CN104717644B

CN104717644B - 一种可验证隐私保护的两层传感器网络范围查询方法

Info

Publication number: CN104717644B
Application number: CN201510059278.0A
Authority: CN
Inventors: 戴华; 杨庚; 何瑞良; 徐佳; 黄海平; 叶庆群
Original assignee: Nanjing Post and Telecommunication University
Current assignee: Nanjing Post and Telecommunication University
Priority date: 2015-02-04
Filing date: 2015-02-04
Publication date: 2017-12-26
Anticipated expiration: 2035-02-04
Also published as: CN104717644A

Abstract

本发明公开了一种可验证隐私保护的两层传感器网络范围查询方法，包括数据汇集协议、查询执行与验证协议，其中，数据汇集协议过程包括：感知节点周期性采集感知数据并进行桶划分，加密各数据桶并计算各冗余桶的验证码信息，构造相应的数据消息上传至存储节点，存储节点汇总后存储；查询执行与验证协议过程包括：基站构造含有目标区间对应的最小标签集的查询指令发送给存储节点，存储节点执行查询处理并返回相应的查询反馈消息，基站解密反馈消息并计算出最终的查询结果，最后验证其一致性。本发明的协议流程简单，能够保证敏感数据的隐私安全，且查询结果可验证；感知节点的网内通信代价低，有利于延长整个网络的生命周期。

Description

一种可验证隐私保护的两层传感器网络范围查询方法

技术领域

本发明涉及无线传感器网络安全技术领域，尤其涉及一种可验证隐私保护的两层传感器网络范围查询方法。

背景技术

目前，无线传感器网络(Wireless sensor networks)受到越来越多的关注，已在医疗健康、生态监测、智能交通以及国防军事等领域得到广泛应用。与传统多跳(Multi-hop)网络相比，两层传感器网络(Two-tiered wireless sensor networks)引入了计算、存储以及能量资源充足的存储节点(Storage nodes)作为中间层，负责接收、存储本单元内感知节点发送的数据，并对基站下发的查询指令进行处理并做出响应。除存储节点外，两层传感器网络还有两类设备节点，即感知节点(Sensor nodes)和基站(Base station)。感知节点是适用于大量部署的价格低廉、资源受限的感知设备，仅负责采集感知数据，并上传至本单元内的存储节点；而基站一般由服务器等设备构成，负责与外部用户进行交互，并将用户的查询指令通过诸如卫星通信等按需无线链接(On demand wireless link)的方式发送给存储节点。两层传感器网络具有链路质量稳定、路由结构简单、查询高效和负载均衡等优点，因而得到了广泛的应用。

然而，两层传感器网络在其广泛应用中也暴露出较为严重的安全问题。在两层传感网络中，存储节点存储着整个网络的感知数据，一旦存储节点被俘获，整个网络的隐私安全将面临严重威胁。同时，存储节点还要响应并执行基站的查询请求，被俘获的存储节点有可能伪造、篡改或者隐瞒真实的查询结果，破坏查询结果的一致性，使得基站得到不真实或者不完整的无效查询结果，最终影响用户的判断与决策。如何在保证敏感数据隐私安全性的前提下，确保查询结果的一致性可验证，是两层传感器网络安全技术研究和应用中的一个重要问题。

范围查询是无线传感器网络中应用较为广泛的数据查询方法。本发明目的是在面向两层传感器网络环境中，设计一种具有隐私保护能力并且能够对范围查询的结果数据进行一致性验证的安全范围查询方法。

现有的与两层传感器网络中可验证隐私保护范围查询方法密切相关的专利或文献主要有：

专利“一种隐私保护的两层传感器网络范围查询系统及方法”(申请日期：2013.12.27，公开号：CN103763702A)，这项专利实现了与本发明相同的面向两层传感网的可验证隐私保护范围查询，但在数据采集过程中，每个感知节点需要为本节点所采集的所有感知数据生成保序编码集并进行上传，导致感知节点通信代价较高，影响整个网络的生命周期。

论文“Sheng B and Li Q.Verifiable privacy-preserving range query intwo-tiered sensor networks,27th IEEE International Conference on ComputerCommunications(INFOCOM 2008),Phoenix,AZ,USA,2008:46-50”、“Shi J,Zhang R,ZhangY C.Secure range queries in tiered sensor networks,28th IEEE InternationalConference on Computer Communications(INFOCOM 2009),Piscataway,NJ:IEEE,2009:945-953”、“Shi J,Zhang R,Zhang Y.A spatiotemporal approach for secure rangequeries in tiered sensor networks[J].IEEE Trans on Wireless Communications,2011.10(1):264-273”、“Chen F and Liu A X.SafeQ:secure and efficient queryprocessing in sensor networks,29th IEEE International Conference on ComputerCommunications,San Diego,CA,USA,2010:1-9”、“Chen F,Liu A X.Privacy andintegrity-preserving range queries in sensor networks,IEEE/ACM Transaction onNetworks,2012,20(6):1774-1787”、“Yi Y,Li R,Chen F,et al.A digital watermarkingapproach to secure and precise range query processing in sensor networks,INFOCOM,2013Proceedings IEEE.IEEE,2013:1950-1958”和“李睿,林亚平,易叶青等.两层传感器网络中隐私与完整性保护的范围查询协议,计算机学报,2013,36(6):1194-1209”都实现了与本发明类似的面向两层传感网的可验证隐私保护范围查询，但在上述论文所述方法的数据采集过程中，感知节点都需要上传大量的用于一致性验证的附加信息，导致感知节点通信效率较低，影响网络的生命周期；而在本发明中，所有感知节点只需为每个冗余桶上传一个验证码信息，且相同桶的验证码在传输过程中进行了异或合并处理，使得各感知节点上传的验证码数量得到有效控制，从而能够有效地减少因传输验证码而产生的附加通信代价。

发明内容

本发明所要解决的技术问题是针对背景技术中所涉及的缺陷，提供一种可验证隐私保护的两层传感器网络范围查询方法，在保证敏感数据隐私安全性的同时，确保基站能够对查询结果进行验证，从而确定查询结果的一致性。

本发明为解决上述技术问题采用以下技术方案：

一种可验证隐私保护的两层传感器网络范围查询方法，包含以下步骤：

步骤1)，感知节点周期性采集感知数据并进行桶划分，利用仅与基站共享的密钥加密各数据桶并计算各冗余桶的验证码信息，然后根据节点类型构造相应的数据消息并上传至存储节点，由存储节点汇总后进行存储；

步骤2)，基站根据桶划分策略，计算出目标区间对应的最小标签集，然后将含有该最小标签集的查询指令发送给存储节点；存储节点根据查询指令的要求执行查询处理过程，选取标签在最小标签集中的密文数据桶，并计算相应的验证码，然后返回包含相关密文数据桶和验证码的查询反馈消息，并上传给基站；

步骤3)，基站解密查询反馈消息并计算出最终的查询结果，然后逐一验证一致性条件是否同时成立，确定查询结果是否满足一致性。

作为本发明一种可验证隐私保护的两层传感器网络范围查询方法进一步的优化方案，步骤1)的详细步骤如下：

步骤1.1)，感知节点采集感知数据，对其进行桶划分，然后加密各数据桶，并计算各冗余桶的验证码；如果当前节点是叶节点，执行步骤1.2)，否则执行步骤1.3)；

步骤1.2)，对于每一个叶节点，构造包含时间周期、感知节点ID、数据桶密文以及冗余桶验证码的数据消息，并上传至父节点；

步骤1.3)，对于每一个非叶节点，将标签相同的本节点的验证码和接收到的后裔节点的数据消息中的验证码进行异或处理，生成新的验证码；然后将这些验证码、本节点的和后裔节点发来的数据桶密文、相应的节点ID以及标签一起上传至父节点；

步骤1.4)，当本单元内所有感知节点都完成数据上传时，存储节点将相同标签的各节点的密文数据桶进行汇总，并分别对桶标签相同的验证码进行异或处理，得到该标签下唯一的验证码，然后将该验证码以及汇总后的密文数据桶进行存储。

作为本发明一种可验证隐私保护的两层传感器网络范围查询方法进一步的优化方案，步骤2)的详细步骤如下：

步骤2.1)，基站根据桶划分策略，计算出查询指令中目标区间所对应的最小标签集；

步骤2.2)，基站用最小标签集替换原查询指令中的目标区间，并作为新的查询指令发送至存储节点，然后等待其反馈消息；

步骤2.3)，存储节点接收到基站的查询指令后，首先将自身存储的符合查询指令时间要求的、且标签在最小标签集中的各冗余桶对应的验证码进行异或处理，得到唯一的查询结果验证码；然后构造包含该验证码以及标签在最小标签集中的密文数据桶的反馈消息，并上传至基站。

作为本发明一种可验证隐私保护的两层传感器网络范围查询方法进一步的优化方案，步骤3)的详细步骤如下：

步骤3.1)，当基站收到存储节点的反馈消息后，利用与各感知节点共享的加密密钥，解密其中的密文数据桶，然后与目标查询区间进行比较，即可得到最终的查询结果；

步骤3.2)，基站检查步骤3.1)中得到的明文数据桶，如果各桶中的所有感知数据都在最小标签集对应的区间范围内，执行步骤3.3)，否则执行步骤3.8)；

步骤3.3)，基站检查反馈消息中的冗余桶标签集合，如果反馈消息中的冗余桶标签集合为空，执行步骤3.4)，否则执行步骤3.5)；

步骤3.4)，基站检查反馈消息中是否存在验证码信息，如果不存在，执行步骤3.7)，否则执行步骤3.8)；

步骤3.5)，基站检查反馈消息中是否存在验证码信息，如果存在，执行步骤3.6)，否则执行步骤3.8)；

步骤3.6)，基站根据反馈消息中的冗余桶的标签反向计算结果验证码，然后将该验证码与存储节点发送的反馈消息中的验证码进行比较，如果两者相同，执行步骤3.7)，否则执行步骤3.8)；

步骤3.7)，返回查询结果一致性验证成功；

步骤3.8)，返回查询结果一致性验证失败，查询结果异常。

作为本发明一种可验证隐私保护的两层传感器网络范围查询方法进一步的优化方案，所述步骤2.1)中基站采取的桶划分策略为等宽划分数据桶，即将数据域均匀地划分为若干个数据桶，使得各数据桶的区间长度一致。

本发明采用以上技术方案与现有技术相比，具有以下技术效果：

1.隐私安全性高

本发明基于感知节点和基站可信的前提，仅当存储节点无法获得感知数据的明文数值时，才能保证感知数据的隐私安全。在数据汇集过程中，感知节点首先对感知数据进行桶划分，再对各数据桶进行加密处理，然后再进行传输，桶划分策略以及加密所用的密钥仅与基站共享。所以，存储节点在不知道桶划分策略及加密密钥的情况下，获取感知数据明文的复杂度与破解加密算法相同。因此，本发明提出的方法能够保证感知数据的隐私安全性。

在查询处理过程中，基站并未将目标区间发送给存储节点，而是根据桶划分策略计算出该区间对应的最小标签集，构造出安全查询指令并发送给存储节点，从而保证了目标区间的隐私安全性。而存储节点根据安全查询指令，构造包含相应的密文数据桶的反馈消息发送至基站，基站解密其中的密文数据桶即可计算出最终的范围查询结果。在整个查询处理过程中，存储节点仅涉及密文数据桶，在不知道加密密钥的情况下，无法获得查询结果明文。因此，本发明同样能够保证查询结果的隐私安全性。

2.查询结果的可验证性高

在查询执行与验证过程中，被俘获的存储节点只有破解密文数据桶或者伪造相应的验证码，才能破坏查询结果的一致性。而加密所用的密钥和HMAC密钥仅由感知节点与基站共享，存储节点在不知道密钥的情况下，破解数据桶密文或者伪造验证码的复杂度等同于破解加密算法或者HMAC算法的复杂度。同时，加密及HMAC密钥随时间周期变化，初始密钥仅由感知节点和基站共享，使得存储节点无法进行历史数据攻击。因此，合理选择加密算法(如AES等)和HMAC算法(如SHA-1等)，就能保证存储节点无法破解查询结果的一致性而不被基站识别，从而保证了基站能够对查询结果的一致性进行验证。

3.通信代价低

在两层传感网络中，由于感知节点的能量资源受限，而存储节点的能量资源丰富，因此两层传感网络的生命周期完全取决于感知节点的能量消耗。对于感知节点来说，其能量消耗主要来自数据通信。因此，单元内各感知节点之间的数据通信代价直接影响着两层传感网络的生命周期。

设时间周期的数据长度(单位为bit，下同)为l_time，感知节点ID的数据长度为l_ID，桶标签的数据长度为l_TAG，感知数据明文数据长度为l_data，单位密文分组的数据长度为l_cipher，HMAC验证码的数据长度为l_HMAC，在数据汇集过程中感知节点的通信代价记为Cost。假设网络感知节点数量为n，各感知节点在单位时间周期内采集的数据数量为N，分桶数量为t，桶划分过程中数据桶为空的概率为p，感知节点与存储节点之间的平均路径长度为则由数据汇集协议可知：

本发明提出的方法与现有方法相比，各感知节点只需为每个冗余桶生成一个验证码，并且使相同桶的验证码在传输过程中进行异或合并，有效控制了感知节点上传的验证码数量(不大于桶数量τ)，进而有效地降低了用于验证码传输的附加通信代价，从而降低感知节点的能量消耗，延长整个网络的生命周期。

附图说明

图1是两层传感器网络结构示意图；

图2是TAG协议构建路由树示意图；

图3是桶划分实例图；

图4是数据汇集过程的流程示意图；

图5是查询执行与验证过程的流程示意图。

具体实施方式

下面结合附图对本发明的技术方案做进一步的详细说明：

本发明基于桶划分机制和对称加密技术，实现对敏感数据的隐私保护；基于Hash消息身份认证编码(HMAC)机制，通过在传输数据中加入相关验证码，实现对查询结果的一致性验证。为了进一步说明技术方案，本发明首先给出相关符号定义与假设，然后再给出技术方案的详细过程。

一、相关符号定义与假设

本发明基于图1所示的两层无线传感器网络模型，重点研究在一个单元内获取感知数据值在范围[lb,ub]中的范围查询技术方案。对于覆盖多个单元的复杂范围查询而言，可以通过对各单元进行独立范围查询，最后由基站对查询结果合并处理，即可获得最终的查询结果。

假设基站记为BS，单元C包含n个感知节点，记为C＝{s₁,s₂,…,s_n}，存储节点记为M，时间周期标签记为t；对于任一感知节点s_i，id(s_i)表示s_i的节点ID；k_i,t和g_i,t分别表示s_i在时间周期t内的加密密钥和HMAC密钥，其中k_i,t＝gen₁(id(s_i),k_i,t-1)，g_i,t＝gen₂(id(s_i),g_i,t-1)，而gen₁和gen₂表示不同的密钥产生器，且初始密钥k_i,0和g_i,0以及密钥产生器都仅与基站共享。利用k_i,t加密得到的密文数据记为而利用g_i,t生成的HMAC编码记为基站进行范围查询的查询指令记为Q_t＝(t,C,[lb,ub])，表示获取在时间周期t内由查询目标单元C中n个感知节点产生的数值范围在区间[lb,ub]中的感知数据的指令信息。

假设各单元内部的感知节点按照树形路由结构逐跳上传数据至父节点，直至存储节点M。例如，在图2所示的路由树中，感知节点s₁、s₂、s₃和s₄在时间周期t内采集的数据分别构成集合DS₁、DS₂、DS₃和DS₄。在数据上传阶段，s₁将DS₁上传给父节点s₂，s₂先将DS₁和DS₂汇总后再上传至父节点s₄，s₃直接将自身的数据集DS₃上传至父节点s₄，最终由s₄汇总所有后裔节点上传的数据集DS₁、DS₂和DS₃以及自身采集的数据集DS₄，然后再上传至M。

假设感知节点采集数据的域Ψ被划分为τ个桶，各桶对应的标签集合记为{T₁,T₂,…,T_τ}，T_j*表示标签为T_j的桶对应的区间范围。图3即为一个桶划分实例，其中数据域Ψ＝[0,100]被划分为4个桶区间：[0,25)、[25,50)、[50,75)和[75,100]。

设感知节点s_i在t内采集的数据集合为经过桶划分后，T_j桶中的数据集合记为若则称为数据桶(Data Bucket)，记为否则称为冗余桶(RedundantBucket)，记为设s_i的数据桶标签集合记为冗余桶标签集合记为对于任一区间[a,b]∈Ψ，称能够包含该区间的最小的桶集合为最小包含桶集合，简称为最小桶集合；该集合中各桶对应的标签集合称为最小包含桶标签集合，简称为最小标签集，记为

二、方法流程

本发明的核心是设计两个数据传输协议：数据汇集协议和查询执行与验证协议，具体内容如下。

1.数据汇集协议

在任一时间周期t内，感知节点s_i采集感知数据并进行桶划分，加密各数据桶，并计算各冗余桶的验证码，然后将密文数据桶及验证码上传至其所在单元内的存储节点M，并由M汇总处理后存储。详细协议过程为以下A、B两步：

A.对于任一感知节点s_i，s_i依次执行如下步骤：

(1)s_i根据桶划分策略，对t内采集到的感知数据进行桶划分，得到数据桶集合和冗余桶集合

(2)对于任一数据桶设其标签为T_w，利用密钥k_i,t加密该数据，得到密文数据桶对于任一冗余桶设其标签为T_v，计算表征s_i采集的数据均不在T_v桶中的验证码h_i,v，计算方法如下：

(3)s_i按照自身的节点类型(叶节点/非叶节点)构造相应的数据消息，并上传至父节点，直至M。具体如下(假设s_i的父节点为s_j)：

(a)如果s_i是叶节点，则数据消息格式如下：

(b)如果s_i为中间节点，设其后裔节点构成集合Γ_i，则s_i按照如下格式构造数据消息并上传至s_j。

其中表示异或运算,表示

B.当存储节点M接收到单元内所有感知节点上传的数据消息后，首先对数据消息以桶为单位进行处理：汇总相同标签的各节点的密文数据桶，对标签相同的冗余桶对应的验证码进行异或运算，使每个标签下最多只有一个验证码。最后得到如下格式的数据信息，并进行存储：

2.查询执行与验证协议

基站首先根据原始查询指令构造新的查询指令，然后将新查询指令发送给存储节点M；M根据指令要求，选取相关的密文数据桶，并计算相应的验证码，然后发送给基站；基站解密M返回的密文数据即可计算出范围查询结果，并根据解密后的明文数据反向计算验证码信息，并进行一致性验证。具体协议过程如下：

第1阶段：范围查询处理

(1)基站根据桶划分策略，计算出查询指令Q_t＝(t,C,[lb,ub])中的查询区间[lb,ub]所对应的最小标签集

(2)基站用最小标签集代替原始查询指令Q_t中的目标区间，构造新的查询指令并发送至M，然后等待M的查询反馈消息；

(3)M接收到基站发送的安全查询指令Q_t’后，首先将时间周期t内、标签在中的各冗余桶对应的验证码进行异或处理，得到唯一的查询结果验证码；然后构造包含该验证码及标签在中的密文数据桶的反馈消息，并上传至基站。

第2阶段：查询结果计算和验证

(1)基站收到M的反馈消息后，按照如下步骤计算查询结果：

①基站利用与各感知节点共享的加密密钥，解密其中的密文数据桶，设得到的明文数据集合记为PR；

②基站确定各感知节点是否在反馈消息中贡献了数据桶和冗余桶，设s_i贡献的数据桶和冗余桶的标签构成的集合分别为和反馈消息中的验证码设为h_q(该验证码可能不存在)。显然，且

③基站将解密得到的明文数据集合PR与查询区间[lb,ub]进行比较，即可计算出查询结果(记为)，则

(2)基站通过逐一验证如下两个条件是否成立，仅当所有条件均成立时，查询结果满足一致性验证要求，否则该查询结果存在异常。

①条件一：解密得到的所有明文数据都在目标查询区间[lb,ub]对应的最小桶区间内，即

②条件二：如果各感知节点在反馈消息中贡献的冗余桶标签集合均为空，则反馈消息中必然不存在任何验证码信息；否则，根据各冗余桶的标签反向计算得到的结果验证码与反馈消息中的验证码h_q完全一致，即

由上述协议流程可知，数据汇集协议给出了感知节点与存储节点之间协作以完成数据采集和存储的处理过程，而查询执行与验证协议则描述了基站与存储节点之间如何进行协作以完成查询结果计算和验证的具体流程。

本发明的具体实施方式可描述为如下两个异步的处理过程：

一、数据收集过程，如图4所示：

(1)在每一个时间周期内，感知节点首先将自身采集的感知数据进行桶划分，然后利用仅与基站共享的密钥，加密各数据桶，并计算各冗余桶的验证码。

(2)s_i按照自身的节点类型(叶节点/非叶节点)构造不同数据消息并上传：

①若当前节点是叶节点，则构造包含时间周期、节点ID、数据桶密文以及冗余桶验证码的数据消息，并上传至父节点；

②若当前节点是非叶节点，则当接收到所有后裔节点上传的数据消息后，将标签相同的本节点的验证码和所有后裔节点的数据消息中的验证码进行异或处理，生成新的验证码；然后将这些验证码、本节点的和后裔节点发来的数据桶密文、相应的节点ID以及桶标签一起上传至父节点。

(3)重复步骤(2)直到所有感知节点的数据消息都上传至存储节点。

(4)当本单元内所有感知节点都完成数据上传时，存储节点将相同标签的各节点的密文数据桶进行汇总，并分别对桶标签相同的验证码进行异或处理，得到该标签下唯一的验证码，然后将该验证码以及汇总后的密文数据桶进行存储。

二、查询处理过程，如图5所示：

(1)基站根据桶划分策略，计算出查询指令Q_t＝(t,C,[lb,ub])中的目标区间[lb,ub]对应的最小标签集

(2)基站用最小标签集替换原查询指令[lb,ub]中的查询区间，构造新的查询指令发送至存储节点，等待其反馈消息。

(2)M接收到基站发来的查询指令后，首先将自身存储的在时间周期t内的、在最小标签集中的标签所表示的冗余桶对应的验证码进行异或处理，得到唯一的查询结果验证码；然后构造包含该验证码及标签在最小标签集中的数据桶密文的反馈消息，并上传至基站。

(3)基站接收到存储节点发送的反馈消息后，利用与各感知节点共享的加密密钥，解密各数据桶密文；然后将得到的明文数据与查询区间进行比较，即可计算出最终的查询结果。

(4)对于步骤(3)中得到的数据桶明文，基站依次执行如下步骤，验证查询结果的一致性：

①检查各明文数据所属的区间范围，如果所有明文数据都在最小标签集对应的区间范围内，则转②；否则，转(6)。

②检查反馈消息中的冗余桶标签集合，如果反馈消息中的冗余桶标签集合为空，则转③；否则，转④。

③检查反馈消息中是否存在验证码信息，如果不存在，则转(5)；否则，转(6)。

④检查反馈消息中是否存在验证码信息，如果存在，则转⑤；否则，转(6)。

⑤基站根据反馈消息中冗余桶的标签反向计算结果验证码，然后将该验证码与存储节点发送的反馈消息中的验证码进行比较，如果两者相同，则转(5)；否则，转(6)。

(5)查询结果一致性验证成功，查询结果真实且完整，查询执行与验证过程结束。

(6)查询结果一致性验证失败，查询结果异常，查询执行与验证过程结束。

需要指出的是，以上所述，仅为本发明的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化和替换，都应涵盖在本发明的保护范围内。因此，本发明的保护范围应以所述权利要求的保护范围为准。

Claims

1.一种可验证隐私保护的两层传感器网络范围查询方法，其特征在于，包含以下步骤：

步骤1），感知节点周期性采集感知数据并进行桶划分，令桶中数据集合不是空集的桶为数据桶，桶中数据集合是空集的桶为冗余桶；利用仅与基站共享的密钥加密各数据桶并计算各冗余桶的验证码信息，然后根据节点类型构造相应的数据消息并上传至存储节点，由存储节点汇总后进行存储；

步骤2），对于任一属于感知节点采集数据的域的区间，令能够包含该区间的最小的桶集合为最小桶集合，最小桶集合中各桶对应的标签集合为最小标签集，基站根据桶划分策略，计算出目标区间对应的最小标签集，然后将含有该最小标签集的查询指令发送给存储节点；存储节点根据查询指令的要求执行查询处理过程，选取标签在最小标签集中的密文数据桶，并计算相应的验证码，然后返回包含相关密文数据桶和验证码的查询反馈消息，并上传给基站；

步骤3），基站解密查询反馈消息并计算出最终的查询结果，然后逐一验证一致性条件是否同时成立，确定查询结果是否满足一致性。

2.根据权利要求1所述的可验证隐私保护的两层传感器网络范围查询方法，其特征在于，步骤1）的详细步骤如下：

步骤1.1），感知节点采集感知数据，对其进行桶划分，然后加密各数据桶，并计算各冗余桶的验证码；如果当前节点是叶节点，执行步骤1.2），否则执行步骤1.3）；

步骤1.2），对于每一个叶节点，构造包含时间周期、感知节点ID、数据桶密文以及冗余桶验证码的数据消息，并上传至父节点；

步骤1.3），对于每一个非叶节点，将标签相同的本节点的验证码和接收到的后裔节点的数据消息中的验证码进行异或处理，生成新的验证码；然后将这些验证码、本节点的和后裔节点发来的数据桶密文、相应的节点ID以及标签一起上传至父节点；

步骤1.4），当本单元内所有感知节点都完成数据上传时，存储节点将相同标签的各节点的密文数据桶进行汇总，并分别对桶标签相同的验证码进行异或处理，得到该标签下唯一的验证码，然后将该验证码以及汇总后的密文数据桶进行存储。

3.根据权利要求1所述的可验证隐私保护的两层传感器网络范围查询方法，其特征在于，步骤2）的详细步骤如下：

步骤2.1），基站根据桶划分策略，计算出查询指令中目标区间所对应的最小标签集；

步骤2.2），基站用最小标签集替换原查询指令中的目标区间，并作为新的查询指令发送至存储节点，然后等待其反馈消息；

步骤2.3），存储节点接收到基站的查询指令后，首先将自身存储的符合查询指令时间要求的、且标签在最小标签集中的各冗余桶对应的验证码进行异或处理，得到唯一的查询结果验证码；然后构造包含该验证码以及标签在最小标签集中的密文数据桶的反馈消息，并上传至基站。

4.根据权利要求1所述的可验证隐私保护的两层传感器网络范围查询方法，其特征在于，步骤3）的详细步骤如下：

步骤3.1），当基站收到存储节点的反馈消息后，利用与各感知节点共享的加密密钥，解密其中的密文数据桶，然后与目标查询区间进行比较，即可得到最终的查询结果；

步骤3.2），基站检查步骤3.1）中得到的明文数据桶，如果各桶中的所有感知数据都在最小标签集对应的区间范围内，执行步骤3.3），否则执行步骤3.8）；

步骤3.3），基站检查反馈消息中的冗余桶标签集合，如果反馈消息中的冗余桶标签集合为空，执行步骤3.4），否则执行步骤3.5）；

步骤3.4），基站检查反馈消息中是否存在验证码信息，如果不存在，执行步骤3.7），否则执行步骤3.8）；

步骤3.5），基站检查反馈消息中是否存在验证码信息，如果存在，执行步骤3.6），否则执行步骤3.8）；

步骤3.6），基站根据反馈消息中的冗余桶的标签反向计算结果验证码，然后将该验证码与存储节点发送的反馈消息中的验证码进行比较，如果两者相同，执行步骤3.7），否则执行步骤3.8）；

步骤3.7），返回查询结果一致性验证成功；

步骤3.8），返回查询结果一致性验证失败，查询结果异常。

5.根据权利要求3所述的可验证隐私保护的两层传感器网络范围查询方法，其特征在于，所述步骤2.1）中基站采取的桶划分策略为等宽划分数据桶，即将数据域均匀地划分为若干个数据桶，使得各数据桶的区间长度一致。