一种无可信第三方的参与式感知激励机制实现方法与流程

本发明涉及参与式感知激励机制领域，更具体的涉及一种无可信第三方的参与式感知激励机制实现方法。

背景技术：

参与式感知自2006年被提出以来，已应用到了医疗、军事、交通等多个领域中，由于所需数据为参与者直接提供，具有非常高的实时性与代表性，在很大程度上提高了生活的便利性，但也正是由于这种直接数据提供，参与者的参与度就显得尤为重要。对参与者来说，影响参与度的因素包括个人隐私保护和参与激励。

目前，在参与式感知中，既应用了合适的激励机制，同时也保护了用户隐私的方案，大多数都是在隐私保护方案之后，额外添加了一部分激励机制，但这种添加很有可能在激励兑付时，将激励来源泄露出去，例如是完成哪个任务获得的激励，一旦这个任务包含一定的隐私信息，如完成地点，完成人性别，那么就会对参与者隐私直接造成危害。

综上所述，现有技术中的参与式感知系统，存在在激励兑付时，可能将激励来源泄露出去，对参与者隐私直接造成危害的问题。

技术实现要素：

本发明实施例提供一种无可信第三方的参与式感知激励机制实现方法，用以解决现有技术中存在在激励兑付时，可能将激励来源泄露出去，对参与者隐私直接造成危害的问题。

本发明实施例提供一种无可信第三方的参与式感知激励机制实现方法，包括：

感知请求者产生感知任务需求，并向感知服务器购买感知任务服务；

感知服务器将感知任务需求转化为一个或多个感知任务，将感知任务添加到感知任务队列中，以及将感知任务推送给感知参与者；其中，感知任务包括：感知任务类型、参与者报酬范围和感知任务要求时间；

感知参与者在取得合法认证后以第一伪名向感知服务器申请感知任务，并且感知参与者根据感知任务进行数据感知、产生感知任务报告、以及以第二伪名向感知服务器发送感知任务报告；

感知服务器根据感知任务报告向参与者发放虚拟报酬，当感知参与者以真实身份将虚拟报酬兑换成真实报酬后，感知服务器更新感知参与者报酬账户；

当感知服务器收到所需感知任务报告后，感知服务器从感知任务队列中删除感知任务，对所得感知任务报告进行分析得出感知任务数据，以及向感知请求者发送感知任务数据，完成一次感知任务服务。

较佳地，所述感知参与者在取得合法认证后以第一伪名向感知服务器申请感知任务，包括：

感知参与者根据接收的感知任务计算请求令牌，并以第一伪名与感知服务器进行部分盲签名；其中，部分盲签名的公共信息为任务编号、部分盲签名的待签名信息为请求令牌、以及部分盲签名为请求令牌的承诺；

感知参与者以第一伪名向感知服务器发送感知任务的请求信息，其中，请求信息包括：任务编号、请求令牌、请求令牌的承诺；

感知服务器接收到感知参与者的请求信息后，验证请求令牌的承诺是否合法；若非法，则拒绝感知任务请求；若合法，感知服务器向感知参与者返回感知任务的最终定价；

感知参与者接收到最终定价后，计算多个随机值作为报酬令牌，计算随机值对应的盲化因子，以及对随机值与盲化因子进行模乘；其中，随机值包括：感知参与者真实身份的哈希值，随机值与盲化因子的模乘结果为盲化报酬令牌；

感知参与者计算报告令牌；其中，报告令牌包括：任务编号、最终定价和盲化报酬令牌。

较佳地，所述感知参与者根据感知任务进行数据感知、产生感知任务报告、以及以第二伪名向感知服务器发送感知任务报告，包括：

感知参与者以第二伪名与感知服务器进行部分盲签名；其中，部分盲签名的公共信息为任务编号、部分盲签名的待签名信息为报告令牌、以及部分盲签名为报告令牌的承诺；

感知参与者向感知服务器发送任务报告；其中，任务报告包括：任务编号、报告令牌、报告令牌的承诺、盲化报酬令牌和加密后的感知任务数据；

感知服务器接收到任务报告后，验证是否接收任务报告；感知服务器基于接收到的任务编号、最终定价和盲化报酬令牌计算一个对比报告令牌，将接收到的报告令牌与对比报告令牌进行对比分析，如合法，则接收任务报告，如非法，则拒绝接收任务报告；

感知服务器对接收到的报酬令牌的承诺进行验证；如接收到的报告令牌和接收到的报酬令牌的承诺均合法，感知服务器通过私钥对盲化报酬令牌进行签名，并将签名结果发生给感知参与者；

感知参与者对签名结果进行盲因子去除，获得盲签名；其中，盲签名为报酬令牌的承诺。

较佳地，所述感知参与者以真实身份将虚拟报酬兑换成真实报酬，包括：

感知参与者向感知服务器发送报酬兑换信息；其中，报酬兑换信息包括：感知参与者真实身份、报酬令牌和报酬令牌承诺；

感知服务器感觉报酬兑换信息，将从报酬令牌中分离出的感知参与者真实身份的哈希值与接收到的感知参与者真实身份计算的哈希值进行对比验证；如两个哈希值不一致，则拒绝兑换；如两个哈希值一致，当感知服务器验证报酬令牌非法时，则拒绝兑换，当感知服务器验证报酬令牌合法时，则接收兑换。

本发明实施例中，提供一种无可信第三方的参与式感知激励机制实现方法，与现有技术相比，其有益效果为：本发明提出了一个新的无可信第三方的隐私保护激励方法，该方法基于假名技术及部分盲签名技术，在保护参与者数据与身份隐私的同时，让参与者能顺利地兑换应得的激励。

附图说明

图1为本发明实施例提供的一种无可信第三方的参与式感知系统示意图；

图2为本发明实施例提供的一种无可信第三方的参与式感知激励机制实现方法流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

图1为本发明实施例提供的一种无可信第三方的参与式感知系统示意图：如图1所示，该系统包括：感知参与者，感知数据请求者，感知服务器，以及感知服务器维护的一个感知参与者报酬账户。具体作用如下：

感知数据请求者：请求者需要感知数据来描述特定的情况，例如交通状况、空气污染状况等。在需要感知数据时，向感知服务器ss申请发布感知任务，并支付一定费用。待感知服务器收集到足够数据后，将结果反馈给数据请求者。

感知服务器：服务器直接与参与者和请求者进行数据交互，完成数据的收集与报酬支付。在收到请求者的申请后，服务器规划分割感知任务并发布给参与者，随后收集参与者的感知数据。验证感知数据有效后，向参与者支付一定量的报酬。参与者可以使用这些报酬购买网络服务或将其转换为可直接或间接用于现实世界购买行为的货币。正是由于这种激励的存在，参与者才会更加积极地参与到感知任务中来。

感知参与者：参与者为感知活动的直接完成者。一般情况下，参与者为携带了智能设备的人或交通工具，这些智能设备上搭载了多种传感器，且同时具有计算、网络接入及通信能力，例如智能手机等。持有人通过这些传感器感知数据，进行一定计算后将数据通过网络发送给感知服务器ss。完成感知任务后，参与者希望能得到合理的报酬。

基于上述本发明实施例提供的一种无可信第三方参与式感知系统的通信原理，本发明实施例提供了一种无可信第三方的参与式感知激励机制实现方法。图2为本发明实施例提供的一种无可信第三方的参与式感知激励机制实现方法流程图：如图2所示，该方法包括：

步骤s201，感知请求者产生感知任务需求，并向感知服务器购买感知任务服务。

步骤s202，感知服务器将感知任务需求转化为一个或多个感知任务，将感知任务添加到感知任务队列中，以及将感知任务推送给感知参与者；其中，感知任务包括：感知任务类型、参与者报酬范围和感知任务要求时间。

需要说明的是，服务器将这个需求转化为一个或多个感知任务并添加到任务队列中，每个感知任务都描述了所需数据的类型、参与者将会获得的报酬区间、发送数据要求的时间、地点，同时附带一个时间限制，如果超时则无法完成该任务。

步骤s203，感知参与者在取得合法认证后以第一伪名向感知服务器申请感知任务，并且感知参与者根据感知任务进行数据感知、产生感知任务报告、以及以第二伪名向感知服务器发送感知任务报告。

需要说明的是，当参与者接入网络后，服务器对其进行任务推送，参与者根据自身条件决定是否参与。如果决定参与，则参与者在取得合法认证后，以伪名向服务器申请该任务，并根据任务要求进行数据感知，产生感知任务报告。随后，参与者在新的会话中使用新的伪名向服务器发送任务报告。同样在这个会话中，服务器向参与者支付一定的报酬以完成激励。

步骤s204，感知服务器根据感知任务报告向参与者发放虚拟报酬，当感知参与者以真实身份将虚拟报酬兑换成真实报酬后，感知服务器更新感知参与者报酬账户。

需要说明的是，由于服务器无法得知参与者的真实身份，故暂时对参与者发放虚拟报酬。在等待一段时间之后，参与者以真实身份将其兑换成为真实报酬，同时服务器更新该参与者的激励账户。

步骤s205，当感知服务器收到所需感知任务报告后，感知服务器从感知任务队列中删除感知任务，对所得感知任务报告进行分析得出感知任务数据，以及向感知请求者发送感知任务数据，完成一次感知任务服务。

需要说明的是，出于保护参与者身份隐私的目的，在其以真实身份兑换虚拟报酬时，服务器不能通过该虚拟报酬得知参与者完成了哪个感知任务得到的这个报酬，以及是哪个假名使用者获取了这个报酬。这些信息这会导致恶意服务器得到参与者假名与真名之间的对应关系，从而分析出参与者的个人隐私。当收到足够的感知数据后，服务器从任务队列中删除该感知任务。最终，服务器对所得数据进行分析并得出结论之后，向请求者发送结论，完成一次感知服务。

较佳地，所述感知参与者在取得合法认证后以第一伪名向感知服务器申请感知任务，包括：

(1)感知参与者根据接收的感知任务计算请求令牌，并以第一伪名与感知服务器进行部分盲签名；其中，部分盲签名的公共信息为任务编号、部分盲签名的待签名信息为请求令牌、以及部分盲签名为请求令牌的承诺。

(2)感知参与者以第一伪名向感知服务器发送感知任务的请求信息，其中，请求信息包括：任务编号、请求令牌、请求令牌的承诺。

(3)感知服务器接收到感知参与者的请求信息后，验证请求令牌的承诺是否合法；若非法，则拒绝感知任务请求；若合法，感知服务器向感知参与者返回感知任务的最终定价。

(4)感知参与者接收到最终定价后，计算多个随机值作为报酬令牌，计算随机值对应的盲化因子，以及对随机值与盲化因子进行模乘；其中，随机值包括：感知参与者真实身份的哈希值，随机值与盲化因子的模乘结果为盲化报酬令牌。

(5)感知参与者计算报告令牌；其中，报告令牌包括：任务编号、最终定价和盲化报酬令牌。

需要说明的是，感知服务器拥有两个不同的私钥k1和k2来参与部分盲签名生成，一对公私钥p3和k3进行rsa加解密。此外，服务器还拥有一个私钥k和一个公钥p来参与rsa盲签名的生成。每个参与者随机产生三个秘密值r1，r2，r3。

需要说明的是，推送的内容除了任务要求外，还包括感知任务的编号i以及每个任务的最大报酬cmax。假设其中任务编号为i，任务的最大报酬为cmax，最小报酬为cmin。最终任务的实际报酬c，取决于服务器对当前任务的估值。

需要说明的是，假设参与者接收到了服务器推送的任务集，在衡量任务的支出与回报后，决定接受其中的任务i。为了向服务器申请任务i，参与者会为这个任务计算一个请求令牌τi＝h(0|hⁱ(r3))，并以伪名pid1与服务器进行一次部分盲签名通信，公共信息为任务编号i，待签名消息为参与者自己产生的请求令牌τi。得到的部分盲签名即为请求令牌τi的承诺，它的存在是为了在随后的任务申请过程中，能让服务器进行验证这个参与者的请求令牌是否合法。随后，参与者以同样的伪名向服务器发送针对任务i的请求消息，消息以请求令牌τi、请求令牌承诺及任务编号i构成。服务器收到参与者的任务请求后，首先验证承诺是否合法。若非法，则拒绝此次任务请求；若合法，则证明请求令牌已与任务关联，该请求是合法请求。此时，服务器向参与者返回服务器对任务的最终定价c作为响应。

需要说明的是，参与者在收到最终定价后，计算c个随机值mij＝h(i|j|hⁱ(r1))||h(rid)以作为随后的报酬令牌，每个随机值中都包含了参与者真实身份的哈希值h(rid)，以此防止报酬令牌被盗取。针对产生的每个随机值，参与者再计算一个盲化因子zij＝h(i|j|hⁱ(r2|x))。随机值mij与盲化因子zij模乘后的结果即为盲化报酬令牌μij＝(mij·zij)modq。此时，参与者共计算了c个盲化报酬令牌随后，参与者计算一个报告令牌bic，其组成为c个盲化报酬令牌μij、任务编号i以及任务报酬c，即bic＝h(μi1|μi2|…|μic|i|c)。

较佳地，所述感知参与者根据感知任务进行数据感知、产生感知任务报告、以及以第二伪名向感知服务器发送感知任务报告，包括：

(1)感知参与者以第二伪名与感知服务器进行部分盲签名；其中，部分盲签名的公共信息为任务编号、部分盲签名的待签名信息为报告令牌、以及部分盲签名为报告令牌的承诺。

(2)感知参与者向感知服务器发送任务报告；其中，任务报告包括：任务编号、报告令牌、报告令牌的承诺、盲化报酬令牌和加密后的感知任务数据。

(3)感知服务器接收到任务报告后，验证是否接收任务报告；感知服务器基于接收到的任务编号、最终定价和盲化报酬令牌计算一个对比报告令牌，将接收到的报告令牌与对比报告令牌进行对比分析，如合法，则接收任务报告，如非法，则拒绝接收任务报告。

(4)感知服务器对接收到的报酬令牌的承诺进行验证；如接收到的报告令牌和接收到的报酬令牌的承诺均合法，感知服务器通过私钥对盲化报酬令牌进行签名，并将签名结果发生给感知参与者。

(5)感知参与者对签名结果进行盲因子去除，获得盲签名；其中，盲签名为报酬令牌的承诺。

需要说明的是，参与者在收集完成任务所需数据之后，类比任务申请阶段，参与者以任务编号i为公共信息，以报告令牌bic为待签名消息，以新的伪名pid2与服务器进行一次部分盲签名交互，最终参与者得到的部分盲签名即为任务i对应的报告令牌bic的承诺。

需要说明的是，参与者向服务器发送任务i的报告。报告的组成为任务编号i、报告令牌bic、报告令牌承诺c个盲化报酬令牌μij以及加密后的感知数据即服务器收到报告后，需经过两步验证决定是否接受该报告。首先基于接收到的任务编号i、c个盲化报酬令牌μij及任务i的最终报酬c计算出一个报告令牌b′ic，并与收到的报告令牌bic对比检测其是否合法：若合法，则证明报告令牌中的每个盲化报酬令牌都与任务i相关，是合法有效的；否则，拒绝接受该报告。其次服务器验证报酬令牌承诺是否合法：若合法，则证明收到的报酬令牌是合法有效的；否则，同样拒绝该报告。当且仅当两次验证均通过时，服务器会使用私钥k对c个盲化报酬令牌进行签名，并将签名结果发送给参与者。参与者收到签名后除去盲因子，即得到c个盲签名signk(mic)，即为报酬令牌的承诺。

较佳地，所述感知参与者以真实身份将虚拟报酬兑换成真实报酬，包括：

(1)感知参与者向感知服务器发送报酬兑换信息；其中，报酬兑换信息包括：感知参与者真实身份、报酬令牌和报酬令牌承诺。

(2)感知服务器感觉报酬兑换信息，将从报酬令牌中分离出的感知参与者真实身份的哈希值与接收到的感知参与者真实身份计算的哈希值进行对比验证；如两个哈希值不一致，则拒绝兑换；如两个哈希值一致，当感知服务器验证报酬令牌非法时，则拒绝兑换，当感知服务器验证报酬令牌合法时，则接收兑换。

需要说明的是，为了避免时序攻击，参与者在构造c个报酬令牌后，需随机等待一段时间之后再向服务器申请报酬兑换，且每次兑换只能提交一个报酬令牌。兑换时，参与者分c次向服务器发送报酬兑换消息，每条消息的组成为参与者真实身份、一个报酬令牌及其承诺，即＜rid,mij,signk(mij)＞。服务器收到兑换消息后，首先从报酬令牌mij中分离出参与者真实身份的哈希值，并与收到的参与者身份计算的哈希值对比检测是否合法；若两个哈希值不一致，则证明任务报告人和申请报酬者不是一个人，则拒绝此兑换；若合法，则证明前后参与者一致。随后，服务器验证报酬令牌承诺是否合法，若否，则拒绝此次报酬兑换；若是，则表明该报酬令牌适合法的。当且仅当两次验证均通过时，服务器判断该报酬令牌应予以接受兑换，并将该用户的报酬账户值加一。

本发明实施例提供一种无可信第三方的参与式感知激励机制实现方法，其有益效果为：

(1)能够抵御重复攻击：

一个不诚实的参与者可能会盗取同样的报告令牌来完成不同的任务，以获取更多的报酬。然而从图2可以看出，每个报告令牌都已与任务编号绑定，且由感知服务器签名。伪造的报告令牌不可能通过服务器的签名验证，更不可能获得合法的报酬令牌，因此这种攻击不可能成功。

(2)能够抵御伪装攻击：

一个不诚实的参与者还可能劫持其他参与者的报告令牌，希望通过这个报告令牌上传被劫持用户的报告，而将报酬增加到自己的账户上。同样从图2可以看出，在任务报告的过程中，报告令牌是由产生的，而每个中均通过哈希函数嵌入了参与者的真实身份，所以服务器发送回来的虚拟报酬也嵌入了，且由于哈希函数的单向性，攻击者无法篡改中的。在报酬兑换中，若被更改，服务器首先就会发现已经改变，则在签名验证时的两个签名均无法满足，故而无法将报酬兑换到其他账户中去。

(3)能够保护用户隐私

本发明中，用户的感知数据是由公钥加密的，只有其对应的私钥才可以解密数据从而获取明文。而私钥为服务器私有，故用户的数据隐私是可以被保护的。此外，由于参与者的任务请求及报告均是以假名与服务器通信，且由于每个请求令牌和报告令牌均由部分盲签名产生，服务器作为签名方只能获知所请求任务编号及请求者假名。由于假名可完全切断用户真实身份与虚假身份之间的关系，以及部分盲签名的不可追踪性，服务器无法从参与者上传的某个报告中推断出上传人的身份。且由于假名是参与者随机产生的，服务器也无法将同一个参与者上传的多个任务报告联系起来。而报酬令牌虽然与真实身份相关联，但由于盲签名的完全盲性，服务器也不能获知这个报酬令牌来自于哪个任务的报告。因此，报酬令牌的实名并没有对参与者隐私产生威胁。

综上所述，本发明提出了一个新的无可信第三方的隐私保护激励方法，该方法基于假名技术及部分盲签名技术，在保护参与者数据与身份隐私的同时，让参与者能顺利地兑换应得的激励。

需要说明的是，部分盲签名的概念为：签名者所签的消息中包含一些与用户事先商定的协商信息，且不允许被非法修改，以此来保证签名的可控性。

以上公开的仅为本发明的几个具体实施例，本领域的技术人员可以对本发明进行各种改动和变型而不脱离本发明的精神和范围，倘若本发明的这些修改和变型属于本发明权利要求及其等同技术的范围之内，则本发明也意图包含这些改动和变型在内。