佟為明，梁建權(quán)，李中偉，金顯吉

（哈爾濱工業(yè)大學(xué) 電氣工程及自動(dòng)化學(xué)院，黑龍江 哈爾濱 150001）

0 引言

高級(jí)量測(cè)體系A(chǔ)MI（Advanced Metering Infrastructure）是智能電網(wǎng)發(fā)展的一個(gè)關(guān)鍵環(huán)節(jié)，并被視為電網(wǎng)智能化的第一步［1-3］。無(wú)線傳感器網(wǎng)絡(luò)WSNs（Wireless Sensor Networks）是一種新興的無(wú)線通信技術(shù)，它在AMI中已經(jīng)被廣泛應(yīng)用于智能電表（IM）及其他智能設(shè)備中［4-6］。在AMI中，大量的信息通過(guò)WSNs進(jìn)行采集、傳輸，從而提高了電網(wǎng)的感知能力和智能控制能力，給電網(wǎng)的發(fā)展、規(guī)劃和維護(hù)提供了可靠的信息支撐。

AMI需要保證電力消費(fèi)與供應(yīng)數(shù)據(jù)的準(zhǔn)確性，防止數(shù)據(jù)被篡改和竊電行為的發(fā)生。然而，由于傳感器節(jié)點(diǎn)資源受限的特點(diǎn)，用其傳輸大規(guī)模數(shù)據(jù)會(huì)占用較多的通信資源和內(nèi)存資源，容易造成網(wǎng)絡(luò)擁塞，給智能電網(wǎng)通信的準(zhǔn)確性、實(shí)時(shí)性及安全性帶來(lái)不利的影響。為了減少網(wǎng)內(nèi)數(shù)據(jù)傳輸量、提高傳輸效率、延長(zhǎng)網(wǎng)絡(luò)壽命，WSNs在正常工作時(shí)通常都會(huì)對(duì)采集的數(shù)據(jù)進(jìn)行網(wǎng)內(nèi)聚合處理，再將聚合后的數(shù)據(jù)發(fā)送至基站［7］。因此，為了保證AMI應(yīng)用服務(wù)數(shù)據(jù)在通信過(guò)程中的完整性和機(jī)密性，數(shù)據(jù)的隱私聚合技術(shù)應(yīng)運(yùn)而生。

現(xiàn)有的在WSNs中應(yīng)用的安全數(shù)據(jù)聚合方案［8-12］基本上都是基于加法同態(tài)加密實(shí)現(xiàn)的，即最終解密所得的數(shù)據(jù)是所有采集數(shù)據(jù)的和，這顯然與AMI中的數(shù)據(jù)應(yīng)用不符。文獻(xiàn)［13-14］提出了數(shù)據(jù)可恢復(fù)的安全數(shù)據(jù)聚合方案，但是2個(gè)文獻(xiàn)中的方案都是基于橢圓曲線密碼ECC（Elliptic Curve Cryptography）實(shí)現(xiàn)的，在實(shí)現(xiàn)過(guò)程中需要將明文數(shù)據(jù)映射成橢圓曲線上的點(diǎn)，而在橢圓曲線上的點(diǎn)反映射回明文數(shù)據(jù)時(shí)需要暴力解決橢圓曲線離散對(duì)數(shù)問(wèn)題，計(jì)算量非常大，這對(duì)資源受限的傳感器節(jié)點(diǎn)而言，實(shí)現(xiàn)非常困難。

針對(duì)上述問(wèn)題，現(xiàn)提出一種基于對(duì)稱(chēng)同態(tài)加密HE（Homomorphic Encryption）的數(shù)據(jù)可恢復(fù)安全數(shù)據(jù)聚合方案（ERCDA），并用中國(guó)剩余定理 CRT（Chinese Remainder Theorem）實(shí)現(xiàn)數(shù)據(jù)完整性驗(yàn)證，最后對(duì)所提方案的安全性及其他性能進(jìn)行了詳細(xì)分析。

1 安全數(shù)據(jù)聚合方案設(shè)計(jì)

1.1 AMI中WSNs模型

AMI的通信體系主要分為三部分：廣域網(wǎng)（WAN）、鄰域網(wǎng)（NAN）和用戶戶內(nèi)網(wǎng)（HAN），其網(wǎng)絡(luò)結(jié)構(gòu)如圖1所示。WSNs通信主要應(yīng)用于NAN和HAN中，主要涉及的設(shè)備有IM、匯聚節(jié)點(diǎn)（AN）和數(shù)據(jù)集中器（LGW），IM和AN以及AN和LGW之間能直接進(jìn)行通信，IM和LGW之間的通信需要經(jīng)過(guò)AN轉(zhuǎn)發(fā)。整個(gè)WSNs通信部分就是實(shí)現(xiàn)安全數(shù)據(jù)聚合方案的網(wǎng)絡(luò)模型。

圖1 基于WSNs的AMI通信結(jié)構(gòu)Fig.1 Communication architecture of AMI based on WSNs

1.2 方案總體策略

本文所提安全數(shù)據(jù)聚合算法的實(shí)現(xiàn)過(guò)程如下：IM負(fù)責(zé)采集每個(gè)HAN中各種智能用電設(shè)備的耗能功率及用電數(shù)據(jù)，對(duì)這些數(shù)據(jù)進(jìn)行同態(tài)加密，同時(shí)生成驗(yàn)證標(biāo)簽，處理完后將加密數(shù)據(jù)和驗(yàn)證標(biāo)簽發(fā)送至AN；每個(gè)AN負(fù)責(zé)收集以其為簇頭的簇內(nèi)IM的加密數(shù)據(jù)，并對(duì)加密數(shù)據(jù)進(jìn)行聚合，將聚合后的數(shù)據(jù)發(fā)送至網(wǎng)關(guān)節(jié)點(diǎn)LGW；LGW通過(guò)解密得到采集數(shù)據(jù)的聚合數(shù)據(jù)或各IM的原始采集數(shù)據(jù)。數(shù)據(jù)的完整性驗(yàn)證通過(guò)CRT實(shí)現(xiàn)，主要實(shí)現(xiàn)過(guò)程為：利用CRT可以計(jì)算出一個(gè)數(shù)據(jù)和，將該數(shù)據(jù)和與解密所得的數(shù)據(jù)和進(jìn)行比較，判斷2個(gè)數(shù)據(jù)和是否一致，如果不一致則說(shuō)明數(shù)據(jù)在傳輸過(guò)程中遭到篡改或數(shù)據(jù)已經(jīng)過(guò)期，拒絕接收數(shù)據(jù)，否則進(jìn)行下一步數(shù)據(jù)處理。

1.3 方案中的相關(guān)數(shù)學(xué)理論

（1）同態(tài)加密。

同態(tài)加密最初由Rivest等人于1978年提出［15］，該算法可以允許密文之間直接進(jìn)行運(yùn)算操作。對(duì)于基于對(duì)稱(chēng)加密的同態(tài)加密算法而言，假設(shè)Ek（·）為加密運(yùn)算，Dk（·）為解密運(yùn)算，k為加解密密鑰，則加法同態(tài)加密可以表示為：

乘法同態(tài)加密可以表示為：

其中，a、b 為各項(xiàng)明文數(shù)據(jù)；k1、k2、k3為加解密密鑰。

由于乘法同態(tài)加密需要消耗更多的資源，鑒于WSNs節(jié)點(diǎn)資源有限，本文采用加法同態(tài)加密來(lái)實(shí)現(xiàn)數(shù)據(jù)聚合。

（2）CRT。

CRT［16］是密碼學(xué)中常用的一種理論，其主要原理如下。

假設(shè)有 N 個(gè)素?cái)?shù) pi（i?［1，N］），所有素?cái)?shù)的乘積為， 有任意一組整數(shù)｛m1，m2，…，mN｝，則同余方程組 X=mi（mod pi）（i?［1，N］），在［0，M-1］范圍內(nèi)存在以下唯一的X，可表示為：

其中，ai為CRT系數(shù)。

ai可以通過(guò)Qiqi計(jì)算得到，其中Qi=P/pi為除了pi以外其他所有素?cái)?shù)的乘積，qi為Qi模pi的乘法逆元素，即qiQi=1（mod pi）。在本文的安全數(shù)據(jù)聚合中，CRT被用于檢測(cè)數(shù)據(jù)完整性。

2 具有數(shù)據(jù)可恢復(fù)功能的安全數(shù)據(jù)聚合技術(shù)

2.1 初始化

假設(shè)第i個(gè)IM（IMi）所采集的數(shù)據(jù)為datai，選擇一個(gè)大素?cái)?shù)M，M須大于，其中 D=max（datai），n 是以 ANj為簇頭的簇內(nèi) IM 數(shù)，i?［1，n］。隨機(jī)選取一組素?cái)?shù) pv，v?［1，N］，所有素?cái)?shù)的乘積為滿足P＞M。為了減少數(shù)據(jù)的傳輸量，本文算法將參數(shù)M、pv、P及同態(tài)加密時(shí)用到的密鑰預(yù)置于各IM和LGW中。

2.2 數(shù)據(jù)加密及驗(yàn)證標(biāo)簽生成

（1）數(shù)據(jù)的同態(tài)加密。

為了使LGW能夠恢復(fù)IMi的采集數(shù)據(jù)，在IMi中先對(duì)采集數(shù)據(jù)datai進(jìn)行編碼，編碼過(guò)程為：

其中，mi為IMi的采集數(shù)據(jù)經(jīng)過(guò)編碼后的數(shù)據(jù)，稱(chēng)為IMi的編碼明文；“‖”表示連接符，連接左右兩邊的數(shù)；ε=l（i-1）為所加 0的位數(shù)，l為采集數(shù)據(jù)用二進(jìn)制表示時(shí)的位數(shù)。

采集數(shù)據(jù)編碼完成后，利用加法同態(tài)加密對(duì)其進(jìn)行加密，如式（5）所示。

其中，Ci為通過(guò)同態(tài)加密得到的密文數(shù)據(jù)，稱(chēng)為IMi的同態(tài)加密數(shù)據(jù)；kBti為加解密密鑰，由IMi與LGW共享的鏈路密鑰 kBi進(jìn)行哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），滿足 kBti?［0，M-1］。

（2）驗(yàn)證標(biāo)簽的產(chǎn)生。

a.用IMi采集的數(shù)據(jù)datai與素?cái)?shù)pv進(jìn)行模運(yùn)算，得到一組余數(shù) eiv，即 eiv=datai（mod pv），并將 eiv進(jìn)行編碼：

其中，Eciv為余數(shù)eiv經(jīng)過(guò)編碼后的數(shù)據(jù)。

b.將編碼后的余數(shù)相加，得到一個(gè)lN位二進(jìn)制數(shù)：

c.將IMi生成的二進(jìn)制數(shù)進(jìn)行加密，得到各自的驗(yàn)證標(biāo)簽：

其中，rtL為數(shù)據(jù)新鮮性驗(yàn)證參數(shù)，大小為rt（一個(gè)哈希序列）的低80位數(shù)。

IMi在進(jìn)行完數(shù)據(jù)的同態(tài)加密和驗(yàn)證標(biāo)簽的生成后，將由密文數(shù)據(jù)和驗(yàn)證標(biāo)簽組成的報(bào)文消息（Ci，Tagi）發(fā)送至 ANj。

2.3 數(shù)據(jù)的聚合

ANj在接收到IMi發(fā)送來(lái)的報(bào)文消息后，將所有的密文和驗(yàn)證標(biāo)簽進(jìn)行聚合，聚合階段的具體實(shí)施過(guò)程如下。

（1）同態(tài)加密數(shù)據(jù)的聚合。

ANj將IMi的Ci進(jìn)行求和得到聚合密文：

（2）驗(yàn)證標(biāo)簽的聚合。

ANj將IMi的驗(yàn)證標(biāo)簽Tagi進(jìn)行聚合處理得到聚合驗(yàn)證標(biāo)簽：

聚合完成后，匯聚節(jié)點(diǎn)ANj將聚合密文C和聚合驗(yàn)證標(biāo)簽Tag組成報(bào)文消息（C，Tag）發(fā)送到LGW。

2.4 數(shù)據(jù)解密及驗(yàn)證

LGW在接收到報(bào)文消息（C，Tag）后，對(duì)數(shù)據(jù)進(jìn)行解密，并進(jìn)行完整性和新鮮性驗(yàn)證。

（1）數(shù)據(jù)的解密。

由于LGW保存了與IMi共享的所有鏈路密鑰kBi，因此可以通過(guò)解密得到編碼明文mi的和msum為：

將msum進(jìn)行解碼可以獲得所有采集數(shù)據(jù)datai：

式（12）表示各IM采集數(shù)據(jù)datai的值等于截取編碼明文和msum中的第（i-1）l位至第il-1位組成的l位二進(jìn)制數(shù)。

LGW對(duì)所有IM采集的數(shù)據(jù)datai進(jìn)行求和：

（2）驗(yàn)證標(biāo)簽的解密。

LGW對(duì)接收到的聚合驗(yàn)證標(biāo)簽進(jìn)行解密：

再將所得的Ec進(jìn)行解碼，解碼過(guò)程為：

其中，ev為l位的二進(jìn)制數(shù)，v?［1，N］。

（3）數(shù)據(jù)的完整性校驗(yàn)。

根據(jù)預(yù)置的素?cái)?shù)pv先求出CRT系數(shù)Qv和qv，然后將求得的 Qv、qv和 ev代入式（3）可得：

將通過(guò)CRT計(jì)算所得的sum′和解密所得的sum進(jìn)行比較，如果2個(gè)數(shù)據(jù)值相等，則說(shuō)明校驗(yàn)成功，可以對(duì)數(shù)據(jù)進(jìn)行下一步處理；如果2個(gè)數(shù)據(jù)值不相等，則說(shuō)明數(shù)據(jù)遭到篡改，校驗(yàn)不成功，丟棄該組數(shù)據(jù)。

3 安全數(shù)據(jù)聚合實(shí)例

通過(guò)一個(gè)簡(jiǎn)單的數(shù)據(jù)聚合實(shí)例來(lái)描述本文所提方案的實(shí)現(xiàn)過(guò)程，證明方案的可實(shí)現(xiàn)性。假設(shè)AMI中的一個(gè)WSNs由1個(gè)LGW、1個(gè)AN和4個(gè)IM節(jié)點(diǎn)（分別為IM1、IM2、IM3和 IM4）組成。在某一采集周期內(nèi)各IM采集的用電量分別為90 kW·h、100 kW·h、80 kW·h和120 kW·h。M為160位的素?cái)?shù)，二進(jìn)制位數(shù)l取10。

（1）數(shù)據(jù)加密。

為了能夠方便地?cái)⑹黾用苓^(guò)程，將各IM的鏈路密鑰 kBi分別取為37、41、33 和 57，kBti分別取為25、31、23和34，數(shù)據(jù)新鮮性驗(yàn)證參數(shù)rtL取為17。各IM用電量經(jīng)過(guò)式（4）編碼和式（5）加密后可得編碼明文mi和加密數(shù)據(jù)Ci，如表1所示。

表1 經(jīng)過(guò)編碼和加密后的IM用電量數(shù)據(jù)Table 1 Encoded and encrypted power consumption data of IMs

（2）驗(yàn)證標(biāo)簽生成。

假設(shè)預(yù)置于各IM中的素?cái)?shù)pv為p1=5，p2=11，p3=13，P=715。先求出各IM的用電數(shù)據(jù)模pv的余數(shù)eiv，然后利用式（6）可以求出其編碼值Eciv，對(duì)應(yīng)數(shù)據(jù)如表2所示。

表2 余數(shù)eiv的編碼值EcivTable 2 Eciv，codes of remainder eivfor different IMs

將表2中的數(shù)據(jù)代入式（7）可以求出Eci的值，將Eci代入式（8）可以得到驗(yàn)證標(biāo)簽Tagi，對(duì)應(yīng)數(shù)據(jù)如表3所示。

表3 余數(shù)編碼和Eci和驗(yàn)證標(biāo)簽TagiTable 3 Eci，code of remainder，and its verification tag Tagifor different IMs

（3）數(shù)據(jù)的聚合。

利用式（9）計(jì)算表1中的加密數(shù)據(jù)Ci可以得到聚合密文C，利用式（10）計(jì)算表3中的驗(yàn)證標(biāo)簽Tagi可以得到聚合標(biāo)簽Tag，所有計(jì)算所得的數(shù)據(jù)見(jiàn)表4。

表4 聚合密文C和聚合驗(yàn)證標(biāo)簽TagTable 4 Aggregated ciphertext C and aggregated verification tag Tag

（4）解密及驗(yàn)證。

利用式（11）對(duì)表4中的聚合密文C進(jìn)行解密得到 msum，再將 msum代入式（12）可得 data1=msum［0，9］、data2=msum［10，19］、…、data4=msum［30，39］，對(duì)各用電量數(shù)據(jù)datai用式（13）計(jì)算出明文數(shù)據(jù)的和sum，如表5所示。從表5中可以看出，本文方案所得用電量數(shù)據(jù)和實(shí)際值一致。

表5 解密和解碼后數(shù)據(jù)datai和明文數(shù)據(jù)的和Table 5 Decrypted and decoded dataiand calculated sum

在進(jìn)行數(shù)據(jù)完整性驗(yàn)證時(shí)，首先將表4中的聚合驗(yàn)證標(biāo)簽Tag代入式（14）可以得到解密后的聚合驗(yàn)證標(biāo)簽Ec；再將得到的Ec代入式（15）可以得到CRT所需的 ev為e1=Ec［0，9］、e2=Ec［10，19］、e3=Ec［20，29］。所有計(jì)算所得的數(shù)據(jù)見(jiàn)表6。

表6 解密和解碼后的驗(yàn)證標(biāo)簽Table 6 Decrypted and decoded verification tag

通過(guò)各IM中預(yù)置的素?cái)?shù)p1、p2、p3，可以計(jì)算出P，根據(jù) CRT 原理可得 Q1=143，Q2=65，Q3=55，q1=3，q2=10，q3=3。將這些參數(shù)代入式（16）可得 sum′=390。由于在本實(shí)例中數(shù)據(jù)在傳輸時(shí)沒(méi)有被篡改，數(shù)據(jù)是完整的，因此經(jīng)過(guò)CRT計(jì)算所得的sum′與表5中解密所得的sum相等。如果在傳輸過(guò)程中數(shù)據(jù)被篡改，則sum和sum′不相等。

整個(gè)過(guò)程說(shuō)明本文所提方案可以正確實(shí)現(xiàn)數(shù)據(jù)的安全聚合，并能夠正確恢復(fù)各IM的采集數(shù)據(jù)。

4 性能分析

4.1 安全性分析

4.1.1 機(jī)密性和數(shù)據(jù)隱私性分析

分2種情況對(duì)本文所提方案在數(shù)據(jù)的機(jī)密性和隱私性保護(hù)方面進(jìn)行分析。

（1）攻擊者沒(méi)有俘獲任何節(jié)點(diǎn)。

當(dāng)網(wǎng)絡(luò)中沒(méi)有任何節(jié)點(diǎn)被俘獲時(shí)，攻擊者不能破解任何節(jié)點(diǎn)的密鑰，攻擊者只能通過(guò)竊聽(tīng)信道來(lái)獲取網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)從而達(dá)到破壞的目的。在本文方案中，攻擊者只有同時(shí)破解密鑰kBti和大素?cái)?shù)M才能解密密文，kBti和大素?cái)?shù)M都為160 bit數(shù)據(jù)，因此密文被破解的實(shí)際概率為2-320。同時(shí)，kBti又是通過(guò)哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），哈希函數(shù)的單向性增加了本文方案的安全性。因此，在沒(méi)有節(jié)點(diǎn)被俘獲的情況下攻擊者的成功率非常低，能滿足安全性要求。

（2）攻擊者俘獲部分節(jié)點(diǎn)。

當(dāng)系統(tǒng)中有IM節(jié)點(diǎn)被俘獲時(shí)，由于在本文提出的安全數(shù)據(jù)聚合算法中，各IM在進(jìn)行數(shù)據(jù)同態(tài)加密時(shí)用的是其本身和LGW的鏈路密鑰，因此單個(gè)IM的密鑰信息泄漏對(duì)其他IM的數(shù)據(jù)隱私威脅有限。

當(dāng)被俘獲的節(jié)點(diǎn)為AN時(shí)，由于IMi傳輸給AN的是加密信息，且AN中不存儲(chǔ)加密的密鑰，攻擊者想要破解密文只有同時(shí)破解密鑰kBi和大素?cái)?shù)M，密文被破解的概率幾乎可以忽略不計(jì)。因此，AN被俘獲不會(huì)影響采集數(shù)據(jù)的機(jī)密性和隱私性。

綜上所述，本文所提的方案具有較好的數(shù)據(jù)機(jī)密性和隱私性保護(hù)性能。

4.1.2 數(shù)據(jù)完整性和新鮮性分析

（1）數(shù)據(jù)完整性保護(hù)。

本文利用CRT理論來(lái)驗(yàn)證數(shù)據(jù)傳輸時(shí)有無(wú)遭到篡改，即利用CRT計(jì)算的數(shù)據(jù)和sum′與接收到的數(shù)據(jù)和sum的比較結(jié)果來(lái)完成數(shù)據(jù)完整性檢測(cè)。而能否實(shí)現(xiàn)完整性驗(yàn)證取決于利用CRT求解出的唯一解是否就是采集數(shù)據(jù)的數(shù)據(jù)和，具體證明過(guò)程如下。

a.假設(shè) IMi的采集數(shù)據(jù)為datai，i?［1，n］。系統(tǒng)為每個(gè) IM 預(yù)置 g 個(gè)素?cái)?shù) pj，j?［1，g］，素?cái)?shù)的乘積為P，P 滿足：P≥n·max（datai）+1。

b.求出各 IM 的余數(shù)組：eij=datai（mod pj）。

c.將每個(gè)IM的余數(shù)組中的第j個(gè)元素求和：。

d.將所有采集數(shù)據(jù)的和記為。

e.計(jì)算式（17）可以看出，sum 和 ej模 pj同余，即sum=ej（mod pj），j?［1，g］。該同余式完全符合 CRT 的原理，因此在［0，P-1］范圍內(nèi)存在唯一的 sum，可以通過(guò)式（3）求出，即經(jīng)過(guò)CRT求出的唯一解就是采集數(shù)據(jù)的數(shù)據(jù)和。

因此，如果數(shù)據(jù)datai在傳輸或聚合過(guò)程中遭到篡改就會(huì)導(dǎo)致驗(yàn)證不通過(guò)。例如，在第3節(jié)的實(shí)例中，如果在傳輸過(guò)程中攻擊者改動(dòng)了報(bào)文中IM3的加密數(shù)據(jù)C3，如被篡改為0000010001，在LGW節(jié)點(diǎn)中通過(guò)解密計(jì)算出的數(shù)據(jù)和sum就變?yōu)?99，而經(jīng)過(guò)CRT計(jì)算出的sum′還是390，因此可以判斷數(shù)據(jù)遭到篡改。如果在傳輸或聚合過(guò)程中攻擊者篡改的是Tagi或Tag，最后在LGW節(jié)點(diǎn)中經(jīng)過(guò)CRT計(jì)算所得的sum′就不等于390，因此也可以判斷出數(shù)據(jù)遭到篡改。綜上可知，本文所提方案能夠滿足數(shù)據(jù)完整性要求。

（2）數(shù)據(jù)新鮮性保護(hù)。

加密函數(shù)進(jìn)行加密時(shí)的密鑰kBti是通過(guò)哈希運(yùn)算獲得，即 kBti=Hash（kBi，t），并且加入了時(shí)間參數(shù) t，哈希函數(shù)的單向性增加了kBti的安全性，并且隨著t的變化kBti也在更新。因此，如果發(fā)生重放攻擊，在LGW中的kBti和攻擊節(jié)點(diǎn)的kBti不一致，解密得出的sum就會(huì)不一致，從而導(dǎo)致數(shù)據(jù)完整性驗(yàn)證失敗，故本文所提方案能有效保證數(shù)據(jù)的新鮮性。同時(shí)，隨著t的變化kBti也在變化，使得明文和密文之間不存在固定的關(guān)系，因此能夠抵抗惟密文攻擊和已知明文攻擊。

4.2 其他性能分析

IM作為嵌入式設(shè)備，其資源十分有限，因此在保證算法安全性的前提下盡可能減少節(jié)點(diǎn)的計(jì)算和通信消耗是每一種聚合算法所追求的目標(biāo)。為了更好地評(píng)估本文所提方案的算法性能，將本文所提方案與文獻(xiàn)［13］提出的RCDA-HOMO方案在通信開(kāi)銷(xiāo)、計(jì)算開(kāi)銷(xiāo)這2個(gè)方面進(jìn)行比較。其中，對(duì)稱(chēng)加密算法中的密鑰和ECC算法中的密鑰都采用160 bit。

4.2.1 計(jì)算開(kāi)銷(xiāo)分析

算法的計(jì)算開(kāi)銷(xiāo)主要包括加密及驗(yàn)證標(biāo)簽生成、聚合和解密及驗(yàn)證3個(gè)階段的總開(kāi)銷(xiāo)，由于解密及驗(yàn)證階段發(fā)生在根節(jié)點(diǎn)，一般假設(shè)根節(jié)點(diǎn)資源充足，因此在本文不予考慮。本文只對(duì)各方案的加密及驗(yàn)證標(biāo)簽生成和聚合這2個(gè)階段的計(jì)算開(kāi)銷(xiāo)進(jìn)行分析，采用計(jì)算所花費(fèi)的時(shí)間來(lái)衡量計(jì)算開(kāi)銷(xiāo)指標(biāo)。假設(shè)1次大數(shù)乘法運(yùn)算所需時(shí)間為tmul，大數(shù)加法運(yùn)算的時(shí)間相較于其他運(yùn)算可以忽略，1次求模運(yùn)算所需時(shí)間為tmod，1次模乘運(yùn)算所需時(shí)間為tm，1次模加運(yùn)算所需時(shí)間為tam，1次橢圓曲線標(biāo)量乘運(yùn)算所需時(shí)間為tme，1次橢圓曲線上的點(diǎn)加運(yùn)算所需時(shí)間為tae，1次哈希函數(shù)運(yùn)算時(shí)間為thash。

（1）本文方案的計(jì)算開(kāi)銷(xiāo)。

在本文方案中，數(shù)據(jù)加密時(shí)進(jìn)行1次模加運(yùn)算，生成密鑰時(shí)進(jìn)行1次哈希運(yùn)算，驗(yàn)證標(biāo)簽的生成進(jìn)行3次求模運(yùn)算；在聚合階段，密文和驗(yàn)證標(biāo)簽的聚合采用求和取模運(yùn)算，共進(jìn)行2次模加運(yùn)算。

因此，本文方案的加密及標(biāo)簽計(jì)算開(kāi)銷(xiāo)為：。本文方案的數(shù)據(jù)聚合開(kāi)銷(xiāo)為：。

（2）RCDA-HOMO方案的計(jì)算開(kāi)銷(xiāo)。

在RCDA-HOMO方案中，計(jì)算驗(yàn)證標(biāo)簽包括1次標(biāo)量乘運(yùn)算和1次哈希運(yùn)算；數(shù)據(jù)加密時(shí)采用的是ECC算法，包括2次橢圓曲線點(diǎn)乘運(yùn)算和1次橢圓曲線點(diǎn)加運(yùn)算；明文映射到橢圓曲線時(shí)進(jìn)行1次橢圓曲線點(diǎn)乘運(yùn)算；密文聚合時(shí)需要進(jìn)行2（f-1）次橢圓曲線點(diǎn)加運(yùn)算，f為簇成員節(jié)點(diǎn)的數(shù)量；驗(yàn)證標(biāo)簽的聚合時(shí)進(jìn)行加法運(yùn)算。

因此，RCDA-HOMO方案的加密及標(biāo)簽計(jì)算開(kāi)銷(xiāo)為：。RCDA-HOMO方案的數(shù)據(jù)聚合開(kāi)銷(xiāo)為：。

通過(guò)以上對(duì)各方案的計(jì)算開(kāi)銷(xiāo)分析可以看出，由于存在不同數(shù)學(xué)運(yùn)算方法，因此無(wú)法直接進(jìn)行比較。參照文獻(xiàn)［17］給出的計(jì)算方法，將橢圓曲線上的標(biāo)量乘和點(diǎn)加運(yùn)算開(kāi)銷(xiāo)都轉(zhuǎn)換到基本單位（160 bit的模乘運(yùn)算開(kāi)銷(xiāo)tmm）。換算以后的具體計(jì)算開(kāi)銷(xiāo)如表7所示。從表中可以看出，本文方案的計(jì)算開(kāi)銷(xiāo)比RCDAHOMO方案少很多。

表7 2種方案的計(jì)算開(kāi)銷(xiāo)對(duì)比Table 7 Comparison of computation cost between two schemes

4.2.2 通信開(kāi)銷(xiāo)分析

在所有的安全數(shù)據(jù)聚合方案中，數(shù)據(jù)的傳輸方式為：終端節(jié)點(diǎn)將加密數(shù)據(jù)發(fā)送給聚合節(jié)點(diǎn)，聚合節(jié)點(diǎn)再將密文轉(zhuǎn)發(fā)給sink節(jié)點(diǎn)。假設(shè)使用通信方式是相同的，因此每次傳輸?shù)臄?shù)據(jù)包大小一致，則影響通信開(kāi)銷(xiāo)大小的主要因素是密文數(shù)據(jù)的長(zhǎng)度。由于聚合前后的數(shù)據(jù)長(zhǎng)度不影響通信開(kāi)銷(xiāo)大小，因此只對(duì)終端節(jié)點(diǎn)發(fā)送到聚合節(jié)點(diǎn)的密文數(shù)據(jù)長(zhǎng)度進(jìn)行分析，對(duì)各方案的通信開(kāi)銷(xiāo)分析如下。

（1）本文方案的通信開(kāi)銷(xiāo)。

在本文方案中，由于采用的密鑰和M都為160bit數(shù)據(jù)，因此求得的Ci和Tagi都為20 Byte，IM向聚合節(jié)點(diǎn)發(fā)送的報(bào)文（Ci，Tagi）一共為40 Byte。

（2）RCDA-HOMO方案的通信開(kāi)銷(xiāo)。

在RCDA-HOMO方案中，采用的是在有限域F160上的橢圓曲線，每個(gè)橢圓曲線上的點(diǎn)可表示為160bit，即20 Byte。RCDA-HOMO方案的消息格式為ci‖σi，其中 ci=（Ri，Si），Ri和 Si為橢圓曲線上的 2 個(gè)點(diǎn)，因此ci為40Byte，生成的驗(yàn)證標(biāo)簽σi為34Byte。所以，終端節(jié)點(diǎn)發(fā)送給聚合節(jié)點(diǎn)的數(shù)據(jù)長(zhǎng)度一共為74 Byte。

通過(guò)以上分析可知，本文方案的通信開(kāi)銷(xiāo)比RCDAHOMO方案小。

5 結(jié)論

本文針對(duì)AMI在進(jìn)行數(shù)據(jù)聚合時(shí)，由于有些應(yīng)用需要獲取各用戶IM對(duì)應(yīng)的數(shù)據(jù)，提出一種具有數(shù)據(jù)可恢復(fù)的安全數(shù)據(jù)聚合方案。通過(guò)對(duì)方案的性能的分析可以得出以下結(jié)論：

a.本文方案的AN能夠在不解密的情況下實(shí)現(xiàn)各IM的數(shù)據(jù)聚合，并能在LGW中準(zhǔn)確恢復(fù)各IM的數(shù)據(jù)；

b.本文方案能夠確保數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性、數(shù)據(jù)隱私性、數(shù)據(jù)完整性和數(shù)據(jù)新鮮性，且能夠抵抗惟密文攻擊和已知明文攻擊；

c.將本文方案與同樣具有數(shù)據(jù)恢復(fù)功能的RCDA-HOMO聚合方案在計(jì)算開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)上進(jìn)行比較，開(kāi)銷(xiāo)計(jì)算結(jié)果表明本文方案在這2項(xiàng)性能上具有更好的表現(xiàn)。

參考文獻(xiàn)：

［1］張國(guó)榮，陳夏冉.能源互聯(lián)網(wǎng)未來(lái)發(fā)展綜述［J］.電力自動(dòng)化設(shè)備，2017，37（1）：1-7.ZHANG Guorong，CHEN Xiaran.Future development of energy internet［J］.Electric Power Automation Equipment，2017，37（1）：1-7.

［2］WANG W，XU Y，KHANNA M.A survey on the communication architectures in smart grid［J］.Computer Network，2011，55（15）：3604-3629.

［3］王守相，葛磊蛟，王凱.智能配電系統(tǒng)的內(nèi)涵及其關(guān)鍵技術(shù)［J］.電力自動(dòng)化設(shè)備，2016，36（6）：1-6.WANG Shouxiang，GE Leijiao，WANG Kai.Main contents and key technologies of smart distribution system［J］.Electric Power Automation Equipment，2016，36（6）：1-6.

［4］ZHENG G，GAO Y，WANG L.Realization of automatic meter reading system based on ZigBee with improved routing protocol［C］∥2010 Asia-Pacific Power and Energy Engineering Conference.Chengdu，China：IEEE，2010：1-6.

［5］EROL-KANTARCI M，MOUFTAH H T.Wireless sensor networks for cost-efficient residential energy management in the smart grid［J］.IEEE Transactions on Smart Grid，2011，2（2）：314-325.

［6］NGUYEN M T，NGUYEN L L，NGUYEN T D.A practical implementation ofwireless sensornetwork based smarthome system for smart grid integration［C］∥2015 International Conference on Advanced Technologies for Communications（ATC）.Ho Chi Minh，Vietnam：IEEE，2015：604-609.

［7］TANG X，XU J.Extending network lifetime for precision constrained data aggregation in wireless sensor networks［C］∥25th IEEE InternationalConferenceon ComputerCommunications.Barcelona，Spain：IEEE，2006：1-12.

［8］PAPADOPOULOS S，KIAYIAS A，PAPADIAS D.Secure and efficient in-network processing of exact SUM queries［C］∥2011 IEEE 27th International Conference on Data Engineering（ICDE）.Hannover，Germany：IEEE，2011：517-528.

［9］OZDEMIR S，CAM H.Integration of false data detection with data aggregation and confidential transmission in wireless sensor networks［J］.IEEE /ACM Transactions on Networking，2010，18（3）：736-749.

［10］OZDEMIR S，XIAO Y.Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］.Computer Networks，2011，55（8）：1735-1746.

［11］趙小敏，梁學(xué)利，蔣雙雙，等.安全的WSN數(shù)據(jù)融合隱私保護(hù)方案設(shè)計(jì)［J］.通信學(xué)報(bào)，2014，35（11）：154-161.ZHAO Xiaomin，LIANG Xueli，JIANG Shuangshuang，et al.Design of secure privacy-preserving data aggregation scheme for wireless sensor network［J］.Journal on Communications，2014，35（11）：154-161.

［12］周強(qiáng)，楊庚，陳蕾，等.基于同態(tài)MAC的無(wú)線傳感網(wǎng)安全數(shù)據(jù)融合方案［J］.電子與信息學(xué)報(bào)，2014，36（7）：1743-1748.ZHOU Qiang，YANG Geng，CHEN Lei，et al.Secure data aggregation scheme based on homomorphic MAC for wireless sensor networks［J］.Journal of Electronics&Information Technology，2014，36（7）：1743-1748.

［13］CHEN C M，LIN Y H，LIN Y C，et al.RCDA：recoverable concealed data aggregation for data integrity in wireless sensor networks［J］.IEEE Transactions on Parallel and Distributed Systems，2012，23（4）：727-734.

［14］丁超，楊立君，吳蒙.一種同時(shí)保障隱私性與完整性的無(wú)線傳感器網(wǎng)絡(luò)可恢復(fù)數(shù)據(jù)聚合方案［J］.電子與信息學(xué)報(bào)，2015，37（12）：2808-2814.DING Chao，YANG Lijun，WU Meng.A recoverable privacypreserving integrity-assured data aggregation scheme for wireless sensor networks［J］.Journal of Electronics&Information Technology，2015，37（12）：2808-2814.

［15］RIVEST R L，ADLEMAN L，DETROUZOS M L.On data banks and privacy homomorphism［J］.Foundations of Secure Computation，1978：169-179.

［16］WU C H，HONG J H，WU C W.RSA cryptosystem design based on the Chinese remainder theorem［C］∥Proceedings of the ASP-DAC 2001.Asia and South Pacific Design Automation Conference，2001.Yokohama，Japan：IEEE，2001：391-395.

［17］MYKLETUN E，GIRAO J，WESTHOFF D.Public key based cryptoschemes for data concealment in wireless sensor networks［C］∥2006 IEEE International Conference on Communications.Barcelona，Spain：IEEE，2006：2288-2295.