CN106060024A - 一种安全组群位置查询方法及系统 - Google Patents

Abstract

本发明方法及系统采用随机坐标变换和坐标挑战，实现服务器与用户终端之间的安全位置信息传递和查询。在用户手机端和服务器端分别建立变换坐标系。采用坐标挑战的方式，得到手机端临时坐标系与服务端查询坐标系的映射关系，接着，用户真实的位置坐标首先在安全内存与计算空间内映射到终端临时坐标系，然后再在普通环境中变换为中心服务端查询坐标系内，并把坐标传输到中心。中心根据用户搜索条件，将相关的地图信息也映射到查询坐标系内，在坐标系内完成搜索并将搜索结果发回终端。终端在普通环境中将搜索结果从查询坐标系转化回临时坐标，然后再在安全环境中把临时坐标转换成原始坐标，最终得到搜索结果在现实坐标系中的位置。

Description

一种安全组群位置查询方法及系统

技术领域

本发明涉及信息处理技术，具体涉及一种安全组群位置查询方法及系统。

背景技术

组群位置查询(也称组群最近邻查询)，是在若干用户之中，依据某些规则查找最适合的集合点，使得这些用户到集合点的路程或时间总消耗最小。这在位置服务中有很大的作用，比如在一组朋友中，查询最佳的聚会点；或旅行中对一组各自行动的游客查询最佳的集合地点等等。这种组群位置查询业务，都需要组群用户将自己的位置信息上传到中心服务器，由中心服务器根据用户位置查找最适合的集合点。在这样的应用模式下，位置信息的安全性是最大的问题。一量中心服务器中存在监听进程或木马程序窃取用户上传的位置，则组群中所有用户的位置隐私都会暴露，造成批量用户位置隐私泄露。

因此，在这种群组位置查询的应用场景中，位置信息的保护特别重要。如果仅仅是对用户上传的数据进行加密，是无法应对中心服务器的木马监听危险，因为中心服务器必须对用户数据进解密，才能对这个组群的用户进行相应的位置查询搜索服务得到组群的最佳集合点等搜索结果。例如，在论文《LBS中面向协同位置隐私保护的群组最近邻查询》(通信学报,2015第(3)期)中提出一种使用位置随机扰动和门限秘密共享的密码系统来安全地计算用户群组的质心位置，其能应对共谋攻击和距离交叉攻击，无法应对中心服务器中存在木马窃取解密后明文位置的情况。

发明内容

为此，本发明提出一种安全组群位置查询方法及系统，有效提高了用户位置信息的安全性，具体方案如下：一种安全组群位置查询方法，包括以下步骤：

S1、在用户终端建立临时坐标系，中心服务器端建立查询坐标系；

S2、通过坐标挑战获取从临时坐标系到查询坐标系转换关系；

S3、用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内，并在普通环境中将转换为查询坐标发送至中心服务器端；

S4、中心服务器端接受到查询坐标后，根据查询坐标在查询坐标系内进行组群位置查询，并将查询后查询坐标信息及对应地图信息发送至用户终端；

S5、用户终端接收中心服务器端发送的信息，在普通环境中将信息从查询坐标系转化为临时坐标系，然后在安全环境中将临时坐标转换成原始坐标，获得在现实坐标系的位置信息。

进一步的，所述的步骤S2的具体步骤是：

S21、由一用户发起组群位置查询应用请求；在其用户终端上随机生成一组坐标变换参数{θ₁,K₁,L₁}，并保存在安全环境存储区内，根据坐标变换参数生成对应的临时坐标系；

S22、组群内其它用户响应并同意进行组群位置查询，则每个用户均在自己用户终端上随机生成一组坐标变换参数{θ_i,K_i,L_i}，并保存在安全环境存储区内，i＝1、2、3、4……、n，n为组群内的用户总数，根据变换参数对应的临时坐标系；

S23：中心服务器端在所有用户均同意进行位置查询之后，在安全环境内部随机生成一组坐标变换参数{θ₀,K₀,L₀}，并保存在安全环境存储区内，根据变化参数生成一个专门响应本次组群位置查询的查询坐标系；

S24、中心服务器端生成随机的原始坐标{X1，Y1}、{X2，Y2}、{X3，Y3}，并将原始坐标发送至安全环境内，利用查询坐标转换参数{θ₀,K₀,L₀}在安全环境内将这三个坐标转换为对应的在查询坐标内的位置{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}，并在安全环境内根据混淆算法对{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}进行混淆，得到G1、G2、G3，输出到中心服务器。中心服务器将{X1，Y1}、{X2，Y2}、{X3，Y3}和混淆后的G1、G2、G3这六个数据做为挑战数据，发送给所有用户终端；

S25、用户终端在接收数据后，将{X1，Y1}、{X2，Y2}、{X3，Y3}发送至安全环境内，通过之前保存在安全存储区内的{θ_i,K_i,L_i}转换为终端临时坐标系里的坐标{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}，将混淆后的G1、G2、G3送往安全环境内，通过对应的反混淆算法，得到{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}，在安全环境中通过{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}与{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}的关系，求得终端临时坐标系到中心查询坐标系的转换关系

将直接返回给普通环境。

进一步的，所述的步骤S3的具体步骤是：

用户终端开始上传位置用于组群位置查询，假设某终端的当前位置为(Xi,Yi)，将原始坐标送入安全环境内，并转换为终端临时坐标系内的坐标(Xai,Yai)送回普通环境，转换为中心查询坐标系的内坐标(Xbi，Ybi)，将(Xbi，Ybi)上传到中心服务器端。

进一步的，所述的步骤S4的具体步骤是：

S41、中心服务器端在接收到所有用户终端上传的位置(Xbi，Ybi)后，把地图数据送往安全环境，并变换到中心查询坐标系，然后返回给组群查询引擎；

S42、将查询结果坐标发送回每个终端。

进一步的，所述的步骤S5的具体步骤是：

S51、在每个用户终端内，将查询结果从中心查询坐标系再转换为终端临时坐标系；

S52、在安全环境内并反变换为原始坐标，得到组群位置查询结果，返回给普通环境相应应用程序中。

进一步的，所述的临时坐标系或查询坐标系区别于真实坐标系，由真实坐标系变换到临时坐标系或查询坐标系以及由临时坐标系或查询坐标系变换到真实坐标系的具体方法是：假设变换参数为{θ,K,L}，其中参数θ为坐标旋转参数，参数K，L为坐标平移参数，假设用户的真实坐标是{X，Y}，则利用变换参数{θ,K,L}变换到另一个坐标系内的坐标{X’,Y’}的方法为:

$\left\{\begin{array}{c}{X}^{\′}=Xcos\mathrm{\θ}+Ysin\mathrm{\θ}+K\\ Y^{\′}=Y\cos \mathrm{\θ}-X\sin \mathrm{\θ}+L\end{array}\right.---\left(1\right)$

反之，从变换坐标{X’,Y’}变换回原始坐标{X，Y}的方法为：

$\left\{\begin{array}{c}X=(X^{\′}-K)cos\mathrm{\θ}-(Y^{\′}-L)\sin \mathrm{\θ}\\ Y=(X^{\′}-K)\sin \mathrm{\θ}+(Y^{\′}-L)\cos \mathrm{\θ}\end{array}\right.---\left(2\right)$

任选的，所述的硬件安全环境为安全芯片、加密机、加密卡中的任意一种。

任选的，所述的混淆算法为异或混淆、重构混淆或自定义混淆算法中的任意一种。

一种安全组群位置查询系统，包括：

坐标系建立模块，用于在用户终端建立临时坐标系，中心服务器端建立查询坐标系；

坐标挑战模块，用于通过坐标挑战获取从临时坐标系到查询坐标系转换关系；

用户终端发送处理模块，用于用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内，并在普通环境中将转换为查询坐标发送至中心服务器端；

中心服务器端处理模块，用于中心服务器端接受到查询坐标后，在查询坐标系内进行组群位置查询，并将查询后查询坐标信息及对应地图信息发送至用户终端；

用户终端接收处理模块，用户终端接收中心服务器端发送的信息，在普通环境中将信息从查询坐标系转化为临时坐标系，然后在安全环境中将临时坐标转换成原始坐标，获得在现实坐标系的位置信息。

与现有技术相比，本发明中原始位置信息都在用户自己的终端上完成转换，而在中心采用变换坐标系内运行组群查询引擎，从而避免了中心服器中存在木马监听窃取组群所有人位置的风险。

附图说明

图1为本发明一实施例安全组群位置查询系统原理图。

具体实施方式

为进一步说明各实施例，本发明提供有附图。这些附图为本发明揭露内容的一部分，其主要用以说明实施例，并可配合说明书的相关描述来解释实施例的运作原理。配合参考这些内容，本领域普通技术人员应能理解其他可能的实施方式以及本发明的优点。现结合附图和具体实施方式对本发明进一步说明。

参阅图1，示出了本发明安全组群位置查询系统原理图，具体涉及的模块解释如下：坐标系变换：本发明采用的坐标系变换为旋转和平稳变换，变换参数假设为{θ,K,L}，其中每一个参数θ为坐标旋转参数，第2，3个参数K，L为坐标平移参数。假设用户的真实坐标是{X，Y}，则利用变换参数{θ,K,L}变换到另一个坐标系内的坐标{X’,Y’}的方法为:

$\left\{\begin{array}{c}{X}^{\′}=Xcos\mathrm{\θ}+Ysin\mathrm{\θ}+K\\ Y^{\′}=Y\cos \mathrm{\θ}-X\sin \mathrm{\θ}+L\end{array}\right.---\left(1\right)$

反之，从变换坐标{X’,Y’}变换回原始坐标{X，Y}的方法为：

$\left\{\begin{array}{c}X=(X^{\′}-K)cos\mathrm{\θ}-(Y^{\′}-L)\sin \mathrm{\θ}\\ Y=(X^{\′}-K)\sin \mathrm{\θ}+(Y^{\′}-L)\cos \mathrm{\θ}\end{array}\right.---\left(2\right)$

坐标混淆算法：在终端和中心之间事先约定的一个混淆算法。将坐标变换成一串不易被人理解的数据，用G＝f(x,y)表示，G为混淆后数据串，(x,y)为坐标。反之，解混淆用(x,y)＝f’(G)表示。混淆算法可以是成熟的混淆算法中的一种(如异或混淆、重构混淆等)或自行定义。混淆和解混淆运行在安全环境或硬件安全模块中，以防止算法被破解。

终端普通环境：即普通手机上没有安全保护的系统环境，在这样的环境中容易存在木马、病毒和恶意程序，同时普通环境中的内存数据也可能被探测和窃取。

TrustZone安全环境：基于ARM9及更高版本嵌入式处理器所支持的安全环境，在ARM9及以上版本的手机上可由普通环境调用这一安全环境并从安全环境中返回经其处理过的数据，在安全环境中严格运行特定的程序，外部其它程序不能运行在TrustZone安全环境内，安全环境内存在的变量和内存均无法被普通环境探知。

硬件安全模块：专门的加解密和安全存储设备，可以是安全芯片、加密机、加密卡等。这类硬件安全模块特点是内部包含安全存储区，安全算法区。安全存储区和安全算法区内的数据均不能从外部读取。硬件安全模块可通过串口、I2C、SPI、以太网接口等通信方式与主机或主机CPU通信。从主机接收数据后，安全算法区内的算法调用安全存储区内的坐标变换参数进行坐标变换或混淆，将结果再送回主CPU。这样，坐标变换、混淆的过程和参数无法从外部获知，实现高安全级的数据处理过程。硬件安全模块特点是只能进行特定的数据计算，无法支持地图数据等大数据量的查询搜索应用，无法在硬件安全模块内部运行组群位置查询引擎。

组群位置查询引擎：实现组群位置查询，涉及地图数据的处理及使用，以及复杂的导航、可达性分析等算法。

本实施例中安全环境具体指TrustZone安全环境，可以知道的是，对于安全环境类型只要满足在安全环境中严格运行特定的程序，外部其它程序不能运行在安全环境内，安全环境内存在的变量和内存均无法被普通环境探知即可。

本发明方法采用随机坐标变换和坐标挑战，实现服务器与用户终端之间的安全位置信息传递和查询。在用户手机端和服务器端分别建立一个变换坐标系。采用坐标挑战的方式，得到手机端临时坐标系与服务端查询坐标系的映射关系。接着，用户真实的位置坐标首先在ARM9及以上版本处理器所支持的TrustZone安全内存与计算空间内映射到终端临时坐标系，然后再在普通环境中变换为中心服务端查询坐标系内，并把坐标传输到中心。中心根据用户搜索条件，将相关的地图信息也映射到查询坐标系内，在坐标系内完成搜索。将搜索结果发回终端。终端在普通环境中把搜索结果从查询坐标系转化回临时坐标，然后再在TrustZone安全环境中把临时坐标转换成原始坐标，从而最终得到搜索结果在现实坐标系中的位置。本实施例的具体步骤如下：

首先建立在用户终端建立临时坐标系，中心服务器端建立查询坐标系；其建立的方式由上述坐标系变换方法可知；

坐标挑战的步骤：

步骤一：由某个用户发起组群位置查询应用请求；并在自已手机终端上随机生成一组坐标变换参数{θ₁,K₁,L₁}，并保存在TrustZone安全存储区内。该组参数用于将真实坐标系变换为终端临时坐标系。

步骤二：组群内其它用户响应并同意进行组群位置查询，则每个用户均在自己手机终端上随机生成一组坐标变换参数{θ_i,K_i,L_i}并保存在TrustZone安全存储区内，下标代表用户，假设组群内共有n个用户，则i＝1,2,3,4...n。变换参数用于生成各自终端上的临时坐标系。

步骤三：中心在所有用户均同意进行位置查询之后，发送指令给与之相连的硬件安全模块，由硬件安全模块内部随机生成一组坐标变换参数{θ₀,K₀,L₀}并保存在安全存储区内。该组参数用于产生一个专门响应本次组群位置查询的"查询坐标系"。并在查询结束后把该组参数销毁。

步骤四：每个用户终端都需要坐标知道如何从终端临时坐标系映射到中心的查询坐标系。这时由中心坐标挑战完成。中心生成随机的三个原始坐标{X1，Y1}、{X2，Y2}、{X3，Y3}，并将三个原始坐标送到硬件安全模块内，利用查询坐标转换参数{θ₀,K₀,L₀}在硬件安全模块内将这三个坐标转换为对应的在查询坐标内的位置{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}，并在硬件安全模块内根据混淆算法对{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}进行混淆，得到G1、G2、G3，输出给中心服务器。中心服务器将{X1，Y1}、{X2，Y2}、{X3，Y3}和混淆后的G1、G2、G3这六个数据做为挑战数据，发送给所有终端。

步骤五、终端在接收六个数据后，将{X1，Y1}、{X2，Y2}、{X3，Y3}送往TrustZone安全环境内，通过之前保存在安全存储区内的{θ_i,K_i,L_i}转换为终端临时坐标系里的坐标{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}。将混淆后的G1、G2、G3送往TrustZone安全环境内，通过对应的反混淆算法，得到{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}原文。在TrustZone中通过{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}与{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}的关系，可求得终端临时坐标系到中心查询坐标系的转换关系

将无需特殊安全保护，直接返回给普通环境。

用户终端发送处理步骤：

步骤六：终端开始上传位置用于组群位置查询，假设某终端的当前位置为(Xi,Yi)，将原始坐标送入TrustZone安全环境内，利用{θ_i,K_i,L_i}和式(1)转化为终端临时坐标系内的坐标(Xai,Yai)送回普通环境。再利用转换为中心查询坐标系的内坐标(Xbi，Ybi)。将(Xbi，Ybi)上传到中心。

中心服务器端处理步骤：

步骤七：中心在接收到所有终端上传的位置(Xbi，Ybi)，i＝1,2,…n后，把地图数据送往硬件安全模块，通过{θ₀,K₀,L₀}变换到中心查询坐标系，并返回给组群查询引擎。地图数据包括道路数据、POI数据等。由于坐标系是线性变换，因此原始坐标与查询坐标中的点与点的距离、路程所费时间等等地理量是等价的。在中心查询坐标系中利用查询引擎进行组群位置查询(引擎中的查询算法可用任意组群位置查询算法，本发明专利阐述的是安全的查询过程，与具体查询算法无关)。这样在进行组群查询时，是在一个经过变换的坐标系里查询的，因此中心服务器上的木马只能窃取组群各用户位置在"查询坐标系"的坐标，而坐标变换和变换参数又受硬件安全模块的保护，因此木马无法得到实际的用户坐标。

步骤八：将查询结果坐标发送回每个终端。此时查询结果的坐标是在中心“查询坐标系”内的坐标，即使查询结果被木马窃取，也无法知道真实的组群用户位置查询结果。

用户终端接收处理步骤：

步骤九：在每个终端内，利用和式(2)将查询结果从中心查询坐标系，转换为终端临时坐标系。

步骤十：在TrustZone安全环境内并利用{θ_i,K_i,L_i}和(2)式反变换为原始坐标，得到组群位置查询结果，返回给普通环境的相应应用程序中。

本实施例中的用户终端为手机终端，而其他可实现定位功能，并进行数据交互的设备，如GPS终端也是可行的。

尽管结合优选实施方案具体展示和介绍了本发明，但所属领域的技术人员应该明白，在不脱离所附权利要求书所限定的本发明的精神和范围内，在形式上和细节上可以对本发明做出各种变化，均为本发明的保护范围。

Claims (9)

1.一种安全组群位置查询方法，其特征在于，包括以下步骤：

S1、在用户终端建立临时坐标系，中心服务器端建立查询坐标系；

S2、通过坐标挑战获取从临时坐标系到查询坐标系转换关系；

S3、用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内，并在普通环境中将转换为查询坐标发送至中心服务器端；

S4、中心服务器端接受到查询坐标后，根据查询坐标在查询坐标系内进行组群位置查询，并将查询后查询坐标信息及对应地图信息发送至用户终端；

S5、用户终端接收中心服务器端发送的信息，在普通环境中将信息从查询坐标系转化为临时坐标系，然后在安全环境中将临时坐标转换成原始坐标，获得在现实坐标系的位置信息。

2.根据权利要求1所述的方法，其特征在于，所述的步骤S2具体步骤是：

S21、由一用户发起组群位置查询应用请求；在其用户终端上随机生成一组坐标变换参数{θ₁,K₁,L₁}，并保存在安全环境存储区内，根据坐标变换参数生成对应的临时坐标系；

S22、组群内其它用户响应并同意进行组群位置查询，则每个用户均在自己用户终端上随机生成一组坐标变换参数{θ_i,K_i,L_i}，并保存在安全环境存储区内，i＝1、2、3、4……、n，n为组群内的用户总数，则根据变换参数对应的临时坐标系；

S23：中心服务器端在所有用户均同意进行位置查询之后，在安全环境内部随机生成一组坐标变换参数{θ₀,K₀,L₀}，并保存在安全环境存储区内，根据变化参数生成一个专门响应本次组群位置查询的查询坐标系；

S24、中心服务器端生成随机的原始坐标{X1，Y1}、{X2，Y2}、{X3，Y3}， 并将原始坐标发送至安全环境内，利用查询坐标转换参数{θ₀,K₀,L₀}在安全环境内将这三个坐标转换为对应的在查询坐标内的位置{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}，并在安全环境内根据混淆算法对{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}进行混淆，得到G1、G2、G3，输出到中心服务器，中心服务器将{X1，Y1}、{X2，Y2}、{X3，Y3}和混淆后的G1、G2、G3这六个数据做为挑战数据，发送给所有用户终端；

S25、用户终端在接收数据后，将{X1，Y1}、{X2，Y2}、{X3，Y3}发送至安全环境内，通过之前保存在安全存储区内的{θ_i,K_i,L_i}转换为终端临时坐标系里的坐标{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}，将混淆后的G1、G2、G3送往安全环境内，通过对应的反混淆算法，得到{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}，在安全环境中通过{X’1，Y’1}、{X’2，Y’2}、{X’3，Y’3}与{X”1，Y”1}、{X”2，Y”2}、{X”3，Y”3}的关系，求得终端临时坐标系到中心查询坐标系的转换关系

将直接返回给普通环境。

3.根据权利要求1所述的方法，其特征在于，所述的步骤S3具体步骤是：

用户终端开始上传位置用于组群位置查询，假设某终端的当前位置为(Xi,Yi)，将原始坐标送入安全环境内，并转换为终端临时坐标系内的坐标(Xai,Yai)送回普通环境，转换为中心查询坐标系的内坐标(Xbi，Ybi)，将(Xbi，Ybi)上传到中心服务器端。

4.根据权利要求1所述的方法，其特征在于，所述的步骤S4的具体步骤是：

S41、中心服务器端在接收到所有用户终端上传的位置(Xbi，Ybi)后，把地图数据送往安全环境，并变换到中心查询坐标系，然后返回给组群查询引擎；

S42、将查询结果坐标发送回每个终端。

5.根据权利要求1所述的方法，其特征在于，所述的步骤S5的具体步骤是：

S51、在每个用户终端内，将查询结果从中心查询坐标系再转换为终端临时坐标系；

S52、在安全环境内并反变换为原始坐标，得到组群位置查询结果，返回给普通环境相应应用程序中。

6.根据权利要求1或2或3或4或5所述的方法，其特征在于，所述的临时坐标系或查询坐标系区别于真实坐标系，由真实坐标系变换到临时坐标系或查询坐标系以及由临时坐标系或查询坐标系变换到真实坐标系的具体方法是：假设变换参数为{θ,K,L}，其中参数θ为坐标旋转参数，参数K，L为坐标平移参数，假设用户的真实坐标是{X，Y}，则利用变换参数{θ,K,L}变换到另一个坐标系内的坐标{X’,Y’}的方法为:

反之，从变换坐标{X’,Y’}变换回原始坐标{X，Y}的方法为：

。

7.根据权利要求1所述的方法，其特征在于，所述的硬件安全环境为安全芯片、加密机、加密卡中的任意一种。

8.根据权利要求2所述的方法，其特征在于，所述的混淆算法为异或混淆、重构混淆或自定义混淆算法中的任意一种。

9.一种安全组群位置查询系统，其特征在于，包括：

坐标系建立模块，用于在用户终端建立临时坐标系，中心服务器端建立查询坐标系；

坐标挑战模块，用于通过坐标挑战获取从临时坐标系到查询坐标系转换关系；

用户终端发送处理模块，用于用户终端在安全环境中将用户真实坐标位置映射到用户终端临时坐标内，并在普通环境中将转换为查询坐标发送至中心服务器端；

中心服务器端处理模块，用于中心服务器端接受到查询坐标后，在查询坐标系内进行组群位置查询，并将查询后查询坐标信息及对应地图信息发送至用户终端；

用户终端接收处理模块，用户终端接收中心服务器端发送的信息，在普通环境中将信息从查询坐标系转化为临时坐标系，然后在安全环境中将临时坐标转换成原始坐标，获得在现实坐标系的位置信息。