張曉瑩，董 蕾，陳 紅

（1．中國(guó)人民大學(xué) 信息學(xué)院，北京 100872；2．中國(guó)人民大學(xué) 數(shù)據(jù)工程與知識(shí)工程國(guó)家教育部重點(diǎn)實(shí)驗(yàn)室，北京 100872）

0 引 言

無(wú)線傳感器網(wǎng)絡(luò)（以下簡(jiǎn)稱傳感器網(wǎng)絡(luò)）是由大量微型傳感器節(jié)點(diǎn)通過(guò)自組織的方式形成的多跳分布式網(wǎng)絡(luò)系統(tǒng)，通過(guò)傳感器節(jié)點(diǎn)感知、計(jì)算和傳輸數(shù)據(jù)，為人們提供服務(wù)．作為物聯(lián)網(wǎng)的重要組成部分，傳感器網(wǎng)絡(luò)被廣泛應(yīng)用在軍民重要領(lǐng)域，允許人們?cè)谌魏螘r(shí)間、地點(diǎn)和環(huán)境下獲取大量重要信息．隨著傳感器網(wǎng)絡(luò)的不斷發(fā)展，在多個(gè)關(guān)鍵性領(lǐng)域的實(shí)際應(yīng)用與部署過(guò)程中暴露出嚴(yán)重的隱私問(wèn)題．例如在智能電網(wǎng)領(lǐng)域，不法分子通過(guò)截獲家庭用電信息推測(cè)出家里是否有人、何時(shí)無(wú)人等家庭敏感信息；在智慧醫(yī)療領(lǐng)域，醫(yī)生通過(guò)醫(yī)療傳感器隨時(shí)查詢患者的體溫、血壓、心率等重要體征數(shù)據(jù)，這些數(shù)據(jù)可能被非法人員竊取，造成患者隱私泄露；在軍事國(guó)防領(lǐng)域，無(wú)線傳感器被部署在重要的軍事監(jiān)控區(qū)域收集各種情報(bào)信息，這些情報(bào)信息一旦被敵軍竊取或篡改，將導(dǎo)致重大決策失誤．這些暴露出的隱私問(wèn)題會(huì)泄露用戶和監(jiān)測(cè)對(duì)象的重要信息，甚至威脅到用戶和監(jiān)測(cè)對(duì)象的安全，極大地阻礙了傳感器網(wǎng)絡(luò)的廣泛應(yīng)用．因此，研究傳感器網(wǎng)絡(luò)隱私保護(hù)技術(shù)，對(duì)傳感器網(wǎng)絡(luò)和物聯(lián)網(wǎng)的發(fā)展具有積極的推動(dòng)意義．

隱私保護(hù)范圍查詢處理技術(shù)由Sheng［1］等人于2008年提出．目前，隱私保護(hù)范圍查詢處理技術(shù)已經(jīng)成為新的研究熱點(diǎn)．隱私保護(hù)范圍查詢處理技術(shù)的主要目標(biāo)是：在范圍查詢處理的過(guò)程中，有效控制非法用戶對(duì)網(wǎng)絡(luò)敏感信息的訪問(wèn)，防止網(wǎng)絡(luò)敏感信息的泄露，同時(shí)，盡量減少能量消耗，降低對(duì)通訊信道的占用，提高查詢結(jié)果的精確度和可靠性．然而傳感器網(wǎng)絡(luò)自身所具有的資源受限、分布式等特征，給隱私保護(hù)范圍查詢處理技術(shù)研究帶來(lái)了極大的挑戰(zhàn)．

（1）節(jié)點(diǎn)能量有限是傳感器網(wǎng)絡(luò)的一大特點(diǎn)，網(wǎng)絡(luò)剩余能量直接影響網(wǎng)絡(luò)生命周期．研究［2］表明節(jié)點(diǎn)之間的通信是消耗能量的主要因素，高通信量的隱私保護(hù)技術(shù)并不適合傳感器網(wǎng)絡(luò)．因此，如何實(shí)現(xiàn)低通信量的隱私保護(hù)技術(shù)，最大程度地減少能量消耗，提高感知節(jié)點(diǎn)的壽命，是研究傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢處理技術(shù)面臨的首要挑戰(zhàn)．

（2）傳感器節(jié)點(diǎn)是一種微型嵌入式設(shè)備，攜帶的處理器和存儲(chǔ)器能力較弱，這使得計(jì)算復(fù)雜和存儲(chǔ)成本高的隱私保護(hù)技術(shù)并不符合傳感器網(wǎng)絡(luò)的實(shí)際要求．因此，如何實(shí)現(xiàn)低計(jì)算量的隱私保護(hù)技術(shù)是研究傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢處理技術(shù)面臨的另一個(gè)嚴(yán)峻挑戰(zhàn)．

（3）傳感器網(wǎng)絡(luò)是一個(gè)開放的網(wǎng)絡(luò)系統(tǒng)，傳感器節(jié)點(diǎn)一般通過(guò)飛機(jī)播散等方式被隨機(jī)部署到無(wú)人值守的環(huán)境中，無(wú)法預(yù)料傳感器節(jié)點(diǎn)的位置、鄰居節(jié)點(diǎn)等信息．此外，攻擊者的攻擊能力日漸強(qiáng)大，攻擊方式日趨多樣，因此，如何提高隱私保護(hù)技術(shù)的健壯性，抵御多種攻擊，是研究傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢處理技術(shù)面臨的重要挑戰(zhàn)．

本文對(duì)現(xiàn)有的傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢研究成果進(jìn)行了系統(tǒng)總結(jié)，對(duì)代表協(xié)議的核心技術(shù)進(jìn)行了較詳細(xì)的闡述，對(duì)比分析了各協(xié)議的優(yōu)缺點(diǎn)，并展望了未來(lái)需要深入研究的方向．

1 研究模型

1．1 網(wǎng)絡(luò)模型

現(xiàn)有的隱私保護(hù)范圍查詢協(xié)議主要基于兩層傳感器網(wǎng)絡(luò)［3］．如圖1所示，在兩層傳感器網(wǎng)絡(luò)中，大量的傳感器節(jié)點(diǎn)位于網(wǎng)絡(luò)的下層，少量的管理節(jié)點(diǎn)（Master Node，又稱為存儲(chǔ)節(jié)點(diǎn)）位于網(wǎng)絡(luò)的上層．管理節(jié)點(diǎn)是基站與傳感器節(jié)點(diǎn)之間的一座“橋梁”．基站將用戶命令下發(fā)到管理節(jié)點(diǎn)，傳感器節(jié)點(diǎn)進(jìn)行周期性采樣并定期將感知數(shù)據(jù)發(fā)送到最近的管理節(jié)點(diǎn)．管理節(jié)點(diǎn)負(fù)責(zé)存儲(chǔ)管轄范圍內(nèi)的傳感器節(jié)點(diǎn)數(shù)據(jù)和執(zhí)行基站的命令．相比于傳感器節(jié)點(diǎn)，基站和管理節(jié)點(diǎn)都是高資源節(jié)點(diǎn)，其資源不受限制．

兩層的傳感器網(wǎng)絡(luò)具有以下優(yōu)點(diǎn)：

（1）節(jié)省傳感器節(jié)點(diǎn)的資源．傳感器節(jié)點(diǎn)的能量、計(jì)算能力、存儲(chǔ)空間等都非常有限．在兩層傳感器網(wǎng)絡(luò)中，傳感器節(jié)點(diǎn)不需要存儲(chǔ)大量歷史數(shù)據(jù)、發(fā)送數(shù)據(jù)到基站和執(zhí)行復(fù)雜的查詢?nèi)蝿?wù)，這些任務(wù)均由管理節(jié)點(diǎn)負(fù)責(zé)完成，大大降低傳感器節(jié)點(diǎn)的存儲(chǔ)成本、通信開銷和計(jì)算代價(jià)，從而延長(zhǎng)網(wǎng)絡(luò)的生命周期．

（2）縮短查詢的響應(yīng)時(shí)間．管理節(jié)點(diǎn)存儲(chǔ)著大量傳感器節(jié)點(diǎn)數(shù)據(jù)，并且其計(jì)算能力和存儲(chǔ)空間不受限制，因而能夠更加高效地完成用戶的查詢?nèi)蝿?wù)，快速返回查詢結(jié)果．

（3）增強(qiáng)網(wǎng)絡(luò)的可擴(kuò)展性．引入管理節(jié)點(diǎn)后，整個(gè)網(wǎng)絡(luò)按照管理節(jié)點(diǎn)被分成許多子網(wǎng)．每個(gè)子網(wǎng)由一個(gè)管理節(jié)點(diǎn)和若干傳感器節(jié)點(diǎn)組成，不同子網(wǎng)中的傳感器節(jié)點(diǎn)可以是異構(gòu)的，每個(gè)子網(wǎng)獨(dú)立運(yùn)行．

1．2 攻擊模型

根據(jù)已有的研究成果，我們將攻擊者的攻擊方式大致分為三類：竊聽攻擊、篡改攻擊和共謀攻擊．大部分隱私保護(hù)范圍查詢協(xié)議主要抵御前兩類攻擊，少量協(xié)議能夠抵御第三類攻擊．

（1）竊聽攻擊

攻擊者通過(guò)竊聽節(jié)點(diǎn)之間的無(wú)線通信鏈路獲取網(wǎng)絡(luò)節(jié)點(diǎn)的敏感信息．在竊聽攻擊中，攻擊者只關(guān)注敏感信息的內(nèi)容，不會(huì)改變敏感信息．

（2）篡改攻擊

攻擊者通過(guò)俘獲網(wǎng)絡(luò)節(jié)點(diǎn)向網(wǎng)絡(luò)中注入虛假信息、惡意改變或刪除真實(shí)信息等方式以達(dá)到影響最終結(jié)果的目的．在篡改攻擊中，攻擊者試圖改變敏感信息，因此篡改攻擊對(duì)網(wǎng)絡(luò)安全的威脅更大，需要更強(qiáng)的保護(hù)手段．

（3）共謀攻擊

隨著攻擊者破壞能力的不斷增強(qiáng)，攻擊者可以同時(shí)俘獲多個(gè)節(jié)點(diǎn)，并控制這些被俘獲節(jié)點(diǎn)進(jìn)行合作共謀從而破壞網(wǎng)絡(luò)的安全性．相對(duì)于非共謀攻擊，共謀攻擊對(duì)網(wǎng)絡(luò)安全的危害性更大．

1．3 性能評(píng)價(jià)模型

評(píng)價(jià)隱私保護(hù)范圍查詢協(xié)議的性能指標(biāo)主要有4類：隱私性、完整性、高效性和精確性．

（1）隱私性

傳感器網(wǎng)絡(luò)中的敏感信息多種多樣，例如節(jié)點(diǎn)數(shù)據(jù)、中間結(jié)果、最終結(jié)果或用戶查詢．隱私性要求保護(hù)敏感信息不被非法用戶獲取．敏感信息的確定與應(yīng)用相關(guān)．在隱私保護(hù)范圍查詢處理技術(shù)研究中，敏感信息通常指?jìng)鞲衅鞴?jié)點(diǎn)的感知數(shù)據(jù)和用戶的查詢命令．

（2）完整性

傳感器網(wǎng)絡(luò)是一個(gè)自組織多跳的網(wǎng)絡(luò)系統(tǒng)，感知數(shù)據(jù)從采集節(jié)點(diǎn)到基站往往需要經(jīng)過(guò)其他中間節(jié)點(diǎn)的轉(zhuǎn)發(fā)，還可能需要進(jìn)行輕量級(jí)的計(jì)算．完整性要求感知數(shù)據(jù)被真實(shí)轉(zhuǎn)發(fā)和正確計(jì)算．完整性直接影響最終查詢結(jié)果，因此完整性通常是指結(jié)果完整性，即基站收到的最終結(jié)果應(yīng)該包含真實(shí)的結(jié)果，禁止攻擊者惡意改變、刪除結(jié)果和注入非法信息．

（3）高效性

傳感器網(wǎng)絡(luò)的能量有限，網(wǎng)絡(luò)剩余能量直接影響網(wǎng)絡(luò)的生命周期．研究結(jié)果［2］顯示節(jié)點(diǎn)通信和計(jì)算，特別是節(jié)點(diǎn)通信，是消耗能量的主要因素．為了延長(zhǎng)網(wǎng)絡(luò)的生命周期，高效性要求協(xié)議盡可能降低通信成本和計(jì)算代價(jià)．

（4）精確性

給定用戶命令，網(wǎng)絡(luò)按照協(xié)議執(zhí)行操作、計(jì)算結(jié)果．理想的情況下真實(shí)結(jié)果與計(jì)算所得結(jié)果是等價(jià)的．為了實(shí)現(xiàn)隱私性、完整性和高效性，有時(shí)會(huì)犧牲一定的結(jié)果精度．精確性要求協(xié)議在滿足隱私性、完整性和高效性的前提下，結(jié)果應(yīng)該在可接受的誤差范圍內(nèi)盡可能精確．

2 隱私保護(hù)范圍查詢處理技術(shù)

現(xiàn)有隱私保護(hù)范圍查詢協(xié)議主要采用的隱私保護(hù)技術(shù)包括：桶技術(shù)、前綴成員驗(yàn)證技術(shù)和保序加密技術(shù)．此外，還有其他隱私保護(hù)技術(shù)，如Z-O編碼技術(shù)、BF編碼技術(shù)和矩陣變換技術(shù)．

2．1 桶技術(shù)

桶技術(shù)（Bucketing Scheme）［4-5］將值域劃分成若干連續(xù)不相交的區(qū)間．每個(gè)區(qū)間可以看作是一個(gè)只存放指定取值范圍數(shù)據(jù)的桶，使用一個(gè)或多個(gè)桶表示敏感信息．

文獻(xiàn)［1，6］采用桶技術(shù)和編碼策略（Encoding Scheme）保護(hù)范圍查詢中的隱私性和完整性．協(xié)議主要思想是：使用一個(gè)桶集合表示用戶查詢和節(jié)點(diǎn)數(shù)據(jù)．具體方法如下：令Tagi表示桶i的桶號(hào)，Bi表示桶i的取值范圍．用戶查詢范圍［a，b］被表示成一個(gè)桶號(hào)集合｛Tag1，Tag2，…，Tagm｝，其中，［a，b］?B1∪B2∪…∪Bm，且B1∪B2∪…∪Bm是能覆蓋［a，b］的最小桶集合，即對(duì)于任意的Bi（1≤i≤m），都滿足［a，b］∩Bi≠?．基站將查詢范圍的桶集合下發(fā)到存儲(chǔ)節(jié)點(diǎn)，數(shù)據(jù)d被轉(zhuǎn)換成桶號(hào)Tagj，滿足d∈Bj．節(jié)點(diǎn)使用與基站共享的密鑰加密數(shù)據(jù)，并與對(duì)應(yīng)的桶號(hào)一起發(fā)送到存儲(chǔ)節(jié)點(diǎn)．判斷d∈［a，b］是否成立，只需判斷Tagj∈｛Tag1，Tag2，…，Tagm｝是否成立．判斷過(guò)程在存儲(chǔ)節(jié)點(diǎn)上進(jìn)行，桶技術(shù)允許存儲(chǔ)節(jié)點(diǎn)在不獲取敏感信息的情況下完成查詢．為了保證基站檢測(cè)出被篡改的查詢結(jié)果，節(jié)點(diǎn)si需要為t時(shí)刻的每個(gè)空桶j構(gòu)造一個(gè)碼（Encoding Nu mber），即nu m（i，j，t）．基站通過(guò)此碼判斷查詢結(jié)果的完整性．桶技術(shù)本質(zhì)上是一種泛化技術(shù)，即用粗粒度的信息代替精確的信息，因此會(huì)導(dǎo)致查詢結(jié)果存在誤識(shí)別（False Positive）．桶技術(shù)雖然沒(méi)有直接泄露敏感信息，但是會(huì)泄露敏感信息的范圍，并且隱私保護(hù)程度與桶的劃分粒度有關(guān)，粒度越粗，隱私性越高，但通信代價(jià)越大，結(jié)果誤識(shí)別率越高．

文獻(xiàn)［7-8］使用文獻(xiàn)［1］中的桶技術(shù)實(shí)現(xiàn)隱私保護(hù)，并提出一種時(shí)空交叉驗(yàn)證技術(shù)（Spatiotemporal Cr osscheck Technique）檢驗(yàn)結(jié)果的完整性．時(shí)空交叉驗(yàn)證技術(shù)包括空間交叉驗(yàn)證策略（Spatial Cr osscheck Appr oach）和時(shí)間交叉驗(yàn)證策略（Temporal Cr osscheck Approach）．空間交叉驗(yàn)證策略利用節(jié)點(diǎn)之間的關(guān)系，為每個(gè)節(jié)點(diǎn)si構(gòu)造一個(gè)位圖Vi，t，表示si在t時(shí)刻的數(shù)據(jù)分布情況．si將位圖消息＜i，Vi，t＞發(fā)送給選擇的節(jié)點(diǎn)．收到位圖消息的節(jié)點(diǎn)將其附加到自己的每一個(gè)非空桶中與數(shù)據(jù)一起上傳到存儲(chǔ)節(jié)點(diǎn)．文獻(xiàn)［7］給出兩種節(jié)點(diǎn)選擇方法：一種基于子網(wǎng)廣播，另一種基于鄰居節(jié)點(diǎn)，研究表明基于子網(wǎng)廣播的選擇方法傳輸位圖所需的通信量遠(yuǎn)高于基于鄰居節(jié)點(diǎn)的選擇方法，但前者的不完整結(jié)果檢測(cè)率高于后者．為了平衡節(jié)點(diǎn)通信量和不完整結(jié)果檢測(cè)率，文獻(xiàn)［8］提出一種混合節(jié)點(diǎn)選擇方法．時(shí)間交叉驗(yàn)證策略利用數(shù)據(jù)之間的關(guān)系，每個(gè)節(jié)點(diǎn)si構(gòu)造一個(gè)緩沖區(qū)（Buffer）記錄最近I個(gè)連續(xù)提交周期的數(shù)據(jù)分布情況，并將其附加到每一個(gè)非空桶中．由于引入額外的時(shí)空信息，時(shí)空交叉驗(yàn)證技術(shù)的通信代價(jià)較高．

文獻(xiàn)［9］研究了兩層傳感器網(wǎng)絡(luò)中的安全多維范圍查詢處理技術(shù)．為了保護(hù)用戶查詢和節(jié)點(diǎn)數(shù)據(jù)的隱私，將文獻(xiàn)［1］中的桶技術(shù)擴(kuò)展到多維數(shù)據(jù)空間，并提出三種完整性驗(yàn)證策略，分別是：編碼策略（Encoding）、概率空間交叉驗(yàn)證策略（Probabilistic Spatial Crosscheck）和概率時(shí)間交叉驗(yàn)證策略（Pr obabilistic Temporal Cr osscheck）．第一種驗(yàn)證策略是文獻(xiàn)［1］的編碼策略在多維數(shù)據(jù)空間的擴(kuò)展，后兩種驗(yàn)證策略是對(duì)文獻(xiàn)［7］的時(shí)空交叉驗(yàn)證技術(shù)的概率化，即并不是將所有其他節(jié)點(diǎn)的位圖消息和自己的緩沖區(qū)信息附加到所有非空桶中，而是以一定的概率選擇性地附加這些驗(yàn)證信息．顯然，這種概率性的驗(yàn)證策略不能100%檢測(cè)出不完整結(jié)果．

2．2 前綴成員驗(yàn)證技術(shù)

前綴成員驗(yàn)證技術(shù)（Prefix Membership Verification）最早應(yīng)用于跨域協(xié)作防火墻（Cr oss-Do main Cooperative Firewall）領(lǐng)域，允許位于不同網(wǎng)絡(luò)管理域的防火墻在不知道對(duì)方規(guī)則的情況下協(xié)同執(zhí)行各自規(guī)則并過(guò)濾數(shù)據(jù)包．文獻(xiàn)［10］首次提出前綴成員驗(yàn)證技術(shù)，文獻(xiàn)［11］對(duì)其進(jìn)行了改進(jìn)．前綴成員驗(yàn)證技術(shù)根據(jù)規(guī)則判斷一個(gè)數(shù)值x和一個(gè)前綴P的成員關(guān)系：如果x∈P，當(dāng)且僅當(dāng)P∈PF（x），PF（x）是x的前綴族．

Safe Q協(xié)議［12-13］采用前綴成員驗(yàn)證技術(shù)實(shí)現(xiàn)兩層網(wǎng)絡(luò)中的隱私保護(hù)范圍查詢．Saf e Q的核心思想：分別為用戶查詢和節(jié)點(diǎn)數(shù)據(jù)構(gòu)建一個(gè)特殊集合，將數(shù)值與區(qū)間的成員關(guān)系判斷轉(zhuǎn)化為兩個(gè)集合交集是否為空的判斷．具體過(guò)程：給定一個(gè)整數(shù)d，其二進(jìn)制表示為b1b2…bw（bi∈｛0，1｝），d的第i個(gè)前綴表示為b1b2…bw－i＋1*…*，d的前綴族F（d）被定義為一個(gè)包含d的第0個(gè)至第w個(gè)前綴的集合，即F（d）＝｛b1b2…bw，b1b2…bw－1*，…，b1*…*，*…*｝．給定一個(gè)查詢范圍［a，b］，其前綴碼S（［a，b］）被定義為能夠覆蓋［a，b］中所有整數(shù)的前綴的最小集合．令N（）為數(shù)字化函數(shù)，對(duì)F（d）和S（［a，b］）進(jìn)行數(shù)字化處理，即依次將F（d）和S（［a，b］）中的“*”用“1”替換，并在第一個(gè)“0”位前添加“1”，得到N（F（d））和N（S（［a，b］））．存儲(chǔ)節(jié)點(diǎn)判斷d是否屬于［a，b］，只需判斷是否滿足N（F（d））∩N（S（［a，b］））≠?．圖2演示了Safe Q判斷12是否屬于［11，14］的過(guò)程．為了提高存儲(chǔ)節(jié)點(diǎn)的查詢效率，節(jié)點(diǎn)在上傳數(shù)據(jù)前對(duì)數(shù)據(jù)進(jìn)行升序排列，存儲(chǔ)節(jié)點(diǎn)只需找到滿足判定條件的數(shù)據(jù)上下界．考慮到存儲(chǔ)節(jié)點(diǎn)可能被攻擊者俘獲從而破壞結(jié)果的完整性，Safe Q設(shè)計(jì)了一種鄰居關(guān)系鏈（Neighbor hood Chain），要求每個(gè)節(jié)點(diǎn)在上傳數(shù)據(jù)時(shí)為每個(gè)數(shù)據(jù)項(xiàng)附加其在本提交周期產(chǎn)生的有序數(shù)據(jù)集中對(duì)應(yīng)的最近左數(shù)據(jù)項(xiàng)，通過(guò)檢查鄰居關(guān)系鏈的數(shù)據(jù)有序性和連續(xù)性驗(yàn)證結(jié)果的完整性．前綴成員驗(yàn)證技術(shù)可以避免桶技術(shù)泄露粗粒度信息的問(wèn)題，同時(shí)得到精確的查詢結(jié)果．除了數(shù)據(jù)鄰居鏈，文獻(xiàn)［13］還構(gòu)建了Mer kle哈希樹（Mer kle Hash Tree）［15］驗(yàn)證結(jié)果．由于前綴成員驗(yàn)證技術(shù)將一個(gè)數(shù)值轉(zhuǎn)換成一個(gè)集合，因此增加了節(jié)點(diǎn)的通信量．

2．3 保序加密技術(shù)

保序加密技術(shù)（Order-preserving Encryption）是一種確定性的加密機(jī)制，依賴于特定的保序加密函數(shù)實(shí)現(xiàn)．一個(gè)數(shù)據(jù)空間經(jīng)過(guò)保序加密函數(shù)處理后被映射到另一個(gè)數(shù)據(jù)空間，假設(shè)原數(shù)據(jù)空間中的任意兩個(gè)不相等的數(shù)據(jù)d1和d2分別對(duì)應(yīng)于新數(shù)據(jù)空間中數(shù)據(jù)D1和D2且d1≠D1，d2≠D2，如果d1＞d2，那么必有D1＞D2，即新數(shù)據(jù)空間中數(shù)據(jù)仍然保持原數(shù)據(jù)空間中的大小關(guān)系［14］．保護(hù)加密技術(shù)最早由文獻(xiàn)［16］提出，一個(gè)保序加密函數(shù)被認(rèn)為是安全的當(dāng)且僅當(dāng)攻擊者只有通過(guò)窮舉攻擊才能破解密文．因此，保序加密技術(shù)的安全程度取決于保序加密函數(shù)的復(fù)雜程度，函數(shù)越復(fù)雜，安全性越高．

SEF協(xié)議［17］提供傳感器網(wǎng)絡(luò)中的安全范圍查詢．為了保護(hù)隱私性，SEF使用保序?qū)ΨQ加密技術(shù)（Or der-preser ving Sy mmetric Encr yption，OPSE）［14］在不泄露敏感信息的情況下保證范圍查詢的順利執(zhí)行．為了保護(hù)結(jié)果的真實(shí)性和完整性，SEF設(shè)計(jì)出一種數(shù)據(jù)結(jié)構(gòu)——AI樹（Authenticity＆Integrity Tree）對(duì)查詢結(jié)果進(jìn)行驗(yàn)證．SEF協(xié)議分為3部分：傳感器節(jié)點(diǎn)處理、管理節(jié)點(diǎn)處理和基站處理．在傳感器節(jié)點(diǎn)上，假設(shè)采集到N個(gè)數(shù)據(jù)d1，…，dN，首先使用OPSE對(duì)N＋2個(gè)數(shù)據(jù)d0，d1，…，dN，dN＋1（d0／dN＋1分別是值域的最大／小值）加密處理得到e0，…，eN＋1，然后排序加密數(shù)據(jù)項(xiàng)并自下而上構(gòu)造一棵AI樹．在AI樹中，葉子節(jié)點(diǎn)存儲(chǔ)加密數(shù)據(jù)項(xiàng)，中間節(jié)點(diǎn)和根節(jié)點(diǎn)存儲(chǔ)孩子節(jié)點(diǎn)的摘要值（Digest）和兩個(gè)標(biāo)簽（Label），一個(gè)標(biāo)簽記錄節(jié)點(diǎn)在樹中的層次（Level），另一個(gè)標(biāo)簽記錄該節(jié)點(diǎn)在父節(jié)點(diǎn)中的位置．圖3是一棵AI樹，節(jié)點(diǎn)采集到9個(gè)數(shù)據(jù)項(xiàng)（不包括d0和dN＋1），這些數(shù)據(jù)項(xiàng)在AI樹中按照升序排列．h4－5表示該節(jié)點(diǎn)存儲(chǔ)了e4和e5的摘要信息，位于樹的第1層，是其父節(jié)點(diǎn)的左孩子．這棵AI樹的HMAC＝h0－10．為了減少通信開銷，節(jié)點(diǎn)只將HMAC和加密數(shù)據(jù)項(xiàng)發(fā)送到管理節(jié)點(diǎn)．管理節(jié)點(diǎn)根據(jù)加密數(shù)據(jù)項(xiàng)重構(gòu)節(jié)點(diǎn)的AI樹．用戶查詢范圍使用同樣的OPSE處理．當(dāng)收到來(lái)自基站的范圍查詢，管理節(jié)點(diǎn)檢查傳感器節(jié)點(diǎn)的數(shù)據(jù)，將落在查詢范圍的加密數(shù)據(jù)項(xiàng)和相應(yīng)的上下界作為結(jié)果返回基站．此外，存儲(chǔ)節(jié)點(diǎn)還需要返回該節(jié)點(diǎn)的驗(yàn)證對(duì)象（Verification Object，VO），用于驗(yàn)證結(jié)果的真實(shí)性和完整性．VO包括3部分：該節(jié)點(diǎn)AI樹的H MAC；從根節(jié)點(diǎn)到下邊界父節(jié)點(diǎn)所經(jīng)過(guò)節(jié)點(diǎn)的左兄弟節(jié)點(diǎn)摘要值；從根節(jié)點(diǎn)到上邊界父節(jié)點(diǎn)所經(jīng)過(guò)節(jié)點(diǎn)的右兄弟節(jié)點(diǎn)摘要值．當(dāng)基站收到管理節(jié)點(diǎn)返回的結(jié)果，首先根據(jù)摘要值重構(gòu)AI樹和H MAC，并與收到的H MAC進(jìn)行比較，若相等，則結(jié)果是真實(shí)完整的，否則結(jié)果無(wú)效．以圖3為例，當(dāng)結(jié)果為｛e5，e6，e7，e8｝時(shí)，VO＝｛h0－3，h4，h9，h10｝．基站根據(jù)h4和h5重構(gòu)出h4－5，使用同樣的方法重構(gòu)出h6－7、h8－9、h4－7、h8－10、h0－7．最終重構(gòu)出h0－10．基站比較重構(gòu)的h0－10是否等于收到的HMAC，從而判斷結(jié)果的真實(shí)性和完整性．

圖3 AI樹的例子Fig．3 An example of AI tree

EQ協(xié)議［18］向傳感器網(wǎng)絡(luò)中引入云節(jié)點(diǎn)作為存儲(chǔ)節(jié)點(diǎn)，使用順序加密機(jī)制（Or der Encryption Mechanism，OEM）防止敏感信息泄露，構(gòu)造位圖表（Bit-Map Table，BM）和異或鏈表（XOR Linked List，X2L）驗(yàn)證結(jié)果的完整性．與SEF協(xié)議一樣，EQ協(xié)議也分為3個(gè)部分：傳感器節(jié)點(diǎn)處理、管理節(jié)點(diǎn)處理和基站處理．傳感器節(jié)點(diǎn)在上傳數(shù)據(jù)之前需要執(zhí)行4個(gè)步驟：①將感知數(shù)據(jù)映射到有序區(qū)間中；②根據(jù)感知數(shù)據(jù)的坐標(biāo)（區(qū)間，位置）構(gòu)建BM表，并計(jì)算出BM值；③在每個(gè)感知數(shù)據(jù)中加入左右鄰居數(shù)據(jù)，得到X2L，并使用OEM加密；④將節(jié)點(diǎn)號(hào)、時(shí)間信息和加密數(shù)據(jù)一起發(fā)送到云節(jié)點(diǎn)．基站也使用相同的OEM機(jī)制加密查詢范圍，并下發(fā)到云節(jié)點(diǎn)．云節(jié)點(diǎn)根據(jù)加密的查詢范圍和感知數(shù)據(jù)執(zhí)行查詢?nèi)蝿?wù)，并返回查詢結(jié)果．當(dāng)節(jié)點(diǎn)的感知數(shù)據(jù)不符合查詢要求時(shí)，要求云節(jié)點(diǎn)上傳該節(jié)點(diǎn)的BM值．基站解密數(shù)據(jù)，根據(jù)X2L和BM值判斷結(jié)果是否完整．圖4演示了EQ協(xié)議的執(zhí)行過(guò)程．

文獻(xiàn)［19］結(jié)合保序函數(shù)（Order-preserving Function）、置換函數(shù)（Per mutation Function）和d-階分離矩陣（d-disj unct Matrix）實(shí)現(xiàn)兩層傳感器網(wǎng)絡(luò)中的隱私保護(hù)范圍查詢，但忽略了結(jié)果被篡改的情況．在協(xié)議中，基站為所有傳感器節(jié)點(diǎn)構(gòu)造相同的保序函數(shù)p、置換函數(shù)σ和d階分離矩陣M＝（M1，M2，…，Mn）．假設(shè)節(jié)點(diǎn)在t時(shí)刻采集到一系列數(shù)據(jù)D＝｛d1，d2，…，dm｝，允許出現(xiàn)重復(fù)數(shù)據(jù)．節(jié)點(diǎn)首先使用保序函數(shù)處理數(shù)據(jù)得到σ（D）＝｛σ（d1），σ（d2），…，σ（dm）｝，σ（D）去除重復(fù)元素，然后使用置換函數(shù)處理數(shù)據(jù)得到p（D）＝｛p（d1），p（d2），…，p（dm）｝，p（D）保留重復(fù)元素，最后根據(jù)d階分離矩陣，計(jì)算出列向量C節(jié)點(diǎn)將C和σ（D）發(fā)送到存儲(chǔ)節(jié)點(diǎn)．基站使用相同的保序函數(shù)σ將查詢范圍［a，b］轉(zhuǎn)換為｛Qmin，Qmax｝，其中，Qmin＝min｛σ（d）∣d∈［a，b］｝，Qmax＝max｛σ（d）∣d∈［a，b］｝．存儲(chǔ)節(jié)點(diǎn)根據(jù)｛Qmin，Qmax｝和σ（D）確定滿足條件的數(shù)據(jù)集D′，并將D′和C返回基站．基站根據(jù)D′、C＝（c1，c2，…，cm）T和M＝（M1，M2，…，Mn）求解出D′中每個(gè)數(shù)據(jù)的頻數(shù)．d-階分離矩陣在傳感器節(jié)點(diǎn)上存儲(chǔ)需要額外空間．當(dāng)查詢范圍較大時(shí)，根據(jù)C和A確定唯一結(jié)果的計(jì)算復(fù)雜度較高．

圖4 EQ協(xié)議的執(zhí)行過(guò)程Fig．4 Process of EQ

文獻(xiàn)［20-21］提出一種支持隱私性與完整性保護(hù)的范圍查詢協(xié)議．為了保護(hù)敏感信息的隱私性，協(xié)議使用數(shù)據(jù)區(qū)間表示感知數(shù)據(jù)和查詢范圍，并基于多項(xiàng)式技術(shù)構(gòu)造保序加密函數(shù)和查詢函數(shù)分別保護(hù)感知數(shù)據(jù)和查詢范圍．傳感器節(jié)點(diǎn)將保序加密后的數(shù)據(jù)發(fā)送到存儲(chǔ)節(jié)點(diǎn)．基站將查詢條件轉(zhuǎn)換為一個(gè)與傳感器節(jié)點(diǎn)ID相關(guān)的查詢條件后發(fā)送到存儲(chǔ)節(jié)點(diǎn)．存儲(chǔ)節(jié)點(diǎn)分別為每個(gè)提交數(shù)據(jù)的傳感器節(jié)點(diǎn)計(jì)算查詢條件，并完成查詢?nèi)蝿?wù)．為了保護(hù)結(jié)果的完整性，協(xié)議采用數(shù)字水印技術(shù)（Digital Water marking），為數(shù)據(jù)區(qū)間構(gòu)建一條水印鏈，基站借助該水印鏈可以驗(yàn)證結(jié)果是否真實(shí)可靠．文獻(xiàn)［20-21］還提出一種數(shù)據(jù)結(jié)構(gòu)——多維區(qū)間樹（Multi-Di mensional Range Tree，MDRT）實(shí)現(xiàn)隱私保護(hù)多維范圍查詢，同時(shí)構(gòu)造多條水印鏈保護(hù)結(jié)果完整性．對(duì)于存儲(chǔ)空間和計(jì)算能力有限的傳感器節(jié)點(diǎn)，MDRT需要額外的存儲(chǔ)空間，并且構(gòu)造復(fù)雜．

2．4 其他隱私保護(hù)技術(shù)

ZOSR協(xié)議［22］采用R-D判別方法（又稱為半徑距離判別法）和Z-O編碼比較技術(shù)（又稱為0-1編碼比較技術(shù)）［23］實(shí)現(xiàn)隱私保護(hù)范圍查詢．R-D判別方法將數(shù)值與查詢區(qū)間上下邊界的比較轉(zhuǎn)化為該數(shù)值到查詢區(qū)間中心的距離與查詢范圍半徑的比較．Z-O編碼比較技術(shù)對(duì)敏感信息進(jìn)行編碼：令xnxn－1…x1是數(shù)值x的二進(jìn)制形式，其中xi∈｛0，1｝，且1≤i≤n，x的Z編碼集合和O編碼集合分別是Zx＝｛xnxn－1…xi1∣xi＝0，1≤i≤n｝和Ox＝｛xnxn－1…xi∣xi＝1，1≤i≤n｝．Z-O編碼具有的性質(zhì)：x＞y當(dāng)且僅當(dāng)Ox∩Zy≠?．ZOSR協(xié)議的具體過(guò)程如下：每次查詢時(shí)，基站首先將本次查詢參數(shù)（包含查詢范圍的中心值）秘密分配給所有傳感器節(jié)點(diǎn)，并向存儲(chǔ)節(jié)點(diǎn)發(fā)送查詢范圍［a，b］半徑的O編碼集合．傳感器節(jié)點(diǎn)根據(jù)收到的查詢參數(shù)，計(jì)算感知數(shù)據(jù)到查詢范圍中心距離的Z編碼集合，并將其發(fā)送到存儲(chǔ)節(jié)點(diǎn)．存儲(chǔ)節(jié)點(diǎn)利用Z-O編碼的性質(zhì)進(jìn)行查詢處理，返回查詢結(jié)果．為了防止被俘獲節(jié)點(diǎn)惡意返回錯(cuò)誤結(jié)果，要求存儲(chǔ)節(jié)點(diǎn)廣播查詢半徑的O編碼集合，每個(gè)傳感器節(jié)點(diǎn)自行判斷其數(shù)據(jù)是否符合查詢條件，并生成驗(yàn)證碼發(fā)送到存儲(chǔ)節(jié)點(diǎn)．基站根據(jù)這些驗(yàn)證碼檢驗(yàn)查詢結(jié)果是否完整．ZOSR協(xié)議在驗(yàn)證結(jié)果時(shí)需要傳感器節(jié)點(diǎn)二次參與，增加了傳感器節(jié)點(diǎn)通信量和計(jì)算量．此外，傳輸Z-O編碼也會(huì)增加節(jié)點(diǎn)通信代價(jià)．

ESRQ協(xié)議［24］是一種基于特殊編碼的隱私保護(hù)范圍查詢協(xié)議．ESRQ利用布隆過(guò)濾器（Bloo m Filter）［25］的良好特性設(shè)計(jì)出一種特殊的二進(jìn)制位串——BF碼，使用單向散列函數(shù)將感知數(shù)據(jù)和查詢范圍分別映射成一個(gè)BF碼．BF碼在保護(hù)感知數(shù)據(jù)和用戶查詢的同時(shí)，保留了一定的特征信息，將對(duì)數(shù)值是否落在指定范圍的判斷轉(zhuǎn)換成對(duì)兩個(gè)BF碼的比較，從而允許管理節(jié)點(diǎn)在不獲取敏感信息的情況下完成范圍查詢．ESRQ協(xié)議借助有序數(shù)據(jù)之間的順序關(guān)系提出一種完整性驗(yàn)證機(jī)制，允許基站檢測(cè)出不合法的結(jié)果．此外，ESRQ協(xié)議還對(duì)性能進(jìn)行了改進(jìn)：一方面，根據(jù)BF碼“0”和“1”的分布特征設(shè)計(jì)出兩種無(wú)損壓縮機(jī)制——基于絕對(duì)位置的壓縮機(jī)制和基于相對(duì)位置的壓縮機(jī)制，縮短BF碼的長(zhǎng)度，降低節(jié)點(diǎn)通信成本；另一方面，設(shè)計(jì)出一種多編碼機(jī)制，將一個(gè)查詢范圍劃分成若干組，依次為每個(gè)組構(gòu)造相應(yīng)的BF碼，在不增加傳感器節(jié)點(diǎn)通信代價(jià)的情況下降低結(jié)果的誤識(shí)別率．

除了竊聽攻擊和篡改攻擊，文獻(xiàn)［26］還考慮了節(jié)點(diǎn)之間的共謀行為，提出一系列抵御共謀攻擊的隱私保護(hù)范圍查詢協(xié)議CPRQ．其核心思想是：在ESRQ協(xié)議的基礎(chǔ)上，設(shè)計(jì)出差異化的BF編碼機(jī)制，避免不同節(jié)點(diǎn)具有相同的“數(shù)據(jù)-BF碼”映射關(guān)系，再參照差異編碼規(guī)則，設(shè)計(jì)出與之匹配的成員關(guān)系判定機(jī)制．差異化的BF碼不僅可以抵御多種攻擊，而且保證管理節(jié)點(diǎn)完成范圍查詢．CPRQ系列協(xié)議包括c-CPRQ、r-CPRQ和u-CPRQ三種協(xié)議．c-CPRQ基于混淆機(jī)制為每個(gè)傳感器節(jié)點(diǎn)構(gòu)造不同的散列函數(shù)集合，防止惡意節(jié)點(diǎn)根據(jù)共享的散列函數(shù)集合推測(cè)出其他節(jié)點(diǎn)的“數(shù)據(jù)—BF碼”映射關(guān)系，但存在誤否定（False Negative）問(wèn)題，導(dǎo)致結(jié)果不完整．為了消除誤否定，r-CPRQ采用寬松成員關(guān)系判定機(jī)制，避免誤否定的發(fā)生，但是由于r-CPRQ的判定機(jī)制比c-CPRQ的寬松，無(wú)法有效過(guò)濾不符合要求的數(shù)據(jù)，導(dǎo)致誤識(shí)別率增加．為了實(shí)現(xiàn)低誤識(shí)別率和零誤否定率，u-CPRQ基于不確定機(jī)制為每個(gè)傳感器節(jié)點(diǎn)重新構(gòu)造散列函數(shù)集合，使得不同節(jié)點(diǎn)的散列函數(shù)的數(shù)量和組合均具有不確定性，防止節(jié)點(diǎn)共謀．

SEMR協(xié)議［27］利用矩陣變換技術(shù)實(shí)現(xiàn)隱私保護(hù)多維范圍查詢．其主要思想是：基站構(gòu)造一個(gè)秘密的3×3非奇異特征構(gòu)造矩陣M，并根據(jù)矩陣M為每個(gè)傳感器節(jié)點(diǎn)隨機(jī)構(gòu)造一個(gè)特征構(gòu)造矩陣W且W＝M－1．基站和傳感器節(jié)點(diǎn)分別使用M和W構(gòu)造變換查詢（Transf or med Quer y）和特征值矩陣（Characteristic Val ue Matrix），然后將變換查詢和特征值矩陣發(fā)送到存儲(chǔ)節(jié)點(diǎn)，存儲(chǔ)節(jié)點(diǎn)利用變換查詢和特征值矩陣在不獲取敏感信息的情況下完成查詢?nèi)蝿?wù)．具體過(guò)程如下：令D＝＜d1，d2，…，dz＞表示傳感器節(jié)點(diǎn)采集的一個(gè)z維數(shù)據(jù)，為每一維數(shù)dj（1≤j≤z）構(gòu)造數(shù)據(jù)向量νj＝（（dj）2，dj，1），從而得到一個(gè)z×3的數(shù)據(jù)矩陣V＝（ν1，ν2，…，νz）T，利用公式CV＝V·W計(jì)算出數(shù)據(jù)D的特征值矩陣CV．傳感器節(jié)點(diǎn)將加密后的數(shù)據(jù)D以及對(duì)應(yīng)的特征值矩陣CV一起發(fā)送到存儲(chǔ)節(jié)點(diǎn)．令＜［a1，b1］，…，［az，bz］＞表示一個(gè)z維的查詢命令，基站為每一維［aj，bj］構(gòu)造查詢向量qj＝（1，－（aj＋bj），aj·bj），從而構(gòu)造一個(gè)z×3的查詢矩陣Q＝（q1，q2，…，qz）T，利用公式TQ＝M·QT計(jì)算出變換查詢TQ，并將TQ發(fā)送到存儲(chǔ)節(jié)點(diǎn)．存儲(chǔ)節(jié)點(diǎn)根據(jù)TQ和數(shù)據(jù)D的特征值矩陣CV進(jìn)行判定：計(jì)算CV·TQ得到一個(gè)z×z矩陣，如果其對(duì)角線上的數(shù)值均非正，那么與CV對(duì)應(yīng)的數(shù)據(jù)D一定落在查詢范圍內(nèi)．圖5顯示了SEMR的執(zhí)行過(guò)程．當(dāng)不同傳感器節(jié)點(diǎn)的特征構(gòu)造矩陣W相同時(shí)，SEMR協(xié)議不能抵抗共謀攻擊．另外，SEMR協(xié)議不能抵御篡改攻擊．

3 對(duì)比分析

近年來(lái)，傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢處理技術(shù)已經(jīng)成為研究熱點(diǎn)，受到學(xué)術(shù)界越來(lái)越多的關(guān)注．我們從協(xié)議采用的主要隱私保護(hù)技術(shù)、保護(hù)的對(duì)象、抵御的攻擊模型、隱私保護(hù)能力、結(jié)果驗(yàn)證能力、節(jié)點(diǎn)執(zhí)行效率、結(jié)果精確度等方面對(duì)現(xiàn)有的研究成果進(jìn)行了對(duì)比分析，具體詳見表1．

從總體上看，現(xiàn)有的隱私保護(hù)范圍查詢研究成果尚未較好地實(shí)現(xiàn)隱私性、完整性、高效性和精確性四者之間的均衡．一方面，隱私性要求盡可能減少消息中的敏感信息量，而完整性需要借助一定的信息才能完成結(jié)果驗(yàn)證；另一方面，高效性要求協(xié)議盡可能降低通信和計(jì)算成本，而精確性需要通過(guò)節(jié)點(diǎn)之間的交互與計(jì)算才能實(shí)現(xiàn)．

實(shí)現(xiàn)隱私保護(hù)范圍查詢的技術(shù)多種多樣，各有利弊．桶技術(shù)雖然可以隱藏敏感信息，但是桶的范圍允許攻擊者對(duì)敏感信息進(jìn)行合理地估計(jì)，并且基于桶技術(shù)得到的結(jié)果存在一定的誤識(shí)別，導(dǎo)致結(jié)果不精確．盡管保序加密技術(shù)使得數(shù)據(jù)在表面上與原始數(shù)據(jù)沒(méi)有直接聯(lián)系，但是仍然會(huì)泄露數(shù)據(jù)間的大小關(guān)系，而且復(fù)雜的保序加密函數(shù)還會(huì)增加節(jié)點(diǎn)的計(jì)算代價(jià)．前綴成員驗(yàn)證技術(shù)和Z-O編碼技術(shù)均將一個(gè)數(shù)值表示成一個(gè)包含多個(gè)數(shù)值的集合，增加了節(jié)點(diǎn)的通信成本．BF編碼技術(shù)雖然具備較高的隱私包含能力和效率，但結(jié)果精確度有待提高．矩陣變換技術(shù)大大增加節(jié)點(diǎn)的計(jì)算代價(jià)．此外，并不是所有協(xié)議均能抵御竊聽、篡改、共謀等多種攻擊．不同的攻擊模型，需要不同的抵御手段．例如，抵御竊聽攻擊需要隱藏原始敏感信息；抵御共謀攻擊需要引入完整性驗(yàn)證機(jī)制，這往往需要加入冗余信息，進(jìn)一步增加了通信成本；抵御共謀攻擊應(yīng)該避免不同節(jié)點(diǎn)使用相同的網(wǎng)絡(luò)參數(shù)和協(xié)議規(guī)則．

協(xié)議名稱 主要技術(shù)保護(hù)的對(duì)象節(jié)點(diǎn)數(shù)據(jù)用戶查詢抵御的攻擊模型竊聽 篡改 共謀隱私保護(hù)能力結(jié)果驗(yàn)證能力節(jié)點(diǎn)效率通信量 計(jì)算量 結(jié)果精確度文獻(xiàn)［1，6］Spatial Cr osscheck［7-8］Temporal Cr osscheck［7-8］Spatiotemporal Crosscheck［7-8］Probabilistic Spatiotemporal Crosscheck［9］桶技術(shù)√ √ √ √ 弱 較強(qiáng) 低 低 低√ √ √ √ 弱 較弱 高 低 低√ √ √ √ 弱 較弱 較高 低 低√ √ √ √ 弱 較強(qiáng) 高 低 低√ √ √ √弱 弱 較高 低 低Safe Q［12，13］ 前綴成員驗(yàn)證技術(shù) √ √ √ √較強(qiáng) 強(qiáng) 高 高 精確SEF［17］EQ［18］文獻(xiàn)［19］文獻(xiàn)［20-21］保序加密技術(shù)√ √ √ √ 較強(qiáng) 強(qiáng) 高 高 精確√ √ √ √ 較強(qiáng) 強(qiáng) 高 高 精確√ √ √ 較強(qiáng) 無(wú) 較高 高 較高√ √ √ √較強(qiáng) 強(qiáng) 低 高 精確ZOSR［22］ Z-O編碼技術(shù) √ √ √ √較強(qiáng) 強(qiáng) 高 較低 精確ESRQ［24］c-CPRQ［26］r-CPRQ［26］u-CPRQ［26］BF編碼技術(shù)√ √ √ √ 較強(qiáng) 強(qiáng) 低 較低 高√ √ √ √ √ 強(qiáng) 強(qiáng) 低 較低 低√ √ √ √ √ 強(qiáng) 強(qiáng) 低 較低 低√ √ √ √ √強(qiáng) 強(qiáng) 低 較低 高SEMR［27］ 矩陣變換技術(shù) √ √ √較強(qiáng) 無(wú) 較高 高 精確

4 未來(lái)工作展望

傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢處理技術(shù)屬于新興研究領(lǐng)域，還有很多挑戰(zhàn)性問(wèn)題需要進(jìn)一步研究．

（1）安全強(qiáng)度、執(zhí)行效率、結(jié)果精度之間的優(yōu)化均衡

節(jié)點(diǎn)能量、通信和計(jì)算能力、存儲(chǔ)空間等資源受限，是傳感器網(wǎng)絡(luò)的重要特征．然而隱私保護(hù)范圍查詢協(xié)議往往需要較高的通信與計(jì)算代價(jià)，降低了執(zhí)行效率，增加了能量開銷，同時(shí)縮短了網(wǎng)絡(luò)生命周期．傳感器網(wǎng)絡(luò)隱私保護(hù)范圍查詢協(xié)議的優(yōu)化目標(biāo)是，在安全強(qiáng)度、執(zhí)行效率和結(jié)果精度三者之間取得平衡，在保證高強(qiáng)度隱私保護(hù)的前提下，減少通信與計(jì)算代價(jià)，提高執(zhí)行效率和結(jié)果精確度．現(xiàn)有的隱私保護(hù)范圍查詢協(xié)議雖然提出了許多優(yōu)化平衡策略，但還遠(yuǎn)遠(yuǎn)不能滿足傳感器網(wǎng)絡(luò)的實(shí)際應(yīng)用需求，需要進(jìn)一步研究．

（2）隱私保護(hù)復(fù)雜范圍查詢技術(shù)

近年來(lái)，傳感器技術(shù)不斷進(jìn)步，使得單個(gè)傳感器節(jié)點(diǎn)可以感知多種屬性信息，例如，在智能家居中，智能傳感器可以同時(shí)感知溫度、濕度、光照等信息．與此同時(shí)，用戶查詢也日趨復(fù)雜化，從單維數(shù)據(jù)到多維數(shù)據(jù)，從歷史查詢到實(shí)時(shí)查詢，從快照查詢到連續(xù)查詢．現(xiàn)有研究成果主要研究了單維、歷史、快照式范圍查詢中的隱私保護(hù)技術(shù)，極少研究隱私保護(hù)多維范圍查詢，多維數(shù)據(jù)之間的關(guān)聯(lián)性以及節(jié)點(diǎn)通信開銷與計(jì)算代價(jià)隨著維度增加而快速遞增，增加了隱私保護(hù)多維范圍查詢的難度．同時(shí)現(xiàn)有成果缺少對(duì)實(shí)時(shí)、連續(xù)式范圍查詢中隱私技術(shù)的研究．因此，研究隱私保護(hù)復(fù)雜范圍查詢技術(shù)是傳感器網(wǎng)絡(luò)應(yīng)用發(fā)展的需要，也是未來(lái)的重點(diǎn)研究方向．

（3）復(fù)雜攻擊環(huán)境下的隱私保護(hù)范圍查詢處理技術(shù)

作為物聯(lián)網(wǎng)的重要組成部分，傳感器網(wǎng)絡(luò)的應(yīng)用需求日趨多樣化，對(duì)隱私保護(hù)的要求越來(lái)越高；同時(shí)，攻擊者的攻擊方式日益復(fù)雜、攻擊能力日益強(qiáng)大．現(xiàn)有的隱私保護(hù)范圍查詢協(xié)議較多關(guān)注竊聽攻擊和簡(jiǎn)單的篡改攻擊，極少關(guān)注危害性更大的復(fù)雜攻擊，如共謀攻擊、重放攻擊等．傳感器網(wǎng)絡(luò)的開放性導(dǎo)致我們無(wú)法預(yù)知攻擊者的攻擊方式和攻擊能力，并且抵御單一攻擊的傳感器網(wǎng)絡(luò)已經(jīng)無(wú)法保障復(fù)雜攻擊環(huán)境下網(wǎng)絡(luò)的安全性．為了保證復(fù)雜攻擊環(huán)境下隱私保護(hù)范圍查詢協(xié)議的安全性能，必須盡可能提高協(xié)議對(duì)各類攻擊的抵御能力．

［1］SHENG B，LI Q．Verifiable privacy-preserving range query in t wo-tiered sensor net wor ks［C］／／INFOCOM 2008．The 27t h Conference on Co mputer Co mmunications．IEEE，2008．

［2］ROBERT S，ANDRAS F．Energy i mplication of net wor k sensor designs［J］．（2008-04-01）［2015-06-30］．http：／／www．cs．ber keley．edu／-zewczyk／cs252／paper．pdf．

［3］GNA WALI O，JANG K Y，PAEK J，et al．The tenet architect ure f or tiered sensor net wor ks［C］／／Pr oceedings of the 4th international conference on Embedded net worked sensor systems．ACM，2006：153-166．

［4］HACIGüMüSH，IYER B，LI C，et al．Executing SQL over encr ypted data in t he database-ser vice-pr ovider model［C］／／Proceedings of the 2002 ACM SIGMODinternational conference on Management of data．ACM，2002：216-227．

［5］HORE B，MEHROTRA S，TSUDIK G．A privacy-preser ving index f or range queries［C］／／Proceedings of t he Thirtiet h inter national conference on Very lar ge data bases-Volu me 30．VLDB Endowment，2004：720-731．

［6］SHENG B，LI Q．Verifiable privacy-preser ving sensor net wor k storage f or range query［J］．Mobile Co mputing IEEE Transactions on，2011，10（9）：1312-1326．

［7］SHI J，ZHANG Y．Secure range queries in tiered sensor net works［C］／／INFOCOM 2009，IEEE．IEEE，2009：945-953．

［8］SHI J，ZHANG R，ZHANG Y．A spatiotemporal approach f or secure range queries in tiered sensor net wor ks［J］．IEEE transactions on wireless co mmunications，2011，10（1）：264-273．

［9］ZHANG R，SHI J，ZHANG Y．Secure multidi mensional range queries in sensor net wor ks［C］／／Proceedings of t he tenth ACMinternational sy mposiu m on Mobile ad hoc net working and computing．ACM，2009：197-206．

［10］CHENG J，YANG H，WONG S H Y，et al．Design and i mplementation of cr oss-do main cooperative firewall［C］／／Net wor k Protocols，ICNP 2007．IEEE International Conference on，2007：284-293．

［11］LIU A X，CHEN F．Collaborative enf orcement of firewall policies in virtual private net wor ks［C］／／Proceedings of t he t went y-sevent h ACM sy mposiu m on Principles of distributed co mputing．ACM，2008：95-104．

［12］CHEN F，LIU A X．Safe Q：Secure and efficient query processing in sensor net wor ks［C］／／INFOCOM，2010 Pr oceedings IEEE．IEEE，2010：1-9．

［13］CHEN F，LIU A X．Privacy-and integrity-preserving range queries in sensor net works［J］．Net working，IEEE／ACM Transactions on，2012，20（6）：1774-1787．

［14］BOLDYREVA A，CHENETTE N，LEE Y，et al．Order-preserving sy mmetric encryption［M］／／Advances in Cr yptology-EUROCRYPT 2009．Berlin Heidelber g：Springer，2009：224-241．

［15］MERKLE R C．A certified digital signat ure［C］／／Advances in Cr yptology－CRYPTO＇89 Proceedings．New Yor k：Springer，1990：218-238．

［16］AGRA WAL R，KIERNAN J，SRIKANT R，et al．Or der preserving encr yption f or nu meric data［C］／／Pr oceedings of t he 2004 ACM SIGMODinter national conference on Management of data．ACM，2004：563-574．

［17］BU J，YIN M，HE D，et al．SEF：a secure，efficient，and flexible range quer y sche me in t wo-tiered sensor networ ks［J］．Inter national Jour nal of Distributed Sensor Net wor ks，2011（3）：876-879．

［18］TSOU Y T，L U C S，KUO S Y．Privacy-and integrity-preserving range quer y in wireless sensor net wor ks［C］／／Global Co mmunications Conference（GLOBECOM），2012 IEEE．IEEE，2012：328-334．

［19］NGUYEN T D，BUI T V，DANG V H，et al．Efficiently preser ving data privacy range queries in t wo-tiered wireless sensor net wor ks［C］／／Ubiquitous Intelligence＆Co mputing and 9t h Inter national Conference on Autono mic＆Tr usted Co mputing（UIC／ATC），2012 9t h Inter national Conference on．IEEE，2012：973-978．

［20］LI R，LIN Y，YI Y，et al．A privacy and integrity preser ving range quer y pr otocol in t wo-tiered sensor net wor ks［J］．Chin J Co mput，2013，36：1194-1209．

［21］YI Y，LI R，CHEN F，et al．A digital water mar king appr oach to secure and precise range quer y processing in sensor net wor ks［C］／／INFOCOM，2013 Proceedings IEEE．IEEE，2013：1950-1958．

［22］DOU Y，HUANG H，WANG R，et al．Secure range query in t wo-tiered wireless sensor net wor ks［J］．Jisuanji Yanjiu yu Fazhan／Co mputer Research and Develop ment，2013，50（6）：1253-1266．

［23］LIN H Y，TZENG W G．An efficient sol ution t o t he millionaires＇proble m based on ho mo mor phic encryption［C］／／Applied Cr yptography and Net wor k Security．Berlin Heidelber g：Springer，2005：456-466．

［24］ZHANG X，DONG L，PENG H，et al．Achieving efficient and secure range quer y in t wo-tiered wireless sensor net wor ks［C］／／Pr oceedings of t he IEEE／ACMInter national Sy mposiu m on Qualit y of Ser vice，Hong Kong，China．IEEE，2014：26-27．

［25］BLOOM B H．Space／ti me trade-offsin hash coding with allowable err ors［J］．Co mmunications of t he ACM，1970，13（7）：422-426．

［26］ZHANG X，DONG L，PENG H，et al．Collusion-aware privacy-preser ving range query in tiered wireless sensor net wor ks［J］．Sensors，2014，14（12）：23905-23932．

［27］DONG L，ZHU J，ZHANG X，et al．SEMR：Secure and Efficient Multi-Di mensional Range Quer y Pr ocessing in Two-tiered Wireless Sensor Net wor ks［M］／／Web-Age Inf or mation Management．［S．l．］：Springer Inter national Publishing，2015：520-524．