随培杰 李洪涛

摘要：虽然移动人群感知（MCS）是一种有效的城市数据感知与获取技术．但它也给参与者带来了弹道隐私泄露的风险。具有相关知识背景的攻击者可以掌握用户的私人敏感信息，如家庭／工作地址、行为习惯和社會关系等。任何不恰当的弹道数据发布都将对用户产生巨大的影响。因此，亟须一种保护隐私的弹道数据发布方案。目前，已有相关的方法和研究出现，如数据扰动（差分隐私）、伪数据生成（轨迹填充）、数据修改（轨迹合并、路段抑制）等，但它们都存在数据不真实或不完整的问题。为解决上述问题，文章提出一种新颖、个性化的路段宾时报道方法。

关键词：移动公众感知；弹道隐私；差分隐私；弹道相似性差异；推断成功率

中图法分类号：TP309 文献标识码：A

１ 引言

随着移动互联网的发展，智能设备不仅大幅提高了计算、存储和通信能力，而且集成了大量的无线传感器，使得其能够取代传统的传感器进行数据采集工作。群智感知网通过移动设备完成数据采集，其已成为一种新兴的数据采集方法。移动人群传感（ＭＣＳ）是一种有效的城市数据感知和采集网络，其在城市噪声、室外大规模无线信号、智能交通数据采集等方面应用广泛。然而，其通常要求参与的用户在数据采样期间报告位置信息［１］ 。由于大部分人的生活轨迹都有一定的规律或模式，而且用户的时空信息具有特殊的地标性，因此在群体智能感知网络的应用中，用户隐私保护是一个非常重要的环节。如何解决群体情报感知网络中用户的隐私安全问题，对群体情报感知网络的发展具有重要影响。

２ 轨道隐私保护技术的分类

（１）基于广义的轨迹隐私保护技术具有Ｋ 匿名性及扩展性。其基本思想是将轨迹中的点扩展为相应的人脸（匿名区域），以降低攻击者识别用户的概率。

（２）基于抑制方法的弹道隐私保护技术的基本思想是限制敏感位置的释放或转换后的释放，可以有效防止攻击者通过相关性推断出用户的弹道。

（３）基于虚假数据的弹道隐私保护技术的基本思想是在真实弹道中加入一个虚假弹道，或者使用一个合成弹道来替代原来的弹道，以达到混淆的目的。

表１ 列举了４ 种保障私隐技术，并对其进行比较。

由表１ 可以看出，虽然前３ 种方法都具有一定的效果，并提出了许多改进措施，但这些方法都容易受到有相关知识背景攻击者的攻击，无法为用户提供足够的隐私保护，而且在一定程度上具有模糊性。在轨迹保护中引入差分隐私技术，既能有效地避免背景信息的泄露，又能有效地保护用户的隐私。一方面，隐私预算和噪声的增加是一个难以控制与值得探讨的问题。另一方面，它需要在报表信息中添加随机噪声，这不可避免地会影响报表数据的质量，因此该方法仍具有一定的缺陷［２］ 。为解决上述问题，本文提出了一种全新的解决方案，不仅可以在某些场景下保持数据的可用性，而且可以达到保护隐私的目的。最重要的是，其没有数据失真或数据修改的问题。

３ 相关工作

３．１ 基于ＭＣＳ 的数据收集

移动人群感知网络通常用于大型户外信号的采集，包括任务发布者、云服务器、智能设备和参与者。

任务发布者将任务提交给云服务器；智能设备负责数据采样并将数据上传到云服务器，报告的数据通常包括许多关于参与用户的信息（如位置）；云服务器负责收集参与用户的招募和数据聚合。由于ＭＣＳ 的数据收集模式通常用于收集大规模的户外信息，因此这些信息与用户的位置和弹道具有相关性。在ＭＣＳ 数据收集过程中，单个位置信息的泄露等同于整体路径的泄露。为了在数据收集过程中保护参与者轨迹的隐私，本文通过报告路线图中的路段进行数据采样和收集。典型的ＭＣＳ 系统架构如图１ 所示。

典型的ＭＣＳ 系统架构工作流程如下。

（１）群体智能感知平台发布各种群体智能感知网络应用的多种感知任务，参与用户通过移动智能设备查看和选择接收感知任务。

（２）参与用户根据收到的感知任务要求使用移动智能设备来感知数据，并在本地存储或处理所感知的数据。

（ ３） 参与用户选择适当的时间或根据任务的时间要求将本地存储的感知数据上传到群体智能感知平台。

（ ４）群智感知平台中的服务器收集用户报告的感知数据，对其进行相关处理和数据分析，并将获得的统计结果发送给服务消费者，或发布结果供服务消费者根据其需求进行查询。

３．２ 弹道数据发布方法和弹道数据发布系统架构

将轨迹释放方法分为２ 种。第一个目标是发布一组曲目，将每个曲目视为一个记录。第二个目标是发布一条轨迹，将轨迹中的每个位置作为记录。本文关注的是第二类弹道数据的发布。本文将第二种轨道释放方法分为如下２ 种。

（１）位置点的表示方法。

随着时间的推移，用户的轨迹可以表示为一系列位置坐标。长度为｜ Ｔ ｜ 的轨迹Ｔ 是时间对列表，Ｔ ＝（ｌ１，ｔ１）→（ｌ２，ｔ２）→… →（ｌ ｜Ｔ ｜，Ｔ ｜Ｔ ｜），（∀ｉ，１≤ｉ≤｜Ｔ ｜）ｉ 是由纬度和经度坐标表示的空间点，ｌｉ∈ｌｉ 是时间ｔｉ 所有位置的集合。｜Ｔ ｜表示记录在轨道中位置的数量。

（ ２）路段表示。

将车辆用户的轨迹建模为逻辑地图上的一系列路段。例如，Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，其中Ｔ 是参与者的实际轨迹，ｅｉ 是路径的第ｉ 段，ｎ 是轨迹长度。参与者可以从Ｔ 中选择一系列ｅｉ 组路段进行报告。未要求报告路段集合中的相邻元素必须是连续轨迹。

４ 威胁模型和假设

４．１ 威胁模型

假设攻击者能够使用某些地图软件获取当前路况，收集用户的匿名区域和时间点，并观察用户属于哪个位置，但不知道哪个位置属于哪个用户。由于攻击者具有一定的学习能力，因此可以在ＬＢＳ 中学习一些隐私保护算法。因为一些常见的算法是公开的，威胁模型基于贝叶斯攻击，即攻击者获得上述知识并结合用户发布的路段来预测和推断用户的真实轨迹。

４．２ 假设

在威胁模型中，若没有观察者能够通过嗅探通信信道来推断用户敏感信息的威胁，则可以通过一些现有的安全方案（如安全套接字层、加密、哈希等）来实现。该方案的应用场景是在城市交通中，如交通密度监测和预测、城市规划等。换言之，就是需要掌握一定的车辆密度，而且轨道区段不能过短。实际上，批量处理路段发布计划不会只发送２ 个或３ 个路段。

５ 拟议方案

５．１ 存在的问题和设计目标

通过对已有算法进行分析，发现虽然现有算法改进了传统的噪声添加，在一定程度上解决了运动轨迹的失真，确保了一定的趋势性和实用性，但其噪声仍然逐点添加，隐私预算也逐渐增加。这并不适用于发布更多的位置轨迹。同时，其虽然增加了适当的采样距离和方向，但经过实验发现，效果并不理想。例如，某些方案在一定程度上隐藏或修改数据，从而影响数据的可用性。

５．２ 空投运输车辆的产生

当车辆在道路上行驶时，如果车辆需要在一定时间段内上传自己的轨迹Ｔ ＝｛ｅ１，ｅ２，…，ｅｎ｝，那么当车辆ＶＡ 收集轨迹的每个部分时，它将在一定规则下选择邻域。另一车辆ＶＢ 代表其自己部分的车辆，并且对应于ＶＢ 的部分被保存为要释放的部分。

５．３ 空投运输车辆的选择

车辆ＶＡ 通过车联网收集一定范围内车辆的位置信息，并将在未来Ｔ 中满足轨迹相似差异的车辆作为自己的车辆。位置信息包括位置坐标ｘ，ｙ，速度ｖ 和方向ｄ。基于当前位置ＬｏｃＡ 计算时间Ｔ 之后的预测位置ＬｏｃＡｄｅｓ。然后计算周围每辆车距ＬｏｃＡｄｅｓ 的距离Ｄｉｓ｛ＬｏｃＡｄｅｓ，ＬｏｃＢ｝。但是不能随机选择一个路段将其作为发布路段的候选，因为攻击者已掌握这样的保护方法和地图信息。

６ 结束语

随着车联网和各种位置服务的快速发展，车辆用户的位置隐私和轨迹隐私问题日益突出。研究表明，大部分人的轨迹在一定程度上都具有一定的规律或模式，通过用户的时空特征和特殊敏感点，可以更准确地推断出用户的真实轨迹，从而导致隐私问题，因此任何不恰当的轨迹数据发布都可能造成用户隐私泄露。实际上，該计划有许多改进之处。比如，需要轨迹发生偏差的城市的大量信息，如路况、过往交通历史，甚至是针对不同日期、不同时间段的调整或考虑设计新的规则来实现车辆轨迹保护。

数据收集中心可以根据自己的路段划分城市道路，而不是使用现有的地图。在数据收集阶段，报告的部分将更加标准化；在数据上传阶段，这些基站被汇总上传至上述数据中心。因此，为解决每个问题，需要花费大量的时间来不断地探索和完善。

参考文献：

［１］ 徐振强，王家耀，杨卫东．面向轨迹数据发布的隐私保护技术研究进展［Ｊ］．测绘科学技术学报，２０１８，３５（１）：８７⁃９３．

［２］ 贾明正．面向数据发布的轨迹隐私保护技术研究［Ｄ］．成都：西南交通大学，２０１６．

作者简介：

随培杰（１９８６—），本科，研究方向：计算机应用技术。

李洪涛（ １９９５—）， 硕士， 助教， 研究方向： 计算机网络安全。