移動群智感知中基于用戶聯盟匹配的隱私保護激勵機制

熊金波 馬 蓉 牛 犇 郭云川 林 立

1(福建師范大學數學與信息學院 福州 350117) 2(中國科學院信息工程研究所 北京 100093) 3 (信息安全國家重點實驗室(中國科學院信息工程研究所) 北京 100093) (jinbo810@163.com)

隨著傳感器能力的快速提升以及移動智能終端設備的廣泛普及使得移動群智感知網絡成為了一種全新的物聯網感知模式[1].通過利用大量移動智能終端和移動傳感器等普適感知設備采集特定范圍內的個體、情景及環境感知數據等，以完成那些僅依靠個體很難實現的大規模、復雜的泛在深度社會感知任務[2].同時，由于其感知數據具有極大潛在價值，使其應用范圍不斷擴展與延伸.盡管如此，其在多方面也存在新的問題與挑戰，尤為突出的是移動群智感知網絡的隱私安全問題[3].在移動群智感知網絡中，感知用戶將感知到的數據實時發送給感知平臺，感知平臺收集某時間內所參與感知任務的所有感知用戶的數據并進行初步數據處理，再與服務提供商進行感知數據交易，并由服務提供商對交易所得到的感知數據進行進一步的分析與處理，后續為用戶制定個性化的服務策略以及實現用戶行為預測等.在此過程中的感知數據收集和處理會給感知用戶的隱私造成威脅.一方面，如果感知用戶直接上傳隱含敏感信息的感知數據，而不采用適當數據隱私保護技術將可能造成其隱私泄露;另一方面，感知平臺對上傳后的感知數據進行處理也給感知數據的隱私帶來了威脅.因此，感知用戶在上傳感知數據前如何選擇數據隱私保護策略和感知平臺對收集到的感知數據如何進行安全的隱私保護計算處理成為群智感知網絡發展所面臨的嚴峻挑戰之一.如果能夠解決感知用戶數據和感知平臺的隱私保護問題，將減少用戶對隱私泄露的顧慮從而保證感知任務所需的感知數據收集質量，提升感知任務的質量和效率，并設計有效的激勵機制對感知用戶參與感知任務所付出代價進行補償，以吸引更多用戶長期參與其中，將使得移動群智感知任務、感知數據規模更加龐大,其應用進一步得到拓展.

現有研究中，移動群智感知網絡的隱私保護方案大多數假設其感知平臺完全可信，感知用戶在參與感知任務過程中采取隱私保護措施，對每個用戶在第t次感知任務中提供的真實感知數據選擇一個數據隱私保護水平[4-6]，數據隱私保護可利用對真實感知數據添加噪聲[7-9]、k-anonymity[10-11]等方式，每個用戶在不知道其他用戶的隱私偏好情況下將隱私保護處理后的數據和數據隱私保護水平上傳給感知平臺進行聚合[12-13].感知平臺從感知用戶處收集到所有隱私保護處理后的感知數據集和用戶的隱私保護水平之后再交易給服務提供商，雖能起到一定的隱私保護效果，但仍存在著許多尚未解決的3個問題：

1) 群智感知網絡用戶數據量龐大，若每個用戶都采用一定的隱私保護方法對真實數據進行處理后再上傳，感知平臺所收集到的感知數據集的數據真實性和可用性將大打折扣.

2) 大多數方案對感知平臺完全可信的假設在實際應用中并不成立，在已有的一些數據聚合方案中常用同態加密[13]的方式實現非完全可信的感知平臺在不知道任一感知用戶上傳數據的情況下進行隱私數據聚合.但面對龐大的數據量和感知端有限的計算能力，同態加密的計算效率不再滿足需求[14].

3) 在移動群智感知網絡中，在保護感知用戶數據隱私的同時還需考慮合理有效的激勵機制構建，要保證感知用戶(尤其是信譽好的用戶)數量，并在提高感知任務處理效率的基礎上有效地對任務預算開支進行控制.

為了解決上述問題，本文提出一種基于用戶聯盟匹配的信譽感知激勵機制，感知用戶在上傳感知數據前，用戶可選擇采用布隆過濾器和二元混淆向量內積計算進行相似度估計形成感知用戶聯盟后再上傳感知數據集.感知平臺對所收集到的感知(聯盟)數據集合進行隱私數據交集計算，綜合考慮其計算效率和對數據的隱私保護，利用偽隨機函數在不泄露任一(聯盟)數據集信息的前提下，協同計算各(聯盟)數據集合交集后與服務提供商進行交易獲得收益.并通過初始設置感知用戶(聯盟)的信譽值，在任務分配過程中選擇信譽度高的感知用戶(聯盟)來參與任務處理，并通過設置因子減小感知用戶(聯盟)的花費代價，能夠在提高任務處理效率的基礎上有效控制任務預算.本文主要貢獻有4個方面：

1) 提出一種基于布隆過濾器的用戶聯盟匹配方案，采用布隆過濾器和二元混淆向量內積計算進行相似度估計，使得用戶可選擇在上傳數據前形成用戶聯盟，整個算法不涉及耗時的加密運算，計算開銷較小.

2) 針對現有隱私數據交集計算的效率問題，提出一種輕量級感知數據交集計算協議，面對半可信的感知平臺，利用偽隨機函數對用戶(聯盟)數據集進行加密和偽隨機擾亂后上傳到感知平臺，再在集合元素的隨機函數上求交集.服務提供商可通過偽隨機函數的逆過程獲得感知數據集合交集.該協議具有較高計算效率，能夠滿足數據量龐大的群智感知網絡的計算需求.

3) 針對現有激勵機制在用戶選擇的隨機性、任務處理效率和預算控制方面的不足，提出一種信譽感知激勵機制.初始設置感知用戶(聯盟)的信譽值，在任務分配過程中選擇信譽度高的感知用戶(聯盟)來參與任務處理，并通過設置因子減小感知用戶(聯盟)的花費代價，可在提高任務處理效率的同時有效控制任務預算開支.

4) 安全分析表明：用戶聯盟匹配方案是可證明安全的，基于用戶聯盟匹配的信譽感知激勵機制能夠滿足安全目標，性能分析和實驗結果表明所提機制是高效的.

1 相關研究工作

在移動群智感知網絡中，普通用戶需要主動參與感知任務.然而，用戶參與感知任務需要付出一定的代價(例如網絡帶寬、能耗、費用等消耗)，因此需要設計一種合理的補償激勵機制來對用戶的消耗代價進行補償[15-16]，以吸引更多用戶主動參與到感知任務中來.當前對于移動群智感知網絡激勵機制已開展一些研究工作，主要可分為以感知平臺為中心和以感知用戶為中心的2類激勵機制模式.以感知平臺為中心的激勵機制是由感知平臺進行任務發布，感知用戶根據任務信息自愿選擇是否參與任務后由感知平臺進行支付報酬.Duan等人[17]將這種以感知平臺為中心的激勵模式建模為Stackelberg博弈進行進一步研究，綜合考慮感知平臺和用戶僅知道所有用戶的感知成本的累積分布函數情況；Han等人[18]研究了移動群智感知網絡競爭拍賣激勵機制問題，首先感知平臺發布一些感知任務，然后感知用戶根據他們的感知成本和時間來競爭這些任務，最后感知平臺在預算限制下支付給用戶感知報酬.另一類以用戶為中的激勵機制模式是感知用戶接收到感知任務信息后提供自身信息及報價，再由感知平臺進行選擇合適的感知用戶參與感知任務.Jaimes等人[19]釆用以用戶為中心的基于逆向拍賣的動態價格激勵機制，進一步考慮了用戶基于位置進行感知，而感知平臺需要滿足覆蓋約束和預算約束的情況；文獻[20]中把感知任務分成3種不同的類型(即效用值隨感知任務大小成正比例變化、效用值隨感知任務處理過程成正比例變化以及效用值隨任務處理過程成反比例變化)，對于每一種任務類型用4種不同的激勵機制(Proportion incentive policy,Participation-aware incentive policy,Quality-aware incentive policy,Thrifty incentive policy)計算報酬.其中用戶參與激勵機制策略PAIP(Participation-aware incentive policy)在選擇感知用戶時采用隨機的方式，沒有考慮感知用戶自身的特點，這樣感知用戶在處理任務時目的性不強，在感知任務分配階段用戶的參與率不高，降低了整個任務的完成率，增加了代價花費，從而使任務總預算減少.

此外，感知數據會極大可能地泄露用戶的隱私和敏感信息，因此必須設計合理的隱私保護機制在完成感知數據收集任務的同時能夠盡可能保護用戶隱私安全.現有的移動群智感知的隱私保護方案主要關注3類方法：

1) 匿名化[4-6,10-11].將身份信息移除后再將感知數據上報給感知平臺.這種方法的缺點是無法抵抗背景知識攻擊，即仍然可以從匿名化的或其他定位傳感器測量值中推斷出用戶頻繁訪問的位置以及其他個人信息.

2) 數據加密[13,21].使用加密技術將感知數據進行處理變換后上報給感知平臺.這種方法比較安全，但缺點是需要較大的計算開銷，需要生成和維護多個密鑰，靈活性較差.

Fig. 1 System model圖1 系統模型

3) 數據加擾[7-9].對感知數據添加一些噪音后上報給感知平臺，添加的噪音需要保證用戶個體的隱私信息得到保護，同時依然能夠準確地計算出群體信息的統計結果.但實際情況中噪音的添加往往使得聚合后的數據可用性大打折扣.

綜上所述，現有解決移動群智感知網絡中的激勵機制和隱私保護方案均存在一定問題，現有激勵機制在感知用戶選擇、任務處理效率和預算控制方面存在不足，亟需設計一種可兼顧任務處理效率和預算開支控制，同時保證充足的高信譽用戶參與感知任務的激勵機制；同時，感知用戶所采用的隱私保護方法存在一定安全威脅(例如k-anonymity不可抵御背景知識攻擊)，也缺乏對非完全可信的感知平臺的隱私保護研究.在實現隱私保護的基礎上，如何有效減少計算開銷、構建輕量級的隱私保護方案也亟待考慮.

2 系統模型、威脅模型和實現目標

為了方便描述本文所提方案與機制，表1中列出常用的符號及對應的描述.

Table 1 Symbol and Description表1 符號及描述

2.1 系統模型

在系統模型中，本文考慮一種典型的移動群智感知網絡系統架構，包括一個半可信的感知平臺、大量參與感知任務的感知用戶和參與最終聚合數據交易的服務提供商，如圖1所示:

1) 感知用戶是使用移動感知設備(如智能終端設備、可穿戴設備及車載設備等)的社會普通用戶，通過有線無線網絡與感知平臺進行交互，上傳感知數據并最大化獲取相應收益.感知用戶參與感知任務即可獲得相應參與報酬.感知聯盟是各感知用戶為保護感知數據中蘊含的大量敏感和隱私信息，在上傳數據到感知平臺之前可在保證自身數據安全前提下進行隱私匹配形成的用戶聯盟，感知用戶在形成感知聯盟后再將聯盟數據集上傳到感知平臺中.

2) 服務提供商通過感知平臺購買感知數據，用于機器學習、數據可視化、大數據分析等領域，為不同需求的用戶提供后續服務.理性的服務提供商希望以合理的價格從感知平臺獲得可用性較好的數據.

3) 感知平臺分別與感知用戶和服務提供商進行交互.在基于用戶聯盟匹配的信譽感知激勵機制下，感知平臺向移動感知用戶發布感知任務，采取信譽感知激勵機制吸引更多感知用戶(聯盟)參與感知任務上傳感知數據.之后感知平臺對所收集到的數據集進行隱私交集計算將所得結果賣給服務提供商以得到相應報酬.

2.2 安全需求

移動群智感知網絡的可靠性和效率取決于通信系統的安全性，其網絡越來越復雜，交互性與動態性也越強，也需要更先進的網絡技術，同時需要更復雜的安全協議，以應對潛在的安全漏洞與威脅.設計移動群智感知網絡隱私保護機制時，在充分考慮通信安全的同時，考慮到惡意攻擊者的主要目的是侵犯盡量多的感知用戶的隱私數據，為了防止攻擊者達到目的，本文需達到3種安全需求：

1) 惡意攻擊者即使監聽系統中的通信數據流，也無法獲取感知用戶(聯盟)的真實隱私數據.

2) 在聯盟匹配過程中即使惡意攻擊者試圖設定盡可能多的屬性和盡可能大的偏好程度發起攻擊，但仍不能以此獲得較高相似度，成為聯盟匹配發起者的最優匹配者.

3) 即使惡意攻擊者能夠勾結感知平臺訪問到感知平臺所收集的感知數據，他也無法獲取感知用戶(聯盟)的個人真實隱私數據.

2.3 設計目標

在上述的系統模型和安全需求分析下，本文的設計目標是在信譽感知激勵機制作用下的移動群智感知網絡中提出一種行之有效的隱私保護方案.具體地，要達到2個主要目標：

1) 提出的方案必須滿足安全需求.如引言所述，如果在移動群智感知網絡中不考慮安全和隱私問題，那么個人用戶的隱私數據就會被泄露，就會阻礙移動群智感知網絡的進一步發展與應用.因此，提出的方案必須能夠滿足上述安全需求.

2) 提出的用戶聯盟匹配方案和感知數據交集計算協議在通信上有較高的效率.雖然感知用戶與感知平臺之間是通過高帶寬低延遲的有線無線網絡通信，但要支持大量感知用戶同時發送數據給感知平臺，所提方案必須考慮通信效率，這樣實時感知的數據才能及時傳送到感知平臺進行處理.

3 方案構造

3.1 用戶聯盟匹配方案

在移動群智感知網絡中感知用戶數據量龐大，若每個感知用戶都采用一定的隱私保護方法對真實數據進行處理后再上傳，感知平臺所收集到的感知數據集中的數據真實性和可用性將大打折扣.為解決這一問題，本文提出一種基于布隆過濾器的用戶聯盟匹配方案，使得感知用戶在上傳數據之前通過隱私匹配形成感知用戶聯盟(聯盟中用戶數≥2)，該聯盟用戶所形成的感知數據集由3.2節的隨機置換處理后上傳.在移動群智感知網絡中，處于移動終端無線通信(如藍牙、WiFi等)范圍內的任意2個感知用戶進行一次信息交互即可完成隱私匹配選擇形成感知用戶聯盟，無需第三方介入.假設A和B分別是用戶聯盟匹配的發起者和響應者，本聯盟匹配方案主要包括為所有感知用戶建立屬性向量集合，并設置本匹配方案涉及到的所有參數；感知用戶輸入自己的屬性向量集合，離線生成相應布隆過濾器并輸出；輸入聯盟匹配發起者A和響應者B的布隆過濾器，將布隆過濾器視為二元向量，計算輸出2個二元向量的內積；聯盟匹配發起者根據所得二元向量內積，采用基于布隆過濾器的相似度估計公式[22]計算A和B的屬性向量集合相似度，由此確定聯盟匹配對象部分，匹配發起者收集與所有響應者的相似度，通過一次通信，聯盟匹配發起者可選擇相似較高的若干響應者作為聯盟匹配對象，形成感知用戶聯盟(聯盟中用戶數≥2).用戶聯盟匹配方案具體流程如圖2所示.

Fig. 2 User-union matching scheme flow diagram圖2 用戶聯盟匹配方案流程圖

① 設置參數.每個用戶的智能感知終端首次進行用戶聯盟匹配時，都需設定其屬性向量集合.假設聯盟匹配發起者A和某響應者B的屬性向量集合依次記為A={x1,a1,x2,a2,…,xnA,anA}，B={y1,b1,y2,b2,…,ynB,bnB}，其中屬性xi和yj的內容與個數均由A和B自行設定，且nA≤n,ai,bj∈[1,l].預先設定常數n和l，要求足以表示用戶的所有屬性并能區分對每個屬性的偏好差異即可.為了簡化聯盟匹配問題，假設所有用戶對某一個屬性的表達方式是唯一的.另外，令m=nl，A′和B′分別表示A和B離散后的集合，且|A′|=mA，|B′|=mB，s′=|A′∩B′|，p(A,B)表示A和B的相似度函數.布隆過濾器(w,m,l,H)中，參數w表示布隆過濾器的長度，m表示編碼的元素個數，l表示散列函數的個數，H表示散列函數集合.散列函數集合H=中的散列函數值域均為[0,w-1]，且相互獨立.BFA′,BFB′和BF∩分別表示編碼了集合A′,B′和A′∩B′中所有元素的布隆過濾器，其第i(0≤i≤w-1)位依次記為BFA′[i],BFB′[i]和BF∩[i].tA′和tB′分別表示BFA′和BFB′中1的個數.

(1)

將布隆過濾器BFA′和BFB′視為二元向量，G即為二元向量BFA′和BFB′的內積.

(2)

⑤ 確定聯盟匹配對象.發起者A和所有響應者Vi∈V按上述步驟進行匹配，找到相似較高的若干用戶作為聯盟匹配對象.

(3)

3.2 感知數據交集計算協議

在感知用戶自由選擇通過用戶聯盟匹配方案形成感知用戶聯盟后還需要對其數據集進行隱私保護，上傳到感知平臺并由感知平臺進行初步數據計算處理如隱私交集計算等，最后將最終結果數據與服務提供商進行交易.本文所提出的感知數據交集計算協議是一個多方協議，僅在半誠實的感知平臺情況下是安全的.在協議中，k表示計算安全參數(即偽隨機置換的密鑰長度)，而s表示統計安全參數.對于λ≥1，本文定義集合Sλ={x‖1,2,…,x‖λ:x∈S}且(Sλ)-λ=S.如果F：U→V是一個函數，則F(S)={F(s):s∈S}表示F對集合S的評估.本文還用F-1表示F的逆函數，即F-1(F(S))=S.如果π：[|S|]→[|S|]是一個置換，則集合π(S)是S根據π(假設元素的自然順序)排列S的元素得到的集合,即π(S)={Xπ(i):xi∈S}.讓Si成為感知用戶(聯盟)Pi的感知數據集合.各方協同生成偽隨機置換函數F的k位密鑰K.每一個感知用戶(聯盟)的隨機置換由偽隨機函數Fk(Si)分別對集合中的每個元素進行隨機化處理，再通過偽隨機置換π擾亂集合元素順序，并將置換后的集合發送給感知平臺.然后在感知平臺集合元素的隨機函數上求Fk(S1)到Fk(Sn)的交集并將結果存儲，以便進行與服務提供商間的數據交易，協議具體流程：

1) 設置和輸入：設置F：{0,1}k×U→{0,1}≥k為偽隨機置換，每一方都有一組Si?U作為輸入，而感知平臺沒有輸入.

2) 某一感知用戶(聯盟)生成一個隨機k位的密鑰K并發送給i，其中i∈[2,n].

3) 每個感知用戶(聯盟)i?[n]將進行過隨機置換的Ti=πi(Fk(Si))數據集發送到感知平臺，πi是一個偽隨機置換.

直觀而言，該協議的安全性體現在各方不會收到彼此的消息，其唯一可能的惡意行為是改變他們自己的偽隨機置換函數值，這只是改變他們的輸入集合.半可信感知平臺只接收由于偽隨機置換函數的偽隨機性而沒有顯示設置元素的信息的函數值.值得注意的是在協議中每個感知用戶(聯盟)Pi調用偽隨機函數共|Si|次，而感知平臺只執行一個“明文”設定的交集計算而沒有加密操作.一旦可以使用任何現有的算法來設置交集，感知用戶(聯盟)數據集合中幾乎線性時間內完成Hash表的插入查找，在大量數據中有較大的效率優勢.此外，協議可以異步執行，每一感知用戶(聯盟)在不同的時間連接，將其感知數據集提交給感知平臺，以后再獲取輸出.

3.3 信譽感知激勵機制

該機制初始時為不同的感知用戶(聯盟)設置不同的信譽值，當感知平臺發布感知任務并且感知用戶(聯盟)競爭參與這些感知任務時，感知平臺會根據感知用戶(聯盟)的信譽值進行選擇，優先選擇信譽值高的感知用戶(聯盟)參與任務處理，并且通過因子調節感知用戶(聯盟)的代價花費.最后對感知用戶(聯盟)的信譽值進行更新之后，感知用戶(聯盟)再次進入到下一次的任務競爭中.通過該激勵機制在提高感知用戶(聯盟)參與率和任務完成率的同時，減少感知用戶(聯盟)的花費，從而節省了總預算.

在感知任務激勵過程中，移動群智感知網絡主要包括3個部分:感知用戶(聯盟)集U、任務集T和感知平臺ST.任務集T包括若干感知任務，每個任務的處理過程是輪流進行的(即在每個任務被執行之前，感知平臺ST都會向感知用戶(聯盟)集U發布這個任務處理請求)，每個感知用戶(聯盟)會根據任務情況決定是否接受請求來參與感知任務并獲得相應報酬.這個過程會重復進行，直到所有的任務都被處理或全部預算用完.

信譽感知激勵機制具體工作流程圖如圖3所示:

Fig. 3 Reputation-aware incentive mechanism flow diagram圖3 信譽激勵機制流程圖

① 當有感知任務要處理時，感知平臺ST首先把任務集T劃分為若干任務x?{1,2,…,n}.并在任務發布區域選取一感知用戶(聯盟)集U，對其進行劃分Ui:i?{1,2,…,n}.對每一個感知用戶(聯盟)i設置一個獨立的閾值Thresi，該值對其他感知用戶(聯盟)是保密的，并根據全部感知用戶(聯盟)的閾值和單個感知用戶(聯盟)的閾值設置一個信譽值Qi：

(4)

同時，針對劃分的感知任務的不同，為每一個感知任務設置一個效用值，用ux=f(ξ,ξx)表示:

(5)

② 當處理某一感知任務時，感知平臺會選取信譽值大的感知用戶(聯盟)參與感知任務的處理過程.感知用戶(聯盟)Ui在處理感知任務x時，會付出一定花費代價.針對一個感知任務x，用ci=f(ξx,ux,Qi)來表示參與該任務的感知用戶(聯盟)的代價函數，即感知用戶(聯盟)的代價受參與的感知任務大小和感知用戶(聯盟)信譽值影響，與感知任務大小成正比關系，與感知用戶(聯盟)信譽值成反比關系：

(6)

其中,α和β是2個因子，且α+β=10.

③ 感知平臺為鼓勵更多感知用戶(聯盟)參與感知任務的處理過程，會在每個感知任務處理后為對應感知用戶(聯盟)提供報酬.對于感知聯盟，將采用VCG機制對所得報酬在形成聯盟的感知用戶中進行分配.本文用Px=f(ux,n(t),B(t))來表示報酬函數:

(7)

其中,a為正常數.通過這種方式，平臺ST初始時會提供很高的報酬來鼓勵感知用戶(聯盟)參與任務處理，隨著感知用戶(聯盟)參與的比例越來越高(即n(t)值越來越大，最終趨于穩定)，報酬會慢慢趨于平穩.

④ 根據處理感知任務x時所需的代價ci和平臺ST對于x所支付的報酬Px，感知用戶(聯盟)i將報酬Px和代價ci的比值與感知用戶(聯盟)閾值進行比較，如果比值大于閾值，則接受該感知任務處理請求，否則拒絕.最后利用感知用戶(聯盟)所處理感知任務的效用值來更新其信譽值，并參與競爭下一個感知任務處理請求，直到所有的感知任務全部處理完成或全部預算用完.

4 方案安全性分析

4.1 用戶聯盟匹配方案安全性分析

4.1.1 聯盟匹配發起者的隱私安全

命題1. 如果方案中的混淆方法[23]是安全的，本用戶聯盟匹配方案能保護匹配發起者A的隱私信息，即響應者不可能知道關于A屬性集的任何信息.

證畢.

4.1.2 聯盟匹配響應者的隱私安全

命題2. 如果方案中的混淆方法[23]是安全的，本用戶聯盟匹配方案能保護匹配響應者B的隱私信息，即匹配發起者A除了相似度p之外，無法知道關于匹配響應者B的屬性集的任何信息.

證畢.

4.2 感知數據交集計算協議安全性分析

感知數據交集計算協議在2種情況下是安全的：

1) 半誠實的感知平臺和誠實的感知用戶(聯盟)；

2) 誠實的感知平臺和任何惡意的感知用戶(聯盟).

在情形1中由協議構造中可知，感知用戶(聯盟)最終上傳到半可信感知平臺的數據集是通過隨機置換處理所得的數據集Ti=πi(Fk(Si))，其中F：{0,1}k×U→{0,1}≥k為偽隨機置換函數，πi是一個偽隨機置換.根據其未知隨機性，半可信感知平臺和攻擊者無法從數據集Ti推測出關于真實感知數據集Si的任何信息，因此在該感知數據交集計算協議中感知用戶(聯盟)上傳到感知平臺的數據集是安全的.

在情形2中由協議構造可知，在協議進行過程中在各感知用戶(聯盟)彼此間沒有交互不存在惡意勾結行為，對感知用戶(聯盟)而言，他們唯一可能的惡意行為就是改變其上傳數據集的值Ti，這只是改變他們的輸入集合.但由于惡意用戶(聯盟)對其他的用戶(聯盟)數據集一無所知，即便改變了其上傳數據信息，但在最終感知平臺求解數據集交集時，并不會產生較大影響.綜上，該感知數據交集計算協議是安全的.

5 性能分析與評價

本節主要從用戶(聯盟)端和感知平臺端的計算開銷分析用戶聯盟匹配方案和感知數據交集計算協議的算法復雜度和通信開銷以及在信譽感知激勵機制下從感知任務完成比例和感知預算剩余比例2個方面評價其有效性.

在用戶聯盟匹配方案中僅涉及用戶端的開銷，本文從匹配發起者與匹配響應者2方面進行分析，假設在方案中，每個感知用戶的屬性向量集合包含n個屬性向量，每個屬性的偏好值區間為[1,l]，至多離散m(m=nl)個屬性向量.散列函數個數為k，布隆過濾器的長度w=1.5kmb以保證較低的錯誤率，方案中隨機數取256 b.計算開銷主要涉及SHA-1(Hash)、模冪(exp)、乘法(mul)和加減法(addsub).通信開銷是指用戶接收和發送的以bit為單位的數據.在表2中將本文方案與同是基于布隆過濾器的Sun等人[24]所提出的輕量級隱私信息匹配方案進行，與本方案不同的是Sun[23]方案是利用布隆過濾器進行其時空剖面中共同元素的數量的準確度估計從而進行時空匹配.

Table2PerformanceComparisonofPrivacyInformationMatchingScheme

表2 隱私信息匹配方案性能對比

Fig. 4 Experimental comparison of matching scheme圖4 匹配方案實驗對比圖

由表2可看出，本文方案的在線計算開銷遠小于Sun[24]方案，離線計算開銷稍大于Sun[24]的方案，通信開銷高于Sun[24]方案.但在移動群智感知網絡中對執行時間有著較高要求，本文方案則具有較高的優勢，離線計算開銷可以預先離線計算，并不占用執行時間，而在線計算開銷直接影響執行時間的長短，由圖4(a)中明顯看出本文方案任務執行時間比Sun[24]方案具有明顯優勢.此外，在圖4(b)中可看出本文方案需要額外花費通信量傳遞Sun[24]方案中未考慮的屬性偏好信息，但在移動群智感知網絡中采用藍牙、WiFi等傳輸方式，通信時間較短.

在感知數據交集計算協議中涉及用戶(聯盟)端和感知平臺端的計算開銷以及通信復雜度.為描述簡單起見，假設用戶(聯盟)端為U={A,B}，S為各用戶(聯盟)的輸入集合，A集合的大小為v，B集合的大小為w，m=max(v,w).表3將本文所提非加密的感知數據交集計算協議與Abadi等人[25]所提出的利用同態加密和多項式插值實現的加密隱私數據交集計算協議進行比較.

Table 3 Performance Comparison of PSI Protocol表3 PSI協議性能對比

由表3中可看出，與Abadi等人[25]方案相比，本文所提協議采用對稱加密操作，計算復雜度具有顯著的優勢，適合在移動群智感知環境下大規模數據集計算，而Abadi等人[25]所提方案雖然計算復雜度較高但是利用同態加密方式可以實現較高的安全性保障，適用于數量級別不大但安全需求較高的場景中.

對信譽感知激勵機制有效性的評價,本文通過在MATLAB R2014a環境下的仿真實驗進行驗證說明,并與文獻[20]所提機制進行對比，設置感知用戶(聯盟)總數N=100、感知任務數量K=1 000、初始預算B=1 000.并按照感知用戶(聯盟)的閾值將感知用戶(聯盟)分為3組，分別為高閾值、低閾值和中間閾值感知用戶(聯盟)，為每個感知用戶(聯盟)設置信譽值Qi，實驗結果如圖5所示.

本文目標之一就是能使任務盡快地被處理完成，也就是說能在更短的時間內獲得更高的任務完成比例.在圖5(a)中很明顯地看出在一段時間內本文機制能夠更快地處理完任務集，并在處理任務速度方面具有更好的穩定性.通過設置用戶的信譽值，區別劃分用戶，每次選擇信譽度高的用戶來依次處理子任務，這樣通過影響平臺支付報酬函數Px和用戶的代價函數ci，使這兩者的比例大于用戶閾值Thresi，從而使得用戶參與比例不斷增大，并最終趨于平穩.此外，在保證任務在順利處理完的基礎上減少用戶的花費代價和平臺支付給用戶的報酬，從而使得預算剩余比例增大也是本文的另一主要目標.在圖5(b)中的曲線可以很明顯地看出在一段時間內本文機制能在保證任務順利處理的基礎上，減少了用戶花費代價和平臺支付給用戶的報酬，從而使剩余的預算比例更高，即花費的預算更少.綜上本文中選擇了信譽高的用戶處理子任務，使得用戶參與比例不斷增大(即n(t)值增大)，從而降低了平臺支付給用戶的報酬(即Px值不斷減小).同時平臺通過因子調節用戶在處理子任務時的代價ci.這樣使得該機制有效的在提高任務處理效率的同時也減少了預算的花費.

Fig. 5 Experimental comparison of incentive mechanism圖5 激勵機制實驗對比圖

6 總 結

本文針對移動群智感知網絡中在激勵更多感知用戶參與感知任務并提供真實數據的同時如何更好地保護大量蘊含用戶敏感、隱私信息的感知數據和感知平臺安全性的問題.提出了一種基于布隆過濾器的用戶聯盟匹配方案，使得用戶在上傳感知數據之前進行隱私信息匹配形成感知聯盟，有效保護個人隱私信息；同時提出了一種輕量級感知數據交集計算協議，在不泄露任一方真實數據的情況下，實現隱私數據交集運算；最后提出了一種基于隱私信息匹配的信譽感知激勵機制，在提高感知任務處理效率的基礎上有效地控制了預算開支.但在移動群智感知網絡中的大量感知用戶和感知數據對隱私保護方案和激勵機制在確保安全性的同時對算法效率有著更高的要求，在今后的研究工作中，將繼續對移動群智感知網絡中的隱私保護方案的安全性和高效性進行更加深入的探討研究.