一种大型室内位置服务场景下位置隐私保护方法
阅读说明:本技术 一种大型室内位置服务场景下位置隐私保护方法 (Position privacy protection method in large indoor position service scene ) 是由 闵明慧 崔博言 李孙笑何 胥俊怀 李世银 于 2021-08-03 设计创作,主要内容包括:一种大型室内位置服务场景下位置隐私保护方法,位置服务与信息安全领域。保护方法,针对三维空间位置服务过程中不可信服务器或者窃听攻击者导致的位置隐私泄露,采用地理位置不可区分性,基于三维拉普拉斯加噪机制对位置的X,Y和Z坐标同时进行扰动,利用离散化和截断的方法确定扰动位置,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化;应对三维空间位置服务环境的位置隐私泄露,提高位置服务系统在位置推断攻击下的位置数据隐私安全性能。优点:基于差分隐私的三维空间中地理不可区分性,实现了同时对位置的三个维度进行扰动保护,提供了三维空间位置隐私保护的严格度量方法和实现机制。(A position privacy protection method in a large indoor position service scene belongs to the field of position service and information safety. The protection method comprises the steps that for position privacy leakage caused by an untrusted server or an eavesdropper in the three-dimensional space position service process, geographical position indistinguishability is adopted, X, Y and Z coordinates of a position are simultaneously disturbed based on a three-dimensional Laplace plus noise mechanism, the disturbed position is determined by a discretization and truncation method, the mathematical quantization relation of privacy budgets before and after discretization and truncation is analyzed, and privacy budget degradation caused by discretization is compensated by adding extra noise; the method and the device can deal with the leakage of the position privacy of the three-dimensional space position service environment, and improve the safety performance of the position data privacy of the position service system under the attack of position deduction. The advantages are that: the method and the device realize disturbance protection on three dimensions of the position simultaneously based on the geographical indistinguishability in the three-dimensional space of the differential privacy, and provide a strict measurement method and a realization mechanism for the three-dimensional space position privacy protection.)
技术领域
本发明涉及位置服务与信息安全领域,特别是一种大型室内位置服务场景下位置隐私保护方法。
背景技术
由于5G智能通信技术的快速发展和城市内日趋增加的高人口密度,位置服务[[1]王宇航.位置数据的隐私保护技术研究[D].哈尔滨工业大学,2020]在大型室内建筑中得到了广泛的应用,如大型医院、大型商场等。至2025年,全球室内LBS市场规模预计将达到187.4亿美元。与此同时,用户位置隐私泄露的风险也日益严重。美国联邦通信委员会提议在2020年对四家主要的移动电话公司处以至少2亿美元的罚款,原因是它们泄露了消费者的实时位置数据。三维空间例如各种大型室内建筑中的位置隐私保护问题越来越受到学术界和工业界的关注。目前,大多数位置隐私保护方案侧重二维空间的位置隐私保护,当用户的位置数据包含高度信息时,这些机制无法应对不可信位置服务器或窃听攻击者利用已有的背景知识进行的位置推断攻击。
近年来,国内外研究者十分关注位置服务中的位置隐私泄露问题,并采用K-匿名[[2]崔玉娟.基于位置服务的隐私保护方法研究[D].西北师范大学,2020]、mix-zone、加密和扰动等方法对位置隐私进行保护。但是,基于加密的位置隐私保护机制将用户位置信息完全隐藏,不适用于位置服务应用场景。此外,基于K-匿名的位置隐私保护机制,需要依赖于可信第三方,一旦服务器瘫痪或者被攻击,用户隐私存在泄露威胁。基于扰动的位置隐私保护机制一般可以在用户端本地实现,可避免对可信、安全服务器的依赖。
二维地理位置不可区分性是传统差分隐私的拓展,被用来保护二维平面空间中单个用户的位置隐私[[3]M.Andrés,N.Bordenabe,K.Chatzikokolakis,and C.Palamidessi,Geo-indistinguishability:Differential privacy for location-based systems[C].ACM Conference Computer and Communications Security(CCS),2013:901-914]。移动用户可以本地利用基于二维地理位置不可区分性的扰动机制随机地产生一个假的位置发布给位置服务器进行服务请求,真实的位置只有用户本身知晓。然而,当用户处于大型医院等三维空间时,由于引入用户的高度位置信息,导致上述针对二维空间的位置隐私保护机制无法有效的阻止位置推断攻击。例如,一个高层医院的不同楼层代表不同种类的疾病,如果用户的楼层信息被泄露,他/她的病情也会被泄露暴而露在攻击者面前。因此研究三维空间位置服务中的用户位置数据保护机制十分重要。
发明内容
本发明的目的是要提供一种大型室内位置服务场景下位置隐私保护方法,保护大型室内等三维空间中位置服务场景下的位置数据隐私安全。
本发明的目的是这样实现的:三维空间中位置隐私保护方法,针对三维空间位置服务过程中不可信服务器或者窃听攻击者导致的位置隐私泄露,采用地理位置不可区分性,基于三维拉普拉斯加噪机制对位置的X,Y和Z坐标同时进行扰动,利用离散化和截断的方法确定扰动位置,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化;应对三维空间位置服务环境的位置隐私泄露,提高位置服务系统在位置推断攻击下的位置数据隐私安全性能。
具体步骤如下:
步骤1:定义三维空间中的地理不可区分机制;提出基于差分隐私的严格、且可证明的三维空间中位置隐私的度量方法——三维地理不可区分性,其定义如下:
其中,ε为隐私预算,扰动机制使得三维空间中所有 满足ε-地理不可区分性,其中为真实位置的可能集合,为扰动位置的可能集合,x1为用户位置,x′为扰动位置,d3(x1,x2)为以x1为中心的球形区域的半径;
步骤1中,三维地理不可区分性确保对于三维空间中的任意两个地理相近的位置,扰动位置的概率分布相似,由隐私预算ε和以用户位置x1为中心的半径为d3(x1,x2)的球形区域决定,空间内的真实位置得到保护。
步骤2:对三维空间中位置的X,Y和Z坐标同时进行扰动;
步骤2中,具体步骤如下:
步骤1)、引入噪声产生机制的概率密度函数为
其中,ε为隐私预算,x1用户真实位置,x′为扰动位置,d3(x1,x2)为以x1为中心的球形区域的半径,A为归一化系数;
步骤2)、用球坐标系替换笛卡尔坐标系来确定扰动位置;用户真实位置为x1,其扰动位置为x′,表示成(r,θ,ψ),其中,ε为隐私预算,r表示x1和x′之间的距离,θ是极角,ψ是方位角,球坐标系中的概率密度函数为:
定义三个变量表示为半径极角θ,方位角Ψ,三个变量的边缘分布分别为:
步骤3)、根据噪声分布函数将扰动位置x′送至LBS服务器;
上述步骤2)中,获得扰动位置x′的方法:
步骤(1)、在单位球内选取一个随机向量U=(θ,ψ);
步骤(2)、式(3)中即为伽马分布Γ(3,1/ε)的概率密度函数,根据伽马分布Γ(3,1/ε)确定一个半径r,扰动位置x′即服从分布x1+Ur。
步骤3:将拉普拉斯机制产生的噪声近似在三维坐标下的立方体网格中,设计离散化加噪机制,推导离散化前后隐私预算的关系,确保离散化的加噪机制依然保证差分隐私特性;
步骤3中,用户真实位置为x1,通过以下两个步骤生成扰动位置
步骤1)、在以x1为中心的球坐标系中,利用三变量的拉普拉斯加噪机制产生一个扰动位置
步骤2)、重新映射到空间中距离最近的位置x′,此机制记为
离散化后的隐私预算ε'由隐私预算ε、立方体网格的步长和设备的精度决定,而退化的隐私预算通过添加额外噪声来进行补偿;
步骤4:设计截断后的加噪机制保证三维空间中地理不可区分性;上述机制不能在任意三维空间满足差分隐私。
步骤4中,机制不能在任意三维空间满足差分隐私;具体原因如下:
1)上述离散化的加噪机制仅仅在有限范围内可保证差分隐私;
2)实际场景下用户访问空间有限;为保证离散后的地理不可区分性并将位置限定在有限区域内,利用截断的方法将不合理的位置映射到限定范围内,保证三维空间中地理位置不可区分属性。
在步骤3中,三维空间中三变量的拉普拉斯加噪机制对位置的X、Y和Z坐标同时进行扰动保证三维空间中地理不可区分性。
在步骤3中,将噪声离散在三维空间的球面坐标系中,在保持地理不可区分性参数不变的同时生成扰动位置。
在步骤4中,为保证离散后的地理不可区分性并将位置限定在有限区域内,利用截断的方法将不合理的位置映射到限定范围内,保证地理位置不可区分属性不变。基于设备精度、有限空间范围、离散化单元,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化,使得离散化和截断之后的加噪机制依然严格保证三维空间中地理不可区分性。
有益效果,由于采用了上述方案,针对大型室内等三维空间位置服务过程中不可信服务器或者窃听攻击者导致的位置隐私泄露问题,提出基于差分隐私的三维空间中地理位置不可区分性对位置隐私进行严格度量,利用三维拉普拉斯加噪机制对位置的X,Y和Z坐标同时进行扰动,使得攻击者无法获取用户的精确位置信息。此外,由于实际应用中硬件设备精度有限,移动设备无法基于连续的加噪函数产生任意的虚假位置;再者,实际场景下用户访问空间有限。因此,利用离散化和截断的方法确定扰动位置,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化,使得离散化和截断之后的加噪机制依然严格保证差分隐私。
解决了针对大型室内等三维空间位置服务过程中不可信服务器或者窃听攻击者导致的位置隐私泄露的问题,达到了大型室内等三维空间中位置服务场景下的位置隐私保护的目的。
三维空间中的地理不可区分机制,即对于处于半径为R的给定球形区域内的任意位置,无论攻击者了解多少先验知识,其对用户真实位置的推断结果的分布相似;这意味着尽管攻击者能确定用户处于该半径为R的球形区域内,它也无法确定用户确切的位置,且对于一个已经知道用户所在区域的攻击者而言,无论它具有多少先验知识也不能从用户的扰动位置中推断出更多的信息。
确保对于三维空间中的任意两个地理相近的位置,即εd3(x1,x2)可被看作地理不可区分性度量:x1和x2距离越近,其扰动位置分布和越相似。
对三维空间中位置的X,Y和Z坐标同时进行扰动,提出三维拉普拉斯加噪机制在连续的空间内实现三维空间中地理不可区分性,根据噪声分布函数将随机产生的扰动位置x′送至位置服务的服务器,当真实位置为x1和x2,时,传送区域内任意位置的可能性差异最多为
考虑到实际中硬件设备精度有限,有限精度使得移动设备无法基于连续的加噪函数产生任意的虚假位置。
离散化的加噪机制依然可以保证三维空间中地理不可区分性,但会导致隐私预算的退化;离散化后的隐私预算ε'由隐私预算ε、立方体网格的步长和设备的精度决定,而退化的隐私预算通过添加额外噪声来进行补偿。
由于大多数位置隐私保护方案侧重二维空间的位置隐私保护,当用户的位置数据包含高度信息时,这些机制无法应对不可信位置服务器或窃听攻击者利用已有的背景知识进行的位置推断攻击,而基于加密的位置隐私保护机制将用户位置信息完全隐藏,不适用于位置服务应用场景。此外,一些位置隐私保护机制例如K-匿名,需要依赖于可信第三方,一旦服务器瘫痪或者被攻击,用户隐私存在泄露威胁。因此,本发明采用地理位置不可区分性,基于三维拉普拉斯加噪机制确定扰动位置,同时考虑实际场景下设备精度有限和用户访问空间有限设计离散化和截断的位置扰动方案,使得攻击者无法获取用户的精确位置信息,对抗三维空间位置服务环境下位置推断攻击,提高位置服务系统中的位置数据隐私安全性能。
优点:本发明将位置高度信息考虑在内,提出三维空间位置隐私保护的严格、且可证明的度量方式,设计三维拉普拉斯加噪机制,保护大型室内等三维空间中位置服务场景下的位置数据隐私安全。
附图说明
图1为本发明中大型医院等三维空间位置服务系统场景图;
图2为本发明采用的一种基于三维空间地理不可分区机制的位置隐私保护方法流程图;
具体实施方式
三维空间中位置隐私保护方法,针对三维空间位置服务过程中不可信服务器或者窃听攻击者导致的位置隐私泄露,采用地理位置不可区分性,基于三维拉普拉斯加噪机制对位置的X,Y和Z坐标同时进行扰动,利用离散化和截断的方法确定扰动位置,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化;应对三维空间位置服务环境的位置隐私泄露,提高位置服务系统在位置推断攻击下的位置数据隐私安全性能。
具体步骤如下:
步骤1:定义三维空间中的地理不可区分机制;提出基于差分隐私的严格、且可证明的三维空间中位置隐私的度量方法——三维地理不可区分性,其定义如下:
其中,ε为隐私预算,扰动机制使得三维空间中所有 满足ε-地理不可区分性,其中为真实位置的可能集合,为扰动位置的可能集合,x1为用户位置,x′为扰动位置,d3(x1,x2)为以x1为中心的球形区域的半径;
步骤1中,三维地理不可区分性确保对于三维空间中的任意两个地理相近的位置,扰动位置的概率分布相似,由隐私预算ε和以用户位置x1为中心的半径为d3(x1,x2)的球形区域决定,空间内的真实位置得到保护。
步骤2:对三维空间中位置的X,Y和Z坐标同时进行扰动;
步骤2中,具体步骤如下:
步骤1)、引入噪声产生机制的概率密度函数为
其中,ε为隐私预算,x1用户真实位置,x′为扰动位置,d3(x1,x2)为以x1为中心的球形区域的半径,A为归一化系数;
步骤2)、用球坐标系替换笛卡尔坐标系来确定扰动位置;用户真实位置为x1,其扰动位置为x′,表示成(r,θ,ψ),其中,ε为隐私预算,r表示x1和x′之间的距离,θ是极角,ψ是方位角,球坐标系中的概率密度函数为:
定义三个变量表示为半径极角θ,方位角Ψ,三个变量的边缘分布分别为:
步骤3)、根据噪声分布函数将随机产生的扰动位置x′送至LBS服务器;
上述步骤2)中,获得扰动位置x′的方法:
步骤(1)、在单位球内选取一个随机向量U=(θ,ψ);
步骤(2)、式(3)中即为伽马分布Γ(3,1/ε)的概率密度函数,根据伽马分布Γ(3,1/ε)确定一个半径r,扰动位置x′即服从分布x1+Ur。
步骤3:将拉普拉斯机制产生的噪声近似在三维坐标下的立方体网格中,设计离散化加噪机制,推导离散化前后隐私预算的关系,确保离散化的加噪机制依然保证差分隐私特性;
步骤3中,用户真实位置为x1,通过以下两个步骤生成扰动位置
步骤1)、在以x1为中心的球坐标系中,利用三变量的拉普拉斯加噪机制产生一个扰动位置
步骤2)、重新映射到空间中距离最近的位置x′,此机制记为
离散化后的隐私预算ε'由隐私预算ε、立方体网格的步长和设备的精度决定,而退化的隐私预算通过添加额外噪声来进行补偿;
步骤4:设计截断后的加噪机制保证三维空间中地理不可区分性;上述机制不能在任意三维空间满足差分隐私。
步骤4中,机制不能在任意三维空间满足差分隐私;具体原因如下:
1)上述离散化的加噪机制仅仅在有限范围内可保证差分隐私;
2)实际场景下用户访问空间有限;为保证离散后的地理不可区分性并将位置限定在有限区域内,利用截断的方法将不合理的位置映射到限定范围内,保证三维空间中地理位置不可区分属性。
在步骤3中,三维空间中三变量的拉普拉斯加噪机制对位置的X、Y和Z坐标同时进行扰动保证三维空间中地理不可区分性。
在步骤3中,将噪声离散在三维空间的球面坐标系中,在保持地理不可区分性参数不变的同时生成扰动位置。
在步骤4中,为保证离散后的地理不可区分性并将位置限定在有限区域内,利用截断的方法将不合理的位置映射到限定范围内,保证地理位置不可区分属性不变。基于设备精度、有限空间范围、离散化单元,分析离散化和截断前后隐私预算的数学量化关系,通过添加额外的噪声补偿由于离散化导致的隐私预算退化,使得离散化和截断之后的加噪机制依然严格保证三维空间中地理不可区分性。
下面结合实例进一步描述本发明的技术方案,但要求保护的范围并不局限于所述。
实施例1:一种大型室内位置服务场景下三维空间中位置隐私保护技术方法,具体实施步骤如下:
步骤1:设定三维空间环境,同时考虑三个维度的位置扰动机制,并设计三维拉普拉斯加噪机制。如图1所示为大型医院的三维空间位置服务系统场景图,假设医院在一个长和宽为600米高60米的立方体地图内,该地图被划分为30×30×20的立方体网格,共18000个长宽为20米,高为3米的立方体网格,不同网格代表不同的位置区域,区域编号为{c1,c2,c3,...}。当用户在医院内活动时,用户将其当前位置发送给位置服务器请求位置服务,此时不可信的位置服务器或窃听攻击者会利用已有的背景知识推理攻击用户的位置隐私,并向用户发送垃圾邮件或进行诈骗等。此时,采用三维空间中地理位置不可区分性,用户向位置服务器发布一个扰动位置,防止攻击者窃取用户在医院中的位置隐私,从而提高位置服务系统在位置推断攻击下的位置数据隐私安全性能。
本发明在大型室内位置服务场景下位置隐私保护方法主要分为定义三维空间中地理不可区分机制、基于三维空间中地理不可区分机制生成扰动位置、设计离散化加噪机制、利用截断的方法保证三维空间地理不可区分属性这四个过程。
步骤2:定义三维空间中的地理不可区分机制,提出基于差分隐私的严格、且可证明的三维空间位置隐私度量方法,三维空间中地理不可区分机制定义如下:
其中扰动机制使得三维空间中所有 满足ε-地理不可区分性,其中为真实位置的可能集合,为扰动位置的可能集合。该定义确保对于三维空间中的任意两个地理相近的位置,其扰动位置的概率分布相似,由隐私预算ε和以用户位置x1为中心的半径为d3(x1,x2)的球形区域决定。即εd3(x1,x2)可被看作地理不可区分性度量:x1和x2距离越近,其扰动位置分布和越相似。由于球形空间内的所有位置都会产生近似的扰动位置分布,空间内的真实位置得到保护。
步骤3:在三维空间中基于三维地理不可区分机制生成扰动位置。为使操作更加方便高效,本发明以球坐标系替换笛卡尔坐标系。用户真实位置为x1,其扰动位置为x′,可以被表示成(r,θ,ψ),其中r表示x1和x′之间的距离,θ是极角,ψ是方位角,代入公式⑵知:定义三个变量,分别为半径极角θ,方位角Ψ,其边缘分布函数为:
最后,根据以下两步得到扰动位置x′:(1)在单位球内选取一个随机向量U=(θ,ψ)(2)根据伽马分布Γ(3,1/ε)选取一个半径r,扰动位置x′即服从分布x1+Ur。
步骤4:离散化的拉普拉斯机制。在用户的实际位置x1,通过以下两个步骤生成扰动位置 为立方体网格,假设的长为u、宽为v、高为h,且u>v>h:
1)在以x1为中心的球坐标系中,利用步骤3中3变量的拉普拉斯机制产生一个扰动位置
2)将重新映射到距离最近的位置x′,即:
令dr,dθ,分别表示r,θ,三个方向上的设备精度,B表示步骤1)中产生的离散点集。每个点是由r,r+dr,θ,θ+dθ,连接的区域的概率生成的。在步骤1)中生成的概率为NB(x')=N(x')∩B。
N(x')与立方体的步长有关,NB(x')由立方体的步长和设备精度共同影响。离散化后的隐私预算ε'与之前的隐私预算ε,的长u、宽v、高h和设备的精度有关。由于离散化降低了隐私预算ε',根据ε'和ε的差异量化需要添加的噪声,通过添加这部分额外的噪声补偿由于离散化导致的隐私预算退化,从而确保离散化的加噪机制依然保证三维空间中地理不可分区特性。
步骤5:用截断的方法保证离散拉普拉斯机制的地理不可区分性。假设α代表有限区域,其直径为Dα。令为截断后的加噪机制。有该阶段机制类似离散的拉普拉斯机制,区别在于扰动位置被重新映射在中最近的点,即将空间α外的位置映射到空间内的一点。通过这种方法本发明同样保证了截断后的拉普拉斯加噪机制依然满足三维空间中地理不可区分性。