葉 清薛 瓊吳 倩

（1.海軍工程大學(xué)信息安全系 武漢 430033）（2.中國人民解放軍92390部隊 廣州 510000）

1 引言

無線傳感器網(wǎng)絡(luò)［1］是一種具有信息采集、處理和傳輸功能的綜合信息系統(tǒng)，能夠?qū)崟r獲取目標(biāo)信息，并實現(xiàn)信息的交互，其在軍事、環(huán)境監(jiān)測預(yù)報、健康護(hù)理等多個領(lǐng)域具有非常廣闊的應(yīng)用前景［2］。無線傳感器網(wǎng)絡(luò)由于無線通信方式及自身資源受限等原因容易遭受各種安全威脅，其中源節(jié)點位置隱私問題已成為制約其實際部署應(yīng)用的主要障礙之一。無線傳感器網(wǎng)絡(luò)具有不可控的環(huán)境因素，傳感器節(jié)點的資源限制、拓?fù)浣Y(jié)構(gòu)的限制等特性。同時在實際應(yīng)用中，無線傳感器網(wǎng)絡(luò)往往處于無人維護(hù)、條件惡劣的環(huán)境中，這將導(dǎo)致其面臨著多種潛在的安全威脅和攻擊破壞。

在無線傳感器網(wǎng)絡(luò)結(jié)構(gòu)中，散落在監(jiān)測環(huán)境中的源節(jié)點負(fù)責(zé)采集數(shù)據(jù)，然后把數(shù)據(jù)以多跳的方式沿路由路徑傳輸給匯聚節(jié)點，攻擊者可能會沿著這一過程形成的傳輸路徑從匯聚節(jié)點反向追蹤到源節(jié)點。在事件監(jiān)測的傳感網(wǎng)絡(luò)應(yīng)用中，事件的源位置具有相當(dāng)高的敏感性，是一項非常重要的信息。由于無線傳感器網(wǎng)絡(luò)自身獨有的特點，傳統(tǒng)的匿名性技術(shù)不適用于無線傳感器網(wǎng)絡(luò)中。攻擊者有能力對無線通信進(jìn)行監(jiān)聽，在不破壞節(jié)點、不破壞數(shù)據(jù)分組內(nèi)容、不擾亂網(wǎng)絡(luò)正常工作的情況下通過流量分析、逐跳回溯等方式定位到源節(jié)點。因此，如何保護(hù)源節(jié)點位置隱私是一個值得研究的問題。自O(shè)zturk等［3］最開始提出無線傳感網(wǎng)節(jié)點位置隱私保護(hù)開始，無線傳感器源節(jié)點位置隱私保護(hù)問題已經(jīng)得到國內(nèi)外學(xué)者的重視，在基于隨機(jī)路由策略、幻象路由策略、垃圾包策略、仿源節(jié)點策略等方面提出了許多很好的方案［4］。

2 基于隨機(jī)路由策略的源節(jié)點位置隱私保護(hù)

隨機(jī)路由策略的原理是數(shù)據(jù)包在無線傳感網(wǎng)絡(luò)中的路由是隨機(jī)的，不是每一次傳輸都是從源節(jié)點方向向著匯聚點方向轉(zhuǎn)發(fā)。為了很好地抵御攻擊者的流量分析和逐跳反向追溯攻擊，“隨機(jī)步”應(yīng)是完全隨機(jī)。在單純的隨機(jī)步路由里，節(jié)點的所有鄰居節(jié)點被選為下一跳的概率是均勻分布的，節(jié)點有可能選擇任何一個鄰居節(jié)點作為下一跳，即使有可能該鄰居在本輪數(shù)據(jù)發(fā)送過程中已經(jīng)轉(zhuǎn)發(fā)過該數(shù)據(jù)包。如果節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)包給已經(jīng)參與過數(shù)據(jù)包轉(zhuǎn)發(fā)的鄰居節(jié)點，它們就形成了數(shù)據(jù)包循環(huán)，這樣不僅減輕了抵御攻擊的能力，而且由于有些節(jié)點反復(fù)參與數(shù)據(jù)包的接收與發(fā)送導(dǎo)致能耗的劇增。

Ozturk等［3］提出基于隨機(jī)漫步思想的“幽靈路由”源位置隱私保護(hù)協(xié)議，該協(xié)議分為2個階段：數(shù)據(jù)分組首先進(jìn)行隨機(jī)漫步h跳后到達(dá)一個偽信源節(jié)點；隨后開始進(jìn)入第二個階段，數(shù)據(jù)分組將從偽信源節(jié)點通過泛洪或者最短路徑到達(dá)基站。Kamat等［5］引進(jìn)定向隨機(jī)步方法作為其源位置隱私保護(hù)策略的一部分，并提出定向隨機(jī)步方法—基于跳數(shù)的定向隨機(jī)步。數(shù)據(jù)包從一個節(jié)點轉(zhuǎn)發(fā)到另一個節(jié)點的距離稱為一跳，節(jié)點把基站的跳數(shù)小于或等于自己到基站的跳數(shù)的鄰居節(jié)點放在一個集合，到基站的跳數(shù)多于自己的放在另一個集合，節(jié)點隨機(jī)選取其中一個集合再在該集合隨機(jī)選取一個節(jié)點作為下一跳。Zhang等［6］認(rèn)為基于跳數(shù)的定向隨機(jī)步的隨機(jī)性并不強(qiáng)，提出了基于區(qū)域的自適應(yīng)定向隨機(jī)步，節(jié)點根據(jù)四個方向?qū)⒆约旱泥従蛹罢O到哪分成相應(yīng)的四個集合，再按照自適應(yīng)算法決定下一個隨機(jī)步。Wei等［7］實用了一種基于角度的隨機(jī)步方法，節(jié)點的隨機(jī)步取決于自己和下一跳鄰居以及基站三點構(gòu)成的以基站為頂角的角度。針對具有局部流量分析行為的逐跳反向攻擊者，趙澤茂等［8］提出基于隨機(jī)角度和概率轉(zhuǎn)發(fā)的源位置隱私保護(hù)路由協(xié)議RAPFPR。該協(xié)議主要分為兩個階段：真實源節(jié)點根據(jù)隨機(jī)角度和距離的有向路由階段，幻影節(jié)點到基站的概率轉(zhuǎn)發(fā)路由階段。協(xié)議產(chǎn)生的幻影節(jié)點能夠很好地均勻分布在真實源節(jié)點周圍，且采取概率轉(zhuǎn)發(fā)路由大大減少了重合路徑的產(chǎn)生，增加了逐跳反向攻擊的難度。易險峰等［9］提出一種新穎的追蹤時間受限的路由策略來有效保護(hù)源節(jié)點位置隱私保護(hù)，其主要核心是：源節(jié)點到sink節(jié)點的路由路徑是動態(tài)隨機(jī)產(chǎn)生與分布，而每次路由維持的時間小于攻擊者能夠追蹤到幻象節(jié)點的時間，使得攻擊者難以追蹤到幻象節(jié)點，更難以追蹤到真實源節(jié)點，從而提高了源節(jié)點位置的保護(hù)強(qiáng)度。張楠等［10］提出一種基于隨機(jī)角度的增強(qiáng)型源位置隱私保護(hù)協(xié)議EPURA。EPURA運用劃分幻影源子區(qū)域和隨機(jī)角度相結(jié)合的方法來選擇幻影節(jié)點，通過給節(jié)點設(shè)置可視區(qū)標(biāo)記字段來避免損耗路徑的產(chǎn)生，激發(fā)位的設(shè)置又能在很大程度上減少幻影節(jié)點到基站的重合路徑。為了更好地保護(hù)源位置隱私，黃北北等［11］提出一種新的源位置隱私保護(hù)方法，通過使用相鄰節(jié)點的斜率的反正切值來確定幻影路徑上下一跳節(jié)點選擇范圍，使得幻影源的選取在不暴露源位置方向信息的情況下能夠遠(yuǎn)離真實源，且能夠生成更多不重復(fù)的幻影源，更靈活地控制幻影源的選取，使幻影源的分布較為均勻，從而能夠更好地提高源位置隱私保護(hù)的性能。Li等［12］提出一種三階段的隨機(jī)路由策略的源位置隱私保護(hù)方案，其中三個階段分別是指定向隨機(jī)路由、角度區(qū)域h跳路由和最短路徑路由階段。

3 基于幻象路由策略的源節(jié)點位置隱私保護(hù)

幻象路由策略的基本思想是：數(shù)據(jù)包并不是直接從源節(jié)點到基站，而是找一個中間節(jié)點將數(shù)據(jù)包的發(fā)送過程分成兩個階段，第一個階段是從源節(jié)點到中間節(jié)點的通信，第二個階段是數(shù)據(jù)包從中間節(jié)點發(fā)送到基站。此種策略就是要誤導(dǎo)攻擊者把中間節(jié)點當(dāng)成源節(jié)點，延長源節(jié)點的安全時間。策略的核心是幻象節(jié)點的選取方法，優(yōu)良的幻象源節(jié)點不僅具備干擾攻擊者的功能，而且即使幻象源節(jié)點被攻破也能讓源節(jié)點保持一段較長的安全時間。

Lightfoot等［13］提出STaR幻象路由協(xié)議，候選的幻象源節(jié)點全都限定在一個距離基站r到R的圓環(huán)內(nèi)，每一次源節(jié)點發(fā)送數(shù)據(jù)包之前都在該限定區(qū)域隨機(jī)選擇一個節(jié)點作為幻象源節(jié)點，該方法使得圓環(huán)內(nèi)的能量消耗太大，而外層的能量卻沒有得到有效利用。陳娟等［14］通過引入可視區(qū)的概念即距離真實源節(jié)點r跳內(nèi)的節(jié)點集合，提出基于源節(jié)點有限洪泛的增強(qiáng)性源位置隱私保護(hù)協(xié)議。該協(xié)議在源節(jié)點有限洪泛過程中標(biāo)記出可視區(qū)的節(jié)點，同時通過避開可視區(qū)的廣播策略，使得數(shù)據(jù)包在最短路徑路由過程能夠完全逃離可視區(qū)，該協(xié)議能夠產(chǎn)生遠(yuǎn)離真實源節(jié)點且地理位置多樣性的幻像源節(jié)點。周玲玲等［15］提出一種有向等高度路由與幻影路由相結(jié)合的源位置隱私保護(hù)協(xié)議。數(shù)據(jù)包在進(jìn)行幻影路由之前先進(jìn)行h+r跳的有向等高度路由，之后再發(fā)起幻影路由過程，以避免失效路徑的產(chǎn)生，并增加有效路徑的數(shù)量。孫美松等［16］提出一種基于偽正態(tài)分布的幻影路由隱私保護(hù)方案。該方案的實施過程為利用隨機(jī)數(shù)機(jī)制計算幻影節(jié)點的隨機(jī)有向游走跳數(shù)；通過該機(jī)制可以增加幻影節(jié)點的位置分布多樣性與動態(tài)性，經(jīng)概率轉(zhuǎn)發(fā)路由機(jī)制將數(shù)據(jù)包從幻影節(jié)點轉(zhuǎn)發(fā)至匯聚節(jié)點，目的是降低重合路徑產(chǎn)生的可能性。周瞭永等［17］提出一種基于幻影路由的增強(qiáng)型源位置隱私保護(hù)協(xié)議，該協(xié)議通過一種扇形區(qū)域劃分方案以及扇形域中改進(jìn)型幻影路由機(jī)制，較好地保護(hù)了源節(jié)點的位置隱私。該協(xié)議具有以下優(yōu)勢：面對較強(qiáng)攻擊者，不會發(fā)生方向信息泄露；相鄰時序產(chǎn)生的幻影節(jié)點間的距離及路由至相同幻影節(jié)點的可能性得到控制；產(chǎn)生數(shù)量眾多，分布多樣化的幻影節(jié)點；幻影節(jié)點與源節(jié)點的距離進(jìn)一步增大。

4 基于垃圾包策略的源節(jié)點位置隱私保護(hù)

垃圾包策略主要思想是迷惑攻擊者，在正常的數(shù)據(jù)包通信中引入垃圾包，攻擊者不能從表面找出真正的數(shù)據(jù)包，因而攻擊者就難以找到源節(jié)點。攻擊者需花費更多的時間才能追蹤到源節(jié)點，網(wǎng)絡(luò)的安全得到保障。

Ouyang等［18］提出的環(huán)路陷阱協(xié)議就是利用了垃圾包保護(hù)網(wǎng)絡(luò)中的源節(jié)點。在搭建網(wǎng)絡(luò)環(huán)境階段，遵循特定的規(guī)則生成一些列環(huán)路，這些環(huán)路并不會馬上發(fā)揮作用，而是要等待被激活才能產(chǎn)生垃圾包。在數(shù)據(jù)包從源節(jié)點傳輸?shù)交镜穆酚蛇^程中，如果預(yù)先建立的環(huán)路上的節(jié)點正好在路由路徑上，那么該節(jié)點所屬的環(huán)路就會被激活，像發(fā)送正常的數(shù)據(jù)包一樣發(fā)送垃圾包。針對全局流量攻擊者，Yang等［19］提出隨機(jī)強(qiáng)健源節(jié)點匿名性概念，在此基礎(chǔ)上提出FitProbRate策略，網(wǎng)絡(luò)中的節(jié)點都按照一個服從某種確定分布的時間間隔發(fā)送垃圾包，收到真正的數(shù)據(jù)包后仍然維持原來的節(jié)奏發(fā)送，該策略具備良好的魯棒性。Luo等［20］提出一種垃圾包注入策略DPIS，該策略中，當(dāng)節(jié)點探聽到比自己離基站遠(yuǎn)的鄰居節(jié)點有數(shù)據(jù)包轉(zhuǎn)發(fā)動作時，該節(jié)點根據(jù)自己的剩余能量依一定的概率廣播垃圾包，讓攻擊者竊聽到混亂的數(shù)據(jù)包發(fā)送。Chen等［21］提出動態(tài)雙向數(shù)策略DBT，在數(shù)據(jù)包從源節(jié)點到幻象節(jié)點的路由路徑上，離源節(jié)點比離基站近的轉(zhuǎn)發(fā)節(jié)點除了正常轉(zhuǎn)發(fā)數(shù)據(jù)包，還要按照一定的概率產(chǎn)生一個垃圾數(shù)據(jù)包轉(zhuǎn)發(fā)達(dá)h跳路程之遠(yuǎn)，這樣在靠近源節(jié)點這一段形成了一個垃圾包樹。針對虛擬圓環(huán)節(jié)點失效這一問題，張江南等［22］提出基于假包的多個虛擬圓環(huán)策略，采取敵人的平均追蹤時間作為主要的衡量指標(biāo)，單個虛擬圓環(huán)陷阱路由協(xié)議策略可以獲得較長的安全時間，多個虛擬圓環(huán)策略可以獲得比單個虛擬圓環(huán)陷阱路由協(xié)議更優(yōu)越的效果。

5 基于仿源節(jié)點策略的源節(jié)點位置隱私保護(hù)

仿源節(jié)點策略的原理是在網(wǎng)絡(luò)布置階段，預(yù)先設(shè)定一些節(jié)點為假的源節(jié)點，網(wǎng)路運行階段，它們模仿源節(jié)點的行為，像源節(jié)點一樣產(chǎn)生網(wǎng)絡(luò)中的數(shù)據(jù)包流量。

Mehta等［23］提出周期采集和源模擬。在周期采集方法中，網(wǎng)絡(luò)有一個特定的周期指令，節(jié)點的周期指令的控制下發(fā)出數(shù)據(jù)包。這樣網(wǎng)絡(luò)中就會有節(jié)點以同樣的節(jié)奏發(fā)送數(shù)據(jù)包，攻擊者難以找到頭緒。源模擬方法是在網(wǎng)絡(luò)中布置一些特別的節(jié)點，稱為初始源節(jié)點，同時還有一個特別的指令令牌。網(wǎng)絡(luò)開始運行之后，指令令牌在網(wǎng)絡(luò)中隨機(jī)流動，接收到指令令牌的初始源節(jié)點就模仿真正的源節(jié)點。Yang等［24］提出了基于代理的過濾協(xié)議PFS和基于樹的過濾協(xié)議TFS，在網(wǎng)絡(luò)中設(shè)置若干代理點來實現(xiàn)對流量的過濾，在保證源節(jié)點安全的同時減少網(wǎng)絡(luò)流量。PFS的流程分為兩個階段：代理節(jié)點選取階段和執(zhí)行階段。當(dāng)代理節(jié)點接收到普通節(jié)點發(fā)來的消息時，先進(jìn)行解密，如果是包含真實事件，則重新加密，放入消息發(fā)送隊列里，等待一定的緩沖時間再將其發(fā)送，如果是偽數(shù)據(jù)包，將立即丟棄。當(dāng)代理節(jié)點接收到其他代理節(jié)點的數(shù)據(jù)包時，則直接轉(zhuǎn)發(fā)。PFS與TFS的區(qū)別在于后者采用多層代理，代理節(jié)點按照樹形結(jié)構(gòu)來過濾其他代理節(jié)點發(fā)送的偽數(shù)據(jù)包。施佳琪等［25］提出一種周期性發(fā)送干擾數(shù)據(jù)的算法。網(wǎng)絡(luò)中的節(jié)點周期性地發(fā)送干擾數(shù)據(jù)包，將真實數(shù)據(jù)混淆在其中，攻擊者無法判斷真實數(shù)據(jù)的流向，從而保護(hù)源節(jié)點的安全，并在基礎(chǔ)上提出在每個節(jié)點中設(shè)立數(shù)據(jù)門限的思想，當(dāng)節(jié)點中的數(shù)據(jù)超過一定門限值，將根據(jù)一定策略暫緩發(fā)送干擾數(shù)據(jù)，從而防止網(wǎng)絡(luò)擁塞等狀況的出現(xiàn)，同時能平衡網(wǎng)絡(luò)的流量狀況，節(jié)省資源帶寬。

6 結(jié)語

廣泛應(yīng)用于目標(biāo)監(jiān)測的無線傳感器網(wǎng)絡(luò)，源節(jié)點位置的暴露將會直接威脅到目標(biāo)的安全性。因此，源節(jié)點隱私保護(hù)問題制約著無線傳感器網(wǎng)絡(luò)的大規(guī)模部署與應(yīng)用。目前源位置隱私保護(hù)研究尚存在以下幾個方面的問題：

1）基于隨機(jī)路由策略、幻象路由策略、垃圾包策略、仿源節(jié)點策略、網(wǎng)絡(luò)編碼策略的源節(jié)點位置隱私保護(hù)均是針對某種特定類型的攻擊而言，而實際應(yīng)用中，源節(jié)點可能會遭受到多種類型的攻擊，必然要將以上隱私保護(hù)策略有效集成使用，已達(dá)成更好的保護(hù)效果，而且其實現(xiàn)的復(fù)雜性將大大增加。

2）在假定無線傳感器網(wǎng)絡(luò)模型時，現(xiàn)今大多數(shù)源位置隱私保護(hù)策略都將網(wǎng)絡(luò)定位于平面網(wǎng)絡(luò)，而在無線傳感器的實際應(yīng)用過程中，更多的是分簇立體無線傳感器網(wǎng)絡(luò)模型；此外，現(xiàn)有的無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護(hù)方案大多以靜止網(wǎng)絡(luò)為模型提出來的，也就是說，一旦網(wǎng)絡(luò)部署完畢，傳感器節(jié)點的位置不會再變動。然而在具體應(yīng)用中，需要移動節(jié)點才能達(dá)成目的任務(wù)。

3）在針對流量分析攻擊的無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護(hù)中，絕大多數(shù)保護(hù)方案中單純考慮的是只有一個被監(jiān)測對象即單一源節(jié)點的情況，多源節(jié)點的位置隱私保護(hù)問題較少研究。

當(dāng)前無線傳感器網(wǎng)絡(luò)模型、攻擊者模型等都不斷地被擴(kuò)充和完善，針對不同模型的協(xié)議方案也不斷提出，但仍有一些關(guān)鍵課題和熱點值得進(jìn)一步研究。

1）無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護(hù)策略與其有限的能量之間的矛盾。無線傳感器網(wǎng)絡(luò)中的源節(jié)點能量有限，其計算能力也有限，這些因素就對一些較為復(fù)雜的隱私保護(hù)方法提出了制約，因此，如何找到一種平衡的方法達(dá)到兩全其美的目的需要進(jìn)一步的研究和分析；

2）無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私安全評價標(biāo)準(zhǔn)的制定。無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私的研究處于理論成熟階段，一個對于位置隱私保護(hù)評價等級的制定對于接下來的工程實踐研究極為重要，通過統(tǒng)一的標(biāo)準(zhǔn)可以從距離、安全時間等多個方面對源節(jié)點位置隱私的安全程度進(jìn)行判斷；

3）對于層出不窮的新的源位置隱私獲取手段的預(yù)防。隨著無線傳感器網(wǎng)絡(luò)技術(shù)的發(fā)展，針對源節(jié)點位置隱私的獲取手段將更加豐富和復(fù)雜，因此，與之抗衡的可靠的源位置隱私保護(hù)機(jī)制研究更為關(guān)鍵。