面向邊緣計算的隱私保護密鑰分配協(xié)議

沈劍，周天祺，王晨，楊惠杰

面向邊緣計算的隱私保護密鑰分配協(xié)議

沈劍，周天祺，王晨，楊惠杰

（南京信息工程大學江蘇省網(wǎng)絡(luò)監(jiān)控工程中心，江蘇 南京 210044）

針對邊緣計算多應(yīng)用場景下的隱私保護問題，提出兩種基于策略的密鑰分配協(xié)議，所提出的協(xié)議基于約束偽隨機函數(shù)的概念分別實現(xiàn)了輕量高效和靈活細粒度的策略選擇。具體來說，基于GGM偽隨機數(shù)生成器，構(gòu)建前綴謂詞策略的密鑰分配協(xié)議，該協(xié)議可有效支持輕量高效的密鑰分配，適用于單一網(wǎng)絡(luò)環(huán)境下設(shè)備資源受限的應(yīng)用場景。在此基礎(chǔ)上，基于多線性對，構(gòu)建位固定謂詞策略的密鑰分配協(xié)議，該協(xié)議可支持靈活細粒度的策略選擇，適用于異構(gòu)網(wǎng)絡(luò)動態(tài)靈活的多設(shè)備場景。最后，通過形式化證明分析所提出協(xié)議的安全性。

邊緣計算；隱私保護；約束偽隨機函數(shù)；密鑰分配

1　引言

隨著物聯(lián)網(wǎng)的發(fā)展和廣泛應(yīng)用，邊緣計算以其低時延、高可靠、海量連接、異構(gòu)匯聚等優(yōu)點受到越來越多的關(guān)注。作為物聯(lián)網(wǎng)的關(guān)鍵技術(shù)，物聯(lián)網(wǎng)基礎(chǔ)設(shè)施的建設(shè)將引起邊緣計算的進一步發(fā)展。據(jù)統(tǒng)計，物聯(lián)網(wǎng)連接數(shù)量在2018年開始爆發(fā)式增長。2010—2018年全球物聯(lián)網(wǎng)設(shè)備數(shù)量高速增長，復(fù)合增長率達20.9%。預(yù)測2025年全球物聯(lián)網(wǎng)聯(lián)網(wǎng)設(shè)備將達到252億個[1]。由此可見，邊緣計算在未來幾年內(nèi)將迎來新的發(fā)展機遇，與此同時，將迎來新的挑戰(zhàn)[2]。

邊緣計算處理包括智能家居、智能駕駛、智慧安防等多種場景下的設(shè)備接入并需要為接入設(shè)備的安全通信提供保障，這就要求認證、簽名、加密等密碼技術(shù)的合理部署。在各種密碼技術(shù)中，如何在公開的不安全的網(wǎng)絡(luò)環(huán)境下產(chǎn)生通信雙方共享的密鑰是各種密碼技術(shù)實施的關(guān)鍵。與此同時，隨著人們隱私保護[3]意識的增強，邊緣計算不但需要提供高可靠的安全訪問，更需要在異構(gòu)網(wǎng)絡(luò)中為不同的應(yīng)用場景提供靈活動態(tài)的隱私保護機制。共享密鑰作為各種密碼技術(shù)實施的前提，密鑰分配[4]過程中的隱私保護將成為邊緣計算環(huán)境下隱私保護的第一道關(guān)卡。

目前，密鑰分配協(xié)議往往針對付費電視、視頻會議、云存儲等單一環(huán)境，無法直接應(yīng)用于邊緣計算動態(tài)多變的多場景環(huán)境。此外，現(xiàn)有的密鑰分配協(xié)議大多基于身份基加密、認證、簽名等密碼體制，無法保障分配過程中的用戶隱私。

1.1 相關(guān)工作

針對車聯(lián)網(wǎng)中的密鑰管理問題，文獻[5]基于公鑰基礎(chǔ)設(shè)施提出了一種匿名密鑰管理方案。然而，隨著接入節(jié)點的增多和動態(tài)變化，證書的管理將變得低效而復(fù)雜。文獻[6]提出了一種基于特殊組合結(jié)構(gòu)的密鑰協(xié)商方案，該方案可以為云環(huán)境下多用戶數(shù)據(jù)共享安全提供保障，并且使用的對稱平衡不完全區(qū)組設(shè)計結(jié)構(gòu)可以極大地降低協(xié)商的通信開銷。在此基礎(chǔ)上，文獻[7]提出了支撐匿名的群組密鑰方案，能夠保證云環(huán)境下的用戶隱私安全。借助分布式并行計算，文獻[8]提出了一種支持動態(tài)操作的密鑰協(xié)商協(xié)議，能夠保證車聯(lián)網(wǎng)環(huán)境下多用戶的安全交互。雖然上述協(xié)議實現(xiàn)了公開網(wǎng)絡(luò)下多用戶的密鑰生成，然而，邊緣計算中的付費應(yīng)用或者訪問控制機制往往需要多設(shè)備的集中管理或者分層結(jié)構(gòu)模式。由此，密鑰分配協(xié)議更適用于邊緣計算中的集中管理結(jié)構(gòu)。文獻[9]提出了一種車聯(lián)網(wǎng)中安全即時通信的密鑰分配方案，然而，該協(xié)議僅能支持兩方進行密鑰分配。此外，密鑰分配過程需要安全的通信信道。文獻[10]提出了一種基于強化學習的群密鑰分配管理技術(shù)，該協(xié)議能夠支持群組用戶的密鑰分配，降低加解密時延。然而，缺少形式化的安全性分析和證明。

密鑰作為邊緣計算中安全傳輸、身份認證[11-12]以及數(shù)據(jù)加密的基礎(chǔ)，為邊緣計算的安全提供了有力的保障。同時，密鑰分配過程中的隱私保護問題是實現(xiàn)邊緣計算本地安全隱私保護的重要一環(huán)?；诓呗赃x擇的非交互式密鑰分配是隱私保護的有效實現(xiàn)方案。具體來說，基于策略選擇的非交互式密鑰分配指的是：由復(fù)雜策略標識的一組用戶可以非交互式地建立秘密組密鑰，該密鑰可用于組成員之間的安全通信。

1.2 本文工作

本文針對邊緣計算異構(gòu)網(wǎng)絡(luò)中的隱私保護問題，提出了兩種基于策略的密鑰分配協(xié)議，所提協(xié)議可以實現(xiàn)輕量高效和靈活細粒度的密鑰分配。本文的貢獻總結(jié)如下。

（1）設(shè)計了基于約束偽隨機函數(shù)的策略選擇。針對邊緣計算中的本地安全隱私保護問題，本文基于約束偽隨機函數(shù)[13]的概念實現(xiàn)了密鑰分配的策略選擇。在此基礎(chǔ)上，分別實現(xiàn)了邊緣計算多應(yīng)用場景的輕量高效和靈活細粒度的策略選擇，為邊緣計算多場景下的隱私保護提供技術(shù)支撐。

（2）提出了基于前綴謂詞（prefix predicate）策略的密鑰分配協(xié)議。針對單一網(wǎng)絡(luò)環(huán)境下設(shè)備資源受限的場景中的密鑰分配問題，本文提出了一種基于前綴謂詞策略的密鑰分配協(xié)議，該協(xié)議可以支持資源受限設(shè)備進行高效輕量的密鑰分配。具體來說，基于GGM偽隨機數(shù)生成器[14]，構(gòu)建前綴謂詞約束的偽隨機函數(shù)，并利用GGM的高效構(gòu)建以及前綴約束的簡單易實現(xiàn)的性質(zhì)，有效支持邊緣資源受限設(shè)備的高效密鑰分配。

（3）提出了基于位固定謂詞（bit fixing predicate）策略的密鑰分配協(xié)議。針對異構(gòu)網(wǎng)絡(luò)動態(tài)靈活的多設(shè)備場景中的密鑰分配問題，本文提出了一種基于位固定謂詞策略的密鑰分配協(xié)議，該協(xié)議可以支持動態(tài)靈活的策略選擇。具體來說，基于多線性對，構(gòu)建位固定謂詞約束的偽隨機函數(shù)，并利用多線性對分布計算的優(yōu)點，巧妙地設(shè)計出一種支持動態(tài)靈活策略選擇的密鑰分配協(xié)議，有效支持邊緣動態(tài)設(shè)備基于策略選擇的密鑰分配。

（4）形式化安全性證明。形式化定義密鑰協(xié)商安全模型，模擬現(xiàn)實環(huán)境中攻擊者所具備的能力。在此基礎(chǔ)上，基于K-MDDH假設(shè)，在ROM模型下分析并證明所提出協(xié)議的安全性。

2 預(yù)備知識

本節(jié)介紹協(xié)議相關(guān)的密碼學預(yù)備知識。

2.1 多線性對

2.2 偽隨機函數(shù)

2.3 前綴謂詞

2.4 位固定謂詞

2.5 基于策略的密鑰分配

為方便讀者閱讀，表1給出了本文常見符號及其對應(yīng)說明。

表1 符號說明

3 系統(tǒng)模型和安全模型

3.1 系統(tǒng)模型

本文所設(shè)計的協(xié)議系統(tǒng)模型如圖1所示。針對邊緣計算中的不同需求設(shè)計基于前綴謂詞策略的密鑰分配協(xié)議以及基于位固定謂詞策略的密鑰分配協(xié)議。其中，基于前綴謂詞策略的密鑰分配協(xié)議具備輕量高效的特點，適用于智慧氣象采集節(jié)點以及智能家居中的不同設(shè)備；基于前綴謂詞策略的密鑰分配協(xié)議具備靈活動態(tài)的特點，可有效支撐智慧安防以及智能駕駛中接入設(shè)備動態(tài)多變的特點。協(xié)議的實體主要包括邊緣設(shè)備、邊緣層和云。其中，邊緣設(shè)備主要由智慧氣象、智能家居、智慧安防、智能駕駛等傳感器設(shè)備構(gòu)成，設(shè)備間的安全通信或者共享需要密鑰的支持；邊緣層負責收集邊緣設(shè)備的數(shù)據(jù)進行處理，邊緣層與設(shè)備間的交互需要密鑰保證安全；云負責存儲和批量處理數(shù)據(jù)后向邊緣設(shè)備進行反饋，云與邊緣層的交互需要密鑰對傳輸數(shù)據(jù)進行保護。

3.2 安全模型

本文所提出的密鑰分配協(xié)議包括以下3個算法。

圖1 系統(tǒng)模型

Figure 1 The system model

4 方案設(shè)計

4.1 基于前綴謂詞策略的密鑰分配協(xié)議

基于經(jīng)典的GGM偽隨機數(shù)生成器[12]，本文提出了一種前綴謂詞策略的密鑰分配協(xié)議。協(xié)議具體包括以下4個步驟。

圖2 基于擴展GGM函數(shù)的偽隨機函數(shù)

Figure 2 The construction of the cPRF based on the extension of the GGM function

具體來說，擴展過程可以用一個二叉樹表示，二叉樹的根節(jié)點表示初始的輸入值，即偽隨機數(shù)生成器的初始密鑰。之后，根據(jù)輸入為0或1，二叉樹向下不斷迭代擴展。每個節(jié)點的左孩子節(jié)點為輸入是0時的計算結(jié)果，右孩子節(jié)點為輸入是1時的計算結(jié)果。每一輪的計算結(jié)果為下一層計算的輸入密鑰。

4.2 基于位固定謂詞策略的密鑰分配協(xié)議

基于多線性對，本文提出了一種位固定謂詞策略的密鑰分配協(xié)議，協(xié)議具體包括以下4個步驟。

5 安全分析

基于GGM方案的安全性和K-MDDH假設(shè)，本節(jié)證明基于前綴謂詞策略的密鑰分配協(xié)議以及基于位固定謂詞策略的密鑰分配協(xié)議的安全性。

5.1 基于前綴謂詞密鑰分配協(xié)議的安全性

定理1 如果GGM方案是安全的，則本文設(shè)計的基于前綴謂詞策略的密鑰分配協(xié)議是安全的。

5.2 基于位固定謂詞密鑰分配協(xié)議的安全性

定理2 如果K-MDDH問題是困難的，則本文設(shè)計的基于位固定謂詞策略的密鑰分配協(xié)議是安全的。

5.3 性能分析

在性能分析方面，本文選取了兩個最新的密鑰分配協(xié)議與本文所提出的協(xié)議進行分析對比。表2展示了具體的分析結(jié)果，由表2可知，相對于文獻[9]協(xié)議，本文所提出的協(xié)議能夠支持多用戶的密鑰分配。此外，本文所提出的協(xié)議可以在公開信道中安全執(zhí)行。與文獻[10]協(xié)議相比，本文在安全模型中正式地定義了攻擊者所具備的能力并基于ROM模型形式化證明了所提出協(xié)議的安全性。

6 結(jié)束語

針對邊緣計算的隱私保護密鑰分配問題，本文提出了兩種基于策略的密鑰分配協(xié)議，特別地，基于約束偽隨機函數(shù)和謂詞，分別提出了基于前綴謂詞的密鑰分配協(xié)議和基于位固定謂詞的密鑰分配協(xié)議。其中，基于前綴謂詞的密鑰分配協(xié)議利用經(jīng)典的GGM方案實現(xiàn)了面向邊緣節(jié)點資源受限環(huán)境的高效輕量密鑰分配；基于位固定謂詞的密分配協(xié)議利用多線性對實現(xiàn)了面向靈活動態(tài)環(huán)境的密鑰分配。在此基礎(chǔ)上，本文形式化定義了協(xié)議安全模型并基于ROM形式化證明了所提出協(xié)議的安全性。

表2 安全屬性分析

[1]潘愛民. 創(chuàng)新物聯(lián)網(wǎng)OS安全應(yīng)對IoT風險[J]. 中國信息安全, 2020(2): 44-51. PAN A M. Resisting IOT risk by the innovation of the IOT OS security[J]. China Information Security, 2020(2): 44-51.

[2]施巍松, 張星洲, 王一帆, 等. 邊緣計算: 現(xiàn)狀與展望[J]. 計算機研究與發(fā)展, 2019, 56(1): 69-89. SHI W S, ZHANG X Z, WANG Y F, et al. Edge computing: state-of-the-art and future directions[J]. Journal of Computer Research and Development, 2019, 56(1): 69-89.

[3]彭維平, 熊長可, 賀軍義, 等.邊緣計算場景下車聯(lián)網(wǎng)身份隱私保護方案研究[J]. 小型微型計算機系統(tǒng), 2020, 41(11): 2399-2406. PENG W P, XIONG C K, HE J Y, et al. Research on the identity privacy protection scheme of internet of vehicles in edge computing scenario[J]. Journal of Chinese Computer Systems, 2020, 41(11): 2399-2406.

[4]QIU H, QIU M, LU Z, et al. An efficient key distribution system for data fusion in V2X heterogeneous networks[J]. Information Fusion, 2019, 50: 212-220.

[5]RAYA M, HUBAUX J P. Securing vehicular ad hoc networks[J]. Journal of Computer Security, 2007, 15(1): 39-68.

[6]SHEN J, ZHOU T Q, HE D B, et al. Block design-based key agreement for group data sharing in cloud computing[J]. IEEE Transactions on Dependable and Secure Computing, 2017.

[7]SHEN J, ZHOU T Q, CHEN X F, et al. Anonymous and traceable group data sharing in cloud computing[J]. IEEE Transactions on Information Forensics and Security, 2017, 13(4): 912-925.

[8]周天祺, 楊惠杰, 沈劍. 車聯(lián)網(wǎng)中支持動態(tài)操作的密鑰協(xié)商協(xié)議[J]. 密碼學報, 2020, 7(3): 375-388. ZHOU T Q, YANG H J, SHEN J. Key agreement protocol with dynamic property for VANETs[J]. Journal of Cryptologic Research, 2020, 7(3): 375-388.

[9]單莉. 車聯(lián)網(wǎng)中面向V2V安全即時通信的密鑰分配方案設(shè)計[J]. 信息安全與通信保密, 2020(10): 107-113. SHAN L. Key distribution program design for V2V instant secure messaging in Internet of Vehicles[J]. Information Security and Communications Privacy, 2020(10):107-113.

[10]徐堂煒, 張海璐, 劉楚環(huán), 等. 基于強化學習的低時延車聯(lián)網(wǎng)群密鑰分配管理技術(shù)[J]. 網(wǎng)絡(luò)與信息安全學報, 2020, 6(5): 119-125. XU T W, ZHANG H L, LIU C H, et al. Reinforcement learning based group key agreement scheme with reduced latency for VANET[J]. Chinese Journal of Network and Information Security, 2020, 6(5): 119-125.

[11]WANG D, WANG P. Two birds with one stone: two-factor authentication with security beyond conventional bound[J]. IEEE Transactions on Dependable and Secure Computing, 2016, 15(4): 708-722.

[12]王晨宇, 汪定, 王菲菲, 等. 面向多網(wǎng)關(guān)的無線傳感器網(wǎng)絡(luò)多因素認證協(xié)議[J]. 計算機學報, 2020, 43(4): 683-700. WANG C Y, WANG D, WANG F F, et al. Multi-factor user authentication scheme for multi-gateway wireless sensor networks[J]. Chinese Journal of Computers, 2020, 43(4): 683-700.

[13]BONEH D, WATERS B. Constrained pseudorandom functions and their applications[C]//International Conference on the Theory and Application of Cryptology and Information Security. 2013: 280-300.

[14]GOLDREICH O, GOLDWASSER S, MICALI S. How to construct random functions[M]//Providing Sound Foundations for Cryptography: On the Work of Shafi Goldwasser and Silvio Micali. 2019: 241-264.

[15]GARG S, GENTRY C, HALEVI S. Candidate multilinear maps from ideal lattices[C]//Annual International Conference on the Theory and Applications of Cryptographic Techniques. 2013: 1-17.

[16]LI J, TANG X, WEI Z, et al. Identity-based multi-recipient public key encryption scheme and its application in IoT[J]. Mobile Networks and Applications, 2019: 1-8.

[17]DUPONT R, ENGE A. Provably secure non-interactive key distribution based on pairings[J]. Discrete Applied Mathematics, 2006, 154(2): 270-276.

[18]PATERSON K G, SRINIVASAN S. On the relations between non-interactive key distribution, identity-based encryption and trapdoor discrete log groups[J]. Designs, Codes and Cryptography, 2009, 52(2): 219-241.

Privacy protection key distribution protocol for edge computing

SHEN Jian, ZHOU Tianqi, WANG Chen, YANG Huijie

Jiangsu Engineering Center of Network Monitoring, Nanjing University of Information Science and Technology, Nanjing 210044, China

Aiming at the privacy protection problem in the multi-application scenarios of edge computing, two policy-based key distribution protocols were proposed. The proposed protocols are based on the concept of constrained pseudo-random functions to achieve efficient and flexible policy selection. Specifically, based on the GGM pseudo-random number generator, the key distribution protocol with a prefix-predicate is constructed, which can effectively support lightweight and efficient key distribution. Moreover, based on the multilinear pairing, the key distribution protocol with a bit fixing predicate is constructed. This protocol can support flexible and fine-grained strategy selection and is suitable for dynamic and flexible multi-device scenarios in heterogeneous networks. Finally, the security proof of the proposed protocols is presented.

edge computing, privacy protection, constrained pseudorandom function, key distribution

TP309

A

10.11959/j.issn.2096?109x.2021010

2020?12?14；

2021?01?03

沈劍，s_shenjian@126.com

國家自然科學基金（U1836115, 61672295, 61922045, 61672290, 61877034）；江蘇省自然科學基金（BK20181408）；鵬城實驗室網(wǎng)絡(luò)空間安全研究中心（PCL2018KP004）；2020年江蘇省研究生科研創(chuàng)新計劃（KYCX20-0936）

The National Natural Science Foundation of China (U1836115, 61672295, 61922045, 61672290, 61877034), The Natural Science Foundation of Jiangsu Province (BK20181408), Cyberspace Security Research Center, Peng Cheng Laboratory Project of Guangdong Province (PCL2018KP004), 2020 Research Innovation Program for Postgraduates of Jiangsu Province(KYCX20-0936)

沈劍, 周天祺, 王晨, 等. 面向邊緣計算的隱私保護密鑰分配協(xié)議[J]. 網(wǎng)絡(luò)與信息安全學報, 2021, 7(1): 93-100.

SHEN J, ZHOU T Q, WANG C, et al. Privacy protection key distribution protocol for edge computing[J]. Chinese Journal of Network and Information Security, 2021, 7(1): 93-100.

沈劍（1985? ），男，江蘇南京人，南京信息工程大學教授、博士生導(dǎo)師，主要研究領(lǐng)域為數(shù)據(jù)安全、公鑰密碼學和云計算安全。

周天祺（1994?），女，貴州黔南人，南京信息工程大學博士生，主要研究方向為公鑰密碼學和云計算安全。

王晨（1994?），男，江蘇無錫人，南京信息工程大學博士生，主要研究方向為數(shù)據(jù)安全和公鑰密碼學。

楊惠杰（1995?），女，北京人，南京信息工程大學博士生，主要研究方向為公鑰密碼學和安全多方計算。