kdd 11年的文章
LBS(location business service)的典型例子包括本地商业搜索、电子营销、社交网络和汽车流量监控。尽管LBS为移动用户提供了有价值的服务,但向可能不受信任的LBS服务提供商透露他们的私人位置会引发隐私问题。一般来说,LBS有两种类型,snapshot LBS和continuous LBS。对于快照LBS,移动用户只需向服务提供商报告一次其当前位置即可获得所需信息。另一方面,移动用户必须定期或按需的方式向服务提供商报告其位置,以获得所需的连续LBS。连续LBS中保护用户位置隐私比快照LBS更具挑战性,因为对手可以利用用户位置样本中的时空相关性来推断用户的位置信息,从而获得更高的确定性。这种用户位置轨迹对于许多应用程序也非常重要,如商业分析、城市规划和智能交通。然而,向公众或第三方公布这些位置轨迹用于数据分析可能会带来严重的隐私问题。持续LBS和轨迹数据发布中的隐私保护越来越受到研究社区和行业的关注。在这个研究中,我们给出了在这两个问题上最先进的隐私保护技术的概述。
THE DERIVATION OF LOCATION TRAJECTORY PRIVACY轨迹问题的演化
Data Privacy
k-anonymity要求每条记录在准标识符方面与至少其他的k-1记录不可区分,即每个等价类至少包含k条记录。然而,如果类中的所有记录对于敏感属性(如disease和salary)的值都小于k值,那么k匿名等价类就会遭受同质性攻击。为此,我们提出了l-diversity property,以确保一个等价类对敏感属性至少有l个值。为了进一步加强数据隐私保护,t-closeness原则定义为,当一个等价类中某个敏感属性的分布与该属性在整个数据集中的分布之间的距离不超过一个阈值参数t时,称该等价类具有t-closeness。
Location Privacy
在LBS中,移动用户向LBS服务提供商发布基于位置的查询,获取基于自身物理位置的信息。LBS对传统的数据隐私保护技术提出了新的挑战,主要有两个原因。(1)这些技术保护了数据的隐私,但对移动用户发布的基于位置的查询无效。(2)它们确保数据库快照所需的隐私保证(数据的实时性)。在LBS中,查询和数据以高速率不断更新。这种高度动态的行为需要匿名用户和对象集的持续维护。LBS的隐私保护技术可以分为三类:(1)False locations基本的想法是发送一个或多个与用户位置相关的假位置。(2)Space transformation这类技术转换位置:空间位置编码(3) Spatial cloaking :
研究工作也致力于处理基于位置的隐私保护查询。i.e.从LBS服务提供商获取匿名服务。这些查询处理框架可以分为三大类。(1) Location obstruction 基本思想是,查i.e.询用户首先将一个查询连同一个错误位置作为锚发送到数据库服务器。数据库服务器不断向用户发送离锚最近的对象列表,直到收到的对象列表满足用户的隐私和质量要求。
(2)Space transformation 这种方法通过可信的第三方将数据和查询的原始位置转换为另一个空间。空间变换保持数据与查询之间的空间关系,以提供准确的查询答案。
(3)Cloaked query area processing 在该框架中,在数据库服务器中嵌入了一个隐私感知查询处理器来处理来自查询用户的被隐藏的空间区域。针对道路网络中的空间隐身问题,提出了一种基于位置的隐私感知查询算法
Trajectory Privacy
位置的时空轨迹包括:p(x,y),t(timestamp)位置轨迹的这种时空属性可以看作是一种强大的准标识符,可以与各种其他物理数据对象相关联。例如,RID = 1的记录表示患者分别在时间戳2,4,5和8访问了位置(1,5)、(6,7)、(8,10)和(11,8)。假设对手知道医院的病人Alice在时间戳2和8访问了位置(1,5)和(8,10)。由于只有RID = 1的轨迹记录满足这样的空间和时间属性,对手可以以100%的信心推断出Alice有HIV。这个例子表明,发布未被识别的轨迹数据仍然会造成严重的隐私威胁。
PROTECTING TRAJECTORY PRIVACY
IN LOCATION-BASED SERVICES
基于位置服务的轨迹隐私保护
根据是否基于一致的用户假名,我们对问题进行划分:1、需要一致的用户身份:例如Q1:让我找出我的朋友在哪里,如果他们离我的位置在2公里以内;Q2:根据我的资料给我推荐10家附近的餐馆;Q3:不断告诉我离我的位置最近的购物中心。Q1和Q2需要一致的用户身份才能让应用程序找到他们的朋友和资料。尽管Q3不需要任何一致的用户标识,但是查询及其参数可以看作是一个虚拟用户标识,在查询到期之前保持活动状态。2、其他LBS不要求用户身份一致,甚至不要求任何用户身份,比如Q4:发送电子优惠券给距离我咖啡店1公里以内的用户。
Spatial Cloaking通过空间隐藏生成k个样本的空间实现隐私保护
数据先传给加密器再传给服务器
Group-based Approach for Real-time Trajectory Data
其基本思想是,查询用户u与附近的其他对等点组成一个组。算法在发出基于位置的查询或向数据库服务器报告位置之前,将位置模糊为一个包含所有组成员的空间区域,作为一个隐藏的空间区域。图1展示了一个连续空间隐藏实时用户位置轨迹的例子。在本例中,在时间ti发出连续的基于位置的查询的用户A要求对其位置进行k匿名化,其中k = 3。在t1时刻,位置匿名器形成了一组用户a、C、G,因此as隐身空间区域包含了所有这些用户,如图1a中的矩形所示。位置匿名器发送一个查询与其隐藏的空间区域到数据库服务器。在t2和t3之后,当A向位置匿名器报告它的新位置时,就会形成一个新的隐藏的包含组成员的空间区域。缺点是服务器开销太大。每次查询都可以保证k-匿名。为了保证不同的时间内对象都在group中,需要每个时刻的group都包含所有用户。因此group会越来越大。
Distortion-based Approach for Real-time Trajectory Data
区域方式
查询用户向位置匿名器报告他们的位置,但它也考虑他们的移动方向和速度,以最小化隐藏的空间区域[45]。定义了一个失真函数来度量连续查询簇的时间查询失真。图2给出了如何确定查询失真的示例。在这个例子中,三个用户,B和C这个问题他们连续定位查询时间t1构成隐身设置和查询到期时间tn。隐形空间地区R1时间t1是隐形的最小边界矩形集,是由一个矩形(图2)。设(x i, yi)和(x+ i, yi+)分别为被遮蔽空间区域Ri在时间ti时的左下和右上的顶点。
即通过t时刻pi的运动方向和趋势,判断扩大r的范围,使其仍满足k-anonymity。注意。每次查询的分组为t时刻所有的查询数量。每次请求形成一个k匿名群组。
| Predication-based Approach for Historical Trajectory Data |
用户上传数据到匿名器,匿名器根据历史轨迹推断下一步轨迹,匹配轨迹相近的几个用户的特征推给服务器。
缺陷:可能在查询时只能看到一个用户,或者没有k-anonymity。
| Mix-Zones |
当用户满足如下条件时,称mix-zone是k-anonymity:
| 1. The user set S contains at least k users, i.e., |S| ≥ k. |
| 2. All users in S are in Z at a point in time, i.e., all users in S must enter Z before any user in S exits. |
| 3. Each user in S spends a completely random duration of time inside Z. 4. The probability of every user in S entering through an entry point is equally likely to exit in any of the exit points. |
点abc-》出点xyz,因为顺序的变化,服务器无法找到匿名顺序,由此产生匿名。但是mix-zone无法实时发送位置信息。
Path Confusion
路径混淆:防止单一object的追踪。混淆在t时刻同位置的几个对象。
Dummy Trajectories
虚假路径:
| Snapshot disclosure (SD) |
在t时刻预测正确位置的概率
Trajectory disclosure
1/所有的路径数
Distance deviation (DD).
t时刻距离的平均值
Dummy Trajectories可以支持LBS 1、2
| PROTECTING PRIVACY IN TRAJECTORY PUBLICATION |
Clustering-based Approach
t时刻所有的区域建模。在t时刻,所有在xi,yi内的轨迹聚类为一组实现kanonymity。
Generalization-based Approach
2809
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
