数据安全及隐私保护在智能电网中的应用研究

摘要

随着信息技术在电力领域的深入应用，智能电网深度融合了传统电网和云计算、人工智 能等技术，智能控制中心可以采集并分析海量用户的各种信息，做出提高收益的决策。然而随着 智能电网开放性的增加，用户的各种信息以及隐私性面临着安全隐患。智能电网具有复杂、强耦合、 强相关等特性，在这种背景下研究用户的数据安全及隐私保护有重要的现实意义。数据聚合技术 在加密用户数据后再进行聚合，比传统的聚合方法成本更低、效率更高；群签名可以验证用户身份, 保护用户隐私，并且最小化通信开销。

关键词：数据安全；隐私保护；数据聚合；群签名；智能电网

内容目录：

0 引 言

1 智能电网的数据安全及隐私问题

2 基于数据聚合技术的隐私保护方案

3 基于群签名技术的保护方案

4 结语

引言

智能电网通常会实时监控智能电表的数据，并 远程采集后存放在云端；智能电表中含有用户的身 份信息、实时数据等隐私内容，这些在云端的数据 如果不加以控制的话会造成智能电网用户隐私数据 的泄漏。

1、智能电网的数据安全及隐私问题

随着云计算技术、人工智能技术、大数据技术 等在电力领域的不断深入应用，智能电网也越来越 向智能化、自动化发展。然而，这种智能电网的应 用需求使用户逐渐暴露于日益增长的数据安全及隐 私泄露威胁下。

作为一个复杂并且高度耦合的专业系统，智 能电网的数据安全建设至少需要满足以下要求：

（1）可用性。需要确保电力系统数据的正常使用， 一旦出现可用性问题，会导致电力系统丧失智能性, 难以全面正确地感知电网的运行状态。

（2）完整性。电网内部的数据，如果未经授权不能被随意修改， 避免电力系统中的数据被恶意破坏、篡改，否则的 话会因为无法及时检测到电网中潜在的安全风险。

（3）隐私性。在智能电网各业务系统服务的全流 程中，要确保用户的隐私数据不会被泄露给未授权 用户；另外数据所有者可以任意支配其数据。用户 的隐私信息一旦被恶意第三方获取，就可能会被用 来实施进一步的非法目的。

和传统电网中各业务模块的独立性不同，智能 电网中发电、输电、配电以及用电各个环节的联系 更加紧密。电力系统整体层面上，电力系统的安全 稳定运行以及数据隐私问题是智能电网的两大核心 问题。虽然智能电表在实时传输用户端的用电情况、 发布供电侧的发电情况等应用广泛，但硬件设备的 限制使其在进行高强度的加解密计算时受到一定的 限制，因而面临很大的脆弱性，容易受到安全性攻 击。另外，电力系统内在传输数据时也会借助公用 网络，这也给外界攻击者带来机会。

2、基于数据聚合技术的隐私保护方案

智能电网通常借助高级测量体系（Advanced Measurement Infrastructure, AMI ）实现用户端智能 电表数据的釆集、监控以及上传等操作。AMI主要 包括用户网关、智能电表等设备，如图1所示。

图1高级测量体系（AMI）结构

智能电网中有众多的用户类型，而且涉及到多 种业务系统，所以其信息网络很有可能面临安全威 胁。针对智能电网用户侧的攻击类型：

（1） 内部攻击。主要通过设备伪装、恶意中间实体等方 式，伪造或篡改用户数据，从而产生安全威胁。

（2） 外部攻击。针对包括智能电表在内的各种通信终端 进行主动的窃听、故障攻击，窃取用户数据。

（3） 其他攻击。诸如拒绝服务攻击、重放攻击等在内的 攻击方式，其目的不是获取数据，而且使智能电表 等设备不能正常使用。

智能电表中的数据主要有：智能电表用户身份 信息、电表用电总量数据、用电实时数据等。用电 总量数据一般不会对用户隐私产生影响，但实时用 的数据会导致个人隐私信息泄露，外部恶意人员一 旦掌握了电表的用户身份信息以及实时用电数据， 就能够间接的推测用户的电器使用情况及实时活动 信息，从而危及用户的财产安全。另外，如果攻击 人员恶意地伪造或篡改大量用户的隐私数据，就有 可能严重影响智能电网的安全稳定运行。

为了解决高级测量体系（AMI）中智能电表的 数据安全及用户隐私问题，可以设计一种智能电表 的数据安全模型，以某智能电网用户小区作为基本 组成单元；此数据安全模型的主要组成部分包括明 通信信道、可信第三方（Trusted Third Party,TTP）、控制中心（Control Center, CC ）、聚合器以及智能电表，如图2所示。其中的通信信道包括 无线信道以及有线信道两种，由于需要保证数据的安全性以及私密性，因此控制中心与聚合器以及可 信第三方之间进行通信时都是使用有线信道传输数据。

聚合器以及可信第三方必须通过控制中心连接起来，控制中心充当了智能电网中采集信息、反馈 信息的作用。可信第三方的作用是管理AMI安全数据模型通信过程中的密钥。聚合器连接了控制中心以及智能电表，在收集到智能电表的数据后，将其发送到控制中心，同时也会执行控制中心反馈的控 制信号，如果聚合器不能处理此控制信号则转发给智能电表。

图2数据安全模型

智能电表会把用户的用电信息发送给聚合器， 在较短时间内的累积后得到一段时间内的实时用电 数据，这一数据泄露的话有可能影响用户隐私，因 此需要进行重点保护。为了保证用户数据在从智能 电表传输给聚合器的过程中不存在安全问题，需要 在发送给聚合器前先进行用户数据的验证和加密。聚合器每隔一段时间都会对接收到的聚合区域内的 所有智能电表的用户加密数据再次进行加密，然后 才会发送给供电公司。供电公司接收到的聚合后数 据在经过身份认证后，需要进行用户数据的分析、 挖掘，然后把对应的控制信号等信息反馈给用户处 的智能电表。

上述用于保护用户隐私的安全数据模型中，虽 然控制中心与聚合器以及可信第三方之间的有线通 信信道都是安全可靠的，但是涉及到无线通信的通 信信道都存在一定的安全隐患，随时有可能被恶意 第三方攻击。在分析智能电表可能受到的攻击类型 后，可以对上述模型进行改进，使其可以实现的安全目标满足：

（1）双向认证。智能电表在加入 安全数据模型系统之前需要先进行身份认证，这样 做的目的是防止恶意第三方骗取隐私数据；如果认 证不通过，则不允许接入到安全数据模型系统中。

（2）数据的机密性和完整性。实体间传输数据时 需要进行加密，防止未授权实体访问用户的用电数 据、控制信号等隐私信息。

（3）高效率的同时保 护隐私数据。加密数据所使用的秘密算法不仅要能 保证用户数据安全，还应该具有较高的效率，在加 密的同时不能增加智能电表的开销。

为了达成上述目标，使用安全数据模型保护用 户隐私数据的方案是基于这样的假设：恶意攻击人 员只有在同时获取到智能电表的用户身份以及实时 数据才能进行攻击，只获取到任一因素都难以对用 户隐私产生威胁。因此，在使用上述安全数据模型 包含用户隐私时是针对智能电表的实时数据，间接 实现了用户侧智能电表的隐私保护。

每个新增加的智能电表在加入到安全模型之 前，需要先向控制中心注册，注册过程实现了对智 能电表的身份认证。首先，智能电表通过内置的算 法生成自身的具有唯一标识的注册信息；然后加 密注册信息，并进行哈希计算得到消息的验证码 MAC；把加密消息以及验证码同时发送给聚合器。聚合器接收到消息后，通过控制中心转发给可信第 三方，第三方重新计算消息的校验码，如果此校验 码和MAC不一致则拒绝注册请求，如果一致就通 知控制中心核验注册。

基于对称加密算法及数据聚合技术的隐私保护 方案先把用户的隐私数据加密，然后再进行聚合， 比传统的基于公钥算法的数据聚合方法成本开销更 低、效率更高。

3、基于群签名技术的保护方案

通常情况下，基于椭圆曲线算法的群签名方案的基本原理：

（1）初始化。在一个有限域上定义椭圆曲线，并生成椭圆曲线的基点；然后定 义一个可以将椭圆曲线上的点进行变换的函数。

（2 ）加入成员。为请求加入的成员A产生公私钥 对，并发送给群管理者；群管理者B给用户A发 送一个用于盲化身份的密钥，用户B使用此密钥签 名；然后，群管理者B对群内成员完成同样操作。

（3）产生群签名。成员A在发送消息前，对消息 进行签名，并把此签名发送给验证者。

（4）验证签名。签名验证者首先验证签名者（成员A ）是否 是合法的签名者；如果是则确定其收到的签名确实 是成员A对消息的合法签名，否则签名验证不通过。

（5 ）签名者身份追踪。在出现签名争执的情况下， 需要追踪签名用户的身份；在必要的时候，还需要 撤销群成员资格。

基于椭圆曲线的群签名方案在签名长度、签名 验证的计算量等方面效果很好，但是也存在一定的缺陷：

（1）成员撤销算法本身在安全性上有一 定的问题，而且撤销过程也比较繁琐；在撤销成员 时，成员撤销前的所有签名都会成为非法状态，也 就是说是前向不安全的。

（2）签名验证者的安全 性。虽然签名验证者可以按照安全协议的要求进行 签名验证，但他可以把签名认证信息和签名中的公 钥联系起来，从而能够打开之前的签名和新产生的 签名，也就是说基于椭圆算法的群签名机制具有弱 匿名性。

结合智能电表用户隐私数据在应用时的特殊性，可以修改传统的基于椭圆算法的群签名方案：

（1）可以把地域作为智能电表建立群体的要素， 在对智能电表进行分组时，同一小组的用户使用一 个公共的证书，证书验证成功即可认为是合法的用 户；在进行签名验证时，需要借助此组内部所有用 户的公钥，从而避免用户的签名被签名验证者打开 后进行签名身份的链接盗用。

（2）用数据加密标 准（Data Encryption Standard, DES ）等对称加密算 法加密用户的隐私数据以及控制信号等信息，这样 一来就只有控制中心在解密后获取到相关参数；然 后，控制中心把参数提交给高群管理者进行用户追 踪。在这一过程内，群管理者对控制中心负责，而 控制中心对用户负责。

使用改进后的群签名机制保护智能电表的基 本原理：

（1）初始化。定义椭圆曲线，并构 造椭圆曲线的点变换函数；另外，还需要生成群 管理者以及控制中心的公私钥对。

（2）加入新用户。在加入电网之前，新用户需要把自身的公私 钥对发送给群管理者，在群管理者核验完用户的身 份后会向用户颁发进群的证书。控制中心根据用户 端电表所处的区域，把新用户划分到相应的组中。

（3）群管理者对群中的所有成员完成上述操作，然后从控制中心处获取分组信息，发送相应的密钥给组内的所有用户。

（４）采集实时用户数据。组内的各智能电表都需要将自身的实时数据发送给控 制中心，控制中心在收到用电量的签名后首先验证 证书的合法性，验证通过后再验证签名的正确性。

（５）如果对用户身份信息存在争议，则需要追踪 签名者。控制中心将追踪参数发送给群管理者，群管理者经过相应计算后从保存的数据中恢复签名者 的身份，并反馈给控制中心。

在用户加入阶段，如果攻击者想要获取用户隐 私数据，则需要解决椭圆曲线离散对数问题和哈希 算法，同时还需要知道加密过程中使用的随机数， 这三个限制条件使得在短时间内破解用户的隐私数 据是不可能的，所以可以认为用户签名在被群管理 者打开之前是满足安全条件的。另外，对于任意两 个签名，攻击者也不能确定是否是由同一个签名者生成的，因而满足不可链接性的安全要求。

4、结语

本文对智能电网中用户面临的数据安全问题进行研究，研究了数据安全方案在保护用户隐私等方面的应用。首先，说明智能电网中用户面临的数据安全及隐私泄露问题；接下来，介绍了基于数据聚合技术的保护方案以及基于群签名技术的保护方案，对数据安全及隐私保护技术在智能电网中的应用研究有一定的帮助。

作者简介:

潘涛，男，学士，工程师, 主要研究方向为电力通信。

选自《通信技术》201９年第四期（为便于排版，已省去原文参考文献）

引用文本：潘涛.数据安全及隐私保护在智能电网中的应用研究[J].通信技术，2019, 52 (04): 962-966.

声明：本文来自信息安全与通信保密杂志社，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。