CN112787796B

CN112787796B - 一种边缘计算中检测虚假数据注入的聚合方法及装置

Info

Publication number: CN112787796B
Application number: CN202110011817.9A
Authority: CN
Inventors: 许建; 李琛
Original assignee: Nanjing University of Posts and Telecommunications
Current assignee: Nanjing University of Posts and Telecommunications
Priority date: 2021-01-06
Filing date: 2021-01-06
Publication date: 2023-04-28
Anticipated expiration: 2041-01-06
Also published as: CN112787796A

Abstract

本发明公开了一种边缘计算中检测虚假数据注入的聚合方法及装置，其中方法包括：初始化各参数值；对终端设备产生数据的明文进行同态加密生成密文，将所述密文发送给转发设备；从边缘服务器查询所有设备的信誉值，基于信誉机制选择多个信任设备参与签名生成，多个信任设备使用基于密钥共享技术的联合签名方案构造签名；边缘服务器通过持有的公钥信息，恢复所述签名中的冗余信息，验证所述转发设备发来的数据是否合法，若合法则进行数据聚合，否则丢弃数据；若数据已经进行了同态加密，则云端通过自己的密钥信息对聚合结果的密文进行解密得到聚合结果的明文，并进行分析。本发明在保证数据私密性的同时，过滤了虚假数据，提高了聚合的准确性。

Description

一种边缘计算中检测虚假数据注入的聚合方法及装置

技术领域

本发明涉及信息安全技术领域，尤其涉及一种边缘计算中检测虚假数据注入的聚合方法及装置。

背景技术

边缘计算的“边缘”指的是在数据源与云端数据中心之间的任何计算及网络资源。例如，智能手机就是个人与云端的“边缘”，智能家居中的网关就是家庭设备与云端的“边缘”。边缘计算的基本原理就是在靠近数据源的地方进行计算，是在靠近物或数据源头的网络边缘侧，融合网络、计算、存储、应用核心能力，就近提供边缘智能服务的开放平台。与云计算相比较，边缘计算就近布置，因而可以理解为云计算的下沉。边缘计算由于靠近数据接收源头，能够实时地获取数据并进行分析处理，更好地支撑本地业务的实时智能化处理与执行，故边缘计算有着效率高低延时的特点。然而，边缘环境的终端设备往往会产生大量的数据，又受限于终端设备的性能，如能量、计算和存储资源有限等，因此，为减少数据冗余，提高网络资源的利用率，通常对数据在传输过程中进行融合操作。由于边缘环境更加复杂，所以聚合操作的安全问题是一个主要问题。如何在数据传输的过程中保证数据的私密性，如何在聚合之前过滤掉虚假数据都是边缘场景中急需解决的问题。

发明内容

发明目的：本发明提出一种过滤虚假数据、可实现高私密性传输的边缘计算中的数据聚合方法。本发明的另一目的在于提供基于该方法的边缘计算中检测虚假数据注入的聚合装置。

技术方案：本发明所述的边缘计算中检测虚假数据注入的聚合方法，包括：

(1)初始化Paillier同态密码系统参数、签名所需的设备参数、所有设备的信誉值；

(2)终端设备产生数据，对所述数据的明文进行同态加密生成密文，同时确定转发设备，将所述密文发送给转发设备；

(3)从边缘服务器查询所有设备的信誉值，基于信誉机制选择多个信任设备参与签名生成，多个信任设备使用基于密钥共享技术的联合签名方案构造签名；

(4)边缘服务器通过持有的公钥信息，恢复所述签名中的冗余信息，验证所述转发设备发来的数据是否合法，若数据合法则对数据进行聚合运算，否则丢弃数据；

(5)若数据已经进行了同态加密，则云端通过自己的密钥信息对聚合结果的密文进行解密得到聚合结果的明文，并进行分析。

本发明引入了信誉机制，边缘服务器记录每个终端设备的信誉值，频繁发动恶意攻击的设备会因为信誉值的减少而被隔离，提高过滤的性能。同时，基于密钥共享技术的联合签名方案，确保过滤掉攻击者通过妥协掉部分节点注入的虚假数据。

进一步地，所述步骤(1)包括：

(11)将所有终端设备分为i个组，边缘服务器为各组分配一个唯一的组ID，并为各组产生一个唯一的密钥多项式：

其中，a₀…a_t-1是取自有限域Fp中的随机数，p是大质数，x取值为设备ID，t为构造签名所需的设备数量；S_i为私钥，其取值为a₀，由组内任意t个终端设备共同构建：

其中，

为拉格朗日系数，ID_k表示参与设备的ID；

计算第i组的公钥：

Q_i＝S_iP

其中，P为q阶椭圆曲线E(Fp)点群中的基点；

边缘服务器计算组内各终端设备v_IDj对S_i的密钥共享

得到用于验证v_IDj部分签名的x_jp；

边缘服务器存储设备ID、组ID、组公钥Q_i，并在各组终端设备v_IDj上分配设备ID(ID_j)、组ID、组公钥Q_i、密钥共享x_j、ECPVSS签名相关的参数，所述参数包括基点P、阶q、大质数p；

(12)初始化Paillier同态密码系统参数，边缘服务器选择两个不同的大质数(p,q)，计算RSA模数n＝pq和Carmichael函数λ＝lcm(p-1,q-1)；

边缘服务器选择一个生成器

选择随机数V_i,0<V_i<n且gcd(V_i,n)＝1，生成所述Paillier同态密码系统的公钥pkg＝(n,g)，对应的私钥是skq＝(u,λ)，其中，

u＝(L(P^λmod n²))-1

将公钥pkg分配给各组内的终端设备，将私钥skq分配给云端。

进一步地，所述步骤(2)包括：

(21)当终端设备生成数据时，所述终端设备请求查询所述边缘服务器维护的信誉值表，在每个组内选出信誉值最高的终端设备作为转发设备，将所述转发设备的ID发送给请求的终端设备；

(22)终端设备产生数据M＝{CID，ID_to，m_i}，其中，CID为终端设备所在组的组号，ID_to是转发设备的ID，m_i是感应的数据值；

当某一个终端设备采集到数据m_i后，所述终端设备使用公钥pkq＝(n,g)对数据m_i进行加密：

其中，n＝pq，p是大质数，q为椭圆曲线E(Fp)的点群阶，V_i是随机数，0<V_i<n且gcd(V_i,n)＝1；

所述终端设备发送数据M_Ci＝{CID,ID_to,c_i}至转发设备V_to。

进一步地，所述步骤(3)包括：

(31)将数据信息M_Ci分为C和V，C＝{ID_to，c_i},V＝{CID，ID_to}，其中，

p是大质数，q为椭圆曲线E(Fp)的点群阶，V_i是随机数,0<V_i<n且gcd(V_i,n)＝1，CID为终端设备所在组的组号，ID_to是转发设备的ID；

(32)转发设备v_to向边缘服务器请求获取本次参与签名的设备的信息，所述边缘服务器在响应请求后查询自己维护的设备信誉表，选取t个信誉值最高的终端设备，作为本次签名生成的参与节点；所述转发设备v_to获取到这些设备的信息后把数据信息M_Ci发送给这t个参与节点，所述t个参与节点分别用自己的密钥共享对数据信息M_Ci采用椭圆曲线可恢复签名方案ECPVSS进行签名；其中所述椭圆曲线可恢复签名方案ECPVSS包括步骤：

(321)各参与节点v_IDj，1≤j≤t在[1，q-1]中随机选取k_j，其中q为椭圆曲线的点群阶，将k_jP发送给转发设备v_to；

(322)所述转发设备v_to计算

再计算与R相关的双射变换X(R)，将X(R)的值发送给t个参与节点；

(323)各参与节点v_IDj计算e＝ENC(X(R),C)和d＝H(e||V)，其中，ENC为对称加密算法，H是哈希函数，||表示连接；各参与节点v_IDj计算自己的部分签名σ_j，并发送给转发设备v_to：

σ_j＝x_jl_jd+k_j

其中，

为第i组终端服务器唯一的密钥多项式，IDj表示第j个参与节点的设备ID，

为拉格朗日系数；

(324)如果转发设备v_to收到的所述部分签名σ_j来自非参与节点，则直接丢弃，否则按照如下方法验证σ_j：

1)转发设备v_to使用收到的σ_j计算：

σ_jP＝(x_jl_jd+k_j)P＝x_jl_jdP+k_jP；

其中，p是大质数，P为q阶椭圆曲线E(Fp)点群中的基点；

2)用本地存储的x_jP和从v_IDj接收到的k_jP计算x_jl_jdP+k_jP；

3)判断步骤2)和3)计算结果是否相等，若相等则部分签名σ_j的验证合法，否则验证错误；

如果所述转发设备v_to收到了t个合法的部分签名，则跳转至步骤(326)，否则，跳转至步骤(325)；

(325)假设有z,1≤z<t个参与节点由于提供了错误的部分签名σ_j或者没有提供k_jP，所述转发设备重新请求所述边缘服务器，对信誉值排名选择出新的终端设备成为参与节点，并对没有提供部分签名和k_jP的t个参与节点进行信誉值扣分并更新组内所有传感设备的信誉值表；

本发明通过步骤(325)提高了容错性，由于发生错误的节点不会参与聚合，聚合结果不会被影响；

(326)所述转发设备v_to根据收到的t个合法的部分签名生成最终签名σ：

即

其中，

将{V,e,σ}上传给边缘服务器。

进一步地，所述步骤(4)包括：

(41)边缘服务器v_t收到转发设备v_to发来的数据报{V，e，σ}，其中V＝{CID，ID_to}，CID为产生数据的终端设备所在组的组号，ID_to是转发设备的ID；

边缘服务器v_t检查自己是否存储了组CID的公钥，如果没有，则丢弃该数据报；否则，边缘服务器v_t使用CID的公钥Q_CID验证签名，依次计算d＝H(e||V)、R＝σp-dQ_CID和C＝ENC^-1(X(R),e)，其中，ENC^-1表示解密操作，||表示连接，e＝ENC(X(R),C)，

X(R)表示与R相关的双射变换，σ为转发设备v_to生成的最终签名；

判断解密得到的C中恢复出的冗余信息D_r与数据报中的信息是否一致，如果不一致，则认为此数据为虚假数据并丢弃该数据报，边缘服务器v_t降低v_k的信任值

当

时，从可信列表中删除v_k，并将v_k添加到隔离表中，其中，TT为信誉阈值；如果对比信息一致则从C中恢复得到c_i并准备聚合，

(42)在一个时间间隔t中，边缘服务器v_t会收到w个合法的数据c₁,c₂…c_w，此时进行聚合操作：

聚合后，得到聚合后的数据c，并发送给云端。

进一步地，所述步骤(5)包括：

云端使用初始化时所述边缘服务器分配的私钥skq＝(u,λ)进行以下运算：

其中，n＝pq，p是大质数，q为椭圆曲线E(Fp)的点群阶，m_i是传感设备感应的数据值，λ＝lcm(p-1,q-1)，u＝(L(P^λmod n²))-1；

使用私钥skq＝(u,λ)可得：

云端得到聚合结果的明文，并进行分析，其中m是聚合结果明文。

进一步地，当数据C的长度不超过R的长度时，双射变换X(R)包括对称密钥加密算法，所述对称密钥加密算法包括DEA或异或操作XOR。

本发明所述的边缘计算中检测虚假数据注入的聚合装置，包括：存储器、处理器及在所述存储器上存储并可运行的数据聚合程序，所述数据聚合程序被处理器执行时实现上述任一项所述边缘计算中检测虚假数据注入的聚合方法的部分或全部步骤。

有益效果：该方案利用Paillier同态密码系统(Paillier HomomorphicCryptosystem)使得终端数据在传输、聚合中始终以密文形式存在，保证了数据的私密性，借助于SHE同态加密的特性，云端可方便的解析出聚合数据的结果。本发明在保护数据隐私性的同时，过滤虚假数据，增加了方案的容错性，提高了数据聚合的准确性。

附图说明

图1是本发明所述边缘计算中检测虚假数据注入的聚合方法流程图；

图2是本发明的网络架构图；

图3是本发明方法中的签名流程图。

具体实施方式

下面结合附图和实施例对本发明的技术方案作进一步的说明。

请参见图1，其示出了本发明所述的边缘计算中检测虚假数据注入的聚合方法。对于如图2所示的边缘计算的网络架构，本发明的数据聚合方法包括：

(1)初始化阶段：Paillier同态密码系统(Paillier Homomorphic Cryptosystem)参数、签名所需的设备参数、所有设备的信誉值初始化。

(1-1)签名相关参数的初始化。把所有终端设备分为若干个组，每个组内会根据边缘服务器维护的信誉值表选出信誉值最高的设备作为转发设备(用于签名生成和数据转发)。边缘服务器(边缘节点)为各组分配一个唯一的组ID，假设所有终端设备被分为i组，为各组产生一个唯一的密钥多项式

其中a₀…a_t-1是取自有限域Fp中的随机数(p是一个大质数)，S_i为私钥，其取值为a₀，x取值为设备ID，t为构造签名所需的设备数量。该组的公钥为Q_i＝S_iP，其中P为q阶椭圆曲线E(Fp)点群中的基点。然后，边缘服务器(边缘节点)计算出组内各终端设备v_IDj对S_i的密钥共享

以及x_jp(用于验证v_iDj的部分签名)。边缘服务器在各组终端设备v_iDj上分配设备ID(ID_j)、组ID，组公钥Q_i、密钥共享x_j、ECPVSS签名相关的参数(基点P，阶q，大质数p)。此外，边缘服务器存储设备ID、组ID、组公钥Q_i、ECPVSS签名相关的参数以及系统参数。同一组内的各个终端设备均存储组内其他设备v_Idk的x_kp是为了在签名开始生成之前，验证v_Idk的部分签名，k≠j，并不用担心x_kp的泄露会导致x_k的泄露，因为攻击者无法从x_kp推导出x_k，这是椭圆曲线中的离散对数问题。各组内设备均持有组私钥S_i的唯一份额，从而保障了S_i的安全，组内任何t个设备均可以共同构建出S_i，即：

其中，

为拉格朗日系数，ID_k表示其余的参与设备的ID；

少于t个设备参与则无法重建S_i；

(1-2)Paillier Homomorphic Cryptosystem相关参数的初始化。边缘服务器选择两个不同的大质数(p,q)，然后计算RSA模数n＝pq和Carmichael函数λ＝lcm(p-1,q-1)，然后边缘服务器定义一个函数

u可以被计算：u＝(L(P^λmod n²))-1。然后选择一个生成器

选择随机数V_i,(0<V_i<n)且gcd(V_i,n)＝1。因此Paillier HomomorphicCryptosystem的公钥为pkg＝(n,g)，对应的私钥时skq＝(u,λ)，将公钥pkq分配给各组内的终端设备，将私钥skq分配给云端(控制中心)用来解析聚合结果的明文。

(2)数据报的产生：由终端设备产生数据，并对所述数据的明文进行同态加密生成密文，同时确定转发设备，将加密后的密文信息发送给转发设备。

(2-1)终端设备生成数据时，会首先请求边缘层的边缘服务器，边缘服务器会查询自己维护的终端设备信誉表，通过获得组内最高信誉值的设备，选作为本次的转发设备，把这个设备的ID发送给请求的终端设备；

(2-2)终端设备已经获得转发设备的ID即ID_to，产生的数据的形式为M＝{CID，ID_to，m_i}。其中CID为设备所在组的组号，ID_to是转发设备的ID，m_i是感应的数据值。当某一个终端设备采集数据后为保护数据m_i在其传输链路上的隐私性，所述终端设备使用公钥pkq＝(n,g)将数据m_i进行加密：(Paillier Homomorphic Cryptosystem)

所述终端设备发送数据M_Ci＝{CID,ID_to,c_i}至转发设备V_to。

(3)签名生成：引入信誉机制，通过从边缘服务器查询所有设备的信任值，选择多个信任设备参与签名生成，多个信任设备使用基于密钥共享技术的联合签名方案构造出签名。

(3-1)转发设备v_to之前已经获取了终端设备发来的数据M_Ci＝{CID,ID_to,c_i}，转发设备接下来负责对数据M_Ci＝{CID,ID_to,c_i}进行联合签名；

(3-2)转发设备请求边缘服务器获取本次参与签名的设备的信息，边缘服务器查询自己维护的设备信誉表，选取t个信誉值最高的设备，作为本次签名生成的参与节点。转发设备获取到这些设备的信息后把数据信息M_Ci发送给这t个参与节点，t个参与节点分别用自己的密钥共享对数据信息M_Ci进行签名。M_Ci被分为C和V。其中，C＝{ID_to，c_i},V＝{CID，ID_to}；其中，

n＝pq，p是大质数，q为椭圆曲线E(Fp)的点群阶，V_i是随机数,0<V_i<n且gcd(V_i,n)＝1，CID为终端设备所在组的组号，ID_to是转发设备的ID。由于C中包含一些冗余信息(ID_to)，因此|C|+|V|≥|M|，具体签名过程如下：

如图3所示，本方案使用适用资源受限环境下的椭圆曲线可恢复签名方案(ECPVSS)：

Step1 t个终端设备参与联合构建kP用于加密C。各参与设备v_idj(1≤j≤t)在[1，q-1]中随机选取k_j(q为椭圆曲线的阶)，并将k_jP而非k_j发送给转发设备v_to，使得v_to不能从k_jP推导出k_j。

Step2转发设备v_to计算出

然后将X(R)的值发送给各个参与设备。X(R)是与R相关的双射变换，旨在破坏C可能具有的任何(代数)结构。如果C不超过R的长度，则X(R)变换可以是对称密钥加密算法，例如DEA，或者是简单的异或(XOR)操作。离散对数问题的困难和随机数k的选择可以确保R的保密性。Step3各参与设备v_idj使用X(R)计算e＝ENC(X(R),C)和d＝H(e||V)。其中，H是哈希函数(例如，SHA-1)，||表示连接，ENC为一种对称加密算法(例如，AES、DEA、RC5)。然后，v_IDj计算自己的部分签名σ_j＝x_jl_jd+k_j并发送给v_to；其中

为拉格朗日系数。若此时部分参与设备被妥协，不使用得到的原始数据进行签名，并进行虚假数据注入，那么这个部分签名仍然可以参与签名的构造，后续的边缘服务器会根据从签名恢复的冗余信息进行验证并将其过滤。

Step4如果转发设备v_to收到的部分签名σ_j来自某个非参与设备，则直接丢弃，否则按照如下方法验证σ_j：

(1)转发设备v_to使用收到的σ_j计算σ_jP：

σ_jP＝(x_jl_jd+k_j)P＝x_jl_jdP+k_jP ③

(2)用本地存储的x_jP和从v_IDj接收到的k_jP计算：

x_jl_jdP+k_jP； ④

(3)若计算结果③与④的计算结果相等，则认为合法，否则，认为σ_j错误。

如果v_to收到了t个合法的部分签名，则跳转至Step6，否则，跳转至Step5。

Step5假设有z(1≤z<t)个参与设备由于提供了错误的部分签名σ_j或者没有提供k_jp，转发设备重新请求边缘服务器，对信誉值排名选择出新的设备成为参与设备，并对没有提供部分签名和k_jP进行信誉值扣分并更新组内所有传感设备的信誉值表。

Step6待v_to收集到t个合法的部分签名之后，将它们相加便得到最终签名：

即

其中，

最后，将{V,e,σ}上传给边缘服务器。

(4)虚假数据的过滤和聚合：边缘服务器通过自己持有的公钥信息，恢复签名中的冗余信息，以此验证数据是否合法，若数据合法则将数据进行聚合操作，否则丢弃数据。

(4-1)过滤虚假数据。当边缘服务器v_t收到v_to发来的数据报{V，e，σ}，其中V＝{CID，ID_to}，v_t将对此数据报进行验证，并且丢弃错误的数据报。首先，v_t检查自己是否存储了组CID的公钥，如果没有，则丢弃该数据报(即v_t不聚合自己无法验证的数据报)；否则，v_t使用组CID的公钥Q_CID验证签名，依次计算d＝H(e||V)、R＝σp-dQ_CID和C＝ENC^-1(X(R),e)。其中，ENC^-1表示解密操作。EVPVSS签名方案是一个可恢复的签名方案，检查C中恢复出的冗余信息D_r与数据报中的信息是否一致，如果不一致，则认为此数据为虚假数据并丢弃该数据报(参与设备生成签名时，若有设备被妥协，会注入虚假信息产生错误的签名)。并且将v_k的信任值

减去0.1。如果

(信誉阈值)，则从可信列表中删除v_k，并将v_k添加到隔离表中。如果对比信息一致则从C中恢复得到c_i并准备聚合；

(4-2)数据聚合。在一个时间间隔t中(t＝10min)，边缘服务器v_t会收到w个合法的数据C₁,C₂…C_w，此时进行聚合操作：(由于paiiler算法的特性，聚合前不需对数据进行解密)：

聚合后，得到聚合后的数据c，并发送给云端(控制中心)。

(5)解析得到聚合结果：数据在聚合前已经进行了同态加密，云端通过自己的密钥信息对加密的聚合结果进行解密得到聚合结果，根据聚合结果进行分析。

初始化时，边缘服务器已经事先分配私钥skq＝(u，λ)给控制中心，此时控制中心使用私钥进行以下运算：

使用私钥skq＝(u，λ)可得：

控制中心得到聚合结果的明文，并进行分析,m是聚合结果明文。