无线传感器网络源节点位置隐私保护研究

学号：姓名：指导教师：无线传感器网络源节点位置隐私保护研究Researchonsourcelocationprivacyprotectioninwirelesssensornetworks文章内容组织•第一章摘要•第二章源节点位置隐私保护协议•第三章密钥管理和身份隐藏•第四章强化的定向随机路由保护机制•第五章多层环代理过滤路由保护机制•第六章总结与展望1第一章摘要•从网络体系结构、拓扑结构、网络特点和应用领域四个方面系统地介绍无线传感器网络•系统地总结无线传感器网络存在的各类隐私问题•源节点位置隐私保护的目的与意义•什么是无线传感器网络？无线传感器网络（WirelessSensorNetworks,WSNs）是一种多跳的自组织网络，它由部署在监测区域内大量的具有无线通信能力的传感器节点组成，其目的是协作地实时监测、采集和感知网络覆盖区域内监测对象的信息，并传送给网络观察者。SABCDData1.1无线传感器网络概述3•无线传感器网络结构•无线传感器网络拓扑结构4•无线传感器网络特点•无线传感器网络应用领域广泛应用于军事、工业、医疗、环境监测、智能家居、智能交通、公共安全、物流跟踪等领域①应用相关的网络②大规模网络③自组织④以数据为中心，数据传输方向性强⑤网内处理（InNetworkProcessing）⑥节点能力受限5•内容隐私（ContentPrivacy）又称数据隐私,其核心在于数据本身的保密性。原则上，确保数据仅对数据所有者(通常为产生该数据的传感器节点)和具有访问许可的可信方(如汇聚节点等)可见。•上下文隐私（ContextualPrivacy）上下文隐私涉及通信实体的身份、位置信息和节点间流量信息。主要包括身份隐私、位置隐私、时序隐私等。1.2无线传感器网络隐私保护概述61.3源节点位置隐私保护研究的目的与意义在目标追踪和监测型无线传感器网络应用中（Insubjecttrackingandmonitoringapplications），监测对象的物理位置是一项敏感信息，一旦暴露就会对监测对象造成安全威胁。战场侦察、医疗监测、野生动物栖息地监测等都属于此类应用。7第二章源节点位置隐私保护协议•无线传感器网络中攻击者模型和网络模型•分析现有的源节点位置隐私保护策略并分类总结•介绍常用的位置隐私保护策略的衡量标准2.1网络模型和攻击者模型•网络模型通常分为两类，即网格模型和网状模型•攻击者模型92.2源节点位置隐私保护策略102.3协议度量标准•协议安全性度量标准①安全周期②捕获概率③源位置披露指数④源位置空间指数⑤标准化的源位置空间指数•协议性能度量①能量消耗②数据包传输时延③数据包传递率112.4典型协议介绍将穿插在第四和第五章中介绍11第三章密钥管理和身份隐藏•局部加密和认证协议（LEAP,LocalizedEncryptionandAuthenticationProtocol）•基于哈希的动态ID方法（HID，thehash-baseddynamicmethod）•基于哈希的随机化ID方法（HIR，thehash-basedIDrandomizationmethod）3.1局部认证加密认证协议包括四种类型的密钥管理机制①私钥（IndividualKey）②对偶共享密钥/成对共享密钥（PairwiseSharedKey）③簇密钥（ClusterKey）④全局密钥（GlobalKey）133.2基于哈希的动态ID方法(HID)①在网络部署起始阶段，给每个节点分配一个初始化ID②汇聚节点使用每个节点的初始化ID为每个节点生成ID哈希链（ID-hash-chain）③通过ID哈希链来为每个传感器节点产生动态的ID节点u的初始化ID为：𝐼𝐷𝑢节点u的ID哈希链：𝑖𝑑1𝑢,𝑖𝑑2𝑢⋯𝑖𝑑𝑛−1𝑢,𝑖𝑑𝑛𝑢𝑖𝑑1𝑢=H𝐼𝐷𝑢𝑖𝑑2𝑢=H𝑖𝑑1𝑢⋯𝑖𝑑𝑛𝑢=H𝑖𝑑𝑛−1𝑢其中，H为单向哈希函数；n为系统配置的哈希链的长度。循环（重复）地使用ID哈希链；汇聚节点知悉每个ID对应的ID哈希链143.3基于哈希的随机化ID方法（HIR）①在网络部署起始阶段，给每个节点分配一个初始化ID②节点自身利用单向加密哈希链为其自身生成ID③每次发送完一个新消息后，删除之前使用的ID，并产生一个新的ID15第四章强化的定向随机路由保护机制•问题背景•模型和基本假设•协议方案描述•理论分析•性能评估4.1问题背景DROW(DirectedRandomWalk)思想：通过构建足够多的从源节点到汇聚节点的路径来有效地提高源节点位置隐私的安全周期。缺陷：在网络中的某些区域存在一些节点，这些节点没有足够多的到达汇聚节点的路径；由于路径的相对确定性，这些节点容易被攻击者追踪到。•问题提出17•问题提出(续)网络模型：网格模型攻击者模型：局部攻击者路由方式：1.节点u构建父节点列表。父节点列表由u的某些直接邻居节点构成，这些直接邻居节点距离汇聚节点比u距离汇聚节点要近。2.从父节点列表中随机选择转发的下一跳A:{E}B:{A}C:{A}D:{A,F}BCDAESinkF18•问题提出(续)1.S到D的路由路径穿行在绿色区域内2.从二维坐标角度来看，每一次转发有两种选择，水平方向或竖直方向，相应地，在水平或竖直方向上逐渐接近D。19•问题提出(续)B.虽然有10条路径，但是路径相交，安全性差A.只有一条路径，安全性差问题：如何解决网络区域内“安全性差的节点”的保护问题？20•问题解决为了解决上述问题，本章所提出的策略在DROW基础之上引入了一个“幻影环”。①该环不仅可以为网络中易受攻击的传感器节点构建足够多的到达汇聚节点的路径。②而且，可以有效的将攻击者引诱到错误的方向，进而，有效地提高了源节点位置隐私的安全性。214.2模型和基本假设•系统模型①网络中有许多普通传感器节点，它们均匀地分布在网格之上。②网络中有且仅有一个汇聚节点。③所有数据包的内容会被加密。•攻击者模型①攻击者只发起被动攻击。②攻击者拥有充裕的电能量；它可以确定邻近的发送数据包的传感器节点的地理位置，并且可以快速地移动到该节点所在的位置。③攻击者的监听半径与普通传感器节点的通信半径相当。224.2模型和基本假设(续)•基本假设本文中所有的数据包都将加密。普通数据包采用的是对偶密钥；局部广播数据包采用的是簇密钥；全局广播数据包采用的是全局密钥；敏感信息数据包采用的是节点密钥。234.3协议方案描述本章提出了一个包含三个阶段的路由策略：定向随机漫步阶段、环路由阶段、定向随机漫步阶段24①首先，S以定向随机漫步路由方式将数据包发送给𝑅1。②其次，R1选择逆时针方向作为环方向、设置𝐻relay=k，并以环路由方式将数据包转发给𝑅2。③最后，数据包到达𝑅𝑘，𝑅𝑘以定向随机漫步路由方式将数据包转发至汇聚节点。S:源节点𝑅1,𝑅2,𝑅𝑘−1,𝑅𝑘,𝑅𝑛:中继环节点Sink:汇聚节点4.3协议方案描述(续)25AB4.4理论分析在DROW中，如果源节点和汇聚节点之间的距离是h=n跳，那么源节点到汇聚节点路径数介于1和𝐶𝑛𝑛/2之间。•定向随机漫步DROWA.h=10跳,6个相对位置的情形264.4理论分析(续)122001200210,.210,.rripqrrnrpqriipqrnrpqCCrCirrisevenNCrCirrisodd•DROW引入幻影环A.源节点与汇聚节点间的相对位置（距离h=10跳，半径r=5跳）274.4理论分析(续)A.源节点与汇聚节点间的相对位置及路径数（距离h=10跳，半径r=5跳）284.5性能评估•EDROW性能29①在EDROW中每个数据包的平均跳数比DROW中的都要大，这是由环路由引起的。②由于引入了环路由，安全性能得到了极大的提高③攻击者追踪源节点的复杂性不仅仅受路径数多少的影响，同时，这些路径的离散度也会影响追踪的复杂性4.5性能评估(续)•环半径30①在图a中，数据包的平均跳数随环半径增大而增大。②在图b中，安全性能随半径的增大而提升。安全性能提升的速度远远大于数据包的平均跳数的增长速度。第五章多层环代理过滤路由保护机制•问题背景•模型和基本假设•协议方案描述•理论分析•性能评估5.1问题背景•问题提出①全局攻击者监听范围比局部击者要大的多，它能获取整个网络的流量分布信息，因而，应对局部攻击者的策略无法抵御全局攻击者的攻击，②“事件源不可观察性（EventSourceUnobservability）”的概念，事件源不可观察性可以保证：即使攻击者监听、收集到整个网络的流量分布信息，也不能识别出真实事件的发生和事件源的位置。32•问题提出(续)3.最直接的实现事情源不可观察性的方法是：网络中的每个传感器节点以遵循某种分布的时间间隔（比如，固定频率或者指数分布频率）发送真或假数据包（RealorFakeDataPacket）。33•问题提出(续)TFS提出的基于代理的多层过滤策略，有效地减少了向汇聚节点传递的假数据包数量，提高了真数据包传递率，但是，这两种策略在于如何选择代理节点数量和代理节点部署位置方面不易操作。PeCo提出的周期性转发数据包的方法，在该策略中，为了减少拥塞和碰撞，每个节点在识别出假数据包后可丢弃该数据包，然而，这就要求任何数据包在相邻节点间的转发都需要解密和重新加密，这对节点的计算能力提出了较高的要求。34•问题解决鉴于这些问题的存在，本章在借鉴TFS、OFS及Peco之后，提出了策略MRPFS。①基于代理节点过滤假数据包②代理节点多重过滤假数据包③代理节点选择：数量及位置355.2模型和基本假设(续)•系统模型假设无线传感器网络具有以下特性：①网络中有许多普通传感器节点，它们均匀地分布在网络区域内②网络中有且仅有一个汇聚节点。③所有数据包的内容会被加密。④有多个可移动的数据源节点。365.2模型和基本假设(续)•攻击者模型假设攻击者具有如下的特征：①攻击者只发起被动攻击。即攻击者只会窃听网络数据包，不会干扰网络的正常功能。②攻击者可以监听全网数据流量•基本假设本方案的基本假设与第四章一致，不再赘述。375.3协议方案描述①为了满足事件不可观察性这一属性，节点转发消息间隔是固定的。如果节点没消息队列中没有足够的真数据包可转发，那么节点会按照相应的策略生成假数据包并把该假数据包加入消息队列中。当一个节点监测到真实事件后，它不立即转发该消息，而是推迟到下一个发送时间窗口，这样可基于时序的分析手段不能区分出真假数据流。385.3协议方案描述(续)③普通节点接收到假数据包不能直接丢弃，除非消息队列满。④代理节点一旦接收到一个假数据包，它将直接丢弃掉该数据包。⑤代理节点一旦接收到一个真数据包，若缓冲队列满，则丢弃；反之将重新加密该数据包并缓存一段时间后再转发该数据包。总的来说，假数据包的产生是为了隐藏真数据包。在网络转发过程中，通过代理节点的层层过滤来减轻负载。395.4理论分析定义1.如果对于攻击者实施的每一个观察事件O，事件E发生的概率等于在事件O发生的情形下事件E发生的概率，也就是，∀O,PEO=P(E)，即事件E和事件O相互独立，那么事件E是不可观察的。定义2.如果事件E在某系统中的发生是不可观察的，即∀E,∀O,P(E)=P(E|O)，那么该系统具有事件不可观察属性。40证明：由定义1中有PEO=P(E)，可知，PE⋂O=PO⋅PEO=PO⋅PE显然，事件E和观察事件O是相互独立的。所以，如果我们想证明MRPFS具有事件不可观察性属性，我们只需证明在MRPFS中任何事件E都独立与攻击者实施的观察事件O。接下来，考虑攻击者可以从MRPFS中实施的所有可能的观察事件：5.4理论分析(续)41①攻击者可以观察到每个传感节点以固定频率发送的数据包。因为这些数据包长度一致且是加密的，攻击者无法区分数据包是否是真数据还是伪数据。