属性感知的MCS任务分配与隐私保护协同机制

杨鹏 吴其明

(1.重庆邮电大学 通信与信息工程学院∥泛在感知与互联重庆市重点实验室，重庆 400065;2.工信部中国信息通信研究院西部分院，重庆 401336)

随着无线通信和传感器技术的快速发展，以及移动便携设备的爆炸式普及，结合移动感知和“众包”的思想产生了移动群智感知(MCS)[1]。通过招募大量移动感知用户，利用交互式、参与式的感知网络可实现多个移动终端的智能协同。感知用户参与并完成发布到感知网络中的感知任务，从而帮助专业人员或公众收集数据、分析信息和共享知识[2- 3]。利用“以人为中心”和“以平台为中心”的感知模式[4]，群智感知为人们提供了一种感知环境、收集数据和提供信息服务的新模式，广泛应用于环境检测[5]、医疗检测[6]和交通检测[7]等领域。

针对发布的任务不同，不同感知用户对任务的完成效率也不相同。对于感知平台来说，感知平台需要收集大量感知用户上传的高质量感知数据，这些高质量的数据取决于更加符合任务要求的、匹配任务场景的感知用户[8]。对于感知用户来说，日常生活的移动轨迹形成了自身特有的用户属性，这些带有用户属性的用户与感知平台需要的用户具有相似的性质，感知平台必然将任务分配给这些具有相似性质的用户。此外，由于带有移动设备的感知用户参与感知任务上报收集的任务数据时，面临着感知数据和感知用户信息被泄露的隐私安全隐患，若用户隐私得不到保证，用户将不愿意参与感知任务和上传收集到的感知数据。因此，研究如何高效地将任务分配给用户，并保护感知用户的隐私变得尤为重要。

目前，已有研究人员针对任务分配以及隐私保护做了一定程度的研究。He等[8]提出了一种考虑移动用户地理位置以及时间预算的任务近似最优分配机制，但没有考虑群智感知任务分配过程中存在的隐私泄露问题。Zhang等[9]提出的PESP算法通过引入随机数据扰动技术来保护用户在参与感知任务时上传的各类敏感数据，但该方法引入了噪声，不能满足感知数据效用的需求。Wang等[10]提出了一种区块链隐私激励机制，在感知平台发布的感知数据评估标准下检验感知数据质量，利用区块链的加密货币作为安全激励方式，使感知用户在用户协作下实现K-匿名隐私保护，但使用的EM算法迭代次数难以确定，将影响参与任务的数据质量。Wu等[11]提出了基于可信度评估的解决方案，从贡献质量信任和社会信任两个维度对感知用户的信任程度进行评估，利用秘密共享方案和匿名策略确保了感知用户的数据完整性和匿名性，但提出的秘密共享方案不能抵抗半诚实感知用户的欺骗攻击。Amintoosi等[12]通过信任和计算能力确定感知用户等级，并且在感知用户选择过程中综合考虑了信任传递路径可靠性及路径隐私泄露概率的影响，以此实现在隐私保护前提下高质量感知用户的选择；但由于有强移动性，判定的感知用户可能不能及时参与任务，从而影响数据收集的效用。

尽管上述方案中考虑了感知用户的信任，但参与任务的感知用户仍然具有影响着群智感知系统中任务分配的其他属性，同样也带来一些问题：①不同任务所需要的参与用户的要求不同，同一个用户在不同的任务对任务的匹配程度也存在差异，若选择用户的属性不符合任务，则会导致某些任务不能高效地完成，从而造成资源损失。②同一个用户对自身数据的隐私安全需求也存在差异。不同的用户所关注的隐私内容可能不一样，即使选择同一程度的隐私保护也会导致感知用户隐私保护不足，造成隐私泄露或者感知数据的浪费。

为了解决上述问题，本文提出了一种任务分配与隐私保护协同机制(TAPPC)，根据感知用户在历史感知任务的交互以及任务要求量化用户属性，以BP神经网络建模，将用户属性作为输入，使感知任务合理高效地分配给适合任务的用户，以保证感知数据质量；同时利用感知用户属性签名将用户属性生成签名属性集，结合环签名和非对称加密算法来保护感知用户的身份安全和感知数据完整性。

1 群智感知系统和攻击模型

典型的移动群智感知系统架构包括感知平台、大量参与感知任务的感知用户及管理中心(MC)，其中MC负责为系统提供安全参数设置，包括安全参数和哈希函数的生成、用户属性集合生成签名属性集，以及非对称加密密钥的生成，并分配到感知用户和感知平台，如图1所示。

图1 群智感知系统框架图Fig.1 MCS system framework

在本文中，假设感知平台诚实可信，感知平台发布的任务类型、内容与感知用户的隐私息息相关。所存在的攻击类型为攻击者可以通过收集感知用户的历史请求任务推断感知用户的有价值的信息，从而发起恶意攻击。恶意的任务发起者可以仅针对其感兴趣的少数节点发起一种特殊任务，控制用户数量，达到大幅度降低获取用户身份的难度，如恶意的任务发起者对特定地区或传染病的病情发起任务，一旦用户参与到感知任务中，便会泄露位置信息或敏感信息[13]。另外，攻击者采用线上或者线下的方式攻击感知用户在参与任务和感知数据的相关信息，根据来自相同节点的多次感知报告、提交时间进行分析，推断出节点隐私信息，造成系统信息泄露。

2 基于用户属性的任务分配

现实生活中的大量移动用户都是移动群智感知网络中的潜在用户，这些潜在的感知用户会按照其日常生活的移动轨迹，构成具有动态的、缺乏稳定性的大型网络。以用户为中心的移动群智感知网络中，用户有明显的属性特征。用户参与的意愿程度将影响其任务执行的效率，对服务平台而言，将影响到是否有足够的感知用户完成其发布的感知任务。感知平台对任务的支付酬劳将影响用户在参与到感知任务中所获得的收益大小，将决定感知用户是否参与到任务中。显然，准确地从这些潜在用户中筛选出合适任务的感知用户，能够有效地解决感知平台数据质量的问题。为了合理地评判出感知用户对任务的匹配程度，本文从给定任务的角度出发，利用用户的静态属性和社会属性来描述匹配关系。静态属性和社会属性都是用户在参与任务过程中得到的，本文根据感知平台发布任务酬劳、用户能量消耗、收益大小来衡量用户自身静态的直观属性值，即用户在感知过程中参与任务后更新的社会偏好属性，最终组成关于感知用户的属性集。

2.1 静态属性度量

针对给定的任务，感知用户的静态属性相对稳定，因此当确定了任务的要求后，就可获知静态属性值。静态属性作为感知用户自身的固有属性，可由感知用户对任务的完成程度来衡量。感知平台通过采取适当的激励机制，如娱乐游戏激励、虚拟积分激励和报酬支付激励[14]等，来鼓励更多的感知用户积极参与到感知任务中，以提供可靠且高质量的数据。感知用户根据任务的报酬和自身感知成本得到任务的收益，而收益属性可作为静态属性的度量标准。

收益属性是感知用户根据在感知任务中消耗的能耗后最终得到的任务收益。每个感知用户都会在任务结束后收取费用来补偿执行任务消耗的能量，令感知成本Cper是移动设备消耗的能量，即用户执行感知任务的参与费用(流量或电池消耗等)。移动成本Cmov是用户从接收任务的位置移动到目标位置的能耗，可以表示为

Cmov=dassc

(1)

(2)

2.2 社会属性度量

感知用户在参与任务过程中与感知任务交互具有多维的社会属性。例如，感知用户会对某类任务有所偏好，这可能与感知用户本身的移动设备有关。另外，群智感知中感知用户都有自己的运动轨迹，而且对运动轨迹中的感知任务参与的几率大。本文将参与感知任务的社会属性定义为由感知用户在参与感知任务中的历史交互记录、感知用户的社会关系和活动轨迹的不同而产生的特定属性，并将社会属性按照感知用户对任务的社会表现分为执行属性、信誉属性和访问属性。

2.2.1 执行属性度量

(3)

(4)

(5)

2.2.2 信誉属性度量

信誉属性是感知用户在与感知平台之间交互任务完成情况及完成任务质量的最终结果的综合评价，反映了感知用户在历史任务中的信誉程度。积极用户参与任务会提高数据质量，恶意用户参与任务会使数据质量下降。为了量化感知用户的信誉属性，本文利用感知用户的感知数据质量、感知用户历史参与感知类型次数来衡量感知用户的信誉程度。

(6)

积极参与任务的感知用户上传的数据能够提高数据质量，但积极参与的感知用户可能会在某次任务中因数据出现偏差而导致被评价为恶意参与。因此，需要对感知用户历史参与感知类型次数来综合评估，以实现准确的信誉评估。设感知用户在第k次任务时的表现表示为

(7)

(8)

2.2.3 访问属性度量

(9)

式中，t1为访问开始时刻，t2为访问结束时刻。随着感知用户的实时变换，访问时间也相应地动态更新。

(10)

式中，N(lj)为感知用户到达位置lj的次数，L={l1,l2,…,lσ}为一段时间内的移动轨迹。

(11)

2.3 用户任务分配

群智感知中的感知用户受现实社会以及自身参与多次任务的影响，感知用户属性会随时间动态变化。感知平台需要对这些不同属性的感知用户进行选择，以完成任务发布者委托的感知任务。由于群智感知系统中的感知用户较多，感知平台需要先对大量属性各异的感知用户进行选择，再将任务匹配给选择出的感知用户，从而需要消耗大量的能量。BP神经网络具有较强的非线性映射能力、容错能力以及计算能力，并能够自适应地将学习内容记忆于网络的权值中，同时在将学习成果应用于新知识的过程当中，大大降低了处理时延及复杂度[17]。因此，本文使用BP神经网络对感知用户的匹配程度进行度量，进而选择适合任务的感知用户。

根据感知用户具备的属性，本文将感知用户的成本属性、执行属性、信誉属性、访问属性作为BP神经网络的输入x，将分类结果y作为是否匹配任务的感知用户，定义隐含层相应的输入权重w和偏差b，网络中隐含层神经元的个数与实际问题的复杂程度、输入和输出层的神经元个数以及对期望误差的设定有着直接的联系。隐含层神经元个数过多，会加大神经网络的计算量并容易产生过拟合问题；神经元个数过少，则会影响神经网络的性能，达不到预期效果。因此，本文根据式(12)确定隐含层神经元的个数：

(12)

式中，ξ和ψ分别为输入层和输出层的神经元个数，ν为2～10之间的常数。由于感知用户的属性值往往都不是线性可分的，而激活函数可通过加入非线性因素来提高神经网络对模型的表达能力，Sigmoid函数连续可微分，而且更接近于生物神经元的信号输出形式，因此，本文使用Sigmoid函数作为BP神经网络中的激活函数：

(13)

(14)

损失函数能够不断调节权值和阈值，使误差函数达到极小，使预测的结果能够与真实结果达到一个最小误差。通常使用交叉熵损失函数，定义yd、zd为隐含层的输出，则交叉熵损失为

(15)

最后利用反向传播进行更新，直到满足损失为止。反向传播的主要思想是根据测试输出值和学习输出值之间的误差来调整每层的权重w和偏差b，并使用梯度下降算法来最小化损失函数。图2所示为用户属性的BP神经网络模型，将感知用户的成本属性、执行属性、信誉属性、访问属性作为输入，训练BP神经网络时给定的输出代表该用户是否作为参与任务的用户。经过训练后，得到用户任务分配的神经网络模型，感知平台通过该模型将任务分配给这些用户。

图2 用户属性的BP神经网络模型Fig.2 BP neural network model of user attributes

3 基于用户属性的隐私保护

感知用户的身份联系着多个属性标识，一个属性又可以被多个感知用户所拥有。这些身份属性、传输数据往往是攻击者的攻击目标。系统需要保证这些感知用户的隐私安全，使得感知用户能够持续并安全地参与任务，尤其是希望保留匹配任务的用户对任务的积极性。因此，本文提出了一种基于用户属性的属性环签名策略，利用感知用户的假名执行数据传输以防止感知用户身份信息的泄露，利用属性环签名来防止身份被连续推断，并使用MC分配非对称密钥来防止数据传输被泄露，从而保护用户的隐私，提高感知数据的准确度。

3.1 匿名参加任务

假名是用户在申请任务时的伪身份，与真实身份信息无关联。用户使用假名申请任务，可以隐藏自身参与的任务信息，防止狭窄任务攻击。在感知用户申请任务和上传任务数据的过程中，攻击者会攻击任务数据的提交时间、数据内容等有用信息，从而去推断感知用户的身份隐私。为了保护感知用户的身份信息，在请求任务之前，感知用户首先向感知平台发送注册信息以获取假名。感知平台一旦接收到用户的注册请求，则利用感知用户发送的真实IDi进行注册，并为感知用户生成一个随机种子δ：

δ=H(O‖IDi)

(16)

用来验证随机产生的假名的合法性,O为感知平台生成的随机数。感知用户使用随机种子δ生成假名KN，即

KN:{δ,Tva}

(17)

Tva为假名的有效期。感知用户使用生成的假名与感知平台安全通信，与其他用户相互交互可以保护身份隐私。此外，感知平台在本地用户生成一个数据库，用来保存用户的相关属性信息。

3.2 属性签密算法

属性签密算法一般由系统初始化、密钥提取、签密和解签密4部分组成：

(1)系统初始化。输入一个安全参数，由密钥生成中心运行一个概率算法，生成输出系统公共参数和主密钥。

(2)密钥提取。输入用户的属性集合和主密钥，密钥生成中心运行一个概率算法，输出与属性集合有关的密钥。

(3)签密。假设签密者要发送一个签密消息给解签密者，输入系统公共参数、明文消息、签密者的属性集合和解签密者的属性集合，由签密者运行一个概率算法，输出消息签密后的密文。

(4)解签密。输入系统公共参数、签密密文和解签密者的属性，由解签密者完成一个确定算法，输出明文消息或者输出拒绝信号。

环签名[18]是一种新的匿名签名技术，环签名可以实现签名者的无条件匿名性，让任何人都无法追踪到签名者的真实身份，签名接收者能证明签名者是来自环中的某一个成员，但无法确定具体是哪一个成员身份，因此可以保护签名者的身份。本文将感知用户视为签名者，其他感知用户当作环成员，其他的环成员称为非签名者，感知平台视作签名接收者。基于属性的环签名可以根据用户本身特定的属性而不泄露确定的身份信息，并将属性签密中的系统初始化和密钥提取算法相结合，具体的实现过程分为系统参数初始化、签名加密和解密验证。

CT=Enc(Duk,Kpub,σ,tc1)

(18)

解密验证：感知平台接收到密文CT以后进行解密操作。收到密文时，记录当前时间为tc2，当|tc1-tc2|<ε时，感知平台通过MC分配的私钥Kpri解密密文：

D,σ=Dec(CT,Kpri)

(19)

得到感知用户数据和签名以后，感知平台需要验证签名σ={σ1,σ2,σ3}的正确性:

(20)

对于式(20)可以很容易地分析验证过程的正确性。如果签名σ={σ1,σ2,σ3}是在属性签名SA={al1,al2,…,aln}下生成的，那么能满足等式：

(21)

如果式(21)中等式成立，则说明密文CT是一个合法的签密密文，感知平台接受上报的数据，否则感知平台拒绝上传的数据。

3.3 性能分析

群智感知系统中的感知用户在发布任务之前与感知平台交互产生假名，感知平台仅仅知道节点真实身份对应的假名种子，假名信息不会被除请求者之外的第三方获知。感知用户使用假名通过感知平台发布任务，从而保证任务内容与其身份信息直接关联。假名信息不会被第三方获知，保证感知平台不知道具体用户是否参与到一个任务中。使用匿名的方法参与感知任务，并与其他感知用户进行交互，使用匿名的身份不会有身份混乱的现象，并且能够有效地抵御恶意节点获取社会关系。

另外，每一个属性都与一个随机数相关，对于每个用户，产生的加密密钥都是基于用户属性的随机数产生。即使用户联合，也不能解密，所以可以抵抗合谋攻击。对于用户属性，攻击者不能猜到用于加密密文的属性，即使得到其他用户的密文，也仅仅知道加密密文的部分属性，并且属性加密的随机数θi为MC随机选择，攻击者并不能创建一份新的、合法的密文。

4 数值分析

本文采用Python仿真环境对所提出的策略性进行验证，并与文献[19- 20]中的策略进行了比较分析，以验证所提出的感知用户的隐私保护策略的有效性。主要性能指标包括系统在用户选择时的运行时间、网路负载率和选择成功率以及用户选择后的系统隐私保护水平和数据完整性。其中，网络负载率表示未完成任务传输和完成感知任务的感知用户数的比值，选择成功率表示向感知平台申请感知任务和最终选择的感知用户数的比值，隐私保护水平表示感知用户隐私泄露的数量和需要保护的隐私总数的比值，数据完整性表示感知用户提交给感知平台的感知数据量和感知到的总数据量的比值。仿真数据集采用GeoLife项目[21]采集的真实数据集，该数据集中的数据点由不同采集频率的GPS记录器采集所得，共包含182个用户的18 670条GPS轨迹记录、2 487万个数据点。记录时间从2007年4月至2012年8月，是典型的时空数据集。

4.1 任务匹配对系统性能的影响

对于基于属性评估的BP神经网络感知用户选择方法，本文引入精确率和召回率来对模型进行综合评价。其中，精确率是指预测分类结果中正确的数量占分类结果总数的比值,召回率是指预测分类结果中正确的数量占正确结果总数的比值。

不同训练样本数占总样本数的百分比对预测分类结果的影响如表1所示。从表中可知，随着训练样本数的增加，模型的记忆训练得到了进一步的加强，其预测效果也得到了提升。

表1 训练样本比例对分类结果的影响

4.2 用户数对系统性能的影响

不同感知用户数下3种策略(TAPPC、SABA、PEPPeR)的运行时间变化如图3所示，其中本文策略的运行时间主要分为感知用户在任务分配过程的计算时间、加密和解密的计算时间。从图中可以看出：3种策略的运行时间均呈上升趋势，其原因在于随着用户数的增加，越来越多的感知用户想要参与到任务中，得到参与任务的资格，从而导致感知平台需要更多的时间用于计算和选择；TAPPC策略的运行时间小于其他两种策略，主要是因为BP神经网络具有较强的自学习和计算能力，能够快速地对具有属性的感知用户进行选择；SABA采用的分布式策略能够有效地减少选择时间；PEPPeR采用了协作转发的任务分配策略，在网络中转发次数过多会产生较长的运行时间。

图3 不同用户数下3种策略的运行时间

不同感知用户数下3种策略的网络负载率变化如图4所示。从图中可以看出：随着感知用户数的增加，3种隐私保护策略的网络负载率均呈上升趋势，其原因在于随着感知用户数的增加，感知平台能够选择合适的感知用户的选择性更广，也需要更多的感知用户来完成感知任务；PEPPeR采用协作转发的隐私保护策略，网络中转发次数较多，导致其网络负载率较大；SABA隐私保护策略的网络负载率最低，主要原因在于其在可用的任务感知用户中采用了分布式策略，有效地减少了感知任务的完成时间，同时通过云端降低了任务分配过程中的消息转发次数；TAPPC隐私保护策略在选取感知用户的过程中需要度量感知用户的4个属性和分配相关的密文，从而增加了网络负载率。

图4 不同用户数下3种策略的网络负载率

不同感知用户数下3种策略的选择成功率的变化如图5所示。从图中可以看出：随着感知用户数的增加，3种隐私保护策略的选择成功率均呈上升趋势，其原因在于随着感知用户数和类型的增加，用户所具有的属性更加符合感知任务的感知用户；TAPPC策略的选择成功率高于PEPPeR和SABA，其主要原因在于，针对用户的属性动态分析，感知任务所需要的用户在感知平台中通过BP神经网络被高效地选择，从而大大减少了选择过程中恶意用户的破坏。

图5 不同用户数下3种策略的选择成功率

4.3 隐私保护对系统性能的影响

为了进一步验证本文所提出的基于用户属性感知的隐私保护方法的有效性，在已选择成功的感知用户中，分析不同感知用户选择成功率对隐私保护水平和数据完整性的影响，结果如图6所示。

从图6(a)可知，TAPPC的隐私保护水平远高于其他两种策略，其主要原因是本文提出的策略考虑了感知用户的信誉属性，这在很大程度上限制了感知平台在选择合适的感知用户时恶意用户对数据传输的破坏；另外，属性签名加密算法通过环签名可以实现感知用户的无条件匿名性，让任何人都无法追踪到签名者的真实身份，保护了感知用户的身份信息。最后在感知用户上传数据时，由MC分别给感知用户和感知平台分配非对称加密算法的公钥和私钥，从而大大降低了恶意用户对感知数据的攻击成功率。

从图6(b)可知，随着感知用户选择成功率的增加，3种隐私保护策略的数据完整性均呈下降趋势，但TAPPC的数据完整性比PEPPeR、SABA高。其原因在于：随着感知用户选择成功率的增加，一些恶意用户的数量也会增加，这些恶意用户可以对数据进行篡改或者丢弃，降低数据完整性；在群智感知网络中，SABA受恶意用户的影响较大，PEPPeR次之，TAPPC充分考虑感知用户的属性，采用匿名的方式，利用感知用户的属性签名来加密，从而最大化感知数据的完整性。

图6 选择成功率对3种策略的隐私保护水平和数据完整性的影响

5 结论

为了合理地将感知任务匹配给符合任务要求的用户，本文提出了一种基于用户属性感知的任务匹配和隐私保护协同机制。考虑到群智感知网络中感知用户选择的复杂性，分析了用户属性的属性值，通过BP神经网络训练筛选出与感知任务契合程度高的感知用户，使用匿名感知用户的环签名和属性签名加密算法来防止恶意用户侵犯感知用户的隐私，使用非对称加密算法来保护感知数据。实验结果表明，本文提出的策略在保证任务匹配的同时，实现了感知用户的身份信息保护，并提高了感知数据的质量。