基于多路徑的源節點位置隱私保護路由協議

馬 蔚，宋 玲

MAWei,SONG Ling

廣西大學 計算機與電子信息學院，南寧 530004

School of Computer and Electronics Information,Guangxi University,Nanning 530004,China

1 引言

無線傳感器網絡[1]（Wireless Sensor Network，WSN）作為物聯網的重要組成部分，由大量微型傳感器節點通過自組織方式形成，目前被廣泛應用于交通管理、災難預警、醫療衛生、國防軍事、環境監測、工業制造等諸多領域，幫助人們獲得更多精準的信息。

然而，在實際應用過程中，傳感器網絡采用無線多跳通信方式傳遞消息，容易受到攻擊者的攻擊，從而引發嚴重的安全問題。因此WSN中的隱私保護成為現今一個重要的研究方向。現有的無線傳感器網絡隱私保護可以分為兩類：數據隱私保護[2]和位置隱私保護[3]。數據隱私保護技術主要采用擾動、匿名和加密[4]等隱私保護技術，實現在不泄露隱私信息的情況下完成數據聚集、數據查詢和訪問控制等任務；位置隱私保護技術可分為基站位置隱私保護和源位置隱私保護，針對攻擊者通過監測通信模式獲取源位置或基站位置信息的攻擊方式，采取概率洪泛路由、幻影路由、假包注入、偽裝真實源節點或基站、環路陷阱路由[5]等保護策略，有效防止網絡敏感位置信息泄露，同時控制網絡能量的消耗，降低通信時延。

本文針對源節點的位置隱私保護問題，提出了一種基于多路徑的源位置隱私保護路由協議RPBMP。

2 相關研究工作

在過去的相關研究中，可以將源位置攻擊者分為兩類：局部流量攻擊者[6]和全局流量攻擊者[7]。局部流量攻擊者監聽半徑相對較小，只能監聽網絡中部分節點的通信流量，因此不會影響整個網絡的正常運行。而全局流量攻擊者可以對整個網絡進行流量分析，當源節點發送數據時，周圍流量必然大于其他地方，攻擊者很容易定位源節點的位置。

然而，在實際應用中，全局流量分析需要大量的高端設備和很長的時間來收集數據，同時易于被有效防御，因此并不常見。相反，局部流量攻擊者由于要求低，不易被有效防御等因素，相對比較普遍。因此，本文主要研究抵御局部流量攻擊者的路由協議。

Ozturk等人[8]最先提出了幻象路由協議，將數據傳輸路由通過兩個階段來實現。首先數據包從源節點開始隨機h跳到達一個幻象節點，然后再由幻象節點按照最短路徑路由向基站轉發。幻象節點離源節點越遠，隱私保護能力就越強。而經過簡單的隨機h跳轉發后，幻象節點離源節點的位置并不足夠遠。

文獻[9]提出了隨機選擇中介節點的RRIN路由協議。源節點首先計算中介節點與源節點的距離drand=dmin×(|X|+1)隨機數X服從N(0,σ)，標準正態分布，dmin是中介節點離真實源節點的最小距離，數據包先從源節點發送到中介節點，中介節點再將數據包發送到基站。雖然RRIN路由不攜帶方向信息，但是完全隨機選擇的中介節點，可能造成相鄰數據包產生的中介節點距離過近。

Wang等人[10]引入節點偏移夾角信息，提出了一種基于角度的源位置隱私保護協議PRLA，該協議通過源節點有限洪泛的方式收集源節點有限范圍內節點的偏移夾角信息。在數據轉發過程中，節點的偏移夾角越大轉發概率就越大。這樣使得幻影節點到基站的路徑會最大程度地偏離源節點到基站的最短路徑，盡可能地避開源節點的可視區。

針對PRLA協議不足，文獻[11]提出了基于源節點的有限洪泛源位置隱私保護協議PUSBRF，該協議包括三個階段：源節點h跳有限洪泛、h跳有向路由和最短路徑路由，并證明了以鄰節點距離基站的最小跳數進行前h跳有向路由，產生的幻影源節點會集中于某些區域。該協議雖然一定程度上避免了“失效路徑”，卻在實際應用中存在一些問題：首先源節點監測目標移動很快時，節點要多次洪泛，能量消耗很快；其次路由建立消息在源節點洪泛后才廣播，實現起來比較困難。

文獻[12]和[13]都是基于隨機角度的源位置隱私保護路由協議，首先基于隨機角度選擇幻影源節點，然后以最短距離路由從源節點向幻影節點發送數據，最后以一定的概率從幻影源節點向基站轉發數據。

文獻[14]提出一種追蹤時間受限的源節點位置隱私路由保護策略，在傳感器節點能量受限的情況下，充分利用能量充裕區域的能量形成動態的、足夠長的路徑，而在能量緊張區域只產生必要的路由路徑，從而達到對源節點位置的有效保護，同時延長網絡壽命。

3 系統模型

3.1 網絡模型

本文的網絡模型與文獻[15]中提出的熊貓-獵人模型相似。在熊貓-獵人模型中，將大量無線傳感器節點部署在自然保護區中，用于勘測熊貓的活動和位置，一旦發現監測范圍內有熊貓出現，節點會將觀測數據以數據包的形式發送給基站。獵人通過逆向、逐跳追蹤數據包來非法捕獲熊貓。本文對整個網絡做如下假設：

（1）全網只有一個基站，有一個或多個源節點，在節點監測范圍內發現目標都可以成為源節點。

（2）基站的位置是公開的，網絡中每個節點都知道基站的位置。

（3）傳感器節點在全網均勻分布，任意兩個節點之間通過一跳或多跳的方式通信。

3.2 攻擊模型

受巨大的利益驅使，攻擊者會利用先進的偵聽技術反向逐跳追蹤數據包的發送者。假設攻擊者具備以下能力：

（1）攻擊者具有優良的設備、足夠的能量、高效的計算能力和數據存儲能力。

（2）攻擊者一開始位于基站附近，一旦監聽到有數據包發往基站，就開始向發送節點移動。

（3）攻擊者具有局部流量分析的能力，只能監測到所觀察節點附近區域的流量情況。

（4）攻擊者只能進行被動的跟蹤，不能干擾網絡的正常數據路由，也不能夠篡改數據，破壞與改變數據路由的路徑以及破壞傳感器設備。

3.3 安全假設

設網絡具有基本的安全設施，節點間的安全通信協議已經建立，節點間的通信采用安全加密通信。本文假定基站是安全的，不能被攻擊者俘獲。安全加密的方法與密鑰管理的方法與機制不在本文的研究范圍之內。

4RPBMP協議設計

4.1 網絡初始化

初始化網絡是中繼節點選擇的基礎。首先由Sink節點發出廣播消息Message，該消息每次到達一個節點，跳數會隨之增加，通過Message消息的廣播，散落在網絡中的各個節點可以及時更新該節點距離Sink節點的最小跳數。

為了下面便于表達，這里根據距離Sink節點的跳數對網絡中的節點進行分類。

（1）遠鄰居節點：某個節點的鄰居節點距離Sink節點的跳數比自己到Sink節點的跳數大。

（2）近鄰居節點：某個節點的鄰居節點距離Sink節點的跳數比自己到Sink節點的跳數小。

（3）等鄰居節點：某個節點的鄰居節點距離Sink節點的跳數和自己到Sink節點的跳數相同。

每個節點通過對比自己到Sink節點和鄰居節點到Sink節點的最小跳數，可以找到自己的遠鄰居、近鄰居和等鄰居，從而形成遠鄰居表、近鄰居表和等鄰居表。

文中使用的主要記號如表1所示。

表1 本文使用的主要記號

4.2 中繼節點的選擇

網絡初始化過程中每個節點形成了3個表，即遠鄰居表、近鄰居表和等鄰居表。為了讓幻影節點盡量遠離源節點，并且不集中在某個區域內，從上述3個表中各隨機選取一個節點作為幻影節點。假設源節點Source距離Sink節點的距離為H，幻影節點則是從小于H跳、等于H跳和大于H跳的節點中各隨機選取一個距離Source為h跳的隨機節點，從而保證幻影節點分布的多樣性，增加攻擊者的攻擊難度。

4.3 同跳路由

一般的路由策略在選擇了幻影節點之后，直接使用最短路由法將數據包轉發到Sink節點，這樣攻擊者會很容易反向追蹤到幻影節點，從而進一步找到源節點。因此在選擇了幻影節點A、B、C之后，從這3個節點的等鄰居節點中選擇下一跳進行路由，而不是直接向Sink節點發送數據。由于從節點A、B、C的等鄰居表中選擇的節點距離Sink節點的跳數與A、B、C節點距離Sink節點的跳數相同，因此該過程稱為“同跳路由”。

4.4 重復中繼節點的選擇和同跳路由

同跳路由之后，A節點繼續從它的近鄰居節點中選擇下一跳進行路由，這樣可以保證數據包朝著Sink節點方向傳送，之后進行同跳路由，然后再從近鄰居中選擇下一跳，如此重復，直到跳數達到最初設定的閾值R，最后通過最短路徑將數據包傳送到Sink節點；B節點從它們的等鄰居節點中選擇下一跳路由，由于同跳路由不改變該數據包離Sink節點的距離，如此重復的話，攻擊者將被引入到一個距離Sink節點H跳的類似圓中出不來；C節點從它的遠鄰居節點中選擇下一跳路由，使得數據包朝著遠離Sink節點方向傳送，之后進行同跳路由，然后再從遠鄰居中選擇下一跳，如此重復，從而達到了將攻擊者引向遠離Sink節點的目的。當近鄰居節點路由結束時，等鄰居和遠鄰居節點也同時結束路由。

如圖1，源節點Source從它的近鄰居節點、等鄰居節點、遠鄰居節點中分別選擇節點A、B、C進行路由。在近鄰居節點一側，節點A從它的等鄰居節點中選擇下一跳節點，該節點再從它的近鄰居節點選擇下一跳，如此重復，當跳數達到閾值時，直接從當前節點將數據包發往匯聚節點Sink；在遠鄰居節點一側，節點C從它的等鄰居節點中選擇下一跳節點，該節點再從它的遠鄰居節點下一跳，如此重復，當近鄰居節點一側路由結束時，遠鄰居節點一側也結束路由；在等鄰居節點一側，節點B一直選擇它的等鄰居節點，因此一直在距離匯聚節點Sink等跳數的類似圓上路由。

圖1 路由策略圖

4.5 工作過程

WSN節點部署完成以后，首先進行網絡初始化，其次是數據包的傳輸過程，因為遠鄰居節點和等鄰居節點路由過程與近鄰居節點類似，所以以近鄰居節點的路由過程為例，給出如下工作過程。

（1）Initialization：all nodes get remote neighbor informations，equal neighbor informations，close neighbor informations. //所有節點獲取遠鄰居、等鄰居、近鄰居節點

（2）Source node chooses the close neighbor nodeA

（3）Routing from source node toA

（4）h←h+hop(source,A)； //計算源節點到近鄰居節點之間的跳數

（5）While the random hops h not reach the thresholdR

（6）Achooses the equal neighbor nodea

（7） Routing from nodeAtoa

（8）h←h+1； //加上等鄰居節點路由跳數

（9）achooses the close neighbor nodeA

（10） Routing from nodeatoA

（11）h←h+hop(A,a)； //加上等鄰居節點到近鄰居節點之間的跳數

（12）end while

（13）Routing from nodeAto sink

5 性能分析

5.1 安全性能分析

RPBMP路由策略在安全性方面的優勢主要體現在以下兩方面：

（1）RPBMP路由策略需要經過不確定次數的中繼節點的選擇，每次中繼節點的選擇也是隨機的，沒有規律可循，在每次中繼節點路由之后還有同跳路由，同跳路由的選擇同樣是隨機的。因此，即使攻擊者追蹤到其中某一個中繼節點或者同跳路由節點，也無法追蹤到上一跳節點或者是源節點。

（2）等鄰居節點路由是在一個距離Sink節點為H跳的類似圓上進行路由，一旦攻擊者追蹤到這一路由路徑上的某一節點，將繞著這個類似圓一直追蹤，跳不出來，大大增加了RPBMP的安全性。遠鄰居節點路由則是將攻擊者引向遠離源節點和Sink節點的方向。同時等鄰居節點和遠鄰居節點路由均使用與源節點發出的數據包大小、格式一樣的假包來迷惑攻擊者，當近鄰居節點路由結束之后，假包隨之丟棄。因此，遠鄰居節點、等鄰居節點、近鄰居節點這3條路由路徑的存在，相當于RPBMP隨機路徑數是普通幻影協議的3倍。因此，如果采用相同的攻擊方法，RPBMP中源節點被攻擊的概率應該是幻影路由協議的1/3。換句話說，本文協議的隱私保護能力提高了兩倍。

5.2 通信開銷分析

RPBMP分為三部分，即近鄰居節點路由、等鄰居節點路由和遠鄰居節點路由，但是這3種路由相互不影響、不交叉，因此可以分別計算3種路由的通信開銷。各個文獻中均有Sink節點廣播產生的通信開銷即初始化網絡產生的開銷，這一部分的能耗是相同的，因此不做分析討論。

近鄰居節點的通信開銷分為兩部分：近鄰居節點的路由開銷、同跳路由的開銷。從路由策略圖可以看出，由每次近鄰居節點和同跳節點的選擇可以確定路由路徑，從而確定數據包走過的跳數即通信開銷。等鄰居節點所有同跳路由的跳數即該路由的通信開銷。遠鄰居節點的通信開銷也是分為兩部分：遠鄰居節點的路由開銷、同跳路由的開銷。整個網絡的通信開銷就是這3種路由的開銷之和。

圖2 （a）源節點到基站不同距離時的平均安全時間比較

6 仿真實驗與分析

本文的仿真實驗在MATLAB平臺下進行，對RPBMP、phantom single-path[8]、PUSBRF[11]、追蹤時間受限[14]4種路由協議的通信開銷和安全時間進行仿真對比分析。節點部署如下，將900個傳感器節點隨機分布在400 m×400 m的監測區域內，節點的有效傳輸半徑為20 m。為了實現節點隨機均勻分布，本文把監測區域均勻劃分為網格，每個網格隨機地放置一個節點。基站的位置固定在（0，0）處，源節點隨機選擇。

6.1 安全時間比較

安全時間是衡量網絡安全性能的一個重要指標，本文指的是源節點被攻擊者捕獲前發送的數據包的個數。圖2（a）是隨機有向跳數均為15跳時，源節點到基站不同距離時所對應的4種協議的平均安全時間。由圖2（a）可以看出，PUSBRF協議、時間受限協議和phantom single-path協議在前半段安全時間隨著源節點與基站之間距離的增大而增大；而在后半段安全時間反而有所下降。這是因為傳感器節點是分布在一個400 m×400 m的方形區域內，當源節點距離基站較遠趨近于監測區域邊界時，以源節點為圓心的區域內的節點數會相應地減少很多，相應的路由路徑也會隨之減少，所以它對應的安全時間也會相應地減少。而本文的RPBMP路由協議，取的是源節點的近鄰居、等鄰居和遠鄰居節點，不存在區域問題，而且當源節點距離基站較遠時，近鄰居節點會很多，相應的路由路徑也會增多，因此對應的安全時間也會增加。當源節點與基站的距離為424 m時，RPBMP的安全時間比phantom single-path、PUSBRF、時間受限協議分別提高了277%、128%、97%。因此，RPBMP適用于源節點距離基站較遠的情形，它大大提高了隱私保護的性能，增加了攻擊者的追蹤難度。

圖2 （b）隨機有向跳數不同時的平均安全時間比較

圖3 （a）源節點到基站不同距離時的通信開銷比較

圖2（b）是源節點距離基站400 m時，對于不同的隨機有向跳數，4種協議所對應的平均安全時間。由圖2（b）可以看出，隨著隨機有向跳數的不斷增加，4種路由協議的安全時間都相應延長。這是因為當隨機有向跳數增多時，中繼節點到源節點的距離也越大，傳輸路徑也會增多，攻擊者就會需要更長的時間追蹤源節點。與phantom single-path、PUSBRF、時間受限協議相比，RPBMP的安全時間分別提高了105%、22%、17%。由于源節點距離基站400 m，沒有趨近于邊界，因此安全時間沒有先上升后下降的趨勢。

6.2 通信開銷的比較

通信開銷即為數據包被轉發的次數，本文將數據包從源節點傳輸到基站的平均需要轉發的次數作為通信開銷的指標。圖3（a）是隨機有向跳數為15跳時，源節點距離基站不同跳數時所對應的4種協議的平均通信開銷。由圖3（a）可以看出，隨著源節點與基站間跳數的增加，4種協議的通信開銷也隨之增加。這是因為隨著基站與源節點距離的增加，數據包需要經過更多跳才能到達基站。與PUSBRF協議和phantom single-path協議相比，RPBMP協議的通信開銷分別增大了15.3%和18.2%，比時間受限協議減少了5.4%。因為RPBMP協議和時間受限協議路由時都會經過多次跳轉與中繼節點選擇，所以通信開銷相當。而PUSBRF協議和phantom single-path協議只有一次幻影節點的選擇，因此通信開銷小于前兩者。

圖3（b）為源節點距離基站400 m時，對于不同的隨機有向跳數，4種協議所對應的通信開銷。由圖3（b）可以看出，隨著隨機有向跳數的不斷增加，4種協議所對應的通信開銷都逐漸增加。這是因為隨著h的增加，數據包在h跳路由階段需要轉發更多次才能到達中繼節點，通信開銷隨之增大。與時間受限協議相比，RPBMP協議的通信開銷減少了4.5%，與PUSBRF協議和phantom single-path協議相比，RPBMP協議的通信開銷分別增大了16.3%和18.1%。因為RPBMP協議選擇中繼節點后還會繼續選擇下一個中繼節點，時間受限協議也有多個路由階段，而PUSBRF協議和phantom single-path協議在一次幻影節點選擇后，直接將數據包發往基站Sink，所以前兩種路由的通信開銷會大于后兩種。

圖3 （b）隨機有向跳數不同時的通信開銷比較

7 總結

無線傳感器網絡中源節點位置的暴露會直接威脅到目標的安全性。本文針對具有局部流量分析的逐跳反向追蹤攻擊者，提出了基于多路徑的源節點位置隱私保護路由協議，不僅有效地將攻擊者引向了遠離源節點的方向，還充分利用了能量充裕區域的能量，大大增加了隨機路徑的數量。理論分析和仿真實驗表明，與現有的源位置隱私保護協議相比，RPBMP協議雖然增加了一部分通信開銷，但是有效延長了網絡的安全時間，因此RPBMP具有較好的源節點位置隱私保護的性能。