密码学报 ISSN 2095-7025 CN 10-1195/TN E-mail: jcr@cacrnet.org.

cn
Journal of Cryptologic Research, 2019, 6(5): 605–614 http://www.jcr.cacrnet.org.cn
©《密码学报》编辑部版权所有. Tel/Fax: +86-10-82789618

智能电网支持隐私保护的数据聚合方案*

赖启超1,2, 许 力1,2, 王 峰1,2

1. 福建师范大学 数学与信息学院, 福州 350117
2. 福建省网络安全与密码技术重点实验室, 福州 350007
通信作者: 许力, E-mail: xuli@fjnu.edu.cn

摘 要: 在智能电网中, 为了满足电力公司能够实时获得用户用电量的需求, 同时保护用户个人隐私, 本

文提出了一个基于身份信息验证的可靠数据聚合方案. 在本方案中, 用户使用同态 Okamoto -Uchiyama
加密算法对用电量进行加密和用基于用户身份信息的密钥对消息签名. 网关收到所有用户发来的用电信
息后, 会对其签名一一验证, 为了降低网关的计算量, 本方案支持批量验证, 能够将所有用户验证所需的双
线性对运算次数降低到一个常数. 最后, 控制中心可以在不知道单个用户数据的情况下获得聚合数据. 在
本方案的通信过程中, 攻击者无法获得或篡改任何用户的用电量. 同时, 本方案还具备容错功能, 使得当个
别用户的智能电表出现故障也不会影响其他用户用电信息的收集. 通过安全性分析, 我们证明了该方案具
有机密性、完整性和不可抵赖性, 并且在计算能力上较以往的方案有显著的提高.
关键词: 智能电网; 隐私保护; 批量验证; 数据聚合
中图分类号: TP309.7 文献标识码: A DOI: 10.13868/j.cnki.jcr.000326

中文引用格式: 赖启超, 许力, 王峰. 智能电网支持隐私保护的数据聚合方案[J]. 密码学报, 2019, 6(5): 605–614.

英文引用格式: LAI Q C, XU L, WANG F. Privacy-preserving data aggregation scheme for smart grid[J].
Journal of Cryptologic Research, 2019, 6(5): 605–614.

Privacy-preserving Data Aggregation Scheme for Smart Grid

LAI Qi-Chao1,2 , XU Li1,2 , WANG Feng1,2

1. College of Mathematics and Informatics, Fujian Normal University, Fuzhou 350117, China
2. Fujian Provincial Key Lab of Network Security & Cryptology, Fuzhou 350007, China
Corresponding author: XU Li, E-mail: xuli@fjnu.edu.cn

Abstract: In order to meet the power company’s requirement of getting the real-time user’s electric-
ity consumption information as well as preserve users’ privacy in smart grid, a reliable data aggregation
scheme based on the identity information verification is proposed in this study. Firstly, the homo-
morphic Okamoto -Uchiyama encryption algorithm is applied to encrypt the user’s power consumption
data and to generate signatures by using identity-based information. When the gateway receives the
signatures from users, the gateway will verify those signatures one by one sequentially. Furthermore, in
order to reduce the computational complexity on the gateway side, the proposed scheme supports batch

* 基金项目: 国家自然科学基金面上项目 (61771140); 福州市科技局科技重大项目 ([榕科 (2017)325 号]); 福建省科技厅高校

产学研项目 (2017H6005)
Foundation: General Program of National Natural Science Foundation of China (61771140); Major Program of
Fuzhou Municipal Bureau of Science and Technology [(2017)325]; Major Science and Technology Project in Fujian
Province (2017H6005)
收稿日期: 2018-12-04 定稿日期: 2019-02-17
606 Journal of Cryptologic Research 密码学报 Vol.6, No.5, Oct. 2019

verification and reduces the number of pairing operations required by all users to a constant. Finally,
the control center can obtain the aggregated data without knowing the data of each user. Moreover,
an attacker cannot get or tamper with any user’s power consumption data. Meanwhile, the proposed
scheme also has fault-tolerant ability, so that failure of reporting the measurements by a smart meter
will not affect the correctness of other users’ data. Security analysis shows that the proposed scheme
provides confidentiality, integrity and non-repudiation services, hence makes significant improvements
in computation overhead.
Key words: smart grid; privacy-preserving; batch verification; data aggregation

1 引言

智能电网 [1, 2] 已成为了 21 世纪全球能源问题的新战略, 它是将传统电网与现代信息技术融合于一体

的新型电网, 使得整个电网系统具有更好的兼容性、可控性和自愈能力等等. 而随着现代信息技术在电网
中的介入, 智能电网的网络空间安全问题面临着巨大的挑战. 例如, 2015 年 12 月 23 日, 乌克兰电网遭遇
突发停电事故 [3] , 导致乌克兰西部地区约 70 万用户停电数小时, 严重影响正常生产和秩序. 事后据调查
显示, 这是由 Black Energy(黑暗力量) 恶意软件 [3, 4] 导致的破坏性事件. 由此可见, 智能电网安全问题不
但是政府部门的关注点, 同时也更是学术领域和企业们亟待解决的问题. 而该事件的发生只是网络空间安
全问题中的冰山一角, 本文主要从智能电网中的用户隐私安全问题进行研究.
相比传统电网, 智能电网融合了数据传感与控制、信息采集和电力自动化调配等先进技术, 使电网从
发电、传输、配电和收费更加可靠和高效. 智能电网结构分布图如图 1 所示, 具体地, 在智能电网中每个用
户配有一个智能电表用以实时收集用户用电信息并定期发送给控制中心, 控制中心再对用户的用电密文解
密获得明文, 进而可以对这些数据进行数据分析. 所以, 智能电网可以通过智能电表实时收集用户用电信
息实时获得小区用户用电量, 从而更加方便地进行电力调配和电价制定等, 但是由于用户的实时用电信息
在通信过程中可能被攻击者窃取 [5, 6] , 导致用户的生活习惯等隐私信息泄露, 危及用户的安全. 因此, 能否
保证用户用电信息在通信过程中的安全性成为了智能电网能否在现实生活中推广的决定因素之一.

图 1 智能电网结构
Figure 1 Structure of a smart grid

为了解决上述的问题, 国内外目前已经提出了众多的解决方案. 总结起来, 方案主要分为两类: 匿名认

证 [7–9] 和数据聚合 [10–18] . 匿名认证方案, 即控制中心针对用户的真实身份生成并分配一个假名, 在用户
播报实时用电量时是以假名的形式与控制中心进行交互, 以此保证用户通信过程的隐私安全. 最后, 控制
中心既可以得到用户用电量, 又可以验证用电量是否来源于与之对应的用户. 在匿名认证方案中控制中心
可以收集到更加地细粒度的用户用电信息, 但是不足之处在于对电力公司来说, 管理所有用户的实时用电
信息的难度和所需的存储空间是一项极大的挑战. 而数据聚合方案恰好可以改进匿名认证方案的不足之
处, 同时也能为电力公司等部门提供数据分析的利用价值, 因此本文主要讨论数据聚合的方法. 简单来说,
赖启超 等: 智能电网支持隐私保护的数据聚合方案 607

数据聚合是特定小区的全部用户分别将实时用电信息发送到网关聚合成一个数据, 聚合后, 网关再将数据

上传给控制中心, 控制中心对收到的数据进行解密获得该小区的总用电量. 这种方式不但降低了计算代价
和通信代价, 并且满足了保护用户隐私的安全需求. 常见的数据聚合同态加密算法有 Pailler 同态加密算
法 [19] 和 2-DNF 同态加密算法 [20] . 2012 年, Lu 等人 [10] 提出的 EPPA 方案实现了多维数据聚合, 该方
案采用了 Paillier 同态加密算法, 并对数据源进行了验证, 使得数据完整性和机密性得到了保证. 2016 年
沈华等人 [21] 提出了 PPUC 方案中指出了一级网关的聚合粒度单一, 并且设计了一种更适用于实际生活
的二级网关模型和对数据源有效验证的方案. 2017 年 Ni 等人 [17] 提出的 DiPrism 方案具有对用户用电
量筛选的功能, 即控制中心首先会对用户每个时间段设置一个用电量范围, 用户在上传实时用电量的同时,
应用零知识证明了用户的实时用电量是在设定的用电范围内. 网关收到消息后会对其进行验证, 然后做进
一步筛选. 然而, 目前已有的许多聚合方案模型下有效的数据认证方案可以说微乎其微. 在用户将用电信
息发送到网关聚合的通信阶段会有潜在的攻击者注入虚假消息, 最终造成电网大面积瘫痪, 导致巨大的经
济损失, 因此在智能电网中, 网关有效地对用电量数据源认证和对用户用电量数据完整性验证是迫切需要
的.
针对上述问题, 我们设计了一个新的数据聚合和验证方案, 并在计算效率上有所改善. 首先, 本方案应
用了一种新的满足同态加密的 Okamoto -Uchiyama 加密算法, 其针对短消息加密的过程中具有速度较快
的优势, 因此更适合智能电表的应用. 其次, 设计了基于用户身份信息的数据源完整性验证方案, 即用户在
上传实时用电信息时用基于身份信息生成的密钥对消息签名, 网关收到用电信息后会对其进行验证以保证
数据的完整性, 而为了提高网关的验证效率, 本方案是满足批量验证的. 再次, 我们将用户在签名阶段所用
的私钥做一次 Hash 用作用户加密时使用的盲化因子, 使得攻击者即使得到解密密钥, 也无法解密单个用
户的用电量. 第四, 本方案针对上述使用的盲化因子, 考虑到用户在播报用电信息时一旦有用户的智能电
表出现故障无法发送消息时会使得其他用户用电信息不能正常聚合, 该方案给出了解决办法. 最后, 我们
给出了本方案的安全性分析, 证明了本方案的可行性, 并在性能分析部分从计算代价和通信代价两方面对
本方案进行了详细的分析.

2 系统模型、安全模型和设计目标

2.1 系统模型
如图 2 所示, 我们在本方案的智能电网系统模型中假设是由三个实体组成: 控制中心 (control center,
CC), 网关 (gateway, GW), 用户 (user, U), 其中一个网关和若干个用户组成一个家域网络 (home area
network, HAN). 本文主要针对一个 HAN 中所有用户的用电量进行研究, 假设在一个 HAN 中有 n 个用
户, 即 U1 , U2 , · · · , Un . 在通信过程中, 考虑到 HAN 中的各个 Ui (i = 1, 2, · · · , n) 与 GW 的距离比较小,
因此, Ui (i = 1, 2, · · · , n) 与 GW 是通过 WiFi 通信; 而 GW 与 CC 之间的距离遥远, 因此, GW 与 CC
通过有线链路或者其他具有高带宽、低延迟的链路通信. 下面给出各实体的详细描述.
控制中心 (CC): 在该系统模型中, CC 具有掌控、监管发电厂和电力分配系统的功能, 具有强大的数
据分析能力、计算能力和巨大的存储空间, 是系统的最高管理机构. 由此, 我们假定 CC 是可信的且不能
被任何攻击者入侵. 在本方案中, CC 主要职责是解密由网关发来的电力聚合密文信息. 当用户中的电表
由于出现故障而无法发送用电信息时, 也需借助 CC 使得其他用户的信息聚合不受影响. 此外, 在 CC 中
有一个受 CC 管控, 但又独立于 CC 的可信平台模块 (trusted platform module, TPM), 它主要职责是参
与系统初始化阶段的运行和密钥分发, 在此之后 TPM 几乎是处于离线状态.
网关 (GW): GW 是系统的第二级, 相对于 CC, 具有较低的计算能力, 安全级别也低, 容易受到敌手
的攻击入侵. 在通信的过程中, GW 会实时收集其管辖的 HAN 中所有用户的用电密文信息和签名. 在对
签名验证通过之后, 负责对密文进行聚合. 最后, 把聚合后的密文发送给 CC.
用户 (U): U 是系统的最下面一级, 具有双向通信能力. 在 HAN 中, 每个用户都装有一个智能电表
(smart meter, SM). 安装 SM 之前, CC 基于用户注册时提供的身份信息 (ID) 给用户生成一对签名密钥
并嵌入到 SM 中. SM 安装后, 其负责实时收集该用户的用电信息. 在通信的过程中, SM 周期性地记录用
户用电信息加密并签名, 然后将密文和签名一并发送给 GW. 需要说明的是在该系统中 SM 是可能出现故
608 Journal of Cryptologic Research 密码学报 Vol.6, No.5, Oct. 2019

图 2 系统模型
Figure 2 System model

障而导致短时间内无法正常播报用电信息的.
2.2 安全模型
安全性对于智能电网的通信交互过程是至关重要的. 在本文, 我们认为 GW 和 CC 都是可信的, 而
TPM 只是引导系统程序的开始和为系统实体生成相应的私钥和参数, 在此之后, 又是处于离线状态, 而且
受 CC 的管控, 故 TPM 是完全可信的. 但即便如此, 仍然需要考虑存在外部敌手 A 驻扎在 HAN 中对特
定用户播报用电信息给 GW 的通信过程的监听, 进而敌手 A 通过用户的用电情况获知该用户什么时间段
不在家, 然后入室盗窃. 更有甚者, 敌手 A 也会侵入 GW 或者入侵 CC 的数据库获得用户的实时用电信
息. 此外, 用户也可能会充当敌手身份发起主动攻击来破坏数据的完整性, 例如, 为了模糊自己的日常家庭
行为, 用户可能会恶意篡改通信过程的电力播报信息. 因此, 为了防止以上敌手 A 的攻击手段, 智能电网
系统需要具备以下的安全条件:
机密性: 敌手 A 不能获得任何单个用户的实时用电信息. 换句话说, 敌手 A 在用户与 GW 之间和
GW 与 CC 之间的信道窃听, 或入侵 GW, 或入侵 CC 的数据库, 均无法获得任何单个用户的实时用电信
息.
完整性和不可抵赖性: 验证一份加密的电力信息是否来源于真实的用户且在用户的传输过程中未被
篡改过. 也就是说, 如果一份电力信息在传输的过程中如果被篡改过是可以检测的. 换而言之, 只有确切无
被篡改过的消息 GW 才会接收.
2.3 设计目标
基于上述的系统模型和安全模型, 本文针对智能电网系统的设计目标提出了一种具有隐私保护的、灵
活的数据聚合、高效的数据验证方案. 具体地, 本方案达到了以下的设计目标.
安全性: 智能电网如果不能满足用户安全性要求, 那么用户的实时用电量等隐私信息将会有被泄露的
危险, 而这一关键因素将会阻碍智能电网系统在现实生活中的应用和发展. 因此毫无疑问地智能电网系统
必须满足上述的机密性、完整性和不可抵赖性.
高效性: 用户与 GW 之间、GW 与 CC 之间是通过高带宽、低延迟的信道通信, 但是如果能提高 U、
GW、CC 实体对数据的计算能力 (特别是对于要处理成千上万信息量的 GW 和 CC, 对此条件要求尤为
显著), 那么方案将能更契合智能电网系统的实时性特点.
灵活性: 智能电网系统各实体存在众多的不确定因素, 这一点对用户来说更为明显. 例如, 在特定时间
某用户由于 SM 故障未能及时播报电力信息而导致 GW 聚合失败, 因此, 设计的方案必需满足有一个容
错机制来解决该问题以提高系统的灵活性.
赖启超 等: 智能电网支持隐私保护的数据聚合方案 609

3 预备知识

3.1 双线性对
本文中使用的双线性对定义如下:
令 G 和 GT 分别为 ℓ 阶的循环加法群和循环乘法群, 其中 ℓ 为一个大素数, P 和 Q 是 G 的两个不同
元素, 如果映射 e : G × G → GT 满足以下性质, 则称为双线性对.
(1) 双线性: 对任意的 aP, bQ ∈ G, e(aP, bQ) = e(P, Q)ab ;
(2) 非退化: 对于非零元 P, 有 e(P, P ) ̸= 1GT ;
(3) 可计算: 存在有效的多项式时间算法计算 e(P, Q).
3.2 Okamoto -Uchiyama 加密系统
Okamoto -Uchiyama 加密算法 [22] 满足同态加密算法, 由 3 个算法组成, 即密钥生成算法 (key gen-
eration)、加密算法 (encryption)、解密算法 (decryption). 在给出这 3 个算法之前, 先叙述一个对数函数
的定义, 详细描述如下.
对数函数
定义 1 令 p 是一个素数, Γ 为群 (Z/pZ)∗ 的一个 Sylow-p 子群, 即
{ }
Γ = x ∈ (Z/p2 Z)∗ |x ≡ 1 mod p

对数函数 L : (Z/p2 Z)∗ 7→ Zp , 定义为 L(x) = x−1

p
. 下列结果已在文献 [22] 中证明:
(1) 对 a, b ∈ Γ, L(ab) = (L(a) + L(b)) mod p, L 是一个同构的 (这里, ab 表示 ab mod p2 且 ab ∈ Γ).
(2) 设 x ∈ Γ, L(x) ̸= 0 mod p, y = xm mod p2 对于 m ∈ Z/pZ, 有

L(x) y−1
m= = mod p
L(y) x−1

(3) 令 g 是一个本原元, 这里存在一个 r ∈ (Z/pZ)∗ , 使得 g p−1 = (1 + pr) mod p2 , 即 g p−1 ∈ Γ,

L(g ) = (1+pr)−1
p−1
p
= r mod p.
密钥生成
给定一个安全参数 κ, 选择两个大素数 p, q(|p| = |q| = κ), 令 n = pq 2 , 随机选择 g ∈ (Z/nZ)∗ , 使得
gp = g p−1 mod p2 , 其中 gp 的阶为 p, gcd(p, q − 1) = 1, gcd(p − 1, q) = 1. 令 h = g n mod n, 定义函数
L(x) = x−1
p
, 公钥为 PK = (n, g, h), 对应的私钥为 SK = (p, q).
加密
假设 m(0 < m < 2κ−1 ) 是明文. 随机选择一个 r ∈ Z/nZ, 计算 C = g m hr mod n.
解密
L(C )
计算 Cp = C p−1 mod p2 , 则 m = L(gpp) mod n.
同态性
加密系统满足加法同态, 在使用相同公钥 PK = (n, g, h) 和私钥 SK = (p, q) 的条件下, 给定明
文 m0 和 m1 以及分别对应的密文 C0 = g m0 hr0 mod n 和 C1 = g m1 hr1 mod n, 我们可以通过解密
C = C0 C1 = g m0 +m1 hr0 +r1 mod n, 得到明文 m = m0 + m1 .

4 电力信息聚合方案

4.1 系统初始化阶段
在系统初始化阶段之前, 用户向 CC 注册、请求安装 SM, 于此 CC 会收集得到每一个用户的身份信
息 ID, 并把所有用户的 ID 发送给 TPM. 系统初始化开始时, TPM 首先选择系统安全参数 κ1 和 κ2 , 运
行公钥加密参数生成算法 Gen(κ1 ) 生成 CC 的 Okamoto -Uchiyama 同态加密算法的公钥 PK = (n, g, h)
和私钥 SK = (p, q). 运行双线性对参数生成算法 Gen(κ2 ) 生成 (ℓ, G, GT , e). 选取两个 Hash 函数
610 Journal of Cryptologic Research 密码学报 Vol.6, No.5, Oct. 2019

H1 : {0, 1}∗ × G∗T → Zℓ∗ , H2 : G → Zℓ∗ . 最后, TPM 通过以下步骤为 CC、GW 和 Ui (i = 1, 2, · · · , n) 生

成并颁发相应的密钥或者参数:
Step-1: 对 HAN 中小区所有用户的 IDi (i = 1, 2, · · · , n), TPM 随机选取 G 中的一个生成元 P 和
随机选取一个 s ∈ Zℓ∗ 作为 TPM 的主密钥, 并且 s 满足 s + H2 (IDi ) ̸= 0 mod ℓ(i = 1, 2, · · · , n), 这里
QIDi = H2 (IDi ). 计算 Ppub = sP , ω = e (P, P ), 用户 Ui 的私钥 SIDi = s+Q1ID · P , 用户 Ui 的盲化因
∑ i
子 Si = H2 (SIDi ), 及 S̄ = n i=1 Si .
Step-2: TPM 公布系统参数 {n, g, h, P, Ppub , ω, H1 , H2 }, 把私钥 SK = (p, q) 和 S̄ 分别发送给 CC
和 GW, 并且通过安全信道把 SIDi 和 Si 发送给 Ui .
4.2 用户报告阶段
CC 为了收集用户的实时用电信息, 智能电表每隔 η 分钟 (例如, η = 15 分钟) 会向 GW 发送一次用
电信息 mi (i = 1, 2, · · · , n). SM 具体操作如下.
Step-1: Ui 首先随机选择一个 ri ∈ Z/nZ, 计算用电信息 mi 的密文 Ci = g mi +Si hri mod n.
Step-2: Ui 随机选择一个 ti ∈ Zℓ∗ , 计算签名 σi = (Xi , Yi ), 其中 Xi = ω ti , ui = H1 (Ci , Xi ) , Yi =
(ui + ti ) SIDi .
Step-3: Ui 将 {Ci , σi } 发送给 GW.
4.3 网关聚合阶段
GW 收到 n 个用户发来的用电信息 {Ci , σi } , i = 1, 2, · · · , n 之后. GW 检查签名 σi 是否有效, 即
?
GW 先计算 ui = H1 (Ci , Xi ), 再验证 ω ui Xi = e (Ppub + QIDi P, Yi ), 如果等式成立, 说明收到的消息有
效, 否则, 反馈给相应的用户请求重新发送. 为了验证的时效性, GW 可以执行批量验证, 即 GW 对收到
的 n 个签名先计算 ui = H1 (Ci , Xi ), 再验证
∑n ∏n ( ∑n ) ( ∑n )
?
ω i=1 Xi
· Xi = e Ppub , Yi · e P, QIDi Yi
i=1 i=1 i=1

验证通过之后, GW 对所有密文 Ci (i = 1, 2, · · · , n) 进行聚合, 具体步骤如下:

Step-1: GW 对密文 Ci (i = 1, 2, · · · , n) 进行聚合, 得到
∏n
Ci
C= i=1
= g m1 +m2 +···+mn hr1 +r2 +···+rn mod n
g S̄

Step-2: GW 将聚合后的小区用电密文信息 C 发送给 CC.

当在一次实时用电量报告中由于若干用户 Ū ⊂ U 中的 SM 出现故障而无法正常播报用电量时, 那么
GW 依次验证、聚合其余用户 Ui ∈ U /Ū 的用电信息, 具体操作如下:
Step-1: GW 对收到的用户的签名先计算 ui = H1 (Ci , Xi ), 再验证

∑ ∏ ( ∑ ) ( ∑ )
Xi ?
ω Ui ∈U /Ū
Xi = e Ppub , Yi · e P, QIDi Yi
Ui ∈U /Ū Ui ∈U /Ū Ui ∈U /Ū

Step-2: 验证通过之后, GW 对用户 Ui ∈ U /Ū 的用电密文信息进行聚合, 得到

∏ ∑
mi +Si
∑
ri
Ui ∈U /Ū Ui ∈U /Ū
C̄ = Ci = g h mod n
Ui ∈U /Ū

Step-3: GW 将 Ū 和 C̄ 发送给 CC.

4.4 数据恢复阶段
CC 收到 GW 报告之后, 执行如下操作:
Step-1: CC 对密文 C 进行 Okamoto -Uchiyama 解密得到:

L (Cp ) ∑n
Cp = C p−1 mod p2 , M= mod p = mi
L (gp ) i=1
赖启超 等: 智能电网支持隐私保护的数据聚合方案 611

如果 HAN 中有用户没有播报用电信息, 则 CC 收到网关发来的 Ū 和 C̄, 然后 CC 通过下列步骤最

终恢复出 HAN 中所有正常播报用户的聚合用电信息:
′ ∑
Step-1: CC 将所有用户 Ui ∈ U /Ū 的 ID 发送给 TPM 请求回复 S̄ = Ui ∈U /Ū Si ;
′
Step-2: CC 根据 TPM 回复的 S̄ , 计算

∑ ∑
C̄ Ui ∈U /Ū mi r
C= ′ = g h Ui ∈U /Ū i mod n
S̄

Step-3: CC 解密用电聚合密文信息 C, 解密步骤与上述所有用户都播报时的解密步骤一致.

5 安全性分析

根据文章 2.2 节提出的安全模型, 本节的安全性分析将围绕方案是否满足用户用电量的机密性、完整

性和不可抵赖性的安全要求展开.
机密性: 在本方案中, 用户发送给 GW 的实时用电量是用 Okanoto-Uchiyama 加密算法生成密文的,
由于 Okanoto-Uchiyama 加密算法在 Sylow-p 子群假设条件下是语义安全的, 故敌手 A 在不知道 CC 私
钥的情况下, 在信道上截获了用户的实时用电密文信息是无法解密的. 另外, 每个用户在数据加密前使用
了盲化因子 SIDi , 而盲化因子与加密算法是相互独立的, 因此即使敌手 A 拿到了 CC 的私钥也无法解密
每个用户的密文. 再者, GW 收到用户发来的信息之后, GW 只能对密文进行验证和聚合, 因此敌手 A 侵
入 GW 的数据库也无法获得用户的用电量. 此外, 如果敌手 A 足够强大到侵入 CC 的数据库中, 由于 CC
解密后的明文是 HAN 中所有用户的用电总量, 而这并不足以泄露单个用户的实时用电量的隐私信息.
完整性和不可抵赖性: 在本方案中, 每个用户在实时播报用电量的过程中都会基于身份信息对密文进
行签名, 由于该签名在随机预言模型中自适应选择信息和身份攻击是可以证明安全的, 因此可以保证用户
信息的完整性和不可抵赖性, 故在智能电网系统中敌手 A 的恶意行为是可以被检测出来的. 在文献 [23]
中已给出了下面定理 1, 并证明了其批量验证的安全性.
定理 1 在随机预言机模型中, 如果在自适应选择消息和身份攻击下, 一个伪造者 F (t, α, β, γ, ϵ) 中断
方案中的批量验证. 那么一定存在一个挑战者 C (t′ , ϵ′ ) 具有解决广义 k-CAA 的能力. 这里 t = t′ , γ ≤
γ
α, k = γ, ϵ′ = (l−γ)γ
lαγ
· ϵ.

6 性能分析

本节将从方案中各实体的计算代价和实体之间的通信代价两方面进行性能分析.
6.1 计算代价
在本方案中, 当一个用户 Ui 生成密文信息 Ci 和 σi 时, 需要 2 次 Zn 上的指数运算, 1 次 Zn 上的
乘法运算, 1 次 G 上的数乘运算和 1 次 GT 上的指数运算. GW 对来自 n 个用户的用电信息验证和聚合
需要 2n − 2 次 Zn 上的乘法运算, 2 次双线性对运算, 1 次 GT 上的指数运算, n 次 GT 上的乘法运算和
n − 1 次 G 上的数乘运算. 最后, CC 解密时只需一次 Okamoto -Uchiyama 解密运算. 为了方便说明, 方
案中网关 GW 的主要计算开销如表 1 所示.
表 1 网关计算开销对比
Table 1 Computation overhead comparison of gateway

方案 计算代价
[17]
DiPrism 方案 eGT + nmGT + 2Cp + (n − 1)Cs

[21]
PPUC 方案 (2n + 2)eGT + (6n − 7)mGT + (n + 4)Cp

本方案 (n + 2)Cp + (n − 2)Cs

612 Journal of Cryptologic Research 密码学报 Vol.6, No.5, Oct. 2019

其中, G 上的数乘运算, GT 上的指数运算, GT 上的乘法运算, 双线性对运算符号分别表示为 Cs , eGT ,

mGT , Cp . 在这里, 需要说明的是 Zn 上的乘法相对于 GT 的指数运算、双线性对运算我们是忽略不计的.
根据文献 [23], 上述的四种运算时间开销如表 2 所示.
表 2 各运算时间开销
Table 2 Time cost of operations

运算 Cs eGT mG T Cp

时间开销 (ms) 3.13 0.03 6.83 47.4

由表 2 和表 3, 我们绘制了网关计算开销的对比图, 详见图 3. 通过对比, 本方案的 GW 在计算性能上

明显比 DiPrism 方案和 PPUC 方案有显著优势.

图 3 网关计算开销比较
Figure 3 Computation overhead comparison of gateway

最后, 我们将本方案与 DiPrism 方案和 PPUC 方案的一些性能进行比较, 详见表 3. 结合图 3 和表

3 的对比结果我们做如下分析: 本方案的性能与 PPUC 方案一样, 但是在计算开销上却远比 PPUC 方案
少. 因此, 相比 PPUC 方案, 本方案具有计算优势. 而相比 DiPrism 方案, 本方案具有 DiPrism 方案中不
具备的数据完整性, 这一性能保证了用户用电量在传输的过程中不会被篡改. 相比差分隐私, 用户数据的
完整性更为重要, 因为在一个成千上万用户数量的 HAN 中, 用户在不同日期的同一时间段内 (例如, 不同
日期的相同 8:00–8:15 时间段) 几乎不可能做到用电习惯都一样, 从而敌手很难做到差分隐私攻击获取用
户实时用电信息, 而用电量范围筛选虽然在一定程度上防止恶意用户或敌手向数据传输过程中注入错误信
息, 但是要求 GW 付出巨大的计算代价, 因此, 本方案相比 DiPrism 方案具有明显的优势.
表 3 性能比较
Table 3 Performance comparison

对比项 DiPrism 方案 PPUC 方案 本方案

隐私保护 ✓ ✓ ✓

完整性 × ✓ ✓

容错性 ✓ ✓ ✓

差分隐私 ✓ × ×

不可抵赖 ✓ ✓ ✓

6.2 通信代价
从用户到控制中心的传送实时用电信息过程中, 首先, 用户需要向 GW 传送 {Ci , σi }. 其次, GW 向
CC 传送 HAN 中所有用户聚合后的实时用电量. 假设在本方案的加密系统参数 p 和 q 都是 512-bit, G
赖启超 等: 智能电网支持隐私保护的数据聚合方案 613

和 GT 为 160-bit 椭圆曲线上的群, 那么用户发送给 CC 的信息长度为 1856-bit, 则在 HAN 中所有用户

发送给 GW 的总通信开销为 1856n-bit. 因此, 通过对比, 在通信代价上我们的方案仍比 PPUC 方案好.

7 总结

本文实现了在智能电网中用户隐私安全保护的数据聚合, 本方案中应用了同态加密、盲化因子等技术
以实现用户隐私的机密性. 此外, 本方案还具有容错功能, 同时还采用了基于身份的批量验证技术, 保证了
用户用电量的完整性和不可伪造性. 最后, 安全性分析证明了本方案的可行性, 并且性能分析的比较结果
显示, 本方案较其他方案提高了计算效率, 具有一定的实用性.

References
[1] MOSLEHI K, KUMAR R. A reliability perspective of the smart grid[J]. IEEE Transactions on Smart Grid, 2010,
1(1): 57–64. [DOI: 10.1109/TSG.2010.2046346]
[2] LI F X, QIAO W, SUN H B, et al. Smart transmission grid: Vision and framework[J]. IEEE Transactions on
Smart Grid, 2010, 1(2): 168–177. [DOI: 10.1109/TSG.2010.2053726]
[3] LIU G S, ZHANG S Q. Analysis of smart grid information security threats and countermeasures[J]. Microcomputer
& Its Applications, 2017, 36(5): 8–10. [DOI: 10.19358 /j.issn.1674-7720.2017.05.003]
刘广生, 张松清. 智能电网信息安全威胁及对策分析 [J]. 微型机与应用, 2017, 36(469(05)): 8–10. [DOI: 10.19358
/j.issn.1674-7720.2017.05.003]
[4] LI Z W, TONG W M, JIN X J. Construction of cyber security defense hierarchy and cyber security testing system
of smart grid: Thinking and enlightement for network attack events to national power grid of Ukraine and Israel[J].
Automation of Electric Power System, 2016, 40(8): 147–151. [DOI: 10.7500/AEPS20160215101]
李中伟, 佟为明, 金显吉. 智能电网信息安全防御体系与信息安全测试系统构建乌克兰和以色列国家电网遭受网络攻击事
件的思考与启示 [J]. 电力系统自动化, 2016, 40(8): 147–151. [DOI: 10.7500/AEPS20160215101]
[5] FANG H, XU L, WANG X B. Coordinated multiple-relays based physical-layer security improvement: A single-
leader multiple-followers Stackelberg game scheme[J]. IEEE Transactions on Information Forensics & Security,
2017, 13(1): 197–209. [DOI: 10.1109/TIFS.2017.2746001]
[6] FANG H, XU L, ZOU Y L, et al. Three-stage Stackelberg game for defending against full-duplex active eaves-
dropping attacks in cooperative communication[J]. IEEE Transactions on Vehicular Technology, 2018, 67(11):
10788–10799. [DOI: 10.1109/TVT.2018.2868900]
[7] DIAO F, ZHANG F G. Full privacy preserving smart metering system[J]. Journal of Cryptologic Research, 2014,
1(4): 400–409. [DOI: 10.13868/j.cnki.jcr.000038]
刁凤, 张方国. 智能电表的完整隐私保护系统 [J]. 密码学报, 2014, 1(4): 400–409. [DOI: 10.13868/j.cnki.jcr.000038]
[8] DIAO F, ZHANG F G, CHENG X G. A privacy-preserving smart metering scheme using linkable anonymous
credential[J]. IEEE Transactions on Smart Grid, 2017, 6(1): 461–467. [DOI: 10.1109/TSG.2014.2358225]
[9] TSAI J L, LO N W. Secure anonymous key distribution scheme for smart grid[J]. IEEE Transactions on Smart
Grid, 2016, 7(2): 906–914. [DOI: 10.1109/TSG.2015.2440658]
[10] LU R X, LIANG X H, LI X, et al. EPPA: An efficient and privacy-preserving aggregation scheme for secure smart
grid communications[J]. IEEE Transactions on Parallel and Distributed Systems, 2012, 23(9): 1621–1631. [DOI:
10.1109/TPDS.2012.86]
[11] DONG X L, ZHOU J, ALHARBI K, et al. An ElGamal-based efficient and privacy-preserving data aggregation
scheme for smart grid[C]. In: Proceedings of 2014 IEEE Global Communications Conference. IEEE, 2014: 4720–
4725. [DOI: 10.1109/GLOCOM.2014.7037553]
[12] JIA W W, ZHU H J, CAO Z F, et al. Human-factor-aware privacy-preserving aggregation in smart grid[J]. IEEE
Systems Journal, 2017, 8(2): 598–607. [DOI: 10.1109/JSYST.2013.2260937]
[13] CHEN L, LU R X, CAO Z F, et al. MuDA: Multifunctional data aggregation in privacy-preserving smart grid
communications[J]. Peer-to-Peer Networking and Applications, 2015, 8(5): 777–792. [DOI: 10.1007/s12083-014-
0292-0]
[14] CHEN L, LU R X, CAO Z F. PDAFT: A privacy-preserving data aggregation scheme with fault tolerance for smart
grid communications[J]. Peer-to-Peer Networking and Applications, 2015, 8(6): 1122–1132. [DOI: 10.1007/s12083-
014-0255-5]
[15] BAO H Y, LU R X. A new differentially private data aggregation with fault tolerance for smart grid communica-
tions[J]. IEEE Internet of Things Journal, 2017, 2(3): 248–258. [DOI: 10.1109/JIOT.2015.2412552]
614 Journal of Cryptologic Research 密码学报 Vol.6, No.5, Oct. 2019

[16] ABDALLAH A, SHEN X M. A lightweight Lattice-based homomorphic privacy-preserving data aggregation

scheme for smart grid[J]. IEEE Transactions on Smart Grid, 2017, 9(1): 396–405. [DOI: 10.1109/TSG.2016.
2553647]
[17] NI J B, ZHANG K, ALHARBI K, et al. Differentially private smart metering with fault tolerance and range-based
filtering[J]. IEEE Transactions on Smart Grid, 2017, 8(5): 2483–2493. [DOI: 10.1109/TSG.2017.2673843]
[18] LI S H, XUE K P, YANG Q Y, et al. PPMA: Privacy-preserving multi-subset aggregation in smart grid[J]. IEEE
Transactions on Industrial Informatics, 2017, 14(2): 462–472. [DOI: 10.1109/TII.2017.2721542]
[19] PAILLIER P. Public-key cryptosystems based on composite degree residuosity classes[J]. In: Advances in
Cryptology—EUROCRYPT’99. Springer Berlin Heidelberg, 1999: 223–238. [DOI: 10.1007/3-540-48910-X_16]
[20] BONEH D, GOH E J, NISSIM K. Evaluating 2-DNF formulas on ciphertexts[C]. In: Theory of Cryptography—
TCC 2005. Springer Berlin Heidelberg, 2005: 325–341. [DOI: 10.1007/978-3-540-30576-7_18]
[21] SHEN H, ZHANG M W. A privacy-preserving multilevel users’ electricity consumption aggregation and control
scheme in smart grids[J]. Journal of Cryptologic Research, 2016, 3(2): 171–191. [DOI: 10.13868/j.cnki.jcr.000119]
沈华, 张明武. 一种隐私保护的智能电网多级用户电量聚合控制方案 [J]. 密码学报, 2016, 3(2): 171-191.
[22] OKAMOTO T, UCHIYAMA S. A new public-key cryptosystem as secure as factoring[C]. In: Advances in
Cryptology—EUROCRYPT’98. Springer Berlin Heidelberg, 1998: 308–318. [DOI: 10.1007/BFb0054135]
[23] CUI S, DUAN P, CHAN C W. An efficient identity-based signature scheme with batch verifications[C].
In: Proceedings of International Conference on Scalable Information Systems. ACM, 2006: 22. [DOI:
10.1145/1146847.1146869]

作者信息

赖启超 (1993–), 福建泉州人, 许力 (1970–), 福建福州人, 博

硕士研究生. 主要研究领域为 士, 教授, 博导. 主要研究领域
网络与信息安全. 包括网络与信息安全、无线网
qichaolai789@163.com 络与通信、云计算与物联网、图
论及其应用、智能信息处理.
xuli@fjnu.edu.cn

王峰 (1978–), 博士研究生. 主
要研究领域为网络与信息安全.
w.h.feng@163.com