物联网中保护物体位置隐私的方法和装置转让专利
申请号 : CN201010228652.2
文献号 : CN102014114B
文献日 : 2013-10-23
发明人 : 殷丽华 , 方滨兴 , 贾焰 , 刘文懋 , 何力 , 谭霜
申请人 : 北京哈工大计算机网络与信息安全技术研究中心 , 中国人民解放军国防科学技术大学 , 北京合天智汇信息技术有限公司
摘要 :
本发明公开了一种物联网中保护物体位置隐私的方法,包括以下步骤:网络节点配置临时通信身份;使用所述临时通信身份在物联网中通信。本发明还公开了一种物联网中保护物体位置隐私的装置,包括:临时通信身份配置模块,用于为网络节点配置临时通信身份;通信模块,用于使用所述临时通信身份在物联网中通信。本发明通过为网络节点配置临时通信身份,使得攻击者无法获得中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
权利要求 :
1.一种物联网中保护物体位置隐私的方法,其特征在于,所述方法包括:
网络节点配置临时通信身份;
使用所述临时通信身份在物联网中通信;
根据网络节点路由算法获得下一跳的候选列表,通过根据邻节点的属性得到的转发概率函数,确定接收数据的下一跳节点;其中,所述邻节点的属性包括所述邻节点的跳数、所述邻节点的邻节点数和所述邻节点的移动状态中的一个或多个,所述转发概率函数Pi为:其中,n表示所述网络节点的邻节点的个数,hi表示第i个邻节点Ni到达目的网络节点的跳数,1≤i≤n,si表示第i个邻节点Ni的运动速度,mi表示第i个邻节点Ni的邻节点个数,α、β和δ为调节邻节点的属性权重的参数。
2.根据权利要求1所述方法,其特征在于,所述临时通信身份为临时身份标识,所述网络节点配置临时身份包括:获取网络节点的身份标识;
接收加密参数,根据所述加密参数对所述身份标识进行加密,生成临时身份标识。
3.根据权利要求2所述方法,其特征在于,所述方法还包括:判断所述临时身份标识是否需要更新,如果是则接收新的加密参数,根据所述新的加密参数对所述身份标识进行加密,生成新的临时身份标识。
4.根据权利要求2所述方法,其特征在于,所述方法还包括:当获得其他节点的临时身份标识时,验证所述临时身份标识是否合法;如果不合法,则拒绝与该节点进行通信。
5.根据权利要求1所述方法,其特征在于,所述临时通信身份为临时网络地址,所述为网络节点配置临时身份包括:向网络地址服务器发送广播地址请求,并接收所述网络地址服务器返回的未使用的网络地址,将所述未使用的网络地址作为临时网络地址。
6.根据权利要求5所述方法,其特征在于,所述方法还包括:判断所述临时网络地址是否需要更新,如果是则向网络地址服务器发送获取新网络地址请求,并接收所述网络地址服务器返回的新网络地址。
7.一种物联网中保护物体位置隐私的装置,其特征在于,所述装置包括:
临时通信身份配置模块,用于网络节点配置临时通信身份;
通信模块,用于使用所述临时通信身份在物联网中通信;
下一跳节点确定模块,用于根据网络节点路由算法获得下一跳的候选列表,通过根据邻节点的属性得到的转发概率函数,确定接收数据的下一跳节点;其中,所述邻节点的属性包括所述邻节点的跳数、所述邻节点的邻节点数和所述邻节点的移动状态中的一个或多个,所述转发概率函数Pi为:其中,n表示所述网络节点的邻节点的个数,hi表示第i个邻节点Ni到达目的网络节点的跳数,1≤i≤n,si表示第i个邻节点Ni的运动速度,mi表示第i个邻节点Ni的邻节点个数,α、β和δ为调节邻节点的属性权重的参数。
8.根据权利要求7所述装置,其特征在于,所述临时通信身份为临时身份标识,所述临时通信身份配置模块包括:身份标识获取单元,用于获取网络节点的身份标识;
临时身份标识生成单元,用于接收加密参数,根据所述加密参数对所述身份标识进行加密,生成临时身份标识。
9.根据权利要求7所述装置,其特征在于,所述装置还包括:临时身份标识更新模块,用于判断所述临时身份标识是否需要更新,如果是则接收新的加密参数,根据所述新的加密参数对所述身份标识进行加密,生成新的临时身份标识。
10.根据权利要求7所述装置,其特征在于,所述装置还包括:临时身份标识验证模块,用于当获得其他节点的临时身份标识时,验证所述临时身份标识是否合法;如果不合法,则拒绝与该节点进行通信。
11.根据权利要求7所述装置,其特征在于,所述临时通信身份为临时网络地址,所述临时通信身份配置模块包括:临时网络地址获取单元,用于向网络地址服务器发送广播地址请求,并接收所述网络地址服务器返回的未使用的网络地址,将所述未使用的网络地址作为临时网络地址。
12.根据权利要求11所述装置,其特征在于,所述装置还包括:临时网络地址更新模块,判断所述临时网络地址是否需要更新,如果是则向网络地址服务器发送获取新网络地址请求,并接收所述网络地址服务器返回的新网络地址。
说明书 :
物联网中保护物体位置隐私的方法和装置
技术领域
[0001] 本发明涉及物联网技术领域,特别涉及一种物联网中保护物体位置隐私的方法和装置。
背景技术
[0002] 互联网将分布在世界各地的资源连接起来,在全世界范围内形成一个虚拟网络,使人与人之间的交互变得快捷高效,为人类的生活带来巨大的变化。随着社会要求的不断提高,人们对信息的交互要求已不仅仅局限于人与人之间,因此,通过射频识别、红外感应器等信息传感按约定的协议把物体与互联网连接起来,进行信息交换和通讯,以实现智能化识别、定位和管理的物联网也越来越受到重视。然而物联网的应用会逐渐出现在很多新型的场景中,如医院、家庭、商场等,因此人们对物体位置隐私关注也不断增加。
[0003] 在信息传感设备与互联网的接入网关距离较远时,该信息传感设备可通过其所在的ad-hoc网络(自组网)实现物体与互联网的连接。ad-hoc网络由不同机构的阅读器自组成为。信息传感设备将物体信息发送给其所在ad-hoc网络中的阅读器,通过阅读器间的数据交互最终实现物体与互联网的连接。
[0004] 在实现本发明的过程中,发明人发现现有技术至少存在以下问题:
[0005] ad-hoc网络中的阅读器在数据交互中,攻击者可以通过监听某些阅读器,获得与之通信的阅读器的身份标识和位置的对应关系,当某一个物体的消息通过该阅读器转发时,攻击者则可以确定该物体在该阅读器所在的ad-hoc网络中;并以此信息为基础,逐个节点向前推进,最终会找到与物体直接交互的阅读器,从而确定物体所在的区域。
发明内容
[0006] 为了确保物联网中物体位置隐私不被泄露,本发明实施例提供了一种物联网中保护物体位置隐私的方法。所述方法包括:
[0007] 网络节点配置临时通信身份;
[0008] 使用所述临时通信身份在物联网中通信。
[0009] 本发明实施例提供了一种物联网中保护物体位置隐私的装置,所述装置包括:
[0010] 临时通信身份配置模块,用于网络节点配置临时通信身份;
[0011] 通信模块,用于使用所述临时通信身份在物联网中通信。
[0012] 本发明实施例提供的技术方案带来的有益效果是:通过网络节点配置临时通信身份,使得攻击者获得无法从接入网中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
附图说明
[0013] 图1是本发明实施例1提供的方法流程;
[0014] 图2是本发明实施例2提供的物联网中保护物体位置隐私的网络架构图;
[0015] 图3是本发明实施例2提供的方法流程;
[0016] 图4是本发明实施例3提供的方法流程;
[0017] 图5是本发明实施例4提供的装置的结构示意图。
具体实施方式
[0018] 为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
[0019] 实施例1
[0020] 如图1所示,本发明提供了一种物联网中保护物体位置隐私的方法,该方法包括以下步骤:
[0021] S101:网络节点配置临时通信身份;
[0022] S102:使用临时通信身份在物联网中通信。
[0023] 本实施例通过网络节点配置临时通信身份,使得攻击者无法获得中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
[0024] 实施例2
[0025] 如图2所示,以如图所示的物联网为例,该物联网总体分为两层,上层为互联网中的应用,包括物联网的基于位置应用和数据服务器,物联网应用主要为基于位置服务的应用程序、Web服务和门户站点等;数据服务器主要存放与位置有关的数据,并有相应的计算逻辑模块进行底层的数据处理。架构下层为物理环境,主要由阅读器ad-hoc网络构成,阅读器网络是由不同机构部署的阅读器组成,阅读器主要有指示位置功能的地标阅读器和负责转发数据的数据转发阅读器,其中有一些数据转发阅读器与互联网直接相连,这些特殊的数据转发阅读器充当了ad-hoc网关的角色。上述的互联网应用,向上主要与逻辑主体的用户交互,向下主要与物理主体的阅读器网络交互;上述的物理环境,向上主要与应用主体的服务交互,向下主要与物理主体的设备标签交互。如图3所示,本发明还提供了一种物联网中保护物体位置隐私的方法,该方法中网络节的临时通信身份为临时身份标识,该方法包括以下步骤:
[0026] S201:获取网络节点的身份标识;
[0027] S202:网络节点接收加密参数,根据加密参数对身份标识进行加密,生成临时身份标识;
[0028] 其中,由认证机构CA实现对网络节点身份标识进行加密,认证机构CA可通过预装匿名集、组签名、盲签名等加密算法生成临时身份标识,如使用预装匿名集的算法,则会生成一个公私钥的大集合;而使用组签名的算法,则会产生一个公私钥对。网络节点临时身份产生过程包括:CA认证机构生成加密参数,然后向网络节点发送加密参数;网络节点接收到加密参数后,初始化加密过程,利用自身的公钥生成初始临时身份。
[0029] 具体的,以组签名为例,首先组签名算法需要对加密系统进行初始化,确定加密算法的参数p和g,p和g决定了整个加密体系。一个相同的私钥,在不同p和g的加密体系*中会产生不同的公钥,其中参数p和g为素数(即质数),乘法群Zp 是一个数论中的群,p是它的生成元素。其次,组签名算法为每个用户生成一个公私钥。具体的,CA为每一个组si
成员i分配一个私钥si,而将g (mod p)作为公钥给组管理者M,(mod p)是取模操作。这样M拥有组内所有成员的公钥。
成员i分配一个私钥si,而将g (mod p)作为公钥给组管理者M,(mod p)是取模操作。这样M拥有组内所有成员的公钥。
[0030] S203:网络节点判断临时身份标识是否需要更新,如果是则接收新的加密参数,根据新的加密参数对身份标识进行加密,生成新的临时身份标识。
[0031] 具体的,网络节点更换临时身份标识,主要是更换该网络节点使用的公私钥。网络节点身份被破解后,或过期后,认证机构CA主动或被动的将节点的公钥加入证书撤销列表CRL。即,网络节点i新的私钥为si*ri(mod p-1),即si和ri的乘积,然后模上p-1;新的临siri时公钥为g ,ri为自然数1到p-1中间的某一个随机值。
[0032] 当网络节点的临时身份标识被破解后,或过期后,临时身份标识需要撤销时,网络节点或第三方机构向认证机构CA申请撤销该身份,认证机构CA经过验证后,将该身份放入CRL中,如果该应用安全性级别较高,CA则及时通知所有节点该证书撤销事件。具体的,在si组签名算法中,CA将节点的私钥g 放入CRL中,节点重新获得私钥sj,向CA提交密钥申请sj
获得公钥g 。
获得公钥g 。
[0033] S204:当网络节点获得其他节点的临时身份标识时,验证临时身份标识是否合法;如果不合法,则拒绝与该节点进行通信;
[0034] 具体的,当网络节点获得其他节点的临时身份时,首先根据身份验证算法,确认其是合法的身份。网络节点从认证机构CA中获得CRL的内容,如果被查询节点处于认证机构CA的CRL中,则拒绝与该节点进行通信。
[0035] 以组签名算法为例,认证机构CA定时给每个网络节点i发送随机值si riri∈{1,...p-1},i的私钥为si*ri(mod p-1),同时认证机构CA公布盲化的公钥(g ) ,siri
即g 。在验证过程中,当接收方网络节点接到网络节点A的密文Enc(plaintextsiri),其中,Enc是加密函数,参数是明文plaintext和临时私钥siri,解密的时候只要在是用该节siri siri si
点的临时公钥g 即可解密,但是接收方只知道临时身份g ,不知道节点的永久身份g 。
siri
通过公开的公钥列表中网络节点A的公钥g 进行解密,获得明文plaintext,从而验证了网络节点A的身份,但是只能证明网络节点A的身份是在认证机构CA公布的合法列表中,而网络节点A的真实身份i没有泄露。网络节点A发送的消息出现纠纷,需要认证机构CAsi
公布网络节点A的身份,则认证机构CA从自己保存的公钥列表{g }和随机数列表{ri}中si ri sj rj
计算组成员当前公钥{g g },然后解密前述消息,如存在某一个公钥g g 可以解密获得明文,则确定该消息出自网络节点j。
即g 。在验证过程中,当接收方网络节点接到网络节点A的密文Enc(plaintextsiri),其中,Enc是加密函数,参数是明文plaintext和临时私钥siri,解密的时候只要在是用该节siri siri si
点的临时公钥g 即可解密,但是接收方只知道临时身份g ,不知道节点的永久身份g 。
siri
通过公开的公钥列表中网络节点A的公钥g 进行解密,获得明文plaintext,从而验证了网络节点A的身份,但是只能证明网络节点A的身份是在认证机构CA公布的合法列表中,而网络节点A的真实身份i没有泄露。网络节点A发送的消息出现纠纷,需要认证机构CAsi
公布网络节点A的身份,则认证机构CA从自己保存的公钥列表{g }和随机数列表{ri}中si ri sj rj
计算组成员当前公钥{g g },然后解密前述消息,如存在某一个公钥g g 可以解密获得明文,则确定该消息出自网络节点j。
[0036] S205:网络节点根据邻节点的属性确定接收数据的下一跳节点。
[0037] 具体的,邻节点的属性具体包括邻节点的跳数、邻节点的邻节点数和邻节点的移动状态中的一个或多个。
[0038] 具体的,网络节点路由算法获得一个下一跳的候选列表,然后再通过转发概率函数确定接收数据的下一跳节点。该转发概率函数应考虑邻节点的属性,即转发跳数小的节点有更大的转发概率,运动越频繁的节点有越大的转发概率,有更多邻居的的节点有更大的转发概率。
[0039] 如网络节点有n个邻网络节点,用集合{Ni}表示,且该网络节点与邻网络节点可通过HELO消息,互相获知对方基本信息,其中,HELO消息是SMTP(Simple Mail Transfer Protocol,简单邮件传输协议)的基本命令,用于标识节点身份,则该网络节点的转发概率函数可以表示为:
[0040]
[0041] 其中,hi为邻节点Ni到达目的网络节点的跳数, 为邻节点Ni的所有邻居节点的跳数的倒数之和,si为邻节点Ni的运动速度,mi为邻网络节点Ni的邻节点个数,α、β和δ为调节邻节点的属性权重的参数。考虑到存在不同的场景,上式的各个子式可能会有不同的表达形式,不一定为一次线性的,可能是指数或对数等形式的。
[0042] 具体的,网络节点确定接收数据的下一跳节点具体包括如下步骤:
[0043] (1)网络节点通过路由发现机制,获得其邻居节点到达目的网络节点的跳数集{Hi};
[0044] (2)网络节点构造转发概率函数,确定每一个邻节点的转发概率pi;
[0045] (3)网络节点 构造n个区间[0,p1),[p1,p1+p2),...,[p1+...+pn-1,1],其中p1+...+pn-1+pn=1;节点生成一个[0,1]之间的随机数x,如果x∈[p1+...+pi-1,p1+...+pi],则选择Ni作为下一跳,将数据转发给Ni。
[0046] 本实施例通过路由算法获得一个下一跳的候选列表,然后概率的选择下一跳,使攻击者无法根据数据包跟踪到物体,保证了物体位置的隐私。同时通过为网络节点配置临时身份标识,使得攻击者无法获得中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
[0047] 实施例3
[0048] 如图4所示,本发明还提供了一种物联网中保护物体位置隐私的方法,该方法中网络节点的临时通信身份为临时网络地址,该方法包括以下步骤:
[0049] S301:网络节点向网络地址服务器发送广播地址请求;
[0050] 具体的,某网络节点加入ad-hoc网络后,为了获取临时网络地址,向周围邻居网络节点广播一个地址请求,邻居节点将该广播地址请求转发给下一跳网络节点,直至地址服务器接收到该广播地址请求,上述网络节点向网络地址服务器发送广播地址请求可基于DHCP(Dynamic Hos t Configurat ion Protocol,动态主机设置协议)实现,DHCP请求数据包的跳数为较大的整数,以保证请求数据包在整个ad-hoc网络中有限泛洪,直至被地址服务器接收。
[0051] S302:网络节点接收网络地址服务器返回的未使用的网络地址,将所述未使用的网络地址作为临时网络地址;
[0052] S303:网络节点判断临时网络地址是否需要更新,如果是则向网络地址服务器发送获取新网络地址请求,并接收所述网络地址服务器返回的新网络地址;
[0053] 具体的,网络节点定时检查距上次更新临时网络地址的间隔,如果超过一个阈值Tthrd,则有可能被攻击者所连接,节点必须更换自己的网络地址,此时网络节点需要向地址服务器发送获取新网络地址请求,地址服务器接收到网络节点的请求后,回收该网络节点的临时网络地址,并在空闲的网络地址中随机选择一个,作为该网络节点的新地址,并返回;该网络节点接收到该新地址后,隔一个随机间隔将其设置为新的临时网络地址。优选的,在这个间隔中,需有其他节点发送新地址请求,这样才能使监听者不能将新旧地址连接到该节点上。
[0054] 其中,网络节点更换临时网络地址的时间间隔阈值可以由网络节点已转发的数据包数目决定。
[0055] 具体的,当网络节点自上次更换临时网络地址后,转发的消息数目超过了N,则应更换网络地址。对于转发数据频繁的网络节点而言,其受攻击者监听的可能性比其他网络节点高,因为监听者有更高的概率截获同一个连接的数据包,这些网络节点更换地址的时间阈值就较小;反之,较少转发数据的网络节点更换地址的时间间隔可以较长。为了安全考虑,优选的,不管网络节点是否发送了超过N个数据包,在一预置时间间隔Tmax后,节点必需更换网络地址,进一步减少了网络节点被攻击者连接的可能。优选的网络节点更换临时网络地址的时间间隔的阈值为:Tthrd=min(Tmax,T(N)),其中,Tmax为一预置时间间隔,T(N)表示网络节点发送第N个数据包的时刻,所以上述公式解释为,当网络节点在达到一预置时隔Tmax时,或网络节点转发数据包达到N个时网络节点更换临时网络地址。
[0056] 网络节点定时更换临时网络地址,使ad-hoc网络中转发数据的网络节点的身份总是处于变化的状态,从而保证了物体位置的隐私。此外,由于网络节点的临时身份标识与其临时网络地址之间存在映射,所以当节点需要更换临时身份标识时,优选的,其应该同时启动更换临时网络地址的过程,反之亦然。如果不同时更换节点的临时身份标识和临时网络地址,那么当节点的临时身份标识从A变更到B,但是临时网络地址M没有变更,则监听者可以从同一网络地址M的数据包发现其临时身份标识有A和B,从而获知该节点更换过临时身份标识。
[0057] S304:网络节点根据邻节点的属性确定接收数据的下一跳节点。
[0058] 其中,邻节点的属性具体包括邻节点的跳数、邻节点的邻节点数和邻节点的移动状态中的一个或多个。具体内容与实施例2中的S204相同,此处不再赘述。
[0059] 本实施例通过网络节点配置临时网络地址,使得攻击者无法获得中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
[0060] 实施例4
[0061] 如图5所示,本实施例提供了一种物联网中保护物体位置隐私的装置,该装置包括:
[0062] 临时通信身份配置模块401,用于网络节点配置临时通信身份;
[0063] 当临时通信身份为临时身份标识时,临时通信身份配置模块包括401:身份标识获取单元401a,用于获取网络节点的身份标识;临时身份标识生成单元401b,用于接收加密参数,根据加密参数对身份标识进行加密,生成临时身份标识;
[0064] 所述装置还包括:
[0065] 临时身份标识更新模块402,用于判断临时身份标识是否需要更新,如果是则接收新的加密参数,根据新的加密参数对身份标识进行加密,生成新的临时身份标识;
[0066] 临时身份标识验证模块403,用于当获得其他节点的临时身份标识时,验证临时身份标识是否合法;如果不合法,则拒绝与该节点进行通信;
[0067] 当临时通信身份为临时网络地址时,临时通信身份配置模块401包括:
[0068] 临时网络地址获取单元401c,用于向网络地址服务器发送广播地址请求,并接收所述网络地址服务器返回的未使用的网络地址,将所述未使用的网络地址作为临时网络地址;
[0069] 所述装置还包括:
[0070] 临时网络地址更新模块404,判断临时网络地址是否需要更新,如果是则向网络地址服务器发送获取新网络地址请求,并接收网络地址服务器返回的新网络地址;
[0071] 下一跳节点确定模块405,用于根据邻节点的属性确定接收数据的下一跳节点;
[0072] 其中,邻节点的属性具体包括邻节点的跳数、邻节点的邻节点数和邻节点的移动状态中的一个或多个。
[0073] 通信模块406,用于使用临时通信身份在物联网中通信。
[0074] 本实施例通过概率的选择下一跳,以及网络节点配置临时通信身份,使得攻击者获得无法从接入网中转节点的真实地理位置,从而保护与之交互的物体的位置隐私。
[0075] 本实施例提供的装置与方法实施例属于同一构思,其具体实现过程详见方法实施例,此处不再赘述。
[0076] 以上实施例提供的技术方案中的全部或部分内容可以通过软件编程实现,其软件程序存储在可读取的存储介质中,存储介质例如:计算机中的硬盘、光盘或软盘。
[0077] 以上所述仅为本发明的较佳实施例,并不用以限制本发明,凡在本发明的精神和原则之内,所作的任何修改、等同替换、改进等,均应包含在本发明的保护范围之内。