内容中心网络的数据私密性技术.pptx

1、内容中心网络的数据私密性技术前沿网络与安全技术在物联网中的创新应用,摘要,包含固定格式的内容（就是下面的各页标题，如“要分享什么”）,摘要,项目概述物联网的机遇与挑战可信任的个人“云”内容为中心的网络技术:Content Centric Networking(CCN)基于属性的数据加密技术:Attribute-based Encryption示范部署：Pecan Street Project智能电网示范项目总结与展望,内容中心网络的数据私密性技术Content-centric Data Privacy for the Internet of Things,英特尔研究院中长期研究项目利用前沿网络

2、和安全技术集成构建一个安全数据通信平台，用于支持以智能城市/楼宇/家居为核心的物联网应用总结新技术尝试在预研类产品开发中的一些经验教训,英特尔研究院-Intel Labs,投资规模,技术成熟度,英特尔研究院：研究与新技术验证,业务部门：产品开发与集成,From Research to Plan of Record via Joint Pathfinding联合技术探索：从研究到产品商业计划,“死亡谷”,Plan of Record,急剧增长的智能移动设备和传感器Cisco：2015年全球将预计拥有150亿的网络互联设备“海量”数据美国4600万个智能电表每天生成11亿个读数数据安全和用户隐私物

3、联网数据会泄露用户的身份、行为、地理位置、健康,物联网带来的挑战,用户隐私 vs.家庭用电数据,电动汽车充电数据(kW),Time,kW,外出就餐？,外出一周？,夜间设备用电数据(kW),时间,CPAP(治疗夜间呼吸障碍),娱乐家电用电(kW),小朋友们在做什么？,kW,kW,全新(Clean Slate)的互联网络新兴的基础架构：智能电网/家庭/楼宇/城市新一代的网络技术内容中心网络 Content Centric Networking新型应用对安全技术的新要求不确定对象的数据共享可扩展性灵活的访问控制更多,物联网带来的机遇,可信任的个人“云”(Trusted Personal Cloud)

4、,目标：内容为中心的网络平台(Content Centric Network)安全数据通信架构类“社交网络”的自主信任域数据可视化,内容为中心的网络技术:Content Centric Networking(CCN)基于属性的数据加密技术:Attribute-based Encryption,核心技术,资源：CPU周期,打印机,存储磁带点对点通信：telnet,ssh,ftp,互联网的最初目标：以主机为中心的资源共享,数据与服务：新闻,视频,音乐,购物,社交网络90%的互联网流量关注信息本身：What,rather than Where内容为中心的，一对多/多对多的信息获取,互联网的现状：共享

5、数据与服务,用户更加关注信息内容本身，而非信息的存储位置多副本数据的分布式存储，扩散和分发端到端的安全数据协议的局限性异步数据分发一对多/多对多的传输模式数据接收方的多样性和不确定性,互联网的新特征,基于名称的数据路由 Name-based data routing分布式的数据缓存 Distributed data caching自主的数据安全 Self-contained data security,内容中心网络CCN的特性,基于名称的数据路由/分布式数据缓存,基于基本数据单元的安全创建数据的同时完成数字签名或者加密数字签名和加密密文作为数据一部分一起存储和分发,自主的数据安全,基于内容：数

6、据获取不受限于数据的存储位置:What,rather than Where.有效性：数据请求者可同时从多个数据(缓存)源获得数据高效性：获取最近的数据副本或根据定制的路由规则获得满足不同要求的数据副本独立、灵活的数据安全数据安全不依赖于端对端的网络安全协议灵活的数据存储和分发,内容中心网络CCN的优点,传统安全协议 vs.异步的一对多、多对多的数据分发模式不确定的数据接收方共享组秘钥的可扩展性问题分布式的访问控制策略的制定与执行信息发布者和订阅者(Publisher/Subscriber)的隐私更多,CCN数据安全机制在物联网下面临的挑战,在CCN中植入Pub-sub层支持基于属性的细粒度数据

7、描述描述Interest定义数据访问控制策略自主的访问控制策略访问控制策略嵌入于密钥或者密文中,解决方法：内容为中心的数据私密技术Content-Centric Privacy,通过自定义的访问控制策略，或者数据的属性生成加密密钥并加密原文通过接收方的属性或者获得批准的访问授权生成解密密钥解密成功 iff 属性满足访问控制策略,基于属性的数据加密技术Attribute Based Encryption(ABE),接收方向密钥中心提交自己的属性信息，并根据属性申请获得解密密钥发送方制定访问控制策略，并根据策略生成一个加密密钥(访问树)。访问策略“嵌入”在密文里。当接收方的解密密钥所对应的属性满足

8、密文对应的策略时：Bingo！,基于属性的数据加密-密文策略Cypher-Policy Attribute Based Encryption(CP-ABE),接收方向密钥中心提交数据访问申请。密钥中心做出授权决策，并根据接收方的访问授权颁发解密密钥。访问策略“嵌入”在密钥里。发送方定义数据的若干属，并将这些属性作为加密算法的参数生成密文。当接收方的解密密钥所对应的访问权限满足密文对应的数据属性时：Bingo！,基于属性的数据加密-密钥策略Key-Policy Attribute Based Encryption(KP-ABE),发送方与接收方的松耦合不共享群组密钥可以互不认识策略执行无需第三方

9、介入CP-ABE:密钥中心核实接收方属性KP-ABE:密钥中心完成策略决策良好的系统扩展性无需为新接收者加入，给所有成员重新生成/分发解密密钥基于属性的细粒度访问控制,基于属性的数据加密技术(ABE)的优点,测试两种主要的算法:CP-ABE&KP-ABE属性数量主要操作：密钥生成,加密,解密测试平台Android智能手机 vs.笔记本电脑Intel vs.Non-Intel测试内容执行时间CPU与内存使用能量损耗数据和网络开销,ABE性能测试 方法,基于Pairing-based密码算法由Pairing-based密码算法的三个参数的长度决定Field size qPrime order rE

10、mbedding degree k(=2 with Type A),ABE性能测试 安全强度,测试结果 执行时间(笔记本电脑),80位安全强度,112位安全强度,128位安全强度,测试结果 执行时间(Android智能手机),80位安全强度,112位安全强度,128位安全强度,测试结果 CPU使用,Android,PC,vs.,28.5%(Avg.),执行时间主要取决于:属性数目算法参数的选取(安全强度)可接受的延时(10 的属性,ABE性能的评估小结,AES的高效性使用AES加密数据内容使用ABE加密/解密AES密钥重用AES密钥以避免频繁的ABE加密/解密过程，从而提升用户体验,解决方法：

11、AES密钥重用,目的：取消接收方的访问权限CP-ABE:接收方属性变化KP-ABE:访问控制策略的改变难点：ABE解密密钥是基于接收方的属性或者访问授权产生的发送方无法控制某个特定接收方的访问权限密钥中心无法单独取消一个特定接收方的访问能力初步解决方案密钥中心定期更新所有发送方和接收方的密码参数接收方重新验证属性获取解密密钥(CP-ABE)，或者重新申请访问授权(KP-ABE)优点：实现代价小缺点：可扩展性降低,ABE密钥注销,UT,NREL和EDF合作开发的一个综合示范项目测试集成化用于智能家庭的清洁能源项目1100个拥有太阳能电池板,智能家电,传感器和电动汽车(部分)的家庭Universi

12、ty of Texas Advanced Computing Center(TACC)提供数据服务/计算服务和可视化英特尔于2009年参与并担任Industry Advisory Board成员,示范部署：Pecan Street Project智能电网示范项目,jABE:基于Java的ABE软件工具包,用户应用,数据生成,jABE软件工具包,通信中间件,策略和属性管理,数据共享,智能家庭/楼宇/城市,传感器网络.,KP-ABE&CP-ABE 加密/解密,密钥中心服务及安全密钥分发,密钥重用/注销.,ICN,CoAP,PADRES,MQTT,etc.,网络层,电动汽车充电案例,参与方各类设备家庭社区电力调度供电所,社区电力调度,供电所,电动汽车 电动汽车充电装置,家庭A,访问策略：电动车向本家庭和社区调度中心共享细粒度数据；与供电所共享粗粒度数据；不向其他家庭共享任何数据,家庭B,What info can I get?,移动设备,CCN+ABE,尚待解决的技术难点如何验证接受方的属性特定密钥/属性的注销与访问控制语言的结合更广泛的应用平台传感器微控制器(micro-controller),未来的工作,谢谢！,