CN112073406B - 一种基于双线性映射可扩展分组多数据保护方法 - Google Patents

Abstract

本发明涉及一种基于双线性映射的可扩展分组多数据保护方法，用于解决窃听攻击和共谋攻击，保护用户用电隐私问题。首先将智能电表分成不同的组；聚合器以组为单位，利用组内其他电表为各个电表生成加密自己数据的一个密钥；同时为公共事业服务提供商

生成一个解密密钥；多数据聚合，用于公共事业服务商

接收并解密所有电表的用电量之和，包括：聚合每个电表的多组数据并加密，然后发送至聚合器；聚合器验证所有电表加密数据的合法性，并将接收的所有电表的合法加密数据之和发送至公共事业服务商；公共事业服务商

再次验证数据合法性，并利用解密密钥结算所有电表的数据总和。本发明有效的解决了隐私保护问题，还缓解了坏电表问题和扩展性问题。

Description

一种基于双线性映射可扩展分组多数据保护方法

技术领域

本发明属于物联网数据安全和隐私领域，具体设计智能电网的数据隐私保护方法。

背景技术

在智能电网中，智能电表被大量部署，使得电表和公共事业服务商之间的双向通信成为可能，双向通信也使得公共事业服务商能够向电表发送指令。电表可以向公共事业服务商汇报自己的实时数据，用电量、用水量、用气量等等。公共事业服务商可以动态的调节自己的供应量。同时，外部攻击者也能获取这些实时数据。根据Barbosa(2015)等人的研究，“细粒度的电力使用数据”自然而然的包含着哪个电器在哪个功率工作的信息。

通过分析相关设备的数据变化曲线，攻击者能够获取用户的行为，例如，用气量突然增长的时候，用户很可能在烹饪。此外，对于一个工厂来说，攻击者能够根据Hurt等人发明的NALM技术来获取某个特殊设备是否在工作。总的来说，保护用电隐私是有必要的。

人们提出了数据聚合来保护用户隐私，它能够阻止攻击者，包括外部攻击者和内部攻击者，获取用户的数据。同时，数据聚合使得公共事业服务商能够获取总的实时用电量，进而动态调节供给。

首先，同态加密被自然而然的引入来保护用户隐私，电表用公钥加密自己的数据然后将密文发送给聚合器，聚合器对密文求和发送给公共事业服务商，公共事业服务商能够解密密文进而获取总的用电数据。然而，如果公共事业服务商获取了某个用户的密文，他仍然能够解密而获取用户数据。为了解决这个问题，在一些方案中，引入了可信的第三方服务器来为电表生成密钥来加密自己的数据。这样，即使公共事业服务商获取了用户的密文，也没有办法解密进而获取用户数据。此外，我们发现现有的方案也遭受“双线性攻击”和“零攻击”。“双线性攻击”是当加密方案为椭圆曲线加密方案时，如果计算密文的双线性映射结果，仍然能够获取用户的数据。“零攻击”是指利用电表数据是零的特殊情况来解密用户的数据。本文方案解决了前两种方案不能克服的问题，同时也避免了“双线性攻击”和“零攻击”。

发明内容

为了现有技术的不足，解决窃听攻击和共谋攻击，在本方案中，电表被分成不同的小组。每组电表建立密钥来加密数据。本文方案是一个可扩展性的多数据分组聚合。

以下部分介绍本方案的适用结构以及本方案的隐私对抗模型。

A.系统结构

系统中主要有三类实体：公共事业服务商

聚合器A_j，和智能电表，如图1所示。智能电表汇报自己的实时数据m_i给聚合器A_j，A_j得到所有数据的和∑m_i，然后将∑m_i发送给公共事业服务商

就可以根据总的用电量∑m_i来调整自己的供给量。

为了在这个过程中保护电表的数据。智能电表被分成了不同的组，同一个组的电表一起建立密钥来加密他们的数据。即使是公共事业服务商

也没有办法获取电表的数据。

图2描述了电表如何和其他电表建立密钥。电表被分成了不同的组，每组

有

个电表，

k为自然数，k≥3。电表M_i和虚线方框内的其他电表M_i-s，...M_i-1，M_i+1，...，M_i+s，一起建立密钥R_si，(M_i-s的下标应该是

为了简便起见，我们用(i-s)代替了

)。M_i的实时数据用R_si加密。公共事业服务商

和组内电表建立密钥

每组电表M₁，...，M_k密钥的和是

由于

当对所有电表的数据求和时，密钥会相互抵消。公共事业服务商

可以得到数据总和，除了电表M_i外，没人知道它的数据m_i。

B.隐私对抗模型

除了外部攻击者之外，我们主要考虑三种可能的内部攻击者：智能电表，聚合器，公共事业服务商。在注册阶段，我们认为所有的注册信息都是在安全可信的信道上发送的。所有的实体都是诚实但好奇的，没有外部攻击者。同时，在数据聚合阶段，我们认为聚合器，公共事业服务商属于内部攻击者。同时，在和电表建立密钥的2s个电表当中，至少有一个是可信的。

本发明的创新点为：

1)首先，分析了其他方案，发现其中有一些遭受“双线性攻击”和“零攻击”，通过这些攻击，公共事业服务商可以获取用户的数据，而本文的方案可以避免这两种类型的攻击。

2)其次，在传统方案中，需要可信第三方或者公共事业服务商为电表生成密钥来加密数据，这意味着电表的密钥对公共事业服务商来说是透明的。在本发明中，电表生成自己的密钥来加密数据，没有其他人能了解用户的密钥。此外电表可以通过更新密钥来实现动态加入或者动态离开，向系统中增加电表或者从系统中删除电表都是容易的，动态加入和动态离开的效率也提高了。

3)再次，在本方案中，智能电表可以根据需要选择合适的加密强度，可以选择和不同数目的其他电表建立密钥来达到不同强度的加密方式。

有益效果

发明成功解决了现有方案所面临的密钥隐私问题，窃听攻击和共谋攻击。同时也解决了一些方案不能解决的“双线性攻击”和“零攻击”。此外本方案还能够缓解坏电表问题和扩展性问题。

附图说明

图1、系统结构示意图

图2、分组示意图

图3、每个电表汇报l＝{1，2，3，4，5，6，7}时的通信开销示意图

其中，每个电表汇报l＝{1，2，3，4，5，6，7}种数据时，纵轴代表通信开销，单位是bit

具体实施方式

I.系统模型

本文用到的符号在表-I中。

表示所有的电表，一共有t组电表。

表示第i组电表，

表示

中电表的数目，

表示最后一组电表。

表示系统中所有电表的数目。

表-I.本文中用的符号

II.本文方案

A.系统初始化阶段

初始化阶段公共事业服务提供商

生成系统参数，同时生成自己的密钥对。公共事业服务商

选择一个阶为n的椭圆曲线，并且

l为自然数，本方案中取值为1到7。令g、P为生成元，e：G₁×G₁→G₂为双线性映射。

选取一个随机正整数

作为私钥，相应的公钥是R_u＝d_u·P。

选取一系列群G₂的生成元

l个生成元确保智能电表可以汇报l种数据，如果一个电表要汇报第l种数据，那么他就要选择第l个生成元。参数G、g、P、e：G₁×G₁→G₂需要发送给系统中所有实体，也就是所有的智能电表和聚合器。收到参数之后，电表和聚合器会生成自己的密钥对。每个电表M_i选取一个随机正整数

作为私钥，相应的公钥就是R_i＝d_i·P。同样的，聚合器A_j的私钥是d_j，公钥是R_j＝d_j·P。

B.注册阶段，用于为各个电表生成加密自己数据的一个密钥，同时为共事业服务提供商

生成一个解密密钥，具体为：

A_j将所有电表分为t组，其中

为第i组电表；

A_j存储每组电表的{id_i，R_i}到一个有序表中，其中，id_i为第i个电表M_i的编号，R_i为第i个电表M_i的公钥；

A_j为每个电表M_i计算

(R_i-s的下标应该是

为了简便起见，我们用(i-s)代替了

。

A_j发送{R_ci}给电表M_i，M_i计算R_si＝d_i·R_ci作为私钥来加密数据；

A_j计算每组中所有电表的公钥和

并将所有t组的公钥和

发送给

根据收到的加密电表数据，利用R_su解密所有电表的用电总量，其中解密电表数据的密钥是：

注册阶段主要为各个电表生成加密自己数据的一个密钥，同时为共事业服务提供商

生成一个解密密钥。表-II描述了电表M_i的注册过程。在电表的注册过程，M_i发送{id_i，R_i}给聚合器A_j。当A_j收到所有电表的注册信息之后，为M_i准备以下信息。

1.A_j将电表分组，每组

有

个电表，

k是一个自然数，k≥3。

2.A_j存储每组电表的{id_i，R_i}到一个有序表中，存储电表的密钥，利于后面电表的动态加入和动态离开。

3.A_j为电表M_i计算

(R_i-s的下标应该是

为了简便起见，我们用(i-s)代替了

)。

4.A_j发送{R_ci}给电表M_i。

M_i计算R_si＝d_i·R_ci作为私钥来加密数据。A_j发送

给

用来解密电表数据的密钥是：

表-II.电表的注册

C.多数据聚合

M_i通过以下方式汇报l种数据m_i1，m_i2，...m_il。

(1)M_i获取当前时间戳T_i＝D_i||seq_i，D_i是当前日期，seq_i是一个序列号，从1开始，每次增加1，电表每天汇报一定量的数据，第二天seq_i会被重置为1。

(2)M_i生成g_ki＝e(H(T_i)，R_si)。

(3)M_i获取自己的数据m_i1，m_i2，...m_il，根据定义，如果电表M_i要汇报第l种数据，那么他就要选择第l个生成元g_l。

(4)M_i计算

(5)M_i得到数据的密文c_i＝g_ki·g_di。

(6)M_i计算签名σ_i＝(d_i+h(c_i，id_i，T_i))^-1·P。

(7)M_i发送{id_i，c_i，σ_i，T_i}给聚合器A_j。

当A_j从M_i收到{id_i，c_i，σ_i，T_i}之后。A_j逐一检查签名σ_i的正确性。

1.如果e(σ_i，R_i+h(c_i，id_i，T_i)·P)＝g₂成立，证明消息来自于一个合法的智能电表，信息被接收。当A_j从所有电表收到消息之后，A_j计算所有数据密文c_i的和，定义

为

中所有c_i的和。

1.A_j计算

2.A_j生成签名σ_j＝(d_j+h(c_j，id_j，T_i))^-1·P。

3.A_j发送{id_j，c_j，σ_j，T_i}给

收到{id_j，c_j，σ_j，T_i}，

检查消息的签名，如果签名是正确的，

就可以获取电表的数据。

1.

检查等式e(σ_j，R_j+h(c_j，id_j，T_i)·P)＝g₂，如果等式成立，证明消息来自于一个合法的智能电表，消息会被接收。

2.

计算此轮数据汇报的解密密钥g_u＝e(H(T_i)，R_su)。

3.

解密c_j得到c_u＝g_u·c_j。

得到c_u之后，

可以通过算法1来获取每种数据之和sum₁，sum₂，...，sum_l。PolKangroo代表Pollard′s kangaroo求离散对数问题的方法。表-III描述了数据聚合过程。

表-III.数据聚合过程

算法1.数据获取方法

输入：

c_u。

输出：sum₁，sum₂，...，sum_l。

D.动态加入

1.假设有

个新电表

要加入

电表会加入到最后一组的最后部分，动态加入后，因为电表加密强度s内的电表发生了变化，所以要进行相应更新，具体包括新电表

数据加密密钥的更新，新电表M_r1之前s个电表的数据加密密钥的更新，新电表

之后s个电表的数据加密密钥的更新，以及公共事业服务提供商

生成的解密密钥的更新；

所述第k个新电表M_rk的数据加密密钥的更新方法为：首先计算新电表M_rk的密钥

其中，

表示新电表M_rk之前的s个电表的公钥之和，

表示新电表M_rk之后的s个电表的公钥之和；然后计算新电表M_rk的加密数据的密钥R_sk为，具体公式为：R_sk＝d_rk·R_ck，其中，d_rk表示新电表M_rk的私钥。

具体的执行过程如下：

(1)

的公钥为

私钥为

将他们的id和公钥发给A_j。

(2)对于新电表M_rk，A_j计算新电表的加密密钥

然后计算M_rk加密数据的密钥R_sk＝d_rk·R_ck。

以下举例说明，有1个新电表M_r1加入有6个电表的组内，此时组内扩展为7个电表，M_r1作为第7个电表，组内电表是环形关系，加密强度s设为3，所以M_r1的数据加密密钥是由M_r1前面的3个电表，以及后3个电表共同决定，即4、5、6号电表，以及1、2、3号电表共同决定。

所述新电表M_r1之前s个电表的数据加密密钥的更新，新电表

之后s个电表的数据加密密钥的更新，具体为：

若M_i属于新电表M_r1之前的s个电表，或者新电表

之后的s个电表，

首先计算动态加入后的M_i对应的R′_ci，

其中，

表示新电表加入之后，M_i前s个电表的公钥之和，

表示新电表加入之后，M_i后s个电表的公钥之和，然后计算数据加密密钥R′_si，R′_si＝d_i·R′_ci，d_i表示M_i的私钥。

所述公共事业服务提供商

更新后的解密密钥R′_su，具体计算如下：

其中，d_u表示公共事业服务提供商

的私钥，

表示动态加入前系统中所有电表的公钥的和，∑R_rk表示

个新电表公钥和。具体执行过程为：对于

A_j计算∑R_rk，且将∑R_rk发给

更新R_su为R′_su。

电表和聚合器更新完密钥之后，多数据聚合阶段就可以正常执行，以下步骤和多数据聚合阶段相同，此处省略。

E.动态离开

当

个电表

需要从组

中移除的时候，为了使系统的剩余部分可以正常运行，需要执行以下步骤。

对于组内剩余的电表，仅更新被删除电表的加密强度范围之内的电表M_i的数据加密密码，具体为：计算M_i的R′_ci，

然后计算M_i的数据加密密码R′_si，R′_si＝d_i·R′_ci，其中，

表示删除电表之后的M_i之前的s个电表的公钥和，

表示删除电表之后的M_i之后的s个电表的公钥和。比如，组内有9个电表，删除4，5号电表，此时剩余1、2、3、6、7、8、9号电表，假设加密强度s＝3，则剩余电表中，4号电表加密强度范围之内的电表为1、2、3、6、7号电表(5号电表也在被移除行列，故此处不再考虑5号电表)，5号电表加密强度范围之内的电表为2、3、6、7、8号电表(4号电表也在被移除行列，故此处不再考虑4号电表)，故，4号电表加密强度范围之内的电表以及5号电表加密强度范围之内的电表即为需要更新的电表，即1、2、3、6、7、8号电表。

对于公用事业服务商

A_j发送∑R_rk给

更新R_su为R′_su，

∑R_rk是删除的

个电表公钥的和，

表示更新前系统中所有电表的公钥的和。

电表和聚合器更新完密钥之后，多数据聚合阶段就可以正常执行，以下步骤和多数据聚合阶段相同，此处省略。

F.电表替换，包括新电表M′_i数据加密密钥R′_si的计算，新电表M′_i之后的第1，...，s个电表和M′_i之前的第1，...，s个电表的数据加密密钥的计算，以及公共事业服务提供商

的解密密钥

的计算；

所述新电表M′_i数据加密密钥R′_si的计算即用新电表M′_i的公钥、私钥代替被更新的电表M_i的公钥、私钥，具体步骤如下：

如果组

中的电表M_i将会被替换为M′_i，那么

1.M′_i私钥为

相应的公钥为R′_i＝d′_i·P。

2.M′_i发送{id′_i，R′_i}至聚合器A_j。

当A_j收到{id′_i，R′_i}，A_j执行以下步骤：

1.A_j找出M_i的身份id_i和公钥R_i。

2.A_j保存M′_i的身份id′_i和公钥R′_i，所有关于M_i的信息将会被替换成M′_i的信息。

3.A_j计算

4.A_j发送{R′_ci}给M′_i。

当M′_i收到{R′_ci}，M′_i计算R′_si＝d′_i·R′_ci作为新电表M′_i加密数据的密钥。

所述新电表M′_i之后的第1，...，s个电表的数据加密密钥的计算，其中，第j个电表的数据加密密钥R′_sj计算公式如下：

R′_sj＝d_j·R′_cj

R′_cj＝R_cj+(R_i-R′_i)

其中，R_i表示原电表M_i的公钥，R′_i表示新电表M′_i的公钥，R_cj表示更新前原电表M_i之后的第j个电表的密钥，d_j表示原电表M_i之后的第j个电表的私钥；

所述新电表M′_i之前的第1，...，s个电表的数据加密密钥的计算，其中，第j个电表的数据加密密钥R′_sj计算公式如下：

R′_sj＝d_j·R′_cj

R′_cj＝R_cj+(R′_i-R_i)

其中，R_i表示原电表M_i的公钥，R′_i表示新电表M′_i的公钥，R_cj表示更新前原电表M_i之前的第j个电表的密钥，d_j表示原电表M_i之前的第j个电表的私钥。具体步骤为：对于M_j，如果i∈[j+1，j+s]，A_j会发送(R_i-R′_i)给M_j，M_j更新自己的密钥为R′_cj＝R_cj+(R_i-R′_i)。对于电表M_j，如果i∈[j-1，j-s]，A_j会发送(R′_i-R_i)给M_j，M_j更新自己的密钥R′_cj＝R_cj+(R′_i-R_i)。

所述公共事业服务提供商

的解密密钥R′_su的计算，即用新电表M′_i的公钥代替原电表M_i的公钥，更新公共事业服务提供商

生成的解密密钥R′_su。具体步骤为：A_j会发送(R′_i-R_i)给

更新自己的密钥

然后再计算

至此，密钥更新过程完成了。电表和聚合器更新完密钥之后，多数据聚合阶段就可以正常执行，以下步骤和多数据聚合阶段相同。

表-IIII.密钥更新过程

G.正确性证明

等式e(σ_i，R_i+h(c_i，id_i，T_i)·P)＝g₂能被证明，也就意味着本文的签名方案是正确的。

我们通过数学归纳法来证明方案的正确性。首先，

可以被证明。

由于

的变化并不影响等式的成立。为了证明

我们仅需证明

当s＝1，

可以被证明：

当s＝k，假设

仍然成立，令

那么A_k＝0。

当s＝k+1，

仍然成立：

至此，我们可以得出结论：

令

为

组内所有电表c_i的和：

至此，方案的正确性被证明：

III.不同安全性对比

表IX列出了不同方案的安全性对比，当与Boudia[1]、Li[2]、Liu[3]和Chen[4]相对比的时候，所提的方案与对比方案相比有优势，本文方案成功解决了第一类方案所面临的密钥隐私问题，窃听攻击和共谋攻击。同时也解决了一些方案不能解决的“双线性攻击”和“零攻击”。

A.私钥隐私

Li[2]的方案中，服务器为电表生成密钥来加密电表的数据，也就说服务器知道电表的加密密钥，电表没有密钥隐私。在本文方案中，电表自己生成私钥，所以电表具备私钥隐私。

B.窃听攻击和共谋攻击

Boudia[1]的方案中，电表的数据用服务器的公钥加密，当服务器获取加密密文之后，能够解密电表的数据，也就是说Boudia的方案面临着窃听攻击。此外，如果聚合器把电表的密文发送给服务器，服务器也能够获取用户的数据，也就是说Boudia[1]的方案中，攻击者可以发动共谋攻击。

C.双线性攻击

在Boudia[1]和Liu[3]的方案中，电表的数据用服务器的公钥加密。然而，当用双线性映射到密文之上，攻击者能够获取电表的数据，我们把这个操作称为“双线性攻击”。例如在Boudia[1]的方案中，如果攻击者

得到了Y₁，f₁，c_ij＝(r_ij1G，r_ij1Y₁+M_ij1)，

能够通过以下方式获取电表的数据：

1.

获取A＝e(r_ij1Y₁+M_ij1+f₁G，G)。

2.

获取B＝e(r_ij1G，Y₁)。

3.

获取g＝e(G，G)。

4.

用Pollard′s kangaroo求离散对数问题的方法来获取电表数据：d_ij1＝log_g(A-B)。

在Liu[3]的方案中，当攻击者

窃听通信信道并且获取

能获取电表的数据：

1.

收集所有电表的公钥得到

2.

获取

3.

获取

4.

获取g＝e(G₁，G₁)。

5.

用Pollard′s kangaroo获取电表数据：d_ij1＝log_g(A-B)。

D.零攻击

智能电网中，电表的数据可能是0，比如午夜或者房子主人全家旅行的时候。Li[2]的方案中，如果在某个时刻，设备的数据为0，那么的服务器能够通过以下方式获取设备的数据：

1.设备的数据被加密为：

π_ij是服务器分配的加密密钥，f，g，x G的生成元，群G的阶为N＝pq，h＝x^q。

2.在时刻t_ij，设备数据m_ij＝0被加密为：

服务器使用私钥p能得到

3.在t_ik，设备数据m_ik被加密为

4.服务器能得到此时的数据：

即使不存在设备数据是0的时刻，服务器仍然能够获取两个数据的差值：

我们称这种攻击方式为“零攻击”。

E.操作中心攻击

Liu[3]的方案中，一个好奇心强的DCU能获取电表数据：

1.在他们方案中第5步，DCU发送

给所有电表。

2.当电表收到

计算

发送D_i给DCU。

3.当DCU收到所有D_i后，DCU能够获得电表的数据

F.不安全的签名方案

Liu[3]使用的签名方案是不安全。假如攻击者

窃听通信信道并获得两个签名σ_i1＝x_iG₂+x_ih_i1G₃，σ_i2＝x_iG₂+x_ih_i2G₃。

能用下面的方式获取x_iG₂或者x_iG₃：

1.

能获取x_iG₃：

x_iG₃＝(h_i1-h_i2)^-1(h_i1-h_i2)x_iG₃

＝(h_i1-h_i2)^-1(x_ih_i1G₃-x_ih_i2G₃)

＝(h_i1-h_i2)^-1(x_iG₂+x_ih_i1G₃-x_iG₂-x_ih_i2G₃)

＝(h_i1-h_i2)^-1(x_iG₂+x_ih_i1G₃-(x_iG₂+x_ih_i2G₃))

＝(h_i1-h_i2)^-1(σ_i1-σ_i2)

2.

能获取x_iG₂＝σ_i1-x_ih_i1G₃。

当获取x_iG₂和x_iG₃后，

能伪造信息

1.

选择随机数r_i′并获取

2.

生成数据m′_i并获取

3.

生成签名σ′_i＝x_iG₂+h′_ix_iG₃，并且

T′_si是时间戳。

4.

得到一个伪造信息

G.批量验证问题

Li[2]和Liu[3]使用了批处理来验证签名，如果攻击者将签名σ_i1，σ_i2改为σ′_i1＝(σ_i1+σ_t)和σ′_i2＝(σ_i2-σ_t)，σ_t是一个随机数，签名的和

没有变，公式

仍然成立。同样的，在Liu[3]的方案中，公式

也成立，消息的验证者没有办法发现消息是否被更改了。在表-XII显示为批量验证问题。

H.私钥丢失问题

在Boudia[1]的方案中，签名的一部分是

如果攻击者意外获得了r_ij2，因为H(D)，z_ij和r都是公开数据，那么攻击者能够获取用户的私钥a_ij＝(z_ijr_ij2-H(D))r^-1。

I.动态加入/动态离开

Chen[4]的方案和本文方案支持动态加入和动态离开。其他方案并不支持动态加入和动态离开。

J.坏电表影响

Boudia[1]的方案中，当一个电表坏了，剩余电表可以正常工作。在Li[2]，Liu(2019)[3]和Chen[4]的方案中，当一个电表坏了，公共事业服务商

不能获取

个电表的数据。在本文方案中，电表被分成不同的组，如果某组有一个坏电表，只有这组的

个电表受影响，其他组不受影响。

K.动态密钥强度

在我们的方案中，电表可以根据需要选择合适的加密强度，当s电大时，加密强度变大，而当s电小时，加密强度降低。而其他的方案中，并不支持电表选择合适的加密强度。

表-IXX安全特性对比

IV.性能对比

首先我们对比了不同方案的计算效率；其次，我们对比了不同方案通信效率。

A.计算效率

假设有

个电表，一个聚合器，和一个公共事业服务商。G_bp代表双线性映射操作，GT_exp是G₂中的元素指数运算，GT_mul代表G₂中的乘法运算，G_mul代表G₁中的元素乘法运算，G_add代表G₁中的加法操作，H_G代表哈希为G₁中元素，H_b代表哈希为大整数操作。

首先，分析了注册阶段电表的计算开销。Boudia[1]的方案需要

来建立密钥。Li[2]的方案中，生成签名需要

和

为了验证这些签名，需要

和

计算开销是

Liu[3]的方案中，操作中心为电表生成证书需要

和

验证这些签名时电表需要

计算群密钥需要

总开销是

Chen[4]的方案需要

和

为了计算

第一个电表需要

对于剩下的电表需要2G_add操作来计算R_ci，因为R_ci＝R_c(i-1)+R_i+R_i-1。

对于本文方案，当s＝1，需要

和

操作。当s≥2，获得

第一个电表需要2sG_add，剩余的电表需要4G_add来计算R_ci，因为R_ci＝R_c(i-1)+R_i-1-R_i-s-1+R_i-R_i+s。总计算量是

表-V列出了对比结果。根据JPBC基准，G_mul的计算开销比G_add要高。当s＝1，本文方案计算开销是最低的，当s＞1，本文方案是第二高效的，因为电表仅需要一次G_mul操作来获得加密私钥，在所有方案中是最低的。

表V.电表的计算开销

第二，Boudia[1]，Chen[4]和本文方案中，电表一次可以汇报l种数据。我们对比了三种方案中电表在数据聚集阶段的计算开销。Boudia[1]的方案需要2(l+1)G_mul，lG_add和1H_b。Chen[4]的方案需要1G_bp，lGT_exp，lGT_mul，1G_mul和2H_G。本文方案需要1G_bp，lG_exp，lGT_mul，1G_mul，1H_G和1H_b。结果在表-VI中。根据JPBC基准，G_mul的计算开销比G_add高，G_mul的计算开销比G_bp要高。本文方案比其他几个方案的计算开销都要低。

表VI.汇报L种数据时电表的计算开销

第三，我们分析了汇报一种数据时电表的计算开销。Li[2]的方案需要4G_mul，2G_add和1H_G。在Liu[3]的方案中，第一轮，一个电表需要5G_mul，2G_add和1H_b，第二轮，一个电表需要3G_mul，1G_add和1H_b。设l＝1，我们可以得到Boudia[1]，Chen[4]和本文方案的计算开销。结果列在表-VII中。本文方案是最高效的，更适合于计算资源有限的智能电表。

表VII.汇报1种数据时电表的计算开销

第四，表-VIII展示了聚合器批量验证方式时的计算开销。Boudia[1]的方案需要

和

Li[2]的方案需要

和

Liu[3]的方案中，聚合器需要3G_bp，1GT_mul，

和

Chen[4]的方案需要

和

本文的方案需要

和

表VIII.批量验证需要的计算开销

B.通信效率

q是261bit，曲线的阶是256-bit，群G₁或者G₂中的元素是522bit，

是256bit。一个身份信息或者时间戳是64bit。假设有

个电表。表-IX展示了电表汇报一种数据时的通信开销。

Boudia[1]的方案中，电表汇报{C_ij，ID_ij，TS，S_ij}，C_ij＝(r_ij1·G，r_ij1·Y₁+M_ij1)，r_ij1·G和(r_ij1·Y₁+M_ij)是群G₁中522-bit的元素，S_ij＝(r_ij2·G，z_ij)，r_ij2·G是群G₁中522-bit的元素，z_ij是一个256-bit的阶的余数。TS是一个64-bit的时间戳，ID_ij是一个64-bit的身份信息。开销是：(522×3+256+64+64)＝1950bit。聚合器会发送一个1950bit消息{C_j，ID_j，TS，S_j}。总开销是：

Li[2]的方案中，一个设备发送消息

是一个64-bit的身份信息，C_ij和σ_ij是群G₁中522-bit的元素，t_ij是一个64-bit的时间戳。计算开销是

ES_i会发送一个1172bit消息

总开销是：

Liu[3]的方案中，第一轮，电表要发送

id_i是一个64-bit的身份信息，

σ_i是群G₁中522-bit的元素，Ts_i是一个64-bit的时间戳，计算开销是

聚合器发送P_DCU＝{ID_DCU，C^a，C^b，Ts_DCU，σ_DCU}给操作中心，计算开销是(64+522×3+64)＝1694bit。第二轮，电表发送

给操作中心，开销是

总开销是：

Chen[4]的方案中，电表发送消息{id_i，c_i，S_i，t_i}，id_i是一个64-bit的身份信息，c_i是G₂中一个522-bit的元素，S_i是群G₁中一个522-bit的签名，t_i是一个64-bit的时间戳，开销是：

聚合器会发送一个1172bit消息{id_j，c_j，S_j，t_i}。总开销是：

本文方案中，电表发送{id_i，c_i，σ_i，T_i}。id_i是一个64-bit的身份信息，c_i是一个群G₂中522-bit的元素，σ_i是群G₁中一个522-bit的签名，T_i是一个64-bit的时间戳。开销是

聚合器会发送一个1172bit的消息{id_j，c_j，σ_j，T_i}。总开销是：

表IX.数据聚合阶段的通信效率

Boudia[1]，Chen[4]，和本文的方案中，电表可以汇报l种数据。并且，电表到聚合器和聚合器到公共事业服务商

的通信开销是一样的。为了简便起见，我们分析了电表的通信开销，如图-3所示，当l增加时，本文方案的计算开销并没有增加，开销是(64+522+522+64)＝1172bit，因为l种数据都被聚合到了G₂中一个元素上。

Boudia[1]的方案中，电表汇报{C_ij，ID_ij，TS，S_ij}，C_ij＝(r_ij1·G，r_ij1·Y₁+M_ij1，...，r_ijl·Y₁+M_ijl)，r_ij1·G和(r_ij1·Y₁+M_ij1，...，r_ijl·Y₁+M_ijl)都是G₁中522-bit的元素，S_ij＝(r_ij2·G，z_ij)，r_ij2·G是群G₁中522-bit的元素，z_ij是一个256-bit阶的余数。TS是一个64-bit的时间戳，ID_ij是一个64-bit身份信息。计算开销是(522×(l+2)+256+64+64)＝522l+1428bit。

Chen[4]的方案中，电表发送消息{id_i，c_i，S_i，t_i}，id_i是一个64-bit身份信息，c_i＝{c_i1，...，c_il}是522-bit G₂中的元素，S_i是一个522-bit的G₁中的签名，t_i是一个64-bit的时间戳。计算开销是(64+522l+522+64)＝522l+650bit。

Claims (6)

1.一种基于双线性映射可扩展分组多数据保护方法，适用于由三类实体构成的系统结构，具体包括公共事业服务提供商

聚合器A_j，和智能电表，智能电表汇报自己的实时数据给聚合器A_j，A_j得到所有数据的和，然后发送给公共事业服务提供商

根据总的用电量来调整自己的供给量；其特征在于包括以下步骤：

(1)将智能电表分成不同的组，组内电表依次排序，且形成环形关系；

(2)聚合器A_j以组为单位，利用组内其他电表为各个电表生成加密自己数据的一个密钥，其中第i个电表M_i的数据加密密钥由其前后s个电表的公钥共同构成，s称为加密强度；同时聚合器A_j为公共事业服务提供商u生成一个解密密钥；

(3)多数据聚合，用于公共事业服务提供商u接收并解密所有电表的用电量之和，包括：

(3.1)聚合每个电表的多组数据并加密，然后发送至聚合器A_j；

(3.2)聚合器A_j验证所有电表加密数据的合法性，并将接收的所有电表的合法加密数据之和发送至公共事业服务提供商

(3.3)公共事业服务提供商

再次验证数据合法性，并利用解密密钥结算所有电表的数据总和；

所述的步骤(3.1)，以一个分组内的一个电表为例具体包括以下内容：

M_i为第i个电表，通过以下方式汇报l组数据m_i1，m_i2，...m_il，

(1)M_i获取当前时间戳T_i＝D_i||seq_i，D_i是当前日期，seq_i是一个序列号，从1开始，每次增加1，电表每天汇报一定量的数据m_il，第二天seq_i会被重置为1；

(2)M_i生成g_ki＝e(H(T_i)，R_si)

(3)M_i获取自己的数据m_i1，m_i2，…m_il；根据定义，如果电表M_i要汇报第l组数据，那么他就要选择第l个生成元g_l；

(4)M_i计算

(5)M_i得到l组数据的密文c_i＝g_ki·g_di；

(6)M_i计算签名σ_i＝(d_i+h(c_i，id_i，T_i))^-1·P，其中，P为生成元；

(7)M_i发送{id_i，c_i，σ_i，T_i}给聚合器A_j；

所述的步骤(3.2)具体包括以下内容：

(3.2.1)当A_j从M_i收到{id_i，c_i，σ_i，T_i}之后，A_j检查签名σ_i的正确性，如果e(σ_i，R_i+h(c_i，id_i，T_i)·P)＝g₂成立，证明消息来自于一个合法的智能电表，信息被接收，否则，要求数据重发；其中e：G₁×G₁→G₂，e是一个双线性映射，R_i为第i个电表M_i的公钥，g₂为群G₂的生成元；

(3.2.2)当A_j从所有电表收到消息之后，A_j计算所有数据密文c_i的和c_j，

其中

为第i组电表

中所有c_i的和，

表示系统中电表总数；

(3.2.3)A_j生成签名σ_j＝(d_j+h(c_j，id_j，T_i))^-1·P；其中，d_j表示聚合器A_j的私钥，id_j表示聚合器A_j的编号；

(3.2.5)A_j发送{id_j，c_j，σ_j，T_i}给

所述的步骤(3.3)具体包括以下内容：

收到{id_j，c_j，σ_j，T_i}，

检查消息的签名，即

检查等式e(σ_j，R_j+h(c_j，id_j，T_i)·P)＝g₂，如果等式成立，证明消息来自于一个合法的智能电表，

计算此轮数据汇报的解密密钥g_u＝e(H(T_i)，R_su)，

解密c_j得到c_u＝g_u·c_j；如果等式不成立，要求数据重发；

||表示连接符，e是一个双线性映射，H()是将输入映射到群G₁中的一个元素，h()是将输入映射成一个整数，并且对群G₁的阶求余。

2.根据权利要求1所述的一种基于双线性映射可扩展分组多数据保护方法，其特征在于：步骤(2)中电表加密自己数据的密钥R_si生成方法为：

(1)聚合器A_j存储每组电表的{id_i，R_i}到一个有序表中，其中，id_i为第i个电表M_i的编号，R_i为第i个电表M_i的公钥；

(2)A_j利用组内其他电表的公钥以及公共事业服务提供商

的公钥为每个电表计算密钥，组内第i个电表M_i的密钥R_ci的计算公式为：

其中

表示组内第i个电表之前的s个电表的公钥之和，

表示组内第i个电表之后的s个电表的公钥之和，R_u表示公共事业服务提供商

的公钥；

(3)A_j发送{R_ci}给电表M_i，M_i计算R_si＝d_i·R_ci作为私钥来加密数据，其中d_i表示第i个电表M_i的私钥。

3.根据权利要求1所述的一种基于双线性映射可扩展分组多数据保护方法，其特征在于：步骤(2)中的公共事业服务提供商

生成的解密密钥生成方法为：

A_j首先计算每组中所有电表的公钥和，然后进一步计算所有t组的公钥和

最后得到解密电表数据的密钥R_su，具体公式如下：

其中，d_u表示公共事业服务提供商

的私钥，

表示第i组电表，

表示第i组电表中所有电表的公钥和，t表示共有t组电表。

4.根据权利要求1或2或3所述的一种基于双线性映射可扩展分组多数据保护方法，其特征在于：步骤(1)中的电表可以替换，替换后要进行相应更新，具体指计算新电表M′_i数据加密密钥R′_si，新电表M′_i之前及之后的第1，…，s个电表的数据加密密钥R′_sj，以及公共事业服务提供商

生成的替换后的解密密钥R′_su；

其中，所述新电表M′_i数据加密密钥R′_si的计算，即用新电表M′_i的公钥、私钥代替原电表M_i的公钥、私钥；

所述新电表M′_i之后的第1，…，s个电表的数据加密密钥的计算，具体的，新电表M′_i之后的第j个电表的数据加密密钥R′_sj计算公式如下：

R′_sj＝d_j·R′_cj

R′_cj＝R_cj+(R_i-R′_i)

其中，R_i表示原电表M_i的公钥，R′_i表示新电表M′_i的公钥，R_cj表示更新前原电表M_i之后的第j个电表的密钥，d_j表示原电表M_i之后的第j个电表的私钥；

所述公共事业服务提供商

的解密密钥

的计算，即用新电表M′_i的公钥代替原电表M_i的公钥，具体为：首先计算公共事业服务提供商

生成的密钥

公式为：

然后计算解密密钥

5.根据权利要求1或2或3所述的一种基于双线性映射可扩展分组多数据保护方法，其特征在于：步骤(1)中的电表动态加入，动态加入后要进行相应更新，具体如下，

有

个新电表

动态加入，电表会加入到最后一组的最后部分，动态加入后进行相应更新，具体包括新电表

数据加密密钥的更新，新电表M_r1之前s个电表的数据加密密钥的更新，新电表

之后s个电表的数据加密密钥的更新，以及公共事业服务提供商

生成的解密密钥的更新；

第k个新电表M_rk的数据加密密钥的更新方法为：首先计算新电表M_rk的密钥

其中，

表示新电表M_rk之前的s个电表的公钥之和，

表示新电表M_rk之后的s个电表的公钥之和；然后计算新电表M_rk的数据加密密钥R_sk，具体公式为：R_sk＝d_rk·R_ck，其中，d_rk表示新电表M_rk的私钥；

所述新电表M_r1之前s个电表的数据加密密钥的更新，新电表

之后s个电表的数据加密密钥的更新，具体为：

M_i属于新电表M_r1之前的s个电表，或者新电表

之后s个电表，

首先计算动态加入电表后的M_i的密钥R′_ci，

其中，

表示新电表加入之后，M_i前s个电表的公钥之和，

表示新电表加入之后，M_i后s个电表的公钥之和；然后计算动态加入电表后的M_i的数据加密密钥R′_si，R′_si＝d_i·R′_ci，d_i表示M_i的私钥；

所述公共事业服务提供商

更新后的解密密钥R′_su，具体计算如下：

其中，d_u表示公共事业服务提供商

的私钥，

表示动态加入前系统中所有电表的公钥的和，∑R_rk表示

个新电表公钥和。

6.根据权利要求1或2或3所述的一种基于双线性映射可扩展分组多数据保护方法，其特征在于：步骤(1)中的电表动态删除，动态删除后要进行相应更新，具体如下，有

个电表

动态删除，对于组内剩余的电表，仅更新被删除电表的加密强度范围之内的电表M_i的数据加密密钥，具体为：计算M_i的R′_ci，

然后计算M_i的数据加密密钥R′_si，R′_si＝d_i·R′_ci，其中，

表示删除电表之后的M_i之前的s个电表的公钥和，

表示删除电表之后的M_i之后的s个电表的公钥和；

对于公用事业服务商

更新R_su为R′_su，具体为：

∑R_rk是删除的

个电表公钥的和，

表示更新前系统中所有电表的公钥的和。

Images