一種無線傳感器網(wǎng)絡(luò)隱私保護(hù)數(shù)據(jù)聚合方案

付　帥　姜　奇　馬建峰

1(北京電子科技職業(yè)學(xué)院電信工程學(xué)院　北京　100176)2(西安電子科技大學(xué)計(jì)算機(jī)學(xué)院　西安　710071)

?

一種無線傳感器網(wǎng)絡(luò)隱私保護(hù)數(shù)據(jù)聚合方案

付帥1,2姜奇2馬建峰2

1(北京電子科技職業(yè)學(xué)院電信工程學(xué)院北京100176)2(西安電子科技大學(xué)計(jì)算機(jī)學(xué)院西安710071)

(ljhfs0803@126.com)

隱私保護(hù)是基于無線傳感器網(wǎng)絡(luò)(wireless sensor networks, WSNs)的數(shù)據(jù)聚合技術(shù)中最具挑戰(zhàn)性的安全問題之一.在WSNs環(huán)境中，現(xiàn)有的隱私保護(hù)數(shù)據(jù)聚合機(jī)制不能同時(shí)滿足安全性及節(jié)能性要求，存在計(jì)算復(fù)雜、通信量大及安全性低等缺點(diǎn).提出一種能量有效的、抗數(shù)據(jù)丟失的隱私保護(hù)數(shù)據(jù)聚合方案，該方案利用2次不同形式的數(shù)據(jù)擾動同時(shí)實(shí)現(xiàn)了數(shù)據(jù)對基站及網(wǎng)內(nèi)其他節(jié)點(diǎn)的隱私保護(hù).首先，從防止基站入侵角度，給出了初次擾動數(shù)據(jù)設(shè)計(jì)方法；在此基礎(chǔ)上，為實(shí)現(xiàn)對鄰居節(jié)點(diǎn)的隱私保護(hù)，提出二次擾動數(shù)據(jù)的構(gòu)造方法，并給出中間聚合節(jié)點(diǎn)及基站的聚合驗(yàn)證操作流程.通過引入消息認(rèn)證碼技術(shù)，有效抵御了多種外部攻擊.安全及性能分析表明，該方案可在不過多消耗節(jié)點(diǎn)能量的前提下保證節(jié)點(diǎn)的安全性，且具有較好的抗數(shù)據(jù)丟失能力，安全性及能效性均優(yōu)于現(xiàn)有方案.

無線傳感器網(wǎng)絡(luò)；數(shù)據(jù)聚合；隱私保護(hù)；數(shù)據(jù)擾動；能量有效

在無線傳感器網(wǎng)絡(luò)(wireless sensor networks, WSNs)中，由于傳感器節(jié)點(diǎn)能量有限，以減小傳輸數(shù)據(jù)量、延長網(wǎng)絡(luò)生命周期為目的的數(shù)據(jù)聚合技術(shù)常應(yīng)用在WSNs中[1].而在WSNs早期的研究中，傳感器節(jié)點(diǎn)通常被部署在邊境、戰(zhàn)場等無人值守、復(fù)雜惡劣的環(huán)境中，因而大多不考慮人為因素，WSNs中數(shù)據(jù)的隱私安全問題也一直未得到充分的關(guān)注.但是，隨著研究的深入和技術(shù)的不斷成熟，WSNs逐漸擴(kuò)展到交通管理、智能家居等諸多與人類日常生活密切相關(guān)的領(lǐng)域[2].傳感器節(jié)點(diǎn)能夠采集和記錄各種活動數(shù)據(jù)，且其采集的數(shù)據(jù)往往攜帶重要的敏感信息.在數(shù)據(jù)聚合過程中，中間節(jié)點(diǎn)需要對接收的數(shù)據(jù)進(jìn)行處理并向上傳遞，從而可能獲取到相應(yīng)的敏感信息.因此，人類在享受高科技帶來的便利及周到服務(wù)的同時(shí)也面臨著一場前所未有的隱私危機(jī).目前，WSNs隱私問題已引起業(yè)界的廣泛關(guān)注，保護(hù)人類的隱私安全、保證被監(jiān)測目標(biāo)的敏感信息不被未授權(quán)者獲取具有重要的研究意義.但是，隱私保護(hù)技術(shù)的應(yīng)用在一定程度上增大了數(shù)據(jù)聚合機(jī)制的復(fù)雜性，因而造成節(jié)點(diǎn)能耗量的增加.所以，能量有效性成為一項(xiàng)在數(shù)據(jù)聚合過程中與隱私保護(hù)緊密相關(guān)又相互制約的問題.

為實(shí)現(xiàn)數(shù)據(jù)聚合機(jī)制的隱私性、能效性及健壯性，一個(gè)高效的隱私保護(hù)聚合方案應(yīng)同時(shí)滿足以下安全及性能要求：1)隱私保護(hù)的有效性.首先，能夠確保每個(gè)節(jié)點(diǎn)的原始數(shù)據(jù)對基站或網(wǎng)絡(luò)中其他任意節(jié)點(diǎn)的隱私性；其次，在網(wǎng)絡(luò)中部分節(jié)點(diǎn)或基站被捕獲、且攻擊者能夠竊聽所有通信信息的情況下，高效的隱私保護(hù)數(shù)據(jù)聚合方案仍可以最大程度地降低未被捕獲節(jié)點(diǎn)的敏感數(shù)據(jù)泄露概率.2)算法效率.在資源受限的WSNs中，數(shù)據(jù)聚合機(jī)制的應(yīng)用旨在降低網(wǎng)絡(luò)能耗及節(jié)省通信帶寬.高效的隱私保護(hù)數(shù)據(jù)聚合算法應(yīng)在無明顯增加通信負(fù)載及計(jì)算代價(jià)的前提下達(dá)到隱私保護(hù)的目的.3)抗數(shù)據(jù)丟失能力.在WSNs中，數(shù)據(jù)丟失意味著部分節(jié)點(diǎn)未參與聚合.因此，對于一個(gè)高效的隱私保護(hù)數(shù)據(jù)聚合方案，基站應(yīng)可以在移除與隱私保護(hù)相關(guān)的信息后正確提取出所有參與聚合的節(jié)點(diǎn)的最終聚合結(jié)果，不會因部分?jǐn)?shù)據(jù)丟失而導(dǎo)致無法正確計(jì)算最終聚合值.目前，已有的典型數(shù)據(jù)聚合隱私保護(hù)機(jī)制并不能同時(shí)滿足以上安全及性能要求[3-6].文獻(xiàn)[3]提出了一種針對加性聚合函數(shù)sum的隱私保護(hù)數(shù)據(jù)聚合方案PDA(privacy-preserving data aggregation)，具體包括CPDA (cluster-based private data aggregation)和SMART(slice mix aggregate)兩種算法.CPDA是基于分簇的數(shù)據(jù)聚合算法，該算法計(jì)算過程復(fù)雜且計(jì)算量大.SMART則采用切分重組技術(shù)實(shí)現(xiàn)對聚合數(shù)據(jù)的隱私性保護(hù)：通過將私有數(shù)據(jù)切分為J個(gè)數(shù)據(jù)切片(piece)并分發(fā)給隨機(jī)選擇的鄰居節(jié)點(diǎn)來隱藏原始數(shù)據(jù)，其通信開銷和保護(hù)力度均隨J的增長而增長.文獻(xiàn)[4]采用了一種簡單的求和同態(tài)加密函數(shù)(additively homomorphic encryption, AHE).該機(jī)制存在以下缺陷：假如攻擊者獲取了隱藏?cái)?shù)據(jù)及秘密數(shù)的范圍，則能夠推測出相應(yīng)原始數(shù)據(jù)的范圍.另外，該機(jī)制不能滿足聚合數(shù)據(jù)對基站的隱私性，這一問題在基站妥協(xié)時(shí)尤為突出.文獻(xiàn)[5]提出的ESPART(energy-saving privacy-preserving data aggregation)方案借助了樹形結(jié)構(gòu)本身的特性達(dá)到節(jié)省能耗、降低通信量的目的，延長了網(wǎng)絡(luò)的壽命.文獻(xiàn)[6]針對PDA方案計(jì)算量及通信量大的特點(diǎn)進(jìn)行了改進(jìn)，提出了一種基于復(fù)數(shù)代數(shù)表達(dá)式的隱私保護(hù)方案.這2種典型的隱私保護(hù)技術(shù)能夠保證聚合數(shù)據(jù)的安全且提高了算法的效率，但并未對其抗數(shù)據(jù)丟失能力進(jìn)行評估.針對上述問題，本文提出了一種能量有效的隱私保護(hù)數(shù)據(jù)聚合方案，可在保證算法效率的前提下保護(hù)節(jié)點(diǎn)的數(shù)據(jù)隱私，且健壯性高.

1　預(yù)備知識

1.1消息認(rèn)證碼

本文采用消息認(rèn)證碼機(jī)制為數(shù)據(jù)完整性的實(shí)現(xiàn)提供保證.定義h(·)表示一個(gè)安全的加密Hash函數(shù)，則依據(jù)文獻(xiàn)[7]可在2n中構(gòu)造帶密鑰的Hash函數(shù)MAC(m,k,n)=h(m‖k) mod 2n.其中，m,k,n分別表示消息內(nèi)容、密鑰和可調(diào)整參數(shù).若n=1，則MAC(m,k,1)可提供1 b的認(rèn)證，即過濾錯(cuò)誤消息的概率為12；若n=θ，則MAC(m,k,θ)可以更高的概率過濾錯(cuò)誤數(shù)據(jù).

1.2密鑰分配機(jī)制

為每個(gè)節(jié)點(diǎn)分配2種類型的密鑰：

1) 基于TinyECC的非交互式密鑰對.假設(shè)任一大素?cái)?shù)p，E(Fp)為定義在有限域Fp上的橢圓曲線，設(shè)G為E(Fp)中階為素?cái)?shù)q的基點(diǎn).為每個(gè)傳感器節(jié)點(diǎn)Ni加載一個(gè)基于TinyECC的公私鑰對(Yi,xi)，其中，私鑰xi∈，公鑰Yi=xiG.對于任意2個(gè)傳感器節(jié)點(diǎn)Ni,Nj∈G(V,E),無論Ni和Nj能否直接通信，持有密鑰對(Yi,xi)的節(jié)點(diǎn)Ni和持有密鑰對(Yj,xj)的節(jié)點(diǎn)Nj都能建立一個(gè)安全的橢圓曲線Diffie-Hellman(ECDH)密鑰對[8]:

ki j=xiYj=xixjG=xjxiG=xjYi=kj i.

(1)

基于橢圓曲線離散對數(shù)問題的困難性，只有節(jié)點(diǎn)Ni和Nj可以共享同一密鑰.同時(shí)，建立的密鑰對是獨(dú)立的，即若節(jié)點(diǎn)Ni妥協(xié)，只會泄露Ni和Nj共享的密鑰ki j，而Nj和其他節(jié)點(diǎn)共享的密鑰kj x不受影響.設(shè)本文中每個(gè)節(jié)點(diǎn)Ni都與父節(jié)點(diǎn)Np建立了相應(yīng)的安全ECDH密鑰對，分別應(yīng)用在聚合過程的不同階段.

2) 基于隨機(jī)密鑰的分配方法[9].產(chǎn)生一個(gè)具有X個(gè)密鑰的密鑰池，每次基站發(fā)起聚合請求時(shí)，每個(gè)節(jié)點(diǎn)都會從該密鑰池中隨機(jī)選取α個(gè)密鑰k1,k2,…,kα作為私鑰.因此，一個(gè)節(jié)點(diǎn)可能與其他節(jié)點(diǎn)匿名共享密鑰池中的部分密鑰.在x?α?xí)r，任意2個(gè)節(jié)點(diǎn)匿名共享完全相同的私密鑰的概率非常小.在本文所提的聚合算法中，因構(gòu)造擾動數(shù)據(jù)需要，應(yīng)確保聚合過程中所選擇的任何密鑰都被至少1對節(jié)點(diǎn)匿名共享.

2　網(wǎng)絡(luò)及攻擊模型

2.1網(wǎng)絡(luò)模型

假設(shè)N個(gè)傳感器節(jié)點(diǎn)隨機(jī)分布在一個(gè)面積為S的區(qū)域內(nèi)，且該傳感器網(wǎng)絡(luò)具有如下性質(zhì)：1)網(wǎng)絡(luò)是靜態(tài)的，節(jié)點(diǎn)部署后不再移動，且每個(gè)節(jié)點(diǎn)擁有一個(gè)唯一的非零標(biāo)識符(ID)；2)鏈路是對稱的，所有節(jié)點(diǎn)都可通過無線信道和鄰居節(jié)點(diǎn)進(jìn)行通信；3)基站位置是固定的,且具有強(qiáng)大的計(jì)算能力和充足的能量.可將該傳感器網(wǎng)絡(luò)抽象為連通圖G(V,E),其中,|V|=|{N1,N2,…}|=N表示傳感器的節(jié)點(diǎn)數(shù)；E={(Ni,Nj)|Ni,Nj∈V}為節(jié)點(diǎn)間的通信鏈路.如圖1所示，本文中的傳感器網(wǎng)絡(luò)采用樹形結(jié)構(gòu).因重點(diǎn)關(guān)注數(shù)據(jù)聚合過程中的安全問題，且現(xiàn)已有諸多文獻(xiàn)對WSNs中構(gòu)建路由樹問題進(jìn)行了大量研究并取得了系列成果，所以不再對其進(jìn)行詳細(xì)討論.

Fig. 1　Data aggregation mode in WSNs.圖1　傳感器網(wǎng)絡(luò)數(shù)據(jù)聚合模型

在聚合開始階段，基站首先向距離最近的根節(jié)點(diǎn)發(fā)出聚合請求消息，再由根節(jié)點(diǎn)通過孩子節(jié)點(diǎn)逐級向下發(fā)送到所有節(jié)點(diǎn).聚合響應(yīng)過程數(shù)據(jù)的發(fā)送順序則正好相反，由葉子節(jié)點(diǎn)開始，將數(shù)據(jù)通過父節(jié)點(diǎn)逐級向上傳送到基站.

典型的聚合函數(shù)有求最大、最小、均值及方差等，但這些函數(shù)均可以轉(zhuǎn)化為求和函數(shù)，所以求和是一種基礎(chǔ)聚合函數(shù)，實(shí)現(xiàn)求和函數(shù)的隱私保護(hù)則意味著可以實(shí)現(xiàn)該系列函數(shù)中的隱私保護(hù).本文僅討論求和函數(shù).定義加性聚合函數(shù)

y(t)=f(d1(m)+d2(m)+…+dN(m)),

其中，di(m)(i=1,2,…,N)表示節(jié)點(diǎn)i在第m次聚合過程中采集到的數(shù)據(jù).

2.2攻擊模型

1) 隱私性攻擊.外部攻擊者試圖通過竊聽等手段捕獲節(jié)點(diǎn)間無線傳輸?shù)男畔?，從而推測獲取其隱私數(shù)據(jù)所對應(yīng)的明文信息.網(wǎng)內(nèi)鄰居節(jié)點(diǎn)或基站遵循“誠實(shí)但好奇”模型.另外，如果網(wǎng)絡(luò)中的部分節(jié)點(diǎn)被攻擊者捕獲，攻擊者將會試圖利用妥協(xié)節(jié)點(diǎn)的私密信息推測原始數(shù)據(jù)；而當(dāng)大量節(jié)點(diǎn)被攻陷時(shí)，攻擊者則會利用這些妥協(xié)節(jié)點(diǎn)發(fā)起共謀攻擊，試圖獲取網(wǎng)絡(luò)中的敏感信息.

2) 完整性攻擊.數(shù)據(jù)聚合過程面臨的完整性攻擊主要涉及3個(gè)方面：①外部攻擊者發(fā)起的注入錯(cuò)誤數(shù)據(jù)攻擊；②節(jié)點(diǎn)被捕獲后，攻擊者利用獲取的節(jié)點(diǎn)內(nèi)部信息對消息進(jìn)行篡改或偽造；③攻擊者在捕獲節(jié)點(diǎn)間無線傳輸?shù)南⒑蠊室庋舆t發(fā)送發(fā)起的重放攻擊.我們認(rèn)為少量被物理捕獲的普通傳感器節(jié)點(diǎn)對網(wǎng)絡(luò)不構(gòu)成安全威脅，且僅依賴安全協(xié)議很難避免妥協(xié)節(jié)點(diǎn)的隱私數(shù)據(jù)不被泄露，所以重點(diǎn)關(guān)注外部攻擊節(jié)點(diǎn)對聚合結(jié)果的篡改或偽造，并設(shè)法使基站接受該錯(cuò)誤消息，不考慮妥協(xié)節(jié)點(diǎn)對自身感知數(shù)據(jù)的修改.

3　高效的隱私保護(hù)數(shù)據(jù)聚合方案

為達(dá)到WSNs中隱私保護(hù)有效性、高效性及抗數(shù)據(jù)丟失能力的要求，本節(jié)設(shè)計(jì)了一種高效的隱私保護(hù)數(shù)據(jù)聚合方案.該方案將WSNs數(shù)據(jù)聚合過程劃分為聚合請求、密文構(gòu)造和聚合及驗(yàn)證3個(gè)階段.本節(jié)將對每一階段的實(shí)現(xiàn)過程進(jìn)行詳細(xì)描述.

3.1聚合請求

根節(jié)點(diǎn)在接收到基站的聚合請求消息后重新確定自身索引值，并向所有孩子節(jié)點(diǎn)轉(zhuǎn)發(fā)該請求.節(jié)點(diǎn)聚合請求索引值的計(jì)算方法如下：對密鑰池中的任意密鑰kw，1)若節(jié)點(diǎn)Nj擁有密鑰kw，則Nj將其所有孩子節(jié)點(diǎn)索引值的第w位設(shè)置為1，以保證其孩子節(jié)點(diǎn)在計(jì)算返回的聚合結(jié)果時(shí)可以應(yīng)用kw;2)若Nj沒有選取kw，但其父節(jié)點(diǎn)發(fā)送的請求消息中索引值的第w位為1(父節(jié)點(diǎn)選取了密鑰kw)，則Nj將任意選擇一個(gè)孩子節(jié)點(diǎn)，設(shè)定其請求索引值的第w位為1;3)若Nj及其父節(jié)點(diǎn)均未選取kw，則Nj發(fā)往所有孩子節(jié)點(diǎn)的請求消息中索引值的第w位均為0.具體算法表述如下：

算法1. 中繼節(jié)點(diǎn)請求索引值分配算法.

①Nj從父節(jié)點(diǎn)Nt接收聚合請求消息 (Rm,IXR,t)；

② ifNj為葉子節(jié)點(diǎn) then

④ end if

⑤ for 密鑰池中任意密鑰kw(1≤w≤p) do

⑥ ifkw是節(jié)點(diǎn)Nj的私鑰 then

⑦ forNj的所有孩子節(jié)點(diǎn)Nchildrendo

⑨ end for

Nchildren；

Nchildren-Nq) do

同時(shí)，以λ=5，α=2為例，圖2給出了聚合請求轉(zhuǎn)發(fā)過程中索引值的計(jì)算示例.

Fig. 2　Construction of the request index value.圖2　請求索引值計(jì)算示例

3.2密文構(gòu)造

所有節(jié)點(diǎn)均接收到基站發(fā)來的聚合請求后，由葉子節(jié)點(diǎn)開始，通過父節(jié)點(diǎn)逐級向上將感知數(shù)據(jù)傳送到基站.為同時(shí)實(shí)現(xiàn)節(jié)點(diǎn)的原始數(shù)據(jù)對基站和網(wǎng)絡(luò)中其他任意節(jié)點(diǎn)的隱私性，每個(gè)節(jié)點(diǎn)均采用數(shù)據(jù)擾動的方法對提交數(shù)據(jù)進(jìn)行2次不同形式的加密.具體實(shí)現(xiàn)過程如下：

1) 基礎(chǔ)密文構(gòu)造.在一些特定環(huán)境中，傳感器節(jié)點(diǎn)采集的數(shù)據(jù)值往往在某個(gè)特定的范圍內(nèi)，如用來采集人體溫度的傳感器的感知數(shù)據(jù)值通常在[34℃,42℃].所以，為防止攻擊者進(jìn)行蠻力搜索，首先采用以下數(shù)據(jù)擾動方法對原始數(shù)據(jù)進(jìn)行隱藏：

假定原始數(shù)據(jù)di為l(l為系統(tǒng)參數(shù),單位：b)，節(jié)點(diǎn)選擇θ(單位：b)的秘密隨機(jī)數(shù)ri，θ為系統(tǒng)參數(shù)，決定了蠻力搜索的難度，得到密文

Ci=2l+lb N×ri+di.

(2)

執(zhí)行sum聚合后，得到的密文數(shù)據(jù)滿足以下特性：

因此，

(3)

應(yīng)用該特性，基站可以在對所有節(jié)點(diǎn)選擇的隨機(jī)數(shù)未知的情況下計(jì)算得到最終的聚合結(jié)果.同時(shí)，從該特性還可以看出，節(jié)點(diǎn)只提交密文Cl是不安全的.假定葉子節(jié)點(diǎn)Nl向其父節(jié)點(diǎn)Np發(fā)送密文Cl，Np將接收到的密文Cl與自身密文Cp進(jìn)行聚合，得到C′=Cl+Cp.利用上述特性，Np可獲取明文聚合值d′.然后，通過計(jì)算d′-dp即可獲取葉子節(jié)點(diǎn)Nl的原始數(shù)據(jù)dl.所以，只提交密文Cl不能滿足節(jié)點(diǎn)原始數(shù)據(jù)的隱私性要求.基于此，本文設(shè)計(jì)了一種構(gòu)建索引值的數(shù)據(jù)擾動方案，通過對基礎(chǔ)密文添加擾動索引值完成聚合密文的構(gòu)造，保證了單個(gè)節(jié)點(diǎn)數(shù)據(jù)對網(wǎng)絡(luò)中其他節(jié)點(diǎn)和基站的隱私性.

2) 聚合密文構(gòu)造.每個(gè)節(jié)點(diǎn)在向其上級節(jié)點(diǎn)提交聚合數(shù)據(jù)前，采用一種構(gòu)建索引值的方式對基礎(chǔ)密文數(shù)據(jù)進(jìn)行二次擾動.3.3節(jié)將詳細(xì)描述其實(shí)現(xiàn)過程.

3.3聚合及驗(yàn)證

1) 葉子節(jié)點(diǎn)的聚合.在聚合響應(yīng)階段，葉子節(jié)點(diǎn)Nl應(yīng)用其私鑰計(jì)算新的λ位聚合索引值.每個(gè)葉子節(jié)點(diǎn)按如下步驟進(jìn)行操作：①若節(jié)點(diǎn)Nl擁有密鑰kw，則Nl將其索引值的第w位設(shè)置為1，其他位設(shè)置為0；②Nl將初步確定的λ位索引值與其接收的請求索引值進(jìn)行與操作，得到聚合索引值IXA,l；③Nl應(yīng)用該聚合索引值計(jì)算擾動數(shù)據(jù)Aw：若索引值的第w位為1，則Aw=H(Rm,kw).將擾動數(shù)據(jù)Aw與基礎(chǔ)密文Cl進(jìn)行運(yùn)算得到聚合密文Sl.具體算法表述如下：

算法2. 葉子節(jié)點(diǎn)聚合索引值分配算法.

① for 密鑰池中任意密鑰kw(1≤w≤p) do

② ifkw是節(jié)點(diǎn)Nl的私鑰 then

④ else

⑥ end if

⑧IXA,l=IXA,l0∧IXR,l；

⑨ forw=1 topdo

算法1運(yùn)行結(jié)束后，Nl利用與父節(jié)點(diǎn)Np的獨(dú)立共享密鑰kl p生成消息認(rèn)證碼macl p=MAC(Sl‖IXA,l,kl p,1)，并向其父節(jié)點(diǎn)發(fā)送消息：Nl→Np:Sl‖IXA,l‖macl p‖T.其中，T表示時(shí)間戳.

算法3. 中繼節(jié)點(diǎn)聚合索引值分配算法.

① forNq的任意孩子節(jié)點(diǎn)Npdo

②Nq從Np接收消息〈Sp,IXA,p〉；

③ end for

⑤Sq=Sq+Cq；

⑥ for 密鑰池中任意密鑰kw(1≤w≤p) do

⑦ ifkw是節(jié)點(diǎn)Nq的私鑰 then

⑩ else ifNq只有一個(gè)孩子節(jié)點(diǎn)Npthen

最后,Np生成消息認(rèn)證碼macp q=MAC(Sp‖IXA,p,kp q,1),并向其父節(jié)點(diǎn)Nq發(fā)送消息：Np→Nq:Sp‖IXA,p‖macp q‖T.

結(jié)合圖2，圖3給出了聚合響應(yīng)過程中索引值及擾動數(shù)據(jù)的計(jì)算示例.

3) 根節(jié)點(diǎn)的聚合.對于基站，當(dāng)根節(jié)點(diǎn)Nr將數(shù)據(jù)S0傳送給基站后，基站首先應(yīng)用ksr計(jì)算macsr.若macsr⊕macrs≠0，認(rèn)為該數(shù)據(jù)出錯(cuò)，直接放棄；否則，基站根據(jù)接收到的S0值計(jì)算其明文聚合結(jié)果.由式(3)可知：

(4)

Fig. 3　Construction of aggregation index value and perturbation data.圖3　聚合索引值及擾動數(shù)據(jù)計(jì)算

4　安全分析

4.1隱私性

2) 妥協(xié)節(jié)點(diǎn)攻擊.攻擊者可通過捕獲傳感器節(jié)點(diǎn)Ni獲得該節(jié)點(diǎn)的私鑰ki(i∈X)，并試圖通過計(jì)算Ai推測其他節(jié)點(diǎn)Nj的原始數(shù)據(jù)dj.假定除目標(biāo)節(jié)點(diǎn)外，攻擊者共捕獲了Y個(gè)節(jié)點(diǎn)，且對目標(biāo)節(jié)點(diǎn)的所有通信流進(jìn)行了竊聽.用Qi(1≤i≤α)表示攻擊者對目標(biāo)節(jié)點(diǎn)的第i個(gè)私鑰是未知的,則目標(biāo)節(jié)點(diǎn)索引值泄露的概率為

(5)

攻擊者未獲取i個(gè)特定密鑰(i個(gè)密鑰不包含在被捕獲的Y個(gè)節(jié)點(diǎn)中)的概率可表示為

其中，X表示密鑰池的規(guī)模，α表示每個(gè)節(jié)點(diǎn)的私鑰數(shù).由此可得，

(6)

由索引值的構(gòu)建原理可知，對于每個(gè)傳感器節(jié)點(diǎn)持有的α個(gè)私鑰，該節(jié)點(diǎn)均與其父節(jié)點(diǎn)或子節(jié)點(diǎn)共享其中的部分密鑰.節(jié)點(diǎn)在構(gòu)建索引值時(shí)使用的密鑰越多，攻擊者就越難破壞其隱私性.因此，最壞情況下的隱私泄露發(fā)生在葉子節(jié)點(diǎn).假定一個(gè)葉子節(jié)點(diǎn)有φ個(gè)祖先，φ表示聚合樹的高度，其取值通常依賴于網(wǎng)絡(luò)規(guī)模、密度及連通度等特性.根據(jù)以下公式，可得葉子節(jié)點(diǎn)與其祖先共享的密鑰數(shù)：

(7)

進(jìn)而，可得葉子節(jié)點(diǎn)索引值失效的概率：

(8)

(9)

所以，最壞情況下葉子節(jié)點(diǎn)隱私泄露的概率為

4.2完整性

對于所有的外部節(jié)點(diǎn)攻擊，每個(gè)節(jié)點(diǎn)Ni在提交數(shù)據(jù)時(shí)均利用與其父節(jié)點(diǎn)Nj的獨(dú)立共享密鑰ki j構(gòu)造消息認(rèn)證碼maci j.如果Ni向Nj發(fā)送的消息被外部攻擊者篡改或偽造，Nj將在驗(yàn)證時(shí)發(fā)現(xiàn)錯(cuò)誤，即maci j⊕macj i≠0.同時(shí)，節(jié)點(diǎn)在提交數(shù)據(jù)時(shí)采用了時(shí)間戳技術(shù)，如果網(wǎng)絡(luò)中存在重放攻擊，上級節(jié)點(diǎn)在利用消息認(rèn)證碼對接收消息進(jìn)行驗(yàn)證時(shí)同樣能夠發(fā)現(xiàn)錯(cuò)誤.

5　性能分析

5.1通信復(fù)雜度

5.2計(jì)算復(fù)雜度

和一些典型的聚合算法相比，本文所提算法并未引入額外的消息，而是在聚合結(jié)果的基礎(chǔ)上增加了λ位的索引值作為隱私保護(hù)信息.在該協(xié)議中，每個(gè)節(jié)點(diǎn)應(yīng)用自己的私鑰計(jì)算其索引值.由于每個(gè)節(jié)點(diǎn)的私鑰數(shù)為α(α為常數(shù))，且α

5.3能量消耗

本方案的能量消耗主要來自于構(gòu)建非交互式密鑰對時(shí)昂貴的ECDH操作.但是，在本方案中每個(gè)傳感器節(jié)點(diǎn)均和其直接相連的節(jié)點(diǎn)構(gòu)建一對獨(dú)立共享密鑰，且該構(gòu)建過程僅在系統(tǒng)啟動時(shí)執(zhí)行一次.假定采用傳感器節(jié)點(diǎn)MICAz[10]，且應(yīng)用160 b的橢圓曲線(可取得與1 024 b的RSA相同的安全級別[11]).由文獻(xiàn)[12]可知，在該平臺下建立一對非交互式共享密鑰所需能量僅為50.82 mJ.因此，該ECDH操作不會給系統(tǒng)造成較重的負(fù)擔(dān).

表1給出了本方案與部分現(xiàn)有安全聚合協(xié)議各項(xiàng)性能指標(biāo)的對比結(jié)果.其中，C表示簇規(guī)模.由表1可以看出，在相同的安全級別下，本方案具有更高的能效性.

Table 1　Properties Evaluation of Protocols

5.4仿真實(shí)驗(yàn)

在覆蓋面積為200 m×200 m的區(qū)域內(nèi)隨機(jī)部署1 000個(gè)節(jié)點(diǎn)，對所提算法的隱私性進(jìn)行實(shí)驗(yàn)觀察.假設(shè)密鑰池規(guī)模X=2 000，節(jié)點(diǎn)傳輸半徑為15 m，妥協(xié)節(jié)點(diǎn)的比例ρ=YX，且ρ≤30%.用β=αX表示節(jié)點(diǎn)選取私鑰數(shù)α占密鑰總數(shù)的比例.

1) 節(jié)點(diǎn)隱私泄露概率隨α，ρ的變化情況

Fig. 4　Probability of privacy disclosure with different compromised nodes.圖4　隱私數(shù)據(jù)泄露與妥協(xié)節(jié)點(diǎn)數(shù)的關(guān)系

由圖4可見，當(dāng)妥協(xié)節(jié)點(diǎn)所占比例ρ較大時(shí)，隱私泄露的概率隨β的減小而降低.這是因?yàn)楣?jié)點(diǎn)只能使用與其父節(jié)點(diǎn)或子節(jié)點(diǎn)共享的私鑰構(gòu)建索引值.β的增加將帶來2方面的影響：①節(jié)點(diǎn)將會使用更多的密鑰構(gòu)建索引值以生成更為復(fù)雜的擾動數(shù)據(jù)，進(jìn)而增強(qiáng)了抵抗外部攻擊者的能力；②如果節(jié)點(diǎn)被捕獲，攻擊者將會獲取更多的敏感信息，從而增大隱私數(shù)據(jù)泄露的風(fēng)險(xiǎn).從圖4可以看出，當(dāng)妥協(xié)節(jié)點(diǎn)數(shù)超過15%時(shí)，負(fù)面影響增大，數(shù)據(jù)隱私泄露的概率將隨β的增加而增加；反之，正面影響起主導(dǎo)作用，數(shù)據(jù)隱私泄露的概率將隨β的增大而降低.由此可知，實(shí)驗(yàn)結(jié)果與式(6)～(9)的理論分析結(jié)果保持一致.

2) 抗數(shù)據(jù)丟失能力

Fig. 5　Percentage of nodes actually participating in data aggregation.圖5　實(shí)際參與數(shù)據(jù)聚合的節(jié)點(diǎn)比例

當(dāng)部分節(jié)點(diǎn)數(shù)據(jù)未被基站成功接收時(shí)，便會出現(xiàn)數(shù)據(jù)丟失情況.為對協(xié)議的該特性進(jìn)行評估，本文采用TAG[13]進(jìn)行對比.本文所提機(jī)制為每個(gè)節(jié)點(diǎn)的原始數(shù)據(jù)添加了部分?jǐn)_動信息，所以可將其封裝為一個(gè)數(shù)據(jù)包以對丟包率進(jìn)行評估，進(jìn)而獲知參與節(jié)點(diǎn)的比率.實(shí)際上，數(shù)據(jù)丟失的概率會受很多因素影響，如節(jié)點(diǎn)密度、通信量等.本文對此進(jìn)行了簡單分析，且將所有這些復(fù)雜因素抽象為一個(gè)基本決定因素——每位丟失(錯(cuò)誤)率.如果一個(gè)消息中出現(xiàn)一個(gè)錯(cuò)誤位，整個(gè)消息都要被丟棄.因此，本文定義位丟失(錯(cuò)誤)率，并就實(shí)際參與聚合的節(jié)點(diǎn)數(shù)情況與TAG進(jìn)行對比.由圖5可見，當(dāng)每位丟失率較低時(shí)，本文所提方案與TAG(無任何隱私保護(hù)策略)中實(shí)際參與聚合的節(jié)點(diǎn)數(shù)相當(dāng).另外，因TAG中消息的規(guī)模約為200 B，為便于比較，圖5中X軸以每200 B丟失率為單位進(jìn)行對比.

6　結(jié)　　論

本文對WSNs中聚合數(shù)據(jù)的隱私保護(hù)問題進(jìn)行了分析，提出一種能量有效的隱私保護(hù)數(shù)據(jù)聚合方案.通過進(jìn)行2次不同形式的數(shù)據(jù)擾動分別實(shí)現(xiàn)單個(gè)節(jié)點(diǎn)數(shù)據(jù)對基站及鄰居節(jié)點(diǎn)的隱私保護(hù).安全及性能分析表明，所提方案可在不過多消耗節(jié)點(diǎn)能量的前提下保證節(jié)點(diǎn)的安全性，且具有較好的抗數(shù)據(jù)丟失能力，安全性及能效性均優(yōu)于現(xiàn)有方案.

[1]Ramesh R, Varshney P K. Data aggregation techniques in sensor networks: A survey[J]. Communications Surveys & Tutorials, 2006, 8(4): 48-63[2]Yick J, Mukherjee B, Ghosal D. Wireless sensor network survey[J]. Computer Networks, 2008, 52(12): 2292-2330[3]He Weibo, Nguyen H. PDA: Privacy-preserving data aggregation in wireless sensor networks[C]Proc of the 26th IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2007: 2045-2053[4]Castelluccia C, Mykletun E, Tsudik G. Efficient aggregation of encrypted data in wireless sensor networks[C]Proc of the 2nd Annual Int Conf on Mobile and Ubiquitous Systems in Computing, Networking and Services. Piscataway, NJ: IEEE, 2005: 109-117[5]Yang Geng, Wang Anqi, Chen Zhengyu, et al. An energy-saving privacy-preserving data aggregation algorithm[J]. Chinese Journal of Computers, 2011, 34(5): 792-800 (in Chinese)(楊庚, 王安琪, 陳正宇, 等. 一種低能耗的數(shù)據(jù)融合隱私保護(hù)算法[J]. 計(jì)算機(jī)學(xué)報(bào), 2011, 34(5): 792-800)[6]Bista R, Kim D, Chang J. A new private data aggregation scheme for wireless sensor networks[C]Proc of the 10th Int Conf on Computer and Information Technology. Piscataway, NJ: IEEE, 2010: 273-280 [7]Mao Wenbo. Modern Cryptography: Theory and Practice[M]. Upper Saddle River, NJ: Prentice Hall, 2003: 118-160

[8]Colin B, Mao Wenbo, Kenneth G P. Key agreement using statically keyed authenticators[C]Proc of the 2nd Int Conf on Applied Cryptography and Network Security (ACNS’04). Berlin: Springer, 2004: 248-262[9]Eschenauer L, Gligor V. A key-management scheme for distributed sensor networks[C]Proc of the 9th ACM Conf on Computer and Communications Security. New York: ACM, 2002: 41-47 [10]Lu Rongxing, Lin Xiaodong, Zhu Haojin, et al. BECAN: A bandwidth-efficient cooperative authentication scheme for filtering injected false data in wireless sensor networks[J]. IEEE Trans on Parallel and Distributed Systems, 2012, 23 (1): 32-43[11]Mao Wenbo. Modern Cryptography: Theory and Practice[M]. Upper Saddle River, NJ: Prentice Hall, 2003: 212-236[12]Liu An, Ning Ping. TinyECC: A configurable library for elliptic curve cryptography in wireless sensor networks[C]Proc of the 7th Int Conf on Information Processing in Sensor Networks (IPSN’08). New York: ACM, 2008: 245-256[13]Madden S, Franklin M J, Hellerstein J M, et al. TAG: A tiny aggregation service for ad-hoc sensor networks[C]Proc of the 5th Symp on Operating Systems Design and Implementation. Berkeley, CA: USENIX Association, 2002: 131-146

Fu Shuai, born in 1986. PhD and assistant professor. Student member of China Computer Federation. Her main research interests include wireless network security, wireless sensor network and data aggregation.

Jiang Qi, born in 1983. PhD and associate professor. Member of China Computer Federation. His main research interests include protocol security analysis and wireless network security (jiangqixdu@gmail.com).

Ma Jianfeng, born in 1963. Professor and PhD supervisor at the School of Computer Science and Technology, Xidian University. Senior member of China Computer Federation. His main research interests include distributed systems, wireless and mobile computing systems, and network and information security (jfma@mail.xidian.edu.cn).

A Privacy-Preserving Data Aggregation Scheme in Wireless Sensor Networks

Fu Shuai1,2, Jiang Qi2, and Ma Jianfeng2

1(SchoolofElectronicandInformationEngineering,BeijingPolytechnic,Beijing100176)2(SchoolofComputerScienceandTechnology,XidianUniversity,Xi’an710071)

Privacy preservation is one of the most challenging problems on secure data aggregation in wireless sensor networks (WSNs). In WSNs, current data aggregation schemes with privacy preservation cannot meet the requirements of security and energy saving, and have several disadvantages such as complex computation, considerable communication load or low-security. An energy-efficient and data-loss resilient data aggregation scheme with privacy preservation is proposed in this paper. Two different forms of perturbation data are adopted to protect the data privacy of each node from being disclosed to the sink and any other nodes in the network. Firstly, from the point of view of sink intrusion, we describe the design scheme of initial perturbation data. On the basis of it, we present the construction method of second data perturbation and the operation procedures of aggregation validation for intermediate aggregators and the sink. To resist various external attacks efficiently, the technique of message authentication code is introduced. Security and property analysis show that the proposed scheme can ensure the security of nodes on the premise of lower energy power. In addition, it has a strong ability against data-loss, and both its security and energy efficiency perform better than current works.

wireless sensor networks (WSNs); data aggregation; privacy preserving; data perturbation; energy efficient

2015-06-09；

2015-11-13

長江學(xué)者和創(chuàng)新團(tuán)隊(duì)發(fā)展計(jì)劃基金項(xiàng)目(IRT1078)；國家自然基金委員會-廣東聯(lián)合基金重點(diǎn)基金項(xiàng)目(U1135002)；國家自然科學(xué)基金項(xiàng)目(61272541，61202389)；中央高校基本科研業(yè)務(wù)費(fèi)專項(xiàng)資金(JY10000903001)；陜西省自然科學(xué)基礎(chǔ)研究計(jì)劃基金項(xiàng)目(2012JQ8043)；北京市教委教改課題(PXM2015_014306_000017)

TP393

This work was supported by the Program for Changjiang Scholars and Innovative Research Team in University (IRT1078), the Key Program of NSFC-Guangdong Union Foundation (U1135002), the National Natural Science Foundation of China (61272541,61202389), the Fundamental Research Funds for the Central Universities (JY10000903001), the Natural Science Basic Research Plan in Shaanxi Province of China (2012JQ8043), and the Teaching-Reform Project of Beijing Municipal Education Commission (PXM2015_014306_000017).