基于同态加密的电力调度数据抗泄露加密系统设计

赵麟祥，郭芳琳，王华，寇小霞

（国网甘肃省电力公司，甘肃 兰州 730050）

同态加密是以复杂数学理论为基础的密码学技术，该项密码学技术的本质是一类加密函数，可根据明文样本的运算形式，判断密文样本的编码形式。分析同态加密技术处理后的数据样本，可得到完整的密码模板，利用该模板对同类数据信息再次加密，则可以获得与原数据样本完全相同的编码结果[1-2]。不同于其他类型的编码技术，同态加密技术对于明文数据样本的码源形式不作严格要求，且整个编码过程包含多种运算形式，但为保证编码与解码指令的同源性，要求加密模板、解密模板所遵循的运算方式必须保持一致。

电力调度数据是包含电网自动化、调度指挥、安全自动控制等多种不同信息的数据样本参量，一般来说，电力网络的布局形式不同，与之匹配的调度数据所属类型也有所不同[3]。然而随着电力网络构建标准的日益复杂化，电力调度数据样本的存储总量也在不断增加，在此情况下，如何保证明文样本与密文样本之间的编译对应关系，成为了亟待解决的难题。任天宇等人[4]设计了基于多级身份验证和轻量级加密的电力物联网数据安全系统。该系统通过建立多级身份验证标准的方式，确定电力调度数据明文样本的编码形式，再将这些样本对象与码源模板对比，确定密文样本的编码形式[4]。然而此系统的应用能力有限，并不能完全避免信息泄露事件的出现。为解决上述问题，研究设计一种新的基于同态加密的电力调度数据抗泄露加密系统。

1 同态加密方案

1.1 同态加密

同态加密是一种完全加密方案，可以根据数据信息样本的计算深度条件，判断明文模板与密文模板之间的匹配关系，从而使得处理主机能够准确判别码源参量的传输能力。在电力调度网络中，若无明显数据重叠行为存在，电网主机则可以按照全同态加密原则，对数据明文样本加密、协调处理[5-6]。设α表示电力调度数据的同态编码系数，xα表示基于系数α的数据样本加密指标，xα-1表示基于系数α-1 的数据样本加密指标，xˉ表示加密指标xα与xα-1的平均值，β表示码源编译系数，Cˉ表示电力调度数据样本的单位累积量，联立上述物理量，可将同态加密原则表达式定义为：

当电力调度数据明文样本的编码步长值与密文样本的解码步长值完全相等时，可获取当前密文样本与明文样本之间为对应编码关系。

1.2 密码模板

密码模板规定了电力调度数据的编码形式，在同态加密原则的作用下，独立密码模板对于数据信息参量的容纳能力越强，电网主机在单位时间内所能处理的明文样本数量也就越多[7-8]。密码模板定义式受到明文样本编码特征、方向性码源指标两项物理量的直接影响。明文样本编码特征常表示为B˙，一般来说，该项物理量的取值越大，单一密码模板中所包含的电力调度数据样本也就越多。方向性码源指标可表示为χ，当电力调度数据保持正传输方向时，系数χ的取值恒大于零，当电力调度数据保持负传输方向时，系数χ的取值恒小于零。在上述物理量的支持下，联立式（1），可将密码模板定义条件表示为：

式中，δmin表示单位时间内电力调度数据明文样本的最小传输数值量，δmax表示最大传输数值量。由于电网主机在单位时间内加密处理的电力调度数据样本数值量不可能为零，因此δmax-δmin＞0 的不等式条件恒成立。

1.3 边缘加密系数

边缘加密系数也叫边界加密指标，决定了电网主机对于电力调度数据的加密处理强度，为避免信息泄露行为的出现，求解边缘加密系数时，还应参考密码模板条件的定义表达式[9-10]。设φ表示密码模板中电力调度数据样本的行向规划系数，ε表示列向规划系数，且φ＞1、ε＞1 的不等式条件同时成立，φ表示基于同态加密的电力调度数据识别系数，A′表示数据明文样本的边缘性特征，m′表示码源转换系数，表示数据明文样本的全局加密特征均值，电力调度数据的边缘加密系数求解表达式为：

边缘加密系数求解结果越大，电网主机对电力调度数据的加密处理能力越强，反之则越弱。

2 系统硬件模块设计

2.1 File设备连接形式

File 设备负责存储电力调度数据的明文样本与密文样本，由Clear sample、Cipher samples 两个结构单元共同组成，但由于密文样本为编码后的电力调度数据信息，所以同态加密技术只作用于Clear sample 结构单元[11-12]。完整的File 设备连接形式如图1 所示。

Lite 设备负责暂时存储加密处理后的电力调度数据样本，因其对信息参量加密处理时完全遵循同态加密原则，所以到达Clear sample 结构单元、Cipher samples 结构单元中的密文信息均不会出现明显的泄露传输行为。

2.2 上机位布局

在电力调度数据抗泄露加密系统中，上机位模式可以将明文信息样本完全提取处理，并可以按照同态加密原则，对这些数据参量加密处理，由于File设备能够有效控制信息泄露传输行为的发生几率，所以整个布局模式中必须同时包含加密端节点[13]。设κ表示加密端节点布局系数，ΔF表示File 设备在单位时间内所能提取的电力调度数据密文样本总量，λ表示上机位布局权限，f表示基于同态加密原则的电力调度数据加密行为向量，d表示抗泄露加密码源样本的提取向量。在上述物理量的支持下，联立式（3），可将抗泄露加密系统上机位布局表达式定义为：

对上机位节点布局时，要求电力调度数据明文样本的实时输出量不得大于File 设备的最大存储能力，一方面能够保证同态加密技术的顺利实施，另一方面也可以避免数据泄露行为的出现[14]。

2.3 下机位布局

下机位模式负责整合完成加密处理的电力调度数据，可以联合上机位模式构建完整的密文模板循环子系统，从而使得电网主机能够对信息样本准确辨别，以避免数据泄露行为的出现。下机位布局模式由电力调度数据收发器、引擎接口、FIFO 设备、CPI-51 内核四部分共同组成。其中，电力调度数据收发器直接与File 设备相连，可以提取Cipher samples 结构单元中存储的密文信息参量；引擎接口包括IN 端口、OUT 端口两个组成元件，能够按照同态加密原则，确定电力调度数据明文样本的实时传输速率[15-16]；FIFO 设备最为引擎接口的下级连接元件，可以确定当前密码模板的对于电力调度数据的加密处理能力；CPI-51 内核负责存储加密后的电力调度数据，与系统数据库主机直接相连[17-18]。完整的系统下机位布局模式如图2 所示。

图2 抗泄露加密系统下机位布局模式

在同态加密原则的作用下，联立各级硬件执行模块，实现电力调度数据抗泄露加密系统的顺利应用。

3 系统应用的实例分析

3.1 准备阶段

以FPGA SFIFO 窗口作为电力调度数据检测软件，当软件界面显示情况为图3 时，开始对电力调度数据加密处理。

图3 电力调度数据处理界面

在电力网络中，选择10.0 Gb 的调度数据作为实验对象，将这些数据样本输入FPGA SFIFO 软件，分别利用实验组、对照组系统完成对所选电力调度数据的加密处理。该次实验过程中，实验组采用基于同态加密的电力调度数据抗泄露加密系统，对照组采用文献[4]设计的基于多级身份验证和轻量级加密的电力物联网数据安全系统。具体的实验环境如图4 所示。

图4 实验组实验环境

3.2 应用结果

电力调度数据明文样本与密文样本之间的编译对应关系可以用来描述信息泄露事件的发生概率，在不考虑其他干扰条件的情况下，若明文样本与密文样本之间的编译关系与给定编码原则完全符合，则表示在当前加密系统作用下，不会出现信息泄露行为；若明文样本与密文样本之间的编译关系不能完全符合给定编码原则，则不符合编译原则的样本数量越多，就表示信息泄露事件的发生概率越大。

表1 给出了电力调度数据明文样本与密文样本之间的编码关系。

表1 明文样本与密文样本的对应关系

图5 反映了实验组方法应用下，六种明文样本的加密结果。

图5 实验组加密结果

分析图5 可知，实验组明文样本与密文样本之间的编译关系与表1 给定的编码原则完全相同。

图6 反映了对照组系统作用下，六种明文样本的加密结果。

图6 对照组加密结果

分析图6 可知，对照组系统应用下，明文样本为6134BB07F60、1F661C13AB2、A8008F52A51 时，所得编码结果与表1 给定编码相同；当明文样本为4D990763C88、CC7411551E4、B2924CFA262 时，所得编码结果分别为3XC3A79C92A、754D8476IS1、D100P3FS325，与表1 给定的编码不同。

综上可知，基于同态加密的电力调度数据抗泄露加密系统可以准确加密所给定的六类明文样本，在解决信息泄露问题方面的应用能力相对较强。

4 结束语

与轻量级加密系统相比，新型电力调度数据抗泄露加密系统在同态加密原则的基础上，求解边缘加密系数的取值范围，又联合File 设备，对上、下机位布局模式按需调试。在实际应用方面，这种新型加密系统可以有效保证明文样本与密文样本之间的对应编译关系，能够较好地解决现有的信息泄露问题，符合实际应用需求。