無線網(wǎng)絡安全 課件 第11章 分布保持的LBS位置隱私保護方案

分布保持的LBS位置隱私

保護方案研究背景預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目引言分布保持的LBS位置隱私保護方案引言基于位置的服務（Location-BasedService，LBS）是現(xiàn)代社會最常用的移動應用之一，其為用戶提供位置相關(guān)的實時服務。最近的一項商業(yè)研究預測在2017—2025年，全球的LBS市場將以19.9%的復合年增長率迅速增長，市場價值預估將達到997.7億美元。興趣點查詢智慧城市感知社交地圖導航LBS服務盡管LBS可以極大地方便用戶的日常生活，但是也存在著嚴重的隱私問題。當用戶提交其當前位置時，LBS服務器可能會收集他們的位置，并獲取相關(guān)敏感信息。為此，研究人員提出利用傳統(tǒng)的密碼學技術(shù)，如同態(tài)加密、隱私信息檢索等實現(xiàn)對用戶位置信息的保護。但是這些基于密碼學的方法往往會導致巨大的計算開銷，從而降低其部署應用的可行性。為了降低計算開銷，研究人員基于差分隱私，提出了地理不可區(qū)分性模型實現(xiàn)對用戶位置信息的保護。然而，這些工作忽略了位置隱私保護過程中用戶分布的可用性，從而降低了用戶分布的價值。引言研究現(xiàn)狀在當前的隱私保護LBS方案中，基于密碼學的工作可行性較低，而基于地理不可區(qū)分性模型的工作降低了用戶分布的價值。因此，如何以較低的開銷實現(xiàn)LBS隱私保護，同時提升用戶分布的可用性是隱私保護LBS中亟待解決的問題。為解決上述問題，本章提出了一種分布保持的LBS隱私保護方案引言提出了一種新的隱私定義，稱為DistPreserv，旨在于為用戶提供嚴格的位置隱私保護的同時，使得LBS服務器獲得有效的用戶位置分布。隨后在激勵相容性的目標追求下，借助于差分隱私指數(shù)機制，提出一種隱私保護的LBS查詢方案以令用戶與服務提供方同時受益。提供了理論分析，以證明本章所提出的方案既滿足DistPreserv的定義，又滿足激勵相容性的性質(zhì)。引言預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目分布保持的LBS位置隱私保護方案預備知識系統(tǒng)模型本章系統(tǒng)模型主要由兩個實體組成，包括LBS服務器和用戶。用戶根據(jù)自己的位置向LBS服務器發(fā)送查詢，以獲取附近的興趣點。每個查詢中包含的位置可以是用戶的當前位置，也可以是根據(jù)用戶的隱私要求生成的位置。用戶可以從LBS獲得兩個方面的實用性，一個是通過從LBS服務器獲取附近的興趣點信息，另一個是公共效用，它對應于從其報告的位置聚合的用戶分布。同時，用戶希望他們的行蹤被LBS服務器隱藏，該服務器不可以觀察查詢中的位置。預備知識威脅模型與LBS的一般假設(shè)類似，LBS服務器本身被視為誠實而好奇的攻擊者，這意味著它將根據(jù)既定規(guī)則誠實地向用戶提供服務，但可能好奇地從用戶的LBS查詢中推斷出用戶的真實位置。更正式地說，我們引入了一個攻擊者A*，它的目標是LBS服務器。A*的功能描述如下：A*會損害LBS服務器，從而根據(jù)接收到的LBS查詢推斷用戶的真實位置。此外，假設(shè)系統(tǒng)中的用戶是理性的。具體來說，當用戶當前對隱私不敏感時，他更喜歡在LBS查詢中報告他的真實位置，以獲得更好的服務。否則，他會更喜歡執(zhí)行隱私保護LBS查詢，以使他的行蹤保密。在上述兩種情況下，用戶不需要關(guān)心其他用戶的隱私。此外，由于LBS服務器被認為是誠實而好奇的，它不能被視為理性的參與者，而只能被視為攻擊者。預備知識在本節(jié)的工作中，我們的目標是在LBS查詢過程中保護用戶的位置隱私，同時使LBS服務器獲得的用戶的整體位置分布盡可能可用?？偟膩碚f，本節(jié)工作的設(shè)計目標可以總結(jié)如下：位置隱私：用戶在查詢LBS時應保護位置隱私；分布保護：用戶隱私保護的LBS查詢應盡可能向LBS服務器提供有效的位置分布信息；激勵兼容性：用戶和LBS服務器都應該受益于這種模式，采用隱私保護查詢的用戶的利益不應該受到其他用戶執(zhí)行真實位置查詢的損害；LBS準確性：對于單個用戶，應保證其LBS查詢的準確性。設(shè)計目標分布保持的LBS位置隱私保護方案引言預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目方案設(shè)計為了在LBS服務中保護用戶的隱私。我們首先基于差分隱私提出一種新的隱私定義——“隱私分布保持性”即DistPreserv。該定義旨在于為用戶提供嚴格的位置隱私保護的同時，使得LBS服務器獲得有效的用戶位置分布。隨后在激勵相容性的目標追求下，借助于差分隱私指數(shù)機制，提出一種隱私保護的LBS查詢方案以令用戶與服務提供方同時受益。從而既能夠有效保護LBS服務中用戶位置隱私，又能夠令服務提供方獲得有價值的用戶位置分布。首先我們先詳細介紹DistPreserv的定義，然后介紹滿足該性質(zhì)的LBS隱私保護方案。方案設(shè)計

隱私分布保持性（DistPreserv）方案設(shè)計為了在保護位置隱私的同時獲得附近的興趣點，用戶應該擾動當前位置以產(chǎn)生擾動位置。具體地，我們首先介紹為用戶生成擾動位置的方法，然后解釋用戶如何根據(jù)擾動位置和返回結(jié)果的預期精度確定檢索區(qū)域。最后給出了一種LBS服務器在提供LBS服務時獲得用戶近似分布的方法。保護隱私的LBS方案方案設(shè)計為了保護隱私，用戶應該首先通過移動設(shè)備上的定位系統(tǒng)獲取他的當前位置，然后，他向LBS服務器提交宏區(qū)域（如城市和地區(qū)），而不是直接報告真實位置。用戶可以根據(jù)獲得的位置分布信息獲得相關(guān)的服務。按照上述步驟，用戶將其真實位置映射到所得到的分布上，并期望根據(jù)用戶真實位置與其他位置

之間的歐氏距離和請求率差產(chǎn)生一個擾動位置。為了使這個過程滿足DistPreserv，將采用差分隱私指數(shù)機制。方案的目標是保護用戶的位置隱私，通過歐幾里德距離和請求率測量，使其真實位置與相似位置無法區(qū)分，這意味著用戶需要以更高的概率將其真實位置擾動到空間和請求率方面更相似的位置。為實現(xiàn)這一目標，設(shè)計了一個效用函數(shù)，來評估每個離散單元的效用。具體地，，其中,和均為內(nèi)的位置元，和分別表示和處的請求速率。面向用戶的位置擾動機制方案設(shè)計用戶生成擾動位置后,獲得擾動位置周圍興趣點信息。檢索區(qū)域(AOR)應該覆蓋用戶所感興趣的區(qū)域。為了確定檢索區(qū)域，本章節(jié)首先引入了LBS精確率的概念，表示用戶獲得期望的完整興趣點信息的概率，即AOR完全覆蓋用戶感興趣區(qū)域(AOI)的概率。具體來說，用和來表示AOR和AOI的半徑，表示圓心為半徑為的圓，表示準確性置信度。如果對于所有，完全包含在中的概率不小于，則是精確的。本章節(jié)采用動態(tài)規(guī)劃計算滿足精度需求的最小。當隨著單位距離步長逐漸增加時，檢查中候選位置的概率和，即將滿足的所有的和表示為。在累積過程中，當?shù)谝淮尾恍∮跁r，為。此時，滿足精度需求的最小

為。檢索區(qū)域的確定方案設(shè)計查詢過程和用戶分布生成

為了查詢當前位置附近的興趣點，并以保密的方式獲取其宏觀區(qū)域的位置分布信息，用戶獲取服務所需的過程如下。①執(zhí)行預查詢。具體來說，用戶向LBS服務器發(fā)送其宏位置，然后獲取中用戶位置分布信息作為其公共效用；②生成擾動位置與檢索半徑，然后用戶向LBS服務器報告，以獲取AOR中的興趣點；③用戶根據(jù)由自己的AOI過濾獲得的興趣點獲得個人利益。由于用戶的位置分布不是靜態(tài)的，LBS服務器在統(tǒng)計用戶報告位置的過程中執(zhí)行動態(tài)更新。具體而言，LBS服務器執(zhí)行的步驟如下：①服務器等待并接收用戶的預查詢。如果在時隙收到預查詢，則返回在宏位置的時隙中聚合的全局用戶位置分布；②LBS服務器接收用戶提交的報告位置和檢索半徑，然后返回AOR中的興趣點；③當時隙到達時，LBS服務器根據(jù)在時隙采集到的報告位置更新在時隙的分布。方案設(shè)計引言預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目機制分析

PPT此處不做過多展示，詳情證明請見正文11.5節(jié)分布保持的LBS位置隱私保護方案引言預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目實驗

實驗設(shè)置參數(shù)和數(shù)據(jù)集設(shè)置：分別采用了模擬數(shù)據(jù)集和真實數(shù)據(jù)集。在模擬實驗中，假設(shè)隨機區(qū)域被劃分為50×50的網(wǎng)格。在真實實驗中，將北京市五環(huán)內(nèi)的區(qū)域劃分為100×100的網(wǎng)格。

實驗

用戶位置分布的可用性(b)JS散度與預期用戶數(shù)的關(guān)系（模擬實驗）（d）JS散度與參與用戶的關(guān)系（真實實驗）

平面拉普拉斯機制在擾動后逐漸失去用戶分布的可用性，但本方案仍有效地保持擾動后的用戶位置分布。實驗

LBS查詢的查準率和查全率

本方案在查全率方面優(yōu)于平面拉普拉斯機制，在查準率方面則不如平面拉普拉斯機制。實驗

LBS查詢的查準率和查全率(a)召回率與興趣區(qū)域半徑的關(guān)系（真實實驗）(b)精確率與興趣區(qū)域半徑的關(guān)系（真實實驗）

本方案在查全率方面優(yōu)于平面拉普拉斯機制，在查準率方面則不如平面拉普拉斯機制。實驗

計算開銷(b)計算延遲與預期用戶數(shù)的關(guān)系（真實實驗）

本方案比對比方案平面拉普拉斯機制具有更低的計算開銷。實驗

帶寬開銷

本章方案可以提供高水平的隱私，在受到干擾后保持用戶分布，并獲得相當準確的查詢，因此需要在查詢中使用更大的檢索半徑，帶寬開銷更高。LBS中隱私增強的分布式K-匿名激勵機制引言預備知識方案設(shè)計方案分析實驗本章小結(jié)思考題目本章小結(jié)

總結(jié)由于現(xiàn)有的地理位置索引隱私保護方法在位置擾動后破壞了用戶查詢的真實分布，本章提出了一種新的隱私定義——DistPreserv，以在位置擾動后盡可能保留用戶分布特征，從而同時為LBS服務器和用戶帶來益處。首先，本章設(shè)計了一種機制，用于生成滿足該隱私定義的擾動位置；接著，提出了一種檢索半徑的確定方法，使用戶在保護位置隱私的同時獲得理想的查詢精度；最后，探討了LBS服務器與用戶之間在實現(xiàn)過程中的交互問題。理論分析表明，本方案能夠?qū)崿F(xiàn)預期的隱私保護水平并保證激勵相容性。實驗結(jié)果