，，

(寧波迦南智能電氣股份有限公司，慈溪 315300)

引 言

智能電網(wǎng)將計(jì)算機(jī)通信和自動(dòng)化控制技術(shù)應(yīng)用于傳統(tǒng)的電力設(shè)施，提高了電網(wǎng)的自動(dòng)化和智能化水平,是當(dāng)前電網(wǎng)發(fā)展的熱點(diǎn)問題[1]。AMI(Advanced Metering Infrastructure，高級(jí)電表架構(gòu))網(wǎng)絡(luò)是智能電網(wǎng)的重要組成部分，AMI網(wǎng)絡(luò)通過電力用戶端的SM(Smart Meter，智能電表)和電力公司相連，智能電表在短時(shí)間內(nèi)發(fā)送用戶電能的消費(fèi)讀數(shù)給電力公司，供電力公司進(jìn)行計(jì)費(fèi)和決策。同時(shí)，根據(jù)電力讀數(shù)可以來推斷用戶的行為習(xí)慣，比如家用電器的使用情況，用戶是否出門以及什么時(shí)候回家。很顯然，這些敏感讀數(shù)的泄漏會(huì)傷害用戶的隱私，如果無法確保加入智能電網(wǎng)用戶的隱私，就會(huì)很大程度上影響智能電網(wǎng)的推廣[2-3]。因此，如何在AMI網(wǎng)絡(luò)上提供隱私保護(hù)，也是當(dāng)前智能電網(wǎng)需要解決和改進(jìn)的問題。

為了解決這個(gè)眾所周知的問題，許多AMI網(wǎng)絡(luò)隱私保護(hù)的讀數(shù)采集策略被提出[4]，大部分策略采用非對(duì)稱密鑰加密操作[5]，比如同態(tài)加密技術(shù)或者通過一個(gè)附近電源去隱藏實(shí)際的電能消費(fèi)信息[6]。但這些手段會(huì)帶來更高的硬件成本以及通信和計(jì)算的代價(jià)，并且采用非對(duì)稱密鑰加密會(huì)使密文內(nèi)容變大，計(jì)算時(shí)間和成本也會(huì)變大[7]。

本文提出一種采用輕量級(jí)對(duì)稱密鑰加密和哈希操作的讀數(shù)采集策略，來保護(hù)AMI網(wǎng)絡(luò)上的用戶隱私。主要思想是在智能電表中采集讀數(shù)加入掩碼，只有將所有的智能電表的讀數(shù)進(jìn)行聚合、消除所有的掩碼，才能得到真實(shí)的電能消費(fèi)信息，因此單單獲取一個(gè)智能電表的讀數(shù)無法得到真實(shí)的電能消費(fèi)讀數(shù)。每個(gè)智能電表和其他電表或電網(wǎng)設(shè)施之間通過一個(gè)代理分享其自身的掩碼信息。那么，掩碼信息的產(chǎn)生與代理獲取其他電表或電網(wǎng)設(shè)施的掩碼信息有關(guān)。另外，這里提出的讀數(shù)采集策略不僅能用于多跳的AMI網(wǎng)絡(luò)，也能用于單跳的AMI網(wǎng)絡(luò)。通過相關(guān)測(cè)試，本文提出的加密方法比之前其他的讀數(shù)采集策略更有效。同時(shí)，本文的策略能保護(hù)用戶的隱私，并且能在共謀攻擊中提供最大等級(jí)的保護(hù)。最后，在基于802.11s Mesh的AMI網(wǎng)絡(luò)實(shí)現(xiàn)本文的策略，NS-3仿真實(shí)驗(yàn)結(jié)果證明了本文的策略優(yōu)于其他現(xiàn)有的方案。

1 網(wǎng)絡(luò)和威脅模型

1.1 網(wǎng)絡(luò)模型

如圖1所示，網(wǎng)絡(luò)模型主要針對(duì)2種不同的AMI網(wǎng)絡(luò)進(jìn)行，多跳AMI網(wǎng)絡(luò)和單跳AMI網(wǎng)絡(luò)。多跳AMI網(wǎng)絡(luò)，各個(gè)智能電表通過無線Mesh互相通信，一般采用WiFi或者ZigBee通信協(xié)議。但是，智能電表不能單獨(dú)和電力公司通信，所有智能電表將采集讀數(shù)統(tǒng)一發(fā)送給網(wǎng)關(guān)，網(wǎng)關(guān)通過長(zhǎng)距離通信和電力公司相連。單跳AMI網(wǎng)絡(luò)智能電表直接通過互聯(lián)網(wǎng)或者蜂窩網(wǎng)和電力公司相連。

圖1 多跳和單跳AMI網(wǎng)絡(luò)

1.2 威脅模型

由于攻擊者的主要目標(biāo)是獲取用戶的信息，而不會(huì)去破壞網(wǎng)絡(luò)中的通信以及正常操作。因此，這里認(rèn)為威脅模型是一個(gè)誠(chéng)實(shí)好奇者模型。同時(shí)，為了保證模型的健壯性，模型假設(shè)攻擊者存在于智能電表、網(wǎng)關(guān)、電網(wǎng)其他設(shè)備的內(nèi)部和外部，外部攻擊者會(huì)竊聽通信線路，而內(nèi)部攻擊者會(huì)協(xié)同代理去學(xué)習(xí)如何在鏈路上添加掩碼信息。對(duì)于共謀攻擊，這里假設(shè)任何數(shù)量的內(nèi)部或者外部攻擊者可以同時(shí)進(jìn)行電網(wǎng)攻擊。

2 讀數(shù)采集策略

2.1 總 覽

2.2 系統(tǒng)設(shè)置

2.3 讀數(shù)掩碼

圖2 掩碼生成過程

SMi和各個(gè)代理之間采用長(zhǎng)期的共享密鑰來計(jì)算掩碼，為了使策略更加安全，每個(gè)掩碼值在每個(gè)時(shí)間只使用一次，假設(shè)一天中每次電能消費(fèi)讀數(shù)的傳輸可以用一個(gè)串行序列Sn表示，SMi和Pi,j計(jì)算在某天(date)產(chǎn)生的電能消費(fèi)讀數(shù)序列Sn使用共享密鑰Kij和帶密鑰的哈希函數(shù)Hk，記為HKi,j(Sn||date)。很顯然，由于不知道長(zhǎng)期的共享密鑰，電網(wǎng)上沒有一個(gè)任何設(shè)備可以獲取掩碼值。

HMAC的大小可以設(shè)定為128位或者160位，可以通過串聯(lián)多個(gè)哈希函數(shù)產(chǎn)生一個(gè)大的掩碼值，比如HKi,j(Sn||data||1)||……HKi,j(Sn||data||L)，如果輸出的大小小于HMAC規(guī)定的大小，可以通過其他手段減少輸出大小。為了生成一個(gè)較小的掩碼，HMAC的輸出可以分成log2(b)個(gè)區(qū)塊，這里的b是預(yù)期的掩碼大小。通過OR或者XOR位操作來減少輸出的大小并確保隨機(jī)性。

2.4 讀數(shù)聚合和恢復(fù)

電力公司在不知道單個(gè)讀數(shù)的情況下如何恢復(fù)從電表聚集的讀數(shù)，如圖2所示。為了能簡(jiǎn)單介紹這個(gè)過程，假設(shè)AMI網(wǎng)絡(luò)只含有3個(gè)電表，但是可以擴(kuò)展到多個(gè)節(jié)點(diǎn)。同時(shí)假定電表為SMi，其他電表、路由和電力設(shè)施為代理。從圖2可以發(fā)現(xiàn)，每個(gè)電表讀數(shù)得到一個(gè)已掩碼的讀數(shù)，通過統(tǒng)計(jì)所有代理分享的掩碼讀數(shù)減去接收讀數(shù)而生成。這里，sj,i是代理j為i添加的掩碼信息，例如，SM1通過減去其讀取的信息r1添加掩碼{s1,2,s1,3,s1,g,s1,u}，從代理{SM2,SM3,gateway,utility}共享獲得。s1,g和s1,u分別是SM1和路由之間以及電力公司之間加密掩碼信息。此外，SM1對(duì)于SM2和SM3而言是個(gè)代理，因此分別會(huì)對(duì)SM2和SM3添加s2,1和s3,1這兩個(gè)掩碼。

2.5 密鑰協(xié)商過程

密鑰協(xié)商過程主要在出現(xiàn)在以下幾種狀況：①系統(tǒng)啟動(dòng)時(shí)；②有新的電表加入AMI網(wǎng)絡(luò)時(shí)；③密鑰更新時(shí)，雖然對(duì)稱密鑰在較長(zhǎng)的時(shí)間上被使用，但是密鑰更新對(duì)于阻止密碼分析攻擊非常有幫助。為了使每個(gè)代理Pi,j都能分享長(zhǎng)期的密鑰，每個(gè)SMi選擇一個(gè)隨機(jī)元素ri,j∈Z*q，并且組成一個(gè)密鑰確定請(qǐng)求包。該請(qǐng)求包具有以下幾個(gè)標(biāo)識(shí)：SMi(idi)，ri,jP，TS，δi以及certi，這里TS是當(dāng)前時(shí)間戳，δi是簽名，certi是SMi的證書。然后，分發(fā)這個(gè)讀數(shù)包給代理。每個(gè)代理Pi,j通過檢查時(shí)間戳來驗(yàn)證當(dāng)前消息是不是最新的，來阻止密碼分析攻擊。然后，通過δi是簽名來驗(yàn)證e(δi,P)是否等于e(H1(idi||ri,jP||TS),Pki)。接著，代理Pi,j選擇一個(gè)隨機(jī)元素ri,j∈Z*q并計(jì)算ri,jP，用該值來計(jì)算長(zhǎng)期的共享密鑰Kj,i生成H2(e(pki,skjri,jrj,iP))，最終，代理發(fā)送這些密鑰確定請(qǐng)求包給SMi，這個(gè)包含有以下這些信息：idj，rj,iP，TS，H1(Kj,i||1)，δj以及certj。那么SMi和代理接收到的密鑰都是相同的，SMi會(huì)把密鑰確認(rèn)信息發(fā)送給Pi,j。

人工成本是指企業(yè)在一定時(shí)期內(nèi)，在生產(chǎn)、經(jīng)營(yíng)和提供勞務(wù)活動(dòng)中因使用勞動(dòng)力而支付的所有直接費(fèi)用和間接費(fèi)用的總和，是企業(yè)總成本的組成部分，范圍包括：工資總額、社會(huì)保險(xiǎn)費(fèi)用、福利費(fèi)用、教育經(jīng)費(fèi)、勞動(dòng)保護(hù)費(fèi)用、住房費(fèi)用和其他人工成本。其中，工資總額是人工成本的主要組成部分。企業(yè)做好人工成本管理，根本目的是有效控制人工成本的構(gòu)成與比例，提高人工成本的投入產(chǎn)出效率，達(dá)到企業(yè)和員工雙贏的效果。

3 評(píng)估與測(cè)試

3.1 安全及隱密性分析

讀數(shù)的隱密性：外部的攻擊者無法判斷出任何讀數(shù)，但是父電表可以得到添加掩碼后的讀數(shù)。由于每個(gè)信息都添加了帶有密鑰的掩碼信息，因此無法在掩碼未知的情況下提取讀數(shù)。為了計(jì)算掩碼，使用了帶有密鑰的哈希函數(shù)，因此也無法在密鑰未知的情況下提取讀數(shù)。同時(shí)每個(gè)掩碼只對(duì)一個(gè)信息有效，不同時(shí)刻相同的信息擁有不同的掩碼。即使是相同的掩碼，父電表會(huì)根據(jù)策略得到不同的信息。

共謀攻擊：為了獲取一個(gè)葉子電表的讀數(shù)，所有該電表的代理必須共謀去刪除掩碼，但如果沒有葉子電表會(huì)變得非常困難，因?yàn)樗鼈儌魉偷男畔y帶了所有子電表的讀數(shù)并附加掩碼信息。這里有個(gè)在對(duì)抗共謀攻擊魯棒性和計(jì)算開銷之間的折中。當(dāng)代理的數(shù)目增加時(shí)，我們的策略在對(duì)抗共謀攻擊時(shí)具有更好的魯棒性。

由于密鑰的生成過程取決于通信雙方，這是一種非常有效和安全的密鑰生成方式。這里采用密碼確立包方式，可以有效解決中間人攻擊并確保包的有效性。在本策略中，每個(gè)密鑰都可以長(zhǎng)時(shí)間被使用，攻擊者最多只能獲得一個(gè)掩碼，然而要提取電表的讀數(shù)則需要所有的掩碼。

3.2 仿真與測(cè)試

(1)實(shí)驗(yàn)環(huán)境

采用MIRACL密鑰生成庫以及運(yùn)行在2.0 GHz帶有1 GB內(nèi)存和i7 CPU的PC，來計(jì)算加密過程中計(jì)算所帶來的開銷。如表1所列，可以發(fā)現(xiàn)對(duì)于一個(gè)讀數(shù)進(jìn)行同態(tài)加密需要的時(shí)間是對(duì)同一個(gè)讀數(shù)進(jìn)行AES-256加密時(shí)間的40倍，而同態(tài)加密的密文大小是AES-256的8倍。同時(shí)采用NS-3來進(jìn)行網(wǎng)絡(luò)模擬以評(píng)估由于通信和計(jì)算的開銷對(duì)網(wǎng)絡(luò)性能的影響。這里AMI網(wǎng)絡(luò)使用IEEE802.11s Mesh網(wǎng)絡(luò)，整個(gè)拓?fù)浣Y(jié)構(gòu)的大小為N，其中N∈{36,49,64,81,100}。

表1 通信和計(jì)算的開銷

(2)性能指標(biāo)

采用2個(gè)基準(zhǔn)來比較性能：一種是采用paillier密碼系統(tǒng)和同態(tài)加密方法來測(cè)試數(shù)據(jù)聚合；另外一種是電表直接將讀數(shù)發(fā)給路由，數(shù)據(jù)匯聚由路由進(jìn)行。這些測(cè)試都不涉及隱私保護(hù)方面，稱為端對(duì)端(E2E)測(cè)試。主要指標(biāo)有：吞吐量(TP)、平均計(jì)算時(shí)間(CT)和重傳率(RR)。

(3)實(shí)驗(yàn)結(jié)果

這里用E2E、paillier、RMT來簡(jiǎn)稱端對(duì)端匯聚、paillier密碼系統(tǒng)，以及這里提出的讀數(shù)掩碼技術(shù)。

首先，調(diào)查吞吐量性能來分析帶寬使用的方法。目標(biāo)是使用最少的頻道寬度去保證其他類型的數(shù)據(jù)輸出。隨著電表數(shù)目的增加，RMT中的吞吐量的變化比較平穩(wěn)，而E2E對(duì)帶寬的影響非常明顯，隨著電表數(shù)目的增加，吞吐量直線上升。

paillier密碼系統(tǒng)的初始吞吐量就比E2E和RMT大，不過吞吐量的變化比較平穩(wěn)，但吞吐量仍然比RMT要大。

其次，RMT完成數(shù)據(jù)采集的時(shí)間要比paillier密碼系統(tǒng)短，這主要是由于RMT加密過程的時(shí)間要小于paillier密碼系統(tǒng)。在系統(tǒng)起始階段，E2E需要的時(shí)間會(huì)比paillier密碼系統(tǒng)長(zhǎng)。

這是因?yàn)橥瑫r(shí)有大量的電表想發(fā)送它們的讀數(shù)給相同的電表或者路由。不過整體而言，RMT所需的CT比E2E、paillier密碼系統(tǒng)都短。

最后，關(guān)于RR值，RMT和paillier密碼系統(tǒng)的變化都比較平穩(wěn)，但RMT要小于paillier密碼系統(tǒng)。而E2E的RR值隨著電表數(shù)目的增加要明顯上升。

結(jié) 語

本文提出了一種既能確保電力公司能收集電力消費(fèi)數(shù)據(jù)，又能保護(hù)消費(fèi)者隱私的策略。本文采用輕量級(jí)的對(duì)稱加密算法和哈希操作來收集電表讀數(shù)，同時(shí)，對(duì)稱加密操作需要密鑰管理機(jī)制。

[1] W Wang,Y Xu,M Khanna.A survey on the communication architectures in smart grid[J].Computer Networks,2011,55(15):3604-3629.

[2] F D Garcia,B Jacobs.Privacy-friendly energy-metering via homomorphic encryption[J].Lecture Notes in Computer Science,2010,6710:226-238.

[3] R Lu,X Liang,X Li,et al.Eppa:An efficient and privacy-preserving aggregation scheme for secure smart grid communications[J].IEEE Transactions on Parallel and Distributed Systems,2012,23(9):1621-1631.

[4] N Saputro,K Akkaya.On preserving user privacy in smart gridadvanced metering infrastructure applications[J].Security and Communication Networks,2014,7(1):206-220.

[5] F Li,B Luo,P Liu.Secure information aggregation for smart grids using homomorphic encryption[C]//IEEE International Conference on Smart Grid Communications (SmartGridComm),2010.

[6] V C Gungor,D Sahin,T Kocak,et al.Smart grid technologies:Communication technologies and standards[J].IEEE Transactions on Industrial Informatics,2011,7(4):529-539.

[7] K Rabieh,M Mahmoud,K akkaya,et al.Scalable Certificate Revocation Schemes for Smart Grid AMI Networks Using Bloom Filters[J].IEEE Transactions on Dependable and Secure Computing,2015(99):1.

馬益平(工程師)，主要研究方向?yàn)橛秒娦畔⒉杉到y(tǒng)軟件；張軍強(qiáng)(工程師)，主要研究方向?yàn)橛秒娦畔⒉杉K端；章恩友(工程師)，主要研究方向?yàn)橹悄茈姳懋a(chǎn)品。