CN103228008B - 一种无线传感网中基于动态混淆环的源位置隐私保护方法 - Google Patents

Abstract

本发明涉及无线传感器网络隐私保护领域，提出一种无线传感器网络中对源位置隐私保护的方法。本发明的主要目的在于提出并实现一种能够充分保护传感器网络中源位置隐私的方法，其关键技术在于：数据包产生方法、混淆环的建立和动态变化方法和数据包的混淆方法等方法。本发明能够有力地抵御具有全局监听能力的攻击者，不需要借助额外的设备，带来的开销很低，适用于资源受限的无线传感器网络中；本发明能够平衡网络中节点的能耗，消除了因靠近汇聚节点附近的节点能量过快消耗而产生的漏斗效应，从而延长了网络寿命；此外，本发明采用基于非均匀统计规律数据包产生方法，能够有效降低事件报告的延迟。

Description

一种无线传感网中基于动态混淆环的源位置隐私保护方法

技术领域

本发明涉及无线传感器网络隐私保护领域，提出一种无线传感器网络中对源位置隐私保护的方法。

背景技术

无线传感器网络由部署在监测区域内的大量传感器节点组成，传感器节点之间通过无线通信的方式组成一个多跳的自组织网络系统。节点通过各类集成化的微型传感器实时地感知并采集被监测对象的相关信息，这些信息通过多跳路由以无线传输的方式返回用户终端。

事件监测是无线传感器网络中一类典型的应用场景。以事件监测为例，监测区域中部署了多个节点，当某节点周围有特定的事件发生时，节点采集到事件信息，将该信息数据通过无线网络逐跳发送到基站。由于网络采用的是无线信号，攻击者可以通过监测无线信号，计算信号发送的角度和信号强度从而推断发送节点的位置，敌方可以在不能获取数据包内容的情况下，采取逆向、逐跳追踪的方法找到真实的数据源节点，对事件源构成威胁。因此，需要使攻击者无法通过无线电信号的监测追踪到源节点，从而保护源节点的位置隐私。

研究人员提出过多种针对无线传感器网络中源位置隐私的保护方法，但是它们中有的只能抵御具有局部监听能力的攻击者，对攻击能力更强的具有全局监听能力的攻击者就显得束手无策，而且开销和延迟较大，不适用于高实时性的应用中。有的方法能够通过虚假包注入的方式来抵御具有全局监听能力的攻击者，在此类方法中节点通常会采用监测数据包延迟发送和虚假数据包注入的方式以使得自身的发送时间间隔符合全网统一的统计特性，从而能够在数据传输的源头保证监测数据包具备的可量化匿名度。但是会造成网络负载加剧且失衡，使部分节点过快失效，严重影响了系统的适用规模和使用寿命。

发明内容

本发明的主要目的在于提出并实现一种能够充分保护传感器网络中源位置隐私的方法。该方法能够有力地抵御具有全局监听能力的攻击者，不需要借助额外的设备，带来的开销很低，适用于资源受限的无线传感器网络中；该方法能够平衡网络中节点的能耗，消除了因靠近汇聚节点附近的节点能量过快消耗而产生的漏斗效应，从而延长了网络寿命；此外，该方法采用基于非均匀统计规律数据包产生方法，能够有效降低事件报告的延迟。

为了解决上述技术问题，本发明的技术方案实现如下：一种无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于，包括以下步骤：

步骤1：网络初始化，建立通信、创建网络、确立混淆环，然后并行执行下述步骤2、步骤3；

步骤2：监测并判断周围事件是否发生：

若是，则构造真实数据包P_t，计算发送所述的真实数据包P_t的间隔，设置第一定时器T_t，当所述的第一定时器T_t触发后，将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

若否，则构造虚假数据包P_f，计算发送所述的虚假数据包P_f的间隔，设置第二定时器T_f，当所述的第二定时器T_f触发后，将所述的虚假数据包P_f向所述的混淆环逐跳转发，然后回转执行所述的步骤2；

步骤3：判断节点是否收到上游节点发来的上游数据包P_r，所述的上游数据包P_r有可能是真实数据包，也有可能是虚假数据包：

若是，则执行下述步骤4；

若否，则转回执行所述的步骤3；

步骤4：判断所述的节点是否有真实的数据包P_t正等待发送：

若是，则设置收到的所述的上游数据包P_r的发送间隔定时器：第一定时器T_t，然后并行执行下述步骤5、步骤6；

若否，则向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3；

步骤5：将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

步骤6：等待所述的第一定时器T_t触发后，向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3。

作为优选，所述的混淆环的工作流程，包括以下步骤：

步骤101：所述的混淆环上的节点接收网络中节点发来的数据包P，所述的数据包P包括真实数据包P_t、虚假数据包P_f；

步骤102：所述的混淆环执行所述的数据包P的混淆过程，调整所述的数据包P的匿名度；

步骤103：判断是否有数据包P的匿名度达到门限值：

若是，则执行下述步骤104，

若否，则回转执行所述的步骤102；

步骤104：判断所述的数据包P是否为所述的真实数据包P_t：

若是，则将所述的数据包P发回基站，

若否，则将所述的数据包P丢弃；

步骤105：判断混淆环是否消耗了一个等级能量，

若是，调整混淆环的位置，然后回转执行所述的步骤102；

若否，回转执行所述的步骤102。

作为优选，所述的计算发送所述的真实数据包P_t的间隔，调用的是Test、Search、Recovery算法。

作为优选，所述的计算发送所述的虚假数据包P_f的间隔，调用的是Generation算法。

作为优选，所述的真实数据包P_t、所述的虚假数据包P_f、所述的上游数据包P_r，均是沿最短路径发送所述的混淆环中。

作为优选，为了阻止攻击者通过流量分析得出事件源位置，采用了基于非均匀统计规律数据包产生方法：距基站相同跳数的节点，即同一环上的节点产生数据包P的间隔服从相同的指数分布：

$F\left(x\right)=\left\{\begin{array}{cc}1-e^{-\mathrm{\&lambda;}x}& x\&GreaterEqual;0\\ 0& x<0\end{array}\right.$

其中λ为率参数，λ＝1/μ，x为数据包P产生的时间间隔，F(x)表示数据包P产生时间间隔在0到x之间的可能性，μ表示网络中节点产生所述的数据包P间隔的均值。

作为优选，所述的同一环上的节点产生数据包P的间隔均值μ的计算方法为：

$\mathrm{\&mu;}\left(r\right)=\left\{\begin{array}{cc}{0.95}^{R-r}{\mathrm{\&mu;}}_{\mathrm{MAX}}& r_{\mathrm{mix}}<r<R\\ {\mathrm{\&mu;}}_{\mathrm{MAX}}& r<r_{\mathrm{mix}}\end{array}\right.$

其中，μ(r)为跳数为r的环上节点的数据包产生间隔均值，R为网络的最大跳数，r_mix为混淆环的跳数，μ_MAX为预设的最大间隔均值。

作为优选，所述的混淆环的建立和动态变化方法是：选择离基站某一相同跳数的所有节点作为混淆环，用于实现所述的数据包P的混淆；将节点的能量分为k个级别，所述的混淆环节点每消耗一个级别的能量就调整一次所述的混淆环的位置，使能量均衡消耗。

作为优选，所述的混淆环的建立和动态变化，首先确定跳数的节点为所述的混淆环，所述的混淆环变化的跳数区间为R为网络的最大跳数。

作为优选，所述的数据包P的混淆方法是：所述的每个数据包P包含两个字段：跳数和匿名度，分别用于表示所述的数据包P在所述的混淆环上经过的节点跳数和所述的数据包P源节点的位置隐私匿名强度；所述的数据包P被转发到所述的混淆环上后，在所述的混淆环上按规则随机转发，每转发一次跳数加一；当有两个以上所述的数据包P在同一节点相遇时，调整这些数据包的匿名度，再将这些数据包按规则随机转发到下一个节点；当所述的数据包P的匿名度达到设定的匿名度门限值时，所述的真实数据包发回基站，所述的虚假数据包则丢弃；同时，所述的虚假数据包在跳数达到门限值后也会被丢弃。

作为优选，所述的每个数据包P的匿名度字段，用于量化对源位置隐私保护的效果，其初始值为1，变化区间为[1,10]，所述匿名度字段的值越大，表示隐私的保护效果越好。

作为优选，所述的匿名度的调整方法为：Anon’＝Anon×(1+(k-1)×β)，Anon’为调整后的匿名度，Anon为调整前的匿名度，k表示此时节点本地缓存的数据包个数，β为系数，取0.2。

本发明中所述的数据包P的发送采用主动延迟机制，本地有真实数据包P_t需要发送时，优先发送本地的真实数据包P_t，延迟转发上游来的上游数据包P_t。本发明中，首先确定3个参数：均值μ、显著水平α、误差ε。μ表示网络中节点产生数据包P间隔的均值，显著水平α表示实际采样间隔与指数分布之间的可接受距离，当两者的距离大于α时，会引起攻击者的怀疑；误差ε表示采样间隔的均值与均值μ之间的可接受误差，采样均值与均值μ的差值大于ε时，会引起攻击者的怀疑。确定了3个参数后，所述的真实数据包P_t与所述的虚假数据包P_f的产生间隔都必须控制在以μ为均值，(α，ε)为误差范围的指数分布范围内。

本发明中，所述的节点没有监测到事件时需要向所述的网络中注入所述的虚假数据包P_f。每发送一个所述的虚假数据包P_f后，所述的节点调用随机算法Generation计算出距离发送下一个虚假数据包的间隔，按计算出的值设定第二定时器T_f，所述的第二定时器T_f触发后生成虚假数据包发送出去，但对于收到的需要转发的数据包P不做延迟处理，立即转发。

本发明中，所述的节点在监测到事件后，需要尽快将事件信息发回基站，此时要求低延时，但是不能立即发送，这样会破坏统计规律，因此需要计算出一个尽可能小而且能够保持统计规律的发送间隔。这里涉及到两个算法：(A)测试算法Test：测试计算出的发送间隔能否与之前的间隔服从指数分布，即：imd₁,imd₂,……,imd_k-1表示之前的k-1个已服从指数分布的发送间隔，此时计算出的imd_k能否使imd₁,imd₂,……,imd_k-1,imd_k仍服从指数分布；(B)搜索算法Search：搜索出一个最小的且能够通过测试算法的imd_k。在有多个持续的事件发生时，节点多次调用Search算法，就会导致采样均值逐渐变小，本发明中采用均值恢复算法Recovery计算出下一个合适的间隔值，使所有发送间隔的采样均值与均值μ不会超过误差ε。

本发明中，所述的数据包P在转发时采用主动延迟机制：所述的节点在监测到事件后，调用算法Search计算出该事件报告的发送间隔imd，如果在到达imd之前该节点收到上一跳节点转发的一个数据包P，那么将数据包P的发送间隔设为imd,将本地监测的真实数据包P_t立即向下一跳节点转发，这样可以在保证不影响统计规律的前提下缩小事件报告延迟。

本发明中，将节点的能量平均分为k个级别，在网络运行阶段，所述的混淆环上的节点每消耗一个级别的能量后向基站请求调整混淆环，基站在收到多个节点的请求后向调整区间内的节点发送剩余能量查询消息，根据反馈的剩余能量选择剩余能量最多的环作为混淆环，然后基站将新的混淆环跳数向全网广播，更改混淆环的跳数。

本发明中，所述的混淆环上的节点每收到一个所述的数据包P，首先会为其设置一个延时T，表示在驻留了T之后才能向外转发，T的值在系统设置的延迟范围[t₁,t₂]中随机选择。每个数据包的延时T是相互独立的，这样就可以扰乱数据包的发送顺序，使攻击者无法准确地反向追踪。混淆环上某个节点Node_a收到一个从环外节点转发来的数据包Pack后，首先为Pack设置一个延时T_a，然后Node_a查询路由表中与之相邻的环上节点，若相邻节点有m_a个节点Node_i(1≤i≤m_a)，那么以相同的概率从Node_i(1≤i≤m_a)中随机选择一个作为下一跳节点Node_b，待延时T_a超时后，调整Pack的匿名度，最后将Pack发送给Node_b。Node_b在收到Pack后，首先设置一个延时T_b，然后查询相邻的环上节点，若有m_b个节点Node_i(1≤i≤m_b)，选择上一跳节点Node_b作为下一跳节点的概率为P_back，选择其他任一节点作为下一跳节点Node_d的概率为(1－P_back)/(m_b－1)，选择出下一跳节点Node_c，待T_b超时后，调整Pack的匿名度，最后将Pack发送给Node_c。Node_c在收到Pack后重复上述过程。直到Pack的匿名度达到门限值10后，如果Pack是真实的数据包那么将其发回基站，如果Pack是虚假数据包，那么将其丢弃，不再转发。

与现有技术相比，本发明具有以下技术创新点：

1、在传统的注入方案中，所有流量均流入基站，这样就导致了离基站很近的周边节点的高负载，加速消耗了这些节点的能量，使它们很快失效，失效后其他节点无法与基站通信，网络也随即失效。在本发明中，利用网络中远离基站区域拥有大量剩余能量的节点，设置了混淆环，利用混淆环将抵御全网攻击的虚假数据包注入方法和抵御局部攻击的数据包混淆方法有效结合起来，在不降低匿名度的前提下过滤掉了大量的虚假数据流量，阻止了这些流量流入基站，减轻了基站周边节点的负载，延长了这些节点的工作时长，不会因这些关键节点很快失效而导致全网失效；由于混淆环的动态变化，平衡了网络中节点的能耗，使各个环的能量都能得到充分利用，延长了网络寿命，网络的能效高；

2、本发明中，数据产生环节中通过节点以非均匀统计性的方式优化虚假信息注入策略，同一环内节点的数据包产生时间间隔服从相同指数分布，而各环内节点的平均数据速率(数据包产生时间间隔)则随距离混淆环的不同而不同，这样就能最大限度地利用来自上游节点的待转发数据包灵活选择自身数据包的发送间隔。对于真实数据包，可以在保证网络通信量不变的前提下尽可能地缩短传输延迟，保证了信息的时效性，能够适用于对延时要求较高的场景中；

3、本发明提出的办法简单易实现，只需要极低的额外控制开销，而且有很高的健壮性和可靠性，有很广的适用范围。

附图说明

图1：为本发明的网络示意图。

图2：为本发明的网络中数据包产生与发送的流程图。

图3：为本发明的混淆环整体工作流程图。

图4：为本发明的虚假数据包发送间隔产生算法Generation工作流程图。

图5：为本发明的测试算法Test工作流程图。

图6：为本发明的真实数据包发送间隔搜索算法Search工作流程图。

图7：为本发明的均值恢复算法Recovery工程流程图。

图8：为本发明的节点上单个数据包的混淆工作流程图。

图9：为本发明的混淆环的确定与动态调整工作流程图。

具体实施方式

为了使本发明的目的、技术方案以及有益效果更加清楚明确，下面结合附图和具体实施例，对本发明做进一步的详细说明。

请见图1，为本发明的网络示意图，设网络中有100个普通节点，用带编号圆圈表示，有一个基站B位于网络中央，阴影部分表示此时的混淆环，箭头表示数据包的流动方向，所有的数据包首先转发到混淆环上，白色箭头表示经过混淆后的真实数据包向基站转发，虚假数据包则被丢弃。

请见图2，本发明所采用的技术方案为：一种无线传感网中基于动态混淆环的源位置隐私保护方法，包括以下步骤：

步骤1：网络初始化，建立通信、创建网络、确立混淆环，然后并行执行下述步骤2、步骤3；

步骤2：监测并判断周围事件是否发生：

若是，则构造真实数据包P_t，计算发送所述的真实数据包P_t的间隔，设置第一定时器T_t，当所述的第一定时器T_t触发后，将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

若否，则构造虚假数据包P_f，计算发送所述的虚假数据包P_f的间隔，设置第二定时器T_f，当所述的第二定时器T_f触发后，将所述的虚假数据包P_f向所述的混淆环逐跳转发，然后回转执行所述的步骤2；

步骤3：判断节点是否收到上游节点发来的上游数据包P_r，所述的上游数据包P_r有可能是真实数据包，也有可能是虚假数据包：

若是，则执行下述步骤4；

若否，则转回执行所述的步骤3；

步骤4：判断所述的节点是否有真实的数据包P_t正等待发送：

若是，则设置收到的所述的上游数据包P_r的发送间隔定时器：第一定时器T_t，然后并行执行下述步骤5、步骤6；

若否，则向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3；

步骤5：将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

步骤6：等待所述的第一定时器T_t触发后，向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3。

本发明中混淆环的工作流程，包括以下步骤：

步骤101：所述的混淆环上的节点接收网络中节点发来的数据包P，所述的数据包P包括真实数据包P_t、虚假数据包P_f；

步骤102：所述的混淆环执行所述的数据包P的混淆过程，调整所述的数据包P的匿名度；

步骤103：判断是否有数据包P的匿名度达到门限值：

若是，则执行下述步骤104，

若否，则回转执行所述的步骤102；

步骤104：判断所述的数据包P是否为所述的真实数据包P_t：

若是，则将所述的数据包P发回基站，

若否，则将所述的数据包P丢弃；

步骤105：判断混淆环是否消耗了一个等级能量，

若是，调整混淆环的位置，然后回转执行所述的步骤102；

若否，回转执行所述的步骤102。

为了阻止攻击者通过流量分析得出事件源位置，距基站相同跳数的节点，即同一环上的节点产生数据包P的间隔服从相同的指数分布：

$F\left(x\right)=\left\{\begin{array}{cc}1-e^{-\mathrm{\&lambda;}x}& x\&GreaterEqual;0\\ 0& x<0\end{array}\right.$

其中λ为率参数，λ＝1/μ，x为数据包P产生的时间间隔，F(x)表示数据包P产生时间间隔在0到x之间的可能性，μ表示网络中节点产生数据包P间隔的均值。同一环上的节点产生数据包P的间隔均值μ的计算方法为：

$\mathrm{\&mu;}\left(r\right)=\left\{\begin{array}{cc}{0.95}^{R-r}{\mathrm{\&mu;}}_{\mathrm{MAX}}& r_{\mathrm{mix}}<r<R\\ {\mathrm{\&mu;}}_{\mathrm{MAX}}& r<r_{\mathrm{mix}}\end{array}\right.$

其中，μ(r)为跳数为r的环上节点的数据包产生间隔均值，R为网络的最大跳数，r_mix为混淆环的跳数，μ_MAX为预设的最大间隔均值。

本发明中，首先确定3个参数：均值μ、显著水平α、误差ε。μ表示网络中节点产生数据包间隔的均值，显著水平α表示实际采样间隔与指数分布之间的可接受距离，当两者的距离大于α时，会引起攻击者的怀疑；误差ε表示采样间隔的均值与均值μ之间的可接受误差，采样均值与均值μ的差值大于ε时，会引起攻击者的怀疑。确定了3个参数后，真实数据包与虚假数据包的产生间隔都必须控制在以μ为均值，(α，ε)为误差范围的指数分布范围内。

本发明中，确定跳数的节点为混淆环，混淆环变化的跳数区间为R为网络的最大跳数。在网络运行阶段，混淆环上的节点每消耗一个级别的能量后向基站请求调整混淆环，基站在收到多个节点的请求后向调整区间内的节点发送剩余能量查询消息，根据反馈的剩余能量选择剩余能量最多的环作为混淆环，然后基站将新的混淆环跳数向全网广播，更改混淆环的跳数。

本发明数据包P的混淆方法是：每个数据包P包含两个字段：跳数和匿名度，分别用于表示数据包P在混淆环上经过的节点跳数和数据包P源节点的位置隐私匿名强度；数据包P被转发到混淆环上后，在混淆环上按规则随机转发，每转发一次跳数加一；当有两个以上数据包P在同一节点相遇时，调整这些数据包的匿名度，再将这些数据包按规则随机转发到下一个节点；当数据包P的匿名度达到设定的匿名度门限值时，真实数据包发回基站，虚假数据包则丢弃；同时，虚假数据包在跳数达到门限值后也会被丢弃。

本发明中，节点没有监测到事件时需要向网络中注入虚假数据包P_f。每发送一个虚假数据包P_f后，节点调用随机算法Generation计算出距离发送下一个虚假数据包的间隔，按计算出的值设定第二定时器T_f，第二定时器T_f触发后生成虚假数据包发送出去，但对于收到的需要转发的数据包P不做延迟处理，立即转发；节点在监测到事件后，需要尽快将事件信息发回基站，此时要求低延时，但是不能立即发送，这样会破坏统计规律，因此需要计算出一个尽可能小而且能够保持统计规律的发送间隔。这里涉及到两个算法：(A)、测试算法Test：测试计算出的发送间隔能否与之前的间隔服从指数分布，即：imd₁,imd₂,……,imd_k-1表示之前的k-1个已服从指数分布的发送间隔，此时计算出的imd_k能否使imd₁,imd₂,……,imd_k-1,imd_k仍服从指数分布；(B)、搜索算法Search：搜索出一个最小的且能够通过测试算法的imd_k。在有多个持续的事件发生时，节点多次调用Search算法，就会导致采样均值逐渐变小，本发明中采用均值恢复算法Recovery计算出下一个合适的间隔值，使所有发送间隔的采样均值与均值μ不会超过误差ε。

本发明中，数据包P在产生时采用主动延迟机制。节点在监测到事件后，调用算法Search计算出该事件报告的发送间隔imd，如果在到达imd之前该节点收到上一跳节点转发的一个数据包P，那么将数据包P的发送间隔设为imd,将本地监测的事件报告立即向下一跳节点发送，这样可以在保证不影响统计规律的前提下缩小事件报告延迟。

产生的数据包P全部发送到确定的混淆环上，数据包P在混淆环上的节点之间以一定的随机规则转发进行混淆。本发明设计一种匿名评估办法，每个数据包P含有一个匿名度字段Anon，用于量化对源位置隐私保护的效果，其初始值为1，变化区间为[1,10]，值越大，表示隐私的保护效果越好。混淆环上的节点每收到一个数据包，首先会为其设置一个延时T，表示在驻留了T之后才能向外转发，T的值在系统设置的延迟范围[t₁,t₂]中随机选择。每个数据包P的延时T是相互独立的，这样就可以扰乱数据包的发送顺序，使攻击者无法准确地反向追踪。在数据包P的延时超时后，调整数据包P的匿名度：Anon’＝Anon×(1+(k-1)×β)，Anon’为调整后的匿名度，Anon为调整前的匿名度，k表示此时节点本地缓存的数据包P的个数，β为系数，取0.2。

混淆环上某个节点Node_a收到一个从环外节点转发来的数据包Pack后，首先为Pack设置一个延时T_a，然后Node_a查询路由表中与之相邻的环上节点，若相邻节点有m_a个节点Node_i(1≤i≤m_a)，那么以相同的概率从Node_i(1≤i≤m_a)中随机选择一个作为下一跳节点Node_b，待延时T_a超时后，调整Pack的匿名度，最后将Pack发送给Node_b。Node_b在收到Pack后，首先设置一个延时T_b，然后查询相邻的环上节点，若有m_b个节点Node_i(1≤i≤m_b)，选择上一跳节点Node_b作为下一跳节点的概率为P_back，选择其他任一节点作为下一跳节点Node_d的概率为(1－P_back)/(m_b－1)，选择出下一跳节点Node_c，待T_b超时后，调整Pack的匿名度，最后将Pack发送给Node_c。Node_c在收到Pack后重复上述过程。直到Pack的的匿名度达到门限值10后，如果Pack是真实的数据包那么将其发回基站，如果Pack是虚假数据包，那么将其丢弃，不再转发。

请见图4，为本发明的虚假数据包发送间隔产生算法Generation工作流程图。节点在没有监测到真实事件时会调用此方法，计算出下一次发送虚假数据的间隔。Generation算法包括以下具体步骤：

步骤201：输入网络的最大跳数R，混淆环的跳数r_mix，预设的最大均值μ_MAX，节点跳数r。

步骤202：判断r是否大于等于r_mix：

若是，则通过式μ＝0.95^R-rμ_MAX计算本节点的数据包发送间隔预设均值μ；

若否，则节点的数据包发送间隔预设为均值μ＝μ_MAX；

步骤203：计算Z＝rand()/RAND_MAX，其中rand()为随机数产生函数，RAND_MAX为rand()函数可以产生的最大随机数；

步骤204：判断Z是否为0或1：

若是，则回转执行步骤203；

否则，则返回－μ*ln(Z)，至此，本流程结束。

请见图5，为本发明的测试算法Test工作流程图，用于测试一个序列是否服从指数分布。在Search算法和Recovery算法中会调用该测试算法。Test算法包括以下步骤：

步骤301：输入一个待测序列{x_i,1≤i≤n}，网络的最大跳数R，混淆环的跳数r_mix，预设的最大均值μ_MAX，节点跳数r，误差ε；

步骤302：对待测序列{x_i,1≤i≤n}进行升序排序，得到x₁≤x₂≤···≤x_n；

步骤303：计算变量S的值：

$S=\underset{i=1}{\overset{n}{\mathrm{\&Sigma;}}}\frac{2i-1}{n}[\log F\left(x_i\right)+\log (1-F\left(x_{n+1-i}\right))]$

其中F(x)表示累积分布函数；

步骤304：计算检验统计量A的值：A＝-n-S；

步骤305：计算本节点的预设间隔均值μ(r)： $\mathrm{\&mu;}\left(r\right)=\left\{\begin{array}{cc}{0.95}^{R-r}{\mathrm{\&mu;}}_{\mathrm{MAX}}& r_{\mathrm{mix}}<r<R\\ {\mathrm{\&mu;}}_{\mathrm{MAX}}& r<r_{\mathrm{mix}}\end{array}\right.;$

步骤306：计算本节点的实际间隔均值μ’：

步骤307：判断检验统计量A是否小于显著水平α以及实际均值μ’与预设间隔均值μ(r)的误差是否处于ε内，

如果A小于α并且(1-ε)*μ(r)≤μ’≤(1+ε)*μ(r)，则待测序列{x_i,1≤i≤n}服从指数分布，返回值True；至此，本流程结束；

否则，待测序列{x_i,1≤i≤n}不服从指数分布，返回值False。至此，本流程结束。

请见图6，为本发明的真实数据包发送间隔搜索算法Search工作流程图，节点在监测到事件后，需要尽快向基站报告事件，因此要尽可能降低延迟，而且要保证计算出的间隔不会破坏分布规律。Search算法包括以下步骤：

步骤401：输入之前的发送间隔{imd_i(1≤i≤n)}，作为计算的依据；

步骤402：计算{imd_i(1≤i≤n)}的均值X以及最大值MaxImd；

步骤403：设置循环时增加的步长INCREASEPIECE为0至X/4之间的一个随机值，这样可以搜索出一个小的且不会破坏分布规律的间隔值。再令imd＝-INCREASEPIECE；

步骤404：判断imd是否大于MaxImd，如果imd大于MaxImd，表示当前INCREASEPIECE的值不合适，找不到适当的imd，需要重新选择INCREASEPIECE，则转回执行步骤403；否则，执行步骤405；

步骤405：imd＝imd+INCREASEPIECE，每次增加一个步长INCREASEPIECE，对每一个新的INCREASEPIECE，执行到该步骤时，会从0开始进行搜索；

步骤406：将imd加入到已有的序列{imd_i(1≤i≤n)}中，调用Test算法进行测试，提到返回值Ret；

步骤407：比较Ret是否为True：

如果Ret为True，则表示imd符合要求，可以作为真实数据包的发送间隔，返回imd；至此，本流程结束；

否则，则回转执行步骤404。

请见图7：为本发明的均值恢复算法Recovery工程流程图；某一节点连续监测到事件发生时，会多次调用Search算法，那么就会导致采样均值逐渐变小，会超过预定的可接受误差范围ε，此时需要采用均值恢复算法Recovery计算出使采样均值不超出可接受误差范围的发送间隔。算法Recovery包括以下步骤：

步骤501：输入之前的发送间隔{imd_i(1≤i≤n)}和均值μ；

步骤502：计算sum＝SUM(x₂,x₃,...,x_n)；dx＝μ-sum/(n-1)；y₁＝(μ+dx)*n-sum；y₂＝Generation(μ_MAX,r,r_mix)；

步骤503：在y₁和y₂之间选取一个随机值x，调用Test算法对序列{x₂,x₃,...,x_n,x}进行测试，得返回值Ret；

步骤504：比较Ret是否为True：

若Ret为True，则表示x的取值是合适的，返回x作为发送间隔；至此，本流程结束；

否则，则回转执行步骤503。

请见图8，为本发明的节点上单个数据包的混淆工作流程图；节点产生的数据包不会直接被转发到基站，而是先进入一个离基站某一跳数的环形节点带中，称为混淆环，在混淆环上数据包与数据包相互混淆，经过充分混淆后将真实的数据包发回基站，而虚假的数据包则被丢弃。混淆流程包括如下具体步骤：

步骤601：节点收到一个数据包Pack；

步骤602：在收到数据包Pack后，首先为其设置一个延时T，表示在本地驻留的时长，T的值在系统设置的延迟范围[t₁,t₂]中随机选择；

步骤603：等待Pack延时T超时后，开始对Pack进行处理；

步骤604：调整Pack的匿名度Anon’＝Anon×(1+(k-1)×β)，Anon’表示调整之后的匿名度，Anon表示原有的匿名度，k表示此时驻留在该节点上的数据包个数，β为系数，取β＝0.2；

步骤605：判断调整之后的匿名度Anon’是否超过了匿名度门限值Anon_Threshold，如果Anon’大于Anon_Threshold，执行步骤606；否则，执行步骤607；

步骤606：检查数据包是否为真实数据包：

如果是真实数据包，则表示Pack是一个真实数据包，已经实现充分匿名，需要发回基站。设置Pack的目的地址为基站，向低跳数的节点发送，使其逐跳转发回基站，至此，本流程结束；

否则，则表示Pack是一个虚假数据包，将其从发送队列中删除，不再转发，至此，本流程结束；

步骤607：判断Pack是否刚到达混淆环：

如果Pack刚到达混淆环，则从环内与本节点相邻的m个节点中等概率随机选择一个作为下一跳节点Node_next；

否则，为了使数据的流动有大致的方向趋势，避免数据包在进入混淆环的第一个节点附近徘徊，在m个相邻环内节点中，设定选择上一跳节点Node_last为下一跳节点Node_next的概率为P_back，选择其他节点为下一跳节点Node_next的概率为(1－P_back)/(m－1)。选出Node_next；

步骤608：将Pack发送给Node_next；至此，本流程结束。

请见图9，为本发明的混淆环的确定与动态调整工作流程图；网络开始工作前，需要确定混淆环。网络正常工作后，混淆环内的节点由于转发数据包次数较多，负载大，能量消耗快，为了平衡能耗，使网络不会因总分关键节点失效而全网失效，所以要进行混淆环的动态调整，这样可以延长网络寿命。以下是混淆环的确定与动态调整具体步骤：

步骤701：网络首先进行初始化工作，节点将能量分为l个级别；

步骤702：基站根据拓扑信息，首先确定跳数的所有节点组成混淆环，将hop向全网广播；

步骤703：网络正常运行，所有的数据包首先被发到跳数为hop的混淆环上进行混淆；

步骤704：检测是否消耗了一个级别的能量，如果是，则执行步骤705；否则，则回转执行步骤703；

步骤705：节点向基站发送调整混淆环的请求；

步骤706：基站在收到多个节点发来的请求后，向跳数处于区间内的节点查询剩余能量，根据反馈的剩余能量信息，选择平均剩余能量最多的环作为新的混淆环，将hop向全网广播。同时回转执行步骤703。

以上仅为本发明的较佳实施例而已，并非用于限定本发明的保护范围，因此，凡在本发明的精神和原则之内所作的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。

Claims (12)

1.一种无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于，包括以下步骤：

步骤1：网络初始化，建立通信、创建网络、确立混淆环，然后并行执行下述步骤2、步骤3；

步骤2：监测并判断周围事件是否发生：

若是，则构造真实数据包P_t，计算发送所述的真实数据包P_t的间隔，设置第一定时器T_t，当所述的第一定时器T_t触发后，将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

若否，则构造虚假数据包P_f，计算发送所述的虚假数据包P_f的间隔，设置第二定时器T_f，当所述的第二定时器T_f触发后，将所述的虚假数据包P_f向所述的混淆环逐跳转发，然后回转执行所述的步骤2；

步骤3：判断节点是否收到上游节点发来的上游数据包P_r，所述的上游数据包P_r有可能是真实数据包，也有可能是虚假数据包：

若是，则执行下述步骤4；

若否，则转回执行所述的步骤3；

步骤4：判断所述的节点是否有真实的数据包P_t正等待发送：

若是，则设置收到的所述的上游数据包P_r的发送间隔定时器：第一定时器T_t，然后并行执行下述步骤5、步骤6；

若否，则向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3；

步骤5：将所述的真实数据包P_t向所述的混淆环逐跳转发，取消所述的第一定时器T_t，然后回转执行所述的步骤2；

步骤6：等待所述的第一定时器T_t触发后，向所述的混淆环逐跳转发收到的所述的上游数据包P_r，然后回转执行所述的步骤3。

2.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的混淆环的工作流程，包括以下步骤：

步骤101：所述的混淆环上的节点接收网络中节点发来的数据包P，所述的数据包P包括真实数据包P_t、虚假数据包P_f；

步骤102：所述的混淆环执行所述的数据包P的混淆过程，调整所述的数据包P的匿名度；

步骤103：判断是否有数据包P的匿名度达到门限值：

若是，则执行下述步骤104，

若否，则回转执行所述的步骤102；

步骤104：判断所述的数据包P是否为所述的真实数据包P_t：

若是，则将所述的数据包P发回基站，

若否，则将所述的数据包P丢弃；

步骤105：判断混淆环是否消耗了一个等级能量，

若是，调整混淆环的位置，然后回转执行所述的步骤102；

若否，回转执行所述的步骤102。

3.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的计算发送所述的真实数据包P_t的间隔，调用的是Test、Search、Recovery算法；

Test算法包括以下步骤：

步骤301：输入一个待测序列{x_i,1≤i≤n}，网络的最大跳数R，混淆环的跳数r_mix， 预设的最大均值μ_MAX，节点跳数r，误差ε；

步骤302：对待测序列{x_i,1≤i≤n}进行升序排序，得到x₁≤x₂≤···≤x_n；

步骤303：计算变量S的值：

其中F(x)表示累积分布函数；

步骤304：计算检验统计量A的值：A＝-n-S；

步骤305：计算本节点的预设间隔均值μ(r)：

步骤306：计算本节点的实际间隔均值μ’：

步骤307：判断检验统计量A是否小于显著水平α以及实际均值μ’与预设间隔均值μ(r)的误差是否处于ε内，

如果A小于α并且(1-ε)*μ(r)≤μ’≤(1+ε)*μ(r)，则待测序列{x_i,1≤i≤n}服从指数分布，返回值True；至此，本流程结束；

否则，待测序列{x_i,1≤i≤n}不服从指数分布，返回值False；至此，本流程结束；

Search算法包括以下步骤：

步骤401：输入之前的发送间隔{imd_i(1≤i≤n)}，作为计算的依据；

步骤402：计算{imd_i(1≤i≤n)}的均值X以及最大值MaxImd；

步骤403：设置循环时增加的步长INCREASEPIECE为0至X/4之间的一个随机值，这样可以搜索出一个小的且不会破坏分布规律的间隔值，再令imd＝-INCREASEPIECE；

步骤404：判断imd是否大于MaxImd，如果imd大于MaxImd，表示当前INCREASEPIECE的值不合适，找不到适当的imd，需要重新选择INCREASEPIECE，则转回执行步骤403；否则，执行步骤405；

步骤405：imd＝imd+INCREASEPIECE，每次增加一个步长INCREASEPIECE，对每一个新的INCREASEPIECE，执行到该步骤时，会从0开始进行搜索；

步骤406：将imd加入到已有的序列{imd_i(1≤i≤n)}中，调用Test算法进行测试，提到返回值Ret；

步骤407：比较Ret是否为True：

如果Ret为True，则表示imd符合要求，可以作为真实数据包的发送间隔，返回imd；至此，本流程结束；

否则，则回转执行步骤404；

算法Recovery包括以下步骤：

步骤501：输入之前的发送间隔{imd_i(1≤i≤n)}和均值μ；

步骤502：计算sum＝SUM(x₂,x₃,...,x_n)；dx＝μ-sum/(n-1)；y₁＝(μ+dx)*n-sum；y₂＝Generation(μ_MAX,r,r_mix)；

步骤503：在y₁和y₂之间选取一个随机值x，调用Test算法对序列{x₂,x₃,...,x_n,x}进行测试，得返回值Ret；

步骤504：比较Ret是否为True：

若Ret为True，则表示x的取值是合适的，返回x作为发送间隔；至此，本流程结束；

否则，则回转执行步骤503。

4.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的计算发送所述的虚假数据包P_f的间隔，调用的是Generation算法；Generation算法包括以下具体步骤：

步骤201：输入网络的最大跳数R，混淆环的跳数r_mix，预设的最大均值μ_MAX，节点跳数r；

步骤202：判断r是否大于等于r_mix：

若是，则通过式μ＝0.95^R-rμ_MAX计算本节点的数据包发送间隔预设均值μ；

若否，则节点的数据包发送间隔预设为均值μ＝μ_MAX；

步骤203：计算Z＝rand()/RAND_MAX，其中rand()为随机数产生函数，RAND_MAX为rand()函数可以产生的最大随机数；

步骤204：判断Z是否为0或1：

若是，则回转执行步骤203；

否则，则返回－μ*ln(Z)，至此，本流程结束。

5.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的真实数据包P_t、所述的虚假数据包P_f、所述的上游数据包P_r，均是沿最短路径转发到所述的混淆环中。

6.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：距基站相同跳数的节点，即同一环上的节点产生数据包P的间隔服从相同的指数分布：

其中λ为率参数，λ＝1/μ，x为数据包P产生的时间间隔，F(x)表示数据包P产生时间间隔在0到x之间的可能性，μ表示网络中节点产生所述的数据包P间隔的均值。

7.根据权利要求6所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的同一环上的节点产生数据包P的间隔均值μ的计算方法为：

其中，μ(r)为跳数为r的环上节点的数据包产生间隔均值，R为网络的最大跳数，r_mix为混淆环的跳数，μ_MAX为预设的最大间隔均值。

8.根据权利要求1所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的混淆环的建立和动态变化方法是：选择离基站某一相同跳数的所有节点作为混淆环，用于实现所述的数据包P的混淆；将节点的能量分为k个级别，所述的混淆环节点每消耗一个级别的能量就调整一次所述的混淆环的位置，使能量均衡消耗。

9.根据权利要求8所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的混淆环的建立和动态变化，首先确定跳数的节点为所述的混淆环，所 述的混淆环变化的跳数区间为R为网络的最大跳数。

10.根据权利要求2述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的数据包P的混淆方法是：每个数据包P包含两个字段：跳数和匿名度，分别用于表示所述的数据包P在所述的混淆环上经过的节点跳数和所述的数据包P源节点的位置隐私匿名强度；所述的数据包P被转发到所述的混淆环上后，在所述的混淆环上按规则随机转发，每转发一次跳数加一；当有两个以上所述的数据包P在同一节点相遇时，调整这些数据包的匿名度，再将这些数据包按规则随机转发到下一个节点；当所述的数据包P的匿名度达到设定的匿名度门限值时，所述的真实数据包发回基站，所述的虚假数据包则丢弃；同时，所述的虚假数据包在跳数达到门限值后也会被丢弃。

11.根据权利要求10所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的每个数据包P的匿名度字段，用于量化对源位置隐私保护的效果，其初始值为1，变化区间为[1,10]，所述匿名度字段的值越大，表示隐私的保护效果越好。

12.根据权利要求10所述的无线传感网中基于动态混淆环的源位置隐私保护方法，其特征在于：所述的匿名度的调整方法为：Anon’＝Anon×(1+(k-1)×β)，Anon’为调整后的匿名度，Anon为调整前的匿名度，k表示此时节点本地缓存的数据包个数，β为系数，取0.2。