WSN 時空相關性隱私數(shù)據(jù)保護

裴華艷，王煥民

(1.甘肅廣播電視大學教務處，甘肅 蘭州 730030;2.蘭州交通大學機電技術研究所，甘肅 蘭州 730070)

0 引言

無線傳感器網(wǎng)絡常用于醫(yī)療、生態(tài)和瀕危物種保護等領域的監(jiān)測，其采集的數(shù)據(jù)往往在時間和空間上具有關聯(lián)關系。隨著概率圖、時間序列模型等現(xiàn)代關聯(lián)推斷技術的發(fā)展［1］，時空推斷攻擊已經(jīng)成為一種重要的WSN 的攻擊類型。為了防御這種攻擊，Kamat等人［2］提出了一種自適應緩沖區(qū)算法，Hong 等人［3］提出了一種隨機延遲策略，這2 種方法無法隱藏傳感器節(jié)點產(chǎn)生數(shù)據(jù)的速率隱私數(shù)據(jù);Shafiei 等人［4］提出了一種速率隱私保護方法，但是，這種方法可能會增加整個網(wǎng)絡的延遲。為了完善上述方法的不足，本文基于MIX［5］思想提出一種新的時空相關性隱私數(shù)據(jù)保護機制，利用路由中間節(jié)點緩沖區(qū)的延遲轉發(fā)功能隱藏數(shù)據(jù)在時空上的關聯(lián)性，從而保護時空相關性隱私數(shù)據(jù)。

1 問題的提出

在被用于監(jiān)測工廠生產(chǎn)流水線的無線傳感器網(wǎng)絡中［4］，流水線每完成一個產(chǎn)品，監(jiān)控流水線的傳感器節(jié)點就產(chǎn)生并發(fā)送一條消息給基站。對于競爭對手來說，工廠的產(chǎn)品生產(chǎn)速度是一個非常重要的信息，通過長期監(jiān)控這些數(shù)據(jù)，競爭對手能夠獲取更有價值的信息，如推斷出工廠的市場等。

同樣的場景可以被轉換到用于監(jiān)控大熊貓生活習性的無線傳感器網(wǎng)絡中［6-7］，當大熊貓出現(xiàn)在某個傳感器節(jié)點的數(shù)據(jù)感知范圍內時，節(jié)點產(chǎn)生感知數(shù)據(jù)并發(fā)送給基站，數(shù)據(jù)發(fā)送事件說明大熊貓在某個時間出現(xiàn)在產(chǎn)生數(shù)據(jù)的源節(jié)點。如果攻擊者能夠將數(shù)據(jù)的產(chǎn)生時間與感知節(jié)點的空間物理位置關聯(lián)起來，就能夠跟蹤大熊貓的活動蹤跡，進而捕獲大熊貓。

在上述2 種應用場景中，攻擊者通過長期監(jiān)控無線傳感器網(wǎng)絡的通信，能夠獲取大量通信數(shù)據(jù)，通過推斷數(shù)據(jù)在時間和空間上的關聯(lián)關系，就能夠進行時空推斷攻擊，從而威脅WSN 的網(wǎng)絡安全。為了防御這種攻擊，必須對WSN 的時空相關性隱私數(shù)據(jù)進行保護。時間信息的保護包括隱藏不同節(jié)點在數(shù)據(jù)發(fā)送時間上的關聯(lián)性、數(shù)據(jù)到達節(jié)點的時間和離開節(jié)點的時間之間的關聯(lián)性、同一節(jié)點接收的數(shù)據(jù)和發(fā)送的數(shù)據(jù)之間的關聯(lián)性等。空間信息的保護包括隱藏數(shù)據(jù)感知源節(jié)點的位置［6，8］，以及網(wǎng)絡匯聚節(jié)點或基站的位置［9-10］等。

2 研究現(xiàn)狀

目前，針對無線傳感器網(wǎng)絡時空相關性隱私數(shù)據(jù)保護的研究較少，Kamat 等人［2］通過建模并分析3 種不同類型的WSN 場景，提出了一種自適應緩沖區(qū)算法RCAD(Rate Controlled Adaptive Delaying)，其主要思想是緩沖區(qū)搶占策略。當中間節(jié)點接收到一條新數(shù)據(jù)時，如果緩沖區(qū)已滿，就選擇一條數(shù)據(jù)(稱為犧牲數(shù)據(jù))立即發(fā)送出去。當傳輸路徑上的節(jié)點采用可變延遲時，在不影響隱私數(shù)據(jù)保護和網(wǎng)絡性能的情況下，RCAD 能夠減少緩沖區(qū)搶占的次數(shù)。

Hong 等人［3］指出，通過監(jiān)控WSN 數(shù)據(jù)傳輸上下流的流量，攻擊者能夠跟蹤數(shù)據(jù)的傳輸路徑，從而找到基站。他們提出一種隨機延遲策略來隱藏數(shù)據(jù)上下流在時間上的關聯(lián)關系。在這種保護機制中，每個節(jié)點接收到數(shù)據(jù)后，將其隨機延遲一定的時間，以打亂數(shù)據(jù)的時間順序，從而隱藏數(shù)據(jù)間的關聯(lián)性。但是，上述2 種保護方法都無法隱藏傳感器節(jié)點產(chǎn)生數(shù)據(jù)的速率隱私數(shù)據(jù)。

Shafiei 等人［4］提出一種速率隱私保護方法，同樣基于中間節(jié)點的緩沖區(qū)來隨機延遲數(shù)據(jù)，與文獻［2-3］不同的是，在這種保護方法中，中間節(jié)點每收到一條數(shù)據(jù)，不是將其放入緩沖隊列的最后，而是將其隨機存入空閑的緩沖槽。隨機延遲一定時間后，中間節(jié)點將緩沖隊列的第一條數(shù)據(jù)發(fā)送出去。由于每次都選取第一條數(shù)據(jù)發(fā)送出去，可能會導致某些數(shù)據(jù)在中間節(jié)點停留很久，從而增加整個網(wǎng)絡的延遲。

3 本文方法

為完善上述方法的不足，針對無線傳感器網(wǎng)絡中的時空推斷攻擊，本文在MIX 思想［5］的基礎上，提出一種新的WSN 時空相關性隱私數(shù)據(jù)保護機制。

3.1 網(wǎng)絡體系結構

本文的研究基于文獻［11-12］描述的無線傳感器網(wǎng)絡體系結構TinyOS 和TinyDB，如圖1 所示。在這種體系結構中，以樹形結構組織傳感器節(jié)點，基站作為樹的根節(jié)點［9］，所有傳感器節(jié)點作為樹的分支節(jié)點。每個節(jié)點擁有一定數(shù)量的孩子節(jié)點，孩子節(jié)點作為本節(jié)點的下流節(jié)點，父母節(jié)點作為其上流節(jié)點。每個節(jié)點處理來自所有孩子節(jié)點和自身的感知數(shù)據(jù)，將處理結果發(fā)送給父母節(jié)點。每個節(jié)點擁有一個活動感知范圍v，如果2 節(jié)點間的距離小于v，就能夠相互發(fā)送和接收數(shù)據(jù)。假定所有傳感器節(jié)點使用MAC 層協(xié)議來避免數(shù)據(jù)沖突。

圖1 WSN 網(wǎng)絡體系結構

3.2 攻擊者

為了更好地進行分析和研究，本方假定攻擊者具有以下能力［9］:

攻擊者的空間物理位置能夠移動，能夠捕獲傳感器節(jié)點，通過破壞節(jié)點獲取其所有信息，但是，破壞一個感知節(jié)點需要一定的時間。同時，通過改編節(jié)點的程序，攻擊者能夠將其轉換為惡意攻擊節(jié)點。

攻擊者擁有一個信號干擾范圍d，d≥v。在d 的范圍內，攻擊者能夠產(chǎn)生無線電信號干擾傳感器節(jié)點或基站的正常信號。但是，攻擊者沒有整個傳感器網(wǎng)絡的全局信息，無法堵塞整個網(wǎng)絡。如果整個傳感器網(wǎng)絡的范圍是D，那么d?D。

假定攻擊者的數(shù)據(jù)感知和接收范圍也是v，當距離小于v 時，攻擊者能夠接收到任何來自傳感器節(jié)點或基站的數(shù)據(jù)。由于需要非常昂貴和敏感的設備，攻擊者接收距離大于v 的傳感器節(jié)點發(fā)送的數(shù)據(jù)很難。

3.3 數(shù)據(jù)傳輸加密

文獻［13-16］研究了無線傳感器網(wǎng)絡的隨機密鑰分布機制，以在相鄰感知節(jié)點間建立配對密鑰，本文基于這些研究，通過在父母節(jié)點和孩子節(jié)點間建立配對密鑰來保護傳輸數(shù)據(jù)的安全性，并驗證父母節(jié)點與孩子節(jié)點之間的關系。

當父母節(jié)點與其所有孩子節(jié)點建立配對密鑰后［9］，會建立一個單獨的簇鍵值用于加密與孩子節(jié)點的數(shù)據(jù)傳輸。節(jié)點s 的簇鍵值KCs 是一個s 與其所有孩子節(jié)點共享的密鑰。要建立KCs，s 需要產(chǎn)生一個隨機數(shù)KCs，通過單播方式將KCs 發(fā)送給所有經(jīng)過驗證的孩子節(jié)點，并通過各自的配對密鑰對此次通信進行加密。當孩子節(jié)點轉發(fā)感知數(shù)據(jù)時，就可以利用KCs 對通信進行加密。

3.4 實現(xiàn)原理

在本文中，除了基站和邊緣感知節(jié)點，位于傳輸路徑上的所有中間節(jié)點都要維護一個緩沖區(qū)，源節(jié)點(孩子節(jié)點)感知到事件的發(fā)生，產(chǎn)生感知數(shù)據(jù)，數(shù)據(jù)經(jīng)過多個中間節(jié)點的存儲轉發(fā)，最終由源節(jié)點到達基站。數(shù)據(jù)在中間節(jié)點傳輸?shù)倪^程中，存在3 種時空相關性隱私數(shù)據(jù)，對應3 種不同的時空關聯(lián)性:

1)父母節(jié)點和孩子節(jié)點在數(shù)據(jù)發(fā)送時間上的關聯(lián)性;

2)數(shù)據(jù)到達節(jié)點的時間和離開節(jié)點的時間之間的關聯(lián)性;

3)節(jié)點接收的數(shù)據(jù)和發(fā)送的數(shù)據(jù)之間的關聯(lián)性。

對于第1 種關聯(lián)性，如果父母節(jié)點接收到孩子節(jié)點發(fā)送的數(shù)據(jù)后立即轉發(fā)出去，攻擊者通過監(jiān)控兩者之間大量的通信時間間隔數(shù)據(jù)［9］，就能夠推斷出父母節(jié)點和孩子節(jié)點之間的層次結構和關聯(lián)關系。為了防御這種推斷攻擊，必須解構父母節(jié)點和孩子節(jié)點在數(shù)據(jù)發(fā)送時間上的關聯(lián)性。為了使攻擊者無法從父母節(jié)點接收和發(fā)送數(shù)據(jù)的速率中推斷出其與孩子節(jié)點的關聯(lián)關系，需要使每條數(shù)據(jù)在父母節(jié)點停留一定的時間，父母節(jié)點接收到孩子節(jié)點發(fā)送的數(shù)據(jù)后，將其在緩沖區(qū)存儲一定的隨機延遲時間再轉發(fā)出去。

對于第2 種和第3 種關聯(lián)性，攻擊者通過監(jiān)控數(shù)據(jù)到達節(jié)點的時間和離開節(jié)點的時間之間的關聯(lián)關系，就能夠推斷出數(shù)據(jù)的發(fā)送者。通過監(jiān)控節(jié)點接收的數(shù)據(jù)和發(fā)送的數(shù)據(jù)之間的關聯(lián)關系，就能夠推斷出節(jié)點之間的關聯(lián)關系，從而獲取節(jié)點之間的層次結構。為了防御第2 種推斷攻擊，本文引入Chaum 提出的MIX 思想［5］，使所有中間節(jié)點以相同的時間間隔發(fā)送數(shù)據(jù)，即為所有中間節(jié)點定義一個相同的延遲時間。但是，如果在一個固定的時間間隔內，只有一個數(shù)據(jù)被中間節(jié)點轉發(fā)出去，通信關系就很容易被推斷出來。因此，為了防御這2 種推斷攻擊，本文將中間節(jié)點的緩沖區(qū)劃分為n 個緩沖槽，可同時存儲n 條數(shù)據(jù)。在延遲時間內，父母節(jié)點接收孩子節(jié)點發(fā)送的數(shù)據(jù)，每接收一條數(shù)據(jù)，就將其隨機存入空閑緩沖槽。由于為所有中間節(jié)點定義了相同的延遲時間，如果在延遲時間內，中間節(jié)點通過接收多個孩子節(jié)點發(fā)送的數(shù)據(jù)和自身產(chǎn)生的數(shù)據(jù)將所有緩沖槽填滿，延遲時間到時，就同時將所有數(shù)據(jù)發(fā)送出去。這樣，所有中間節(jié)點都以相同的速率發(fā)送數(shù)據(jù)，攻擊者將無法通過探測數(shù)據(jù)發(fā)送速率進行推斷攻擊，更無法推斷出接收數(shù)據(jù)和發(fā)送數(shù)據(jù)間的對應關系。但是，在這種情況下，傳輸延遲會依賴于孩子節(jié)點，在通信量比較低的情況下，為了湊夠n 條不同的數(shù)據(jù)，傳輸延遲會很高。為了降低延遲，需要引入假消息［17］，如果在延遲時間內，中間節(jié)點接收的消息未能填滿所有緩沖槽，節(jié)點自身將產(chǎn)生相應數(shù)量的、地址隨機分布的假消息，將空閑緩沖槽填滿，延遲時間到時，將所有數(shù)據(jù)同時發(fā)送出去。實現(xiàn)原理的數(shù)據(jù)處理流程如圖2 所示。

圖2 實現(xiàn)原理數(shù)據(jù)處理流程圖

在無線傳感器網(wǎng)絡中，與離基站較遠的中間節(jié)點相比，節(jié)點離基站越近，發(fā)送數(shù)據(jù)的頻率越高，攻擊者通過監(jiān)控節(jié)點的數(shù)據(jù)傳輸速率，就能夠跟蹤推斷基站的位置。本文為所有中間節(jié)點定義了相同的數(shù)據(jù)發(fā)送速率，使攻擊者無法通過監(jiān)控數(shù)據(jù)發(fā)送速率判斷節(jié)點離基站的距離，進而獲取基站的位置。

中間節(jié)點離基站越近，接收的數(shù)據(jù)就越多，需要的緩沖區(qū)就越大;離基站越遠，接收的數(shù)據(jù)就相對較少，需要的緩沖區(qū)就較小。為了防御時空推斷攻擊，本文將所有中間節(jié)點的緩沖區(qū)大小設置為一樣，這可能導致近基站節(jié)點的緩沖區(qū)容易滿，從而產(chǎn)生一個問題，當近基站節(jié)點接收到一條數(shù)據(jù)時，如果緩沖區(qū)已滿，就需要選取一條數(shù)據(jù)先發(fā)送出去，本文不建議丟棄數(shù)據(jù)。基于文獻［2］的研究，本文選擇將具有最長剩余延遲時間的數(shù)據(jù)最先發(fā)送出去。首先把將會在緩沖區(qū)延遲最長時間的數(shù)據(jù)發(fā)送出去有助于減輕緩沖區(qū)的緩存壓力。由于中間節(jié)點已經(jīng)記錄了每條數(shù)據(jù)的剩余延遲時間，這種策略的實現(xiàn)較簡單。

4 結束語

本文通過分析2 種不同的無線傳感器網(wǎng)絡應用場景，提出了WSN 時空相關性隱私數(shù)據(jù)的保護問題。在分析現(xiàn)有時空相關性隱私數(shù)據(jù)保護技術的基礎上，針對3 種不同類型時空相關性隱私數(shù)據(jù)的保護，基于MIX 思想提出了一種新的保護機制，詳細闡述了該機制的實現(xiàn)原理和數(shù)據(jù)處理流程，為WSN 時空相關性隱私數(shù)據(jù)的保護提供了一種新的思路。

［1］范永健，陳紅，張曉瑩.無線傳感器網(wǎng)絡數(shù)據(jù)隱私保護技術［J］.計算機學報，2012，35(6):1131-1146.

［2］Kamat P，Xu Wenyuan，Trappe W，et al.Temporal privacy in wireless sensor networks:Theory and practice［J］.ACM Transactions on Sensor Networks，2009，5(4):Article 28.

［3］Hong Xiaoyan，Wang Pu，Kong Jiejun，et al.Effective probabilistic approach protecting sensor traffic［C］// Proceedings of the 2005 IEEE Military Communications Conference (MILCOM).2005，1:169-175.

［4］Shafiei H，Khonsari A，Derakhshi H，et al.Rate-privacy in wireless sensor networks［C］// Proceedings of the 2013 IEEE Conference on Computer Communications Workshops.2013:67-68.

［5］Chaum D L.Untraceable electronic mail，return addresses，and digital pseudonyms［J］.Communications of the ACM，1981，24(2):85-88.

［6］Kamat P，Zhang Yanyong，Trappe W，et al.Enhancing source-location privacy in sensor network routing［C］//Proceedings of the 25th IEEE International Conference on Distributed Computing Systems.2005:599-608.

［7］Szewczyk R，Mainwaring A，Polastre J，et al.An analysis of a large scale habitat monitoring application［C］// Proceedings of the 2nd International Conference on Embedded Networked Sensor Systems.2004:214-226.

［8］Ozturk C，Zhang Yanyong，Trappe W.Source-location privacy in energy-constrained sensor network routing［C］//Proceedings of the 2nd ACM Workshop on Security of Ad Hoc and Sensor Networks.2004:88-93.

［9］Deng Jing，Han R，Mishra S.Intrusion tolerance and anti-traffic analysis strategies for wireless sensor networks［C］//Proceedings of the 2004 IEEE International Conference on Dependable Systems and Networks (DSN).2004:637-646.

［10］Deng Jing，Han R，Mishra S.Countermeasures against traffic analysis attacks in wireless sensor networks［C］//Proceedings of the 1st IEEE International Conference on Security and Privacy for Emerging Areas in Communication Networks.2005:113-126.

［11］Hill J，Szewczyk R，Woo A，et al.System architecture directions for network sensors［C］// Proceedings of the 9th International Conference on Architectural Support for Programming Languages and Operating Systems.2000:93-104.

［12］Madden S，F(xiàn)ranklin M，Hellerstein J，et al.TAG:A tiny aggregation service for ad-hoc sensor networks［C］// Proceedings of the 5th Symposium on Operating Systems Design and Implementation.2002:131-146.

［13］Chan Haowen，Perrig A，Song D.Random key predistribution schemes for sensor networks［C］// Proceedings of the 2003 IEEE Symposium on Security and Privacy.2003:197-213.

［14］Du Wenliang，Deng Jing，Han Y，et al.A pairwise key predistribution scheme for wireless sensor networks［C］//Proceedings of the 10th ACM Conference on Computer and Communications Security.2003:42-51.

［15］Eschenauer L，Gligor V.A key-management scheme for distributed sensor networks［C］// Proceedings of the 9th ACM Conference on Computer and Communications Security.2002:41-47.

［16］Liu Donggang，Ning Peng.Establishing pairwise keys in distributed sensor networks［C］// Proceedings of the 10th ACM Conference on Computer and Communications Security.2003:52-61.

［17］Berthold O，F(xiàn)ederrath H，Kohntopp M.Project anonymity and unobservability in the Internet［C］// Proceedings of the 2000 Conference on Computers Freedom and Privacy.2000:57-65.