Clear Sky Science
Wyjaśnienia oparte na dowodach, bez zbędnego żargonu

Clear Sky Science · pl

Dynamiczny system warunkowego, świadomego polityk przekształcania szyfrów w celu szczegółowej kontroli dostępu w systemach IoT typu pub/sub

· Powrót do spisu

Dlaczego mądrzejsze zabezpieczenia dla urządzeń podłączonych mają znaczenie

Miliardy czujników w domach, szpitalach, fabrykach i miastach przesyłają dziś dane przez usługi w chmurze, korzystając z modelu „publish and subscribe”. Zachowanie prywatności tych danych jest trudne, szczególnie gdy wiele różnych osób i aplikacji potrzebuje dostępu w różnych momentach i miejscach. Niniejszy artykuł pokazuje, jak zabezpieczać i odszyfrowywać dane Internetu Rzeczy (IoT) w znacznie bardziej elastyczny sposób, tak aby zaszyfrowane komunikaty mogły nadal płynnie przepływać, podczas gdy reguły dostępu zmieniają się wraz z warunkami realnego świata.

Figure 1. Zaszyfrowane dane IoT przechodzą przez brokera, który egzekwuje ukryte, elastyczne reguły, zanim dotrą do różnych subskrybentów.
Figure 1. Zaszyfrowane dane IoT przechodzą przez brokera, który egzekwuje ukryte, elastyczne reguły, zanim dotrą do różnych subskrybentów.

Wyzwanie udostępniania danych bez ich ujawniania

Nowoczesne systemy IoT opierają się na brokerach wiadomości, które przekazują informacje od urządzeń do subskrybentów. Obecnie bezpieczeństwo transportu w głównej mierze chroni trasę między każdym urządzeniem a brokerem, ale sam broker często widzi surowe dane. Wcześniejsze prace wykorzystywały narzędzie zwane warunkowym proxy re-encryption, które pozwala brokerowi przekształcić zaszyfrowaną wiadomość jednego użytkownika w zaszyfrowaną wiadomość innego użytkownika, nie poznając jej treści. Jednak tamto rozwiązanie miało poważne ograniczenia: obsługiwało jedynie pojedynczy prosty warunek, nie mogło łatwo dostosowywać się do zmian czasu czy lokalizacji i ujawniało fragmenty reguły użytej do kontroli dostępu. Cofnięcie uprawnień użytkownika też było nieporęczne — zmuszało wydawców do odświeżania kluczy dla wielu pozostałych użytkowników.

Dodanie kontekstu rzeczywistego świata do reguł dostępu

Autorzy wprowadzają nowy system, który pozwala, aby reguły dostępu odzwierciedlały złożoną rzeczywistość wdrożeń IoT. Zamiast jednego warunku, polityki mogą teraz łączyć kilka wymiarów: kiedy żądanie jest składane, skąd pochodzi, jaką rolę ma wnioskodawca oraz jaki jest stan urządzenia. Polityki są zapisywane w znajomym formacie JSON, dzięki czemu mogą wyrażać logikę taką jak „tylko w godzinach pracy”, „tylko wewnątrz szpitala” czy „tylko jeśli ten sensor zgłasza normalne działanie”. Dedykowany silnik zarządzania politykami przechowuje i aktualizuje te reguły, dystrybuuje je do urządzeń i brokera wiadomości oraz zapewnia ich spójność w miarę zmiany okoliczności.

Figure 2. Zmieniający się kontekst, taki jak czas i lokalizacja, jest sprawdzany względem ukrytych reguł, więc tylko pasujące żądania odblokowują zaszyfrowane dane.
Figure 2. Zmieniający się kontekst, taki jak czas i lokalizacja, jest sprawdzany względem ukrytych reguł, więc tylko pasujące żądania odblokowują zaszyfrowane dane.

Ukrywanie samych reguł

Istotną innowacją jest to, że broker może egzekwować te rozbudowane polityki bez poznawania ich dokładnych szczegółów. System ukrywa wrażliwe części reguły za pomocą techniki kryptograficznej zwanej zobowiązaniem (commitment), która działa jak zapieczętowana koperta, którą można później sprawdzić pod kątem prawdziwości, ale której nie można odczytać z góry. Urządzenia szyfrują wychodzące dane razem z ukrytą wersją polityki, a silnik polityk przygotowuje pasujące klucze dla każdego subskrybenta. Gdy broker otrzymuje wiadomość, sprawdza w sposób zachowujący prywatność, czy atrybuty subskrybenta spełniają ukrytą politykę. Tylko jeśli zarówno kryptograficzne powiązanie, jak i reguła logiczna pasują, broker przekształci szyfrogram tak, aby subskrybent mógł go odszyfrować.

Architektura, bezpieczeństwo i wydajność w praktyce

Proponowany projekt wpasowuje się w istniejące systemy publish and subscribe oparte o protokół MQTT poprzez rozszerzenie popularnego brokera HiveMQ. Architektura rozdziela cztery role: ograniczone urządzenia IoT, które szyfrują dane z dołączonymi politykami, centralny silnik polityk definiujący i zobowiązujący polityki, broker wykonujący re-encryption oraz subskrybenci, którzy ostatecznie odszyfrowują dane. Autorzy starannie modelują napastników, którzy mogliby próbować poznać dane na brokerze, współpracować jako źle działający subskrybenci lub wywnioskować poufne informacje biznesowe z kształtu polityk. Udowadniają, w ramach standardowych założeń matematycznych, że ich schemat zachowuje poufność wiadomości, ukrywa polityki i opiera się atakom typu chosen-ciphertext, nawet gdy przeciwnicy mogą odpytywać orakle odszyfrowania i re-encryptionu.

Jak system zachowuje się pod obciążeniem

Aby sprawdzić, czy ta dodatkowa elastyczność jest praktyczna, zespół zbudował pełny prototyp korzystający z bibliotek Go, zmodyfikowanego brokera HiveMQ, symulowanych urządzeń IoT oraz panelu webowego do zarządzania politykami. Eksperymenty na sprzęcie serwerowym i klientach Raspberry Pi mierzyły dodatkowy koszt nowych funkcji. Szyfrowanie z politykami zajmowało około 7% więcej czasu niż prostszy punkt odniesienia, głównie ze względu na obliczanie zobowiązań politycznych, podczas gdy czasy re-encryption i odszyfrowania pozostały zbliżone do tradycyjnych schematów. Tworzenie i aktualizacje polityk kończyły się w ciągu kilku milisekund, a dopasowanie subskrybenta do nawet 10 000 przechowywanych polityk zajmowało zaledwie ułamki mikrosekundy. Przy wysokiej współbieżności system dobrze się skalował, osiągając tysiące operacji na sekundę i wspierając do 10 000 subskrybentów ze stabilnym przepustem i akceptowalnymi opóźnieniami.

Co to oznacza dla przyszłych systemów połączonych

Mówiąc prostymi słowami, praca ta pokazuje, że możliwe jest utrzymanie danych IoT zaszyfrowanych od końca do końca, jednocześnie stosując rozbudowane, zmieniające się reguły dotyczące tego, kto może zobaczyć co, kiedy i skąd, bez ujawniania tych reguł ciekawskim pośrednikom. Schemat dodaje umiarkowany narzut w porównaniu z prostszymi podejściami, ale daje znacznie większą kontrolę i prywatność. W miarę jak wdrożenia IoT rosną pod względem rozmiaru i wrażliwości, takie dynamiczne, świadome polityk szyfrowanie może pomóc organizacjom bezpiecznie udostępniać dane między urządzeniami, użytkownikami i domenami, trzymając zarówno komunikaty, jak i reguły, które je chronią, poza zasięgiem wzroku.

Cytowanie: Lin, S., Ke, N., Jun Ru, H. et al. A dynamic policy-aware conditional proxy re-encryption system for fine-grained access control in IoT pub/sub systems. Sci Rep 16, 15832 (2026). https://doi.org/10.1038/s41598-026-46939-3

Słowa kluczowe: Bezpieczeństwo Internetu rzeczy, publish subscribe, kontrola dostępu, proxy re-encryption, prywatność danych