Ett dynamiskt policymedvetet villkorat proxy-omkrypteringssystem för finmaskig åtkomstkontroll i IoT pub/sub-system

Varför smartare lås för uppkopplade enheter spelar roll

Miljarder sensorer i hem, sjukhus, fabriker och städer skickar nu data via molntjänster med en "publish and subscribe"-modell. Att hålla den datan privat är svårt, särskilt när många olika personer och appar behöver åtkomst vid olika tider och platser. Den här artikeln visar hur man kan låsa och låsa upp Internet of Things (IoT)-data på ett mycket mer flexibelt sätt, så att krypterade meddelanden fortfarande kan flöda smidigt samtidigt som åtkomstregler ändras med verkliga förhållanden.

Utmaningen med att dela data utan att avslöja den

Moderna IoT-system förlitar sig på meddelandemäklare som vidarebefordrar information från enheter till prenumeranter. Idag skyddar transportsäkerheten främst vägen mellan varje enhet och mäklaren, men mäklaren själv ser ofta rådata. Tidigare arbeten använde ett verktyg kallat conditional proxy re-encryption, som låter mäklaren omvandla en användares krypterade meddelande till en annan användares krypterade meddelande utan att lära sig innehållet. Den tidigare designen hade dock allvarliga begränsningar: den klarade bara ett enda enkelt villkor, kunde inte lätt anpassa sig till förändringar i tid eller plats, och läckte delar av regeln som användes för åtkomstkontroll. Att återkalla en användare var också klumpigt och tvingade publicister att uppdatera nycklar för många kvarvarande användare.

Att lägga verklig kontext i åtkomstregler

Författarna presenterar ett nytt system som låter åtkomstregler spegla den ostrukturerade verkligheten i IoT-utrullningar. I stället för ett enda villkor kan policys nu kombinera flera dimensioner: när en förfrågan görs, var den kommer ifrån, vilken roll förfrågaren har och vad enhetens status är. Policys skrivs i ett välbekant JSON-format, så de kan fånga logik som "endast under kontorstid", "endast inom sjukhuset" eller "endast om denna sensor rapporterar normal drift". En dedikerad policystyrningsmotor lagrar och uppdaterar dessa regler, distribuerar dem till enheter och meddelandemäklaren, och säkerställer att de förblir konsekventa när omständigheterna ändras.

Att hålla reglerna själva hemliga

En viktig innovation är att mäklaren kan tillämpa dessa rika policys utan att se deras exakta detaljer. Systemet döljer känsliga delar av en regel med en kryptografisk teknik känd som en commitment, som fungerar som ett förseglat kuvert som senare kan kontrolleras för ärlighet men inte läsas i förväg. Enheter krypterar utgående data tillsammans med en dold version av policyn, och policy-motorn förbereder matchande nycklar för varje prenumerant. När mäklaren tar emot ett meddelande kontrollerar den på ett integritetsbevarande sätt om prenumerantens attribut uppfyller den dolda policyn. Endast om både den kryptografiska länken och den logiska regeln matchar kommer mäklaren att omvandla chiffertexten så att prenumeranten kan dekryptera den.

Arkitektur, säkerhet och prestanda i praktiken

Den föreslagna designen passar in i befintliga publish and subscribe-system byggda på MQTT-protokollet genom att utöka en populär mäklare kallad HiveMQ. Arkitekturen separerar fyra roller: begränsade IoT-enheter som krypterar data med bundna policys, en central policymotor som definierar och förbinder sig till policys, en mäklare som utför omkryptering, och prenumeranter som slutligen dekrypterar datan. Författarna modellerar noggrant angripare som kan försöka lära sig data hos mäklaren, samarbeta som illa uppförande prenumeranter eller sluta sig till affärshemligheter från policys form. De bevisar, under standard matematiska antaganden, att deras schema håller meddelanden konfidentiella, döljer policys och motstår valda-chiffertext-attacker, även när motståndare kan fråga dekrypterings- och omkrypterings-orakel.

Hur väl systemet presterar under belastning

För att testa om denna ökade flexibilitet är praktisk byggde teamet en fullständig prototyp med Go-bibliotek, en modifierad HiveMQ-mäklare, simulerade IoT-enheter och en webbpanel för hantering av policys. Experiment på serverhårdvara och Raspberry Pi-klienter mätte den tillagda kostnaden för de nya funktionerna. Kryptering med policys tog ungefär 7% längre tid än en enklare referenslösning, främst på grund av beräkningen av policy-commitments, medan omkryptering och dekrypteringstid förblev nära traditionella scheman. Policy-skapande och uppdateringar slutfördes på ett par millisekunder, och att matcha en prenumerant mot så många som 10 000 lagrade policys tog bara bråkdelar av en mikrosekund. Vid hög samtidighet skalade systemet väl, uppnådde tusentals operationer per sekund och stödde upp till 10 000 prenumeranter med stabil genomströmning och hanterbar latens.

Vad detta innebär för framtida uppkopplade system

I vardagliga termer visar arbetet att det är möjligt att hålla IoT-data krypterad från ände till ände samtidigt som man tillämpar rika, föränderliga regler om vem som får se vad, när och varifrån, utan att avslöja dessa regler för nyfikna mellanhänder. Schemat tillför måttlig overhead jämfört med enklare metoder men levererar mycket mer kontroll och integritet. När IoT-utrullningar växer i omfattning och känslighet kan sådan dynamisk, policymedveten kryptering hjälpa organisationer att dela data säkert över enheter, användare och domäner samtidigt som både meddelandena och reglerna som skyddar dem hålls utom synhåll.

Citering: Lin, S., Ke, N., Jun Ru, H. et al. A dynamic policy-aware conditional proxy re-encryption system for fine-grained access control in IoT pub/sub systems. Sci Rep 16, 15832 (2026). https://doi.org/10.1038/s41598-026-46939-3

Nyckelord: Internet of Things-säkerhet, publish subscribe, åtkomstkontroll, proxy-omkryptering, datasekretess