內容中心網絡隱私內容鄰居節點緩存策略

許貴泉

摘要：內容中心網絡（CCN）是近年來一種熱門的未來網絡架構，但是其路由器緩存數據包的模式給用戶帶來了隱私泄露的風險。該文提出一種面向用戶隱私保護的緩存策略，通過將隱私敏感的內容緩存在非源請求路由處，增加攻擊者關聯用戶與內容的難度，以達到用戶請求隱私保護的目的。

關鍵詞：內容中心網絡（CCN）；緩存策略；用戶隱私保護

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）10-0048-03

開放科學（資源服務）標識碼（OSID）：

經過近五十年的高速發展，傳統的以主機IP地址為中心的網絡架構存在的諸如網絡擁塞、內容傳輸效率低等問題愈加顯現，已難以滿足當前社會的需求。為此，許多的專家學者和研究機構紛紛提出新型互聯網架構，其中采用了以內容為中心的網絡架構思想的內容中心網絡[1]的網絡設計為代表，成為當前下一代互聯網架構的研究熱點。

緩存機制是CCN的最為主要的特點。在CCN網絡中，每個路由節點都包含著內容存儲器（CS， content store）。CS用于緩存數據內容分組，用戶可以通過內容名字，獲取所需數據內容。內容由來自部署在網絡中的緩存或來自其源服務器，如果內容沒有緩存在網絡中，則提供服務的服務器發送該內容。一旦一個內容數據包從一個源服務器開始發送出去，它將被復制并緩存到所有沿途經過的路由器，即從發出興趣的用戶到連接源服務器的鏈路，該鏈路被稱為轉發路徑。當另一個用戶對這些內容發出興趣包時，這些內容已經緩存在相同的路徑上并響應用戶請求。這種緩存機制可以降低網絡中其他用戶整體內容檢索延遲，提高網絡寬帶資源的利用率。

然而，這通用緩存機制帶來了很大的隱私風險。主要的隱私問題包括：緩存隱私泄露與內容隱私泄露[2，3]。在一段時間內，路由節點緩存的響應與未緩存的內容之間在返回延時時間上存在差異，這可以作為一個側面來推斷鄰居用戶以前是否請求過該內容。如圖1所示，攻擊者可以通過探測向路由器A放送興趣包請求，通過測量內容返回延時時間，以確定路由器A存儲的內容，從而獲知鄰近用戶對敏感內容的通信痕跡和訪問行為信息，達到侵犯鄰居用戶隱私的目的。

1 現有相關解決策略與研究現狀

針對前面所說到的用戶隱私安全隱患。文獻[4]借鑒洋蔥路由思想，提出了一種安全機制-ANDaNA。ANDaNA通過對數據包進行加密以達到為數據內容提供匿名的效果并實現網絡的隱私保護。在一個數據包轉發過程中，ANDaNA對其進行多次加密，加密的數據包分別由轉發路徑中的某一個中繼路由器進行解密，最終將數據包送到請求該內容的用戶。ANDaNA機制雖然有效地保護了用戶隱私信息，但在數據內容轉發過程中經過了多次的加解密，這將導致時延的增加和額外的計算開銷。

針對時間測量攻擊對網絡用戶帶來的檢索隱私泄露風險，文獻[5]提出了一種隨機延遲的隱私保護方式（Generate Random Delay，GRD），通過對就近緩存內容的響應時間附加額外時延，以使攻擊者不能依據數據響應時間執行緩存內容探測，防止信息泄露。文獻[6]提出一種基于多層加密機制的隱私保護策略。對轉發路徑中的數據包進行多層次地加解密，對新請求者，在延遲一定時間后才響應。同時，提出了請求者可信性驗證，只有通過發布者驗證的請求者，發布者才會響應請求者的興趣包。但是上述方案增大了用戶請求時延，導致網絡緩存就近響應帶來的低時延優勢無法發揮。

在對緩存隱私進行分析之后，文獻[7]提出一種random-cache的方法，對于到來的用戶內容請求，通過隨機地產生k個不命中響應判定，以實現緩存隱私保護。文獻[8]圍繞CCN的隱私問題開展討論，并進一步指出，就緩存隱私保護而言，協同緩存與概率緩存，也是可行的隱私保護策略，但文中并沒有給出具體的解決方案。文獻[9]分析指出了CCN緩存隱私風險與相應的內容流行度之間的關系。當內容的流行度越低時，其隱私敏感性越高；相反，當內容的流行度越高時，其隱私敏感性越地。因此可以有選擇性地進行內容隱私保護。文獻[10]給出了一種基于協作緩存的隱私保護方法，通過構建空間匿名區域、擴大用戶匿名集合來增大緩存內容的歸屬不確定性，在進行緩存決策時，依據匿名區域對請求內容的整體需求程度，將返回的內容存儲在沿途活躍度最高的熱點請求區域。

以上為近年來CCN緩存隱私問題相關的主要研究。可以看出，如何設計一種緩存隱私保護策略，在有效保護緩存隱私的同時，兼顧CCN的內容分發能力，是需要仔細考慮的問題。在分析了現有的緩存隱私保護策略的基礎上，本文綜合考慮了CCN的網絡性能與分發效率，提出一種隱私內容鄰居節點緩存的策略（PCNN，Privacy Caching in Neighbor Node）。本文提出的策略在于通過隱私標識區分隱私內容和非隱私內容，并作不同處理。通過將隱私敏感的內容緩存在相鄰或間接相鄰的路由節點中，增加攻擊者鎖定內容的不確定性，從而達到保護用戶檢索隱私的目的。

2 隱私保護緩存策略設計

綜合前面所述，本內容中心網絡的緩存策略設計的目的是在確保網絡傳輸效率的同時對用戶的請求隱私提供一定的保障。針對攻擊者的時間測量攻擊，通過將用戶請求的較為隱私敏感的內容緩存在相鄰或間接相鄰的路由節點中，增加攻擊者鎖定內容的不確定性，從而達到保護用戶檢索隱私的目的。

為此，第一步需要區分高隱私敏感內容和低隱私敏感內容，本文中主要根據內容流行度加以區分。參考文獻[11]，對于被大量用戶所關注的高流行度內容，這部分內容對攻擊者而言，沒有探測價值，因為這一類內容的用戶訪問量大，攻擊者很難判斷該類內容的具體請求用戶身份，攻擊難度大，所以以內容請求流行度作為區分隱私敏感內容的參考標準。為便于描述，現假定用戶的請求行為服從Zipf分布，設Pi為第i類內容的用戶請求概率，則有：[Pi=ciα，c>0，α≥0]。

定義 1 高隱私敏感內容。設Pa為平均內容請求概率，如式（1），對于第i類內容，當其請求概率Pi小于Pa，將其視為高隱私敏感的內容；反之，則視之為低隱私敏感的內容。

當一個新的請求到達時，路由節點可以根據歷史訪問記錄，統計最近一段時間內每種內容的請求概率，進而依據上述界定確定是否為隱私敏感的內容，如是，則針對該隱私內容，實施保護策略。而非隱私敏感的內容則按照傳統步驟處理。

下面介紹隱私內容的緩存保護策略。為滿足緩存策略需要，在興趣包和數據包中添加跳數控制字段和隱私標識字段，數據包增加最大跳數字段。隱私標識字段標記該用戶請求內容是否為敏感的內容，對于隱私敏感的內容請求，跳數控制字段用于記錄該內容沿途各個節點的數目。跳數控制字段、最大跳數字段和隱私標識字段的初始值都為0。興趣包和數據包在轉發的過程中，具體的步驟如下：

1）當用戶發送的興趣包到達與其相連的緩存路由節點時，如該節點CS（Content Store）已經緩存內容，則為緩存命中，節點依據第4步步驟返回該興趣包對應的數據包內容；若CS表中沒有對應的請求內容，則執行第2步。

2）節點查詢PIT（Pending Interest Table）表，若PIT表中有對該興趣包的記錄條目，則節點拋棄該興趣包不作處理；若表中沒有對該興趣包的記錄條目，則節點將該興趣包請求插入PIT表，并且執行第3步。

3）節點檢查興趣包的隱私標識字段。若該字段值不為0，則興趣包的跳數控制字段值加1；否則，路由節點根據最近一段時期統計信息，依據（1）式判斷該內容是否為隱私內容。如為非隱私內容，則在興趣包的隱私標識字段置2；如果是隱私內容，則在興趣包的隱私標識字段置1，并且興趣包的跳數控制字段值加1。然后依據FIB（Forwarding Information Base）表項執行下一跳路由轉發，將興趣包轉發到下一個路由節點。

4）緩存節點收到轉發來的興趣包命中本節點緩存時，節點將興趣包中的跳數控制字段值復制添加到相應數據包的跳數控制字段和最大跳數字段，同時將興趣包中對應的隱私標識字段的值復制到數據包相應字段，然后查詢PIT表，按照其中的接口記錄返回數據包，刪除相應PIT條目。

5）緩存節點收到轉發來的數據包時，首先查詢PIT表，如表中存在相應記錄，則檢查數據包的隱私標識字段，若值為0則直接按PIT表中的接口記錄轉發。否則，將數據包跳數控制字段值減1，如減后值大于0則直接轉發數據包。如等于0，數據包到達與請求用戶相連的邊緣路由，執行第6步；若查詢PIT表中沒有找到相應記錄，執行第7步。

6）路由節點產生一個隨機數R，其區間為：[1≤R≤MD]。式中M表示數據包中最大跳數字段的值，D表示該路由節點的度。節點在響應了用戶請求后不緩存該數據包，而將R值復制到數據包的跳數控制字段，然后從路由器的各個接口中隨機選擇一個接口發送數據包。

7）PIT表中沒有找到相應記錄的情況下，路由節點將數據包跳數控制字段值減1，如等于0，則該節點緩存該數據包；否則該節點從新產生一個新的隨機數R，其區間同第6步，并將R值復制到數據包的跳數控制字段，然后從路由器的各個接口中隨機選擇一個接口發送數據包。

3 策略簡要評估

如表1所示，PCNN與數據加密類的隱私保護策略相比，雖然在用戶的隱私保護強度上比較弱，但由于不需要節點大量的加解密運算，故節點計算量需求較低。數據加密類的代表類型為文獻[4]的ANDaNA機制和文獻[6]的多層加密機制的隱私保護策略。而PCNN與人為添加延時類的隱私保護策略相比，由于沒有人為地添加響應延時，而主要在于針對隱私內容進行處理，故整體增加的網絡延時較低。人為添加延時類的代表類型為文獻[5]隨機延遲的隱私保護方式（GRD）和文獻[7]的K匿名方式。

4 結語

本文的主要工作是圍繞緩存隱私保護策略本身開展，本文提出的策略在于通過隱私標識區分隱私內容和非隱私內容，并作不同處理。通過將隱私敏感的內容緩存在相鄰或間接相鄰的路由節點中，增加攻擊者鎖定內容的不確定性，達到保護用戶檢索隱私的目的。接下來的工作是進一步研究如何檢測緩存隱私探測行為。此外，CCN除了緩存隱私，內容隱私泄露也是其中一個隱私安全問題，關于CCN內容的隱私保護，也是未來的研究內容。

參考文獻：

[1] 吳超， 張堯學， 周悅芝， 等. 信息中心網絡發展研究綜述[J]. 計算機學報， 2015， 38（3）：455-471.

[2] VASILAKOS A V， LI Z， SIMON G， et al. Information centric network： research challenges and opportunities[J]. Journal of Network and Computer Applications， 2015， （52）： 1-10.

[3] FOTIOU N， POLYZOS G C. ICN privacy and name based security[A].Proceedings of the 1st International Conference on Information-Centric Networking[C]. ACM， 2014. 5-6.

[4] Dibenedetto S， Gasti P， Tsudik G， et al. ANDaNA： Anonymous Named Data Networking Application [J]. Computer Science， 2011.

[5] Zhang Xinwen ， Mohaisen A ， Kim Y ， et al. Protecting access privacy of cached contents in information centric networks[C]// Acm Conference on Computer & Communications Security. ACM， 2013.

[6] 柳毅， 白雪峰， 楊育斌. 基于多層加密機制的內容中心網絡隱私保護策略[J]. 計算機工程與應用， 2017，53（5）：1-5.

[7] ACS G， CONTI M， GASTI P， et al. Cache privacy in named-data networking[A]. Distributed Computing Systems （ICDCS）， 2013 IEEE 33rd International Conference[C]. IEEE， 2013： 41-51.

[8] CHAABANE A， DE CRISTOFARO E， KAAFAR M A， et al. Privacy in content-oriented networking： threats and countermeasures[J]. ACM SIGCOMM Computer Communication Review， 2013， 43（3）： 25-33.

[9] LAUINGER T， LAOUTARIS N， RODRIGUEZ P， et al. Privacy risks in named data networking： what is the cost of performance[J]. ACM SIGCOMM Computer Communication Review， 2012， 42（5）： 54-57.

[10] 葛國棟， 郭云飛， 劉彩霞， 等. 內容中心網絡中面向隱私保護的協作緩存策略[J]. 電子與信息學報， 2015， 37（5）：1220-1226.

[11] 朱軼， 糜正琨， 王文鼐. 內容中心網絡緩存隱私保護策略[J]. 通信學報， 2015， 36（12）：139-150.

【通聯編輯：代影】