后量子的智能電表隱私保護方案

田楊童 張 煌 謝少浩 張方國

(中山大學數(shù)據(jù)科學與計算機學院 廣州 510006)(廣東省信息安全技術重點實驗室(中山大學) 廣州 510006)

近年來，隨著監(jiān)控、傳感、控制和通信等技術的不斷發(fā)展，傳統(tǒng)電網(wǎng)正在逐步被智能電網(wǎng)(smart gird)所取代[1]，相較于前者，后者可以在公共電力供應商與其用戶之間實時傳輸信息[2]，以實現(xiàn)高效的配電與輸電[3].總的來說，智能電網(wǎng)就是將信息技術、通信技術、計算機技術和原有的輸電、配電基礎設施高度集成而形成的新型電網(wǎng)[4]，可以提高能源效率、減少對環(huán)境的影響、提高供電的安全性和可靠性、降低輸電網(wǎng)的電能損耗[4].

智能電網(wǎng)能夠通過由智能電表等實體組成的高級計量基礎設施(advanced metering infrastructure, AMI)進行周期性、高頻率的數(shù)據(jù)采集[3]，以監(jiān)測實體的各種狀態(tài)，如電力消耗、負載平衡、資源分配等.這種細粒度的能源相關數(shù)據(jù)可以支持智能配電、能耗監(jiān)管和能源管理[1]，但也帶來了安全和隱私方面的挑戰(zhàn).例如，惡意用戶通過遠程訪問電表或捕獲智能電表和供應商之間的計量數(shù)據(jù)可以訪問用戶能耗數(shù)據(jù).對這種精細的高頻能量使用數(shù)據(jù)進行分析可以得到消費者的行為和生活習慣等隱私信息，如工作時間、用餐時間、娛樂時間、房屋占用時間等[5].解決安全與隱私問題已成為智能電表部署的關鍵要求[6].

由美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)智能電網(wǎng)互操作性小組發(fā)布的智能電網(wǎng)網(wǎng)絡安全綜合指南[7]指出，智能電網(wǎng)最重要的安全目標為CIA[8]，即機密性(confidentiality)、完整性(integrity)和可用性(availability).機密性限制未經(jīng)授權的對信息的訪問和披露，以保護個人隱私和專有信息.數(shù)據(jù)完整性是智能電網(wǎng)系統(tǒng)信息安全的支柱[9]，確保防止未經(jīng)授權的信息修改和破壞，以保證信息的不可抵賴性和真實性.完整性喪失是指未經(jīng)授權修改或破壞信息，并可能進一步導致有關能源管理的錯誤決策.可用性的目標是確保授權用戶可以對信息進行及時、可靠的訪問和使用.可用性的喪失是對信息的訪問或使用的中斷，可能進一步破壞電力傳輸[10].

基于上述智能電網(wǎng)的隱私問題和安全目標，并綜合考量方案的可用性、可擴展性和可進化性等關鍵事項[11]，相關學者對其隱私保護方案的設計進行了大量研究.目前智能電網(wǎng)隱私保護方法可分為非密碼的和基于密碼的2類.

非密碼技術使用工程基礎設施來混淆消費者的實際電能使用量.主要包括基于電池的負載隱藏(battery-based load hiding, BLH)和基于物理不可克隆函數(shù)(physical unclonable functions, PUF)兩種方法[3].BLH使用可充電電池部分供應能量需求，以控制儀表讀數(shù)來隱藏實際的能量消耗.第2類非密碼學方法PUF通過使用物理結(jié)構中的單向功能來實現(xiàn)消費者隱私[12].但此類方法大都需要額外安裝與維護設備，成本較高.故研究者希望能在現(xiàn)有的智能電網(wǎng)架構下設計出合理的用戶隱私保護方案，基于密碼技術的方法多是根據(jù)這種思想來設計的.

基于密碼技術的隱私保護方法可以定義為將分布式計算泄露的信息限制為可從指定的計算輸出中學習到的信息的方法[13]，分為數(shù)據(jù)混淆、數(shù)據(jù)聚合和身份匿名3類.數(shù)據(jù)混淆可以通過應用隨機噪聲[14]或?qū)毩６饶芎臄?shù)據(jù)使用適當?shù)拇鷶?shù)變換來掩蓋原始數(shù)據(jù)[15].第2種方法是數(shù)據(jù)聚合，使用網(wǎng)絡中的聚合器，通過sum或average等函數(shù)連接和匯總來自多個設備的數(shù)據(jù)包，再將聚合后的數(shù)據(jù)發(fā)送到電力服務公司.數(shù)據(jù)匿名的目的是將用戶身份與其能耗數(shù)據(jù)分開[16-17].其想法為電力供應商將收到足夠的信息來計算所需的信息，但不足以將數(shù)據(jù)與某一特定的智能電表或用戶相關聯(lián).可以利用(可鏈接)匿名證書[18-19]、群簽名[20-21]、(可鏈接)環(huán)簽名[22-23]等密碼技術實現(xiàn)數(shù)據(jù)匿名.

而現(xiàn)有的隱私保護研究工作少有考慮到量子安全性.量子計算技術正在飛速發(fā)展，基于格(lattice)的密碼學是一類經(jīng)典的后量子密碼，被公認為是后量子密碼算法標準最有力的競爭者[24]，在安全性方面擁有很大的潛力[25].

結(jié)合當前智能電表的數(shù)據(jù)傳輸機制安全性不高以及量子信息科學快速發(fā)展的實際情況，本文提出了一個后量子的智能電網(wǎng)隱私保護方案.我們的方案改進了現(xiàn)有的應用于智能電網(wǎng)的數(shù)據(jù)采集階段的基于靜態(tài)可鏈接環(huán)簽名的可以追蹤非法用戶的保護用戶隱私的數(shù)據(jù)采集方案[23]，利用格密碼將其隱私性擴展到量子計算領域，并且將簽名尺寸由同用戶數(shù)目N成線性關系改進到對數(shù)級別.并且方案通過使用基于格的后量子簽名方案擁有動態(tài)用戶加入與刪除的功能，加強其靈活性和可用性.

為了構造本文方案，我們選擇目前基于格的簽名尺寸為對數(shù)級別的環(huán)簽名方案中較為先進的工作[26]，并對其進行了改進以增加可鏈接性.將此可鏈接環(huán)簽名方案用于智能電表隱私保護系統(tǒng)，使得系統(tǒng)即使面對量子計算機也能很好地保護用戶的個人隱私，同時也可以實現(xiàn)異常用戶的檢測.

1 預備知識

1.1 符號說明

δl,i表示克羅內(nèi)克函數(shù)，對于l=i，δl,i=1；對l≠i，δl,i=0.函數(shù)v=negl(λ)表示函數(shù)v(λ)是可以忽略的，即v(λ)<1λc對于任意c>0和任何足夠大的λ都成立.

1.2 承諾方案

承諾方案(commitment scheme)的概念由Chor等人[27]提出，主要用于可驗證的秘密分享.承諾者隨機選擇r值以構造對消息值m的承諾c=Comck(m;r)并將c發(fā)送給接收者.發(fā)送者后來透露被承諾值的相關消息給接收者，以供接收者確認這個打開值(opening)并檢查它確實就是最初承諾過的那個值.

此類承諾方案的基本安全性質(zhì)為隱藏性和綁定性.隱藏性(hiding)為承諾不會泄露被承諾值的任何信息，即不能通過c得到關于m或r的信息.綁定性(binding)則是不能打開一個承諾到2個不同的值，即打開c=Comck(m;r)到m′,r′(m≠m′或r≠r′)發(fā)生的概率是可以忽略的.

Comck(m;r)=Comck(m1,m2,…,mv;r)=

此承諾方案擁有加法同態(tài)性：Comck(a;r1)+Comck(b;r2)=Comck(a+b;r1+r2)，且對?γ∈Rq都有：γComck(m;r)=Comck(γm;γr).它對素數(shù)是統(tǒng)計隱藏的，其計算綁定性依賴于當時Module-SISn,m+v,q,θ問題的困難性[26].

定義2.Module-SISn,m,q,θ問題[28].令Rq=Zq[X](Xd+1).給它的每個分量隨機均勻且獨立的選取.問題要求找到使得Az=0modq且

1.3 Σ協(xié)議

1) 3-move形式.

1.4 拒絕采樣

拒絕采樣技術[29]可以防止泄露信息，其想法是以一個確定的概率輸出響應，否則終止.

其中,σ=12T，M=e.則會輸出向量的概率大于與的輸出之間的統(tǒng)計距離為

1.5 基于格的環(huán)簽名方案

環(huán)簽名的概念是由Rivest,Shamir和Tauman在2001年[30]提出的，環(huán)簽名中的每個用戶都可以選擇包括自己的任何一組可能的簽名者組成環(huán)，并通過使用自己的密鑰和其他成員的公鑰來代表整個環(huán)對任意消息進行簽名，而無需獲得他們的批準或幫助.

一個安全的環(huán)簽名的性質(zhì)有正確性、不可偽造性和匿名性.正確性為環(huán)中任意成員進行環(huán)簽名過程后得到的簽名不能通過驗證的概率可以忽略.不可偽造性為任何不在環(huán)中的成員生成代表該環(huán)的簽名并且通過驗證的概率可以忽略.匿名性體現(xiàn)在任何人無法知道簽名的真正簽名者，在大小為N的環(huán)中，驗證者能夠確定簽名者真正身份的概率不超過1N.

Esgin等人提出的環(huán)簽名方案[26]是體現(xiàn)目前最先進水平的基于格的環(huán)簽名方案之一，環(huán)簽名大小與環(huán)成員個數(shù)N成對數(shù)關系，即O(logN)，其安全性基于Module-SIS問題的困難性.該環(huán)簽名方案將one-out-of-many證明從離散對數(shù)設置[31-32]擴展到了格設置，并以基于格的one-out-of-many證明作為構建塊來設計基于格的環(huán)簽名方案.one-out-of-many證明中證明者的目標是說服驗證者他知道一組承諾中的一個承諾的打開值，而不透露他具體擁有哪一個.

Esgin等人介紹了一個基于格的one-out-of-many協(xié)議，其可以證明證明者知道一組承諾(共N=βk個)中的一個打開為0的承諾中的隨機數(shù)，即證明cl是一個打開為0的承諾且知道其隨機數(shù)r，即cl=Comck(0;r)，其中下標l∈{0,1,…,N-1}.

(1)

協(xié)議中的響應是取決于某些秘密值的，所以響應不能在域中均勻分布，這妨礙了此協(xié)議的零知識性，故使用到1.4節(jié)介紹的拒絕采樣.協(xié)議以p的概率(參見文獻[26]的定理2)為一個(k+1)-特殊穩(wěn)健性的Σ協(xié)議.

此one-out-of-many協(xié)議允許構造短的環(huán)簽名方案，用戶對其私鑰sk進行承諾得到用戶公鑰pk，簽名者證明他知道一組用于構造環(huán)的承諾(公鑰)中的一個的打開為0的承諾中的隨機數(shù)(即知道私鑰).環(huán)簽名方案為了達到一個不可忽略的可靠性誤差重復運行了r次Σ協(xié)議，拒絕采樣應用于r-聯(lián)通的向量.

當承諾方案為計算綁定且統(tǒng)計隱藏時，此環(huán)簽名方案在相關參數(shù)設置下?lián)碛薪y(tǒng)計正確性、匿名性和不可偽造性.

1.6 可鏈接環(huán)簽名

可鏈接環(huán)簽名(linkable ring signature)為環(huán)簽名增添了可鏈接性[33].一個可鏈接環(huán)簽名方案包括5個有效的算法(RSetup,RKgen,RSign,RVerify,RLink)：

1)pp←RSetup(1λ).輸入安全參數(shù)λ，生成并公開系統(tǒng)參數(shù)pp.

2) (pk,sk)←RKgen(pp).根據(jù)系統(tǒng)參數(shù)生成環(huán)成員的公私鑰對(pk,sk).

3)σ←Rsignpp,sk(M,L).輸出關于消息M、環(huán)L的簽名σ，要求sk是由RKgen(pp)生成的，且其對應公鑰pk在環(huán)L中.

4) {0,1}←RVerifypp(M,L,σ).輸入關于消息M、環(huán)L的簽名σ，驗證其有效性.若有效輸出1，否則輸出0.

5) {0,1}←RLinkpp(σ1,σ2).輸入2個可以通過驗證的簽名σ1和σ2，若2個簽名是可以鏈接起來的，輸出1，否則輸出0.

可鏈接環(huán)簽名的安全性除了不可偽造性和匿名性之外增添了可鏈接性：簽名者的身份仍保持匿名但由同一簽名者簽署的2個簽名可以鏈接起來.它的可鏈接性和簽名者匿名性的屬性在各種現(xiàn)實應用場景中是非常理想的.

2 基于格的可鏈接環(huán)簽名方案

2.1 方案詳述

我們的基于格的可鏈接環(huán)簽名LRS由算法五元組(LRS_Setup,LRS_Keygen,LRS_Sign,LRS_Verify,LRS_Link)組成.

我們改造1.5節(jié)提到的one-out-of-many證明，即文獻[26]中的協(xié)議2，以期為LRS提供底層Σ協(xié)議Σ0，如圖1所示.協(xié)議Σ0服務于關系：

定理2.若承諾方案為計算上綁定且統(tǒng)計上隱藏的，協(xié)議Σ0在參數(shù)設置為常數(shù)M=e，d≥7，md≥86,2U≥qnm×22λ(md)，素數(shù)q≡5 mod 8且時對于關系和為一個SHVZK且有(k+1)-特殊穩(wěn)健性的Σ協(xié)議的概率(也就是此協(xié)議證明者的步驟～會輸出響應而不至于終止協(xié)議的概率):

(2)

其中,f1=(f0,1,f0,2,…,fk-1,β-1),δ1=(δl0,1,δl0,2,…,δlk-1,β-1).

(ck,(c0,c1,…,cN-1),(l,r)) (ck,(c0,c1,…,cN-1))① rb←{-U,-U+1,…,U-1,U}md;② δ=(δl0,0,δl0,1,…,δlk-1,β-1);③ B=Comck(δ;rb);④ a0,1,a0,2,…,ak-1,β-1←Dd12k;⑤ rc←{-U,U+1,…,U-1,U}md;⑥ ra,rd←Dmd12U3md;⑦ forj=0,1,…,k-1 do⑧ aj,0=-∑β-1i=1aj,i;⑨ end for⑩ A=Comck(a0,0,a0,1,…,ak-1,β-1;ra);C=Comck({aj,i(1-2δlj,i)}k-1,β-1j,i=0;rc);D=Comck(-a20,0,-a20,1,…,-a2k-1,β-1;rd);forj=0,1,…,k-1 doρj←Dmd12U3md∕k;Ej=∑N-1i=0pi,jci+Comck(0;ρj);∕?using pi,jin formula(1)?∕Fj=G2ρj;end forK=G2r;A,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K→ ←x=Xωω←{0,1,…,2d-2,2d-1} fj,i=xδlj,i+aj,i?j,?i≠0;zb=x?rb+ra;zc=x?rc+rd;z=xk?r-∑k-1i=0xjρj;abort with probability(1-p1∕N) from formula(2); if aborted Return ⊥; end ifA,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K,{fj,i}k-1,β-1j=0,i=1,zb,zc,z→Accept if and only if all the following statements are satisfied:① forj=0,1,…,k-1 do②fj,0=x-∑β-1i=1fj,i;③ end for④ ?j,?i≠0:fj,i≤?60dk⑤ ?j:fj,0≤?60dk(β-1)⑥ z,zb,zc≤?243mdU;⑦ f=(f0,0,f0,1,…,fk-1,β-1);⑧ g={fj,i(x-fj,i)}k-1,β-1j,i=0;⑨ xB+A=?Comck(f;zb);⑩ xC+D=?Comck(g;zc);∑N-1i=0∏k-1j=0fj,ij()ci-∑k-1j=0Ejxj=?Comck(0;z);Kxk-∑k-1j=0Fjxj=?G2z.

(3)

式(3)等號左側(cè)第1個矩陣(記為V)為范德蒙矩陣.已知V可逆且其逆矩陣V-1的最后一行的元素記為α0,α1,…,αk，在式(3)兩側(cè)左乘V-1得到的矩陣最后一行的元素為

證畢.

1) 系統(tǒng)建立算法LRS_Setup(1λ).

輸入：安全參數(shù)λ；

輸出：全局參數(shù)pp=(ck,H).

③ck=(G1,G2)*承諾密鑰*

④ returnpp=(ck,H).

2) 密鑰生成算法LRS_Keygen(pp).

輸入：全局參數(shù)pp=(ck,H)；

輸出：公私鑰對(pk,sk).

①r←{-U,…,U}md；

②c=Comck(0;r)=G1r*0是全0向量*；

③return(pk,sk)=(c,r).

3) 簽名算法LRS_Signpp,sk(M,L).

輸入：消息M和環(huán)L=(c0,c1,…,cN-1)，其中cl=Com(0;skl)，l∈{0,1,…,N-1}；

輸出：用戶l(l∈{0,1,…,N-1})使用其私鑰skl代表環(huán)L對消息M的簽名σ.

②K=G2skl;

③x=(x1,x2,…,xr)=H(ck,M,L,(CMT1,CMT2,…,CMTr),K);

④ fori=1 tordo

end for

⑤ if ?i∈{1,2,…,r},RSPi≠⊥, do

returnσ

⑥ else返回步驟①;

⑦ end if

⑧ return ⊥.

4) 簽名驗證算法LRS_Verifypp,sk(M,L,σ).

① ifσ=⊥ return 0;

② ifx≠H(ck,M,L,(CMT1,CMT2,…,CMTr),K) return 0;

③ fori=1 tordo

④ return 1.

5) 鏈接性驗證算法LRS_Link(pp,σ1,σ2).

輸入：2個合法的簽名σ1和σ2；

①σ1=(…,K1,…)，σ2=(…,K2,…)；

② ifK1=K2do

③ return 1；

④ else return 0.

(4)

2.2 安全性分析

由于此可鏈接環(huán)簽名只是在1.5節(jié)中描述的環(huán)簽名方案中增添了可鏈接性，由協(xié)議Σ0的SHVZK，易知添加的可鏈接元素K并不會影響環(huán)簽名的匿名性和不可偽造性，故LRS的安全性是可以繼承文獻[26]中的環(huán)簽名方案的，其擁有匿名性和不可偽造性.

使用文獻[26]的定理4中證明不可偽造性的思想來構造矛盾以證明可鏈接性.證明中將用到PKGen，Sign，Corrupt和隨機預言機H這4類預言機：

1)pki←PKGen(⊥).當?shù)趇次詢問時，PKGen以新的隨機硬幣值運行RKgen(pp)并返回公鑰pki.

2)skj←Corrupt(pkj).若pkj是由PKGen生成的，返回對應的私鑰skj.

3)σ←Sign(skj,M,L).運行RSignpp,skj(M,L)以獲得一個簽名σ.(skj,pkj)是由PKGen生成的.

4) 隨機預言機H.以其定義域中的一個元素為輸入，返回其值域中對應的元素.

1)j←{1,2,…,qH+qS}

2)ψ←Ψ

② Corrupt(pkj).若pkj是由PKGen生成的，返回對應的私鑰skj.Corrupt僅允許被查詢一次.

④H1(ck,M,L,(CMT1,CMT2,…,CMTr),K).若元組之前被詢問過，返回之前設定的x值.否則給出新的輸出為H(ck,M,L,(CMT1,CMT2,…,CMTr),K)=x并記錄.

參考文獻[26]中對不可偽造性的討論易知擊破承諾方案綁定性的概率為1poly(n).

證畢.

2.3 性能分析

依照文獻[26]的方法，可以分析可鏈接環(huán)簽名LRS的簽名尺寸,如表1所示：

Table 1 The Analysis of Our Linkable Ring Signature Size表1 可鏈接環(huán)簽名尺寸分析

當安全參數(shù)設置為λ=100時，此可鏈接環(huán)簽名的表現(xiàn)如表2所示，簽名的尺寸隨著環(huán)大小N的增加而增加，且是次線性關系，為O(logN).

Table 2 Our Linkable Ring Signature Size Growth with Respect to Ring Zize

3 后量子的隱私保護數(shù)據(jù)采集方案

3.1 方案簡介

我們的隱私保護方案基于3層的智能電網(wǎng)結(jié)構，主要包括主站、數(shù)據(jù)集中器與智能電表3種數(shù)據(jù)傳輸設備，結(jié)構如圖2所示.電力服務公司在每個小區(qū)建立基站作為電力服務公司的代理，即小區(qū)數(shù)據(jù)集中器Con，該小區(qū)的數(shù)據(jù)先由用戶智能電表發(fā)送到集中器做處理，再發(fā)送到電力服務公司.

Fig. 2 Three-tier structure of smart grid圖2 智能電網(wǎng)3層結(jié)構示意圖

我們利用在第2節(jié)中介紹的基于格的可鏈接環(huán)簽名LRS，將文獻[23]中提出的保護用戶隱私的數(shù)據(jù)采集方案改進為抗量子計算的，并且選取一個后量子簽名方案(如已經(jīng)通過NIST后量子密碼學標準項目[24]第2輪篩選的基于格的數(shù)字簽名方案qTESLA[34])，以提供動態(tài)用戶加入和撤銷功能.

本數(shù)據(jù)采集方案主要關注用戶的能耗數(shù)據(jù)自智能電表上傳到小區(qū)集中器的傳輸過程中的隱私保護.同一小區(qū)集中器下轄的所有智能電表構成一個環(huán)，收集這些智能電表的公鑰信息后公開.智能電表采集到實時數(shù)據(jù)后用可鏈接環(huán)簽名對數(shù)據(jù)信息進行簽名，然后將信息-簽名對發(fā)送給小區(qū)集中器，通過集中器驗證及異常檢測后，數(shù)據(jù)將被上傳至后臺主站作進一步處理.基于可鏈接環(huán)簽名的性質(zhì)，簽名用戶具有匿名性，集中器或其他用戶無法將用電情況和真實用戶身份一一對應，實現(xiàn)了用戶的隱私保護.

集中器持有簽名私鑰，公開其簽名公鑰.當有用戶動態(tài)加入或撤銷時，集中器將該用戶的公鑰在環(huán)中增加或刪除，更新環(huán)組成.集中器對更新后的環(huán)進行簽名，并將消息-簽名對廣播給各成員.各用戶收到信息后，使用集中器的公鑰進行驗證，若驗證通過則更新智能電表所存儲的系統(tǒng)公共參數(shù)中的環(huán)組成，就可以實現(xiàn)智能電表的動態(tài)加入與撤銷，而不需要重新初始化整個系統(tǒng).

3.2 方案詳述

本方案主要包括系統(tǒng)初始化、數(shù)據(jù)上傳、數(shù)據(jù)認證、異常檢測和用戶動態(tài)加入(撤銷)共5個階段.

記一個小區(qū)內(nèi)的N個用戶為{U0,U1,…,UN-1}，該小區(qū)裝有一臺數(shù)據(jù)集中器Con，其下安裝N臺智能電表，記為{Met0,Met1,…,MetN-1}，分別安裝到用戶U0,U1,…,UN-1家中.在時刻t，智能電表采集到的用戶數(shù)據(jù)記為M(t).

1) 系統(tǒng)建立

在實際應用場景中，一個集中器管轄一個小區(qū)的智能電表，基于小區(qū)的實際構造，小區(qū)中用戶的最大數(shù)量多在最初小區(qū)建設時就已經(jīng)固定，我們估計這個最大值，并設定其為環(huán)大小N*=βk，為了使接下來的用戶動態(tài)加入和撤銷操作時的計算不至于繁復，固定這個環(huán)大小.根據(jù)β和k的值選取滿足LRS的參數(shù)設置要求的相關參數(shù)m,d等.

本系統(tǒng)的初始化需要電力服務公司參與，可將其看作一個可信第三方(CA)，初始化完成后，采集過程不需要CA參與.初始化過程為：

① 根據(jù)安全參數(shù)，CA調(diào)用LRS_Setup(1λ)以獲得全局參數(shù)pp.

② 對于用戶Ui，i∈{0,1,…,N-1}，安裝電表過程中調(diào)用LRS_Keygen(pp)來為Meti選取密鑰對(ski,pki)，私鑰ski由智能電表Meti自行保存.

③ CA為集中器Con選取簽名私鑰skC，并獲得公鑰pkC.以基于格的簽名方案qTESLA為例來描述我們的方案，可以將Nina等人在文獻[34]中給出的qTESLA的實現(xiàn)程序預植入集中器的計算模塊，使用時直接調(diào)用.

④ 令L0=(pk0,pk1,…,pkN-1)，由于實際用戶數(shù)量N不等于預設定的固定環(huán)尺寸N*，復制公鑰pkN-1以填充環(huán)到N*=βk大小，填充后的環(huán)為L=(pk0,pk1,…,pkN-1,…,pkN-1)=(pk0,pk1,…,pkN-1,…,pkN*-1).由于此簽名方案對環(huán)公鑰沒有不可重復的要求，這種擴充方式不會破壞其安全性.且匿名性仍然為驗證者能夠確定簽名者真正身份的概率不超過1N.

⑤ 公開系統(tǒng)參數(shù)PSP=(pp,L,pkC).在系統(tǒng)初始化階段，電力服務公司通過物理手段在電表安裝過程中將該小區(qū)的公開系統(tǒng)參數(shù)PSP預置入智能電表內(nèi)，以減少初始數(shù)據(jù)傳輸量.

2) 數(shù)據(jù)上傳

在時刻t，用戶Ul的智能電表Metl采集到的用戶數(shù)據(jù)為Ml(t)，其中l(wèi)∈{0,1,…,N-1}.數(shù)據(jù)上傳流程為：智能電表Metl擁有的公私鑰對為(pkl,skl)，且根據(jù)密鑰分配有pkl=Comck(0;skl).根據(jù)預置入的PSP，電表計算模塊調(diào)用算法LRS_Signpp,skl(Ml(t),L)，輸出對消息的簽名σl(t).然后Metl將消息-簽名對(Ml(t),σl(t))發(fā)送給該小區(qū)的集中器Con.

3) 數(shù)據(jù)驗證

集中器Con收到下轄電表發(fā)送的消息-簽名對(M(t),σ(t))后需對其是否來自本小區(qū)的合法電表進行驗證，驗證流程為：

根據(jù)存儲的系統(tǒng)公開參數(shù)PSP，Con調(diào)用算法LRS_Verifypp(M(t),L,σ(t))，根據(jù)其輸出判定是否接受此信息簽名對為合法數(shù)據(jù).輸出1時，通過驗證，即可以簽名確為該小區(qū)內(nèi)的某臺合法電表生成，留存以做進一步處理；否則刪除該消息.

4) 異常檢測

根據(jù)我國標準，每隔15 min小區(qū)的數(shù)據(jù)集中器Con會收集由小區(qū)內(nèi)的智能電表采集的用戶數(shù)據(jù)信息.對于Con收集到的時刻t小區(qū)內(nèi)所有的由下轄智能電表上傳的通過認證的數(shù)據(jù)，Con會進行集中檢測，判定是否存在異常，具體流程為：

① 調(diào)用LRS_Link算法對所有簽名進行鏈接性檢測,Con對比時刻t收到的所有數(shù)據(jù)的合法簽名，當檢測到2個(或以上)簽名可以鏈接時，即合法簽名σ1=(…,K1,…),σ2=(…,K2,…),…中K1=K2=…，則可以判定它們?yōu)橥慌_電表所簽署.

Ⅰ. 若多條已鏈接的合法簽名對應的數(shù)據(jù)M(t)一致，則判定為同一電表重復發(fā)送，取其中一條作為該電表在時刻t上傳的數(shù)據(jù)留存，其余刪除.

Ⅱ. 若2個或多個已鏈接的合法簽名對應的數(shù)據(jù)M(t)不相同，則可以判定該電表工作異常.集中器對下轄小區(qū)內(nèi)的智能電表逐個發(fā)送時刻t數(shù)據(jù)重傳命令，檢測重傳簽名與該簽名的鏈接性以確定此故障電表的位置，電力服務公司將對其進行硬件檢測和安全監(jiān)測，排除安全隱患，進行故障維修.

② 記剩余合法簽名的數(shù)目為n.若n=N，Con整理所有數(shù)據(jù)(共N個)上傳至主站，完成時刻t的數(shù)據(jù)采集.否則，在時刻t有(N-n)臺智能電表的未正常發(fā)送數(shù)據(jù)，集中器對小區(qū)內(nèi)的智能電表逐一發(fā)送時刻t數(shù)據(jù)重傳命令，并檢測重傳數(shù)據(jù)與已有數(shù)據(jù)的鏈接性.如果存在鏈接，則該智能電表已經(jīng)發(fā)送時刻t數(shù)據(jù)，工作正常；如果不存在鏈接，則該智能電表之前并未成功上傳時刻t數(shù)據(jù)，記錄該數(shù)據(jù)并檢測其通信模塊以確定是否正常工作.

5) 用戶動態(tài)加入及撤銷

當有新用戶加入時，電力服務公司為新用戶安裝電表，并通過線下的物理手段將新用戶的公鑰提供給集中器以更新系統(tǒng)公開參數(shù)PSP中的環(huán)為L′，為新電表和集中器更新PSP′=(pp,L′,pkC)并存儲.使用集中器私鑰skC為L′簽名，獲得信息-簽名對并廣播給環(huán)成員，其他電表在接受到此消息簽名對之后，使用集中器的公鑰pkC進行簽名驗證，驗證通過則更新其中存儲的系統(tǒng)公開參數(shù)PSP=(pp,L′,pkC).此后新用戶便可以作為該小區(qū)的成員使用其智能電表進行數(shù)據(jù)采集,具體過程為：

② 集中器Con使用其簽名私鑰skC對更新后的環(huán)L′進行簽名.調(diào)用簽名程序qTESLA.Sign(L′,skC)得到簽名SigC(L′)，然后將信息-簽名對(L′,SigC(L′))廣播給集中器下轄的所有用戶.

③ 環(huán)內(nèi)用戶的電表收到簽名后，使用集中器公鑰pkC對簽名SigC(L′)進行驗證.調(diào)用植入電表計算模塊的簽名驗證程序qTESLA.Ver(L′,SigC(L′))，若驗證通過則更新其中存儲的系統(tǒng)公開參數(shù)PSP=(pp,L′,pkC).

用戶動態(tài)撤銷的過程同用戶加入相似，將用戶的公鑰從環(huán)中刪除，集中器更新環(huán)后對其進行簽名然后廣播給各智能電表以更新系統(tǒng)公開參數(shù)，故不再贅述.

4 系統(tǒng)分析

4.1 安全性分析

我們給出智能電網(wǎng)中關于個人用戶隱私性的形式化定義：在數(shù)據(jù)采集過程中，智能電表Met向集中器Con發(fā)送數(shù)據(jù)，任何實體(包括集中器)都無法將每個合法用戶的身份與它的數(shù)據(jù)消息相匹配.也就是說，數(shù)據(jù)的上傳和認證不會泄露電表的身份信息.

本文提出的數(shù)據(jù)采集方案擁有用戶身份匿名性和消息認證性，其安全性基于第2節(jié)所討論的可鏈接環(huán)簽名方案LRS的正確性和安全性.LRS的安全性是可以歸約到Module-SIS困難問題上的，由于此問題在量子計算機上仍是困難的，所以此可鏈接環(huán)簽名方案面對量子攻擊仍然可以正確的隱藏簽名者的身份信息.故數(shù)據(jù)采集方案也同樣滿足身份匿名性，并且可以實現(xiàn)抗量子計算的隱私保護.

4.2 性能分析

由于用戶動態(tài)加入和撤銷并不會頻繁進行，故我們主要集中分析對智能電表要求更高的數(shù)據(jù)發(fā)送階段.

我們對3.2節(jié)中數(shù)據(jù)上傳階段每個智能電表的通信量進行分析，此階段電表將發(fā)送對數(shù)據(jù)的簽名給集中器.記用戶個數(shù)為N，根據(jù)2.3節(jié)的討論我們得知每個智能電表在發(fā)送數(shù)據(jù)階段的通信量為O(logN)級別，對于單次協(xié)議Σ0，其計算量為O(NlogN)級別，而簽名時LRS_Sign的迭代次數(shù)的期望值為M2=O(1)，故電表計算量為O(NlogN).

將本文方案同相關工作進行比較，如表3所示：

Table 3 The Comparisons of Different Schemes on Function and Performance表3 相關工作功能與性能對比

4.3 本文方案的優(yōu)勢

我們的后量子的智能電表隱私保護方案利用了基于格的可鏈接環(huán)簽名方案的匿名性和可鏈接性以及格密碼的抗量子計算能力，從而構造一個擁有隱私保護、異常檢測和用戶動態(tài)加入及撤銷功能的隱私保護系統(tǒng).本方案的優(yōu)勢有3個方面：

1) 良好的可行性.分析結(jié)果顯示，我們的方案在有效保護用戶隱私的同時，可以在一輪通信的條件下實現(xiàn)數(shù)據(jù)采集.并且由于選取的可鏈接環(huán)簽名大小為對數(shù)級別，所以在通信量上具有優(yōu)勢.

2) 可擴展性.具有可行性的后量子簽名方案(如qTESLA)使得本方案支持用戶的動態(tài)加入與撤銷.所以當用戶規(guī)模改變時，可以支持用戶設備數(shù)量的改變.并且本文方案以小區(qū)為單位，利于監(jiān)管.

3) 抗量子計算.由于供電設備的使用壽命往往會持續(xù)數(shù)十年，本方案采用基于格的密碼學后量子密碼體制，面對或?qū)⒌絹淼牧孔佑嬎銜r代仍然可以實現(xiàn)隱私保護，滿足抗量子計算的安全需求.

5 總結(jié)及展望

本文提出了一個后量子的智能電表隱私保護系統(tǒng)并對其進行了安全分析.此系統(tǒng)在保護用戶隱私的前提下，可以支持動態(tài)用戶加入與撤銷和異常檢測以及故障用戶追蹤等功能，并且擁有抗量子計算的隱私保護能力.為了實現(xiàn)此系統(tǒng)，我們選擇了一個基于格的短的環(huán)簽名方案，為其增添可鏈接性.該可鏈接環(huán)簽名方案的尺寸在基于格的次線性大小的環(huán)簽名中有很大的優(yōu)勢，所以本文的隱私保護方案在抗量子隱私保護領域具有很大的實用性.未來我們將致力于提高方案效率并且完善方案的功能.

由于當今智能生活的普及，除智能電表之外，智能水表以及智能燃氣表等設備也逐漸應用于現(xiàn)實生活并且取代傳統(tǒng)水表和燃氣表，它們同智能電表擁有相似的安全與隱私問題，未來我們的工作或?qū)U展到這些領域.