CN101909050A - 一种防止位置依赖攻击的位置隐私保护方法 - Google Patents

Abstract

一种防止位置依赖攻击的位置隐私保护方法，该方法包括步骤：移动用户将查询请求r＝(id，l，q，k，v，Amin)发送给匿名服务器；匿名服务器对查询请求r＝(id，l，q，k，v，Amin)进行位置匿名处理，并将匿名处理后的请求r′＝(id′，R，q)发送给提供位置服务的数据库服务器；数据库服务器根据所接收到的请求r′＝(id′，R，q)进行查询处理，并将查询结果的候选集返回给匿名服务器；匿名服务器从数据库服务器返回的候选结果中选择正确的查询结果返回给相应的移动用户。

Description

一种防止位置依赖攻击的位置隐私保护方法

技术领域

本发明涉及位置服务领域，尤其是涉及一种防止位置依赖攻击的位置隐私保护方法。

背景技术

为保护位置隐私，Gruteser和Grunwald提出了位置k-匿名。当且仅当一个用户发送给服务提供商的位置与其它k-1个用户无法区别时称此用户满足位置k-匿名。为获得位置k-匿名，用户的确切位置被扩展为一些匿名区域，使得每一个区域中至少包含k-个用户。后来出现了很多基于位置k-匿名的工作。它们可以被分为3个问题：第一，如何根据用户隐私需求快速寻找匿名集；第二，如何修正位置k-匿名模型保护更多的隐私；第三，如何有效的回答基于感知位置隐私位置的查询，如最近邻查询和范围查询。

位置匿名按照用户隐私需求降低空间粒度。然而，很多算法关注用户snapshot位置，而忽略了用户连续位置更新。当移动用户连续频繁的发送查询，可能造成隐私泄露的现象。如果一个攻击者(如服务提供商)搜集用户历史匿名区域同时知道用户的运动模式(如最大运动速度)，用户的位置隐私受到威胁。例如图1所示，用户A、B、C在时刻ti组成匿名区域RA，ti；用户A、E、F在时刻t_i+1组成匿名区域R_A，ti+1.如果攻击者知道用户上一个时刻匿名区域R_A，ti和最大运动速度v_A，用户A在t_i+1的位置被限定于最大运动边界(maximum movement boundary，MMB)MMB_{A，ti，ti+1}当中。从而，攻击者可能推测出用户A在t_i+1一定位于MMB_{A，ti，ti+1}和R_A，ti+1的交集(如阴影区域)中。最坏情况下，如果重叠位置只是一个位置点，则用户确切的位置被泄露。

发明内容

本发明是鉴于上述技术问题而产生的。本发明的一个目的是提出一种防止位置依赖攻击的位置隐私保护方法。

在一个方面中，根据本发明的防止位置依赖攻击的位置隐私保护方法包括步骤：A、移动用户将查询请求r＝(id，l，q，k，v，Amin)发送给匿名服务器，其中该查询请求形式为，其中id为用户标识符，l为用户当前位置(x，y)，q为查询内容，v是移动用户的运动速度，k是用户的最小隐私度需求，Amin是用户要求的匿名后的最小面积；B、匿名服务器对查询请求r＝(id，l，q，k，v，Amin)进行位置匿名处理，并将匿名处理后的请求r′＝(id′，R，q)发送给提供位置服务的数据库服务器；C、数据库服务器根据所接收到的请求r′＝(id′，R，q)进行查询处理，并将查询结果的候选集返回给匿名服务器；D、匿名服务器从数据库服务器返回的候选结果中选择正确的查询结果返回给相应的移动用户。

在这个方面中，其中步骤B进一步包括步骤：B1、匿名服务器将所接收到的查询请求r＝(id，l，q，k)中的用户id转换为假名id’，并记录id与假名id’的对应关系；B2、匿名服务器根据用户的速度v求得其最大运动边界MMB；B3、依次扫描空间中的查询，建立查询请求r的堆栈vNrofMO；B4、依次扫描查询请求r的vNrofMO中的每个查询，从而维护CRSet中的极大团，其中CRSet是匿名服务器中的查询的数据结构图；B5、从CRSet中取出所有包含r的团，组成canCR，并得到候选匿名集Csti；B6、对于候选匿名集CSti中的每一个用户u而言，计算d＝MaxMinD(R_u，ti-1，CR_u，ti)，并由此得到其中最大的d即δd，并且发布匿名区域R，其中CR_u，ti是在CSti中的用户的形成的最小边界矩形，R_u，ti-1是在t_i-1时刻该查询的匿名位置。

在这个方面中，其中步骤B4进一步包括步骤：B41、从CRSet中找出每个查询v所在团集合Cv；B42、从CRSet中找出r所在团集合Cw；B43、求得Cv和Cw的交集Cvw；B44、从Cv中删除包含v但不再极大的团； B45、从Cw中删除包含w但不再极大的团；B46、依次取出Cvw中的每一个元素，加上r和v点后插入CRSet中。

在这个方面中，其中步骤B5进一步包括步骤：B51、将CanCR中的团按照团大小降序排序，其中团大小是指团中包含的结点数；B52、取出CanCR中的团大小最大的团c，将团中最大隐私度表示为max_k；B53、如果max_k＜|c|，则c为正候选，插入Cs_ti，并转入步骤B6；B54、如果MBR(c)＜Amin或者|c|≤max(v.k，min_k)，则c为非候选。其中MBR表示覆盖团c的最小边界矩形的面积，v.k表示用户v的隐私度需求；B55、如果既不是B53的情况也不是B54的情况，则将团中每一个用户按照隐私度需求k非升序排序，从而得到候选匿名集Csti。

通过本发明，可以防止由于用户提出基于位置服务，并连续运动的情况下，而产生的位置隐私泄露的问题，保护了那些发生连续位置更新的移动用户的位置隐私，让用户享受方便快捷的基于位置的服务。

附图说明

结合随后的附图，从下面的详细说明中可显而易见的得出本发明的上述及其他目的、特征及优点。在附图中：

图1示出了根据现有技术的示意图；

图2示出了根据本发明的防止位置依赖攻击的位置隐私保护系统的方框图；

图3示出了根据本发明的防止位置依赖攻击的位置隐私保护的方法的流程图；

图4示出了根据本发明的位置匿名处理过程的详细流程图；

图5示出了根据本发明的数据结构的示意图；

图6示出了根据本发明的用于说明MMB覆盖的一个例子的示意图；

图7示出了根据本发明的最小边界矩形的示意图；

图8示出了用于对MBR进行说明的示例。

具体实施方式

为了更全面地理解本发明及其优点，下面结合附图及具体实施例对本发明做进一步详细地说明。

首先，参考图2，图2示出了根据本发明的防止位置依赖攻击的位置隐私保护系统的方框图。

如图2所示，根据本发明的系统包括：移动用户、匿名服务器、以及基于位置服务的数据库服务器。

移动用户用于将包含精确位置的查询请求发送给匿名服务器，其中该查询请求形式为r＝(id，l，q，k，v，Amin)，id为用户标识符，l为用户当前位置(x，y)，q为查询内容，v是移动用户的运动速度，k是用户的最小隐私度需求，Amin是用户要求的匿名后的最小面积。

匿名服务器用于利用某种匿名算法完成位置匿名后，将匿名后的请求发送给提供位置服务的数据库服务器。匿名后的查询请求形式是r′＝(id′，R，q)。此外，匿名服务器还用于从数据库服务器返回的候选结果集中挑出真正的结果返回给移动用户。

数据库服务器用于根据匿名区域进行查询处理，并将查询结果的候选集返回给位置匿名服务器。

接下来，结合图2和图3，对根据本发明的防止位置依赖攻击的位置隐私保护方法进行详细的说明。

如图3所示，根据本发明的方法包括以下步骤：

步骤A：移动用户将包含精确位置的查询请求发送给匿名服务器，其中该查询请求形式为r＝(id，l，q，k，v，Amin)。其中id为用户标识符，l为用户当前位置(x，y)，q为查询内容，v是移动用户的运动速度，k是用户的最小隐私度需求，Amin是用户要求的匿名后的最小面积。

例如张三想利用自己带有GPS的手机提出寻找距离他现在位置最近的 医院，那么张三将发送查询请求r＝(张三，l＝(3，4)，距离现在位置最近的医院，3，30km/h，100m²)，其中id＝“张三”，l＝(3，4)为用户当前位置，q为“距离现在位置最近的医院”，k表示隐私需求，即要求在隐私保护后的位置中至少包含的用户数的最小值，例如在上面的例子中用户要求k＝3，v＝30km/h，Amin＝100m²。

步骤B：匿名服务器对查询请求r＝(id，l，q，k，v，Amin)进行位置匿名处理，并将匿名处理后的请求r′＝(id′，R，q)发送给提供位置服务的数据库服务器。其中id’是用户的假名，例如在上面的例子中id′变为“E”，R是匿名后位置，如R＝{(0，5)(2，7)}，q查询内容不变。

首先，对匿名服务器所使用的数据结构bitset CRSet(即所有极大团组成的集合来存储一个图)进行简单的说明。如图5所示，例如查询请求空间中一共有六个用户A、B、C、D、E、F。该图中一共有五个极大团，即{{A，B，C}，{A，E，F}，{A，C，D}，{A，E，D}，{A，B，F}}。{A，D，E}以100110存入CRSet中，其它极大图类似。极大团即极大完全图。在此，将数据结构中的结点称为用户。但是，应注意的是每个用户对应一个查询请求，例如用户E对应查询请求r，因此在下文中，为方便描述起见，也可将该数据结构中的结点称为查询请求。

下面对匿名服务器对查询请求的位置匿名处理流程进行更加详细地描述。

如图4所示，步骤B进一步包括：

步骤B1：匿名服务器将所接收到的查询请求r＝(id，l，q，k)中的用户id换为假名id’，并记录id与假名id’的对应关系。

步骤B2：匿名服务器根据用户的速度v求得其最大运动边界，该最大运动边界用一个圆角矩形表示，记为mmb。

应该注意的是，求解最大运动边界为本领域普通技术人员所熟知的技术，因此在这里不再详述。例如如图1所示，圆角矩形是MMB_{A，ti，ti+1}。在t_i＝0 的初始时刻，mmb为无穷大。

步骤B3：依次扫描空间中的查询，建立查询请求r的堆栈vNrofMO。

具体地说，空间中的现有每个查询具有与r相同的参数格式。对于其中的任意一个查询v_m，如果r被v_m的mmb覆盖，同时v_m被r的mmb覆盖，插入v_m到堆栈vNrofMO中，并且在r与v_m之间建立一条边，以此类推，建立如图5所示的数据结构图。

例如，如图6所示，v1被v2和v3的mmb覆盖，同时v2、v3的mmb又覆盖v1，所以在v1和v2、v1和v3之间建立一条边。根据类似的原理，建立其前面A～F组成的图，并建立起A与其它顶点的边。对于A来说，其vNrofMO＝{A，D，F，C}，也就是说，把C和D插入到vNrofMO当中。

在该步骤中，建立查询请求r的堆栈vNrofMO以帮助步骤B4维护数据结构CRset。

步骤B4：依次扫描查询请求r的vNrofMO中的每个查询，从而维护CRSet中的极大团。

具体地说，该步骤B4进一步包括：

步骤B41：从CRSet中找出每个查询v所在团集合Cv。例如，以图5为例，包含C的团为Cv＝{A，B，C}和{A，C，D}。

步骤B42：从CRSet中找出r所在团集合Cw。例如，以图5为例，包含E的团为C_W＝{A，E，F}和{A，E，D}。

步骤B43：求得Cv和Cw的交集Cvw。通过上面的例子可知，Cv和Cw的交集Cvw为即{A，D}。

步骤B44：从Cv中删除包含v但不再极大的团。例如，在前面的例子中，即删除团{A，C，D}。

步骤B45：从Cw中删除包含w但不再极大的团。例如，在前面的例子中，即删除团{A，E，D}。

团上的集合操作为向量位操作。团Ci和团Cj的交即c_i∧c_j。如果 c_i∧c_j＝c_i，则Ci是Cj的子集。例如，{A，B，C}＝111000，{A，B，C}∧{A，B}＝111000∧110000＝110000，因此{A，B}是{A，B，C}的子集。

步骤B46：依次取出Cvw中的每一个元素，加上r和v点后插入CRSet中。例如，在前面的例子中，即把{A，D，E，C}插入CRSet中。

步骤B5：从CRSet中取出所有包含r的团，组成CanCR，并得到候选匿名集Csti。例如，在前面的例子中，CanCR即为{A，D，E，C}和{A，E，F}。

具体地说，该步骤B5进一步包括：

步骤B51：将CanCR中的团按照团大小降序排序。团大小是指团中包含的结点数，如团{A，D，E，C}的团大小为4，团{A，E，F}的团大小为3。

步骤B52：取出CanCR的顶部团(即、CanCR中团大小最大的团)c。将团中最大隐私度表示为max_k。例如，在前面的例子中，取出顶部团c＝{A(2)，D(3)，E(3)，C(3)}，假设括号中的数字为每一个查询提出时每个用户的最小隐私度。Max_k是这些值的最大值，即3。

步骤B53：如果max_k＜|c|，则c为正候选，插入Cs_ti，并转入步骤B6。

步骤B54：如果MBR(c)＜Amin或者|c|≤max(v.k，min_k)，则c为非候选。其中MBR表示覆盖团c的最小边界矩形的面积。Amin表示每个用户的最小面积要求。v.k表示用户v的隐私度需求，即为用户查询请求r中的k。

下面以图5和图8为例，对MBR进行简单地说明。以{A，D，E，C}为例，每一个用户都有一个坐标值，根据每一个用户的x，y值即可获得在每一个纬(即x，y轴)上的最小和最大值。在上面的例子中，其最小边界矩形的坐标为{(1，1).(3，4)}，面积为6。

步骤B55：如果既不是B53的情况也不是B54的情况，则将团中每一个用户按照隐私度需求k非升序排序，从而得到候选匿名集CSti。

具体地说，依次去掉顶部元素(即团中隐私度要求最大的用户)，并更新max_k；判断是否max_k＜|c|或者(MBR(c)＜Amin或者|c|≤max(v.k，min_k))，如果前者成立，则将c插入CSti，并进入步骤B6，CSti是候选匿名集；如 果后者成立，则处理结束。

步骤B6：对于候选匿名集CSti中的每一个用户u而言，计算d＝MaxMinD(R_u，ti-1，CR_u，ti)，并由此得到其中最大的d即δd，并且发布匿名区域R。以用户id为关键字，在匿名服务器中找到存储的用户u在上一个时刻产生的匿名位置R_u，ti-1

其中CR_u，ti是在CSti中的用户的形成的最小边界矩形。R_u，ti-1是在t_i-1时刻该查询的匿名位置。换句话说，匿名服务器为每一个查询计算出一个匿名位置后，并将其存储在匿名服务器中以帮助下一次计算使用。如在上面的例子中，经过步骤B5获得CSti＝{A，E，F}。A、E、F组成的最小边界矩形如图7所示。

MaxMinD(R_u，ti-1，CR_u，ti)的定义如下：

$\mathrm{MaxMinD}(R_{u,\mathrm{ti}-1},{\mathrm{CR}}_j)=\max \{\∀p\∈\mathrm{Ri}|\min \{\∀q\∈{\mathrm{CR}}_j|\mathrm{dis}\tan \mathrm{ce}(p,q)\}$

具体地说，如果d＞vu*(t_i-t_i-1)，δd＝d-v_u*(t_i-t_i-1)，其中v_u表示用户u的速度。计算出在同一个匿名集CS_ti中所有用户的d后求出一个最大值δd，在R_u，t_i-1相对于匿名区域CR_ti的方向上，将CR_u，ti扩展δd，并且发布匿名区域R。此距离的计算是为大家所熟知的技术在此不对其做详述。

步骤C：数据库服务器根据所接收到的请求r′＝(id′，R，q)进行查询处理，并将查询结果的候选集返回给匿名服务器。应该说明的是，数据库服务器的查询处理是为大家所熟知的技术，并且不是本发明的重点，因此在此不对其做详述。

步骤D：匿名服务器根据用户的真实位置从数据库服务器返回的候选结果中，选择正确的查询结果返回给相应的移动用户。

通过本发明可知，可以防止由于用户提出基于位置服务，并连续运动的情况下，而产生的位置隐私泄露的问题，保护了那些发生连续位置更新的移动用户的位置隐私，让用户享受方便快捷的基于位置的服务。

此外，对于本领域的普通技术人员来说可显而易见的得出其他优点和 修改。因此，具有更广方面的本发明并不局限于这里所示出的并且所描述的具体说明及示例性实施例。因此，在不脱离由随后权利要求及其等价体所定义的一般发明构思的精神和范围的情况下，可对其做出各种修改。

Claims (4)

1.一种防止位置依赖攻击的位置隐私保护方法包括步骤：

A、移动用户将查询请求r＝(id，l，q，k，v，Amin)发送给匿名服务器，其中该查询请求形式为，其中id为用户标识符，l为用户当前位置(x，y)，q为查询内容，v是移动用户的运动速度，k是用户的最小隐私度需求，Amin是用户要求的匿名后的最小面积；

B、匿名服务器对查询请求r＝(id，l，q，k，v，Amin)进行位置匿名处理，并将匿名处理后的请求r′＝(id′，R，q)发送给提供位置服务的数据库服务器；

C、数据库服务器根据所接收到的请求r′＝(id′，R，q)进行查询处理，并将查询结果的候选集返回给匿名服务器；

D、匿名服务器从数据库服务器返回的候选结果中选择正确的查询结果返回给相应的移动用户。

2.根据权利要求1的方法，其中步骤B进一步包括步骤：

B1、匿名服务器将所接收到的查询请求r＝(id，l，q，k)中的用户id转换为假名id’，并记录id与假名id’的对应关系；

B2、匿名服务器根据用户的速度v求得其最大运动边界MMB；

B3、依次扫描空间中的查询，建立查询请求r的堆栈vNrofMO；

B4、依次扫描查询请求r的vNrofMO中的每个查询，从而维护CRSet中的极大团，其中CRSet是匿名服务器中的查询的数据结构图；

B5、从CRSet中取出所有包含r的团，组成canCR，并得到候选匿名集Csti；

B6、对于候选匿名集CSti中的每一个用户u而言，计算d＝MaxMinD(R_u，ti-1，CR_u，ti)，并由此得到其中最大的d即δd，并且发布匿名区域R，其中CR_u，ti是在CSti中的用户的形成的最小边界矩形，R_u，ti-1是在t_i-1时刻该查询的匿名位置。

3.根据权利要求2的方法，其中步骤B4进一步包括步骤：

B41、从CRSet中找出每个查询v所在团集合Cv；

B42、从CRSet中找出r所在团集合Cw；

B43、求得Cv和Cw的交集Cvw；

B44、从Cv中删除包含v但不再极大的团；

B45、从Cw中删除包含w但不再极大的团；

B46、依次取出Cvw中的每一个元素，加上r和v点后插入CRSet中。

4.根据权利要求3的方法，其中步骤B5进一步包括步骤：

B51、将CanCR中的团按照团大小降序排序，其中团大小是指团中包含的结点数；

B52、取出CanCR中的团大小最大的团c，将团中最大隐私度表示为max_k；

B53、如果max_k＜|c|，则c为正候选，插入Cs_ti，并转入步骤B6；

B54、如果MBR(c)＜Amin或者|c|≤max(v.k，min_k)，则c为非候选。其中MBR表示覆盖团c的最小边界矩形的面积，v.k表示用户v的隐私度需求；

B55、如果既不是B53的情况也不是B54的情况，则将团中每一个用户按照隐私度需求k非升序排序，从而得到候选匿名集Csti。

Images