付　帥　姜　奇　馬建峰

1(北京電子科技職業(yè)學院電信工程學院　北京　100176)2(西安電子科技大學計算機學院　西安　710071)

?

一種無線傳感器網絡隱私保護數據聚合方案

付帥1,2姜奇2馬建峰2

1(北京電子科技職業(yè)學院電信工程學院北京100176)2(西安電子科技大學計算機學院西安710071)

(ljhfs0803@126.com)

隱私保護是基于無線傳感器網絡(wireless sensor networks, WSNs)的數據聚合技術中最具挑戰(zhàn)性的安全問題之一.在WSNs環(huán)境中，現有的隱私保護數據聚合機制不能同時滿足安全性及節(jié)能性要求，存在計算復雜、通信量大及安全性低等缺點.提出一種能量有效的、抗數據丟失的隱私保護數據聚合方案，該方案利用2次不同形式的數據擾動同時實現了數據對基站及網內其他節(jié)點的隱私保護.首先，從防止基站入侵角度，給出了初次擾動數據設計方法；在此基礎上，為實現對鄰居節(jié)點的隱私保護，提出二次擾動數據的構造方法，并給出中間聚合節(jié)點及基站的聚合驗證操作流程.通過引入消息認證碼技術，有效抵御了多種外部攻擊.安全及性能分析表明，該方案可在不過多消耗節(jié)點能量的前提下保證節(jié)點的安全性，且具有較好的抗數據丟失能力，安全性及能效性均優(yōu)于現有方案.

無線傳感器網絡；數據聚合；隱私保護；數據擾動；能量有效

在無線傳感器網絡(wireless sensor networks, WSNs)中，由于傳感器節(jié)點能量有限，以減小傳輸數據量、延長網絡生命周期為目的的數據聚合技術常應用在WSNs中[1].而在WSNs早期的研究中，傳感器節(jié)點通常被部署在邊境、戰(zhàn)場等無人值守、復雜惡劣的環(huán)境中，因而大多不考慮人為因素，WSNs中數據的隱私安全問題也一直未得到充分的關注.但是，隨著研究的深入和技術的不斷成熟，WSNs逐漸擴展到交通管理、智能家居等諸多與人類日常生活密切相關的領域[2].傳感器節(jié)點能夠采集和記錄各種活動數據，且其采集的數據往往攜帶重要的敏感信息.在數據聚合過程中，中間節(jié)點需要對接收的數據進行處理并向上傳遞，從而可能獲取到相應的敏感信息.因此，人類在享受高科技帶來的便利及周到服務的同時也面臨著一場前所未有的隱私危機.目前，WSNs隱私問題已引起業(yè)界的廣泛關注，保護人類的隱私安全、保證被監(jiān)測目標的敏感信息不被未授權者獲取具有重要的研究意義.但是，隱私保護技術的應用在一定程度上增大了數據聚合機制的復雜性，因而造成節(jié)點能耗量的增加.所以，能量有效性成為一項在數據聚合過程中與隱私保護緊密相關又相互制約的問題.

為實現數據聚合機制的隱私性、能效性及健壯性，一個高效的隱私保護聚合方案應同時滿足以下安全及性能要求：1)隱私保護的有效性.首先，能夠確保每個節(jié)點的原始數據對基站或網絡中其他任意節(jié)點的隱私性；其次，在網絡中部分節(jié)點或基站被捕獲、且攻擊者能夠竊聽所有通信信息的情況下，高效的隱私保護數據聚合方案仍可以最大程度地降低未被捕獲節(jié)點的敏感數據泄露概率.2)算法效率.在資源受限的WSNs中，數據聚合機制的應用旨在降低網絡能耗及節(jié)省通信帶寬.高效的隱私保護數據聚合算法應在無明顯增加通信負載及計算代價的前提下達到隱私保護的目的.3)抗數據丟失能力.在WSNs中，數據丟失意味著部分節(jié)點未參與聚合.因此，對于一個高效的隱私保護數據聚合方案，基站應可以在移除與隱私保護相關的信息后正確提取出所有參與聚合的節(jié)點的最終聚合結果，不會因部分數據丟失而導致無法正確計算最終聚合值.目前，已有的典型數據聚合隱私保護機制并不能同時滿足以上安全及性能要求[3-6].文獻[3]提出了一種針對加性聚合函數sum的隱私保護數據聚合方案PDA(privacy-preserving data aggregation)，具體包括CPDA (cluster-based private data aggregation)和SMART(slice mix aggregate)兩種算法.CPDA是基于分簇的數據聚合算法，該算法計算過程復雜且計算量大.SMART則采用切分重組技術實現對聚合數據的隱私性保護：通過將私有數據切分為J個數據切片(piece)并分發(fā)給隨機選擇的鄰居節(jié)點來隱藏原始數據，其通信開銷和保護力度均隨J的增長而增長.文獻[4]采用了一種簡單的求和同態(tài)加密函數(additively homomorphic encryption, AHE).該機制存在以下缺陷：假如攻擊者獲取了隱藏數據及秘密數的范圍，則能夠推測出相應原始數據的范圍.另外，該機制不能滿足聚合數據對基站的隱私性，這一問題在基站妥協(xié)時尤為突出.文獻[5]提出的ESPART(energy-saving privacy-preserving data aggregation)方案借助了樹形結構本身的特性達到節(jié)省能耗、降低通信量的目的，延長了網絡的壽命.文獻[6]針對PDA方案計算量及通信量大的特點進行了改進，提出了一種基于復數代數表達式的隱私保護方案.這2種典型的隱私保護技術能夠保證聚合數據的安全且提高了算法的效率，但并未對其抗數據丟失能力進行評估.針對上述問題，本文提出了一種能量有效的隱私保護數據聚合方案，可在保證算法效率的前提下保護節(jié)點的數據隱私，且健壯性高.

1　預備知識

1.1消息認證碼

本文采用消息認證碼機制為數據完整性的實現提供保證.定義h(·)表示一個安全的加密Hash函數，則依據文獻[7]可在2n中構造帶密鑰的Hash函數MAC(m,k,n)=h(m‖k) mod 2n.其中，m,k,n分別表示消息內容、密鑰和可調整參數.若n=1，則MAC(m,k,1)可提供1 b的認證，即過濾錯誤消息的概率為12；若n=θ，則MAC(m,k,θ)可以更高的概率過濾錯誤數據.

1.2密鑰分配機制

為每個節(jié)點分配2種類型的密鑰：

1) 基于TinyECC的非交互式密鑰對.假設任一大素數p，E(Fp)為定義在有限域Fp上的橢圓曲線，設G為E(Fp)中階為素數q的基點.為每個傳感器節(jié)點Ni加載一個基于TinyECC的公私鑰對(Yi,xi)，其中，私鑰xi∈，公鑰Yi=xiG.對于任意2個傳感器節(jié)點Ni,Nj∈G(V,E),無論Ni和Nj能否直接通信，持有密鑰對(Yi,xi)的節(jié)點Ni和持有密鑰對(Yj,xj)的節(jié)點Nj都能建立一個安全的橢圓曲線Diffie-Hellman(ECDH)密鑰對[8]:

ki j=xiYj=xixjG=xjxiG=xjYi=kj i.

(1)

基于橢圓曲線離散對數問題的困難性，只有節(jié)點Ni和Nj可以共享同一密鑰.同時，建立的密鑰對是獨立的，即若節(jié)點Ni妥協(xié)，只會泄露Ni和Nj共享的密鑰ki j，而Nj和其他節(jié)點共享的密鑰kj x不受影響.設本文中每個節(jié)點Ni都與父節(jié)點Np建立了相應的安全ECDH密鑰對，分別應用在聚合過程的不同階段.

2) 基于隨機密鑰的分配方法[9].產生一個具有X個密鑰的密鑰池，每次基站發(fā)起聚合請求時，每個節(jié)點都會從該密鑰池中隨機選取α個密鑰k1,k2,…,kα作為私鑰.因此，一個節(jié)點可能與其他節(jié)點匿名共享密鑰池中的部分密鑰.在x?α時，任意2個節(jié)點匿名共享完全相同的私密鑰的概率非常小.在本文所提的聚合算法中，因構造擾動數據需要，應確保聚合過程中所選擇的任何密鑰都被至少1對節(jié)點匿名共享.

2　網絡及攻擊模型

2.1網絡模型

假設N個傳感器節(jié)點隨機分布在一個面積為S的區(qū)域內，且該傳感器網絡具有如下性質：1)網絡是靜態(tài)的，節(jié)點部署后不再移動，且每個節(jié)點擁有一個唯一的非零標識符(ID)；2)鏈路是對稱的，所有節(jié)點都可通過無線信道和鄰居節(jié)點進行通信；3)基站位置是固定的,且具有強大的計算能力和充足的能量.可將該傳感器網絡抽象為連通圖G(V,E),其中,|V|=|{N1,N2,…}|=N表示傳感器的節(jié)點數；E={(Ni,Nj)|Ni,Nj∈V}為節(jié)點間的通信鏈路.如圖1所示，本文中的傳感器網絡采用樹形結構.因重點關注數據聚合過程中的安全問題，且現已有諸多文獻對WSNs中構建路由樹問題進行了大量研究并取得了系列成果，所以不再對其進行詳細討論.

Fig. 1　Data aggregation mode in WSNs.圖1　傳感器網絡數據聚合模型

在聚合開始階段，基站首先向距離最近的根節(jié)點發(fā)出聚合請求消息，再由根節(jié)點通過孩子節(jié)點逐級向下發(fā)送到所有節(jié)點.聚合響應過程數據的發(fā)送順序則正好相反，由葉子節(jié)點開始，將數據通過父節(jié)點逐級向上傳送到基站.

典型的聚合函數有求最大、最小、均值及方差等，但這些函數均可以轉化為求和函數，所以求和是一種基礎聚合函數，實現求和函數的隱私保護則意味著可以實現該系列函數中的隱私保護.本文僅討論求和函數.定義加性聚合函數

y(t)=f(d1(m)+d2(m)+…+dN(m)),

其中，di(m)(i=1,2,…,N)表示節(jié)點i在第m次聚合過程中采集到的數據.

2.2攻擊模型

1) 隱私性攻擊.外部攻擊者試圖通過竊聽等手段捕獲節(jié)點間無線傳輸的信息，從而推測獲取其隱私數據所對應的明文信息.網內鄰居節(jié)點或基站遵循“誠實但好奇”模型.另外，如果網絡中的部分節(jié)點被攻擊者捕獲，攻擊者將會試圖利用妥協(xié)節(jié)點的私密信息推測原始數據；而當大量節(jié)點被攻陷時，攻擊者則會利用這些妥協(xié)節(jié)點發(fā)起共謀攻擊，試圖獲取網絡中的敏感信息.

2) 完整性攻擊.數據聚合過程面臨的完整性攻擊主要涉及3個方面：①外部攻擊者發(fā)起的注入錯誤數據攻擊；②節(jié)點被捕獲后，攻擊者利用獲取的節(jié)點內部信息對消息進行篡改或偽造；③攻擊者在捕獲節(jié)點間無線傳輸的消息后故意延遲發(fā)送發(fā)起的重放攻擊.我們認為少量被物理捕獲的普通傳感器節(jié)點對網絡不構成安全威脅，且僅依賴安全協(xié)議很難避免妥協(xié)節(jié)點的隱私數據不被泄露，所以重點關注外部攻擊節(jié)點對聚合結果的篡改或偽造，并設法使基站接受該錯誤消息，不考慮妥協(xié)節(jié)點對自身感知數據的修改.

3　高效的隱私保護數據聚合方案

為達到WSNs中隱私保護有效性、高效性及抗數據丟失能力的要求，本節(jié)設計了一種高效的隱私保護數據聚合方案.該方案將WSNs數據聚合過程劃分為聚合請求、密文構造和聚合及驗證3個階段.本節(jié)將對每一階段的實現過程進行詳細描述.

3.1聚合請求

根節(jié)點在接收到基站的聚合請求消息后重新確定自身索引值，并向所有孩子節(jié)點轉發(fā)該請求.節(jié)點聚合請求索引值的計算方法如下：對密鑰池中的任意密鑰kw，1)若節(jié)點Nj擁有密鑰kw，則Nj將其所有孩子節(jié)點索引值的第w位設置為1，以保證其孩子節(jié)點在計算返回的聚合結果時可以應用kw;2)若Nj沒有選取kw，但其父節(jié)點發(fā)送的請求消息中索引值的第w位為1(父節(jié)點選取了密鑰kw)，則Nj將任意選擇一個孩子節(jié)點，設定其請求索引值的第w位為1;3)若Nj及其父節(jié)點均未選取kw，則Nj發(fā)往所有孩子節(jié)點的請求消息中索引值的第w位均為0.具體算法表述如下：

算法1. 中繼節(jié)點請求索引值分配算法.

①Nj從父節(jié)點Nt接收聚合請求消息 (Rm,IXR,t)；

② ifNj為葉子節(jié)點 then

④ end if

⑤ for 密鑰池中任意密鑰kw(1≤w≤p) do

⑥ ifkw是節(jié)點Nj的私鑰 then

⑦ forNj的所有孩子節(jié)點Nchildrendo

⑨ end for

Nchildren；

Nchildren-Nq) do

同時，以λ=5，α=2為例，圖2給出了聚合請求轉發(fā)過程中索引值的計算示例.

Fig. 2　Construction of the request index value.圖2　請求索引值計算示例

3.2密文構造

所有節(jié)點均接收到基站發(fā)來的聚合請求后，由葉子節(jié)點開始，通過父節(jié)點逐級向上將感知數據傳送到基站.為同時實現節(jié)點的原始數據對基站和網絡中其他任意節(jié)點的隱私性，每個節(jié)點均采用數據擾動的方法對提交數據進行2次不同形式的加密.具體實現過程如下：

1) 基礎密文構造.在一些特定環(huán)境中，傳感器節(jié)點采集的數據值往往在某個特定的范圍內，如用來采集人體溫度的傳感器的感知數據值通常在[34℃,42℃].所以，為防止攻擊者進行蠻力搜索，首先采用以下數據擾動方法對原始數據進行隱藏：

假定原始數據di為l(l為系統(tǒng)參數,單位：b)，節(jié)點選擇θ(單位：b)的秘密隨機數ri，θ為系統(tǒng)參數，決定了蠻力搜索的難度，得到密文

Ci=2l+lb N×ri+di.

(2)

執(zhí)行sum聚合后，得到的密文數據滿足以下特性：

因此，

(3)

應用該特性，基站可以在對所有節(jié)點選擇的隨機數未知的情況下計算得到最終的聚合結果.同時，從該特性還可以看出，節(jié)點只提交密文Cl是不安全的.假定葉子節(jié)點Nl向其父節(jié)點Np發(fā)送密文Cl，Np將接收到的密文Cl與自身密文Cp進行聚合，得到C′=Cl+Cp.利用上述特性，Np可獲取明文聚合值d′.然后，通過計算d′-dp即可獲取葉子節(jié)點Nl的原始數據dl.所以，只提交密文Cl不能滿足節(jié)點原始數據的隱私性要求.基于此，本文設計了一種構建索引值的數據擾動方案，通過對基礎密文添加擾動索引值完成聚合密文的構造，保證了單個節(jié)點數據對網絡中其他節(jié)點和基站的隱私性.

2) 聚合密文構造.每個節(jié)點在向其上級節(jié)點提交聚合數據前，采用一種構建索引值的方式對基礎密文數據進行二次擾動.3.3節(jié)將詳細描述其實現過程.

3.3聚合及驗證

1) 葉子節(jié)點的聚合.在聚合響應階段，葉子節(jié)點Nl應用其私鑰計算新的λ位聚合索引值.每個葉子節(jié)點按如下步驟進行操作：①若節(jié)點Nl擁有密鑰kw，則Nl將其索引值的第w位設置為1，其他位設置為0；②Nl將初步確定的λ位索引值與其接收的請求索引值進行與操作，得到聚合索引值IXA,l；③Nl應用該聚合索引值計算擾動數據Aw：若索引值的第w位為1，則Aw=H(Rm,kw).將擾動數據Aw與基礎密文Cl進行運算得到聚合密文Sl.具體算法表述如下：

算法2. 葉子節(jié)點聚合索引值分配算法.

① for 密鑰池中任意密鑰kw(1≤w≤p) do

② ifkw是節(jié)點Nl的私鑰 then

④ else

⑥ end if

⑧IXA,l=IXA,l0∧IXR,l；

⑨ forw=1 topdo

算法1運行結束后，Nl利用與父節(jié)點Np的獨立共享密鑰kl p生成消息認證碼macl p=MAC(Sl‖IXA,l,kl p,1)，并向其父節(jié)點發(fā)送消息：Nl→Np:Sl‖IXA,l‖macl p‖T.其中，T表示時間戳.

算法3. 中繼節(jié)點聚合索引值分配算法.

① forNq的任意孩子節(jié)點Npdo

②Nq從Np接收消息〈Sp,IXA,p〉；

③ end for

⑤Sq=Sq+Cq；

⑥ for 密鑰池中任意密鑰kw(1≤w≤p) do

⑦ ifkw是節(jié)點Nq的私鑰 then

⑩ else ifNq只有一個孩子節(jié)點Npthen

最后,Np生成消息認證碼macp q=MAC(Sp‖IXA,p,kp q,1),并向其父節(jié)點Nq發(fā)送消息：Np→Nq:Sp‖IXA,p‖macp q‖T.

結合圖2，圖3給出了聚合響應過程中索引值及擾動數據的計算示例.

3) 根節(jié)點的聚合.對于基站，當根節(jié)點Nr將數據S0傳送給基站后，基站首先應用ksr計算macsr.若macsr⊕macrs≠0，認為該數據出錯，直接放棄；否則，基站根據接收到的S0值計算其明文聚合結果.由式(3)可知：

(4)

Fig. 3　Construction of aggregation index value and perturbation data.圖3　聚合索引值及擾動數據計算

4　安全分析

4.1隱私性

2) 妥協(xié)節(jié)點攻擊.攻擊者可通過捕獲傳感器節(jié)點Ni獲得該節(jié)點的私鑰ki(i∈X)，并試圖通過計算Ai推測其他節(jié)點Nj的原始數據dj.假定除目標節(jié)點外，攻擊者共捕獲了Y個節(jié)點，且對目標節(jié)點的所有通信流進行了竊聽.用Qi(1≤i≤α)表示攻擊者對目標節(jié)點的第i個私鑰是未知的,則目標節(jié)點索引值泄露的概率為

(5)

攻擊者未獲取i個特定密鑰(i個密鑰不包含在被捕獲的Y個節(jié)點中)的概率可表示為

其中，X表示密鑰池的規(guī)模，α表示每個節(jié)點的私鑰數.由此可得，

(6)

由索引值的構建原理可知，對于每個傳感器節(jié)點持有的α個私鑰，該節(jié)點均與其父節(jié)點或子節(jié)點共享其中的部分密鑰.節(jié)點在構建索引值時使用的密鑰越多，攻擊者就越難破壞其隱私性.因此，最壞情況下的隱私泄露發(fā)生在葉子節(jié)點.假定一個葉子節(jié)點有φ個祖先，φ表示聚合樹的高度，其取值通常依賴于網絡規(guī)模、密度及連通度等特性.根據以下公式，可得葉子節(jié)點與其祖先共享的密鑰數：

(7)

進而，可得葉子節(jié)點索引值失效的概率：

(8)

(9)

所以，最壞情況下葉子節(jié)點隱私泄露的概率為

4.2完整性

對于所有的外部節(jié)點攻擊，每個節(jié)點Ni在提交數據時均利用與其父節(jié)點Nj的獨立共享密鑰ki j構造消息認證碼maci j.如果Ni向Nj發(fā)送的消息被外部攻擊者篡改或偽造，Nj將在驗證時發(fā)現錯誤，即maci j⊕macj i≠0.同時，節(jié)點在提交數據時采用了時間戳技術，如果網絡中存在重放攻擊，上級節(jié)點在利用消息認證碼對接收消息進行驗證時同樣能夠發(fā)現錯誤.

5　性能分析

5.1通信復雜度

5.2計算復雜度

和一些典型的聚合算法相比，本文所提算法并未引入額外的消息，而是在聚合結果的基礎上增加了λ位的索引值作為隱私保護信息.在該協(xié)議中，每個節(jié)點應用自己的私鑰計算其索引值.由于每個節(jié)點的私鑰數為α(α為常數)，且α

5.3能量消耗

本方案的能量消耗主要來自于構建非交互式密鑰對時昂貴的ECDH操作.但是，在本方案中每個傳感器節(jié)點均和其直接相連的節(jié)點構建一對獨立共享密鑰，且該構建過程僅在系統(tǒng)啟動時執(zhí)行一次.假定采用傳感器節(jié)點MICAz[10]，且應用160 b的橢圓曲線(可取得與1 024 b的RSA相同的安全級別[11]).由文獻[12]可知，在該平臺下建立一對非交互式共享密鑰所需能量僅為50.82 mJ.因此，該ECDH操作不會給系統(tǒng)造成較重的負擔.

表1給出了本方案與部分現有安全聚合協(xié)議各項性能指標的對比結果.其中，C表示簇規(guī)模.由表1可以看出，在相同的安全級別下，本方案具有更高的能效性.

Table 1　Properties Evaluation of Protocols

5.4仿真實驗

在覆蓋面積為200 m×200 m的區(qū)域內隨機部署1 000個節(jié)點，對所提算法的隱私性進行實驗觀察.假設密鑰池規(guī)模X=2 000，節(jié)點傳輸半徑為15 m，妥協(xié)節(jié)點的比例ρ=YX，且ρ≤30%.用β=αX表示節(jié)點選取私鑰數α占密鑰總數的比例.

1) 節(jié)點隱私泄露概率隨α，ρ的變化情況

Fig. 4　Probability of privacy disclosure with different compromised nodes.圖4　隱私數據泄露與妥協(xié)節(jié)點數的關系

由圖4可見，當妥協(xié)節(jié)點所占比例ρ較大時，隱私泄露的概率隨β的減小而降低.這是因為節(jié)點只能使用與其父節(jié)點或子節(jié)點共享的私鑰構建索引值.β的增加將帶來2方面的影響：①節(jié)點將會使用更多的密鑰構建索引值以生成更為復雜的擾動數據，進而增強了抵抗外部攻擊者的能力；②如果節(jié)點被捕獲，攻擊者將會獲取更多的敏感信息，從而增大隱私數據泄露的風險.從圖4可以看出，當妥協(xié)節(jié)點數超過15%時，負面影響增大，數據隱私泄露的概率將隨β的增加而增加；反之，正面影響起主導作用，數據隱私泄露的概率將隨β的增大而降低.由此可知，實驗結果與式(6)～(9)的理論分析結果保持一致.

2) 抗數據丟失能力

Fig. 5　Percentage of nodes actually participating in data aggregation.圖5　實際參與數據聚合的節(jié)點比例

當部分節(jié)點數據未被基站成功接收時，便會出現數據丟失情況.為對協(xié)議的該特性進行評估，本文采用TAG[13]進行對比.本文所提機制為每個節(jié)點的原始數據添加了部分擾動信息，所以可將其封裝為一個數據包以對丟包率進行評估，進而獲知參與節(jié)點的比率.實際上，數據丟失的概率會受很多因素影響，如節(jié)點密度、通信量等.本文對此進行了簡單分析，且將所有這些復雜因素抽象為一個基本決定因素——每位丟失(錯誤)率.如果一個消息中出現一個錯誤位，整個消息都要被丟棄.因此，本文定義位丟失(錯誤)率，并就實際參與聚合的節(jié)點數情況與TAG進行對比.由圖5可見，當每位丟失率較低時，本文所提方案與TAG(無任何隱私保護策略)中實際參與聚合的節(jié)點數相當.另外，因TAG中消息的規(guī)模約為200 B，為便于比較，圖5中X軸以每200 B丟失率為單位進行對比.

6　結　　論

本文對WSNs中聚合數據的隱私保護問題進行了分析，提出一種能量有效的隱私保護數據聚合方案.通過進行2次不同形式的數據擾動分別實現單個節(jié)點數據對基站及鄰居節(jié)點的隱私保護.安全及性能分析表明，所提方案可在不過多消耗節(jié)點能量的前提下保證節(jié)點的安全性，且具有較好的抗數據丟失能力，安全性及能效性均優(yōu)于現有方案.

[1]Ramesh R, Varshney P K. Data aggregation techniques in sensor networks: A survey[J]. Communications Surveys & Tutorials, 2006, 8(4): 48-63[2]Yick J, Mukherjee B, Ghosal D. Wireless sensor network survey[J]. Computer Networks, 2008, 52(12): 2292-2330[3]He Weibo, Nguyen H. PDA: Privacy-preserving data aggregation in wireless sensor networks[C]Proc of the 26th IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2007: 2045-2053[4]Castelluccia C, Mykletun E, Tsudik G. Efficient aggregation of encrypted data in wireless sensor networks[C]Proc of the 2nd Annual Int Conf on Mobile and Ubiquitous Systems in Computing, Networking and Services. Piscataway, NJ: IEEE, 2005: 109-117[5]Yang Geng, Wang Anqi, Chen Zhengyu, et al. An energy-saving privacy-preserving data aggregation algorithm[J]. Chinese Journal of Computers, 2011, 34(5): 792-800 (in Chinese)(楊庚, 王安琪, 陳正宇, 等. 一種低能耗的數據融合隱私保護算法[J]. 計算機學報, 2011, 34(5): 792-800)[6]Bista R, Kim D, Chang J. A new private data aggregation scheme for wireless sensor networks[C]Proc of the 10th Int Conf on Computer and Information Technology. Piscataway, NJ: IEEE, 2010: 273-280 [7]Mao Wenbo. Modern Cryptography: Theory and Practice[M]. Upper Saddle River, NJ: Prentice Hall, 2003: 118-160

[8]Colin B, Mao Wenbo, Kenneth G P. Key agreement using statically keyed authenticators[C]Proc of the 2nd Int Conf on Applied Cryptography and Network Security (ACNS’04). Berlin: Springer, 2004: 248-262[9]Eschenauer L, Gligor V. A key-management scheme for distributed sensor networks[C]Proc of the 9th ACM Conf on Computer and Communications Security. New York: ACM, 2002: 41-47 [10]Lu Rongxing, Lin Xiaodong, Zhu Haojin, et al. BECAN: A bandwidth-efficient cooperative authentication scheme for filtering injected false data in wireless sensor networks[J]. IEEE Trans on Parallel and Distributed Systems, 2012, 23 (1): 32-43[11]Mao Wenbo. Modern Cryptography: Theory and Practice[M]. Upper Saddle River, NJ: Prentice Hall, 2003: 212-236[12]Liu An, Ning Ping. TinyECC: A configurable library for elliptic curve cryptography in wireless sensor networks[C]Proc of the 7th Int Conf on Information Processing in Sensor Networks (IPSN’08). New York: ACM, 2008: 245-256[13]Madden S, Franklin M J, Hellerstein J M, et al. TAG: A tiny aggregation service for ad-hoc sensor networks[C]Proc of the 5th Symp on Operating Systems Design and Implementation. Berkeley, CA: USENIX Association, 2002: 131-146

Fu Shuai, born in 1986. PhD and assistant professor. Student member of China Computer Federation. Her main research interests include wireless network security, wireless sensor network and data aggregation.

Jiang Qi, born in 1983. PhD and associate professor. Member of China Computer Federation. His main research interests include protocol security analysis and wireless network security (jiangqixdu@gmail.com).

Ma Jianfeng, born in 1963. Professor and PhD supervisor at the School of Computer Science and Technology, Xidian University. Senior member of China Computer Federation. His main research interests include distributed systems, wireless and mobile computing systems, and network and information security (jfma@mail.xidian.edu.cn).

A Privacy-Preserving Data Aggregation Scheme in Wireless Sensor Networks

Fu Shuai1,2, Jiang Qi2, and Ma Jianfeng2

1(SchoolofElectronicandInformationEngineering,BeijingPolytechnic,Beijing100176)2(SchoolofComputerScienceandTechnology,XidianUniversity,Xi’an710071)

Privacy preservation is one of the most challenging problems on secure data aggregation in wireless sensor networks (WSNs). In WSNs, current data aggregation schemes with privacy preservation cannot meet the requirements of security and energy saving, and have several disadvantages such as complex computation, considerable communication load or low-security. An energy-efficient and data-loss resilient data aggregation scheme with privacy preservation is proposed in this paper. Two different forms of perturbation data are adopted to protect the data privacy of each node from being disclosed to the sink and any other nodes in the network. Firstly, from the point of view of sink intrusion, we describe the design scheme of initial perturbation data. On the basis of it, we present the construction method of second data perturbation and the operation procedures of aggregation validation for intermediate aggregators and the sink. To resist various external attacks efficiently, the technique of message authentication code is introduced. Security and property analysis show that the proposed scheme can ensure the security of nodes on the premise of lower energy power. In addition, it has a strong ability against data-loss, and both its security and energy efficiency perform better than current works.

wireless sensor networks (WSNs); data aggregation; privacy preserving; data perturbation; energy efficient

2015-06-09；

2015-11-13

長江學者和創(chuàng)新團隊發(fā)展計劃基金項目(IRT1078)；國家自然基金委員會-廣東聯(lián)合基金重點基金項目(U1135002)；國家自然科學基金項目(61272541，61202389)；中央高?；究蒲袠I(yè)務費專項資金(JY10000903001)；陜西省自然科學基礎研究計劃基金項目(2012JQ8043)；北京市教委教改課題(PXM2015_014306_000017)

TP393

This work was supported by the Program for Changjiang Scholars and Innovative Research Team in University (IRT1078), the Key Program of NSFC-Guangdong Union Foundation (U1135002), the National Natural Science Foundation of China (61272541,61202389), the Fundamental Research Funds for the Central Universities (JY10000903001), the Natural Science Basic Research Plan in Shaanxi Province of China (2012JQ8043), and the Teaching-Reform Project of Beijing Municipal Education Commission (PXM2015_014306_000017).