CN111131148A - 一种面向智能电网的可保护隐私数据聚合方法及系统 - Google Patents

Abstract

本发明请求保护一种面向智能电网的隐私保护数据聚合方法及系统，可以实现保护单个用户数据隐私不被泄露，并且聚合一定区域内的数据之和，只有控制中心可以读取聚合结果。包括：系统初始化步骤、用户注册步骤、加密数据生成步骤、数据聚合步骤、数据解密步骤；本发明中智能电表与聚合器协商会话密钥，并且使用基于椭圆曲线的BGN加密算法对数据进行加密。本发明不依赖可信第三方，系统在智能电表缺失时依旧可以正常运行，具有更好的可靠性，且用户的身份是匿名的，攻击者无法获取用户的真实身份。本发明提高了计算效率，并且满足机密性、完整性、可认证等相应的安全需求，是可证明安全的。

Description

一种面向智能电网的可保护隐私数据聚合方法及系统

技术领域

本发明属于信息安全技术及智能电网技术领域，是一种涉及隐私保护数据聚合的方法，可用于智能电网中的保护隐私的数据聚合。

背景技术

智能电网是使用信息和通信技术进行高效、可靠、安全地传输电力的现代化网络。“Grid 2030”中的定义是：“一个全自动的电力传输网络，它可以实现在发电厂和设备之间的双向的能量和信息流动。”智能电网主要由七个部分组成：批量发电领域、电力传输领域、电力分配领域、客户领域、电力市场领域、服务供应商领域和运营中心领域。通过收集电力的消耗情况，智能电网可以适当地调整发电与配电，从而减少电力消耗、节约能源成本。

智能电表部署在用户端，能够精确记录用户的用电量数据。它定期报告信息给控制中心以进行处理和分析，例如，每15分钟一次。由于智能电表和控制中心之间的双向通信，攻击者可以窃听通信信道以获取用户的信息。用户的用电量数据与隐私信息相关联，因此攻击者可以根据用户的生活习惯实施犯罪活动。攻击者也可能会篡改用户的用电量数据，造成服务供应商的经济损失。因此，隐私保护是一个非常重要的问题。

隐私保护数据聚合可以实现在收集用电量数据过程中的数据聚合和隐私保护。隐私保护数据聚合的目标是收集区域内用户的用电量数据之和并且保护单个用户的隐私。

在本发明中，提出了一个基于BGN密码体制的可靠的隐私保护数据聚合方法。方法的主要贡献包括：

1)系统不依赖于可信任第三方；

2)系统的可靠性是鲁棒的，系统在任何智能电表缺失时依旧可以正常工作；

3)用户的身份是匿名的，攻击者无法获取用户的真实身份。

发明内容

本发明旨在解决以上现有技术的问题。提出了一种不依赖可信第三方的面向智能电网的可保护隐私数据聚合方法及系统。本发明的技术方案如下：

一种面向智能电网的可保护隐私数据聚合方法，其包括以下步骤：

101、系统初始化步骤：首先，智能电表SM_i、聚合器AGG和控制中心CC分别生成签名相关的私钥和公钥。其次，智能电表SM_i、聚合器AGG和控制中心CC分别生成加密相关的私钥和公钥；

102、用户注册步骤：智能电表SM_i向聚合器AGG注册以成为系统中合法的智能电表。首先，SM_i计算自己的假名和相关数据发送给AGG；其次，AGG通过使用SM_i的假名和相关数据可以计算恢复出SM_i的真实身份标识，并且验证SM_i发送的消息中所有数据的真实性和完整性；然后，SM_i和AGG进行多次通信，AGG最终可以验证SM_i是否是合法用户，同时，SM_i和AGG协商出一个会话密钥用于之后的数据加密步骤；

103、数据生成的步骤：智能电表SM_i生成加密数据和签名。SM_i以基于椭圆曲线的BGN算法作为加密算法，使用系统公钥和会话密钥对明文进行加密，并使用BLS短签名算法生成自己的签名，最后发送密文和签名等消息给AGG；

104、数据聚合的步骤：在接收到SM_i发送的消息之后，AGG验证SM_i的签名，签名验证成功后，AGG对加密数据进行部分解密，计算最终聚合密文和自己的签名，并发送最终聚合密文和签名等消息给CC；

105、数据解密的步骤：在接收到AGG发送的消息之后，CC验证AGG的签名，签名验证成功后，CC使用私钥解密最终聚合密文获取聚合明文。

进一步的，所述步骤102智能电表SM_i向聚合器AGG注册的步骤具体包括：

1)首先，SM_i使用自己的身份标识ID_i、随机数

和AGG的公钥Y_A生成SM_i的假名

其中H₁是一个将字符串映射到范围为1到(n-1)的整数的哈希函数

其次，SM_i根据随机数r_i生成公钥R_i＝r_iG₁。然后，SM_i使用身份标识ID_i、假名AID_i和公钥R_i生成消息摘要e₁＝H₁(AID_i||ID_i||R_i)。最后，SM_i将消息{AID_i,R_i,e₁}发送给AGG；

2)AGG首先使用接收到的假名AID_i、公钥R_i和自己的私钥y_A计算恢复出SM_i的身份标识

其次使用计算出的ID_i，接收到的AID_i和R_i计算新的消息摘要e₂＝H₁(AID_i||ID_i||R_i)，然后验证e₁和e₂是否相等。如果相等，说明SM_i是合法的用户，AGG保存{ID_i,AID_i}并继续进行通信；否则，AGG终止通信。

3)AGG选择随机数

生成公钥R_i'＝r_i'G₁，并发送R_i'给SM_i。

4)SM_i使用自己的公钥R_i和接收到的公钥R_i'计算公钥W_i＝R_i+R_i'，使用身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用自己的私钥k_i、r_i和哈希值α_i计算随机值β_i＝k_i+r_iα_i，最后将β_i发送给AGG。

5)AGG使用自己的公钥R_i'和接收到的公钥R_i计算公钥W_i＝R_i+R_i'，使用计算出的身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用接收到的随机值β_i、哈希值α_i和自己的私钥r_i'计算私钥y_i＝β_i+r_i'α_i。最后，AGG验证y_iG₁＝K_i+α_iW_i是否成立，其中K_i是SM_i的公钥。如果不成立，AGG终止通信；否则，AGG完成通信。

6)AGG保存协商出的密钥Y_i＝y_iG₁，SM_i计算并保存协商出的密钥Y_i＝K_i+α_iW_i。

进一步的，所述步骤103智能电表SM_i生成加密数据的步骤具体包括：

1)SM_i选择随机数

其中

是1到(n-1)范围内的整数；

2)SM_i通过公式(1)计算加密数据CT，其中P和Q是随机选自阶为n的椭圆曲线循环群G₁的生成元，m_i是SM_i的明文，C_i是m_i生成的密文，D_i是SM_i计算出的公钥；

CT:{C_i＝m_iP+s_i(Q+Y_i),D_i＝s_iG₁} (1)

3)SM_i计算自己的签名δ_i。SM_i首先计算M_i＝C_i||D_i||AID_i||T和H₂(M_i)，其中M_i是密文C_i、公钥D_i、假名AID_i和时间戳T的数据值的连接，H₂是一个将字符串映射到椭圆曲线群G₂上的点的函数H₂:{0,1}→G₂。其次，SM_i计算其签名δ_i＝x_iH₂(M_i)。

4)SM_i发送消息C_i||D_i||AID_i||T||δ_i给AGG。

进一步的，所述步骤104聚合器AGG计算聚合密文的具体步骤包括：

1)AGG首先计算H₂(M_i)，其中M_i＝C_i||D_i||AID_i||T。然后通过公式(2)验证所有用户的签名，其中e'是一个双线性映射e':G₂×G₂→G_T'；

2)AGG通过公式(3)计算聚合数据C和D，为简便起见，令聚合明文

聚合随机数

3)AGG根据SM_i的假名AID_i搜索SM_i的公钥Y_i对应的私钥y_i，然后计算聚合私钥

根据公式(4)，AGG使用聚合私钥

和聚合公钥D＝sG₁部分解密密文，获取最终的聚合密文C'。

4)AGG首先计算M_A＝C'||ID_A||T和H₂(M_A)，其中M_A是最终聚合密文C'、AGG的身份标识ID_A和时间戳T的数据值的连接。然后，AGG计算自己的签名δ_A＝x_AH₂(M_A)。

5)AGG发送消息C'||ID_A||T||δ_A给控制中心CC。

进一步的，所述步骤10控制中心CC使用私钥解密聚合密文解密并获取聚合明文的具体步骤包括：

1)CC使用公式(5)验证AGG的签名。

e'(δ_A,G₂)＝e'(H₂(M_A),X_A) (5)

2)CC使用解密密钥q₁和收到的聚合密文C'作为输入，然后使用公式(6)计算聚合明文m；

一种面向智能电网的可保护隐私数据聚合系统，其包括：

系统初始化模块：用于智能电表SM_i、聚合器AGG和控制中心CC分别初始化；

注册模块：用于智能电表SM_i向聚合器AGG注册以成为系统中合法的智能电表；

加密数据生成模块：用于智能电表SM_i生成加密数据；

聚合密文生成模块：用于接收到加密数据后，AGG对加密数据进行部分解密，计算最终聚合密文；

数据解密模块：用于接收到聚合密文后，CC使用私钥解密最终聚合密文获取聚合明文。

本发明的优点及有益效果如下：

随着信息及通信技术的发展，如何在智能电网中进行隐私保护的数据聚合已经成为了一个重要课题。在本发明中，提出了一种面向智能电网的隐私保护数据聚合方案，该方案不依赖可信第三方，系统在智能电表缺失时依旧可以正常运行，具有更好的可靠性，且用户的身份是匿名的，攻击者无法获取用户的真实身份。分析表明，提出的方案满足机密性、完整性、可认证等相应的安全需求，既可以保护单个用户数据隐私不被泄露，也可以聚合一定区域内的数据之和，只有控制中心可以读取聚合结果。这对于智能电网中的隐私保护数据聚合具有十分重要的意义。本发明具有良好的应用前景。

附图说明

图1是本发明提供优选实施例系统的框架图；

图2为本发明方法的流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、详细地描述。所描述的实施例仅仅是本发明的一部分实施例。

本发明解决上述技术问题的技术方案是：

下面结合附图1描述一下系统的框架。

1)智能电表(Smart Meter)：它是智能电表，负责定期收集用户的实时用电量数据并发送加密数据给聚合器。智能电表是诚实并好奇的，它根据协议执行操作，不发起主动攻击。但是，它可能会推测其他用户的信息。

2)聚合器(Aggregator)：它是智能电表的管理者，负责聚合用户的用电量数据，并将聚合结果发送给控制中心。聚合器是诚实并好奇的，它存储所有计算的中间结果，可能会从中获取用户的隐私信息。

3)控制中心(Control Center)：控制中心负责解密和解析聚合数据，以获得每个区域的用户用电量数据之和，并产生适当响应。控制中心是完全可信的，它可能试图分析接收到的消息以获得有价值的信息。

下面结合附图2对本发明做近一步的详细描述。本发明主要包含以下几个步骤：

101、系统初始化，首先，智能电表SM_i、聚合器AGG和控制中心CC分别生成签名相关的私钥和公钥。SM_i、AGG和CC分别随机从

中选择x_i、x_A和x_CC作为各自的私钥，其中

是1到(q-1)范围内的整数。然后，SM_i、AGG和CC分别计算相应的公钥X_i＝x_iG₂、X_A＝x_AG₂和X_CC＝x_CCG₂，其中G₂是阶为q的椭圆曲线循环群G₂的生成元。其次，智能电表SM_i、聚合器AGG和控制中心CC分别生成加密相关的私钥和公钥。SM_i和AGG分别选择

作为各自的私钥，其中

是1到(n-1)范围内的整数。然后，SM_i和AGG分别计算相应的公钥K_i＝k_iG₁、Y_A＝y_AG₁，其中G₁是阶为n＝q₁q₂的椭圆曲线循环群G₁的生成元，q₁和q₂是两个大素数；

102、用户注册，SM_i向AGG注册以成为系统中合法的智能电表。

1)首先，SM_i使用自己的身份标识ID_i、随机数

和AGG的公钥Y_A生成SM_i的假名

其中H₁是一个将字符串映射到范围为1到(n-1)的整数的哈希函数

其次，SM_i根据随机数r_i生成公钥R_i＝r_iG₁。然后，SM_i使用身份标识ID_i、假名AID_i和公钥R_i生成消息摘要e₁＝H₁(AID_i||ID_i||R_i)。最后，SM_i将消息{AID_i,R_i,e₁}发送给AGG；

2)AGG首先使用接收到的假名AID_i、公钥R_i和自己的私钥y_A计算恢复出SM_i的身份标识

其次使用计算出的ID_i，接收到的AID_i和R_i计算新的消息摘要e₂＝H₁(AID_i||ID_i||R_i)，然后验证e₁和e₂是否相等。如果相等，说明SM_i是合法的用户，AGG保存{ID_i,AID_i}并继续进行通信；否则，AGG终止通信。

3)AGG选择随机数

生成公钥R_i'＝r_i'G₁，并发送R_i'给SM_i。

4)SM_i使用自己的公钥R_i和接收到的公钥R_i'计算公钥W_i＝R_i+R_i'，使用身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用自己的私钥k_i、r_i和哈希值α_i计算随机值β_i＝k_i+r_iα_i，最后将β_i发送给AGG。

5)AGG使用自己的公钥R_i'和接收到的公钥R_i计算公钥W_i＝R_i+R_i'，使用计算出的身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用接收到的随机值β_i、哈希值α_i和自己的私钥r_i'计算私钥y_i＝β_i+r_i'α_i。最后，AGG验证y_iG₁＝K_i+α_iW_i是否成立。如果不成立，AGG终止通信；否则，AGG完成通信。

6)AGG保存协商出的密钥Y_i＝y_iG₁，SM_i计算并保存协商出的密钥Y_i＝K_i+α_iW_i。

103、数据生成，SM_i生成加密数据。

1)SM_i选择随机数

其中

是1到(n-1)范围内的整数；

2)SM_i通过公式(1)计算加密数据CT，其中P和Q是随机选自阶为n的椭圆曲线循环群G₁的生成元，m_i是SM_i的明文，C_i是m_i生成的密文，D_i是SM_i计算出的公钥；

CT:{C_i＝m_iP+s_i(Q+Y_i),D_i＝s_iG₁} (1)

3)SM_i计算自己的签名δ_i。SM_i首先计算M_i＝C_i||D_i||AID_i||T和H₂(M_i)，其中M_i是密文C_i、公钥D_i、假名AID_i和时间戳T的数据值的连接，H₂是一个将字符串映射到椭圆曲线群G₂上的点的函数H₂:{0,1}→G₂。其次，SM_i计算其签名δ_i＝x_iH₂(M_i)。

4)SM_i发送消息C_i||D_i||AID_i||T||δ_i给AGG。

104、数据聚合，在接收到SM_i的消息后，AGG验证SM_i的签名δ_i并且计算聚合密文C'。

1)AGG首先计算H₂(M_i)，其中M_i＝C_i||D_i||AID_i||T。然后通过公式(2)验证所有用户的签名，其中e'是一个双线性映射e':G₂×G₂→G_T'；

2)AGG通过公式(3)计算聚合数据C和D，为简便起见，令聚合明文

聚合随机数

3)AGG根据SM_i的假名AID_i搜索SM_i的公钥Y_i对应的私钥y_i，然后计算聚合私钥

根据公式(4)，AGG使用聚合私钥

和聚合公钥D＝sG₁部分解密密文，获取最终的聚合密文C'。

4)AGG首先计算M_A＝C'||ID_A||T和H₂(M_A)，其中M_A是最终聚合密文C'、AGG的身份标识ID_A和时间戳T的数据值的连接。然后，AGG计算自己的签名

δ_A＝x_AH₂(M_A)。

5)AGG发送消息C'||ID_A||T||δ_A给控制中心CC。

105、数据解密，在接收到AGG发送的消息后，CC验证AGG的签名δ_A并且解密聚合密文C'。

1)CC使用公式(5)验证AGG的签名δ_A。

e'(δ_A,G₂)＝e'(H₂(M_A),X_A) (5)

2)CC使用解密密钥q₁和收到的聚合密文C'作为输入，然后使用公式(6)计算聚合明文m；

以上这些实施例应理解为仅用于说明本发明而不用于限制本发明的保护范围。在阅读了本发明的记载的内容之后，技术人员可以对本发明作各种改动或修改，这些等效变化和修饰同样落入本发明权利要求所限定的范围。

Claims (7)

1.一种面向智能电网的可保护隐私数据聚合方法，其特征在于，包括以下步骤：

101、系统初始化步骤：首先，智能电表SM_i、聚合器AGG和控制中心CC分别生成签名相关的私钥和公钥。其次，智能电表SM_i、聚合器AGG和控制中心CC分别生成加密相关的私钥和公钥；

102、用户注册步骤：智能电表SM_i向聚合器AGG注册以成为系统中合法的智能电表，首先，SM_i计算自己的假名和相关数据发送给AGG；其次，AGG通过使用SM_i的假名和相关数据可以计算恢复出SM_i的真实身份标识，并且验证SM_i发送的消息中所有数据的真实性和完整性；然后，SM_i和AGG进行多次通信，AGG最终可以验证SM_i是否是合法用户，同时，SM_i和AGG协商出一个会话密钥用于之后的数据加密步骤；

103、数据生成的步骤：智能电表SM_i生成加密数据和签名，SM_i以基于椭圆曲线的BGN算法作为加密算法，使用系统公钥和会话密钥对明文进行加密，并使用BLS短签名算法生成自己的签名，最后发送密文和签名等消息给AGG；

104、数据聚合的步骤：在接收到SM_i发送的消息之后，AGG验证SM_i的签名，签名验证成功后，AGG对加密数据进行部分解密，计算最终聚合密文和自己的签名，并发送最终聚合密文和签名等消息给CC；

105、数据解密的步骤：在接收到AGG发送的消息之后，CC验证AGG的签名，签名验证成功后，CC使用私钥解密最终聚合密文获取聚合明文。

2.根据权利要求1所述的面向智能电网的可保护隐私数据聚合方法，其特征在于，所述步骤101系统初始化时智能电表SM_i、聚合器AGG和控制中心CC生成签名以及加密的私钥和公钥的步骤具体包括：

1)SM_i、AGG和CC分别随机从

中选择x_i、x_A和x_CC作为各自的私钥，其中

是1到(q-1)范围内的整数。然后，SM_i、AGG和CC分别计算相应的公钥X_i＝x_iG₂、X_A＝x_AG₂和X_CC＝x_CCG₂，其中G₂是阶为q的椭圆曲线循环群G₂的生成元；

2)SM_i和AGG分别选择k_i,

作为各自的私钥，其中

是1到(n-1)范围内的整数，然后，SM_i和AGG分别计算相应的公钥K_i＝k_iG₁、Y_A＝y_AG₁，其中G₁是阶为n＝q₁q₂的椭圆曲线循环群G₁的生成元，q₁和q₂是两个大素数。

3.根据权利要求2所述的面向智能电网的可保护隐私数据聚合方法，其特征在于，所述步骤102智能电表SM_i向聚合器AGG注册的步骤具体包括：

1)首先，SM_i使用自己的身份标识ID_i、随机数

和AGG的公钥Y_A生成SM_i的假名

其中H₁是一个将字符串映射到范围为1到(n-1)的整数的哈希函数H₁:

其次，SM_i根据随机数r_i生成公钥R_i＝r_iG₁，然后，SM_i使用身份标识ID_i、假名AID_i和公钥R_i生成消息摘要e₁＝H₁(AID_i||ID_i||R_i)，最后，SM_i将消息{AID_i,R_i,e₁}发送给AGG；

2)AGG首先使用接收到的假名AID_i、公钥R_i和自己的私钥y_A计算恢复出SM_i的身份标识

其次使用计算出的ID_i，接收到的AID_i和R_i计算新的消息摘要e₂＝H₁(AID_i||ID_i||R_i)，然后验证e₁和e₂是否相等，如果相等，说明SM_i是合法的用户，AGG保存{ID_i,AID_i}并继续进行通信；否则，AGG终止通信；

3)AGG选择随机数

生成公钥R_i'＝r_i'G₁，并发送R_i'给SM_i。

4)SM_i使用自己的公钥R_i和接收到的公钥R_i'计算公钥W_i＝R_i+R_i'，使用身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用自己的私钥k_i、r_i和哈希值α_i计算随机值β_i＝k_i+r_iα_i，最后将β_i发送给AGG；

5)AGG使用自己的公钥R_i'和接收到的公钥R_i计算公钥W_i＝R_i+R_i'，使用计算出的身份标识ID_i和公钥W_i计算哈希值α_i＝H₁(ID_i,W_i)，并使用接收到的随机值β_i、哈希值α_i和自己的私钥r_i'计算私钥y_i＝β_i+r_i'α_i，最后，AGG验证y_iG₁＝K_i+α_iW_i是否成立，其中K_i是SM_i的公钥，如果不成立，AGG终止通信；否则，AGG完成通信；

6)AGG保存协商出的密钥Y_i＝y_iG₁，SM_i计算并保存协商出的密钥Y_i＝K_i+α_iW_i。

4.根据权利要求3所述的面向智能电网的可保护隐私数据聚合方法，其特征在于，所述步骤103智能电表SM_i生成加密数据的步骤具体包括：

1)SM_i选择随机数

其中

是1到(n-1)范围内的整数；

2)SM_i通过公式(1)计算加密数据CT，其中P和Q是随机选自阶为n的椭圆曲线循环群G₁的生成元，m_i是SM_i的明文，C_i是m_i生成的密文，D_i是SM_i计算出的公钥；

CT:{C_i＝m_iP+s_i(Q+Y_i),D_i＝s_iG₁} (1)

3)SM_i计算自己的签名δ_i。SM_i首先计算M_i＝C_i||D_i||AID_i||T和H₂(M_i)，其中M_i是密文C_i、公钥D_i、假名AID_i和时间戳T的数据值的连接，H₂是一个将字符串映射到椭圆曲线群G₂上的点的函数H₂:{0,1}→G₂，其次，SM_i计算其签名δ_i＝x_iH₂(M_i)；

4)SM_i发送消息C_i||D_i||AID_i||T||δ_i给AGG。

5.根据权利要求4所述的面向智能电网的可保护隐私数据聚合方法，其特征在于，所述步骤104聚合器AGG计算聚合密文的具体步骤包括：

1)AGG首先计算H₂(M_i)，其中M_i＝C_i||D_i||AID_i||T，然后通过公式(2)验证所有用户的签名，其中e'是一个双线性映射e':G₂×G₂→G_T'；

2)AGG通过公式(3)计算聚合数据C和D，为简便起见，令聚合明文

聚合随机数

3)AGG根据SM_i的假名AID_i搜索SM_i的公钥Y_i对应的私钥y_i，然后计算聚合私钥

根据公式(4)，AGG使用聚合私钥

和聚合公钥D＝sG₁部分解密密文，获取最终的聚合密文C'；

4)AGG首先计算M_A＝C'||ID_A||T和H₂(M_A)，其中M_A是最终聚合密文C'、AGG的身份标识ID_A和时间戳T的数据值的连接，然后，AGG计算自己的签名δ_A＝x_AH₂(M_A)；

5)AGG发送消息C'||ID_A||T||δ_A给控制中心CC。

6.根据权利要求5所述的面向智能电网的可保护隐私数据聚合方法，其特征在于，所述步骤105控制中心CC使用私钥解密聚合密文并获取聚合明文的具体步骤包括：

1)CC使用公式(5)验证AGG的签名。

e'(δ_A,G₂)＝e'(H₂(M_A),X_A) (5)

2)CC使用解密密钥q₁和收到的聚合密文C'作为输入，然后使用公式(6)计算聚合明文m；

7.一种面向智能电网的可保护隐私数据聚合系统，其特征在于，具体包括：

系统初始化模块：用于智能电表SM_i、聚合器AGG和控制中心CC分别初始化；

注册模块：用于智能电表SM_i向聚合器AGG注册以成为系统中合法的智能电表；

加密数据生成模块：用于智能电表SM_i生成加密数据；

聚合密文生成模块：用于接收到加密数据后，AGG对加密数据进行部分解密，计算最终聚合密文；

数据解密模块：用于接收到聚合密文后，CC使用私钥解密最终聚合密文获取聚合明文。

Images