1.   引言

随着物联网($\mathrm{I}\mathrm{o}\mathrm{T}\mathrm{s}$)的发展，传统的电网已经不能满足当前数字生态社会的需求和期望。因此，下一代电网已经转变为低集中度和强用户交互的智能电网，这种转变是通过智能电表和电力公司之间的双向通信来实现的^[1]。在智能电网中，其核心功能之一是高级计量基础设施$\left(\mathrm{A}\mathrm{M}\mathrm{I}\right)$，它为服务点和连接的设备提供系统范围的通信网络。$\mathrm{A}\mathrm{M}\mathrm{I}$用于通过双向通信管理将智能电表连接到智能电网系统，实现电力公司与用户之间的交互^[2]。智能电表可以定期测量并实时上报其采集的用电量数据，从而有效帮助电力公司管理和监控区域内的能源使用情况，实现生产与需求的智能负载均衡。

然而，作为智能电网中智能计量系统的开放环境，它面临着数据泄露、拒绝服务(DoS)、虚假数据注入和重放攻击等多种安全问题^[3]。如表1所示，本文总结了近年来针对智能电网网络攻击的相关方案^[4-11]。

表 1  智能电网中的网络攻击总结

	GPS欺骗攻击	拒绝服务攻击	内部攻击	虚假数据注入攻击	中间人攻击	重放攻击
文献[4]	√
文献[5]	√		√
文献[6]		√				√
文献[7]			√
文献[8]				√
文献[9]					√
文献[10]					√	√
文献[11]				√		√

下载: 导出CSV 

| 显示表格

此外，智能电表系统还涉及用户和数据的隐私，这是基于电力公司和智能电表之间的双向通信。用电量数据作为关键信息进一步说明智能电表的数据是实时用电量监测数据。它们用于后续复杂的电费账单，以促进更有效的配电运行，并可以带来各种增值服务。智能电表的数据可以被视为个人隐私数据，因此关键的隐私和监管问题受到相关法规的重视，例如NIST法规^[12]和欧盟法规^[13]。通过互联网上传电表数据时，一般会采用一些加密方法来保护其隐私和安全。从个人角度来看，如果攻击者获得了个人用电数据，很容易通过相关数据分析用户的用电习惯、家庭生活状况和经济状况^[14]。最近的相关工作也表明，足够详细的测量也可以揭示消费者的兴趣。例如，$\mathrm{G}\mathrm{u}\mathrm{a}\mathrm{n}$等人^[15]表明，如果以足够小的采样率收集用电量数据，则可以分析家中的电视显示哪个频道，还可以识别配置文件中的视听内容。这些都表明个人用电数据的隐私需要得到保护。除了解决安全和隐私问题，智能计量系统还需要具备处理大量电力数据的高计算能力。因此，提出了基于雾计算的智能计量系统的概念^[16]。在基于雾计算的智能电表系统中，每个特定区域都有一组具有传感、计算和通信能力的智能电表^[17]，那么控制中心$\left(\mathrm{C}\mathrm{C}\right)$需要定期从智能电表中收集用电数据，并利用这些数据得出用电量统计结果；此外，雾节点$\left(\mathrm{F}\mathrm{N}\mathrm{s}\right)$部署在智能计量网络的边缘，帮助控制中心收集、预处理和汇总电力数据或消息，如图1所示。本文重点讨论如何同时提供用电量数据的隐私基于雾计算的智能计量系统中的用户身份。

图 1  基于雾计算的智能电网架构

下载: 全尺寸图片 幻灯片

本文提出了一种基于雾计算的智能计量系统的虚拟环隐私保护方案。本文提出的方案认为电力公司的恶意内部人员可能会出于供电以外的目的窥探智能电表用户的隐私。因此，本文重点关注如何保护用户的身份信息，使攻击者无法将用户数据与用户身份相关联，本文的主要贡献如下：

(1)本文为基于雾计算的智能计量系统提出了一种基于虚拟环的隐私保护方案。在本文提出的方案中，合法的智能电表使用虚拟环身份对其真实身份进行匿名化，并使用非对称加密算法和$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$同态加密生成基于密文的用电量数据，由主智能电表收集并发送到雾中节点。雾节点为智能电表验证虚拟环身份和用电数据的正确性，定期收集和汇总这些用电数据的密文，然后发送到控制中心进行解密。

(2)本文进行了一些实验来评估所提方案的性能，其中分析了方案产生的计算开销和通信成本。实验结果表明本文具有高效性。

(3)本文提出了基于雾计算的智能计量系统的安全要求，控制中心和雾节点是半信任的，它们可以诚实地执行任务。根据安全要求，本文分析了提出方案的安全性，证明所提方案可以实现身份匿名，从而能够保护用户的隐私。

2.   系统及分析模型

2.1   系统模型

本节展示了智能计量系统的系统框架，如图2所示。所提出的系统框架由3个实体组成：控制中心、雾节点和智能电表。在智能电表系统中，每个雾节点只与其管理地理区域内的多个智能电表进行通信。如图2所示，同一地理区域内的智能电表形成一个虚拟环的网络结构，即隐藏智能电表的物理身份^[18]。在本文提出的系统框架中，由于电力公司不需要知道特定智能电表的用电量数据，它只需要知道特定地理区域的总用电量数据。因此，虚拟环的目的是将用电量数据聚合成一个聚合值，使得特定智能电表的用电量数据很难被读取。在本文提出的系统框架中，这些实体描述如下：

图 2  系统模型

下载: 全尺寸图片 幻灯片

控制中心$\left(\mathrm{C}\mathrm{C}\right)$：控制中心负责采集、处理和分析雾节点聚合的实时数据，生成并下发系统参数和电网命令给雾节点和智能电表。

雾节点$\left(\mathrm{F}\mathrm{N}\right)$：雾节点负责收集和汇总智能电表产生的用电量数据，并将汇总后的数据发送给控制中心。

智能电表$\left(\mathrm{S}\mathrm{MS}\right)$：智能电表负责实时测量和生成用电量数据，并通过虚拟环将数据发送到雾节点。同一环(地理区域)中的每个智能电表都有一个单向数据流。另外，在虚拟环的结构中，通信交换中只有两个数据交换实体，一个是上游智能电表，一个是下游智能电表。每个智能电表只接收其下游智能电表的数据，然后将相关数据发送给其上游智能电表。在虚拟环中，上游和下游智能电表不一定是最近的两个智能电表。

2.2   安全要求

在本节提出了基于雾计算的智能计量系统的安全要求，并使用了Ouafi等人^[19]提出的隐私模型，最后证明本文的方案满足身份匿名的要求。接下来，本文将详细描述隐私模型。在这个模型中，协议参与者是智能电表SMS或雾节点FN，它们可以在协议会话中相互交互，直到会话结束。如果攻击者${\rm{A}}$参与者认为该协议已被正确的参与者正常执行，则结果为$\mathrm{A}\mathrm{c}\mathrm{c}\mathrm{e}\mathrm{p}\mathrm{t}$。此外，每个对手都可以窃听SMS和FN之间的所有通信通道，并控制这些通信通道。因此，对手${\rm{A}}$可以通过执行以下查询来获取其视图。

$\mathrm{E}\mathrm{x}\mathrm{e}\mathrm{c}\mathrm{u}\mathrm{t}\mathrm{e}(\mathrm{S}\mathrm{M},\mathrm{F}\mathrm{N},{m})$：该查询模拟了被动攻击。在这个查询中，攻击者${\rm{A}}$通过窃听智能电表$\mathrm{S}\mathrm{MS}$和雾节点$\mathrm{F}\mathrm{N}$之间的第$m$次协议会话来获取他们之间交互的所有数据。

$\mathrm{S}\mathrm{e}\mathrm{n}\mathrm{d}$($X_1,X_2, \psi,m$)：这个查询模拟主动攻击。在这个查询中，攻击者${\rm{A}}$在第$m$个协议会话中冒充一个雾节点(或智能电表)${X}_{1}$，它可以向另一个智能电表(或雾节点)${X}_{2}$发送消息$\psi$。因此，${\rm{A}}$有权阻止交换的消息$\psi$。

$\mathrm{C}\mathrm{o}\mathrm{r}\mathrm{r}\mathrm{u}\mathrm{p}\mathrm{t}(\mathrm{S}\mathrm{MS},K)$：在这个查询中，攻击者${\rm{A}}$能够访问存储在智能电表$\mathrm{S}\mathrm{MS}$中的密钥$K$。

$\mathrm{T}\mathrm{e}\mathrm{s}\mathrm{t}({\mathrm{S}\mathrm{MS}}_{0},{\mathrm{S}\mathrm{MS}}_{1},m)$：这个查询与不可区分性(不可追踪的隐私)有关。在这个查询中，随机选择一位$a\in \left\{\mathrm{0,1}\right\}$，攻击者${\rm{A}}$可以在第$m$个协议会话中从集合$\{{\mathrm{S}\mathrm{M}}_{0},{\mathrm{S}\mathrm{MS}}_{1}\}$中获得${\mathrm{S}\mathrm{MS}}_{{a}}$。如果攻击者${\rm{A}}$能够猜到$a$，则它成功。此外，$\mathrm{T}\mathrm{e}\mathrm{s}\mathrm{t}$会话必须要在定义2的意义上是新的。

定义1　(伙伴关系和会议完成)一个雾节点实例${\mathrm{F}\mathrm{N}}_{{j}}$和一个智能电表实例${\mathrm{S}\mathrm{M}}_{{i}}$是合作伙伴，当且仅当它们分别具有输出${\mathrm{A}\mathrm{c}\mathrm{c}\mathrm{e}\mathrm{p}\mathrm{t}(\mathrm{S}\mathrm{M}}_{{i}})$和${\mathrm{A}\mathrm{c}\mathrm{c}\mathrm{e}\mathrm{p}\mathrm{t}(\mathrm{F}\mathrm{N}}_{{j}})$，表示协议会话已经完成。

定义2　(新鲜度)在执行结束时，当且仅当参与方实例输出结果为带有或不带有合作伙伴实例的$\mathrm{A}\mathrm{c}\mathrm{c}\mathrm{e}\mathrm{p}\mathrm{t}$，并且该实例及其合作伙伴实例(如果存在这样一个合作伙伴)没有被发送一个$\mathrm{C}\mathrm{o}\mathrm{r}\mathrm{r}\mathrm{u}\mathrm{p}\mathrm{t}$的查询，则参与方实例是新的。

定义3　(不可追踪隐私)不可追踪隐私博弈$G$在攻击者${\rm{A}}$与智能电表和雾节点实例集合之间定义如下：

学习阶段：${\rm{A}}$能够发送任何查询$\mathrm{E}\mathrm{x}\mathrm{e}\mathrm{c}\mathrm{u}\mathrm{t}\mathrm{e}$，$\mathrm{S}\mathrm{e}\mathrm{n}\mathrm{d}$和$\mathrm{C}\mathrm{o}\mathrm{r}\mathrm{r}\mathrm{u}\mathrm{p}\mathrm{t}$，并与雾节点$\mathrm{F}\mathrm{N}$和随机选择的智能电表${\mathrm{S}\mathrm{MS}}_{0}$或${\mathrm{S}\mathrm{MS}}_{1}$交互。

挑战阶段：攻击者${\rm{A}}$选择两个智能电表${\mathrm{S}\mathrm{MS}}_{0}$和${\mathrm{S}\mathrm{MS}}_{1}$，然后选择一个新会话并发送与该选定会话对应的$\mathrm{T}\mathrm{e}\mathrm{s}\mathrm{t}$查询。然后，根据选中的位$a\in \left\{\mathrm{0,1}\right\}$，攻击者通过查询$\mathrm{E}\mathrm{x}\mathrm{e}\mathrm{c}\mathrm{u}\mathrm{t}\mathrm{e}$，$\mathrm{S}\mathrm{e}\mathrm{n}\mathrm{d}$和$\mathrm{C}\mathrm{o}\mathrm{r}\mathrm{r}\mathrm{u}\mathrm{p}\mathrm{t}$来确定${\mathrm{S}\mathrm{MS}}_{{a}}\in \{{\mathrm{S}\mathrm{MS}}_{0},{\mathrm{S}\mathrm{MS}}_{1}\}$该过程必须满足定义2的条件。

猜测阶段：对手完成博弈$G$并输出${a}_{0}\in \left\{\mathrm{0,1}\right\}$作为对$a$的猜测。如果${a}_{0}=a$，则攻击者${\rm{A}}$成功。 如果攻击者${\rm{A}}$在定义的游戏$G$中成功，那么它可以破坏不可追踪的隐私安全。${\rm{A}}$打破无法追踪的隐私的优势定义为

其中，$k$是安全参数。

3.   虚拟环隐私保护方案

本节为基于雾计算的智能计量系统提出了一种基于虚拟环的隐私保护方案，各符号定义见表2。本文提出的方案包括4个阶段，即系统初始化、数据生成、数据聚合和数据提取。在系统初始化阶段，所有智能电表都被构建成多个虚拟环。然后每个智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$ 向其直连的雾节点${\mathrm{F}\mathrm{N}}_{{j}}$发送消息，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$响应一个值${\rm{nouce}}$，其中$i\in [1,n]$, $j\in [1,j]$, $n$是最大值雾节点。${\mathrm{F}\mathrm{N}}_{\mathrm{j}}$管理的虚拟环${\mathrm{V}\mathrm{R}}_{\mathrm{j}}$中智能电表的数量，$J$为智能电网中雾节点的最大数量。在数据生成阶段，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$随机选择其管理的智能电表作为主智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$，然后主电表对在系统初始化阶段获得的${\rm{nonce}}$的值进行加密并发送给雾节点${\mathrm{F}\mathrm{N}}_{{j}}$。同时，加密的用电量数据添加到构建的动态令牌中，然后将其转发给同一虚拟环中的其他电表。其他电表继续根据自己在虚拟环中的位置将自己的加密用电量数据添加到动态令牌中，直到动态令牌返回给主智能电表。最后，主智能电表将其发送到雾节点${\mathrm{F}\mathrm{N}}_{{j}}$。在数据聚合阶段，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$首先解密以验证动态令牌中的值${\rm{nonce}}$。验证成功后，动态令牌中所有智能电表生成的密文数据被雾节点${\mathrm{F}\mathrm{N}}_{{j}}$提取并聚合，然后雾节点${\mathrm{F}\mathrm{N}}_{{j}}$将聚合结果转发给控制中心。在数据提取阶段，控制中心在验证密文数据的有效性后，对密文数据进行解密，得到聚合数据明文。

表 2  符号和定义

符号	定义
${{ {{\rm{ID}}}_{ {{\rm{FN}}}_{j} } } }$	雾节点${{\rm{FN}}}_{j}$的身份标识
${ {{{\rm{ID}}}_{ {{\rm{VR}}}_{j} } } }$	虚拟环${{ {{\rm{VR}}}_{j} } }$的标识符
${k\_{\rm{pr}}}_{ {{\rm{VR}}}_{j} }$	虚拟环${{\rm{VR}}}_{j}$的私钥
${k\_{\rm{pub}}}_{ {{\rm{VR}}}_{j} }$	虚拟环${{\rm{VR}}}_{j}$的公钥
${k\_{\rm{pr}}}_{ {{\rm{FN}}}_{j} }$	雾节点${{\rm{FN}}}_{j}$的私钥
${k\_{\rm{pub}}}_{ {{\rm{FN}}}_{j} }$	雾节点${{\rm{FN}}}_{j}$的公钥
${K}_{ {{\rm{FC}}}_{j} }$	雾节点${{\rm{FN}}}_{j}$和控制中心之间的共享密钥
${E}_{k}\left(\mathrm{*}\right)$	非对称加密函数用密钥$k$加密数据*
${D}_{k}\left(\mathrm{*}\right)$	非对称解密函数用密钥$k$解密数据*
${{\rm{Sign}}}_{k}\left(\mathrm{*}\right)$	用密钥$k$签名数据*
${ {\rm{Verify} } }_{k}\left(\mathrm{*}\right)$	用密钥$k$验证签名数据*
$h(\cdot)$	单向哈希函数

下载: 导出CSV 

| 显示表格

3.1   系统初始化

本节中展示了系统初始化的详细过程，包括智能电表的请求和雾节点的响应。在智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$加入基于雾计算的智能电网之前，控制中心为智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$预先设置其公私钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{S}\mathrm{MS}}_{i}}$和${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{S}\mathrm{MS}}_{i}}$，公私钥 ${k}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{V}\mathrm{R}}_{j}}$和${\mathrm{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{{j}}}$为一个虚拟环，其中${i}\in [1,n]$，$n$为雾节点${\mathrm{F}\mathrm{N}}_{{j}}$管理的虚拟环中智能电表的最大数量，$j\in [1,j]$，$J$为智能电网中雾节点的最大数量。进一步地，对于每个雾节点${\mathrm{F}\mathrm{N}}_{{j}}$，控制中心预先设置了真实身份${\mathrm{I}\mathrm{D}}_{{\mathrm{F}\mathrm{N}}_{{j}}}$、公私钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{F}\mathrm{N}}_{{j}}}$ 和${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{{j}}}$ ，以及${\mathrm{F}\mathrm{N}}_{{j}}$和$\mathrm{C}\mathrm{C}$之间的共享密钥${{K}}_{{\mathrm{F}\mathrm{C}}_{{j}}}$ 。基于$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$密码系统^[20]，实体$\mathrm{C}\mathrm{C}$选择一个安全参数${{k}}_{1}$，并通过运行算法 ${{\rm{Gen}}(k}_{1})$生成参数$(\vartheta ,\mu ,\lambda ,{p}_{1},{q}_{1}$, $N)$其中$\left|{p}_{1}\right|=\left|{q}_{1}\right|={k}_{1}$和 $N={p}_{1}{q}_{1}$。实体$\mathrm{C}\mathrm{C}$发布其公钥$(N,\vartheta )$，并记录其私钥$(\lambda ,\mu )$。

如图3所示，系统初始化包括智能电表的请求和雾节点的响应。首先，智能电表${\mathrm{S}\mathrm{M}}_{{i}}$将其认证信息提交给雾节点${\mathrm{F}\mathrm{N}}_{{j}}$。其次，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$验证智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$身份的有效性，验证成功后将相关参数发送给它。详细过程描述如下：

图 3  系统初始化

下载: 全尺寸图片 幻灯片

(1)智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$随机生成一个随机数${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{i}}$，并使用虚拟环私钥${\mathrm{k}}_{{prVR}_{j}}$对数字${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{i}}$进行签名，${A}_{i}= {{\rm{Sign}}}_{{k\_{\rm{pr}}}_{{{\rm{VR}}}_{j}}}\left({{\rm{nonce}}}_{i}\right)$，然后使用其管理的雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{F}\mathrm{N}}_{{j}}}$对签名${A}_{i}$和数字${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{i}}$进行加密，${B}_{i}={E}_{{k\_{\rm{pub}}}_{{{\rm{FN}}}_{j}}}\left({A}_{i},{{\rm{nonce}}}_{i}\right)$。最后将密文${\mathrm{B}}_{{i}}$发送给雾节点${\mathrm{F}\mathrm{N}}_{{j}}$。

(2)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$接收到密文${B}_{i}$，利用其私钥${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{\mathrm{j}}}$对${B}_{i}$进行解密，得到签名${A}_{i}$和数字${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{i}}$。然后它使用对应的虚拟环公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{V}\mathrm{R}}_{{j}}}$来验证签名${A}_{i}$，${{\rm{Verify}}}_{{{k}_{{\rm{pub}}}}_{{{\rm{VR}}}_{j}}}({A}_{i},{\rm{no}}$${{\rm{nce}}}_{i})={\rm{True}}$。如果验证通过，则雾节点${\mathrm{F}\mathrm{N}}_{\mathrm{j}}$随机生成一个数字${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{j}}$，计算${{\rm{nonce}}}_{{{\rm{SM}}}_{i}}= {{\rm{nonce}}}_{i}\left|\right|{{\rm{nonce}}}_{j}$。然后计算消息$P={{\rm{nonce}}}_{{{\rm{SM}}}_{i}}\oplus {A}_{i}$，用雾节点${\mathrm{F}\mathrm{N}}_{\mathrm{j}}$的私钥${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{{j}}}$对消息$P$进行签名，并在智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$的公钥${k}_{{{\rm{pubSM}}}_{i}}$上对签名和消息进行加密。最后，它将密文发送给智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$。

(3)智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$接收并解密其私钥上的相关密文，得到签名和消息$P$，然后用消息$P$上的雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{F}\mathrm{N}}_{{j}}}$ 验证签名。如果验证通过，则${\mathrm{S}\mathrm{MS}}_{{i}}$计算并存储 ${{\rm{nonce}}}_{{{\rm{SM}}}_{i}}=P\oplus {A}_{i}$。

3.2   数据生成

本节展示了数据生成的详细过程，如图4 所示。在该过程中，当智能电表 ${\mathrm{S}\mathrm{MS}}_{\mathrm{i}}$需要将其用电量数据提交给雾节点${\mathrm{F}\mathrm{N}}_{\mathrm{j}}$时，会生成一个动态令牌$\left(\mathrm{D}\mathrm{T}\right)$。动态令牌由令牌标识符和令牌数据两部分组成。令牌标识符是主智能电表的编号${{\rm{nonce}}}_{{{\rm{SMS}}}_{i}}$，提供识别和验证功能；令牌数据用于存储相关数据。虚拟环中的每个智能电表首先需要生成其加密的用电量数据，并相应地将密文添加到动态令牌中。最后，主智能电表再次收到最终的动态令牌，在当前时间戳${t}_{i}$和动态令牌上计算签名${S}_{i}$，并将签名、时间戳和动态令牌发送给雾节点。详细过程描述如下：

图 4  数据生成

下载: 全尺寸图片 幻灯片

(1)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$随机选择虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$中的智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$作为主智能电表，主智能电表接收到来自雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的命令信息。然后它使用数字${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{i}}$作为令牌标识符。

(2)主智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$使用虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$的私钥${k}_{{{\rm{prVR}}}_{j}}$对数字${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{i}}$签名为 ${a}_{i}={\mathrm{s}\mathrm{i}\mathrm{g}\mathrm{n}}_{{\mathrm{k}\mathrm{p}\mathrm{r}}_{{\mathrm{V}\mathrm{R}}_{\mathrm{j}}}} \left({\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{\mathrm{i}}}\right)$。然后使用雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{F}\mathrm{N}}_{{j}}}$加密签名${\mathrm{a}}_{\mathrm{i}}$和数字${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{i}}$，${b}_{i}={{E}}_{{\mathrm{k}\mathrm{p}\mathrm{u}\mathrm{b}}_{{\mathrm{F}\mathrm{N}}_{j}}}\left({a}_{i},{{\rm{nonce}}}_{{{\rm{SMS}}}_{i}}\right)$。最后${\mathrm{S}\mathrm{MS}}_{{i}}$发送${b}_{i}$到雾节点${\mathrm{F}\mathrm{N}}_{{j}}$。

(3)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$接收到密文${b}_{i}$，然后使用其私钥${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{j}}$ 对${b}_{i}$进行解密，得到签名${a}_{i}$和数字${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{{i}}}$。此外，它使用虚拟环${\mathrm{V}\mathrm{R}}_{\mathrm{j}}$的公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{V}\mathrm{R}}_{j}}$来验证签名${a}_{i}$。如果验证通过，则根据其在系统初始化中存储的${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{i}}$号进一步检查。

(4)主智能电表首先收集其耗电数据${{m}}_{{i}}$，生成一个随机数${r}_{i}\in {\mathbb{Z}}_{N}^{\mathrm{*}}$，并计算密文${c}_{i}={{g}}^{{{m}}_{{i}}}\cdot {{r}}_{{i}}^{\mathrm{N}}{\rm{mod}}{{N}}^{2}$。然后计算${{M}}_{{i}}={c}_{i}\left|\right|{\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{i}}$，利用虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$的私钥${{k}}_{{\mathrm{p}\mathrm{r}\mathrm{V}\mathrm{R}}_{j}}$来签名${M}_{i}$，${X}_{i}={{\rm{Sign}}}_{{\mathrm{k}\mathrm{p}\mathrm{r}}_{{\mathrm{V}\mathrm{R}}_{\mathrm{j}}}}\left({M}_{i}\right)$。最后，它使用雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的公钥${{\rm{kpub}}}_{{{\rm{FN}}}_{j}}$来加密${Y}_{i}={E}_{{{\rm{kpub}}}_{{{\rm{FN}}}_{j}}} \left({X}_{i},{M}_{i}\right)$作为动态令牌中令牌数据的内容，其中动态令牌$\mathrm{D}\mathrm{T}$包括令牌标识符${{\rm{nonce}}}_{{\mathrm{S}\mathrm{MS}}_{i}}$和令牌数据${{Y}}_{{i}}$。

(5)主智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$将动态令牌$\mathrm{D}\mathrm{T}$发送到虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$中的上游电表。每个在虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$中接收到动态令牌的智能电表将其加密的用电量数据${Y}_{i}$(如步骤(4)所示)添加到令牌数据字段中以更新动态令牌，其中每个智能电表将动态令牌转发给它的上游仪表。动态令牌$\mathrm{D}\mathrm{T}$的生成过程结束，直到它返回到主智能电表。最后，令牌数据字段包含了虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$中智能电表产生的所有用电量数据的密文。

(6)主智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$计算哈希值${S}_{i}=h\left({\rm{DT}}\right|\left|{t}_{i}\right)$，其中${t}_{i}$是当前时间戳。最后，主智能电表向雾节点${\mathrm{F}\mathrm{N}}_{{j}}$发送通信消息$\mathrm{SM}{\mathrm{S}}_{{i}}:\{\mathrm{D}\mathrm{T},{S}_{i},{t}_{i}\}$。

3.3   数据聚合

本节描述了有关如何聚合数据的详细过程。在这个过程中，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$接收到相关的动态令牌$\mathrm{D}\mathrm{T}$，它检查$\mathrm{D}\mathrm{T}$中的令牌标识符是否与主智能电表之前发送的${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{i}}$的数目一致。进一步检查哈希值${S}_{i}$和当前时间戳${\mathrm{t}}_{{i}}$以验证接收到的消息${\mathrm{M}\mathrm{S}}_{{i}}$的正确性。验证成功后，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$需要对虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$中的智能电表产生的用电数据的密文进行聚合，这些密文包含在动态令牌的令牌数据中。此外，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$将聚合结果上传到控制中心，具体步骤如下：

(1)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$接收到消息${\mathrm{SM}\mathrm{S}}_{{i}}$，将动态令牌$\mathrm{D}\mathrm{T}$中的令牌标识符${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{i}}$与主智能电表之前发送的编号${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{i}}$进行比较。如果它们相等，则雾节点${\mathrm{F}\mathrm{N}}_{{j}}$检查时间戳${\mathrm{t}}_{{i}}$的正确性。进一步，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$计算哈希值${{S}}'_{{i}} =\mathrm{h}\left(\mathrm{D}\mathrm{T}\right|\left|{\mathrm{t}}_{{i}}\right)$，然后将${{S}}'_{{i}}$与${{S}}_{{i}}$进行比较以确定它们是否相等。如果它们相等，则雾节点 ${\mathrm{F}\mathrm{N}}_{{j}}$将接收并保存消息${\mathrm{SM}\mathrm{S}}_{{i}}$。

(2)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$使用其私钥${k}_{{\mathrm{prFN}}_j}$对动态令牌$\mathrm{D}\mathrm{T}$中各智能电表${\mathrm{S}\mathrm{MS}}_{{i}}$生成的密文数据进行解密，${\{{X}}_{{i}},{{M}}_{{i}}\}={{D}}_{{\mathrm{k}}_{{\mathrm{p}\mathrm{r}\mathrm{F}\mathrm{N}}_{{j}}}}({\mathrm{Y}}_{{i}})$。然后它使用虚拟环${\mathrm{V}\mathrm{R}}_{{j}}$的公钥${{k}}_{{\mathrm{p}\mathrm{u}\mathrm{b}\mathrm{V}\mathrm{R}}_{j}}$分别验证${M}_{i}$上的每个签名${X}_{i}$。

(3)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$得到${{M}}_{{i}}={{c}}_{{i}}\left|\right|{\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{{i}}}$，进一步提取${M}_{i}$中的${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{{i}}}$的个数来检查和验证${\mathrm{n}\mathrm{o}\mathrm{n}\mathrm{c}\mathrm{e}}_{{\mathrm{S}\mathrm{MS}}_{i}}$的有效性。

(4)验证成功后，雾节点${\mathrm{F}\mathrm{N}}_{{j}}$聚合用电量数据密文的过程如下：

(5)雾节点${\mathrm{F}\mathrm{N}}_{{j}}$在当前时间戳${\mathrm{t}}_{{j}}$上计算哈希值 ${{S}}_{{j}}=h\left({{\rm{ID}}}_{{{\rm{FN}}}_{j}}\right|\left|{C}_{j}\right|\left|{K}_{{{\rm{FC}}}_{j}}\right|\left|{t}_{j}\right)$，其中${\mathrm{I}\mathrm{D}}_{{\mathrm{F}\mathrm{N}}_{j}}$是雾节点${\mathrm{F}\mathrm{N}}_{{j}}$的真实身份，${\mathrm{K}}_{{\mathrm{F}\mathrm{C}}_{j}}$是雾节点${\mathrm{F}\mathrm{N}}_{{j}}$和控制中心之间的共享密钥。最后，它向控制中心发送消息${{\rm{MS}}}_{j}:\{{C}_{j},{S}_{j},{t}_{j},{{\rm{ID}}}_{{{\rm{FN}}}_{j}}\}$。

3.4   数据提取

本节将描述数据提取的详细过程。首先，控制中心通过验证${\mathrm{S}}_{{j}}$的正确性来检查通信消息${{\rm{MSM}}}_{j}:\{{C}_{j},{S}_{j},{t}_{j},{{\rm{ID}}}_{{{\rm{FN}}}_{j}}\}$的正确性。其次，控制中心对雾节点${\mathrm{F}\mathrm{N}}_{{j}}$上传的用电数据的聚合密文进行解密，目的是了解聚合用电数据。详细过程描述如下：

(1)控制中心检查时间戳${t}_{j}$的正确性，计算哈希值${S}'_{\dot{j}}=\left({{\rm{ID}}}_{{{\rm{FN}}}_{j}}\right|\left|{C}_{j}\right|\left|{K}_{{{\rm{FC}}}_{j}}\right|\left|{t}_{j}\right)$然后将${S}'_{\dot{j}}$与${{S}}_{{j}}$进行比较。如果它们相等，则控制中心接受并存储消息${{\rm{MSM}}}_{j}$。

(2)控制中心从${{\rm{MS}}}_{j}$中提取用电量数据的聚合密文${C}_{j}$，其中

然后它计算为

根据$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$密码系统，用它的私钥$(\lambda ,\mu )$得到最终的总用电量数据$\displaystyle\sum\nolimits_{i = 1}^n {{m_i}}$。

4.   仿真分析

本节中评估了提出的方案的性能，并分析了该方案的计算和通信成本。在实验中，本文使用$\mathrm{J}\mathrm{a}\mathrm{v}\mathrm{a}\mathrm{ }1.8.0$模拟数据聚合过程来评估一些密码操作的运行时间，然后分析这些过程带来的计算和通信成本。测试环境为$\mathrm{W}\mathrm{i}\mathrm{n}7，2.6\;\mathrm{G}\mathrm{H}\mathrm{z}$ $\mathrm{I}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{l}\mathrm{ }\mathrm{C}\mathrm{o}\mathrm{r}\mathrm{e}\mathrm{ }\mathrm{i}7\mathrm{ }\mathrm{C}\mathrm{P}\mathrm{U}, 8\;{\rm{GB}}\;{\rm{RAM}}$。此外，基于配对加密库模拟了一些加密操作，其测试环境为$\mathrm{U}\mathrm{b}\mathrm{u}\mathrm{n}\mathrm{t}\mathrm{u}\mathrm{ }16.04，2.6\;\mathrm{G}\mathrm{H}\mathrm{z}\;\mathrm{I}\mathrm{n}\mathrm{t}\mathrm{e}\mathrm{l}\mathrm{ }$ $\mathrm{Co}\mathrm{r}\mathrm{e}\mathrm{ }\mathrm{i}7\mathrm{ }\mathrm{C}\mathrm{P}\mathrm{U},\;8\;{\rm{GB}}\;{\rm{RAM}}$。此外，根据这些计算和通信成本，本文将本文的方案与相关方案^[18,21-23]进行了比较，其中方案文献[18]基于虚拟环，文献[21-23]基于配对加密。为了证明本文方案的有效性，本文统一了这些方案的计算符号。表3显示了这些符号的描述。

表 3  符号和定义

符号	定义
${T}_{{\rm{enc}}}$	公钥加密运算
${T}_{{\rm{dec}}}$	私钥解密运算
${C}_{e}$	在${\mathbb{Z}}_{{N}^{2}}$上的指数运算
${C}_{m}$	在${\mathbb{Z}}_{{N}^{2}}$上的乘法运算
${C}_{{\rm{mg}}}$	在$\mathbb{G}$上的乘法运算
${C}_{{\rm{et}}}$	在${\mathbb{G}}_{T}$上的指数运算
${C}_{p}$	双线性对运算

下载: 导出CSV 

| 显示表格

4.1   计算开销

本节评估和分析这些实体$\mathrm{S}\mathrm{MS}$，$\mathrm{F}\mathrm{N}$和$\mathrm{C}\mathrm{C}$在本文提出的方案中产生的计算成本。此外，本文还将本文的方案与其他4个方案^[18,21-23]进行了比较。首先，本文从数学上分析了这些方案的计算成本，在此期间，实现一些轻量级密码操作所产生的开销可以忽略不计，例如散列操作、异或操作、整数幂操作、整数加法和整数乘法。详细介绍了3种方案产生的计算成本的数学比较，并进一步展示了这些实体$\mathrm{S}\mathrm{MS}$、$\mathrm{F}\mathrm{N}$和$\mathrm{C}\mathrm{C}$分别产生的计算成本。

如表4所示，在本文的方案中，这些实体产生的计算成本分别为$2\cdot{C}_{e}+{T}_{{\rm{enc}}}$,$\left(n-1\right)\cdot{C}_{m}+{T}_{{\rm{dec}}}$和${{C}}_{\mathrm{e}}$。在文献[21]方案中，这些计算成本为$2\cdot{{C}}_{\mathrm{e}\mathrm{t}}+ {{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}+4\cdot{{C}}_{\mathrm{p}\mathrm{t}}$和$\left({n}-1\right)\cdot{{C}}_{\mathrm{m}}+\left({n}+3\right)\cdot{{C}}_{\mathrm{p}\mathrm{t}}+{{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}$和${{C}}_{\mathrm{e}\mathrm{t}}+2\cdot{{C}}_{\mathrm{p}\mathrm{t}}+4\cdot{{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}+{{C}}_{\mathrm{e}\mathrm{t}\mathrm{t}}$。在文献[22]方案中，这些计算成本分别为$2\cdot{{C}}_{\mathrm{e}\mathrm{t}}+{{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}+3\cdot{{C}}_{\mathrm{p}\mathrm{t}}$, $\left({n}-1\right)\cdot{{C}}_{\mathrm{m}}+ {{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}+\left({n}+2\right)\cdot{{C}}_{\mathrm{p}\mathrm{t}}$和$-$。在文献[23]方案中，这些计算成本为$3\cdot{{C}}_{\mathrm{e}\mathrm{t}} + {{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}} + 4\cdot{{C}}_{\mathrm{p}\mathrm{t}}$, $(n-1)\cdot{C}_{m}+(n+3)\cdot {C}_{{\rm{pt}}}+ {C}_{{\rm{mgt}}}\mathrm{和}2\cdot{{C}}_{\mathrm{e}\mathrm{t}}+ {{C}}_{\mathrm{m}}+2\cdot{{C}}_{\mathrm{p}\mathrm{t}}+4\cdot{{C}}_{\mathrm{m}\mathrm{g}\mathrm{t}}+{{C}}_{\mathrm{e}\mathrm{t}\mathrm{t}}$。在文献[18]方案中，这些计算成本分别为${{T}}_{\mathrm{e}\mathrm{n}\mathrm{c}}$，$-$和${{T}}_{\mathrm{d}\mathrm{n}\mathrm{c}}$。显然，与其他4种方案^[18,21-23]相比，本文方案在计算成本方面具有很好的理论性能。此外，与文献[18] 方案相比，虽然本文的方案产生的计算成本更高，但与文献[18]方案在计算性能上几乎存在很小的差异。此外，本文提出的方案可以在用电数据的传输中提供用电数据和用户身份的隐私。其次，本文模拟和检验这3种方案的实际计算成本。考虑到安全要求，本文设置参数${|{N}}^{2}|=2048$，实验用电量数据在$\left[\mathrm{0,1000}\right]$范围内；进一步本文使用$\mathrm{N}\mathrm{T}\mathrm{R}\mathrm{U}$非对称加密算法来测试非对称加密的性能。根据本文的实验设置，图5和图6分别显示了两个实体$\mathrm{S}\mathrm{MS}$和$\mathrm{F}\mathrm{N}$产生的实际计算成本。图5 显示了实体$\mathrm{S}\mathrm{MS}$在不同用户设置下产生的计算成本，其中用户数量从1变为1000。从图5可以看出，智能电表产生的总计算时间随着数量的增加而增加。在图5中，与其他3种方案^[21-23]相比，本文方案和文献[18]方案的计算成本显着降低。与文献[18]方案相比，本文方案仅略微增加了计算成本，在可接受的范围内。图6显示了实体$\mathrm{F}\mathrm{N}$在不同数量的智能电表(用户)下产生的计算成本，其中用户数量分别为0, 200, 400, 600, 800和1000。从图6可以看出，实体FN产生的计算时间也随着用户数量的增加而增加。与图5类似，与其他3种方案^[21-23]相比，本文方案在图6中的计算成本显著降低。例如，与其他两种方案^[21,22]相比，当用户数0, 200, 400, 600, 800和1000时，本文的方案产生的计算时间减少了447.35 ms，889.35 ms, 1331.35 ms, 1773.3 ms和2215.35 ms。总体而言，与基于$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$加密的其他3种方案^[21-23]相比，本文的方案具有较高的计算效率；与基于虚拟环的文献[18]方案相比，本文的方案只增加了一点计算成本，进一步提高了安全性。

表 4  计算开销比较

实体	本文方案	文献[21]方案	文献[22]方案	文献[23]方案	文献[18]方案
SMS	$2 \cdot {C}_{{\rm{et}}}+{T}_{{\rm{enc}}}$	$2 \cdot {C}_{{\rm{et}}}+{C}_{{\rm{mgt}}}+4 \cdot {C}_{{\rm{pt}}}$	$2 \cdot {C}_{{\rm{et}}}+{C}_{{\rm{mgt}}}+3 \cdot {C}_{{\rm{pt}}}$	$3 \cdot {C}_{{\rm{et}}}+{C}_{{\rm{mgt}}}+4 \cdot {C}_{{\rm{pt}}}$	${T}_{{\rm{enc}}}$
FN	$\left(n-1\right) \cdot {C}_{m}+{T}_{{\rm{dec}}}$	$\begin{aligned} & \left(n-1\right) \cdot {C}_{m}+\left(n+3\right)\\& \cdot {C}_{{\rm{pt}}}+{C}_{{\rm{mgt}}} \end{aligned}$	$\left(n-1\right) \cdot {C}_{m}+\left(n+2\right) \cdot {C}_{pt}+{C}_{{\rm{mgt}}}$	$\begin{aligned} & \left(n-1\right) \cdot {C}_{m}+\left(n+3\right)\\& \cdot {C}_{{\rm{pt}}}+{C}_{{\rm{mgt}}}\end{aligned}$	$-$
CC	${C}_{{\rm{et}}}$	${C}_{{\rm{et}}}+2 \cdot {C}_{{\rm{pt}}}+4 \cdot {C}_{{\rm{mgt}}}+{C}_{{\rm{ett}}}$	$-$	$\begin{aligned} & 2 \cdot {C}_{{\rm{et}}}+{C}_{m}+2 \cdot {C}_{{\rm{pt}}}\\& +4 \cdot {C}_{{\rm{mgt}}}+{C}_{{\rm{ett}}}\end{aligned}$	${T}_{{\rm{dnc}}}$

下载: 导出CSV 

| 显示表格

图 5  5种方案下$\mathrm{S}\mathrm{MS}$计算成本的比较

下载: 全尺寸图片 幻灯片

图 6  4种方案下FN计算成本的比较

下载: 全尺寸图片 幻灯片

4.2   通信开销

在本节中，本文评估和分析本文方案中两个实体$\mathrm{F}\mathrm{N}$和$\mathrm{C}\mathrm{C}$之间的通信成本。此外，还将本文的方案与其他3个方案^[21-23]进行对比。在实验中，本文设置$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$密码系统中安全参数${{k}}_{1}$的长度为1024 bit，${{Z}}_{{{N}}^{2}}$中的元素长度为2048 bit，$G$中的元素长度为160 bit，哈希值的长度为160 bit，身份长度为32 bit，时间戳长度为32 bit。表5显示了两种方案产生的通信成本的数学比较。如表5所示，本文的方案产生的通信成本最低。

表 5  通信成本的比较(bit)

	FN-CC
本文方案	2272
文献[21]方案	2304
文献[22]方案	2272
文献[23]方案	2304

下载: 导出CSV 

| 显示表格

在本文方案中,实体$\mathrm{F}\mathrm{N}$向实体$\mathrm{C}\mathrm{C}$发送数据${C}_{j},{S}_{j},{t}_{j},{{\rm{ID}}}_{{{\rm{FN}}}_{j}}$,其中密文${{C}}_{{j}}\in {{Z}}_{{{N}}^{2}}$的长度为2048 bit，${{S}}_{{J}}$为$160$ bit哈希值，${t}_{j}$为160 bit时间戳，${{\rm{ID}}}_{{{\rm{FN}}}_{j}}$是一个160 bit的临时标识。那么从$\mathrm{F}\mathrm{N}$到$\mathrm{C}\mathrm{C}$的通信代价是$\left|{{C}}_{{j}}\right|+\left|{{S}}_{{j}}\right|+\left|{{t}}_{{j}}\right|+\left|{\mathrm{I}\mathrm{D}}_{{\mathrm{F}\mathrm{N}}_{{j}}}\right|= 2048+160+ 32+ 32=2272$ bit。类似地，在文献[22] 方案中，${\rm{FN}}$向${\rm{CC}}$发送${\mathrm{C}}_{{j}},{\mathrm{V}}_{{j}},{\mathrm{t}}_{{j}},{\mathrm{i}\mathrm{d}}_{{j}}$，通信成本计算为$\left|{{C}}_{{j}}\right|+\left|{{V}}_{{j}}\right|+ \left|{{t}}_{{j}}\right|+\left|{\mathrm{i}\mathrm{d}}_{{j}}\right|=2048+160+32+32=2272$ bit。对于文献[21]方案，实体$\mathrm{F}\mathrm{N}$向实体$\mathrm{C}\mathrm{C}$发送数据$C,\mathrm{R}\mathrm{A}, \mathrm{G}\mathrm{W},\mathrm{T}\mathrm{S},{\mathrm{\sigma }}_{\mathrm{g}}$密文$C\in {{Z}}_{{N}^{2}}$的长度为2048 bit，${\mathrm{\sigma }}_{\mathrm{g}}\in {G}$的长度160 bit，$\mathrm{R}\mathrm{A}$和$\mathrm{G}\mathrm{W}$为32 bit身份标识，$\mathrm{T}\mathrm{S}$为32 bit时间戳。因此，通信成本为$\left|C\right|+\left|{\rm{RA}}\right|+\left|{\rm{GW}}\right|+ \left|{\rm{TS}}\right| + {|\sigma }_{g}| = 2048+32+32+32+160=2304$ bit。类似地，在文献[23] 方案中，$\mathrm{F}\mathrm{N}$向$\mathrm{C}\mathrm{C}$发送$\{C,{\rm{RA}},{\rm{GW}}, {\rm{TS}},{\sigma }_{g}\}$，通信成本计算为$\left|C\right|+\left|{\rm{RA}}\right|+ \left|{\rm{GW}}\right|+ \left|{\rm{TS}}\right|+ {|\sigma }_{g}|=2048+32+32+32+160=2304$ bit。图7展示了两个实体$\mathrm{F}\mathrm{N}$和$\mathrm{C}\mathrm{C}$在不同数量的用户设置(智能电表)下的通信成本，用户数分别为0, 200, 400, 600, 800和1000。从图7可以看出，通信成本随着用户数量的增加而增加。如图7 所示，与其他两种方案^[21,22]相比，本文的方案仍然具有通信成本的优势，而且本文的方案产生的通信成本仍然与文献[22]相同。例如，当用户数量为0, 200, 400, 600, 800和1000时，本文方案所产生的通信成本分别减少了6400 bit，12800 bit，19200 bit，25600 bit和32000 bit。因此，本文方案比其他3个方案具有更高的通信效率。

图 7  不同用户数下$\mathrm{F}\mathrm{N}$与$\mathrm{C}\mathrm{C}$通信成本的比较

下载: 全尺寸图片 幻灯片

5.   结束语

本文针对基于雾计算的智能计量系统提出了一种基于虚拟环的隐私保护方案。在本文提出的方案中，智能电表可以利用其虚拟环成员身份对其真实身份进行匿名化，并利用非对称加密和$\mathrm{P}\mathrm{a}\mathrm{i}\mathrm{l}\mathrm{l}\mathrm{i}\mathrm{e}\mathrm{r}$同态系统对其获得的用电量数据生成密文数据；雾节点可以进一步聚合收集到的密文数据，因此控制中心只能对聚合后的密文进行解密，得到总用电量数据。与其他相关工作相比，本文提出的方案可以在用电数据传输中同时提供用电数据和用户身份的隐私，使攻击者无法知道用电数据和用户身份的匹配关系。最后，实验结果表明本文的方案在计算和通信成本上具有一定的优势。