◆吴联大 邓 攀 莫凌峰 杨诗清



一种智能电表的隐私保护方案

◆吴联大 邓 攀 莫凌峰 杨诗清

(南华大学电气工程学院 湖南 421001)

智能电表是智能电网中最重要的用户侧设备，然而其大规模应用正面临着数据隐私问题的挑战。本文设计了一种智能电表的隐私保护方案，该方案利用对称同态加密算法来有效地保护用电数据的机密性和完整性，并通过数据安全聚合保护用户隐私。最后，通过软件仿真验证了该方案在计算开销上的优越性。

智能电表；同态加密；隐私保护

0 引言

智能电网中，由智能电表、广域通信网络及相关管理系统共同组成的系统称为高级量测体系（Advanced Metering Infrastructure, AMI），负责用户用电数据的测量、收集和运用。用户侧的智能电表需要每数分钟采集一次实时用电数据并将其发送至电力企业以供运营和管理之需。然而已有研究表明，对实时用电数据的分析可能暴露用户日常行为习惯等隐私信息[1]。

目前，已有许多文献提出了用电数据的隐私保护技术。这些技术分为身份隐私保护技术和数据隐私保护技术两大类[2]。前者的目标是，电力企业或其他实体可以知晓智能电表的实时用电数据，但无法把数据和某一确定电表对应起来；后者则正好相反，智能电表的身份可以被公开，但单一智能电表的用电数据应确保不被外部目标窃听或截取，也不能被电力企业直接访问。数据隐私保护的关键在于，不仅要对智能电表的实时用电数据进行加密，还要将数据以某种方式合并从而隐藏单一用户信息，通常称之为安全聚合。安全聚合一般通过具备加法同态性的加密算法来实现，即在不经过解密的情况下计算若干电表的用电数据之和，从而隐藏单一电表数据，实现隐私保护。

很多数据隐私保护方案[3-6]均应用了具有加法同态性的非对称加密算法，如著名的Paillier[7]密码系统。然而，非对称加密算法的运算复杂度往往较高，可能不适合成本和处理能力有限的智能电表。与之相比，本文基于Cheon等人[8]提出的对称同态加密算法设计了一种智能电表隐私保护方案，其加密和解密只需要使用模乘法及加法运算，可有效降低运算复杂度。

1 智能电表隐私保护方案

1.1 网络结构

本文的研究对象是一个具备用电信息自动采集功能的住宅小区，或者称为一个简化的AMI网络，如图1所示。该网络主要包含以下三类实体：

（1）控制中心(Control Center)，包含主控系统、前端服务器、存储服务器等一系列设备。其作用是接收并处理收集到的用户用电信息，以及将各类信息和命令发送至智能电表。控制中心也作为密钥服务器负责通信密钥的分发、撤销和更新，或可将此功能交付可信任第三方(Trusted Third Party, TTP)。

（2）集中器(Local Aggregator)，是安装于小区内的专用采集设备。根据覆盖范围不同，一个小区内可以安装一个或多个集中器。集中器的作用是采集小区用户的用电数据（主要包括实时用电数据、账单信息、智能用电策略等），并通过专用通信信道传输给控制中心，以及下发或执行控制中心的管理命令。

（3）智能电表(Smart meter)，安装在小区用户侧的终端设备。智能电表的主要功能之一是记录、存储用户的实时用电数据，并将其发送至集中器。另一方面，智能电表可以自动或由用户手动执行集中器下发的各类管理命令。

出于建设成本的考虑，集中器一般采用无线通信方式覆盖小区内所有智能电表，可以视为一个微型基站。根据用户环境特性的不同，集中器与控制中心间可以使用光纤、4G、电力线载波等技术进行通信。在本文中，所有的无线信道被视为不安全的，即可能被窃听或攻击。

图1 简化的AMI网络

1.2 方案初始化

在数据通信开始前，需要进行方案初始化，包括以下步骤：

（1）控制中心选择安全参数Q和sk，以及用于HMAC算法的验证密钥ak。

Q：消息空间范围，其大小视具体需求而定。每一条明文消息可以表示为位于(-Q/2.Q/2]的整数。

sk：通信密钥，sk={N, p1, p2, q1, q2}。这里，p1和p2为两个η位的大质数，且和Q互质；N为p1和p2的乘积；q1是一个1到N之间，模p1为1且模p2为0的整数，即：

类似地可以定义q2。

ak：验证密钥，为一满足长度要求的随机二进制串。

（2）智能电表Mi(i=1,2,..n)向控制中心发起设备注册请求。注册时可以使用指纹识别，智能卡等方式来验证户主本人身份，并通过电表内置的初始密钥来确保此次通信的安全性[6]。注册完成后，Mi将获得设备身份标识IDi，通信密钥sk和验证密钥ak。

1.3 数据通信流程

智能电表的数据通信流程包括以下步骤：

（1）生成用电数据。在一天当中的固定时刻，智能电表Mi生成本时段用电数据di={IDi, ci, ts}。其中IDi为设备身份标识，ci为本时段用电量，ts为采集时间。后续计算要求ci为整数，为此可将其小数点向右移动一个固定的位数；

（2）数据加密。在(-2ρ, 2ρ)范围内选择随机整数ri，这里ρ为大于η的整数，且相差一定距离。计算密文：

（3）生成消息验证码。使用密文ei，采集时间ts和验证密钥ak计算：

（4）Mi将{IDi, ei, maci, ts}发送至集中器。

集中器的数据通信流程包括以下步骤：

（1）将接收到的采集时间ts和本地时间对比，若匹配则接受数据，否则丢弃数据；

（2）用ei和ts重新计算maci，若匹配则接受数据；否则，丢弃数据，记录IDi并向服务中心发送警告消息。

（3）将数据进行安全聚合。即计算：

然后，使用安全信道将esum发送至控制中心。

控制中心使用sk进行解密。即计算：

由剩余定理易知：

即解密结果为整个小区的本时段用电总量。

纵观整个数据通信流程可见，直接和隐私相关的单一用户用电数据ci经加密后最远仅到达集中器。集中器不具备解密的能力，因为安全聚合并不需要通信密钥sk。控制中心虽然具备解密能力，但解密后只能获知小区用电总量csum，并不能由此推断出单一用户用电数据。因此，单一用户的用电数据隐私得到了保护。

2 安全性分析

除了对用电数据隐私的保护以外，本文提出方案还包括以下几个方面的安全性：

2.1 用电数据的机密性

机密性即所有的受保护数据不应被未授权实体所访问，如窃听者等。在通信密钥不泄露的情况下，这直接依赖于加密算法的安全性。本文采用算法的安全性依赖于co-ACD(co-Approximate Common Divisor)问题在数学上的难解性，也就是说如果存在一种算法能高效地求出co-ACD问题的解，那么算法就是不安全的。Chen[9]和Coron[10]提出了对co-ACD问题的一些攻击方式，而Cheon[8]指出合理的参数选择仍然可以保证该算法的安全性。同时，为进一步提高方案的安全性，算法的安全参数应当作定期更新。

2.2 用电数据的完整性

完整性主要通过消息验证码算法HMAC来保证，而HMAC的安全性主要依赖于验证密钥，即只要验证密钥不泄露，可以认为所有的消息验证码是可靠的。同样为提高安全性，应当定期更新验证密钥。应当指出的是本方案采用HMAC是因为其在计算和通信开销上都具有优势；一些数字签名算法可以提供更好的安全性能，但会引入额外的计算和通信开销。

2.3 应对重放攻击

重放攻击是指截取网络中合法数据包并在一定时间后在网络中重传以干扰系统运行。本方案在数据中加入了采集时间并用于生成消息验证码，从而过时数据包的消息验证码将不会被接受，可以在一定程度上防止重放攻击。

3 性能分析

由于加解密运算是方案中计算开销的主要部分，这里从加解密的计算开销方面来分析方案的性能。本文方案所使用算法是一种快速的对称同态加密算法，在加解密过程中的复杂运算相对较少。表1列出了本文方案与经典的Paillier算法之间的密码学运算次数比较。

表1 密码学运算次数比较

由表1可见，本文方案的一大优势是加密和解密过程均无需进行模指数运算，而大整数的模指数运算正是影响计算开销的主要因素。

最后，通过软件仿真程序验证方案实际性能。仿真程序运行的硬件和软件环境是Intel Core 2 Duo T9400 CPU, 3GB内存，JDK 7.0。表2列出了本文方案与Paillier算法在几种不同安全参数下的加解密运算时间比较。这里消息空间范围Q取2256，即32字节；安全参数在本文方案中指模数N的位数2η，也作为Paillier算法中的公钥长度；随机整数ei的长度取ρ=η+256。

表2 加解密运算时间比较

由表2可见，本文方案的加解密时间确实远小于Paillier算法。进一步地，对于其他需要使用模指数运算的算法而言，可以认为本文方案在计算开销上更具有优势。

4 结论

智能电表作为智能电网用户侧不可或缺的设备，其应用和推广中必须要解决的一个问题就是隐私保护问题。本文为解决此问题设计了一种智能电表隐私保护方案，利用具有加法同态性质的对称加密算法对用户实时用电数据进行加密和安全聚合来保护用户隐私。安全性分析和软件仿真表明，该方案在实现用电数据隐私保护的同时，具有较好的安全性和较低的计算开销，尤其适用于处理能力有限的智能电表设备。

[1]Khurana H, Hadley M, Lu N, et al.Smart-Grid Security Issues[J].IEEE Security & Privacy，2010.

[2]田秀霞，李丽莎，孙超超等.面向智能电表的隐私保护技术综述[J].华东师范大学学报(自然科学版)，2015.

[3]Yu C M,Chen C Y,Kuo S Y,et al.Privacy-Preserving Power Request in Smart Grid Networks[J].IEEE Systems Journal，2014.

[4]Deng P,Yang L.A secure and privacy-preserving communication scheme for Advanced Metering Infrastructure[C]//IEEE Pes Innovative Smart Grid Technologies.IEEE Computer Society，2012.

[5]翟峰，徐薇，冯云，孙毅.面向智能电表隐私保护方案的改进Paillier算法设计[J].电力信息与通信技术，2016.

[6]邓攀，韩光辉，范波等.一种智能电表的安全通信方案[J].电力信息与通信技术，2015.

[7]Paillier P.Public-key cryptosystems based on composite degree residuosity classes[C]//International Conference on Theory and Application of Cryptographic Techniques. Springer-Verlag，1999.

[8]Cheon J H,Lee H T,Seo J H.A New Additive Homomorphic Encryption based on the co-ACD Problem[C]// ACM，2014.

[9]Chen Y,Nguyen P Q.Faster algorithms for approximate common divisors: breaking fully-homomorphic-encryption challenges over the integers[C]//International Conference on the Theory and Applications of Cryptographic Techniques.Springer, Berlin, Heidelberg，2012.

[10]Coron J,Naccache D,Tibouchi M.Public Key Compression and Modulus Switching for Fully Homomorphic Encryption over the Integers[M]//Advances in Cryptology – EUROCRYPT 2012.Springer Berlin Heidelberg，2012.

2016年度湖南省大学生研究性学习和创新性实验计划项目（编号965）。