廖龍龍，葉 強，2，路 紅

（1.南京體育學院 信息科學與技術教研室，江蘇 南京210014；2.中國科學技術大學信息科學與技術學院，安徽 合肥230027；3.南京理工大學 紫金學院，江蘇 南京210046）

0 引 言

利用RFID技術、傳感器技術、移動計算技術、移動定位技術等獲取真實世界中真實物理實體對象的靜態(tài)信息及其相關時空的動態(tài)信息是物聯(lián)網(wǎng)技術應用的基礎，而這些感知數(shù)據(jù)往往涉及個人信息、敏感物體信息、實時位置信息、商業(yè)機密等海量隱私數(shù)據(jù)。物聯(lián)網(wǎng)感知節(jié)點安全訪問控制機制的不完善、移動感知網(wǎng)絡拓撲結構的實時動態(tài)變化、非法惡意感知節(jié)點的加入、無線通信網(wǎng)絡與傳感器網(wǎng)技術及相關數(shù)據(jù)傳輸協(xié)議自身的安全漏洞、數(shù)據(jù)挖掘與智能信息處理的惡意使用等，使得物聯(lián)網(wǎng)感知數(shù)據(jù)在采集、傳輸、共享與處理的過程中面臨被惡意篡改、偽造、泄漏、跟蹤、利用等安全威脅［1］。同時，由于物聯(lián)網(wǎng)感知數(shù)據(jù)不僅包括靜態(tài)物體對象與真實用戶的靜態(tài)信息，而且包含與其相關的實時位置、查詢內(nèi)容、服務響應結果等動態(tài)信息，惡意攻擊者可利用這些感知數(shù)據(jù)之間的邏輯關系推理得到更多其他隱私數(shù)據(jù)，如根據(jù)用戶家庭中的智能家居信息推知該用戶的真實身份、家庭收入、健康狀況、社交圈子等。物聯(lián)網(wǎng)移動感知服務能夠明顯改善用戶使用移動互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、無線網(wǎng)絡等服務的體驗，其在精準營銷、智能交通、遠程醫(yī)療、智能家居、計算廣告、個性化推薦等領域的應用也越來越泛［2，3］，如何保證移動感知服務相關隱私數(shù)據(jù)的可控性、可信性、可管性、機密性、完整性等，已成為目前物聯(lián)網(wǎng)移動感知服務大規(guī)模應用過程中亟待解決的重要問題。

1 相關研究分析

數(shù)據(jù)挖掘技術的發(fā)展以及云計算平臺的高性能計算能力和智能推理能力，致使傳統(tǒng)身份認證技術、訪問控制技術等安全技術只能防止非法用戶對隱私數(shù)據(jù)的直接獲取，物聯(lián)網(wǎng)移動感知環(huán)境的復雜性和動態(tài)變化特性使得利用惡意感知節(jié)點竊取隱私數(shù)據(jù)或使用智能信息處理技術間接推理獲取敏感數(shù)據(jù)成為隱私泄漏的主要方式。目前，隱私保護方法主要分為數(shù)據(jù)加密、限制發(fā)布、數(shù)據(jù)隱蔽，但許多數(shù)據(jù)隱私保護技術融合了多種方法，很難將其簡單得歸為其中的某一類。

文獻 ［4］采用對稱加密算法、Hash函數(shù)與隨機函數(shù)相結合的方法設計了一種面向RFID標簽、RFID閱讀器及其RFID感知數(shù)據(jù)管理系統(tǒng)的三方安全認證協(xié)議，利用認證過程中創(chuàng)建的會話密鑰防止RFID隱私數(shù)據(jù)的泄漏、惡意跟蹤與監(jiān)視等。文獻 ［5，6］提出采用全同態(tài)加密技術對移動感知服務相關的數(shù)據(jù)進行加密處理，物聯(lián)網(wǎng)感知服務提供者無需對各類加密數(shù)據(jù)進行解密即可直接進行智能處理并返回用戶所期望的處理結果，使物聯(lián)感知服務商在提供高質(zhì)量服務的同時確保相關隱私數(shù)據(jù)明文不會被惡意利用或外泄。文獻 ［6］提出利用安全多方計算實現(xiàn)物聯(lián)網(wǎng)移動感知服務的數(shù)據(jù)隱私安全保護。這些數(shù)據(jù)加密技術雖然能夠保證數(shù)據(jù)在網(wǎng)絡傳輸和智能處理中的隱私安全，但數(shù)據(jù)加密和解密過程需要較長的計算時間且需要耗費一定的存儲空間和計算資源，而物聯(lián)網(wǎng)感知移動服務終端設備的存儲能力和信息處理能力都比較有限，在實際應用過程中面臨響應時延較長、移動感知節(jié)點和移動終端服務設備的性能減弱等問題。

P.Samarati和L.Sweeney提出的k－匿名算法是具有代表性的數(shù)據(jù)匿名技術，通過使用刪除標識符的方式發(fā)布數(shù)據(jù)，從而在數(shù)據(jù)發(fā)布過程中保護敏感數(shù)據(jù)與實體對象真實身份之間的對應關系，防止背景知識攻擊和一致性攻擊對隱私數(shù)據(jù)的獲?。?，9］。文獻 ［10］在分析標識符對敏感屬性影響的k－匿名算法、L－diversity匿名化原則、T－closeness匿名化原則等基礎上，基于信息損失懲罰思想提出了一種滿足L－diversity匿名化原則的k－匿名算法，能夠保護用戶查詢服務中的隱私數(shù)據(jù)安全。文獻 ［11］針對k－匿名算法中敏感屬性的個性化設置，提出了一種可實現(xiàn)數(shù)據(jù)發(fā)布中隱私數(shù)據(jù)個性化保護的多樣k－匿名算法。匿名通信技術將網(wǎng)絡通信節(jié)點的IP地址、路由信息、身份標識等敏感信息進行隱藏，從而實現(xiàn)通信雙方身份匿名、通信關系匿名、位置匿名等，保護網(wǎng)絡數(shù)據(jù)隱私的安全傳輸［12］。為滿足拓撲結構動態(tài)變化、資源有限的物聯(lián)網(wǎng)匿名通信要求，文獻［13］設計了一種可保證傳輸數(shù)據(jù)安全和網(wǎng)絡通信節(jié)點匿名性的無線傳感器網(wǎng)絡匿名通信方案，文獻 ［14］采用網(wǎng)絡編碼和多徑路由技術實現(xiàn)無線匿名網(wǎng)絡通信匿名性與保密性的統(tǒng)一，解決了以往隱私保護算法需進行加密與匿名化兩次操作的問題。

數(shù)據(jù)匿名化技術和匿名通信技術是典型基于限制發(fā)布的隱私保護方法。一方面，它們存在一定程度的數(shù)據(jù)損失，且影響數(shù)據(jù)處理的準確性；另一方面，由于沒有嚴格定義攻擊模型，對攻擊者所具有的知識無法進行量化［15］?；跀?shù)據(jù)隱蔽的差分隱私保護算法是一種靈活、通用、具有堅實數(shù)學理論支撐的隱私保護方法，且定義了嚴格的攻擊模型，對隱私泄漏風險給出了量化評價方法和證明，可解決上述兩類隱私保護方法不適合甚至無法解決的問題，適合于保證物聯(lián)網(wǎng)移動感知服務相關海量數(shù)據(jù)的安全性、可用性、可信性和可控性，提高移動感知服務響應結果的準確性和實時性［16］。本文在分析物聯(lián)網(wǎng)移動感知服務框架的基礎上，針對物聯(lián)網(wǎng)移動感知服務相關數(shù)據(jù)的隱私保護需求，基于差分隱私保護方法研究移動感知服務相關數(shù)據(jù)的隱私安全保護技術。

2 移動感知服務的數(shù)據(jù)隱私保護需求

2.1 移動感知服務框架

基于物聯(lián)網(wǎng)的五層體系架構模型，設計如圖1所示的包含移動感知層、網(wǎng)絡交互層、資源調(diào)度層、智能處理層和感知服務層等的物聯(lián)網(wǎng)移動感知服務框架。

圖1 物聯(lián)網(wǎng)移動感知服務框架

移動感知層主要是通過RFID標簽與閱讀器、真實物體標識碼等靜態(tài)感知節(jié)點以及真實用戶、車輛等移動感知節(jié)點，獲取和近距離傳輸真實物理世界相關實體對象的屬性信息、用戶身份信息、靜態(tài)位置及其活動軌跡、時間和空間信息等感知數(shù)據(jù)。網(wǎng)絡互連層主要利用無線通信網(wǎng)絡、有線數(shù)據(jù)傳輸網(wǎng)絡、移動通信網(wǎng)絡等實現(xiàn)感知數(shù)據(jù)和服務響應結果數(shù)據(jù)的傳輸與交換。資源調(diào)度層是通過感知服務應用API或感知服務中間件接收網(wǎng)絡互連層傳輸來的用戶或終端實體對象發(fā)送的服務請求命令，根據(jù)統(tǒng)一資源管理策略實現(xiàn)智能處理層計算節(jié)點、云數(shù)據(jù)存儲節(jié)點、智能信息處理服務等資源的調(diào)度與實時狀態(tài)監(jiān)控，并將最終的感知服務結果數(shù)據(jù)返回給目標用戶或終端實體對象，從而實現(xiàn)感知服務層的各種移動感知應用服務。

2.2 隱私安全需求

如表1所示，物聯(lián)網(wǎng)環(huán)境中移動感知服務涉及的數(shù)據(jù)隱私主要包括靜態(tài)數(shù)據(jù)、動態(tài)數(shù)據(jù)、派生數(shù)據(jù)三大類。隱私安全保護就是要保護這三類數(shù)據(jù)在采集、傳輸、存儲、處理與發(fā)布過程中的安全，防止被篡改、竊取、泄漏、丟失、干擾等，確保用戶在獲取目標感知服務響應結果的同時，與該服務相關的物品屬性信息以及用戶身份信息、位置信息、個人信息等隱私數(shù)據(jù)的可控性、真實性、完整性。

表1 移動感知服務涉及的數(shù)據(jù)隱私

3 移動感知服務的數(shù)據(jù)隱私保護

3.1 隱私保護模型的設計

如圖2所示，物聯(lián)網(wǎng)移動感知服務的基本模式是終端用戶發(fā)送服務請求到感知服務端，感知服務端對接收到的服務請求進行處理后返回服務響應結果給終端用戶。其中，移動感知服務的終端用戶不僅包括傳統(tǒng)用戶 （人）、而且包括各類感知節(jié)點、被監(jiān)控或被控制的物理實體對象、各種感知服務系統(tǒng)終端平臺等。隱私保護的對象就是終端用戶發(fā)往感知服務端的感知數(shù)據(jù)和查詢請求以及感知服務端反饋給終端用戶的控制信息和查詢結果，防止被非法竊取、泄漏、篡改等，保證數(shù)據(jù)的完整性、可信性、機密性和可控性。

圖2 移動感知服務的數(shù)據(jù)隱私保護模型

差分隱私保護是一種通過添加噪聲使原始數(shù)據(jù)失真的隱私保護技術，在數(shù)據(jù)集中添加或刪除某一個記錄之后并不會影響查詢處理的結果，而且所加入的噪聲大小與數(shù)據(jù)集大小無關，對于大型數(shù)據(jù)集僅需添加少量噪聲即可達到很好的隱私保護效果［17］。例如，文獻 ［17］在云計算平臺上采用差分隱私保護技術和幾種信息流控制技術開發(fā)了一種稱為Airavat的隱私保護系統(tǒng)，可防止云數(shù)據(jù)計算過程中的隱私數(shù)據(jù)泄漏，并支持對云計算結果的自動解密；文獻［19］以Facebook為例研究差分隱私保護方法在線個性化網(wǎng)絡廣告數(shù)據(jù)發(fā)布中的隱私保護；文獻 ［20］采用差分隱私保護技術保護基于協(xié)同過濾的個性化推薦系統(tǒng)用戶的隱私安全，實現(xiàn)了社會感知計算環(huán)境中的數(shù)據(jù)隱私保護。面向移動感知服務的數(shù)據(jù)隱私保護流程為終端用戶在提交服務請求Q的同時添加一個利用Laplace分布函數(shù)生成的隨機噪聲，感知服務端對添加了噪聲的服務請求進行處理并將處理結果R返回給終端用戶。這樣，物聯(lián)網(wǎng)移動感知服務平臺的網(wǎng)絡交互層、資源調(diào)度層、智能處理層并不能得知準確的服務請求數(shù)據(jù)Q和服務響應結果數(shù)據(jù)R，應用服務層只有得到終端用戶持有的隱私參數(shù)才能得到準確的移動感知服務數(shù)據(jù)內(nèi)容，從而保護海量物聯(lián)網(wǎng)移動感知服務的數(shù)據(jù)隱私安全。

3.2 隱私保護模型的算法實現(xiàn)

設保密參數(shù)為ε，移動感知服務計算函數(shù)為f，服務請求數(shù)據(jù)集為Q，輸入的服務請求函數(shù)即為f （Q），實際得到的服務響應結果為R，K為隨機變量，通過在輸入的服務請求函數(shù)f （Q）上添加滿足Laplace分布的隨機噪聲Noise即可得到ε－差分隱私保護函數(shù)［21］

其中，對于兩個相鄰服務請求數(shù)據(jù)集A和B來說，移動感知服務函數(shù)f的隱私敏感程度 （Sensitivity）Δf的計算方法為［22］

值得注意的是ε－差分隱私保護函數(shù)R的隱私敏感程度Δf對于大多數(shù)服務請求來說都是非常小，且與服務請求數(shù)據(jù)集Q無關；加入的隨機噪聲Noise與隱私敏感程度Δf成正比、與保密參數(shù)ε成反比［23］。在滿足差分隱私保護算法要求時，保密參數(shù)ε的值越小，加入的隨機噪聲就越多，對于海量移動感知服務數(shù)據(jù)的隱私保護就越好，同時終端用戶可根據(jù)隱私保護的實際需求設置保密參數(shù)ε實際值的大小，從而控制移動感知服務的數(shù)據(jù)隱私保護程度。

3.3 安全性與性能分析

對于物聯(lián)網(wǎng)移動感知服務的差分隱私保護來說，即使攻擊者已知服務請求數(shù)據(jù)集中除一條記錄之外的所有其他數(shù)據(jù)內(nèi)容，依然可保護這條數(shù)據(jù)記錄的隱私安全。同時，本文所設計的數(shù)據(jù)隱私保護模型采用了比較靈活的ε－差分隱私保護算法，不僅可提高移動感知服務響應結果的準確性，而且只需在數(shù)據(jù)感知層提交服務請求數(shù)據(jù)時根據(jù)用戶對隱私保護要求 （即終端用戶設置的保密參數(shù)ε）加入一個相應的隨機噪聲即可實現(xiàn)相關服務請求數(shù)據(jù)和響應結果數(shù)據(jù)的隱私保護，使物聯(lián)網(wǎng)移動感知服務的數(shù)據(jù)隱私保護不再因終端用戶設備的局限性而受限甚至影響用戶終端設備的正常性能。

4 結束語

針對物聯(lián)網(wǎng)移動感知服務框架及其涉及的海量數(shù)據(jù)隱私安全需求進行分析，研究在保證感知服務質(zhì)量和響應速度的同時，如何采用差分隱私技術保護移動感知服務的數(shù)據(jù)隱私安全。數(shù)據(jù)隱私保護模型及其實現(xiàn)算法的分析表明，差分隱私保護技術能夠滿足物聯(lián)網(wǎng)移動感知服務中感知數(shù)據(jù)、查詢請求、控制信息、查詢結果等對可信性、機密性和完整性等隱私安全保護要求。

：

［1］Maki.Smart shopper［EB／OL］.［2012－08－06］.http：／／www.makiapps.com／current－projects／.

［2］Stanford University.Stanford mobile aware web project ［EB／OL］. ［2012－08－06］.http：／／www.stanford.edu／dept／its／projects／mobile／aware／info／.

［3］HE Xin，SONG Yalin，AN Jian，et al.Study on Internet of things technologies based on mobile sense ［J］.Application Research of Computers，2011，28 （7）：2407－2410 （in Chinese）.［何欣，宋亞林，安健，等.移動感知物聯(lián)網(wǎng)技術研究 ［J］.計算機應用研究，2011，28 （7）：2407－2410.］

［4］ZHU Weiling，YU Jianping.A privacy preserving three－party authentication protocol for RFID systems in the internet of things ［J］.Journal of Shenzhen University Science and Engineering（Science ＆Engineering Edition），2012，29 （2）：95－99 （in Chinese）.［朱煒玲，喻建平.物聯(lián)網(wǎng)RFID系統(tǒng)隱私保護三方認證協(xié)議 ［J］.深圳大學學報 （理工版），2012，29 （3）：95－99.］

［5］Vladimir Oleshchuk.Internet of things and privacy preserving technologies［C］／／Proceedings of the 1st International Conference on Wireless Communication，Vehicular Technology，Information Theory and Aerospace ＆ Electronic Systems Technology.Piscataway，NJ，USA：IEEE，2009：336－340.

［6］QIAN Ping，WU Meng.Survey of privacy preserving data mining methods based on homomorphic encryption ［J］.Application Research of Computers，2011，28 （5）：1614－1617 （in Chinese）.［錢萍，吳蒙.同態(tài)加密隱私保護數(shù)據(jù)挖掘方法綜述 ［J］.計算機應用研究，2011，28 （5）：1614－1617.］

［7］BAO Lei，ZHANG Daiyuan，WU Jiabao.Internet of things and privacy preserving technologies ［J］.Journal of Electronic Science and Technology，2010，23 （7）：110－112 （in Chinese）. ［暴磊，張代遠，吳家寶.物聯(lián)網(wǎng)與隱私保護技術［J］.電子科技，2010，23 （7）：110－112.］

［8］WANG Pingshui，WANG Jiandong.Progress of research on anonymization privacy－preserving techniques ［J］.Journal of Application Research of Computers，2010，27 （6）：2016－2019（in Chinese）.［王平水，王建東.匿名化隱私保護技術研究進展 ［J］.計算機應用研究，2010，27 （6）：2016－2019.］

［9］XU Yong，WANG Hao，LI Dongqin.A survey on anonymous privacy preserving method for data publishing ［J］.Journal of Intelligence，2011，30 （8）：128－133 （in Chinese）.［徐勇，王浩，李東勤.數(shù)據(jù)發(fā)布領域匿名隱私保護相關技術研究 ［J］.情報雜志，2011，30 （8）：128－133.］

［10］ZHU Qing，ZHAO Tong，WANG Shan.Privacy preservation algorithm for service－oriented information search ［J］.Chinese Journal of Computers，2010，33 （8）：1315－1324 （in Chinese）.［朱青，趙桐，王珊.面向查詢服務的數(shù)據(jù)隱私保護算法 ［J］.計算機學報，2010，33 （8）：1315－1324.］

［11］LIU Yinghua，LIU Yongbin，LI Guangyuan，et al.An enhanced personalized privacy preserving k－anonymity model［J］.Microelectronics ＆Computer，2011，28 （8）：4－8 （in Chinese）. ［劉英華，劉永彬，李廣原，等.一種增強的個性化匿名隱私保護模型 ［J］.微電子學與計算機，2011，28 （8）：4－8.］

［12］WU Zhenqiang，ZHOU Yanwei，QIAO Zirui.A controllable and trusted anonymous communication scheme ［J］.Chinese Journal of Computers，2010，33 （9）：1686－1702 （in Chinese）.［吳振強，周彥偉，喬子芮.一種可控可信的匿名通信方案 ［J］.計算機學報，2010，33 （9）：1686－1702.］

［13］ZHANG Zhiming，DENG Jiangang，ZOU Chengwu，et al.Secure and effective anonymous communication scheme for wireless sensor network ［J］.Journal of Computer Applications，2009，29 （9）：2351－2354 （in Chinese）. ［章志明，鄧建剛，鄒成武，等.安全有效的無線傳感器網(wǎng)絡匿名通信方案 ［J］.計算機應用，2009，29 （9）：2351－2354.］

［14］WU Zhenqiang，MA Yalei.A novel anonymous communication model：Coding mix ［J］.Journal of Wuhan University（Natural Science Edition），2011，57 （5）：401－407 （in Chinese）.［吳振強，馬亞蕾.編碼混淆：一種新型匿名通信模型 ［J］.武漢大學學報 （理學版），2011，57 （5）：401－407.］

［15］QIAN Ping，WU Meng.A survey on privacy preservation in IoT ［DB／OL］. ［2012－09－11］.http：／／www.cnki.net／kcms／detail／51.1196.TP.20120911.1704.068.html（in Chinese）.［錢萍，吳蒙.物聯(lián)網(wǎng)隱私保護研究與方法綜述 ［DB／OL］.［2012－09－11］.http：／／www.cnki.net／kcms／detail／51.1196.TP.20120911.1704.068.html.］

［16］LI Yang，WEN Wen，XIE Guangqiang.Survey of research on differential privacy ［J］.Application Research of Compu－ters，2012，29 （9）：3201－3205 （in Chinese）.［李楊，溫雯，謝光強.差分隱私保護研究綜述 ［J］.計算機應用研究，2012，29 （9）：3201－3205.］

［17］Moritz Hardt，Katrina Ligett，F(xiàn)rank McSherry.A simple and practical algorithm for differentially private data release ［DB／OL］.［2012－11－25］.http：／／arxiv.org／pdf／10－12.4763v2.pdf.

［18］Roy I，Ramadan H E，Setty S T V，et al.Airavat：Security and privacy for MapReduce ［DB／EL］.［2012－04－07］.http：／／www.cs.utexas.edu／users／witchel／pubs／roy10nsdi－airavat.pdf.

［19］Yehuda Lindell，Eran Omri.A practical application of deferential privacy to personalized online advertising ［ED／OL］.［2011－03－30］.http：／／eprint.iacr.org／2011／152.pdf.

［20］Frank McSherry，Ilya Mironov.Differentially private recommender systems：Building privacy into the netflix prize contenders ［ED／OL］.［2012－09－27］.http：／／arxiv.org／pdf／1111.2885.pdf.

［21］Rob Hall，Alessandro Rinaldo，Larry Wasserman.Random differential privacy ［J］.Journal of Privacy and Confidentiality，2011 （12）：1－12.

［22］Shoaran M，Thomo A，Weber J.Differential privacy in practice ［C］／／Proceedings of Secure Data Management，Istanbul，Turkey，2012，7482 （8）：14－24.

［23］Pranav Dandekar，Nadia Fawaz，Stratis Ioannidis.Privacy auctions for recommender systems ［EB／OL］. ［2012－11－11］.http：／／arxiv.org／pdf／1111.2885v2.pdf.