基于攻擊感知的能量高效源位置隱私保護算法

周倩，秦小麟，丁有偉

?

基于攻擊感知的能量高效源位置隱私保護算法

周倩1,2，秦小麟1,2，丁有偉1,2

（1. 南京航空航天大學(xué)計算機科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106；2. 江蘇省物聯(lián)網(wǎng)與控制技術(shù)重點實驗室，江蘇 南京 211106）

提出了一種靜默池機制方法（SPA, silent-pool approach），當(dāng)傳感器節(jié)點感知到附近移動攻擊者的存在，通過控制節(jié)點的轉(zhuǎn)發(fā)狀態(tài)從而阻止和減少攻擊者收到有效數(shù)據(jù)分組。在此基礎(chǔ)上，進一步提出了對當(dāng)前路由路徑?jīng)]有任何影響的安全機制——池外虛假信息注入（DPIOP, dummy packet injection out pool）法，誘使攻擊者遠離傳輸路徑。實驗結(jié)果驗證了SPA和DPIOP的隱私性能，與現(xiàn)有方法相比可減少能耗約為63%，降低時延約為35%。

位置隱私；傳感器網(wǎng)絡(luò)；能量高效；攻擊感知；上下文感知

1 引言

傳感器網(wǎng)絡(luò)因其節(jié)點體積小、組網(wǎng)能力強、部署維護簡單等特性，廣泛應(yīng)用在人跡罕至的敏感環(huán)境中[1]，如戰(zhàn)場或野生動物保護區(qū)等。在監(jiān)測瀕臨滅絕的野生動物（如大熊貓）的傳感器網(wǎng)絡(luò)中，大熊貓身上攜帶的傳感器可以將其位置信息發(fā)送到監(jiān)控中心，大熊貓的位置稱為信息源的位置。如圖1所示，攻擊者在傳感器節(jié)點1附近，通過信號探測設(shè)備監(jiān)聽數(shù)據(jù)分組，根據(jù)數(shù)據(jù)分組的時間和發(fā)送方向等上下文信息，攻擊者向傳感器節(jié)點2移動，并逐步接近源節(jié)點，即大熊貓的位置。

在實際監(jiān)控系統(tǒng)中，信息源所感知的對象都是需要重點保護的（如圖1的大熊貓），因此，信息源的位置在數(shù)據(jù)傳輸?shù)倪^程中不能被泄露，以免造成嚴重的經(jīng)濟或資源損失。信息源的位置，就是一種隱私信息，只有授權(quán)者可以查看。隱私又可分為基于內(nèi)容和基于上下文的隱私[2,3]，基于內(nèi)容的隱私是指內(nèi)容形式上的完整性和機密性，即不能篡改信息的內(nèi)容。本文討論的隱私是基于上下文的，即根據(jù)情境推斷出位置源信息。

圖1 上下文攻擊

現(xiàn)有方法主要通過改變或增加路徑長度來保護源位置隱私，如幻影路由、多路徑路由、虛假信息源注入等安全路由機制。這些技術(shù)主要以犧牲網(wǎng)絡(luò)性能為代價換取一定的安全，不適用于傳感器能耗或響應(yīng)時間要求較高的應(yīng)用。如多路徑[4]隱私保護方法，其核心思想是先將數(shù)據(jù)發(fā)送到偽源節(jié)點，然后從偽源節(jié)點以單路徑或洪泛的方式發(fā)送到匯聚（sink）節(jié)點。但偽源節(jié)點選取特別復(fù)雜，因為攻擊者對整個網(wǎng)絡(luò)是不可見的，節(jié)點需要知道整個網(wǎng)絡(luò)的拓撲情況[5]，導(dǎo)致能耗和時延的增加[6]，并且攜帶拓撲信息的路由更容易遇到全局攻擊者的流量分析攻擊[7]。

在實際應(yīng)用中，傳感器網(wǎng)絡(luò)通常是按需路由，對特定的事件選擇對應(yīng)的路由。例如在一個野生動物保護區(qū)部署一個由多事件驅(qū)動的網(wǎng)絡(luò)，用于監(jiān)控動物的傳感器發(fā)送數(shù)據(jù)時通常采用安全路由的方法以保護動物的位置隱私。但當(dāng)監(jiān)控地點有緊急情況需要立即上報時，通常使用最短路徑或洪泛的方式發(fā)送數(shù)據(jù)，以便最快地響應(yīng)突發(fā)事件。但如果突發(fā)事件發(fā)生在信息源附近，則很容易泄露信息源的位置（如野生動物的棲息地），因為最短路徑和洪泛算法只考慮數(shù)據(jù)傳輸效率，未考慮源位置隱私保護[4]。為了應(yīng)對上述問題，迫切需要一種既不影響原來基于應(yīng)用的路由，又可以抵御攻擊者流量分析[8]的安全機制。

隨著硬件的發(fā)展和成本的降低，很多應(yīng)用于邊防監(jiān)控或瀕臨動物保護的傳感器上都加裝了移動物體感知和信號檢測模塊[9]，可以自動識別移動的攻擊者[10,11]，然后通過心跳分組廣播給鄰居節(jié)點。Rios等[12]基于這種攻擊者識別技術(shù)提出了最小安全區(qū)方法和新的最短路徑路由算法CALP。但最小安全區(qū)的方法降低了網(wǎng)絡(luò)的頑健性，造成網(wǎng)絡(luò)空洞。CALP雖然基于最短路徑，但每次數(shù)據(jù)分組的投遞是通過調(diào)用心跳分組來更新路由表信息并選擇下一跳節(jié)點，從而達到保護隱私的目的。隨著心跳分組周期的增加，數(shù)據(jù)會有很大時延，路由所泄露的拓撲信息更容易被全局監(jiān)聽捕獲。用心跳分組傳遞消息，給網(wǎng)絡(luò)性能帶來了新的挑戰(zhàn)[13]，本文的解決方案是在發(fā)現(xiàn)攻擊者接近路由路徑時發(fā)送高頻心跳分組，并且能高效確保攻擊者及時遠離真實數(shù)據(jù)路由路徑，從而降低能耗，保護位置隱私。

為了解決上述問題，本文提出的SPA安全機制可以準確地隔離攻擊者，與Rios等[12]提出的最小安全區(qū)思路類似，SPA主要也是利用心跳分組通知攻擊者的鄰居節(jié)點，使真實數(shù)據(jù)路徑偏離攻擊者附近。隨著sink節(jié)點到源節(jié)點距離的增加，數(shù)據(jù)源被捕獲的幾率大大降低。另外，本文提出的SPA只有在發(fā)現(xiàn)攻擊者接近真實路由路徑時才會發(fā)送高頻心跳分組產(chǎn)生靜默池，使在傳輸其他不需要隱私服務(wù)的數(shù)據(jù)時網(wǎng)絡(luò)依然具有連通性。因此，SPA方法更能保證網(wǎng)絡(luò)的頑健性。

針對耐心的攻擊者，如果恰好在sink節(jié)點附近，使用SPA會造成數(shù)據(jù)分組無法到達，可能會造成數(shù)據(jù)時延長。遇到好奇的攻擊者，如果恰好在源節(jié)點附近，通過隨機行走就可能會發(fā)現(xiàn)源節(jié)點位置。為此，本文在SPA的基礎(chǔ)上提出了能量高效的DPIOP方法，解決可能出現(xiàn)的這2種極端情況。另外，DPIOP方法對網(wǎng)絡(luò)當(dāng)前路由不產(chǎn)生任何影響。

本文的主要貢獻如下。

1) 提出2種源位置隱私保護算法：SPA和DPIOP。SPA利用心跳分組發(fā)送狀態(tài)信號，改變路由轉(zhuǎn)發(fā)狀態(tài)，在不降低網(wǎng)絡(luò)頑健性的前提下，準確地隔離攻擊者；DPIOP只需要注入極少的虛假數(shù)據(jù)分組，就可以誘使攻擊者遠離真實路徑，高效地保護了源位置隱私。

2)SPA和DPIOP可以在攻擊者知道路由協(xié)議的情況下保護源位置隱私安全。

3)引入路徑偏移量來衡量安全策略對當(dāng)前路由的影響。DPIOP策略不會改變原來的路由，使應(yīng)用場景具有普適性，即便在多事件驅(qū)動的應(yīng)用場景中也能使路徑不發(fā)生偏移。

2 相關(guān)工作

在傳感器網(wǎng)絡(luò)中對源位置隱私的保護（SLP,source location privacy）[2,14]，一直是一項很重要的研究。攻擊者根據(jù)攻擊能力分為全局攻擊者和本地攻擊者。全局攻擊者[7,15]通過流量分析可以知道網(wǎng)絡(luò)全局的狀況，為了抵御全局攻擊者，通常在發(fā)送真實信息的間隔注入假消息，帶來較大的能量開銷。多路徑路由[6]增強了負載均衡和服務(wù)質(zhì)量（QoS），也讓全局攻擊者難以追蹤數(shù)據(jù)分組[5]。本地攻擊者[16]只知道網(wǎng)絡(luò)的局部信息，多個本地攻擊者之間可以互相合作以獲取更大范圍的網(wǎng)絡(luò)信息[17]。

要抵御攻擊者的流量分析就必須隱藏真實數(shù)據(jù)的傳輸路徑，現(xiàn)有的技術(shù)主要有3種。首先，Kamat[4]在他的熊貓—獵人模型中第一次提出了幻影算法，幻影算法的主要思想是：第一步，從源點出發(fā)，隨機游走到一個幻影源；第二步，以最短路徑或洪泛的方法到達sink節(jié)點。然而，實際上隨機游走趨向于在數(shù)據(jù)源附近[4,18]，說明隨機游走反而會泄露源位置隱私，后來的一些改進算法如GROW[19]，旨在減少數(shù)據(jù)傳輸時延，提高安全性，但增加了更多能耗。另外，虛假數(shù)據(jù)機制[3, 20]和偽源節(jié)點機制[7, 21]這2種方法可以抵御更強的攻擊者，但因為注入虛假節(jié)點的數(shù)量和位置是隨機分布的，不可避免地帶來不必要的能量開銷。

隨著硬件技術(shù)的發(fā)展，攻擊者位置是可見的，利用可感知攻擊者位置的特性[12]，選擇離攻擊者相對比較近的鄰居節(jié)點形成最短路徑傳給sink節(jié)點，這給解決此類問題帶來了新的啟發(fā)，移動物體的識別技術(shù)[9~11]使在對付攻擊者時，增加了策略的確定性。移動物體可能是被授權(quán)的，如科學(xué)家實地探測數(shù)據(jù)，只需要簡單的身份認證機制[22,23]就可以排除非授權(quán)的移動物體侵入。在外部移動物體和傳感器節(jié)點之間需要會話密鑰的建立和更新，而基于橢圓曲線加密（ECC）的方法[24]可以簡化流程，與非橢圓曲線加密機制比較只需要更小的公鑰。

為了進一步降低數(shù)據(jù)傳輸?shù)拈_銷，根據(jù)IEEE802.15.4MAC層的特性，Shao等[25]利用心跳分組的有效負載攜帶一些數(shù)據(jù)，在應(yīng)用層再通過編程來提取處理這些信息。MAC層除了維持可靠的通信鏈路之外，還可以利用心跳分組來廣播信息，不同MAC協(xié)議對網(wǎng)絡(luò)性能的影響也是不同的，而本文提出的MAC是基于存在心跳分組（beacon-enabled）的，根據(jù)文獻[26]可知，心跳分組間隔時間過短會引起過多的同步開銷，而時間過長會因為時間漂移導(dǎo)致更長的守護時間。心跳分組間隔可以根據(jù)網(wǎng)絡(luò)的流量進行自適應(yīng)調(diào)整，如T-MAC和S-MAC[27]可以依據(jù)網(wǎng)絡(luò)中的通信量來調(diào)整占空比（duty ratio），增加吞吐量，當(dāng)然也可以根據(jù)應(yīng)用通過上層軟件改變心跳分組的發(fā)送頻率。用心跳分組傳輸數(shù)據(jù)的好處是：節(jié)省能量和隱藏路徑。

3 問題描述

3.1 網(wǎng)絡(luò)模型

一個同構(gòu)的傳感器網(wǎng)絡(luò)中包含個傳感器節(jié)點{v|1≤≤}，每個傳感器節(jié)點的計算、存儲和能耗資源相同，并且每個節(jié)點均知道自身的位置(x,y)和sink節(jié)點的位置(s,s)。

假設(shè)傳感器網(wǎng)絡(luò)部署在無障礙平面空間中，傳感器節(jié)點之間的距離為歐式距離，若節(jié)點1和節(jié)點2的位置分別為(1,1)和(2,2)，則兩點之間距離為

在稀疏的網(wǎng)絡(luò)里，由于鄰居節(jié)點數(shù)量稀少，攻擊者容易定位到數(shù)據(jù)分組的直接發(fā)送者和接收者，因此，本文假設(shè)網(wǎng)絡(luò)是稠密連通的。

在外部的攻擊者看來，每個數(shù)據(jù)分組的大小和格式相同，節(jié)點ID信息都是加密的，安全加密機制可以保證攻擊者無法解密數(shù)據(jù)分組的具體內(nèi)容，也無法分辨出真消息和假消息。

假設(shè)傳感器的識別模塊可以判斷出攻擊者的位置(x,y)。在節(jié)點中引入授權(quán)機制，以便在攻擊者識別過程中排除干擾，非授權(quán)的移動物體（帶有廣播信號）被視為攻擊者。

3.2 攻擊模型

在傳感器網(wǎng)絡(luò)中，由于每個傳感器節(jié)點的通信范圍有限，數(shù)據(jù)傳輸采用逐跳傳輸?shù)姆绞?。攻擊者根?jù)數(shù)據(jù)分組發(fā)送的時間相關(guān)性和不同通信節(jié)點的流量模式，從而追蹤到基站或數(shù)據(jù)源。本文考慮2種攻擊者[28]：1)耐心的攻擊者，當(dāng)捕獲到新的數(shù)據(jù)時，向數(shù)據(jù)分組的發(fā)送方向移動，否則一直處于原地等待狀態(tài)；2)好奇的攻擊者，若在一個節(jié)點等待時間未收到任何數(shù)據(jù)分組，則隨機行走。這2種攻擊者比較典型，也更具代表性。在實際應(yīng)用中，這2種攻擊者的攻擊能力并無明確的強弱之分，盡管好奇的攻擊者在收不到任何數(shù)據(jù)時策略會更靈活，但耐心的攻擊者的攻擊能力也可能會大于好奇的攻擊者，如基于最短路徑的路由，耐心的攻擊者可以捕獲更多的數(shù)據(jù)分組[4]。

假設(shè)這里的攻擊者有如下特性：1)本地的，即攻擊者的監(jiān)視范圍是它鄰近的傳感器節(jié)點；2)被動的，其攻擊方式為監(jiān)聽且無法控制或破壞傳感器節(jié)點，不會對網(wǎng)絡(luò)產(chǎn)生任何的功能性影響；3)移動的，從sink節(jié)點出發(fā)尋找源節(jié)點的位置。

攻擊者的攻擊軌跡如算法1所示。每發(fā)動一次攻擊，攻擊者都從sink節(jié)點出發(fā)（第1)~3)行），在沒有捕獲到源節(jié)點之前，每捕獲到一個新的數(shù)據(jù)分組（第4)和5)行），便根據(jù)收到數(shù)據(jù)分組的發(fā)送角度和信號強度，判斷出數(shù)據(jù)分組直接發(fā)送者所在位置的方向，從而向直接發(fā)送者移動（第6)~9)行）。若攻擊者在一定時間內(nèi)未監(jiān)聽到數(shù)據(jù)分組（第10)行），則采用隨機游走的方式尋找正發(fā)送數(shù)據(jù)的節(jié)點，并繼續(xù)監(jiān)聽（第11)~13)行)，直到找到源節(jié)點或沒有找到但時間耗盡算法結(jié)束。若的時間比較短，則為好奇的攻擊者；若無限大，則為耐心的攻擊者。

算法1 攻擊者攻擊軌跡

1)=sink;//攻擊者從sink出發(fā)

2)_=sink;

3)= sink;

4)while(≠)

5)=();

6)if(()<&())

7)=();

//判斷出發(fā)送節(jié)點位置

8)=;

9)=;

10)else if(() ≥)

11)=;

12)=;

13)=();

//攻擊者隨機游走后的位置

14)end if

15) end while

3.3 能量模型

研究表明2個節(jié)點在100 m的距離內(nèi)傳輸1 kbit的數(shù)據(jù)相當(dāng)于執(zhí)行300萬次的一般程序指令[29]，因此，傳感器的能量消耗主要是通信引起的。傳感器發(fā)送數(shù)據(jù)分組所消耗的能量與傳感器的電子元器件功率成正比，同時，傳輸?shù)木嚯x越長，消耗的能量也越大，即

其中，和分別為網(wǎng)絡(luò)中經(jīng)過時間，所有參與數(shù)據(jù)傳輸?shù)墓?jié)點數(shù)量以及形成的數(shù)據(jù)傳輸路徑條數(shù)，因此，網(wǎng)絡(luò)中分別有?個發(fā)送節(jié)點和接收節(jié)點。經(jīng)過時間，網(wǎng)絡(luò)中共有個節(jié)點形成條路徑，發(fā)送bit的數(shù)據(jù)會在網(wǎng)絡(luò)中產(chǎn)生的總能量如式(5)所示。

由此可見，在網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)量相同，并且路由算法是固定的情況下，路徑越短，能量消耗越少。

4 基于攻擊感知的源位置隱私保護方法

4.1 攻擊感知技術(shù)

攻擊者不會對網(wǎng)絡(luò)結(jié)構(gòu)和功能產(chǎn)生任何影響，所以傳統(tǒng)的入侵檢測（IDS）系統(tǒng)無法檢測出攻擊者。但攻擊者還是有其自身特點的，首先它是一個移動對象，并且它是攜帶有電磁廣播信號的，本文部署的傳感器節(jié)點可以監(jiān)測和追蹤非授權(quán)的或異常的移動物體。

本文使用的傳感器節(jié)點包括移動物體檢測（M-DS,motion detection sensor）模塊和控制模塊2個功能模塊，如圖2所示。

圖2 傳感器功能模塊

M-DS模塊用于判斷附近是否存在攻擊者，并能根據(jù)現(xiàn)有技術(shù)判斷出攻擊者的位置，如果存在攻擊者，則向控制模塊發(fā)出readysilent警報。控制模塊通過發(fā)射高頻beacon信號，凡是收到該心跳分組信號的，警告信號readysilent_beacon置為1。另外，正在發(fā)送數(shù)據(jù)分組的節(jié)點，同時發(fā)送確認信號confirmsilent_beacon，和自身的經(jīng)過加密的ID1，收到確認信號的當(dāng)前節(jié)點將其標記為1，ID2通過算法計算獲得，當(dāng)節(jié)點收到的虛假信號fake_beacon心跳分組中ID2和自身ID一樣的心跳分組信號，則發(fā)送虛假數(shù)據(jù)分組。這里設(shè)定3個參數(shù)，如表1所示。

4.2 心跳分組

上文提到用心跳分組傳遞網(wǎng)絡(luò)信息可以節(jié)約傳輸數(shù)據(jù)的能耗，因為和網(wǎng)絡(luò)層的數(shù)據(jù)分組不同，心跳分組是屬于MAC層的。MAC層對網(wǎng)絡(luò)層是透明的，一般負責(zé)監(jiān)測和處理沖突以及分配信道與通信資源。

每個傳感器節(jié)點都會周期性地廣播心跳分組，從而告知鄰居節(jié)點自己的存在。由式(2)和式(3)可知，網(wǎng)絡(luò)能耗取決于數(shù)據(jù)分組的大小。心跳分組的大小由其MAC標準決定，圖3為IEEE 802.15.4的心跳分組幀格式，除去MAC負載，分組大小只有10 B左右，而一個LEACH協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)分組大小為500 B，約為心跳分組的50倍，所以本文中心跳分組的能耗基本可以忽略不計。

然而，過于頻繁的心跳分組廣播也會給網(wǎng)絡(luò)帶來一些負擔(dān)，已知心跳分組的廣播周期為beacon，網(wǎng)絡(luò)發(fā)送分組周期為message，要保障本文機制的應(yīng)用，為了阻止或減少攻擊者收到新的數(shù)據(jù)分組，可能需3個心跳分組的廣播時間才能完成整個機制，即3beacon≤message。根據(jù)IEEE802.15.4中定義，心跳分組的發(fā)送分組周期T為15.36 ms~786.432 s。采用擴頻技術(shù)數(shù)據(jù)的傳輸速率為250kbit/s。如果每一步投遞都需要心跳分組來更新路由，這樣網(wǎng)絡(luò)最大時延T≈Th，為傳輸路徑跳數(shù)。一些基于心跳分組的路由技術(shù)為了降低時延只能加快心跳分組發(fā)送頻率和縮短傳輸路徑，本文的策略不需要等待心跳分組來更新路由，節(jié)點的鄰居節(jié)點一旦配置之后不會發(fā)生變化，數(shù)據(jù)的傳輸速率不受心跳分組速率影響。

表1 心跳分組設(shè)計

圖3 IEEE 802.15.4 心跳分組幀格式

4.3 靜默池機制

首先引入靜默池（silent-pool）機制。如果一個節(jié)點接收到任何數(shù)據(jù)后即丟棄，則稱這個節(jié)點是沉默的。傳感器節(jié)點感知到附近的攻擊者后，發(fā)送信號使一定距離內(nèi)的所有節(jié)點不再轉(zhuǎn)發(fā)消息保持沉默狀態(tài)，攻擊者便不能再接收到周邊的任何信號，能夠覆蓋攻擊者監(jiān)聽區(qū)域的最短距離為最小安全距離。沉默的狀態(tài)可利用軟件便可實現(xiàn)，安全距離之內(nèi)的所有節(jié)點可以通過心跳分組來通知，一般情況傳感器節(jié)點是發(fā)送正常心跳來證明自己的存在。

如果節(jié)點H_node為第一個檢測到攻擊者的傳感器節(jié)點，它可以通過感知模塊確定攻擊者的位置，并發(fā)出一個警告信號readysilent_beacon，則H_node通信半徑范圍內(nèi)所有傳感器都可以接收到警告信號。同時，網(wǎng)絡(luò)中正在發(fā)送真實數(shù)據(jù)分組的節(jié)點RP_node會發(fā)送confirmsilent_beacon。在本研究中，傳感器的通信半徑和攻擊者的偵聽半徑都相等。當(dāng)攻擊者在真實數(shù)據(jù)傳輸路徑附近時，若節(jié)點同時收到readysilent_beacon和confirmsilent_beacon這2個心跳分組的信號，如圖4(a)陰影區(qū)域所示，則將自身調(diào)至沉默狀態(tài)。當(dāng)攻擊者遠離真正發(fā)送分組的節(jié)點時，如圖4(b)所示，此時網(wǎng)絡(luò)是安全的，攻擊者竊聽不到任何真實數(shù)據(jù)。然而，當(dāng)攻擊者捕獲到真實數(shù)據(jù)分組和分組的發(fā)送節(jié)點RP_node就可以一步步發(fā)現(xiàn)源節(jié)點。RP_node和攻擊者相交范圍形成靜默池，池內(nèi)的節(jié)點都只能收到分組但不能轉(zhuǎn)發(fā)，這個節(jié)點的狀態(tài)就是靜默的，如圖4(a)所示，就可以保證RP_node節(jié)點和源節(jié)點的安全，并且不依賴網(wǎng)絡(luò)當(dāng)前的路由。

圖4 靜默池的形成

定義1 所有接收到警告信號readysilentbeacon的節(jié)點集合為，所有接收到確認信號confirmsilentbeacon的節(jié)點集合為，靜默池的集合為

每個節(jié)點知道自身和sink節(jié)點的位置，并且每個節(jié)點都可以通過心跳分組發(fā)送信號。警告信號readysilentbeacon由離攻擊者最近的節(jié)點發(fā)送。確認信號confirmsilent_beacon由正在發(fā)送真實數(shù)據(jù)分組的節(jié)點發(fā)送。為那些既收到警告信號又收到確認信號的點，也就是如圖4(a)所示的陰影部分。當(dāng)然，有可能為空，如圖4(b)所示，即發(fā)送分組節(jié)點的下一跳節(jié)點，攻擊者是偵聽不到的，因為本地攻擊者只能收到其監(jiān)聽范圍內(nèi)的信號。

根據(jù)攻擊模型，攻擊者在捕獲不到數(shù)據(jù)后就會在網(wǎng)絡(luò)中隨機游走，在靜默池機制中，每次當(dāng)攻擊者靠近真實數(shù)據(jù)傳輸路徑時，都會引起數(shù)據(jù)傳輸偏移原路徑，大大降低了攻擊者捕獲的真實數(shù)據(jù)分組數(shù)量，但網(wǎng)絡(luò)路徑的增加導(dǎo)致了更高的能耗。

采用靜默池機制可以阻止或減少攻擊者收到新的數(shù)據(jù)分組，然而當(dāng)攻擊者一直在sink節(jié)點附近時，會產(chǎn)生2個弊端：1) 造成數(shù)據(jù)分組無法到達，導(dǎo)致非常低的投遞率；2) 當(dāng)源節(jié)點和sink節(jié)點很近時，攻擊者會收不到任何數(shù)據(jù)，處于隨機游走狀態(tài)，隨著游走步數(shù)的增加，游走的范圍也會相應(yīng)增加，如果源節(jié)點和sink節(jié)點之間距離較近，那么攻擊者在有限的時間內(nèi)就可以通過隨機游走找到源節(jié)點。

設(shè)X=CN?CN1(>0)，為獨立分布隨機變量，分別是(1,0),(?1,0),(0,1),(0,?1)。walk為walk步后到0的距離，其中，0<<1，攻擊者離初始位置距離為walk的漸近概率如式(8)所示。

隨著游走步數(shù)walk持續(xù)增加，游走之后還在原地附近的概率趨于1，從直觀上看，攻擊者只能在原地打轉(zhuǎn)，從而保證了源節(jié)點的位置隱私。如果源節(jié)點至sink距離較小，源節(jié)點的位置是可以落在sink附近較小范圍內(nèi)，只要增加walk，攻擊者便可在一定時間找到源節(jié)點。而當(dāng)源節(jié)點位置和攻擊者之間距離越遠，隨機游走狀態(tài)的攻擊者找到sink節(jié)點的概率越小。因此，需要保證攻擊者遠離源節(jié)點，即盡量使攻擊者追溯數(shù)據(jù)分組的移動方向都是遠離源節(jié)點的。

當(dāng)攻擊者在原路由附近時，越大的最短安全距離導(dǎo)致越大的路線偏移，網(wǎng)絡(luò)消耗的能量更多，也會導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定。雖然SPA在保護隱私方面具有很好的優(yōu)越性，但當(dāng)面臨耐心的攻擊者時，SPA會產(chǎn)生很大的路由偏移量，造成數(shù)據(jù)分組投遞時延。為了讓隱私保護機制更廣泛應(yīng)用，因此，在設(shè)計隱私保護策略時既要使攻擊者遠離源節(jié)點，又要能夠最大限度地保障現(xiàn)有路由，保證數(shù)據(jù)分組實時到達。

4.4 靜默池機制的優(yōu)化

維持現(xiàn)有路由路徑，可以保證網(wǎng)絡(luò)中的數(shù)據(jù)分組的轉(zhuǎn)發(fā)次數(shù)，避免安全策略對網(wǎng)絡(luò)能耗和時延產(chǎn)生較大影響。下面首先定義了路由偏移量，越小的路由偏移量對保證網(wǎng)絡(luò)的服務(wù)質(zhì)量越高。

定義2 基于應(yīng)用的原路由平均路徑長度（即跳數(shù)）為，隱私保護安全機制后的路由第次路徑的長度為x，用S來定義路由偏移量。

當(dāng)使用安全策略后的路由路徑長度與原路由長度相同時，2=0為最小值，即路由偏移量最小。當(dāng)使用安全策略后的路由路徑長度與原路由長度相差越大，2值越大。為了解決靜默池技術(shù)產(chǎn)生路由偏移量較大的問題，本文在不影響原路由路徑的情況下，引入DPIOP（dummy packet injection out pool）機制。當(dāng)節(jié)點在同時收到readysilentbeacon和confirmsilentbeacon這2個心跳分組后，發(fā)送含有自身節(jié)點ID的fake_beacon信號，收到fake_beacon信號的H_node根據(jù)算法2選擇一個離ID節(jié)點最遠的鄰居節(jié)點發(fā)送虛假數(shù)據(jù)分組，這里的假消息在攻擊者看來和真實數(shù)據(jù)分組是一樣的。于是通過在靜默池外選擇節(jié)點FP_node發(fā)射虛假消息，攻擊者就會追逐假消息，從而達到保護隱私的目的。

定義3 設(shè)所有收到警告分組信號（readysilent_beacon=1）但沒有收到確認分組信號（confirmsilent_beacon=0）的節(jié)點為v(0<<)，并且，v到sink的距離大于攻擊者到節(jié)點的距離，即(v,s)>(H_node,s)。此時的節(jié)點集合為SET_Far，如圖5灰色區(qū)域，F(xiàn)P_nodeSET_Far。

圖5 虛假數(shù)據(jù)分組的產(chǎn)生

首先發(fā)現(xiàn)攻擊者的傳感器節(jié)點，即最接近攻擊者的傳感器節(jié)點，所以它的位置近似于攻擊者的位置。如圖5有3個部分，第1個條紋陰影是靜默池，第2個部分為H_node周邊小于其到sink距離的所有鄰居，第3個陰影部分是虛假數(shù)據(jù)分組所在范圍。虛假節(jié)點選擇這個部分的原因在于：1) 攻擊者已知sink節(jié)點的位置，為了找到源節(jié)點，其攻擊路徑逐漸遠離sink節(jié)點尋找源節(jié)點，如果攻擊者捕獲的數(shù)據(jù)總是在sink周圍，那么它會判斷那是虛假路徑；2) 真實數(shù)據(jù)的路徑是有可能穿越靜默池的，而選取靜默池之外的傳感器作為虛假節(jié)點，可以不影響真實數(shù)據(jù)的原始路徑，并且依照既定策略可以誘使攻擊者遠離真實路徑，從而保障網(wǎng)絡(luò)的隱私安全。具體虛假節(jié)點的選擇如算法2所示，首先在H_node的鄰居節(jié)點中選擇虛假節(jié)點FP_node（第1)行和2)行），其到sink的距離必須大于攻擊者到節(jié)點的距離，并有FP_nodeSET_Far（第3)行），在滿足上述條件的點中選擇離當(dāng)前發(fā)送數(shù)據(jù)節(jié)點距離最遠的點為虛假節(jié)點（第4)行和5)行）。

算法2 Find_Fake_Node

輸入 H_node

輸出 FP_node

1)找出H_node的鄰居Nei_node(H_node);

2)從H_node的鄰居節(jié)點Nei_node(fakebeacon)選擇一個虛假節(jié)點n;

4FP_nodemax((n, nodeID(fake_beacon)));

//選擇離當(dāng)前發(fā)送數(shù)據(jù)節(jié)點距離最遠的點

5)returnFP_node;

6) elsegoto2);

表2 鄰居節(jié)點的選擇

H_node收到節(jié)點的心跳分組后計算出最遠的節(jié)點為FP_node。如果每次選擇的節(jié)點總在sink附近，作為有感知能力的攻擊者，可能判斷此為虛假數(shù)據(jù)分組。節(jié)點和不在選擇范圍，因為節(jié)點和到sink的距離小于H_node到sink的距離。根據(jù)定義3，相對節(jié)點，會選擇離更遠的節(jié)點作為FP_node。于是H_node會把節(jié)點的ID信息放在fake_beacon負載中廣播出去，這些心跳分組的發(fā)送頻率高于數(shù)據(jù)分組發(fā)送的3倍以上，節(jié)點收到包含自身ID的心跳分組后即發(fā)送虛假數(shù)據(jù)分組，誘使攻擊者遠離發(fā)送真實數(shù)據(jù)分組的節(jié)點，向節(jié)點方向移動。

虛假數(shù)據(jù)分組的生存周期為，生存周期越長，產(chǎn)生的虛假路徑就越長，消耗的能量就越大。這里設(shè)=0，只需要一跳的生存周期就達到保護隱私的目的。

圖6 狀態(tài)模型

4.5 隱私分析

如圖6所示，DPIOP機制不會影響網(wǎng)絡(luò)中的當(dāng)前路由，根據(jù)攻擊者距離正發(fā)送數(shù)據(jù)節(jié)點的遠近，網(wǎng)絡(luò)有如下3個狀態(tài)：1) 危險狀態(tài)，攻擊者接近正發(fā)送真實數(shù)據(jù)的節(jié)點，節(jié)點隨時被捕獲；2) 警戒狀態(tài)，攻擊者雖然不能立即捕獲真實節(jié)點，但一旦往真實路徑方向隨機游走，就會變成危險狀態(tài)；3) 而如果攻擊者往相反方向，則達到第3種狀態(tài)——安全狀態(tài)，如圖6(c)所示。

定義4 為了衡量網(wǎng)絡(luò)的安全性能，對于單個攻擊者，在確定的當(dāng)前路由和攻擊模型下會使用安全周期或捕獲率[4]來衡量隱私安全。

1) 安全周期。攻擊者從sink節(jié)點出發(fā)，到捕獲到源節(jié)點或離開網(wǎng)絡(luò)監(jiān)視區(qū)過程中，源節(jié)點發(fā)送的監(jiān)測數(shù)據(jù)分組數(shù)量。

2) 捕獲率（）。在規(guī)定時間范圍內(nèi)，攻擊者捕獲源節(jié)點的概率。

在源節(jié)點被捕獲之前發(fā)送的數(shù)據(jù)分組越多，安全周期越長，安全性越高；在規(guī)定時間內(nèi)和固定的源節(jié)點到sink的距離（-），捕獲的源節(jié)點次數(shù)越多，捕獲率越大，安全性就越差。

并且有

隨著的增加，捕獲率越來越小，即攻擊者遠離數(shù)據(jù)分組傳輸路徑，此時攻擊者無法收到數(shù)據(jù)分組。P越小，在危險狀態(tài)的概率也越小，捕獲到源節(jié)點的概率極低。在給定路由和攻擊模型的情況下以及sink節(jié)點與源節(jié)點的距離固定時，使用本文提出的安全隱私機制后，與其他安全策略進行比較，在第5節(jié)中用實驗結(jié)果說明了運用DPIOP具有極高的優(yōu)越性。

4.6 DPIOP算法能耗

本文使用心跳分組只是用于傳輸狀態(tài)信號，并不傳輸源節(jié)點收集的數(shù)據(jù)，真實數(shù)據(jù)依然通過正常路由投遞。心跳分組傳遞的信號狀態(tài)只有3種，如表1所示，所以心跳分組的數(shù)據(jù)負載中只需要2 bit大小的數(shù)據(jù)段。如4.2節(jié)所述，正常的心跳分組大小不會影響網(wǎng)路能耗。傳感器只有在感知到攻擊者的情況下才會發(fā)送心跳分組，發(fā)送并不頻繁。而且，心跳分組的發(fā)送范圍只是在攻擊者附近，不會造成全網(wǎng)大規(guī)模的影響。所以在本文中使用心跳分組的能耗基本可以不用額外考慮。

在DPIOP算法中，每個傳感器都會在鄰居發(fā)現(xiàn)階段記住自己的一跳鄰居，初始情況下攻擊者位于sink節(jié)點，源節(jié)點開始發(fā)送分組至sink節(jié)點，每次事件從源節(jié)點傳輸?shù)絪ink節(jié)點需要時間為，事件長度為bit。心跳分組發(fā)送的能量可以忽略不計，則網(wǎng)絡(luò)中的時間和能量代價主要是數(shù)據(jù)收發(fā)引起的，因此，主要分析算法處理過程中網(wǎng)絡(luò)收發(fā)的數(shù)據(jù)分組數(shù)量。

5 性能測試與分析

為了驗證本文方法的高效低耗，分別利用小規(guī)模真實傳感器節(jié)點和大規(guī)模仿真驗證本文算法的性能。從時延、隱私安全、路徑偏移量和能耗4個方面評價不同隱私保護方法。1) 時延定義為一個真實數(shù)據(jù)分組從源節(jié)點出發(fā)，經(jīng)過一些中繼節(jié)點，到達sink節(jié)點所需要的時間。2) 根據(jù)本文的安全衡量標準，通過統(tǒng)計源節(jié)點在規(guī)定時間內(nèi)被捕獲的次數(shù)來衡量隱私安全性。被捕獲次數(shù)越少，安全周期越長，捕獲率越小，即安全隱私性越高。3) 使用不同安全策略會使原始的路由路徑發(fā)生偏移，路徑偏移量為使用安全策略后真實數(shù)據(jù)分組投遞路徑長度相比平均最短路徑長度的期望值的偏離程度。4) 據(jù)式(5)計算網(wǎng)絡(luò)能耗，且能量與發(fā)送分組數(shù)成正比，在真實實驗中，節(jié)點能耗難以測量，通過統(tǒng)計節(jié)點收發(fā)的數(shù)據(jù)分組數(shù)來衡量，路由算法的優(yōu)劣會影響到網(wǎng)絡(luò)的能耗。

5.1 真實節(jié)點實驗

在空曠的操場上，隨機放置8×8個傳感器節(jié)點，如圖7(a)所示，節(jié)點選用TelosB，使用2節(jié)AA電池進行供電，CPU為8 MHz TI MSP430，內(nèi)存大小為10 KB，通信芯片為CC 2420，頻率為2.4 GHz。MAC協(xié)議為IEEE 802.15.4，操作系統(tǒng)采用Tiny OS 2.0。如圖7(b)所示，攻擊者手持一個傳感器節(jié)點從sink節(jié)點出發(fā)，監(jiān)聽網(wǎng)絡(luò)中的數(shù)據(jù)，通過USB端口讀取發(fā)送者的序列號，從而向發(fā)送該數(shù)據(jù)的節(jié)點方向移動。如圖7(c)所示，攻擊者附近的傳感器利用心跳分組發(fā)送報警信號。源節(jié)點和sink節(jié)點之間的最短距離為7跳。實驗共進行10次，源節(jié)點發(fā)送數(shù)據(jù)分組為50個，數(shù)據(jù)分組發(fā)完后實驗結(jié)束。

圖7(d)為所有傳感器節(jié)點，實驗將通過收集每個節(jié)點的收發(fā)數(shù)據(jù)分組的個數(shù)，驗證本文方法的低耗高效，并通過統(tǒng)計攻擊者捕獲源節(jié)點的次數(shù)驗證方法的安全性。雖然CALP在節(jié)點每次轉(zhuǎn)發(fā)數(shù)據(jù)時都需要等待心跳分組來更新路由表，引起超長時延，但其本質(zhì)也是最短路徑，與本文應(yīng)用的原路由相同。另外，幻影路由作為一種安全策略不受攻擊者影響，適用于做基準比較。真實實驗中將本文的方法和幻影路由（RP）做出比較。

圖7 源節(jié)點隱私保護實驗

1) 時延

為了精確測量數(shù)據(jù)分組投遞的時延，分別在源節(jié)點和sink節(jié)點記錄數(shù)據(jù)分組的發(fā)送和到達時間。表3和表4分別顯示了在面臨耐心和好奇攻擊者時，SPA、DPIOP、RP這3種算法在實際網(wǎng)絡(luò)中投遞數(shù)據(jù)分組所需的時延。

表3 面臨耐心攻擊者的時延

表4 面臨好奇攻擊者的時延

由表3和表4可以看出，DPIOP在遇到2種攻擊者時，時延幾乎沒有變化。由于DPIOP仍然以最短路徑來投遞數(shù)據(jù)分組，因而比幻影路由（RP）的時延分別減少了29.2%和30.7%。SPA在面臨好奇的攻擊者時，攻擊者會因為收不到數(shù)據(jù)分組而隨機游走遠離真實路徑，從而減少了路徑偏移量，雖然SPA比DPIOP的時延稍有增加，但比RP減少了26.9%。然而在面臨耐心的攻擊者時卻產(chǎn)生了高于RP算法641.7%的時延，這是因為當(dāng)SPA遇到耐心的攻擊者時，數(shù)據(jù)分組會一直在靜默池邊緣周旋而無法投遞至sink節(jié)點。

2) 隱私安全

從安全性的角度，無論是面對耐心的攻擊者還是好奇的攻擊者，SPA的捕獲率最低，安全性最高，與RP相比，隱私安全性分別高出了100%和87.5%。因為SPA一直接收不到真實的數(shù)據(jù)分組，耐心的攻擊者會一直等待直到時間結(jié)束，好奇的攻擊者即使隨機游走，活動范圍也有限，無法找到距離較遠的源節(jié)點。如果DPIOP在真實原路徑節(jié)點附近，則會同時收到真實的數(shù)據(jù)分組和虛假數(shù)據(jù)分組，真實實驗最短路徑長度為7跳，所以當(dāng)7次都恰好一直向真實數(shù)據(jù)分組的方向移動就捕獲到了源節(jié)點。如表5和表6所示，面臨耐心的攻擊者，DPIOP的隱私性相比RP高出90%；遇到好奇的攻擊者，DPIOP的隱私性相比RP提高了75%。相比耐心的攻擊者，好奇的攻擊者因為隨機行走而增加了被捕獲的概率，降低了隱私安全性。

表5 面臨耐心攻擊者的隱私性

表6 面臨好奇攻擊者的隱私性

3) 路徑偏移量

表7 面臨耐心攻擊者的路徑偏移量

表8 面臨好奇攻擊者的路徑偏移量

DPIOP有著很小的路徑偏移量，真實數(shù)據(jù)按照最短路徑投遞，在面臨2種不同攻擊者時，其偏移量均比RP低99.8%。SPA在面臨耐心的攻擊者時，由于數(shù)據(jù)在sink附近的重復(fù)投遞，導(dǎo)致大規(guī)模的路徑偏移，使其偏移量近高于RP路徑38倍。SPA在遇到好奇的攻擊者這種極端情況消失，比RP的路由偏移低85.6%，達到了很好的投遞效果。

4) 能耗

為了驗證本文方法的低能耗，實驗分別統(tǒng)計了每種方法10次之后，所有節(jié)點的發(fā)送分組數(shù)，通過式(12)算出每個數(shù)據(jù)分組到達sink的平均路徑長度，因為本文的方法使用了虛假數(shù)據(jù)分組，所以這里的平均轉(zhuǎn)發(fā)節(jié)點也包括虛假數(shù)據(jù)分組的轉(zhuǎn)發(fā)。

實驗結(jié)果如表9和表10所示，RP的投遞路徑最長，產(chǎn)生的能耗最大。遇到耐心的攻擊時，DPIOP比PR減少了37%的能耗，但SPA使數(shù)據(jù)分組一直在sink附近循環(huán)投遞直到時間結(jié)束，路徑長度的增加導(dǎo)致了能耗的異常。面臨好奇的攻擊者時，SPA產(chǎn)生的數(shù)據(jù)轉(zhuǎn)發(fā)量和DPIOP接近，分別節(jié)約能耗31%和30%。DPIOP在遇到好奇的攻擊者時比耐心的攻擊者時產(chǎn)生了稍多能耗，主要因為好奇攻擊者在接收不到任何數(shù)據(jù)時隨機游走，使其在真實路徑附近的概率增加，多產(chǎn)生了一些虛假數(shù)據(jù)分組。

表9 面臨耐心攻擊者的路由跳數(shù)

表10 面臨好奇攻擊者的路由跳數(shù)

5.2 仿真實驗

為了驗證在本文算法在大規(guī)模網(wǎng)絡(luò)中的性能，實驗選用一款基于OMnet++的仿真器Castalia，部署100×100個傳感器于方形的平面網(wǎng)絡(luò)，節(jié)點均勻隨機分布，sink節(jié)點隨機置于網(wǎng)絡(luò)的中央。假設(shè)網(wǎng)絡(luò)中只有一個攻擊者，且源節(jié)點放在離sink節(jié)點遠近不同的位置。MAC層協(xié)議基于IEEE 802.15.4，心跳分組負載中攜帶信號信息，節(jié)點檢測到攻擊者的時候即發(fā)送心跳分組。雖然本文提出的策略不依賴于任何路由協(xié)議，但為了展示SPA、DPIOP機制的性能，原應(yīng)用路由使用最短路徑（SP），選取幻影路由（RP）以及同樣基于心跳分組機制的CALP[12]來比較。CALP方法的敵人發(fā)現(xiàn)過程和本文是類似的，主要過程是，每個節(jié)點維護一張包含所有鄰居節(jié)點的路由表，每次發(fā)現(xiàn)攻擊者以心跳分組來傳遞信息更新路由表，路由選擇每次都選擇最靠近最短路徑，并以到攻擊者距離為懲罰距離的節(jié)點作為下一跳節(jié)點。這里不僅會比較好奇的攻擊者，也會比較耐心的攻擊者。

因為調(diào)度心跳分組不會發(fā)生額外的能量消耗，只是虛假信息的發(fā)送會消耗額外能量。虛假數(shù)據(jù)分組的生存周期=0，那么虛假數(shù)據(jù)分組的生存周期只有一跳。仿真進行50次，并且每次從源節(jié)點共發(fā)送500個新的數(shù)據(jù)分組。

1) 時延

時延包括2個方面，依賴心跳分組的時延和不依賴心跳分組的路由時延。路由時延與路由算法相關(guān)，如跳數(shù)和重投次數(shù)等。如圖8所示，隨著源節(jié)點到sink距離的增加，CALP產(chǎn)生的時延也大幅度增加，遠高于其他4種方法。CALP投遞時間不僅與路徑長度成正比，還受心跳分組更新頻率的影響，CALP每次數(shù)據(jù)投遞前都依賴心跳分組數(shù)據(jù)來更新路由表，否則無法實現(xiàn)安全保護，這樣造成了極大時延。CALP的路徑長度與攻擊者的攻擊方式有關(guān)，對一個守在sink附近的耐心攻擊者，CALP雖然基于最短路徑，但總是選擇偏離攻擊者的最遠節(jié)點，直到攻擊者捕獲到新的數(shù)據(jù)分組，而對好奇的攻擊者，如果沒有捕獲到新的數(shù)據(jù)分組，他就會隨機游走，遠離了最短路徑附近，就不會使路徑發(fā)生偏移。因此，相比較好奇的攻擊者，CALP在面臨耐心的攻擊者時會產(chǎn)生多一點時延。

SPA和CALP一樣，路徑偏移也受到攻擊者位置的影響。如圖8(a)所示，對于耐心的攻擊者，SPA機制導(dǎo)致數(shù)據(jù)分組的投遞時延遠高于最短路徑。這是因為攻擊者靠近sink節(jié)點時，會引起路徑偏移，造成了97%以上的數(shù)據(jù)分組無法路由至sink節(jié)點。在仿真實驗中，有些數(shù)據(jù)分組轉(zhuǎn)發(fā)了157次才到達sink節(jié)點。如圖8(b)所示，在遇到好奇的攻擊者時，SPA算法的數(shù)據(jù)分組時延大幅降低，相比幻影路由降低約28.4%。這是因為好奇的攻擊者收不到數(shù)據(jù)分組隨機游走，遠離最短路徑。因此，實際應(yīng)用中可以在sink節(jié)點附近，把最小安全距離調(diào)小，等遠離sink節(jié)點時，再相應(yīng)調(diào)回到通信半徑。

圖8 時延和s-d距離的關(guān)系

SPA、DPIOP和幻影路由的投遞時間只依賴于路徑長度（即源節(jié)點到sink的距離），獨立于心跳分組的發(fā)送時間，只需要滿足3beacon≤message的約束即可。心跳分組的頻率雖然會對網(wǎng)絡(luò)流量造成影響，但實際上，只有在靜默池形成時才會加大心跳分組的發(fā)送頻率，并且不會影響數(shù)據(jù)正常發(fā)送速度，所以增加的網(wǎng)絡(luò)流量也是極其有限的。DPIOP算法使用的也是最短路由，所以攻擊者一旦遠離真實路由，DPIOP的時延和最短路徑路由相同，比幻影路由的時延減少35.2%。

幻影路由因為隨機游走增加了步數(shù)，所以時延要高于最短路徑。如圖8所示，當(dāng)=10跳時，SPA、DPIOP以及幻影路由產(chǎn)生的時延低于真實實驗下7跳的時延，其原因是在同等實驗條件下，真實環(huán)境要更復(fù)雜，鏈路干擾、無線帶寬等不穩(wěn)因素導(dǎo)致了實際時延要稍高于仿真環(huán)境。

2) 隱私安全

如圖9所示，隨著的增加，最短路徑的安全性并沒有增加，并且是最差的，攻擊者捕獲到一個數(shù)據(jù)分組之后，就會順著最短路徑找到源節(jié)點。從實驗結(jié)果看出，好奇的攻擊者反而比耐心的攻擊者捕獲到源節(jié)點的次數(shù)少，因為好奇的攻擊者從sink出發(fā)，沒有等到任何數(shù)據(jù)分組后便隨機游走，從而錯過一些數(shù)據(jù)分組，偏移真實路徑。因此，耐心的攻擊者反而比好奇的攻擊者有更高的捕獲率。

圖9 捕獲節(jié)點數(shù)量和s-d距離的關(guān)系

CALP的本質(zhì)是貪婪最短路徑，但每次都是選擇離攻擊者最遠的，而且CALP的策略和攻擊者的攻擊半徑設(shè)定相關(guān)。在仿真中，當(dāng)攻擊半徑等于通信半徑時，攻擊者在sink附近是可以收到一些真實數(shù)據(jù)分組的，所以耐心的攻擊者也可以捕獲到一些數(shù)據(jù)源。好奇的攻擊者收不到信息的時候則隨機游走，較小時會捕獲一些源節(jié)點?；糜奥酚稍诜抡嬷杏龅侥托牡墓粽邥r，并沒有比最短路徑表現(xiàn)更好，只是隨著的增加，隨機游走的步數(shù)增加，好奇的攻擊者會因暫時沒有收到數(shù)據(jù)分組而偏移路線，丟失了捕獲源節(jié)點的部分機會。

如圖9(a)所示，在SPA安全策略下，耐心的攻擊者由于一直收不到數(shù)據(jù)分組而停留在原地，而無法繼續(xù)追蹤數(shù)據(jù)源，隱私安全性近乎100%。當(dāng)源節(jié)點離sink較近時，好奇攻擊者因基本收不到數(shù)據(jù)分組處于隨機游走狀態(tài)，根據(jù)式(9)所示的隨機游走概率分布，當(dāng)源節(jié)點特別近時就會被捕獲。如圖9(b)所示，當(dāng)=10跳且SPA遇到好奇攻擊者時，SPA比幻影路由（RP）的隱私性提高約89.6%，高于實際實驗中的87.5%，這是因為實際實驗中距離更短，且攻擊者在真實環(huán)境中隨機游走的速度和范圍都比仿真環(huán)境小。

在DPIOP安全策略下，由圖9(a)顯示，從10跳到更遠的距離，耐心的攻擊者幾乎捕捉不到源節(jié)點。遇到好奇的攻擊者，圖9(b)顯示當(dāng)源節(jié)點至sink節(jié)點20跳在以內(nèi)，DPIOP捕獲率雖低于CALP但也還能捕捉到源節(jié)點，因為DPIOP攻擊者可以收到真實數(shù)據(jù)分組，相比較SPA的完全隨機游走，DPIOP追蹤到源節(jié)點的概率要比SPA大。在真實實驗中7跳時，遇到好奇攻擊者，DPIOP比幻影路由（RP）的隱私性高約為75%，而在仿真實驗中當(dāng)距離=10跳，SPA遇到好奇攻擊者比RP的隱私性高約為94.9%，說明在仿真實驗中有更高的捕獲率，這是因為攻擊者在真實實驗中探測到的數(shù)據(jù)分組方向和距離會因環(huán)境因素而有誤差。

隨著路由路徑的繼續(xù)增加，SPA和DPIOP不管是針對耐心的攻擊者還是好奇的攻擊者，在保護源節(jié)點位置隱私上都有極好的安全性。

3) 路徑偏移量

這里比較4種安全機制，本文選取最短路徑SP作為原始的路由策略。根據(jù)式(9)，通過比較本文方法和CALP、幻影路由（RP）的路由偏移量，可以看出不同路由對路徑的影響，如圖10所示。

圖10 捕獲路徑偏移量和s-d距離的關(guān)系

從圖10實驗結(jié)果可以看出，只有DPIOP對原路由影響較小。其仿真結(jié)果與實際試驗結(jié)果相似，與幻影路由相比偏移量減少約為99%?；糜奥酚珊妥疃搪窂降牟煌谟诙嗔藈alk=7的隨機游走，游走的方向是隨機的，遠離sink方向的游走會造成更大的路徑偏移。

CALP本質(zhì)也是最短路徑，當(dāng)源節(jié)點離sink較遠時，最短路由也會在選取路徑時稍有偏移，這是由路由算法和網(wǎng)絡(luò)拓撲決定的。CALP在攻擊者靠近真實路徑時，每次選取離攻擊者最遠并且離sink最近的節(jié)點進行中繼，真實路徑在最短路徑附近變化。

對于耐心的攻擊者，在圖10(a)中沒有顯示SPA，由于攻擊者守在sink附近并一直收不到消息，而數(shù)據(jù)分組一直就在sink附近轉(zhuǎn)發(fā)到達不了sink節(jié)點，所以造成路由偏移非常大，SPA的偏移量和攻擊者的攻擊能力有關(guān)，越大的安全距離使偏移量越大。好奇的攻擊者收不到數(shù)據(jù)分組后就進入隨機游走狀態(tài)，遠離最短路徑附近后就不再會對原始路徑造成偏移。SPA遇到好奇的攻擊者的仿真實驗結(jié)果如圖10(b)所示，與幻影路由相比偏移量減少約85.8%，與真實實驗的結(jié)果相符。

4) 能耗

根據(jù)式(5)來計算能耗，本次仿真實驗中使用如下參數(shù)，如表11所示。

表11 參數(shù)設(shè)置

因為CALP的本質(zhì)也是最短路徑SP，所以下面只需要比較本文方法與SP和RP之間的關(guān)系。圖11(a)中SPA產(chǎn)生的能量異常高于其他方法而無法顯示在正常能量區(qū)間，因為面對在sink附近耐心的攻擊者，數(shù)據(jù)分組一直圍繞著靜默池循環(huán)投遞而無法到達sink，從而消耗了更多的能量。所以遇到耐心的攻擊者時，DPIOP機制更高效、低耗。DPIOP機制不會改變原路由的最短路徑，只有虛假數(shù)據(jù)分組產(chǎn)生了額外的消耗能量，而只有存在靜默池的時候才會產(chǎn)生虛假數(shù)據(jù)分組。實際上，耐心的攻擊者被虛假數(shù)據(jù)分組誘使遠離開原始路徑后，靜默池消失，攻擊者便收不到任何真假數(shù)據(jù)分組。如圖11(a)所示，當(dāng)網(wǎng)絡(luò)保持穩(wěn)定的安全狀態(tài)（如圖6(c)所示）時，DPIOP按最短路徑投遞真實數(shù)據(jù)分組。相比幻影路由RP，DPIOP遇到耐心的攻擊者可節(jié)省能耗約為62.6%，幻影路由的隨機游走方向一旦是遠離sink節(jié)點的方向，會產(chǎn)生更多能耗。在同等實驗參數(shù)下，仿真實驗比實際實驗會產(chǎn)生較少能耗，這是因為實際環(huán)境有更多損耗能量的物理因素。

如圖11(b)所示，當(dāng)遇到在sink附近好奇的攻擊者時，SPA會使攻擊者無法收到任何數(shù)據(jù)分組而隨機游走，偏離原路由路徑后，數(shù)據(jù)分組按最短路徑投遞，比幻影路由降低能耗約為55.2%。DPIOP機制下好奇的攻擊者在真實路徑附近會一直同時收到2個數(shù)據(jù)分組，當(dāng)他追蹤假的數(shù)據(jù)分組時，一旦遠離原始路徑后，靜默池也隨之消失，攻擊者便收不到任何真假數(shù)據(jù)分組，從而進入隨機游走的狀態(tài)，DPIOP相比幻影路由能耗最多減少54.7%。

在圖11(b)中，當(dāng)路徑<30跳時，面對好奇的攻擊者時，SPA和DPIOP產(chǎn)生的能耗相差不大，這與真實實驗結(jié)果相符，因為源節(jié)點到sink路徑距離較短時，SPA產(chǎn)生的路徑偏移路徑長度和DPIOP產(chǎn)生的假數(shù)據(jù)分組發(fā)送的次數(shù)相差不多，所以產(chǎn)生的能耗也很接近。當(dāng)增加時，雖然DPIOP使攻擊者捕獲源節(jié)點的概率變小了，但捕獲真實數(shù)據(jù)分組的數(shù)量也隨之增加，而此時SPA隨機游走造成的路徑偏移并沒有實質(zhì)性變化，因此DPIOP產(chǎn)生的能耗就會稍高于SPA。

圖11 網(wǎng)絡(luò)能量消耗和s-d距離的關(guān)系

6 結(jié)束語

本文提出了2種不依賴原路由的新方法SPA和DPIOP來解決源位置隱私的問題。SPA通過讓攻擊者周圍的節(jié)點只接收不發(fā)送從而阻止或降低攻擊者收到新數(shù)據(jù)分組的可能性。實驗結(jié)果證明了SPA具有極高的安全性，雖然面臨耐心的攻擊者，SPA有可能會造成數(shù)據(jù)時延，然而在面對安全要求極高且可以犧牲一點時延的網(wǎng)絡(luò)應(yīng)用，如時延容忍網(wǎng)絡(luò)（DTN, delay/disruption -tolerant network），SPA是一個更好的選擇。能量高效的DPIOP機制在路徑較短的情況下安全性能稍差于SPA，但只需要注入極少的虛假信息，就能達到保護源節(jié)點位置信息的目的，并且對當(dāng)前的路由沒有任何影響。實際應(yīng)用中，可以靈活應(yīng)用，如在sink附近使用DPIOP，在源節(jié)點附近使用SPA機制。隨著攻擊者能力的增加，比如更大的竊聽范圍和更快的移動速度，網(wǎng)絡(luò)的安全性能會有所下降。未來我們會繼續(xù)研究網(wǎng)絡(luò)面臨更強大攻擊者時的隱私保護安全策略。

[1] 牛曉光, 魏川博, 姚亞蘭. 傳感網(wǎng)中能量均衡高效的源位置隱私保護協(xié)議[J]. 通信學(xué)報, 2016, 37(4): 23-33. NIU X G, WEI C B, YAO Y L. Energy-consumption-balanced efficient source-location privacy preserving protocol in WSN[J]. Journal on Communication, 2016, 37(4): 23-33.

[2] LIGHTFOOT L, LI Y, REN J. STaR: design and quantitative measurement of source-location privacy for wireless sensor networks[J]. Secur Commun Netw, 2016, 9(3): 220-228.

[3] 周倩, 秦小麟, 丁有偉.無線傳感器網(wǎng)絡(luò)中基于哈希函數(shù)的上下文隱私保護[J]. 南京理工大學(xué)學(xué)報, 2017, 41(6): 753-759.

ZHOU Q, QIN X L, DING Y W. Hash-based contextual privacy preservation in wireless sensor networks[J]. Journal of Nanjing University of Science and Technology, 2017, 41(6): 753-759.

[4] KAMAT P, ZHANG Y, TRAPPE W, et al. Enhancing source-location privacy in sensor network routing[C]//25th IEEE International Conference on Distributed Computing Systems(ICDCS). 2005: 599-608.

[5] ZHANG Y, WANG G, HU Q, et al. Design and performance study of a topology-hiding multipath routing protocol for mobile ad hoc networks[C]// IEEE INFOCOM. 2012: 10-18.

[6] RAHAT A A M, EVERSON R M, FIELDSEND J E. Evolutionary multi-path routing for network lifetime and robustness in wireless sensor networks[J]. Ad Hoc Netw, 2016(52):130-145.

[7] MEHTA K, LIU D, WRIGHT M. Protecting location privacy in sensor networks against a global eavesdropper[J]. IEEE Trans Mob Comput, 2012, 11(2): 320-336.

[8] YANG Y, SHAO M, ZHU S, et al. Towards statistically strong source anonymity for sensor networks[J]. ACM Trans Sen Netw, 2013, 9(2): 1-23.

[9] LOUREN?O P, BATISTA P, OLIVEIRA P, et al. Simultaneous localization and mapping in sensor networks: a GES sensor-based filter with moving object tracking[C]//European Control Conference (ECC). 2015: 2354-2359.

[10] NANDHINI S A, RADHA S. Compressed sensing based object detection and tracking system using measurement selection process for wireless visual sensor networks[C]//International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET). 2016: 1117-1122.

[11] APICHARTTRISORN D, APICHARTTRISORN K, KASETKASEM T. A moving object tracking algorithm using support vector machines in binary sensor networks[C]//13th International Symposium on Communications and Information Technologies (ISCIT). 2013: 529-534.

[12] RIOS R, LOPEZ J. Exploiting context-awareness to enhance source-location privacy in wireless sensor networks[J]. Oxford University Press, 2011, 54(10): 1603-1615 .

[13] BURATTI C. Performance analysis of IEEE 802.15.4 beacon-enabled mode[J]. IEEE Transactions on Vehicular Technology, 2010, 59(4): 2031-2045.

[14] BRADBURY M, LEEKE M, JHUMKA A. A dynamic fake source algorithm for source location privacy in wireless sensor networks[C]//IEEE Trustcom/BigDataSE/ISPA. 2015: 531-538.

[15] OUYANG Y, LE Z, LIU D, et al. Source location privacy against laptop-class attacks in sensor networks[C]//The 4th International Conference on Security and Privacy in Communication Networks. 2008: 5-10.

[16] RAJ M, LI N, LIU D, et al. Using data mules to preserve source location privacy in wireless sensor networks[J]. Pervasive & Mobile Computing, 2014(11): 244-260.

[17] JHUMKA A, LEEKE M, SHRESTHA S. On the use of fake sources for source location privacy: trade-offs between energy and privacy[J]. Computer Journal, 2011, 54(6): 860-874.

[18] SHI R, GOSWAMI M, GAO J, et al. Is random walk truly memoryless traffic analysis and source location privacy under random walks[C]//IEEE INFOCOM. 2013: 3021-3029.

[19] XI Y, SCHWIEBERT L, SHI W. Preserving source location privacy in monitoring-based wireless sensor networks[C]//20th IEEE International Parallel Distributed Processing Symposium. 2006.

[20] ALOMAIR B, CLARK A, CUELLAR J, et al. Toward a statistical framework for source anonymity in sensor networks[J]. IEEE Transactions on Mobile Computing, 2013, 12(2): 248-260.

[21] 吳博, 胡小龍. WSN中基于假路徑的源位置保護策略[J]. 計算機工程與應(yīng)用, 2008, 44(16): 114-117.

WU B, HU X L. Strategy of protecting source-location privacy in WSN based on fake paths[J]. Computer Engineering and Applications, 2008, 44(16): 114-117.

[22] AMIN R, BISWAS G P. A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks[J]. Ad Hoc Networks, 2016, 36(1): 58-80.

[23] SRINIVAS J, MUKHOPADHYAY S, MISHRA D. Secure and efficient user authentication scheme for multi-gateway wireless sensor networks[J]. Ad Hoc Networks, 2017, 54: 147-169.

[24] REDDY A G, DAS A K, YOON E J, et al. A secure anonymous authentication protocol for mobile services on elliptic curve cryptography[J]. IEEE Access, 2016(4): 4394-4407.

[25] SHAO M, HU W, ZHU S, et al. Cross-layer enhanced source location privacy in sensor networks[C]//6th Annual IEEE Communications Society Conference on Sensor, Mesh and Ad Hoc Communications and Networks. 2009: 1-9.

[26] XING Y, CHEN Y, YI W, et al. Optimal beacon interval for TDMA-based MAC in wireless sensor networks[C]//11th International Conference on Innovations in Information Technology (IIT). 2015: 156-161.

[27] HUANG P, LIU C J, XIAO L. TAS-MAC: a traffic-adaptive synchronous MAC protocol for wireless sensor networks[J]. ACM Transaction Sensor Network, 2016, 12(1): 1-30.

[28] ZHOU L, WAN C, HUANG J, et al. The location privacy of wireless sensor networks: attacks and countermeasures[C]//Ninth International Conference on Broadband and Wireless Computing, Communication and Applications (BWCCA). 2014: 64-71.

[29] POTTIE G J, KAISER W J. Wireless integrated network sensors[J]. Communication ACM, 2000, 43(5): 51-58.

Preserving source-location privacy efficiently based on attack-perceiving in wireless sensor network

ZHOU Qian1,2, QIN Xiaolin1,2, DING Youwei1,2

1. College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics, Nanjing 211106, China 2. Jiangsu Key Laboratory of Internet of Things and Control Technology, Nanjing 211106, China

Sensors’ ability was utilized to perceive the mobile attacker nearby, and SPA (silent-pool approach) was proposed, which was able to hinder or reduce the packets hunted by the attacker by controlling the forwarding state of the nodes. In addition, a novel DPIOP (dummy packet injection out pool) method was proposed to entice the adversary far away from the transmission path without changing the original routing path. Through simulation studies and experiments, the outstanding performance of SPA and DPIOP in privacy preservation were demonstrated, with saving energy by about 63%, and reducing delay by about 35%.

location privacy, sensor network, energy-efficiency, attack-perceiving, context-aware

TP393

A

10.11959/j.issn.1000-436x.2018001

周倩（1983-），女，江蘇興化人，南京航空航天大學(xué)博士生，主要研究方向為數(shù)據(jù)信息安全、傳感器網(wǎng)絡(luò)、數(shù)據(jù)隱私保護等。

秦小麟（1953-），男，江蘇蘇州人，南京航空航天大學(xué)教授，主要研究方向為分布式數(shù)據(jù)管理、物聯(lián)網(wǎng)、數(shù)據(jù)安全與隱私保護、大數(shù)據(jù)管理與分析等。

丁有偉（1987-），男，江蘇宿遷人，南京航空航天大學(xué)博士生，主要研究方向為云計算、能量高效數(shù)據(jù)管理和數(shù)據(jù)挖掘等。

2017-01-08；

2017-12-02

國家自然科學(xué)基金資助項目（No.61373015, No.61300052, No.41301047, No.61402225）；江蘇省自然科學(xué)基金資助項目（No.BK20140832）；中國博士后基金資助項目（No.2013M540447）

: The National Natural Science Foundation of China (No.61373015, No.61300052, No.41301047, No.61402225), The Natural Science Foundation of Jiangsu Province (No.BK20140832), The Postdoctoral Foundation of China (No.2013M540447)