基于博弈分析的眾包交通監(jiān)測隱私保護(hù)機(jī)制

何云華　　孫利民*　　楊衛(wèi)東　　李 紅(西安電子科技大學(xué)計(jì)算機(jī)學(xué)院　西安　710071)(中國科學(xué)院信息工程研究所北京市物聯(lián)網(wǎng)安全重點(diǎn)實(shí)驗(yàn)室　北京　100093)

?

基于博弈分析的眾包交通監(jiān)測隱私保護(hù)機(jī)制

何云華①②孫利民*①②楊衛(wèi)東②李 紅②
①(西安電子科技大學(xué)計(jì)算機(jī)學(xué)院西安710071)
②(中國科學(xué)院信息工程研究所北京市物聯(lián)網(wǎng)安全重點(diǎn)實(shí)驗(yàn)室北京100093)

摘要：眾包交通監(jiān)測利用移動(dòng)終端上傳的GPS位置信息實(shí)時(shí)感知交通狀況，具有廣闊的應(yīng)用前景。然而，上傳的GPS信息會(huì)泄露用戶隱私。該文基于博弈論分析用戶上傳行為，提出隱私保護(hù)的優(yōu)化上傳機(jī)制。首先建立用戶上傳行為與路況服務(wù)質(zhì)量和隱私泄露之間的關(guān)系，據(jù)此構(gòu)建不完全信息博弈模型，以便分析用戶上傳行為；然后，根據(jù)用戶上傳博弈納什均衡，提出用戶終端可控的隱私保護(hù)優(yōu)化上傳機(jī)制。理論分析表明，該文提出的上傳機(jī)制最大化用戶效用，具有激勵(lì)相容特性；通過真實(shí)數(shù)據(jù)實(shí)驗(yàn)驗(yàn)證，上傳機(jī)制能夠提高用戶的隱私保護(hù)度，以及算法的激勵(lì)相容特性。

關(guān)鍵詞：眾包監(jiān)測；位置隱私；不完全信息博弈；均衡

1　引言

智能手機(jī)在人們生活中迅速發(fā)展，預(yù)計(jì)2015年全球智能手機(jī)用戶持有量將達(dá)到98.2億。智能手機(jī)大都嵌入GPS、攝像頭、加速度等傳感器，能夠采集人類活動(dòng)和周圍環(huán)境多類數(shù)據(jù)。利用大量的個(gè)人智能手機(jī)和無線網(wǎng)絡(luò)基礎(chǔ)設(shè)施，來收集和分析超大規(guī)模感知數(shù)據(jù)的方式，稱為眾包[1]。眾包方式將顛覆傳統(tǒng)的實(shí)時(shí)路況信息采集技術(shù)。例如，Google服務(wù)器利用Android手機(jī)上的地圖軟件，獲取GPS抽樣信息，估計(jì)道路上的交通狀況。相對于傳統(tǒng)路況感知方式，如探測車輛、地感線圈、交通照相機(jī)等，眾包交通監(jiān)測具有低代價(jià)、無需部署、高覆蓋區(qū)域的特點(diǎn)，有望成為未來交通監(jiān)測的主要手段。

眾包交通監(jiān)測的廣泛應(yīng)用必須考慮以下3個(gè)方面：(1)用戶隱私；(2)交通狀況預(yù)測準(zhǔn)確性；(3)用戶上傳激勵(lì)機(jī)制。其中用戶隱私與交通狀況預(yù)測是一對矛盾體，即道路上上傳用戶越多，且每個(gè)用戶上傳次數(shù)越多，路況估計(jì)越準(zhǔn)確；但是用戶上傳越頻繁，也越容易泄露自己的位置隱私。

然而，目前的眾包交通監(jiān)測系統(tǒng)，如文獻(xiàn)[2，3]都采用匿名技術(shù)保護(hù)用戶隱私。MONTJOYE等人[4]和CHRIS等人[5]對移動(dòng)用戶軌跡的研究表明，盡管匿名消除了明顯的標(biāo)識符，但利用用戶移動(dòng)特性和上傳數(shù)據(jù)的時(shí)空特性仍然能夠跟蹤用戶。跟蹤攻擊防御方法可分為集中式和分布式兩種。集中式防御由中心服務(wù)器對軌跡數(shù)據(jù)做處理，如減少記錄數(shù)據(jù)[6]、添加噪聲數(shù)據(jù)[7]、空間混淆[8]等。然而，一旦中心服務(wù)器受到攻擊，用戶隱私將會(huì)泄露[6]。分布式防御方法，不依賴于中心隱私服務(wù)器。Mix域方法讓用戶進(jìn)入Mix域時(shí)更新假名，不發(fā)送位置信息到服務(wù)器，使得攻擊者難以區(qū)分Mix域中的用戶，PPLANISAMY等人[9]考慮車輛密度、Mix形狀、位置粒度、移動(dòng)限制等因素，建立適應(yīng)于道路網(wǎng)的Mix域模型。LIU等人[10]提出了最優(yōu)放置Mix域的方法。然而，Mix域中的用戶不上傳位置信息，嚴(yán)重影響了路況估計(jì)質(zhì)量。文獻(xiàn)[11]提出節(jié)點(diǎn)在路段上設(shè)定的標(biāo)記點(diǎn)更新位置，標(biāo)記點(diǎn)的放置確保了節(jié)點(diǎn)隱私保護(hù)的最小需求距離，并且避免一些隱私特別敏感的位置。由于不同節(jié)點(diǎn)在同一位置的隱私級別不同，而且節(jié)點(diǎn)隱私隨時(shí)間和位置變化，因此標(biāo)記點(diǎn)很難滿足所有用戶隱私的要求。

本文兼顧路況服務(wù)質(zhì)量和用戶個(gè)性化隱私需求，基于博弈理論分析了終端用戶上傳行為與路況服務(wù)質(zhì)量和隱私泄露之間的聯(lián)系，提出了終端用戶隱私保護(hù)的優(yōu)化上傳機(jī)制。由于用戶通常不知道周圍道路上其他用戶的隱私保護(hù)度，因此我們采用不完全信息博弈對位置隱私泄漏建模。根據(jù)博弈納什均衡存在性與唯一性和服務(wù)器提供的路況服務(wù)反饋信息，提出了移動(dòng)用戶的優(yōu)化上傳策略。該機(jī)制不依賴中心隱私服務(wù)器，每個(gè)用戶權(quán)衡路況估計(jì)準(zhǔn)確性和位置隱私，獨(dú)立地決定是否上傳。該機(jī)制在滿足基本路況估計(jì)需求的情況下，最大化用戶效用，為用戶提供強(qiáng)隱私保護(hù)機(jī)制。

2　模型假定與問題描述

圖1為實(shí)時(shí)路況監(jiān)測系統(tǒng)的架構(gòu)。移動(dòng)終端用戶實(shí)時(shí)將GPS抽樣信息＜location，speed，direction，timestamp＞上傳服務(wù)器；服務(wù)器根據(jù)用戶上傳信息估計(jì)當(dāng)前交通狀況，并為用戶提供實(shí)時(shí)路況信息和導(dǎo)航服務(wù)。系統(tǒng)將路網(wǎng)分成單個(gè)路段，特別劃分了直道、岔口、十字路口等3種典型路段。服務(wù)器對路況估計(jì)的準(zhǔn)確性Q，依賴于路段上移動(dòng)終端用戶上傳的數(shù)量k[11]。假定用戶集愿意提供GPS抽樣，因?yàn)樗鼈兤谕玫捷^好的Q值。由于移動(dòng)終端被不同的個(gè)體擁有，假定用戶具有不同的隱私級LP是合理的，并且用戶上傳GPS抽樣會(huì)帶來一定的位置隱私損失c。

圖1　眾包交通監(jiān)測模型

2.1 路況服務(wù)

路況估計(jì)準(zhǔn)確性Q與對應(yīng)路段的上傳用戶數(shù)量k相關(guān)，k越大，Q值越大。通過真實(shí)數(shù)據(jù)[12]的實(shí)驗(yàn)發(fā)現(xiàn)，某一路段i上速度估計(jì)的均方差(RMS)與該路段的車輛上傳數(shù)量ki呈單調(diào)遞減關(guān)系。令路段i上的路況估計(jì)準(zhǔn)確性，其中1RMS表示歸一化的速度均方差，Qi與ki的關(guān)系可表示為

其中，α，β的值可根據(jù)實(shí)驗(yàn)獲取的ki和Qi值，通過log函數(shù)擬合得到。如圖2所示，直道α=5.949×105，β=1.858×104，岔口α=9.397×105，β=1.855×104，十字路口α=1.330×106，β=1.855×104。

我們建立上傳策略與服務(wù)質(zhì)量之間的關(guān)系式。每個(gè)用戶有2種可能的策略si：上傳(Y)或不上傳(N)，根據(jù)式(1)，得到路況服務(wù)質(zhì)量：

其中當(dāng)x=y時(shí)，I(x，y)=1，否則I(x，y)=0。

2.2 位置隱私

2.2.1跟蹤攻擊 攻擊者從多個(gè)用戶的匿名GPS抽樣序列中，提取由同一用戶產(chǎn)生的GPS抽樣序列。攻擊者關(guān)聯(lián)先前的上傳和下一次上傳，找出最接近于預(yù)測或者最有可能的上傳數(shù)據(jù)，可表示為[5]

次上傳位置為x的條件概率。

2.2.2身份標(biāo)識攻擊 攻擊者在給定的某條軌跡情況下，根據(jù)邊信息[5]推斷出發(fā)布該軌跡的用戶。給定某條軌跡L，可計(jì)算[5]

2.2.3 位置隱私量化用戶面臨著跟蹤攻擊和身份標(biāo)識攻擊，因此位置隱私可量化為跟蹤攻擊不正確性[13]和身份標(biāo)識的不確定性[14，15]。采用正確位置xi與基于的估計(jì)值之間的期望距離，來量化跟蹤攻擊的不正確性(uncorrectness)[13]。表示如式(5)：

熵H給出了在P中查明唯一結(jié)果IDi的難易程度。熵值越高，攻擊者的確定性(certainty)越低。當(dāng)滿足均勻分布時(shí)，熵值達(dá)到最大值。

歸一化得到，用戶i在決定上傳與否前的位置隱私：

用戶上傳數(shù)據(jù)會(huì)帶來一定的位置隱私損失。假設(shè)用戶i上傳帶來的隱私損失為ci，用戶隱私度可表示為

2.3 問題描述

(1)用戶i可能不知道路段上其他用戶的隱私度；

(2)如何估計(jì)路段上的最低服務(wù)質(zhì)量需求Qmin。

針對因素(1)，我們采用不完全信息博弈[14]引入自然作為參與者，為路段上用戶分配一個(gè)類型θ，服從同一概率分布f(θ)，類型θ表示用戶在該路段上的隱私度。每個(gè)用戶知道路段上其他用戶的隱私度分布，但不知道某個(gè)用戶的隱私度。針對因素(2)問題，我們利用服務(wù)器的全局視角，根據(jù)路段類型和GPS抽樣的平均速度，實(shí)時(shí)估算各路段的最低服務(wù)質(zhì)量需求。雖然我們能夠采用全局算法使得用戶隱私度達(dá)到整體最優(yōu)，但可能存在某個(gè)用戶為增加其效用而改變上傳策略，因此所設(shè)計(jì)的機(jī)制需滿足激勵(lì)相容特性[1]。

3　博弈建模

博弈論適合描述、預(yù)測和解釋參與者的行為，逐漸被應(yīng)用于解決移動(dòng)網(wǎng)絡(luò)中的安全與隱私問題[14，16，17]。黃等人[16]基于演化博弈研究無線網(wǎng)絡(luò)物理層的安全協(xié)作方法。Freudiger等人[14]采用不完全信息博弈，研究Ad hoc網(wǎng)絡(luò)中的位置隱私保護(hù)機(jī)制Mix-zone中節(jié)點(diǎn)的非合作行為。SHOKRI等人[17]采用STACKELBERG博弈優(yōu)化設(shè)計(jì)LBS位置隱私保護(hù)機(jī)制。本文則采用不完全信息博弈論研究眾包交通監(jiān)測中終端用戶的上傳行為，優(yōu)化設(shè)計(jì)終端用戶的隱私保護(hù)上傳機(jī)制。

3.1 納什均衡

由于用戶上傳博弈是不完全信息博弈，因此，首先引入節(jié)點(diǎn)上傳行為博弈的貝葉斯納什均衡[14]的概念：

用戶上傳博弈的貝葉斯均衡，可以通過比較上傳和不上傳的平均收益得到，如式(11)所示。

4　上傳機(jī)制

本節(jié)設(shè)計(jì)強(qiáng)隱私保護(hù)的位置信息上傳機(jī)制UploadGame，不僅提供需求的路況估計(jì)質(zhì)量Q，而且提供強(qiáng)隱私保護(hù)LP，達(dá)到用戶隱私保護(hù)度和路況質(zhì)量的整體最優(yōu)性。該機(jī)制利用服務(wù)器為用戶提供路況質(zhì)量需求反饋，實(shí)時(shí)調(diào)整路況估計(jì)質(zhì)量，避免了因節(jié)點(diǎn)自由決定是否上傳不能滿足路況估計(jì)需求的缺陷。另外，該算法以用戶為中心，節(jié)點(diǎn)能夠自主決定是否上傳，滿足其個(gè)性化的隱私需求。UploadGame算法分為2個(gè)階段，服務(wù)器反饋階段和節(jié)點(diǎn)選擇上傳階段。

(1)服務(wù)器反饋階段：服務(wù)器根據(jù)歷史交通狀況，確定當(dāng)前路況估計(jì)需求，為路段上用戶提供上傳數(shù)量需求的反饋。服務(wù)器首先計(jì)算最低路況估計(jì)質(zhì)量需求Qmin，然后由式(4)可求得需要上傳節(jié)點(diǎn)數(shù)。假定Qmin與歷史估計(jì)的平均速度v之間的關(guān)系滿足正態(tài)分布，那么Qmin可由式(14)給出：其中ρ＞0為系統(tǒng)參數(shù)，μ和σ分別表示速度v的平均值和標(biāo)準(zhǔn)差。式(14)反映了節(jié)點(diǎn)速度很低時(shí)，路況估計(jì)質(zhì)量需求不高，這是由于擁塞時(shí)速度不會(huì)產(chǎn)生很大的變化；速度很高，路況估計(jì)質(zhì)量需求也不高，因?yàn)榇藭r(shí)交通順暢，不需要進(jìn)行精確估計(jì)。當(dāng)然也可采用其他函數(shù)關(guān)系進(jìn)行估計(jì)，如用戶更關(guān)心交通事故發(fā)生時(shí)，可采用Q與Δv之間的函數(shù)關(guān)系來捕捉路況變化。

(2)節(jié)點(diǎn)選擇上傳階段：節(jié)點(diǎn)基于服務(wù)器的反饋，計(jì)算隱私損失閾值cmax，然后根據(jù)該閾值來決定是否上傳。如果節(jié)點(diǎn)知道其他節(jié)點(diǎn)的隱私損失，如，容易得到隱私損失閾值。然而，節(jié)點(diǎn)通常不知道其他節(jié)點(diǎn)的隱私度和隱私損失，因而需要估計(jì)出ck的值。假定隱私度與隱私損失滿足，該式反映了用戶隱私保護(hù)度越高其上傳隱私損失越小，也即長時(shí)間未上傳的節(jié)點(diǎn)上傳所帶來的隱私損失低。由節(jié)點(diǎn)隱私度服從概率分布可得到

算法1UploadGame算法。

//階段1服務(wù)器確定上傳用戶數(shù)量k

(2)計(jì)算上傳用戶數(shù)量k。 根據(jù)式(1)以及當(dāng)前的服務(wù)質(zhì)量需求Q(v)，計(jì)算。

//階段2用戶上傳決策

(3)根據(jù)式(16)以及階段1求得的上傳用戶數(shù)k，計(jì)算上傳閾值。

(5)else si=N。否則節(jié)點(diǎn)不上傳位置信息。

4.1博弈分析

4.1.1納什均衡納什均衡的存在性和唯一性，能夠說明算法1的收斂性，由定理1給出。

定理1算法1存在唯一的納什均衡。

因此函數(shù)g(x)單調(diào)遞減。設(shè)c(x)為[1，n]上的連續(xù)函數(shù)，且滿足。函數(shù)的一階導(dǎo)數(shù)。由算法1得到，根據(jù)介值定理，存在，使得。

所以不上傳總為最優(yōu)策略。

4.1.2激勵(lì)相容下面將證明算法1具有激勵(lì)相容特性[1]。激勵(lì)相容是機(jī)制設(shè)計(jì)中最基本的概念，保證參與者根據(jù)真實(shí)類型作出決策是其最優(yōu)反應(yīng)策略，消除用戶對其他用戶操縱市場給其帶來較大損失的擔(dān)憂。

定義2一個(gè)機(jī)制是激勵(lì)相容的，如果直接顯示機(jī)制存在純策略均衡，其中。

換句話說，每個(gè)用戶通過報(bào)道真實(shí)隱私損失，能夠最大化其效用。

定理2算法1具有激勵(lì)相容特性。

證明設(shè)節(jié)點(diǎn)隱私損失為ci，節(jié)點(diǎn)選擇隱私損失。當(dāng)時(shí)，如果或，將不會(huì)影響用戶的上傳策略，其效用不變；如果，節(jié)點(diǎn)將不上傳，其效用

此時(shí)節(jié)點(diǎn)能夠改變其策略來增加效用，因此節(jié)點(diǎn)謊報(bào)隱私損失會(huì)降低其效用。

此時(shí)節(jié)點(diǎn)能夠改變其策略來增加效用，因此節(jié)點(diǎn)謊報(bào)隱私損失會(huì)降低其效用。

綜上所述，算法1具有激勵(lì)相容特性。

5　仿真實(shí)驗(yàn)

本文采用北京2009年3月出租車收集的GPS軌跡數(shù)據(jù)[12]作為仿真數(shù)據(jù)集，選取交通高峰期和交通空閑期2種場景。我們將研究的地理區(qū)域遞歸分為4個(gè)方格，每個(gè)方格用三元組＜level，x，y＞表示，其中l(wèi)evel表示遞歸層數(shù)，x，y分別表示相對左上角的偏移量。這里我們?nèi)evel=3，也即將區(qū)域分為8 ×8個(gè)塊。

我們比較了UploadGame與簡單的自主上傳機(jī)制在隱私保護(hù)和路況估計(jì)質(zhì)量上的性能。在簡單的自主上傳機(jī)制中，用戶根據(jù)具有固定w值的上傳閾值來決定是否上傳。在交通空閑期，用戶1沿著路徑1行駛從＜3，8，1＞到＜3，2，7＞，用戶2沿著路徑2行駛從＜3，1，8＞到＜3，8，3＞；在交通高峰期，用戶3沿著路徑1行駛，用戶4沿著路徑2行駛。用戶隱私級和路況估計(jì)質(zhì)量每隔2 min計(jì)算一次，結(jié)果在圖3、圖4中給出。觀察到，用戶隱私級在交通高峰期比交通空閑期要高，因?yàn)榻煌ǜ叻迤谟懈嗟挠脩粼诘缆飞?，增加了跟蹤和身份識別的難度。正如所期望的，在交通高峰期，UploadGame機(jī)制下用戶的隱私保護(hù)度高于簡單機(jī)制(＞25%)；在交通空閑期，UploadGame機(jī)制提供的隱私保護(hù)度與簡單機(jī)制相當(dāng)。圖3中的突然上升的點(diǎn)表示用戶正經(jīng)過高度混淆區(qū)域，如十字路口；突然下降點(diǎn)，表示用戶在此時(shí)上傳了自己的位置，其隱私泄露風(fēng)險(xiǎn)增加。

圖3　不同交通場景下用戶的隱私級

圖4　不同交通場景下用戶獲取的路況估計(jì)質(zhì)量

圖4闡述了圖3對應(yīng)的交通高峰期和交通空閑期，用戶獲得的路況估計(jì)質(zhì)量變化。交通高峰期的路況估計(jì)質(zhì)量高于交通空閑期，因?yàn)榻煌ǜ叻迤诟嘤脩羯蟼鳌ｋm然交通空閑期，路況估計(jì)質(zhì)量達(dá)不到83%，但是此時(shí)用戶僅關(guān)心交通是空閑的，不關(guān)心估計(jì)的準(zhǔn)確性。但為了處理一些意外事件，UploadGame機(jī)制鼓勵(lì)用戶上傳。因此圖4中的UploadGame機(jī)制的路況估計(jì)質(zhì)量高于簡單機(jī)制。在交通高峰期，UploadGame機(jī)制能夠滿足最低路況估計(jì)質(zhì)量需求(QoS=0.83)。

我們還驗(yàn)證了UploadGame機(jī)制的激勵(lì)相容特性。分別在交通空閑和交通高峰期的＜3，3，4＞塊中隨機(jī)選取了4個(gè)用戶，并允許隱私損失不同于其真實(shí)隱私損失。如圖5所示，用戶根據(jù)真實(shí)隱私損失進(jìn)行決策時(shí)，其效用達(dá)到最優(yōu)。圖5中標(biāo)記點(diǎn)是用戶真實(shí)隱私損失所對應(yīng)的效用值，從圖中可以看出用戶選取其他隱私損失時(shí)，不能增加其效用。

6　總結(jié)

圖5　UploadGame的激勵(lì)相容特性

本文基于博弈論分析設(shè)計(jì)眾包監(jiān)測系統(tǒng)的隱私保護(hù)機(jī)制，滿足基本路況估計(jì)質(zhì)量的同時(shí)，提高用戶隱私保護(hù)度，最大化用戶效用。首先建立用戶上傳行為與路況服務(wù)質(zhì)量和隱私泄露之間的關(guān)系，構(gòu)建終端用戶上傳博弈模型；然后，根據(jù)博弈納什均衡，設(shè)計(jì)用戶終端可控的隱私保護(hù)優(yōu)化上傳機(jī)制UploadGame，理論分析該機(jī)制的收斂性和激勵(lì)相容特性。最后通過真實(shí)數(shù)據(jù)的仿真實(shí)驗(yàn)分析Upload-Game的性能優(yōu)勢，驗(yàn)證了UploadGame的激勵(lì)相容特性。

參考文獻(xiàn)

[1]YANG D J，XUE G L，F(xiàn)ANG X，et al.Incentive mechanisms for crowdsensing:crowdsourcing with smartphones[J].IEEE/ACM Transactions on Networking，2015，99:1-13.

[2]GAO S，MA J F，SHI W S，et al.TrPF:A trafectory privacy-preserving framework for participatory sensing[J].IEEE Transactions on Information Forensics and Security，2013，8(6):874-887.

[3]MOHAN P，PADMANABHAN V N，and RAMJEE R.Nericell:rich monitoring of road and traffic conditions using mobile smartphones[C].Proceedings of the ACM Conference on Embedded Networked Sensor Systems，North Carolina，2008:323-336.

[4]MONTJOYE Y A，HIDALGO C A，VERLEYSEN M，et al.Unique in the crowd:The privacy bounds of human mobility[R].Nature Science Report，Cambridge，2013.

[5]CHRIS M，DAVID Y，and NUNG Y.Privacy vulnerability of published anonymous mobility traces[J].IEEE Transactions on Networking，2013，21(3):720-733.

[6]孫利民，李紅，王笑寒，等.物聯(lián)網(wǎng)位置隱私保護(hù)綜述[J].軟件學(xué)報(bào)，2014，25(s1):1-10.SUN Limin，LI Hong，WANG Xiaohan，et al.Survey on the location privacy preservation in the internet of things[J].Journal of Software，2014，25(s1):1-10.

[7]SHI E，CHAN T H，RIEFFEL E，et al.Privacy-preserving aggregation of time-series data[C].Proceedings of 18th Network ＆ Distributed System Security Symposium，California，2011:1-17.

[8]HOH B，GRUTESER M，XIONG H，et al.Achieving guaranteed anonymity in gps traces via uncertainty-aware path cloaking[J].IEEE Transactions on Mobile Computing，2010，9(8):1089-1107.

[9]PALANISAMY B and LIU L.Attack-resilient mix-zones over road networks:architecture and algorithms[J].IEEE Transactions on Mobile Computing，2015，14(3):495-508.

[10]LIU X X，ZHAO H，PAN M，et al.Traffic-aware multiple mix zone placement for protecting location privacy[C].Proceedings of the 31rd Annual IEEE International Conference on Computer Communications，F(xiàn)lorida，2012:972-980.

[11]HOH B，IWUCHUKWU T，JACOBSON Q，et al.Enhancing privacy and accuracy in probe vehicle based traffic monitoring via virtual trip lines[J].IEEE Transactions on Mobile Computing，2012，11(5):849-864.

[12]DATATANG Company.Taxi GPS data of one city in north of china(200903)[OL].http://dx.doi.org/10.1287/mnsc.1040.0270.2014.12.

[13]SHOKRI R，THEODORAKOPOULOS G，BOUDEC J L，et al.Quantifying location privacy[C].Proceedings of IEEE Symposium on Security and Privacy，California，2011:247-262.

[14]FREUDIGER J，MANSHAEI M H，HUBAUX J P，et al.Non-cooperative location privacy[J].IEEE Transactions on Dependable and Secure Computing，2013，10(2):84-98.

[15]葛國棟，郭云飛，劉彩霞，等.內(nèi)容中心網(wǎng)絡(luò)中面向隱私保護(hù)的協(xié)作緩存策略[J].電子與信息學(xué)報(bào)，2015，37(5):1220-1226.doi:10.11999/JEIT140874.GE Guodong，GUO Yunfei，LIU Caixia，et al.A collaborative caching strategy for privacy protection in content centric networking[J].Journal of Electronics ＆ Information Technology，2015，37(5):1220-1226.doi:10.11999/JEIT-140874.

[16]黃開枝，洪穎，羅文宇，等.基于演化博弈機(jī)制的物理層安全協(xié)作方法[J].電子與信息學(xué)報(bào)，2015，37(1):193-199.doi:10.11999/JEIT140309.HUANG Kaizhi，HONG Ying，LUO Wenyu，et al.A method for physical layer security cooperation based on evolutionary game[J].Journal of Electronics ＆ Information Technology，2015，37(1):193-199.doi:10.11999/JEIT140309.

[17]SHOKRI R，THEODORAKOPOULOS G，TRONCOSO C，et al.Protecting location privacy:Optimal strategy against localization attacks[C].Proceedings of 19th ACM Conference on Computer and Communications Security，California，2012:617-627.

何云華：男，1987年生，博士生，研究方向?yàn)檐囕d網(wǎng)安全與隱私.

孫利民：男，1966年生，研究員，研究方向?yàn)槲锫?lián)網(wǎng)安全、工業(yè)控制安全及位置隱私等.

楊衛(wèi)東：男，1977年生，副教授，研究方向?yàn)檐囕d網(wǎng)安全.

李紅：男，1989年生，博士生，研究方向?yàn)槲恢秒[私.

Enhancing Privacy Preserving for Crowdsourced Monitoring——A Game Theoretic Analysis Based Approach

HE Yunhua①②SUN Limin①②YANG Weidong②LI Hong②
①(School of Computer Science，Xidian University，Xi’an 710071，China)
②(Beijing Key Laboratory of Internet of Things Security，Institute of Information Engineering，Chinese Academy of Sciences，Beijing 100093，China)

Abstract:Crowdsourcing traffic monitoring is a promising application，which exploits ubiquitous mobile devices to upload GPS samples to obtain live road traffic.However，uploading the sensitive location information raises significant privacy issues.By analyzing the upload behavior of mobile users，this paper designs a privacy preserving traffic data collection mechanism.Using the relationships among the traffic service quality，privacy loss and the upload behavior，an incomplete information game is built to analyze the upload behavior of users.Based on the existence and uniqueness of Nash equilibrium in this game，a user-centric privacy preserving traffic data collection mechanism is proposed，which can maximize the utilities of users，and this mechanism has a feature of incentive compatible.Finally，the experimental results on real world traffic data confirm the effectiveness of privacy protecting and the feature of incentive compatible.

Key words:Crowdsourced monitoring; Location privacy; Incomplete information game; Equilibrium

基金項(xiàng)目：國家自然科學(xué)基金(61472418，61202099)，中國科學(xué)院先導(dǎo)專項(xiàng)基金(XDA06040100)

*通信作者：孫利民sunlimin@iie.ac.cn

收稿日期：2015-06-15；改回日期：2015-09-17；網(wǎng)絡(luò)出版：2015-11-19

DOI:10.11999/JEIT150721

中圖分類號：TP309.2

文獻(xiàn)標(biāo)識碼：A

文章編號：1009-5896(2016)02-0340-07

Foundation Items:The National Natural Science Foundation of China(61472418，61202099)，The Strategic Priority Research Program of the Chinese Academy of Sciences(XDA06040100)