LIU Xuejun，LI Jiang，LI Bin

(College of Electronic and Information Engineering，Nanjing University of Technology，Nanjing 211816，China)

Source-Location Privacy Protocol Based on the Minimum Cost Routing*

LIU Xuejun*，LI Jiang，LI Bin

(College of Electronic and Information Engineering，Nanjing University of Technology，Nanjing 211816，China)

Source-location privacy protection is already one of the key technologies which restrict the promotion of wireless sensor network(WSN).At the same time，the energy issue is also a big constraint，so we have been committed to find a balance between privacy protection and energy consumption.In the paper，we proposed a source-location privacy protocol based on the minimum cost routing(LPBMR).The protocol is divided into two parts:In the first phase，The data is sent to the phantom node with directional random walk at a certain energy consumption;In the second phase，the phantom node send the data to the Sink along with the minimum energy routing which can avoid the visual of the source node.The results of the simulation showed that LPBMR can achieve a good privacy protection with less energy consumption.

wireless sensor network;privacy preservation;source-location;the minimum cost routing

近年來，隨著在無線通信、微系統(tǒng)技術和傳感器設備等領域里取得了新的進展，無線傳感器網絡WSN (Wireless Sensor Networks)得到了顯著的發(fā)展。WSN常常應用于一些特殊的物理環(huán)境，網絡中包含大量成本小、能耗低、效率高的節(jié)點，每個節(jié)點從周圍的環(huán)境中收集信息，以多跳的方式將數據傳輸到一個接收器上。WSN在醫(yī)療衛(wèi)生、環(huán)境監(jiān)測、軍事偵察、工業(yè)控制、智能家居等領域得到越來越廣泛的應用［1］。

但是WSN是基于無線通信技術傳播信息的，這使得它容易受到外界的攻擊，同時網絡中的節(jié)點能源有限也使得WSN的安全問題更加突出。所以隱私保護問題已經成為制約著WSN的推廣的關鍵技術之一。WSN中的安全隱私保護可以分為兩類:內容隱私保護和環(huán)境隱私保護。內容隱私保護主要是抵御一些非法用戶通過竊聽、破譯、篡改等方式盜取和破壞網絡傳輸過程中的數據信息。其主要技術有數據加密、數據融合、用戶認證等。而環(huán)境隱私保護相對比較復雜，WSN中的一些敏感信息往往與數據發(fā)送方式和數據流量有關，攻擊者可以在不破譯數據的情況下通過流量分析推斷出網絡中的這些敏感信息。位置隱私保護作為環(huán)境隱私保護的一種有著非常重要的意義。當WSN應用于環(huán)境資源監(jiān)測時，數據源節(jié)點作為無線傳感器網絡中的關鍵節(jié)點，如果缺少對它的位置隱私保護會給這些資源帶來巨大安全隱患。例如，在用于監(jiān)測瀕危物種野生大熊貓的生活習性的無線傳感器網絡中，一旦源節(jié)點位置信息暴露給獵人，這將會危害到熊貓的生命安全。

本文提出了一種基于最小能耗路由的源節(jié)點位置隱私保護協議LPBMR(Source-Location Privacy Protection Based on the Minimum Cost Routing)。與以往的協議不同，LPBMR協議建立在最小能耗路由［2］的基礎上，以改進的定向隨機步和避開源節(jié)點可視區(qū)的路由策略，達到了較高的隱私保護要求。經本文的分析表明，LPBMR可以保證以較少的能耗提供更強大的、更高效的源節(jié)點位置隱私保護。

1 相關研究

根據過去的相關研究，WSN面臨的源位置隱私安全威脅可以分為兩類比較典型的攻擊者模型:局部流量攻擊者和全局流量攻擊者。局部流量攻擊者受到設備的約束監(jiān)聽半徑相對較小，只能監(jiān)聽網絡中部分節(jié)點的通信流量，同時不會干涉網絡的正常運行，以免觸發(fā)網絡中的其他安全機制。攻擊者通過分析節(jié)點間的流量，以逆向追蹤的方式朝著源節(jié)點的方向快速移動。為了抵御這種局部流量攻擊者，Ozturk［3］等人首次提出了幻影路由協議，通過完全隨機的方式制造一個遠離源節(jié)點的幻影節(jié)點，以幻影節(jié)點代替源節(jié)點向基站發(fā)送數據，這樣攻擊者就很難追蹤到真實的源節(jié)點。而全局流量攻擊者的威脅更大，攻擊者以大量的監(jiān)測設備長時間地監(jiān)聽整個網絡的通信流量并進行實時分析。當源節(jié)點向基站發(fā)送數據時，其周圍的數據流量必然要大于其他地方，這樣攻擊者就能快速準確地定位到源節(jié)點所在的位置。文獻［4］提出了一種抵御全局攻擊者的路由策略，將網絡分成若干小組，每個小組中的空閑節(jié)點會在設定的時間內向網絡中植入虛假數據流量，使得網絡中的流量在匿名統(tǒng)計時以等概率的形式出現。這樣當源節(jié)點發(fā)送感知數據時就被這些虛假數據所掩蓋，攻擊者就很難通過分析全局流量來推測出源節(jié)點的位置。

在實際應用中，全局流量攻擊者因為設備要求高、監(jiān)聽時間長、容易被防御等因素并不常見。相反，局部流量攻擊者因為要求低、代價小、不易被防御等因素相對比較普遍。因此，本文主要研究用于抵御局部流量攻擊者的路由協議。文獻［5］對文獻［3］提出的幻影路由協議進行了分析，發(fā)現完全隨機的轉發(fā)策略不能保證幻影節(jié)點與源節(jié)點的距離足夠遠。為了使幻影節(jié)點能快速地遠離真實源節(jié)點，姚劍波［6］等人提出了定向隨機步發(fā)送方式，中間節(jié)點把收到的數據以等概率的方式轉發(fā)給它的父節(jié)點。雖然這種定向隨機步的方式可以快速地產生遠離源節(jié)點的幻影節(jié)點，但是產生的幻影節(jié)點會集中在某一區(qū)域內，對于源節(jié)點的隱私保護效果不佳。文獻［7］中首次提出源節(jié)點可視區(qū)的概念，認為攻擊者一旦跟蹤到源節(jié)點的一定范圍內就可以直接通過目測識別源節(jié)點，該范圍就稱為源節(jié)點的可視區(qū)。如果幻影節(jié)點向基站發(fā)送數據的路由經過源節(jié)點的可視區(qū)，那么攻擊者在逆向追蹤的過程中很容易發(fā)現源節(jié)點，幻影節(jié)點就沒有達到真正保護源節(jié)點的作用，稱該路由為“失效路徑”。因此，Wang等人［7］引入節(jié)點偏移夾角信息，提出了一種基于角度的源位置隱私保護協議——PRLA，該協議通過源節(jié)點有限洪泛的方式收集源節(jié)點有限范圍內節(jié)點的偏移夾角信息。在數據轉發(fā)過程中，節(jié)點的偏移夾角越大轉發(fā)概率就越大。這樣使得幻影節(jié)點到基站的路徑會最大程度地偏離源節(jié)點到基站的最短路徑，盡可能地避開源節(jié)點的可視區(qū)。雖然PRLA一定程度上降低了失效路徑的產生，但是角度的計算帶來了節(jié)點額外的計算開支，同時也沒有達到完全避開“失效路徑”的效果。陳娟［8］等人又提出了PUSBRF協議和EPUSBRF協議。在EPUSBRF協議中，源節(jié)點在監(jiān)測到目標后進行h跳有限洪泛并標記出可視區(qū)內的節(jié)點，然后全網廣播一個避開可視區(qū)的路由建立消息。雖然該協議相對地避免了“失效路徑”的產生，但是在實際應用中會存在一些問題:首先，源節(jié)點在監(jiān)測到目標后采用洪泛的方式標記可視區(qū)，當監(jiān)測目標移動較快時，節(jié)點要進行多次洪泛，這會使得網絡的能量消耗過快;其次路由建立的消息在源節(jié)點洪泛之后才進行全網廣播，這種方式實現起來比較困難。

與傳統(tǒng)的幻影路由協議不同，文獻［9］中首次提出了一種可控能耗的信貸路由(Credit Routing)。Credit Routing是建立在最小能耗路由的基礎上，當源節(jié)點發(fā)送數據時，節(jié)點根據隱私保護的要求分配一個額外的能耗值δ，在數據轉發(fā)過程中，根據要求:通過鄰節(jié)點轉發(fā)的成本要小于等于剩余的能耗，生成一個轉發(fā)列表，轉發(fā)節(jié)點在轉發(fā)列表中隨機選取。剩余的能耗隨著數據的轉發(fā)而越來越少，最終數據包會沿著最小能耗路由向基站發(fā)送數據。為了達到更好的隱私保護，文獻［9］又提出了一種混合路由(Hybrid Routing)。Hybrid Routing分為3個路由階段:隨機路由、有向路由、信貸路由。同時將分配的額外能耗分為3部分，分別用在不同的路由階段。不管是Credit Routing或是Hybrid Routing都是通過隨機的方式轉發(fā)數據，這不能有效的保證數據包在轉發(fā)過程中與真實的源節(jié)點的距離足夠遠，同時這兩種協議都沒有考慮到“可視區(qū)”。本文在這兩種協議的基礎上進行了改進，提出了LPBMR協議。LPBMR同樣也建立在最小能耗路由的基礎上，在源節(jié)點轉發(fā)數據時根據隱私保護要求設定額外能耗，以定向隨機步的方式快速地將數據包發(fā)送至遠離源節(jié)點的幻影節(jié)點;然后，幻影節(jié)點開始沿著最小能耗路由向基站轉發(fā)，通過計算轉發(fā)節(jié)點與源節(jié)點的距離避開“可視區(qū)”。通過實驗對比分析，本文提出的LPBMR協議有效地解決了Credit Routing和Hybrid Routing中的不足。

2 網絡模型和攻擊模型

2.1 網絡模型

為了便于研究和分析，本文假設無線傳感網絡中只包含一個Sink節(jié)點和大量的普通節(jié)點。Sink節(jié)點的位置信息公開，每個節(jié)點通過多跳的方式將感知數據傳輸給Sink節(jié)點。每個節(jié)點都有最大傳輸距離，在最大傳輸距離內的兩個節(jié)點可以直接通信。當節(jié)點監(jiān)測到目標后，開始向Sink發(fā)送感知數據，這時該節(jié)點就成為數據源節(jié)點，簡稱“源節(jié)點”。源節(jié)點會在一段時間內連續(xù)地向Sink發(fā)送數據。

本文參照文獻［2］提出的方法建立最小能耗路由。路由協議可以將跳數、距離、延遲等作為節(jié)點間能耗的衡量標準，本文為方便將距離作為能耗的衡量標準。根據兩點間直線最短，節(jié)點到Sink的最小能耗路由趨于直線。

每個節(jié)點在部署前都會植入一個與基站共享的公匙，而只有基站擁有密匙，這樣保證了節(jié)點發(fā)送的加密數據只有基站能夠正確讀取。每個節(jié)點中都有一個能耗字段，用于表示節(jié)點到Sink的最小能耗，其初始值為∞。節(jié)點部署完成以后，由Sink開始向全網廣播一個路由建立的消息，消息中記錄了轉發(fā)過程中消耗的能量值。當節(jié)點接收到廣播消息后，將本身的能耗值與數據包中記錄的能耗進行比較。例如，當節(jié)點N接收到節(jié)點M轉發(fā)來的廣播消息時，將Cn與Cm+dmn進行比較。其中Cn表示N到Sink的能耗，Cm表示M到Sink的能耗，dmn表示從M到N所消耗的能量。如果Cn＞Cm+dmn，則更新Cn=Cm+dmn，并轉發(fā)廣播消息;否則不轉發(fā)。以此類推，直到每個節(jié)點都得到了到Sink的最小能耗，以及所有鄰節(jié)點到Sink的最小能耗值。關于節(jié)點轉發(fā)廣播信息的代碼實現如下:

//其中M表示發(fā)送節(jié)點，N表示接受節(jié)點

當最小能耗路由建立完成以后，網絡設定節(jié)點的轉發(fā)協議:①源節(jié)點發(fā)送數據包時向數據包頭部加入最小能耗值;②每次轉發(fā)都會消耗一部分能耗，轉發(fā)完成以后更新數據包中的剩余能耗;③中間節(jié)點選擇下一跳轉發(fā)節(jié)點滿足:當前節(jié)點到下一跳節(jié)點所需的能耗+下一跳節(jié)點到Sink的最小能耗≤數據包中剩余的能耗。

關于選擇轉發(fā)節(jié)點的操作由如下代碼實現:

//其中P表示發(fā)送節(jié)點，Q表示轉發(fā)候選節(jié)點，α表示

數據包中的剩余能耗

當源節(jié)點發(fā)送感知數據時，只需在數據包中加入轉發(fā)的能耗信息，數據包就會自動沿著最小能耗路徑向Sink轉發(fā)。具體如圖1所示，假設節(jié)點A到Sink的最小能耗CA=100，節(jié)點B到Sink的最小能耗CB=85，節(jié)點C到Sink的最小能耗CC=80。節(jié)點A到節(jié)點B的能耗dBA=15，節(jié)點A到節(jié)點C的能耗dcA=25。當數據包由節(jié)點A向Sink轉發(fā)時，數據包中的剩余能耗α=100，節(jié)點A通過計算發(fā)現:通過C轉發(fā)所需的能耗CC+dCA≥α，不滿足轉發(fā)條件;而通過B轉發(fā)所需的能耗CB+dBA≤α，滿足轉發(fā)條件。所以節(jié)點A選擇節(jié)點B為下一跳轉發(fā)節(jié)點。

圖1 最小能耗路徑

2.2 攻擊模型

本文主要研究抵御局部流量攻擊者的攻擊模型，根據以往的研究，局部流量攻擊者可以按照耐心程度分為:耐心攻擊者和謹慎攻擊者。在逆向追蹤過程中，耐心攻擊者會一直在一個節(jié)點附近等待，直到監(jiān)聽到有新的數據包向這個節(jié)點發(fā)送，然后攻擊者向發(fā)送方快速移動。而謹慎攻擊者會限制在一個位置上的監(jiān)聽時間，攻擊者如果在規(guī)定的時間內沒有監(jiān)聽到任何新的數據包，就會回到上一跳節(jié)點的位置繼續(xù)監(jiān)聽。根據文獻［5］中的討論，耐心攻擊者要比謹慎攻擊者更具有威脅性。

本文參考“熊貓—獵人”［8］博弈模型，假設節(jié)點間轉發(fā)的數據內容都經過加密處理，攻擊者有如下特點:①攻擊者具有優(yōu)良的設備、足夠的能源、高效的計算能力和數據存儲能力。②攻擊者通過監(jiān)聽網絡中局部的數據流量可以推測出數據發(fā)送方的位置，但是攻擊者的監(jiān)聽范圍有限(等于節(jié)點的通信半徑)，所以只能逐跳地進行逆向追蹤。③攻擊者不會通過其他方式來攻擊網絡，如篡改數據包，破壞節(jié)點等，因為這些攻擊方式會觸發(fā)網絡的其他安全機制。④攻擊者一開始位于Sink節(jié)點的附近，一旦監(jiān)聽到有數據包向Sink發(fā)送，就開始向發(fā)送節(jié)點移動。⑤當攻擊者進入源節(jié)點一定范圍內時，可以直接識別源節(jié)點。

3 隱私保護協議的描述

3.1 協議概述

根據本文第2節(jié)中網絡模型的討論，以節(jié)點間的距離為能耗的衡量標準，建立最小能耗路由。但是由于最小能耗路由是相對固定的，所以很容易被攻擊者通過逆向追蹤方式找到源節(jié)點的位置信息。為了達到源節(jié)點位置隱私保護的要求，本文提出了一種基于最小能耗路由的源節(jié)點位置隱私保護協議(LPBMR)。LPBMR增加數據傳輸的路由隨機性，使得攻擊者不能輕易找到源節(jié)點。

LPBMR協議分為兩個階段:

第1階段，源節(jié)點以定向隨機步的方式將數據包快速地向幻影節(jié)點轉發(fā)。在LPBMR協議中，當最小能耗路由建立的時候，每個節(jié)點不僅得到了自己和鄰節(jié)點到Sink的最小能耗，而且根據到Sink的能耗將其鄰節(jié)點劃分為兩類:能耗小于自己的鄰節(jié)點劃為近節(jié)點集合，能耗大于自己的鄰節(jié)點劃為遠節(jié)點集合。在定向隨機步轉發(fā)過程中，選定遠節(jié)點集合作為轉發(fā)節(jié)點的候選集合，節(jié)點在每次轉發(fā)時在候選集合中隨機地選取一個節(jié)點作為數據包的下一跳轉發(fā)節(jié)點。如圖2(a)所示，源節(jié)點S發(fā)送感知數據前，先根據隱私保護的要求在數據包的頭部植入一個能耗值θ和源節(jié)點的位置信息，其中，θ為定向隨機步階段可以消耗的總能耗值。每次定向隨機轉發(fā)會消耗一部分能耗值，當θ消耗為0時，停止轉發(fā)。這時，數據包到達一個隨機的幻影節(jié)點P。

圖2 不同過程中的數據包格式

第2階段，幻影節(jié)點沿著避開源節(jié)點可視區(qū)的轉發(fā)。如圖2(b)所示，幻影節(jié)點P發(fā)送的數據包頭部包含有源節(jié)點信息和剩余能耗α，設定剩余能耗值α=CP+β，其中CP為幻影節(jié)點到Sink的最小能耗，β為額外的能耗，用于避開源節(jié)點的可視區(qū)和增加幻影路由的隨機性。在避開可視區(qū)的轉發(fā)過程中，中間節(jié)點在近節(jié)點集合中隨機選取一個節(jié)點，根據數據包中的源節(jié)點位置信息，計算該節(jié)點到源節(jié)點的距離。數據包的每次轉發(fā)滿足以下條件:(1)每次轉發(fā)選取距離源節(jié)點較遠的節(jié)點作為下一跳轉發(fā)節(jié)點;(2)由該節(jié)點向Sink轉發(fā)所需的能耗小于當前剩余的能耗值。這樣能確保節(jié)點在能耗允許的情況下，在遠離源節(jié)點的同時朝著Sink轉發(fā)。

Event:Avoid source routing

1int temp=0，ID;

2while(從近節(jié)點集合中選取一個節(jié)點)do

3if(通過該節(jié)點的所需的能耗≤α)

4then if(該節(jié)點到源節(jié)點的距離＞temp)

5then temp=該節(jié)點到源節(jié)點的距離

6ID=該節(jié)點的ID號

7return ID

如圖3所示，假設Sink的坐標為(0，0)，源節(jié)點S的坐標為(CS，0)，可視區(qū)的半徑為r。當幻影節(jié)點P與Sink和源節(jié)點在同一直線上，并且到源節(jié)點S的能耗為θ時，數據包避開源節(jié)點可視區(qū)所需的額外能耗β為最大值。所以，為了使得數據包在轉發(fā)時可以有效地避開源節(jié)點的可視區(qū)，取β=(CS+θ)·

圖3 避開源節(jié)點可視區(qū)的最大能耗

最后，當節(jié)點到Sink的最小能耗Cu≤CS-r時，數據包拋棄存放在頭部的源節(jié)點信息，并沿著最小能耗路由轉發(fā)。因為當Cu≤CS-r時，數據包轉發(fā)的將不再會經過源節(jié)點的可視區(qū)，所以轉發(fā)過程中不再需要計算節(jié)點與源節(jié)點的距離，為了安全考慮，將數據包頭部的源節(jié)點信息拋棄，如圖2(c)所示。同時，將剩余能耗值設為α=Cu，數據包將開始沿著最小能耗路由轉發(fā)。整個轉發(fā)過程如圖4所示。

圖4LPBMR協議的轉發(fā)示意圖

3.2 性能分析

3.2.1 安全分析

源節(jié)點位置隱私保護并不能絕對防止攻擊者發(fā)現源節(jié)點，如果能使得期望的時間內攻擊者不能到達源節(jié)點位置，那么就認為源節(jié)點的位置隱私已經得到了保護。文獻［5］定義協議的安全時間為攻擊者通過逆向跟蹤數據包到達源節(jié)點所需要的時間。經研究表明，安全時間與幻影節(jié)點位置的隨機性以及幻影節(jié)點到源節(jié)點的距離有關。根據文獻［10］，數據包經過λ跳完全隨機轉發(fā)后，在源節(jié)點d跳范圍內的概率為P=1-exp(-d2/λ)。如圖5所示，當λ=42時，數據包在源節(jié)點13跳(d=λ/3曲線)范圍內的概率趨向于100%;當λ=60時，數據包在源節(jié)點15跳(d=λ/4曲線)范圍內的概率趨向于100%。由此可知，完全隨機的轉發(fā)數據包不能保證幻影節(jié)點離源節(jié)點足夠遠。文獻［5］提出采用定向隨機步的路由策略，基于鄰節(jié)點到基站的最小跳數，從當前節(jié)點的子節(jié)點中選取下一跳的轉發(fā)節(jié)點，使得數據包一直朝著遠離Sink的方向轉發(fā)。這種定向路由有效地避免了完全隨機轉發(fā)產生的回繞現象，保證數據包能夠快速地遠離源節(jié)點位置。

圖5 幻影節(jié)點在源節(jié)點d跳范圍內的概率

但是，文獻［8］中提出的定理1:以鄰節(jié)點距離基站的最小跳數進行前h跳有向路由，產生的幻影源節(jié)點集中于某些區(qū)域。以這種有向路由產生的幻影節(jié)點不具有地理位置的隨機性。如圖6所示，其中源節(jié)點S距離Sink節(jié)點H跳，源節(jié)點進行h跳定向轉發(fā)后，幻影節(jié)點距離Sink的跳數H+h，那么幻影節(jié)點到Sink的距離(H+h-1)·R≤D≤(H+h)· R，到源節(jié)點的距離為(h-1)·R≤d≤h·R，即幻影節(jié)點分布分布在圖中的紅色交集區(qū)域。所以LPBMR對定向隨機步做了改進，不再以鄰節(jié)點距離基站的最小跳數進行有向路由轉發(fā)，而是以鄰節(jié)點到基站的最小能耗進行有向路由轉發(fā)。這樣幻影節(jié)點的位置就會隨機地分布在到源節(jié)點的最小能耗為θ的半圓內，有效保證了幻想節(jié)點的隨機性。

圖6 幻影節(jié)點的地理位置分布

3.2.2 可控能耗的意義

在WSN中節(jié)點的能量是非常有限的，所以知道節(jié)點轉發(fā)一條信息到目標節(jié)點所需的能耗是非常重要的。最小能耗路由可以讓節(jié)點很好的了解每次轉發(fā)所需的能耗，節(jié)點通過調整發(fā)送功率使得每次轉發(fā)的能耗最小，延長使用壽命。但是最小能耗的路由相對固定，不能保護源節(jié)點的位置信息。為了達到隱私保護的要求，路由需要額外的能耗來產生具有一定隨機性的幻影路由。協議需要更加精確地控制能耗，利用有限的能耗盡可能地提高隱私保護的能力。

傳統(tǒng)的源節(jié)點位置隱私保護協議都沒有考慮發(fā)送一條消息到Sink所需的能耗。例如，在文獻［3］的幻影路由中，從源節(jié)點到幻影節(jié)點都是隨機轉發(fā)h跳后結束，節(jié)點每次轉發(fā)都是需要以最大功率發(fā)送;從幻影節(jié)點到Sink的跳數和距離都是不確定的，那么這階段的能耗也就不能確定。文獻［8］中提出的PUSBRF路由是通過洪泛的方式來確定幻影節(jié)點，這種方式的能耗是不可控制且最大的。文獻［9］首次提出了能耗可控的路由——Credit Routing和Hybrid Routing，在最小能耗路由的基礎上，源節(jié)點每次發(fā)送節(jié)點都加上額外的能耗，即控制了轉發(fā)所需的能耗，而且增加了路由的多樣性。但是文獻［9］以隨機的方式轉發(fā)，并且沒有考慮“失效路徑”的問題，所以協議對源節(jié)點位置的隱私保護是有限的。本文在此基礎上提出了LPBMR協議，將最小能耗路由和定向隨機步相結合，而且避免了“失效路徑”的產生。在LPBMR協議的3個路由階段中，在每個階段中數據包轉發(fā)所需的能耗都是可以控制的。第1階段的額外能耗為θ，第2和第3階段的能耗小于等于α，整個路由的總能耗就小于等于α+ θ。所以LPBMR以較少的能耗達到較高的隱私保護要求，有效地提高了整個網絡的工作效率。

4 仿真實驗

在模擬實驗過程中，本文從安全時間和通信開銷兩個方面對協議進行評價，將協議分別與PRLA協議［7］、Credit協議［9］和Hybrid協議［9］進行對比。文本在Ubuntu12.04的平臺上，利用NS2模擬仿真軟件構建了一個簡單的無線傳感器網絡。NS2是一個面向對象的網絡模擬器，用C++編寫，以OTCL解釋器作為前端。在仿真實驗過程中，首先進行一個NS2的擴展，包括數據包的包頭文件、C++與OTCL之間的接口、協議算法等，實現本文中所需的協議。然后開始編寫OTCL腳本，設置網絡參數和Trace對象。當仿真模擬結束以后，根據Trace數據文件和NAM圖形輸出進行網絡仿真結果的分析。為了便于實驗結果對比，本文參考文獻［9］的環(huán)境配置。在網絡中，將1 000個節(jié)點均勻的分布在750 m×750 m的正方形區(qū)域內。每個節(jié)點都是靜止的，通信半徑為10 m。因為Sink節(jié)點的位置是公開的，所以攻擊者一開始在Sink位置等待其他節(jié)點向Sink轉發(fā)數據，攻擊者的監(jiān)聽半徑等于節(jié)點的通信半徑，在逆向追蹤過程中攻擊者的可視范圍為30 m。本文的實驗結果是經過多少次實驗所得的平均值。

4.1 安全時間對比

安全時間是衡量網絡安全性能的一個重要指標。由本文第3節(jié)分析可知，安全時間為攻擊者追蹤到幻影節(jié)點的時間與攻擊者從幻影節(jié)點到源節(jié)點的時間之和。在實驗過程中，本文將源節(jié)點被攻擊者捕獲前發(fā)送的數據包個數作為安全時間的衡量標準。在Credit協議中，轉發(fā)列表是根據設定的額外能耗生成的，所以它的安全時間與設定的額外能耗有關;同理，在Hybrid協議中，額外能耗被分為3個部分，分別在3個不同的路由階段消耗，所以它安全的安全時間也與設定的額外能耗有關;在PRLA協議中，節(jié)點的轉發(fā)概率跟偏移夾角有關，偏移夾角又與幻影節(jié)點到源節(jié)點的距離和節(jié)點到Sink的距離有關。因為本文將距離作為能耗的衡量標準，為了便于實驗結果比較，在實驗結果對比過程中將PRLA協議中的路由距離轉化為能耗。

圖7安全時間隨Cs的增加而增加

圖7 是不同協議的安全時間在額定能耗相同的情況下隨著Cs(源節(jié)點到Sink的能耗)增加而增加。其中橫坐標為源節(jié)點到Sink的能耗(用源節(jié)點與Sink的距離表示)，縱坐標為安全時間(用用源節(jié)點被捕獲前發(fā)送的數據包個數表示)。隨著Cs的增加，攻擊者逆向追蹤需要的時間增加，所以不同協議的安全時間都有所增加。PRLA協議通過節(jié)點的偏移夾角決定數據包的轉發(fā)概率，這樣的路由相對固定，而且偏移夾角的引入不能完全地避免源節(jié)點的可視區(qū)，所以PRLA的安全時間最少。Credit和Hybrid協議通過剩余能耗決定數據包的轉發(fā)，這樣的路由具有一定的隨機性。但是兩者都沒有考慮到可視區(qū)的問題，數據包在轉發(fā)過程中會產生“失效路徑”，協議的安全時間也相對較少。而Hybrid通過將路由分為3個階段增加了路由的隨機性，所以Hybrid的安全時間要比Credit多。LPBMR增加了路由的隨機性，同時也有效的避免了“失效路徑”的產生，所以安全時間最多。

圖8為不同協議的安全時間與額外能耗的關系對比。其中橫坐標為額外能耗(用數據的路由距離來表示)，縱坐標為安全時間(用用源節(jié)點被捕獲前發(fā)送的數據包個數表示)。其中PRLA協議的安全時間的增長最為平緩，而Credit和Hybrid協議當消耗的額外能耗比較大時增長的比較快，因為LPBMR協議很好地控制了路由的能耗，將盡可能多的額外能耗用于避開源節(jié)點的可視區(qū)和增加幻影路由的多樣性，所以與其他協議相比增長速率是最快的。

圖8 安全時間隨額外能耗的增加而增加

4.2 能耗對比

對于大多數的無線傳感器網絡應用，能源問題是一個很大的約束條件。WSN的隱私保護協議要在隱私保護和能耗節(jié)省之間尋找一個平衡點。根據本文第3節(jié)可知，控制能耗對于平衡隱私保護與能耗是很有意義的。

在本文的仿真實驗中，將節(jié)點轉發(fā)數據包的次數作為整個網絡能量消耗的衡量標準。由圖8可知，為了達到相同的隱私保護要求，各個協議所需要的能耗都不同。在PRLA協議中，源節(jié)點以洪泛的方式收集節(jié)點的偏移夾角，所以PRLA協議所需的能耗最大。而在Credit協議和Hybrid協議的能耗雖然是可控制的，但是協議沒有考慮可視區(qū)的問題，為了達到較高的隱私保護要求所需的能耗也相對較大。而本文提出的LPBMR協議將能耗分為兩個階段:源節(jié)點到幻影節(jié)點的能耗和幻影節(jié)點到Sink的能耗。第1階段的能耗用于產生幻影節(jié)點，并使得幻影節(jié)點具有隨機性的;第2階段的額外能耗同時用于避開源節(jié)點的可視區(qū)和增加幻影路由的隨機性。所以LPBMR協議以最小的能耗提供最大的隱私保護能力。

文獻［6］還提出了“保護效率”的概念，定義保護效率為將保護力度與平均能耗的比率。根據以上的比較可知，PRLA協議的保護效率最低，Credit協議和Hybrid協議沒有考慮可視區(qū)的問題，所以它們的保護效率也很有限。本文在Credit協議和Hybrid協議的基礎上考慮了可視區(qū)的問題提出的LPBMR協議，通過有效的路由策略避免了“失效路徑”產生，其保護效率得到了提升，與Hybrid協議相比提高了18%左右。

5 總結

本文在Credit Routing的基礎上進行了改進，提出了LPBMR協議，協議將路由分為3個階段:首先，當源節(jié)點發(fā)送感知數據時，根據隱私保護要求設定到幻影節(jié)點的能耗，以“遠節(jié)點”集合為候選集合通過定向隨機步的方式將數據包轉發(fā)給幻影節(jié)點;然后，幻影節(jié)點根據存儲在數據包頭部中的源節(jié)點位置信息，從“近節(jié)點”集合中選取到源節(jié)點的距離較遠的節(jié)點作為轉發(fā)節(jié)點，來避免源節(jié)點的“可視區(qū)”;最后，節(jié)點沿著最小能耗路由向Sink節(jié)點轉發(fā)數據包。本文還通過安全時間、通信能耗等性能指標，將LPBMR協議與其他兩個協議進行模擬實驗比較。實驗結果表明，與其他協議相比，本文提出的協議更安全、更高效。

［1］潘巨龍，李善平，張道遠.無線醫(yī)療傳感器網絡中基于Feistel加密算法研究［J］.傳感技術學報，2010，23(7):1030-1036.

［2］Ye F，Chen A，Lu S，et al.A Scalable Solution to Minimum Cost Forwarding in Large Sensor Networks［C］//Computer Communications and Networks，2001.Proceedings.Tenth International Conference on.IEEE，2001:304-309.

［3］Ozturk C，Zhang Y，Trappe W.Source-Location Privacy in Energy Constrained Sensor Networks Routing［C］//Proceedings of the ACM Workshop on Security of Ad Hoc and Sensor Networks (SASN).Washing DC，USA，2004:88-93.

［4］Kokalj-Filipovic S，Le Fessant F，Spasojevic P.Trade-offs of Source Location Protection in Globally Attacked Sensor Networks:A Case Analysis［C］//Proceedings of the Sensor，Mesh and Ad Hoc Communications and Networks(SECON)，2011 8th Annual IEEE Communications Society Conference，27-30 June 2011:323-331.

［5］Kamat P，Zhang Y，Trappe W，et al.Enhancing Source-Location

［6］姚劍波，郝曉青，文光俊.無線傳感器網絡中的位置隱私保護［J］.傳感技術學報，2008，21(8):1437-1441.

［7］Wang W P，Chen L，Wang J X.A Source-Location Privacy Protocol in WSN Based on Locational Angle［C］//Proceedings of the IEEE International Conference on Communications(ICC)，Beijing，China，2008:1630-1634.

［8］陳娟，方濱興，殷麗華，等.傳感器網絡中基于源節(jié)點有限洪泛的源位置隱私保護協議［J］.計算機學報，2010，33(9):1737 -1747.

［9］Lu Zongqing，Wen Yonggang.Credit Routing for Source-Location Privacy Protection in Wireless Sensor Networks［C］//Mobile Adhoc and Sensor Systems(MASS)，2012 IEEE 9th International Conference on.8-11 Oct.2012:164-172.

［10］Yun L，Lightfoot L，JIAN R.Routing-Based Source-Location Privacy Protection in Wireless Sensor Networks［C］//Proceedings of the Electro/Information Technology，2009 IEEE International Conference. 2009:29-34.

［11］Chen H，Lou W.From Nowhere to Somewhere:Protecting End-to-End Location Privacy in Wireless Sensor Networks［C］//Performance Computing and Communications Conference(IPCCC)，2010 IEEE 29th International，dec.2010:1-8.

［12］Shao M，Yang Y，Zhu S，et al.Towards Statistically Strong Source Anonymity for Sensor Networks［C］//Infocom 2008.The 27th Conference on Computer Communications.IEEE，2008:51-55.

劉學軍(1971-)，男，江蘇南京人，副教授，博士，主要研究方向包括數據庫，傳感器網絡等;

李江(1989-)，男，碩士，主要研究方向為傳感器網絡，lijiang518@yeah.net;

李斌(1979)，男，講師，碩士，主要研究方向為傳感器網絡。

基于最小能耗路由的源節(jié)點位置隱私保護協議*

劉學軍*，李江，李斌
(南京工業(yè)大學電子與信息工程學院，南京211816)

源節(jié)點的位置隱私保護已經是制約著無線傳感器網絡推廣的關鍵技術之一。同時，能源問題又是一個很大的約束，所以人們一直致力于在位置隱私保護和能量消耗之間尋找一個平衡點。本文一種基于最小能耗路由的源節(jié)點位置隱私保護協議，協議分為兩個階段:第1階段，源節(jié)點通過定向隨機步的方式以額定能耗快速地向幻影節(jié)點轉發(fā)數據;第2階段，幻影節(jié)點以避開源節(jié)點可視區(qū)的最小能耗路由向Sink轉發(fā)數據。實驗表明，提出的路由協議以較小的能耗達到了較高的隱私保護要求。

無線傳感器網絡;隱私保護;源位置;最小能耗路由

TP393

A

1004－1699(2014)03－0394－07

Privacy in Sensor Net Routing［C］//Proceedings of the 25th International Conference on Distributed Computing Systems(ICDCS). Ohio，USA，2005:599-608.

2013-10-08修改日期:2014-03-04

C:6150P

10.3969/j.issn.1004－1699.2014.03.023

項目來源:國家自然科學基金項目(61073197);江蘇省科技支撐計劃項目(SBE201077457)