劉海輝，陳建偉，黃 川

(1.福建師范大學(xué)計算機(jī)與網(wǎng)絡(luò)空間安全學(xué)院，福建 福州 350117；2.福建省網(wǎng)絡(luò)安全與密碼技術(shù)重點實驗室，福建 福州 350117；3.福建師范大學(xué)數(shù)字福建大數(shù)據(jù)安全技術(shù)研究所，福建 福州 350117)

物聯(lián)網(wǎng)(internet of things，IoT)的技術(shù)進(jìn)步和大規(guī)模部署，很大程度上改變了人們?nèi)粘５纳盍?xí)慣和工作方式.IoT在各種傳感技術(shù)的基礎(chǔ)上，結(jié)合網(wǎng)絡(luò)互聯(lián)、信息傳遞、人工智能等技術(shù)，不僅可以提高人們對物理世界的信息感知能力，還可以根據(jù)感知數(shù)據(jù)實現(xiàn)智能化的決策和控制.目前，IoT已經(jīng)應(yīng)用在眾多的領(lǐng)域中，如智慧城市[1]、醫(yī)療保健[2]、工業(yè)控制[3]、智能電網(wǎng)[4]等.

一個典型的IoT應(yīng)用往往需要大量的終端設(shè)備收集并上傳感知數(shù)據(jù).然而，隨著信息技術(shù)的不斷發(fā)展，用戶對于個人隱私的保護(hù)意識也逐漸增強(qiáng)，大量地收集個人用戶數(shù)據(jù)會引起人們對于個人隱私安全的擔(dān)憂.2018年，媒體曝出美國臉譜公司在未經(jīng)用戶同意的情況下，通過其社交軟件Facebook違規(guī)收集了多達(dá)8 700萬份個人用戶資料，用于英國劍橋分析公司開展的數(shù)據(jù)分析之中，借此為競選總統(tǒng)提供幫助[5].類似事件加劇了公眾對違規(guī)收集個人隱私數(shù)據(jù)的擔(dān)憂,隱私數(shù)據(jù)的泄露也會對國家安全造成巨大的威脅.為此，我國“十四五”規(guī)劃明確提出要加快推進(jìn)數(shù)據(jù)安全、個人信息保護(hù)等領(lǐng)域基礎(chǔ)性立法，強(qiáng)化數(shù)據(jù)資源全生命周期安全保護(hù)[6].2021年6月，我國出臺了《中華人民共和國數(shù)據(jù)安全法》，用于規(guī)范數(shù)據(jù)處理活動，保障數(shù)據(jù)安全，促進(jìn)數(shù)據(jù)合理開發(fā)利用.由此可見，保護(hù)個人用戶數(shù)據(jù)隱私將成為IoT大規(guī)模應(yīng)用部署不可忽視的重要前提和研究課題.

為了保障用戶數(shù)據(jù)隱私安全，研究者們采用數(shù)據(jù)聚合的方式來收集用戶的數(shù)據(jù)，即服務(wù)端僅能得到所有用戶數(shù)據(jù)聚合的結(jié)果，而無法得到個別用戶的具體數(shù)據(jù)，這樣在一定的程度上保護(hù)了用戶的隱私.然而，這種聚合方式在實踐中仍然存在不足.首先，大多數(shù)保護(hù)隱私的數(shù)據(jù)聚合方案過度依賴于一個可信權(quán)威中心(trusted authority,TA)，需要TA產(chǎn)生和分發(fā)密鑰.而這樣的可信權(quán)威中心可能成為外部攻擊的對象，承擔(dān)著安全風(fēng)險.另一方面，也并非所有用戶都信任這樣的第三方權(quán)威中心.其次，由于IoT應(yīng)用場景的不確定性和復(fù)雜性，在一個聚合周期內(nèi)，一旦出現(xiàn)終端設(shè)備故障、網(wǎng)絡(luò)連接異常，或者數(shù)據(jù)傳輸波動等情況，將導(dǎo)致服務(wù)端無法按期得到終端設(shè)備的感知數(shù)據(jù)，進(jìn)而影響到預(yù)設(shè)方案的正確執(zhí)行，換言之，系統(tǒng)不具備容錯能力.最后，IoT應(yīng)用通常部署在開放式的無線網(wǎng)絡(luò)環(huán)境中，攻擊者很可能會截獲并篡改終端設(shè)備上報的數(shù)據(jù)，導(dǎo)致系統(tǒng)做出錯誤的判斷和決策，可見，保證數(shù)據(jù)完整性也是要解決的問題之一.

近年來，有許多的研究者針對上述問題提出了一些解決方案[7-13].文獻(xiàn)[7]提出的APPA方案利用本地權(quán)威機(jī)構(gòu)，在數(shù)據(jù)聚合過程中為智能設(shè)備提供實時的注冊和更新服務(wù).文獻(xiàn)[8]結(jié)合同態(tài)加密和超增序列實現(xiàn)了智能電網(wǎng)環(huán)境下的多維度數(shù)據(jù)聚合.文獻(xiàn)[9]通過改進(jìn)同態(tài)加密算法，實現(xiàn)了智能電網(wǎng)中的多維數(shù)據(jù)的聚合，而且控制中心還能對數(shù)據(jù)進(jìn)行方差分析(ANOVA).但這些方案[7-9]都需要一個可信權(quán)威中心來進(jìn)行密鑰的產(chǎn)生和分發(fā).在無第三方可信權(quán)威中心的前提下，文獻(xiàn)[10]提出了一個支持任意聚合函數(shù)的隱私保護(hù)數(shù)據(jù)聚合方案，該方案采用隨機(jī)抽樣的方式為每一個終端設(shè)備生成唯一的序列號，聚合器可以根據(jù)該序列號得到所有終端設(shè)備的獨立數(shù)據(jù)并實現(xiàn)任意的聚合函數(shù).文獻(xiàn)[11]結(jié)合同態(tài)加密算法和Shamir門限秘密共享方案提出了一個保護(hù)隱私的數(shù)據(jù)聚合方案，該方案不但可以對所有用戶的數(shù)據(jù)行進(jìn)聚合統(tǒng)計，還可以針對特定區(qū)域內(nèi)用戶進(jìn)行數(shù)據(jù)聚合，提高了聚合的靈活性.文獻(xiàn)[12]根據(jù)用戶的總用電量將用戶劃分為不同子集，控制中心不僅可以得到不同子集的用戶數(shù)量，還能得到所有同類型設(shè)備耗電量的總和.文獻(xiàn)[13]提出了一個有效提高系統(tǒng)容錯性的方案，該方案能夠在智能電表或者是服務(wù)器發(fā)生故障時對故障設(shè)備進(jìn)行探測.然而，上述這些方案[10-13]或者沒有提供容錯功能，或者無法確保數(shù)據(jù)的完整性.

本文提出一種無可信權(quán)威中心的隱私保護(hù)數(shù)據(jù)聚合方案，主要的研究內(nèi)容和貢獻(xiàn)如下.

(1)終端設(shè)備之間進(jìn)行密鑰協(xié)商共同構(gòu)建加密密鑰，并使用該密鑰對終端設(shè)備的感知數(shù)據(jù)進(jìn)行加密，以保證數(shù)據(jù)的隱私性.

(2)根據(jù)Carmichael定理設(shè)計了一種容錯機(jī)制，當(dāng)終端設(shè)備或者網(wǎng)絡(luò)連接出現(xiàn)故障而導(dǎo)致無法上報數(shù)據(jù)時，控制中心仍然可以對已接收的數(shù)據(jù)進(jìn)行聚合統(tǒng)計，保障系統(tǒng)的穩(wěn)定運行.

(3)采用雙線性聚合簽名算法對上報的數(shù)據(jù)進(jìn)行簽名和驗證，保障了數(shù)據(jù)的完整性.

(4)通過理論分析和性能實驗分別證明所提方案的正確性和安全性，以及在計算開銷和通信開銷等方面的有效性.

圖1 系統(tǒng)模型Fig.1 System model

1 系統(tǒng)模型和實現(xiàn)目標(biāo)

本節(jié)給出了所提方案的系統(tǒng)模型、安全模型以及要實現(xiàn)的具體目標(biāo).

1.1 系統(tǒng)模型

本文方案的系統(tǒng)模型如圖1所示.系統(tǒng)模型主要包含3類對象：終端設(shè)備、聚合器和控制中心，其中，終端設(shè)備根據(jù)應(yīng)用場景的不同分為車載終端設(shè)備、家庭終端設(shè)備和工業(yè)終端設(shè)備.終端設(shè)備與聚合器之間可以通過移動蜂窩網(wǎng)絡(luò)(3G/4G/5G)、Wi-Fi等無線通信技術(shù)進(jìn)行通信，而聚合器與控制中心之間通過安全的通信鏈路進(jìn)行通信.

終端設(shè)備(terminal device，TD)：具有一定的感知、存儲和通信能力；通常按照任務(wù)要求部署在某片區(qū)域中，每個固定周期感知并加密數(shù)據(jù)，然后將其提交給聚合器.

聚合器(aggregator，Agg)：能夠?qū)崟r收集來自終端設(shè)備的密文信息和數(shù)字簽名，在對數(shù)字簽名驗證通過之后，對密文進(jìn)行聚合，最后將聚合結(jié)果發(fā)送給控制中心.

控制中心(control center，CC)：對收到的聚合數(shù)據(jù)進(jìn)行解密，并將數(shù)據(jù)用于統(tǒng)計和分析，以便做出合理的控制和決策，為用戶提供更準(zhǔn)確、更智能的服務(wù).

1.2 安全模型

在本文中，采用的是“半誠實”安全模型，即假設(shè)所有的實體是“誠實且好奇的”，它們能夠遵循協(xié)議處理數(shù)據(jù)，不會篡改計算結(jié)果；然而，所有實體都對其他終端設(shè)備的隱私數(shù)據(jù)感到好奇，可能會竊聽通信信道，并試圖通過監(jiān)聽信息的方式來推斷其他終端設(shè)備的數(shù)據(jù).此外，在本文方案中，終端設(shè)備之間采用Diffie-Hellman密鑰交換算法建立共享密鑰.在本文中，將不考慮CC、Agg和TD合謀的情況，主要關(guān)注TDs與CC之間傳輸數(shù)據(jù)的隱私性和機(jī)密性.

1.3 實現(xiàn)目標(biāo)

為了保護(hù)數(shù)據(jù)聚合應(yīng)用中終端設(shè)備感知數(shù)據(jù)的隱私，本文需要設(shè)計一個保護(hù)隱私的數(shù)據(jù)聚合方案，具體目標(biāo)如下.

(1)數(shù)據(jù)隱私性.在整個數(shù)據(jù)收集過程中，終端設(shè)備的真實數(shù)據(jù)不會泄露給其他實體對象，CC只能得到所有終端設(shè)備數(shù)據(jù)的聚合結(jié)果，而無法獲得某一終端設(shè)備的具體數(shù)據(jù).

(2)無可信權(quán)威中心.大部分?jǐn)?shù)據(jù)聚合方案過度依賴于可信權(quán)威中心，然而在現(xiàn)實中，很難找到讓所有系統(tǒng)用戶都信任的第三方權(quán)威中心.因此，本文提出的方案以無可信權(quán)威中心作為前提條件.

(3)容錯性.由于IoT終端設(shè)備種類多數(shù)量大，某些終端設(shè)備在運行過程中可能會發(fā)生故障，抑或是網(wǎng)絡(luò)連接出現(xiàn)問題，使CC無法接收到這些終端設(shè)備的感知數(shù)據(jù)，導(dǎo)致方案在數(shù)據(jù)聚合過程中無法得到正確的結(jié)果.因而，本文提出的方案需要在出現(xiàn)上述錯誤的情況下，仍然能夠?qū)σ咽盏降慕K端設(shè)備數(shù)據(jù)進(jìn)行聚合統(tǒng)計處理.

(4)數(shù)據(jù)完整性.在數(shù)據(jù)傳輸過程中，特別是在無線網(wǎng)絡(luò)環(huán)境下，數(shù)據(jù)很有可能會被攻擊者篡改.因此，本文提出的方案需要對接收到的數(shù)據(jù)進(jìn)行驗證，以保證數(shù)據(jù)的完整性.

(5)高效性.在整個數(shù)據(jù)收集過程中，需要傳輸和處理大量的終端設(shè)備數(shù)據(jù)，因此，方案需要盡量減少通信開銷，提高計算效率，使方案更具有實用性.

2 預(yù)備知識

本節(jié)給出了與本文方案相關(guān)的一些數(shù)學(xué)預(yù)備知識.

2.1 雙線性對

設(shè)G1,G2分別是q階的加法循環(huán)群和乘法循環(huán)群.如果稱G1,G2滿足雙線性映射：e:GI×GI→G2，那么需要滿足以下3個性質(zhì).

(2)非退化性(nondegeneracy).?g1∈G1和?g1∈G1，使得e(g1,g2)≠1.

(3)可計算性(computable).?g1∈G1,?g2∈G2，都能進(jìn)行計算e(g1,g2).

2.2 模N2的相關(guān)性質(zhì)

給定兩個大質(zhì)數(shù)p和q，計算N=pq和λ=lcm(p-1,q-1).

(1)

進(jìn)而得到

(2)

根據(jù)數(shù)學(xué)歸納法可以得到如下性質(zhì)：

(1+N·x)λ≡(1+N·λx)modN2.

(3)

(2)給定任意一個正整數(shù)x，根據(jù)Carmichael定理，有如下性質(zhì)：

xNλ≡1 modN2.

(4)

3 方案設(shè)計

本節(jié)將對提出的方案進(jìn)行詳細(xì)描述.方案主要包括系統(tǒng)初始化、數(shù)據(jù)收集、數(shù)據(jù)聚合和數(shù)據(jù)解密等4個階段，以及容錯處理過程.表1列出了本文用到的主要符號及其含義.

表1 主要符號及含義Tab.1 List of main notations

3.1 初始化階段

首先，由CC選取兩個大質(zhì)數(shù)p和q,并計算N=pq和λ=lcm(p-1,q-1)；定義G1為q階加法循環(huán)群，GT為q階乘法循環(huán)群，g為G1的1個生成元；CC選擇1個安全的哈希函數(shù)H:{0,1}*→G1和一個雙線性映射e:G1×G1→GT.隨后，CC發(fā)布系統(tǒng)參數(shù)(N,g,G1,GT,H,e)，λ作為容錯密鑰由CC保存.CC和Agg將作為2個特殊的終端設(shè)備進(jìn)行初始化.換而言之，此時的終端設(shè)備共有n+2個，記Agg為TDn+1，CC為TDn+2.

然后，終端設(shè)備之間利用Diffie-Hellman密鑰交換算法計算共享密鑰集合，具體步驟如下：

步驟1 所有終端設(shè)備{TDi}i=1,2,…,n+2從Zp中選取2×(n+1)個隨機(jī)數(shù)作為密鑰，這些密鑰將會被分成2個集合，第1個私鑰集合為{ri,j}j=1,2,…,n+2,j≠i，第2個私鑰集合為{ti,j}j=1,2,…,n+2,j≠i.

步驟2 首先，TDi利用第1個私鑰集合中的ri,j計算公鑰di,j=gri,jmodN(j≠i).然后，TDi將di,j發(fā)送給TDj.TDj收到公鑰di,j之后，根據(jù)第2個私鑰集合中的tj,i計算共享密鑰bi,j=(di,j)tj,imodN=gri,jtj,imodN.隨后，TDj向TDi發(fā)送公鑰uj,i=gtj,imodN，TDi通過計算(uj,i)ri,jmodN得到bi,j.此時，TDi和TDj得到共享密鑰bi,j=gri,jtj,imodN.

步驟3 TDi的第1個私鑰集合{ri,j}i=1，2，…,n+2,i≠j中每一個私鑰ri,j都執(zhí)行步驟2.TDi獲得與其它(n+1)個終端設(shè)備{TDj}j=1,2,…,n+2,j≠i的共享密鑰，這些共享密鑰構(gòu)成1個集合Φi={bi,v}v=1,2,…,n+2,v≠i，其中bi,v=gri,vtv,imodN.

圖2 密鑰交換過程Fig.2 Key exchange process

步驟4 終端設(shè)備TDi利用第2個私鑰集合{ti,j}j=1,2,…,n+2,j≠i中的ti,j計算公鑰wi,j=gti,jmodN(j≠i).然后，TDi向TDj發(fā)送公鑰wi,j，TDj收到來自TDi的公鑰wi,j之后，利用TDj第1個私鑰集合中的rj,i計算和TDi的共享密鑰bj,i=grj,iti,jmodN.隨后，TDj向TDi發(fā)送公鑰hj,i=grj,imodN(j≠i)，TDi通過計算(hj,i)ri,jmodN得到bj,i.此時，TDi和TDj得到共享密鑰bj,i=gri,jtj,imodN.

步驟5 TDi的第2個私鑰集合{ti,j}j=1,2,…,n+2,j≠i中每一個私鑰ti,j都執(zhí)行步驟4.TDi可以獲得與其它(n+1)個終端設(shè)備{TDj}j=1,2,…,n+2,j≠i的共享密鑰，這些共享密鑰組成集合θi={bl,i}l=1,2,…,n+2,l≠i，其中bl,i=grl,iti,lmodN.

所有終端設(shè)備{TDi}i=1,2,…,n+2執(zhí)行上述步驟后都會擁有2個共享密鑰集合Φi和θi.TDn+1擁有2個共享密鑰集合Φn+1和θn+1，記為Φagg和θagg，TDn+2也會擁有2個共享密鑰集合Φn+2和θn+2，記為ΦCC和θCC.圖2顯示了n= 2的密鑰交換過程.

最后，TDi利用共享密鑰集合θi和Φi，構(gòu)建加密密鑰Pi，構(gòu)建方式如公式(5)表示.

(5)

將Pn+1記為Pagg，Pn+2記為PCC.Pagg和PCC作為密鑰分別由Agg和CC保存.此外，TDi和Agg通過雙線性聚合簽名算法產(chǎn)生相應(yīng)的簽名私鑰xi和xagg.

3.2 數(shù)據(jù)收集階段

在此階段，TDi在周期t收集數(shù)據(jù)mi，TDi對mi進(jìn)行加密，具體的過程如下.

首先，TDi利用加密密鑰Pi，根據(jù)公式產(chǎn)生密文ci：

ci=(1+mi·N)·PimodN2.

(6)

然后，TDi使用簽名私鑰xi，計算驗證公鑰pki=gxi，并對密文ci簽名：

σi=H(ci||t)xi.

(7)

最后，TDi將Ci=發(fā)送給Agg.

3.3 數(shù)據(jù)聚合階段

Agg在收到TDi的數(shù)據(jù)Ci之后，對加密數(shù)據(jù)進(jìn)行聚合，具體的聚合過程如下.

首先，Agg收到來自n個終端設(shè)備發(fā)送的數(shù)據(jù){Ci}i=1,2,…,n，Agg根據(jù)如下的公式去驗證數(shù)字簽名.

(8)

如果公式(8)成立，則表示數(shù)字簽名驗證通過，完整性得到保證.

然后，Agg在不解密密文的情況下對密文進(jìn)行聚合，獲得聚合結(jié)果Cagg：

(9)

為了保證聚合結(jié)果的完整性，Agg使用簽名私鑰xagg，計算驗證公鑰pkagg=gxagg，并對聚合結(jié)果Cagg簽名：

σagg=H(Cagg||t)xagg.

(10)

最后，Agg將Ca=發(fā)送給CC.

3.4 數(shù)據(jù)解密階段

CC收到Agg發(fā)送的聚合結(jié)果Ca，執(zhí)行如下操作來解密密文.

首先，CC驗證簽名σagg是否通過，即CC計算如下公式：

(11)

如果公式成立則表示驗證通過，隨后CC使用密鑰PCC，根據(jù)公式(12)計算得到Cs：

(12)

(13)

然后，根據(jù)公式(14)，CC獲得所有終端設(shè)備的和數(shù)據(jù)：

(14)

3.5 容錯處理

假設(shè)終端設(shè)備TDu在運行過程中發(fā)生故障，或是網(wǎng)絡(luò)連接出現(xiàn)問題，CC無法接收到TDu的感知數(shù)據(jù)，即Cagg不包含TDu的數(shù)據(jù).此時，CC收到的密文為：

(15)

(16)

(17)

上述部分公式的推導(dǎo)過程會在后續(xù)的正確性證明部分給出.

4 正確性證明與安全性分析

4.1 正確性證明

本文方案的正確性取決于CC能否正確得到可用的統(tǒng)計結(jié)果，所以給出公式(12)和公式(16)的正確性證明.

公式(12)證明.根據(jù)數(shù)據(jù)解密階段的描述，對公式(12)有如下分析：

根據(jù)如下公式：

(18)

(19)

公式(16)的正確性證明如下：

(20)

其中

(21)

對公式(20)進(jìn)行化簡，由此可得：

(22)

4.2 安全性分析

(1)隱私性

其次，TDi在構(gòu)建Pi的過程中，TDi采用Diffie-Hellman密鑰交換算法與其它終端設(shè)備建立共享密鑰，而根據(jù)CDH假設(shè)，(gri,j,gtj,i,gri,jtj,i)是計算上不可區(qū)分的；除此之外，基于本文假設(shè)的模型，每一個終端設(shè)備都需要與其它終端設(shè)備交互以產(chǎn)生加密密鑰，即使有部分終端設(shè)備之間進(jìn)行了合謀，試圖獲取特定設(shè)備的數(shù)據(jù)，然而在本方案中，合謀設(shè)備無法得到其它設(shè)備的共享密鑰.因此，本文方案能夠抵抗合謀攻擊.綜上所述，本文所提出的方案能夠保護(hù)終端設(shè)備的隱私.

(2)完整性

5 性能分析

在本節(jié)中，將針對所提方案進(jìn)行性能分析，主要包括通信開銷分析和計算開銷分析.

5.1 實驗環(huán)境設(shè)置

實驗在CPU為Intel Core i5-4590，內(nèi)存為16GB，安裝有64位Windows10操作系統(tǒng)的臺式機(jī)中進(jìn)行.IDE環(huán)境為Intellij Idea2020，并使用Java中的JPBC函數(shù)庫構(gòu)造加密函數(shù).大質(zhì)數(shù)N的長度為1 024 bits，N2的字節(jié)長度為2 048 bits，G1中元素的長度為512 bits，時間戳的長度為64 bits.為了直觀的分析本文方案的性能，本文方案將與兩個具有代表性的方案[9,12]進(jìn)行對比，其中文獻(xiàn)[9]的方案基于Paillier加密系統(tǒng)，而文獻(xiàn)[12]的方案基于ElGamal加密系統(tǒng).在計算開銷的實驗對比中，設(shè)定終端設(shè)備數(shù)量從10逐步增加到100，并通過對比運行時間來衡量計算開銷.為了減少對比誤差，實驗取值均為1 000次實驗結(jié)果的平均值.為了方便說明，把在群G1上的一次點乘運算，雙線性對運算，指數(shù)運算，ElGamal加密運算，ElGamal解密運算，Paillier加密運算和Paillier解密運算分別表示成Tm，Tp，Te，Teenc，Tedec，Tpenc和Tpdec.至于ECC上的加法運算和ZN上的乘法運算相比之下可忽略不計.這7種運算在實驗環(huán)境下耗費的時間如表2所示.

表2 主要運算的運行時間Tab.2 Running time of the main operations

5.2 計算開銷

圖3展現(xiàn)了在數(shù)據(jù)收集階段，終端設(shè)備的計算開銷對比情況.在文獻(xiàn)[12]方案中，智能電表SM對數(shù)據(jù)加密需要執(zhí)行1次ElGamal加密運算、兩次指數(shù)運算和ω次乘法運算，計算開銷為Teenc+ωTm+2Te，其中ω為電量數(shù)據(jù)的維數(shù)，在本文中設(shè)置為一維，即ω為1；在文獻(xiàn)[9]方案中，SM對數(shù)據(jù)加密需要執(zhí)行兩次指數(shù)運算、一次乘法運算和一次雙線性運算，計算開銷為2Te+Tm+Tp；而在本文方案中，終端設(shè)備對數(shù)據(jù)加密僅需要兩次乘法運算和兩次指數(shù)運算，計算開銷為2Tm+2Te.從圖3可以看出，本文方案在TD端的計算開銷相較于其它2個方案具有明顯的優(yōu)勢.

圖3 數(shù)據(jù)收集階段計算開銷的對比Fig.3 Comparison of computational overhead in the data collection phase

圖4給出了3種方案在數(shù)據(jù)聚合階段產(chǎn)生計算開銷的對比情況.在文獻(xiàn)[12]的方案中，網(wǎng)關(guān)GW在數(shù)據(jù)聚合階段產(chǎn)生的計算開銷為(n+1)TP+4(n-1)Tm+Te；文獻(xiàn)[9]方案中，GW在數(shù)據(jù)聚合階段的計算開銷為(n-1)Tm+(2n+1)Tp；而在本文方案中，Agg在數(shù)據(jù)聚合階段產(chǎn)生的計算開銷僅為(n+1)Tm+nTp.從圖4可以看出，本文方案和文獻(xiàn)[12]的方案相比于文獻(xiàn)[9]的方案，產(chǎn)生較低的計算開銷，而本文方案產(chǎn)生的計算開銷也略低于文獻(xiàn)[12]的方案，可見本文方案在數(shù)據(jù)聚合階段具有較好的計算性能.

圖5給出了3種方案數(shù)字簽名驗證效率的對比情況.本文方案和文獻(xiàn)[12]方案對數(shù)據(jù)簽名的聚合驗證都需要執(zhí)行(n+1)次雙線性運算和2(n-1)次乘法運算，計算開銷為(n+1)TP+2(n-1)Tm；在文獻(xiàn)[9]方案中，GW對數(shù)字簽名的聚合驗證需要執(zhí)行2n次雙線性運算，計算開銷為2nTP.從圖5可以明顯看出，本文方案和文獻(xiàn)[12]方案的數(shù)字簽名聚合驗證計算開銷相近，并低于文獻(xiàn)[9]方案.

5.3 通信開銷

表3 數(shù)據(jù)收集階段通信開銷對比Tab.3 Comparison of communication overhead during the data collection phase

圖4 數(shù)據(jù)聚合階段計算開銷的對比Fig.4 Comparison of computational overhead in the data aggregation phase

圖5 簽名聚合驗證的計算開銷對比Fig.5 Comparison of computational overhead in the aggregated signature verification

6 總結(jié)

本文提出了一種無可信權(quán)威中心保護(hù)隱私的數(shù)據(jù)聚合方案，用于保護(hù)物聯(lián)網(wǎng)環(huán)境下終端設(shè)備上報的感知數(shù)據(jù).方案基于密鑰交換算法構(gòu)建加密參數(shù)，保護(hù)數(shù)據(jù)的隱私性；又針對開放的網(wǎng)絡(luò)環(huán)境，設(shè)計了一個輕量級的容錯機(jī)制，保障系統(tǒng)運行的穩(wěn)定性；此外，批量驗證方式保證了數(shù)據(jù)的完整性.在未來工作中，將重點關(guān)注于設(shè)計更有效和安全的數(shù)據(jù)聚合方案，并支持不同終端設(shè)備復(fù)雜多樣的數(shù)據(jù)類型.