Source-Location Privacy Protocol Based on the Minimum Cost Routing*

LIU Xuejun，LI Jiang，LI Bin

(College of Electronic and Information Engineering，Nanjing University of Technology，Nanjing 211816，China)

Source-Location Privacy Protocol Based on the Minimum Cost Routing*

LIU Xuejun*，LI Jiang，LI Bin

(College of Electronic and Information Engineering，Nanjing University of Technology，Nanjing 211816，China)

Source-location privacy protection is already one of the key technologies which restrict the promotion of wireless sensor network(WSN).At the same time，the energy issue is also a big constraint，so we have been committed to find a balance between privacy protection and energy consumption.In the paper，we proposed a source-location privacy protocol based on the minimum cost routing(LPBMR).The protocol is divided into two parts:In the first phase，The data is sent to the phantom node with directional random walk at a certain energy consumption;In the second phase，the phantom node send the data to the Sink along with the minimum energy routing which can avoid the visual of the source node.The results of the simulation showed that LPBMR can achieve a good privacy protection with less energy consumption.

wireless sensor network;privacy preservation;source-location;the minimum cost routing

近年來，隨著在無線通信、微系統技術和傳感器設備等領域里取得了新的進展，無線傳感器網絡WSN (Wireless Sensor Networks)得到了顯著的發展。WSN常常應用于一些特殊的物理環境，網絡中包含大量成本小、能耗低、效率高的節點，每個節點從周圍的環境中收集信息，以多跳的方式將數據傳輸到一個接收器上。WSN在醫療衛生、環境監測、軍事偵察、工業控制、智能家居等領域得到越來越廣泛的應用［1］。

但是WSN是基于無線通信技術傳播信息的，這使得它容易受到外界的攻擊，同時網絡中的節點能源有限也使得WSN的安全問題更加突出。所以隱私保護問題已經成為制約著WSN的推廣的關鍵技術之一。WSN中的安全隱私保護可以分為兩類:內容隱私保護和環境隱私保護。內容隱私保護主要是抵御一些非法用戶通過竊聽、破譯、篡改等方式盜取和破壞網絡傳輸過程中的數據信息。其主要技術有數據加密、數據融合、用戶認證等。而環境隱私保護相對比較復雜，WSN中的一些敏感信息往往與數據發送方式和數據流量有關，攻擊者可以在不破譯數據的情況下通過流量分析推斷出網絡中的這些敏感信息。位置隱私保護作為環境隱私保護的一種有著非常重要的意義。當WSN應用于環境資源監測時，數據源節點作為無線傳感器網絡中的關鍵節點，如果缺少對它的位置隱私保護會給這些資源帶來巨大安全隱患。例如，在用于監測瀕危物種野生大熊貓的生活習性的無線傳感器網絡中，一旦源節點位置信息暴露給獵人，這將會危害到熊貓的生命安全。

本文提出了一種基于最小能耗路由的源節點位置隱私保護協議LPBMR(Source-Location Privacy Protection Based on the Minimum Cost Routing)。與以往的協議不同，LPBMR協議建立在最小能耗路由［2］的基礎上，以改進的定向隨機步和避開源節點可視區的路由策略，達到了較高的隱私保護要求。經本文的分析表明，LPBMR可以保證以較少的能耗提供更強大的、更高效的源節點位置隱私保護。

1 相關研究

根據過去的相關研究，WSN面臨的源位置隱私安全威脅可以分為兩類比較典型的攻擊者模型:局部流量攻擊者和全局流量攻擊者。局部流量攻擊者受到設備的約束監聽半徑相對較小，只能監聽網絡中部分節點的通信流量，同時不會干涉網絡的正常運行，以免觸發網絡中的其他安全機制。攻擊者通過分析節點間的流量，以逆向追蹤的方式朝著源節點的方向快速移動。為了抵御這種局部流量攻擊者，Ozturk［3］等人首次提出了幻影路由協議，通過完全隨機的方式制造一個遠離源節點的幻影節點，以幻影節點代替源節點向基站發送數據，這樣攻擊者就很難追蹤到真實的源節點。而全局流量攻擊者的威脅更大，攻擊者以大量的監測設備長時間地監聽整個網絡的通信流量并進行實時分析。當源節點向基站發送數據時，其周圍的數據流量必然要大于其他地方，這樣攻擊者就能快速準確地定位到源節點所在的位置。文獻［4］提出了一種抵御全局攻擊者的路由策略，將網絡分成若干小組，每個小組中的空閑節點會在設定的時間內向網絡中植入虛假數據流量，使得網絡中的流量在匿名統計時以等概率的形式出現。這樣當源節點發送感知數據時就被這些虛假數據所掩蓋，攻擊者就很難通過分析全局流量來推測出源節點的位置。

在實際應用中，全局流量攻擊者因為設備要求高、監聽時間長、容易被防御等因素并不常見。相反，局部流量攻擊者因為要求低、代價小、不易被防御等因素相對比較普遍。因此，本文主要研究用于抵御局部流量攻擊者的路由協議。文獻［5］對文獻［3］提出的幻影路由協議進行了分析，發現完全隨機的轉發策略不能保證幻影節點與源節點的距離足夠遠。為了使幻影節點能快速地遠離真實源節點，姚劍波［6］等人提出了定向隨機步發送方式，中間節點把收到的數據以等概率的方式轉發給它的父節點。雖然這種定向隨機步的方式可以快速地產生遠離源節點的幻影節點，但是產生的幻影節點會集中在某一區域內，對于源節點的隱私保護效果不佳。文獻［7］中首次提出源節點可視區的概念，認為攻擊者一旦跟蹤到源節點的一定范圍內就可以直接通過目測識別源節點，該范圍就稱為源節點的可視區。如果幻影節點向基站發送數據的路由經過源節點的可視區，那么攻擊者在逆向追蹤的過程中很容易發現源節點，幻影節點就沒有達到真正保護源節點的作用，稱該路由為“失效路徑”。因此，Wang等人［7］引入節點偏移夾角信息，提出了一種基于角度的源位置隱私保護協議——PRLA，該協議通過源節點有限洪泛的方式收集源節點有限范圍內節點的偏移夾角信息。在數據轉發過程中，節點的偏移夾角越大轉發概率就越大。這樣使得幻影節點到基站的路徑會最大程度地偏離源節點到基站的最短路徑，盡可能地避開源節點的可視區。雖然PRLA一定程度上降低了失效路徑的產生，但是角度的計算帶來了節點額外的計算開支，同時也沒有達到完全避開“失效路徑”的效果。陳娟［8］等人又提出了PUSBRF協議和EPUSBRF協議。在EPUSBRF協議中，源節點在監測到目標后進行h跳有限洪泛并標記出可視區內的節點，然后全網廣播一個避開可視區的路由建立消息。雖然該協議相對地避免了“失效路徑”的產生，但是在實際應用中會存在一些問題:首先，源節點在監測到目標后采用洪泛的方式標記可視區，當監測目標移動較快時，節點要進行多次洪泛，這會使得網絡的能量消耗過快;其次路由建立的消息在源節點洪泛之后才進行全網廣播，這種方式實現起來比較困難。

與傳統的幻影路由協議不同，文獻［9］中首次提出了一種可控能耗的信貸路由(Credit Routing)。Credit Routing是建立在最小能耗路由的基礎上，當源節點發送數據時，節點根據隱私保護的要求分配一個額外的能耗值δ，在數據轉發過程中，根據要求:通過鄰節點轉發的成本要小于等于剩余的能耗，生成一個轉發列表，轉發節點在轉發列表中隨機選取。剩余的能耗隨著數據的轉發而越來越少，最終數據包會沿著最小能耗路由向基站發送數據。為了達到更好的隱私保護，文獻［9］又提出了一種混合路由(Hybrid Routing)。Hybrid Routing分為3個路由階段:隨機路由、有向路由、信貸路由。同時將分配的額外能耗分為3部分，分別用在不同的路由階段。不管是Credit Routing或是Hybrid Routing都是通過隨機的方式轉發數據，這不能有效的保證數據包在轉發過程中與真實的源節點的距離足夠遠，同時這兩種協議都沒有考慮到“可視區”。本文在這兩種協議的基礎上進行了改進，提出了LPBMR協議。LPBMR同樣也建立在最小能耗路由的基礎上，在源節點轉發數據時根據隱私保護要求設定額外能耗，以定向隨機步的方式快速地將數據包發送至遠離源節點的幻影節點;然后，幻影節點開始沿著最小能耗路由向基站轉發，通過計算轉發節點與源節點的距離避開“可視區”。通過實驗對比分析，本文提出的LPBMR協議有效地解決了Credit Routing和Hybrid Routing中的不足。

2 網絡模型和攻擊模型

2.1 網絡模型

為了便于研究和分析，本文假設無線傳感網絡中只包含一個Sink節點和大量的普通節點。Sink節點的位置信息公開，每個節點通過多跳的方式將感知數據傳輸給Sink節點。每個節點都有最大傳輸距離，在最大傳輸距離內的兩個節點可以直接通信。當節點監測到目標后，開始向Sink發送感知數據，這時該節點就成為數據源節點，簡稱“源節點”。源節點會在一段時間內連續地向Sink發送數據。

本文參照文獻［2］提出的方法建立最小能耗路由。路由協議可以將跳數、距離、延遲等作為節點間能耗的衡量標準，本文為方便將距離作為能耗的衡量標準。根據兩點間直線最短，節點到Sink的最小能耗路由趨于直線。

每個節點在部署前都會植入一個與基站共享的公匙，而只有基站擁有密匙，這樣保證了節點發送的加密數據只有基站能夠正確讀取。每個節點中都有一個能耗字段，用于表示節點到Sink的最小能耗，其初始值為∞。節點部署完成以后，由Sink開始向全網廣播一個路由建立的消息，消息中記錄了轉發過程中消耗的能量值。當節點接收到廣播消息后，將本身的能耗值與數據包中記錄的能耗進行比較。例如，當節點N接收到節點M轉發來的廣播消息時，將Cn與Cm+dmn進行比較。其中Cn表示N到Sink的能耗，Cm表示M到Sink的能耗，dmn表示從M到N所消耗的能量。如果Cn＞Cm+dmn，則更新Cn=Cm+dmn，并轉發廣播消息;否則不轉發。以此類推，直到每個節點都得到了到Sink的最小能耗，以及所有鄰節點到Sink的最小能耗值。關于節點轉發廣播信息的代碼實現如下:

//其中M表示發送節點，N表示接受節點

當最小能耗路由建立完成以后，網絡設定節點的轉發協議:①源節點發送數據包時向數據包頭部加入最小能耗值;②每次轉發都會消耗一部分能耗，轉發完成以后更新數據包中的剩余能耗;③中間節點選擇下一跳轉發節點滿足:當前節點到下一跳節點所需的能耗+下一跳節點到Sink的最小能耗≤數據包中剩余的能耗。

關于選擇轉發節點的操作由如下代碼實現:

//其中P表示發送節點，Q表示轉發候選節點，α表示

數據包中的剩余能耗

當源節點發送感知數據時，只需在數據包中加入轉發的能耗信息，數據包就會自動沿著最小能耗路徑向Sink轉發。具體如圖1所示，假設節點A到Sink的最小能耗CA=100，節點B到Sink的最小能耗CB=85，節點C到Sink的最小能耗CC=80。節點A到節點B的能耗dBA=15，節點A到節點C的能耗dcA=25。當數據包由節點A向Sink轉發時，數據包中的剩余能耗α=100，節點A通過計算發現:通過C轉發所需的能耗CC+dCA≥α，不滿足轉發條件;而通過B轉發所需的能耗CB+dBA≤α，滿足轉發條件。所以節點A選擇節點B為下一跳轉發節點。

圖1 最小能耗路徑

2.2 攻擊模型

本文主要研究抵御局部流量攻擊者的攻擊模型，根據以往的研究，局部流量攻擊者可以按照耐心程度分為:耐心攻擊者和謹慎攻擊者。在逆向追蹤過程中，耐心攻擊者會一直在一個節點附近等待，直到監聽到有新的數據包向這個節點發送，然后攻擊者向發送方快速移動。而謹慎攻擊者會限制在一個位置上的監聽時間，攻擊者如果在規定的時間內沒有監聽到任何新的數據包，就會回到上一跳節點的位置繼續監聽。根據文獻［5］中的討論，耐心攻擊者要比謹慎攻擊者更具有威脅性。

本文參考“熊貓—獵人”［8］博弈模型，假設節點間轉發的數據內容都經過加密處理，攻擊者有如下特點:①攻擊者具有優良的設備、足夠的能源、高效的計算能力和數據存儲能力。②攻擊者通過監聽網絡中局部的數據流量可以推測出數據發送方的位置，但是攻擊者的監聽范圍有限(等于節點的通信半徑)，所以只能逐跳地進行逆向追蹤。③攻擊者不會通過其他方式來攻擊網絡，如篡改數據包，破壞節點等，因為這些攻擊方式會觸發網絡的其他安全機制。④攻擊者一開始位于Sink節點的附近，一旦監聽到有數據包向Sink發送，就開始向發送節點移動。⑤當攻擊者進入源節點一定范圍內時，可以直接識別源節點。

3 隱私保護協議的描述

3.1 協議概述

根據本文第2節中網絡模型的討論，以節點間的距離為能耗的衡量標準，建立最小能耗路由。但是由于最小能耗路由是相對固定的，所以很容易被攻擊者通過逆向追蹤方式找到源節點的位置信息。為了達到源節點位置隱私保護的要求，本文提出了一種基于最小能耗路由的源節點位置隱私保護協議(LPBMR)。LPBMR增加數據傳輸的路由隨機性，使得攻擊者不能輕易找到源節點。

LPBMR協議分為兩個階段:

第1階段，源節點以定向隨機步的方式將數據包快速地向幻影節點轉發。在LPBMR協議中，當最小能耗路由建立的時候，每個節點不僅得到了自己和鄰節點到Sink的最小能耗，而且根據到Sink的能耗將其鄰節點劃分為兩類:能耗小于自己的鄰節點劃為近節點集合，能耗大于自己的鄰節點劃為遠節點集合。在定向隨機步轉發過程中，選定遠節點集合作為轉發節點的候選集合，節點在每次轉發時在候選集合中隨機地選取一個節點作為數據包的下一跳轉發節點。如圖2(a)所示，源節點S發送感知數據前，先根據隱私保護的要求在數據包的頭部植入一個能耗值θ和源節點的位置信息，其中，θ為定向隨機步階段可以消耗的總能耗值。每次定向隨機轉發會消耗一部分能耗值，當θ消耗為0時，停止轉發。這時，數據包到達一個隨機的幻影節點P。

圖2 不同過程中的數據包格式

第2階段，幻影節點沿著避開源節點可視區的轉發。如圖2(b)所示，幻影節點P發送的數據包頭部包含有源節點信息和剩余能耗α，設定剩余能耗值α=CP+β，其中CP為幻影節點到Sink的最小能耗，β為額外的能耗，用于避開源節點的可視區和增加幻影路由的隨機性。在避開可視區的轉發過程中，中間節點在近節點集合中隨機選取一個節點，根據數據包中的源節點位置信息，計算該節點到源節點的距離。數據包的每次轉發滿足以下條件:(1)每次轉發選取距離源節點較遠的節點作為下一跳轉發節點;(2)由該節點向Sink轉發所需的能耗小于當前剩余的能耗值。這樣能確保節點在能耗允許的情況下，在遠離源節點的同時朝著Sink轉發。

Event:Avoid source routing

1int temp=0，ID;

2while(從近節點集合中選取一個節點)do

3if(通過該節點的所需的能耗≤α)

4then if(該節點到源節點的距離＞temp)

5then temp=該節點到源節點的距離

6ID=該節點的ID號

7return ID

如圖3所示，假設Sink的坐標為(0，0)，源節點S的坐標為(CS，0)，可視區的半徑為r。當幻影節點P與Sink和源節點在同一直線上，并且到源節點S的能耗為θ時，數據包避開源節點可視區所需的額外能耗β為最大值。所以，為了使得數據包在轉發時可以有效地避開源節點的可視區，取β=(CS+θ)·

圖3 避開源節點可視區的最大能耗

最后，當節點到Sink的最小能耗Cu≤CS-r時，數據包拋棄存放在頭部的源節點信息，并沿著最小能耗路由轉發。因為當Cu≤CS-r時，數據包轉發的將不再會經過源節點的可視區，所以轉發過程中不再需要計算節點與源節點的距離，為了安全考慮，將數據包頭部的源節點信息拋棄，如圖2(c)所示。同時，將剩余能耗值設為α=Cu，數據包將開始沿著最小能耗路由轉發。整個轉發過程如圖4所示。

圖4LPBMR協議的轉發示意圖

3.2 性能分析

3.2.1 安全分析

源節點位置隱私保護并不能絕對防止攻擊者發現源節點，如果能使得期望的時間內攻擊者不能到達源節點位置，那么就認為源節點的位置隱私已經得到了保護。文獻［5］定義協議的安全時間為攻擊者通過逆向跟蹤數據包到達源節點所需要的時間。經研究表明，安全時間與幻影節點位置的隨機性以及幻影節點到源節點的距離有關。根據文獻［10］，數據包經過λ跳完全隨機轉發后，在源節點d跳范圍內的概率為P=1-exp(-d2/λ)。如圖5所示，當λ=42時，數據包在源節點13跳(d=λ/3曲線)范圍內的概率趨向于100%;當λ=60時，數據包在源節點15跳(d=λ/4曲線)范圍內的概率趨向于100%。由此可知，完全隨機的轉發數據包不能保證幻影節點離源節點足夠遠。文獻［5］提出采用定向隨機步的路由策略，基于鄰節點到基站的最小跳數，從當前節點的子節點中選取下一跳的轉發節點，使得數據包一直朝著遠離Sink的方向轉發。這種定向路由有效地避免了完全隨機轉發產生的回繞現象，保證數據包能夠快速地遠離源節點位置。

圖5 幻影節點在源節點d跳范圍內的概率

但是，文獻［8］中提出的定理1:以鄰節點距離基站的最小跳數進行前h跳有向路由，產生的幻影源節點集中于某些區域。以這種有向路由產生的幻影節點不具有地理位置的隨機性。如圖6所示，其中源節點S距離Sink節點H跳，源節點進行h跳定向轉發后，幻影節點距離Sink的跳數H+h，那么幻影節點到Sink的距離(H+h-1)·R≤D≤(H+h)· R，到源節點的距離為(h-1)·R≤d≤h·R，即幻影節點分布分布在圖中的紅色交集區域。所以LPBMR對定向隨機步做了改進，不再以鄰節點距離基站的最小跳數進行有向路由轉發，而是以鄰節點到基站的最小能耗進行有向路由轉發。這樣幻影節點的位置就會隨機地分布在到源節點的最小能耗為θ的半圓內，有效保證了幻想節點的隨機性。

圖6 幻影節點的地理位置分布

3.2.2 可控能耗的意義

在WSN中節點的能量是非常有限的，所以知道節點轉發一條信息到目標節點所需的能耗是非常重要的。最小能耗路由可以讓節點很好的了解每次轉發所需的能耗，節點通過調整發送功率使得每次轉發的能耗最小，延長使用壽命。但是最小能耗的路由相對固定，不能保護源節點的位置信息。為了達到隱私保護的要求，路由需要額外的能耗來產生具有一定隨機性的幻影路由。協議需要更加精確地控制能耗，利用有限的能耗盡可能地提高隱私保護的能力。

傳統的源節點位置隱私保護協議都沒有考慮發送一條消息到Sink所需的能耗。例如，在文獻［3］的幻影路由中，從源節點到幻影節點都是隨機轉發h跳后結束，節點每次轉發都是需要以最大功率發送;從幻影節點到Sink的跳數和距離都是不確定的，那么這階段的能耗也就不能確定。文獻［8］中提出的PUSBRF路由是通過洪泛的方式來確定幻影節點，這種方式的能耗是不可控制且最大的。文獻［9］首次提出了能耗可控的路由——Credit Routing和Hybrid Routing，在最小能耗路由的基礎上，源節點每次發送節點都加上額外的能耗，即控制了轉發所需的能耗，而且增加了路由的多樣性。但是文獻［9］以隨機的方式轉發，并且沒有考慮“失效路徑”的問題，所以協議對源節點位置的隱私保護是有限的。本文在此基礎上提出了LPBMR協議，將最小能耗路由和定向隨機步相結合，而且避免了“失效路徑”的產生。在LPBMR協議的3個路由階段中，在每個階段中數據包轉發所需的能耗都是可以控制的。第1階段的額外能耗為θ，第2和第3階段的能耗小于等于α，整個路由的總能耗就小于等于α+ θ。所以LPBMR以較少的能耗達到較高的隱私保護要求，有效地提高了整個網絡的工作效率。

4 仿真實驗

在模擬實驗過程中，本文從安全時間和通信開銷兩個方面對協議進行評價，將協議分別與PRLA協議［7］、Credit協議［9］和Hybrid協議［9］進行對比。文本在Ubuntu12.04的平臺上，利用NS2模擬仿真軟件構建了一個簡單的無線傳感器網絡。NS2是一個面向對象的網絡模擬器，用C++編寫，以OTCL解釋器作為前端。在仿真實驗過程中，首先進行一個NS2的擴展，包括數據包的包頭文件、C++與OTCL之間的接口、協議算法等，實現本文中所需的協議。然后開始編寫OTCL腳本，設置網絡參數和Trace對象。當仿真模擬結束以后，根據Trace數據文件和NAM圖形輸出進行網絡仿真結果的分析。為了便于實驗結果對比，本文參考文獻［9］的環境配置。在網絡中，將1 000個節點均勻的分布在750 m×750 m的正方形區域內。每個節點都是靜止的，通信半徑為10 m。因為Sink節點的位置是公開的，所以攻擊者一開始在Sink位置等待其他節點向Sink轉發數據，攻擊者的監聽半徑等于節點的通信半徑，在逆向追蹤過程中攻擊者的可視范圍為30 m。本文的實驗結果是經過多少次實驗所得的平均值。

4.1 安全時間對比

安全時間是衡量網絡安全性能的一個重要指標。由本文第3節分析可知，安全時間為攻擊者追蹤到幻影節點的時間與攻擊者從幻影節點到源節點的時間之和。在實驗過程中，本文將源節點被攻擊者捕獲前發送的數據包個數作為安全時間的衡量標準。在Credit協議中，轉發列表是根據設定的額外能耗生成的，所以它的安全時間與設定的額外能耗有關;同理，在Hybrid協議中，額外能耗被分為3個部分，分別在3個不同的路由階段消耗，所以它安全的安全時間也與設定的額外能耗有關;在PRLA協議中，節點的轉發概率跟偏移夾角有關，偏移夾角又與幻影節點到源節點的距離和節點到Sink的距離有關。因為本文將距離作為能耗的衡量標準，為了便于實驗結果比較，在實驗結果對比過程中將PRLA協議中的路由距離轉化為能耗。

圖7安全時間隨Cs的增加而增加

圖7 是不同協議的安全時間在額定能耗相同的情況下隨著Cs(源節點到Sink的能耗)增加而增加。其中橫坐標為源節點到Sink的能耗(用源節點與Sink的距離表示)，縱坐標為安全時間(用用源節點被捕獲前發送的數據包個數表示)。隨著Cs的增加，攻擊者逆向追蹤需要的時間增加，所以不同協議的安全時間都有所增加。PRLA協議通過節點的偏移夾角決定數據包的轉發概率，這樣的路由相對固定，而且偏移夾角的引入不能完全地避免源節點的可視區，所以PRLA的安全時間最少。Credit和Hybrid協議通過剩余能耗決定數據包的轉發，這樣的路由具有一定的隨機性。但是兩者都沒有考慮到可視區的問題，數據包在轉發過程中會產生“失效路徑”，協議的安全時間也相對較少。而Hybrid通過將路由分為3個階段增加了路由的隨機性，所以Hybrid的安全時間要比Credit多。LPBMR增加了路由的隨機性，同時也有效的避免了“失效路徑”的產生，所以安全時間最多。

圖8為不同協議的安全時間與額外能耗的關系對比。其中橫坐標為額外能耗(用數據的路由距離來表示)，縱坐標為安全時間(用用源節點被捕獲前發送的數據包個數表示)。其中PRLA協議的安全時間的增長最為平緩，而Credit和Hybrid協議當消耗的額外能耗比較大時增長的比較快，因為LPBMR協議很好地控制了路由的能耗，將盡可能多的額外能耗用于避開源節點的可視區和增加幻影路由的多樣性，所以與其他協議相比增長速率是最快的。

圖8 安全時間隨額外能耗的增加而增加

4.2 能耗對比

對于大多數的無線傳感器網絡應用，能源問題是一個很大的約束條件。WSN的隱私保護協議要在隱私保護和能耗節省之間尋找一個平衡點。根據本文第3節可知，控制能耗對于平衡隱私保護與能耗是很有意義的。

在本文的仿真實驗中，將節點轉發數據包的次數作為整個網絡能量消耗的衡量標準。由圖8可知，為了達到相同的隱私保護要求，各個協議所需要的能耗都不同。在PRLA協議中，源節點以洪泛的方式收集節點的偏移夾角，所以PRLA協議所需的能耗最大。而在Credit協議和Hybrid協議的能耗雖然是可控制的，但是協議沒有考慮可視區的問題，為了達到較高的隱私保護要求所需的能耗也相對較大。而本文提出的LPBMR協議將能耗分為兩個階段:源節點到幻影節點的能耗和幻影節點到Sink的能耗。第1階段的能耗用于產生幻影節點，并使得幻影節點具有隨機性的;第2階段的額外能耗同時用于避開源節點的可視區和增加幻影路由的隨機性。所以LPBMR協議以最小的能耗提供最大的隱私保護能力。

文獻［6］還提出了“保護效率”的概念，定義保護效率為將保護力度與平均能耗的比率。根據以上的比較可知，PRLA協議的保護效率最低，Credit協議和Hybrid協議沒有考慮可視區的問題，所以它們的保護效率也很有限。本文在Credit協議和Hybrid協議的基礎上考慮了可視區的問題提出的LPBMR協議，通過有效的路由策略避免了“失效路徑”產生，其保護效率得到了提升，與Hybrid協議相比提高了18%左右。

5 總結

本文在Credit Routing的基礎上進行了改進，提出了LPBMR協議，協議將路由分為3個階段:首先，當源節點發送感知數據時，根據隱私保護要求設定到幻影節點的能耗，以“遠節點”集合為候選集合通過定向隨機步的方式將數據包轉發給幻影節點;然后，幻影節點根據存儲在數據包頭部中的源節點位置信息，從“近節點”集合中選取到源節點的距離較遠的節點作為轉發節點，來避免源節點的“可視區”;最后，節點沿著最小能耗路由向Sink節點轉發數據包。本文還通過安全時間、通信能耗等性能指標，將LPBMR協議與其他兩個協議進行模擬實驗比較。實驗結果表明，與其他協議相比，本文提出的協議更安全、更高效。

［1］潘巨龍，李善平，張道遠.無線醫療傳感器網絡中基于Feistel加密算法研究［J］.傳感技術學報，2010，23(7):1030-1036.

［2］Ye F，Chen A，Lu S，et al.A Scalable Solution to Minimum Cost Forwarding in Large Sensor Networks［C］//Computer Communications and Networks，2001.Proceedings.Tenth International Conference on.IEEE，2001:304-309.

［3］Ozturk C，Zhang Y，Trappe W.Source-Location Privacy in Energy Constrained Sensor Networks Routing［C］//Proceedings of the ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN).Washing DC，USA，2004:88-93.

［4］Kokalj-Filipovic S，Le Fessant F，Spasojevic P.Trade-offs of Source Location Protection in Globally Attacked Sensor Networks:A Case Analysis［C］//Proceedings of the Sensor，Mesh and Ad Hoc Communications and Networks(SECON)，2011 8th Annual IEEE Communications Society Conference，27-30 June 2011:323-331.

［5］Kamat P，Zhang Y，Trappe W，et al.Enhancing Source-Location

［6］姚劍波，郝曉青，文光俊.無線傳感器網絡中的位置隱私保護［J］.傳感技術學報，2008，21(8):1437-1441.

［7］Wang W P，Chen L，Wang J X.A Source-Location Privacy Protocol in WSN Based on Locational Angle［C］//Proceedings of the IEEE International Conference on Communications(ICC)，Beijing，China，2008:1630-1634.

［8］陳娟，方濱興，殷麗華，等.傳感器網絡中基于源節點有限洪泛的源位置隱私保護協議［J］.計算機學報，2010，33(9):1737 -1747.

［9］Lu Zongqing，Wen Yonggang.Credit Routing for Source-Location Privacy Protection in Wireless Sensor Networks［C］//Mobile Adhoc and Sensor Systems(MASS)，2012 IEEE 9th International Conference on.8-11 Oct.2012:164-172.

［10］Yun L，Lightfoot L，JIAN R.Routing-Based Source-Location Privacy Protection in Wireless Sensor Networks［C］//Proceedings of the Electro/Information Technology，2009 IEEE International Conference. 2009:29-34.

［11］Chen H，Lou W.From Nowhere to Somewhere:Protecting End-to-End Location Privacy in Wireless Sensor Networks［C］//Performance Computing and Communications Conference(IPCCC)，2010 IEEE 29th International，dec.2010:1-8.

［12］Shao M，Yang Y，Zhu S，et al.Towards Statistically Strong Source Anonymity for Sensor Networks［C］//Infocom 2008.The 27th Conference on Computer Communications.IEEE，2008:51-55.

劉學軍(1971-)，男，江蘇南京人，副教授，博士，主要研究方向包括數據庫，傳感器網絡等;

李江(1989-)，男，碩士，主要研究方向為傳感器網絡，lijiang518@yeah.net;

李斌(1979)，男，講師，碩士，主要研究方向為傳感器網絡。

基于最小能耗路由的源節點位置隱私保護協議*

劉學軍*，李江，李斌
(南京工業大學電子與信息工程學院，南京211816)

源節點的位置隱私保護已經是制約著無線傳感器網絡推廣的關鍵技術之一。同時，能源問題又是一個很大的約束，所以人們一直致力于在位置隱私保護和能量消耗之間尋找一個平衡點。本文一種基于最小能耗路由的源節點位置隱私保護協議，協議分為兩個階段:第1階段，源節點通過定向隨機步的方式以額定能耗快速地向幻影節點轉發數據;第2階段，幻影節點以避開源節點可視區的最小能耗路由向Sink轉發數據。實驗表明，提出的路由協議以較小的能耗達到了較高的隱私保護要求。

無線傳感器網絡;隱私保護;源位置;最小能耗路由

TP393

A

1004－1699(2014)03－0394－07

Privacy in Sensor Net Routing［C］//Proceedings of the 25th International Conference on Distributed Computing Systems(ICDCS). Ohio，USA，2005:599-608.

2013-10-08修改日期:2014-03-04

C:6150P

10.3969/j.issn.1004－1699.2014.03.023

項目來源:國家自然科學基金項目(61073197);江蘇省科技支撐計劃項目(SBE201077457)