一种基于博弈论的个性化k-匿名优化方法

摘要

本发明设计了一种基于博弈论的个性化k‑匿名优化方法，旨在实现个性化的位置隐私保护的同时保证用户获得较高的服务质量。与传统的位置隐私保护方法相比，该方法可在攻击者基于先验知识发起最优攻击的情况下，实现最优的服务质量与个性化隐私保护。其技术要点在于基于个性化k‑匿名概念和恶意用户的攻击模型提出了位置隐私度量和服务质量度量，在此基础上，通过博弈实现隐私和服务质量最优的k‑匿名算法，从而求解出最优的k值。根据用户所处的场景和使用的匿名机制建立给出当前最优的k值取值，实现最好的隐私保护和最高的效用。

说明书

技术领域：

本发明属于信息安全技术领域，涉及信息熵和博弈论相关知识；

背景技术：

具有持续连接到互联网的智能移动设备的广泛使用，促进了各种基于位置的服务(Location Based Services，LBSs)的发展，基于位置服务是指围绕地理位置数据而展开的服务，其由移动终端使用无线通信网络(或卫星定位系统)，基于空间数据库，获取用户的地理位置坐标信息并与其他信息集成以向用户提供与位置相关的增值服务，美国的FCC在1996年推出了一个行政性命令E911，无论在任何时间和地点，都能通过无线信号追踪到用户的位置，位置精确到50-300米，这开启了LBSs的商业应用，之后，全球各国随之部署商用LBSs，应用于社交、打车、餐饮等多个生活领域，经过数十年的发展，LBSs经历了令人瞩目的发展，并一直延续至今，LBSs的出现给用户提供了极大的便利，但用户所获得的服务是以牺牲用户隐私为代价的；

大量的工作集中于位置隐私保护机制(LPPMs)的研究，允许用户利用lbs获取服务的同时保护敏感信息，这些保护机制是基于通过向LBS隐藏位置，或发送受到干扰或虚假的位置，来增加对手对用户真实位置的不确定性，现有的一些保护查询内容隐私的方法大致可分为基于扭曲的技术、基于加密的技术、基于差分隐私的技术和基于匿名的技术，基于匿名的技术的优点在于匿名用户的存在可降低用户隐私泄露的风险，且用户可自行定义隐私保护度，算法的移植性较强，K-匿名是Samarati和Sweeney在1998年提出的技术，该技术可以保证存储在发布数据集中的每条个体记录对于敏感属性不能与其他的K-1个个体相区分开，为了量化几种位置隐私保护机制的有效性，虚拟位置和差分隐私提出期望距离误差方法，该方法一直是衡量位置隐私的事实上的标准，而Shokri等人断言预期估计误差，缺乏正确性会影响隐私水平，故而提出了一种系统的方法来量化用户的位置隐私，在考虑攻击者模型的情况下对基于位置的应用程序和隐私保护机制建模，为进一步贴合实际应用，一些研究对攻击者的背景知识进行了假设，例如，Kido等人在生成假位置时考虑了普遍性、拥堵和一致性等因素，试图使这些虚拟位置尽可能真实，同样，Xue等人使用移动用户的侧通道信息来构建匿名隐身区域，随着位置隐私日益受到人们的重视，K-匿名算法的应用也越来越广泛，然而，目前的K-匿名算法还存在k值和协助用户选取不当而导致的位置信息泄露、服务质量低下等问题，当k值过高时，参与构建匿名域的用户过多，请求用户获得的服务质量会降低；当k值过低时，协助用户数量过少，请求用户的隐私信息泄漏的风险将增大，且参与构建匿名域的协助用户也会影响请求用户获得的服务质量和隐私保护，所以，在服务质量和隐私保护中取得均衡，计算出最优k值并选取合适的协助用户是至关重要的问题；

发明内容：

针对k匿名实现位置隐私保护存在的以上问题，本发明提出一种基于博弈论的个性化k-匿名优化方法，旨在攻击者基于先验知识发起最优攻击的情况下，实现最优的服务质量与个性化隐私保护，该方法包含位置隐私度量、服务质量度量、博弈选取最优k值等步骤，其具体过程如下：

1)位置隐私度量，隐私信宿Z′和背景知识Z的数学模型如下：

隐私信源熵H(Z′)定义如下式：

使用隐私条件熵H(z′

使用I(z′

2)服务质量度量，基于给定的匿名集Z′和匿名机机制f，攻击者可使用标准贝叶斯公式计算Z′中的每个位置的后验概率发起推理攻击，攻击者获得的推测位置为后验概率最大的位置；

攻击者的预期误差如下式：

EE(f)＝1-maxPr(z′

其服务质量的计算方式如下:

第三步：博弈选取最优k值，给定用户的收益函数为E

其中，该式应满足以下条件：

η+θ＝1

由此，我们得出令用户获得最优的服务质量和位置隐私的r值如下式：

为了证明该发明的有效性，本发明从安全性分析和仿真实验表明，该发明可根据用户所处的不同场景和使用的不同匿名机制下，给出使服务质量和位置隐私最优化的k值，且该发明可在场景有利和受到较好的匿名机制保护时，将隐私泄漏度降到较低值；

附图说明

图1详细描述了不同场景下隐私不同隐私需求的r取值；

图2详细描述了不同匿名机制下隐私需求与r值的关系；

图3详细描述了不同场景下隐私泄露度随r值的增大而下降；

图4详细描述了不同匿名机制下隐私泄露度随r值的增大而下降；

具体实施方式：

下面将结合本发明中的附图，对本发明的技术方案进行清楚、完整地描述，本发明提供一种基于博弈论的个性化k-匿名优化方法，具体步骤如下：

步骤1：位置隐私度量，将请求用户假设为信息发送方，攻击者视为接收方，隐私泄露通道假设为通信信道，发送方拥有的信息集称为隐私信源,这里指请求用户构建的匿名域,接收方获取的信息集称为隐私信宿,指攻击者观察到的匿名域，与隐私信源相同，指匿名域Z′＝{z′

在该情况下，隐私信源熵H(Z′)定义如下式，隐私信源熵H(Z′)是隐私信源Z′的平均隐私信息量，表示Z′的隐私不确定程度，H(Z′)越大，隐私信源Z′泄露的概率越低；

使用隐私条件熵H(z′

使用I(z′

步骤2：服务质量度量，基于给定的匿名集Z′和匿名机机制f，攻击者可使用标准贝叶斯公式计算Z′中的每个位置的后验概率发起推理攻击，标准的贝叶斯公式如下：

根据对匿名域中的所有位置计算其后验分布概率，攻击者获得的推测位置为后验概率最大的位置；

z″

基于攻击者针对匿名机制f的最优推测的预期误差度量用户获得的服务质量，攻击者的预期误差如下式：

EE(f)＝1-maxPr(z′

用户的服务质量由匿名机制f、用户选择的隐私级别r所产生的匿名域以及攻击者推测的预期误差决定.隐私级别r与用户服务质量成反比，隐私级别r越高，匿名泛化越严重，用户获取的服务质量越差；预期误差EE(f)与服务质量成反比，攻击者推测的预期误差EE(f)越高，由匿名机制f产生的隐私保护效果越好，服务质量越差，其服务质量的计算方式如下:

步骤3：博弈选取最优k值，给定用户的收益函数为E

其中，该式应满足以下条件：

η+θ＝1

由此，我们得出令用户获得最优的服务质量和位置隐私的r值如下式：

由上述可知，该值会因请求用户所处的具体场景、使用的匿名保护机制等因素的变化而选取不同的最优值，使得K-匿名用户在不同状态下选取最适合自身条件的协助用户数量。