CN109886042B - 一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法 - Google Patents

Abstract

本发明涉及一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，本方法基于对应用场景及充电位置数据特点的分析，通过结合新颖的贝叶斯多伪局部差分隐私方法和基于供电线路分区的方法，设计了一种电动汽车充电位置数据隐私汇聚方法。该方法通过贝叶斯多伪方法增加扰动输出样本量，同时通过分区缩小隐私位置域的方式，有效地提高了电动汽车充电位置数据汇聚结果的可用性。

Description

一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚 方法

技术领域

本发明属于信息安全隐私保护领域，特别涉及一种用于保护电动汽车充电位置数据的隐私数据汇聚方法。

背景技术

随着新能源技术的发展，电动汽车(Electric Vehicle，EV)逐渐普及。由于受车载电池技术的限制，EV需频繁访问充电桩进行充电，在与充电桩进行交互的过程中，数据汇聚器将收集EV的充电位置数据，这些数据可以为第三方科研机构和企业提供数据服务。例如，国家电网可根据充电位置数据优化充电桩(站)的布置、指导电力调度。EV充电的系统模型包含三个组件：EV、充电桩/站、数据汇聚器，如图1所示。其中，EV是插入式EV(PEV)或插入式混合EV(PHEV)；充电桩是EV充电系统中与EV交互的前端接口；数据汇聚器是用于收集EV相关数据，如EV用户的身份和位置信息等。值得注意的是，在研究的模型中，EV与充电桩(可信的)交互所产生位置信息是直接通过EV发送给数据汇聚器。然而，假设数据汇聚器是完全不可信的，可能从EV的充电位置数据关联出车主的日常活动轨迹，这将导致充电位置的隐私泄露。如何保证电动汽车用户位置隐私是我们亟需考虑的问题。

为保护电动汽车的安全性问题，传统的密码学和差分隐私方法得到应用。在基于密码学技术的EV隐私安全方面，Yang等首次阐述了V2G(Vehicle-to-grid)的隐私保护问题，为保护EV用户的位置和身份信息，提出了基于身份限制部分盲签名的隐私保护数据汇聚方案。Jiang等提出了一种针对V2G的关联性可控的群签名的隐私保护数据汇聚方案，以抵御关联分析引起的敏感信息泄露。上述基于密码学技术的隐私数据汇聚方法，需要对原始数据进行加密，而后在不可信数据汇聚器上进行解密。虽然能够有效保护数据隐私，但运算代价过高。此外，在EV相关数据发布领域的隐私安全问题方面。Han等针对分布式EV相关数据发布过程中的隐私泄露问题，提出了一种基于差分隐私保护技术的发布算法。Han等利用联合差分隐私防止EV用户的恶意参与，以获得近似真实性实现EV充电的优化调度。上述研究都是基于中心化差分隐私模型解决EV用户的隐私泄露问题，需假设中心汇聚器半可信(诚实但好奇)，而并不适用于中心汇聚器完全不可信的场景。

局部差分隐私是一种新颖的、完全分布式的隐私保护模型。Kasiviswanathan等首次提出局部差分隐私的概念，研究局部模型下的可解的学习问题。Erlingsson等最早将局部差分隐私用于解决实际问题，所提出的RAPPOR方法是利用随机响应和布隆过滤器技术隐私收集Chrome浏览器的用户设置的统计数据。Bassily和Smith等针对大敏感属性域(大小为k)情形，设计了一个基于随机映射矩阵(Random Projection Matrix,RPM)的局部随机器，其思想是利用随机映射矩阵Φ_m×k实现降维处理(k＞＞m)，以在更低维上实现局部差分隐私算法，可有效降低通信(传输1bit)和运算(低维)开销。然而，随机映射矩阵方法所带来的噪声比较高，导致数据可用性差。因此，对小属性域的情形，Nguyên等提出了构建随机映射矩阵Φ_k×k以避免降维引入的噪声。Chen等提出一种基于局部差分隐私的空间位置数据的隐私汇聚方案，该方案是基于随机映射矩阵方法实现的，适用于隐私域较大的情况。最近Sei等从数据样本量的角度出发，研究如何通过增加数据样本量以提升局部差分隐私扰动后数据的可用性，并提出一种基于贝叶斯多伪的局部差分隐私方法，开辟了提高数据可用性的新方向。

发明内容

本发明考虑数据汇聚器是完全不可信的场景下：EV访问一充电桩(站)进行充电时，不希望暴露真实的充电位置给不可信的数据汇聚器，而是发送伪装充电位置给汇聚器。汇聚器在收集到全部的位置数据后，却能够重构访问充电桩的EV数量的统计分布。也就是说，不可信的汇聚器在不知道EV真实充电位置(为保护EV用户的位置隐私)的前提下，仍能够统计每个充电桩(位置)为多少辆EV提供过充电服务。

Chen等提出一种基于局部差分隐私的空间位置数据的隐私汇聚方法，该方案是基于随机映射矩阵方法实现的，适用于隐私位置域较大的情况，将隐私域降低到更低维的隐私位置域。由于降维所带来的大量噪声，因此，需要大量的数据样本。然而，在实际情况中，充电桩的数量相比于EV的数量少得多，因此不需要对充电桩位置进行降维处理。此外，EV的充电频率并不高，充电时产生的位置数据在一段时间内(如一个月)较稀疏。受Sei等的方法启发，我们引入贝叶斯多伪随机方式增加样本数量以提高数据汇聚结果的可用性。此外，依据充电桩的所在的供电线路(供电台区)对全部充电位置进行分区以缩小隐私位置域，进一步提高汇聚结果的可用性。

综上，针对现有技术存在的不足，本发明结合一种新颖的贝叶斯多伪的局部差分隐私方法，提出了一种基于局部差分隐私的EV充电位置数据隐私汇聚方法，该方法通过增加扰动输出样本量和分区以缩小隐私位置域的方式，在保护EV用户充电位置的隐私的同时，有效地提高了充电位置数据汇聚结果的可用性。

为解决上述技术问题，本发明采用如下技术方案：

一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于，包括步骤：

步骤1、根据充电桩所在的供电线路对整个充电桩位置域

进行划分，将整体数据空间划分成更小的隐私位置域，具体是根据电网供电线路对整个充电桩位置域

划分成多个独立隐私位置域，即

其中m表示相互独立的隐私位置域数量；

步骤2、数据汇聚器计算每个独立的隐私位置域τ_d的报告位置集合长度s、真位置被包含在报告位置集合的概率p和伪位置被包含在报告集合的概率q；

步骤3、每辆EV的真实位置数据利用随机响应进行局部化扰动；

步骤4、在每个独立的隐私位置域τ_d中，数据汇聚器收集到全部EV的充电位置集合后，迭代重构计算汇聚结果；

步骤5、合并所有独立充电位置域内的汇聚结果，以获得整个充电桩位置域

内的近似EV数量分布

在上述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，所述步骤1中依据电网供电线路将整个充电桩位置域

划分成多个独立隐私位置域，即

的解释：通常来说，基于随机响应技术的局部差分隐私方法的可用性依赖于局部随机域的大小，局部随机域越大，扰动误差越大；反之则误差越小，因此更小的隐私位置域，能够提高数据可用性；同时，在同一个隐私位置域内混淆单个充电位置，不会影响其他隐私位置域内的汇聚结果，可进一步保证数据可用性；

在上述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，所述步骤2具体包括

步骤2.1、数据汇聚器计算

和

其中，ε_d是访问隐私位置域τ_d用户所需要的隐私预算。参数s和p的推导参照Sei等文献的理论7。需要注意的是，在同个隐私位置域内的全部EV的隐私预算相同；

步骤2.2、根据上述两个参数，同时依据伪位置被包含在报告位置集合的概率q的推导公式q＝p·(s-1)/(|τ_d|-1)+(1-p)·s/(|τ_d|-1)，可计算得到q＝(s-p)/(|τ_d|-1)。由于访问同一隐私位置域内的每辆EV的隐私预算ε_d和隐私位置域τ_d相同，因此访问该隐私位置域内的所有EV的参数s、p和q都相同；

在上述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，所述步骤3具体包括

步骤3.1、v_i依据访问的τ_d确定报告位置集合R_i的长度s，初始化长度为s的空集R_i；

步骤3.2、v_i以偏概率p扔一硬币；如果硬币是正面(概率为p)，则添加v_i的真位置l_i项和s-1个从集合τ_d\{l_i}均匀抽取的假位置项至集合R_i；如果硬币是反面(概率为1-p)，则添加s个从τ_d\{l_i}均匀抽取的假位置项至集合R_i；其中，偏概率为

步骤3.3、v_i将报告位置集合R_i发送给中心汇聚器。

在上述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，所述步骤4具体包括

步骤4.1、对每个位置l_k，计算含真实位置的报告集合的数量w_k；

步骤4.2、初始化访问l_k的EV数量分布

然后迭代计算访问l_k的近似EV数量分布；

步骤4.3、计算中间参数

然后计算参数累积值Z＝∑_kL_k；

步骤4.4、对位置l_k，利用

迭代计算近似EV数量分布；同时，计算每次的迭代误差和

如果误差小于阈值SumErr＜ThreshHold，终止迭代；

步骤4.5、最后计算隐私位置域τ_d内所有位置对应的EV数量分布，即

本发明方法基于对应用场景和数据特点的分析，引入一种新型的、更严格的隐私保护技术——局部差分隐私，提出了一种新颖的电动汽车充电位置数据隐私汇聚方法。此方法设计时考虑了局部差分隐私技术在小样本位置数据汇聚情形，符合实际情况。进一步，通过对充电位置进行分区以缩小隐私位置域，以提高汇聚结果可用性，同时可保护电动汽车用户充电时的位置隐私。

与现有技术对比有如下的有益效果：1.从严格的差分隐私角度出发，而不是采用更加复杂的密码学技术实现充电位置数据的汇聚，本方法基于局部差分隐私技术设计了一种轻量、简单的隐私保护电动汽车充电位置数据汇聚方法，在有效保证用户充电位置隐私的前提下，其汇聚结果具有良好的可用性；2.本方法适用于位置数据样本量小的情况，通过本地化扰动位置数据并增加扰动数据样本量，有效地提高了数据汇聚结果可用性；3.本方法依据充电桩所在的供电线路划分隐私位置域，不仅缩小隐私位置域以进一步提高数据汇聚结果的可用性，而且能抵御背景知识攻击。

附图说明

图1为本发明EV充电系统模型示意图。

图2为隐私汇聚EV充电位置数据的局部混淆模型示意图。

图3为基于分区的隐私汇聚EV充电位置数据示意图。

具体实施方式

本发明提出了一种新颖的电动汽车充电位置数据隐私汇聚方法。此方法基于局部差分隐私提出了一种适用于电动汽车充电位置数据汇聚隐私保护方法。该方法通过增加扰动后数据样本数量，可有效地提高数据汇聚结果的可用性。同时，通过对整体充电位置域进行分区以缩小隐私位置域，以进一步提高汇聚结果的可用性

图1所示为本发明EV充电系统模型示意图，如图所示，其中包含三个重要组件：电动汽车、充电桩、数据汇聚器。EV与充电桩交互充电时，产生的位置数据通过EV与数据汇聚器之间的无线通信方式传输数据。图2所示为本发明隐私汇聚EV充电位置数据的局部混淆模型示意图，每个EV用户充电时产生的一个位置数据经过局部差分隐私保护机制M_i扰动后产生一个扰动位置集，然后发送该位置集给数据汇聚器；数据汇聚器收到一段时间内所有的EV的充电位置数据集后，重构访问每个充电桩的近似EV数量分布。其中，每个EV用户的充电位置满足差分隐私定义，受到局部差分隐私的保护。图3所示为本发明基于分区的隐私汇聚EV充电位置数据示意图。基于供电线路对整个充电桩位置域进行独立划分，在每个独立隐私位置域内单独执行隐私汇聚方法，以进一步提高数据汇聚结果的准确性和可用性。

本发明一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，包括步骤：

步骤一、根据充电桩所在的供电线路对整个充电桩位置域

进行划分，将整体空间位置数据划分成更小的隐私位置域，执行以下步骤：

1.1根据电网供电线路将整个充电桩位置域划分成多个独立隐私位置域，即

其中m表示相互独立的隐私位置域数量；

步骤一中依据充电桩所在的供电线路对整个充电桩位置域

进行划分的解释：通常来说，基于随机响应技术的局部差分隐私方法的可用性依赖于局部随机域的大小，局部随机域越大，扰动误差越大；反之则误差越小，因此更小的隐私位置域，能够提高数据可用性。同时，在同一个隐私位置域内混淆单个充电位置，不会影响其他隐私位置域内的汇聚结果，可进一步保证数据可用性。

步骤二、数据汇聚器计算每个独立的隐私位置域τ_d的报告位置集合长度s、真位置被包含在报告位置集合的概率p和伪位置被包含在报告集合的概率q，执行以下步骤：

2.1汇聚器计算

和

其中，p是真位置被包含在报告位置集合的概率，ε_d是访问隐私位置域τ_d用户所需要的隐私预算。需要注意的是，在同个隐私位置域内的用户的隐私预算相同；

2.2根据上述两个参数，可计算伪位置被包含在报告位置集合的概率q＝(s-p)/(|τ_d|-1)。

步骤二中报告集合的长度s、真位置包含在报告集合的概率p、假位置包含在报告集合的概率q的推导如下：

设相同隐私位置域内的EV的隐私预算ε_d相同，隐私位置域τ_d。依据Sei的文献理论7的推导报告集合长度s和概率p，分别为

和

概率q的推导q＝p·(s-1)/(|τ_d|-1)+(1-p)·s/(|τ_d|-1)，可得q＝(s-p)/(|τ_d|-1)。由于访问同一隐私位置域内的每辆EV的隐私预算ε_d和隐私位置域相同τ_d，因此访问隐私位置域内的所有EV的参数s、p和q都相同。

步骤三、每辆EV的真实位置数据利用随机响应进行局部化扰动，执行以下步骤3.1v_i依据访问的τ_d确定报告位置集合R_i的长度s，初始化长度为s的空集R_i；

3.2v_i以偏概率p扔一硬币。如果硬币是正面(概率为p)，则添加v_i的真位置l_i项和s-1个从集合τ_d\{l_i}均匀抽取的假位置项至集合R_i；如果硬币是反面(概率为1-p)，则添加s个从τ_d\{l_i}均匀抽取的假位置项至集合R_i。其中，偏概率为

3.3v_i将报告位置集合R_i发送给中心汇聚器。

步骤四、在每个独立的隐私位置域τ_d中，数据汇聚器收集到全部EV的充电位置集合后，迭代重构计算汇聚结果。执行以下步骤：

4.1对每个位置l_k，计算含真实位置的报告集合的数量w_k；

4.2初始化访问l_k的EV数量分布

然后迭代计算访问l_k的近似EV数量分布；

4.3计算中间参数

然后计算参数累积值Z＝∑_kL_k；

4.4对位置l_k，利用

迭代计算近似EV数量分布。同时，计算每次的迭代误差和

如果误差小于阈值SumErr＜ThreshHold且迭代次数达到1000时，终止迭代；

4.5最后计算隐私位置域τ_d内所有位置对应的EV数量分布，即

步骤四中阈值ThreshHold设置如下：

通常，设置阈值ThreshHold为0.001。但由于每个隐私位置域大小不同导致收敛程度不一，因此设置迭代次数1000的终止迭代条件以限制过多的计算开销。

步骤五、合并所有独立位置域的汇聚结果，执行以下步骤：

5.1获得整个位置域内的近似EV数量分布

下面将结合附图和具体实施对本发明方法做进一步说明。

假设隐私位置域如图3所示，整个隐私保护充电位置汇聚过程如下：

1、根据充电桩所在的供电线路对位置域进行划分，将整体空间位置数据划分成更小的隐私位置域，如图3的A区、B区等多个分区。

根据电网供电线路将整个充电桩位置域

划分成多个独立隐私位置域，即

其中m表示相互独立的隐私位置域数量；

2、数据汇聚器计算每个独立的隐私位置域τ_d的报告位置集合长度s、真位置被包含在报告位置集合的概率p和伪位置被包含在报告集合的概率q，执行以下步骤：

数据汇聚器计算

和

其中，p是真位置被包含在报告位置集合的概率，ε_d是访问隐私位置域τ_d用户所需要的隐私预算。需要注意的是，在同个隐私位置域内的用户的隐私预算相同。根据上述两个参数，可计算伪位置被包含在报告位置集合的概率q＝(s-p)/(|τ_d|-1)。

3、每辆EV的真实位置数据利用随机响应进行局部化扰动后发布给中心数据汇聚器，局部化扰动如图2所示。每个用户的基于随机响应的扰动过程如下：

v_i依据访问的τ_d确定报告位置集合R_i的长度s，初始化长度为s的空集R_i。然后，v_i以偏概率p扔一硬币。如果硬币是正面(概率为p)，则添加v_i的真位置l_i项和s-1个从集合τ_d\{l_i}均匀抽取的假位置项至集合R_i；如果硬币是反面(概率为1-p)，则添加s个从τ_d\{l_i}均匀抽取的假位置项至集合R_i。其中，偏概率为

最后，v_i将报告位置集合R_i发送给中心汇聚器。

4、在每个独立的隐私位置域τ_d内，数据汇聚器收集到全部EV的充电位置后，执行汇聚算法计算统计值，执行以下步骤：

对每个位置l_k，计算含真实位置的报告集合的用户数量w_k；同时，初始化对位置EV数量分布

迭代计算访问充电位置的近似EV数量分布，接着，计算中间参数

获得参数累积值Z＝∑_kL_k。对每个位置l_k，利用

迭代计算近似EV数量分布。同时，计算每次迭代过程的迭代误差和

如果误差小于阈值SumErr＜ThreshHold且迭代次数达到1000时，终止迭代。最后计算位置域内所有位置对应的EV数量分布，即

5、合并所有独立位置域的汇聚结果，以获得整个充电位置域内近似EV数量分布，执行以下步骤：

数据汇聚器合并所有独立位置域内的汇聚结果，获得整个充电位置域内的近似EV数量分布

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

Claims (5)

1.一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于，包括步骤：

步骤1、根据充电桩所在的供电线路对整个充电桩位置域

进行划分，将整体数据空间划分成更小的隐私位置域，具体是根据电网供电线路对整个充电桩位置域

划分成多个独立隐私位置域，即

其中m表示相互独立的隐私位置域数量；

步骤2、数据汇聚器计算每个独立的隐私位置域τ_d的报告位置集合长度s、真位置被包含在报告位置集合的概率p和伪位置被包含在报告集合的概率q；

步骤3、每辆EV的真实位置数据利用随机响应进行局部化扰动；

步骤4、在每个独立的隐私位置域τ_d中，数据汇聚器收集到全部EV的充电位置集合后，迭代重构计算汇聚结果；

步骤5、合并所有独立充电位置域内的汇聚结果，以获得整个充电桩位置域

内的近似EV数量分布

2.根据权利要求1所述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于：步骤1中依据电网供电线路将整个充电桩位置域

划分成多个独立隐私位置域，即

的解释：通常来说，基于随机响应技术的局部差分隐私方法的可用性依赖于局部随机域的大小，局部随机域越大，扰动误差越大；反之则误差越小，因此更小的隐私位置域，能够提高数据可用性；同时，在同一个隐私位置域内混淆单个充电位置，不会影响其他隐私位置域内的汇聚结果，可进一步保证数据可用性。

3.根据权利要求1所述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于：所述步骤2具体包括

步骤2.1、数据汇聚器计算

和

其中，ε_d是访问隐私位置域τ_d用户所需要的隐私预算；在同个隐私位置域内的全部EV的隐私预算相同；

步骤2.2、根据上述两个参数，同时依据伪位置被包含在报告位置集合的概率q的推导公式q＝p·(s-1)/(|τ_d|-1)+(1-p)·s/(|τ_d|-1)，可计算得到q＝(s-p)/(|τ_d|-1)；由于访问同一隐私位置域内的每辆EV的隐私预算ε_d和隐私位置域τ_d相同，因此访问该隐私位置域内的所有EV的参数s、p和q都相同。

4.根据权利要求1所述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于：所述步骤3具体包括

步骤3.1、v_i依据访问的τ_d确定报告位置集合R_i的长度s，初始化长度为s的空集R_i；

步骤3.2、v_i以偏概率p扔一硬币；如果硬币是正面，概率为p，则添加v_i的真位置l_i项和s-1个从集合τ_d\{l_i}均匀抽取的假位置项至集合R_i；如果硬币是反面，概率为1-p，则添加s个从τ_d\{l_i}均匀抽取的假位置项至集合R_i；其中，偏概率为

步骤3.3、v_i将报告位置集合R_i发送给中心汇聚器。

5.根据权利要求1所述的一种基于局部差分隐私的电动汽车充电位置数据隐私汇聚方法，其特征在于：所述步骤4具体包括

步骤4.1、对每个位置l_k，计算含真实位置的报告集合的数量w_k；

步骤4.2、初始化访问l_k的EV数量分布

然后迭代计算访问l_k的近似EV数量分布；

步骤4.3、计算中间参数

然后计算参数累积值Z＝∑_kL_k；

步骤4.4、对位置l_k，利用

迭代计算近似EV数量分布；同时，计算每次的迭代误差和

如果误差小于阈值

终止迭代；

步骤4.5、最后计算隐私位置域τ_d内所有位置对应的EV数量分布，即

Images