農產品供應鏈的物聯網安全

苗玉霞

摘要：物聯網的應用可以明顯提高水果等農產品供應鏈的時間效率，但容易受到黑客的惡意攻擊，導致供應鏈被破壞，所以農產品供應鏈的各個環節應當具有隱私保護與抵御攻擊的能力。提出一種物聯網中隱私保護的安全數據聚合協議。首先，將物聯網中各成員節點的數據分為若干的屬性，使用Paillier同態加密算法對各屬性數據進行加密；然后，中心節點sink對成員節點的每個屬性分別進行聚合與關聯處理；此外，設計了異常聚合屬性的檢測算法以抵御惡意攻擊行為。仿真試驗與對比分析的結果表明，本協議在保證安全性與隱私性的前提下，具有較低的計算、通信成本。

關鍵詞：農產品供應鏈；物聯網安全；同態加密算法；數據聚合協議；隱私保護

中圖分類號： S126文獻標志碼： A

文章編號：1002-1302（2017）10-0188-05

工業4.0中將物聯網的應用場景進行了深入的擴展，而物聯網在供應鏈管理中的應用是一個重要的場景。隨著物聯網技術的日益成熟，已有許多研究人員采用物聯網技術解決供應鏈管理的問題，并獲得了較好的效果。顏波等開發出基于射頻識別和產品電子代碼物聯網的管理平臺，對水產品流通過程進行全程追溯[1]；肖亮實現了對物流資源的有效采集，進而增強了對社會物流資源的整合利用和優化配置[2]。此類研究并未合理地考慮物聯網設備的處理能力限制以及物聯網的可擴展性需求，而物聯網中的節點難以對采集的高頻大數據進行直接地路由與處理[3]。此外，供應鏈涉及企業與政府大量的隱私信息，所以供應鏈的安全性是另一個重要問題。

物聯網中傳感器或射頻識別（簡稱RFID）采集了大量的細節數據，而用戶一般僅查詢一定條件的數據，如果將滿足條件的所有細節數據發送至sink節點，再統一計算，則節點間會產生極大的流量[4]。為了降低通信帶寬與普通節點的計算成本，學者提出了數據聚合與關聯的概念，網內節點對不同數據源的數據進行提前綜合處理，通過聚合、關聯分析分別過濾冗余數據，關聯相似數據，由此降低數據的規模。Ren等針對無線傳感器網絡（WSN）設計了一種數據聚合協議，假設傳感器節點采集的數據滿足屬性-值的格式，通過對屬性的聚合處理將冗余的信息過濾，該研究提出了較多的假設，且并未考慮協議的安全性[5]。Zhang等考慮WSN的安全性，對采集的數據作加密處理，傳感器的計算與存儲能力可負擔這2個算法，但廣義的物聯網設備（例如RFID標簽、閱讀器等）難以負擔傳感器協議的計算與通信開銷[6-7]。與WSN相比，物聯網中的感知節點數量龐大且種類繁多，并且其計算與通信能力更為有限（如RFID系統），所以基于WSN的數據聚合協議無法直接應用于物聯網[8]。

物聯網隱私保護方法主要分為3類：（1）匿名化方法[9]，主要通過模糊化敏感信息來保護隱私；（2）加密方法[10]，主要保護數據隱私；（3）路由協議法[11]，主要保護位置隱私。曾萍等提出一種基于同態加密與中國剩余定理（HECRT）的密鑰管理方案[12]；胡向東等提出基于SM4密碼算法的智能家居物聯網安全系統[13]；Xin提出一種混合的加密算法[14]。

供應鏈應用場景對物聯網的可擴展能力、隱私保護能力、對大數據的處理能力均具有極高的要求，因此本研究設計了物聯網聚合協議PAP（paillier based aggregation protocol），并采用加密方法保護物聯網的隱私性與安全性。Singh等詳細地分析并證明了Paillier同態加密系統對小數據量的計算速度具有明顯的優勢，本研究受此啟發，在聚合協議中采用Paillier加密方法對數據進行加密，以期實現物聯網的隱私保護[15-16]。

1Paillier同態加密系統

1.1Paillier加解密程序

Paillier加密系統的主要步驟如下：

（1）秘鑰生成：假設k為秘密參數。選擇k比特的質數p與q，計算n=p×q，并決定Carmichael函數λ（n）=lcm（p-1，q-1），假設BαZ*n2表示nα階的元素集合，BαZ*n2是集合Bα之間的并集，其中α=1，…，λ，g∈B。公鑰（n，g）與私鑰（p，q）檢查是否滿足等式gcd{L[gλ（modn2）]，n}=1，其中函數L（.）定義為L（u）=[SX（]u-1u[SX）]，如果滿足，則為正確秘鑰；否則為錯誤秘鑰。

（2）加密[ε（m）]：假設加密消息m

（3）解密[D（c）]：首先驗證c

1.2數字簽名方案

Paillier系統的數字簽名方案有2步：簽名生成與簽名驗證。

（1）簽名生成[S（m）]：假設h：N→{0，1}*Z*n2為1個hash函數，則消息m

（2）簽名驗證[V（m）]：為了驗證簽名，消息m的（s1，s2）需驗證等式：h（m）=gs1sn2（modn2）。

2物聯網聚合協議模型

2.1物聯網模型

假設網絡為2層網絡（分簇），其中包含1個中心節點S（sink）：負責聚集與分析聚合的數據。每個簇中包含2種節點（簇頭與普通節點）：將簇頭表示為Mj，負責從普通節點 Gji∈Mj 聚集數據，j表示簇號。本協議中所有的實體及其功能如下描述：

sink節點（S）：聚集所有的數據進行分析。S廣播查詢并接收Gji個節點的響應，然后獲得聚合的Gji個屬性數據，最后對聚合的結果作關聯處理。

簇頭（Mj）：網絡分為若干個簇（j為簇號）。簇頭Mj接收查詢Q并轉發至簇Gji的其他節點，然后接收普通節點的響應，將響應聚合處理并將結果返回S。

普通節點Gji：普通節點接收簇頭Mj的查詢，生成響應并發送至簇頭Mj，假設Gji預知S的公鑰KS。

2.2信任模型

[JP3]考慮S是1個受信任方，Gji與Mj為部分受信任，Gji為誠實但好奇模型，即Gji可嚴格執行查詢協議，但可能被攻擊者攻破。

2.3攻擊模型

主要考慮以下3種攻擊：

竊聽：節點攔截通信以獲得其他節點的屬性。

合謀攻擊：Mj個節點可能合謀搜索Gji個節點的屬性。

污染攻擊：Mj合成1個響應欺騙S。Mj可能修改查詢來請求Gji個屬性，并對響應進行修改。

2.4應用場景的假設

對應用場景作以下假設：[HJ1.75mm]

彈性通信機制：參與節點均實現了傳輸控制機制，使信道具有彈性。

節點資源：假設S有足夠的計算資源解密并處理接收的響應。Mj與Gji則為資源受限型，假設Gji個節點均具有1個偽隨機數的產生器。

2層的網絡：使用分簇算法將網絡分為2層。

2.5協議的目標

PAP中大量的節點須要通過sink節點共享信息，并保證安全性。PAP協議的目標有如下4點：（1）隱私保護，Gji個節點將請求的數據傳遞至S，并保持匿名性，S是唯一可訪問所有數據的節點；（2）抗合謀攻擊，節點Mj與Gji可能為共謀關系，但其他節點的數據必須保持不可訪問狀態；（3）聚合的可驗證性，每個Mj聚合數據，S驗證聚合的數據，S的驗證過程中檢測是否存在惡意Mj污染了聚合的數據；（4）聚合的關聯處理，S在獲得聚合結果的同時，還須獲得屬性值之間的關聯關系。

3協議描述

PAP為請求-響應的工作模型（圖1）。PAP主要有5步：（1）如果sink節點S需要從節點Gji獲得信息，則向簇內發[CM（25]送1個簽名的請求SKS（Q），簇首Mj直接向簇內節點轉發

請求；（2）各Gji生成響應Rji并采用Paillier加密系統加密響應εKS（Rji）；（3）該響應經過Mj聚合處理后發送至S；（4）Mj收集其簇內成員的所有響應，然后利用Paillier的同態性質生成聚合的響應Rj[TX-]；（5）最終將Rj[TX-]發送至S，S聚合所有簇頭的響應，解密各響應并獲得聚合所需數據。

在協議中，Mj可能進行假冒攻擊，例如：注入1個合成的響應來欺騙S。為了解決該問題，各節點Gji為每個響應設置1個遞增的隨機數，S基于該隨機數可判斷是否有Mj污染了聚合的結果，具體的異常檢測算法如“3.6”節所述。

考慮S是農產品工業園區的緊急管理系統，分為不同的倉庫（圖2）。為了簡化分析，僅考慮2個倉庫，S定義了2種水果（蘋果、香蕉）與3個水果庫存時間的區間（[1，3]、[4，6]、[7，9]d），第1個查詢（Q1）查詢每箱水果的品種與存放時間，第2個查詢（Q2）查詢香蕉的采摘時間（d）。

3.2協議初始化階段

協議開始階段，各節點Gji從S收到公鑰KS；然后，節點Gji生成唯一的隨機數rji（為了最小化沖突，該數可能大于節點的數量），將該數加密并發送至S。

3.3查詢廣播

S向各簇頭Mj廣播查詢Q，查詢S感興趣的節點Gji的屬性集合。查詢Q定義為Q=SkS（{A，I，l}），集合A={a1，…，an}包含當前請求的所有屬性ai，集合I={I1，…，In}包含每個屬性值的區間，l表示屬性所需的比特數量。

3.4建立響應

各節點Gji驗證接收查詢的簽名Rji，然后生成響應。如果獲得屬性值，則設置該節點Gji的Pi=1；否則設Pi=0。

總屬性的數量Np計算為屬性ai所有間隔Ii的可行組合數量，即：Np=∏[DD（]i[DD）]|Ii|。

節點Gji將其隨機數rji插入Rji，響應Rji的最終結構：Rji={P1‖…‖PNP‖rji}，“‖”表示級聯運算。

假設響應中屬性的順序為預設值，如果屬性a1與a2分別有3、2個值，則屬性P1為a1與a2的第1個值，P2則由a1的第1個值與a2的第2個值組成，P3由a1的第2個值與a2的第1個值組成。Gji使用Paillier加密系統將響應Rji加密εKS（Rji）=Rji[TX-]，然后將Rji[TX-]發送至Mj。Rji的長度是1個關鍵因素，其長度IR依賴每個屬性Pi的長度與rji的最大比特數量lr，該長度應當可防止沖突，所以每個屬性必須足夠長，因此每個屬性必須是l比特長度。lR的計算方法如下所示：

3.4.1響應實例

考慮圖2實例中的Q1，共包含6個屬性分組（例如香蕉、蘋果各有[1，3]、[4，6]、[7，9] d的庫存時間），可得：{[1，3]，蘋果}→P1=1；{[4，6]，蘋果}→P2=1；{[7，9]，蘋果}→P3=1；{[1，3]，香蕉}→P4=1；{[4，6]，香蕉}→P5=1；{[7，9]，香蕉}→P6=1。

假設節點G11為蘋果，庫存時間是5 d，則該節點屬于P2，考慮lr=7，則生成的隨機數表示為r11=2310=00101112，由此建立的響應為R11={000‖001‖000‖000‖000‖000‖0010111}。

3.4.2防止竊聽

基于查詢的值，1個給定的節點Gji可能并未產生響應，考慮圖2實例，節點G22可能是香蕉，則須要強制發送1個響應。在該情況下剩余的簇節點會學習該水果種類，所以防止竊聽十分關鍵。

如上文所述，本研究假設節點為誠實的，它們無法發送虛假的響應，然而，Gji節點可建立1個空響應來防止竊聽。

3.5處理響應

Mj接收簇內成員的Rji[TX-]，簇頭將各加密響應相乘以聚合所有信息，響應Rj[TX-]則表示為Rj[TX-]∏[DD（]i[DD）]Rji[TX-]。根據Paillier加密系統的同態特點，Rji的乘法運算等價于Rji的加法。

Mj將Rj[TX-]與Nr值級聯運算，Nr表示相乘的Rji[TX-]數量；然后將Rj[TX-]發送至S，S將所有Rj[TX-]相乘以獲得聚合的數據；最終，使用kS解密。

3.6具有匿名性的異常檢測算法

該算法檢測惡意的Mj，主要流程如下：

步驟（1）：每個Gji生成1個隨機數rji，加密后發送至Mj，由此防止rji與Gji連接，該值應滿足rji

[JZ（]lr=[log2（Lr+NQ）][log2（|G|）]。[JZ）][JY]（3）

步驟（2）：生成響應。

步驟（3）：S解密相乘的響應后，驗證最終的級聯值Nr是否為所有響應的總和。該處理等價于計算Gji個節點組合的微積分|G|，然后選擇其中的Nr個組合：

[JZ（][JB（（]|G|[KG*2]Nr[JB））]=[SX（]|G|！Nr！（|G|-Nr）！[SX）]。[JZ）][JY]（4）

S計算rji+1個節點之和，并檢查是否滿足∑[DD（]i，j[DD）]（rji+1），∑[DD（]i，j[DD）]（rji+1） 等價于：

[JZ（]D（∏[DD（]j[DD）]Rj[TX-]）=D（∏[DD（]j[DD）]ε（Rj））=∑[DD（]j[DD）]Rj。[JZ）][JY]（5）

最終S更新所有的rji值，為后續查詢作準備。

根據圖3-a實例的Q1，S保存所有的rji值：18、6、3、22、16、7，S計算所有rji的和：

[JZ]∑[DD（]1≤i≤3，1≤j≤2[DD）]（rji）=18+6+3+22+16+7=72。

最終S更新rji值，并將每個值加1。

[FK（W29][TPMYX3.tif]

[FL（2K2]步驟（4）：假設S發送第2個查詢，重復上述步驟，Gji將rji加1。

根據圖3-b實例的Q2，假設G11、G21、G23為香蕉，G31與G22須保持匿名性，則S驗證響應是否正確所需的操作次數：

[JZ][JB（（]65[JB））]=[SX（]6！5！（6-5）！[SX）]=6。

須計算以下所有的可能組合：r11+1+r13+1+r21+1+r22+1+r23+1=19+4+23+17+8=71，由此說明所有Mj的行為均為正常，最終S更新rji。

4試驗結果與安全性分析

4.1本協議的安全性分析

圖4是本研究加密算法的安全性示意，（1）可看出本算法可防止竊聽；（2）因為僅S持有秘鑰，所以可防止合謀攻擊（本算法基于非對稱加密）；（3）因為在響應中引入了隨機數，S可基于接收的隨機數之和，識別出惡意攻擊。

4.2計算時間試驗

為了測試本算法的實際運行成本，基于智能設備與PC進行仿真試驗。采用小米手機仿真Gji，手機的型號為小米4，3 GB RAM，MSM8974AC處理器，S則在Ubuntu10.04服務器上實現，4 GB RAM，Intel酷睿i3 4160處理器。

Paillier系統中參數k設為256（即|n|=512），請求的屬性值設為定值，將網絡大小設為|G|={28，216，232，264}，|A|設為2～10， |Ii|設為定值3。測量并統計協議中每個階段的

計算時間（圖5）。可以看出不同網絡規模下均在0.5 s時間內即可查詢6個屬性。將含有216個節點的網絡視為大規模網絡，請求7個屬性的情況下，加密1個響應的計算時間低于1 s。對于請求9個屬性的情況，|G|28、216、232、264的加密時間分別為1.6、2.6、5.2、10.3 s。綜合所有結果可以看出，本協議對于大規模網絡（216個節點）的計算時間為可接受范圍，在農產品供應鏈的應用場景中，一般查詢的屬性數量較小（3～4個），所以本協議可在1 s之內完成屬性的聚合，并保持安全性。

4.3與其他協議的計算、通信成本比較

HAD[17]是近期安全性、隱私性較為全面的一種協議，將本協議與HAD比較，HAD中各Gji、Mj共享1個秘鑰，Mj、S共享另1個秘鑰，而在本算法中加密與聚合處理僅使用1個秘鑰對（公鑰/秘鑰）。

獨立分析2種協議不同階段的隱私性：（1）協議初始化階段，本協議與HAD相似，HAD中節點保護Mj、S的隱私，在橢圓曲線的上下文中進行加密；本協議中通過sink節點將公鑰KS發送至各Gji。該階段2種協議的計算成本接近。（2）聚合階段：HAD須計算Hilbert曲線點與求和，然后將結果發送到Mj，而本協議中S發送1個查詢，每個Gji根據Mj產生響應，并將結果發送給S。此外，本協議在聚合驗證中僅須要維護1個秘鑰對，無須傳遞消息，而HAD須要傳遞消息與 Hilbert 曲線點的計算，所以本算法的計算成本高于HAD協議。表2所示是本協議與HAD的計算成本與通信成本比較，可直觀地看出本算法具有明顯的成本優勢。

4.4與其他協議的安全性比較

將本協議與Kim等進行安全性與隱私性比較（表3），可看出本協議同時具有匿名性、隱私性、抗合謀攻擊、聚合過程可驗證、關聯型聚合，而其他算法均無法全部滿足，其中HAD僅不滿足關聯聚合的特征，可滿足所有的安全性，但由前文論述可知，HAD算法的計算、通信成本高于本算法[17-20]。

5結論

供應鏈對安全性、通信成本、計算成本的要求均極高，已有的物聯網協議僅能滿足其中部分性質。本協議設計了輕量級數據聚合協議算法，降低了數據的通信成本與普通節點的計算成本，通過同態加密與異常聚合檢測算法實現了協議的匿名性與安全性。詳細的分析結果顯示，本協議在保證高度安全性與隱私性的前提下，具有較低的計算與通信成本，可滿足供應鏈的實時性、安全性需求。

參考文獻：

[1]顏波，石平，黃廣文. 基于RFID和EPC物聯網的水產品供應鏈可追溯平臺開發[J]. 農業工程學報，2013，29（15）：172-183.

[2]肖亮. 基于物聯網技術的物流園區供應鏈集成管理平臺構建[J]. 電信科學，2011，27（4）：54-60.

[3]錢志鴻，王義君. 面向物聯網的無線傳感器網絡綜述[J]. 電子與信息學報，2013，35（1）：215-227.

[4]李睿，林亞平，李晉國. 兩層傳感器網絡中一種高效的加密數據條件聚合協議研究[J]. 通信學報，2012，33（12）：58-68.

[5]Ren F Y，Zhang J，Wu Y W，et al.Attribute-aware data aggregation using potential-based dynamic routing in wireless sensor networks[J]. IEEE Transactions on Parallel and Distributed Systems，2013，24（5）：881-892.

[6]Zhang X Y，Dong L，Peng H，et al. Achieving efficient and secure range query in two-tiered wireless sensor networks[C]//Quality of Service. New York：IEEE，2014：380-388.

[7]Kumar M，Verma S，Lata K. Secure data aggregation in wireless sensor networks using homomorphic encryption[J]. International Journal of Electronics，2014，102（4）：690-702.

[8]錢萍，吳蒙. 物聯網隱私保護研究與方法綜述[J]. 計算機應用研究，2013，30（1）：13-20.

[9]周彥偉，楊波. 物聯網移動節點直接匿名漫游認證協議[J]. 軟件學報，2015，26（9）：2436-2450.

[10]董曉蕾. 物聯網隱私保護研究進展[J]. 計算機研究與發展，2015，52（10）：2341-2352.

[11]沙樂天，何利文，傅建明，等. 物聯網環境下的敏感信息保護方法[J]. 四川大學學報（工程科學版），2016，48（1）：132-138.

[12]曾萍，張歷，楊亞濤，等. 一種基于HECRT的物聯網密鑰管理方案[J]. 計算機工程，2014，40（8）：27-32.

[13]胡向東，韓愷敏，許宏如. 智能家居物聯網的安全性設計與驗證[J]. 重慶郵電大學學報（自然科學版），2014，26（2）：171-176.

[14]Xin M. A mixed encryption algorithm used in internet of things security transmission system[C]. International Conference on Cyber-Enabled Distributed Computing and Knowledge Discovery. New York：IEEE，2015：62-65.

[15]Singh V K， Dutta M. Analyzing cryptographic algorithms for secure cloud network[J]. International Journal of Advanced Studies in Computers，Science and Engineering，2014，3（6）：1.

[16]劉培鶴，孟一諾，涂津塵，等. 應用于物聯網的Paillier同態信息檢索方案設計[J]. 北京電子科技學院學報，2012，20（4）：98-103.

[17]Kim Y K，Lee H，Yoon M，et al. Hilbert-curve based data aggregation scheme to enforce data privacy and data integrity for wireless sensor networks[J]. International Journal of Distributed Sensor Networks，2013（4）：131.

[18]Li H G，Li K Q，Qu W Y，et al. Secure and energy-efficient data aggregation with malicious aggregator identification in wireless sensor networks[J]. Future Generation Computer Systems，2014，37（37）：108-116.

[19]Ren F Y，Zhang J，Wu Y，et al. Attribute-aware data aggregation using potential-based dynamic routing in wireless sensor networks[J]. IEEE Transactions on Parallel and Distributed Systems，2013，24（5）：881-892.

[20]He D，Kumar N，Lee J H. Privacy-preserving data aggregation scheme against internal attackers in smart grids[J]. Wireless Networks，2015，22（2）：1-12.

[FQ）]