汪 悦,沈 航,田一博

1(南京工业大学 计算机科学与技术学院，南京 211816)2(南京大学 计算机软件新技术国家重点实验室，南京 210093)

1 引 言

基于位置的服务(Location-Based Service,LBS)通常指用户将自身位置发送给位置服务商(Location-Based Service Provider,LSP),LSP根据用户的查询请求提供增值服务,例如用户查询附近的餐馆、医院等信息.尽管LBS给人们生活带来了极大的便利,但也带来了诸多安全隐患.其中最严重的莫过于用户隐私数据落入不可信的第三方手中.通过收集分析用户位置信息,一些恶意实体可以较为准确地推测出用户的生活习惯、个人偏好、家庭住址等私人信息,进而可能会对用户的人身与财产安全造成威胁[1,2].因此,如何保证用户隐私信息成为LBS中亟待解决的问题.

位置隐私保护模式可分为集中式和分布式(例如:以用户为中心[3-6]或协作式方法[7-9]).前者依赖设置一个可信第三方服务器(Trusted Third Party,TTP),为用户构造匿名区以及对返回的查询结果求精等.然而,TTP可能会成为系统性能瓶颈.特别是一旦被攻破,会导致大量用户隐私信息泄露,带来不可挽回的损失.而分布式可以自主或通过协作构造匿名区来实现位置隐私保护,无需依赖TTP.

由于灵活性高,协作式位置隐私保护方案受到学术界和工业界的重视.然而当下协作式方案均依赖一个假设前提,那就是用户之间是可信的,没有考虑现实环境中用户的自利与恶意行为[7,10,11].例如,用户协作构造匿名区的过程中,为了获取更多的利益,在收到协作用户的真实位置后将其泄露给恶意实体;协作用户提供虚假位置给请求用户,导致最终生成的匿名区无法满足用户的服务质量和隐私保护需求.一旦有恶意的用户冒充诚实用户混入协作组中,用户在协作过程中就存在隐私泄露的风险.因此,迫切需要通过一种技术手段规范协作组中用户的行为,在提升服务质量的同时防止隐私泄露.

区块链[12,13]作为一种去中心化的分布式存储架构,以密码学方式保证其不可篡改性和不可伪造性.将用户间的交互行为视为一笔交易并上传到区块链中记录下来,可以实现跟踪和惩罚有恶意行为的用户的目的.区块链与协作式位置隐私保护结合有很大潜力解决现实环境中的不可信用户行为的问题.

本文考虑了用户协作进行隐私保护的场景.相邻的移动互联网用户形成协作组,由被选择的协作者代替请求发起者转发查询信息.为了解决群组协作时用户的自利行为可能会泄露其他用户隐私信息的问题,本文提出基于区块链的协作式位置隐私保护方案.主要贡献如下:

1)为了约束协作场景下的用户自利行为,本文利用博弈理论分析用户行为,将用户的近期行为与信誉值结合.利用区块链技术记录用户的交易行为,对于有恶意行为的用户,采取惩罚措施.

2)考虑到请求发起者拒绝支付以及协作者不诚实转发行为(即:欺骗行为),本文利用加密函数的可交换性提出一种基于区块链的激励机制.该机制可以使矿工在不知道转发内容的前提下,验证协作者的诚实转发行为,一旦矿工验证交易是正确的,协作者便会自动获得转发奖励.因此,该机制避免了拒绝支付以及欺骗行为.

3)考虑到请求发起者选择协作者转发时带来的隐私效果以及服务质量的问题,本文设计了概率转发矩阵算法.该算法结合推断攻击的失真误差以及服务质量损失等度量标准,目的是保证用户效用成本最小化以及隐私安全性.

4)利用博弈理论分析用户的行为策略,通过数学推导证明该方案的安全性.仿真实验结果表明,与基准方法对比,本文提出的方案具有更优的隐私保护效果.

2 相关工作

本节针对分布式方案中群组协作带来的隐私泄露的问题,首先介绍了传统协作式方案的缺点,其次介绍了与区块链融合的协作式方案,最后介绍了基于博弈的保护策略.

考虑到TTP对安全性要求较高且容易出现单点失效问题,研究者提出了许多分布式隐私保护框架.SpaceTwist方案[14]利用用户身边随机选取的兴趣点进行增量查询,最后用户根据返回的查询结果与真实位置计算得到精确查询结果.虽然该方案无需TTP支持,但未考虑用户间协作,不可信的LSP有可能收集用户查询数据获取到用户的个人敏感信息.Huang等人[15]在此基础上,提出Coprivacy方案来实现用户协作形成匿名组,LSP很难从请求用户提交的匿名区中识别出请求用户的真实位置.

上述方案大多假设协作用户是诚实可信的,未考虑现实环境的用户的自利行为.对此,我国学者江颉等[16]凭借长期深入探究,最终总结出了一种基于查询分片用户协作的位置隐私保护方案,其把请求信息划分成了几个片段,然后再随机分配给其他用户.只有当收到所有用户的请求后,才向服务商进行发送,以实现对用户隐私安全的有效保护.Han[17]提出了一种新的感知方法,他利用现存的社交网络资源(如facebook),寻找好友进行转发.该方法引入了异构多服务器架构,切断了LBS查询信息与查询发布者之间的直接交互,并设计了一个以拍卖为基础的激励机制保证用户的参与,满足用户的隐私保护需求.

传统方案缺乏对用户行为有效的追溯.对此,徐建等人[18]结合区块链对K匿名激励机制进行了改进.K匿名激励机制可以激励移动用户帮助其他用户实现K匿名,此外,引入了保证金制度,有效遏制了恶意用户的破坏行为.刘海等人[19]提出了一个基于区块链的分布式K匿名位置隐私保护方案.把匿名区的构造作为请求用户和协作用户间的博弈,并借助区块链来对双方行为进行记录,以惩罚有恶意行为的用户来约束用户的自利性.与文献[19]相比,本文考虑不同的协作场景,借助博弈信誉机制,来对请求发起者和协作者的自利行为进行约束.另外,与文献[18]的拍卖机制不同,本文设计基于可交换加密函数的激励机制防止请求发起者的拒绝支付行为以及协作者的欺骗行为.

攻击者借助一切可能途径来收集用户数据,从而攻击用户隐私信息,以达到非法目的[20].面对此种推测攻击,可以概率推理为基础的位置隐私保护机制[21,22]对用户真实位置存在一定的偏移,进而能够有效降低攻击者的位置预测概率.综上,Stackelberg博弈可谓此类方法中平衡隐私保护等级和服务质量要求的重要方式.Shokri等[23]凭借长期深入探究,最终总结出了以Stackelberg博弈为基础的保护策略.此策略假设攻击者具备先验知识,使用户与攻击者互相进行博弈,具体指的是:用户的目的是在保证服务质量满足一定条件的前提下实现最大化隐私保护,而攻击者基于先验知识与偏移位置,以更为精准地获取用户位置信息,也就是将用户隐私降到最低.

根据上述分析,有必要将博弈模型与区块链技术融合.利用博弈模型分析协作组内用户行为,并根据用户行为设置信誉值.通过记录用户间转发行为作为惩罚依据,约束用户行为,形成良好的协作生态.

3 系统模型

文中主要符号意义如表1所示.

表1 主要符号意义Table 1 Summary of major notations

3.1 用户协作模型

如图1所示,本文采用群组协作方式转发查询信息,移动用户间自组织通信.首先,请求发起者与周围用户构造协作组,并自主计算概率转发矩阵(概率转发矩阵代表了请求发起者选择某协作者转发的概率分布,包括自己独立转发的概率).由概率最大的协作者转发查询信息,达到期望效用成本的最小化.

图1 基于激励机制的群组协作模型Fig.1 Group collaboration model based on incentive mechanism

该系统由移动用户与LSP组成,无需TTP.用户协作流程如下:

1)当用户向LSP发送查询请求前,应先向群组发送协作请求,以确定其真实位置.当确定真实位置后,请求发起者构造协作组U,并在组内生成概率转发矩阵.概率转发矩阵形式如下(用户数量|U|):

2)针对请求发起者,由概率最大的协作者转发其查询信息.同时,组内所用用户相互协作转发,用户间的转发行为视为交易被广播到区块链网络中.由矿工验证交易的正确性,协作者便获得转发奖励.从而防止了请求发起者的拒绝支付行为以及协作者的欺骗行为.

3)LSP基于提供的位置与查询内容,返回查询结果;求发起者在查询结果中筛选所需结果.

3.2 空间伪装机制

图2描述了协作者对请求发起者的空间伪装过程.利用该空间伪装机制对请求发起者位置进行伪装,增加了数据传输的成本以及结果集提取过程的工作量.由于兴趣点(Point of Interest,POI)在局部密度分布均匀,结果集提取成本(效用成本)被表示为:

图2 空间伪装机制Fig.2 Space disguising mechanism

(1)

其中,ρ指POI密度,di,j是ui与uj之间的欧几里得距离,r与r′分别是ui与uj的查询范围.

3.3 风险模型及假设

在用户协作过程中,可能的安全风险包括:

1)请求发起者泄露协作者的真实位置.周围用户向请求发起者提供真实位置后,请求发起者为获得更多的利益,将真实位置泄露给第三方.

2)协作者提供虚假位置.若协作者提供虚假位置且选取了河流等无人区域,那么攻击者则可以利用背景知识如区域监控技术识别出无人区域,由此缩小范围,大概率得出请求发起者的真实位置.

3)拒绝支付.协作者帮助转发查询信息,并成功返回查询结果及LSP签名的认证信息,但是请求发起者拒绝为其转发行为支付.

4)欺骗行为.协作者并没有向LSP传递真实查询消息,但却声称自己已转发以此来骗取奖励.

4 基于区块链的位置隐私博弈方案

本节首先介绍基于博弈论的信誉机制,通过博弈分析不同行为下用户的收益并根据用户行为设计信誉值机制.其次,介绍诚实激励机制,利用可交换函数的特性防止用户的欺骗行为,促使更多人的参与.最后介绍了用户间详细的交易过程,利用区块链记录用户间的交易行为和信誉值并以此作为证据,惩罚恶意用户,约束用户行为.

4.1 基于博弈论的信誉机制

针对请求发起者泄露协作者真实位置以及协作者提供虚假位置的隐私安全问题,本文通过博弈理论分析请求发起者与协作者双方行为决策收益.在请求发起者收集协作者位置信息时,利用区块链存储博弈双方以及协作者提供的位置信息作为证据来约束用户的自利性.一旦发现在收集位置信息的过程中,发现存在请求发起者泄露协作者真实位置,则其之后的m次服务查询中再也不会出现协作者帮助转发的现象;同样地,在请求发起者收集协作者位置信息时,协作者提供虚假位置,则在之后的m次服务查询中,其他协作者再也不会帮助转发查询信息.

博弈方为请求发起者与协作者,其中,关于请求发起者的策略常见为以下两种:即为泄露协作者位置与不泄露协作者位置等;而关于协作者的策略集合,常见为以下3种:即提供虚假位置、提供真实位置及不提供位置.

假设在任意第h次计算概率转发矩阵时,请求发起者对应策略下的收益由高到低:

协作者对应策略下的收益由高到低:

构建信誉机制旨在为每个用户设计了信誉值.当且仅当用户信誉值为RU(x0)时方可作为请求发起者,否则只能以协作者身份提供真实位置帮助请求发起者转发信息.若用户作为请求发起者被察觉泄露了协作用户位置信息,则信誉分降低m分,且无法获得相邻用户协作转发.在这种情况下,他只能靠自己直接向LSP传递查询信息(相当于退化为以用户为中心的方法).只有该用户作为协作者诚信参与m轮转发后再次作为请求发起者时,才有可能得到协作转发的机会.同理,若用户作为协作者并提供虚假位置信息时,则信誉值降低m分,当且仅当该用户作为协作者诚信参与m轮转发后,信誉分为RU(x0)时作为请求发起者才能得到协作者的响应.

综上,用户的信誉值由公式(2)决定:

(2)

其中,u∈U,k为轮数,γ(xi)∈{-m,+1}表示对用户信誉值的调节.如果发现请求发起者与协作者出现不诚信行为时,则调低用户的信誉值m分;如果用户提供真实位置并参与转发时,则增加其信誉值1分.当用户的信誉值达到Ru(xk)=RU(x0)时,方可得到协作用户的响应.

依托于区块链数据的不可篡改性,以区块链存储的交易账单为证据,惩戒不诚实的用户.密码学理论有效确保了协作者的位置信息安全性.为保证协作者成功转发信息并返回查询结果给请求发起者,还设计了基于交换加密函数的激励机制促使协作者的参与.

4.2 诚实激励机制

可交换加密函数[24]是本方案的基本原语.

定义1.可交换加密函数f:

f:M×K→M

f是一个双射函数,令M为信息空间,得出fa·fb(m)=fb·fa(m).也就是说,只有两个人的协作下才能解密,并且结果与加密解密的顺序无关.

采用基于交换加密函数的区块链激励机制促进协作者的参与并保证协作者的诚实转发行为.将协作用户的转发行为视为一笔交易费上传到区块链中,并在交易内承诺给协作转发用户一笔费用作为奖励.为了确认协作者成功传递查询内容且返回查询结果,只有当LSP返回一个签名的认证信息ACKL,并经过矿工的验证后,协作者才能获得奖励.该转发过程如图3所示.

图3 转发查询方式Fig.3 Method of forwarding query

概率转发矩阵生成后,激励可以视为一笔交易.假设由协作者uj代替请求发起者ui传递消息给LSP.图4所示用户交易账单形式.其中,in-script代表发送发提供的验证信息,out-script代表交易的接收者.只有交易验证正确后,接收者才能获得奖励.

图4 用户交易账单形式Fig.4 Form of user transaction bill

激励机制分为创建交易账单、信息传递、获得奖励3个步骤:

I.创建交易账单

请求发起者ui创建一笔交易Depositi,同时生成两个随机数R1和R2,计算h1=EPKi(R1),h2=H(R2).ui会先存入一部分押金,承诺如果协作者uj成功传递消息到LSP,ui会奖励uj.

II.信息传递

1)请求发起者ui发送m‖EPKL(R2)‖σ‖SigSKi(R1)给协作者uj,σ表示ui对H(m)‖EPKL(R2)签名.ui创建一笔交易paymenti→j,并传播到区块链网络中进行认证.若uj代替ui向LSP发送查询信息,ui会奖励uj一笔钱数量为α.

2)协作者uj传递m‖EPKL(R2)‖δ给LSP,δ表示协作者uj对m‖EPKL(R2)签名.同时,协作者uj创建Submitj→L并且传播到区块链网络中.

3)LSP收到协作者uj的查询内容后,先用协作者uj公钥验证签名δ的正确性,再返回协作者uj确认标记EPKj(SigSKL(ACKL))和内容content‖η,η表示对H(content)‖EPKj(SigSKL(ACKL))签名.注意交易paymenti→j和Submitj→L.只有当矿工认证后,转账才能成功.

III.获得奖励

协作者uj和LSP分别向矿工提供所需要的验证内容{EPKj(ACKL),EPKj(R1)}和{R2,EPKL(ACKL)}.由矿工认证交易(矿工既可以是请求发起者,也可以是协作者,是所有用户的一员)只有满足如下条件:

1)LSP提供随机数R2,由矿工验证h2=H(R2).若验证正确,证明uj转发了ui的查询信息.

2)协作者uj提供随机数R1,由矿工验证是否满足EPKj(h1)=EPKi(EPKj(R1)).若验证正确,证明R1没有被篡改,uj确实收到ui的查询信息.

3)uj提供LSP的确认标记ACKL,由矿工验证是否满足EPKj(EPKL(ACKL))=EPKL(EPKj(ACKL)),则确认uj已返回查询结果.

综上所述,利用可交换加密函数和区块链的特性杜绝了拒绝支付与欺骗行为的问题.

4.3 交易过程

在此小节中,将会借助区块链技术,保存请求发起者和协作者的交易过程.每当请求发起者发布协作请求时,协作者会先在区块链中查找请求发起者的交易账单及信誉值.若协作者找到请求发起者的惩罚交易账单以及发现请求发起者虚假构造信誉值,协作者不会向请求用户提供真实位置.

步骤1.请求发起者向网络中的用户发布协作组构建请求

其中,Ti表示请求发起者ui发布查询请求时的时间戳;cIDi是请求发起者ui在区块链系统中使用的假名;μi是请求发起者ui曾协作其他用户转发查询信息时的次数;Rui(xk)时请求发起者ui在第k轮发布查询请求时的信誉值;paymentjt→i表示存储请求发起者协作转发其他用户查询信息时的交易账单号,1≤t≤μi;SKi是请求发起者ui在区块链中的私钥;signSKi(Rui(xk)‖μi‖Ti)表示利用私钥对转发次数、信誉值和时间戳的签名.

步骤2.周围协作者uj在收到请求发起者ui发送的协作请求后,首先去区块链中查找请求发起者的位置协作账单Tranj-i,统计请求发起者曾参与转发的次数及用户的信誉值,并与收到的查询请求中的次数和信誉值进行比较.

若信誉值小于RU(x0)或者转发次数不一致,则说明用户虚假构造协作次数,用户仍在惩罚期,协作者不提供位置给请求发起者并且广播惩罚交易账单：

如两者一致,则创建位置协作账单：

发送给请求发起者ui.ui收到协作账单后,首先利用协作者uj公钥验证签名.如果验证正确,那么可借助请求发起者私钥解密,确定协作者的真实位置.如若验证不成功,则请求发起者发布惩罚交易账单.

5 性能评价

本节对方案性能进行评价.首先介绍了概率转发矩阵算法模型的设计过程;其次利用数值分析验证协作转发的安全性以及本方案的计算复杂度,并通过博弈理论分析信誉值的合理性;最后,通过仿真实验验证本方案的有效性.

结合推断攻击的失真误差以及服务质量损失等度量标准,计算概率转发矩阵,保证用户的效用成本最小化.请求发起者根据转发概率矩阵选择可信的协作者,利用协作者真实位置伪装自己的位置信息,由协作者向位置服务商转发查询信息,提高隐私保护效果.

公式(3)和公式(4)展示了为保证请求发起者选择任意协作者uj时的整体期望成本效用最小化,用户的概率转发矩阵分布的计算方式.通过线性程序求解获得安全性最佳的转发概率分布.

基于公式(1),本方案将群组内用户的协作位置隐私保护问题建模如下:

(3)

(4)

公式(3)中的ci,j代表请求发起者ui选取uj作为协作转发用户时的效用成本;约束条件(1)中的π(ui)表示用户ui在该位置发送过的历史数据组成的背景知识,这是敌手事先知道的;约束条件利用失真误差保证了转发矩阵的安全性;约束条件(4-1)中的p(uj,ui)表示用户ui选择uj转发的概率;约束条件(4-1)中的dm表示敌手推断出的位置与真实位置之间的失真误差;约束条件(4-2)是对服务质量损失的约束,保证了请求发起者不会选择距离太远的协作者;约束条件(4-4)中的q(ui|uj)表示敌手根据观测到的数据推测原始用户的概率;约束条件(4-4)使敌手推断位置的概率满足隐私需求.

一旦发现用户uj有隐私泄露的风险,则将p(uj,ui)均分给其他协作者uk,如公式(5)所示,而p(uj,ui)调整为0.于是,得到新的转发概率矩阵P′.

(5)

5.1 协作转发安全性

定理1.假设ui是理性请求发起者,uj是理性协作者.收到请求发起者的协作组构造请求后,若协作者提供真实位置且请求发起者成功找到最佳的协作者时(即:公式(6)和公式(7)成立),该协作时位置隐私保护方案就称为是安全的.

(6)

(7)

5.2 计算复杂度

本方案涉及加密、解密以及签名算法.签名运算视为一类特殊的加密运算.由于解密运算是加密运算的逆运算,这里用O(Enc)表示加密时的复杂度度量.

首先相邻用户构造协作组时,请求发起者会向网络中发布协作请求,会用私钥对信誉值、构造次数以及时间戳签名,此时计算复杂度为O(Enc).而收到请求的相邻用户需要利用请求发起者的公钥计算,验证签名数据的正确性,此时相邻用户的计算复杂度为O(Enc).接着相邻用户通过查询区块链中存储的交易账单,验证得到的信誉值和转发次数的真实性.若得到的信誉值不为RU(x0),则相邻用户不提供真实位置,此时其所需的计算复杂度为O(m),m为区块链的块数;若得到的信誉值为RU(x0),再在该区块链中查找是否存在记录请求发起者欺骗行为的惩罚交易账单.当发现请求发起者构造虚假转发次数或者仍在惩罚期内,则相邻用户发布惩罚交易账单,此时计算复杂度为O(Enc).否则相邻用户向请求发起者发布包含位置信息的协作账单,此时从相邻用户中选择协作用户的复杂度计算复杂度为:

O(Enc)+O(Enc)+O(m)=O(Enc)

其次,得到真实位置后的请求发起者计算概率转发矩阵,由概率最大的协作者转发查询信息,计算复杂度为O(|U|).随后请求发起者发布转发任务Deposit以及payment,利用公钥对查询信息加密并利用私钥对其签名,此时请求发起者的计算复杂度为O(Enc).协作者经过解密得到请求发起者的查询内容,此时协作者计算复杂度为O(Enc).

综上所述,若请求发起者采用本方案成功获取|U|个协作者提供的真实位置时,网络中各用户的计算复杂度如下:

请求发起者:

|U|·O(Enc)+O(Enc)+O(|U|)=O(Enc)

对于提供真实位置的协作者:

O(Enc)+O(Enc)+O(Enc)=O(Enc)

对于未提供真实位置的协作者:

O(Enc)+O(Enc)+O(m)=O(Enc)

5.3 信誉值的合理性

本节分析信誉值的合理性,即:本方案能否有效阻止请求发起者和协作者不诚信行为.

定理2.假设ui为请求发起者,至少有|U|-1个协作者u1,u2,…,u|U|-1提供位置信息参与概率转发矩阵的计算.将β表示为协作者发现请求发起者泄露其位置信息的概率,将γ表示为请求发起者发现协作者提供虚假位置信息的概率.

本方案能够有效阻止请求发起者和协作者的不诚实行为.

(8)

(9)

将上述两式合并并化简:

(10)

(11)

综上,协作者在m+1次计算概率转发矩阵时获得总收益为:

(12)

(13)

化简得:

(14)

综上所述,当:

(15)

时,本方案才能有效阻止请求发起者和协作者的不诚信行为.

证毕

5.4 方案对比

评估指标包括隐私效果和计算时延.所有算法均使用JAVA编程语言实现,并选用SM2椭圆曲线公钥密码算法对交易内容进行加密和签名.另外,本实验还采用Ethereum 1.5.5 版本构建区块链网络.用户数据信息来源于文献[22].实验环境为1.00GHz Core i5-1035G1 CPU,8Gb.

图对隐私效果的影响Fig.5 Impacts of on privacy level

实验2.通过与文献[17]中的方案进行对比,验证本方案的有效性.经过实验分析,平均计算时延在300ms以下是可以接受,此时对应协作组用户数量为20.于是该实验假定协作组的用户数量被设为20,生成新区块时形成的交易账单数量从100变化至1000.文献[17]利用现存的社交网络资源(如facebook),选择好友进行转发.通过以拍卖为基础的激励机制促进用户的参与.本方案则是根据概率转发矩阵选择协作者进行转发.利用区块链记录转发交易账单以及用户信誉值作为证据约束用户行为.另外,本方案还设计了诚实激励机制促进用户参与.对实验结果分析后可知,虽然本方案构造协作组时用户的平均计算时延较大,但隐私保护效果优于基准方案[17].

如图6所示,随着协作组用户数量的不断增加,请求发起者在协作组构造过程中所需的平均计算时延呈递增趋势;而协作者所需的平均计算时延却没有太大的变化.

图6 用户平均计算时延对比Fig.6 Comparision of average user computing delay

造成上述现象的原因包括两点：1)随着协作组用户数量的不断增加,请求发起者需要验证协作者发送的签名数据的正确性以及解密获取协作者真实位置的次数也不断增加.而当选择了协作转发用户后,协作者只需要加解密获取请求用户的查询信息数据；2)交易账单数量的增加,区块链中存储的交易账单数量以及计算这些账单Hash值为叶子节点的Merkle树根节点所需计算时延也随之增加.

另外,如图7所示,随着协作组用户数量的增加,LSP通过收集到的用户的查询数据,推测出请求发起者的真实位置的概率也必然减少.与基准方案文献[17]相比,本方案位置泄露概率减少了50%,提高了用户的位置隐私保护效果.

图7 位置泄露概率对比Fig.7 Comparison of location exposure probability

综上所述,本方案对于解决协作式位置隐私保护问题,就有良好的效用性.

6 总 结

针对用户组协作转发场景存在用户自利行为且在协作者转发查询信息的过程中,存在欺骗行为和拒绝支付的行为这两个问题,本文提出了一种基于区块链和博弈的协作时位置隐私保护方案.首先设计信誉机制并通过区块链存储交易行为,一旦发现不诚实行为,对其信誉值降低m分.其次,利用博弈理论分析其安全性.另外,在计算概率转发矩阵时,本文把用户转发的效用成本、服务质量以及有背景知识的攻击者的期望失真误差考虑在内,不仅提高了用户的隐私水平,也保证了用户的服务质量.最后,通过仿真实验及安全性分析表明该实验能够有效阻止协作过程中用户的自利行为,还能够促使用户积极参与转发.此外,本方案能够提高用户的位置隐私保护效果,防止推断攻击.