隱私保護

　　（1）解決方案

　　針對隱私保護的不同類型，我們提出了不同的保護思路。對于數據隱私，主要采用加密的方式，保護數據機密性和完整性；對于位置隱私，根據獲取位置手段的不同采用不同的保護方法；對于身份隱私，不同的場景分別采用加密和匿名認證的方式來保護身份隱私信息，詳細見下表。

隱私分類	保護思路	解決方案
數據隱私	加密	流密碼、輕量級分組密碼，以及二者相結合的密碼體制
位置隱私	直接上傳位置信息的業務：加密 通過流量分析逆推位置隱私：按敵手能力采取不同方案	同數據隱私保護方法 強敵手：信源模擬等。弱敵手：信息洪泛等
身份隱私	竊聽身份信息ID：加密 匿名認證	同數據隱私保護方法 基于身份的匿名認證方案

　　隱私保護思路

　　①數據隱私。數據隱私的泄露主要是由于敏感數據在上傳過程中被敵手竊聽，為了保證上傳過程中數據隱私的安全性，可以加密敏感數據，在這里采用流密碼、輕量級分組密碼或者二者相結合的密碼體制。

　　②位置隱私。在車務通等業務中，某些位置信息是以數據的形式直接進行上傳的，因此直接上傳的位置信息的泄露，也可以通過敵手竊聽得到，此時位置隱私的保護也可以采用加密的方法，即與數據隱私的保護方法相同。而一些位置信息是以指令/報文的形式由M2M終端傳遞給M2M平臺，再到客戶端的，這一類信息即使對其加密，也無法阻止被敵手追蹤，所以無法采用加密算法。

　　而像太湖藍藻治理這一業務，敵手可以通過分析竊聽到的傳感器收集到的數據，通過流量分析等手段追溯到其位置源隱私，從而使得位置隱私泄露。針對這種安全威脅，我們把敵手分為強、弱兩類攻擊者。

　　強攻擊者可以通過監聽整個網絡的通信，輕易獲得信源的位置。弱攻擊者具有如下的特點：不會干擾網絡的正常功能；能夠確定它所檢測到分組的發送或者接收位置；具有無限的能量和耐心，并且能夠從一個位置移動到另一個位置；探測半徑等于傳感器的發射半徑。

　　強攻擊者下的信源位置隱私保護方案包括信源模擬和周期性發送。

　　信源模擬（方案思想）：從網絡中挑選部分傳感器去模仿真實信源的行為，其中模擬信源的消息路徑與真實路徑相似，使得監聽者很難通過分析確定真實的信源位置。

　　周期性發送（方案思想）：無論有無消息發送，WSN中的每個節點都周期性地發送數據包，使網絡中的通信流量獨立于消息的發送，即使對全局的監聽者也很難通過通信流量分析獲取信源的位置。但是這個方案的可行性不是很高，因為需要周期性發送消息，可能造成傳感器能量的浪費，使得壽命降低。

　　弱攻擊者下的信源位置隱私保護方案包括信息洪泛、貪婪隨機游走、定向隨機步和隨機誘惑等。

　　信息洪泛：信息洪泛可以偽裝實際數據通信流量，使敵手難以分析網絡流量去追蹤數據源。

　　貪婪隨機游走（方案思想）：信源節點和接收節點都減少隨機游走，而隨機游走指的是基于過去的表現，無法預測將來的發展步驟和方向。接收節點首先初始化一個N跳隨機游走，隨后信源節點初始化一個M跳的隨機游走。一旦源信息到達這兩條路徑的交點，就通過接收節點建立的路徑轉發。局部廣播用于檢測路徑的交點，為了最小化沿隨機游走反向追蹤的機會，在節點中存儲一個活力過濾器過濾步徑。在每一個階段，活力過濾器檢查中間節點，確保最小化反向追蹤。

　　定向隨機步（方案思想）：包含兩個階段，從信源發出的消息首先開始一個隨機步，隨后以洪泛或單路徑路由的方式一直發送到基站。而在基于定向隨機步的幻影路由中，每個消息的發送也要經歷兩個階段：首先與基于洪泛的幻影路由一樣，是一個隨機步或者一個定向步；隨后是定向隨機步，直到基站為止。在定向隨機步階段，中間轉發節點把它所接收的每個消息以定向隨機的方式等概率地單播給它的一個父節點，直到基站為止。

　　循環誘惑（方案思想）：太湖藍藻治理中傳感器網絡布置后，在信源發送消息給基站之前，產生幾個環路（即循環的路徑），每個環路包含幾個傳感節點。當消息沿著從信源到基站的路徑轉發，并與預配置的環路相遇時，激活環路，開始沿環路循環欺騙消息。當攻擊者到達這點時，不能區分消息，只能隨機選擇節點進行下一跳。通過增加消息所經路徑上的環路，就能增加敵手查找信源節點所需的期望時間。

　　③身份隱私（匿名認證機制）。通過對上述業務的分析，針對不同的物聯網開發業務，身份信息泄露的方式不同。例如，在愛貝通業務中，身份信息IMSI可能直接暴露在敵手環境中；而在太湖藍藻治理業務中，需要傳感器節點或者傳感網網關的身份信息的驗證，在驗證過程中，傳感器ID信息可能會被泄露，造成身份隱私的泄露。

　　為了保護其身份信息，在這里我們采用兩種方案：

　　一是采用加密的方法，保證傳輸過程中身份信息的安全性，具體的保護方法與數據隱私的保護方法相同。

　　二是采用匿名認證機制，在不安全信道上傳輸時，保證終端的身份信息不直接上傳，而將對其隱藏，這是由于一些身份信息即使被加密，攻擊者仍然可以通過報文分析等方式確定其身份。

　　基于身份的匿名認證機制（方案思想）：基于雙線性對的一種基于身份的簽名算法，利用雙線性對的雙線性和非退化性，可以使得算法中簽名矢量的驗證結果相對于用戶身份是一個常量，然后在基于該算法的匿名認證中，M2M終端生成臨時身份，M2M平臺利用該臨時身份計算其賬號索引，獲得M2M終端的真實身份并認證，從而實現對M2M終端的認證，并且可以實現M2M終端的匿名性，其中，注冊階段是在安全信道上完成的。

　　（2）方案分析

　　數據隱私的方案主要是采用上述的流密碼、輕量級分組密碼或者二者相結合的密碼體制，這三種方案的安全性取決于三種密碼機制的安全性和效率等因素。

　　位置隱私主要分為強、弱攻擊者這兩種情況，如在下表中分別從安全性、消息發送時間及能耗三個方面對比這幾個方案進行了比較。

	信源模擬	周期性發送	信息洪泛	貪婪隨機游走	定向隨機步	循環誘惑
安全性	由于模擬信源發送信息的路徑與真實信源的消息傳輸路徑相似，從而使攻擊者很難通過通信分析確定真實信源的位置，安全性高	網絡中的通信流量獨立于消息的發送，攻擊者很難通過流量分析信源位置，安全性高	最低（敵手可快速積累關于位置信息的資源）	較高	較高（在最短路徑情形下）	較高（攻擊者到達環路交點時，不能區分消息，只能選擇消息進行下一跳，安全性高）
消息發送時間	較短	較長	較短（消息沿最短路徑的轉發時間）	較短	較短（消息沿最短路徑的轉發時間）	較長
能耗	較高	周期性地發送數據包，能耗較高	最高（每個節點都要轉發一次同一消息）	存儲的活力過濾器檢查中間節點，確保最小化反向追蹤，能耗較低	每個消息僅沿最短路徑轉發到基站，能耗較低	較高

　　基于身份的匿名認證機制安全性分析如下表。

	基于身份的匿名認證機制
安全性	基于ECDL問題，不能冒充合法用戶認證，因為臨時身份信息的計算需要序列號的參與，但是敵手不能得到序列號信息
匿名性	主密鑰保密，從而賬戶索引安全，用戶身份安全。用戶臨時身份隱私隱藏用戶真實身份，滿足匿名性
設備代價和通信代價	輕量級運算（只須點乘、哈希等），臨時身份列表無須維護，所需代價較小
對終端設備的影響	無影響

　　基于身份的匿名認證機制安全性分析

　　業務層認證

　　（1）解決方案

　　基于橢圓曲線的雙向認證方案。橢圓曲線密碼技術能夠在更小的密鑰量下提供更高的安全強度，減少對帶寬的要求，降低移動終端的計算負擔和存儲要求。在本方案中，利用授權中心給M2M終端設備和M2M平臺分發的證書，對兩者的合法身份進行認證，并且在認證的過程中運用時戳，防止攻擊者進行重放攻擊。具體的認證步驟如下。

　　①參數設置

　　·M2M平臺向M2M終端設備發放證書Cert A。

　　·橢圓曲線由點P生成，其階為n，定義加密算法E、解密算法D，以及單向散列函數h。

　　②認證階段

　　·M2M平臺隨機選取r1∈[2，n-2]，計算Y1=r1p，并發送M1=Y1給M2M終端設備。

　　·M2M終端設備收到M1后隨機選取r2∈[2，n-2]，計算Y2=r2p、Y12=r2Y1，以Y12為密鑰生成密文CA=EY12（Cert A,，T1），將M2=（Y2，CA，h（Y12，Cert A,T1））發送給M2M平臺。

　　·M2M平臺收到M2后，計算r1Y2=Y12，對CA進行解密后得到M2M終端設備的證書Cert A和時戳T1，驗證證書、時戳，以及h（Y12，Cert A，T1）的正確性，從而判斷M2M終端設備的身份是否合法。

　　（2）方案分析

　　①安全性分析。本方案能夠抵御已知密鑰的攻擊，假設攻擊者已知一些舊的會話密鑰信息，但這對攻擊者獲取新的會話密鑰，或者假冒任何會話參與方都是沒有幫助的。這是因為r1是由M2M終端設備自己選取的，沒有在網絡中進行傳輸，攻擊者只能得到Y1，從中無法獲取密鑰r1。

　　假設攻擊者重放M2M終端設備的消息，由于它不知道M2M終端設備的私鑰，所以無法構造消息M2，而且M2帶有時戳，從而保證3M2的時效性，防止攻擊者利用舊的消息發起重放攻擊，因此，本方案能夠抵御重放攻擊。

　　②效率分析。基于橢圓曲線的雙向認證方案如下表。采用橢圓曲線密碼技術使該方案在更小的密鑰量下提供了更高的安全性，通信所需帶寬明顯減少，同時也降低了移動終端的計算負擔和存儲要求；而且，方案中使用的哈希函數也大大減少了信息的傳輸量；另外，該方案采用的公鑰密碼體制也解決了私鑰密碼體制中可信中心CA在M2M終端設備認證過程中需要實時在線，以及M2M終端設備密鑰管理的問題。

	基于橢圓曲線的雙向認證方案
安全性	可以抵御已知密鑰攻擊和重放攻擊
執行效率	可降低移動終端的計算負擔和存儲要求
密鑰長度	160 bit
設備影響	無須對設備進行額外的調整，不會對設備產生影響

　　基于橢圓曲線的雙向認證方案