物聯網中基于隱私保護的查詢系統架構設計

張普釗，胡燕飛

（1.中國移動通信集團重慶有限公司，重慶 401147；2.中國電信股份有限公司重慶分公司，重慶 401121）

1 引言

數據管理是直接影響物聯網服務質量的關鍵。而安全和隱私問題長期以來一直是物聯網系統查詢處理的障礙。從終端設備到核心網絡，攻擊可以針對系統的任何設備。云服務器和霧節點都不能完全信任。例如，2015年，百度云披露了大量用戶的個人信息，包括年齡，性別甚至照片。受損霧節點可以將偽造數據上傳到云。內部攻擊者基本上可以查詢、讀取甚至復制私有數據。在解決上述問題時，數據所有者自然地選擇在上載之前加密數據。但是這種操作使得難以對密文執行查詢。也就是說，私有查詢協議需要處理查詢并返回結果而不進行解密。除了數據隱私之外，還應對已發布的查詢進行編碼以保留查詢隱私。設計實用的查詢方案同時確保數據和查詢隱私是具有挑戰性的。

已有的方法嘗試在云服務器上實現數據查詢。其中數據所有者將加密數據和加密索引上載到云服務器，并將密鑰傳遞給數據用戶以生成查詢令牌。數據用戶向云服務器發出查詢并獲取結果。然而，這種查詢方法時延較高，不適用于時延敏感的查詢業務。因此，本文設計了一種物-霧-云的架構，并通過將數據庫、密碼學和霧計算等相關領域進行深度融合，在滿足物聯網系統實時查詢的要求基礎上，解決物聯網搜索的隱私保護問題。

2 系統架構設計

所設計的帶有隱私保護物聯網查詢系統采用物-霧-云的三層體系架構，如圖1所示。

圖1 物-霧-云三層架構

數據所有者：數據所有者是數據貢獻者，可以是單個終端設備或組織。例如，如果系統設計用于監測城市的氣候，那么數據所有者就是傳感器。此外，任何智能物理對象都可以生成數據并將數據上傳到物聯網系統中最近的霧節點。數據所有者也可以是一個組織。例如，在醫療保健應用中，醫院定期將患者的健康監測數據上傳到霧節點。后者可以將異常數據記錄返回給具有訪問權限的醫生。為保護用戶的隱私，所有上傳的數據都應加密。另外，數據所有者與授權數據用戶共享密鑰以生成查詢令牌。

霧節點：霧節點通常部署在網絡邊緣，負責收集本地數據所有者報告的所有私有數據，并通過加密數據集向數據用戶提供對延遲敏感的查詢服務。霧節點需要將加密的查詢結果和驗證對象返回給本地搜索用戶。需要大量數據訪問和計算的查詢將提交給遠程公共云服務器。霧節點向最終用戶提供計算，存儲和通信服務。由于密集的地理分布，霧節點能夠支持移動性和實時數據分析。霧節點的真實設備可以是具有通信和多個數據服務模塊的智能路由器或切換器。

云服務器：云服務器位于網絡的中心，擁有大量的存儲和計算資源。它從霧節點接收上傳的歷史數據。此外，對于具有高計算成本的查詢，云服務器將處理查詢并將結果返回到相應數據用戶的最近霧節點。最后，結果將傳達給數據用戶。在這種情況下，霧節點僅充當云服務器和數據用戶之間的通信中繼設備。

數據用戶：數據用戶可以是單個移動用戶或組織。為了保護查詢隱私，應使用密鑰對原始查詢進行編碼加密。當數據用戶發出查詢時，生成的查詢令牌將被提交到最近的霧節點。然后，數據用戶解密結果并驗證完整性。

3 結束語

為保障時延敏感的查詢業務的服務質量，保護查詢用戶的隱私。本文設計了一種物-霧-云（thing-fog-cloud）結合的面向物聯網查詢系統的架構，通過融合數據庫、密碼學和霧計算的思想，設計適用的基于隱私保護的查詢系統架構，在滿足物聯網查詢系統實時性要求的基礎上，解決物聯網的隱私保護問題。