一种空间数据联邦的隐私保护范围聚合查询方法

本发明涉及空间数据联邦信息服务领域，尤其涉及一种空间数据联邦的隐私保护范围聚合查询方法。

背景技术：

1、在基于空间数据的位置信息服务(location-based service，lbs)中，为了提高服务质量，几个数据持有者(data owner，do)倾向于联合起来共享彼此之间的数据信息，对外提供查询服务，从而组成数据联邦。空间数据联邦与普通场景的区别在于最终的查询结果是由多个do联合起来回答的聚合最优结果，而不是单个do。例如，在回答“某个坐标位置2公里范围内有多少辆共享单车”时，共享单车位置服务商(location-based serviceprovider，lbsp)可以联合多家共享单车服务公司的数据信息，来对这个查询进行回答。同时根据查询的内容可以是范围聚合查询，如上述查询问题。也可以为最近邻查询，如“查询离我最近的共享单车”。

2、尽管在空间数据联邦中，多个do倾向于联合起来共享彼此数据信息以提高服务质量。但由于法律法规要求以及商业机密，直接共享彼此原始数据是行不通的。同时，查询用户(search user，su)不断的将其自身的位置信息共享至服务器，以获得位置服务。然而位置信息常常揭示了用户的相关隐私信息，如家庭、公司地址等。假如服务器是不受信任的，那么其将对su的隐私安全造成威胁。一方面，服务器可以通过用户查询的位置信息来窥伺用户的隐私信息。如雇主可以通过了解员工访问的地点和每次访问的时间来检查她的行为。另一方面，服务器可以通过用户的实时位置信息来对用户进行位置追踪。

3、在目前的研究中，对于查询用户的位置隐私保护已经提出了许多方案，如k-匿名，基于密码学的方法等。k-匿名的基本原理是将真实用户位置信息混杂在k-1个虚假用户之中，从而以构建匿名区域代替真实用户位置的方式进行位置服务请求。然而构造匿名集的方式往往会带来额外的计算开销，即lbsp需要回答非查询范围内的查询内容，这极大的影响到查询效率。也有研究者提出使用基于传统密码学方法，如同态加密、代理重加密等。其对位置数据进行加密以达到隐私保护目的。但是密码学方法往往伴随复杂的解加密操作，这需要庞大的计算资源开销。

4、与此同时，在现有的空间数据联邦研究中，大多关注于对联合多方本地数据的隐私保护，而缺乏对于查询用户的位置隐私安全考虑。在其中查询用户的位置信息直接以明文的方式暴露给服务器。同时，尽管在数据联邦中提出一些针对联合多方的数据隐私安全保护，然而其底层是基于关系型数据而非空间数据集，因此并不能直接应用至lbs中。

5、综上所述，在空间数据联邦环境条件下，如何高效且安全的回答查询用户的范围聚合查询请求，仍然存在如下挑战：

6、1.在空间数据联邦中，现有的查询服务策略多关注于联合多方的数据隐私以及查询的高效性，而缺乏对于用户查询位置隐私安全保护。用户的查询位置信息直接以明文的方式暴露给第三方。当面对不可信第三方时，这显然是极具隐私安全威胁的。

7、2.基于数据联邦，出于商业利益或隐私安全考虑，直接上传明文数据到位置服务商是不可行的。如何在保证用户的查询隐私安全以及数据拥有者的数据隐私安全的同时，协调联合多方行为并聚合来自多方的本地查询结果仍然是一个挑战。

8、一般而言，保护隐私与效率之间存在固有的矛盾。由于空间数据联邦多方联合的复杂性以及对于实时高效查询的需求，使得复杂的解加密操作变得不在适合。如何在隐私安全以及查询效率之间取得一个有效的平衡仍然是一个问题。

技术实现思路

1、为了在保证su隐私安全的同时，提供高效且安全的范围聚合查询服务，本发明提出一种空间数据联邦的隐私保护范围聚合查询方法，具体包括以下步骤：

2、本地数据库收到lbs服务器发起的索引构建请求后，本地数据库进行网格区域划分，并建立本地存储结构；

3、本地数据库根据网格区域划分结果，初始化索引结构；

4、本地数据库对索引节点的位置数据进行加密，联合lbs服务器建立全局索引结构，得到索引树qtree；

5、当查询用户向lbs服务器发起查询请求时，根据请求内容构建查询请求向量；查询请求向量包括查询位置信息；

6、本地数据库收到查询请求向量后，根据查询请求向量进行查询，获取统计结果；

7、本地数据库根据统计结果返回结果向量，并完成压缩扰动后将结果反馈给lbs服务器；

8、lbs服务器聚合并重构来自各个本地数据库的反馈，获得原始信号的一次加密结果后反馈给查询用户；

9、查询用户对收到的一次加密结果进行解密并统计，得到查询结果。

10、进一步的，本地数据库进行网格区域划分，并建立本地存储结构的过程包括：

11、若第i个本地数据库表示为doi，doi所拥有的空间数据对象集合oi表示为oi＝{o1,...,om}，其第m个空间数据对象om表示为om＝(xm,ym,contm)，xm、ym分别表示空间数据对象om的经、纬度信息，contm表示空间数据对象om的属性标识，m为空间数据对象集合oi中空间数据对象的数目；

12、利用hilbert划分空间区域，得到大小相等的k个网格区域集合{ari},1≤i≤k，第i个网格区域ari表示为ari＝(attr,num,count,d)，attr表示ari的位置属性，num为网格区域编号，count为网格区域ari所拥有的空间数据对象的总数，d则为该区域内空间对象集合；

13、网格区域集合结合给定曲线构造规则rule＝(d,p,n,θ)确定一条hilbert曲线，其中d代表开口方向，p表示起始点，n代表曲线阶数，θ表示旋转角度。

14、进一步的，初始化索引结构的过程包括：

15、采用自底向上的方式，建立一个四叉树的索引结构，即将四个网格区域合并为一个区域节点，并将4个区域节点合并成一个新的区域节点，直到覆盖整个查询区域，得到基于四叉树的索引结构qtree；

16、在索引结构qtree中，其叶子节点为一个网格区域，叶子节点的存储结构存储该叶子节点的位置属性以及网格区域编号；

17、在索引结构qtree中，非叶子节点为一个网域节点，网域节点的存储结构存储该网域节点的位置属性以及网域节点编号；

18、网域节点的位置属性包括构成网域节点的四个网域节点或者网格区域中顶点坐标的极值以及四个网域节点的中心；

19、其中网域节点编号可以由用户指定一个具有唯一性的编号即可。

20、进一步的，本地数据库对索引节点的位置数据进行加密的过程包括：

21、若位置数据的原始信号表示为x＝[x1,...,xn]t∈rn，在n×n维变换基矩阵ψ下是稀疏的，则原始信号x可以表示为：x＝ψs；

22、将原始信号x投影到一个与稀疏矩阵ψ不相关的测量矩阵φ，测量矩阵的规模为m×n且m＜＜n上，得到m维的观测向量y，可定义压缩操作为：

23、

24、测量矩阵φ满足限制等距特性，利用观测向量y通过求解l1范数的最小化问题能够重构出信号，从而近似的重构出原始信号

25、其中，θ表示稀疏感知矩阵，θ＝φψ，θ在查询返回时作为秘钥被传递给lbs服务器，以完成重构操作。

26、进一步的，当查询用户向lbs服务器发起查询请求时，根据请求内容构建查询请求向量包括：

27、查询用户初始化查询请求为q＝(t,p)，其中p表示查询位置信息，表示为p＝<c,r>，c为查询位置中心，r表示查询半径；t为查询发起的时间；

28、查询用户向本地服务库请求加密秘钥信息，即测量矩阵，根据测量信息对查询位置中心c进行cs变换，查询请求更新为

29、进一步的，根据查询请求向量进行查询，获取统计结果的过程包括：

30、lbs服务器根据查询请求向量中的查询位置信息检索索引树qtree，确定与查询范围相交的网格区域，确认过程中，若查询中心向量与一个网格区域的区域顶点之间的距离小于查询半径，则该网格区域与查询范围相交；否则若查询中心向量与一个网格区域的中心之间的距离满足则该网格区域与查询范围相交，否则与查询范围不相交；

31、在确定相交网格区域集合后，将相交网格区域集合转发至每一个本地数据库，并要求每个本地数据库回答相应网格的空间对象统计信息。

32、进一步的，本地数据库根据统计结果返回结果向量，进行压缩扰动，即进行一次cs变换，再对本地数据库的本地压缩结果向量做差分隐私保护处理，表示为：

33、

34、其中，δc为对应的敏感度；ε为隐私预算；laplace(δc/ε)为拉普勒斯噪声添加机制，已有证明添加符合拉普拉斯分布的噪声能够满足差分隐私。

35、进一步的，获得原始信号的一次加密结果后反馈给查询用户的过程包括：

36、将从每个本地数据库进行差分隐私处理后的量进行聚合，即：

37、

38、对聚合之后的量进行重构操作，并在重构过程中对感知矩阵进行一次加密，重构操作表示为：

39、

40、其中，λ为拉格朗日乘子，表示对信号y进行重构操作；θ′＝ψφm＝θm，θ表示稀疏感知矩阵，ψ表示一个稀疏矩阵，φ表示与ψ不相关的感知矩阵，m表示可逆线性变换矩阵，||·||2表示l2范式，||·||1表示l1范式。

41、进一步的，查询用户对收到的一次加密结果进行解密并统计，得到查询结果的过程包括：

42、

43、

44、其中，xij表示矩阵x中第i行第j列的具体项目，x为n×m的实数矩阵；m表示一个本地数据库中参与统计的网格区域数量，n则表示参与联合查询的本地数据库的数量，res为聚合查询结果。

45、本发明一种空间数据联邦的隐私保护范围聚合查询方法具有以下有益效果：

46、1.在空间数据联邦中引入针对于查询用户的位置隐私保护，基于压缩感知变换提出一种轻量级的隐私保护策略。将明文域的范围聚合查询转至压缩感知加密域进行，在保证隐私安全的同时有效避免复杂的解加密操作。

47、2.为了在保证隐私安全的同时兼顾对于查询效率考虑，建立具有隐私保护的基于四叉树的全局索引结构。在此，位置服务商并不直接转发查询用户的查询请求，而是通过检索索引结构，确定并转发与查询范围相交的网格区域，极大的提高了服务效率。

48、提出具有隐私安全考虑基于空间数据联邦的高效范围聚合查询服务。位置服务商在加密域对查询请求进行转化并协调聚合来自各个联合多方的本地查询结果。同时为了防范来自恶意第三方的推测攻击，使用差分隐私技术对统计结果添加噪声扰动