隨培杰 李洪濤

摘要：雖然移動人群感知（MCS）是一種有效的城市數(shù)據(jù)感知與獲取技術(shù)．但它也給參與者帶來了彈道隱私泄露的風(fēng)險。具有相關(guān)知識背景的攻擊者可以掌握用戶的私人敏感信息，如家庭／工作地址、行為習(xí)慣和社會關(guān)系等。任何不恰當(dāng)?shù)膹椀罃?shù)據(jù)發(fā)布都將對用戶產(chǎn)生巨大的影響。因此，亟須一種保護(hù)隱私的彈道數(shù)據(jù)發(fā)布方案。目前，已有相關(guān)的方法和研究出現(xiàn)，如數(shù)據(jù)擾動（差分隱私）、偽數(shù)據(jù)生成（軌跡填充）、數(shù)據(jù)修改（軌跡合并、路段抑制）等，但它們都存在數(shù)據(jù)不真實(shí)或不完整的問題。為解決上述問題，文章提出一種新穎、個性化的路段賓時報道方法。

關(guān)鍵詞：移動公眾感知；彈道隱私；差分隱私；彈道相似性差異；推斷成功率

中圖法分類號：TP309 文獻(xiàn)標(biāo)識碼：A

１ 引言

隨著移動互聯(lián)網(wǎng)的發(fā)展，智能設(shè)備不僅大幅提高了計(jì)算、存儲和通信能力，而且集成了大量的無線傳感器，使得其能夠取代傳統(tǒng)的傳感器進(jìn)行數(shù)據(jù)采集工作。群智感知網(wǎng)通過移動設(shè)備完成數(shù)據(jù)采集，其已成為一種新興的數(shù)據(jù)采集方法。移動人群傳感（ＭＣＳ）是一種有效的城市數(shù)據(jù)感知和采集網(wǎng)絡(luò)，其在城市噪聲、室外大規(guī)模無線信號、智能交通數(shù)據(jù)采集等方面應(yīng)用廣泛。然而，其通常要求參與的用戶在數(shù)據(jù)采樣期間報告位置信息［１］ 。由于大部分人的生活軌跡都有一定的規(guī)律或模式，而且用戶的時空信息具有特殊的地標(biāo)性，因此在群體智能感知網(wǎng)絡(luò)的應(yīng)用中，用戶隱私保護(hù)是一個非常重要的環(huán)節(jié)。如何解決群體情報感知網(wǎng)絡(luò)中用戶的隱私安全問題，對群體情報感知網(wǎng)絡(luò)的發(fā)展具有重要影響。

２ 軌道隱私保護(hù)技術(shù)的分類

（１）基于廣義的軌跡隱私保護(hù)技術(shù)具有Ｋ 匿名性及擴(kuò)展性。其基本思想是將軌跡中的點(diǎn)擴(kuò)展為相應(yīng)的人臉（匿名區(qū)域），以降低攻擊者識別用戶的概率。

（２）基于抑制方法的彈道隱私保護(hù)技術(shù)的基本思想是限制敏感位置的釋放或轉(zhuǎn)換后的釋放，可以有效防止攻擊者通過相關(guān)性推斷出用戶的彈道。

（３）基于虛假數(shù)據(jù)的彈道隱私保護(hù)技術(shù)的基本思想是在真實(shí)彈道中加入一個虛假彈道，或者使用一個合成彈道來替代原來的彈道，以達(dá)到混淆的目的。

表１ 列舉了４ 種保障私隱技術(shù)，并對其進(jìn)行比較。

由表１ 可以看出，雖然前３ 種方法都具有一定的效果，并提出了許多改進(jìn)措施，但這些方法都容易受到有相關(guān)知識背景攻擊者的攻擊，無法為用戶提供足夠的隱私保護(hù)，而且在一定程度上具有模糊性。在軌跡保護(hù)中引入差分隱私技術(shù)，既能有效地避免背景信息的泄露，又能有效地保護(hù)用戶的隱私。一方面，隱私預(yù)算和噪聲的增加是一個難以控制與值得探討的問題。另一方面，它需要在報表信息中添加隨機(jī)噪聲，這不可避免地會影響報表數(shù)據(jù)的質(zhì)量，因此該方法仍具有一定的缺陷［２］ 。為解決上述問題，本文提出了一種全新的解決方案，不僅可以在某些場景下保持?jǐn)?shù)據(jù)的可用性，而且可以達(dá)到保護(hù)隱私的目的。最重要的是，其沒有數(shù)據(jù)失真或數(shù)據(jù)修改的問題。

３ 相關(guān)工作

３．１ 基于ＭＣＳ 的數(shù)據(jù)收集

移動人群感知網(wǎng)絡(luò)通常用于大型戶外信號的采集，包括任務(wù)發(fā)布者、云服務(wù)器、智能設(shè)備和參與者。

任務(wù)發(fā)布者將任務(wù)提交給云服務(wù)器；智能設(shè)備負(fù)責(zé)數(shù)據(jù)采樣并將數(shù)據(jù)上傳到云服務(wù)器，報告的數(shù)據(jù)通常包括許多關(guān)于參與用戶的信息（如位置）；云服務(wù)器負(fù)責(zé)收集參與用戶的招募和數(shù)據(jù)聚合。由于ＭＣＳ 的數(shù)據(jù)收集模式通常用于收集大規(guī)模的戶外信息，因此這些信息與用戶的位置和彈道具有相關(guān)性。在ＭＣＳ 數(shù)據(jù)收集過程中，單個位置信息的泄露等同于整體路徑的泄露。為了在數(shù)據(jù)收集過程中保護(hù)參與者軌跡的隱私，本文通過報告路線圖中的路段進(jìn)行數(shù)據(jù)采樣和收集。典型的ＭＣＳ 系統(tǒng)架構(gòu)如圖１ 所示。

典型的ＭＣＳ 系統(tǒng)架構(gòu)工作流程如下。

（１）群體智能感知平臺發(fā)布各種群體智能感知網(wǎng)絡(luò)應(yīng)用的多種感知任務(wù)，參與用戶通過移動智能設(shè)備查看和選擇接收感知任務(wù)。

（２）參與用戶根據(jù)收到的感知任務(wù)要求使用移動智能設(shè)備來感知數(shù)據(jù)，并在本地存儲或處理所感知的數(shù)據(jù)。

（ ３） 參與用戶選擇適當(dāng)?shù)臅r間或根據(jù)任務(wù)的時間要求將本地存儲的感知數(shù)據(jù)上傳到群體智能感知平臺。

（ ４）群智感知平臺中的服務(wù)器收集用戶報告的感知數(shù)據(jù)，對其進(jìn)行相關(guān)處理和數(shù)據(jù)分析，并將獲得的統(tǒng)計(jì)結(jié)果發(fā)送給服務(wù)消費(fèi)者，或發(fā)布結(jié)果供服務(wù)消費(fèi)者根據(jù)其需求進(jìn)行查詢。

３．２ 彈道數(shù)據(jù)發(fā)布方法和彈道數(shù)據(jù)發(fā)布系統(tǒng)架構(gòu)

將軌跡釋放方法分為２ 種。第一個目標(biāo)是發(fā)布一組曲目，將每個曲目視為一個記錄。第二個目標(biāo)是發(fā)布一條軌跡，將軌跡中的每個位置作為記錄。本文關(guān)注的是第二類彈道數(shù)據(jù)的發(fā)布。本文將第二種軌道釋放方法分為如下２ 種。

（１）位置點(diǎn)的表示方法。

隨著時間的推移，用戶的軌跡可以表示為一系列位置坐標(biāo)。長度為｜ Ｔ ｜ 的軌跡Ｔ 是時間對列表，Ｔ ＝（ｌ１，ｔ１）→（ｌ２，ｔ２）→… →（ｌ ｜Ｔ ｜，Ｔ ｜Ｔ ｜），（?ｉ，１≤ｉ≤｜Ｔ ｜）ｉ 是由緯度和經(jīng)度坐標(biāo)表示的空間點(diǎn)，ｌｉ∈ｌｉ 是時間ｔｉ 所有位置的集合。｜Ｔ ｜表示記錄在軌道中位置的數(shù)量。

（ ２）路段表示。

將車輛用戶的軌跡建模為邏輯地圖上的一系列路段。例如，Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，其中Ｔ 是參與者的實(shí)際軌跡，ｅｉ 是路徑的第ｉ 段，ｎ 是軌跡長度。參與者可以從Ｔ 中選擇一系列ｅｉ 組路段進(jìn)行報告。未要求報告路段集合中的相鄰元素必須是連續(xù)軌跡。

４ 威脅模型和假設(shè)

４．１ 威脅模型

假設(shè)攻擊者能夠使用某些地圖軟件獲取當(dāng)前路況，收集用戶的匿名區(qū)域和時間點(diǎn)，并觀察用戶屬于哪個位置，但不知道哪個位置屬于哪個用戶。由于攻擊者具有一定的學(xué)習(xí)能力，因此可以在ＬＢＳ 中學(xué)習(xí)一些隱私保護(hù)算法。因?yàn)橐恍┏Ｒ姷乃惴ㄊ枪_的，威脅模型基于貝葉斯攻擊，即攻擊者獲得上述知識并結(jié)合用戶發(fā)布的路段來預(yù)測和推斷用戶的真實(shí)軌跡。

４．２ 假設(shè)

在威脅模型中，若沒有觀察者能夠通過嗅探通信信道來推斷用戶敏感信息的威脅，則可以通過一些現(xiàn)有的安全方案（如安全套接字層、加密、哈希等）來實(shí)現(xiàn)。該方案的應(yīng)用場景是在城市交通中，如交通密度監(jiān)測和預(yù)測、城市規(guī)劃等。換言之，就是需要掌握一定的車輛密度，而且軌道區(qū)段不能過短。實(shí)際上，批量處理路段發(fā)布計(jì)劃不會只發(fā)送２ 個或３ 個路段。

５ 擬議方案

５．１ 存在的問題和設(shè)計(jì)目標(biāo)

通過對已有算法進(jìn)行分析，發(fā)現(xiàn)雖然現(xiàn)有算法改進(jìn)了傳統(tǒng)的噪聲添加，在一定程度上解決了運(yùn)動軌跡的失真，確保了一定的趨勢性和實(shí)用性，但其噪聲仍然逐點(diǎn)添加，隱私預(yù)算也逐漸增加。這并不適用于發(fā)布更多的位置軌跡。同時，其雖然增加了適當(dāng)?shù)牟蓸泳嚯x和方向，但經(jīng)過實(shí)驗(yàn)發(fā)現(xiàn)，效果并不理想。例如，某些方案在一定程度上隱藏或修改數(shù)據(jù)，從而影響數(shù)據(jù)的可用性。

５．２ 空投運(yùn)輸車輛的產(chǎn)生

當(dāng)車輛在道路上行駛時，如果車輛需要在一定時間段內(nèi)上傳自己的軌跡Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，那么當(dāng)車輛ＶＡ 收集軌跡的每個部分時，它將在一定規(guī)則下選擇鄰域。另一車輛ＶＢ 代表其自己部分的車輛，并且對應(yīng)于ＶＢ 的部分被保存為要釋放的部分。

５．３ 空投運(yùn)輸車輛的選擇

車輛ＶＡ 通過車聯(lián)網(wǎng)收集一定范圍內(nèi)車輛的位置信息，并將在未來Ｔ 中滿足軌跡相似差異的車輛作為自己的車輛。位置信息包括位置坐標(biāo)ｘ，ｙ，速度ｖ 和方向ｄ?；诋?dāng)前位置ＬｏｃＡ 計(jì)算時間Ｔ 之后的預(yù)測位置ＬｏｃＡｄｅｓ。然后計(jì)算周圍每輛車距ＬｏｃＡｄｅｓ 的距離Ｄｉｓ｛ＬｏｃＡｄｅｓ，ＬｏｃＢ｝。但是不能隨機(jī)選擇一個路段將其作為發(fā)布路段的候選，因?yàn)楣粽咭颜莆者@樣的保護(hù)方法和地圖信息。

６ 結(jié)束語

隨著車聯(lián)網(wǎng)和各種位置服務(wù)的快速發(fā)展，車輛用戶的位置隱私和軌跡隱私問題日益突出。研究表明，大部分人的軌跡在一定程度上都具有一定的規(guī)律或模式，通過用戶的時空特征和特殊敏感點(diǎn)，可以更準(zhǔn)確地推斷出用戶的真實(shí)軌跡，從而導(dǎo)致隱私問題，因此任何不恰當(dāng)?shù)能壽E數(shù)據(jù)發(fā)布都可能造成用戶隱私泄露。實(shí)際上，該計(jì)劃有許多改進(jìn)之處。比如，需要軌跡發(fā)生偏差的城市的大量信息，如路況、過往交通歷史，甚至是針對不同日期、不同時間段的調(diào)整或考慮設(shè)計(jì)新的規(guī)則來實(shí)現(xiàn)車輛軌跡保護(hù)。

數(shù)據(jù)收集中心可以根據(jù)自己的路段劃分城市道路，而不是使用現(xiàn)有的地圖。在數(shù)據(jù)收集階段，報告的部分將更加標(biāo)準(zhǔn)化；在數(shù)據(jù)上傳階段，這些基站被匯總上傳至上述數(shù)據(jù)中心。因此，為解決每個問題，需要花費(fèi)大量的時間來不斷地探索和完善。

參考文獻(xiàn)：

［１］ 徐振強(qiáng)，王家耀，楊衛(wèi)東．面向軌跡數(shù)據(jù)發(fā)布的隱私保護(hù)技術(shù)研究進(jìn)展［Ｊ］．測繪科學(xué)技術(shù)學(xué)報，２０１８，３５（１）：８７?９３．

［２］ 賈明正．面向數(shù)據(jù)發(fā)布的軌跡隱私保護(hù)技術(shù)研究［Ｄ］．成都：西南交通大學(xué)，２０１６．

作者簡介：

隨培杰（１９８６—），本科，研究方向：計(jì)算機(jī)應(yīng)用技術(shù)。

李洪濤（ １９９５—）， 碩士， 助教， 研究方向： 計(jì)算機(jī)網(wǎng)絡(luò)安全。