智能電網(wǎng)隱私保護工程分析與相關(guān)對策

1、智能電網(wǎng)隱私保護工程分析與相關(guān)對策智能電網(wǎng)隱私保護工程分析與相關(guān)對策摘要：保護電力消費者的數(shù)據(jù)和隱私對于智能電網(wǎng)來說是至 關(guān)重要的?？v觀全球，目前的智能電網(wǎng)往往趨于關(guān)注隱私安全的需耍， 隱私僅僅作為智能電網(wǎng)的一個特性存在。為了填補隱私保護在智能電 網(wǎng)中的空白，同時幫助智能電網(wǎng)工程師分析隱私威脅、選擇合適的策 略即隱私保護技術(shù)最后達到解決智能電網(wǎng)系統(tǒng)開發(fā)階段的隱私問題 的目的，描述了相應(yīng)的方法框架和指導(dǎo)規(guī)則，對現(xiàn)有的隱私保護技術(shù) 進行了詳細的總結(jié)，討論了其應(yīng)用的環(huán)境，并闡述了隱私實施過程中 面對的潛在挑戰(zhàn)。關(guān)鍵詞：隱私威脅；隱私保護技術(shù)；智能電網(wǎng)；敏感信息；隱私 保護策略中圖分類號:tp309.

2、 2文獻標識碼：a文章編號：1009-3044(2013) 22-5163-03據(jù)美國國際能源技術(shù)實驗室(netl) 1,實現(xiàn)智能電網(wǎng)要從兩 個能源消費中心的概念開始:智能電表(sm)和需求側(cè)管理(dsm)o 這兩個概念描述了如何從本地消費者電表上自動收集數(shù)據(jù)、如何通過 有線或者無線信道將數(shù)據(jù)傳輸?shù)竭h程設(shè)備以及定義支持高級控制功 能等一系列技術(shù)。智能測量技術(shù)需要實現(xiàn)遠程控制操作來平衡或者轉(zhuǎn) 換能源需求高峰，如同時切斷幾個用戶的供電；訪問控制家電設(shè)備等。 不論從消費者角度還是法律的角度，隱私和數(shù)據(jù)保護對于智能電網(wǎng)來 說都是必不可少的問題。但是其處理卻成果甚微，這將會成為未來智 能電網(wǎng)系統(tǒng)發(fā)展的一

3、大障礙。因此，提高政府組織，標準化組織和企 業(yè)等等關(guān)鍵角色的隱私保護意識是十分必要的。國家標準技術(shù)研究所 (nist) 2闡述了智能電網(wǎng)中隱私和數(shù)據(jù)保護的挑戰(zhàn)以及建議。但 是很少有文件提供切實的工具、模烈和方法幫助工程師解決智能電網(wǎng) 系統(tǒng)中涉及的隱私問題，也無法滿足消費者的隱私期望。本文結(jié)構(gòu)如下。第二部分闡述隱私相關(guān)概念并指出了以消費者為中心的智能電網(wǎng)中的隱私問題；第三部分介紹了設(shè)計方法和如何捕獲隱私威脅和需求，故后選擇出適合的隱私保護方法；第u!部分為文章的總結(jié)。1未來能源系統(tǒng)的隱私問題1. 1智能電網(wǎng)隱私相關(guān)概念隱私是最基本的人權(quán)z，近兒年已經(jīng)提出了很多隱私保護的方 法，如法律保護隱私權(quán)利

4、的必要性、隱私需考慮語境完整性等。智能 電網(wǎng)中國個人信息流總是要遵守特定環(huán)境和相關(guān)準則，更改了不合乎 語境規(guī)范的信息，隱私侵犯行為便會成立。因此規(guī)范隱私敏感數(shù)據(jù)流 以及其可訪問性對未來智能電網(wǎng)的利益和發(fā)展來說是至關(guān)重要的。未來能源系統(tǒng)的隱私問題包括：1）供電公司和第三方服務(wù)供應(yīng) 商通過分析數(shù)據(jù)了解到用戶習(xí)慣、活動以及生活方式；2）假冒消費 者通過網(wǎng)絡(luò)和其他基礎(chǔ)設(shè)備輕而易舉地篡改能源消費信息和電力負 荷信息；3）當(dāng)遇到用電高峰時，供電公司能遠程關(guān)閉任意一個用戶 的智能用電設(shè)備。在用戶沒有繳費的情況下，供電公司同樣可切斷電 力供應(yīng)等3。1.2密鑰隱私法則和標準迄今為止許多國家已將密鑰隱私準則納入法

5、律保護范圍，美國聯(lián) 邦隱私法，歐洲數(shù)據(jù)保護指令ec/95/96和2009/136/ec等。智能電 網(wǎng)隱私保護的密鑰準則如下：1）目的告知：供電公司和第三方必須 清楚表達收集隱私數(shù)據(jù)的目的；2）用戶準許：恰當(dāng)?shù)那闆r下，對于 相關(guān)隱私信息的收集和處理需要得到用戶的明確許可；3）數(shù)據(jù)精確 性：與智能電網(wǎng)有關(guān)的隱私數(shù)據(jù)應(yīng)該是精確并最新的；4）隱私數(shù)據(jù) 收集、處理的限制：收集、處理或者進步共享的信息必須是實現(xiàn)認 證所需的最少的隱私信息。5）個人控制：消費者應(yīng)該能夠進行一致 性檢查，刪除和更新口己的信息；6）尊重選擇：消費者可也口行選 擇哪些數(shù)據(jù)作為自己的隱私數(shù)據(jù)；7）安全防護：為了防止未授權(quán)的 訪問、篡

6、改和丟失隱私數(shù)據(jù)4。2智能電網(wǎng)隱私意識設(shè)計流程為了在法律和技術(shù)上達到隱私要求以及其他安全和運營的目標, 作為智能電網(wǎng)設(shè)計標準z的隱私原則應(yīng)該應(yīng)用到智能電網(wǎng)系統(tǒng)中。因此應(yīng)該明確智能電網(wǎng)系統(tǒng)部署的相關(guān)隱私準則和需求。2. 1確認相關(guān)高等級隱私需求首先，智能電網(wǎng)信息通信技術(shù)（ict）的工程師們確定部署在特 定業(yè)務(wù)領(lǐng)域的高級策略。當(dāng)處理隱私敏感數(shù)據(jù)時，這些高等級策略應(yīng) 該遵守國際和國家的規(guī)范。高等級策略可能包括合同和公司內(nèi)部隱私 準則。需要將高等級策略映射到低等級要求上。2. 2系統(tǒng)模型在系統(tǒng)建模階段，智能電網(wǎng)工程師要指定系統(tǒng)面向的環(huán)境、隱私 敏感數(shù)據(jù)的類型等等問題，這部分由模型設(shè)計者和系統(tǒng)交互人員完

7、成。 這個階段要考慮可操作的環(huán)境、該系統(tǒng)模型間的信息流并將信息流映 射到高級策略的約束上（如功能要求）。因此，設(shè)計者需要創(chuàng)建一個 詳細的模型來定義其元素、功能以及z間和互依賴關(guān)系。2. 3隱私風(fēng)險作為全方位威脅和風(fēng)險評估的一部分，智能電網(wǎng)ict的開發(fā)者必 須能夠控制隱私影響評估（pia） 5。步驟1屮高等級策略和步驟2 中的系統(tǒng)模型為pia提供輸入。依托于威脅建模技術(shù)，這個過程包括 首先開發(fā)潛在敵手的模型；然后產(chǎn)生濫用案例描述具體的系統(tǒng)功能中 的威脅場景，同時還要兼顧敵手的能力；隨后就可能性和預(yù)期的隱私 影響對威脅進行分類。2.4捕獲和分析隱私目標這個階段是智能屯網(wǎng)ict的開發(fā)者捕獲和分析隱私

8、目標所要遵 循的。工程師將確定相關(guān)隱私目標。這些目標中有些能包括分級隱私 特性，如is017799定義的保密性和完整性，匿名相關(guān)特性中的不可 連結(jié)和不可觀察性等。這個過程中開發(fā)者的任務(wù)是保持隱私目標安全 和功能需求的平衡。2.5分析低等級隱私需求低等級隱私需求包括：1）靜態(tài)隱私數(shù)據(jù)的訪問控制；2）控制相 關(guān)隱私數(shù)據(jù)的公開；3）傳輸數(shù)據(jù)時，防止隱私數(shù)據(jù)不恰當(dāng)?shù)墓_；4） 對于管理消費者個人數(shù)據(jù)的授權(quán)；5）個人和執(zhí)法部門的支持，以便 于在運行以及事后隱私數(shù)據(jù)誤用可靠的處理。這一過程中，工程師需 要探究系統(tǒng)是否滿足隱私目標的需求并但檢測已確定的隱私風(fēng)險是否會引起系統(tǒng)隱私需求的缺陷。! 一endpri

9、nt<!-startprint->2. 6選擇適合的隱私保護技術(shù)對隱私風(fēng)險和威脅采用相應(yīng)的對策，工程師需要選擇能夠最大限 度地滿足相關(guān)的隱私規(guī)定的隱私保護技術(shù)并將其集成到智能電網(wǎng)系 統(tǒng)中。此外，工程師們還要評估一項技術(shù)如何能對電網(wǎng)系統(tǒng)整體的隱 私保護產(chǎn)生全面有效的影響。由于大部分現(xiàn)有的隱私保護技術(shù)在處理 單一的、簡單的隱私需求時十分適合，當(dāng)遇到復(fù)雜的隱私需求缺陷就 顯現(xiàn)出來，組合后的隱私保護技術(shù)會出現(xiàn)的新漏洞、新風(fēng)險以及在后 期設(shè)計階段會發(fā)現(xiàn)的缺陷。3可能的隱私保護對策根據(jù)確認的隱私威脅和需求，隱私保護技術(shù)分為兩類分別是預(yù)防 和響應(yīng)技術(shù)。預(yù)防技術(shù)包括在傳輸和空閑時保護數(shù)據(jù)的方法，一

10、方面 使消費者控制信息傳播，另一方面讓電能消費者控制他們個人信息。 相反，響應(yīng)技術(shù)是指審查機制，判斷消費者個人數(shù)據(jù)的處理是否與電 力消費者隱私設(shè)置以及法律要求應(yīng)用和一致。3. 1存儲數(shù)據(jù)的保護安全存儲。隱私敏感數(shù)據(jù)的收集、可靠性和完整性需要通過平臺 硬件化機制的結(jié)合來實現(xiàn)，比如tcg制定的標準6。這個方法能夠 克服軟件加密需要保護加密密鑰的缺點，依靠系統(tǒng)中需要的隱私等級, 設(shè)計者可以將硬件安全存儲機制與新穎的加密機制相結(jié)合。隱私意識控制。在未來智能電網(wǎng)中，用戶賬戶以及其他個人信息 需要進行訪問控制，數(shù)據(jù)請求者和數(shù)據(jù)持有者之間需要建立信任關(guān)系。3. 2防止傳輸過程中敏感數(shù)據(jù)的泄露認證數(shù)據(jù)的隱私保

11、護釋放技術(shù)。隱私保護釋放技術(shù)將確保儀表數(shù) 據(jù)在智能電網(wǎng)傳輸過程中的機密性，開發(fā)者需要采用這種技術(shù)保證數(shù) 據(jù)的真實性和完整性。數(shù)據(jù)源認證和數(shù)據(jù)完整性一般通過加密簽名實 現(xiàn)。就匿名性和可斷開性而言，隱私證書、盲簽、群簽名和組簽名的 概念可以提供預(yù)期的效果。數(shù)據(jù)匿名和混淆技術(shù)。這類型的隱私保護技術(shù)將為設(shè)計者提供確 保不同網(wǎng)絡(luò)管理領(lǐng)域信息共享的同時有效的保證數(shù)據(jù)的機密性并且 保護所有涉及能源消費者的隱私數(shù)據(jù)的技術(shù)手段。另一類的隱私保護 技術(shù)稱之為混淆技術(shù)，是指智能電網(wǎng)開發(fā)者可以利用可充電電池來偽 裝消費事件和數(shù)據(jù)，使得只有原始使用數(shù)據(jù)可以收集和共享。采用隱私保護數(shù)據(jù)集成技術(shù)是分享電表讀數(shù)時保護用戶數(shù)據(jù)

12、隱 私的另一個方法。這一技術(shù)提供了解決智能電網(wǎng)環(huán)境中隱私問題的辦 法，供電公司不必知道智能電表和特定地域電能消費中的特定數(shù)據(jù)之 間的聯(lián)系。值得設(shè)計者探索的解決辦法包括保證集成數(shù)據(jù)的機密性， 例如內(nèi)網(wǎng)的進程機制聚類協(xié)議和切片技術(shù)、使用先進的加密技術(shù)和聚 合過程中保護智能電表身份的技術(shù)等。網(wǎng)絡(luò)流量數(shù)據(jù)保護從安全的通信隧道提供消費者確認信息防和 止泄露的方法。未來智能電網(wǎng)的數(shù)據(jù)和隱私保護應(yīng)該確保通過所有的 通信層，因為如果消費者能夠準確地識別經(jīng)過他/她的智能電表設(shè)備 的唯一標示符（如ip地址），那么在應(yīng)用層加密無關(guān)聯(lián)性便不起作用。 因此，上訴描述的高層隱私機制必須結(jié)合底層的匿名技術(shù)。3.3確保消費者

13、授權(quán)和透明性法律法規(guī)并不能完全實現(xiàn)智能電網(wǎng)系統(tǒng)的隱私保護，有必要提出 一套行z有效的技術(shù)方案保證能源消費者對個人數(shù)據(jù)和隱私的控制 權(quán)限。包括：給予具體的知情權(quán)或者快速選擇是否收集和處理數(shù)據(jù)以 及如何收集和處理數(shù)據(jù)的權(quán)利；保證消費者訪問、更正或者刪除數(shù)據(jù) 的權(quán)限。以用戶為中心的身份管理機制和工具可以適應(yīng)用戶對隱私的 設(shè)置，同吋使用最少的個人數(shù)據(jù)。w3c平臺的隱私首選項（p3p）便 是一個用戶授權(quán)工具合適的例子，設(shè)計者利用網(wǎng)站與消費者交互，向 消費者傳達隱私數(shù)據(jù)的處理7 o4結(jié)論這篇文章提出了一個初步的想法，將隱私技術(shù)應(yīng)用到智能電網(wǎng)信 息通信技術(shù)（ict）的早期開發(fā)階段，指出智能電網(wǎng)環(huán)境所能理解和

14、 支持的隱私保護技術(shù)，討論了智能電網(wǎng)下隱私工程的挑戰(zhàn)，提出了相 關(guān)方案來支持工程師確定相關(guān)的隱私目標和需求，并且有效的將它們 轉(zhuǎn)換為系統(tǒng)開發(fā)的需求。該文討論了隱私需求的提取和隱私保護技術(shù)。 下一步的工作是開發(fā)更具體的隱私需求工程框架，這一步將有助于建 立關(guān)鍵隱私需求模型。此外，還需擴展框架包括特定的隱私風(fēng)險評估 方法、隱私威脅分析框架等。這一方法為工程師評估隱私漏洞帶來的 威脅提供一個良好的度量平臺。參考文獻：1 national energy technology laboratory (netl) a vision for the smart grid. eb/ol. 2009-02.ht

15、tp：/ww. net 1. doe. gov/moderngrid/2 the smart grid interoperability panel-cyber security working group .smart grid cyber security strateg-y and requirements .the national institute of standards and technology (nist), tech, 2010.3 guarda p, zannone n. towards the development of privacy-aware systemj

16、 inf. softw technol. 2009, 2 (51)： 337-350.4 hervais simo fhom, kpatcha m bayarou. towards a holistic privacy engineering approach for smart grid systemsc2011 international joint conference of ieee trustcom. 2011： 234-240.5 clarke r. privacy impact assessment： its origins and development j computer law & security review, 2009, 2 (25)： 123-135.6 ni q, trombetta a, bertino e, et al. privacy-aware rolebased access control c pr