王啟宇, 陳 杰,2, 莊立爽

1. 西安電子科技大學(xué)ISN 國家重點實驗室, 西安710071

2. 西電密碼研究中心, 西安710071

1 引言

隨著人們對電力資源的需求日益增長, 傳統(tǒng)電網(wǎng)在能源利用效率、環(huán)保性、安全性等方面已顯現(xiàn)出許多隱患. 由于這些隱患的存在, 智能電網(wǎng)的概念應(yīng)用而生. 智能電網(wǎng)是在傳統(tǒng)電力系統(tǒng)基礎(chǔ)上, 通過集成應(yīng)用新能源、新材料、新設(shè)備和先進(jìn)傳感技術(shù)、信息通信技術(shù)和自動控制技術(shù), 形成的具有高度信息化、自動化、互動化特征的新型現(xiàn)代化電網(wǎng), 可以更好地實現(xiàn)電網(wǎng)安全、可靠、經(jīng)濟(jì)、高效運行. 根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究所(NIST) 提出的智能電網(wǎng)概念模型[1], 智能電網(wǎng)由七個實體組成, 分別是發(fā)電站、輸電網(wǎng)、配電網(wǎng)、用電客戶、市場、服務(wù)提供方和操作中心, 其中前四個實體具有電力和信息雙向流動的特征, 后三個實體主要負(fù)責(zé)智能電網(wǎng)的信息采集與電力管理. 智能電網(wǎng)利用先進(jìn)的信息和通信技術(shù)對用戶用電進(jìn)行智能控制和經(jīng)濟(jì)管理帶來方便的同時, 也存在用戶隱私數(shù)據(jù)泄露的問題.

本文主要關(guān)注的是電力用戶與操作中心間所傳輸信息的隱私保護(hù), 即智能電網(wǎng)的安全性需求[2]. 同時智能電網(wǎng)要滿足實用性需求, 也就是操作中心能夠計算出所有用戶的總耗電信息. 目前許多學(xué)者使用數(shù)據(jù)聚合的方法或匿名技術(shù)來實現(xiàn)以上的兩個需求. 基于數(shù)據(jù)聚合所提出的方案可以保證不丟失基本信息、減少數(shù)據(jù)量、減少網(wǎng)絡(luò)冗余和提高網(wǎng)絡(luò)性能的前提下, 進(jìn)行大量信息處理[3-10]. 2009 年Roberto 等人提出了一種基于同態(tài)加密的無線傳感器網(wǎng)絡(luò)數(shù)據(jù)聚合方案[3], 該方案使用對稱密鑰同態(tài)加密來保護(hù)信息的隱私性和完整性. 2012 年Lu 等人提出了隱私保護(hù)聚合方案[4], 該方案使用了超遞增序列構(gòu)建多維數(shù)據(jù)和同態(tài)加密技術(shù)Paillier 加密結(jié)構(gòu)化數(shù)據(jù). 2013 年Sushmita 等人在智能電網(wǎng)系統(tǒng)中提出了數(shù)據(jù)聚合與訪問控制結(jié)合的安全策略[5], 該方案利用同態(tài)加密和基于屬性加密技術(shù). 2015 年Erkin 利用中國剩余定理以及同態(tài)加密等方法, 提出了一種面向智能電網(wǎng)的隱私保護(hù)數(shù)據(jù)聚合方案[6]. 2017 年Shen 等人根據(jù)Horner 規(guī)則和Paillier 同態(tài)加密體制提出了一個高效的具有隱私保護(hù)功能的立方體數(shù)據(jù)聚合方案[7]. 該方案能夠?qū)Σ煌N類的數(shù)據(jù)進(jìn)行區(qū)分和聚合, 但只能聚合同一時間點上的電力用戶數(shù)據(jù), 無法聚合單個電力用戶在一段時間內(nèi)的用電數(shù)據(jù)總和. 2018 年Asmaa 等人提出了一種基于輕量級格的同態(tài)隱私保護(hù)數(shù)據(jù)聚合方案[8], 該方案總通信量和計算負(fù)荷是微不足道的. 2018 年Lang 等人提出了一種多維數(shù)據(jù)的緊聚合方案[9], 該方案支持隱私保護(hù)和細(xì)粒度訪問控制. 2019 年P(guān)rosanta 等人提出了一種輕量級, 隱私友好的基于掩模的空間數(shù)據(jù)聚合方案[10], 該方案用于安全預(yù)測智能電網(wǎng)中的電力需求. 接下來我們分析基于匿名技術(shù)所提出的方案[11-17]. 2011 年Cheung 等人采用了盲簽名與匿名憑證的技術(shù), 解決了電網(wǎng)安全中的隱私保護(hù)與認(rèn)證問題[11]. 2014 年Yu 等人采用了環(huán)簽名方法來實現(xiàn)電力用戶的隱私保護(hù)[12], 引入環(huán)簽名后可以降低系統(tǒng)要求, 避免生成大量的匿名憑證. 2014 年Badra 等人在保護(hù)電力用戶隱私時, 提出了一種虛擬環(huán)結(jié)構(gòu)[13]. 但由于虛擬環(huán)的特性, 該方案很難找出發(fā)布虛假消息的惡意用戶. 2016 年Tan 等人在智能電網(wǎng)中使用假名提出了的隱私的數(shù)據(jù)收集方案[14], 該方案的假名注冊過程中用到了環(huán)簽名與零知識證明等技術(shù). 2016 年Gong 等人在智能電網(wǎng)中提出了一種基于激勵的需求響應(yīng)隱私保護(hù)方案[15], 該方案使用離散對數(shù)創(chuàng)建假名, 并在假名注冊的過程中用環(huán)簽名來隱藏用戶身份. 2018 年Guan 等人在智能電網(wǎng)中提出了一種高效的隱私保護(hù)聚合方案[16], 該方案使用布隆過濾器使得假名驗證的驗證速度有較大的提高.

由于假名的安全性基于假名證書的數(shù)量, 如果分配大量的假名會則會帶來較大的存儲開銷, 并且造成假名的浪費. 而環(huán)簽名主要的開銷在于簽名驗證的計算量上, 所以我們提出同環(huán)批量驗證的概念(如果簽名選擇的環(huán)成員保持不變, 那么我們便可以批量驗證多個用戶的多個環(huán)簽名). 本文實現(xiàn)了環(huán)簽名的批量驗證[18]的同時, 引入了可鏈接消息標(biāo)志技術(shù)[19]. 最后我們在智能電網(wǎng)系統(tǒng)中提出了批量驗證的可鏈接環(huán)簽名(BVLRS), 給出了詳細(xì)的安全性證明和性能分析, 并指出不足.

本文的結(jié)構(gòu)如下: 第2 節(jié)介紹了預(yù)備知識和系統(tǒng)模型; 第3 節(jié)提出了BVLRS 方案; 第4 節(jié)給出了該方案的安全性分析; 第5 節(jié)對該方案進(jìn)行性能分析; 最后第6 節(jié)總結(jié)全文.

2 預(yù)備知識和系統(tǒng)模型

2.1 可鏈接消息標(biāo)志方案(LIT)

可鏈接消息標(biāo)志方案[19]由三個算法組成的L=(KGen,Tag,Link):

KGen(1λ): 輸入安全參數(shù), 通過概率算法輸出標(biāo)簽密鑰tk.

Tag(tk,m): 輸入標(biāo)簽密鑰tk 和消息m, 輸出標(biāo)簽τ.

Link(m1,τ1,m2,τ2): 輸入消息-標(biāo)簽對(m1,τ1),(m2,τ2), 通過確定性算法輸出0 或1.

2.2 組合階雙線性對

文獻(xiàn)[20]介紹了組合階雙線性對,利用群產(chǎn)生器G,輸入安全參數(shù)λ,輸出雙線性對G.本文中G 輸出N =p1p2p3,G,GT,e, 其中p1,p2,p3是不同的素數(shù), 循環(huán)群G 和GT的階為N =p1p2p3, e:G×G →GT是雙線性映射, 組合階雙線性對滿足下列性質(zhì):

雙線性: ?g,h ∈G, a,b ∈ZN, 滿足e(ga,hb)=e(g,h)ab.

非退化性: ?g ∈G, 若g 是群G 的生成元, 則e(g,g) 是群GT的生成元.

可計算性: g,h ∈G, 存在有效算法計算e(g,h).

2.3 復(fù)雜性假設(shè)

下面這些雙線性群中的假設(shè), 在文獻(xiàn)[21] 中已定義.

假設(shè) 1 給定群產(chǎn)生器G, 我們定義了以下分布: G = (N = p1p2p3,G,GT,e)←RG, g←RGp1,X3←RGp3, D =(G,g,X3), T1←RGp1p2, T2←Gp1. 我們定義A 打破假設(shè)1 的優(yōu)勢是:

假設(shè)2 給定群產(chǎn)生器G, 我們定義了以下分布: G = (N = p1p2p3,G,GT,e)←RG, α,s ←RZN,g←RGp1, g2,X2,Y2←RGp2, g3←Gp3, D = (G,g,g2,g3,gαX2,gsY2), T1= e(g,g)αs, T2←RGT. 我們定義A 打破假設(shè)2 的優(yōu)勢是:

假設(shè)3 給定群產(chǎn)生器G, 我們定義了以下分布: G = (N = p1p2p3,G,GT,e)←RG, g,X1←RGp1,g2←RGp2, X3←RGp3, D = (G,g,g2,X1X3), T1←RGp1, T2←RGp1p3. 我們定義A 打破假設(shè)3 的優(yōu)勢是:

假設(shè)4 給定群產(chǎn)生器G, 我們定義了以下分布: G = (N = p1p2p3,G,GT,e)←RG, g,X1←RGp1,X2,Y2←RGp2, g3,Y3←RGp3, D =(G,g,g3,X1X2,Y2Y3), T1←RG, T2←RGp1p3. 我們定義A 打破假設(shè)4 的優(yōu)勢是:

2.4 系統(tǒng)模型

本方案的系統(tǒng)模型如圖1 所示, 該系統(tǒng)一共包含三個部分: 操作中心(Control Center, CC)、區(qū)域網(wǎng)關(guān)(District Gateway, DGW) 和用戶((User). 假設(shè)操作中心管理T 個區(qū)域, 每個區(qū)域網(wǎng)關(guān)分別對應(yīng)DGW1,··· ,DGWT; 每個區(qū)域內(nèi)有n 個用戶, 記為L={ID1,··· ,IDn}, 下面給出各個實體的詳細(xì)描述.

圖1 系統(tǒng)模型Figure 1 System model

操作中心: 在該系統(tǒng)模型中, CC 是一個隸屬于區(qū)域傳輸組織或獨立系統(tǒng)運營商的實體. 在通信過程中CC 負(fù)責(zé)生成相關(guān)系統(tǒng)參數(shù), 最后匯總通過區(qū)域網(wǎng)關(guān)DGW 所發(fā)來的用電信息.

區(qū)域網(wǎng)關(guān)(DGW): DGW 會收到本區(qū)域用戶L={ID1,··· ,IDn} 發(fā)來的簽名, 驗證通過后, 匯總用戶的總用電量與每個用戶的總電量. 我們認(rèn)為DGW 與CC 的通信是安全的.

用戶(ID1,···,IDn): 每個用戶都有一個智能電表, 負(fù)責(zé)收集該用戶的用電信息. 對收集到的用電信息m 作簽名, 發(fā)送給DGW.

2.5 安全模型

批量驗證的可鏈接環(huán)簽名方案由以下六個多項式時間內(nèi)的算法組成:

初始化: 輸入1λ, 其中λ 是安全參數(shù); 輸出主密鑰α 和系統(tǒng)參數(shù)param. 用戶的私鑰空間范圍是SK,消息空間范圍是M, 身份空間范圍是ID, 簽名空間范圍是SG.

密鑰提取: 輸入系統(tǒng)參數(shù)param, 用戶身份ID ∈ID 和主密鑰α; 輸出用戶私鑰SKID∈SK.

簽名: 輸入param, L = {ID1,··· ,IDn} ∈ID, m ∈M 和私鑰{SKIDπ∈SK|IDπ∈ID; 輸出環(huán)簽名σ ∈SG.

單個簽名的驗證: 輸入param, L = {ID1,··· ,IDn} ∈ID, m ∈M 和簽名σ ∈SG; 輸出Valid 或Invalid.

批量驗證: 輸入param, L = {ID1,··· ,IDn} ∈ID, m ∈M 和η 個簽名σ1,··· ,ση∈SG, 其中L1=···=Lη={ID1,··· ,IDn}; 輸出Valid 或Invalid.

可鏈接驗證: 輸入param 和簽名σ1,σ2∈SG; 輸出Link 或Unlink.

3 批量驗證的可鏈接環(huán)簽名(BVLRS)

我們在智能電網(wǎng)系統(tǒng)中提出了批量驗證的可鏈接環(huán)簽名方案(BVLRS). 該方案引入了批量驗證[22]和可鏈接的環(huán)簽名, 并由以下六個步驟組成:

步驟1: 初始化

CC 選擇一個階為N =p1p2p3的雙線性群G(其中p1,p2,p3是不同的素數(shù)). H0:{0,1}*→ZN和H1:{0,1}*×{0,1}*→ZN是兩個哈希函數(shù). 選定g,h,u,v,w ∈Gp1并將α ∈ZN作為主密鑰. 公共參數(shù)是: param={N,g,h,u,v,w,e(g,g)α,H0,H1}.

步驟2: 密鑰提取

每個用戶ID 產(chǎn)生自己的私鑰.隨機(jī)生成r,y,tk--∈RZN,計算ID=H0(ID)和A=gαwy,B =gy,C =vy(uIDh)r,D =gr. 輸出每個用戶的私鑰SKID={A,B,C,D,tk}.

步驟3: 簽名

L = {ID1,··· ,IDn} 是區(qū)域網(wǎng)關(guān)中的n 個用戶. 假定用戶IDπ是真正的簽名者, 其中IDπ∈L,π ∈{1,··· ,n}. 為了給用電信息m ∈{0,1}*簽名, 用戶IDπ計算IDi= H0(IDi), 其中i = 1 到n. 接著計算IDn+1=H1(m,L). 最后使用私鑰SKIDπ={A,B,C,D,tk} 執(zhí)行下列操作:

如果相等則驗證成功, 否則驗證失敗.

步驟5: 批量驗證

DGW 收到η 個簽名σ1,··· ,ση，其中L1= ··· = Lη= {ID1,··· ,IDn}. 同步驟4 所述, 計算IDi=H0(IDi), 其中i=1 到n+1. 然后隨機(jī)生成s,t1,··· ,tn+1--∈RZN, 同時檢查:

如果相等則驗證成功, 否則驗證失敗.

步驟6: 可鏈接驗證

DGW 收到兩個簽名σ1={R1,Q1,m1,·}, σ2={R2,Q2,m2,·} 和公共參數(shù)param, 計算:

如果tag1=tag2, 則σ1和σ2具有可鏈接性, 否則不具有可鏈接性.

BVLRS 的交互流程是由CC 初始化整個系統(tǒng), 生成主密鑰和公共參數(shù); 每個用戶利用主密鑰生成私鑰, 之后對用電信息進(jìn)行簽名并發(fā)送給DGW; DGW 對收到的簽名進(jìn)行正確性和可鏈接驗證, 流程圖如圖2 所示.

4 安全性分析

定理1 BVLRS 方案是正確的.

證明: 我們將私鑰SKID代入到步驟4 中, 能夠推導(dǎo)出:

圖2 BVLRS 交互圖Figure 2 BVLRS interaction diagram

因此等式(1)成立, 我們接著將私鑰SKID代入到步驟5 中:

因此等式(2)成立, 那么BVLRS 方案是正確的.

定理2 BVLRS 方案在假設(shè)1-4 下, 具有不可偽造性.

在上述情況下要使式子(5)成立, 當(dāng)且僅當(dāng)要知道d mod p2的值. 敵手A 只知道w 和g ∈Gp1,

只與d mod p1相關(guān), 所以敵手A 知道d mod p2的值發(fā)生的概率在理論上可以忽略不計.

在第二部分, 我們表明敵手無法偽造正常型的簽名σpt1. 我們使用一些游戲來證明方案的安全性.

Gamereal: 該游戲是不可偽造的, 返回給敵手A 的密鑰和簽名都是正常的.

Gamert: 該游戲是被限制的游戲, 即敵手A 詢問的身份與挑戰(zhàn)者的身份不能是模p3相等的. 同時敵手A 生成的哈希值, 在模p3時也是可區(qū)分的(即敵手A 不能生成兩個環(huán)身份集合和消息, (m, L) ／=(m′, L′), 但H1(m, L)=H1(m′, L′)).

Gamei: 該游戲前i 個詢問的回答是半功能型的, 當(dāng)大于i 時, 返回給敵手A 的回答是正常型的.

Gamek: 敵手A 在受限制的游戲Gamei和Gamei-1中時行為是相同的, 其中i=1 到k, k 是敵手A 第k 次詢問. 我們知道敵手在游戲Gamei和Gamei-1, 贏得游戲Gamek的概率是可忽略不計的.

在下面的證明中, 假定敵手A 能夠偽造正常型的簽名σpt1.

我們知道在假設(shè)3 和4 下, 敵手A 在游戲Gamei中是受限制的, 其中i = 1 到k. 假定敵手A 產(chǎn)生兩個身份ID 和ID′, 滿足ID／=ID′但I(xiàn)D=ID′mod p3. 令P =gcd(ID-ID′,N). P 是N 的非平凡因子, 也就是P ∈(p3,p1p3,p2p3). 令q =N/P, 我們考慮下述兩種情況.

接下來的證明中, 我們需要表明受限制的敵手A 在游戲Gamei-1和Gamei中的行為是相同的, 其中i=1 到k. 我們利用在文獻(xiàn)[21] 中兩個預(yù)言機(jī)O0和O1. 假定我們能夠構(gòu)造模擬器S 區(qū)分預(yù)言機(jī)O0和O1, 那么就能解決假設(shè)3 或者假設(shè)4.

此外, 敵手在游戲Gamek中構(gòu)造模擬器S 去偽造正常型的密鑰和簽名σpt1, 即解決了假設(shè)2.

(1) 初始化: 模擬器S 構(gòu)造(g,g2,g3,gαX2,gsY2,T), 為了判斷T =e(g,g)αs是否成立. 參數(shù)設(shè)置如下所示: 隨機(jī)選擇α,a,b,c,d-- ∈RZN, 計算h = gb,u = ga,v = gc,w = gd∈RGp1, 選取兩個哈希函數(shù)H0,H1, 得到公共參數(shù)param = {N,g,h,u,v,w,e(g,gαX2),H0,H1}. 將上述參數(shù)發(fā)給敵手A.

(2) 密鑰詢問: 回答關(guān)于身份ID 的密鑰詢問, 模擬器S 選擇y,r,f --∈RZN并計算:

(3) 簽名詢問: 回答關(guān)于環(huán) L = {ID1,··· ,IDn} 和消息 m 簽名詢問. 模擬器 S 隨機(jī)選擇f,λ1,r1,y1,··· ,λn,yn,rn,,yn+1,rn+1∈RZN, 其中λ1+···+λn+=0, 并計算:

模擬器S 判斷T =e(g,g)αs是否成立, 若成立則解決了假設(shè)2.

最后我們證明σpt2={R,Q} 是不可偽造的.

假定敵手A 能夠成功, 即(m*,R*,Q*) 是合法偽造. 根據(jù)定義, 我們知道(gQ*/R*)1/H0(m,*R*)=tag = gtk, gQ*= R*(gtk)H0(m*,R*), 所以(R*,Q*) 是關(guān)于m*的合法的Schnorr 簽名. 我們知道如果DLP 問題[20]是困難的, 那么Schnorr 簽名具有不可偽造性. 因此, σpt2={R,Q} 是不可偽造的.

定理3 BVLRS 方案是匿名的.

5 性能分析

5.1 通信開銷

表1 通信開銷分析Table 1 Analysis of communication cost

根據(jù)表1, 我們知道BVLRS 方案的通信開銷略高, 由于我們增加了批量驗證與可鏈接的功能, 會使簽名的大小有所增加.

5.2 計算開銷

首先, 我們分析BVLRS 方案的計算復(fù)雜度. 我們根據(jù)文獻(xiàn)[24] 定義: E 代表冪運算, P 代表雙線性對運算, Hf代表哈希函數(shù)運算, n 代表一個區(qū)域內(nèi)電力用戶的個數(shù), η 代表簽名個數(shù). BVLRS 方案的計算復(fù)雜度分析, 如表2 所示.

表2 計算復(fù)雜度分析Table 2 Complexity analysis of BVLRS

表2 能夠清楚的看出六個算法的計算復(fù)雜度. 接著, 我們將BVLRS 方案與其他標(biāo)準(zhǔn)模型下環(huán)簽名方案進(jìn)行對比, 對比如表3 所示.

表3 計算復(fù)雜度對比Table 3 Comparison of computational eきciency

根據(jù)表3, 我們知道四個方案中BVLRS 的單個簽名驗證的計算復(fù)雜度較高. 我們引用文獻(xiàn)[24], 知道一次冪運算的時間是0.58 ms,一次雙線性對運算的時間是10.31 ms,一次哈希函數(shù)運算的時間是3.58 ms.文獻(xiàn)[18,25,26] 和BVLRS 的批量驗證計算復(fù)雜度, 如圖3 所示.

圖3 驗證時間對比Figure 3 Comparison of verification time

從圖3 可知, 我們將環(huán)簽名批量驗證的復(fù)雜度從O(nη) 降到了O(n+η). 最后, 我們分析BVLRS 方案的安全特性并與其它方案作對比, 如表4 所示.

根據(jù)表4 可知, 我們的環(huán)簽名具有可鏈接性. 這個特性能保證在區(qū)域網(wǎng)關(guān)DGW 在計算每個用戶的耗電總量時, 而不知道用戶的具體身份, 同時也可以根據(jù)此特性判斷出惡意的電力用戶.

表4 安全特性對比Table 4 Comparison of security features

6 結(jié)論

本文中BVLRS 方案在標(biāo)準(zhǔn)模型下是可證明安全的, 并可應(yīng)用到智能電網(wǎng)的安全通信中. 通過安全性與性能分析, 我們知道BVLRS 方案具有匿名性, 不可偽造性, 可鏈接性. 可鏈接性能夠保證在區(qū)域網(wǎng)關(guān)DGW 計算每個用戶的耗電總量時, 不知道用戶的具體身份, 但可以根據(jù)此特性判斷出惡意的電力用戶.我們將BVLRS 方案與其他標(biāo)準(zhǔn)模型下的環(huán)簽名作對比, BVLRS 方案在選取的L 相等時, 通信開銷會有所上升, 但該方案能夠顯著的降低環(huán)簽名驗證的計算開銷.