WSN 时空相关性隐私数据保护

裴华艳，王焕民

(1.甘肃广播电视大学教务处，甘肃 兰州 730030;2.兰州交通大学机电技术研究所，甘肃 兰州 730070)

0 引言

无线传感器网络常用于医疗、生态和濒危物种保护等领域的监测，其采集的数据往往在时间和空间上具有关联关系。随着概率图、时间序列模型等现代关联推断技术的发展［1］，时空推断攻击已经成为一种重要的WSN 的攻击类型。为了防御这种攻击，Kamat等人［2］提出了一种自适应缓冲区算法，Hong 等人［3］提出了一种随机延迟策略，这2 种方法无法隐藏传感器节点产生数据的速率隐私数据;Shafiei 等人［4］提出了一种速率隐私保护方法，但是，这种方法可能会增加整个网络的延迟。为了完善上述方法的不足，本文基于MIX［5］思想提出一种新的时空相关性隐私数据保护机制，利用路由中间节点缓冲区的延迟转发功能隐藏数据在时空上的关联性，从而保护时空相关性隐私数据。

1 问题的提出

在被用于监测工厂生产流水线的无线传感器网络中［4］，流水线每完成一个产品，监控流水线的传感器节点就产生并发送一条消息给基站。对于竞争对手来说，工厂的产品生产速度是一个非常重要的信息，通过长期监控这些数据，竞争对手能够获取更有价值的信息，如推断出工厂的市场等。

同样的场景可以被转换到用于监控大熊猫生活习性的无线传感器网络中［6-7］，当大熊猫出现在某个传感器节点的数据感知范围内时，节点产生感知数据并发送给基站，数据发送事件说明大熊猫在某个时间出现在产生数据的源节点。如果攻击者能够将数据的产生时间与感知节点的空间物理位置关联起来，就能够跟踪大熊猫的活动踪迹，进而捕获大熊猫。

在上述2 种应用场景中，攻击者通过长期监控无线传感器网络的通信，能够获取大量通信数据，通过推断数据在时间和空间上的关联关系，就能够进行时空推断攻击，从而威胁WSN 的网络安全。为了防御这种攻击，必须对WSN 的时空相关性隐私数据进行保护。时间信息的保护包括隐藏不同节点在数据发送时间上的关联性、数据到达节点的时间和离开节点的时间之间的关联性、同一节点接收的数据和发送的数据之间的关联性等。空间信息的保护包括隐藏数据感知源节点的位置［6，8］，以及网络汇聚节点或基站的位置［9-10］等。

2 研究现状

目前，针对无线传感器网络时空相关性隐私数据保护的研究较少，Kamat 等人［2］通过建模并分析3 种不同类型的WSN 场景，提出了一种自适应缓冲区算法RCAD(Rate Controlled Adaptive Delaying)，其主要思想是缓冲区抢占策略。当中间节点接收到一条新数据时，如果缓冲区已满，就选择一条数据(称为牺牲数据)立即发送出去。当传输路径上的节点采用可变延迟时，在不影响隐私数据保护和网络性能的情况下，RCAD 能够减少缓冲区抢占的次数。

Hong 等人［3］指出，通过监控WSN 数据传输上下流的流量，攻击者能够跟踪数据的传输路径，从而找到基站。他们提出一种随机延迟策略来隐藏数据上下流在时间上的关联关系。在这种保护机制中，每个节点接收到数据后，将其随机延迟一定的时间，以打乱数据的时间顺序，从而隐藏数据间的关联性。但是，上述2 种保护方法都无法隐藏传感器节点产生数据的速率隐私数据。

Shafiei 等人［4］提出一种速率隐私保护方法，同样基于中间节点的缓冲区来随机延迟数据，与文献［2-3］不同的是，在这种保护方法中，中间节点每收到一条数据，不是将其放入缓冲队列的最后，而是将其随机存入空闲的缓冲槽。随机延迟一定时间后，中间节点将缓冲队列的第一条数据发送出去。由于每次都选取第一条数据发送出去，可能会导致某些数据在中间节点停留很久，从而增加整个网络的延迟。

3 本文方法

为完善上述方法的不足，针对无线传感器网络中的时空推断攻击，本文在MIX 思想［5］的基础上，提出一种新的WSN 时空相关性隐私数据保护机制。

3.1 网络体系结构

本文的研究基于文献［11-12］描述的无线传感器网络体系结构TinyOS 和TinyDB，如图1 所示。在这种体系结构中，以树形结构组织传感器节点，基站作为树的根节点［9］，所有传感器节点作为树的分支节点。每个节点拥有一定数量的孩子节点，孩子节点作为本节点的下流节点，父母节点作为其上流节点。每个节点处理来自所有孩子节点和自身的感知数据，将处理结果发送给父母节点。每个节点拥有一个活动感知范围v，如果2 节点间的距离小于v，就能够相互发送和接收数据。假定所有传感器节点使用MAC 层协议来避免数据冲突。

图1 WSN 网络体系结构

3.2 攻击者

为了更好地进行分析和研究，本方假定攻击者具有以下能力［9］:

攻击者的空间物理位置能够移动，能够捕获传感器节点，通过破坏节点获取其所有信息，但是，破坏一个感知节点需要一定的时间。同时，通过改编节点的程序，攻击者能够将其转换为恶意攻击节点。

攻击者拥有一个信号干扰范围d，d≥v。在d 的范围内，攻击者能够产生无线电信号干扰传感器节点或基站的正常信号。但是，攻击者没有整个传感器网络的全局信息，无法堵塞整个网络。如果整个传感器网络的范围是D，那么d≪D。

假定攻击者的数据感知和接收范围也是v，当距离小于v 时，攻击者能够接收到任何来自传感器节点或基站的数据。由于需要非常昂贵和敏感的设备，攻击者接收距离大于v 的传感器节点发送的数据很难。

3.3 数据传输加密

文献［13-16］研究了无线传感器网络的随机密钥分布机制，以在相邻感知节点间建立配对密钥，本文基于这些研究，通过在父母节点和孩子节点间建立配对密钥来保护传输数据的安全性，并验证父母节点与孩子节点之间的关系。

当父母节点与其所有孩子节点建立配对密钥后［9］，会建立一个单独的簇键值用于加密与孩子节点的数据传输。节点s 的簇键值KCs 是一个s 与其所有孩子节点共享的密钥。要建立KCs，s 需要产生一个随机数KCs，通过单播方式将KCs 发送给所有经过验证的孩子节点，并通过各自的配对密钥对此次通信进行加密。当孩子节点转发感知数据时，就可以利用KCs 对通信进行加密。

3.4 实现原理

在本文中，除了基站和边缘感知节点，位于传输路径上的所有中间节点都要维护一个缓冲区，源节点(孩子节点)感知到事件的发生，产生感知数据，数据经过多个中间节点的存储转发，最终由源节点到达基站。数据在中间节点传输的过程中，存在3 种时空相关性隐私数据，对应3 种不同的时空关联性:

1)父母节点和孩子节点在数据发送时间上的关联性;

2)数据到达节点的时间和离开节点的时间之间的关联性;

3)节点接收的数据和发送的数据之间的关联性。

对于第1 种关联性，如果父母节点接收到孩子节点发送的数据后立即转发出去，攻击者通过监控两者之间大量的通信时间间隔数据［9］，就能够推断出父母节点和孩子节点之间的层次结构和关联关系。为了防御这种推断攻击，必须解构父母节点和孩子节点在数据发送时间上的关联性。为了使攻击者无法从父母节点接收和发送数据的速率中推断出其与孩子节点的关联关系，需要使每条数据在父母节点停留一定的时间，父母节点接收到孩子节点发送的数据后，将其在缓冲区存储一定的随机延迟时间再转发出去。

对于第2 种和第3 种关联性，攻击者通过监控数据到达节点的时间和离开节点的时间之间的关联关系，就能够推断出数据的发送者。通过监控节点接收的数据和发送的数据之间的关联关系，就能够推断出节点之间的关联关系，从而获取节点之间的层次结构。为了防御第2 种推断攻击，本文引入Chaum 提出的MIX 思想［5］，使所有中间节点以相同的时间间隔发送数据，即为所有中间节点定义一个相同的延迟时间。但是，如果在一个固定的时间间隔内，只有一个数据被中间节点转发出去，通信关系就很容易被推断出来。因此，为了防御这2 种推断攻击，本文将中间节点的缓冲区划分为n 个缓冲槽，可同时存储n 条数据。在延迟时间内，父母节点接收孩子节点发送的数据，每接收一条数据，就将其随机存入空闲缓冲槽。由于为所有中间节点定义了相同的延迟时间，如果在延迟时间内，中间节点通过接收多个孩子节点发送的数据和自身产生的数据将所有缓冲槽填满，延迟时间到时，就同时将所有数据发送出去。这样，所有中间节点都以相同的速率发送数据，攻击者将无法通过探测数据发送速率进行推断攻击，更无法推断出接收数据和发送数据间的对应关系。但是，在这种情况下，传输延迟会依赖于孩子节点，在通信量比较低的情况下，为了凑够n 条不同的数据，传输延迟会很高。为了降低延迟，需要引入假消息［17］，如果在延迟时间内，中间节点接收的消息未能填满所有缓冲槽，节点自身将产生相应数量的、地址随机分布的假消息，将空闲缓冲槽填满，延迟时间到时，将所有数据同时发送出去。实现原理的数据处理流程如图2 所示。

图2 实现原理数据处理流程图

在无线传感器网络中，与离基站较远的中间节点相比，节点离基站越近，发送数据的频率越高，攻击者通过监控节点的数据传输速率，就能够跟踪推断基站的位置。本文为所有中间节点定义了相同的数据发送速率，使攻击者无法通过监控数据发送速率判断节点离基站的距离，进而获取基站的位置。

中间节点离基站越近，接收的数据就越多，需要的缓冲区就越大;离基站越远，接收的数据就相对较少，需要的缓冲区就较小。为了防御时空推断攻击，本文将所有中间节点的缓冲区大小设置为一样，这可能导致近基站节点的缓冲区容易满，从而产生一个问题，当近基站节点接收到一条数据时，如果缓冲区已满，就需要选取一条数据先发送出去，本文不建议丢弃数据。基于文献［2］的研究，本文选择将具有最长剩余延迟时间的数据最先发送出去。首先把将会在缓冲区延迟最长时间的数据发送出去有助于减轻缓冲区的缓存压力。由于中间节点已经记录了每条数据的剩余延迟时间，这种策略的实现较简单。

4 结束语

本文通过分析2 种不同的无线传感器网络应用场景，提出了WSN 时空相关性隐私数据的保护问题。在分析现有时空相关性隐私数据保护技术的基础上，针对3 种不同类型时空相关性隐私数据的保护，基于MIX 思想提出了一种新的保护机制，详细阐述了该机制的实现原理和数据处理流程，为WSN 时空相关性隐私数据的保护提供了一种新的思路。

［1］范永健，陈红，张晓莹.无线传感器网络数据隐私保护技术［J］.计算机学报，2012，35(6):1131-1146.

［2］Kamat P，Xu Wenyuan，Trappe W，et al.Temporal privacy in wireless sensor networks:Theory and practice［J］.ACM Transactions on Sensor Networks，2009，5(4):Article 28.

［3］Hong Xiaoyan，Wang Pu，Kong Jiejun，et al.Effective probabilistic approach protecting sensor traffic［C］// Proceedings of the 2005 IEEE Military Communications Conference (MILCOM).2005，1:169-175.

［4］Shafiei H，Khonsari A，Derakhshi H，et al.Rate-privacy in wireless sensor networks［C］// Proceedings of the 2013 IEEE Conference on Computer Communications Workshops.2013:67-68.

［5］Chaum D L.Untraceable electronic mail，return addresses，and digital pseudonyms［J］.Communications of the ACM，1981，24(2):85-88.

［6］Kamat P，Zhang Yanyong，Trappe W，et al.Enhancing source-location privacy in sensor network routing［C］//Proceedings of the 25th IEEE International Conference on Distributed Computing Systems.2005:599-608.

［7］Szewczyk R，Mainwaring A，Polastre J，et al.An analysis of a large scale habitat monitoring application［C］// Proceedings of the 2nd International Conference on Embedded Networked Sensor Systems.2004:214-226.

［8］Ozturk C，Zhang Yanyong，Trappe W.Source-location privacy in energy-constrained sensor network routing［C］//Proceedings of the 2nd ACM Workshop on Security of Ad Hoc and Sensor Networks.2004:88-93.

［9］Deng Jing，Han R，Mishra S.Intrusion tolerance and anti-traffic analysis strategies for wireless sensor networks［C］//Proceedings of the 2004 IEEE International Conference on Dependable Systems and Networks (DSN).2004:637-646.

［10］Deng Jing，Han R，Mishra S.Countermeasures against traffic analysis attacks in wireless sensor networks［C］//Proceedings of the 1st IEEE International Conference on Security and Privacy for Emerging Areas in Communication Networks.2005:113-126.

［11］Hill J，Szewczyk R，Woo A，et al.System architecture directions for network sensors［C］// Proceedings of the 9th International Conference on Architectural Support for Programming Languages and Operating Systems.2000:93-104.

［12］Madden S，Franklin M，Hellerstein J，et al.TAG:A tiny aggregation service for ad-hoc sensor networks［C］// Proceedings of the 5th Symposium on Operating Systems Design and Implementation.2002:131-146.

［13］Chan Haowen，Perrig A，Song D.Random key predistribution schemes for sensor networks［C］// Proceedings of the 2003 IEEE Symposium on Security and Privacy.2003:197-213.

［14］Du Wenliang，Deng Jing，Han Y，et al.A pairwise key predistribution scheme for wireless sensor networks［C］//Proceedings of the 10th ACM Conference on Computer and Communications Security.2003:42-51.

［15］Eschenauer L，Gligor V.A key-management scheme for distributed sensor networks［C］// Proceedings of the 9th ACM Conference on Computer and Communications Security.2002:41-47.

［16］Liu Donggang，Ning Peng.Establishing pairwise keys in distributed sensor networks［C］// Proceedings of the 10th ACM Conference on Computer and Communications Security.2003:52-61.

［17］Berthold O，Federrath H，Kohntopp M.Project anonymity and unobservability in the Internet［C］// Proceedings of the 2000 Conference on Computers Freedom and Privacy.2000:57-65.