基于可信身份檢索的物聯(lián)網(wǎng)隱私保護方案

趙 亮，王學良，陳聲濤

（1.北京航空材料研究院，北京 100095；2.北京格爾國信科技有限公司，北京 100095；3.格爾軟件股份有限公司，上海 200436）

0 引言

近年來，物聯(lián)網(wǎng)技術蓬勃發(fā)展，并逐漸滲透到人們?nèi)粘Ｉa(chǎn)與社會生活中。例如，智能家居、車路協(xié)同等技術領域對物聯(lián)設備的需求迎來爆炸式增長。同時，伴隨著大眾網(wǎng)絡安全和數(shù)據(jù)安全意識的不斷增強，物聯(lián)網(wǎng)的數(shù)據(jù)安全與設備安全問題成為學術界與工業(yè)界關注的熱點問題［1］。保障物聯(lián)網(wǎng)數(shù)據(jù)安全的有效方法是將密碼技術、身份認證、路由協(xié)議等隱私保護技術相結合，構造適用于具體業(yè)務場景的數(shù)據(jù)安全保護方案。這類方案需要根據(jù)具體業(yè)務要求滿足物聯(lián)網(wǎng)的防滲透、防篡改、數(shù)據(jù)隱私保護及高效利用等需求［2-3］。

一般而言，物聯(lián)網(wǎng)系統(tǒng)是由遠端節(jié)點和中心業(yè)務節(jié)點組成的應用系統(tǒng)，遠端節(jié)點負責執(zhí)行業(yè)務，并將產(chǎn)生的業(yè)務數(shù)據(jù)加密存儲，中心業(yè)務節(jié)點根據(jù)上層應用的具體要求，每次與遠端節(jié)點驗證身份，隨后請求所有業(yè)務相關的加密數(shù)據(jù)再統(tǒng)一作解密處理。但是，這種方式存在數(shù)據(jù)傳輸壓力大和數(shù)據(jù)處理效率低等問題。

文本利用軟件定義邊界（SDP）技術保證訪問身份可信，實現(xiàn)端對端的身份認證，使用一種基于倒排索引的可搜索加密技術實現(xiàn)密文數(shù)據(jù)的高效檢索，實現(xiàn)了在有限計算資源下對加密數(shù)據(jù)的快速檢索和高效傳輸。具體而言，為遠端節(jié)點的加密數(shù)據(jù)建立數(shù)據(jù)查詢倒排索引，中心業(yè)務節(jié)點只需要確定所需數(shù)據(jù)關鍵字，調(diào)用檢索算法即可獲取期望的加密數(shù)據(jù)，從而減少每次大量數(shù)據(jù)傳輸帶來的網(wǎng)絡帶寬壓力，同時滿足物聯(lián)網(wǎng)數(shù)據(jù)加密存儲和隱私需求。

1 相關工作

1.1 軟件定義邊界技術

軟件定義邊界（Software Defined Perimeter，SDP）由云安全聯(lián)盟（CSA）［4］于2013 年提出，是一種基于軟件的計算機安全防護方式，基于策略為企業(yè)構建起虛擬邊界，對外提供零可見和零連接，利用基于身份的訪問控制和權限認證機制，在端點證明其可信后才可連接，允許合法流量通過。為企業(yè)應用和服務提供隱身保護，未經(jīng)授權的用戶和設備無法訪問到受保護的資源，有效保護企業(yè)的數(shù)據(jù)安全。

針對傳統(tǒng)訪問控制模型引發(fā)的數(shù)據(jù)泄露和安全問題，結合企業(yè)不斷提升的數(shù)據(jù)泄露防范要求，王駿彪［5］提出軟件定義邊界下的可信動態(tài)訪問控制模型，利用訪問數(shù)據(jù)集實時情況所引起的可信度變化調(diào)整訪問控制策略。王亦然等［6］提出一種新型的SDP 模型架構，通過對SDP 模型、邏輯架構以及部署方式的相關研究，構建全新的應用訪問安全模式，實現(xiàn)動態(tài)最小權限的訪問授權。謝欣夢［7］將單數(shù)據(jù)包授權的方式應用在軟件定義邊界中，對軟件定義邊界組件進行預認證和預授權，阻止攻擊者通過系統(tǒng)掃描對漏洞進行攻擊，有效增強了數(shù)據(jù)包的安全性。

1.2 可搜索加密技術

隨著云計算和物聯(lián)網(wǎng)技術的迅速發(fā)展，數(shù)據(jù)云端存儲和計算的需求不斷增加，也引發(fā)了許多網(wǎng)絡存儲和數(shù)據(jù)泄露的安全問題，而解決云端存儲密態(tài)數(shù)據(jù)濫用和滲透的最有效方法是可搜索加密技術。2000 年，Song 等［8］開始探索存儲在云服務器上的加密數(shù)據(jù)檢索問題，并首次給出可搜索加密（Searchable Encryption）的概念。該機制保證了數(shù)據(jù)安全并且具有控制搜索、隱藏查詢、查詢獨立等多個優(yōu)勢。

Curtmola 等［9］提出對稱可搜索加密的改進定義和有效構造，實現(xiàn)自適應的對稱可搜索加密，首次實現(xiàn)了在搜索執(zhí)行過程中可自適應地選擇對服務器的查詢。Kamara等［10］設計一個動態(tài)對稱可搜加密方案，該方案同時滿足次線性搜索時間、抵御自適應選擇關鍵字攻擊安全性、緊湊的索引以及有效地添加和刪除文件的能力，這極大提高了可搜索加密方案的實用性。

在可搜索加密過程中，用戶需要在查詢時能夠快速、準確地找到文件，在搜索語句表達能力方面先后出現(xiàn)了基于精確條件查詢的單關鍵詞檢索和多關鍵詞檢索［11］相關技術，模糊關鍵詞檢索［12］和混淆關鍵字密文檢索［13］等相關技術。為提高檢索效率和正確性，孫曉玲等［14］提出基于可拆分倒排索引的可搜索加密方案；Hahn 等［15］提出支持批量更新的可搜索加密方案；劉政等［16］實現(xiàn)了一種高效的基于聚合索引的加密搜索方案。

2 本文方案

2.1 系統(tǒng)模型

系統(tǒng)模型如圖1 所示，由遠端節(jié)點、中心業(yè)務節(jié)點、其他應用節(jié)點及PKI/CA 基礎設施組成。

遠端節(jié)點，即物聯(lián)網(wǎng)中的邊緣節(jié)點，如傳感器等設備。這類節(jié)點具備一定的數(shù)據(jù)存儲能力且能夠內(nèi)嵌基本加解密硬件，可將運行時產(chǎn)生和收集的數(shù)據(jù)加密并存儲在本地，可以與中心業(yè)務節(jié)點建立連接交換數(shù)據(jù)。

中心業(yè)務節(jié)點，即物聯(lián)網(wǎng)中的業(yè)務數(shù)據(jù)處理節(jié)點，根據(jù)應用程序的具體要求，負責從遠端節(jié)點獲取相關數(shù)據(jù)執(zhí)行數(shù)據(jù)處理任務。中心業(yè)務節(jié)點的存儲和計算能力要遠強于遠端節(jié)點，中心業(yè)務節(jié)點搭載部分業(yè)務應用程序、SDP和存儲數(shù)據(jù)查找索引。其他應用節(jié)點代表廣泛的物聯(lián)網(wǎng)中具體的應用系統(tǒng)，包含具體的應用客戶端和應用服務器，能夠根據(jù)需求向中心業(yè)務節(jié)點請求數(shù)據(jù)處理結果。

PKI/CA 基礎設施，用于系統(tǒng)中參與者的身份訪問認證。遠端節(jié)點、中心業(yè)務節(jié)點、其他應用節(jié)點都需要向PKI注冊獲得證書，所有向中心業(yè)務節(jié)點請求數(shù)據(jù)的節(jié)點都必須通過SDP 身份互認。

2.2 方案算法

本文所提基于可信身份檢索的物聯(lián)網(wǎng)隱私保護方案可看作兩階段運行過程，分別是系統(tǒng)建立階段和數(shù)據(jù)處理階段。

2.2.1 系統(tǒng)建立階段

該階段主要包括系統(tǒng)中遠端節(jié)點、中心業(yè)務節(jié)點、其他應用節(jié)點以及PKI/CA 基礎設施初始化，并針對各參與實體身份進行可信認證。本文應用SDP 技術實現(xiàn)端設備身份可信，使用單包授權技術SPA 實現(xiàn)業(yè)務系統(tǒng)的隱藏，并使用類似地址白名單的訪問控制方式，通過SDP 實現(xiàn)遠端節(jié)點與中心業(yè)務節(jié)點的邏輯隔離，使得資源對未授權用戶透明，能減少來自外部的各種攻擊，達成身份認證功能，確保每個接入的設備都是可信的。認證過程如下：

SDP 架構主要包括控制器（Controller）、連接發(fā)起方（Initial Host，IH）和接收方（Accept Host，AH）。在系統(tǒng)中SDP 建立連接過程如圖2 所示，采用“客戶端—服務器”模式，遠端節(jié)點、其他應用節(jié)點均包含IH 組件，將AH、控制器部署在中心業(yè)務節(jié)點上。身份確認過程：①由AH 向控制器注冊各節(jié)點身份；②當請求節(jié)點需要訪問中心業(yè)務節(jié)點時，請求節(jié)點向控制器發(fā)起請求訪問；③AH 驗證請求節(jié)點（IH）的身份證書為請求節(jié)點建立安全連接。

Fig.2 SDP deployment圖2 SDP部署

2.2.2 數(shù)據(jù)處理階段

該階段主要是實例化本文所提基于倒排索引的的可搜索加密算法，為存儲在遠端節(jié)點的加密數(shù)據(jù)建立查找索引，使得其他應用可以通過中心業(yè)務節(jié)點按需高效查詢所需數(shù)據(jù)。算法描述如下：

（1）初始化算法。該算法對遠端節(jié)點存儲的數(shù)據(jù)文件進行編碼并進行加密處理，由遠端節(jié)點運行或預處理。

輸入：待處理文件f。輸出：加密數(shù)據(jù)庫EDB。

Step1：為文件f=（f1，…，fn）賦予對應的唯一標識符id=（id1，…，idn），fi表示明文文件，id表示明文文件生成的整數(shù)標識符。

Step2：生成選擇對稱加密算法實例（例如，AES 算法等），該對稱加密算法包含密鑰生成算法、加密算法和解密算法（KeyGen，Enc，Dec），生成對稱密鑰K←KeyGen｛0，1｝λ，對文件f=（f1，…，fn）進行加密，xi=Enc（K，fi），得到密文序列x=（x1，…，xn）。

Step3：得到加密數(shù)據(jù)庫EDB=(idi，xi)i∈[1，n]，數(shù)據(jù)庫DB=(idi，wi)i∈[1，n]，wi是對應文件的關鍵字，并將密鑰K 保留在本地，關鍵字由具體的系統(tǒng)業(yè)務決定，一般在系統(tǒng)運行前預生成完成（例如傳感器的壓力、溫度、濕度等關鍵字名稱）。

（2）倒排索引建立算法。該算法為遠端節(jié)點存儲的加密數(shù)據(jù)建立查找索引，由中心業(yè)務節(jié)點運行。

輸入：數(shù)據(jù)庫DB。輸出：索引γ，字典δ。

該算法建立的是一種倒排索引，傳統(tǒng)順序索引方式以文件名稱為關鍵字，文件內(nèi)容為檢索結果，以此建立查找索引，當需要查找的詞條在文件末尾時則需要遍歷整個文件以確定本文件是否包含所需的詞條，通常效率較低。對于物聯(lián)網(wǎng)中格式化較強的數(shù)據(jù)而言，順序建立索引并不是一種高效的查找方式。倒排索引能夠很好地解決上述查找速度慢的問題，在初始化算法中加密數(shù)據(jù)庫已經(jīng)預先將需要的詞條作為關鍵字w與其所在的文件id做了關聯(lián)，只需要為關鍵字建立索引，則每次查找關鍵字即可找到所有相關的文件id，提升了查找效率。例如，以遠端傳感器存儲文件中存儲的門禁識別號碼作為關鍵字映射存儲文件id，建立查找索引，倒排索引只要查詢門禁識別號碼即可獲得所有包含門禁識別號碼的文件id，傳統(tǒng)方法則需要遍歷傳感器存儲的所有文件以查找與門禁識別號碼有關的內(nèi)容，查找效率不高。

Step1：初始化空鏈表L，該鏈表每個節(jié)點存儲一個二元組（l，d），l為關聯(lián)字典的鍵值，d為加密的文件id，以及空字典δ，字典格式也是一個二元組（w，c），w是待檢索文件的關鍵字，c是該條目在字典中的序號。

Step2：對于數(shù)據(jù)庫DB 中的每一個文件所對應的關鍵字wi，可以計算兩個系統(tǒng)秘密值Ki1=F（K，1||wi），Ki2=F（K，2||wi），F(xiàn) 為一個任意的偽隨機函數(shù)，能夠將輸入串映射為隨機比特串F：{0，1}*→{0，1}*，符號||表示串聯(lián)兩個字符串，初始化字典中的序號為零c=0。

Step3：對于每一個數(shù)據(jù)庫DB 中的id，計算索引條目信息l←F（Ki1，c），d←Enc（Ki2，id），將（l，d）添加進鏈表L，c++，將（w，c）寫入字典δ，鏈表L即為索引γ。

（3）應用查詢算法。當需要查找數(shù)據(jù)時，運行本算法。

輸入：關鍵字w*。輸出：結果集｛id｝。

Step1：用戶端發(fā)送想要查詢的關鍵字w，計算K*1=F（K，1||w*），K*2=F（K，2||w*），從字典δ中找出匹配的關鍵字對應的序號值c并賦值給total。

Step2：令臨時變量i=0 直到i=total：計算i對應的l值，再在索引γ中進行匹配得到d值。若d為空，則i自增重新計算l的值再進行匹配；否則，計算id←Dec（K*2，d），將id加入結果集，i++。

Step3：根據(jù)得到的｛id｝在加密數(shù)據(jù)庫中進行匹配，得到對應的加密密文，再使用本地存儲的密鑰對密文進行解密，解密后將明文結果集發(fā)送給查詢用戶。

（4）文件—索引添加算法。當需要增加文件并更新索引時，由中心業(yè)務節(jié)點執(zhí)行。

輸入：文件f。輸出：索引γ、字典δ。

Step1：為需要添加的文件f生成對應的標識符id，提取文件f的關鍵字集Wf保存，計算文件的密文x，并將對應的（id，x）記錄在加密數(shù)據(jù)庫EBD 中，并同步根據(jù)明文提取對應的id、加密密鑰K和關鍵字集Wf。

Step2：對于wi∈Wf，計算Ki1=F（K，1||w），Ki2=F（K，2||w），在字典中查找關鍵字wi是否有對應序號c，若不存在該序號則設置新插入的關鍵字序號c=0，若原字典存在該關鍵字及序號，則將該序號c加一并作為關鍵字wi的字典序號。

Step3：計算l=F（Ki1，c），d=Enc（Ki2，id），將（l，d）按加入索引γ，并將（w，c）插入到字典δ。當將（w，c）插入δ時，假設它將覆蓋任何先前的條目（w，·），輸出更新后的索引γ及字典δ。

（5）文件—索引刪除算法。當需要刪除目前索引中引用的文件及對應索引條目時，由中心業(yè)務節(jié)點執(zhí)行。

輸入：文件id。輸出：索引γ。

Step1：查詢用戶選定將要刪除的記錄。

Step2：在加密數(shù)據(jù)庫中匹配id對應的密文，使用密鑰K進行解密得到明文，再根據(jù)明文提取對應的關鍵字集Wf，加密數(shù)據(jù)庫中同時刪除該id對應的記錄。

Step3：對于該id對應的每個關鍵字，生成所需的秘鑰Ki1和Ki2，計算對id加密后的revid值（索引中d列的值），在字典δ中取出關鍵字對應的計數(shù)值c賦值給total。令i=0直到i=total：對其進行加密得到l的值，再從加密索引γ 中取出對應d的值；當revid與d值相同，則物理刪除索引中的該條記錄；否則執(zhí)行i++。最終，輸出更新后的索引γ。

3 安全性分析與應用實驗

3.1 安全性分析

（1）認證性安全。本文所提應用方案使用可信身份認證技術SDP 實現(xiàn)系統(tǒng)中參與者實體的身份認證，因此假設參與者都是誠實的。

（2）機密性安全。如果存在安全的偽隨機函數(shù)F，以及安全的對稱加密算法Fun｛KeyGen，Enc，Dec｝，則本應用方案是抵抗竊聽敵手攻擊安全的。

（3）安全分析。竊聽敵手具備監(jiān)聽網(wǎng)絡消息的能力，在本系統(tǒng)中允許竊聽敵手可以獲取遠端節(jié)點和中心業(yè)務節(jié)點之間傳遞的密文信息x，索引γ，竊聽敵手的視圖記為Vieweadv{x，l，d}。對于密文x而言，其由安全的對稱加密算法實現(xiàn)，則由其語義安全性，x應當與隨機串的xr不可區(qū)分。對于索引γ而言，其l項目由安全的偽隨機函數(shù)生成，則由于偽隨機函數(shù)的單向性，l應當與一個隨機數(shù)不可區(qū)分；其d項由安全的對稱加密算法計算得到，則由其語義安全性，d應當與隨機串的dr不可區(qū)分。因此，存在理想的安全視圖Viewide{xr，rand，dr}，根據(jù)安全的對稱加密算法和偽隨機函數(shù)的安全性質(zhì)，可以得到Vieweadv和Viewide是不可區(qū)分的，因此本文所提應用方案是安全抵抗竊聽敵手的。

3.2 實驗結果

本方案是面向物聯(lián)網(wǎng)環(huán)境而提出，針對物聯(lián)網(wǎng)中遠端節(jié)點的場景，本文使用11 位數(shù)字（真實場景中可對應遠端節(jié)點對身份鑒別碼、電話號碼或身份證號等加密查詢）作為需要存儲和查詢的文件條目。每次實驗隨機生成100、500、2 500、12 500、62 500 個11 位數(shù)字作為測試數(shù)據(jù)集，從索引構建、搜索、更新（添加和刪除）上對方案性能進行測試評估。其中，對稱加密算法實例選擇AES 算法，偽隨機數(shù)函數(shù)使用AES 算法對輸入數(shù)據(jù)進行一次加密，用加密結果作為偽隨機數(shù)的模擬。

本文實驗平臺：Apple M1 芯片8 核心CPU（4*3.2GHz+4*2.064GHz），8GB 內(nèi)存空間作為運行環(huán)境，采用Python3.1 編程語言進行程序編寫。基于不同量級的數(shù)據(jù)，索引存儲空間及效率測試如表1、表2所示。

Table 1 Index storage space test表1 索引存儲空間測試

Fig.3 Index storage space trend圖3 索引存儲空間趨勢

通過空間測試，在100～62 500 量級的數(shù)據(jù)上，對索引所占空間（單位KB）進行測試評價。在100 條數(shù)據(jù)時，索引占用4.623KB 存儲空間；在模擬測試最大的62 500 量級數(shù)據(jù)上，索引所占空間為1 356.08KB，空間占用趨勢如圖3 所示。可以看出，隨著數(shù)據(jù)條目的增長，索引存儲空間擴張曲線尚平滑。對于物聯(lián)網(wǎng)系統(tǒng)中資源受限的設備而言，該空間大小依然是可以接受的。

方案中各函數(shù)執(zhí)行時間與增長趨勢如表2 和圖4 所示，本文使用100～62 500的數(shù)據(jù)量，對搜索算法（圖4-圓形標記線）、更新—增加算法（圖4 三角形標記線）、更新—刪除算法（圖4 正方形標記線）進行運行時間測試。結果顯示，搜索算法的運行時間從0.09ms 增長到0.817ms；更新—增加操作的運行時間從0.166ms 增長到1.56ms；更新—刪除操作的運行時間從0.126 增長到6.765ms。在物聯(lián)網(wǎng)環(huán)境下，本方案在搜索和更新—增加算法運行上效率較低，比較適合查找和增加業(yè)務繁重的場景。

Table 2 Index efficiency test表2 索引效率測試

Fig.4 Running time trend of each function of the scheme圖 4 方案各函數(shù)執(zhí)行時間趨勢

在本方案數(shù)據(jù)傳輸方面，通信的時間開銷主要依賴物聯(lián)網(wǎng)場景所使用的實際帶寬，查詢操作與刪除操作僅需傳輸關鍵字即可，在本實驗中每條目標數(shù)據(jù)為11 個符號的字符串，那么關鍵字應當小于11 字節(jié)，對于增加操作本實驗需要傳輸關鍵字（小于11 字節(jié)）、數(shù)據(jù)條目（11 字節(jié)），更新的一條字典表項（小于32 字節(jié)）和更新的一條索引（小于32 字節(jié)）的表項，如果修改一條數(shù)據(jù)最多需要11+11+32+32=86字節(jié)，對于物聯(lián)網(wǎng)系統(tǒng)傳輸而言是可以接受的。

文獻［14］提出一種可拆分倒排索引的搜索加密方案，適用于有批量數(shù)據(jù)處理的場，該方案將搜索索引的構建時間分攤到了每次檢索過程中，這樣在一定程度上增加了檢索的時間消耗。本文所提方案的索引建立階段是在初始化階段進行，因此在執(zhí)行搜索算法的過程中相比文獻［14］具有優(yōu)勢。此外，在索引—增加、索引—刪除算法設計上，文獻［14］每次由客戶端根據(jù)需要添加或刪除的文件集生成對應的文件索引和搜索索引，然后由服務器（代理）進行合并與拆分，而本文所提方案則將增加和刪除導致更新索引的問題全部分給代理服務器執(zhí)行。文獻［14］中文件索引、字典計算與存儲復雜度對比如表3 所示。其中，F(xiàn)、G為隨機函數(shù)，id與c均為整型編碼，w為關鍵字，Enc 為加密算法。文獻［14］中的方案共需要計算兩次隨機函數(shù)，本文需要計算一次加密和一次隨機函數(shù)。在字典索引的生成過程中，本文具備較少的計算代價。

Table 3 Scheme comparison表3 方案對比

綜上，本方案在有限的設備性能環(huán)境中檢索所耗費的時間較少，在物聯(lián)網(wǎng)遠端節(jié)點上的有限空間中索引耗費的存儲空間也較小，能夠滿足物聯(lián)網(wǎng)場景下數(shù)據(jù)應用的隱私保護和檢索需求。

4 結語

本文提出了一種基于可信身份檢索的物聯(lián)網(wǎng)隱私保護方案，該方案利用軟件定義邊界技術保證系統(tǒng)訪問者的身份是可信的，使用一種基于倒排索引的可搜索加密算法實現(xiàn)了密文數(shù)據(jù)的高效檢索功能，并給出基本的安全性分析與描述。實驗表明，該方案在物聯(lián)網(wǎng)場景下，計算復雜度和存儲空間都在可接受范圍內(nèi)，可在一定程度上緩解數(shù)據(jù)傳輸所帶來的的網(wǎng)絡帶寬壓力，同時滿足物聯(lián)網(wǎng)數(shù)據(jù)加密存儲和隱私需求。