一种高效的差分扰动位置隐私保护系统及方法
一种高效的差分扰动位置隐私保护系统及方法
【专利摘要】本发明公开一种高效的差分扰动位置隐私保护系统及方法,考虑了攻击者可能拥有关于用户辅助信息(side information)的背景知识对已有的基于位置扰动和模糊化技术的位置隐私保护方法形成的挑战,将差分隐私保护技术引入位置模糊化隐私保护方法中,提出通过使用能根据移动用户在地理空间中的分布变化特征而自适应转换用户位置的希尔伯特空间填充曲线和当前流行的四分树或R*树空间索引构建了地理空间所有移动用户的位置索引,从而高效地生成了满足互惠原则的k匿名隐形区域。接着,利用差分隐私保护技术由形成该隐形区域的k个位置点生成合理地接近用户真实位置的位置扰动点作为LBS用户的查询位置向LBS服务提供商请求服务,可以克服现有方法存在的问题和不足。
【专利说明】一种高效的差分扰动位置隐私保护系统及方法 【【技术领域】】
[0001] 本发明涉及位置服务与信息安全领域,尤其涉及一种高效的差分扰动位置隐私保 护系统及方法。 【【背景技术】】
[0002] 随着移动感知电子设备(如智能手机、PDA等)的繁荣,基于位置的服务(LBS)几 乎在所有的社会和商业领域都非常流行。例如GPS导航、地图应用、兴趣点检索、电子优惠 卷发放和位置感知社交网络等。LBS的基本思想是移动用户通过和不可信的服务提供商共 享其位置信息来获取有用的上下文和个性化的服务。
[0003] 虽然LBS给个人和社会带来了巨大的利益,但用户位置信息的日益泄露引发了重 要的隐私问题,特别是位置隐私问题。首先,位置信息本身可能被认为是敏感的。其次,位置 信息可以很容易地被连接到用户通常希望保护的各种其他信息上。例如,通过收集和处理 有规律的精确位置信息(如上下班轨迹、频繁访问的医院等),不可信的服务提供商可以推 断出用户的家庭或办公地址、健康状况、性趣倾向、宗教信仰、政治观点等私人敏感信息。在 极端形式上,监测和控制个人的位置信息甚至已被描述为一种奴役形式。隐私问题的存在, 严重阻碍了 LBS产业的健康发展和商业前景,所以在给用户提供服务的同时能确保用户位 置信息的安全就显得非常重要。
[0004] 为了解决隐私问题,在以前的研究中已经提出了许多隐私保护机制。这些机制大 都基于智能扰动用户位置坐标的思想,即在将精确的用户查询位置提交给服务提供商之 前,先对其进行模糊化处理。最常用的位置模糊化技术就是利用位置k匿名产生包含查询 用户和其附近的至少其他k-1个用户的隐形区域(CR)来代替用户的精确查询位置。这样, 不可信的服务提供商很难区分出用户的真实位置和其他k-1个假位置。然而,基于隐形区 域的位置模糊化技术在保护位置隐私方面存在一些不足。首先,这种技术假定攻击者没有 关于移动用户的一些辅助信息(side information),如用户的位置近似知识(例如一个区 域而非精确位置)、用户的移动特性、与LBS查询语义相关的用户属性(如性别、年龄、职业、 收入、社会地位)、用户的查询频率等。实际中,一些攻击者可能具有关于用户的辅助信息, 所以基于隐形区域的位置模糊化方法不能充分地保护用户的位置隐私。例如,攻击者可以 利用拥有的关于用户近似位置的知识来获取用户更精准的位置信息,进而俘获用户的位置 隐私。如图1所示,具有近似位置知识的攻击者可能会提高多个目标用户的近似位置知识。 其次,这类方法使用隐形区域模糊用户的位置导致了相当大的服务质量下降。有学者提出 使用k匿名和差分隐私混合的位置扰动方法来解决这一问题,但是该方法在利用希尔伯特 填充曲线生成k匿名隐形区域时没有考虑用户位置的分布特征且依赖于专门的数据结构, 极大地增加了隐形区域的生成代价,降低了系统的可伸缩性和服务效率。 【
【发明内容】
】
[0005] 本发明的目的在于提供一种能抵御攻击者具有用户真实位置辅助信息(side information)的高效的差分扰动位置隐私保护系统及方法,以解决现有技术存在的问题和 不足,高效是指匿名服务器产生隐形区域的代价要最小化。
[0006] 为了实现上述目的,本发明采用如下技术方案:
[0007] -种高效的差分扰动位置隐私保护方法,包括以下步骤:
[0008] A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查 询请求Q = (u, 1,t, c, k)发送给可信匿名服务器TAS ;其中,u表示移动用户的标识;1 = (x,y)表示移动用户提交LBS查询请求Q所在的位置,(x,y)表示移动用户位置的经纬度; t表示移动用户提交LBS查询请求Q的时间;c表示LBS查询内容;k表示移动用户的隐私 需求参数;
[0009] B、TAS接收到查询Q后,将用户标识用假名u'替换,并选择包含用户u和在其附 近的至少k-1个其他用户的匿名AS,生成包含AS中所有k个不同位置(I1,…,Ik)的空间 隐形区域CR;
[0010] C、TAS使用差分隐私保护技术由包含这k个用户位置(I1,…,Ik)的匿名空间区域 ASR产生一个扰动位置Ip = (xp, yp),并将Ip = (xp, yp)作为查询Q' = (u',lp, t, c)的位置 点转发给LBS服务提供商;
[0011] D、LBS服务提供商根据接收到的LBS查询请求Q' = (u',lp,t,c)处理查询,并将 满足条件的查询结果候选集返回给TAS ;
[0012] E、TAS删除假查询结果,并将正确的查询结果转发给相应的移动用户。
[0013] 优选的,步骤C中AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查 询位置点,TAS选择的匿名集都是一样的。
[0014] 优选的,步骤B具体包括以下步骤:
[0015] B1、对查询Q中的用户标识u进行处理得到假名u',并记录u和假名u'的对应关 系;
[0016] B2、使用根据用户在地理空间中位置分布特征而自适应变化的希尔伯特空间填充 曲线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U),构建基于R*树或四分 树的用户位置索引树QT;
[0017] B3 :根据查询发送用户u所在的叶子结点N,隐私需求k,遍历位置索引树QT,快速 选择包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS,进而高效地形成包含 AS中所有用户位置(I1,…,Ik)的隐形区域CR。
[0018] 优选的,步骤A中k值介于1到用户基数之间。
[0019] 一种高效的差分扰动位置隐私保护系统,包括移动用户设备、可信匿名服务器和 不可信位置服务提供商;
[0020] 所述移动用户设备用于将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务 器;其中,u表示移动用户的标识;I = (x,y)表示移动用户提交LBS查询请求Q所在的位 置,(x,y)表示移动用户位置的经纬度;t表示移动用户提交LBS查询请求Q的时间;c表示 LBS查询内容;k表示移动用户的隐私需求参数;
[0021] 可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成;匿名服务 器接收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将用户标识u用假 名u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集,生成包含AS中所 有k个不同位置(I1,…,Ik)的空间隐形区域CR,进而差生扰动位置;最终将形成的查询Q =(u',lp,t,c)通过通信模块提交给不可信的位置服务器;结果精炼模块用于对不可信的 位置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块转发给相应的移动 用户设备;
[0022] 不可信位置服务提供商用于处理LBS查询请求Q = (u',lp,t,c),并将查询结果候 选集返回给可信匿名服务器。
[0023] 优选的,AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点, TAS选择的匿名集都是一样的。
[0024] 优选的,k值介于1到用户基数之间。
[0025] 相对于现有技术,本发明具有以下有益效果:本发明将差分隐私保护技术和基于 k匿名的隐形技术相结合,提出使用根据用户在地理空间中的-位置分布特征二自适应变 化的希尔伯特空间填充曲线和流行的空间索引技术(R*树或四分树)能够高效地生成k 匿名隐形区域,然后由该隐形区域中的k个位置点,通过仔细选择的Laplace分布向用户 真实位置中添加噪音来产生扰动位置点,并用该扰动位置作为查询位置向服务提供商请求 服务。差分隐私保护技术不关心攻击者所拥有的任何可能的背景知识,已被证明能有效地 抵御具有任意背景知识的攻击者;另外,通过选取合理地接近用户实际位置的扰动位置来 代替隐形区域请求服务,能在保证查询结果正确性的基础上降低系统的通信开销和计算开 销,从而提高系统的服务质量。
[0026] 通过本发明,可以解决用户在使用各种位置服务的过程中,由于攻击者具有关于 用户辅助信息(side information)知识而俘获用户位置隐私和已有位置隐私保护方法生 成k匿名隐形区域效率低的问题。让移动用户能够高效、放心地使用各种基于位置的服务 应用,促进基于位置服务产业的健康发展。 【【专利附图】
【附图说明】】
[0027] 图1给出了现有技术在攻击者具有用户的side information(如近似位置知识) 知识时的不意图;
[0028] 图2给出了根据本发明的高效差分扰动位置隐私保护系统的方框图;
[0029] 图3给出了根据本发明的高效差分扰动位置隐私保护方法的流程图;
[0030] 图4(a)至4(c)给出了 C取不同值时对用户空间进行四分树划分的示意图;其中 图 4 (a)中 C = 3,图 4 (b)中 C = 2,图 4 (c)中 C = 1 ;
[0031] 图5给出了 Hilbert曲线的分形规则示意图。 【【具体实施方式】】
[0032] 下面结合【专利附图】
【附图说明】和具体实施例对本发明做进一步详细地说明。
[0033] 如图2所示,本发明高效差分扰动位置隐私保护系统包括:移动用户设备、可信匿 名服务器和不可信位置服务提供商。
[0034] 移动用户设备用于将将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务器。 其中,u表示用户的标识;I = (x,y)表示用户提交LBS查询请求Q所在的位置,(x,y)表示 位置的经纬度;t表示用户提交LBS查询请求Q的时间;c表示LBS查询内容,如离用户当前 位置最近的饭店;k表示用户个性化的隐私需求,其范围介于1(没有隐私需求)和用户基 数之间(最大隐私)。
[0035] 可信匿名服务器(TAS)由位置隐私保护模块、结果精炼模块和通信模块组成。具 体来说匿名服务器接收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将 用户标识u用假名u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集, 生成包含AS中所有k个不同位置(I1,…,Ik)的空间隐形区域(CR),进而差生扰动位置。最 终将形成的查询Q = (U',lp,t,c)通过通信模块提交给不可信的位置服务器。结果精炼模 块负责对不可信的位置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块 转发给相应的移动用户设备。
[0036] 不可信位置服务提供商负责处理LBS查询请求Q = (u',lp,t,c),并将查询结果候 选集返回给可信匿名服务器。
[0037] 接下来结合图2和图3,对根据本发明的能够抵御具有side information攻击者 的高效差分扰动位置隐私保护方法进行详细的说明。
[0038] 如图3所示,本发明高效差分扰动位置隐私保护方法,包括以下步骤:
[0039] 步骤一:定义地理空间内的移动用户使用具有GPS定位功能的智能移动设备通过 安全连接信道向TAS发送LBS查询请求Q = (u, 1,t, c, k)。其中,u表示用户的标识;1 = (x,y)表示用户提交LBS查询请求Q所在的位置,(x,y)表示位置的经纬度;t表示用户提 交LBS查询请求Q的时间;c表示LBS查询内容;k表示用户的隐私需求,k值介于1 (没有 隐私需求)到用户基数(最大隐私需求)之间。参数1,t可由GPS定位设备直接获得;参 数c,k需要用户指定。
[0040] 本发明关注快照(snapshot)查询,即攻击者使用的是用户的当前数据而非用户 在特定位置或时间的关于重复查询的历史信息。这一假设在实际中是合理的,因为如果用 户已经获得了他所需要的兴趣项,那么将来在同一位置再次请求相同查询的可能性很小。 为了方便表达,本发明假定攻击者具有的side information是关于用户的近似位置信息, 且每个用户提交查询请求的概率相等;
[0041] 步骤二:TAS接收到用户的查询请求Q后,首先将用户标识u用假名u'替换,并选 择包含用户u和在其附近的至少k-1个其他用户且满足互惠原则的匿名集(AS),然后生成 包含AS中所有k个不同位置(I1,…,Ik)的空间隐形区域(CR)。称生成CR的算法为隐形 算法。u'可以为空,因为有些服务可能不需要用户标识。
[0042] 为了获得更好的伸缩性和更快的服务,隐形算法需要安全、高效地产生隐形区域。 安全就是要保隐形算法本身不会泄露用户的隐私信息;高效就是要使生成隐形区域的代价 最小。已有文献证明满足空间k匿名的隐形算法是安全的,而互惠性原则是隐形算法满足 空间k匿名属性的充分条件,即满足互惠性原则的隐形算法是安全的。下面,先对对互惠性 原则进性说明。
[0043] 假定查询用户是U,其隐私需求为k,其对应的匿名集和隐形区域分别为AS,CR。AS 满足互惠原则,如果1)AS包含U和至少k-1个其他用户;2)对于给定的k值,AS中的每个 用户都产生相同的AS。第2个条件说明AS中的每个用户都包含在该AS中所有其他用户的 CR中。
[0044] 目前,仅有的能满足互惠性原则的隐形算法HC使用希尔伯特空间填充曲线产生 较小(但不一定是最优)的CR。但是,HC在使用希尔伯特空间填充曲线转换用户空间时没 有考虑移动用户在地理空间中的位置分布特征且依赖于专门的数据结构(如B+树),因此 产生隐形区域的代价较大。为此,本发明设计了一种根据用户在地理空间中的位置分布特 征而自适应变化的希尔伯特填充曲线来转换用户空间位置,并采用当前流行的四分树结构 来索引用户位置,大大提高了生成隐形区域的效率。下面详细给出生成用户位置索引和隐 形区域的步骤。
[0045] (1)生成用户位置索引
[0046] 假定U = (U^u2, --?,!〇为所有可能发送LBS请求的用户的集合;L = (I1, I2,… ,In)是用户发送LBS请求的所有可能位置的集合。本发明采用四分树索引结构索引用户的 位置。
[0047] 如图4(a)至4(c)所示,将包含所有用户位置的区域多次进行四分树划分,直到划 分成一些不能再划分的原子区域。原则区域的大小由该区域内所能容纳的用户位置的数量 C决定,即在当前的划分下,如果划分区域中包含的用户位置的数量超过C,则需要对该区 域进一步划分,直到所有原子区域中包含的用户位置数量均不超过C。设定的存储容量C越 小,则对区域的划分粒度越细。具体的说,
[0048] 输入:用户位置集合L和存储容量C ;
[0049] 输出:位置集合L的四分树索引QT ;
[0050] 对位置Ii e L,使用递归方式将数据项插入到QT中。设插入节点为N,若N是叶节 点,且N存储的用户位置数量小于存储容量C,则直接将Ii添加到节点N的位置集合中,否 贝U为节点N新建立四个子节点,并将节点N包含的位置点移动到各自所属的子节点中,然后 确认Ii属于哪个孩子节点包含的区域,记该孩子节点为D,接下来将Ii递归插入节点D中; 若N为中间节点,则需要先确认Ii属于N的哪个孩子节点对应的区域,并记该该子节点为 D,然后将Ii递归插入节点D。通过对每个用户位置点Ii e L依次执行上述节点插入过程, 即可生成用户位置空间的四分树划分QT。
[0051] 获得QT后,根据指定的曲线方向0和起始点Stl,对QT的各叶子节点进行更新,生 成各叶子节点的希尔伯特值H以及中间节点的曲线方向和起始点信息。具体的说,
[0052] 输入:四分树QT,曲线起始点S,曲线方向0 ;
[0053] 输出:更新后的用户位置四分树索引QT ;
[0054] 根据指定的曲线方向0与起始点S,对QT进行深度优先遍历。初始时,首先将根节 点对应区域的起始点QTs和曲线方向QT。初始化为S和0,然后根据希尔伯特填充曲线的分 形规则D1,(如图5所示)逐层确定各中间节点N的曲线方向Ntj与起始点Ns,并以各叶子节 点的访问先后次序计算其对应原子区域的Hilbert值H,也即得到位于该原子区域内用户 位置的Hilbert值,从而生成更新后的用户位置四分树索引QT。图5中,Hilbert曲线方向 分为向下(D1)、向右(R1)、向上(U1)、向左(L1)四种,子区域的序号由区域中的数字指定,各 子区域可以进一步按照图中的规则细分,进而得到阶数更高的曲线。如果改变曲线起始点 的位置,则可以再生成四种分形规则,如D2、R2、U2、L2所示。
[0055] (2)生成隐形区域
[0056] 获得数据空间所有用户位置的四分树索引QT后,需要根据LBS查询请求发送用户 Ui的隐私需求k,遍历QT并产生一个包含Ui及在其附近的至少k-1个其他用户的满足互惠 性原则的匿名集AS,进而高效地形成包含AS中k个用户位置(I1,…,Ik)的隐形区域CR。 具体的说,生成隐形区域的步骤为:
[0057] 输入:用户查询请求发送Ui,隐私需求k,节点N ;
[0058] 输出:隐形区域CR;
[0059] 1.初始化N为QT中包含查询请求发送用户Ui的叶子节点;
[0060] 2.当在N同一层上存在用户数小于k的非空节点;
[0061] 3.从N开始自底向上遍历QT,即N = N的父亲节点;
[0062] 4.重复执行步骤3,直至步骤2的条件不满足为止;
[0063] 5.当N不是叶子节点且N的每个子节点或为空或包含大于k的用户;
[0064] 6.从N开始自顶向下向包含Ui的子节点遍历QT,即N = N的包含Ui子节点;
[0065] 7.重复执行步骤6,直至步骤5的条件不满足为止;
[0066] 8.划分节点N生成隐形区域CR。
[0067] 这里很重要的一个观察是对于隐私需求k,即使初始时节点N包含了足够多的用 户(彡k),如果在同一层中有一个节点N'满足0〈 |N' I <k,仍需要自底向上遍历QT,因为N' 可能包含一个用户U' i,他的匿名集AS包含Ui。
[0068] 假定AN是步骤2条件不满足时节点N的祖先节点,则此时和AN在同一层中的每 个节点要么为空,要么在其子树中包含至少k个用户。这说明了 AS可在节点AN内被局部 地确定,因为所有来自于AN外的查询不需要在它们的匿名集中包含AN的用户。在确定AN 能自行产生一个满足要求的隐形区域后,只要每个子树有至少k个用户,则自顶向下向Ui遍历AN(步骤5-7)。假定PN是自顶向下遍历停止时在AN中的节点,则PN在它的子树中包 含Ui且它有一些子节点包含的用户数小于k。PN被称为划分节点且对应于Ui的最低的祖 先节点,在该节点能够获得互惠性原则。这是因为在AN的子树且在PN这层或上层的所有 节点都包含至少k个用户,这样不需使用PN中的任何节点就能生成CR。
[0069] PN可能包含许多用户数小于k的节点,这可能会产生非常大的隐形区域CR。划分 方法(步骤8)通过将PN子树中的节点分组成不相交的桶来解决这一问题,和用户+在一 个桶中的所有用户形成了 Ui查询请求的匿名集AS。确定AS后,CR为覆盖AS的最小边界 矩形(MBR)。具体地说,
[0070] 假定LN是包含查询发送用户Ui的叶子节。首先考虑划分节点PN在叶子节层,即 PN = LN。将LN中的用户位置按照它们的希尔伯特值H进行排序。对于给定隐私需求k的 查询,将前k个放在第1个桶中,接下来的k个放在第2个桶中,依次类推。因此,除了最 后一个桶中可能包含多达2k-l个点外,其他每个桶中都恰好包含k个点。设r(Ui)是用户 Ui的位置点在希尔伯特值排序序列(1彡r(Ui)彡I LN|)中的位序,则Ui所在的桶b (Ui)包 含希尔伯特值位序排名在范围[s,e]中所有用户。其中,若b (Ui)不是最后一个桶时,S = !?(lO-IXuJ-lilmod k,,e = s+k_l;若 ID(Ui)为最后一个桶,贝Ue= |PN|,s = e_[e mod k] _ k+1 ;其次考虑划分节点PN在叶子层以上,仅需要访问从LN到PN路径上的节点来计算 b (Ui)和它的CR。
[0071] 步骤三:生成隐形区域CR后,TAS使用差分隐私保护技术通过向用户真实位置1, =(Xm xy)添加仔细选择的拉普拉斯噪音来生成扰动位置Ip = (xp, yp),并将Ip = (xp, yp) 作为LBS查询Q = (u',lp,t,c)的位置点转发给LBS服务提供商。具体的说,
[0072] 设^ = (Xm yj是用户U的真实位置,Ip = (xp, yp)是对应于真实位置仁的扰动 位置。假定I1,…,Ik是隐形区域CR中的k个位置,其中的一个位置是L。对于这k个位置 中的任意两个位置Ii = (Xi,Yi)和Ij = (Xj,y」),由差分隐私的定义可知,产生的扰动位置 Ip = (xp, yp)需要满足:
[0073] Pr(Ijli) ^ e EPr (lp I Ij) (1)
[0074] 其中 e 彡 〇 且 i, j G {1,…,k}。
[0075] 式⑴可以通过使用式⑵中参数为b的拉普拉斯分布向位置I, = (x,,y,)中添 加随机噪音实现:
【权利要求】
1. 一种高效的差分扰动位置隐私保护方法,其特征在于,包括以下步骤: A、 移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求 Q = (u, 1,t, c, k)发送给可信匿名服务器TAS ;其中,u表示移动用户的标识;1 = (X,y)表 示移动用户提交LBS查询请求Q所在的位置,(x,y)表示移动用户位置的经纬度;t表示移 动用户提交LBS查询请求Q的时间;c表示LBS查询内容;k表示移动用户的隐私需求参数; B、 TAS接收到查询Q后,将用户标识用假名u'替换,并选择包含用户u和在其附近的 至少k-1个其他用户的匿名集AS,生成包含AS中所有k个不同位置(1:,12,…,l k)的空间 隐形区域CR; C、 TAS使用差分隐私保护技术由包含这k个用户位置(1:,12,…,lk)的空间隐形区域 CR产生一个扰动位置lp = (xp, yp),并将lp = (xp, yp)作为查询Q' = (u',lp, t, c)的位 置点转发给LBS服务提供商; D、 LBS服务提供商根据接收到的LBS查询请求Q' = (u',lp,t,c)处理查询,并将满 足条件的查询结果候选集返回给TAS ; E、 TAS删除假查询结果,并将正确的查询结果转发给相应的移动用户。
2. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤B 中的AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点,TAS选择的 匿名集都是一样的。
3. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤B 具体包括以下步骤: B1、对查询Q中的用户标识u进行处理得到假名u',并记录u和假名u'的对应关系; B2、使用根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特空间填充曲 线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U),构建基于R*树或四分树 的用户位置索引树QT; B3 :根据查询发送用户u所在的叶子结点N,隐私需求k,遍历位置索引树QT,快速选择 包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS,进而高效地形成包含AS中 所有用户位置(I 12,…,lk)的隐形区域CR。
4. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤A 中k值介于1到用户基数之间。
5. -种高效的差分扰动位置隐私保护系统,其特征在于,包括移动用户设备、可信匿名 服务器和不可信位置服务提供商; 所述移动用户设备用于将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务器;其 中,u表示移动用户的标识;1 = (x,y)表示移动用户提交LBS查询请求Q所在的位置,(x,y) 表示移动用户位置的经纬度;t表示移动用户提交LBS查询请求Q的时间;c表示LBS查询 内容;k表示移动用户的隐私需求参数; 可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成;匿名服务器接 收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将用户标识u用假名 u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集,生成包含AS中所有 k个不同位置(1:,…,lk)的空间隐形区域CR,进而差生扰动位置;最终将形成的查询Q = (u',lp,t,c)通过通信模块提交给不可信的位置服务器;结果精炼模块用于对不可信的位 置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块转发给相应的移动用 户设备; 不可信位置服务提供商用于处理LBS查询请求Q = (u',lp,t,c),并将查询结果候选 集返回给可信匿名服务器。
6. 根据权利要求5所述的一种高效的差分扰动位置隐私保护系统,其特征在于,AS满 足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点,TAS选择的匿名集都是 一样的。
7. 根据权利要求5所述的一种高效的差分扰动位置隐私保护系统,其特征在于,k值介 于1到用户基数之间。
【文档编号】H04W4/02GK104394509SQ201410683174
【公开日】2015年3月4日 申请日期:2014年11月21日 优先权日:2014年11月21日
【发明者】桂小林, 张学军, 田丰, 冯志超 申请人:西安交通大学
【专利摘要】本发明公开一种高效的差分扰动位置隐私保护系统及方法,考虑了攻击者可能拥有关于用户辅助信息(side information)的背景知识对已有的基于位置扰动和模糊化技术的位置隐私保护方法形成的挑战,将差分隐私保护技术引入位置模糊化隐私保护方法中,提出通过使用能根据移动用户在地理空间中的分布变化特征而自适应转换用户位置的希尔伯特空间填充曲线和当前流行的四分树或R*树空间索引构建了地理空间所有移动用户的位置索引,从而高效地生成了满足互惠原则的k匿名隐形区域。接着,利用差分隐私保护技术由形成该隐形区域的k个位置点生成合理地接近用户真实位置的位置扰动点作为LBS用户的查询位置向LBS服务提供商请求服务,可以克服现有方法存在的问题和不足。
【专利说明】一种高效的差分扰动位置隐私保护系统及方法 【【技术领域】】
[0001] 本发明涉及位置服务与信息安全领域,尤其涉及一种高效的差分扰动位置隐私保 护系统及方法。 【【背景技术】】
[0002] 随着移动感知电子设备(如智能手机、PDA等)的繁荣,基于位置的服务(LBS)几 乎在所有的社会和商业领域都非常流行。例如GPS导航、地图应用、兴趣点检索、电子优惠 卷发放和位置感知社交网络等。LBS的基本思想是移动用户通过和不可信的服务提供商共 享其位置信息来获取有用的上下文和个性化的服务。
[0003] 虽然LBS给个人和社会带来了巨大的利益,但用户位置信息的日益泄露引发了重 要的隐私问题,特别是位置隐私问题。首先,位置信息本身可能被认为是敏感的。其次,位置 信息可以很容易地被连接到用户通常希望保护的各种其他信息上。例如,通过收集和处理 有规律的精确位置信息(如上下班轨迹、频繁访问的医院等),不可信的服务提供商可以推 断出用户的家庭或办公地址、健康状况、性趣倾向、宗教信仰、政治观点等私人敏感信息。在 极端形式上,监测和控制个人的位置信息甚至已被描述为一种奴役形式。隐私问题的存在, 严重阻碍了 LBS产业的健康发展和商业前景,所以在给用户提供服务的同时能确保用户位 置信息的安全就显得非常重要。
[0004] 为了解决隐私问题,在以前的研究中已经提出了许多隐私保护机制。这些机制大 都基于智能扰动用户位置坐标的思想,即在将精确的用户查询位置提交给服务提供商之 前,先对其进行模糊化处理。最常用的位置模糊化技术就是利用位置k匿名产生包含查询 用户和其附近的至少其他k-1个用户的隐形区域(CR)来代替用户的精确查询位置。这样, 不可信的服务提供商很难区分出用户的真实位置和其他k-1个假位置。然而,基于隐形区 域的位置模糊化技术在保护位置隐私方面存在一些不足。首先,这种技术假定攻击者没有 关于移动用户的一些辅助信息(side information),如用户的位置近似知识(例如一个区 域而非精确位置)、用户的移动特性、与LBS查询语义相关的用户属性(如性别、年龄、职业、 收入、社会地位)、用户的查询频率等。实际中,一些攻击者可能具有关于用户的辅助信息, 所以基于隐形区域的位置模糊化方法不能充分地保护用户的位置隐私。例如,攻击者可以 利用拥有的关于用户近似位置的知识来获取用户更精准的位置信息,进而俘获用户的位置 隐私。如图1所示,具有近似位置知识的攻击者可能会提高多个目标用户的近似位置知识。 其次,这类方法使用隐形区域模糊用户的位置导致了相当大的服务质量下降。有学者提出 使用k匿名和差分隐私混合的位置扰动方法来解决这一问题,但是该方法在利用希尔伯特 填充曲线生成k匿名隐形区域时没有考虑用户位置的分布特征且依赖于专门的数据结构, 极大地增加了隐形区域的生成代价,降低了系统的可伸缩性和服务效率。 【
【发明内容】
】
[0005] 本发明的目的在于提供一种能抵御攻击者具有用户真实位置辅助信息(side information)的高效的差分扰动位置隐私保护系统及方法,以解决现有技术存在的问题和 不足,高效是指匿名服务器产生隐形区域的代价要最小化。
[0006] 为了实现上述目的,本发明采用如下技术方案:
[0007] -种高效的差分扰动位置隐私保护方法,包括以下步骤:
[0008] A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查 询请求Q = (u, 1,t, c, k)发送给可信匿名服务器TAS ;其中,u表示移动用户的标识;1 = (x,y)表示移动用户提交LBS查询请求Q所在的位置,(x,y)表示移动用户位置的经纬度; t表示移动用户提交LBS查询请求Q的时间;c表示LBS查询内容;k表示移动用户的隐私 需求参数;
[0009] B、TAS接收到查询Q后,将用户标识用假名u'替换,并选择包含用户u和在其附 近的至少k-1个其他用户的匿名AS,生成包含AS中所有k个不同位置(I1,…,Ik)的空间 隐形区域CR;
[0010] C、TAS使用差分隐私保护技术由包含这k个用户位置(I1,…,Ik)的匿名空间区域 ASR产生一个扰动位置Ip = (xp, yp),并将Ip = (xp, yp)作为查询Q' = (u',lp, t, c)的位置 点转发给LBS服务提供商;
[0011] D、LBS服务提供商根据接收到的LBS查询请求Q' = (u',lp,t,c)处理查询,并将 满足条件的查询结果候选集返回给TAS ;
[0012] E、TAS删除假查询结果,并将正确的查询结果转发给相应的移动用户。
[0013] 优选的,步骤C中AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查 询位置点,TAS选择的匿名集都是一样的。
[0014] 优选的,步骤B具体包括以下步骤:
[0015] B1、对查询Q中的用户标识u进行处理得到假名u',并记录u和假名u'的对应关 系;
[0016] B2、使用根据用户在地理空间中位置分布特征而自适应变化的希尔伯特空间填充 曲线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U),构建基于R*树或四分 树的用户位置索引树QT;
[0017] B3 :根据查询发送用户u所在的叶子结点N,隐私需求k,遍历位置索引树QT,快速 选择包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS,进而高效地形成包含 AS中所有用户位置(I1,…,Ik)的隐形区域CR。
[0018] 优选的,步骤A中k值介于1到用户基数之间。
[0019] 一种高效的差分扰动位置隐私保护系统,包括移动用户设备、可信匿名服务器和 不可信位置服务提供商;
[0020] 所述移动用户设备用于将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务 器;其中,u表示移动用户的标识;I = (x,y)表示移动用户提交LBS查询请求Q所在的位 置,(x,y)表示移动用户位置的经纬度;t表示移动用户提交LBS查询请求Q的时间;c表示 LBS查询内容;k表示移动用户的隐私需求参数;
[0021] 可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成;匿名服务 器接收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将用户标识u用假 名u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集,生成包含AS中所 有k个不同位置(I1,…,Ik)的空间隐形区域CR,进而差生扰动位置;最终将形成的查询Q =(u',lp,t,c)通过通信模块提交给不可信的位置服务器;结果精炼模块用于对不可信的 位置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块转发给相应的移动 用户设备;
[0022] 不可信位置服务提供商用于处理LBS查询请求Q = (u',lp,t,c),并将查询结果候 选集返回给可信匿名服务器。
[0023] 优选的,AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点, TAS选择的匿名集都是一样的。
[0024] 优选的,k值介于1到用户基数之间。
[0025] 相对于现有技术,本发明具有以下有益效果:本发明将差分隐私保护技术和基于 k匿名的隐形技术相结合,提出使用根据用户在地理空间中的-位置分布特征二自适应变 化的希尔伯特空间填充曲线和流行的空间索引技术(R*树或四分树)能够高效地生成k 匿名隐形区域,然后由该隐形区域中的k个位置点,通过仔细选择的Laplace分布向用户 真实位置中添加噪音来产生扰动位置点,并用该扰动位置作为查询位置向服务提供商请求 服务。差分隐私保护技术不关心攻击者所拥有的任何可能的背景知识,已被证明能有效地 抵御具有任意背景知识的攻击者;另外,通过选取合理地接近用户实际位置的扰动位置来 代替隐形区域请求服务,能在保证查询结果正确性的基础上降低系统的通信开销和计算开 销,从而提高系统的服务质量。
[0026] 通过本发明,可以解决用户在使用各种位置服务的过程中,由于攻击者具有关于 用户辅助信息(side information)知识而俘获用户位置隐私和已有位置隐私保护方法生 成k匿名隐形区域效率低的问题。让移动用户能够高效、放心地使用各种基于位置的服务 应用,促进基于位置服务产业的健康发展。 【【专利附图】
【附图说明】】
[0027] 图1给出了现有技术在攻击者具有用户的side information(如近似位置知识) 知识时的不意图;
[0028] 图2给出了根据本发明的高效差分扰动位置隐私保护系统的方框图;
[0029] 图3给出了根据本发明的高效差分扰动位置隐私保护方法的流程图;
[0030] 图4(a)至4(c)给出了 C取不同值时对用户空间进行四分树划分的示意图;其中 图 4 (a)中 C = 3,图 4 (b)中 C = 2,图 4 (c)中 C = 1 ;
[0031] 图5给出了 Hilbert曲线的分形规则示意图。 【【具体实施方式】】
[0032] 下面结合【专利附图】
【附图说明】和具体实施例对本发明做进一步详细地说明。
[0033] 如图2所示,本发明高效差分扰动位置隐私保护系统包括:移动用户设备、可信匿 名服务器和不可信位置服务提供商。
[0034] 移动用户设备用于将将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务器。 其中,u表示用户的标识;I = (x,y)表示用户提交LBS查询请求Q所在的位置,(x,y)表示 位置的经纬度;t表示用户提交LBS查询请求Q的时间;c表示LBS查询内容,如离用户当前 位置最近的饭店;k表示用户个性化的隐私需求,其范围介于1(没有隐私需求)和用户基 数之间(最大隐私)。
[0035] 可信匿名服务器(TAS)由位置隐私保护模块、结果精炼模块和通信模块组成。具 体来说匿名服务器接收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将 用户标识u用假名u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集, 生成包含AS中所有k个不同位置(I1,…,Ik)的空间隐形区域(CR),进而差生扰动位置。最 终将形成的查询Q = (U',lp,t,c)通过通信模块提交给不可信的位置服务器。结果精炼模 块负责对不可信的位置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块 转发给相应的移动用户设备。
[0036] 不可信位置服务提供商负责处理LBS查询请求Q = (u',lp,t,c),并将查询结果候 选集返回给可信匿名服务器。
[0037] 接下来结合图2和图3,对根据本发明的能够抵御具有side information攻击者 的高效差分扰动位置隐私保护方法进行详细的说明。
[0038] 如图3所示,本发明高效差分扰动位置隐私保护方法,包括以下步骤:
[0039] 步骤一:定义地理空间内的移动用户使用具有GPS定位功能的智能移动设备通过 安全连接信道向TAS发送LBS查询请求Q = (u, 1,t, c, k)。其中,u表示用户的标识;1 = (x,y)表示用户提交LBS查询请求Q所在的位置,(x,y)表示位置的经纬度;t表示用户提 交LBS查询请求Q的时间;c表示LBS查询内容;k表示用户的隐私需求,k值介于1 (没有 隐私需求)到用户基数(最大隐私需求)之间。参数1,t可由GPS定位设备直接获得;参 数c,k需要用户指定。
[0040] 本发明关注快照(snapshot)查询,即攻击者使用的是用户的当前数据而非用户 在特定位置或时间的关于重复查询的历史信息。这一假设在实际中是合理的,因为如果用 户已经获得了他所需要的兴趣项,那么将来在同一位置再次请求相同查询的可能性很小。 为了方便表达,本发明假定攻击者具有的side information是关于用户的近似位置信息, 且每个用户提交查询请求的概率相等;
[0041] 步骤二:TAS接收到用户的查询请求Q后,首先将用户标识u用假名u'替换,并选 择包含用户u和在其附近的至少k-1个其他用户且满足互惠原则的匿名集(AS),然后生成 包含AS中所有k个不同位置(I1,…,Ik)的空间隐形区域(CR)。称生成CR的算法为隐形 算法。u'可以为空,因为有些服务可能不需要用户标识。
[0042] 为了获得更好的伸缩性和更快的服务,隐形算法需要安全、高效地产生隐形区域。 安全就是要保隐形算法本身不会泄露用户的隐私信息;高效就是要使生成隐形区域的代价 最小。已有文献证明满足空间k匿名的隐形算法是安全的,而互惠性原则是隐形算法满足 空间k匿名属性的充分条件,即满足互惠性原则的隐形算法是安全的。下面,先对对互惠性 原则进性说明。
[0043] 假定查询用户是U,其隐私需求为k,其对应的匿名集和隐形区域分别为AS,CR。AS 满足互惠原则,如果1)AS包含U和至少k-1个其他用户;2)对于给定的k值,AS中的每个 用户都产生相同的AS。第2个条件说明AS中的每个用户都包含在该AS中所有其他用户的 CR中。
[0044] 目前,仅有的能满足互惠性原则的隐形算法HC使用希尔伯特空间填充曲线产生 较小(但不一定是最优)的CR。但是,HC在使用希尔伯特空间填充曲线转换用户空间时没 有考虑移动用户在地理空间中的位置分布特征且依赖于专门的数据结构(如B+树),因此 产生隐形区域的代价较大。为此,本发明设计了一种根据用户在地理空间中的位置分布特 征而自适应变化的希尔伯特填充曲线来转换用户空间位置,并采用当前流行的四分树结构 来索引用户位置,大大提高了生成隐形区域的效率。下面详细给出生成用户位置索引和隐 形区域的步骤。
[0045] (1)生成用户位置索引
[0046] 假定U = (U^u2, --?,!〇为所有可能发送LBS请求的用户的集合;L = (I1, I2,… ,In)是用户发送LBS请求的所有可能位置的集合。本发明采用四分树索引结构索引用户的 位置。
[0047] 如图4(a)至4(c)所示,将包含所有用户位置的区域多次进行四分树划分,直到划 分成一些不能再划分的原子区域。原则区域的大小由该区域内所能容纳的用户位置的数量 C决定,即在当前的划分下,如果划分区域中包含的用户位置的数量超过C,则需要对该区 域进一步划分,直到所有原子区域中包含的用户位置数量均不超过C。设定的存储容量C越 小,则对区域的划分粒度越细。具体的说,
[0048] 输入:用户位置集合L和存储容量C ;
[0049] 输出:位置集合L的四分树索引QT ;
[0050] 对位置Ii e L,使用递归方式将数据项插入到QT中。设插入节点为N,若N是叶节 点,且N存储的用户位置数量小于存储容量C,则直接将Ii添加到节点N的位置集合中,否 贝U为节点N新建立四个子节点,并将节点N包含的位置点移动到各自所属的子节点中,然后 确认Ii属于哪个孩子节点包含的区域,记该孩子节点为D,接下来将Ii递归插入节点D中; 若N为中间节点,则需要先确认Ii属于N的哪个孩子节点对应的区域,并记该该子节点为 D,然后将Ii递归插入节点D。通过对每个用户位置点Ii e L依次执行上述节点插入过程, 即可生成用户位置空间的四分树划分QT。
[0051] 获得QT后,根据指定的曲线方向0和起始点Stl,对QT的各叶子节点进行更新,生 成各叶子节点的希尔伯特值H以及中间节点的曲线方向和起始点信息。具体的说,
[0052] 输入:四分树QT,曲线起始点S,曲线方向0 ;
[0053] 输出:更新后的用户位置四分树索引QT ;
[0054] 根据指定的曲线方向0与起始点S,对QT进行深度优先遍历。初始时,首先将根节 点对应区域的起始点QTs和曲线方向QT。初始化为S和0,然后根据希尔伯特填充曲线的分 形规则D1,(如图5所示)逐层确定各中间节点N的曲线方向Ntj与起始点Ns,并以各叶子节 点的访问先后次序计算其对应原子区域的Hilbert值H,也即得到位于该原子区域内用户 位置的Hilbert值,从而生成更新后的用户位置四分树索引QT。图5中,Hilbert曲线方向 分为向下(D1)、向右(R1)、向上(U1)、向左(L1)四种,子区域的序号由区域中的数字指定,各 子区域可以进一步按照图中的规则细分,进而得到阶数更高的曲线。如果改变曲线起始点 的位置,则可以再生成四种分形规则,如D2、R2、U2、L2所示。
[0055] (2)生成隐形区域
[0056] 获得数据空间所有用户位置的四分树索引QT后,需要根据LBS查询请求发送用户 Ui的隐私需求k,遍历QT并产生一个包含Ui及在其附近的至少k-1个其他用户的满足互惠 性原则的匿名集AS,进而高效地形成包含AS中k个用户位置(I1,…,Ik)的隐形区域CR。 具体的说,生成隐形区域的步骤为:
[0057] 输入:用户查询请求发送Ui,隐私需求k,节点N ;
[0058] 输出:隐形区域CR;
[0059] 1.初始化N为QT中包含查询请求发送用户Ui的叶子节点;
[0060] 2.当在N同一层上存在用户数小于k的非空节点;
[0061] 3.从N开始自底向上遍历QT,即N = N的父亲节点;
[0062] 4.重复执行步骤3,直至步骤2的条件不满足为止;
[0063] 5.当N不是叶子节点且N的每个子节点或为空或包含大于k的用户;
[0064] 6.从N开始自顶向下向包含Ui的子节点遍历QT,即N = N的包含Ui子节点;
[0065] 7.重复执行步骤6,直至步骤5的条件不满足为止;
[0066] 8.划分节点N生成隐形区域CR。
[0067] 这里很重要的一个观察是对于隐私需求k,即使初始时节点N包含了足够多的用 户(彡k),如果在同一层中有一个节点N'满足0〈 |N' I <k,仍需要自底向上遍历QT,因为N' 可能包含一个用户U' i,他的匿名集AS包含Ui。
[0068] 假定AN是步骤2条件不满足时节点N的祖先节点,则此时和AN在同一层中的每 个节点要么为空,要么在其子树中包含至少k个用户。这说明了 AS可在节点AN内被局部 地确定,因为所有来自于AN外的查询不需要在它们的匿名集中包含AN的用户。在确定AN 能自行产生一个满足要求的隐形区域后,只要每个子树有至少k个用户,则自顶向下向Ui遍历AN(步骤5-7)。假定PN是自顶向下遍历停止时在AN中的节点,则PN在它的子树中包 含Ui且它有一些子节点包含的用户数小于k。PN被称为划分节点且对应于Ui的最低的祖 先节点,在该节点能够获得互惠性原则。这是因为在AN的子树且在PN这层或上层的所有 节点都包含至少k个用户,这样不需使用PN中的任何节点就能生成CR。
[0069] PN可能包含许多用户数小于k的节点,这可能会产生非常大的隐形区域CR。划分 方法(步骤8)通过将PN子树中的节点分组成不相交的桶来解决这一问题,和用户+在一 个桶中的所有用户形成了 Ui查询请求的匿名集AS。确定AS后,CR为覆盖AS的最小边界 矩形(MBR)。具体地说,
[0070] 假定LN是包含查询发送用户Ui的叶子节。首先考虑划分节点PN在叶子节层,即 PN = LN。将LN中的用户位置按照它们的希尔伯特值H进行排序。对于给定隐私需求k的 查询,将前k个放在第1个桶中,接下来的k个放在第2个桶中,依次类推。因此,除了最 后一个桶中可能包含多达2k-l个点外,其他每个桶中都恰好包含k个点。设r(Ui)是用户 Ui的位置点在希尔伯特值排序序列(1彡r(Ui)彡I LN|)中的位序,则Ui所在的桶b (Ui)包 含希尔伯特值位序排名在范围[s,e]中所有用户。其中,若b (Ui)不是最后一个桶时,S = !?(lO-IXuJ-lilmod k,,e = s+k_l;若 ID(Ui)为最后一个桶,贝Ue= |PN|,s = e_[e mod k] _ k+1 ;其次考虑划分节点PN在叶子层以上,仅需要访问从LN到PN路径上的节点来计算 b (Ui)和它的CR。
[0071] 步骤三:生成隐形区域CR后,TAS使用差分隐私保护技术通过向用户真实位置1, =(Xm xy)添加仔细选择的拉普拉斯噪音来生成扰动位置Ip = (xp, yp),并将Ip = (xp, yp) 作为LBS查询Q = (u',lp,t,c)的位置点转发给LBS服务提供商。具体的说,
[0072] 设^ = (Xm yj是用户U的真实位置,Ip = (xp, yp)是对应于真实位置仁的扰动 位置。假定I1,…,Ik是隐形区域CR中的k个位置,其中的一个位置是L。对于这k个位置 中的任意两个位置Ii = (Xi,Yi)和Ij = (Xj,y」),由差分隐私的定义可知,产生的扰动位置 Ip = (xp, yp)需要满足:
[0073] Pr(Ijli) ^ e EPr (lp I Ij) (1)
[0074] 其中 e 彡 〇 且 i, j G {1,…,k}。
[0075] 式⑴可以通过使用式⑵中参数为b的拉普拉斯分布向位置I, = (x,,y,)中添 加随机噪音实现:
【权利要求】
1. 一种高效的差分扰动位置隐私保护方法,其特征在于,包括以下步骤: A、 移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求 Q = (u, 1,t, c, k)发送给可信匿名服务器TAS ;其中,u表示移动用户的标识;1 = (X,y)表 示移动用户提交LBS查询请求Q所在的位置,(x,y)表示移动用户位置的经纬度;t表示移 动用户提交LBS查询请求Q的时间;c表示LBS查询内容;k表示移动用户的隐私需求参数; B、 TAS接收到查询Q后,将用户标识用假名u'替换,并选择包含用户u和在其附近的 至少k-1个其他用户的匿名集AS,生成包含AS中所有k个不同位置(1:,12,…,l k)的空间 隐形区域CR; C、 TAS使用差分隐私保护技术由包含这k个用户位置(1:,12,…,lk)的空间隐形区域 CR产生一个扰动位置lp = (xp, yp),并将lp = (xp, yp)作为查询Q' = (u',lp, t, c)的位 置点转发给LBS服务提供商; D、 LBS服务提供商根据接收到的LBS查询请求Q' = (u',lp,t,c)处理查询,并将满 足条件的查询结果候选集返回给TAS ; E、 TAS删除假查询结果,并将正确的查询结果转发给相应的移动用户。
2. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤B 中的AS满足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点,TAS选择的 匿名集都是一样的。
3. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤B 具体包括以下步骤: B1、对查询Q中的用户标识u进行处理得到假名u',并记录u和假名u'的对应关系; B2、使用根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特空间填充曲 线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U),构建基于R*树或四分树 的用户位置索引树QT; B3 :根据查询发送用户u所在的叶子结点N,隐私需求k,遍历位置索引树QT,快速选择 包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS,进而高效地形成包含AS中 所有用户位置(I 12,…,lk)的隐形区域CR。
4. 根据权利要求1所述的一种高效的差分扰动位置隐私保护方法,其特征在于,步骤A 中k值介于1到用户基数之间。
5. -种高效的差分扰动位置隐私保护系统,其特征在于,包括移动用户设备、可信匿名 服务器和不可信位置服务提供商; 所述移动用户设备用于将LBS查询请求Q = (u,1,t,c,k)发送给可信匿名服务器;其 中,u表示移动用户的标识;1 = (x,y)表示移动用户提交LBS查询请求Q所在的位置,(x,y) 表示移动用户位置的经纬度;t表示移动用户提交LBS查询请求Q的时间;c表示LBS查询 内容;k表示移动用户的隐私需求参数; 可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成;匿名服务器接 收到移动用户设备发出的一个查询Q时,由位置隐私保护模块负责将用户标识u用假名 u'替换,选择包含用户u和在其附近的至少k-1个其他用户的匿名集,生成包含AS中所有 k个不同位置(1:,…,lk)的空间隐形区域CR,进而差生扰动位置;最终将形成的查询Q = (u',lp,t,c)通过通信模块提交给不可信的位置服务器;结果精炼模块用于对不可信的位 置服务器返回的查询结果集进行求精处理,并将精确结果经通信模块转发给相应的移动用 户设备; 不可信位置服务提供商用于处理LBS查询请求Q = (u',lp,t,c),并将查询结果候选 集返回给可信匿名服务器。
6. 根据权利要求5所述的一种高效的差分扰动位置隐私保护系统,其特征在于,AS满 足互惠性原则:不管这k个位置点中哪一个点被当作是查询位置点,TAS选择的匿名集都是 一样的。
7. 根据权利要求5所述的一种高效的差分扰动位置隐私保护系统,其特征在于,k值介 于1到用户基数之间。
【文档编号】H04W4/02GK104394509SQ201410683174
【公开日】2015年3月4日 申请日期:2014年11月21日 优先权日:2014年11月21日
【发明者】桂小林, 张学军, 田丰, 冯志超 申请人:西安交通大学
相关技术
网友询问留言
已有0条留言
- 还没有人留言评论。精彩留言会获得点赞!
1