一種新的有效的協同用戶軌跡保護方案

隨培杰 李洪濤

摘要：雖然移動人群感知（MCS）是一種有效的城市數據感知與獲取技術．但它也給參與者帶來了彈道隱私泄露的風險。具有相關知識背景的攻擊者可以掌握用戶的私人敏感信息，如家庭／工作地址、行為習慣和社會關系等。任何不恰當的彈道數據發布都將對用戶產生巨大的影響。因此，亟須一種保護隱私的彈道數據發布方案。目前，已有相關的方法和研究出現，如數據擾動（差分隱私）、偽數據生成（軌跡填充）、數據修改（軌跡合并、路段抑制）等，但它們都存在數據不真實或不完整的問題。為解決上述問題，文章提出一種新穎、個性化的路段賓時報道方法。

關鍵詞：移動公眾感知；彈道隱私；差分隱私；彈道相似性差異；推斷成功率

中圖法分類號：TP309 文獻標識碼：A

１ 引言

隨著移動互聯網的發展，智能設備不僅大幅提高了計算、存儲和通信能力，而且集成了大量的無線傳感器，使得其能夠取代傳統的傳感器進行數據采集工作。群智感知網通過移動設備完成數據采集，其已成為一種新興的數據采集方法。移動人群傳感（ＭＣＳ）是一種有效的城市數據感知和采集網絡，其在城市噪聲、室外大規模無線信號、智能交通數據采集等方面應用廣泛。然而，其通常要求參與的用戶在數據采樣期間報告位置信息［１］ 。由于大部分人的生活軌跡都有一定的規律或模式，而且用戶的時空信息具有特殊的地標性，因此在群體智能感知網絡的應用中，用戶隱私保護是一個非常重要的環節。如何解決群體情報感知網絡中用戶的隱私安全問題，對群體情報感知網絡的發展具有重要影響。

２ 軌道隱私保護技術的分類

（１）基于廣義的軌跡隱私保護技術具有Ｋ 匿名性及擴展性。其基本思想是將軌跡中的點擴展為相應的人臉（匿名區域），以降低攻擊者識別用戶的概率。

（２）基于抑制方法的彈道隱私保護技術的基本思想是限制敏感位置的釋放或轉換后的釋放，可以有效防止攻擊者通過相關性推斷出用戶的彈道。

（３）基于虛假數據的彈道隱私保護技術的基本思想是在真實彈道中加入一個虛假彈道，或者使用一個合成彈道來替代原來的彈道，以達到混淆的目的。

表１ 列舉了４ 種保障私隱技術，并對其進行比較。

由表１ 可以看出，雖然前３ 種方法都具有一定的效果，并提出了許多改進措施，但這些方法都容易受到有相關知識背景攻擊者的攻擊，無法為用戶提供足夠的隱私保護，而且在一定程度上具有模糊性。在軌跡保護中引入差分隱私技術，既能有效地避免背景信息的泄露，又能有效地保護用戶的隱私。一方面，隱私預算和噪聲的增加是一個難以控制與值得探討的問題。另一方面，它需要在報表信息中添加隨機噪聲，這不可避免地會影響報表數據的質量，因此該方法仍具有一定的缺陷［２］ 。為解決上述問題，本文提出了一種全新的解決方案，不僅可以在某些場景下保持數據的可用性，而且可以達到保護隱私的目的。最重要的是，其沒有數據失真或數據修改的問題。

３ 相關工作

３．１ 基于ＭＣＳ 的數據收集

移動人群感知網絡通常用于大型戶外信號的采集，包括任務發布者、云服務器、智能設備和參與者。

任務發布者將任務提交給云服務器；智能設備負責數據采樣并將數據上傳到云服務器，報告的數據通常包括許多關于參與用戶的信息（如位置）；云服務器負責收集參與用戶的招募和數據聚合。由于ＭＣＳ 的數據收集模式通常用于收集大規模的戶外信息，因此這些信息與用戶的位置和彈道具有相關性。在ＭＣＳ 數據收集過程中，單個位置信息的泄露等同于整體路徑的泄露。為了在數據收集過程中保護參與者軌跡的隱私，本文通過報告路線圖中的路段進行數據采樣和收集。典型的ＭＣＳ 系統架構如圖１ 所示。

典型的ＭＣＳ 系統架構工作流程如下。

（１）群體智能感知平臺發布各種群體智能感知網絡應用的多種感知任務，參與用戶通過移動智能設備查看和選擇接收感知任務。

（２）參與用戶根據收到的感知任務要求使用移動智能設備來感知數據，并在本地存儲或處理所感知的數據。

（ ３） 參與用戶選擇適當的時間或根據任務的時間要求將本地存儲的感知數據上傳到群體智能感知平臺。

（ ４）群智感知平臺中的服務器收集用戶報告的感知數據，對其進行相關處理和數據分析，并將獲得的統計結果發送給服務消費者，或發布結果供服務消費者根據其需求進行查詢。

３．２ 彈道數據發布方法和彈道數據發布系統架構

將軌跡釋放方法分為２ 種。第一個目標是發布一組曲目，將每個曲目視為一個記錄。第二個目標是發布一條軌跡，將軌跡中的每個位置作為記錄。本文關注的是第二類彈道數據的發布。本文將第二種軌道釋放方法分為如下２ 種。

（１）位置點的表示方法。

隨著時間的推移，用戶的軌跡可以表示為一系列位置坐標。長度為｜ Ｔ ｜ 的軌跡Ｔ 是時間對列表，Ｔ ＝（ｌ１，ｔ１）→（ｌ２，ｔ２）→… →（ｌ ｜Ｔ ｜，Ｔ ｜Ｔ ｜），（?ｉ，１≤ｉ≤｜Ｔ ｜）ｉ 是由緯度和經度坐標表示的空間點，ｌｉ∈ｌｉ 是時間ｔｉ 所有位置的集合。｜Ｔ ｜表示記錄在軌道中位置的數量。

（ ２）路段表示。

將車輛用戶的軌跡建模為邏輯地圖上的一系列路段。例如，Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，其中Ｔ 是參與者的實際軌跡，ｅｉ 是路徑的第ｉ 段，ｎ 是軌跡長度。參與者可以從Ｔ 中選擇一系列ｅｉ 組路段進行報告。未要求報告路段集合中的相鄰元素必須是連續軌跡。

４ 威脅模型和假設

４．１ 威脅模型

假設攻擊者能夠使用某些地圖軟件獲取當前路況，收集用戶的匿名區域和時間點，并觀察用戶屬于哪個位置，但不知道哪個位置屬于哪個用戶。由于攻擊者具有一定的學習能力，因此可以在ＬＢＳ 中學習一些隱私保護算法。因為一些常見的算法是公開的，威脅模型基于貝葉斯攻擊，即攻擊者獲得上述知識并結合用戶發布的路段來預測和推斷用戶的真實軌跡。

４．２ 假設

在威脅模型中，若沒有觀察者能夠通過嗅探通信信道來推斷用戶敏感信息的威脅，則可以通過一些現有的安全方案（如安全套接字層、加密、哈希等）來實現。該方案的應用場景是在城市交通中，如交通密度監測和預測、城市規劃等。換言之，就是需要掌握一定的車輛密度，而且軌道區段不能過短。實際上，批量處理路段發布計劃不會只發送２ 個或３ 個路段。

５ 擬議方案

５．１ 存在的問題和設計目標

通過對已有算法進行分析，發現雖然現有算法改進了傳統的噪聲添加，在一定程度上解決了運動軌跡的失真，確保了一定的趨勢性和實用性，但其噪聲仍然逐點添加，隱私預算也逐漸增加。這并不適用于發布更多的位置軌跡。同時，其雖然增加了適當的采樣距離和方向，但經過實驗發現，效果并不理想。例如，某些方案在一定程度上隱藏或修改數據，從而影響數據的可用性。

５．２ 空投運輸車輛的產生

當車輛在道路上行駛時，如果車輛需要在一定時間段內上傳自己的軌跡Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，那么當車輛ＶＡ 收集軌跡的每個部分時，它將在一定規則下選擇鄰域。另一車輛ＶＢ 代表其自己部分的車輛，并且對應于ＶＢ 的部分被保存為要釋放的部分。

５．３ 空投運輸車輛的選擇

車輛ＶＡ 通過車聯網收集一定范圍內車輛的位置信息，并將在未來Ｔ 中滿足軌跡相似差異的車輛作為自己的車輛。位置信息包括位置坐標ｘ，ｙ，速度ｖ 和方向ｄ。基于當前位置ＬｏｃＡ 計算時間Ｔ 之后的預測位置ＬｏｃＡｄｅｓ。然后計算周圍每輛車距ＬｏｃＡｄｅｓ 的距離Ｄｉｓ｛ＬｏｃＡｄｅｓ，ＬｏｃＢ｝。但是不能隨機選擇一個路段將其作為發布路段的候選，因為攻擊者已掌握這樣的保護方法和地圖信息。

６ 結束語

隨著車聯網和各種位置服務的快速發展，車輛用戶的位置隱私和軌跡隱私問題日益突出。研究表明，大部分人的軌跡在一定程度上都具有一定的規律或模式，通過用戶的時空特征和特殊敏感點，可以更準確地推斷出用戶的真實軌跡，從而導致隱私問題，因此任何不恰當的軌跡數據發布都可能造成用戶隱私泄露。實際上，該計劃有許多改進之處。比如，需要軌跡發生偏差的城市的大量信息，如路況、過往交通歷史，甚至是針對不同日期、不同時間段的調整或考慮設計新的規則來實現車輛軌跡保護。

數據收集中心可以根據自己的路段劃分城市道路，而不是使用現有的地圖。在數據收集階段，報告的部分將更加標準化；在數據上傳階段，這些基站被匯總上傳至上述數據中心。因此，為解決每個問題，需要花費大量的時間來不斷地探索和完善。

參考文獻：

［１］ 徐振強，王家耀，楊衛東．面向軌跡數據發布的隱私保護技術研究進展［Ｊ］．測繪科學技術學報，２０１８，３５（１）：８７?９３．

［２］ 賈明正．面向數據發布的軌跡隱私保護技術研究［Ｄ］．成都：西南交通大學，２０１６．

作者簡介：

隨培杰（１９８６—），本科，研究方向：計算機應用技術。

李洪濤（ １９９５—）， 碩士， 助教， 研究方向： 計算機網絡安全。