基于可信身份檢索的物聯網隱私保護方案

趙 亮，王學良，陳聲濤

（1.北京航空材料研究院，北京 100095；2.北京格爾國信科技有限公司，北京 100095；3.格爾軟件股份有限公司，上海 200436）

0 引言

近年來，物聯網技術蓬勃發展，并逐漸滲透到人們日常生產與社會生活中。例如，智能家居、車路協同等技術領域對物聯設備的需求迎來爆炸式增長。同時，伴隨著大眾網絡安全和數據安全意識的不斷增強，物聯網的數據安全與設備安全問題成為學術界與工業界關注的熱點問題［1］。保障物聯網數據安全的有效方法是將密碼技術、身份認證、路由協議等隱私保護技術相結合，構造適用于具體業務場景的數據安全保護方案。這類方案需要根據具體業務要求滿足物聯網的防滲透、防篡改、數據隱私保護及高效利用等需求［2-3］。

一般而言，物聯網系統是由遠端節點和中心業務節點組成的應用系統，遠端節點負責執行業務，并將產生的業務數據加密存儲，中心業務節點根據上層應用的具體要求，每次與遠端節點驗證身份，隨后請求所有業務相關的加密數據再統一作解密處理。但是，這種方式存在數據傳輸壓力大和數據處理效率低等問題。

文本利用軟件定義邊界（SDP）技術保證訪問身份可信，實現端對端的身份認證，使用一種基于倒排索引的可搜索加密技術實現密文數據的高效檢索，實現了在有限計算資源下對加密數據的快速檢索和高效傳輸。具體而言，為遠端節點的加密數據建立數據查詢倒排索引，中心業務節點只需要確定所需數據關鍵字，調用檢索算法即可獲取期望的加密數據，從而減少每次大量數據傳輸帶來的網絡帶寬壓力，同時滿足物聯網數據加密存儲和隱私需求。

1 相關工作

1.1 軟件定義邊界技術

軟件定義邊界（Software Defined Perimeter，SDP）由云安全聯盟（CSA）［4］于2013 年提出，是一種基于軟件的計算機安全防護方式，基于策略為企業構建起虛擬邊界，對外提供零可見和零連接，利用基于身份的訪問控制和權限認證機制，在端點證明其可信后才可連接，允許合法流量通過。為企業應用和服務提供隱身保護，未經授權的用戶和設備無法訪問到受保護的資源，有效保護企業的數據安全。

針對傳統訪問控制模型引發的數據泄露和安全問題，結合企業不斷提升的數據泄露防范要求，王駿彪［5］提出軟件定義邊界下的可信動態訪問控制模型，利用訪問數據集實時情況所引起的可信度變化調整訪問控制策略。王亦然等［6］提出一種新型的SDP 模型架構，通過對SDP 模型、邏輯架構以及部署方式的相關研究，構建全新的應用訪問安全模式，實現動態最小權限的訪問授權。謝欣夢［7］將單數據包授權的方式應用在軟件定義邊界中，對軟件定義邊界組件進行預認證和預授權，阻止攻擊者通過系統掃描對漏洞進行攻擊，有效增強了數據包的安全性。

1.2 可搜索加密技術

隨著云計算和物聯網技術的迅速發展，數據云端存儲和計算的需求不斷增加，也引發了許多網絡存儲和數據泄露的安全問題，而解決云端存儲密態數據濫用和滲透的最有效方法是可搜索加密技術。2000 年，Song 等［8］開始探索存儲在云服務器上的加密數據檢索問題，并首次給出可搜索加密（Searchable Encryption）的概念。該機制保證了數據安全并且具有控制搜索、隱藏查詢、查詢獨立等多個優勢。

Curtmola 等［9］提出對稱可搜索加密的改進定義和有效構造，實現自適應的對稱可搜索加密，首次實現了在搜索執行過程中可自適應地選擇對服務器的查詢。Kamara等［10］設計一個動態對稱可搜加密方案，該方案同時滿足次線性搜索時間、抵御自適應選擇關鍵字攻擊安全性、緊湊的索引以及有效地添加和刪除文件的能力，這極大提高了可搜索加密方案的實用性。

在可搜索加密過程中，用戶需要在查詢時能夠快速、準確地找到文件，在搜索語句表達能力方面先后出現了基于精確條件查詢的單關鍵詞檢索和多關鍵詞檢索［11］相關技術，模糊關鍵詞檢索［12］和混淆關鍵字密文檢索［13］等相關技術。為提高檢索效率和正確性，孫曉玲等［14］提出基于可拆分倒排索引的可搜索加密方案；Hahn 等［15］提出支持批量更新的可搜索加密方案；劉政等［16］實現了一種高效的基于聚合索引的加密搜索方案。

2 本文方案

2.1 系統模型

系統模型如圖1 所示，由遠端節點、中心業務節點、其他應用節點及PKI/CA 基礎設施組成。

遠端節點，即物聯網中的邊緣節點，如傳感器等設備。這類節點具備一定的數據存儲能力且能夠內嵌基本加解密硬件，可將運行時產生和收集的數據加密并存儲在本地，可以與中心業務節點建立連接交換數據。

中心業務節點，即物聯網中的業務數據處理節點，根據應用程序的具體要求，負責從遠端節點獲取相關數據執行數據處理任務。中心業務節點的存儲和計算能力要遠強于遠端節點，中心業務節點搭載部分業務應用程序、SDP和存儲數據查找索引。其他應用節點代表廣泛的物聯網中具體的應用系統，包含具體的應用客戶端和應用服務器，能夠根據需求向中心業務節點請求數據處理結果。

PKI/CA 基礎設施，用于系統中參與者的身份訪問認證。遠端節點、中心業務節點、其他應用節點都需要向PKI注冊獲得證書，所有向中心業務節點請求數據的節點都必須通過SDP 身份互認。

2.2 方案算法

本文所提基于可信身份檢索的物聯網隱私保護方案可看作兩階段運行過程，分別是系統建立階段和數據處理階段。

2.2.1 系統建立階段

該階段主要包括系統中遠端節點、中心業務節點、其他應用節點以及PKI/CA 基礎設施初始化，并針對各參與實體身份進行可信認證。本文應用SDP 技術實現端設備身份可信，使用單包授權技術SPA 實現業務系統的隱藏，并使用類似地址白名單的訪問控制方式，通過SDP 實現遠端節點與中心業務節點的邏輯隔離，使得資源對未授權用戶透明，能減少來自外部的各種攻擊，達成身份認證功能，確保每個接入的設備都是可信的。認證過程如下：

SDP 架構主要包括控制器（Controller）、連接發起方（Initial Host，IH）和接收方（Accept Host，AH）。在系統中SDP 建立連接過程如圖2 所示，采用“客戶端—服務器”模式，遠端節點、其他應用節點均包含IH 組件，將AH、控制器部署在中心業務節點上。身份確認過程：①由AH 向控制器注冊各節點身份；②當請求節點需要訪問中心業務節點時，請求節點向控制器發起請求訪問；③AH 驗證請求節點（IH）的身份證書為請求節點建立安全連接。

Fig.2 SDP deployment圖2 SDP部署

2.2.2 數據處理階段

該階段主要是實例化本文所提基于倒排索引的的可搜索加密算法，為存儲在遠端節點的加密數據建立查找索引，使得其他應用可以通過中心業務節點按需高效查詢所需數據。算法描述如下：

（1）初始化算法。該算法對遠端節點存儲的數據文件進行編碼并進行加密處理，由遠端節點運行或預處理。

輸入：待處理文件f。輸出：加密數據庫EDB。

Step1：為文件f=（f1，…，fn）賦予對應的唯一標識符id=（id1，…，idn），fi表示明文文件，id表示明文文件生成的整數標識符。

Step2：生成選擇對稱加密算法實例（例如，AES 算法等），該對稱加密算法包含密鑰生成算法、加密算法和解密算法（KeyGen，Enc，Dec），生成對稱密鑰K←KeyGen｛0，1｝λ，對文件f=（f1，…，fn）進行加密，xi=Enc（K，fi），得到密文序列x=（x1，…，xn）。

Step3：得到加密數據庫EDB=(idi，xi)i∈[1，n]，數據庫DB=(idi，wi)i∈[1，n]，wi是對應文件的關鍵字，并將密鑰K 保留在本地，關鍵字由具體的系統業務決定，一般在系統運行前預生成完成（例如傳感器的壓力、溫度、濕度等關鍵字名稱）。

（2）倒排索引建立算法。該算法為遠端節點存儲的加密數據建立查找索引，由中心業務節點運行。

輸入：數據庫DB。輸出：索引γ，字典δ。

該算法建立的是一種倒排索引，傳統順序索引方式以文件名稱為關鍵字，文件內容為檢索結果，以此建立查找索引，當需要查找的詞條在文件末尾時則需要遍歷整個文件以確定本文件是否包含所需的詞條，通常效率較低。對于物聯網中格式化較強的數據而言，順序建立索引并不是一種高效的查找方式。倒排索引能夠很好地解決上述查找速度慢的問題，在初始化算法中加密數據庫已經預先將需要的詞條作為關鍵字w與其所在的文件id做了關聯，只需要為關鍵字建立索引，則每次查找關鍵字即可找到所有相關的文件id，提升了查找效率。例如，以遠端傳感器存儲文件中存儲的門禁識別號碼作為關鍵字映射存儲文件id，建立查找索引，倒排索引只要查詢門禁識別號碼即可獲得所有包含門禁識別號碼的文件id，傳統方法則需要遍歷傳感器存儲的所有文件以查找與門禁識別號碼有關的內容，查找效率不高。

Step1：初始化空鏈表L，該鏈表每個節點存儲一個二元組（l，d），l為關聯字典的鍵值，d為加密的文件id，以及空字典δ，字典格式也是一個二元組（w，c），w是待檢索文件的關鍵字，c是該條目在字典中的序號。

Step2：對于數據庫DB 中的每一個文件所對應的關鍵字wi，可以計算兩個系統秘密值Ki1=F（K，1||wi），Ki2=F（K，2||wi），F 為一個任意的偽隨機函數，能夠將輸入串映射為隨機比特串F：{0，1}*→{0，1}*，符號||表示串聯兩個字符串，初始化字典中的序號為零c=0。

Step3：對于每一個數據庫DB 中的id，計算索引條目信息l←F（Ki1，c），d←Enc（Ki2，id），將（l，d）添加進鏈表L，c++，將（w，c）寫入字典δ，鏈表L即為索引γ。

（3）應用查詢算法。當需要查找數據時，運行本算法。

輸入：關鍵字w*。輸出：結果集｛id｝。

Step1：用戶端發送想要查詢的關鍵字w，計算K*1=F（K，1||w*），K*2=F（K，2||w*），從字典δ中找出匹配的關鍵字對應的序號值c并賦值給total。

Step2：令臨時變量i=0 直到i=total：計算i對應的l值，再在索引γ中進行匹配得到d值。若d為空，則i自增重新計算l的值再進行匹配；否則，計算id←Dec（K*2，d），將id加入結果集，i++。

Step3：根據得到的｛id｝在加密數據庫中進行匹配，得到對應的加密密文，再使用本地存儲的密鑰對密文進行解密，解密后將明文結果集發送給查詢用戶。

（4）文件—索引添加算法。當需要增加文件并更新索引時，由中心業務節點執行。

輸入：文件f。輸出：索引γ、字典δ。

Step1：為需要添加的文件f生成對應的標識符id，提取文件f的關鍵字集Wf保存，計算文件的密文x，并將對應的（id，x）記錄在加密數據庫EBD 中，并同步根據明文提取對應的id、加密密鑰K和關鍵字集Wf。

Step2：對于wi∈Wf，計算Ki1=F（K，1||w），Ki2=F（K，2||w），在字典中查找關鍵字wi是否有對應序號c，若不存在該序號則設置新插入的關鍵字序號c=0，若原字典存在該關鍵字及序號，則將該序號c加一并作為關鍵字wi的字典序號。

Step3：計算l=F（Ki1，c），d=Enc（Ki2，id），將（l，d）按加入索引γ，并將（w，c）插入到字典δ。當將（w，c）插入δ時，假設它將覆蓋任何先前的條目（w，·），輸出更新后的索引γ及字典δ。

（5）文件—索引刪除算法。當需要刪除目前索引中引用的文件及對應索引條目時，由中心業務節點執行。

輸入：文件id。輸出：索引γ。

Step1：查詢用戶選定將要刪除的記錄。

Step2：在加密數據庫中匹配id對應的密文，使用密鑰K進行解密得到明文，再根據明文提取對應的關鍵字集Wf，加密數據庫中同時刪除該id對應的記錄。

Step3：對于該id對應的每個關鍵字，生成所需的秘鑰Ki1和Ki2，計算對id加密后的revid值（索引中d列的值），在字典δ中取出關鍵字對應的計數值c賦值給total。令i=0直到i=total：對其進行加密得到l的值，再從加密索引γ 中取出對應d的值；當revid與d值相同，則物理刪除索引中的該條記錄；否則執行i++。最終，輸出更新后的索引γ。

3 安全性分析與應用實驗

3.1 安全性分析

（1）認證性安全。本文所提應用方案使用可信身份認證技術SDP 實現系統中參與者實體的身份認證，因此假設參與者都是誠實的。

（2）機密性安全。如果存在安全的偽隨機函數F，以及安全的對稱加密算法Fun｛KeyGen，Enc，Dec｝，則本應用方案是抵抗竊聽敵手攻擊安全的。

（3）安全分析。竊聽敵手具備監聽網絡消息的能力，在本系統中允許竊聽敵手可以獲取遠端節點和中心業務節點之間傳遞的密文信息x，索引γ，竊聽敵手的視圖記為Vieweadv{x，l，d}。對于密文x而言，其由安全的對稱加密算法實現，則由其語義安全性，x應當與隨機串的xr不可區分。對于索引γ而言，其l項目由安全的偽隨機函數生成，則由于偽隨機函數的單向性，l應當與一個隨機數不可區分；其d項由安全的對稱加密算法計算得到，則由其語義安全性，d應當與隨機串的dr不可區分。因此，存在理想的安全視圖Viewide{xr，rand，dr}，根據安全的對稱加密算法和偽隨機函數的安全性質，可以得到Vieweadv和Viewide是不可區分的，因此本文所提應用方案是安全抵抗竊聽敵手的。

3.2 實驗結果

本方案是面向物聯網環境而提出，針對物聯網中遠端節點的場景，本文使用11 位數字（真實場景中可對應遠端節點對身份鑒別碼、電話號碼或身份證號等加密查詢）作為需要存儲和查詢的文件條目。每次實驗隨機生成100、500、2 500、12 500、62 500 個11 位數字作為測試數據集，從索引構建、搜索、更新（添加和刪除）上對方案性能進行測試評估。其中，對稱加密算法實例選擇AES 算法，偽隨機數函數使用AES 算法對輸入數據進行一次加密，用加密結果作為偽隨機數的模擬。

本文實驗平臺：Apple M1 芯片8 核心CPU（4*3.2GHz+4*2.064GHz），8GB 內存空間作為運行環境，采用Python3.1 編程語言進行程序編寫。基于不同量級的數據，索引存儲空間及效率測試如表1、表2所示。

Table 1 Index storage space test表1 索引存儲空間測試

Fig.3 Index storage space trend圖3 索引存儲空間趨勢

通過空間測試，在100～62 500 量級的數據上，對索引所占空間（單位KB）進行測試評價。在100 條數據時，索引占用4.623KB 存儲空間；在模擬測試最大的62 500 量級數據上，索引所占空間為1 356.08KB，空間占用趨勢如圖3 所示。可以看出，隨著數據條目的增長，索引存儲空間擴張曲線尚平滑。對于物聯網系統中資源受限的設備而言，該空間大小依然是可以接受的。

方案中各函數執行時間與增長趨勢如表2 和圖4 所示，本文使用100～62 500的數據量，對搜索算法（圖4-圓形標記線）、更新—增加算法（圖4 三角形標記線）、更新—刪除算法（圖4 正方形標記線）進行運行時間測試。結果顯示，搜索算法的運行時間從0.09ms 增長到0.817ms；更新—增加操作的運行時間從0.166ms 增長到1.56ms；更新—刪除操作的運行時間從0.126 增長到6.765ms。在物聯網環境下，本方案在搜索和更新—增加算法運行上效率較低，比較適合查找和增加業務繁重的場景。

Table 2 Index efficiency test表2 索引效率測試

Fig.4 Running time trend of each function of the scheme圖 4 方案各函數執行時間趨勢

在本方案數據傳輸方面，通信的時間開銷主要依賴物聯網場景所使用的實際帶寬，查詢操作與刪除操作僅需傳輸關鍵字即可，在本實驗中每條目標數據為11 個符號的字符串，那么關鍵字應當小于11 字節，對于增加操作本實驗需要傳輸關鍵字（小于11 字節）、數據條目（11 字節），更新的一條字典表項（小于32 字節）和更新的一條索引（小于32 字節）的表項，如果修改一條數據最多需要11+11+32+32=86字節，對于物聯網系統傳輸而言是可以接受的。

文獻［14］提出一種可拆分倒排索引的搜索加密方案，適用于有批量數據處理的場，該方案將搜索索引的構建時間分攤到了每次檢索過程中，這樣在一定程度上增加了檢索的時間消耗。本文所提方案的索引建立階段是在初始化階段進行，因此在執行搜索算法的過程中相比文獻［14］具有優勢。此外，在索引—增加、索引—刪除算法設計上，文獻［14］每次由客戶端根據需要添加或刪除的文件集生成對應的文件索引和搜索索引，然后由服務器（代理）進行合并與拆分，而本文所提方案則將增加和刪除導致更新索引的問題全部分給代理服務器執行。文獻［14］中文件索引、字典計算與存儲復雜度對比如表3 所示。其中，F、G為隨機函數，id與c均為整型編碼，w為關鍵字，Enc 為加密算法。文獻［14］中的方案共需要計算兩次隨機函數，本文需要計算一次加密和一次隨機函數。在字典索引的生成過程中，本文具備較少的計算代價。

Table 3 Scheme comparison表3 方案對比

綜上，本方案在有限的設備性能環境中檢索所耗費的時間較少，在物聯網遠端節點上的有限空間中索引耗費的存儲空間也較小，能夠滿足物聯網場景下數據應用的隱私保護和檢索需求。

4 結語

本文提出了一種基于可信身份檢索的物聯網隱私保護方案，該方案利用軟件定義邊界技術保證系統訪問者的身份是可信的，使用一種基于倒排索引的可搜索加密算法實現了密文數據的高效檢索功能，并給出基本的安全性分析與描述。實驗表明，該方案在物聯網場景下，計算復雜度和存儲空間都在可接受范圍內，可在一定程度上緩解數據傳輸所帶來的的網絡帶寬壓力，同時滿足物聯網數據加密存儲和隱私需求。