丁 超楊立君吳 蒙（南京郵電大學(xué)計(jì)算機(jī)學(xué)院 南京 210003）（南京郵電大學(xué)通信與信息工程學(xué)院 南京 210003）（南京郵電大學(xué)寬帶無線通信與傳感網(wǎng)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 南京 210003）

一種同時(shí)保障隱私性與完整性的無線傳感器網(wǎng)絡(luò)可恢復(fù)數(shù)據(jù)聚合方案

丁 超①楊立君①吳 蒙*②③
①（南京郵電大學(xué)計(jì)算機(jī)學(xué)院 南京 210003）②（南京郵電大學(xué)通信與信息工程學(xué)院 南京 210003）③（南京郵電大學(xué)寬帶無線通信與傳感網(wǎng)技術(shù)教育部重點(diǎn)實(shí)驗(yàn)室 南京 210003）

該文針對(duì)無線傳感器網(wǎng)絡(luò)（WSNs）數(shù)據(jù)聚合與安全目標(biāo)之間的矛盾，基于隱私同態(tài)和聚合消息驗(yàn)證碼技術(shù)提出一種同時(shí)保障數(shù)據(jù)隱私性與完整性的可恢復(fù)數(shù)據(jù)聚合方案。該方案支持由聚合結(jié)果恢復(fù)出各感知數(shù)據(jù)，從而一方面能夠驗(yàn)證感知數(shù)據(jù)和聚合數(shù)據(jù)的完整性，另一方面能夠?qū)υ紨?shù)據(jù)進(jìn)行任意所需的處理，不受聚合函數(shù)類型的限制。安全分析表明該方案不僅支持?jǐn)?shù)據(jù)隱私性、完整性，還能夠抵抗未授權(quán)聚合攻擊，聚合節(jié)點(diǎn)俘獲攻擊，且能夠在一定范圍內(nèi)檢測(cè)及定位惡意節(jié)點(diǎn)。性能分析表明，該方案相比其他算法在通信和計(jì)算開銷方面具有顯著優(yōu)勢(shì)。為了評(píng)估方案性能和可行性，基于TinyOS給出了算法的原型實(shí)現(xiàn)。實(shí)驗(yàn)結(jié)果表明，該方案開銷較低，對(duì)于資源受限的WSNs是高效可行的。

無線傳感器網(wǎng)絡(luò)；數(shù)據(jù)聚合；隱私保護(hù)；完整性保護(hù)；原型實(shí)現(xiàn)

1 引言

無線傳感器網(wǎng)絡(luò)（Wireless Sensor Networks， WSNs）是由大量低成本的感知節(jié)點(diǎn)通過無線多跳傳輸組成的自組織網(wǎng)絡(luò)系統(tǒng)，其目的是協(xié)作采集和處理感知數(shù)據(jù)，可廣泛應(yīng)用于軍事追蹤、醫(yī)療監(jiān)護(hù)、環(huán)境監(jiān)測(cè)等諸多領(lǐng)域。感知節(jié)點(diǎn)通常由電池供電，能量嚴(yán)格受限，難以傳輸大量的感知數(shù)據(jù)。使用數(shù)據(jù)聚合技術(shù)能夠有效減少網(wǎng)內(nèi)數(shù)據(jù)傳輸量，降低能耗，延長(zhǎng)網(wǎng)絡(luò)壽命。然而，數(shù)據(jù)聚合技術(shù)與安全目標(biāo)之間存在矛盾。一方面，數(shù)據(jù)隱私性要求感知節(jié)點(diǎn)對(duì)感知數(shù)據(jù)進(jìn)行加密傳輸，并期望加密數(shù)據(jù)僅由基站（Base Station， BS）解密以獲得端到端數(shù)據(jù)隱私性，而數(shù)據(jù)聚合技術(shù)期望各級(jí)聚合節(jié)點(diǎn)對(duì)明文數(shù)據(jù)執(zhí)行聚合，以獲得能量效率的最大化；另一方面，數(shù)據(jù)完整性要求數(shù)據(jù)在傳輸過程中不被篡改，而對(duì)各數(shù)據(jù)進(jìn)行聚合處理勢(shì)必會(huì)改變?cè)几兄獢?shù)據(jù)。因此，研究在聚合過程中提供數(shù)據(jù)隱私保護(hù)和完整性保護(hù)功能非常具有挑戰(zhàn)性。

為了解決數(shù)據(jù)聚合與數(shù)據(jù)隱私性之間的矛盾，近年來研究者引入隱私同態(tài)技術(shù)，提出了基于隱私同態(tài)的安全數(shù)據(jù)聚合方案［14］-。利用隱私同態(tài)中間節(jié)點(diǎn)直接對(duì)加密數(shù)據(jù)進(jìn)行聚合，無需解密，保護(hù)了數(shù)據(jù)的端到端隱私性。然而，現(xiàn)有的同態(tài)加密算法通常只滿足加法或乘法等簡(jiǎn)單運(yùn)算，所支持的聚合函數(shù)類型十分有限。另一方面，為了實(shí)現(xiàn)聚合傳輸中的數(shù)據(jù)完整性保護(hù)，研究者基于延遲驗(yàn)證、承諾-證明或回溯檢驗(yàn)等原理提出了一些安全數(shù)據(jù)聚合方案［57］-。逐跳地驗(yàn)證數(shù)據(jù)完整性雖然較易實(shí)現(xiàn)，但通常需要數(shù)據(jù)明文的參與，且通信開銷至少與網(wǎng)絡(luò)規(guī)模呈線性關(guān)系，甚至抵消了聚合帶來的通信增益。由于消息在參與聚合時(shí)通常會(huì)損失熵，因此提供端到端的聚合完整性驗(yàn)證是非常困難的。

目前，對(duì)于同時(shí)支持端到端數(shù)據(jù)隱私與完整性保護(hù)的安全聚合研究還比較少。Ozdemir等人［8］提出一種數(shù)據(jù)聚合與認(rèn)證協(xié)議，將錯(cuò)誤數(shù)據(jù)檢測(cè)、機(jī)密性與數(shù)據(jù)聚合結(jié)合在一起。但該方案拓?fù)涫芟蓿也荒艿挚构?jié)點(diǎn)俘獲攻擊。文獻(xiàn)［9］提出一種安全的WSNs數(shù)據(jù)融合隱私保護(hù)方案，將節(jié)點(diǎn)的私密因子與原始數(shù)據(jù)構(gòu)成復(fù)數(shù)，采用對(duì)稱同態(tài)加密方法對(duì)復(fù)數(shù)進(jìn)行加密，從而以較低的開銷實(shí)現(xiàn)安全數(shù)據(jù)融合。但是該方案對(duì)完整性的保護(hù)較弱，攻擊者能夠?qū)γ芪膶?shí)部加入任意虛假數(shù)據(jù)而不被察覺。文獻(xiàn)［10］結(jié)合同態(tài)加密和基于雙線性對(duì)的簽名機(jī)制提出一種可恢復(fù)的隱藏?cái)?shù)據(jù)聚合協(xié)議 RCDA （Recoverable Concealed Data Aggregation），確保聚合數(shù)據(jù)的隱私性和完整性。但這些基于數(shù)字簽名的方案往往計(jì)算復(fù)雜，開銷很高，并不實(shí)用。文獻(xiàn)［11］提出一種保護(hù)完整性的分層隱私數(shù)據(jù)聚合協(xié)議 IPHCDA（Integrity Protecting Hierarchical Concealed Data Aggregation），利用同態(tài)加密和消息驗(yàn)證碼（Message Authentication Code， MAC）技術(shù)提供聚合數(shù)據(jù)的隱私性和完整性，并支持分層數(shù)據(jù)聚合。文獻(xiàn)［12］基于同態(tài)加密和分而治之的原理提出一種安全增強(qiáng)的數(shù)據(jù)聚合協(xié)議。但以上兩種方案開銷較高，對(duì)于大規(guī)模網(wǎng)絡(luò)并不實(shí)用。文獻(xiàn)［13］結(jié)合對(duì)稱同態(tài)加密和秘密共享提出一種安全數(shù)據(jù)聚合機(jī)制，支持多種聚合函數(shù)并能返回精確的聚合結(jié)果。但是由于秘密密鑰占的空間太大導(dǎo)致數(shù)據(jù)傳輸效率很低。

針對(duì)上述問題，本文基于隱私同態(tài)和聚合MAC技術(shù)［14］提出一種高效的同時(shí)保障數(shù)據(jù)隱私性與完整性的可恢復(fù)數(shù)據(jù)聚合方案。該方案能夠?yàn)閃SNs數(shù)據(jù)聚合同時(shí)提供端到端數(shù)據(jù)隱私性與數(shù)據(jù)完整性。在本文方案中，BS能夠從最終聚合結(jié)果中恢復(fù)出各感知數(shù)據(jù)，從而一方面能夠驗(yàn)證各感知數(shù)據(jù)和聚合數(shù)據(jù)的完整性，另一方面能夠?qū)υ紨?shù)據(jù)進(jìn)行任意所需的處理，不受聚合函數(shù)類型的限制。安全分析表明本文方案不僅能夠抵抗大多數(shù)一般攻擊，還能夠在一定范圍內(nèi)檢測(cè)并定位惡意節(jié)點(diǎn)。性能分析表明，本文方案相比同類機(jī)制在通信和計(jì)算開銷方面具有顯著優(yōu)勢(shì)。為了評(píng)估方案的實(shí)際性能和可行性，本文基于TinyOS平臺(tái)給出了算法的原型實(shí)現(xiàn)。實(shí)驗(yàn)數(shù)據(jù)表明，本文方案資源開銷較低，對(duì)于資源受限的WSNs是高效可行的。

2 準(zhǔn)備工作

2.1 系統(tǒng)模型

本文考慮一類由一個(gè) BS和若干感知節(jié)點(diǎn)（Sensor Node， SN）構(gòu)成的基于簇狀拓?fù)涞腤SNs。BS作為WSNs連接外部用戶或網(wǎng)絡(luò)的網(wǎng)關(guān)，通常具有充足的帶寬、計(jì)算能力和存儲(chǔ)空間。感知節(jié)點(diǎn)通常是資源受限的。部署之后，感知節(jié)點(diǎn)根據(jù)某種分簇算法分為若干簇，并選出簇頭節(jié)點(diǎn)（Cluster Head， CH）。SN采集所在區(qū)域的數(shù)據(jù)，并將數(shù)據(jù)發(fā)送給所在簇的CH。CH接收各子節(jié)點(diǎn)的感知數(shù)據(jù)，執(zhí)行聚合操作，并將聚合數(shù)據(jù)轉(zhuǎn)發(fā)至BS。一個(gè)典型的基于簇的WSNs如圖1所示。

2.2 同態(tài)加密

隱私同態(tài)或同態(tài)加密［15］是一類特殊的加密算法，支持在不解密的情況下直接對(duì)密文數(shù)據(jù)進(jìn)行運(yùn)算。下面給出同態(tài)加密的定義。

定義1假設(shè) EK（·）是一個(gè)加密函數(shù)，K為加密密鑰，DK'（·）是相應(yīng)的解密函數(shù)。如果在某種運(yùn)算操作°下存在一種有效的算法Alg滿足

圖1 基于簇的WSNs網(wǎng)絡(luò)模型

那么 EK是一個(gè)運(yùn)算°下的同態(tài)加密。

KeyGen（τ）：給定一個(gè)安全參數(shù)τ，選定p階有限域 Fp上的一條橢圓曲線E， p為大素?cái)?shù)。 E）表示曲線E上所有點(diǎn)的集合， E（Fp）在加法運(yùn)算下構(gòu)成一個(gè)加法交換群，以無窮遠(yuǎn)點(diǎn)O為單位元。令點(diǎn)P為曲線E的基點(diǎn)，階為素?cái)?shù)n。四元組D = （p， E， P， n）作為橢圓曲線參數(shù)。隨機(jī)選擇作為私鑰，計(jì)算Y = xP作為公鑰，返回公私鑰對(duì)（x，Y）。

Enc（m，Y）：對(duì)于給定的參數(shù)D，公鑰Y和明文m ∈ ［0， p - 1］，按以下步驟加密明文：

（1）將明文映射為曲線上的點(diǎn)M = map（m）；

（2）選擇隨機(jī)數(shù) k ∈R［1，n - 1］；

（3）計(jì)算R = k* P ，S = M + k* Y ，返回密文C=（R，S）。

Dec（C，x）：對(duì)于給定的參數(shù)D，私鑰x和密文C，按以下步驟解密密文。

（1）計(jì)算 M =- x *R + S =- x *k*P +M+x *k * P；

（2）計(jì)算m=rmap（M），返回明文m。

2.3 聚合消息驗(yàn)證碼

聚合消息驗(yàn)證碼（aggregate MAC）［14］允許將t個(gè)不同發(fā)送者對(duì)各自產(chǎn)生的t個(gè)不同消息分別產(chǎn)生的t個(gè)不同的認(rèn)證標(biāo)簽聚合成一個(gè)認(rèn)證標(biāo)簽，驗(yàn)證者通過該聚合的認(rèn)證標(biāo)簽仍然能夠驗(yàn)證各消息的完整性。聚合MAC實(shí)質(zhì)上可以由任何標(biāo)準(zhǔn)的MAC構(gòu)造生成，下面我們給出本文使用的一種聚合MAC。

定義2對(duì)于給定的安全參數(shù)n，一個(gè)聚合MAC機(jī)制由一組概率多項(xiàng)式時(shí)間算法（M ac，Agg，Vrfy）構(gòu)成，具體構(gòu)造如下：

（1）認(rèn)證算法Mac：輸入為密鑰 k∈ ｛0 ，1｝n和消息 m∈ ｛0 ，1｝*，算法Mac輸出一個(gè)對(duì)消息m產(chǎn)生的認(rèn)證標(biāo)簽tag，記為tag ←Mack（m）。

（2）聚合算法Agg：輸入為 l個(gè)消息/密鑰對(duì)（mi，ki），i = 1，2，…， l ，以及相應(yīng)的認(rèn)證標(biāo)簽 tag1，…，tagl，算法Agg通過異或?qū)⑺袠?biāo)簽值進(jìn)行聚合，輸出聚合的認(rèn)證標(biāo)簽 tag = tag1⊕ tag2⊕ … ⊕tagl。

（3）驗(yàn)證算法Vrfy：輸入為l個(gè)消息/密鑰對(duì)（mi，ki）， i= 1，2，…， l ，以及聚合的認(rèn)證標(biāo)簽 tag，算法Vrfy計(jì)算，當(dāng)且僅當(dāng)tag'=tag時(shí)，驗(yàn)證通過，輸出1；否則，驗(yàn)證失敗，輸出0。

3 一種同時(shí)保障隱私性與完整性的可恢復(fù)數(shù)據(jù)聚合方案

本文所提出的方案由 Setup， Encrypt-MAC，Aggregate和 Decrypt-Verify 4個(gè)函數(shù)構(gòu)成。函數(shù)Setup用于為BS和各感知節(jié)點(diǎn)產(chǎn)生必要的參數(shù)和密鑰。感知節(jié)點(diǎn)SN需要向簇頭CH發(fā)送數(shù)據(jù)時(shí)，執(zhí)行函數(shù)Encrypt-MAC并將結(jié)果發(fā)送給CH。當(dāng)CH接收到所有成員節(jié)點(diǎn)發(fā)送的數(shù)據(jù)時(shí)，執(zhí)行函數(shù)Aggregate來聚合這些數(shù)據(jù)，并將聚合結(jié)果發(fā)送給BS。BS首先通過解密聚合密文提取各感知數(shù)據(jù)，然后基于相應(yīng)的聚合認(rèn)證信息驗(yàn)證各感知數(shù)據(jù)的完整性和真實(shí)性。為了表述簡(jiǎn)單，我們考慮網(wǎng)內(nèi)只有一個(gè)BS的情況。我們選擇簇1作為例子，假設(shè)簇內(nèi)有η個(gè)感知節(jié)點(diǎn) SN1， SN2，…， SNη，其中SNη為簇頭節(jié)點(diǎn)。

Setup：在網(wǎng)絡(luò)部署之前，管理系統(tǒng)選擇一條合適的橢圓曲線，運(yùn)行EC-EG算法的KeyGen（τ）函數(shù)，產(chǎn)生橢圓曲線參數(shù)D， BS的公私鑰對(duì) （xBS，YBS）。每個(gè)感知節(jié)點(diǎn)SNi預(yù)先存入?yún)?shù)D， BS的公鑰 YBS，以及其與 BS共享的密鑰ski。BS保存自己的私鑰xBS以及與各節(jié)點(diǎn)共享的密鑰ski。

Encrypt-MAC：感知節(jié)點(diǎn)SNi要向CH發(fā)送感知數(shù)據(jù)時(shí)，先執(zhí)行以下步驟：

（1）每個(gè)感知節(jié)點(diǎn)SNi對(duì)感知數(shù)據(jù)datai計(jì)算消息驗(yàn)證碼

（2）對(duì)感知數(shù)據(jù)進(jìn)行編碼，Encode（d atai）:mi=

（3）將編碼后的消息im映射為曲線上的點(diǎn)iM= map （mi）；

（5）感知節(jié)點(diǎn)向CH發(fā)送（ci， tagi）。

Aggregate: CH在一段時(shí)間內(nèi)接收到所有成員節(jié)點(diǎn)發(fā)送的消息對(duì)（ci， tagi）后，分別對(duì)密文和認(rèn)證信息進(jìn)行聚合：

（3）將聚合結(jié)果（C ，Tag）發(fā)送給BS。

Decrypt-Verify：接收到來自 CH的聚合結(jié)果（Tag，C）之后，BS按以下步驟恢復(fù)各感知數(shù)據(jù)，并驗(yàn)證各感知數(shù)據(jù)的完整性：

（1）BS以私鑰BSx 解密C獲得聚合明文M，即

（4）BS利用密鑰ski對(duì)每個(gè)感知數(shù)據(jù)datai計(jì)算MAC，并驗(yàn)證等式）是否成立。若等式成立，則接收這些數(shù)據(jù)；否則，則拒絕接收。

同理，BS也接收到來自其他簇的聚合密文和聚合認(rèn)證信息。根據(jù)最終的聚合數(shù)據(jù)，BS能夠恢復(fù)出網(wǎng)內(nèi)每個(gè)感知節(jié)點(diǎn)采集的數(shù)據(jù)，并驗(yàn)證其完整性。此外，BS能夠?qū)謴?fù)的感知數(shù)據(jù)進(jìn)行各種所需要的處理，不受聚合函數(shù)類型的限制。

4 仿真與性能分析

4.1 安全分析

文獻(xiàn)［16］中總結(jié)了安全數(shù)據(jù)聚合機(jī)制需要具備的安全屬性，包括數(shù)據(jù)隱私性、數(shù)據(jù)完整性、阻止未授權(quán)聚合以及抵抗聚合節(jié)點(diǎn)俘獲攻擊。本文據(jù)此對(duì)方案進(jìn)行安全分析，結(jié)果表明本文方案不僅滿足以上所需的安全屬性，還能夠在一定范圍內(nèi)檢測(cè)并定位惡意節(jié)點(diǎn)。

（1）數(shù)據(jù)隱私性：方案中所有感知數(shù)據(jù)都以 BS的公鑰加密，從而對(duì)網(wǎng)內(nèi)所有中間節(jié)點(diǎn)都保持其隱私性。方案所采用加密機(jī)制的安全性基于橢圓曲線離散對(duì)數(shù)問題（ECDLP），且加密過程使用隨機(jī)數(shù)，因此能夠抵抗密碼分析攻擊和已知明文攻擊。由于無法獲得 BS的私鑰，攻擊者即使俘獲簇頭節(jié)點(diǎn)，也無法解密獲得聚合明文數(shù)據(jù)?？梢?，本文方案能夠保障聚合過程中的端到端數(shù)據(jù)隱私性。

（2）數(shù)據(jù)完整性：方案中感知節(jié)點(diǎn)為每個(gè)感知數(shù)據(jù)產(chǎn)生相應(yīng)的MAC，所使用的聚合MAC算法滿足選擇密文攻擊下的存在不可偽造性，其形式化安全證明可參考文獻(xiàn)［14］。若攻擊者俘獲簇頭節(jié)點(diǎn)，則可能偽造或篡改聚合密文，但是無法為偽造的虛假聚合密文產(chǎn)生合法的聚合MAC。因此，本文方案能夠抵抗針對(duì)數(shù)據(jù)完整性的攻擊，如篡改、偽造和注入虛假數(shù)據(jù)。

（3）抵抗未授權(quán)聚合攻擊：該安全需求定義在較強(qiáng)假設(shè)下，即假設(shè)未俘獲任何節(jié)點(diǎn)的情況下，攻擊者不需任何附加信息就能執(zhí)行未授權(quán)聚合。本文方案所使用的加密機(jī)制是基于橢圓曲線密碼學(xué)（Elliptic Curve Cryptography， ECC）的，聚合操作需要ECC點(diǎn)加函數(shù)，而攻擊者在沒有曲線構(gòu)成知識(shí)的情況下是不能執(zhí)行未授權(quán)聚合的。因此，本文方案能夠抵抗未授權(quán)聚合攻擊。

（4）抵抗聚合節(jié)點(diǎn)俘獲攻擊：若攻擊者俘獲簇頭（聚合）節(jié)點(diǎn)，則可能破解或篡改聚合數(shù)據(jù)。本文方案中，簇頭節(jié)點(diǎn)不存儲(chǔ)任何密鑰信息。即使攻擊者俘獲簇頭節(jié)點(diǎn)，由于無法獲得 BS的私鑰，仍然無法解密聚合密文或感知密文。攻擊者可能篡改聚合密文，但無法為偽造的密文產(chǎn)生合法的聚合MAC?？梢?，本文方案能夠抵抗聚合節(jié)點(diǎn)俘獲攻擊。

（5）檢測(cè)惡意節(jié)點(diǎn)：當(dāng)感知節(jié)點(diǎn)被攻擊者俘獲，則成為一個(gè)惡意節(jié)點(diǎn)。網(wǎng)內(nèi)惡意節(jié)點(diǎn)能夠發(fā)送虛假數(shù)據(jù)及相應(yīng) MAC，旨在使最終聚合結(jié)果偏離正確值。當(dāng)虛假數(shù)據(jù)值超出定義的合理范圍時(shí)，本文方案能夠檢測(cè)出這類攻擊并定位惡意節(jié)點(diǎn)。例如，圖1示例中節(jié)點(diǎn) SN2被俘獲，假設(shè) SN2對(duì) data2=（01 01）2= 5計(jì)算MAC，加密明文 m2=（01 011000）2得到密文 c2， m2的后4位不是全零，可見這不是一個(gè)合法的明文。當(dāng)接收到聚合結(jié)果后，BS執(zhí)行Decrypt-Verify函數(shù)時(shí)，很明顯驗(yàn)證聚合MAC無效。為了定位惡意節(jié)點(diǎn)，BS要求簇頭節(jié)點(diǎn)發(fā)送其所有接收的（ci，tagi）。BS提取每個(gè) mi，則能夠發(fā)現(xiàn) m2的格式不正確，從而檢測(cè)出 SN2為惡意節(jié)點(diǎn)。假設(shè) SN2將數(shù)據(jù)篡改為 data'2= （11 01）2= 13，對(duì) data'2計(jì)算MAC，并加密明文 m2= （11 010000）2，那么由于 m2的格式在合理范圍內(nèi)，BS不能檢測(cè)出 SN2是惡意節(jié)點(diǎn)。遺憾的是，如果惡意節(jié)點(diǎn)發(fā)送的虛假數(shù)據(jù)在合理范圍內(nèi)，目前所有安全機(jī)制都無法檢測(cè)這類攻擊。

4.2 性能分析

本文從計(jì)算開銷和通信開銷兩個(gè)方面來分析方案的性能。我們選擇3種基于公鑰隱私同態(tài)的安全數(shù)據(jù)聚合方案作為對(duì)比方案，分別是僅支持?jǐn)?shù)據(jù)隱私性的EC-EG［3］；支持?jǐn)?shù)據(jù)隱私性和完整性保護(hù)的RCDA［10］以及IPHCDA［11］。

（1）計(jì)算開銷：本文方案利用EC-EG加密機(jī)制保障數(shù)據(jù)隱私性，其主要參數(shù)和運(yùn)算皆選自有限域Fp上的橢圓曲線E。解密和完整性驗(yàn)證操作由計(jì)算資源充足的 BS執(zhí)行，因此我們主要考慮感知節(jié)點(diǎn)和簇頭聚合節(jié)點(diǎn)上的開銷。感知節(jié)點(diǎn)主要執(zhí)行Encrypt-MAC函數(shù)，需要執(zhí)行兩個(gè)|p| bit標(biāo)量點(diǎn)乘，一個(gè)|p| bit點(diǎn)加運(yùn)算，以及一個(gè)Hash函數(shù)；簇頭節(jié)點(diǎn)執(zhí)行Aggregate函數(shù)，當(dāng)簇成員數(shù)量為（η-1）時(shí)，需要2（η - 2）個(gè)|p| bit點(diǎn)加運(yùn)算和（η - 2）個(gè)異或（XOR）運(yùn)算。

為獲得等效于1024 bit RSA的安全性，本文選擇參數(shù)p為160 bit的大素?cái)?shù)。假設(shè)在相同的系統(tǒng)模型和安全等級(jí)下，本文方案與 EC-EG， RCDA和IPHCDA 3種方案的計(jì)算開銷對(duì)比情況，如表1所示。其中，簇頭節(jié)點(diǎn)的開銷為兩個(gè)簇成員數(shù)據(jù)聚合的開銷，H表示Hash函數(shù)， M160， M271和 Mn分別表示160 bit， 271 bit和n bit標(biāo)量點(diǎn)乘， A160， A271和 An分別表示160 bit， 271 bit和n bit橢圓曲線點(diǎn)加，n為為341 bit的素?cái)?shù)。

表1 計(jì)算開銷對(duì)比

由表 1可知，4種方案分別基于不同的數(shù)學(xué)基礎(chǔ)，無法直接比較。為了直觀地比較4種方案的計(jì)算開銷，我們選擇1024 bit模乘作為基本單位。根據(jù)文獻(xiàn)［3］提供的方法，將4種方案的計(jì)算開銷轉(zhuǎn)換為基本單位（1024 bit模乘）的個(gè)數(shù)來進(jìn)行比較分析，對(duì)比結(jié)果如圖2和圖3所示。

由圖2和圖3結(jié)果所示，在感知節(jié)點(diǎn)上，由于所使用的模數(shù)較小，本文方案和EC-EG的計(jì)算開銷最低，本文方案相比EC-EG只增加了一個(gè)Hash函數(shù)運(yùn)算。計(jì)算Hash函數(shù)的開銷與標(biāo)量點(diǎn)乘和點(diǎn)加等公鑰運(yùn)算相比是可忽略的。RCDA的計(jì)算開銷是本文方案的約3.4倍，IPHCDA的計(jì)算開銷遠(yuǎn)遠(yuǎn)高于本文方案。在簇頭節(jié)點(diǎn)上，本文方案相比EC-EG只增加了一個(gè)異或運(yùn)算，這與點(diǎn)加運(yùn)算相比也是可忽略的。RCDA的聚合開銷是本文方案的約2.5倍，IPHCDA在k =2和k =3時(shí)的聚合開銷分別是本文方案的約41.6倍和73.9倍?？梢姡疚姆桨概c同類方案相比在計(jì)算開銷方面有顯著優(yōu)勢(shì)。

（2）通信開銷：我們選擇有限域 F160上的橢圓曲線E作為EC-EG加密機(jī)制的參數(shù)。借助點(diǎn)壓縮技術(shù)，E的一個(gè)點(diǎn)（x， y）可表示為161 bit（21 Byte）。本文方案中各感知節(jié)點(diǎn)發(fā)送的消息包括一個(gè)密文和一個(gè) MAC，消息格式為其中，密文ci= （Ri，Si）是E上的兩個(gè)點(diǎn)，表示為42 Byte；認(rèn)證標(biāo)簽tagi采用 HMAC計(jì)算，表示為 128 bit（16 Byte）。因此，每個(gè)節(jié)點(diǎn)（包括感知節(jié)點(diǎn)和簇頭節(jié)點(diǎn)）發(fā)送的消息大小為58 Byte（本文不考慮數(shù)據(jù)包封裝帶來的開銷）。在相同安全等級(jí)要求下，RCDA方案中產(chǎn)生的簽名表示為34 Byte，各感知節(jié)點(diǎn)發(fā)送的消息大小為 76 Byte。IPHCDA方案中密文大小為q為341bit的素?cái)?shù)，k表示節(jié)點(diǎn)部署區(qū)域的個(gè)數(shù)，當(dāng)k =3和k =4時(shí)，密文為171 Byte和214 Byte，對(duì)密文計(jì)算的MAC（如HMAC）表示為16 Byte。本文方案與 EC-EG， RCDA， IPHCDA 3種方案的通信開銷對(duì)比如圖4所示。

由圖4所示可知，本文方案相比RCDA節(jié)省了18 Byte，相比IPHCDA在k =3和k =4時(shí)分別節(jié)省了129 Byte和172 Byte?？梢?，本文方案相比同類機(jī)制在通信開銷方面優(yōu)勢(shì)明顯。另外，相比于EC-EG，本文方案提供數(shù)據(jù)完整性保護(hù)，并支持多種聚合函數(shù)，而通信開銷僅增加了16 Byte。

5 原型實(shí)現(xiàn)與性能評(píng)估

圖2 感知節(jié)點(diǎn)的計(jì)算開銷對(duì)比

圖3 簇頭節(jié)點(diǎn)的計(jì)算開銷對(duì)比

圖4 通信開銷對(duì)比

為了評(píng)估方案應(yīng)用于具體傳感器節(jié)點(diǎn)上的性能與可行性，我們基于TinyOS平臺(tái)給出算法的原型實(shí)現(xiàn)，并基于傳感器網(wǎng)絡(luò)研究中廣泛使用的Crossbow MICA2節(jié)點(diǎn)分析算法的計(jì)算開銷和存儲(chǔ)占用開銷。算法原型實(shí)現(xiàn)由管理系統(tǒng)的離線操作、BS節(jié)點(diǎn)和傳感器節(jié)點(diǎn)的在線操作3個(gè)部分構(gòu)成。其中，BS節(jié)點(diǎn)和傳感器節(jié)點(diǎn)的線上操作均采用NesC語言開發(fā)，并結(jié)合RELIC密碼算法庫(kù)［17］實(shí)現(xiàn)相關(guān)密碼運(yùn)算。在 NIST建議的 80 bit安全強(qiáng)度（等效于RSA-1024的安全性）下，本文采用素?cái)?shù)域上的標(biāo)準(zhǔn)SECG Secp160r1曲線來實(shí)現(xiàn)EC-EG密碼算法，并采用HMAC來實(shí)現(xiàn)聚合MAC算法。本文主要關(guān)注網(wǎng)絡(luò)中感知節(jié)點(diǎn)和簇頭節(jié)點(diǎn)在執(zhí)行方案過程中的計(jì)算開銷和存儲(chǔ)占用，因此這里僅討論方案中傳感器節(jié)點(diǎn)在線運(yùn)行的性能。

5.1 計(jì)算開銷

根據(jù) 4.2節(jié)的分析，本文方案中對(duì)感知數(shù)據(jù)執(zhí)行一次編碼和加密共需2個(gè)160 bit點(diǎn)乘，1個(gè)160 bit點(diǎn)加和1個(gè)HMAC運(yùn)算，而簇頭節(jié)點(diǎn)聚合兩個(gè)密文和MAC共需2個(gè)點(diǎn)加和1個(gè)異或操作。本文方案運(yùn)行在MICA2節(jié)點(diǎn)上的性能數(shù)據(jù)如表2所示。其中，“程序初始化”表示MICA2節(jié)點(diǎn)完成引導(dǎo)程序，初始化RELIC密碼庫(kù)，以及讀取系統(tǒng)參數(shù)等操作帶來的性能開銷，該項(xiàng)僅在協(xié)議啟動(dòng)時(shí)執(zhí)行一次，之后不再重復(fù)執(zhí)行；“加密并編碼感知數(shù)據(jù)”表示感知節(jié)點(diǎn)執(zhí)行一次在線操作產(chǎn)生的性能開銷；“聚合密文與MAC”表示簇頭節(jié)點(diǎn)對(duì)來自兩個(gè)感知節(jié)點(diǎn)的密文和MAC執(zhí)行聚合計(jì)算所需的性能開銷。

如表2所示，在本文方案中，感知節(jié)點(diǎn)每編碼并加密一個(gè)數(shù)據(jù)需要花費(fèi)0.798 s的時(shí)間和15.48 mJ的能量。通常傳感器網(wǎng)絡(luò)的數(shù)據(jù)采樣周期約為15～60 s， RPIDA方案完全能夠滿足要求。簇頭節(jié)點(diǎn)聚合兩個(gè)密文和認(rèn)證標(biāo)簽需要0.073 s，即當(dāng)一個(gè)分簇內(nèi)的感知節(jié)點(diǎn)數(shù)量為 η- 1時(shí)，簇頭節(jié)點(diǎn)的處理時(shí)間為 0.073 × （η - 2）s。此外，網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)在啟動(dòng)時(shí)還需要花費(fèi)1.166 s的時(shí)間和26.46 mJ的能量完成節(jié)點(diǎn)軟硬件的初始化。

5.2 存儲(chǔ)開銷

本文方案各節(jié)點(diǎn)需要存儲(chǔ) RELIC密碼庫(kù)和TinyOS的代碼，與BS共享的對(duì)稱密鑰ski，以及BS的公鑰Y。此外，感知節(jié)點(diǎn)編碼感知數(shù)據(jù)datai，生成隨機(jī)密鑰ik，以及計(jì)算密文ic，其存儲(chǔ)開銷是固定的，可以認(rèn)為是一個(gè)常數(shù)；簇頭節(jié)點(diǎn)在執(zhí)行聚合的過程中，由于要存儲(chǔ)多個(gè)成員節(jié)點(diǎn)的感知數(shù)據(jù)以及相應(yīng)的認(rèn)證標(biāo)簽，其存儲(chǔ)開銷與簇內(nèi)感知節(jié)點(diǎn)的數(shù)量成線性關(guān)系。

通過統(tǒng)計(jì)分析算法編譯產(chǎn)生的目標(biāo)文件，我們獲得方案運(yùn)行在 MICA2節(jié)點(diǎn)上的存儲(chǔ)占用情況，如表3所示。其中，.data段和.bss段分別表示方案對(duì)RAM靜態(tài)存儲(chǔ)空間和動(dòng)態(tài)存儲(chǔ)空間的占用；.text段表示方案對(duì)ROM存儲(chǔ)空間的占用。由表3數(shù)據(jù)可知：感知節(jié)點(diǎn)需占用1205 Byte的RAM和53922 Byte的ROM；當(dāng)一個(gè)分簇中感知節(jié)點(diǎn)數(shù)量為 η-1時(shí)，簇頭節(jié)點(diǎn)占用約的RAM和51432 Byte的ROM。上述實(shí)驗(yàn)數(shù)據(jù)表明，本文方案資源開銷較低，對(duì)于節(jié)點(diǎn)資源受限的WSNs具有實(shí)際可行性。

6 結(jié)論

針對(duì)無線傳感器網(wǎng)絡(luò)數(shù)據(jù)聚合與安全目標(biāo)之間的矛盾，本文基于隱私同態(tài)和聚合MAC技術(shù)提出了一種同時(shí)保障數(shù)據(jù)隱私性與完整性的可恢復(fù)數(shù)據(jù)聚合方案。該方案能夠?yàn)閃SNs數(shù)據(jù)聚合同時(shí)提供數(shù)據(jù)隱私性與完整性。在該方案中，BS能夠從最終聚合結(jié)果中恢復(fù)出各感知數(shù)據(jù)，從而一方面能夠驗(yàn)證感知數(shù)據(jù)和聚合數(shù)據(jù)的完整性，另一方面能夠?qū)υ紨?shù)據(jù)進(jìn)行任意所需的處理，不受聚合函數(shù)類型的限制。安全分析表明本文方案不僅滿足數(shù)據(jù)隱私性、數(shù)據(jù)完整性，還能夠抵抗未授權(quán)聚合攻擊，聚合節(jié)點(diǎn)俘獲攻擊，且能夠在一定范圍內(nèi)檢測(cè)及定位惡意節(jié)點(diǎn)。性能分析表明，該方案相比同類機(jī)制在通信和計(jì)算開銷方面具有顯著優(yōu)勢(shì)。為了評(píng)估方案性能和可行性，本文基于TinyOS平臺(tái)給出了算法的原型實(shí)現(xiàn)。實(shí)驗(yàn)數(shù)據(jù)表明，該方案資源開銷較低，對(duì)于資源受限的WSNs是高效可行的。

表2 本文方案在MICA2節(jié)點(diǎn)上的計(jì)算開銷

表3 本文方案的存儲(chǔ)占用（Byte）

［1］ Girao J， Westhoff D， and Schneider M. CDA: concealed data aggregation for reverse multicast traffic in wireless sensor networks［C］. Proceedings of 5th IEEE International Conference on Communications （ICC’05）， Seoul， Korea， 2005: 3044-3049.

［2］ Lin Y H， Chang S Y， and Sun H M. CDAMA: concealed data aggregation scheme for multiple applications in wireless sensor networks［J］. IEEE Transactions on Knowledge and Data Engineering， 2013， 25（7）: 1471-1483.

［3］ Mykletun E， Girao J， and Westhoff D. Public key based cryptoschemes for data concealment in wireless sensor networks［C］. Proceedings of 6th International Conference on Communication （ICC’06）， Istanbul， Turkey， 2006: 2288-2295.

［4］ Taeho J， Mao X F， Li X Y， et al.. Privacy-preserving data aggregation without secure channel: multivariate polynomial evaluation［C］. Proceedings of 32nd IEEE International Conference on Computer Communications （IEEE INFOCOM 2013）， Turin， Italy， 2013: 2634-2642.

［5］ Yang Y， Wang X， Zhu S， et al.. SDAP: a secure hop-by-hop data aggregation protocol for sensor networks［J］. ACM Transactions on Information System Security， 2008， 11（4）: 1-43.

［6］ Zhu L， Yang Z， Li M， et al.. An efficient data aggregation protocol concentrated on data integrity in wireless sensor networks［J］. International Journal of Distributed Sensor Networks， 2013（7）: 718-720.

［7］ Niu S， Wang C， Yu Z， et al.. Lossy data aggregation integrity scheme in wireless sensor networks［J］. Computers & Electrical Engineering， 2013， 39（6）: 1726-1735.

［8］ OzeDemir S and Cam H. Integration of false data detection with data aggregation and confidential transmission in wireless sensor networks［J］. IEEE/ACM Transactions on Networking， 2010， 18（3）: 736-749.

［9］ 趙小敏， 梁學(xué)利， 蔣雙雙， 等. 安全的 WSN數(shù)據(jù)融合隱私保護(hù)方案設(shè)計(jì)［J］. 通信學(xué)報(bào)， 2014， 35（11）: 154-161. Zhao Xiao-min， Liang Xue-li， Jiang Shuang-shuang， et al.. Design of secure privacy-preserving data aggregation scheme for wireless sensor network［J］. Journal on Communications，2014， 35（11）: 154-161.

［10］ Sun H， Chen C， and Lin Y. RCDA: recoverable concealed data aggregation for data integrity in wireless sensor networks［J］. IEEE Transactions on Parallel and Distributed Systems， 2011， 23（4）: 727-734.

［11］ Ozdemir S and Xiao Y. Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］. Computer Networks， 2011， 55（8）: 1735-1746.

［12］ Zhou Q， Yang G， and He L. A secure-enhanced data aggregation based on ECC in wireless sensor networks［J］. Sensors （Basel， Switzerland）， 2014， 14（4）: 6701-6721.

［13］ Papadopoulos S， Kiayias A， and Papadias D. Exact in-network aggregation with integrity and confidentiality［J］. IEEE Transactions on Knowledge & Data Engineering， 2012，24（10）: 1760-1773.

［14］ Katz J and Lindell A. Aggregate message authentication codes［C］. Proceedings of the Cryptographers’ Track at the RSA Conference， San Francisco， CA， USA， 2008: 155-169.

［15］ Rivest R， Adleman L， and Dertouzos M. Foundations of Secure Computation［M］. Academia Press， 1978: 169-179.

［16］ Peter S， Westhoff D， and Castelluccia C. A survey on the encryption of convergecast traffic with in-network processing［J］. IEEE Transactions on Dependable and Secure Computing， 2010， 7（1）: 20-34.

［17］ Aranha D F. RELIC Cryptographic Toolkit［EB/OL］. http://code.google.com/p/relic-toolkit， 2009.

丁 超： 男，1984年生，博士生，研究方向?yàn)闊o線傳感器網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)可靠性保障與異常檢測(cè).

楊立君： 女，1985年生，博士，研究方向?yàn)闊o線傳感器網(wǎng)絡(luò)密鑰管理、數(shù)據(jù)聚合和隱私保護(hù)技術(shù).

吳 蒙： 男，1963年生，教授，博士生導(dǎo)師，主要研究方向?yàn)闊o線通信、信息安全和DSP技術(shù).

A Recoverable Privacy-preserving Integrity-assured Data Aggregation Scheme for Wireless Sensor Networks

Ding Chao①Yang Li-jun①Wu Meng②③
①（College of Computer Science & Technology， Nanjing University of Posts and Telecommunication， Nanjing 210003， China）②（College of Telecommunication & Information Engineering， Nanjing University of Posts and Telecommunication， Nanjing 210003， China）③（Key Laboratory of Broadband Wireless Communication and Sensor Network Technology of Ministry of Education， Nanjing 210003， China）

To address the contradiction between data aggregation and data security in Wireless Sensor Networks（WSNs）， a recoverable privacy-preserving integrity-assured data aggregation scheme is proposed based on the technologies of privacy homomorphism and aggregate message authentication code. The proposed scheme enables the Base Station （BS） to recover all the original sensing data from the final aggregated results， which makes it possible to verify the integrity of each sensing data and aggregated data， and perform any further operations on them on demand. The security analysis shows that the proposal not only provides the data privacy and data integrity， but also resists against unauthorized aggregation attack and aggregator capture attack； besides， it is able to detect and locate the malicious nodes which injects false data to the network in a certain range. The performance analysis shows that the proposed scheme has remarkable advantages over existing schemes in terms of computation and communication overhead. In order to evaluate the performance and feasibility of the proposal， the prototype implementation is presented based on the TinyOS platform. The experiment results demonstrate the proposed scheme is feasible and efficient for resource-constrained WSNs.

Wireless sensor network； Data aggregation； Privacy preserving； Integrity protection； Prototype implementation

s: The National 973 Program of China（2011CB302903）； The National Natural Science Foundation of China （61100213）； The Specialized Research Fund for the Doctoral Program of Higher Education of China （20113223120007）； The Key Program of Natural Science for Universities of Jiangsu Province（10KJA510035）

TP393

A

1009-5896（2015）12-2808-07

10.11999/JEIT150208

2015-02-05；改回日期：2015-08-25；網(wǎng)絡(luò)出版：2015-11-01

*通信作者：吳蒙 wum@njupt.edu.cn

國(guó)家“973”計(jì)劃項(xiàng)目（2011CB302903），國(guó)家自然科學(xué)基金青年項(xiàng)目（61100213），教育部高等學(xué)校博士學(xué)科點(diǎn)專項(xiàng)科研基金（20113223120007）和江蘇省高校自然科學(xué)研究重點(diǎn)項(xiàng)目（10KJA510035）