CN106209813A - 一种基于位置匿名的隐私保护方法和装置 - Google Patents

Abstract

本发明提供一种基于位置匿名的隐私保护方法，包括：1)根据当前查询的隐私等级确定匿名度k，其中隐私等级越高匿名度k越大；2)将匿名度k作为当前查询的匿名集的大小，构建多个元素个数为k的候选匿名集；3)在所构建的多个候选匿名集中寻找查询概率的集合熵最大的一个作为匿名集；4)根据隐私等级生成匿名距离上界和下界，其中，隐私等级越高匿名距离的上界越大，隐私等级越高匿名距离的下界也越大；5)在匿名集的范围内，根据所生成匿名距离上界和下界，生成用于替代当前查询真实位置的匿名位置。本发明还提供了相应的隐私保护装置。本发明能够在实现位置隐私保护的同时提高LBS服务质量，能够保障不同用户对隐私保护的不同需求。

Description

一种基于位置匿名的隐私保护方法和装置

技术领域

本发明涉及计算机数据挖掘分析技术领域，具体地说，本发明涉及一种基于位置匿名的隐私保护方法和装置。

背景技术

当前，基于位置的服务(Location Based Service，缩写为LBS)已广泛地应用于移动互联网中。LBS通过用户的位置信息获取兴趣点(Point of Interest,缩写为POI)信息，然后基于POI为用户提供多种领域的服务。然而，LBS在给用户带来便利的同时，也威胁到了用户的个人隐私，例如，攻击者可以根据用户的位置信息推导其家庭住址、生活习惯或健康状况等个人敏感信息。也就是说，位置信息的泄漏对个人隐私造成严重威胁，因此开展基于位置服务的隐私保护研究，对维护社会安全有积极意义。

位置隐私保护在现有的研究中有大量的工作，包括位置干扰、空间变换、时空混淆等。然而，现有的位置隐私保护方案大都难以兼顾LBS服务质量和隐私保护强度，往往会出现LBS可靠性过低(例如查询效率过低、查询准确率过低等)，或者隐私保护强度不足等问题。另一方面，用户的使用偏好多种多样，有的位置隐私保护要求较高，有的则偏好更高的查询效率和查询准确率。而现有的位置隐私保护方案的不支持用户个性化需求调控，用户难以根据自己的偏好对位置隐私保护策略进行调整，从而影响了用户体验的提升。

因此，当前迫切需要一种能够克服上述现有技术缺陷的隐私保护解决方案。

发明内容

本发明的任务是提供一种能够克服上述现有技术缺陷的隐私保护解决方案。

本发明提供了一种基于位置匿名的隐私保护方法，包括下列步骤：

1)根据当前查询的隐私等级确定匿名度k，其中隐私等级越高匿名度k越大；

2)将匿名度k作为当前查询的匿名集的大小，构建多个元素个数为k的候选匿名集，所述候选匿名集由当前查询的真实位置和与该真实位置的查询概率接近的k-1个匿名位置构成；

3)在所构建的多个候选匿名集中寻找查询概率的集合熵最大的一个作为匿名集；

4)根据隐私等级生成匿名距离上界和下界，其中，隐私等级越高匿名距离的上界越大，隐私等级越高匿名距离的下界也越大；

5)在步骤3)所得到的匿名集的范围内，根据所生成匿名距离上界和下界，生成用于替代当前查询真实位置的匿名位置。

其中，所述步骤1)中，每个隐私等级对应一个预设的候选k值集合，隐私等级越高所对应的候选k值集合的元素数目越多，且隐私等级越高其对应的候选k值集合中的元素的数值也越大；根据当前查询的隐私等级确定匿名度k的方法是：在当前查询的隐私等级所对应的候选k值集合中随机选择一个元素作为当前查询的匿名度k。

其中，所述步骤1)中：所述候选k值集合的元素从k值列表中选择。

其中，所述步骤1)中，所述隐私等级根据下述方法获得：

11)提示用户输入表征自身隐私偏好的信息；

12)接收表征隐私偏好的信息并根据表征隐私偏好的信息得到所述隐私等级。

其中，所述步骤11)中，所述提示用户输入表征自身隐私偏好的信息包括：位置保护强度等级和匿名位置查询准确率等级。本文中，匿名位置查询准确率等级是使用匿名位置的进行位置服务查询所获得的LBS服务结果的准确率，这个准确率可以根据用户反馈的LBS服务结果的准确率得出。

其中，所述步骤12)还包括：判断位置保护强度等级和匿名位置查询准确率等级是否冲突，若不冲突，则直接使用位置保护强度等级作为所述隐私等级，否则将位置保护强度等级和匿名位置查询准确率等级融合得到一个折中的等级作为所述隐私等级。

其中，所述步骤5)包括下列子步骤：

51)根据步骤4)所得的匿名距离上界和下界，计算拉普拉斯分布参数；

52)根据步骤51)所得的拉普拉斯分布参数，基于差分隐私技术生成匿名位置。

其中，所述步骤52)中，所述匿名位置是基于匿名集中的任意位置，加上基于随机数的噪音而得到的，所述匿名位置在预设的隐私预算范围内。

其中，所述隐私保护方法还包括步骤：

6)提交位置匿名后的查询请求，接收用户对位置服务的评价，并更新相应匿名位置的服务满意率；

所述步骤4)中，所述匿名距离上界和下界还与所述服务满意率相关，服务请求满意率越高，则所述匿名距离上界和下界均越大。

本发明还提供了一种基于位置匿名的隐私保护装置，包括：

匿名度单元，用于根据当前查询的隐私等级确定匿名度k，其中隐私等级越高匿名度k越大；

候选匿名集构建单元，用于将匿名度k作为当前查询的匿名集的大小，构建多个元素个数为k的候选匿名集，所述候选匿名集由当前查询的真实位置和与该真实位置的查询概率接近的k-1个匿名位置构成；

匿名集选择单元，用于在所构建的多个候选匿名集中寻找查询概率的集合熵最大的一个作为匿名集；

匿名距离范围生成单元，用于根据隐私等级生成匿名距离上界和下界，其中，隐私等级越高匿名距离的上界越大，隐私等级越高匿名距离的下界也越大；以及

匿名位置生成单元，用于所得到的匿名集的范围内，根据所生成匿名距离上界和下界，生成用于替代当前查询真实位置的匿名位置。

与现有技术相比，本发明具有下列技术效果：

1、本发明能够在实现位置隐私保护的同时，提高LBS服务质量。

2、本发明的隐私保护方案能够为不同的用户提供个性化的位置隐私保护定制服务，从而保障不同用户对隐私保护的不同需求。

3、本发明改善了传统k匿名方法，并使用随机噪音提高了隐私保护效果。

附图说明

以下，结合附图来详细说明本发明的实施例，其中：

图1示出了本发明一个实施例的基于隐私偏好的二次匿名位置隐私保护方法的流程图；

图2示出了本发明中基于位置保护强度等级level₁和匿名位置查询准确率等级level₂的隐私等级推荐方法的一个例子的流程图；

图3示出了本发明一个实施例中的k匿名集kSet获取方法(即步骤400的实现方法)的流程图；

图4示出了本发明一个实施例中生成匿名位置的方法的流程图；

图5示出了本发明一个实施例的基于位置匿名的隐私保护系统。

具体实施方式

根据本发明的一个实施例，提供了一种基于隐私偏好的二次匿名位置隐私保护方法，它支持用户个性化隐私偏好设置，通过用户设置的隐私级别，生成一个k匿名集，使得k匿名集中的位置具有最大概率相似性，再通过差分隐私技术增加拉普拉斯分布噪音，得到一个匿名位置，用此位置代替真实位置获取LBS服务，兼顾用户隐私偏好和LBS服务质量。

图1示出了本实施例的基于隐私偏好的二次匿名位置隐私保护方法的流程图，参考图1，该隐私保护方法包括下列步骤：

步骤100：提示用户输入自身的隐私偏好等级。本实施例中，隐私偏好等级用非负整数表示。数字越小，表示隐私偏好等级越低，0表示无匿名要求。

步骤200：接收用户设置的隐私偏好等级以及用户提交的查询请求。

在一个实施例中，提示用户输入的隐私偏好等级包括位置保护强度等级level₁和匿名位置查询准确率等级level₂，这样，用户可以根据自己的喜好分别设置所期望的位置保护强度和所期望的查询准确率级别。在步骤200中，接收到用户设置的位置保护强度等级level₁和匿名位置查询准确率等级level₂后，判断level₁与level₂是否冲突，若不冲突，则直接使用level₁作为隐私等级，否则将level₁与level₂融合得到level₃作为隐私等级。

其中，图2示出了基于位置保护强度等级level₁和匿名位置查询准确率等级level₂的隐私等级推荐方法的一个例子的流程图，该流程包括子步骤201～203：

步骤201：进行一致性判断，即判断是否满足条件：

N-1≤level₁+level₂≤N+1

若满足上述条件，说明level₁和level₂具有一致性，执行步骤201a，直接确定隐私等级，即

若不满足上述条件，执行步骤202。

步骤202：进行互斥性判断，即判断是否满足条件：

且

若满足上述条件，说明level₁与level₂的值都较小，进而说明两者不存在矛盾，此时执行步骤202a，直接确定隐私等级，即

否则，执行步骤203。

步骤203：若level₁和level₂不满足上述2种条件，进行隐私偏好融合。若level₁和level₂不满足上述两种条件，说明level₁与level₂之间存在冲突，此时需要兼顾用户隐私偏好要求，融合用户的这两种偏好。隐私偏好融合公式为：

${\mathrm{level}}_3=\frac{{{\mathrm{level}}_1}^2+{(N-{\mathrm{level}}_2)}^2}{{\mathrm{level}}_1+{\mathrm{level}}_2}$

上述式子中，N表示预先设置的隐私等级的数目，N为非负整数。当N等于0时，表示不进行隐私保护。本实施例中，有时将最终确定的隐私等级记为level。

另外，本步骤中，查询请求Req的定义为：用户在获取位置服务时向位置服务提供商发送的请求，该请求可用一个二元组Req＝<l,qry>描述。其中，l表示用户发出请求的位置，由当前位置的经度和纬度组成，即l＝(x,y)。qry表示查询内容。用户的真实位置用l_t＝(x_t,y_t)表示，本步骤中的查询请求中的l就是用户的真实位置l_t＝(x_t,y_t)。在下文中，还将涉及到匿名位置，匿名位置用l_p＝(x_p,y_p)表示。

步骤300：根据隐私等级level确定本次查询的匿名度。匿名度就是k匿名集的大小(即k匿名集中所包含的元素个数，k匿名集将在下文中详述)，它可以反映对位置信息进行匿名处理的程度，因此本文中也将其称为匿名度。

本实施例中，预先设置好N个隐私等级各自所对应的候选k值数目。通常来说，隐私等级越高，则它所对应的候选k值数目越大，候选k值的数值也越大。为方便描述，假设隐私等级为n(n＝0,1,2,…，N–1)，则该隐私等级n对应的候选k值数目为nk。从k值列表中选择nk个元素构成候选k值集合，本实施例中，候选k值集合记为candidatesK。其中，k值列表list＝{k_i}，其中i＝1,2,3…n,且k_i+1-k_i＝1，使用list.k_i表示列表中的第i个k值。

candidatesK＝{list.k_{(2*(n–1)+1)},list.k_{(2*(n–1)+2)},……，list.k_{(2*(n–1)+nk)}}

在获得候选k值集合candidatesK后，从该集合中随机选取一个元素作为匿名度。在一个实施例中，设置随机函数random(nk)，可以生成一个随机整数rnd∈[1,nk],则匿名度k选取list.k_{(2*(n–1)+rnd)}。特别地，当n＝0时，认为用户不需要隐私保护，不做匿名处理，直接上传真实位置信息即可。

步骤400：根据步骤300所选择的匿名度(即k匿名集的大小)，结合用户的历史请求集{Req}，使用基于位置熵的k匿名算法得到一个k匿名集kSet，其中，k匿名集kSet中的元素与真实位置l_t具有概率相似性。

图3示出了一个实施例中的k匿名集kSet获取方法(即步骤400的实现方法)的流程图，它包括子步骤401～404。

步骤401：将地图区域分割成网格状，每个单元格用cell_i表示，其中i代表第i个单元格，其中i＝1,2,…,I。I为单元格的总数。地图区域是涵盖用户活动范围的一定大小(例如10km*10km，15km*15km等)的地图区域。

步骤402：将用户历史查询信息按照上述网格进行划分，对于每条历史查询，如果该历史查询所对应的用户位置(即用户发送这条历史查询时所上传的位置)位于地图区域中的某一个单元格，则将该单元格的查询数目加1。这样，遍历所有用户历史查询后，即可统计地图区域内每一个单元格的用户历史查询数目(或称为次数)。这样可以计算每一个单元格cell_i的查询概率q_i。其中，

$q_i=\frac{n_i}{total}$

n_i表示在单元格cell_i中的查询数量，total表示全部单元格的查询数量。

也就是说，一个单元格的查询概率是该单元格中的历史查询数量与全部单元格的历史查询数量的比值。每个单元格代表一个位置，该位置包括真实位置和匿名位置。其中，所述匿名位置是为了实现隐私保护对真实位置施加干扰而生成的用于向服务器上传的假位置。由于每个单元格代表一个位置，因此一个单元格的查询概率就是其所对应的位置的查询概率。

步骤403：构建多个候选位置集合。其中，每次选择与真实位置的单元格的查询概率相似的k-1个单元格构建候选位置集合，然后计算该候选位置集合的集合熵。k为前面步骤所得出的匿名度。

在一个实施例中，用于构建候选位置集合的单元格可在查询概率与真实位置的单元格的查询概率最接近的2k个单元格中选择。

在一个实施例中，熵的计算公式为：

$p_{ji}=\frac{q_{ji}}{{\mathrm{\&Sigma;}}_{i=1}^k{q}_{ji}}$

其中，q_ji表示第j个集合中的第i个位置的查询概率，p_ji表示第j个集合的第i个位置的熵。

集合熵的计算公式为：

$H_j=-{\mathrm{\&Sigma;}}_{i=1}^k{p}_{ji}\&CenterDot;{\log }_2{p}_{ji}$

p_ji表示第j个集合的第i个位置的熵。H_j表示第j个集合的熵。

步骤404：在多个候选位置集合中，选择集合熵最大的候选位置集合作为k匿名集kSet。

步骤500：生成匿名距离范围。其中，根据步骤200中的level和步骤300中生成的kSet，分别计算出匿名距离下界dis_low和匿名距离上界dis_high。

在一个实施例中，匿名距离的计算公式为：

${\mathrm{dis}}_{low}=\frac{length}{N}\&times;n\&times;(1+\log p_{sat})$

${\mathrm{dis}}_{high}=\frac{length}{N}\&times;(n+1)\&times;(1+\log p_{sat})$

length表示隐私划分基础距离，N为隐私等级总数，p_sat表示位置服务的满意率，具体地说，它是以某一个位置作为匿名位置的查询被提交至服务器获取位置服务后的满意率，通常位置服务的满意率基于用户对位置服务准确性的评价的统计得出。dis_low表示第n个隐私保护等级的匿名距离下界，dis_high表示第n个隐私保护等级的匿名距离上界。

步骤600：根据步骤300、步骤400和步骤500的结果，计算拉普拉斯分布参数，结合差分隐私技术，生成匿名位置l_p。

图4示出了一个实施例中生成匿名位置的方法的流程图，参考图4，生成匿名位置的步骤(即步骤600)包括子步骤601～603：

步骤601：计算真实位置的经度和纬度的拉普拉斯分布位置参数；

经度和纬度的位置参数的计算公式如下：

λ_x＝max(x_n)-min(x_n),

λ_y＝max(y_n)-min(y_n)

其中max(x_n)、min(x_n)分别表示在k匿名集中的经度最大值和最小值。

max(y_n)、min(y_n)表示k匿名集中的纬度最大值和最小值。

步骤602：基于步骤601所述的拉普拉斯分布位置参数，生成匿名经度、匿名纬度；

匿名经度、匿名纬度的生成方法如下：

在k匿名集中任取两个位置，例如第i个位置，和第j个位置，然后对第i个位置加上基于随机数的噪音，对第j个位置也加上基于随机数的噪音。

步骤603：判断所生成的匿名位置是否在隐私预算范围内，如果是，合成匿名经度和匿名纬度得到匿名位置，如果否，则重新执行步骤602，直至获得处于隐私预算范围内的匿名位置。

在一个实施例中，判断是否在隐私预算范围内，就是判断是否满足下述条件(可称为隐私预算范围条件)：

Pr(x_i→x_p)≤e^εPr(x_j→x_p)

Pr(y_i→y_p)≤e^εPr(y_j→y_p)

其中，隐私预算参数ε表示隐私保护程度，隐私预算参数ε的值越小，隐私保护程度越高，本实施例中，ε可取经验值。Pr( )表示生成匿名经度和匿名纬度的函数，x_i、y_i分别表示第i个位置的经度和纬度，x_j、y_j分别表示第j个位置的经度和纬度。“→x_p”、“→y_p”分别表示对位置经度和位置纬度施加基于随机数的噪音的过程。

如果同时满足上述两式(即隐私预算范围条件)，则表示基于第i个位置所生成的匿名经度和匿名纬度与原始经度和纬度在隐私预算参数ε内不可区分，即基于第i个位置所生成的匿名经度和匿名纬度在隐私预算范围内。

步骤700：提交位置匿名后的查询请求<l_p,qry>,然后获取基于位置的服务(即LBS)。

步骤800：接收用户对位置服务(即LBS服务)准确性评价，并维护基于各个匿名位置的位置服务(LBS服务)的满意率。在一个例子中，该满意率是：准确性评价为满意的同一匿名位置的查询数目占该匿名位置的总查询数目的比例。

进一步地，根据本发明的另一实施例，还提供了一种相应的基于位置匿名的隐私保护系统，图5示出了该隐私保护系统的结构示意图，包括：隐私偏好设置模块11，用于根据用户的查询请求以及隐私保护强度要求和查询准确性要求为用户推荐隐私等级，并要求用户确认或调整隐私保护等级；以及位置二次匿名模块12，用于根据隐私等级偏好模块11得到隐私等级，计算个性化隐私偏好参数，包括k匿名集大小计算和匿名距离范围，得到一个具有概率相似性的匿名位置集合，对这些位置进行扰动都得到一个匿名位置。

在一个实施例中，隐私偏好设置模块11包括隐私偏好推荐子模块111和隐私偏好确认子模块112。其中，隐私偏好推荐子模块111用于根据用户选择的隐私保护强度和查询准确率为用户推荐一个隐私保护级别，隐私偏好确认子模块112用于将此推荐级别发送至用户并由用户确认并调整，确定隐私保护级别。

在一个实施例中，位置二次匿名模块12包括k匿名集大小计算子模块121、基于位置熵的k匿名集选取子模块122、匿名距离范围计算子模块123和基于差分隐私的匿名点生成子模块124。

k匿名集大小计算子模块121用于通过用户设置的隐私等级计算k匿名集大小。基于位置熵的k匿名集选取子模块122用于得到k-1个与真实位置具有最大概率相似的位置，使得这k个位置的熵最大。匿名距离范围计算子模块123用于计算真实位置与匿名位置的距离范围。基于差分隐私的匿名点生成子模块124用于对真实位置进行扰动，得到一个与真实位置不可区分的匿名位置，使用这个位置从位置服务系统2获取LBS服务。

最后应说明的是，以上实施例仅用以描述本发明的技术方案而不是对本技术方法进行限制，本发明在应用上可以延伸为其它的修改、变化、应用和实施例，并且因此认为所有这样的修改、变化、应用、实施例都在本发明的精神和教导范围内。

Claims (10)

1.一种基于位置匿名的隐私保护方法，包括下列步骤：

1)根据当前查询的隐私等级确定匿名度k，其中隐私等级越高匿名度k越大；

2)将匿名度k作为当前查询的匿名集的大小，构建多个元素个数为k的候选匿名集，所述候选匿名集由当前查询的真实位置和与该真实位置的查询概率接近的k-1个匿名位置构成；

3)在所构建的多个候选匿名集中寻找查询概率的集合熵最大的一个作为匿名集；

4)根据隐私等级生成匿名距离上界和下界；

5)在步骤3)所得到的匿名集的范围内，根据所生成匿名距离上界和下界，生成用于替代当前查询真实位置的匿名位置。

2.根据权利要求1所述的基于位置匿名的隐私保护方法，其特征在于，所述步骤1)中，每个隐私等级对应一个预设的候选k值集合，隐私等级越高所对应的候选k值集合的元素数目越多，且隐私等级越高其对应的候选k值集合中的元素的数值也越大；根据当前查询的隐私等级确定匿名度k的方法是：在当前查询的隐私等级所对应的候选k值集合中随机选择一个元素作为当前查询的匿名度k。

3.根据权利要求2所述的基于位置匿名的隐私保护方法，其特征在于，所述步骤1)中：所述候选k值集合的元素从k值列表中选择。

4.根据权利要求1所述的基于位置匿名的隐私保护方法，所述步骤1)中，所述隐私等级根据下述方法获得：

11)提示用户输入表征自身隐私偏好的信息；

12)接收表征隐私偏好的信息并根据表征隐私偏好的信息得到所述隐私等级。

5.根据权利要求4所述的基于位置匿名的隐私保护方法，所述步骤11)中，所述提示用户输入表征自身隐私偏好的信息包括：位置保护强度等级和匿名位置查询准确率等级。

6.根据权利要求5所述的基于位置匿名的隐私保护方法，所述步骤12)还包括：判断位置保护强度等级和匿名位置查询准确率等级是否冲突，若不冲突，则直接使用位置保护强度等级作为所述隐私等级，否则将位置保护强度等级和匿名位置查询准确率等级融合得到一个折中的等级作为所述隐私等级。

7.根据权利要求6所述的基于位置匿名的隐私保护方法，其特征在于，所述步骤5)包括下列子步骤：

51)根据步骤4)所得的匿名距离上界和下界，计算拉普拉斯分布参数；

52)根据步骤51)所得的拉普拉斯分布参数，基于差分隐私技术生成匿名位置。

8.根据权利要求7所述的基于位置匿名的隐私保护方法，其特征在于，所述步骤52)中，所述匿名位置是基于匿名集中的任意位置，加上基于随机数的噪音而得到的，所述匿名位置在预设的隐私预算范围内。

9.根据权利要求1～8中任一项所述的基于位置匿名的隐私保护方法，其特征在于，所述隐私保护方法还包括步骤：

6)提交位置匿名后的查询请求，接收用户对位置服务的评价，并更新相应匿名位置的服务满意率；

所述步骤4)中，所述匿名距离上界和下界还与所述服务满意率相关，服务请求满意率越高，则所述匿名距离上界和下界均越大。

10.一种基于位置匿名的隐私保护装置，包括：

匿名度单元，用于根据当前查询的隐私等级确定匿名度k，其中隐私等级越高匿名度k越大；

候选匿名集构建单元，用于将匿名度k作为当前查询的匿名集的大小，构建多个元素个数为k的候选匿名集，所述候选匿名集由当前查询的真实位置和与该真实位置的查询概率接近的k-1个匿名位置构成；

匿名集选择单元，用于在所构建的多个候选匿名集中寻找查询概率的集合熵最大的一个作为匿名集；

匿名距离范围生成单元，用于根据隐私等级生成匿名距离上界和下界，其中，隐私等级越高匿名距离的上界越大，隐私等级越高匿名距离的下界也越大；以及

匿名位置生成单元，用于所得到的匿名集的范围内，根据所生成匿名距离上界和下界，生成用于替代当前查询真实位置的匿名位置。