论文部分内容阅读
摘 要:保护电力消费者的数据和隐私对于智能电网来说是至关重要的。纵观全球,目前的智能电网往往趋于关注隐私安全的需要,隐私仅仅作为智能电网的一个特性存在。为了填补隐私保护在智能电网中的空白,同时帮助智能电网工程师分析隐私威胁、选择合适的策略即隐私保护技术最后达到解决智能电网系统开发阶段的隐私问题的目的,描述了相应的方法框架和指导规则,对现有的隐私保护技术进行了详细的总结,讨论了其应用的环境,并阐述了隐私实施过程中面对的潜在挑战。
关键词:隐私威胁;隐私保护技术;智能电网;敏感信息;隐私保护策略
中图分类号:TP309.2 文献标识码:A 文章编号:1009-3044(2013)22-5163-03
据美国国际能源技术实验室(NETL)[1],实现智能电网要从两个能源消费中心的概念开始:智能电表(SM)和需求侧管理(DSM)。这两个概念描述了如何从本地消费者电表上自动收集数据、如何通过有线或者无线信道将数据传输到远程设备以及定义支持高级控制功能等一系列技术。智能测量技术需要实现远程控制操作来平衡或者转换能源需求高峰,如同时切断几个用户的供电;访问控制家电设备等。不论从消费者角度还是法律的角度,隐私和数据保护对于智能电网来说都是必不可少的问题。但是其处理却成果甚微,这将会成为未来智能电网系统发展的一大障碍。因此,提高政府组织,标准化组织和企业等等关键角色的隐私保护意识是十分必要的。国家标准技术研究所(NIST)[2]阐述了智能电网中隐私和数据保护的挑战以及建议。但是很少有文件提供切实的工具、模型和方法帮助工程师解决智能电网系统中涉及的隐私问题,也无法满足消费者的隐私期望。
本文结构如下。第二部分阐述隐私相关概念并指出了以消费者为中心的智能电网中的隐私问题;第三部分介绍了设计方法和如何捕获隐私威胁和需求,最后选择出适合的隐私保护方法;第四部分为文章的总结。
1 未来能源系统的隐私问题
1.1 智能电网隐私相关概念
隐私是最基本的人权之一,近几年已经提出了很多隐私保护的方法,如法律保护隐私权利的必要性、隐私需考虑语境完整性等。智能电网中国个人信息流总是要遵守特定环境和相关准则,更改了不合乎语境规范的信息,隐私侵犯行为便会成立。因此规范隐私敏感数据流以及其可访问性对未来智能电网的利益和发展来说是至关重要的。
未来能源系统的隐私问题包括:1)供电公司和第三方服务供应商通过分析数据了解到用户习惯、活动以及生活方式;2)假冒消费者通过网络和其他基础设备轻而易举地篡改能源消费信息和电力负荷信息;3)当遇到用电高峰时,供电公司能远程关闭任意一个用户的智能用电设备。在用户没有缴费的情况下,供电公司同样可切断电力供应等[3]。
1.2 密钥隐私法则和标准
迄今为止许多国家已将密钥隐私准则纳入法律保护范围,美国联邦隐私法,欧洲数据保护指令EC/95/96和2009/136/EC等。智能电网隐私保护的密钥准则如下:1)目的告知:供电公司和第三方必须清楚表达收集隐私数据的目的;2)用户准许:恰当的情况下,对于相关隐私信息的收集和处理需要得到用户的明确许可;3)数据精确性:与智能电网有关的隐私数据应该是精确并最新的;4)隐私数据收集、处理的限制:收集、处理或者进一步共享的信息必须是实现认证所需的最少的隐私信息。5)个人控制:消费者应该能够进行一致性检查,删除和更新自己的信息;6)尊重选择:消费者可也自行选择哪些数据作为自己的隐私数据;7)安全防护:为了防止未授权的访问、篡改和丢失隐私数据[4]。
2 智能电网隐私意识设计流程
为了在法律和技术上达到隐私要求以及其他安全和运营的目标,作为智能电网设计标准之一的隐私原则应该应用到智能电网系统中。因此应该明确智能电网系统部署的相关隐私准则和需求。
2.1确认相关高等级隐私需求
首先,智能电网信息通信技术(ICT)的工程师们确定部署在特定业务领域的高级策略。当处理隐私敏感数据时,这些高等级策略应该遵守国际和国家的规范。高等级策略可能包括合同和公司内部隐私准则。需要将高等级策略映射到低等级要求上。
2.2系统模型
在系统建模阶段,智能电网工程师要指定系统面向的环境、隐私敏感数据的类型等等问题,这部分由模型设计者和系统交互人员完成。这个阶段要考虑可操作的环境、该系统模型间的信息流并将信息流映射到高级策略的约束上(如功能要求)。因此,设计者需要创建一个详细的模型来定义其元素、功能以及之间相互依赖关系。
2.3隐私风险
作为全方位威胁和风险评估的一部分,智能电网ICT的开发者必须能够控制隐私影响评估(PIA)[5]。步骤1中高等级策略和步骤2中的系统模型为PIA提供输入。依托于威胁建模技术,这个过程包括首先开发潜在敌手的模型;然后产生滥用案例描述具体的系统功能中的威胁场景,同时还要兼顾敌手的能力;随后就可能性和预期的隐私影响对威胁进行分类。
2.4 捕获和分析隐私目标
这个阶段是智能电网ICT的开发者捕获和分析隐私目标所要遵循的。工程师将确定相关隐私目标。这些目标中有些能包括分级隐私特性,如ISO17799定义的保密性和完整性,匿名相关特性中的不可连结和不可观察性等。这个过程中开发者的任务是保持隐私目标安全和功能需求的平衡。
2.5 分析低等级隐私需求
低等级隐私需求包括:1)静态隐私数据的访问控制;2)控制相关隐私数据的公开;3)传输数据时,防止隐私数据不恰当的公开;4)对于管理消费者个人数据的授权;5)个人和执法部门的支持,以便于在运行以及事后隐私数据误用可靠的处理。这一过程中,工程师需要探究系统是否满足隐私目标的需求并且检测已确定的隐私风险是否会引起系统隐私需求的缺陷。 2.6 选择适合的隐私保护技术
对隐私风险和威胁采用相应的对策,工程师需要选择能够最大限度地满足相关的隐私规定的隐私保护技术并将其集成到智能电网系统中。此外,工程师们还要评估一项技术如何能对电网系统整体的隐私保护产生全面有效的影响。由于大部分现有的隐私保护技术在处理单一的、简单的隐私需求时十分适合,当遇到复杂的隐私需求缺陷就显现出来,组合后的隐私保护技术会出现的新漏洞、新风险以及在后期设计阶段会发现的缺陷。
3 可能的隐私保护对策
根据确认的隐私威胁和需求,隐私保护技术分为两类分别是预防和响应技术。预防技术包括在传输和空闲时保护数据的方法,一方面使消费者控制信息传播,另一方面让电能消费者控制他们个人信息。相反,响应技术是指审查机制,判断消费者个人数据的处理是否与电力消费者隐私设置以及法律要求应用相一致。
3.1存储数据的保护
安全存储。隐私敏感数据的收集、可靠性和完整性需要通过平台硬件化机制的结合来实现,比如TCG制定的标准[6]。这个方法能够克服软件加密需要保护加密密钥的缺点,依靠系统中需要的隐私等级,设计者可以将硬件安全存储机制与新颖的加密机制相结合。
隐私意识控制。在未来智能电网中,用户账户以及其他个人信息需要进行访问控制,数据请求者和数据持有者之间需要建立信任关系。
3.2防止传输过程中敏感数据的泄露
认证数据的隐私保护释放技术。隐私保护释放技术将确保仪表数据在智能电网传输过程中的机密性,开发者需要采用这种技术保证数据的真实性和完整性。数据源认证和数据完整性一般通过加密签名实现。就匿名性和可断开性而言,隐私证书、盲签、群签名和组签名的概念可以提供预期的效果。
数据匿名和混淆技术。这类型的隐私保护技术将为设计者提供确保不同网络管理领域信息共享的同时有效的保证数据的机密性并且保护所有涉及能源消费者的隐私数据的技术手段。另一类的隐私保护技术称之为混淆技术,是指智能电网开发者可以利用可充电电池来伪装消费事件和数据,使得只有原始使用数据可以收集和共享。
采用隐私保护数据集成技术是分享电表读数时保护用户数据隐私的另一个方法。这一技术提供了解决智能电网环境中隐私问题的办法,供电公司不必知道智能电表和特定地域电能消费中的特定数据之间的联系。值得设计者探索的解决办法包括保证集成数据的机密性,例如内网的进程机制聚类协议和切片技术、使用先进的加密技术和聚合过程中保护智能电表身份的技术等。
网络流量数据保护从安全的通信隧道提供消费者确认信息防和止泄露的方法。未来智能电网的数据和隐私保护应该确保通过所有的通信层,因为如果消费者能够准确地识别经过他/她的智能电表设备的唯一标示符(如IP地址),那么在应用层加密无关联性便不起作用。因此,上诉描述的高层隐私机制必须结合底层的匿名技术。
3.3 确保消费者授权和透明性
法律法规并不能完全实现智能电网系统的隐私保护,有必要提出一套行之有效的技术方案保证能源消费者对个人数据和隐私的控制权限。包括:给予具体的知情权或者快速选择是否收集和处理数据以及如何收集和处理数据的权利;保证消费者访问、更正或者删除数据的权限。以用户为中心的身份管理机制和工具可以适应用户对隐私的设置,同时使用最少的个人数据。W3C平台的隐私首选项(P3P)便是一个用户授权工具合适的例子,设计者利用网站与消费者交互,向消费者传达隐私数据的处理[7]。
4 结论
这篇文章提出了一个初步的想法,将隐私技术应用到智能电网信息通信技术(ICT)的早期开发阶段,指出智能电网环境所能理解和支持的隐私保护技术,讨论了智能电网下隐私工程的挑战,提出了相关方案来支持工程师确定相关的隐私目标和需求,并且有效的将它们转换为系统开发的需求。该文讨论了隐私需求的提取和隐私保护技术。下一步的工作是开发更具体的隐私需求工程框架,这一步将有助于建立关键隐私需求模型。此外,还需扩展框架包括特定的隐私风险评估方法、隐私威胁分析框架等。这一方法为工程师评估隐私漏洞带来的威胁提供一个良好的度量平台。
参考文献:
[1] National Energy Technology Laboratory (NETL).A Vision for the Smart Grid.[EB/OL].[2009-02].http://www.netl.doe.gov/moderngrid/.
[2] The Smart Grid Interoperability Panel-Cyber Security Working Group.Smart grid cyber security strateg-y and requirements.The National Institute of Standards and Technology(NIST),Tech,2010.
[3] Guarda P,Zannone N.Towards the development of privacy-aware system[J].Inf. Softw. Technol.2009,2(51): 337-350.
[4] Hervais Simo Fhom,Kpatcha M Bayarou.Towards a Holistic Privacy Engineering Approach for Smart Grid Systems[C].2011 International Joint Conference of IEEE TrustCom.2011:234-240.
[5] Clarke R.Privacy impact assessment: Its origins and development[J].Computer Law
关键词:隐私威胁;隐私保护技术;智能电网;敏感信息;隐私保护策略
中图分类号:TP309.2 文献标识码:A 文章编号:1009-3044(2013)22-5163-03
据美国国际能源技术实验室(NETL)[1],实现智能电网要从两个能源消费中心的概念开始:智能电表(SM)和需求侧管理(DSM)。这两个概念描述了如何从本地消费者电表上自动收集数据、如何通过有线或者无线信道将数据传输到远程设备以及定义支持高级控制功能等一系列技术。智能测量技术需要实现远程控制操作来平衡或者转换能源需求高峰,如同时切断几个用户的供电;访问控制家电设备等。不论从消费者角度还是法律的角度,隐私和数据保护对于智能电网来说都是必不可少的问题。但是其处理却成果甚微,这将会成为未来智能电网系统发展的一大障碍。因此,提高政府组织,标准化组织和企业等等关键角色的隐私保护意识是十分必要的。国家标准技术研究所(NIST)[2]阐述了智能电网中隐私和数据保护的挑战以及建议。但是很少有文件提供切实的工具、模型和方法帮助工程师解决智能电网系统中涉及的隐私问题,也无法满足消费者的隐私期望。
本文结构如下。第二部分阐述隐私相关概念并指出了以消费者为中心的智能电网中的隐私问题;第三部分介绍了设计方法和如何捕获隐私威胁和需求,最后选择出适合的隐私保护方法;第四部分为文章的总结。
1 未来能源系统的隐私问题
1.1 智能电网隐私相关概念
隐私是最基本的人权之一,近几年已经提出了很多隐私保护的方法,如法律保护隐私权利的必要性、隐私需考虑语境完整性等。智能电网中国个人信息流总是要遵守特定环境和相关准则,更改了不合乎语境规范的信息,隐私侵犯行为便会成立。因此规范隐私敏感数据流以及其可访问性对未来智能电网的利益和发展来说是至关重要的。
未来能源系统的隐私问题包括:1)供电公司和第三方服务供应商通过分析数据了解到用户习惯、活动以及生活方式;2)假冒消费者通过网络和其他基础设备轻而易举地篡改能源消费信息和电力负荷信息;3)当遇到用电高峰时,供电公司能远程关闭任意一个用户的智能用电设备。在用户没有缴费的情况下,供电公司同样可切断电力供应等[3]。
1.2 密钥隐私法则和标准
迄今为止许多国家已将密钥隐私准则纳入法律保护范围,美国联邦隐私法,欧洲数据保护指令EC/95/96和2009/136/EC等。智能电网隐私保护的密钥准则如下:1)目的告知:供电公司和第三方必须清楚表达收集隐私数据的目的;2)用户准许:恰当的情况下,对于相关隐私信息的收集和处理需要得到用户的明确许可;3)数据精确性:与智能电网有关的隐私数据应该是精确并最新的;4)隐私数据收集、处理的限制:收集、处理或者进一步共享的信息必须是实现认证所需的最少的隐私信息。5)个人控制:消费者应该能够进行一致性检查,删除和更新自己的信息;6)尊重选择:消费者可也自行选择哪些数据作为自己的隐私数据;7)安全防护:为了防止未授权的访问、篡改和丢失隐私数据[4]。
2 智能电网隐私意识设计流程
为了在法律和技术上达到隐私要求以及其他安全和运营的目标,作为智能电网设计标准之一的隐私原则应该应用到智能电网系统中。因此应该明确智能电网系统部署的相关隐私准则和需求。
2.1确认相关高等级隐私需求
首先,智能电网信息通信技术(ICT)的工程师们确定部署在特定业务领域的高级策略。当处理隐私敏感数据时,这些高等级策略应该遵守国际和国家的规范。高等级策略可能包括合同和公司内部隐私准则。需要将高等级策略映射到低等级要求上。
2.2系统模型
在系统建模阶段,智能电网工程师要指定系统面向的环境、隐私敏感数据的类型等等问题,这部分由模型设计者和系统交互人员完成。这个阶段要考虑可操作的环境、该系统模型间的信息流并将信息流映射到高级策略的约束上(如功能要求)。因此,设计者需要创建一个详细的模型来定义其元素、功能以及之间相互依赖关系。
2.3隐私风险
作为全方位威胁和风险评估的一部分,智能电网ICT的开发者必须能够控制隐私影响评估(PIA)[5]。步骤1中高等级策略和步骤2中的系统模型为PIA提供输入。依托于威胁建模技术,这个过程包括首先开发潜在敌手的模型;然后产生滥用案例描述具体的系统功能中的威胁场景,同时还要兼顾敌手的能力;随后就可能性和预期的隐私影响对威胁进行分类。
2.4 捕获和分析隐私目标
这个阶段是智能电网ICT的开发者捕获和分析隐私目标所要遵循的。工程师将确定相关隐私目标。这些目标中有些能包括分级隐私特性,如ISO17799定义的保密性和完整性,匿名相关特性中的不可连结和不可观察性等。这个过程中开发者的任务是保持隐私目标安全和功能需求的平衡。
2.5 分析低等级隐私需求
低等级隐私需求包括:1)静态隐私数据的访问控制;2)控制相关隐私数据的公开;3)传输数据时,防止隐私数据不恰当的公开;4)对于管理消费者个人数据的授权;5)个人和执法部门的支持,以便于在运行以及事后隐私数据误用可靠的处理。这一过程中,工程师需要探究系统是否满足隐私目标的需求并且检测已确定的隐私风险是否会引起系统隐私需求的缺陷。 2.6 选择适合的隐私保护技术
对隐私风险和威胁采用相应的对策,工程师需要选择能够最大限度地满足相关的隐私规定的隐私保护技术并将其集成到智能电网系统中。此外,工程师们还要评估一项技术如何能对电网系统整体的隐私保护产生全面有效的影响。由于大部分现有的隐私保护技术在处理单一的、简单的隐私需求时十分适合,当遇到复杂的隐私需求缺陷就显现出来,组合后的隐私保护技术会出现的新漏洞、新风险以及在后期设计阶段会发现的缺陷。
3 可能的隐私保护对策
根据确认的隐私威胁和需求,隐私保护技术分为两类分别是预防和响应技术。预防技术包括在传输和空闲时保护数据的方法,一方面使消费者控制信息传播,另一方面让电能消费者控制他们个人信息。相反,响应技术是指审查机制,判断消费者个人数据的处理是否与电力消费者隐私设置以及法律要求应用相一致。
3.1存储数据的保护
安全存储。隐私敏感数据的收集、可靠性和完整性需要通过平台硬件化机制的结合来实现,比如TCG制定的标准[6]。这个方法能够克服软件加密需要保护加密密钥的缺点,依靠系统中需要的隐私等级,设计者可以将硬件安全存储机制与新颖的加密机制相结合。
隐私意识控制。在未来智能电网中,用户账户以及其他个人信息需要进行访问控制,数据请求者和数据持有者之间需要建立信任关系。
3.2防止传输过程中敏感数据的泄露
认证数据的隐私保护释放技术。隐私保护释放技术将确保仪表数据在智能电网传输过程中的机密性,开发者需要采用这种技术保证数据的真实性和完整性。数据源认证和数据完整性一般通过加密签名实现。就匿名性和可断开性而言,隐私证书、盲签、群签名和组签名的概念可以提供预期的效果。
数据匿名和混淆技术。这类型的隐私保护技术将为设计者提供确保不同网络管理领域信息共享的同时有效的保证数据的机密性并且保护所有涉及能源消费者的隐私数据的技术手段。另一类的隐私保护技术称之为混淆技术,是指智能电网开发者可以利用可充电电池来伪装消费事件和数据,使得只有原始使用数据可以收集和共享。
采用隐私保护数据集成技术是分享电表读数时保护用户数据隐私的另一个方法。这一技术提供了解决智能电网环境中隐私问题的办法,供电公司不必知道智能电表和特定地域电能消费中的特定数据之间的联系。值得设计者探索的解决办法包括保证集成数据的机密性,例如内网的进程机制聚类协议和切片技术、使用先进的加密技术和聚合过程中保护智能电表身份的技术等。
网络流量数据保护从安全的通信隧道提供消费者确认信息防和止泄露的方法。未来智能电网的数据和隐私保护应该确保通过所有的通信层,因为如果消费者能够准确地识别经过他/她的智能电表设备的唯一标示符(如IP地址),那么在应用层加密无关联性便不起作用。因此,上诉描述的高层隐私机制必须结合底层的匿名技术。
3.3 确保消费者授权和透明性
法律法规并不能完全实现智能电网系统的隐私保护,有必要提出一套行之有效的技术方案保证能源消费者对个人数据和隐私的控制权限。包括:给予具体的知情权或者快速选择是否收集和处理数据以及如何收集和处理数据的权利;保证消费者访问、更正或者删除数据的权限。以用户为中心的身份管理机制和工具可以适应用户对隐私的设置,同时使用最少的个人数据。W3C平台的隐私首选项(P3P)便是一个用户授权工具合适的例子,设计者利用网站与消费者交互,向消费者传达隐私数据的处理[7]。
4 结论
这篇文章提出了一个初步的想法,将隐私技术应用到智能电网信息通信技术(ICT)的早期开发阶段,指出智能电网环境所能理解和支持的隐私保护技术,讨论了智能电网下隐私工程的挑战,提出了相关方案来支持工程师确定相关的隐私目标和需求,并且有效的将它们转换为系统开发的需求。该文讨论了隐私需求的提取和隐私保护技术。下一步的工作是开发更具体的隐私需求工程框架,这一步将有助于建立关键隐私需求模型。此外,还需扩展框架包括特定的隐私风险评估方法、隐私威胁分析框架等。这一方法为工程师评估隐私漏洞带来的威胁提供一个良好的度量平台。
参考文献:
[1] National Energy Technology Laboratory (NETL).A Vision for the Smart Grid.[EB/OL].[2009-02].http://www.netl.doe.gov/moderngrid/.
[2] The Smart Grid Interoperability Panel-Cyber Security Working Group.Smart grid cyber security strateg-y and requirements.The National Institute of Standards and Technology(NIST),Tech,2010.
[3] Guarda P,Zannone N.Towards the development of privacy-aware system[J].Inf. Softw. Technol.2009,2(51): 337-350.
[4] Hervais Simo Fhom,Kpatcha M Bayarou.Towards a Holistic Privacy Engineering Approach for Smart Grid Systems[C].2011 International Joint Conference of IEEE TrustCom.2011:234-240.
[5] Clarke R.Privacy impact assessment: Its origins and development[J].Computer Law