叶 清薛 琼吴 倩

（1.海军工程大学信息安全系 武汉 430033）（2.中国人民解放军92390部队 广州 510000）

1 引言

无线传感器网络［1］是一种具有信息采集、处理和传输功能的综合信息系统，能够实时获取目标信息，并实现信息的交互，其在军事、环境监测预报、健康护理等多个领域具有非常广阔的应用前景［2］。无线传感器网络由于无线通信方式及自身资源受限等原因容易遭受各种安全威胁，其中源节点位置隐私问题已成为制约其实际部署应用的主要障碍之一。无线传感器网络具有不可控的环境因素，传感器节点的资源限制、拓扑结构的限制等特性。同时在实际应用中，无线传感器网络往往处于无人维护、条件恶劣的环境中，这将导致其面临着多种潜在的安全威胁和攻击破坏。

在无线传感器网络结构中，散落在监测环境中的源节点负责采集数据，然后把数据以多跳的方式沿路由路径传输给汇聚节点，攻击者可能会沿着这一过程形成的传输路径从汇聚节点反向追踪到源节点。在事件监测的传感网络应用中，事件的源位置具有相当高的敏感性，是一项非常重要的信息。由于无线传感器网络自身独有的特点，传统的匿名性技术不适用于无线传感器网络中。攻击者有能力对无线通信进行监听，在不破坏节点、不破坏数据分组内容、不扰乱网络正常工作的情况下通过流量分析、逐跳回溯等方式定位到源节点。因此，如何保护源节点位置隐私是一个值得研究的问题。自Ozturk等［3］最开始提出无线传感网节点位置隐私保护开始，无线传感器源节点位置隐私保护问题已经得到国内外学者的重视，在基于随机路由策略、幻象路由策略、垃圾包策略、仿源节点策略等方面提出了许多很好的方案［4］。

2 基于随机路由策略的源节点位置隐私保护

随机路由策略的原理是数据包在无线传感网络中的路由是随机的，不是每一次传输都是从源节点方向向着汇聚点方向转发。为了很好地抵御攻击者的流量分析和逐跳反向追溯攻击，“随机步”应是完全随机。在单纯的随机步路由里，节点的所有邻居节点被选为下一跳的概率是均匀分布的，节点有可能选择任何一个邻居节点作为下一跳，即使有可能该邻居在本轮数据发送过程中已经转发过该数据包。如果节点转发数据包给已经参与过数据包转发的邻居节点，它们就形成了数据包循环，这样不仅减轻了抵御攻击的能力，而且由于有些节点反复参与数据包的接收与发送导致能耗的剧增。

Ozturk等［3］提出基于随机漫步思想的“幽灵路由”源位置隐私保护协议，该协议分为2个阶段：数据分组首先进行随机漫步h跳后到达一个伪信源节点；随后开始进入第二个阶段，数据分组将从伪信源节点通过泛洪或者最短路径到达基站。Kamat等［5］引进定向随机步方法作为其源位置隐私保护策略的一部分，并提出定向随机步方法—基于跳数的定向随机步。数据包从一个节点转发到另一个节点的距离称为一跳，节点把基站的跳数小于或等于自己到基站的跳数的邻居节点放在一个集合，到基站的跳数多于自己的放在另一个集合，节点随机选取其中一个集合再在该集合随机选取一个节点作为下一跳。Zhang等［6］认为基于跳数的定向随机步的随机性并不强，提出了基于区域的自适应定向随机步，节点根据四个方向将自己的邻居及诶到哪分成相应的四个集合，再按照自适应算法决定下一个随机步。Wei等［7］实用了一种基于角度的随机步方法，节点的随机步取决于自己和下一跳邻居以及基站三点构成的以基站为顶角的角度。针对具有局部流量分析行为的逐跳反向攻击者，赵泽茂等［8］提出基于随机角度和概率转发的源位置隐私保护路由协议RAPFPR。该协议主要分为两个阶段：真实源节点根据随机角度和距离的有向路由阶段，幻影节点到基站的概率转发路由阶段。协议产生的幻影节点能够很好地均匀分布在真实源节点周围，且采取概率转发路由大大减少了重合路径的产生，增加了逐跳反向攻击的难度。易险峰等［9］提出一种新颖的追踪时间受限的路由策略来有效保护源节点位置隐私保护，其主要核心是：源节点到sink节点的路由路径是动态随机产生与分布，而每次路由维持的时间小于攻击者能够追踪到幻象节点的时间，使得攻击者难以追踪到幻象节点，更难以追踪到真实源节点，从而提高了源节点位置的保护强度。张楠等［10］提出一种基于随机角度的增强型源位置隐私保护协议EPURA。EPURA运用划分幻影源子区域和随机角度相结合的方法来选择幻影节点，通过给节点设置可视区标记字段来避免损耗路径的产生，激发位的设置又能在很大程度上减少幻影节点到基站的重合路径。为了更好地保护源位置隐私，黄北北等［11］提出一种新的源位置隐私保护方法，通过使用相邻节点的斜率的反正切值来确定幻影路径上下一跳节点选择范围，使得幻影源的选取在不暴露源位置方向信息的情况下能够远离真实源，且能够生成更多不重复的幻影源，更灵活地控制幻影源的选取，使幻影源的分布较为均匀，从而能够更好地提高源位置隐私保护的性能。Li等［12］提出一种三阶段的随机路由策略的源位置隐私保护方案，其中三个阶段分别是指定向随机路由、角度区域h跳路由和最短路径路由阶段。

3 基于幻象路由策略的源节点位置隐私保护

幻象路由策略的基本思想是：数据包并不是直接从源节点到基站，而是找一个中间节点将数据包的发送过程分成两个阶段，第一个阶段是从源节点到中间节点的通信，第二个阶段是数据包从中间节点发送到基站。此种策略就是要误导攻击者把中间节点当成源节点，延长源节点的安全时间。策略的核心是幻象节点的选取方法，优良的幻象源节点不仅具备干扰攻击者的功能，而且即使幻象源节点被攻破也能让源节点保持一段较长的安全时间。

Lightfoot等［13］提出STaR幻象路由协议，候选的幻象源节点全都限定在一个距离基站r到R的圆环内，每一次源节点发送数据包之前都在该限定区域随机选择一个节点作为幻象源节点，该方法使得圆环内的能量消耗太大，而外层的能量却没有得到有效利用。陈娟等［14］通过引入可视区的概念即距离真实源节点r跳内的节点集合，提出基于源节点有限洪泛的增强性源位置隐私保护协议。该协议在源节点有限洪泛过程中标记出可视区的节点，同时通过避开可视区的广播策略，使得数据包在最短路径路由过程能够完全逃离可视区，该协议能够产生远离真实源节点且地理位置多样性的幻像源节点。周玲玲等［15］提出一种有向等高度路由与幻影路由相结合的源位置隐私保护协议。数据包在进行幻影路由之前先进行h+r跳的有向等高度路由，之后再发起幻影路由过程，以避免失效路径的产生，并增加有效路径的数量。孙美松等［16］提出一种基于伪正态分布的幻影路由隐私保护方案。该方案的实施过程为利用随机数机制计算幻影节点的随机有向游走跳数；通过该机制可以增加幻影节点的位置分布多样性与动态性，经概率转发路由机制将数据包从幻影节点转发至汇聚节点，目的是降低重合路径产生的可能性。周瞭永等［17］提出一种基于幻影路由的增强型源位置隐私保护协议，该协议通过一种扇形区域划分方案以及扇形域中改进型幻影路由机制，较好地保护了源节点的位置隐私。该协议具有以下优势：面对较强攻击者，不会发生方向信息泄露；相邻时序产生的幻影节点间的距离及路由至相同幻影节点的可能性得到控制；产生数量众多，分布多样化的幻影节点；幻影节点与源节点的距离进一步增大。

4 基于垃圾包策略的源节点位置隐私保护

垃圾包策略主要思想是迷惑攻击者，在正常的数据包通信中引入垃圾包，攻击者不能从表面找出真正的数据包，因而攻击者就难以找到源节点。攻击者需花费更多的时间才能追踪到源节点，网络的安全得到保障。

Ouyang等［18］提出的环路陷阱协议就是利用了垃圾包保护网络中的源节点。在搭建网络环境阶段，遵循特定的规则生成一些列环路，这些环路并不会马上发挥作用，而是要等待被激活才能产生垃圾包。在数据包从源节点传输到基站的路由过程中，如果预先建立的环路上的节点正好在路由路径上，那么该节点所属的环路就会被激活，像发送正常的数据包一样发送垃圾包。针对全局流量攻击者，Yang等［19］提出随机强健源节点匿名性概念，在此基础上提出FitProbRate策略，网络中的节点都按照一个服从某种确定分布的时间间隔发送垃圾包，收到真正的数据包后仍然维持原来的节奏发送，该策略具备良好的鲁棒性。Luo等［20］提出一种垃圾包注入策略DPIS，该策略中，当节点探听到比自己离基站远的邻居节点有数据包转发动作时，该节点根据自己的剩余能量依一定的概率广播垃圾包，让攻击者窃听到混乱的数据包发送。Chen等［21］提出动态双向数策略DBT，在数据包从源节点到幻象节点的路由路径上，离源节点比离基站近的转发节点除了正常转发数据包，还要按照一定的概率产生一个垃圾数据包转发达h跳路程之远，这样在靠近源节点这一段形成了一个垃圾包树。针对虚拟圆环节点失效这一问题，张江南等［22］提出基于假包的多个虚拟圆环策略，采取敌人的平均追踪时间作为主要的衡量指标，单个虚拟圆环陷阱路由协议策略可以获得较长的安全时间，多个虚拟圆环策略可以获得比单个虚拟圆环陷阱路由协议更优越的效果。

5 基于仿源节点策略的源节点位置隐私保护

仿源节点策略的原理是在网络布置阶段，预先设定一些节点为假的源节点，网路运行阶段，它们模仿源节点的行为，像源节点一样产生网络中的数据包流量。

Mehta等［23］提出周期采集和源模拟。在周期采集方法中，网络有一个特定的周期指令，节点的周期指令的控制下发出数据包。这样网络中就会有节点以同样的节奏发送数据包，攻击者难以找到头绪。源模拟方法是在网络中布置一些特别的节点，称为初始源节点，同时还有一个特别的指令令牌。网络开始运行之后，指令令牌在网络中随机流动，接收到指令令牌的初始源节点就模仿真正的源节点。Yang等［24］提出了基于代理的过滤协议PFS和基于树的过滤协议TFS，在网络中设置若干代理点来实现对流量的过滤，在保证源节点安全的同时减少网络流量。PFS的流程分为两个阶段：代理节点选取阶段和执行阶段。当代理节点接收到普通节点发来的消息时，先进行解密，如果是包含真实事件，则重新加密，放入消息发送队列里，等待一定的缓冲时间再将其发送，如果是伪数据包，将立即丢弃。当代理节点接收到其他代理节点的数据包时，则直接转发。PFS与TFS的区别在于后者采用多层代理，代理节点按照树形结构来过滤其他代理节点发送的伪数据包。施佳琪等［25］提出一种周期性发送干扰数据的算法。网络中的节点周期性地发送干扰数据包，将真实数据混淆在其中，攻击者无法判断真实数据的流向，从而保护源节点的安全，并在基础上提出在每个节点中设立数据门限的思想，当节点中的数据超过一定门限值，将根据一定策略暂缓发送干扰数据，从而防止网络拥塞等状况的出现，同时能平衡网络的流量状况，节省资源带宽。

6 结语

广泛应用于目标监测的无线传感器网络，源节点位置的暴露将会直接威胁到目标的安全性。因此，源节点隐私保护问题制约着无线传感器网络的大规模部署与应用。目前源位置隐私保护研究尚存在以下几个方面的问题：

1）基于随机路由策略、幻象路由策略、垃圾包策略、仿源节点策略、网络编码策略的源节点位置隐私保护均是针对某种特定类型的攻击而言，而实际应用中，源节点可能会遭受到多种类型的攻击，必然要将以上隐私保护策略有效集成使用，已达成更好的保护效果，而且其实现的复杂性将大大增加。

2）在假定无线传感器网络模型时，现今大多数源位置隐私保护策略都将网络定位于平面网络，而在无线传感器的实际应用过程中，更多的是分簇立体无线传感器网络模型；此外，现有的无线传感器网络源节点位置隐私保护方案大多以静止网络为模型提出来的，也就是说，一旦网络部署完毕，传感器节点的位置不会再变动。然而在具体应用中，需要移动节点才能达成目的任务。

3）在针对流量分析攻击的无线传感器网络源节点位置隐私保护中，绝大多数保护方案中单纯考虑的是只有一个被监测对象即单一源节点的情况，多源节点的位置隐私保护问题较少研究。

当前无线传感器网络模型、攻击者模型等都不断地被扩充和完善，针对不同模型的协议方案也不断提出，但仍有一些关键课题和热点值得进一步研究。

1）无线传感器网络源节点位置隐私保护策略与其有限的能量之间的矛盾。无线传感器网络中的源节点能量有限，其计算能力也有限，这些因素就对一些较为复杂的隐私保护方法提出了制约，因此，如何找到一种平衡的方法达到两全其美的目的需要进一步的研究和分析；

2）无线传感器网络源节点位置隐私安全评价标准的制定。无线传感器网络源节点位置隐私的研究处于理论成熟阶段，一个对于位置隐私保护评价等级的制定对于接下来的工程实践研究极为重要，通过统一的标准可以从距离、安全时间等多个方面对源节点位置隐私的安全程度进行判断；

3）对于层出不穷的新的源位置隐私获取手段的预防。随着无线传感器网络技术的发展，针对源节点位置隐私的获取手段将更加丰富和复杂，因此，与之抗衡的可靠的源位置隐私保护机制研究更为关键。