Towards Privacy-Preserving Spatial Distribution Crowdsensing

摘要

在移动群智感知 (MCS) 中获取用户的空间分布给用户带来许多好处（例如，在 COVID-19 大流行期间避开拥挤的区域）。尽管用户位置隐私的泄露问题受到了很多研究关注，但现有的工作仍然忽视了用户的理性，导致用户即使提供真实的位置信息也可能无法获得满意的空间分布。为了解决这个问题，我们采用不完全信息博弈论来模拟用户之间的交互，并通过博弈的学习方法寻求平衡状态。具体来说，我们首先将服务建模为满意度形式的游戏，并定义该服务的均衡。然后，我们设计了一种LEFS算法，用于用户在满意度期望固定时的隐私策略学习，并进一步设计了让用户有动态满意度期望的LSRE。我们从理论上分析了所提出算法的收敛条件和特性，以及我们的解决方案获得的隐私保护级别。我们进行了大量的实验来展示我们的方案的优越性和各种性能，这说明与传统的基于空间隐身的解决方案相比，我们的方案在传感分布可用性方面可以获得超过 85% 的优势。

Introduction

为了在感知用户空间分布的同时保护位置隐私，现有工作通常使用差分隐私方法，因为它可以提供严格的隐私保证。具体来说，一些工作使用中心化第三方在收集的位置统计数据中添加精心设计的差分隐私噪声，以保护用户的位置隐私。该方法将收集的数据视为一个整体，同时添加噪声以提高数据效用，但由于单点潜在的故障威胁，在分布式应用中不能很好地扩展。其他不依赖可信服务器的工作是让服务器利用本地差分隐私来实现保护隐私的用户分布感知。由于这种方法允许用户在本地添加噪声并将添加噪声的位置提交到服务器进行集成，因此它在学术界和工业领域得到了广泛的探索。

尽管本地差分隐私可以在没有任何可信第三方的情况下保护用户的位置隐私，但它很少考虑现实中的用户是理性的并且对其他用户没有任何了解。具体来说，每个用户在本地做出他/她自己的隐私决策并确定所需的分发精度的约束，这对于其他用户来说都是未知的。结果，即使他/她向服务器提供了真实位置，也可能无法获得令人满意的分布精度，因为其他用户可能会向所有用户导出的整体空间分布提供过于模糊的位置，如图 1 所示。

为了解决上述问题，本文提出了一种 MCS 中保护隐私的空间分布感知方法。具体来说，我们采用博弈论满意度形式对用户之间的交互进行建模，并设计迭代学习算法以尽可能寻求所有理性用户的满意度均衡。满意度均衡是指所有用户都对结果感到满意，从而在满意的情况下不改变策略的状态。

PROBLEM FORMULATION

在本节中，我们首先简要介绍系统模型，包括MCS平台和用户。然后我们给出威胁模型，该模型指定了有关参与者的假设。

最后，我们描述了我们的问题定义，以勾画 MCS 空间分布感知的博弈论模型。

System Model

在本文中，我们考虑一个空间分布众测应用。如图2所示，我们建议的系统模型包括两个实体，即MCS平台和用户。每个实体的角色如下所示:

• MCS平台：获取用户的位置信息，统计用户在考虑区域内的空间分布，并将感知分布反馈给用户，以利于用户。
• 用户：使用他们的移动设备来获得空间分布作为服务，以便他们可以根据他们的偏好来决定前进或避开特定区域

当参与系统时，用户主要期望获得满意的空间分布，这受到他们的精度期望的约束(在下面的讨论中也称为满意度约束)。在这个前提下，他们会对位置隐私有需求。具体地，当用户对所感测的分布感到满意时，他/她更喜欢提交虚假位置而不是真实位置来要求隐私。否则，他/她愿意降低隐私级别以获得尽可能令他/她满意的分布。由于平台接收的位置信息不再准确，空间分布的准确性将不可避免地受到影响。集成发行版后，MCS平台评估发行版的准确性，然后将评估结果反馈给用户。在接收到反馈时，用户根据他/她的满意度约束来决定是否调整位置隐私的级别。如果接收到的估计不符合用户的准确度期望，则用户必须调整他/她的隐私级别，并将更新的模糊位置信息发送到MCS平台，以进行更令人满意的分发。可以看出，在准确性期望和隐私级别之间存在固有的权衡。因此，在系统中分别考虑两种不同类型的用户偏好。对于第一种类型的用户偏好，首要目的是获得尽可能满意的空间分布，只有在此基础上才会考虑提供私密性。此外，对于第二种类型的用户偏好，用户更愿意同时考虑满意的分布和位置隐私，并试图在隐私和服务之间找到平衡。

B. Threat Model

在我们的系统中，平台被视为诚实但好奇的对手，这意味着它总是诚实地按照设计的规则执行服务过程，但可能对用户的位置信息感兴趣，想从用户提交的位置中知道他们的真实位置。此外，用户追求满意度是理性的，这意味着他们对空间分布精度有个性化的期望，可以根据期望在本地制定隐私策略。这些隐私策略共同决定了所有用户贡献的空间分布的感知精度，而过于严格的策略可能会导致一些用户不满足于他们的期望。再者，值得注意的是，系统构成了一个不完全信息的博弈，在这个博弈中，用户无法观察到其他用户的策略，也不知道其他用户的满意约束。每个用户掌握的唯一知识是他/她自己的隐私策略和满意度约束，这使得用户独立选择的策略难以获得满足所有用户的感知分布。

C. Problem Definition

定义1 (满意均衡): 一个策略剖面 <math xmlns="http://www.w3.org/1998/Math/MathML"> τ + {\tau}^+ </math>τ+是一个满足形式博弈 <math xmlns="http://www.w3.org/1998/Math/MathML"> G = ( U , { A l } l ∈ N , { s l ( τ − l ) } l ∈ N ) {\mathcal G}~=~({\mathcal U},\{{\mathcal A}{l}\}{l\in N},\{s_{l}({\boldsymbol{\tau}}{-l})\}{l\in N}) </math>G = (U,{Al}l∈N,{sl(τ−l)}l∈N)的满意均衡，如果 <math xmlns="http://www.w3.org/1998/Math/MathML"> ∀ u l ∈ U \forall u_{l}\quad\in\quad\mathcal{U} </math>∀ul∈U，则有 <math xmlns="http://www.w3.org/1998/Math/MathML"> τ l + ∈ s l ( τ − l + ) \tau_{l}^{+}\in s_{l}(\tau_{-l}^{+}) </math>τl+∈sl(τ−l+)。

OUR PROPOSAL: LEARNING TO ACHIEVE THE SATISFACTION EQUILIBRIUM

Main Idea

应该给出函数 <math xmlns="http://www.w3.org/1998/Math/MathML"> g : A → { γ ∈ R ∣ 0 ≤ γ ≤ 1 } g:\mathcal{A}\to\{\gamma\in\mathbb{R}|0\leq\gamma\leq1\} </math>g:A→{γ∈R∣0≤γ≤1}来测量用户策略对感测分布的准确度的影响。由于平台可以获取系统中的用户数量以及用户提交的位置总数，因此我们定义:

以允许平台快速估计空间分布的感测精度 <math xmlns="http://www.w3.org/1998/Math/MathML"> σ σ </math>σ。它的直观含义是参与系统的用户数与用户提交的位置数之比。加权因子τ ∈ {w ∈ Z|0 ≤ w ≤ 1}是由平台设置的常数，以反映系统对分布不确定性的容限，其中较小的τ意味着平台对分布精度有更严格的要求，因为估计对τ的变化更敏感。

我们让 并将 <math xmlns="http://www.w3.org/1998/Math/MathML"> σ σ </math>σ改写为:

Detailed Design

概述:

在明确了用户判断是否满意的标准后，我们设计了让用户学习达到满意均衡的隐私策略的方法。因为每个用户没有关于其他用户的任何信息，例如策略、满意度约束等。，他/她不能通过理性的思考和计算达到满意的平衡。为了达到平衡，用户需要通过迭代学习过程来决定他们的隐私策略或满意度约束。为此，我们首先给出一个策略学习算法，即LEFS，针对每个给定满意度约束的用户。在这种情况下，用户需要根据他/她的满意度约束和来自平台的反馈动态地学习他/她的策略，其中策略受到满意度约束的影响。然后，我们给出了一个改进的算法，称为LSRE，它允许用户相互地和自适应地学习他们的策略和满足约束，以促进平衡追求，其中策略和约束在学习过程中相互影响。这两种算法都在用户端执行，我们提出的算法的概述可以在图3中看到。\

LEFS:固定满意度下的学习均衡

为了让用户获得尽可能好的隐私级别，我们让用户在游戏开始时选择隐私级别最大的策略。即对于每个ul，有 <math xmlns="http://www.w3.org/1998/Math/MathML"> τ l ( 0 ) = τ m a x τ^{(0)}_ l = τ_{max} </math>τl(0)=τmax。此时，用户的策略配置文件是:

形式上，我们让 <math xmlns="http://www.w3.org/1998/Math/MathML"> Δ τ l ( k ) \Delta\tau_{l}^{(k)} </math>Δτl(k)表示 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul对于第 <math xmlns="http://www.w3.org/1998/Math/MathML"> k k </math>k次迭代的策略所选择的调整步长，如式9所示：

第 k 次学习迭代中隐私调整步骤的数学期望为：

据此，算法1可以详细描述用户的策略学习过程。在该算法中，ul将位置发送到平台并接收估计精度的反馈（第1-4行）。如果 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul当前无法获得满意的传感精度，则他/她根据预定规则降低 <math xmlns="http://www.w3.org/1998/Math/MathML"> τ l τ_l </math>τl（第6-18行）。否则，如果 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l ul </math>ul获得了令人满意的准确率，他/她会做出轻微的策略调整，有利于其他人的可能性很小（第 20 - 23 行）。然后 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul请求平台获取当前用户的空间分布。

LSRE：学习满意度以达到平衡：

算法2给出了上述学习过程的详细描述。在该算法中， <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul将位置发送到平台并接收估计精度的反馈（第1-4行）。如果 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul当前无法获得满意的传感精度，则他/她以自适应步长相互降低 <math xmlns="http://www.w3.org/1998/Math/MathML"> τ l τ_l </math>τl和 <math xmlns="http://www.w3.org/1998/Math/MathML"> θ l θ_l </math>θl（第6-17行）。否则，他/她判断 <math xmlns="http://www.w3.org/1998/Math/MathML"> θ l θ_l </math>θl的降级是否过度（第19行）。如果降级幅度过大，则应进行试探性回调（第23-35行）。如果判断降级不过分，则 <math xmlns="http://www.w3.org/1998/Math/MathML"> u l u_l </math>ul向MCS平台请求用户的空间分布（第20-21行）。