路紅，廖龍龍

LU Hong1，LIAO Longlong2

1.南京理工大學(xué)紫金學(xué)院計(jì)算機(jī)系，南京210046

2.南京體育學(xué)院信息科學(xué)與技術(shù)教研室，南京210014

1.Department of Computer,Zijin College,Nanjing University of Science＆Technology,Nanjing 210046,China

2.Laboratory of Information Technology,Nanjing Sport Institute,Nanjing 210014,China

1 引言

基于物聯(lián)網(wǎng)的LBS系統(tǒng)通過物理空間和信息空間的感知互動(dòng)，靈活高效地采集和傳輸各類情景感知數(shù)據(jù)，并通過通信網(wǎng)絡(luò)將所收集到的感知數(shù)據(jù)傳輸?shù)椒?wù)器端進(jìn)行智能化處理，從而為用戶提供可定制的個(gè)性化實(shí)時(shí)位置感知服務(wù)。一方面，由于無線傳感網(wǎng)絡(luò)、移動(dòng)通信網(wǎng)絡(luò)、移動(dòng)終端設(shè)備、RFID標(biāo)簽等技術(shù)和設(shè)備自身存在安全漏洞，感知數(shù)據(jù)在采集和網(wǎng)絡(luò)傳輸過程中面臨被非法監(jiān)聽、干擾、竊取和篡改等安全威脅；另一方面，感知數(shù)據(jù)在服務(wù)器端存儲和智能化處理過程中，由于大多數(shù)LBS系統(tǒng)只能對解密之后的明文數(shù)據(jù)進(jìn)行挖掘和分析，使得攻擊者和不法LBS服務(wù)提供商有機(jī)會(huì)獲取、出售和利用服務(wù)器端的隱私數(shù)據(jù)。物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)的情景感知數(shù)據(jù)不僅包含用戶身份、銀行賬號、當(dāng)前位置、活動(dòng)軌跡、行為方式、生活習(xí)慣等個(gè)人隱私信息，而且可能涉及企業(yè)的營銷計(jì)劃、產(chǎn)品信息、客戶資料等商業(yè)機(jī)密。與以往基于互聯(lián)網(wǎng)的LBS系統(tǒng)相比，物聯(lián)網(wǎng)空間內(nèi)的LBS系統(tǒng)面臨更嚴(yán)峻的隱私安全問題。如果無法保障物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)的隱私安全，LBS服務(wù)在個(gè)人應(yīng)用領(lǐng)域的普及和商業(yè)領(lǐng)域的大規(guī)模推廣都會(huì)受到嚴(yán)重的影響，甚至帶來災(zāi)難性的損失和后果。

文獻(xiàn)[1]提出了一種基于角色訪問控制機(jī)制實(shí)現(xiàn)的企業(yè)級RFID系統(tǒng)隱私安全模型，通過RFID標(biāo)簽信息的分塊存儲和加密認(rèn)證防止RFID標(biāo)簽的惡意掃描和跟蹤。文獻(xiàn)[2]提出在物聯(lián)網(wǎng)中應(yīng)用同態(tài)加密的基本方法以及基于同態(tài)加密的數(shù)據(jù)處理流程，并分析了物聯(lián)網(wǎng)應(yīng)用服務(wù)商如何在不涉及用戶隱私的前提下直接對加密的隱私數(shù)據(jù)進(jìn)行分析和處理。文獻(xiàn)[3]提出利用安全多方計(jì)算[4]保護(hù)物聯(lián)網(wǎng)環(huán)境下的隱私安全。文獻(xiàn)[5]提出了一種安全、高效的模糊關(guān)鍵字查詢方案，不僅可實(shí)現(xiàn)加密云數(shù)據(jù)的模糊關(guān)鍵字查詢，而且可保證查詢關(guān)鍵字的機(jī)密性。文獻(xiàn)[6]針對云數(shù)據(jù)存儲的隱私安全問題，提出了一種支持云數(shù)據(jù)存儲過程中密文檢索和隱私保護(hù)的加密方法。文獻(xiàn)[7]提出了一種可實(shí)現(xiàn)云端數(shù)據(jù)隱私保護(hù)和銷毀控制的Dissolver系統(tǒng)，數(shù)據(jù)以密文形式存儲在云端服務(wù)器上，使隱私數(shù)據(jù)在其整個(gè)生命周內(nèi)都不會(huì)以明文形式被攻擊和外泄。文獻(xiàn)[8]基于假名隱藏理論提出利用假名替換用戶真實(shí)身份方法保護(hù)用戶隱私。文獻(xiàn)[9]等提出了一種保護(hù)LBS位置隱私的群代理轉(zhuǎn)發(fā)模型，其基本思想是切斷位置服務(wù)請求命令和用戶身份信息之間的關(guān)聯(lián)性。文獻(xiàn)[10]提出了一種利用相互鄰近的多個(gè)用戶位置信息構(gòu)建一個(gè)混合區(qū)域，用戶在進(jìn)入和離開該混合區(qū)域時(shí)采用不同的身份標(biāo)識碼，通過消除用戶在混合區(qū)域內(nèi)外的位置信息與其真實(shí)身份的相關(guān)性，避免用戶的真實(shí)位置和活動(dòng)軌跡被泄漏和跟蹤。文獻(xiàn)[11]提出對用戶位置查詢請求內(nèi)容采用改進(jìn)的K-匿名算法進(jìn)行隱私保護(hù)。

已有的相關(guān)研究分別針對RFID隱私、物聯(lián)網(wǎng)隱私、位置隱私、軌跡隱私、查詢隱私、云計(jì)算隱私等問題進(jìn)行了探討，但并沒有基于物聯(lián)網(wǎng)技術(shù)支持下的LBS服務(wù)框架深入研究其面臨的隱私安全威脅，并有針對性地提出一種物聯(lián)網(wǎng)空間內(nèi)的LBS隱私安全保護(hù)方法。本文在研究物聯(lián)網(wǎng)支持下的LBS服務(wù)框架基礎(chǔ)上，分析其所面臨的各種隱私安全問題及其安全需求，并設(shè)計(jì)了一種物聯(lián)網(wǎng)空間內(nèi)的LBS隱私安全模型。

2 物聯(lián)網(wǎng)環(huán)境中LBS隱私安全需求

2.1 基于物聯(lián)網(wǎng)的LBS服務(wù)框架

結(jié)合物聯(lián)網(wǎng)信息感知與交互的特點(diǎn)以及位置感知服務(wù)的要求，提出一種由感知層、網(wǎng)絡(luò)層、支撐層和應(yīng)用層構(gòu)成的LBS服務(wù)框架，如圖1所示。

2.1.1 感知層

感知層主要通過各類終端感知設(shè)備獲取物體靜態(tài)信息實(shí)現(xiàn)物理空間內(nèi)實(shí)體對象的編碼和識別。同時(shí)，感知層通過采集應(yīng)用場景相關(guān)的動(dòng)態(tài)時(shí)空信息，將傳統(tǒng)通信網(wǎng)絡(luò)擴(kuò)展到人與物理空間內(nèi)的各種實(shí)體對象之間以及物與物之間的主動(dòng)信息交互，這是物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)區(qū)別于傳統(tǒng)互聯(lián)網(wǎng)環(huán)境下LBS服務(wù)的基礎(chǔ)。感知層主要實(shí)現(xiàn)主動(dòng)式位置信息獲取、場景信息感知、位置相關(guān)動(dòng)態(tài)時(shí)空信息感知等，并將所采集到的感知信息和位置數(shù)據(jù)通過短距離通訊技術(shù)上傳到網(wǎng)絡(luò)層。

2.1.2 網(wǎng)絡(luò)層

網(wǎng)絡(luò)層主要完成感知信息、位置信息、服務(wù)請求與響應(yīng)結(jié)果等數(shù)據(jù)的快速、安全、可靠傳輸與交換。一方面，將來自感知層的感知數(shù)據(jù)和位置信息傳輸?shù)街螌?，以進(jìn)行數(shù)據(jù)共享與處理；另一方面，將用戶從應(yīng)用層提交的位置信息和位置服務(wù)請求傳輸?shù)街螌?，并將支撐層的智能化信息處理結(jié)果返回到應(yīng)用層。

圖1 基于物聯(lián)網(wǎng)的LBS服務(wù)框架

2.1.3支撐層

支撐層以云計(jì)算平臺為基礎(chǔ)，采用云存儲技術(shù)實(shí)現(xiàn)位置感知數(shù)據(jù)、時(shí)空感知信息、實(shí)體對象信息、用戶信息、服務(wù)請求與服務(wù)內(nèi)容等海量數(shù)據(jù)的存儲與管理，利用云計(jì)算所提供的高性能計(jì)算能力以及數(shù)據(jù)挖掘、人工智能、智能推理、社會(huì)計(jì)算等技術(shù)為應(yīng)用層的用戶提供個(gè)性化位置服務(wù)，并實(shí)現(xiàn)對感知層物理實(shí)體對象的跟蹤、控制和監(jiān)測等。

2.1.4 應(yīng)用層

應(yīng)用層主要由提供定位服務(wù)的定位模塊、支持LBS應(yīng)用開發(fā)的中間件、各類LBS應(yīng)用服務(wù)三部分構(gòu)成。定位模塊獲取移動(dòng)設(shè)備或用戶的當(dāng)前位置信息后，通過與地圖數(shù)據(jù)庫中相關(guān)數(shù)據(jù)的快速檢索與實(shí)時(shí)匹配實(shí)現(xiàn)數(shù)字地圖繪制、路徑軌跡描述等。由于定位模塊所采用的定位設(shè)備和定位技術(shù)各異，其獲得的數(shù)據(jù)描述標(biāo)準(zhǔn)也千差萬別，需通過支持移動(dòng)定位協(xié)議MLP（Mobile Location Protocol）、開放位置服務(wù)OpenLS（OpenGIS Interface Standard）標(biāo)準(zhǔn)、OMA（Open Mobile Alliance）組織相關(guān)位置服務(wù)規(guī)范的中間件為LBS應(yīng)用開發(fā)者提供統(tǒng)一、規(guī)范的應(yīng)用開發(fā)接口，提高異構(gòu)感知數(shù)據(jù)的可用性，降低LBS服務(wù)系統(tǒng)開發(fā)和維護(hù)成本。

物聯(lián)網(wǎng)空間內(nèi)的LBS服務(wù)可分為被動(dòng)模式和主動(dòng)模式兩大類。被動(dòng)式LBS服務(wù)是指用戶向LBS服務(wù)端發(fā)送位置信息和包含服務(wù)需求的位置服務(wù)請求命令，LBS服務(wù)端根據(jù)對用戶請求的智能化信息處理結(jié)果為用戶提供基于位置的導(dǎo)航、位置游戲、位置社交、對象監(jiān)控、位置營銷等應(yīng)答式交互服務(wù)，是互聯(lián)網(wǎng)環(huán)境下傳統(tǒng)LBS服務(wù)的主要模式。主動(dòng)式LBS服務(wù)是指用戶或?qū)嶓w對象無需向LBS服務(wù)端發(fā)送位置服務(wù)請求，而是LBS系統(tǒng)利用傳感器、定位設(shè)備、RFID標(biāo)簽等實(shí)時(shí)獲取服務(wù)對象的當(dāng)前位置或活動(dòng)軌跡，然后利用云計(jì)算中心存儲的相關(guān)信息自動(dòng)向其提供位置相關(guān)服務(wù)或自動(dòng)實(shí)現(xiàn)對目標(biāo)對象的跟蹤、監(jiān)控等，是區(qū)別于互聯(lián)網(wǎng)環(huán)境下LBS服務(wù)的重要標(biāo)志。

LBS服務(wù)框架中各層之間傳輸與交互的數(shù)據(jù)往往包含用戶的真實(shí)身份、財(cái)產(chǎn)賬戶、興趣愛好、活動(dòng)軌跡等個(gè)人隱私，以及企業(yè)營銷計(jì)劃、新產(chǎn)品開發(fā)規(guī)劃、保密物品信息等商業(yè)隱私。

2.2 隱私安全威脅

依據(jù)物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)框架的層次模型，其面臨的隱私安全威脅主要表現(xiàn)在以下幾個(gè)方面。

2.2.1 感知層面臨的隱私安全威脅

一方面，包含實(shí)體對象編碼和屬性信息的RFID標(biāo)簽、二維碼、SIM卡、無線網(wǎng)卡等可能被攻擊者利用非授權(quán)閱讀器和掃描器通過非法掃描獲取其中的敏感信息，傳感器節(jié)點(diǎn)、標(biāo)簽閱讀器等采集到的感知數(shù)據(jù)、位置數(shù)據(jù)等在近距離無線傳輸?shù)倪^程中可能被竊聽、干擾、篡改等，使得傳輸?shù)骄W(wǎng)絡(luò)層的感知信息不準(zhǔn)確、被外泄或惡意跟蹤等。另一方面，由于物聯(lián)網(wǎng)中的許多感知設(shè)備和終端設(shè)備由于缺少人的有效監(jiān)控，存在丟失、被非法移動(dòng)等的安全問題，攻擊者可利用這些合法的感知設(shè)備和移動(dòng)終端獲取相關(guān)實(shí)體對象的隱私信息。

2.2.2 網(wǎng)絡(luò)層面臨的隱私安全威脅

感知節(jié)點(diǎn)的頻繁加入和斷開需保證其是可信的，但現(xiàn)有的無線傳感網(wǎng)技術(shù)和自組網(wǎng)技術(shù)還無法完全防御惡意感知節(jié)點(diǎn)的干擾和攻擊行為。此外，由于通信網(wǎng)絡(luò)的異構(gòu)性、網(wǎng)絡(luò)系統(tǒng)的不安全性、網(wǎng)絡(luò)通信設(shè)備的物理安全問題等，在感知層、應(yīng)用層、支撐層之間進(jìn)行海量數(shù)據(jù)遠(yuǎn)距離傳輸與交換的過程中，敏感數(shù)據(jù)信息可能被竊聽、偽造、篡改、外泄等。

2.2.3 支撐層面臨的隱私安全威脅

當(dāng)感知層和應(yīng)用層的海量數(shù)據(jù)提交到支撐層之后，感知層的終端設(shè)備、應(yīng)用層的服務(wù)系統(tǒng)和用戶就失去了對這些數(shù)據(jù)的直接控制能力，云服務(wù)商可能丟失、泄漏、出售、非法利用存儲在云數(shù)據(jù)中心的隱私數(shù)據(jù)，如Google、MediaMax、Saleforce.com等云服務(wù)提供商近年來就發(fā)生了多次用戶隱私信息泄漏和丟失的問題。更嚴(yán)重的是，惡意攻擊者和云服務(wù)商在獲取相關(guān)隱私信息之后，利用云計(jì)算平臺所提供的智能化信息處理能力挖掘和推理新的個(gè)人隱私信息或組織機(jī)構(gòu)的機(jī)密文件、商業(yè)規(guī)劃、最新研究成果等隱私信息。此外，云計(jì)算平臺上許多利益相關(guān)的用戶都可能在其上存儲著自己的敏感數(shù)據(jù)，合法用戶隨意訪問、檢索、利用、獲取或出售云計(jì)算平臺上非授權(quán)數(shù)據(jù)，也可能造成利益沖突用戶的隱私安全問題。

2.2.4 應(yīng)用層面臨的隱私安全威脅

攻擊者可利用硬件設(shè)備和應(yīng)用系統(tǒng)的安全漏洞監(jiān)聽、竊取、偽造和篡改相關(guān)數(shù)據(jù)。同時(shí)，系統(tǒng)設(shè)置不當(dāng)、操作失誤等也可能造成LBS隱私外泄。此外，攻擊者利用病毒木馬、欺詐性網(wǎng)站或鏈接、網(wǎng)絡(luò)監(jiān)聽等方式獲取LBS相關(guān)的位置信息、服務(wù)內(nèi)容等，可能向用戶發(fā)送垃圾信息、非法廣告信息、欺詐性信息等，甚至非法跟蹤和監(jiān)視感知層的主體對象。

2.3 隱私安全目標(biāo)

物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全就是要保障真實(shí)身份、實(shí)體位置和服務(wù)內(nèi)容等隱私信息的機(jī)密性、完整性、真實(shí)性、可控性、可信性。

在圖2中，真實(shí)身份是指物聯(lián)網(wǎng)空間內(nèi)物理實(shí)體和人等可編碼識別的實(shí)體對象身份信息，不僅要防止攻擊者獲取RFID標(biāo)簽和二維碼等存儲的身份標(biāo)識信息，而且要拒絕非授權(quán)用戶訪問LBS系統(tǒng)的任何資源和服務(wù)。實(shí)體位置主要是指物體對象和真實(shí)用戶的當(dāng)前位置或活動(dòng)軌跡，需保障其在位置感知、定位服務(wù)及其網(wǎng)絡(luò)傳輸過程中不被竊聽、干擾和篡改。IPv6網(wǎng)絡(luò)地址的應(yīng)用使得終端設(shè)備的IP地址也成為實(shí)體對象和用戶身份信息及其位置信息的組成部分，終端設(shè)備和通信節(jié)點(diǎn)IP地址相關(guān)的隱私保護(hù)也成為LBS隱私安全保護(hù)的目標(biāo)之一。服務(wù)內(nèi)容包括實(shí)體對象屬性信息、時(shí)空信息、位置服務(wù)請求信息以及從支撐層返回的相關(guān)位置服務(wù)響應(yīng)信息等，一方面要保證這些服務(wù)內(nèi)容數(shù)據(jù)在網(wǎng)絡(luò)傳輸與交換的過程中不被惡意竊聽、篡改、丟失等，另一方面要保證LBS相關(guān)數(shù)據(jù)在云計(jì)算平臺上存儲、共享、檢索與處理的機(jī)密性和安全性，讓用戶在享受高質(zhì)量實(shí)時(shí)位置服務(wù)的同時(shí)，云服務(wù)提供商無法獲知或根據(jù)已知數(shù)據(jù)推導(dǎo)用戶的任何隱私信息。這是因?yàn)長BS三個(gè)方面的隱私存在一定的關(guān)聯(lián)性，一旦攻擊者獲取了某兩個(gè)方面的隱私信息就可以挖掘得到其他方面的隱私信息。

圖2 物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全目標(biāo)框架

3 物聯(lián)網(wǎng)空間內(nèi)LBS隱私保護(hù)模型的設(shè)計(jì)

3.1 設(shè)計(jì)思想

數(shù)據(jù)加密是信息安全保護(hù)的重要方法，但數(shù)據(jù)加密技術(shù)往往需要終端設(shè)備具有較強(qiáng)的信息處理能力和一定的存儲空間，且加密和解密過程需要較長的計(jì)算時(shí)間[12]，同時(shí)由于感知層設(shè)備處理性能、存儲空間、網(wǎng)絡(luò)通信、供電模式等方面的限制，基于物聯(lián)網(wǎng)的LBS系統(tǒng)并不適合在感知節(jié)點(diǎn)和移動(dòng)終端設(shè)備上采用復(fù)雜的數(shù)據(jù)加密算法對數(shù)據(jù)進(jìn)行加密處理。匿名通信是將網(wǎng)絡(luò)通信中信息接收方和信息發(fā)送方的網(wǎng)絡(luò)地址、通信關(guān)系、身份標(biāo)識等敏感信息進(jìn)行隱藏，使竊聽者無法直接獲取或推知通信雙方的位置信息、身份信息及其通信關(guān)系，實(shí)現(xiàn)信息發(fā)送方匿名、信息接收方匿名、實(shí)體間通信關(guān)系的匿名、位置匿名（無法辨識信息發(fā)送方和信息接收方的位置、移動(dòng)、路由和拓?fù)湫畔ⅲ┑龋瑥亩鴮?shí)現(xiàn)對隱私數(shù)據(jù)傳輸和涉密數(shù)據(jù)通信的安全保護(hù)[13]。因此，匿名通信技術(shù)適用于物聯(lián)網(wǎng)空間內(nèi)LBS系統(tǒng)感知數(shù)據(jù)和位置信息在短距離傳輸過程中的隱私保護(hù)以及其他各層之間數(shù)據(jù)在網(wǎng)絡(luò)傳輸和交換過程中的隱私保護(hù)。

目前，云數(shù)據(jù)的隱私安全保護(hù)目前主要采用數(shù)據(jù)混淆和可計(jì)算加密方法，在不獲知具體數(shù)據(jù)內(nèi)容的情況下對云數(shù)據(jù)直接進(jìn)行處理和分析，從而實(shí)現(xiàn)云端數(shù)據(jù)的隱私保護(hù)。有關(guān)密文數(shù)據(jù)計(jì)算的研究始于Rivest[14]等人在1978年提出的同態(tài)加密（Homomorphic Cryptograph）思想，文獻(xiàn)[15]利用“理想格（ideal lattice）”的數(shù)學(xué)對象設(shè)計(jì)了一種同時(shí)支持加法和乘法運(yùn)算的全同態(tài)加密（Fully Homomorphic Encryption）算法，具有良好的可行性和較高的運(yùn)算效率，支持任意次多項(xiàng)式同態(tài)的加密方案，使得同態(tài)加密技術(shù)可應(yīng)用在支持隱私保護(hù)的密文數(shù)據(jù)計(jì)算方面，且已被廣泛應(yīng)用在云計(jì)算[16]與網(wǎng)絡(luò)安全[17]等方面。同時(shí)，云計(jì)算平臺的海量數(shù)據(jù)存儲能力和高性能數(shù)據(jù)分析與處理能力為采用全同態(tài)加密技術(shù)保護(hù)物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全奠定了重要基礎(chǔ)。

因感知設(shè)備、RFID標(biāo)簽、移動(dòng)終端設(shè)備、網(wǎng)絡(luò)通信設(shè)備等硬件丟失、非法移動(dòng)、人為損壞，以及LBS應(yīng)用系統(tǒng)及其相關(guān)網(wǎng)絡(luò)通信系統(tǒng)管理和使用不規(guī)范等非技術(shù)因素造成的隱私安全問題涉及隱私安全管理制度、法律法規(guī)等，本研究對此不作深入討論。

3.2 模型架構(gòu)

如圖3所示，物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全模型反映了位置服務(wù)請求發(fā)送方、位置服務(wù)接收方和位置服務(wù)提供者三者之間的交互過程，具體流程如下：

（1）服務(wù)接收方的終端實(shí)體對象利用同態(tài)加密機(jī)制中的密鑰生成算法生成用于服務(wù)請求明文數(shù)據(jù)加密的公鑰PK和服務(wù)響應(yīng)結(jié)果數(shù)據(jù)解密的私鑰SK。

（2）服務(wù)發(fā)送方主要是指發(fā)送位置服務(wù)請求的用戶、感知節(jié)點(diǎn)、移動(dòng)終端等，其發(fā)送的服務(wù)請求信息包括身份標(biāo)識、當(dāng)前位置和服務(wù)內(nèi)容等明文數(shù)據(jù)U。服務(wù)發(fā)送方利用服務(wù)接收方所擁有的公鑰PK對要發(fā)送的服務(wù)請求明文U進(jìn)行全同態(tài)加密，得到相應(yīng)的服務(wù)請求密文U′[18]。在互聯(lián)網(wǎng)環(huán)境下，LBS服務(wù)請求的發(fā)送方和LBS服務(wù)接收方大多數(shù)是同一個(gè)終端實(shí)體對象，但物聯(lián)網(wǎng)空間內(nèi)各種智能感知設(shè)備的應(yīng)用使得各類感知節(jié)點(diǎn)設(shè)備也稱為服務(wù)發(fā)送方的重要構(gòu)成部分，如當(dāng)移動(dòng)用戶進(jìn)入某商場LBS服務(wù)系統(tǒng)覆蓋范圍后，個(gè)性化信息推薦服務(wù)器根據(jù)感知節(jié)點(diǎn)采集的用戶位置信息主動(dòng)向該用戶推送購物優(yōu)惠信息和商品推介廣告，這時(shí)的服務(wù)發(fā)送方就包括感知節(jié)點(diǎn)和移動(dòng)用戶所使用的移動(dòng)終端設(shè)備。與此同時(shí)，感知節(jié)點(diǎn)在獲取服務(wù)接收方位置和真實(shí)身份之前，需要通過服務(wù)接收方的身份認(rèn)證和訪問授權(quán)，只有獲得服務(wù)接收方認(rèn)證和授權(quán)的感知節(jié)點(diǎn)才可以主動(dòng)采集經(jīng)公鑰PK同態(tài)加密之后的相關(guān)服務(wù)需求信息，保證只有服務(wù)接收方信任的感知節(jié)點(diǎn)才可以獲取其相關(guān)信息，從而確保感知數(shù)據(jù)采集的安全性和可控性。

（3）采用匿名通信技術(shù)將來自發(fā)送方的服務(wù)請求密文U′傳輸給位置服務(wù)提供者，即支撐層的云計(jì)算平臺。

（4）云計(jì)算平臺直接對所接收到的服務(wù)請求密文U′進(jìn)行智能推理、數(shù)據(jù)挖掘、模糊檢索等，得到密文形式的服務(wù)響應(yīng)結(jié)果R，并將服務(wù)響應(yīng)結(jié)果密文R采用匿名通信方式返回到服務(wù)接收方。

（5）服務(wù)接收方接收到服務(wù)響應(yīng)結(jié)果密文R′之后，利用服務(wù)發(fā)送方的私鑰SK對其進(jìn)行同態(tài)解密，得到預(yù)期的服務(wù)響應(yīng)結(jié)果明文R。

圖3 物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全模型

4 模型的算法實(shí)現(xiàn)與分析

4.1 全同態(tài)加密算法

設(shè)明文數(shù)據(jù)為M={m1，m2，…，mt}，mi∈{0，1}，t∈Z，F(xiàn)為算術(shù)運(yùn)算、模糊匹配、智能推理等密文計(jì)算方法，全同態(tài)加密方案的密鑰生成算法KeyGenE、加密算法EncryptE、解密算法Decrypt和密文計(jì)算算法Cal分別如下[19]：

（1）密鑰生成算法KeyGenE

首先，選擇兩個(gè)保密的互異大素?cái)?shù)p和q，并計(jì)算n=p×q的數(shù)值；然后，選取適當(dāng)大小的安全參數(shù)e，使其與n的最大公約數(shù)為1，即gcd(e，n)=1，則私鑰SK為p，公鑰PK為集合{q，e}。

（2）全同態(tài)加密算法EncryptE

利用公鑰PK對于明文mi(1≤i≤t)進(jìn)行如下加密變換：

即可得到全同態(tài)加密后的密文m′。

（3）全同態(tài)解密算法Decrypt

利用私鑰SK對密文m′進(jìn)行如下解密變換：

即可恢復(fù)得到明文m′。

（4）密文計(jì)算算法Cal

對于云計(jì)算平臺上所進(jìn)行的任何一種密文計(jì)算F來說，都滿足以下關(guān)系：

即對任何一個(gè)全同態(tài)加密數(shù)據(jù)M′的F運(yùn)算與對其相應(yīng)明文M的F運(yùn)算結(jié)果完全一致。

4.2 匿名通信算法

自Chaum[20]于1981年提出基于MIX節(jié)點(diǎn)的匿名通信算法之后，國內(nèi)外開展了許多有關(guān)匿名通信算法及其系統(tǒng)實(shí)現(xiàn)的研究，主要提出了假名替換、MIX算法、Onion Routing算法[21]、泛洪算法[22]等匿名通信算法。MIX算法主要應(yīng)用在延遲不敏感匿名通信系統(tǒng)中；Onion Routing算法注重?cái)?shù)據(jù)通信的實(shí)時(shí)性和匿名系統(tǒng)的有效性、簡單性和實(shí)用性，如提供實(shí)時(shí)匿名連接服務(wù)的公共匿名通信系統(tǒng)Tor[23]；基于泛洪算法的匿名通信系統(tǒng)目前處于實(shí)驗(yàn)研究階段，暫無成熟的匿名通信系統(tǒng)案例。因此，本研究采用基于Onion Routing算法的實(shí)時(shí)雙向匿名通信技術(shù)實(shí)現(xiàn)物聯(lián)網(wǎng)空間內(nèi)LBS系統(tǒng)感知數(shù)據(jù)和位置信息在短距離傳輸過程中的匿名通信以及其他各層之間數(shù)據(jù)在網(wǎng)絡(luò)傳輸和交換中的匿名通信。

Onion Routing是一種基于通道的匿名通信算法，第一個(gè)數(shù)據(jù)包創(chuàng)建一條匿名通信鏈路，隨后的數(shù)據(jù)包都沿著這條已創(chuàng)建的數(shù)據(jù)通信鏈路進(jìn)行傳輸，直到最后一個(gè)數(shù)據(jù)包傳輸結(jié)束時(shí)關(guān)閉該通信鏈路。因此，物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)相關(guān)數(shù)據(jù)的匿名通信過程主要涉及匿名通信鏈路創(chuàng)建、數(shù)據(jù)包生成和消息轉(zhuǎn)發(fā)三個(gè)方面，發(fā)送者Alice（A）沿匿名通信節(jié)點(diǎn)C、D、E發(fā)送消息Msg給接收者Bob（B）的匿名通信過程如圖4所示[24]。

圖4 數(shù)據(jù)匿名通信的基本過程

4.2.1 匿名通信鏈路的創(chuàng)建

需要匿名的通信節(jié)點(diǎn)C、D、E啟動(dòng)匿名代理程序，在消息發(fā)送節(jié)點(diǎn)A和消息接收節(jié)點(diǎn)B之間根據(jù)路由信息獲取消息數(shù)據(jù)包傳輸所需經(jīng)過的中間通信節(jié)點(diǎn)，從而創(chuàng)建一個(gè)安全的匿名通信鏈路。每個(gè)匿名通信節(jié)點(diǎn)負(fù)責(zé)對消息Msg的非對稱加密和解密，并采用私鑰對匿名通信節(jié)點(diǎn)進(jìn)行加密。

4.2.2 數(shù)據(jù)包的生成與消息轉(zhuǎn)發(fā)

數(shù)據(jù)包在傳輸之前，首先獲取其后續(xù)一個(gè)匿名通信節(jié)點(diǎn)C的公鑰，然后利用該公鑰對消息Msg進(jìn)行非對稱加密獲取加密后的數(shù)據(jù)包P(Msg，KC)，當(dāng)加密后的數(shù)據(jù)包傳輸?shù)较乱粋€(gè)匿名通信節(jié)點(diǎn)C時(shí)就利用其擁有的私鑰進(jìn)行解密，獲得消息Msg；消息Msg在經(jīng)過匿名通信節(jié)點(diǎn)D和E時(shí)候，采用同樣的加密和解密流程。這樣，當(dāng)數(shù)據(jù)到達(dá)目的節(jié)點(diǎn)B時(shí)就可以獲得解密之后的消息Msg。

由于在匿名通信鏈路創(chuàng)建時(shí)采用的是非對稱加密算法，在數(shù)據(jù)通信時(shí)采用的是對稱加密算法，數(shù)據(jù)傳輸?shù)男屎蜁r(shí)效性得到了保證。同時(shí)，也可以在已創(chuàng)建的匿名通信鏈路上傳輸服務(wù)端返回的位置服務(wù)響應(yīng)結(jié)果信息，達(dá)到物聯(lián)網(wǎng)空間內(nèi)LBS系統(tǒng)對匿名通信系統(tǒng)雙向數(shù)據(jù)交互的要求。

4.3 匿名性和安全性分析

4.3.1 匿名性分析

在數(shù)據(jù)傳輸與交換過程中，每個(gè)匿名消息轉(zhuǎn)發(fā)節(jié)點(diǎn)只知道它的前驅(qū)節(jié)點(diǎn)和后繼節(jié)點(diǎn)的IP地址信息，其他消息轉(zhuǎn)發(fā)節(jié)點(diǎn)對它來說都是透明的。當(dāng)某一個(gè)節(jié)點(diǎn)轉(zhuǎn)發(fā)消息數(shù)據(jù)包時(shí)只能得到其下一個(gè)匿名消息轉(zhuǎn)發(fā)節(jié)點(diǎn)的身份信息，而無法得知其他消息轉(zhuǎn)發(fā)節(jié)點(diǎn)的身份信息，更無法得到消息的源地址和目的地址，從而保證了消息發(fā)送方和消息接收方位置的匿名性及其身份的機(jī)密性。同時(shí)，第三方也不能通過對信息發(fā)送方和信息接收方的跟蹤和監(jiān)視來推斷位置信息和服務(wù)內(nèi)容之間的關(guān)聯(lián)性。

4.3.2 安全性分析

在匿名通信過程中，消息按匿名通信轉(zhuǎn)發(fā)節(jié)點(diǎn)的順序依次使用通信轉(zhuǎn)發(fā)節(jié)點(diǎn)的公鑰對LBS服務(wù)請求數(shù)據(jù)進(jìn)行層層加密和解密，直到LBS服務(wù)請求數(shù)據(jù)到達(dá)支撐層的云數(shù)據(jù)中心或目標(biāo)用戶端，任何中間通信節(jié)點(diǎn)都不知道消息發(fā)送方和接收方的真實(shí)身份。同時(shí)，消息發(fā)送方和接收方也不知道消息轉(zhuǎn)發(fā)節(jié)點(diǎn)的真實(shí)身份，從而保證通信雙方身份和位置的隱私安全。另一方面，需要傳輸?shù)腖BS服務(wù)數(shù)據(jù)本身采用了全同態(tài)加密算法進(jìn)行加密處理，只有合法的授權(quán)用戶才可對其進(jìn)行解密、獲取相應(yīng)的明文信息，其他任何第三方都無法獲取LBS服務(wù)相關(guān)的明文信息。這樣，既保證了感知信息、位置信息、身份信息等數(shù)據(jù)在感知、采集、傳輸、存儲和處理等階段的隱私安全，又保證了只有合法的用戶才能對服務(wù)內(nèi)容和服務(wù)響應(yīng)結(jié)果進(jìn)行訪問和檢索，即可防御攻擊者通過在數(shù)據(jù)傳輸、處理和使用過程中的竊取、干擾和篡改等方式獲取和推知相關(guān)隱私信息。

5 結(jié)束語

針對基于物聯(lián)網(wǎng)的LBS服務(wù)框架進(jìn)行分析，探究物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)所面臨的各種隱私安全問題及其安全需求，并基于匿名通信和可計(jì)算加密的思想設(shè)計(jì)了一種物聯(lián)網(wǎng)空間內(nèi)LBS隱私安全模型。模型實(shí)現(xiàn)算法的分析表明該模型對物聯(lián)網(wǎng)空間內(nèi)LBS服務(wù)的真實(shí)身份、實(shí)體位置和服務(wù)內(nèi)容等隱私信息具有很好的安全保護(hù)。下一步將針對所提出的隱私安全模型進(jìn)行原型系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，通過實(shí)驗(yàn)分析驗(yàn)證模型的有效性和實(shí)用性。

[1] Chen Chun-Te，Lee Kun-Lin，Wu Ying-Chi，et al.Construction of the enterprise-level RFID security and privacy management using role-based key management[C]//IEEE International Conference on Systems：Man and Cybernetics，2006：3310-3317.

[2] 劉艮，蔣天發(fā).同態(tài)加密技術(shù)及其在物聯(lián)網(wǎng)中的應(yīng)用研究[J].信息網(wǎng)絡(luò)安全，2011（5）：61-64.

[3] 暴磊，張代遠(yuǎn)，吳家寶.物聯(lián)網(wǎng)與隱私保護(hù)技術(shù)[J].電子科技，2010，23（7）：110-112.

[4] Yao A.Protocols for secure computation[C]//Proc of the 23rd IEEE Symposium on Foundations of Computer Science，1982：160-164.

[5] Li J，Wang Q，Wang C，et al.Fuzzy keyword search over encrypted data in cloud computing[C]//Proc of the 29th IEEE International Conference on Computer Communications（INFOCOM 2010），San Diego，CA，USA，2010：441-445.

[6] 黃汝維，桂小林，余思.支持隱私保護(hù)的云存儲框架設(shè)計(jì)[J].西安交通大學(xué)學(xué)報(bào)，2011，45（10）.

[7] 張逢喆，陳進(jìn)，陳海波，等.云計(jì)算中的數(shù)據(jù)隱私性保護(hù)與自我銷毀[J].計(jì)算機(jī)研究與發(fā)展，2011，48（7）：1155-1167.

[8] Beresford A R，Stajano F.Location privacy in pervasive computing[J].IEEE Pervasive Computing，2003，2（1）：46-55.

[9] 張國平，樊興，唐明，等.面向LBS應(yīng)用的隱私保護(hù)模型[J].華中科技大學(xué)學(xué)報(bào)：自然科學(xué)版，2010，38（9）：45-49.

[10] Thomas J，Liu L.Protecting location privacy with personalized k-anonymity：architecture and algorithms[J].IEEE Transactions on Mobile Computing，2008，7（l）：l-18.

[11] 朱青，趙桐，王珊.面向查詢服務(wù)的數(shù)據(jù)隱私保護(hù)算法[J].計(jì)算機(jī)學(xué)報(bào)，2010，33（8）：1315-1324.

[12] Danezis G，Dingledine R，Mathewson N.Mixminion：design of a type III anonymous remailer protocol[C]//Proceedings of the 2003 IEEE Symposium on Security and Privacy，Oakland，California，USA，2003：2-15.

[13] 劉鑫，王能.匿名通信綜述[J].計(jì)算機(jī)應(yīng)用，2010，30（3）：719-722.

[14] Rivest R L，Adleman L，Dertouzos M L.On data banks and privacy homomor-phisms[M].New York：Academic Press，1978：169-179.

[15] Gentry C.Fully homomorphic encryption using ideal lattices[C]//Proceedings of the 41st Annual ACM Symposium on Theory of Computing（STOC’09）.New York：Association for Computing Machinery，2009：169-178.

[16] Gomathisankaran M，Tyagi A，Namuduri K.HORNS：a homomorphic encryption scheme for cloud computing using residue number system[C]//Proceedings of the 45th Annual Conference on Information Sciences and Systems（CISS），Baltimore，2011：1-5.

[17]Boneh D，F(xiàn)reeman D M.Linearly homomorphic signatures over binary fields and new tools for lattice-based signatures[EB/OL].[2012-08-11].http：//eprint.iacr.org/2010/453.pdf.

[18] 張鵬，喻建平，劉宏偉.傳感器網(wǎng)絡(luò)安全數(shù)據(jù)融合[J].計(jì)算機(jī)科學(xué)，2011，38（8）：106-108.

[19] Coron J S，Mandal A，Naccache D，et al.Fully homomorphic encryption over the integers with shorter public keys[C]//Proc of the 31st Annual International Cryptology Conference（CRYPTO 2011），2011：487-504.

[20] Chaum D L.Untraceable electronic mail，return addresses and digital pseudonyms[J].Communications of the ACM，1981，24（2）：84-88.

[21] Goldschlag D，Reed M，Syverson P.Onion routing for anonymous and private Internet connections[J].Communications of the ACM，1999，42（2）：39-41.

[22] Han Jinsong，Liu Yunhao.Rumor riding：anonymizing unstructured peer-to-peer systems[C]//Proceedings of the 14th IEEE International Conference on Network Protocol，2006：22-31.

[23] Dingledine R，Mathewson N，Syverson P.Tor：the secondgenerationonionrouter[C]//Proceedingsofthe13th USENIX Security Symposium，San Diego，CA，USA，2004：303-320.

[24] 趙福祥，王育民，王常杰.可靠洋蔥路由方案的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)學(xué)報(bào)，2001，24（5）：463-467.