Location Privacy Preservation and Location-based Service Quality Tradeoff Framework Based on Differential Privacy

    摘要—随着基于位置的服务的广泛使用和本地化系统的发展，一些不受信任的实体可以轻松访问用户的位置，甚至敏感信息，这意味着应该认真考虑隐私问题。 在本文中，我们提出了一种不同的隐私框架，以保护用户的位置隐私并提供基于位置的服务。 我们提出了位置隐私，服务质量和差异隐私的度量标准，以介绍位置隐私保护机制，该机制可以帮助用户找到位置隐私和服务质量之间的权衡或最佳策略。 此外，我们设计了一个攻击者模型来推断用户的真实位置，应用程序服务提供商可以使用它来提高服务质量。 最后，我们给出了仿真结果并分析了所提出系统的性能。

    索引词-本地化，位置隐私保护，基于位置的服务，差异隐私

 

一，引言
    随着对基于位置的服务（LBS）的需求，精确的定位和位置隐私成为两个关键的研究领域。 LBS为人们提供了极大的便利，但是某些用户可能不喜欢向其他实体披露其真实职位。 因此，必须在位置隐私和应用程序服务质量之间进行权衡。

    全球定位系统（GPS）[1]是一种成熟的基于卫星的系统，在户外表现良好。 但是，由于卫星信号的阻塞，它无法在室内有效地工作。 因此，已经提出了许多依靠不同技术的室内定位系统（IPS），例如WiFi [2]，超宽带（UWB）[3]，射频识别（RFID）[4]或其组合[5]。

    由于现有的定位系统可以实现高精度，并且LBS被广泛使用，因此该领域的发展为个人和社会带来了极大的便利。 但是，获得这些好处可能会导致隐私泄露，原因是公开行踪经常允许某些对抗实体提取用户的敏感信息，例如家庭住址，职业和亲戚。 在这种情况下，已经提出了许多位置隐私保护机制（LPPM）并将其用于保护用户的敏感位置信息。 存在大量现有的位置隐私保护方法，例如位置假人[6]，k匿名[7]，混淆[8]，加密[9]和混合区域[10]。 尽管如此，这些方法通常不考虑服务质量指标，而忽略位置隐私和服务质量之间的权衡。

    在本文中，我们介绍了差分隐私框架。 主要贡献概述如下。 首先，我们提出了一种LBS系统，该系统具有一种解决方案，可基于差分隐私在位置隐私和服务质量之间找到权衡。 然后，我们提出了位置隐私，服务质量和差异隐私的广义度量。 接下来，我们建议的LPPM可以基于预定义的隐私级别保护用户的位置隐私，并且LPPM可以应用于室内和室外空间的任何本地化系统中。 最后，提出了一种敌对模型，以展示一种可能的推理算法的过程，服务提供商可以使用该模型来提高服务质量。

    本文的其余部分安排如下。 我们将在第二节中介绍位置隐私保护方法的相关工作。 在第三部分中，我们介绍了我们提出的指标和LBS系统模型。 本节后面是第四节中的LPPM设计。 第五部分提出了一个对手模型。第六部分说明了仿真结果和分析。 最后，我们在第七节结束本文。

    

二。 相关工作
    近年来，有很多关于位置隐私保护的研究。 例如，Shokri等人[11] 提出了用于量化位置隐私的度量标准，以及一个用于寻找最佳LPPM及其相应的最佳推理攻击的博弈论框架。 贝叶斯Stackelberg游戏和对手的先验知识被用来设计最佳LPPM。

    差异性隐私[12]是对保护其信息在统计数据库中的个人隐私的算法的约束。实现差分隐私的典型方法是向数据添加随机噪声（如拉普拉斯噪声）。在[13]中，安德烈斯（Andr´es）等人提出了一个新概念“地理不可分辨性”。引入一种机制来确保用户的位置隐私。 P 3-Loc [14]利用k匿名和差分隐私技术来保护用户的位置隐私和位置服务器的数据隐私。 Gruteser和Grunwald [7]提出了k-匿名性来保护位置隐私。基本方法是用户将位置信息发送到受信任的代理，并且代理将包含其位置和其他k -1个用户位置的混淆区域返回给应用程序服务提供商。结果，用户的真实位置与同一隐身区域中其他k-1个用户的位置无法区分。位置假人[6]通过将几个假位置与真实位置一起发送到位置服务器来保护用户的真实位置。基于密码学的方法[9]通过使用加密来保护位置隐私。此外，混合区域方法[10]通过混合和隐藏区域内所有用户的身份和位置来保护身份。

    但是，上述大多数相关工作都忽略了服务质量量化或对手可能的活动。 由于服务质量是LBS系统中的重要指标，因此，LPPM的健壮性应与对手模型一起测试，因此不能忽略这些问题。 在本文中，我们提出了一种量化服务质量的指标，以及一种在位置隐私和服务质量之间进行权衡的方法。 此外，我们设计了一个对手模型，并使用对手模型验证了我们提出的系统的性能。

 

三， 系统模型
    在传统的LBS系统中，三个实体共同工作：用户，位置服务提供商和应用程序服务提供商。 图1说明了我们提出的框架的系统模型。 用户可以向位置服务提供商请求其自己的位置，并将输出传递给应用程序服务提供商以访问LBS。 但是，攻击者可能会攻击或窃听LBS系统以窃取用户的真实位置。 在这种情况下，具有内置LPPM的位置服务提供商可以保护用户的位置隐私。 系统的工作流程设计如下：

 

   1）用户根据位置隐私和服务质量的要求选择隐私级别；

，2）用户向位置服务提供商请求位置，并指定隐私级别；

   3）位置服务提供商估算位置并遵循内置的LPPM以根据指定的隐私级别生成伪位置；

   4）位置服务提供商将伪位置发送回用户；

   5）用户向应用服务提供商请求具有伪位置的LBS；

   6）应用服务提供商将服务结果回复给用户。

    通过上述步骤，我们提出的系统可以为用户提供本地化服务和LBS，并且在传输和访问服务时不会透露用户的真实位置。 而且，用户可以从我们的系统中获得位置隐私和应用程序服务质量之间的权衡。 至于对手，我们将在第五节中讨论更多。 接下来，我们介绍位置隐私，服务质量和差异隐私的定义和度量。

A 位置隐私

    在访问LBS时，用户还希望保护自己的位置隐私并保持其真实位置私有。 因此，应该对位置信息进行模糊处理，并且模糊处理的程度取决于隐私级别，隐私级别user是用户从0到1的预定义值。隐私级别越高，用户可以获得的隐私保护级别就越低。 根据此值，位置服务提供商将生成伪位置。

    

 

     

 

 

B.服务质量
    服务质量是评估LPPM输出（即伪位置）的重要指标。 用户想要保留的隐私越多，真实位置和伪位置就越远。 而且，用户获得较低的应用服务质量。

    

                    

     

 

     定义4意味着，与隐私级别相关的约束应该限制给定不同真实位置的同一伪位置的概率。那么，用户的真实位置就不能用报告的伪位置来区分。

 

 

七、结语 
在本文中，我们开发了一个差分隐私框架，包含四个部分：本地化、LPPM、LBS和对手模型。该框架使用户能够基于差分隐私找到位置隐私和应用服务质量之间的权衡。我们填补了位置隐私保护相关工作中忽略服务质量指标和对手可能活动的空白。我们还通过一些数学分析和证明，展示了我们提出的LPPM如何相对于对手模型保护用户的位置隐私. 此外，我们提供了我们框架的详细程序，它可以很容易地实现在任何LBS系统中。此外，我们的框架关注的是集中式差分隐私。有时用户可能不愿意将他们的私人信息分享给中央隐私保护服务器。所以我们正在进行的研究是探索本地差分隐私，以保护用户的本地位置隐私。