移動群智感知中原始數據隱私保護算法

金 鑫，王濤春*，呂成梅，王成田，陳付龍，趙傳信

（1.安徽師范大學計算機與信息學院，安徽蕪湖 241002；2.網絡與信息安全安徽省重點實驗室（安徽師范大學），安徽蕪湖 241002）

（?通信作者電子郵箱wangtc@ahnu.edu.cn）

0 引言

隨著移動通信和無線傳感技術的高速發展，集成大量傳感器的移動終端設備價格變得越來越低，使得移動終端設備（如智能手機、手環、平板等）在人們日常生活得到廣泛普及，促使了移動群智感知（Mobile Crowd Sensing，MCS）［1］成為新興的感知范式，從而成為國內外研究人員的熱門研究對象［2-4］之一。MCS是以參與感知應用的移動用戶所攜帶集成大量傳感器的移動終端設備為基本的感知單元，通過無線通信方式（如移動蜂窩網絡、Wifi、藍牙等）與感知平臺或其他參與者連接，進行有意識或無意識的協作，從而實現感知任務發布與感知數據收集上傳，完成大規模復雜的社會感知任務。隨著移動智能設備集成的傳感器越來越多，感知應用收集的數據類型也越來越廣，因此移動群智感知應用的領域也越來越廣，例如交通檢測［5］、環境監測［6］、智能醫療［7］、社交網絡［8］等。這些應用為新的創新研究打開了大門，并將極大地改變我們的日常生活。

隨著移動群智感知在生活中廣泛的應用導致了一系列的隱私安全問題，例如惡意的攻擊者通過竊聽獲取參與用戶發送的醫療等敏感信息來推導參與者的健康狀況，從而進行一系列惡意攻擊，危害用戶的利益。同時，參與者傳輸給應用服務器的數據帶有時空信息（參與者收集數據時的位置），攻擊者可能利用這些時空信息推導出參與者的生活習慣、行為規律等敏感信息來進行惡意攻擊。如果不能解決移動群智感知帶來的隱私安全問題，它將無法得到進一步的發展。因此，設計合理的隱私保護機制去有效保護用戶的個人隱私，對促進移動群智感知系統平臺的長期穩定發展具有重要意義。目前國內外的研究人員針對移動群智感知的隱私保護方案進行了大量的研究。這些現有的方案通常是引入第三方可信平臺或是向感知數據添加干擾噪聲又或是通過k 匿名的方式保護移動群智感知中的數據隱私。然而這些方案在現實中往往缺乏實際效用，例如加入可信的第三方，在現實生活中信任是相對的沒有絕對可信的第三方；加入干擾數據，雖然能夠保護數據的隱私但是降低了感知數據的可用性；使用k 匿名方案雖然可以在不降低數據可用性的情況下保護數據的隱私，但是需要滿足k 個參與者共同上傳數據的條件，不能保護單個參與者上傳感知數據的情況。這些方案由于種種條件的限制，導致在現實生活中缺乏實際的效用。

基于此，本文提出了移動群智感知中基于移動節點的隱私保護算法（Data Privacy Protection algorithm based on Mobile Node，DPPMN），該算法僅需要大量用戶參與，因此在現實中具有較高的實用性同時可以抵御共謀攻擊。DPPMN 中節點管理器通過與參與者交互建立在線節點列表對在線節點進行管理并將列表發送給所有源節點，源節點通過列表隨機選擇k個在線節點作為路徑節點構建數據傳輸的匿名路徑，源節點使用服務器與路徑節點的公鑰依次對感知數據進行加密，加密完成后將密文發送給路徑節點，收到密文后路徑節點進行解密得到另一個密文數據和下一路徑節點的地址，然后將解密后數據按照獲得的地址進行傳輸，以此類推，直至將密文傳輸到應用服務器，最后服務器解密就得到所需的感知數據。由于源節點通過采用paillier 密碼系統進行加密，所以攻擊者不能在傳輸過程中竊聽到感知數據的內容，且由于路徑節點對接收的數據進行解密操作，所以攻擊者不能沿路徑追溯源節點。同時采用超時重傳機制和周期性檢測在線節點減少了在傳輸過程中數據丟失現象。DPPMN 方案在不需要可信第三方的條件下保護節點的數據所有權，可以抵御共謀攻擊的同時降低數據開銷，用戶可以在任意時刻提交數據并且減少由于切片丟失導致的數據不可用現象發生。由于移動群智感知依靠大量用戶參與的，所以能夠保證數量足夠的在線節點，因此DPPMN在現實中具有較高的實用性。此外，算法僅依靠加密方案保護感知數據的隱私，沒有使用加入干擾數據等一些操縱感知數據的方法進行隱私保護，因此沒有降低感知數據的可用性。理論與實驗分析表明該方案在安全性、數據的可用性等方面取得了較好的結果。

1 相關工作

在移動群智感知中用戶的參與度是一項決定性的指標，然而，用戶在參與感知任務的過程中可能會泄露用戶的敏感信息危害用戶的利益導致用戶不愿意參與感知應用。因此針對移動群智感知中隱私保護的研究是感知應用發展的關鍵問題。當前對移動群智感知數據隱私保護方面的研究從收集數據的類型來看可以分為兩類：1）原始數據收集，應用服務器收集移動智能設備直接采集到的未做任何處理的數據（如全球定位系統（Global Positioning System，GPS）坐標、加速度讀數等）。2）融合數據，服務器需要得到區域內節點數據的融合結果（求和、平均值和方差等）。例如，數據服務器通過獲得參與者平均運動量（步數、運動傳感器）能夠推導出參與者普遍的公共健康狀況。本文將這兩類分別稱為基于原始數據的收集和基于融合數據的收集。針對移動群智感知中隱私保護問題目前國內外學者已經有了大量的研究成果。如文獻［9］是最先將k 匿名融入位置隱私保護中的。k-匿名是指區域內k 個參與者和它們發出的信息不能被攻擊者區分出來，其基本思想是將參與者通過與其他至少k -1 個參與者混合構成一個匿名區域，然后以匿名區域位置替代區域內k 個參與者詳細的位置發送請求，使匿名區域參與者被分辨的幾率降為1/k。但是k 匿名方案會導致嚴重的空間失真，降低感知數據的實際效用。文獻［10］提出了PEPPeR（Privacy Enhancing Protocol for PaRticipatory sensing）方案，PEPPeR 能夠保護查詢者的數據隱私，查詢者和參與者由可信第三方服務器分配令牌，查詢者和參與者傳輸數據時需要經過它們和第三方服務器之間的Tor（The onion router）網絡。這些方案的隱私保護全都需要可信的第三方，這種第三方更容易被攻擊。文獻［11］采用差分隱私保護方案，通過在上傳的感知數據中隨機添加原始拉普拉斯噪聲，使得攻擊者無法得到真實的感知數據，但是由于該方案采用的噪聲是無界的，這會極大地影響感知數據的可用性。文獻［12］提出一種輕量級方案PPTD（Privacy-Preserving Truth Discovery in crowd sensing systems）解決移動群智感知中真值發現機制的隱私保護問題，PPTD方案采用加性同態密碼加密噪聲擾動后的感知數據并將密文與噪聲分別發送給兩個非串通云平臺，最后兩個平臺協同計算真值；該方案保護了參與者數據隱私，但是沒有考慮到節點的移動性與內部成員共謀攻擊的情況。為了解決移動群智感知中節點具有移動性導致數據丟失的情況，文獻［13］進一步提出了一個PPTDS（Privacy-Preserving Truth Discovery Scheme in crowd sensing systems），PPTDS在原有的兩個不共謀的云平臺的基礎上通過一個完全可信的第三方增加方案的容錯性；雖然提高了該方案的健壯性，但增加了一個可信的第三方降低方案的實用性。文獻［14］提出了一個單向網絡協議的匿名數據收集方案，該方案通過對等網絡協助匿名數據傳輸從而保護發送者的身份，通過刪除數據包中發件人信息然后直接上傳至服務器；該方案雖然不需要將數據復制到多個對等端，但需要一個完全可信的網關去屏蔽用戶的身份。文獻［15］提出了一種基于信任的數據融合方案ERTDA（Energy-efficient Reliable Trust-based Data Aggregation），通過節點行為來計算和評估節點的信任值，并能夠及時檢測和排除受損節點，能有效提高融合數據的精確度，降低節點能耗，提高數據傳輸的可靠性；但節點信任值的評估以及受損節點的檢測需要大量的計算開銷，且ERTDA 基于可信節點進行操作。

與本文保護數據所有權工作相類似的有文獻［16］提出了在服務器不可信情況下解決移動群智感知中數據隱私保護問題的方案hp3（hot-potato-privacy-protection algorithm）。其主要思想為參與用戶將感知數據分成多個數據切片，然后將切片發送給可信的鄰節點，接著鄰節點再將切片發送給自己可信的鄰節點，以此類推，直至轉發跳數到達閾值時，各轉發節點將數據切片直接上傳給服務器，最后服務器重組數據并驗證數據完整性。hp3方案雖然在不需要可信的第三方服務器的條件下保護了參與者用戶數據所有權的隱私，但是方案中鄰節點必須是完全可信的，不能抵御共謀攻擊同時由于數據切片多跳轉發增加了數據丟失的概率。文獻［17］提出的DEAR（DElay-Aware secuRe）方案，通過秘密共享和消息轉發組合確保了感知數據的機密性和參與用戶的匿名性。首先通過秘密共享將感知數據切分成n 個數據切片；然后為不同的數據切片賦予不同的假名作為其身份；接著通過一個中間節點間接地將數據上傳至服務器，服務器融合k（n＞k）個數據切片就得到所需的感知數據。DEAR 方案通過秘密共享和消息轉發的組合，在保護感知數據隱私的同時增強了該方案的健壯性。雖然DEAR 方案考慮到內部單個成員作為攻擊者的情況，但是沒有考慮到多個成員共謀的情況，當服務器與中間節點共謀可以獲得數據所有權，因此數據切片越多中間節點就越多，數據所有權泄露概率就越高，故DEAR 方案不能抵御共謀攻擊。文獻［18］提出的方案通過時段預留和數據提交組合保護數據所有權。雖然方案保護了用戶的數據所有權，但是產生了大量的數據開銷，同時用戶必須在特定時段提交數據。

2 模型介紹

2.1 群智感知網絡框架

如圖1 所示，移動群智感知網絡主要由4 個部分組成：移動節點（Mobile Node，MN）、數據請求者（Data Requester，DR）、應用服務器（Application Server，AS）和接入網絡。詳細介紹如下：

移動節點 是具有感知、計算、存儲與通信等基本功能的移動智能設備（如智能手機、運動手環等）。它們是移動群智感知網絡的基本單元，主要用于各類數據的采集（如溫度、濕度、位置、聲音等），并通過無線網絡將采集來的數據上傳到應用服務器。這些移動智能設備常由用戶隨身攜帶，所以能夠隨時隨地進行數據采集，也導致設備資源有限節點可能因為突發事件（如移動設備電量不足，或是用戶離開感知任務等）而在進行感知任務中途突然離開。

數據請求者 數據請求者即感知任務發起者，請求者通過無線網絡將感知任務發布給應用服務器，然后應用服務器將任務列表發送給參與感知應用的用戶供其選擇或者選擇合適的用戶發布感知任務，用戶將感知數據上傳至服務器，接著服務器對接收到的感知數據做初步處理然后發送給對應的數據收集者。

應用服務器 對節點上傳的數據進行處理，如解密、分類、融合、存儲等，并與數據請求者實現數據的共享。根據移動節點提供的數據來回答數據請求者的各種問題，如請求者查找距離居住賓館最近的餐廳等。本文應用場景是最常見的半誠實模型，即參與者和服務器嚴格按照協議要求執行操作，另一方面，他們通過獲取得信息推導出其他參與者的隱私信息。

接入網絡 指數據傳輸的通道，通常通過無線網絡進行數據傳輸，例如移動蜂窩網絡、藍牙、WiFi 等無線網絡，目前感知網絡主要利用移動蜂窩網絡進行數據傳輸。

2.2 攻擊模型

外部竊聽攻擊 由于移動群智感知網絡是采用無線通信的（如WiFi、移動蜂窩網絡等），在數據傳輸階段外部攻擊者可以竊聽感知數據，破壞數據機密性。

內部成員攻擊 移動群智感知網絡的參與者或服務提供商進行的攻擊，例如參與者獲取其他參與者的隱私信息，或服務提供商獲取參與者的隱私數據，并通過這些隱私信息進行惡意攻擊，目前移動群智感知網絡中主要是對內部攻擊和共謀攻擊進行抵御。

共謀攻擊 移動群智感知中內部成員相互勾結（如半誠實節點進行共謀或是半誠實的節點與服務器進行共謀）獲取某些特定節點的隱私信息或是被外部攻擊者捕獲的節點進行共謀獲取其他節點的隱私信息。

圖1 群智感知應用基本框架Fig.1 Basic framework of crowd sensing application

3 隱私保護算法

3.1 問題定義

本文的目標是提出適用于移動群智感知中基于原始數據的高安全性隱私保護方法。假設N={n1，n2，…，nn}是所有參與感知應用節點的集合，其中N1={n1，n2，…，nm}是源節點（在群智感知應用中負責采集感知數據并上傳服務器的節點）的集合，其中m ＜n。D=｛d1，d2，…，dm｝是源節點采集的感知數據集合。在面對數據泄露和共謀攻擊時，基于移動節點的數據隱私保護方法需要滿足以下要求：

1）數據隱私性。應用服務器收集用戶原始的感知數據，但是不能確認每個數據的所有權，并且其他參與者也不能確認每個數據的所有權。其次感知數據內容不會泄露給非授權目標。

2）效率與性能。在提供高度隱私保護的同時保證適度的通信量與能耗并且不降低數據的可用性。

3.2 算法思想

如圖2 所示，DPPMN 包含一個應用服務器和一個節點管理器以及多個參與感知應用的節點，在保護源節點數據隱私的條件下，將源節點采集的感知數據上傳至應用服務器。DPPMN 主要分為3 個階段：1）初始階段，節點管理器通過與節點交互建立在線節點列表并將列表發送給源節點；2）路徑構成，源節點從在線節點列表中隨機選擇k 個節點構建傳輸數據的路徑，然后使用路徑節點和服務器的公鑰對數據進行依次加密；3）數據傳輸，源節點沿路徑將密文進行傳輸解密直至將密文上傳至服務器。最后服務器解密接收到的密文就得到所需的感知數據。

圖2 DPPMN結構Fig.2 Structure of DPPMN

1）初始階段。

列表建立 節點管理器向所有參與感知應用的節點發送在線請求，節點收到管理器的請求信息后檢查自身狀態（電量是否充足、網絡是否通暢等），如果節點滿足條件（在一段時間內作為感知數據上傳的中間節點即路徑節點）且愿意成為路徑節點，則節點將自身的信息（例如節點的名稱、地址、公鑰等信息）發送給管理器回應在線請求，否則不返回任何信息。管理器接收到節點返回的信息后建立一個在線節點列表，將所有在線節點信息放入列表中，列表建立完成后管理器將列表發送給所有的源節點。由于節點具有移動性的特征，節點可能會因為某些原因不再成為在線節點即節點離線，因此管理器需要周期性地對列表中的節點進行在線查詢，及時把離線節點從列表中清除并同步更新源節點的列表。周期性檢查需要選擇合適的時間，不能太短否則造成大量的通信開銷，也不能太長否則無法及時清除離線節點。

2）路徑構成。

路徑構成 源節點通過在線節點列表隨機選擇k（k 是一個閾值，源節點可以根據自身需求選擇合適的值，因此進一步增加了攻擊者猜測傳輸路徑的難度，為了簡化分析在本文中討論常數k）個在線節點作為路徑節點，隨機排列構成傳輸路徑。在完成傳輸路徑構建后源節點對感知數據進行加密，首先用應用服務器的公鑰對感知數據進行加密，接著按照路徑節點的逆序使用路徑節點的公鑰進行依次加密。

本文假設源節點感知數據為d，應用服務器的公鑰為PKk+1，私鑰為SKk+1，地址為IPk+1，路徑節點ni，公鑰為PKi，私鑰SKi，地址為IPi。假設源節點選擇的傳輸路徑如圖2 所示，其中智能手機為源節點，路徑節點為n1，n2，…，nk，應用服務器為nk+1，具體加密流程如下：

算法1 加密。

3）數據傳輸。

源節點將密文Ck傳輸給路徑節點n1，當路徑節點n1接收到密文時使用自身的私鑰SK1=λ(n)然后通過使用公式m=對其進行解密獲得密文Ck-1和IP2，接著節點n1按照解密獲得的地址IP2將密文Ck-1傳輸到路徑節點n2，以此類推直至將感知數據傳輸至最后一個路徑節點nk，nk解密接收到的密文C1獲得密文C0和IPk+1，最后路徑節點nk將密文C0傳輸至應用服務器，至此數據傳輸完成。應用服務器使用自己的私鑰SKk+1解得密文C0，獲得源節點傳輸的感知數據d。以圖2為例具體傳輸步驟如下所示：

步驟1 源節點通過路徑節點n1的地址IP1將密文Ck傳輸給路徑節點n1；

步驟2 路徑節點n1接收到源節點發送的密文Ck時，使用自身的私鑰SK1通過公式對密文Ck進行解密，解密后節點n1得到一個二元組（Ck-1，IP2），其中Ci是密文，IPi是下一節點的地址；

步驟3 路徑節點n1通過解密獲得的地址IP2，將密文Ck-1傳輸到下一路徑節點n2，節點n2對接收到的密文進行解密得到（Ck-2，IP3），以此類推，直至最后一個路徑節點nk，將密文C0通過服務器地址IPk+1上傳至應用服務器，最后服務器使用自身的私鑰SK+1對密文C0進行解密就得到所需的感知數據d。

3.3 數據丟失與節點離線處理

移動群智感知中所有數據通過無線傳輸，且參與節點具有動態性特征，因此在本文方案的數據傳輸過程中出現數據丟失和路徑節點離線是有可能的。DPPMN 方案采用超時重傳機制來處理傳輸過程中數據丟失情況。重傳機制的主要思想為：數據傳輸過程中，當數據接收者收到數據時要立刻返回一個確認信息給數據發送者，如果數據發送者在重傳超時時間（Retransmission TimeOut，RTO）T內沒有收到數據接收者的確認信息則會默認為數據丟失，再次發送一份相同的數據，當重傳次數超過一定的閾值時則認為當前接收數據的路徑節點離線。其中T=2*RTT，RTT（Round Trip Time）是數據在兩個端點的平均往返時間。具體過程如下：

在DPPMN 中上一節點將數據傳輸給下一節點時，如果下一節點接收到上一節點傳輸的數據則返回一個回應信息給上一節點，上一節點接收到下一節點的回應時確定下一節點接收到傳輸的數據則數據傳輸完成。如果在3T 時間內上一節點沒有收到回應則默認為下一節點沒有收到傳輸的數據，上一節點將重新傳輸數據給下一節點。如果在三次重傳內完成傳輸，則數據傳輸完成。如果沒有則認為節點離線并通知節點管理器，管理器根據接收到節點離線信息進行檢測并更新在線節點列表，同時同步更新源節點的在線節點列表，接著源節點檢查更新后的列表是否有選擇的路徑節點離線。如果有則重新選擇一個在線節點替換離線的路徑節點，并重新發送當前傳輸的感知數據。

4 算法分析

4.1 安全性分析

對外部攻擊、內部攻擊和共謀攻擊三方面進行安全性分析，通過分析可得出算法具有高安全性。本文是半誠實的模型下進行（DPPMN 中所有成員嚴格執行設計的協議，但成員試圖通過協議執行過程獲得的數據來推導出其他成員的敏感信息）隱私保護的，其中應用服務器與路徑節點是半誠實的，所以它們有可能作為攻擊者。應用服務器有權知道感知數據的內容但是不能知道感知數據所屬的源節點，路徑節點不可以知道感知數據的內容與所有權，所以本文的隱私定義對于授權目標（應用服務器）是數據的所有權，對于非授權目標（其他節點或是外部攻擊者）為感知數據內容以及所有權，

外部攻擊 在群智感知中所有數據通過無線網絡進行傳輸，因此攻擊者可以通過竊聽獲取傳輸數據是一種最常見的攻擊方式，本文假設攻擊者能夠進行全網竊聽。假設攻擊者在數據傳輸過程中進行竊聽攻擊，攻擊者通過竊聽獲得密文Ci（i=1，2，…，k），如果攻擊者想解密密文Ci，根據paillier 加密方法的解密公式攻擊者必須知道路徑節點ni+1的私鑰SKi+1=λ(n)，節點的私鑰僅節點自己知道，所以攻擊者無法解密密文。此外由于感知數據是經過多輪加密的，因此，攻擊者想要從竊聽到的密文獲得感知數據需要將密文Ci依次解密直至得到感知數據，所以攻擊者必須知道ni+1到nk的所有路徑節點的私鑰和服務器的私鑰，同時還需要知道路徑節點排列順序，路徑節點的排列順序僅發送感知數據的源節點知道。因此，DPPMN方案可以抵御外部攻擊。

內部攻擊 攻擊者通過捕獲移動群智感知中內部成員使其成為半誠實攻擊者或是內部成員作為攻擊者進行攻擊。假設路徑節點作為攻擊者進行攻擊，路徑節點ni+1接收密文Ci，節點ni+1使用自己的私鑰進行解密獲得（Ci-1，IPi-1）。如果節點ni+1想獲得感知數據內容，同理必須知道ni+2到nk的所有路徑節點的私鑰和服務器的私鑰，同時還需要知道路徑節點排列順序，而節點ni+1只知道它的前驅結點與后繼節點，不知道整個順序。節點管理器只建立并維護在線節點列表并將列表發送給源節點，所以不能危害源節點的隱私。假設服務器作為攻擊者，由于是基于原始數據收集，所以服務器必須獲得感知數據內容，因此需要保護感知數據的所有權，源節點通過構建匿名傳輸路徑將感知數據間接的傳輸給服務器，所以服務器只能知道將數據發送給它的節點即最后一個路徑節點nk。假設源節點選擇從g個在線節點中選擇k個節點構建匿名傳輸路徑則共有種 路徑，服務器獲得感知數據所有權的概率為所以DPPMN方案可以抵御內部攻擊。

共謀攻擊 感知應用內部成員共謀攻擊（如路徑節點與路徑節點、應用服務器與路徑節點等）源節點以獲取其敏感信息。源節點通過路徑節點間接地將感知數據傳輸給應用服務器，服務器可以通過與惡意的路徑節點共謀來獲取感知數據所有權。服務器向傳輸感知數據路徑節點發出查詢詢問數據來源（例如應用服務器向最后一個路徑節點詢問數據來源），如果該節點是惡意共謀節點則回答此查詢，如果是誠實節點則不回答。由于在傳輸過程中每個路徑節點都對接收到的密文進行解密操作，然后再將數據傳輸至下一節點，所以對于不回答詢問的誠實節點，服務器不能確定其接收與發送的數據是否為同一數據。因此匿名路徑中只要有一個誠實節點服務器就不能確定數據來源。當匿名路徑的所有節點都為惡意節點時，服務器可以獲得感知數據所有權，假設惡意節點的概率為μ時，此時隱私泄露的概率為可以滿足隱私需求。綜上所述，DPPMN可以抵御共謀攻擊。

4.2 實驗分析

實驗采用Java 實現，在Intel Core i5 CPU 和16.00 GB 內存的Windows 7 OS 平臺運行，通過模擬實驗來對本文提出的方案進行評估。

圖3給出了在惡意節點為10%時，k值不同時節點隱私泄露的概率，即攻擊者通過服務器和惡意參與者進行共謀攻擊，獲得感知數據所有權的情況。由于DEAR 方案將感知數據切片分成k 份并通過k 個中間節點間接地上傳至服務器。由于DEAR 方案沒有考慮到內部攻擊者進行共謀攻擊的情形，因此在半誠實模型下當攻擊者進行共謀攻擊就能找出上傳感知數據的節點，破壞節點的隱私。所以在考慮到內部惡意成員進行共謀攻擊的情況下，中間節點k 的數值越大隱私泄露的概率越高，而DPPMN方案由于每個路徑節點對接收的數據進行了解密操作，導致每個路徑節點接收與傳輸的數據不相同，所以即使攻擊者與部分感知應用內部成員進行共謀攻擊也無法確定數據的所有權。由于在半誠實模型下會出現內部攻擊者共謀攻擊的情形，因此DPPMN 方案的隱私泄露的概率遠低于DEAR方案。

圖3 隱私泄露概率比較Fig.3 Comparison of privacy leak probability

圖4 給出在惡意節點概率不同時，隨k 值的增加，節點隱私泄露概率。由安全性分析可知，隱私泄露的概率隨路徑節點數量增加而呈指數級降低。由圖4 可以看出，當惡意節點的概率在一定范圍內時，路徑節點數量即k 值大于5 時，節點的隱私泄露概率可以忽略不計。

圖4 不同惡意節點概率情況下的隱私泄露Fig.4 Privacy leaks under different malicious node probabilities

圖5 給出了DPPMN、ABPPD、DEAR 三種方案在不同k 值下上傳一條感知數據所需的通信代價。圖中可以看出DEAR方案通信能耗最低，ABPPD 方案通信能耗最高，本文的DPPMN 方案能耗遠低于ABPPD 方案略高于DEAR 方案。這是由于DEAR 沒有考慮共謀攻擊，不需要消耗額外的通信能耗去抵御共謀攻擊，所以該方案通信能耗最低；ABPPD 與本方案都考慮到共謀攻擊，且ABPPD 方案在傳輸一條數據給服務器時還需要額外k -1條數據，所以本文方案通信代價遠低于ABPPD方案。

圖5 不同k值下的通信代價Fig.5 Communication cost under different k values

圖6 給出了在列表更新周期時間T 內節點離線時所需的通信代價。在建立在線節點列表階段節點管理器將在線節點列表發送給所有源節點，當列表中有節點離線時管理器只需要發送少量信息通知所有源節點。

由以上實驗結果表明，DPPMN 方案能夠在提供高強度數據隱私保護的同時高時效、低能耗地完成數據傳輸。

圖6 節點離線通信代價Fig.6 Node offline communication cost

5 結語

移動群智感知中設計具有高實用性同時不降低數據可用性的隱私保護方案是一個挑戰性的問題。本文提出了一個新的數據隱私保護算法DPPMN。DPPMN 通過節點管理器建立在線節點列表并將列表發送給源節點，然后源節點通過在線節點列表隨機選取k 個在線節點構造一條匿名路徑，并將感知數據沿匿名路徑上傳至應用服務器，服務器解密收到的數據就能獲取所需的感知數據。數據傳輸過程中采用超時重傳機制來解決數據丟失問題。由于源節點將感知數據進行多重加密，所以在傳輸過程中可以抵御外部竊聽攻擊，其次傳輸路徑由源節點獨自構成傳輸路徑且在傳輸過程中路徑節點對接收的數據進行一次解密操作，所以接收與傳輸的數據內容并不一致，因此攻擊者無法沿路徑追溯源節點且可以抵御共謀攻擊。理論分析和實驗表明，DPPMN 能夠保護每個參與者數據的隱私性同時保證數據的可用性，具有較高的實用性。未來計劃不僅考慮移動群智感知中用戶的數據隱私，還會考慮激勵機制問題，因為在移動群智感知中激勵機制與隱私保護是聯系在一起的。