Clear Sky Science
הסברים מבוססי ראיות, עם מעט ז'רגון

Clear Sky Science · he

מערכת דינמית של הצפנה מותנית עם מודעות למדיניות לשמירה על בקרה מדויקת בגישה במערכות פרסם/הירשם של IoT

· חזרה לאינדקס

מדוע נעילות חכמות יותר למכשירים מחוברים חשובות

מיליארדי חיישנים בבתים, בתי חולים, מפעלים וערים שולחים כעת נתונים דרך שירותי ענן במודל "פרסם והירשם". שמירה על פרטיות הנתונים האלה קשה, במיוחד כשאנשים ותוכניות רבות שונות זקוקים לגישה בזמנים ומקומות משתנים. מאמר זה מראה כיצד לנעול ולפתוח נתוני אינטרנט של הדברים (IoT) בצורה גמישה בהרבה, כך שהודעות מוצפנות יכולות לזרום באופן חלק בעוד כללי הגישה משתנים בהתאם לתנאים בעולם האמיתי.

Figure 1. נתוני IoT מוצפנים עוברים דרך מתווך שמכריז וטוען כללים גמישים ונסתרים לפני הגעתם למנויים שונים.
Figure 1. נתוני IoT מוצפנים עוברים דרך מתווך שמכריז וטוען כללים גמישים ונסתרים לפני הגעתם למנויים שונים.

האתגר לשתף נתונים בלי למסור אותם

מערכות IoT מודרניות מסתמכות על מתווכים להעברת הודעות שמעבירים מידע מהמכשירים אל המנויים. כיום אבטחת התעבורה בעיקר מגנה על הנתיב בין כל מכשיר למתווך, אך המתווך עצמו לעתים קרובות רואה את הנתונים הגולמיים. עבודה קודמת השתמשה בכלי שנקרא שיחזור הצפנה מותנית באמצעות פרוקסי, שאפשר למתווך להמיר הודעה מוצפנת של משתמש אחד להודעה מוצפנת של משתמש אחר בלי ללמוד את התוכן. עם זאת, העיצוב הקודם היה מוגבל במידה ניכרת: הוא יכל לטפל רק בתנאי בודד פשוט, לא ידע להסתגל בקלות לשינויים בזמן או במיקום, ודלף חלקים מהכלל ששימש לבקרת הגישה. ניתוק גישה של משתמש גם היה מסורבל, ודורש מהמפרסמים לרענן מפתחות עבור משתמשים רבים שנשארו.

הוספת הקשר מעשי לכללי הגישה

המחברים מציגים מערכת חדשה שמאפשרת לכללי הגישה לשקף את המציאות המורכבת של פריסות IoT. במקום תנאי יחיד, מדיניות יכולה עכשיו לשלב מספר ממדים: מתי התבצעה הבקשה, מאיפה היא מגיעה, איזו תפקיד יש למבקש, ומהו מצב המכשיר. המדיניות נכתבת בפורמט JSON מוכר, כך שהיא יכולה לתאר לוגיקה כגון "רק בשעות העבודה", "רק בתוך בית החולים" או "רק אם חיישן זה מדווח על פעולה נורמלית". מנוע ניהול מדיניות ייעודי מאחסן ומעדכן את הכללים, מפיץ אותם למכשירים ולמתווך, ומבטיח שהם יישארו עקביים כאשר הנסיבות משתנות.

Figure 2. שינויים בהקשר כגון זמן ומיקום נבדקים מול כללים נסתרים כך שרק בקשות התואמות ישחררו את הנתונים המוצפנים.
Figure 2. שינויים בהקשר כגון זמן ומיקום נבדקים מול כללים נסתרים כך שרק בקשות התואמות ישחררו את הנתונים המוצפנים.

שמירה על סודיות הכללים עצמם

חידוש חשוב הוא שהמתווך יכול לאכוף את המדיניות העשירה הזו בלי לראות את פרטיה המדויקים. המערכת מסתירה חלקים רגישים של כלל באמצעות טכניקת קריפטוגרפיה הידועה כהתחייבות (commitment), שעובדת כמו מעטפה חותמת שניתן לבדוק את יושרה מאוחר יותר מבלי לקרוא אותה מראש. מכשירים מצפינים נתונים יוצאים יחד עם גרסה מוסתרת של המדיניות, ומנוע המדיניות מכין מפתחות תואמים לכל מנוי. כאשר המתווך מקבל הודעה, הוא בודק בצורה משמרת פרטיות האם התכונות של המנוי עונות על המדיניות הנסתרת. רק אם גם הקישור הקריפטוגרפי וגם הכלל הלוגי תואמים, המתווך ימיר את הטקסט המוצפן כך שהמנוי יוכל לפענח אותו.

ארכיטקטורה, אבטחה וביצועים בפועל

העיצוב המוצע משתלב במערכות פרסם והירשם קיימות המבוססות על פרוטוקול MQTT באמצעות הרחבת מתווך פופולרי בשם HiveMQ. הארכיטקטורה מפרידה בין ארבעה תפקידים: מכשירי IoT מוגבלים שמצפינים נתונים עם מדיניות קשורה, מנוע מדיניות מרכזי שמגדיר ומתחייב למדיניות, מתווך שמבצע שיחזור הצפנה, ומנויים שלבסוף מפענחים את הנתונים. המחברים מדגמים בקפידה תוקפים שעשויים לנסות ללמוד נתונים במתווך, להתיאם כמנויים מתנהגים בצורה רעה, או להסיק סודות עסקיים מצורת המדיניות. הם מראים, תחת הנחות מתמטיות סטנדרטיות, שהסכמה שלהם שומרת על סודיות הודעות, מחפה על המדיניות, ומתנגדת להתקפות בטקסט-מוצפן-נבחר, אפילו כאשר יריבים יכולים לשאול אובייקטים לפענוח ושיחזור הצפנה.

כיצד המערכת מתפקדת בעומס

על מנת לבחון האם הגמישות הנוספת הזו מעשית, הצוות בנה אב-טיפוס מלא באמצעות ספריות Go, מתווך HiveMQ מותאם, מכשירי IoT מדומים ולוח בקרה אינטרנטי לניהול מדיניות. ניסויים על חומרת שרתים ולקוחות Raspberry Pi מדדו את העלות הנוספת של התכונות החדשות. הצפנה עם מדיניות ארכה כ־7% יותר מזו של קו בסיס פשוט יותר, בעיקר בגלל חישוב התחייבויות המדיניות, בעוד זמני שיחזור הצפנה ופענוח נשארו קרובים לאלו של סכמות מסורתיות. יצירה ועדכונים של מדיניות הושלמו בכמה מילי־שניות, והתאמת מנוי מול עד 10,000 מדיניות מאוחסנות ארכה רק שברים של מיקרו־שנייה. בתנאי תחרותיות גבוהה, המערכת סקללה היטב, השיגה אלפי פעולות לשנייה ותמכה בעד 10,000 מנויים עם תפוקה יציבה ועיכוב שניתן לנהל.

מה משמעות הדבר עבור מערכות מחוברות עתידיות

במונחים יומיומיים, עבודה זו מראה שאפשר לשמור על נתוני IoT מוצפנים מקצה לקצה בעוד שממילא חלים כללים עשירים ומשתנים לגבי מי יכול לראות מה, מתי ומאיפה, וללא חשיפת אותם כללים למתווכים סקרנים. התכנית מוסיפה עומס צנוע בהשוואה לשיטות פשוטות יותר אך מספקת שליטה ופרטיות הרבה יותר. ככל שפריסות ה‑IoT יגדלו בהיקף וברגישות, הצפנה דינמית המודעת למדיניות כזו יכולה לסייע לארגונים לשתף נתונים בבטחה בין מכשירים, משתמשים ודומיינים תוך שמירה גם על ההודעות וגם על הכללים המגינים עליהם מחוץ להישג עין.

ציטוט: Lin, S., Ke, N., Jun Ru, H. et al. A dynamic policy-aware conditional proxy re-encryption system for fine-grained access control in IoT pub/sub systems. Sci Rep 16, 15832 (2026). https://doi.org/10.1038/s41598-026-46939-3

מילות מפתח: אבטחת אינטרנט של הדברים, פרסם הירשם, בקרת גישה, שיחזור הצפנה באמצעות פרוקסי, פרטיות נתונים