周倩，秦小麟，丁有偉

?

基于攻擊感知的能量高效源位置隱私保護(hù)算法

周倩1,2，秦小麟1,2，丁有偉1,2

（1. 南京航空航天大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，江蘇 南京 211106；2. 江蘇省物聯(lián)網(wǎng)與控制技術(shù)重點(diǎn)實(shí)驗(yàn)室，江蘇 南京 211106）

提出了一種靜默池機(jī)制方法（SPA, silent-pool approach），當(dāng)傳感器節(jié)點(diǎn)感知到附近移動(dòng)攻擊者的存在，通過(guò)控制節(jié)點(diǎn)的轉(zhuǎn)發(fā)狀態(tài)從而阻止和減少攻擊者收到有效數(shù)據(jù)分組。在此基礎(chǔ)上，進(jìn)一步提出了對(duì)當(dāng)前路由路徑?jīng)]有任何影響的安全機(jī)制——池外虛假信息注入（DPIOP, dummy packet injection out pool）法，誘使攻擊者遠(yuǎn)離傳輸路徑。實(shí)驗(yàn)結(jié)果驗(yàn)證了SPA和DPIOP的隱私性能，與現(xiàn)有方法相比可減少能耗約為63%，降低時(shí)延約為35%。

位置隱私；傳感器網(wǎng)絡(luò)；能量高效；攻擊感知；上下文感知

1 引言

傳感器網(wǎng)絡(luò)因其節(jié)點(diǎn)體積小、組網(wǎng)能力強(qiáng)、部署維護(hù)簡(jiǎn)單等特性，廣泛應(yīng)用在人跡罕至的敏感環(huán)境中[1]，如戰(zhàn)場(chǎng)或野生動(dòng)物保護(hù)區(qū)等。在監(jiān)測(cè)瀕臨滅絕的野生動(dòng)物（如大熊貓）的傳感器網(wǎng)絡(luò)中，大熊貓身上攜帶的傳感器可以將其位置信息發(fā)送到監(jiān)控中心，大熊貓的位置稱(chēng)為信息源的位置。如圖1所示，攻擊者在傳感器節(jié)點(diǎn)1附近，通過(guò)信號(hào)探測(cè)設(shè)備監(jiān)聽(tīng)數(shù)據(jù)分組，根據(jù)數(shù)據(jù)分組的時(shí)間和發(fā)送方向等上下文信息，攻擊者向傳感器節(jié)點(diǎn)2移動(dòng)，并逐步接近源節(jié)點(diǎn)，即大熊貓的位置。

在實(shí)際監(jiān)控系統(tǒng)中，信息源所感知的對(duì)象都是需要重點(diǎn)保護(hù)的（如圖1的大熊貓），因此，信息源的位置在數(shù)據(jù)傳輸?shù)倪^(guò)程中不能被泄露，以免造成嚴(yán)重的經(jīng)濟(jì)或資源損失。信息源的位置，就是一種隱私信息，只有授權(quán)者可以查看。隱私又可分為基于內(nèi)容和基于上下文的隱私[2,3]，基于內(nèi)容的隱私是指內(nèi)容形式上的完整性和機(jī)密性，即不能篡改信息的內(nèi)容。本文討論的隱私是基于上下文的，即根據(jù)情境推斷出位置源信息。

圖1 上下文攻擊

現(xiàn)有方法主要通過(guò)改變或增加路徑長(zhǎng)度來(lái)保護(hù)源位置隱私，如幻影路由、多路徑路由、虛假信息源注入等安全路由機(jī)制。這些技術(shù)主要以犧牲網(wǎng)絡(luò)性能為代價(jià)換取一定的安全，不適用于傳感器能耗或響應(yīng)時(shí)間要求較高的應(yīng)用。如多路徑[4]隱私保護(hù)方法，其核心思想是先將數(shù)據(jù)發(fā)送到偽源節(jié)點(diǎn)，然后從偽源節(jié)點(diǎn)以單路徑或洪泛的方式發(fā)送到匯聚（sink）節(jié)點(diǎn)。但偽源節(jié)點(diǎn)選取特別復(fù)雜，因?yàn)楣粽邔?duì)整個(gè)網(wǎng)絡(luò)是不可見(jiàn)的，節(jié)點(diǎn)需要知道整個(gè)網(wǎng)絡(luò)的拓?fù)淝闆r[5]，導(dǎo)致能耗和時(shí)延的增加[6]，并且攜帶拓?fù)湫畔⒌穆酚筛菀子龅饺止粽叩牧髁糠治龉鬧7]。

在實(shí)際應(yīng)用中，傳感器網(wǎng)絡(luò)通常是按需路由，對(duì)特定的事件選擇對(duì)應(yīng)的路由。例如在一個(gè)野生動(dòng)物保護(hù)區(qū)部署一個(gè)由多事件驅(qū)動(dòng)的網(wǎng)絡(luò)，用于監(jiān)控動(dòng)物的傳感器發(fā)送數(shù)據(jù)時(shí)通常采用安全路由的方法以保護(hù)動(dòng)物的位置隱私。但當(dāng)監(jiān)控地點(diǎn)有緊急情況需要立即上報(bào)時(shí)，通常使用最短路徑或洪泛的方式發(fā)送數(shù)據(jù)，以便最快地響應(yīng)突發(fā)事件。但如果突發(fā)事件發(fā)生在信息源附近，則很容易泄露信息源的位置（如野生動(dòng)物的棲息地），因?yàn)樽疃搪窂胶秃榉核惴ㄖ豢紤]數(shù)據(jù)傳輸效率，未考慮源位置隱私保護(hù)[4]。為了應(yīng)對(duì)上述問(wèn)題，迫切需要一種既不影響原來(lái)基于應(yīng)用的路由，又可以抵御攻擊者流量分析[8]的安全機(jī)制。

隨著硬件的發(fā)展和成本的降低，很多應(yīng)用于邊防監(jiān)控或?yàn)l臨動(dòng)物保護(hù)的傳感器上都加裝了移動(dòng)物體感知和信號(hào)檢測(cè)模塊[9]，可以自動(dòng)識(shí)別移動(dòng)的攻擊者[10,11]，然后通過(guò)心跳分組廣播給鄰居節(jié)點(diǎn)。Rios等[12]基于這種攻擊者識(shí)別技術(shù)提出了最小安全區(qū)方法和新的最短路徑路由算法CALP。但最小安全區(qū)的方法降低了網(wǎng)絡(luò)的頑健性，造成網(wǎng)絡(luò)空洞。CALP雖然基于最短路徑，但每次數(shù)據(jù)分組的投遞是通過(guò)調(diào)用心跳分組來(lái)更新路由表信息并選擇下一跳節(jié)點(diǎn)，從而達(dá)到保護(hù)隱私的目的。隨著心跳分組周期的增加，數(shù)據(jù)會(huì)有很大時(shí)延，路由所泄露的拓?fù)湫畔⒏菀妆蝗直O(jiān)聽(tīng)捕獲。用心跳分組傳遞消息，給網(wǎng)絡(luò)性能帶來(lái)了新的挑戰(zhàn)[13]，本文的解決方案是在發(fā)現(xiàn)攻擊者接近路由路徑時(shí)發(fā)送高頻心跳分組，并且能高效確保攻擊者及時(shí)遠(yuǎn)離真實(shí)數(shù)據(jù)路由路徑，從而降低能耗，保護(hù)位置隱私。

為了解決上述問(wèn)題，本文提出的SPA安全機(jī)制可以準(zhǔn)確地隔離攻擊者，與Rios等[12]提出的最小安全區(qū)思路類(lèi)似，SPA主要也是利用心跳分組通知攻擊者的鄰居節(jié)點(diǎn)，使真實(shí)數(shù)據(jù)路徑偏離攻擊者附近。隨著sink節(jié)點(diǎn)到源節(jié)點(diǎn)距離的增加，數(shù)據(jù)源被捕獲的幾率大大降低。另外，本文提出的SPA只有在發(fā)現(xiàn)攻擊者接近真實(shí)路由路徑時(shí)才會(huì)發(fā)送高頻心跳分組產(chǎn)生靜默池，使在傳輸其他不需要隱私服務(wù)的數(shù)據(jù)時(shí)網(wǎng)絡(luò)依然具有連通性。因此，SPA方法更能保證網(wǎng)絡(luò)的頑健性。

針對(duì)耐心的攻擊者，如果恰好在sink節(jié)點(diǎn)附近，使用SPA會(huì)造成數(shù)據(jù)分組無(wú)法到達(dá)，可能會(huì)造成數(shù)據(jù)時(shí)延長(zhǎng)。遇到好奇的攻擊者，如果恰好在源節(jié)點(diǎn)附近，通過(guò)隨機(jī)行走就可能會(huì)發(fā)現(xiàn)源節(jié)點(diǎn)位置。為此，本文在SPA的基礎(chǔ)上提出了能量高效的DPIOP方法，解決可能出現(xiàn)的這2種極端情況。另外，DPIOP方法對(duì)網(wǎng)絡(luò)當(dāng)前路由不產(chǎn)生任何影響。

本文的主要貢獻(xiàn)如下。

1) 提出2種源位置隱私保護(hù)算法：SPA和DPIOP。SPA利用心跳分組發(fā)送狀態(tài)信號(hào)，改變路由轉(zhuǎn)發(fā)狀態(tài)，在不降低網(wǎng)絡(luò)頑健性的前提下，準(zhǔn)確地隔離攻擊者；DPIOP只需要注入極少的虛假數(shù)據(jù)分組，就可以誘使攻擊者遠(yuǎn)離真實(shí)路徑，高效地保護(hù)了源位置隱私。

2)SPA和DPIOP可以在攻擊者知道路由協(xié)議的情況下保護(hù)源位置隱私安全。

3)引入路徑偏移量來(lái)衡量安全策略對(duì)當(dāng)前路由的影響。DPIOP策略不會(huì)改變?cè)瓉?lái)的路由，使應(yīng)用場(chǎng)景具有普適性，即便在多事件驅(qū)動(dòng)的應(yīng)用場(chǎng)景中也能使路徑不發(fā)生偏移。

2 相關(guān)工作

在傳感器網(wǎng)絡(luò)中對(duì)源位置隱私的保護(hù)（SLP,source location privacy）[2,14]，一直是一項(xiàng)很重要的研究。攻擊者根據(jù)攻擊能力分為全局攻擊者和本地攻擊者。全局攻擊者[7,15]通過(guò)流量分析可以知道網(wǎng)絡(luò)全局的狀況，為了抵御全局攻擊者，通常在發(fā)送真實(shí)信息的間隔注入假消息，帶來(lái)較大的能量開(kāi)銷(xiāo)。多路徑路由[6]增強(qiáng)了負(fù)載均衡和服務(wù)質(zhì)量（QoS），也讓全局攻擊者難以追蹤數(shù)據(jù)分組[5]。本地攻擊者[16]只知道網(wǎng)絡(luò)的局部信息，多個(gè)本地攻擊者之間可以互相合作以獲取更大范圍的網(wǎng)絡(luò)信息[17]。

要抵御攻擊者的流量分析就必須隱藏真實(shí)數(shù)據(jù)的傳輸路徑，現(xiàn)有的技術(shù)主要有3種。首先，Kamat[4]在他的熊貓—獵人模型中第一次提出了幻影算法，幻影算法的主要思想是：第一步，從源點(diǎn)出發(fā)，隨機(jī)游走到一個(gè)幻影源；第二步，以最短路徑或洪泛的方法到達(dá)sink節(jié)點(diǎn)。然而，實(shí)際上隨機(jī)游走趨向于在數(shù)據(jù)源附近[4,18]，說(shuō)明隨機(jī)游走反而會(huì)泄露源位置隱私，后來(lái)的一些改進(jìn)算法如GROW[19]，旨在減少數(shù)據(jù)傳輸時(shí)延，提高安全性，但增加了更多能耗。另外，虛假數(shù)據(jù)機(jī)制[3, 20]和偽源節(jié)點(diǎn)機(jī)制[7, 21]這2種方法可以抵御更強(qiáng)的攻擊者，但因?yàn)樽⑷胩摷俟?jié)點(diǎn)的數(shù)量和位置是隨機(jī)分布的，不可避免地帶來(lái)不必要的能量開(kāi)銷(xiāo)。

隨著硬件技術(shù)的發(fā)展，攻擊者位置是可見(jiàn)的，利用可感知攻擊者位置的特性[12]，選擇離攻擊者相對(duì)比較近的鄰居節(jié)點(diǎn)形成最短路徑傳給sink節(jié)點(diǎn)，這給解決此類(lèi)問(wèn)題帶來(lái)了新的啟發(fā)，移動(dòng)物體的識(shí)別技術(shù)[9~11]使在對(duì)付攻擊者時(shí)，增加了策略的確定性。移動(dòng)物體可能是被授權(quán)的，如科學(xué)家實(shí)地探測(cè)數(shù)據(jù)，只需要簡(jiǎn)單的身份認(rèn)證機(jī)制[22,23]就可以排除非授權(quán)的移動(dòng)物體侵入。在外部移動(dòng)物體和傳感器節(jié)點(diǎn)之間需要會(huì)話密鑰的建立和更新，而基于橢圓曲線加密（ECC）的方法[24]可以簡(jiǎn)化流程，與非橢圓曲線加密機(jī)制比較只需要更小的公鑰。

為了進(jìn)一步降低數(shù)據(jù)傳輸?shù)拈_(kāi)銷(xiāo)，根據(jù)IEEE802.15.4MAC層的特性，Shao等[25]利用心跳分組的有效負(fù)載攜帶一些數(shù)據(jù)，在應(yīng)用層再通過(guò)編程來(lái)提取處理這些信息。MAC層除了維持可靠的通信鏈路之外，還可以利用心跳分組來(lái)廣播信息，不同MAC協(xié)議對(duì)網(wǎng)絡(luò)性能的影響也是不同的，而本文提出的MAC是基于存在心跳分組（beacon-enabled）的，根據(jù)文獻(xiàn)[26]可知，心跳分組間隔時(shí)間過(guò)短會(huì)引起過(guò)多的同步開(kāi)銷(xiāo)，而時(shí)間過(guò)長(zhǎng)會(huì)因?yàn)闀r(shí)間漂移導(dǎo)致更長(zhǎng)的守護(hù)時(shí)間。心跳分組間隔可以根據(jù)網(wǎng)絡(luò)的流量進(jìn)行自適應(yīng)調(diào)整，如T-MAC和S-MAC[27]可以依據(jù)網(wǎng)絡(luò)中的通信量來(lái)調(diào)整占空比（duty ratio），增加吞吐量，當(dāng)然也可以根據(jù)應(yīng)用通過(guò)上層軟件改變心跳分組的發(fā)送頻率。用心跳分組傳輸數(shù)據(jù)的好處是：節(jié)省能量和隱藏路徑。

3 問(wèn)題描述

3.1 網(wǎng)絡(luò)模型

一個(gè)同構(gòu)的傳感器網(wǎng)絡(luò)中包含個(gè)傳感器節(jié)點(diǎn){v|1≤≤}，每個(gè)傳感器節(jié)點(diǎn)的計(jì)算、存儲(chǔ)和能耗資源相同，并且每個(gè)節(jié)點(diǎn)均知道自身的位置(x,y)和sink節(jié)點(diǎn)的位置(s,s)。

假設(shè)傳感器網(wǎng)絡(luò)部署在無(wú)障礙平面空間中，傳感器節(jié)點(diǎn)之間的距離為歐式距離，若節(jié)點(diǎn)1和節(jié)點(diǎn)2的位置分別為(1,1)和(2,2)，則兩點(diǎn)之間距離為

在稀疏的網(wǎng)絡(luò)里，由于鄰居節(jié)點(diǎn)數(shù)量稀少，攻擊者容易定位到數(shù)據(jù)分組的直接發(fā)送者和接收者，因此，本文假設(shè)網(wǎng)絡(luò)是稠密連通的。

在外部的攻擊者看來(lái)，每個(gè)數(shù)據(jù)分組的大小和格式相同，節(jié)點(diǎn)ID信息都是加密的，安全加密機(jī)制可以保證攻擊者無(wú)法解密數(shù)據(jù)分組的具體內(nèi)容，也無(wú)法分辨出真消息和假消息。

假設(shè)傳感器的識(shí)別模塊可以判斷出攻擊者的位置(x,y)。在節(jié)點(diǎn)中引入授權(quán)機(jī)制，以便在攻擊者識(shí)別過(guò)程中排除干擾，非授權(quán)的移動(dòng)物體（帶有廣播信號(hào)）被視為攻擊者。

3.2 攻擊模型

在傳感器網(wǎng)絡(luò)中，由于每個(gè)傳感器節(jié)點(diǎn)的通信范圍有限，數(shù)據(jù)傳輸采用逐跳傳輸?shù)姆绞?。攻擊者根?jù)數(shù)據(jù)分組發(fā)送的時(shí)間相關(guān)性和不同通信節(jié)點(diǎn)的流量模式，從而追蹤到基站或數(shù)據(jù)源。本文考慮2種攻擊者[28]：1)耐心的攻擊者，當(dāng)捕獲到新的數(shù)據(jù)時(shí)，向數(shù)據(jù)分組的發(fā)送方向移動(dòng)，否則一直處于原地等待狀態(tài)；2)好奇的攻擊者，若在一個(gè)節(jié)點(diǎn)等待時(shí)間未收到任何數(shù)據(jù)分組，則隨機(jī)行走。這2種攻擊者比較典型，也更具代表性。在實(shí)際應(yīng)用中，這2種攻擊者的攻擊能力并無(wú)明確的強(qiáng)弱之分，盡管好奇的攻擊者在收不到任何數(shù)據(jù)時(shí)策略會(huì)更靈活，但耐心的攻擊者的攻擊能力也可能會(huì)大于好奇的攻擊者，如基于最短路徑的路由，耐心的攻擊者可以捕獲更多的數(shù)據(jù)分組[4]。

假設(shè)這里的攻擊者有如下特性：1)本地的，即攻擊者的監(jiān)視范圍是它鄰近的傳感器節(jié)點(diǎn)；2)被動(dòng)的，其攻擊方式為監(jiān)聽(tīng)且無(wú)法控制或破壞傳感器節(jié)點(diǎn)，不會(huì)對(duì)網(wǎng)絡(luò)產(chǎn)生任何的功能性影響；3)移動(dòng)的，從sink節(jié)點(diǎn)出發(fā)尋找源節(jié)點(diǎn)的位置。

攻擊者的攻擊軌跡如算法1所示。每發(fā)動(dòng)一次攻擊，攻擊者都從sink節(jié)點(diǎn)出發(fā)（第1)~3)行），在沒(méi)有捕獲到源節(jié)點(diǎn)之前，每捕獲到一個(gè)新的數(shù)據(jù)分組（第4)和5)行），便根據(jù)收到數(shù)據(jù)分組的發(fā)送角度和信號(hào)強(qiáng)度，判斷出數(shù)據(jù)分組直接發(fā)送者所在位置的方向，從而向直接發(fā)送者移動(dòng)（第6)~9)行）。若攻擊者在一定時(shí)間內(nèi)未監(jiān)聽(tīng)到數(shù)據(jù)分組（第10)行），則采用隨機(jī)游走的方式尋找正發(fā)送數(shù)據(jù)的節(jié)點(diǎn)，并繼續(xù)監(jiān)聽(tīng)（第11)~13)行)，直到找到源節(jié)點(diǎn)或沒(méi)有找到但時(shí)間耗盡算法結(jié)束。若的時(shí)間比較短，則為好奇的攻擊者；若無(wú)限大，則為耐心的攻擊者。

算法1 攻擊者攻擊軌跡

1)=sink;//攻擊者從sink出發(fā)

2)_=sink;

3)= sink;

4)while(≠)

5)=();

6)if(()<&())

7)=();

//判斷出發(fā)送節(jié)點(diǎn)位置

8)=;

9)=;

10)else if(() ≥)

11)=;

12)=;

13)=();

//攻擊者隨機(jī)游走后的位置

14)end if

15) end while

3.3 能量模型

研究表明2個(gè)節(jié)點(diǎn)在100 m的距離內(nèi)傳輸1 kbit的數(shù)據(jù)相當(dāng)于執(zhí)行300萬(wàn)次的一般程序指令[29]，因此，傳感器的能量消耗主要是通信引起的。傳感器發(fā)送數(shù)據(jù)分組所消耗的能量與傳感器的電子元器件功率成正比，同時(shí)，傳輸?shù)木嚯x越長(zhǎng)，消耗的能量也越大，即

其中，和分別為網(wǎng)絡(luò)中經(jīng)過(guò)時(shí)間，所有參與數(shù)據(jù)傳輸?shù)墓?jié)點(diǎn)數(shù)量以及形成的數(shù)據(jù)傳輸路徑條數(shù)，因此，網(wǎng)絡(luò)中分別有?個(gè)發(fā)送節(jié)點(diǎn)和接收節(jié)點(diǎn)。經(jīng)過(guò)時(shí)間，網(wǎng)絡(luò)中共有個(gè)節(jié)點(diǎn)形成條路徑，發(fā)送bit的數(shù)據(jù)會(huì)在網(wǎng)絡(luò)中產(chǎn)生的總能量如式(5)所示。

由此可見(jiàn)，在網(wǎng)絡(luò)發(fā)送的數(shù)據(jù)量相同，并且路由算法是固定的情況下，路徑越短，能量消耗越少。

4 基于攻擊感知的源位置隱私保護(hù)方法

4.1 攻擊感知技術(shù)

攻擊者不會(huì)對(duì)網(wǎng)絡(luò)結(jié)構(gòu)和功能產(chǎn)生任何影響，所以傳統(tǒng)的入侵檢測(cè)（IDS）系統(tǒng)無(wú)法檢測(cè)出攻擊者。但攻擊者還是有其自身特點(diǎn)的，首先它是一個(gè)移動(dòng)對(duì)象，并且它是攜帶有電磁廣播信號(hào)的，本文部署的傳感器節(jié)點(diǎn)可以監(jiān)測(cè)和追蹤非授權(quán)的或異常的移動(dòng)物體。

本文使用的傳感器節(jié)點(diǎn)包括移動(dòng)物體檢測(cè)（M-DS,motion detection sensor）模塊和控制模塊2個(gè)功能模塊，如圖2所示。

圖2 傳感器功能模塊

M-DS模塊用于判斷附近是否存在攻擊者，并能根據(jù)現(xiàn)有技術(shù)判斷出攻擊者的位置，如果存在攻擊者，則向控制模塊發(fā)出readysilent警報(bào)。控制模塊通過(guò)發(fā)射高頻beacon信號(hào)，凡是收到該心跳分組信號(hào)的，警告信號(hào)readysilent_beacon置為1。另外，正在發(fā)送數(shù)據(jù)分組的節(jié)點(diǎn)，同時(shí)發(fā)送確認(rèn)信號(hào)confirmsilent_beacon，和自身的經(jīng)過(guò)加密的ID1，收到確認(rèn)信號(hào)的當(dāng)前節(jié)點(diǎn)將其標(biāo)記為1，ID2通過(guò)算法計(jì)算獲得，當(dāng)節(jié)點(diǎn)收到的虛假信號(hào)fake_beacon心跳分組中ID2和自身ID一樣的心跳分組信號(hào)，則發(fā)送虛假數(shù)據(jù)分組。這里設(shè)定3個(gè)參數(shù)，如表1所示。

4.2 心跳分組

上文提到用心跳分組傳遞網(wǎng)絡(luò)信息可以節(jié)約傳輸數(shù)據(jù)的能耗，因?yàn)楹途W(wǎng)絡(luò)層的數(shù)據(jù)分組不同，心跳分組是屬于MAC層的。MAC層對(duì)網(wǎng)絡(luò)層是透明的，一般負(fù)責(zé)監(jiān)測(cè)和處理沖突以及分配信道與通信資源。

每個(gè)傳感器節(jié)點(diǎn)都會(huì)周期性地廣播心跳分組，從而告知鄰居節(jié)點(diǎn)自己的存在。由式(2)和式(3)可知，網(wǎng)絡(luò)能耗取決于數(shù)據(jù)分組的大小。心跳分組的大小由其MAC標(biāo)準(zhǔn)決定，圖3為IEEE 802.15.4的心跳分組幀格式，除去MAC負(fù)載，分組大小只有10 B左右，而一個(gè)LEACH協(xié)議的網(wǎng)絡(luò)數(shù)據(jù)分組大小為500 B，約為心跳分組的50倍，所以本文中心跳分組的能耗基本可以忽略不計(jì)。

然而，過(guò)于頻繁的心跳分組廣播也會(huì)給網(wǎng)絡(luò)帶來(lái)一些負(fù)擔(dān)，已知心跳分組的廣播周期為beacon，網(wǎng)絡(luò)發(fā)送分組周期為message，要保障本文機(jī)制的應(yīng)用，為了阻止或減少攻擊者收到新的數(shù)據(jù)分組，可能需3個(gè)心跳分組的廣播時(shí)間才能完成整個(gè)機(jī)制，即3beacon≤message。根據(jù)IEEE802.15.4中定義，心跳分組的發(fā)送分組周期T為15.36 ms~786.432 s。采用擴(kuò)頻技術(shù)數(shù)據(jù)的傳輸速率為250kbit/s。如果每一步投遞都需要心跳分組來(lái)更新路由，這樣網(wǎng)絡(luò)最大時(shí)延T≈Th，為傳輸路徑跳數(shù)。一些基于心跳分組的路由技術(shù)為了降低時(shí)延只能加快心跳分組發(fā)送頻率和縮短傳輸路徑，本文的策略不需要等待心跳分組來(lái)更新路由，節(jié)點(diǎn)的鄰居節(jié)點(diǎn)一旦配置之后不會(huì)發(fā)生變化，數(shù)據(jù)的傳輸速率不受心跳分組速率影響。

表1 心跳分組設(shè)計(jì)

圖3 IEEE 802.15.4 心跳分組幀格式

4.3 靜默池機(jī)制

首先引入靜默池（silent-pool）機(jī)制。如果一個(gè)節(jié)點(diǎn)接收到任何數(shù)據(jù)后即丟棄，則稱(chēng)這個(gè)節(jié)點(diǎn)是沉默的。傳感器節(jié)點(diǎn)感知到附近的攻擊者后，發(fā)送信號(hào)使一定距離內(nèi)的所有節(jié)點(diǎn)不再轉(zhuǎn)發(fā)消息保持沉默狀態(tài)，攻擊者便不能再接收到周邊的任何信號(hào)，能夠覆蓋攻擊者監(jiān)聽(tīng)區(qū)域的最短距離為最小安全距離。沉默的狀態(tài)可利用軟件便可實(shí)現(xiàn)，安全距離之內(nèi)的所有節(jié)點(diǎn)可以通過(guò)心跳分組來(lái)通知，一般情況傳感器節(jié)點(diǎn)是發(fā)送正常心跳來(lái)證明自己的存在。

如果節(jié)點(diǎn)H_node為第一個(gè)檢測(cè)到攻擊者的傳感器節(jié)點(diǎn)，它可以通過(guò)感知模塊確定攻擊者的位置，并發(fā)出一個(gè)警告信號(hào)readysilent_beacon，則H_node通信半徑范圍內(nèi)所有傳感器都可以接收到警告信號(hào)。同時(shí)，網(wǎng)絡(luò)中正在發(fā)送真實(shí)數(shù)據(jù)分組的節(jié)點(diǎn)RP_node會(huì)發(fā)送confirmsilent_beacon。在本研究中，傳感器的通信半徑和攻擊者的偵聽(tīng)半徑都相等。當(dāng)攻擊者在真實(shí)數(shù)據(jù)傳輸路徑附近時(shí)，若節(jié)點(diǎn)同時(shí)收到readysilent_beacon和confirmsilent_beacon這2個(gè)心跳分組的信號(hào)，如圖4(a)陰影區(qū)域所示，則將自身調(diào)至沉默狀態(tài)。當(dāng)攻擊者遠(yuǎn)離真正發(fā)送分組的節(jié)點(diǎn)時(shí)，如圖4(b)所示，此時(shí)網(wǎng)絡(luò)是安全的，攻擊者竊聽(tīng)不到任何真實(shí)數(shù)據(jù)。然而，當(dāng)攻擊者捕獲到真實(shí)數(shù)據(jù)分組和分組的發(fā)送節(jié)點(diǎn)RP_node就可以一步步發(fā)現(xiàn)源節(jié)點(diǎn)。RP_node和攻擊者相交范圍形成靜默池，池內(nèi)的節(jié)點(diǎn)都只能收到分組但不能轉(zhuǎn)發(fā)，這個(gè)節(jié)點(diǎn)的狀態(tài)就是靜默的，如圖4(a)所示，就可以保證RP_node節(jié)點(diǎn)和源節(jié)點(diǎn)的安全，并且不依賴(lài)網(wǎng)絡(luò)當(dāng)前的路由。

圖4 靜默池的形成

定義1 所有接收到警告信號(hào)readysilentbeacon的節(jié)點(diǎn)集合為，所有接收到確認(rèn)信號(hào)confirmsilentbeacon的節(jié)點(diǎn)集合為，靜默池的集合為

每個(gè)節(jié)點(diǎn)知道自身和sink節(jié)點(diǎn)的位置，并且每個(gè)節(jié)點(diǎn)都可以通過(guò)心跳分組發(fā)送信號(hào)。警告信號(hào)readysilentbeacon由離攻擊者最近的節(jié)點(diǎn)發(fā)送。確認(rèn)信號(hào)confirmsilent_beacon由正在發(fā)送真實(shí)數(shù)據(jù)分組的節(jié)點(diǎn)發(fā)送。為那些既收到警告信號(hào)又收到確認(rèn)信號(hào)的點(diǎn)，也就是如圖4(a)所示的陰影部分。當(dāng)然，有可能為空，如圖4(b)所示，即發(fā)送分組節(jié)點(diǎn)的下一跳節(jié)點(diǎn)，攻擊者是偵聽(tīng)不到的，因?yàn)楸镜毓粽咧荒苁盏狡浔O(jiān)聽(tīng)范圍內(nèi)的信號(hào)。

根據(jù)攻擊模型，攻擊者在捕獲不到數(shù)據(jù)后就會(huì)在網(wǎng)絡(luò)中隨機(jī)游走，在靜默池機(jī)制中，每次當(dāng)攻擊者靠近真實(shí)數(shù)據(jù)傳輸路徑時(shí)，都會(huì)引起數(shù)據(jù)傳輸偏移原路徑，大大降低了攻擊者捕獲的真實(shí)數(shù)據(jù)分組數(shù)量，但網(wǎng)絡(luò)路徑的增加導(dǎo)致了更高的能耗。

采用靜默池機(jī)制可以阻止或減少攻擊者收到新的數(shù)據(jù)分組，然而當(dāng)攻擊者一直在sink節(jié)點(diǎn)附近時(shí)，會(huì)產(chǎn)生2個(gè)弊端：1) 造成數(shù)據(jù)分組無(wú)法到達(dá)，導(dǎo)致非常低的投遞率；2) 當(dāng)源節(jié)點(diǎn)和sink節(jié)點(diǎn)很近時(shí)，攻擊者會(huì)收不到任何數(shù)據(jù)，處于隨機(jī)游走狀態(tài)，隨著游走步數(shù)的增加，游走的范圍也會(huì)相應(yīng)增加，如果源節(jié)點(diǎn)和sink節(jié)點(diǎn)之間距離較近，那么攻擊者在有限的時(shí)間內(nèi)就可以通過(guò)隨機(jī)游走找到源節(jié)點(diǎn)。

設(shè)X=CN?CN1(>0)，為獨(dú)立分布隨機(jī)變量，分別是(1,0),(?1,0),(0,1),(0,?1)。walk為walk步后到0的距離，其中，0<<1，攻擊者離初始位置距離為walk的漸近概率如式(8)所示。

隨著游走步數(shù)walk持續(xù)增加，游走之后還在原地附近的概率趨于1，從直觀上看，攻擊者只能在原地打轉(zhuǎn)，從而保證了源節(jié)點(diǎn)的位置隱私。如果源節(jié)點(diǎn)至sink距離較小，源節(jié)點(diǎn)的位置是可以落在sink附近較小范圍內(nèi)，只要增加walk，攻擊者便可在一定時(shí)間找到源節(jié)點(diǎn)。而當(dāng)源節(jié)點(diǎn)位置和攻擊者之間距離越遠(yuǎn)，隨機(jī)游走狀態(tài)的攻擊者找到sink節(jié)點(diǎn)的概率越小。因此，需要保證攻擊者遠(yuǎn)離源節(jié)點(diǎn)，即盡量使攻擊者追溯數(shù)據(jù)分組的移動(dòng)方向都是遠(yuǎn)離源節(jié)點(diǎn)的。

當(dāng)攻擊者在原路由附近時(shí)，越大的最短安全距離導(dǎo)致越大的路線偏移，網(wǎng)絡(luò)消耗的能量更多，也會(huì)導(dǎo)致網(wǎng)絡(luò)的不穩(wěn)定。雖然SPA在保護(hù)隱私方面具有很好的優(yōu)越性，但當(dāng)面臨耐心的攻擊者時(shí)，SPA會(huì)產(chǎn)生很大的路由偏移量，造成數(shù)據(jù)分組投遞時(shí)延。為了讓隱私保護(hù)機(jī)制更廣泛應(yīng)用，因此，在設(shè)計(jì)隱私保護(hù)策略時(shí)既要使攻擊者遠(yuǎn)離源節(jié)點(diǎn)，又要能夠最大限度地保障現(xiàn)有路由，保證數(shù)據(jù)分組實(shí)時(shí)到達(dá)。

4.4 靜默池機(jī)制的優(yōu)化

維持現(xiàn)有路由路徑，可以保證網(wǎng)絡(luò)中的數(shù)據(jù)分組的轉(zhuǎn)發(fā)次數(shù)，避免安全策略對(duì)網(wǎng)絡(luò)能耗和時(shí)延產(chǎn)生較大影響。下面首先定義了路由偏移量，越小的路由偏移量對(duì)保證網(wǎng)絡(luò)的服務(wù)質(zhì)量越高。

定義2 基于應(yīng)用的原路由平均路徑長(zhǎng)度（即跳數(shù)）為，隱私保護(hù)安全機(jī)制后的路由第次路徑的長(zhǎng)度為x，用S來(lái)定義路由偏移量。

當(dāng)使用安全策略后的路由路徑長(zhǎng)度與原路由長(zhǎng)度相同時(shí)，2=0為最小值，即路由偏移量最小。當(dāng)使用安全策略后的路由路徑長(zhǎng)度與原路由長(zhǎng)度相差越大，2值越大。為了解決靜默池技術(shù)產(chǎn)生路由偏移量較大的問(wèn)題，本文在不影響原路由路徑的情況下，引入DPIOP（dummy packet injection out pool）機(jī)制。當(dāng)節(jié)點(diǎn)在同時(shí)收到readysilentbeacon和confirmsilentbeacon這2個(gè)心跳分組后，發(fā)送含有自身節(jié)點(diǎn)ID的fake_beacon信號(hào)，收到fake_beacon信號(hào)的H_node根據(jù)算法2選擇一個(gè)離ID節(jié)點(diǎn)最遠(yuǎn)的鄰居節(jié)點(diǎn)發(fā)送虛假數(shù)據(jù)分組，這里的假消息在攻擊者看來(lái)和真實(shí)數(shù)據(jù)分組是一樣的。于是通過(guò)在靜默池外選擇節(jié)點(diǎn)FP_node發(fā)射虛假消息，攻擊者就會(huì)追逐假消息，從而達(dá)到保護(hù)隱私的目的。

定義3 設(shè)所有收到警告分組信號(hào)（readysilent_beacon=1）但沒(méi)有收到確認(rèn)分組信號(hào)（confirmsilent_beacon=0）的節(jié)點(diǎn)為v(0<<)，并且，v到sink的距離大于攻擊者到節(jié)點(diǎn)的距離，即(v,s)>(H_node,s)。此時(shí)的節(jié)點(diǎn)集合為SET_Far，如圖5灰色區(qū)域，F(xiàn)P_nodeSET_Far。

圖5 虛假數(shù)據(jù)分組的產(chǎn)生

首先發(fā)現(xiàn)攻擊者的傳感器節(jié)點(diǎn)，即最接近攻擊者的傳感器節(jié)點(diǎn)，所以它的位置近似于攻擊者的位置。如圖5有3個(gè)部分，第1個(gè)條紋陰影是靜默池，第2個(gè)部分為H_node周邊小于其到sink距離的所有鄰居，第3個(gè)陰影部分是虛假數(shù)據(jù)分組所在范圍。虛假節(jié)點(diǎn)選擇這個(gè)部分的原因在于：1) 攻擊者已知sink節(jié)點(diǎn)的位置，為了找到源節(jié)點(diǎn)，其攻擊路徑逐漸遠(yuǎn)離sink節(jié)點(diǎn)尋找源節(jié)點(diǎn)，如果攻擊者捕獲的數(shù)據(jù)總是在sink周?chē)?，那么它?huì)判斷那是虛假路徑；2) 真實(shí)數(shù)據(jù)的路徑是有可能穿越靜默池的，而選取靜默池之外的傳感器作為虛假節(jié)點(diǎn)，可以不影響真實(shí)數(shù)據(jù)的原始路徑，并且依照既定策略可以誘使攻擊者遠(yuǎn)離真實(shí)路徑，從而保障網(wǎng)絡(luò)的隱私安全。具體虛假節(jié)點(diǎn)的選擇如算法2所示，首先在H_node的鄰居節(jié)點(diǎn)中選擇虛假節(jié)點(diǎn)FP_node（第1)行和2)行），其到sink的距離必須大于攻擊者到節(jié)點(diǎn)的距離，并有FP_nodeSET_Far（第3)行），在滿足上述條件的點(diǎn)中選擇離當(dāng)前發(fā)送數(shù)據(jù)節(jié)點(diǎn)距離最遠(yuǎn)的點(diǎn)為虛假節(jié)點(diǎn)（第4)行和5)行）。

算法2 Find_Fake_Node

輸入 H_node

輸出 FP_node

1)找出H_node的鄰居Nei_node(H_node);

2)從H_node的鄰居節(jié)點(diǎn)Nei_node(fakebeacon)選擇一個(gè)虛假節(jié)點(diǎn)n;

4FP_nodemax((n, nodeID(fake_beacon)));

//選擇離當(dāng)前發(fā)送數(shù)據(jù)節(jié)點(diǎn)距離最遠(yuǎn)的點(diǎn)

5)returnFP_node;

6) elsegoto2);

表2 鄰居節(jié)點(diǎn)的選擇

H_node收到節(jié)點(diǎn)的心跳分組后計(jì)算出最遠(yuǎn)的節(jié)點(diǎn)為FP_node。如果每次選擇的節(jié)點(diǎn)總在sink附近，作為有感知能力的攻擊者，可能判斷此為虛假數(shù)據(jù)分組。節(jié)點(diǎn)和不在選擇范圍，因?yàn)楣?jié)點(diǎn)和到sink的距離小于H_node到sink的距離。根據(jù)定義3，相對(duì)節(jié)點(diǎn)，會(huì)選擇離更遠(yuǎn)的節(jié)點(diǎn)作為FP_node。于是H_node會(huì)把節(jié)點(diǎn)的ID信息放在fake_beacon負(fù)載中廣播出去，這些心跳分組的發(fā)送頻率高于數(shù)據(jù)分組發(fā)送的3倍以上，節(jié)點(diǎn)收到包含自身ID的心跳分組后即發(fā)送虛假數(shù)據(jù)分組，誘使攻擊者遠(yuǎn)離發(fā)送真實(shí)數(shù)據(jù)分組的節(jié)點(diǎn)，向節(jié)點(diǎn)方向移動(dòng)。

虛假數(shù)據(jù)分組的生存周期為，生存周期越長(zhǎng)，產(chǎn)生的虛假路徑就越長(zhǎng)，消耗的能量就越大。這里設(shè)=0，只需要一跳的生存周期就達(dá)到保護(hù)隱私的目的。

圖6 狀態(tài)模型

4.5 隱私分析

如圖6所示，DPIOP機(jī)制不會(huì)影響網(wǎng)絡(luò)中的當(dāng)前路由，根據(jù)攻擊者距離正發(fā)送數(shù)據(jù)節(jié)點(diǎn)的遠(yuǎn)近，網(wǎng)絡(luò)有如下3個(gè)狀態(tài)：1) 危險(xiǎn)狀態(tài)，攻擊者接近正發(fā)送真實(shí)數(shù)據(jù)的節(jié)點(diǎn)，節(jié)點(diǎn)隨時(shí)被捕獲；2) 警戒狀態(tài)，攻擊者雖然不能立即捕獲真實(shí)節(jié)點(diǎn)，但一旦往真實(shí)路徑方向隨機(jī)游走，就會(huì)變成危險(xiǎn)狀態(tài)；3) 而如果攻擊者往相反方向，則達(dá)到第3種狀態(tài)——安全狀態(tài)，如圖6(c)所示。

定義4 為了衡量網(wǎng)絡(luò)的安全性能，對(duì)于單個(gè)攻擊者，在確定的當(dāng)前路由和攻擊模型下會(huì)使用安全周期或捕獲率[4]來(lái)衡量隱私安全。

1) 安全周期。攻擊者從sink節(jié)點(diǎn)出發(fā)，到捕獲到源節(jié)點(diǎn)或離開(kāi)網(wǎng)絡(luò)監(jiān)視區(qū)過(guò)程中，源節(jié)點(diǎn)發(fā)送的監(jiān)測(cè)數(shù)據(jù)分組數(shù)量。

2) 捕獲率（）。在規(guī)定時(shí)間范圍內(nèi)，攻擊者捕獲源節(jié)點(diǎn)的概率。

在源節(jié)點(diǎn)被捕獲之前發(fā)送的數(shù)據(jù)分組越多，安全周期越長(zhǎng)，安全性越高；在規(guī)定時(shí)間內(nèi)和固定的源節(jié)點(diǎn)到sink的距離（-），捕獲的源節(jié)點(diǎn)次數(shù)越多，捕獲率越大，安全性就越差。

并且有

隨著的增加，捕獲率越來(lái)越小，即攻擊者遠(yuǎn)離數(shù)據(jù)分組傳輸路徑，此時(shí)攻擊者無(wú)法收到數(shù)據(jù)分組。P越小，在危險(xiǎn)狀態(tài)的概率也越小，捕獲到源節(jié)點(diǎn)的概率極低。在給定路由和攻擊模型的情況下以及sink節(jié)點(diǎn)與源節(jié)點(diǎn)的距離固定時(shí)，使用本文提出的安全隱私機(jī)制后，與其他安全策略進(jìn)行比較，在第5節(jié)中用實(shí)驗(yàn)結(jié)果說(shuō)明了運(yùn)用DPIOP具有極高的優(yōu)越性。

4.6 DPIOP算法能耗

本文使用心跳分組只是用于傳輸狀態(tài)信號(hào)，并不傳輸源節(jié)點(diǎn)收集的數(shù)據(jù)，真實(shí)數(shù)據(jù)依然通過(guò)正常路由投遞。心跳分組傳遞的信號(hào)狀態(tài)只有3種，如表1所示，所以心跳分組的數(shù)據(jù)負(fù)載中只需要2 bit大小的數(shù)據(jù)段。如4.2節(jié)所述，正常的心跳分組大小不會(huì)影響網(wǎng)路能耗。傳感器只有在感知到攻擊者的情況下才會(huì)發(fā)送心跳分組，發(fā)送并不頻繁。而且，心跳分組的發(fā)送范圍只是在攻擊者附近，不會(huì)造成全網(wǎng)大規(guī)模的影響。所以在本文中使用心跳分組的能耗基本可以不用額外考慮。

在DPIOP算法中，每個(gè)傳感器都會(huì)在鄰居發(fā)現(xiàn)階段記住自己的一跳鄰居，初始情況下攻擊者位于sink節(jié)點(diǎn)，源節(jié)點(diǎn)開(kāi)始發(fā)送分組至sink節(jié)點(diǎn)，每次事件從源節(jié)點(diǎn)傳輸?shù)絪ink節(jié)點(diǎn)需要時(shí)間為，事件長(zhǎng)度為bit。心跳分組發(fā)送的能量可以忽略不計(jì)，則網(wǎng)絡(luò)中的時(shí)間和能量代價(jià)主要是數(shù)據(jù)收發(fā)引起的，因此，主要分析算法處理過(guò)程中網(wǎng)絡(luò)收發(fā)的數(shù)據(jù)分組數(shù)量。

5 性能測(cè)試與分析

為了驗(yàn)證本文方法的高效低耗，分別利用小規(guī)模真實(shí)傳感器節(jié)點(diǎn)和大規(guī)模仿真驗(yàn)證本文算法的性能。從時(shí)延、隱私安全、路徑偏移量和能耗4個(gè)方面評(píng)價(jià)不同隱私保護(hù)方法。1) 時(shí)延定義為一個(gè)真實(shí)數(shù)據(jù)分組從源節(jié)點(diǎn)出發(fā)，經(jīng)過(guò)一些中繼節(jié)點(diǎn)，到達(dá)sink節(jié)點(diǎn)所需要的時(shí)間。2) 根據(jù)本文的安全衡量標(biāo)準(zhǔn)，通過(guò)統(tǒng)計(jì)源節(jié)點(diǎn)在規(guī)定時(shí)間內(nèi)被捕獲的次數(shù)來(lái)衡量隱私安全性。被捕獲次數(shù)越少，安全周期越長(zhǎng)，捕獲率越小，即安全隱私性越高。3) 使用不同安全策略會(huì)使原始的路由路徑發(fā)生偏移，路徑偏移量為使用安全策略后真實(shí)數(shù)據(jù)分組投遞路徑長(zhǎng)度相比平均最短路徑長(zhǎng)度的期望值的偏離程度。4) 據(jù)式(5)計(jì)算網(wǎng)絡(luò)能耗，且能量與發(fā)送分組數(shù)成正比，在真實(shí)實(shí)驗(yàn)中，節(jié)點(diǎn)能耗難以測(cè)量，通過(guò)統(tǒng)計(jì)節(jié)點(diǎn)收發(fā)的數(shù)據(jù)分組數(shù)來(lái)衡量，路由算法的優(yōu)劣會(huì)影響到網(wǎng)絡(luò)的能耗。

5.1 真實(shí)節(jié)點(diǎn)實(shí)驗(yàn)

在空曠的操場(chǎng)上，隨機(jī)放置8×8個(gè)傳感器節(jié)點(diǎn)，如圖7(a)所示，節(jié)點(diǎn)選用TelosB，使用2節(jié)AA電池進(jìn)行供電，CPU為8 MHz TI MSP430，內(nèi)存大小為10 KB，通信芯片為CC 2420，頻率為2.4 GHz。MAC協(xié)議為IEEE 802.15.4，操作系統(tǒng)采用Tiny OS 2.0。如圖7(b)所示，攻擊者手持一個(gè)傳感器節(jié)點(diǎn)從sink節(jié)點(diǎn)出發(fā)，監(jiān)聽(tīng)網(wǎng)絡(luò)中的數(shù)據(jù)，通過(guò)USB端口讀取發(fā)送者的序列號(hào)，從而向發(fā)送該數(shù)據(jù)的節(jié)點(diǎn)方向移動(dòng)。如圖7(c)所示，攻擊者附近的傳感器利用心跳分組發(fā)送報(bào)警信號(hào)。源節(jié)點(diǎn)和sink節(jié)點(diǎn)之間的最短距離為7跳。實(shí)驗(yàn)共進(jìn)行10次，源節(jié)點(diǎn)發(fā)送數(shù)據(jù)分組為50個(gè)，數(shù)據(jù)分組發(fā)完后實(shí)驗(yàn)結(jié)束。

圖7(d)為所有傳感器節(jié)點(diǎn)，實(shí)驗(yàn)將通過(guò)收集每個(gè)節(jié)點(diǎn)的收發(fā)數(shù)據(jù)分組的個(gè)數(shù)，驗(yàn)證本文方法的低耗高效，并通過(guò)統(tǒng)計(jì)攻擊者捕獲源節(jié)點(diǎn)的次數(shù)驗(yàn)證方法的安全性。雖然CALP在節(jié)點(diǎn)每次轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)都需要等待心跳分組來(lái)更新路由表，引起超長(zhǎng)時(shí)延，但其本質(zhì)也是最短路徑，與本文應(yīng)用的原路由相同。另外，幻影路由作為一種安全策略不受攻擊者影響，適用于做基準(zhǔn)比較。真實(shí)實(shí)驗(yàn)中將本文的方法和幻影路由（RP）做出比較。

圖7 源節(jié)點(diǎn)隱私保護(hù)實(shí)驗(yàn)

1) 時(shí)延

為了精確測(cè)量數(shù)據(jù)分組投遞的時(shí)延，分別在源節(jié)點(diǎn)和sink節(jié)點(diǎn)記錄數(shù)據(jù)分組的發(fā)送和到達(dá)時(shí)間。表3和表4分別顯示了在面臨耐心和好奇攻擊者時(shí)，SPA、DPIOP、RP這3種算法在實(shí)際網(wǎng)絡(luò)中投遞數(shù)據(jù)分組所需的時(shí)延。

表3 面臨耐心攻擊者的時(shí)延

表4 面臨好奇攻擊者的時(shí)延

由表3和表4可以看出，DPIOP在遇到2種攻擊者時(shí)，時(shí)延幾乎沒(méi)有變化。由于DPIOP仍然以最短路徑來(lái)投遞數(shù)據(jù)分組，因而比幻影路由（RP）的時(shí)延分別減少了29.2%和30.7%。SPA在面臨好奇的攻擊者時(shí)，攻擊者會(huì)因?yàn)槭詹坏綌?shù)據(jù)分組而隨機(jī)游走遠(yuǎn)離真實(shí)路徑，從而減少了路徑偏移量，雖然SPA比DPIOP的時(shí)延稍有增加，但比RP減少了26.9%。然而在面臨耐心的攻擊者時(shí)卻產(chǎn)生了高于RP算法641.7%的時(shí)延，這是因?yàn)楫?dāng)SPA遇到耐心的攻擊者時(shí)，數(shù)據(jù)分組會(huì)一直在靜默池邊緣周旋而無(wú)法投遞至sink節(jié)點(diǎn)。

2) 隱私安全

從安全性的角度，無(wú)論是面對(duì)耐心的攻擊者還是好奇的攻擊者，SPA的捕獲率最低，安全性最高，與RP相比，隱私安全性分別高出了100%和87.5%。因?yàn)镾PA一直接收不到真實(shí)的數(shù)據(jù)分組，耐心的攻擊者會(huì)一直等待直到時(shí)間結(jié)束，好奇的攻擊者即使隨機(jī)游走，活動(dòng)范圍也有限，無(wú)法找到距離較遠(yuǎn)的源節(jié)點(diǎn)。如果DPIOP在真實(shí)原路徑節(jié)點(diǎn)附近，則會(huì)同時(shí)收到真實(shí)的數(shù)據(jù)分組和虛假數(shù)據(jù)分組，真實(shí)實(shí)驗(yàn)最短路徑長(zhǎng)度為7跳，所以當(dāng)7次都恰好一直向真實(shí)數(shù)據(jù)分組的方向移動(dòng)就捕獲到了源節(jié)點(diǎn)。如表5和表6所示，面臨耐心的攻擊者，DPIOP的隱私性相比RP高出90%；遇到好奇的攻擊者，DPIOP的隱私性相比RP提高了75%。相比耐心的攻擊者，好奇的攻擊者因?yàn)殡S機(jī)行走而增加了被捕獲的概率，降低了隱私安全性。

表5 面臨耐心攻擊者的隱私性

表6 面臨好奇攻擊者的隱私性

3) 路徑偏移量

表7 面臨耐心攻擊者的路徑偏移量

表8 面臨好奇攻擊者的路徑偏移量

DPIOP有著很小的路徑偏移量，真實(shí)數(shù)據(jù)按照最短路徑投遞，在面臨2種不同攻擊者時(shí)，其偏移量均比RP低99.8%。SPA在面臨耐心的攻擊者時(shí)，由于數(shù)據(jù)在sink附近的重復(fù)投遞，導(dǎo)致大規(guī)模的路徑偏移，使其偏移量近高于RP路徑38倍。SPA在遇到好奇的攻擊者這種極端情況消失，比RP的路由偏移低85.6%，達(dá)到了很好的投遞效果。

4) 能耗

為了驗(yàn)證本文方法的低能耗，實(shí)驗(yàn)分別統(tǒng)計(jì)了每種方法10次之后，所有節(jié)點(diǎn)的發(fā)送分組數(shù)，通過(guò)式(12)算出每個(gè)數(shù)據(jù)分組到達(dá)sink的平均路徑長(zhǎng)度，因?yàn)楸疚牡姆椒ㄊ褂昧颂摷贁?shù)據(jù)分組，所以這里的平均轉(zhuǎn)發(fā)節(jié)點(diǎn)也包括虛假數(shù)據(jù)分組的轉(zhuǎn)發(fā)。

實(shí)驗(yàn)結(jié)果如表9和表10所示，RP的投遞路徑最長(zhǎng)，產(chǎn)生的能耗最大。遇到耐心的攻擊時(shí)，DPIOP比PR減少了37%的能耗，但SPA使數(shù)據(jù)分組一直在sink附近循環(huán)投遞直到時(shí)間結(jié)束，路徑長(zhǎng)度的增加導(dǎo)致了能耗的異常。面臨好奇的攻擊者時(shí)，SPA產(chǎn)生的數(shù)據(jù)轉(zhuǎn)發(fā)量和DPIOP接近，分別節(jié)約能耗31%和30%。DPIOP在遇到好奇的攻擊者時(shí)比耐心的攻擊者時(shí)產(chǎn)生了稍多能耗，主要因?yàn)楹闷婀粽咴诮邮詹坏饺魏螖?shù)據(jù)時(shí)隨機(jī)游走，使其在真實(shí)路徑附近的概率增加，多產(chǎn)生了一些虛假數(shù)據(jù)分組。

表9 面臨耐心攻擊者的路由跳數(shù)

表10 面臨好奇攻擊者的路由跳數(shù)

5.2 仿真實(shí)驗(yàn)

為了驗(yàn)證在本文算法在大規(guī)模網(wǎng)絡(luò)中的性能，實(shí)驗(yàn)選用一款基于OMnet++的仿真器Castalia，部署100×100個(gè)傳感器于方形的平面網(wǎng)絡(luò)，節(jié)點(diǎn)均勻隨機(jī)分布，sink節(jié)點(diǎn)隨機(jī)置于網(wǎng)絡(luò)的中央。假設(shè)網(wǎng)絡(luò)中只有一個(gè)攻擊者，且源節(jié)點(diǎn)放在離sink節(jié)點(diǎn)遠(yuǎn)近不同的位置。MAC層協(xié)議基于IEEE 802.15.4，心跳分組負(fù)載中攜帶信號(hào)信息，節(jié)點(diǎn)檢測(cè)到攻擊者的時(shí)候即發(fā)送心跳分組。雖然本文提出的策略不依賴(lài)于任何路由協(xié)議，但為了展示SPA、DPIOP機(jī)制的性能，原應(yīng)用路由使用最短路徑（SP），選取幻影路由（RP）以及同樣基于心跳分組機(jī)制的CALP[12]來(lái)比較。CALP方法的敵人發(fā)現(xiàn)過(guò)程和本文是類(lèi)似的，主要過(guò)程是，每個(gè)節(jié)點(diǎn)維護(hù)一張包含所有鄰居節(jié)點(diǎn)的路由表，每次發(fā)現(xiàn)攻擊者以心跳分組來(lái)傳遞信息更新路由表，路由選擇每次都選擇最靠近最短路徑，并以到攻擊者距離為懲罰距離的節(jié)點(diǎn)作為下一跳節(jié)點(diǎn)。這里不僅會(huì)比較好奇的攻擊者，也會(huì)比較耐心的攻擊者。

因?yàn)檎{(diào)度心跳分組不會(huì)發(fā)生額外的能量消耗，只是虛假信息的發(fā)送會(huì)消耗額外能量。虛假數(shù)據(jù)分組的生存周期=0，那么虛假數(shù)據(jù)分組的生存周期只有一跳。仿真進(jìn)行50次，并且每次從源節(jié)點(diǎn)共發(fā)送500個(gè)新的數(shù)據(jù)分組。

1) 時(shí)延

時(shí)延包括2個(gè)方面，依賴(lài)心跳分組的時(shí)延和不依賴(lài)心跳分組的路由時(shí)延。路由時(shí)延與路由算法相關(guān)，如跳數(shù)和重投次數(shù)等。如圖8所示，隨著源節(jié)點(diǎn)到sink距離的增加，CALP產(chǎn)生的時(shí)延也大幅度增加，遠(yuǎn)高于其他4種方法。CALP投遞時(shí)間不僅與路徑長(zhǎng)度成正比，還受心跳分組更新頻率的影響，CALP每次數(shù)據(jù)投遞前都依賴(lài)心跳分組數(shù)據(jù)來(lái)更新路由表，否則無(wú)法實(shí)現(xiàn)安全保護(hù)，這樣造成了極大時(shí)延。CALP的路徑長(zhǎng)度與攻擊者的攻擊方式有關(guān)，對(duì)一個(gè)守在sink附近的耐心攻擊者，CALP雖然基于最短路徑，但總是選擇偏離攻擊者的最遠(yuǎn)節(jié)點(diǎn)，直到攻擊者捕獲到新的數(shù)據(jù)分組，而對(duì)好奇的攻擊者，如果沒(méi)有捕獲到新的數(shù)據(jù)分組，他就會(huì)隨機(jī)游走，遠(yuǎn)離了最短路徑附近，就不會(huì)使路徑發(fā)生偏移。因此，相比較好奇的攻擊者，CALP在面臨耐心的攻擊者時(shí)會(huì)產(chǎn)生多一點(diǎn)時(shí)延。

SPA和CALP一樣，路徑偏移也受到攻擊者位置的影響。如圖8(a)所示，對(duì)于耐心的攻擊者，SPA機(jī)制導(dǎo)致數(shù)據(jù)分組的投遞時(shí)延遠(yuǎn)高于最短路徑。這是因?yàn)楣粽呖拷黶ink節(jié)點(diǎn)時(shí)，會(huì)引起路徑偏移，造成了97%以上的數(shù)據(jù)分組無(wú)法路由至sink節(jié)點(diǎn)。在仿真實(shí)驗(yàn)中，有些數(shù)據(jù)分組轉(zhuǎn)發(fā)了157次才到達(dá)sink節(jié)點(diǎn)。如圖8(b)所示，在遇到好奇的攻擊者時(shí)，SPA算法的數(shù)據(jù)分組時(shí)延大幅降低，相比幻影路由降低約28.4%。這是因?yàn)楹闷娴墓粽呤詹坏綌?shù)據(jù)分組隨機(jī)游走，遠(yuǎn)離最短路徑。因此，實(shí)際應(yīng)用中可以在sink節(jié)點(diǎn)附近，把最小安全距離調(diào)小，等遠(yuǎn)離sink節(jié)點(diǎn)時(shí)，再相應(yīng)調(diào)回到通信半徑。

圖8 時(shí)延和s-d距離的關(guān)系

SPA、DPIOP和幻影路由的投遞時(shí)間只依賴(lài)于路徑長(zhǎng)度（即源節(jié)點(diǎn)到sink的距離），獨(dú)立于心跳分組的發(fā)送時(shí)間，只需要滿足3beacon≤message的約束即可。心跳分組的頻率雖然會(huì)對(duì)網(wǎng)絡(luò)流量造成影響，但實(shí)際上，只有在靜默池形成時(shí)才會(huì)加大心跳分組的發(fā)送頻率，并且不會(huì)影響數(shù)據(jù)正常發(fā)送速度，所以增加的網(wǎng)絡(luò)流量也是極其有限的。DPIOP算法使用的也是最短路由，所以攻擊者一旦遠(yuǎn)離真實(shí)路由，DPIOP的時(shí)延和最短路徑路由相同，比幻影路由的時(shí)延減少35.2%。

幻影路由因?yàn)殡S機(jī)游走增加了步數(shù)，所以時(shí)延要高于最短路徑。如圖8所示，當(dāng)=10跳時(shí)，SPA、DPIOP以及幻影路由產(chǎn)生的時(shí)延低于真實(shí)實(shí)驗(yàn)下7跳的時(shí)延，其原因是在同等實(shí)驗(yàn)條件下，真實(shí)環(huán)境要更復(fù)雜，鏈路干擾、無(wú)線帶寬等不穩(wěn)因素導(dǎo)致了實(shí)際時(shí)延要稍高于仿真環(huán)境。

2) 隱私安全

如圖9所示，隨著的增加，最短路徑的安全性并沒(méi)有增加，并且是最差的，攻擊者捕獲到一個(gè)數(shù)據(jù)分組之后，就會(huì)順著最短路徑找到源節(jié)點(diǎn)。從實(shí)驗(yàn)結(jié)果看出，好奇的攻擊者反而比耐心的攻擊者捕獲到源節(jié)點(diǎn)的次數(shù)少，因?yàn)楹闷娴墓粽邚膕ink出發(fā)，沒(méi)有等到任何數(shù)據(jù)分組后便隨機(jī)游走，從而錯(cuò)過(guò)一些數(shù)據(jù)分組，偏移真實(shí)路徑。因此，耐心的攻擊者反而比好奇的攻擊者有更高的捕獲率。

圖9 捕獲節(jié)點(diǎn)數(shù)量和s-d距離的關(guān)系

CALP的本質(zhì)是貪婪最短路徑，但每次都是選擇離攻擊者最遠(yuǎn)的，而且CALP的策略和攻擊者的攻擊半徑設(shè)定相關(guān)。在仿真中，當(dāng)攻擊半徑等于通信半徑時(shí)，攻擊者在sink附近是可以收到一些真實(shí)數(shù)據(jù)分組的，所以耐心的攻擊者也可以捕獲到一些數(shù)據(jù)源。好奇的攻擊者收不到信息的時(shí)候則隨機(jī)游走，較小時(shí)會(huì)捕獲一些源節(jié)點(diǎn)。幻影路由在仿真中遇到耐心的攻擊者時(shí)，并沒(méi)有比最短路徑表現(xiàn)更好，只是隨著的增加，隨機(jī)游走的步數(shù)增加，好奇的攻擊者會(huì)因暫時(shí)沒(méi)有收到數(shù)據(jù)分組而偏移路線，丟失了捕獲源節(jié)點(diǎn)的部分機(jī)會(huì)。

如圖9(a)所示，在SPA安全策略下，耐心的攻擊者由于一直收不到數(shù)據(jù)分組而停留在原地，而無(wú)法繼續(xù)追蹤數(shù)據(jù)源，隱私安全性近乎100%。當(dāng)源節(jié)點(diǎn)離sink較近時(shí)，好奇攻擊者因基本收不到數(shù)據(jù)分組處于隨機(jī)游走狀態(tài)，根據(jù)式(9)所示的隨機(jī)游走概率分布，當(dāng)源節(jié)點(diǎn)特別近時(shí)就會(huì)被捕獲。如圖9(b)所示，當(dāng)=10跳且SPA遇到好奇攻擊者時(shí)，SPA比幻影路由（RP）的隱私性提高約89.6%，高于實(shí)際實(shí)驗(yàn)中的87.5%，這是因?yàn)閷?shí)際實(shí)驗(yàn)中距離更短，且攻擊者在真實(shí)環(huán)境中隨機(jī)游走的速度和范圍都比仿真環(huán)境小。

在DPIOP安全策略下，由圖9(a)顯示，從10跳到更遠(yuǎn)的距離，耐心的攻擊者幾乎捕捉不到源節(jié)點(diǎn)。遇到好奇的攻擊者，圖9(b)顯示當(dāng)源節(jié)點(diǎn)至sink節(jié)點(diǎn)20跳在以內(nèi)，DPIOP捕獲率雖低于CALP但也還能捕捉到源節(jié)點(diǎn)，因?yàn)镈PIOP攻擊者可以收到真實(shí)數(shù)據(jù)分組，相比較SPA的完全隨機(jī)游走，DPIOP追蹤到源節(jié)點(diǎn)的概率要比SPA大。在真實(shí)實(shí)驗(yàn)中7跳時(shí)，遇到好奇攻擊者，DPIOP比幻影路由（RP）的隱私性高約為75%，而在仿真實(shí)驗(yàn)中當(dāng)距離=10跳，SPA遇到好奇攻擊者比RP的隱私性高約為94.9%，說(shuō)明在仿真實(shí)驗(yàn)中有更高的捕獲率，這是因?yàn)楣粽咴谡鎸?shí)實(shí)驗(yàn)中探測(cè)到的數(shù)據(jù)分組方向和距離會(huì)因環(huán)境因素而有誤差。

隨著路由路徑的繼續(xù)增加，SPA和DPIOP不管是針對(duì)耐心的攻擊者還是好奇的攻擊者，在保護(hù)源節(jié)點(diǎn)位置隱私上都有極好的安全性。

3) 路徑偏移量

這里比較4種安全機(jī)制，本文選取最短路徑SP作為原始的路由策略。根據(jù)式(9)，通過(guò)比較本文方法和CALP、幻影路由（RP）的路由偏移量，可以看出不同路由對(duì)路徑的影響，如圖10所示。

圖10 捕獲路徑偏移量和s-d距離的關(guān)系

從圖10實(shí)驗(yàn)結(jié)果可以看出，只有DPIOP對(duì)原路由影響較小。其仿真結(jié)果與實(shí)際試驗(yàn)結(jié)果相似，與幻影路由相比偏移量減少約為99%。幻影路由和最短路徑的不同在于多了walk=7的隨機(jī)游走，游走的方向是隨機(jī)的，遠(yuǎn)離sink方向的游走會(huì)造成更大的路徑偏移。

CALP本質(zhì)也是最短路徑，當(dāng)源節(jié)點(diǎn)離sink較遠(yuǎn)時(shí)，最短路由也會(huì)在選取路徑時(shí)稍有偏移，這是由路由算法和網(wǎng)絡(luò)拓?fù)錄Q定的。CALP在攻擊者靠近真實(shí)路徑時(shí)，每次選取離攻擊者最遠(yuǎn)并且離sink最近的節(jié)點(diǎn)進(jìn)行中繼，真實(shí)路徑在最短路徑附近變化。

對(duì)于耐心的攻擊者，在圖10(a)中沒(méi)有顯示SPA，由于攻擊者守在sink附近并一直收不到消息，而數(shù)據(jù)分組一直就在sink附近轉(zhuǎn)發(fā)到達(dá)不了sink節(jié)點(diǎn)，所以造成路由偏移非常大，SPA的偏移量和攻擊者的攻擊能力有關(guān)，越大的安全距離使偏移量越大。好奇的攻擊者收不到數(shù)據(jù)分組后就進(jìn)入隨機(jī)游走狀態(tài)，遠(yuǎn)離最短路徑附近后就不再會(huì)對(duì)原始路徑造成偏移。SPA遇到好奇的攻擊者的仿真實(shí)驗(yàn)結(jié)果如圖10(b)所示，與幻影路由相比偏移量減少約85.8%，與真實(shí)實(shí)驗(yàn)的結(jié)果相符。

4) 能耗

根據(jù)式(5)來(lái)計(jì)算能耗，本次仿真實(shí)驗(yàn)中使用如下參數(shù)，如表11所示。

表11 參數(shù)設(shè)置

因?yàn)镃ALP的本質(zhì)也是最短路徑SP，所以下面只需要比較本文方法與SP和RP之間的關(guān)系。圖11(a)中SPA產(chǎn)生的能量異常高于其他方法而無(wú)法顯示在正常能量區(qū)間，因?yàn)槊鎸?duì)在sink附近耐心的攻擊者，數(shù)據(jù)分組一直圍繞著靜默池循環(huán)投遞而無(wú)法到達(dá)sink，從而消耗了更多的能量。所以遇到耐心的攻擊者時(shí)，DPIOP機(jī)制更高效、低耗。DPIOP機(jī)制不會(huì)改變?cè)酚傻淖疃搪窂?，只有虛假?shù)據(jù)分組產(chǎn)生了額外的消耗能量，而只有存在靜默池的時(shí)候才會(huì)產(chǎn)生虛假數(shù)據(jù)分組。實(shí)際上，耐心的攻擊者被虛假數(shù)據(jù)分組誘使遠(yuǎn)離開(kāi)原始路徑后，靜默池消失，攻擊者便收不到任何真假數(shù)據(jù)分組。如圖11(a)所示，當(dāng)網(wǎng)絡(luò)保持穩(wěn)定的安全狀態(tài)（如圖6(c)所示）時(shí)，DPIOP按最短路徑投遞真實(shí)數(shù)據(jù)分組。相比幻影路由RP，DPIOP遇到耐心的攻擊者可節(jié)省能耗約為62.6%，幻影路由的隨機(jī)游走方向一旦是遠(yuǎn)離sink節(jié)點(diǎn)的方向，會(huì)產(chǎn)生更多能耗。在同等實(shí)驗(yàn)參數(shù)下，仿真實(shí)驗(yàn)比實(shí)際實(shí)驗(yàn)會(huì)產(chǎn)生較少能耗，這是因?yàn)閷?shí)際環(huán)境有更多損耗能量的物理因素。

如圖11(b)所示，當(dāng)遇到在sink附近好奇的攻擊者時(shí)，SPA會(huì)使攻擊者無(wú)法收到任何數(shù)據(jù)分組而隨機(jī)游走，偏離原路由路徑后，數(shù)據(jù)分組按最短路徑投遞，比幻影路由降低能耗約為55.2%。DPIOP機(jī)制下好奇的攻擊者在真實(shí)路徑附近會(huì)一直同時(shí)收到2個(gè)數(shù)據(jù)分組，當(dāng)他追蹤假的數(shù)據(jù)分組時(shí)，一旦遠(yuǎn)離原始路徑后，靜默池也隨之消失，攻擊者便收不到任何真假數(shù)據(jù)分組，從而進(jìn)入隨機(jī)游走的狀態(tài)，DPIOP相比幻影路由能耗最多減少54.7%。

在圖11(b)中，當(dāng)路徑<30跳時(shí)，面對(duì)好奇的攻擊者時(shí)，SPA和DPIOP產(chǎn)生的能耗相差不大，這與真實(shí)實(shí)驗(yàn)結(jié)果相符，因?yàn)樵垂?jié)點(diǎn)到sink路徑距離較短時(shí)，SPA產(chǎn)生的路徑偏移路徑長(zhǎng)度和DPIOP產(chǎn)生的假數(shù)據(jù)分組發(fā)送的次數(shù)相差不多，所以產(chǎn)生的能耗也很接近。當(dāng)增加時(shí)，雖然DPIOP使攻擊者捕獲源節(jié)點(diǎn)的概率變小了，但捕獲真實(shí)數(shù)據(jù)分組的數(shù)量也隨之增加，而此時(shí)SPA隨機(jī)游走造成的路徑偏移并沒(méi)有實(shí)質(zhì)性變化，因此DPIOP產(chǎn)生的能耗就會(huì)稍高于SPA。

圖11 網(wǎng)絡(luò)能量消耗和s-d距離的關(guān)系

6 結(jié)束語(yǔ)

本文提出了2種不依賴(lài)原路由的新方法SPA和DPIOP來(lái)解決源位置隱私的問(wèn)題。SPA通過(guò)讓攻擊者周?chē)墓?jié)點(diǎn)只接收不發(fā)送從而阻止或降低攻擊者收到新數(shù)據(jù)分組的可能性。實(shí)驗(yàn)結(jié)果證明了SPA具有極高的安全性，雖然面臨耐心的攻擊者，SPA有可能會(huì)造成數(shù)據(jù)時(shí)延，然而在面對(duì)安全要求極高且可以犧牲一點(diǎn)時(shí)延的網(wǎng)絡(luò)應(yīng)用，如時(shí)延容忍網(wǎng)絡(luò)（DTN, delay/disruption -tolerant network），SPA是一個(gè)更好的選擇。能量高效的DPIOP機(jī)制在路徑較短的情況下安全性能稍差于SPA，但只需要注入極少的虛假信息，就能達(dá)到保護(hù)源節(jié)點(diǎn)位置信息的目的，并且對(duì)當(dāng)前的路由沒(méi)有任何影響。實(shí)際應(yīng)用中，可以靈活應(yīng)用，如在sink附近使用DPIOP，在源節(jié)點(diǎn)附近使用SPA機(jī)制。隨著攻擊者能力的增加，比如更大的竊聽(tīng)范圍和更快的移動(dòng)速度，網(wǎng)絡(luò)的安全性能會(huì)有所下降。未來(lái)我們會(huì)繼續(xù)研究網(wǎng)絡(luò)面臨更強(qiáng)大攻擊者時(shí)的隱私保護(hù)安全策略。

[1] 牛曉光, 魏川博, 姚亞蘭. 傳感網(wǎng)中能量均衡高效的源位置隱私保護(hù)協(xié)議[J]. 通信學(xué)報(bào), 2016, 37(4): 23-33. NIU X G, WEI C B, YAO Y L. Energy-consumption-balanced efficient source-location privacy preserving protocol in WSN[J]. Journal on Communication, 2016, 37(4): 23-33.

[2] LIGHTFOOT L, LI Y, REN J. STaR: design and quantitative measurement of source-location privacy for wireless sensor networks[J]. Secur Commun Netw, 2016, 9(3): 220-228.

[3] 周倩, 秦小麟, 丁有偉.無(wú)線傳感器網(wǎng)絡(luò)中基于哈希函數(shù)的上下文隱私保護(hù)[J]. 南京理工大學(xué)學(xué)報(bào), 2017, 41(6): 753-759.

ZHOU Q, QIN X L, DING Y W. Hash-based contextual privacy preservation in wireless sensor networks[J]. Journal of Nanjing University of Science and Technology, 2017, 41(6): 753-759.

[4] KAMAT P, ZHANG Y, TRAPPE W, et al. Enhancing source-location privacy in sensor network routing[C]//25th IEEE International Conference on Distributed Computing Systems(ICDCS). 2005: 599-608.

[5] ZHANG Y, WANG G, HU Q, et al. Design and performance study of a topology-hiding multipath routing protocol for mobile ad hoc networks[C]// IEEE INFOCOM. 2012: 10-18.

[6] RAHAT A A M, EVERSON R M, FIELDSEND J E. Evolutionary multi-path routing for network lifetime and robustness in wireless sensor networks[J]. Ad Hoc Netw, 2016(52):130-145.

[7] MEHTA K, LIU D, WRIGHT M. Protecting location privacy in sensor networks against a global eavesdropper[J]. IEEE Trans Mob Comput, 2012, 11(2): 320-336.

[8] YANG Y, SHAO M, ZHU S, et al. Towards statistically strong source anonymity for sensor networks[J]. ACM Trans Sen Netw, 2013, 9(2): 1-23.

[9] LOUREN?O P, BATISTA P, OLIVEIRA P, et al. Simultaneous localization and mapping in sensor networks: a GES sensor-based filter with moving object tracking[C]//European Control Conference (ECC). 2015: 2354-2359.

[10] NANDHINI S A, RADHA S. Compressed sensing based object detection and tracking system using measurement selection process for wireless visual sensor networks[C]//International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET). 2016: 1117-1122.

[11] APICHARTTRISORN D, APICHARTTRISORN K, KASETKASEM T. A moving object tracking algorithm using support vector machines in binary sensor networks[C]//13th International Symposium on Communications and Information Technologies (ISCIT). 2013: 529-534.

[12] RIOS R, LOPEZ J. Exploiting context-awareness to enhance source-location privacy in wireless sensor networks[J]. Oxford University Press, 2011, 54(10): 1603-1615 .

[13] BURATTI C. Performance analysis of IEEE 802.15.4 beacon-enabled mode[J]. IEEE Transactions on Vehicular Technology, 2010, 59(4): 2031-2045.

[14] BRADBURY M, LEEKE M, JHUMKA A. A dynamic fake source algorithm for source location privacy in wireless sensor networks[C]//IEEE Trustcom/BigDataSE/ISPA. 2015: 531-538.

[15] OUYANG Y, LE Z, LIU D, et al. Source location privacy against laptop-class attacks in sensor networks[C]//The 4th International Conference on Security and Privacy in Communication Networks. 2008: 5-10.

[16] RAJ M, LI N, LIU D, et al. Using data mules to preserve source location privacy in wireless sensor networks[J]. Pervasive & Mobile Computing, 2014(11): 244-260.

[17] JHUMKA A, LEEKE M, SHRESTHA S. On the use of fake sources for source location privacy: trade-offs between energy and privacy[J]. Computer Journal, 2011, 54(6): 860-874.

[18] SHI R, GOSWAMI M, GAO J, et al. Is random walk truly memoryless traffic analysis and source location privacy under random walks[C]//IEEE INFOCOM. 2013: 3021-3029.

[19] XI Y, SCHWIEBERT L, SHI W. Preserving source location privacy in monitoring-based wireless sensor networks[C]//20th IEEE International Parallel Distributed Processing Symposium. 2006.

[20] ALOMAIR B, CLARK A, CUELLAR J, et al. Toward a statistical framework for source anonymity in sensor networks[J]. IEEE Transactions on Mobile Computing, 2013, 12(2): 248-260.

[21] 吳博, 胡小龍. WSN中基于假路徑的源位置保護(hù)策略[J]. 計(jì)算機(jī)工程與應(yīng)用, 2008, 44(16): 114-117.

WU B, HU X L. Strategy of protecting source-location privacy in WSN based on fake paths[J]. Computer Engineering and Applications, 2008, 44(16): 114-117.

[22] AMIN R, BISWAS G P. A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks[J]. Ad Hoc Networks, 2016, 36(1): 58-80.

[23] SRINIVAS J, MUKHOPADHYAY S, MISHRA D. Secure and efficient user authentication scheme for multi-gateway wireless sensor networks[J]. Ad Hoc Networks, 2017, 54: 147-169.

[24] REDDY A G, DAS A K, YOON E J, et al. A secure anonymous authentication protocol for mobile services on elliptic curve cryptography[J]. IEEE Access, 2016(4): 4394-4407.

[25] SHAO M, HU W, ZHU S, et al. Cross-layer enhanced source location privacy in sensor networks[C]//6th Annual IEEE Communications Society Conference on Sensor, Mesh and Ad Hoc Communications and Networks. 2009: 1-9.

[26] XING Y, CHEN Y, YI W, et al. Optimal beacon interval for TDMA-based MAC in wireless sensor networks[C]//11th International Conference on Innovations in Information Technology (IIT). 2015: 156-161.

[27] HUANG P, LIU C J, XIAO L. TAS-MAC: a traffic-adaptive synchronous MAC protocol for wireless sensor networks[J]. ACM Transaction Sensor Network, 2016, 12(1): 1-30.

[28] ZHOU L, WAN C, HUANG J, et al. The location privacy of wireless sensor networks: attacks and countermeasures[C]//Ninth International Conference on Broadband and Wireless Computing, Communication and Applications (BWCCA). 2014: 64-71.

[29] POTTIE G J, KAISER W J. Wireless integrated network sensors[J]. Communication ACM, 2000, 43(5): 51-58.

Preserving source-location privacy efficiently based on attack-perceiving in wireless sensor network

ZHOU Qian1,2, QIN Xiaolin1,2, DING Youwei1,2

1. College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics, Nanjing 211106, China 2. Jiangsu Key Laboratory of Internet of Things and Control Technology, Nanjing 211106, China

Sensors’ ability was utilized to perceive the mobile attacker nearby, and SPA (silent-pool approach) was proposed, which was able to hinder or reduce the packets hunted by the attacker by controlling the forwarding state of the nodes. In addition, a novel DPIOP (dummy packet injection out pool) method was proposed to entice the adversary far away from the transmission path without changing the original routing path. Through simulation studies and experiments, the outstanding performance of SPA and DPIOP in privacy preservation were demonstrated, with saving energy by about 63%, and reducing delay by about 35%.

location privacy, sensor network, energy-efficiency, attack-perceiving, context-aware

TP393

A

10.11959/j.issn.1000-436x.2018001

周倩（1983-），女，江蘇興化人，南京航空航天大學(xué)博士生，主要研究方向?yàn)閿?shù)據(jù)信息安全、傳感器網(wǎng)絡(luò)、數(shù)據(jù)隱私保護(hù)等。

秦小麟（1953-），男，江蘇蘇州人，南京航空航天大學(xué)教授，主要研究方向?yàn)榉植际綌?shù)據(jù)管理、物聯(lián)網(wǎng)、數(shù)據(jù)安全與隱私保護(hù)、大數(shù)據(jù)管理與分析等。

丁有偉（1987-），男，江蘇宿遷人，南京航空航天大學(xué)博士生，主要研究方向?yàn)樵朴?jì)算、能量高效數(shù)據(jù)管理和數(shù)據(jù)挖掘等。

2017-01-08；

2017-12-02

國(guó)家自然科學(xué)基金資助項(xiàng)目（No.61373015, No.61300052, No.41301047, No.61402225）；江蘇省自然科學(xué)基金資助項(xiàng)目（No.BK20140832）；中國(guó)博士后基金資助項(xiàng)目（No.2013M540447）

: The National Natural Science Foundation of China (No.61373015, No.61300052, No.41301047, No.61402225), The Natural Science Foundation of Jiangsu Province (No.BK20140832), The Postdoctoral Foundation of China (No.2013M540447)