許貴泉

摘要：內(nèi)容中心網(wǎng)絡（CCN）是近年來一種熱門的未來網(wǎng)絡架構(gòu)，但是其路由器緩存數(shù)據(jù)包的模式給用戶帶來了隱私泄露的風險。該文提出一種面向用戶隱私保護的緩存策略，通過將隱私敏感的內(nèi)容緩存在非源請求路由處，增加攻擊者關(guān)聯(lián)用戶與內(nèi)容的難度，以達到用戶請求隱私保護的目的。

關(guān)鍵詞：內(nèi)容中心網(wǎng)絡（CCN）；緩存策略；用戶隱私保護

中圖分類號：TP393 文獻標識碼：A

文章編號：1009-3044（2019）10-0048-03

開放科學（資源服務）標識碼（OSID）：

經(jīng)過近五十年的高速發(fā)展，傳統(tǒng)的以主機IP地址為中心的網(wǎng)絡架構(gòu)存在的諸如網(wǎng)絡擁塞、內(nèi)容傳輸效率低等問題愈加顯現(xiàn)，已難以滿足當前社會的需求。為此，許多的專家學者和研究機構(gòu)紛紛提出新型互聯(lián)網(wǎng)架構(gòu)，其中采用了以內(nèi)容為中心的網(wǎng)絡架構(gòu)思想的內(nèi)容中心網(wǎng)絡[1]的網(wǎng)絡設(shè)計為代表，成為當前下一代互聯(lián)網(wǎng)架構(gòu)的研究熱點。

緩存機制是CCN的最為主要的特點。在CCN網(wǎng)絡中，每個路由節(jié)點都包含著內(nèi)容存儲器（CS， content store）。CS用于緩存數(shù)據(jù)內(nèi)容分組，用戶可以通過內(nèi)容名字，獲取所需數(shù)據(jù)內(nèi)容。內(nèi)容由來自部署在網(wǎng)絡中的緩存或來自其源服務器，如果內(nèi)容沒有緩存在網(wǎng)絡中，則提供服務的服務器發(fā)送該內(nèi)容。一旦一個內(nèi)容數(shù)據(jù)包從一個源服務器開始發(fā)送出去，它將被復制并緩存到所有沿途經(jīng)過的路由器，即從發(fā)出興趣的用戶到連接源服務器的鏈路，該鏈路被稱為轉(zhuǎn)發(fā)路徑。當另一個用戶對這些內(nèi)容發(fā)出興趣包時，這些內(nèi)容已經(jīng)緩存在相同的路徑上并響應用戶請求。這種緩存機制可以降低網(wǎng)絡中其他用戶整體內(nèi)容檢索延遲，提高網(wǎng)絡寬帶資源的利用率。

然而，這通用緩存機制帶來了很大的隱私風險。主要的隱私問題包括：緩存隱私泄露與內(nèi)容隱私泄露[2，3]。在一段時間內(nèi)，路由節(jié)點緩存的響應與未緩存的內(nèi)容之間在返回延時時間上存在差異，這可以作為一個側(cè)面來推斷鄰居用戶以前是否請求過該內(nèi)容。如圖1所示，攻擊者可以通過探測向路由器A放送興趣包請求，通過測量內(nèi)容返回延時時間，以確定路由器A存儲的內(nèi)容，從而獲知鄰近用戶對敏感內(nèi)容的通信痕跡和訪問行為信息，達到侵犯鄰居用戶隱私的目的。

1 現(xiàn)有相關(guān)解決策略與研究現(xiàn)狀

針對前面所說到的用戶隱私安全隱患。文獻[4]借鑒洋蔥路由思想，提出了一種安全機制-ANDaNA。ANDaNA通過對數(shù)據(jù)包進行加密以達到為數(shù)據(jù)內(nèi)容提供匿名的效果并實現(xiàn)網(wǎng)絡的隱私保護。在一個數(shù)據(jù)包轉(zhuǎn)發(fā)過程中，ANDaNA對其進行多次加密，加密的數(shù)據(jù)包分別由轉(zhuǎn)發(fā)路徑中的某一個中繼路由器進行解密，最終將數(shù)據(jù)包送到請求該內(nèi)容的用戶。ANDaNA機制雖然有效地保護了用戶隱私信息，但在數(shù)據(jù)內(nèi)容轉(zhuǎn)發(fā)過程中經(jīng)過了多次的加解密，這將導致時延的增加和額外的計算開銷。

針對時間測量攻擊對網(wǎng)絡用戶帶來的檢索隱私泄露風險，文獻[5]提出了一種隨機延遲的隱私保護方式（Generate Random Delay，GRD），通過對就近緩存內(nèi)容的響應時間附加額外時延，以使攻擊者不能依據(jù)數(shù)據(jù)響應時間執(zhí)行緩存內(nèi)容探測，防止信息泄露。文獻[6]提出一種基于多層加密機制的隱私保護策略。對轉(zhuǎn)發(fā)路徑中的數(shù)據(jù)包進行多層次地加解密，對新請求者，在延遲一定時間后才響應。同時，提出了請求者可信性驗證，只有通過發(fā)布者驗證的請求者，發(fā)布者才會響應請求者的興趣包。但是上述方案增大了用戶請求時延，導致網(wǎng)絡緩存就近響應帶來的低時延優(yōu)勢無法發(fā)揮。

在對緩存隱私進行分析之后，文獻[7]提出一種random-cache的方法，對于到來的用戶內(nèi)容請求，通過隨機地產(chǎn)生k個不命中響應判定，以實現(xiàn)緩存隱私保護。文獻[8]圍繞CCN的隱私問題開展討論，并進一步指出，就緩存隱私保護而言，協(xié)同緩存與概率緩存，也是可行的隱私保護策略，但文中并沒有給出具體的解決方案。文獻[9]分析指出了CCN緩存隱私風險與相應的內(nèi)容流行度之間的關(guān)系。當內(nèi)容的流行度越低時，其隱私敏感性越高；相反，當內(nèi)容的流行度越高時，其隱私敏感性越地。因此可以有選擇性地進行內(nèi)容隱私保護。文獻[10]給出了一種基于協(xié)作緩存的隱私保護方法，通過構(gòu)建空間匿名區(qū)域、擴大用戶匿名集合來增大緩存內(nèi)容的歸屬不確定性，在進行緩存決策時，依據(jù)匿名區(qū)域?qū)φ埱髢?nèi)容的整體需求程度，將返回的內(nèi)容存儲在沿途活躍度最高的熱點請求區(qū)域。

以上為近年來CCN緩存隱私問題相關(guān)的主要研究?？梢钥闯?，如何設(shè)計一種緩存隱私保護策略，在有效保護緩存隱私的同時，兼顧CCN的內(nèi)容分發(fā)能力，是需要仔細考慮的問題。在分析了現(xiàn)有的緩存隱私保護策略的基礎(chǔ)上，本文綜合考慮了CCN的網(wǎng)絡性能與分發(fā)效率，提出一種隱私內(nèi)容鄰居節(jié)點緩存的策略（PCNN，Privacy Caching in Neighbor Node）。本文提出的策略在于通過隱私標識區(qū)分隱私內(nèi)容和非隱私內(nèi)容，并作不同處理。通過將隱私敏感的內(nèi)容緩存在相鄰或間接相鄰的路由節(jié)點中，增加攻擊者鎖定內(nèi)容的不確定性，從而達到保護用戶檢索隱私的目的。

2 隱私保護緩存策略設(shè)計

綜合前面所述，本內(nèi)容中心網(wǎng)絡的緩存策略設(shè)計的目的是在確保網(wǎng)絡傳輸效率的同時對用戶的請求隱私提供一定的保障。針對攻擊者的時間測量攻擊，通過將用戶請求的較為隱私敏感的內(nèi)容緩存在相鄰或間接相鄰的路由節(jié)點中，增加攻擊者鎖定內(nèi)容的不確定性，從而達到保護用戶檢索隱私的目的。

為此，第一步需要區(qū)分高隱私敏感內(nèi)容和低隱私敏感內(nèi)容，本文中主要根據(jù)內(nèi)容流行度加以區(qū)分。參考文獻[11]，對于被大量用戶所關(guān)注的高流行度內(nèi)容，這部分內(nèi)容對攻擊者而言，沒有探測價值，因為這一類內(nèi)容的用戶訪問量大，攻擊者很難判斷該類內(nèi)容的具體請求用戶身份，攻擊難度大，所以以內(nèi)容請求流行度作為區(qū)分隱私敏感內(nèi)容的參考標準。為便于描述，現(xiàn)假定用戶的請求行為服從Zipf分布，設(shè)Pi為第i類內(nèi)容的用戶請求概率，則有：[Pi=ciα，c>0，α≥0]。

定義 1 高隱私敏感內(nèi)容。設(shè)Pa為平均內(nèi)容請求概率，如式（1），對于第i類內(nèi)容，當其請求概率Pi小于Pa，將其視為高隱私敏感的內(nèi)容；反之，則視之為低隱私敏感的內(nèi)容。

當一個新的請求到達時，路由節(jié)點可以根據(jù)歷史訪問記錄，統(tǒng)計最近一段時間內(nèi)每種內(nèi)容的請求概率，進而依據(jù)上述界定確定是否為隱私敏感的內(nèi)容，如是，則針對該隱私內(nèi)容，實施保護策略。而非隱私敏感的內(nèi)容則按照傳統(tǒng)步驟處理。

下面介紹隱私內(nèi)容的緩存保護策略。為滿足緩存策略需要，在興趣包和數(shù)據(jù)包中添加跳數(shù)控制字段和隱私標識字段，數(shù)據(jù)包增加最大跳數(shù)字段。隱私標識字段標記該用戶請求內(nèi)容是否為敏感的內(nèi)容，對于隱私敏感的內(nèi)容請求，跳數(shù)控制字段用于記錄該內(nèi)容沿途各個節(jié)點的數(shù)目。跳數(shù)控制字段、最大跳數(shù)字段和隱私標識字段的初始值都為0。興趣包和數(shù)據(jù)包在轉(zhuǎn)發(fā)的過程中，具體的步驟如下：

1）當用戶發(fā)送的興趣包到達與其相連的緩存路由節(jié)點時，如該節(jié)點CS（Content Store）已經(jīng)緩存內(nèi)容，則為緩存命中，節(jié)點依據(jù)第4步步驟返回該興趣包對應的數(shù)據(jù)包內(nèi)容；若CS表中沒有對應的請求內(nèi)容，則執(zhí)行第2步。

2）節(jié)點查詢PIT（Pending Interest Table）表，若PIT表中有對該興趣包的記錄條目，則節(jié)點拋棄該興趣包不作處理；若表中沒有對該興趣包的記錄條目，則節(jié)點將該興趣包請求插入PIT表，并且執(zhí)行第3步。

3）節(jié)點檢查興趣包的隱私標識字段。若該字段值不為0，則興趣包的跳數(shù)控制字段值加1；否則，路由節(jié)點根據(jù)最近一段時期統(tǒng)計信息，依據(jù)（1）式判斷該內(nèi)容是否為隱私內(nèi)容。如為非隱私內(nèi)容，則在興趣包的隱私標識字段置2；如果是隱私內(nèi)容，則在興趣包的隱私標識字段置1，并且興趣包的跳數(shù)控制字段值加1。然后依據(jù)FIB（Forwarding Information Base）表項執(zhí)行下一跳路由轉(zhuǎn)發(fā)，將興趣包轉(zhuǎn)發(fā)到下一個路由節(jié)點。

4）緩存節(jié)點收到轉(zhuǎn)發(fā)來的興趣包命中本節(jié)點緩存時，節(jié)點將興趣包中的跳數(shù)控制字段值復制添加到相應數(shù)據(jù)包的跳數(shù)控制字段和最大跳數(shù)字段，同時將興趣包中對應的隱私標識字段的值復制到數(shù)據(jù)包相應字段，然后查詢PIT表，按照其中的接口記錄返回數(shù)據(jù)包，刪除相應PIT條目。

5）緩存節(jié)點收到轉(zhuǎn)發(fā)來的數(shù)據(jù)包時，首先查詢PIT表，如表中存在相應記錄，則檢查數(shù)據(jù)包的隱私標識字段，若值為0則直接按PIT表中的接口記錄轉(zhuǎn)發(fā)。否則，將數(shù)據(jù)包跳數(shù)控制字段值減1，如減后值大于0則直接轉(zhuǎn)發(fā)數(shù)據(jù)包。如等于0，數(shù)據(jù)包到達與請求用戶相連的邊緣路由，執(zhí)行第6步；若查詢PIT表中沒有找到相應記錄，執(zhí)行第7步。

6）路由節(jié)點產(chǎn)生一個隨機數(shù)R，其區(qū)間為：[1≤R≤MD]。式中M表示數(shù)據(jù)包中最大跳數(shù)字段的值，D表示該路由節(jié)點的度。節(jié)點在響應了用戶請求后不緩存該數(shù)據(jù)包，而將R值復制到數(shù)據(jù)包的跳數(shù)控制字段，然后從路由器的各個接口中隨機選擇一個接口發(fā)送數(shù)據(jù)包。

7）PIT表中沒有找到相應記錄的情況下，路由節(jié)點將數(shù)據(jù)包跳數(shù)控制字段值減1，如等于0，則該節(jié)點緩存該數(shù)據(jù)包；否則該節(jié)點從新產(chǎn)生一個新的隨機數(shù)R，其區(qū)間同第6步，并將R值復制到數(shù)據(jù)包的跳數(shù)控制字段，然后從路由器的各個接口中隨機選擇一個接口發(fā)送數(shù)據(jù)包。

3 策略簡要評估

如表1所示，PCNN與數(shù)據(jù)加密類的隱私保護策略相比，雖然在用戶的隱私保護強度上比較弱，但由于不需要節(jié)點大量的加解密運算，故節(jié)點計算量需求較低。數(shù)據(jù)加密類的代表類型為文獻[4]的ANDaNA機制和文獻[6]的多層加密機制的隱私保護策略。而PCNN與人為添加延時類的隱私保護策略相比，由于沒有人為地添加響應延時，而主要在于針對隱私內(nèi)容進行處理，故整體增加的網(wǎng)絡延時較低。人為添加延時類的代表類型為文獻[5]隨機延遲的隱私保護方式（GRD）和文獻[7]的K匿名方式。

4 結(jié)語

本文的主要工作是圍繞緩存隱私保護策略本身開展，本文提出的策略在于通過隱私標識區(qū)分隱私內(nèi)容和非隱私內(nèi)容，并作不同處理。通過將隱私敏感的內(nèi)容緩存在相鄰或間接相鄰的路由節(jié)點中，增加攻擊者鎖定內(nèi)容的不確定性，達到保護用戶檢索隱私的目的。接下來的工作是進一步研究如何檢測緩存隱私探測行為。此外，CCN除了緩存隱私，內(nèi)容隱私泄露也是其中一個隱私安全問題，關(guān)于CCN內(nèi)容的隱私保護，也是未來的研究內(nèi)容。

參考文獻：

[1] 吳超， 張堯?qū)W， 周悅芝， 等. 信息中心網(wǎng)絡發(fā)展研究綜述[J]. 計算機學報， 2015， 38（3）：455-471.

[2] VASILAKOS A V， LI Z， SIMON G， et al. Information centric network： research challenges and opportunities[J]. Journal of Network and Computer Applications， 2015， （52）： 1-10.

[3] FOTIOU N， POLYZOS G C. ICN privacy and name based security[A].Proceedings of the 1st International Conference on Information-Centric Networking[C]. ACM， 2014. 5-6.

[4] Dibenedetto S， Gasti P， Tsudik G， et al. ANDaNA： Anonymous Named Data Networking Application [J]. Computer Science， 2011.

[5] Zhang Xinwen ， Mohaisen A ， Kim Y ， et al. Protecting access privacy of cached contents in information centric networks[C]// Acm Conference on Computer & Communications Security. ACM， 2013.

[6] 柳毅， 白雪峰， 楊育斌. 基于多層加密機制的內(nèi)容中心網(wǎng)絡隱私保護策略[J]. 計算機工程與應用， 2017，53（5）：1-5.

[7] ACS G， CONTI M， GASTI P， et al. Cache privacy in named-data networking[A]. Distributed Computing Systems （ICDCS）， 2013 IEEE 33rd International Conference[C]. IEEE， 2013： 41-51.

[8] CHAABANE A， DE CRISTOFARO E， KAAFAR M A， et al. Privacy in content-oriented networking： threats and countermeasures[J]. ACM SIGCOMM Computer Communication Review， 2013， 43（3）： 25-33.

[9] LAUINGER T， LAOUTARIS N， RODRIGUEZ P， et al. Privacy risks in named data networking： what is the cost of performance[J]. ACM SIGCOMM Computer Communication Review， 2012， 42（5）： 54-57.

[10] 葛國棟， 郭云飛， 劉彩霞， 等. 內(nèi)容中心網(wǎng)絡中面向隱私保護的協(xié)作緩存策略[J]. 電子與信息學報， 2015， 37（5）：1220-1226.

[11] 朱軼， 糜正琨， 王文鼐. 內(nèi)容中心網(wǎng)絡緩存隱私保護策略[J]. 通信學報， 2015， 36（12）：139-150.

【通聯(lián)編輯：代影】