(19)国家知识产权局 (12)发明 专利申请 (10)申请公布号 (43)申请公布日 (21)申请 号 202210678760.2 (22)申请日 2022.06.15 (71)申请人 中国矿业大 学 地址 221116 江苏省徐州市大 学路1号中国 矿业大学 申请人 徐州市第一人民医院 (72)发明人 闵明慧　朱浩鹏　杨爽　李世银　 王洪梅　丁继存　 (74)专利代理 机构 南京瑞弘专利商标事务所 (普通合伙) 32249 专利代理师 李悦声 (51)Int.Cl. G06F 21/62(2013.01) G06T 17/05(2011.01) (54)发明名称 一种基于差分扰动 的个性化三维空间位置 隐私保护方法 (57)摘要 本发明公开一种基于差分扰动的个性化三 维空间位置隐私保护方法， 属于位置服务与信息 安全领域。 将三维空间地理不可区分性与 期望推 断误差概念结合实现了用户位置隐私的个性化 保护： 用户根据自身隐私需求选择位置隐私保护 处理， 通过三维拉普拉斯加噪机制对真实位置进 行扰动， 基于三维空间地理不可区分性与 期望推 断误差的关系， 推导理论边界 ， 基于三维 Hilbertcurve最小距离搜索算法选择个性化位 置保护集， 针对位置保护集应用指数机制生成概 率分布矩阵释放伪位置。 本方法步骤简单， 保护 灵活性高， 通过设置不同 隐私预算和期望推理边 界误差能满足用户在不同三维空间场景下个性 化隐私保护需求， 平衡位置隐私与服 务质量。 权利要求书3页 说明书6页 附图2页 CN 114969824 A 2022.08.30 CN 114969824 A 1.一种基于 差分扰动的个性 化三维空间位置隐私保护方法， 其特 征在于步骤如下： 步骤1： 根据用户对自身隐私需求情况选择不同的隐私保护方案， 若用户需要保护个人 位置隐私， 则直接将用户的真实位置发送给LBS服务器， 若用户需要保护个人位置隐私， 则 根据用户选择不同的位置期望推断误差位置以实现用户真实位置的多种隐私处 理方案； 步骤2： 多种隐私处理方案首先利用三维空间地理的不可区分性考虑全局隐私预算， 采 用三维拉普拉斯加噪机制对用户的真实位置进行扰动； 步骤3： 利用期望推断误差结合三维空间地理不可区分性， 推导攻击者期望推断误差的 理论边界； 步骤4： 基于三维Hilbert  curve最小距离搜索算法通过边界误差限定后搜索的位置保 护集定义 为个性化位置保护集Φ； 步骤5： 应用位置扰动机制 对个性化位置保护集Φ生成一个概率分布矩阵， 通过设定 不同的隐私参数Em， 推断攻击者对用户位置的推 断误差下界以限制攻击者的推 断范围， 并 结合隐私预算实现不同的隐私需求的个性化调整， 用户端利用指数机制生成扰动位置的概 率分布矩阵向LBS服 务器发布伪位置， 从而实现位置隐私的保护。 2.根据权利要求1所述的一种基于差分扰动的个性化三维空间位置隐私保护方法， 其 特征在于利用下式获取三维拉普拉斯加噪机制的概 率密度函数： 基于三维空间中的地理不可区分机制， 三维空间中所有 位置x和y满足参数∈g地理不可 区分机制： 用户使用三维拉普拉斯扰动机制将实际位置x映射到伪位置x ′， 概率分布为f； d3(x， y) 为三维空间中位置x与空间中另一个位置y之 间的欧氏距离， 三 维空间地理不可区分性确保 在三维空间中地理相接近 的两个位置生成的假位置具有相似的概率分布， 参数∈g由隐私 预算∈和以用户为中心的范围决定： 设∈＝∈g·D， 其中D是球体保护区域的直径， 球体保 护区域的所有位置都有相似的概率分布， 并在地理上无法区别； 将直径为D的球体保护区域 定义为保护区， 球体保护区域内的所有位置即为保护位置集， 对于任何在位置保护集中的 两个位置x和位置y都满足∈地理不可区分性差分隐私： 其中， ∈是隐私预算， 三维拉普拉斯扰动机制使三 维空间中所有 伪位置 满足∈的地理不可区分性， 其中x为用户真实位置， y定义为三 维空间中另一个位置， x ′为扰 动位置， x ′不在保护区中， 为真实位置的可能的集 合， 为扰动后伪位置的集 合。 3.根据权利要求2所述的一种基于差分扰动的个性化三维空间位置隐私保护方法， 其 特征在于： 利用三维空间地理不可区分性保证三 维空间中的任意两个地理相近的位置生成 的扰动位置的概率分布是相似的， 隐私预算∈和以用户位置的分布通过中心的半径为d3 (x， x′)的球体保护区域决定， 利用半径为d3(x， x′)的球体空间内的用户位置使用户的真实 位置得到隐匿。权　利　要　求　书 1/3 页 2 CN 114969824 A 24.根据权利要求1所述的一种基于差分扰动的个性化三维空间位置隐私保护方法， 其 特征在于步骤3中具体包括以下步骤： 步骤3.1： 通过计算作为条件期望的攻击者推断位置x ′， 从而计算出攻击者推断误差： 其中， Pr(x|x ′)是攻击者观测到伪位置x ′生成真实 位置x的后验概 率分布， 表达式为： 步骤3.2： 将三维空间地理不可区分性与期望推断误差结合以限定攻击者推断出用户 位置的推断误差范围， 通过设置不同的误差边界以实现用户个性 化隐私保护需求。 5.根据权利要求4所述的一种基于差分扰动的个性化三维空间位置隐私保护方法， 其 特征在于步骤3.2中具体步骤如下： 步骤3.2.1： 考虑在攻击者拥有先验信息π的情况下， 最坏情况是攻击者推断的用户真 实位置包括在保护位置集中， 得到期望推断误差下界： 定义参数 步骤3.2.2： 对于观察的伪位置得到条件期望误差ExpEr(x ′)， 通过期望误差下界得到 如下关系式： ExpEr(x′)≥e‑∈E(Φ)    (6) 步骤3.2.3： 引入隐私参数Em， 使用户可以根据自己不同的隐私需求或当前位置敏感性 调整无条件预期推断误差的下界， 如下式(7)所示： E(Φ)≥e∈Em    (7) 步骤3.2.4： 为了提 高用户的位置服务质量， 球体保护区域的直径越小越好， 由于D(Φ) 是Φ的直径， 因此个性化位置保护集Φ中任意两个位置之间的距离都小于或等于D(Φ)即 根据公式(7)得到： 6.根据权利要求1所述的一种基于差分扰动的个性化三维空间位置隐私保护方法， 其 特征在于步骤4中具体步骤如下： 步骤4.1： 利用三维Hilbert  curve将三维空间的位置数据映射到一维值H(x)， 将所有 可能位置 映射为H(x)并进行数值排序， 再把位置x按其对应的H(x)数值大小进行排序， 位 置x在 中的序号标为R(x)； 步骤4.2： 对于给定的用户真实位置x， 按照三维曲线 的搜索方向以探索x 的领域空间， 并找到满足 公式(7)关于用户真实位置x的位置保护集的要求；权　利　要　求　书 2/3 页 3 CN 114969824 A 3