應(yīng)杰耀

(1.浙江大學(xué) 軟件學(xué)院，浙江 寧波 315048；2.國網(wǎng)浙江省電力有限公司 嘉興供電公司，浙江 嘉興 314000)

隨著計算機、通信和電力等多種技術(shù)的持續(xù)發(fā)展，智能電網(wǎng)逐漸取代傳統(tǒng)的電力網(wǎng)絡(luò)，實現(xiàn)了具有高可靠性、高效率和高穩(wěn)定性的電力分配與傳輸系統(tǒng)[1-3]?；谏鲜鰞?yōu)點，智能電網(wǎng)獲得了廣泛的關(guān)注與應(yīng)用，基本實現(xiàn)了電力網(wǎng)絡(luò)數(shù)據(jù)的分布化、信息化與自動化。在實際應(yīng)用過程中，智能電網(wǎng)需要實時地交流雙向的能耗信息，這導(dǎo)致電能企業(yè)和終端用戶面臨國家經(jīng)濟數(shù)據(jù)與個人隱私泄露的風(fēng)險。在智能電網(wǎng)的系統(tǒng)結(jié)構(gòu)中，電能生產(chǎn)端及傳輸端具有重要地位。其核心數(shù)據(jù)包含電力設(shè)備的控制權(quán)限、工作狀態(tài)與系統(tǒng)架構(gòu)等，詳細(xì)的電力大數(shù)據(jù)信息能夠反映出下游行業(yè)和終端用戶的用電情況，因此這些數(shù)據(jù)信息將直接關(guān)系到國家的經(jīng)濟、軍事和金融安全。而在智能電網(wǎng)的具體微觀應(yīng)用中，終端用戶個人的一系列能效數(shù)據(jù)可以精準(zhǔn)地映射出私人信息與日常活動，從而造成嚴(yán)重的個人隱私暴露?？傊鳛樾滦偷碾娏W(wǎng)絡(luò)技術(shù)，智能電網(wǎng)為人類生活提供了便利，但同時該系統(tǒng)的數(shù)據(jù)安全問題也存在較大的隱患。

為了避免智能電網(wǎng)中的數(shù)據(jù)被攻擊者竊取及破壞，國內(nèi)外學(xué)者在物聯(lián)網(wǎng)技術(shù)的基礎(chǔ)上，曾提出了眾多具有較高參考意義和推廣價值的工作。文獻[4]首次在電網(wǎng)的數(shù)據(jù)安全風(fēng)險評估中引入了數(shù)據(jù)庫管理系統(tǒng)，利用計算機技術(shù)優(yōu)化了電網(wǎng)系統(tǒng)的安全性能。文獻[5]通過批判性地回顧電網(wǎng)的可靠性研究，提出具有網(wǎng)格結(jié)構(gòu)的IT(Information Technology)體系框架，從而實現(xiàn)毫秒級的監(jiān)視及控制功能的智能電網(wǎng)結(jié)構(gòu)。文獻[6]通過討論智能電網(wǎng)中的可信計算和公鑰計算等多項關(guān)鍵技術(shù)與基礎(chǔ)設(shè)施，指出經(jīng)過驗證的最新信息安全技術(shù)，提出了未來智能電網(wǎng)可靠性研究的發(fā)展方向。從電力供應(yīng)端和使用端等方面，本文分析了智能電網(wǎng)可靠性的研究現(xiàn)狀，探討了其數(shù)據(jù)安全研究所面臨的主要問題，也對未來研究方向進行了展望。

1 智能電網(wǎng)的攻擊類型

智能電網(wǎng)是一種綜合傳感測量、設(shè)備遠(yuǎn)程控制、決策支持系統(tǒng)和高速通信等多種先進技術(shù)的電網(wǎng)系統(tǒng)，由變電站、配電網(wǎng)、電能表、交互終端與儲能系統(tǒng)等多種智能子系統(tǒng)組成，其具體特點包括：可靠性、安全性、低成本及高效率等。

在時間和空間維度上，智能電網(wǎng)具有較高的復(fù)雜性。其通常由完整的電力系統(tǒng)及通信系統(tǒng)組成。其中電力系統(tǒng)是一種具有稀疏連接關(guān)系的復(fù)雜網(wǎng)絡(luò)，其網(wǎng)絡(luò)結(jié)構(gòu)具有較小的規(guī)模及高度的穩(wěn)定性，兼具小世界和無標(biāo)度網(wǎng)絡(luò)等特性。然而通信系統(tǒng)具有非常復(fù)雜的網(wǎng)絡(luò)架構(gòu)，其網(wǎng)絡(luò)結(jié)構(gòu)規(guī)模通常較大且穩(wěn)定性較低，是標(biāo)準(zhǔn)的無標(biāo)度網(wǎng)絡(luò)。換言之，智能電網(wǎng)中的電力網(wǎng)絡(luò)和通信網(wǎng)絡(luò)具有較大的差別，這直接導(dǎo)致整體系統(tǒng)較為脆弱，使單一系統(tǒng)出現(xiàn)較小的故障。若處理不及時，則會引起嚴(yán)重的級聯(lián)故障，導(dǎo)致大規(guī)模的停電，從而造成經(jīng)濟秩序的破壞及人身安全的威脅。鑒于這一點，攻擊者可利用豐富的網(wǎng)絡(luò)攻擊手段，干擾、破壞智能電網(wǎng)系統(tǒng)的正常運行。

目前，對智能電網(wǎng)的攻擊方法具有種類多、范圍廣和威力大等多種特點，按照攻擊對象的不同，所有攻擊可分為電力生產(chǎn)端、傳輸端及終端攻擊，進一步可細(xì)化為設(shè)備攻擊、數(shù)據(jù)攻擊、個人隱私攻擊與網(wǎng)絡(luò)攻擊：(1)設(shè)備攻擊利用電力設(shè)備計算能力較低、存儲空間較小級網(wǎng)絡(luò)傳輸延遲高等特點，從而竊取高密級的數(shù)據(jù)、獲取現(xiàn)場設(shè)備的控制權(quán)限，或是伺機破壞重要的網(wǎng)絡(luò)路由器等設(shè)施；(2)數(shù)據(jù)攻擊是指攻擊者在通信網(wǎng)絡(luò)的工作過程中，惡意篡改核心數(shù)據(jù)或控制命令，從而誤導(dǎo)電網(wǎng)工作人員做出失敗的決策；(3)個人隱私攻擊的主要對象是智能電表的終端用戶，即分析用戶的歷史用電數(shù)據(jù)和個人信息，進而實施竊電行為或?qū)嵤┢渌I(lǐng)域的犯罪與破壞行為；(4)網(wǎng)絡(luò)攻擊是指通過惡意耗費網(wǎng)絡(luò)的通信資源而徹底破壞電網(wǎng)數(shù)據(jù)通信的攻擊方法。以上這些攻擊方法均可對現(xiàn)有的智能電網(wǎng)造成破壞，本文僅對設(shè)備攻擊及個人隱私攻擊進行探討和研究。

2 虛假數(shù)據(jù)注入攻擊

目前，在所有的設(shè)備攻擊中，虛假數(shù)據(jù)注入攻擊是被廣泛關(guān)注與研究的攻擊方法之一。通常虛假數(shù)據(jù)注入攻擊是一種高度隱蔽的攻擊手段，且較容易通過電力系統(tǒng)的數(shù)據(jù)檢測，從而造成設(shè)備故障和經(jīng)濟損失。文獻[7]通過修改電力儀器的測量數(shù)值，導(dǎo)致電力系統(tǒng)的狀態(tài)估計產(chǎn)生較大的偏差，進而首次提出了虛假數(shù)據(jù)注入攻擊。文獻[8]和文獻[9]分別利用虛假數(shù)據(jù)注入攻擊，對電力的線路傳輸故障進行了掩蓋，從而攻擊市場運營系統(tǒng)，并大幅擴展虛假數(shù)據(jù)注入攻擊的攻擊范圍級攻擊方法。文獻[9]提出了抵抗虛假數(shù)據(jù)注入攻擊的整體防御彈性框架，即設(shè)計具有分布式結(jié)構(gòu)的能源框架和關(guān)鍵基礎(chǔ)設(shè)施。文獻[10]證明虛假數(shù)據(jù)注入攻擊能夠破壞電網(wǎng)系統(tǒng)的不穩(wěn)定性，同時破壞自動控制系統(tǒng)的實時數(shù)據(jù)，即文獻[10]首次在理論上證明虛假數(shù)據(jù)注入攻擊具有較強的可行性和破壞性。通過總結(jié)這些文獻可知，虛假數(shù)據(jù)注入攻擊突破了智能電網(wǎng)系統(tǒng)的不良數(shù)據(jù)檢測，從而將測量偏差數(shù)據(jù)加入到電網(wǎng)系統(tǒng)的狀態(tài)估計值中。

目前，對于虛假數(shù)據(jù)注入攻擊的研究主要集中在攻擊構(gòu)造、攻擊檢測和攻擊防御等3個方面的研究。

虛假數(shù)據(jù)注入攻擊的構(gòu)造研究需要尋找具有較大影響力的電網(wǎng)數(shù)據(jù)類型，其重點在于分析影響電網(wǎng)系統(tǒng)穩(wěn)定性的核心因素。其中，文獻[11]通過模擬自動發(fā)電控制系統(tǒng)的虛假數(shù)據(jù)注入攻擊，提出了系統(tǒng)頻率等多種影響因素。文獻[12]提出了具有屏蔽不良數(shù)據(jù)觀測的注入攻擊。文獻[13～14]分別提出了較高復(fù)雜度的惡意攻擊和重放攻擊，豐富了虛假數(shù)據(jù)注入攻擊的類型和方法。近年來，按照執(zhí)行條件的不同，虛假數(shù)據(jù)注入攻擊的構(gòu)造還可分為一定限制條件[15-17]、部分信息未知[18-20]和結(jié)構(gòu)可控[21-23]等多種情況。

虛假數(shù)據(jù)注入攻擊的檢測研究需要精準(zhǔn)地識別多種攻擊的算法或模型。按照具體的識別原理，虛假數(shù)據(jù)注入攻擊的檢測研究可分為基于圖論與距離的檢測方法和基于物理結(jié)構(gòu)的檢測方法等。在這些檢測方法中，利用圖論與距離完成虛假數(shù)據(jù)注入攻擊檢測的研究工作較多[24-29]，近年來具有代表性的工作主要有文獻[27～29]。文獻[24～26]分別引入了Kullback-Leibiler距離、馬爾科夫鏈和Petri網(wǎng)絡(luò)，實現(xiàn)虛假數(shù)據(jù)注入攻擊的檢測，進一步豐富虛假數(shù)據(jù)注入攻擊的檢測方法。文獻[27]首次從圖論的理論角度計算距離的概率分布，從而實現(xiàn)攻擊的檢測，但其檢測實驗仿真的成功率不夠穩(wěn)定。文獻[28]利用構(gòu)造網(wǎng)格系統(tǒng)與設(shè)計區(qū)間觀測器的方法，通過設(shè)置預(yù)計算閾值和自然檢測閾值，精準(zhǔn)地估計電網(wǎng)系統(tǒng)的內(nèi)部狀態(tài)及外部干擾，完成了虛假數(shù)據(jù)注入攻擊的精準(zhǔn)檢測，具有一定的參考價值和借鑒意義。文獻[29]通過引入測量矩陣和攻擊矩陣，順利地將虛假數(shù)據(jù)注入攻擊的檢測問題轉(zhuǎn)變?yōu)榫仃嚪蛛x問題，再利用低秩矩陣分解和立即分解等多種算法解決矩陣分離的核心問題。在攻擊檢測方法中，基于物理結(jié)構(gòu)信息的虛假數(shù)據(jù)注入攻擊檢測也涌現(xiàn)了一系列的代表性成果[30-32]。其中，文獻[30]在擴展卡爾曼濾波算法的基礎(chǔ)上，使用檢測數(shù)據(jù)獲取電網(wǎng)系統(tǒng)的實時運行狀態(tài)，從而實現(xiàn)虛假數(shù)據(jù)注入攻擊的檢測。文獻[31]采用分布式的分解方法，得到了電網(wǎng)系統(tǒng)中子網(wǎng)的最優(yōu)解，降低了檢測算法復(fù)雜度，具有一定的借鑒意義。文獻[32]通過引入微相量的測量單元實現(xiàn)設(shè)備數(shù)據(jù)的采集，訓(xùn)練得到具有瞬態(tài)級穩(wěn)態(tài)異常檢測功能的多元高斯模型，從而實現(xiàn)攻擊的精準(zhǔn)檢測。

為了抵抗虛假數(shù)據(jù)注入攻擊，大量學(xué)者也做出了較多高價值的研究工作[33-35]。文獻[33]充分利用電網(wǎng)系統(tǒng)的空間相關(guān)性，設(shè)計了具有修復(fù)功能的預(yù)測回復(fù)策略，從而避免智能電網(wǎng)遭受虛假數(shù)據(jù)注入攻擊。文獻[34]使用貪心算法規(guī)劃PMU布局，搜索具體的測量數(shù)據(jù)子集，實現(xiàn)更加隱蔽的虛假數(shù)據(jù)注入攻擊的防御。該方法優(yōu)化了攻擊的防御效率和準(zhǔn)確度。此外，在文獻[34]的基礎(chǔ)上，文獻[35]通過利用分布式算法，以更大的準(zhǔn)確度尋找攻擊執(zhí)行的位置，從而實現(xiàn)電網(wǎng)系統(tǒng)的防御，需要說明的是，這種方法也可以抵抗常見的拒絕服務(wù)攻擊。

3 針對智能電網(wǎng)的隱私保護

近年來，在所有攻擊方法中，竊取終端用戶的個人隱私攻擊是最常見的黑客攻擊手段，這也是熱點問題之一。但是鑒于個人隱私攻擊的性質(zhì)和屬性，目前對其攻擊方法的研究工作較少，對隱私保護的方案的研究較多。

為了抵抗智能電網(wǎng)中的個人隱私攻擊，研究者曾提出了眾多數(shù)據(jù)的保護方案。在這些保護方案中，采用數(shù)據(jù)采集的聚合方案較為少見[36-38]，此外，大量研究方案主要集中于同態(tài)加密的研究與應(yīng)用，這也是目前隱私保護的研究熱點和方向。

文獻[39～40]通過引入具有多種密碼學(xué)性質(zhì)的Paillier密碼體制，與智能電網(wǎng)的工作過程進行了充分地融合及寫作，實現(xiàn)較高安全強度的隱私保護方案，從而在多種條件下保證終端用戶的個人隱私。研究者曾嘗試通過借鑒多種公鑰同態(tài)加密方案，實現(xiàn)電網(wǎng)終端用戶的隱私保護。其中，通過移植BGN同態(tài)加密算法而實現(xiàn)隱私保護的工作可參考文獻[37～38]。文獻[41]在隱私保護中采用具有較大計算復(fù)雜度的格密碼算法，這些工作均有較高的理論深度且嘗試了智能電網(wǎng)的多種可能性。但需要指出的是，這些復(fù)雜度較高的算法能夠完美地實現(xiàn)信息的加密和解密。但是，由于智能電表的工作環(huán)境惡劣且計算資源欠缺，同時BGN算法和格密碼算法的計算成本較高，所以這些研究具有較優(yōu)的理論性與較差的實用價值。

為了進一步保護智能電網(wǎng)終端用戶的個人隱私，有研究提出基于數(shù)據(jù)加噪的方案[42-44]。這些方案能夠?qū)崿F(xiàn)對個人隱私的保護，其主要原理在于通過向智能電表的核心數(shù)據(jù)添加可以精準(zhǔn)控制的噪聲值，但攻擊者并不能獲取噪聲的生成方法，從而無法去除噪聲值，因此攻擊者難以獲取終端用戶的核心數(shù)據(jù)。文獻[43]通過引入值得信賴的獨立第三方，從而產(chǎn)生具體的數(shù)據(jù)噪聲，以較低的計算資源實現(xiàn)了個人隱私的保護，然而這種方法仍存在較大的問題。這主要表現(xiàn)在實際應(yīng)用中，方案實施者較難找到完全獨立可信的第三方，其噪聲生成方法存在泄漏的可能性，換言之，這種方案在理論上仍存在一定的缺陷與漏洞。此外，在第三方數(shù)據(jù)加噪方案[45-46]的基礎(chǔ)上，文獻[47]在數(shù)據(jù)噪聲方案中去除了第三方的參與，故噪聲生成方法需要多個用戶協(xié)商完成，并大幅提高了數(shù)據(jù)噪聲方案的安全性。然而，其依舊存在較大問題，盡管數(shù)據(jù)噪聲方案的安全性得到了提高。但該方案需要用戶協(xié)商，意味著用戶之間需要進行大量通信，這不僅導(dǎo)致用戶的通信成本大幅增加，且用戶間的通信也存在被攻擊者竊聽的隱患。

在智能電網(wǎng)數(shù)據(jù)采集過程中，攻擊者既可以竊取單個用戶的個人信息和用電數(shù)據(jù)，又能夠從多維度出發(fā)，搜集用戶不同類別的用電數(shù)據(jù)。對于該種攻擊問題，較多學(xué)者也提出了具有多維度的隱私保護方案，其代表性的工作主要有文獻[39，48～50]。其中，文獻[39]基于Paillier密碼算法提出了同態(tài)加密的具體方案，但因為一般的加密算法由不可信任的網(wǎng)關(guān)設(shè)備執(zhí)行，所以用戶的個人隱私同樣面臨較大的被竊取風(fēng)險。文獻[48]在橢圓曲線密碼體制的基礎(chǔ)上，提出了具有多維度特征的數(shù)據(jù)聚合方案。文獻[49]使用混淆的方法傳輸需要保密的用戶信息，這兩項研究方案均具有極高的安全性，然而這些方案均依賴不可信的第三方，從而降低了這兩項隱私保護方案的安全性與可行性。需要說明的是，文獻[50]吸取文獻[48～49]的經(jīng)驗教訓(xùn)，從隱私保護方案中剔除了具有安全風(fēng)險的可信第三方，然而該方案需要終端用戶執(zhí)行分布式的解密，難以解決用戶動態(tài)登錄及退出系統(tǒng)的問題。

4 結(jié)束語

針對智能電網(wǎng)中的數(shù)據(jù)安全問題，本文從設(shè)備攻擊和隱私攻擊的研究出發(fā)，深入探討、分析當(dāng)前多個問題的研究脈絡(luò)及發(fā)展方向。由文中分析可知：(1)在虛假數(shù)據(jù)注入攻擊的相關(guān)研究中，攻擊構(gòu)造和檢測問題的研究成果較多，從不同的角度均可對智能電網(wǎng)的設(shè)備數(shù)據(jù)造成極大地威脅。然而由于攻擊構(gòu)造與檢測的研究比較活躍，攻擊防御問題的研究則較為落后。其原因在于智能電網(wǎng)的實際環(huán)境與成熟的密碼學(xué)理論之間需要進行一定地修改，難以進行直接的匹配；(2)在隱私保護方面，終端用戶的個人隱私保護研究已取得了較為豐富的成果。然而如何在不依賴可信第三方的情況下，制定具有低計算復(fù)雜度的多維度隱私保護方案，仍是研究者們所面臨的困難問題。隨著通信、計算機和物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，對智能電網(wǎng)系統(tǒng)的各種攻擊層出不窮，海量的數(shù)據(jù)安全問題直接威脅著國家安全、經(jīng)濟安全、軍事安全及個人隱私。因此這一方向的研究具有重要的理論意義和實用價值，將對未來產(chǎn)生深遠(yuǎn)的影響。