一種同時保障隱私性與完整性的無線傳感器網絡可恢復數據聚合方案

丁 超楊立君吳 蒙（南京郵電大學計算機學院 南京 210003）（南京郵電大學通信與信息工程學院 南京 210003）（南京郵電大學寬帶無線通信與傳感網技術教育部重點實驗室 南京 210003）

一種同時保障隱私性與完整性的無線傳感器網絡可恢復數據聚合方案

丁 超①楊立君①吳 蒙*②③
①（南京郵電大學計算機學院 南京 210003）②（南京郵電大學通信與信息工程學院 南京 210003）③（南京郵電大學寬帶無線通信與傳感網技術教育部重點實驗室 南京 210003）

該文針對無線傳感器網絡（WSNs）數據聚合與安全目標之間的矛盾，基于隱私同態和聚合消息驗證碼技術提出一種同時保障數據隱私性與完整性的可恢復數據聚合方案。該方案支持由聚合結果恢復出各感知數據，從而一方面能夠驗證感知數據和聚合數據的完整性，另一方面能夠對原始數據進行任意所需的處理，不受聚合函數類型的限制。安全分析表明該方案不僅支持數據隱私性、完整性，還能夠抵抗未授權聚合攻擊，聚合節點俘獲攻擊，且能夠在一定范圍內檢測及定位惡意節點。性能分析表明，該方案相比其他算法在通信和計算開銷方面具有顯著優勢。為了評估方案性能和可行性，基于TinyOS給出了算法的原型實現。實驗結果表明，該方案開銷較低，對于資源受限的WSNs是高效可行的。

無線傳感器網絡；數據聚合；隱私保護；完整性保護；原型實現

1 引言

無線傳感器網絡（Wireless Sensor Networks， WSNs）是由大量低成本的感知節點通過無線多跳傳輸組成的自組織網絡系統，其目的是協作采集和處理感知數據，可廣泛應用于軍事追蹤、醫療監護、環境監測等諸多領域。感知節點通常由電池供電，能量嚴格受限，難以傳輸大量的感知數據。使用數據聚合技術能夠有效減少網內數據傳輸量，降低能耗，延長網絡壽命。然而，數據聚合技術與安全目標之間存在矛盾。一方面，數據隱私性要求感知節點對感知數據進行加密傳輸，并期望加密數據僅由基站（Base Station， BS）解密以獲得端到端數據隱私性，而數據聚合技術期望各級聚合節點對明文數據執行聚合，以獲得能量效率的最大化；另一方面，數據完整性要求數據在傳輸過程中不被篡改，而對各數據進行聚合處理勢必會改變原始感知數據。因此，研究在聚合過程中提供數據隱私保護和完整性保護功能非常具有挑戰性。

為了解決數據聚合與數據隱私性之間的矛盾，近年來研究者引入隱私同態技術，提出了基于隱私同態的安全數據聚合方案［14］-。利用隱私同態中間節點直接對加密數據進行聚合，無需解密，保護了數據的端到端隱私性。然而，現有的同態加密算法通常只滿足加法或乘法等簡單運算，所支持的聚合函數類型十分有限。另一方面，為了實現聚合傳輸中的數據完整性保護，研究者基于延遲驗證、承諾-證明或回溯檢驗等原理提出了一些安全數據聚合方案［57］-。逐跳地驗證數據完整性雖然較易實現，但通常需要數據明文的參與，且通信開銷至少與網絡規模呈線性關系，甚至抵消了聚合帶來的通信增益。由于消息在參與聚合時通常會損失熵，因此提供端到端的聚合完整性驗證是非常困難的。

目前，對于同時支持端到端數據隱私與完整性保護的安全聚合研究還比較少。Ozdemir等人［8］提出一種數據聚合與認證協議，將錯誤數據檢測、機密性與數據聚合結合在一起。但該方案拓撲受限，且不能抵抗節點俘獲攻擊。文獻［9］提出一種安全的WSNs數據融合隱私保護方案，將節點的私密因子與原始數據構成復數，采用對稱同態加密方法對復數進行加密，從而以較低的開銷實現安全數據融合。但是該方案對完整性的保護較弱，攻擊者能夠對密文實部加入任意虛假數據而不被察覺。文獻［10］結合同態加密和基于雙線性對的簽名機制提出一種可恢復的隱藏數據聚合協議 RCDA （Recoverable Concealed Data Aggregation），確保聚合數據的隱私性和完整性。但這些基于數字簽名的方案往往計算復雜，開銷很高，并不實用。文獻［11］提出一種保護完整性的分層隱私數據聚合協議 IPHCDA（Integrity Protecting Hierarchical Concealed Data Aggregation），利用同態加密和消息驗證碼（Message Authentication Code， MAC）技術提供聚合數據的隱私性和完整性，并支持分層數據聚合。文獻［12］基于同態加密和分而治之的原理提出一種安全增強的數據聚合協議。但以上兩種方案開銷較高，對于大規模網絡并不實用。文獻［13］結合對稱同態加密和秘密共享提出一種安全數據聚合機制，支持多種聚合函數并能返回精確的聚合結果。但是由于秘密密鑰占的空間太大導致數據傳輸效率很低。

針對上述問題，本文基于隱私同態和聚合MAC技術［14］提出一種高效的同時保障數據隱私性與完整性的可恢復數據聚合方案。該方案能夠為WSNs數據聚合同時提供端到端數據隱私性與數據完整性。在本文方案中，BS能夠從最終聚合結果中恢復出各感知數據，從而一方面能夠驗證各感知數據和聚合數據的完整性，另一方面能夠對原始數據進行任意所需的處理，不受聚合函數類型的限制。安全分析表明本文方案不僅能夠抵抗大多數一般攻擊，還能夠在一定范圍內檢測并定位惡意節點。性能分析表明，本文方案相比同類機制在通信和計算開銷方面具有顯著優勢。為了評估方案的實際性能和可行性，本文基于TinyOS平臺給出了算法的原型實現。實驗數據表明，本文方案資源開銷較低，對于資源受限的WSNs是高效可行的。

2 準備工作

2.1 系統模型

本文考慮一類由一個 BS和若干感知節點（Sensor Node， SN）構成的基于簇狀拓撲的WSNs。BS作為WSNs連接外部用戶或網絡的網關，通常具有充足的帶寬、計算能力和存儲空間。感知節點通常是資源受限的。部署之后，感知節點根據某種分簇算法分為若干簇，并選出簇頭節點（Cluster Head， CH）。SN采集所在區域的數據，并將數據發送給所在簇的CH。CH接收各子節點的感知數據，執行聚合操作，并將聚合數據轉發至BS。一個典型的基于簇的WSNs如圖1所示。

2.2 同態加密

隱私同態或同態加密［15］是一類特殊的加密算法，支持在不解密的情況下直接對密文數據進行運算。下面給出同態加密的定義。

定義1假設 EK（·）是一個加密函數，K為加密密鑰，DK'（·）是相應的解密函數。如果在某種運算操作°下存在一種有效的算法Alg滿足

圖1 基于簇的WSNs網絡模型

那么 EK是一個運算°下的同態加密。

KeyGen（τ）：給定一個安全參數τ，選定p階有限域 Fp上的一條橢圓曲線E， p為大素數。 E）表示曲線E上所有點的集合， E（Fp）在加法運算下構成一個加法交換群，以無窮遠點O為單位元。令點P為曲線E的基點，階為素數n。四元組D = （p， E， P， n）作為橢圓曲線參數。隨機選擇作為私鑰，計算Y = xP作為公鑰，返回公私鑰對（x，Y）。

Enc（m，Y）：對于給定的參數D，公鑰Y和明文m ∈ ［0， p - 1］，按以下步驟加密明文：

（1）將明文映射為曲線上的點M = map（m）；

（2）選擇隨機數 k ∈R［1，n - 1］；

（3）計算R = k* P ，S = M + k* Y ，返回密文C=（R，S）。

Dec（C，x）：對于給定的參數D，私鑰x和密文C，按以下步驟解密密文。

（1）計算 M =- x *R + S =- x *k*P +M+x *k * P；

（2）計算m=rmap（M），返回明文m。

2.3 聚合消息驗證碼

聚合消息驗證碼（aggregate MAC）［14］允許將t個不同發送者對各自產生的t個不同消息分別產生的t個不同的認證標簽聚合成一個認證標簽，驗證者通過該聚合的認證標簽仍然能夠驗證各消息的完整性。聚合MAC實質上可以由任何標準的MAC構造生成，下面我們給出本文使用的一種聚合MAC。

定義2對于給定的安全參數n，一個聚合MAC機制由一組概率多項式時間算法（M ac，Agg，Vrfy）構成，具體構造如下：

（1）認證算法Mac：輸入為密鑰 k∈ ｛0 ，1｝n和消息 m∈ ｛0 ，1｝*，算法Mac輸出一個對消息m產生的認證標簽tag，記為tag ←Mack（m）。

（2）聚合算法Agg：輸入為 l個消息/密鑰對（mi，ki），i = 1，2，…， l ，以及相應的認證標簽 tag1，…，tagl，算法Agg通過異或將所有標簽值進行聚合，輸出聚合的認證標簽 tag = tag1⊕ tag2⊕ … ⊕tagl。

（3）驗證算法Vrfy：輸入為l個消息/密鑰對（mi，ki）， i= 1，2，…， l ，以及聚合的認證標簽 tag，算法Vrfy計算，當且僅當tag'=tag時，驗證通過，輸出1；否則，驗證失敗，輸出0。

3 一種同時保障隱私性與完整性的可恢復數據聚合方案

本文所提出的方案由 Setup， Encrypt-MAC，Aggregate和 Decrypt-Verify 4個函數構成。函數Setup用于為BS和各感知節點產生必要的參數和密鑰。感知節點SN需要向簇頭CH發送數據時，執行函數Encrypt-MAC并將結果發送給CH。當CH接收到所有成員節點發送的數據時，執行函數Aggregate來聚合這些數據，并將聚合結果發送給BS。BS首先通過解密聚合密文提取各感知數據，然后基于相應的聚合認證信息驗證各感知數據的完整性和真實性。為了表述簡單，我們考慮網內只有一個BS的情況。我們選擇簇1作為例子，假設簇內有η個感知節點 SN1， SN2，…， SNη，其中SNη為簇頭節點。

Setup：在網絡部署之前，管理系統選擇一條合適的橢圓曲線，運行EC-EG算法的KeyGen（τ）函數，產生橢圓曲線參數D， BS的公私鑰對 （xBS，YBS）。每個感知節點SNi預先存入參數D， BS的公鑰 YBS，以及其與 BS共享的密鑰ski。BS保存自己的私鑰xBS以及與各節點共享的密鑰ski。

Encrypt-MAC：感知節點SNi要向CH發送感知數據時，先執行以下步驟：

（1）每個感知節點SNi對感知數據datai計算消息驗證碼

（2）對感知數據進行編碼，Encode（d atai）:mi=

（3）將編碼后的消息im映射為曲線上的點iM= map （mi）；

（5）感知節點向CH發送（ci， tagi）。

Aggregate: CH在一段時間內接收到所有成員節點發送的消息對（ci， tagi）后，分別對密文和認證信息進行聚合：

（3）將聚合結果（C ，Tag）發送給BS。

Decrypt-Verify：接收到來自 CH的聚合結果（Tag，C）之后，BS按以下步驟恢復各感知數據，并驗證各感知數據的完整性：

（1）BS以私鑰BSx 解密C獲得聚合明文M，即

（4）BS利用密鑰ski對每個感知數據datai計算MAC，并驗證等式）是否成立。若等式成立，則接收這些數據；否則，則拒絕接收。

同理，BS也接收到來自其他簇的聚合密文和聚合認證信息。根據最終的聚合數據，BS能夠恢復出網內每個感知節點采集的數據，并驗證其完整性。此外，BS能夠對恢復的感知數據進行各種所需要的處理，不受聚合函數類型的限制。

4 仿真與性能分析

4.1 安全分析

文獻［16］中總結了安全數據聚合機制需要具備的安全屬性，包括數據隱私性、數據完整性、阻止未授權聚合以及抵抗聚合節點俘獲攻擊。本文據此對方案進行安全分析，結果表明本文方案不僅滿足以上所需的安全屬性，還能夠在一定范圍內檢測并定位惡意節點。

（1）數據隱私性：方案中所有感知數據都以 BS的公鑰加密，從而對網內所有中間節點都保持其隱私性。方案所采用加密機制的安全性基于橢圓曲線離散對數問題（ECDLP），且加密過程使用隨機數，因此能夠抵抗密碼分析攻擊和已知明文攻擊。由于無法獲得 BS的私鑰，攻擊者即使俘獲簇頭節點，也無法解密獲得聚合明文數據。可見，本文方案能夠保障聚合過程中的端到端數據隱私性。

（2）數據完整性：方案中感知節點為每個感知數據產生相應的MAC，所使用的聚合MAC算法滿足選擇密文攻擊下的存在不可偽造性，其形式化安全證明可參考文獻［14］。若攻擊者俘獲簇頭節點，則可能偽造或篡改聚合密文，但是無法為偽造的虛假聚合密文產生合法的聚合MAC。因此，本文方案能夠抵抗針對數據完整性的攻擊，如篡改、偽造和注入虛假數據。

（3）抵抗未授權聚合攻擊：該安全需求定義在較強假設下，即假設未俘獲任何節點的情況下，攻擊者不需任何附加信息就能執行未授權聚合。本文方案所使用的加密機制是基于橢圓曲線密碼學（Elliptic Curve Cryptography， ECC）的，聚合操作需要ECC點加函數，而攻擊者在沒有曲線構成知識的情況下是不能執行未授權聚合的。因此，本文方案能夠抵抗未授權聚合攻擊。

（4）抵抗聚合節點俘獲攻擊：若攻擊者俘獲簇頭（聚合）節點，則可能破解或篡改聚合數據。本文方案中，簇頭節點不存儲任何密鑰信息。即使攻擊者俘獲簇頭節點，由于無法獲得 BS的私鑰，仍然無法解密聚合密文或感知密文。攻擊者可能篡改聚合密文，但無法為偽造的密文產生合法的聚合MAC。可見，本文方案能夠抵抗聚合節點俘獲攻擊。

（5）檢測惡意節點：當感知節點被攻擊者俘獲，則成為一個惡意節點。網內惡意節點能夠發送虛假數據及相應 MAC，旨在使最終聚合結果偏離正確值。當虛假數據值超出定義的合理范圍時，本文方案能夠檢測出這類攻擊并定位惡意節點。例如，圖1示例中節點 SN2被俘獲，假設 SN2對 data2=（01 01）2= 5計算MAC，加密明文 m2=（01 011000）2得到密文 c2， m2的后4位不是全零，可見這不是一個合法的明文。當接收到聚合結果后，BS執行Decrypt-Verify函數時，很明顯驗證聚合MAC無效。為了定位惡意節點，BS要求簇頭節點發送其所有接收的（ci，tagi）。BS提取每個 mi，則能夠發現 m2的格式不正確，從而檢測出 SN2為惡意節點。假設 SN2將數據篡改為 data'2= （11 01）2= 13，對 data'2計算MAC，并加密明文 m2= （11 010000）2，那么由于 m2的格式在合理范圍內，BS不能檢測出 SN2是惡意節點。遺憾的是，如果惡意節點發送的虛假數據在合理范圍內，目前所有安全機制都無法檢測這類攻擊。

4.2 性能分析

本文從計算開銷和通信開銷兩個方面來分析方案的性能。我們選擇3種基于公鑰隱私同態的安全數據聚合方案作為對比方案，分別是僅支持數據隱私性的EC-EG［3］；支持數據隱私性和完整性保護的RCDA［10］以及IPHCDA［11］。

（1）計算開銷：本文方案利用EC-EG加密機制保障數據隱私性，其主要參數和運算皆選自有限域Fp上的橢圓曲線E。解密和完整性驗證操作由計算資源充足的 BS執行，因此我們主要考慮感知節點和簇頭聚合節點上的開銷。感知節點主要執行Encrypt-MAC函數，需要執行兩個|p| bit標量點乘，一個|p| bit點加運算，以及一個Hash函數；簇頭節點執行Aggregate函數，當簇成員數量為（η-1）時，需要2（η - 2）個|p| bit點加運算和（η - 2）個異或（XOR）運算。

為獲得等效于1024 bit RSA的安全性，本文選擇參數p為160 bit的大素數。假設在相同的系統模型和安全等級下，本文方案與 EC-EG， RCDA和IPHCDA 3種方案的計算開銷對比情況，如表1所示。其中，簇頭節點的開銷為兩個簇成員數據聚合的開銷，H表示Hash函數， M160， M271和 Mn分別表示160 bit， 271 bit和n bit標量點乘， A160， A271和 An分別表示160 bit， 271 bit和n bit橢圓曲線點加，n為為341 bit的素數。

表1 計算開銷對比

由表 1可知，4種方案分別基于不同的數學基礎，無法直接比較。為了直觀地比較4種方案的計算開銷，我們選擇1024 bit模乘作為基本單位。根據文獻［3］提供的方法，將4種方案的計算開銷轉換為基本單位（1024 bit模乘）的個數來進行比較分析，對比結果如圖2和圖3所示。

由圖2和圖3結果所示，在感知節點上，由于所使用的模數較小，本文方案和EC-EG的計算開銷最低，本文方案相比EC-EG只增加了一個Hash函數運算。計算Hash函數的開銷與標量點乘和點加等公鑰運算相比是可忽略的。RCDA的計算開銷是本文方案的約3.4倍，IPHCDA的計算開銷遠遠高于本文方案。在簇頭節點上，本文方案相比EC-EG只增加了一個異或運算，這與點加運算相比也是可忽略的。RCDA的聚合開銷是本文方案的約2.5倍，IPHCDA在k =2和k =3時的聚合開銷分別是本文方案的約41.6倍和73.9倍。可見，本文方案與同類方案相比在計算開銷方面有顯著優勢。

（2）通信開銷：我們選擇有限域 F160上的橢圓曲線E作為EC-EG加密機制的參數。借助點壓縮技術，E的一個點（x， y）可表示為161 bit（21 Byte）。本文方案中各感知節點發送的消息包括一個密文和一個 MAC，消息格式為其中，密文ci= （Ri，Si）是E上的兩個點，表示為42 Byte；認證標簽tagi采用 HMAC計算，表示為 128 bit（16 Byte）。因此，每個節點（包括感知節點和簇頭節點）發送的消息大小為58 Byte（本文不考慮數據包封裝帶來的開銷）。在相同安全等級要求下，RCDA方案中產生的簽名表示為34 Byte，各感知節點發送的消息大小為 76 Byte。IPHCDA方案中密文大小為q為341bit的素數，k表示節點部署區域的個數，當k =3和k =4時，密文為171 Byte和214 Byte，對密文計算的MAC（如HMAC）表示為16 Byte。本文方案與 EC-EG， RCDA， IPHCDA 3種方案的通信開銷對比如圖4所示。

由圖4所示可知，本文方案相比RCDA節省了18 Byte，相比IPHCDA在k =3和k =4時分別節省了129 Byte和172 Byte?？梢?，本文方案相比同類機制在通信開銷方面優勢明顯。另外，相比于EC-EG，本文方案提供數據完整性保護，并支持多種聚合函數，而通信開銷僅增加了16 Byte。

5 原型實現與性能評估

圖2 感知節點的計算開銷對比

圖3 簇頭節點的計算開銷對比

圖4 通信開銷對比

為了評估方案應用于具體傳感器節點上的性能與可行性，我們基于TinyOS平臺給出算法的原型實現，并基于傳感器網絡研究中廣泛使用的Crossbow MICA2節點分析算法的計算開銷和存儲占用開銷。算法原型實現由管理系統的離線操作、BS節點和傳感器節點的在線操作3個部分構成。其中，BS節點和傳感器節點的線上操作均采用NesC語言開發，并結合RELIC密碼算法庫［17］實現相關密碼運算。在 NIST建議的 80 bit安全強度（等效于RSA-1024的安全性）下，本文采用素數域上的標準SECG Secp160r1曲線來實現EC-EG密碼算法，并采用HMAC來實現聚合MAC算法。本文主要關注網絡中感知節點和簇頭節點在執行方案過程中的計算開銷和存儲占用，因此這里僅討論方案中傳感器節點在線運行的性能。

5.1 計算開銷

根據 4.2節的分析，本文方案中對感知數據執行一次編碼和加密共需2個160 bit點乘，1個160 bit點加和1個HMAC運算，而簇頭節點聚合兩個密文和MAC共需2個點加和1個異或操作。本文方案運行在MICA2節點上的性能數據如表2所示。其中，“程序初始化”表示MICA2節點完成引導程序，初始化RELIC密碼庫，以及讀取系統參數等操作帶來的性能開銷，該項僅在協議啟動時執行一次，之后不再重復執行；“加密并編碼感知數據”表示感知節點執行一次在線操作產生的性能開銷；“聚合密文與MAC”表示簇頭節點對來自兩個感知節點的密文和MAC執行聚合計算所需的性能開銷。

如表2所示，在本文方案中，感知節點每編碼并加密一個數據需要花費0.798 s的時間和15.48 mJ的能量。通常傳感器網絡的數據采樣周期約為15～60 s， RPIDA方案完全能夠滿足要求。簇頭節點聚合兩個密文和認證標簽需要0.073 s，即當一個分簇內的感知節點數量為 η- 1時，簇頭節點的處理時間為 0.073 × （η - 2）s。此外，網絡中每個節點在啟動時還需要花費1.166 s的時間和26.46 mJ的能量完成節點軟硬件的初始化。

5.2 存儲開銷

本文方案各節點需要存儲 RELIC密碼庫和TinyOS的代碼，與BS共享的對稱密鑰ski，以及BS的公鑰Y。此外，感知節點編碼感知數據datai，生成隨機密鑰ik，以及計算密文ic，其存儲開銷是固定的，可以認為是一個常數；簇頭節點在執行聚合的過程中，由于要存儲多個成員節點的感知數據以及相應的認證標簽，其存儲開銷與簇內感知節點的數量成線性關系。

通過統計分析算法編譯產生的目標文件，我們獲得方案運行在 MICA2節點上的存儲占用情況，如表3所示。其中，.data段和.bss段分別表示方案對RAM靜態存儲空間和動態存儲空間的占用；.text段表示方案對ROM存儲空間的占用。由表3數據可知：感知節點需占用1205 Byte的RAM和53922 Byte的ROM；當一個分簇中感知節點數量為 η-1時，簇頭節點占用約的RAM和51432 Byte的ROM。上述實驗數據表明，本文方案資源開銷較低，對于節點資源受限的WSNs具有實際可行性。

6 結論

針對無線傳感器網絡數據聚合與安全目標之間的矛盾，本文基于隱私同態和聚合MAC技術提出了一種同時保障數據隱私性與完整性的可恢復數據聚合方案。該方案能夠為WSNs數據聚合同時提供數據隱私性與完整性。在該方案中，BS能夠從最終聚合結果中恢復出各感知數據，從而一方面能夠驗證感知數據和聚合數據的完整性，另一方面能夠對原始數據進行任意所需的處理，不受聚合函數類型的限制。安全分析表明本文方案不僅滿足數據隱私性、數據完整性，還能夠抵抗未授權聚合攻擊，聚合節點俘獲攻擊，且能夠在一定范圍內檢測及定位惡意節點。性能分析表明，該方案相比同類機制在通信和計算開銷方面具有顯著優勢。為了評估方案性能和可行性，本文基于TinyOS平臺給出了算法的原型實現。實驗數據表明，該方案資源開銷較低，對于資源受限的WSNs是高效可行的。

表2 本文方案在MICA2節點上的計算開銷

表3 本文方案的存儲占用（Byte）

［1］ Girao J， Westhoff D， and Schneider M. CDA: concealed data aggregation for reverse multicast traffic in wireless sensor networks［C］. Proceedings of 5th IEEE International Conference on Communications （ICC’05）， Seoul， Korea， 2005: 3044-3049.

［2］ Lin Y H， Chang S Y， and Sun H M. CDAMA: concealed data aggregation scheme for multiple applications in wireless sensor networks［J］. IEEE Transactions on Knowledge and Data Engineering， 2013， 25（7）: 1471-1483.

［3］ Mykletun E， Girao J， and Westhoff D. Public key based cryptoschemes for data concealment in wireless sensor networks［C］. Proceedings of 6th International Conference on Communication （ICC’06）， Istanbul， Turkey， 2006: 2288-2295.

［4］ Taeho J， Mao X F， Li X Y， et al.. Privacy-preserving data aggregation without secure channel: multivariate polynomial evaluation［C］. Proceedings of 32nd IEEE International Conference on Computer Communications （IEEE INFOCOM 2013）， Turin， Italy， 2013: 2634-2642.

［5］ Yang Y， Wang X， Zhu S， et al.. SDAP: a secure hop-by-hop data aggregation protocol for sensor networks［J］. ACM Transactions on Information System Security， 2008， 11（4）: 1-43.

［6］ Zhu L， Yang Z， Li M， et al.. An efficient data aggregation protocol concentrated on data integrity in wireless sensor networks［J］. International Journal of Distributed Sensor Networks， 2013（7）: 718-720.

［7］ Niu S， Wang C， Yu Z， et al.. Lossy data aggregation integrity scheme in wireless sensor networks［J］. Computers & Electrical Engineering， 2013， 39（6）: 1726-1735.

［8］ OzeDemir S and Cam H. Integration of false data detection with data aggregation and confidential transmission in wireless sensor networks［J］. IEEE/ACM Transactions on Networking， 2010， 18（3）: 736-749.

［9］ 趙小敏， 梁學利， 蔣雙雙， 等. 安全的 WSN數據融合隱私保護方案設計［J］. 通信學報， 2014， 35（11）: 154-161. Zhao Xiao-min， Liang Xue-li， Jiang Shuang-shuang， et al.. Design of secure privacy-preserving data aggregation scheme for wireless sensor network［J］. Journal on Communications，2014， 35（11）: 154-161.

［10］ Sun H， Chen C， and Lin Y. RCDA: recoverable concealed data aggregation for data integrity in wireless sensor networks［J］. IEEE Transactions on Parallel and Distributed Systems， 2011， 23（4）: 727-734.

［11］ Ozdemir S and Xiao Y. Integrity protecting hierarchical concealed data aggregation for wireless sensor networks［J］. Computer Networks， 2011， 55（8）: 1735-1746.

［12］ Zhou Q， Yang G， and He L. A secure-enhanced data aggregation based on ECC in wireless sensor networks［J］. Sensors （Basel， Switzerland）， 2014， 14（4）: 6701-6721.

［13］ Papadopoulos S， Kiayias A， and Papadias D. Exact in-network aggregation with integrity and confidentiality［J］. IEEE Transactions on Knowledge & Data Engineering， 2012，24（10）: 1760-1773.

［14］ Katz J and Lindell A. Aggregate message authentication codes［C］. Proceedings of the Cryptographers’ Track at the RSA Conference， San Francisco， CA， USA， 2008: 155-169.

［15］ Rivest R， Adleman L， and Dertouzos M. Foundations of Secure Computation［M］. Academia Press， 1978: 169-179.

［16］ Peter S， Westhoff D， and Castelluccia C. A survey on the encryption of convergecast traffic with in-network processing［J］. IEEE Transactions on Dependable and Secure Computing， 2010， 7（1）: 20-34.

［17］ Aranha D F. RELIC Cryptographic Toolkit［EB/OL］. http://code.google.com/p/relic-toolkit， 2009.

丁 超： 男，1984年生，博士生，研究方向為無線傳感器網絡數據隱私保護、數據可靠性保障與異常檢測.

楊立君： 女，1985年生，博士，研究方向為無線傳感器網絡密鑰管理、數據聚合和隱私保護技術.

吳 蒙： 男，1963年生，教授，博士生導師，主要研究方向為無線通信、信息安全和DSP技術.

A Recoverable Privacy-preserving Integrity-assured Data Aggregation Scheme for Wireless Sensor Networks

Ding Chao①Yang Li-jun①Wu Meng②③
①（College of Computer Science & Technology， Nanjing University of Posts and Telecommunication， Nanjing 210003， China）②（College of Telecommunication & Information Engineering， Nanjing University of Posts and Telecommunication， Nanjing 210003， China）③（Key Laboratory of Broadband Wireless Communication and Sensor Network Technology of Ministry of Education， Nanjing 210003， China）

To address the contradiction between data aggregation and data security in Wireless Sensor Networks（WSNs）， a recoverable privacy-preserving integrity-assured data aggregation scheme is proposed based on the technologies of privacy homomorphism and aggregate message authentication code. The proposed scheme enables the Base Station （BS） to recover all the original sensing data from the final aggregated results， which makes it possible to verify the integrity of each sensing data and aggregated data， and perform any further operations on them on demand. The security analysis shows that the proposal not only provides the data privacy and data integrity， but also resists against unauthorized aggregation attack and aggregator capture attack； besides， it is able to detect and locate the malicious nodes which injects false data to the network in a certain range. The performance analysis shows that the proposed scheme has remarkable advantages over existing schemes in terms of computation and communication overhead. In order to evaluate the performance and feasibility of the proposal， the prototype implementation is presented based on the TinyOS platform. The experiment results demonstrate the proposed scheme is feasible and efficient for resource-constrained WSNs.

Wireless sensor network； Data aggregation； Privacy preserving； Integrity protection； Prototype implementation

s: The National 973 Program of China（2011CB302903）； The National Natural Science Foundation of China （61100213）； The Specialized Research Fund for the Doctoral Program of Higher Education of China （20113223120007）； The Key Program of Natural Science for Universities of Jiangsu Province（10KJA510035）

TP393

A

1009-5896（2015）12-2808-07

10.11999/JEIT150208

2015-02-05；改回日期：2015-08-25；網絡出版：2015-11-01

*通信作者：吳蒙 wum@njupt.edu.cn

國家“973”計劃項目（2011CB302903），國家自然科學基金青年項目（61100213），教育部高等學校博士學科點專項科研基金（20113223120007）和江蘇省高校自然科學研究重點項目（10KJA510035）