英语原文共 17 页,剩余内容已隐藏,支付完成后下载完整资料
摘要
对于使用第三方网络供应商提供的定位服务的用户来说,位置隐私一直是一个严重的问题。最近科学家们付出了巨大的努力去开发新的匿名或模糊技术来保护用户的位置隐私。虽然在某些方面有效,但是这些技术通常假设用户在时间或维度上有一个恒定的隐私要求,在现实生活中这可能是不真实的。在本文中我们引入了一个新的位置隐私问题:位置感知中的隐私保护(L2P2),用户可以根据不同的位置来不断改变他们的隐私需求。L2P2问题的目标是为每一个定位要求找到面积最小的阴影区域来满足每个用户在时间或空间维度上不断变化的隐私需求。在本文中,我们系统的提出两种版本的L2P2问题,并且为移动用户提出了几种有效的启发式算法来提供位置感知隐私保护。通过大量的模拟仿真以及在现实生活中的数据集,我们证实了L2P2的有效性和实用性。
关键词:位置隐私;匿名;隐形算法;基于位置的服务;移动网络
1.介绍
近年来,关于现代智能手机(即android手机和iPhone)能够存储和收集用户的位置数据的大量报道已经引起了全国的关注,甚至国会的立法者都表达了他们的关注。移动用户的位置数据对于(LBS)位置服务的应用和移动统的发展具有重要意义。LBS是一种根据移动用户的位置来提供的服务。现在,具有定位功能的移动设备(如智能手机,手表,手环和平板电脑)已经广泛的应用到了我们的日常生活中。这些设备和丰富多样的移动应用程序通过(LBS)给数以百万计的用户提供了便利。如发现最近的银行自动取款机,执行基于位置的移动感知,从附近的商店接受优惠券,或识别人类活动。此外,与其他设备或服务提供商交换位置信息,基于位置的网络协议可进一步提高通信效率。然而在位置服务中,当位置数据必须离开本地设备上传到第三方时,隐私问题变成了一个大问题,无线网络的广播性质通常使得保护用户的隐私,包括身份和地点变得极具挑战。位置数据是敏感的,因为它可以揭示你居住和工作的地方,你要到哪去看电影,吃饭,度假,甚至是你呆在别人家。正如贝雷斯福德和stajano在文献[ 7 ]中定义的位置隐私是“能够防止其他当事人了解一个人的过去或现在的位置”。在LBS应用的一个例子中,一个移动用户可能会发布一个LBS查询“美国银行最近的分行在哪里?”从隐私保护的角度来看,这个用户可能不想透露自己的身份,也不想透露他的确切位置信息,特别是当服务是敏感的,但他仍然希望得到解决LBS提供商。因此,在移动环境中的基于位置的服务的隐私保护一直是一个巨大的挑战。
在过去的几年中,已经有许多不同的方法被提出来保护用户的位置隐私,例如,gruteser和格伦瓦尔德k-匿名方法[ 8 ],在隐形领域,至少k个当前用户被提供,徐和蔡的基于熵的方法[ 9 ],阴影面积是基于多用户在一定区域中的足迹的面积决定。一般来说,保护位置隐私的方法大致可分为四类:(1)监管方法,(2)基于隐私政策的方法,(3)基于匿名的方法,和(4)基于混淆的方法。匿名方法根据用户的位置信息区分他们的身份,例如,一个用户的身份可以用假名[ 7 ]取代。混淆的方法降低用户的位置信息的质量,保护位置隐私,例如,覆盖区域(而不是用户的确切位置)可能会报告给用户基于多用户足迹的区域[ 9 ]。在本文中,我们重点设计覆盖面积为基础的方法。
虽然在某些情况下有效,这些现有的技术通常假设用户有一个恒定的隐私要求,在某些特定的情况下这可能是不正确的。在现实世界中,不同的位置或不同类型的LBS请求可能会显示不同移动用户的私人信息,因而在不同的位置或随着日期和时间的变化,用户可能会有不同的隐私要求。例如,在空间维度上,当一个用户在医院时可能有较高的隐私要求与他/她在一个购物中心相比;在时间维度,与在周末下午相比用户在一个工作日早上的隐私要求较高因为他的工作的原因。从这些,我们可以看到处理一个用户的多样和动态的隐私要求可能取决于时间和位置信息对于位置服务中的隐私保护是否必要。
在本文中,我们介绍并探讨一种新的位置隐私的问题:位置感知位置隐私保护(L2P2)问题,解决了移动用户的动态和不同的隐私需求。我们假设,移动用户是否可以有不同的和动态的位置隐私的要求,这取决于在何时或何地用户请求位置服务。每一种位置服务请求与一种特定的隐私请求相关联。我们用一个阴影面积来满足要求。注意隐私的要求可以通过匿名或基于熵的度量表示,我们的方法可以可以适应两者。更具体地,对于基于k-匿名的度量,如果隐私的要求是K,隐形面积应至少要有包括提出要求的用户在内的K个用户;对基于熵的度量,在阴影面积方面来自多个用户的足迹的频率可以被用来计算一个隐私的值,这个值不应少比要求小。我们将在第3节给出这两个度量的形式化定义。
考虑到移动用户可以有一系列的LBS请求使情况更加复杂,为了解决这个问题,我们进一步明确L2P2问题的两个版本:基本L2P2和增强 L2P2。在基本L2P2,每个用户的请求可以被视为一个独立的事件。生成一个阴影的区域,在计算隐私值时该阴影区域内的所有的用户都要考虑,通过阴影地区提供的隐私的值应等于或大于需求。我们提供了一个简单的阴影区域生成算法来寻找最小尺寸的阴影区。在增强L2P2,因为一系列LBS请求将生成一系列的阴影区,我们选择在隐私保护中的保守方法。更具体地说,我们执行一个更强的限制,只有在这个阴影区域中的普通用户才被用来计算隐私的值。这种限制来自攻击者可能通过发现阴影区域中普通用户的来缩短列表的可能性,现有的覆盖方法没法解决这个问题,因为阴影区的隐私值序列不独立
进而为了解决这个问题我们提出了增强L2P2,在多项式时间上用四种不同的启发式算法来生成阴影地区。所有提出的算法可以时间和空间维度上为多个用户提供多样的隐私保护以满足移动场景。此外,为了评估我们的方法,我们还对大量的移动用户的位置数据(合成数据所产生的网络流量发生器[ 10 ]为奥尔登堡、德国和中国北京成千上万的现实生活中的GPS痕迹的出租车[ 11,12 ])进行了模拟。结果表明,我们的方法在轻微降低位置服务质量的情况下可以满足不同用户的隐私要求。
本文的其余部分组织如下。第2节检讨有关位置隐私的工作。第3节介绍了在我们的研究中使用的模型和假设,以及位置感知位置隐私保护问题的新定义。为了解决这个问题,第4节提出了一套算法。第5节显示我们的模拟结果和第6节对这篇论文进行了总结。本文的初步版本出现在文献[ 13 ]
- 相关工作
为了保护位置隐私,已经有许多方法被提出来了[ 7 - 9,14 - 22 ]。根据参考文献[ 23 ],这些方法可分为四类:(1)监管方式,(2)隐私政策的基本方法,(3)匿名保护的基本方法,和(4)混淆的基础方法,在监管办法的制定规则、相关法规、法律保护隐私权,隐私权政策的机制,可以禁止某些滥用位置数据,匿名方法从他们的位置信息中区分他们的身份,基于混淆的方法降低用户定位的质量。在本节中,我们遵循这一分类,并概述了最后两个类别的方法。
2.1匿名算法
Berefsord和Stagaon[ 7 ]提出了一个框架,通过频繁的假名变更用户身份。此外,在匿名通信的混合区的概念也被施加到提供位置隐私。要测量的位置隐私,两个指标,其中一个是基于熵,另一种是基于匿名集在参考文献[7]中被提出。Gruteser和Grunwald在[8]中提出了K匿名算法的概念,其中用户的位置被作为二维空间阴影面积而报道,在这个区域中至少还有一个其他的用户。人们设计了一种基于四叉树的覆盖算法,并用匿名集K的大小来衡量匿名度。在Bettini等人的方法[ 14 ]中,定义了基于位置的准标识符和基于历史的k-匿名的概念,一个正式的框架已经提出来衡量位置信息导致身份泄露的潜在风险。在Kido等人的方法[ 15 ]中,虚拟位置的数据已经与产生的实时位置数据混合在一起了,使得位置的服务供应商很难区分它们。
2.2混淆算法
基于一种感觉的方法被徐和蔡在[9]中提出,用户的隐私需求是通过指定一个公共区域(例如,一家餐馆)提出来的,公共区域的受欢迎程度是计算机通过一个基于熵的方法对该地区的用户(如游客)和脚印计算得到的。用户的位置,只有被公开的隐形框的受欢迎程度是高于或等于指定的公共区域时它才会被公开。徐和蔡[9]进一步提出了p-popular轨迹的概念,这个概念与移动用户的时间和空间方面(移动)相关,并提出了基于四叉树的算法来选择隐形集和计算隐形框。在这种方法中,基于熵的度量已被提出来测量的位置隐私。在另一种方法[16]中,人们提出了一个正式的混淆模型(加权图)和设计了一个协商算法(用户和基于位置的服务提供商)。在这中方法中模糊集的大小被用来测量的位置隐私。注意在有些情况下一些方法可能既属于匿名方法又属于模糊类别,如该方法[ 8 ]。
也有一些其他位置隐私保护技术我们在这里不讨论。有关位置隐私保护的完整调查,请参阅参考文献。[ 23,24 ]。在本文中,我们专注于利用基于隐形的区域的方法来解决移动用户动态和多样的隐私要求。注意到Gedik和刘[25,26]研究了同时支持多个个性化隐私要求的个性化匿名算法。然而,他们专注于时空的隐形方法。在本文中,我们假设一个固定的单位时间和不考虑时间阴影。此外,我们加强L2P2在空间和时间域比参考文献有更严格的隐私要求。因为[25,26]自增强L2P2要求在一定时间内的移动用户匿名,没有任何移动用户。
3.移动LBS的L2P2
3.1移动LBS模型
我们假设基于位置的服务的一般模型。(见[ 8,9 ]),其中有三个关键因素:移动用户,受信任的匿名位置服务器,和位置服务提供商。见插图1。在这个模型中,一个移动用户界面发送的位置服务请求可信的匿名服务器,其中包括他的位置数据;X / Y,时间戳信息,以及他的隐私要求R(一个数字k-匿名模型或某一区域的熵模型由用户定义)。以后,我们用用户界面;X;Y;t / R表示这样的请求。在此步骤中,可以执行用户身份验证和消息加密以提供安全保护。后他匿名服务器获取请求消息,他将执行的位置匿名(生成隐形C区包括用户的地理位置x;y /)提供的位置隐私保护,然后匿名的位置信息(隐形C区)将被发送到基于位置的服务提供商的服务。本文的重点是如何执行的位置匿名实现位置感知隐私要求匿名服务器的位置。注意位置的匿名服务器(不需要一个集中的服务器而是一组分布式服务器)的位置和时间戳的所有用户的所有请求的信息,并使用一个数据库(每个请求将足迹留下足迹保存所有历史数据的用户界面;X;Y /数据库)。在这里,我们也假设时域被划分成相等的时间间隔。
类似于参考文献[8,9]的方法。我们使用一个四叉树T[27]将空间域递归分割成细胞。在L级的细胞被划分成四个较小的细胞在水平LC1。当单元格的大小小于阈值时,分区将停止。假设T有L级。图2a说明了这样一个四叉树的一个例子。让J Th细胞水平是c.j;及其区域a.c.j;L /或A.J;我们假设所有生成的隐形区域位置的匿名服务器在四叉树T细胞。换句话说,在位置进行LBS请求。X;Y /包含在c.j;所有可能的隐身领域的这一要求是c.j;L和T如图2b所示。显然,较小的细胞(上级)提供更好的位置数据的质量可能因为用户隐私值变得的不可能。注意,在四叉树中的单元格可以是矩形。
3.2 L2P2
用户隐私的要求R包括在LBS请求的用户界面,这种请求在时间和空间维度上可以是动态的和多样化的。换句话说,它可以被视为用户界面;X;Y;T /。因此,我们称之为我们感知位置的位置模型。正如我们在2节讨论的,主要由如下两个方法来测量位置隐私保护:k-匿名模型[ 8 ]和基于熵模型[ 9 ]。
定义1匿名隐私(例如,文献[ 8 ]):让C代表一个隐形的面积和u.c/ D;UMG代表谁的脚印在时间t的匿名隐私权的价值pk.c/ C是C的用户是u.c/,即大小,pk.c/ D M。定义2基于熵的隐私(在参考文献[9])让C表示一个隐私地区和U.c/D;UMG表示谁的脚印是在C的基础上的足迹数据库F.让Ni代表UI”数C的脚印的用户集,和在这两个模型中,每个LBS要求UI;X;Y;T;R /,位置隐私保护的目标是找到一个隐身的C区,其隐私权的价值(pk.c/或PE。C)不小于R。此后,我们用p.c/代表要么pk.c/或pe.c/为隐形地区如果我们只考虑用户集U 0.c/ u.c/而不是在u.c/所有用户隐私的价值,我们也就相应地定义的子集U 0 C隐私权的价值,即普0 C /。
即使我们在我们的研究中使用匿名和我们的基于度量的熵,我们提出的算法可以采用任何隐形的隐私测量方法来量化位置隐私的值。最近,Shokri等人在[ 28,29 ]表明k-匿名模型和基于信息熵的度量与攻击者的成功率相关,因此可能不是完美的位置隐私指标。他们还提供了一个新的隐私的测量工具来量化的位置隐私,可以利用我们提出的阴影算法代替k-匿名模型和基于熵的测量。
3.3对于L2P2优化问题
虽然单一的隐私请求是容易满足的,但是当用户在不同的位置具有不同要求的隐私序列请求使得这些问题变得困难。现在我们已经准备好正式定义L2P2问题。当用户发起连续的LBS要求时,它发送一系列的LBS请求。位置的匿名服务器生成一个序列的隐形领域来提供位置隐私。保护并发送到LBS提供商。插图见图3。生成的覆盖面积需要满足下列条件:(1)它包含用户当前的位置;(2)它应该提供足够的隐私保护,由用户指定;和(3)将尽可能小。我们可以定义如下问题。定义3:给定一个基本L2P2四叉树T,F的足迹数据库,以及一系列的格式,从LBS
全文共15559字,剩余内容已隐藏,支付完成后下载完整资料
资料编号:[144549],资料为PDF文档或Word文档,PDF文档可免费转换为Word
以上是毕业论文外文翻译,课题毕业论文、任务书、文献综述、开题报告、程序设计、图纸设计等资料可联系客服协助查找。
