PrivacyGuard：一种用于物联网-雾计算-云计算架构的分层隐私保护框架

时间：2026年2月9日

来源：Computer Networks

编辑推荐：

雾计算环境下的用户隐私保护框架，提出四层架构解决现有方案在用户中心控制、多源数据融合及可信度不足的问题，结合边缘偏好设置、分层税收、自动策略合成、TEE验证及哈希缓存优化，实验验证低延迟（97ms）、高MITM防御（91.7%）及缓存加速（6.37×）。

越南胡志明市技术大学（HCMUT）计算机科学与工程学院

摘要

雾计算能够实现低延迟的物联网（IoT）应用，但当雾节点不可信或受到攻击时，会引入严重的隐私风险。当前的隐私保护框架主要关注云安全或基本的雾层加密，但没有一个框架能够为分布式IoT-雾-云架构提供全面的、以用户为中心的隐私保护机制，并支持细粒度的偏好组合。然而，雾计算的集成对于减少时间敏感型IoT应用的延迟至关重要，但当雾节点不可信或受到攻击时，会引入显著的隐私风险。现有的隐私保护框架主要关注云安全或基本的雾层加密，无法为分布式IoT-雾-云架构提供全面的、以用户为中心的隐私保护机制，这些机制需要支持细粒度的偏好、多源数据融合以及合规性要求。本文提出了PrivacyGuard，这是一个专为个人IoT数据保护设计的四层隐私保护框架，即使雾基础设施不可信也能使用。PrivacyGuard引入了几项关键创新：一个专门的边缘层，允许用户通过直观的界面指定分层的隐私偏好（包括例外和禁止项）；分层的数据类别和用途分类法，支持细粒度的隐私控制，同时符合GDPR法规；隐私偏好组合机制，在融合多源数据时自动生成最小权限策略；基于可信执行环境（TEE）的隐私验证机制，可在不向潜在恶意操作者暴露敏感信息的情况下对加密数据进行安全计算；以及针对高延迟农村网络优化的基于哈希的验证结果缓存。通过仿真测试，我们证明PrivacyGuard在单请求情况下的延迟低于100毫秒（P99为97.03毫秒），在100个并发用户的情况下延迟可提升至2059毫秒（P99为91.7%），具有91.7%的中间人攻击（MITM）抵抗能力，并且缓存速度提升了6.37倍。

引言

物联网（IoT）设备的普及通过可穿戴传感器、智能家居设备和环境监测系统，为持续收集个人数据提供了前所未有的机会[1]。然而，这种数据丰富的生态系统带来了严重的隐私挑战，特别是当对降低时间敏感型应用延迟至关重要的雾计算基础设施不可信或受到攻击时[2]、[3]。传统的以云为中心的IoT架构存在较高的延迟（通常超过几百毫秒），使其不适合医疗监测或紧急检测等时间敏感型应用[4]。雾计算通过将计算能力靠近数据源来解决这一问题[5]，但同时也引入了新的隐私风险：i) 分布式信任边界：从电信边缘服务器到社区网关的雾节点具有不同的信任等级[6]、[7]；ii) 资源限制：IoT设备和边缘设备无法支持计算密集型的隐私技术，如完全同态加密[8]；iii) 数据融合需求：结合多源数据需要适当组合具有不同敏感性的隐私偏好[9]；iv) 用户自主性缺失：现有的访问控制模型（RBAC [10]、CapBAC [11]、ABAC [12]）关注的是谁可以访问数据，而不是让用户能够控制如何使用、组合或保留他们的数据。当前的隐私保护框架存在显著不足。例如，Chan等人[13]、Yang等人[14]优先考虑数据完整性保护，但没有解决关于用途限制、保留期限或相关性禁止的全面隐私合规性问题[15]、[16]；其他研究（如[18]、[19]）关注粘性策略框架，这些框架将偏好绑定到数据上，但在多源数据融合时难以处理策略组合，并且会对资源受限的设备造成计算开销。最后，Carminati等人[20]、Wang等人[21]解决了谁可以访问数据的问题，但缺乏基于用途的限制、时间限制以及防止禁止性关联的机制。此外，最近的调查强调了需要同时解决安全、隐私和资源效率问题的集成解决方案，而不是将它们视为相互独立的议题[22]。传统方法在假设其他条件理想的情况下优化一个维度，导致系统在现实世界约束下无法正常运行。PrivacyGuard通过将隐私偏好直接嵌入数据处理流程，并针对雾环境优化计算和通信资源，回应了这一需求。基于这些限制，我们提出了PrivacyGuard——一个专为资源受限环境中个人IoT数据保护设计的四层隐私保护框架，即使雾基础设施不可信也能使用。PrivacyGuard解决了当前隐私保护IoT框架中的三个根本性缺陷，这些缺陷限制了它们在现实世界雾计算部署中的适用性： 缺陷1：用户自主性与系统中心控制。传统的访问控制框架（包括基于角色的访问控制（RBAC）[10]、基于能力的访问控制（CapBAC）[23]和基于属性的访问控制（ABAC）[12]）关注的是谁可以访问数据，政策由系统管理员或数据保管人定义。PrivacyGuard颠覆了这一模型，允许用户指定如何使用、组合和保留他们的数据。这种以用户为中心的方法符合GDPR对数据主体权利的重视，支持用户在IoT生态系统中真正控制个人数据流动的自主权。 缺陷2：数据融合的策略组合。现有的粘性策略系统[18]、[19]将偏好绑定到数据上，但在融合具有潜在冲突策略的多源数据时缺乏正式的偏好组合机制。当雾节点结合用户A的心率数据和用户B的活动数据进行人口健康分析时，应适用哪种隐私策略？PrivacyGuard引入了数学上严谨的组合规则（定义14，方程式（23）–（29）），自动生成最小权限策略，使用集合交集进行权限处理，使用集合并集进行禁止项处理，并提供可证明的正确性保证（定理1–2）。 缺陷3：不可信雾环境中的安全验证。当前的雾计算安全解决方案仅依赖于加密（容易受到拥有密钥访问权的恶意雾操作者的攻击）或信任假设（当雾基础设施由第三方运营时这些假设会被违反）。PrivacyGuard独特地结合了基于TEE的安全计算——即使在特权雾管理员的情况下也能保护验证逻辑——以及针对高延迟农村网络优化的基于哈希的缓存（定义19）。这种双重方法在资源受限的部署中实现了强大的安全保证和实际性能。 现实意义这些贡献使得以前无法用现有框架支持的实用部署场景成为可能： - •

农村远程医疗

，其中雾基础设施由不可信的第三方电信提供商运营； - •

雇主健康计划

，要求员工确保详细健康指标对人力资源系统不可访问； - •

临床研究

，参与者可以精确控制他们同意的数据类别和用途，并在需要多参与者数据融合时自动组合策略。本文的其余部分组织如下：第2节介绍我们的系统模型和威胁分析。第3节介绍分层隐私模型及其正式定义。第4节描述PrivacyGuard框架的设计。第5节提供全面的评估结果。第6节回顾相关工作，第7节总结未来方向。

系统模型和假设

在本节中，我们提出了一个全面的系统模型，正式定义了我们框架的架构组件、安全假设和操作约束。我们首先建立了四层架构的数学基础，然后详细说明了每一层的能力和限制。随后，我们介绍了威胁模型和安全假设，这些构成了我们隐私保护保证的基础。

隐私模型

PrivacyGuard中的隐私模型专门为解决IoT环境中的数据保护独特要求和挑战而设计。我们的模型通过结合细粒度的控制机制来扩展传统的隐私框架，这些机制用于数据相关性控制、推理预防和时间约束。具体来说，这些机制如下实现：(1) 数据相关性控制通过ProhibitedDataItems字段（定义10）来实现，该字段防止允许的数据与

PrivacyGuard框架设计

本节通过两个关键架构图全面分析了PrivacyGuard框架，展示了系统的隐私验证机制和操作工作流程。

实验评估

本节通过全面的仿真实验评估了PrivacyGuard，证明了我们的框架实现了：(1) 适用于时间敏感型IoT应用的低延迟隐私验证（端到端<100毫秒）；(2) 显著的缓存性能提升（速度提升了6.37倍）；(3) 可接受的TEE开销（冷启动时2.6倍，热启动时<5%）；(4> 对不可信雾基础设施的强安全保证（91.7%的中间人攻击抵抗能力）。在整个评估过程中，我们报告了两种不同的延迟情况

结论

本文提出了PrivacyGuard，这是一个全面的四层隐私保护框架，用于解决在资源受限环境中保护个人IoT数据的挑战，尤其是在雾计算基础设施不可信的情况下。我们的方法通过关键创新推进了技术前沿，包括一个专门的边缘层用于分层隐私偏好指定，全面的数据类别和用途分类法以确保符合GDPR法规，以及数学上严谨的

CRediT作者贡献声明

Phat T. Tran-Truong：概念化、方法论、软件实现、验证、撰写——初稿撰写、审稿与编辑。 Trung D. Mai：形式分析、方法论、撰写——初稿撰写、审稿与编辑。 Ha X. Son：撰写——初稿撰写、验证、软件实现、方法论、概念化。 Phien Nguyen Ngoc：概念化、方法论、软件实现、验证、撰写——初稿撰写。 Bang K. Le：撰写——审稿与编辑、撰写——初稿撰写、方法论。