应杰耀

(1.浙江大学 软件学院，浙江 宁波 315048；2.国网浙江省电力有限公司 嘉兴供电公司，浙江 嘉兴 314000)

随着计算机、通信和电力等多种技术的持续发展，智能电网逐渐取代传统的电力网络，实现了具有高可靠性、高效率和高稳定性的电力分配与传输系统[1-3]。基于上述优点，智能电网获得了广泛的关注与应用，基本实现了电力网络数据的分布化、信息化与自动化。在实际应用过程中，智能电网需要实时地交流双向的能耗信息，这导致电能企业和终端用户面临国家经济数据与个人隐私泄露的风险。在智能电网的系统结构中，电能生产端及传输端具有重要地位。其核心数据包含电力设备的控制权限、工作状态与系统架构等，详细的电力大数据信息能够反映出下游行业和终端用户的用电情况，因此这些数据信息将直接关系到国家的经济、军事和金融安全。而在智能电网的具体微观应用中，终端用户个人的一系列能效数据可以精准地映射出私人信息与日常活动，从而造成严重的个人隐私暴露。总之，作为新型的电力网络技术，智能电网为人类生活提供了便利，但同时该系统的数据安全问题也存在较大的隐患。

为了避免智能电网中的数据被攻击者窃取及破坏，国内外学者在物联网技术的基础上，曾提出了众多具有较高参考意义和推广价值的工作。文献[4]首次在电网的数据安全风险评估中引入了数据库管理系统，利用计算机技术优化了电网系统的安全性能。文献[5]通过批判性地回顾电网的可靠性研究，提出具有网格结构的IT(Information Technology)体系框架，从而实现毫秒级的监视及控制功能的智能电网结构。文献[6]通过讨论智能电网中的可信计算和公钥计算等多项关键技术与基础设施，指出经过验证的最新信息安全技术，提出了未来智能电网可靠性研究的发展方向。从电力供应端和使用端等方面，本文分析了智能电网可靠性的研究现状，探讨了其数据安全研究所面临的主要问题，也对未来研究方向进行了展望。

1 智能电网的攻击类型

智能电网是一种综合传感测量、设备远程控制、决策支持系统和高速通信等多种先进技术的电网系统，由变电站、配电网、电能表、交互终端与储能系统等多种智能子系统组成，其具体特点包括：可靠性、安全性、低成本及高效率等。

在时间和空间维度上，智能电网具有较高的复杂性。其通常由完整的电力系统及通信系统组成。其中电力系统是一种具有稀疏连接关系的复杂网络，其网络结构具有较小的规模及高度的稳定性，兼具小世界和无标度网络等特性。然而通信系统具有非常复杂的网络架构，其网络结构规模通常较大且稳定性较低，是标准的无标度网络。换言之，智能电网中的电力网络和通信网络具有较大的差别，这直接导致整体系统较为脆弱，使单一系统出现较小的故障。若处理不及时，则会引起严重的级联故障，导致大规模的停电，从而造成经济秩序的破坏及人身安全的威胁。鉴于这一点，攻击者可利用丰富的网络攻击手段，干扰、破坏智能电网系统的正常运行。

目前，对智能电网的攻击方法具有种类多、范围广和威力大等多种特点，按照攻击对象的不同，所有攻击可分为电力生产端、传输端及终端攻击，进一步可细化为设备攻击、数据攻击、个人隐私攻击与网络攻击：(1)设备攻击利用电力设备计算能力较低、存储空间较小级网络传输延迟高等特点，从而窃取高密级的数据、获取现场设备的控制权限，或是伺机破坏重要的网络路由器等设施；(2)数据攻击是指攻击者在通信网络的工作过程中，恶意篡改核心数据或控制命令，从而误导电网工作人员做出失败的决策；(3)个人隐私攻击的主要对象是智能电表的终端用户，即分析用户的历史用电数据和个人信息，进而实施窃电行为或实施其他领域的犯罪与破坏行为；(4)网络攻击是指通过恶意耗费网络的通信资源而彻底破坏电网数据通信的攻击方法。以上这些攻击方法均可对现有的智能电网造成破坏，本文仅对设备攻击及个人隐私攻击进行探讨和研究。

2 虚假数据注入攻击

目前，在所有的设备攻击中，虚假数据注入攻击是被广泛关注与研究的攻击方法之一。通常虚假数据注入攻击是一种高度隐蔽的攻击手段，且较容易通过电力系统的数据检测，从而造成设备故障和经济损失。文献[7]通过修改电力仪器的测量数值，导致电力系统的状态估计产生较大的偏差，进而首次提出了虚假数据注入攻击。文献[8]和文献[9]分别利用虚假数据注入攻击，对电力的线路传输故障进行了掩盖，从而攻击市场运营系统，并大幅扩展虚假数据注入攻击的攻击范围级攻击方法。文献[9]提出了抵抗虚假数据注入攻击的整体防御弹性框架，即设计具有分布式结构的能源框架和关键基础设施。文献[10]证明虚假数据注入攻击能够破坏电网系统的不稳定性，同时破坏自动控制系统的实时数据，即文献[10]首次在理论上证明虚假数据注入攻击具有较强的可行性和破坏性。通过总结这些文献可知，虚假数据注入攻击突破了智能电网系统的不良数据检测，从而将测量偏差数据加入到电网系统的状态估计值中。

目前，对于虚假数据注入攻击的研究主要集中在攻击构造、攻击检测和攻击防御等3个方面的研究。

虚假数据注入攻击的构造研究需要寻找具有较大影响力的电网数据类型，其重点在于分析影响电网系统稳定性的核心因素。其中，文献[11]通过模拟自动发电控制系统的虚假数据注入攻击，提出了系统频率等多种影响因素。文献[12]提出了具有屏蔽不良数据观测的注入攻击。文献[13～14]分别提出了较高复杂度的恶意攻击和重放攻击，丰富了虚假数据注入攻击的类型和方法。近年来，按照执行条件的不同，虚假数据注入攻击的构造还可分为一定限制条件[15-17]、部分信息未知[18-20]和结构可控[21-23]等多种情况。

虚假数据注入攻击的检测研究需要精准地识别多种攻击的算法或模型。按照具体的识别原理，虚假数据注入攻击的检测研究可分为基于图论与距离的检测方法和基于物理结构的检测方法等。在这些检测方法中，利用图论与距离完成虚假数据注入攻击检测的研究工作较多[24-29]，近年来具有代表性的工作主要有文献[27～29]。文献[24～26]分别引入了Kullback-Leibiler距离、马尔科夫链和Petri网络，实现虚假数据注入攻击的检测，进一步丰富虚假数据注入攻击的检测方法。文献[27]首次从图论的理论角度计算距离的概率分布，从而实现攻击的检测，但其检测实验仿真的成功率不够稳定。文献[28]利用构造网格系统与设计区间观测器的方法，通过设置预计算阈值和自然检测阈值，精准地估计电网系统的内部状态及外部干扰，完成了虚假数据注入攻击的精准检测，具有一定的参考价值和借鉴意义。文献[29]通过引入测量矩阵和攻击矩阵，顺利地将虚假数据注入攻击的检测问题转变为矩阵分离问题，再利用低秩矩阵分解和立即分解等多种算法解决矩阵分离的核心问题。在攻击检测方法中，基于物理结构信息的虚假数据注入攻击检测也涌现了一系列的代表性成果[30-32]。其中，文献[30]在扩展卡尔曼滤波算法的基础上，使用检测数据获取电网系统的实时运行状态，从而实现虚假数据注入攻击的检测。文献[31]采用分布式的分解方法，得到了电网系统中子网的最优解，降低了检测算法复杂度，具有一定的借鉴意义。文献[32]通过引入微相量的测量单元实现设备数据的采集，训练得到具有瞬态级稳态异常检测功能的多元高斯模型，从而实现攻击的精准检测。

为了抵抗虚假数据注入攻击，大量学者也做出了较多高价值的研究工作[33-35]。文献[33]充分利用电网系统的空间相关性，设计了具有修复功能的预测回复策略，从而避免智能电网遭受虚假数据注入攻击。文献[34]使用贪心算法规划PMU布局，搜索具体的测量数据子集，实现更加隐蔽的虚假数据注入攻击的防御。该方法优化了攻击的防御效率和准确度。此外，在文献[34]的基础上，文献[35]通过利用分布式算法，以更大的准确度寻找攻击执行的位置，从而实现电网系统的防御，需要说明的是，这种方法也可以抵抗常见的拒绝服务攻击。

3 针对智能电网的隐私保护

近年来，在所有攻击方法中，窃取终端用户的个人隐私攻击是最常见的黑客攻击手段，这也是热点问题之一。但是鉴于个人隐私攻击的性质和属性，目前对其攻击方法的研究工作较少，对隐私保护的方案的研究较多。

为了抵抗智能电网中的个人隐私攻击，研究者曾提出了众多数据的保护方案。在这些保护方案中，采用数据采集的聚合方案较为少见[36-38]，此外，大量研究方案主要集中于同态加密的研究与应用，这也是目前隐私保护的研究热点和方向。

文献[39～40]通过引入具有多种密码学性质的Paillier密码体制，与智能电网的工作过程进行了充分地融合及写作，实现较高安全强度的隐私保护方案，从而在多种条件下保证终端用户的个人隐私。研究者曾尝试通过借鉴多种公钥同态加密方案，实现电网终端用户的隐私保护。其中，通过移植BGN同态加密算法而实现隐私保护的工作可参考文献[37～38]。文献[41]在隐私保护中采用具有较大计算复杂度的格密码算法，这些工作均有较高的理论深度且尝试了智能电网的多种可能性。但需要指出的是，这些复杂度较高的算法能够完美地实现信息的加密和解密。但是，由于智能电表的工作环境恶劣且计算资源欠缺，同时BGN算法和格密码算法的计算成本较高，所以这些研究具有较优的理论性与较差的实用价值。

为了进一步保护智能电网终端用户的个人隐私，有研究提出基于数据加噪的方案[42-44]。这些方案能够实现对个人隐私的保护，其主要原理在于通过向智能电表的核心数据添加可以精准控制的噪声值，但攻击者并不能获取噪声的生成方法，从而无法去除噪声值，因此攻击者难以获取终端用户的核心数据。文献[43]通过引入值得信赖的独立第三方，从而产生具体的数据噪声，以较低的计算资源实现了个人隐私的保护，然而这种方法仍存在较大的问题。这主要表现在实际应用中，方案实施者较难找到完全独立可信的第三方，其噪声生成方法存在泄漏的可能性，换言之，这种方案在理论上仍存在一定的缺陷与漏洞。此外，在第三方数据加噪方案[45-46]的基础上，文献[47]在数据噪声方案中去除了第三方的参与，故噪声生成方法需要多个用户协商完成，并大幅提高了数据噪声方案的安全性。然而，其依旧存在较大问题，尽管数据噪声方案的安全性得到了提高。但该方案需要用户协商，意味着用户之间需要进行大量通信，这不仅导致用户的通信成本大幅增加，且用户间的通信也存在被攻击者窃听的隐患。

在智能电网数据采集过程中，攻击者既可以窃取单个用户的个人信息和用电数据，又能够从多维度出发，搜集用户不同类别的用电数据。对于该种攻击问题，较多学者也提出了具有多维度的隐私保护方案，其代表性的工作主要有文献[39，48～50]。其中，文献[39]基于Paillier密码算法提出了同态加密的具体方案，但因为一般的加密算法由不可信任的网关设备执行，所以用户的个人隐私同样面临较大的被窃取风险。文献[48]在椭圆曲线密码体制的基础上，提出了具有多维度特征的数据聚合方案。文献[49]使用混淆的方法传输需要保密的用户信息，这两项研究方案均具有极高的安全性，然而这些方案均依赖不可信的第三方，从而降低了这两项隐私保护方案的安全性与可行性。需要说明的是，文献[50]吸取文献[48～49]的经验教训，从隐私保护方案中剔除了具有安全风险的可信第三方，然而该方案需要终端用户执行分布式的解密，难以解决用户动态登录及退出系统的问题。

4 结束语

针对智能电网中的数据安全问题，本文从设备攻击和隐私攻击的研究出发，深入探讨、分析当前多个问题的研究脉络及发展方向。由文中分析可知：(1)在虚假数据注入攻击的相关研究中，攻击构造和检测问题的研究成果较多，从不同的角度均可对智能电网的设备数据造成极大地威胁。然而由于攻击构造与检测的研究比较活跃，攻击防御问题的研究则较为落后。其原因在于智能电网的实际环境与成熟的密码学理论之间需要进行一定地修改，难以进行直接的匹配；(2)在隐私保护方面，终端用户的个人隐私保护研究已取得了较为丰富的成果。然而如何在不依赖可信第三方的情况下，制定具有低计算复杂度的多维度隐私保护方案，仍是研究者们所面临的困难问题。随着通信、计算机和物联网技术的快速发展，对智能电网系统的各种攻击层出不穷，海量的数据安全问题直接威胁着国家安全、经济安全、军事安全及个人隐私。因此这一方向的研究具有重要的理论意义和实用价值，将对未来产生深远的影响。