一种面向海洋观监测传感网的移动终端位置隐私保护方法

1.本发明属于位置隐私保护技术领域，具体涉及一种面向海洋观监测传感网的移动终端位置隐私保护方法。


背景技术：

2.随着5g/6g时代到来以及物联网、人工智能、区块链等新兴技术的发展，我国正逐步加快海洋经济、海洋国防、海洋信息化建设。海洋立体观监测传感网作为下一代海洋信息网络重要组成部分，可实现全天候、全自动、高密度、多要素、多维度的全球海洋立体观监测，是汇聚海洋空间、环境、生态、资源等各类数据，保障先进海洋观监测的基础设施。
3.海洋立体观监测应用会在网络局部区域产生大量运算数据与网络负荷。面向海事高可靠、高速率、低时延相关应用需求，基于传统岸基云计算的大数据处理模式时延长，已无法满足相应需求。移动边缘计算技术允许海洋移动终端将产生的海洋观监测数据与计算任务卸载至网络边缘侧的边缘计算节点进行处理，可有效地降低数据传输和处理时延，节省终端传输任务所需带宽与能耗，减轻岸基设施负荷，提高服务质量。
4.面向海事实时定位、紧急救援及面向军事领域的防御、精确预警和判定打击，计算任务的卸载处理存在诸多安全隐患。若边缘计算节点并非完全诚信节点(即边缘计算节点会履行卸载任务处理与计算结果反馈职责，但可能会对海洋移动终端各种隐私进行恶意窥探)，任务卸载时，由于信道增益与通信距离相关，边缘计算节点可根据信道信息推测与终端的相对距离。当终端同时卸载任务至多个边缘计算节点时，边缘计算节点可联合确定终端准确位置。一旦海洋移动终端因任务卸载暴露自身位置隐私，严重时边缘计算节点可在短时间内快速锁定该终端的准确位置并对其进行精准武器打击。
5.部分移动边缘计算研究目前已涉及终端因任务卸载导致的隐私泄露问题，但只是在陆地组网中简单将隐私作为成本变量以建立隐私感知卸载模型，针对面向海洋观监测传感网的移动终端位置隐私保护，尚未进行合理的位置隐私风险定义与量化，也未曾提出相应的位置隐私保护方法。此外，与陆地组网相比，海洋观监测传感网缺乏中心基础设施；通信环境复杂多变，易受天气、恶劣海况等因素影响；海洋移动终端计算、存储资源有限，对能耗敏感，较难在周围找到能源补给，且终端密度、速率、运行轨迹等难以预测，这些因素都对计算任务卸载时的海洋移动终端位置隐私保护提出了严苛的要求。
6.截止目前，位置隐私保护研究主要围绕认知无线电、无线传感器网络、和基于位置服务(location-based service，lbs)三类应用场景。认知无线电位置隐私保护需要在用户与数据库之间单独架设中间查询服务器，使用户在确保位置隐私安全情况下获得分配信道，若在海洋观监测传感网中应用，需架设通信基础设施，成本高昂。无线传感器网络位置隐私保护需要源节点以多跳路由方式将信息传输到汇聚节点来保护位置隐私，若采用该思想保护卸载任务终端位置隐私，将产生较高时延与网络通信开销，与移动边缘计算低时延、低带宽特点相违背。lbs位置隐私保护系统架构多样化且方法灵活，包括虚拟位置、虚拟身份、空间匿名等，能够较好地切合海洋观监测传感网边缘计算机理。


技术实现要素：

7.发明目的：针对以上问题，本发明基于lbs位置隐私保护方法，结合海洋观监测传感网特性以及移动边缘计算特征，优化并改进现有针对lbs场景而设计的隐私保护机制，提出一种面向海洋观监测传感网的移动终端位置隐私保护方法。
8.技术方案：为实现本发明的目的，本发明所采用的技术方案是：一种面向海洋观监测传感网的移动终端位置隐私保护方法，具体包括如下步骤：
9.步骤1，海洋移动终端首次进行计算任务卸载时，选择一个假名作为虚拟身份，并以该假名将计算任务卸载至边缘计算节点；
10.步骤2，海洋移动终端的当前计算任务卸载完成后，进入可变沉默期，并更新自身假名；在所述可变沉默期的持续时间内，海洋移动终端不与边缘计算节点进行通信；
11.步骤3，在所述可变沉默期的持续时间结束后，终端进行下一次计算任务卸载，并以更新后的假名将计算任务卸载至边缘计算节点，返回步骤2；
12.预设sp
min
与sp
max
分别表示最小沉默期和最大沉默期，所述可变沉默期的持续时间具体为[sp
min
,sp
max
]内的随机变量。
[0013]
进一步地，所述假名以预先定义的方式生成，包括但不限于公钥、网络层地址或数据链路层地址。
[0014]
进一步地，所述移动终端位置隐私保护方法还包括：
[0015]
构建边缘计算节点的攻击模型，并以目标终端被唯一识别的概率pd、目标终端最大跟踪时间t
t
、匿名集合熵h三种度量指标对海洋移动终端的位置隐私保护进行验证与评价；
[0016]
所述边缘计算节点的攻击模型包括η个海洋移动终端；所述η个海洋移动终端在不同时刻分别以假名a1,a2,...,a
η
进行计算任务卸载；所述η个海洋移动终端完成各自的计算任务卸载后进入各自的可变沉默期并更新自身假名；
[0017]
所述攻击模型包括简单攻击模型与关联攻击模型。
[0018]
进一步地，边缘计算节点的简单攻击模型，构建方法具体如下：
[0019]
设置任一海洋移动终端为边缘计算节点攻击的目标终端；
[0020]
首先，当目标终端以假名进行计算任务卸载时，边缘计算节点记录该目标终端的参考信息；所述参考信息为m＝(lt1,lp1,a1)，其中，lt1为目标终端进行计算任务卸载的时刻，lp1为目标终端在时刻lt1的位置，a1为目标终端在时刻lt1的假名；
[0021]
然后，边缘计算节点确定目标终端下一次进行计算任务卸载的时间间隔：[lt1 sp
min
,lt1 sp
max
]，其中，sp
min
与sp
max
分别表示最小沉默期和最大沉默期；
[0022]
接着，当边缘计算节点在所述时间间隔[lt1 sp
min
,lt1 sp
max
]内接收到ξ个海洋移动终端的参考信息，则根据所述ξ个海洋移动终端的参考信息生成一个匿名集合；其中，接收到的ξ个海洋移动终端的假名分别为b1,b2,...,b
ξ
，ξ≤η；
[0023]
边缘计算节点从所述匿名集合中随机选择一个海洋移动终端作为目标终端进行攻击；其中，边缘计算节点正确选择目标终端的概率为1/ξ。
[0024]
进一步地，边缘计算节点的关联攻击模型，构建方法具体如下：
[0025]
设置任一海洋移动终端为边缘计算节点的攻击目标终端；
[0026]
首先，当目标终端以假名进行计算任务卸载时，边缘计算节点记录该目标终端的
参考信息；所述参考信息为m＝(lt1,lp1,a1)，其中，lt1为目标终端进行计算任务卸载的时刻，lp1为目标终端在时刻lt1的位置，a1为目标终端在时刻lt1的假名；
[0027]
然后，边缘计算节点确定目标终端下一次进行计算任务卸载的时间间隔以及位移，并根据所述位移计算目标终端下一次进行计算任务卸载的预测位置；
[0028]
接着，当边缘计算节点在所述时间间隔内接收到ξ个海洋移动终端的参考信息，则根据所述ξ个海洋移动终端的参考信息生成一个匿名集合；其中，接收到的ξ个海洋移动终端的假名分别为b1,b2,...,b
ξ
，ξ≤η；
[0029]
最后，边缘计算节点根据接收到的所述参考信息中ξ个海洋移动终端的位置，计算各海洋移动终端与目标终端预测位置的距离差，并计算得到距离比，选择距离比最小的海洋移动终端作为目标终端进行攻击。
[0030]
进一步地，所述边缘计算节点确定目标终端下一次进行计算任务卸载的时间间隔以及位移，方法具体如下：
[0031]
所述时间间隔为：[lt1 sp
min
,lt1 sp
max
]，其中，lt1为目标终端进行计算任务卸载的时刻，sp
min
与sp
max
分别表示最小沉默期和最大沉默期；
[0032]
所述位移的计算公式为：
[0033][0034]
式中，为目标终端运动速度平均值，v
min
、v
max
分别表示目标终端的最小行驶速度和最大行驶速度；为目标终端可变沉默期的平均值，
[0035]
所述计算各海洋移动终端与目标终端预测位置的距离差并计算得到距离比pk，方法具体如下：
[0036][0037]
其中，
[0038]
进一步地，所述以目标终端被唯一识别的概率pd、目标终端最大跟踪时间t
t
、匿名集合熵h三种度量指标对海洋移动终端的位置隐私保护进行验证，方法具体如下：
[0039]
设定海洋移动终端的到达时间与离开时间服从指数分布，海洋移动终端的数量η与密度ρ保持统计不变；设置海洋移动终端在可变沉默期的持续时间内更新假名并以假名进行计算任务卸载的概率为po；分别计算当po＝1时以及po≤1时，目标终端被唯一识别的概率pd、目标终端最大跟踪时间t
t
、匿名集合熵h三种度量指标结果，并利用上述三种度量指标结果对海洋移动终端的位置隐私保护进行验证。
[0040]
进一步地，当po＝1时，目标终端被唯一识别的概率pd、目标终端平均最大跟踪时间e{t
t
}、匿名集合熵h三种度量指标结果的计算方法如下：
[0041]
所述目标终端被唯一识别的概率pd的计算公式为：
[0042][0043]
式中，v为自由区域中海洋移动终端的计数单位，af表示自由区域范围，ζ(af)表示自由区域内终端总数量，η、ρ分别为海洋移动终端的数量与密度；
[0044]
所述目标终端平均最大跟踪时间e{t
t
}的计算公式为：
[0045][0046]
式中，e{sp}表示沉默期数学期望，e{sp}＝(sp
min
sp
max
)/2；w为常数；
[0047]
平均匿名集合大小e{|sa|}的计算公式为：
[0048][0049]
式中，z为常数；
[0050]
当边缘计算节点以简单攻击模型的方式攻击目标终端位置隐私时，匿名集合的熵h1的计算公式为：
[0051][0052]
当边缘计算节点以关联攻击模型的方式攻击目标终端位置隐私时，匿名集合的熵h2的计算公式为：
[0053][0054]
式中，pk为第k个海洋移动终端与目标终端预测位置的距离比。
[0055]
进一步地，当po≤1时，目标终端被唯一识别的概率pd、目标终端平均最大跟踪时间e{t
t
}、匿名集合熵h三种度量指标结果的计算方法如下：
[0056]
所述目标终端被唯一识别的概率pd的计算公式为：
[0057][0058]
式中，
[0059][0060]
，φ为常数，|sa|为匿名集合的大小，l为常数，l≥2，af表示自由区域范围，ζ(af)表示自由区域内终端总数量，η、ρ分别为海洋移动终端的数量与密度；
[0061]
目标终端平均最大跟踪时间e{t
t
}的计算公式为：
[0062][0063]
式中，e{sp}表示沉默期数学期望；
[0064]
平均匿名集合大小e{|sa|}的计算公式为：
[0065][0066]
当边缘计算节点以简单攻击模型的方式攻击目标终端位置隐私时，匿名集合的熵h1的计算公式为：
[0067][0068]
当边缘计算节点以关联攻击模型的方式攻击目标终端位置隐私时，匿名集合的熵h2的计算公式为：
[0069][0070]
式中，pk为第k个海洋移动终端与目标终端预测位置的距离比。
[0071]
有益效果：与现有技术相比，本发明技术方案具有以下有益技术效果：
[0072]
1.采用假名更新与可变沉默期保护海洋移动终端位置隐私，无需复杂隐私保护算法，有效降低了边缘计算服务时延与能耗，节约了网络带宽，可较好应用于通信环境恶劣以及计算资源相对匮乏的海洋观监测传感网。
[0073]
2.提供了边缘计算节点攻击模型，并分析“简单攻击”与“关联攻击”两种边缘计算节点针对目标终端位置隐私的攻击方式。未来可根据不同的边缘节点攻击方式，有针对性的提出其他海洋移动终端位置隐私保护策略。
[0074]
3.采用目标终端被唯一识别的概率pd、目标终端平均最大跟踪时间e{t
t
}、匿名集合熵h三种度量指标，度量海洋移动终端的位置隐私保护水平，验证了本发明所提供的海洋移动终端位置隐私保护方法的可行性。
附图说明
[0075]
图1是一种实施例下基于假名与固定沉默期的终端位置隐私保护示意图；
[0076]
图2是一种实施例下基于假名与可变沉默期的终端位置隐私保护示意图；
[0077]
图3是一种实施例下边缘计算节点攻击模型示意图；
[0078]
图4(a)是一种实施例下po＝1时目标终端被唯一识别概率与平均最大跟踪时间仿真结果示意图；
[0079]
图4(b)是一种实施例下po≤1时目标终端被唯一识别概率与平均最大跟踪时间仿真结果示意图；
[0080]
图5(a)是一种实施例下po＝1时匿名集合熵仿真结果示意图；
[0081]
图5(b)是一种实施例下po≤1、η＝20时匿名集合熵仿真结果示意图；
[0082]
图5(c)是一种实施例下po≤1、sp
max
＝30时匿名集合熵仿真结果示意图。
具体实施方式
[0083]
下面结合附图和实施例对本发明的技术方案作进一步的说明。
[0084]
本发明所述的一种面向海洋观监测传感网的移动终端位置隐私保护方法，具体包括：
[0085]
一：更新假名与建立可变沉默期。海洋移动终端为有效保护自身位置隐私，可定期更换虚拟身份，即“假名”，并以假名将任务卸载至边缘计算节点。此时边缘计算节点虽然可以联合确定出终端位置，但无法得知终端真实身份，从而间接保护终端位置隐私。假名可以是一组公钥、网络层地址、或数据链路层地址，并通常以预先定义的方式生成。比如终端预装了个不同的假名个不同的假名可通过定期更换假名并以假名将任务卸载至边缘计算节点以保护位置隐私，其中为常数。
[0086]
终端仅通过更换假名并以假名卸载任务，无法完全确保位置隐私安全。主要在于终端以不同假名进行连续两次任务卸载的时间间隔可能很短，导致终端位置变化不明显，边缘计算节点可利用时间相关性与空间相关性推测出两个假名属于同一个终端，以此攻击终端位置隐私。为此引入沉默期概念，沉默期在本发明中被定义为终端使用假名进行连续两次任务卸载之间的过渡期。以图1为例，各终端在位置lpj，在时刻ltj，以假名aj进行此次任务卸载，其中j＝1,2,3为常数。设lt1＝lt2＝lt3，之后各终端进入固定沉默期并更新假名。在沉默期中，终端禁止与边缘计算节点通信。沉默期结束后，各终端在位置epj，在时刻etj，以假名bj进行下次任务卸载。由于在沉默期中，各终端均有三种可能的移动路径。因此假名b1、b2、b3无法对应具体终端。即使边缘节点知道终端更新了假名，也很难将某个终端的新旧假名正确关联起来，各终端位置隐私得到保护。
[0087]
图1所示沉默期是固定不变的，当各终端在不同时刻卸载任务时，固定沉默期仍可能导致终端位置隐私泄露。原因在于边缘计算节点可根据假名出现时间顺序，正确关联终端新旧假名，攻击终端位置隐私。为此，本发明提供一种可变沉默期。以图2为例，sp
min
与sp
max
分别表示最小、最大沉默期，沉默期持续时间由一个在[sp
min
,sp
max
]范围内的随机变量决定。当各终端在时刻ltj，以假名aj进行此次任务卸载，且lt1《lt2《lt3时，边缘计算节点接收到的假名依次为a1、a2、a3，之后各终端进入沉默期并更换假名。由于沉默期持续时间可变，因此各终端进行下次任务卸载时，新假名bj的出现时间并不一定满足et1《et2《et3。边缘计算节点无法根据时间顺序关联终端新旧假名，从而有效保护终端位置隐私。
[0088]
二：构建边缘计算节点攻击模型。图3描述了边缘计算节点攻击模型，假设在海洋区域中，存在η个终端，终端最小、最大行驶速度分别为v
min
、v
max
。如图3所示，η个终端在不同时刻分别以假名a1,a2,...,a
η
进行此次任务卸载，之后各终端进入可变沉默期并更新假名。假设边缘计算节点将终端1作为攻击目标，即边缘计算节点在终端1进行下次任务卸载时，将试图关联其新旧假名并攻击其位置隐私。为此，边缘计算节点首先会定义一个匿名集合。当目标终端以假名进行此次任务卸载时，边缘计算节点会记录参考信息m＝(lt1,lp1,a1)，其中lp1为终端1在时刻lt1的位置、a1为终端1旧假名。基于此，边缘计算节点可推测出目标终端会在[lt1 sp
min
,lt1 sp
max
]时间范围内，以新假名进行下次任务卸载。假设边缘计算节
点在[lt1 sp
min
,lt1 sp
max
]时间范围内接收到了ξ个新假名，分别为b1,b2,...,b
ξ
，(ξ≤η)。边缘计算节点将所接收的新假名定义为一个匿名集合。考虑到v
min
与v
max
，可以从空间上更加直观描述匿名集合。图3中的自由区域表示在[lt1 sp
min
,lt1 sp
max
]时间范围内，以新假名进行下次任务卸载的终端存在的区域，自由区域中产生的新假名构成匿名集合。
[0089]
定义匿名集合之后，边缘计算节点从匿名集合中选出一个假名作为目标终端新假名，试图将目标终端新旧假名关联起来，攻击目标终端位置隐私。本发明考虑简单攻击与关联攻击两种边缘计算节点攻击方式。
[0090]
1)简单攻击
[0091]
在简单攻击方式中，边缘计算节点从匿名集合中随机选择一个假名作为目标终端新假名。如图3所示，自由区域中存在ξ个已更新假名的终端，边缘计算节点正确选择目标终端新假名的概率为1/ξ。
[0092]
2)关联攻击
[0093]
在关联攻击方式中，已知v
min
、v
max
与sp
min
、sp
max
，可取终端运动速度平均值可变沉默期平均值如图3所示，已知目标终端在lt1时刻的位置为lp1，可计算出位移则在时刻，边缘计算节点可预测目标终端在自由区域中所处的位置为l
pre
。处于自由区域的终端以新假名进行下次任务卸载，因此边缘计算节点可获取自由区域中各终端位置。通过计算各终端位置与目标终端预测位置l
pre
的距离，分别为得到距离比且k＝1,...,ξ。边缘计算节点选择最小距离比pk对应的假名作为目标终端新假名。
[0094]
三：位置隐私保护水平度量。本发明采用目标终端被唯一识别的概率pd、目标终端最大跟踪时间t
t
与匿名集合的熵h三种指标，度量目标终端位置隐私保护水平。
[0095]
以sa表示匿名集合，|sa|表示匿名集合元素数目。假设海洋终端到达时间与离开时间服从指数分布，若终端到达率与离开率相同且均匀分布在海洋区域中，则终端总数量η与终端密度ρ保持统计不变。以af表示自由区域范围，ζ(af)表示自由区域内终端总数量，且ζ(af)满足空间泊松分布，即其中u为常数，ρaf为均值。
[0096]
首先考虑各终端进入沉默期后以假名更新概率po＝1更新自身假名并在自由区域使用新假名卸载任务的情况。考虑到自由区域中至少存在一个终端，即目标终端，则目标终端被唯一识别的概率pd为
[0097][0098]
其中v为常数。目标终端平均最大跟踪时间e{t
t
}为
[0099][0100]
其中沉默期数学期望e{sp}＝(sp
min
sp
max
)/2，w为常数。
[0101]
平均匿名集合大小e{|sa|}为
[0102][0103]
其中，z为常数。当边缘计算节点以简单攻击方式攻击目标终端位置隐私时，匿名集合的熵h1为
[0104][0105]
当边缘计算节点以关联攻击方式攻击目标终端位置隐私时，匿名集合的熵h2为
[0106][0107]
其次考虑除了目标终端，其他终端进入沉默期后以假名更新概率po≤1更新自身假名的情况。在该情况下，尽管未更新假名的终端处于自由区域，但由于其依然使用旧假名进行任务卸载，因此这些旧假名不包含在匿名集合中。记匿名集合大小|sa|为l，l为常数，为防止目标终端被直接攻击，要求l≥2。由于海洋区域中存在η个终端，则
[0108][0109]
其中φ为常数。当其他终端以概率po≤1更新假名时，目标终端被唯一识别的概率pd为
[0110][0111]
目标终端平均最大跟踪时间e{t
t
}为
[0112][0113]
平均匿名集合大小e{|sa|}为
[0114][0115]
当边缘计算节点以简单攻击方式攻击目标终端位置隐私时，匿名集合的熵h1为
[0116][0117]
当边缘计算节点以关联攻击方式攻击目标终端位置隐私时，匿名集合的熵h2为
[0118]
[0119]
图4(a)给出了终端以概率po≤1更新假名时，目标终端被唯一识别的概率pd的仿真结果。当海洋区域终端数量η一定时，终端更新假名概率po越大，pd越小。由于匿名集合元素指已更新的假名，因此po增大时，匿名集合元素增多，边缘计算节点难以关联终端新旧假名，pd减小，提高了目标终端位置隐私保护性能。当po一定时，η增多，匿名集合元素增多的可能性提高，pd随之减小，改善了目标终端位置隐私保护效果。图4(b)给出了终端以概率po≤1更新假名时，目标终端平均最大跟踪时间e{t
t
}的仿真结果。当η一定时，po越小，e{t
t
}越长。原因是η与po较小时，匿名集合元素减少，边缘计算节点可较容易关联终端新旧假名，实现对目标终端的连续跟踪。随着η或po增大，目标终端被连续跟踪的难度逐渐提升，e{t
t
}逐渐减小，最终趋于e{sp}。
[0120]
图5(a)给出了终端以概率po＝1更新假名时，匿名集合熵h的仿真结果。熵反映了信息的不确定性，熵越大，目标终端位置隐私保护效果越好。可以看出，无论边缘计算节点针对目标终端进行简单攻击还是关联攻击，当η一定时，h随着sp
max
增大而增大，说明沉默期越长，目标终端位置隐私保护效果越好。当sp
max
一定时，η增多，匿名集合元素增多，h增大。当η与sp
max
一定时，简单攻击方式下的h大于关联攻击方式下的h。原因是，对于简单攻击，匿名集合中的元素具有相同的概率被边缘计算节点选择作为目标终端新假名，选择正确的概率较小，目标终端位置隐私保护效果较好。对于关联攻击，匿名集合中的元素被赋予不同的概率，边缘计算节点正确选择目标终端新假名的概率较大，目标终端位置隐私保护效果较差。图5(b)与图5(c)分别给出了po≤1,η＝20与po≤1,sp
max
＝30情况下，匿名集合熵h的仿真结果。可以看出，随着po、η的增加与可变沉默期持续时间的延长，h随之增大，目标终端的位置隐私保护效果得到改善。此外简单攻击方式下的熵大于关联攻击方式下的熵。