Skip to main content
QUICK REVIEW

[论文解读] Geo-Indistinguishability: Differential Privacy for Location-Based Systems

Miguel E. Andrés, Nicolás E. Bordenabe|Dec 10, 2012
Privacy-Preserving Technologies in Data参考文献 29被引用 213
一句话总结

本文提出了地理不可区分性(geo-indistinguishability),一种用于位置服务的正式隐私模型,通过确保在半径 r 内的隐私保护,实现 εr 的隐私水平。该模型提出了一种使用双变量拉普拉斯分布添加噪声到用户位置的机制,在不损害服务质量的前提下,优于以往的方法,提供了更强的隐私保障。

ABSTRACT

The growing popularity of location-based systems, allowing unknown/untrusted servers to easily collect huge amounts of information regarding users' location, has recently started raising serious privacy concerns. In this paper we study geo-indistinguishability, a formal notion of privacy for location-based systems that protects the user's exact location, while allowing approximate information - typically needed to obtain a certain desired service - to be released. Our privacy definition formalizes the intuitive notion of protecting the user's location within a radius r with a level of privacy that depends on r, and corresponds to a generalized version of the well-known concept of differential privacy. Furthermore, we present a perturbation technique for achieving geo-indistinguishability by adding controlled random noise to the user's location. We demonstrate the applicability of our technique on a LBS application. Finally, we compare our mechanism with other ones in the literature. It turns our that our mechanism offers the best privacy guarantees, for the same utility, among all those which do not depend on the prior.

研究动机与目标

  • 为应对由于不可信服务器收集用户精确位置数据而引发的位置服务(LBS)中日益增长的隐私担忧。
  • 形式化一种隐私概念,保护用户在半径 r 内的位置,隐私水平取决于 r。
  • 开发一种机制,在确保强隐私保障的同时,保持 LBS 应用的可用性。
  • 将所提机制与现有最先进方法进行比较,表明其隐私性能优于以往方法,且不依赖于先验知识。

提出的方法

  • 提出地理不可区分性作为差分隐私在空间数据上的广义形式,其中隐私随距离 r 平滑下降。
  • 使用双变量拉普拉斯(平面拉普拉斯)分布对用户的真实位置 x 进行扰动,生成带噪声的位置 z。
  • 通过条件定义隐私:对于任意两个距离在 r 以内的位置,其噪声输出的概率分布差异不超过 εr。
  • 利用累积分布函数的逆函数 Cε⁻¹(c) = rad_R - rad_I 推导噪声分布,其中 rad_R 和 rad_I 分别为响应区域和输入区域的半径。
  • 将该机制应用于兴趣点(POI)检索服务,确保服务器无法推断用户的确切位置,同时仍能返回相关结果。
  • 证明该机制在任何先验分布下均保持隐私,并且在多个查询间具有可组合性。

实验结果

研究问题

  • RQ1我们如何正式定义位置服务中的隐私,以保护用户在半径 r 内的位置,同时允许释放近似位置数据?
  • RQ2何种机制能够实现该隐私保障,同时保持位置服务的实用性?
  • RQ3与现有位置模糊化技术相比,所提机制在隐私和准确性方面表现如何?
  • RQ4隐私保障是否能独立于攻击者对用户位置的先验知识而保持?
  • RQ5在空间数据发布中,何种最优噪声分布能平衡隐私与实用性?

主要发现

  • 所提机制通过使用双变量拉普拉斯分布对用户位置进行扰动,实现了 ε-地理不可区分性,确保任意两点间距离在 r 以内的输出分布差异不超过 εr。
  • 当 rad_R = (√2·150 + 200) m 且 c = 0.99 时,机制实现 ε = 0.016,展示了可量化的隐私水平。
  • 在所有测试的先验分布下,该机制均优于遮蔽方法,尤其在 c 值较小时,隐私保护随 c 减小而增强。
  • 隐私保障独立于攻击者的先验知识,使其对侧信道信息具有鲁棒性。
  • 即使在多次释放位置的情况下,该机制仍能保持强隐私保护,且具备跨查询的可组合性。
  • 该方法在数学上被证明满足地理不可区分性,噪声分布与隐私边界均经过严格推导。

更好的研究,从现在开始

从论文设计到论文写作,大幅缩短您的研究时间。

无需绑定信用卡

本解读由 AI 生成,并经人工编辑审核。