CN104394509B - 一种高效的差分扰动位置隐私保护系统及方法 - Google Patents

Abstract

本发明公开一种高效的差分扰动位置隐私保护系统及方法，考虑了攻击者可能拥有关于用户辅助信息(side information)的背景知识对已有的基于位置扰动和模糊化技术的位置隐私保护方法形成的挑战，将差分隐私保护技术引入位置模糊化隐私保护方法中，提出通过使用能根据移动用户在地理空间中的分布变化特征而自适应转换用户位置的希尔伯特空间填充曲线和当前流行的四分树或R*树空间索引构建了地理空间所有移动用户的位置索引，从而高效地生成了满足互惠原则的k匿名隐形区域。接着，利用差分隐私保护技术由形成该隐形区域的k个位置点生成合理地接近用户真实位置的位置扰动点作为LBS用户的查询位置向LBS服务提供商请求服务，可以克服现有方法存在的问题和不足。

Description

一种高效的差分扰动位置隐私保护系统及方法

【技术领域】

本发明涉及位置服务与信息安全领域，尤其涉及一种高效的差分扰动位置隐私保护系统及方法。

【背景技术】

随着移动感知电子设备(如智能手机、PDA等)的繁荣，基于位置的服务(LBS)几乎在所有的社会和商业领域都非常流行。例如GPS导航、地图应用、兴趣点检索、电子优惠卷发放和位置感知社交网络等。LBS的基本思想是移动用户通过和不可信位置服务器共享其位置信息来获取有用的上下文和个性化的服务。

虽然LBS给个人和社会带来了巨大的利益，但用户位置信息的日益泄露引发了重要的隐私问题，特别是位置隐私问题。首先，位置信息本身可能被认为是敏感的。其次，位置信息可以很容易地被连接到用户通常希望保护的各种其他信息上。例如，通过收集和处理有规律的精确位置信息(如上下班轨迹、频繁访问的医院等)，不可信位置服务器可以推断出用户的家庭或办公地址、健康状况、性趣倾向、宗教信仰、政治观点等私人敏感信息。在极端形式上，监测和控制个人的位置信息甚至已被描述为一种奴役形式。隐私问题的存在，严重阻碍了LBS产业的健康发展和商业前景，所以在给用户提供服务的同时能确保用户位置信息的安全就显得非常重要。

为了解决隐私问题，在以前的研究中已经提出了许多隐私保护机制。这些机制大都基于智能扰动用户位置坐标的思想，即在将精确的用户查询位置提交给服务提供商之前，先对其进行模糊化处理。最常用的位置模糊化技术就是利用位置k匿名产生包含查询用户和其附近的至少其他k-1个用户的隐形区域(CR)来代替用户的精确查询位置。这样，不可信位置服务器很难区分出用户的真实位置和其他k-1个假位置。然而，基于隐形区域的位置模糊化技术在保护位置隐私方面存在一些不足。首先，这种技术假定攻击者没有关于移动用户的一些辅助信息(side information)，如用户的位置近似知识(例如一个区域而非精确位置)、用户的移动特性、与LBS查询语义相关的用户属性(如性别、年龄、职业、收入、社会地位)、用户的查询频率等。实际中，一些攻击者可能具有关于用户的辅助信息，所以基于隐形区域的位置模糊化方法不能充分地保护用户的位置隐私。例如，攻击者可以利用拥有的关于用户近似位置的知识来获取用户更精准的位置信息，进而俘获用户的位置隐私。如图1所示，具有近似位置知识的攻击者可能会提高多个目标用户的近似位置知识。其次，这类方法使用隐形区域模糊用户的位置导致了相当大的服务质量下降。有学者提出使用k匿名和差分隐私混合的位置扰动方法来解决这一问题，但是该方法在利用希尔伯特填充曲线生成k匿名隐形区域时没有考虑用户位置的分布特征且依赖于专门的数据结构，极大地增加了隐形区域的生成代价，降低了系统的可伸缩性和服务效率。

【发明内容】

本发明的目的在于提供一种能抵御攻击者具有用户真实位置辅助信息(sideinformation)的高效的差分扰动位置隐私保护系统及方法，以解决现有技术存在的问题和不足，高效是指匿名服务器产生隐形区域的代价要最小化。

为了实现上述目的，本发明采用如下技术方案：

一种高效的差分扰动位置隐私保护方法，包括以下步骤：

A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器TAS；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；

B、TAS接收到查询Q后，将用户标识用假名u'替换，并选择包含用户u和在其附近的至少k-1个其他用户的匿名集AS，生成包含AS中所有k个不同位置(l₁,l₂,…,l_k)的空间隐形区域CR；

C、TAS使用差分隐私保护技术通过向用户真实位置l_r＝(x_r,x_y)添加仔细选择的拉普拉斯噪音来生成扰动位置l_p＝(x_p,y_p)，并将l_p＝(x_p,y_p)作为查询Q'＝(u',l_p,t,c)的位置点转发给LBS服务提供商；

D、LBS服务提供商根据接收到的LBS查询请求Q’＝(u',l_p,t,c)处理查询，并将满足条件的查询结果候选集返回给TAS；

E、TAS删除假查询结果，并将正确的查询结果转发给相应的移动用户；

步骤B中的AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，TAS选择的匿名集都是一样的；

步骤B具体包括以下步骤：

B1、对查询Q中的用户标识u进行处理得到假名u'，并记录u和假名u'的对应关系；

B2、使用根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特空间填充曲线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U)，构建基于R*树或四分树的用户位置索引树QT；

B3：根据查询发送用户u所在的叶子结点N，隐私需求k，遍历用户位置索引树QT，快速选择包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS，进而高效地形成包含AS中所有用户位置(l₁,l₂,…,l_k)的隐形区域CR；

步骤B中根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特填充曲线来转换用户空间位置，并采用当前流行的四分树结构来索引用户位置；生成用户位置索引和隐形区域的步骤具体包括：

(1)生成用户位置索引

假定U＝(u₁,u₂,…,u_n)为所有可能发送LBS请求的用户的集合；L＝(l₁,l₂,…,l_n)是用户发送LBS请求的所有可能位置的集合；采用四分树索引结构索引用户的位置；

将包含所有用户位置的区域多次进行四分树划分，直到划分成一些不能再划分的原子区域；原子区域的大小由该区域内所能容纳的用户位置的数量C决定；具体为：

输入：用户位置集合L和存储容量C1；

输出：位置集合L的用户位置索引树QT；

对位置l_i∈L，使用递归方式将数据项插入到用户位置索引树QT中；设插入节点为N，若N是叶节点，且N存储的用户位置数量小于存储容量C1，则直接将l_i添加到节点N的位置集合中，否则为节点N新建立四个子节点，并将节点N包含的位置点移动到各自所属的子节点中，然后确认l_i属于哪个孩子节点包含的区域，记该孩子节点为D，接下来将l_i递归插入节点D中；若N为中间节点，则先确认l_i属于N的哪个孩子节点对应的区域，并记该子节点为D，然后将l_i递归插入节点D；通过对每个用户位置点l_i∈L依次执行上述节点插入过程，生成用户位置空间的用户位置索引树QT；

获得用户位置索引树QT后，根据指定的曲线方向O和起始点S，对用户位置索引树QT的各叶子节点进行更新，生成各叶子节点的希尔伯特值H以及中间节点的曲线方向O和起始点S信息；具体为：

输入：用户位置索引树QT，曲线起始点S，曲线方向O；

输出：更新后的用户位置索引树QT；

根据指定的曲线方向O与起始点S，对用户位置索引树QT进行深度优先遍历；初始时，首先将根节点对应区域的起始点QT_s和曲线方向QT_o初始化为S和O，然后根据希尔伯特填充曲线的分形规则D₁，逐层确定各中间节点N的曲线方向N_O与起始点N_s，并以各叶子节点的访问先后次序计算其对应原子区域的Hilbert值H，即得到位于该原子区域内用户位置的Hilbert值，从而生成更新后的用户位置索引树QT；

(2)生成隐形区域

获得数据空间所有用户位置的用户位置索引树QT后，根据LBS查询请求发送用户u_i的隐私需求k，遍历用户位置索引树QT并产生一个包含u_i及在其附近的至少k-1个其他用户的满足互惠性原则的匿名集AS，进而高效地形成包含AS中k个用户位置(l₁,…,l_k)的隐形区域CR；具体生成隐形区域的步骤为：

输入：用户查询请求发送u_i，隐私需求k，节点N；

输出：隐形区域CR；

1.初始化N为用户位置索引树QT中包含查询请求发送用户u_i的叶子节点；

2.当在N同一层上存在用户数小于k的非空节点；

3.从N开始自底向上遍历用户位置索引树QT，即N＝N的父亲节点；

4.重复执行步骤3，直至步骤2的条件不满足为止；

5.当N不是叶子节点且N的每个子节点或为空或包含大于k的用户；

6.从N开始自顶向下向包含u_i的子节点遍历用户位置索引树QT，即N＝N的包含u_i子节点；

7.重复执行步骤6，直至步骤5的条件不满足为止；

8.划分节点N生成隐形区域CR。

进一步的，步骤A中k值介于1到用户基数之间。

一种实现所述一种高效的差分扰动位置隐私保护方法的高效的差分扰动位置隐私保护系统，包括移动用户设备、可信匿名服务器和不可信位置服务器；

所述移动用户设备用于将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；

可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成；匿名服务器接收到移动用户设备发出的一个查询Q时，由位置隐私保护模块负责将用户标识u用假名u'替换，选择包含用户u和在其附近的至少k-1个其他用户的匿名集，生成包含AS中所有k个不同位置(l₁,…,l_k)的空间隐形区域CR；然后可信匿名服务器使用差分隐私保护技术通过向用户真实位置l_r＝(x_r,x_y)添加仔细选择的拉普拉斯噪音来生成扰动位置l_p＝(x_p,y_p)，并将l_p＝(x_p,y_p)作为LBS查询Q＝(u',l_p,t,c)的位置点通过通信模块提交给不可信位置服务器；结果精炼模块用于对不可信位置服务器返回的查询结果集进行求精处理，并将精确结果经通信模块转发给相应的移动用户设备；

不可信位置服务器用于处理LBS查询请求Q＝(u',l_p,t,c)，并将查询结果候选集返回给可信匿名服务器；

AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，可信匿名服务器TAS选择的匿名集都是一样的；

k值介于1到用户基数之间。

相对于现有技术，本发明具有以下有益效果：本发明将差分隐私保护技术和基于k匿名的隐形技术相结合，提出使用根据用户在地理空间中的-位置分布特征二自适应变化的希尔伯特空间填充曲线和流行的空间索引技术(R*树或四分树)能够高效地生成k匿名隐形区域，然后由该隐形区域中的k个位置点，通过仔细选择的Laplace分布向用户真实位置中添加噪音来产生扰动位置点，并用该扰动位置作为查询位置向服务提供商请求服务。差分隐私保护技术不关心攻击者所拥有的任何可能的背景知识，已被证明能有效地抵御具有任意背景知识的攻击者；另外，通过选取合理地接近用户实际位置的扰动位置来代替隐形区域请求服务，能在保证查询结果正确性的基础上降低系统的通信开销和计算开销，从而提高系统的服务质量。

通过本发明，可以解决用户在使用各种位置服务的过程中，由于攻击者具有关于用户辅助信息(side information)知识而俘获用户位置隐私和已有位置隐私保护方法生成k匿名隐形区域效率低的问题。让移动用户能够高效、放心地使用各种基于位置的服务应用，促进基于位置服务产业的健康发展。

【附图说明】

图1给出了现有技术在攻击者具有用户的side information(如近似位置知识)知识时的示意图；

图2给出了根据本发明的高效差分扰动位置隐私保护系统的方框图；

图3给出了根据本发明的高效差分扰动位置隐私保护方法的流程图；

图4(a)至4(c)给出了C取不同值时对用户空间进行四分树划分的示意图；其中图4(a)中C＝3，图4(b)中C＝2，图4(c)中C＝1；

图5给出了Hilbert曲线的分形规则示意图。

【具体实施方式】

下面结合附图说明和具体实施例对本发明做进一步详细地说明。

如图2所示，本发明高效差分扰动位置隐私保护系统包括：移动用户设备、可信匿名服务器和不可信位置服务器。

移动用户设备用于将将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器。其中，u表示用户的标识；l＝(x,y)表示用户提交LBS查询请求Q所在的位置，(x,y)表示位置的经纬度；t表示用户提交LBS查询请求Q的时间；c表示LBS查询内容，如离用户当前位置最近的饭店；k表示用户个性化的隐私需求，其范围介于1(没有隐私需求)和用户基数之间(最大隐私)。

可信匿名服务器(TAS)由位置隐私保护模块、结果精炼模块和通信模块组成。具体来说匿名服务器接收到移动用户设备发出的一个查询Q时，由位置隐私保护模块负责将用户标识u用假名u'替换，选择包含用户u和在其附近的至少k-1个其他用户的匿名集，生成包含AS中所有k个不同位置(l₁,…,l_k)的空间隐形区域(CR)，进而差生扰动位置。最终将形成的查询Q＝(u',l_p,t,c)通过通信模块提交给不可信位置服务器。结果精炼模块负责对不可信位置服务器返回的查询结果集进行求精处理，并将精确结果经通信模块转发给相应的移动用户设备。

不可信位置服务器负责处理LBS查询请求Q＝(u',l_p,t,c)，并将查询结果候选集返回给可信匿名服务器。

接下来结合图2和图3，对根据本发明的能够抵御具有side information攻击者的高效差分扰动位置隐私保护方法进行详细的说明。

如图3所示，本发明高效差分扰动位置隐私保护方法，包括以下步骤：

步骤一：定义地理空间内的移动用户使用具有GPS定位功能的智能移动设备通过安全连接信道向TAS发送LBS查询请求Q＝(u,l,t,c,k)。其中，u表示用户的标识；l＝(x,y)表示用户提交LBS查询请求Q所在的位置，(x,y)表示位置的经纬度；t表示用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示用户的隐私需求，k值介于1(没有隐私需求)到用户基数(最大隐私需求)之间。参数l,t可由GPS定位设备直接获得；参数c,k需要用户指定。

本发明关注快照(snapshot)查询，即攻击者使用的是用户的当前数据而非用户在特定位置或时间的关于重复查询的历史信息。这一假设在实际中是合理的，因为如果用户已经获得了他所需要的兴趣项，那么将来在同一位置再次请求相同查询的可能性很小。为了方便表达，本发明假定攻击者具有的side information是关于用户的近似位置信息，且每个用户提交查询请求的概率相等；

步骤二：TAS接收到用户的查询请求Q后，首先将用户标识u用假名u'替换，并选择包含用户u和在其附近的至少k-1个其他用户且满足互惠原则的匿名集(AS)，然后生成包含AS中所有k个不同位置(l₁,…,l_k)的空间隐形区域(CR)。称生成CR的算法为隐形算法。u'可以为空，因为有些服务可能不需要用户标识。

为了获得更好的伸缩性和更快的服务，隐形算法需要安全、高效地产生隐形区域。安全就是要保隐形算法本身不会泄露用户的隐私信息；高效就是要使生成隐形区域的代价最小。已有文献证明满足空间k匿名的隐形算法是安全的，而互惠性原则是隐形算法满足空间k匿名属性的充分条件，即满足互惠性原则的隐形算法是安全的。下面，先对对互惠性原则进性说明。

假定查询用户是U，其隐私需求为k，其对应的匿名集和隐形区域分别为AS，CR。AS满足互惠原则，如果1)AS包含U和至少k-1个其他用户；2)对于给定的k值，AS中的每个用户都产生相同的AS。第2个条件说明AS中的每个用户都包含在该AS中所有其他用户的CR中。

目前，仅有的能满足互惠性原则的隐形算法HC使用希尔伯特空间填充曲线产生较小(但不一定是最优)的CR。但是，HC在使用希尔伯特空间填充曲线转换用户空间时没有考虑移动用户在地理空间中的位置分布特征且依赖于专门的数据结构(如B+树)，因此产生隐形区域的代价较大。为此，本发明设计了一种根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特填充曲线来转换用户空间位置，并采用当前流行的四分树结构来索引用户位置，大大提高了生成隐形区域的效率。下面详细给出生成用户位置索引和隐形区域的步骤。

(1)生成用户位置索引

假定U＝(u₁,u₂,…,u_n)为所有可能发送LBS请求的用户的集合；L＝(l₁,l₂,…,l_n)是用户发送LBS请求的所有可能位置的集合。本发明采用四分树索引结构索引用户的位置。

如图4(a)至4(c)所示，将包含所有用户位置的区域多次进行四分树划分，直到划分成一些不能再划分的原子区域。原则区域的大小由该区域内所能容纳的用户位置的数量C决定，即在当前的划分下，如果划分区域中包含的用户位置的数量超过C，则需要对该区域进一步划分，直到所有原子区域中包含的用户位置数量均不超过C。设定的存储容量C1越小，则对区域的划分粒度越细。具体的说，

输入：用户位置集合L和存储容量C1；

输出：位置集合L的四分树用户位置索引树QT；

对位置l_i∈L，使用递归方式将数据项插入到用户位置索引树QT中。设插入节点为N，若N是叶节点，且N存储的用户位置数量小于存储容量C1，则直接将l_i添加到节点N的位置集合中，否则为节点N新建立四个子节点，并将节点N包含的位置点移动到各自所属的子节点中，然后确认l_i属于哪个孩子节点包含的区域，记该孩子节点为D，接下来将l_i递归插入节点D中；若N为中间节点，则需要先确认l_i属于N的哪个孩子节点对应的区域，并记该孩子节点为D，然后将l_i递归插入节点D。通过对每个用户位置点l_i∈L依次执行上述节点插入过程，即可生成用户位置空间的用户位置索引树QT。

获得用户位置索引树QT后，根据指定的曲线方向θ和起始点S₀，对用户位置索引树QT的各叶子节点进行更新，生成各叶子节点的希尔伯特值H以及中间节点的曲线方向和起始点信息。具体的说，

输入：用户位置索引树QT，曲线起始点S，曲线方向O；

输出：更新后的用户位置索引树QT；

根据指定的曲线方向O与起始点S，对用户位置索引树QT进行深度优先遍历。初始时，首先将根节点对应区域的起始点QT_s和曲线方向QT_o初始化为S和O，然后根据希尔伯特填充曲线的分形规则D₁，(如图5所示)逐层确定各中间节点N的曲线方向N_O与起始点N_s，并以各叶子节点的访问先后次序计算其对应原子区域的Hilbert值H，也即得到位于该原子区域内用户位置的Hilbert值，从而生成更新后的用户位置索引树QT。图5中，Hilbert曲线方向分为向下(D₁)、向右(R₁)、向上(U₁)、向左(L₁)四种，子区域的序号由区域中的数字指定，各子区域可以进一步按照图中的规则细分，进而得到阶数更高的曲线。如果改变曲线起始点的位置，则可以再生成四种分形规则，如D₂、R₂、U₂、L₂所示。

(2)生成隐形区域

获得数据空间所有用户位置的用户位置索引树QT后，需要根据LBS查询请求发送用户u_i的隐私需求k，遍历用户位置索引树QT并产生一个包含u_i及在其附近的至少k-1个其他用户的满足互惠性原则的匿名集AS，进而高效地形成包含AS中k个用户位置(l₁,…,l_k)的隐形区域CR。具体的说，生成隐形区域的步骤为：

输入：用户查询请求发送u_i，隐私需求k，节点N；

输出：隐形区域CR；

1.初始化N为用户位置索引树QT中包含查询请求发送用户u_i的叶子节点；

2.当在N同一层上存在用户数小于k的非空节点；

3.从N开始自底向上遍历用户位置索引树QT，即N＝N的父亲节点；

4.重复执行步骤3，直至步骤2的条件不满足为止；

5.当N不是叶子节点且N的每个子节点或为空或包含大于k的用户；

6.从N开始自顶向下向包含u_i的子节点遍历用户位置索引树QT，即N＝N的包含u_i子节点；

7.重复执行步骤6，直至步骤5的条件不满足为止；

8.划分节点N生成隐形区域CR。

这里很重要的一个观察是对于隐私需求k，即使初始时节点N包含了足够多的用户(≥k)，如果在同一层中有一个节点N'满足0|N'|k，仍需要自底向上遍历用户位置索引树QT，因为N'可能包含一个用户u_i'，他的匿名集AS包含u_i。

假定AN是步骤2条件不满足时节点N的祖先节点，则此时和AN在同一层中的每个节点要么为空，要么在其子树中包含至少k个用户。这说明了AS可在节点AN内被局部地确定，因为所有来自于AN外的查询不需要在它们的匿名集中包含AN的用户。在确定AN能自行产生一个满足要求的隐形区域后，只要每个子树有至少k个用户，则自顶向下向u_i遍历AN(步骤5-7)。假定PN是自顶向下遍历停止时在AN中的节点，则PN在它的子树中包含u_i且它有一些子节点包含的用户数小于k。PN被称为划分节点且对应于u_i的最低的祖先节点，在该节点能够获得互惠性原则。这是因为在AN的子树且在PN这层或上层的所有节点都包含至少k个用户，这样不需使用PN中的任何节点就能生成CR。

PN可能包含许多用户数小于k的节点，这可能会产生非常大的隐形区域CR。划分方法(步骤8)通过将PN子树中的节点分组成不相交的桶来解决这一问题，和用户u_i在一个桶中的所有用户形成了u_i查询请求的匿名集AS。确定AS后，CR为覆盖AS的最小边界矩形(MBR)。具体地说，

假定LN是包含查询发送用户u_i的叶子节。首先考虑划分节点PN在叶子节层，即PN＝LN。将LN中的用户位置按照它们的希尔伯特值H进行排序。对于给定隐私需求k的查询，将前k个放在第1个桶中，接下来的k个放在第2个桶中，依次类推。因此，除了最后一个桶中可能包含多达2k-1个点外，其他每个桶中都恰好包含k个点。设r(u_i)是用户u_i的位置点在希尔伯特值排序序列(1≤ r(u_i)≤|LN|)中的位序，则u_i所在的桶b(u_i)包含希尔伯特值位序排名在范围[s,e]中所有用户。其中，若b(u_i)不是最后一个桶时，s＝r(u_i)-[r(u_i)-1]mod k,，e＝s+k-1；若b(u_i)为最后一个桶，则e＝|PN|，s＝e-[e mod k]–k+1；其次考虑划分节点PN在叶子层以上，仅需要访问从LN到PN路径上的节点来计算b(u_i)和它的CR。

步骤三：生成隐形区域CR后，TAS使用差分隐私保护技术通过向用户真实位置l_r＝(x_r,x_y)添加仔细选择的拉普拉斯噪音来生成扰动位置l_p＝(x_p,y_p)，并将l_p＝(x_p,y_p)作为LBS查询Q＝(u',l_p,t,c)的位置点转发给LBS服务提供商。具体的说，

设l_r＝(x_r,y_r)是用户u的真实位置，l_p＝(x_p,y_p)是对应于真实位置l_r的扰动位置。假定l₁,…,l_k是隐形区域CR中的k个位置，其中的一个位置是l_r。对于这k个位置中的任意两个位置l_i＝(x_i,y_i)和l_j＝(x_j,y_j)，由差分隐私的定义可知，产生的扰动位置l_p＝(x_p,y_p)需要满足：

Pr(l_p|l_i)≤e^∈Pr(l_p|l_j) (1)

其中∈≥0且i,j∈{1,…,k}。

式(1)可以通过使用式(2)中参数为b的拉普拉斯分布向位置l_r＝(x_r,y_r)中添加随机噪音实现：

添加噪音的数量设置为bsign(rnd)ln(1-2|rnd|)，其中rnd是均匀分布在上的一个随机数。基于下面的观察，b被设置为(max_nl_n-min_nl_n)/∈。

不失一般性，假定s表示一个通用的位置组件。利用三角不等式，可以得到：

|s_j-s_p|≤|s_j-s_i|+|s_i-s_p|。用式(2)重新组织式(1)可得到式(3)：

即：

因此，产生一个特定的扰动位置的概率总是被限定在其他一些位置产生同样扰动位置概率的常数e^∈因子内，从而可以防止具有用户辅助信息的攻击者通过推理攻击获取到用户的位置信息。

步骤四：LBS服务提供商根据接收到的LBS查询请求Q＝(u',l_p,t,c)处理查询，并将满足条件的查询结果候选集返回给TAS。

步骤五：TAS删除假的查询结果，并将正确的查询结果转发给相应的查询请求的移动用户设备。本发明的原型系统采用Java语言实现，并在实际路网数据集上进行了实验验证，通过隐私保护水平和服务质量两个指标来评价本发明的性能。服务质量从用户位置索引平均生成时间、隐形区域平均生成时间、检索结果质量三个方面进行了度量。隐私保护水平通过攻击者的正确性(Correctness)和不确定性(Uncertainty)度量。检索结果的质量使用查询结果集的相似率(Resemblance)和偏置率(Displacement)两个指标度量。相似率指的是利用用户真实位置l_r检索的对象集和利用扰动位置l_p检索的对象集之间的公共对象集占利用真实位置检索的对象集的比率，如式(4)所示；偏置率是指利用真实位置检索的对象集和利用扰动位置检索的对象集在距离方面的平均偏差，如式(5)所示。正确性度量攻击者能正确猜测用户位置的概率，如式(6)所示；不确定性度量攻击者的猜测在其它可能位置的偏斜性，如式(7)所示。

其中，O＝{o₁,o₂,…,o_k}是利用真实位置的检索对象集；O'＝{o₁',o'₂,…,o'_k}是利用扰动位置的检索对象集；

其中，q是表示查询点，dist(.)表示检索对象和查询点q之间的距离；

Correctness(i)＝Pr[(X,Y)＝(X_i,Y_i)|(x_p,y_p)] (6)

其中(x_p,y_p)是扰动位置点；

其中LK_i攻击者关于用户u_i的位置知识。

通过实验验证发现，根据用户在地理空间中的位置分布情况而自适应地划分用户的位置空间并采用四分树(或R*树)索引结构来构建用户位置索引的平均生成时间比采用统一划分的BIA算法提高了约41％，CR的平均生成时间提高了约40％，检索结果的相似性提高了77％，偏置率下了约53％。实验结果也表明利用扰动位置不会显著提高攻击者关于用户位置的先验知识。

Claims (3)

1.一种高效的差分扰动位置隐私保护方法，其特征在于，包括以下步骤：

A、移动用户使用具有GPS定位功能的智能移动设备通过安全连接通道将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器TAS；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；

B、TAS接收到查询Q后，将用户标识用假名u'替换，并选择包含用户u和在其附近的至少k-1个其他用户的匿名集AS，生成包含AS中所有k个不同位置(l₁,l₂,…,l_k)的空间隐形区域CR；

C、TAS使用差分隐私保护技术通过向用户真实位置l_r＝(x_r,x_y)添加仔细选择的拉普拉斯噪音来生成扰动位置l_p＝(x_p,y_p)，并将l_p＝(x_p,y_p)作为查询Q'＝(u',l_p,t,c)的位置点转发给LBS服务提供商；

D、LBS服务提供商根据接收到的LBS查询请求Q’＝(u',l_p,t,c)处理查询，并将满足条件的查询结果候选集返回给TAS；

E、TAS删除假查询结果，并将正确的查询结果转发给相应的移动用户；

步骤B中的AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，TAS选择的匿名集都是一样的；

步骤B具体包括以下步骤：

B1、对查询Q中的用户标识u进行处理得到假名u'，并记录u和假名u'的对应关系；

B2、使用根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特空间填充曲线将每个移动用户U的2维空间位置转化为1维希尔伯特值H(U)，构建基于R*树或四分树的用户位置索引树QT；

B3：根据查询发送用户u所在的叶子结点N，隐私需求k，遍历用户位置索引树QT，快速选择包含用户u和在其附近的至少k-1个其他用户的互惠匿名集AS，进而高效地形成包含AS中所有用户位置(l₁,l₂,…,l_k)的隐形区域CR；

步骤B中根据用户在地理空间中的位置分布特征而自适应变化的希尔伯特填充曲线来转换用户空间位置，并采用当前流行的四分树结构来索引用户位置；生成用户位置索引和隐形区域的步骤具体包括：

(1)生成用户位置索引

假定U＝(u₁,u₂,…,u_n)为所有可能发送LBS请求的用户的集合；L＝(l₁,l₂,…,l_n)是用户发送LBS请求的所有可能位置的集合；采用四分树索引结构索引用户的位置；

将包含所有用户位置的区域多次进行四分树划分，直到划分成一些不能再划分的原子区域；原子区域的大小由该区域内所能容纳的用户位置的数量C决定；具体为：

输入：用户位置集合L和存储容量C1；

输出：位置集合L的用户位置索引树QT；

对位置l_i∈L，使用递归方式将数据项插入到用户位置索引树QT中；设插入节点为N，若N是叶节点，且N存储的用户位置数量小于存储容量C1，则直接将l_i添加到节点N的位置集合中，否则为节点N新建立四个子节点，并将节点N包含的位置点移动到各自所属的子节点中，然后确认l_i属于哪个孩子节点包含的区域，记该孩子节点为D，接下来将l_i递归插入节点D中；若N为中间节点，则先确认l_i属于N的哪个孩子节点对应的区域，并记该子节点为D，然后将l_i递归插入节点D；通过对每个用户位置点l_i∈L依次执行上述节点插入过程，生成用户位置空间的用户位置索引树QT；

获得用户位置索引树QT后，根据指定的曲线方向O和起始点S，对用户位置索引树QT的各叶子节点进行更新，生成各叶子节点的希尔伯特值H以及中间节点的曲线方向O和起始点S信息；具体为：

输入：用户位置索引树QT，曲线起始点S，曲线方向O；

输出：更新后的用户位置索引树QT；

根据指定的曲线方向O与起始点S，对用户位置索引树QT进行深度优先遍历；初始时，首先将根节点对应区域的起始点QT_s和曲线方向QT_o初始化为S和O，然后根据希尔伯特填充曲线的分形规则D₁，逐层确定各中间节点N的曲线方向N_O与起始点N_s，并以各叶子节点的访问先后次序计算其对应原子区域的Hilbert值H，即得到位于该原子区域内用户位置的Hilbert值，从而生成更新后的用户位置索引树QT；

(2)生成隐形区域

获得数据空间所有用户位置的用户位置索引树QT后，根据LBS查询请求发送用户u_i的隐私需求k，遍历用户位置索引树QT并产生一个包含u_i及在其附近的至少k-1个其他用户的满足互惠性原则的匿名集AS，进而高效地形成包含AS中k个用户位置(l₁,…,l_k)的隐形区域CR；具体生成隐形区域的步骤为：

输入：用户查询请求发送u_i，隐私需求k，节点N；

输出：隐形区域CR；

1.初始化N为用户位置索引树QT中包含查询请求发送用户u_i的叶子节点；

2.当在N同一层上存在用户数小于k的非空节点；

3.从N开始自底向上遍历用户位置索引树QT，即N＝N的父亲节点；

4.重复执行步骤3，直至步骤2的条件不满足为止；

5.当N不是叶子节点且N的每个子节点或为空或包含大于k的用户；

6.从N开始自顶向下向包含u_i的子节点遍历用户位置索引树QT，即N＝N的包含u_i子节点；

7.重复执行步骤6，直至步骤5的条件不满足为止；

8.划分节点N生成隐形区域CR。

2.根据权利要求1所述的一种高效的差分扰动位置隐私保护方法，其特征在于，步骤A中k值介于1到用户基数之间。

3.一种实现权利要求1所述一种高效的差分扰动位置隐私保护方法的高效的差分扰动位置隐私保护系统，其特征在于，包括移动用户设备、可信匿名服务器和不可信位置服务器；

所述移动用户设备用于将LBS查询请求Q＝(u,l,t,c,k)发送给可信匿名服务器；其中，u表示移动用户的标识；l＝(x,y)表示移动用户提交LBS查询请求Q所在的位置，(x,y)表示移动用户位置的经纬度；t表示移动用户提交LBS查询请求Q的时间；c表示LBS查询内容；k表示移动用户的隐私需求参数；

可信匿名服务器由位置隐私保护模块、结果精炼模块和通信模块组成；匿名服务器接收到移动用户设备发出的一个查询Q时，由位置隐私保护模块负责将用户标识u用假名u'替换，选择包含用户u和在其附近的至少k-1个其他用户的匿名集，生成包含AS中所有k个不同位置(l₁,…,l_k)的空间隐形区域CR；然后可信匿名服务器使用差分隐私保护技术通过向用户真实位置l_r＝(x_r,x_y)添加仔细选择的拉普拉斯噪音来生成扰动位置l_p＝(x_p,y_p)，并将l_p＝(x_p,y_p)作为LBS查询Q＝(u',l_p,t,c)的位置点通过通信模块提交给不可信位置服务器；结果精炼模块用于对不可信位置服务器返回的查询结果集进行求精处理，并将精确结果经通信模块转发给相应的移动用户设备；

不可信位置服务器用于处理LBS查询请求Q＝(u',l_p,t,c)，并将查询结果候选集返回给可信匿名服务器；

AS满足互惠性原则：不管这k个位置点中哪一个点被当作是查询位置点，可信匿名服务器TAS选择的匿名集都是一样的；

k值介于1到用户基数之间。