[发明专利]一种在位置信息服务中保护多个位置的差分隐私方法

说明书

本发明公开一种在位置信息服务中保护多个位置的差分隐私方法，改进了原始的地理不可区分性算法，提出了预测测试机制。该方法通过消耗少量的隐私来构建真实位置的一个近似来减少总的隐私消耗。它可以在不过分损坏数据可用性的前提下大大减少隐私消耗。为了测试提出的机制的性能，我们在两个流行的数据集上进行了实验。结果表明我们的机制的确极大地减少了隐私消耗，同时保证了数据的可用性。

技术领域

本发明涉及一种在位置信息服务中保护多个位置的差分隐私方法，属于位置信息预测技术领域。

背景技术

在最近几年，随着带有GPS功能的智能手机的不断普及，位置信息服务也在人们的生活中扮演着越来越重要的角色。几乎所有的智能手机都会以各种各样的理由显式或隐式地使用用户的位置数据。例如，脸书使用用户的位置数据来查询用户附近的朋友。新闻应用则使用用户的位置数据来推送本地的新闻。

不幸的是，尽管位置信息服务为我们的生活带来了巨大的便利，它也造成了严重的隐私问题。用户通常不愿意将自身的实时位置数据暴露给包括服务提供商在内的第三方。这是因为用户一旦将自己的位置数据上传，就无法控制第三方对位置数据所进行的各种操作。恶意的第三方可能会利用位置数据来跟踪用户，从而推断用户的家庭住址，感兴趣的地点，甚至是诸如健康状况或者宗教信仰之类的敏感信息。因此，我们迫切需要隐私保护型位置信息服务，将用户的位置信息隐藏，同时保证高质量的服务。

现有的解决这一问题的方法可以分为两大类。第一类是密码学方法。该方法在用户上传位置数据前进行加密。它可以完全保护用户的个人隐私，提供可以证明的隐私保护。然而，加密方法会严重损害数据的可用性，导致服务提供商难以提供有价值的位置服务。而且，密码学方法通常极为耗时，这在手持设备上是难以忍受的。第二类方法基于对原始数据进行扰动，从而阻止第三方获取用户的确切位置。与密码学方法相比，扰动方法更加轻量级，并且对数据可用性的损害要小得多。因此，第三方也更愿意接受这种方法。但是，由于该方法还是泄露了用户的非准确数据，其安全性仍然存疑。

最近，Andres等人提出了地理不可区分性——第一个正式的基于位置扰动的隐私模型。这一模型由差分隐私演化而来，并且可以提供可证明的隐私保障。具体来说，如果在某个扰动机制下，任意两个间距小于一个给定阈值的位置以接近的概率产生相同的输出位置，那么该扰动机制就满足地理不可区分性。从而，第三方无法从一系列临近的位置中识别出用户的真实位置。Andres等人设计了相应的算法，该算法通过添加二位拉普拉斯噪声来满足地理不可区分性。然而，该机制主要被设计用来保护单一位置。如果直接将其用于保护多个位置，总体的隐私消耗会随着位置数量的增加而增加。这意味着用户所能进行的位置服务的次数十分有限。否则，隐私消耗到零，用户的隐私将受到破坏。这一限制是不可接受的，因为现实生活中许多位置服务提供商会在一天甚至是一个小时内多次使用用户的位置数据。例如，汽车司机在使用在线导航时，可能每几秒就会进行一次位置查询以便获得实时的道路信息。因此，我们迫切需要改进现有的地理不可区分性扰动机制，使得在保持原有的数据可用性的前提下尽可能地减少隐私消耗。

发明内容

发明目的：随着位置信息服务变得越来越流行，其所带来的隐私问题日益凸显，用户通常不愿意将自身的位置暴露给第三方用户(包括服务提供商)。为了解决这一问题，地理不可区分性——一种差分隐私的变体——被提了出来。这一隐私模型通过在原始位置上加噪音，使得邻近的位置以近似的概率产生相同的输出位置。然而，这一方法最初被设计用来保护单一位置。如果直接将其用于保护多个位置的话，总体的隐私消耗会随着位置数量的增加而迅速增加，导致用户只能进行次数非常有限的位置查询服务。本发明提供一种在位置信息服务中保护多个位置的差分隐私方法，改进了原始的地理不可区分性算法，提出了预测测试机制(Predict and Test Mechanism，简称PTM)。该方法通过消耗少量的隐私来构建真实位置的一个近似来减少总的隐私消耗。它可以在不过分损坏数据可用性的前提下大大减少隐私消耗。为了测试提出的机制的性能，我们在两个流行的数据集上进行了实验。结果表明我们的机制的确极大地减少了隐私消耗，同时保证了数据的可用性。