许贵泉

摘要：内容中心网络（CCN）是近年来一种热门的未来网络架构，但是其路由器缓存数据包的模式给用户带来了隐私泄露的风险。该文提出一种面向用户隐私保护的缓存策略，通过将隐私敏感的内容缓存在非源请求路由处，增加攻击者关联用户与内容的难度，以达到用户请求隐私保护的目的。

关键词：内容中心网络（CCN）；缓存策略；用户隐私保护

中图分类号：TP393 文献标识码：A

文章编号：1009-3044（2019）10-0048-03

开放科学（资源服务）标识码（OSID）：

经过近五十年的高速发展，传统的以主机IP地址为中心的网络架构存在的诸如网络拥塞、内容传输效率低等问题愈加显现，已难以满足当前社会的需求。为此，许多的专家学者和研究机构纷紛提出新型互联网架构，其中采用了以内容为中心的网络架构思想的内容中心网络[1]的网络设计为代表，成为当前下一代互联网架构的研究热点。

缓存机制是CCN的最为主要的特点。在CCN网络中，每个路由节点都包含着内容存储器（CS， content store）。CS用于缓存数据内容分组，用户可以通过内容名字，获取所需数据内容。内容由来自部署在网络中的缓存或来自其源服务器，如果内容没有缓存在网络中，则提供服务的服务器发送该内容。一旦一个内容数据包从一个源服务器开始发送出去，它将被复制并缓存到所有沿途经过的路由器，即从发出兴趣的用户到连接源服务器的链路，该链路被称为转发路径。当另一个用户对这些内容发出兴趣包时，这些内容已经缓存在相同的路径上并响应用户请求。这种缓存机制可以降低网络中其他用户整体内容检索延迟，提高网络宽带资源的利用率。

然而，这通用缓存机制带来了很大的隐私风险。主要的隐私问题包括：缓存隐私泄露与内容隐私泄露[2，3]。在一段时间内，路由节点缓存的响应与未缓存的内容之间在返回延时时间上存在差异，这可以作为一个侧面来推断邻居用户以前是否请求过该内容。如图1所示，攻击者可以通过探测向路由器A放送兴趣包请求，通过测量内容返回延时时间，以确定路由器A存储的内容，从而获知邻近用户对敏感内容的通信痕迹和访问行为信息，达到侵犯邻居用户隐私的目的。

1 现有相关解决策略与研究现状

针对前面所说到的用户隐私安全隐患。文献[4]借鉴洋葱路由思想，提出了一种安全机制-ANDaNA。ANDaNA通过对数据包进行加密以达到为数据内容提供匿名的效果并实现网络的隐私保护。在一个数据包转发过程中，ANDaNA对其进行多次加密，加密的数据包分别由转发路径中的某一个中继路由器进行解密，最终将数据包送到请求该内容的用户。ANDaNA机制虽然有效地保护了用户隐私信息，但在数据内容转发过程中经过了多次的加解密，这将导致时延的增加和额外的计算开销。

针对时间测量攻击对网络用户带来的检索隐私泄露风险，文献[5]提出了一种随机延迟的隐私保护方式（Generate Random Delay，GRD），通过对就近缓存内容的响应时间附加额外时延，以使攻击者不能依据数据响应时间执行缓存内容探测，防止信息泄露。文献[6]提出一种基于多层加密机制的隐私保护策略。对转发路径中的数据包进行多层次地加解密，对新请求者，在延迟一定时间后才响应。同时，提出了请求者可信性验证，只有通过发布者验证的请求者，发布者才会响应请求者的兴趣包。但是上述方案增大了用户请求时延，导致网络缓存就近响应带来的低时延优势无法发挥。

在对缓存隐私进行分析之后，文献[7]提出一种random-cache的方法，对于到来的用户内容请求，通过随机地产生k个不命中响应判定，以实现缓存隐私保护。文献[8]围绕CCN的隐私问题开展讨论，并进一步指出，就缓存隐私保护而言，协同缓存与概率缓存，也是可行的隐私保护策略，但文中并没有给出具体的解决方案。文献[9]分析指出了CCN缓存隐私风险与相应的内容流行度之间的关系。当内容的流行度越低时，其隐私敏感性越高；相反，当内容的流行度越高时，其隐私敏感性越地。因此可以有选择性地进行内容隐私保护。文献[10]给出了一种基于协作缓存的隐私保护方法，通过构建空间匿名区域、扩大用户匿名集合来增大缓存内容的归属不确定性，在进行缓存决策时，依据匿名区域对请求内容的整体需求程度，将返回的内容存储在沿途活跃度最高的热点请求区域。

以上为近年来CCN缓存隐私问题相关的主要研究。可以看出，如何设计一种缓存隐私保护策略，在有效保护缓存隐私的同时，兼顾CCN的内容分发能力，是需要仔细考虑的问题。在分析了现有的缓存隐私保护策略的基础上，本文综合考虑了CCN的网络性能与分发效率，提出一种隐私内容邻居节点缓存的策略（PCNN，Privacy Caching in Neighbor Node）。本文提出的策略在于通过隐私标识区分隐私内容和非隐私内容，并作不同处理。通过将隐私敏感的内容缓存在相邻或间接相邻的路由节点中，增加攻击者锁定内容的不确定性，从而达到保护用户检索隐私的目的。

2 隐私保护缓存策略设计

综合前面所述，本内容中心网络的缓存策略设计的目的是在确保网络传输效率的同时对用户的请求隐私提供一定的保障。针对攻击者的时间测量攻击，通过将用户请求的较为隐私敏感的内容缓存在相邻或间接相邻的路由节点中，增加攻击者锁定内容的不确定性，从而达到保护用户检索隐私的目的。

为此，第一步需要区分高隐私敏感内容和低隐私敏感内容，本文中主要根据内容流行度加以区分。参考文献[11]，对于被大量用户所关注的高流行度内容，这部分内容对攻击者而言，没有探测价值，因为这一类内容的用户访问量大，攻击者很难判断该类内容的具体请求用户身份，攻击难度大，所以以内容请求流行度作为区分隐私敏感内容的参考标准。为便于描述，现假定用户的请求行为服从Zipf分布，设Pi为第i类内容的用户请求概率，则有：[Pi=ciα，c>0，α≥0]。

定义 1 高隐私敏感内容。设Pa为平均内容请求概率，如式（1），对于第i类内容，当其请求概率Pi小于Pa，将其视为高隐私敏感的内容；反之，则视之为低隐私敏感的内容。

当一个新的请求到达时，路由节点可以根据历史访问记录，统计最近一段时间内每种内容的请求概率，进而依据上述界定确定是否为隐私敏感的内容，如是，则针对该隐私内容，实施保护策略。而非隐私敏感的内容则按照传统步骤处理。

下面介绍隐私内容的缓存保护策略。为满足缓存策略需要，在兴趣包和数据包中添加跳数控制字段和隐私标识字段，数据包增加最大跳数字段。隐私标识字段标记该用户请求内容是否为敏感的内容，对于隐私敏感的内容请求，跳数控制字段用于记录该内容沿途各个节点的数目。跳数控制字段、最大跳数字段和隐私标识字段的初始值都为0。兴趣包和数据包在转发的过程中，具体的步骤如下：

1）当用户发送的兴趣包到达与其相连的缓存路由节点时，如该节点CS（Content Store）已经缓存内容，则为缓存命中，节点依据第4步步骤返回该兴趣包对应的数据包内容；若CS表中没有对应的请求内容，则执行第2步。

2）节点查询PIT（Pending Interest Table）表，若PIT表中有对该兴趣包的记录条目，则节点抛弃该兴趣包不作处理；若表中没有对该兴趣包的记录条目，则节点将该兴趣包请求插入PIT表，并且执行第3步。

3）节点检查兴趣包的隐私标识字段。若该字段值不为0，则兴趣包的跳数控制字段值加1；否则，路由节点根据最近一段时期统计信息，依据（1）式判断该内容是否为隐私内容。如为非隐私内容，则在兴趣包的隐私标识字段置2；如果是隐私内容，则在兴趣包的隐私标识字段置1，并且兴趣包的跳数控制字段值加1。然后依据FIB（Forwarding Information Base）表项执行下一跳路由转发，将兴趣包转发到下一个路由节点。

4）缓存节点收到转发来的兴趣包命中本节点缓存时，节点将兴趣包中的跳数控制字段值复制添加到相应数据包的跳数控制字段和最大跳数字段，同时将兴趣包中对应的隐私标识字段的值复制到数据包相应字段，然后查询PIT表，按照其中的接口记录返回数据包，删除相应PIT条目。

5）缓存节点收到转发来的数据包时，首先查询PIT表，如表中存在相应记录，则检查数据包的隐私标识字段，若值为0则直接按PIT表中的接口记录转发。否则，将数据包跳数控制字段值减1，如减后值大于0则直接转发数据包。如等于0，数据包到达与请求用户相连的边缘路由，执行第6步；若查询PIT表中没有找到相应记录，执行第7步。

6）路由节点产生一个随机数R，其区间为：[1≤R≤MD]。式中M表示数据包中最大跳数字段的值，D表示该路由节点的度。节点在响应了用户请求后不缓存该数据包，而将R值复制到数据包的跳数控制字段，然后从路由器的各个接口中随机选择一个接口发送数据包。

7）PIT表中没有找到相应记录的情况下，路由节点将数据包跳数控制字段值减1，如等于0，则该节点缓存该数据包；否则该节点从新产生一个新的随机数R，其区间同第6步，并将R值复制到数据包的跳数控制字段，然后从路由器的各个接口中随机选择一个接口发送数据包。

3 策略简要评估

如表1所示，PCNN与数据加密类的隐私保护策略相比，虽然在用户的隐私保护强度上比较弱，但由于不需要节点大量的加解密运算，故节点计算量需求较低。数据加密类的代表类型为文献[4]的ANDaNA机制和文献[6]的多层加密机制的隐私保护策略。而PCNN与人为添加延时类的隐私保护策略相比，由于没有人为地添加响应延时，而主要在于针对隐私内容进行处理，故整体增加的网络延时较低。人为添加延时类的代表类型为文献[5]随机延迟的隐私保护方式（GRD）和文献[7]的K匿名方式。

4 结语

本文的主要工作是围绕缓存隐私保护策略本身开展，本文提出的策略在于通过隐私标识区分隐私内容和非隐私内容，并作不同处理。通过将隐私敏感的内容缓存在相邻或间接相邻的路由节点中，增加攻击者锁定内容的不确定性，达到保护用户检索隐私的目的。接下来的工作是进一步研究如何检测缓存隐私探测行为。此外，CCN除了緩存隐私，内容隐私泄露也是其中一个隐私安全问题，关于CCN内容的隐私保护，也是未来的研究内容。

参考文献：

[1] 吴超， 张尧学， 周悦芝， 等. 信息中心网络发展研究综述[J]. 计算机学报， 2015， 38（3）：455-471.

[2] VASILAKOS A V， LI Z， SIMON G， et al. Information centric network： research challenges and opportunities[J]. Journal of Network and Computer Applications， 2015， （52）： 1-10.

[3] FOTIOU N， POLYZOS G C. ICN privacy and name based security[A].Proceedings of the 1st International Conference on Information-Centric Networking[C]. ACM， 2014. 5-6.

[4] Dibenedetto S， Gasti P， Tsudik G， et al. ANDaNA： Anonymous Named Data Networking Application [J]. Computer Science， 2011.

[5] Zhang Xinwen ， Mohaisen A ， Kim Y ， et al. Protecting access privacy of cached contents in information centric networks[C]// Acm Conference on Computer & Communications Security. ACM， 2013.

[6] 柳毅， 白雪峰， 杨育斌. 基于多层加密机制的内容中心网络隐私保护策略[J]. 计算机工程与应用， 2017，53（5）：1-5.

[7] ACS G， CONTI M， GASTI P， et al. Cache privacy in named-data networking[A]. Distributed Computing Systems （ICDCS）， 2013 IEEE 33rd International Conference[C]. IEEE， 2013： 41-51.

[8] CHAABANE A， DE CRISTOFARO E， KAAFAR M A， et al. Privacy in content-oriented networking： threats and countermeasures[J]. ACM SIGCOMM Computer Communication Review， 2013， 43（3）： 25-33.

[9] LAUINGER T， LAOUTARIS N， RODRIGUEZ P， et al. Privacy risks in named data networking： what is the cost of performance[J]. ACM SIGCOMM Computer Communication Review， 2012， 42（5）： 54-57.

[10] 葛国栋， 郭云飞， 刘彩霞， 等. 内容中心网络中面向隐私保护的协作缓存策略[J]. 电子与信息学报， 2015， 37（5）：1220-1226.

[11] 朱轶， 糜正琨， 王文鼐. 内容中心网络缓存隐私保护策略[J]. 通信学报， 2015， 36（12）：139-150.

【通联编辑：代影】