引言

智能电表与电力系统之间的双向通信,使电力系统能够根据用户实时的用电数据动态地进行负荷调整。由于实时用电数据可以反映出电力用户的个人行为,比如是否在洗澡、是否在看电视,甚至家里有什么电器在使用,由此可能带来了潜在的隐私泄露风险[1]。因此,有必要保护电力用户的实时用电数据不被泄露。此外一些研究结果表明,现有的数据聚合保护方案存在消息验证过程效率不高、验证过程耗时较长的问题[2,3]。

基于上述原因,本文提出了一种智能电表数据聚合方案。该方案采用Paillier同态密码系统[4]可以在一条上传消息中聚合多个智能电表或多种类型的用电计量数据。仿真实验表明,本研究所提出的智能电表数据聚合方案加密和签名效率更高,通信成本更低。

1、Paillier密码系统

Paillier同态密码系统是常用的加密系统之一,已有研究基于该密码系统设计能够保护用户隐私的智能电表数据聚合方案。Paillier密码系统是加法同态,即[5]:

Ek1(a)·Ek1(b)=Ek1(a+b)(1)

其中,E()是加密函数;k1是加密密钥;a和b是两个随机消息。

1.1密钥生成

基于给定的参数k,密钥生成算法将生成两个大素数p1和q1,其中|p1|=|q1|=k/2。计算n=p1q1和λ=lcm(p1-1,q1-1)。然后生成随机数g,使得g∈Z*n2。定义L(μ)=μ−1n,计算gcd(L(gλmodn2),n)=1,其中公钥是PK=(n,g),私钥是SK=(λ,μ)。

1.2加密

消息空间是一个整数集{0,1,…,n2-1}。如果加密消息m,则选择一个随机数r←Z*n并计算密文:c=gmrnmodn2。

1.3解密

给定密文c=gmrnmodn2和私钥SK=(λ,μ),则明文为:m=L(cλmodn2)·μmodn。

2、数据聚合系统

系统结构如图1所示。有四种类型的实体:智能电表、聚合器、电力系统和第三方密钥生成中心(KGC)。所有实体在KGC注册以获取公钥和私钥对。设置独立的KGC一方面可以防止电力系统读取用户电表的私钥获取用户隐私数据,另一方面,如果由智能电表生成密钥对,则聚合器必须将所有合法智能电表的公钥存储到一个列表中,这将增加存储成本。当一个聚合器收到一条消息时,则会检查签名中使用的公钥是否在这个列表中,如果公钥在这个列表中,这个消息来自合法的智能电表,否则,这个消息不是来自合法的智能电表。在本研究中,KGC基于智能电表的身份生成智能电表的公钥对,其他任何电力系统都可以使用智能电表的身份来计算它的公钥。通过这种方式,聚合器不必存储智能电表的公钥。此外,对于聚合器而言密钥的计算成本也不高[6,7]。

图1系统结构

数据聚合系统的三层模型如图2所示。智能电表分为若干组,同一组中的电表将其聚合计量数据上传给相应的聚合器。在一个固定的时间间隔内,每个智能电表检索各自的计量数据,并应用同态加密和签名算法来生成加密和签名的数据,然后再将这些加密和签名的数据发送到聚合器。当聚合器收集所有智能电表的加密计量数据后,将其相加并将该聚合数据发送给电力系统。电力系统可以使用其私钥检索计量数据。这样,聚合器将获得智能电表的总用电量数据,但无法知道每个智能电表的具体用电量数据。

图2系统模型

本研究对Paillie加法同态加密方案做了一些改进。使用Paillier设计的原始同态加密方案,智能电表一次只能加密一种类型的数据。然而,在本研究方案中,智能电表可以同时加密多重数据。通过这种方式,智能电表可以同时向电力系统上传多重聚合数据,从而降低了计算成本和通信成本。

3、数据聚合方案

本研究提出的智能电表数据聚合方案所涉及的一些符号定义如表1所示。

表1符号定义

3.1系统初始化

系统初始化过程包括两个步骤。首先,KGC生成椭圆曲线[8,9]的参数。其次,为Paillier密码系统生成参数。

步骤1:KGC生成阶为n1的乘法组G1。令P是G1的随机数生成器,e:G1×G1→G2是双线性映射。KGC选择一个私钥dx∈Z*n1,然后选择公钥Rx=dxP。

步骤2:生成密码系统的参数n、p1、q1、λ、μ、g[10]。其中k是1024位比特质数,而n2是大约2048位比特数。公钥是PK=(n,g),私钥是SK=(λ,μ)。电力系统将公钥{n,g}发布给其他所有实体,并对其私钥(λ,μ)保密。

3.2注册阶段

注册消息是通过专用和安全通道发送的。智能电表Mi获取当前时间戳ti,并计算消息哈希值hi=h(idi‖ti),电表Mi将注册请求{idi,ti,hi}发送到KGC。

当KGC收到此注册请求时,将检查等式hi=h(idi‖ti)是否成立。如果成立,则将电表Mi的私钥计算为:di=dxH(idi)。然后KGC将{di}发送回电表Mi,Mi存储{di}作为私钥,公钥为Ri=H(idi)。

聚合器的注册过程与此类似,标识为聚合器将获得其私钥为dj=dxH(idj),公钥为Rj=H(idj)。

电力系统的注册是类似的,注册后,标识为电力系统将获得其私钥ds=dxH(ids)和公钥Rs=H(ids)。

3.3多重数据聚合

为了聚合多个智能电表数据,聚合器首先生成一组数字a⃗=(a1,a2,⋯,al),其中a1=1,ai>∑i−1j=1(aj×uj×w),i≤l,w是智能电表的数量,uj是j的上限。之后,聚合器将生成一组随机数G={gi|gi=gai,i=1,2,…,l}。智能电表以下列方式上传l种类型的聚合数据:

①电表Mi分别提取其数据mi1,mi2,…,mil;

②电表选择一个随机数ri←Z*n并计算密文ci=gmi11·gmi22·…·gmill·rnimodn2;

③电表Mi计算其与聚合器之间的共享密钥:kij=e(di,H(idj));

④计算电表Mi签名Vi=h(ci,idi,ti,kij),ti是当前时间戳;

⑤电表Mi向聚合器发送{ci,Vi,ti,idi}。

当聚合器收到{ci,Vi,ti,idi}时,首先计算其与智能电表之间的共享密钥,随后将使用此密钥按照以下步骤检查消息的正确性。

①检查时间戳记ti;

②计算共享密钥:kji=e(H(idi),dj);

③计算签名V′i=h(ci,idi,ti,kji),并将其与Vi进行比较,如果相等,则接受该消息。

用以下等式可证明智能电表idi和聚合器idj之间签名方案的正确性。

公式1

聚合器收到聚合了所有智能电表的计量消息后,则按照以下步骤将消息发送给电力系统。

①首先按照下式计算cj:

公式2

②计算共享密钥:kjs=e(dj,H(ids));

③计算签名Vj=h(cj,idj,tj,kjs),tj是当前时间戳;

④将{cj,Vj,tj,idj}发送给电力系统。

电力系统获得{cj,Vj,tj,idj}之后,首先检查消息的有效性。然后使用其私钥按照以下步骤解密cj。

①检查时间戳记tj;

②计算共享密钥ksj=e(H(idj),ds);

③计算签名V′j=h(cj,idj,tj,ksj)并将V′j与Vj进行比较,如果相等,则接受该消息;

④使用其私钥对cj解密,然后分别得到∑wi=1mi1,∑wi=1mi2,…,∑wi=1mil。

4、仿真分析

本研究采用了基于Java的配对密码学库(JPBC)[11]实现上述的数据聚合算法。仿真实验在64位Windows10操作系统上进行。实验终端的配置为:CPU是Intel(R)Core(TM)i73370K3.5GHz处理器、内存8GB。

4.1计算效率

实验首先分析加密方案和签名方案的效率,因为总的计算时间主要取决于加密方案和签名方案的效率。智能电表主要任务是:①利用公钥对用电量数据进行加密;②对加密后的数据进行签名。数据聚合器主要任务是:①检查签名的正确性并确认这条消息是否来自合法的智能电表;②如果签名正确,则将加密的数据连接在一起。接收数据的电力系统首先检查签名的正确性,然后解密加密的数据,以获得聚合的用电数据。

第一个实验是对比分析同态密码系统的效率。实验中所使用的两个密码系统是本研究所设计的Paillier密码系统和基于身份的同态密码系统[12]。Paillier同态密码系统中k的长度设置为1024位。实验步骤为:①生成一系列随机数a1,a2,…,an,n分别设置为20、40、60、80、100、120、140、160和180;②使用同态加密方案对a1,a2,…,an进行加密,得到E(a1),E(a2),…,E(an);③对加密结果相加得到∑n1E(an);④解密∑n1E(an)得到初始随机数的总和∑n1an。

实验结果如图3所示。横轴表示n,纵轴表示计算时间。由图3发现,当n小于60时,Paillier密码系统效率更高;而当n大于60时,基于身份的同态密码系统效率更高。因此在低于60个智能电表数据聚合的应用环境中,本研究所提出的基于Paillier加密系统的数据聚合方案具有更好的加密效率。

图3同态密码系统的比较

第二个实验分析数据聚合方案的签名效率。实验步骤为:①生成一系列随机数据a1,a2,…,an,n设置为20、40、60、80、100、120、140、160和180;②分别采用本研究、基于身份的同态加密方案以及基于超增数列的Paillier同态加密聚合方案[13]对这些随机数据进行加密;③在这些加密数据上生成相应的签名;④验证签名的正确性;⑤计算步骤③和步骤④的时间成本。

实验结果如图4所示。横轴表示n,纵轴表示计算时间。可以发现所提出的签名方案在任何情况下都是效率最好的。

图4签名方案的计算成本

第三个实验是模拟数据上传。实验将l设置为1。20、40、60、80、100、120、140、160和180个智能电表同时上传数据的实验结果如图5所示。横轴表示智能电表的数量,纵轴表示计算时间。从图5中可以清楚地看出,本研究所提方案的计算时间是最少的。

图5数据上传阶段的计算时间

4.2通信成本

通信成本分为两部分,一部分是从智能电表到聚合器的通信成本,另一部分是从聚合器到电力系统的通信成本。对通信成本的比较结果如表2所示。Paillier密码系统中k的位长设置为1024位,n2的大小为2048位。椭圆曲线系统中Z+n1的元素为256位,G1的元素是512位,而GT的元素也是512位。SHA-256的结果是256位。时间戳是32位,智能电表的标识位(id)也是32位。

表2通信成本对比

对于本研究提出的方案,智能电表将{ci,Vi,ti,idi}上传至聚合器。ci是n2的模数,为2048位;Vi是SHA-256的结果;ti是时间戳;idi是一个智能电表的标识位。从智能电表到聚合器的通信成本为(2048+256+32+32)=2368位。从聚合器到电力系统的通信成本也为2368位。

在超增数列方案中智能电表将{ci,RA,Ui,TS,σi}传至聚合器。在该研究方案中,ci也是2048位;|Ui|+|RA|+|TS|的位长是100位[6];σi是G1的元素。因此,消息的位长为(2048+100+512)=2660位。从聚合器到电力供应商的通信成本也为2660位。

在身份同态方案中智能电表将{CTi,Vi,Ti,idi}发送给聚合器。在该研究方案中,CTi=(gri,gmiT*Wi),gri和Vi是G1的元素,为512位;gmiT*Wi是G2的元素。T1是32位时间戳,idi是32位长的标识。因此从智能电表到聚合器的通信成本为(512×3+32+32)=1600位。从聚合器到电力系统的通信成本也为1600位。由上述分析可知,本方案的通信成本相对较低。

5、结束语

本文介绍了一种智能电表数据聚合方案。该方案使智能电表能够报告多维数据,使电力公司能够对数据进行更深入的分析,使电力公司能够了解数据的方差,对数据进行单向方差分析等。实验结果表明,与相关研究相比,该方案在计算时间和通信成本上都具有优势。

参考文献：

[1]谭德林,谭良.具有全同态属性的密码方案的研究及应用[J].计算机工程与设计,2019,40(5):1205-1209.

[2]李元诚,张攀,郑世强.基于经验模态分解与同态加密的用电数据隐私保护[J].电网技术,2019,43(5):1810-1818.

[3]张思佳,顾春华,温蜜.智能电网中的数据聚合方案分类研究[J].计算机工程与应用,2019,55(12):83-89,154.

[4]何薇,赵波,刘育博.基于隐私保护的实时电价计费方案[J].计算机应用研究,2019,36(6):1788-1792.

[5]张敏情,李天雪,狄富强,等.基于Paillier同态公钥加密系统的可逆信息隐藏算法[J].郑州大学学报:理学版,2018,50(1):8-14.

[6]彭林,鲍兴川.基于混合组网技术的数据聚合器最佳部署方案研究与设计[J].计算机应用与软件,2018,35(1):154-159.

[7]周华,陈杰,张跃宇,等.智能电网多级网络下多维数据聚合方案[J].密码学报,2017,4(2):114-132.

[8]苏杰波,张小萍,李道丰,等.一种同态密码体制下加密云数据的隐私保护CART算法[J].小型微型计算机系统,2016,37(11):2537-2541.

[9]王惠清,周雷.基于Paillier加密的数据多副本持有性验证方案[J].计算机科学,2016,43(S1):370-373,409.

[10]余勇,叶云,黄刘生,等.一种面向智能电网的隐私保护数据聚合协议[J].小型微型计算机系统,2016,37(5):1097-1101.

[11]孟祥萍,周来,王晖,等.面向云计算的智能电网数据安全策略研究[J].电测与仪表,2015,52(13):105-110.

矫真,王兆军,郭红霞,郭红梅,李骁.基于同态加密的智能电表数据聚合方案[J].信息技术,2020,44(05):32-36.