基于位置语义k-匿名的lbs隐私保护方法
【技术领域】
[000。 本发明设及一种基于位置语义K-匿名的LBS隐私保护方法。
【背景技术】
[0002] 随着移动通讯技术、定位技术、地理信息等技术的发展和互相融合,基于位置的服 务(Location-BasedService;LB巧近年来获得飞速发展。其W普适场景感知、智能信息处 理为特征,在智能交通、环境监测、物联网等领域迅速得到应用,并为该些行业带来巨大的 经济效益。然而,随着LBS的深入发展和广泛应用,隐私保护也成为LBS进一步发展亟待解 决的关键问题。根据LBS普适场景感知和智能信息处理的特征,LBS中的隐私主要分为标 识隐私(Who)、位置隐私(Where)和查询隐私(What),通常前者与后两者结合产生的位置标 识隐私和查询标识隐私更具有敏感性。
[0003] 早期的LBS隐私保护技术主要采用去除标识、使用假名标识或者标识与内容相分 离的方法,消除标识隐私和割裂位置隐私、查询隐私与标识的关联。但是,由于在实际应用 中,LBS查询中的位置信息可W充当准标识的角色,攻击者通过使用反向地理编码服务,可 W实现对用户隐私的重标识攻击,例如,如果提出服务查询时的位置匹配到一个私人别墅, 则可W很大概率的认为查询是由该别墅的主人或其家人在特定时间提出的。
[0004] 为此,借鉴数据库技术领域一种针对微数据(Microdata)发布应用中的标识隐私 保护方法;K-匿名,在学术界与工业界提出了针对LBS隐私保护的时空K-匿名方法。该方 法的基本原理是;用户不再直接将包含其真实标识、精确时空信息的服务查询请求提交给 提供位置服务的应用服务器(例如,百度地图、捜狗地图、腾讯地图、谷歌地图等),而是交 由可信的第=方(或者用户自己),将上述服务查询请求信息先转换为一个模糊化的数据 集。应用服务器基于模糊化的数据集进行相关计算,并将计算结果返回给第=方,由第=方 进行过滤相关信息后将最终精确的结果返回给用户(或者将计算结果直接返回给用户,由 用户自己进行相关的过滤计算),具体过程如图1所示。
[0005] 模糊化的数据集通常包括;系列用户假名标识、泛化的空间区域。具体的实现方法 可W采用时空邻近捜索的方式,例如;假名标识集合包括查询者假名标识W及时空临近的 其他至少K-1个对象的假名标识,泛化的空间区域由该至少K个对象的位置信息联合生成。
[0006] 时空K-匿名方法通过使用假名标识集合,使得攻击者既不能对用户的真实身份 进行识别,又无法确定哪一个假名标识是服务查询的提出者,从而实现了对LBS用户的标 识隐私W及查询标识隐私的保护。而泛化的空间区域降低了空间分辨率,还一定程度实现 了对位置隐私的保护。此后在学术界与工业界还提出了针对LBS的快照查询、连续查询的 一系列的时空K-匿名的变体方法,但该些方法存在的共性问题是;在对空间区域进行泛化 过程中,只考虑到位置的空间特性,没有对位置的语义信息进行分析,该会使得用户的位置 语义隐私具有暴露的风险。攻击者通过对时空K-匿名数据中包含位置的分析,可W实现位 置语义的同质性攻击。例如:如果模糊化的空间区域包含的所有位置具有相同的敏感语义 (精神病医院、红灯区、军事禁区等),攻击者即可做出所有匿名用户都处于位置语义敏感 区域的推断。
[0007] 因此,在时空K-匿名计算的过程中应增加对糊化的空间区域包含位置语义多样 性的限定,从而实现LBS的位置语义隐私、位置隐私、标识隐私、查询隐私的同时保护,如图 2所示。
[0008] 位置语义的获取可W通过开放的反向地理编码,兴趣点(P0I)检索等服务获取, 但是该种方式获取的位置语义通常与用户移动轨迹数据的关系不够密切。相比而言,通过 对用户移动轨迹数据分析,得到的位置语义更为准确地反映用户的行为模式。例如;在具有 秀丽风景的湖边,或者著名的地标建筑周围,人们通常会有较长时间的停留、徘徊,因此移 动轨迹的数量多也相对较多;在一些大型的购物商场,由于不能获得卫星导航信号,移动轨 迹只存在于商场的进出口处,在地图上表现为移动轨迹跨越了商场分布的空间区域;使用 车载导航系统的用户在路径导航过程中留下的移动轨迹,由于主要分布于道路网络上,因 此轨迹数据通常具有时间间隔短、空间跨度大的特点。
[0009] 此外,传统的针对用户移动轨迹数据的分析方法,主要采用W整体轨迹或分段轨 迹为单元的聚类方式,该种方法不能与时空K-匿名方法采用空间划分的方式进行有效的 融合。
【发明内容】
[0010] 为此,本发明提出了一种基于位置语义K-匿名的LBS隐私保护方法,通过分析空 间划分网格与用户移动轨迹历史数据的时空关系获取位置语义,并基于网格的位置语义生 成匿名数据集,可W实现位置语义隐私、位置隐私、标识隐私、查询隐私的同时保护。
[0011] 本发明为解决其技术问题采用如下技术方案:
[0012] 一种基于位置语义K-匿名的LBS隐私保护方法,包括:
[0013] 采用协同过滤的方法,W空间划分网格为单元,提取移动轨迹数据包含的位置语 义信息,即通过分析空间划分网格与用户移动轨迹历史数据的时空关系获取位置语义;
[0014] 然后基于网格的位置语义生成实现同时保护位置语义隐私、位置隐私、标识隐私、 查询隐私的匿名数据集。
[0015] 进一步地,位置语义挖掘的具体步骤为:
[0016] 步骤1)根据历史移动轨迹数据的空间分布范围,采用等间隔的方法进行2维几何 空间划分;
[0017] 步骤2)根据历史移动轨迹与对应的2维几何空间划分的匹配运算,得到历史移动 轨迹对应的空间格序列;
[0018] 步骤3)基于空间格序列与2维几何空间划分的匹配运算,对所有的空间格进行语 义分类,并依据用户设定的支持度阔值得到频繁的语义空间格。
[0019] 进一步地,位置语义K-匿名的具体步骤为:
[0020] 步骤4)根据位置语义K-匿名请求的时间参数,查找在指定时间范围的当前移动 轨迹数据,并与2维几何空间划分的匹配运算,得到对应的空间格序列;
[0021] 步骤5)对包含当前移动轨迹点的空间格,进行假名标识的无重复统计,并指出该 空间格相对于历史移动轨迹的频繁语义;
[0022] 步骤6)将位置语义K-匿名请求的空间坐标,与2维几何空间划分进行匹配运算, 得到对应的空间格及其相对于历史移动轨迹的频繁语义;
[0023] 步骤7)对匿名请求者空间坐标匹配的空间格,进行信息统计,检查是否满足位置 语义K-匿名对于标识隐私、位置隐私W及位置语义隐私的要求,如果满足要求则生成匿名 结果,并执行步骤9,否则执行步骤8;
[0024] 步骤8)按照逆时针方向统计并累加匿名请求者当前所在空间格的信息,并检查 是否满足隐私保护的要求,如果不能满足且累加的空间格数量尚未达到至多数量的限制, 则重复执行本操作、直至匿名成功、执行步骤9,否则执行步骤10;
[0025] 步骤9)将匿名成功的结果提交给应用服务器,由其基于模糊化的数据集进行相 关计算;
[0026] 步骤10)将不成功的信息反馈给移动用户,由其决定是放弃,还是再次执行查询。
[0027] 进一步地,空间划分的定义为:对于一个包含移动轨迹数据集的2维几何空间R2 =也I1《i《m},p康示轨迹点的空间位置,对应的一种2维几何空间划分定义为;DR2 = (Cell(col,row) 11 ^col^col_count, 1 ^row^row_count},
[002引其中,每个Cell心称为一个空间格,col, row表示空间格在几何空间平面划分 中所处的列号、行号,col_count、row_count分别是根据用户指定的空间分辨率而设定的