王姝妤，陳建偉,張楨萍

(1.福建師范大學(xué)計算機與網(wǎng)絡(luò)空間安全學(xué)院，福建 福州 350117；2.福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點實驗室，福建 福州 350117；3.福建師范大學(xué)數(shù)字福建大數(shù)據(jù)安全技術(shù)研究所，福建 福州 350117)

智能電網(wǎng)作為下一代電網(wǎng)，通過整合先進的信息處理和通信技術(shù)，提供高效、智能的電力信息交換，最大限度地提高能源使用效率，滿足現(xiàn)代人生活的需求[1-2]．電力不能像其他自然資源那樣易于存儲，因而電力供應(yīng)商需要實時分析電力的需求和消耗，以實現(xiàn)可靠且經(jīng)濟的電力分配．智能電網(wǎng)中智能電表定期測量和報告用電量，這有助于更好地檢測、控制和預(yù)測電力消耗，從而節(jié)省電力供應(yīng)商和消費者的成本[3]．

智能電網(wǎng)給人們生活帶來便利的同時，周期性的電量數(shù)據(jù)收集也引發(fā)了人們對隱私泄露的擔憂[4-5]．細粒度的電量數(shù)據(jù)可以推斷出用戶是否在家，電器使用狀況，甚至他們的日常生活習慣等等．谷歌曾推出一項名為Powermeter的服務(wù)[6]，訂閱該服務(wù)的用戶可以接收到自家安裝的智能電表的實時使用統(tǒng)計數(shù)據(jù)，并以可視化定制網(wǎng)頁的形式展現(xiàn)出來．但這也使得用戶感到深深的擔憂，第三方統(tǒng)計電量數(shù)據(jù)可能會侵犯到用戶的個人隱私．因此，如何保護用戶隱私是一個重要的研究課題．

近年來，智能電網(wǎng)中的隱私保護數(shù)據(jù)聚合應(yīng)用[7-9]受到了許多研究者的關(guān)注．基于此模式已有很多數(shù)據(jù)聚合方案[10-20]被提出，但仍然存在一些問題．文獻[10-14]采用Paillier同態(tài)加密算法對智能電表提交的電量數(shù)據(jù)進行聚合計算，而不泄露單個電量數(shù)據(jù)，保護了用戶的隱私，但Paillier同態(tài)加密算法需要較大的計算開銷．文獻[15-19]采用掩碼的方式或者ECC橢圓曲線加密方案來對智能電表的電量數(shù)據(jù)進行聚合計算，提高了計算和通信效率．然而，這些方案沒有對智能電表和聚合器的身份進行驗證，無法確保聚合的電量數(shù)據(jù)正確性以及接收方身份的合法性．文獻[20-22]在數(shù)據(jù)聚合方案中對智能電表和聚合器的身份進行了驗證，但是這些方案都需要依賴于一個可信權(quán)威中心，而在實踐中找到一個讓所有用戶都信任的權(quán)威中心是不容易的．此外，上述方案[10-22]也難以抵抗系統(tǒng)實體對象間的合謀攻擊．

為了應(yīng)對上述挑戰(zhàn)問題，本文提出了一種輕量級的隱私保護數(shù)據(jù)聚合方案．該方案首先采用基于雙線性對的IDMAKE2協(xié)議對聚合器和智能電表進行身份驗證；然后利用加法同態(tài)加密算法加密電量數(shù)據(jù)保證用戶的隱私性；同時，使用Boneh-Lynn-Shacham簽名算法[23]來確保數(shù)據(jù)的完整性．此外，方案不依賴可信權(quán)威中心，并且可以抵抗內(nèi)部實體對象間的合謀攻擊．

1 預(yù)備知識

1.1 加法同態(tài)加密

本文方案采用了一個有效的加法同態(tài)加密算法[24]，它主要由以下3個部分組成.

(1)加密.對明文m[0，S-1]進行加密，其中S為模，選擇一個加密密鑰K[0，S-1]，計算密文c為

c=EncK(m)=m+KmodS.

(2)解密.給定密文c及其加密密鑰K，執(zhí)行即可得到明文

m=DecK(m)=c-KmodS.

(3)加法同態(tài).設(shè)，c1=EncK1(m1),c2=EncK2(m2)，K=K1+K2modS，將密文聚合得到m1+m2的密文

C=EncK1(m1)+EncK2(m2)=EncK(m1+m2).

1.2 基于口令認證的密鑰協(xié)商協(xié)議

基于口令認證的密鑰協(xié)商協(xié)議(PAKE)最早是由Bellovin和Merritt[25]提出的．在該協(xié)議中，如果2個實體對象擁有相同的密碼，它們將生成1個共同的會話密鑰，如果密碼不同，則任何人都不能從該協(xié)議的輸出中獲得關(guān)于另一個人的密碼的任何信息．在此基礎(chǔ)上，其他人提出了一些提高PAKE安全性的協(xié)議[26-27]，本文采用文獻[26]中提出的IDMAKE2協(xié)議來為本方案提供驗證，這是一個基于雙線性對的密鑰協(xié)議．

1.3 雙線性對

(2)非退化性.存在u,v∈K，使得e(u,v)≠1.

(3)可計算性.給定任意的u,v∈G，存在有效的多項式時間算法來計算e(u,v).

2 模型和設(shè)計目標

2.1 系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示，其中主要包含3種實體對象：在相應(yīng)的家庭區(qū)域網(wǎng)絡(luò)(HANs)中的眾多智能電表(SM)、第三方聚合器(TPA)和電力中心(EPC)，HANs內(nèi)部的SM之間通過安全信道進行通信．

圖1 系統(tǒng)模型Fig.1 System model

(1)SM是EPC在HANs中為每個用戶安裝的智能設(shè)備．它計量用戶消耗的電量數(shù)據(jù)，并對電量數(shù)據(jù)進行加密處理，發(fā)送給TPA．

(2)TPA將EPC下發(fā)的收集指令轉(zhuǎn)發(fā)給每個SM，另一方面，TPA聚合來自不同SM的加密數(shù)據(jù)，并將聚合數(shù)據(jù)轉(zhuǎn)發(fā)給EPC．

(3)EPC負責收集、處理和分析SM上傳的電量數(shù)據(jù)，通過這些數(shù)據(jù)來優(yōu)化配電策略．為了實現(xiàn)安全通信，EPC必須驗證TPA和每個SM的身份，并生成相應(yīng)的會話密鑰．

2.2 安全模型

本文采用“半誠實”的安全模型，即假設(shè)所有實體對象都是“誠實且好奇的”．智能電網(wǎng)系統(tǒng)可能會面臨內(nèi)部和外部攻擊．

(1)外部攻擊.外部攻擊者可以竊聽通信通道，試圖通過監(jiān)聽信道流量和信息來推斷用戶的私人數(shù)據(jù)．或進行偽造攻擊，即偽造和修改用戶的私人數(shù)據(jù)．

(2)內(nèi)部攻擊.本文假設(shè)任何SM都不信任其他實體對象(如其他SM、TPA或者EPC)．因此，一些實體對象可能會通過合謀來推斷其他合法SM的私人數(shù)據(jù)，從而產(chǎn)生3種合謀的情況：①SM之間合謀．②SM與TPA合謀．③EPC與TPA合謀．假設(shè)最多有N-2個SM會參與合謀，否則它們可以直接推斷模型中其他合法SM的私人數(shù)據(jù)．

2.3 設(shè)計目標

本文將在智能電網(wǎng)的背景下提出一個隱私保護的數(shù)據(jù)聚合方案，其包含以下目標.

(1)隱私性.一個安全的數(shù)據(jù)聚合方案應(yīng)該保證用戶數(shù)據(jù)的私密性．必須確保攻擊者無法獲得用戶的隱私．

(2)驗證性.任何設(shè)備在加入系統(tǒng)前都要由EPC對其身份的合法性進行驗證，以防止攻擊者可能會偽裝成合法用戶發(fā)送非法數(shù)據(jù)．

(3)抗合謀.本文方案應(yīng)該抗合謀攻擊，即防止不受信任的實體對象可能會通過合謀來推斷其他合法SM的電量數(shù)據(jù)．

(4)完整性.本文方案要保證電量數(shù)據(jù)的完整性．數(shù)據(jù)都是在公共通道傳輸?shù)?，因此必須驗證數(shù)據(jù)在傳輸過程中是否遭到篡改．

3 提出方案

這一節(jié)將詳細描述本文提出的方案．表1給出了方案使用的主要符號及其含義．

表1 主要符號及其含義Tab.1 List of main notations

3.1 系統(tǒng)初始化

3.1.1 系統(tǒng)參數(shù)生成

EPC生成并發(fā)布系統(tǒng)參數(shù)，步驟如下：

步驟2：EPC為了驗證TPA和SMi的身份，根據(jù)TPA的IDTPA和SMi的IDi，使用系統(tǒng)主密鑰KEPC分別計算相應(yīng)的私鑰和公鑰：skTPA=KEPC·pkTPA,pkTPA=H2(IDTPA)和ski=KEPC·pki，pki=H2(IDi)．

步驟3：EPC選擇一個數(shù)字S>N·{mi}max作為加法同態(tài)加密的模數(shù)，根據(jù)歷史數(shù)據(jù)其可以是一個經(jīng)驗值．

步驟4：EPC公開系統(tǒng)參數(shù){G，GT，l，q，e，P，Ppub，H1，H2，S}，KEPC作為系統(tǒng)主密鑰由EPC保存，分別發(fā)送(skTPA，pkTPA)和(ski，pki)給TPA和SMi．

3.1.2 共享密鑰協(xié)商

每個用戶(Ui∈U)生成N-1個共享密鑰{ri,1,ri,2,…,ri,i-1,ri,i+1,…,ri,N}，每個共享密鑰都小于S，并安全地分發(fā)給相應(yīng)的用戶．與此同時用戶Ui還接受其他用戶分發(fā)的共享密鑰(數(shù)量為N-1){r1,i,r2,i,…,ri-1,ri+1,…,rN,i}，最終用戶Ui得到的共享密鑰集為{ri,1,ri,2,…,ri,i-1,ri,i+1,…,ri,N;r1,i,r2,i,…,ri-1，i,ri+1,i,…,rN,i}.

3.2 身份驗證

3.2.1 TPA身份驗證

EPC對TPA進行身份驗證，圖2展示了這一過程，具體步驟如下:

圖2 TPA身份驗證過程Fig.2 TPA identity authentication process

步驟3：EPC選擇一個隨機數(shù)NTPA，并計算KPAT=DTPA·KEPC和AuthTPA=H1(IDTPA,NTPA,Ppub,DTPA,E,KPAT)．然后，EPC發(fā)送(NTPA-AuthTPA)給TPA．

步驟5：驗證成功后，TPA和EPC建立會話密鑰KT-E=H1(NTPA,DTPA,E,KTPA)=H1(NTPA,DTPA,E,KPAT).

3.2.2 SMi身份驗證

EPC對SMi進行身份驗證(圖3)，具體步驟如下:

步驟3：EPC為SMi選擇一個隨機數(shù)Ni，并計算KIDi=Di·KEPC和AuthIDi=H1(IDi,Ni,Ppub,Di,Fi,KIDi)．然后，EPC根據(jù)每個用戶的IDi，分別發(fā)送(Ni,AuthIDi)給相應(yīng)的SMi．

圖3 SMi身份驗證過程Fig.3 SMi identity authentication process

3.3 收集指令下發(fā)

身份驗證完成后，EPC為了解用戶用電需求，生成收集指令并發(fā)送給每個SM．

步驟2：TPA接收到{Vi}后，提取β并計算ε=H2(KT-E‖AuthTPA‖β),并根據(jù)IDi將Vi分配給相應(yīng)的SMi．

3.4 數(shù)據(jù)收集

SMi接受指令后，對電量數(shù)據(jù)mi進行加密并生成簽名，然后將加密后的數(shù)據(jù)發(fā)送給TPA．

Ci=Encki(mi)=zi+mi+RimodS.

(1)

步驟3：SMi將數(shù)據(jù)報告{Ci，IDi，TS，σi，PKi}發(fā)送給TPA．

3.5 數(shù)據(jù)聚合

在這個階段TPA驗證并聚合SMi發(fā)送的密文Ci．具體步驟如下:

步驟1：在TPA接收到SMi發(fā)送的數(shù)據(jù)報告后，TPA首先執(zhí)行批驗證來驗證接收到的簽名，即驗證下列公式：

(2)

如果式(2)成立，這意味著簽名是有效的．公式推導(dǎo)過程如下

步驟2：如果簽名驗證成功，TPA對所獲得的密文Ci進行聚合，并獲得聚合后的數(shù)據(jù)

(3)

步驟3：TPA生成簽名σTPA=H2(C‖KT-E‖TS‖，其中TS表示當前時間戳．

步驟4：TPA將數(shù)據(jù)報告{C，TS，σTPA}發(fā)送給EPC．

3.6 數(shù)據(jù)解密

收到TPA發(fā)送來的數(shù)據(jù)報告后，EPC通過以下步驟來解密聚合密文：

圖4 舉例說明Fig.4 Illustration

(4)

4 安全分析

本節(jié)將證明本文方案能實現(xiàn)第2節(jié)所提出的設(shè)計目標．

4.1 安全身份驗證

在本文方案系統(tǒng)初始化階段，EPC采用系統(tǒng)主密鑰KEPC分別計算TPA和SMi的私鑰和公鑰skTPA=KEPC·pkTPA，pkTPA=H2(IDTPA)和，ski=KEPC·pki，pki=H2(IDi),用于后續(xù)的身份驗證．

因此，本文方案采用的IDMAKE2協(xié)議可以提供安全的身份驗證，通過EPC驗證TPA和SM身份的合法性，可以檢測到來自惡意未經(jīng)驗證的SM的非法數(shù)據(jù)．

4.2 數(shù)據(jù)的隱私性

此外，由上面的分析可知加密密鑰Ri是SMi與其他所有SM交互后產(chǎn)生的，zi也是由EPC產(chǎn)生并根據(jù)SMi的會話密鑰加密傳輸?shù)模捎谕獠抗粽邿o法同時妥協(xié)系統(tǒng)中所有的SM，即外部攻擊者無法獲得目標SMi的所有共享密鑰rj,i和zi，所以他無法恢復(fù)目標SMi的電量數(shù)據(jù)．

4.3 抗合謀

系統(tǒng)中實體對象可能會通過合謀來推斷其他合法SM的電量數(shù)據(jù)．設(shè)U′為k個參與合謀SM的集合，2≤k≤N-2．

定理1U′無法推斷出其他合法SM的電量數(shù)據(jù)．

定理2EPC與U′合謀無法推斷出其他合法SM的電量數(shù)據(jù)．

定理3EPC與TPA合謀無法推斷出任何SM的電量數(shù)據(jù)．

證明 EPC與TPA合謀，EPC可以獲得單個SMi的加密數(shù)據(jù)Ci=zi+mi+Ri，TPA可以獲得SMi的zi，但由于無法獲知Ri，無法推斷出任何SM的電量數(shù)據(jù)．

4.4 數(shù)據(jù)的完整性

SMi使用對應(yīng)的私鑰SKi和ε生成簽名σi，TPA使用KT-E生成簽名σTPA．由于攻擊者不知道SKi、ε和KT-E，所以無法生成正確的信息．因此，本文方案可以保證所有用戶的私人數(shù)據(jù)完整性以及合法性．

4.5 安全特性比較

為了分析本文方案安全特性，本節(jié)考慮在身份驗證、用戶隱私、無可信權(quán)威中心、數(shù)據(jù)完整性、輕量級聚合等方面與4個在智能電網(wǎng)領(lǐng)域中具有代表性的隱私保護數(shù)據(jù)聚合方案(如表2所示)進行比較．本文方案可以確保表2中列出的所有安全目標，而其余方案只能保證其中的一部分．例如，在文獻[15]、[19]和[28]方案中，當數(shù)據(jù)聚合時，不驗證SM的身份和合法性．一個不受信任或非法的SM可能偽造數(shù)據(jù)，這將導(dǎo)致聚合結(jié)果不準確．

表2 與相關(guān)方案進行安全特性的比較Tab.2 Security comparison of related schemes

5 性能分析

本節(jié)從計算開銷和通信開銷兩方面對所提出的方案進行性能分析，并將其與文獻[14]中基于Paillier的方案(稱為PDAFT)和文獻[19]中基于ECC的方案(稱為P2MDA)進行比較．仿真實驗在一臺Intel Core i5-1135G7的CPU、16GB的內(nèi)存、安裝有Windows 10系統(tǒng)的筆記本電腦上進行，并使用Java中的JPBC函數(shù)庫構(gòu)造加密函數(shù)．在實驗對比中，設(shè)定SM的數(shù)量N從100逐步增加到400，Paillier加密中的質(zhì)數(shù)長度、本文方案中的模S都為512 bits，ECC方案中的G長度為160 bits，并通過操作運行時間來衡量計算開銷，一些操作的運行時間如表3所示，對于一些簡單的操作(例如：加法、減法操作)可忽略不計．為了減少對比誤差，實驗取值均為1 000次實驗結(jié)果的平均值．

表3 主要操作的運行時間Tab.3 Running time of main operations

5.1 計算開銷

表4給出了3種方案在不同階段的計算開銷對比．

表4 計算開銷對比Tab.4 Comparison of computational overhead

在數(shù)據(jù)收集階段，本文方案中SM生成數(shù)據(jù)報告的計算開銷為2Tm+TH2．在P2MDA方案中，SM使用ECC橢圓曲線加密算法加密電量數(shù)據(jù)并生成簽名，產(chǎn)生的計算開銷為4Tecc．在PDAFT方案中，SM使用Paillier同態(tài)加密算法加密得到密文，產(chǎn)生的計算開銷為TE．

在數(shù)據(jù)聚集階段，3種方案中的EPC或者CC的計算開銷為如下：在本文方案中，EPC需要一個哈希函數(shù)驗證簽名，解密為減法操作可忽略不計，計算開銷為TH2．在P2MDA方案中，CC需要4個ECC中的縮放乘法運算，計算開銷為4Tecc．在PDAFT方案中，CC需要一個Paillier解密操作，計算開銷為TD．

從表4可以看出，與P2MDA方案和PDAFT方案相比，本文方案的計算開銷有較為明顯的優(yōu)勢．

5.2 通信開銷

圖5 通信開銷對比Fig.5 Comparison of communication overhead

所有方案的主要通信開銷由SM與TPA(或者SM與GW)之間和TPA與EPC(或者GW與CC)之間的通信開銷組成．為了便于比較，設(shè)IDi和TS的大小為64 bits，哈希函數(shù)H2O為160 bits．在本文方案中，SM發(fā)送{Ci，IDi，TS，σi，Wi}給TPA，SM與TPA之間的通信開銷為512+64+160+160=896 bits．TPA發(fā)送{C,TS,σTPS}給EPC，TPA與EPC之間的通信開銷為512+32+160=704 bits．因此，當有N個SM時總通信開銷是896N+704 bits．在方案P2MDA中，SM發(fā)送{C1，i，C2，i，IDi，Li，vi，T}給GW，SM與GW之間的通信開銷為160+160+32+160+160+32=704 bits．GW發(fā)送{C1，C2，IDGW，LGW，vGW，T}給CC，GW與CC之間的通信開銷為160+160+32+160+160+32=704 bits．因此，當有N個SM時總通信開銷是704N+704 bits．在方案PDAFT中，SM發(fā)送Cr給GW，SM與GW之間的通信開銷為2 048 bits．GW發(fā)送Cr給CC，GW與CC之間的通信開銷為2 048 bits．因此，當有N個SM時總通信開銷是2 048N+2 048 bits．圖5顯示了3種方案的通信開銷對比情況．從圖5可以看出，本文方案的通信開銷比PDAFT低，比P2MDA略高．當N=400時，本文方案比PDAFT低56.34%，比P2MDA高21.38%．之所以本文方案通信開銷比P2MDA高，是因為本文方案為了抗合謀攻擊需要更大的密鑰空間，導(dǎo)致通信量增加，而P2MDA沒有抗合謀攻擊的功能．

6 結(jié)論

本文設(shè)計了一種輕量級的隱私保護數(shù)據(jù)聚合方案．該方案采用基于雙線性對的IDMAKE2協(xié)議和加法同態(tài)加密算法，實現(xiàn)了參與對象的身份驗證，用戶數(shù)據(jù)的隱私保護和電量數(shù)據(jù)的高效聚合．此外，本文方案不需要可信權(quán)威中心，并且可以抵抗合謀攻擊．安全分析和性能實驗表明該方案能夠很好地滿足設(shè)計目標的要求．