后量子的智能電表隱私保護方案

田楊童 張 煌 謝少浩 張方國

(中山大學數據科學與計算機學院 廣州 510006)(廣東省信息安全技術重點實驗室(中山大學) 廣州 510006)

近年來，隨著監控、傳感、控制和通信等技術的不斷發展，傳統電網正在逐步被智能電網(smart gird)所取代[1]，相較于前者，后者可以在公共電力供應商與其用戶之間實時傳輸信息[2]，以實現高效的配電與輸電[3].總的來說，智能電網就是將信息技術、通信技術、計算機技術和原有的輸電、配電基礎設施高度集成而形成的新型電網[4]，可以提高能源效率、減少對環境的影響、提高供電的安全性和可靠性、降低輸電網的電能損耗[4].

智能電網能夠通過由智能電表等實體組成的高級計量基礎設施(advanced metering infrastructure, AMI)進行周期性、高頻率的數據采集[3]，以監測實體的各種狀態，如電力消耗、負載平衡、資源分配等.這種細粒度的能源相關數據可以支持智能配電、能耗監管和能源管理[1]，但也帶來了安全和隱私方面的挑戰.例如，惡意用戶通過遠程訪問電表或捕獲智能電表和供應商之間的計量數據可以訪問用戶能耗數據.對這種精細的高頻能量使用數據進行分析可以得到消費者的行為和生活習慣等隱私信息，如工作時間、用餐時間、娛樂時間、房屋占用時間等[5].解決安全與隱私問題已成為智能電表部署的關鍵要求[6].

由美國國家標準與技術研究院(National Institute of Standards and Technology, NIST)智能電網互操作性小組發布的智能電網網絡安全綜合指南[7]指出，智能電網最重要的安全目標為CIA[8]，即機密性(confidentiality)、完整性(integrity)和可用性(availability).機密性限制未經授權的對信息的訪問和披露，以保護個人隱私和專有信息.數據完整性是智能電網系統信息安全的支柱[9]，確保防止未經授權的信息修改和破壞，以保證信息的不可抵賴性和真實性.完整性喪失是指未經授權修改或破壞信息，并可能進一步導致有關能源管理的錯誤決策.可用性的目標是確保授權用戶可以對信息進行及時、可靠的訪問和使用.可用性的喪失是對信息的訪問或使用的中斷，可能進一步破壞電力傳輸[10].

基于上述智能電網的隱私問題和安全目標，并綜合考量方案的可用性、可擴展性和可進化性等關鍵事項[11]，相關學者對其隱私保護方案的設計進行了大量研究.目前智能電網隱私保護方法可分為非密碼的和基于密碼的2類.

非密碼技術使用工程基礎設施來混淆消費者的實際電能使用量.主要包括基于電池的負載隱藏(battery-based load hiding, BLH)和基于物理不可克隆函數(physical unclonable functions, PUF)兩種方法[3].BLH使用可充電電池部分供應能量需求，以控制儀表讀數來隱藏實際的能量消耗.第2類非密碼學方法PUF通過使用物理結構中的單向功能來實現消費者隱私[12].但此類方法大都需要額外安裝與維護設備，成本較高.故研究者希望能在現有的智能電網架構下設計出合理的用戶隱私保護方案，基于密碼技術的方法多是根據這種思想來設計的.

基于密碼技術的隱私保護方法可以定義為將分布式計算泄露的信息限制為可從指定的計算輸出中學習到的信息的方法[13]，分為數據混淆、數據聚合和身份匿名3類.數據混淆可以通過應用隨機噪聲[14]或對細粒度能耗數據使用適當的代數變換來掩蓋原始數據[15].第2種方法是數據聚合，使用網絡中的聚合器，通過sum或average等函數連接和匯總來自多個設備的數據包，再將聚合后的數據發送到電力服務公司.數據匿名的目的是將用戶身份與其能耗數據分開[16-17].其想法為電力供應商將收到足夠的信息來計算所需的信息，但不足以將數據與某一特定的智能電表或用戶相關聯.可以利用(可鏈接)匿名證書[18-19]、群簽名[20-21]、(可鏈接)環簽名[22-23]等密碼技術實現數據匿名.

而現有的隱私保護研究工作少有考慮到量子安全性.量子計算技術正在飛速發展，基于格(lattice)的密碼學是一類經典的后量子密碼，被公認為是后量子密碼算法標準最有力的競爭者[24]，在安全性方面擁有很大的潛力[25].

結合當前智能電表的數據傳輸機制安全性不高以及量子信息科學快速發展的實際情況，本文提出了一個后量子的智能電網隱私保護方案.我們的方案改進了現有的應用于智能電網的數據采集階段的基于靜態可鏈接環簽名的可以追蹤非法用戶的保護用戶隱私的數據采集方案[23]，利用格密碼將其隱私性擴展到量子計算領域，并且將簽名尺寸由同用戶數目N成線性關系改進到對數級別.并且方案通過使用基于格的后量子簽名方案擁有動態用戶加入與刪除的功能，加強其靈活性和可用性.

為了構造本文方案，我們選擇目前基于格的簽名尺寸為對數級別的環簽名方案中較為先進的工作[26]，并對其進行了改進以增加可鏈接性.將此可鏈接環簽名方案用于智能電表隱私保護系統，使得系統即使面對量子計算機也能很好地保護用戶的個人隱私，同時也可以實現異常用戶的檢測.

1 預備知識

1.1 符號說明

δl,i表示克羅內克函數，對于l=i，δl,i=1；對l≠i，δl,i=0.函數v=negl(λ)表示函數v(λ)是可以忽略的，即v(λ)<1λc對于任意c>0和任何足夠大的λ都成立.

1.2 承諾方案

承諾方案(commitment scheme)的概念由Chor等人[27]提出，主要用于可驗證的秘密分享.承諾者隨機選擇r值以構造對消息值m的承諾c=Comck(m;r)并將c發送給接收者.發送者后來透露被承諾值的相關消息給接收者，以供接收者確認這個打開值(opening)并檢查它確實就是最初承諾過的那個值.

此類承諾方案的基本安全性質為隱藏性和綁定性.隱藏性(hiding)為承諾不會泄露被承諾值的任何信息，即不能通過c得到關于m或r的信息.綁定性(binding)則是不能打開一個承諾到2個不同的值，即打開c=Comck(m;r)到m′,r′(m≠m′或r≠r′)發生的概率是可以忽略的.

Comck(m;r)=Comck(m1,m2,…,mv;r)=

此承諾方案擁有加法同態性：Comck(a;r1)+Comck(b;r2)=Comck(a+b;r1+r2)，且對?γ∈Rq都有：γComck(m;r)=Comck(γm;γr).它對素數是統計隱藏的，其計算綁定性依賴于當時Module-SISn,m+v,q,θ問題的困難性[26].

定義2.Module-SISn,m,q,θ問題[28].令Rq=Zq[X](Xd+1).給它的每個分量隨機均勻且獨立的選取.問題要求找到使得Az=0modq且

1.3 Σ協議

1) 3-move形式.

1.4 拒絕采樣

拒絕采樣技術[29]可以防止泄露信息，其想法是以一個確定的概率輸出響應，否則終止.

其中,σ=12T，M=e.則會輸出向量的概率大于與的輸出之間的統計距離為

1.5 基于格的環簽名方案

環簽名的概念是由Rivest,Shamir和Tauman在2001年[30]提出的，環簽名中的每個用戶都可以選擇包括自己的任何一組可能的簽名者組成環，并通過使用自己的密鑰和其他成員的公鑰來代表整個環對任意消息進行簽名，而無需獲得他們的批準或幫助.

一個安全的環簽名的性質有正確性、不可偽造性和匿名性.正確性為環中任意成員進行環簽名過程后得到的簽名不能通過驗證的概率可以忽略.不可偽造性為任何不在環中的成員生成代表該環的簽名并且通過驗證的概率可以忽略.匿名性體現在任何人無法知道簽名的真正簽名者，在大小為N的環中，驗證者能夠確定簽名者真正身份的概率不超過1N.

Esgin等人提出的環簽名方案[26]是體現目前最先進水平的基于格的環簽名方案之一，環簽名大小與環成員個數N成對數關系，即O(logN)，其安全性基于Module-SIS問題的困難性.該環簽名方案將one-out-of-many證明從離散對數設置[31-32]擴展到了格設置，并以基于格的one-out-of-many證明作為構建塊來設計基于格的環簽名方案.one-out-of-many證明中證明者的目標是說服驗證者他知道一組承諾中的一個承諾的打開值，而不透露他具體擁有哪一個.

Esgin等人介紹了一個基于格的one-out-of-many協議，其可以證明證明者知道一組承諾(共N=βk個)中的一個打開為0的承諾中的隨機數，即證明cl是一個打開為0的承諾且知道其隨機數r，即cl=Comck(0;r)，其中下標l∈{0,1,…,N-1}.

(1)

協議中的響應是取決于某些秘密值的，所以響應不能在域中均勻分布，這妨礙了此協議的零知識性，故使用到1.4節介紹的拒絕采樣.協議以p的概率(參見文獻[26]的定理2)為一個(k+1)-特殊穩健性的Σ協議.

此one-out-of-many協議允許構造短的環簽名方案，用戶對其私鑰sk進行承諾得到用戶公鑰pk，簽名者證明他知道一組用于構造環的承諾(公鑰)中的一個的打開為0的承諾中的隨機數(即知道私鑰).環簽名方案為了達到一個不可忽略的可靠性誤差重復運行了r次Σ協議，拒絕采樣應用于r-聯通的向量.

當承諾方案為計算綁定且統計隱藏時，此環簽名方案在相關參數設置下擁有統計正確性、匿名性和不可偽造性.

1.6 可鏈接環簽名

可鏈接環簽名(linkable ring signature)為環簽名增添了可鏈接性[33].一個可鏈接環簽名方案包括5個有效的算法(RSetup,RKgen,RSign,RVerify,RLink)：

1)pp←RSetup(1λ).輸入安全參數λ，生成并公開系統參數pp.

2) (pk,sk)←RKgen(pp).根據系統參數生成環成員的公私鑰對(pk,sk).

3)σ←Rsignpp,sk(M,L).輸出關于消息M、環L的簽名σ，要求sk是由RKgen(pp)生成的，且其對應公鑰pk在環L中.

4) {0,1}←RVerifypp(M,L,σ).輸入關于消息M、環L的簽名σ，驗證其有效性.若有效輸出1，否則輸出0.

5) {0,1}←RLinkpp(σ1,σ2).輸入2個可以通過驗證的簽名σ1和σ2，若2個簽名是可以鏈接起來的，輸出1，否則輸出0.

可鏈接環簽名的安全性除了不可偽造性和匿名性之外增添了可鏈接性：簽名者的身份仍保持匿名但由同一簽名者簽署的2個簽名可以鏈接起來.它的可鏈接性和簽名者匿名性的屬性在各種現實應用場景中是非常理想的.

2 基于格的可鏈接環簽名方案

2.1 方案詳述

我們的基于格的可鏈接環簽名LRS由算法五元組(LRS_Setup,LRS_Keygen,LRS_Sign,LRS_Verify,LRS_Link)組成.

我們改造1.5節提到的one-out-of-many證明，即文獻[26]中的協議2，以期為LRS提供底層Σ協議Σ0，如圖1所示.協議Σ0服務于關系：

定理2.若承諾方案為計算上綁定且統計上隱藏的，協議Σ0在參數設置為常數M=e，d≥7，md≥86,2U≥qnm×22λ(md)，素數q≡5 mod 8且時對于關系和為一個SHVZK且有(k+1)-特殊穩健性的Σ協議的概率(也就是此協議證明者的步驟～會輸出響應而不至于終止協議的概率):

(2)

其中,f1=(f0,1,f0,2,…,fk-1,β-1),δ1=(δl0,1,δl0,2,…,δlk-1,β-1).

(ck,(c0,c1,…,cN-1),(l,r)) (ck,(c0,c1,…,cN-1))① rb←{-U,-U+1,…,U-1,U}md;② δ=(δl0,0,δl0,1,…,δlk-1,β-1);③ B=Comck(δ;rb);④ a0,1,a0,2,…,ak-1,β-1←Dd12k;⑤ rc←{-U,U+1,…,U-1,U}md;⑥ ra,rd←Dmd12U3md;⑦ forj=0,1,…,k-1 do⑧ aj,0=-∑β-1i=1aj,i;⑨ end for⑩ A=Comck(a0,0,a0,1,…,ak-1,β-1;ra);C=Comck({aj,i(1-2δlj,i)}k-1,β-1j,i=0;rc);D=Comck(-a20,0,-a20,1,…,-a2k-1,β-1;rd);forj=0,1,…,k-1 doρj←Dmd12U3md∕k;Ej=∑N-1i=0pi,jci+Comck(0;ρj);∕?using pi,jin formula(1)?∕Fj=G2ρj;end forK=G2r;A,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K→ ←x=Xωω←{0,1,…,2d-2,2d-1} fj,i=xδlj,i+aj,i?j,?i≠0;zb=x?rb+ra;zc=x?rc+rd;z=xk?r-∑k-1i=0xjρj;abort with probability(1-p1∕N) from formula(2); if aborted Return ⊥; end ifA,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K,{fj,i}k-1,β-1j=0,i=1,zb,zc,z→Accept if and only if all the following statements are satisfied:① forj=0,1,…,k-1 do②fj,0=x-∑β-1i=1fj,i;③ end for④ ?j,?i≠0:fj,i≤?60dk⑤ ?j:fj,0≤?60dk(β-1)⑥ z,zb,zc≤?243mdU;⑦ f=(f0,0,f0,1,…,fk-1,β-1);⑧ g={fj,i(x-fj,i)}k-1,β-1j,i=0;⑨ xB+A=?Comck(f;zb);⑩ xC+D=?Comck(g;zc);∑N-1i=0∏k-1j=0fj,ij()ci-∑k-1j=0Ejxj=?Comck(0;z);Kxk-∑k-1j=0Fjxj=?G2z.

(3)

式(3)等號左側第1個矩陣(記為V)為范德蒙矩陣.已知V可逆且其逆矩陣V-1的最后一行的元素記為α0,α1,…,αk，在式(3)兩側左乘V-1得到的矩陣最后一行的元素為

證畢.

1) 系統建立算法LRS_Setup(1λ).

輸入：安全參數λ；

輸出：全局參數pp=(ck,H).

③ck=(G1,G2)*承諾密鑰*

④ returnpp=(ck,H).

2) 密鑰生成算法LRS_Keygen(pp).

輸入：全局參數pp=(ck,H)；

輸出：公私鑰對(pk,sk).

①r←{-U,…,U}md；

②c=Comck(0;r)=G1r*0是全0向量*；

③return(pk,sk)=(c,r).

3) 簽名算法LRS_Signpp,sk(M,L).

輸入：消息M和環L=(c0,c1,…,cN-1)，其中cl=Com(0;skl)，l∈{0,1,…,N-1}；

輸出：用戶l(l∈{0,1,…,N-1})使用其私鑰skl代表環L對消息M的簽名σ.

②K=G2skl;

③x=(x1,x2,…,xr)=H(ck,M,L,(CMT1,CMT2,…,CMTr),K);

④ fori=1 tordo

end for

⑤ if ?i∈{1,2,…,r},RSPi≠⊥, do

returnσ

⑥ else返回步驟①;

⑦ end if

⑧ return ⊥.

4) 簽名驗證算法LRS_Verifypp,sk(M,L,σ).

① ifσ=⊥ return 0;

② ifx≠H(ck,M,L,(CMT1,CMT2,…,CMTr),K) return 0;

③ fori=1 tordo

④ return 1.

5) 鏈接性驗證算法LRS_Link(pp,σ1,σ2).

輸入：2個合法的簽名σ1和σ2；

①σ1=(…,K1,…)，σ2=(…,K2,…)；

② ifK1=K2do

③ return 1；

④ else return 0.

(4)

2.2 安全性分析

由于此可鏈接環簽名只是在1.5節中描述的環簽名方案中增添了可鏈接性，由協議Σ0的SHVZK，易知添加的可鏈接元素K并不會影響環簽名的匿名性和不可偽造性，故LRS的安全性是可以繼承文獻[26]中的環簽名方案的，其擁有匿名性和不可偽造性.

使用文獻[26]的定理4中證明不可偽造性的思想來構造矛盾以證明可鏈接性.證明中將用到PKGen，Sign，Corrupt和隨機預言機H這4類預言機：

1)pki←PKGen(⊥).當第i次詢問時，PKGen以新的隨機硬幣值運行RKgen(pp)并返回公鑰pki.

2)skj←Corrupt(pkj).若pkj是由PKGen生成的，返回對應的私鑰skj.

3)σ←Sign(skj,M,L).運行RSignpp,skj(M,L)以獲得一個簽名σ.(skj,pkj)是由PKGen生成的.

4) 隨機預言機H.以其定義域中的一個元素為輸入，返回其值域中對應的元素.

1)j←{1,2,…,qH+qS}

2)ψ←Ψ

② Corrupt(pkj).若pkj是由PKGen生成的，返回對應的私鑰skj.Corrupt僅允許被查詢一次.

④H1(ck,M,L,(CMT1,CMT2,…,CMTr),K).若元組之前被詢問過，返回之前設定的x值.否則給出新的輸出為H(ck,M,L,(CMT1,CMT2,…,CMTr),K)=x并記錄.

參考文獻[26]中對不可偽造性的討論易知擊破承諾方案綁定性的概率為1poly(n).

證畢.

2.3 性能分析

依照文獻[26]的方法，可以分析可鏈接環簽名LRS的簽名尺寸,如表1所示：

Table 1 The Analysis of Our Linkable Ring Signature Size表1 可鏈接環簽名尺寸分析

當安全參數設置為λ=100時，此可鏈接環簽名的表現如表2所示，簽名的尺寸隨著環大小N的增加而增加，且是次線性關系，為O(logN).

Table 2 Our Linkable Ring Signature Size Growth with Respect to Ring Zize

3 后量子的隱私保護數據采集方案

3.1 方案簡介

我們的隱私保護方案基于3層的智能電網結構，主要包括主站、數據集中器與智能電表3種數據傳輸設備，結構如圖2所示.電力服務公司在每個小區建立基站作為電力服務公司的代理，即小區數據集中器Con，該小區的數據先由用戶智能電表發送到集中器做處理，再發送到電力服務公司.

Fig. 2 Three-tier structure of smart grid圖2 智能電網3層結構示意圖

我們利用在第2節中介紹的基于格的可鏈接環簽名LRS，將文獻[23]中提出的保護用戶隱私的數據采集方案改進為抗量子計算的，并且選取一個后量子簽名方案(如已經通過NIST后量子密碼學標準項目[24]第2輪篩選的基于格的數字簽名方案qTESLA[34])，以提供動態用戶加入和撤銷功能.

本數據采集方案主要關注用戶的能耗數據自智能電表上傳到小區集中器的傳輸過程中的隱私保護.同一小區集中器下轄的所有智能電表構成一個環，收集這些智能電表的公鑰信息后公開.智能電表采集到實時數據后用可鏈接環簽名對數據信息進行簽名，然后將信息-簽名對發送給小區集中器，通過集中器驗證及異常檢測后，數據將被上傳至后臺主站作進一步處理.基于可鏈接環簽名的性質，簽名用戶具有匿名性，集中器或其他用戶無法將用電情況和真實用戶身份一一對應，實現了用戶的隱私保護.

集中器持有簽名私鑰，公開其簽名公鑰.當有用戶動態加入或撤銷時，集中器將該用戶的公鑰在環中增加或刪除，更新環組成.集中器對更新后的環進行簽名，并將消息-簽名對廣播給各成員.各用戶收到信息后，使用集中器的公鑰進行驗證，若驗證通過則更新智能電表所存儲的系統公共參數中的環組成，就可以實現智能電表的動態加入與撤銷，而不需要重新初始化整個系統.

3.2 方案詳述

本方案主要包括系統初始化、數據上傳、數據認證、異常檢測和用戶動態加入(撤銷)共5個階段.

記一個小區內的N個用戶為{U0,U1,…,UN-1}，該小區裝有一臺數據集中器Con，其下安裝N臺智能電表，記為{Met0,Met1,…,MetN-1}，分別安裝到用戶U0,U1,…,UN-1家中.在時刻t，智能電表采集到的用戶數據記為M(t).

1) 系統建立

在實際應用場景中，一個集中器管轄一個小區的智能電表，基于小區的實際構造，小區中用戶的最大數量多在最初小區建設時就已經固定，我們估計這個最大值，并設定其為環大小N*=βk，為了使接下來的用戶動態加入和撤銷操作時的計算不至于繁復，固定這個環大小.根據β和k的值選取滿足LRS的參數設置要求的相關參數m,d等.

本系統的初始化需要電力服務公司參與，可將其看作一個可信第三方(CA)，初始化完成后，采集過程不需要CA參與.初始化過程為：

① 根據安全參數，CA調用LRS_Setup(1λ)以獲得全局參數pp.

② 對于用戶Ui，i∈{0,1,…,N-1}，安裝電表過程中調用LRS_Keygen(pp)來為Meti選取密鑰對(ski,pki)，私鑰ski由智能電表Meti自行保存.

③ CA為集中器Con選取簽名私鑰skC，并獲得公鑰pkC.以基于格的簽名方案qTESLA為例來描述我們的方案，可以將Nina等人在文獻[34]中給出的qTESLA的實現程序預植入集中器的計算模塊，使用時直接調用.

④ 令L0=(pk0,pk1,…,pkN-1)，由于實際用戶數量N不等于預設定的固定環尺寸N*，復制公鑰pkN-1以填充環到N*=βk大小，填充后的環為L=(pk0,pk1,…,pkN-1,…,pkN-1)=(pk0,pk1,…,pkN-1,…,pkN*-1).由于此簽名方案對環公鑰沒有不可重復的要求，這種擴充方式不會破壞其安全性.且匿名性仍然為驗證者能夠確定簽名者真正身份的概率不超過1N.

⑤ 公開系統參數PSP=(pp,L,pkC).在系統初始化階段，電力服務公司通過物理手段在電表安裝過程中將該小區的公開系統參數PSP預置入智能電表內，以減少初始數據傳輸量.

2) 數據上傳

在時刻t，用戶Ul的智能電表Metl采集到的用戶數據為Ml(t)，其中l∈{0,1,…,N-1}.數據上傳流程為：智能電表Metl擁有的公私鑰對為(pkl,skl)，且根據密鑰分配有pkl=Comck(0;skl).根據預置入的PSP，電表計算模塊調用算法LRS_Signpp,skl(Ml(t),L)，輸出對消息的簽名σl(t).然后Metl將消息-簽名對(Ml(t),σl(t))發送給該小區的集中器Con.

3) 數據驗證

集中器Con收到下轄電表發送的消息-簽名對(M(t),σ(t))后需對其是否來自本小區的合法電表進行驗證，驗證流程為：

根據存儲的系統公開參數PSP，Con調用算法LRS_Verifypp(M(t),L,σ(t))，根據其輸出判定是否接受此信息簽名對為合法數據.輸出1時，通過驗證，即可以簽名確為該小區內的某臺合法電表生成，留存以做進一步處理；否則刪除該消息.

4) 異常檢測

根據我國標準，每隔15 min小區的數據集中器Con會收集由小區內的智能電表采集的用戶數據信息.對于Con收集到的時刻t小區內所有的由下轄智能電表上傳的通過認證的數據，Con會進行集中檢測，判定是否存在異常，具體流程為：

① 調用LRS_Link算法對所有簽名進行鏈接性檢測,Con對比時刻t收到的所有數據的合法簽名，當檢測到2個(或以上)簽名可以鏈接時，即合法簽名σ1=(…,K1,…),σ2=(…,K2,…),…中K1=K2=…，則可以判定它們為同一臺電表所簽署.

Ⅰ. 若多條已鏈接的合法簽名對應的數據M(t)一致，則判定為同一電表重復發送，取其中一條作為該電表在時刻t上傳的數據留存，其余刪除.

Ⅱ. 若2個或多個已鏈接的合法簽名對應的數據M(t)不相同，則可以判定該電表工作異常.集中器對下轄小區內的智能電表逐個發送時刻t數據重傳命令，檢測重傳簽名與該簽名的鏈接性以確定此故障電表的位置，電力服務公司將對其進行硬件檢測和安全監測，排除安全隱患，進行故障維修.

② 記剩余合法簽名的數目為n.若n=N，Con整理所有數據(共N個)上傳至主站，完成時刻t的數據采集.否則，在時刻t有(N-n)臺智能電表的未正常發送數據，集中器對小區內的智能電表逐一發送時刻t數據重傳命令，并檢測重傳數據與已有數據的鏈接性.如果存在鏈接，則該智能電表已經發送時刻t數據，工作正常；如果不存在鏈接，則該智能電表之前并未成功上傳時刻t數據，記錄該數據并檢測其通信模塊以確定是否正常工作.

5) 用戶動態加入及撤銷

當有新用戶加入時，電力服務公司為新用戶安裝電表，并通過線下的物理手段將新用戶的公鑰提供給集中器以更新系統公開參數PSP中的環為L′，為新電表和集中器更新PSP′=(pp,L′,pkC)并存儲.使用集中器私鑰skC為L′簽名，獲得信息-簽名對并廣播給環成員，其他電表在接受到此消息簽名對之后，使用集中器的公鑰pkC進行簽名驗證，驗證通過則更新其中存儲的系統公開參數PSP=(pp,L′,pkC).此后新用戶便可以作為該小區的成員使用其智能電表進行數據采集,具體過程為：

② 集中器Con使用其簽名私鑰skC對更新后的環L′進行簽名.調用簽名程序qTESLA.Sign(L′,skC)得到簽名SigC(L′)，然后將信息-簽名對(L′,SigC(L′))廣播給集中器下轄的所有用戶.

③ 環內用戶的電表收到簽名后，使用集中器公鑰pkC對簽名SigC(L′)進行驗證.調用植入電表計算模塊的簽名驗證程序qTESLA.Ver(L′,SigC(L′))，若驗證通過則更新其中存儲的系統公開參數PSP=(pp,L′,pkC).

用戶動態撤銷的過程同用戶加入相似，將用戶的公鑰從環中刪除，集中器更新環后對其進行簽名然后廣播給各智能電表以更新系統公開參數，故不再贅述.

4 系統分析

4.1 安全性分析

我們給出智能電網中關于個人用戶隱私性的形式化定義：在數據采集過程中，智能電表Met向集中器Con發送數據，任何實體(包括集中器)都無法將每個合法用戶的身份與它的數據消息相匹配.也就是說，數據的上傳和認證不會泄露電表的身份信息.

本文提出的數據采集方案擁有用戶身份匿名性和消息認證性，其安全性基于第2節所討論的可鏈接環簽名方案LRS的正確性和安全性.LRS的安全性是可以歸約到Module-SIS困難問題上的，由于此問題在量子計算機上仍是困難的，所以此可鏈接環簽名方案面對量子攻擊仍然可以正確的隱藏簽名者的身份信息.故數據采集方案也同樣滿足身份匿名性，并且可以實現抗量子計算的隱私保護.

4.2 性能分析

由于用戶動態加入和撤銷并不會頻繁進行，故我們主要集中分析對智能電表要求更高的數據發送階段.

我們對3.2節中數據上傳階段每個智能電表的通信量進行分析，此階段電表將發送對數據的簽名給集中器.記用戶個數為N，根據2.3節的討論我們得知每個智能電表在發送數據階段的通信量為O(logN)級別，對于單次協議Σ0，其計算量為O(NlogN)級別，而簽名時LRS_Sign的迭代次數的期望值為M2=O(1)，故電表計算量為O(NlogN).

將本文方案同相關工作進行比較，如表3所示：

Table 3 The Comparisons of Different Schemes on Function and Performance表3 相關工作功能與性能對比

4.3 本文方案的優勢

我們的后量子的智能電表隱私保護方案利用了基于格的可鏈接環簽名方案的匿名性和可鏈接性以及格密碼的抗量子計算能力，從而構造一個擁有隱私保護、異常檢測和用戶動態加入及撤銷功能的隱私保護系統.本方案的優勢有3個方面：

1) 良好的可行性.分析結果顯示，我們的方案在有效保護用戶隱私的同時，可以在一輪通信的條件下實現數據采集.并且由于選取的可鏈接環簽名大小為對數級別，所以在通信量上具有優勢.

2) 可擴展性.具有可行性的后量子簽名方案(如qTESLA)使得本方案支持用戶的動態加入與撤銷.所以當用戶規模改變時，可以支持用戶設備數量的改變.并且本文方案以小區為單位，利于監管.

3) 抗量子計算.由于供電設備的使用壽命往往會持續數十年，本方案采用基于格的密碼學后量子密碼體制，面對或將到來的量子計算時代仍然可以實現隱私保護，滿足抗量子計算的安全需求.

5 總結及展望

本文提出了一個后量子的智能電表隱私保護系統并對其進行了安全分析.此系統在保護用戶隱私的前提下，可以支持動態用戶加入與撤銷和異常檢測以及故障用戶追蹤等功能，并且擁有抗量子計算的隱私保護能力.為了實現此系統，我們選擇了一個基于格的短的環簽名方案，為其增添可鏈接性.該可鏈接環簽名方案的尺寸在基于格的次線性大小的環簽名中有很大的優勢，所以本文的隱私保護方案在抗量子隱私保護領域具有很大的實用性.未來我們將致力于提高方案效率并且完善方案的功能.

由于當今智能生活的普及，除智能電表之外，智能水表以及智能燃氣表等設備也逐漸應用于現實生活并且取代傳統水表和燃氣表，它們同智能電表擁有相似的安全與隱私問題，未來我們的工作或將擴展到這些領域.