CN108595976B - 基于差分隐私的安卓终端传感器信息保护方法 - Google Patents

基于差分隐私的安卓终端传感器信息保护方法 Download PDF

Info

Publication number
CN108595976B
CN108595976B CN201810257632.4A CN201810257632A CN108595976B CN 108595976 B CN108595976 B CN 108595976B CN 201810257632 A CN201810257632 A CN 201810257632A CN 108595976 B CN108595976 B CN 108595976B
Authority
CN
China
Prior art keywords
function
service process
system service
differential privacy
radius
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201810257632.4A
Other languages
English (en)
Other versions
CN108595976A (zh
Inventor
李晖
龚柏翰
李凤华
朱辉
石素丽
刘阳
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Xidian University
Original Assignee
Xidian University
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Xidian University filed Critical Xidian University
Priority to CN201810257632.4A priority Critical patent/CN108595976B/zh
Publication of CN108595976A publication Critical patent/CN108595976A/zh
Application granted granted Critical
Publication of CN108595976B publication Critical patent/CN108595976B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • GPHYSICS
    • G06COMPUTING; CALCULATING OR COUNTING
    • G06FELECTRIC DIGITAL DATA PROCESSING
    • G06F21/00Security arrangements for protecting computers, components thereof, programs or data against unauthorised activity
    • G06F21/60Protecting data
    • G06F21/62Protecting access to data via a platform, e.g. using keys or access control rules
    • G06F21/6218Protecting access to data via a platform, e.g. using keys or access control rules to a system of files or objects, e.g. local or distributed file system or database
    • G06F21/6245Protecting personal data, e.g. for financial or medical purposes

Landscapes

  • Engineering & Computer Science (AREA)
  • Health & Medical Sciences (AREA)
  • Bioethics (AREA)
  • General Health & Medical Sciences (AREA)
  • Theoretical Computer Science (AREA)
  • Computer Hardware Design (AREA)
  • Databases & Information Systems (AREA)
  • Computer Security & Cryptography (AREA)
  • Software Systems (AREA)
  • Physics & Mathematics (AREA)
  • General Engineering & Computer Science (AREA)
  • General Physics & Mathematics (AREA)
  • Medical Informatics (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明属于移动平台隐私保护技术领域,公开了一种基于差分隐私的安卓终端传感器信息保护方法,Android平台传感器访问拦截与基于差分隐私机制的传感器信息保护策略相结合,从用户端在数据发布环节开始保护传感器数据的隐私安全,同时在服务器端有效防止不可信任服务器对用户隐私的恶意窃取,识别用户真实信息。差分隐私保护机制通过添加拉普拉斯噪音来达到隐私保护效果,可以消除攻击者对用户背景信息的敏感性,提高隐私安全性。通过将加噪处理后的随机点重映射,并重计算检索区域范围,保证感知数据的可靠性和应用程序的可用性。对未来移动终端的隐私保护有重要的理论价值和现实意义。

Description

基于差分隐私的安卓终端传感器信息保护方法
技术领域
本发明属于移动平台隐私保护技术领域,尤其涉及一种基于差分隐私的安卓终端传感器信息保护方法。
背景技术
目前,业内常用的现有技术是这样的:随着移动互联网的发展,移动智能终端使用越来越广泛。传感器技术的进步和传感器在智能手机中的应用,使得移动终端拥有丰富的感知能力。然而方便丰富人们生活方式的同时也带来了巨大的安全挑战。基于当今大数据和机器学习可以利用传感器数据分析用户行为、窃取用户信息的现状,通过智能终端传感器来窃取用户隐私正成为一种新兴的恶意应用攻击方式。Android操作系统对传感器的管理控制,除部分敏感型传感器在调用时需要申请权限外,部分传感器在手机中广泛使用且调用不受限制。结合Android系统自身对传感器调用的保护策略和漏洞,存在恶意应用利用Android终端传感器获取用户隐私信息的风险。恶意应用利用智能手机传感器资源可以窃取多种用户隐私信息。我国第四届全国网络与信息安全防护峰会提出的应对Android传感器信息泄露隐患及其安全对策SSG(Sensor Security Guard),是Android平台上第一个提出的针对Sensor的保护系统。不同的传感器有不同的攻击特点,采取的防御策略也不同。如应对位置轨迹及用户身份保护策略:限制传感器数据的收集时间;当设备运动时,周期性的提供伪造数据;限制后台收集数据等,对请求传感器信息的应用程序提供伪数据或失真数据,达到保护用户隐私的目的。国外对传感器的保护,基于多传感器系统为智能终端实现连续和隐式的身份认证,不断地系统性学习用户的行为模式和环境特征识别,自适应地更新用户模型,达到保护用户隐私安全目的。还有研究者对Android系统的安全机制进行改进,重新定义传感器调用机制,从底层保护传感器数据的隐私安全。然而,目前存在的防御策略都会有一定的弊端。提供伪数据或失真数据给应用程序,必然会降低精度和准确度,带来较大的误差。有时会引起应用程序功能性降低甚至崩溃的情况。保护数据隐私,提供模糊数据,就会损坏数据精度,影响用户正常需求。对多传感器身份认证也只能在移动终端对用户身份进行识别,无法对服务器端的数据加以有效保护。攻击者依然可以通过不安全的服务器窃取大量的传感器数据,分析用户身份和行为。而且在攻击者获得部分背景信息情况下,以上防御策略的安全程度都会降低。
综上所述,现有技术存在的问题是:
(1)目前防御策略都存在提供伪数据或失真数据给应用程序,必然会降低精度和准确度,带来较大的误差;引起应用程序功能性降低甚至崩溃的情况。保护数据隐私,提供模糊数据,就会损坏数据精度,影响用户正常需求。
(2)对多传感器身份认证也只能在移动终端对用户身份进行识别,无法对服务器端的数据加以有效保护;攻击者依然可以通过不安全的服务器窃取大量的传感器数据,分析用户身份和行为;而且在攻击者获得部分背景信息情况下,以上防御策略的安全程度都会降低。
(3)现有技术都有对背景知识的敏感性,当攻击者获得一定背景知识时必然会影响隐私的保护。
解决上述技术问题的难度和意义:基于Android终端的传感器访问拦截需要从底层修改Android系统服务进程的源码,难度较大;在原始的位置数据上添加拉普拉斯噪声并设置合理的拉普拉斯算子,既要干扰原始数据保护隐私,又不能影响应用程序的正常功能和数据精度,也是技术难点。通过引入基于差分隐私机制的传感器数据保护方法,适用于传感器数据发布和数据分析带来的隐私威胁问题。差分隐私模型不关心攻击者拥有多少背景知识,通过向查询或者分析结果中添加适当噪音来达到隐私保护效果。大大提高了Android终端传感器信息的安全性,对未来移动终端的隐私保护有重要的理论价值和现实意义。
发明内容
针对现有技术存在的问题,本发明提供了一种基于差分隐私的安卓终端传感器信息保护方法。
本发明是这样实现的,一种基于差分隐私的安卓终端传感器信息保护方法,所述基于差分隐私的安卓终端传感器信息保护方法的Android平台传感器访问拦截与基于差分隐私机制的传感器信息保护策略相结合,从用户端在数据发布环节开始保护传感器数据的隐私安全,同时在服务器端有效防止不可信任服务器对用户隐私的恶意窃取,识别用户真实信息。
进一步,所述基于差分隐私的安卓终端传感器信息保护方法包括如下步骤:
步骤一,传感器访问拦截
Android系统服务进程运行时获取ioctl函数偏移地址;首先获取ioctl函数的函数索引,然后和节头表中数据结构进行一一对比;不相等,指针指向节头表的下一个内存结构;相等,则找到系统服务进程中的ioctl函数偏移地址;
查看进程列表,找到系统服务进程的运行基地址;
计算出系统服务进程运行时ioctl函数的入口地址,入口地址即为基地址加上函数偏移地址;
通过Hook实现GPS位置监控模块,对请求位置服务的GPS数据报进行底层拦截;
在系统服务进程中的ioctl函数入口地址处加载监控模块,首先暂停系统服务进程,并在系统服务进程中加载和运行预先编译好的函数模块;
步骤二,添加拉普拉斯噪声
采用添加拉普拉斯噪声干扰真实数据来实现差分隐私保护;拉普拉斯分布的概率密度函数与
Figure BDA0001609384630000031
有关,式中∈为与算法隐私敏感度有关的归一化参数,μ是与分布有关的位置参数;
在真实位置x0上添加拉普拉斯噪声,得到提供给应用程序的报告位置x。真实位置和报告位置之间的距离为d(x0,x);拉普拉斯分布的概率密度函数为
Figure BDA0001609384630000041
为以x0为中心的平面拉普拉斯算子;
步骤三,刻画报告位置
分析拉普拉斯分布,由直角坐标系转换为以x0为原点的极坐标系。极坐标系下,拉普拉斯算子的概率密度函数表示为:
Figure BDA0001609384630000042
式中r是x0与x的距离,θ是x0,x所在直线与直角坐标系的水平坐标轴的夹角。r和θ相互独立的随机变量,分别用以r和θ为参数表示成:
Figure BDA0001609384630000043
Figure BDA0001609384630000044
在极坐标系下可以分别从D∈,r(r)和D∈,θ(θ)刻画报告位置(r,θ);
刻画θ:D∈,θ(θ)是连续的,即θ在[0,2π)区间以均匀分布随机产生;
刻画r:在[0,1)区间以均匀分布随机生成随机变量p;
根据
Figure BDA0001609384630000045
则r可以由
Figure BDA0001609384630000046
求得,可在MATLAB等快速计算得到;
步骤四,重映射离散化兴趣点
根据先在[0,2π)区间以均匀分布随机生成变量θ;
在[0,1)以均匀分布随机产变量p,由
Figure BDA0001609384630000047
生成随机位置距坐标原点x0的距离;
在极坐标系中刻画出差分隐私机制添加噪声后产生的随机点(r,θ),重映射到笛卡尔坐标系中的随机点,产生的位置x;
将x与在实际地图中最接近的兴趣点匹配,该兴趣点也就是提供给应用程序的报告位置;
步骤五,检索区域的重计算。
进一步,所述步骤一中获得系统服务进程中ioctl函数的入口地址具体包括:
(1)需要分析系统服务进程的ELF文件结构,找到ioctl函数在系统服务进程中的偏移地址;系统服务进程的ioctl函数的偏移地址存储在节头表数据结构中,存储着系统服务进程中的函数索引信息和函数偏移地址;
(2)根据ioctl函数的函数名,获取ioctl函数的函数索引,然后和节头表中的指针所指地址内储存的函数索引进行一一对比,不相等,指针指向下一个内存结构;相等,则找到系统服务进程中的ioctl函数偏移地址;
(3)查看系统的进程列表,找到系统服务进程的运行基地址,根据基地址和ioctl函数的入口地址,计算出系统服务进程运行时ioctl函数的入口地址,入口地址为入口地址为基地址加上偏移地址。
进一步,所述步骤一中通过Hook函数实现监控模块步骤如下:首先对GPS数据报获取其服务名称;通过设置判断语句和位置服务名称的映射,实现对请求位置服务的GPS数据报的拦截;在系统服务进程中的ioctl函数入口地址处加载Hook函数实现的监控模块,实现在底层对GPS数据报的拦截和对GPS数据的修改。
进一步,所述步骤一中实现对系统服务进程处的模块加载,需要拥有该进程的操作权限具体包括:
(1)暂停系统服务进程;
(2)系统服务进程进程中加载和运行预先编译好的函数模块,执行目的是获得系统服务进程的操作权限;
(3)使指向ioctl函数的指针指向提供的监控模块Hook函数,完成位置服务监控模块的加载。
进一步,所述步骤二通过拉普拉斯分布产生的噪声扰动真实输出值来实现差分隐私保护;用户的真实位置x0,报告位置为x,d(x0,x)为真实位置和报告位置之间的距离;对于平面任意位置x0,拉普拉斯噪声机制在笛卡尔直角坐标系里的概率密度函数为
Figure BDA0001609384630000051
Figure BDA0001609384630000052
为归一化参数,被称为以x0为中心的平面拉普拉斯算子。转换为以x0为原点的极坐标系中,随机位置x被刻画在点(r,θ),r是x0与x的距离,θ是x0,x所在直线与笛卡尔直角坐标系的水平坐标轴的夹角。
进一步,所述步骤三在角坐标系下刻画报告位置(r,θ)中的r独立随机变量:
Figure BDA0001609384630000061
C(r)是D∈,r(r)在0到r上的累计分布函数,即x0与x的距离随机落在0到r之间的概率为C(r);p为在[0,1)之间均匀分布的随机变量,则r可以设为
Figure BDA0001609384630000062
W-1是朗伯W函数的-1分支,在MATLAB快速计算得到。
进一步,所述步骤四在地图中重映射离散化兴趣点,在极坐标系中刻画出差分隐私机制添加噪声后产生的随机点(r,θ);重映射到笛卡尔坐标系中的随机点,报告位置x与x0水平方向相距rcosθ,竖直方向相距rsin θ,即
Figure BDA0001609384630000063
即为差分隐私机制加噪声干扰下产生的位置x。
进一步,所述步骤五重新计算检索区域具体包括:
(1)制定合适的检索半径radiusR,使得AOI以最大概率包含在AOR区域里,其中AOI是以x0为圆心,以radiusI为半径的兴趣区域;AOR是以x为圆心,以radiusR半径为的检索区域;
(2)令radiusR=radiusI+d(x0,x),使得AOR以最小的检索半径完全覆盖AOI区域,提高检索准确性;当radiusR超过检索区域最大半径时,执行(3)
(3)当radiusR超过限定最大区域半径时,AOI不能完全包含在AOR。
本发明的另一目的在于提供一种应用所述基于差分隐私的安卓终端传感器信息保护方法的智能终端。
综上所述,本发明的优点及积极效果为:本发明将Android平台传感器访问拦截与基于差分隐私机制的传感器信息保护策略相结合,不仅从用户端在数据发布环节开始保护传感器数据的隐私安全,同时在服务器端有效防止不可信任服务器对用户隐私的恶意窃取,防止识别用户真实信息。本发明将差分隐私保护机制应用在Android移动终端传感器数据隐私保护上,可以消除攻击者对用户的背景信息的敏感性。即使攻击者获得用户的部分背景信息,也不会对隐私保护的安全性造成影响。本发明提出检索区域半径的重新计算,使得真实位置检索区域能尽最大可能的包含在报告位置检索区域范围内。既提高了用户检索结果的准确性,又保护了用户的真实位置数据不受窃取。本发明采用添加拉普拉斯噪声实现差分隐私保护,拉普拉斯分布从直角坐标系转换为极坐标系,更方便的产生随机变量θ和r,快速定位报告位置。
本发明可以在数据发布端和服务端保证用户隐私安全,同时动态调整参数,尽可能保证数据精度,对攻击者拥有的背景信息不敏感;减采样技术由于攻击者仍可拿到原始数据不能保证数据发布端安全,但是服务端是减采样后的数据可以认为是安全的,基于减采样必然会带来数据精度的下降,且对背景信息攻击有敏感性;基于多传感器的身份认证可以保证用户身份,保护数据发布端的隐私安全,但是对于真实用户上传服务端的均是原始数据,不能保证服务端安全,一定程度上保证了数据精度,且对背景信息攻击有敏感性。
附图说明
图1是本发明实施例提供的基于差分隐私的安卓终端传感器信息保护方法流程图。
图2是本发明实施例提供的Android平台传感器访问拦截流程图。
图3是本发明实施例提供的基于差分隐私的传感器数据保护方法的流程图。
图4是本发明实施例提供的检索区域与兴趣区域示意图。
图5是本发明实施例提供的重新计算检索半径示意图。
具体实施方式
为了使本发明的目的、技术方案及优点更加清楚明白,以下结合实施例,对本发明进行进一步详细说明。应当理解,此处所描述的具体实施例仅仅用以解释本发明,并不用于限定本发明。
本发明大大提高了Android终端传感器信息的安全性,对未来移动终端的隐私保护有重要的理论价值和现实意义。
如图1所示,本发明实施例提供的基于差分隐私的安卓终端传感器信息保护方法包括以下步骤:
S101:Android平台传感器访问拦截与基于差分隐私机制的传感器信息保护策略相结合,从用户端在数据发布环节开始保护传感器数据的隐私安全;
S102:在服务器端有效防止不可信任服务器对用户隐私的恶意窃取,识别用户真实信息。
下面结合附图对本发明的应用原理作进一步的描述。
如图2所示,本发明在系统服务进程中插入一个监控模块。
首先执行步骤1:请求接入服务、步骤2:返回位置提供者入口、步骤3:接入服务。Android系统中,位置服务LBS在系统服务进程中,应用根据LBS服务接入入口向系统服务进程发送请求获取用户位置信息的GPS请求数据报,GPS请求数据报经过监控模块发送给位置服务,即图中步骤4:请求位置信息;位置服务获得用户位置信息后返回一个含有用户位置信息的GPS响应数据报,即图中步骤5:返回;该GPS响应数据报经过我们的监控模块将位置信息返回给应用,即图中步骤6:获得位置信息。通过本发明实现应用和系统服务进程通信的GPS数据报都经过监控模块,达到对GPS数据报拦截和控制的目的。
Android系统中规定,进程间必须通过Binder通信机制进行通信。Binder驱动程序和Service Manager在Android平台中已经是一个守护进程,用来管理Service,并向Client提供查询接口的能力。系统服务进程进程通信过程中数据流需要经过ioctl函数来实现输入输出。
如图3所示,具体介绍Android系统拦截传感器访问操作方法。本发明实现对GPS数据的拦截控制,是通过寻找系统服务进程运行时的ioctl函数的入口地址,在ioctl函数入口地址处加载提供的监控模块来实现的。
为了获得系统服务进程进程中ioctl函数的入口地址,首先需要分析系统服务进程的ELF文件结构,找到ioctl函数在系统服务进程中的偏移地址。
Step1:根据ioctl函数的函数名,首先获取ioctl函数的函数索引,然后和节头表中结构进行一一对比,如果不相等,指针指向节头表的下一个内存结构;
如果相等,则找到系统服务进程中的ioctl函数偏移地址。
Step2:查看系统的进程列表,找到系统服务进程的运行基地址,根据基地址和ioctl函数的入口地址,计算出系统服务进程运行时ioctl函数的入口地址,入口地址即为基地址加上ioctl函数偏移地址。
Step3:一般情况下,在Android系统中实现对系统服务进程处的模块加载,需要拥有该进程的操作权限。本发明首先暂停系统服务进程,并在系统服务进程中加载和运行预先编译好的函数模块,目的是获得系统服务进程的操作权限,使指向ioctl函数的指针指向提供的监控模块函数,完成位置服务监控模块的加载。
Step4:本发明使用Hook实现的监控模块,实现对请求位置服务的GPS数据报的拦截。在系统服务进程中的ioctl函数入口地址处加载Hook函数实现的监控模块,即可实现在底层对GPS数据报的拦截和根据上层事件要求对GPS数据的修改。
噪声机制是实现差分隐私保护的主要技术,常用的噪声添加机制分别为拉普拉斯机制和指数机制,本发明通过拉普拉斯分布产生的噪声扰动真实输出值来实现差分隐私保护。拉普拉斯分布的概率密度函数与
Figure BDA0001609384630000091
有关,∈为与差分隐私算法的隐私敏感度有关的归一化参数,μ是与分布有关的位置参数。
如图4所示,设用户的真实位置x0,在真实位置x0上添加拉普拉斯噪声,得到提供给应用程序的报告位置为x,则拉普拉斯分布的概率密度函数与
Figure BDA0001609384630000092
有关,其中d(x0,x)为真实位置和报告位置之间的距离。对于平面任意位置x0,拉普拉斯噪声机制在笛卡尔直角坐标系里的概率密度函数为:
Figure BDA0001609384630000093
Figure BDA0001609384630000094
为归一化参数,被称为以x0为中心的平面拉普拉斯算子。
根据拉普拉斯分布概率密度函数产生随机点作为报告位置。由上式知拉普拉斯算子与报告位置和真实位置的距离d(x0,x)有关。转换为以x0为原点的极坐标系中,随机位置x被刻画在点(r,θ),r是x0与x的距离,θ是x0,x所在直线与笛卡尔直角坐标系的水平坐标轴的夹角。
Step1:在极坐标系下,以x0为中心的拉普拉斯算子的概率密度函数表示为
Figure BDA0001609384630000101
r和θ相互独立的随机变量。那么上式可以分别用以r和θ为参数表示成:
Figure BDA0001609384630000102
Figure BDA0001609384630000103
因为r和θ是来两个相互独立的随机变量,所以根据D(r,θ)在极坐标系下刻画报告位置(r,θ)可以分别从C∈,r(r)和D∈,θ(θ)。
Step2:刻画θ:D∈,θ(θ)是连续的,即θ在[0,2π)区间以均匀分布随机产生。
Step3:刻画r:
Figure BDA0001609384630000104
C(r)是D∈,r(r)在0到r上的累计分布函数,即x0与x的距离随机落在0到r之间的概率为C(r)。设p为在[0,1)之间均匀分布的随机变量,则r可以设为
Figure BDA0001609384630000105
W-1是朗伯W函数(又称为乘积对数函数)的-1分支,可在MATLAB等快速计算得到。
如图4所示,用户的真实位置x0,在真实位置x0上添加拉普拉斯噪声后提供给应用程序的报告位置为x,用于实现隐藏用户真实位置。AOI是用户搜索的兴趣区域,AOR是以x0为圆心,以radiusI为半径的圆形区域。AOR是以x为圆心,以半径为radiusR的检索区域。当radiusR大于一定值时可以将AOR完全覆盖AOI,提高检索准确性;当radiusR不足以使AOR完全覆盖AOI时,检索结果准确度会降低。但通常会将radiusR限制在某一个范围,防止检索区域范围过大而带来的检索效率降低问题。
如图5所示,介绍检索区域半径的重计算。为了可以使检索半径在最小值的情况下,实现AOI完全包含在AOR区域里,不降低检索结果准确性。但是带来的问题是检索区域扩大,效率降低。
5a)制定合适的检索半径radiusR,使得AOI以最大概率包含在AOR区域里,其中AOI是以x0为圆心,以radiusI为半径的兴趣区域。AOR是以x为圆心,以radiusR半径为的检索区域。
5b)令radiusR=radiusI+d(x0c),使得AOR以最小的检索半径完全覆盖AOI区域,提高检索准确性。当radiusR超过检索区域最大半径时,执行5c)。
5c)当radiusR超过限定最大区域半径时,AOI不能完全包含在AOR。计算AOI能完全包含在AOR的概率,衡量结果准确度。
以上所述仅为本发明的较佳实施例而已,并不用以限制本发明,凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等,均应包含在本发明的保护范围之内。

Claims (9)

1.一种基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述基于差分隐私的安卓终端传感器信息保护方法的Android平台传感器访问拦截与基于差分隐私机制的传感器信息保护策略相结合,从用户端在数据发布环节开始保护传感器数据的隐私安全,同时在服务器端有效防止不可信任服务器对用户隐私的恶意窃取,识别用户真实信息;
所述基于差分隐私的安卓终端传感器信息保护方法包括如下步骤:
步骤一,传感器访问拦截
Android系统服务进程运行时获取ioctl函数偏移地址;首先获取ioctl函数的函数索引,然后和节头表中数据结构进行一一对比;不相等,指针指向节头表的下一个内存结构;相等,则找到系统服务进程中的ioctl函数偏移地址;
查看进程列表,找到系统服务进程的运行基地址;
计算出系统服务进程运行时ioctl函数的入口地址,入口地址即为基地址加上函数偏移地址;
通过Hook实现GPS位置监控模块,对请求位置服务的GPS数据报进行底层拦截;
在系统服务进程中的ioctl函数入口地址处加载监控模块,首先暂停系统服务进程,并在系统服务进程中加载和运行预先编译好的函数模块,获取系统服务进程操作权限;步骤二,添加拉普拉斯噪声
采用添加拉普拉斯噪声干扰真实数据来实现差分隐私保护;拉普拉斯分布的概率密度函数与
Figure FDA0003277789810000011
有关,式中∈为与算法隐私敏感度有关的归一化参数,μ是与分布有关的位置参数;
在真实位置x0上添加拉普拉斯噪声,得到提供给应用程序的报告位置x;真实位置和报告位置之间的距离为d(x0,x);拉普拉斯分布的概率密度函数为
Figure FDA0003277789810000012
Figure FDA0003277789810000013
为以x0为中心的平面拉普拉斯算子;
步骤三,刻画报告位置
分析拉普拉斯分布,由直角坐标系转换为以x0为原点的极坐标系;极坐标系下,拉普拉斯算子的概率密度函数表示为:
Figure FDA0003277789810000021
式中r是x0与x的距离,θ是x0,x所在直线与直角坐标系的水平坐标轴的夹角;r和θ相互独立的随机变量,分别用以r和θ为参数表示成:
Figure FDA0003277789810000022
Figure FDA0003277789810000023
在极坐标系下分别从D∈,r(r)和D∈,θ(θ)刻画报告位置(r,θ);
刻画θ:D∈,θ(θ)是连续的,即θ在[0,2π)区间以均匀分布随机产生;
刻画r:在[0,1)区间以均匀分布随机生成随机变量p;
根据
Figure FDA0003277789810000024
则r可以由
Figure FDA0003277789810000025
求得,在MATLAB快速计算得到;
步骤四,重映射离散化兴趣点
根据先在[0,2π)区间以均匀分布随机生成变量θ;
在[0,1)以均匀分布随机产变量p,由
Figure FDA0003277789810000026
生成随机位置距坐标原点x0的距离;
在极坐标系中刻画出差分隐私机制添加噪声后产生的随机点(r,θ),重映射到笛卡尔坐标系中的随机点,产生的位置x;
将x与在实际地图中最接近的兴趣点匹配,该兴趣点也就是提供给应用程序的报告位置;
步骤五,检索区域的重计算。
2.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤一中获得系统服务进程中ioctl函数的入口地址具体包括:
(1)需要分析系统服务进程的ELF文件结构,找到ioctl函数在系统服务进程中的偏移地址;系统服务进程的ioctl函数的偏移地址存储在节头表数据结构中,存储着系统服务进程中的函数索引信息和函数偏移地址;
(2)根据ioct1函数的函数名,获取ioctl函数的函数索引,然后和节头表中的指针所指地址内储存的函数索引进行一一对比,不相等,指针指向下一个内存结构;相等,则找到系统服务进程中的ioctl函数偏移地址;
(3)查看系统的进程列表,找到系统服务进程的运行基地址,根据基地址和ioctl函数的入口地址,计算出系统服务进程运行时ioctl函数的入口地址,入口地址为入口地址为基地址加上偏移地址。
3.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤一中通过Hook函数实现监控模块步骤如下:首先对GPS数据报获取其服务名称;通过设置判断语句和位置服务名称的映射,实现对请求位置服务的GPS数据报的拦截;在系统服务进程中的ioctl函数入口地址处加载Hook函数实现的监控模块,实现在底层对GPS数据报的拦截和对GPS数据的修改。
4.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤一中实现对系统服务进程处的模块加载,需要拥有该进程的操作权限具体包括:
(1)暂停系统服务进程;
(2)系统服务进程中加载和运行预先编译好的函数模块,执行目的是获得系统服务进程的操作权限;
(3)使指向ioctl函数的指针指向提供的监控模块Hook函数,完成位置服务监控模块的加载。
5.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤二通过拉普拉斯分布产生的噪声扰动真实输出值来实现差分隐私保护;用户的真实位置x0,报告位置为x,d(x0,x)为真实位置和报告位置之间的距离;对于平面任意位置x0,拉普拉斯噪声机制在笛卡尔直角坐标系里的概率密度函数为
Figure FDA0003277789810000031
Figure FDA0003277789810000032
为归一化参数,被称为以x0为中心的平面拉普拉斯算子;转换为以x0为原点的极坐标系中,随机位置x被刻画在点(r,θ),r是x0与x的距离,θ是x0,x所在直线与笛卡尔直角坐标系的水平坐标轴的夹角。
6.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤三在角坐标系下刻画报告位置(r,θ)中的r独立随机变量:
Figure FDA0003277789810000041
C(r)是D∈,r(r)在0到r上的累计分布函数,即x0与x的距离随机落在0到r之间的概率为C(r);p为在[0,1)之间均匀分布的随机变量,则r为
Figure FDA0003277789810000042
W-1是朗伯W函数的-1分支,在MATLAB快速计算得到。
7.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤四在地图中重映射离散化兴趣点,在极坐标系中刻画出差分隐私机制添加噪声后产生的随机点(r,θ);重映射到笛卡尔坐标系中的随机点,报告位置x与x0水平方向相距rcosθ,竖直方向相距rsinθ,即
Figure FDA0003277789810000043
即为差分隐私机制加噪声干扰下产生的位置x。
8.如权利要求1所述的基于差分隐私的安卓终端传感器信息保护方法,其特征在于,所述步骤五重新计算检索区域具体包括:
(1)制定合适的检索半径radiusR,使得AOI以最大概率包含在AOR区域里,其中AOI是以x0为圆心,以radiusI为半径的兴趣区域;AOR是以x为圆心,以radiusR半径为的检索区域;
(2)令radiusR=radiusI+d(x0,x),使得AOR以最小的检索半径完全覆盖AOI区域,提高检索准确性;当radiusR超过检索区域最大半径时,执行(3)
(3)当radiusR超过限定最大区域半径时,AOI不能完全包含在AOR,计算覆盖率来衡量检索准确度。
9.一种应用权利要求1~8任意一项所述基于差分隐私的安卓终端传感器信息保护方法的智能终端。
CN201810257632.4A 2018-03-27 2018-03-27 基于差分隐私的安卓终端传感器信息保护方法 Active CN108595976B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201810257632.4A CN108595976B (zh) 2018-03-27 2018-03-27 基于差分隐私的安卓终端传感器信息保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201810257632.4A CN108595976B (zh) 2018-03-27 2018-03-27 基于差分隐私的安卓终端传感器信息保护方法

Publications (2)

Publication Number Publication Date
CN108595976A CN108595976A (zh) 2018-09-28
CN108595976B true CN108595976B (zh) 2022-02-08

Family

ID=63623783

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201810257632.4A Active CN108595976B (zh) 2018-03-27 2018-03-27 基于差分隐私的安卓终端传感器信息保护方法

Country Status (1)

Country Link
CN (1) CN108595976B (zh)

Families Citing this family (8)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108763954B (zh) * 2018-05-17 2022-03-01 西安电子科技大学 线性回归模型多维高斯差分隐私保护方法、信息安全系统
US11126744B2 (en) * 2018-11-29 2021-09-21 GM Global Technology Operations LLC Systems and methods for preserving the privacy of collected vehicular data
CN110611667B (zh) * 2019-09-02 2022-04-12 锦图计算技术(深圳)有限公司 边缘计算环境下动态的位置隐私保护方法及装置
CN111143873A (zh) * 2019-12-13 2020-05-12 支付宝(杭州)信息技术有限公司 隐私数据处理方法、装置和终端设备
CN112422521A (zh) * 2020-10-28 2021-02-26 东北大学 一种基于lbs的位置隐私保护系统及方法
CN112364379B (zh) * 2020-11-18 2024-03-22 浙江工业大学 一种基于差分隐私的保服务质量的位置隐私保护方法
CN113177166B (zh) * 2021-04-25 2022-10-21 重庆邮电大学 一种基于差分隐私的个性化位置语义发布方法及系统
CN113573234B (zh) * 2021-08-03 2022-04-12 中国矿业大学 一种大型室内位置服务场景下位置隐私保护方法

Family Cites Families (7)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN103049707B (zh) * 2012-12-21 2015-09-30 武汉大学 一种基于Android平台的GPS数据拦截控制方法
US9888382B2 (en) * 2014-10-01 2018-02-06 Washington Software, Inc. Mobile data communication using biometric encryption
CN105912616B (zh) * 2016-04-07 2019-03-26 电子科技大学 一种增强的基于轨迹重构的隐私保护方法
CN105956480A (zh) * 2016-05-10 2016-09-21 上海交通大学 Android平台传感器数据保护系统
CN106407841B (zh) * 2016-09-28 2018-03-02 武汉大学 基于差分隐私的相关性时间序列发布方法及系统
CN106570422B (zh) * 2016-11-16 2020-06-05 南京邮电大学 一种差分隐私噪声动态分配的实现方法
CN106991335B (zh) * 2017-02-20 2020-02-07 美达科林(南京)医药科技有限公司 一种基于差分隐私保护的数据发布方法

Also Published As

Publication number Publication date
CN108595976A (zh) 2018-09-28

Similar Documents

Publication Publication Date Title
CN108595976B (zh) 基于差分隐私的安卓终端传感器信息保护方法
US20080189776A1 (en) Method and System for Dynamically Controlling Access to a Network
US20120303827A1 (en) Location Based Access Control
CN111865885A (zh) 一种访问控制方法、装置、设备及存储介质
CN111371738A (zh) 一种访问控制方法、装置、设备及可读存储介质
CN113946875B (zh) 一种基于区块链的身份认证方法及系统
CN111159762B (zh) 一种强制访问控制下的主体可信验证方法及系统
CN111400723A (zh) 基于tee扩展的操作系统内核强制访问控制方法及系统
CN113242230A (zh) 一种基于智能合约的多级认证与访问控制系统及方法
WO2017161569A1 (zh) 访问控制的方法、装置和系统
CN110276195A (zh) 一种智能设备入侵检测方法、设备及存储介质
CN112016078A (zh) 一种登录设备的封禁检测方法、装置、服务器和存储介质
CN114499919A (zh) 一种工程机械通信安全网络威胁建模的方法及系统
CN107562514B (zh) 一种物理内存访问控制与隔离方法
CN111193754B (zh) 应用于物联网的数据访问方法及系统、设备
CN117235797A (zh) 大数据资源访问智能管理方法及装置、设备、系统
CN115150137B (zh) 一种基于Redis的高频访问预警方法及设备
CN113507463A (zh) 一种零信任网络的构建方法
CN112966235B (zh) 一种智慧教育平台的大数据组件访问控制方法及系统
CN115270157A (zh) 一种访问控制方法及系统
Ulltveit-Moe et al. Mobile security with location-aware role-based access control
CN107454112A (zh) 一种访问可信应用的方法及其系统
CN114357399A (zh) 一种基于存储器的访存权限控制方法及装置
CN117978548B (zh) 用于电子信息存储系统的网络安全接入方法
CN118133353A (zh) 一种数据安全保护方法、系统、设备及存储介质

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant