无线网络安全 课件 第11章 分布保持的LBS位置隐私保护方案

分布保持的LBS位置隐私

保护方案研究背景预备知识方案设计方案分析实验本章小结思考题目引言分布保持的LBS位置隐私保护方案引言基于位置的服务（Location-BasedService，LBS）是现代社会最常用的移动应用之一，其为用户提供位置相关的实时服务。最近的一项商业研究预测在2017—2025年，全球的LBS市场将以19.9%的复合年增长率迅速增长，市场价值预估将达到997.7亿美元。兴趣点查询智慧城市感知社交地图导航LBS服务尽管LBS可以极大地方便用户的日常生活，但是也存在着严重的隐私问题。当用户提交其当前位置时，LBS服务器可能会收集他们的位置，并获取相关敏感信息。为此，研究人员提出利用传统的密码学技术，如同态加密、隐私信息检索等实现对用户位置信息的保护。但是这些基于密码学的方法往往会导致巨大的计算开销，从而降低其部署应用的可行性。为了降低计算开销，研究人员基于差分隐私，提出了地理不可区分性模型实现对用户位置信息的保护。然而，这些工作忽略了位置隐私保护过程中用户分布的可用性，从而降低了用户分布的价值。引言研究现状在当前的隐私保护LBS方案中，基于密码学的工作可行性较低，而基于地理不可区分性模型的工作降低了用户分布的价值。因此，如何以较低的开销实现LBS隐私保护，同时提升用户分布的可用性是隐私保护LBS中亟待解决的问题。为解决上述问题，本章提出了一种分布保持的LBS隐私保护方案引言提出了一种新的隐私定义，称为DistPreserv，旨在于为用户提供严格的位置隐私保护的同时，使得LBS服务器获得有效的用户位置分布。随后在激励相容性的目标追求下，借助于差分隐私指数机制，提出一种隐私保护的LBS查询方案以令用户与服务提供方同时受益。提供了理论分析，以证明本章所提出的方案既满足DistPreserv的定义，又满足激励相容性的性质。引言预备知识方案设计方案分析实验本章小结思考题目分布保持的LBS位置隐私保护方案预备知识系统模型本章系统模型主要由两个实体组成，包括LBS服务器和用户。用户根据自己的位置向LBS服务器发送查询，以获取附近的兴趣点。每个查询中包含的位置可以是用户的当前位置，也可以是根据用户的隐私要求生成的位置。用户可以从LBS获得两个方面的实用性，一个是通过从LBS服务器获取附近的兴趣点信息，另一个是公共效用，它对应于从其报告的位置聚合的用户分布。同时，用户希望他们的行踪被LBS服务器隐藏，该服务器不可以观察查询中的位置。预备知识威胁模型与LBS的一般假设类似，LBS服务器本身被视为诚实而好奇的攻击者，这意味着它将根据既定规则诚实地向用户提供服务，但可能好奇地从用户的LBS查询中推断出用户的真实位置。更正式地说，我们引入了一个攻击者A*，它的目标是LBS服务器。A*的功能描述如下：A*会损害LBS服务器，从而根据接收到的LBS查询推断用户的真实位置。此外，假设系统中的用户是理性的。具体来说，当用户当前对隐私不敏感时，他更喜欢在LBS查询中报告他的真实位置，以获得更好的服务。否则，他会更喜欢执行隐私保护LBS查询，以使他的行踪保密。在上述两种情况下，用户不需要关心其他用户的隐私。此外，由于LBS服务器被认为是诚实而好奇的，它不能被视为理性的参与者，而只能被视为攻击者。预备知识在本节的工作中，我们的目标是在LBS查询过程中保护用户的位置隐私，同时使LBS服务器获得的用户的整体位置分布尽可能可用。总的来说，本节工作的设计目标可以总结如下：位置隐私：用户在查询LBS时应保护位置隐私；分布保护：用户隐私保护的LBS查询应尽可能向LBS服务器提供有效的位置分布信息；激励兼容性：用户和LBS服务器都应该受益于这种模式，采用隐私保护查询的用户的利益不应该受到其他用户执行真实位置查询的损害；LBS准确性：对于单个用户，应保证其LBS查询的准确性。设计目标分布保持的LBS位置隐私保护方案引言预备知识方案设计方案分析实验本章小结思考题目方案设计为了在LBS服务中保护用户的隐私。我们首先基于差分隐私提出一种新的隐私定义——“隐私分布保持性”即DistPreserv。该定义旨在于为用户提供严格的位置隐私保护的同时，使得LBS服务器获得有效的用户位置分布。随后在激励相容性的目标追求下，借助于差分隐私指数机制，提出一种隐私保护的LBS查询方案以令用户与服务提供方同时受益。从而既能够有效保护LBS服务中用户位置隐私，又能够令服务提供方获得有价值的用户位置分布。首先我们先详细介绍DistPreserv的定义，然后介绍满足该性质的LBS隐私保护方案。方案设计

隐私分布保持性（DistPreserv）方案设计为了在保护位置隐私的同时获得附近的兴趣点，用户应该扰动当前位置以产生扰动位置。具体地，我们首先介绍为用户生成扰动位置的方法，然后解释用户如何根据扰动位置和返回结果的预期精度确定检索区域。最后给出了一种LBS服务器在提供LBS服务时获得用户近似分布的方法。保护隐私的LBS方案方案设计为了保护隐私，用户应该首先通过移动设备上的定位系统获取他的当前位置，然后，他向LBS服务器提交宏区域（如城市和地区），而不是直接报告真实位置。用户可以根据获得的位置分布信息获得相关的服务。按照上述步骤，用户将其真实位置映射到所得到的分布上，并期望根据用户真实位置与其他位置

之间的欧氏距离和请求率差产生一个扰动位置。为了使这个过程满足DistPreserv，将采用差分隐私指数机制。方案的目标是保护用户的位置隐私，通过欧几里德距离和请求率测量，使其真实位置与相似位置无法区分，这意味着用户需要以更高的概率将其真实位置扰动到空间和请求率方面更相似的位置。为实现这一目标，设计了一个效用函数，来评估每个离散单元的效用。具体地，，其中,和均为内的位置元，和分别表示和处的请求速率。面向用户的位置扰动机制方案设计用户生成扰动位置后,获得扰动位置周围兴趣点信息。检索区域(AOR)应该覆盖用户所感兴趣的区域。为了确定检索区域，本章节首先引入了LBS精确率的概念，表示用户获得期望的完整兴趣点信息的概率，即AOR完全覆盖用户感兴趣区域(AOI)的概率。具体来说，用和来表示AOR和AOI的半径，表示圆心为半径为的圆，表示准确性置信度。如果对于所有，完全包含在中的概率不小于，则是精确的。本章节采用动态规划计算满足精度需求的最小。当随着单位距离步长逐渐增加时，检查中候选位置的概率和，即将满足的所有的和表示为。在累积过程中，当第一次不小于时，为。此时，满足精度需求的最小

为。检索区域的确定方案设计查询过程和用户分布生成

为了查询当前位置附近的兴趣点，并以保密的方式获取其宏观区域的位置分布信息，用户获取服务所需的过程如下。①执行预查询。具体来说，用户向LBS服务器发送其宏位置，然后获取中用户位置分布信息作为其公共效用；②生成扰动位置与检索半径，然后用户向LBS服务器报告，以获取AOR中的兴趣点；③用户根据由自己的AOI过滤获得的兴趣点获得个人利益。由于用户的位置分布不是静态的，LBS服务器在统计用户报告位置的过程中执行动态更新。具体而言，LBS服务器执行的步骤如下：①服务器等待并接收用户的预查询。如果在时隙收到预查询，则返回在宏位置的时隙中聚合的全局用户位置分布；②LBS服务器接收用户提交的报告位置和检索半径，然后返回AOR中的兴趣点；③当时隙到达时，LBS服务器根据在时隙采集到的报告位置更新在时隙的分布。方案设计引言预备知识方案设计方案分析实验本章小结思考题目机制分析

PPT此处不做过多展示，详情证明请见正文11.5节分布保持的LBS位置隐私保护方案引言预备知识方案设计方案分析实验本章小结思考题目实验

实验设置参数和数据集设置：分别采用了模拟数据集和真实数据集。在模拟实验中，假设随机区域被划分为50×50的网格。在真实实验中，将北京市五环内的区域划分为100×100的网格。

实验

用户位置分布的可用性(b)JS散度与预期用户数的关系（模拟实验）（d）JS散度与参与用户的关系（真实实验）

平面拉普拉斯机制在扰动后逐渐失去用户分布的可用性，但本方案仍有效地保持扰动后的用户位置分布。实验

LBS查询的查准率和查全率

本方案在查全率方面优于平面拉普拉斯机制，在查准率方面则不如平面拉普拉斯机制。实验

LBS查询的查准率和查全率(a)召回率与兴趣区域半径的关系（真实实验）(b)精确率与兴趣区域半径的关系（真实实验）

本方案在查全率方面优于平面拉普拉斯机制，在查准率方面则不如平面拉普拉斯机制。实验

计算开销(b)计算延迟与预期用户数的关系（真实实验）

本方案比对比方案平面拉普拉斯机制具有更低的计算开销。实验

带宽开销

本章方案可以提供高水平的隐私，在受到干扰后保持用户分布，并获得相当准确的查询，因此需要在查询中使用更大的检索半径，带宽开销更高。LBS中隐私增强的分布式K-匿名激励机制引言预备知识方案设计方案分析实验本章小结思考题目本章小结

总结由于现有的地理位置索引隐私保护方法在位置扰动后破坏了用户查询的真实分布，本章提出了一种新的隐私定义——DistPreserv，以在位置扰动后尽可能保留用户分布特征，从而同时为LBS服务器和用户带来益处。首先，本章设计了一种机制，用于生成满足该隐私定义的扰动位置；接着，提出了一种检索半径的确定方法，使用户在保护位置隐私的同时获得理想的查询精度；最后，探讨了LBS服务器与用户之间在实现过程中的交互问题。理论分析表明，本方案能够实现预期的隐私保护水平并保证激励相容性。实验结果