物聯網感知層中隱私保護方法研究

張　靜　葛麗娜,2*　劉金輝　趙　凱

1(廣西民族大學信息科學與工程學院　廣西 南寧 530006)2(廣西師范學院科學計算與智能信息處理廣西高校重點實驗室　廣西 南寧 530023)

?

物聯網感知層中隱私保護方法研究

張靜1葛麗娜1,2*劉金輝1趙凱1

1(廣西民族大學信息科學與工程學院廣西 南寧 530006)2(廣西師范學院科學計算與智能信息處理廣西高校重點實驗室廣西 南寧 530023)

摘要隨著人們對物聯網的認識，對它的使用也隨之增加。物聯網使得物理世界緊密地同網絡世界相聯系。與此同時，隨著物聯網的發展，對隱私安全技術帶來了極大的挑戰。詳細列舉國內外物聯網體系結構中感知層中射頻識別(RFID)系統和無線傳感器網絡(WSN)的隱私安全保護協議，重點描述WSN數據隱私保護方法。使用對比分析法對協議進行分析，并且定性分析協議的優缺點，指出物聯網隱私保護技術的發展趨勢。綜合分析得出，數據聚合方法在數據的隱私保護方面性能優越，應用范圍更廣。

關鍵詞物聯網感知層無線傳感器網絡數據隱私保護

0引言

物聯網作為新興網絡，與傳統的網絡存在很大的差別，其具有很多特點，比如它的存在具有一定的開放性，可以全面地感知信息，網絡形態是自組織的，并且存在多源異構性等。其在安全方面的問題也更為出眾地顯露。物聯網層次結構可以分為：最底層的是感知層、處于中間位置的網絡層和與人們息息相關的應用層。其中人們認為完成信息的收集和數據轉換的感知層是物聯網三個層中最為核心的。通過各類信息采集、執行設備和識別設備，采用多種網絡通信技術、信息處理技術、物化安全可信技術、中間件及網關技術等。

物聯網感知層直接面向的是現實環境，感知節點數量龐大、體積小、運算存儲能力較弱，并且功能各異，和人們的生活有密切的聯系。所以物聯網中感知層面臨的隱私保護安全性問題也引起業界關注。國內外就物聯網感知層中認為RFID系統和無線傳感器網絡的隱私保護問題最為核心。

1RFID系統中隱私保護方法

在RFID系統隱私保護安全研究的成果主要包括物理機制(訪問控制)、身份認證和數據加密。一般將身份認證和數據加密組合一起使用，統稱密碼機制。

(1) 物理安全機制

物理安全機制(訪問控制)，主要包括標簽失效及類似機制、干擾標簽、金屬屏蔽(法拉第籠)等。這些措施的主要目的就是使得RFID標簽中的信息不被攻擊者隨意的讀取，從而防止隱私信息的直接泄露。這種方法比較簡單，容易實施，但是普適性欠缺。

(2) 密碼機制

密碼相關技術可以同時兼顧隱私保護和系統保密性、準確性和信息完整性。針對于用戶的隱私敏感的數據和位置，主要采用基于密碼技術的安全機制實現來對其進行保護[1]。如安全多方計算、基于hash函數的安全通信協議、基于重加密機制方法、匿名ID 方法等。

就目前已經成熟的方法中發現的不足，很多學者提出了新的RFID隱私保護方法。如張輝等人通過采用部分標識符(ID)、循環冗余校驗(CRC)方法和ID 動態更新的方法，提出了一種基于詢問—響應RFID隱私相互認證協議[2]。此認證協議對于防止位置隱私的攻擊、標簽發動攻擊等眾多攻擊，都能起到有效的保護作用，但是還存在一些不足就是其硬件復雜度較低，針對攻擊者偽造原有的標簽而發動的攻擊，抵御能力較弱。

鄧淼磊等人提出利用等長度的偽隨機函數(fake random function)實現RFID系統匿名認證協議[3]。利用真實和理想協議模擬的不可區分性構建通用可組合(universal composable)模型，利用模型構造安全認證理想函數。該協議僅僅使用偽隨機函數發生器就可以實現匿名協議，成本使用低、效率較高而且實現了前向的安全性。

2無線傳感器網路隱私保護方法

WSN中隱私保護的方法根據保護內容的不同分為：數據(data)隱私保護方法；位置(location)隱私保護方法。

2.1數據隱私保護方法

數據隱私保護方法有很多種，主要可以劃歸到下面兩大類中：數據聚合隱私保護DAPP(Data Aggregation Privacy Protection)；數據查詢隱私保護DRPP(Data Research Privacy Protection)方法。

數據聚合隱私保護

文獻[4]將DAPP方法分為下面幾種：

1) 基于擾動技術的DAPP協議

此類主要思想是對感知節點中感知到的原始數據中添加隨機數，從而將感知數據保護起來，最終實現隱私保護。目前有以下比較成熟的協議：

(1) Groat 等人提出了KIPDA( K-indistinguishable privacy-preserving data aggregation)協議[5]。主要的思想是在不對原始感知數據進行加密的情況下，將傳感節點感知數據同和偽裝數據混合放在一個消息集中，偽裝數據是利用聚合技術生成的。而消息集中感知的數據有指定的位置，消息集繼續傳遞消息，攻擊者無法區分原始的數據和偽裝的數據，最終保護原始數據。圖1是具體實現步驟。

圖1　KIPDA協議實現步驟

(2) Bista等人提出的DCIDA( data confidentiality and integrity for data aggregation) 協議[6]。主要思想是利用復數的可加性來實現數據的完整性和私密性保護。前期工作是要先對感知的數據進行干擾。復數的特性就是存在實數部分和虛數部分，所以協議充分利用這個性質，復數的實數部分保護數據的隱私性，利用復數的虛數部分保護數據的完整性。

2) 基于切分的DAPP協議

此類協議利用切分技術，把感知數據切分成若干數據片，使攻擊者無法收集到全部的感知數據，進一步阻止攻擊。

(1) He等人提出了一種具有sum性質的SMART(slice-mix-aggregate)協議[7]。每一個感知節點通過分割技術對原始數據進行切分，再進行加密數據片，轉發到查詢服務器，計算最終的聚合結果。通過這種方法攻擊者最終得到切分后的數據，無法還原原始感知數據。具體步驟如圖2所示。

圖2　SMART協議實現步驟

(2) He等人提出了iPDA( integrity-protecting private data aggregation)協議[8]。主要方法是構造不相交的聚合路徑或聚合樹，使用多層的網絡拓撲結構，把感知的原始數據進行切片，利用兩個不相交的聚合樹對切片的數據進行聚合。WSN中基站通過對前面構造的兩個不相交的聚合樹中的聚合結果進行分析比較，并決定要不要接納或拒絕聚合的數據。其顯著的特性就是基于不同的采樣或近似的基礎為計劃，可以準確地聚合得到相當密集的網絡。

(3) 楊庚等人提出了ESPART( energy-saving privacy-preserving data aggregation) 協議[9]。它是對SMART 協議進行了改進，主要在低耗能方面比較突出。協議先產生數據聚合樹，計算分配的時間片大小，在分配的時間片中聚合樹中葉子節點隨機選擇剩下的節點串通，每次傳輸數據時經過隨機密鑰分配體制生成的密鑰加解密相鄰節點間的數據。

(4) 隨后楊庚等人又提出了P-SMART-CLPNT協議[10]。協議中加入5個優化因子：小數據因子(SMART-Little)、正負因子(SMART-Positive & Negative)、補償因子(SMART-Compensation)、隨機分片因子(SMART-Time slot randomized)和局部因子(Partical-SMART)。加入前三種因子目的是減小由于過程中碰撞問題造成缺陷，從而提高數據的精確性。前兩種因子的加入是在串通的時間片內，而Partical-SMART是在數據融合時間片內通。加入SMART-Time slot randomized目的是降低數據之間的碰撞概率。而加入Partical-SMART是利用減少數據之間的通信量從而降低碰撞概率。

3) 基于同態加密(homomorphic encryption)的DAPP協議

(1) 較早期Castelluccia 等人提出了AHE(additively homomorphic encryption)協議[11]。使用加法和乘法同態加密方法加密聚合的數據，中間傳感器聚合加密后的數據，不需要解密。使用的是終端到終端的加密，聚合在基站上完成，可以有效地計算統計值，如平均值、方差和感知數據的標準方差，同時實現顯著的帶寬增益。

(2) Girao等人提出了CDA( concealed data aggregation) 協議[12]，采用PH加密模式來實現數據聚合隱私保護。分兩個階段實現：加密階段和解密階段。加密階段是傳感節點將感知數據隨機分為多少段，用特定的加密函數對感知數據進行加密；解密階段是解密函數解密分段加密后的數據，把所有解密后所得的數據聚合，中間節點不需要解密。

(3) Suat等人提出的IPHCDA(integrity protecting hierarchical concealed data aggregation) 協議[13]。采用一個基于橢圓曲線加密的同態加密算法來提供數據的完整性和機密性。協議允許用不同的加密密鑰加密數據集，聚合的數據在解密過程中，基站能夠對不同的加密密鑰和聚合的數據進行劃分。

(4) Sun等人提出了RCDA(recoverable concealed data aggregation) 協議[14]。一般基站存在兩個問題，一個是聚合函數的使用是有限的;另一個是通過附加消息摘要或簽名，基站也無法確實傳輸的數據的完整性和真實性。RCDA協議可以有效地避免基站存在的問題。該協議中基站可以恢復即使已經由所有傳感器節點感知的數據，而不是匯聚的結果。同時提出了RCDA-HOMO(homogeneous)和RCDA-HETE(heterogeneous)的WSN數據保護協議。在RCDA-HOMO方法中主要通過組織、加密-簽名、聚合和驗證這四步完成。而RCDA-HETE方法的不同在于加密部分，相對RCDA-HOMO的加密—簽名，RCDA-HETE先是在群內進行加密，隨后在簇內加密。

4) 基于分簇的DAPP協議

(1) He等人提出了CPDA( cluster-based private data aggregation)協議[7]。充分運用多項式代數性質計算所需聚合值，完成DAPP。具體實現步驟如圖3所示。

圖3　CPDA協議實現步驟

(2) Yao等人提出了DADPP( data aggregation different privacy-levels protection) 協議[15]。針對CPDA協議缺點進行了改進，提供不同等級隱私保護，不同節點用于預處理數據不同等級。根據所需的保密級別，在同一簇中的所有節點被劃分成許多組，只有在同一組內節點才可以直接進行信息交換。

(3) He等人提出了iCPDA( cluster-based protocol to enforce integrity and preserve privacy in data aggregation)協議[16]。協議有三個階段：構造簇、簇內部數據的聚合、簇與簇間數據的聚合。整體實現同CDPA協議，不同的是在第一個階段中通過本身的簇頭節點對所有的節點預選出參數，所有的簇頭節點再形成聚合樹。

(4) 李玉海等人提出了SCPDA( Secret Confusion of Privacy-preserving Data Aggregation)協議[17]。該協議在聚合前采用混淆技術在感知的數據中加入混淆數據，使得節點不能區分真實數據和加入的數據，通過這種方式保護感知數據。該協議的主要工作流程如下：劃分簇階段。將傳感器的所有節點劃分成一定數量的簇，從產生的簇里挑選出其中一個節點作為簇頭節點，路由樹是通過聚合節點作為根節點產生的以。數據混淆階段。給感知的原始數據中隨機加入有感知節點生成K對正負相對應的數對。節點自身留一組數據，而其他組數據分別隨機分配給鄰居節點，每一個節點通過數據混淆產生一個數據集。數據聚合階段。所有節點在數據聚合時先把數據匯集到簇頭節點，再通過產生的路由樹把數據聚合到匯聚節點。當所有數據都到達匯聚節點后，刪除了所有添加的混淆數據，最終得到完整的原始數據。

數據查詢隱私保護方法

數據挖掘、基于服務的數據查詢等在查詢數據的過程中經常會泄露用戶的隱私信息，而數據查詢隱私保護方法可以有效地避免這種問題的發生。一般設計一種方法都采用的是對感知的數據通過匿名化(anonymity)技術實現數據保護。

朱青等人提出基于損失懲罰的滿足L-diversity匿名化算法[18]。在匿名化數據計算準標識(quasi-identifier)對信息靈敏屬性效用方法基礎上，通過對面向查詢服務的數據隱私保護模型的定義，針對不同的QI反應出不同的屬性特征，建立一種全新的效用矩陣。效用矩陣的作用就是為了將不同類型的靈敏屬性進行劃分，最終的目的就是為了提供給用戶的較準確的查詢結果，而且確保查詢效率要高。同時使用戶敏感信息不被攻擊者惡意使用。表1為數據隱私保護各協議具體性能優缺點比較。

表1　無線傳感器網絡數據隱私保護協議性能比較

續表1

由表1可以分析得出數據聚合方法在數據的隱私保護方面性能優越，應用范圍更廣。

2.2位置隱私保護方法

在WSN中節點的數量龐大、分布廣泛，所以其位置信息變得十分重要的，位置信息隱私保護也是WSN中研究的一個重點。將位置隱私保護方法分為：本地位置和全局位置隱私保護。有些情況也并沒有把隱私保護方法明確的劃分到兩者中。

早期Kamat等人在文章中提出幻影路由協議(phantom routing protocol)[19]。主要利用隨機路由策略產生的幻影節點和真實源節點混雜一起，用來保護源節點的位置信息。該協議由兩個階段組成：隨機步階段，將報文直接用隨機漫步(random walk)的方式到幻影節點；最短路徑路由階段，將報文以洪泛路由(flooding-based routing)或單路徑路由(single-path routing)的方式發送到基站節點，完成整個保護過程。

幻影路由協議采用洪泛技術，而洪泛技術的缺點就是攻擊者可以較快地得到位置信息。Yao等人提出了定向隨機幻影路由協議(directed random phantom routing protocol )[20]，源節點不再是random walk方式，而是已經選定隨機步方向，將報文采用文章提出的方式發送到基站(sink)。

文獻[21]中提出了隨機選擇中間節點的路由(RRIN)方法。 該方法中源節點先從合適的位置隨機的選擇中間節點，該中間節點要遠離真實的源節點，將該數據包傳輸到選擇的中間節點，再通過中間節點轉發到匯聚節點。

2013年陶振林等人提出了基于幻影單徑路由(phantom single-path routing)的數據源保護協議[22]。協議由兩個部分組成：利用基于單向hash鏈的數據源匿名(source anonymity)機制保護源數據匿名；另外一部分是多幻象節點的幻影單徑路由(phantom single-path routing with multi phantom nodes)，協議采用多幻象節點增加了傳輸過程的復雜性，預防源節點被竊取。兩種方式相結合，同時保護數據和路徑，得到最終目的。表2為位置隱私保護各協議具體性能優缺點比較。

表2　位置隱私保護各協議具體性能優缺點比較

3研究展望

傳統物聯網隱私保護安全機制中的身份認證和訪問控制等主要是利用密碼技術，其關鍵是算法的選擇和密鑰的使用。物聯網處于環境復雜，不易被控制，且算法的復雜度高，傳統密碼技術可能無法發揮優勢。如何有效保護隱私信息，未來的目標是設計輕量級的密碼算法，在不同系統中設計不同認證的過程，實現高效且復雜度低的安全機制。

物聯網中事物之間的信息需要被描述后才能被使用，隨著技術的發展，信息被描述的形式也多樣化，而現有模型中對信息理解的能力方面還存在很多不足，無法完整提取有效信息，且敏感信息易被暴露。針對這些不足，人們已經提出基于語義模型，較為新穎，其研究已被重視[23]。這類模型的引用，可以有效地標注信息，本體也被大量引用，為信息相互共享提供更優方式。而且該模型更能做到標注敏感信息，在隱藏或銷毀方式上被標注的語義信息不易被暴露，保護了敏感信息。這類隱私保護模型的提出，將對未來隱私保護技術的發展帶來更寬的選擇余地。

目前針對上述隱私保護技術的研究較成熟，隨著技術的發展，出現生物識別、數字水印、近場通信等新興技術。如何將新興技術與傳統隱私保護技術相結合，有效提高隱私保護性，將是未來發展的一個方向。

隨著大數據被業界所熟知，其隱私安全保護也得到人們的關注[24]。大數據的數據規模呈指數增長，數據類型也十分復雜，包括結構化、半結構化和非結構化數據，但這些巨大的數據量中價值密度很低，對于數據的提取和保護難度十分大。因此大數據較于物聯網的隱私保護問題更為嚴峻，若將物聯網隱私保護技術中密碼技術、匿名化技術等相關技術有效地加以改進和擴展，設計更適合保護龐大數據隱私安全技術。例如將傳統的k-匿名化模型[25]與差分隱私技術相結合就可以有效保護大數據中數據的隱私安全。新興的產業和傳統網絡一定存在技術的切合點，通過技術的革新實現技術間的相互支撐和依托，最終實現技術創新，將是未來工作的重點。

4結語

本文主要總結了針對物聯網感知層中的RFID系統和WSN系統專家學者提出不同的協議方法。利用對比分析法詳細分析各種協議的步驟、優勢及其不足，并描述了物聯網隱私保護技術中存在問題和對今后的展望。

通過本文的分析總結得出在物聯網的數據處理過程中，采用加密技術可以有效地提升數據處理的準確性，實現最終隱私保護目的。WSN中的數據聚合隱私保護方法中各種協議各有優缺點，在實際使用時應該適當的選擇隱私保護方法。

參考文獻

[1] 周永彬,馮登國.RFID安全協議的設計與分析[J].計算機學報,2006,29(4):4581-4589.

[2] 張輝,侯朝煥,王東輝.一種基于部分ID的新型RFID安全隱私相互認證協議[J].電子與信息學報,2009,31(4):853-856.

[3] 鄧淼磊,馬建峰,周利華.RFID匿名認證協議的設計[J].通信學報,2009,30(7):20-26.

[4] 錢萍,吳蒙.無線傳感器網絡隱私保護方法[J].電信科學,2013,29(1):23-30.

[5] Groat M M,He W,Forrest S.KIPDA:k-indistinguishable privacy-preserving data aggregation in wireless sensor networks[C]//INFOCOM,2011 Proceedings IEEE.IEEE,2011:2024-2032.

[6] Bista R,Kim Y K,Song M S,et al.Improving data confidentiality and integrity for data aggregation in wireless sensor networks[J].IEICE Trans on Information and Systems,2012,E95_D(1):67-77.

[7] He W,Liu X,Nguyen H,et al.PDA:Privacy-Preserving Data Aggregation in Wireless Sensor Networks[C]//INFOCOM 2007.26th IEEE International Conference on Computer Communications. IEEE,2007:2045-2053.

[8] He W,Nguyen H,Liu X,et al.iPDA:an integrity-protecting private data aggregation scheme for wireless sensor networks[C]//Military Communications Conference,2008.MILCOM 2008.IEEE.IEEE,2008:1-7.

[9] 楊庚,王安琪,陳正宇,等.一種低耗能的數據融合隱私保護算法[J].計算機學報,2011,34(5):792-800.

[10] 楊庚,李森,陳正宇,等.傳感器網絡中面向隱私保護的高精確度數據融合算法[J].計算機學報,2013,36(1):189-200.

[11] Castelluccia C,Mykletun E,Tsudik G.Efficient aggregation of encrypted data in wireless sensor networks[C]//Mobile and Ubiquitous Systems: Networking and Services, 2005. MobiQuitous 2005. The Second Annual International Conference on. IEEE,2005:109-117.

[12] Girao J,Westhoff D,Schneider M.CDA:concealed data aggregation for reverse multicast traffic in wireless sensor networks[C]//Communications,2005.ICC 2005.2005 IEEE International Conference on. IEEE,2005:3044-3049.

[13] Suat Ozdemir,Yang Xiao.Integrity protecting hierarchical concealed data aggregation for wireless sensor networks[J].Computer Networks,2011,55(8):1735-1746.

由于溝槽輥上多個環形流道內的流體特性相同[4]，故為了減輕計算機的運行負荷、節約計算時間，對輥殼式流漿箱實驗裝置的內部流場進行簡化，選取溝槽輥中的一個環形流道，用SOLIDWORKS軟件建立從均衡室入口至漿流出口的流場模型，再用 ICEM-CFD 軟件中的四面體網格劃分方法進行網格劃分，經反復嘗試，最終確定最佳網格尺寸為 4 mm，網格總數約20萬，劃分網格后的流道模型如圖3所示。模型具體參數與文獻[2，5]的建模參數相同。

[14] Sun Hungmin,Chen Chienming,Lin Yuehsun.RCDA:recoverable concealed data aggregation for data integrity in wireless sensor networks[J].IEEE Trans on Parallel and Distributed Systems,2012,23(4):727-734.

[15] Yao J B,Wen G.Protecting Classification Privacy Data Aggregation in Wireless Sensor Networks[C]//Wireless Communications,Networking and Mobile Computing,2008.WiCOM’08.4th International Conference on.IEEE,2008:1-5.

[16] He W,Liu X,Nguyen H,et al.A Cluster-Based Protocol to Enforce Integrity and Preserve Privacy in Data Aggregation[C]//Distributed Computing Systems Workshops,2009.ICDCS Workshops’09.29th IEEE International Conference on.IEEE,2009:14-19.

[17] 李玉海,田苗苗,黃劉生,等.無線傳感網絡中基于數據混淆的保護隱私數據聚集協議[J].小型微型計算機系統,2013,34(7):1603-1606.

[18] 朱青,趙桐,王珊.面向查詢服務的數據隱私保護算法[J].計算機學報,2010,33(8):1315-1323.

[19] Kamat P,Zhang Y,Trappe W,et al.Enhancing source-location privacy in sensor network routing[C]//Distributed Computing Systems,2005.ICDCS 2005.Proceedings.25th IEEE International Conference on. IEEE,2005:599-608.

[20] Yao J,Wen G.Preserving source-location privacy in energy-constrained wireless sensor networks[C]//Distributed Computing Systems Workshops,2008.ICDCS’08.28th International Conference on.IEEE,2008:412-416.

[21] Li Y,Lightfoot L,Ren J.Routing-based source-location privacy protection in wireless sensor networks[C]//Electro/Information Technology,2009.eit’09.IEEE International Conference on.IEEE,2009:29-34.

[22] 陶振林,劉宴兵,李昌璽.WSNs中基于幻影單徑路由的源位置隱私保護策略[J].重慶郵電大學學報:自然科學版,2013,25(2):178-183.

[23] 錢萍,吳蒙.物聯網隱私保護研究與方法綜述[J].計算機應用研究,2013,30(1):13-20.

[24] 馮登國,張敏,李昊.大數據安全與隱私保護[J].計算機學報,2014,37(1):246-258.

[25] Sweeney L.k-anonymity:A model for protecting privacy[J].International Journal of Uncertainty,Fuzziness and Knowledge-Based Systems,2002,10(5):557-570.

RESEARCH ON PRIVACY PROTECTION IN PERCEPTION LAYER OF INTERNET OF THINGS

Zhang Jing1Ge Li’na1,2*Liu Jinhui1Zhao Kai1

1(SchoolofInformationScienceandEngineering,GuangxiUniversityforNationalities,Nanning530006,Guangxi,China)2(ScienceComputingandIntelligentInformationProcessingofGuangxiHigherEducationKeylaboratory,GuangxiTeachersEducationUniversity,Nanning530023,Guangxi,China)

AbstractThe use of Internet of Things is increasing as it is understood by people. Internet of Things makes the physical world combine tightly with network world. Meanwhile, great challenges for privacy security technology have been brought about along with the development of Internet of Things as well. In this paper we enumerate in detain the privacy protection protocols at home and abroad for radio frequency identification (RFID) systems and for wireless sensor networks (WSN) in perception layer of Internet of Things’ architecture with the emphasis putting on WSN data privacy protection protocol. We analyse all the protocols in the paper by means of comparative analysis method and qualitatively analyse the advantages and disadvantages of each one, and point out the development tendency of privacy security technology as well. According to the comprehensive analysis, it is concluded that the data aggregation approach has superior performance and wider application range in data privacy protection.

KeywordsInternet of ThingsPerception layerWireless sensor networkData privacy protection

收稿日期：2014-11-25。國家自然科學基金項目(61462009)；廣西高等學校優秀中青年骨干教師培養工程項目(GXQG012013014)。張靜，碩士生，主研領域：物聯網隱私保護。葛麗娜，教授。劉金輝，碩士生。趙凱，碩士生。

中圖分類號TP3

文獻標識碼A

DOI:10.3969/j.issn.1000-386x.2016.05.073