CN105577356A - 基于对用户隐私保护的智能电网中数据收集方法 - Google Patents

Abstract

本发明公开了一种基于对用户隐私保护的智能电网中数据收集方法，包括如下步骤：第一步，系统初始化；第二步，智能电表将用户的多类用电信息发送给本地聚合器；第三步，智能电表为用户信息进行签名并发送给本地聚合器；第四步，本地聚合器确定用户消息及签名；第五步，本地聚合器对签名进行批量验证；第六步，本地聚合器对所有用户总用电信息进行聚合；第七步，本地聚合器查找无效签名；第八步，处理电表故障情况；第九步，处理用户加入及退出情况。本发明的方法实现了对多类用电信息的收集，不但能抵抗外部攻击者，还能抵抗内部攻击者，并且实现信息的不可伪造性，从而保护用户用电量情况的隐私。

Description

基于对用户隐私保护的智能电网中数据收集方法

技术领域

本发明涉及通信技术领域，更进一步涉及密码技术领域和数据处理技术领域，尤其是基于对用户隐私保护的智能电网中数据收集。本发明可用于统计智能电网中用户的各类用电信息，并且实现对不可信本地聚合器的匿名性以及实现对消息的不可伪造性，从而保护用户用电量情况的隐私。

背景技术

随着智能电网技术的不断发展，其重要性得到越来越多地显现。和传统的中心式单向传输电网相比，智能电网具有信息分散式特性和双向传输特性，旨在提供可靠的，有效的，稳定的和安全的服务。在智能电网中，每个用户都会配备一个智能电表，一方面，控制中心在调整电价及调配电力时需要收集所有用户的用电情况，而另一方面，不可信本地聚合器不能知道用户的相关用电信息，因为这在一定程度上可能会泄露用户的行为习惯，比如，用电的多少在很大的程度上可以说明用户是否在家。因此，保护用户的数据隐私并同时允许本地聚合器收集所有用户的总用电信息是智能电网中目前的两大重要任务。

为了解决这两大任务，Paillier同态加密系统被用在许多相关研究中，Paillier同态加密系统是一种加密算法，它可以直接对密文进行操作，而不需要知道相应的明文。所以应用在智能电网中就是，本地聚合器对所有用户的密文直接进行聚合操作得到一个秘密值，然后对秘密值进行一次解密获得总的用电信息而不需要解密每个用户的密文。截止到目前为止，已经有许多研究都用到了这项技术，但是绝大部分的研究只是针对一种信息的聚合操作，这样存在的缺点就是单一性，因为用户的用电信息可能不只有用电量这一种，比如用电时间，每小时用电量等，如果要收集多种信息，那么大部分现有的研究是无法满足这种需求的。RongxingLu等在其论文“EPPA:Anefficientandprivacy-preservingaggregationschemeforsecuresmartgridcommunications”(IEEETransactionsonParallelandDistributionSystems,vol.23,no.9,pp.1621-1631,2012)中提出了多种信息的情况，具体内容是依靠一组向量将多种信息不失独立性地合并为一种信息，不失独立性是指最终解密得到的是每一种信息的总和，即实现了对多种信息中的每一种信息的收集。但是这篇论文存在两个缺点，一个是他们的方案不能抵抗内部攻击，也就是说一旦操作中心被恶意攻击者入侵，那么用户的信息就会泄露；另一个是虽然他们的方案应用了批量验证，但批量验证消耗的时间关于用户数量成正比，也就是说计算量仍然很大。为了解决内部攻击问题，Chun-IFan等在其论文“Privacy-enhanceddataaggregationschemeagainstinternalattackersinsmartgrid”(IEEETransactionsonIndustrialInformatics，vol.10,no.1,pp.666-675,2014)中提出了一个可以抵抗内部攻击的方案，他们应用了盲因子技术来实现这个要求，具体做法为，每个用户和本地聚合器都拥有一个随机数作为盲因子，并且满足本地聚合器的盲因子和用户的盲因子的和为0，本地聚合器利用这个特点就可正确收集用户的信息，用户在密文中加入盲因子，这样即使内部被攻击者攻破，那么不知道盲因子就依然无法得到用户的信息。但是这种应用盲因子技术的方案一般都有一个共同的缺点，即不具有容错性，具体是指一旦有用户的电表出故障无法工作，那么用户的盲因子和本地聚合器的盲因子的和就不是0，就无法恢复出总的电量信息。LeChen等在其论文“PDAFT:Aprivacy-preservingdataaggregationschemewithfaulttoleranceforsmartgridcommunications”(Peer-to-PeerNetworkApplication,vol.8,no.6,pp.1122-1132,2015)中提出了一个具有容错功能的方案，他们的方案将同态加密与秘密共享相结合，由可信中心分发盲因子，一旦有用户电表故障，那么依靠可信中心的帮助，聚合操作就可以正常进行。但是他们的方案存在的缺点就是，他们的方案没有消息认证过程，不具有不可伪造性，即攻击者可能会伪装成合法用户发送错误信息而不被发现。

发明内容

本发明的目的在于克服上述已有技术存在的不足，针对智能电网中用户的多类用电数据，提出一种基于对用户隐私保护的智能电网中数据收集方法，由可信机构，本地聚合器和智能电表共同完成。可信机构隶属于独立的电力系统运营商，负责为本地聚合器和智能电表分发盲因子，智能电表计算用户相应的加密信息和签名并发送给上一级处理器，即本地聚合器，由本地聚合器对签名进行验证并实现数据收集。本发明实现了在对多类用电数据收集过程中，不但能够保护用户隐私，而且能够快速查找无效签名，处理电表故障情况，解决动态用户情况，很好地提高了电网系统的稳定性。

为实现上述目的，本发明的具体步骤如下：

(1)系统初始化

(1a)本地聚合器根据Paillier加密系统生成加密需要的公钥和对应私钥，选择两个大素数p₁,q₁，p₁和q₁的长度满足|p₁|＝|q₁|，计算两个大素数的乘积N＝p₁q₁，还有p₁-1和q₁-1的最小公倍数λ＝lcm(p₁-1,q₁-1)，定义一个关于u函数然后从模N²整数环中选择一个生成元计算公钥为N和g₀，私钥为λ和μ；

(1b)本地聚合器为用户用电信息的每一类计算一个相应的底数其中l表示信息类型数目，随机数a_i为随机选取的整数，g₀为步骤(1a)中的公钥的一部分；

(1c)可信机构根据双线性对生成系统参数，同时选择三个安全的哈希函数H₁,H₂,H₃；

(1d)可信机构为每个用户选择一个随机数作为盲因子，然后计算所有用户的盲因子的和的负数作为本地聚合器的盲因子，并分别发送给用户和本地聚合器；

(1e)每个用户从模q整数群中选择一个随机数x作为私钥，计算Y＝g^x作为公钥，其中x为步骤(1c)系统参数的一部分；

(2)用户报告

每个用户的智能电表将用户信息以每小时为周期报告给本地聚合器，用户U_i的用电信息表示为d_i1,d_i2,…,d_il，其中l指信息类型数目，智能电表对d_i1,d_i2,…,d_il进行Paillier加密，即 ${\mathrm{CT}}_i=g_1^{d_{i1}}\·g_2^{d_{i2}}\mathrm{.....}{g}_l^{d_{il}}{\left(H_2\left(t\right)\right)}^{{\mathrm{\π}}_i}\mathrm{mod}{N}^2;$

(3)消息签名

用户U_i利用步骤(2)中计算的密文CT_i和步骤(1c)中的哈希函数H₁和H₃计算W＝H₁(t)和h_i＝H₃(CT_i)，然后计算其中x_i为用户私钥，用户U_i关于密文CT_i的签名就是V_i，即σ_i＝V_i；

(4)数据确认阶段

(4a)本地聚合器在收到所有用户的密文和签名后，首先要检查密文和签名是否一一对应，即是否每个用户都只发送了一个密文和一个签名，如果不是，就反馈给相应用户，请求重新发送密文或明文；

(4b)如果发现某个用户既没有发送密文也没有发送签名，说明智能电表出现故障；创建一个列表用来记录出现故障的电表，将列表记为并忽略步骤(6)-(7)，直接执行步骤(8)；

(5)签名验证

本地聚合器采用批量验证技术验证签名的有效性，本地聚合器从模q整数群中选择n个随机数δ_i,i＝1,2,…,n，验证如下等式是否成立其中e为步骤(1c)中系统参数的一部分，如果等式成立，说明所有用户的签名都是合法有效的；反之，说明至少有一个用户的签名是无效的，利用步骤(7)中的快速查找算法查找出错误的签名，然后把错误签名反馈给对应的用户，请求重新给出签名；

(6)数据恢复

如果签名验证通过，本地聚合器调用Paillier解密算法和数据恢复算法实现对所有用户用电信息的收集，本地聚合器计算总聚合值然后对总聚合值V进行Paillier解密，即计算L(V^λmodN²)·μmodN，其解密的计算结果记为M，即 $M=a_1{\Σ}_{i=1}^n{d}_{i1}+a_2{\Σ}_{i=1}^n{d}_{i2}+...+a_l{\Σ}_{i=1}^n{d}_{il},$ 并对M调用数据恢复算法，输入a₁,a₂,…,a_l和M，执行如下步骤：

第一步将M值赋给X_l；

第二步从j＝l到j＝2执行l-1次递减循环，即对于每个j计算X_j-1＝X_jmoda_j和 $D_j=\frac{X_j-X_{j-1}}{a_j}=\underset{i=1}{\overset{n}{\Σ}}{d}_{ij};$

第三步令D₁＝X₁,输出D₁,D₂,…,D_l；

将数据恢复算法的输出D₁,D₂,…,D_l作为最终输出，D₁,D₂,…,D_l就是所有用户各类数据的收集结果；

(7)查找错误签名

如果步骤(5)的批量验证不通过，采用快速查找算法查找出批量验证中的无效签名，以步骤(5)中的签名验证为例，即将这个式子变形为 $1=e(g^{-1},{\mathrm{\&sigma;}}_i^{-1})e(W,Y_i^{h_i}),$ 并且令P＝g^-1，R＝W， $B_k={\mathrm{\&sigma;}}_i^{-1},D_k=Y_i^{h_i},$ 即1＝e(B_k,P)e(D_k,R)，第三步中提到的关于x₁,x₂,…,x_w的基本对称多项式指，w个变量x₁,x₂,…,x_w一共有w+1个基本对称多项式，用e_k(X₁,…,X_w)表示第k个基本多项式，e₀(X₁,X₂,…,X_w)＝1，e₁(X₁,X₂,…,X_w)＝∑_1≤j≤wX_j，e₂(X₁,X₂,…,X_w)＝∑_1≤j<k≤wX_jX_k， $e_k(X_1,X_2,...,X_w)=\underset{1\&le;j_1<j_2<...<j_k\&le;w}{\&Sigma;}{X}_{j_1}...X_{j_k},$ 执行如下步骤：

第一步从1～n遍历i，即1≤i≤n，查找是否有符合条件的i使得其中α₀＝e(B_k,P)e(D_k,R)，如果存在i，输出第i个签名是无效的并退出算法，如果不存在i，则至少存在两个无效签名，进行下一步；

第二步从1～n遍历i,j，即1≤i≤n,1≤j≤n且i<j，使得其中 ${\mathrm{\&alpha;}}_2=e\left({\&Pi;}_{k=1}^{n}k\right({\mathrm{kB}}_k),P)e\left({\&Pi;}_{k=1}^{n}k\right({\mathrm{kD}}_k),R),$ 如果存在i和j，则输出第i个和第j个签名是无效的并退出算法，如果不存在i和j，则至少有三个签名无效，赋值w←3，然后进行下一步；

第三步从1～n遍历x₁,x₂,…,x_w，即1≤x₁≤n,…,1≤x_w≤n且x₁<x₂<…<x_w，检查是否存在x₁,x₂,…,x_w满足其中 ${\mathrm{\&alpha;}}_w=e\left({\&Pi;}_{k=1}^n\right(k^{w-1}{B}_k),P)e\left({\&Pi;}_{k=1}^{n}k\right(k^{w-1}{D}_k),R),$ p_t是指关于x₁,x₂,…,x_w的第t个基本对称多项式，如果满足，输出x₁至x_w个签名是无效的并退出算法；如果不满足，说明至少有w+1个签名无效，令w←w+1，并且重复第三步；

(8)处理电表故障

(8a)本地聚合器将步骤(4b)中的列表发送给可信机构；

(8b)可信机构查找列表中用户的盲因子，然后计算并将返回给本地聚合器；

(8c)本地聚合器利用步骤(8b)中的计算总聚合值其中表示无故障用户，然后调用步骤(6)的Paillier解密算法和数据恢复算法，最后得到D₁′,D₂′,…,D_l′，则D₁′,D₂′,…,D_l′就是无故障用户各类数据的收集结果，其中

(9)动态用户

(9a)当有用户加入的时候，设新加入用户组成的集合为U_a，可信机构为新加入的用户各选择一个随机数作为盲因子，并发送给新用户，然后重新计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作；

(9b)当有用户退出的时候，设退出用户组成的集合为U_b，可信机构直接计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作。

本发明与现有技术相比具有以下优点：

第一，本发明关于用户的用电信息不拘泥于一类，而是允许用户的智能电表可以储存多类信息，并实现对这多类信息的每一类分别收集，这在实际生活将具有更大的实用性。

第二，本发明可以实现消息认证，并且将改良后的批量验证应用于发明中，前者可以实现消息的不可伪造性，后者大大提高了签名验证的效率，减少了验证时间。

第三，本发明可以快速查找无效签名，当批量验证不能通过的时候，本方案可以通过快速查找算法，快速找到无效签名，返回给相应用户。

第四，本发明具有容错功能，即使某些用户的智能电表出故障，也不会影响其他用户的用电信息的收集和获得，即聚合过程不会受到影响。

第五，本发明可以抵抗外部攻击者，本方案应用Paillier同态加密系统对用户的多类用电信息进行加密，这样即使有恶意攻击者截获了用户的密文，那么在不知道相关密钥的前提下，攻击者能够破获用户的信息的概率几乎为零。

第六，本发明可以抵抗内部攻击者，即使本地聚合器被恶意攻击者入侵，由于每个用户将盲因子加入自己的密文中，所以攻击者在不知道用户的盲因子的前提下，能够破获用户的信息的概率几乎为零。

附图说明

图1为本发明可信机构、本地聚合器、智能电表的关系图；

图2为本发明的流程图。

具体实施方式

下面结合附图对本发明做进一步的描述。

参照附图1，本发明所涉及到的可信机构、本地聚合器、智能电表的关系与功能如下：

本发明所涉及到的智能电网中数据传输采用分级结构，智能电表是最低级的处理器，其上一级处理器为本地聚合器。可信机构与智能电表、本地聚合器构成的分级结构相对独立。

可信机构隶属于独立的电力系统运营商，为本地聚合器和智能电表分发盲因子，智能电表计算用户相应的加密信息和签名并发送给上一级处理器，即本地聚合器，由本地聚合器对签名进行验证并实现数据收集。

参照附图2，本发明的具体步骤如下：

步骤1，系统初始化

(1a)本地聚合器根据Paillier加密系统生成加密需要的公钥和对应私钥，选择两个大素数p₁,q₁，p₁和q₁的长度满足|p₁|＝|q₁|，计算两个大素数的乘积N＝p₁q₁，计算p₁-1和q₁-1的最小公倍数λ＝lcm(p₁-1,q₁-1)，定义一个关于u的函数然后从模N²整数环中选择一个生成元计算公钥为N和g₀，私钥为λ和μ；

(1b)本地聚合器为用户用电信息的每一类计算一个相应的底数其中l表示信息类型数目，随机数a_i为随机选取的整数，g₀为步骤(1a)中公钥的一部分；

(1c)可信机构根据双线性对生成系统参数，是两个有相同阶q的乘法循环群，群和之间存在一个线性映射然后从群中随机选择一个生成元系统参数为同时选择三个安全的哈希函数H₁,H₂,H₃，定义如下：

(1d)可信机构从模N整数群中选择一个随机数π_i作为用户的盲因子，并利用用户的盲因子计算本地聚合器的盲因子，即π₀＝-(π₁,π₂,…,π_n)modN，并分别发送给用户和本地聚合器，盲因子用于用户数据加密环节，用来抵抗内部攻击者的信息截获；

(1e)每个用户从模q整数群中选择一个随机数x作为私钥，计算Y＝g^x作为公钥，其中x为步骤(1c)系统参数的一部分；

步骤2，用户报告

用户的智能电表将用户信息以每小时为周期报告给本地聚合器，用户U_i的用电信息表示为d_i1,d_i2,…,d_il，其中l指信息类型数目，智能电表对d_i1,d_i2,…,d_il进行Paillier加密，即 ${\mathrm{CT}}_i=g_1^{d_{i1}}\&CenterDot;g_2^{d_{i2}}...\&CenterDot;\&CenterDot;g_l^{d_{il}}{\left(H_2\right(t\left)\right)}^{{\mathrm{\&pi;}}_i}\mathrm{mod}{N}^2;$

步骤3，消息签名

用户U_i利用步骤(2)中计算的密文CT_i和步骤(1c)中的哈希函数H₁和H₃计算W＝H₁(t)和h_i＝H₃(CT_i)，然后计算其中x_i为用户私钥，用户U_i关于密文CT_i的签名就是V_i，即σ_i＝V_i；

步骤4，数据确认

(4a)本地聚合器在收到所有用户的密文和签名后，检查密文和签名是否一一对应，即是否每个用户都只发送了一个密文和一个签名，如果不是，则反馈给相应用户，请求重新发送密文或明文；

(4b)如果发现某个用户既没有发送密文也没有发送签名，表明智能电表出现故障，创建一个列表用来记录出现故障的电表，将列表记为并忽略步骤(6)-(7)，直接执行步骤(8)；

步骤5，签名验证

本地聚合器采用批量验证技术验证签名的有效性，本地聚合器从模q整数群中选择n个随机数δ_i,i＝1,2,…,n，验证如下等式是否成立其中e为步骤(1c)中系统参数的一部分，如果等式成立，说明所有用户的签名都是合法有效的；反之，说明至少有一个用户的签名是无效的，利用步骤(7)中的快速查找算法查找出错误的签名，然后把错误签名反馈给对应的用户，请求重新签名；

步骤6，数据恢复

如果签名验证通过，本地聚合器调用Paillier解密算法和数据恢复算法实现对所有用户用电信息的收集，本地聚合器计算总聚合值然后对总聚合值V进行Paillier解密，即计算L(V^λmodN²)·μmodN，其解密的计算结果记为M，即 $M=a_1{\&Sigma;}_{i=1}^n{d}_{i1}+a_2{\&Sigma;}_{i=1}^n{d}_{i2}+...+a_l{\&Sigma;}_{i=1}^n{d}_{il},$ 并对M调用数据恢复算法，输入a₁,a₂,…,a_l和M，执行如下步骤：

第一步将M值赋给X_l；

第二步从j＝l到j＝2执行l-1次递减循环，即对于每个j计算X_j-1＝X_jmoda_j和 $D_j=\frac{X_j-X_{j-1}}{a_j}=\underset{i=1}{\overset{n}{\&Sigma;}}{d}_{ij};$

第三步令D₁＝X₁,输出D₁,D₂,…,D_l；

将数据恢复算法的输出D₁,D₂,…,D_l作为最终输出，D₁,D₂,…,D_l就是所有用户多类数据的收集结果；

步骤7，查找错误签名

如果步骤(5)的批量验证不通过，采用快速查找算法查找出批量验证中的无效签名，以步骤(5)中的签名验证为例，即将这个式子变形为 $1=e(g^{-1},{\mathrm{\&sigma;}}_i^{-1})e(W,Y_i^{h_i}),$ 并且令P＝g^-1，R＝W， $B_k={\mathrm{\&sigma;}}_i^{-1},D_k=Y_i^{h_i},$ 即1＝e(B_k,P)e(D_k,R)，第三步中提到的关于x₁,x₂,…,x_w的基本对称多项式指，w个变量x₁,x₂,…,x_w一共有w+1个基本对称多项式，用e_k(X₁,…,X_w)表示第k个基本多项式，e₀(X₁,X₂,…,X_w)＝1，e₁(X₁,X₂,…,X_w)＝∑_1≤j≤wX_j，e₂(X₁,X₂,…,X_w)＝∑_1≤j<k≤wX_jX_k， $e_k(X_1,X_2,...,X_w)=\underset{1\&le;j_1<j_2<...<j_k\&le;w}{\&Sigma;}{X}_{j_1}...X_{j_k},$ 执行如下步骤：

第一步从1～n遍历i，即1≤i≤n，查找是否有符合条件的i使得其中α₀＝e(B_k,P)e(D_k,R)，如果存在i，输出第i个签名是无效的并退出算法；如果不存在i，则至少存在两个无效签名，进行下一步；

第二步从1～n遍历i,j，即1≤i≤n,1≤j≤n且i<j，使得其中 ${\mathrm{\&alpha;}}_2=e\left({\&Pi;}_{k=1}^{n}k\right({\mathrm{kB}}_k),P)e\left({\&Pi;}_{k=1}^{n}k\right({\mathrm{kD}}_k),R),$ 如果存在i和j，则输出第i个和第j个签名是无效的并退出算法；如果不存在i和j，则至少有三个签名无效，赋值w←3，然后进行下一步；

第三步从1～n遍历x₁,x₂,…,x_w，即1≤x₁≤n,…,1≤x_w≤n且x₁<x₂<…<x_w，检查是否存在x₁,x₂,…,x_w满足其中 ${\mathrm{\&alpha;}}_w=e\left({\&Pi;}_{k=1}^{n}k\right(k^{w-1}{B}_k),P)e\left({\&Pi;}_{k=1}^{n}k\right(k^{w-1}{D}_k),R),$ p_t是指关于x₁,x₂,…,x_w的第t个基本对称多项式，如果满足，输出x₁至x_w个签名是无效的并退出算法；如果不满足，说明至少有w+1个签名无效，令w←w+1，并且重复第三步；

步骤8，处理电表故障

(8a)本地聚合器将步骤(4b)中的列表发送给可信机构；

(8b)可信机构查找列表中用户的盲因子，然后计算并将返回给本地聚合器；

(8c)本地聚合器利用步骤(8b)中的值计算总聚合值其中表示无故障用户，然后调用步骤(6)的Paillier解密算法和数据恢复算法，最后得到D₁′,D₂′,…,D_l′，则D₁′,D₂′,…,D_l′就是无故障用户各类数据的收集结果，其中

步骤9，动态用户

(9a)当有用户加入的时候，设新加入用户组成的集合为U_a，可信机构为新加入的用户各选择一个随机数作为盲因子，并发送给新用户，然后重新计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作；

(9b)当有用户退出的时候，设退出用户组成的集合为U_b，可信机构直接计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作。

Claims (3)

1.一种基于对用户隐私保护的智能电网中数据收集方法，该方法应用在由可信机构，本地聚合器和智能电表组成的电网系统中，可信机构隶属于独立的电力系统运营商，为本地聚合器和智能电表分发盲因子，智能电表计算用户相应的加密信息和签名并发送给上一级处理器，即本地聚合器，由本地聚合器对签名进行验证并实现数据收集，其特征在于，本方法由以下步骤组成：

(1)系统初始化

(1a)本地聚合器根据Paillier加密系统生成加密需要的公钥和对应私钥，选择两个大素数p₁,q₁，p₁和q₁的长度满足|p₁|＝|q₁|，计算两个大素数的乘积N＝p₁q₁，计算p₁-1和q₁-1的最小公倍数λ＝lcm(p₁-1,q₁-1)，定义一个关于u的函数从模N²整数环中选择一个生成元计算 $\mathrm{\&mu;}={\left(L\right(g_0^{\mathrm{\&lambda;}}\mathrm{mod}{N}^2\left)\right)}^{-1}\mathrm{mod}N,$ 公钥为N和g₀，私钥为λ和μ；

(1b)本地聚合器为用户用电信息的每一类计算一个相应的底数i＝1,2,…,l，其中l表示信息类型数目，随机数a_i为随机选取的整数，g₀为步骤(1a)中的公钥的一部分；

(1c)可信机构依据双线性对生成系统参数，同时选择三个安全的哈希函数H₁,H₂,H₃；

(1d)可信机构为每个用户选择一个随机数作为盲因子，计算所有用户的盲因子的和的负数作为本地聚合器的盲因子，并分别发送给用户和本地聚合器；

(1e)每个用户从模q整数群中选择一个随机数x作为私钥，计算Y＝g^x作为公钥，其中x为步骤(1c)系统参数的一部分；

(2)用户报告阶段

用户的智能电表将用户信息以每小时为周期报告给本地聚合器，用户U_i的用电信息表示为d_i1,d_i2,…,d_il，其中l指信息类型数目，智能电表对d_i1,d_i2,…,d_il进行Paillier加密，即 ${\mathrm{CT}}_i=g_1^{d_{i1}}\&CenterDot;g_2^{d_{i2}}...\&CenterDot;\&CenterDot;g_l^{d_{il}}{\left(H_2\right(t\left)\right)}^{{\mathrm{\&pi;}}_i}\mathrm{mod}{N}^2;$

(3)消息签名阶段

用户U_i利用步骤(2)中计算的密文CT_i和步骤(1c)中的哈希函数H₁和H₃计算W＝H₁(t)和h_i＝H₃(CT_i)，并计算其中x_i为用户私钥，用户U_i关于密文CT_i的签名就是V_i，即σ_i＝V_i；

(4)数据确认阶段

(4a)本地聚合器在收到所有用户的密文和签名后，检查密文和签名是否一一对应，即是否每个用户都只发送了一个密文和一个签名，如果不是，则反馈给相应用户，请求重新发送密文或明文；

(4b)如果发现某个用户既没有发送密文也没有发送签名，表明智能电表出现故障；创建一个列表用来记录出现故障的电表，将列表记为并忽略步骤(6)-(7)，直接执行步骤(8)；

(5)本地聚合器签名验证阶段

本地聚合器采用批量验证技术验证签名的有效性，本地聚合器从模q整数群中选择n个随机数δ_i,i＝1,2,…,n，验证如下等式是否成立其中e为步骤(1c)中系统参数的一部分，如果等式成立，则所有用户的签名都是合法有效的；反之，至少有一个用户的签名是无效的，利用步骤(7)中的快速查找算法查找出错误的签名，把错误签名反馈给对应的用户，请求重新给出签名；

(6)数据恢复阶段

如果签名验证通过，本地聚合器调用Paillier解密算法和数据恢复算法实现对用户用电信息的收集，本地聚合器计算总聚合值对总聚合值V进行Paillier解密，即计算L(V^λmodN2)·μmodN，其解密的计算结果记为M，即 $M=a_1{\mathrm{\&Sigma;}}_{i=1}^n{d}_{i1}+a_2{\mathrm{\&Sigma;}}_{i=1}^n{d}_{i2}+...+a_l{\mathrm{\&Sigma;}}_{i=1}^n{d}_{il},$ 并对M调用数据恢复算法，输入a₁,a₂,…,a_l和M，执行如下步骤：

第一步将M值赋给X_l；

第二步从j＝l到j＝2执行l-1次递减循环，即对于每个j计算X_j-1＝X_jmoda_j和 $D_j=\frac{X_j-X_{j-1}}{a_j}=\underset{i=1}{\overset{n}{\&Sigma;}}{d}_{ij};$

第三步令D₁＝X₁,输出D₁,D₂,…,D_l；

将数据恢复算法的输出D₁,D₂,…,D_l作为最终输出，D₁,D₂,…,D_l就是所有用户各类数据的收集结果；

(7)查找错误签名

如果步骤(5)的批量验证不通过，采用快速查找算法查找出批量验证中的无效签名，以步骤(5)中的签名验证为例，即将这个式子变形为 $1=e(g^{-1},{{\mathrm{\&sigma;}}_i}^{-1})e(W,Y_i^{h_i}),$ 并且令P＝g^-1，R＝W， $B_k={\mathrm{\&sigma;}}_i^{-1},$ $D_k=Y_i^{h_i},$ 即1＝e(B_k,P)e(D_k,R)，执行如下步骤：

第一步从1～n遍历i，即1≤i≤n，查找是否有符合条件的i使得其中α₀＝e(B_k,P)e(D_k,R)，如果存在i，输出第i个签名是无效的并退出算法；如果不存在i，则至少存在两个无效签名，进行下一步；

第二步从1～n遍历i,j，即1≤i≤n,1≤j≤n且i<j，使得其中 ${\mathrm{\&alpha;}}_2=e\left({\mathrm{\&Pi;}}_{k=1}^{n}k\right({\mathrm{kB}}_k),P)e\left({\mathrm{\&Pi;}}_{k=1}^{n}k\right({\mathrm{kD}}_k),R),$ 如果存在i和j，则输出第i个和第j个签名是无效的并退出算法；如果不存在i和j，则至少有三个签名无效，赋值w←3，进行下一步；

第三步从1～n遍历x₁,x₂,…,x_w，检查是否存在满足的x₁,x₂,…,x_w，其中1≤x₁≤n,…,1≤x_w≤n且x₁<x₂<…<x_w， ${\mathrm{\&alpha;}}_w=e\left({\mathrm{\&Pi;}}_{k=1}^{n}k\right(k^{w-1}{B}_k),P)e\left({\mathrm{\&Pi;}}_{k=1}^{n}k\right(k^{w-1}{D}_k),R),$ p_t是指关于x₁,x₂,…,x_w的第t个基本对称多项式，如果满足，输出x₁至x_w个签名是无效的并退出算法；如果不满足，则至少有w+1个签名无效，令w←w+1，并且重复第三步；

(8)处理智能电表故障情况

(8a)本地聚合器将步骤(4b)中的列表发送给可信机构；

(8b)可信机构查找列表中用户的盲因子，计算并将返回给本地聚合器；

(8c)本地聚合器利用步骤(8b)中的计算总聚合值其中表示无故障用户，并调用步骤(6)中的Paillier解密算法和数据恢复算法，最后得到D₁′,D₂′,…,D_l′，则D₁′,D₂′,…,D_l′就是无故障用户各类数据的收集结果，其中

(9)处理用户加入退出情况：

(9a)当有用户加入的时候，设新加入用户组成的集合为U_a，可信机构为新加入的用户各选择一个随机数作为盲因子，并发送给新用户；可信机构重新计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作；

(9b)当有用户退出的时候，设退出用户组成的集合为U_b，可信机构直接计算本地聚合器的盲因子，即并发送给本地聚合器，本地聚合器使用新的盲因子进行数据收集工作。

2.根据权利要求1中所述的基于对用户隐私保护的智能电网中数据收集方法，其特征在于，所述步骤(1c)中，是两个具有相同阶q的乘法循环群，群和之间存在一个线性映射，记为从群中随机选择一个生成元系统参数为可信机构选择的三个安全的哈希函数满足如下定义：

3.根据权利要求1中所述的基于对用户隐私保护的智能电网中数据收集方法，其特征在于，所述步骤(1d)中,可信机构从模N整数群中选择一个随机数π_i作为用户的盲因子，并利用用户的盲因子计算本地聚合器的盲因子，即π₀＝-(π₁,π₂,…,π_n)modN，盲因子被用于用户数据加密环节，用来抵抗内部攻击者的信息截获。