位置隐私保护的有效方案在网络监测系统

k . Chaithanya Jyothi¹和诉斯²

学生,M。技术(CSE), Anadapuram Al-Ameer工程与技术学院威扎吉,一个。P、印度
Asst.Professor (CSE)、Anadapuram Al-Ameer工程与技术学院威扎吉,一个。P、印度

通讯作者:k . Chaithanya Jyothi,电子邮件:chaithanyajyothi2012@gmail.com

文摘

而无线传感器网络部署监控某些事件和确定他们的位置,位置信息的目的是仅供合法用户。然而,一个偷听者可以监控流量和推断的近似位置监控对象在某些情况下。我们首先描述一个成功的攻击幻影路由,提出了开创性工作由Celal Oz-turk, Yanyong张,韦德Trappe。然后,我们提出发展(贪婪随机游走),双向随机漫步。,from both source and sink, to reduce the chance an eaves- dropper can collect the location information. We improve the delivery rate by using local broadcasting and greedy for- warding. Privacy protection is verified under a backtracking attack model. The message delivery time is a little longer than that of the broadcasting-based approach, but it is still acceptable if we consider the enhanced privacy preserving capability of this new approach. At the same time, the energy consumption is less than half the energy consumption of flooding-base phantom routing, which is preferred in a low duty cycle, environmental monitoring sensor network.

关键字

位置隐私、无线传感器网络定位监控系统,聚集查询处理。

介绍

近年来无线通信已经获得了更多的声望。应用流行背后的推动力量是很容易部署和迁移。除了今天无线本地网络的广泛应用,新兴无线通信的应用程序包括无线传感器网络和网状网络[1]。它可以很容易地看到,无线网络将获得更多的知名度和巨大——形成将进行无线网络在不久的将来。

然而,无线通信媒体广播媒体,这带来了一个巨大的挑战,如何保护信息在网络上运行。尽管强加密的数据,无线通信媒体仍然暴露了一些关于交通进行了网络的信息。这是一个固有的无线通信的副作用。到处都流动意味着沟通预计在部署区域,后来公开的沟通可能的攻击者。容易部署意味着某些开放协议,随后公开一些协议信息可能的攻击者。

位置隐私是一个重要的安全问题。失去位置隐私可以使后续暴露身份信息,因为位置信息使网络空间信息和现实世界实体之间的绑定。例如,上网包的一个家在网状网络使窃听者分析一个家庭的浏览习惯如果这些数据包的源位置可以确定。

在无线传感器网络中,位置信息往往意味着事件的物理位置,而一些无线传感器网络的应用是至关重要的。例如,在战场上,士兵不应该接触的位置,如果他发起一个广播查询。熊猫-亨特问题,熊猫的位置不应该,对猎人[2]。

无线传感器网络可以是低占空比净——工作。通常,交通有很强的相关性与某一事件在特定时间。这给一个屋檐,滴管巨大的优势,因为他不需要复杂的技术来区分不同事件之间的交通。在本文中,我们研究了源位置隐私问题的假设下,一个单一的源在特定的时期。然而,我们需要指出,这种情况可能发生在一个真正的无线传感器网络。

保存位置隐私,我们建议对数据包交付使用源和sink-based随机游走。水槽先设立一个路径通过随机漫步作为受体。然后每个数据包从源随机转发,直到它到达受体。在这一点上,数据包转发到水槽通过预定义的路径。随机游走大大减少了数据包被发现的机会。即使一个屋檐滴管碰巧发现一个包,下一个包不太可能遵循同样的路径,从而使得先前观察形同虚设。

论文的提醒分为5部分。在第二节,相关工作。在第三节中,我们展示了插图的攻击,需要仔细地引入随机性路由协议。在第四节,我们的实现。在第五部分,给出了仿真结果和讨论。在第6节,我们结束我们的论文。

无线传感器网络:

无线传感器网络(WSN)是一个异构网络由大量微型低成本的设备,表示节点(或微粒),和一个或几个将军——目的计算设备称为基站(或接收)。的通用传感器网络监测一些物理现象(如温度、气压、光)内部部署的一个领域。节点配备有适当的通信单元(例如,无线电收发器),处理单元、电池和传感器(年代)。节点处理能力和能量受限,而基站笔记本电脑功能和没有严重能源资源。基站通常充当网关之间的传感器网络和其他网络(如因特网)。有一个轮为各种各样的应用程序,从军事应用(例如,周界监测通过环境(例如,动物栖息地的监控)和医疗应用程序(例如,病人健康监测)商业应用(例如,购物习惯监测、桥梁结构健康监测)。

网络可分为根据几个方面对安全协议设计的影响。其中一个方面是节点和基站的移动。节点可以移动或放在静态位置。同样的适用于基站。另一个考虑是节点放置的方式。节点可以手动部署在特定位置后一些预定义的网络拓扑或随机部署在一个区域,例如,从一架飞机下降。节点的数量也是一个非常重要的因素——一个网络的节点数量的范围可以从成千成千上万。在未来的工作中,我们将关注网络由大量的节点(成百上千)部署没有先天的拓扑设计。两个节点和基站静态位置。作为参考的平台,我们考虑MICAz节点[3]。 This node is based on the Atmel ATmega128L microcontroller with 128KB programmable flash memory, 512KB measurement flash memory and 4KB configuration EEPROM. It is equipped with an IEEE 802.15.4 compliant RF transceiver and the energy is supplied by two AA batteries. The node is running the TinyOS operating system.

我们的研究动机:

网络正在成为普适计算的基石之一。他们赞成见一个简单的,在不久的将来也很有可能便宜,面积和实体监测机制。的一个黑暗的传感器网络技术是一种不恰当的使用可以大大违反隐私的人。网络经常部署收集敏感信息。典型的例子是一个传感器网络监测运动在建设或交通在城市。这样一个网络可以用来阻止——我的人或车辆的位置。如果这个信息可以在广泛的基础上很容易导致勒索或跟踪。

它也可以被恐怖分子利用作为目标工具影响特定的人或建筑物。传感器网络应用程序的另一个例子,严重暴露隐私,是健康监测。在这里,医学测量应该只提供给主治医生。错误的使用简单的商业网络很容易导致成严重的侵犯隐私。假设WSN监视人们的运动在一个超市提高产品在货架上的位置。如果有人能够找到相关的特定的人的详细信息,然后一个看似无辜的应用程序变成一个隐私侵犯了跟踪装置。

我们觉得已经投入很多努力确保轮为传统网络安全属性,即可用性和机密性,和更少的是注意隐私的措施。我们也有了一些传统的网络安全问题,特别是安全路由算法,提出了自动攻击生成方法。然而,正如上面的例子所显示的,匿名和隐私一般来说也是非常重要的。在[4]中,我们展示了重要节点位置隐私的重要性和确定在此领域的一些开放式的问题。我们因此需要新颖的网络隐私保护机制。

相关工作

我们的工作是受[2,3]。无线传感器网络的应用场景监控熊猫。使外部监控的熊猫没有暴露的位置熊猫Panda-Hunter问题提出了猎人。幻影路由用于消息传递从熊猫的水槽的位置保存它的位置隐私。幻影路由算法是由两个阶段组成的。在第一阶段,源发起一个随机游走。在第二个阶段,包是通过洪水或单路径路由。在这篇文章中,我们具体地址可能攻击基于洪泛的交付方法。

使用交叉路径提供包的概念提出了在谣传路由[5]。在谣传路由,一个事件将被一些传感器在附近的小事件的位置。发送一个查询通过随机漫步。一个可用的交货率是通过查询大量的随机漫步彼此相交。这是不同于我们的方法。在我们的方法中,这两个事件源和查询使用随机游走来宣传自己。此外,我们关心的是提供隐私保护;因此比谣言更动态结构的路由是必要的。

在[6],渐近三个查询策略的传感器网络进行了讨论。证明给出的概率成功交付使用源和接收者驱动的“粘性”布朗运动衰减更快比使用单一布朗运动随机游走长度增加。(T−与5/8(日志(T))−1 T是布朗运动已经持续了多久)这个结果给了我们一个下界的我们的方法的性能。在实际的传感器网络中,性能可以改善由于有限大小净——工作。同样,在我们的方法中,纯粹的布朗运动不需要提供足够的隐私保护。在[7],隐藏的问题在传感器网络基站的位置进行了探讨。攻击模型,确定基站位置通过使用流量分析。隐藏的交通模式,提出了随机延迟发送时间隐藏亲子关系交通速度模型。我们的工作而不是地址空间的交通模式。在[8],共享位置信息的问题没有暴露身份隐私在移动数据坳,经文的应用,如手机定期报告它的位置,进行了探讨。 Multi target tracking algorithms can be used to identify each trajectory even when there is no identity information. A perturbation algorithm over multiple user paths is proposed to confuse the attacker. The algorithm takes advantage of the possible intersections of different paths and modifies location samples according to a nonlinear optimization solution. The artificially generated errors because wrong trajectories being calculated by the attacker. This is different from our problem. In our model, the location information is not explicitly included in the packets.

本节概述当前状态的网络研究领域的隐私。我们首先讨论了网络隐私的上下文中。然后我们描述了网络分类法的隐私保护。关于这个分类,我们也提出了一个先进的隐私保护的调查。相关问题,不符合分类分别讨论的最后部分。我们基地工作的普遍看法的隐私。隐私是自治的权利,包括有权更不用说。隐私包括控制信息对自己的权利,包括有权限制访问这些信息。网络隐私的上下文中涉及隐私的监控对象和隐私的节点和基站。隐私的政党通常是在某种程度上联系在一起。 Breach of node privacy can lead to violation of the monitored subject privacy and vice versa. Privacy in WSNs can be classified into two categories – content-oriented privacy and context-oriented privacy.

内容型的隐私受到威胁的敌人的目标是操纵和/或读了WSN发送的消息的内容。相比之下,面向环境的保护隐私是担心周围的上下文信息的内容。典型的上下文信息位置的数据已经感觉到或时间测量。分类法的隐私保护轮为遵循前面的隐私分类并提供进一步细化。保护首先分为面向数据的(内容型的)和面向环境。然后分为面向数据保护隐私保护数据聚合和私人数据查询技术。面向环境隐私保护可以分为位置隐私保护技术,覆盖数据源位置保护和水槽位置的保护,和时间的隐私保护技术。概述的分类如图1所示。

出于完整性的考虑,我们提供了一些参考了网络最关键的主题相关的隐私。无线传感器网络安全调查提出了如下。下面给出了网络攻击的分类和总结攻击下面提供的路由协议。

数据隐私:

隐私数据隐私保护目标收集的数据网络发布和查询网络。有两种类型的敌人威胁到数据隐私——内部和外部敌人的对手。外部的敌人只有偷听通信网络中。这样的对手很容易被加密技术,如旋转或髓。另一方面,内部对手控制一个或多个节点,通常有一个访问这些节点的加密密钥。在这种情况下,最简单的方法来保护隐私的从节点到基站发送的数据是使用基于密钥的端到端加密发送节点和基站之间共享。

然而,这样的加密使得网络中的数据聚合不可能。因此,面临的挑战之一是提供安全和隐私保护数据聚合的一个内部的对手。提出了多种方案来解决这个问题。查询隐私设置也调查的一项类似调查。因为我们的未来的研究包括面向数据的隐私只是部分,我们没有进一步探究这种理念。

上下文隐私:

尽管数据隐私可能充分保护,利用传感器网络仍可能泄漏宝贵的面向环境的信息。典型的面向环境信息信息在源位置,水槽位置和时间的事件。这种信息通常通过一个外部对手使用流量分析技术。下面我们总结先进的保护。

位置隐私:

网络位置隐私是非常重要的。位置信息的事件或基站的位置可以主要关心的一个对手。假设Panda-Hunter游戏,采用了一种传感器网络监测濒危大熊猫的栖息地。是足够的对手找到位置传感器目前监视熊猫成功本地化和捕捉熊猫。同样,对手只需要找出基站的位置能够挂载一个物理或其他DoS攻击整个网络基站,从而灭活。有两种基本类型的对手考虑当评估位置隐私——当地对手和全球的对手。当地对手广播范围有限,只能监控交通网络的一小部分。相反,全球对手能够监测整个网络,能够立即定位所有传输节点。

颞隐私:

除了位置,可以推断出敏感的上下文信息,外部对手的时机监控事件或消息。一个聪明的对手可能会滥用这些信息例如跟踪受害者。知道消息的时间和地点,她可以估计受害者运动。时间信息保护的问题被称为颞隐私。时间的概念在网络隐私。他们正式的问题,并提出了Rate-Controlled自适应延迟(RCAD)保护颞隐私。RCAD,每个节点缓冲区传入消息并随机延迟其传输根据指数分布。缓冲抢占战略包括应对过载缓冲的问题。当节点缓冲区已满,这种策略选择一个消息立即传播没有进一步延迟。几个这样的策略建议和评估。 The RCAD is suitable for WSN applications where a reasonable delay can be tolerated. Note that also schemes protecting location privacy have the potential to protect the temporal privacy.

其中许多是基于随机漫步,引入时间延迟。此外,定期收集方案,在整个网络中发送速率是恒定的,似乎提供隐私的最佳时间,因为交通独立的事件发生。适用于符合探测率方案类似,例如。

需要保留源位置隐私是什么?

我们认为保护隐私的一个极端的例子是交通网络中只从单一来源。这使得屋檐滴管使用空间交通模式妥协源位置隐私。这是一个合理的假设。首先,传感器网络低工作循环网络。所花费的时间提供一个数据包从源到汇可以比源数据包间隔更短。第二,如果偷听者获取数据包的源信息,他可以隔离源交通的交通。

基于洪水的幻影路由攻击的一个例子:

在本节中,我们说明了模拟攻击的幻影路由。我们假设偷听者有最小的物理功能,这是能够检测到的无线电传播。同时,得到一个好的源位置的估计,屋檐下每个由一组下降的设备分布在网络。每个设备在不同的位置被认为是一个观察点。然而,正如我们之前认为的,观察的数量是有限的。攻击的目的是证明通过使用只有数量有限的观察点源位置可以近似,而不用付出很大的努力。在每个观测点,偷听者可以记录时间的广播包。传播速度可以建模为高斯分布,是未知的。同时,算法开始时洪水包是联合国-已知。所以,要估计的参数包括以下元组:(x, y, v, t),在(x, y)坐标位置的洪水开始,v是传播速度,t是洪水开始的时候。 Suppose that the coordinates of each observation point are (xi, yi) and the packet is observed at time ti. The true distance between an observation point and the flooding source is:

理想情况下,在每一个观测点Di = V Di。然而,估计这四个参数,需要解决多个观察在不同的位置方程。由于噪音,估计在每个观察不会是一致的。找到最优解,我们使用均方误差的方法。我们减少以下公式:

理想情况下,四个观察点应该足够了。然而,在仿真中,我们发现使用六个观察点的收益更好的估计。使用六个观察点与使用四个观察点仍然是可接受的。所以,我们目前的仿真结果有六个观察点。为了说明这种攻击,我们实现了幻影路由路由算法与TOSSIM [9]。我们不同的啤酒花在随机漫步阶段检查这个参数如何影响攻击。5000年正在运行的攻击是通过网络节点。我们选择一个大网络大小显示,即使是一个大型的网络可以容易受到这种攻击。很难保持源位置隐私在小型网络中只有一个单一的假设下交通网络中现有的一个特定的时期。我们定义的估计误差估计位置和真实位置之间的距离。 To measure the effectiveness of the attack, we fixed attackers at six locations in the network and varied the location of the source. The simulated network spans a rectangular area of size 100×100. The communication range of every sensor is 2.25.

攻击者的六个位置(90),(10,10),(90年,10),(90、90),(40、60)和(60岁,40)。六个位置的选择相当随意,他们彼此相对较远,有良好的覆盖网络。注意,所选的位置不一定是接近真实的来源。图2显示了不同场景的估计错误在一段50名源数据包被发送。表1显示了估计误差和均方误差的合计。我们有意返回非常大的成本值为联合国——合理的解决方案,以便优化收敛速度更快。例如,场景2表1中有一个很大的成本价值。外的原因是,真正的位置是完全烦恼设置观测点,而优化的

试图找到一些点在这个凸集。我们采取以下策略来克服这一限制。不准确的估计有一个非常大的成本价值,这可以通过窃听者引发的运动观察点。为了说明这种策略,我们中心的原始观察指向位置的估计位置和重新评估。然而,在移动过程中,如果某些观测点将在网络之外,我们让他们在网络的边界。整个过程可以重复。上面的例子中我们使用这种策略,结果如图3所示。调查的有效性攻击给予不同的随机漫步的步骤,我们随机漫步的长度不同。在仿真过程中,我们发现有很多局部最小值拓扑中我们使用上面,在网络内的节点没有任何邻居在一个方向上。这导致许多数据包被丢弃在到达洪水阶段之前,估计很快恶化。然而,并没有建议在幻影路由算法处理这个问题。 To avoid the local minimum problem, we run the simulation on a network with 5000 sensors. The sensors are uniformly distributed in a 100 × 100 rectangle area. The increased density makes the local minimum a rare case.

不失一般性,我们选择一个源(25.0,70.4)。值的随机转发跳数选择5、10、15、20、25、30。仿真结果如图3所示。估计错误更大更高的跳跃数的值。然而,即使对于一个大跳数25,估计仍然是可用的。的部分原因,估计误差恶化是幻影路由设计的方式。在我们的实现中,前进方向分类根据传感器的x坐标。25和30的随机转发跳数的一些数据包转发到网络的边界,把由于没有恢复机制的定义。在图4中,这是显示为增加数据包损失率。自源位于接近网络的一边,只有数据包被转发近端丢失。 This causes the estimate to move toward the other side of the network. For those hop count values without packet loss, the increase in estimation error grows only linearly with the hop count and the growing speed is much slower than that of the hop count value. It shows that varying only the random forward hop count is not effective for providing better source location privacy.

洪水的缺点:

隐私是失去了对手时能够预测源位置在一个合理的时间内。在上面的说明攻击,敌人可以预测源的近似位置当单个数据包淹没。尽管随机性介绍通过随机漫步阶段,对手可以提高预测通过统计评估。建模路由作为随机过程,对手的策略的有效性取决于随机-介绍了洛克和对手如何样这一过程。给定一个已知的随机过程,每个样本对对手的估计不变参数。在我们的例子中,参数是源的x和y坐标。阻止敌人预测源的确切位置,我们希望放慢速度的对手可以样品这一过程。

假设源发送多个数据包沉在一段时间内,连续使用序列号标签这些包。偷听者收到的数据包的时间间隔定义为:

T = Si Si−−1 (4)

在Si的序列号是第i个数据包从源到达相同的物理位置。T是一个随机变量。大T的意思是,时间越长对敌人一个足够好的源位置的估计。注意序号仅用于分析。包没有序列号。洪水是最糟糕的方法保护源位置隐私的T,将一个固定的最小值1的所有网络中的位置。洪水使窃听者很快积累源位置的信息。

生长算法

前面分析的随机游走是基于一个平面图。然而,这不是实际的无线传感器网络通信图。如果我们把通信图作为non-planar图随机漫步的实施期间,源路径和水槽的概率路径相交是远低于之前的渐近结果。场景如图5所示(一个)。我们使用本地广播来解决这个问题。当一个传感器转发数据包,它所有的邻居听到这包和创建一个路由条目指向转发传感器来源。这并不需要额外的传输。本质上的随机游走是粘性不仅转发路径上的传感器,还邻近传感器的这条路。实际上,我们建立一个管沿着转发路径。

场景不仅存在在两条道路之间,也存在于一个单一的随机路径本身。一个随机路径可能会回溯到自己过了一段时间。然而,我们希望尽可能的路径扩展和尽快。在图5 (b),传感器可能数据包转发到前一跳的邻国之一。这样的转发决定不好自随机漫步没有多大进展。为了防止这种情况下,我们使用布隆过滤器[10]在转发数据包存储当前所有的邻居。当下一次随机拿起一个邻国,它检查是否邻居已经在过滤器。给定一个有限数量的邻居,误报的概率非常小可以通过使用一个合理的大小在包过滤。换句话说,数据包将被转发到一个传感器没有见过包有高概率。然而,回溯的可能性仍然存在。 The only possible way to prevent backtracking is to remember all the sensors which have already seen this packet. This is not realistic for a large scale network. Currently, we did not address this issue in this paper. Instead, we rely on increasing the random walk length to increase the coverage of the path. We are working on an improved method to address this issue.

减少回溯的机会,每个传感器保持布隆过滤器来存储那些已经参加了转发的邻居。每次一个传感器是转发数据包,它将存储最后一跳的包来了,把包转发给下一跳。当随机漫步回溯到传感器时,它会选择一个邻居,以前从未转发数据包。通过这种方式,我们希望最大限度地覆盖给定一个固定的路径长度。如果源和沉接近对方,两个随机路径相交的机会更大,因此,交集点接近源和水槽。这使得窃听者可能跟踪的路径。为了防止这种情况的发生,我们需要一个最低源随机漫步的路径长度。注意,我们不承担任何路由基础设施发展的普遍性。如果额外的信息是可用的,我们可以利用这些信息来提高性能。例如,如果地理位置的传感器是已知的,很容易确定哪些还未被访问网络的一部分。 Thus a more effective greedy forwarding based on this information can be used.

结论和未来的工作

在本文中,我们描述一个幻影路由可能的攻击。我们建议增加,源和sink-based随机漫步的替代对这种攻击。我们改善基本的随机漫步通过使用本地广播和布隆过滤器。仿真结果表明,实际使用我们的方法在大规模无线传感器网络保护源位置隐私。能源消耗大大减少相比,基于洪泛的幻影路由,而只有轻微的额外延迟消息传递。然而,延迟仍然是可接受的。我们相信,随机游走是源位置隐私保护的基本方法。然而,仍有空间我们优化这种方法的性能。我们的未来的工作是找到更有效的方法来构建随机路径。

引用

r·斯考特·j·周之间,b . Zill。路由在multi-radio种无线网状网络。2004年ACMMobicom。
c . Ozturk y张andW。Trappe。较高的能源贫瘠的传感器网络路由。在2004年ACM特设和传感器网络安全研讨会(SASN)与ACM计算机和通信安全会议上,2004年10月。
张令Kamat p, y, w . Trappe, c . Ozturk。加强较高的传感器网络路由。在25日国际会议分布式计算系统(ICDCS 2005), 2005。
s·m·罗斯。约翰•威利& Sons . n:行情),第二版,1996年版。
d . Braginsky和d·埃斯特林。谣传路由algorthim传感器网络。在第一届ACM国际研讨会上无线传感器网络和应用程序,2002年。
美国Shakkottai。在传感器网络渐近的查询策略。2004年IEEE信息通信。
j·邓、r·汉和米希拉。入侵容忍和antitraffic分析无线传感器网络的策略。在IEEE国际会议上可靠的系统和网络(DSN 2004), 2004。
b啊,m . Gruteser。位置隐私保护通过路径混乱。在IEEE / CreateNet Intl。安全与隐私会议对新兴地区通信网络(安全通讯),2005年。
p·李维斯:Lee m .威尔士,d·卡勒。Tossim:准确、可伸缩的模拟整个tinyos应用程序。在第一ACM会议嵌入式网络化传感器系统(SenSys 2003), 2003。
a·布罗德和。m .米成马赫一起网络应用程序的布鲁姆过滤器:一项调查。在Allerton会议,2002。