移動群智感知中基于用戶聯(lián)盟匹配的隱私保護(hù)激勵機(jī)制

熊金波 馬 蓉 牛 犇 郭云川 林 立

1(福建師范大學(xué)數(shù)學(xué)與信息學(xué)院 福州 350117) 2(中國科學(xué)院信息工程研究所 北京 100093) 3 (信息安全國家重點(diǎn)實(shí)驗(yàn)室(中國科學(xué)院信息工程研究所) 北京 100093) (jinbo810@163.com)

隨著傳感器能力的快速提升以及移動智能終端設(shè)備的廣泛普及使得移動群智感知網(wǎng)絡(luò)成為了一種全新的物聯(lián)網(wǎng)感知模式[1].通過利用大量移動智能終端和移動傳感器等普適感知設(shè)備采集特定范圍內(nèi)的個(gè)體、情景及環(huán)境感知數(shù)據(jù)等，以完成那些僅依靠個(gè)體很難實(shí)現(xiàn)的大規(guī)模、復(fù)雜的泛在深度社會感知任務(wù)[2].同時(shí)，由于其感知數(shù)據(jù)具有極大潛在價(jià)值，使其應(yīng)用范圍不斷擴(kuò)展與延伸.盡管如此，其在多方面也存在新的問題與挑戰(zhàn)，尤為突出的是移動群智感知網(wǎng)絡(luò)的隱私安全問題[3].在移動群智感知網(wǎng)絡(luò)中，感知用戶將感知到的數(shù)據(jù)實(shí)時(shí)發(fā)送給感知平臺，感知平臺收集某時(shí)間內(nèi)所參與感知任務(wù)的所有感知用戶的數(shù)據(jù)并進(jìn)行初步數(shù)據(jù)處理，再與服務(wù)提供商進(jìn)行感知數(shù)據(jù)交易，并由服務(wù)提供商對交易所得到的感知數(shù)據(jù)進(jìn)行進(jìn)一步的分析與處理，后續(xù)為用戶制定個(gè)性化的服務(wù)策略以及實(shí)現(xiàn)用戶行為預(yù)測等.在此過程中的感知數(shù)據(jù)收集和處理會給感知用戶的隱私造成威脅.一方面，如果感知用戶直接上傳隱含敏感信息的感知數(shù)據(jù)，而不采用適當(dāng)數(shù)據(jù)隱私保護(hù)技術(shù)將可能造成其隱私泄露;另一方面，感知平臺對上傳后的感知數(shù)據(jù)進(jìn)行處理也給感知數(shù)據(jù)的隱私帶來了威脅.因此，感知用戶在上傳感知數(shù)據(jù)前如何選擇數(shù)據(jù)隱私保護(hù)策略和感知平臺對收集到的感知數(shù)據(jù)如何進(jìn)行安全的隱私保護(hù)計(jì)算處理成為群智感知網(wǎng)絡(luò)發(fā)展所面臨的嚴(yán)峻挑戰(zhàn)之一.如果能夠解決感知用戶數(shù)據(jù)和感知平臺的隱私保護(hù)問題，將減少用戶對隱私泄露的顧慮從而保證感知任務(wù)所需的感知數(shù)據(jù)收集質(zhì)量，提升感知任務(wù)的質(zhì)量和效率，并設(shè)計(jì)有效的激勵機(jī)制對感知用戶參與感知任務(wù)所付出代價(jià)進(jìn)行補(bǔ)償，以吸引更多用戶長期參與其中，將使得移動群智感知任務(wù)、感知數(shù)據(jù)規(guī)模更加龐大,其應(yīng)用進(jìn)一步得到拓展.

現(xiàn)有研究中，移動群智感知網(wǎng)絡(luò)的隱私保護(hù)方案大多數(shù)假設(shè)其感知平臺完全可信，感知用戶在參與感知任務(wù)過程中采取隱私保護(hù)措施，對每個(gè)用戶在第t次感知任務(wù)中提供的真實(shí)感知數(shù)據(jù)選擇一個(gè)數(shù)據(jù)隱私保護(hù)水平[4-6]，數(shù)據(jù)隱私保護(hù)可利用對真實(shí)感知數(shù)據(jù)添加噪聲[7-9]、k-anonymity[10-11]等方式，每個(gè)用戶在不知道其他用戶的隱私偏好情況下將隱私保護(hù)處理后的數(shù)據(jù)和數(shù)據(jù)隱私保護(hù)水平上傳給感知平臺進(jìn)行聚合[12-13].感知平臺從感知用戶處收集到所有隱私保護(hù)處理后的感知數(shù)據(jù)集和用戶的隱私保護(hù)水平之后再交易給服務(wù)提供商，雖能起到一定的隱私保護(hù)效果，但仍存在著許多尚未解決的3個(gè)問題：

1) 群智感知網(wǎng)絡(luò)用戶數(shù)據(jù)量龐大，若每個(gè)用戶都采用一定的隱私保護(hù)方法對真實(shí)數(shù)據(jù)進(jìn)行處理后再上傳，感知平臺所收集到的感知數(shù)據(jù)集的數(shù)據(jù)真實(shí)性和可用性將大打折扣.

2) 大多數(shù)方案對感知平臺完全可信的假設(shè)在實(shí)際應(yīng)用中并不成立，在已有的一些數(shù)據(jù)聚合方案中常用同態(tài)加密[13]的方式實(shí)現(xiàn)非完全可信的感知平臺在不知道任一感知用戶上傳數(shù)據(jù)的情況下進(jìn)行隱私數(shù)據(jù)聚合.但面對龐大的數(shù)據(jù)量和感知端有限的計(jì)算能力，同態(tài)加密的計(jì)算效率不再滿足需求[14].

3) 在移動群智感知網(wǎng)絡(luò)中，在保護(hù)感知用戶數(shù)據(jù)隱私的同時(shí)還需考慮合理有效的激勵機(jī)制構(gòu)建，要保證感知用戶(尤其是信譽(yù)好的用戶)數(shù)量，并在提高感知任務(wù)處理效率的基礎(chǔ)上有效地對任務(wù)預(yù)算開支進(jìn)行控制.

為了解決上述問題，本文提出一種基于用戶聯(lián)盟匹配的信譽(yù)感知激勵機(jī)制，感知用戶在上傳感知數(shù)據(jù)前，用戶可選擇采用布隆過濾器和二元混淆向量內(nèi)積計(jì)算進(jìn)行相似度估計(jì)形成感知用戶聯(lián)盟后再上傳感知數(shù)據(jù)集.感知平臺對所收集到的感知(聯(lián)盟)數(shù)據(jù)集合進(jìn)行隱私數(shù)據(jù)交集計(jì)算，綜合考慮其計(jì)算效率和對數(shù)據(jù)的隱私保護(hù)，利用偽隨機(jī)函數(shù)在不泄露任一(聯(lián)盟)數(shù)據(jù)集信息的前提下，協(xié)同計(jì)算各(聯(lián)盟)數(shù)據(jù)集合交集后與服務(wù)提供商進(jìn)行交易獲得收益.并通過初始設(shè)置感知用戶(聯(lián)盟)的信譽(yù)值，在任務(wù)分配過程中選擇信譽(yù)度高的感知用戶(聯(lián)盟)來參與任務(wù)處理，并通過設(shè)置因子減小感知用戶(聯(lián)盟)的花費(fèi)代價(jià)，能夠在提高任務(wù)處理效率的基礎(chǔ)上有效控制任務(wù)預(yù)算.本文主要貢獻(xiàn)有4個(gè)方面：

1) 提出一種基于布隆過濾器的用戶聯(lián)盟匹配方案，采用布隆過濾器和二元混淆向量內(nèi)積計(jì)算進(jìn)行相似度估計(jì)，使得用戶可選擇在上傳數(shù)據(jù)前形成用戶聯(lián)盟，整個(gè)算法不涉及耗時(shí)的加密運(yùn)算，計(jì)算開銷較小.

2) 針對現(xiàn)有隱私數(shù)據(jù)交集計(jì)算的效率問題，提出一種輕量級感知數(shù)據(jù)交集計(jì)算協(xié)議，面對半可信的感知平臺，利用偽隨機(jī)函數(shù)對用戶(聯(lián)盟)數(shù)據(jù)集進(jìn)行加密和偽隨機(jī)擾亂后上傳到感知平臺，再在集合元素的隨機(jī)函數(shù)上求交集.服務(wù)提供商可通過偽隨機(jī)函數(shù)的逆過程獲得感知數(shù)據(jù)集合交集.該協(xié)議具有較高計(jì)算效率，能夠滿足數(shù)據(jù)量龐大的群智感知網(wǎng)絡(luò)的計(jì)算需求.

3) 針對現(xiàn)有激勵機(jī)制在用戶選擇的隨機(jī)性、任務(wù)處理效率和預(yù)算控制方面的不足，提出一種信譽(yù)感知激勵機(jī)制.初始設(shè)置感知用戶(聯(lián)盟)的信譽(yù)值，在任務(wù)分配過程中選擇信譽(yù)度高的感知用戶(聯(lián)盟)來參與任務(wù)處理，并通過設(shè)置因子減小感知用戶(聯(lián)盟)的花費(fèi)代價(jià)，可在提高任務(wù)處理效率的同時(shí)有效控制任務(wù)預(yù)算開支.

4) 安全分析表明：用戶聯(lián)盟匹配方案是可證明安全的，基于用戶聯(lián)盟匹配的信譽(yù)感知激勵機(jī)制能夠滿足安全目標(biāo)，性能分析和實(shí)驗(yàn)結(jié)果表明所提機(jī)制是高效的.

1 相關(guān)研究工作

在移動群智感知網(wǎng)絡(luò)中，普通用戶需要主動參與感知任務(wù).然而，用戶參與感知任務(wù)需要付出一定的代價(jià)(例如網(wǎng)絡(luò)帶寬、能耗、費(fèi)用等消耗)，因此需要設(shè)計(jì)一種合理的補(bǔ)償激勵機(jī)制來對用戶的消耗代價(jià)進(jìn)行補(bǔ)償[15-16]，以吸引更多用戶主動參與到感知任務(wù)中來.當(dāng)前對于移動群智感知網(wǎng)絡(luò)激勵機(jī)制已開展一些研究工作，主要可分為以感知平臺為中心和以感知用戶為中心的2類激勵機(jī)制模式.以感知平臺為中心的激勵機(jī)制是由感知平臺進(jìn)行任務(wù)發(fā)布，感知用戶根據(jù)任務(wù)信息自愿選擇是否參與任務(wù)后由感知平臺進(jìn)行支付報(bào)酬.Duan等人[17]將這種以感知平臺為中心的激勵模式建模為Stackelberg博弈進(jìn)行進(jìn)一步研究，綜合考慮感知平臺和用戶僅知道所有用戶的感知成本的累積分布函數(shù)情況；Han等人[18]研究了移動群智感知網(wǎng)絡(luò)競爭拍賣激勵機(jī)制問題，首先感知平臺發(fā)布一些感知任務(wù)，然后感知用戶根據(jù)他們的感知成本和時(shí)間來競爭這些任務(wù)，最后感知平臺在預(yù)算限制下支付給用戶感知報(bào)酬.另一類以用戶為中的激勵機(jī)制模式是感知用戶接收到感知任務(wù)信息后提供自身信息及報(bào)價(jià)，再由感知平臺進(jìn)行選擇合適的感知用戶參與感知任務(wù).Jaimes等人[19]釆用以用戶為中心的基于逆向拍賣的動態(tài)價(jià)格激勵機(jī)制，進(jìn)一步考慮了用戶基于位置進(jìn)行感知，而感知平臺需要滿足覆蓋約束和預(yù)算約束的情況；文獻(xiàn)[20]中把感知任務(wù)分成3種不同的類型(即效用值隨感知任務(wù)大小成正比例變化、效用值隨感知任務(wù)處理過程成正比例變化以及效用值隨任務(wù)處理過程成反比例變化)，對于每一種任務(wù)類型用4種不同的激勵機(jī)制(Proportion incentive policy,Participation-aware incentive policy,Quality-aware incentive policy,Thrifty incentive policy)計(jì)算報(bào)酬.其中用戶參與激勵機(jī)制策略PAIP(Participation-aware incentive policy)在選擇感知用戶時(shí)采用隨機(jī)的方式，沒有考慮感知用戶自身的特點(diǎn)，這樣感知用戶在處理任務(wù)時(shí)目的性不強(qiáng)，在感知任務(wù)分配階段用戶的參與率不高，降低了整個(gè)任務(wù)的完成率，增加了代價(jià)花費(fèi)，從而使任務(wù)總預(yù)算減少.

此外，感知數(shù)據(jù)會極大可能地泄露用戶的隱私和敏感信息，因此必須設(shè)計(jì)合理的隱私保護(hù)機(jī)制在完成感知數(shù)據(jù)收集任務(wù)的同時(shí)能夠盡可能保護(hù)用戶隱私安全.現(xiàn)有的移動群智感知的隱私保護(hù)方案主要關(guān)注3類方法：

1) 匿名化[4-6,10-11].將身份信息移除后再將感知數(shù)據(jù)上報(bào)給感知平臺.這種方法的缺點(diǎn)是無法抵抗背景知識攻擊，即仍然可以從匿名化的或其他定位傳感器測量值中推斷出用戶頻繁訪問的位置以及其他個(gè)人信息.

2) 數(shù)據(jù)加密[13,21].使用加密技術(shù)將感知數(shù)據(jù)進(jìn)行處理變換后上報(bào)給感知平臺.這種方法比較安全，但缺點(diǎn)是需要較大的計(jì)算開銷，需要生成和維護(hù)多個(gè)密鑰，靈活性較差.

Fig. 1 System model圖1 系統(tǒng)模型

3) 數(shù)據(jù)加擾[7-9].對感知數(shù)據(jù)添加一些噪音后上報(bào)給感知平臺，添加的噪音需要保證用戶個(gè)體的隱私信息得到保護(hù)，同時(shí)依然能夠準(zhǔn)確地計(jì)算出群體信息的統(tǒng)計(jì)結(jié)果.但實(shí)際情況中噪音的添加往往使得聚合后的數(shù)據(jù)可用性大打折扣.

綜上所述，現(xiàn)有解決移動群智感知網(wǎng)絡(luò)中的激勵機(jī)制和隱私保護(hù)方案均存在一定問題，現(xiàn)有激勵機(jī)制在感知用戶選擇、任務(wù)處理效率和預(yù)算控制方面存在不足，亟需設(shè)計(jì)一種可兼顧任務(wù)處理效率和預(yù)算開支控制，同時(shí)保證充足的高信譽(yù)用戶參與感知任務(wù)的激勵機(jī)制；同時(shí)，感知用戶所采用的隱私保護(hù)方法存在一定安全威脅(例如k-anonymity不可抵御背景知識攻擊)，也缺乏對非完全可信的感知平臺的隱私保護(hù)研究.在實(shí)現(xiàn)隱私保護(hù)的基礎(chǔ)上，如何有效減少計(jì)算開銷、構(gòu)建輕量級的隱私保護(hù)方案也亟待考慮.

2 系統(tǒng)模型、威脅模型和實(shí)現(xiàn)目標(biāo)

為了方便描述本文所提方案與機(jī)制，表1中列出常用的符號及對應(yīng)的描述.

Table 1 Symbol and Description表1 符號及描述

2.1 系統(tǒng)模型

在系統(tǒng)模型中，本文考慮一種典型的移動群智感知網(wǎng)絡(luò)系統(tǒng)架構(gòu)，包括一個(gè)半可信的感知平臺、大量參與感知任務(wù)的感知用戶和參與最終聚合數(shù)據(jù)交易的服務(wù)提供商，如圖1所示:

1) 感知用戶是使用移動感知設(shè)備(如智能終端設(shè)備、可穿戴設(shè)備及車載設(shè)備等)的社會普通用戶，通過有線無線網(wǎng)絡(luò)與感知平臺進(jìn)行交互，上傳感知數(shù)據(jù)并最大化獲取相應(yīng)收益.感知用戶參與感知任務(wù)即可獲得相應(yīng)參與報(bào)酬.感知聯(lián)盟是各感知用戶為保護(hù)感知數(shù)據(jù)中蘊(yùn)含的大量敏感和隱私信息，在上傳數(shù)據(jù)到感知平臺之前可在保證自身數(shù)據(jù)安全前提下進(jìn)行隱私匹配形成的用戶聯(lián)盟，感知用戶在形成感知聯(lián)盟后再將聯(lián)盟數(shù)據(jù)集上傳到感知平臺中.

2) 服務(wù)提供商通過感知平臺購買感知數(shù)據(jù)，用于機(jī)器學(xué)習(xí)、數(shù)據(jù)可視化、大數(shù)據(jù)分析等領(lǐng)域，為不同需求的用戶提供后續(xù)服務(wù).理性的服務(wù)提供商希望以合理的價(jià)格從感知平臺獲得可用性較好的數(shù)據(jù).

3) 感知平臺分別與感知用戶和服務(wù)提供商進(jìn)行交互.在基于用戶聯(lián)盟匹配的信譽(yù)感知激勵機(jī)制下，感知平臺向移動感知用戶發(fā)布感知任務(wù)，采取信譽(yù)感知激勵機(jī)制吸引更多感知用戶(聯(lián)盟)參與感知任務(wù)上傳感知數(shù)據(jù).之后感知平臺對所收集到的數(shù)據(jù)集進(jìn)行隱私交集計(jì)算將所得結(jié)果賣給服務(wù)提供商以得到相應(yīng)報(bào)酬.

2.2 安全需求

移動群智感知網(wǎng)絡(luò)的可靠性和效率取決于通信系統(tǒng)的安全性，其網(wǎng)絡(luò)越來越復(fù)雜，交互性與動態(tài)性也越強(qiáng)，也需要更先進(jìn)的網(wǎng)絡(luò)技術(shù)，同時(shí)需要更復(fù)雜的安全協(xié)議，以應(yīng)對潛在的安全漏洞與威脅.設(shè)計(jì)移動群智感知網(wǎng)絡(luò)隱私保護(hù)機(jī)制時(shí)，在充分考慮通信安全的同時(shí)，考慮到惡意攻擊者的主要目的是侵犯盡量多的感知用戶的隱私數(shù)據(jù)，為了防止攻擊者達(dá)到目的，本文需達(dá)到3種安全需求：

1) 惡意攻擊者即使監(jiān)聽系統(tǒng)中的通信數(shù)據(jù)流，也無法獲取感知用戶(聯(lián)盟)的真實(shí)隱私數(shù)據(jù).

2) 在聯(lián)盟匹配過程中即使惡意攻擊者試圖設(shè)定盡可能多的屬性和盡可能大的偏好程度發(fā)起攻擊，但仍不能以此獲得較高相似度，成為聯(lián)盟匹配發(fā)起者的最優(yōu)匹配者.

3) 即使惡意攻擊者能夠勾結(jié)感知平臺訪問到感知平臺所收集的感知數(shù)據(jù)，他也無法獲取感知用戶(聯(lián)盟)的個(gè)人真實(shí)隱私數(shù)據(jù).

2.3 設(shè)計(jì)目標(biāo)

在上述的系統(tǒng)模型和安全需求分析下，本文的設(shè)計(jì)目標(biāo)是在信譽(yù)感知激勵機(jī)制作用下的移動群智感知網(wǎng)絡(luò)中提出一種行之有效的隱私保護(hù)方案.具體地，要達(dá)到2個(gè)主要目標(biāo)：

1) 提出的方案必須滿足安全需求.如引言所述，如果在移動群智感知網(wǎng)絡(luò)中不考慮安全和隱私問題，那么個(gè)人用戶的隱私數(shù)據(jù)就會被泄露，就會阻礙移動群智感知網(wǎng)絡(luò)的進(jìn)一步發(fā)展與應(yīng)用.因此，提出的方案必須能夠滿足上述安全需求.

2) 提出的用戶聯(lián)盟匹配方案和感知數(shù)據(jù)交集計(jì)算協(xié)議在通信上有較高的效率.雖然感知用戶與感知平臺之間是通過高帶寬低延遲的有線無線網(wǎng)絡(luò)通信，但要支持大量感知用戶同時(shí)發(fā)送數(shù)據(jù)給感知平臺，所提方案必須考慮通信效率，這樣實(shí)時(shí)感知的數(shù)據(jù)才能及時(shí)傳送到感知平臺進(jìn)行處理.

3 方案構(gòu)造

3.1 用戶聯(lián)盟匹配方案

在移動群智感知網(wǎng)絡(luò)中感知用戶數(shù)據(jù)量龐大，若每個(gè)感知用戶都采用一定的隱私保護(hù)方法對真實(shí)數(shù)據(jù)進(jìn)行處理后再上傳，感知平臺所收集到的感知數(shù)據(jù)集中的數(shù)據(jù)真實(shí)性和可用性將大打折扣.為解決這一問題，本文提出一種基于布隆過濾器的用戶聯(lián)盟匹配方案，使得感知用戶在上傳數(shù)據(jù)之前通過隱私匹配形成感知用戶聯(lián)盟(聯(lián)盟中用戶數(shù)≥2)，該聯(lián)盟用戶所形成的感知數(shù)據(jù)集由3.2節(jié)的隨機(jī)置換處理后上傳.在移動群智感知網(wǎng)絡(luò)中，處于移動終端無線通信(如藍(lán)牙、WiFi等)范圍內(nèi)的任意2個(gè)感知用戶進(jìn)行一次信息交互即可完成隱私匹配選擇形成感知用戶聯(lián)盟，無需第三方介入.假設(shè)A和B分別是用戶聯(lián)盟匹配的發(fā)起者和響應(yīng)者，本聯(lián)盟匹配方案主要包括為所有感知用戶建立屬性向量集合，并設(shè)置本匹配方案涉及到的所有參數(shù)；感知用戶輸入自己的屬性向量集合，離線生成相應(yīng)布隆過濾器并輸出；輸入聯(lián)盟匹配發(fā)起者A和響應(yīng)者B的布隆過濾器，將布隆過濾器視為二元向量，計(jì)算輸出2個(gè)二元向量的內(nèi)積；聯(lián)盟匹配發(fā)起者根據(jù)所得二元向量內(nèi)積，采用基于布隆過濾器的相似度估計(jì)公式[22]計(jì)算A和B的屬性向量集合相似度，由此確定聯(lián)盟匹配對象部分，匹配發(fā)起者收集與所有響應(yīng)者的相似度，通過一次通信，聯(lián)盟匹配發(fā)起者可選擇相似較高的若干響應(yīng)者作為聯(lián)盟匹配對象，形成感知用戶聯(lián)盟(聯(lián)盟中用戶數(shù)≥2).用戶聯(lián)盟匹配方案具體流程如圖2所示.

Fig. 2 User-union matching scheme flow diagram圖2 用戶聯(lián)盟匹配方案流程圖

① 設(shè)置參數(shù).每個(gè)用戶的智能感知終端首次進(jìn)行用戶聯(lián)盟匹配時(shí)，都需設(shè)定其屬性向量集合.假設(shè)聯(lián)盟匹配發(fā)起者A和某響應(yīng)者B的屬性向量集合依次記為A={x1,a1,x2,a2,…,xnA,anA}，B={y1,b1,y2,b2,…,ynB,bnB}，其中屬性xi和yj的內(nèi)容與個(gè)數(shù)均由A和B自行設(shè)定，且nA≤n,ai,bj∈[1,l].預(yù)先設(shè)定常數(shù)n和l，要求足以表示用戶的所有屬性并能區(qū)分對每個(gè)屬性的偏好差異即可.為了簡化聯(lián)盟匹配問題，假設(shè)所有用戶對某一個(gè)屬性的表達(dá)方式是唯一的.另外，令m=nl，A′和B′分別表示A和B離散后的集合，且|A′|=mA，|B′|=mB，s′=|A′∩B′|，p(A,B)表示A和B的相似度函數(shù).布隆過濾器(w,m,l,H)中，參數(shù)w表示布隆過濾器的長度，m表示編碼的元素個(gè)數(shù)，l表示散列函數(shù)的個(gè)數(shù)，H表示散列函數(shù)集合.散列函數(shù)集合H=中的散列函數(shù)值域均為[0,w-1]，且相互獨(dú)立.BFA′,BFB′和BF∩分別表示編碼了集合A′,B′和A′∩B′中所有元素的布隆過濾器，其第i(0≤i≤w-1)位依次記為BFA′[i],BFB′[i]和BF∩[i].tA′和tB′分別表示BFA′和BFB′中1的個(gè)數(shù).

(1)

將布隆過濾器BFA′和BFB′視為二元向量，G即為二元向量BFA′和BFB′的內(nèi)積.

(2)

⑤ 確定聯(lián)盟匹配對象.發(fā)起者A和所有響應(yīng)者Vi∈V按上述步驟進(jìn)行匹配，找到相似較高的若干用戶作為聯(lián)盟匹配對象.

(3)

3.2 感知數(shù)據(jù)交集計(jì)算協(xié)議

在感知用戶自由選擇通過用戶聯(lián)盟匹配方案形成感知用戶聯(lián)盟后還需要對其數(shù)據(jù)集進(jìn)行隱私保護(hù)，上傳到感知平臺并由感知平臺進(jìn)行初步數(shù)據(jù)計(jì)算處理如隱私交集計(jì)算等，最后將最終結(jié)果數(shù)據(jù)與服務(wù)提供商進(jìn)行交易.本文所提出的感知數(shù)據(jù)交集計(jì)算協(xié)議是一個(gè)多方協(xié)議，僅在半誠實(shí)的感知平臺情況下是安全的.在協(xié)議中，k表示計(jì)算安全參數(shù)(即偽隨機(jī)置換的密鑰長度)，而s表示統(tǒng)計(jì)安全參數(shù).對于λ≥1，本文定義集合Sλ={x‖1,2,…,x‖λ:x∈S}且(Sλ)-λ=S.如果F：U→V是一個(gè)函數(shù)，則F(S)={F(s):s∈S}表示F對集合S的評估.本文還用F-1表示F的逆函數(shù)，即F-1(F(S))=S.如果π：[|S|]→[|S|]是一個(gè)置換，則集合π(S)是S根據(jù)π(假設(shè)元素的自然順序)排列S的元素得到的集合,即π(S)={Xπ(i):xi∈S}.讓Si成為感知用戶(聯(lián)盟)Pi的感知數(shù)據(jù)集合.各方協(xié)同生成偽隨機(jī)置換函數(shù)F的k位密鑰K.每一個(gè)感知用戶(聯(lián)盟)的隨機(jī)置換由偽隨機(jī)函數(shù)Fk(Si)分別對集合中的每個(gè)元素進(jìn)行隨機(jī)化處理，再通過偽隨機(jī)置換π擾亂集合元素順序，并將置換后的集合發(fā)送給感知平臺.然后在感知平臺集合元素的隨機(jī)函數(shù)上求Fk(S1)到Fk(Sn)的交集并將結(jié)果存儲，以便進(jìn)行與服務(wù)提供商間的數(shù)據(jù)交易，協(xié)議具體流程：

1) 設(shè)置和輸入：設(shè)置F：{0,1}k×U→{0,1}≥k為偽隨機(jī)置換，每一方都有一組Si?U作為輸入，而感知平臺沒有輸入.

2) 某一感知用戶(聯(lián)盟)生成一個(gè)隨機(jī)k位的密鑰K并發(fā)送給i，其中i∈[2,n].

3) 每個(gè)感知用戶(聯(lián)盟)i?[n]將進(jìn)行過隨機(jī)置換的Ti=πi(Fk(Si))數(shù)據(jù)集發(fā)送到感知平臺，πi是一個(gè)偽隨機(jī)置換.

直觀而言，該協(xié)議的安全性體現(xiàn)在各方不會收到彼此的消息，其唯一可能的惡意行為是改變他們自己的偽隨機(jī)置換函數(shù)值，這只是改變他們的輸入集合.半可信感知平臺只接收由于偽隨機(jī)置換函數(shù)的偽隨機(jī)性而沒有顯示設(shè)置元素的信息的函數(shù)值.值得注意的是在協(xié)議中每個(gè)感知用戶(聯(lián)盟)Pi調(diào)用偽隨機(jī)函數(shù)共|Si|次，而感知平臺只執(zhí)行一個(gè)“明文”設(shè)定的交集計(jì)算而沒有加密操作.一旦可以使用任何現(xiàn)有的算法來設(shè)置交集，感知用戶(聯(lián)盟)數(shù)據(jù)集合中幾乎線性時(shí)間內(nèi)完成Hash表的插入查找，在大量數(shù)據(jù)中有較大的效率優(yōu)勢.此外，協(xié)議可以異步執(zhí)行，每一感知用戶(聯(lián)盟)在不同的時(shí)間連接，將其感知數(shù)據(jù)集提交給感知平臺，以后再獲取輸出.

3.3 信譽(yù)感知激勵機(jī)制

該機(jī)制初始時(shí)為不同的感知用戶(聯(lián)盟)設(shè)置不同的信譽(yù)值，當(dāng)感知平臺發(fā)布感知任務(wù)并且感知用戶(聯(lián)盟)競爭參與這些感知任務(wù)時(shí)，感知平臺會根據(jù)感知用戶(聯(lián)盟)的信譽(yù)值進(jìn)行選擇，優(yōu)先選擇信譽(yù)值高的感知用戶(聯(lián)盟)參與任務(wù)處理，并且通過因子調(diào)節(jié)感知用戶(聯(lián)盟)的代價(jià)花費(fèi).最后對感知用戶(聯(lián)盟)的信譽(yù)值進(jìn)行更新之后，感知用戶(聯(lián)盟)再次進(jìn)入到下一次的任務(wù)競爭中.通過該激勵機(jī)制在提高感知用戶(聯(lián)盟)參與率和任務(wù)完成率的同時(shí)，減少感知用戶(聯(lián)盟)的花費(fèi)，從而節(jié)省了總預(yù)算.

在感知任務(wù)激勵過程中，移動群智感知網(wǎng)絡(luò)主要包括3個(gè)部分:感知用戶(聯(lián)盟)集U、任務(wù)集T和感知平臺ST.任務(wù)集T包括若干感知任務(wù)，每個(gè)任務(wù)的處理過程是輪流進(jìn)行的(即在每個(gè)任務(wù)被執(zhí)行之前，感知平臺ST都會向感知用戶(聯(lián)盟)集U發(fā)布這個(gè)任務(wù)處理請求)，每個(gè)感知用戶(聯(lián)盟)會根據(jù)任務(wù)情況決定是否接受請求來參與感知任務(wù)并獲得相應(yīng)報(bào)酬.這個(gè)過程會重復(fù)進(jìn)行，直到所有的任務(wù)都被處理或全部預(yù)算用完.

信譽(yù)感知激勵機(jī)制具體工作流程圖如圖3所示:

Fig. 3 Reputation-aware incentive mechanism flow diagram圖3 信譽(yù)激勵機(jī)制流程圖

① 當(dāng)有感知任務(wù)要處理時(shí)，感知平臺ST首先把任務(wù)集T劃分為若干任務(wù)x?{1,2,…,n}.并在任務(wù)發(fā)布區(qū)域選取一感知用戶(聯(lián)盟)集U，對其進(jìn)行劃分Ui:i?{1,2,…,n}.對每一個(gè)感知用戶(聯(lián)盟)i設(shè)置一個(gè)獨(dú)立的閾值Thresi，該值對其他感知用戶(聯(lián)盟)是保密的，并根據(jù)全部感知用戶(聯(lián)盟)的閾值和單個(gè)感知用戶(聯(lián)盟)的閾值設(shè)置一個(gè)信譽(yù)值Qi：

(4)

同時(shí)，針對劃分的感知任務(wù)的不同，為每一個(gè)感知任務(wù)設(shè)置一個(gè)效用值，用ux=f(ξ,ξx)表示:

(5)

② 當(dāng)處理某一感知任務(wù)時(shí)，感知平臺會選取信譽(yù)值大的感知用戶(聯(lián)盟)參與感知任務(wù)的處理過程.感知用戶(聯(lián)盟)Ui在處理感知任務(wù)x時(shí)，會付出一定花費(fèi)代價(jià).針對一個(gè)感知任務(wù)x，用ci=f(ξx,ux,Qi)來表示參與該任務(wù)的感知用戶(聯(lián)盟)的代價(jià)函數(shù)，即感知用戶(聯(lián)盟)的代價(jià)受參與的感知任務(wù)大小和感知用戶(聯(lián)盟)信譽(yù)值影響，與感知任務(wù)大小成正比關(guān)系，與感知用戶(聯(lián)盟)信譽(yù)值成反比關(guān)系：

(6)

其中,α和β是2個(gè)因子，且α+β=10.

③ 感知平臺為鼓勵更多感知用戶(聯(lián)盟)參與感知任務(wù)的處理過程，會在每個(gè)感知任務(wù)處理后為對應(yīng)感知用戶(聯(lián)盟)提供報(bào)酬.對于感知聯(lián)盟，將采用VCG機(jī)制對所得報(bào)酬在形成聯(lián)盟的感知用戶中進(jìn)行分配.本文用Px=f(ux,n(t),B(t))來表示報(bào)酬函數(shù):

(7)

其中,a為正常數(shù).通過這種方式，平臺ST初始時(shí)會提供很高的報(bào)酬來鼓勵感知用戶(聯(lián)盟)參與任務(wù)處理，隨著感知用戶(聯(lián)盟)參與的比例越來越高(即n(t)值越來越大，最終趨于穩(wěn)定)，報(bào)酬會慢慢趨于平穩(wěn).

④ 根據(jù)處理感知任務(wù)x時(shí)所需的代價(jià)ci和平臺ST對于x所支付的報(bào)酬P(guān)x，感知用戶(聯(lián)盟)i將報(bào)酬P(guān)x和代價(jià)ci的比值與感知用戶(聯(lián)盟)閾值進(jìn)行比較，如果比值大于閾值，則接受該感知任務(wù)處理請求，否則拒絕.最后利用感知用戶(聯(lián)盟)所處理感知任務(wù)的效用值來更新其信譽(yù)值，并參與競爭下一個(gè)感知任務(wù)處理請求，直到所有的感知任務(wù)全部處理完成或全部預(yù)算用完.

4 方案安全性分析

4.1 用戶聯(lián)盟匹配方案安全性分析

4.1.1 聯(lián)盟匹配發(fā)起者的隱私安全

命題1. 如果方案中的混淆方法[23]是安全的，本用戶聯(lián)盟匹配方案能保護(hù)匹配發(fā)起者A的隱私信息，即響應(yīng)者不可能知道關(guān)于A屬性集的任何信息.

證畢.

4.1.2 聯(lián)盟匹配響應(yīng)者的隱私安全

命題2. 如果方案中的混淆方法[23]是安全的，本用戶聯(lián)盟匹配方案能保護(hù)匹配響應(yīng)者B的隱私信息，即匹配發(fā)起者A除了相似度p之外，無法知道關(guān)于匹配響應(yīng)者B的屬性集的任何信息.

證畢.

4.2 感知數(shù)據(jù)交集計(jì)算協(xié)議安全性分析

感知數(shù)據(jù)交集計(jì)算協(xié)議在2種情況下是安全的：

1) 半誠實(shí)的感知平臺和誠實(shí)的感知用戶(聯(lián)盟)；

2) 誠實(shí)的感知平臺和任何惡意的感知用戶(聯(lián)盟).

在情形1中由協(xié)議構(gòu)造中可知，感知用戶(聯(lián)盟)最終上傳到半可信感知平臺的數(shù)據(jù)集是通過隨機(jī)置換處理所得的數(shù)據(jù)集Ti=πi(Fk(Si))，其中F：{0,1}k×U→{0,1}≥k為偽隨機(jī)置換函數(shù)，πi是一個(gè)偽隨機(jī)置換.根據(jù)其未知隨機(jī)性，半可信感知平臺和攻擊者無法從數(shù)據(jù)集Ti推測出關(guān)于真實(shí)感知數(shù)據(jù)集Si的任何信息，因此在該感知數(shù)據(jù)交集計(jì)算協(xié)議中感知用戶(聯(lián)盟)上傳到感知平臺的數(shù)據(jù)集是安全的.

在情形2中由協(xié)議構(gòu)造可知，在協(xié)議進(jìn)行過程中在各感知用戶(聯(lián)盟)彼此間沒有交互不存在惡意勾結(jié)行為，對感知用戶(聯(lián)盟)而言，他們唯一可能的惡意行為就是改變其上傳數(shù)據(jù)集的值Ti，這只是改變他們的輸入集合.但由于惡意用戶(聯(lián)盟)對其他的用戶(聯(lián)盟)數(shù)據(jù)集一無所知，即便改變了其上傳數(shù)據(jù)信息，但在最終感知平臺求解數(shù)據(jù)集交集時(shí)，并不會產(chǎn)生較大影響.綜上，該感知數(shù)據(jù)交集計(jì)算協(xié)議是安全的.

5 性能分析與評價(jià)

本節(jié)主要從用戶(聯(lián)盟)端和感知平臺端的計(jì)算開銷分析用戶聯(lián)盟匹配方案和感知數(shù)據(jù)交集計(jì)算協(xié)議的算法復(fù)雜度和通信開銷以及在信譽(yù)感知激勵機(jī)制下從感知任務(wù)完成比例和感知預(yù)算剩余比例2個(gè)方面評價(jià)其有效性.

在用戶聯(lián)盟匹配方案中僅涉及用戶端的開銷，本文從匹配發(fā)起者與匹配響應(yīng)者2方面進(jìn)行分析，假設(shè)在方案中，每個(gè)感知用戶的屬性向量集合包含n個(gè)屬性向量，每個(gè)屬性的偏好值區(qū)間為[1,l]，至多離散m(m=nl)個(gè)屬性向量.散列函數(shù)個(gè)數(shù)為k，布隆過濾器的長度w=1.5kmb以保證較低的錯(cuò)誤率，方案中隨機(jī)數(shù)取256 b.計(jì)算開銷主要涉及SHA-1(Hash)、模冪(exp)、乘法(mul)和加減法(addsub).通信開銷是指用戶接收和發(fā)送的以bit為單位的數(shù)據(jù).在表2中將本文方案與同是基于布隆過濾器的Sun等人[24]所提出的輕量級隱私信息匹配方案進(jìn)行，與本方案不同的是Sun[23]方案是利用布隆過濾器進(jìn)行其時(shí)空剖面中共同元素的數(shù)量的準(zhǔn)確度估計(jì)從而進(jìn)行時(shí)空匹配.

Table2PerformanceComparisonofPrivacyInformationMatchingScheme

表2 隱私信息匹配方案性能對比

Fig. 4 Experimental comparison of matching scheme圖4 匹配方案實(shí)驗(yàn)對比圖

由表2可看出，本文方案的在線計(jì)算開銷遠(yuǎn)小于Sun[24]方案，離線計(jì)算開銷稍大于Sun[24]的方案，通信開銷高于Sun[24]方案.但在移動群智感知網(wǎng)絡(luò)中對執(zhí)行時(shí)間有著較高要求，本文方案則具有較高的優(yōu)勢，離線計(jì)算開銷可以預(yù)先離線計(jì)算，并不占用執(zhí)行時(shí)間，而在線計(jì)算開銷直接影響執(zhí)行時(shí)間的長短，由圖4(a)中明顯看出本文方案任務(wù)執(zhí)行時(shí)間比Sun[24]方案具有明顯優(yōu)勢.此外，在圖4(b)中可看出本文方案需要額外花費(fèi)通信量傳遞Sun[24]方案中未考慮的屬性偏好信息，但在移動群智感知網(wǎng)絡(luò)中采用藍(lán)牙、WiFi等傳輸方式，通信時(shí)間較短.

在感知數(shù)據(jù)交集計(jì)算協(xié)議中涉及用戶(聯(lián)盟)端和感知平臺端的計(jì)算開銷以及通信復(fù)雜度.為描述簡單起見，假設(shè)用戶(聯(lián)盟)端為U={A,B}，S為各用戶(聯(lián)盟)的輸入集合，A集合的大小為v，B集合的大小為w，m=max(v,w).表3將本文所提非加密的感知數(shù)據(jù)交集計(jì)算協(xié)議與Abadi等人[25]所提出的利用同態(tài)加密和多項(xiàng)式插值實(shí)現(xiàn)的加密隱私數(shù)據(jù)交集計(jì)算協(xié)議進(jìn)行比較.

Table 3 Performance Comparison of PSI Protocol表3 PSI協(xié)議性能對比

由表3中可看出，與Abadi等人[25]方案相比，本文所提協(xié)議采用對稱加密操作，計(jì)算復(fù)雜度具有顯著的優(yōu)勢，適合在移動群智感知環(huán)境下大規(guī)模數(shù)據(jù)集計(jì)算，而Abadi等人[25]所提方案雖然計(jì)算復(fù)雜度較高但是利用同態(tài)加密方式可以實(shí)現(xiàn)較高的安全性保障，適用于數(shù)量級別不大但安全需求較高的場景中.

對信譽(yù)感知激勵機(jī)制有效性的評價(jià),本文通過在MATLAB R2014a環(huán)境下的仿真實(shí)驗(yàn)進(jìn)行驗(yàn)證說明,并與文獻(xiàn)[20]所提機(jī)制進(jìn)行對比，設(shè)置感知用戶(聯(lián)盟)總數(shù)N=100、感知任務(wù)數(shù)量K=1 000、初始預(yù)算B=1 000.并按照感知用戶(聯(lián)盟)的閾值將感知用戶(聯(lián)盟)分為3組，分別為高閾值、低閾值和中間閾值感知用戶(聯(lián)盟)，為每個(gè)感知用戶(聯(lián)盟)設(shè)置信譽(yù)值Qi，實(shí)驗(yàn)結(jié)果如圖5所示.

本文目標(biāo)之一就是能使任務(wù)盡快地被處理完成，也就是說能在更短的時(shí)間內(nèi)獲得更高的任務(wù)完成比例.在圖5(a)中很明顯地看出在一段時(shí)間內(nèi)本文機(jī)制能夠更快地處理完任務(wù)集，并在處理任務(wù)速度方面具有更好的穩(wěn)定性.通過設(shè)置用戶的信譽(yù)值，區(qū)別劃分用戶，每次選擇信譽(yù)度高的用戶來依次處理子任務(wù)，這樣通過影響平臺支付報(bào)酬函數(shù)Px和用戶的代價(jià)函數(shù)ci，使這兩者的比例大于用戶閾值Thresi，從而使得用戶參與比例不斷增大，并最終趨于平穩(wěn).此外，在保證任務(wù)在順利處理完的基礎(chǔ)上減少用戶的花費(fèi)代價(jià)和平臺支付給用戶的報(bào)酬，從而使得預(yù)算剩余比例增大也是本文的另一主要目標(biāo).在圖5(b)中的曲線可以很明顯地看出在一段時(shí)間內(nèi)本文機(jī)制能在保證任務(wù)順利處理的基礎(chǔ)上，減少了用戶花費(fèi)代價(jià)和平臺支付給用戶的報(bào)酬，從而使剩余的預(yù)算比例更高，即花費(fèi)的預(yù)算更少.綜上本文中選擇了信譽(yù)高的用戶處理子任務(wù)，使得用戶參與比例不斷增大(即n(t)值增大)，從而降低了平臺支付給用戶的報(bào)酬(即Px值不斷減小).同時(shí)平臺通過因子調(diào)節(jié)用戶在處理子任務(wù)時(shí)的代價(jià)ci.這樣使得該機(jī)制有效的在提高任務(wù)處理效率的同時(shí)也減少了預(yù)算的花費(fèi).

Fig. 5 Experimental comparison of incentive mechanism圖5 激勵機(jī)制實(shí)驗(yàn)對比圖

6 總 結(jié)

本文針對移動群智感知網(wǎng)絡(luò)中在激勵更多感知用戶參與感知任務(wù)并提供真實(shí)數(shù)據(jù)的同時(shí)如何更好地保護(hù)大量蘊(yùn)含用戶敏感、隱私信息的感知數(shù)據(jù)和感知平臺安全性的問題.提出了一種基于布隆過濾器的用戶聯(lián)盟匹配方案，使得用戶在上傳感知數(shù)據(jù)之前進(jìn)行隱私信息匹配形成感知聯(lián)盟，有效保護(hù)個(gè)人隱私信息；同時(shí)提出了一種輕量級感知數(shù)據(jù)交集計(jì)算協(xié)議，在不泄露任一方真實(shí)數(shù)據(jù)的情況下，實(shí)現(xiàn)隱私數(shù)據(jù)交集運(yùn)算；最后提出了一種基于隱私信息匹配的信譽(yù)感知激勵機(jī)制，在提高感知任務(wù)處理效率的基礎(chǔ)上有效地控制了預(yù)算開支.但在移動群智感知網(wǎng)絡(luò)中的大量感知用戶和感知數(shù)據(jù)對隱私保護(hù)方案和激勵機(jī)制在確保安全性的同時(shí)對算法效率有著更高的要求，在今后的研究工作中，將繼續(xù)對移動群智感知網(wǎng)絡(luò)中的隱私保護(hù)方案的安全性和高效性進(jìn)行更加深入的探討研究.