基于不規則環的源位置隱私保護路由協議

王慧嬌，吳 林，趙 晴，蔣 華

(桂林電子科技大學 廣西可信軟件重點實驗室，廣西 桂林 541004)

0 引 言

無線傳感器網絡(WSNs)[1-3]采用無線通信方式，網絡自組織且拓撲結構動態變化，缺少物理介質保護，在通信過程中容易被攻擊者監聽、攔截或修改。源節點的位置是監測目標的所在地，一旦被捕獲便會暴露監測目標。隱私泄露的安全問題引起了學術界的關注[4]。各種路由機制相繼被提出，例如隨機游走[5-7]、幻影路由[8-11]、多路徑路由[12-14]、環形路由[15,16]和匿名云[17]等。采用混合環、假源節點、假數據包和中間節點技術等來實現源位置隱私保護是近幾年的研究熱點。許多方案使用中間節點來實現源位置的隱私保護，但對中間節點的選取沒有進行限制，會導致基站位于中間節點和源節點的中間時，數據傳輸路徑橫穿基站，降低了隱私保護強度[18]。過多使用假源節點和假數據包，會帶來額外的能耗，導致網絡壽命快速衰竭。綜上所述，本文提出了基于動態不規則環的源位置隱私保護路由協議(RBIR)。對中間節點進行約束，避免出現路徑基站周圍的現象。采用中間節點加混合環技術，用一種方法來構建不規則環，環節點動態更新使更多的節點參與到不規則的構建中，延長網絡生命周期。RBIR保證了源節點在基站周圍也有較好的隱私保護效果的同時，網絡壽命比FRW[5]、SLP-R[7]、RSIN[15]和DRBR[16]更長。

1 系統模型

1.1 網絡模型

無線傳感器網絡通常部署在無人看守的野外環境來監測野生動物，由基站(B)和N個普通節點組成。感知到野生動物的節點稱為源節點(S)，源節點將收集的信息通過中間節點(I)逐跳轉發給基站。當一段時間內源節點無法感知到監測目標時，停止發送數據包。對網絡模型做如下假設：

(1)網絡中有且只有一個源節點和基站?；臼切畔⑥D發的唯一目的地，位于網絡中心，可以獲取全網節點的位置及身份信息?；揪哂械钟舻哪芰?，方案中無需考慮基站的資源情況。

(2)網絡中的節點同構，具有相同的配置，即每個節點擁有相同的通信半徑(R)、計算、存儲和初始能量。

(3)網絡中的節點擁有節點信息的知情權，例如節點自己的ID、剩余能量，鄰居節點的剩余能量、身份等。

(4)網絡中的數據包加密后再傳輸，確保攻擊者不能通過數據包的內容分析出源節點的位置等信息。

1.2 攻擊模型

獲取源位置信息是攻擊者的目標，本文采用的是有歷史記錄的逐跳回溯模型，有以下特征和假設：

(1)攻擊者的監聽范圍為節點通信半徑的2倍。假設攻擊者的監聽設備、能量、計算能力、存儲能力等都比普通節點好很多。攻擊者可以利用自身的優勢根據監聽到的信號強弱和角度分析出傳輸數據包的節點，并移至該節點繼續監聽。

(2)不干擾數據包的正常傳輸，不破壞傳感器節點設備，不破壞網絡的正常通信。

(3)攻擊者初始位置在基站，因為基站大量的數據包流量可以增加攻擊者偷聽數據包的概率。當數據包到達基站時，攻擊者開始反向追蹤直到找到源位置。攻擊者記錄訪問過的節點信息，若消息來自新的節點便移至新節點，反之，忽略該消息繼續在該位置監聽，假如一段時間內未監聽到消息，攻擊者回到先前節點。

2 方案設計

路由協議首先建立不規則環，然后根據源節點和基站的位置選擇中間節點的候選區域，對中間節點進行約束。最后，數據包從源節點依次傳輸到中間節點、不規則環節點、基站。

為了方便敘述，表1是RBIR主要符號的形式化描述。

2.1 不規則環的位置分析

RBIR中的全部數據包都會在不規則環上傳輸，然后再傳遞到基站。不規則環的位置對網絡的生命周期有較大影響，若不規則環靠近基站節點，傳輸數據包更多能耗更大，

表1 符號形式化描述

導致節點死亡，縮短網絡的生命周期；但不規則環距離基站較遠位于網絡邊緣，則會增加數據包的傳輸延遲。以確保環節點完成消息傳輸的總體能耗和延遲最低，應選擇合適的不規則環的位置。最佳位置的選取參考文獻[15]，假設每次傳輸的能量損耗ε與距離的平方成正比，即

ε=η×r2

(1)

如圖1給出網絡大小2s×2s的示意圖。圓環陰影部分代表不規則環區域，圓環陰影區域的黑色實線為均值，均值表示環的最佳位置。該區域內每個傳感器節點向環節點發送一條消息的總能耗可計算為

(2)

圖1 最佳不規則環

用u區能耗的8倍表示網絡的能耗，為了求出能耗最少時e的位置，令

(3)

可以推出

(4)

即e≈0.765s時傳輸數據包的能耗最少，則d1=0.765s-δ，d2=0.765s+δ。

在本文的仿真實驗中，也對最佳不規則環的位置進行了實驗驗證。

2.2 創建不規則環

通常在基于混合環的源位置隱私保護中采用節點到基站的距離構建混合環，但RBIR則采用新的方法構建不規則環來實現隱私保護。首先將網絡劃分為若干個扇區，然后在每個扇區中隨機選擇一個節點作為固定環節點，最后所有選中的節點構成不規則環。

如圖2所示,網絡被劃分為n個扇區，每個扇區的角度范圍為 [(n-1)×2π/n,n×2π/n]， 環節點到基站距離為 [d1,d2]。 每個扇區選擇一個節點link_i(i=1,2,…,n)，d1

圖2 不規則環

2.3 中間節點的選擇

考慮到基站和源節點的位置，對中間節點的候選區域進行限制，避免源節點到中間節點的路徑靠基站太近和中間節點在源節點周圍。因此，定義源節點周圍dmin距離為可視區域，基站周圍ds距離為危險區域。故中間節點的候選區域不包含危險區域和可視區域。

中間節點的選擇方案如圖3所示。以基站和源節點的連線為基線，基站為中心，將整個監測網絡劃分為3個面積相等的區域，分別為sec1，sec2和sec3。避免出現路由路徑橫穿基站周圍的情況，中間節點在sec1和sec3中除去可視區域與危險區域的部分中隨機選擇。假設基站 (x0,y0)， 源節點 (x1,y1)， 中間節點 (xd,yd)。 由于中間節點不在危險區域內，故滿足drand0≥ds

(5)

由于中間節點不在可視區域內，故滿足drand1≥dmin

(6)

候選扇區的角度范圍為 [0,2π/3] 和 [4π/3,2π]， 中間節點應該滿足式(7)

(7)

圖3 中間節點

2.4 基于不規則的環路由方案

不規則環和中間節點確定完后，需要設計數據包的路由方案。源節點將數據包轉發到中間節點后，選擇一個臨近的環節點為接入節點，開始在不規則環上進行數據包的傳輸。為了避免不規則環中傳輸路由與源節點到中間節點之間的路由存在路徑交叉的情況，對接入節點和不規則環上數據包傳輸方向和角度進行約束。網絡被劃分為3個區域，不規則環中的節點也分屬于sec1，sec2，sec3區域，中間節點出現在sec1或sec3區域中，接入節點為除去中間節點所在區域外，距離另外兩個區域最近的區域中隨機環節點。如圖4所示，中間節點在sec1區域，如果β<α， 接入節點在sec2區域的不規則環節點中(粗黑線路徑中的節點)隨機選擇一個。

圖4 接入節點

數據包在不規則環上的傳輸方向與中間節點到接入節點的方向保持一致。根據中間節點和接入節點所在區域不同，數據包在不規則環上有以下幾種傳輸方式。當中間節點位于sec1區域：①接入節點位于sec2區域，逆時針方向轉發；②接入節點位于sec3區域，順時針方向轉發。當中間節點位于sec3區域：①接入節點位于sec1區域，逆時針方向轉發；②接入節點位于sec2區域，沿順時針方向轉發。

設置閾值γ為數據在不規則環上轉發的角度， 0≤γ≤π。γ=0時為極端情況，表示數據包從接入節點直接傳輸到基站，沒有在環上進行傳輸。當數據包在不規則環上的傳輸角度大于γ時，數據包停止在環上傳輸轉而向基站進行傳輸。

2.5 環節點的動態更新

若不規則環的環節點固定，網絡運行一定周期后，環節點的能耗過大，過早衰亡，縮短了網絡的生命周期?？紤]以上情況，本文所提的RBIR采用動態更新不規則環。給定環節點最小能量閾值，當不規則環中的節點的剩余能量小于環節點最小能量閾值時，在該節點區域中更換剩余能量多的節點成為新的環節點，并通過基站廣播給網絡中其它節點，告知新的不規則環的環節點的相關信息，完成一輪環節點的動態更新。采用動態更新環節點的方法，可以讓更多的節點參與網絡傳輸數據包的工作，增加網絡的覆蓋率，平衡各節點的能耗，延長網絡的生命周期。

3 性能分析

網絡的安全性和通信開銷是衡量路由協議的重要指標，下面對這兩個指標進行分析。

3.1 網絡安全性

RBIR采用中間節點結合不規則環的技術，提供相對隨機的中間節點和更廣的路徑范圍來提高安全性。中間節點的候選區域根據源節點和基站的相對位置來確定，使中間節點連續多次為同一節點的幾率為零。中間節點距離源節點和基站都有一定的安全距離，當攻擊者追蹤到中間節點時，中間節點距離源節點的最短距離至少為dmin。 中間節點是每次數據傳輸時在候選區域內隨機進行選擇，故源節點發送數據包選擇同一路徑進行數據傳輸的概率接近于零。高度隨機的路由路徑和中間節點增加了路徑長度和路由路徑的分散性，減少了對手捕獲連續數據包的機會，提高了源位置安全性。另外，數據包在不規則環中進行轉發。隨機選取不規則環的接入節點，故同一節點作為接入節點的概率也微乎其微。同時在環中轉發的數據由于方向不同，將形成雙向的數據流量。當攻擊者采用回溯攻擊時，很難確定數據的來源和信息的轉發者。

RBIR與FRW相比，采用四階段路由來傳輸數據包，使傳輸路徑具有多樣性和復雜性，迷惑攻擊者使之無法清楚分辨消息的真正傳輸路徑。與SLP-R相比，采用有約束的選擇中間節點且結合動態的不規則環，使傳輸路由分散且隨機，增加攻擊者的回溯難度。與RSIN相比，有約束的選擇中間節點規避了源節點到中間節點的路徑橫穿基站周圍的情況。與DRBR相比，數據包在環上的轉發具有方向性，產生雙向的數據流量，混淆攻擊者的監聽。因此，RBIR通過不規則環和中間節點有效地保證源位置隱私安全。

3.2 網絡通信開銷

通信開銷指節點接收和傳送數據包消耗的能量。網絡初始化由基站廣播消息到全網節點，考慮到基站具有足夠的資源，這部分能耗不做分析。

RBIR的通信開銷來源于4個路由階段數據包的傳輸，因協議未使用假源、假包、分支樹等，故能耗為數據包從源節點傳送到基站經過的節點數。SLP-R的能耗是源節點將數據包傳送到基站經過的跳數，源節點到基站的位置影響通信開銷。FRW的能耗來源于數據包從源節點向前隨機游走到基站，路由路徑長度越長，通信開銷越大。RSIN的通信開銷由數據包的傳送和車載信息的傳輸兩部分組成，車載信息在混合環上傳輸增加額外的能耗。DRBR的通信開銷分為兩部分，真源節點傳送真數據包到基站和假源節點產生假數據包在分支上傳輸，分支樹和分支長度都影響著網絡的通信開銷。

4 實驗仿真與性能評價

RBIR采用中間節點和不規則環的路由結構，因此實驗方案主要與一般的隨機游走方案文獻的FRW[5]、SLP-R[7]以及混合環結構的文獻RSIN[15]、DRBR[16]進行對比分析。

使用軟件MATLAB進行仿真，對RBIR的性能進行評估與分析。仿真實驗的假設如下，目標區域的網絡布局為5000×5000 m2的正方形，基站位于正中心，網絡中隨機部署5000個傳感器節點。具體參數為δ=200，d1=1700 m，d2=2100 m，n=12，ds=200 m，dmin=200 m，R=130 m， 攻擊者的監聽范圍為260 m，是普通節點通信半徑的2倍。數據包在環上的轉發角度γ隨機分布在區間 [120,240]， 數據包的長度是1024位，實驗仿真結果是50次實驗數據的均值。

4.1 路由協議參數評估

4.1.1 不規則環的位置

RBIR方案中不規則環的位置是帶狀的環，環的范圍為d1-d2， 不同范圍的值對網絡生命周期的影響如圖5所示，網絡生命周期變化較小的原因是RBIR通過中間節點讓更多的節點參與數據包傳輸，避免某個節點過早死亡；對不規則環進行區域劃分，使環節點相對分散且動態更新環節點。其中，d1=1700 m，d2=2100 m， 即1700-2100網絡生命周期最長，實驗結果與第2節的理論分析基本符合。

圖5 不規則環的位置對網絡生命周期的影響

4.1.2 不規則環上的路由角度分析

在環上傳輸的路由角度γ的大小會影響到方案的安全周期和數據包傳輸時延。傳輸角度越大，數據包在環上傳輸經過的節點就越多，提高了路由路徑的多樣性，使攻擊者需要花更多的時間和資源找到源節點位置。但在環上傳輸的路徑越長，降低了數據包的實時性，也會更加耗能。因此本文討論了γ的大小對安全周期和數據包傳輸時延的影響，目的是找到隱私保護強度和數據包傳輸時延的平衡。參數γ的選擇范圍對源位置距基站不同距離的安全周期的影響如圖6所示。μ={30,60,90,120} 分別對應環上路由角度γ均勻分布在區間 {[210，240]，[180，240]，[150，240]，[120，240]}。γ的選擇角度范圍越大，環出節點的候選集中節點就越多。每次在候選集中隨機選擇一個節點作為環出節點將數據包傳輸給基站，多次選擇同一個環節點停止數據包的傳輸的概率幾乎為零，提高了路徑的多樣性和隱私保護強度。實驗結果表明，路由角度γ在區間 [120,240] (即μ=120) 的安全性能較高。角度γ范圍大小對源位置距基站不同距離的數據包傳輸時延的影響如圖7所示。路由角度γ在區間 [120,240] (即μ=120) 的數據包時延較低。因此，路由角度γ范圍在 [120,240]， 可以很好地在隱私保護強度和數據包時延之間起到平衡作用。

圖6 參數γ對安全周期的影響

圖7 參數γ對時延的影響

4.2 生命周期

生命周期指網絡中第一個節點死亡，基站接收數據包的個數。圖8展示了5種方案在源節點到基站不同距離的情況下對網絡生命周期的影響。顯然，RBIR的生命周期比其它4種方案長。RBIR安全期較長的原因主要有3個：①無假源節點產生假數據包來迷惑攻擊者，減少了額外能量的損失；②與中間節點技術結合構建路由方案，中間節點的隨機選擇使數據包的傳輸路徑具有多樣性；③把網絡劃分成多個扇區，使環節點在不規則環中相對分散，且環節點能量低于閥值時便更換環節點，防止單個節點消耗能量過多造成死亡。多次選擇同一個節點為中間節點的幾率為零，且動態更新環節點，使參與數據包轉發的節點多，節點覆蓋率大，能耗分散。不規則環中的節點能量小于閾值時則選擇鄰居節點作為環節點，實現環節點動態更新。RSIN的網絡生命周期低于RBIR，是因為RSIN構建混合環的節點是固定不變的，且車載信息在環中傳輸消耗了更多的能量，加速了環節點的死亡。SLP-R和FRW生命周期短是因為數據包從源節點到基站的傳輸路徑單一且固定，每次傳輸使用同一條路徑，連續耗能導致路由路徑的節點快速衰亡。DRBR引入假源節點產生假數據包在分支路徑上傳輸，額外增加了大量能耗，使得網絡生命周期遠短于RBIR。

圖8 網絡生命周期

4.3 安全周期

用源節點從傳輸第一個數據包開始計算，到攻擊者捕獲到源節點時傳輸數據包的總數來表示安全周期。圖9為源節點到基站的不同距離對網絡安全周期的影響。RBIR與FRW、SLP-R、RSIN相比，提供了有效的隱私保護。特別是源位置距離基站較近時，也可以提供很好的隱私保護強度。如圖所示，源節點距基站500 m和1000 m時，RBIR的安全周期是RSIN的2倍多。RBIR的安全周期較長的原因主要有2個：①考慮了中間節點和基站的位置，對中間節點的選取進行約束，防止源節點到中間節點的傳輸路徑經過基站周圍，且結合中間節點的路由方案可以提高路由路徑的隨機性和分散性，增加了攻擊者回溯難度；②把網絡均分成多個扇區，在每個扇區選擇一個環節點來構成不規則環，并動態更新環節點，利用數據包在不規則環中不同的傳輸角度來增加路徑的多樣性，攻擊者監聽到連續數據包的傳輸的概率幾乎為零。RBIR的安全周期略低于DRBR，因為DRBR引入多個假源節點產生多條分支路徑傳送假包到混合環來迷惑攻擊者，以增加額外能耗的方法來提高隱私保護強度。RSIN低于RBIR的安全周期是因為未考慮攻擊者的窺視范圍且中間節點不做約束。若中間節點與源節點出現在基站的不同兩側，可能導致中間節點到源節點的傳輸路由經過危險區域，攻擊者直接從基站回溯到源位置而不經過中間節點。SLP-R和FRW從源節點傳輸數據包到基站的路由路徑比較單一，攻擊者獲取較少的數據包就可以定位源節點，因此安全周期較低。

圖9 網絡安全周期

4.4 捕獲概率

捕獲率指在一定時間內攻擊者捕獲源節點的概率。如圖10所示，隨著源節點到基站距離的不斷增加，捕獲源節點的概率不斷降低。RBIR與FRW，SLP-R，RSIN相比，捕獲概率最低。RBIR考慮到源節點和基站的位置有約束的選擇中間節點，且環節點動態更新，連續數據包的傳輸通過同一條路由路徑的概率極低，攻擊者想要在傳輸路徑高度隨機且多變的情況下，捕獲連續的數據包概率很小，因此在一定時間內捕獲到源節點的概率很低。RSIN高于RBIR是因為中間節點不做約束，可能導致源節點到中間節點的路徑橫穿基站，攻擊者從基站越過中間節點直接追溯源節點并捕獲。RSIN捕獲率略高于DRBR是因為DRBR利用假源發送假包產生了多條分支路徑，迷惑攻擊者遠離真正源節點，增加了攻擊者的回溯難度，所以捕獲的概率較低。而FRW與SLP-R高捕獲率是因為采用隨機路由傳輸數據包，路徑單一，長度有限且相對集中，攻擊者可以通過回溯攻擊輕松找到源位置。

圖10 捕獲概率

5 結束語

本文提出基于不規則環的源位置隱私保護路由方案(RBIR)。通過對網絡進行劃分，構建不規則環，使環節點均勻分布在不同扇區中。根據源節點和基站的相對位置對中間節點的候選區域進行限制，防止出現源節點到中間節點的傳輸路徑橫跨危險區域的情況。動態更新環節點，對數據包在不規則環中傳輸角度進行約束，增加了傳輸路徑的分散性和多樣性，使攻擊者無法根據路徑角度分析出消息的來源。實驗結果表明，RBIR在不降低安全強度的同時顯著提高了網絡生命周期，源節點和基站距離較近時，實現了對源節點位置隱私的較好保護。