本發(fā)明涉及數(shù)據(jù)分析領(lǐng)域,尤其涉及一種配電網(wǎng)安全高效的細(xì)粒度數(shù)據(jù)分析方法。
背景技術(shù):
1、隨著物聯(lián)網(wǎng)的超高速發(fā)展,涉及電力、醫(yī)療、交通、金融等等各種領(lǐng)域。底層各種配電網(wǎng)智能設(shè)備每天都產(chǎn)生海量的資產(chǎn)數(shù)據(jù),這些電力敏感的資產(chǎn)數(shù)據(jù)實(shí)時地上傳到云服務(wù)器進(jìn)行存儲。然而,配電網(wǎng)智能設(shè)備產(chǎn)生的配電網(wǎng)數(shù)據(jù)涉及國家、政府以及相關(guān)單位隱私。如果被惡意敵手截獲或篡改,則會造成難以想象的經(jīng)濟(jì)損失以及民生損失。然而,聚合后的配電網(wǎng)數(shù)據(jù)具有極高決策價值以及電力物聯(lián)網(wǎng)的研究價值。由于配電網(wǎng)智能設(shè)備分布區(qū)域廣泛且數(shù)量巨大,傳統(tǒng)的云計算環(huán)境已經(jīng)無法滿足其高效安全統(tǒng)計分析需求。針對上述配電網(wǎng)數(shù)據(jù)外包的安全以及細(xì)粒度分析問題,以往的方案已經(jīng)不是最佳的解決方案。因此,如何在可信執(zhí)行環(huán)境與物聯(lián)網(wǎng)場景下,設(shè)計并解決配電網(wǎng)數(shù)據(jù)外包存儲計算過程中數(shù)據(jù)安全以及計算效率問題變得至關(guān)重要。
2、在中國專利“cn202310632407.5-一種配電網(wǎng)電力系統(tǒng)電能供電效率分析系統(tǒng)及分析方法”,主要集中數(shù)據(jù)收集系統(tǒng)、數(shù)據(jù)分析系統(tǒng)、數(shù)據(jù)管理系統(tǒng)以及移動客戶端。此發(fā)明著重電壓數(shù)據(jù)的收集、分析與管理,并未考慮敏感電壓數(shù)據(jù)本身的機(jī)密性和完整性,同時也沒有對電壓數(shù)據(jù)采取授權(quán)訪問機(jī)制。
3、在中國專利“cn202011278644.9-一種配電網(wǎng)數(shù)據(jù)融合與診斷分析方法及其檢測系統(tǒng)”,主要集中配電網(wǎng)將獲取的電能分配給各類用戶,完成配電數(shù)據(jù)的傳輸;在對配電網(wǎng)輸出端產(chǎn)生的電流消耗進(jìn)行檢測,得出配電網(wǎng)和用戶的阻抗參數(shù)。通過建立業(yè)務(wù)表來支撐配電網(wǎng)問題診斷分析。此發(fā)明著重電能分配與計算阻抗參數(shù)來構(gòu)建配電網(wǎng)數(shù)據(jù)的診斷法分析與評價體系。但此專利并未考慮到配電網(wǎng)數(shù)據(jù)的機(jī)密性和傳輸過程中配電網(wǎng)數(shù)據(jù)的完整性,同時也沒有對配電網(wǎng)數(shù)據(jù)進(jìn)行細(xì)粒度安全管控。
4、在中國專利“cn202010787350.2-一種基于智能數(shù)據(jù)融合分析的配電網(wǎng)故障識別方法”,主要通過傳感器獲取采集節(jié)點(diǎn)的多種電氣特征量并進(jìn)行故障識別,同時本發(fā)明對獲取到的電氣特征量依次進(jìn)行區(qū)域差分處理、拓展和降維,基于lof算法確定離群點(diǎn)用于預(yù)測故障是否出現(xiàn),如果出現(xiàn)故障進(jìn)而確定故障位置,再將故障位置三相電壓進(jìn)行小波奇異熵值計算,將計算結(jié)果輸入svm故障識別模型,獲得配電網(wǎng)故障相位識別結(jié)果,無需復(fù)雜的整定計算,速度快。此發(fā)明著重點(diǎn)在于對節(jié)點(diǎn)的電氣特征進(jìn)行識別,并對其進(jìn)行處理、拓展和降維操作,并根據(jù)計算結(jié)果進(jìn)行故障判定。然而,同樣也是沒有考慮到配電網(wǎng)數(shù)據(jù)本身的機(jī)密性和安全性,以及配電網(wǎng)數(shù)據(jù)的訪問控制。
5、在中國專利“cn202110556057.x-一種構(gòu)建配電網(wǎng)設(shè)備負(fù)荷熱力圖及數(shù)據(jù)分析的方法和系統(tǒng)”,主要通過對獲取的配網(wǎng)設(shè)備負(fù)荷數(shù)據(jù)進(jìn)行預(yù)處理,形成滿足熱力圖構(gòu)建的穩(wěn)定可靠數(shù)據(jù)集,再根據(jù)所述數(shù)據(jù)集構(gòu)建熱力圖進(jìn)行配網(wǎng)設(shè)備的數(shù)據(jù)分析,快速識別配電設(shè)備的負(fù)荷異常數(shù)據(jù),高效自動完成熱力圖構(gòu)建,精確展示電網(wǎng)運(yùn)行薄弱點(diǎn)。然而,同樣也是沒有考慮到配電網(wǎng)數(shù)據(jù)傳輸過程中的機(jī)密性和完整性性,以及配電網(wǎng)數(shù)據(jù)細(xì)粒度的訪問控制。
6、綜上所述,有三個需要解決的關(guān)鍵問題:
7、首先,在目前配電網(wǎng)數(shù)據(jù)分析系統(tǒng)中,未考慮配電網(wǎng)數(shù)據(jù)機(jī)密性、完整性等安全性問題、以及配電網(wǎng)數(shù)據(jù)的細(xì)粒度訪問控制問題,但由于國家互聯(lián)網(wǎng)應(yīng)急中心(cncert/cc)經(jīng)常公布一系列隱私數(shù)據(jù)泄漏事件,即使是可信的第三方數(shù)據(jù)管理中心同樣遭受惡意入侵攻擊造成信息泄露。此外,即使可信的第三方數(shù)據(jù)管理中心未直接泄露私有數(shù)據(jù)本身,也難以保證用戶規(guī)范使用數(shù)據(jù)擁有者的隱私數(shù)據(jù)。
8、法律條文要求確保數(shù)據(jù)方數(shù)據(jù)的安全,同時數(shù)據(jù)持有方也要放開隱私數(shù)據(jù)的部分控制權(quán)與使用權(quán),但是現(xiàn)實(shí)應(yīng)用由于技術(shù)等其他因素導(dǎo)致上述實(shí)施并不理想。因此數(shù)據(jù)持有方一般制定專屬的隱私政策來規(guī)范用戶的使用方式,由于每個數(shù)據(jù)持有方制定的訪問策略都不相同,所以多個數(shù)據(jù)持有方之間很難實(shí)現(xiàn)數(shù)據(jù)共享。
9、在現(xiàn)有的配電網(wǎng)數(shù)據(jù)分析系統(tǒng)中,絕大多數(shù)方法都并未考慮配電網(wǎng)數(shù)據(jù)的機(jī)密性和完整性,同時也并未考慮物聯(lián)網(wǎng)場景下,特比是基于tee可信執(zhí)行環(huán)境的物聯(lián)網(wǎng)場景。因此,需要一個基于可信執(zhí)行環(huán)境的安全高效的細(xì)粒度配電網(wǎng)數(shù)據(jù)分析系統(tǒng)架構(gòu),并能夠與數(shù)據(jù)保護(hù)訪問機(jī)制共存,使得配電網(wǎng)敏感數(shù)據(jù)的機(jī)密性、完整性以及可控性分析。因此需要一種配電網(wǎng)安全高效的細(xì)粒度數(shù)據(jù)分析方法。
技術(shù)實(shí)現(xiàn)思路
1、本發(fā)明的目的是要提供一種配電網(wǎng)安全高效的細(xì)粒度數(shù)據(jù)分析方法。
2、為達(dá)到上述目的,本發(fā)明是按照以下技術(shù)方案實(shí)施的:
3、本發(fā)明包括智能配電網(wǎng)設(shè)備、邊緣服務(wù)器、云服務(wù)器、用戶以及密鑰分發(fā)中心;
4、云服務(wù)器與用戶具有可信執(zhí)行環(huán)境,用戶與云服務(wù)器進(jìn)行可信執(zhí)行環(huán)境的遠(yuǎn)程認(rèn)證產(chǎn)生安全信道用于傳輸密鑰;
5、密鑰分發(fā)中心為所有實(shí)體計算加密密鑰與簽名密鑰,并分配給每個實(shí)體;
6、智能配電網(wǎng)設(shè)備加密數(shù)據(jù)生成配電網(wǎng)密文數(shù)據(jù)并對其密文數(shù)據(jù)進(jìn)行數(shù)字簽名,上傳到對應(yīng)的邊緣服務(wù)器;
7、邊緣服務(wù)器聚合驗證密文數(shù)據(jù)在傳輸?shù)倪^程是否被截獲、篡改以及刪除,再驗證通過后聚合所有配電網(wǎng)設(shè)備的密文數(shù)據(jù)并對聚合密文進(jìn)行數(shù)字簽名上傳至云服務(wù)器;
8、云服務(wù)器聚合驗證所有邊緣級簽名,聚合驗證通過后,存儲所有邊緣級配電網(wǎng)數(shù)據(jù)密文并等待分析請求;包括以下步驟:
9、a云服務(wù)器與用戶在tee下進(jìn)行遠(yuǎn)程認(rèn)證建立安全信道,密鑰分發(fā)中心通過執(zhí)行初始化算法生成密鑰,并且將公鑰參數(shù)公開,并將對應(yīng)的私鑰分發(fā)給智能配電網(wǎng)設(shè)備、邊緣服務(wù)器、用戶以及云服務(wù)器;
10、b所述的智能配電網(wǎng)設(shè)備利用公鑰參數(shù)對所述智能配電網(wǎng)設(shè)備的配電網(wǎng)數(shù)據(jù)進(jìn)行加密得到密文,利用私鑰對密文進(jìn)行數(shù)字簽名,得到第一簽名,并發(fā)送帶有所述第一簽名的可驗證信息給邊緣服務(wù)器;
11、c所述邊緣服務(wù)器接收可驗證信息,并利用可驗證信息進(jìn)行聚合驗證,如果驗證通過,聚合配電網(wǎng)密文數(shù)據(jù)生成聚合密文,并對所述聚合密文進(jìn)行簽名得第二簽名,并發(fā)送帶有所述第二簽名的邊緣級可驗證信息給云服務(wù);
12、d所述的云服務(wù)器接收邊緣級可驗證信息,并利用邊緣級可驗證信息進(jìn)行聚合驗證,如果驗證通過,等待用戶的分析請求;
13、e所述用戶生成授權(quán)請求信息并發(fā)送給所述邊緣服務(wù)器,所述邊緣服務(wù)器響應(yīng)請求,同時生成授權(quán)密鑰,加密發(fā)送給用戶;
14、f所述用戶接收授權(quán)密鑰并對所述授權(quán)密鑰進(jìn)行聚合,生成分析請求密鑰再利用分析請求密鑰加密分析請求生成密文分析請求,并發(fā)送請求的可驗證信息給云服務(wù)器;
15、g所述云服務(wù)器接收密文分析請求,在tee下進(jìn)行驗證并解密所述密文分析請求得到分析結(jié)果,在tee下加密分析結(jié)果得到密文分析結(jié)果,同時對密文分析結(jié)果進(jìn)行數(shù)字簽名得到第三簽名,再將帶有所述第三簽名的可驗證結(jié)果信息發(fā)送給用戶;
16、h所述的用戶接收可驗證結(jié)果信息,并進(jìn)行驗證,如果驗證通過則對密文分析結(jié)果進(jìn)行解密得到分析請求的分析結(jié)果。
17、進(jìn)一步地,在步驟a中所述所述初始化算法具體包括:
18、1)密鑰分發(fā)中心為實(shí)體生成唯一的身份標(biāo)識,idi代表第i個邊緣服務(wù)器的身份標(biāo)識、代表第i個es下第j個數(shù)據(jù)擁有者的身份標(biāo)識、idcs代表云服務(wù)器的身份標(biāo)識和idt代表第t個用戶身份標(biāo)識,1≤i≤n,1≤j≤m,1≤t≤β;
19、2)讀取密鑰分發(fā)中心預(yù)先設(shè)定的安全參數(shù)λ,選取4個大素數(shù)p0、p1、p2、p3、生成階均為n=p0p1p2p3的大整數(shù)循環(huán)群,并構(gòu)建一個雙線性映射,同時計算公共參數(shù)和設(shè)置私鑰s1=p1p2p3和s2=p0p2p3,同時設(shè)置公鑰參數(shù)pk1={u1,u2,u3,e,n,g};pk1是第一個公鑰;
20、3)根據(jù)安全參數(shù)λ生成另一個雙線性映射e1:g×g→g1,且循環(huán)群g和g1的階均為q,其中q>2λ,g1和g2分別是循環(huán)群g和g1的生成元;
21、密鑰分發(fā)中心再選取一個隨機(jī)數(shù)作為簽名的主密鑰,并計算公共參數(shù)隨機(jī)數(shù)w=e1(h1(idt),y)和隨機(jī)數(shù)wi=e1(h1(idi),y),同時設(shè)置兩個哈希函數(shù)h1:{0,1}*→g1和h2:{0,1}*→g1;密鑰分發(fā)中心再分別為智能配電網(wǎng)設(shè)備、邊緣服務(wù)器、用戶以及云服務(wù)器生成簽名私鑰skcs=h1(idcs)δ、skt=h1(idt)δ、ski=h1(idi)δ和
22、設(shè)置公鑰pk2={g,g1,g1,g2,h1,h2,e1,y,q,w,wi};pk2是第二個公鑰,其中g(shù)是一個密碼學(xué)上的循環(huán)群,g1是另一個循環(huán)群,g1是循環(huán)群g的生成元,g2是循環(huán)群g1的生成元,h1是一個哈希函數(shù),h2是另一個哈希函數(shù),e1是g到g1一個雙線映射,y是通過生成元g1和私鑰δ計算生成的公共參數(shù),q是循環(huán)群g和g1的階,w是用于加密密文分析結(jié)果的第t個隨機(jī)數(shù),wi是每個邊緣服務(wù)器用來加密的隨機(jī)數(shù);
23、密鑰分發(fā)中心再隨機(jī)選取一個循環(huán)群g生成元v,并隨機(jī)選取n個隨機(jī)數(shù)同時為每個邊緣服務(wù)器es生成一個對應(yīng)的索引標(biāo)簽labeli并設(shè)置授權(quán)集合u={1,…,n},此外在設(shè)置一個抗碰撞哈希函數(shù)h:{0,1}*→g,
24、設(shè)置公鑰pk3={g,v,h,q,u};pk3是第三個公鑰,其中g(shù)是一個循環(huán)群,v是循環(huán)群g另一個生成元,h是一個區(qū)別h1和h2的哈希函數(shù),q是循環(huán)群g的階,u是邊緣服務(wù)器的授權(quán)集合;
25、5)密鑰分發(fā)中心分別公開第1個公鑰pk1、第2個公鑰pk2和第3個公鑰pk3,并通過安全信道將{skt,s1,s2,idt}、{ski,αi,idi}、{skcs,idcs}和分別發(fā)給對應(yīng)的智能配電網(wǎng)設(shè)備、邊緣服務(wù)器和用戶。
26、進(jìn)一步地,在步驟b中1)每個智能配電網(wǎng)設(shè)備隨機(jī)選取一個隨機(jī)數(shù)對消息加密的得到密文
27、2)每個智能配電網(wǎng)設(shè)備再隨機(jī)選取一個隨機(jī)數(shù)利用私鑰對密文進(jìn)行數(shù)字簽名,得到簽名其代表每個idnei,j的時間戳;
28、3)每個智能配電網(wǎng)設(shè)備上傳可驗證信息
29、進(jìn)一步地,在步驟c中,1)邊緣服務(wù)器esi隨機(jī)選取隨機(jī)數(shù)然后對所述idne上傳的所有簽名進(jìn)行批量驗證,通過以下公式:
30、
31、每個邊緣服務(wù)器esi用密文的每個簽名和每個智能配電網(wǎng)設(shè)備的時間戳和身份標(biāo)識來聚合判斷該邊緣服務(wù)器下所有智能配電網(wǎng)設(shè)備的密文在傳輸過程,如驗證通過表面配電網(wǎng)數(shù)據(jù)在傳輸過程未被篡改,否則拒絕此結(jié)果,要求重新發(fā)起請求;
32、驗證通過后,所述邊緣服務(wù)器對其轄內(nèi)所述智能配電網(wǎng)設(shè)備上傳的密文數(shù)據(jù)進(jìn)行如下聚合
33、
34、邊緣服務(wù)器利用每個智能配電網(wǎng)設(shè)備的密文聚合成一個邊緣級密文ci
35、同時,邊緣服務(wù)器隨機(jī)選取隨機(jī)數(shù)并計算在生成密文數(shù)據(jù)標(biāo)簽然后分別對聚合后的密文數(shù)據(jù)和數(shù)據(jù)密文數(shù)據(jù)標(biāo)簽進(jìn)行簽名,得到簽名和
36、3)每個邊緣服務(wù)器esi發(fā)送邊緣可驗證信息給云服務(wù)器cs。
37、進(jìn)一步地,在步驟d中云服務(wù)器cs接收所有邊緣服務(wù)器esi發(fā)送的邊緣可驗證信息ζi;云服務(wù)器中tee隨機(jī)選取隨機(jī)數(shù)對n個不同邊緣服務(wù)器的密文數(shù)據(jù)進(jìn)行如下的批量驗證:
38、
39、表示云服務(wù)器cs用邊緣級密文ci的每個簽名和每個esi的時間戳ti和每個身份標(biāo)識idi來聚合判斷該邊緣服務(wù)器cs下所有邊緣服務(wù)器esi的邊緣級密文ci在傳輸過程中的完整性;
40、如果驗證未通過,則證明至少有一個邊緣服務(wù)器上傳的密文數(shù)據(jù)是被篡改的,則要求所有邊緣服務(wù)器esi重新發(fā)送;當(dāng)驗證通過之后,繼續(xù)n個不同邊緣服務(wù)器的密文數(shù)據(jù)標(biāo)簽進(jìn)行如下的批量驗證:
41、
42、表示云服務(wù)器用數(shù)據(jù)密文數(shù)據(jù)標(biāo)簽cti=θi+αi·h(labeli)的每個簽名每個esi的時間戳ti、每個邊緣級密文ci、每個邊緣服務(wù)器esi的計算用于簽名標(biāo)簽隨機(jī)數(shù)以及每個邊緣服務(wù)器esi身份標(biāo)識idi來聚合判斷密文數(shù)據(jù)標(biāo)簽cti=θi+αi·h(labeli)在傳輸過程中的完整性;
43、如果驗證未通過,則證明至少有一個邊緣服務(wù)器上傳的密文數(shù)據(jù)標(biāo)簽是被篡改的,則要求所有邊緣服務(wù)器esi重新發(fā)送。
44、進(jìn)一步地,在步驟e中1)用戶根據(jù)自身分析需求,生成請求集合隨機(jī)選取對集合i中任意一個ii進(jìn)行加密和簽名分別得cii和再將發(fā)給對應(yīng)的esi,其tt代表第t個du的時間戳;
45、
46、cii表示集合i中任意一個請求ii的密文;
47、密文cii的簽名表示為
48、
49、2)邊緣服務(wù)器對進(jìn)行如驗證通過,則對cii進(jìn)行解密得到ii=cii,2/e(ski,cii,1),邊緣服務(wù)器計算授權(quán)密鑰再以同樣方式發(fā)送給dut;
50、3)用戶再以上述同樣的方式驗證與解密得到授權(quán)密鑰aki,然后計算聚合授權(quán)密鑰
51、進(jìn)一步地,在步驟f中1)用戶隨機(jī)選取并利用聚合授權(quán)密鑰加密分析請求q,得到加密的分析請求cq=akh(q||method)和簽名σq=(σq,1,σq,2)=(gγ,skt·h2(cq||tq)υ),其中tq代表用戶的時間戳,method代表數(shù)據(jù)分析方法并將請求的可驗證信息ζq={cq,σq,tq,idt}發(fā)送給云服務(wù)器cs的tee。
52、進(jìn)一步地,在步驟g中1)云服務(wù)器cs的tee接收請求的可驗證信息ζq進(jìn)行公式驗證:
53、e1(g1,σq,2)=e1(y,h1(idt))e1(σq,1,h2(cq||tq))
54、表示云服務(wù)器cs的tee利用加密的分析請求cq=akh(q||method)的簽名σq=(σq,1,σq,2)=(gγ,skt·h2(cq||tq)υ)和dut的時間戳tq驗證加密的分析請求cq=akh(q||method)的完整性;
55、2)再通過驗證得到分析請求q對應(yīng)的密文以及分析方法method;
56、3)云服務(wù)器在tee下對分析請求q對應(yīng)的密文進(jìn)行如下的聚合操作:
57、
58、云級密文c表示云服務(wù)器cs根據(jù)分析請求q聚合所有對應(yīng)的密文cq聚合;
59、4)云服務(wù)器cs的tee再利用s1和s2進(jìn)行解密得到配電網(wǎng)數(shù)據(jù)的統(tǒng)計和r1與配電網(wǎng)數(shù)據(jù)的平方和r2,再根據(jù)r1和r2進(jìn)而求出方差、期望或均值等數(shù)據(jù)分析的結(jié)果值r;
60、
61、表示對云級集合密文c進(jìn)行解密得到配電網(wǎng)數(shù)據(jù)的統(tǒng)計和r1
62、
63、表示對云級集合密文c進(jìn)行解密得到配電網(wǎng)數(shù)據(jù)的平方和r2
64、5)tee隨機(jī)選取隨機(jī)數(shù)對結(jié)果r進(jìn)行加密得到密文再對密文結(jié)果進(jìn)行簽名得σr=(σr,1,σr,2)=(g1ε,skcs·h2(cr,1||cr,2||tr)ε);
65、6)最后,tee發(fā)送分析結(jié)果可驗證信息ζr={cr,σr,tr,idcs}給用戶dut。
66、進(jìn)一步地,在步驟h中1)用戶接收分析結(jié)果可驗證信息ζr={cr,σr,tr,idcs},并執(zhí)行如下驗證:
67、e1(g,σr,2)=e1(y,h1(idcs))e1(σr,1,h2(cr,1||cr,2||tr))
68、表示dut利用密文結(jié)果簽名σr=(σr,1,σr,2)=(g1ε,skcs·h2(cr,1||cr,2||tr)ε)對方差、期望或均值等數(shù)據(jù)分析的密文結(jié)果值驗證傳輸過程的完整性;
69、2)如果驗證通過,用戶則對密文分析結(jié)果進(jìn)行解密得到分析結(jié)果
70、本發(fā)明的有益效果是:
71、本發(fā)明是一種配電網(wǎng)安全高效的細(xì)粒度數(shù)據(jù)分析方法,與現(xiàn)有技術(shù)相比,本發(fā)明具有以下技術(shù)效果:
72、本發(fā)明提出了基于tee安全高效的細(xì)粒度配電網(wǎng)數(shù)據(jù)分析系統(tǒng),不僅實(shí)現(xiàn)了多數(shù)據(jù)持有方的數(shù)據(jù)共享,同時也能保證配電網(wǎng)數(shù)據(jù)傳輸和聚合過程中機(jī)密性與完整性。此外用戶可以根據(jù)自身偏好在tee內(nèi)進(jìn)行相應(yīng)細(xì)粒度配電網(wǎng)數(shù)據(jù)分析,保證分析結(jié)果的機(jī)密性、完整性以及正確性,同時有可以支持方差、期望、協(xié)方差等多種分析方法,能夠安全高效的完成配電網(wǎng)數(shù)據(jù)的分析操作。