基于本地化差分隱私的電動(dòng)汽車接入充電點(diǎn)位置隱私保護(hù)

李科寰 李紅嬌 田秀霞

(上海電力大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院 上海 200090)

0 引 言

電動(dòng)汽車接入電網(wǎng)(Vehicle-to-grid,V2G)借助電動(dòng)汽車(Electric Vehicle，EV)充放電的特點(diǎn)，實(shí)現(xiàn)了電網(wǎng)與車輛的雙向互動(dòng)，能夠幫助電網(wǎng)對(duì)負(fù)荷進(jìn)行“削峰填谷”，提高電網(wǎng)的穩(wěn)定性，降低能耗以及發(fā)電成本[1]，是智能電網(wǎng)技術(shù)的重要組成部分。隨著V2G網(wǎng)絡(luò)的發(fā)展和推廣，EV用戶數(shù)量快速增加，在未來(lái)EV大量使用的情況下，可以通過(guò)分析充電點(diǎn)的狀態(tài)數(shù)據(jù)進(jìn)行新充電點(diǎn)的選址和規(guī)劃，服務(wù)提供商也將盡可能通過(guò)分析V2G發(fā)布的數(shù)據(jù)從用戶身上獲取利益，例如，應(yīng)用程序通過(guò)利用EV所處的位置和電池狀態(tài)規(guī)劃下一個(gè)充電點(diǎn)這類功能來(lái)吸引用戶，或是對(duì)用戶進(jìn)行周邊服務(wù)信息推送等。然而，某EV經(jīng)常訪問(wèn)的充電點(diǎn)位置可與其用戶的住所、工作地點(diǎn)、興趣點(diǎn)等相聯(lián)系，容易暴露具體用戶的家庭住址、健康狀況、個(gè)人偏好、社交關(guān)系和其他私人信息[2]，一旦被不懷好意的攻擊者利用，用戶將承擔(dān)個(gè)人隱私泄露的巨大風(fēng)險(xiǎn)[3]。

一方面，V2G的管理和服務(wù)提供需要數(shù)據(jù)中心收集EV接入充電點(diǎn)的位置信息并發(fā)布；另一方面，用戶對(duì)提供他們的身份和位置數(shù)據(jù)存在顧慮。因此，如何在隱私保護(hù)考慮下處理這些位置數(shù)據(jù)對(duì)于V2G發(fā)展、EV用戶的安全和EV的普及至關(guān)重要。近年來(lái)，研究人員提出的EV位置隱私保護(hù)方法可分為兩種：一種是利用匿名、假名技術(shù)對(duì)用戶的真實(shí)ID進(jìn)行隱藏，將準(zhǔn)確的位置提供給電網(wǎng)控制中心獲得服務(wù)，使非授權(quán)者無(wú)法確定用戶的真實(shí)身份[4]；另一種是對(duì)用戶的位置數(shù)據(jù)進(jìn)行擾動(dòng)等模糊化處理，隱藏部分位置信息。

目前，第一種隱藏身份的方式在V2G網(wǎng)絡(luò)中提出較多。文獻(xiàn)[5]使用部分受限盲簽名技術(shù)，EV和充電點(diǎn)通信時(shí)使用假名，只有智能電網(wǎng)服務(wù)器(第三方可信實(shí)體)可以將假名映射到真實(shí)車輛身份，當(dāng)EV從一個(gè)站移動(dòng)到另一個(gè)站時(shí)假名改變；文獻(xiàn)[6]提出一種基于計(jì)算復(fù)雜性理論的同態(tài)公鑰加密隱私保護(hù)認(rèn)證方案，通過(guò)可信第三方在EV、聚合器、充電站和電網(wǎng)控制中心之間建立通信連接，僅僅提供虛擬身份的提交注冊(cè)，只傳輸共享密鑰，令攻擊者無(wú)法通過(guò)攻破控制中心威脅用戶信息安全。

然而，上述基于身份匿名的保護(hù)機(jī)制存在兩個(gè)主要問(wèn)題：(1) 由于大多需要可信第三方存在，數(shù)據(jù)在多個(gè)實(shí)體之間共享以供分析時(shí)靈活性較差，存在密鑰托管問(wèn)題；(2) 隱私保護(hù)強(qiáng)度不足，可信第三方易受攻擊，且不能抵御背景知識(shí)攻擊。

第二種隱藏位置的方式在V2G網(wǎng)絡(luò)中應(yīng)用較少，但在眾包位置數(shù)據(jù)采集隱私保護(hù)方面已逐漸引起關(guān)注，其主要利用本地化差分隱私技術(shù)(Local Differential Privacy,LDP)將數(shù)據(jù)隱私化處理過(guò)程轉(zhuǎn)移到客戶端上，摒棄可信第三方的假設(shè)，使數(shù)據(jù)收集服務(wù)器無(wú)法得知具體個(gè)人的位置數(shù)據(jù)，僅能在擾動(dòng)后的數(shù)據(jù)上作分析統(tǒng)計(jì)，從而實(shí)現(xiàn)位置隱私保護(hù)。文獻(xiàn)[7]首先研究了LDP在室內(nèi)定位數(shù)據(jù)采集中的應(yīng)用，將室內(nèi)區(qū)域用大小相同的網(wǎng)格劃分，令B={b1,b2,…,bn}表示n個(gè)信標(biāo)ID，用戶訪問(wèn)的信標(biāo)點(diǎn)對(duì)應(yīng)位為1，其余位為0，對(duì)B進(jìn)行隨機(jī)響應(yīng)，使結(jié)果滿足本地化差分隱私，可通過(guò)結(jié)果期望最大化估算出室內(nèi)區(qū)域的人口密度。該文給出了一種空間劃分編碼的啟示，但其映射方式可表達(dá)的空間范圍較小。文獻(xiàn)[8]針對(duì)用戶不同的隱私保護(hù)需求提出了一種個(gè)性化的LDP隱私保護(hù)方法，每個(gè)用戶要求的位置隱私保護(hù)空間范圍稱為安全區(qū)域，采用LDP對(duì)安全區(qū)域內(nèi)的位置進(jìn)行擾動(dòng)，使得攻擊者識(shí)別出任一個(gè)具體用戶安全區(qū)域的概率不超過(guò)某閾值。文獻(xiàn)[9]先利用維諾格進(jìn)行路網(wǎng)分割編號(hào)，設(shè)計(jì)出一種針對(duì)路網(wǎng)空間較合理的位置數(shù)據(jù)字符串映射方法，給出一種可查詢的滿足本地化差分隱私的眾包位置數(shù)據(jù)采集方式。本文針對(duì)傳統(tǒng)身份匿名方式中存在的可信第三方依賴、未考慮基于背景知識(shí)攻擊的問(wèn)題，結(jié)合上述維諾格分割和安全區(qū)域的概念，提出一種基于LDP的EV接入充電點(diǎn)位置隱私保護(hù)方法。

對(duì)于充電點(diǎn)的位置分布空間范圍，采用基于距離變換的方法利用聚合器作為維諾格生成元生成維諾圖，一個(gè)維諾格作為一個(gè)安全區(qū)域，維諾格編號(hào)作為用戶所處充電點(diǎn)位置數(shù)據(jù)向量的一部分；對(duì)EV用戶端上傳的充電點(diǎn)位置數(shù)據(jù)進(jìn)行K-RR隨機(jī)響應(yīng)處理，通過(guò)隱私理論分析證明其滿足ε-LDP；聚合器將收集的充電點(diǎn)狀態(tài)數(shù)據(jù)發(fā)送給V2G數(shù)據(jù)中心，結(jié)果可用于估計(jì)EV接入充電點(diǎn)的位置分布。通過(guò)真實(shí)數(shù)據(jù)集上的實(shí)驗(yàn)證明本文方法與傳統(tǒng)k-匿名位置保護(hù)算法相比較在數(shù)據(jù)可用性相當(dāng)?shù)那疤嵯?，算法安全性和算法效率具有?yōu)勢(shì)。

1 本地化差分隱私保護(hù)模型

1.1 差分隱私

差分隱私[10-11]模型中，攻擊者的計(jì)算能力和所具有的背景知識(shí)無(wú)法影響模型對(duì)用戶數(shù)據(jù)的隱私保護(hù)程度。

定義1ε-差分隱私：若隨機(jī)算法A對(duì)任意一對(duì)至多只相差一條記錄的鄰近數(shù)據(jù)集D和D′及任意輸出O?Range(A)均滿足下列等式：

(1)

則稱算法A滿足ε-差分隱私，其中Pr表示概率。

差分隱私嚴(yán)格的數(shù)學(xué)定義保證了無(wú)論數(shù)據(jù)集D中是否存在單條數(shù)據(jù)記錄r，算法A的輸出都將保持幾乎一致的概率分布。實(shí)現(xiàn)差分隱私的常用機(jī)制是向真實(shí)數(shù)據(jù)添加Laplace噪聲，差分隱私參數(shù)ε越小，所提供的隱私保護(hù)強(qiáng)度越大，但同時(shí)也會(huì)給真實(shí)結(jié)果帶來(lái)更大的噪聲。

1.2 本地化差分隱私

隨著眾包數(shù)據(jù)采集的流行，LDP提出了在數(shù)據(jù)收集之前就進(jìn)行隱私保護(hù)擾動(dòng)的概念，這已經(jīng)成為繼傳統(tǒng)差分隱私技術(shù)之后一種強(qiáng)健的隱私保護(hù)模型。

定義2ε-本地化差分隱私[12-13]：若隨機(jī)算法A對(duì)任意兩個(gè)數(shù)值l和l′及任意輸出O?Range(A)均滿足下列等式：

(2)

則稱算法A滿足ε-LDP。

1.1節(jié)介紹的傳統(tǒng)的差分隱私技術(shù)將原始數(shù)據(jù)集中到一個(gè)第三方數(shù)據(jù)庫(kù)，然后在收集到的數(shù)據(jù)表上進(jìn)行差分隱私保護(hù)，也被稱為中心化差分隱私(Centralized Differential Privacy)技術(shù)。傳統(tǒng)差分隱私被證明可以應(yīng)用于有多用戶位置的信息發(fā)布，但并不適用單個(gè)用戶位置[14]。中心化差分隱私保護(hù)模型里的一個(gè)重要假設(shè)：第三方數(shù)據(jù)收集者是可信的，不會(huì)泄露用戶個(gè)人的敏感信息，數(shù)據(jù)擾動(dòng)處理發(fā)生在數(shù)據(jù)收集方。中心化差分隱私處理模型如圖1(a)所示，LDP處理模型如圖1(b)所示，它們的主要區(qū)別：LDP中不存在第三方數(shù)據(jù)收集者可信的假設(shè)，數(shù)據(jù)擾動(dòng)處理在客戶端直接進(jìn)行，每個(gè)用戶按照隱私算法對(duì)原始數(shù)據(jù)進(jìn)行擾動(dòng)，數(shù)據(jù)收集者收集到的是擾動(dòng)后的數(shù)據(jù)，并對(duì)數(shù)據(jù)分析者的查詢請(qǐng)求做出響應(yīng)。

(a) 5%空間范圍查詢(b) 10%空間范圍查詢

(a) 中心化差分隱私處理模型

(b) 本地化差分隱私處理模型圖1 差分隱私處理模型

LDP技術(shù)在客戶端直接保護(hù)敏感信息的特點(diǎn)使隱私化處理過(guò)程更加簡(jiǎn)潔明了，此外，由于每個(gè)用戶能夠掌握個(gè)人的敏感信息處理過(guò)程，也使得用戶可以根據(jù)自身需求，進(jìn)行更加個(gè)性化的隱私設(shè)置。

1.3 隨機(jī)響應(yīng)

隨機(jī)響應(yīng)是目前最常用的實(shí)現(xiàn)LDP的擾動(dòng)機(jī)制，其作為一種調(diào)查技術(shù)，用于減少在敏感問(wèn)題的情況下由被調(diào)查者的錯(cuò)誤答案引起的誤差[15]。例如，給出的敏感問(wèn)題(如：你的年齡是否超過(guò)30歲)的可選擇答案X有“是”或“否”兩種，要求總共n個(gè)被調(diào)查者根據(jù)一枚非均勻硬幣的正反面給出答案，假設(shè)其正面朝上的概率為p，反面朝上的概率為1-p，被調(diào)查者秘密查看硬幣拋擲的結(jié)果，然后回答真實(shí)答案(如果硬幣正面朝上)或虛假答案(如果硬幣反面朝上)。若真實(shí)情況為超過(guò)30歲的人占的比例為π，而調(diào)查結(jié)果中有n′人的答案為“是”，n-n′人的答案為“否”，則回答“是”或“否”的被調(diào)查者比例為：

Pr(X=“是”)=πp+(1-π)(1-p)

(3)

Pr(X=“否”)=(1-π)p+π(1-p)

(4)

對(duì)真實(shí)比例π的極大似然估計(jì)為：

(5)

(6)

(7)

因此，已知調(diào)查總?cè)藬?shù)n、回答“是”的人數(shù)n′、作出真實(shí)回答的概率p，可估計(jì)出超過(guò)30歲的人數(shù)的統(tǒng)計(jì)值，根據(jù)LDP的定義，要滿足：

隱私預(yù)算設(shè)定為：

(8)

(9)

1.4 維諾圖

定義3維諾圖(Voronoi Diagram)[17]。設(shè)點(diǎn)集P={p1,p2,…,pn}(2≤n≤∞)中的任意點(diǎn)pi(i∈{1,2,…,n})所對(duì)應(yīng)的維諾多邊形V(pi)為：

(10)

式中：H為維諾多邊形的邊的集合。則稱Vor(P)={V(p1),V(p2),…,V(pn)}為由點(diǎn)集P生成的維諾圖，如圖2所示。

圖2 維諾圖局部

維諾圖將目標(biāo)空間進(jìn)行無(wú)重疊的區(qū)域劃分，使對(duì)象與各個(gè)元素距離最小，pi稱為維諾多邊形V(pi)的生成元，維諾多邊形V(pi)的邊界被連接兩個(gè)鄰點(diǎn)的直線垂直平分，V(pi)內(nèi)的任意點(diǎn)q到該生成元pi的距離小于到其他生成元的距離，處于邊界的點(diǎn)到包含這條邊界的維諾格生成元的距離相等。

本文算法將V2G網(wǎng)絡(luò)中的EV聚合器作為維諾圖生成元進(jìn)行劃分編號(hào)，原因?yàn)椋?/p>

1) 符合V2G網(wǎng)絡(luò)結(jié)構(gòu)中一個(gè)聚合器管理多個(gè)充電點(diǎn)的結(jié)構(gòu)特性，每個(gè)維諾格內(nèi)都有EV訪問(wèn)的充電點(diǎn)，每個(gè)EV訪問(wèn)的充電點(diǎn)都處于維諾格中，維諾格編號(hào)作為用戶所處充電點(diǎn)位置數(shù)據(jù)字符串的一部分，不需擾動(dòng)，使聚合器直接得知一個(gè)維諾格內(nèi)接入的真實(shí)EV總數(shù)。

2) 一個(gè)維諾格作為用戶的一個(gè)安全區(qū)域，訪問(wèn)每個(gè)聚合器管理區(qū)域中的EV用戶分布較為均勻，聚合器可以將維諾格變動(dòng)快速告知充電點(diǎn)，便于數(shù)據(jù)管理。

2 位置數(shù)據(jù)隱私保護(hù)算法

EV接入充電點(diǎn)進(jìn)行充放電時(shí)，需要用戶提供ID，一個(gè)聚合器管理多個(gè)充電點(diǎn)，聚合器處收集的充電點(diǎn)狀態(tài)數(shù)據(jù)包括接入的EV用戶ID和充電點(diǎn)位置ID。本節(jié)根據(jù)充電點(diǎn)狀態(tài)數(shù)據(jù)的特點(diǎn)，介紹EV接入充電點(diǎn)位置數(shù)據(jù)的LDP保護(hù)算法。

2.1 充電點(diǎn)位置空間的維諾格劃分

文獻(xiàn)[11]針對(duì)路網(wǎng)空間進(jìn)行維諾格劃分時(shí)使用了逐點(diǎn)加入法，通過(guò)對(duì)維諾圖進(jìn)行局部修改來(lái)生成新的維諾圖。逐點(diǎn)加入法構(gòu)造簡(jiǎn)單但存儲(chǔ)復(fù)雜，在對(duì)充電點(diǎn)進(jìn)行維諾格劃分的問(wèn)題上，充電點(diǎn)的分布不規(guī)律，生成的計(jì)算較復(fù)雜，因此，本文在維諾格劃分上采用基于距離變換的維諾圖柵格算法。

將n個(gè)聚合器位置坐標(biāo)集表示為P={p1,p2,…,pn}，作為維諾圖的生成元，要保證劃分后每個(gè)充電站的位置到所屬維諾格內(nèi)聚合器的位置距離比到其他聚合器內(nèi)的距離都小。首先定義兩個(gè)聚合器柵格p1(x1,y1)與p2(x2,y2)之間的歐氏距離為：

(11)

計(jì)算出每個(gè)聚合器pi(1≤i≤n)與和自身相鄰的聚合器之間的歐氏距離，某聚合器柵格Pk(1≤k≤n)的隸屬編碼定義為距其最近的柵格的編碼，重復(fù)上述步驟直到所有的聚合器柵格皆被檢索完畢，一個(gè)聚合器坐標(biāo)生成一個(gè)維諾格，得到充電站位置所在空間分布的維諾圖。利用上述維諾圖柵格算法在本文所用實(shí)驗(yàn)數(shù)據(jù)集上得到的空間區(qū)域劃分結(jié)果(以15個(gè)聚合器為例)如圖3所示。

圖3 充電站分布的維諾圖分割空間

V2G數(shù)據(jù)中心存儲(chǔ)維諾圖信息并給每個(gè)聚合器發(fā)放分組信息G={Vi,m,〈loc0,loc2,…,locm-1〉}，其中：Vi為聚合器管理的維諾格編碼；m為該聚合器內(nèi)充電點(diǎn)的個(gè)數(shù)；〈loc0,loc2,…,locm-1〉為充電點(diǎn)的位置ID。

2.2 基于LDP的EV接入充電點(diǎn)位置數(shù)據(jù)隱私保護(hù)

基于LDP的EV接入充電點(diǎn)位置隱私保護(hù)模型如圖4所示。模型包括兩個(gè)主要部分：客戶端和服務(wù)器端?？蛻舳藶镋V用戶移動(dòng)設(shè)備，完成滿足LDP的充電站位置ID數(shù)據(jù)隨機(jī)響應(yīng)；服務(wù)器端為V2G數(shù)據(jù)中心，完成維諾格劃分和編號(hào)以及查詢結(jié)果的估計(jì)與發(fā)布。兩者之間進(jìn)行通信的聚合器除了作為維諾格生成元，還對(duì)一個(gè)維諾格的所有充電點(diǎn)狀態(tài)數(shù)據(jù)進(jìn)行聚合以及保存維諾格劃分信息。下面介紹客戶端的隨機(jī)響應(yīng)過(guò)程和服務(wù)器端的接收過(guò)程，結(jié)果可用于估計(jì)EV通過(guò)充電點(diǎn)接入V2G的分布。

圖4 基于LDP的EV接入充電點(diǎn)位置隱私保護(hù)模型示意圖

(1) 客戶端。EV接入充電點(diǎn)充放電時(shí)，其所處的維諾格作為一個(gè)基本的安全區(qū)域，充電點(diǎn)為其提供該安全區(qū)域內(nèi)所有充電點(diǎn)的位置ID數(shù)據(jù)〈loc0,loc1,…,locm-1〉，其中l(wèi)ock(0≤k≤m-1)為此充電點(diǎn)位置，根據(jù)K-RR隨機(jī)響應(yīng)，給定隱私參數(shù)ε，每輛接入的EV以如下概率上傳自己位置數(shù)據(jù)loci(0≤i≤m-1)：

(12)

則安全區(qū)域內(nèi)某一EV的真實(shí)ID應(yīng)與其真實(shí)接入充電點(diǎn)ID在一定概率下無(wú)法對(duì)應(yīng)。

(2) 服務(wù)器端。在接收一定時(shí)間段內(nèi)EV接入充電點(diǎn)的位置數(shù)據(jù)后，服務(wù)器將其存儲(chǔ)在數(shù)據(jù)庫(kù)中以供將來(lái)分析。令R(〈Vi,lock〉,ts)表示數(shù)據(jù)庫(kù)中的表，其中：〈Vi,lock〉是某一聚合器管理的安全區(qū)域內(nèi)的充電點(diǎn)接入狀態(tài)，lock為有EV接入的充電點(diǎn)，ts表示收集該狀態(tài)信息的時(shí)間戳。服務(wù)器收集到該狀態(tài)信息時(shí)按照時(shí)間戳ts將記錄〈Vi,lock〉插入表R(〈Vi,lock〉,ts)中。

綜上，本文設(shè)計(jì)的滿足LDP的EV接入充電點(diǎn)位置數(shù)據(jù)隱私保護(hù)算法如算法1所示。

算法1滿足LDP的EV接入充電點(diǎn)位置數(shù)據(jù)隱私保護(hù)算法

輸入：聚合器位置坐標(biāo)集P={P1,P2,…,Pn}，隱私參數(shù)ε，空間計(jì)數(shù)查詢范圍Range。

輸出：空間計(jì)數(shù)查詢結(jié)果Q(Range)。

1.控制中心將P用維諾圖劃分，對(duì)每個(gè)聚合器Vi發(fā)放G={Vi,m,〈loc0,loc2,…,locm-1〉}；

2.充電點(diǎn)告知EV所處安全區(qū)域內(nèi)所有充電點(diǎn)位置〈loc0,loc1,…,locm-1〉；

3.for each用戶ui：

4.獲得自身所處充電點(diǎn)位置lock；

5.生成位置向量L={loc0,loc1,…,lock,…,locm-1}；

6.以概率Pr(loci|lock)上傳lock或loci(i≠k)到聚合器；

7.for each聚合器Vi：

8.將一定時(shí)間段內(nèi)有EV接入的充電點(diǎn)lock加上編號(hào)Vi和時(shí)間戳ts發(fā)送給服務(wù)器端；

9.end for

10.服務(wù)器端估算Q(Range)

11.end

2.3 隱私性和可用性分析

2.3.1隱私性分析

定理1算法1滿足ε-LDP。

證明設(shè)一個(gè)維諾格區(qū)域內(nèi)充電點(diǎn)總數(shù)為m，接入的EV總數(shù)為n，在給定隱私參數(shù)ε下，接入該維諾格內(nèi)充電點(diǎn)的EV發(fā)送真實(shí)充電點(diǎn)位置lock的概率為:

(13)

式中：LP表示概率的最大似然估計(jì)。

同理，發(fā)送其余m-1個(gè)虛假位置中任意一個(gè)的概率為:

(14)

則有:

(15)

2.3.2 可用性分析

本節(jié)分析收集到的位置數(shù)據(jù)可用性，即能否得出EV空間計(jì)數(shù)值的無(wú)偏估計(jì)。V2G數(shù)據(jù)中心服務(wù)器估算Q(Range)時(shí)，查詢范圍存在完全覆蓋k個(gè)維諾格區(qū)域的部分和僅覆蓋內(nèi)部一部分區(qū)域的部分，考慮查詢中涉及的兩種類型的空間范圍：

1)Q(Range)的空間范圍完全覆蓋k個(gè)維諾格的區(qū)域：控制中心直接根據(jù)k個(gè)聚合器發(fā)送的數(shù)據(jù)表記錄總數(shù)確定Q(Range)的EV計(jì)數(shù)值k|R|，其中R表示范圍。

2)Q(Range)的空間范圍只覆蓋一個(gè)維諾格部分的區(qū)域：控制中心處根據(jù)收集到的位置應(yīng)答分布以及預(yù)設(shè)的真實(shí)應(yīng)答概率Pr[LP(loci,n,ε)=lock]估計(jì)查詢結(jié)果的具體流程如下。

(1) 假設(shè)某維諾格內(nèi)部區(qū)域Range中接入的電動(dòng)汽車用戶數(shù)占所處聚合器管理區(qū)域內(nèi)用戶總數(shù)的比例為π，則發(fā)送真實(shí)位置的用戶比例及發(fā)送假位置的用戶比例分別為：

(16)

(2) 根據(jù)極大似然估計(jì)法構(gòu)建似然函數(shù)如下：

L=[πP+(1-π)(1-P)ni][(1-π)P+

π(1-P)](n-ni)

(17)

式中：ni表示響應(yīng)在某維諾格內(nèi)部空間范圍Range中的用戶個(gè)數(shù)；n為某時(shí)間段內(nèi)該聚合器管理區(qū)域內(nèi)用戶的總數(shù)。

(3) 對(duì)兩邊分別取對(duì)數(shù)后求導(dǎo)，令導(dǎo)數(shù)為零，可得到關(guān)于π的極大似然估計(jì)為：

(18)

(19)

當(dāng)Q(Range)涉及的空間范圍同時(shí)包含k1個(gè)完整維諾格區(qū)域和k2個(gè)維諾格內(nèi)部區(qū)域時(shí)，空間計(jì)數(shù)值可表示為：

(20)

3 實(shí) 驗(yàn)

在真實(shí)充電站數(shù)據(jù)集上利用本文所提出的基于LDP的EV接入充電點(diǎn)位置數(shù)據(jù)隱私保護(hù)算法處理數(shù)據(jù)后，進(jìn)行空間范圍查詢，并與基于泛化的k-匿名算法[19]對(duì)比，根據(jù)查詢結(jié)果范圍的相對(duì)誤差以及查詢的運(yùn)行時(shí)間來(lái)驗(yàn)證算法的可用性和算法效率。

3.1 充電站數(shù)據(jù)集

實(shí)驗(yàn)采用愛(ài)爾蘭充電站狀態(tài)數(shù)據(jù)集，該數(shù)據(jù)集記錄了從2017年至2019年的愛(ài)爾蘭電動(dòng)汽車充電站的接入訪問(wèn)狀態(tài)，可反映出一定時(shí)間段內(nèi)電動(dòng)汽車接入充電站的位置分布，該數(shù)據(jù)每五分鐘收集一次，內(nèi)容包括愛(ài)爾蘭163個(gè)充電站的ID、類型、訪問(wèn)狀態(tài)、經(jīng)緯度坐標(biāo)，充電站的總體位置分布如圖5所示。

圖5 愛(ài)爾蘭電動(dòng)汽車分布地理位置

3.2 實(shí)驗(yàn)環(huán)境

實(shí)驗(yàn)采用的計(jì)算機(jī)為Intel i5 處理器，8 GB內(nèi)存，Windows 10(64位)操作系統(tǒng)，所有算法由Python語(yǔ)言實(shí)現(xiàn)。本文在實(shí)驗(yàn)數(shù)據(jù)集上對(duì)算法的范圍查詢相對(duì)誤差及算法運(yùn)行時(shí)間分別進(jìn)行了測(cè)試。

3.3 實(shí)驗(yàn)數(shù)據(jù)預(yù)處理

實(shí)驗(yàn)主要提取數(shù)據(jù)集中的充電站ID、經(jīng)緯度坐標(biāo)和訪問(wèn)狀態(tài)，對(duì)只停放而未接入充電點(diǎn)的狀態(tài)數(shù)據(jù)進(jìn)行剔除，預(yù)處理之后的實(shí)驗(yàn)數(shù)據(jù)集屬性如表1所示。原始數(shù)據(jù)集中并未給出聚合器的位置與數(shù)量，故采用K-means[18]方法對(duì)充電點(diǎn)位置聚類，產(chǎn)生的聚類簇中心為聚合器位置，通過(guò)調(diào)整聚類簇?cái)?shù)量來(lái)測(cè)試一個(gè)安全區(qū)域內(nèi)充電點(diǎn)狀態(tài)數(shù)據(jù)的稀疏程度對(duì)實(shí)驗(yàn)結(jié)果的影響。

表1 實(shí)驗(yàn)數(shù)據(jù)集屬性

3.4 實(shí)驗(yàn)結(jié)果分析

算法的隱私保護(hù)強(qiáng)度已在定理1中證明，實(shí)驗(yàn)主要驗(yàn)證算法的相對(duì)誤差及運(yùn)行時(shí)間，并與傳統(tǒng)的基于k-匿名的方法進(jìn)行了對(duì)比。

3.4.1空間范圍相對(duì)誤差

使用相對(duì)誤差[20]來(lái)衡量空間范圍查詢的精確度，相對(duì)誤差表示為：

圖6顯示了EV接入充電點(diǎn)位置的查詢結(jié)果相對(duì)誤差?？梢钥闯?，隨著查詢范圍的增大，算法的查詢精度得到提高，這是因?yàn)殡S著查詢選擇范圍的增大，用戶應(yīng)答范圍選擇性減小，ε增大，給真實(shí)結(jié)果注入的噪聲變小，造成查詢相對(duì)誤差逐漸減小。當(dāng)查詢范圍固定時(shí)，算法的查詢精度隨著聚合器數(shù)量的增加而提高，這是因?yàn)榫酆掀鲾?shù)量越多，EV對(duì)充電點(diǎn)的接入位置數(shù)據(jù)越密集，響應(yīng)的位置距離真實(shí)位置越接近。

(c) 15%空間范圍查詢(d) 20%空間范圍查詢

(e) 25%空間范圍查詢圖6 EV接入充電點(diǎn)位置查詢結(jié)果相對(duì)誤差

表2對(duì)比了k-匿名算法泛化模糊充電點(diǎn)位置數(shù)據(jù)與本文提出的ε-LDP算法的空間范圍查詢誤差率結(jié)果，其中ε-LDP算法空間范圍大小為實(shí)驗(yàn)數(shù)據(jù)集所在空間面積的25%，聚合器數(shù)量為15個(gè)。根據(jù)充電點(diǎn)的總數(shù)163個(gè)，當(dāng)k-匿名的參數(shù)k為10時(shí)，匿名區(qū)域泛化為至少擁有10個(gè)充電點(diǎn)的空間范圍，與ε-LDP算法的15個(gè)維諾格內(nèi)充電點(diǎn)數(shù)量相當(dāng)?？梢钥闯?，兩種算法在對(duì)比結(jié)果中查詢相對(duì)誤差率相當(dāng)，而本文算法所基于的LDP技術(shù)的優(yōu)勢(shì)在于不需要第三方先收集原始數(shù)據(jù)集，也無(wú)須考慮攻擊者擁有的背景知識(shí)，能對(duì)用戶接入位置提供更加徹底的隱私保護(hù)。

表2 查詢誤差率對(duì)比

3.4.2運(yùn)行時(shí)間

根據(jù)V2G網(wǎng)絡(luò)中控制中心定期發(fā)布匯聚數(shù)據(jù)的特點(diǎn)，分別提取了1、3、5、7天的數(shù)據(jù)作為新的4個(gè)數(shù)據(jù)集，在這四個(gè)數(shù)據(jù)集上分別進(jìn)行500次20%空間范圍查詢后取平均值。由圖7可以看出運(yùn)行時(shí)間基本隨數(shù)據(jù)量的增大而線性增長(zhǎng)；7天內(nèi)控制中心處接收到的狀態(tài)數(shù)據(jù)有328 608條，運(yùn)行時(shí)間在11 s內(nèi)。

圖7 不同數(shù)據(jù)量的查詢運(yùn)行時(shí)間對(duì)比

表3在真實(shí)數(shù)據(jù)集上將本文算法與k-匿名算法運(yùn)行時(shí)間作了對(duì)比，本文算法使用20%空間范圍查詢，其中：ε是LDP算法中的隱私預(yù)算參數(shù)，ε越小隱私保護(hù)度越大；k是k-匿名算法中與隱私保護(hù)程度相關(guān)的參數(shù)，k越大隱私保護(hù)度越大。可以看出ε-LDP算法在實(shí)際數(shù)據(jù)集上的運(yùn)行時(shí)間不受設(shè)置的隱私預(yù)算參數(shù)ε影響，原因是參數(shù)ε只影響算法效用性，而不影響算法的運(yùn)行時(shí)間；而k-匿名算法則隨著隱私保護(hù)程度提高運(yùn)行時(shí)間也增加。可以說(shuō)明在實(shí)際數(shù)據(jù)集上ε-LDP算法的運(yùn)行效率更高。

表3 算法運(yùn)行時(shí)間對(duì)比

4 結(jié) 語(yǔ)

本地化差分隱私(LDP)技術(shù)是目前眾包數(shù)據(jù)采集中最先進(jìn)的隱私保護(hù)技術(shù)。隨著V2G網(wǎng)絡(luò)的發(fā)展，數(shù)據(jù)隱私保護(hù)要求提升，本文首次提出將LDP技術(shù)應(yīng)用于EV通過(guò)充電點(diǎn)接入V2G時(shí)的位置隱私保護(hù)，以聚合器位置為生成元對(duì)充電站分布空間進(jìn)行了維諾圖劃分，使用戶的位置數(shù)據(jù)向量在客戶端處就進(jìn)行K-RR隨機(jī)響應(yīng)處理。通過(guò)隱私的理論分析和真實(shí)數(shù)據(jù)集上的實(shí)驗(yàn)結(jié)果驗(yàn)證了LDP方法在充電位置數(shù)據(jù)隱私保護(hù)問(wèn)題方面與k-匿名算法比較，在可用性相當(dāng)?shù)那闆r下，算法安全性和效率更佳。下一步將考慮利用LDP直接在客戶端處進(jìn)行隱私保護(hù)的特點(diǎn)，為EV用戶對(duì)數(shù)據(jù)不同的隱私需求程度個(gè)性化地設(shè)置隱私參數(shù)ε，以提供更好的需求服務(wù)。