0 引言

无线传感器网络(Wireless Sensor Network, WSN)被广泛应用于环境监测、医疗卫生、国防军事^[1]等各种重要领域。两层WSN^[1-2]是一种以存储节点为中间层的特殊WSN，存储节点不仅负责接收和存储感知数据，还负责响应Sink节点的查询请求，返回查询结果。因此，当存储节点被俘获，整个WSN的隐私数据将受到窃取、篡改、删除等严重威胁。

由于感知节点布置范围广，所在环境恶劣，采集到的数据往往会有某些属性的丢失，形成不完全数据。不完全数据和其他不确定性数据^[3]不同，不能通过其他属性推测出缺失属性的特征^[4]，使得WSN中传统的数据查询方法不能高效地完成甚至无法完成不完全数据查询。不完全Skyline查询作为不确定性数据查询研究的一个重要方面，在数据库和网络计算等领域已被广泛研究^[5-7]。然而，WSN作为不完全数据产生的一个常见环境，目前对WSN中不完全Skyline查询的研究基本处于空白。

针对这些问题，本文提出了一种面向两层WSN的隐私保护不完全Skyline查询协议(Privacy-Preserving Incomplete Skyline query protocol in two-tiered sensor network, PPIS)。PPIS采用桶机制减少感知节点上传编码的数量，采用不完全数据置换算法将不完全数据转化成完全数据，以便存储节点快速处理查询，采用前缀成员验证机制、Bloom过滤器和对称加密技术保证数据的安全性，实现无需感知数据明文和桶区间明文参与的数值线性关系比较，为不完全Skyline查询处理提供隐私保护，采用数据压缩机制将Bloom过滤器编码表示成两个相邻1位置之差的集合，缩短感知节点上传编码的长度，并采用Merkle哈希树构造验证编码，实现查询结果的完整性验证。PPIS不仅实现了感知数据的隐私保护和查询结果的完整性验证，而且大大减少了感知节点的通信量。

1 相关工作

针对两层WSN隐私保护完全数据查询的研究，在查询类型方面，主要关注范围查询^{[1, 8]}、top-k查询^[9]和最值查询^[10]，而对复杂数据查询研究很少，如k-NN查询^[2]和Skyline查询^{[9, 11]}。对于两层WSN隐私保护Skyline查询，文献[9]基于桶技术提出了多维数据安全Skyline查询协议——SMQ(Secure Multidimensional Query)，SMQ将感知数据归入桶中，并根据桶 ID 判别桶间支配关系，从而实现安全Skyline查询。文献[11]改进了SMQ协议，提出了基于隐私保护和完整性验证的Skyline查询协议SSQ(Secure Skyline Query)，保证感知数据Skyline查询可以在没有数据明文和桶区间明文参与的情况下正常进行。

两层WSN环境容易产生不完全数据，而现有对不完全数据的研究仅仅关注数据库和网络计算等领域中的不完全数据模型^[12]、相似性检索^[13]、聚类^[14]、Skyline查询^[4-7]、top-k支配查询^[15]和k-NN查询^[16]等。对于不完全Skyline查询，文献[4]针对不完全数据支配关系的非传递特性和循环特性，提出了虚点和影子Skyline技术，并基于桶技术设计了ISkyline算法，以实现不完全Skyline查询。文献[6]通过构造近似函数依赖捕获各维度之间的联系，估计缺失属性值，实现不完全Skyline查询。文献[7]基于ISkyline协议和数据预处理的思想将待查询数据各属性值进行预排序，提出了基于排序的高效不完全Skyline算法(efficient Sort-based Incomplete Data Skyline algorithm, SIDS)。文献[5]提出失效Skyline、影子Skyline、分层库等概念，设计了一种高效的不完全k-skyband查询协议。以上针对传统网络不完全Skyline查询协议的研究，基本是通过使用一些数据预处理方法，使算法能够高效地处理不完全数据，却很少考虑算法在处理这类特殊数据时的能耗和隐私保护。而本文的核心聚焦于在结构特殊和能量有限的两层传感网中实现高效的隐私保护不完全Skyline查询处理。

2 预备知识 2.1 网络模型

本文采用与文献[2]类似的两层WSN模型, 如图 1所示。

整个网络被分割成多个查询单元(cells), 每个查询单元 C中包含多个感知节点{s₁, s₂, …, s_n}和一个存储节点M， 其中存储节点拥有丰富的计算资源和存储资源，负责接收、存储和处理单元内感知节点发来的感知数据，也负责执行Sink发送的查询请求；而资源受限的感知节点仅负责搜集感知数据，并及时将这些数据传送给存储节点。存储节点利用其远距离、高频率的通信能力与其邻居节点进行通信，形成多跳的上层通信网络。

2.2 查询模型

Skyline查询的目的是获取特定时间周期和区域内所有感知节点采集到的感知数据的最优支配集。所以，Skyline查询指令 Q可以形式化表示为：

Q=(cell=C)∧(epoch=t)∧(region=G)

其中：C为查询单元；t为查询周期；G为查询区域。

2.3 攻击模型与安全目标

在两层WSN中，存储节点往往成为恶意攻击的首选目标。尽管感知节点也可能被俘获，但是单个感知节点感知的数据相对整个网络较少，即使存在少量被俘获，对整个网络的影响也不大^{[1, 8]}。本文假设攻击者企图俘获存储节点，且Sink可信。

基于上述假设，隐私保护Skyline查询的安全目标为：

1) Sink可以获取感知数据明文，而存储节点无法获知；

2) 查询结果中感知数据明文同样只有Sink可以获取，而存储节点无法获知；

3) 存储节点通过插入虚假数据包、篡改数据和删除数据操作破坏查询结果的正确性，能被Sink检测出来。

2.4 不完全Skyline查询

不完全Skyline集和传统Skyline集概念相同，是一种不被其他点所支配的全部点的集合。不完全Skyline查询是在给定的不完全数据集合中找出Skyline集的过程。不完全Skyline查询同样涉及元组支配关系比较，不失一般性，本文对元组属性值优劣的判断用属性“越小”表示“越优”，综合文献[4, 15]，本文对不完全数据的支配关系定义如下：

定义1   对于两个可能含有不完全属性的 D维点P和Q，P支配Q必须满足以下两个条件：

1)P、Q中必须存在一个属性i，P.i和Q.i是已知的，且P.i < Q.i；

2) 对于所有其他的属性j，j≠i，P.j和Q.j是未知的或者P.j≤Q.j。

定理1   如果P是不完全数据集S的Skyline集中的点，则点P_+∞一定在S_+∞的Skyline集中，其中P_+∞表示将P中缺失属性置换为+∞，S_+∞表示将S中所有缺失属性置为+∞。

证明  若P是不完全数据集S的Skyline集中的点，则S中不存在支配P的点Q，即对于P和Q共有的属性值，P的更小。而在将P和Q转化成P_+∞和Q_+∞的过程中，只是置换了P和Q缺失的属性，共有的属性值不会改变，所以共有的属性值仍然是P的更小，故Q_+∞一定不会支配P_+∞，所以P_+∞一定在S_+∞的Skyline集中。

2.5 前缀成员验证机制

为了保证感知数据的隐私性，PPIS采用前缀成员验证机制^[10-11]和Bloom过滤器^{[8, 10]}，无需数据明文的参与即可实现数值线性关系比较

定义2   数值前缀编码集合。 对于包含α个二进制位的数值x=b₁b₂…b_α，其前缀编码集合为：

F(x)={b₁b₂…b_α, b₁b₂…b_α－1*, …, b₁* …* , *… *}

定义3   区间前缀编码集合。对于区间[a，b]，其前缀编码集合S([a, b])={p₁, p₂, …, p_δ}满足：

1)p₁, p₂,…, p_δ为前缀编码，且其对应的区间并集等于[a，b]；

2){p₁, p₂,…, p_δ}为满足1) 的最小集合。

定理2   对于数值x和区间[a，b]，当且仅当F(x)∩S([a, b])≠∅成立时，x∈[a, b]。

定理3   对于数值x和y，x、y≤d_max, 则x和y的线性关系满足：

$ x \ge y \Leftrightarrow F\left( x \right) \cap S\left( {\left[{y, {d_{\max }}} \right]} \right) \ne \emptyset $

(1)

$ x < y \Leftrightarrow F\left( x \right) \cap S\left( {\left[{y, {d_{\max }}} \right]} \right) = \emptyset $

(2)

2.6 Bloom过滤器

本文采用Bloom过滤器存储前缀成员验证编码，Bloom过滤器一般采用长度为 l_m的比特数组，如图 2(a)，初始时每位都置为0，并采用k个相互独立的哈希函数h₁、h₂、…、h_k来表示b个元素的集合X={x₁, x₂, …, x_b}。当该Bloom过滤器需要存储元素x_i(1≤x_i≤b)时，首先计算h₁(x_i)、h₂(x_i)、…、h_k(x_i)的值，然后将比特数据中对应位置比特值置为1，如图 2(b)，h₁(x₁)=3，h₂(x₁)=6，h₃(x₁)=8，则将数组中第(3, 6, 8) 位都置为1。类似的，为表示元素x₂，也将第(8, 11, 13) 位都置为1，如图 2(c)，若一个位置被多次置为1，则只有第一次起作用，其他几次操作不会产生任何效果。

2.7 Merkle哈希树

本文采用Merkle哈希树^[17]进行查询结果的完整性验证。 在周期t结束之前，感知节点s_i将所有桶中的数据进行编码，并利用这些编码数据建立一棵Merkle哈希树，求出哈希树的根编码作为完整性验证编码发送给存储节点。其数据编码规则为：首先对一个非空桶U_i^φ中每个数据进行哈希消息认证码(Hash-based Message Authentication Code, HMAC)处理，然后对U_i^φ中所有数据的HMAC编码求异或值，得到编码σ_i^φ，则σ_i^φ作为U_i^φ的验证编码。

感知节点s_i求出所有非空桶的验证编码σ_i¹, σ_i², …, σ_i^m后，执行如下操作：

1) 将这些验证编码按数值大小进行排序；

2) 将排序后的验证编码依次对应到Merkle哈希树的叶子节点；

3) 从叶子节点开始，向上层求出根节点的编码H_root。如图 3所示，若H₁₂是H₁和H₂的父节点则H₁₂=h(H₁|H₂)，其中：h()是一个单向哈希函数；“|”表示将两个字符串进行连接；

4) 将根节点编码H_root作为完整性验证编码发送给存储节点。

3 隐私保护不完全Skyline查询协议

本章给出实现PPIS的具体过程，隐私保护不完全Skyline查询由Sink、存储节点和感知节点相互协作完成，主要分为数据存储和查询处理两个阶段：

1) 数据存储阶段。感知节点在时间周期结束之前，将经编码压缩后的Bloom过滤器编码、桶中数据密文、 节点ID、完整性验证码 ξ、 时间周期和验证编码发送给存储节点。

2) 数据查询阶段。存储节点收到查询命令后，从感知节点发来的消息中提取出各个桶对应的Bloom过滤器编码，计算出所有桶的Skyline桶集，并将得到的桶集及桶内数据上传至Sink。

3.1 数据存储阶段

在数据存储阶段，感知节点对一个时间周期内获取的感知数据，首先，筛选出局部Skyline集；其次，将筛选出的Skyline集映射到桶中，然后，对桶区间进行编码和以桶为单位加密桶内感知数据；最后，将处理后的数据上传至其所在查询单元的存储节点。具体处理过程描述如下。

对于单元C内的任一感知节点s_i，设s_i在时间周期t内采集到的N个感知数据为{D_i¹, D_i², …, D_i^N}，N个感知数据分布在m个桶内，分别为U_i¹, U_i², …，U_i^m，桶U_i^φ(1≤φ≤m)中数据的最大值为D_i^hφ，最小值为D_i^lφ，用D_i^U_φ表示桶U_i^φ中所有数据。在时间周期t结束之前s_i对感知数据执行以下操作：

步骤1   将感知数据中所有缺失的属性值置为对应属性值的最大值，即若一个感知数据的第β维缺失，则将该维数值置为d^max_β。

步骤2   计算置换后感知数据的局部Skyline集SKY_i，并根据预定的桶划分策略，将SKY_i中数据归入对应范围的桶内。

步骤3   使用s_i和Sink的共享密钥k_i加密桶中数据，其中属于同一个桶的数据作为一个加密数据块，生成密文数据集{(D_i^U₁)_ki, (D_i^U₂)_ki, …, (D_i^U_m)_ki}。

步骤4   计算桶U_i^φ各数据区间的数值化前缀编码集合N(S([D_i^lφ, D_i^hφ]))，将每一维前缀编码集合添加到一个Bloom过滤器中，生成Bloom过滤器编码，并使用编码压缩技术处理这些编码，生成新的编码(B_i^r_φ1, B^r_iφ2, …, B_i^r_φβ)，即N(S([D_i^lφ, D_i^hφ]))→B_i^R_φ=(B_i^r_φ1, B_i^r_φ2, …, B_i^r_φβ)。

步骤5   计算数据最小值和桶U_i^φ中数据最小值的数值化前缀编码集合N(S([D^min, D_i^lφ]))，将每一维前缀编码集合添加到一个Bloom过滤器中，生成Bloom过滤器编码，并使用编码压缩技术处理这些编码，生成新的编码(B_i^d_φ1, B_i^d_φ2, …, B_i^d_φβ)，即：

$ N\left( {S\left( {\left[{{D^{\min }}, D_i^{l\varphi }} \right]} \right)} \right) \to B_i^{{D_\varphi }} = \left( {B_i^{{d_{{\varphi _1}}}}, B_i^{{d_{{\varphi _2}}}}, \cdots, B_i^{{d_{{\varphi _\beta }}}}} \right) $

步骤6   为s_i中感知数据构造Merkle哈希树，并计算其根节点编码作为查询验证码ξ。

步骤7   将如下消息发送给存储节点M：

$ \left\langle {ID, t, \xi, \left\{ {{{\left( {{D_i}^{{U_1}}} \right)}_k}_{_i}, {{\left( {{D_i}^{{U_2}}} \right)}_k}_{_i}, \cdots, {{\left( {{D_i}^{{U_m}}} \right)}_k}_{_i}} \right\}, \left\{ {B_i^{{R_1}}, B_i^{{R_2}}, \cdots, B_i^{{R_m}}} \right\}, \left\{ {B_i^{{D_1}}, B_i^{{D_2}}, \cdots, B_i^{{D_m}}} \right\}} \right\rangle $

3.2 数据查询阶段

数据查询由存储节点和Sink协作完成，存储节点负责计算包含查询结果的最优支配桶集，并返回给Sink。Sink解密密文数据，计算出最终的查询结果。

存储节点  当存储节点 M收到查询指令Q后，执行以下操作：

步骤1   存储节点M提取出收到信息中包含的{B_i^R₁, B_i^R₂, …, B_i^R_m}和{B_i^D₁, B_i^D₂, …, B_i^D_m}判断各个桶之间的支配关系，判定条件为：对B_i^R_x、B_i^D_x和B_j^R_y、B_j^D_y，其中：1≤x、y≤m，桶U_i^x支配桶U_j^y当且仅当∧_τ^β(B_i^r_xτ∩B_j^d_yτ=B_j^d_yτ)。不需要隐私数据明文的参与，删除查询单元内属于时间周期t且被支配的桶，得到更为精确的Skyline桶集SKY_b。

步骤2   存储节点M将Skyline桶集SKY_b发送给Sink。

Sink节点   Sink将查询指令Q发送给查询单元C内的M后，等待M返回查询信息。当Sink收到M发来的信息时，根据SKY_b中感知节点的ID信息，利用和感知节点的共享密钥k_i解密SKY_b中密文数据得到不完全数据，首先验证消息的完整性，再利用定义1的支配关系判别方法计算这些不完全数据的Skyline集，即可得到Skyline查询结果SKY_a。

4 协议分析 4.1 正确性分析

将感知节点 s_i在时间周期t内采集感知数据的Skyline集记为SKY_i^t。因为查询结果集SKY_ALL是由Skyline桶集SKY_b中数据使用定义1中支配关系判定方法筛选出的，所以有：

$ \forall D_i^x \in SK{Y_a} \Rightarrow D_i^x \in SK{Y_b}。 $

因此，若 $ \forall D_i^x \in SKY_i^t \Rightarrow D_i^x \in SK{Y_b}$成立，则PPIS是正确的。

当D_i^x∈SKY_i^t时, 要说明D_i^x∈SKY_b只需说明D_i^x所在的桶不被其他桶支配。

由3.2节可知存储节点M是根据{B_i^R₁, B_i^R₂, …, B_i^R_m}和{B_i^D₁, B_i^D₂, …, B_i^D_m}判定桶间的支配关系，而桶间支配关系是根据Bloom滤波器编码的从属关系判定的。因为Bloom滤波器编码从属关系判定存在一定的假阳性，所以PPIS的正确性取决于Bloom过滤器假阳性误判的概率。

设h为哈希函数的数目，l_m为Bloom过滤器编码长度，b为元素个数，则假阳性判定发生的概率^[2]为：

P∈[0, (1－(1－1/l_m)^hb)^h]

其中(1－(1－1/l_m)^hb)^h≈(1－e^－hb/l_m)^b。

因为l_m和b是较大的正整数， 所以，Bloom过滤器假阳性误判发生的概率很低，即Bloom过滤器的假阳性误判对PPIS正确性的影响可以忽略不计。

4.2 安全性分析

PPIS的安全性包括隐私数据安全性、桶区间信息安全性和查询结果安全性三个方面，下面从这三个方面证明PPIS是安全的。

定理3   PPIS方案在完成Skyline查询的过程中，感知节点发送的隐私数据是安全的。

证明  在数据存储阶段，感知节点 s_i发送给存储节点M的感知数据是经过对称加密处理后的密文，其中使用的密钥是Sink和s_i的共享密钥k_i。在无密钥k_i的前提下， 即使攻击者得到了密文数据，也不能求出明文数据。因此，感知节点发送的隐私数据是安全的。

定理4   PPIS方案在完成Skyline查询的过程中，桶区间范围是安全的。

证明  在数据存储阶段， 感知节点s_i发送给存储节点M 的桶区间信息是经过采用哈希函数构造的Bloom过滤器处理的，所以即使攻击者得到Bloom过滤器编码，也无法反向推出区间范围信息。因此，感知节点发送的各个桶的区间范围是安全的。

定理5   PPIS方案在完成Skyline查询的过程中，其查询结果是安全的。

证明  存储节点 M 根据Bloom过滤器编码判定密文数据的支配关系，不需要感知数据明文和桶区间明文的直接参与。Sink使用共享密钥 k_i解密SKY_b中的密文数据， 得到不完全数据，并从中筛选出Skyline查询结果 SKY_a。因此，M无法获得查询结果中的数据明文， 即查询结果是安全的。

4.3 完整性分析

数据的完整性包括查询结果的正确性和完整性两个方面，将从这两个方面分析PPIS的完整性。

1) 查询结果的正确性。由于攻击者无法得到密钥 k_i， 且验证编码是由感知数据明文通过单向哈希函数生成的，因此，攻击者无法伪造验证编码。当攻击者通过插入虚假数据包、篡改数据和删除数据操作进行完整性攻击时，都会改变Merkle哈希树根节点的哈希值。所以，Sink能检测出不正确查询结果。

2) 查询结果的完整性。如果攻击者删除了某些满足查询条件的桶，则其对应的验证编码也将一起丢失。此时，Sink通过剩余的验证编码和验证对象构造新Merkle哈希树，求出的根节点编码和收到的根节点编码是不一致的。所以，Sink能检测出不完整查询结果。

4.4 性能分析

假设网络中存在 n个感知节点，每个感知节点单位时间周期内产生N个感知数据，其中：SKY_i含I个长度为r的β维感知数据，分桶数为B，N个感知数据映射到m个桶，验证编码长度为l_c，单位密文数据长度为l_e，加密和HMAC计算的单位能耗分别为e_c和e_h，接收和发送单位数据的平均能耗分别为e_r和e_s，感知节点到存储节点的平均路径长度(跳数)为L，感知节点ID和时间周期数据长度分别为l_id和l_t。

1) 计算复杂度。参照文献[2]，本文对PPIS协议中感知节点和存储节点的计算复杂度进行分析。感知节点需要对数据进行Bloom过滤器(BF)编码操作(以下称为BF编码操作)和加密操作，因为每个桶都需要进行2次BF编码操作，因此BF编码操作的计算复杂度为O(2mh)，因为是以桶为单位加密桶中数据的，因此加密算法的复杂度为O(「Ir/(ml_e) ×m)，则传感节点的计算复杂度为O(2mh)+O(「Ir/(ml_e) ×m)。

存储节点单次BF编码比较操作的计算复杂度为O(l_m)，则存储节点的计算复杂度为O(nml_m)。

2) 能耗分析。感知节点的能耗包括计算能耗和通信能耗两方面。

令感知节点的通信开销为E_t，计算能耗为E_c。每个感知节点发送给存储节点的信息包括时间周期、节点ID、完整性验证码ξ、Bloom编码和密文数据，因此有：

$ \begin{array}{l} {E_{\rm{t}}} = \left( {{l_{id}} + {l_t}{\rm{ + }}\xi {\rm{ + }}Ir/m{l_e} \times m{l_e} + 2\beta m{l_m} + m{l_c}} \right)\\ \times n \times \left( {L \times {e_s} + \left( {L-1} \right) \times {e_r}} \right) \end{array} $

(3)

感知节点的计算能耗为感知节点进行加密和HMAC计算的能耗，因此有：

$ {E_c} = n \times I \times r \times \left( {{e_c} + {e_h}} \right) $

(4)

5 实验结果与分析

为了验证本协议在性能上的优越性，本章在文献[18]的WSN模拟器基础上，仿真实现了PPIS、SSQ和SMQ协议，并对实验结果进行比较分析。

实验环境为Core i5-2450MCPU，4GB内存；软件环境为Windows7 64位操作系统，VS.NET 2010和Matlab。实验使用与SSQ方案中同样的数据集Intel Lab(http://berkeley.intel-research.net/labdata)，并在此数据集的基础上按比例 ρ 随机删除一些属性，构成不完全数据。

本实验采用的加密算法为128位数据加密标准(Data Encryption Standard, DES)，Bloom过滤器选择4个哈希函数和128 b的编码数组。无线通信电路发送和接收1 b的能量消耗公式为 e_s=α+γ×d^k和e_r=β，其中:α为通信发送电路消耗的能量，γ为传输放大器消耗的能量，d为传输距离，k为路径损失因子，β为通信接收电路消耗的能量^[1]。参数值为：α=45 nJ/b，γ =10 pJ/(b·m²)，β=135 nJ/b，k=2。DES的加密能耗为8.92 μJ，查询命令长度为24 b。

1) 节点数量n对通信能耗E_t的影响。

由图 4可知，随着节点数量的增加，感知节点的平均通信能耗有减少的趋势，这是因为感知节点到存储节点的平均跳数有减少的趋势。由于PPIS使用了Bloom过滤器的编码压缩机制，同SSQ和SMQ相比，PPIS的 E_t 减少了70%以上。

2) 感知数据数量 N和桶数量B对通信能耗E_t的影响。

由图 5可以看出，随着N和B的增加，PPIS和SMQ的E_t变化相似，当N和B大到一定程度后趋水平，图 5(a)因为两者分桶方案是预先确定的，当所有桶都有数据时，随着N的增加，上传编码量不会再增加；图 5(b)因为随着桶数量增加，会使一个桶里至多有一个数据，此时编码数量也达到了最大值。而SMQ的分桶方案是由感知节点自身计算，与感知数据的量成正相关关系，因此，图 5(a)中SMQ的E_t一直有增大的趋势，图 5(b)中SMQ的E_t没有大的变化。

3) Bloom编码长度 l_m对通信能耗E_t的影响。

图 6显示l_m对感知节点通信能耗的影响，可以看出，随着l_m的增加，PPIS的E_t没有大的变化而SSQ的E_t呈线性增加。 这是因为PPIS使用了编码压缩技术，编码长度和Bloom数组长度没直接关系，只取决于Bloom数组中1的位数。

4) 不完全数据率 ρ对通信能耗E_t的影响。

图 7显示ρ对感知节点通信能耗的影响，可以看出，随着ρ的增加，PPIS的E_t逐渐减少，是因为随着不完全数据率ρ的增大， 使用置换算法后许多属性值被置为“最劣”，会有更多的数据被支配和丢弃。

综合上述实验结果和分析可知：与SSQ和SMQ相比，PPIS协议有更低的感知节点通信能耗，且通信能耗节省了70%以上。

6 结语

本文提出了一种基于桶技术和前缀成员验证机制的两层传感网隐私保护不完全Skyline查询协议PPIS。在安全方面，PPIS可以有效地保证数据的隐私性和查询结果的完整性，存储节点在查询过程中不能得到感知数据明文和桶区间明文且Sink可以通过查询结果完整性验证编码验证查询结果的完整性；在性能方面，PPIS有效减少了感知节点上传的编码数量，降低了感知节点的通信能耗。理论分析表明，PPIS能够确保感知数据的隐私性，以及查询结果的正确性、隐私性和完整性。实验结果表明，PPIS和现有隐私保护Skyline查询协议SSQ和SMQ相比具有更好的性能表现。

本文所设计PPIS协议成功抵抗了存储节点被俘获发起的攻击，而无法抵抗存储节点和感知节点的共谋攻击。虽然单纯的感知节点被俘获对整个网络数据安全性的威胁是很小的，但是当存储节点和部分感知节点被俘获时，攻击者可以对网络进行共谋攻击，此时对网络中数据安全的威胁是巨大的，因此，如何设计具有抵抗共谋攻击的安全不完全Skyline查询协议，将是下一步研究的重点方向。