CN109362032A - 一种基于位置服务的用户位置个性化差分隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于位置服务的用户位置个性化差分隐私保护方法，其步骤包括：1利用指数机制生成扰动位置；2根据敌手对t时刻用户所处位置的先验概率、指数机制概率分布及生成的扰动位置得到敌手对t时刻用户所处位置的后验概率；3判断敌手对t时刻用户所处位置的后验概率是否满足安全性需求；若满足，将扰动位置和查询请求发送给服务方；若不满足，添加混淆位置；4添加混淆位置，当满足安全性需求后，将由混淆位置和扰动位置组成的位置集发送给服务方；5对服务方返回的查询结果进行筛选。本发明能解决因服务方不可信所造成的用户位置隐私泄露问题，同时可以有效的应对贝叶斯攻击，从而能提高基于位置服务中用户位置隐私的安全性。

Description

一种基于位置服务的用户位置个性化差分隐私保护方法

技术领域

本发明涉及网络与信息安全技术领域，具体涉及基于位置服务中用户位置隐私的一种个性化差分隐私保护方法。

背景技术

基于位置服务指的是用户将自身的位置和查询请求发送给服务方，服务方将查询结果返回给用户的一种商业模式。近年来，随着互联网和智能手机的快速发展，基于位置服务也呈现出一片欣欣向荣的良好态势，美团、滴滴等基于位置服务App已经成为人们手机中常见的App。

基于位置服务不仅给人们生活带来了便利，也创造了极大的社会价值，但基于位置服务也同时加深了人们对于位置隐私的忧虑。一旦用户位置信息泄露，敌手不仅可以得知用户的家庭位置、工作位置、移动轨迹模式，甚至可以获悉用户的健康状况、宗教信仰等，因此对用户位置隐私的保护亟待解决。

现有的位置保护方案大部分基于K-匿名或差分隐私。由于基于K-匿名的方案发送给服务方的位置集中包含用户的真实位置，因此会造成一定的安全性损失，且K-匿名计算代价较大。基于差分隐私的方案发送给服务方的是扰动位置，且不依赖敌手的背景知识，但基于差分隐私的方案在敌手后验概率较大时不能抵抗贝叶斯攻击，敌手可以根据贝叶斯攻击得到一个估计位置，当敌手后验概率较大时，估计位置距离真实位置很近，甚至可以直接得出真实位置，因此，基于差分隐私的方案在敌手后验概率较大时是不安全的。还有一些现有的方案把用户的真实位置发送给服务方，如果服务方不可信，同样会造成用户位置信息的泄露，因此，有效的保护用户位置隐私在基于位置服务中是至关重要的。

发明内容

本发明为了克服现有技术存在的不足之处，提供一种基于位置服务的用户位置个性化差分隐私保护方法，以期能有效解决因服务方不可信造成的用户位置隐私泄露的问题，同时更好的应对贝叶斯攻击，从而能提高用户位置隐私的安全性。

本发明为解决技术问题所采用的技术方案是：

本发明一种基于位置服务的用户位置个性化差分隐私保护方法的特点是应用于由用户和服务方所组成的查询环境中，并假定敌手对任意时刻用户所处位置的先验概率是已知的，所述用户位置个性化差分隐私保护方法是按如下步骤进行：

步骤一、利用指数机制生成扰动位置；

令χ_t表示t时刻用户可能所在的位置集合，令表示位置集合χ_t中第i个位置，i＝1,2,…,card(χ_t)，其中card(χ_t)表示位置集合χ_t的基数，即位置集合χ_t所包含的位置数量，令是位置集合χ_t中第j个位置，并表示用户的真实位置，1≤j≤card(χ_t)，利用式(1)所示的指数机制概率分布生成扰动位置

式(1)中，表示生成的扰动位置，且1≤z≤card(χ_t)，z≠j，表示当t时刻用户真实位置为时，利用指数机制生成扰动位置为的概率，当时，表示生成的扰动位置为位置集合χ_t中除真实位置以外的假位置，ε表示隐私参数，表示真实位置和扰动位置之间的欧氏距离；x_t ^k表示表示位置集合χ_t中第k个位置，k＝1,2,…,j-1,j+1,…,card(χ_t)；

步骤二、获取敌手对t时刻用户所处位置的后验概率；

令P_t ^-和P_t ⁺表示敌手对t时刻用户所处位置的先验概率和后验概率，令表示先验概率P_t ^-中的第i项，表示敌手在用户发布查询之前判断t时刻用户真实位置为的概率，令表示后验概率P_t ⁺中的第i项，表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，

若发送给服务方的位置为扰动位置则利用式(2)得到在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率P_t ⁺：

式(2)中，表示假设真实位置为生成扰动位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，x_t ⁿ表示位置集合χ_t中第n个位置，n＝1,2,…,card(χ_t)；

步骤三、判断所述后验概率P_t ⁺是否满足max P_t ⁺≤max{e^ε·max P_t ^-,ω}，若满足，则将扰动位置和查询请求发送给服务方，直接执行步骤五；若不满足，则执行步骤四；其中，max P_t ⁺和max P_t ^-分别表示扰动位置的后验概率P_t ⁺和先验概率P_t ^-中值最大的一项，ω是用户定义的阈值，且max{e^ε·max P_t ^-,ω}的值是公开的；

步骤四、添加混淆位置，当满足安全性需求后，将由混淆位置和扰动位置组成的位置集L发送给服务方；

令L表示由扰动位置和混淆位置所组成的位置集，并初始化向位置集L中添加混淆位置，直至位置集L满足式(3)后停止添加混淆位置，并将位置集L和查询请求发送给服务方；

式(3)中，card(L)表示位置集L的基数，且其中，表示添加的card(L)-1个混淆位置，表示位置集L的平均后验概率最大值，表示位置集L的平均后验概率，并有：

式(4)中，表示第s个混淆位置的后验概率，s＝1，2，…，card(L)-1；

步骤五、对服务方返回的查询结果进行筛选；

若服务方只返回一个位置的查询结果，将所返回的查询结果发送给用户；若服务方返回多个位置的查询结果，则将与真实位置距离最近的位置的查询结果发送给用户；若返回的多个位置的查询结果中包含真实位置的查询结果，将直接真实位置的查询结果发送给用户。

本发明所述的用户位置个性化差分隐私保护方法的特点也在于：所述步骤四中的位置集L中任意第s个混淆位置的添加是按如下步骤进行：

步骤4.1、令表示添加前s-1个混淆位置时选择的假位置集合，s＝1时，为空集，在位置集合中任意选择一个除真实位置以外的假位置，用x_t ^f表示所述选择的假位置，1≤f≤card(χ_t)，f≠j，利用式(4)的指数机制概率分布生成混淆位置：

式(4)中，表示生成的混淆位置，1≤y≤card(χ_t)，y≠f，表示当假位置为时，利用指数机制生成混淆位置为的概率，当时，即生成的混淆位置为位置集合χ_t中除假位置以外的位置，ε表示隐私参数，表示假位置和混淆位置之间的欧氏距离；x_t ^m表示表示位置集合χ_t中第m个位置，m＝1,2,…,f-1,f+1,…,card(χ_t)；

步骤4.2、利用式(5)计算若发送给服务方的位置为混淆位置敌手在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率

式(5)中，表示假设真实位置为生成混淆位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率；

步骤4.3、利用式(6)对假位置生成的混淆位置进行安全性筛选，若满足式(6)，则表示满足安全性需求，即敌手不能分辨出扰动位置和混淆位置否则表示敌手能根据式(7)分辨出扰动位置和混淆位置

max P_t ⁺＞max{e^ε·max P_t ^-,ω} (7)

式(6)中，表示混淆位置的后验概率最大值；

若假位置生成的混淆位置不满足安全性需求，则从位置集合删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；若假位置生成的混淆位置满足安全性需求，执行步骤4.4对混淆位置进行效用性筛选；

步骤4.4、令表示由扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即其中，表示s-1个混淆位置中第v个混淆位置的后验概率，v＝1，2，…，s-1；令表示由混淆位置扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即

当加入混淆位置后，若满足式(8)，则表示混淆位置满足效用性需求，令并将加入位置集L；若不满足式(8)，则从位置集合中删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；

式(8)中，表示平均后验概率中值最大的一项。

相对于现有技术中的方案，本发明的有益效果体现在：

1、本发明结合了差分隐私和K-匿名，通过对扰动位置进行混淆，解决了现有技术中对于用户的位置隐私保护，无法有效应对贝叶斯攻击的问题，从而降低了用户位置隐私泄露的风险。

2、本发明利用指数机制选择扰动位置和混淆位置，不仅可以有效的应对用户位置信息泄露的威胁，而且还能确保用户向服务方发送的位置的可用性，保证了返回的查询结果的效用，当添加的混淆位置中包含真实位置时，可以得到100％的查询效用。

3、本发明充分考虑了服务方的计算代价问题，若用户使用差分隐私机制发布一个扰动位置能达到安全性需求，则只发布一个扰动位置，只有在用户使用差分隐私机制发布一个扰动位置达不到安全性需求时，才加入混淆位置，因此，本方案在满足安全性的前提下服务方的计算代价更小。

4、本发明安全性需求阈值ω由用户自己定值，考虑到用户在不同时刻、不同位置、不同查询请求时可能需要不同的安全性，实现了用户安全性需求的个性化。

附图说明

图1为本发明方法流程图；

图2为本发明应用场景示意图。

具体实施方式

本实施例中，如图2所示，一种基于位置服务的用户位置个性化差分隐私保护方法是应用于由用户和服务方所组成的查询环境中，并假定敌手对任意时刻用户所处位置的先验概率是已知的，如图1所示，该方法是按如下步骤进行：

步骤一、利用指数机制生成扰动位置；

令χ_t表示t时刻用户可能所在的位置集合，令表示位置集合χ_t中第i个位置，i＝1,2,…,card(χ_t)，其中card(χ_t)表示位置集合χ_t的基数，即位置集合χ_t所包含的位置数量，令是位置集合χ_t中第j个位置，并表示用户的真实位置，1≤j≤card(χ_t)，利用式(1)所示的指数机制概率分布生成扰动位置

式(1)中，表示生成的扰动位置，且1≤z≤card(χ_t)，z≠j，表示当t时刻用户真实位置为时，利用指数机制生成扰动位置为的概率，当时，表示生成的扰动位置为位置集合χ_t中除真实位置以外的假位置，ε表示隐私参数，表示真实位置和扰动位置之间的欧氏距离；x_t ^k表示表示位置集合χ_t中第k个位置，k＝1,2,…,j-1,j+1,…,card(χ_t)；

步骤二、获取敌手对t时刻用户所处位置的后验概率；

令P_t ^-和P_t ⁺表示敌手对t时刻用户所处位置的先验概率和后验概率，令表示先验概率P_t ^-中的第i项，表示敌手在用户发布查询之前判断t时刻用户真实位置为的概率，令表示后验概率P_t ⁺中的第i项，表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，

若发送给服务方的位置为扰动位置则利用式(2)得到在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率P_t ⁺：

式(2)中，表示假设真实位置为生成扰动位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，x_t ⁿ表示位置集合χ_t中第n个位置，n＝1,2,…,card(χ_t)；

步骤三、判断后验概率P_t ⁺是否满足max P_t ⁺≤max{e^ε·max P_t ^-,ω}，若满足，则将扰动位置和查询请求发送给服务方，直接执行步骤五；若不满足，则执行步骤四，其中，max P_t ⁺和max P_t ^-分别表示扰动位置的后验概率P_t ⁺和先验概率P_t ^-中值最大的一项，ω是用户定义的阈值，且max{e^ε·max P_t ^-,ω}的值是公开的，即本方案的安全性不依赖max{e^ε·max P_t ^-,ω}的值，敌手获知max{e^ε·max P_t ^-,ω}的值对本方案的安全性无影响；

将用户安全性需求设为max P_t ⁺≤max{e^ε·max P_t ^-,ω}，是为了防止敌手在t时刻发布查询之后判断用户所处位置为真实位置的概率较大，从而不能有效抵抗贝叶斯攻击；将max P_t ⁺的上限设为max{e^ε·max P_t ^-,ω}，是为了防止出现当max P_t ^-较大或maxP_t ^-较小时，难以找到满足安全性条件的扰动位置，从而导致服务方计算代价增加的情况；若将max P_t ⁺的上限设为e^ε·max P_t ^-，则当max P_t ^-较小时，难以找到满足安全性条件的扰动位置；若将max P_t ⁺的上限设为ω，则当max P_t ^-较大时，难以找到满足安全性条件的扰动位置；因此，将max P_t ⁺的上限设为max{e^ε·max P_t ^-,ω}；

步骤四、添加混淆位置，当满足安全性需求后，将由混淆位置和扰动位置组成的位置集L发送给服务方；

令L表示由扰动位置和混淆位置所组成的位置集，令L的初始值为向位置集L中添加混淆位置，直至位置集L满足式(3)后停止添加混淆位置，将位置集L和查询请求发送给服务方；

式(3)中，card(L)表示位置集L的基数，且其中，表示添加的card(L)-1个混淆位置，表示位置集L的平均后验概率最大值，表示位置集L的平均后验概率，并有：

式(4)中，表示第s个混淆位置的后验概率，s＝1，2，…，card(L)-1；

具体实施中，向位置集L中添加第s个混淆位置的具体操作步骤如下所示：

步骤4.1、令表示添加前s-1个混淆位置时选择的假位置集合，s＝1时，为空集，在位置集合中任意选择一个除真实位置以外的假位置，用x_t ^f表示选择的假位置，1≤f≤card(χ_t)，f≠j，利用式(4)的指数机制概率分布生成混淆位置：

式(4)中，表示生成的混淆位置，1≤y≤card(χ_t)，y≠f，表示当假位置为时，利用指数机制生成混淆位置为的概率，当时，即生成的混淆位置为位置集合χ_t中除假位置以外的位置，ε表示隐私参数，表示假位置和混淆位置之间的欧氏距离；x_t ^m表示表示位置集合χ_t中第m个位置，m＝1,2,…,f-1,f+1,…,card(χ_t)；

步骤4.2、利用式(5)计算若发送给服务方的位置为混淆位置敌手在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率

式(5)中，表示假设真实位置为生成混淆位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率；

步骤4.3、利用式(6)对假位置生成的混淆位置进行安全性筛选，若满足式(6)，则表示满足安全性需求，即敌手不能分辨出扰动位置和混淆位置否则表示敌手能根据式(7)分辨出扰动位置和混淆位置即将位置集L中后验概率最大值小于等于max{e^ε·max P_t ^-,ω}的位置判定为混淆位置；

式(6)中，表示混淆位置的后验概率最大值；

若假位置生成的混淆位置不满足安全性需求，则从位置集合删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；若假位置生成的混淆位置满足安全性需求，执行步骤4.4对混淆位置进行效用性筛选；

步骤4.4、令表示由扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即其中，表示s-1个混淆位置中第v个混淆位置的后验概率，v＝1，2，…，s-1；令表示由混淆位置扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即

当加入混淆位置后，若满足式(8)，则表示混淆位置满足效用性需求，令并将加入位置集L；若不满足式(8)，则添加混淆位置是无效的，且会增加服务方计算代价，从位置集合中删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；

式(8)中，表示平均后验概率中值最大的一项。

步骤五、对服务方返回的查询结果进行筛选；

若服务方只返回一个位置的查询结果，将所返回的查询结果发送给用户；若服务方返回多个位置的查询结果，则将与真实位置距离最近的位置的查询结果发送给用户；若返回的多个位置的查询结果中包含真实位置的查询结果，将直接真实位置的查询结果发送给用户。

Claims (2)

1.一种基于位置服务的用户位置个性化差分隐私保护方法，其特征是应用于由用户和服务方所组成的查询环境中，并假定敌手对任意时刻用户所处位置的先验概率是已知的，所述用户位置个性化差分隐私保护方法是按如下步骤进行：

步骤一、利用指数机制生成扰动位置；

令χ_t表示t时刻用户可能所在的位置集合，令表示位置集合χ_t中第i个位置，i＝1,2,…,card(χ_t)，其中card(χ_t)表示位置集合χ_t的基数，即位置集合χ_t所包含的位置数量，令是位置集合χ_t中第j个位置，并表示用户的真实位置，1≤j≤card(χ_t)，利用式(1)所示的指数机制概率分布生成扰动位置

式(1)中，表示生成的扰动位置，且1≤z≤card(χ_t)，z≠j，表示当t时刻用户真实位置为时，利用指数机制生成扰动位置为的概率，当时，表示生成的扰动位置为位置集合χ_t中除真实位置以外的假位置，ε表示隐私参数，表示真实位置和扰动位置之间的欧氏距离；x_t ^k表示表示位置集合χ_t中第k个位置，k＝1,2,…,j-1,j+1,…,card(χ_t)；

步骤二、获取敌手对t时刻用户所处位置的后验概率；

令P_t ^-和P_t ⁺表示敌手对t时刻用户所处位置的先验概率和后验概率，令表示先验概率P_t ^-中的第i项，表示敌手在用户发布查询之前判断t时刻用户真实位置为的概率，令表示后验概率P_t ⁺中的第i项，表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，i＝1,2,…,card(χ_t)；

若发送给服务方的位置为扰动位置则利用式(2)得到在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率P_t ⁺：

式(2)中，表示假设真实位置为生成扰动位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率，x_t ⁿ表示位置集合χ_t中第n个位置，n＝1,2,…,card(χ_t)；

步骤三、判断所述后验概率P_t ⁺是否满足maxP_t ⁺≤max{e^ε·maxP_t ^-,ω}，若满足，则将扰动位置和查询请求发送给服务方，直接执行步骤五；若不满足，则执行步骤四；其中，maxP_t ⁺和maxP_t ^-分别表示扰动位置的后验概率P_t ⁺和先验概率P_t ^-中值最大的一项，ω是用户定义的阈值，且max{e^ε·maxP_t ^-,ω}的值是公开的；

步骤四、添加混淆位置，当满足安全性需求后，将由混淆位置和扰动位置组成的位置集L发送给服务方；

令L表示由扰动位置和混淆位置所组成的位置集，并初始化向位置集L中添加混淆位置，直至位置集L满足式(3)后停止添加混淆位置，并将位置集L和查询请求发送给服务方；

式(3)中，card(L)表示位置集L的基数，且其中，表示添加的card(L)-1个混淆位置，表示位置集L的平均后验概率最大值，表示位置集L的平均后验概率，并有：

式(4)中，表示第s个混淆位置的后验概率，s＝1，2，…，card(L)-1；

步骤五、对服务方返回的查询结果进行筛选；

若服务方只返回一个位置的查询结果，将所返回的查询结果发送给用户；若服务方返回多个位置的查询结果，则将与真实位置距离最近的位置的查询结果发送给用户；若返回的多个位置的查询结果中包含真实位置的查询结果，将直接真实位置的查询结果发送给用户。

2.根据权利要求1所述的用户位置个性化差分隐私保护方法，其特征是：所述步骤四中的位置集L中任意第s个混淆位置的添加是按如下步骤进行：

步骤4.1、令表示添加前s-1个混淆位置时选择的假位置集合，s＝1时，为空集，在位置集合中任意选择一个除真实位置以外的假位置，用x_t ^f表示所述选择的假位置，1≤f≤card(χ_t)，f≠j，利用式(4)的指数机制概率分布生成混淆位置：

式(4)中，表示生成的混淆位置，1≤y≤card(χ_t)，y≠f，表示当假位置为时，利用指数机制生成混淆位置为的概率，当时，即生成的混淆位置为位置集合χ_t中除假位置以外的位置，ε表示隐私参数，表示假位置和混淆位置之间的欧氏距离；x_t ^m表示表示位置集合χ_t中第m个位置，m＝1,2,…,f-1,f+1,…,card(χ_t)；

步骤4.2、利用式(5)计算若发送给服务方的位置为混淆位置敌手在用户发布查询之后判断t时刻用户真实位置为的概率从而得到敌手对t时刻用户所处位置的后验概率

式(5)中，表示假设真实位置为生成混淆位置为的概率，当时， 表示敌手在用户发布查询之后判断t时刻用户真实位置为的概率；

步骤4.3、利用式(6)对假位置生成的混淆位置进行安全性筛选，若满足式(6)，则表示满足安全性需求，即敌手不能分辨出扰动位置和混淆位置否则表示敌手能根据式(7)分辨出扰动位置和混淆位置

式(6)中，表示混淆位置的后验概率最大值；

若假位置生成的混淆位置不满足安全性需求，则从位置集合删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；若假位置生成的混淆位置满足安全性需求，执行步骤4.4对混淆位置进行效用性筛选；

步骤4.4、令表示由扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即其中，表示s-1个混淆位置中第v个混淆位置的后验概率，v＝1，2，…，s-1；令表示由混淆位置扰动位置和s-1个混淆位置所组成的位置集的平均后验概率，即

当加入混淆位置后，若满足式(8)，则表示混淆位置满足效用性需求，令并将加入位置集L；若不满足式(8)，则从位置集合中删除假位置后，返回步骤4.1重新选择假位置并生成相应的混淆位置；

式(8)中，表示平均后验概率中值最大的一项。