CN112866993B

CN112866993B - 一种时序位置发布方法及系统

Info

Publication number: CN112866993B
Application number: CN202110173572.XA
Authority: CN
Inventors: 康海燕; 冀源蕊
Original assignee: Beijing Information Science and Technology University
Current assignee: Beijing Information Science and Technology University
Priority date: 2021-02-06
Filing date: 2021-02-06
Publication date: 2022-10-21
Anticipated expiration: 2041-02-06
Also published as: CN112866993A

Abstract

本发明涉及一种基于个性化隐私策略的差分隐私时序位置发布方法及系统，确定LBS服务位置域并进行网格划分，将LBS服务位置域划分为多个位置点，得到网格坐标系下的位置点；每个网格内包括一个位置点；根据网格坐标系下的所有位置点构建初始无向图；根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；基于概率状态转移矩阵和初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置并发布。其中，允许用户个性化定制无向图中节点间的连接关系，使得用户可结合自己的隐私需求调整隐私保护程度。同时引入了拉普拉斯噪声，利用隐马尔可夫模型对时序位置进行发布，提高了用户位置发布的安全性，避免用户真实位置隐私泄露。

Description

一种时序位置发布方法及系统

技术领域

本发明涉及时序位置发布技术领域，特别是涉及一种时序位置发布方法及系统。

背景技术

在攻击者掌握大量背景知识的情况下，通常采用K-匿名位置隐私方案对用户的位置进行匿名，K-匿名位置隐私方案对轨迹Ti在任意时刻采样，使得在采样时刻内，至少有k-1条轨迹在相应的位置能和Ti泛化在同一区域内达到隐私保护的效果。以K-匿名方案为代表的泛化和抑制技术难以抵御攻击者的背景知识攻击，如攻击者可以根据历史信息推测出匿名后的位置，使得泛化失效。另外K-匿名方案对具体的LBS服务(基于位置的信息服务，Location Based Services)不够灵活，用户也无法根据需求调整具体的隐私保护程度。因此，亟需一种可以避免用户位置隐私泄露，且针对不同LBS服务提供个性化隐私策略的时序位置发布方法及系统。

发明内容

本发明的目的是提供一种时序位置发布方法及系统，针对不同的LBS服务提供可定制的无向图节点连接关系隐私策略，并允许用户根据需求选择或自定义个性化无向图节点连接关系，使得用户在使用LBS服务时，可以通过隐私保护的方式对时序位置数据进行发布，从而保护用户位置隐私，解决了LBS服务提供商不可信而导致用户位置隐私泄露的问题，提高了用户位置发布的安全性。

为实现上述目的，本发明提供了如下方案：

一种时序位置发布方法，包括：

确定LBS服务位置域，对所述LBS服务位置域进行网格划分，每个网格内包括一个位置点，得到网格坐标系下的位置点；

根据所述网格坐标系下的所有位置点构建初始无向图；

根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；

根据所述概率状态转移矩阵和所述初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置；对所述扰动位置进行发布。

可选的，所述根据所述概率状态转移矩阵和所述初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置，具体包括：

确定初始时刻用户的真实位置，根据初始时刻用户的真实位置确定初始时刻的位置先验概率值；令所述初始无向图为初始时刻的交集无向图；初始时刻为t＝1；

获取t时刻用户的真实位置；t∈[2,3,...,T]

根据t-1时刻的位置先验概率值和所述概率状态转移矩阵计算t时刻的位置先验概率值；根据所述t时刻的位置先验概率值和t-1时刻的交集无向图计算t时刻的交集无向图；

构建所述t时刻用户的真实位置在所述t时刻的交集无向图中的相邻节点集合；

计算所述相邻节点集合中任意两个节点的位置查询结果的差值，选择所述差值最大的l₁范式值为查询函数的敏感度；其中，两个节点的位置查询结果为两个节点对应的两个位置点在二维经纬度坐标系中的位置坐标；所述查询函数表示所述网格坐标系下的位置点映射到所述二维经纬度坐标系时的映射关系；

根据所述敏感度获取拉普拉斯噪声，并将所述拉普拉斯噪声加入至所述t时刻用户的真实位置查询结果中得到t时刻用户的扰动位置；

计算所述t时刻用户的扰动位置的发射概率并根据所述发射概率计算t时刻的位置后验概率，令t时刻的值加1更新t时刻的值，返回步骤“获取t时刻用户的真实位置”，计算下一时刻用户的扰动位置，直至t>T结束，T表示时序位置发布的最后一个时刻。

本发明还提供了一种时序位置发布系统，包括：

位置域网格划分模块，用于确定LBS服务位置域，每个网格内包括一个位置点，将所述LBS服务位置域划分为多个位置点，得到网格坐标系下的位置点；

初始无向图构建模块，用于根据所述网格坐标系下的所有位置点构建初始无向图；

概率状态转移矩阵获取模块，用于根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；

扰动位置获取及发布模块，用于根据所述概率状态转移矩阵和所述初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置；对所述扰动位置进行发布。

根据本发明提供的具体实施例，本发明公开了以下技术效果：

本发明提供了一种时序位置发布方法及系统，包括，确定LBS服务位置域并进行网格划分，将LBS服务位置域划分为多个位置点，得到网格坐标系下的位置点；每个网格内包括一个位置点；根据网格坐标系下的所有位置点构建初始无向图；根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；基于概率状态转移矩阵和初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置并发布。其中，基于网格坐标系下的所有位置点构建初始无向图时，可以根据隐私程度大小的需求，允许用户个性化定制无向图中节点间连接的关系，使得用户可结合自己的隐私需求得到所需的无向图，节点间连接关系的隐私策略选择更加灵活，构建的无向图的隐私保护程度也可根据需求调整。并且，本发明以位置差分隐私和隐马尔科夫模型为背景，根据差分隐私的思想设计拉普拉斯噪声机制向用户的位置数据中添加扰动，利用隐马尔可夫模型对时序位置进行发布，使得LBS服务提供商无法区分某时刻用户的真实位置，提高了用户位置发布的安全性，避免用户位置隐私泄露。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例1提供的一种时序位置发布方法流程图；

图2为本发明实施例1提供的节点间连接关系隐私策略示意图；

图3为本发明实施例1提供的严格隐私策略PG₉示意图；

图4为本发明实施例1提供的时序位置发布步骤S4的方法流程图；

图5为本发明实施例2提供的一种时序位置发布系统框架图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明以位置差分隐私和隐马尔科夫模型为背景，根据差分隐私的思想设计噪声机制向用户的位置数据中添加扰动。结合隐马尔可夫模型对时序位置进行发布，使得LBS服务提供商无法区分某时刻用户的真实位置。

原始的差分隐私定义针对相邻数据集，即两个只相差一条记录的数据集，要求对相邻数据集的查询结果不可区分。为了达到该目的，通常使用各种噪声机制来实现概率的不可区分，常用的噪声机制有拉普拉斯机制，指数机制和随机响应。在位置隐私发布的背景下，需要保证发布扰动位置后，根据已发布的扰动位置推断某时刻真实位置的后验概率与该时刻真实位置先验概率不可区分，为了实现该目的同样需要引入拉普拉斯等噪声机制，不同之处在于对位置数据的建模和相邻位置集合的定义。

隐马尔科夫模型有两种状态集合：隐藏状态、观测状态。在时序位置隐私发布的背景下，常用马尔科夫模型对用户的位置数据进行建模，其中，隐马尔科夫模型中的隐藏状态为用户每个时刻真实的位置，观测状态为经过噪声扰动后每个时刻发布的位置。使用隐马尔可夫模型可以表示不同时刻位置状态转移的关系，从而对位置数据进行发布。

为使本发明的上述目的、特征和优点能够更加明显易懂，下面结合附图和具体实施方式对本发明作进一步详细的说明。

实施例1

如图1所示，本实施例提供了一种时序位置发布方法，包括：

步骤S1：确定LBS服务位置域，对所述LBS服务位置域进行网格划分，每个网格内包括一个位置点，得到网格坐标系下的位置点；

在进行网格划分之前，需要先将LBS服务位置域用二维经纬度坐标表示出来，然后在二维经纬度坐标的基础上对LBS服务位置域进行网格划分，可以按照每个网格大小为50*50m的标准进行划分，将LBS服务位置域划分为多个小网格，网格数量(划分得到的位置点数)记为n。这里将位置域划分为多个位置点，这些位置点则是用户在位置域范围内移动的位置点，也就是说，用于在设定时段内的位置点包含于位置域划分得到的位置点中。

步骤S2：根据所述网格坐标系下的所有位置点构建初始无向图；

步骤S2具体包括：

将所述网格坐标系下的所有位置点为节点，根据所述节点间连接关系隐私策略确定所述节点之间的连接边，构建初始无向图。

其中，无向图包括一个或多个网格组，网格组包括预设个数的网格；

所述节点间连接关系隐私策略包括普通隐私策略和严格隐私策略；所述普通隐私策略表示在所述网格组中，任一所述节点与其他部分所述节点有连接边，如图2(a)示出了普通隐私策略中节点间的连接关系；严格隐私策略表示在所述网格组中，任一节点与其他节点之间均有连接边，如图2(b)示出了严格隐私策略中节点间的连接关系。

进一步的，可以根据隐私保护程度的大小，将严格隐私策略分为多种，其中，严格隐私策略为严格隐私策略PG₉、严格隐私策略PG₁₆和严格隐私策略PG₂₅中的一种；下标中的数字表示隐私保护程度的大小；

其中，如图3所示，严格隐私策略PG₉表示所述网格坐标中每9个网格为一个所述网格组，即3×3网格区域为一个所述网格组，在每个所述网格组中，每个所述节点与其他所节点之间均有连接边；

同理，严格隐私策略PG₁₆表示所述网格坐标中每16个网格为一个所述网格组，即4×4网格区域为一个所述网格组，在每个所述网格组中，每个所述节点与其他所节点之间均有连接边；

同理，严格隐私策略PG₂₅表示所述网格坐标中每25个网格为一个所述网格组，即5×5网格区域为一个所述网格组，在每个所述网格组中，每个所述节点与其他所节点之间均有连接边。

上述每个网格组中，每个节点与其他节点均有连接边，这使得攻击者无法区分该网格组内所有位置点，对用户的真实位置起到保护作用。针对上述给出的普通隐私策略和严格隐私策略，本领域技术人员可以根据实际需求选择不同隐私保护程度的节点间连接关系隐私策略，所以在位置发布过程中，可以个性化定制不同的隐私策略，从而满足不同LBS服务需求。需要说明的是普通隐私策略的隐私保护程度要小于严格隐私策略的隐私保护程度。

步骤S3：根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；

通过将用户的历史位置数据用网格坐标表示，则得到在网格坐标系中对应的位置点坐标L＝{l₁,l₂,...,l_n}，其中l_i表示网格坐标系中第i个位置的索引；按照如下步骤训练状态转移矩阵M：

(1)、根据网格坐标系大小，确定初始化状态转移矩阵M₀，M₀表示为一个大小为n×n，填充元素均为0的矩阵；

(2)、记集合L中第1个元素l₁的值为pre_loc，表示前一时刻所在网格坐标。

取集合L中第g个元素l_g的值为loc，g＝2；

(3)、将M₀中第pre_loc行，第loc列的值加1；

(4)、将当前的loc赋值给pre_loc，将集合L中第g+1个元素l_g+1的值赋给loc；将g的值加1，返回步骤3，直到pre_loc的值为l_n的值；

(5)、loc取l₁的值，将M₀中第pre_loc行，第loc列的值加1，得到矩阵M′；

(6)、对矩阵M′中的每一行累加，记作sum_i，用本行每一个元素的结果除以sum_i得到概率值，得到矩阵M。

步骤S4：根据所述概率状态转移矩阵和所述初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置；对所述扰动位置进行发布。

如图4所示，步骤S4具体包括：

步骤S401：确定初始时刻用户的真实位置，根据初始时刻用户的真实位置确定初始时刻的位置先验概率值；令所述初始无向图为初始时刻的交集无向图；初始时刻为t＝1；

其中，初始时刻用户的真实位置

对应于LBS位置域中的划分的某一位置点s_i，根据s_i对初始时刻的位置先验概率分布p₁进行初始化，p₁中第i个元素为1，即p₁[i]＝1，其余元素为0，从而计算出初始时刻的位置先验概率值。

步骤S402：获取t时刻用户的真实位置；t∈[2,3,...,T]

步骤S403：根据t-1时刻的位置先验概率值和所述概率状态转移矩阵计算t时刻的位置先验概率值；根据所述t时刻的位置先验概率值和t-1时刻的交集无向图计算t时刻的交集无向图；

步骤S403具体包括：

其中，

为t时刻的先验概率值(或者为t时刻扰动输出发布前真实位置的先验概率)，

为t-1时刻的先验概率值，M为概率状态转移矩阵；

根据所述t时刻的位置先验概率值计算t时刻的约束域(攻击者掌握的背景知识之一，指某时刻先验概率大于0的位置集合，即该时刻用户可能出现的位置)，

其中，C_t表示t时刻的约束域，s_i表示LBS服务位置域S中的第i个位置点，

表示t时刻的真实位置

位于位置点s_i的概率值；

对所述t时刻的约束域和所述t-1时刻的交集无向图取交集得到所述t时刻的交集无向图。

步骤S404：构建所述t时刻用户的真实位置在所述t时刻的交集无向图中的相邻节点集合；

步骤S405：计算所述相邻节点集合中任意两个节点的位置查询结果的差值，选择所述差值最大的l₁范式值为查询函数的敏感度；其中，两个节点的位置查询结果为两个节点对应的两个位置点在二维经纬度坐标系中的位置坐标；所述查询函数表示所述网格坐标系下的位置点映射到所述二维经纬度坐标系时的映射关系；

步骤S406：根据所述敏感度获取拉普拉斯噪声，并将所述拉普拉斯噪声加入至所述t时刻用户的真实位置查询结果中得到t时刻用户的扰动位置；

拉普拉斯机制：拉普拉斯分布是一种特殊形式的指数分布，以μ为位置参数，以δ为尺度参数，其概率分布函数关于μ对称，并达到最大值1/2δ。拉普拉斯机制通过向位置查询结果中添加噪声，使得原本确定的查询结果变成服从拉普拉斯分布的结果，若攻击者不能区分两个相邻节点查询结果的概率分布，就达到了位置差分隐私目的。

添加的拉普拉斯噪声符合位置参数μ＝0，尺度参数δ＝Δf^G/ε，其中，Δf^G为敏感度，ε为隐私预算，隐私预算越小，隐私保护程度越高，该值可由用户自行定义。

步骤S406得到扰动位置之后，还包括：

判断所述t时刻的扰动位置是否位于所述LBS服务位置域，得到判断结果；

当所述判断结果为是时，则所述t时刻的扰动位置为t时刻最终扰动位置；

当判断结果为否时，确定所述LBS服务位置域中与所述t时刻的扰动位置距离最近的位置点为所述t时刻最终扰动位置。

步骤S407：计算所述t时刻用户的扰动位置的发射概率并根据所述发射概率计算t时刻的位置后验概率，令t时刻的值加1更新t时刻的值，返回步骤402，计算下一时刻用户的扰动位置，直至t>T结束，T表示时序位置发布的最后一个时刻。

其中，所述计算t时刻的扰动位置的发射概率并根据所述发射概率计算t时刻的位置后验概率，具体包括：

计算所述发射概率的公式为：

其中，exp()为指数函数，ε为隐私预算，Δf^G为敏感度；||f(z_t)-f(s_i)||₁为t时刻约束域中位置点s_i和t时刻的扰动位置z_t的查询结果差值的l₁范式值；

将所述发射概率代入如下所示的贝叶斯公式计算所述t时刻的位置后验概率(或者为t时刻扰动输出发布后真实位置的后验概率)

的公式为：

其中，

表示所述t时刻的真实位置位于t时刻约束域中位置点s_i的先验概率；

表示所述t时刻的真实位置位于t时刻约束域中位置点s_j的先验概率；m表示t时刻约束域中的位置点的个数。

本实施例中，首先对LBS位置域进行网格划分，得到多个位置点，基于多个位置点构建初始无向图，其中无向图中位节点(位置点)间的连接关系可以根据用户的需求个性化选择，即可以选择普通隐私策略或者严格隐私策略，这样使得用户可根据需求调整真实位置的保密程度，之后再引入拉普拉斯噪声对用户t时刻的真实位置的进行扰动，根据隐马尔可夫模型发布每一时刻的扰动位置。可见，能够针对不同LBS服务提供可定制的隐私策略，并允许用户根据需求选择或自定义个性化隐私策略，使得用户在使用LBS服务时，可以通过隐私保护的方式对时序位置数据进行发布，从而保护用户位置隐私。

实施例2

如图5所示，本实施例提供了一种时序位置发布系统，包括：

位置域网格划分模块T1，用于确定LBS服务位置域，每个网格内包括一个位置点，将所述LBS服务位置域划分为多个位置点，得到网格坐标系下的位置点；

初始无向图构建模块T2，用于根据所述网格坐标系下的所有位置点构建初始无向图；

概率状态转移矩阵获取模块T3，用于根据用户的历史位置数据获取隐马尔可夫模型的概率状态转移矩阵；

扰动位置获取及发布模块T4，用于根据所述概率状态转移矩阵和所述初始无向图结合拉普拉斯机制对用户的真实位置进行扰动，得到扰动位置；对所述扰动位置进行发布。

其中，扰动位置获取及发布模块T4具体包括：

获取t时刻用户的真实位置；t∈[2,3,...,T]

对于实施例公开的系统而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

本文中应用了具体个例对本发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解本发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据本发明的思想，在具体实施方式及应用范围上均会有改变之处。综上所述，本说明书内容不应理解为对本发明的限制。