一种高效的差分扰动位置隐私保护系统及方法技术方案

本发明专利技术公开一种高效的差分扰动位置隐私保护系统及方法，考虑了攻击者可能拥有关于用户辅助信息(side information)的背景知识对已有的基于位置扰动和模糊化技术的位置隐私保护方法形成的挑战，将差分隐私保护技术引入位置模糊化隐私保护方法中，提出通过使用能根据移动用户在地理空间中的分布变化特征而自适应转换用户位置的希尔伯特空间填充曲线和当前流行的四分树或R*树空间索引构建了地理空间所有移动用户的位置索引，从而高效地生成了满足互惠原则的k匿名隐形区域。接着，利用差分隐私保护技术由形成该隐形区域的k个位置点生成合理地接近用户真实位置的位置扰动点作为LBS用户的查询位置向LBS服务提供商请求服务，可以克服现有方法存在的问题和不足。

【技术实现步骤摘要】

本专利技术涉及位置服务与信息安全领域，尤其涉及一种高效的差分扰动位置隐私保护系统及方法。
技术介绍
随着移动感知电子设备(如智能手机、PDA等)的繁荣，基于位置的服务(LBS)几乎在所有的社会和商业领域都非常流行。例如GPS导航、地图应用、兴趣点检索、电子优惠卷发放和位置感知社交网络等。LBS的基本思想是移动用户通过和不可信的服务提供商共享其位置信息来获取有用的上下文和个性化的服务。虽然LBS给个人和社会带来了巨大的利益，但用户位置信息的日益泄露引发了重要的隐私问题，特别是位置隐私问题。首先，位置信息本身可能被认为是敏感的。其次，位置信息可以很容易地被连接到用户通常希望保护的各种其他信息上。例如，通过收集和处理有规律的精确位置信息(如上下班轨迹、频繁访问的医院等)，不可信的服务提供商可以推断出用户的家庭或办公地址、健康状况、性趣倾向、宗教信仰、政治观点等私人敏感信息。在极端形式上，监测和控制个人的位置信息甚至已被描述为一种奴役形式。隐私问题的存在，严重阻碍了LBS产业的健康发展和商业前景，所以在给用户提供服务的同时能确保用户位置信息的安全就显得非常重要。为了解决隐私问题，在以前的研究中已经提出了许多隐私保护机制。这些机制大都基于智能扰动用户位置坐标的思想，即在将精确的用户查询位置提交给服务提供商之前，先对其进行模糊化处理。最常用的位置模糊化技术就是利用位置k匿名产生包含查询用户和其附近的至少其他k-1个用户的隐形区域(CR)来代替用户的精确查询位置。这样，不可信的服务提供商很难区分出用户的真实位置和其他k-1个假位置。然而，基于隐形区域的位置模糊化技术在保护位置隐私方面存在一些不足。首先，这种技术假定攻击者没有关于移动用户的一些辅助信息(side information)，如用户的位置近似知识(例如一个区域而非精确位置)、用户的移动特性、与LBS查询语义相关的用户属性(如性别、年龄、职业、收入、社会地位)、用户的查询频率等。实际中，一些攻击者可能具有关于用户的辅助信息，所以基于隐形区域的位置模糊化方法不能充分地保护用户的位置隐私。例如，攻击者可以利用拥有的关于用户近似位置的知识来获取用户更精准的位置信息，进而俘获用户的位置隐私。如图1所示，具有近似位置知识的攻击者可能会提高多个目标用户的近似位置知识。其次，这类方法使用隐形区域模糊用户的位置导致了相当大的服务质量下降。有学者提出使用k匿名和差分隐私混合的位置扰动方法来解决这一问题，但是该方法在利用希尔伯特填充曲线生成k匿名隐形区域时没有考虑用户位置的分布特征且依赖于专门的数据结构，极大地增加了隐形区域的生成代价，降低了系统的可伸缩性和服务效率。
技术实现思路
本专利技术的目的在于提供一种能抵御攻击者具有用户真实位置辅助信息(side information)的高效的差分扰动位置隐私保护系统及方法，以解决现有技术存在的问题和不足，高效是指匿名服务器产生隐形区域的代价要最小化。为了实现上述目的，本专利技术采用如下技术方案：一种高效的差分扰动位置隐私保护方法，包括以下步骤：A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器TAS；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；B、TAS接收到查询Q后，将用户标识用假名u'替换，并选择包含用户u和在其附近的至少k-1个其他用户的匿名AS，生成包含AS中所有k个不同位置(l1,…,lk)的空间隐形区域CR；C、TAS使用差分隐私保护技术由包含这k个用户位置(l1,…,lk)的匿名空间区域ASR产生一个扰动位置lp＝(xp,yp)，并将lp＝(xp,yp)作为查询Q'＝(u',lp,t,c)的位置点转发给LBS服务提供商；D、LBS服务提供商根据接收到的LBS查询请求Q’＝(u',lp,t,c)处理查询，并将满足条件的查询结果候选集返回给TAS；E、TAS删除假查询结果，并将正确的查询结果转发给相应的移动用户。优选的，步骤C中AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，TAS选择的匿名集都是一样的。优选的，步骤B具体包括以下步骤：B1、对查询Q中的用户标识u进行处理得到假名u'，并记录u和假名u'的对应关系；B2、使用根据用户在地理空间中位置分布特征而自适应变化的希尔伯特空间填充曲线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U)，构建基于R*树或四分树的用户位置索引树QT；B3：根据查询发送用户u所在的叶子结点N，隐私需求k，遍历位置索引树QT，快速选择包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS，进而高效地形成包含AS中所有用户位置(l1,…,lk)的隐形区域CR。优选的，步骤A中k值介于1到用户基数之间。一种高效的差分扰动位置隐私保护系统，包括移动用户设备、可信匿名服务器和不可信位置服务提供商；所述移动用户设备用于将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成；匿名服务器接收到移动用户设备发出的一个查询Q时，由位置隐私保护模块负责将用户标识u用假名u'替换，选择包含用户u和在其附近的至少k-1个其他用户的匿名集，生成包含AS中所有k个不同位置(l1,…,lk)的空间隐形区域CR，进而差生扰动位置；最终将形成的查询Q＝(u',lp,t,c)通过通信模块提交给不可信的位置服务器；结果精炼模块用于对不可信的位置服务器返回的查询结果集进行求精处理，并将精确结果经通信模块转发给相应的移动用户设备；不可信位置服务提供商用于处理LBS查询请求Q＝(u',lp,t,c)，并将查询结果候选集返回给可信匿名服务器。优选的，AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，TAS选择的匿名集都是一样的。优选的，k值介于1到用户基数之间。相对于现有技术，本专利技术具有以下有益效果：本本文档来自技高网...

【技术保护点】
一种高效的差分扰动位置隐私保护方法，其特征在于，包括以下步骤：A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器TAS；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；B、TAS接收到查询Q后，将用户标识用假名u′替换，并选择包含用户u和在其附近的至少k‑1个其他用户的匿名集AS，生成包含AS中所有k个不同位置(l1,l2,…,lk)的空间隐形区域CR；C、TAS使用差分隐私保护技术由包含这k个用户位置(l1,l2,…,lk)的空间隐形区域CR产生一个扰动位置lp＝(xp,yp)，并将lp＝(xp,yp)作为查询Q′＝(u′,lp,t,c)的位置点转发给LBS服务提供商；D、LBS服务提供商根据接收到的LBS查询请求Q’＝(u′,lp,t,c)处理查询，并将满足条件的查询结果候选集返回给TAS；E、TAS删除假查询结果，并将正确的查询结果转发给相应的移动用户。...

【技术特征摘要】
1.一种高效的差分扰动位置隐私保护方法，其特征在于，包括以下步骤：
A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求
Q＝(u,l,t,c,k)发送给可信匿名服务器TAS；其中，u表示移动用户的标识；l＝(x,y)表示移动
用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提
交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；
B、TAS接收到查询Q后，将用户标识用假名u′替换，并选择包含用户u和在其附近的
至少k-1个其他用户的匿名集AS，生成包含AS中所有k个不同位置(l1,l2,…,lk)的空间隐形
区域CR；
C、TAS使用差分隐私保护技术由包含这k个用户位置(l1,l2,…,lk)的空间隐形区域CR产
生一个扰动位置lp＝(xp,yp)，并将lp＝(xp,yp)作为查询Q′＝(u′,lp,t,c)的位置点转发给LBS
服务提供商；
D、LBS服务提供商根据接收到的LBS查询请求Q’＝(u′,lp,t,c)处理查询，并将满足条件
的查询结果候选集返回给TAS；
E、TAS删除假查询结果，并将正确的查询结果转发给相应的移动用户。
2.根据权利要求1所述的一种高效的差分扰动位置隐私保护方法，其特征在于，步骤B
中的AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，TAS选择的
匿名集都是一样的。
3.根据权利要求1所述的一种高效的差分扰动位置隐私保护方法，其特征在于，步骤B
具体包括以下步骤：
B1、对查询Q中的用户标识u进行处理得到假名u′，并记录u和假名u′的对应关系；
B2、使用根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特空间填充曲线
将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U)，构建基于R*树或四分树的
用户位置索引树QT；
B3：根据查询发送用户u所在的叶子...

【专利技术属性】
技术研发人员：桂小林，张学军，田丰，冯志超，
申请(专利权)人：西安交通大学，
类型：发明
国别省市：陕西;61