When Mobile Crowdsensing Meet Privacy

When Mobile Crowdsensing Meet Privacy

1.Abstract

MCS 对于各种感知应用现在已经成为了一种有效的收集大量数据的模型，但是手机用户和平台的互动，数据发布给第三方，都给MCS系统的隐私泄露方面造成了几个挑战。例如：用户身份和位置信息的泄露。尽管已经有不少工作于任务分配，激励，数据上传阶段中的隐私问题进行探索，但是对MCS任然缺少一个完整全面的隐私保护框架贯穿用户参与感知任务的隐私保护。这篇文章中，我们把每一个MCS感知任务的生命周期分为四个阶段：任务分配，激励，数据收集，数据发布，并且设计了一个隐私保护框架保护用户整个MCS周期中的隐私。

2.Introduction

这篇文章中我们学习MCS的隐私泄露问题的背景是平台不可信。

3.典型的MCS系统架构及其生命周期

4.MCS感知任务的生命周期

1. 任务分配：任务分配就是选取特定的用户参与特定的时空感知任务，平台收到用户请求者的任务之后将任务分配给合适的用户保证任务及时完成。
   一般而言，平台旨在最大化收益，因此用户的位置信息在任务分配阶段有着重要的作用，因为任务趋向于分配给最近的用户。
2. 激励：在完成一个群智感知任务中，用户需要消耗资源，例如：手机的电量，通信的流量，并且还可能泄露一些隐私信息，因此需要一个激励机制激励用户参与到任务中去。
3. 数据采集：在MCS中的任务通常是一个时空任务，这意味着用户需要在特定的时间移动到特定的地点采集数据并且上床感知数据。
4. 数据发布：平台将数据发布给第三方，用于提供高质量的服务或者数据挖掘目的，对这些数据进行数据挖掘可以挖掘出有用的信息，甚至是个人的敏感信息。

5.MCS中的隐私威胁

1. 任务分配阶段：用户的身份，位置信息可能被泄露，在这个阶段平台在分配任务之前需要用户上传位置信息，因为平台为了最大化收益需要将任务分配给最近的用户，减少给用户的报酬支出，所以需要用户的位置信息。在这个阶段用户的身份，位置信息暴露给了平台。
2. 激励阶段：用户的位置信息可能泄露，在此阶段，用户出价与其他用户竞争感兴趣的任务，用户的任务出价主要取决于用户与任务地点的距离，所以平台能根据用户的多次出价推断出用户的真实位置。
3. 数据采集阶段：在此过程中，当平台不受信任时，平台将获得用户的身份和位置以及用户的感知数据，并透露给第三方。这些数据进行数据挖掘可能获得更多的用户数据。
4. 数据发布阶段：在数据发布中，聚集的感测数据可能会进一步发布给第三方以进行数据挖掘。 原始感测数据甚至汇总的统计信息应在发布之前进行清理，因为它们可能包含敏感信息。 但是，当平台不受信任时，该操作不应该由平台执行清理。在这种情况下，可以将不信任平台下的隐私保护数据收集和数据发布视为一个过程
   总的来说，在MCS整个周期中主要有三种隐私威胁：身份隐私，位置隐私，感知数据隐私。

6.MCS 隐私保护框架

1. 任务分配阶段：
   身份隐私：每个用户采用一个“假名变换策略（ pseudonym changing strategy ）”生成动态变化的假名代替真实的名字，这会阻止对用户进行唯一标识。
   位置隐私：每个用户使用Laplace机制混淆位置信息后，向平台上传模糊位置，模糊距离，以及用户额隐私保护级别而不是用户的真实位置信息。
   我们将这种隐私保护设置下的任务分配问题看作是一个最优化问题——最小化用户到带有混淆信息任务的总的距离，即是知道用户的真实位置这也是一个NP问题，因此我们提出了一个次优解——找到最有可能最接近任务的用户。
2. 激励阶段：
   基于需求的实时隐私保护激励机制：数据采集阶段被分为多个回合，每个回合，平台都会发布任务，并根据完成进度，附近的用户，任务的截止期限动态地更新每个任务的报酬预算。然后进行任务分配，任务分配之后平台根据任务的报酬预算，移动成本，用户的隐私预算决定支付给用户的报酬。
   激励机制应该遵守以下两个原则：
   1.应给需求较高的任务更多的报酬预算，以增加其吸引力。
   2.隐私保护要求较低的用户应获得更多的报酬。
   对于混淆的位置或距离，我们提出了一种Vickrey付款确定机制，通过考虑移动的距离和隐私要求来确定适当的报酬。请注意，建议的隐私保护激励机制结合了我们的隐私保护激励机制的优势。
3. 数据采集，发布阶段：因为平台是不可信的，所以我们将数据的采集，发布看做一个进程。
   感知数据保护: 个性化的本地差分隐私保护机制——local differential privacy (LDP)，基本思想是，每个用户在将扰动的数据上传到平台之前，根据其隐私要求在本地用LDP扰动其感知数据。此外，每个用户将其个人隐私参数上传到平台，该平台将根据隐私参数对用户进行分组。 然后，每个用户采用个性化的随机响应算法对原始数据进行扰动，并使用匿名连接技术将扰动的数据上传到平台。 这样，只有用户自己才能知道其原始数据和身份，因此可以保护用户的隐私。
   Statistics protection：我们在不受信任的平台和用户之间引入了代理层，使用户可以通过代理报告其感知数据，而不是直接向平台报告。每个代理本地使用 w-event e-differential privacy 扰动数据，然后发送给平台。这对数据的可用性造成了很大的挑战，为了解决该问题，我们采用了一些机制提高用户的可用性：我们首先为w-event e-differential privacy 机制提出了一种基于代理的预算分配机制，以减少不必要的隐私损失，然后采用过滤机制来提高发布数据的准确性。

7.总结

用户身份隐私威胁：采用假名变化策略，匿名连接技术。
位置隐私威胁：使用混淆的位置和距离，Laplace 机制。
感知数据威胁：使用差分隐私扰动数据后再上传给平台。