廖龍龍，葉 強(qiáng)，2，路 紅

（1.南京體育學(xué)院 信息科學(xué)與技術(shù)教研室，江蘇 南京210014；2.中國(guó)科學(xué)技術(shù)大學(xué)信息科學(xué)與技術(shù)學(xué)院，安徽 合肥230027；3.南京理工大學(xué) 紫金學(xué)院，江蘇 南京210046）

0 引 言

利用RFID技術(shù)、傳感器技術(shù)、移動(dòng)計(jì)算技術(shù)、移動(dòng)定位技術(shù)等獲取真實(shí)世界中真實(shí)物理實(shí)體對(duì)象的靜態(tài)信息及其相關(guān)時(shí)空的動(dòng)態(tài)信息是物聯(lián)網(wǎng)技術(shù)應(yīng)用的基礎(chǔ)，而這些感知數(shù)據(jù)往往涉及個(gè)人信息、敏感物體信息、實(shí)時(shí)位置信息、商業(yè)機(jī)密等海量隱私數(shù)據(jù)。物聯(lián)網(wǎng)感知節(jié)點(diǎn)安全訪問控制機(jī)制的不完善、移動(dòng)感知網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)的實(shí)時(shí)動(dòng)態(tài)變化、非法惡意感知節(jié)點(diǎn)的加入、無線通信網(wǎng)絡(luò)與傳感器網(wǎng)技術(shù)及相關(guān)數(shù)據(jù)傳輸協(xié)議自身的安全漏洞、數(shù)據(jù)挖掘與智能信息處理的惡意使用等，使得物聯(lián)網(wǎng)感知數(shù)據(jù)在采集、傳輸、共享與處理的過程中面臨被惡意篡改、偽造、泄漏、跟蹤、利用等安全威脅［1］。同時(shí)，由于物聯(lián)網(wǎng)感知數(shù)據(jù)不僅包括靜態(tài)物體對(duì)象與真實(shí)用戶的靜態(tài)信息，而且包含與其相關(guān)的實(shí)時(shí)位置、查詢內(nèi)容、服務(wù)響應(yīng)結(jié)果等動(dòng)態(tài)信息，惡意攻擊者可利用這些感知數(shù)據(jù)之間的邏輯關(guān)系推理得到更多其他隱私數(shù)據(jù)，如根據(jù)用戶家庭中的智能家居信息推知該用戶的真實(shí)身份、家庭收入、健康狀況、社交圈子等。物聯(lián)網(wǎng)移動(dòng)感知服務(wù)能夠明顯改善用戶使用移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、無線網(wǎng)絡(luò)等服務(wù)的體驗(yàn)，其在精準(zhǔn)營(yíng)銷、智能交通、遠(yuǎn)程醫(yī)療、智能家居、計(jì)算廣告、個(gè)性化推薦等領(lǐng)域的應(yīng)用也越來越泛［2，3］，如何保證移動(dòng)感知服務(wù)相關(guān)隱私數(shù)據(jù)的可控性、可信性、可管性、機(jī)密性、完整性等，已成為目前物聯(lián)網(wǎng)移動(dòng)感知服務(wù)大規(guī)模應(yīng)用過程中亟待解決的重要問題。

1 相關(guān)研究分析

數(shù)據(jù)挖掘技術(shù)的發(fā)展以及云計(jì)算平臺(tái)的高性能計(jì)算能力和智能推理能力，致使傳統(tǒng)身份認(rèn)證技術(shù)、訪問控制技術(shù)等安全技術(shù)只能防止非法用戶對(duì)隱私數(shù)據(jù)的直接獲取，物聯(lián)網(wǎng)移動(dòng)感知環(huán)境的復(fù)雜性和動(dòng)態(tài)變化特性使得利用惡意感知節(jié)點(diǎn)竊取隱私數(shù)據(jù)或使用智能信息處理技術(shù)間接推理獲取敏感數(shù)據(jù)成為隱私泄漏的主要方式。目前，隱私保護(hù)方法主要分為數(shù)據(jù)加密、限制發(fā)布、數(shù)據(jù)隱蔽，但許多數(shù)據(jù)隱私保護(hù)技術(shù)融合了多種方法，很難將其簡(jiǎn)單得歸為其中的某一類。

文獻(xiàn) ［4］采用對(duì)稱加密算法、Hash函數(shù)與隨機(jī)函數(shù)相結(jié)合的方法設(shè)計(jì)了一種面向RFID標(biāo)簽、RFID閱讀器及其RFID感知數(shù)據(jù)管理系統(tǒng)的三方安全認(rèn)證協(xié)議，利用認(rèn)證過程中創(chuàng)建的會(huì)話密鑰防止RFID隱私數(shù)據(jù)的泄漏、惡意跟蹤與監(jiān)視等。文獻(xiàn) ［5，6］提出采用全同態(tài)加密技術(shù)對(duì)移動(dòng)感知服務(wù)相關(guān)的數(shù)據(jù)進(jìn)行加密處理，物聯(lián)網(wǎng)感知服務(wù)提供者無需對(duì)各類加密數(shù)據(jù)進(jìn)行解密即可直接進(jìn)行智能處理并返回用戶所期望的處理結(jié)果，使物聯(lián)感知服務(wù)商在提供高質(zhì)量服務(wù)的同時(shí)確保相關(guān)隱私數(shù)據(jù)明文不會(huì)被惡意利用或外泄。文獻(xiàn) ［6］提出利用安全多方計(jì)算實(shí)現(xiàn)物聯(lián)網(wǎng)移動(dòng)感知服務(wù)的數(shù)據(jù)隱私安全保護(hù)。這些數(shù)據(jù)加密技術(shù)雖然能夠保證數(shù)據(jù)在網(wǎng)絡(luò)傳輸和智能處理中的隱私安全，但數(shù)據(jù)加密和解密過程需要較長(zhǎng)的計(jì)算時(shí)間且需要耗費(fèi)一定的存儲(chǔ)空間和計(jì)算資源，而物聯(lián)網(wǎng)感知移動(dòng)服務(wù)終端設(shè)備的存儲(chǔ)能力和信息處理能力都比較有限，在實(shí)際應(yīng)用過程中面臨響應(yīng)時(shí)延較長(zhǎng)、移動(dòng)感知節(jié)點(diǎn)和移動(dòng)終端服務(wù)設(shè)備的性能減弱等問題。

P.Samarati和L.Sweeney提出的k－匿名算法是具有代表性的數(shù)據(jù)匿名技術(shù)，通過使用刪除標(biāo)識(shí)符的方式發(fā)布數(shù)據(jù)，從而在數(shù)據(jù)發(fā)布過程中保護(hù)敏感數(shù)據(jù)與實(shí)體對(duì)象真實(shí)身份之間的對(duì)應(yīng)關(guān)系，防止背景知識(shí)攻擊和一致性攻擊對(duì)隱私數(shù)據(jù)的獲取［8，9］。文獻(xiàn) ［10］在分析標(biāo)識(shí)符對(duì)敏感屬性影響的k－匿名算法、L－diversity匿名化原則、T－closeness匿名化原則等基礎(chǔ)上，基于信息損失懲罰思想提出了一種滿足L－diversity匿名化原則的k－匿名算法，能夠保護(hù)用戶查詢服務(wù)中的隱私數(shù)據(jù)安全。文獻(xiàn) ［11］針對(duì)k－匿名算法中敏感屬性的個(gè)性化設(shè)置，提出了一種可實(shí)現(xiàn)數(shù)據(jù)發(fā)布中隱私數(shù)據(jù)個(gè)性化保護(hù)的多樣k－匿名算法。匿名通信技術(shù)將網(wǎng)絡(luò)通信節(jié)點(diǎn)的IP地址、路由信息、身份標(biāo)識(shí)等敏感信息進(jìn)行隱藏，從而實(shí)現(xiàn)通信雙方身份匿名、通信關(guān)系匿名、位置匿名等，保護(hù)網(wǎng)絡(luò)數(shù)據(jù)隱私的安全傳輸［12］。為滿足拓?fù)浣Y(jié)構(gòu)動(dòng)態(tài)變化、資源有限的物聯(lián)網(wǎng)匿名通信要求，文獻(xiàn)［13］設(shè)計(jì)了一種可保證傳輸數(shù)據(jù)安全和網(wǎng)絡(luò)通信節(jié)點(diǎn)匿名性的無線傳感器網(wǎng)絡(luò)匿名通信方案，文獻(xiàn) ［14］采用網(wǎng)絡(luò)編碼和多徑路由技術(shù)實(shí)現(xiàn)無線匿名網(wǎng)絡(luò)通信匿名性與保密性的統(tǒng)一，解決了以往隱私保護(hù)算法需進(jìn)行加密與匿名化兩次操作的問題。

數(shù)據(jù)匿名化技術(shù)和匿名通信技術(shù)是典型基于限制發(fā)布的隱私保護(hù)方法。一方面，它們存在一定程度的數(shù)據(jù)損失，且影響數(shù)據(jù)處理的準(zhǔn)確性；另一方面，由于沒有嚴(yán)格定義攻擊模型，對(duì)攻擊者所具有的知識(shí)無法進(jìn)行量化［15］。基于數(shù)據(jù)隱蔽的差分隱私保護(hù)算法是一種靈活、通用、具有堅(jiān)實(shí)數(shù)學(xué)理論支撐的隱私保護(hù)方法，且定義了嚴(yán)格的攻擊模型，對(duì)隱私泄漏風(fēng)險(xiǎn)給出了量化評(píng)價(jià)方法和證明，可解決上述兩類隱私保護(hù)方法不適合甚至無法解決的問題，適合于保證物聯(lián)網(wǎng)移動(dòng)感知服務(wù)相關(guān)海量數(shù)據(jù)的安全性、可用性、可信性和可控性，提高移動(dòng)感知服務(wù)響應(yīng)結(jié)果的準(zhǔn)確性和實(shí)時(shí)性［16］。本文在分析物聯(lián)網(wǎng)移動(dòng)感知服務(wù)框架的基礎(chǔ)上，針對(duì)物聯(lián)網(wǎng)移動(dòng)感知服務(wù)相關(guān)數(shù)據(jù)的隱私保護(hù)需求，基于差分隱私保護(hù)方法研究移動(dòng)感知服務(wù)相關(guān)數(shù)據(jù)的隱私安全保護(hù)技術(shù)。

2 移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)需求

2.1 移動(dòng)感知服務(wù)框架

基于物聯(lián)網(wǎng)的五層體系架構(gòu)模型，設(shè)計(jì)如圖1所示的包含移動(dòng)感知層、網(wǎng)絡(luò)交互層、資源調(diào)度層、智能處理層和感知服務(wù)層等的物聯(lián)網(wǎng)移動(dòng)感知服務(wù)框架。

圖1 物聯(lián)網(wǎng)移動(dòng)感知服務(wù)框架

移動(dòng)感知層主要是通過RFID標(biāo)簽與閱讀器、真實(shí)物體標(biāo)識(shí)碼等靜態(tài)感知節(jié)點(diǎn)以及真實(shí)用戶、車輛等移動(dòng)感知節(jié)點(diǎn)，獲取和近距離傳輸真實(shí)物理世界相關(guān)實(shí)體對(duì)象的屬性信息、用戶身份信息、靜態(tài)位置及其活動(dòng)軌跡、時(shí)間和空間信息等感知數(shù)據(jù)。網(wǎng)絡(luò)互連層主要利用無線通信網(wǎng)絡(luò)、有線數(shù)據(jù)傳輸網(wǎng)絡(luò)、移動(dòng)通信網(wǎng)絡(luò)等實(shí)現(xiàn)感知數(shù)據(jù)和服務(wù)響應(yīng)結(jié)果數(shù)據(jù)的傳輸與交換。資源調(diào)度層是通過感知服務(wù)應(yīng)用API或感知服務(wù)中間件接收網(wǎng)絡(luò)互連層傳輸來的用戶或終端實(shí)體對(duì)象發(fā)送的服務(wù)請(qǐng)求命令，根據(jù)統(tǒng)一資源管理策略實(shí)現(xiàn)智能處理層計(jì)算節(jié)點(diǎn)、云數(shù)據(jù)存儲(chǔ)節(jié)點(diǎn)、智能信息處理服務(wù)等資源的調(diào)度與實(shí)時(shí)狀態(tài)監(jiān)控，并將最終的感知服務(wù)結(jié)果數(shù)據(jù)返回給目標(biāo)用戶或終端實(shí)體對(duì)象，從而實(shí)現(xiàn)感知服務(wù)層的各種移動(dòng)感知應(yīng)用服務(wù)。

2.2 隱私安全需求

如表1所示，物聯(lián)網(wǎng)環(huán)境中移動(dòng)感知服務(wù)涉及的數(shù)據(jù)隱私主要包括靜態(tài)數(shù)據(jù)、動(dòng)態(tài)數(shù)據(jù)、派生數(shù)據(jù)三大類。隱私安全保護(hù)就是要保護(hù)這三類數(shù)據(jù)在采集、傳輸、存儲(chǔ)、處理與發(fā)布過程中的安全，防止被篡改、竊取、泄漏、丟失、干擾等，確保用戶在獲取目標(biāo)感知服務(wù)響應(yīng)結(jié)果的同時(shí)，與該服務(wù)相關(guān)的物品屬性信息以及用戶身份信息、位置信息、個(gè)人信息等隱私數(shù)據(jù)的可控性、真實(shí)性、完整性。

表1 移動(dòng)感知服務(wù)涉及的數(shù)據(jù)隱私

3 移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)

3.1 隱私保護(hù)模型的設(shè)計(jì)

如圖2所示，物聯(lián)網(wǎng)移動(dòng)感知服務(wù)的基本模式是終端用戶發(fā)送服務(wù)請(qǐng)求到感知服務(wù)端，感知服務(wù)端對(duì)接收到的服務(wù)請(qǐng)求進(jìn)行處理后返回服務(wù)響應(yīng)結(jié)果給終端用戶。其中，移動(dòng)感知服務(wù)的終端用戶不僅包括傳統(tǒng)用戶 （人）、而且包括各類感知節(jié)點(diǎn)、被監(jiān)控或被控制的物理實(shí)體對(duì)象、各種感知服務(wù)系統(tǒng)終端平臺(tái)等。隱私保護(hù)的對(duì)象就是終端用戶發(fā)往感知服務(wù)端的感知數(shù)據(jù)和查詢請(qǐng)求以及感知服務(wù)端反饋給終端用戶的控制信息和查詢結(jié)果，防止被非法竊取、泄漏、篡改等，保證數(shù)據(jù)的完整性、可信性、機(jī)密性和可控性。

圖2 移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)模型

差分隱私保護(hù)是一種通過添加噪聲使原始數(shù)據(jù)失真的隱私保護(hù)技術(shù)，在數(shù)據(jù)集中添加或刪除某一個(gè)記錄之后并不會(huì)影響查詢處理的結(jié)果，而且所加入的噪聲大小與數(shù)據(jù)集大小無關(guān)，對(duì)于大型數(shù)據(jù)集僅需添加少量噪聲即可達(dá)到很好的隱私保護(hù)效果［17］。例如，文獻(xiàn) ［17］在云計(jì)算平臺(tái)上采用差分隱私保護(hù)技術(shù)和幾種信息流控制技術(shù)開發(fā)了一種稱為Airavat的隱私保護(hù)系統(tǒng)，可防止云數(shù)據(jù)計(jì)算過程中的隱私數(shù)據(jù)泄漏，并支持對(duì)云計(jì)算結(jié)果的自動(dòng)解密；文獻(xiàn)［19］以Facebook為例研究差分隱私保護(hù)方法在線個(gè)性化網(wǎng)絡(luò)廣告數(shù)據(jù)發(fā)布中的隱私保護(hù)；文獻(xiàn) ［20］采用差分隱私保護(hù)技術(shù)保護(hù)基于協(xié)同過濾的個(gè)性化推薦系統(tǒng)用戶的隱私安全，實(shí)現(xiàn)了社會(huì)感知計(jì)算環(huán)境中的數(shù)據(jù)隱私保護(hù)。面向移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)流程為終端用戶在提交服務(wù)請(qǐng)求Q的同時(shí)添加一個(gè)利用Laplace分布函數(shù)生成的隨機(jī)噪聲，感知服務(wù)端對(duì)添加了噪聲的服務(wù)請(qǐng)求進(jìn)行處理并將處理結(jié)果R返回給終端用戶。這樣，物聯(lián)網(wǎng)移動(dòng)感知服務(wù)平臺(tái)的網(wǎng)絡(luò)交互層、資源調(diào)度層、智能處理層并不能得知準(zhǔn)確的服務(wù)請(qǐng)求數(shù)據(jù)Q和服務(wù)響應(yīng)結(jié)果數(shù)據(jù)R，應(yīng)用服務(wù)層只有得到終端用戶持有的隱私參數(shù)才能得到準(zhǔn)確的移動(dòng)感知服務(wù)數(shù)據(jù)內(nèi)容，從而保護(hù)海量物聯(lián)網(wǎng)移動(dòng)感知服務(wù)的數(shù)據(jù)隱私安全。

3.2 隱私保護(hù)模型的算法實(shí)現(xiàn)

設(shè)保密參數(shù)為ε，移動(dòng)感知服務(wù)計(jì)算函數(shù)為f，服務(wù)請(qǐng)求數(shù)據(jù)集為Q，輸入的服務(wù)請(qǐng)求函數(shù)即為f （Q），實(shí)際得到的服務(wù)響應(yīng)結(jié)果為R，K為隨機(jī)變量，通過在輸入的服務(wù)請(qǐng)求函數(shù)f （Q）上添加滿足Laplace分布的隨機(jī)噪聲Noise即可得到ε－差分隱私保護(hù)函數(shù)［21］

其中，對(duì)于兩個(gè)相鄰服務(wù)請(qǐng)求數(shù)據(jù)集A和B來說，移動(dòng)感知服務(wù)函數(shù)f的隱私敏感程度 （Sensitivity）Δf的計(jì)算方法為［22］

值得注意的是ε－差分隱私保護(hù)函數(shù)R的隱私敏感程度Δf對(duì)于大多數(shù)服務(wù)請(qǐng)求來說都是非常小，且與服務(wù)請(qǐng)求數(shù)據(jù)集Q無關(guān)；加入的隨機(jī)噪聲Noise與隱私敏感程度Δf成正比、與保密參數(shù)ε成反比［23］。在滿足差分隱私保護(hù)算法要求時(shí)，保密參數(shù)ε的值越小，加入的隨機(jī)噪聲就越多，對(duì)于海量移動(dòng)感知服務(wù)數(shù)據(jù)的隱私保護(hù)就越好，同時(shí)終端用戶可根據(jù)隱私保護(hù)的實(shí)際需求設(shè)置保密參數(shù)ε實(shí)際值的大小，從而控制移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)程度。

3.3 安全性與性能分析

對(duì)于物聯(lián)網(wǎng)移動(dòng)感知服務(wù)的差分隱私保護(hù)來說，即使攻擊者已知服務(wù)請(qǐng)求數(shù)據(jù)集中除一條記錄之外的所有其他數(shù)據(jù)內(nèi)容，依然可保護(hù)這條數(shù)據(jù)記錄的隱私安全。同時(shí)，本文所設(shè)計(jì)的數(shù)據(jù)隱私保護(hù)模型采用了比較靈活的ε－差分隱私保護(hù)算法，不僅可提高移動(dòng)感知服務(wù)響應(yīng)結(jié)果的準(zhǔn)確性，而且只需在數(shù)據(jù)感知層提交服務(wù)請(qǐng)求數(shù)據(jù)時(shí)根據(jù)用戶對(duì)隱私保護(hù)要求 （即終端用戶設(shè)置的保密參數(shù)ε）加入一個(gè)相應(yīng)的隨機(jī)噪聲即可實(shí)現(xiàn)相關(guān)服務(wù)請(qǐng)求數(shù)據(jù)和響應(yīng)結(jié)果數(shù)據(jù)的隱私保護(hù)，使物聯(lián)網(wǎng)移動(dòng)感知服務(wù)的數(shù)據(jù)隱私保護(hù)不再因終端用戶設(shè)備的局限性而受限甚至影響用戶終端設(shè)備的正常性能。

4 結(jié)束語

針對(duì)物聯(lián)網(wǎng)移動(dòng)感知服務(wù)框架及其涉及的海量數(shù)據(jù)隱私安全需求進(jìn)行分析，研究在保證感知服務(wù)質(zhì)量和響應(yīng)速度的同時(shí)，如何采用差分隱私技術(shù)保護(hù)移動(dòng)感知服務(wù)的數(shù)據(jù)隱私安全。數(shù)據(jù)隱私保護(hù)模型及其實(shí)現(xiàn)算法的分析表明，差分隱私保護(hù)技術(shù)能夠滿足物聯(lián)網(wǎng)移動(dòng)感知服務(wù)中感知數(shù)據(jù)、查詢請(qǐng)求、控制信息、查詢結(jié)果等對(duì)可信性、機(jī)密性和完整性等隱私安全保護(hù)要求。

：

［1］Maki.Smart shopper［EB／OL］.［2012－08－06］.http：／／www.makiapps.com／current－projects／.

［2］Stanford University.Stanford mobile aware web project ［EB／OL］. ［2012－08－06］.http：／／www.stanford.edu／dept／its／projects／mobile／aware／info／.

［3］HE Xin，SONG Yalin，AN Jian，et al.Study on Internet of things technologies based on mobile sense ［J］.Application Research of Computers，2011，28 （7）：2407－2410 （in Chinese）.［何欣，宋亞林，安健，等.移動(dòng)感知物聯(lián)網(wǎng)技術(shù)研究 ［J］.計(jì)算機(jī)應(yīng)用研究，2011，28 （7）：2407－2410.］

［4］ZHU Weiling，YU Jianping.A privacy preserving three－party authentication protocol for RFID systems in the internet of things ［J］.Journal of Shenzhen University Science and Engineering（Science ＆Engineering Edition），2012，29 （2）：95－99 （in Chinese）.［朱煒玲，喻建平.物聯(lián)網(wǎng)RFID系統(tǒng)隱私保護(hù)三方認(rèn)證協(xié)議 ［J］.深圳大學(xué)學(xué)報(bào) （理工版），2012，29 （3）：95－99.］

［5］Vladimir Oleshchuk.Internet of things and privacy preserving technologies［C］／／Proceedings of the 1st International Conference on Wireless Communication，Vehicular Technology，Information Theory and Aerospace ＆ Electronic Systems Technology.Piscataway，NJ，USA：IEEE，2009：336－340.

［6］QIAN Ping，WU Meng.Survey of privacy preserving data mining methods based on homomorphic encryption ［J］.Application Research of Computers，2011，28 （5）：1614－1617 （in Chinese）.［錢萍，吳蒙.同態(tài)加密隱私保護(hù)數(shù)據(jù)挖掘方法綜述 ［J］.計(jì)算機(jī)應(yīng)用研究，2011，28 （5）：1614－1617.］

［7］BAO Lei，ZHANG Daiyuan，WU Jiabao.Internet of things and privacy preserving technologies ［J］.Journal of Electronic Science and Technology，2010，23 （7）：110－112 （in Chinese）. ［暴磊，張代遠(yuǎn)，吳家寶.物聯(lián)網(wǎng)與隱私保護(hù)技術(shù)［J］.電子科技，2010，23 （7）：110－112.］

［8］WANG Pingshui，WANG Jiandong.Progress of research on anonymization privacy－preserving techniques ［J］.Journal of Application Research of Computers，2010，27 （6）：2016－2019（in Chinese）.［王平水，王建東.匿名化隱私保護(hù)技術(shù)研究進(jìn)展 ［J］.計(jì)算機(jī)應(yīng)用研究，2010，27 （6）：2016－2019.］

［9］XU Yong，WANG Hao，LI Dongqin.A survey on anonymous privacy preserving method for data publishing ［J］.Journal of Intelligence，2011，30 （8）：128－133 （in Chinese）.［徐勇，王浩，李東勤.數(shù)據(jù)發(fā)布領(lǐng)域匿名隱私保護(hù)相關(guān)技術(shù)研究 ［J］.情報(bào)雜志，2011，30 （8）：128－133.］

［10］ZHU Qing，ZHAO Tong，WANG Shan.Privacy preservation algorithm for service－oriented information search ［J］.Chinese Journal of Computers，2010，33 （8）：1315－1324 （in Chinese）.［朱青，趙桐，王珊.面向查詢服務(wù)的數(shù)據(jù)隱私保護(hù)算法 ［J］.計(jì)算機(jī)學(xué)報(bào)，2010，33 （8）：1315－1324.］

［11］LIU Yinghua，LIU Yongbin，LI Guangyuan，et al.An enhanced personalized privacy preserving k－anonymity model［J］.Microelectronics ＆Computer，2011，28 （8）：4－8 （in Chinese）. ［劉英華，劉永彬，李廣原，等.一種增強(qiáng)的個(gè)性化匿名隱私保護(hù)模型 ［J］.微電子學(xué)與計(jì)算機(jī)，2011，28 （8）：4－8.］

［12］WU Zhenqiang，ZHOU Yanwei，QIAO Zirui.A controllable and trusted anonymous communication scheme ［J］.Chinese Journal of Computers，2010，33 （9）：1686－1702 （in Chinese）.［吳振強(qiáng)，周彥偉，喬子芮.一種可控可信的匿名通信方案 ［J］.計(jì)算機(jī)學(xué)報(bào)，2010，33 （9）：1686－1702.］

［13］ZHANG Zhiming，DENG Jiangang，ZOU Chengwu，et al.Secure and effective anonymous communication scheme for wireless sensor network ［J］.Journal of Computer Applications，2009，29 （9）：2351－2354 （in Chinese）. ［章志明，鄧建剛，鄒成武，等.安全有效的無線傳感器網(wǎng)絡(luò)匿名通信方案 ［J］.計(jì)算機(jī)應(yīng)用，2009，29 （9）：2351－2354.］

［14］WU Zhenqiang，MA Yalei.A novel anonymous communication model：Coding mix ［J］.Journal of Wuhan University（Natural Science Edition），2011，57 （5）：401－407 （in Chinese）.［吳振強(qiáng)，馬亞蕾.編碼混淆：一種新型匿名通信模型 ［J］.武漢大學(xué)學(xué)報(bào) （理學(xué)版），2011，57 （5）：401－407.］

［15］QIAN Ping，WU Meng.A survey on privacy preservation in IoT ［DB／OL］. ［2012－09－11］.http：／／www.cnki.net／kcms／detail／51.1196.TP.20120911.1704.068.html（in Chinese）.［錢萍，吳蒙.物聯(lián)網(wǎng)隱私保護(hù)研究與方法綜述 ［DB／OL］.［2012－09－11］.http：／／www.cnki.net／kcms／detail／51.1196.TP.20120911.1704.068.html.］

［16］LI Yang，WEN Wen，XIE Guangqiang.Survey of research on differential privacy ［J］.Application Research of Compu－ters，2012，29 （9）：3201－3205 （in Chinese）.［李楊，溫雯，謝光強(qiáng).差分隱私保護(hù)研究綜述 ［J］.計(jì)算機(jī)應(yīng)用研究，2012，29 （9）：3201－3205.］

［17］Moritz Hardt，Katrina Ligett，F(xiàn)rank McSherry.A simple and practical algorithm for differentially private data release ［DB／OL］.［2012－11－25］.http：／／arxiv.org／pdf／10－12.4763v2.pdf.

［18］Roy I，Ramadan H E，Setty S T V，et al.Airavat：Security and privacy for MapReduce ［DB／EL］.［2012－04－07］.http：／／www.cs.utexas.edu／users／witchel／pubs／roy10nsdi－airavat.pdf.

［19］Yehuda Lindell，Eran Omri.A practical application of deferential privacy to personalized online advertising ［ED／OL］.［2011－03－30］.http：／／eprint.iacr.org／2011／152.pdf.

［20］Frank McSherry，Ilya Mironov.Differentially private recommender systems：Building privacy into the netflix prize contenders ［ED／OL］.［2012－09－27］.http：／／arxiv.org／pdf／1111.2885.pdf.

［21］Rob Hall，Alessandro Rinaldo，Larry Wasserman.Random differential privacy ［J］.Journal of Privacy and Confidentiality，2011 （12）：1－12.

［22］Shoaran M，Thomo A，Weber J.Differential privacy in practice ［C］／／Proceedings of Secure Data Management，Istanbul，Turkey，2012，7482 （8）：14－24.

［23］Pranav Dandekar，Nadia Fawaz，Stratis Ioannidis.Privacy auctions for recommender systems ［EB／OL］. ［2012－11－11］.http：／／arxiv.org／pdf／1111.2885v2.pdf.