基于細粒度授權的物聯網搜索數據隱私保護方案

王佳慧，劉川意，方濱興

（1. 北京郵電大學計算機學院，北京 100876；2. 哈爾濱工業大學深圳研究生院，廣東 深圳 518055；3. 東莞電子科技大學電子信息工程研究院，廣東 東莞 523000）

基于細粒度授權的物聯網搜索數據隱私保護方案

王佳慧1,2，劉川意2,3，方濱興2,3

（1. 北京郵電大學計算機學院，北京 100876；2. 哈爾濱工業大學深圳研究生院，廣東 深圳 518055；3. 東莞電子科技大學電子信息工程研究院，廣東 東莞 523000）

隨著物聯網和云計算技術的飛速發展和廣泛應用，物聯網搜索引擎應運而生。然而，物聯網搜索引擎的開放性，使在互聯網搜索領域就已經存在的數據隱私問題變得更加突出。首先，闡述了物聯網搜索數據隱私保護的研究背景和安全挑戰，并針對安全挑戰，將密文搜索和基于屬性的訪問控制算法有機結合。然后，提出了基于細粒度授權的物聯網搜索數據隱私保護方案，并對方案進行了安全分析和性能分析。最后，總結并指出了未來研究工作方向。

物聯網搜索；隱私保護；屬性加密；密文搜索；細粒度授權

1 引言

在擁有海量實體的物聯網[1]中，人們越來越需要準確、及時、智能地搜索現實世界中物理實體的相關信息，如附近是否有適合帶嬰兒的西餐廳、附近是否有循環租用的車架等，由此使面向物聯網的數據搜索引擎應運而生。例如，由微軟研究院設計的SenseWeb[2]提供了基于靜態元數據和基于位置的傳感器搜索。由瑞士蘇黎世聯邦理工大學、德國呂貝克大學以及德國都科摩通信實驗室設計的Dyser[3]是一個物聯網實時搜索引擎，不僅支持物理實體靜態信息的搜索，還能根據用戶指定的當前狀態實時搜索物理實體。Shodan[4]是一個能提供在線設備的物聯網搜索引擎，只要輸入搜索關鍵字，就可以找到全世界在線的網絡攝像頭、路由器、信號燈、核電站、冰箱、醫療設備等包含信息漏洞的設備。尤斯曼哈克的“Thingful”是能提供智慧城市搜索的物聯網搜索引擎，比如人們早上騎車上班時，通過個性化儀表板查看當地數據，就能獲悉污染指數和交通狀況，以及附近是否有循環租用的車架。

盡管物聯網搜索仍處于萌芽狀態，但由此帶來的數據隱私問題卻已經不容忽視。韓國產業研究院認為，2020年因物聯網數據隱私問題導致的經濟損失將達到180億美元1：物聯網的致命弱點（經濟觀察網），http://www.eeo.com.cn/ 2016/0317/284248.shtml。。物聯網搜索的應用領域廣泛，包括國民經濟和社會發展各個領域，因此其數據隱私泄露不僅包含傳統的網絡虛擬空間，還將進一步侵犯到實體生活當中，除了經濟損失外，個人的生命安全以及國家基礎設施也都將受到極大的威脅。同時，物聯網搜索對象和搜索空間的廣泛性、搜索數據的高度動態性、搜索內容的高度時空性、搜索語言的復雜性等特點，使物聯網搜索的數據隱私保護面臨更大的安全挑戰。可以說，數據隱私保護是制約全球化的物聯網搜索發展并實際應用于產業界的關鍵因素。

首先，物聯網搜索服務提供者后臺服務器系統存有大量通過攝像頭、傳感器、可穿戴設備、家庭空調系統等感知設備收集的數據信息，這些數據信息可能包括大量用戶隱私數據，而由于物聯網和行業應用的充分融合發展，這些數據信息如果不加以安全隱私的規范，將成為一個龐大的匯集百萬電子耳、電子眼和電子鼻的監控系統。類似于“棱鏡計劃”，通過內部數據搜索和挖掘導致的個人數據隱私泄露和遭受侵犯將變得更加容易，且影響范圍更廣。因此，需確保在物聯網搜索過程中，只有得到授權的數據搜索者才能訪問相應權限的數據內容。

其次，物聯網搜索服務如果被攻擊者惡意利用，則可能對個人的生命安全及國家基礎設施構成嚴重威脅。黑客通過物聯網搜索引擎可以搜索家庭中有安全漏洞的智能設備，進而控制其他安全設備，比如控制智能大門，解除監控攝像頭的監視功能等。通過物聯網搜索有安全漏洞的智能兒童鞋、智能手環等，可以查看孩子地理位置和行為軌跡，這些漏洞一旦被別有用心地利用，則可能對兒童安全構成更大的威脅。而網站的研究者曾使用 Shodan定位到了核電站的指揮和控制系統及一個粒子回旋加速器。使用 port:554 has_screenshot: true在Shodan中就可以搜索到安裝在各個地方的攝像頭。由于物聯網搜索引擎的存在，所有與物聯網相連的實體，包括智能家庭、智能汽車、智能城市等顯得更加不安全和脆弱。因此，確保物聯網搜索服務不被別有用心的攻擊者利用也是一個很大的挑戰。

最后，本文針對前述物聯網搜索數據隱私保護面臨的安全挑戰，提出面向物聯網搜索的基于細粒度授權的數據隱私保護方案。通過數據擁有者在將數據文件發送給物聯網搜索服務提供者之前加密數據文件，確保在物聯網搜索過程中，除數據搜索者之外的其他個體都無法獲得授權訪問的數據內容。并且通過基于屬性的訪問控制機制來實現物聯網搜索服務細粒度的授權使用，確保不被別有用心的攻擊者利用，允許數據所有者對數據訪問權限完全控制，對數據搜索者的權限做了雙重限定，在數據搜索者加入到搜索系統時，首先通過屬性權威中心對其搜索權限進行授權。隨后通過數據文件訪問權限認證之后，把和數據搜索者屬性相對應的數據文件過濾出來。由此，對于同一個搜索請求，由于訪問控制權限不同，不同的數據搜索者獲得的搜索結果也不完全相同，可以更細粒度地確保數據文件的隱私。本文方案在確保數據隱私的前提下，最大限度地實現了數據的靈活細粒度訪問。同時，為了提高效率，使用兩級加密方案加密數據文件，即使用密文策略屬性加密算法來加密對稱密鑰，使用對稱密鑰來加密數據文件，再一起發送給物聯網搜索服務提供者。為了獲得和數據搜索者匹配的搜索結果，需要驗證數據搜索者擁有的權限，這通過基于屬性的認證協議完成。

2 相關工作

目前還未檢索到針對物聯網搜索的數據隱私保護進行研究的相關文獻，本文是將基于屬性的訪問控制及認證機制和密文搜索算法有機結合來保護物聯網搜索過程中的數據隱私。

2.1 密文搜索

密文搜索協議作為一個加密系統，可以在確保數據隱私的基礎上，實現對密文的搜索操作。通常根據使用的加密協議分為基于對稱加密的密文搜索方案和基于非對稱加密的密文搜索方案。Song等[5]于 2000年首次提出了基于對稱加密的密文搜索方案，但是該方案僅支持固定大小的關鍵字搜索，而且由于其不構建關鍵字索引，采用順序搜索，搜索效率很低。Goh[6]通過構建基于安全索引的SSE構建方案Z-IDX，使效率大大提高。Chang等[7]的方案避免了Goh方案的正向誤檢概率，基于預先構建的詞典，為每個文件構建一個索引，進一步降低了通信開銷。Curtmola等[8]采用倒排索引代替正向索引，搜索操作只需要O(1)時間。Liesdonk等[9]提出了和文獻[8]性能相當的方案，同時能有效支持屬性更新。Kamara等[10]基于文獻[8]做出改進，效率和安全性有所提高，隨后進一步改進，支持動態索引更新。Cash等[11]進一步改善性能以支持大規模數據。Boneh等[12]提出了PEKS方案，并基于雙線性對給出了幾種構造方案。Abdalla等[13]進一步提出PEKS方案的完整定義，同時給出了基于身份匿名方案構造PEKS的流程。文獻[14～16]針對文獻[12]方案需要使用安全通道的問題，分別設計了在隨機預言模型下[14,15]和標準模型下[16]不需要安全通道的PEKS方案。文獻[16,17]提出了基于身份加密方案的PEKS方案。

隨后的研究主要集中在以下3個方面。

1) 支持搜索方式的擴展：以上所述方案大多只支持單一關鍵字搜索，而后續的很多方案對搜索方式進一步擴展，包括支持多關鍵字搜索[18～23]、子集搜索[24]、模糊搜索[20,21,25,26]、排序搜索[22,23,27]、范圍查詢[28]的方案。

2) 支持對服務器存儲的密文文件動態地添加、更新或刪除[29～32]。

3) 搜索效率的提升，此方面主要通過減少雙線性對使用的頻率或使用其他技術替代雙線性對來構造密文搜索方案[33,34]。

2.2 屬性加密

基于屬性加密（ABE, attibute based encryption）方案首先由Sahai 和Waters提出[35]，最初是為了改善基于生物信息的身份加密系統的容錯性能，ABE可以看作是基于身份加密方案的推廣，將身份信息拆分成一個更細粒度的能夠表示用戶身份的信息集合，并將每個子集合稱為屬性。文獻[36]采用（t, n）門限訪問結構，分別提出了適用于小規模屬性全集和大規模屬性全集的方案，并給出了在選擇身份安全模型下的安全性證明。隨后Goyal等[37]依據訪問策略的實現方式不同分為兩類：基于屬性的密鑰策略加密方案（KP-ABE, key policy attribute based encryption）和基于屬性的密文策略加密方案（CP-ABE, ciphertext policy attribute based encryption），并首次構造了KP-ABE方案。兩者的主要區別首先在于訪問策略關聯的載體不同，前者是密鑰和訪問策略相關聯，后者則是密文和訪問策略相關聯；其次，兩者的主體地位不同，前者是解密者處于協議主體地位，解密者負責定義訪問策略，而加密者僅負責將屬性信息綁定到密文中，解密符合訪問策略的加密者的密文；而后者是加密者處于主體地位，加密者負責定義訪問策略，只有符合訪問策略的解密者才能解密。文獻[10]首次提出了CP-ABE方案。由于CP-ABE中數據擁有者擁有訪問策略制定的權力，一個密文可以由多個不同的密鑰進行解密，訪問控制策略改變時只需根據新的訪問控制策略重新加密密文，密鑰管理開銷較小等特點，更適用于物聯網搜索場景下的基于訪問控制的隱私保護。

隨后的研究主要集中在以下4個方面。

1) 支持多個密鑰授權中心（KDC）的 ABE方案[38～43]，與只支持單個KDC的ABE方案相比，其允許多個獨立的 KDC對屬性和分發的密鑰進行監督，分散了KDC的權利。

2) 支持靈活的細粒度訪問控制策略表示的ABE方案[44]，主要研究如何支持策略屬性的靈活變更、用戶屬性的靈活變更，密鑰管理如何更好地支持策略屬性和用戶屬性發生變更以及如何設計更為細粒度的訪問控制。

3) 支持審計的ABE方案，目的在于避免密鑰濫用，包括支持審計的 KP-ABE[45,46]方案和支持審計的CP-ABE[47～49]方案。

4) 基于屬性的訪問控制和密文搜索相結合[50～53]。其都是基于每個文件構建一個索引，即采用正向索引，僅支持索引中包含的關鍵字搜索，搜索的范圍相對于密文內容搜索存在較大的局限性，無法滿足密文信息的搜索需求，同時搜索效率大大降低。

3 背景知識

定義1 雙線性映射。

令G0和G1為p階乘法循環群，其中，p為素數。令g為G0生成元，映射e：G0×G0→G1是雙線性映射，若滿足如下3條性質。

1) 雙線性：對任意u, v∈G0，任意的a, b∈Zp，滿足e(ua, vb)=e(u, v)ab。

2) 非退化性：映射e不是把G0×G0所有的元都映射到G1的單位元上。如果g是G0的生成元，則e(g,g)是G1的生成元。

3) 可計算性：對任意的u, v∈G0，都存在有效的算法計算e(u, v)。

則e為對稱雙線性映射，因為e(ga, gb)=e(g, g)ab=e(gb, ga)。

定義2 訪問策略樹。

樹的非葉子節點x表示門限門（kx, numx），由其第 numx子節點和門限值 kx描述，其中，0〈kx〈numx。當kx=1時，門限門為OR門；當kx=numx時，門限門為AND門。樹的每個葉子和一個屬性相關，其中，kx=1。

為了便于操作，定義如下函數。

parent(x)：返回樹中節點x的父節點（除根節點）。

att(x)：只有當節點x是葉子節點時才有定義，返回和葉子節點x相關的屬性。

index(x)：假設每個節點的子節點用1～num的樹標識，則返回節點x的標識。

定義3 CP-ABE算法。

一個典型的CP-ABE方案通常由以下幾個算法組成。

Setup：初始化算法。輸入公開參數和屬性全集U，輸出一個公鑰對{PK, MSK}。其中，PK為系統公鑰，MK為主密鑰。

Encrypt：加密算法。輸入明文M、系統公鑰PK和訪問結構A，輸出和訪問結構相關聯的密文C。

KeyGen：私鑰生成算法。輸入屬性集合S、主密鑰MK和系統公鑰PK，輸出用戶私鑰SK。

Decrypt：解密算法。輸入密文C、用戶私鑰SK和系統公鑰PK，如果S∈A，解密成功得到明文M。

定義4 對稱密文搜索算法。

一個典型的對稱密文搜索方案通常由以下幾個算法組成。

Setup：系統初始化算法，用于生成對稱加密算法和偽隨機函數的密鑰。

TokenGen：搜索令牌生成算法，利用用戶的關鍵字生成對應的搜索令牌。

Enc：加密算法，利用密鑰將用戶文件和關鍵字信息加密成對應的密文和加密索引。

Search：搜索算法，運行在服務器端，利用搜索令牌在加密索引上執行搜索操作。

Dec：解密算法，運行在客戶端，利用密鑰解密文件。

4 系統架構和解決方案

4.1 系統架構

基于細粒度授權的物聯網搜索數據隱私保護方案及流程如圖1所示，主要包含以下6個參與者。

1) 屬性權威中心（AAC, attribute authority center）。屬性權威中心在本系統中是一個可信機構，可以包含多個屬性權威機構，主要負責系統參數初始化、為系統生成公開參數、根據身份和屬性為數據搜索者生成和分發密鑰。根據數據所有者的請求撤銷數據搜索者的訪問權限，并向代理服務器提供用戶撤銷證書。

圖1 基于授權的物聯網搜索數據隱私保護方案

2) 數據所有者（DO, data owner）。數據所有者在代理服務器的協助下生成密文索引，上傳加密數據文件和密文索引給物聯網搜索服務提供者。數據所有者對要上傳到物聯網搜索服務提供者的數據文件，設置不同的訪問策略，并且將訪問策略嵌入到密文中。

3) 數據搜索者（DS, data searcher）。數據搜索者擁有一些指定的屬性集合以及相應的密鑰。可以提出搜索請求，并獲得和其訪問權限匹配的搜索結果。解密加密的搜索結果，本方案中數據搜索者只下載其能解密的文件，使通信開銷大大減少。并且，物聯網搜索者通常使用資源有限的設備，而本方案中由代理服務器執行部分解密操作來降低數據搜索者的開銷，同時確保代理服務器無法獲得明文搜索結果。

4) 代理服務器（PS, proxy server）。代理服務器負責協助數據搜索者生成密文索引和搜索陷門，并負責為數據搜索者執行數據文件部分解密操作。

5) 物聯網搜索服務提供者（SP, IoT search provider）。物聯網搜索服務提供者是誠實、好奇的服務提供商。主要負責數據的存儲和搜索，并負責屬性驗證和數據過濾，會誠實地根據數據搜索者的搜索請求返回相應訪問權限的加密數據給代理服務器，但是也可能在通信過程中試圖獲取數據內容。

6) 認證中心（CA, certificate authority）。認證中心負責為數據所用者和數據搜索者頒發身份證書。

4.2 方案流程

如圖1所示，在屬性權威中心注冊后，數據搜索者使用加密的搜索關鍵詞發起搜索請求，由代理服務器協助生成搜索陷門，再通過與物聯網搜索服務提供者交互，獲得過濾后的數據搜索者有權訪問的加密文件，最后由代理服務器部分解密加密數據文件返回給數據搜索者最終解密，獲得明文數據。

具體包括以下幾個階段。

1) 系統初始化階段

屬性權威中心運行系統初始化算法。記為ABE.Setup()→（PK, MSK, Kmsk）。輸出主密鑰MSK、系統公開參數PK和主搜索密鑰Kmsk。通過安全信道發布PK給數據所有者和物聯網搜索服務提供者，保存MSK和Kmsk私有。隨機選擇主搜索密鑰Kmsk=k（k∈ Zp）。隨機選擇α , β ∈ Zp，并計算PK和MSK。其中， PK = {G1, g,gβ, e( g, g)α}， MSK = {β,gα}，e為定義1的雙線性映射。

2) 認證中心頒發證書

認證中心為數據所用者和數據搜索者頒發身份證書Did。此證書具有唯一性，可以用來標識不同的數據所有者和數據搜索者。將身份標識和屬性信息分離，避免在數據搜索者請求搜索時需要提交身份標識從而泄露身份信息。

3) 為數據搜索者和數據擁有者分發密鑰

當數據搜索者和數據擁有者第一次搜索數據或第一次上傳數據時，需要到屬性權威中心注冊，獲得相應的訪問權限，根據數據搜索者的Did分配相應屬性集S，調用ABE.KeyGen(MK, S)生成并通過安全信道分配秘密密鑰SK，記為ABE.KeyGen(MSK, S)→SK。其中，r和 rj為屬于 Zp的隨機數，隨機選擇 μ∈ Zp，令SK)給數據搜索者和數據擁有者，同時發送(Did, PDid)給代理服務器，使代理服務器可以協助數據擁有者生成加密索引，協助數據搜索者生成搜索陷門。

4) 關鍵字索引構建

為了使數據搜索者可以在加密后的數據中完成搜索，必須構建加密的關鍵字索引。物聯網各實體信息通常以文本形式存儲在物聯網搜索服務提供商。假設關鍵字信息已經從文本信息中提取，記為W={w1，w2, …, wn}。

索引構建方法如下。

對于每一個關鍵字wi∈W，數據所有者計算Ai= h( wi)ri，其中，h是將關鍵字映射到G0中的隨機數的散列函數，ri∈ Zp是一個隨機數。然后數據所有者將 (A1, A2,… ,An)和Did發送給代理服務器。代理服務器根據Did查詢到數據擁有者相應的PDid，接著對于每一個Ai，計算Bi=e(Ai, PDid)。代理服務器發送{Bi, 1≤i≤n}給數據擁有者。接著數據擁有者對于每一個關鍵字wi，計算令，其中，表示隨機數使用安全的對稱密鑰算法（如AES），密鑰為ki加密。最終，數據擁有者為關鍵字集W生成的加密索引記為 Iw= {Iw1,Iw2,… ,Iwn}。

5) 數據文件加密上傳

在構造索引 Iw后，數據擁有者加密數據文件內容。首先，隨機選擇對稱密鑰sk并使用其加密數據文件內容，可以使用任意安全的對稱加密算法（如 AES）。然后，為數據文件指定訪問策略樹T，使用基于屬性加密的算法ABE_Enc(PK, sk)加密，記為CT。以自上向下的方式處理訪問策略樹T，對樹中每一個節點，選擇一個度為 kx?1的多項式qx(·)（kx是門限值），且qx(·)必須滿足如下條件：如果 x是訪問策略樹的根節點，則qx(0)=s，其中，s是 Zp中的隨機數。對于其他任意節點，令 qx(0)=qparent(x)(index(x))并隨機選擇dx個其他節點來定義qx。令ψ是訪問策略樹的葉子節點集合。H是映射屬性到 G0中的隨機數的散列函數。。最終，數據擁有者上傳索引 Iw，加密后的數據文件和CT給物聯網搜索服務提供者。由物聯網搜索服務提供者為數據文件指派唯一的數據文件標識id。物聯網搜索服務提供者中文件的數據存儲格式如圖2所示。

圖2 數據存儲格式

6) 搜索算法

在屬性權威中心注冊后，就可以使用物聯網搜索服務搜索其感興趣的內容。搜索階段包含以下2個過程。

① 陷門生成算法

數據搜索者要想搜索關鍵字為w的數據文件，首先要在代理服務器的協助之下生成陷門。數據搜索者計算，然后發送他的身份Did和 Q給

w代理服務器。當代理服務器收到陷門生成請求，代理服務器通過查詢獲得數據搜索者相應的 PDid。然后，返回搜索陷門 t=h( e( Qw, PDid))給數據搜索者。

② 物聯網搜索服務提供者搜索數據

當數據搜索者接收到搜索陷門t之后，發送(t, S = { A1, A2,… ,Am})給物聯網搜索服務提供者，其中，S是其秘密密鑰SK關聯的屬性集合。當物聯網搜索服務提供者接收到搜索請求 (t, S ={A1, A2,… , Am})之后，運行以下的搜索算法開始搜索。

輸入：陷門和可搜索加密文件庫。

輸出：數據搜索者有權訪問的加密文件集合和CT。

此搜索算法主要分為3個部分。第一部分對應偽代碼1)～10)行，對于每一個文件的加密索引，比較使用搜索陷門加密的隨機數和分解后的索引中相應部分是否相同，如果相同，則將其加入到結果集中。第二部分對應11)～16)行，主要是屬性驗證。物聯網搜索服務提供者選擇隨機消息，調用加密算法ABE_Enc(PK, pm, T)加密pm，發送密文給數據搜索者。其中，訪問策略樹構造遵從格式。在收到密文之后，數據搜索者調用 ABE_Dec算法解密，發送解密后的結果mp′給物聯網服務提供者。如果解密后的結果等于mp，物聯網搜索服務提供商就可以確信其擁有來自屬性權威中心指派的屬性集 S。因為只有屬性集相關的密鑰才可以正確解密消息mp。第三部分依據數據搜索者擁有的屬性集，進一步過濾搜索結果列表，將數據搜索者無權訪問的文件過濾掉，對應17)～22)行。最后將過濾后的結果返回給數據搜索者，只有數據搜索者有權訪問的數據才會返回，從而實現物聯網搜索服務細粒度的授權訪問。

7) 文件解密

數據搜索者接收到物聯網搜索服務提供者發送的搜索結果后，在代理服務器的協助下，完成文件解密。這是因為在物聯網搜索場景中，數據搜索者的資源通常都很有限，交由運算能力更為強大的代理服務器執行，如此做可以減少數據搜索者的運算開銷。算法如下。數據搜索者將其私鑰分解成2個部分，記為。并且將搜索結果中所有的CT和SK2發送代至理服務器，代理服務器運行如下解密算法得到 (,)rsA e g g= 。對于每一個葉子節點x，屬性i=att(x)，如果iS∈ ，計算否則輸出⊥。對每一個中間節點，使用拉格朗日插值法對至少 kx個如其子節點{zj}的形式來計算。最后，對于訪問策略樹中的根節點R，令e( g, g )rs，發送給數據搜索者。最后，數據搜索者使用 SK1來繼續解密得到對稱密鑰，再使用對稱密鑰sk解密對應的數據文件內容。

8) 搜索權限撤銷

假設要撤銷的數據搜索者的證書為Did，僅需要屬性權威中心通知代理服務器刪除元組(Did,)，若無法構建搜索陷門，則無法再使用物聯網搜索服務。

5 安全分析和性能分析

5.1 安全分析

本文所設計的方案假設物聯網搜索服務提供者是誠實好奇的（半可信模型），即對加密的數據內容或者收到的消息好奇，但會正確執行搜索服務，并且假設屬性權威中心是可信第三方。因此安全分析主要關注數據文件內容、關鍵字的隱私性、身份信息隱私性、合謀攻擊。

1) 數據文件隱私性

數據文件隱私性即需要數據擁有者的數據對代理服務器、物聯網搜索服務提供者、屬性權威中心、未授權用戶保持機密性。在本文所提方案中，數據文件采用2層加密方案，數據文件使用對稱密鑰算法加密，然后再使用CP-ABE算法加密對稱密鑰。假設對稱密鑰算法（如AES）是安全的，則其數據機密性依賴于CP-ABE算法。而在文獻[10]中證明了 CP-ABE在通用雙線性群模型下是可證安全的，因此本文方案也是可證安全的，可以保證數據文件的隱私性。

在解密階段，物聯網搜索服務提供者將數據搜索者有權訪問的加密數據文件返回給數據搜索者，因為沒有私鑰，其無法獲得加密數據文件的明文。而數據搜索者未授權的數據文件，由物聯網搜索服務提供者過濾掉，因此數據搜索者無法訪問未授權數據文件。代理服務器和屬性權威中心不參與具體數據搜索過程，也就無法獲得數據文件明文。因此可以確保在物聯網搜索過程中，除數據搜索者外的其他個體都無法獲得搜索的數據內容，就保證了數據擁有者的數據只能被具有權限的數據搜索者訪問。

2) 關鍵字隱私性

關鍵字隱私性需要確保物聯網搜索服務提供者以及攻擊者無法獲得索引或者搜索陷門中的關鍵字。發送給物聯網搜索服務提供者的安全索引和陷門中的關鍵字經過數據所有者和數據搜索者分別加密，而加密密鑰保存在數據所有者和數據搜索者中，因此物聯網搜索服務提供者以及攻擊者都無法獲得關鍵字信息，保證了關鍵字的隱私性。代理服務器雖然協助生成安全索引和陷門，但是也無法獲得關鍵字信息。

3) 身份信息的隱私性

由證書中心頒發身份證書之后，數據搜索者在使用物聯網搜索服務時，無需向物聯網搜索服務提供者出示身份證書，從而確保身份信息的隱私性。

4) 合謀攻擊

基于屬性加密機制的授權訪問方案，數據搜索者的密鑰 SK與隨機數相關，因而可以防止數據搜索者合謀攻擊。

5.2 性能分析

由于物聯網搜索服務提供者后臺通常是云計算平臺，平臺計算能力強大，所以本文主要關注有數據隱私保證的搜索系統對數據所有者和數據搜索者造成的計算開銷影響。對數據所有者而言，主要關注索引建立時間和加密對稱密鑰時間，對數據搜索者而言，開銷最大的CP-ABE解密操作大部分由代理服務器完成，因此引入的額外開銷可以忽略。

基于調用GNU高精度數學庫（GMP, GNU MPBignum library）2：http://crypto.stanford.edu/pbc/。的雙線性對密碼庫（PBC, pairing-based cryptography library）3：http://gmplib.org/。（GMP庫提供任意精度的算法API供PBC調用以構建雙線性對密碼系統）實現本文所提方案。加密的內容為128 bit AES密鑰。系統環境如下。數據所有者：內存8 GB；CPU 2.3 GHz。數據搜索者：內存8 GB；CPU 2.3 GHz。

數據所有者相對無隱私保護的搜索過程來說，額外開銷主要包括加密數據文件的時間和索引建立時間，其中，加密數據文件的時間具體包括使用對稱密鑰加密數據文件的時間、使用CP-ABE加密對稱密鑰的時間。圖3表明數據所有者加密128 bit AES對稱密鑰的時間隨屬性增加大體呈線性增加趨勢。在物聯網搜索實際場景中，可能并不需要30個屬性來做訪問控制，當屬性個數小于10時，加密的時間小于150 ms，以此開銷來換得數據隱私的保護是值得的。圖 4表明在屬性個數小于10時，索引建立時間小于12 ms。

圖3 128 bit AES密鑰加密時間

圖4 索引建立時間

數據搜索者在獲得搜索權限之后，數據搜索過程對數據搜索者是透明的，相對無隱私保護的搜索過程來說，僅需在搜索結果返回后，從加密文件中分離出加密使用的對稱密鑰，并使用其解密數據文件。增加的計算開銷主要包括 CP-ABE解密對稱密鑰時間和對稱密鑰解密數據文件時間開銷。而本文方案將數據解密的大部分工作外包給代理服務器，從而使數據搜索者解密的時間開銷大大降低，對數據搜索者的性能影響較小。

6 結束語

本文首次提出了基于細粒度授權的物聯網搜索數據隱私保護方案，在盡可能不影響搜索服務質量的同時，確保數據擁有者的數據文件和關鍵字隱私。通過建立數據文件安全索引和密文搜索方案來確保物聯網搜索的數據文件和關鍵字的隱私性，通過基于屬性的訪問控制及認證算法來實現物聯網搜索的細粒度靈活的訪問控制，并對方案的安全性和性能進行了分析。本文方案通過物聯網搜索服務提供者來過濾掉數據搜索者無權訪問的數據，而不需要將所有匹配數據結果下載到本地，大大減少了數據搜索者的通信開銷；且本文對數據文件使用兩級加密，僅使用CP-ABE算法來加密對稱密鑰，降低了CP-ABE算法高開銷對隱私方案的影響。另外，通過將部分解密工作外包給代理服務器，使數據搜索者的計算開銷大大降低。

本文未對數據搜索的屬性和密鑰管理做進一步分類和研究，且本文面向物聯網搜索的隱私保護技術，其中，搜索的條件主要是基于關鍵字的搜索，研究支持物聯網復雜搜索條件的隱私保護模型和應用也十分必要。這也是下一步主要的工作內容。

[1] ATZORI L, IERA A, MORABITO G. The Internet of things: a survey[J]. Computer Networks, 2010, 54(15): 2787-2805.

[2] KANSAL A, NATH S, LIU J, et al. BSenseWeb: an infrastructure forshared sensing[J]. IEEE Multimedia, 2007, 14(4): 8-13.

[3] OSTERMAIER B, ROMER K, MATTERN, et al. A real-time search engine for the Web of things[C]//Internet of Things, Tokyo. 2010.

[4] BODENHEIM R, BUTTS J, DUNLAP S. Evaluation of the ability of the Shodan search engine to identify Internet-facing industrial control devices[J]. International Journal of Critical Infrastructure Protection, 2014, 7(2): 114-123.

[5] SONG X D, WAGNER D, PERRIG A. Practical techniques for searches on encrypted data[C]//The IEEE Symposium on Security and Privacy. 2000.

[6] GOH E. Secure indexes[R]. IACR ePrint Cryptography Archive, 2003.

[7] CHANG Y, MITZENMACHER M. Privacy preserving keyword searches on remote encrypted data[C]//The Applied Cryptography and Network Security. 2005.

[8] CURTMOLA R, GARAY J, KAMARA S, et al. Searchable symmetric encryption: improved definitions and efficient constructions[C]//The 13th ACM Conference on Computer and Communications Security (CCS 2006). 2006.

[9] LIESDONK P V, SEDGHI S, DOUMEN J, et al. Computationally efficient searchable symmetric encryption[C]//Secure Data Management, VLDB Workshop(SDM 2010). 2010: 87-100.

[10] KAMARA S, PAPAMANTHOU C, ROEDER T, et al. Dynamic searchable symmetric encryption[C]//2012 ACM Conference on Computer and Communications Security. 2012: 965-976.

[11] CASH D, JAEGER J, JARECKI S, et al. Dynamic searchable encryption in very-large databases: data structures and implementation[C]//Network and Distributed SystemSecurity Symposium (NDSS’14). 2014.

[12] BONEH D, CRESCENZO G D, OSTROVSKY R. Public key encryption with keyword search[C]//Eurocryp’04. 2004.

[13] ABDALLA M, BELLARE M, CATALANO D. Searchable encryption revisited: consistency properties, relation to anonymous IBE, and extensions[C]//Crypto’05. 2005.

[14] BAEK J, SAFAVI-NAINI R, SUSILO W. Public key encryption with keyword search revisited[C]//The International Conference on Computational Science and Applications (ICCSA 2008). 2008.

[15] RHEE H S, PARK J H, SUSILO W, et al. Improved searchable public key encryption with designated tester[C]//The ACM Symposium on Information, Computer and Communications Security(ASIACCS 2009). 2009.

[16] FANG L, SUSILO W, GE C, et al. A secure channel free public key encryption with keyword search scheme without random oracle[C]//The International Conference on Cryptology and Network Security. 2009.

[17] KERSCHBAUM F, SORNIOTTI A. Searchable encryption for outsourced data analytics[C]//The 7th European Conference on Public Key Infrastructures, Services and Applications(EuroPKI'10). 2010.

[18] CAO N, WANG C, REN K. Privacy-preserving multi-keyword ranked search over encrypted cloud data[C]// IEEE Infocom. 2011.

[19] SUN W, WANG B, CAO N. Privacy-preserving multi-keyword text search in the cloud supporting similarity-based ranking[C]//ACM Symposium on Information, Computer and Communications Security. 2013: 71-82.

[20] CHUAH M, HU W. Privacy-aware bedtree based solution for fuzzy multi-keyword search over encrypted data[C]//The International Conference on Distributed Computing Systems Workshops. 2011.

[21] WANG B, YU S, LOU W. Privacy-preserving multi-keyword fuzzy search over encrypted data in the cloud[C]//IEEE Infocom. 2014.

[22] MASHAURI D, LI R, HAN H. Adaptive multi-keyword ranked search over encrypted cloud data.[C]//The International Conference on Collaborate Computing. 2015.

[23] SUN X, WANG X, XIA Z. Dynamic multi-keyword top-k ranked search over encrypted cloud data[J]. The International Journal of Security and Its Applications, 2014, 8(1): 319-332.

[24] BONEH D, WATERS B. Conjunctive, subset, and range queries on encrypted data[C]//TCC. 2007.

[25] SUN W, WANG B, CAO N. Verifiable privacy-preserving multi-keyword text search in the cloud supporting similarity-based ranking[J]. IEEE Transactions on Parallel and Distributed Systems, 2014, 25(11): 3025-3035.

[26] LI J, WANG Q, WANG C. Fuzzy keyword search over encrypted data in cloud computing[C]//IEEE Infocom. 2010.

[27] WANG C, CAO N, REN K. Enabling secure and efficient ranked keyword search over outsourced cloud data[J]. IEEE Transactions on Parallel and Distributed Systems (TPDS), 2011, 23(8): 1467-1749.

[28] SHI E, BETHENCOURT V, CHAN H. Multi-dimensional range query over encrypted data[C]//IEEE Symposium on Security and Privacy. 2007.

[29] KAMARA S, PAPAMANTHOU C. Parallel and dynamic searchable symmetric encryption[M]//Financial Cryptography and Data Security. Berlin: Springer, 2013: 258-274.

[30] KAMARA S, PAPAMANTHOU C. Parallel and dynamic searchable symmetric encryption[C]//CCS. 2012.

[31] STEFANOV E, PAPAMANTHOU C, SHI E. Practical dynamic searchable encryption with small leakage[C]//NDSS. 2014.

[32] CASH D, JAEGER J, JARECKI S, et al. Dynamic searchable encryption in very large databases: data structures and implementation[C]//Network and Distributed System Security Symposium (NDSS). 2014.

[33] DI CRESCENZO G, SARASWAT V. Public key encryption with searchable keywords based on Jacobi symbols[C]//Indocrypt 2007. 2007.

[34] LAI X, LU R, FOXTON K. An efficient searchable encryption scheme and its application in network forensics[C]//E-Forensics. 2010.

[35] NAVEED M, PRABHAKARAN M, GUNTER C. Dynamic searchable encryption via blind storage[C]//IEEE Symposium on Security and Privacy. 2014.

[36] SAHAI A, WATERS B. Fuzzy identity based encryption[C]// Eurocrypt. 2005.

[37] GOYAL V, PANDEY O, SAHAI A. Attribute-based encryption for fine-grained access control of encrypted data[C]//The 13th ACM Conference on Computer and Communications Security(CCS). 2006.

[38] CHASE M. Multi-authority attribute based encryption[C]//TCC. 2007.

[39] BO?OVIC V, SOCEK D, STEINWANDT R. Multiauthority attribute-based encryption with honest-but-curious central authority[J]. International Journal of Computer Mathematics. 2012, 89(3): 268-283.

[40] CHASE M, CHOW S. Improving privacy and security in multi-authority attribute-based encryption[C]//The 16th ACM Conference on Computer and Communications Security (CCS). 2009.

[41] LEWKO A, WATERS B. Decentralizing attribute-based encryption[C]//Eurocrypt 2011. 2011.

[42] LIU Z, CAO Z, HUANG Q. Fully secure multi-authority ciphertext-policy attribute-based encryption without random oracles[C]//The European Symposium on Research in Computer Security (ESORICS). 2011.

[43] HAN J, SUSILO W, MU Y. Privacy-preserving decentralized key-policy attribute-based encryption[J]. IEEE Transactions on Parallel and Distributed Systems. 2012, 23(11): 2150-2162.

[44] YU S, WANG C, REN K. Achieving secure, scalable, and fine-graineddata access control in cloud computing[C]//IEEE Infocom. 2010.

[45] YU S C, REN K, LOU W J. Defending against key abuse attacks in KP-ABE enabled broadcast systems[C]//Security and Privacy in Communication Networks. 2009.

[46] WANG Y, CHEN K, LONG Y. Accountable authority key policy attribute-based encryption[J]. Science China: Information Sciences, 2012, 55(7): 1631-1638.

[47] LI J, REN K, KIM K. A2BE: Accountable attribute-based encryption for abuse free access control[R]. Cryptology ePrintArchive. 2009.

[48] LI J, REN K, ZHU B. Privacy-aware attribute based encryption with user accountability[C]//The 12th International Conference. 2009.

[49] LI J, HUANG Q, CHEN X. Multi-authority ciphertext-policy attribute-based encryption with accountability[C]//The 6th International Symposium on Information, Computer and Communications Security (ASIACCS). 2011.

[50] SUN W, YU S, LOU V. Protecting your right: attribute-based keyword with fine-grained owner enforced search authorization in the cloud[C]//IEEE Infocom. 2014

[51] HAN F, QIN J, ZHAO H. A general transformation from KP-ABE to searchable encryption [J]. Future Generation Computer Systems, 2014, 30: 107-115.

[52] BOUABANATEBIBEL T, KACI A. Parallel search over encrypted data under attribute based encryption on the cloud computing[J]. Computers & Security, 2015.

[53] KACI A, BOUABANA-TEBIBEL T. Access control reinforcement over searchable encryption[C]//The 15th IEEE International Conference on Information Reuse And Integration. 2014.

[54] CASH D, JARECKI S, JUTLA C. Highly-scalable searchable symmetric encryption with support forboolean queries[C]//Crypto, 2013.

[55] SADAKANE K. Fast algorithms for k-word proximity search[J]. IEICE Transactions on Fundamentals of Electronics, Communications and Computer Sciences, 2001, 84(9): 2311-2318.

Data privacy preservation for the search of Internet of things based on fine-grained authorization

WANG Jia-hui1,2, LIU Chuan-yi2,3, FANG Bin-xing2,3

(1. School of Computer Science, Beijing University of Posts and Telecommunications, Beijing 100876, China; 2. Harbin Institute of Technology(Shenzhen), Shenzhen 518055, China; 3. Electronic and Information Engineering Institute, Dongguan University of Electronic Science and Technology, Dongguan 523000, China)

With the rapid development of the Internet of things (IoT) technology and cloud computing technology, the search engine for Internet of things become a hot research topic. However, because of the openness of the search of IoT, the privacy in traditional Internet search area becomes more prominent and faces more challenges. Firstly, the research background and challenges of data privacy preservation for search of IoT were described. Secondly, the scheme of data privacy preservation for the search of Internet of things based on fine-grained authorization was proposed, which combined the encrypted search algorithm with the attribute based access control algorithm. Thirdly, the security analysis and performance analysis of the scheme were also carried out. Finally, the future research work was summarized and pointed out.

search for Internet of things, privacy preservation, attribute based encryption, searchable symmetric encryption, fine-grained authorization

TP309

A

10.11959/j.issn.2096-109x.2017.00127

王佳慧（1983-），女，山西大同人，北京郵電大學博士生，主要研究方向為云計算與云安全、數據安全與數據保護。

2016-10-14；

2016-12-20。通信作者：王佳慧，jiahw520@gmail.com

國家高技術研究發展計劃（“863”計劃）基金資助項目（No.2015AA016001）；廣東省產學研合作基金資助項目（No.2016B090921001）；山東省自主創新及成果轉化專項基金資助項目（No.2014ZZCX03411）；國家自然科學基金資助項目（No.61370068）

Foundation Items: The National High Technology Research and Development Program of China (863 Program) (No.2015AA016001), Production-Study-Research Cooperation Project in Guangdong Province (No.2016B090921001), The Innovation Project in Shandong Province (No.2014ZZCX03411), The National Natural Science Foundation of China (No.61370068)

劉川意（1982-），男，四川樂山人，北京郵電大學副教授，主要研究方向為云計算、網絡存儲、可信計算。

方濱興（1960-），男，江西萬年人，中國工程院院士，主要研究方向為信息與網絡安全、內容安全。