开放科学（资源服务）标志码（OSID）：

0 概述

目前，太阳能发电和风力发电已经成为全球重要的绿色电力来源^[1]，从社会可持续发展的角度来看，可再生能源的有效利用是改革能源格局的重要方向。由于传统电网系统难以整合可再生能源及满足分布式发电的相关要求并且能源效率低下^[2]，因此能源互联网概念被提出，旨在整合信息通信技术、网络物理系统和电力系统技术的基础上开发下一代智能电网（Smart Grid，SG）^[3]。然而，可再生能源的不确定性可能会引起电网波动，导致电网负荷过高，因此迫切需要其他能源来维持电网稳定。此外，用电量需求较低时会导致用电量小于电网输出电量，这就意味着过剩的能量会被浪费。为解决上述问题，研究人员提出了车辆到电网（Vehicle-to-Grid，V2G）技术^[4]。V2G作为智能电网的重要组成部分，核心思想是借助大量具有双向智能充电器的电动汽车（Electric Vehicle，EV）的储能源充当可再生能源的缓冲以维持电网的稳定，并且减少电网中过剩能量的浪费。EV在电网的用电高峰时段给电网馈电以维持电网的稳定，在非高峰时段给电池充电，存储电网过剩的能量以减少能量浪费。EV可在电价低时从电网买电，电价高时向电网售电，从中赚取差价获得收益。V2G技术不仅缓解了可再生能源造成的电网不稳定和过剩能量浪费的问题，而且给电动车用户和电网带来了额外收益。然而，由于车辆的移动性、充放电操作和相关网络通信要求，EV和其他V2G实体之间存在安全隐患，可能导致EV用户不愿意与电网进行能源交易，因此亟需设计一种安全高效可靠的V2G网络能源交易机制。

近年来，V2G网络能源交易中已经使用多种加密方法以保证交易双方的安全性。文献[5]提出一种安全的智能电网认证密钥协议，该协议在Canetti-Krawczyk对手模型下实现了智能电表凭据、会话密钥保护等多种安全功能。文献[6]提出一种基于椭圆曲线密码学（Elliptic Curve Cryptography，ECC）的轻量级密钥协商方案。文献[7]设计一种轻量级身份验证和隐私保护方案，保证V2G连接的保密性和完整性。文献[8]提出一种为智能电表提供信任服务的认证方案。文献[9]提出一种为智能电表和服务提供商提供隐私保护服务的密钥协议。文献[10]提出一种基于身份与ECC的密钥建立协议，减少了AMI计算开销。文献[11]提出一种结合对称密钥技术和ECC的新型密钥管理方案，可以有效抵抗中间人攻击和重播攻击。文献[12]提出一种有效的密钥分发协议，并证明了其对于V2G网络的安全性。文献[13]提出一种新型的V2G网络隐私保护身份验证方案，利用非超奇异椭圆曲线构建EV^[14]和智能电网的轻量认证协议。上述解决方案虽然具有较低的通信和计算成本，但缺乏匿名保护并依赖于集中式系统。

随着EV、SG和V2G的发展，现有能源管理方案开始向分布式和去中心化方向转移，在V2G网络中由于集中化而引起的安全和隐私问题也是需要关注的问题。为解决V2G网络中的安全和隐私问题，研究人员引入了区块链技术。区块链^[15-16]实际上是一种分布式、数据共享和不受篡改的数据库分布式账本，通过数据加密、共识协议、时间戳等方式为系统提供完整安全可靠的服务^[17-19]，改善了传统集中式系统中普遍存在的高成本、数据存储和效率低下的问题^[20]。GUAN等^[21]在SG中提出一种基于区块链安全通信的隐私保护和数据聚合方案，并使用Bloom过滤器实现快速认证。WANG^[22]提出针对V2G网络的基于区块链的匿名奖励计划（BBARS），并使用公钥密码系统进行安全性分析。LI等^[23]提出一个基于区块链的安全能源交易方案及基于信用系统的支付方案，利用Stackelber博弈论进行最优定价。LALLE等^[24]提出一种依赖于区块链技术和K-means++机器学习算法的用户隐私保护方案。K-means++机器学习算法将用户分组到集群中，每个集群都使用一个专用的区块链来记录成员数据，并使用化名掩盖用户身份，利用Bloom过滤器快速验证用户身份。GONG等^[25]在智能电网中提出一种基于区块链的总需求响应系统，通过区块链技术实现需求响应主体身份认证、响应数据审计等功能，保障需求响应业务流程和数据可靠性，设计高度信任和可靠的需求响应系统。然而，由于上述解决方案中的通信各方缺乏身份验证和匿名保护，V2G通信仍面临诸如EV假冒攻击、重放攻击、窃听攻击等安全风险，因此本文提出一种基于区块链与椭圆曲线数字签名算法（Elliptic Curve Digital Signature Algorithm，ECDSA）的安全匿名身份认证方案。

1 系统模型

在V2G环境下，基于区块链的能源交易系统模型如图 1所示。模型中包含不同实体及其相应的执行步骤，核心实体包含EV、充电站（Charging Station，CS）、数据中心（Data Center，DC）、区块链网络等4种。EV具有双向的充电器，可以进行充放电操作。CS配备智能电表，记录流出和流入的能量值并存储当前的交易账单。为了鼓励EV积极加入电网中的能源交易，在每笔交易中CS会给予EV适当的奖励。DC作为一个中心机构，接收EV和CS之间发送过来的交易并帮助维护整个区块链网络，还负责注册合法和非法的EV和CS身份。区块链网络辅助EV与CS进行安全和匿名的能源交易，验证DC创建的交易并将交易记录写入区块中。

基于区块链的能源交易系统主要操作流程如下：

1）初始化系统，首先DC选取合适的加密算法并生成随机数，然后DC利用随机数并通过相应的加密算法生成自身的公钥和私钥，同时将自身的身份信息结合自身的私钥可计算出对应的伪身份，最后DC释放公共参数为后面的注册阶段和身份认证阶段做准备。

2）EV和CS向DC发出注册请求，DC收到来自EV和DC的注册请求后，为EV和DC分配唯一的身份标识号，并利用身份标识号计算伪身份H_EV和H_CS，EV和CS获得的伪身份与其在区块链中的地址相对应。此外，DC还负责为所有EV、CS生成公-私钥对。

3）在EV和CS注册完成后，EV向CS请求V2G服务及相应的能源交易。CS在接受EV的请求交易前，必须完成EV和CS之间的身份认证过程以保证能源交易的安全。为使EV的通信开销最小，本文将EV和CS分别与DC进行相互认证，间接完成EV和CS的相互认证。

4）在DC和EV、DC和CS相互身份认证成功后，CS就向指定的EV提供充电/放电服务并产生相应的交易结果。该交易结果被传送到DC，DC创建交易，区块链验证其交易结果并使用实际拜占庭容错算法建立共识并将交易结果写入一个区块。区块链网络建立共识后，CS将交易细节发送到EV。

2 身份认证方案

为减少通信开销和计算时间，使EV和CS分别和DC进行相互认证，间接完成EV和CS的相互认证。与传统相互认证过程相比，该过程减少了EV和CS的相互认证过程。此外，使用计算时间较少的ECSDA、SHA-1、字符串拼接计算进行身份认证，其中，SHA-1算法占用内存最小，字符串拼接计算比异或、按位与等运算耗时少。通过合理设计EV、DC和CS在相互认证过程中交换信息的顺序，使DC承担较多的计算开销来减少EV的计算开销。

本文基于能源交易系统模型，在V2G环境下提出基于区块链的能源交易身份认证方案。该方案分为系统初始化、身份注册、相互认证等3个阶段。

2.1 系统初始化

DC初始化相应变量，具体过程如下：

1）DC选择基于ECDSA的椭圆曲线E并选取一个点P，同时生成随机数r。

2）DC使用随机数r并通过单向哈希函数生成私钥SK_DC，然后基于ECDSA生成相应的公钥PK_DC=SK_DC∙P。

3）DC选择身份ID_DC并计算其伪身份H_DC=H（SK_DC||ID_DC）。

4）DC公布公有变量E、P、r、PK_DC、H_DC和单向防哈希碰撞的哈希函数H（）。

2.2 身份注册

CS和EV在DC上进行身份注册以获取各自的伪身份，如图 2所示，EV_i在DC上的具体注册过程如下：

1）EV_i选择标识自己唯一身份的ID_EV，如车牌号。EV_i产生当前时刻的时间戳TS_EV，计算消息M₁=（ID_EV||TS_EV）。EV通过安全通信通道将M₁发送给DC。

2）DC收到来自电动汽车的消息M₁后，提取相应参量ID_EV和TS_EV，验证时间戳TS_EV是否在时间允许执行的范围内。

3）DC查询EV_i的ID_EV是否存在数据库或撤销列表中。如果已经存在当前数据库中，则表明早期已经注册，否则DC接收EV的注册请求并为其指定身份UID_EV；如果存在撤销列表中，则表明该EV是不合法的，连接断开。

4）DC通过单向哈希函数H（）和ECDSA产生EV_i的公-私钥对：私钥SK_EV和公钥PK_EV。

5）DC计算EV_i的伪身份H_EV=H（SK_EV||UID_EV），然后通过安全通信通道把私钥SK_EV和伪身份H_EV发送给EV_i。

6）DC存储伪身份H_EV和公钥PK_EV，EV_i存储H_EV和私钥SK_EV。

CS_j注册的具体过程如下：

1）CS_j选择一个标识自己唯一身份的ID_CS。CS_j产生当前时刻的时间戳TS_CS，然后计算消息M₂=（ID_CS||TS_CS），CS把M₂发送给DC。

2）DC收到来自电动汽车的消息M₂后，提取相应的参量ID_CS和TS_CS，并验证时间戳TS_CS是否在时间允许执行的范围内。

3）DC查询CS_j的ID_CS是否存在数据库或撤销列表中。如果已经存在当前的数据库中，则表明早期已经注册，否则DC接收CS的注册请求并为其指定身份UID_CS；如果存在撤销列表中，则表明该EV是不合法的，连接断开。

4）DC通过单向哈希函数H（）和ECDSA产生CS_j的公-私钥对：私钥SK_CS和公钥PK_CS。

5）DC计算CS_j的伪身份H_CS=H（SK_CS||UID_CS），然后通过安全通信通道把私钥SK_CS和伪身份H_CS发送给CS_j。

6）DC存储伪身份H_CS和公钥PK_CS，CS_j存储H_CS和私钥SK_CS。

2.3 相互认证

EV_i和CS_j分别与DC进行相互认证，认证过程需要借助ECDSA、单向防哈希碰撞的哈希函数以及字符串拼接计算，如图 3所示，相互认证的具体过程如下：

1）EV_i连接CS_j中的充电节点，EV初始化，产生随机数r₁，通过ECDSA计算$ {K}_{1}={r}_{1}\cdot P $和$ {K}_{2}=S{K}_{\mathrm{E}\mathrm{V}}\cdot {K}_{1} $。

2）EV产生时间戳TS_EV，计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{E}\mathrm{V}-\mathrm{D}\mathrm{C}}=H\left({K}_{2}\left|\right|{H}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{E}\mathrm{V}}\right) $，将M₁= < Auth_EV-DC，H_EV，r₁，K₁，TS_EV > 发送给CS。

3）CS接收到M₁后，对EV产生的时间戳TS_EV进行验证，只有当时间戳TS_EV在允许的范围内时才继续执行。然后，初始化CS，产生随机数$ {r}_{2}\in \mathbb{Z} $，通过ECDSA计算$ {K}_{3}={r}_{2}\cdot P $和$ {K}_{4}=\mathrm{S}{\mathrm{K}}_{\mathrm{C}\mathrm{S}}\cdot {K}_{3} $。

4）CS产生当前时刻的时间戳TS_CS，计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{C}\mathrm{S}-\mathrm{D}\mathrm{C}}=H\left({K}_{4}\left|\right|{H}_{\mathrm{C}\mathrm{S}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{C}\mathrm{S}}\right) $，将M₂= < Auth_EV-DC，Auth_CS-DC，H_EV，r₁，K₁，TS_CS，r₂，H_CS，TS_EV > 发送给DC。

5）DC接收到消息M₂后，对EV的时间戳TS_EV和CS的时间戳TS_CS进行验证，然后先计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{D}\mathrm{C}-\mathrm{E}\mathrm{V}}=H\left({r}_{1}\cdot \mathrm{P}{\mathrm{K}}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{E}\mathrm{V}}\right) $和$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{C}\mathrm{S}-\mathrm{D}\mathrm{C}}=H\left({r}_{2}\cdot \mathrm{P}{\mathrm{K}}_{\mathrm{C}\mathrm{S}}\left|\right|\right. $ $ \left.{H}_{\mathrm{C}\mathrm{S}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{C}\mathrm{S}}\right) $，再判断等式Auth_DC-EV=Auth_EV-DC和Auth_DC-CS=Auth_CS-DC是否成立，如果都成立，则CS和EV被验证通过，否则连接断开。

6）DC验证EV和CS后，产生当前时刻的时间戳TS_DC并计算$ {K}_{5}=\mathrm{S}{\mathrm{K}}_{\mathrm{D}\mathrm{C}}\cdot {K}_{1} $，然后计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{D}\mathrm{C}}=H\left({K}_{5}\left|\right|{H}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{C}\mathrm{S}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{D}\mathrm{C}}\right) $，将M₃= < Auth_DC，TS_DC > 发送给CS。

7）CS接收到消息M₃后验证TS_DC，计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{D}\mathrm{C}}^{\mathrm{*}}=H\left({r}_{1}\cdot \mathrm{P}{\mathrm{K}}_{\mathrm{D}\mathrm{C}}\left|\right|{H}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{C}\mathrm{S}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{D}\mathrm{C}}\right) $，判断等式Auth$ {}_{\mathrm{D}\mathrm{C}}^{\mathrm{*}} $= Auth_DC是否成立，如果成立，则DC验证通过，否则断开所有连接，将M₄= < Auth_DC，H_CS，TS_DC > 发送给EV。

8）EV接收到消息M₄后验证TS_DC，计算$ \mathrm{A}\mathrm{u}\mathrm{t}{\mathrm{h}}_{\mathrm{D}\mathrm{C}}^{\mathrm{*}}=H\left({r}_{1}\cdot \mathrm{P}{\mathrm{K}}_{\mathrm{D}\mathrm{C}}\left|\right|{H}_{\mathrm{E}\mathrm{V}}\left|\right|{H}_{\mathrm{C}\mathrm{S}}\left|\right|{H}_{\mathrm{D}\mathrm{C}}\left|\right|\mathrm{T}{\mathrm{S}}_{\mathrm{D}\mathrm{C}}\right) $，判断等式Auth$ {}_{\mathrm{D}\mathrm{C}}^{\mathrm{*}} $=Auth_DC是否成立，如果成立，则DC验证通过，否则断开所有连接。

3 性能分析 3.1 安全性分析

将本文方案与文献[5, 10-12]方案在EV和CS身份隐私保护、防假冒攻击、防重放攻击、防窃听攻击等4方面进行安全性分析与对比，如表 1所示。

对于本文方案的安全性具体分析如下：

1）EV需要将有效身份ID_EV和当前时刻产生的时间戳TS_EV发送给DC。TS_EV不会重复使用，只在EV当前进行的活动中是有效的，因此可通过改变EV的时间戳TS_EV来达到身份隐私保护的目的。此外，EV在DC中注册后会得到DC分配的用以标识身份的伪身份H_EV，这确保了EV身份的匿名性和不可追溯性。CS身份隐私保护与EV类似，因此不再赘述。

2）如果一个敌对的EV想假冒一个合法的EV身份，需要知道合法EV的公-私钥对（PK_EV，SK_EV），如果不知道钥匙对，则不能产生伪身份H_EV，就不能通过相互认证。另外，在V2G网络中，如果敌对的EV发送错误消息或者重复身份给DC试图进行注册获取合法的身份，系统会检测出错误的EV信息，只有经过认证的EV才能进行身份注册和相互认证。

3）由于每次都有相应的时间戳TS参与哈希计算过程，如果时间戳发生改变，则生成的新哈希值与旧哈希值不相等，因此旧哈希值失效。这样每个新的哈希值都带有新的时间戳TS以防止重放攻击。

4）EV需要使用DC分配的伪身份H_EV。由于带有时间戳TS_EV的伪身份H_EV仅对单个活动有效，因此除了DC以外，没有人能找到EV的身份信息。可见，通过改变时间戳TS_EV可以防止每个活动中的EV被窃听。

3.2 通信与计算开销分析

本文方案中基本计算或变量的通信开销设置如表 2所示。

使用表 2中的设置得到注册和认证过程中的通信开销如图 4所示，可以看出在认证过程中EV、CS和DC都具有较小的通信开销，其中EV的通信开销最小，DC的通信开销最大。

使用ECDSA、SHA-1算法和字符串拼接append的平均计算时间分别为5.1 ms、2.4 ms和0.2 ms，根据这些数据得到注册和认证过程中的计算开销如图 5所示，可以看出在认证过程中EV、CS和DC都具有较小的计算开销，其中EV的计算开销最小，DC的计算开销最大。

在认证过程中，本文方案与文献[5, 10-12]方案的通信开销和计算开销比较如表 3所示，可以看出本文方案在认证过程中的通信开销和计算开销最小，主要原因为本文使用的ECDSA、SHA-1和字符串拼接append的平均计算时间较少，SHA-1计算输出为160 bit的哈希值，并且简化了认证过程的相关计算，减少了哈希计算次数。

在整个身份认证过程中，V2G网络中EV、CS、DC等3个实体都会产生计算与通信开销。计算开销主要体现在ECDSA和加密哈希函数计算上，通信开销主要体现在Tokens数量上，如图 6所示，其中，#ECDSA、#Hash、#Tokens分别表示ECDSA计算次数、Hsah计算次数和Tokens消息数。由于传入的Tokens消息数量越多，实体的通信开销就越高，由图 6可以看出，在认证过程中EV的计算和通信开销最小，而DC具有最大的计算和通信开销，因此本文设计的身份认证方案满足资源受限的EV和资源充足的DC的实际需求。

将本文身份认证方案与文献[20, 26]身份认证方案进行对比，3种方案的EV计算开销和通信开销比较如图 7所示，可以看出本文方案与文献[20, 26]方案相比，Hash计算次数减少了1次，相当于减少了33%的Hash计算开销，传入的Tokens消息数量减少了1个，相当于减少了25%的通信开销。

4 结束语

针对车辆到电网环境下EV、CS和DC之间的安全通信与身份隐私保护问题，本文提出一种基于区块链的安全匿名身份认证方案，实现V2G网络下EV、CS和DC之间的身份隐私保护和相互认证。与现有身份认证方案进行安全性、计算开销和通信开销比较，结果表明本文方案适用于V2G网络，可防御多种安全攻击，并且进一步减少了EV在认证过程中的通信成本和计算时间。下一步将在基于区块链的身份认证前提下，研究V2G网络下的能源交易机制，以实现电动汽车与智能电网之间交易利益的最大化。