朱聰聰，喬 治，王志偉

(南京郵電大學 計算機學院、軟件學院、網(wǎng)絡空間安全學院，江蘇 南京 210046)

0 引 言

智能電網(wǎng)[1]是一個計算機和電力相結(jié)合的基礎(chǔ)設施網(wǎng)絡，用于監(jiān)控和管理能源使用情況。然而，隨著智能電網(wǎng)技術(shù)的不斷發(fā)展，也帶來了一定的安全問題。一方面，實時的用電數(shù)據(jù)在一定程度上會泄露用戶的行為隱私；而另一方面，電網(wǎng)網(wǎng)關(guān)的地理環(huán)境使得網(wǎng)關(guān)的安全性較低。因此，有效保護用戶隱私并實現(xiàn)密鑰抗泄露以及身份認證成為智能電網(wǎng)的研究熱點。

在傳統(tǒng)的公鑰密碼體制中，用戶自己選擇公鑰，但是需要由證書頒發(fā)機構(gòu)的可信第三方進行驗證，證書的管理過程復雜且代價較高。為了避免這種情況，Shamir[2]提出了基于身份的公鑰密碼體制(identity-based public key cryptography，ID-PKC)，使用身份信息(如電子郵箱、姓名等)直接作為公鑰，私鑰由可信第三方密鑰生成中心(key generation center，KGC)生成，存在惡意KGC的風險，導致密鑰托管問題。隨后，AI-Riyami等人[3]提出了無證書公鑰密碼體制(certificateless public key cryptography，CL-PKC),不僅避免了傳統(tǒng)公鑰密碼體制的證書管理，也解決了基于身份的公鑰密碼體制中的密鑰托管問題。在CL-PKC中，KGC根據(jù)用戶的身份為其生成部分私鑰，用戶基于KGC為其計算的部分私鑰和隨機選取的秘密值生成最終的私鑰，公鑰由用戶的秘密值和部分私鑰構(gòu)成。也就是說，CL-PKC中用戶本身參與私鑰和公鑰的生成，KGC不會知道用戶的密鑰，也就不存在密鑰托管的風險。

最近提出的一些方案建議聚合單個計量數(shù)據(jù)來保護用戶隱私[4-7]。同態(tài)加密(homomorphic encryption，HE)是實現(xiàn)聚合的有效方法，每個用戶使用加法同態(tài)加密他的數(shù)據(jù)，然后將密文發(fā)送給網(wǎng)關(guān)，由于加法同態(tài)的性質(zhì)，網(wǎng)關(guān)進行解密可以獲得計量數(shù)據(jù)的總和。Garcia等人[4]提出一種多方計算協(xié)議，它允許鄰域中的多個智能電表計算其部分數(shù)據(jù)的聚合，通過使用Paillier的加法同態(tài)性質(zhì)，使得單個的計量數(shù)據(jù)無法揭露。但是由于方案要求本地變電站完全聚合計量數(shù)據(jù)，造成巨大的計算和通信開銷，而加法同態(tài)加密方案已滿足大數(shù)據(jù)應用的要求。Li等人[6-7]提出一種用于智能電網(wǎng)的分布式網(wǎng)內(nèi)聚合方案，該方案使用Paillier的同態(tài)加密將源智能電表到網(wǎng)關(guān)中所有智能電表的計量數(shù)據(jù)進行聚合，從第一個電表開始，路徑上的每個智能電表將前一個智能電表發(fā)來的數(shù)據(jù)與自己的計量數(shù)據(jù)進行聚合，然后再發(fā)送給下一個智能電表，直到網(wǎng)關(guān)用其私鑰解密聚合密文，并且在不知道單獨計量數(shù)據(jù)的情況下獲得該路徑上所有智能電表計量數(shù)據(jù)的總和。該方案雖然在計算和通信方面有效，但是容易受到中間惡意電表和外部攻擊者在發(fā)送途中偽造中間聚合數(shù)據(jù)。

應用加法同態(tài)的一個重要問題就是防止數(shù)據(jù)在發(fā)送途中受到攻擊。在實際中存在這樣一類攻擊者，他們針對加密電子設備在運行過程中的時間消耗、功率消耗或電磁輻射之類的側(cè)信道信息泄露而對加密設備進行攻擊，此獲得設備私鑰的一部分，這將導致重要信息的泄漏。為了抵御側(cè)信道攻擊，許多研究人員引入并提出了泄露彈性(leakage-resilient，LR)密碼[7-8]模型?，F(xiàn)有的泄漏模型可分為三類：(1)有界泄漏模型[9]。在系統(tǒng)生命周期內(nèi)，對手可以自適應地選擇一個可計算的泄漏函數(shù)f，它輸入私鑰并在有界泄漏模型中獲得泄漏函數(shù)f(SK)的輸出。由于整個過程中私鑰的總泄漏量是有界的，有效限制了泄漏函數(shù)f獲得完整的私鑰信息。(2)連續(xù)泄漏模型[10]。在連續(xù)泄漏模型中，私鑰定期更新。兩個連續(xù)私鑰更新之間私鑰泄漏的泄漏量是有界的，但在整個過程中總泄漏量是無限的。構(gòu)造連續(xù)泄露模型下安全的密碼系統(tǒng)的主要問題在于如何更新私鑰，使得不同時段的泄露無法有意義地合并出整個私鑰，而導致密碼系統(tǒng)崩潰。(3)輔助輸入模型[11]。在系統(tǒng)生命周期內(nèi)，無論信息泄露多少，即使在理論上私鑰全部泄露，依然不存在概率多項式(PPT)攻擊者可以用不可忽略的概率從f(SK)恢復SK。也就是說，即使這樣的功能信息理論上揭示了整個私鑰SK，但是在計算上仍然是不可行的。

為了解決實際應用中的密鑰泄露問題，抗泄露加密方案[12]被陸續(xù)提出。Wang等人[13]提出了基于身份的泄露彈性加法同態(tài)加密方案,并在標準模型中證明了它的安全性，但是這種方案存在密鑰托管的風險。Xiong等人[14]提出了第一個泄露彈性無證書公鑰加密(LR-CL-PKE)方案，該方案基于雙線性對和非交互式零知識證明系統(tǒng)構(gòu)造，但并未給出非交互式零知識系統(tǒng)的具體構(gòu)造方法，導致方案的計算效率難以評估。Zhou等人[15]提出一個不含雙線性對的抗泄露無證書公鑰加密方案，并且證明了該方案在選擇明文攻擊(chosen ciphertext attacks，CCA2)下的安全性。

文中旨在為智能電網(wǎng)提出一種安全有效的數(shù)據(jù)聚合和隱私保護協(xié)議，該協(xié)議不僅可以避免密鑰托管，還可用于實現(xiàn)網(wǎng)關(guān)抗泄露。通過修改Wang等人的方案[16]，設計了一種基于抗泄漏無證書同態(tài)加密的智能電網(wǎng)數(shù)據(jù)聚合和隱私保護協(xié)議。為了有效解決加密系統(tǒng)中的密鑰托管問題，使用了無證書的加密方案，解決了基于身份的加密系統(tǒng)中的可信第三方問題；考慮到網(wǎng)關(guān)常年暴露在戶外，攻擊者通過側(cè)信道攻擊很容易獲得私鑰的部分比特，在協(xié)議中使用改進的Goldreich-Leivin定理防止網(wǎng)關(guān)的密鑰泄露；同時，智能電網(wǎng)需要實時收集用戶數(shù)據(jù)并進行細粒度分析，在協(xié)議中利用加法同態(tài)的性質(zhì)，使得網(wǎng)關(guān)在不知道單獨計量數(shù)據(jù)的情況下獲得該地區(qū)的總用電數(shù)據(jù)，有效防止攻擊者竊取單獨用戶的用電信息。

1 基礎(chǔ)知識

1.1 數(shù)學概念

1.1.1 雙線性映射

設p是一個大素數(shù)，G和GT是兩個階為p的循環(huán)加法群和循環(huán)乘法群。G到GT的雙線性映射e:G×G→GT滿足下面的性質(zhì)：

(1)雙線性：對于?P,Q∈G，a,b∈Z，有e(aP,bQ)=e(P,Q)ab。

(2)非退化性：?P,Q∈G，使得e(P,Q)≠1。

(3)可計算性：對于?P,Q∈G，存在一個有效算法計算e(P,Q)。

1.1.2 計算Diffie-Hellman(CDH)假設

設G是階為p的循環(huán)群，k為群生成算法Gen(1k)的安全參數(shù)，g為G的生成元，則計算Diffie-Hellman(CDH)假設定義為：

1.1.3 判定型雙線性Diffie-Hellman(DBDH)假設

設G和GT是階為素數(shù)p的兩個循環(huán)群，λ為群生成算法Gen(1λ)的安全參數(shù)，g為G的生成元，e:G×G→GT為G到GT的一個雙線性映射。則上的判定型雙線性Diffie-Hellman(DBDH)假設定義為：

1.2 強提取器

定義1(單向散列函數(shù)族)：設How(ε)是任意多項式時間可計算函數(shù)f:{0,1}n→{0,1}*的類。給定隨機數(shù)x，計算y=f(x)，如果滿足對于任何PPT算法從y=f(x)中恢復x的概率都小于ε，那么How(ε)稱為單向散列函數(shù)族。

|Pr[Α(s,f(x),SE(s,x)=1]-

Pr[Α(s,f(x),γ=1)]|<δ

定義3(改進的Goldreich-Levin定理)：設p是一個大素數(shù)，H為GF(p)的任意子集，Hn→{0,1}*的映射f為任意多項式時間可計算函數(shù)，然后從Hn中隨機選擇向量x，計算y=f(x)。從GF(p)n中隨機選擇矢量s，并從GF(p)中隨機選擇u。如果存在一個運行時間為t的任意概率多項式時間(PPT)算法Α，使得

|Pr[Α(y,s,=1]-

Pr[Α(y,s,u=1)]|=ε

則存在一個運行時間為t'=t·poly(n,p,1/ε)的算法Β，它從y計算出x的概率為：

然后，根據(jù)改進的Goldreich-Levin定理從內(nèi)積構(gòu)造帶有輔助輸入的(ε,δ)-強提取器。

2 協(xié)議設計

2.1 基于抗泄漏無證書同態(tài)加密和簽名方案

2.1.1 基本概念

基于抗泄漏無證書同態(tài)簽密方案Γ由設置、部分私鑰提取、設置秘密值、設置私鑰、設置公鑰、簽密、解簽密7個算法組成。通常,設置和部分私鑰提取由KGC執(zhí)行,而其他算法由加密或解密用戶執(zhí)行。以下是各個算法的描述:

·Setup(1λ)：KGC以安全參數(shù)λ作為輸入，生成雙線性群參數(shù)(G,GT,e:G×G→GT)，其中g(shù)是G的生成元，gt是GT的生成元。隨機選擇s∈Zq作為主密鑰，即Smsk=s，并設置主公鑰為mpk=gs。選擇加密散列函數(shù)H1:{0,1}*→G，H2:{0,1}*→G和H3={0,1}*×G×G→Zq。公開系統(tǒng)參數(shù)params={q,G,GT,g,gt,e,H1,H2,H3}。

·PartialPrivateKeyExtract(params,ID,Smsk)：KGC隨機選擇r1,…,rm∈Zq，計算R1=gr1,…,Rm=grm，將y1=r1+SmskH3(ID,X1,R1)，…，ym=rm+SmskH3(ID,Xm,Rm)作為部分私鑰，再計算Y1=gy1,…,Ym=gym，輸出部分私鑰dID=(y1,…,ym)。

·SetSecretValue(params,ID,dID)：用戶隨機選擇xID=(x1,…,xm)作為秘密值。

·SetPrivateKey(params,ID,dID,xID)：輸出用戶的私鑰為skID=(x1+y1,…,xm+ym)。

·SetPublicKey(params,ID,dID,xID)：輸出該用戶的公鑰pkID=(X1Y1,…,XmYm)。

2.1.2 安全證明

Wang等人已經(jīng)證明他們提出的基于身份的加密方案在DBDH和CDH假設下是CPA安全的，由于基于身份的加密中本身存在惡意的KGC攻擊，所以文中提出的無證書方案對于Ⅱ型攻擊者也是CPA安全的。下面證明文中方案對于Ⅰ型攻擊者的安全性，設F表示多項式時間可計算泄漏函數(shù)族，Γ表示基于抗泄漏無證書同態(tài)加密方案。

定理1：如果沒有任何多項式時間的攻擊者能夠以不可忽略的優(yōu)勢贏得下列游戲，那么文中方案對Ⅰ型攻擊者是CPA安全的。

證明：(Game0)給定挑戰(zhàn)者C一組輸入(g,p,e,gα1,gα2,gα3,hi)，其中h0=e(g,g)x,x∈RZp，h1=e(g,g)α1α2α3，以進行下列詢問應答。

·設置：挑戰(zhàn)者C運行Setup(1λ)，將主公鑰mpk發(fā)送給攻擊者A。C還保持一個列表LID。

·H1查詢：當A對身份ID進行查詢時，C隨機選擇j∈{0,1}和t∈Zp，當j=0時，令H1(ID)=gt，當j=1時，令H1(ID)=yt，然后將元組(ID,H1,j)添加到表LID中。

·部分私鑰查詢：C首先檢查LID中是否有元組(ID,dID,pkID,xID,j)，如果有，C將dID返回給A。否則，將j設為1，計算did=mpkt和pkID=xID，并將元組(ID,dID,pkID,xID,j)添加到表LID中。

·公鑰查詢：C首先檢查LID中是否有元組(ID,pkID,xID,j)，如果有，C將pkID返回給A。否則，將j設為1，C隨機選擇w∈Zp，令pkID=gα1和xID=α1并將pkID返回給A，將元組(ID,pkID,xID,j)添加到表LID中。

·私鑰查詢：C首先檢查LID中是否有元組(ID,dID,pkID,skID,j)，如果有，C將skID返回給A。否則，C首先進行部分私鑰查詢得到dID，然后進行公鑰查詢得到pkID=gα1和xID=α1，并將這些值添加到表LID中，將skID=(dID,α1)返回給A。

·H2查詢：當A對元組(C,T)進行查詢時，C首先檢查LID中是否有元組(C,T,l,j)，如果有，就將H2的定義返回給A，否則，C隨機選擇l∈Zp，令H2(ID)=gt，然后將元組(C,T,l,j)添加到表LID中。

·泄露查詢：A選擇f∈F進行密鑰泄漏查詢，C用f(skID)進行響應。

·簽名查詢：當A對身份ID和CT進行查詢時，C首先恢復先前定義的H1，然后，設置C1=gα3并將其返回給A。

·輸出：A輸出b的猜測位b'。

定理2：如果SE是帶有輔助輸入的(ε,δ)-強提取器，那么文中方案Γ相對于族How(ε)是AI-CPA安全的。

·設置：挑戰(zhàn)者C運行Setup(1λ)，并將主公鑰mpk發(fā)送給攻擊者A。挑戰(zhàn)者C保密msk。

·查詢：查詢部分與Game0相同。

·挑戰(zhàn)：A向C發(fā)送兩條關(guān)于身份ID*的長度相同的消息m0和m1，C選擇一個隨機位b，然后對mb進行加密，并將密文CT=(C1,C2)=(g3,gtmb·e(g,g)h2)(i=0,1)返回給A。

·輸出：攻擊者A輸出b的猜測位b'。

如果b'=b，則A贏得上述游戲。

該方案的加法同態(tài)特性如下：

Encrypt(params,ID,M+M',pk)

2.2 基于抗泄漏無證書同態(tài)加密的智能電網(wǎng)數(shù)據(jù)聚合和隱私保護協(xié)議

2.2.1 系統(tǒng)模型

系統(tǒng)模型由四個部分組成，如圖1所示。第一個部分是密鑰生成中心(KGC)，SM、AGW和ESP分別需要與KGC進行交互，用無證書方式生成私鑰。首先，實體選擇秘密值并生成公共元素發(fā)送給KGC，然后，KGC生成部分私鑰再發(fā)送給實體，最后，實體根據(jù)接收到的部分私鑰結(jié)合秘密值生成最終私鑰和公鑰。第二個部分是智能電表(SM)，SM計量各自的用電數(shù)據(jù)并用自己的私鑰加密然后進行簽名，然后再將密文和簽名發(fā)送給AGW。第三個部分是區(qū)域網(wǎng)關(guān)(AGW)，AGW首先驗證SM發(fā)來的簽名是否正確，如果正確，則接收密文，然后對電表傳來的密文進行聚合，并進行簽名。第四個部分是電力服務提供商(ESP)，ESP首先驗證網(wǎng)關(guān)身份，如果通過，則解密聚合電量。由于聚合密文使用的是加法同態(tài)加密，所以ESP在解密完密文之后可以獲得該地區(qū)各個用戶的用電數(shù)據(jù)，方便靈活分析并對該區(qū)域的電力實施高效調(diào)控。

圖1 智能電網(wǎng)的系統(tǒng)模型

2.2.2 協(xié)議構(gòu)建

(1)系統(tǒng)初始化。

步驟1：KGC以安全參數(shù)λ作為輸入，生成雙線性群參數(shù)(G,GT,e:G×G→GT)，其中，G和GT具有素數(shù)階q>2λ，設g是G的生成元，gt是GT的生成元。

步驟2：隨機選擇s∈Zq作為主密鑰，即Smsk=s，并設置主公鑰為Ppub=gs。

步驟3：選擇加密散列函數(shù)H1:{0,1}*→G，H2:{0,1}*→G和H3:{0,1}*×G×G→Zq。

步驟4：KGC公開系統(tǒng)參數(shù)params={q,G,GT,g,gt,e,Ppub,H1,H2,H3}。

(2)實體注冊。

步驟1 智能電表注冊：一個區(qū)域網(wǎng)內(nèi)有n個智能電表，每個智能電表通過無證書方式與KGC交互生成私鑰，其中第i個智能電表的私鑰為skIDi。

步驟1.1 設置秘密值：智能電表隨機選擇秘密值xIDi∈Zq，計算公共元素XIDi=gxIDi，將身份IDi和公共元素XIDi發(fā)送給KGC。

步驟1.2 部分私鑰提?。篕GC隨機選擇秘密值rIDi∈Zq，計算RIDi=grIDi，yIDi=rIDi+SmskH3(IDi,XIDi,RIDi)，然后計算YIDi=gyIDi，并發(fā)送RIDi，部分私鑰yIDi和YIDi給智能電表。

步驟1.3 設置私鑰：智能電表設置skIDi=xIDi+yIDi作為私鑰。

步驟1.4 設置公鑰：智能電表計算pkIDi=XIDiYIDi作為公鑰。

步驟2 網(wǎng)關(guān)注冊：網(wǎng)關(guān)使用無證書方式與KGC交互生成私鑰。

步驟2.1 設置秘密值：網(wǎng)關(guān)隨機選擇秘密值xIDc∈Zq，用于將部分私鑰轉(zhuǎn)換為私鑰，網(wǎng)關(guān)保密xIDc，計算公共元素XIDc=gxIDc，將身份IDc和公共元素XIDc發(fā)送給KGC。

步驟2.2 部分私鑰提?。篕GC隨機選擇秘密值r∈Zq，設置R=gr，然后計算yIDc=r+SmskH3(IDc,XIDc,R)作為部分私鑰，再計算YIDc=gyIDc，并將R，YIDc和部分私鑰yIDc發(fā)送給網(wǎng)關(guān)。

步驟2.3 設置密鑰：網(wǎng)關(guān)設置skIDc=xIDc+yIDc作為最終私鑰，計算pkIDc=XIDcYIDc作為公鑰。

步驟3 ESP注冊：KGC和ESP執(zhí)行交互協(xié)議，用無證書方式生成私鑰：

步驟3.1 設置秘密值：ESP隨機選擇秘密值x1,…,xm∈Zq，計算公共元素X1=gx1，…，Xm=gxm，將身份IDesp和公共元素X1,…,Xm發(fā)送給KGC。

步驟3.2 部分私鑰提?。篕GC隨機選擇秘密值r1,…,rm∈Zq，計算R1=gr1,…,Rm=grm，將y1=r1+SmskH3(IDesp,X1,R1),…,ym=rm+SmskH3(IDesp,Xm,Rm)作為部分私鑰，再計算Y1=gy1,…,Ym=gym，并發(fā)送R1,…,Rm，部分私鑰y1,…,ym和Y1，…,Ym給ESP。

步驟3.3 設置私鑰：輸入系統(tǒng)參數(shù)params，ESP身份IDesp，部分私鑰y1,…,ym和秘密值x1,…,xm，ESP私鑰為sk=(x1+y1,…,xm+ym)。

步驟3.4 設置公鑰：ESP計算pk=(X1Y1，…，XmYm)作為公鑰。

步驟4 計算W=(W1,…,Wm)=(e(X1Y1,H1(IDesp)),…,e(XmYm,H1(IDesp)))的值，KGC將其發(fā)送到所有智能電網(wǎng)設備。

(3)收集階段。

步驟2 智能電表進行數(shù)字簽名：設Ti為當前時間戳，智能電表計算簽名Vi=H2(C2i||Ti)skIDi，并將(CTi,Vi,Ti)發(fā)送到網(wǎng)關(guān)。

步驟3 網(wǎng)關(guān)驗證電表身份：網(wǎng)關(guān)首先驗證e(g,Vi)=e(pkIDi,H2(C2i||Ti))是否成立來檢查電表發(fā)送的密文，如果成立，則網(wǎng)關(guān)接收電表上傳的數(shù)據(jù)，否則拒絕。

(4)聚合階段。

步驟2 網(wǎng)關(guān)進行數(shù)字簽名：設Tc為網(wǎng)關(guān)當前時間戳，計算簽名V=H2(C2||Tc)skIDc。

(5)解密階段。

步驟1 ESP驗證網(wǎng)關(guān)身份：ESP首先計算e(g,V)=e(pkIDc,H2(C2||Tc))是否成立，如果成立，則ESP接收網(wǎng)關(guān)上傳的數(shù)據(jù)，否則拒絕。

3 安全性分析

文中設計的安全有效的基于抗泄漏無證書同態(tài)加密的智能電網(wǎng)數(shù)據(jù)聚合和隱私保護協(xié)議旨在防止網(wǎng)關(guān)暴露在開放環(huán)境中的密鑰泄露問題，并防止未授權(quán)對象讀取電表數(shù)據(jù)并進行細粒度分析。在本節(jié)中，針對協(xié)議的一系列攻擊進行正式安全和隱私分析。

3.1 抵御側(cè)信道攻擊

3.2 抵御中間人攻擊

中間人攻擊是模仿合法的角色，通過讀取發(fā)送方的信息向接收方發(fā)送虛假的消息。在智能電網(wǎng)系統(tǒng)中存在兩個中間人攻擊。一種是智能電表與網(wǎng)關(guān)之間的攻擊，假的智能電表向網(wǎng)關(guān)發(fā)送錯誤的計量數(shù)據(jù)。在該協(xié)議中，電表在發(fā)送數(shù)據(jù)之前需要先和網(wǎng)關(guān)驗證身份，定理2證明了基于抗泄漏無證書同態(tài)簽密方案是安全的，所以攻擊者無法獲得智能電表的私鑰，以此通過身份驗證。另一種是網(wǎng)關(guān)和ESP之間的攻擊，攻擊者通過模仿網(wǎng)關(guān)向ESP發(fā)送聚合電量。在該協(xié)議中，網(wǎng)關(guān)通過將聚合數(shù)據(jù)添加在簽名中，攻擊者即使獲得了網(wǎng)關(guān)的私鑰，也不可能偽造出正確的簽名，通過身份驗證，因此該協(xié)議可以抵御中間人攻擊。

3.3 抵御內(nèi)部攻擊

3.4 抵御網(wǎng)關(guān)和N-1個智能電表合謀攻擊

3.5 抵御ESP和N-2個智能電表合謀攻擊

當網(wǎng)關(guān)和N-2個智能電表展開合謀攻擊，除了兩個智能電表SMi和SMj以外的所有電表都是不誠實的。在這種情況下，ESP和N-2個智能電表試圖區(qū)分兩個誠實的智能電表的明文。假設網(wǎng)關(guān)也是誠實的，定理1的證明表示在基于抗泄漏無證書同態(tài)簽密方案中，攻擊者區(qū)分兩條長度相同的挑戰(zhàn)密文的概率可忽略不計，也就是說即使攻擊者得到了電表SMi和SMj的密文，也無法區(qū)分出每個電表相對應的明文，因此該協(xié)議可以抵抗ESP和N-2個智能電表合謀攻擊。

3.6 抵御重放攻擊

如果攻擊者獲得雙方發(fā)送過的信息，他攔截通信并惡意重放信息來達到欺騙系統(tǒng)的目的，這稱為重放攻擊。在該協(xié)議中，使用當前時間戳來抵御重放攻擊。如果攻擊者想要模仿簽名中的時間戳來重放簽名，必須先獲得設備的密鑰，但是攻擊者獲得私鑰的概率忽略不計，因此攻擊者不可能進行重放攻擊。

4 結(jié)束語

隨著大規(guī)模物聯(lián)網(wǎng)的發(fā)展，用戶的隱私受到了越來越多的威脅，在智能電網(wǎng)中，攻擊者可以通過竊取用戶的用電數(shù)據(jù)，以此分析該用戶的行為模式。文中設計了一個基于抗泄漏無證書同態(tài)加密的用戶電力數(shù)據(jù)聚合和隱私保護協(xié)議，該協(xié)議主要將彈性泄露密碼體制與無證書同態(tài)加密技術(shù)相結(jié)合，在用戶隱私保護與實時電量數(shù)據(jù)之間實現(xiàn)一個良好的平衡，并且通過在智能電網(wǎng)的典型攻擊下的安全屬性分析，體現(xiàn)了協(xié)議實現(xiàn)的安全性能。

但現(xiàn)在只是實現(xiàn)協(xié)議安全性的理論證明，下一步工作可以使用密碼學協(xié)議的自動形式化驗證分析來驗證協(xié)議的安全性，更進一步可以搭建智能電網(wǎng)系統(tǒng)的模擬實驗環(huán)境，使用設計的認證協(xié)議來進行安全性分析，從而進一步完善協(xié)議。