裴華艷 王煥民

摘要：時空相關(guān)性數(shù)據(jù)是一種新的WSN隱私數(shù)據(jù)，在闡述時空相關(guān)性隱私數(shù)據(jù)的基礎(chǔ)上，研究了三種不同的隱私數(shù)據(jù)保護(hù)技術(shù)，從隱私性、精確性、延遲時間和能量消耗四個方面對其性能進(jìn)行了分析。研究總結(jié)了這些技術(shù)的保護(hù)對象、關(guān)鍵實現(xiàn)技術(shù)、優(yōu)勢、不足、已解決的問題和還需要繼續(xù)研究的問題。最后，指出了WSN時空相關(guān)性隱私數(shù)據(jù)保護(hù)未來的研究方向。

關(guān)鍵詞：WSN；時空相關(guān)性隱私數(shù)據(jù)；隱私數(shù)據(jù)保護(hù)技術(shù)

中圖分類號：TP399 文獻(xiàn)標(biāo)識碼：A 文章編號：1009-3044（2015）03-0047-03

Research on Spatio-temporal Privacy Preservation in Wireless Sensor Networks

PEI Hua-yan1； WANG Huan-min2

（1.Office of Academic Affairs， GanSu Radio and TV University， Lanzhou 730030， China； 2.Mechatronic Technology Institute， Lanzhou Jiaotong University， Lanzhou 730070， China）

Abstract：Spatio-temporal privacy is a new WSN privacy data， on the basis of elaborating spatio-temporal privacy， studied three different privacy data preservation technologies， analyzed their performance from privacy， accuracy， delay and power consumption. Studied and summarized these technologies preservation object， key technology， advantages， disadvantages， the problem has been solved and the problems need to continue to study. Finally， pointed out the future research direction for spatio-temporal privacy preservation in wireless sensor networks.

Key words：WSN；spatio-temporal privacy；privacy data preservation technology

無線傳感器網(wǎng)絡(luò)常用于生態(tài)、環(huán)境和醫(yī)療等領(lǐng)域的監(jiān)測，其采集的數(shù)據(jù)往往具有時間和空間上的關(guān)聯(lián)性，隨著序列模型、概率圖等現(xiàn)代關(guān)聯(lián)推斷技術(shù)的發(fā)展[1]，攻擊者通過長期監(jiān)控傳感器網(wǎng)絡(luò)的通信，結(jié)合網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)和路由算法等信息，通過分析數(shù)據(jù)在時空上的關(guān)聯(lián)性，能夠從大量數(shù)據(jù)中推斷出數(shù)據(jù)產(chǎn)生源節(jié)點的位置、匯聚節(jié)點或基站的位置等關(guān)鍵信息，從而危及無線傳感器網(wǎng)絡(luò)的安全。時空相關(guān)性數(shù)據(jù)已經(jīng)成為一種新的WSN隱私數(shù)據(jù)，隨著推斷攻擊成為一種重要的攻擊類型，這類隱私數(shù)據(jù)的保護(hù)成為WSN安全的一個重要保障。

1 時空相關(guān)性隱私數(shù)據(jù)

在被用于監(jiān)控大熊貓生活習(xí)性的無線傳感器網(wǎng)絡(luò)中[2-3]。當(dāng)大熊貓出現(xiàn)在某一傳感器節(jié)點的感知領(lǐng)域內(nèi)時，該節(jié)點產(chǎn)生感知數(shù)據(jù)并發(fā)送給網(wǎng)絡(luò)匯聚節(jié)點。網(wǎng)絡(luò)產(chǎn)生數(shù)據(jù)并報告給匯聚節(jié)點的事實說明大熊貓在某個特定時間出現(xiàn)在產(chǎn)生數(shù)據(jù)的源節(jié)點。如果攻擊者能夠?qū)?shù)據(jù)的產(chǎn)生時間與感知節(jié)點的空間物理位置關(guān)聯(lián)起來，就能夠跟蹤大熊貓的活動蹤跡，進(jìn)而捕獲大熊貓。

同樣的場景可以被轉(zhuǎn)換到軍事應(yīng)用環(huán)境下，當(dāng)無線傳感器網(wǎng)絡(luò)被用于監(jiān)控戍守部隊的大門時。如果敵軍知道士兵進(jìn)入大門的速率，結(jié)合所有士兵進(jìn)入大門所用的時間等信息或許就能夠推斷出戍守戰(zhàn)士的總量。更重要的是，通過分析長期監(jiān)控獲取的大量信息，敵軍能夠推斷出一個時間空隙[4]，在這個空隙內(nèi)，大門口很可能無人出現(xiàn)。

在上述兩種應(yīng)用場景中，攻擊者通過獲取大量網(wǎng)絡(luò)通信數(shù)據(jù)，推斷數(shù)據(jù)在時間和空間上的關(guān)聯(lián)關(guān)系，就能夠進(jìn)行推斷攻擊。為了防御這類攻擊，有兩種類型的信息需要被保護(hù)：傳感數(shù)據(jù)流的空間信息和傳感器節(jié)點產(chǎn)生數(shù)據(jù)的時間信息?？臻g信息的保護(hù)涉及隱藏數(shù)據(jù)感知源節(jié)點的位置[2][5]，以及網(wǎng)絡(luò)匯聚節(jié)點或基站的位置[6-7]。時間信息的保護(hù)涉及隱藏源感知節(jié)點產(chǎn)生數(shù)據(jù)的真實時間、產(chǎn)生數(shù)據(jù)的速率，以及不同源節(jié)點數(shù)據(jù)傳輸事件之間的關(guān)聯(lián)關(guān)系。

2.時空相關(guān)性隱私數(shù)據(jù)保護(hù)技術(shù)

2.1 PRESH和exPRESH

為了保護(hù)無線傳感器網(wǎng)絡(luò)時空相關(guān)性隱私數(shù)據(jù)，文獻(xiàn)[8]在端到端SG-MIX機(jī)制[9]的基礎(chǔ)上提出了一種名為概率重塑的保護(hù)機(jī)制（probabilistic reshaping，PRESH）。在這種保護(hù)機(jī)制中，每個傳感器節(jié)點自身能夠產(chǎn)生感知數(shù)據(jù)，同時能夠為鄰居節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)。這種機(jī)制的工作原理如下：

位于路由路徑上的中間傳感器節(jié)點（位于源節(jié)點和匯聚節(jié)點之間）接收到一個數(shù)據(jù)后，會將其放入本節(jié)點的緩沖隊列，延遲一段時間后再轉(zhuǎn)發(fā)出去，延遲時間由具有參數(shù)?的指數(shù)分布確定。在數(shù)據(jù)的延遲時間內(nèi)，或者在接收此數(shù)據(jù)之前，該節(jié)點的鄰居節(jié)點可能向其或已經(jīng)向其發(fā)送數(shù)據(jù)，節(jié)點自身也可能生成數(shù)據(jù)。因此，當(dāng)轉(zhuǎn)發(fā)延遲時間截至的數(shù)據(jù)時，攻擊者無法分辨出該節(jié)點當(dāng)前發(fā)送的是節(jié)點自身產(chǎn)生的數(shù)據(jù)還是中繼轉(zhuǎn)發(fā)的數(shù)據(jù)，也無法辨別正在發(fā)送的數(shù)據(jù)與之前哪個傳輸事件具有關(guān)聯(lián)關(guān)系。這樣，中繼轉(zhuǎn)發(fā)的數(shù)據(jù)就能夠隱藏在節(jié)點自身的數(shù)據(jù)、鄰居節(jié)點的數(shù)據(jù)或其他節(jié)點要求中繼轉(zhuǎn)發(fā)的數(shù)據(jù)中了。

考慮一種最壞的情況，當(dāng)數(shù)據(jù)到達(dá)中間節(jié)點時，其緩沖區(qū)為空。如果在該數(shù)據(jù)的延遲時間內(nèi)，網(wǎng)絡(luò)沒有產(chǎn)生通信量，即沒有其他數(shù)據(jù)傳輸事件發(fā)生，節(jié)點自身也沒有產(chǎn)生感知數(shù)據(jù)，當(dāng)數(shù)據(jù)被轉(zhuǎn)發(fā)時，攻擊者就能夠?qū)⑦@兩個傳輸事件成功關(guān)聯(lián)起來。由于PRESH機(jī)制在上述情況下無法隱藏數(shù)據(jù)傳輸事件之間的關(guān)聯(lián)關(guān)系，文獻(xiàn)[8]對其進(jìn)行擴(kuò)展，引入了多次延遲，即當(dāng)數(shù)據(jù)的延遲時間截止時，如果發(fā)生最壞的情況，就將數(shù)據(jù)再進(jìn)行一次或多次延遲，這種保護(hù)機(jī)制稱為擴(kuò)展概率重塑保護(hù)機(jī)制（extended probabilistic reshaping，exPRESH）。

2.2 RCAD

為了保護(hù)WSN的時空相關(guān)性隱私數(shù)據(jù)，通過建模并分析三種不同類型的WSN場景，文獻(xiàn)[10]提出通過路由中間節(jié)點緩沖區(qū)的緩沖延來隱藏感知數(shù)據(jù)的產(chǎn)生時間。由于靠近匯聚節(jié)點的中間節(jié)點與離匯聚節(jié)點較遠(yuǎn)的中間節(jié)點相比，所需要的緩沖區(qū)存儲空間更大，而且當(dāng)新的數(shù)據(jù)到達(dá)時，其緩沖區(qū)很可能是滿的。因此，需要對延遲的分布進(jìn)行調(diào)節(jié)，使之能夠平衡通信速率和可用緩沖區(qū)。因此，文獻(xiàn)[10]提出了一種速率控制自適應(yīng)延遲機(jī)制（Rate-Controlled Adaptive Delaying mechanism）。RCAD的主要思想是緩沖區(qū)搶占策略，即當(dāng)數(shù)據(jù)到達(dá)時，如果緩沖區(qū)是滿的，中間節(jié)點就選擇一個數(shù)據(jù)（稱為犧牲數(shù)據(jù)）立即發(fā)送出去。搶占策略能夠根據(jù)緩沖區(qū)的狀態(tài)自動調(diào)整延遲分布參數(shù)μ，從而調(diào)整延遲的分布。文獻(xiàn)[10]提出了四種不同的緩沖區(qū)搶占策略。

擁有最長延遲時間的最先傳輸（Longest Delayed First）。在LDF中，犧牲數(shù)據(jù)是擁有最長延遲時間的數(shù)據(jù)。這種搶占策略能夠確保每個數(shù)據(jù)都會在緩沖區(qū)延遲一定的時間，其實現(xiàn)要求中間節(jié)點記錄每個數(shù)據(jù)的達(dá)到時間。

剩余延遲時間最長的最先傳輸（Longest Remaining Delay First）。在LRDF中，犧牲數(shù)據(jù)是擁有最長剩余延遲時間的數(shù)據(jù)。首先把將會在緩沖區(qū)延遲最長時間的數(shù)據(jù)發(fā)送出去有助于減輕緩沖區(qū)的緩存壓力。由于中間節(jié)點已經(jīng)記錄了每個數(shù)據(jù)的剩余延遲時間，這種策略的實現(xiàn)較簡單。

擁有最短延遲時間的最先傳輸（Shortest Delay Time First）。在SDTF中，犧牲數(shù)據(jù)是擁有最短延遲時間的數(shù)據(jù)。先發(fā)送延遲時間最短的數(shù)據(jù)，不會影響網(wǎng)絡(luò)的整體性能。這種策略的實現(xiàn)要求中間節(jié)點記錄每個數(shù)據(jù)的延遲時間。

剩余延遲時間最短的最先傳輸（Shortest Remaining Delay First）。在SRDF中，犧牲數(shù)據(jù)是剩余延遲時間最短的數(shù)據(jù)。在這種搶占策略中，中間節(jié)點的延遲時間是最接近原始分布的。跟LRDF一樣，這種策略的實現(xiàn)較為簡單。

2.3速率隱私數(shù)據(jù)保護(hù)技術(shù)

為了保護(hù)無線傳感器網(wǎng)絡(luò)的時空相關(guān)性隱私數(shù)據(jù)，文獻(xiàn)[4]首次提出了速率隱私保護(hù)的概念，針對傳感器節(jié)點數(shù)據(jù)產(chǎn)生速率隱私保護(hù)問題，基于中間節(jié)點緩沖區(qū)的延遲轉(zhuǎn)發(fā)提出了一種速率隱私保護(hù)機(jī)制，其主要工作原理如下：

所有傳感器節(jié)點單獨產(chǎn)生感知數(shù)據(jù)（大小相同），將數(shù)據(jù)通過逐跳路由的方式發(fā)送給基站。位于源節(jié)點和基站之間的路由中間節(jié)點對途經(jīng)的數(shù)據(jù)進(jìn)行緩沖延遲，每個中間節(jié)點維護(hù)一個大小為q的緩沖區(qū)。通過使用概率分布策略如平均分布，將緩沖策略由先進(jìn)先出變換為一種隨機(jī)方法：中間節(jié)點接收到一個數(shù)據(jù)后，不是將其存入緩沖隊列的最后，而是隨機(jī)均勻的存入緩沖區(qū)的空閑緩沖槽。隨機(jī)延遲一段時間后，將緩沖隊列的第一個數(shù)據(jù)發(fā)送出去，延遲時間遵循具有參數(shù)?的指數(shù)分布。

3 性能分析與比較

下面，本文從隱私性、精確性、延遲時間和能量消耗四個方面對上述三種時空相關(guān)性隱私數(shù)據(jù)保護(hù)技術(shù)的性能進(jìn)行分析，如表1所示。其中，隱私性指保護(hù)技術(shù)提供的隱私保護(hù)的級別[11]；精確性指基站所獲取數(shù)據(jù)的精確性和基站對數(shù)據(jù)的可獲取性（例如，數(shù)據(jù)能否被發(fā)送給基站）；延遲時間指數(shù)據(jù)傳輸在中間節(jié)點的計算時間和通信時間；能量消耗指數(shù)據(jù)傳輸所需的額外能量消耗。

從表1可以看出，盡管這三種技術(shù)所保護(hù)的隱私數(shù)據(jù)不同，但都利用了路由中間節(jié)點緩沖區(qū)的緩沖延遲和中繼轉(zhuǎn)發(fā)功能對數(shù)據(jù)進(jìn)行延遲和再轉(zhuǎn)發(fā)，從而隱藏并保護(hù)隱私數(shù)據(jù)。其中，exPRESH和RCAD的精確性和延遲時間都受WSN網(wǎng)絡(luò)通信量強度的影響。RCAD和速率隱私保護(hù)技術(shù)的精確性都受中間節(jié)點緩沖區(qū)大小的影響。從能量消耗來看，除exPRESH之外，另外兩種技術(shù)都有額外的能量消耗。

同時，本從保護(hù)對象、關(guān)鍵實現(xiàn)技術(shù)、優(yōu)勢、不足、已解決的問題和需要繼續(xù)研究的問題六個方面對這三種保護(hù)技術(shù)進(jìn)行分析和總結(jié)，如表2所示。

從保護(hù)對象來看，雖然都是針對WSN的時空相關(guān)性隱私數(shù)據(jù)進(jìn)行保護(hù)，三種技術(shù)的保護(hù)側(cè)重點不同。從實現(xiàn)的關(guān)鍵技術(shù)來看，三種技術(shù)都通過中間節(jié)點的緩沖區(qū)來實現(xiàn)隱私數(shù)據(jù)的隱藏和保護(hù)，但實現(xiàn)的具體方式和原理不同。從優(yōu)勢來看，exPRESH針對最壞的情況提出了處理機(jī)制，RCAD提出了四種不同的緩沖區(qū)搶占策略，速率隱私保護(hù)技術(shù)首次針對源節(jié)點產(chǎn)生感知數(shù)據(jù)的速率提出保護(hù)機(jī)制。從不足來看，由于延遲時間取決于通信量的強度，當(dāng)WSN的通信量很高時，exPRESH的網(wǎng)絡(luò)整體時延也會較高；RCAD的LDF和SDTF的實現(xiàn)較為復(fù)雜，需要消耗中間節(jié)點的額外能量；速率隱私保護(hù)技術(shù)只有簡單的原理闡述，未對網(wǎng)絡(luò)模型、數(shù)據(jù)模型和攻擊者的能力進(jìn)行定義。exPRESH通過自適應(yīng)分布式隨機(jī)延遲策略成功隱藏傳輸事件之間的關(guān)聯(lián)關(guān)系，還需要繼續(xù)研究延遲隊列空間的大小對保護(hù)機(jī)制性能的影響，以及緩沖隊列滿時的處理機(jī)制等。RCAD通過緩沖區(qū)搶占策略解決近基站節(jié)點高緩沖區(qū)需求的問題，還需要繼續(xù)研究數(shù)據(jù)到達(dá)時，緩沖區(qū)隊列為空時的處理機(jī)制。速率隱私保護(hù)技術(shù)需要繼續(xù)研究該機(jī)制的網(wǎng)絡(luò)模型和數(shù)據(jù)模型，并闡明攻擊者的攻擊能力，從而使該機(jī)制具有更強的針對性。

4 結(jié)束語

隨著時空相關(guān)性數(shù)據(jù)成為一種重要的WSN隱私數(shù)據(jù)，這類數(shù)據(jù)保護(hù)機(jī)制和保護(hù)技術(shù)的研究將成為未來WSN領(lǐng)域一個重要的研究課題。對于源感知節(jié)點數(shù)據(jù)發(fā)送速率隱私的保護(hù)來說，針對實時WSN速率隱私數(shù)據(jù)的保護(hù)將是未來的一個研究方向[4]。可以根據(jù)感知數(shù)據(jù)的時空相關(guān)性設(shè)計WSN的路由協(xié)議和算法，以減少網(wǎng)絡(luò)時延，并利用數(shù)據(jù)的時空相關(guān)性優(yōu)化WSN聚集和查詢協(xié)議的性能?？梢詫r空相關(guān)性隱私數(shù)據(jù)保護(hù)技術(shù)與位置隱私保護(hù)技術(shù)和身份隱私保護(hù)技術(shù)相結(jié)合，設(shè)計出更健壯的WSN隱私數(shù)據(jù)保護(hù)技術(shù)。最后，未來時空相關(guān)性隱私數(shù)據(jù)保護(hù)技術(shù)設(shè)計的關(guān)鍵是如何在隱私性、精確性和能耗之間做好平衡。

參考文獻(xiàn)：

[1] 范永健，陳紅，張曉瑩.無線傳感器網(wǎng)絡(luò)數(shù)據(jù)隱私保護(hù)技術(shù)[J].計算機(jī)學(xué)報，2012，35（6）：1143.

[2] KAMAT P， ZHANG Y， TRAPPE W. Enhancing source-location privacy in sensor network routing[C]. Proceedings of the 25th IEEE International Conference on Distributed Computing Systems （ICDCS05），2005.

[3] SZEWCZYK R.， MAINWARING A， POLASTRE J. An analysis of a large scale habitat monitoring application[C]// Proceedings of the 2nd International Conference on Embedded Networked Sensor Systems （SenSys04）. ACM Press， 2004： 214–226.

[4] Shafiei H， Khonsari A. Rate-Privacy in Wireless Sensor Networks-2013-infocom[C].IEEE Infocom 2013，Turin，Italy.

[5] OZTURK C， ZHANG Y， AND TRAPPE W. Source-location privacy in energy-constrained sensor network routing[C]. Proceedings of the 2nd ACM Workshop on Security of Ad Hoc and Sensor Networks （SASN04）， 2004.

[6] DENG J， HAN R， AND MISHRA S. Intrusion tolerance and anti-traffic analysis strategies forwireless sensor networks[C]. Proceedings of the IEEE International Conference on Dependable Systems and Networks （DSN）， 2004.

[7] DENG J， HAN R， AND MISHRA S. Countermeasures against traffic analysis attacks in wireless sensor networks[C]. Proceedings of the 1st IEEE/CreateNet Conference on Security and Privacy for Emerging Areas in Communication Networks （SecureComm）， 2005.

[8] Hong X， Wang P， Kong J.Effective probabilistic approach protecting sensor traffic[C]. IEEE Military Communications Conference （MILCOM）， 2005：169–175.

[9] Kesdogan D， Egner J， Buschkes R. Stop-and-go MIXes Providing Probabilistic Security in an Open System[C]. Second International Workshop on Information Hiding （IH'98）， Lecture Notes in Computer Science 1525， 1998： 83-98.

[10] Kamat P， Xu W， Trappe W， et al. Temporal privacy in wireless sensor networks-Theory and practice[J]. ACM Transactions on Sensor Networks， 2009，5（4）.

[11] Li Na， Zhang Nan， Das S K， et al. Privacy Preservation in Wireless Sensor Networks： a State-of-the-art Survey[J]. Ad Hoc Networks， 2009， 7（8）： 1501-1514.