基于抗泄漏無證書的智能電網隱私保護協議

朱聰聰，喬 治，王志偉

(南京郵電大學 計算機學院、軟件學院、網絡空間安全學院，江蘇 南京 210046)

0 引 言

智能電網[1]是一個計算機和電力相結合的基礎設施網絡，用于監控和管理能源使用情況。然而，隨著智能電網技術的不斷發展，也帶來了一定的安全問題。一方面，實時的用電數據在一定程度上會泄露用戶的行為隱私；而另一方面，電網網關的地理環境使得網關的安全性較低。因此，有效保護用戶隱私并實現密鑰抗泄露以及身份認證成為智能電網的研究熱點。

在傳統的公鑰密碼體制中，用戶自己選擇公鑰，但是需要由證書頒發機構的可信第三方進行驗證，證書的管理過程復雜且代價較高。為了避免這種情況，Shamir[2]提出了基于身份的公鑰密碼體制(identity-based public key cryptography，ID-PKC)，使用身份信息(如電子郵箱、姓名等)直接作為公鑰，私鑰由可信第三方密鑰生成中心(key generation center，KGC)生成，存在惡意KGC的風險，導致密鑰托管問題。隨后，AI-Riyami等人[3]提出了無證書公鑰密碼體制(certificateless public key cryptography，CL-PKC),不僅避免了傳統公鑰密碼體制的證書管理，也解決了基于身份的公鑰密碼體制中的密鑰托管問題。在CL-PKC中，KGC根據用戶的身份為其生成部分私鑰，用戶基于KGC為其計算的部分私鑰和隨機選取的秘密值生成最終的私鑰，公鑰由用戶的秘密值和部分私鑰構成。也就是說，CL-PKC中用戶本身參與私鑰和公鑰的生成，KGC不會知道用戶的密鑰，也就不存在密鑰托管的風險。

最近提出的一些方案建議聚合單個計量數據來保護用戶隱私[4-7]。同態加密(homomorphic encryption，HE)是實現聚合的有效方法，每個用戶使用加法同態加密他的數據，然后將密文發送給網關，由于加法同態的性質，網關進行解密可以獲得計量數據的總和。Garcia等人[4]提出一種多方計算協議，它允許鄰域中的多個智能電表計算其部分數據的聚合，通過使用Paillier的加法同態性質，使得單個的計量數據無法揭露。但是由于方案要求本地變電站完全聚合計量數據，造成巨大的計算和通信開銷，而加法同態加密方案已滿足大數據應用的要求。Li等人[6-7]提出一種用于智能電網的分布式網內聚合方案，該方案使用Paillier的同態加密將源智能電表到網關中所有智能電表的計量數據進行聚合，從第一個電表開始，路徑上的每個智能電表將前一個智能電表發來的數據與自己的計量數據進行聚合，然后再發送給下一個智能電表，直到網關用其私鑰解密聚合密文，并且在不知道單獨計量數據的情況下獲得該路徑上所有智能電表計量數據的總和。該方案雖然在計算和通信方面有效，但是容易受到中間惡意電表和外部攻擊者在發送途中偽造中間聚合數據。

應用加法同態的一個重要問題就是防止數據在發送途中受到攻擊。在實際中存在這樣一類攻擊者，他們針對加密電子設備在運行過程中的時間消耗、功率消耗或電磁輻射之類的側信道信息泄露而對加密設備進行攻擊，此獲得設備私鑰的一部分，這將導致重要信息的泄漏。為了抵御側信道攻擊，許多研究人員引入并提出了泄露彈性(leakage-resilient，LR)密碼[7-8]模型?，F有的泄漏模型可分為三類：(1)有界泄漏模型[9]。在系統生命周期內，對手可以自適應地選擇一個可計算的泄漏函數f，它輸入私鑰并在有界泄漏模型中獲得泄漏函數f(SK)的輸出。由于整個過程中私鑰的總泄漏量是有界的，有效限制了泄漏函數f獲得完整的私鑰信息。(2)連續泄漏模型[10]。在連續泄漏模型中，私鑰定期更新。兩個連續私鑰更新之間私鑰泄漏的泄漏量是有界的，但在整個過程中總泄漏量是無限的。構造連續泄露模型下安全的密碼系統的主要問題在于如何更新私鑰，使得不同時段的泄露無法有意義地合并出整個私鑰，而導致密碼系統崩潰。(3)輔助輸入模型[11]。在系統生命周期內，無論信息泄露多少，即使在理論上私鑰全部泄露，依然不存在概率多項式(PPT)攻擊者可以用不可忽略的概率從f(SK)恢復SK。也就是說，即使這樣的功能信息理論上揭示了整個私鑰SK，但是在計算上仍然是不可行的。

為了解決實際應用中的密鑰泄露問題，抗泄露加密方案[12]被陸續提出。Wang等人[13]提出了基于身份的泄露彈性加法同態加密方案,并在標準模型中證明了它的安全性，但是這種方案存在密鑰托管的風險。Xiong等人[14]提出了第一個泄露彈性無證書公鑰加密(LR-CL-PKE)方案，該方案基于雙線性對和非交互式零知識證明系統構造，但并未給出非交互式零知識系統的具體構造方法，導致方案的計算效率難以評估。Zhou等人[15]提出一個不含雙線性對的抗泄露無證書公鑰加密方案，并且證明了該方案在選擇明文攻擊(chosen ciphertext attacks，CCA2)下的安全性。

文中旨在為智能電網提出一種安全有效的數據聚合和隱私保護協議，該協議不僅可以避免密鑰托管，還可用于實現網關抗泄露。通過修改Wang等人的方案[16]，設計了一種基于抗泄漏無證書同態加密的智能電網數據聚合和隱私保護協議。為了有效解決加密系統中的密鑰托管問題，使用了無證書的加密方案，解決了基于身份的加密系統中的可信第三方問題；考慮到網關常年暴露在戶外，攻擊者通過側信道攻擊很容易獲得私鑰的部分比特，在協議中使用改進的Goldreich-Leivin定理防止網關的密鑰泄露；同時，智能電網需要實時收集用戶數據并進行細粒度分析，在協議中利用加法同態的性質，使得網關在不知道單獨計量數據的情況下獲得該地區的總用電數據，有效防止攻擊者竊取單獨用戶的用電信息。

1 基礎知識

1.1 數學概念

1.1.1 雙線性映射

設p是一個大素數，G和GT是兩個階為p的循環加法群和循環乘法群。G到GT的雙線性映射e:G×G→GT滿足下面的性質：

(1)雙線性：對于?P,Q∈G，a,b∈Z，有e(aP,bQ)=e(P,Q)ab。

(2)非退化性：?P,Q∈G，使得e(P,Q)≠1。

(3)可計算性：對于?P,Q∈G，存在一個有效算法計算e(P,Q)。

1.1.2 計算Diffie-Hellman(CDH)假設

設G是階為p的循環群，k為群生成算法Gen(1k)的安全參數，g為G的生成元，則計算Diffie-Hellman(CDH)假設定義為：

1.1.3 判定型雙線性Diffie-Hellman(DBDH)假設

設G和GT是階為素數p的兩個循環群，λ為群生成算法Gen(1λ)的安全參數，g為G的生成元，e:G×G→GT為G到GT的一個雙線性映射。則上的判定型雙線性Diffie-Hellman(DBDH)假設定義為：

1.2 強提取器

定義1(單向散列函數族)：設How(ε)是任意多項式時間可計算函數f:{0,1}n→{0,1}*的類。給定隨機數x，計算y=f(x)，如果滿足對于任何PPT算法從y=f(x)中恢復x的概率都小于ε，那么How(ε)稱為單向散列函數族。

|Pr[Α(s,f(x),SE(s,x)=1]-

Pr[Α(s,f(x),γ=1)]|<δ

定義3(改進的Goldreich-Levin定理)：設p是一個大素數，H為GF(p)的任意子集，Hn→{0,1}*的映射f為任意多項式時間可計算函數，然后從Hn中隨機選擇向量x，計算y=f(x)。從GF(p)n中隨機選擇矢量s，并從GF(p)中隨機選擇u。如果存在一個運行時間為t的任意概率多項式時間(PPT)算法Α，使得

|Pr[Α(y,s,=1]-

Pr[Α(y,s,u=1)]|=ε

則存在一個運行時間為t'=t·poly(n,p,1/ε)的算法Β，它從y計算出x的概率為：

然后，根據改進的Goldreich-Levin定理從內積構造帶有輔助輸入的(ε,δ)-強提取器。

2 協議設計

2.1 基于抗泄漏無證書同態加密和簽名方案

2.1.1 基本概念

基于抗泄漏無證書同態簽密方案Γ由設置、部分私鑰提取、設置秘密值、設置私鑰、設置公鑰、簽密、解簽密7個算法組成。通常,設置和部分私鑰提取由KGC執行,而其他算法由加密或解密用戶執行。以下是各個算法的描述:

·Setup(1λ)：KGC以安全參數λ作為輸入，生成雙線性群參數(G,GT,e:G×G→GT)，其中g是G的生成元，gt是GT的生成元。隨機選擇s∈Zq作為主密鑰，即Smsk=s，并設置主公鑰為mpk=gs。選擇加密散列函數H1:{0,1}*→G，H2:{0,1}*→G和H3={0,1}*×G×G→Zq。公開系統參數params={q,G,GT,g,gt,e,H1,H2,H3}。

·PartialPrivateKeyExtract(params,ID,Smsk)：KGC隨機選擇r1,…,rm∈Zq，計算R1=gr1,…,Rm=grm，將y1=r1+SmskH3(ID,X1,R1)，…，ym=rm+SmskH3(ID,Xm,Rm)作為部分私鑰，再計算Y1=gy1,…,Ym=gym，輸出部分私鑰dID=(y1,…,ym)。

·SetSecretValue(params,ID,dID)：用戶隨機選擇xID=(x1,…,xm)作為秘密值。

·SetPrivateKey(params,ID,dID,xID)：輸出用戶的私鑰為skID=(x1+y1,…,xm+ym)。

·SetPublicKey(params,ID,dID,xID)：輸出該用戶的公鑰pkID=(X1Y1,…,XmYm)。

2.1.2 安全證明

Wang等人已經證明他們提出的基于身份的加密方案在DBDH和CDH假設下是CPA安全的，由于基于身份的加密中本身存在惡意的KGC攻擊，所以文中提出的無證書方案對于Ⅱ型攻擊者也是CPA安全的。下面證明文中方案對于Ⅰ型攻擊者的安全性，設F表示多項式時間可計算泄漏函數族，Γ表示基于抗泄漏無證書同態加密方案。

定理1：如果沒有任何多項式時間的攻擊者能夠以不可忽略的優勢贏得下列游戲，那么文中方案對Ⅰ型攻擊者是CPA安全的。

證明：(Game0)給定挑戰者C一組輸入(g,p,e,gα1,gα2,gα3,hi)，其中h0=e(g,g)x,x∈RZp，h1=e(g,g)α1α2α3，以進行下列詢問應答。

·設置：挑戰者C運行Setup(1λ)，將主公鑰mpk發送給攻擊者A。C還保持一個列表LID。

·H1查詢：當A對身份ID進行查詢時，C隨機選擇j∈{0,1}和t∈Zp，當j=0時，令H1(ID)=gt，當j=1時，令H1(ID)=yt，然后將元組(ID,H1,j)添加到表LID中。

·部分私鑰查詢：C首先檢查LID中是否有元組(ID,dID,pkID,xID,j)，如果有，C將dID返回給A。否則，將j設為1，計算did=mpkt和pkID=xID，并將元組(ID,dID,pkID,xID,j)添加到表LID中。

·公鑰查詢：C首先檢查LID中是否有元組(ID,pkID,xID,j)，如果有，C將pkID返回給A。否則，將j設為1，C隨機選擇w∈Zp，令pkID=gα1和xID=α1并將pkID返回給A，將元組(ID,pkID,xID,j)添加到表LID中。

·私鑰查詢：C首先檢查LID中是否有元組(ID,dID,pkID,skID,j)，如果有，C將skID返回給A。否則，C首先進行部分私鑰查詢得到dID，然后進行公鑰查詢得到pkID=gα1和xID=α1，并將這些值添加到表LID中，將skID=(dID,α1)返回給A。

·H2查詢：當A對元組(C,T)進行查詢時，C首先檢查LID中是否有元組(C,T,l,j)，如果有，就將H2的定義返回給A，否則，C隨機選擇l∈Zp，令H2(ID)=gt，然后將元組(C,T,l,j)添加到表LID中。

·泄露查詢：A選擇f∈F進行密鑰泄漏查詢，C用f(skID)進行響應。

·簽名查詢：當A對身份ID和CT進行查詢時，C首先恢復先前定義的H1，然后，設置C1=gα3并將其返回給A。

·輸出：A輸出b的猜測位b'。

定理2：如果SE是帶有輔助輸入的(ε,δ)-強提取器，那么文中方案Γ相對于族How(ε)是AI-CPA安全的。

·設置：挑戰者C運行Setup(1λ)，并將主公鑰mpk發送給攻擊者A。挑戰者C保密msk。

·查詢：查詢部分與Game0相同。

·挑戰：A向C發送兩條關于身份ID*的長度相同的消息m0和m1，C選擇一個隨機位b，然后對mb進行加密，并將密文CT=(C1,C2)=(g3,gtmb·e(g,g)h2)(i=0,1)返回給A。

·輸出：攻擊者A輸出b的猜測位b'。

如果b'=b，則A贏得上述游戲。

該方案的加法同態特性如下：

Encrypt(params,ID,M+M',pk)

2.2 基于抗泄漏無證書同態加密的智能電網數據聚合和隱私保護協議

2.2.1 系統模型

系統模型由四個部分組成，如圖1所示。第一個部分是密鑰生成中心(KGC)，SM、AGW和ESP分別需要與KGC進行交互，用無證書方式生成私鑰。首先，實體選擇秘密值并生成公共元素發送給KGC，然后，KGC生成部分私鑰再發送給實體，最后，實體根據接收到的部分私鑰結合秘密值生成最終私鑰和公鑰。第二個部分是智能電表(SM)，SM計量各自的用電數據并用自己的私鑰加密然后進行簽名，然后再將密文和簽名發送給AGW。第三個部分是區域網關(AGW)，AGW首先驗證SM發來的簽名是否正確，如果正確，則接收密文，然后對電表傳來的密文進行聚合，并進行簽名。第四個部分是電力服務提供商(ESP)，ESP首先驗證網關身份，如果通過，則解密聚合電量。由于聚合密文使用的是加法同態加密，所以ESP在解密完密文之后可以獲得該地區各個用戶的用電數據，方便靈活分析并對該區域的電力實施高效調控。

圖1 智能電網的系統模型

2.2.2 協議構建

(1)系統初始化。

步驟1：KGC以安全參數λ作為輸入，生成雙線性群參數(G,GT,e:G×G→GT)，其中，G和GT具有素數階q>2λ，設g是G的生成元，gt是GT的生成元。

步驟2：隨機選擇s∈Zq作為主密鑰，即Smsk=s，并設置主公鑰為Ppub=gs。

步驟3：選擇加密散列函數H1:{0,1}*→G，H2:{0,1}*→G和H3:{0,1}*×G×G→Zq。

步驟4：KGC公開系統參數params={q,G,GT,g,gt,e,Ppub,H1,H2,H3}。

(2)實體注冊。

步驟1 智能電表注冊：一個區域網內有n個智能電表，每個智能電表通過無證書方式與KGC交互生成私鑰，其中第i個智能電表的私鑰為skIDi。

步驟1.1 設置秘密值：智能電表隨機選擇秘密值xIDi∈Zq，計算公共元素XIDi=gxIDi，將身份IDi和公共元素XIDi發送給KGC。

步驟1.2 部分私鑰提取：KGC隨機選擇秘密值rIDi∈Zq，計算RIDi=grIDi，yIDi=rIDi+SmskH3(IDi,XIDi,RIDi)，然后計算YIDi=gyIDi，并發送RIDi，部分私鑰yIDi和YIDi給智能電表。

步驟1.3 設置私鑰：智能電表設置skIDi=xIDi+yIDi作為私鑰。

步驟1.4 設置公鑰：智能電表計算pkIDi=XIDiYIDi作為公鑰。

步驟2 網關注冊：網關使用無證書方式與KGC交互生成私鑰。

步驟2.1 設置秘密值：網關隨機選擇秘密值xIDc∈Zq，用于將部分私鑰轉換為私鑰，網關保密xIDc，計算公共元素XIDc=gxIDc，將身份IDc和公共元素XIDc發送給KGC。

步驟2.2 部分私鑰提取：KGC隨機選擇秘密值r∈Zq，設置R=gr，然后計算yIDc=r+SmskH3(IDc,XIDc,R)作為部分私鑰，再計算YIDc=gyIDc，并將R，YIDc和部分私鑰yIDc發送給網關。

步驟2.3 設置密鑰：網關設置skIDc=xIDc+yIDc作為最終私鑰，計算pkIDc=XIDcYIDc作為公鑰。

步驟3 ESP注冊：KGC和ESP執行交互協議，用無證書方式生成私鑰：

步驟3.1 設置秘密值：ESP隨機選擇秘密值x1,…,xm∈Zq，計算公共元素X1=gx1，…，Xm=gxm，將身份IDesp和公共元素X1,…,Xm發送給KGC。

步驟3.2 部分私鑰提?。篕GC隨機選擇秘密值r1,…,rm∈Zq，計算R1=gr1,…,Rm=grm，將y1=r1+SmskH3(IDesp,X1,R1),…,ym=rm+SmskH3(IDesp,Xm,Rm)作為部分私鑰，再計算Y1=gy1,…,Ym=gym，并發送R1,…,Rm，部分私鑰y1,…,ym和Y1，…,Ym給ESP。

步驟3.3 設置私鑰：輸入系統參數params，ESP身份IDesp，部分私鑰y1,…,ym和秘密值x1,…,xm，ESP私鑰為sk=(x1+y1,…,xm+ym)。

步驟3.4 設置公鑰：ESP計算pk=(X1Y1，…，XmYm)作為公鑰。

步驟4 計算W=(W1,…,Wm)=(e(X1Y1,H1(IDesp)),…,e(XmYm,H1(IDesp)))的值，KGC將其發送到所有智能電網設備。

(3)收集階段。

步驟2 智能電表進行數字簽名：設Ti為當前時間戳，智能電表計算簽名Vi=H2(C2i||Ti)skIDi，并將(CTi,Vi,Ti)發送到網關。

步驟3 網關驗證電表身份：網關首先驗證e(g,Vi)=e(pkIDi,H2(C2i||Ti))是否成立來檢查電表發送的密文，如果成立，則網關接收電表上傳的數據，否則拒絕。

(4)聚合階段。

步驟2 網關進行數字簽名：設Tc為網關當前時間戳，計算簽名V=H2(C2||Tc)skIDc。

(5)解密階段。

步驟1 ESP驗證網關身份：ESP首先計算e(g,V)=e(pkIDc,H2(C2||Tc))是否成立，如果成立，則ESP接收網關上傳的數據，否則拒絕。

3 安全性分析

文中設計的安全有效的基于抗泄漏無證書同態加密的智能電網數據聚合和隱私保護協議旨在防止網關暴露在開放環境中的密鑰泄露問題，并防止未授權對象讀取電表數據并進行細粒度分析。在本節中，針對協議的一系列攻擊進行正式安全和隱私分析。

3.1 抵御側信道攻擊

3.2 抵御中間人攻擊

中間人攻擊是模仿合法的角色，通過讀取發送方的信息向接收方發送虛假的消息。在智能電網系統中存在兩個中間人攻擊。一種是智能電表與網關之間的攻擊，假的智能電表向網關發送錯誤的計量數據。在該協議中，電表在發送數據之前需要先和網關驗證身份，定理2證明了基于抗泄漏無證書同態簽密方案是安全的，所以攻擊者無法獲得智能電表的私鑰，以此通過身份驗證。另一種是網關和ESP之間的攻擊，攻擊者通過模仿網關向ESP發送聚合電量。在該協議中，網關通過將聚合數據添加在簽名中，攻擊者即使獲得了網關的私鑰，也不可能偽造出正確的簽名，通過身份驗證，因此該協議可以抵御中間人攻擊。

3.3 抵御內部攻擊

3.4 抵御網關和N-1個智能電表合謀攻擊

3.5 抵御ESP和N-2個智能電表合謀攻擊

當網關和N-2個智能電表展開合謀攻擊，除了兩個智能電表SMi和SMj以外的所有電表都是不誠實的。在這種情況下，ESP和N-2個智能電表試圖區分兩個誠實的智能電表的明文。假設網關也是誠實的，定理1的證明表示在基于抗泄漏無證書同態簽密方案中，攻擊者區分兩條長度相同的挑戰密文的概率可忽略不計，也就是說即使攻擊者得到了電表SMi和SMj的密文，也無法區分出每個電表相對應的明文，因此該協議可以抵抗ESP和N-2個智能電表合謀攻擊。

3.6 抵御重放攻擊

如果攻擊者獲得雙方發送過的信息，他攔截通信并惡意重放信息來達到欺騙系統的目的，這稱為重放攻擊。在該協議中，使用當前時間戳來抵御重放攻擊。如果攻擊者想要模仿簽名中的時間戳來重放簽名，必須先獲得設備的密鑰，但是攻擊者獲得私鑰的概率忽略不計，因此攻擊者不可能進行重放攻擊。

4 結束語

隨著大規模物聯網的發展，用戶的隱私受到了越來越多的威脅，在智能電網中，攻擊者可以通過竊取用戶的用電數據，以此分析該用戶的行為模式。文中設計了一個基于抗泄漏無證書同態加密的用戶電力數據聚合和隱私保護協議，該協議主要將彈性泄露密碼體制與無證書同態加密技術相結合，在用戶隱私保護與實時電量數據之間實現一個良好的平衡，并且通過在智能電網的典型攻擊下的安全屬性分析，體現了協議實現的安全性能。

但現在只是實現協議安全性的理論證明，下一步工作可以使用密碼學協議的自動形式化驗證分析來驗證協議的安全性，更進一步可以搭建智能電網系統的模擬實驗環境，使用設計的認證協議來進行安全性分析，從而進一步完善協議。