一种安全组群位置查询方法及系统的制作方法
【专利摘要】本发明方法及系统采用随机坐标变换和坐标挑战,实现服务器与用户终端之间的安全位置信息传递和查询。在用户手机端和服务器端分别建立变换坐标系。采用坐标挑战的方式,得到手机端临时坐标系与服务端查询坐标系的映射关系,接着,用户真实的位置坐标首先在安全内存与计算空间内映射到终端临时坐标系,然后再在普通环境中变换为中心服务端查询坐标系内,并把坐标传输到中心。中心根据用户搜索条件,将相关的地图信息也映射到查询坐标系内,在坐标系内完成搜索并将搜索结果发回终端。终端在普通环境中将搜索结果从查询坐标系转化回临时坐标,然后再在安全环境中把临时坐标转换成原始坐标,最终得到搜索结果在现实坐标系中的位置。
【专利说明】
-种安全组群位置查询方法及系统
技术领域
[0001] 本发明设及信息处理技术,具体设及一种安全组群位置查询方法及系统。
【背景技术】
[0002] 组群位置查询(也称组群最近邻查询),是在若干用户之中,依据某些规则查找最 适合的集合点,使得运些用户到集合点的路程或时间总消耗最小。运在位置服务中有很大 的作用,比如在一组朋友中,查询最佳的聚会点;或旅行中对一组各自行动的游客查询最佳 的集合地点等等。运种组群位置查询业务,都需要组群用户将自己的位置信息上传到中屯、 服务器,由中屯、服务器根据用户位置查找最适合的集合点。在运样的应用模式下,位置信息 的安全性是最大的问题。一量中屯、服务器中存在监听进程或木马程序窃取用户上传的位 置,则组群中所有用户的位置隐私都会暴露,造成批量用户位置隐私泄露。
[0003] 因此,在运种群组位置查询的应用场景中,位置信息的保护特别重要。如果仅仅是 对用户上传的数据进行加密,是无法应对中屯、服务器的木马监听危险,因为中屯、服务器必 须对用户数据进解密,才能对运个组群的用户进行相应的位置查询捜索服务得到组群的最 佳集合点等捜索结果。例如,在论文化BS中面向协同位置隐私保护的群组最近邻查询》(通 信学报,2015第(3)期)中提出一种使用位置随机扰动和口限秘密共享的密码系统来安全地 计算用户群组的质屯、位置,其能应对共谋攻击和距离交叉攻击,无法应对中屯、服务器中存 在木马窃取解密后明文位置的情况。
【发明内容】
[0004] 为此,本发明提出一种安全组群位置查询方法及系统,有效提高了用户位置信息 的安全性,具体方案如下:一种安全组群位置查询方法,包括W下步骤:
[0005] S1、在用户终端建立临时坐标系,中屯、服务器端建立查询坐标系;
[0006] S2、通过坐标挑战获取从临时坐标系到查询坐标系转换关系;
[0007] S3、用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内,并 在普通环境中将转换为查询坐标发送至中屯、服务器端;
[000引S4、中屯、服务器端接受到查询坐标后,根据查询坐标在查询坐标系内进行组群位 置查询,并将查询后查询坐标信息及对应地图信息发送至用户终端;
[0009] S5、用户终端接收中屯、服务器端发送的信息,在普通环境中将信息从查询坐标系 转化为临时坐标系,然后在安全环境中将临时坐标转换成原始坐标,获得在现实坐标系的 位置信息。
[0010] 进一步的,所述的步骤S2的具体步骤是:
[0011] S21、由一用户发起组群位置查询应用请求;在其用户终端上随机生成一组坐标变 换参数{ei,Ki,Li},并保存在安全环境存储区内,根据坐标变换参数生成对应的临时坐标 系;
[0012] S22、组群内其它用户响应并同意进行组群位置查询,则每个用户均在自己用户终 端上随机生成一组坐标变换参数{01,1(1,以},并保存在安全环境存储区内,1 = 1、2、3、 4……、n,n为组群内的用户总数,根据变换参数对应的临时坐标系;
[0013] S23:中屯、服务器端在所有用户均同意进行位置查询之后,在安全环境内部随机生 成一组坐标变换参数{θ〇,Κο,Lo},并保存在安全环境存储区内,根据变化参数生成一个专口 响应本次组群位置查询的查询坐标系;
[0014] S24、中屯、服务器端生成随机的原始坐标{XI,Y1}、{Χ2,Υ2}、{X3,Υ3},并将原始坐 标发送至安全环境内,利用查询坐标转换参数{e〇,K〇,L〇}在安全环境内将运Ξ个坐标转换 为对应的在查询坐标内的位置阳'1,护1}、悼'2,护2}、悼'3,护3},并在安全环境内根据混 淆算法对悼' 1,护1}、悼' 2,Y" 2}、悼' 3,Y" 3}进行混淆,得到G1、G2、G3,输出到中屯、服务器。 中屯、服务器将{XI,Y1}、{X2,Υ2}、{Χ3,Υ3巧日混淆后的G1、G2、G3运六个数据做为挑战数据, 发送给所有用户终端;
[0015] 525、用户终端在接收数据后,将巧1,¥1}、村2,¥2}、巧3,¥3}发送至安全环境内,通 过之前保存在安全存储区内的{0i,Ki,Li}转换为终端临时坐标系里的坐标{Χ'1,Υ'1}、{Χ' 2,¥'2}、巧'3,¥'3},将混淆后的61、62、63送往安全环境内,通过对应的反混淆算法,得到 阳'l,r 1}、阳'2,护2}、悼'3,护3},在安全环境中通过巧'1,¥'1}、村'2,¥'2}、村'3,¥'3}与 {Χ"1,Υ"1}、{Χ"2,Υ"2}、{Χ"3,Υ"3}的关系,求得终端临时坐标系到中屯、查询坐标系的转换 失暴{φ,Μ,Ν}:
[0016]
[0017 ] 将如Μ,W直接返回给普通环境。
[001引进一步的,所述的步骤S3的具体步骤是:
[0019] 用户终端开始上传位置用于组群位置查询,假设某终端的当前位置为(Xi,Yi),将 原始坐标送入安全环境内,并转换为终端临时坐标系内的坐标(Xai,化i)送回普通环境,转 换为中屯、查询坐标系的内坐标(甜i,孔i),将(甜i,孔i)上传到中屯、服务器端。
[0020] 进一步的,所述的步骤S4的具体步骤是:
[0021] S41、中屯、服务器端在接收到所有用户终端上传的位置(Xbi,Ybi)后,把地图数据 送往安全环境,并变换到中屯、查询坐标系,然后返回给组群查询引擎;
[0022] S42、将查询结果坐标发送回每个终端。
[0023] 进一步的,所述的步骤S5的具体步骤是:
[0024] S51、在每个用户终端内,将查询结果从中屯、查询坐标系再转换为终端临时坐标 系;
[0025] S52、在安全环境内并反变换为原始坐标,得到组群位置查询结果,返回给普通环 境相应应用程序中。
[0026] 进一步的,所述的临时坐标系或查询坐标系区别于真实坐标系,由真实坐标系变 换到临时坐标系或查询坐标系W及由临时坐标系或查询坐标系变换到真实坐标系的具体 方法是:假设变换参数为{0,K,U,其中参数Θ为坐标旋转参数,参数K,L为坐标平移参数,假 设用户的真实坐标是{Χ,Υ},则利用变换参数{θ,κ,υ变换到另一个坐标系内的坐标{X', Υ'}的方法为:
[0027]
[0028] 反之,从变换坐标{Χ',Υ'}变换回原始坐标{Χ,Υ}的方法为:
[0029]
[0030] 任选的,所述的硬件安全环境为安全忍片、加密机、加密卡中的任意一种。
[0031] 任选的,所述的混淆算法为异或混淆、重构混淆或自定义混淆算法中的任意一种。
[0032] 一种安全组群位置查询系统,包括:
[0033] 坐标系建立模块,用于在用户终端建立临时坐标系,中屯、服务器端建立查询坐标 系;
[0034] 坐标挑战模块,用于通过坐标挑战获取从临时坐标系到查询坐标系转换关系;
[0035] 用户终端发送处理模块,用于用户终端在安全环境中将用户真实坐标位置映射到 用户终端临时坐标内,并在普通环境中将转换为查询坐标发送至中屯、服务器端;
[0036] 中屯、服务器端处理模块,用于中屯、服务器端接受到查询坐标后,在查询坐标系内 进行组群位置查询,并将查询后查询坐标信息及对应地图信息发送至用户终端;
[0037] 用户终端接收处理模块,用户终端接收中屯、服务器端发送的信息,在普通环境中 将信息从查询坐标系转化为临时坐标系,然后在安全环境中将临时坐标转换成原始坐标, 获得在现实坐标系的位置信息。
[0038] 与现有技术相比,本发明中原始位置信息都在用户自己的终端上完成转换,而在 中屯、采用变换坐标系内运行组群查询引擎,从而避免了中屯、服器中存在木马监听窃取组群 所有人位置的风险。
【附图说明】
[0039] 图1为本发明一实施例安全组群位置查询系统原理图。
【具体实施方式】
[0040] 为进一步说明各实施例,本发明提供有附图。运些附图为本发明掲露内容的一部 分,其主要用W说明实施例,并可配合说明书的相关描述来解释实施例的运作原理。配合参 考运些内容,本领域普通技术人员应能理解其他可能的实施方式W及本发明的优点。现结 合附图和【具体实施方式】对本发明进一步说明。
[0041] 参阅图1,示出了本发明安全组群位置查询系统原理图,具体设及的模块解释如 下:坐标系变换:本发明采用的坐标系变换为旋转和平稳变换,变换参数假设为{0,K,L},其 中每一个参数Θ为坐标旋转参数,第2,3个参数K,L为坐标平移参数。假设用户的真实坐标是 巧^},则利用变换参数{9,1(,1^变换到另一个坐标系内的坐标巧',¥'}的方法为:
[0042]
[0043] 反之,从变换坐标{Χ',Υ'}变换回原始坐标{Χ,Υ}的方法为:
[0044]
[0045] 坐标混淆算法:在终端和中屯、之间事先约定的一个混淆算法。将坐标变换成一串 不易被人理解的数据,用G = f(x,y)表示,G为混淆后数据串,(x,y)为坐标。反之,解混淆用 (x,y)=f'(G)表示。混淆算法可W是成熟的混淆算法中的一种(如异或混淆、重构混淆等) 或自行定义。混淆和解混淆运行在安全环境或硬件安全模块中,W防止算法被破解。
[0046] 终端普通环境:即普通手机上没有安全保护的系统环境,在运样的环境中容易存 在木马、病毒和恶意程序,同时普通环境中的内存数据也可能被探测和窃取。
[0047] TrustZone安全环境:基于ARM9及更高版本嵌入式处理器所支持的安全环境,在 ARM9及W上版本的手机上可由普通环境调用运一安全环境并从安全环境中返回经其处理 过的数据,在安全环境中严格运行特定的程序,外部其它程序不能运行在TrustZone安全环 境内,安全环境内存在的变量和内存均无法被普通环境探知。
[004引硬件安全模块:专口的加解密和安全存储设备,可W是安全忍片、加密机、加密卡 等。运类硬件安全模块特点是内部包含安全存储区,安全算法区。安全存储区和安全算法区 内的数据均不能从外部读取。硬件安全模块可通过串口、I2C、SPI、W太网接口等通信方式 与主机或主机CPU通信。从主机接收数据后,安全算法区内的算法调用安全存储区内的坐标 变换参数进行坐标变换或混淆,将结果再送回主CPU。运样,坐标变换、混淆的过程和参数无 法从外部获知,实现高安全级的数据处理过程。硬件安全模块特点是只能进行特定的数据 计算,无法支持地图数据等大数据量的查询捜索应用,无法在硬件安全模块内部运行组群 位置查询引擎。
[0049] 组群位置查询引擎:实现组群位置查询,设及地图数据的处理及使用,W及复杂的 导航、可达性分析等算法。
[0050] 本实施例中安全环境具体指化ustZone安全环境,可W知道的是,对于安全环境类 型只要满足在安全环境中严格运行特定的程序,外部其它程序不能运行在安全环境内,安 全环境内存在的变量和内存均无法被普通环境探知即可。
[0051] 本发明方法采用随机坐标变换和坐标挑战,实现服务器与用户终端之间的安全位 置信息传递和查询。在用户手机端和服务器端分别建立一个变换坐标系。采用坐标挑战的 方式,得到手机端临时坐标系与服务端查询坐标系的映射关系。接着,用户真实的位置坐标 首先在ARM9及W上版本处理器所支持的TrustZone安全内存与计算空间内映射到终端临时 坐标系,然后再在普通环境中变换为中屯、服务端查询坐标系内,并把坐标传输到中屯、。中屯、 根据用户捜索条件,将相关的地图信息也映射到查询坐标系内,在坐标系内完成捜索。将捜 索结果发回终端。终端在普通环境中把捜索结果从查询坐标系转化回临时坐标,然后再在 TrustZone安全环境中把临时坐标转换成原始坐标,从而最终得到捜索结果在现实坐标系 中的位置。本实施例的具体步骤如下:
[0052]首先建立在用户终端建立临时坐标系,中屯、服务器端建立查询坐标系;其建立的 方式由上述坐标系变换方法可知;
[0化3] 坐标挑战的步骤:
[0054] 步骤一:由某个用户发起组群位置查询应用请求;并在自已手机终端上随机生成 一组坐标变换参数{01,1(1,1^1},并保存在化113*2〇116安全存储区内。该组参数用于将真实坐 标系变换为终端临时坐标系。
[0055] 步骤二:组群内其它用户响应并同意进行组群位置查询,则每个用户均在自己手 机终端上随机生成一组坐标变换参数{:目1,Κι,Li}并保存在化ustZone安全存储区内,下标代 表用户,假设组群内共有η个用户,则1 = 1,2,3,4...11。变换参数用于生成各自终端上的临 时坐标系。
[0056] 步骤Ξ:中屯、在所有用户均同意进行位置查询之后,发送指令给与之相连的硬件 安全模块,由硬件安全模块内部随机生成一组坐标变换参数{θ〇,Κο,Lo}并保存在安全存储 区内。该组参数用于产生一个专口响应本次组群位置查询的"查询坐标系"。并在查询结束 后把该组参数销毁。
[0057] 步骤四:每个用户终端都需要坐标知道如何从终端临时坐标系映射到中屯、的查询 坐标系。运时由中屯、坐标挑战完成。中屯、生成随机的Ξ个原始坐标{Χ1,Υ1}、{Χ2,Υ2}、{Χ3, Υ3},并将Ξ个原始坐标送到硬件安全模块内,利用查询坐标转换参数{0〇,K〇,L〇}在硬件安 全模块内将运Ξ个坐标转换为对应的在查询坐标内的位置阳' 1,Y" 1}、悼' 2,Y" 2}、悼' 3,Y" 3},并在硬件安全模块内根据混淆算法对悼' 1,Y" 1}、悼' 2,Y" 2}、悼' 3,Y" 3}进行混淆,得到 G1、G2、G3,输出给中屯、服务器。中屯、服务器将{X1,Y1}、{X2,Y2}、{X3,Y3巧P混淆后的G1、G2、 G3运六个数据做为挑战数据,发送给所有终端。
[0化引步骤五、终端在接收六个数据后,将{XI,Y1}、{Χ2,Υ2}、{X3,Υ3}送往化ustZone安 全环境内,通过之前保存在安全存储区内的{0i,Ki,Li}转换为终端临时坐标系里的坐标村' 1,¥'1}、村'2,¥'2}、村'3,¥'3}。将混淆后的61、62、63送往化113*20116安全环境内,通过对应 的反混淆算法,得到悼'1,护1}、悼'2,护2}、阳'3,护3}原文。在化113*20116中通过口'1,¥' 1}、口'2,¥'2}、口'3,¥'3}与悼'1,护1}、悼'2,护2}、悼'3,护3}的关系,可求得终端临时坐 标系到中屯、查询坐标系的转换关系哈,M,.~'!;
[0化9]
[0060] 将缺,如,斯}无需特殊安全保护,直接返回给普通环境。
[0061 ]用户终端发送处理步骤:
[0062]步骤六:终端开始上传位置用于组群位置查询,假设某终端的当前位置为(Xi, Yi),将原始坐标送入化ustZone安全环境内,利用{0i,Ki,Li巧日式(1)转化为终端临时坐标 系内的坐标(Xai,化i)送回普通环境。再利用{戰斯辦转换为中屯、查询坐标系的内坐标 (甜i,Ybi)。将(甜i,孔i)上传到中屯、。
[0063] 中屯、服务器端处理步骤:
[0064] 步骤屯:中屯、在接收到所有终端上传的位置(乂61,¥61),1 = 1,2,-'11后,把地图数 据送往硬件安全模块,通过{0〇,K〇,L〇}变换到中屯、查询坐标系,并返回给组群查询引擎。地 图数据包括道路数据、P0I数据等。由于坐标系是线性变换,因此原始坐标与查询坐标中的 点与点的距离、路程所费时间等等地理量是等价的。在中屯、查询坐标系中利用查询引擎进 行组群位置查询(引擎中的查询算法可用任意组群位置查询算法,本发明专利阐述的是安 全的查询过程,与具体查询算法无关)。运样在进行组群查询时,是在一个经过变换的坐标 系里查询的,因此中屯、服务器上的木马只能窃取组群各用户位置在"查询坐标系"的坐标, 而坐标变换和变换参数又受硬件安全模块的保护,因此木马无法得到实际的用户坐标。
[0065] 步骤八:将查询结果坐标发送回每个终端。此时查询结果的坐标是在中屯、"查询坐 标系"内的坐标,即使查询结果被木马窃取,也无法知道真实的组群用户位置查询结果。
[0066] 用户终端接收处理步骤:
[0067] 步骤九:在每个终端内,利用如,M,Λ4和式(2)将查询结果从中屯、查询坐标系,转 换为终端临时坐标系。
[0068] 步骤十:在化ustZone安全环境内并利用{目1,1(1,以}和(2)式反变换为原始坐标,得 到组群位置查询结果,返回给普通环境的相应应用程序中。
[0069] 本实施例中的用户终端为手机终端,而其他可实现定位功能,并进行数据交互的 设备,如GPS终端也是可行的。
[0070] 尽管结合优选实施方案具体展示和介绍了本发明,但所属领域的技术人员应该明 白,在不脱离所附权利要求书所限定的本发明的精神和范围内,在形式上和细节上可W对 本发明做出各种变化,均为本发明的保护范围。
【主权项】
1. 一种安全组群位置查询方法,其特征在于,包括以下步骤: 51、 在用户终端建立临时坐标系,中心服务器端建立查询坐标系; 52、 通过坐标挑战获取从临时坐标系到查询坐标系转换关系; 53、 用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内,并在普 通环境中将转换为查询坐标发送至中心服务器端; 54、 中心服务器端接受到查询坐标后,根据查询坐标在查询坐标系内进行组群位置查 询,并将查询后查询坐标信息及对应地图信息发送至用户终端; 55、 用户终端接收中心服务器端发送的信息,在普通环境中将信息从查询坐标系转化 为临时坐标系,然后在安全环境中将临时坐标转换成原始坐标,获得在现实坐标系的位置 信息。2. 根据权利要求1所述的方法,其特征在于,所述的步骤S2具体步骤是: 521、 由一用户发起组群位置查询应用请求;在其用户终端上随机生成一组坐标变换参 数{Θ^Κ^Ι^},并保存在安全环境存储区内,根据坐标变换参数生成对应的临时坐标系; 522、 组群内其它用户响应并同意进行组群位置查询,则每个用户均在自己用户终端上 随机生成一组坐标变换参数{,Ki,U},并保存在安全环境存储区内,i = l、2、3、4……、n,n 为组群内的用户总数,则根据变换参数对应的临时坐标系; S23:中心服务器端在所有用户均同意进行位置查询之后,在安全环境内部随机生成一 组坐标变换参数{θ〇,K〇,L〇},并保存在安全环境存储区内,根据变化参数生成一个专门响应 本次组群位置查询的查询坐标系; 524、 中心服务器端生成随机的原始坐标{XI,Y1}、{X2,Y2}、{X3,Y3},并将原始坐标发 送至安全环境内,利用查询坐标转换参数{9q,Kq,L()}在安全环境内将这三个坐标转换为对 应的在查询坐标内的位置{乂"1,¥"1}、{乂"2,¥"2}、{乂"3,¥"3},并在安全环境内根据混淆算 法对{X" 1,Y" 1}、{X" 2,Y" 2}、{X" 3,Y" 3}进行混淆,得至ijG 1、G2、G3,输出到中心服务器,中心 服务器将出31}、{乂2,¥2}、{乂3,¥3}和混淆后的61、62、63这六个数据做为挑战数据,发送 给所有用户终端; 525、 用户终端在接收数据后,将{XI,Yl}、{X2,Y2}、{X3,Y3}发送至安全环境内,通过之 前保存在安全存储区内的{Θi,Ki,Li}转换为终端临时坐标系里的坐标{X ' 1,Y ' 1}、{X ' 2,Y ' 2}、{乂'3,¥'3},将混淆后的61、62、63送往安全环境内,通过对应的反混淆算法,得到{乂"1, Y" 1}、{父"2,疒2}、{父"3,矿'3},在安全环境中通过{父'1,¥'1}、{父'2,¥'2}、{父'3,丫'3}与{父"1, Y"1}、{X"2,Y"2}、{X"3,Y"3}的关系,求得终端临时坐标系到中心查询坐标系的转换关系 {φ,Μ,Ν}:将化,M, 直接返回给普通环境。3. 根据权利要求1所述的方法,其特征在于,所述的步骤S3具体步骤是: 用户终端开始上传位置用于组群位置查询,假设某终端的当前位置为(Xi,Yi),将原始 坐标送入安全环境内,并转换为终端临时坐标系内的坐标(Xai,Yai)送回普通环境,转换为 中心查询坐标系的内坐标(Xbi,Ybi),将(Xbi,Ybi)上传到中心服务器端。4. 根据权利要求1所述的方法,其特征在于,所述的步骤S4的具体步骤是: 541、 中心服务器端在接收到所有用户终端上传的位置(Xbi,Ybi)后,把地图数据送往 安全环境,并变换到中心查询坐标系,然后返回给组群查询引擎; 542、 将查询结果坐标发送回每个终端。5. 根据权利要求1所述的方法,其特征在于,所述的步骤S5的具体步骤是: 551、 在每个用户终端内,将查询结果从中心查询坐标系再转换为终端临时坐标系; 552、 在安全环境内并反变换为原始坐标,得到组群位置查询结果,返回给普通环境相 应应用程序中。6. 根据权利要求1或2或3或4或5所述的方法,其特征在于,所述的临时坐标系或查询坐 标系区别于真实坐标系,由真实坐标系变换到临时坐标系或查询坐标系以及由临时坐标系 或查询坐标系变换到真实坐标系的具体方法是:假设变换参数为{θ,κ,υ,其中参数θ为坐 标旋转参数,参数K,L为坐标平移参数,假设用户的真实坐标是{Χ,Υ},则利用变换参数{Θ, K,L}变换到另一个坐标系内的坐标{Χ',Υ'}的方法为:反之,从变换坐标{X ',Υ '}变换回原始坐标{X,Υ}的方法为:7. 根据权利要求1所述的方法,其特征在于,所述的硬件安全环境为安全芯片、加密机、 加密卡中的任意一种。8. 根据权利要求2所述的方法,其特征在于,所述的混淆算法为异或混淆、重构混淆或 自定义混淆算法中的任意一种。9. 一种安全组群位置查询系统,其特征在于,包括: 坐标系建立模块,用于在用户终端建立临时坐标系,中心服务器端建立查询坐标系; 坐标挑战模块,用于通过坐标挑战获取从临时坐标系到查询坐标系转换关系; 用户终端发送处理模块,用于用户终端在安全环境中将用户真实坐标位置映射到用户 终端临时坐标内,并在普通环境中将转换为查询坐标发送至中心服务器端; 中心服务器端处理模块,用于中心服务器端接受到查询坐标后,在查询坐标系内进行 组群位置查询,并将查询后查询坐标信息及对应地图信息发送至用户终端; 用户终端接收处理模块,用户终端接收中心服务器端发送的信息,在普通环境中将信 息从查询坐标系转化为临时坐标系,然后在安全环境中将临时坐标转换成原始坐标,获得 在现实坐标系的位置信息。
【文档编号】H04L29/06GK106060024SQ201610343867
【公开日】2016年10月26日
【申请日】2016年5月23日
【发明人】涂岩恺, 罗明宇, 吕伟煌, 曹洪霞, 刘炯钟
【申请人】厦门雅迅网络股份有限公司