無線傳感器網中基于隱私同態的數據聚合方案

劉雪艷，李戰明

(1.蘭州理工大學電氣工程與信息工程學院，蘭州 730050;2.西北師范大學數學與統計學院，蘭州 730070)

1 概述

無線傳感器網絡(Wireless Sensor Network，WSN)由大量傳感器節點組成，彼此通過無線鏈路進行通信，能夠實時監測、感知和采集網絡分布區域內的各種環境或監測對象信息，并對這些信息進行初步處理，然后將結果送往遠方的基站進一步處理［1］。WSN不需要固定網絡支持，具有快速展開等特點，廣泛應用于工業、交通、環境監測等領域。由于WSN能源受限、帶寬有限，因此通常在網內對所采集的數據進行聚合處理，再將聚合結果發送給基站以減少傳輸能耗［2-3］。

文獻［4］提出一個適用于WSN的有效聚合方案，很好地考慮了數據的完整性。文獻［5］提出了一個逐跳的數據聚合協議，在該協議中，相比較底層的節點［6］，高層節點得到更多的信任。文獻［7］提出一個無需持續密碼操作的WSN聚合算法，只有當一個欺騙行為被偵測到時，傳感器節點才采用一個密碼算法，該算法中引入拓撲約束構建了一個安全聚合樹(Security Aggregation Tree，SAT)，便于數據聚合監測。這些方案都很好地達到了聚合目的，但是，在聚合時都需要解密或者以明文的方式進行，不能保證數據的機密性［8］。

聚合WSN提供了更好的能量保護和高效的通信渠道，但是當傳感器網絡應用于敏感數據監測時，感知對象通常不希望與其生活、健康等隱私信息相關的數據暴露，因此，節點所采集的數據需對其他節點保密。然而，傳統加密體系不能在保證數據隱私性的同時支持數據聚合;基于安全多方計算等技術的隱私保護方案由于開銷昂貴也不適用于傳感器網絡［9］。數據聚合對傳感數據的隱私性保護提出了新的挑戰，加密/隱藏數據聚合成為學者們關注的熱點。

在加密機制［10-12］中，中間聚合器無需對加密數據進行解密，而是應用一些聚合函數完成加密數據聚合，因為聚合器不擁有數據發送者和基站(BS)間的共享秘鑰。在文獻［11-12］中，采用基于橢圓曲線的公鑰密碼隱藏節點的讀數，這些機制提高了WSN抵抗單個節點攻擊的保密性，因為捕獲單個節點或一個節點集并不能揭露只有BS知道的解密鑰。文獻［13］提出了能量有效的基于模式碼安全數據匯聚協議(ESPDA)。節點建立與原始數據對應的模式碼并將其發往簇頭，簇頭不需要對加密數據進行解密，根據模式碼實現了數據匯聚。但在該方案中，每個節點都發送模式碼導致能耗不夠理想，同時，沒有考慮到多跳轉發的數據認證，可能導致主動攻擊及DoS攻擊。文獻［14］提出端到端的加密算法，允許匯聚節點通過對密文的操作完成數據匯聚，保護了數據的隱私性，但該算法中指數級的計算復雜度導致過大的計算開銷，且該算法在唯密文攻擊下并不安全;文獻［15］提出安全的加密數據匯聚(Secure Encrypted Data Aggregation，SEDA)方案，該方案使用散列函數與異或操作在不對密文解密的情況下完成數據匯聚，保護了數據的隱私性且能耗較優。但該方案存在以下問題:(1)要求匯聚節點預裝入(N－1)對密鑰異或值，N為網絡中節點總數，網絡的可擴展性差;(2)沒有提供數據認證，不能抵抗主動攻擊及DoS攻擊等惡意行。

文獻［16-18］等協議使用了隱私同態(Privacy Homomorphism，PH)加密，聚合數據時不需要解密數據。文獻［16-17］采用對稱隱私同態加密機制對加密數據進行聚合。然而，DF方案［16］要求加/解密時采用相同的秘鑰，對于已知明文攻擊、捕獲攻擊和重放攻擊是脆弱的;在文獻［17］中，聚合數據時允許使用不同的加密鑰，基于加法模n操作，使用了一個擴展的一次性加密技術，但沒有解決一些實際問題。此外，對于專門的參數集，基于隱私同態的對稱秘鑰方案對于選擇明文攻擊是不安全的。文獻［18］提出的方案基于隱私同態依賴非對稱秘鑰，但需要一個單個的公鑰對分層的數據進行聚合。

本文提出一個具有數據隱藏功能的隱私同態聚合方案。該方案修改了DF的同態方案，在聚合前，利用只有加密節點和BS之間的共享秘鑰生成一個類似一次一密的掩蓋值，掩蓋要加密的數據，然后采用DF方法進行二次加密。在傳輸過程中，聚合器無需解密，而是采用隱私同態聚合收到的加密數據，之后傳給上一級聚合器。BS在收到聚合的機密數據后，利用和各節點共享的密鑰完成解密工作。在該方案中，每個節點加密的同時生成一個承諾，BS用于對數據的完整性和資源進行認證和故障診斷。對方案中采用的參數和各類攻擊進行安全性分析，且對方案達到的安全要求和存儲開銷與已有經典方案進行比較。

2 預備知識

2.1 基本假設

除了基站(Base Station，BS)，所有傳感器節點擁有有限的存儲、計算、通信能力和對攻擊的脆弱性，因此作如下假設:

(1)WSN中包含大量的資源受限的傳感器節點。

(2)存在一個強有力的基站BS。

(3)所有的傳感器節點是固定的。

(4)簇頭擁有較高的安全性，扮演聚合器的角色。

(5)每個傳感器節點只能發送數據給聚合器。

2.2 網絡模型

本文采用的網絡拓撲為基于簇的傳感器網絡，如圖1所示。在該體系結構中，只包含3類角色:基站BS，聚合器Agg和傳感器節點。整個網絡被劃分為非重疊的簇，每個簇有一個聚合器(或簇頭)，比傳感器節點功能強一些，從傳感器節點接收數據，聚合后傳給BS。

圖1 基于簇的網絡拓撲

2.3 攻擊模型

攻擊者的目的是閱讀、插入或者修改傳感器節點的讀數，所以，除了可以竊聽、截獲所有經過網絡的消息外，還具備以下知識和能力［19］:

(1)熟悉網絡中各節點的ID。

(2)具有密碼分析的知識和能力。

(3)熟悉加/解密、散列等密碼操作。

(4)由于鄰近節點可能得到相同的數據且攻擊者可以得到節點發送的密文信息，因此攻擊者可以發動已知明/密文攻擊。

(5)攻擊者可以捕獲一個或者一小部分傳感器節點，獲得相應的秘密信息。

(6)攻擊者可以通過物理操作改變傳感器節點的讀數(比如加熱時的溫度升高)。

(7)攻擊者可以重放以前的合法消息或者假冒合法節點向聚合器發送虛假消息而發起主動攻擊。

3 基于隱私同態的數據聚合方案

文中符號說明如表1所示。

表1 符號說明

3.1 DF 方案

DF是一個適用于WSN，采用對稱密鑰的隱私同態方案。

Parameter公鑰:整數d≥2，大整數M;私鑰:整除 M 的 g，r∈ZM和 r－1∈ZM。

Encryption將 m劃分為 d部分 m1m2…md，滿足:

3.2 本文方案

本文方案分為 Setup，Encryption，Aggregation和Decryption 4個階段，驗證工作在Decryption中根據情況進行。

Setup公鑰:整數d≥2，大整數M;私鑰:整除M的數 g，r∈ZM和 r－1∈ZM;BS為每個節點 Si隨機生成共享秘鑰 si，選擇 2個單向函數，H:{0，1}*×ZM→ZM，τ:ZM→ZM，將 si，r，τ()和 H 預先裝入節點Si，i=1，2，…，n。

Encryption Si第一次加密時計算種子掩蓋值=H(IDi||si)，然后在每次加密前計算，隨后刪除

Aggregation Aggk聚合收到的l個消息:

(1)如果式(1)相等，則解密:

然后，判斷m是否屬于某個既定的現實意義區間［L，R］。如果屬于該區間，則接受;否則利用式(2)解密各簇的值mk，再次判斷mk是否屬于區間［L，R］，根據情況可以追蹤到每個節點，從而判斷哪個節點被捕獲或者發生其他故障問題。

(2)如果式(1)不相等，BS根據式(1)驗證各個簇值的正確性，從而發現有問題的簇，進而多次利用式(1)判斷有問題的節點，當然對于驗證通過的簇，還要進行和情況(1)類似的mk判斷。

4 安全性分析

安全性分析主要針對2.3節的攻擊模型進行，并在安全要求和存儲開銷方面與已有方案進行比較。

4.1 相關攻擊分析

相關攻擊分析具體如下:

(1)選擇明/密文攻擊分析

方案中只涉及2類秘鑰:si和r，si是傳感器節點Si與BS之間的共享秘鑰，而r是所有節點和BS共享的秘鑰。它們在明/密文攻擊下的安全性如下:秘鑰si用于生成掩蓋值rui，在節點Si沒有妥協時，獲得si的難度等同于單項函數求逆運算，因此si是明/密文攻擊安全的。r存在于密文Ci中，要獲得它等同于大整數分解，因而是安全的。

(2)捕獲攻擊分析

一般地，傳感器網絡節點被捕獲難以避免，因此當網絡中一個或多個節點被捕獲，攻擊者可獲得節點的所有秘密信息。各節點與基站的配對秘鑰si是由基站隨機生成的，因此從捕獲節點無法獲取未捕獲節點與基站共享的秘鑰;其次，即使作為聚合器的簇頭被捕獲，它擁有的只是Ci||，因為也無法獲得未捕獲節點與基站的共享秘鑰，所以對于捕獲攻擊是安全的，同理中間人攻擊也是安全的。

(3)主動攻擊分析

在該方案中，節點每次將Ci||發往聚合器，都會通過更新進而更新modM，聚合器通過簡單比較，可以過濾重放消息;攻擊者冒充節點Si向聚合器發送虛假消息，攻擊者在不知道節點與基站的共享秘鑰si和r的情況下，偽造正確Ci||的概率是一個可忽略的量，BS通過散列計算可以將該消息過濾;即使攻擊者捕獲了一個或者多個節點，可以發送多個含有正確的消息，但是無法通過BS的mi檢測。綜上所述，該方案可以有效地抵抗主動攻擊。

(4)前向安全

4.2 方案比較

方案比較具體如下:

(1)安全性能分析

表2給出了本文方案與SDAP、SEDA方案的安全性比較。本文方案具有較高的安全性。每個節點發送的中包含每次更新的，保證了數據的完整性和新鮮性，并且提供承諾用于認證;采用該方案，類似于Sybil的攻擊都會被抵抗;因為每個簇頭即為聚合器，所以可用性很容易滿足。

表2 安全性能比較

(2)存儲開銷分析

設節點ID的長度為2 Byte，秘鑰長度為8 Byte，單項函數存儲開銷為h1，簇內節點數目為l，n表示網絡內節點總數，其他開銷為x。

表3給出了本文方案與SDAP、SEDA方案的存儲開銷比較。在本文方案中，每個節點需要預先裝入ID、與基站的配對秘鑰si和r，單項函數τ()和H，簇頭不需要預裝信息。在SDAP方案中，每個節點需要預裝入ID、與簇內節點的(l－1)個配對秘鑰，2個單項函數fg()和H，簇頭也是普通傳感器根據簇策略生成，且為了安全需要不時變動，所以，簇頭存儲的信息量和節點的信息量是一樣的。在SEDA方案中，每個節點需要預裝入ID、與基站的配對秘鑰及單項函數f()，且每個簇頭需預裝秘鑰序列L，其大小等同于(n－1)個秘鑰所需的空間，當n比較大時，傳感器節點無法承受該秘鑰序列的開銷。

表3 存儲開銷比較 Byte

(3)參數分析

5 結束語

為能在帶寬有限的、開放的、甚至是惡意的環境中進行數據的安全高效傳輸，數據聚合、保證數據的機密性或者用戶的隱私性都是十分重要的，綜合考慮兩方面因素可以提高WSN的傳輸效率，并且保證數據的隱私性和安全性。本文采用隱私同態機制，提出一個適用于傳感器網絡的數據聚合方案。該方案具有如下優點:(1)采用隱私同態機制，聚合器不需要解密收到的加密數據，以及額外的解密開銷;(2)聚合器沒有解密鑰，不可能獲得數據的任何信息，保證了數據的機密性;(3)方案中采用了一次一密的雙重加密機制，使得該方案有效抵抗明/密文攻擊和捕獲攻擊;(4)BS可利用節點提供的承諾完成認證和故障診斷;(5)將DF方案的多資源節點采用相同秘鑰擴展到采用不同密鑰，抵抗中間人攻擊。此外，本文對方案達到的安全要求與存儲開銷與已有經典方案進行了比較，由比較結果得出本文方案的安全性更高，存儲開銷明顯低于其他2個方案，尤其是簇頭無需任何存儲開銷。

［1］Akyildiz I F，Su W，Sankarasubramaniam Y.A Survey on Sensor Networks［J］.IEEE Communications Magazine，2002，40(8):102-114.

［2］Tang Xueyan，Xu Jianliang.Extending Network Lifetime for Precision Constrained Data Aggregation in Wireless sensor Networks［C］//Proceedings of the 25th IEEE International Conference on Computer Communications.Piscataway，USA:IEEE Press，2006:131-146.

［3］Hu Lingxuan，Evans D.Secure Aggregation for Wireless Networks［C］//Proceedings of Workshop on Security and Assurance in Ad hoc Networks.Orlando，USA:IEEE Press，2003:384-390.

［4］Przydatek B，Song D，Perrig A.SIA:Secure Information Aggregation in Sensor Networks［C］//Proceedings of SenSys’03.［S.l.］:IEEE Press，2003:255-265.

［5］Yang Yi，Wang Xinran，Zhu Sencun，et al.SDAP:A Secure Hop-by-Hop Data Aggregation Protocol for Sensor Networks［C］//Proceedings of MOBIHOC’06.［S.l.］:ACM Press，2006:1-30.

［6］Westhoff D，Girao J，Acharya M.Concealed Data Aggregation for Reverse Multicast Traffic in Sensor Networks:Encryption，Key Distribution and Routing Adaptation［J］.IEEE Transactions on Mobile Computing，2006，5(10):1417-1431.

［7］Wu K，Dreef D，Sun B，et al.Secure Data Aggregation Without Persistent Cryptographic Operations in Wireless Sensor Networks［J］.Ad Hoc Networks，2007，5(1):100-111.

［8］Ozdemir S.Secure，Reliable Data Aggregation for Wireless Sensor Networks［M］//Ichikawa H，Cho We-Duke，Satoh I.Ubiquitous Computing Systems，Tokyo，Japan:［s.n.］，2007:25-28.

［9］He W，Liu X，Nguyen H，et al.PDA:Privacy-preserving Data Aggregation in Wireless Sensor Networks［C］//Proceedings of the 26th IEEE International Conference on Computer Communications.Piscataway，USA:IEEE Press，2006:165-168.

［10］Girao J，Westhoff D，Schneider M.CDA:Concealed Data Aggregation in Wireless Sensor Networks［C］//Proceedings of ACM Workshop on Wireless Security.Philadelphia，USA:IEEE Press，2004:3044-3049.

［11］Mykletun E，Girao J，Westhoff D.Public Key Based Cryptoschemes for Data Concealment in Wireless Sensor Networks［C］//Proceedings of IEEE International Conference on Communications.Istanbul，Turkey:IEEE Press，2006:2288-2295.

［12］Sang Y，Shen H，InoguchiY，etal.Secure Data Aggregation in Wireless Sensor Networks:A Survey［C］//Proceedings of the 7th International Conference on Parallel and Distributed Computing，Applications and Technologies.Washington D.C.，USA:IEEE Computer Society，2006:315-320.

［13］Cam H，Ozdemir S.Energy-efficient Security Protocol for Wireless Sensor Networks［C］//Proceedings of the 58th Vehicular Technology Conference.New York，USA:IEEE Press，2003:2981-2984.

［14］Acharya M，Girao J.Secure Comparison of Encrypted Data in Wireless Sensor Networks［C］//Proceedings of the 3rd International Symposium on Modeling and Optimization in Mobile， Ad Hoc， and Wireless Networks.Trentino，Italy:IEEE Press，2005:47-53.

［15］Huang S I，Shiuhpyng S，Tygar J D.Secure Encrypted data Aggregation for Wireless Sensor Network［J］.Wireless Networks，2010，16(4):915-927.

［16］Domingo-Ferrer J.A Provably Secure Additive and Multiplicative Privacy Homomorphism［C］//Proceedings of the 5th International Conference on Information Security.London，UK:Springer-Verlag，2002:471-483.

［17］Castelluccia C，Mykletun E， Tsudik G.Efficient Aggregation of Encrypted Data in Wireless Sensor Networks［C］//Proceedings of the 2nd Annual International Conference on Mobile and Ubiquitous Systems:Networking and Services.［S.l.］:IEEE Press，2005:109-117.

［18］Ozdemir S.Concealed Data Aggregation in Heterogeneous Sensor Networks using Privacy Homomorphism［C］//Proceedings of IEEE International Conference on Pervasive Services.Istanbul，Turkey:IEEE Press，2007:165-168.

［19］郭江鴻，馬建峰.安全透明的無線傳感器網絡數據匯聚方案［J］.通信學報，2012，33(10):51-59.