一种移动点对点网络中用户位置隐私保护的方法

专利名称：一种移动点对点网络中用户位置隐私保护的方法
技术领域：
本发明涉及基于位置服务领域，尤其涉及一种移动点对点网络中用户位置隐私保护的方法。
背景技术：
随着具有位置感知设备的普及，例如GPS导航设备、智能手机以及装备RFID芯片的设备，基于位置的服务(Location Based Service,LBS)近年来越来越受到的关注并且有越来越多的应用已经被人们广泛的使用，例如交通导航、饮食娱乐便民查询、针对性的广告投放以及公共的紧急服务等。与此同时，基站定位、GPS定位、Wi-Fi等定位技术也有着长足的发展，使得用户定位的精确性大大提高。由于个人隐私保护意识的不断增强，用户在享受位置服务带来的便利的同时也发现自己的真实位置也同时被泄漏出去。通过这些真实的位置信息，恶意攻击者可以跟踪用户的行踪、了解用户的习惯爱好、甚至推测出用户的家庭住址等敏感信息。大多数隐私保护技术主要采用了集中式可信第三方作为用户与位置服务提供商之间信息传递的代理，例如被学术界广泛研究的空间匿名(spatial cloaking)技术。这种技术为用户生成一块匿名保护区域，并将其替代用户的真实位置发送给基于位置的服务提供商，同时保证提供商不能在这个区域中区分该用户和其他k-Ι个用户，从而实现k-匿名的隐私保护。然而，随着服务用户数量不断的增长，集中式可信第三方会成为整个系统通讯和计算的瓶颈；其次，鉴于集中式可信第三方掌握着大量的用户真实位置信息和服务请求信息，其成为了整个系统最大的安全隐患，一旦其被攻破，所有隐私都会被泄露。针对上述问题，C. Chow等提出了在移动点对点网络(mobile Peer to Peer Network)中的一种隐私保护方法，其系统特点是不采用可信第三方，而是通过移动用户之间采用P2P技术进行位置信息交流并计算出每个用户的匿名保护区域，该区域中满足k-匿名要求，从而保护用户的位置隐私。这种技术有两种运行模式被动模式(on-demand mode) 和主动模式(proactive mode)。被动模式的特点是当用户有了服务请求后才开始收集其他用户位置信息并计算匿名保护区域；而在主动模式情况下，用户周期性的收集其他用户位置信息并随时准备计算匿名保护区域。然而，这两种模式都有着较长的收集k-Ι个其他用户信息的等待时间，并且其生成匿名保护区域的成功率较低。尤其当用户的隐私保护要求较高的时候，这些缺点尤为突出。

发明内容
鉴于现有技术的各种问题，本发明的目的在于提出一种移动点对点网络中用户位置隐私保护的方法。为了实现上述目的，本发明的技术方案如下所示
移动点对点网络中用户位置隐私保护的方法的步骤如下
I)移动用户每隔一段时间t主动向周围邻居发送移动用户自身的位置记录r，置记录r包括参数uid、x、y、hop和initialTime,其中uid为该移动用户的唯一标识符，x和y 分别表示移动用户所在的当前位置，hop为无线网络中距离该移动用户的跳数，将其设置为 I, initialTime是该条位置记录的生成时间,将其设置为当前的系统时间；
2)移动用户每隔一段时间t向周围邻居转发该移动用户位置信息库中维护的其他移动用户的位置记录，发送时将每条位置记录中的无线网络距离hop值都加上I，其余参数保持不变；
3)移动用户接收到其他移动用户传来的位置记录后，根据实际情况选择存储该条位置记录到位置信息库，更新位置信息库中已有的位置记录或者忽略该条位置记录；
4)移动用户定期维护位置信息库中所有的位置记录，并对过期位置记录进行删除处
理；
5)当移动用户发起基于位置的服务请求时，其根据位置信息库来计算匿名保护区域， 并发送匿名服务请求。所述的步骤3)包括
(1)当移动用户收到一条位置记录r时，若其维护的位置信息库中不存在记录r’，使得 r’.uid = r. uid,则检查位置记录r的hop参数,如果r. hop小于移动用户自定义的可接受 hop值的最大范围hopmax,即r. hop < hopmax,则将r存储到位置信息库中；
(2)在步骤(I)中，如果r.hop不满足移动用户自定义的范围，则忽略位置记录r ；
(3)在步骤(I)中，如果位置信息库中存在一条记录r’，使得r’.uid = r. uid,则比较这两条记录的hop值,如果r. hop < r’· hop,则用r更新r’ ；
(4)在步骤(3)中，如果满足r.hop = r’. hop,则比较这两条记录的initialTime,如果 r. initialTime < r . initialTime,贝丨J用 r 更新 r’ ；
(5)在步骤(4)中，如果不满足r.initialTime < r . initialTime,则忽略该位置记录r。所述的步骤4)包括
(O遍历位置信息库，如果位置记录r. hop不属于移动用户自定义的可接受hop值范围，则将该记录r删除；
(2)遍历位置信息库,如果位置记录r过期，即计算当前系统时间减去r. initialTime 的结果大于移动用户自定义的位置记录有效期MaxValidTime,则将该记录r删除。所述的步骤5)包括
(1)如果匿名保护区域中包含了小于k-Ι个其他移动用户的话，则移动用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域；
(2)在(I)步骤中，如果匿名保护区域包含了k-Ι个其他用户，则计算匿名保护区域的面积A,如果面积A满足移动用户自定义的面积范围，即Amin〈 A〈 Amax,则用户可以发送匿名请求；
(3)在(2)步骤中，如果面积A不满足移动用户自定义的面积范围，则用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域。本发明的有益效果是通过本发明，移动用户无需可信第三方的参与即可保护其位置隐私；移动用户可以主动的向其他用户发送位置信息，并主动分享其维护的其他用户位置信息，加快了位置信息的传播速度；同时允许用户使用一定有效期内的其他用户历史位置信息。本发明的创新点在于提出了一种新型的双向主动的用户点对点通讯合作分享位置信息模式，与已有方法相比，本发明减少了生成匿名区域的等待时间并提高了匿名区域的成功率。


下面结合附图和具体实施方式
来详细说明本发明的目的和特征，在附图中
图I为本发明的系统架构图2为本发明实施的基本流程图3为本发明中用户处理接收到的位置信息的详细流程图。图4为说明本发明具体实施的一个实例图。
具体实施例方式为了更全面的理解本发明的目的和特征及其优点，下面结合附图和具体实例来详细描述本发明，使得本发明的目的和效果将变得更加明显。移动点对点网络中用户位置隐私保护的方法的步骤如下
1)移动用户每隔一段时间t主动向周围邻居发送移动用户自身的位置记录r，置记录 r包括参数uid、x、y、hop和initialTime,其中uid为该移动用户的唯一标识符，x和y 分别表示移动用户所在的当前位置，hop为无线网络中距离该移动用户的跳数，将其设置为
I,initialTime是该条位置记录的生成时间,将其设置为当前的系统时间；
2)移动用户每隔一段时间t向周围邻居转发该移动用户位置信息库中维护的其他移动用户的位置记录，发送时将每条位置记录中的无线网络距离hop值都加上I，其余参数保持不变；
3)移动用户接收到其他移动用户传来的位置记录后，根据实际情况选择存储该条位置记录到位置信息库，更新位置信息库中已有的位置记录或者忽略该条位置记录；
4)移动用户定期维护位置信息库中所有的位置记录，并对过期位置记录进行删除处
理；
5)当移动用户发起基于位置的服务请求时，其根据位置信息库来计算匿名保护区域， 并发送匿名服务请求。所述的步骤3)包括
(1)当移动用户收到一条位置记录r时，若其维护的位置信息库中不存在记录r’，使得 r’.uid = r. uid,则检查位置记录r的hop参数,如果r. hop小于移动用户自定义的可接受 hop值的最大范围hopmax,即r. hop < hopmax,则将r存储到位置信息库中；
(2)在步骤(I)中，如果r.hop不满足移动用户自定义的范围，则忽略位置记录r ；
(3)在步骤(I)中，如果位置信息库中存在一条记录r’，使得r’.uid = r. uid,则比较这两条记录的hop值,如果r. hop < r’· hop,则用r更新r’ ；
(4)在步骤(3)中，如果满足r.hop = r’. hop,则比较这两条记录的initialTime,如果 r. initialTime < r . initialTime,贝丨J用 r 更新 r’ ；
(5)在步骤(4)中，如果不满足r.initialTime < r . initialTime,则忽略该位置记录r。
6
所述的步骤4)包括
(O遍历位置信息库，如果位置记录r. hop不属于移动用户自定义的可接受hop值范围，则将该记录r删除；
(2)遍历位置信息库,如果位置记录r过期，即计算当前系统时间减去r. initialTime 的结果大于移动用户自定义的位置记录有效期MaxValidTime,则将该记录r删除。所述的步骤5)包括
(1)如果匿名保护区域中包含了小于k-Ι个其他移动用户的话，则移动用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域；
(2)在(I)步骤中，如果匿名保护区域包含了k-Ι个其他用户，则计算匿名保护区域的面积A,如果面积A满足移动用户自定义的面积范围，即Amin〈 A〈 Amax,则用户可以发送匿名请求；
(3)在(2)步骤中，如果面积A不满足移动用户自定义的面积范围，则用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域。本发明的系统架构图如图I所示，其中的移动用户使用具有定位功能的设备，设备和设备之间可以通过无线点对点网络进行位置信息的交流，并且设备可以通过基站向不同的基于位置的服务提供商进行查询，位置服务提供商将查询结果通过基站再发送给移动用户。接下来，以图4为例，结合图2和图3的具体流程图，对本发明的方法进行详细的说明。 在本实例中，移动用户M首先将自身的位置记录发送给自己的邻居用户。具体地说，用户M有自己的无线通讯范围，如图4中用户M周围的虚线圆圈范围所示。在这个范围内的用户H^m2和m3都是用户M的直接邻居。移动用户M开始向这三个用户发送自身的位置记录r = (uid, X，y, hop, initialTime),其中uid为用户M的唯一用户标识符，(x，y)为用户的二维地理位置坐标，hop设置为I, initialTime设置为当前的系统时间！\。由于此时用户M的位置信息库中的记录数量为0，所以暂时没有需要转发的位置记录。与此同时，其他所有移动用户也同时向周围邻居发送自身的位置记录。例如移动用户m3分别向其周围邻居用户M、m4和m5发送m3的位置记录。以此类推，则在Tl时刻，用户M分别收到mi、m2和m3用户的位置信息。由于系统刚刚运行，用户M的位置信息库还为空，所以用户M将这三条位置记录加入到自身的位置信息库。同理，用户m3将用户M、mjPm5的位置记录加入到自身的位置信息库。值得注意的是这些位置记录中的hop值都为1，且initialTime值都为T1。当系统经过用户自定义的一段时间t后到达了系统时间T2，此时用户M开始维护自己的位置信息库，若其中有记录的hop超过了可接受的最大跳数hopmax，则将该记录r删除，如果有记录过期，即系统时间T2减去r. initialTime大于用户自定义位置记录的最长有效期MaxValidTime,也将该记录r删除；
在结束位置信息库的维护后，用户M又开始新的一轮发送。假设用户M的邻居没有变化，则首先将自身位置记录发送给用户H^m2和m3，同时向这些用户继续发送自身的位置信息库中的数据，并且将发送的这些位置记录中的hop加上I。同理，其余用户也做同样的事情，例如用户Hi3向用户M、mdP HI5分别发送自身的位置记录和位置信息库中的记录。考虑在T2时刻用户M接收到了来自用户％的四条记录，分别是用户％的自身记录以及用户M、m4和m5的位置记录。对于用户M来说，m3的记录已经在位置信息库中存在， 所以忽略该条记录；同时用户M收到的自己本身的记录也直接可以忽略；而收到的m4和m5 的位置记录却不在位置信息库中，并且这两条位置记录中的hop值小于可接受的最大跳数 hopmax，所以将这两条位置记录添加在记录库中。值得注意的是，这两条新增加的位置记录的hop值都为2。在图4中可以看到,用户M到m4和m5的hop距离都是为2的。以此类推，在经过η个时间段后，一条位置记录最远能传播到hop值为n+1距离的用户，前提是该hop值在用户可接受的范围内。假设用户M可接受的位置记录的有效期为5T，则在到达系统时间T6前，用户M的位置信息库中的在T1接收到的位置记录都要被删除掉，因为这些历史位置记录已经过期。假设在T3时刻，用户m4移动到了用户M的邻居范围内，此时用户M接收到了用户 m4直接发送的位置记录(m4, x4, y4,l, T3),与用户M位置信息库中的已存在记录相比较,发现新的记录中的hop值I比老的hop值2小，则用新接收到的位置记录替换老的位置记录。 如果hop值相等的话,则再比较initialTime,如果新接收到的记录的initialTime较新,则替换老的位置记录。假设用户1在1~2时刻发起了基于位置服务的请求，用户M当前的位置信息库中有5
，,Jr]力O/je(，χ!，yI，I，Ti)、(ΓΠ2，X2，Y2，I，Ti)、(π β，X3j Yg I，Ti)、(，2，Τ3)、(πι^，
X5, I5,2, T1),用户M依据这些位置记录计算出匿名保护区域，如果4所示黑色虚线框，并得出该匿名保护区域实现了 k为6的匿名保护，并且该区域面积A为9。如果k为6的匿名保护和A为9的区域面积满足用户自定义的隐私保护要求，则用户可以发起基于位置的匿名服务请求，即通过基站向位置服务提供商发送匿名保护区域和服务请求。如果该匿名保护区域不满足用户定义的隐私保护要求，则说明该匿名保护区域生成失败，用户需等待时间T，待位置信息库更新后再重新计算，直到成功为止。由上述描述可知，本发明通过新型的位置记录传播的方式以及采用有效期内位置数据的计算手段大大加快了匿名保护区域的生成速度并且提高了匿名保护区域生成的成功率，并且有效的防止用户位置隐私的泄漏。对于本领域的一般技术人员而言，以上所述的实施方法仅为本发明的一个实例， 在不脱离本发明原理和范围的前提下对其进行的显而易见的改动，都属于本发明的构思和所附权利要求的保护范围。本发明要求保护范围由所附的权利要求书及其等效物决定。
权利要求
1.一种移动点对点网络中用户位置隐私保护的方法，其特征在于它的步骤如下1)移动用户每隔一段时间t主动向周围邻居发送移动用户自身的位置记录r，置记录 r包括参数uid、x、y、hop和initialTime,其中uid为该移动用户的唯一标识符，x和y 分别表示移动用户所在的当前位置，hop为无线网络中距离该移动用户的跳数，将其设置为 I, initialTime是该条位置记录的生成时间,将其设置为当前的系统时间；2)移动用户每隔一段时间t向周围邻居转发该移动用户位置信息库中维护的其他移动用户的位置记录，发送时将每条位置记录中的无线网络距离hop值都加上I，其余参数保持不变；3)移动用户接收到其他移动用户传来的位置记录后，根据实际情况选择存储该条位置记录到位置信息库，更新位置信息库中已有的位置记录或者忽略该条位置记录；4)移动用户定期维护位置信息库中所有的位置记录，并对过期位置记录进行删除处理；5)当移动用户发起基于位置的服务请求时，其根据位置信息库来计算匿名保护区域， 并发送匿名服务请求。
2.根据权利要求I所述的一种移动点对点网络中用户位置隐私保护的方法，其特征在于所述的步骤3)包括(1)当移动用户收到一条位置记录r时，若其维护的位置信息库中不存在记录r’，使得 r’.uid = r. uid,则检查位置记录r的hop参数,如果r. hop小于移动用户自定义的可接受 hop值的最大范围hopmax,即r. hop < hopmax,则将r存储到位置信息库中；(2)在步骤(I)中，如果r.hop不满足移动用户自定义的范围，则忽略位置记录r ;(3)在步骤(I)中，如果位置信息库中存在一条记录r’，使得r’.uid = r. uid,则比较这两条记录的hop值,如果r. hop < r’· hop,则用r更新r’ ；(4)在步骤(3)中，如果满足r.hop = r’. hop,则比较这两条记录的initialTime,如果 r. initialTime < r . initialTime,贝丨J用 r 更新 r’ ；(5)在步骤(4)中，如果不满足r.initialTime < r . initialTime,则忽略该位置记录r。
3.根据权利要求I所述的一种移动点对点网络中用户位置隐私保护的方法，其特征在于所述的步骤4)包括(O遍历位置信息库，如果位置记录r. hop不属于移动用户自定义的可接受hop值范围，则将该记录r删除；(2)遍历位置信息库,如果位置记录r过期，即计算当前系统时间减去r. initialTime 的结果大于移动用户自定义的位置记录有效期MaxValidTime,则将该记录r删除。
4.根据权利要求I所述的一种移动点对点网络中用户位置隐私保护的方法，其特征在于所述的步骤5)包括(1)如果匿名保护区域中包含了小于k-1个其他移动用户的话，则移动用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域；(2)在(I)步骤中，如果匿名保护区域包含了k-Ι个其他用户，则计算匿名保护区域的面积A,如果面积A满足移动用户自定义的面积范围，即Amin〈 A〈 Amax,则用户可以发送匿名请求；(3)在(2)步骤中，如果面积A不满足移动用户自定义的面积范围，则用户需等待一段时间t，在位置信息库更新后重新计算匿名保护区域。
全文摘要
本发明公开了一种在移动点对点网络中用户位置隐私保护的方法，包括以下步骤A、移动用户每隔一段时间t主动向周围邻居发送自身的位置记录r，即(uid,x,y,hop,initialTime)；B、并且同时向周围邻居转发该用户位置信息库中维护的其他用户的位置记录；C、接收到信息的移动用户可以根据实际情况选择存储该条位置记录，更新已有位置记录或者忽略该条位置记录；D、所有移动用户定期维护所有位置记录，并对过期位置记录进行删除处理；E、当用户发起基于位置的服务请求时，其根据维护的位置信息库来计算匿名保护区域，并发送匿名服务请求。通过本发明，移动用户无需可信第三方的参与即可保护其位置隐私；并且与已有方法相比，本发明减少了生成匿名区域的等待时间并提高了匿名区域的成功率。
文档编号H04W4/02GK102595319SQ20121006300
公开日2012年7月18日 申请日期2012年3月12日 优先权日2012年3月12日
发明者何钦铭, 杨强, 车延辙 申请人:浙江大学