CN107196974A - 一种基于差分隐私的空间众包工作者位置隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于差分隐私的空间众包工作者位置隐私保护方法，包括：1、空间众包中工作者将真实位置添加一个符合差分隐私机制的噪声，并发送给服务器；2、服务器接收到来自工作者所发送的扰动位置信息；3、空间众包任务请求者向服务器发送任务请求；4、服务器计算出任务效用最高的任务传播区域；5、服务器在任务传播区域发布任务请求，由该区域的工作者选择是否接受任务。本发明能够解决因数据库管理不当所可能造成的工作者位置隐私泄露的问题，同时可以有效的应对背景知识攻击的问题，从而能提高空间众包中工作者位置隐私的安全性，进而提高空间众包工作者的工作积极性和工作效率。

Description

一种基于差分隐私的空间众包工作者位置隐私保护方法

技术领域

本发明涉及网络与信息安全技术领域，具体的说是空间众包的工作者位置数据发布的一种差分隐私保护方法。

背景技术

众包指的是一个公司或机构把过去由员工执行的工作任务，以自由自愿的形式外包给非特定的(而且通常是大型的)大众网络的做法，正因为众包可以极大的减小完成任务所需的成本，并且可以充分有效的利用劳动力和资源，所以被广泛应用于多种活动中。

空间众包是众包的应用中最有前景的一类，它指的是一组空间任务众包发送给一群工作者的过程，这里的空间任务是指和位置有关的任务，然后工作者需要前往这些位置去执行这些任务。在这个过程中，工作者需要将他们的位置信息发送给服务器，服务器就可以根据这些位置信息确定任务传播区域，从而避免了向所有的用户都发布任务所造成的过高的开销。但是，在这个过程中服务器如果是不可信的，就会造成工作者信息泄露的问题。只有确保了工作者信息的安全，才能保证工作者的工作积极性，提高工作效率。

然而，现有的技术方案大多基于K匿名，L多样性等隐私规则解决此类隐私泄露的问题，但是这些方案很难解决背景知识攻击。所谓背景知识攻击，例如，攻击者掌握了工作者经常出现的某些地方的地点以及时间，就可能推测出工作者的兴趣爱好，或者进一步根据攻击者经常出现在医院附近，可预测出工作者的身体状况等敏感信息，这些隐私信息的泄露对于工作者来说会造成很大的威胁。还有一些现有的方案是把所有的工作者的真实位置发送给服务提供商，如果服务提供商对数据管理不善，同样会造成工作者位置信息的泄露，所以有效的保护工作者的位置隐私在空间众包问题中是至关重要的。

发明目的

本发明为了克服现有技术存在的不足之处，提供一种基于差分隐私的空间众包工作者位置隐私保护方法，以期能有效解决因数据库管理不当所可能造成的工作者位置隐私泄露的问题，同时更好的应对背景知识攻击，从而能提高工作者位置隐私的安全性，进而提高空间众包工作者的工作积极性和工作效率。

本发明为解决技术问题所采用的技术方案是：

本发明一种基于差分隐私的空间众包工作者位置隐私保护方法的特点是应用于由服务器、m个任务请求者R＝{r₁,r₂,...,r_i,...,r_m}和n个工作者W＝{w₁,w₂,...,w_j,...,w_n}所构成的工作空间中，其中，r_i表示第i个任务请求者，1≤i≤m；w_j表示第j个工作者，1≤j≤n，所述m个任务请求者用于发布任务请求，所述n个工作者用于选择是否接受任务；所述空间众包工作者位置保护方法是按如下步骤进行：

步骤一、工作者将真实位置添加一个符合差分隐私机制的噪声，并发送给所述服务器；

步骤1.1、将所述工作空间划分为粒度为m₁×m₁的网格结构，记为网格集合s_k表示第k个网格，1≤k≤m₁×m₁；

步骤1.2、假设第j个工作者w_j在网格集合S的概率为p_jk表示第j个工作者w_j在第k个网格s_k中的概率；

步骤1.3、令n个工作者在所述网格集合S中的真实位置集合为X＝{x₁,x₂,...,x_j,...,x_n}，x_j表示第j个工作者w_j在网格集合S中的真实位置；

步骤1.4、利用式(1)得到所述第j个工作者在所述工作空间中最有可能出现的位置集合Δx_j：

式(1)中，δ表示控制参数，0＜δ＜1；

步骤1.5、根据所述第j个工作者的位置集合Δx_j，利用平面各向同性机制对所述第j个工作者w_j的真实位置x_i的添加一个相应的噪声noise_j，noise_j表示第j个工作者w_j在真实位置上所添加的位置扰动；

步骤1.6、所述第j个工作者w_j将添加噪声后的扰动位置x_j′＝x_j+noise_j发送给所述服务器；

步骤二、所述服务器接收到n个工作者发送的扰动位置集合X′＝{x₁′,x′₂,...,x′_j,...,x′_n}；

步骤三、所述第i个任务请求者r_i向所述服务器发送一条任务请求t_i；所述任务请求t_i中包含任务的位置信息及工作要求；

步骤四、所述服务器接收到所述第i个任务请求者r_i发送的任务请求r_i时，根据所述扰动位置集合X′，计算出效用值最大的任务传播区域GR，并向所述任务传播区域GR内的工作者发布任务请求r_i；

步骤五、所述任务传播区域GR内的工作者自主选择是否接受任务请求r_i。

本发明所述的空间众包工作者位置保护方法的特点也在于，所述步骤四是按如下步骤进行：

步骤4.1、利用式(2)得到工作者平均可接受服务距离MD：

式(1)中，L_i表示所述第j个工作者w_j可接受的服务距离；

步骤4.2、利用式(3)获得到第k个网格s_k中第j个工作者w_j接受任务请求r_i的概率p′_jk：

p′_jk＝P(X_jk＝True) (3)

式(3)中，X_jk表示第k个网格s_k中第j个工作者w_j的随机变量，且X_jk服从二项分布Binomial(q_k,p)，q_k表示第k个网格s_k中工作者的数量，p表示工作者接收任务请求的概率，X_jk＝True表示所述第k个网格s_k中第j个工作者w_j接受任务请求r_i；

步骤4.3、利用式(4)获得第k个网格s_k的效用U_k：

式(4)中，效用值U_k表示第k个网格s_k中至少有一个工作者接受任务的概率；

步骤4.4、定义效用阈值为EU、任务请求t_i的任务传播区域为GR_i、任务传播区域GR_i的总效用为U_i、工作者的最大任务接受区域为MA_i，且最大任务接受区域MA_i是以任务请求t_i为中心，以2×MD为边长的矩形区域；令最大任务接受区域MA_i中所有的网格记为网格集合 表示最大任务接受区域MA_i中第v个网格，1≤v≤V，V表示最大任务接受区域MA_i中网格的总数；

初始化U_i＝0，GR_i为空集；

步骤4.5、根据式(3)和式(4)获得最大任务接受区域MA_i中每个网格的效用，并进行降序排序，得到排序后的效用，并根据所述排序后的效用将最大任务接受区域MA_i中所有的网格也相应进行降序排序，从而得到排序后的网格集合

步骤4.6、判断所述排序后的网格集合S′ⁱ是否为空集，若为空集，则输出任务传播区域GR，否则，从排序后的网格集合S′ⁱ中依次取出一个网格c，c∈S′ⁱ，并将所取出的网格c加入任务传播区域GR_i中，同时得到更新后的网格集合S″ⁱ后，执行步骤4.7；

步骤4.7、利用式(5)计算添加网格c之后的任务传播区域GR_i中所有网格的总效用U_i：

U_i＝1-(1-U_i′)(1-U_c) (5)

式(5)中，U_c表示网格c的效用；U_i′表示添加网格c之前的任务传播区域GR_i中所有网格的总效用；

步骤4.8、判断U_i≥EU是否成立，若成立，则输出任务传播区域GR，否则，将更新后的网格集合S″ⁱ赋值给S′ⁱ后，返回步骤4.6执行。

相对于现有技术中的方案，本发明的有益效果体现在：

1、本发明通过对工作者的真实位置添加符合差分隐私机制的噪声，解决了现有技术中对于空间众包中工作者的位置隐私保护，无法有效应对背景知识攻击的问题，从而降低了工作者位置隐私泄露的风险，提高了工作者工作的积极性。

2、本发明对工作者的真实位置添加符合差分隐私机制的噪声，不仅可以有效的应对工作者位置信息泄露的威胁，而且还能确保工作者向服务器发送的位置的可用性，保证了空间众包中任务传播区域的效用。

3、本发明通过工作者自身的位置信息对当前位置进行扰动，而不同于其他方案通过工作者之间的位置信息进行位置扰动，这样工作者就无需向数据库发送真实位置，因此，也无需建立工作者位置信息的数据，不但可以降低开销，而且还可以避免因数据库管理不善造成的工作者数据泄露的问题，相比以往的方案，本发明的安全性得到了很大的提高。

4、本发明使用贪心算法计算任务传播区域，利用区域中至少有一个工作者接受任务的概率表示该区域的效用，从而提高了任务传播区域中工作者接受任务的成功率，降低了任务传播所需的开销。

附图说明

图1为本发明方法流程图；

图2为本发明应用场景示意图；

图3为本发明Δx集合选择示意图。

具体实施方式

如图2所示，一种基于差分隐私的空间众包工作者位置隐私保护方法，是用于空间众包中保护工作者的位置隐私，在服务器、m个任务请求者R＝{r₁,r₂,...,r_i,...,r_m}和n个工作者W＝{w₁,w₂,...,w_j,...,w_n}所构成的工作空间中，其中，r_i表示第i个任务请求者，1≤i≤m；w_j表示第j个工作者，1≤j≤n，m个任务请求者用于发布任务请求，n个工作者用于选择是否接受任务；如图1所示，该空间众包工作者位置保护方法是按如下步骤进行：

步骤一、工作者将真实位置添加一个符合差分隐私机制的噪声，并发送给服务器：

步骤1.1、对工作空间划分为粒度为m₁×m₁的网格结构，记为网格集合s_k表示第k个网格，1≤k≤m₁×m₁；

步骤1.2、假设第j个工作者w_j在网格集合S的概率为p_jk表示第j个工作者w_j在第k个网格s_k中的概率；

步骤1.3、令n个工作者在网格集合S中的真实位置集合为X＝{x₁,x₂,...,x_j,...,x_n}，x_j表示第j个工作者w_j在网格集合S中的真实位置；

步骤1.4、利用式(1)得到第j个工作者在工作空间中最有可能出现的位置集合Δx_j：

式(1)中，δ表示控制参数，0＜δ＜1；例如，P_j＝{0.2,0.3,0.05,0.01,0.03,0.4,0.002,0.004}，分别对应于图3中{s₁,s₂,s₃,s₄,s₅,s₆,s₇,s₈}，那么当δ＝0.1时，Δx_j＝{s₆,s₂,s₁}；如果当δ＝0.05时，Δx_j＝{s₆,s₂,s₁,s₃}，直观上说集合Δx_j就是第j个工作者出现可能性最大的网格；

步骤1.5、根据第j个工作者的位置集合Δx_j，利用平面各向同性机制对第j个工作者w_j的真实位置x_i的添加一个相应的噪声noise_j，noise_j表示第j个工作者w_j在真实位置上所添加的位置扰动，为了更好的理解噪声生成过程，首先介绍凸包，集合Δx_j的凸包是指一个最小的凸多边形，满足Δx_j中的点或者在多边形上或者在其内部。这里使用分治法求凸包：应用分治法思想，把一个大问题分成几个结构相同的子问题，把子问题再分成几个更小的子问题……。然后就能用递归的方法，分别求这些子问题的解；最后把每个子问题的解“组装”成原来大问题的解。具体求解过程如下：

a)把所有的点都放在二维坐标系里面。那么横坐标最小和最大的两个点Q₁和Q_n一定是凸包上的点，分别叫做上包和下包。

b)求上包：即求直线Q₁Q_n最远的点，记作Q_max。

c)作直线Q₁Q_max、Q_nQ_max，把直线Q₁Q_max左侧的点当成上包，把直线Q_nQ_max右侧的点也当成上包。重复步骤、b,c。

d)对下包也是类似的操作。按上述步骤就得到了这个集合的凸包。

平面各向同性机制是一种对工作者位置信息添加符合差分隐私机制的噪声的方法，利用平面各向同性机制生成噪声按照如下步骤进行：

a)根据上述过程可求得集合Δx_j的凸包K'_j＝Conv(Δx_j)，Conv(Δx_j)表示对Δx_j求凸包，Conv表示上述求凸包的过程。

b)对K'_j中的位置点两两相减得到位置集合ΔV_j，u₁和u₂在属于K'_j的任意的位置点。

c)求出集合ΔV_j的凸包K_j，K_j＝Conv(ΔV_j)。

d)从K_j中随机均匀的选取l个位置点{y₁,y₂,...,y_l}，直到T_j趋于稳定，否则继续增加选取位置点l的数量。

e)令K_1j＝T_jK_j，从而得到了区域K_1j。

f)在区域K_1j中随机选择一个位置点z'_j，以及生成一个随机数r_j，r服从Γ(3,ε^-1)分布，ε为隐私预算。

g)对于不同的工作者添加的噪声是根据其所在网格的概率进行构造的，noise_j＝r_jT_j ^-1z'_j。

步骤1.6、第j个工作者w_j将添加噪声后的扰动位置x_j′＝x_j+noise_j发送给服务器；在噪声的生成方式上，本发明不同于以往的方案是利用其它工作者的位置信息对自身的位置进行扰动，而是利用自身的位置信息对当前的位置进行扰动。因而，无需建立工作者位置信息的数据库，从而避免了因此可能造成的工作者位置数据的泄露；

步骤二、服务器接收到n个工作者发送的扰动位置集合X′＝{x₁′,x′₂,...,x′_j,...,x′_n}；工作者向服务器发送位置信息，是为了让服务器可以根据请求任务的位置信息选取合适的任务传播区域。

步骤三、第i个任务请求者r_i向服务器发送一条任务请求t_i；任务请求t_i中包含任务的位置信息及工作要求；

步骤四、服务器接收到第i个任务请求者r_i发送的任务请求r_i时，根据扰动位置集合X′，计算出效用值最大的任务传播区域GR，并向传播区域GR内的工作者发布任务请求r_i；

步骤4.1、利用式(2)得到工作者平均可接受服务距离MD：

式(1)中，L_i表示第j个工作者w_j可接受的服务距离。对于工作者来说，他们倾向于接受距离自己家或者工作者场所更近的任务，而且对于不同的工作者任务的接受率也是不同的；

步骤4.2、利用式(3)获得到第k个网格s_k中第j个工作者w_j接受任务请求r_i的概率p′_jk：

p′_jk＝P(X_jk＝True) (3)

式(3)中，X_jk表示第k个网格s_k中第j个工作者w_j的随机变量，且X_jk服从二项分布Binomial(q_k,p)，q_k表示第k个网格s_k中工作者的数量，p表示工作者接收任务请求的概率，X_jk＝True表示第k个网格s_k中第j个工作者w_j接受任务请求r_i，这里采取二项分布生成每隔工作者接受任务的概率；

步骤4.3、利用式(4)获得第k个网格s_k的效用U_k：

式(4)中，效用值U_k表示第k个网格s_k中至少有一个工作者接受任务的概率。显然，如果网格中工作者的数量较多，那么这个网格的效用值可能也会较大；

步骤4.4、定义效用阈值为EU、任务请求t_i的任务传播区域为GR_i、任务传播区域GR_i的总效用为U_i、工作者的最大任务接受区域为MA_i，且最大任务接受区域MA_i是以任务请求t_i为中心，以2×MD为边长的矩形区域；令最大任务接受区域MA_i中所有的网格记为网格集合 表示最大任务接受区域MA_i中第v个网格，1≤v≤V，V表示最大任务接受区域MA_i中网格的总数；

初始化U_i＝0，GR_i为空集；

步骤4.5、根据式(3)和式(4)获得最大任务接受区域MA_i中每个网格的效用，并进行降序排序，得到排序后的效用，并根据排序后的效用将最大任务接受区域MA_i中所有的网格也相应进行降序排序，从而得到排序后的网格集合

步骤4.6、判断排序后的网格集合S′ⁱ是否为空集，若为空集，则输出任务传播区域GR，否则，从排序后的网格集合S′ⁱ中依次取出一个网格c，c∈S′ⁱ，并将所取出的网格c加入任务传播区域GR_i中，同时得到更新后的网格集合S″ⁱ后，执行步骤4.7；

步骤4.7、利用式(5)计算添加网格c之后的任务传播区域GR_i中所有网格的总效用U_i：

U_i＝1-(1-U_i′)(1-U_c) (5)

式(5)中，U_c表示网格c的效用；U_i′表示添加网格c之前的任务传播区域GR_i中所有网格的总效用；

步骤4.8、判断U_i≥EU是否成立，若成立，则输出任务传播区域GR，否则，将更新后的网格集合S″ⁱ赋值给S′ⁱ后，返回步骤4.6执行。

步骤五、所传播区域GR内的工作者自主选择是否接受任务请求r_i。

Claims (2)

1.一种基于差分隐私的空间众包工作者位置隐私保护方法，其特征是应用于由服务器、m个任务请求者R＝{r₁,r₂,...,r_i,...,r_m}和n个工作者W＝{w₁,w₂,...,w_j,...,w_n}所构成的工作空间中，其中，r_i表示第i个任务请求者，1≤i≤m；w_j表示第j个工作者，1≤j≤n，所述m个任务请求者用于发布任务请求，所述n个工作者用于选择是否接受任务；所述空间众包工作者位置保护方法是按如下步骤进行：

步骤一、工作者将真实位置添加一个符合差分隐私机制的噪声，并发送给所述服务器；

步骤1.1、将所述工作空间划分为粒度为m₁×m₁的网格结构，记为网格集合s_k表示第k个网格，1≤k≤m₁×m₁；

步骤1.2、假设第j个工作者w_j在网格集合S的概率为p_jk表示第j个工作者w_j在第k个网格s_k中的概率；

步骤1.3、令n个工作者在所述网格集合S中的真实位置集合为X＝{x₁,x₂,...,x_j,...,x_n}，x_j表示第j个工作者w_j在网格集合S中的真实位置；

步骤1.4、利用式(1)得到所述第j个工作者在所述工作空间中最有可能出现的位置集合Δx_j：

<mrow> <msub> <mi>&amp;Delta;x</mi> <mi>j</mi> </msub> <mo>=</mo> <mi>m</mi> <mi>i</mi> <mi>n</mi> <mo>{</mo> <munder> <mo>&amp;Sigma;</mo> <mi>k</mi> </munder> <msub> <mi>p</mi> <mrow> <mi>j</mi> <mi>k</mi> </mrow> </msub> <mo>&amp;GreaterEqual;</mo> <mn>1</mn> <mo>-</mo> <mi>&amp;delta;</mi> <mo>}</mo> <mo>,</mo> <mi>k</mi> <mo>&amp;Element;</mo> <mo>{</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>,</mo> <mo>...</mo> <mo>,</mo> <msub> <mi>m</mi> <mn>1</mn> </msub> <mo>&amp;times;</mo> <msub> <mi>m</mi> <mn>1</mn> </msub> <mo>}</mo> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>1</mn> <mo>)</mo> </mrow> </mrow>

式(1)中，δ表示控制参数，0＜δ＜1；

步骤1.5、根据所述第j个工作者的位置集合Δx_j，利用平面各向同性机制对所述第j个工作者w_j的真实位置x_i的添加一个相应的噪声noise_j，noise_j表示第j个工作者w_j在真实位置上所添加的位置扰动；

步骤1.6、所述第j个工作者w_j将添加噪声后的扰动位置x_j′＝x_j+noise_j发送给所述服务器；

步骤二、所述服务器接收到n个工作者发送的扰动位置集合X′＝{x′₁,x′₂,...,x′_j,...,x′_n}；

步骤三、所述第i个任务请求者r_i向所述服务器发送一条任务请求t_i；所述任务请求t_i中包含任务的位置信息及工作要求；

步骤四、所述服务器接收到所述第i个任务请求者r_i发送的任务请求r_i时，根据所述扰动位置集合X′，计算出效用值最大的任务传播区域GR，并向所述任务传播区域GR内的工作者发布任务请求r_i；

步骤五、所述任务传播区域GR内的工作者自主选择是否接受任务请求r_i。

2.根据权利要求1所述的空间众包工作者位置保护方法，其特征是，所述步骤四是按如下步骤进行：

步骤4.1、利用式(2)得到工作者平均可接受服务距离MD：

<mrow> <mi>M</mi> <mi>D</mi> <mo>=</mo> <munderover> <mo>&amp;Sigma;</mo> <mrow> <mi>j</mi> <mo>=</mo> <mn>1</mn> </mrow> <mi>n</mi> </munderover> <mrow> <mo>(</mo> <mfrac> <msub> <mi>L</mi> <mi>j</mi> </msub> <mi>n</mi> </mfrac> <mo>)</mo> </mrow> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>2</mn> <mo>)</mo> </mrow> </mrow>

式(1)中，L_i表示所述第j个工作者w_j可接受的服务距离；

步骤4.2、利用式(3)获得到第k个网格s_k中第j个工作者w_j接受任务请求r_i的概率p′_jk：

p′_jk＝P(X_jk＝True) (3)

式(3)中，X_jk表示第k个网格s_k中第j个工作者w_j的随机变量，且X_jk服从二项分布Binomial(q_k,p)，q_k表示第k个网格s_k中工作者的数量，p表示工作者接收任务请求的概率，X_jk＝True表示所述第k个网格s_k中第j个工作者w_j接受任务请求r_i；

步骤4.3、利用式(4)获得第k个网格s_k的效用U_k：

<mrow> <msub> <mi>U</mi> <mi>k</mi> </msub> <mo>=</mo> <mn>1</mn> <mo>-</mo> <msup> <mrow> <mo>(</mo> <mn>1</mn> <mo>-</mo> <msubsup> <mi>p</mi> <mrow> <mi>j</mi> <mi>k</mi> </mrow> <mo>&amp;prime;</mo> </msubsup> <mo>)</mo> </mrow> <msub> <mi>q</mi> <mi>k</mi> </msub> </msup> <mo>,</mo> <mi>j</mi> <mo>=</mo> <mn>1</mn> <mo>,</mo> <mn>2</mn> <mo>,</mo> <mo>...</mo> <mo>,</mo> <msub> <mi>q</mi> <mi>k</mi> </msub> <mo>-</mo> <mo>-</mo> <mo>-</mo> <mrow> <mo>(</mo> <mn>4</mn> <mo>)</mo> </mrow> </mrow>

式(4)中，效用值U_k表示第k个网格s_k中至少有一个工作者接受任务的概率；

步骤4.4、定义效用阈值为EU、任务请求t_i的任务传播区域为GR_i、任务传播区域GR_i的总效用为U_i、工作者的最大任务接受区域为MA_i，且最大任务接受区域MA_i是以任务请求t_i为中心，以2×MD为边长的矩形区域；令最大任务接受区域MA_i中所有的网格记为网格集合 表示最大任务接受区域MA_i中第v个网格，1≤v≤V，V表示最大任务接受区域MA_i中网格的总数；

初始化U_i＝0，GR_i为空集；

步骤4.5、根据式(3)和式(4)获得最大任务接受区域MA_i中每个网格的效用，并进行降序排序，得到排序后的效用，并根据所述排序后的效用将最大任务接受区域MA_i中所有的网格也相应进行降序排序，从而得到排序后的网格集合

步骤4.6、判断所述排序后的网格集合S′ⁱ是否为空集，若为空集，则输出任务传播区域GR，否则，从排序后的网格集合S′ⁱ中依次取出一个网格c，c∈S′ⁱ，并将所取出的网格c加入任务传播区域GR_i中，同时得到更新后的网格集合S″ⁱ后，执行步骤4.7；

步骤4.7、利用式(5)计算添加网格c之后的任务传播区域GR_i中所有网格的总效用U_i：

U_i＝1-(1-U′_i)(1-U_c) (5)

式(5)中，U_c表示网格c的效用；U′_i表示添加网格c之前的任务传播区域GR_i中所有网格的总效用；

步骤4.8、判断U_i≥EU是否成立，若成立，则输出任务传播区域GR，否则，将更新后的网格集合S″ⁱ赋值给S′ⁱ后，返回步骤4.6执行。