kdd 11年的文章
LBS(location business service)的典型例子包括本地商業搜索、電子營銷、社交網絡和汽車流量監控。儘管LBS爲移動用戶提供了有價值的服務,但向可能不受信任的LBS服務提供商透露他們的私人位置會引發隱私問題。一般來說,LBS有兩種類型,snapshot LBS和continuous LBS。對於快照LBS,移動用戶只需向服務提供商報告一次其當前位置即可獲得所需信息。另一方面,移動用戶必須定期或按需的方式向服務提供商報告其位置,以獲得所需的連續LBS。連續LBS中保護用戶位置隱私比快照LBS更具挑戰性,因爲對手可以利用用戶位置樣本中的時空相關性來推斷用戶的位置信息,從而獲得更高的確定性。這種用戶位置軌跡對於許多應用程序也非常重要,如商業分析、城市規劃和智能交通。然而,向公衆或第三方公佈這些位置軌跡用於數據分析可能會帶來嚴重的隱私問題。持續LBS和軌跡數據發佈中的隱私保護越來越受到研究社區和行業的關注。在這個研究中,我們給出了在這兩個問題上最先進的隱私保護技術的概述。
THE DERIVATION OF LOCATION TRAJECTORY PRIVACY軌跡問題的演化
Data Privacy
k-anonymity要求每條記錄在準標識符方面與至少其他的k-1記錄不可區分,即每個等價類至少包含k條記錄。然而,如果類中的所有記錄對於敏感屬性(如disease和salary)的值都小於k值,那麼k匿名等價類就會遭受同質性攻擊。爲此,我們提出了l-diversity property,以確保一個等價類對敏感屬性至少有l個值。爲了進一步加強數據隱私保護,t-closeness原則定義爲,當一個等價類中某個敏感屬性的分佈與該屬性在整個數據集中的分佈之間的距離不超過一個閾值參數t時,稱該等價類具有t-closeness。
Location Privacy
在LBS中,移動用戶向LBS服務提供商發佈基於位置的查詢,獲取基於自身物理位置的信息。LBS對傳統的數據隱私保護技術提出了新的挑戰,主要有兩個原因。(1)這些技術保護了數據的隱私,但對移動用戶發佈的基於位置的查詢無效。(2)它們確保數據庫快照所需的隱私保證(數據的實時性)。在LBS中,查詢和數據以高速率不斷更新。這種高度動態的行爲需要匿名用戶和對象集的持續維護。LBS的隱私保護技術可以分爲三類:(1)False locations基本的想法是發送一個或多個與用戶位置相關的假位置。(2)Space transformation這類技術轉換位置:空間位置編碼(3) Spatial cloaking :
研究工作也致力於處理基於位置的隱私保護查詢。i.e.從LBS服務提供商獲取匿名服務。這些查詢處理框架可以分爲三大類。(1) Location obstruction 基本思想是,查i.e.詢用戶首先將一個查詢連同一個錯誤位置作爲錨發送到數據庫服務器。數據庫服務器不斷向用戶發送離錨最近的對象列表,直到收到的對象列表滿足用戶的隱私和質量要求。
(2)Space transformation 這種方法通過可信的第三方將數據和查詢的原始位置轉換爲另一個空間。空間變換保持數據與查詢之間的空間關係,以提供準確的查詢答案。
(3)Cloaked query area processing 在該框架中,在數據庫服務器中嵌入了一個隱私感知查詢處理器來處理來自查詢用戶的被隱藏的空間區域。針對道路網絡中的空間隱身問題,提出了一種基於位置的隱私感知查詢算法
Trajectory Privacy
位置的時空軌跡包括:p(x,y),t(timestamp)位置軌跡的這種時空屬性可以看作是一種強大的準標識符,可以與各種其他物理數據對象相關聯。例如,RID = 1的記錄表示患者分別在時間戳2,4,5和8訪問了位置(1,5)、(6,7)、(8,10)和(11,8)。假設對手知道醫院的病人Alice在時間戳2和8訪問了位置(1,5)和(8,10)。由於只有RID = 1的軌跡記錄滿足這樣的空間和時間屬性,對手可以以100%的信心推斷出Alice有HIV。這個例子表明,發佈未被識別的軌跡數據仍然會造成嚴重的隱私威脅。
PROTECTING TRAJECTORY PRIVACY
IN LOCATION-BASED SERVICES
基於位置服務的軌跡隱私保護
根據是否基於一致的用戶假名,我們對問題進行劃分:1、需要一致的用戶身份:例如Q1:讓我找出我的朋友在哪裏,如果他們離我的位置在2公里以內;Q2:根據我的資料給我推薦10家附近的餐館;Q3:不斷告訴我離我的位置最近的購物中心。Q1和Q2需要一致的用戶身份才能讓應用程序找到他們的朋友和資料。儘管Q3不需要任何一致的用戶標識,但是查詢及其參數可以看作是一個虛擬用戶標識,在查詢到期之前保持活動狀態。2、其他LBS不要求用戶身份一致,甚至不要求任何用戶身份,比如Q4:發送電子優惠券給距離我咖啡店1公里以內的用戶。
Spatial Cloaking通過空間隱藏生成k個樣本的空間實現隱私保護
數據先傳給加密器再傳給服務器
Group-based Approach for Real-time Trajectory Data
其基本思想是,查詢用戶u與附近的其他對等點組成一個組。算法在發出基於位置的查詢或向數據庫服務器報告位置之前,將位置模糊爲一個包含所有組成員的空間區域,作爲一個隱藏的空間區域。圖1展示了一個連續空間隱藏實時用戶位置軌跡的例子。在本例中,在時間ti發出連續的基於位置的查詢的用戶A要求對其位置進行k匿名化,其中k = 3。在t1時刻,位置匿名器形成了一組用戶a、C、G,因此as隱身空間區域包含了所有這些用戶,如圖1a中的矩形所示。位置匿名器發送一個查詢與其隱藏的空間區域到數據庫服務器。在t2和t3之後,當A向位置匿名器報告它的新位置時,就會形成一個新的隱藏的包含組成員的空間區域。缺點是服務器開銷太大。每次查詢都可以保證k-匿名。爲了保證不同的時間內對象都在group中,需要每個時刻的group都包含所有用戶。因此group會越來越大。
Distortion-based Approach for Real-time Trajectory Data
區域方式
查詢用戶向位置匿名器報告他們的位置,但它也考慮他們的移動方向和速度,以最小化隱藏的空間區域[45]。定義了一個失真函數來度量連續查詢簇的時間查詢失真。圖2給出瞭如何確定查詢失真的示例。在這個例子中,三個用戶,B和C這個問題他們連續定位查詢時間t1構成隱身設置和查詢到期時間tn。隱形空間地區R1時間t1是隱形的最小邊界矩形集,是由一個矩形(圖2)。設(x i, yi)和(x+ i, yi+)分別爲被遮蔽空間區域Ri在時間ti時的左下和右上的頂點。
即通過t時刻pi的運動方向和趨勢,判斷擴大r的範圍,使其仍滿足k-anonymity。注意。每次查詢的分組爲t時刻所有的查詢數量。每次請求形成一個k匿名羣組。
| Predication-based Approach for Historical Trajectory Data |
用戶上傳數據到匿名器,匿名器根據歷史軌跡推斷下一步軌跡,匹配軌跡相近的幾個用戶的特徵推給服務器。
缺陷:可能在查詢時只能看到一個用戶,或者沒有k-anonymity。
|
Mix-Zones |
當用戶滿足如下條件時,稱mix-zone是k-anonymity:
| 1. The user set S contains at least k users, i.e., |S| ≥ k. |
| 2. All users in S are in Z at a point in time, i.e., all users in S must enter Z before any user in S exits. |
| 3. Each user in S spends a completely random duration of time inside Z. 4. The probability of every user in S entering through an entry point is equally likely to exit in any of the exit points. |
點abc-》出點xyz,因爲順序的變化,服務器無法找到匿名順序,由此產生匿名。但是mix-zone無法實時發送位置信息。
Path Confusion
路徑混淆:防止單一object的追蹤。混淆在t時刻同位置的幾個對象。
Dummy Trajectories
虛假路徑:
| Snapshot disclosure (SD) |
在t時刻預測正確位置的概率
Trajectory disclosure
1/所有的路徑數
Distance deviation (DD).
t時刻距離的平均值
Dummy Trajectories可以支持LBS 1、2
| PROTECTING PRIVACY IN TRAJECTORY PUBLICATION |
Clustering-based Approach
t時刻所有的區域建模。在t時刻,所有在xi,yi內的軌跡聚類爲一組實現kanonymity。
Generalization-based Approach