戶10個(gè)，虛擬賬戶4個(gè)。在圖8中，模型為賣家創(chuàng)建了45個(gè)賬戶，其中新賬戶38 個(gè)，虛擬賬戶7 個(gè)。容易看出，模型不僅為活躍賣家創(chuàng)建了新的賬戶，這些創(chuàng)建出的新賬戶可以屏蔽鄰近賬戶的分布，這在很大程度上保護(hù)了賣家的隱私。此外，模型也為不活躍的賣家創(chuàng)建了虛擬賬戶，其中虛擬賬戶為銷售能量為0 的賬戶。實(shí)驗(yàn)結(jié)果表明模型可以從整體上對(duì)賣家的售能分布情況進(jìn)行隱藏，提高用戶的隱私保護(hù)性能。

圖6 與B組同時(shí)段檢索到的100個(gè)相鄰用戶的原始售能分布Fig.6 Original energy sales distribution of 50 neighboring users retrieved in the same time period as group B

圖7 與A組同時(shí)段檢索到的50個(gè)相鄰用戶使用模型后的售能分布Fig.7 Energy sales distribution after using model of 50 neighboring users retrieved in the same time period as group A

圖8 與B組同時(shí)段檢索到的100個(gè)相鄰用戶使用模型后的售能分布Fig.8 Energy sales distribution after using model of 100 neighboring users retrieved in the same time period as group B

在比特幣交易模型中，交易驗(yàn)證時(shí)間需要60 min［16］，當(dāng)能源交易的次數(shù)增加時(shí)，需要花費(fèi)的交易驗(yàn)證時(shí)間高于基于聯(lián)盟鏈區(qū)塊鏈的安全能源交易模型的交易驗(yàn)證時(shí)間。針對(duì)模型的交易性能，實(shí)驗(yàn)設(shè)定一個(gè)本地聚合商完成交易驗(yàn)證所需的時(shí)間為10 min、每小時(shí)的能源交易次數(shù)為｛1，2，3，4，5｝，并從100個(gè)本地聚合商中隨機(jī)選取40個(gè)節(jié)點(diǎn)，觀察4 h內(nèi)在比特幣交易模型和基于聯(lián)盟鏈區(qū)塊鏈的安全能源交易模型下的交易驗(yàn)證時(shí)間變化。其中，交易驗(yàn)證時(shí)間是指本地聚合商完成能源交易共識(shí)的時(shí)間。

如圖9 所示，與比特幣交易模型相比較，基于聯(lián)盟鏈區(qū)塊鏈的安全能源交易模型在應(yīng)用于能源交易時(shí)，具有較低的交易驗(yàn)證時(shí)間，這是由于交易的共識(shí)過程均由本地聚合商執(zhí)行，達(dá)成共識(shí)的時(shí)間更少，故在同等時(shí)間下，本文模型的能源節(jié)點(diǎn)在區(qū)塊鏈上持續(xù)進(jìn)行能源交易所花費(fèi)的時(shí)間更少。實(shí)驗(yàn)結(jié)果表明，基于聯(lián)盟鏈區(qū)塊鏈的安全能源交易模型支持快速的能源交易。

圖9 兩種交易模型交易速度對(duì)比Fig.9 Transaction speed comparison of two transaction models

不同于傳統(tǒng)的通信安全和隱私保護(hù)，基于聯(lián)盟鏈區(qū)塊鏈的安全能源交易模型使用聯(lián)盟區(qū)塊鏈技術(shù)來確保能源交易的安全性，與區(qū)塊鏈相關(guān)的安全性分析主要包括三個(gè)方面［18］：1）可信中介的去除。不同于傳統(tǒng)依賴可信中介的集中式交易，經(jīng)監(jiān)管中心注冊(cè)的能源節(jié)點(diǎn)以點(diǎn)對(duì)點(diǎn)的方式交易能源，所有能源節(jié)點(diǎn)接入經(jīng)授權(quán)的本地聚合商進(jìn)行能源交易，各能源節(jié)點(diǎn)具有平等的交易權(quán)。在沒有可信中介機(jī)構(gòu)參與的情況下，模型是安全且可信的。2）賬戶安全。由于每個(gè)用戶都持有多個(gè)交易賬戶，攻擊者不能使用數(shù)據(jù)挖掘相關(guān)的算法來分析區(qū)塊鏈中共享數(shù)據(jù)與用戶的關(guān)系，賬戶的安全能得到有效的保障。3）交易驗(yàn)證安全。所有交易數(shù)據(jù)均由其他本地聚合商公開驗(yàn)證。由于巨大的成本開銷，惡意節(jié)點(diǎn)難以篡改交易數(shù)據(jù)。即使惡意節(jié)點(diǎn)篡改了交易數(shù)據(jù)，在構(gòu)造區(qū)塊之前，就會(huì)查找并糾正經(jīng)篡改交易數(shù)據(jù)。綜上所述，可認(rèn)為模型是安全的。

4 結(jié)語

本文主要對(duì)鄰近能源互聯(lián)網(wǎng)交易的隱私保護(hù)進(jìn)行研究：借助聯(lián)盟區(qū)塊鏈技術(shù)提出了一種能保護(hù)用戶隱私的能源互聯(lián)網(wǎng)交易模型，并討論了模型在隱私保護(hù)性能、安全性、交易效率等方面的優(yōu)缺點(diǎn)。實(shí)驗(yàn)結(jié)果表明，聯(lián)盟區(qū)塊鏈結(jié)合能源互聯(lián)網(wǎng)能在不影響交易性能的情況下，有效防止攻擊者直接獲取和分析交易信息。同時(shí)表明，本文方案能夠較好地應(yīng)用在能源互聯(lián)網(wǎng)場(chǎng)景。

區(qū)塊鏈技術(shù)作為一種多方參與、多方維護(hù)的新興技術(shù)，雖然能實(shí)時(shí)追溯交易記錄，但用戶自身的賬戶信息在傳播過程中也會(huì)存在人為泄露的安全問題。未來將結(jié)合代理重加密、同態(tài)加密等密碼學(xué)技術(shù)保護(hù)用戶隱私信息。