一种带隐私保护的群智感知系统任务分配方法与流程

本发明属于资源分配领域，具体涉及一种带隐私保护的群智感知系统任务分配方法。

背景技术：

群智感知作为物联网应用的关键技术之一，旨在通过智能手机、pda等附着在人身上的各种移动设备在一个更加广泛的感知区域内实时获取用户感兴趣的信息。群智感知与传统的数据收集方法相比，可以有效地减少数据收集所需的时间和成本。而其中的任务分配问题，即如何把感知任务分配给最合适的用户，实现任务与用户之间的最优匹配问题是群智感知中的核心问题，也是实现群智感知系统所面临的最主要挑战之一。

一个群智感知系统包含若干智能移动终端用户和数据发布者(即数据消费者)，以及一个群智感知平台。当群智感知平台属于数据消费者所有(即单数据消费者模型)时，它可能会好奇用户的身份信息、所处的地理位置、健康状态隐私信息等，而用户所提交的数据中又包含了大量的此类敏感信息。如果无法为用户提供足够的隐私保护，将会严重影响用户参与任务的积极性。当多个数据消费者共享同一第三方公共平台时，任务分配过程中不仅可能泄露用户的敏感信息，还会泄露数据消费者的预算、收益函数等商业敏感信息。虽然已有大量与用户隐私保护相关的研究成果，但尚未有研究考虑过第三方公共平台中数据消费者的隐私保护问题，这严重阻碍了第三方公共平台的推广和应用。

中国发明专利cn107707530a公开了一种移动群智感知的隐私保护方法及系统，该方法包括感知数据上传、感知数据聚合和感知数据交易阶段，该系统包括混合激励感知模块、感知数据加噪模块、用户密钥生成模块、感知数据加密模块、加密数据上传模块、感知数据聚合模块、感知数据解密模块、安全多方计算模块和感知数据交易拍卖模块，该发明建立了有效机制以提高感知用户的参与度和感知数据的真实性；并且能够有效地保护感知用户个人隐私数据免遭泄露，防范恶意用户的虚假数据等问题。

然而，上述专利技术尚不能在不泄露用户和数据消费者隐私的情况下，实现用户与任务之间的最优匹配。

技术实现要素：

为了解决现有研究的不足，本发明设计了一种群智感知任务分配方法，在不泄露用户和数据消费者隐私的情况下，实现用户与任务之间的最优匹配。

根据本发明的一个方面，提供了一种带隐私保护的群智感知系统任务分配方法，包括以下步骤：

(1)半可信第三方采用快速paillier加密系统生成加密公钥和解密私钥，并将所述加密公钥发布给群智感知系统中的其他人；

(2)任务发布者将群智感知任务提交给所述群智感知系统的平台，包括任务需求、每个任务利用公钥加密后的预算和权重，然后平台将任务需求信息发布给智能移动终端用户；

(3)智能移动终端用户在阅读完任务描述后，向平台提交感兴趣的任务集合以及用公钥加密过的任务报价。

优选的，所述智能移动终端用户采用动态ip与平台进行交互，即每次参与任务时均采用不同的ip地址与平台交互。

优选的，所述方法进一步包括：

(4)平台在收到任务发布者和智能移动终端用户的信息后，将所有任务发布者所发布的任务放在一个总任务集中，然后将任务集中的任务id采用置换技术进行数据扰乱，最后将id置换后的任务集发送给半可信第三方；并且平台还将任务发布者的id以及用户的id采用置换技术进行数据扰乱，并将扰乱后的数据发送给半可信第三方。

优选的，所述方法进一步包括：

(5)平台采用随机扰乱技术加密用户的报价和任务的预算，然后将所有可行的匹配发送给半可信第三方。

优选的，所述方法进一步包括：

(6)半可信第三方在收到加密后的数据后，利用所述私钥将用户的报价和任务发布者的预算解密，并判断任务预算是否大于用户报价，最终将预算小于报价的组合发送给平台。

优选的，所述方法进一步包括：

(7)平台将所述预算小于报价的组合删除，利用同态操作计算用户完成任务所能带来的价值，并且采用随机扰乱技术对用户完成任务所能带来的价值和用户报价进行加密，然后平台将采用随机扰乱加密后的报价、价值以及置换后的用户和任务id发送给半可信第三方。

优选的，所述方法进一步包括：

(8)半可信第三方在收到二次加密后报价和价值后，首先利用私钥进行解密，获得扰乱后的收益信息，然后半可信第三方找到收益最大的匹配组合，将对应的用户和任务id以及扰乱且解密后的用户报价发送给平台。

优选的，所述方法进一步包括：

(9)平台将收益最大的任务分配给对应的用户，并将所有包含该任务或该用户的组合从排队序列里面删除。

优选的，所述方法进一步包括：

(10)若所述排队序列不为空，则返回步骤(7)；否则分配结束。

优选的，所述方法进一步包括：

(11)平台将成功分配到任务的扰乱后的用户报价还原成真实报价。

优选的，所述方法进一步包括：

(12)所述平台将分配结果发送给相应的用户和任务发布者。

优选的，所述方法进一步包括：

(13)用户完成任务后，将感知到的数据发送给任务发布者；在收到数据后，任务发布者向平台支付报价的金额。

优选的，所述方法进一步包括：

(14)平台将采用数字签名加密过的支付凭证发送给用户，用户更换ip地址，凭支付凭证向平台索要支付，平台对支付凭证验证通过后，完成支付。

本发明的优点在于：用户采用动态ip与平台交互，并结合数字认证技术，实现了匿名化，可以保护所提交感知数据的包含的潜在隐私数据不会泄露；用户的报价和任务的预算采用同态加密技术进行了加密，可以保证平台和半可信第三方无法获取真实值，从而利用同态加密和置换技术，保护了用户和任务发布者的价格隐私；所设计的机制通过电子签名技术完成支付，保证平台无法建立用户的真实ip与所提供数据之间的关联。

附图说明

通过阅读下文优选实施方式的详细描述，各种其他的优点和益处对于本领域普通技术人员将变得清楚明了。附图仅用于示出优选实施方式的目的，而并不认为是对本发明的限制。而且在整个附图中，用相同的参考符号表示相同的部件。在附图中：

图1是任务发布组合流程图。

图2是任务分配流程图。

图3是任务支付流程图。

具体实施方式

下面将参照附图更详细地描述本公开的示例性实施方式。虽然附图中显示了本公开的示例性实施方式，然而应当理解，可以以各种形式实现本公开而不应被这里阐述的实施方式所限制。相反，提供这些实施方式是为了能够更透彻地理解本公开，并且能够将本公开的范围完整的传达给本领域的技术人员。

本发明提出的带隐私保护的群智感知系统任务分配方法，包括以下步骤：

(1)半可信第三方采用快速paillier加密系统生成加密公钥pka和解密私钥ska，并将公钥pka发布给群智感知系统中的其他人。

(2)任务发布者将群智感知任务提交给平台，包括任务描述等详细需求、每个任务利用公钥加密后的预算和权重等。然后平台将任务需求信息发布给智能移动终端用户。

(3)智能移动终端用户在阅读完任务描述后，向平台提交感兴趣的任务集合以及用公钥加密过的任务报价。为了避免个人隐私的泄露，用户采用动态ip与平台进行交互，即每次参与任务时均采用不同的ip地址与平台交互。

(4)平台在收到任务发布者和智能移动终端用户的信息后，将所有任务发布者所发布的任务放在一个总任务集中，然后将任务集中的任务id采用置换技术进行数据扰乱，最后将id置换后的任务集发送给半可信第三方。除此之外，平台还会将任务发布者的id以及用户的id采用置换技术进行数据扰乱，并将扰乱后的数据发送给半可信第三方，使得半可信第三方无法从分配结果推断出用户或任务发布者的隐私信息。

(5)用pj表示任务发布者对任务j的预算，bij表示用户i对任务j的报价。平台采用随机扰乱技术加密用户的报价和任务的预算，然后将所有可行的匹配发送给半可信第三方。具体的扰乱公式如下：

其中δ1、ni是生成的随机数。值得注意的是，加密时是将每个报价或预算都加和乘随机数，且在传输时不包含用户或任务的id，防止半可信第三方利用私钥解密得到实际信息。

(6)半可信第三方在收到采用随机扰乱加密的数据后，利用私钥ska将用户的报价和任务发布者的预算解密，并判断任务预算是否大于用户报价，最终将预算小于报价的组合发送给平台。在这里，半可信第三方发送的只是不符合要求的组合的序号，并不包含解密后的预算或报价信息，因此平台无法从中获得实际的报价或预算值。

(7)平台将不符合要求的组合删除。用u(wj，i)表示用户i完成任务j所能带来的价值，其中wj是任务j的权重。平台将这些价值采用随机扰乱技术进行加密，具体的随机扰乱加密公式如下：

其中δ1、ni是生成的随机数。最后，平台将加密后的价值u(wj，i)、报价bij以及扰乱后的用户和任务id发送给半可信第三方。

(8)用uij表示用户i完成任务j所能带来的收益，具体的收益计算公式如下：

uij＝u(wj，i)-bij公式4

半可信第三方在收到加密后价值和报价后，首先利用私钥ska进行解密，得到δ1u(wj，i)+ni和δ1bij+ni。通过相减，可得到δ1uij，计算公式如下：

δ1uij＝δ1[u(wj，i)-bij]公式5

半可信第三方解密后只能获得扰乱后的收益信息，并不会将实际信息泄露。然后半可信第三方找到收益最大的匹配组合，将对应的用户和任务id以及扰乱且解密后的δ1bij+ni发送给平台。

(9)平台认为收益最大的用户和任务组合匹配成功。不妨假设收益最大的组合是用户i和任务j，在这种情况下平台会将任务j分配给用户i，并将所有包含用户i的价值等信息从排队序列里面删除。

(10)若排队序列不为空，则返回步骤(7)；否则，所有可行的匹配均已遍历完，分配结束。

(11)平台将成功分配到任务的扰乱后的用户报价δ1bij+ni还原成真实报价bij。

(12)群智感知平台将分配结果发送给相应的用户和任务发布者。在该过程中，平台会将所分配到的任务发送给对应的用户，还会将哪些任务分配成功以及相应的用户报价发送给任务发送者。

(13)用户完成任务后，将感知到的数据发送给任务发布者。在收到数据后，任务发布者将用户的支付提交给平台。这里，任务发布者对任务的支付等于用户的报价。

(14)平台将采用数字签名加密过的支付凭证发送给用户，用户随机在等待一段时间后，更换ip地址凭支付凭证向平台索要支付。平台对支付凭证验证通过后，完成支付。

实施例1

本发明提出的带隐私保护的群智感知系统任务分配方法，如图1所示，其中任务发布与组合模块的具体实现包括以下步骤：

s11：半可信第三方利用paillier加密系统生成加密公钥pka和解密私钥ska。其中公钥pka可用于数据加密，对整个系统公开；解密私钥并不对其他人公开，仅用于半可信第三方对加密数据解密。由于paillier加密系统可以实现同态操作，所以可以在保护隐私的基础上完成所需的数学运算。具体支持的同态操作包括同态加和同态乘，如下所示：

e(key+ni)＝e(key)e(ni)公式6

e[δ(key)]＝e(key)^δ公式7

s12：半可信第三方将加密公钥pka在系统中公开。

s13：任务发布者利用公钥pka对任务的预算pj和任务权重wj加密，得到加密后的e(pj)和w(wj)。

s14：任务发布者在平台上发布自身的任务需求集合。其中，每个发布的任务包括对任务内容的详细描述、加密后的预算e(pj)与权重e(wj)。由于平台并不知道解密密钥，所以无法获得任务的真实预算和权重。

s15：平台是否收到任务发布者的所有任务集？若是，继续执行s16；否则返回执行s14，等待任务发布者将所有任务集发送至平台。

s16：平台在收到所有任务发布者的需求后，会将任务的描述信息在平台上公开，供用户查看。用户查看的仅是任务的相关要求，并不会把任务发布者、任务预算等信息透露给用户。

s17：用户在阅读完任务需求后，会向平台提交自身感兴趣的任务集合。所提交的信息包括任务的id以及e(bij)，其中e(bij)是利用加密公钥pka加密后的用户i对任务j所给出的报价。为了保护用户的个人隐私，用户在与平台进行交互时，采用动态ip的方式，即在需要时才进行ip地址的分配。因此，用户每次与平台交互时，ip地址均不相同，平台无法通过地址获取用户信息。

s18：平台在收到用户的任务请求后，会将用户与任务的组合信息放入一个总的任务集u中，每一条组合信息均包括任务id、任务权重及预算、用户id及报价等。

s19：平台采用置换的方式对任务id进行置换。为防止泄露任务信息，平台会建立一张置换表，对任务id所包含的字符用其他字符进行一一对应。例如，在置换表中，2→3、3→5表示任务id中的数字2将会被3置换，数字3将会被5置换。那如果任务id为3223时，根据置换表此任务id就会被置换为5335。平台实际发送给半可信第三方的数据是扰乱后的，使得半可信第三方在任务分配的整个过程，都无法推断出关于用户和任务发布者的隐私信息。

s110：对每一个任务j，平台通过随机扰乱的方式，对任务的预算以及用户给出的报价进行扰乱。由于半可信第三方具有解密私钥ska，如果不加以扰乱，半可信第三方会解密得到真实的预算、报价信息，就无法满足隐私保护的目的。因此，我们给每一个预算pj、报价bij都乘随机数δ1且加上一个随机数ni，通过同态运算我们便可以进行数据扰乱。具体的预算及报价扰乱加密过程如公式1和公式2。平台将扰乱加密的结果发送给半可信第三方。

s111：半可信第三方收到扰乱加密后的预算与报价利用私钥ska解密之后得到δ1pj+ni和δ1bij+ni，由于结果会包含两个随机数且在传输时并不包括用户或者任务的id，所以不会将真实的信息泄露。

s112：判断δ1pj+ni＜δ1bij+ni？若是，执行s113。否则返回执行s110。此处虽然不是真实预算与报价之间的比较，但是乘和加的都是同一个随机数，所以并不会对比较结果产生影响。

s113：半可信第三方将预算小于报价的任务组合序号发送给平台。此时发送的仅有任务序号，并不包含解密后的预算或预算信息，因此平台并不能获得实际的报价或预算值。

s114：平台收到组合序号后，由于用户给出的报价超出了任务发布者的预算，因此不合法，平台将此任务组合从总任务集合中删除。

s115：是否遍历整个任务集？若是，执行s116。否则返回执行s110，计算下一个任务组合的预算与报价间关系。

s116：结束。此时任务集合中，所有组合的任务预算均大于等于用户给出的报价，即剩下的组合都是合法的。

如图2所示，为实现任务分配能够带来最大的收益，具体的任务分配有以下过程：

s21：平台利用加密公钥pka将u(wj，i)加密扰乱为e[δ1u(wj，i)+ni]，其中u(wj，i)表示任务j由用户i完成后所能带来的价值，价值u(wj，i)是一个关于权重wj的关系函数。例如任务j的权重为wj，发布的任务总价值为a，那么完成任务j所能带来的价值为wia。具体的扰乱过程如公式3。

s22：平台将扰乱后的价值e[δ1u(wj，i)+ni]、用户的报价e(δ1bij+ni)、用户及任务的id发送给半可信第三方。因为在平台一端的信息都是加密后的，且每个用户的报价不同，所以平台无法直接利用公式4计算出用户i完成任务j所带来的收益uij。所以将扰乱后的价值和报价发送至半可信第三方，解密后再作减法。

s23：半可信第三方利用私钥ska将价值、报价信息解密后得到δ1u(wj，i)+ni与δ1bij+ni。解密后的信息包含随机数，半可信第三方无法从中推断出真实信息。

s24：半可信第三方通过公式5计算得到收益δ1uij，并将其组合加入到排队序列。排队序列中存放所有待分配的任务组合，包含任务id、用户id、收益δ1uij、报价δ1bij+ni等信息。可以看到，此时得到的收益都乘了一个随机数δ1，所以并不会向第三方泄露收益情况，同时不影响收益的比较。

s25：所有组合是否均已计算收益？若是，继续执行s26；否则返回执行s23。计算所有组合的收益，以便找出最大收益组合。

s26：从排队序列中取出一个任务组合j。

s27：此任务组合的收益δ1uij最大？若是，则执行s28；否则，返回执行s26，继续寻找最大收益组合。

s28：半可信第三方将此组合的任务及用户id、解密后的报价δ1bij+ni回传给平台。我们认为每个任务仅可以被分配一次且每个用户只能获得一个任务，所以将所有包含此任务的组合以及包含用户i的组合从排队序列中删除。将报价回传是为了方便平台后期任务完成后的支付计算。

s29：平台收到任务组合j的信息后，认为最大利益匹配成功。平台将任务分配给用户i。

s210：排队序列是否为空？若是，则执行s211。否则继续执行s26，寻找其他任务的最大收益组合。

s211：所有任务分配结束。

如图3，任务具体的支付流程有以下步骤：

s31：平台根据半可信第三方发回的最大收益组合的相关信息，包括用户及任务id、扰乱后的报价δ1bij+ni等。平台根据id将分配结果发送给相应的用户i和任务发布者，并将分配到的任务详情发送给用户i。此时平台进入等待任务完成状态或进行其他任务的分配。

s32：任务完成后，任务发布者需向平台支付用户的酬金，实际支付的金额应等于用户的报价，所以平台需得到用户实际给出的报价，如果直接将用户加密后的报价e(bij)发送至半可信第三方去解密，那么真实报价就会对半可信第三方公开。因此，半可信第三方在对平台发送最大收益组合时，将扰乱后的报价传回，平台将收到的报价信息δ1bij+ni还原成真实报价bij并发送给对应的任务发布者。这么做，不仅节省了信息传输的时间，同时也不会泄露用户的真实报价。

s33：用户是否完成平台分配的任务？若是，继续执行s34。否则，返回执行s31。平台进行进入等待或进行其他任务的分配。

s34：任务发布者收到用户发来的数据后，根据平台发送的报价bij向平台进行支付。

s35：平台收到任务发布者支付的金额后，并不会直接支付给用户，而是将任务发布者的支付凭证发送给用户。因为平台与用户之间是采用动态ip进行通信的，为保证数据传输的真实有效性及完整性，发送的支付凭证是通过rsa数字签名技术加密的。即平台会对支付凭证利用哈希函数散列出一个摘要，并利用rsa算法和自己的私钥对这个摘要信息进行加密。发送时，平台将支付凭证连同加密后的摘要一同发送给用户。

s36：用户收到支付凭证后，首先会使用相同的算法计算出支付凭证的摘要，再使用rsa算法与平台提供的公钥对接收到的凭证摘要进行解密。最后对两个摘要的值进行比较，如果完全相同，则可以确认支付凭证由平台发来且内容是完整的。确认信息后，为保护隐私，用户更改ip地址，使用支付凭证向平台索要支付。

s37：平台使用同样的方法验证用户的支付凭证。验证通过后，向用户完成支付。

需要说明的是：

在此提供的算法和显示不与任何特定计算机、虚拟装置或者其它设备固有相关。各种通用装置也可以与基于在此的示教一起使用。根据上面的描述，构造这类装置所要求的结构是显而易见的。此外，本发明也不针对任何特定编程语言。应当明白，可以利用各种编程语言实现在此描述的本发明的内容，并且上面对特定语言所做的描述是为了披露本发明的最佳实施方式。

在此处所提供的说明书中，说明了大量具体细节。然而，能够理解，本发明的实施例可以在没有这些具体细节的情况下实践。在一些实例中，并未详细示出公知的方法、结构和技术，以便不模糊对本说明书的理解。

类似地，应当理解，为了精简本公开并帮助理解各个发明方面中的一个或多个，在上面对本发明的示例性实施例的描述中，本发明的各个特征有时被一起分组到单个实施例、图、或者对其的描述中。然而，并不应将该公开的方法解释成反映如下意图：即所要求保护的本发明要求比在每个权利要求中所明确记载的特征更多的特征。更确切地说，如下面的权利要求书所反映的那样，发明方面在于少于前面公开的单个实施例的所有特征。因此，遵循具体实施方式的权利要求书由此明确地并入该具体实施方式，其中每个权利要求本身都作为本发明的单独实施例。

本领域那些技术人员可以理解，可以对实施例中的设备中的模块进行自适应性地改变并且把它们设置在与该实施例不同的一个或多个设备中。可以把实施例中的模块或单元或组件组合成一个模块或单元或组件，以及此外可以把它们分成多个子模块或子单元或子组件。除了这样的特征和/或过程或者单元中的至少一些是相互排斥之外，可以采用任何组合对本说明书(包括伴随的权利要求、摘要和附图)中公开的所有特征以及如此公开的任何方法或者设备的所有过程或单元进行组合。除非另外明确陈述，本说明书(包括伴随的权利要求、摘要和附图)中公开的每个特征可以由提供相同、等同或相似目的的替代特征来代替。

此外，本领域的技术人员能够理解，尽管在此所述的一些实施例包括其它实施例中所包括的某些特征而不是其它特征，但是不同实施例的特征的组合意味着处于本发明的范围之内并且形成不同的实施例。例如，在下面的权利要求书中，所要求保护的实施例的任意之一都可以以任意的组合方式来使用。

本发明的各个部件实施例可以以硬件实现，或者以在一个或者多个处理器上运行的软件模块实现，或者以它们的组合实现。本领域的技术人员应当理解，可以在实践中使用微处理器或者数字信号处理器(dsp)来实现根据本发明实施例的虚拟机的创建装置中的一些或者全部部件的一些或者全部功能。本发明还可以实现为用于执行这里所描述的方法的一部分或者全部的设备或者装置程序(例如，计算机程序和计算机程序产品)。这样的实现本发明的程序可以存储在计算机可读介质上，或者可以具有一个或者多个信号的形式。这样的信号可以从因特网网站上下载得到，或者在载体信号上提供，或者以任何其他形式提供。

应该注意的是上述实施例对本发明进行说明而不是对本发明进行限制，并且本领域技术人员在不脱离所附权利要求的范围的情况下可设计出替换实施例。在权利要求中，不应将位于括号之间的任何参考符号构造成对权利要求的限制。单词“包含”不排除存在未列在权利要求中的元件或步骤。位于元件之前的单词“一”或“一个”不排除存在多个这样的元件。本发明可以借助于包括有若干不同元件的硬件以及借助于适当编程的计算机来实现。在列举了若干装置的单元权利要求中，这些装置中的若干个可以是通过同一个硬件项来具体体现。单词第一、第二、以及第三等的使用不表示任何顺序。可将这些单词解释为名称。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应以所述权利要求的保护范围为准。