1、【114】第45卷 第02期 2023-02收稿日期:2022-01-27基金项目:国网浙江省电力有限公司科技项目(2021ZK55)作者简介:王以良(1988-),男,湖北监利人,工程师,硕士,研究方向为计算机应用技术。基于椭圆曲线的智能电网通信安全多维数据聚合方案研究Research on multi-dimensional data aggregation scheme of smart grid communication security based on elliptic curve 王以良*,戚伟强,郭亚琼,孙嘉赛,陆 鑫WANG Yi-liang*,QI Wei-qiang,G
2、UO Ya-qiong,SUN Jia-sai,LU Xin(国网浙江省电力有限公司信息通信分公司,杭州 310016)摘 要:近年来,随着科学技术的推进,智能电网(Smart grid,SG)应运而生且飞速发展,但应用的同时也不可避免地带来了隐私泄露威胁。为了应对这类信息安全问题,提出了一个考虑了具有隐私保护的多维数据聚合和智能电网数据的有效验证的方案,首先,使用基于椭圆曲线(Elliptic Curve El Gamal,ECEG)的多接收者加密方案(Multi-recipient encryption scheme,MRES)来保护多维数据,使其允许控制中心(Control center
3、,CC)使用电力以外的其他信息进行更精确的控制;其次,采用椭圆曲线数字签名算法(Elliptic curve digital signature algorithm,ECDSA)和批量验证,以允许中间节点有效地验证数据完整性和验证发送方;最后,对提出的基于椭圆曲线的智能电网通信安全多维数据聚合方案进行了分析和性能评估,结果表明,与现有的SG通信安全聚合方案相比,所提出的方案显著降低了计算成本和通信开销。关键词:ECEG;多维数据;ECDSA;智能电网;通信开销 中图分类号:TP309 文献标志码:A 文章编号:1009-0134(2023)02-0114-060 引言随着家庭用户和企业(电动汽
4、车、数据中心等)中电子设备的不断增加,SG的发展越来越受重视,因为SG能让用户实时了解并响应不断变化的电力需求,改善传统电网中负载不平衡、智能消费和动态定价1,2等问题。智能电表(Smart meter,SM)是SG中用户领域的重要设备,负责记录用电情况并发送给电力公司3。运营商的CC需要实时监测数据,但收集数据的周期是一周或者一个月,因此,可以将大量实时数据在处理和使用之前进行聚合4,5,通过减少流量来提高电网运营效率。但来自SM的频繁实时数据收集使得数据聚合具有隐私泄露风险。国内外学者对SG中的数据聚合进行了大量研究。文献6在收集设备上建立了聚合树来覆盖所有SMs,然后根据聚合树以分布式方
5、式执行数据聚合;文献7使用Paillier加密系统对一维数据进行加密和聚合,以保证输入和中间结果不会在聚合路径上透露;文献8,9使用了相同的密码系统,通过自适应密钥演化技术来确保用户的会话密钥安全转发;文献10,11提出了一种有效的隐私保护协议(Effective privacy protection agreement,EPPA),使用同态Paillier密码系统实现保护隐私的数据聚合。但以上方案要么只考虑了一维数据,要么使用昂贵的配对计算来验证数据,而且大多依赖于计算复杂度较高的Paillier的同态加密(Homomorphic Encryption,HE)技术。为了克服这些缺点,提出了一
6、种基于椭圆曲线密码(Elliptic Curve Cryptography,ECC)的安全多维数据聚合方案,先使用基于ECEG的多接收者加密方案来保护多维数据,再采用ECDSA和批量验证相结合的方法,来验证数据的完整性和发送方的安全性,最后对提出的方案进行了安全性分析和性能评估,结果表明,与现有的EPPA方案相比,本文的方案显著降低了计算成本和通信开销。1 方案基本概念与设计目标在本节中,首先简要介绍所提出的方案中的一些基本概念,然后对网络模型、安全模型进行形式化描述,并确定方案的设计目标。1.1 椭圆曲线密码ECC在文献12中被首次提出,并在之后的二十年中被广泛研究和应用。使用ECC的主要好
7、处是提供了最高的每比特强度和最小的密钥大小13。ECC的安全性主要在于椭圆曲线离散对数问题(Elliptic Curve Discrete Logarithm Problem,ECDLP)的难解性。ECC对于无线通信和低功耗设备非常有用14,与传统的密码系统(如RSA系统)相比,ECC密钥更小但安全级别相同。在所提出的方案中,使用了,更具体地说,使用了基于ECEG的MRES15,16,第45卷 第02期 2023-02【115】发送者重新使用随机方式对不同公钥下的不同明文进行加密。与原始方法相比,MRES方法的加密计算成本大约减少了一半。本文先通过MRES方法来加密,再采用ECDSA算法对加密
8、安全性进行验证,ECDSA的参数包括字段Fq上的椭圆曲线E、E(Fq)中大素数阶n的基点G和单向散列函数H。ECDSA6包括以下几个步骤:1)密钥对生成:从1,n-1中随机生成私钥d,并计算公钥Q=dG。2)签名生成:计算s=k1(H(M)+dr)modn,并生成签名S=(r,s),其中M是消息,r=x(kG)modn,x(kG)是kG的x轴坐标。3)签名验证:计算R=uG+vQ,其中u=H(M)wmodn,v=rwmodn,w=s1modn。当且仅当x(R)=rmodn时,签名才被接受。1.2 同态加密同态加密是一种可应用于某些密码系统的功能,允许对密文进行计算,其效果与对底层明文数据执行计
9、算相同5。当且仅当下列等式(1)成立时,加密算法才被认为是同态的:()()()()()D E xE yD E x y=(1)E为椭圆曲线,运算支持加法或乘法,也可以同时支持二者,取决于加密方案。支持密文上任何函数的HE称为全同态加密(Fully homomorphic encryption,FHE)。在文献17中,Gentry提出了基于理想格的FHE第一密码学理论,但密钥内存巨大,计算量大而复杂,无法在实际中应用。另一种是部分同态加密(Partially Homomorphic Encryption,PHE),只支持一些特定函数。文献8介绍了几种PHE,结果表明,ECEG是效率最高的方案。1.
10、3 对称加密对于CC响应,采用了安全对称加密18。为了生成加密消息响应所需的密钥,使用了密钥派生函数(Key Derivation Function,KDF),具体为使用了NIST SP 800-108中的基于HMAC的KDF,简称HKDF19。用密钥KAB对从A到B的消息m进行加密,加密的EncKAB(m,IDA|Nonce)满足:1)K=HKDF(KAB,IDA|Nonce);2)CA=K+m modV,其中,其中V是一个足够大的整数,m0,V1,K0,V1;B解密CA的方式为:DecKAB(CA,IDA|Nonce)=CA-K modV。1.4 系统模型SG系统通常由三部分组成,如图1所
11、示,用户层称为家庭区域网络(Home Area Network,HAN),存在允许CC和HAN之间双向通信的SMs;聚合器层称为邻域网(Neighborhood Area Network,NAN),由聚合器(Aggregator,AGG)组成,充当HAN和CC之间的中继;CC层负责收集动态电能能耗情况,以有效管理发电、配电和分配。通常认为CC覆盖所有 NANs,且每个NAN由N个HANs组成。属于NAN聚合器AGGj的每个HAN用户Uij(i=1,2,N,j=1,2,F)使用SMs收集、加密数据并将其发送到相应的聚合器;AGGj聚合接收到的数据并将其发送给CC;CC根据接收到的数据做出决策,并
12、将控制消息发送给AGGj和相应的SMs。控制中心SMsAGG1AGG2NAN1NAN2HAN11HAN21HANN1HAN12HAN22HANN2图1 系统模型1.5 攻击者模型攻击者模型下认为攻击者A可以窃听和解密用户的数据,还能进行主动攻击。例如,攻击者可以入侵CC和AGGj的数据库,从而窃取数据库中的信息,还可能把虚假的电力需求发送到聚合中,从而影响聚合结果,甚至重放SG中的有效数据包。1.6 设计目标设计目标是为SG通信系统提供一个有效的隐私保护需求响应方案,应实现以下目标:1)安全该方案在上述攻击者模型下必须是安全的。更具体地说,应满足保密性、完整性和身份验证等安全要求。保密性指防止
13、未经授权的人员或系统获取相关信息。抄送回复信息也必须保密,即仅允许授权用户阅读。完整性是指避免外来人员或者被对数据进行恶意操作。AGGj和HAN用户应分别通过CC和AGGj来进行身份验证认证。2)效率该方案必须在通信和计算开销方面有效,以便CC能够快速采集实时高频数据。HLHLJJJJ=+(2)【116】第45卷 第02期 2023-02其中,()()()()()()222 lglglgACBACBHACBACBGsGsGsJHsHsHs=+(3)()()()()()()222 lglglganbncnLanbncnGsGsGsJHsHsHs=+(4)()()()()()()222 lglgl
14、gAaBbCcHLAaBbCcGsGsGsJHsHsHs=+(5)在成本函数J中,H(s)表示FRA数据,2 具体方案提出了一个基于椭圆曲线的智能电网通信安全多维数据聚合的方案,由系统设置、数据生成、数据聚合和分析响应四部分组成,如图2所示。UserijAGGjCC数据生成数据聚合系统设置分析和响应数据加密传输数据加密传输图2 具体方案组成2.1 系统设置假设CC控制整个系统。给定安全参数K,CC首先生成椭圆曲线参数(E,p,G,n),然后计算公钥。假设智能电网中有l种类型的数据(t1,t2,tl)要传输,则CC选择l+1个随机数(x1,x2,xl,xcc),其中x1,xl0,n1,计算的相应
15、公钥为(Y1,Y2,Yl,Ycc),其中Yi=xiG,i1,l,Ycc=xccG。当用户Uij进入系统时,系统会生成一个随机数aij0,n1作为私钥,并计算相应的公钥Pij=aijG。此外,当用户的AGGj注册到系统内后,系统会随机生成一个数aj作为加密文件的私钥,其中,aj0,n1,进而通过公式Pj=ajG计算得到加密文件相对应的公钥Pj。此外,在CC和AGGj之间以及AGGj和Uij之间计算对称密钥,如下所示:CC和AGGj计算为:(6)AGGj和Uij计算为:(7)2.2 数据生成位于AGGj住宅区的用户Uij首先从智能电表获取其l类数据(dij1,dij2,dijl),然后执行以下操作
16、:1)计算点(Mij1,Mij2,Mijl),其中Mijk=(dijkfk)G,其中k1,l;2)选择两个随机数rij1、rij20,n1;3)计算Cij=(rij1G,rij1Y1+Mij1,rij1Y2+Mij2,rij1Yl+Mijl);4)计算zij=r1ij2(H(D)+aijr)modn,并生成Sij=(rij2G,zij),其中D=Cij|IDij|TS,TS是当前时间戳,r=x(rij2G)modn;5)将Cij|IDij|TS|Sij发送给AGGj。2.3 数据聚合在数据生成后,AGGj需要先验证签名Sij的真实性,即验证rij1G=uijG+vijPij,其中uij=(H(D)wmodn,vij=rwmodn,w=z-1modn。数据聚合如下:()()()()()()()()11111122(ijijijijijijijijijijijiju Gv PH D z Gr z a GH Draz GH DraH DrarGr G+=+=+=+=(8)为了加快验证速度,聚合器AGGj可以通过检查式(9)来执行批量验证:2111NNNijijijijiiir GuGv P=
