CN106059988B - 基于位置服务的轨迹隐私保护方法 - Google Patents

Abstract

本发明提供一种基于位置服务的轨迹隐私保护方法。该方法提出一种MSN中基于BMU转发机制的轨迹隐私保护方法；通过在MSN中找到最匹配的用户进行信息转发，建立用户信息的转发机制，隐藏用户的真实轨迹与LBS服务器的联系，以实现用户的轨迹隐私保护。在寻找BMU的过程中，基于权重的隐私匹配协议进行隐私匹配，以实现安全和高效的匹配。通过该方法攻击者很难追踪到用户的真实轨迹，同时BMU转发到服务器查询的用户位置是精确的，可以减少服务器的计算和通信开销。

Description

基于位置服务的轨迹隐私保护方法

技术领域

本发明涉及计算机科学技术领域，尤其涉及一种基于位置服务的轨迹隐私保护方法。

背景技术

随着无线通信技术和具有定位功能的个人智能终端设备的发展，基于位置的服务(Location-Based Service，LBS)发展迅速并获得广泛关注。用户通过LBS可以获得用户位置附近的兴趣点(Points of Interests，POIs)，例如寻找最近的医院、餐馆和商场等，然而人们在享用LBS服务带来便利的同时，也面临着敏感信息泄露的风险。例如：根据用户连续的LBS查询，攻击者可以分析出用户的敏感轨迹特征，如工作及家庭地址、个人生活习惯、行为特征等。同时LBS服务提供商也可能将用户的隐私信息泄露给第三方，这将给用户带来严重的安全隐私风险。因此，目前基于位置服务的轨迹隐私保护问题已引起学术界和工业界的广泛关注，并迫切需要解决。

为减少轨迹隐私泄露的风险，国内外学者已提出一些轨迹隐私保护方法，主要可分为三类：假轨迹方法、抑制法和泛化法。假轨迹方法通过为真实轨迹产生一些假轨迹来减少真实轨迹暴露的风险，假轨迹产生的越多，真实轨迹泄露的风险就越小，该方法简单并具有较小的计算开销，但数据存储容量大；抑制法就是轨迹上敏感的位置不发布到LBS服务器，保护一些对用户来说是敏感或频繁访问的位置，该方法容易实现，但轨迹上的敏感位置抑制太多，将导致丢失过多的信息；泛化法就是泛化轨迹上的样本点到相关的匿名域，使用户的位置不能被精确地确定，该方法能确保数据的正确性，但有很高的计算开销。

目前泛化法中的K匿名是轨迹隐私保护的主流方法；当轨迹上的位置点需要发出查询时，用户首先寻找历史轨迹上的其它(K-1)个足迹点，以形成包含K个不同位置的匿名域，然后发送到服务器查询，使服务器不知道用户的精确位置，以达到保护用户轨迹隐私的目的。但该方法也存在以下隐私泄露的风险：1)通过连接各个匿名域，攻击者可以知道用户的运动轨迹；2)通过对比不同时间点匿名域中的用户，攻击者能指出真实的用户；3)如果匿名域太小，攻击者能识别用户的具体位置。

发明内容

本发明提供一种基于位置服务的轨迹隐私保护方法，以有效保护用户的轨迹隐私，并减少计算和通信开销。

为实现上述目的，本发明提供如下技术方案：

一种基于位置服务的轨迹隐私保护方法，包括：

服务用户将第一位置查询请求消息发送给最匹配用户；其中，ID_U表示服务用户身份标识、表示非对称加密函数、PK_S表示LBS服务器发布的公钥；T_i和L_i分别表示所述服务用户发出的基于位置服务查询的时间和位置点、Q表示查询内容、K_S表示LBS服务器与所述服务用户之间的对称加密密钥；

所述最匹配用户从所述第一位置查询请求消息MSG_U2B中获取所述服务用户身份标识ID_U并存储在文件列表中；将所述服务用户身份标识ID_U替换为所述最匹配用户身份标识得到第二位置查询请求消息MSG_B2S并发送给所述LBS服务器；

所述LBS服务器利用服务器私钥解密所述第二位置查询请求消息MSG_B2S中的非对称加密函数获取所述服务用户查询的位置点L_i和查询内容Q，根据所述位置点L_i和查询内容Q，利用K最近邻搜索算法获得第一加密查询结果并将所述第一加密查询结果发送给所述最匹配用户；

所述最匹配用户将所述第一加密查询结果中的所述最匹配用户身份标识恢复成所述服务用户身份标识ID_U，得到第二加密查询结果并发送给所述服务用户；

所述服务用户通过所述对称加密密钥解密K_S所述第二加密查询结果以获得查询结果MSG。

如上所述的方法，其中，所述服务用户将第一位置查询请求消息MSG_U2B发送给最匹配用户，包括：

所述服务用户获取候选匹配用户；根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户；生成所述第一位置查询请求消息MSG_U2B并发送给所述最匹配用户；其中，所述候选匹配用户是以所述服务用户的当前位置点为中心形成的移动社交网络MSN覆盖范围内的用户。

如上所述的方法，其中，所述根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户，包括：

获取所述服务用户和所述候选匹配用户在预设时间段内分别形成的轨迹段，在t_i(1≤i≤n)时刻分别从所述轨迹段选择样本点，计算t_i时刻两个样本点的匹配值计算之间的方差得到值最大的所述候选匹配用户为所述最匹配用户。

如上所述的方法，其中，所述LBS服务器利用K最近邻搜索算法获得第一加密查询结果包括：

所述LBS服务器利用K最近邻搜索算法得到查询结果MSG，用对称加密函数En以及从获得的K_S加密查询结果MSG，得到并将与所述最匹配用户身份标识组成第一加密查询结果MSG_S2B发送给所述最匹配用户。

本发明提供的基于位置服务的轨迹隐私保护方法，提出一种位置服务中基于信息转发机制的轨迹隐私保护方法。通过在MSN中找到最匹配的用户进行信息转发，建立用户信息的转发机制，隐藏用户的真实轨迹与LBS服务器的联系，以实现用户的轨迹隐私保护。在寻找BMU的过程中，基于权重的隐私匹配协议进行隐私匹配，以实现安全和高效的匹配。通过该方法攻击者很难追踪到用户的真实轨迹，同时BMU转发到服务器查询的用户位置是精确的，可以减少服务器的计算和通信开销。

附图说明

为了更清楚地说明本发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动性的前提下，还可以根据这些附图获得其他的附图。

图1为本发明实施例提供的基于位置服务的轨迹隐私保护方法的流程图。

具体实施方式

为使本发明实施例的目的、技术方案和优点更加清楚，下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明各实施例提供的基于位置服务的轨迹隐私保护方法中，服务用户在移动的过程中需要LBS时，服务用户首先以当前位置点为中心形成一个移动社交网络(MobileSocial Network，MSN)，然后利用隐私匹配协议，找到MSN中最匹配用户(Best MatchingUser，BMU)与服务用户进行交换查询，在服务用户和LBS服务器之间，建立通过第三方用户进行转发信息的机制。引入第三方用户的主要目的是在服务用户和BMU之间进行ID匿名转换，使LBS服务器无法获得服务用户的真实身份信息，能以较低的计算和通信开销保护用户的轨迹隐私，并让用户获取精确的查询结果。根据模型中实体的角色和功能，该模型主要由三类实体组成：服务用户、最匹配用户和LBS服务器。

具体的，服务用户为携带具有全球定位、计算存储和无线通信功能的智能终端用户，它能将不同时间点的请求信息连续发送到服务器进行查询，为阻止攻击者知道服务用户的位置和查询内容，通常需要加密请求信息后再转发到服务器进行查询；最匹配用户为在MSN中最满足服务用户特定属性条件的用户，它的主要功能是在服务用户和LBS服务器之间转发查询请求信息和查询结果；LBS服务器为服务提供者，拥有服务数据库，并能及时存储和更新服务数据，为用户提供各种数据服务。LBS服务器收到查询请求后，在数据库搜索服务用户指定的POIs，并将它返回给服务用户。

图1为本发明实施例提供的基于位置服务的轨迹隐私保护方法的流程图。如图1所示，本实施例提供的基于位置服务的轨迹隐私保护方法可以包括：

步骤101、服务用户将第一位置查询请求消息发送给最匹配用户；其中，ID_U表示服务用户身份标识、表示非对称加密函数、PK_S表示LBS服务器发布的公钥；T_i和L_i分别表示所述服务用户发出的基于位置服务查询的时间和位置点、Q表示查询内容、K_S表示LBS服务器与所述服务用户之间的对称加密密钥。

具体的，服务用户将第一位置查询请求消息MSG_U2B发送给最匹配用户可以包括：所述服务用户获取候选匹配用户；根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户；生成所述第一位置查询请求消息MSG_U2B并发送给所述最匹配用户；其中，所述候选匹配用户是以所述服务用户的当前位置点为中心形成的移动社交网络MSN覆盖范围内的用户。

其中，根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户，包括：获取所述服务用户和所述候选匹配用户在预设时间段内分别形成的轨迹段，在t_i(1≤i≤n)时刻分别从所述轨迹段选择样本点，计算t_i时刻两个样本点的匹配值计算之间的方差得到值最大的所述候选匹配用户为所述最匹配用户。

例如，当服务用户发送一个查询时，它形成一个包含其它6个候选匹配用户的MSN，然后服务用户作为发起者以特定的属性条件分别匹配其它6个候选匹配用户，最后得到一个最匹配用户；它们满足服务用户与最匹配用户之间的距离最大，并且运动方向不同，使转发最匹配用户的轨迹和服务用户的轨迹差异最大。在查找最匹配用户的过程中，服务用户需要计算他们属性的相似性。然而用户的属性可能包含一些敏感的信息，所以匹配过程一定要保证他们之间的隐私。本实施例中利用有效的基于权重的隐私匹配协议，不仅能确保用户之间属性信息的隐私，也能大大提高匹配过程的效率。

在MSN中的用户都能获得当前的位置和运动方向，因此服务用户匹配过程中可定义两个属性：距离(D)和角度差(θ)。D表示服务用户和被匹配用户之间的距离，D∈[0,D_larger]，D_larger表示形成的MSN覆盖的最大半径范围，θ表示服务用户和被匹配用户之间的运动方向角度差，θ∈[0,180°]。假设A、B是移动对象二维平面的位置坐标，在时间Δt内能获得两个不同的权重矢量和则角度差θ为：

根据用户的两个共同属性以及它们的权重创建属性矩阵M_L×2，其中，行向量L表示属性的权重，列向量2表示共同属性的数目。

假如两个属性权重能被分成L级，i表示属性的权重，i∈[1,L]。为了抵制推导攻 击，选择离服务用户最远且运动方向差异最大的用户进行信息交换，因此服务用户的属性 矩阵A_L×2可定义为：其中m_ij∈A_L×2；当i＝L，m_Lj＝1；i≠L，m_ij＝0。权重矩阵W_L×L 表示用户的个人属性偏好，其元素值W_ij由公式(3)可得。

下面对具体的匹配过程进行详细说明。

输入：发起者的属性矩阵A_L×2，随机选择两个大素数α,β，且|α|＝256,β＞3L²α²；

输出：匹配值任意生成两个矩阵P_L×2，R_L×2，且

计算发起者可以得到加密矩阵候选者计算发起者进行进一步转换t_ij＝(d_ij+k_i)modβ，d_ij ∈D_L×L，发起者考虑相关权重并计算计算得到匹配值返回

在匹配过程中，MSN中将服务用户定义为发起者、被匹配用户定义为候选者和找到的信息交换用户为最匹配用户，他们拥有属性M_L×2。为了隐私的发现最匹配用户，定义三个操作：混淆矩阵转换，矩阵相乘和相似计算。在混淆矩阵转换过程中，发起者通过矩阵混淆加密矩阵A_L×2，它用来隐藏个人信息。任意生成两个矩阵P_L×2、R_L×2并选择两个大素数α，β，|α|＝256，β＞3L²α²。是能得到原始结果的秘钥。通过上述算法能得到加密矩阵并广播最匹配请求到其他K个候选用户。候选用户没有混淆矩阵的任何知识，它不能推断出发起者的真实属性信息。当候选矩阵B_L×2收到发起者的请求后，执行矩阵相乘操作是矩阵B_L×2的转置矩阵。候选者将计算结果D_L×L再发送到发起者，然后发起者进行进一步的转换得到T^*。相似性计算操作考虑相关的权重，计算‘·’表示点积，W_L×L是权重矩阵表示属性的不同关注度。这时通过计算得到匹配值，表示发起者和候选者之间权重平均相似值，值越大表示越匹配。匹配过程如上述算法所示。

通过上述算法的计算过程得到每组对应点的匹配值后，就可以计算不同候选者轨迹段的方差计算公式如(4)所示:

其中，表示第i个用户第j个点的匹配值，表示轨迹段上n个点的平均匹配值。方差越大表示他们之间的轨迹差异越大，因此选择候选者中方差值最大的候选用户为最匹配用户。

输入：发起者的属性矩阵A_L×2，候选者的属性矩阵(B_L×2)_m，1≤m≤kn；

输出：最匹配值δ，通过上述算法计算匹配值1≤i≤k,1≤j≤n；

计算平均值计算方差从中选择最大的值使返回δ。

步骤102、所述最匹配用户从所述第一位置查询请求消息MSG_U2B中获取所述服务用户身份标识ID_U并存储在文件列表中；将所述服务用户身份标识ID_U替换为所述最匹配用户身份标识得到第二位置查询请求消息MSG_B2S并发送给所述LBS服务器。

由于最匹配用户没有私钥SK_S，因此它不能解密无法知道服务用户的查询内容。

步骤103、所述LBS服务器利用服务器私钥解密所述第二位置查询请求消息MSG_B2S中的非对称加密函数获取所述服务用户查询的位置点L_i和查询内容Q，根据所述位置点L_i和查询内容Q，利用K最近邻搜索算法获得第一加密查询结果并将所述第一加密查询结果发送给所述最匹配用户。

其中，LBS服务器利用K最近邻搜索算法获得第一加密查询结果包括：所述LBS服务器利用K最近邻搜索算法得到查询结果MSG，用对称加密函数En以及从获得的K_S加密查询结果MSG，得到并将与所述最匹配用户身份标识组成第一加密查询结果MSG_S2B发送给所述最匹配用户。

输入：查询信息MSG_B2S；

输出：查询对象K近邻结果集MSG；

(1)LBS服务器用私钥SK_S解密MSG_B2S，得到查询对象L_i和查询内容Q；

(2)初始化MSG←φ，C←φ；

(3)先遍历上层索引R-tree，计算与查询对象L_i距离最近的叶子节点，取得该叶子节点的编号值center(L_i)；

(4)循环计算查询对象哈希值，满足Q获取候选集对象；

(5)根据C中对象的碰撞次数从大到小排序出k个结果添加至MSG；

(6)返回MSG。

在LBS服务器搜索出查询结果MSG后，需要用对称加密函数En以及从获得的密钥K_S加密查询结果MSG，得到并将与BMU的组成结果信息MSG_S2B返回给BMU。拥有密钥K_S的服务用户能解密查询结果；其中，

步骤104、所述最匹配用户将所述第一加密查询结果中的所述最匹配用户身份标识恢复成所述服务用户身份标识ID_U，得到第二加密查询结果并发送给所述服务用户。

步骤105、所述服务用户通过所述对称加密密钥解密K_S所述第二加密查询结果以获得查询结果MSG。

本实施例提供的方法从安全性来分析，具体的，抵制强攻击者攻击当LBS服务器成为强攻击者时，该方法中服务用户以代理在LBS服务器进行查询，LBS服务器记录的是与代理相关的行为信息。同时在服务用户移动的过程中，找到的代理是动态变化的，且代理之间没有关联性。因此，LBS服务器不能通过任意的代理身份识别出用户的真实身份ID_U。当代理成为强攻击者时，代理转发的是使用非对称和对称函数加密的，代理没有密钥SK_S或K_S，它将不能解密转发的信息MSG_B2S与MSG_B2U，因此代理不可能通过转发的信息得到有价值信息。

抵制弱攻击者攻击当攻击者窃听服务用户发送到代理的MSG_U2B时，攻击者只能从得到服务用户的身份ID_U，因为其它信息通过非对称加密函数进行了加密，攻击者没有密钥SK_S不能解密信息。同样当攻击者窃听代理发送到LBS服务器的MSG_B2S时，攻击者从中只能得到代理身份即使攻击者同时得到ID_U和它不也能与具体的查询信息相关联，因此攻击者不能识别出用户的轨迹。

抵制其它攻击在形成的MSN中，寻找满足ID_U和匹配用户之间的距离最大且运动方向不同的最匹配用户做代理以确保和ID_U的轨迹差异最大，且每个查询点记录的是不同的，能有效抵制通过代理进行连续的追踪攻击。同时，在MSN中利用安全多方计算和内积计算查找最匹配用户，保证用户的信息不被泄露，使用户在匹配过程中得到匹配内容的隐私保护。

本实施例提供的方法从性能来分析，计算开销：服务用户端主要是在形成的社交网络中发现最匹配用户的计算开销。在发现匹配代理过程中，为确保用户间的隐私，利用有效的基于权重的隐私匹配协议，相对于传统的加密算法如同态加密、交换加密等，该算法能很快的发现最匹配的用户，它的计算复杂度为是O(j)，j是属性的数目。在BMU端，最匹配用户只对信息进行转发，它的计算复杂度为O(c)，c为一个常数。在LBS服务器端，主要是在服务器端搜索兴趣点数目的开销，它的计算开销为O(m)，m是兴趣点的个数。因此，整个计算开销是线性的为O(n)。

通信开销：首先考虑在MSN中寻找最匹配的开销，通信开销主要是利用基于权重的隐私匹配协议在MSN中匹配k个用户，它的通信开销是O(knLj)^[15]，n是轨迹段点的数目，L是最高权重值，j是属性的数目，是一个常量，因此它的通信开销是O(knL)。在服务用户和BMU之间，服务用户发送到BMU的信息是MSG_U2B，BMU转发到服务用户的信息是MSG_B2U，它们的大小是一个常数，因此它们之间的通信开销为O(c)。在BMU和LBS服务器之间，发送到LBS服务器的MSG_B2S大小是一个常数。从LBS服务器返回到BMU的信息MSG_S2B的大小随着兴趣点的个数而变化，因此它们之间的通信开销是O(m)。从以上分析可知，该算法的通信开销是O(n)，也是线性的。

本实施例提供的方法从实验来分析，通过实验从查找最匹配用户和服务器查询两方面分析该方法的性能，并与其它K匿名算法Iclique、L2P2进行仿真实验比较。实验采用的数据集是由Brinkhoff轨迹生成器生成，实验利用德国奥尔登堡市交通网络图作为输入，生成5000条移动轨迹，实验参数设置如表一所示。实验的硬件环境为：Intel(R)Core(TM)i5-4590CPU@3.30GHz 3.30GHz,4.00GB内存，操作系统为Microsoft Windows 7，采用MyEclipse开发平台，以Java编程语言实现。

表一实验参数设置

参数	值	参数	值
				移动对象	5000	POIs	500-1500
移动速度	Medium	用户数K	10-100
				属性数目j	2	属性权重L	3-30
轨迹段样本点数目	3-15

本实施例提供的技术方案，提出一种MSN中基于BMU的转发机制的轨迹隐私保护方法。通过在MSN中找到最匹配的用户进行信息转发，建立用户信息的转发机制，隐藏用户的真实轨迹与LBS服务器的联系，以实现用户的轨迹隐私保护。在寻找BMU的过程中，基于权重的隐私匹配协议进行隐私匹配，以实现安全和高效的匹配。通过该方法攻击者很难追踪到用户的真实轨迹，同时BMU转发到服务器查询的用户位置是精确的，可以减少服务器的计算和通信开销。

最后应说明的是：以上各实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述各实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分或者全部技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的范围。

Claims (4)

1.一种基于位置服务的轨迹隐私保护方法，其特征在于，包括：

服务用户将第一位置查询请求消息发送给最匹配用户；其中，ID_U表示服务用户身份标识、表示非对称加密函数、PK_S表示LBS服务器发布的公钥；T_i和L_i分别表示所述服务用户发出的基于位置服务查询的时间和位置点、Q表示查询内容、K_S表示LBS服务器与所述服务用户之间的对称加密密钥；

所述最匹配用户从所述第一位置查询请求消息MSG_U2B中获取所述服务用户身份标识ID_U并存储在文件列表中；将所述服务用户身份标识ID_U替换为所述最匹配用户身份标识得到第二位置查询请求消息MSG_B2S并发送给所述LBS服务器；

所述LBS服务器利用服务器私钥解密所述第二位置查询请求消息MSG_B2S中的非对称加密函数获取所述服务用户查询的位置点L_i和查询内容Q，根据所述位置点L_i和查询内容Q，利用K最近邻搜索算法获得第一加密查询结果并将所述第一加密查询结果发送给所述最匹配用户；

所述最匹配用户将所述第一加密查询结果中的所述最匹配用户身份标识恢复成所述服务用户身份标识ID_U，得到第二加密查询结果并发送给所述服务用户；

所述服务用户通过所述对称加密密钥解密K_S所述第二加密查询结果以获得查询结果MSG；

从候选匹配用户中获得最匹配用户，包括：获取所述服务用户和所述候选匹配用户在预设时间段内分别形成的轨迹段，在t_i(1≤i≤n)时刻分别从所述轨迹段选择样本点，计算t_i时刻两个样本点的匹配值计算之间的方差得到值最大的所述候选匹配用户为所述最匹配用户。

2.根据权利要求1所述的方法，其特征在于，所述服务用户将第一位置查询请求消息MSG_U2B发送给最匹配用户，包括：

所述服务用户获取候选匹配用户；根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户；生成所述第一位置查询请求消息MSG_U2B并发送给所述最匹配用户；其中，所述候选匹配用户是以所述服务用户的当前位置点为中心形成的移动社交网络MSN覆盖范围内的用户。

3.根据权利要求2所述的方法，其特征在于，所述根据隐私匹配协议，从所述候选匹配用户中获得最匹配用户，包括：

获取所述服务用户和所述候选匹配用户在预设时间段内分别形成的轨迹段，在t_i(1≤i≤n)时刻分别从所述轨迹段选择样本点，计算t_i时刻两个样本点的匹配值计算之间的方差得到 值最大的所述候选匹配用户为所述最匹配用户。

4.根据权利要求1所述的方法，其特征在于，所述LBS服务器利用K最近邻搜索算法获得第一加密查询结果包括：

所述LBS服务器利用K最近邻搜索算法得到查询结果MSG，用对称加密函数En以及从获得的K_S加密查询结果MSG，得到并将与所述最匹配用户身份标识组成第一加密查询结果MSG_S2B发送给所述最匹配用户。