石魯生 ，朱慧博 ，陳 林

（1.宿遷學院計算機科學系 宿遷 223800；2.南京航空航天大學計算機科學與技術學院 南京 210016）

1 引言

近年來，無線傳感器網絡 （wireless sensor network，WSN）越來越受到人們的關注。無線傳感器網絡由微型、低成本、低功耗的微傳感器組成，這些傳感器可以通過無線通信協(xié)同工作，進行數據監(jiān)測和處理。目前，無線傳感器網絡的應用領域已快速擴展至軍事、救災、環(huán)境、醫(yī)療、家居等眾多領域。在很多應用場景下，不同感知能力、計算能力、通信能力以及不同能量儲備的傳感器常需要相互配合開展工作，這種由不同類型傳感器組成的網絡稱為異構無線傳感器網絡（heterogeneous wireless sensor network）[1]。相對于相同類型傳感器組成的同構無線傳感器網絡（homogeneous wireless sensor network），異構無線傳感器網絡能滿足更多的實際需求[2]。

數據收集是無線傳感器網絡投入實際應用后的主要功能[3]，由于資源受限的特征突出，各種數據收集算法一直將如何延長網絡生命周期、降低能耗作為重要的設計目標。

硬件方面，植入高資源節(jié)點，構建異構無線傳感器網絡是延長網絡生命周期的有效方法。在異構無線傳感器網絡中，由少量高資源節(jié)點充當簇頭，構成上層網絡，負責收集數據和執(zhí)行查詢任務，并可與基站進行高速通信；大量資源受限的一般節(jié)點形成下層網絡，負責數據采集工作，并將采集數據傳輸至簇頭。這種兩層傳感器網絡具有壽命長、易擴展等優(yōu)點，是無線傳感器網絡的重要發(fā)展方向[4]。

軟件方面，使用數據聚集技術是降低能耗的重要手段。傳統(tǒng)的數據聚集方法[5～7]雖然降低了無線傳感器網絡的通信開銷，但沒有解決聚集過程中的安全性問題，不具備實用價值，因此各種安全聚集算法應運而生。DADPP[8]、ESPART[9]等是具備隱私保護能力的聚集方法，SIES[10]和iCPDA[11]則是兼顧隱私保護和完整性驗證的聚集方案。DADPP通過向原始數據中添加隨機種子和私有隨機數進行擾動，達到隱私保護的目的；ESPART通過對原始數據進行切片和加密傳輸來保護數據隱私；SIES算法使用同態(tài)加密函數保護數據隱私，采用SECOA[12]思路驗證聚集結果的完整性；iCPDA算法在隱私保護和完整性驗證中分別使用了安全多方計算方法和同行監(jiān)督機制。增加了隱私保護和完整性驗證之后的聚集算法出現了新的問題：一是原本降低了的通信開銷大增；二是聚集類型受限嚴重，很多算法僅支持SUM一種。

本文提出的異構無線傳感器網絡的數據聚集算法，在保護數據隱私以及為數據的完整性和真實性提供有效驗證的基礎上，特別設計了數據恢復機制，從而使基站或高資源節(jié)點在得到聚集結果的同時，能夠通過該機制精確、有效地恢復聚集前的原始數據。這些原始數據的獲得讓基站或高資源節(jié)點在執(zhí)行其他后續(xù)聚集操作時，類型不再受限，同時由于聚集過程中的通信量大為減少，也降低了整個網絡的能耗開銷。

2 系統(tǒng)模型

2.1 網絡模型

假設異構無線傳感器網絡采用基于分簇的兩層結構，由以下3個部分組成。

·一個基站（base station，BS），擁有強大的計算和通信能力、足夠大的存儲空間、穩(wěn)定的電力供應，并采取了嚴密的防護措施。

·少量高資源（h-sensor，HS）節(jié)點，它們充當簇頭，是兩層結構中的上層，主要負責收集簇內節(jié)點采集到的數據，并聚集轉發(fā)給基站。令網絡中簇的數目為n，簇頭節(jié)點集合為 H={H1,…,Hn}。

·大量低資源（l-sensors，LS）節(jié)點，它們充當簇中的一

般成員，是兩層結構中的下層，主要負責采集監(jiān)測區(qū)域內的感知數據，并發(fā)送至簇頭節(jié)點。以Hi為簇頭的簇內一般傳感器節(jié)點j表示為Lij，其原始感知數據用dij表示。

2.2 攻擊模型

鑒于BS不易被捕獲，假設其是安全可信的，則依照嚴重程度將攻擊分為以下3種。

·竊聽無線通信。攻擊者未捕獲任何節(jié)點，但通過竊聽網絡中的無線通信獲取或偽造數據。

·捕獲LS節(jié)點。攻擊者可以獲取或篡改被捕獲LS節(jié)點的感知數據，亦可攻擊被捕獲LS節(jié)點轉發(fā)的感知數據。

·捕獲HS節(jié)點。攻擊者可以獲取被捕獲HS節(jié)點所在簇內所有LS節(jié)點的感知數據，并可篡改HS節(jié)點上報給基站的中間聚集結果。

2.3 密鑰預分配

異構無線傳感器網絡部署前，BS和HS節(jié)點的信息易知，BS首先根據EC-EG方案[13]生成密鑰對(PBS,RBS)，再根據Boneh[14]等的方案為 Hi生成密鑰對(PHi,RHi)。其中，PBS為所有BS和HS節(jié)點共享的公鑰，PHi是BS與節(jié)點Hi共享的公鑰，PBS和RHi則分別為BS和Hi的私鑰。

BS預先裝載自身的密鑰對(PBS,RBS)和每個HS節(jié)點Hi的公鑰PHi。每個HS節(jié)點Hi除裝載自身的密鑰對(PHi,RHi)外，還將裝載PBS和一個用于驗證簽名的散列函數H()。

待網絡部署完畢，各分簇形成后，為保護每個簇內節(jié)點Lij和其簇頭Hi之間的通信，同樣由基站為它們生成一個密鑰對(PLij,RLij)。

3 可恢復數據的安全聚集算法

異構無線傳感器網絡中，可恢復數據的安全聚集算法的目的在于充分利用異構無線傳感器網絡的特點，在不增大甚至降低整個網絡通信開銷的基礎上實現安全的數據聚集，同時通過在基站和高資源節(jié)點恢復各傳感器原始數據的方法，使得后續(xù)操作類型不再受限。

在數據聚集過程中，簇頭和基站均利用基于橢圓曲線的密碼系統(tǒng)EC-EG，通過加法同態(tài)加密技術，用生成的公共密鑰完成隱私保護的數據聚集。同時利用基于雙線性映射的高效聚合簽名方案，將一組不同的簽名合并到一個聚合簽名中，由此可以根據簽名進行有效的安全驗證，進而實現安全的數據聚集。

獨特的數據恢復功能在加密聚合前，先將原始數據與若干個0組成的二進制數進行簡單連接，加密聚合后，再解密聚合結果，并從中取出相應位置上的二進制數，恢復原始數據。數據恢復功能的設計讓異構無線傳感器網絡中占據資源優(yōu)勢的基站和少量高資源節(jié)點在得到聚集結果的同時，可以恢復聚集前的原始數據，從而突破了大部分安全聚集算法中聚集類型嚴重受限的弊病。

算法由3部分組成：簇內數據收集和聚集、簇頭加密和簽名傳輸、基站聚集和安全驗證。

3.1 簇內數據收集和聚集

具體步驟如下。

（1）LS節(jié)點 Lij發(fā)送加密的 dij和簽名 sij給對應的 HS節(jié)點Hi。

（2）Hi接收到加密信息后，利用Lij的簽名sij驗證dij的真實性。

（3）在一定的時間周期內，Hi收集完簇內所有LS節(jié)點的感知數據后，執(zhí)行簇內聚集，并將聚集結果di作為自身數據。

3.2 簇頭加密和簽名傳輸

具體步驟如下。

（1）加密簇頭節(jié)點 Hi的 di：mi=di||0t，其中||表示簡單連接，0t表示 t個 0 組成的二進制數，t=l×(i-1)，l為傳輸信息中有效感知數據的比特數。

（2）計算 Hi的密文：ci=(ri,ai)=(ki+G,Mi+ki×Y)，其中 ki為[1,Z]內的隨機數，Z,G,Y∈PBS，Mi=map(mi)=mi×G，map()為一個將值m映射為橢圓曲線點M的函數，滿足加法同態(tài)性質。

（3）計算 Hi的簽名：si=RHi×H(di)，其中 H()為節(jié)點 Hi預裝的散列函數。

（4）Hi向基站發(fā)送數據對(ci,si)。

3.3 基站聚集和安全驗證

具體步驟如下。

（1）所有簇頭節(jié)點的聚集數據并非一跳直接傳輸至基站，如果一個簇頭節(jié)點接收到其他一個或多個簇頭的聚集結果，那么將把接收到的所有密文和簽名對應的與自身的密文和簽名求和，得到新的密文、簽名數據對，然后再向基站發(fā)送。因此基站最終聚集后將得到結果(C,S)，其中C=(R,

（3）從 M′獲得 m′：m′=rmap(M′)=m1+m2+…+mn，其中rmap()為 map()的反函數。

（4）恢復 di：利用解密函數 Decode(m′,n,l):di=m′[(i-1)×l,i×l-1]恢復并獲取 di，其中 i=1,2,…,n，di為二進制數 m′的第(i-1)×l位至i×l-1位上的數字所構成的二進制數。

（5）驗證di：基站根據已經加密的各簽名信息，檢查等式是否成立。其中e是雙線性映射，g2用于生成e中的素數階循環(huán)群G2。如果等式成立，di的完整性和真實性得以驗證，基站將接受所有di；否則拒絕。

3.4 數據恢復示例

假設分層異構無線傳感器網絡如圖1所示。網絡中有一個 BS，4個分別以 HS節(jié)點 H1、H2、H3和 H4為簇頭的簇，每個簇包含數量不等的LS節(jié)點。以H2所在簇為例，共有L21、L22、L23、L24和 L255 個 LS 節(jié)點，其他簇類似。

假設BS發(fā)出一個average查詢請求，聚集工作啟動。設H2所在簇內 5個 LS節(jié)點的感知數據 d21=5、d22=6、d23=4、d24=3、d25=2，H2接收到這些加密的感知數據后，執(zhí)行簇內average聚集，得到d2=4。其他簇類似，令其分別得到d1=5、d3=2和 d4=7。

圖1 一個分層異構無線傳感器網絡

根據d1、d2、d3和d4的值，令l=3即可滿足有效數據的傳輸需求。H2加 密 d2得 到 m2=d2||03=（100）2||（000）2=（100000）2，然后計算密文 c2和簽名 s2，并將(c2,s2)發(fā)往 BS。其他 HS節(jié)點類似，可得 m1=(101)2、m3=(010000000)2、m4=(111000000000)2。

BS將獲得的所有HS節(jié)點的密文和簽名聚集后，得到(C,S)，解密 C 可得′=M1+M2+M3+M4，再利用 rmap()函數得到 m′=m1+m2+m3+m4=(111010100101)2，然后可以恢復 d1、d2、d3和d4：

4 主要性能分析與仿真

針對本文提出的算法，首先分析了安全性及數據恢復性質，然后通過仿真，展示了算法在最短查詢周期和通信開銷兩個方面的表現。仿真中，選擇了只實現簡單網內聚集的TAG[15]算法和使用分簇結構并同時實現隱私保護和完整性驗證功能的iCPDA算法與本文算法進行比較。

4.1 安全性

根據第2.2節(jié)的攻擊模型，分析本算法在安全性方面的表現。

（1）無線通信遭竊聽

此時算法的安全性能夠得到保障。因為簇內和簇間的通信都進行了加密處理，只竊聽無線通信，攻擊者無法破解。此外，由于算法要求所有傳輸信息必須具備相應節(jié)點的簽名，而攻擊者沒有密鑰無法偽造簽名，因此不可能在通信鏈路中篡改或注入虛假信息。

（2）LS 節(jié)點被捕獲

如果攻擊者將被捕獲的LS節(jié)點偽裝成正常節(jié)點參與聚集，或者發(fā)送較為合理的偽裝數據參與聚集，目前的算法都無法檢測，不過這種攻擊的危害性很小。在本算法中，除被捕獲LS節(jié)點以外，攻擊者無法假冒其他節(jié)點的信息，也不能篡改被捕獲節(jié)點轉發(fā)的信息，其原因是無法偽造相應的簽名。

（3）HS 節(jié)點被捕獲

如果攻擊者捕獲了HS節(jié)點，情況將比較嚴重。但由于本算法中使用了橢圓曲線加密技術，簇內聚集時，如果沒有關于橢圓曲線點的加法函數，就無法完成聚集，這意味著對橢圓曲線構造方法一無所知的攻擊者，無法完成任何未經授權的聚集。

在應對共謀攻擊方面，由于采用了共享密鑰以及簽名機制，即使在網絡節(jié)點平均密度較低時，本文算法仍然較容易發(fā)現共謀攻擊，而且節(jié)點密度越大，發(fā)現共謀攻擊的能力越強。假設網絡中的節(jié)點均勻分布，當節(jié)點通信半徑R=50 m、平均節(jié)點密度取不同值時，本文算法與iCPDA算法應對共謀攻擊的能力[11]如圖2所示。

圖2 本文算法與iCPDA算法應對共謀攻擊的能力

通過以上分析可以看出，在各種攻擊面前，算法表現出非常好的安全性能。值得特別指出的是，與iCPDA算法只能驗證聚集結果的完整性不同，本文算法通過簽名機制可以驗證所有原始數據的真實性和完整性，這為恢復數據后其他操作的進行提供了可靠的保障。

4.2 數據恢復

第2.4節(jié)的示例表明，基站在獲得最終結果的同時，可以恢復所有簇頭的聚集結果。如果它們通過了安全驗證，那么在一些精度要求不高的應用環(huán)境中，很多后續(xù)操作已經可以執(zhí)行。因為同一簇內LS節(jié)點的地理位置相近，所采集數據在數值上相似甚至重復的情況非常普遍，可令各簇的聚集結果（如平均值）作為本簇值的代表，這樣基站便可輕松獲得網絡中全部感知數據近似的最大值、最小值或總和。

對精度要求較高的場合，可以借助HS節(jié)點的幫助完成各種后續(xù)操作。由于簇內聚集過程中HS節(jié)點也可同樣還原簇內各LS節(jié)點的原始數據，并進行驗證，因此基站如需其他聚集結果，只要命令每個HS節(jié)點執(zhí)行指定聚集函數即可。為充分利用HS節(jié)點強大的計算能力，聚集函數可以在網絡部署之前，以防篡改形式先行裝入HS節(jié)點。盡管這樣可能導致HS節(jié)點硬件成本上升，但由于此時大部分計算開銷已被轉移至HS節(jié)點，LS節(jié)點的設計將變得非常簡單，成本大大降低。在LS節(jié)點數量占絕對優(yōu)勢的異構無線傳感器網絡中，整體硬件成本實際上降低了。

數據恢復功能完全突破了以往由于使用各種安全機制所導致的聚集算法對聚集類型的限制，同時也節(jié)省了執(zhí)行其他聚集工作的計算和通信開銷，進而從總體上降低了網絡中的能量消耗，延長了網絡壽命。

4.3 查詢周期

本文使用最終聚集結果的準確性衡量算法查詢周期的長短，即時間效率。記基站聚集結果與由真實數據所得聚集結果的比值AR為聚集算法的準確性，理想情況下，AR＝1。在現實環(huán)境中，如果所有數據的收集、傳輸、加密和聚集工作都能在指定查詢周期內順利完成，則正確算法的AR值應該接近或達到1，如果因查詢周期結束，一些數據的處理工作沒有完成，則必然導致準確性降低，且查詢周期越短，準確性越差。另外，較長的查詢周期還可以減少無線信道內碰撞造成的數據丟失，提高準確性。因此，如果某時間點之后，算法的AR值一直穩(wěn)定在1附近，則該時間點就是算法近似的最小查詢周期。

利用TOSSIM仿真環(huán)境，將500個傳感器節(jié)點隨機部署在一個指定的區(qū)域內，分別模擬執(zhí)行TAG算法、iCPDA（pc分別取 0.1、0.2、0.3）算法和本文算法（n 分別取 50、100、150）各50次，計算平均值，得到查詢周期和通信開銷的結果分別如圖3和圖4所示。其中，pc是iCPDA算法中節(jié)點成為簇頭節(jié)點的概率，n為本文算法中簇頭節(jié)點的個數，當pc分別取0.1、0.2和0.3時，iCPDA算法中簇頭節(jié)點的個數剛好為50、100和150，與n的取值一一對應。

圖3 3種算法的查詢周期

圖4 3種算法的通信開銷

對于本文的算法，在n=150時，其查詢周期大約為20 s，基本與不帶隱私保護和完整性驗證功能的TAG算法相當，這是因為此時網內HS節(jié)點數量較多，每個簇內的成員較少，利用HS節(jié)點的資源優(yōu)勢，簇內數據收集、加密、聚集等工作得以在較短時間內完成，從而縮短了整個網絡的查詢周期；當n=100和50時，本文算法的查詢周期分別增大至30 s和45 s附近，這說明隨著HS節(jié)點數量的減少，簇內數據收集和處理的工作量增大，延長了查詢周期。雖然iCPDA算法的查詢周期隨pc值的增大而減小，本文算法的查詢周期也隨n值的增大而減小，兩者趨勢相同，但本文算法對應的查詢周期更短，且優(yōu)勢明顯。正是由于充分利用了HS節(jié)點強大的計算、通信能力，本文算法不但得到了比iCPDA算法更高的安全保障，而且提高了時間效率。

4.4 通信開銷

已有大量研究證明，在無線傳感器網絡中數據通信的能量消耗遠大于計算開銷，而且本文算法中的大部分計算工作已經轉移至計算能力強大的HS節(jié)點，因此完全可以使用通信開銷衡量整個網絡的能耗。

3種算法的通信開銷與查詢周期關系不大，其中TAG算法通信開銷最低，因為其功能最簡單。iCPDA與本文算法的通信開銷都隨著pc或n值的增大而增大，因為此時會有更多的簇，需要更多的數據傳輸，可見在異構無線傳感器網絡中，并非HS節(jié)點越多越好。具體來說，除n=50時本文算法的通信開銷超出對應iCPDA算法較多外，其余只多出少許，相差不大。本文算法通信量較大，主要是算法中所傳輸的數據分組信息豐富、長度較長所致?？紤]到本文算法可以提供更高級別的安全保障以及數據恢復為后續(xù)工作節(jié)省的能量消耗，聚集過程中的通信開銷是可以接受的，綜合衡量應該比iCPDA算法有所降低。

5 結束語

目前的無線傳感器網絡中，低能耗的聚集算法安全性不足，安全聚集算法又帶來高能耗和聚集類型單一等問題，本文在更適應實際應用需求的異構無線傳感器網絡中，提出了一個帶數據恢復功能的安全聚集算法。

算法較好地實現了數據的隱私保護，并具備驗證數據真實性和完整性的功能。算法特殊的數據恢復能力，使聚集節(jié)點能夠恢復聚集前的原始數據。利用異構無線傳感器網絡中的節(jié)點差異，算法還盡可能將計算開銷從LS節(jié)點向HS節(jié)點轉移，以提高效率、降低LS節(jié)點的能耗。通過性能分析和仿真實驗，驗證了算法的高效性和安全性，雖然僅從一次聚集過程看，通信量稍大，但恢復的原始數據可為后續(xù)聚集節(jié)省不少開銷，因此實際能耗是令人滿意的。

鑒于無線傳感器網絡能量受限的突出特征和異構網絡中節(jié)點擁有強大的計算和通信能力的特點，如何進一步降低單次聚集過程的能耗、更加充分利用節(jié)點等將是以后努力的方向。

1 Duarte-Melo E J,Liu M Y.Analysis of energy consumption and lifetime of heterogeneous wireless sensor networks.Proceedings of the GLOBECOM 2002,New York,USA,2002:21～25

2 Yarvis M, Kushalnagar N, Singh H, et al. Exploiting heterogeneity in sensor networks.Proceedings of 24th Annual Joint Conference of the IEEE Computer and Communications Societies(INFOCOM 2005),Miami,FL,USA,2005:878～890

3 Malhotra B,Nikolaidis I,Nascimento M A.Aggregation convergecast scheduling in wireless sensor networks.Wireless Network,2011,17(2):319～335

4 Desnoyers P,Ganesan D,Li H,et al.PRESTO:a predictive storage architecture for sensor networks.Proceedings of the Tenth Conference on Hot Topics in Operating Systems(HotOS-X),Santa Fe,New Mexico,USA,2005:231～236

5 Madden S,Franklin M J,Hellerstein J M.TAG:a tiny aggregation service for Ad Hoc sensor networks.Proceedings of the 5th Symposium on Operating Systems Design and Implementation,New York,USA,2002:131～146

6 Deshpande A,Nath S,Gibbons P B,et al.Cache-and-query for wide area sensor databases.Proceedings of the 2003 ACM SIGMOD International Conference on Management of Data,San Diego,CA,USA,2003:503～514

7 Tang X,Xu J.Extending network lifetime for precision constrained data aggregation in wireless sensor networks.Proceedings of the IEEE INFOCOM,Barcelona,Catalunya,Spain,2006:755～766

8 Yao J B,Wen G J.Protecting classification privacy data aggregation in wireless sensor networks.Proceedings of the 4th International Conference on Wireless Communication,Networking and Mobile Computing(WiCOM),Dalian,China,2008:1～5

9 楊庚,王安琪,陳正宇等.一種低耗能的數據融合隱私保護算法.計算機學報,2011,34(5):792～800

10 Papadopoulos S,Kiayias A,Papadias D.Secure and efficient innetwork processing of exact SUM queries.Proceedings of the 27th International Conference on Data Engineering(ICDE),Hannover,Germany,2011:517～528

11 He W,Liu X,Nguyen H,et al.A cluster-based protocol to enforce integrity and preserve privacy in data aggregation.Proceedings of the 29th IEEE International Conference on Distributed Computing Systems Workshops,Montreal,QC,Canada,2009:14～19

12 Nath S,Yu H,Chan H.Secure outsourced aggregation via one way chains.Proceedings ofthe ACM SIGMOD International Conference on Managementof Data,Rhode Island,USA,2009:31～34

13 Mykletun E,Girao J,Westhoff D.Public key based crypto schemes for data concealment in wireless sensor networks.Proceedings of the 2006 IEEE International Conference on Communications (ICC 2006),Istanbul,Turkey,2006:2288～2295

14 Boneh D,Gentry C,Lynn B,etal.Aggregate and verifiably encrypted signatures from bilinearmaps.Proceedings ofthe 22nd International Conference on Theory and Applications of Cryptographic Techniques(Eurocrypt 2003),Warsaw,Poland,2003:416～432

15 Madden S,Franklin M J,Hellerstein J M.TAG:a tiny aggregation service for Ad Hoc sensor networks.Proceedings of the 5th Symposium on Operating Systems Design and Implementation,New York,USA,2002:131～146