LBS中抵御推测攻击的位置数据的处理方法和处理装置与流程

本发明涉及移动互联网用户隐私保护，特别是涉及一种lbs中抵御推测攻击的位置数据的处理方法和处理装置。

背景技术：

随着移动互联网技术的发展，在移动互联网应用lbs中，越来越多的lbs用户的位置轨迹数据被收集。一方面，这些位置数据能够用于提高许多应用，如移动管理、识别朋友、生成地图等等。另一方面，用户的位置隐私同时被不可信的数据聚合器收集，从而导致个人敏感信息泄露，如生活方式、政治信仰等。此外，数据收集者很大可能会非法使用或出售用户轨迹数据，进而产生更严重的隐私泄露风险。

目前常用的防止用户数据被恶意收集的方法是将用户轨迹与合成轨迹匿名在一起，但是由于现有的合成技术大多是基于简单的启发式，不能很好的考虑lbs用户运动的社交特征与运动习惯，且忽略了用户位置的语义信息。因此，攻击者可以通过用户运动的时间、空间和社交特征来过滤掉合成轨迹，从而识别用户的真实轨迹，造成用户个人隐私信息泄露。

技术实现要素：

本发明的目的是：提高lbs用户数据的隐私保护的安全性。

为了达到上述目的，本发明的技术方案是提供了一种lbs中抵御推测攻击的位置数据的处理方法，其特征在于，包括以下步骤：

(1)用户运动习惯建模：

将用户的轨迹映射到时间、空间、社交组成的三维空间，用户的运动习惯分为两类，随机跳跃运动的位置点称为“社交位置”，周期运动的位置点称为“非社交位置”；

(2)抵御位置推测攻击的轨迹合成：

合成轨迹与真实轨迹拥有相似的时间、空间和社交运动习惯，以有效保护用户位置隐私，为避免用户轨迹在某一维度上被匿名，但在其他维度上被攻击者识破的风险，采取垂直分割三维轨迹的方法，即合成的轨迹在每一维度上都与真实轨迹具有相似的运动特征；

(3)隐私保护和轨迹数据有用性理论分析：

利用差分隐私进一步理论证明隐私保护强度，即在时间、空间、社交三个维度均提供(ε，δ)-差分隐私，其中ε和δ表示隐私参数。

优选地，所述步骤(2)包括以下步骤：

步骤201、用用户ui的有影响力的朋友的位置作为社交种子位置点，将用户ui的朋友按照影响力的大小排序，然后选择nf个最有影响力的朋友，将他们的位置作为社交种子位置点；

步骤202、选择与用户ui具有相似时间、空间习惯的用户的轨迹，为此首先定义时间、空间相似度：

式中，表示用户朋友的运动中心点，表示社交习惯中朋友位置的均值)，表示非社交位置的均值。

之后将被选择的用户的位置当做非社交种子位置；

然后，合成轨迹，包括以下步骤：

首先从社交(非社交)种子的位置中选择满足：至少存在一条合成轨迹使得下式成立的位置

式中，表示时刻，s表示社交集合，表示非社交集合，表示从非社交种子位置中选择满足：至少存在一条合成轨迹使得上式成立的位置，表示从社交种子位置中选择满足：至少存在一条合成轨迹使得上式成立的位置，表示位置的集合，表示社交位置的地理数据分析任务，表示合成轨迹上的社交位置集合，δf为设定的阈值，表示用户的非社交位置，表示合成轨迹上的非社交位置集合；

随后从选出来的位置数据集中以概率采样，采样的位置在地理上连贯的被认为是合成位置，则合成位置数据构成合成轨迹，之后从合成轨迹集中选择不少于k个满足下式约束的合成轨迹作为最后的输出：

其中，是用户uτ的轨迹；uτ的位置在时刻被选作合成第j条合成轨迹，δf′表示为设定的阈值。

本发明的另一个技术方案是提供了一种lbs中抵御推测攻击的位置数据的处理装置，其特征在于，包括：

(1)区别用户运动的社交位置点和非社交位置点模块，用于在对用户运动习惯建模之前判断其符合哪种建模条件；

(2)建模用户运动的社交模型模块，用于判断互为朋友关系的两个用户是否访问相同的位置，并提出动态策略，在用户发送位置的同时更新对该用户的运动有影响力的朋友，以此来解决用户运动社交习惯建模困难的问题；

(3)建模用户运动的非社交模型模块，用于根据用户周期运动围绕的若干中心点建模其运动的非社交习惯，分别对用户运动的时间和空间习惯建模；

(4)寻找社交位置种子模块，用于选择最有影响力的朋友的位置作为社交种子位置点，并用于合成社交位置；

(5)寻找非社交位置种子模块，用于合成非社交位置，选择与用户具有相似空间和时间运动习惯的用户的轨迹，并把被选用户的位置作为非社交种子位置；

(6)合成抵御推测攻击的轨迹模块，用于匿名合成社交位置或非社交位置，从其种子位置中以一定概率采样，采样的位置在地理上连续的被认为是合成位置；

(7)分析隐私保护强度和位置数据有用性的性能模块，利用差分隐私进一步理论证明隐私保护强度和数据有用性。

优选地，所述区别用户运动的社交位置点和非社交位置点的模块中，根据用户运动的不同习惯特点区分社交或非社交位置，即运动是否具有较强的周期性和随机跳跃性。

优选地，所述建模用户运动的社交模型模块中，还包括考虑用户访问离他运动中心点近的朋友概率更大。

优选地，所述建模用户运动的非社交模型模块中，还包括时空习惯的动态性，即相应的访问位置点的概率随时间变化。

优选地，所述寻找社交位置种子模块中，在选择社交种子位置点之前，先将用户的朋友按照影响力的大小排序。

优选地，所述寻找社交位置种子模块和寻找非社交位置种子模块中，还包括保护提供种子位置点的用户的位置隐私，即避免攻击者通过观察合成轨迹来推测出这些用户的轨迹。

优选地，所述合成抵御推测攻击的轨迹模块中，在合成轨迹的同时保证数据的有用性。

优选地，所述分析隐私保护强度和位置数据有用性的性能模块中，当且仅当地理数据分析任务可分解时，能保证每个用户的轨迹数据的有用性。

本发明能够有效抵御移动互联网应用lbs中的位置推测攻击，良好地保护了移动互联网用户的数据隐私。

附图说明

图1是一个实施例方案的工作环境的示意图；

图2是一个实施例的服务器组成结构的示意图；

图3是一个实施例中lbs中抵御推测攻击的位置数据的处理方法的流程示意图；

图4是一个实施例中lbs中抵御推测攻击的位置数据的处理方法的总体研究思路图；

图5是一个实施例中lbs中抵御推测攻击的位置数据的处理装置的结构示意图。

具体实施方式

下面结合具体实施例，进一步阐述本发明。应理解，这些实施例仅用于说明本发明而不用于限制本发明的范围。此外应理解，在阅读了本发明讲授的内容之后，本领域技术人员可以对本发明作各种改动或修改，这些等价形式同样落于本申请所附权利要求书所限定的范围。

本实施例公开了一种lbs中抵御推测攻击的位置数据的处理装置。图1给出了本发明一个实施例中的工作环境示意图，如图1所示，用户101先发送轨迹给可信的匿名代理(可信服务器)102以生成合成轨迹，匿名代理102会匿名真实轨迹与合成轨迹，之后将匿名的轨迹发送给数据收集者103，进行地理数据分析任务，比如搜索前k个常访问的地点以及更新地图等等。本发明中，数据收集者103是半可信的，他们严格执行地理分析任务，但是却企图通过推测朋友关系来攻击和过滤合成轨迹，识别用户101的真实轨迹。

图2给出了一个实施例中可信的服务器102的组成结构示意图，该用户终端包括通过系统总线连接的处理器、供电模块、存储介质、通信接口和内存。其中，存储介质存放有操作系统、数据库以及一种合成抵御位置推测攻击轨迹的计算机程序；处理器用于提供计算和控制能力，负责执行该程序，实现一种lbs中抵御推测攻击的位置数据的处理方法；通信接口主要用于用户101与可信服务器102、可信服务器102与数据收集者103之间的通信。

图3给出了一个实施例中lbs中抵御推测攻击的位置数据的处理方法的流程示意图，该实施例是以可信服务器102的处理方法为例进行说明。如图3所示，该实施例中lbs中抵御推测攻击的位置数据的处理方法包括：

步骤s301：区别用户运动的社交位置点和非社交位置点；

步骤s302：定义朋友对用户运动的影响力，建模用户运动的社交模型；

步骤s303：建模用户运动的非社交模型，即时—空运动模型；

步骤s304：寻找社交种子位置；

步骤s305：寻找非社交种子位置；

步骤s306：合成抵御推测攻击的轨迹；

步骤s307：分析w³-tess的隐私保护强度和位置数据有用性的性能。

基于如上所述的实施例，图4给出了一个具体示例中的lbs中抵御推测攻击的位置数据的处理方法的总体研究思路图。

将用户101的轨迹映射到时间、空间和社交的三维空间，将随机跳跃运动位置点称为“社交位置”，周期运动中的位置称为“非社交位置”。

合成轨迹的思路是在每一个维度上从所谓的种子位置中采样，用采样的位置点合成轨迹。首先，为了合成社交位置，本发明提出用用户ui的有影响力的朋友的位置作为社交种子位置点，因为有影响力的朋友与ui有相似的社交习惯。现将ui的朋友按照影响力的大小排序，然后选择nf个最有影响力的朋友，将他们的位置作为社交种子位置点。

其次，为了合成非社交位置，提出选择与ui具有相似时间、空间习惯的用户的轨迹。为此首先定义时间、空间相似度：

式中，表示用户朋友的运动中心点，表示社交习惯中朋友位置的均值，表示非社交位置的均值。

之后将被选择的用户的位置当做非社交种子位置。

然后，合成轨迹。具体来说，首先从社交(非社交)种子的位置中选择满足：至少存在一条合成轨迹使得下式成立的位置

式中，表示时刻，s表示社交集合，表示非社交集合，表示从非社交种子位置中选择满足：至少存在一条合成轨迹使得上式成立的位置，表示从社交种子位置中选择满足：至少存在一条合成轨迹使得上式成立的位置，表示位置的集合，表示社交位置的地理数据分析任务，表示合成轨迹上的社交位置集合，δf为阈值，表示用户的非社交位置，表示合成轨迹上的非社交位置集合。

随后从选出来的位置数据集中以概率采样，采样的位置在地理上连贯的被认为是合成位置，则合成位置数据构成合成轨迹。之后从合成轨迹集中选择不少于k个满足下式约束的合成轨迹作为最后的输出：

其中，是用户uτ的轨迹；uτ的位置在时刻被选作合成第j条合成轨迹，δf′表示阈值。

利用差分隐私理论分析隐私保护和轨迹数据有用性。得到如下结论：

为每一个用户提供(ε，δ)-差分隐私，0＜ρ＜1，ε≥-ln(1-ρ)，

式中，ε和δ表示隐私参数，k表示元组，i表示p(t).temporal的个数，n表示轨迹集合中满足p(t’).temporal＝p(t).temporal的元组数。

保证每个用户ui的轨迹数据有用性，在轨迹数据分析任务中，提供(k，ε，δ)-差分隐私，其中0＜ρ＜1，ε≥-ln(1-ρ)(k-1)，

图5给出了一个实施例中的lbs中抵御推测攻击的位置数据的处理装置的结构示意图，该实施例以服务器为例进行说明。如图5所示，该实施例中的lbs中抵御推测攻击的位置数据的处理装置包括：

区别用户运动的社交位置点和非社交位置点模块501，用于在对用户运动习惯建模之前判断其符合哪种建模条件，应该根据用户运动的不同习惯特点区分社交或非社交，如运动是否具有较强的周期性和随机跳跃性等等；

建模用户运动的社交模型模块502，用于判断互为朋友关系的两个用户是否访问相同的位置，并提出动态策略，在用户发送位置的同时更新对该用户有影响力的朋友，以此来解决用户社交习惯建模困难的问题，还包括考虑时空动态性时，用户访问离他运动中心点近的朋友可能性更大；

建模用户运动的非社交模型模块503，用于根据用户周期运动围绕的若干中心点建模其运动的非社交习惯，分别对用户运动的时间和空间习惯建模，还包括时空习惯的动态性，即相应的访问位置点的概率随时间变化；

寻找社交位置种子模块504，用于选择最有影响力的朋友的位置作为社交种子位置点，并合成社交位置，在选择社交种子位置点之前，需要先将用户的朋友按照影响力的大小排序；

寻找非社交位置种子模块505，用于合成非社交位置，选择与特定用户具有相似空间和时间习惯的用户的轨迹，并把被选用户的位置作为非社交种子位置，；

模块504和505还包括保护位置隐私的合成轨迹模块，用于避免攻击者通过观察合成轨迹来推测出用户的真实轨迹；

合成抵御推测攻击的轨迹模块506，用于匿名合成社交(非社交)位置，从其种子位置中以概率采样，采样的位置在地理上连续的被认为是合成位置；

分析隐私保护强度和位置数据有用性的性能模块507，利用差分隐私进一步理论证明隐私保护强度和数据有用性。