摘要

随着共享经济的发展，众包作为一种分布式计算模式已经越来越普遍。作为大多数众包应用程序不可或缺的服务之一，任务匹配也得到了广泛的探索。但是，在任务匹配期间通常会忽略隐私问题，并且很少有现有的隐私保护众包机制可以同时保护任务隐私和工作者隐私。

本文系统地分析了任务匹配中的隐私泄露和潜在威胁，并提出了一种单关键字任务匹配方案，用于多工作者/多工作众包的高效工作者撤销。所提出的方案不仅保证了数据机密性和身份匿名性，而且还保证了针对不诚实或被撤销的工作者的查询可追踪性。详细的隐私分析和全面的绩效评估表明，该方案是安全可行的。

关键字

匿名，众包，隐私，撤销，任务匹配，可追溯性

1、说明

作为众包的关键服务，任务匹配引起了研究界和业界的广泛关注。由于要求和查询通常包含敏感信息，因此，在任务匹配期间，必须保护任务隐私和工作者隐私免受众包服务器的影响。

代理重加密是实现多用户SE的主要技术。但是，在这些基于代理的解决方案中，用户的身份需要与服务器端重新加密的加密数据一起显式传输到服务器，这将导致身份泄露。

另一种替代的解决方案是利用广播加密为每个用户生成不同的秘密密钥，因此每个用户都可以用自己的密钥查询加密数据。但是，由于用户密钥都是从公共主密钥导出的，因此用户撤销将会导致重新计算和重新分配新密钥的高开销。

本文的主要贡献可归纳如下：

1）本文系统地分析了众包任务匹配中的隐私泄露和潜在威胁，并针对众包服务器、不诚实工作者和被撤销的工作者定义了一套隐私要求。

2）与基于代理的解决方案相比，所提出的方案在不泄露身份隐私的情况下实现了任务匹配。

3）与基于广播的解决方案相比，所提出的方案在众包服务器开销最小的情况下支持有效的工作者撤销，同时无需重新计算就能够将新密钥重新分配给非调查工作者。

2、相关工作

本文涉及三个研究课题：1）众包中的任务匹配; 2）可搜索的加密（SE）; 3）组签名。

A．众包中的任务匹配

我们首先同时考虑了工作者隐私和任务隐私，并利用代理重新加密来实现单关键字和多关键字匹配，在任务匹配期间没有来自代理的任何交互式帮助。

B.可搜索的加密（SE）

SE是实现加密任务工作者匹配的潜在方式。根据其应用场景，SE的模型一般可分为四类：1）单所有者/单用户; 2）多所有者/单用户; 3）单所有者/多用户; 4）多所有者/多用户。

C.组签名

成员撤销是动态群的一个重要研究课题，一般有三种不同的撤销机制。第一种机制使组管理器能够更新组公钥，重新计算；另一种机制称为验证器本地撤销，其中撤销消息只发送给签名验证器；最后一种机制是允许组管理器更新组公钥，签名者自己更新其私有签名密钥。

3、问题公式化

A.系统模型

我们考虑一个动态众包系统，如图1所示，众包系统中有四个实体：1）关键经理（KM）；2）众包服务提供商（众包服务器）；3）多个请求者；4）多个工作者。KM负责系统初始化、工作者注册和撤销。发布任务时，请求者对任务的需求进行加密，然后将需求密文与任务内容以加密形式发布到众包服务器。为了检索感兴趣的任务，工作者使用其密钥在查询上生成陷阱门和签名，并将它们提交给众包服务器。当接收到查询请求时，众包服务器对工作者进行身份验证，并通过将需求与TrapDoor匹配来将匹配的任务发送给工作者，工作者可以解密任务内容并执行它们。

B.威胁模型和隐私要求

众包服务器被假定为“诚实但好奇”，即，它将诚实地执行协议，但它好奇地从密文、陷阱门和签名中获取隐私和敏感信息。

工作者并不总是完全信任的。它们可以分为两类。

1） 不诚实的工作者是系统中的合法工作者，但可能不诚实，因为它可能向其他不正当（外部）工作者泄露其秘密密钥以获取利润。

2） 被撤销的工作者是合法工作者，但现在没有权限搜索群服务器上的加密任务。撤销后，可以伪造当前合法的工作者向众包服务器发送查询。

基于上述对手，我们设置了以下隐私要求。

1） 保密性：密文和陷阱门应受到众包服务器的保护。

2） 匿名性：考虑到来自合法工作者的查询，众包服务器和其他内部或外部工作者无法辨别他们的身份，并决定是否有两个查询来自同一个工作者。

3） 可追溯性：查询的基础标识始终可以由KM识别。它包括合法工作者的查询不能被任何外部工作者伪造的不可原谅性，以及使被撤销工作者不再具有查询权限的可撤销性。

4、方案建设

在本节中，我们构建了一个基于短组签名和PEKS的单关键字任务匹配方案。如图2所示，本方案的工作流程如下。

1） 系统初始化：KM初始化系统，为请求者和注册工作者分配密钥。

2） 任务匹配：给定请求者和工作者的加密任务需求和陷阱门，众包服务器分别执行任务匹配过程。

3） 查询验证和跟踪：工作者对其查询进行签名，并将已签名的查询提交给众包服务器。众包服务器验证接收到的查询的有效性，并与KM合作跟踪可疑查询的基础标识。

4） 工作者撤销：KM撤销离职工作者，其余未被撤销的工作者独立更新他们的私钥。

根据隐私要求的定义，拟议方案实现了以下保密性、匿名性和可追溯性。

1） 保密性：该方案在随机Oracle模型中是IND-CKA安全的。即对手不能区分两个任意关键字的密文，除非有相应的陷门。因此，密文和陷阱门得到了很好的保护。

2） 匿名性：该方案在保证线性加密安全的前提下，在随机Oracle模型中实现CPA完全匿名。CPA完全匿名的定义也获取了查询的不链接性。即除非有权跟踪签名，否则对手无法将组签名与两个任意的工作者区分开来。因此，工人身份隐私得到了很好的保护。

3） 可追溯性：该方案在随机Oracle模型中实现了内部可追溯性。即对手无法创建有效的组签名，这些签名无法追踪或追溯到好的工作者。内幕跟踪的定义还获取了查询不可伪造性和可撤销性。

5、性能分析

在本节中，我们通过理论分析和实验实施，与最先进的方案进行比较，评估了拟议方案（用APTM表示）的性能。

我们实现了四种方案中的所有算法。表二列出了APTM与其他三个方案在实用性和安全性方面的主要区别。同时，我们分别从计算复杂度和通信成本两个方面分析了所有方案的每种算法（见表三表四）。

与基于代理的解决方案（MSDE和MuED）相比，APTM支持匿名匹配，不泄漏工作者的身份，同时消除了众包服务器上重密钥的存储成本。与基于广播的解决方案（SEMEKS）相比，APTM实现了高效的撤销和可追溯性。与这两种方案相比，APTM可以很容易地实现多种匹配功能，包括但不限于单关键字匹配。此外，APTM还抵抗了MSDE中的服务器用户合谋攻击，避免了在MUED中进行关键字加密时服务器所有者之间的交互。

然后，我们对所涉及的每个实体进行详细的性能评估，包括KM、每个请求者、每个工作者和众包服务器。

KM: APTM中KM的开销主要来自三个部分：1）系统初始化；2）工作者撤销；3）签名跟踪。

在系统初始化时，KM需要生成公钥和密钥，并将密钥传输给所有工作者。APTM中密钥的传输成本比SEMEKS中密钥的传输成本低，但比MSEK和MuED中密钥的传输成本高。然而，与MSDE和MuED相比，APTM节省了重密钥到众包服务器的传输成本。APTM略优于MuED，远优于SEMEKS。

请求者：为了评估需求加密的效率，我们改变k的值来度量ENC算法的计算成本，如图4所示。我们可以观察到，虽然APTM的时间成本比MSDE和MuED略高，但远低于SEMEKS。此外，在所有方案中，APTM中密文的通信成本最小。

工作者：APTM中工作者的主要工作包括生成陷阱门和签名，以及更新组私有签名密钥。图5（a）表明APTM远优于SEMEKS，而且随着关键字数量的增加，APTM将比MSDE更高效。图5（b）表明，对于少数新被撤销的工作者来说，更新时间成本是相当有效的。

众包服务器：众包服务器的成本包括签名验证成本和陷阱门匹配成本。图6（a）表明， SEMEKS和APTM的匹配时间随关键字的个数线性增加，而MSDE和MuED都不敏感。图6（b）表明，所有方案中的匹配时间都随着关键字TrapDoors（k）数量的增加而增加。尽管APTM比MSDE和MuED更耗时，但它比SEMEKS更高效。此外，在更强大的基于云的众包平台上的匹配时间将大大缩短，以供实际使用。

6、结论

本文系统地研究了众包任务匹配过程中的隐私问题，定义了一套针对众包服务器、不诚实员工和被撤销员工的隐私要求，然后在多请求者/多工作者环境中设计了一个单关键字任务匹配方案。与现有的基于代理和基于广播的解决方案相比，该方案实现了身份匿名和有效撤销，同时可以适应于实现各种匹配功能。最后，从理论和实验两方面分析了该方案的性能。