王順業(yè)，蘆天亮，杜彥輝

中國(guó)人民公安大學(xué) 信息技術(shù)與網(wǎng)絡(luò)安全學(xué)院，北京 100038

1 引言

2014年智能家居進(jìn)入發(fā)展元年，據(jù)預(yù)測(cè)到2023年，全球?qū)⒂?93萬(wàn)個(gè)家庭安裝至少一種智能家居設(shè)備[1]。用戶在使用互聯(lián)網(wǎng)時(shí)最關(guān)心自己的隱私遭到泄露，而智能家居在接入互聯(lián)網(wǎng)時(shí)同樣會(huì)泄露大量用戶信息。由于智能家居的特性，其采集傳輸?shù)囊粢曨l信息往往更加私密，匿名通信可以保證信息傳輸?shù)陌踩院湍涿浴?/p>

智能家居涉及家庭智能監(jiān)控、家庭影音娛樂(lè)、幼長(zhǎng)關(guān)愛(ài)系統(tǒng)等方面，相比于性能好帶寬高的互聯(lián)網(wǎng)設(shè)備，智能家居設(shè)備一般采用低耗能的處理器并使用無(wú)線網(wǎng)絡(luò)進(jìn)行連接，計(jì)算力和帶寬都有一定的限制。互聯(lián)網(wǎng)中被廣泛使用的匿名通信模型如 Tor[2]、I2P[3]、Freenet[4]、Crowds[5]、DC-Net[6]、Tarzan[7]等由于需要進(jìn)行復(fù)雜運(yùn)算或不適用文件傳輸無(wú)法解決智能家居設(shè)備音視頻文件的匿名通信問(wèn)題。針對(duì)此現(xiàn)狀，本文提出面向智能家居的音視頻文件匿名通信系統(tǒng)，使用輕量級(jí)的加密算法，在保證匿名性和安全性的同時(shí)，降低了匿名通信系統(tǒng)的實(shí)施代價(jià)。

2 相關(guān)工作

現(xiàn)有智能家居及物聯(lián)網(wǎng)匿名通信模型主要可分為基于計(jì)算卸載、輕量級(jí)密碼系統(tǒng)的方案。

Hoang[8]、Guan[9]、Braeken[10]等基于計(jì)算卸載（Computing Offloading，CO）的思想將計(jì)算壓力和帶寬壓力轉(zhuǎn)移到高性能的計(jì)算代理上，強(qiáng)制所有智能家居流量從計(jì)算代理進(jìn)行轉(zhuǎn)發(fā)，將互聯(lián)網(wǎng)匿名通信方案應(yīng)用于計(jì)算代理上，從而實(shí)現(xiàn)智能家居設(shè)備的匿名通信。但攻擊者一旦滲透進(jìn)入智能家居和代理構(gòu)成的子網(wǎng)中，匿名便被瓦解，特別是智能家居設(shè)備多采用無(wú)線連接，為攻擊者提供了便利。

基于輕量級(jí)密碼系統(tǒng)的方案多采用基于身份的密碼加密（Identity Based Encryption，IBE），IBE最早由Shamir[11]提出，使用接收者的身份信息作為公鑰，不需要使用數(shù)字證書(shū)，引入私鑰生成器（Private Key Generator，PKG）產(chǎn)生私鑰，從而減少由于證書(shū)而帶來(lái)的資源占用問(wèn)題，同時(shí)取消了查詢公鑰操作，避免在此過(guò)程中遭到攻擊而去匿名化。Jiang等人[12]利用雙線性IBE對(duì)信息加密后，上傳到公共存儲(chǔ)空間“公告板”中，網(wǎng)絡(luò)中所有用戶在相同時(shí)間段上傳和下載信息。LTAMA[13]結(jié)合IBE和橢圓曲線密碼技術(shù)，使用假名達(dá)到匿名目的。STAC[14]在EAC[15]的基礎(chǔ)上使用基于假名的加密，生成假名和一對(duì)公鑰私鑰，確保用戶身份的匿名。

3 相關(guān)技術(shù)分析

3.1 基于身份的加密

傳統(tǒng)基于身份的加密分為四個(gè)步驟[16]：

（1）初始化：由安全參數(shù)k計(jì)算系統(tǒng)公開(kāi)參數(shù)params以及主密鑰masterkey，其中params對(duì)系統(tǒng)內(nèi)用戶公開(kāi)，masterkey由PKG保管，不對(duì)外公開(kāi)。

（2）生成私鑰：PKG使用主密鑰masterkey以及用戶信息ID，生成用戶的私鑰SKid。

（3）加密：發(fā)送端輸入明文和用戶信息ID，計(jì)算得出密文。

（4）解密：接收端輸入密文和對(duì)應(yīng)用戶的私鑰SKid，得到明文。

傳統(tǒng)基于身份的加密過(guò)程中，由于使用目標(biāo)用戶身份信息直接作為公鑰，攻擊者通過(guò)分析密文可能得出目標(biāo)用戶信息，導(dǎo)致目標(biāo)匿名用戶暴露。本文采用基于雙線性身份的加密[17]，設(shè)G1和G2為兩個(gè)p階的群組，定義存在雙線映射e?:G1×G1→G2，g為G1的生成元，隨機(jī)選擇g2∈G1，δ，令g1=gδ，算法由四部分組成：

（1）初始化。PKG選擇公開(kāi)參數(shù)g,g1,g2以及主密鑰δ。

（2）生成私鑰。由PKG隨機(jī)選取r，使用r和用戶信息ID生成用戶私鑰d，其中ID：

（3）加密。發(fā)送者選取隨機(jī)參數(shù)t,s，明文為M，計(jì)算密文：

（4）解密。接收者向PKG請(qǐng)求自己的私鑰d=(d1,d2,d3)對(duì)密文進(jìn)行解密，得到明文M：

3.2 洋蔥路由策略

洋蔥路由（Onion Routing）的核心思想是像洋蔥一樣，將傳輸?shù)拿孛苄畔訉蛹用埽孛苄畔⑽挥谘笫[的最中心位置。加密過(guò)程中使用鏈路上節(jié)點(diǎn)的公鑰按照從后至前的順序進(jìn)行加密，傳輸過(guò)程中由外到內(nèi)逐層解密，每一個(gè)節(jié)點(diǎn)僅能解密一層加密，只能得到前任節(jié)點(diǎn)和后繼節(jié)點(diǎn)的信息，并且無(wú)法獲知其他節(jié)點(diǎn)的信息，因此能夠確保通信過(guò)程中匿名性。

4 系統(tǒng)概述

本文使用的相關(guān)符號(hào)定義如下：Ns(Ns≥2)表示發(fā)送端假名組的用戶數(shù)，Nd(Nd≥2)表示接收端假名組的用戶數(shù)，N-i(i≥3)表示轉(zhuǎn)發(fā)鏈路上的中繼節(jié)點(diǎn)，G表示隨機(jī)序列，F(xiàn)s表示文件頭部特征字段，IDu表示用戶公鑰，SKu表示用戶私鑰，δ為主密鑰，g,g1,g2為公開(kāi)的系統(tǒng)參數(shù)。

如圖1所示為面向智能家居的音視頻匿名通信系統(tǒng)，發(fā)送端、接收端和轉(zhuǎn)發(fā)節(jié)點(diǎn)分別處于不同的區(qū)域內(nèi)。分別在發(fā)送端和接收端建立假名組，以假名機(jī)制實(shí)現(xiàn)發(fā)送端和接收端匿名，使用中繼節(jié)點(diǎn)轉(zhuǎn)發(fā)實(shí)現(xiàn)發(fā)送端和接收端的不可鏈接性。源匿名節(jié)點(diǎn)處于發(fā)送端假名組中，進(jìn)行通信時(shí)源匿名用戶首先向目錄服務(wù)器請(qǐng)求假名節(jié)點(diǎn)和中繼節(jié)點(diǎn)信息，通過(guò)出口假名節(jié)點(diǎn)進(jìn)入中繼轉(zhuǎn)發(fā)網(wǎng)絡(luò)，中繼網(wǎng)絡(luò)中最后一個(gè)節(jié)點(diǎn)將數(shù)據(jù)轉(zhuǎn)發(fā)給目標(biāo)假名節(jié)點(diǎn)，目標(biāo)假名節(jié)點(diǎn)向組內(nèi)所有節(jié)點(diǎn)進(jìn)行廣播，目標(biāo)匿名節(jié)點(diǎn)接收信息完成通信。

匿名通信過(guò)程由四個(gè)基本步驟組成，下面對(duì)四個(gè)步驟進(jìn)行詳細(xì)分析。

步驟1源匿名節(jié)點(diǎn)將音視頻文件的頭部特征Fs與數(shù)據(jù)部分分離，數(shù)據(jù)部分采用文件分割函數(shù)f(F,l,n)=(F1,F1,…,Fn)分割成長(zhǎng)度為l的n個(gè)分片，對(duì)分片進(jìn)行隨機(jī)排序得到隨機(jī)序列G={G1,G2,…,Gn} ，Gn表示分片的真實(shí)序號(hào)。源匿名節(jié)點(diǎn)向目錄服務(wù)器請(qǐng)求發(fā)送端假名組節(jié)點(diǎn)信息、中繼節(jié)點(diǎn)信息、接收端假名組節(jié)點(diǎn)信息。選取節(jié)點(diǎn)后，對(duì)Gn先后使用目標(biāo)匿名用戶、目標(biāo)假名節(jié)點(diǎn)、中繼節(jié)點(diǎn)、出口假名節(jié)點(diǎn)信息作為公鑰參數(shù)進(jìn)行多層加密，隨機(jī)挑選某個(gè)數(shù)據(jù)包嵌入Fs，將Fs和Gn使用同樣的方法加密，密文c=encrypt(g,g1,g2,t,s,ID,M)。將文件分片作為payload與加密后的信息組成數(shù)據(jù)包發(fā)送給假名節(jié)點(diǎn)，數(shù)據(jù)包結(jié)構(gòu)如圖2所示。

步驟2源匿名節(jié)點(diǎn)向出口假名節(jié)點(diǎn)發(fā)送數(shù)據(jù)包，出口假名節(jié)點(diǎn)用自己的私鑰解密第一層加密后得到首個(gè)中繼節(jié)點(diǎn)信息，將剩下的信息轉(zhuǎn)發(fā)至首個(gè)中繼節(jié)點(diǎn)。源匿名節(jié)點(diǎn)向假名節(jié)點(diǎn)傳輸數(shù)據(jù)包時(shí)告知假名組中其他節(jié)點(diǎn)，其他節(jié)點(diǎn)向出口假名節(jié)點(diǎn)發(fā)送相同大小的數(shù)據(jù)包進(jìn)行干擾混淆。

步驟3第一個(gè)中繼節(jié)點(diǎn)接收到數(shù)據(jù)包后，使用自己的私鑰解密得到下一個(gè)中繼節(jié)點(diǎn)的信息，將剩余的加密信息轉(zhuǎn)發(fā)到下一個(gè)中繼節(jié)點(diǎn)，所有中繼節(jié)點(diǎn)使用同樣方式對(duì)數(shù)據(jù)包進(jìn)行轉(zhuǎn)發(fā)。最后一個(gè)中繼節(jié)點(diǎn)將數(shù)據(jù)包轉(zhuǎn)發(fā)至接收假名組，目標(biāo)假名節(jié)點(diǎn)收到數(shù)據(jù)包后，向接收端假名組中所有節(jié)點(diǎn)進(jìn)行廣播，組內(nèi)其他節(jié)點(diǎn)無(wú)法解密，丟棄數(shù)據(jù)包。

步驟4目標(biāo)匿名用戶接收到數(shù)據(jù)包后使用自己的私鑰對(duì)加密部分進(jìn)行解密，明文M=decrypt(d,c)，得到分片真實(shí)序號(hào)以及文件特征部分。

對(duì)所有分片按照隨機(jī)序列G的順序進(jìn)行傳輸，如圖3所示，循環(huán)進(jìn)行步驟1～4，直至所有分片傳輸完畢。目標(biāo)匿名用戶在接收文件分片后使用真實(shí)序號(hào)對(duì)分片進(jìn)行標(biāo)記，重新將分片排序?yàn)檎_序列，使用逆函數(shù)F=f-1(F1,F2,…,Fn)按照序列對(duì)文件進(jìn)行重組，重組后將數(shù)據(jù)部分與文件頭組合，完成文件恢復(fù)。

圖1 面向智能家居的音視頻文件匿名通信系統(tǒng)

圖2 數(shù)據(jù)包結(jié)構(gòu)圖

圖3 分片傳輸示意圖

表1 與Tor匿名通信系統(tǒng)比較

5 模型分析

本文將提出的面向智能家居的音視頻文件匿名通信系統(tǒng)在算力要求等多個(gè)方面與Tor進(jìn)行了比較，如表1所示。分析表明，本文提出的方法與Tor匿名通信系統(tǒng)相比，對(duì)設(shè)備的計(jì)算能力要求低，能夠適應(yīng)智能家居環(huán)境低算力的限制。同時(shí)能夠?qū)崿F(xiàn)源匿名節(jié)點(diǎn)和目標(biāo)匿名節(jié)點(diǎn)的位置匿名，在出口節(jié)點(diǎn)同樣保持加密狀態(tài)防止泄密，保證傳輸?shù)囊粢曨l文件不被泄露還原。

5.1 匿名性分析

系統(tǒng)融合基于身份的加密方式和洋蔥路由策略，使用下一節(jié)點(diǎn)的信息作為公鑰進(jìn)行加密，只有真正的系統(tǒng)節(jié)點(diǎn)才能向PKG請(qǐng)求私鑰對(duì)數(shù)據(jù)包進(jìn)行解密。中繼節(jié)點(diǎn)轉(zhuǎn)發(fā)過(guò)程中，每個(gè)中繼節(jié)點(diǎn)只知道上一個(gè)中繼節(jié)點(diǎn)和下一個(gè)中繼節(jié)點(diǎn)的信息，無(wú)法獲知系統(tǒng)中其他中繼節(jié)點(diǎn)的信息，從而保證源匿名節(jié)點(diǎn)和目標(biāo)匿名節(jié)點(diǎn)的不可鏈接性。

源匿名節(jié)點(diǎn)隱匿在發(fā)送端假名組中，源匿名節(jié)點(diǎn)和出口假名節(jié)點(diǎn)通信時(shí)，組內(nèi)其他節(jié)點(diǎn)同時(shí)向出口假名節(jié)點(diǎn)發(fā)送混淆包，監(jiān)聽(tīng)者無(wú)法對(duì)流量分析使源匿名節(jié)點(diǎn)去匿名化。通過(guò)假名節(jié)點(diǎn)與首個(gè)中繼節(jié)點(diǎn)進(jìn)行通信，即使攻擊者攻擊首個(gè)中繼節(jié)點(diǎn)也無(wú)法判斷源匿名節(jié)點(diǎn)的身份。目標(biāo)匿名節(jié)點(diǎn)隱匿在接收端假名組中，目標(biāo)假名節(jié)點(diǎn)在收到數(shù)據(jù)包后向組內(nèi)所有節(jié)點(diǎn)進(jìn)行廣播，但因?yàn)槭褂玫氖悄繕?biāo)匿名節(jié)點(diǎn)的身份信息作為參數(shù)進(jìn)行加密，只有真正的目標(biāo)匿名節(jié)點(diǎn)才能對(duì)密文解密。

綜上本文提出的模型可以實(shí)現(xiàn)源匿名節(jié)點(diǎn)和目標(biāo)匿名節(jié)點(diǎn)的位置匿名以及雙方的不可鏈接性。

5.2 匿名性度量

攻擊者可以通過(guò)控制鏈路中的部分節(jié)點(diǎn)并利用這些節(jié)點(diǎn)發(fā)起合謀攻擊，攻擊者在攻擊本文研究的模型時(shí)，如果要實(shí)現(xiàn)去匿名化，需要同時(shí)滿足兩個(gè)條件：

（1）攻擊者最少要控制鏈路中半數(shù)的節(jié)點(diǎn)。

（2）攻擊者要同時(shí)控制首個(gè)中繼節(jié)點(diǎn)和最后一個(gè)中繼節(jié)點(diǎn)。

根據(jù)Reiter等人[5]提出的匿名度分析方法，發(fā)送端假名集中節(jié)點(diǎn)個(gè)數(shù)為Ns，接收端假名集中節(jié)點(diǎn)個(gè)數(shù)為Nd，中繼轉(zhuǎn)發(fā)鏈路的長(zhǎng)度為L(zhǎng)，假設(shè)轉(zhuǎn)發(fā)鏈路中有Z個(gè)惡意節(jié)點(diǎn)，則中繼轉(zhuǎn)發(fā)鏈路被攻擊而導(dǎo)致去匿名化的可能性為：

如圖4所示，中繼節(jié)點(diǎn)轉(zhuǎn)發(fā)過(guò)程中匿名被瓦解的可能性隨節(jié)點(diǎn)數(shù)目的增多，惡意節(jié)點(diǎn)數(shù)目的減少而降降低。

則整個(gè)匿名通信模型的匿名度D為：

如圖5所示，在匿名通信模型鏈路長(zhǎng)度一定時(shí)，匿名被瓦解的可能性隨鏈路中惡意節(jié)點(diǎn)數(shù)量的增多而增加，同時(shí)匿名被瓦解的可能性受Ns和Nd的影響，Ns和Nd對(duì)系統(tǒng)匿名度的影響效果相同。隨著Ns和Nd的增多，匿名通信模型的匿名性越強(qiáng)，但過(guò)多的假名節(jié)點(diǎn)會(huì)導(dǎo)致帶寬資源的浪費(fèi)和通信延遲，特別是在發(fā)送端假名組傳輸過(guò)程中有大量混淆數(shù)據(jù)包傳輸，過(guò)多的假名節(jié)點(diǎn)會(huì)導(dǎo)致出口假名節(jié)點(diǎn)的帶寬負(fù)載加重，接收端假名節(jié)點(diǎn)只需要對(duì)組內(nèi)所有用戶進(jìn)行廣播，因而可以選擇較多的節(jié)點(diǎn)保護(hù)目標(biāo)匿名用戶。由圖可見(jiàn)當(dāng)Ns=3,Nd=8時(shí)，系統(tǒng)匿名被瓦解的可能性小于5%，并且隨著假名組內(nèi)節(jié)點(diǎn)的增多，匿名性的提升不明顯，假名節(jié)點(diǎn)數(shù)目的增加對(duì)模型匿名性的影響較小，匿名系統(tǒng)能夠達(dá)到較好的匿名效果同時(shí)不會(huì)導(dǎo)致帶寬壓力過(guò)大。

圖4 中繼轉(zhuǎn)發(fā)鏈路匿名性

圖5 假名組節(jié)點(diǎn)數(shù)目與系統(tǒng)匿名度關(guān)系(L=20)

5.3 安全性分析

文件在分片后按照隨機(jī)編碼序列的順序進(jìn)行傳輸，并且在分離文件頭后每個(gè)分片都失去了可讀性，假設(shè)攻擊者成功地實(shí)施了合謀攻擊控制了鏈路中的節(jié)點(diǎn)，截取傳輸數(shù)據(jù)包進(jìn)行還原，但是按照真實(shí)傳輸順序?qū)Ψ制M(jìn)行重組得到的分片順序是錯(cuò)誤的，即使得到了所有數(shù)據(jù)分片也無(wú)法還原出源文件。只有攻擊者獲得文件分片的同時(shí)得到每個(gè)分片的真實(shí)序號(hào)Gn和文件特征頭部Fs才能對(duì)文件正確還原，而對(duì)Gn和Fs使用公鑰進(jìn)行加密，認(rèn)為是安全的。

由于對(duì)分片序列進(jìn)行隨機(jī)排序，并保證每一個(gè)分片在每一個(gè)位置的概率相等，則對(duì)n個(gè)分片進(jìn)行隨機(jī)排序可能的結(jié)果共有n!個(gè)，設(shè)遭到到暴力破解分片順序的可能性為Pr(B)，則Pr(B)=，如圖6所示。

圖6 分片序列遭到暴力破解的可能性

隨著分片數(shù)目n的增多，Pr(B)逐漸降低，當(dāng)n=100時(shí)，Pr(B)1.072×10-158，一般情況下對(duì)文件的分片遠(yuǎn)大于100個(gè)，可以抵抗暴力破解攻擊。

5.4 通信代價(jià)分析

本文主要從兩個(gè)方面降低了匿名通信過(guò)程的資源損耗，首先使用基于身份的加密代替?zhèn)鹘y(tǒng)基于證書(shū)的密碼加密系統(tǒng)，取消了證書(shū)的驗(yàn)證等過(guò)程，使用用戶信息作為加密參數(shù)，在加密過(guò)程中不需要任何證書(shū)，不需要保存管理每個(gè)用戶的公鑰，避免因公鑰管理、查詢等操作帶來(lái)的資源損耗。

另一方面，針對(duì)音視頻文件的特性，按照隨機(jī)序列的方式對(duì)文件分片進(jìn)行傳輸，由安全性分析可知不需要對(duì)文件整體進(jìn)行加密，只需加密分片的真實(shí)序號(hào)與文件頭部特征，從而降低了計(jì)算代價(jià)。

6 結(jié)論

本文提出了一種面向智能家居的匿名通信模型，該方案將基于身份的加密和洋蔥路由策略結(jié)合。在構(gòu)建鏈路過(guò)程中，保證源匿名節(jié)點(diǎn)和目標(biāo)匿名節(jié)點(diǎn)的身份匿名和通信關(guān)系的不可鏈接，傳輸音視頻文件過(guò)程中，不需要對(duì)整個(gè)文件進(jìn)行加密，并使用特定的傳輸序列對(duì)文件分片進(jìn)行傳輸。分析表明本文提出的方法可以在計(jì)算資源受限的情況下保證通信的匿名性和安全性，實(shí)現(xiàn)智能家居環(huán)境下的匿名通信。