葉 清薛 瓊吳 倩

（1.海軍工程大學(xué)信息安全系 武漢 430033）（2.中國人民解放軍92390部隊 廣州 510000）

1 引言

無線傳感器網(wǎng)絡(luò)［1］是一種具有信息采集、處理和傳輸功能的綜合信息系統(tǒng)，能夠?qū)崟r獲取目標(biāo)信息，并實現(xiàn)信息的交互，其在軍事、環(huán)境監(jiān)測預(yù)報、健康護理等多個領(lǐng)域具有非常廣闊的應(yīng)用前景［2］。無線傳感器網(wǎng)絡(luò)由于無線通信方式及自身資源受限等原因容易遭受各種安全威脅，其中源節(jié)點位置隱私問題已成為制約其實際部署應(yīng)用的主要障礙之一。無線傳感器網(wǎng)絡(luò)具有不可控的環(huán)境因素，傳感器節(jié)點的資源限制、拓撲結(jié)構(gòu)的限制等特性。同時在實際應(yīng)用中，無線傳感器網(wǎng)絡(luò)往往處于無人維護、條件惡劣的環(huán)境中，這將導(dǎo)致其面臨著多種潛在的安全威脅和攻擊破壞。

在無線傳感器網(wǎng)絡(luò)結(jié)構(gòu)中，散落在監(jiān)測環(huán)境中的源節(jié)點負責(zé)采集數(shù)據(jù)，然后把數(shù)據(jù)以多跳的方式沿路由路徑傳輸給匯聚節(jié)點，攻擊者可能會沿著這一過程形成的傳輸路徑從匯聚節(jié)點反向追蹤到源節(jié)點。在事件監(jiān)測的傳感網(wǎng)絡(luò)應(yīng)用中，事件的源位置具有相當(dāng)高的敏感性，是一項非常重要的信息。由于無線傳感器網(wǎng)絡(luò)自身獨有的特點，傳統(tǒng)的匿名性技術(shù)不適用于無線傳感器網(wǎng)絡(luò)中。攻擊者有能力對無線通信進行監(jiān)聽，在不破壞節(jié)點、不破壞數(shù)據(jù)分組內(nèi)容、不擾亂網(wǎng)絡(luò)正常工作的情況下通過流量分析、逐跳回溯等方式定位到源節(jié)點。因此，如何保護源節(jié)點位置隱私是一個值得研究的問題。自O(shè)zturk等［3］最開始提出無線傳感網(wǎng)節(jié)點位置隱私保護開始，無線傳感器源節(jié)點位置隱私保護問題已經(jīng)得到國內(nèi)外學(xué)者的重視，在基于隨機路由策略、幻象路由策略、垃圾包策略、仿源節(jié)點策略等方面提出了許多很好的方案［4］。

2 基于隨機路由策略的源節(jié)點位置隱私保護

隨機路由策略的原理是數(shù)據(jù)包在無線傳感網(wǎng)絡(luò)中的路由是隨機的，不是每一次傳輸都是從源節(jié)點方向向著匯聚點方向轉(zhuǎn)發(fā)。為了很好地抵御攻擊者的流量分析和逐跳反向追溯攻擊，“隨機步”應(yīng)是完全隨機。在單純的隨機步路由里，節(jié)點的所有鄰居節(jié)點被選為下一跳的概率是均勻分布的，節(jié)點有可能選擇任何一個鄰居節(jié)點作為下一跳，即使有可能該鄰居在本輪數(shù)據(jù)發(fā)送過程中已經(jīng)轉(zhuǎn)發(fā)過該數(shù)據(jù)包。如果節(jié)點轉(zhuǎn)發(fā)數(shù)據(jù)包給已經(jīng)參與過數(shù)據(jù)包轉(zhuǎn)發(fā)的鄰居節(jié)點，它們就形成了數(shù)據(jù)包循環(huán)，這樣不僅減輕了抵御攻擊的能力，而且由于有些節(jié)點反復(fù)參與數(shù)據(jù)包的接收與發(fā)送導(dǎo)致能耗的劇增。

Ozturk等［3］提出基于隨機漫步思想的“幽靈路由”源位置隱私保護協(xié)議，該協(xié)議分為2個階段：數(shù)據(jù)分組首先進行隨機漫步h跳后到達一個偽信源節(jié)點；隨后開始進入第二個階段，數(shù)據(jù)分組將從偽信源節(jié)點通過泛洪或者最短路徑到達基站。Kamat等［5］引進定向隨機步方法作為其源位置隱私保護策略的一部分，并提出定向隨機步方法—基于跳數(shù)的定向隨機步。數(shù)據(jù)包從一個節(jié)點轉(zhuǎn)發(fā)到另一個節(jié)點的距離稱為一跳，節(jié)點把基站的跳數(shù)小于或等于自己到基站的跳數(shù)的鄰居節(jié)點放在一個集合，到基站的跳數(shù)多于自己的放在另一個集合，節(jié)點隨機選取其中一個集合再在該集合隨機選取一個節(jié)點作為下一跳。Zhang等［6］認為基于跳數(shù)的定向隨機步的隨機性并不強，提出了基于區(qū)域的自適應(yīng)定向隨機步，節(jié)點根據(jù)四個方向?qū)⒆约旱泥従蛹罢O到哪分成相應(yīng)的四個集合，再按照自適應(yīng)算法決定下一個隨機步。Wei等［7］實用了一種基于角度的隨機步方法，節(jié)點的隨機步取決于自己和下一跳鄰居以及基站三點構(gòu)成的以基站為頂角的角度。針對具有局部流量分析行為的逐跳反向攻擊者，趙澤茂等［8］提出基于隨機角度和概率轉(zhuǎn)發(fā)的源位置隱私保護路由協(xié)議RAPFPR。該協(xié)議主要分為兩個階段：真實源節(jié)點根據(jù)隨機角度和距離的有向路由階段，幻影節(jié)點到基站的概率轉(zhuǎn)發(fā)路由階段。協(xié)議產(chǎn)生的幻影節(jié)點能夠很好地均勻分布在真實源節(jié)點周圍，且采取概率轉(zhuǎn)發(fā)路由大大減少了重合路徑的產(chǎn)生，增加了逐跳反向攻擊的難度。易險峰等［9］提出一種新穎的追蹤時間受限的路由策略來有效保護源節(jié)點位置隱私保護，其主要核心是：源節(jié)點到sink節(jié)點的路由路徑是動態(tài)隨機產(chǎn)生與分布，而每次路由維持的時間小于攻擊者能夠追蹤到幻象節(jié)點的時間，使得攻擊者難以追蹤到幻象節(jié)點，更難以追蹤到真實源節(jié)點，從而提高了源節(jié)點位置的保護強度。張楠等［10］提出一種基于隨機角度的增強型源位置隱私保護協(xié)議EPURA。EPURA運用劃分幻影源子區(qū)域和隨機角度相結(jié)合的方法來選擇幻影節(jié)點，通過給節(jié)點設(shè)置可視區(qū)標(biāo)記字段來避免損耗路徑的產(chǎn)生，激發(fā)位的設(shè)置又能在很大程度上減少幻影節(jié)點到基站的重合路徑。為了更好地保護源位置隱私，黃北北等［11］提出一種新的源位置隱私保護方法，通過使用相鄰節(jié)點的斜率的反正切值來確定幻影路徑上下一跳節(jié)點選擇范圍，使得幻影源的選取在不暴露源位置方向信息的情況下能夠遠離真實源，且能夠生成更多不重復(fù)的幻影源，更靈活地控制幻影源的選取，使幻影源的分布較為均勻，從而能夠更好地提高源位置隱私保護的性能。Li等［12］提出一種三階段的隨機路由策略的源位置隱私保護方案，其中三個階段分別是指定向隨機路由、角度區(qū)域h跳路由和最短路徑路由階段。

3 基于幻象路由策略的源節(jié)點位置隱私保護

幻象路由策略的基本思想是：數(shù)據(jù)包并不是直接從源節(jié)點到基站，而是找一個中間節(jié)點將數(shù)據(jù)包的發(fā)送過程分成兩個階段，第一個階段是從源節(jié)點到中間節(jié)點的通信，第二個階段是數(shù)據(jù)包從中間節(jié)點發(fā)送到基站。此種策略就是要誤導(dǎo)攻擊者把中間節(jié)點當(dāng)成源節(jié)點，延長源節(jié)點的安全時間。策略的核心是幻象節(jié)點的選取方法，優(yōu)良的幻象源節(jié)點不僅具備干擾攻擊者的功能，而且即使幻象源節(jié)點被攻破也能讓源節(jié)點保持一段較長的安全時間。

Lightfoot等［13］提出STaR幻象路由協(xié)議，候選的幻象源節(jié)點全都限定在一個距離基站r到R的圓環(huán)內(nèi)，每一次源節(jié)點發(fā)送數(shù)據(jù)包之前都在該限定區(qū)域隨機選擇一個節(jié)點作為幻象源節(jié)點，該方法使得圓環(huán)內(nèi)的能量消耗太大，而外層的能量卻沒有得到有效利用。陳娟等［14］通過引入可視區(qū)的概念即距離真實源節(jié)點r跳內(nèi)的節(jié)點集合，提出基于源節(jié)點有限洪泛的增強性源位置隱私保護協(xié)議。該協(xié)議在源節(jié)點有限洪泛過程中標(biāo)記出可視區(qū)的節(jié)點，同時通過避開可視區(qū)的廣播策略，使得數(shù)據(jù)包在最短路徑路由過程能夠完全逃離可視區(qū)，該協(xié)議能夠產(chǎn)生遠離真實源節(jié)點且地理位置多樣性的幻像源節(jié)點。周玲玲等［15］提出一種有向等高度路由與幻影路由相結(jié)合的源位置隱私保護協(xié)議。數(shù)據(jù)包在進行幻影路由之前先進行h+r跳的有向等高度路由，之后再發(fā)起幻影路由過程，以避免失效路徑的產(chǎn)生，并增加有效路徑的數(shù)量。孫美松等［16］提出一種基于偽正態(tài)分布的幻影路由隱私保護方案。該方案的實施過程為利用隨機數(shù)機制計算幻影節(jié)點的隨機有向游走跳數(shù)；通過該機制可以增加幻影節(jié)點的位置分布多樣性與動態(tài)性，經(jīng)概率轉(zhuǎn)發(fā)路由機制將數(shù)據(jù)包從幻影節(jié)點轉(zhuǎn)發(fā)至匯聚節(jié)點，目的是降低重合路徑產(chǎn)生的可能性。周瞭永等［17］提出一種基于幻影路由的增強型源位置隱私保護協(xié)議，該協(xié)議通過一種扇形區(qū)域劃分方案以及扇形域中改進型幻影路由機制，較好地保護了源節(jié)點的位置隱私。該協(xié)議具有以下優(yōu)勢：面對較強攻擊者，不會發(fā)生方向信息泄露；相鄰時序產(chǎn)生的幻影節(jié)點間的距離及路由至相同幻影節(jié)點的可能性得到控制；產(chǎn)生數(shù)量眾多，分布多樣化的幻影節(jié)點；幻影節(jié)點與源節(jié)點的距離進一步增大。

4 基于垃圾包策略的源節(jié)點位置隱私保護

垃圾包策略主要思想是迷惑攻擊者，在正常的數(shù)據(jù)包通信中引入垃圾包，攻擊者不能從表面找出真正的數(shù)據(jù)包，因而攻擊者就難以找到源節(jié)點。攻擊者需花費更多的時間才能追蹤到源節(jié)點，網(wǎng)絡(luò)的安全得到保障。

Ouyang等［18］提出的環(huán)路陷阱協(xié)議就是利用了垃圾包保護網(wǎng)絡(luò)中的源節(jié)點。在搭建網(wǎng)絡(luò)環(huán)境階段，遵循特定的規(guī)則生成一些列環(huán)路，這些環(huán)路并不會馬上發(fā)揮作用，而是要等待被激活才能產(chǎn)生垃圾包。在數(shù)據(jù)包從源節(jié)點傳輸?shù)交镜穆酚蛇^程中，如果預(yù)先建立的環(huán)路上的節(jié)點正好在路由路徑上，那么該節(jié)點所屬的環(huán)路就會被激活，像發(fā)送正常的數(shù)據(jù)包一樣發(fā)送垃圾包。針對全局流量攻擊者，Yang等［19］提出隨機強健源節(jié)點匿名性概念，在此基礎(chǔ)上提出FitProbRate策略，網(wǎng)絡(luò)中的節(jié)點都按照一個服從某種確定分布的時間間隔發(fā)送垃圾包，收到真正的數(shù)據(jù)包后仍然維持原來的節(jié)奏發(fā)送，該策略具備良好的魯棒性。Luo等［20］提出一種垃圾包注入策略DPIS，該策略中，當(dāng)節(jié)點探聽到比自己離基站遠的鄰居節(jié)點有數(shù)據(jù)包轉(zhuǎn)發(fā)動作時，該節(jié)點根據(jù)自己的剩余能量依一定的概率廣播垃圾包，讓攻擊者竊聽到混亂的數(shù)據(jù)包發(fā)送。Chen等［21］提出動態(tài)雙向數(shù)策略DBT，在數(shù)據(jù)包從源節(jié)點到幻象節(jié)點的路由路徑上，離源節(jié)點比離基站近的轉(zhuǎn)發(fā)節(jié)點除了正常轉(zhuǎn)發(fā)數(shù)據(jù)包，還要按照一定的概率產(chǎn)生一個垃圾數(shù)據(jù)包轉(zhuǎn)發(fā)達h跳路程之遠，這樣在靠近源節(jié)點這一段形成了一個垃圾包樹。針對虛擬圓環(huán)節(jié)點失效這一問題，張江南等［22］提出基于假包的多個虛擬圓環(huán)策略，采取敵人的平均追蹤時間作為主要的衡量指標(biāo)，單個虛擬圓環(huán)陷阱路由協(xié)議策略可以獲得較長的安全時間，多個虛擬圓環(huán)策略可以獲得比單個虛擬圓環(huán)陷阱路由協(xié)議更優(yōu)越的效果。

5 基于仿源節(jié)點策略的源節(jié)點位置隱私保護

仿源節(jié)點策略的原理是在網(wǎng)絡(luò)布置階段，預(yù)先設(shè)定一些節(jié)點為假的源節(jié)點，網(wǎng)路運行階段，它們模仿源節(jié)點的行為，像源節(jié)點一樣產(chǎn)生網(wǎng)絡(luò)中的數(shù)據(jù)包流量。

Mehta等［23］提出周期采集和源模擬。在周期采集方法中，網(wǎng)絡(luò)有一個特定的周期指令，節(jié)點的周期指令的控制下發(fā)出數(shù)據(jù)包。這樣網(wǎng)絡(luò)中就會有節(jié)點以同樣的節(jié)奏發(fā)送數(shù)據(jù)包，攻擊者難以找到頭緒。源模擬方法是在網(wǎng)絡(luò)中布置一些特別的節(jié)點，稱為初始源節(jié)點，同時還有一個特別的指令令牌。網(wǎng)絡(luò)開始運行之后，指令令牌在網(wǎng)絡(luò)中隨機流動，接收到指令令牌的初始源節(jié)點就模仿真正的源節(jié)點。Yang等［24］提出了基于代理的過濾協(xié)議PFS和基于樹的過濾協(xié)議TFS，在網(wǎng)絡(luò)中設(shè)置若干代理點來實現(xiàn)對流量的過濾，在保證源節(jié)點安全的同時減少網(wǎng)絡(luò)流量。PFS的流程分為兩個階段：代理節(jié)點選取階段和執(zhí)行階段。當(dāng)代理節(jié)點接收到普通節(jié)點發(fā)來的消息時，先進行解密，如果是包含真實事件，則重新加密，放入消息發(fā)送隊列里，等待一定的緩沖時間再將其發(fā)送，如果是偽數(shù)據(jù)包，將立即丟棄。當(dāng)代理節(jié)點接收到其他代理節(jié)點的數(shù)據(jù)包時，則直接轉(zhuǎn)發(fā)。PFS與TFS的區(qū)別在于后者采用多層代理，代理節(jié)點按照樹形結(jié)構(gòu)來過濾其他代理節(jié)點發(fā)送的偽數(shù)據(jù)包。施佳琪等［25］提出一種周期性發(fā)送干擾數(shù)據(jù)的算法。網(wǎng)絡(luò)中的節(jié)點周期性地發(fā)送干擾數(shù)據(jù)包，將真實數(shù)據(jù)混淆在其中，攻擊者無法判斷真實數(shù)據(jù)的流向，從而保護源節(jié)點的安全，并在基礎(chǔ)上提出在每個節(jié)點中設(shè)立數(shù)據(jù)門限的思想，當(dāng)節(jié)點中的數(shù)據(jù)超過一定門限值，將根據(jù)一定策略暫緩發(fā)送干擾數(shù)據(jù)，從而防止網(wǎng)絡(luò)擁塞等狀況的出現(xiàn)，同時能平衡網(wǎng)絡(luò)的流量狀況，節(jié)省資源帶寬。

6 結(jié)語

廣泛應(yīng)用于目標(biāo)監(jiān)測的無線傳感器網(wǎng)絡(luò)，源節(jié)點位置的暴露將會直接威脅到目標(biāo)的安全性。因此，源節(jié)點隱私保護問題制約著無線傳感器網(wǎng)絡(luò)的大規(guī)模部署與應(yīng)用。目前源位置隱私保護研究尚存在以下幾個方面的問題：

1）基于隨機路由策略、幻象路由策略、垃圾包策略、仿源節(jié)點策略、網(wǎng)絡(luò)編碼策略的源節(jié)點位置隱私保護均是針對某種特定類型的攻擊而言，而實際應(yīng)用中，源節(jié)點可能會遭受到多種類型的攻擊，必然要將以上隱私保護策略有效集成使用，已達成更好的保護效果，而且其實現(xiàn)的復(fù)雜性將大大增加。

2）在假定無線傳感器網(wǎng)絡(luò)模型時，現(xiàn)今大多數(shù)源位置隱私保護策略都將網(wǎng)絡(luò)定位于平面網(wǎng)絡(luò)，而在無線傳感器的實際應(yīng)用過程中，更多的是分簇立體無線傳感器網(wǎng)絡(luò)模型；此外，現(xiàn)有的無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護方案大多以靜止網(wǎng)絡(luò)為模型提出來的，也就是說，一旦網(wǎng)絡(luò)部署完畢，傳感器節(jié)點的位置不會再變動。然而在具體應(yīng)用中，需要移動節(jié)點才能達成目的任務(wù)。

3）在針對流量分析攻擊的無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護中，絕大多數(shù)保護方案中單純考慮的是只有一個被監(jiān)測對象即單一源節(jié)點的情況，多源節(jié)點的位置隱私保護問題較少研究。

當(dāng)前無線傳感器網(wǎng)絡(luò)模型、攻擊者模型等都不斷地被擴充和完善，針對不同模型的協(xié)議方案也不斷提出，但仍有一些關(guān)鍵課題和熱點值得進一步研究。

1）無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私保護策略與其有限的能量之間的矛盾。無線傳感器網(wǎng)絡(luò)中的源節(jié)點能量有限，其計算能力也有限，這些因素就對一些較為復(fù)雜的隱私保護方法提出了制約，因此，如何找到一種平衡的方法達到兩全其美的目的需要進一步的研究和分析；

2）無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私安全評價標(biāo)準的制定。無線傳感器網(wǎng)絡(luò)源節(jié)點位置隱私的研究處于理論成熟階段，一個對于位置隱私保護評價等級的制定對于接下來的工程實踐研究極為重要，通過統(tǒng)一的標(biāo)準可以從距離、安全時間等多個方面對源節(jié)點位置隱私的安全程度進行判斷；

3）對于層出不窮的新的源位置隱私獲取手段的預(yù)防。隨著無線傳感器網(wǎng)絡(luò)技術(shù)的發(fā)展，針對源節(jié)點位置隱私的獲取手段將更加豐富和復(fù)雜，因此，與之抗衡的可靠的源位置隱私保護機制研究更為關(guān)鍵。