面向智能家居的音視頻文件匿名通信系統

王順業，蘆天亮，杜彥輝

中國人民公安大學 信息技術與網絡安全學院，北京 100038

1 引言

2014年智能家居進入發展元年，據預測到2023年，全球將有293萬個家庭安裝至少一種智能家居設備[1]。用戶在使用互聯網時最關心自己的隱私遭到泄露，而智能家居在接入互聯網時同樣會泄露大量用戶信息。由于智能家居的特性，其采集傳輸的音視頻信息往往更加私密，匿名通信可以保證信息傳輸的安全性和匿名性。

智能家居涉及家庭智能監控、家庭影音娛樂、幼長關愛系統等方面，相比于性能好帶寬高的互聯網設備，智能家居設備一般采用低耗能的處理器并使用無線網絡進行連接，計算力和帶寬都有一定的限制。互聯網中被廣泛使用的匿名通信模型如 Tor[2]、I2P[3]、Freenet[4]、Crowds[5]、DC-Net[6]、Tarzan[7]等由于需要進行復雜運算或不適用文件傳輸無法解決智能家居設備音視頻文件的匿名通信問題。針對此現狀，本文提出面向智能家居的音視頻文件匿名通信系統，使用輕量級的加密算法，在保證匿名性和安全性的同時，降低了匿名通信系統的實施代價。

2 相關工作

現有智能家居及物聯網匿名通信模型主要可分為基于計算卸載、輕量級密碼系統的方案。

Hoang[8]、Guan[9]、Braeken[10]等基于計算卸載（Computing Offloading，CO）的思想將計算壓力和帶寬壓力轉移到高性能的計算代理上，強制所有智能家居流量從計算代理進行轉發，將互聯網匿名通信方案應用于計算代理上，從而實現智能家居設備的匿名通信。但攻擊者一旦滲透進入智能家居和代理構成的子網中，匿名便被瓦解，特別是智能家居設備多采用無線連接，為攻擊者提供了便利。

基于輕量級密碼系統的方案多采用基于身份的密碼加密（Identity Based Encryption，IBE），IBE最早由Shamir[11]提出，使用接收者的身份信息作為公鑰，不需要使用數字證書，引入私鑰生成器（Private Key Generator，PKG）產生私鑰，從而減少由于證書而帶來的資源占用問題，同時取消了查詢公鑰操作，避免在此過程中遭到攻擊而去匿名化。Jiang等人[12]利用雙線性IBE對信息加密后，上傳到公共存儲空間“公告板”中，網絡中所有用戶在相同時間段上傳和下載信息。LTAMA[13]結合IBE和橢圓曲線密碼技術，使用假名達到匿名目的。STAC[14]在EAC[15]的基礎上使用基于假名的加密，生成假名和一對公鑰私鑰，確保用戶身份的匿名。

3 相關技術分析

3.1 基于身份的加密

傳統基于身份的加密分為四個步驟[16]：

（1）初始化：由安全參數k計算系統公開參數params以及主密鑰masterkey，其中params對系統內用戶公開，masterkey由PKG保管，不對外公開。

（2）生成私鑰：PKG使用主密鑰masterkey以及用戶信息ID，生成用戶的私鑰SKid。

（3）加密：發送端輸入明文和用戶信息ID，計算得出密文。

（4）解密：接收端輸入密文和對應用戶的私鑰SKid，得到明文。

傳統基于身份的加密過程中，由于使用目標用戶身份信息直接作為公鑰，攻擊者通過分析密文可能得出目標用戶信息，導致目標匿名用戶暴露。本文采用基于雙線性身份的加密[17]，設G1和G2為兩個p階的群組，定義存在雙線映射e?:G1×G1→G2，g為G1的生成元，隨機選擇g2∈G1，δ，令g1=gδ，算法由四部分組成：

（1）初始化。PKG選擇公開參數g,g1,g2以及主密鑰δ。

（2）生成私鑰。由PKG隨機選取r，使用r和用戶信息ID生成用戶私鑰d，其中ID：

（3）加密。發送者選取隨機參數t,s，明文為M，計算密文：

（4）解密。接收者向PKG請求自己的私鑰d=(d1,d2,d3)對密文進行解密，得到明文M：

3.2 洋蔥路由策略

洋蔥路由（Onion Routing）的核心思想是像洋蔥一樣，將傳輸的秘密信息層層加密，秘密信息位于洋蔥的最中心位置。加密過程中使用鏈路上節點的公鑰按照從后至前的順序進行加密，傳輸過程中由外到內逐層解密，每一個節點僅能解密一層加密，只能得到前任節點和后繼節點的信息，并且無法獲知其他節點的信息，因此能夠確保通信過程中匿名性。

4 系統概述

本文使用的相關符號定義如下：Ns(Ns≥2)表示發送端假名組的用戶數，Nd(Nd≥2)表示接收端假名組的用戶數，N-i(i≥3)表示轉發鏈路上的中繼節點，G表示隨機序列，Fs表示文件頭部特征字段，IDu表示用戶公鑰，SKu表示用戶私鑰，δ為主密鑰，g,g1,g2為公開的系統參數。

如圖1所示為面向智能家居的音視頻匿名通信系統，發送端、接收端和轉發節點分別處于不同的區域內。分別在發送端和接收端建立假名組，以假名機制實現發送端和接收端匿名，使用中繼節點轉發實現發送端和接收端的不可鏈接性。源匿名節點處于發送端假名組中，進行通信時源匿名用戶首先向目錄服務器請求假名節點和中繼節點信息，通過出口假名節點進入中繼轉發網絡，中繼網絡中最后一個節點將數據轉發給目標假名節點，目標假名節點向組內所有節點進行廣播，目標匿名節點接收信息完成通信。

匿名通信過程由四個基本步驟組成，下面對四個步驟進行詳細分析。

步驟1源匿名節點將音視頻文件的頭部特征Fs與數據部分分離，數據部分采用文件分割函數f(F,l,n)=(F1,F1,…,Fn)分割成長度為l的n個分片，對分片進行隨機排序得到隨機序列G={G1,G2,…,Gn} ，Gn表示分片的真實序號。源匿名節點向目錄服務器請求發送端假名組節點信息、中繼節點信息、接收端假名組節點信息。選取節點后，對Gn先后使用目標匿名用戶、目標假名節點、中繼節點、出口假名節點信息作為公鑰參數進行多層加密，隨機挑選某個數據包嵌入Fs，將Fs和Gn使用同樣的方法加密，密文c=encrypt(g,g1,g2,t,s,ID,M)。將文件分片作為payload與加密后的信息組成數據包發送給假名節點，數據包結構如圖2所示。

步驟2源匿名節點向出口假名節點發送數據包，出口假名節點用自己的私鑰解密第一層加密后得到首個中繼節點信息，將剩下的信息轉發至首個中繼節點。源匿名節點向假名節點傳輸數據包時告知假名組中其他節點，其他節點向出口假名節點發送相同大小的數據包進行干擾混淆。

步驟3第一個中繼節點接收到數據包后，使用自己的私鑰解密得到下一個中繼節點的信息，將剩余的加密信息轉發到下一個中繼節點，所有中繼節點使用同樣方式對數據包進行轉發。最后一個中繼節點將數據包轉發至接收假名組，目標假名節點收到數據包后，向接收端假名組中所有節點進行廣播，組內其他節點無法解密，丟棄數據包。

步驟4目標匿名用戶接收到數據包后使用自己的私鑰對加密部分進行解密，明文M=decrypt(d,c)，得到分片真實序號以及文件特征部分。

對所有分片按照隨機序列G的順序進行傳輸，如圖3所示，循環進行步驟1～4，直至所有分片傳輸完畢。目標匿名用戶在接收文件分片后使用真實序號對分片進行標記，重新將分片排序為正確序列，使用逆函數F=f-1(F1,F2,…,Fn)按照序列對文件進行重組，重組后將數據部分與文件頭組合，完成文件恢復。

圖1 面向智能家居的音視頻文件匿名通信系統

圖2 數據包結構圖

圖3 分片傳輸示意圖

表1 與Tor匿名通信系統比較

5 模型分析

本文將提出的面向智能家居的音視頻文件匿名通信系統在算力要求等多個方面與Tor進行了比較，如表1所示。分析表明，本文提出的方法與Tor匿名通信系統相比，對設備的計算能力要求低，能夠適應智能家居環境低算力的限制。同時能夠實現源匿名節點和目標匿名節點的位置匿名，在出口節點同樣保持加密狀態防止泄密，保證傳輸的音視頻文件不被泄露還原。

5.1 匿名性分析

系統融合基于身份的加密方式和洋蔥路由策略，使用下一節點的信息作為公鑰進行加密，只有真正的系統節點才能向PKG請求私鑰對數據包進行解密。中繼節點轉發過程中，每個中繼節點只知道上一個中繼節點和下一個中繼節點的信息，無法獲知系統中其他中繼節點的信息，從而保證源匿名節點和目標匿名節點的不可鏈接性。

源匿名節點隱匿在發送端假名組中，源匿名節點和出口假名節點通信時，組內其他節點同時向出口假名節點發送混淆包，監聽者無法對流量分析使源匿名節點去匿名化。通過假名節點與首個中繼節點進行通信，即使攻擊者攻擊首個中繼節點也無法判斷源匿名節點的身份。目標匿名節點隱匿在接收端假名組中，目標假名節點在收到數據包后向組內所有節點進行廣播，但因為使用的是目標匿名節點的身份信息作為參數進行加密，只有真正的目標匿名節點才能對密文解密。

綜上本文提出的模型可以實現源匿名節點和目標匿名節點的位置匿名以及雙方的不可鏈接性。

5.2 匿名性度量

攻擊者可以通過控制鏈路中的部分節點并利用這些節點發起合謀攻擊，攻擊者在攻擊本文研究的模型時，如果要實現去匿名化，需要同時滿足兩個條件：

（1）攻擊者最少要控制鏈路中半數的節點。

（2）攻擊者要同時控制首個中繼節點和最后一個中繼節點。

根據Reiter等人[5]提出的匿名度分析方法，發送端假名集中節點個數為Ns，接收端假名集中節點個數為Nd，中繼轉發鏈路的長度為L，假設轉發鏈路中有Z個惡意節點，則中繼轉發鏈路被攻擊而導致去匿名化的可能性為：

如圖4所示，中繼節點轉發過程中匿名被瓦解的可能性隨節點數目的增多，惡意節點數目的減少而降降低。

則整個匿名通信模型的匿名度D為：

如圖5所示，在匿名通信模型鏈路長度一定時，匿名被瓦解的可能性隨鏈路中惡意節點數量的增多而增加，同時匿名被瓦解的可能性受Ns和Nd的影響，Ns和Nd對系統匿名度的影響效果相同。隨著Ns和Nd的增多，匿名通信模型的匿名性越強，但過多的假名節點會導致帶寬資源的浪費和通信延遲，特別是在發送端假名組傳輸過程中有大量混淆數據包傳輸，過多的假名節點會導致出口假名節點的帶寬負載加重，接收端假名節點只需要對組內所有用戶進行廣播，因而可以選擇較多的節點保護目標匿名用戶。由圖可見當Ns=3,Nd=8時，系統匿名被瓦解的可能性小于5%，并且隨著假名組內節點的增多，匿名性的提升不明顯，假名節點數目的增加對模型匿名性的影響較小，匿名系統能夠達到較好的匿名效果同時不會導致帶寬壓力過大。

圖4 中繼轉發鏈路匿名性

圖5 假名組節點數目與系統匿名度關系(L=20)

5.3 安全性分析

文件在分片后按照隨機編碼序列的順序進行傳輸，并且在分離文件頭后每個分片都失去了可讀性，假設攻擊者成功地實施了合謀攻擊控制了鏈路中的節點，截取傳輸數據包進行還原，但是按照真實傳輸順序對分片進行重組得到的分片順序是錯誤的，即使得到了所有數據分片也無法還原出源文件。只有攻擊者獲得文件分片的同時得到每個分片的真實序號Gn和文件特征頭部Fs才能對文件正確還原，而對Gn和Fs使用公鑰進行加密，認為是安全的。

由于對分片序列進行隨機排序，并保證每一個分片在每一個位置的概率相等，則對n個分片進行隨機排序可能的結果共有n!個，設遭到到暴力破解分片順序的可能性為Pr(B)，則Pr(B)=，如圖6所示。

圖6 分片序列遭到暴力破解的可能性

隨著分片數目n的增多，Pr(B)逐漸降低，當n=100時，Pr(B)1.072×10-158，一般情況下對文件的分片遠大于100個，可以抵抗暴力破解攻擊。

5.4 通信代價分析

本文主要從兩個方面降低了匿名通信過程的資源損耗，首先使用基于身份的加密代替傳統基于證書的密碼加密系統，取消了證書的驗證等過程，使用用戶信息作為加密參數，在加密過程中不需要任何證書，不需要保存管理每個用戶的公鑰，避免因公鑰管理、查詢等操作帶來的資源損耗。

另一方面，針對音視頻文件的特性，按照隨機序列的方式對文件分片進行傳輸，由安全性分析可知不需要對文件整體進行加密，只需加密分片的真實序號與文件頭部特征，從而降低了計算代價。

6 結論

本文提出了一種面向智能家居的匿名通信模型，該方案將基于身份的加密和洋蔥路由策略結合。在構建鏈路過程中，保證源匿名節點和目標匿名節點的身份匿名和通信關系的不可鏈接，傳輸音視頻文件過程中，不需要對整個文件進行加密，并使用特定的傳輸序列對文件分片進行傳輸。分析表明本文提出的方法可以在計算資源受限的情況下保證通信的匿名性和安全性，實現智能家居環境下的匿名通信。