CN115048590A

CN115048590A - 一种面向隐私保护的基于联邦分析的班车定制方法

Info

Publication number: CN115048590A
Application number: CN202210609528.3A
Authority: CN
Inventors: 王伟; 吕红梅; 刘鹏睿
Original assignee: Beijing Jiaotong University
Current assignee: Beijing Jiaotong University
Priority date: 2022-05-31
Filing date: 2022-05-31
Publication date: 2022-09-13
Anticipated expiration: 2042-05-31
Also published as: CN115048590B

Abstract

本发明提供了一种面向隐私保护的基于联邦分析的班车定制方法。该方法包括服务器确定所有准入的用户设备需要划分的聚类数，每个聚类代表一个班车站点，将各个聚类中心点的位置信息下发到各个用户设备；各个用户设备比较其与各个聚类中心点之间的距离，选择距离最小的聚类中心点对应的聚类作为自己所属的聚类；各个用户设备在本地对其位置数据进行隐私处理后发送给服务器；服务器将接收到的所有用户设备的位置数据进行联邦聚合，更新各个聚类中心点的位置信息。本发明面向隐私保护的基于联邦分析的班车定制方法在数据隐私保护的情况下，进行联邦聚类，分析得到正确的班车站点，便于实施并且精度较高，方便用户的快捷舒适的出行。

Description

一种面向隐私保护的基于联邦分析的班车定制方法

技术领域

本发明涉及计算机应用技术领域，尤其涉及一种面向隐私保护的基于联邦分析的班车定制方法。

背景技术

随着城市化的发展，人们对交通出行的舒适度要求越来越高，使得机动车的数量激增，这也导致了交通拥堵的现象频繁发生，给城市的交通带来了很大压力，尤其是早晚高峰期。公共交通的拥挤和长时间的等候已经无法满足快捷舒适的出行需求。

智慧园区的飞速发展使得很多人共同在一个园区内工作，因此考虑面向工作人员的智慧出行场景。对于园区工作人员来说，他们分布在不同的小区，但是工作地相同。他们面临着公交车拥挤、等待时间长和深夜打车难等问题。因此如果能通过采集用户的数据，在通过人工智能技术进行分析，为其定制班车服务，提供更好的出行建议，可以为用户提供更安全、方便、舒适的服务。

在定制智慧班车的场景下，需要合理安排班车站点位置，以满足不同位置的用户的出行可行性。因此，在该场景下，可以利用聚类算法确定站点位置。K-means聚类算法由于简单、聚类速度快，得到了广泛应用。该算法采用数据点与中心点之间的距离作为评价指标，并对聚类中心点不断更新，最终找到最合适的中心点位置。

然而，在使用K-means聚类方法确定班车站点时，用户需要将家庭住址等敏感信息上传到服务器，以便找到更为准确的站点位置。这将使得用户的位置信息被公开，造成敏感信息的泄露，故定制班车服务在为用户提供便利的同时也带来了隐私泄露的风险。

因此，设计一种既能够保护用户位置隐私数据不泄露同时又为用户提供定制班车、规划路线服务的方法，有着现实的需求。

现有技术中的针对隐私保护的K-means聚类方法，主要分为以下几种：

基于K-means的差分隐私保护聚类方法：设置隐私预算，计算噪声，计算每个聚类的数据点的总和、点的数量，然后对其添加计算后的噪声。在K-means聚类算法的迭代过程中，通过自适应的隐私预算分配，既在数据失真的基础上保护了数据隐私，又保证了数据的可用性。

基于分布式纵向K-means聚类方法：采用了去中心化的分布式模式，选择其中一个客户端作为发起方节点，生成Paillier公私钥，并将公钥分发给其他参与方，之后初始化聚类中心点，每个参与方在本地计算样本点到聚类中心的距离，然后将自己的距离与上一个节点传过来的欧式距离之和相加，直到N个参与方全部计算完毕，并将其发送给发起方，进行聚类中心更新。重复直到相邻两次的聚类中心的距离在合理范围内或者达到了指定的迭代次数。

具有隐私保护的可验证多方K-means联邦学习方法：在该方案中，每个用户将各自的数据加密上传到云服务器，云服务器随机挑选初始聚类中心，利用安全乘法协议和安全距离计算协议计算数据和初始聚心的欧几里得距离的平方；云服务器利用安全位分解协议和安全比较协议进行距离比较，并对数据进行划分；各用户利用秘密共享协议更新聚类中心，加密后上传到云服务器；云服务器计算新的聚类中心和原聚类中心的距离，如果小于阈值，则结束聚类操作，否则更新聚类中心进行下一次迭代。

现有技术中的基于隐私保护的K-means聚类方法的班车定制方法的缺点为：(1)现有技术方案没有涉及到客户端准入的过程。

(2)现有的K-means隐私保护方法中，主要有三种方案。基于加密的K-means聚类方案通过将数据加密的方式实现数据的安全传输和计算，但是存在着加解密阶段效率过低并且计算开销较大，耗费资源过多的问题，不符合实际情况；对于基于差分隐私的K-means聚类方法，在客户端上传位置数据时，尽管对其加入了噪声，进行了模糊处理，但是仍然会有一定程度的隐私泄露。对于基于联邦学习的K-means聚类，在聚类中心点更新的过程中并没有考虑到隐私保护问题。

(3)现有技术没有涉及到最后聚类中心点进行矫正的问题。在实际情况中，最后得到的聚类中心点有可能处于违规停车处，因此需要对聚类中心点进行微小调整，同时调整后的聚类中心点仍然要满足用户的需求。

发明内容

本发明的实施例提供了一种面向隐私保护的基于联邦分析的班车定制方法，以实现有效地解决上班族打车难、交通拥挤等实际问题。

为了实现上述目的，本发明采取了如下技术方案。

一种面向隐私保护的基于联邦分析的班车定制方法，包括：

服务器对请求加入的用户设备进行查询和准入；

服务器确定所有准入的用户设备需要划分的聚类数，每个聚类代表一个班车站点，对各个聚类中心点进行初始化，将各个聚类中心点的位置信息下发到各个用户设备；

各个用户设备比较其与各个聚类中心点之间的距离，选择距离最小的聚类中心点对应的聚类作为自己所属的聚类；

各个用户设备在本地对其位置数据进行隐私处理，将隐私处理后的位置数据发送给服务器；

服务器将接收到的所有用户设备的位置数据进行联邦聚合，更新各个聚类中心点的位置信息。

优选地，所述的服务器对请求加入的用户设备进行查询和准入，包括：

服务器对请求参与定制班车的用户设备发出查询，如果用户设备满足以下两个条件，则准入该用户设备参与定制班车：

条件1：地理位置r_i＝(x_r，y_r)位于园区范围内，即满足：

r_i∈D，D＝{(x，y)|x_w≤x≤x_e，y_n≤y≤y_s}

其中D表示园区所在范围，x_w，x_e，y_s，y_n分别代表园区东西南北的边界位置坐标；

条件2：在园区范围内停留时间t超过设定时间N，即：t≥N，其中N为设定的时间值。

优选地，所述的服务器确定所有准入的用户设备需要划分的聚类数，每个聚类代表一个班车站点，对各个聚类中心点进行初始化，将各个聚类中心点的位置信息下发到各个用户设备，包括：

开始训练之前，服务器确定所有准入的用户设备需要划分的聚类数k，每个聚类代表一个班车站点，需要生成的k个班车站点，对各个聚类中心点的位置信息进行初始化

其中，

表示当前第j个聚类中心点初始位置坐标，

即位置初始经度，

即位置初始纬度；

服务器通过无线通信网络将各个聚类中心点的位置信息下发到各个用户设备。

优选地，所述的各个用户设备比较其与各个聚类中心点之间的距离，选择距离最小的聚类中心点对应的聚类作为自己所属的聚类，包括：

客户端的用户设备使用本地位置数据r_i＝(x_r，y_r)计算其与各个聚类中心点

之间的欧式距离，计算公式为：

用户设备比较其与各个聚类中心点之间的距离，选择距离最小的聚类中心点

对应的聚类作为自己所属的聚类；

对于每个用户设备，使用s_i，j＝{0，1}表示用户设备i的位置数据是否属于聚类j，如果属于，则值为1，否则为0，定义用户设备的one-hot编码向量

其中

用于表示用户设备所属的聚类。

优选地，所述的各个用户设备在本地对其位置数据进行隐私处理，将隐私处理后的位置数据发送给服务器，包括：

用户设备对于本地位置数据，添加基于压缩本地差分隐私的指数机制的噪声，实现压缩感知差分隐私，得到用户设备的虚假位置r_i′＝(x_r′，y_r′)；

用户设备在本地维护一个连接表，在每次迭代时，每个用户设备都向其余用户设备发出查询，只有属于同一聚类的用户设备做出应答，发出查询的用户设备将返回应答的用户设备记录在连接表内，其中m_i，j＝1表示用户设备i和用户设备j属于同一聚类；

用户设备在向服务器上传其位置数据r_i′之前，先查询本地维护的连接表，对于表内记录的所有用户设备，通过D-H密钥协商协议两两秘密共享随机数，对于属于同一聚类的用户设备i和用户设备j，共享随机数为a_i，j，用户设备i的虚假位置为r′_i＝r′_i-a_i，j，用户设备j的虚假位置为r′_j＝r′_j+a_i，j；

各个用户设备将用秘密共享随机数隐私处理后的虚假位置r′_i和one-hot编码向量s_i发送给服务器。

优选地，所述的服务器将接收到的所有用户设备的位置数据进行联邦聚合，更新各个聚类中心点的位置信息，包括：

服务器接收到各个用户设备上报的用秘密共享随机数隐私处理后的虚假位置r′_i和one-hot编码向量后，计算各个用户设备的one-hot编码向量之和：

向量中每个位置的数据表示每个聚类中对应的用户设备数量；

服务器执行安全聚合协议，用户设备的位置数据r′_i中包含的随机数被抵消，服务器计算每个聚类中所有用户设备的位置数据之和

服务器根据计算得到的每个聚类中用户设备的数量

及位置数据之和

计算同一聚类中各个用户设备位置数据的平均值，将该平均值作为更新后的聚类中心点

的位置；

迭代执行上述用户设备将隐私处理后的位置数据发送给服务器，服务器将所有用户设备的位置数据进行联邦聚合，更新各个聚类中心点的位置信息的处理过程，直到模型收敛或者达到预先设定迭代次数，得到最终的更新后的各个聚类中心点的位置信息。

优选地，所述的方法还包括：

服务器结合地图中实际地理情况，检查最后生成的所有聚类中心点θ_j，j∈[k]的位置是否满足实际停车要求，如果某个聚类中心点θ_i的位置位于违禁停车范围内，则查询与其距离最近的可停靠点，对该聚类中心点进行微小调整，使用θ_i′表示；

服务器将调整之后的聚类中心点θ_i′发送到属于该聚类的各个用户设备，各个用户设备在本地计算其位置与修改后的聚类中心点的距离，并执行聚合协议，将此时的距离之和sum_i′上传到服务器；

服务器比较当前的距离之和sum_i′以及未调整之前各个用户设备与该聚类中心点的距离之和sum_i，计算两者偏差b_i，如果此时b_i≤b，其中b是用户设备能接受的总偏离值，则将调整之后的聚类中心点θ_i′作为班车停靠站点。

由上述本发明的实施例提供的技术方案可以看出，本发明实施例的面向隐私保护的基于联邦分析的班车定制方法在数据隐私保护的情况下，进行联邦聚类，分析得到正确的班车站点，便于实施并且精度较高，方便用户的快捷舒适的出行。

本发明附加的方面和优点将在下面的描述中部分给出，这些将从下面的描述中变得明显，或通过本发明的实践了解到。

附图说明

为了更清楚地说明本发明实施例的技术方案，下面将对实施例描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的一种面向隐私保护的基于联邦分析的班车定制方法的流程图；

图2为本发明实施例提供的一种用户设备在本地对其位置数据进行隐私处理的流程图；

图3为本发明实施例提供的一种服务器对各个用户设备上传的数据进行联邦聚合，更新聚类中心点的处理过程示意图。

具体实施方式

下面详细描述本发明的实施方式，所述实施方式的示例在附图中示出，其中自始至终相同或类似的标号表示相同或类似的元件或具有相同或类似功能的元件。下面通过参考附图描述的实施方式是示例性的，仅用于解释本发明，而不能解释为对本发明的限制。

本技术领域技术人员可以理解，除非特意声明，这里使用的单数形式“一”、“一个”、“所述”和“该”也可包括复数形式。应该进一步理解的是，本发明的说明书中使用的措辞“包括”是指存在所述特征、整数、步骤、操作、元件和/或组件，但是并不排除存在或添加一个或多个其他特征、整数、步骤、操作、元件、组件和/或它们的组。应该理解，当我们称元件被“连接”或“耦接”到另一元件时，它可以直接连接或耦接到其他元件，或者也可以存在中间元件。此外，这里使用的“连接”或“耦接”可以包括无线连接或耦接。这里使用的措辞“和/或”包括一个或更多个相关联的列出项的任一单元和全部组合。

本技术领域技术人员可以理解，除非另外定义，这里使用的所有术语(包括技术术语和科学术语)具有与本发明所属领域中的普通技术人员的一般理解相同的意义。还应该理解的是，诸如通用字典中定义的那些术语应该被理解为具有与现有技术的上下文中的意义一致的意义，并且除非像这里一样定义，不会用理想化或过于正式的含义来解释。

为便于对本发明实施例的理解，下面将结合附图以几个具体实施例为例做进一步的解释说明，且各个实施例并不构成对本发明实施例的限定。

本发明实施例设计了一种面向隐私保护的基于联邦分析的班车定制方法，在数据隐私保护的情况下，进行联邦聚类，分析得到正确的班车站点，便于实施并且精度较高，方便用户的快捷舒适的出行。本发明针对班车定制的具体业务场景，服务器首先会进行参与方选择，只有符合一定条件的参与方被允许参与到接下来的更新过程。

本发明实施例提供的一种面向隐私保护的基于联邦分析的班车定制方法的流程图如图1所示，包括如下的具体步骤：

步骤S10：服务器对请求加入的用户设备进行查询和准入。

由于班车服务面向园区内工作人员，因此需要对参与的用户设备进行查询和准入。在选择用户设备时，由第三方服务器对用户设备发出查询，如果用户设备满足以下两个条件：

(1)地理位置r_i＝(x_r，y_r)位于园区范围内，即：r_i∈D，D＝{(x，y)|x_w≤x≤x_e，y_n≤y≤y_s}，其中D表示园区所在范围，x_w，x_e，y_s，y_n分别代表园区东西南北的边界位置坐标。。

(2)在园区范围内停留时间t超过设定时间N，即：t≥N，其中N根据实际情况设置，如一周内至少四天且停留的时间超过四小时，则被允许加入多方系统。

步骤S20：服务器初始化聚类中心点。

开始训练之前，服务器选定所有用户设备需要划分的聚类数k，即需要生成的k个班车站点，对各个聚类中心点进行初始化

表示当前第j个聚类中心点初始位置坐标，

即位置初始经度，

即位置初始纬度。

将各个聚类中心点的位置信息下发到各个用户设备。

步骤S30：在每次迭代过程中，客户端的用户设备进行本地计算。

步骤3.1：客户端的用户设备使用本地位置数据r_i＝(x_r，y_r)计算其与各个聚类中心点

之间的欧式距离，计算公式为：

作为自己的聚类标识。

步骤3.2：对于每个用户设备，使用s_i，j＝{0，1}表示用户设备i的位置数据是否属于聚类j，如果属于，则值为1，否则为0。定义one-hot编码向量

其中

用于表示自己的聚类估计。

步骤S40：用户设备在本地对其位置数据进行隐私处理，处理过程如图2所示，包括如下的步骤：

步骤4.1：用户设备对于本地位置数据，添加基于压缩本地差分隐私(CondensedLocal Differential Privacy)的指数机制的噪声，实现压缩感知差分隐私，以较大概率生成较近的虚拟位置，而以较小概率生成距离较远的虚拟位置，得到虚假位置r_i′＝(x_r′，y_r′)。在实现地理位置的不可区分性的同时保持较高的准确性。

步骤4.2：用户设备在本地维护一个连接表，在每次迭代时，每个用户设备都向其余用户设备发出查询，只有属于同一聚类的用户设备做出应答，发出查询的用户设备将应答结果记录在连接表内，其中m_i，j＝1表示用户设备i和用户设备j属于同一聚类。

步骤4.3：用户设备在向服务器上传其位置数据r_i′之前，用户设备查询本地维护的连接表，对于表内记录的所有用户设备，通过D-H密钥协商协议两两秘密共享随机数。对于属于同一聚类的用户设备i和用户设备j，共享随机数为a_i，j，用户设备i的虚假位置为r′_i＝r′_i-a_i，j，用户设备j的虚假位置为r′_j＝r′_j+a_i，j。

步骤S50：图3为本发明实施例提供的一种服务器对各个用户设备上传的数据进行联邦聚合，更新聚类中心点的处理过程示意图，包括如下的处理步骤：

步骤5.1：服务器计算接收到的各个用户设备对应one-hot向量之和

则此时向量

中每个位置的数据表示每个聚类中对应的用户设备数量。

步骤5.2：服务器执行安全聚合协议，用户设备的位置数据r′_i中包含的随机数被抵消，服务器可以得到每个聚类中所有用户设备的位置数据之和

而不会得知各个用户设备私有的具体隐私数值，其中n代表每个聚类中的用户设备数量。

步骤5.3：根据计算得到的每个聚类中用户设备的数量

及位置数据之和

计算同一聚类中各个用户设备的位置数据的平均值，将该平均值作为更新后的聚类中心点

的位置数据。

迭代执行步骤S30-步骤S50，直到模型收敛或者达到预先设定迭代次数，得到最后的聚类中心点。

步骤S60：服务器对最后的聚类中心点进行矫正，使其符合实际情况，并满足用户的实际需求。

步骤6.1：服务器结合地图中实际地理情况，检查最后生成的所有聚类中心点θ_j，j∈[k]是否满足实际停车要求，如果某个聚类中心点θ_i位于违禁停车范围内，则查询与其距离最近的可停靠点，对该聚类中心点进行微小调整，使用θ_i′表示。

步骤6.2：服务器将调整之后的聚类中心点θ_i′发送到属于该聚类的各个用户设备，各个用户设备在本地计算其位置与修改后的聚类中心点的距离，并执行聚合协议，将此时的距离之和sum_i′上传到服务器。

步骤6.3：服务器比较当前的距离之和sum_i′以及未调整之前各个用户设备与该聚类中心点的距离之和sum_i，计算两者偏差b_i，如果此时b_i≤b，其中b是用户设备能接受的总偏离值，那么将调整之后的聚类中心点作为班车停靠站点，为用户设备提供方便快捷的服务。

综上所述，本发明针对具体的业务场景，设计了一种面向隐私保护的基于联邦分析的班车定制方法，用于解决上班族打车难、交通拥挤等实际问题。

首先，本发明考虑了客户端的准入问题，在开始计算之前，服务器会对请求加入的客户端设备进行查询和筛选，符合一定条件的客户端设备将被允许加入，从而构建完整的多方系统，杜绝了无关设备的加入会对最后结果产生干扰的可能性。

其次，在计算过程中客户端首先利用差分隐私对位置数据进行了扰动，

同时，在聚合时执行了安全聚合协议，使得服务器只能学习到各聚类之和，而无需知道客户端真实位置数据以及其对应的聚类标识。满足用户隐私保护的需求的同时能够准确的进行计算，保证精度。在整个计算过程中，相比于基于加密或者差分隐私的聚类方法，该方案无需大量的计算过程，开销较小，并且能够达到更好的隐私保护强度。

最后，在确定最后的班车停靠站点时，考虑了不符合实际情况的情形，服务器结合地图中实际地理情况，检查最后生成的所有聚类中心点是否满足实际停车要求，如果某个聚类中心点位于违禁停车范围内，则查询与其距离最近的可停靠点，对该聚类中心点进行微小调整，从而使其更好的符合实际情况，并满足用户的实际需求。

本领域普通技术人员可以理解：附图只是一个实施例的示意图，附图中的模块或流程并不一定是实施本发明所必须的。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本发明可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例或者实施例的某些部分所述的方法。

本说明书中的各个实施例均采用递进的方式描述，各个实施例之间相同相似的部分互相参见即可，每个实施例重点说明的都是与其他实施例的不同之处。尤其，对于装置或系统实施例而言，由于其基本相似于方法实施例，所以描述得比较简单，相关之处参见方法实施例的部分说明即可。以上所描述的装置及系统实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性劳动的情况下，即可以理解并实施。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种面向隐私保护的基于联邦分析的班车定制方法，其特征在于，包括：

服务器对请求加入的用户设备进行查询和准入；

2.根据权利要求1所述的方法，其特征在于，所述的服务器对请求加入的用户设备进行查询和准入，包括：

条件1：地理位置r_i＝(x_r，y_r)位于园区范围内，即满足：

r_i∈D，D＝{(x，y)|x_w≤x≤x_e，y_n≤y≤y_s}

3.根据权利要求1或者所述的方法，其特征在于，所述的服务器确定所有准入的用户设备需要划分的聚类数，每个聚类代表一个班车站点，对各个聚类中心点进行初始化，将各个聚类中心点的位置信息下发到各个用户设备，包括：

其中，

表示当前第j个聚类中心点初始位置坐标，

即位置初始经度，

即位置初始纬度；

4.根据权利要求3所述的方法，其特征在于，所述的各个用户设备比较其与各个聚类中心点之间的距离，选择距离最小的聚类中心点对应的聚类作为自己所属的聚类，包括：

之间的欧式距离，计算公式为：

对应的聚类作为自己所属的聚类；

其中

用于表示用户设备所属的聚类。

5.根据权利要求4所述的方法，其特征在于，所述的各个用户设备在本地对其位置数据进行隐私处理，将隐私处理后的位置数据发送给服务器，包括：

用户设备在向服务器上传其位置数据r_i′之前，先查询本地维护的连接表，对于表内记录的所有用户设备，通过D-H密钥协商协议两两秘密共享随机数，对于属于同一聚类的用户设备i和用户设备j，共享随机数为a_i，j，用户设备i的虚假位置为r_i′＝r_i′-a_i，j，用户设备j的虚假位置为r_j′＝r_j′+a_i，j；

6.根据权利要求5所述的方法，其特征在于，所述的服务器将接收到的所有用户设备的位置数据进行联邦聚合，更新各个聚类中心点的位置信息，包括：

服务器接收到各个用户设备上报的用秘密共享随机数隐私处理后的虚假位置r_i′和one-hot编码向量后，计算各个用户设备的one-hot编码向量之和：

服务器执行安全聚合协议，用户设备的位置数据r_i′中包含的随机数被抵消，服务器计算每个聚类中所有用户设备的位置数据之和

服务器根据计算得到的每个聚类中用户设备的数量

及位置数据之和

的位置；

7.根据权利要求6所述的方法，其特征在于，所述的方法还包括：