differen ally private loca on privacy in prac ce
play

Differen'ally Private Loca'on Privacy in Prac'ce Vincent - PowerPoint PPT Presentation

Differen'ally Private Loca'on Privacy in Prac'ce Vincent Primault Sonia Ben Mokhtar Cdric Lauradoux Lionel Brunie May 17th 2014 Loca'on-based


  1. Differen'ally ¡Private ¡Loca'on ¡ Privacy ¡in ¡Prac'ce ¡ Vincent ¡Primault ¡ Sonia ¡Ben ¡Mokhtar ¡ Cédric ¡Lauradoux ¡ Lionel ¡Brunie ¡ ¡ May ¡17th ¡2014 ¡ ¡

  2. Loca'on-­‑based ¡services ¡ 2 ¡

  3. 3 ¡

  4. Loca'on ¡privacy ¡threats ¡ Clustering ¡ White ¡pages ¡ Par'ally ¡ Anonymized ¡ re-­‑iden'fied ¡ mobility ¡ mobility ¡ Public ¡maps ¡ ... ¡ trace ¡ trace ¡ Only ¡4 ¡points ¡are ¡sufficient ¡to ¡uniquely ¡iden'fy ¡you! ¡[1] ¡ [1] ¡De ¡Montjoye ¡et ¡al. ¡ Unique ¡in ¡the ¡Crowd: ¡The ¡privacy ¡bounds ¡of ¡human ¡mobility . ¡ Scien&fic ¡reports, ¡2013. ¡ [2] ¡Golle ¡et ¡al. ¡ On ¡the ¡Anonymity ¡of ¡Home/Work ¡LocaBon ¡Pairs. ¡ Pervasive’09. ¡ 4 ¡

  5. ¡ ¡ Can ¡a ¡protec'on ¡mechanism ¡ ¡ efficiently ¡protect ¡ ¡ points ¡of ¡interest ¡of ¡a ¡user? ¡ 5 ¡

  6. Outline ¡ • Introduc'on ¡ • About ¡points ¡of ¡interest ¡ • Protec'on ¡mechanisms ¡ • Experimental ¡seYngs ¡ • Evalua'on ¡metrics ¡& ¡results ¡ • Sum-­‑up ¡ 6 ¡

  7. A ¡mobility ¡trace ¡ 7 ¡

  8. Areas ¡of ¡interest ¡ 8 ¡

  9. Points ¡of ¡interest ¡ 9 ¡

  10. Outline ¡ • Introduc'on ¡ • About ¡points ¡of ¡interest ¡ • ProtecBon ¡mechanisms ¡ • Experimental ¡seYngs ¡ • Evalua'on ¡metrics ¡& ¡results ¡ • Sum-­‑up ¡ 10 ¡

  11. Loca'on-­‑privacy ¡protec'on ¡ mechanisms ¡ Pseudonymity ¡ Spa'al ¡cloaking ¡ Mix-­‑zones ¡ k-­‑anonymity ¡ Noise-­‑based ¡ Cryptographic ¡ solu'ons ¡ protocols ¡ 11 ¡

  12. Geo-­‑indis'nguishability ¡ Real ¡loca'on ¡ Reported ¡loca'on ¡ [3] ¡Andrés ¡et ¡al. ¡ Geo-­‑indisBnguishability: ¡DifferenBal ¡privacy ¡for ¡LocaBon-­‑based ¡ Systems . ¡ CCS’13. ¡ 12 ¡

  13. Geo-­‑indis'nguishability ¡ Level ¡of ¡privacy ¡ l i ¡within ¡ r i ¡ propor'onal ¡to ¡an ¡ε ¡ Real ¡loca'on ¡ Reported ¡loca'on ¡ l4, ¡r4 ¡ l3, ¡r3 ¡ l2, ¡r2 ¡ l1, ¡r1 ¡ [3] ¡Andrés ¡et ¡al. ¡ Geo-­‑indisBnguishability: ¡DifferenBal ¡privacy ¡for ¡LocaBon-­‑based ¡ Systems . ¡ CCS’13. ¡ 13 ¡

  14. Outline ¡ • Introduc'on ¡ • About ¡points ¡of ¡interest ¡ • Protec'on ¡mechanisms ¡ • Experimental ¡seMngs ¡ • Evalua'on ¡metrics ¡& ¡results ¡ • Sum-­‑up ¡ 14 ¡

  15. Two ¡different ¡data ¡sets ¡ San ¡Francisco ¡cabs ¡ Geolife ¡ In ¡the ¡SF ¡Bay ¡Area ¡ Around ¡Beijing ¡ 1 ¡month ¡in ¡2009 ¡ 4 ¡years ¡(2007-­‑2011) ¡ 536 ¡taxis ¡ 182 ¡users ¡ 11 ¡millions ¡points ¡ 25 ¡millions ¡points ¡ Reduced ¡Geolife ¡ Around ¡Beijing ¡ 1 ¡con'nuous ¡month ¡ 61 ¡users ¡ 5 ¡millions ¡points ¡ 15 ¡

  16. POIs ¡extrac'on ¡algorithm ¡ Time-­‑ordered ¡list ¡of ¡loca'ons ¡ Mobility ¡trace ¡ 1 ¡hour ¡ ? ¡ Centroids ¡of ¡areas ¡where ¡a ¡user ¡has ¡spent ¡at ¡ ¡ Extract ¡stays ¡[4] ¡ least ¡ minTime ¡within ¡a ¡ maxDistance ¡radius ¡ Stays ¡within ¡¾ ¡ maxDistance ¡ where ¡a ¡user ¡ Group ¡nearby ¡ passed ¡through ¡at ¡least ¡ minPts ¡'mes ¡ stays ¡together ¡[5] ¡ 2 ¡'mes ¡ A ¡set ¡of ¡important ¡places ¡for ¡a ¡user ¡ POIs ¡ [4] ¡Hariharan ¡et ¡al. ¡ Project ¡Lachesis: ¡parsing ¡and ¡modeling ¡locaBon ¡histories. ¡ GIScience’04. ¡ [5] ¡Zhou ¡et ¡al. ¡ Discovering ¡Personal ¡GazeReers: ¡An ¡InteracBve ¡Clustering ¡Approach . ¡ GIS’04. ¡ 16 ¡

  17. Playing ¡with ¡distance ¡threshold ¡ SF ¡cabs ¡ Geolife ¡ Unobfuscated ¡ 250 ¡m ¡ 250 ¡m ¡ Weak ¡privacy ¡ 700 ¡m ¡ 600 ¡m ¡ Medium ¡privacy ¡ 1000 ¡m ¡ 1200 ¡m ¡ Strong ¡privacy ¡ 2000 ¡m ¡ 2500 ¡m ¡ ¡ We ¡must ¡greatly ¡increase ¡the ¡ maxDistance ¡ threshold ¡at ¡highest ¡privacy ¡levels ¡in ¡order ¡to ¡ retrieve ¡an ¡interes'ng ¡number ¡of ¡POIs. ¡ 17 ¡

  18. Outline ¡ • Introduc'on ¡ • About ¡points ¡of ¡interest ¡ • Protec'on ¡mechanisms ¡ • Experimental ¡seYngs ¡ • EvaluaBon ¡metrics ¡& ¡results ¡ • Sum-­‑up ¡ 18 ¡

  19. Measuring ¡privacy ¡ 19 ¡

  20. Recall ¡rate ¡ Recall ¡= ¡2/3 ¡ Recall ¡rate ¡is ¡the ¡ propor'on ¡of ¡real ¡POIs ¡ successfully ¡retrieved. ¡ 20 ¡

  21. Recall ¡rate ¡ SF ¡cabs ¡ Geolife ¡ Weak ¡privacy ¡ 73 ¡% ¡ 72 ¡% ¡ Medium ¡privacy ¡ 72 ¡% ¡ 71 ¡% ¡ Strong ¡privacy ¡ 71 ¡% ¡ 61 ¡% ¡ SF ¡cabs ¡ Geolife ¡ Reference ¡(unobfuscated) ¡ 1111 ¡POIs ¡ 258 ¡POIs ¡ (~ ¡2/user) ¡ (~ ¡4/user) ¡ 21 ¡

  22. Geographic ¡distance ¡ Geographic ¡distance ¡ between ¡an ¡obfuscated ¡ POI ¡and ¡the ¡nearest ¡real ¡ POI ¡ 22 ¡

  23. Cumula've ¡geographic ¡distance ¡ SF ¡cabs ¡ Geolife ¡ 23 ¡

  24. Re-­‑iden'fica'on ¡rate ¡ Scenario: ¡I ¡use ¡a ¡LBS ¡without ¡any ¡protec'on ¡and ¡ one ¡day, ¡I ¡use ¡a ¡geo-­‑indis'nguishable ¡ mechanism. ¡ ¡ Will ¡my ¡privacy ¡be ¡preserved ¡or ¡will ¡the ¡LBS ¡be ¡ able ¡to ¡link ¡my ¡obfuscated ¡trace ¡with ¡my ¡original ¡ trace? ¡ 24 ¡

  25. Re-­‑iden'fica'on ¡rate ¡ Real ¡POI ¡ Obfuscated ¡POI ¡ Distance ¡= ¡median(geographic ¡distances) ¡ 25 ¡

  26. Re-­‑iden'fica'on ¡rate ¡ Real ¡POI ¡ Obfuscated ¡POI ¡ User ¡1 ¡ User ¡1 ¡ Associate ¡to ¡each ¡ set ¡of ¡obfuscated ¡ POIs ¡the ¡set ¡of ¡ real ¡POIs ¡with ¡ User ¡2 ¡ User ¡2 ¡ which ¡it ¡has ¡the ¡ Re-­‑iden'fica'on ¡= ¡1/3 ¡ minimal ¡distance. ¡ User ¡3 ¡ User ¡3 ¡ 26 ¡

  27. Re-­‑iden'fica'on ¡rate ¡ SF ¡cabs ¡ Geolife ¡ Strong ¡privacy ¡ 6 ¡% ¡ 63 ¡% ¡ Medium ¡privacy ¡ 8 ¡% ¡ 83 ¡% ¡ Weak ¡privacy ¡ 10 ¡% ¡ 90 ¡% ¡ • Few ¡unique ¡parerns ¡in ¡SF ¡cabs ¡data ¡set, ¡ drivers ¡are ¡likely ¡to ¡have ¡a ¡similar ¡behavior. ¡ • Mobility ¡parerns ¡can ¡be ¡captured ¡in ¡Geolife ¡ and ¡act ¡like ¡a ¡fingerprint. ¡ 27 ¡

  28. Measuring ¡precision ¡ Restaurant ¡ Real ¡loca'on ¡ Reported ¡loca'on ¡ Evic'on ¡rate ¡is ¡the ¡ Evic'on ¡= ¡6 ¡/ ¡10 ¡ ra'o ¡between ¡the ¡ Precision ¡= ¡4 ¡/ ¡10 ¡ number ¡of ¡useless ¡ results ¡and ¡the ¡total ¡ 500 ¡m ¡ number ¡of ¡results. ¡ 900 ¡m ¡ ¡ Precision ¡is ¡1 ¡minus ¡ the ¡evic'on ¡rate. ¡ ¡ ¡ ¡ 28 ¡

  29. Precision ¡of ¡results ¡when ¡querying ¡LBS ¡ ¡ 40,00% ¡ 35,00% ¡ • 100 ¡points ¡sampled ¡ 30,00% ¡ from ¡the ¡SF ¡cabs ¡ 25,00% ¡ dataset ¡ 20,00% ¡ 15,00% ¡ • Use ¡a ¡" find ¡restaurants ¡ 10,00% ¡ 500 ¡meters ¡around ¡me " ¡ 5,00% ¡ query ¡against ¡ 0,00% ¡ OpenStreetMap ¡data ¡ Weak ¡ Medium ¡ Strong ¡ privacy ¡ privacy ¡ privacy ¡ 29 ¡

  30. Outline ¡ • Introduc'on ¡ • About ¡points ¡of ¡interest ¡ • Protec'on ¡mechanisms ¡ • Experimental ¡seYngs ¡ • Evalua'on ¡metrics ¡& ¡results ¡ • Sum-­‑up ¡ 30 ¡

  31. Conclusion ¡ • Protec'on ¡mechanisms ¡improve ¡privacy… ¡ – but ¡s'll ¡allow ¡to ¡infer ¡a ¡large ¡quan'ty ¡of ¡sensi've ¡ informa'on ¡(> ¡60 ¡%) ¡ – at ¡the ¡cost ¡of ¡degraded ¡performance ¡ • Difficult ¡to ¡achieve ¡a ¡trade-­‑off ¡between ¡ precision, ¡u'lity ¡and ¡performance ¡ 31 ¡

  32. Future ¡work ¡ • Study ¡the ¡exact ¡impact ¡of ¡the ¡temporal ¡ component ¡ • Inves'gate ¡if ¡dynamically ¡adap'ng ¡the ¡privacy ¡ parameter ¡can ¡help ¡ • Propose ¡counter-­‑measures ¡w.r.t. ¡our ¡ framework ¡and ¡related ¡work ¡ 32 ¡

  33. Ques'ons? ¡ 33 ¡

Recommend


More recommend