19、地理图不可区分性：隐私与效用评估

地理图不可区分性：隐私与效用评估

1. Geo - Indistinguishability（GeoI）的不足

在使用道路网络时，GeoI 存在两个明显的不足，下面将从隐私评估和效用两个方面进行详细分析。

1.1 实证隐私评估

由于道路网络是公开可用的，我们假设攻击者也会利用道路网络来推断用户的实际位置。
- 攻击者模型 ：攻击者知道先验概率 $\pi_a$ 和用户使用的机制，并且能够解决任何计算复杂度的问题。当攻击者获得用户的模糊位置 $r’$ 时，会通过最优推理攻击来推断用户的真实位置。具体来说，攻击者会解决以下数学优化问题：
[
\begin{align }
&\text{minimize} {h} \sum {\hat{r},r’,r} \pi_a(r) \text{Pr}(K(r) = r’) \text{Pr}(h(r’) = \hat{r})d_p(r, \hat{r})\
&\text{subject to} \sum_{\hat{r}} h(r’)(\hat{r}) = 1, \forall r’\
&h(r’)(\hat{r}) \geq 0, \forall r’, \hat{r}
\end{align }
]
如果攻击者知道道路网络，其先验概率 $\pi_a$ 的定义域为 $V$，$d_p$ 为 $d_s$。这是一个线性规划问题，我们使用 Python 的 PuLP 库中的 CBC 求解器来解决。
- 实验 ：为