基于群盲簽名的智能電網隱私保護方案研究

李宇遠,于海洋

(南方電網數字電網研究院有限公司，廣東 廣州 510670)

0 引言

隨著網絡技術[1-2]的不斷發展，智能電網[3]中的電力運行和管理可通過集成先進的雙向通信和廣泛的計算能力進行升級，以實現配電系統的可靠性和安全性。智能電網不但可以消除用戶和供電商之間的障礙，而且可以通過智能監控了解用戶的用電行為，對電力部署作適當調整，從而提高了供電服務質量[3]。

需要注意的是，傳統電網與智能電網的主要區別在于，承載用戶應用信息的智能電表通過有線或無線網絡與變電站進行通信[4]。然而，電力請求有可能泄漏用戶的日常日程，因此存在通信的隱私和安全等問題[5]。此外，電力需求不僅涉及用戶的隱私，還關系到收費政策和公平性。因此，如何采取有效措施保證電力需求源的真實性和用戶隱私是關鍵。為此，許多學者對電力隱私和安全進行研究，并提出了解決方案。

文獻[6]提出基于雙聯盟鏈的智能電網數據共享模型。文獻[7]設計了基于抗泄漏無證書同態加密的用戶電力數據聚合和隱私保護協議。該協議主要將彈性泄漏密碼體制與無證書同態加密技術相結合，既可以避免密鑰托管問題，又可以實現密鑰抗泄漏。文獻[8]提出基于霧計算的智能電網安全與隱私保護數據聚合方案。該方案利用云霧合作的多級聚合模型和同態加密算法，對智能電表(smart meter,SM)實時數據進行多層隱私保護。然而，上述方案對簽名實現過程描述簡單，缺乏細致、全面的簽名實施過程。

為改善上述問題，本文提出了基于群盲簽名的智能電網隱私保護請求方案。方案中，智能電表(即用戶)可以向變電站發送電力請求(即一定數量的盲簽名憑證)，而控制中心(control center,CC)無法通過盲標簽驗證識別真實的用戶身份。這可以確保電力用戶的隱私安全。

1 系統模型和攻擊者模型

1.1 系統模型

智能電網隱私保護方案結構如圖1所示。

圖1 智能電網隱私保護方案結構

智能電網隱私保護方案由CC、智能變電站(smart substation，SS)和SM 3層組成。其中，CC主要用于系統參數生成、數據傳輸過程中驗證等；SS主要用于和用戶交互，負責驗證用戶及其身份信息，同時在驗證過程中負責生產盲簽名協議；SM主要用于記錄智能電網傳輸時的數據，同時可按時將1個完整周期的消費數據發送給控制中心。由于該過程易受網絡攻擊，因此存在數據篡改、非法竊取等威脅。由于資源受限，實際工作過程中應當考慮SM的存儲開銷和計算開銷。此外，SM作為一種物理載體安裝在每個家電系統中，使用戶可以借助SM向SS發送用電請求。SM將定期向SS發送設備信息。SM可以收集用戶的實時需求，并通過監控和數據采集系統將其轉發給CC。然后，CC將進行進一步的電力部署分析，并根據各種要求向SS分配適當的電量。最后，用戶可以通過SS獲得所需的電力。

1.2 攻擊者模型

攻擊者模型可根據網絡攻擊者的能力推斷攻擊者可能采取的行動。攻擊者模型可作以下定義。

①敵方可以竊聽用戶與SS的通信數據，從而非法竊取用戶的部分消費數據。此外，除非法竊取攻擊行為以外，攻擊方式還包括惡意偽造數據和數據替換兩種。這些攻擊方式可能會對數據完整性造成威脅。

②系統中包括2種類型的用戶。其一為合法用戶，且具備獲取其他用戶信息的需求。需要注意的是，這類用戶僅對其他用戶的消費記錄數據感到好奇，但不存在對數據完整性造成威脅的行為。其二為有能力產生對消費數據完整性造成威脅行為的用戶。

2 基于群盲簽名隱私保護方案

基于群盲簽名隱私保護方案執行過程如圖2所示。

圖2 基于群盲簽名隱私保護方案執行過程

執行過程由以下5個步驟組成。

①對系統變量及數據進行初始化操作。

②對不同用戶的請求進行匿名身份驗證，從而產生相關數據分析報告。

③對數據消息進行簽名授權。

④根據簽名規則驗證簽名是否正確，同時校驗數據是否完整。

⑤如果判斷為合法用戶，則請求授權過程通過；否則將該用戶定義為非法用戶，并跟蹤用戶行為及過程。

2.1 系統初始化

(1)系統參數生成和釋放。

①CC選擇滿足條件p|q-1的2個不同的素數p和q，并計算n=p×q。

②CC計算滿足ed≡1[modφ(n)]的RSA公鑰對(e,d)。其中：φ(n)為歐拉函數；e和d分別為組公鑰和組私鑰。

③CC選擇一個循環組G〈g〉。同時，CC隨機選擇元素x并計算y=gxmodn。其中：y和x分別為群管理員(group manager，GM)的公鑰和私鑰。

④CC公開選擇安全的防沖突哈希函數：

H:{0,1}*→{0,1}k

⑤CC釋放公共參數P={n,e,G,g,y,H}。

(2)注冊。

①如果一個新的成員(SS)想要加入群組，則SS隨機選擇xi并將其發送給GM。此時，CC隨機選擇yi并計算C=yyiximodn和C1=gyimodn。GM返回Pk=(C,C1)和GM的證書至SS。

②用戶i在CC中打開一個帳戶并獲取信息Ii，且有：

(1)

式中:IDi為用戶ID;ads為用戶地址，tt為訪問信息時間。

③用戶i將保存公共值gi:

gi=H(Ii)xmodn

(2)

式中:H(·)為哈希函數。

④CC在用戶家中安裝智能電表。SMi保存gi并隨機選擇zi,計算Ii:

Ii=gzimodn

(3)

式中:Ii為用戶i的id信息。

2.2 匿名身份驗證和數據報告

每個SM首先通過基于schnorr密碼體制執行身份驗證協議，然后向SS說明其為有效用戶，最后將加密消息傳遞給SS。

2.2.1 匿名身份驗證

用戶匿名身份驗證詳細過程如下。

①SMi隨機選擇ti，計算T=gtimodn并發送給SS。

③用戶計算Si=ti-cbzi，并將Si發送給SS。

2.2.2 數據報告

①考慮到數據傳輸過程中安全性要求，本文應用安全參數λ對不同用戶的消費數據進行限制，即SM在一天內生成數據塊的個數不超過λ個。同時，消耗數據定義為m=(co,tt)。其中:co表示不同用戶消費數據，且有co={L1,L2,…,Ll}，l為數據維數。

(4)

⑤SMk選擇任意盲因子b，并乘以H(m)，計算H(m)′=bH(m)和β=gbmodn。然后，SMk將[H(m)′,β]發送給簽名者。

2.3 盲簽名過程

生成簽名過程執行如下。

①簽名者首先隨機選擇一個素數k并計算k-1(乘法逆)，然后計算簽名σ*=(r,s*,C,C1)。其中：s*=k-1[H(m)′-ryi]modn;r=βkmodn；C1=gyi;C=yyixi。

②SMk通過s去除盲因子。其計算過程描述如下。

s=s*b-1=b-1k-1[H(m)′-ryi]modn

(5)

然后，計算簽名σ=(r,s,C,C1)，并將σ發送給CC。

2.4 簽名驗證

2.4.1 驗證過程

為確保數據的正確性和數據的完整性，詳細驗證過程步驟如下。

②CC判斷驗證簽名是否正確。具體公式如下。

(6)

如果簽名驗證過程正確，則說明m在執行傳輸過程中沒有被篡改過。

③若簽名驗證過程通過，則根據標簽T驗證m，從而確定測試數據是否被修改過。因此，CC可解密M計算T、m和ui。計算過程如下:

(7)

式中：TG為時間戮。

(8)

式中：MGj為第j個用戶的電子原文。

(9)

式中：DG為數字簽名信息。

(10)

式中：HG為待驗證的數據。

④CC驗證式(11)是否成立。

DG×e(H,ptk)=e(TG,gSMk)

(11)

⑤如果式(11)成立，則說明消費者的信息未被篡改；如果驗證失敗，CC將執行撤銷用戶的匿名過程，從而校驗是否有惡意用戶對消費者消費信息進行更改。

2.4.2 撤銷用戶匿名過程

跟蹤簽名人身份，撤銷用戶匿名過程如下。

①當簽名驗證過程存在疑問時，CC獲取驗證者的身份xi，并根據CC發送的私鑰獲取SS相關信息。

(12)

(13)

CC根據數據庫中的ifmi與通過與gSM比較，從而計算gSMi。該過程確保了不同用戶的身份驗證過程。

3 仿真與分析

本節以計算量和時間消耗為指標，與同態加密[9]、屬性基群簽名(attribute base group signature,ABGS)[10]、數據聚合方案[11]等方法進行對比，對所提方案進行性能及分析。

首先，將系統執行過程分為系統初始設置階段、匿名認證過程階段、盲簽名生成階段和驗證過程階段。令M為每個階段計算時的模乘運算、E為計算時的模冪運算、W為計算時的Weil配對運算、H為計算時的哈希運算、v為SM的數量、s為SS的數量。各階段的計算復雜度對比結果如表1所示。

表1 各階段的計算復雜度對比結果

為了模擬不同方案在現實中時間消耗，在操作系統為Ubuntu16.04、 Intel Core i5 CPU和32 GB內存的計算機端，用C語言進行了仿真試驗。需注意，試驗中使用了基于配對的密碼學(pairing based cryptography，PBC)庫和GUN多精度算法(GNU multiple precision，GMP)庫，且所有運算消耗時間均為PBC及GMP實際統計值。為排除隨機現象帶來的干擾，共進行20組試驗，且取平均值為最終結果。得到最終結果后，本文利用Python matplotlib庫作圖。

不同用戶和SM條件下，各方案時間消耗結果分別如圖3和圖4所示。

圖3 各方案時間消耗對比結果(不同用戶數量)

圖4 各方案時間消耗對比結果(不同SS數量)

圖3中,不同模型中智能變電站個數為4。圖4中，不同模型中用戶個數為40。由圖3和圖4可知，時間成本隨用戶和變電站的數量線性增加，但增加速度比略低于其他方法。仿真結果驗證了本文方法能夠應用于大規模用戶。

4 結論

本文提出了一種實用的、具有匿名認證和隱私保護功能的智能電網群盲簽名方案。方案中，SM(即用戶)可以向SS發送電力請求(即一定數量的盲簽名憑證)，而CC無法通過盲標簽驗證來識別真實的用戶身份，從而確保電力用戶隱私的安全性。