李紅嬌, 高 琦

(上海電力大學 計算機科學與技術(shù)學院, 上海 200090)

作為未來電網(wǎng)的一個重要發(fā)展分支,智能電網(wǎng)將信息通信技術(shù)與傳統(tǒng)電網(wǎng)架構(gòu)相結(jié)合,能夠極大地提升電力系統(tǒng)的效率及可靠性。智能電網(wǎng)從一出現(xiàn)便受到美國和歐盟的積極推動,為了支持智能電網(wǎng)的多種網(wǎng)絡(luò)功能,智能終端、智能電表等智能電子設(shè)備被部署并應(yīng)用于智能電網(wǎng)系統(tǒng)中。美國已經(jīng)在國內(nèi)安裝了累計超過8.0×106臺智能電表[1],歐盟則決定在2020年之前完成境內(nèi)80%的智能電表安裝量。目前,英國使用的智能電表每30 min發(fā)送一次測量值[2],美國德克薩斯州使用的智能電表則每15 min發(fā)送一次測量值[3]。智能電表可以實時監(jiān)控、跟蹤用電軌跡,最終為智能電網(wǎng)的各項功能提供數(shù)據(jù)支持。智能電表跟蹤記錄用戶的電力使用情況,使供電公司能夠收集到詳細的電力能耗軌跡數(shù)據(jù)。供電公司可以根據(jù)這些數(shù)據(jù)統(tǒng)計相關(guān)信息,監(jiān)測和預(yù)測電力消耗、進行網(wǎng)絡(luò)規(guī)劃和結(jié)算、負荷及資源的分配和平衡、根據(jù)需求管理發(fā)電和電價,為社會建設(shè)和個人生活提供更好的服務(wù)。然而,這些收集的數(shù)據(jù)也可能會侵犯和威脅消費者的隱私。研究表明,攻擊者可以從電力能耗數(shù)據(jù)中獲取個人信息,如個人的行為和在家中的位置。例如,攻擊者在鄰域網(wǎng)(Neighborhood Area Network,NAN)中通過竊聽無線鏈路通訊就可以根據(jù)房屋空置時耗電量下降的事實,判斷出破門而入的時間。隨著智能電表的發(fā)展,記錄的電力能耗數(shù)據(jù)集的顆粒度越來越小,攻擊者甚至可以根據(jù)某間房屋中的用電量推斷房間是否空置;而且與控制器合謀的人可以通過監(jiān)視正在使用的設(shè)備來推斷居民的位置。這種行為推理攻擊被稱為非侵入式負載監(jiān)測攻擊(Non-intrusive Load Monitoring,NILM)[4]。

智能電表記錄的電力能耗數(shù)據(jù)對于分析能源使用的具體情況十分有用,但可能會被惡意的分析者用來侵犯用戶的隱私,如向用戶推銷或者根據(jù)用戶的用電習慣差別定價。針對智能電表的隱私保護問題,不僅要考慮減少用戶的經(jīng)濟損失,還要考慮減少用戶對智能電表的實時檢測功能的懷疑以及保護個人隱私的擔心,這與監(jiān)測他們用電軌跡的人是否合法、是否擁有惡意無關(guān)。細粒度的電力能耗數(shù)據(jù)包含用戶的用電模式,不施加保護會對用戶造成難以預(yù)估的損失,因此科研人員一直在研究減少智能電表數(shù)據(jù)泄露風險的方案,以及消除用戶敏感信息的電力能耗數(shù)據(jù)發(fā)布機制。

目前為用戶信息提供隱私保護的方法大致分為兩大類:第一類是在數(shù)據(jù)發(fā)送到有效應(yīng)用(UP)前處理智能電表的數(shù)據(jù);第二類是修改真實的用戶能源消耗需求。第一類方法包括數(shù)據(jù)混淆、數(shù)據(jù)聚合和數(shù)據(jù)匿名。數(shù)據(jù)混淆是通過添加噪聲擾動計量數(shù)據(jù),是一種經(jīng)典的方法。數(shù)據(jù)聚合可以在受信任的第三方的幫助下執(zhí)行,也可以不需要第三方的幫助獨立執(zhí)行。數(shù)據(jù)匿名主要考慮使用假名而不是真實姓名。第一類方法有一定的隱私風險。事實上,用戶能耗直接由電網(wǎng)提供,電網(wǎng)完全由配電系統(tǒng)操作員(Distribution System Operator,DSO)控制,即管理電網(wǎng)的單位,因此,DSO可以嵌入額外的傳感器來監(jiān)控家庭或企業(yè)所需要的電量,而不完全需要依賴智能電表讀數(shù)。此外,任何攻擊者,例如竊賊或情報機構(gòu),都可以通過安裝傳感器來直接監(jiān)視特定的家庭或企業(yè)。數(shù)據(jù)混淆方法的另一個缺點是報告值與實際能耗不匹配,使得DSO無法準確監(jiān)控電網(wǎng)狀態(tài),也無法對斷電、能源盜竊或其他問題做出快速反應(yīng)。為了解決這些問題,第二類隱私保護方法直接修改用戶的輸入負載,而不是簡單地修改發(fā)送到UP的數(shù)據(jù)。隨著充電電池成本的降低,利用第二類方法來保護隱私在經(jīng)濟上變得可行。基于可充電電池的智能電表保護機制將隱私保護的主動權(quán)交給了用戶,獲得了用戶的支持。由于該方法計算復(fù)雜度小,隱私保護強度較高,因而受到了廣泛的關(guān)注。本文對基于可充電電池的智能電表隱私保護技術(shù)研究進行了相關(guān)綜述。

1 非侵入式負載均衡機制及攻擊類型的研究

1.1 非侵入式負載均衡機制

由MCLAUGHLIN S[5]提出的非侵入式負載均衡機制(Non-intrusive Load Leveling,NILL)的目標是使系統(tǒng)負荷平衡于常數(shù),通過目標載荷從而消除設(shè)備簽名,隱藏設(shè)備負載特征,模糊能耗事件。當設(shè)備開啟時,系統(tǒng)總的負載將超出目標載荷。此時NILL機制令電池放電,以部分供應(yīng)由設(shè)備產(chǎn)生的負載,維持目標載荷。同樣,如果設(shè)備關(guān)閉,系統(tǒng)總的負載將降低到目標載荷以下。這時NILL機制會為電池充電,使得系統(tǒng)總載荷恢復(fù)到目標載荷。這種NILL機制如圖1所示。

圖1 非侵入式負載均衡機制

充電電池在NILL機制中主要起兩個作用:一是存儲來自供電公司的電能,二是向系統(tǒng)設(shè)備供電。充電電池的模型[6]為

(1)

式中:x′d——NILL機制擾動后的數(shù)據(jù);

x——用戶的一條能耗記錄;

n——電池的吞吐量;

r——電池的殘余電量;

c——充電電池的總電量。

NILL機制的本質(zhì)是將系統(tǒng)內(nèi)的部分負荷延時,在保證系統(tǒng)的總體能耗不變的前提下,破壞用戶原本的電力能耗軌跡,模糊用戶的用電模式,從而保護用戶的隱私不被泄露。

1.2 攻擊類型

針對智能電表的攻擊類型主要分為兩種[7],具體如表1所示。

表1 針對智能電表的攻擊類型

2 充電電池的隱私保護研究

2.1 充電機制的改進

KALOGRIDIS G等人[8]提出利用負載平滑器(Load Signature Moderator,LSM)來緩和用戶的用電負載,并首先利用電力路由器調(diào)節(jié)充電電池的充放電時機以模糊系統(tǒng)總負荷的變化。通過隱藏電器的使用情況,或者通過改變用戶設(shè)備使用的時間來保護用戶的隱私,本質(zhì)上是能耗時間序列上的一種低通濾波器。由于電池的充電功率恒定不變,充電時間通常選在用戶關(guān)閉設(shè)備的時間段,使得電池的充電信息比較容易被識別出來。針對3種不同的場景,KALOGRIDIS G等人設(shè)計了3種不同的隱私保護強度度量,即信息熵、聚類分類和相關(guān)回歸。這3種度量值均在忽略低頻負荷的假設(shè)下完成,不太符合現(xiàn)實情況,并且3者均未量化隱私泄露程度。

VARODAYAN D等人[9]假設(shè)電池模型具有離散存儲狀態(tài),并且負載文件中的數(shù)據(jù)是獨立同分布的。利用隨機機制控制電池的充放電狀態(tài),以X={x1,x2,x3,…}表示充電電池的輸入電荷序列,以Y={y1,y2,y3,…}表示輸出電荷序列,X和Y都是二進制的時間序列,并以0表示消耗電能,1表示提供電能。用戶的系統(tǒng)總負荷輸出經(jīng)過充電電池后會生成一個新的用電輸出序列。若已知t時刻的電池狀態(tài)為bt,則在t+1時刻的設(shè)備消耗狀態(tài)、輸入電荷值xt+1、輸出電荷值yt+1以及電池狀態(tài)bt+1,存在3種不同概率的組合情況。VARODAYAN D等人根據(jù)這3種情況制定了兩種隨機電池機制,并使用網(wǎng)格算法估計電池輸出與系統(tǒng)負載之間的互信息速率。利用互信息衡量隱私泄露程度彌補了文獻[5]研究中的不足,但是VARODAYAN D等人將用戶用電狀態(tài)、電池充放電狀態(tài)和系統(tǒng)總負載輸出進行了歸一化處理,即用電時用1表示,不用電或電池放電時用0表示,這個處理不能表示具體的用電數(shù)值,只能粗略地表示狀態(tài)信息。

牛玉坤[10]補充了充電電池不充電也不向設(shè)備供電的平靜狀態(tài)。假設(shè)電池的充放電功率可以調(diào)節(jié),特別是可以調(diào)節(jié)電池充電時的功率,從而減小電池充電模式易被識別的風險。為了令算法環(huán)境接近實際環(huán)境,牛玉坤對用戶的能耗功率、電池的充放電功率和系統(tǒng)的總功率進行了離散化處理。采取分時手段處理晝夜電力能耗差別過大和分時電價計算的問題,使用最大努力方法(Best-effort)判斷需要電池進行的操作。由于無法直接給出方法隱私泄露的最優(yōu)解析解,所以設(shè)計了一個計算數(shù)值解的啟發(fā)式算法。

FAROKHI F和SANDBERG H[11]認為攻擊者的目的是得到盡可能準確的包含用戶設(shè)備和電池所消耗的能耗數(shù)據(jù)之和。但是,基于互信息的隱私度量需要對家庭能耗的分布做出優(yōu)先假設(shè),并且無法給出一個攻擊者估計誤差統(tǒng)計量時的精確下界。FAROKHI F和SANDBERG H首次使用費雪(Fisher)信息作為隱私度量,并且利用克拉美-羅(Cramér-Rao)邊界,通過最小化Fisher信息矩陣的跡,使得攻擊者無論采用何種估計策略,總能使家庭總能耗的估計誤差方差最大。此外,他們還設(shè)計了電池充電和使用的最優(yōu)機制,使得Fisher信息最小化,并且將Fisher信息作為一個指標,令家庭用電量的估計誤差方差最大,而不用考慮攻擊者使用的估計機制;將框架部分從無偏估計擴展到了有偏估計,并且考慮了電池充放電的價格對電池最優(yōu)機制的影響。

LI S等人[12]通過研究證明尋找最優(yōu)充電策略的問題可以轉(zhuǎn)化為一個馬爾可夫決策過程。假設(shè)用戶負載序列是一個一階馬爾可夫過程,電池滿足理想的充電守恒,隱私強度使用電池輸出和用戶負載之間的歸一化互信息(泄漏率)來測量;假設(shè)滿足因果關(guān)系并且電池充電守恒,研究使泄漏率最小的最優(yōu)充電策略。在特殊的獨立同分布需求條件下,求解了最優(yōu)策略的特征,證明了相關(guān)的泄漏率可以表示為一個單一互信息表達式,并且證明了最優(yōu)充電策略可以直觀地解釋狀態(tài)不變性。

2.2 硬件架構(gòu)的改進

針對相關(guān)研究都是使用單塊可充電電池保護用戶智能電表的隱私、隱私保護強度略顯不足的問題,LIU Y H等人[13]將其擴展為擁有兩塊能夠獨立運行的可充電電池的電池網(wǎng)絡(luò)。兩塊電池串聯(lián)在一起,用戶負載被輸入到第一塊電池中,第一塊電池的輸出又被輸入到連接外部電網(wǎng)的第二塊電池中。兩塊電池均獨立工作,假設(shè)滿足理想的守恒定律,電池網(wǎng)絡(luò)的最差效果是使用單個同容量電池時的效果。LIU Y H等人采用歸一化互信息(泄漏率)作為隱私度量。最小化電池之間的互信息與保證電池間的聯(lián)合作用是一對互相矛盾的目標,用戶可以選擇每塊電池的充電策略,以最大限度地減少信息泄露。兩塊電池之間的聯(lián)合作用擴展了單電池方案的功能和強度。

智能電網(wǎng)有助于可再生能源的整合,是減少人類社會對化石燃料的依賴并轉(zhuǎn)向低碳經(jīng)濟的一個基本因素。GIACONI G等人[14]將可再生能源與可充電電池相結(jié)合,通過部分隱藏消費者能耗行為來研究智能電表的隱私問題。通過信息泄漏率衡量隱私強度,信息泄漏率表示用戶實際能源消耗與電網(wǎng)所請求的能源總量之間的平均互信息。在兩種極端情況下,即電池容量為無窮大或零時,最小信息泄漏率可以表示為一個可計算的閉合式單字母表達式,得到的兩個漸近性能結(jié)果是有限容量電池智能電表系統(tǒng)隱私性能的上界和下界;但實際情況中往往是有限容量存儲設(shè)備和連續(xù)輸入負載。研究結(jié)果表明,雖然信息泄漏率隨著可再生能源可用性的增加而降低,但為了充分利用可用能量來提高隱私性,還需要更大的存儲容量?？傊?近期國內(nèi)外針對可充電電池的隱私保護技術(shù)的研究對比如表2所示。

表2 使用可充電電池的隱私保護技術(shù)對比

3 結(jié) 語

通過回顧近幾年來國內(nèi)外在智能電表隱私保護方面的主要研究脈絡(luò)發(fā)現(xiàn),可充電電池進行隱私保護主要是利用電池的充放電模糊用戶的用電模式,使得攻擊者無法獲得準確的電力能耗記錄。保護方法從單塊電池逐步發(fā)展為含有多塊電池的電池網(wǎng)絡(luò)以及包含可再生能源設(shè)備的保護機制。隨著智能電表隱私保護問題的深入研究,隱私泄露的風險會越來越小,智能電表將會更好地為每個家庭提供服務(wù)。