CN104936141A - 基于位置标签的lbs轨迹隐私保护方法 - Google Patents

Abstract

本发明提供一种基于位置标签的LBS轨迹隐私保护方法，属于信息安全技术领域。本发明所提供的轨迹隐私保护方法基于PLAM方法，并采用“K匿名”和“L多样化”相结合的方式，通过在LBS系统服务区内划分敏感位置及普通位置，利用交换PID的方法来保护用户的身份不被攻击者所识别，从而切断用户与轨迹的联系，达到保护用户的轨迹隐私。本发明方法计算成本低，保护隐私能力强，且完全适用于服务大量用户端的LBS系统。

Description

基于位置标签的LBS轨迹隐私保护方法

技术领域

本发明属于信息安全技术领域，具体涉及一种基于位置标签的LBS轨迹隐私保护方法。

背景技术

随着定位技术和移动通信技术的飞速发展，基于位置服务(LBS)的应用迅速崛起，得到了广大人们的关注。LBS应用系统已经涉及到各大领域中，比如交通、医疗、旅游、社交、娱乐等。利用各种手持终端如平板电脑、手机等，在有无线通信网络环境的情况下(WiFi，3G，4G等)用户可以轻松地向LBS系统发起请求，LBS应用系统得到用户的请求消息后，首先定位出用户的具体位置，根据位置信息以及用户所请求的内容作出相应的服务。例如某个用户发起请求“离我最近的医院在哪”，LBS应用系统就会返回离用户最近的医院地址以及其他相关信息。在享受LBS应用系统带来方便的同时，用户也存在着潜在的安全危险。用户的爱好隐私(即请求内容隐私)，位置隐私，轨迹隐私可能会暴露，并且被攻击者利用，从而伤害用户的切身利益。比如用户的请求内容隐私和位置隐私被不法分子掌握后，他们通过一些简单的分析就能掌握用户较为全面的信息，通过网络诈骗，电信诈骗来骗取用户的财产。再加上人们越来越关注自己的隐私安全问题，因此隐私保护是一个急需解决的事情。

Rongxing Lu等人提出一种PLAM协议方法用于保护LBS系统中的用户隐私(PLAM:APrivacy-Preserving Framework for Local-Area Mobile Social Networks.IEEE INFOCOM,763-771,2014.)。所述PLAM协议结合K匿名和L多样化技术，采用分布式架构，并运用双线性映射和同态加密的技术来保护LBS系统中用户单次请求下的位置隐私和爱好隐私。该方法把K和L作为双线性映射和同态加密的输入，并定义K＝q，L＝|q|，即双线性映射和同态加密均基于一个大的素数q，这在理论上是可行的；但是结合实际，这会使得整个LBS系统运作相当慢；因为K＝q，L＝|q|，这使得K和L相当大。尽管K越大，K匿名效果越好，但是相应的会牺牲时间效率，这使得选择出合适的K个用户难度加大；而且该方法还运用同态加密技术，加密和解密本身就是相当耗时的；加上PLAM运用的是分布式结构，需要等到K个合适的用户联合发起请求，等待的过程也是很耗时的。故PLAM协议方法会使得LBS请求速度慢，严重影响用户的感知。

发明内容

本发明为解决现有相关技术存在的问题，基于背景技术所述的PLAM协议方法，提供一种基于位置标签的LBS轨迹隐私保护方法，本发明的隐私保护方法既简单又有效。

本发明具体采用如下技术方案：

一种基于位置标签的LBS轨迹隐私保护方法，其具体流程如图1所示，包括以下步骤：

步骤1.初始化阶段；

步骤1-1.整个LBS系统包括LP服务器即LBS提供者、用于分配用户ID及秘钥的PIDS服务器及用户端；用户端选定安全参数K，并设定请求服务的内容类别多样化参数L，1≤L≤K；

步骤1-2.定义用户位置信息d_i＝(x,y,label)，其中x表示地理位置的纬度，y表示地理位置的经度，label表示位置的类别：整个LBS系统根据真实地理环境把其服务的区域A划分成多个小区域的集合{A₁，A₂，…，A_i，…}，每个小区域的几何中心的地理坐标作为该小区域的位置信息，若用户处于某个小区域A_i，则该区域的几何中心地理坐标的纬度和经度就是用户此刻的位置信息x与y；根据真实地理环境的划分规则把位置划分成两大类位置标签：敏感位置和普通位置，所谓敏感位置可包括医院、校园、超市等，而普通位置可以是一般的道路，比如某用户处于敏感位置(医院)，lable信息里面就记载着关于这个医院的一些信息；若用户处于普通位置，则lable的具体信息里面为空；同时，将敏感位置标签下的位置依照具体位置类型进行具体位置划分，比如敏感位置标签下的具体位置可分为某医院、某学校、某超市等，而普通位置标签下的位置无需划分具体位置；此处，敏感位置与普通位置的位置标签以及具体位置可根据LBS系统的具体应用环境重新定义和划分；

步骤1-3.定义请求服务的内容类别S：根据LBS系统能提供的服务类型，把用户请求进行分类，比如有些用户是请求的娱乐方面的信息，有些用户是请求餐饮方面的信息，有些用户是请求交友方面的信息等等；把所有的服务内容类别存储在集合Serve＝{S₁,S₂,…,S_i,…}中，其中S_i代表LBS系统提供的第i种服务类型的内容类别，LP服务器通过广播方式将集合Serve发送至各用户端；内容类别可根据LBS系统的具体应用环境重新定义和划分；

步骤1-4.定义单个用户发起的请求报文Rq_i＝{PID_i，d_i，S_i，R_i，t}：当用户U_i发起请求时，其请求报文包含PID_i、d_i、S_i和R_i，其中，PID_i是用于标示用户身份的ID值，d_i是用户位置信息，S_i是用户U_i发起请求的内容类别，R_i是该用户的具体请求内容，t是该用户预设的此次请求所能等待的最长时间，即该请求的有效时长；

步骤2.用户注册阶段；

步骤2-1.当用户U_i需要LBS系统提供服务且该用户处于LBS系统服务的范围内时，用户U_i会向PIDS服务器发起注册消息；

步骤2-2.PIDS服务器收到用户注册消息后向该用户分配用于标示用户身份的ID值PID_i，并同时向该用户分配一个与其ID值PID_i匹配的秘钥SK_i；

步骤3.用户发起LBS请求阶段；

用户U_i注册成功后，采取本步骤所述的“隐私保护聚合请求协议”联合其他K-1个注册成功的用户共同构建一个联合请求用户集合U，并选定所述K个用户的代表用户U_a，执行步骤4；“隐私保护聚合请求协议”具体如下：

步骤3-1.若用户U_i要发起LBS请求且用户U_i没有收到任何来自其他用户的联合请求，则该用户首先会发起聚合请求消息去联合其他K-1个用户，用户U_i通过广播方式发送聚合请求消息，在通信范围内的所有用户都能收到此广播消息，执行步骤3-2至步骤3-3构建联合请求用户集合U，此时用户U_i即为所述K个用户的代表用户U_a；

步骤3-2.当其他用户B收到用户U_i的广播消息后，若用户B之前没有发起聚合请求消息，也没有答应任何聚合请求消息，则此时用户B答应用户U_i，同意联合发起LBS请求；

步骤3-3.若用户B已发起聚合请求消息，目前正在收集其他用户的答复且此时已经有超过K/2的用户同意与用户B联合发送请求，或者若用户B已同意其他用户广播的聚合请求，则用户B忽略用户U_i的广播消息；

若用户B已发起聚合请求消息，且此时同意与用户B联合发起请求的用户数量小于等于K/2，假定有m(m≤K/2)个用户同意与B联合发起请求，则令用户B为所述m个用户的代理用户，此时用户B会代表所述m个用户及用户B自身答应用户U_i同意联合发起请求；

步骤4.PID交换阶段；

用户集合U的代表用户U_a统计集合U中K个用户的位置标签：若所述K个用户的位置标签均相同且均为敏感位置，则采用步骤4-1所述的“交换PID协议”进行PID交换处理；若所述K个用户的位置标签均相同且均为普通位置，或所述K个用户的位置标签不完全相同，则采用步骤4-2所述的“改进型PLAM协议”进行PID交换处理；

步骤4-1.“交换PID协议”具体如下：

当这K个用户的位置标签信息相同且均是敏感位置，本发明提出交换PID协议来保护用户的轨迹隐私和位置隐私；因为此时K个用户的位置相同且都是敏感位置，用户已经不再关心自己的请求内容是否被泄露；比如这K个用户都在医院，他们理所当然的可能都在请求相关“治病”的一些信息，这些信息是公开的一些消息；他们最为关心的是自己的身份不要被泄露，因此本发明利用交换PID的方法来保护用户的身份不被攻击者所识别；把这K个用户的共同位置想象为交通道路上的交叉路口，他们来自不同的道路汇聚在此交叉路口上；当交换PID身份后，再出去这个交叉路口，攻击者就无法捕捉此时用户的身份，从而切断了用户与轨迹的联系，达到保护用户的轨迹隐私；具体操作如下：

设定概率ρ，ρ∈(0，1]，若所述K为偶数，则将所述K个用户随机两两配对，假定用户C与用户D配成一对，则用户C与用户D以概率ρ交换ID值PID及秘钥SK，即用户C接收到用户D发送的ID值PID_D和秘钥SK_D后，用户C将丢弃自身的身份信息并将PID_D和秘钥SK_D作为自己的新的身份信息，用户D的操作同上所述；若所述K为奇数，则随机选取K-3个用户按上述方法两两配对并以概率ρ交换PID及秘钥SK，剩余3个用户按三角形顺时针或逆时针路径形式并以概率ρ交换ID值PID及秘钥SK；

步骤4-2.“改进型PLAM协议”具体如下：

步骤4-2-1.代表用户U_a执行统计集合U中K个用户请求服务的内容类别S，记所述K个用户的请求服务有M种不同的内容类别；若M大于等于内容类别多样化参数L，则执行步骤4-2-2，否则，此次联合请求失败，代表用户U_a通过广播向各用户发送失败信息，所有用户重新发起LBS请求；

步骤4-2-2.代表用户U_a比对所述K个用户的具体位置信息；若有超过K/2个用户为普通位置标签或者有超过K/2个用户属于敏感位置标签中某同一个具体位置，则采用步骤4-1所述的“交换PID协议”进行PID交换操作，再执行步骤5；否则，不进行PID交换操作直接执行步骤5；

步骤5.用户集合U完成步骤4所述的PID交换操作后，代表用户U_a通知其他K-1个用户向代表用户U_a发送所述K-1个用户的请求报文并结合用户U_a自身的请求报文重新整理打包成联合请求报文Rq＝{Rq₁，…，Rq_i，…，Rq_K}；

若联合请求报文Rq满足格式及内容要求，则代表用户U_a向LP服务器发起请求；否则丢弃此报文，并通知所述K-1个用户此次联合失败；联合失败后按照步骤3所述方法针对当前用户U_i重新构建新的用户集合及其代表用户，并按步骤4至步骤6完成请求报文的构建、发送与结果的接收；

步骤6.LP服务器收到联合请求报文后，通过数据处理与提取后返回相应的结果列表给所述K个用户，用户U_i收到LP服务器发送的消息后，从消息列表中筛选出与自己请求相符合的结果。

进一步的，在完成步骤2-2所述操作并执行步骤3之前还可包括以下步骤：

步骤2-3.用户U_i收到PIDS服务器发送的PID_i及其秘钥SK_i后，利用双线性映射原理验证PID_i值和秘钥SK_i是否匹配，若二者匹配则说明该用户注册成功，若二者不匹配，则该用户放弃当前获得的PID_i值和秘钥SK_i并重新向PIDS服务器发起注册消息。

本发明的有益效果是：

1)本发明的采用交换PID协议，可以有效地保护用户的位置隐私；而且，在连续请求时，此方法通过断开用户身份与用户的联系间接地保护用户的轨迹隐私；

2)本发明通过提供的改进型PLAM协议，大大降低用户具体位置被推断出的概率为，由此加大攻击者推断真实用户具体位置的难度，保护用户的隐私不被侵犯。

附图说明

图1为本发明提供的LBS轨迹隐私保护方法流程图。

图2为实施例1中现有的PLAM方法及本发明提供的方法在不同K值下的请求延时对比情况；

图3为实施例2中现有的PLAM方法及本发明提供的方法在不同K值下的请求延时对比情况；

图4为实施例1与实施例2中本发明提供的方法在不同K值下的请求延时对比情况；

图5为实施例1与实施例2中现有的PLAM方法在不同K值下的请求延时对比情况。

具体实施方式

下面结合实施例和附图对本发明作进一步详细说明。

在分布式架构中，为了保护用户的隐私，本具体实施方式采用了基于位置标签LBS轨迹隐私保护方法。在该方法中运用隐私保护聚合请求协议来实现K匿名，等待K个用户的聚合过程不可避免地要消耗一定量的时间。因此本发明性能的好坏取决于整个请求过程中的延时，延时越短性能越好。本具体实施方的仿真实验基于OPNET网络仿真平台，通过模拟两种场景来对比基于位置标签LBS轨迹隐私保护算法和PLAM算法的请求延时。

实施例1

本实施例假设有100个用户均匀分布在区域A中(区域A里面包含普通位置和敏感位置)，为了便于仿真的实现，这100个用户在通信范围距离内。用户u₁处于普通位置并且发起LBS请求，其他的用户之间可能已经发起过聚合请求消息，但是聚合的个数都未超过K(随机)。交换PID协议的概率ρ＝0.5。为便于报文的传输，本实施例假定LP服务器(LBS提供者)提供32种服务类型，因此Serve有32位。为了满足L多样化，本实施例假定L＝K/2。

图2是现有的PLAM算法及本发明提供的算法在不同K值下的请求延时对比情况。从图中可观察到，现有的PLAM算法的请求延时随着K值的增大而增大；而本发明提出的基于位置标签的算法在K值小于20的情况下，其请求延时随着K值的增大而增大，但是当K值介于20到35之间，请求延时相对于K＝20的时候有所降低，当K值超过35之后，请求延时又提高。此种情况是由于本文提出的基于位置标签算法在执行隐私保护聚合请求协议的过程中，若用户u_i同意与用户u₁联合，然而用户u_i之前已经发起过请求并且有m(m≤K/2)个用户已经同意联合用户u_i，则此时用户u_i就变成了代理用户，会响应用户u₁有m+1个用户同意联合。这样就会大大缩短等待K个用户的时间。所以当K值介于20到35之间时，请求的延时降低。当K值再增加的时候请求延时升高，因为随着K值增加，等待更多的用户联合本身就会消耗更多的时间，这是显而易见的。

实施例2

本实施例假设有100个用户仍然处于区域A，但是他们大部分密集地分布在敏感位置，少部分散落在普通位置。用户u₁处于敏感位置并且发起LBS请求。图3描述了本实施例请求延时随着LBS系统安全参数K值的变化。从图3中可以看出当K值小于20的时候，PLAM算法的请求延时比基于位置标签的轨迹隐私保护算法低。因为当用户处于敏感位置的时候，敏感位置用户密度大，联合的K个用户中很有可能有一半以上的用户处于相同的位置。因此需要执行交换PID协议，交换PID的过程需要消耗少量的时间，从而请求延时加长。当K值大于20时，很明显基于位置标签的隐私轨迹保护算法优于现有PLAM方法。

从图2和图3的实验数据中可以发现K的取值为25时效果最好，此时请求延时较低而且K的取值也比较合理。从图4中可以观察到使用本发明提供的方法时，用户在敏感位置发起请求的延时基本高于在普通位置发起请求的延时。而图5显示使用现有PLAM方法时，无论是敏感位置发起请求还是在普通位置发起请求，延时均相差不大，因为对于现有PLAM方法而言，位置没有进行区分，敏感位置和普通位置对于用户来说都是一样的。

Claims (2)

1.一种基于位置标签的LBS轨迹隐私保护方法，具体包括以下步骤：

步骤1.初始化阶段；

步骤1-1.整个LBS系统包括LP服务器即LBS提供者、用于分配用户ID及秘钥的PIDS服务器及用户端；用户端选定安全参数K，并设定请求服务的内容类别多样化参数L，1≤L≤K；

步骤1-2.定义用户位置信息d_i＝(x,y,label)，其中x表示地理位置的纬度，y表示地理位置的经度，label表示位置的类别：整个LBS系统根据真实地理环境把其服务的区域A划分成多个小区域的集合{A₁，A₂，…，A_i，…}，每个小区域的几何中心的地理坐标作为该小区域的位置信息，若用户处于某个小区域A_i，则该区域的几何中心地理坐标的纬度和经度就是用户此刻的位置信息x与y；根据真实地理环境的划分规则把位置划分成两大类位置标签：敏感位置和普通位置；将敏感位置标签下的位置依照具体位置类型进行具体位置划分；敏感位置与普通位置的位置标签以及具体位置可根据LBS系统的具体应用环境重新定义和划分；

步骤1-3.定义请求服务的内容类别S：根据LBS系统能提供的服务类型，把用户请求进行分类；把所有的服务内容类别存储在集合Serve＝{S₁,S₂,…,S_i,…}中，其中S_i代表LBS系统提供的第i种服务类型的内容类别，LP服务器通过广播方式将集合Serve发送至各用户端；内容类别可根据LBS系统的具体应用环境重新定义和划分；

步骤1-4.定义单个用户发起的请求报文Rq_i＝{PID_i，d_i，S_i，R_i，t}：当用户U_i发起请求时，其请求报文包含PID_i、d_i、S_i和R_i，其中，PID_i是用于标示用户身份的ID值，d_i是用户位置信息，S_i是用户U_i发起请求的内容类别，R_i是该用户的具体请求内容，t是该用户预设的此次请求所能等待的最长时间，即该请求的有效时长；

步骤2.用户注册阶段；

步骤2-1.当用户U_i需要LBS系统提供服务且该用户处于LBS系统服务的范围内时，用户U_i会向PIDS服务器发起注册消息；

步骤2-2.PIDS服务器收到用户注册消息后向该用户分配用于标示用户身份的ID值PID_i，并同时向该用户分配一个与其ID值PID_i匹配的秘钥SK_i；

步骤3.用户发起LBS请求阶段；

用户U_a注册成功后，采取本步骤所述的“隐私保护聚合请求协议”联合其他K-1个注册成功的用户共同构建一个联合请求用户集合U，并选定所述K个用户的代表用户U_a，执行步骤4；“隐私保护聚合请求协议”具体如下：

步骤3-1.若用户U_i要发起LBS请求且用户U_i没有收到任何来自其他用户的联合请求，则该用户首先会发起聚合请求消息去联合其他K-1个用户，用户U_i通过广播方式发送聚合请求消息，在通信范围内的所有用户都能收到此广播消息，执行步骤3-2至步骤3-3构建联合请求用户集合U，此时用户U_i即为所述K个用户的代表用户U_a；

步骤3-2.当其他用户B收到用户U_i的广播消息后，若用户B之前没有发起聚合请求消息，也没有答应任何聚合请求消息，则此时用户B答应用户U_i，同意联合发起LBS请求；

步骤3-3.若用户B已发起聚合请求消息，目前正在收集其他用户的答复且此时已经有超过K/2的用户同意与用户B联合发送请求，或者若用户B已同意其他用户广播的聚合请求，则用户B忽略用户U_i的广播消息；

若用户B已发起聚合请求消息，且此时同意与用户B联合发起请求的用户数量小于等于K/2，假定有m(m≤K/2)个用户同意与B联合发起请求，则令用户B为所述m个用户的代理用户，此时用户B会代表所述m个用户及用户B自身答应用户U_i同意联合发起请求；

步骤4.PID交换阶段；

用户集合U的代表用户U_a统计集合U中K个用户的位置标签：若所述K个用户的位置标签均相同且均为敏感位置，则采用步骤4-1所述的“交换PID协议”进行PID交换处理；若所述K个用户的位置标签均相同且均为普通位置，或所述K个用户的位置标签不完全相同，则采用步骤4-2所述的“改进型PLAM协议”进行PID交换处理；

步骤4-1.“交换PID协议”具体如下：

设定概率ρ，ρ∈(0，1]，若所述K为偶数，则将所述K个用户随机两两配对，假定用户C与用户D配成一对，则用户C与用户D以概率ρ交换ID值PID及秘钥SK，即用户C接收到用户D发送的ID值PID_D和秘钥SK_D后，用户C将丢弃自身的身份信息并将PID_D和秘钥SK_D作为自己的新的身份信息，用户D的操作同上所述；若所述K为奇数，则随机选取K-3个用户按上述方法两两配对并以概率ρ交换PID及秘钥SK，剩余3个用户按三角形顺时针或逆时针路径形式并以概率ρ交换ID值PID及秘钥SK；

步骤4-2.“改进型PLAM协议”具体如下：

步骤4-2-1.代表用户U_a执行统计集合U中K个用户请求服务的内容类别S，记所述K个用户的请求服务有M种不同的内容类别；若M大于等于内容类别多样化参数L，则执行步骤4-2-2，否则，此次联合请求失败，代表用户U_a通过广播向各用户发送失败信息，所有用户重新发起LBS请求；

步骤4-2-2.代表用户U_a比对所述K个用户的具体位置信息；若有超过K/2个用户为普通位置标签或者有超过K/2个用户属于敏感位置标签中某同一个具体位置，则采用步骤4-1所述的“交换PID协议”进行PID交换操作，再执行步骤5；否则，不进行PID交换操作直接执行步骤5；

步骤5.用户集合U完成步骤4所述的PID交换操作后，代表用户U_a通知其他K-1个用户向代表用户U_a发送所述K-1个用户的请求报文并结合用户U_a自身的请求报文重新整理打包成联合请求报文Rq＝{Rq₁，…，Rq_i，…，Rq_K}；

若联合请求报文Rq满足格式及内容要求，则代表用户U_a向LP服务器发起请求；否则丢弃此报文，并通知所述K-1个用户此次联合失败；联合失败后按照步骤3所述方法针对当前用户U_i重新构建新的用户集合及其代表用户，并按步骤4至步骤6完成请求报文的构建、发送与结果的接收；

步骤6.LP服务器收到联合请求报文后，通过数据处理与提取后返回相应的结果列表给所述K个用户，用户U_i收到LP服务器发送的消息后，从消息列表中筛选出与自己请求相符合的结果。

2.根据权利要求1所述的基于位置标签的LBS轨迹隐私保护方法，其特征在于，在完成步骤2-2所述操作并执行步骤3之前还包括以下步骤：

步骤2-3.用户U_i收到PIDS服务器发送的PID_i及其秘钥SK_i后，利用双线性映射原理验证PID_i值和秘钥SK_i是否匹配，若二者匹配则说明该用户注册成功，若二者不匹配，则该用户放弃当前获得的PID_i值和秘钥SK_i并重新向PIDS服务器发起注册消息。