摘 要：電力物聯(lián)網是一個智慧服務系統(tǒng)，為人們提供了狀態(tài)全面感知、信息高效處理、應用便捷靈活的服務，然而在享受服務的同時卻面臨著隱私泄露的風險。目前有關電力數據的隱私保護的成果主要集中在安全聚合，對于諸多基礎服務的核心技術（如KNN查詢）卻鮮有涉及。與傳統(tǒng)關系型數據不同的是，電力物聯(lián)網采集的是用戶用電的流數據，并且電力參數的各數據之間還具有動態(tài)相關性，攻擊者可以通過數據挖掘等手段推測未來數據的變化趨勢。為此，提出了一種具有隱私保護的KNN查詢方法。首先，提出了基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界；同時通過該模型，能將相似性度量轉換為集合的交操作；構造了一種隱私保護函數，通過代入不同參數，可為各智能終端生成不同的數據隱私保護函數和查詢隱私保護函數；在此基礎上，提出了基于桶劃分和隨機數分配的數據編碼方案，編碼數據經過隱私保護函數加密后，具有密文不可區(qū)分的特點，能有效抵抗選擇明文攻擊、數據挖掘攻擊、統(tǒng)計分析攻擊、ICA攻擊以及推理預測等攻擊手段。分析和仿真表明，提出的安全KNN查詢方法不僅具有較高的安全性，而且開銷較低。

關鍵詞： 電力物聯(lián)網；隱私保護；安全KNN查詢；邊緣服務器

中圖分類號： TP393文獻標志碼：A 文章編號： 1001－3695（2024）04－035－1198－10

doi： 10.19734/j.issn.1001－3695.2023.07.0342

Privacy－preserving KNN query method for streaming data in power Internet of Things

Yi Yeqing Yi Yingjie2， Liu Yunru Mao Yimin1

（1.School of Information Engineering， Shaoguan University， Shaoguan Guangdong 512005， China; 2.Shenzhen Institute for Advanced Study， University of Electronic amp; Technology of China （UESTC）， Shenzhen Guangdong 518038， China）

Abstract：The power Internet of Things （PIoT） is a smart service system that offers full－state awareness， efficient information processing， and convenient and flexible applications to users. However， these services also pose a risk of privacy leakage. The existing research on privacy protection of power data mainly concentrates on secure aggregation， but seldom addresses the core technology of many basic services， such as KNN query. Unlike traditional relational dat the PIoT collects flowing data of user electricity consumption， and thevarious power parameters exhibit dynamic correlations. Attackers can use data mining andother methods to infer future trends in data changes. Therefore， this paper proposed a privacy－preserving KNN query method. Firstly， it proposed a similarity measurement model based on bucket distance， and proved the upper and lower bounds of the error between the similarity measurement model based on bucket distance and the similarity measurement model based on Euclidean distance. Through this model， the similarity measurement could be transformed into set intersection operations. Then， it constructed a privacy－preserving function，which could generate different data privacy－preserving functions and query privacy－ preserving functions for various smart terminals by substituting different parameters. Based on this， it proposed a data encoding scheme based on bucket partitioning and random number allocation. After being encrypted by the privacy－preserving function， the encoded data possessed the characteristic of ciphertext indistinguishability， and could effectively resist various attacks such as chosen plaintext attacks， data mining attacks， statistical analysis attacks， ICA attacks， and inference prediction attacks. Analysis and simulation demonstrate that the proposed secure KNN query method not only has high security but also has low overhead. Key words：power Internet of Things（PIoT）; privacy protection; secure KNN query; edge server

0 引言

電力物聯(lián)網是一個智慧服務系統(tǒng)，充分利用了現(xiàn)代信息技術，如移動互聯(lián)和人工智能，以及先進通信技術，實現(xiàn)了電力系統(tǒng)各個環(huán)節(jié)的萬物互聯(lián)和人機交互， 具有全面感知電力系統(tǒng)狀態(tài)、高效處理信息和靈活便捷的應用特征。電力物聯(lián)網通過智能終端采集了大量用戶用電的細粒度的流數據傳送給云服務器，并通過分析數據中的潛在信息， 從而輔助智能系統(tǒng)作出精準的決策。電力物聯(lián)網不僅使電網變得更“聰明”，也能夠帶動更多相關產業(yè)產生協(xié)同效應，已被列為國家電網的建設重點，然而遺憾的是，電力物聯(lián)網在為人們的生活提供多種增值服務的同時，也帶來了一些隱私安全問題［ 2］。比如，用戶的用電數據經過一些有效的分析，可以從中獲得用戶的生活習慣、生產能力、用電行為模式等敏感信息，從而導致商業(yè)機密或用戶隱私的泄露。 近年來，隨著人們對隱私保護意識的不斷提高，相關的成果不斷地被報道。從公開報道的成果來看，有關電力數據隱私方面的成果主要是為了解決在不泄露隱私的情況下計算總/平均的用電量。主要的技術手段有匿名技術［3～6］、安全數據聚合技術［7～12］和擾動技術［13～20］三類，然而對于更加復雜的KNN查詢，目前尚未檢索到有關的文獻報道。電力物聯(lián)網內的數據通常是流數據，KNN查詢是電力物聯(lián)網諸多應用的核心技術，它將k個與查詢條件最為接近的對象作為查詢結果返回給用戶，廣泛地應用在隱患點查詢、故障點查詢、預測、事件檢測等［21］場景。盡管目前也有一些學者探索了具有隱私保護的KNN查詢［22～28］，但這些成果與電力物聯(lián)網的安全需求不匹配，難以直接將這些成果應用到電力物聯(lián)網之中。如何在電力物聯(lián)網中實現(xiàn)安全的KNN查詢，是一個具有挑戰(zhàn)性的難題，其難點如下：a）為了保護數據的隱私，智能終端（如智能電表、數據采集終端等） 在提交數據之前，需要對數據進行加密，再提交給就近的邊緣服務器，同時查詢條件也是一個重要的敏感數據，通常反映了用戶的關注焦點，控制中心必須對查詢條件進行加密并遞交給本地邊緣服務器，因此，在邊緣服務器這一層，本文需要解決如何用加密的查詢條件去查詢加密的數據；b）與傳統(tǒng)關系型數據不同的是，電力物聯(lián)網采集的是用戶用電的流數據，攻擊者可以通過數據挖掘等手段推測未來數據的變化趨勢，通常情況下電力物聯(lián)網內具有大量的重復數據，并且電力參數的各數據之間還具有動態(tài)相關性，這些容易被攻擊者利用，攻擊者能通過對重復數據的統(tǒng)計、數據挖掘、推理預測以及用戶用電的基本規(guī)律來窺探數據的隱私，這也是電力數據區(qū)別于其他數據的最為本質的特征；c）電力物聯(lián)網通常采用分布式邊緣計算的服務架構，數據分布式地存儲于邊緣服務器之上，與基于云計算的KNN查詢相比，其系統(tǒng)結構變得更加復雜。

為此，本文提出了一種面向電力物聯(lián)網流數據的具有隱私保護的KNN查詢方法，具體的貢獻包括：

針對難點a），本文提出了一種基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界，同時通過該模型，能將相似性度量問題轉換為集合的交操作；

針對難點b），提出了一種基于桶劃分與隨機數分配相結合的數據編碼方案，編碼數據經過隱私保護函數加密后，具有密文不可區(qū)分的特點，能有效抵抗選擇明文攻擊、數據挖掘攻擊、統(tǒng)計分析攻擊、ICA攻擊以及推理預測攻擊等各攻擊手段；

針對難點a）和c），提出了一種隱私保護函數，通過代入不同參數，可為各智能終端生成不同的數據隱私保護函數和查詢隱私保護函數，通過不同的隱私保護函數加密的數據能讓邊緣服務器在不知道真實查詢條件和數據的情況下依然能執(zhí)行集合的交操作。最后，形成了面向隱私保護的安全KNN查詢協(xié)議。

1 相關工作

1.1 電力物聯(lián)網中的數據隱私保護

匿名技術是電力物聯(lián)網中最早使用的隱私保護方法，該技術主要對用戶的標識信息進行刪除或修改，經過對標識信息的匿名化后的數據難以與用戶的身份建立聯(lián)系，從而達到了隱私保護的目的。用戶標識信息的匿名化通常情況下是通過可信第三方以及數字簽名等方法來實現(xiàn)。Efthymiou 等人［3］針對當前智能電網中用戶數據的敏感性和重要性，設計了一種第三方托管的架構，然后利用虛假的標識信息對用戶的敏感數據進行匿名化處理。Cheung等人［4］提出通過使用基于盲簽名原理的匿名化方案，其基本思路是用戶自己生成一組憑證，并請求控制中心對它們進行盲簽名，當用戶以后需要請求更多的數據時，需要向控制中心出示已簽名的憑證作為身份的證明。童云海等人［5］提出了一種保持身份標識屬性的K－匿名方法，它在保持隱私的同時進一步提高了信息有效性。 Ren等人［6］針對智能電表計算、存儲和通信能力受限的情況，提出了一種輕量級的保護隱私且可信的安全方案（稱為PASS），該方案一方面可以保證保護隱私的可信性，另一方面適合資源受限的智能電表。 安全數據聚合通常是指，社區(qū)內所有智能電表將實時采集的數據傳輸到網關進行聚合操作，得到了統(tǒng)計結果，然后網關將聚合結果發(fā)送給云服務器，云服務器得到的是整個社區(qū)總用戶的用電數據，安全聚合一方面能減少網絡傳輸量以及云的計算任務，另一方面可減少敏感數據泄露的可能。Liu等人［7］針對大多數現(xiàn)有的安全數據聚合方案依賴于一個可信的第三方（TTP）容易受到拒絕服務攻擊等問題，提出了一種無須TTP的實用的保護隱私的數據聚合方案，其中具有一定程度信任的用戶構建一個虛擬的聚合區(qū)域來掩蓋單個用戶的數據，同時聚合結果幾乎不會影響大規(guī)模應用中的數據效用。Jo等人［8］提出了一種輕量級的保護隱私的計量協(xié)議，通過設計一種分布式的認證方法來進一步提高消息認證過程的速度，在這項工作中，智能電表首先將被預置換加密密鑰，數據在發(fā)送前先用預置的密鑰進行加密，同時將原始簽名發(fā)送給服務器，使得攻擊者難以獲得敏感數據。Shen等人［9］提出了一種保護隱私的立方數據聚合方案，用于電力消耗。一個數據項被描述為一個多維數據結構（l維），用戶形成并居住在多個居住區(qū)域（m個區(qū)域，每個區(qū)域最多有n個用戶）?；诨艏{法則，對于每個用戶，構造一個用戶級多項式，用第一個霍納參數將維度值存儲在一個單一的數據空間中；再將第二個霍納參數嵌入到多項式中后，使用Paillier密碼系統(tǒng)來隱藏多項式。通過聚合m個區(qū)域的數據，將區(qū)域級多項式隱藏到最終的輸出之中。文獻［10～12］討論了如何使用安全數據聚合的思想解決電力物聯(lián)網中的數據隱私問題。

數據擾動技術也通常用于保護電力物聯(lián)網的數據隱私，其基本思想是通過向數據中加入一定量的噪聲，不僅能保全數據的效用性，也能有效地保護數據的隱私。數據擾動的隱私保護技術主要分為基于差分的隱私和基于時間擾動的隱私。于東等人［13］提出了一種面向數據發(fā)布的基于抽樣的過濾技術的差分隱私保護方法以及互信息評價機制，該方法首先利用Kakman過濾技術對擾動后的數據評估預測和修正，從而有效提高數據的效用性。Savi 等人［14］探討了智能電表數據的隱私泄露和效用之間的權衡問題，主要討論了構建定量指標來衡量每個電器的數據效用和隱私泄露，便于在數據操縱技術之間以及與BLH方案之間進行比較；其次是分別定量地探索了下采樣和噪聲添加所能實現(xiàn)的權衡；最后是評估了這兩種技術的組合在隱私保護方面的有效性。Zhang等人［15］提出了一種基于電池的差分隱私保護（BDP）方案，進一步通過擴展BDP方案，提出了兩種成本友好的差分隱私保護（CDP）方案，兩種CDP方案的隱私損失都比現(xiàn)有的工作小，同時兩種CDP方案具有更低的開銷。Lyu 等人［16］提出了一種新穎的保護隱私的智能計量系統(tǒng)，用于聚合分布式的智能電表數據，它解決了兩個重要的問題：a）個別用戶希望出于特定目的發(fā)布的敏感智能計量數據; b）一個不可信的聚集器旨在對聚合數據進行查詢。Wang等人［17］為了解決當前智能電表隱私保護方法對用戶用電行為保護不足的問題，提出了一種使用時間延遲擾動來干擾數據形狀的方法，在保證智能電表數據可用性的前提下，推導出了一個基于時間擾動的智能電表隱私保護模型，通過改變智能電表數據發(fā)布的時間點來達到數據安全性和可用性的平衡， 并采用非侵入式負載監(jiān)測算法來評估隱私安全性。文獻［18～ 20］同樣也使用差分隱私思路對數據進行擾動，從而實現(xiàn)對數據的隱私保護。

1.2 面向隱私保護的安全KNN查詢方法

到目前為止，具有隱私保護能力的KNN查詢主要集中在位置服務領域（location－based service），有關電力物聯(lián)網中的具有隱私保護的KNN查詢卻鮮有文獻涉及。賈金營等人［22］設計了一種利用經緯網格的遞增KNN位置隱私保護查詢算法，它將傳統(tǒng)的K－匿名算法和 SpaceTwist 算法結合起來，并用經緯網格替換了原本精確的位置信息并發(fā)送給集中匿名器，從而實現(xiàn)了隱私保護的目標。朱順痣等人［23］為了解決使用匿名框進行興趣點K近鄰（KNN）查詢導致的通信成本高、延遲長等問題，提出了一種基于單個興趣點 Voronoi 圖分割和四叉樹分層管理的KNN查詢方法，該方法根據興趣點的層次信息定制查詢匿名框來獲取精確查詢信息，不僅在保證位置隱私的同時減少了查詢通信消耗，還通過插入假查詢保護了用戶的真實查詢內容隱私。梁麗莎等人［24］提出一種基于變換的加密方法，利用Hilbert 曲線將多維空間的每個空間點映射到單維空間，加密處理變換后的空間數據仍然保留了原有的順序，從而保證了數據的效用性并實現(xiàn)了隱私保護。張學軍等人［25］提出了一種隱私保護的K近鄰查詢方法，實現(xiàn)無須可信第三方就能保護用戶位置和查詢內容的隱私以及對興趣點的精確查詢，同時通過構造服務相似地圖生成擾動位置，解決已有方法查詢處理開銷大的問題，并保證查詢結果的準確性。Li等人［26］提出了一種新的雙重隱私保護方案（DPPS），該方案包括兩種隱私保護機制： 首先，為了防止位置之間的相關性導致隱私泄露，提出了一種基于隱馬爾可夫模型（HMM）的相關性模型來模擬用戶的移動性和對手的預測概率; 其次，為了提供每個單個位置的查詢概率匿名性，提出了一種先進的K匿名算法來構建掩蔽區(qū)域，在該算法中生成真實且不可區(qū)分的偽位置。此外，張大方等人［27］針對無線體域網中的數據隱私問題，提出了一種適用于無線體域網的安全KNN查詢協(xié)議，能夠保護數據隱私與訪問權限控制。該協(xié)議主要分為三個部分：首先采用非對稱矩陣向量積保值加密機制（ASPE）對數據和查詢條件分別進行加密， 從而保護數據的隱私；其次基于R樹的桶劃分索引結構BRtree，將數據劃分到桶節(jié)點后采用剪枝策略去除不必要的查詢來提高查詢效率；最后基于數據層面的訪問權限授予回收機制，從ASPE加密密鑰中分解出權限密鑰，通過可信第三方實現(xiàn)了訪問權限控制和訪問權限遷移。Zheng等人［28］為了解決隱私和效率方面的挑戰(zhàn)，為加密的外包電子醫(yī)療數據設計了一種高效且保護隱私的KNN查詢方案， 特點是將k－d樹與同態(tài)加密技術相結合，以便在云中高效存儲加密數據，并處理加密數據上的隱私保護KNN查詢。

盡管在位置服務領域中已經取得了上述的一些成果，但位置服務領域與電力物聯(lián)網的安全需求并不相同， 在位置服務領域中無須考慮重復數據的統(tǒng)計、數據挖掘、ICA（獨立分量分析）以及推理預測等攻擊手段，因此難以直接將這些成果應用到電力物聯(lián)網之中［7］，需要專門研究針對電力物聯(lián)網的安全KNN機制。

2 系統(tǒng)模型與安全威脅

2.1 系統(tǒng)模型

一個典型的電力物聯(lián)網的基礎設施是由四個實體組成的“智能終端－邊緣服務器－控制中心”三層架構，四個實體分別為運行中心、邊緣服務器、用戶和智能終端（如智能電表等），如圖1所示。

控制中心從發(fā)電廠獲取電力，并控制電力輸送系統(tǒng)向用戶分配電力。為了維護電網的安全，控制中心經常需要對邊緣服務器內的數據進行一些必要的查詢，檢測故障或隱患點，有時還需根據歷史數據進行事件檢測等。

每個用戶都配備了一個智能終端（如智能電表等），一方面通過智能終端度量用戶的電量和電價，另一方面也檢測了電網中的一些必要的參數。智能終端在用戶和控制中心之間提供通信接口并將其測量的數據周期性地發(fā)送給邊緣服務器。邊緣服務器扮演了兩個角色，一方面邊緣服務器負責存儲多個社區(qū)的智能終端的數據，另一方面又扮演了網關的角色，是無線接入點或基站，用于連接控制中心和區(qū)域網絡中的智能終端。它們主要執(zhí)行存儲和轉發(fā)兩個功能。邊緣服務器存儲了居民區(qū)域內智能終端的用電數據，等待控制中心的查詢命令（如聚合查詢、范圍查詢、KNN查詢等，本文僅關注KNN查詢），一旦邊緣服務器接收到控制中的查詢命令，則立即執(zhí)行查詢處理并向控制中心返回查詢結構。

2.2 安全威脅

電力物聯(lián)網中的安全威脅來自于外部和內部的攻擊者。外部攻擊者可能會入侵智能終端，獲取智能終端內的密鑰等信息或竊聽通信信道，侵犯用戶的隱私；內部攻擊者包括用戶、邊緣服務器和控制中心等。具體的危險模型如下：

a）對于一個典型的電力物聯(lián)網來說，智能終端通常在用戶端，直接在用戶的監(jiān)管范圍之內，用戶是誠實但好奇的，智能終端會嚴格按照各類算法和協(xié)議執(zhí)行各種操作（例如，它們不會惡意丟棄或扭曲任何收到的消息），但用戶卻對其他的用戶的用電數據充滿了好奇，他們可以利用智能終端內的信息以及竊聽到的通信信道推斷他人的敏感數據。

b）邊緣服務器通常由并不可信的第三方托管，并且邊緣服務器擁有社區(qū)內所有智能終端發(fā)送過來的加密數據，邊緣服務器同樣也是誠實但好奇的，會嚴格按照裝載的程序完整地執(zhí)行各類算法和協(xié)議，但對存儲在其之上的數據具有窺探其隱私的濃厚興趣。

c）控制中心通常在電力企業(yè)的直接管控之下，不負責存儲數據，主要負責下發(fā)查詢指令和接收查詢結果，進而判斷事件、故障和隱患發(fā)生的地點等，這自然地就知道了用戶的部分隱私。一個不能保護好自己客戶隱私的企業(yè)是很難生存的，因此電力企業(yè)對自己的職員有嚴格的管理制度，具有嚴格防止泄露數據隱私的措施。綜上，本文認為控制中心是沒有惡意的。

d）除了上述的假設之外，假定控制中心、邊緣服務器以及智能終端之間不存在串謀攻擊。智能電表使用了來自制造商的先進微控制器，如Analog Devices、Atmel等，以防止物理損壞，但它們仍然容易受到竊取等常見的攻擊。

e）通常情況下電力物聯(lián)網內具有大量的重復數據，并且電力參數的各數據之間還具有動態(tài)相關性，這些容易被攻擊者利用，攻擊者能通過對重復數據的統(tǒng)計、數據挖掘、ICA（獨立分量分析）以及推理預測和用戶用電的基本規(guī)律來窺探數據的隱私。

f）假定存在著一個可信任的權威機構（TA）是一個完全可信賴的第三方，它負責通過安全信道向智能終端和控制中心發(fā)放密鑰和需要預置的秘密信息。

2.3 基本的假設

a）系統(tǒng)時間被劃分為若干周期，每個周期采集一次數據，所有智能終端與控制中心在時間周期上保持松散的同步，并約定每n個周期向邊緣服務器提交1輪數據。

b）假設所有的智能終端被TA分配了一個唯一的ID與一個二元的數據隱私保護函數Pfi，k（x，t）， 其中i表示智能終端的ID，k表示TA產生的密鑰，x是需要加密的數據項，t表示周期。

c）假設控制中心被TA分配了一個三元的查詢隱私保護函數Qfk（i，x，t）。

3 具有隱私保護的KNN查詢方法

為了保護智能終端數據的隱私，需要加密智能終端采集的數據；同樣，為了保護查詢條件的隱私，也需要對查詢條件進行加密。因此，問題的關鍵就是如何讓加密的查詢條件在加密的數據上正確地執(zhí)行查詢處理。本文解決該問題的思路主要包括四個部分：第一個部分為隱私保護函數的設計，主要任務是設計一個能加密數據和查詢條件的函數；第二個部分為可信方秘密信息的分配，主要探討可信方如何為智能終端與控制中心分配隱私保護函數、桶所對應的區(qū)間等；第三部分為數據的編碼與相似性度量模型確立，主要介紹如何對智能終端采集的數據進行規(guī)范化處理和編碼，然后選用合適的相似性度量問題等；第四個部分為安全查詢協(xié)議，主要任務是介紹智能終端如何將數據遞交給邊緣服務器，控制中心如何將查詢條件發(fā)送給邊緣服務器，以及邊緣服務器如何利用改寫后的查詢對象在隱私后的數據中執(zhí)行查詢處理，并把查詢結果返回給控制中心。

3.1 隱私保護函數的設計

為了能設計一個好的隱私保護函數，本文擴展了筆者的前期研究成果［29］。根據電力物聯(lián)網的安全需求，隱私保護函數需滿足如下四個條件：a）數據隱私保護函數與查詢條件隱私保護函數，代入相應參數后必須是能直接比較大小的，這一條件可以保證存儲節(jié)點能判斷一個數據是否在一個范圍中；b）即使是相同的數據處在不同的智能終端中，通過數據隱私保護函數處理之后所對應的值也不同。同樣，即使是同一智能終端的相同數據，通過編碼和數據隱私保護函數加密之后所對應的值不同，這樣可保證密文的不可區(qū)分性，這一條件保證了數據的隱私安全性；c）通過數據隱私保護函數與查詢條件隱私保護函數處理后的數據值不能太大，這一條件保證了本文算法具有低開銷的特征；d）查詢條件隱私保護函數必須能在被不同數據隱私保護函數加密的數據上進行查詢，這一條件可以保證控制中心不必為不同的智能終端發(fā)送不同的查詢條件隱私保護函數。

為了滿足上述四個條件，隱私保護函數包括了五個部分：a）數據處理部分G（x，*）是關于數據x（xgt;0）單調遞增的，這滿足條件a）c）；b）智能終端ID處理部分H（i，*），i表示z智能終端的ID號i，定義H（i，*）主要用于滿足條件b）d）；c）周期地處理部分Euclid Math OneRAp（t，*），t表示周期，定義Euclid Math OneRAp（t，*）主要用于滿足條件b）d）；d）查詢密鑰key的處理部分ξ（k，*），k表示查詢密鑰，定義ξ（k，*）主要用于滿足條件b）d）；e）結果擾動部分s，主要用于防止攻擊者破解隱私保護函數。綜上，本文首先構造一個基函數：

顯然，由上述性質可知，構造的數據隱私保護函數和查詢隱私保護函數滿足條件a）；由于每個智能終端的ID是唯一的，所以處于不同智能終端中相同的數據，通過數據隱私保護函數處理后的結果不同，同一智能終端不同周期內的相同數據，經過隱私保護函數處理之后結果不同；同樣由于查詢隱私保護函數與查詢條件有關，所以不同查詢條件有不同的查詢隱私保護函數，這一特性滿足了條件b）。函數G（x，*）受參數λ值的調控，因此G（x，*）值的增長不會隨x的增長而變得很大，這一特點滿足了條件c）。當控制中心欲發(fā)起KNN查詢時，首先按照之前描述的方法對查詢條件進行規(guī)范處理、置換和編碼，只需要將范圍的兩個端點代入到查詢隱私保護函數Qfk（x，i，t）中，然后將查詢隱私保護函數條件改寫成兩個二元函數并發(fā)送給邊緣服務器即可，這一性質可滿足條件d）。綜上，構造的隱私保護函數和查詢函數滿足了本文的設計目標。

3.2 可信方秘密信息的分配

秘密信息的預置主要由可信第三方TA完成，主要包括隱私保護函數的生成與分配、隨機區(qū)間的分配等，具體如下：

a）可信第三方在安全服務器上首先生成如式（1）所示的隱私保護函數；

b）可信第三方秘密產生一個密鑰k，代入式（1）得到一個三元的查詢隱私保護函數Qfk（x，i，t），并通過安全信道傳送給控制中心，重復b），直達每個智能終端都分配了數據隱私保護函數；

c）可信第三方將密鑰k和智能終端的ID值i代入式（4），得到一個二元的數據隱私保護函數Pfi，k（x，t），并通過安全信道傳送給智能終端i；

d）智能終端的數據將被劃分成Μ桶，TA同樣也隨機生成Μ個互不相交的區(qū)間，并隨機指派給每一個桶，為了方便描述，桶依次用{E …，EM}表示，區(qū)間依次用{R …，RΜ}表示，并將指配結果〈E R1〉，〈E2，R2〉，…，〈EΜ，RΜ〉通過安全信道秘密發(fā)送給控制中心；

e）假定共有z個智能終端，在區(qū)間Re（1≤e≤Μ）內再隨機生成z個互不相同的小的區(qū)間rej（1≤e≤Μ，1≤j≤z），并且滿足rej（1≤j≤z）Re，rej∩rei=（i≠j），然后為每個智能終端隨機指派一個小的區(qū)間，不妨假定智能終端i指派的小區(qū)間為rei（1≤e≤Μ），并將信息〈E r1i〉，〈E2，r2i〉，…，〈EΜ，rΜi〉通過安全信道秘密發(fā)送給智能終端i，重復e）直到所有終端都分配了區(qū)間。

3.3 數據的編碼與相似性度量模型確立

本節(jié)提出了一種基于桶劃分與隨機數分配相結合的數據編碼方法，并針對編碼后數據提出了一種基于桶距離的相似性度量模型，具體如下：

a）感知數據的規(guī)范化處理。

將感知數據按比例進行縮放，使之落入一個小的特定區(qū)間（如［0.0，1.0］）。數據的規(guī)范化可有效地提升涉及距離度量算法的精度和有效性。

為了方便描述，用{（d t1），（d2，t2），…，（dn，tn）}表示一個智能終端在1個周期內采集的n個數據，其中ti表示第i個周期，dmax 和 dmin 分別表示{d d2，…，dn}中的最大值和最小值，區(qū)間［A，B］為數據按比例進行縮放到指定的區(qū)間，那么數據標準化的方法為

由定理2可知，本文提出的基于桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差下界為－Δc n ，誤差上界為Δc n 。

3.4 安全的KNN查詢協(xié)議

如圖2所示，該協(xié)議主要包括秘密信息的分配、智能終端的數據遞交、控制中心查詢條件的改寫以及邊緣服務器執(zhí)行的查詢處理四個方面的內容。

下面將分別描述其內容。

1）加密數據的遞交

加密數據的遞交主要由智能終端執(zhí)行，主要描述如何將采集到的數據遞交給邊緣服務器。假定所有的智能終端每n個周期提交一次數據，智能終端將按如下步驟遞交其數據給邊緣服務器：

2）查詢條件的改寫

查詢條件的改寫主要是由控制器來執(zhí)行的，假定控制中心需要查詢k個智能終端在連續(xù)的n個周期內其數據變化趨勢與數據q …，qn變化最相似，即該數據為查詢條件，控制中心將按如下步驟將查詢條件改寫之后遞交其數據給邊緣服務器。

a）按照式（1）的方式對查詢條件{q …，qn}進行規(guī)范化處理，得到{q …，qn}。

b）利用預置的參數ΔC等，將規(guī)范后的數據轉換為置換串{（Eu t1），（Eu2，t2），…，（Eun，tn）}。

c）對查詢條件的置換串進行編碼，為了描述方便，不妨用{［a b1］，［a2，b2］，…，［an，bn］}表示編碼后的數據。

d）利用Qfk（x，i，t）對編碼后的查詢條加密得到{［Qfa k（i，t）， Qfb k（i，t）］，…，［Qfan，k（i，t）， Qfbn，k（i，t）］}。

e）最終將改寫后的查詢條件發(fā)給邊緣服務器。

3）查詢處理

4 算法分析

4.1 復雜性分析

假定某個社區(qū)共有z個智能終端，1個邊緣服務器，每個智能終端每一輪采集n個數據發(fā)送給邊緣服務器，數據被劃分成M個桶，控制中心的查詢條件平均包括了u個數據，那么最壞情況下，智能終端、邊緣服務器和控制中心的計算復雜性、通信復雜性和空間復雜性如表1所示。

從表1的結果可以看出，與已有工作不同，本文擬采用數據編碼和隱私保護函數的方式實現(xiàn)隱私保護，每個智能終端在將采集的數據遞交給邊緣服務器前，利用數據編碼算法將節(jié)點采集的數據進行編碼，實際上，就是將采集的數據進行量化與符號化，然后再將符號序列映射到一個區(qū)間并利用隱私保護函數進行加密，在這個過程中僅需要一些復雜度較低的數學變換與運算；由于在編碼過程中，本文提出了針對歐氏距離相似性度量模型的等價變換方法，所以原始空間中感知數據之間的相似度量問題可轉換為編碼空間的相似性度量問題。因此當邊緣服務器接收到這些數據后，在不知道真實的數據值和查詢條件的情況下，可利用歐氏距離相似性度量模型直接度量加密數據與查詢條件的相似性，從而可達到防止邊緣服務器泄露敏感信息的目的。

4.2 安全性分析

a）隱私保護函數的安全性。

由于算法是在可信的第三方服務器上完成的，這種情況下需要討論在算法完全公開的基礎上隱私保護函數是否安全。假定式（4）中隱私保護母函數的G（x，n），H（i，m），Euclid Math OneRAp（t，l），ξ（k，w）函數的形式是完全公開的，但其系數An，m，l，w和密鑰k是不公開的，攻擊者的目標是通過破解系數An，m，l，w（0≤n，m，l，w≤τ）和密鑰k來獲取隱私保護函數。

其中：方程組中共有（τ+1）4個方程，方程中未知量為An，m，l，w（0≤n，m，l，w≤τ），0， …，（τ+1）4，共2（τ+1）4+1個未知量，因此式（8）方程組沒有唯一解。攻擊者可以進一步獲取一對明文和密文〈d*，E（d*）〉，則會增加一個方程，帶入一個新的量*，無法滿足方程數與未知量相等的條件。因此無法準確獲得密鑰k和系數An，m，l，w（0≤n，m，l，w≤τ）。

綜上，本文定義的隱私保護函數在算法公開的情況下仍然是安全的。

b）邊緣服務器的安全性分析。

邊緣服務器負責存儲智能終端發(fā)送過來被數據隱私保護函數加密的數據并負責執(zhí)行控制中心的查詢指令，返回查詢結果。由于邊緣服務器需要長期執(zhí)行查詢操作，所以一個惡意的邊緣服務器容易知道哪些加密數據滿足查詢條件，哪些不滿足查詢條件，經過多次查詢之后能推斷出被加密數據的大小關系，進而獲得數據的部分隱私。本文提出的安全KNN查詢協(xié)議能很好地解決這一問題，這是因為： （a）在利用隱私保護函數加密之前對原始數據進行了置換和編碼，相應的原始數據被隨機分配的區(qū)間內的隨機數所替代，邊緣服務器通過對查詢過程的分析和記錄只能推斷出這些被加密的隨機數的大小關系，并不是原數據的大小關系；（b）邊緣服務器是不知道置換串與區(qū)間的對應關系，因此很難通過被加密的隨機數的大小關系推斷出原始數據的大小關系。數據挖掘（深度學習）、統(tǒng)計分析以及推理預測攻擊是近年發(fā)展起來的一類針對流數據的攻擊方法，對數據擾動和隨機注入噪聲等隱私保護方法具有非常有效的攻擊效果。本文提出的安全KNN查詢協(xié)議具有密文不可區(qū)分的特性，能較好地抵抗統(tǒng)計分析和推理預測攻擊，這是因為：（a）在編碼階段，即使是兩個完全相同的數據，通過編碼之后，其對應的值也很大概率不同；（b）在利用隱私保護函數加密的階段中，即使是兩個完全相同的編碼數據，其對應的密文也不同。因此，攻擊者難以直接從密文上得到原始數據的隱私。

獨立分量分析（ICA）攻擊是將密文看作由原文和其他信息混合疊加而成的，因此采用信號分離的方法來獲取原文，它雖然不能得到原文，但能獲得原文對應的趨勢。本文在利用隱私保護函數加密之前對原始數據進行了置換和編碼，相應的原始數據被隨機分配的區(qū)間內的隨機數所替代。攻擊者通過ICA算法只能獲得這些被加密的隨機數對應的趨勢，并不是原數據的趨勢。因此，本文提出的安全KNN查詢協(xié)議也能較好地抵抗ICA攻擊。

c）智能終端安全性分析。

假定一個懷有惡意的終端用戶，通過竊聽信道等手段獲得了大量其他終端的加密數據，但智能終端內預置的數據隱私保護函數是唯一的，因此惡意用戶只有自己的數據隱私保護函數，在沒有破解如式（1）所示的母函數的情況下，無法知道其他終端的隱私保護函數，從而難以獲得其他用戶的隱私。

考慮一種極端的情況，假定一個惡意的終端用戶竊聽到所有其他終端用戶遞交給邊緣服務器的加密數據，由于本文的協(xié)議具有密文不可區(qū)分的特點，能有效抵抗數據挖掘、統(tǒng)計分析以及推理預測等攻擊手段。若該用戶使用ICA攻擊，獲得了編碼數據的趨勢，由于每個終端只知道自身的置換串與區(qū)間的對應關系，所以只能獲得自身數據的趨勢，這對攻擊者來說是沒有意義的。

4.3 與已有工作的對比

與傳統(tǒng)關系型數據不同的是，電力物聯(lián)網采集的是用戶用電的流數據，它反映了數據的模式特征，如波峰、波谷、周期、趨勢。攻擊者通過這些模式特征可以挖掘（預測）和推理出數據的未來變化。同時，在電力物聯(lián)網的隱私保護中，用戶的用電數據的多個變量之間可能還具有動態(tài)相關性，具有大量重復數據等，攻擊者可以利用這些特征實施ICA攻擊、選擇明文攻擊等，這使得流數據的隱私保護更加困難［3 32］。用于位置服務（LBS）的隱私KNN查詢［22～26］面向的是位置數據，而不是流數據，因此無須考慮數據挖掘、推理預測和ICA等復雜的攻擊方式， 也沒有這些攻擊的應對方案。文獻［27］是針對體域網設計的具有隱私保護的KNN查詢協(xié)議，該協(xié)議采用ASPE［33］加密技術，盡管體域網內的數據也是流數據，然而不幸的是Gu等人［34］指出，ASPE在抵抗選擇明文攻擊和ICA攻擊等方面是非常脆弱的。文獻［28］是針對云計算環(huán)境下的外包醫(yī)療數據而設計的一種安全的KNN查詢機制，該機制采用了k－d樹和同態(tài)加密相結合的技術，Ren等人［6］指出同態(tài)加密的計算開銷和存儲開銷較高，不適合價格低廉且廣泛使用的智能電表。本文方法與已有工作的對比情況如表2所示。

5 仿真實驗

本文將基于真實世界的電力使用情況來評估提出的安全KNN查詢方案，主要包括：a）查詢結果的準確性；b）智能終端的空間開銷和通信開銷；c）邊緣服務器的空間開銷和通信開銷。由于前期的電力數據隱私保護的研究成果主要集中在安全聚合、匿名技術和數據擾動技術，這與安全KNN查詢機制相差甚遠，所以本文無法與這些成果進行對比；已有的面向隱私保護的KNN查詢機制大多針對云計算、體域網或傳感器網絡等，這與電力物聯(lián)網的應用場景、安全需求和網絡拓撲等都不相同，所以無法與這些成果直接比較。

5.1 仿真實驗數據集的選取

本文使用的數據集是MIT REDD數據集［34］，它提供了六個戶主的秒級的電力數據。在這六個戶主中，有兩個房屋的數據過于稀疏，因此本文主要使用另外四個戶主的數據。 本文選擇這四戶從2011年3月15日—2011年6月15日共90天的功率數據作為實驗數據，每個戶主平均有777 6000個數據，數據的大小平均有475 M，數據波動為0.5～15 000 KW， 并利用平均數對一些缺失的數據進行補全。

5.2 網絡拓撲與實驗參數的設定

為了能有效地驗證本文所提出的安全KNN查詢，在實驗中設置了4個智能終端、1個邊緣服務器和1個控制中心。4個智能終端分別代表了4個戶主，他們的ID號分別為1、2、3、4。模擬了可信第三方秘密地產生了如式（1）所示的隱私保護函數和密鑰k，并將ID和密鑰代入式（1），分別為4個智能終端產生數據隱私保護函數，為控制中心產生查詢隱私保護函數。在本次實驗中，設定了智能終端每1 s采集一次數據，每采集一次數據為1個周期。查詢條件是隨機產生的。原始數據規(guī)范化的范圍設定為［0，20］。

5.3 性能評估

為了評估安全KNN查詢方法的精度，本文直接采用普通的基于歐氏距離的KNN查詢算法作為查詢精度判斷的依據，具體的方法如下：設定每30個周期提交一次數據的情況下，參數ΔC每取一個值，那么查詢中心將發(fā)起100次查詢，并將本文的安全KNN查詢的結果與普通的基于歐氏距離的KNN查詢進行對比，查詢精度為兩種查詢的相同的結果數除k，最終的查詢精度是這100次查詢精度的平均值。

圖3是在不同ΔC取值的情況下，安全KNN的查詢精度。從圖3可以看出，當參數ΔC的值較小時，安全KNN的查詢精度與普通基于歐氏距離的KNN查詢結果非常接近，也表明安全KNN的查詢精度非常高，但隨著參數ΔC的值不斷增大，其查詢精度逐步降低，這也印證了定理2的正確性。

圖4是每30個周期提交一次數據，在不同ΔC取值下，本次實驗四個智能終端空間開銷和總的通信開銷，其中圖4（a）空間開銷是指在處理數據的過程中最大占用的內存數， 并假定了智能終端遞交了本輪數據后就不再保存本輪的數據，圖4（b） 的通信開銷是指智能終端向邊緣服務器發(fā)送的數據總量，單位為M。從圖4（a）（b）描繪的結果來看，當參數ΔC的值較小時，智能終端的空間開銷和通信開銷較大，但隨著參數ΔC的值變大，智能終端的空間開銷和通信開銷將逐步變小。

圖5同樣在設定每30個周期提交一次數據的情況下，在不同ΔC取值時的邊緣服務器平均每輪空間開銷和總的通信開銷，其中圖5（a）空間開銷是指在每1輪數據在處理過程中最大占用的內存的平均值，圖5（b）的通信開銷是指智能終端向邊緣服務器平均發(fā)送的總數據量，單位為M。從圖5（a）（b）描繪的結果來看，當參數ΔC的值較小時，邊緣服務器的空間開銷和通信開銷較大，但隨著參數ΔC的值不斷變大，邊緣服務器的空間開銷和通信開銷將逐步變小。

由圖3～5可知：查詢的精度與參數ΔC的值有關，ΔC值越大，誤差越大，ΔC值越小，精度越高；同樣，系統(tǒng)的開銷與參數ΔC的值有關，ΔC值越大，開銷越小，ΔC值越小，開銷越高。這表明了參數ΔC的取值實際上是性能和開銷折中的問題。

圖6是設定在ΔC=2的情況下，每輪提交數據包含的周期數n不斷變化，四個智能終端總的空間開銷和通信開銷，并假定了智能終端遞交了本輪數據后就不再保存本輪的數據，單位為M。從圖6（a）（b）描繪的結果來看，參數n的值對智能終端的總的空間開銷和通信開銷幾乎沒有影響。

圖7同樣是設定在ΔC=2的情況下，每輪提交數據包含的周期數n不斷變化，邊緣服務器總的空間開銷和通信開銷，其中圖7（a）的空間開銷是指在處理數據的過程中最大占用的內存，圖7（b）的通信開銷是指智能終端向邊緣服務器平均每輪發(fā)送的數據量，單位為M。從圖7（a）（b）描繪的結果來看，參數n的值對邊緣服務器的總的空間開銷和通信開銷幾乎沒有影響。

6 結束語

為解決執(zhí)行KNN查詢過程中惡意用戶窺探他人隱私的問題，本文提出了一種具有隱私保護的KNN查詢方法，具體包括：為了保護數據隱私，首先設計了一種隱私保護函數，可信第三方通過該函數可以為每個智能終端生成不同的數據隱私保護函數和查詢隱私保護函數；在此基礎上，進一步提出了一種基于桶劃分與隨機數分配相結合的數據編碼方案，并且編碼數據經過隱私保護函數加密后具有密文不可區(qū)分的特點；為了保護數據的效用性，提出了一種基于桶距離的相似性度量模型，并證明了桶距離的相似性度量模型與基于歐氏距離的相似性度量模型的誤差上界和下界，該模型能直接在密文上度量查詢條件和數據之間的相似性；最后， 針對電力物聯(lián)網的安全需求，提出了面向隱私保護的安全KNN查詢協(xié)議。仿真和分析表明，本文的安全KNN查詢機制能有效抵抗選擇明文攻擊、數據挖掘攻擊、統(tǒng)計分析攻擊、ICA攻擊以及推理預測攻擊等，并且其開銷較低。

隨著智能電網和邊緣計算相融合，解決了云服務器負載較大的問題，滿足高并發(fā)、實時處理等需求，但當前隱私保護方法在電網和邊緣計算方面的問題尚未得到深入研究。因此，還需研究適用于電網邊緣服務器高效的流式數據隱私保護方法，為智能電網邊緣服務器提供實時的安全防護。

參考文獻：

［1］Sanjab A，Saad W，Guvenc I，et al. Smart grid security： threats，challenges，and solutions ［EB/OL］. （2016）. https：//arxiv.org/abs/1606. 06992.

［2］Asghar M R，Dán G，Miorandi D，et al. Smart meter data privacy： a survey ［J］.IEEE Communications Surveys amp; Tutorials ，2017， 19 （4）： 2820－2835.

［3］Efthymiou C，Kalogridis G. Smart grid privacy via anonymization of smart metering data ［C］//Proc of the 1st IEEE International Confe－rence on Smart Grid Communications. Piscataway，NJ： IEEE Press，2010： 238－243.

［4］Cheung J C L，Chim T W，Yiu S M，et al. Credential－based privacy－preserving power request scheme for smart grid network［C］//Proc of IEEE Global Telecommunications Conference. Piscataway，NJ： IEEE Press，2011： 1－5.

［5］童云海，陶有東，唐世渭，等. 隱私保護數據發(fā)布中身份保持的匿名方法 ［J］. 軟件學報，2010， 21 （4）： 771－781. （Tong Yunhai，Tao Youdong，Tang Shiwei，et al. Identity－reserved anonymity in privacy preserving data publishing ［J］.Journal of Software ，2010， 21 （4）： 771－781.）

［6］Ren Wei，Song Jun，Yang Yu，et al. Lightweight privacy－aware yet accountable secure scheme for SM－SGCC communications in smart grid ［J］.Tsinghua Science and Technology ，201 16 （6）： 640－647.

［7］Liu Yining，Guo Wei，F(xiàn)an C I，et al. A practical privacy－preserving data aggregation （3PDA） scheme for smart grid ［J］.IEEE Trans on Industrial Informatics ，2018， 15 （3）： 1767－1774.

［8］Jo H J，Kim I S，Lee D H. Efficient and privacy－preserving metering protocols for smart grid systems ［J］.IEEE Trans on Smart Grid ，2015， 7 （3）： 1732－1742.

［9］Shen Hua，Zhang Mingwu，Shen Jian. Efficient privacy－preserving cube－data aggregation scheme for smart grids ［J］.IEEE Trans on Information Forensics and Security ，2017， 12 （6）： 1369－1381.

［10］Chen Le，Lu Rongxing，Cao Zhenfu. PDAFT： a privacy－preserving data aggregation scheme with fault tolerance for smart grid communications ［J］.Peer－to－Peer Networking and Applications ，2015， 8 （6）： 1122－1132.

［11］Abdallah A，Shen X S. A lightweight lattice－based homomorphic privacy preserving data aggregation scheme for smart grid ［J］.IEEE Trans on Smart Grid ，2016， 9 （1）： 396－405.

［12］He Debiao，Kumar N，Zeadally S，et al.Efficient and privacy－preservingdata aggregation scheme for smart grid against internal adversaries ［J］.IEEE Trans on Smart Grid ，2017， 8 （5）： 2411－2419.

［13］于東，康海燕. 面向時序數據發(fā)布的隱私保護方法研究 ［J］. 通信學報，2015， 36 （Z1）： 243－249. （Yu Dong，Kang Haiyan. Privacy protection method on time－series data publication ［J］.Journal on Communications ，2015， 36 （Z1）： 243－249.）

［14］Savi M，Rottondi C，Verticale G. Evaluation of the precision－privacy tradeoff of data perturbation for smart metering ［J］.IEEE Trans on Smart Grid ，2015， 6 （5）： 2409－2416.

［15］Zhang Zijian，Qin Zhan，Zhu Liehuang，et al. Cost－friendly differential privacy for smart meters： exploiting the dual roles of the noise ［J］.IEEE Trans on Smart Grid ，2016， 8 （2）： 619－626.

［16］Lyu Lingjuan，Law Y W，Jin Jiong，et al. Privacy－preserving aggregation of smart metering via transformation and encryption ［C］// Proc of IEEE Conference on TrustCom/BigDataSE/ICESS. Piscataway，NJ： IEEE Press，2017： 472－479.

［17］Wang Xiaoyan，Xu Zhenquan，Cai Ziwei，et al. Novel temporal perturbation－ based privacy－preserving mechanism for smart meters ［J］.Mobile Networks and Applications ，2019， 25 （4）： 1－15.

［18］cs G，Castelluccia C. I have a dream！ （differentially private smart metering） ［C］//Proc of International Workshop on Information Hiding. Berlin： Springer，2011： 118－132.

［19］Zhao Jing，Jung T，Wang Yu，et al. Achieving differential privacy of data disclosure in the smart grid ［C］//Proc of IEEE Conference on Computer Communications. Piscataway，NJ： IEEE Press，2014： 504－512.

［20］Ni Jianbing，Zhang Kuan，Alharbi K，et al. Differentially private smart metering with fault tolerance and range－based filtering ［J］.IEEE Trans on Smart Grid ，2017， 8 （5）： 2483－2493.

［21］董道國，劉振中，薛向陽. VA－Trie： 一種用于近似K近鄰查詢的高維索引結構 ［J］. 計算機研究與發(fā)展，2005， 42 （12）： 2213－2218. （Dong Daoguo，Liu Zhenzhong，Xue Xiangyang. VA－Trie： a new and efficient high dimensional index structure for approximate K nearest neighbor ［J］.Journal of Computer Research and Deve－lopment ，2005， 42 （12）： 2213－2218.）

［22］賈金營， 張鳳荔. 基于經緯網格的遞增 KNN 位置隱私保護查詢算法 ［J］. 計算機應用研究，2014， 31 （12）： 3689－3691. （Jia Jin－ying，Zhang Fengli. Incremented KNN inquiry algorithm based on grid of latitude－longitude for location privacy protection ［J］.Application Research of Computers ，2014， 31 （12）： 3689－3691.）

［23］朱順痣，黃亮，周長利，等. 一種基于興趣點分布的匿名框 KNN查詢方法 ［J］. 電子學報，2016， 44 （6）： 2423－2431. （Zhu Shunzhi，Huang Liang，Zhou Changli，et al. A privacy－preserving method based on PoIs distribution using cloaking region for K nearest neighbor query ［J］.Acta Electronica Sinica ，2016， 44 （6）： 2423－2431.）

［24］梁麗莎，盧來，吳衛(wèi)祖. LBS中外包空間數據的KNN安全查詢方法 ［J］. 計算機應用與軟件，202 38 （1）： 325－329. （Liang Lisha，Lu Lai，Wu Weizu. Secure KNN queries of outsourced spatial data in location－based services ［J］.Computer Applications and Software ，202 38 （1）： 325－329.）

［25］張學軍，李佳樂，楊依行，等. 基于服務相似性的隱私保護K近鄰查詢方法 ［J］. 蘭州交通大學學報，2023， 42 （1）： 44－61. （Zhang Xuejun，Li Jiale，Yang Yixing，et al. Privacy－preserving K－nearest neighbor query method based on service similarity ［J］.Journal of Lanzhou Jiaotong University ，2023， 42 （1）： 44－61.）

［26］Li Long，Huang Jianbo，Chang Liang，et al. DPPS： a novel dual privacy－ preserving scheme for enhancing query privacy in continuous location－based services ［J］.Frontiers of Computer Science，F(xiàn)ormerly Known as Frontiers of Computer Science in China ，2023， 17 （5）： 175814.

［27］張大方，徐鴻玥，李睿. 無線體域網中隱私保護安全KNN查詢協(xié)議 ［J］. 電子科技大學學報，2017， 46 （5）： 722－727. （Zhang Dafang，Xu Hongyue，Li Rui. Privacy preserving KNN query protocol for wireless body sensor networks ［J］.Journal of University of Electronic Science and Technology of China ，2017， 46 （5）： 722－727.）

［28］Zheng Yandong，Lu Rongxing，Shao Jun.Achieving efficient and privacy－ preserving KNN query for outsourced eHealthcare data ［J］.Journal of medical systems ，2019， 43 （5）： 123.

［29］Yi Yeqing，Li Rui，Chen Fei，et al. A digital watermarking approach to secure and precise range query processing in sensor networks ［C］// Proc of IEEE International Conference on Computer Communications.Piscataway，NJ：IEEE Press，2013： 1950－1958.

［30］Kolter J Z，Johnson M J. REDD： a public data set for energy disaggregation research ［C］// Proc of Sust KDD Workshop on Data Mi－ning Applications in Sustainability. 2011.

［31］Yuan Xiaoyong，He Pan，Zhu Qile，et al. Adversarial examples： attacks and defenses for deep learning ［J］.IEEE Trans on Neural Networks and Learning Systems ，2019， 30 （9）： 2805－2824.

［32］張聰叢，郜潁潁，趙暢，等. 開放政府數據共享與使用中的隱私保護問題研究—基于開放政府數據生命周期理論 ［J］. 電子政務，2018（9）： 24－36. （Zhang Congcong，Gao Yingying，Zhao Chang，et al. Research on privacy protection issues in open government data sharing and utilization－based on the theory of open government data lifecycle ［J］.E－Government ，2018（9）： 24－36.）

［33］Wong W K，Cheung D W，Kao Ben，et al. Secure KNN computation on encrypted database ［C］//Proc of ACM SIGMOD International Conference on Management of Data. New York： ACM Press，2009： 139－152.

［34］Gu Chunsheng，Gu Jixing. Known－plaintext attack on secure KNN computation on encrypted databases ［J］.Security amp; Communication Networks ，2014， 7 （12）： 2432－2441.