白泽带你读论文丨Privacy in Urban Sensing with Instrumented Fleets

如需转载请注明出处，侵权必究。

Privacy in Urban Sensing with Instrumented Fleets, Using Air Pollution Monitoring As A Usecase

本文发表在NDSS 2022，第一作者是来自印度理工学院德里分校的Ismi Abidi。

文章以安装在出租车上的空气污染检测传感器为例，研究城市中车队服务相关的隐私问题。

背景

在城市中可以通过在出租车上配备空气质量监测传感器来实时获取各个区域的空气质量状况，同时出租车公司向用户提供一个空气质量查询系统，用户可以向出租车公司查询他所感兴趣位置的空气质量。如下图1所示，城市地图可以被网格化成许多小方格，地图中深色方格是图中出租车采集的空气质量数据，当用户向查询系统请求查询时，如果查询位置有采集的空气质量数据，则系统返回真实的空气质量值，如果该查询位置没有被车经过，从而没有收集过数据，则服务器返回None。

图1

主要内容

1.威胁模型与隐私问题

这种场景下存在哪些隐私问题呢？文章给出了威胁模型如图2所示：该场景中存在两方角色，数据提供方和数据使用方。

数据提供方：包括带有传感器的出租车队和出租车公司，出租车队能收集空气质量数据上传给公司，公司提供查询系统，接收用户请求，提供空气质量查询服务。

数据使用方：分为普通用户，环境研究机构和车队竞争公司3种角色。普通用户可能会进行偶发查询，比如用户某一天想了解自己的上班路途空气质量时，才会进行查询；环境研究机构出于不同研究目的，可能会进行频繁大量的查询，并且需要被告知查询结果的准确性；车队竞争公司可以冒充成普通用户访问查询系统，如上文所说，查询的响应会暴露出租车的行驶轨迹，竞争公司可以通过查询知道该公司的车队部署策略，从而调整自己的策略赚取更多利润。

隐私问题包括两方面：1.数据提供方可以通过客户查询知道客户的位置偏好；2.数据使用方可能是竞争公司，通过查询可以知道车队位置信息（即部署策略）。

图2

2.隐私保护方案

作者指出两个隐私问题后，旨在提出隐私与可用性平衡的隐私保护方案。通过分析，递进地提出了高斯过程回归插值、差分隐私和安全两方计算的隐私保护方案。

2.1高斯过程回归插值

首先作者指出使用高斯过程回归(Gaussian Process Regression，GPR)对传感器数据进行插值计算，使得地图网格内任意位置输出的查询值都与所在网格质心相同，不会暴露车辆的位置。为了提高查询系统可用性，查询系统还会返回GPR的后验方差作为置信度，用户根据置信度决定是否接收这个查询结果（这点对环境研究机构非常重要）。

2.2差分隐私

然而尽管GPR均值能使得查询结果不暴露车辆位置隐私，但作者发现GPR后验方差与传感器位置直接相关，在传感器密集地方的后验方差低于传感器稀疏地方，由此可以推测车辆的分布情况，如图3，GPR后验方差的可视化结果会直接泄露车辆位置信息。因此作者又提出使用差分隐私手段保护GPR后验方差，通过向后验方差中增加有界拉普拉斯噪声来弱化信息映射关系。

图3

2.3安全两方计算

然而作者对加噪后的数据可用性进行评估，发现很难找到一个平衡点保证带噪情况下查询结果可以令人满意。如下图4，当加噪比较少时（a图）不能保护车辆位置，当加噪比较多时，查询结果基本不可用。

图4

最终作者提出基于混淆电路的安全两方计算方案，用户和服务器彼此可以不知道输入，但都可以输入到一个函数中进行计算以完成查询。

作者提出安全两方计算协议Prac2PC一共有6步实现：

1.输入生产：用户通过一个混淆矩阵映射地图网格，生成一个01向量，每一维度对应地图中一个网格，用户将关心的网格位置对应设置值为1，否则为0。

2.查询请求：用户向服务器发送查询函数类型，可以查询最大值、最小值、平均值、计数值和范围值任一种，同时提供混淆矩阵的对角线两个顶点坐标（用于定位）。

3.混淆电路生成：用户和服务器都各自有坐标和网格 ID 的映射，在接收查询时，服务器将用户传输的坐标转化得对应的网格id，得到对应的混淆矩阵，然后将矩阵中每个网格的真实污染值作为安全计算的输入，并且生成对应查询类型的逻辑电路。

4.电路传输：服务器将生成的混淆电路加密后传输给用户,以及发送一些混淆假值。

5.不经意传输：用户采取不经意传输方式，即除了真实查询请求外还向服务器发起许多虚假查询请求，让服务器无法知道用户的查询偏好。

6.评估: 用户收到服务器发送的值和混淆电路后，自行进行计算并评估是否相信这个查询结果。

3.实验评估

从理论设计上，作者证明了Prac2PC能实现保护两方隐私。在实验阶段，作者通过构建一个端到端系统，从时延、带宽、CPU利用率等方面评估此方案的实际影响，证明此方案具有较好的可用性，实现了隐私与可用性权衡的目标。

总结

文章研究现实中空气污染监测与查询场景中隐私与可用性平衡问题，并且提出服务器和客户端都有严格的隐私要求。同时通过实证分析发现在追求权衡的情况下，服务器、客户端和客户端实用程序的隐私要求不能同时最大化满足。然后文中递进式设计了使用GPR插值、差分隐私和安全两方计算的隐私保护方案，并通过构建一个端到端系统，验证此方案在可接受的延迟、带宽和开销下能实现隐私保护，展示了其所提出方案的实际有效性。

Q&A

Q1. 城市空气质量也可以通过静态部署传感器进行检测，那相比于静态部署传感器，公共车辆装载传感器检测空气质量的优势是什么？

A1.相比于城市静态部署的传感器，利用在公共车辆上部署传感器能够获得更大覆盖范围的空气质量数据，和更细时间粒度的检测结果。

Q2.作者提出的隐私保护方案(GPR、差分隐私和安全两方计算)中，哪些方案或方案中哪些步骤是为了保护用户/车队公司隐私，具体保护了什么隐私？

A2.GPR和差分隐私分别通过均值计算和加盐来保护了车队公司的车辆具体位置隐私。在安全两方计算中，混淆矩阵和不经意传输模糊了用户的查询偏好，保护用户隐私，混淆电路使车队公司不用直接提供真实查询值，保护了车队公司隐私。

Q3.作者是如何递进式设计隐私保护方案的？

A3.作者每次提出一种隐私保护方法后，会考虑该方法的可用性和隐私保护能力，并进一步优化得出可用性和隐私性平衡更佳的隐私保护方法。作者一开始采用简单的GPR插值来保护车辆位置隐私，然而发现GPR后验方差泄露车辆隐私，进而提出使用差分隐私保护GPR后验方差，但发现差分隐私下查询系统可用性降低，进而设计安全两方计算，在使用GPR、差分隐私的基础上，基于混淆电路计算提供用户一对一查询和反馈。

文案：卢苇

戳“阅读原文”即可查看论文原文哦~

复旦白泽战队

一个有情怀的安全团队

还没有关注复旦白泽战队？

公众号、知乎、微博搜索：复旦白泽战队也能找到我们哦~

原文始发于微信公众号（复旦白泽战队）：白泽带你读论文丨Privacy in Urban Sensing with Instrumented Fleets