基于攻擊感知的能量高效源位置隱私保護算法

周倩，秦小麟，丁有偉

?

基于攻擊感知的能量高效源位置隱私保護算法

周倩1,2，秦小麟1,2，丁有偉1,2

（1. 南京航空航天大學計算機科學與技術學院，江蘇 南京 211106；2. 江蘇省物聯網與控制技術重點實驗室，江蘇 南京 211106）

提出了一種靜默池機制方法（SPA, silent-pool approach），當傳感器節點感知到附近移動攻擊者的存在，通過控制節點的轉發狀態從而阻止和減少攻擊者收到有效數據分組。在此基礎上，進一步提出了對當前路由路徑沒有任何影響的安全機制——池外虛假信息注入（DPIOP, dummy packet injection out pool）法，誘使攻擊者遠離傳輸路徑。實驗結果驗證了SPA和DPIOP的隱私性能，與現有方法相比可減少能耗約為63%，降低時延約為35%。

位置隱私；傳感器網絡；能量高效；攻擊感知；上下文感知

1 引言

傳感器網絡因其節點體積小、組網能力強、部署維護簡單等特性，廣泛應用在人跡罕至的敏感環境中[1]，如戰場或野生動物保護區等。在監測瀕臨滅絕的野生動物（如大熊貓）的傳感器網絡中，大熊貓身上攜帶的傳感器可以將其位置信息發送到監控中心，大熊貓的位置稱為信息源的位置。如圖1所示，攻擊者在傳感器節點1附近，通過信號探測設備監聽數據分組，根據數據分組的時間和發送方向等上下文信息，攻擊者向傳感器節點2移動，并逐步接近源節點，即大熊貓的位置。

在實際監控系統中，信息源所感知的對象都是需要重點保護的（如圖1的大熊貓），因此，信息源的位置在數據傳輸的過程中不能被泄露，以免造成嚴重的經濟或資源損失。信息源的位置，就是一種隱私信息，只有授權者可以查看。隱私又可分為基于內容和基于上下文的隱私[2,3]，基于內容的隱私是指內容形式上的完整性和機密性，即不能篡改信息的內容。本文討論的隱私是基于上下文的，即根據情境推斷出位置源信息。

圖1 上下文攻擊

現有方法主要通過改變或增加路徑長度來保護源位置隱私，如幻影路由、多路徑路由、虛假信息源注入等安全路由機制。這些技術主要以犧牲網絡性能為代價換取一定的安全，不適用于傳感器能耗或響應時間要求較高的應用。如多路徑[4]隱私保護方法，其核心思想是先將數據發送到偽源節點，然后從偽源節點以單路徑或洪泛的方式發送到匯聚（sink）節點。但偽源節點選取特別復雜，因為攻擊者對整個網絡是不可見的，節點需要知道整個網絡的拓撲情況[5]，導致能耗和時延的增加[6]，并且攜帶拓撲信息的路由更容易遇到全局攻擊者的流量分析攻擊[7]。

在實際應用中，傳感器網絡通常是按需路由，對特定的事件選擇對應的路由。例如在一個野生動物保護區部署一個由多事件驅動的網絡，用于監控動物的傳感器發送數據時通常采用安全路由的方法以保護動物的位置隱私。但當監控地點有緊急情況需要立即上報時，通常使用最短路徑或洪泛的方式發送數據，以便最快地響應突發事件。但如果突發事件發生在信息源附近，則很容易泄露信息源的位置（如野生動物的棲息地），因為最短路徑和洪泛算法只考慮數據傳輸效率，未考慮源位置隱私保護[4]。為了應對上述問題，迫切需要一種既不影響原來基于應用的路由，又可以抵御攻擊者流量分析[8]的安全機制。

隨著硬件的發展和成本的降低，很多應用于邊防監控或瀕臨動物保護的傳感器上都加裝了移動物體感知和信號檢測模塊[9]，可以自動識別移動的攻擊者[10,11]，然后通過心跳分組廣播給鄰居節點。Rios等[12]基于這種攻擊者識別技術提出了最小安全區方法和新的最短路徑路由算法CALP。但最小安全區的方法降低了網絡的頑健性，造成網絡空洞。CALP雖然基于最短路徑，但每次數據分組的投遞是通過調用心跳分組來更新路由表信息并選擇下一跳節點，從而達到保護隱私的目的。隨著心跳分組周期的增加，數據會有很大時延，路由所泄露的拓撲信息更容易被全局監聽捕獲。用心跳分組傳遞消息，給網絡性能帶來了新的挑戰[13]，本文的解決方案是在發現攻擊者接近路由路徑時發送高頻心跳分組，并且能高效確保攻擊者及時遠離真實數據路由路徑，從而降低能耗，保護位置隱私。

為了解決上述問題，本文提出的SPA安全機制可以準確地隔離攻擊者，與Rios等[12]提出的最小安全區思路類似，SPA主要也是利用心跳分組通知攻擊者的鄰居節點，使真實數據路徑偏離攻擊者附近。隨著sink節點到源節點距離的增加，數據源被捕獲的幾率大大降低。另外，本文提出的SPA只有在發現攻擊者接近真實路由路徑時才會發送高頻心跳分組產生靜默池，使在傳輸其他不需要隱私服務的數據時網絡依然具有連通性。因此，SPA方法更能保證網絡的頑健性。

針對耐心的攻擊者，如果恰好在sink節點附近，使用SPA會造成數據分組無法到達，可能會造成數據時延長。遇到好奇的攻擊者，如果恰好在源節點附近，通過隨機行走就可能會發現源節點位置。為此，本文在SPA的基礎上提出了能量高效的DPIOP方法，解決可能出現的這2種極端情況。另外，DPIOP方法對網絡當前路由不產生任何影響。

本文的主要貢獻如下。

1) 提出2種源位置隱私保護算法：SPA和DPIOP。SPA利用心跳分組發送狀態信號，改變路由轉發狀態，在不降低網絡頑健性的前提下，準確地隔離攻擊者；DPIOP只需要注入極少的虛假數據分組，就可以誘使攻擊者遠離真實路徑，高效地保護了源位置隱私。

2)SPA和DPIOP可以在攻擊者知道路由協議的情況下保護源位置隱私安全。

3)引入路徑偏移量來衡量安全策略對當前路由的影響。DPIOP策略不會改變原來的路由，使應用場景具有普適性，即便在多事件驅動的應用場景中也能使路徑不發生偏移。

2 相關工作

在傳感器網絡中對源位置隱私的保護（SLP,source location privacy）[2,14]，一直是一項很重要的研究。攻擊者根據攻擊能力分為全局攻擊者和本地攻擊者。全局攻擊者[7,15]通過流量分析可以知道網絡全局的狀況，為了抵御全局攻擊者，通常在發送真實信息的間隔注入假消息，帶來較大的能量開銷。多路徑路由[6]增強了負載均衡和服務質量（QoS），也讓全局攻擊者難以追蹤數據分組[5]。本地攻擊者[16]只知道網絡的局部信息，多個本地攻擊者之間可以互相合作以獲取更大范圍的網絡信息[17]。

要抵御攻擊者的流量分析就必須隱藏真實數據的傳輸路徑，現有的技術主要有3種。首先，Kamat[4]在他的熊貓—獵人模型中第一次提出了幻影算法，幻影算法的主要思想是：第一步，從源點出發，隨機游走到一個幻影源；第二步，以最短路徑或洪泛的方法到達sink節點。然而，實際上隨機游走趨向于在數據源附近[4,18]，說明隨機游走反而會泄露源位置隱私，后來的一些改進算法如GROW[19]，旨在減少數據傳輸時延，提高安全性，但增加了更多能耗。另外，虛假數據機制[3, 20]和偽源節點機制[7, 21]這2種方法可以抵御更強的攻擊者，但因為注入虛假節點的數量和位置是隨機分布的，不可避免地帶來不必要的能量開銷。

隨著硬件技術的發展，攻擊者位置是可見的，利用可感知攻擊者位置的特性[12]，選擇離攻擊者相對比較近的鄰居節點形成最短路徑傳給sink節點，這給解決此類問題帶來了新的啟發，移動物體的識別技術[9~11]使在對付攻擊者時，增加了策略的確定性。移動物體可能是被授權的，如科學家實地探測數據，只需要簡單的身份認證機制[22,23]就可以排除非授權的移動物體侵入。在外部移動物體和傳感器節點之間需要會話密鑰的建立和更新，而基于橢圓曲線加密（ECC）的方法[24]可以簡化流程，與非橢圓曲線加密機制比較只需要更小的公鑰。

為了進一步降低數據傳輸的開銷，根據IEEE802.15.4MAC層的特性，Shao等[25]利用心跳分組的有效負載攜帶一些數據，在應用層再通過編程來提取處理這些信息。MAC層除了維持可靠的通信鏈路之外，還可以利用心跳分組來廣播信息，不同MAC協議對網絡性能的影響也是不同的，而本文提出的MAC是基于存在心跳分組（beacon-enabled）的，根據文獻[26]可知，心跳分組間隔時間過短會引起過多的同步開銷，而時間過長會因為時間漂移導致更長的守護時間。心跳分組間隔可以根據網絡的流量進行自適應調整，如T-MAC和S-MAC[27]可以依據網絡中的通信量來調整占空比（duty ratio），增加吞吐量，當然也可以根據應用通過上層軟件改變心跳分組的發送頻率。用心跳分組傳輸數據的好處是：節省能量和隱藏路徑。

3 問題描述

3.1 網絡模型

一個同構的傳感器網絡中包含個傳感器節點{v|1≤≤}，每個傳感器節點的計算、存儲和能耗資源相同，并且每個節點均知道自身的位置(x,y)和sink節點的位置(s,s)。

假設傳感器網絡部署在無障礙平面空間中，傳感器節點之間的距離為歐式距離，若節點1和節點2的位置分別為(1,1)和(2,2)，則兩點之間距離為

在稀疏的網絡里，由于鄰居節點數量稀少，攻擊者容易定位到數據分組的直接發送者和接收者，因此，本文假設網絡是稠密連通的。

在外部的攻擊者看來，每個數據分組的大小和格式相同，節點ID信息都是加密的，安全加密機制可以保證攻擊者無法解密數據分組的具體內容，也無法分辨出真消息和假消息。

假設傳感器的識別模塊可以判斷出攻擊者的位置(x,y)。在節點中引入授權機制，以便在攻擊者識別過程中排除干擾，非授權的移動物體（帶有廣播信號）被視為攻擊者。

3.2 攻擊模型

在傳感器網絡中，由于每個傳感器節點的通信范圍有限，數據傳輸采用逐跳傳輸的方式。攻擊者根據數據分組發送的時間相關性和不同通信節點的流量模式，從而追蹤到基站或數據源。本文考慮2種攻擊者[28]：1)耐心的攻擊者，當捕獲到新的數據時，向數據分組的發送方向移動，否則一直處于原地等待狀態；2)好奇的攻擊者，若在一個節點等待時間未收到任何數據分組，則隨機行走。這2種攻擊者比較典型，也更具代表性。在實際應用中，這2種攻擊者的攻擊能力并無明確的強弱之分，盡管好奇的攻擊者在收不到任何數據時策略會更靈活，但耐心的攻擊者的攻擊能力也可能會大于好奇的攻擊者，如基于最短路徑的路由，耐心的攻擊者可以捕獲更多的數據分組[4]。

假設這里的攻擊者有如下特性：1)本地的，即攻擊者的監視范圍是它鄰近的傳感器節點；2)被動的，其攻擊方式為監聽且無法控制或破壞傳感器節點，不會對網絡產生任何的功能性影響；3)移動的，從sink節點出發尋找源節點的位置。

攻擊者的攻擊軌跡如算法1所示。每發動一次攻擊，攻擊者都從sink節點出發（第1)~3)行），在沒有捕獲到源節點之前，每捕獲到一個新的數據分組（第4)和5)行），便根據收到數據分組的發送角度和信號強度，判斷出數據分組直接發送者所在位置的方向，從而向直接發送者移動（第6)~9)行）。若攻擊者在一定時間內未監聽到數據分組（第10)行），則采用隨機游走的方式尋找正發送數據的節點，并繼續監聽（第11)~13)行)，直到找到源節點或沒有找到但時間耗盡算法結束。若的時間比較短，則為好奇的攻擊者；若無限大，則為耐心的攻擊者。

算法1 攻擊者攻擊軌跡

1)=sink;//攻擊者從sink出發

2)_=sink;

3)= sink;

4)while(≠)

5)=();

6)if(()<&())

7)=();

//判斷出發送節點位置

8)=;

9)=;

10)else if(() ≥)

11)=;

12)=;

13)=();

//攻擊者隨機游走后的位置

14)end if

15) end while

3.3 能量模型

研究表明2個節點在100 m的距離內傳輸1 kbit的數據相當于執行300萬次的一般程序指令[29]，因此，傳感器的能量消耗主要是通信引起的。傳感器發送數據分組所消耗的能量與傳感器的電子元器件功率成正比，同時，傳輸的距離越長，消耗的能量也越大，即

其中，和分別為網絡中經過時間，所有參與數據傳輸的節點數量以及形成的數據傳輸路徑條數，因此，網絡中分別有?個發送節點和接收節點。經過時間，網絡中共有個節點形成條路徑，發送bit的數據會在網絡中產生的總能量如式(5)所示。

由此可見，在網絡發送的數據量相同，并且路由算法是固定的情況下，路徑越短，能量消耗越少。

4 基于攻擊感知的源位置隱私保護方法

4.1 攻擊感知技術

攻擊者不會對網絡結構和功能產生任何影響，所以傳統的入侵檢測（IDS）系統無法檢測出攻擊者。但攻擊者還是有其自身特點的，首先它是一個移動對象，并且它是攜帶有電磁廣播信號的，本文部署的傳感器節點可以監測和追蹤非授權的或異常的移動物體。

本文使用的傳感器節點包括移動物體檢測（M-DS,motion detection sensor）模塊和控制模塊2個功能模塊，如圖2所示。

圖2 傳感器功能模塊

M-DS模塊用于判斷附近是否存在攻擊者，并能根據現有技術判斷出攻擊者的位置，如果存在攻擊者，則向控制模塊發出readysilent警報。控制模塊通過發射高頻beacon信號，凡是收到該心跳分組信號的，警告信號readysilent_beacon置為1。另外，正在發送數據分組的節點，同時發送確認信號confirmsilent_beacon，和自身的經過加密的ID1，收到確認信號的當前節點將其標記為1，ID2通過算法計算獲得，當節點收到的虛假信號fake_beacon心跳分組中ID2和自身ID一樣的心跳分組信號，則發送虛假數據分組。這里設定3個參數，如表1所示。

4.2 心跳分組

上文提到用心跳分組傳遞網絡信息可以節約傳輸數據的能耗，因為和網絡層的數據分組不同，心跳分組是屬于MAC層的。MAC層對網絡層是透明的，一般負責監測和處理沖突以及分配信道與通信資源。

每個傳感器節點都會周期性地廣播心跳分組，從而告知鄰居節點自己的存在。由式(2)和式(3)可知，網絡能耗取決于數據分組的大小。心跳分組的大小由其MAC標準決定，圖3為IEEE 802.15.4的心跳分組幀格式，除去MAC負載，分組大小只有10 B左右，而一個LEACH協議的網絡數據分組大小為500 B，約為心跳分組的50倍，所以本文中心跳分組的能耗基本可以忽略不計。

然而，過于頻繁的心跳分組廣播也會給網絡帶來一些負擔，已知心跳分組的廣播周期為beacon，網絡發送分組周期為message，要保障本文機制的應用，為了阻止或減少攻擊者收到新的數據分組，可能需3個心跳分組的廣播時間才能完成整個機制，即3beacon≤message。根據IEEE802.15.4中定義，心跳分組的發送分組周期T為15.36 ms~786.432 s。采用擴頻技術數據的傳輸速率為250kbit/s。如果每一步投遞都需要心跳分組來更新路由，這樣網絡最大時延T≈Th，為傳輸路徑跳數。一些基于心跳分組的路由技術為了降低時延只能加快心跳分組發送頻率和縮短傳輸路徑，本文的策略不需要等待心跳分組來更新路由，節點的鄰居節點一旦配置之后不會發生變化，數據的傳輸速率不受心跳分組速率影響。

表1 心跳分組設計

圖3 IEEE 802.15.4 心跳分組幀格式

4.3 靜默池機制

首先引入靜默池（silent-pool）機制。如果一個節點接收到任何數據后即丟棄，則稱這個節點是沉默的。傳感器節點感知到附近的攻擊者后，發送信號使一定距離內的所有節點不再轉發消息保持沉默狀態，攻擊者便不能再接收到周邊的任何信號，能夠覆蓋攻擊者監聽區域的最短距離為最小安全距離。沉默的狀態可利用軟件便可實現，安全距離之內的所有節點可以通過心跳分組來通知，一般情況傳感器節點是發送正常心跳來證明自己的存在。

如果節點H_node為第一個檢測到攻擊者的傳感器節點，它可以通過感知模塊確定攻擊者的位置，并發出一個警告信號readysilent_beacon，則H_node通信半徑范圍內所有傳感器都可以接收到警告信號。同時，網絡中正在發送真實數據分組的節點RP_node會發送confirmsilent_beacon。在本研究中，傳感器的通信半徑和攻擊者的偵聽半徑都相等。當攻擊者在真實數據傳輸路徑附近時，若節點同時收到readysilent_beacon和confirmsilent_beacon這2個心跳分組的信號，如圖4(a)陰影區域所示，則將自身調至沉默狀態。當攻擊者遠離真正發送分組的節點時，如圖4(b)所示，此時網絡是安全的，攻擊者竊聽不到任何真實數據。然而，當攻擊者捕獲到真實數據分組和分組的發送節點RP_node就可以一步步發現源節點。RP_node和攻擊者相交范圍形成靜默池，池內的節點都只能收到分組但不能轉發，這個節點的狀態就是靜默的，如圖4(a)所示，就可以保證RP_node節點和源節點的安全，并且不依賴網絡當前的路由。

圖4 靜默池的形成

定義1 所有接收到警告信號readysilentbeacon的節點集合為，所有接收到確認信號confirmsilentbeacon的節點集合為，靜默池的集合為

每個節點知道自身和sink節點的位置，并且每個節點都可以通過心跳分組發送信號。警告信號readysilentbeacon由離攻擊者最近的節點發送。確認信號confirmsilent_beacon由正在發送真實數據分組的節點發送。為那些既收到警告信號又收到確認信號的點，也就是如圖4(a)所示的陰影部分。當然，有可能為空，如圖4(b)所示，即發送分組節點的下一跳節點，攻擊者是偵聽不到的，因為本地攻擊者只能收到其監聽范圍內的信號。

根據攻擊模型，攻擊者在捕獲不到數據后就會在網絡中隨機游走，在靜默池機制中，每次當攻擊者靠近真實數據傳輸路徑時，都會引起數據傳輸偏移原路徑，大大降低了攻擊者捕獲的真實數據分組數量，但網絡路徑的增加導致了更高的能耗。

采用靜默池機制可以阻止或減少攻擊者收到新的數據分組，然而當攻擊者一直在sink節點附近時，會產生2個弊端：1) 造成數據分組無法到達，導致非常低的投遞率；2) 當源節點和sink節點很近時，攻擊者會收不到任何數據，處于隨機游走狀態，隨著游走步數的增加，游走的范圍也會相應增加，如果源節點和sink節點之間距離較近，那么攻擊者在有限的時間內就可以通過隨機游走找到源節點。

設X=CN?CN1(>0)，為獨立分布隨機變量，分別是(1,0),(?1,0),(0,1),(0,?1)。walk為walk步后到0的距離，其中，0<<1，攻擊者離初始位置距離為walk的漸近概率如式(8)所示。

隨著游走步數walk持續增加，游走之后還在原地附近的概率趨于1，從直觀上看，攻擊者只能在原地打轉，從而保證了源節點的位置隱私。如果源節點至sink距離較小，源節點的位置是可以落在sink附近較小范圍內，只要增加walk，攻擊者便可在一定時間找到源節點。而當源節點位置和攻擊者之間距離越遠，隨機游走狀態的攻擊者找到sink節點的概率越小。因此，需要保證攻擊者遠離源節點，即盡量使攻擊者追溯數據分組的移動方向都是遠離源節點的。

當攻擊者在原路由附近時，越大的最短安全距離導致越大的路線偏移，網絡消耗的能量更多，也會導致網絡的不穩定。雖然SPA在保護隱私方面具有很好的優越性，但當面臨耐心的攻擊者時，SPA會產生很大的路由偏移量，造成數據分組投遞時延。為了讓隱私保護機制更廣泛應用，因此，在設計隱私保護策略時既要使攻擊者遠離源節點，又要能夠最大限度地保障現有路由，保證數據分組實時到達。

4.4 靜默池機制的優化

維持現有路由路徑，可以保證網絡中的數據分組的轉發次數，避免安全策略對網絡能耗和時延產生較大影響。下面首先定義了路由偏移量，越小的路由偏移量對保證網絡的服務質量越高。

定義2 基于應用的原路由平均路徑長度（即跳數）為，隱私保護安全機制后的路由第次路徑的長度為x，用S來定義路由偏移量。

當使用安全策略后的路由路徑長度與原路由長度相同時，2=0為最小值，即路由偏移量最小。當使用安全策略后的路由路徑長度與原路由長度相差越大，2值越大。為了解決靜默池技術產生路由偏移量較大的問題，本文在不影響原路由路徑的情況下，引入DPIOP（dummy packet injection out pool）機制。當節點在同時收到readysilentbeacon和confirmsilentbeacon這2個心跳分組后，發送含有自身節點ID的fake_beacon信號，收到fake_beacon信號的H_node根據算法2選擇一個離ID節點最遠的鄰居節點發送虛假數據分組，這里的假消息在攻擊者看來和真實數據分組是一樣的。于是通過在靜默池外選擇節點FP_node發射虛假消息，攻擊者就會追逐假消息，從而達到保護隱私的目的。

定義3 設所有收到警告分組信號（readysilent_beacon=1）但沒有收到確認分組信號（confirmsilent_beacon=0）的節點為v(0<<)，并且，v到sink的距離大于攻擊者到節點的距離，即(v,s)>(H_node,s)。此時的節點集合為SET_Far，如圖5灰色區域，FP_nodeSET_Far。

圖5 虛假數據分組的產生

首先發現攻擊者的傳感器節點，即最接近攻擊者的傳感器節點，所以它的位置近似于攻擊者的位置。如圖5有3個部分，第1個條紋陰影是靜默池，第2個部分為H_node周邊小于其到sink距離的所有鄰居，第3個陰影部分是虛假數據分組所在范圍。虛假節點選擇這個部分的原因在于：1) 攻擊者已知sink節點的位置，為了找到源節點，其攻擊路徑逐漸遠離sink節點尋找源節點，如果攻擊者捕獲的數據總是在sink周圍，那么它會判斷那是虛假路徑；2) 真實數據的路徑是有可能穿越靜默池的，而選取靜默池之外的傳感器作為虛假節點，可以不影響真實數據的原始路徑，并且依照既定策略可以誘使攻擊者遠離真實路徑，從而保障網絡的隱私安全。具體虛假節點的選擇如算法2所示，首先在H_node的鄰居節點中選擇虛假節點FP_node（第1)行和2)行），其到sink的距離必須大于攻擊者到節點的距離，并有FP_nodeSET_Far（第3)行），在滿足上述條件的點中選擇離當前發送數據節點距離最遠的點為虛假節點（第4)行和5)行）。

算法2 Find_Fake_Node

輸入 H_node

輸出 FP_node

1)找出H_node的鄰居Nei_node(H_node);

2)從H_node的鄰居節點Nei_node(fakebeacon)選擇一個虛假節點n;

4FP_nodemax((n, nodeID(fake_beacon)));

//選擇離當前發送數據節點距離最遠的點

5)returnFP_node;

6) elsegoto2);

表2 鄰居節點的選擇

H_node收到節點的心跳分組后計算出最遠的節點為FP_node。如果每次選擇的節點總在sink附近，作為有感知能力的攻擊者，可能判斷此為虛假數據分組。節點和不在選擇范圍，因為節點和到sink的距離小于H_node到sink的距離。根據定義3，相對節點，會選擇離更遠的節點作為FP_node。于是H_node會把節點的ID信息放在fake_beacon負載中廣播出去，這些心跳分組的發送頻率高于數據分組發送的3倍以上，節點收到包含自身ID的心跳分組后即發送虛假數據分組，誘使攻擊者遠離發送真實數據分組的節點，向節點方向移動。

虛假數據分組的生存周期為，生存周期越長，產生的虛假路徑就越長，消耗的能量就越大。這里設=0，只需要一跳的生存周期就達到保護隱私的目的。

圖6 狀態模型

4.5 隱私分析

如圖6所示，DPIOP機制不會影響網絡中的當前路由，根據攻擊者距離正發送數據節點的遠近，網絡有如下3個狀態：1) 危險狀態，攻擊者接近正發送真實數據的節點，節點隨時被捕獲；2) 警戒狀態，攻擊者雖然不能立即捕獲真實節點，但一旦往真實路徑方向隨機游走，就會變成危險狀態；3) 而如果攻擊者往相反方向，則達到第3種狀態——安全狀態，如圖6(c)所示。

定義4 為了衡量網絡的安全性能，對于單個攻擊者，在確定的當前路由和攻擊模型下會使用安全周期或捕獲率[4]來衡量隱私安全。

1) 安全周期。攻擊者從sink節點出發，到捕獲到源節點或離開網絡監視區過程中，源節點發送的監測數據分組數量。

2) 捕獲率（）。在規定時間范圍內，攻擊者捕獲源節點的概率。

在源節點被捕獲之前發送的數據分組越多，安全周期越長，安全性越高；在規定時間內和固定的源節點到sink的距離（-），捕獲的源節點次數越多，捕獲率越大，安全性就越差。

并且有

隨著的增加，捕獲率越來越小，即攻擊者遠離數據分組傳輸路徑，此時攻擊者無法收到數據分組。P越小，在危險狀態的概率也越小，捕獲到源節點的概率極低。在給定路由和攻擊模型的情況下以及sink節點與源節點的距離固定時，使用本文提出的安全隱私機制后，與其他安全策略進行比較，在第5節中用實驗結果說明了運用DPIOP具有極高的優越性。

4.6 DPIOP算法能耗

本文使用心跳分組只是用于傳輸狀態信號，并不傳輸源節點收集的數據，真實數據依然通過正常路由投遞。心跳分組傳遞的信號狀態只有3種，如表1所示，所以心跳分組的數據負載中只需要2 bit大小的數據段。如4.2節所述，正常的心跳分組大小不會影響網路能耗。傳感器只有在感知到攻擊者的情況下才會發送心跳分組，發送并不頻繁。而且，心跳分組的發送范圍只是在攻擊者附近，不會造成全網大規模的影響。所以在本文中使用心跳分組的能耗基本可以不用額外考慮。

在DPIOP算法中，每個傳感器都會在鄰居發現階段記住自己的一跳鄰居，初始情況下攻擊者位于sink節點，源節點開始發送分組至sink節點，每次事件從源節點傳輸到sink節點需要時間為，事件長度為bit。心跳分組發送的能量可以忽略不計，則網絡中的時間和能量代價主要是數據收發引起的，因此，主要分析算法處理過程中網絡收發的數據分組數量。

5 性能測試與分析

為了驗證本文方法的高效低耗，分別利用小規模真實傳感器節點和大規模仿真驗證本文算法的性能。從時延、隱私安全、路徑偏移量和能耗4個方面評價不同隱私保護方法。1) 時延定義為一個真實數據分組從源節點出發，經過一些中繼節點，到達sink節點所需要的時間。2) 根據本文的安全衡量標準，通過統計源節點在規定時間內被捕獲的次數來衡量隱私安全性。被捕獲次數越少，安全周期越長，捕獲率越小，即安全隱私性越高。3) 使用不同安全策略會使原始的路由路徑發生偏移，路徑偏移量為使用安全策略后真實數據分組投遞路徑長度相比平均最短路徑長度的期望值的偏離程度。4) 據式(5)計算網絡能耗，且能量與發送分組數成正比，在真實實驗中，節點能耗難以測量，通過統計節點收發的數據分組數來衡量，路由算法的優劣會影響到網絡的能耗。

5.1 真實節點實驗

在空曠的操場上，隨機放置8×8個傳感器節點，如圖7(a)所示，節點選用TelosB，使用2節AA電池進行供電，CPU為8 MHz TI MSP430，內存大小為10 KB，通信芯片為CC 2420，頻率為2.4 GHz。MAC協議為IEEE 802.15.4，操作系統采用Tiny OS 2.0。如圖7(b)所示，攻擊者手持一個傳感器節點從sink節點出發，監聽網絡中的數據，通過USB端口讀取發送者的序列號，從而向發送該數據的節點方向移動。如圖7(c)所示，攻擊者附近的傳感器利用心跳分組發送報警信號。源節點和sink節點之間的最短距離為7跳。實驗共進行10次，源節點發送數據分組為50個，數據分組發完后實驗結束。

圖7(d)為所有傳感器節點，實驗將通過收集每個節點的收發數據分組的個數，驗證本文方法的低耗高效，并通過統計攻擊者捕獲源節點的次數驗證方法的安全性。雖然CALP在節點每次轉發數據時都需要等待心跳分組來更新路由表，引起超長時延，但其本質也是最短路徑，與本文應用的原路由相同。另外，幻影路由作為一種安全策略不受攻擊者影響，適用于做基準比較。真實實驗中將本文的方法和幻影路由（RP）做出比較。

圖7 源節點隱私保護實驗

1) 時延

為了精確測量數據分組投遞的時延，分別在源節點和sink節點記錄數據分組的發送和到達時間。表3和表4分別顯示了在面臨耐心和好奇攻擊者時，SPA、DPIOP、RP這3種算法在實際網絡中投遞數據分組所需的時延。

表3 面臨耐心攻擊者的時延

表4 面臨好奇攻擊者的時延

由表3和表4可以看出，DPIOP在遇到2種攻擊者時，時延幾乎沒有變化。由于DPIOP仍然以最短路徑來投遞數據分組，因而比幻影路由（RP）的時延分別減少了29.2%和30.7%。SPA在面臨好奇的攻擊者時，攻擊者會因為收不到數據分組而隨機游走遠離真實路徑，從而減少了路徑偏移量，雖然SPA比DPIOP的時延稍有增加，但比RP減少了26.9%。然而在面臨耐心的攻擊者時卻產生了高于RP算法641.7%的時延，這是因為當SPA遇到耐心的攻擊者時，數據分組會一直在靜默池邊緣周旋而無法投遞至sink節點。

2) 隱私安全

從安全性的角度，無論是面對耐心的攻擊者還是好奇的攻擊者，SPA的捕獲率最低，安全性最高，與RP相比，隱私安全性分別高出了100%和87.5%。因為SPA一直接收不到真實的數據分組，耐心的攻擊者會一直等待直到時間結束，好奇的攻擊者即使隨機游走，活動范圍也有限，無法找到距離較遠的源節點。如果DPIOP在真實原路徑節點附近，則會同時收到真實的數據分組和虛假數據分組，真實實驗最短路徑長度為7跳，所以當7次都恰好一直向真實數據分組的方向移動就捕獲到了源節點。如表5和表6所示，面臨耐心的攻擊者，DPIOP的隱私性相比RP高出90%；遇到好奇的攻擊者，DPIOP的隱私性相比RP提高了75%。相比耐心的攻擊者，好奇的攻擊者因為隨機行走而增加了被捕獲的概率，降低了隱私安全性。

表5 面臨耐心攻擊者的隱私性

表6 面臨好奇攻擊者的隱私性

3) 路徑偏移量

表7 面臨耐心攻擊者的路徑偏移量

表8 面臨好奇攻擊者的路徑偏移量

DPIOP有著很小的路徑偏移量，真實數據按照最短路徑投遞，在面臨2種不同攻擊者時，其偏移量均比RP低99.8%。SPA在面臨耐心的攻擊者時，由于數據在sink附近的重復投遞，導致大規模的路徑偏移，使其偏移量近高于RP路徑38倍。SPA在遇到好奇的攻擊者這種極端情況消失，比RP的路由偏移低85.6%，達到了很好的投遞效果。

4) 能耗

為了驗證本文方法的低能耗，實驗分別統計了每種方法10次之后，所有節點的發送分組數，通過式(12)算出每個數據分組到達sink的平均路徑長度，因為本文的方法使用了虛假數據分組，所以這里的平均轉發節點也包括虛假數據分組的轉發。

實驗結果如表9和表10所示，RP的投遞路徑最長，產生的能耗最大。遇到耐心的攻擊時，DPIOP比PR減少了37%的能耗，但SPA使數據分組一直在sink附近循環投遞直到時間結束，路徑長度的增加導致了能耗的異常。面臨好奇的攻擊者時，SPA產生的數據轉發量和DPIOP接近，分別節約能耗31%和30%。DPIOP在遇到好奇的攻擊者時比耐心的攻擊者時產生了稍多能耗，主要因為好奇攻擊者在接收不到任何數據時隨機游走，使其在真實路徑附近的概率增加，多產生了一些虛假數據分組。

表9 面臨耐心攻擊者的路由跳數

表10 面臨好奇攻擊者的路由跳數

5.2 仿真實驗

為了驗證在本文算法在大規模網絡中的性能，實驗選用一款基于OMnet++的仿真器Castalia，部署100×100個傳感器于方形的平面網絡，節點均勻隨機分布，sink節點隨機置于網絡的中央。假設網絡中只有一個攻擊者，且源節點放在離sink節點遠近不同的位置。MAC層協議基于IEEE 802.15.4，心跳分組負載中攜帶信號信息，節點檢測到攻擊者的時候即發送心跳分組。雖然本文提出的策略不依賴于任何路由協議，但為了展示SPA、DPIOP機制的性能，原應用路由使用最短路徑（SP），選取幻影路由（RP）以及同樣基于心跳分組機制的CALP[12]來比較。CALP方法的敵人發現過程和本文是類似的，主要過程是，每個節點維護一張包含所有鄰居節點的路由表，每次發現攻擊者以心跳分組來傳遞信息更新路由表，路由選擇每次都選擇最靠近最短路徑，并以到攻擊者距離為懲罰距離的節點作為下一跳節點。這里不僅會比較好奇的攻擊者，也會比較耐心的攻擊者。

因為調度心跳分組不會發生額外的能量消耗，只是虛假信息的發送會消耗額外能量。虛假數據分組的生存周期=0，那么虛假數據分組的生存周期只有一跳。仿真進行50次，并且每次從源節點共發送500個新的數據分組。

1) 時延

時延包括2個方面，依賴心跳分組的時延和不依賴心跳分組的路由時延。路由時延與路由算法相關，如跳數和重投次數等。如圖8所示，隨著源節點到sink距離的增加，CALP產生的時延也大幅度增加，遠高于其他4種方法。CALP投遞時間不僅與路徑長度成正比，還受心跳分組更新頻率的影響，CALP每次數據投遞前都依賴心跳分組數據來更新路由表，否則無法實現安全保護，這樣造成了極大時延。CALP的路徑長度與攻擊者的攻擊方式有關，對一個守在sink附近的耐心攻擊者，CALP雖然基于最短路徑，但總是選擇偏離攻擊者的最遠節點，直到攻擊者捕獲到新的數據分組，而對好奇的攻擊者，如果沒有捕獲到新的數據分組，他就會隨機游走，遠離了最短路徑附近，就不會使路徑發生偏移。因此，相比較好奇的攻擊者，CALP在面臨耐心的攻擊者時會產生多一點時延。

SPA和CALP一樣，路徑偏移也受到攻擊者位置的影響。如圖8(a)所示，對于耐心的攻擊者，SPA機制導致數據分組的投遞時延遠高于最短路徑。這是因為攻擊者靠近sink節點時，會引起路徑偏移，造成了97%以上的數據分組無法路由至sink節點。在仿真實驗中，有些數據分組轉發了157次才到達sink節點。如圖8(b)所示，在遇到好奇的攻擊者時，SPA算法的數據分組時延大幅降低，相比幻影路由降低約28.4%。這是因為好奇的攻擊者收不到數據分組隨機游走，遠離最短路徑。因此，實際應用中可以在sink節點附近，把最小安全距離調小，等遠離sink節點時，再相應調回到通信半徑。

圖8 時延和s-d距離的關系

SPA、DPIOP和幻影路由的投遞時間只依賴于路徑長度（即源節點到sink的距離），獨立于心跳分組的發送時間，只需要滿足3beacon≤message的約束即可。心跳分組的頻率雖然會對網絡流量造成影響，但實際上，只有在靜默池形成時才會加大心跳分組的發送頻率，并且不會影響數據正常發送速度，所以增加的網絡流量也是極其有限的。DPIOP算法使用的也是最短路由，所以攻擊者一旦遠離真實路由，DPIOP的時延和最短路徑路由相同，比幻影路由的時延減少35.2%。

幻影路由因為隨機游走增加了步數，所以時延要高于最短路徑。如圖8所示，當=10跳時，SPA、DPIOP以及幻影路由產生的時延低于真實實驗下7跳的時延，其原因是在同等實驗條件下，真實環境要更復雜，鏈路干擾、無線帶寬等不穩因素導致了實際時延要稍高于仿真環境。

2) 隱私安全

如圖9所示，隨著的增加，最短路徑的安全性并沒有增加，并且是最差的，攻擊者捕獲到一個數據分組之后，就會順著最短路徑找到源節點。從實驗結果看出，好奇的攻擊者反而比耐心的攻擊者捕獲到源節點的次數少，因為好奇的攻擊者從sink出發，沒有等到任何數據分組后便隨機游走，從而錯過一些數據分組，偏移真實路徑。因此，耐心的攻擊者反而比好奇的攻擊者有更高的捕獲率。

圖9 捕獲節點數量和s-d距離的關系

CALP的本質是貪婪最短路徑，但每次都是選擇離攻擊者最遠的，而且CALP的策略和攻擊者的攻擊半徑設定相關。在仿真中，當攻擊半徑等于通信半徑時，攻擊者在sink附近是可以收到一些真實數據分組的，所以耐心的攻擊者也可以捕獲到一些數據源。好奇的攻擊者收不到信息的時候則隨機游走，較小時會捕獲一些源節點。幻影路由在仿真中遇到耐心的攻擊者時，并沒有比最短路徑表現更好，只是隨著的增加，隨機游走的步數增加，好奇的攻擊者會因暫時沒有收到數據分組而偏移路線，丟失了捕獲源節點的部分機會。

如圖9(a)所示，在SPA安全策略下，耐心的攻擊者由于一直收不到數據分組而停留在原地，而無法繼續追蹤數據源，隱私安全性近乎100%。當源節點離sink較近時，好奇攻擊者因基本收不到數據分組處于隨機游走狀態，根據式(9)所示的隨機游走概率分布，當源節點特別近時就會被捕獲。如圖9(b)所示，當=10跳且SPA遇到好奇攻擊者時，SPA比幻影路由（RP）的隱私性提高約89.6%，高于實際實驗中的87.5%，這是因為實際實驗中距離更短，且攻擊者在真實環境中隨機游走的速度和范圍都比仿真環境小。

在DPIOP安全策略下，由圖9(a)顯示，從10跳到更遠的距離，耐心的攻擊者幾乎捕捉不到源節點。遇到好奇的攻擊者，圖9(b)顯示當源節點至sink節點20跳在以內，DPIOP捕獲率雖低于CALP但也還能捕捉到源節點，因為DPIOP攻擊者可以收到真實數據分組，相比較SPA的完全隨機游走，DPIOP追蹤到源節點的概率要比SPA大。在真實實驗中7跳時，遇到好奇攻擊者，DPIOP比幻影路由（RP）的隱私性高約為75%，而在仿真實驗中當距離=10跳，SPA遇到好奇攻擊者比RP的隱私性高約為94.9%，說明在仿真實驗中有更高的捕獲率，這是因為攻擊者在真實實驗中探測到的數據分組方向和距離會因環境因素而有誤差。

隨著路由路徑的繼續增加，SPA和DPIOP不管是針對耐心的攻擊者還是好奇的攻擊者，在保護源節點位置隱私上都有極好的安全性。

3) 路徑偏移量

這里比較4種安全機制，本文選取最短路徑SP作為原始的路由策略。根據式(9)，通過比較本文方法和CALP、幻影路由（RP）的路由偏移量，可以看出不同路由對路徑的影響，如圖10所示。

圖10 捕獲路徑偏移量和s-d距離的關系

從圖10實驗結果可以看出，只有DPIOP對原路由影響較小。其仿真結果與實際試驗結果相似，與幻影路由相比偏移量減少約為99%。幻影路由和最短路徑的不同在于多了walk=7的隨機游走，游走的方向是隨機的，遠離sink方向的游走會造成更大的路徑偏移。

CALP本質也是最短路徑，當源節點離sink較遠時，最短路由也會在選取路徑時稍有偏移，這是由路由算法和網絡拓撲決定的。CALP在攻擊者靠近真實路徑時，每次選取離攻擊者最遠并且離sink最近的節點進行中繼，真實路徑在最短路徑附近變化。

對于耐心的攻擊者，在圖10(a)中沒有顯示SPA，由于攻擊者守在sink附近并一直收不到消息，而數據分組一直就在sink附近轉發到達不了sink節點，所以造成路由偏移非常大，SPA的偏移量和攻擊者的攻擊能力有關，越大的安全距離使偏移量越大。好奇的攻擊者收不到數據分組后就進入隨機游走狀態，遠離最短路徑附近后就不再會對原始路徑造成偏移。SPA遇到好奇的攻擊者的仿真實驗結果如圖10(b)所示，與幻影路由相比偏移量減少約85.8%，與真實實驗的結果相符。

4) 能耗

根據式(5)來計算能耗，本次仿真實驗中使用如下參數，如表11所示。

表11 參數設置

因為CALP的本質也是最短路徑SP，所以下面只需要比較本文方法與SP和RP之間的關系。圖11(a)中SPA產生的能量異常高于其他方法而無法顯示在正常能量區間，因為面對在sink附近耐心的攻擊者，數據分組一直圍繞著靜默池循環投遞而無法到達sink，從而消耗了更多的能量。所以遇到耐心的攻擊者時，DPIOP機制更高效、低耗。DPIOP機制不會改變原路由的最短路徑，只有虛假數據分組產生了額外的消耗能量，而只有存在靜默池的時候才會產生虛假數據分組。實際上，耐心的攻擊者被虛假數據分組誘使遠離開原始路徑后，靜默池消失，攻擊者便收不到任何真假數據分組。如圖11(a)所示，當網絡保持穩定的安全狀態（如圖6(c)所示）時，DPIOP按最短路徑投遞真實數據分組。相比幻影路由RP，DPIOP遇到耐心的攻擊者可節省能耗約為62.6%，幻影路由的隨機游走方向一旦是遠離sink節點的方向，會產生更多能耗。在同等實驗參數下，仿真實驗比實際實驗會產生較少能耗，這是因為實際環境有更多損耗能量的物理因素。

如圖11(b)所示，當遇到在sink附近好奇的攻擊者時，SPA會使攻擊者無法收到任何數據分組而隨機游走，偏離原路由路徑后，數據分組按最短路徑投遞，比幻影路由降低能耗約為55.2%。DPIOP機制下好奇的攻擊者在真實路徑附近會一直同時收到2個數據分組，當他追蹤假的數據分組時，一旦遠離原始路徑后，靜默池也隨之消失，攻擊者便收不到任何真假數據分組，從而進入隨機游走的狀態，DPIOP相比幻影路由能耗最多減少54.7%。

在圖11(b)中，當路徑<30跳時，面對好奇的攻擊者時，SPA和DPIOP產生的能耗相差不大，這與真實實驗結果相符，因為源節點到sink路徑距離較短時，SPA產生的路徑偏移路徑長度和DPIOP產生的假數據分組發送的次數相差不多，所以產生的能耗也很接近。當增加時，雖然DPIOP使攻擊者捕獲源節點的概率變小了，但捕獲真實數據分組的數量也隨之增加，而此時SPA隨機游走造成的路徑偏移并沒有實質性變化，因此DPIOP產生的能耗就會稍高于SPA。

圖11 網絡能量消耗和s-d距離的關系

6 結束語

本文提出了2種不依賴原路由的新方法SPA和DPIOP來解決源位置隱私的問題。SPA通過讓攻擊者周圍的節點只接收不發送從而阻止或降低攻擊者收到新數據分組的可能性。實驗結果證明了SPA具有極高的安全性，雖然面臨耐心的攻擊者，SPA有可能會造成數據時延，然而在面對安全要求極高且可以犧牲一點時延的網絡應用，如時延容忍網絡（DTN, delay/disruption -tolerant network），SPA是一個更好的選擇。能量高效的DPIOP機制在路徑較短的情況下安全性能稍差于SPA，但只需要注入極少的虛假信息，就能達到保護源節點位置信息的目的，并且對當前的路由沒有任何影響。實際應用中，可以靈活應用，如在sink附近使用DPIOP，在源節點附近使用SPA機制。隨著攻擊者能力的增加，比如更大的竊聽范圍和更快的移動速度，網絡的安全性能會有所下降。未來我們會繼續研究網絡面臨更強大攻擊者時的隱私保護安全策略。

[1] 牛曉光, 魏川博, 姚亞蘭. 傳感網中能量均衡高效的源位置隱私保護協議[J]. 通信學報, 2016, 37(4): 23-33. NIU X G, WEI C B, YAO Y L. Energy-consumption-balanced efficient source-location privacy preserving protocol in WSN[J]. Journal on Communication, 2016, 37(4): 23-33.

[2] LIGHTFOOT L, LI Y, REN J. STaR: design and quantitative measurement of source-location privacy for wireless sensor networks[J]. Secur Commun Netw, 2016, 9(3): 220-228.

[3] 周倩, 秦小麟, 丁有偉.無線傳感器網絡中基于哈希函數的上下文隱私保護[J]. 南京理工大學學報, 2017, 41(6): 753-759.

ZHOU Q, QIN X L, DING Y W. Hash-based contextual privacy preservation in wireless sensor networks[J]. Journal of Nanjing University of Science and Technology, 2017, 41(6): 753-759.

[4] KAMAT P, ZHANG Y, TRAPPE W, et al. Enhancing source-location privacy in sensor network routing[C]//25th IEEE International Conference on Distributed Computing Systems(ICDCS). 2005: 599-608.

[5] ZHANG Y, WANG G, HU Q, et al. Design and performance study of a topology-hiding multipath routing protocol for mobile ad hoc networks[C]// IEEE INFOCOM. 2012: 10-18.

[6] RAHAT A A M, EVERSON R M, FIELDSEND J E. Evolutionary multi-path routing for network lifetime and robustness in wireless sensor networks[J]. Ad Hoc Netw, 2016(52):130-145.

[7] MEHTA K, LIU D, WRIGHT M. Protecting location privacy in sensor networks against a global eavesdropper[J]. IEEE Trans Mob Comput, 2012, 11(2): 320-336.

[8] YANG Y, SHAO M, ZHU S, et al. Towards statistically strong source anonymity for sensor networks[J]. ACM Trans Sen Netw, 2013, 9(2): 1-23.

[9] LOUREN?O P, BATISTA P, OLIVEIRA P, et al. Simultaneous localization and mapping in sensor networks: a GES sensor-based filter with moving object tracking[C]//European Control Conference (ECC). 2015: 2354-2359.

[10] NANDHINI S A, RADHA S. Compressed sensing based object detection and tracking system using measurement selection process for wireless visual sensor networks[C]//International Conference on Wireless Communications, Signal Processing and Networking (WiSPNET). 2016: 1117-1122.

[11] APICHARTTRISORN D, APICHARTTRISORN K, KASETKASEM T. A moving object tracking algorithm using support vector machines in binary sensor networks[C]//13th International Symposium on Communications and Information Technologies (ISCIT). 2013: 529-534.

[12] RIOS R, LOPEZ J. Exploiting context-awareness to enhance source-location privacy in wireless sensor networks[J]. Oxford University Press, 2011, 54(10): 1603-1615 .

[13] BURATTI C. Performance analysis of IEEE 802.15.4 beacon-enabled mode[J]. IEEE Transactions on Vehicular Technology, 2010, 59(4): 2031-2045.

[14] BRADBURY M, LEEKE M, JHUMKA A. A dynamic fake source algorithm for source location privacy in wireless sensor networks[C]//IEEE Trustcom/BigDataSE/ISPA. 2015: 531-538.

[15] OUYANG Y, LE Z, LIU D, et al. Source location privacy against laptop-class attacks in sensor networks[C]//The 4th International Conference on Security and Privacy in Communication Networks. 2008: 5-10.

[16] RAJ M, LI N, LIU D, et al. Using data mules to preserve source location privacy in wireless sensor networks[J]. Pervasive & Mobile Computing, 2014(11): 244-260.

[17] JHUMKA A, LEEKE M, SHRESTHA S. On the use of fake sources for source location privacy: trade-offs between energy and privacy[J]. Computer Journal, 2011, 54(6): 860-874.

[18] SHI R, GOSWAMI M, GAO J, et al. Is random walk truly memoryless traffic analysis and source location privacy under random walks[C]//IEEE INFOCOM. 2013: 3021-3029.

[19] XI Y, SCHWIEBERT L, SHI W. Preserving source location privacy in monitoring-based wireless sensor networks[C]//20th IEEE International Parallel Distributed Processing Symposium. 2006.

[20] ALOMAIR B, CLARK A, CUELLAR J, et al. Toward a statistical framework for source anonymity in sensor networks[J]. IEEE Transactions on Mobile Computing, 2013, 12(2): 248-260.

[21] 吳博, 胡小龍. WSN中基于假路徑的源位置保護策略[J]. 計算機工程與應用, 2008, 44(16): 114-117.

WU B, HU X L. Strategy of protecting source-location privacy in WSN based on fake paths[J]. Computer Engineering and Applications, 2008, 44(16): 114-117.

[22] AMIN R, BISWAS G P. A secure light weight scheme for user authentication and key agreement in multi-gateway based wireless sensor networks[J]. Ad Hoc Networks, 2016, 36(1): 58-80.

[23] SRINIVAS J, MUKHOPADHYAY S, MISHRA D. Secure and efficient user authentication scheme for multi-gateway wireless sensor networks[J]. Ad Hoc Networks, 2017, 54: 147-169.

[24] REDDY A G, DAS A K, YOON E J, et al. A secure anonymous authentication protocol for mobile services on elliptic curve cryptography[J]. IEEE Access, 2016(4): 4394-4407.

[25] SHAO M, HU W, ZHU S, et al. Cross-layer enhanced source location privacy in sensor networks[C]//6th Annual IEEE Communications Society Conference on Sensor, Mesh and Ad Hoc Communications and Networks. 2009: 1-9.

[26] XING Y, CHEN Y, YI W, et al. Optimal beacon interval for TDMA-based MAC in wireless sensor networks[C]//11th International Conference on Innovations in Information Technology (IIT). 2015: 156-161.

[27] HUANG P, LIU C J, XIAO L. TAS-MAC: a traffic-adaptive synchronous MAC protocol for wireless sensor networks[J]. ACM Transaction Sensor Network, 2016, 12(1): 1-30.

[28] ZHOU L, WAN C, HUANG J, et al. The location privacy of wireless sensor networks: attacks and countermeasures[C]//Ninth International Conference on Broadband and Wireless Computing, Communication and Applications (BWCCA). 2014: 64-71.

[29] POTTIE G J, KAISER W J. Wireless integrated network sensors[J]. Communication ACM, 2000, 43(5): 51-58.

Preserving source-location privacy efficiently based on attack-perceiving in wireless sensor network

ZHOU Qian1,2, QIN Xiaolin1,2, DING Youwei1,2

1. College of Computer Science and Technology, Nanjing University of Aeronautics and Astronautics, Nanjing 211106, China 2. Jiangsu Key Laboratory of Internet of Things and Control Technology, Nanjing 211106, China

Sensors’ ability was utilized to perceive the mobile attacker nearby, and SPA (silent-pool approach) was proposed, which was able to hinder or reduce the packets hunted by the attacker by controlling the forwarding state of the nodes. In addition, a novel DPIOP (dummy packet injection out pool) method was proposed to entice the adversary far away from the transmission path without changing the original routing path. Through simulation studies and experiments, the outstanding performance of SPA and DPIOP in privacy preservation were demonstrated, with saving energy by about 63%, and reducing delay by about 35%.

location privacy, sensor network, energy-efficiency, attack-perceiving, context-aware

TP393

A

10.11959/j.issn.1000-436x.2018001

周倩（1983-），女，江蘇興化人，南京航空航天大學博士生，主要研究方向為數據信息安全、傳感器網絡、數據隱私保護等。

秦小麟（1953-），男，江蘇蘇州人，南京航空航天大學教授，主要研究方向為分布式數據管理、物聯網、數據安全與隱私保護、大數據管理與分析等。

丁有偉（1987-），男，江蘇宿遷人，南京航空航天大學博士生，主要研究方向為云計算、能量高效數據管理和數據挖掘等。

2017-01-08；

2017-12-02

國家自然科學基金資助項目（No.61373015, No.61300052, No.41301047, No.61402225）；江蘇省自然科學基金資助項目（No.BK20140832）；中國博士后基金資助項目（No.2013M540447）

: The National Natural Science Foundation of China (No.61373015, No.61300052, No.41301047, No.61402225), The Natural Science Foundation of Jiangsu Province (No.BK20140832), The Postdoctoral Foundation of China (No.2013M540447)