后量子的智能电表隐私保护方案

田杨童 张 煌 谢少浩 张方国

(中山大学数据科学与计算机学院 广州 510006)(广东省信息安全技术重点实验室(中山大学) 广州 510006)

近年来，随着监控、传感、控制和通信等技术的不断发展，传统电网正在逐步被智能电网(smart gird)所取代[1]，相较于前者，后者可以在公共电力供应商与其用户之间实时传输信息[2]，以实现高效的配电与输电[3].总的来说，智能电网就是将信息技术、通信技术、计算机技术和原有的输电、配电基础设施高度集成而形成的新型电网[4]，可以提高能源效率、减少对环境的影响、提高供电的安全性和可靠性、降低输电网的电能损耗[4].

智能电网能够通过由智能电表等实体组成的高级计量基础设施(advanced metering infrastructure, AMI)进行周期性、高频率的数据采集[3]，以监测实体的各种状态，如电力消耗、负载平衡、资源分配等.这种细粒度的能源相关数据可以支持智能配电、能耗监管和能源管理[1]，但也带来了安全和隐私方面的挑战.例如，恶意用户通过远程访问电表或捕获智能电表和供应商之间的计量数据可以访问用户能耗数据.对这种精细的高频能量使用数据进行分析可以得到消费者的行为和生活习惯等隐私信息，如工作时间、用餐时间、娱乐时间、房屋占用时间等[5].解决安全与隐私问题已成为智能电表部署的关键要求[6].

由美国国家标准与技术研究院(National Institute of Standards and Technology, NIST)智能电网互操作性小组发布的智能电网网络安全综合指南[7]指出，智能电网最重要的安全目标为CIA[8]，即机密性(confidentiality)、完整性(integrity)和可用性(availability).机密性限制未经授权的对信息的访问和披露，以保护个人隐私和专有信息.数据完整性是智能电网系统信息安全的支柱[9]，确保防止未经授权的信息修改和破坏，以保证信息的不可抵赖性和真实性.完整性丧失是指未经授权修改或破坏信息，并可能进一步导致有关能源管理的错误决策.可用性的目标是确保授权用户可以对信息进行及时、可靠的访问和使用.可用性的丧失是对信息的访问或使用的中断，可能进一步破坏电力传输[10].

基于上述智能电网的隐私问题和安全目标，并综合考量方案的可用性、可扩展性和可进化性等关键事项[11]，相关学者对其隐私保护方案的设计进行了大量研究.目前智能电网隐私保护方法可分为非密码的和基于密码的2类.

非密码技术使用工程基础设施来混淆消费者的实际电能使用量.主要包括基于电池的负载隐藏(battery-based load hiding, BLH)和基于物理不可克隆函数(physical unclonable functions, PUF)两种方法[3].BLH使用可充电电池部分供应能量需求，以控制仪表读数来隐藏实际的能量消耗.第2类非密码学方法PUF通过使用物理结构中的单向功能来实现消费者隐私[12].但此类方法大都需要额外安装与维护设备，成本较高.故研究者希望能在现有的智能电网架构下设计出合理的用户隐私保护方案，基于密码技术的方法多是根据这种思想来设计的.

基于密码技术的隐私保护方法可以定义为将分布式计算泄露的信息限制为可从指定的计算输出中学习到的信息的方法[13]，分为数据混淆、数据聚合和身份匿名3类.数据混淆可以通过应用随机噪声[14]或对细粒度能耗数据使用适当的代数变换来掩盖原始数据[15].第2种方法是数据聚合，使用网络中的聚合器，通过sum或average等函数连接和汇总来自多个设备的数据包，再将聚合后的数据发送到电力服务公司.数据匿名的目的是将用户身份与其能耗数据分开[16-17].其想法为电力供应商将收到足够的信息来计算所需的信息，但不足以将数据与某一特定的智能电表或用户相关联.可以利用(可链接)匿名证书[18-19]、群签名[20-21]、(可链接)环签名[22-23]等密码技术实现数据匿名.

而现有的隐私保护研究工作少有考虑到量子安全性.量子计算技术正在飞速发展，基于格(lattice)的密码学是一类经典的后量子密码，被公认为是后量子密码算法标准最有力的竞争者[24]，在安全性方面拥有很大的潜力[25].

结合当前智能电表的数据传输机制安全性不高以及量子信息科学快速发展的实际情况，本文提出了一个后量子的智能电网隐私保护方案.我们的方案改进了现有的应用于智能电网的数据采集阶段的基于静态可链接环签名的可以追踪非法用户的保护用户隐私的数据采集方案[23]，利用格密码将其隐私性扩展到量子计算领域，并且将签名尺寸由同用户数目N成线性关系改进到对数级别.并且方案通过使用基于格的后量子签名方案拥有动态用户加入与删除的功能，加强其灵活性和可用性.

为了构造本文方案，我们选择目前基于格的签名尺寸为对数级别的环签名方案中较为先进的工作[26]，并对其进行了改进以增加可链接性.将此可链接环签名方案用于智能电表隐私保护系统，使得系统即使面对量子计算机也能很好地保护用户的个人隐私，同时也可以实现异常用户的检测.

1 预备知识

1.1 符号说明

δl,i表示克罗内克函数，对于l=i，δl,i=1；对l≠i，δl,i=0.函数v=negl(λ)表示函数v(λ)是可以忽略的，即v(λ)<1λc对于任意c>0和任何足够大的λ都成立.

1.2 承诺方案

承诺方案(commitment scheme)的概念由Chor等人[27]提出，主要用于可验证的秘密分享.承诺者随机选择r值以构造对消息值m的承诺c=Comck(m;r)并将c发送给接收者.发送者后来透露被承诺值的相关消息给接收者，以供接收者确认这个打开值(opening)并检查它确实就是最初承诺过的那个值.

此类承诺方案的基本安全性质为隐藏性和绑定性.隐藏性(hiding)为承诺不会泄露被承诺值的任何信息，即不能通过c得到关于m或r的信息.绑定性(binding)则是不能打开一个承诺到2个不同的值，即打开c=Comck(m;r)到m′,r′(m≠m′或r≠r′)发生的概率是可以忽略的.

Comck(m;r)=Comck(m1,m2,…,mv;r)=

此承诺方案拥有加法同态性：Comck(a;r1)+Comck(b;r2)=Comck(a+b;r1+r2)，且对∀γ∈Rq都有：γComck(m;r)=Comck(γm;γr).它对素数是统计隐藏的，其计算绑定性依赖于当时Module-SISn,m+v,q,θ问题的困难性[26].

定义2.Module-SISn,m,q,θ问题[28].令Rq=Zq[X](Xd+1).给它的每个分量随机均匀且独立的选取.问题要求找到使得Az=0modq且

1.3 Σ协议

1) 3-move形式.

1.4 拒绝采样

拒绝采样技术[29]可以防止泄露信息，其想法是以一个确定的概率输出响应，否则终止.

其中,σ=12T，M=e.则会输出向量的概率大于与的输出之间的统计距离为

1.5 基于格的环签名方案

环签名的概念是由Rivest,Shamir和Tauman在2001年[30]提出的，环签名中的每个用户都可以选择包括自己的任何一组可能的签名者组成环，并通过使用自己的密钥和其他成员的公钥来代表整个环对任意消息进行签名，而无需获得他们的批准或帮助.

一个安全的环签名的性质有正确性、不可伪造性和匿名性.正确性为环中任意成员进行环签名过程后得到的签名不能通过验证的概率可以忽略.不可伪造性为任何不在环中的成员生成代表该环的签名并且通过验证的概率可以忽略.匿名性体现在任何人无法知道签名的真正签名者，在大小为N的环中，验证者能够确定签名者真正身份的概率不超过1N.

Esgin等人提出的环签名方案[26]是体现目前最先进水平的基于格的环签名方案之一，环签名大小与环成员个数N成对数关系，即O(logN)，其安全性基于Module-SIS问题的困难性.该环签名方案将one-out-of-many证明从离散对数设置[31-32]扩展到了格设置，并以基于格的one-out-of-many证明作为构建块来设计基于格的环签名方案.one-out-of-many证明中证明者的目标是说服验证者他知道一组承诺中的一个承诺的打开值，而不透露他具体拥有哪一个.

Esgin等人介绍了一个基于格的one-out-of-many协议，其可以证明证明者知道一组承诺(共N=βk个)中的一个打开为0的承诺中的随机数，即证明cl是一个打开为0的承诺且知道其随机数r，即cl=Comck(0;r)，其中下标l∈{0,1,…,N-1}.

(1)

协议中的响应是取决于某些秘密值的，所以响应不能在域中均匀分布，这妨碍了此协议的零知识性，故使用到1.4节介绍的拒绝采样.协议以p的概率(参见文献[26]的定理2)为一个(k+1)-特殊稳健性的Σ协议.

此one-out-of-many协议允许构造短的环签名方案，用户对其私钥sk进行承诺得到用户公钥pk，签名者证明他知道一组用于构造环的承诺(公钥)中的一个的打开为0的承诺中的随机数(即知道私钥).环签名方案为了达到一个不可忽略的可靠性误差重复运行了r次Σ协议，拒绝采样应用于r-联通的向量.

当承诺方案为计算绑定且统计隐藏时，此环签名方案在相关参数设置下拥有统计正确性、匿名性和不可伪造性.

1.6 可链接环签名

可链接环签名(linkable ring signature)为环签名增添了可链接性[33].一个可链接环签名方案包括5个有效的算法(RSetup,RKgen,RSign,RVerify,RLink)：

1)pp←RSetup(1λ).输入安全参数λ，生成并公开系统参数pp.

2) (pk,sk)←RKgen(pp).根据系统参数生成环成员的公私钥对(pk,sk).

3)σ←Rsignpp,sk(M,L).输出关于消息M、环L的签名σ，要求sk是由RKgen(pp)生成的，且其对应公钥pk在环L中.

4) {0,1}←RVerifypp(M,L,σ).输入关于消息M、环L的签名σ，验证其有效性.若有效输出1，否则输出0.

5) {0,1}←RLinkpp(σ1,σ2).输入2个可以通过验证的签名σ1和σ2，若2个签名是可以链接起来的，输出1，否则输出0.

可链接环签名的安全性除了不可伪造性和匿名性之外增添了可链接性：签名者的身份仍保持匿名但由同一签名者签署的2个签名可以链接起来.它的可链接性和签名者匿名性的属性在各种现实应用场景中是非常理想的.

2 基于格的可链接环签名方案

2.1 方案详述

我们的基于格的可链接环签名LRS由算法五元组(LRS_Setup,LRS_Keygen,LRS_Sign,LRS_Verify,LRS_Link)组成.

我们改造1.5节提到的one-out-of-many证明，即文献[26]中的协议2，以期为LRS提供底层Σ协议Σ0，如图1所示.协议Σ0服务于关系：

定理2.若承诺方案为计算上绑定且统计上隐藏的，协议Σ0在参数设置为常数M=e，d≥7，md≥86,2U≥qnm×22λ(md)，素数q≡5 mod 8且时对于关系和为一个SHVZK且有(k+1)-特殊稳健性的Σ协议的概率(也就是此协议证明者的步骤～会输出响应而不至于终止协议的概率):

(2)

其中,f1=(f0,1,f0,2,…,fk-1,β-1),δ1=(δl0,1,δl0,2,…,δlk-1,β-1).

(ck,(c0,c1,…,cN-1),(l,r)) (ck,(c0,c1,…,cN-1))① rb←{-U,-U+1,…,U-1,U}md;② δ=(δl0,0,δl0,1,…,δlk-1,β-1);③ B=Comck(δ;rb);④ a0,1,a0,2,…,ak-1,β-1←Dd12k;⑤ rc←{-U,U+1,…,U-1,U}md;⑥ ra,rd←Dmd12U3md;⑦ forj=0,1,…,k-1 do⑧ aj,0=-∑β-1i=1aj,i;⑨ end for⑩ A=Comck(a0,0,a0,1,…,ak-1,β-1;ra);C=Comck({aj,i(1-2δlj,i)}k-1,β-1j,i=0;rc);D=Comck(-a20,0,-a20,1,…,-a2k-1,β-1;rd);forj=0,1,…,k-1 doρj←Dmd12U3md∕k;Ej=∑N-1i=0pi,jci+Comck(0;ρj);∕∗using pi,jin formula(1)∗∕Fj=G2ρj;end forK=G2r;A,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K→ ←x=Xωω←{0,1,…,2d-2,2d-1} fj,i=xδlj,i+aj,i∀j,∀i≠0;zb=x∙rb+ra;zc=x∙rc+rd;z=xk∙r-∑k-1i=0xjρj;abort with probability(1-p1∕N) from formula(2); if aborted Return ⊥; end ifA,B,C,D,{Ej}k-1j=0,{Fj}k-1j=0,K,{fj,i}k-1,β-1j=0,i=1,zb,zc,z→Accept if and only if all the following statements are satisfied:① forj=0,1,…,k-1 do②fj,0=x-∑β-1i=1fj,i;③ end for④ ∀j,∀i≠0:fj,i≤?60dk⑤ ∀j:fj,0≤?60dk(β-1)⑥ z,zb,zc≤?243mdU;⑦ f=(f0,0,f0,1,…,fk-1,β-1);⑧ g={fj,i(x-fj,i)}k-1,β-1j,i=0;⑨ xB+A=?Comck(f;zb);⑩ xC+D=?Comck(g;zc);∑N-1i=0∏k-1j=0fj,ij()ci-∑k-1j=0Ejxj=?Comck(0;z);Kxk-∑k-1j=0Fjxj=?G2z.

(3)

式(3)等号左侧第1个矩阵(记为V)为范德蒙矩阵.已知V可逆且其逆矩阵V-1的最后一行的元素记为α0,α1,…,αk，在式(3)两侧左乘V-1得到的矩阵最后一行的元素为

证毕.

1) 系统建立算法LRS_Setup(1λ).

输入：安全参数λ；

输出：全局参数pp=(ck,H).

③ck=(G1,G2)*承诺密钥*

④ returnpp=(ck,H).

2) 密钥生成算法LRS_Keygen(pp).

输入：全局参数pp=(ck,H)；

输出：公私钥对(pk,sk).

①r←{-U,…,U}md；

②c=Comck(0;r)=G1r*0是全0向量*；

③return(pk,sk)=(c,r).

3) 签名算法LRS_Signpp,sk(M,L).

输入：消息M和环L=(c0,c1,…,cN-1)，其中cl=Com(0;skl)，l∈{0,1,…,N-1}；

输出：用户l(l∈{0,1,…,N-1})使用其私钥skl代表环L对消息M的签名σ.

②K=G2skl;

③x=(x1,x2,…,xr)=H(ck,M,L,(CMT1,CMT2,…,CMTr),K);

④ fori=1 tordo

end for

⑤ if ∀i∈{1,2,…,r},RSPi≠⊥, do

returnσ

⑥ else返回步骤①;

⑦ end if

⑧ return ⊥.

4) 签名验证算法LRS_Verifypp,sk(M,L,σ).

① ifσ=⊥ return 0;

② ifx≠H(ck,M,L,(CMT1,CMT2,…,CMTr),K) return 0;

③ fori=1 tordo

④ return 1.

5) 链接性验证算法LRS_Link(pp,σ1,σ2).

输入：2个合法的签名σ1和σ2；

①σ1=(…,K1,…)，σ2=(…,K2,…)；

② ifK1=K2do

③ return 1；

④ else return 0.

(4)

2.2 安全性分析

由于此可链接环签名只是在1.5节中描述的环签名方案中增添了可链接性，由协议Σ0的SHVZK，易知添加的可链接元素K并不会影响环签名的匿名性和不可伪造性，故LRS的安全性是可以继承文献[26]中的环签名方案的，其拥有匿名性和不可伪造性.

使用文献[26]的定理4中证明不可伪造性的思想来构造矛盾以证明可链接性.证明中将用到PKGen，Sign，Corrupt和随机预言机H这4类预言机：

1)pki←PKGen(⊥).当第i次询问时，PKGen以新的随机硬币值运行RKgen(pp)并返回公钥pki.

2)skj←Corrupt(pkj).若pkj是由PKGen生成的，返回对应的私钥skj.

3)σ←Sign(skj,M,L).运行RSignpp,skj(M,L)以获得一个签名σ.(skj,pkj)是由PKGen生成的.

4) 随机预言机H.以其定义域中的一个元素为输入，返回其值域中对应的元素.

1)j←{1,2,…,qH+qS}

2)ψ←Ψ

② Corrupt(pkj).若pkj是由PKGen生成的，返回对应的私钥skj.Corrupt仅允许被查询一次.

④H1(ck,M,L,(CMT1,CMT2,…,CMTr),K).若元组之前被询问过，返回之前设定的x值.否则给出新的输出为H(ck,M,L,(CMT1,CMT2,…,CMTr),K)=x并记录.

参考文献[26]中对不可伪造性的讨论易知击破承诺方案绑定性的概率为1poly(n).

证毕.

2.3 性能分析

依照文献[26]的方法，可以分析可链接环签名LRS的签名尺寸,如表1所示：

Table 1 The Analysis of Our Linkable Ring Signature Size表1 可链接环签名尺寸分析

当安全参数设置为λ=100时，此可链接环签名的表现如表2所示，签名的尺寸随着环大小N的增加而增加，且是次线性关系，为O(logN).

Table 2 Our Linkable Ring Signature Size Growth with Respect to Ring Zize

3 后量子的隐私保护数据采集方案

3.1 方案简介

我们的隐私保护方案基于3层的智能电网结构，主要包括主站、数据集中器与智能电表3种数据传输设备，结构如图2所示.电力服务公司在每个小区建立基站作为电力服务公司的代理，即小区数据集中器Con，该小区的数据先由用户智能电表发送到集中器做处理，再发送到电力服务公司.

Fig. 2 Three-tier structure of smart grid图2 智能电网3层结构示意图

我们利用在第2节中介绍的基于格的可链接环签名LRS，将文献[23]中提出的保护用户隐私的数据采集方案改进为抗量子计算的，并且选取一个后量子签名方案(如已经通过NIST后量子密码学标准项目[24]第2轮筛选的基于格的数字签名方案qTESLA[34])，以提供动态用户加入和撤销功能.

本数据采集方案主要关注用户的能耗数据自智能电表上传到小区集中器的传输过程中的隐私保护.同一小区集中器下辖的所有智能电表构成一个环，收集这些智能电表的公钥信息后公开.智能电表采集到实时数据后用可链接环签名对数据信息进行签名，然后将信息-签名对发送给小区集中器，通过集中器验证及异常检测后，数据将被上传至后台主站作进一步处理.基于可链接环签名的性质，签名用户具有匿名性，集中器或其他用户无法将用电情况和真实用户身份一一对应，实现了用户的隐私保护.

集中器持有签名私钥，公开其签名公钥.当有用户动态加入或撤销时，集中器将该用户的公钥在环中增加或删除，更新环组成.集中器对更新后的环进行签名，并将消息-签名对广播给各成员.各用户收到信息后，使用集中器的公钥进行验证，若验证通过则更新智能电表所存储的系统公共参数中的环组成，就可以实现智能电表的动态加入与撤销，而不需要重新初始化整个系统.

3.2 方案详述

本方案主要包括系统初始化、数据上传、数据认证、异常检测和用户动态加入(撤销)共5个阶段.

记一个小区内的N个用户为{U0,U1,…,UN-1}，该小区装有一台数据集中器Con，其下安装N台智能电表，记为{Met0,Met1,…,MetN-1}，分别安装到用户U0,U1,…,UN-1家中.在时刻t，智能电表采集到的用户数据记为M(t).

1) 系统建立

在实际应用场景中，一个集中器管辖一个小区的智能电表，基于小区的实际构造，小区中用户的最大数量多在最初小区建设时就已经固定，我们估计这个最大值，并设定其为环大小N*=βk，为了使接下来的用户动态加入和撤销操作时的计算不至于繁复，固定这个环大小.根据β和k的值选取满足LRS的参数设置要求的相关参数m,d等.

本系统的初始化需要电力服务公司参与，可将其看作一个可信第三方(CA)，初始化完成后，采集过程不需要CA参与.初始化过程为：

① 根据安全参数，CA调用LRS_Setup(1λ)以获得全局参数pp.

② 对于用户Ui，i∈{0,1,…,N-1}，安装电表过程中调用LRS_Keygen(pp)来为Meti选取密钥对(ski,pki)，私钥ski由智能电表Meti自行保存.

③ CA为集中器Con选取签名私钥skC，并获得公钥pkC.以基于格的签名方案qTESLA为例来描述我们的方案，可以将Nina等人在文献[34]中给出的qTESLA的实现程序预植入集中器的计算模块，使用时直接调用.

④ 令L0=(pk0,pk1,…,pkN-1)，由于实际用户数量N不等于预设定的固定环尺寸N*，复制公钥pkN-1以填充环到N*=βk大小，填充后的环为L=(pk0,pk1,…,pkN-1,…,pkN-1)=(pk0,pk1,…,pkN-1,…,pkN*-1).由于此签名方案对环公钥没有不可重复的要求，这种扩充方式不会破坏其安全性.且匿名性仍然为验证者能够确定签名者真正身份的概率不超过1N.

⑤ 公开系统参数PSP=(pp,L,pkC).在系统初始化阶段，电力服务公司通过物理手段在电表安装过程中将该小区的公开系统参数PSP预置入智能电表内，以减少初始数据传输量.

2) 数据上传

在时刻t，用户Ul的智能电表Metl采集到的用户数据为Ml(t)，其中l∈{0,1,…,N-1}.数据上传流程为：智能电表Metl拥有的公私钥对为(pkl,skl)，且根据密钥分配有pkl=Comck(0;skl).根据预置入的PSP，电表计算模块调用算法LRS_Signpp,skl(Ml(t),L)，输出对消息的签名σl(t).然后Metl将消息-签名对(Ml(t),σl(t))发送给该小区的集中器Con.

3) 数据验证

集中器Con收到下辖电表发送的消息-签名对(M(t),σ(t))后需对其是否来自本小区的合法电表进行验证，验证流程为：

根据存储的系统公开参数PSP，Con调用算法LRS_Verifypp(M(t),L,σ(t))，根据其输出判定是否接受此信息签名对为合法数据.输出1时，通过验证，即可以签名确为该小区内的某台合法电表生成，留存以做进一步处理；否则删除该消息.

4) 异常检测

根据我国标准，每隔15 min小区的数据集中器Con会收集由小区内的智能电表采集的用户数据信息.对于Con收集到的时刻t小区内所有的由下辖智能电表上传的通过认证的数据，Con会进行集中检测，判定是否存在异常，具体流程为：

① 调用LRS_Link算法对所有签名进行链接性检测,Con对比时刻t收到的所有数据的合法签名，当检测到2个(或以上)签名可以链接时，即合法签名σ1=(…,K1,…),σ2=(…,K2,…),…中K1=K2=…，则可以判定它们为同一台电表所签署.

Ⅰ. 若多条已链接的合法签名对应的数据M(t)一致，则判定为同一电表重复发送，取其中一条作为该电表在时刻t上传的数据留存，其余删除.

Ⅱ. 若2个或多个已链接的合法签名对应的数据M(t)不相同，则可以判定该电表工作异常.集中器对下辖小区内的智能电表逐个发送时刻t数据重传命令，检测重传签名与该签名的链接性以确定此故障电表的位置，电力服务公司将对其进行硬件检测和安全监测，排除安全隐患，进行故障维修.

② 记剩余合法签名的数目为n.若n=N，Con整理所有数据(共N个)上传至主站，完成时刻t的数据采集.否则，在时刻t有(N-n)台智能电表的未正常发送数据，集中器对小区内的智能电表逐一发送时刻t数据重传命令，并检测重传数据与已有数据的链接性.如果存在链接，则该智能电表已经发送时刻t数据，工作正常；如果不存在链接，则该智能电表之前并未成功上传时刻t数据，记录该数据并检测其通信模块以确定是否正常工作.

5) 用户动态加入及撤销

当有新用户加入时，电力服务公司为新用户安装电表，并通过线下的物理手段将新用户的公钥提供给集中器以更新系统公开参数PSP中的环为L′，为新电表和集中器更新PSP′=(pp,L′,pkC)并存储.使用集中器私钥skC为L′签名，获得信息-签名对并广播给环成员，其他电表在接受到此消息签名对之后，使用集中器的公钥pkC进行签名验证，验证通过则更新其中存储的系统公开参数PSP=(pp,L′,pkC).此后新用户便可以作为该小区的成员使用其智能电表进行数据采集,具体过程为：

② 集中器Con使用其签名私钥skC对更新后的环L′进行签名.调用签名程序qTESLA.Sign(L′,skC)得到签名SigC(L′)，然后将信息-签名对(L′,SigC(L′))广播给集中器下辖的所有用户.

③ 环内用户的电表收到签名后，使用集中器公钥pkC对签名SigC(L′)进行验证.调用植入电表计算模块的签名验证程序qTESLA.Ver(L′,SigC(L′))，若验证通过则更新其中存储的系统公开参数PSP=(pp,L′,pkC).

用户动态撤销的过程同用户加入相似，将用户的公钥从环中删除，集中器更新环后对其进行签名然后广播给各智能电表以更新系统公开参数，故不再赘述.

4 系统分析

4.1 安全性分析

我们给出智能电网中关于个人用户隐私性的形式化定义：在数据采集过程中，智能电表Met向集中器Con发送数据，任何实体(包括集中器)都无法将每个合法用户的身份与它的数据消息相匹配.也就是说，数据的上传和认证不会泄露电表的身份信息.

本文提出的数据采集方案拥有用户身份匿名性和消息认证性，其安全性基于第2节所讨论的可链接环签名方案LRS的正确性和安全性.LRS的安全性是可以归约到Module-SIS困难问题上的，由于此问题在量子计算机上仍是困难的，所以此可链接环签名方案面对量子攻击仍然可以正确的隐藏签名者的身份信息.故数据采集方案也同样满足身份匿名性，并且可以实现抗量子计算的隐私保护.

4.2 性能分析

由于用户动态加入和撤销并不会频繁进行，故我们主要集中分析对智能电表要求更高的数据发送阶段.

我们对3.2节中数据上传阶段每个智能电表的通信量进行分析，此阶段电表将发送对数据的签名给集中器.记用户个数为N，根据2.3节的讨论我们得知每个智能电表在发送数据阶段的通信量为O(logN)级别，对于单次协议Σ0，其计算量为O(NlogN)级别，而签名时LRS_Sign的迭代次数的期望值为M2=O(1)，故电表计算量为O(NlogN).

将本文方案同相关工作进行比较，如表3所示：

Table 3 The Comparisons of Different Schemes on Function and Performance表3 相关工作功能与性能对比

4.3 本文方案的优势

我们的后量子的智能电表隐私保护方案利用了基于格的可链接环签名方案的匿名性和可链接性以及格密码的抗量子计算能力，从而构造一个拥有隐私保护、异常检测和用户动态加入及撤销功能的隐私保护系统.本方案的优势有3个方面：

1) 良好的可行性.分析结果显示，我们的方案在有效保护用户隐私的同时，可以在一轮通信的条件下实现数据采集.并且由于选取的可链接环签名大小为对数级别，所以在通信量上具有优势.

2) 可扩展性.具有可行性的后量子签名方案(如qTESLA)使得本方案支持用户的动态加入与撤销.所以当用户规模改变时，可以支持用户设备数量的改变.并且本文方案以小区为单位，利于监管.

3) 抗量子计算.由于供电设备的使用寿命往往会持续数十年，本方案采用基于格的密码学后量子密码体制，面对或将到来的量子计算时代仍然可以实现隐私保护，满足抗量子计算的安全需求.

5 总结及展望

本文提出了一个后量子的智能电表隐私保护系统并对其进行了安全分析.此系统在保护用户隐私的前提下，可以支持动态用户加入与撤销和异常检测以及故障用户追踪等功能，并且拥有抗量子计算的隐私保护能力.为了实现此系统，我们选择了一个基于格的短的环签名方案，为其增添可链接性.该可链接环签名方案的尺寸在基于格的次线性大小的环签名中有很大的优势，所以本文的隐私保护方案在抗量子隐私保护领域具有很大的实用性.未来我们将致力于提高方案效率并且完善方案的功能.

由于当今智能生活的普及，除智能电表之外，智能水表以及智能燃气表等设备也逐渐应用于现实生活并且取代传统水表和燃气表，它们同智能电表拥有相似的安全与隐私问题，未来我们的工作或将扩展到这些领域.