孔祥雪， 袁少卿， 陳 夢

(天津大學 電氣與自動化工程學院，天津 300072)

0 引 言

無線傳感器網(wǎng)絡(wireless sensor networks,WSNs)廣泛應用于目標監(jiān)測。在目標監(jiān)測過程中，一旦源節(jié)點的位置隱私遭到暴露，將直接威脅監(jiān)測目標的安全。因此，保護源節(jié)點的位置隱私顯得尤為重要，同時，兼顧保護策略的安全性和性能也是需要考慮的問題[1]。

文獻[2]基于“熊貓—獵人”博弈模型首次提出了無線傳感器網(wǎng)絡中源位置隱私保護問題。Kamat P等人[3]基于單一路徑和洪泛路由提出了幻影路由(phantom routing)協(xié)議，試圖通過完全隨機步的方式產(chǎn)生位置各異的幻象節(jié)點。為了使幻象節(jié)點盡可能遠離真實源節(jié)點，姚劍波等人提出了定向隨機轉發(fā)路由[4]。在此基礎上，文獻[5]提出了基于角度的定向隨機步路由協(xié)議。文獻[6]首次考慮具有更強視覺攻擊能力的敵人，提出了可視區(qū)的概念和基于定位角的幻影路由協(xié)議(phantom routing with locational angle,PRLA)協(xié)議。陳娟等人提出了基于源節(jié)點有限洪泛的源位置隱私保護協(xié)議(protocol in wireless sensor networks using source-based restricted flooding,PUSBRF)協(xié)議和增強性源位置保護協(xié)議(enhancement PUSBRF,EPUSBRF)協(xié)議避免了失效路徑的產(chǎn)生[7]。文獻[8]提出了迷惑區(qū)域方案，可以有效降低數(shù)據(jù)包被追蹤的幾率。文獻[9]提出了路徑擴展方案(path extension method,PEM)，該方案雖然在源節(jié)點距離基站較近的情況下仍然可以提供很好的源位置隱私保護。但與其他假源方案[10]的缺點相似，產(chǎn)生的多條虛假路徑增加了網(wǎng)絡的通信開銷。

針對源位置隱私保護策略中幻影節(jié)點分布區(qū)域過于集中、無法高效避免失效路徑產(chǎn)生等問題，本文綜合考慮安全性與協(xié)議性能提出了基于隨機虛擬環(huán)的隱私保護路由協(xié)議 (protocol based on random virtual ring,PRVR)，該協(xié)議能夠在不增加任何網(wǎng)絡能耗的前提下避免失效路徑的產(chǎn)生。同時將路由路徑擴展到源節(jié)點所在的虛擬環(huán)范圍，使得攻擊者難以實施高效的反向追蹤，從而顯著地提高了源位置隱私的安全性。此外，PRVR協(xié)議在網(wǎng)絡能耗的均衡性方面亦具有明顯優(yōu)勢。

1 系統(tǒng)模型與相關定義

1.1 網(wǎng)絡模型

本文對整個傳感器網(wǎng)絡做如下假設：

1)傳感器節(jié)點均勻部署于正方形區(qū)域，且節(jié)點間通過多跳的方式通信。全網(wǎng)僅有一個位于網(wǎng)絡中心位置的基站。所有源節(jié)點發(fā)出的監(jiān)測數(shù)據(jù)均傳送至基站。

2)當監(jiān)測目標出現(xiàn)在網(wǎng)絡中的某一位置時，距離其最近的節(jié)點成為源節(jié)點，全網(wǎng)在任意時刻有且僅有一個源節(jié)點。當監(jiān)測目標移動時，距離其新位置最近的節(jié)點成為新的源節(jié)點。

3)全網(wǎng)節(jié)點安全通信協(xié)議在網(wǎng)絡部署完成后建立。攻擊無法對數(shù)據(jù)包的內(nèi)容進行破解，僅基站可以獲取這些關鍵信息。

1.2 攻擊模型

本文假定攻擊者具有如下特征：

1)攻擊硬件設施優(yōu)良，配備有頻譜分析儀、天線等設備可以用于監(jiān)聽信息并確認其發(fā)送位置。

2)攻擊初始狀態(tài)位于基站附近，監(jiān)聽基站與其鄰居節(jié)點之間的通信，一旦監(jiān)聽到某一節(jié)點向基站發(fā)送數(shù)據(jù)包，則迅速移至此節(jié)點處繼續(xù)監(jiān)聽。依此方式反向追蹤，直至找到源節(jié)點位置為止。

3)攻擊只能進行一定區(qū)域內(nèi)的被動流量監(jiān)測，并不能篡改數(shù)據(jù)包內(nèi)容，也不能破壞傳感器節(jié)點或改變數(shù)據(jù)路由路徑。

1.3 相關定義

1)可視區(qū)和失效路徑：以源節(jié)點為中心，距離源節(jié)點r跳范圍內(nèi)的區(qū)域稱為可視區(qū)，其中r稱為可視區(qū)半徑。攻擊一旦追蹤到可視區(qū)內(nèi)的節(jié)點即視為源節(jié)點暴露[6]，定義最短路階段經(jīng)過可視區(qū)的路徑為失效路徑。

2)虛擬環(huán)：將距離基站具有相同最小跳數(shù)的所有節(jié)點組成的集合稱為虛擬環(huán)。虛擬環(huán)的環(huán)半徑R定義為環(huán)上節(jié)點距離基站的最小跳數(shù)。

表1 本文使用的主要符號

2 路由協(xié)議設計

PRVR協(xié)議數(shù)據(jù)包的發(fā)送過程如圖1所示，由源節(jié)點發(fā)出的每個數(shù)據(jù)包均要經(jīng)歷3個階段：增強型定向隨機步，虛擬環(huán)路由階段和最短路路由階段。

為了便于進一步闡述該協(xié)議，首先給出2個定義：

1)將PRVR協(xié)議中數(shù)據(jù)包經(jīng)過增強型定向隨機步后到達的節(jié)點稱為第一階段幻象節(jié)點。

2)將PRVR協(xié)議中數(shù)據(jù)包經(jīng)過虛擬環(huán)路由后到達的節(jié)點稱為第二階段幻象節(jié)點，也稱為幻象源節(jié)點。

圖1 路由協(xié)議總體過程

2.1 增強型定向隨機步

早期的定向隨機步[4]如圖2(a)所示。針對早期定向隨機步的數(shù)據(jù)收集時延和網(wǎng)絡能耗增加、無法避免失效路徑的產(chǎn)生等問題，本文提出了增強型定向隨機步：1)數(shù)據(jù)轉發(fā)僅沿靠近基站方向進行；2)步長h不再為固定值。如圖2(b)所示。增強型定向隨機步包括2個步驟：1)源節(jié)點在發(fā)送每個數(shù)據(jù)包前產(chǎn)生一個從r到L-3均勻分布的隨機數(shù)Rand1，并將此隨機數(shù)作為增強型定向隨機步跳數(shù)存入數(shù)據(jù)包內(nèi)。2)源節(jié)點從其父節(jié)點集中隨機選擇一個節(jié)點作為數(shù)據(jù)包下一跳轉發(fā)節(jié)點，且Rand1減1；轉發(fā)節(jié)點重復此過程，直至Rand1為0，數(shù)據(jù)包到達第一階段幻象節(jié)點。

增強型定向隨機步主要有以下優(yōu)勢：1)相當于數(shù)據(jù)包提前進行了Rand1跳最短路徑路由，有效地縮短數(shù)據(jù)包的收集時延。2)采用隨機步長Rand1大幅增加了第一階段幻象源節(jié)點的位置多樣性，從而增加了敵人追蹤的難度。3)考慮到攻擊者的可視區(qū)問題，規(guī)定Rand1≥r，這時數(shù)據(jù)包可以保證被路由至可視區(qū)以外且位于靠近基站的位置。因此，最短路徑路由階段不可能穿過可視區(qū)，亦即PRVR協(xié)議可以完全避免失效路徑的產(chǎn)生。

圖2 增強型定向隨機步路由過程

2.2 虛擬環(huán)路由階段

增強型定向隨機步可以保證第一階段幻象節(jié)點遠離真實源節(jié)點且具有一定的位置多樣性。然而，第一階段幻象節(jié)點仍集中在圖2(b)所示的梯形區(qū)域內(nèi)，當面對具有方向攻擊性的攻擊時，攻擊可以通過沿固定方向跳躍式追蹤的方法快速找到真實源節(jié)點所在范圍進而捕獲監(jiān)測目標。

為了改善以上不足，PRVR協(xié)議引入了虛擬環(huán)路由，如圖1所示：虛擬環(huán)路由開始于第一階段幻象節(jié)點，節(jié)點P1在轉發(fā)數(shù)據(jù)包前，首先隨機指定一個環(huán)方向作為數(shù)據(jù)包的傳輸方向，逆時針方向或者順時針方向，圖中P1選擇逆時針方向。P1隨機生成一個均勻分布于(1,NR/2)的隨機整數(shù)Rand2作為數(shù)據(jù)包在虛擬環(huán)上路由的跳數(shù)。之后，數(shù)據(jù)包沿逆時針方向在R=5的虛擬環(huán)上進行環(huán)路由，數(shù)據(jù)包每到達一個轉發(fā)節(jié)點更新Rand2=Rand2-1。重復此轉發(fā)過程直至Rand2=0，數(shù)據(jù)包到達第二階段幻象節(jié)點P2。

虛擬環(huán)路由階段，環(huán)半徑R虛擬環(huán)跳數(shù)Rand2的選取至關重要。考慮到環(huán)半徑R過小時，虛擬環(huán)路由不能有效地延長敵人的追蹤時間，因此,PRVR協(xié)議限制Rand≤L-3，即數(shù)據(jù)包不會沿半徑R≤3的虛擬環(huán)進行環(huán)路由。此外，考慮到環(huán)半徑較大時過長的虛擬環(huán)路由路徑可能帶來的高時延和高能耗，限制Rand2

總結PRVR協(xié)議的前兩個階段可以得出，虛擬環(huán)路由可以與增強型定向隨機步緊密配合，將幻象源節(jié)點可能出現(xiàn)的位置區(qū)域擴展為由R=L-r和R=3的虛擬環(huán)所組成的環(huán)形區(qū)域。與以往的幻象路由協(xié)議相比，PRVR極大地增加了幻象源節(jié)點地理位置分布的多樣性。

為了驗證上述結論，對PRVR協(xié)議前兩個階段進行了仿真。分別從源節(jié)點發(fā)送50個和200個數(shù)據(jù)包，然后將每個數(shù)據(jù)包所對應的幻象源節(jié)點的位置標記于圖3中，仿真中設置L=10，r=1。

圖3 PRVR協(xié)議幻象源節(jié)點地理位置分布

仿真結果顯示，隨著源節(jié)點發(fā)送數(shù)據(jù)包數(shù)量的增加，PRVR協(xié)議幻象源節(jié)點的位置多樣性顯著增加。與分析結果一致。

2.3 最短路路由階段

數(shù)據(jù)包以最短路的方式從P2向基站路由，P2隨機從其父節(jié)點集中選擇一個節(jié)點作為其下一跳節(jié)點，重復此過程，直至數(shù)據(jù)包到達基站。實現(xiàn)過程與第一階段中增強型定向隨機步相同，其優(yōu)勢在于：既保證了最短路傳輸時延和能量消耗小的優(yōu)勢，又在一定程度上增加了傳輸路徑的多樣性。

3 仿真結果對比與分析

本文利用MATLAB進行仿真實驗。將14 500個傳感器節(jié)點均勻部署于6 000 m×6 000 m的矩形區(qū)域，節(jié)點的通信半徑為80 m?；疚挥诰W(wǎng)絡中心位置。仿真實驗中，作為對照的其他路由協(xié)議的參數(shù)設置如下，Phantom single-path協(xié)議中的隨機步h=15，EPUSBRF協(xié)議中源節(jié)點有限洪泛跳數(shù)hw=10，特別地，當L=10時，hw=5。

3.1 安全周期分析

定義安全周期為源節(jié)點被敵人捕獲前發(fā)送的數(shù)據(jù)包的數(shù)量。首先設置可視區(qū)半徑r=1。在距離基站為L的虛擬環(huán)上均勻選取10節(jié)點作為源節(jié)點位置。源節(jié)點每次發(fā)送1 000個數(shù)據(jù)包，求出安全周期。重復進行此反向追蹤實驗100次，獲得平均安全周期如圖4(a)所示。從圖中可以看出，3種策略的安全周期隨L增加而增加，其中PRVR協(xié)議的增速明顯快于另外2種策略，在每個L處，其安全周期均高于另外2種策略。PRVR協(xié)議的平均安全周期較Phantom single-path策略增加了近2.3倍，較EPUSBRF策略增加了53.25 %。

圖4 安全周期與源節(jié)點距離Sink節(jié)點的距離

為了檢驗PRVR協(xié)議是否可以有效應對具有更大攻擊視野的攻擊者，設置可視區(qū)半徑r=5。重新對3種協(xié)議進行仿真如圖4(b)所示。從圖中可以看出3種路由協(xié)議的平均安全周期相對于自身協(xié)議在可視區(qū)半徑r=1時的表現(xiàn)均有不同程度下降。這是因為攻擊視野變大后可以在距離源節(jié)點更遠的位置發(fā)現(xiàn)源節(jié)點，進而捕獲源節(jié)點。另外，PRVR協(xié)議的安全周期最長，且隨著L的增大，平均安全周期增速最快。PRVR協(xié)議的平均安全周期較Phantom single-path協(xié)議增加了近3倍，較EPUSBRF協(xié)議增加了41.55 %。由此可見，不論攻擊者是否擁有更大的攻擊視野，PRVR協(xié)議均可以為源節(jié)點提供較長的安全周期。

3.2 數(shù)據(jù)收集時延分析

采用數(shù)據(jù)包路由路徑的平均長度作為衡量數(shù)據(jù)收集時延的指標。仿真實驗中，設置可視區(qū)半徑r=1，分別從不同位置的源節(jié)點發(fā)送1 000個數(shù)據(jù)包，然后統(tǒng)計每個源節(jié)點所對應的平均路徑長度如圖5(a)所示。從圖中可以看出，當源節(jié)點距離基站較近時，PRVR協(xié)議的傳輸時延小于其他2個策略，這主要是由于Rand1和Rand2的可取范圍較小，且本文對兩者的取值范圍進行了很好的限制。但隨著源節(jié)點和基站間距離的增大，PRVR協(xié)議的傳輸時延呈現(xiàn)出線性增長的趨勢。這主要是因為虛擬環(huán)的引入改變了原有最短路徑傳輸?shù)那闆r，延長了路由路徑。

圖5 數(shù)據(jù)收集時延與源節(jié)點距離Sink節(jié)點的距離

考慮到具有更大攻擊視野的攻擊者，設置可視區(qū)半徑r=5，對3種協(xié)議數(shù)據(jù)包的收集時延重新進行仿真如圖5(b)所示。PRVR協(xié)議隨可視區(qū)半徑增加，數(shù)據(jù)收集時延反而減小。這是因為規(guī)定Rand1必須大于等于可視區(qū)半徑r，當可視區(qū)半徑r增大時Rand1也相應增大，對應的虛擬環(huán)路由的半徑則會減小，所以平均路由路徑長度也會減少。當源節(jié)點與基站之間的距離較近時，PRVR協(xié)議的數(shù)據(jù)包收集時延最小。但隨著L的增大，PRVR協(xié)議數(shù)據(jù)包的收集時延增速最快，與另外兩種協(xié)議之間的差距較r=1時已有很大改善。PRVR協(xié)議數(shù)據(jù)包的收集時延較EPUSBRF協(xié)議僅僅高出8.53 %。因此，PRVR協(xié)議在獲得相對較長安全周期的前提下，其數(shù)據(jù)包的收集時延可接受。此外，在具體應用時，可以通過調(diào)整Rand1的取值范圍，即虛擬環(huán)半徑來平衡安全時間和數(shù)據(jù)收集時延之間的矛盾以滿足實際需求。

4 結束語

本文分析了目前在源位置隱私保護策略中存在的問題，提出了一種基于隨機虛擬環(huán)的源位置隱私保護路由協(xié)議PRVR。通過合理地選擇Rand1的取值范圍可以完全避免失效路徑的產(chǎn)生。同時，Rand1和Rand2的配合使用，改變了以往幻影路由中幻影節(jié)點局限于網(wǎng)絡中某一區(qū)域的情況，將路由路徑擴展到了源節(jié)點所在的環(huán)形區(qū)域，從而極大地增加了路由路徑的多樣性。仿真結果表明：相較于已有的源位置隱私保護策略，在有限時延的情況下，PRVR協(xié)議明顯地提高了源位置隱私的安全性。

[1] 陳 曦，姚劍波．WSNs中的位置隱私評述[J]．傳感器與微系統(tǒng)，2009，28(8)：1-4．

[2] Ozturk C,Zhang Y,Trappe W.Source-location privacy in energy-constrained sensor network routing[C]∥Proceedings of the 2nd ACM Workshop on Security of Ad Hoc and Sensor Networks,2004:88-93.

[3] Kamat P,Zhang Y,Trappe W,et al.Enhancing source-location privacy in sensor network routing [C]∥25th IEEE International Conference on Distributed Computing Systems,ICDCS’05,2005:599-608.

[4] 姚劍波，文光?。疅o線傳感器網(wǎng)絡中的位置隱私保護路由[J]．計算機應用，2008(8)：1437-1441．

[5] 黃北北，馮 勇，李修琪，等．無線傳感器網(wǎng)絡中基于角度的定向隨機步幻影路由協(xié)議[J]．傳感器與微系統(tǒng)，2016，35(11)：123-127．

[6] Wang W P,Chen L,Wang J X.A source-location privacy protocol in WSNs based on locational angle[C]∥2008 IEEE International Conference on Communications,2008:1630-1634.

[7] 陳 娟，方濱興，殷麗華，等．傳感器網(wǎng)絡中基于源節(jié)點有限洪泛的源位置隱私保護協(xié)議[J]．計算機學報， 2010，33(9)：1736-1747．

[8] Gurjar A,Patil A R B.Cluster-based anonymization for source location privacy in wireless sensor networks[C]∥2013 Internatio-nal Conference on Communication Systems and Network Techno-logies(CSNT),IEEE,2013:248-251.

[9] Tan W,Xu K,Wang D.An anti-tracking source-location privacy protection protocol in WSNs based on path extension[J].IEEE Internet of Things Journal,2014,1(5):461-471.

[10] Mehta K,Liu D,Wright M.Location privacy in sensor networks against a global Eavesdropper[C]∥2007 IEEE International Conference on Networks Protocols,IEEE,2007:314-323.