曾瑋妮，林亞平，何施茗，余建平

（1. 中國(guó)船舶重工集團(tuán)公司 第716研究所，江蘇 連云港 222006；

2. 湖南大學(xué) 信息科學(xué)與工程學(xué)院，湖南 長(zhǎng)沙 410082；

3. 湖南師范大學(xué) 數(shù)學(xué)與計(jì)算機(jī)科學(xué)學(xué)院，湖南 長(zhǎng)沙 410082）

1 引言

由于傳感器節(jié)點(diǎn)能量的有限，傳感器網(wǎng)絡(luò)（sensor network）通常在網(wǎng)內(nèi)對(duì)所采集的數(shù)據(jù)進(jìn)行聚合處理，再將聚合結(jié)果發(fā)送給基站以減少傳輸能耗[1]。當(dāng)傳感器網(wǎng)絡(luò)應(yīng)用于民用領(lǐng)域中的敏感性數(shù)據(jù)監(jiān)測(cè)時(shí)，感知對(duì)象通常不希望與其生活、健康等隱私信息相關(guān)的數(shù)據(jù)暴露，因此，節(jié)點(diǎn)所采集的數(shù)據(jù)需滿足對(duì)其他節(jié)點(diǎn)的隱私性（即使得該節(jié)點(diǎn)以外的任何節(jié)點(diǎn)都不能獲取其傳感數(shù)據(jù)）[2]。然而，傳統(tǒng)加密體系不能在保證數(shù)據(jù)隱私性的同時(shí)支持?jǐn)?shù)據(jù)聚合；基于安全多方計(jì)算等技術(shù)的隱私保護(hù)方案由于開(kāi)銷(xiāo)昂貴也不適用于傳感器網(wǎng)絡(luò)[2]。數(shù)據(jù)聚合對(duì)傳感數(shù)據(jù)的隱私性保護(hù)提出了新的挑戰(zhàn)，亟待研究新的技術(shù)解決這一矛盾。

求和是一種基礎(chǔ)的聚合函數(shù)，因?yàn)榍缶导胺讲畹群瘮?shù)均可以轉(zhuǎn)化為求和函數(shù)[3]。實(shí)現(xiàn)了求和中的數(shù)據(jù)隱私保護(hù)則意味著實(shí)現(xiàn)了這一系列函數(shù)中的隱私保護(hù)。目前針對(duì)求和中的隱私保護(hù)問(wèn)題已有一些研究工作[2～12]。這些工作通過(guò)隱藏傳感數(shù)據(jù)實(shí)現(xiàn)其隱私保護(hù)，這就需要從隱藏?cái)?shù)據(jù)中恢復(fù)出聚合值。隱藏技術(shù)的不同使得聚合值的恢復(fù)方式也不盡相同，按照是否可以從網(wǎng)內(nèi)恢復(fù)出聚合值，可以將已有機(jī)制分為以下2類(lèi)。

第1類(lèi)機(jī)制由基站集中管理，聚合值不能在網(wǎng)內(nèi)恢復(fù)。早期工作有Castelluccia等提出的機(jī)制[3]，該機(jī)制中各節(jié)點(diǎn)與基站共享秘密數(shù) k，其發(fā)送的數(shù)據(jù)為隱藏后的數(shù)據(jù)(d+k) mod M（d為傳感數(shù)據(jù)）；當(dāng)基站收到隱藏?cái)?shù)據(jù)的聚合值后，減去相應(yīng)的k恢復(fù)聚合值。由于基站必須知道哪些節(jié)點(diǎn)參與了聚合才能恢復(fù)出聚合值，該機(jī)制存在以下不足：1)當(dāng)只有部分節(jié)點(diǎn)參與聚合時(shí)，需要上傳ID信息。2)即使所有節(jié)點(diǎn)參與聚合，理論上無(wú)需上傳 ID信息，而一旦發(fā)生了分組丟失，聚合值將不能有效恢復(fù)[4]。3)如果敵方獲取了秘密數(shù)及隱藏?cái)?shù)據(jù)的范圍，則可以猜測(cè)出相應(yīng)傳感數(shù)據(jù)的范圍。針對(duì)上述問(wèn)題，Castelluccia等[5]、Feng等[6]分別提出了加強(qiáng)機(jī)制，這些機(jī)制通過(guò)動(dòng)態(tài)地生成參數(shù) k解決了問(wèn)題 3)。Feng等還通過(guò)一種折衷策略優(yōu)化了問(wèn)題1），然而，依然需要額外的 ID傳輸開(kāi)銷(xiāo)[6]。此外，文獻(xiàn)[7]和文獻(xiàn)[8]也基于類(lèi)似技術(shù)提出了由基站集中管理的機(jī)制。對(duì)上述機(jī)制而言，由于節(jié)點(diǎn) ID不能參與數(shù)據(jù)聚合，上傳ID以解決數(shù)據(jù)分組丟失問(wèn)題的方法因通信開(kāi)銷(xiāo)昂貴并不可行。此外，這些機(jī)制不能對(duì)基站保持傳感數(shù)據(jù)的隱私性，這一問(wèn)題在基站被俘獲時(shí)尤為嚴(yán)重。

第2類(lèi)機(jī)制通過(guò)節(jié)點(diǎn)協(xié)作分布式實(shí)現(xiàn)傳感數(shù)據(jù)的隱私保護(hù)，聚合值可以在網(wǎng)內(nèi)恢復(fù)，避免了第一類(lèi)機(jī)制存在的問(wèn)題。然而，依然存在不足。這類(lèi)機(jī)制有He等提出的CPDA（cluster-based private data aggregation）和 SMART（slice- mix- aggregate）[2]。CPDA采取多項(xiàng)式技術(shù)，各節(jié)點(diǎn)需要與所有簇成員進(jìn)行信息交互才能實(shí)現(xiàn)隱私保護(hù)，其隱私保護(hù)力度（所能容忍的被俘獲節(jié)點(diǎn)數(shù)）及通信開(kāi)銷(xiāo)均隨簇大小cm的增長(zhǎng)而增長(zhǎng)；SMART則通過(guò)將數(shù)據(jù)切分為J份并分發(fā)給不同鄰居節(jié)點(diǎn)實(shí)現(xiàn)隱私保護(hù)，其隱私保護(hù)力度和通信開(kāi)銷(xiāo)隨著J的增長(zhǎng)而增長(zhǎng)。因此，不能一味通過(guò)增大cm和 J的取值來(lái)提高兩者的隱私保護(hù)力度；此外，這些機(jī)制難于同實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的安全聚合機(jī)制兼容。為實(shí)現(xiàn)聚合值的完整性鑒別，He等對(duì)CPDA和SMART分別進(jìn)行了擴(kuò)展，引入監(jiān)督思想，基于冗余傳輸提出了機(jī)制 iPDA[9]和iCPDA[10]，然而，新的機(jī)制引發(fā)了更高的系統(tǒng)開(kāi)銷(xiāo)；且由于節(jié)點(diǎn)對(duì)間傳輸?shù)碾[私保護(hù)信息需要對(duì)其他節(jié)點(diǎn)保持機(jī)密性，依然不能實(shí)現(xiàn)成員節(jié)點(diǎn)間傳輸數(shù)據(jù)的完整性鑒別。在Conti提出的機(jī)制中，每對(duì)孿生節(jié)點(diǎn)共享多個(gè)雙密鑰，節(jié)點(diǎn)根據(jù)雙密鑰的使用情況隱藏傳感數(shù)據(jù)，其隱私保護(hù)力度同樣受限于通信開(kāi)銷(xiāo)[4]。Huang等則基于異或及散列運(yùn)算提出了與Conti的機(jī)制類(lèi)似的機(jī)制[11]，然而，Huang所提出的機(jī)制只適應(yīng)于參與聚合的節(jié)點(diǎn)固定情況，而在實(shí)際應(yīng)用中參與聚合的節(jié)點(diǎn)可能動(dòng)態(tài)變化。Zeng等基于同余的代數(shù)特性構(gòu)造了隱私保護(hù)函數(shù)，在此基礎(chǔ)上提出了隱私保護(hù)機(jī)制[12]，該機(jī)制同樣難以兼容于實(shí)現(xiàn)數(shù)據(jù)完整性保護(hù)的安全聚合機(jī)制。

為有效解決數(shù)據(jù)聚合中的隱私保護(hù)問(wèn)題，所提出機(jī)制應(yīng)滿足以下需求：① 實(shí)現(xiàn)傳感數(shù)據(jù)的隱私性；② 保證聚合值的準(zhǔn)確性；③ 能量有效，且當(dāng)聚合節(jié)點(diǎn)動(dòng)態(tài)變化時(shí)依然有效；④ 與其他安全數(shù)據(jù)聚合機(jī)制兼容。已有工作不能很好地滿足上述需求，難于實(shí)際使用。本文致力于研究新的數(shù)據(jù)隱藏技術(shù)，主要?jiǎng)?chuàng)新和貢獻(xiàn)如下。

1) 基于同余的代數(shù)特性定義了隱私保護(hù)元，各節(jié)點(diǎn)利用其隱私保護(hù)元，無(wú)需額外發(fā)送消息即可隱藏其傳感數(shù)據(jù)以實(shí)現(xiàn)隱私性保護(hù)；而簇頭一旦收到了簇內(nèi)節(jié)點(diǎn)隱藏后的傳感數(shù)據(jù)，通過(guò)模加運(yùn)算即可恢復(fù)出簇內(nèi)聚合值。

2) 給出了一種使得節(jié)點(diǎn)可以獨(dú)立、動(dòng)態(tài)地生成其隱私保護(hù)元的方法。該方法基于散列運(yùn)算和取模運(yùn)算，易于實(shí)現(xiàn)，且無(wú)需額外通信交互。此外，該方法使節(jié)點(diǎn)不僅可以根據(jù)動(dòng)態(tài)變化的數(shù)據(jù)聚合，參與節(jié)點(diǎn)動(dòng)態(tài)地生成其隱私保護(hù)元，而且在參與聚合的節(jié)點(diǎn)相同時(shí)也可以生成不同的隱私保護(hù)元，保證了數(shù)據(jù)隱藏的安全性和靈活性。得益于動(dòng)態(tài)變化的隱私保護(hù)元，節(jié)點(diǎn)通過(guò)異或運(yùn)算即可實(shí)現(xiàn)簇內(nèi)聚合值的機(jī)密性保護(hù)，且支持聚合值的完整性鑒別。

3) 基于所定義的隱私保護(hù)元及其生成方法，提出了分布式機(jī)制DAPE（data aggregation mechanism based on privacy-preserving element）。DAPE 屬于第二類(lèi)機(jī)制，它不僅避免了第一類(lèi)機(jī)制固有的問(wèn)題，還具有更低的通信開(kāi)銷(xiāo)。而與同類(lèi)機(jī)制相比，DAPE不僅在提高隱私保護(hù)有效性的同時(shí)有著更低的通信開(kāi)銷(xiāo)，且無(wú)需額外開(kāi)銷(xiāo)即可與實(shí)現(xiàn)數(shù)據(jù)完整性鑒別的安全聚合機(jī)制，如文獻(xiàn)[13]和文獻(xiàn)[14]中機(jī)制兼容。

2 系統(tǒng)模型及相關(guān)假設(shè)

本文考慮典型的傳感器網(wǎng)絡(luò)，即由大量低耦合的傳感器節(jié)點(diǎn)（簡(jiǎn)稱節(jié)點(diǎn)）自組織而成的靜態(tài)網(wǎng)絡(luò)。節(jié)點(diǎn)類(lèi)型如伯克利的 MICA節(jié)點(diǎn)，它們通常配有8MHz的處理器，128KB的ROM，4KB的RAM。因此，雖然節(jié)點(diǎn)資源嚴(yán)格受限，但是擁有的空間足夠用來(lái)存放數(shù)字節(jié)的隱私保護(hù)信息，且擁有足夠的計(jì)算能力進(jìn)行簡(jiǎn)單的計(jì)算操作如散列運(yùn)算。網(wǎng)絡(luò)部署后形成雙層簇結(jié)構(gòu)[15]，各簇成員知道所在簇的成員關(guān)系。

假設(shè)敵方可能俘獲任何節(jié)點(diǎn)，且可以獲取該節(jié)點(diǎn)所有的秘密信息。本文采用對(duì)偶密鑰實(shí)現(xiàn)初始化中節(jié)點(diǎn)對(duì)之間信息傳輸?shù)陌踩?，?duì)偶密鑰管理不是本文的研究?jī)?nèi)容，目前已有較多研究成果，在此基礎(chǔ)上假設(shè)節(jié)點(diǎn)對(duì)間對(duì)偶密鑰具有互異性[16,17]。盡管傳感數(shù)據(jù)具有不同的數(shù)據(jù)類(lèi)別，由于非整型數(shù)據(jù)可以轉(zhuǎn)換為整型數(shù)據(jù)，且整型數(shù)據(jù)在存儲(chǔ)和傳輸上通常更為有效，同文獻(xiàn)[6]，假設(shè)參與數(shù)據(jù)聚合的傳感數(shù)據(jù)為整型數(shù)據(jù)，且在0和上界maxd 之間變化。

3 理論基礎(chǔ)

本文以簇為聚合的基本單位，記簇內(nèi)節(jié)點(diǎn)數(shù)為n，并以從1標(biāo)記到n的簇內(nèi)ID表示各節(jié)點(diǎn)。相鄰兩次數(shù)據(jù)匯報(bào)間的間隔為一個(gè)階段。在各階段，節(jié)點(diǎn)可能匯報(bào)數(shù)據(jù)，也可能不匯報(bào)數(shù)據(jù)，為便于描述，記簇 Ca中參與聚合的節(jié)點(diǎn)集合為 Ca′， Ca′大小為m(m≤n)。為實(shí)現(xiàn)傳感數(shù)據(jù)的隱私保護(hù)和聚合值的簇內(nèi)恢復(fù)，定義了隱私保護(hù)元。隱私保護(hù)元的生成需要用到P-序列，首先給出其定義。

定義1 (P-序列) 任意節(jié)點(diǎn)b(b ∈ Ca′)的P-序列Pb是由m個(gè)整數(shù)構(gòu)成的集合，按照簇內(nèi)ID將其記為Pb= { pcb,c ∈ Ca′ }。Pb滿足，其中， g = dmaxn， dmax為傳感數(shù)據(jù)的上界。

各節(jié)點(diǎn)都對(duì)應(yīng)一個(gè)秘密的 P-序列。節(jié)點(diǎn)的 P-序列用于生成其簇成員的隱私保護(hù)元。接下來(lái)給出隱私保護(hù)元的定義。

定義2 (隱私保護(hù)元R) 任意節(jié)點(diǎn)b(b ∈ Ca′)的隱私保護(hù)元，其中， pbc為節(jié)點(diǎn)c(c ∈ Ca′)的P-序列中下標(biāo)為b的元素。

接下來(lái)給出性質(zhì)1，性質(zhì)1表明隱私保護(hù)元可以有效實(shí)現(xiàn)傳感數(shù)據(jù)的隱私保護(hù)及簇內(nèi)聚合值的準(zhǔn)確還原。為便于描述，記節(jié)點(diǎn)b的傳感數(shù)據(jù)為 db。

算例1 以 Ca′={1, 2, 3}給出性質(zhì)1的算例。設(shè)g=12 626，各節(jié)點(diǎn)的傳感數(shù)據(jù)及P-序列如表1所示。節(jié)點(diǎn)1用來(lái)計(jì)算其隱私保護(hù)元的P-序列元素為表1中劃?rùn)M線的數(shù)據(jù)。

以節(jié)點(diǎn) 1給出隱私保護(hù)元的計(jì)算過(guò)程：R1=(3 654+2 379+4 717)mod 12 626=10 750。類(lèi)似地，其他節(jié)點(diǎn)可以獲得其隱私保護(hù)元，如表1所示。不難驗(yàn)算得(R1+R2+R3) mod 12 626=0，與性質(zhì)1一致。

接下來(lái)以節(jié)點(diǎn)1給出傳感數(shù)據(jù)的隱藏過(guò)程：D1= ( d1+ R1)mod g = ( 110+ 1 0750)mod12626= 1 0860。類(lèi)似地，其他節(jié)點(diǎn)可得其隱藏后的傳感數(shù)據(jù)，如表1所示。于是： D = ( D1+ D2+ D3)mod12626=(10 860 +11 569+3 180) mod 12 626=357。由于d=可見(jiàn)D = d ，與性質(zhì)1一致。

表1 性質(zhì)1的算例

4 數(shù)據(jù)聚合中的隱私保護(hù)機(jī)制

DAPE利用隱私保護(hù)元實(shí)現(xiàn)傳感數(shù)據(jù)的隱私保護(hù)和聚合值的有效恢復(fù)。如圖1所示，該機(jī)制包括初始化和數(shù)據(jù)匯報(bào)2部分，其中，初始化部分僅在網(wǎng)絡(luò)部署后實(shí)施，數(shù)據(jù)匯報(bào)部分則反復(fù)運(yùn)行。接下來(lái)給出詳細(xì)的機(jī)制實(shí)現(xiàn)。

圖1 機(jī)制DAPE框架

4.1 初始化

在初始化過(guò)程中，各節(jié)點(diǎn)生成并分發(fā)用于生成其P-序列的種子（P-序列的生成過(guò)程見(jiàn)4.2節(jié)）。此后，任意節(jié)點(diǎn)對(duì)(b, c)將共享且僅共享 2個(gè)種子：{rb,rc}；任何節(jié)點(diǎn)都不能獲得其他節(jié)點(diǎn)對(duì)間共享的cb種子。以簇 Ca進(jìn)行具體的過(guò)程描述，并記b與c間的對(duì)偶密鑰為 Kb,c。

Step2 任意節(jié)點(diǎn) b存儲(chǔ)其生成的種子{rcb及收到的種子為便于理解上述過(guò)程，以包含節(jié)點(diǎn){1,2,3}的簇給出算例2如下。

算例2 取g=4 095，如圖2(a)所示，首先，各節(jié)點(diǎn)分別獨(dú)立產(chǎn)生用于生成其P-序列的2個(gè)種子。如節(jié)點(diǎn)1生成的種子為 { r21,r31} = { 3210,1659}。

接下來(lái)，如圖2(a)所示，各節(jié)點(diǎn)將其生成的種子發(fā)送給相應(yīng)的簇成員。如節(jié)點(diǎn)1將{3 210}和{1 659}分別發(fā)送給節(jié)點(diǎn)2和節(jié)點(diǎn)3。

最后，如圖2(b)所示，各節(jié)點(diǎn)存儲(chǔ)所生成和接收的種子。如節(jié)點(diǎn) 1所存儲(chǔ)的種子為：。從圖 2(b)不難發(fā)現(xiàn)，任意節(jié)點(diǎn)對(duì)僅共享2個(gè)種子，如節(jié)點(diǎn)1和節(jié)點(diǎn)2所共享的種子為3 210和1 989。

圖2 初始化過(guò)程的算例

4.2 數(shù)據(jù)匯報(bào)

首先將要用到的符號(hào)解釋如下。

Ca′：簇 Ca中參與聚合的節(jié)點(diǎn)集合；

rb：由節(jié)點(diǎn)b生成且僅與節(jié)點(diǎn)c共享的種子；c

rc：由節(jié)點(diǎn)c生成且僅與節(jié)點(diǎn)b共享的種子；b

pb：節(jié)點(diǎn)b的P-序列元素，并僅與節(jié)點(diǎn)c共享；c

H(?)：?jiǎn)蜗蛏⒘泻瘮?shù)，其函數(shù)值的字長(zhǎng)不小于傳感數(shù)據(jù)的字長(zhǎng)；

db：節(jié)點(diǎn)b的傳感數(shù)據(jù)；

Rb：節(jié)點(diǎn)b的隱私保護(hù)元；

Db：節(jié)點(diǎn)b隱藏后的傳感數(shù)據(jù)。

在各階段，節(jié)點(diǎn)隱藏其傳感數(shù)據(jù)并發(fā)送給簇頭，由簇頭恢復(fù)聚合值。以 Ca′（本文目的在于隱私保護(hù)，不再討論 Ca′的形成過(guò)程）進(jìn)行描述，并僅描述m≥3的情況；如果m＜3，則同SMART[2]，各節(jié)點(diǎn)對(duì)數(shù)據(jù)進(jìn)行切分和分發(fā)，不再贅述。

接下來(lái)，節(jié)點(diǎn)b根據(jù)種子 rc(c ∈ C ′ ,c ≠ b )獲取ba節(jié)點(diǎn) c的 P-序列元素 pc；進(jìn)而利用{ pc(c ∈ C′,bbac≠b)}和pbb生成其隱私保護(hù)元 Rb。

最后，b利用 Rb隱藏 db：Db= ( db+ Rb)mod g ，并將{Db,b}發(fā)送給簇頭。

Step1中任意節(jié)點(diǎn)b產(chǎn)生的{ pb(c ∈ C ′)}為P-序ca列，以下進(jìn)行證明。滿足隱私保護(hù)元的定義。

Step2 （簇內(nèi)聚合） 簇頭在獲取了 Ca′中各節(jié)點(diǎn)所發(fā)送的數(shù)據(jù)，即獲取了{(lán){Db,b}(b ∈ Ca′)}后，可恢復(fù)簇內(nèi)聚合值D，過(guò)程如下：

記簇頭收到其他簇所發(fā)送的數(shù)據(jù)為D?。接下來(lái)，簇頭計(jì)算最終聚合值：Da=D+D?，并將其發(fā)送給下一跳節(jié)點(diǎn)。

算例 3 （數(shù)據(jù)匯報(bào)過(guò)程）如圖 3所示，以C1′={1,2,3}給出數(shù)據(jù)匯報(bào)過(guò)程的算例，并設(shè)節(jié)點(diǎn)1～3的傳感數(shù)據(jù)分別為137、516及338，所處階段s為1。節(jié)點(diǎn)根據(jù)其種子及 H (?)易于獲取相應(yīng)的P-序列元素，給定這些值，如圖3 (a)所示，帶下劃線的數(shù)據(jù)為節(jié)點(diǎn)1所能獲取的數(shù)據(jù)。

首先以節(jié)點(diǎn) 1給出 R1的生成過(guò)程，如圖 3(b)所示：利用 p12和 p13獲取 p11；進(jìn)而利用 p11、p12和 p13獲取 R1。類(lèi)似地，節(jié)點(diǎn)2和3分別獲取 R2和 R3。

接下來(lái)，如圖3(c)所示，各節(jié)點(diǎn)利用其隱私保護(hù)元隱藏其傳感數(shù)據(jù)并發(fā)送給簇頭。例如，節(jié)點(diǎn) 1利用 R1隱藏其傳感數(shù)據(jù) d1，得到 D1= 9 06；節(jié)點(diǎn)1僅將 { D1, 1}發(fā)送給簇頭。類(lèi)似地，節(jié)點(diǎn)2和3分別將 { D2,2}和{D3,3}發(fā)送給簇頭。從上述過(guò)程易于發(fā)現(xiàn)，由于采用了數(shù)據(jù)隱藏，敵方無(wú)法從各節(jié)點(diǎn)發(fā)送給簇頭的數(shù)據(jù)中推測(cè)出其傳感數(shù)據(jù)。

最后，如圖3 (c)所示，簇頭根據(jù) D1、 D2和 D3計(jì)算得D。顯然，D = d ，這意味著簇內(nèi)聚合值在簇頭處得到了準(zhǔn)確還原。

4.3 相關(guān)討論

以明文發(fā)送{Db,b}并不會(huì)影響傳感數(shù)據(jù) db的隱私性（分析見(jiàn)第5.1節(jié)）?？紤]到有些應(yīng)用場(chǎng)合不僅需要實(shí)現(xiàn)傳感數(shù)據(jù)的隱私性，還需要保證簇內(nèi)聚合值的機(jī)密性，而敵方如果獲取了簇內(nèi)各個(gè) Db，則可以獲取簇內(nèi)聚合值，采取以下方法實(shí)現(xiàn)聚合值的機(jī)密性保護(hù)。

圖3 數(shù)據(jù)匯報(bào)過(guò)程的算例（CH代表簇頭）

簇內(nèi)節(jié)點(diǎn)共享簇密鑰 Ka，任意節(jié)點(diǎn) b在獲得Db后，利用 Ka將 Db加密為 Db?Ka（? 為異或操作）并發(fā)送至簇頭。簇頭在收到了{(lán)Db?K,b}后，a首先計(jì)算 Db?Ka?Ka以獲取Db；之后按照Step 2操作即可獲取聚合值。而敵方由于不能獲取 Ka，不能還原出 Db，必不能獲取該簇的聚合值。

得益于動(dòng)態(tài)變化的隱私保護(hù)元，上述方案中的 Ka可以有效對(duì)抗已知明文攻擊：假設(shè)敵方獲取了 dc，并獲取了密文 Dc?Ka，由于敵方不能獲取Rc，必不能由此獲取 K 。敵方只有俘獲了某個(gè)簇a成員才能獲得 Ka；而此時(shí)雖然敵方可以獲取各個(gè)Db，進(jìn)而獲取聚合值，如5.1節(jié)所分析，敵方并不能因此獲取節(jié)點(diǎn)的隱私數(shù)據(jù)。值得一提的是，即使采用加密體系如 RC5加密 Db以實(shí)現(xiàn)聚合值的機(jī)密性保護(hù)，只要簇密鑰暴露了（簇內(nèi)一個(gè)節(jié)點(diǎn)被俘獲則簇內(nèi)密鑰將被暴露），聚合值一樣會(huì)暴露。也就是說(shuō)，傳統(tǒng)加密體系在節(jié)點(diǎn)被俘獲問(wèn)題上并不會(huì)比上述方案更有效。因而，選擇計(jì)算更有效的上述方案。關(guān)于被俘獲節(jié)點(diǎn)的檢測(cè)，可以參考文獻(xiàn)[18]；關(guān)于節(jié)點(diǎn)被俘獲所引發(fā)的簇密鑰暴露問(wèn)題，文獻(xiàn)[19]給出了新的方法，不再詳述。

最后討論聚合值的完整性鑒別。由于無(wú)論以明文還是按照上述方法發(fā)送{Db,b}，簇內(nèi)節(jié)點(diǎn)均可以獲取簇頭處理的數(shù)據(jù)，各節(jié)點(diǎn)都可以監(jiān)督簇頭的聚合操作。也因此，即使簇頭被俘獲了，簇頭篡改聚合值的行為將被監(jiān)測(cè)到。這意味著DAPE無(wú)需額外開(kāi)銷(xiāo)，即可實(shí)現(xiàn)數(shù)據(jù)完整性鑒別的安全聚合機(jī)制，如文獻(xiàn)[13]和文獻(xiàn)[14]中機(jī)制兼容。不再贅述完整性鑒別的具體過(guò)程。

5 性能評(píng)估

本節(jié)首先評(píng)估隱私保護(hù)有效性和數(shù)據(jù)聚合準(zhǔn)確性，接下來(lái)評(píng)估系統(tǒng)開(kāi)銷(xiāo)。DAPE中簇內(nèi)參與聚合的節(jié)點(diǎn)數(shù)為m，為便于比較，在5.3節(jié)及5.4節(jié)的開(kāi)銷(xiāo)評(píng)估中，將CPDA和Conti的機(jī)制的簇大小統(tǒng)一記為m。

5.1 隱私保護(hù)有效性

集中式機(jī)制如FSP（fully reporting SP-based）及 D-ASP（distributed adaptive SP-based）[6]中節(jié)點(diǎn)利用與基站共享的秘密數(shù)實(shí)現(xiàn)隱私保護(hù)，當(dāng)基站被俘獲時(shí)，其數(shù)據(jù)隱私將被暴露。對(duì)于各分布式機(jī)制而言，隱私保護(hù)有效性與被俘獲節(jié)點(diǎn)/節(jié)點(diǎn)對(duì)間通信鏈路的暴露有關(guān)。在傳感器網(wǎng)絡(luò)中，節(jié)點(diǎn)對(duì)間信息傳輸?shù)臋C(jī)密性通過(guò)對(duì)偶密鑰加密實(shí)現(xiàn)。目前已有研究可以保證被俘獲節(jié)點(diǎn)不會(huì)對(duì)其他節(jié)點(diǎn)間對(duì)偶密鑰造成影響[16]，因此，節(jié)點(diǎn)對(duì)間加密鏈路的暴露等價(jià)于節(jié)點(diǎn)被俘獲，也因此，接下來(lái)僅分析節(jié)點(diǎn)被俘獲對(duì)典型的分布式機(jī)制DAPE、CPDA[2]、SMART[2]及Conti的機(jī)制[4]所造成的影響。

DAPE中任意的節(jié)點(diǎn)b利用其隱私保護(hù)元 Rb對(duì)其傳感數(shù)據(jù) db進(jìn)行隱私保護(hù)，因此，敵方如果不能獲取 Rb，則不能獲取 db。1）假設(shè)敵方僥幸獲取了某個(gè)階段 s0的 db（通過(guò)攻破DAPE以外的方式），并獲取了這一階段的 Db。雖然此時(shí)敵方可以獲取s的 Rb（根據(jù) Db= ( db+ Rb)mod g ），然而，只要0種子或階段數(shù)s的取值不重復(fù)，那么 s0所使用的 Rb并不會(huì)確切地在某個(gè)階段 s0′被重復(fù)使用，這意味著敵方不能由此獲取節(jié)點(diǎn)b在任何其他階段的隱私數(shù)據(jù)。而在傳感器節(jié)點(diǎn)生命周期內(nèi)，易于做到s的取值不重復(fù)；且即使s的取值存在重復(fù)的可能性，還可以通過(guò)更新種子滿足這一條件。此外，由于 Rb在各階段都得到了更新，且由于散列函數(shù)的隨機(jī)性，各階段的 Rb不存在關(guān)聯(lián)性，敵方不能通過(guò)任何階段s0的 Rb獲取其他階段的 Rb。最后，由于 Rb并非某個(gè)散列值，而是多個(gè)散列值運(yùn)算后的結(jié)果，敵方即使獲取了某個(gè) Rb，也不能獲取生成該 Rb的相應(yīng)的秘密數(shù)的散列值，避免了敵方通過(guò)強(qiáng)力攻擊獲取各節(jié)點(diǎn)的秘密種子?？梢?jiàn)，在這一攻擊假設(shè)下，DAPE是安全的。2） Rb是基于b與 Ca′中各節(jié)點(diǎn)所共享的秘密種子生成的。因此，敵方只有獲取了b的所有秘密種子才能獲取其各階段的 Rb。由于任何節(jié)點(diǎn)對(duì)間所共享的種子與其他節(jié)點(diǎn)對(duì)間所共享的種子互異，敵方只有俘獲了 Ca′中所有節(jié)點(diǎn)才能獲取足夠的種子信息進(jìn)而獲取各階段的 Rb。于是，DAPE所能容忍的被俘獲節(jié)點(diǎn)數(shù)為(m-1)。

CPDA中所有參與聚合的節(jié)點(diǎn)成簇，任意節(jié)點(diǎn)b的數(shù)據(jù)隱私暴露當(dāng)且僅當(dāng)其所在簇成員串謀。記CPDA的簇大小為 mc，則其所能容忍的被俘獲節(jié)點(diǎn)數(shù)為(mc- 1 )。SMART中任意節(jié)點(diǎn)b的數(shù)據(jù)隱私暴露當(dāng)且僅當(dāng)其入度與出度節(jié)點(diǎn)均被俘獲。因此，SMART所能容忍的被俘獲簇節(jié)點(diǎn)的平均數(shù)目為3(J-1)/2。Conti的機(jī)制中的各節(jié)點(diǎn)與簇內(nèi)成員共享A個(gè)雙密鑰，每輪數(shù)據(jù)匯報(bào)使用V(V≤A)個(gè)。記其簇大小為C，被俘獲的節(jié)點(diǎn)數(shù)為w，則節(jié)點(diǎn)的數(shù)據(jù)隱私被暴露的概率為[(2 w - 1 )(C - 1 )]V。對(duì)于Conti的機(jī)制而言，即使敵方只俘獲了2個(gè)簇節(jié)點(diǎn)，仍然有機(jī)會(huì)獲取節(jié)點(diǎn)的數(shù)據(jù)隱私。

綜上，如果m＞ mc，那么DAPE比CPDA可以容忍更多的被俘獲節(jié)點(diǎn)，即有著更強(qiáng)的隱私保護(hù)力度。如果m＞3(J-1)/2，則DAPE比SMART有著更強(qiáng)的隱私保護(hù)力度。而即使m=C，DAPE的隱私保護(hù)有效性也要高于Conti的機(jī)制。

5.2 數(shù)據(jù)聚合準(zhǔn)確性

對(duì)于 DAPE、CPDA、SMART、Conti的機(jī)制及FSP、D-ASP而言，如果所有消息均發(fā)送成功了，那么基站所獲取的聚合值均為準(zhǔn)確的聚合值（性質(zhì)1保證了DAPE具有這一性能）。然而，數(shù)據(jù)分組在實(shí)際傳輸中可能被丟失或損害，將對(duì)這些機(jī)制造成不同的影響，以下進(jìn)行具體分析。

對(duì)于FSP及D-ASP，由于不是所有數(shù)據(jù)后都附加了源節(jié)點(diǎn)ID，如果簇內(nèi)發(fā)生傳輸失敗，簇頭將無(wú)法檢測(cè)到哪些分組丟失；如果簇間發(fā)生傳輸失敗，如分組丟失，由于基站同樣無(wú)法獲取丟失數(shù)據(jù)分組的信息，將無(wú)法確定使用哪些秘密數(shù)進(jìn)行數(shù)據(jù)還原。因此，即使只有一個(gè)分組丟失，基站也無(wú)法還原所收到數(shù)據(jù)的聚合值。這一問(wèn)題可以通過(guò)在每一個(gè)數(shù)據(jù)分組后附上源節(jié)點(diǎn) ID進(jìn)行解決，然而，由于節(jié)點(diǎn) ID不能參與數(shù)據(jù)聚合，該方法可能引發(fā)昂貴的額外通信開(kāi)銷(xiāo)，可行性不強(qiáng)。

對(duì)于DAPE，CPDA及Conti的機(jī)制而言，如果簇內(nèi)發(fā)生傳輸失敗，簇頭根據(jù)成功接收的數(shù)據(jù)分組中的 ID信息即可檢測(cè)到哪些分組丟失。因此，各簇向其他簇發(fā)送的總是準(zhǔn)確的聚合值。也因此，即使簇間存在分組丟失等失效傳輸，基站也能獲取數(shù)據(jù)的準(zhǔn)確聚合結(jié)果。SMART可以擴(kuò)充為這一類(lèi)情況。而由于CPDA、SMART及Conti中節(jié)點(diǎn)需要發(fā)送的數(shù)據(jù)多于DAPE（詳見(jiàn)5.3節(jié)），在數(shù)據(jù)分組傳輸失效率相同且數(shù)據(jù)發(fā)送期限相同的前提下，DAPE將能發(fā)送更多的數(shù)據(jù)分組。也因此，就數(shù)據(jù)聚合準(zhǔn)確度而言，DAPE最為適合信道脆弱的傳感器網(wǎng)絡(luò)。

5.3 通信開(kāi)銷(xiāo)

本節(jié)分析和比較各機(jī)制在數(shù)據(jù)匯報(bào)階段的通信開(kāi)銷(xiāo)。為便于描述，記傳感數(shù)據(jù)長(zhǎng) Lsenbit；網(wǎng)絡(luò)節(jié)點(diǎn)數(shù)為N，節(jié)點(diǎn)的全局ID長(zhǎng)；DAPE 的簇節(jié)點(diǎn)數(shù)為 n，記簇內(nèi) ID 長(zhǎng) lcluD-ASP中的 li stb列表（節(jié)點(diǎn) ID構(gòu)成）長(zhǎng) L{ID}bit。為便于分析和比較，同文獻(xiàn)[6]中，假定網(wǎng)絡(luò)部署后形成多個(gè)單跳簇。必須要說(shuō)明的是，即使是多跳簇，也不會(huì)影響DAPE在通信上的優(yōu)勢(shì)，因?yàn)槿缤挛姆治龅?，DAPE中各節(jié)點(diǎn)僅需發(fā)送一個(gè)數(shù)據(jù)分組，且分組長(zhǎng)小于其他機(jī)制。由于DAPE、CPDA、SMART及Conti的機(jī)制的簇間通信開(kāi)銷(xiāo)與沒(méi)有提供隱私保護(hù)的機(jī)制一樣，額外的通信開(kāi)銷(xiāo)僅在簇內(nèi)通信中產(chǎn)生，接下來(lái)僅分析其簇內(nèi)通信開(kāi)銷(xiāo)。

DAPE中任意節(jié)點(diǎn)b的通信開(kāi)銷(xiāo)源于將{Db,b}發(fā)送給簇頭，其中， Db的數(shù)據(jù)范圍為[0,g - 1 ]。由于，于是，，則bit。值得注意的是，雖然DAPE的隱私保護(hù)有效性與m(m≤n)成正比，而m隨n的增長(zhǎng)而增長(zhǎng)，這意味著 n越大則隱私保護(hù)有效性越高，由于lclu=■lo g n■，通信開(kāi)銷(xiāo)隨n的增長(zhǎng)是緩慢增長(zhǎng)的?？梢?jiàn)，DAPE的隱私保護(hù)有效性并沒(méi)有受限于通信開(kāi)銷(xiāo)。

SMART中節(jié)點(diǎn)將其傳感數(shù)據(jù)分為J塊（每個(gè)塊數(shù)據(jù)的長(zhǎng) Lsenbit），并將其中的(J-1)塊分別發(fā)送給(J-1)個(gè)鄰居節(jié)點(diǎn)。此外，該節(jié)點(diǎn)將所收到的數(shù)據(jù)及所保留的塊數(shù)據(jù)進(jìn)行聚合并發(fā)送給下一跳節(jié)點(diǎn)，該數(shù)據(jù)長(zhǎng)為 ( Lsen+ lclu)bit。因此，各節(jié)點(diǎn)至少需要發(fā)送J個(gè)消息分組，總的通信開(kāi)銷(xiāo)大于 ( J Lsen+ lclu)bit。

Conti的機(jī)制中的任意節(jié)點(diǎn)b在匯報(bào)其傳感數(shù)據(jù)前需要發(fā)送2條以確定雙密鑰的使用情況，如果孿生節(jié)點(diǎn)所共享的雙密鑰互異，則該信息的平均長(zhǎng)度為 ( A m 4)Lsenbit（A 為節(jié)點(diǎn)所擁有的雙密鑰數(shù)目， A ≥ 2 ）；否則，大于這一長(zhǎng)度。之后，節(jié)點(diǎn) b利用其相應(yīng)的雙密鑰隱藏其傳感數(shù)據(jù)，最終將隱藏結(jié)果{db+H(s eed,ki)}發(fā)送給簇頭。因此，各節(jié)點(diǎn)的通信開(kāi)銷(xiāo)不小于[1 + (A m 2)]Lsenbit。

FSP中任意節(jié)點(diǎn) b的通信開(kāi)銷(xiāo)源將 { D ?b, A ?b}發(fā)送給簇頭。 D?b和 A?b的數(shù)據(jù)范圍均為[0,q - 1 ]。由于D-ASP中任意節(jié)點(diǎn)b發(fā)送給簇頭的消息為{ D?b, A ?b, l i stb( ID list)}，因此，總的通信開(kāi)銷(xiāo)為 2 × max{ Lsen, (lglo+ 1 )}+ L{ID}bit。

表2 各機(jī)制中任意節(jié)點(diǎn)的簇內(nèi)通信開(kāi)銷(xiāo)

表2總結(jié)了上述機(jī)制的通信開(kāi)銷(xiāo)。由于 J ≥ 3 ，lglo＞lclu，m≥3，A≥2，易知DAPE的通信開(kāi)銷(xiāo)比其他分布式機(jī)制要低。 2 max{Lsen, (lglo+1)} ＜ (Lsen+2lclu)成立的條件是Lsen＜2lclu，而即使lclu=5（可支持大小為32的簇），要想滿足Lsen＜2lclu，需滿足dmax＜1 024或N＜512，可見(jiàn)Lsen＜2lclu的成立受限于實(shí)際情況。也就是說(shuō)，一般情況下，DAPE在通信上比FSP更為有效，則顯然DAPE比D-ASP在通信上更為有效。

DAPE的通信開(kāi)銷(xiāo)與 Lsen及 lclu有關(guān)。為了直觀地展示DAPE在不同的 Lsen及n取值下相對(duì)其他機(jī)制的通信有效性，以單跳簇給出算例4如下。

算例4 （節(jié)點(diǎn)的通信開(kāi)銷(xiāo)）：CPDA和SMART的通信開(kāi)銷(xiāo)分別隨m和J的增長(zhǎng)而線性增長(zhǎng)，機(jī)制的提出者將m和J的取值推薦為3（此時(shí)兩者能容忍 2個(gè)被俘獲節(jié)點(diǎn)），按照推薦值計(jì)算兩者開(kāi)銷(xiāo)。Conti的通信開(kāi)銷(xiāo)與A( A ≥ 2 )及m相關(guān)，取A=2且同樣取m=3進(jìn)行計(jì)算。DAPE的通信開(kāi)銷(xiāo)與m無(wú)關(guān)，表3給出了各機(jī)制在 Lsen及n變化時(shí)開(kāi)銷(xiāo)的變化情況，此時(shí)全局ID隨簇內(nèi)節(jié)點(diǎn)數(shù)的變化而變化。

從表3可以直觀看出，DAPE的通信開(kāi)銷(xiāo)是輕量的，其隨簇大小n的增長(zhǎng)而緩慢增長(zhǎng)，這是由于其隨 Lsen的增長(zhǎng)而線性增長(zhǎng)，然而，其隨 Lsen增長(zhǎng)而增長(zhǎng)的速度小于其他機(jī)制。雖然其他機(jī)制中參數(shù)的選取均為最小值，DAPE仍然比其他機(jī)制具有更低的通信開(kāi)銷(xiāo)，特別是與分布式機(jī)制相比，通信上的優(yōu)勢(shì)更為明顯。值得一提的是，DAPE的通信開(kāi)銷(xiāo)與m無(wú)關(guān)，即使m=n，其通信開(kāi)銷(xiāo)也是一樣的，而其他機(jī)制如果取m=n，通信開(kāi)銷(xiāo)將迅速增長(zhǎng)。此外，如果增大A，Conti的機(jī)制在隱私保護(hù)有效性增強(qiáng)的同時(shí)，開(kāi)銷(xiāo)同樣會(huì)迅速增大?？梢?jiàn)，DAPE比已有分布式機(jī)制有著更高的隱私保護(hù)有效性，且通信也更為有效。

表3 各節(jié)點(diǎn)簇內(nèi)通信開(kāi)銷(xiāo)的算例（單位bit）

5.4 存儲(chǔ)和計(jì)算開(kāi)銷(xiāo)

5.4.1 存儲(chǔ)開(kāi)銷(xiāo)

DAPE中節(jié)點(diǎn)需要存儲(chǔ)2(n-1)個(gè)種子，開(kāi)銷(xiāo)為2(n - 1 )(Lsen+ lclu)bit。CPDA 中的種子是臨時(shí)生成的；SMART利用數(shù)據(jù)切分技術(shù)實(shí)現(xiàn)隱私保護(hù)，因此，兩者無(wú)需額外的存儲(chǔ)開(kāi)銷(xiāo)，然而，以高的通信開(kāi)銷(xiāo)為代價(jià)。Conti的機(jī)制中各節(jié)點(diǎn)需要存儲(chǔ)K個(gè)密鑰，存儲(chǔ)開(kāi)銷(xiāo)為KLsenbit。FSP及D-ASP中節(jié)點(diǎn)需要存儲(chǔ)2個(gè)種子，開(kāi)銷(xiāo)為 2 max{Lsen, (lglo+ 1 )}bit。

綜上，DAPE的存儲(chǔ)開(kāi)銷(xiāo)低于Conti的機(jī)制，高于其他機(jī)制。由于n為簇大小，DAPE的存儲(chǔ)開(kāi)銷(xiāo)仍然是合適的。例如：1）取 Lsen= 1 1bit（傳感數(shù)據(jù)范圍為0～2 047），n=8(clu3l = bit)，則存儲(chǔ)開(kāi)銷(xiāo)為25byte。2）仍然取sen11L = bit，則即使n=20（此時(shí)clul 為5bit），存儲(chǔ)開(kāi)銷(xiāo)為76 B。3）仍然取n=20，取sen16L = bit（此時(shí)傳感數(shù)據(jù)范圍為0～16 383），存儲(chǔ)開(kāi)銷(xiāo)為100byte。節(jié)點(diǎn)數(shù)目為20的簇已經(jīng)是較大的簇了，且0～16 383可以包含常見(jiàn)的傳感數(shù)據(jù)范圍，而此時(shí)的存儲(chǔ)開(kāi)銷(xiāo)僅為100byte，可見(jiàn)DAPE的存儲(chǔ)開(kāi)銷(xiāo)是適合的。

表4 存儲(chǔ)開(kāi)銷(xiāo)和數(shù)據(jù)匯報(bào)階段的計(jì)算開(kāi)銷(xiāo)

5.4.2 計(jì)算開(kāi)銷(xiāo)

DAPE分為初始化和數(shù)據(jù)匯報(bào)2部分：1）初始化中各節(jié)點(diǎn)將種子加密發(fā)送給簇成員，并解密收到種子，總的計(jì)算開(kāi)銷(xiāo)為2(n-1)次加/解密。可見(jiàn)，初始化的計(jì)算開(kāi)銷(xiāo)是合適的。2）在數(shù)據(jù)匯報(bào)部分，各節(jié)點(diǎn)通過(guò)散列運(yùn)算獲取2(m-1)個(gè)P-序列元素值；并利用其隱私保護(hù)元隱藏傳感數(shù)據(jù)，總的計(jì)算開(kāi)銷(xiāo)為2(m-1)次散列運(yùn)算及復(fù)雜度為2()om 的四則運(yùn)算。簇頭對(duì)所收到的數(shù)據(jù)進(jìn)行復(fù)雜度為 ()om的四則運(yùn)算。如果需要實(shí)現(xiàn)聚合值的機(jī)密性，則普通節(jié)點(diǎn)及簇頭只需分別增加1次及(m-1)次異或運(yùn)算即可。

CPDA中節(jié)點(diǎn)分別加密發(fā)送給簇成員的數(shù)據(jù)，解密收到的數(shù)據(jù)并進(jìn)行四則運(yùn)算，最終值加密發(fā)送給簇頭，總的計(jì)算開(kāi)銷(xiāo)為2m次加/解密及復(fù)雜度為2()om 的四則運(yùn)算；簇頭在解密收到的成員數(shù)據(jù)后，通過(guò)高斯消去法還原聚合值，其計(jì)算開(kāi)銷(xiāo)為m次加/解密、1次矩陣求逆。

SMART中節(jié)點(diǎn)將其傳感數(shù)據(jù)切分為J份并將其中的(J-1)份加密發(fā)送給鄰居節(jié)點(diǎn)，還需要將收到的數(shù)據(jù)解密求和，其計(jì)算開(kāi)銷(xiāo)為2J次加/解密及復(fù)雜度為2()oJ的四則運(yùn)算。

Conti的機(jī)制中節(jié)點(diǎn)對(duì)A個(gè)雙密鑰進(jìn)行2次散列運(yùn)算，再利用運(yùn)算值進(jìn)行傳感數(shù)據(jù)的隱藏保護(hù)，因此，其計(jì)算開(kāi)銷(xiāo)為2A次散列運(yùn)算，復(fù)雜度為 ()oA的四則運(yùn)算，4次加/解密。此外，簇頭需要解密所收到的數(shù)據(jù)并求和，計(jì)算開(kāi)銷(xiāo)為 m次加/解密及復(fù)雜度為 ()om的四則運(yùn)算。

FSP及D-ASP中節(jié)點(diǎn)首先對(duì)其秘密數(shù)進(jìn)行散列運(yùn)算；之后，利用運(yùn)算值進(jìn)行傳感數(shù)據(jù)的隱藏保護(hù)，各節(jié)點(diǎn)的計(jì)算開(kāi)銷(xiāo)為1次散列運(yùn)算、復(fù)雜度為 ()om的四則運(yùn)算；簇頭的計(jì)算開(kāi)銷(xiāo)為復(fù)雜度為 ()om的四則運(yùn)算。

表4總結(jié)了各機(jī)制的存儲(chǔ)開(kāi)銷(xiāo)和數(shù)據(jù)匯報(bào)階段的計(jì)算開(kāi)銷(xiāo)，其中，DAPE的計(jì)算開(kāi)銷(xiāo)是按照實(shí)現(xiàn)了聚合值的機(jī)密性保護(hù)評(píng)估的。從表4可以看出，DAPE的存儲(chǔ)開(kāi)銷(xiāo)低于Conti的機(jī)制，高于其他機(jī)制；計(jì)算開(kāi)銷(xiāo)高于FSP及D-ASP，低于其他機(jī)制。然而，如同前文分析的，DAPE的存儲(chǔ)和計(jì)算開(kāi)銷(xiāo)仍然是輕量的，適合于傳感器網(wǎng)絡(luò)。

6 結(jié)束語(yǔ)

本文提出了一種對(duì)聚合中的傳感數(shù)據(jù)提供隱私保護(hù)的機(jī)制 DAPE。基于構(gòu)造的隱私保護(hù)元，DAPE中節(jié)點(diǎn)無(wú)需額外的信息交互即可實(shí)現(xiàn)其傳感數(shù)據(jù)的隱私保護(hù)，且簇內(nèi)聚合值可以在簇內(nèi)得到有效還原。因此，與可以在網(wǎng)內(nèi)實(shí)現(xiàn)聚合值還原的其他機(jī)制相比，DAPE在提高隱私保護(hù)有效性的同時(shí)在通信上更為有效，且還可以兼容于實(shí)現(xiàn)數(shù)據(jù)完整性鑒別的安全聚合機(jī)制；與需要由基站恢復(fù)聚合值的機(jī)制相比，DAPE能夠更好地適應(yīng)脆弱的無(wú)線通信信道，且在通信方面更為有效。雖然DAPE的存儲(chǔ)和計(jì)算開(kāi)銷(xiāo)高于部分已有機(jī)制，由于存儲(chǔ)開(kāi)銷(xiāo)僅與簇節(jié)點(diǎn)數(shù)n正相關(guān)，而節(jié)點(diǎn)的計(jì)算開(kāi)銷(xiāo)主要源于(m-1)次散列運(yùn)算（mn≤），因此，DAPE的存儲(chǔ)和計(jì)算開(kāi)銷(xiāo)仍然是輕量的?？梢?jiàn)，DAPE更適用于資源有限且應(yīng)用相關(guān)的傳感器網(wǎng)絡(luò)。

[1] TANG X, XU J. Extending network lifetime for precision constrained data aggregation in wireless sensor networks[A]. Proceedings INFOCOM 2006: 25th IEEE International Conference on Computer Communications[C]. Piscataway, USA, 2006. 131-146.

[2] HE W, LIU X, NGUYEN H, et al. PDA: privacy-preserving data aggregation in wireless sensor networks[A]. Proceedings INFOCOM 2007: 26th IEEE International Conference on Computer Communications[C]. Piscataway, USA, 2006. 165-168.

[3] CASTELLUCCIA C, MYKLETUN E, TSUDIK G. Efficient aggregation of encrypted data in wireless sensor networks[A]. MobiQuitous 2005: Second Annual International Conference on Mobile and Ubiquitous Systems Networking and Services[C]. San Diego, California,USA, 2005. 109-117.

[4] CONTI M, ZHANG L, ROY S, et al. Privacy-preserving robust data aggregation in wireless sensor networks[J]. Security and Communication Networks, 2009,2(2):195-213.

[5] CASTELLUCCIA C, CHAN A, MYKLETUN E, et al. Efficient and provably secure aggregation of encrypted data in wireless sensor networks[J]. ACM Transactions on Sensor Networks, 2009,5(3):1-36.

[6] FENG T, WANG C, ZHANG W, et al. Confidentiality protection schemes for data aggregation in sensor networks[A]. Proceedings INFOCOM 2008: 27th IEEE International Conference on Computer Communications[C]. Piscataway, USA, 2008. 131-146.

[7] WESTHOFF D, GIRAO J, ACHARYA M. Concealed data aggregation for reverse multicast traffic in sensor networks: encryption, key distribution, and routing adaptation[J]. IEEE Transactions on Mobile Computing, 2006,5(10):1417-1431.

[8] BISTA R, CHONJU C, SONG M, et al. Preserving privacy and assuring integrity in data aggregation for wireless sensor networks[A]. 2010 IEEE International Conference on Networked Embedded Systems for Enterprise Applications, NESEA 2010[C]. Soochow, China, 2010. 128-237.

[9] HE W, LIU X, NGUYEN H, et al. Abdelzaher. iPDA: an integrity-protecting private data aggregation scheme for wireless sensor networks[A]. Proceedings IEEE Military Communications Conference MILCOM[C]. Washington, DC, USA, 2008. 1-7.

[10] HE W, LIU X, NGUYEN H, et al. A cluster-based protocol to enforce integrity and preserve privacy in data aggregation[A]. Proceedings of the 29th IEEE International Conference on Distributed Computing Systems Workshops[C]. Anchorage, Alaska, 2009. 14-19.

[11] HUANG S, SHIEH S, TYGAR J. Secure encrypted-data aggregation for wireless sensor networks[J]. Wireless Networks, 2010,16(4): 915-927.

[12] ZENG W, LIN Y, WANG L. Privacy-preserving data aggregation based on the p-function set in wireless sensor networks[A]. Proceedings of the 2010 IEEE 10th International Conference on Computer and Information Technology (CIT 2010)[C]. Bradford, United Kingdom,2010. 2831-2836.

[13] BEKARA C, LAURENT-MAKNAVICIUS M. A secure aggregation protocol for cluster-based wireless sensor networks with no requirements for trusted aggregator nodes[A]. NGMAST 2007 - The 2007 International Conference on Next Generation Mobile Applications,Services and Technologies, Proceedingss[C]. Piscataway, USA, 2007. 1-10.

[14] SUAT O, CAM H. Integration of false data detection with data aggregation and confidential transmission inwireless sensor networks[J].IEEE/ACM Transactions on Networking, 2010,18(3):736-749.

[15] GUAN X, GUAN L, WANG X. A novel energy efficient clustering technique based on virtual hexagon for wireless sensor networks[J].International Journal of Innovative Computing, Information and Control, 2011, 7(4):1891-1904.

[16] ZHANG W, TRAN M, ZHU S, et al. A random perturbation-based scheme for pairwise key establishment in sensor networks[A]. Mobi-Hoc'07: Proceedings of the Eighth ACM International Symposium on Mobile Ad Hoc Networking and Computing[C]. New York, USA,2007. 90-99.

[17] ALI F, MEHDI B, HOSSEIN S, et al. A high performance and intrinsically secure key establishment protocol for wireless sensor networks[J]. Computer Networks, 2011,55(8):1849-1863.

[18] MUKHERJEE P, SEN S. Comparing reputation schemes for detecting malicious nodes in sensor networks[J]. Computer Journal, 2011,54(3):482-489.

[19] WEN M, ZHENG Y, YE W, et al. A key management protocol with robust continuity for sensor networks[J]. Computer Standards & Interfaces, 2009,31(4): 642-647.