基于改良UWB室内定位的隐私保护算法

袁学松

(安徽机电职业技术学院互联网与通信学院，安徽 芜湖 241001)

0 引言

定位技术已被广泛应用于各种场景，如地图服务、外卖服务等。其定位主要依赖于全球导航卫星(Global Navigation Satellite System，GNSS)[1]，如GPS、北斗等。在室内环境中，由于GNSS信号不能很好地穿越建筑物，无法实现在室内对移动设备的精确定位。室内环境复杂，存在很多电磁干扰，可能产生多径效应，导致定位不准确。如何找到一种低成本且可靠的室内定位技术、室内外定位融合技术逐渐成为近年来的研究热点。

目前室内定位技术有很多种，比较传统的是WIFI指纹定位技术，该技术由于无需建设基础设施，成本小，被应用在很多场景中。该技术首先收集WIFI指纹库，根据定位点的RSS与WIFI指纹库进行比对和定位[2]。由于多径效应等不良因素影响，虽不少学者对其进行了滤波等处理，但WIFI指纹定位的精度和可靠度仍不尽如人意。RFID技术由于价格低廉且有着不错的定位精度，被广泛使用，但在某些场景容易造成隐私泄露，需要复杂的设备支持，不适合进行大规模定位部署。超声波定位技术由于建设成本高昂，不易大规模在室内场景使用。其他的定位技术还有超宽带定位技术(Ultra Wide Band，UWB)惯性导航定位、蓝牙信标定位、机器视觉定位等。UWB定位技术以功率低、抗多径效应能力强、穿透力强等特点被广泛应用于各种场景的室内定位[3]。它的测距方式有三种：(1)根据信号飞行时间的相关参数定位标签位置，常见的方法有TOF、TOA、TDOA；(2)根据定位标签信号与基站的接收角度来定位，常见的方法有AOA；(3)基站根据标签信号的强度(RSSI)来定位。

在完成对标签定位后，在某些场景下需要把相关位置等信息传送给服务器，由服务器进行计算并提供基于位置的服务(Location-Based Services，LBSs)[4]。在室内环境下如何对UWB标签定位数据进行隐私保护也是研究热点。一直以来，人们使用K-匿名(K-anonymity)将用户信息进行模糊处理后进行传输[5]。随着大数据与分布式计算的发展，许多学者将分布式的理念引入隐私保护，使用分布式技术解决了大量访问对第三方匿名服务器造成的影响[5-6]。TIAN等[7]对定位后的用户移动行为进行分析，使用移动马尔科夫链(MMC)提出基于物云系统的用户位置等隐私预保护方法。这些技术和方案可应用于很多室内场景。本文将讨论在大型智能医疗系统中，对重点病患、重点医废装置进行定位和实时数据收集的同时对病患位置等敏感信息进行隐私保护的相关方案。UWB具有抗多径干扰能力且穿透力强，非常适用于在大量标签聚集的环境。

1 改良的UWB三边定位算法

在智能医疗环境中，对于医院的患者和需定位的相关医废车等，需采用UWB的双边双向测距的方式(Double-Sided Two-Way Ranging，DS-TWR)[8]进行测距和计算，从而获得定位信息。该方案利用信号飞行时间来计算标签与设备之间的距离，非常适合在二维场景中测距。由于智能医疗场景是多层的，各病患可能在不同楼层，我们在改良的三边定位算法中为每个基站标注楼层，用于辅助楼层定位。同时将定位标签嵌入气压计传感器用来辅助判断楼层信息。

1.1 UWB室内定位框架

传统的三边定位方案是根据图1中三个基站(BS1、BS2、BS3)的二维坐标系(X,Y)，测量出目标T到三个基站的直线距离。通过列相关方程式来解算出目标T的具体位置[9]。由于真实场景环境复杂，标签众多，肯定会产生很多非视距误差(Not Line of Sight，NLOS)，而且由于目标节点运动状态复杂等原因，这种非视距误差是没有规律的。使用传统的去噪算法改进测量精度的有粒子滤波算法[10]、卡尔曼滤波算法(Kalman Filter，KF)[11]等。这种滤波算法对有规律的噪声干扰有很好的效果，但在标签众多的环境中，整体计算量较大且定位的实时性较差。本文针对具有隐私保护的室内定位使用改进的卡尔曼滤波算法。传统算法主要根据前一时刻的运动状态估计当前时刻的运动状态，并且系统在更新阶段时，系统使用当前测量值来校验预测值，从而获得准确的结果。KF算法在默认情况下认为标签都在运动，在实际医院的室内环境中，很多标签长时间处于静止状态，如果用传统算法会浪费大量的算力进行预测和修正相关数值，因此本算法主要增加了判断标签是否移动的模块。

图1 三边定位原理图

1.2 改进的UWB三边定位算法

根据改进的算法，把标签进行分类，分为移动和静止。在对移动标签进行测距时，假设t时刻的标签位置为(xt,yt)，基站坐标为(xi,yi)，通过传统测距方案可以计算出标签到各基站的距离为di。在t时刻使用KF算法对其进行状态估计，则预测方程为

Xt=AXt-1+ωt-1,

其中，Xt为t时刻的标签状态向量；Xt-1为上一时刻的状态向量；A为状态转移变换矩阵；ωt-1为相关高斯白噪声。

算法1 基于KF改进的UWB三边定位算法(单标签)

输入：在t时刻标签节点X与各定位基站的距离Di,i=1,2,…默认情况下i∈(1,2,3,4)。

输出：标签节点X在t时刻的位置信息(Xt,Yt)。(该位置为解算坐标)

Step1 每个定位基站在一个周期T内对标签使用DS-TWR计算基站与标签的位置距离Di,i=1,2,…；

Step3 判断标签处于静止或者微运动状态，将相关参数带入KF算法计算出最优测距值，再对所有测距值使用三边定位算法进行解算，得到标签位置信息(Xt,Yt)，并调整基站测距周期为10T；

2 面向改良UWB框架的隐私保护机制

经过改良的三边定位算法，增加了静止标签判定方法，大大减少了系统对标签位置计算的复杂度。这就为在特定场景中给标签做隐私保护提供了必要的算力资源。在本节中，我们将使用基于位置服务(LBSs)的PANO(privacy protection algorithm based on node offset)算法，对计算出来的节点位置进行位置隐私保护。

2.1 基于位置服务的LBSs架构

基于位置的服务(LBSs)近年来得到广泛应用，在室外定位方面相关隐私保护技术比较成熟。而在室内使用UWB等融合技术进行定位后，如何对标签的位置信息进行隐私保护一直是研究热点。一些学者使用K-匿名技术把用户的敏感数据和位置信息进行泛化和模糊化处理[12]。随着大数据分布式计算的发展，一些学者引入分布式系统，减轻大量隐私保护类访问对第三方匿名服务器的压力。TIAN[7]使用移动马尔科夫链(MMC)对用户移动行为进行分析，提出基于物云系统的位置隐私保护。本节主要探讨移动标签室内定位后相关位置信息的隐私保护问题。这些技术可应用于目前的很多场景，如对医院医生、特殊病患相关位置等隐私信息的保护。图2展示了室内混合式隐私保护体系框架。

图2 室内混合式隐私保护体系框架

当系统根据改进的UWB定位算法测定标签的坐标后，将真实的位置等信息存放到LBSs服务器中。当移动设备要查询标签的位置信息时，系统只支持把请求发送给分布式的可信的第三方匿名服务器，该匿名服务器的主要功能就是对请求进行泛化处理。接着将处理后的请求发送给LBSs服务器进行位置信息查询，最后将候选结果集传送给客户端。现在成熟的位置保护技术有基于扭曲方法的位置信息保护技术、基于政策的位置信息保护技术和基于加密方法的位置信息保护技术。

针对智能医疗系统，UWB标签和相关的传感器通过智能穿戴设备连接到医护人员身体上。传感器负责采集患者相关身体状况信息，这些信息会发送到主处理单元MPU进行存储并周期性地向数据库服务器和LBSs服务器进行信息传输。当病患发送紧急情况时，该系统最重要的功能是通过定位系统获取准确的位置信息。为了解决保护患者敏感位置等信息的问题，本节提出一种主要针对强攻击者的隐私保护方案PANO。

弱攻击者只能通过信道获取少量的敏感位置信息，由于这类攻击者无法进入相关数据库获取信息，这样完全可以通过对患者信息假名化或对信道进行加密的方法来解决。但如果强攻击者能够进入LBSs服务器，甚至能进入相关数据库服务器，信道加密基本没有任何作用。我们只能采用敏感信息位置干扰技术来最大程度地减少位置信息的泄露。

2.2 节点偏移的隐私保护算法与相关问题

(1)

图3 节点位置偏移状态图

为了确保ri在一个合适的范围，即不超过扰动失真范围导致攻击者识别，同时也与真实位置信息有一定距离。算法将ri规定在一个范围内。

rimin

(2)

其中，rimin=ri×δ，rimax=ri×2，0<δ<1，δ在0至1中取随机值。

为了让随机敏感位置更符合实际情况，引入高斯函数公式：

(3)

其中，ε1,ε2>0，di,j的中心为(xi,yi)，根据函数计算出伪节点的位置(xj,yj)。且0≤di,j≤1。

ri=rimin+min{di,1,di,2,…,di,m}×(rimax-rimin).

(4)

由式(4)可知，当di,j=0时伪节点与敏感节点的距离为rimin；当di,j=1时，该距离为rimax，伪节点就在半径为ri的圆环中产生。

图4 伪节点运动状态图

图5 PANO算法伪节点生成方案图

运用定位算法计算出真实位置后，生成扰动节点的步骤(图6)：

图6 PANO算法流程图

step1 判断标签节点是否处于静止和微运动状态，若是，则执行step2～step4并结束；若不是，则执行step5；

step2 在节点真实位置的周围产生m个敏感位置，φ{S1,…,Sm}；

step3 使用公式(3)得到{di,1,di,2,…,di,m}，并使用公式(4)计算出干扰节点可能处于的干扰半径ri；

3 场景仿真实验分析

对本文提出的UWB室内定位算法进行仿真实验，具体的实验场景选择长200 m、宽50 m的二维平面环境。在该平面内有部分障碍物，用来模拟医院大楼某层的真实情况，如图7所示。该场景的左上角、左下角、右下角分别放置3个测距基站。实验使用NS-3[13]进行离散仿真，为了真实模拟医患行走的状态，进行3次实验求结果的平均值，第一次实验节点从起点起匀速运动(0.5 m/s)沿着事先规划好的轨迹运动到达终点；第二次实验在第一次实验的基础上增加周期性停顿，也就是节点每走完10 s停顿10 s，完成整个路线；第三次实验节点变速地完成整个路线的行走，变速区间在0.3 ～0.8 m/s。设置UWB符合IEEE 802.15.4标椎，发射功率在60 dBm/Hz左右，测距设置可达300 m，信道中设置理想状态下高斯噪声分布，设计高斯噪声分布的标准差为0.3 m，系统采样周期为100 ms。使用传统的UWB三边定位算法、改进的TDOA经典定位Fang算法[14]和本文的改进UWB算法对该场景下节点运动轨迹进行定位测量，比较其轨迹与真实轨迹的误差。

图7 NS-2模拟场景中节点运动轨迹

图8展示的是各种算法与真实路径轨迹的误差曲线，图9展示的是节点定位时延曲线。从图8和图9可以看出，与真实轨迹相比，传统的三边定位算法(图8、图9中菱形节点表示)，由于高斯噪声、非视距离等因素的干扰，同时没有进行滤波处理，导致误差较大，定位非常不稳定。但是由于计算简单，所以定位的实时性较好。图中三角节点线条表示的是采用经典Fang算法进行定位的轨迹图，该算法基于TDOA技术建立双曲线方程来求解得到待测标签位置坐标，算法简单，实时性较高，位置求解更为精确，稳定性也较传统三边定位算法更强，同时解算的复杂度较低，具有很好的实时性。圆形节点线条表示的是改进的三边定位算法，由于使用了卡尔曼滤波算法，对定位数据进行滤波修正，计算的轨迹精度明显高于前两种算法。改进的三边定位算法解算复杂度略高于Fang算法和传统三边定位，同时采用了判断静止和运动的方法，减少计算量，大大降低了系统的定位时延。由图9可以看出，改进的三边定位算法的平均实时性好于Fang算法。虚线展示的是经过隐私保护(PANO)的改进UWB定位算法，该算法在KF改进算法的基础上增加了隐私保护能力，可以看到图8的虚线定位轨迹几乎与圆形节点线条重合。同时在时延方面，由于PANO算法产生伪节点的解算并不增加时间复杂度(只考虑定位节点的真实位置解算，不考虑伪节点的解算)，在定位效率上也优于传统算法，算法的整体表现良好。

图8 各算法测距值平均误差对比

图9 各算法定位平均时延

本文PANO算法设计了伪节点的扰动算法，该扰动算法能够合理地产生伪节点的位置，使攻击者不会产生怀疑。针对PANO算法进行了相关独立实验，将PT算法[15]和ADBM算法[16]在图7所示环境下产生的扰动轨迹进行分析，比较产生的伪节点与敏感位置的距离。从图10可以看出，PANO算法始终与敏感位置保持一定距离，而其他算法节点的轨迹均与敏感位置有一定的交集，这证明了生成扰动位置的有效性，能够有效保护患者的敏感位置。

图10 敏感节点与伪节点的距离

4 结语

UWB技术在室内定位有很广泛的应用。本文在三边定位的基础上增加状态常量来判断节点的运动状态，对于运动的标签增加卡尔曼滤波来预测和修正位置，通过实验对比可知，传统算法和最常用的改进算法有着更好的定位精确性和鲁棒性。我们把这种技术应用在医院场景中，因为医院场景有保护用户位置隐私的需求。本文引入了PANO算法，通过设置敏感节点的夹角来异步生成伪节点。实验证明，伪节点和敏感节点之间保持着很好的安全距离。但是，由于本文实验只在普通高斯噪声的基础上，同时也只判定了节点在二维平面的位置，在不同楼层的位置拟使用气压计来判定。故未来工作可以三维重建场景，在不借助气压计的前提下更精确测量出节点三维位置的同时，保持节点的隐私性。