面向雙層傳感網(wǎng)的安全Top-k查詢協(xié)議

馬行坡 梁俊斌 馬文鵬 李 銀 李 然 奎曉燕

1(信陽師范學院計算機與信息技術學院 河南信陽 464000) 2(廣西大學計算機與電子信息學院 南寧 530004) 3 (中南大學信息科學與工程學院 長沙 410083) (maxingpo@xynu.edu.cn)

隨著電子元件、通信協(xié)議等軟、硬件技術的發(fā)展，物聯(lián)網(wǎng)正逐漸由概念提出階段走向?qū)嶋H實現(xiàn)階段.在層次劃分上，物聯(lián)網(wǎng)可分為感知層、對象抽象層、服務管理層、應用層和商業(yè)管理層[1].在這些層次中，感知層負責直接從物理對象獲取數(shù)據(jù)信息，是實現(xiàn)物聯(lián)網(wǎng)“萬物互聯(lián)”關鍵環(huán)節(jié).目前，物聯(lián)網(wǎng)的感知系統(tǒng)主要包括：無線傳感器網(wǎng)絡(wireless sensor networks， WSNs)[2]、雙層傳感器網(wǎng)絡(two-tiered wireless sensor networks，TWSNs)[3-4]、RFID系統(tǒng)[5]、NFC系統(tǒng)[6]等.其中，TWSNs是由WSNs發(fā)展而來的一種新型網(wǎng)絡系統(tǒng)，它通過將大量的傳感器節(jié)點進行單元劃分并在每個單元內(nèi)部署資源相對豐富、計算能力相對更強的主管節(jié)點(master node)來提高網(wǎng)絡的可擴展性，未來將在物聯(lián)網(wǎng)感知系統(tǒng)中扮演重要角色.

然而，目前有關TWSNs的研究處于起步階段，仍存在一些問題需要解決，尤其是數(shù)據(jù)的隱私性和完整性保護問題.在TWSNs中，上層主管節(jié)點既負責收集本單元內(nèi)傳感器節(jié)點的感知數(shù)據(jù)，又負責響應來自Sink的查詢請求，是TWSNs中的關鍵節(jié)點.因此，在敵對環(huán)境中，主管節(jié)點易受到攻擊而變?yōu)閻阂夤?jié)點.一旦主管節(jié)點被惡意化，整個網(wǎng)絡的數(shù)據(jù)隱私性和完整性將面臨威脅.

本文主要研究在主管節(jié)點被攻擊者捕獲而成為惡意節(jié)點的情況下，如何保護Top-k查詢處理過程中的數(shù)據(jù)隱私性以及如何檢驗Top-k查詢結(jié)果的真實性和完整性問題，并提出了一種新的安全Top-k查詢協(xié)議VPP(verifiable privacy-and-integrity preser-vation).基于對稱密鑰加密技術(symmetric ciphering， SC)[7]、順序保留加密技術(order preserving encryption scheme， OPES)[8]和數(shù)據(jù)關聯(lián)技術，VPP通過在TWSNs各個層次上配置特定的數(shù)據(jù)處理和檢驗方法來實現(xiàn)Top-k查詢的數(shù)據(jù)隱私性和完整性保護，這些方法主要包括：傳感器節(jié)點上的感知數(shù)據(jù)預處理方法、主管節(jié)點上的Top-k查詢處理方法以及Sink端(Top-k查詢結(jié)果接收端)的Top-k查詢結(jié)果數(shù)據(jù)完整性檢測方法.概括而言，本文的主要貢獻有3個方面：

1) 面向TWSNs，提出了一種能夠同時實現(xiàn)數(shù)據(jù)隱私性保護和數(shù)據(jù)完整性保護的安全Top-k查詢處理協(xié)議VPP，詳細描述了VPP的具體內(nèi)容，給出了VPP在對Top-k查詢結(jié)果進行數(shù)據(jù)完整性驗證時所采用的具體檢驗方法.

2) 理論分析了VPP在Top-k查詢的數(shù)據(jù)隱私性保護和數(shù)據(jù)完整性保護方面的效果.在傳感器節(jié)點相對安全而主管節(jié)點被惡意化的情況下，證明了VPP能夠以100%的概率偵測出不具有數(shù)據(jù)完整性的Top-k查詢結(jié)果.

3) 通過大量仿真實驗驗證了該協(xié)議的高效性.實驗結(jié)果顯示，VPP能夠顯著降低TWSNs中為了提高Top-k查詢的安全性而額外增加的通信開銷.

1 相關工作

目前，TWSNs中已有的Top-k查詢數(shù)據(jù)隱私性保護方法主要有：基于數(shù)字擾動技術的方法[9-10]、基于域分割加密的方法[11]、基于對稱密鑰直接加密的方法[12]等.其中，基于數(shù)字擾動技術的隱私保護方法通過在正常數(shù)據(jù)中加入干擾數(shù)據(jù)并結(jié)合對稱密鑰加密技術來實現(xiàn)TWSNs Top-k查詢的數(shù)據(jù)隱私性保護，這種方法需要傳感器節(jié)點與Sink之間通過主管節(jié)點進行多次交互，查詢效率較低；基于域分割加密的方法將所有傳感器節(jié)點產(chǎn)生的感知數(shù)據(jù)劃分到多個閾值區(qū)間，并通過將屬于同一閾值區(qū)間的數(shù)據(jù)進行加密來實現(xiàn)TWSNs Top-k查詢的數(shù)據(jù)隱私性保護，這種方法缺陷在于難以實現(xiàn)精確Top-k查詢；基于對稱密鑰直接加密的方法則直接利用傳感器節(jié)點與Sink節(jié)點之間共享的對稱密鑰對傳感器節(jié)點產(chǎn)生的前k個數(shù)據(jù)項進行加密，并將所有加密數(shù)據(jù)通過主管節(jié)點發(fā)送給Sink.由于當k值較大時需要傳輸?shù)募用軘?shù)據(jù)項較多，因此，基于對稱密鑰直接加密的方法主要用于Top-1查詢，即最大或最小值查詢[12].

TWSNs中Top-k查詢的數(shù)據(jù)完整性保護方法主要包括：基于消息驗證碼的驗證方法[3,13-15]、基于數(shù)據(jù)項加密鏈的驗證方法[16]、基于順序號加密的數(shù)據(jù)完整性驗證方法[17]、基于仿造感知數(shù)據(jù)(dummy readings)的驗證方法[18]等.其中，基于消息驗證碼的方法要求每個數(shù)據(jù)項都綁定一個消息驗證碼作為其真實性的驗證信息，其主要缺陷是額外增加的通信開銷較大；基于數(shù)據(jù)項加密鏈的驗證方法的核心思想是，將每個數(shù)據(jù)項與其大小相鄰的數(shù)據(jù)項的一個備份進行加密綁定，從而形成一個加密數(shù)據(jù)鏈，Sink節(jié)點根據(jù)加密鏈的連貫性是否被破壞來驗證Top-k查詢結(jié)果是否具備數(shù)據(jù)完整性,這種驗證方法需要增加的證據(jù)信息量通常大于感知數(shù)據(jù)項本身的通信開銷，額外通信開銷也較大；基于順序號加密的數(shù)據(jù)完整性驗證方法則是通過直接將每個數(shù)據(jù)項所對應的權(quán)重值與其對應的大小順序號進行直接加密綁定來構(gòu)建數(shù)據(jù)關聯(lián)關系，進而實現(xiàn)Top-k查詢的數(shù)據(jù)完整性保護，然而，這種方法未能實現(xiàn)面向數(shù)據(jù)項本身的數(shù)據(jù)隱私性保護；基于仿造感知數(shù)據(jù)的驗證方法要求傳感器節(jié)點在向數(shù)據(jù)存儲節(jié)點發(fā)送真實感知數(shù)據(jù)前向真實感知數(shù)據(jù)集中加入部分仿造數(shù)據(jù)，利用數(shù)據(jù)存儲節(jié)點不能分辨?zhèn)鞲衅鞴?jié)點發(fā)來的數(shù)據(jù)報告中數(shù)據(jù)的真假這一特點來實現(xiàn)Top-k查詢的數(shù)據(jù)完整性保護.根據(jù)文獻[18]中的實驗結(jié)果，基于仿造感知數(shù)據(jù)的驗證方法需要犧牲一定的正確驗證概率來提高系統(tǒng)的能效性.

綜上所述，TWSNs中已有關于Top-k查詢的安全性解決方案仍存在不足，尤其是在如何提高Top-k查詢結(jié)果的正確偵測概率和如何降低因?qū)崿F(xiàn)Top-k查詢的安全性而額外增加的通信開銷問題上有較大的研究空間.

2 網(wǎng)絡模型與相關定義

2.1 網(wǎng)絡模型

TWSNs的網(wǎng)絡模型如圖1所示.假設網(wǎng)絡中共存在N個傳感器節(jié)點和M個主管節(jié)點，則整個TWSNs部署區(qū)域被劃分為M個單元，第c(1≤c≤M)個單元內(nèi)部署一個主管節(jié)點Hc和Nc(N=N1+N2+…+Nc+…+NM-1+NM)個傳感器節(jié)點{S1,c,S2,c,…,SN-1,c,SN,c}.Si,c(1≤i≤N,1≤c≤M)可以通過單跳或多跳的方式與Hc進行通信.為便于描述，下文將Si,c簡寫為Si.令T表示TWSNs的網(wǎng)絡生命周期，T被均勻劃分為x個大小相等的時隙Tt(1≤t≤x)，即|T|=|T1|+|T2|+…+|Tt|+…+|Tx-1|+|Tx|,且|T1|=|T2|=…=|Tt|=…=|Tx-1|=|Tx|.其中，|Tt|(1≤t≤x)表示時間區(qū)間Tt的寬度.在每個時隙結(jié)束時，傳感器節(jié)點將其在本時隙內(nèi)采集到的感知數(shù)據(jù)發(fā)送給其所在單元內(nèi)的主管節(jié)點.本文假設網(wǎng)絡中存在唯一的數(shù)據(jù)項權(quán)重計算函數(shù)f(*)[19]且不同感知數(shù)據(jù)項對應的權(quán)重不同,并假設Top-k查詢依據(jù)數(shù)據(jù)項對應的權(quán)重對數(shù)據(jù)項進行排序.令Di,j表示Si在Tt內(nèi)產(chǎn)生的任意數(shù)據(jù)項，di,j根據(jù)表示數(shù)據(jù)項Di,j對應的權(quán)重，則有:

Di,j=f(di,j),

(1)

令μi,t表示Si在Tt內(nèi)產(chǎn)生的數(shù)據(jù)項的個數(shù)，則Si在Tt內(nèi)產(chǎn)生的感知數(shù)據(jù)項集合可表示為{Di,1,Di,2,…,Di,μi,t-1,Di,μi,t}，假設這些數(shù)據(jù)項所對應的權(quán)重滿足：

di,1

(2)

Fig. 1 Network model of TWSNs圖1 TWSNs網(wǎng)絡模型

Sink節(jié)點可通過按需無線鏈路(on demand wireless link， ODWL)[3]向Hc(1≤c≤M)發(fā)送查詢請求，并從Hc獲取查詢結(jié)果.由于涉及多個單元的復雜Top-k查詢可以被分解為多個涉及單個單元的Top-k查詢，因此，本文只關注單個單元的Top-k查詢.一個Top-k查詢原語可表示為

Qt=c,t,k,QS,

(3)

其中，c表示被查詢單元的單元號，t表示被查詢的時隙序號，k表示被查詢節(jié)點在第t個時隙內(nèi)所產(chǎn)生的數(shù)據(jù)項中所對應的權(quán)重最大的數(shù)據(jù)項的個數(shù)，QS表示被查詢節(jié)點的節(jié)點ID號所構(gòu)成的集合.

同文獻[3]，本文重點關注傳感器節(jié)點相對安全而主管節(jié)點被惡意化的情況.在主管節(jié)點被惡意化的情況下，主要考慮數(shù)據(jù)竊取、數(shù)據(jù)造假、數(shù)據(jù)丟棄等攻擊類型.

2.2 相關定義

定義1. Top-k數(shù)據(jù)項與非Top-k數(shù)據(jù)項、Top-k節(jié)點與非Top-k節(jié)點.給定一個Top-k查詢Qt=c,t,k,QS，在QS內(nèi)在第t個時隙產(chǎn)生的所有數(shù)據(jù)項中權(quán)重最大的前k個數(shù)據(jù)項為Top-k數(shù)據(jù)項，其余為非Top-k數(shù)據(jù)項.在QS內(nèi)，產(chǎn)生Top-k數(shù)據(jù)項的節(jié)點被稱為Top-k節(jié)點，其余節(jié)點稱為非Top-k節(jié)點.

定義2. TWSNs中Top-k查詢的數(shù)據(jù)隱私性和完整性.如果被惡意化的主管節(jié)點在Top-k查詢處理過程中既不能獲知傳感器節(jié)點所產(chǎn)生感知數(shù)據(jù)的具體數(shù)值，又不能獲知其對應的權(quán)重值，則稱這樣的Top-k查詢處理方式具備數(shù)據(jù)隱私性；如果Top-k查詢結(jié)果中包含所有的Top-k數(shù)據(jù)項且其中所有的數(shù)據(jù)項都是真實可靠的，則稱這樣的Top-k查詢具有數(shù)據(jù)完整性.

3 VPP的內(nèi)容

VPP通過在傳感器節(jié)點層、主管節(jié)點層以及Sink節(jié)點上制定特定的數(shù)據(jù)處理與安全檢測方法來實現(xiàn)TWSNs中Top-k查詢的數(shù)據(jù)完整性和隱私性保護，主要包含的方法有：傳感器節(jié)點上的感知數(shù)據(jù)預處理方法、主管節(jié)點的Top-k查詢處理方法和Sink節(jié)點的Top-k查詢結(jié)果數(shù)據(jù)完整性檢驗方法.

3.1 傳感器節(jié)點的數(shù)據(jù)預處理方法

(4)

1) 如果μi,t=0,有:

(5)

2) 如果μi,t≠0，有:

(6)

3.2 主管節(jié)點的Top-k查詢處理方法

當主管節(jié)點Hc收到來自Sink的Top-k查詢請求Qt=c,t,k,QS后，首先根據(jù)被OPES加密方案加密過的數(shù)據(jù)項權(quán)重的密文值在自身存儲的數(shù)據(jù)中查找滿足Qt查詢要求的Top-k數(shù)據(jù)項密文，然后將這些數(shù)據(jù)項的密文連同部分安全檢測信息一同發(fā)送給Sink.令ni,t表示Si(?I∈QS)在第t個時隙內(nèi)產(chǎn)生的滿足Qt查詢要求的Top-k數(shù)據(jù)項的個數(shù)，ξti表示Hc從Si的數(shù)據(jù)報告中獲得且準備作為查詢結(jié)果的一部分向Sink轉(zhuǎn)發(fā)的數(shù)據(jù)包，則根據(jù)ni,t取值的不同，ξti的值分別討論如下：

1) 如果ni,t=μi,t=0,有:

ξti=;

(7)

2) 如果ni,t=0,μi,t>0,有:

ξti=;

(8)

3) 如果0

ξti=

;

(9)

4) 如果0

ξti=

.

(10)

令Rt表示Hc向Sink發(fā)送的關于Qt=c,t,k,QS的Top-k查詢結(jié)果，則Rt可表示為

Rt={ξti|?i∈QS}.

(11)

3.3 Sink節(jié)點上Top-k查詢結(jié)果的完整性檢驗

Sink進一步地檢驗Rt的數(shù)據(jù)完整性.假設Rt中所有數(shù)據(jù)項的最小權(quán)重為ds.對于任意傳感器節(jié)點Si(?i∈QS)，令γi表示Rt中由Si產(chǎn)生的數(shù)據(jù)項的個數(shù).Sink節(jié)點檢驗每個節(jié)點Si(?i∈QS)在Rt中的數(shù)據(jù)信息是否滿足4個條件之一：

當滿足4個條件之一時，認為Si(?i∈QS)包含在Rt中的數(shù)據(jù)信息通過完整性檢驗.只有當QS內(nèi)的所有傳感器節(jié)點包含在Rt中的數(shù)據(jù)信息都通過完整性檢驗時，Rt才被認為是完整的，否則認為Rt不具有數(shù)據(jù)完整性.

4 VPP的安全性、能效性與計算復雜性分析

4.1 VPP的安全性分析

在本文中，VPP協(xié)議的安全性主要是指，在傳感器節(jié)點相對安全的情況下，當主管節(jié)點能夠被捕獲并成為惡意節(jié)點時，在TWSNs系統(tǒng)中進行Top-k查詢過程中VPP協(xié)議對數(shù)據(jù)的隱私性和完整性的保護性能.

命題1. 在TWSNs中，在傳感器節(jié)點相對安全而主管節(jié)點被惡意化的情況下，采用VPP進行Top-k查詢，惡意化的主管節(jié)點既不能獲知任何感知數(shù)據(jù)項及其對應權(quán)重的具體數(shù)值信息，又不能獲知任何Top-k節(jié)點的ID信息.

證明. 傳感器節(jié)點的ID及其所產(chǎn)生數(shù)據(jù)項是經(jīng)過傳感器與Sink節(jié)點之間的對稱密鑰加密的，主管節(jié)點在傳感器節(jié)點不被妥協(xié)的條件下無法獲得傳感器節(jié)點與Sink節(jié)點之間的對稱密鑰，因此，主管節(jié)點也無法獲知感知數(shù)據(jù)項以及傳感器節(jié)點ID的值.另外，由于數(shù)據(jù)項對應的權(quán)重已被利用OPES加密方案進行加密，而能夠解開OPES的密鑰參數(shù)只有Sink節(jié)點才擁有，因此，主管節(jié)點也無法獲知數(shù)據(jù)項對應權(quán)重的具體數(shù)值.

證畢.

命題2. 在雙層傳感器網(wǎng)絡中，在傳感器節(jié)點相對安全而主管節(jié)點被惡意化的情況下，利用VPP進行Top-k查詢，Sink節(jié)點能夠以100%的概率偵測出任何不具備數(shù)據(jù)完整性的Top-k查詢結(jié)果.

證畢.

4.2 VPP的能效性分析

表1中列出了本文在分析VPP各項性能時用到的一些符號及其含義.

Table 1 Notations Used in Performance Analysis表1 性能分析需要用到的符號

本文需要用到的能效性評價標準主要包括：

1) 單元內(nèi)的額外通信代價Cv_sm.單元內(nèi)的所有傳感器節(jié)點在一個時隙內(nèi)向?qū)鞴芄?jié)點傳輸用于Sink進行Top-k查詢結(jié)果數(shù)據(jù)完整性檢測的額外數(shù)據(jù)信息所需要的通信代價.

2) 單元外的額外通信代價Cv_mw.在響應單個Top-k查詢請求的過程中，主管節(jié)點與Sink節(jié)點之間傳輸用于Sink進行Top-k查詢結(jié)果數(shù)據(jù)完整性檢測所需要的通信代價.

3) 冗余比Rvs.額外傳輸安全檢測信息的通信代價與在不考慮安全性條件下傳輸必要數(shù)據(jù)信息的通信代價之間的比值.

(12)

根據(jù)Cv_sm的含義，可得：

(13)

令Cd_sm表示單元c內(nèi)的傳感器節(jié)點在第t個時隙內(nèi)向Hc傳輸感知數(shù)據(jù)所帶來的通信代價，則有:

(14)

從而可得出Cv_sm對應的Rvs的值：

(15)

推導Cv_mw以及其對應Rvs的過程與推導Cv_sm及其所對應Rvs的過程類似.假設Hc收到的查詢原語為Qt=C,t,k,QS,向Sink發(fā)送的查詢結(jié)果為Rt，其中由Si產(chǎn)生的Top-k數(shù)據(jù)項的個數(shù)為ni,t，令表示在Hc和Sink之間傳輸由節(jié)點Si∈QS產(chǎn)生的安全檢測信息的通信代價，根據(jù)式(7)～(10)，有:

(16)

Hc和Sink之間由于傳輸所有QS內(nèi)的傳感器節(jié)點產(chǎn)生的安全檢測信息所帶來的通信代價為

(17)

其中，xi∈QS(0

Cd_mw=2×k×ldata.

(18)

綜上，可得Cv_mw所對應的Rvs為

(19)

4.3 VPP的計算復雜性分析

1) VPP在傳感器節(jié)點上的計算復雜性.對于任意傳感器節(jié)點Si，每個時隙內(nèi)Si需要進行一次Hash操作，以獲取下一個時隙內(nèi)自身與Sink節(jié)點之間的對稱秘鑰.同時，根據(jù)式(5)和式(6)，當μi,t=0時，Si需要加密的數(shù)據(jù)總位數(shù)為lID；當μi,t≠0時，Si需加密的數(shù)據(jù)總位數(shù)為lID+2×μi,t×lID+μi,t×lID.

2) VPP在主管節(jié)點上的計算復雜性.由于主管節(jié)點能夠根據(jù)數(shù)據(jù)權(quán)重值的OPES加密值直接進行Top-k查詢處理，因此，VPP對主管節(jié)點而言所增加的額外計算開銷可忽略不計.

3) VPP在Sink節(jié)點上的計算復雜性.Sink收到Top-k查詢結(jié)果時首先利用對稱密鑰對查詢結(jié)果中的密文進行解密.假設被查詢單元為第c(1≤c≤M)單元，根據(jù)式(7)～(10)，Sink節(jié)點需要解密的密文共Nc+k項，需要解密的數(shù)據(jù)總位數(shù)長度近似為Nc×(lID+lscore)+k×(ldata+lscore).接著，Sink需要檢驗Rt中的每個感知數(shù)據(jù)項的權(quán)重值是否與其在Rt中對應的權(quán)重值相等.由于Rt中的感知數(shù)據(jù)項個數(shù)為k，因此，這一過程的計算復雜度為O(k).另外，根據(jù)VPP協(xié)議在Sink節(jié)點上的數(shù)據(jù)完整性檢驗方法，Sink還需要檢驗每個傳感器節(jié)點Si(?i∈QS，QS表示被查詢節(jié)點的ID號所構(gòu)成的集合)在Rt中的數(shù)據(jù)信息是否滿足3.3節(jié)給出的4個條件，此過程的計算復雜度與|QS|的值呈線性關系.

Fig. 2 Impact of μi,t on Cv_sm and its corresponding Rvs圖2 參數(shù)μi,t對Cv_sm和Cv_sm所對應的Rvs的影響

5 實驗與分析

實驗所采用的仿真工具為OMNET++，所用到的部分默認參數(shù)設置如表2所示，其余參數(shù)的默認參數(shù)設置同文獻[3].文獻[3]是自2010年以來有關雙層傳感器網(wǎng)絡中Top-k查詢的安全問題而產(chǎn)生的最優(yōu)秀的研究成果之一，因此，本文選擇文獻[3]中提出的2種方案作為比較對象.文獻[3]中提出的方案1在Cv_sm(即文獻[3]中的CT)方面表現(xiàn)最好，因此，本文在測試VPP在Cv_sm及其對應Rvs方面的表現(xiàn)時選擇文獻[3]中的方案1作為比較對象；又因為文獻[3]中的方案2在Cv_mw(即文獻[3]中的CV)方面的表現(xiàn)相對其他2個方案而言效果更好，因此本文在測試VPP在Cv_mw及其對應Rvs方面的表現(xiàn)時選擇文獻[3]中的方案2作為比較對象.為便于描述，下文稱文獻[3]中的方案1為Z&R-1，稱文獻[3]中的方案2為Z&R-2.另外，為了將Cv_sm和Cv_mw分別對應的Rvs區(qū)分開來，本文用Rvs_sm表示Cv_sm所對應的Rvs，用Rvs_mw表示對應的Rvs.

Table 2 Default Settings of Parameters表2 參數(shù)的默認設置

為便于對實驗結(jié)果進行分析，本文將每個傳感器節(jié)點產(chǎn)生的安全檢測信息分成2部分：Vhead={密鑰ID,節(jié)點ID}和Vbody={感知數(shù)據(jù)項的權(quán)重集合}.

第1組實驗測試參數(shù)μi,t對Cv_sm及其對應Rvs的影響，實驗結(jié)果如圖2所示.圖2(a)顯示，隨著傳感器節(jié)點在一個時隙內(nèi)采集數(shù)據(jù)的輪數(shù)的增加，無論是VPP還是Z&R-1，Cv_sm的值隨之增大.這是因為VPP和Z&R-1都需要為每個感知數(shù)據(jù)增加相應的安全檢測信息，這樣，隨著傳感器節(jié)點向主管節(jié)點傳輸感知數(shù)據(jù)量的增大，所需要傳輸?shù)陌踩珯z測信息的量也會增大.然而，從圖2(a)中可以看出，μi,t固定時，VPP對應的Cv_sm的值要遠遠小于Z&R-1中Cv_sm的值,原因是VPP不需要在安全檢測信息中為每個感知數(shù)據(jù)添加長度值較大的消息認證碼.圖2(b)顯示，VPP和Z&R-1中Cv_sm對應的Rvs的值隨μi,t的增大的變化趨勢是:開始有些下降，隨后基本保持不變.這一現(xiàn)象可作如下解釋:當μi,t較小時，Vbody較小，Vhead在整個安全檢測信息中占有的比重較大；隨著μi,t的增大，Vhead在整個安全檢測信息中占有的比重越來越小，直至可以忽略不計，此時有:

(20)

雖然VPP和Z&R-1中Cv_sm對應的Rvs的值變化趨勢相同，但從圖2(b)中可以看出，VPP能夠明顯降低Cv_sm對應的Rvs的值.

第2組實驗測試參數(shù)Nc(1≤c≤M)對Cv_sm及其對應Rvs的影響，實驗結(jié)果如圖3所示.圖3(a)顯示，隨著單元內(nèi)傳感器節(jié)點的增多Cv_sm的值越來越大.這是因為，在其他參數(shù)值固定不變時，單元內(nèi)傳感器節(jié)點個數(shù)越多,一個時隙內(nèi)節(jié)點產(chǎn)生的感知數(shù)據(jù)個數(shù)越多，單元內(nèi)節(jié)點所需要傳輸?shù)陌踩珯z測信息量越大.圖3(b)顯示，Cv_sm所對應Rvs的值隨著Nc的增大而基本保持不變，原因是因節(jié)點個數(shù)的增多而帶來的安全檢測信息的增加量與感知數(shù)據(jù)的增加量保持某種比例.圖3表明:無論Nc的取值為多少，相對于Z&R-1，VPP都能夠顯著降低傳輸安全檢測信息的通信代價.

第3組實驗測試參數(shù)μi,t對Cv_mw以及其對應的Rvs的影響，實驗結(jié)果如圖4所示.由圖4可以看出，對于VPP，參數(shù)μi,t對Cv_mw及其對應的Rvs的影響不大，幾乎可忽略.然而，對于Z&R-2，當μi,t較小時，μi,t對Cv_mw及其對應的Rvs的影響較大，隨著μi,t的逐漸變大，μi,t對Cv_mw及其對應的Rvs的影響逐漸減弱.這是因為，Z&R-2需要將每個數(shù)據(jù)項與某些節(jié)點ID的集合進行綁定，并且多數(shù)情況下查詢結(jié)果中每個Top-k節(jié)點產(chǎn)生的安全檢測信息需要包含一個非Top-k數(shù)據(jù)項作為尾巴(tail)數(shù)據(jù).當μi,t較小時，Top-k節(jié)點產(chǎn)生的數(shù)據(jù)全是Top-k數(shù)據(jù)的概率較大，而當Top-k節(jié)點產(chǎn)生的數(shù)據(jù)都是Top-k數(shù)據(jù)時，尾巴數(shù)據(jù)項是一個設定的小于任何感知數(shù)據(jù)的數(shù)據(jù)值，以至于尾巴數(shù)據(jù)項需要綁定的節(jié)點ID的個數(shù)很大，從而增大安全檢測信息的量.隨著μi,t的增大，Top-k節(jié)點產(chǎn)生的數(shù)據(jù)全是Top-k數(shù)據(jù)的概率降低，μi,t對Cv_mw以及其對應的Rvs的影響減弱.圖4表明，相對于Z&R-2，VPP在Cv_mw以及其對應的Rvs方面的表現(xiàn)更加穩(wěn)定，并且都要優(yōu)于Z&R-2.

Fig. 3 Impact of Nc on Cv_sm and its corresponding Rvs圖3 參數(shù)Nc對Cv_sm和Cv_sm所對應的Rvs的影響

第4組實驗測試參數(shù)k對Cv_mw以及其對應的Rvs的影響，實驗結(jié)果如圖5所示.圖5(a)顯示，對于VPP而言，隨著k值的增加Cv_mw增加的幅度很小.原因是對于VPP而言,假設k值的增加量為Δk，主管節(jié)點向Sink節(jié)點發(fā)送的安全檢測信息的位數(shù)長度僅需要增加Δk×lscore.而對于Z&R-2而言，Cv_mw隨k值的增大而增大的幅度比較明顯，主要原因是，在Z&R-2中，每個數(shù)據(jù)項需要一個160 b長的消息認證碼作為安全檢測信息的一部分，并且每個數(shù)據(jù)項需要與其他部分傳感器節(jié)點ID組成的集合進行綁定，當單元內(nèi)傳感器節(jié)點個數(shù)較多時，每個數(shù)據(jù)項需要綁定的節(jié)點ID集合較大，從而使得Z&R-2中主管節(jié)點向Sink節(jié)點發(fā)送的安全檢測信息的量隨k值增大而顯著增大.圖5(b)顯示，當k較小時，VPP中Cv_mw對應的Rvs大于Z&R-2中Cv_mw對應的Rvs;而隨著k值的增加，VPP中Cv_mw對應的Rvs明顯小于Z&R-2中Cv_mw對應的Rvs，這與Z&R-2中Cv_mw隨k值的增大而顯著增大有密切關系.

Fig. 5 Impact of k on Cv_mw and its corresponding Rvs圖5 參數(shù)k對Cv_mw和Cv_mw所對應的Rvs的影響

第5組實驗測試參數(shù)|QS|(即單元內(nèi)被查尋節(jié)點的個數(shù))對Cv_mw以及其對應的Rvs的影響，實驗結(jié)果如圖6所示.在圖6中，當采用VPP時，Cv_mw及其對應Rvs的值隨著|QS|的增大有明顯上升趨勢，這是因為VPP需要在查詢結(jié)果中包含每個被查尋節(jié)點的安全檢測信息，當被查詢節(jié)點個數(shù)增大時Cv_mw會隨之增大，在相同的k值的情況下，Cv_mw對應的Rvs的值也會隨著|QS|的增大而增大.當采用Z&R-2時，Cv_mw及其對應Rvs的值隨著|QS|的增大而變化的趨勢不是十分明顯，主要原因是Z&R-2僅需要在查詢結(jié)果中包含Top-k節(jié)點的安全檢測信息.盡管如此，總體上說，當采用VPP時Cv_mw及其對應Rvs的值都要明顯低于采用Z&R-2時Cv_mw及其對應Rvs的值.

Fig. 6 Impact of the parameter |QS| on Cv_mw and its corresponding Rvs圖6 參數(shù)|QS|對Cv_mw和Cv_mw所對應的Rvs的影響

6 總 結(jié)

TWSNs是物聯(lián)網(wǎng)感知系統(tǒng)中的一個重要組成部分.本文針對TWSNs中的Top-k查詢數(shù)據(jù)隱私性和完整性保護問題，提出了一種新的安全處理協(xié)議VPP，對其安全性和能效性進行了分析，并通過仿真實驗對其在實現(xiàn)Top-k查詢數(shù)據(jù)隱私性和完整性保護方面的能效性進行了測試.理論分析表明，相對于已有方案，VPP具有更好的安全性.VPP不僅能夠確保Top-k查詢的數(shù)據(jù)隱私性(數(shù)據(jù)項、數(shù)據(jù)項對應的權(quán)重以及節(jié)點ID的隱私性均得到保護)，還能夠以100%的概率檢測出不具有數(shù)據(jù)完整性的Top-k查詢結(jié)果.

實驗結(jié)果顯示，無論是在傳感器節(jié)點與主管節(jié)點之間，還是在主管節(jié)點與Sink之間，VPP都能夠顯著降低用于傳輸安全檢測信息的額外通信代價，降低了安全檢測信息與必要感知數(shù)據(jù)之間的冗余比.因此，VPP在實現(xiàn)Top-k查詢的數(shù)據(jù)隱私性和完整性保護方面效率更高.