团队科研成果分享-04

水声传感器网络的位置隐私保护对保护节点位置，延长网络安全期等方面发挥着巨大的作用。本研究针对于保护水声传感器网络中的重要设备的位置隐私，为水声传感器网络构造一个相对安全的运行方式，维持水声传感器网络相关应用的安全性，提出了一种AUV辅助的基于数据重要性的源节点位置隐私保护方法（DIS-SLP）。在该方案中，锚节点首先计算数据重要性，然后根据数据重要性启动位置隐私保护机制。在AUV数据采集过程中，通过定义AUV隐私侵犯和AUV路径规划问题，可以避免AUV被攻击者跟踪。在多跳传输中，伪数据流量用于掩盖源数据传输，以保护源节点的位置隐私。因此，本研究的主要贡献是：

1）提出了一种确定数据重要性的方法。传感器节点使用Grubbs方法根据历史数据集确定当前数据的重要性。该方法计算量小，更适用于节点。此外，位置隐私保护机制由数据的重要性激活，以避免过度能耗。

2）提出了一种AUV数据采集路径规划方法。基于AUV隐私侵犯的定义，提出了一种AUV路径规划方法，通过设置最优化问题，在避免AUV跟踪的基础上，尽可能减小数据采集的延迟，提高数据的有效性。

3）提出了一种安全的多跳传输方法。当锚节点等待AUV数据采集时间过长时，源节点必须以多跳传输方式传输数据包，以确保数据的有效性。为了确保多跳传输的安全性，通过选择合适的假源节点发送假源数据包来掩盖源数据流量，以迷惑攻击者。

1. 系统模型

如图1所示，本文考虑的是一个圆柱形的三维网络。本文对整个海域进行建模，在水平方向上使用极坐标，垂直方向上使用笛卡尔坐标，即柱坐标。以海底圆心为原点，向右的水平线为x轴的正方向，向上的垂直线为z轴的正方向，建立柱坐标系。该网络由M个移动节点、N个锚定节点、2个AUV和一个地面基站组成。M个移动节点随机部署在网络中，负责感知海洋环境信息，并与其他节点、AUV和基站进行通信。N个锚定节点部署在重要设备周围，负责监测重要设备的健康状况，当锚定节点感知的数据发生异变时，锚定节点成为一个源节点，需要将感知到的数据上传到基站进行分析处理。AUV每次从基站出发，在停靠点处进行数据收集，然后返回基站并报告采集到的数据。

图1 网络模型

本文考虑的攻击者在整个区域进行被动攻击，攻击者可以通过窃听攻击和回溯攻击的方式来获取源节点的位置，在这种攻击方式下，攻击者初始位置在基站，当攻击者监听到有数据包传输到基站时，攻击者可以定位发送节点并移动到发送节点继续监听，直到到达源节点。如果攻击者在一个节点长时间没有监听到数据包，则移动到上一个监听的节点。攻击者也可以通过跟踪AUV来获取源节点的位置。

2. 数据重要性的确定 

一般情况下，异常数据出现的概率是小于正常数据出现的概率的。以地震为例，震前可以观测到地下水位和温度的急剧变化。正常情况下，地下水位和温度分布在平均值附近，当地震来临时，地下水位和温度远离平均值，呈现一个异常现象。由此得知，数据的重要性取决于数据与平均值的差异，差异越大，数据就越重要。本文采用格拉布斯(Grubbs)法来确定数据的重要程度。

3. 基于AUV路径规划方法的位置隐私保护方法

为了避免攻击者通过跟踪AUV获取源节点的位置，本文定义一个隐私侵犯问题。

定义1（AUV隐私侵犯）：给定一个攻击者，以攻击者为圆心，以攻击者的监听范围为半径做球形，如果AUV在行驶的过程中的路径与该球形相交，则认为AUV会被攻击者监听到，有被攻击者跟踪的可能，这种情况被认为是AUV隐私侵犯。

图2描绘了一个AUV监测隐私侵犯的案例。AUV在进行数据收集时利用3D声纳技术、机器视觉、图像增强技术和YOLO算法实现水下环境对攻击者的识别和监测。该方法考虑到了光在水中的吸收和散射的影响，利用图像处理技术对图像的特征进行增强。AUV获取攻击者的大致位置后，根据节点的位置信息，AUV获知如果从当前位置直接到达节点nj，AUV的隐私会受到侵犯。同时，AUV获知从当前位置到节点ni的路径是一条安全路线，可以避免被攻击者监听到。因此攻击者将选择图中黑色路线。

图2 AUV隐私侵犯示例

假如AUV在一轮数据收集过程中的停靠点为{n1,n2,…,nm-1}，n0表示基站，nm表示源节点。为了引出AUV路径规划问题，本文设定如下三个变量：Di,j，Vi,j，Ui,j。Di,j表示节点ni与节点nj之间的距离。Vi,j代表AUV的隐私侵犯，Vi,j=0表示AUV从节点ni行驶到节点nj的过程中未受到隐私侵犯，Vi,j=1表示AUV从节点ni行驶到节点nj的过程中受到了隐私侵犯，即AUV经过了攻击者的监听范围，可能会被攻击者跟踪。Ui,j=1表示AUV从节点ni行驶到了节点nj，Ui,j=0表示AUV没有从节点ni行驶到节点nj。

为了尽可能地减小数据收集的延迟，保证数据的新鲜度，AUV的路径规划问题可以表述为：

其中，目标函数(6)最小化AUV行驶路径，约束条件(7)表示AUV在行驶过程中不会受到隐私侵犯，约束条件(8)(9)表示AUV在数据收集过程中只经过每个停靠点一次。该优化问题可以通过现有的方法得以解决，比如蚁群算法等。

4. 基于虚假数据流的源节点位置隐私保护方法

虽然水声传感器网络中有两个AUV在进行工作，但由于AUV的能量有限，AUV可能会因为充电而导致数据收集的时延大大增加。因此，当某一个锚定节点成为源节点后，等待一段时间t后，没有AUV前来进行数据收集，那么该源节点不再等待，直接以多跳传输的方式将数据发送到基站。除此之外，当一些特别紧急的情况发生时，数据需要立即上传到基站，源节点将以多跳传输的方式将数据传输到基站。为了保障多跳传输时源节点的位置隐私安全，本文从移动节点中选出假源节点，发送假源数据，混淆攻击者，增强源节点的位置隐私安全性。

本文在选择假源节点之前，确定假源节点的选择区域，然后从假源节点的选择区域中任选一个节点成为假源节点。为了增强源节点的位置隐私安全，当一个源节点的位置确定好之后，本文确定三个假源节点的选择区域，然后从每个选择区域中任选一个假源节点（如果该选择区域中存在移动节点），最终选出1-3个假源节点（不考虑三个选择区域中都没有移动节点的情况）。

假如海底为xOy面，假源节点的选择区域可表示为：

图3是假源节点选择区域的示意图，每个选择区域是一个三维的扇形，为了保证假源节点和真源节点之间有一定的距离，本文对选择区域的深度也进行了控制。图3中三个蓝色区域为假源节点的选择区域。

图3 假源节点的选择区域

当假源节点选出后，真源节点开始向基站传输数据包。假源节点起初以较高的发送速率向基站发送假源数据包，吸引攻击者的注意，然后慢慢降低发送速率，以等同于真源数据包发送速率的速率继续发送假源数据包。为了尽快将数据传输到基站，真源节点选择最短路径进行数据的传输。当假源数据包的传输路径和真源数据包的传输路径建立好之后，基站会通知假源路径上的节点真源路径上的中继节点有哪些，若真源路径上的中继节点ni是假源路径上的某个节点nj的邻居节点，则节点nj会向节点ni发送假数据包。

图4为数据传输的示意图。节点n1为真源节点，节点n2、n3、n4为假源节点，当数据开始传输，节点n2、n3、n4以高于节点n1的发送速率发送假源数据包，以吸引攻击者的攻击。然后，节点n2、n3、n4慢慢降低发送速率，直至和节点n1的发送速率持平。真源数据包传输路径确定好之后，基站将真源路径上的中继节点n6、n7的ID通知给假源路径上各个节点。由于节点n6是节点n3的邻居节点，节点n3便向节点n6发送假数据包，同样由于节点n7是节点n5的邻居节点，节点n5便向节点n7发送假数据包。

通过这种数据传输方式，即使攻击者在最初以1/4的概率选择真源路径进行回溯，当攻击者回溯到节点n7时，由于节点n5和n6都向节点n7发送数据包，攻击者会以1/2的概率回溯到节点n6，又因为节点n3和节点n1都向节点n6发送数据包，攻击者会有1/2的概率成功回溯到真源节点。综合来看，在这个案例中，攻击者成功回溯到真源节点的概率1/16。

图4 基于虚假数据流量的源节点位置隐私保护

本文使用的仿真平台为MATLAB 2020，相关的仿真参数如表I所示。本文使用的性能指标为安全时间、时延和能量消耗，并通过改变网络半径、深度、节点个数、节点通信半径等因素对所提出的方法的性能进行评价。此外，还将AEEDCO-A和SSLP与本文提出的方法进行比较，并对结果进行了分析。

表1 仿真参数

如图5所示为三种算法在不同网络半径下在安全时间上的性能表现。图中曲线表明，AEEDCO-A在安全时间上的表现最差，其次是SSLP，本文提出的DIS-PLP算法在安全时间上表现最优。从整体上来看，随着网络半径的增加，DIS-PLP和SSLP的安全时间在逐渐增加，但AEEDCO-A的安全时间变化不明显。值得一提的是，DIS-PLP的安全时间波动较大，这主要是与假源节点的数量相关。

图5 根据网络半径，对不同比较算法的安全时间进行比较

如图6所示是三种算法中时延随网络半径变化的情况。由图可见，DIS-PLP，SSLP和AEEDCO-A的时延都随着网络半径的增加而增加，这是因为随着网络半径的增加，簇更加分散，导致AUV行驶距离的增加。DIS-PLP和AEEDCO-A的时延相差不大，SSLP的时延近似为二者时延的2倍。这是因为在SSLP中，每层部署一个AUV，在数据传输时相邻层之间AUV的交互会增加数据收集的时延。

图6 根据网络半径，对不同比较算法的时延进行比较

如图7所示是三种算法中AUV每轮能耗随深度变化的情况。从图中可以看出DIS-PLP，SSLP和AEEDCO-A的AUV每轮能耗都随着深度的增加而增加。与SSLP相比，DIS-PLP和AEEDCO-A每轮AUV能耗更低。这是因为DIS-PLP和AEEDCO-A在构建AUV路径规划问题时最小化AUV行驶路径的长度，从而降低了AUV的能耗。而SSLP使用分层的网络模型，每层部署一个AUV，每个AUV只在本层活动，最终每层AUV能耗之和会大大增加。

图7 根据网络深度，对不同比较算法的AUV能耗进行比较

如图8所示是三种算法中节点每轮能耗随网络半径变化的情况。从图中可以看出，DIS-PLP，SSLP和AEEDCO-A的节点每轮能耗基本上都随着网络半径的增加而增加。AEEDCO-A耗能最低，其次是SSLP，DIS-PLP的耗能最高。这是因为DIS-PLP中为了保护源节点位置隐私，筛选1-3个源节点发送虚假数据包，大大增加了节点的能耗。而SSLP只产生一个假源节点发送虚假数据包，所以相对于只进行数据收集工作的AEEDCO-A，能耗稍高。

图8 根据网络半径，对不同比较算法的节点能耗进行比较

本文提出了一种基于数据重要性的水声传感器网络源节点位置隐私保护方案。该方法通过计算数据的重要性从而启动位置隐私保护机制，通过假源节点的选择和假源数据的发送迷惑攻击者。通过设计AUV路径规划问题使得AUV在行驶过程中避开攻击者，并最小化行驶距离尽可能降低时延。仿真结果表明，该算法在安全时间和时延上表现出了良好的性能。但假源数据包的发送使得节点会消耗较大的能量。在未来工作中，本文将进一步研究如何在保护源节点安全的前提下降低节点能耗。