Quantifying and protecting location privacy
摘要
将以下两个问题确定为计算隐私中的基本问题:(i)一致地量化不同系统中的隐私;(ii)使用混淆机制来最佳地保护隐私。
在统计(贝叶斯)推断问题中计算估计误差时提出了量化隐私的问题,在此问题中,对手将其观察力,背景知识和辅助渠道信息结合在一起,以估计用户的敏感信息。这使我们能够评估不同系统中用户的隐私,并不断比较不同隐私保护机制的有效性。我们还制定了优化用户隐私的问题,同时将数据效用视为一个交互式优化问题,在该问题中,用户和对手都希望最大化自己的目标,而这些目标彼此冲突。我们将我们的方法应用于量化和保护基于位置的服务中的位置隐私。
引言
现有的位置隐私保护机制设计方法无法始终如一地模拟用户的(隐私和服务质量)要求以及对手的知识和目标。相反,防护机制是临时设计的,与对手的模型无关。因此,这些保护机制的目标和结果之间是不匹配的。
缺乏一个系统的方法来量化隐私保护机制。特别是,有关对手模型的假设往往不完整,存在对用户位置隐私进行可能错误估计的风险。可以说,特定的保护机制和评估隐私缺乏一个通用的分析框架。没有这种框架,就不可能设计出有效的保护机制,也无法对其进行客观比较。
通常,对手模型通常得不到适当的解决和形式化,并且缺少一个针对对手可能的推理攻击(同时结合他的背景知识)的好的模型。这可能导致错误估计移动用户的位置隐私。
我们显示了一些现有指标(尤其是熵和k-匿名性)不适用于量化位置隐私。
Quantifying Location Privacy
对手的知识
在本节中,我们提供了一个模型,用于构造要在各种重建攻击中使用的对手的先验知识。知识构建(KC)模块的架构如图1所示。对手收集了有关用户移动性的各种信息。通常,此类信息可以转换为事件;也许事件可以链接到转换中,即同一用户的两个事件具有连续的时间戳;也许可以将它们进一步链接为部分跟踪甚至完整跟踪。对手的这些事件的质量可能有所不同,例如,它们可能包含噪音。可以想象,对手获得的信息(例如用户的家庭住址)显然无法转换为事件。然后,对手可以创建对事件信息进行编码的典型事件(或痕迹),即用户在晚上和早晨之间在其家中的连续出现。