王 瑛，林國(guó)福

（閩江學(xué)院 實(shí)驗(yàn)實(shí)訓(xùn)管理中心,福建 福州 350108）

隨著傳感器技術(shù)和無(wú)線通訊技術(shù)的完善，群智能感知網(wǎng)絡(luò)也在諸多領(lǐng)域得到普及和應(yīng)用［1］。移動(dòng)技術(shù)的高速發(fā)展帶動(dòng)群智能感知網(wǎng)絡(luò)的升級(jí)迭代，同時(shí)也給人們的生活和工作帶來(lái)諸多便利。目前如何實(shí)現(xiàn)時(shí)空眾包隱私位置保護(hù)成為相關(guān)專家和學(xué)者面臨的難題［2］。國(guó)內(nèi)外位置隱私保護(hù)主要集中在假名、隱匿、擾動(dòng)、假位置、加密、敏感位置的隱藏等技術(shù)，相對(duì)成熟的k-匿名和差分隱私保護(hù)技術(shù)擁有較好的隱私保護(hù)效果。但這兩種隱私保護(hù)技術(shù)仍然存在相對(duì)較多的問(wèn)題，如開(kāi)銷大、服務(wù)質(zhì)量水平低等［3］。鑒于此，此次研究提出結(jié)合k-匿名與差分隱私的位置保護(hù)模型，同時(shí)通過(guò)斯塔克伯格博弈平衡服務(wù)質(zhì)量水平和用戶隱私保護(hù)力度，旨在為時(shí)空眾包用戶提供優(yōu)良的隱私保護(hù)機(jī)制，盡可能實(shí)現(xiàn)用戶的最大化利益。

1 群智能感知網(wǎng)絡(luò)結(jié)構(gòu)和攻擊模型

1.1 群智能感知網(wǎng)絡(luò)結(jié)構(gòu)

群智能感知網(wǎng)絡(luò)結(jié)結(jié)構(gòu)包括應(yīng)用服務(wù)器、報(bào)告服務(wù)器、接入點(diǎn)、投入點(diǎn)，如圖1 所示。移動(dòng)節(jié)點(diǎn)是擁有感知、儲(chǔ)存、計(jì)算、通訊等基礎(chǔ)功能的可編程終端，一般情況下為可穿戴設(shè)備、平板電腦、智能手機(jī)，這些是完成群智能感知的基礎(chǔ)設(shè)施單元。他們的主要功能是實(shí)現(xiàn)位置、視頻、圖像、聲音等各類數(shù)據(jù)的采集，同時(shí)把采集到的數(shù)據(jù)經(jīng)無(wú)線接口傳輸?shù)椒?wù)器。同時(shí)這些移動(dòng)終端可通過(guò)隨身攜帶或者嵌入至車載單元，從而能夠完成實(shí)時(shí)數(shù)據(jù)采集。報(bào)告服務(wù)器是被用來(lái)預(yù)處理移動(dòng)節(jié)點(diǎn)傳輸過(guò)來(lái)的數(shù)據(jù)，具體的實(shí)現(xiàn)過(guò)程如圖1 所示。將數(shù)據(jù)類別、位置等數(shù)據(jù)信息依據(jù)相關(guān)特性完成數(shù)據(jù)的分類和聚類，進(jìn)而降低數(shù)據(jù)的繁雜性且提升數(shù)據(jù)的傳輸效率。完成上述操作后將報(bào)告服務(wù)器處理后的數(shù)據(jù)傳輸至應(yīng)用服務(wù)器。應(yīng)用服務(wù)器是用來(lái)存放報(bào)告服務(wù)器上傳來(lái)的數(shù)據(jù)報(bào)告，且可以經(jīng)過(guò)終端用戶和開(kāi)放平臺(tái)接口完成數(shù)據(jù)共享。通過(guò)移動(dòng)節(jié)點(diǎn)提供的數(shù)據(jù)，應(yīng)用服務(wù)器實(shí)現(xiàn)終端用戶的需求，例如用戶查找附近的酒店、旅游景點(diǎn)、加油站、醫(yī)院等。需要特別提出的是，應(yīng)用服務(wù)器處于半可性狀態(tài)，它既可以將用戶的行動(dòng)軌跡或者當(dāng)前位置傳遞給其他應(yīng)用程序，也可以根據(jù)用戶需求為其提供的精準(zhǔn)無(wú)誤的查詢結(jié)果。

圖1 群智能感知網(wǎng)絡(luò)結(jié)構(gòu)

1.2 時(shí)空眾包中攻擊者模型

時(shí)空眾包工作流程包括時(shí)空眾包工人、第三方匿名服務(wù)器、時(shí)空眾包任務(wù)請(qǐng)求者，時(shí)空眾包平臺(tái)實(shí)現(xiàn)可信第三方服務(wù)器和時(shí)間眾包工人的信息傳遞。時(shí)空眾包位置隱私保護(hù)系統(tǒng)結(jié)構(gòu)分為集中式、分布式、混合式?；旌鲜浇Y(jié)構(gòu)包括LBS 服務(wù)器、第三方匿名服務(wù)器、智能移動(dòng)終端。當(dāng)時(shí)空眾包用戶感知數(shù)據(jù)進(jìn)行作業(yè)前，可以通過(guò)和周圍時(shí)空眾包用戶互相協(xié)作以及第三方匿名服務(wù)器隱私算法處理達(dá)到隱私保護(hù)的目的。時(shí)空眾包位置隱私保護(hù)中攻擊者可以分為主動(dòng)攻擊者和被動(dòng)攻擊者，最主要的目標(biāo)是得到任務(wù)請(qǐng)求者的真實(shí)位置信息［4］。被動(dòng)攻擊者經(jīng)攔截LBS 服務(wù)器和第三方匿名服務(wù)器或者時(shí)空眾包平臺(tái)的通訊數(shù)據(jù)完成位置信息的攻擊。主動(dòng)攻擊既可以是惡意攻擊平臺(tái)服務(wù)器的攻擊者，又可以是眾包平臺(tái)系統(tǒng)的內(nèi)部人員。研究假定時(shí)空眾包平臺(tái)攻擊者是主動(dòng)攻擊者，攻擊者的模型包括連續(xù)查詢攻擊算法和差分攻擊算法。

對(duì)于連續(xù)查詢攻擊算法，假定時(shí)空眾包用戶按照相同的間隔時(shí)間持續(xù)傳遞LBS 服務(wù)申請(qǐng)，且可信第三方服務(wù)器也是間隔相同時(shí)間收集用戶的查詢信息，同時(shí)執(zhí)行Clique Cloakingk-匿名算法清除位置和用戶的關(guān)聯(lián)性。攻擊者能通過(guò)時(shí)空眾包平臺(tái)獲取匿名查詢快照。對(duì)于差分攻擊算法，攻擊者可以通過(guò)時(shí)空眾包平臺(tái)獲取用戶的差分隱私保護(hù)的相關(guān)參數(shù)以及歷史位置數(shù)據(jù)信息［5］。用戶將真實(shí)位置傳遞給可信的第三方匿名服務(wù)器，然后服務(wù)器利用隱私保護(hù)技術(shù)添加噪聲到真實(shí)位置l。為保證用戶的服務(wù)質(zhì)量，需要設(shè)置擾動(dòng)閾值r。差分攻擊的示意圖如圖2 所示。以真實(shí)位置l為中心且半徑為r組成的區(qū)域內(nèi)包括被保護(hù)后的位置，同理，以被保護(hù)位置l' 為中心且半徑為r組成的區(qū)域內(nèi)包括用戶的真實(shí)位置。第一步，攻擊者依據(jù)l' 和r確定l所在的區(qū)域。第二步，依據(jù)歷史位置數(shù)據(jù)形式得到用戶的背景知識(shí)，即用戶歷史位置數(shù)據(jù)的概率分布。第三步，經(jīng)時(shí)空眾包平臺(tái)得到隱私保護(hù)算法的隱私預(yù)算ε、度參數(shù)、位置參數(shù)u。

圖2 差分攻擊示意圖

2 面向k-匿名與差分隱私的時(shí)空眾包隱私保護(hù)模型

2.1 時(shí)空眾包的數(shù)據(jù)感知傳輸?shù)碾[私保護(hù)機(jī)制

針對(duì)前述攻擊者的兩種模型，k-匿名和差分隱私的隱私保護(hù)技術(shù)是目前常用的隱私保護(hù)技術(shù)。Clique Cloakign 等第一類k-匿名隱私保護(hù)技術(shù)是一種語(yǔ)義位置隱私保護(hù)技術(shù)，雖然能給用戶提供高質(zhì)量的服務(wù)，但很難承受攻擊者的連續(xù)查詢攻擊［6-7］。差分隱私保護(hù)是一種數(shù)理模型的位置隱私保護(hù)技術(shù)，具備隱私性好且服務(wù)質(zhì)量高等優(yōu)點(diǎn)，但在某些情況下攻擊者可能會(huì)獲得時(shí)空眾包的真實(shí)位置。研究結(jié)合兩種隱私保護(hù)技術(shù)對(duì)用戶感知數(shù)據(jù)過(guò)程進(jìn)行位置隱私保護(hù)，如表1 所示。避免差分隱私保護(hù)技術(shù)導(dǎo)致用戶真實(shí)位置的暴露，可信第三方服務(wù)器首先搜索用戶最近的k-1個(gè)用戶形成的k-匿名集，用戶的位置和身份不完全對(duì)應(yīng)。避免攻擊者在連續(xù)攻擊下快速推算出時(shí)空眾包的真實(shí)位置，利用差分位置隱私保護(hù)技術(shù)添加噪聲到k-匿名集中時(shí)空用戶的真實(shí)位置。

表1 k-匿名集對(duì)比

時(shí)空眾包平臺(tái)發(fā)布的更新特定區(qū)域的任務(wù)集用τ=(t1,t2,t3,...,t m-1,tm)指代，U=(u1,u2,u3,...,u m-1,um)表示接受且處理任務(wù)的一個(gè)戶集。同一k-匿名集下的真實(shí)位置數(shù)據(jù)集用l1,l2,l3,...,lk表示，用戶的真實(shí)位置用li指代，位置由(xi,yi)經(jīng)緯度兩部分組成。經(jīng)差分隱私保護(hù)后的位置用指代。假設(shè)存在一個(gè)擾動(dòng)位置使得li和lj兩個(gè)時(shí)空眾包用戶位置滿足式（1）條件，則代表這兩個(gè)時(shí)空眾包用戶的位置具有一致性。

P(xi→)、P(yi→)分別指真實(shí)位置的橫縱坐標(biāo)產(chǎn)生擾動(dòng)位置橫縱坐標(biāo)的概率，ε≥0 是指差分隱私預(yù)算，i,j∈{1,2,3,...,k}。研究如何添加符合拉普拉斯分布的噪聲達(dá)到更好的隱私保護(hù)效果［8］。首先利用拉普拉斯逆累積分布形成離散噪聲，然后擾動(dòng)時(shí)空眾包真實(shí)位置的橫縱坐標(biāo)。該種方式既使得真實(shí)位置所產(chǎn)生的擾動(dòng)在以內(nèi)，又保證擾動(dòng)輸出值相同的概率一致。設(shè)置拉普拉斯逆累積分布數(shù)值為［-0.5，0.5］。

2.2 時(shí)空眾包隱私保護(hù)斯塔伯格博弈模型

在時(shí)空眾包用戶傳輸感知數(shù)據(jù)過(guò)程中，需要將街道的軌跡數(shù)據(jù)傳遞給時(shí)空眾包平臺(tái)［9］。針對(duì)時(shí)空眾包用戶的數(shù)據(jù)匯聚安全問(wèn)題，常見(jiàn)的線性數(shù)據(jù)匯聚方式如圖3（a）所示，作用特點(diǎn)是點(diǎn)對(duì)點(diǎn)完成數(shù)據(jù)匯聚。分布任務(wù)過(guò)程中，任務(wù)接受時(shí)空眾包用戶隨機(jī)設(shè)置數(shù)據(jù)傳輸順序。在整個(gè)傳輸過(guò)程中，攻擊者無(wú)法從感知數(shù)據(jù)中辨別身份和數(shù)據(jù)間的關(guān)系。但這種方法存在等待時(shí)間過(guò)長(zhǎng)、數(shù)據(jù)傳輸效率低等缺點(diǎn)。研究利用動(dòng)態(tài)數(shù)據(jù)保護(hù)機(jī)制進(jìn)行數(shù)據(jù)匯聚，如圖3（b）所示。首先定義完成數(shù)據(jù)感知任務(wù)的ui為頭結(jié)點(diǎn)，感知數(shù)據(jù)用mi指代，感知數(shù)據(jù)的份數(shù)、時(shí)間、位置、內(nèi)容分別用c、t、l、指代。頭結(jié)點(diǎn)將數(shù)據(jù)傳輸信號(hào)和份數(shù)傳遞給平臺(tái)，然后平臺(tái)隨機(jī)選擇一個(gè)包含頭結(jié)點(diǎn)的k-匿名集的數(shù)據(jù)傳輸小組，且隨機(jī)設(shè)置在同一k-匿名集中進(jìn)行數(shù)據(jù)感知的um為孩子節(jié)點(diǎn)，并標(biāo)記頭結(jié)點(diǎn)和孩子節(jié)點(diǎn)。孩子節(jié)點(diǎn)將通過(guò)同樣的方式隨機(jī)選擇下一個(gè)孩子節(jié)點(diǎn)uj，u m需要計(jì)算ci+cm的值并將mm傳遞給uj，其中ci∈mi，c m∈mm。設(shè)置此匿名集下存在的最后一個(gè)時(shí)空眾包用戶uk為葉子節(jié)點(diǎn)，傳輸數(shù)據(jù)為所有父節(jié)點(diǎn)和自身的c值。時(shí)空眾包平臺(tái)接收到后完成和用戶感知數(shù)據(jù)的最小數(shù)量C對(duì)比。假如c≥C，則標(biāo)記該節(jié)點(diǎn)并結(jié)束數(shù)據(jù)匯聚，否則重復(fù)上述過(guò)程。

圖3 線性數(shù)據(jù)和動(dòng)態(tài)數(shù)據(jù)保護(hù)機(jī)制

為實(shí)現(xiàn)服務(wù)質(zhì)量和隱私位置保護(hù)的平衡，使用斯塔克伯格博弈模型獲取隱私最佳保護(hù)策略［10］。時(shí)空眾包平臺(tái)和攻擊者分別進(jìn)行隱私保護(hù)策略和攻擊策略，然后時(shí)空眾包平臺(tái)依據(jù)攻擊策略優(yōu)化保護(hù)策略，從而實(shí)現(xiàn)用戶的最大利益。服務(wù)質(zhì)量損失Qloss的計(jì)算公式為式（2）。

K是指差分?jǐn)_動(dòng)機(jī)制，Kll'指真實(shí)位置產(chǎn)生擾動(dòng)位置的概率，π是指攻擊者通過(guò)各種途徑收獲到的背景知識(shí)，dq(·)是指真實(shí)位置和擾動(dòng)位置間的歐式距離。同時(shí)設(shè)置最大服務(wù)質(zhì)量損失容忍度滿足位置精度需求。攻擊者通過(guò)差分攻擊算法和連續(xù)攻擊算法可以得到估計(jì)位置，量化時(shí)空眾包用戶的隱私保護(hù)力度用式（3）所示。

Reid是指連續(xù)攻擊算法對(duì)k-匿名的隱私保護(hù)身份的反匿名，d p是指真實(shí)位置和估計(jì)真實(shí)位置的歐式距離。

在完成服務(wù)質(zhì)量損失以及隱私保護(hù)力度的量化后，研究利用斯塔克伯格博弈模型討論兩者平衡關(guān)系。首先利用前述的k-匿名和差分隱私技術(shù)保護(hù)時(shí)空眾包的隱私，然后攻擊者選擇最佳攻擊策略估計(jì)用戶的真實(shí)位置，使得時(shí)空眾包用戶的隱私最小化。需要指出的是，最佳估計(jì)位置是從估計(jì)者生成的多個(gè)位置中進(jìn)行選擇。最后時(shí)空眾包平臺(tái)依據(jù)攻擊策略保證用戶的利益最大化。

3 時(shí)空眾包隱私保護(hù)效果分析

3.1 隱私保護(hù)力度分析

為驗(yàn)證所提出隱私保護(hù)模型的有效性，分別將其與差分隱私和k-匿名隱私位置保護(hù)機(jī)制進(jìn)行對(duì)比。設(shè)置匿名集的勢(shì)分別為3，5，7，查詢時(shí)間間隔為［0，0.3］，差分隱私預(yù)算為0.53 或者1.02。連續(xù)查詢攻擊的結(jié)果如圖4 所示。當(dāng)連續(xù)查詢關(guān)聯(lián)度為0，匿名集的勢(shì)分別為3，5，7 時(shí)，則攻擊者識(shí)別出時(shí)空眾包用戶真實(shí)位置的概率值分別為1/3、1/5、1/7，因此隨著匿名集勢(shì)的增加，攻擊者識(shí)別出真實(shí)位置的幾率也越低。隨著連續(xù)查詢關(guān)聯(lián)度的增加，識(shí)別真實(shí)位置的概率也越來(lái)越高。

圖4 連續(xù)查詢攻擊的結(jié)果

當(dāng)連續(xù)關(guān)聯(lián)度值為0.5 時(shí)，差分隱私預(yù)算分別在0.53 和1.02 兩種數(shù)值下，攻擊者識(shí)別用戶真實(shí)位置的概率值分別如圖5（a）和5（b）所示。隨著匿名集勢(shì)的增加，在k-匿名技術(shù)保護(hù)下攻擊者識(shí)別用戶真實(shí)位置的概率值逐漸降低，但對(duì)差分隱私保護(hù)下的概率值沒(méi)有太大的影響。當(dāng)差分隱私預(yù)算增加時(shí)，差分隱私保護(hù)下和新提出的保護(hù)機(jī)制的概率值明顯降低。

圖5 不同保護(hù)技術(shù)下的真實(shí)IR 對(duì)比

進(jìn)一步利用攻擊者期望誤差評(píng)價(jià)用戶隱私保護(hù)等級(jí)，設(shè)置最大服務(wù)質(zhì)量損失閾值分別為1 km和2 km，兩種情況下攻擊者估計(jì)的真實(shí)位置的平均期望誤差結(jié)果如圖6（a）和6（b）所示。相比較差分隱私保護(hù)技術(shù)，研究所提出的保護(hù)機(jī)制具備更好的隱私保護(hù)功能。且隨著最大服務(wù)質(zhì)量損失閾值的增加，時(shí)空眾包用戶的平均期望誤差增加，即用戶隱私保護(hù)等級(jí)增加。在最大服務(wù)質(zhì)量損失閾值為2 km 時(shí)，匿名集的勢(shì)為7 時(shí)，差分隱私保護(hù)機(jī)制以及新提出的隱私保護(hù)機(jī)制的平均期望誤差分別為0.89 km 和1.38 km。

圖6 時(shí)空眾包用戶真實(shí)位置平均期望誤差對(duì)比

3.2 隱私保護(hù)力度與服務(wù)質(zhì)量損失平衡性分析

結(jié)合k-匿名和差分隱私的保護(hù)機(jī)制的服務(wù)質(zhì)量以及隱私保護(hù)力度進(jìn)行分析，結(jié)果如圖7 所示。隨著最大服務(wù)質(zhì)量損失閾值的增加，隱私保護(hù)力度以及服務(wù)質(zhì)量損失逐漸增加。在最大服務(wù)質(zhì)量損失閾值小于1.68 時(shí)，服務(wù)質(zhì)量損失大于隱私保護(hù)力度。而閾值超過(guò)1.68 時(shí)，得到相反的結(jié)果。這是因?yàn)楫?dāng)閾值較小時(shí)，時(shí)空眾包用戶真實(shí)位置添加的噪聲較大，因此攻擊者通過(guò)計(jì)算模型得到的估計(jì)位置和真實(shí)位置相差較小。

圖7 服務(wù)質(zhì)量損失和隱私保護(hù)力度

不同數(shù)據(jù)規(guī)模下服務(wù)質(zhì)量損失和隱私保護(hù)力度的比值如圖8 所示，整體來(lái)看，隨著最大服務(wù)質(zhì)量閾值的增加，服務(wù)質(zhì)量損失和隱私保護(hù)力度的比值首先逐漸減少然后再逐漸增加。當(dāng)最大服務(wù)質(zhì)量閾值為4.5 km 時(shí)，比值最低，值約為0.5。當(dāng)最大服務(wù)質(zhì)量閾值約為1km 時(shí)，服務(wù)質(zhì)量損失和隱私保護(hù)力度幾乎相等。同時(shí)隨著數(shù)據(jù)規(guī)模的增加，服務(wù)質(zhì)量損失和隱私保護(hù)力度的比值也增加。

圖8 不同數(shù)據(jù)規(guī)模下服務(wù)質(zhì)量損失和隱私保護(hù)力度的比值

4 結(jié)論

對(duì)時(shí)空眾包用戶感知數(shù)據(jù)和傳輸感知數(shù)據(jù)等過(guò)程中存在防連續(xù)性攻擊性弱、傳輸效率低下、服務(wù)質(zhì)量低等問(wèn)題，研究對(duì)群智能感知網(wǎng)絡(luò)的位置隱私保護(hù)進(jìn)行分析，提出時(shí)空眾包用戶保護(hù)機(jī)制和最佳隱私保護(hù)策略。隨著最大服務(wù)質(zhì)量損失閾值的增加，時(shí)空眾包用戶的平均期望誤差增加。相對(duì)單一隱私保護(hù)機(jī)制，面向k-匿名和差分隱私保護(hù)機(jī)制具有明顯優(yōu)勢(shì)。隨著最大服務(wù)質(zhì)量損失閾值的增加，隱私保護(hù)力度以及服務(wù)質(zhì)量損失逐漸增加。當(dāng)閾值小于1.68 時(shí)，服務(wù)質(zhì)量損失大于隱私保護(hù)力度，而閾值超過(guò)1.68 時(shí)，服務(wù)質(zhì)量損失小于隱私保護(hù)力度。隨著最大服務(wù)質(zhì)量閾值的增加，服務(wù)質(zhì)量損失和隱私保護(hù)力度的比值首先逐漸減少然后再逐漸增加，最小的比值約為0.5。