CN107659580A - 一种基于双k机制的轨迹隐私保护方法 - Google Patents
一种基于双k机制的轨迹隐私保护方法 Download PDFInfo
- Publication number
- CN107659580A CN107659580A CN201710994837.6A CN201710994837A CN107659580A CN 107659580 A CN107659580 A CN 107659580A CN 201710994837 A CN201710994837 A CN 201710994837A CN 107659580 A CN107659580 A CN 107659580A
- Authority
- CN
- China
- Prior art keywords
- query
- msub
- user
- anonymizer
- positions
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Granted
Links
- 238000000034 method Methods 0.000 title claims abstract description 52
- 230000007246 mechanism Effects 0.000 title claims abstract description 23
- 230000008569 process Effects 0.000 claims description 18
- 238000013507 mapping Methods 0.000 claims description 10
- 238000001514 detection method Methods 0.000 claims description 3
- 238000000605 extraction Methods 0.000 claims description 3
- 238000005192 partition Methods 0.000 claims description 3
- 238000000926 separation method Methods 0.000 claims description 3
- 238000005516 engineering process Methods 0.000 abstract description 9
- 238000004891 communication Methods 0.000 description 8
- 230000006870 function Effects 0.000 description 5
- 238000004458 analytical method Methods 0.000 description 4
- 238000010586 diagram Methods 0.000 description 4
- 238000004422 calculation algorithm Methods 0.000 description 2
- 238000011161 development Methods 0.000 description 2
- 230000009977 dual effect Effects 0.000 description 2
- 230000000694 effects Effects 0.000 description 2
- 238000002474 experimental method Methods 0.000 description 2
- 230000003993 interaction Effects 0.000 description 2
- 238000004088 simulation Methods 0.000 description 2
- 239000007787 solid Substances 0.000 description 2
- 238000007792 addition Methods 0.000 description 1
- 238000013459 approach Methods 0.000 description 1
- 238000004364 calculation method Methods 0.000 description 1
- 230000007774 longterm Effects 0.000 description 1
- 238000012986 modification Methods 0.000 description 1
- 230000004048 modification Effects 0.000 description 1
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/04—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
- H04L63/0428—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
- H04L63/0442—Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/01—Protocols
- H04L67/10—Protocols in which an application is distributed across nodes in the network
- H04L67/1001—Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L67/00—Network arrangements or protocols for supporting network services or applications
- H04L67/50—Network services
- H04L67/52—Network services specially adapted for the location of the user terminal
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
Landscapes
- Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Information Retrieval, Db Structures And Fs Structures Therefor (AREA)
Abstract
本发明公开了一种基于双K机制的轨迹隐私保护方法,通过在用户和位置服务提供商之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。该方法中匿名器可以不完全可信,攻击者从单个匿名器不能获得用户的轨迹,加强了对用户轨迹的隐私保护,同时也解决了TTP结构中的单点失效风险和性能瓶颈问题。
Description
技术领域
本发明涉及计算机科学与技术领域,特别涉及一种基于双K机制的轨迹隐私保护方法。
背景技术
近年来,随着无线通信技术、移动互联网络和定位技术的迅速发展,基于位置服务(Location Based Service,LBS)在日常生活中已日益受到人们的广泛关注。通过智能手机或掌上电脑,用户可以从应用商店下载基于位置服务的软件,如Twitter、Gowalla和Foursquare等。通过使用这些LBS应用软件发送查询到LBS服务器,可以获得用户需要的兴趣点(Points of Interests,POIs),如交通导航信息、基于位置的广告、最近的餐厅提供用户最喜欢的菜肴等。然而,用户在享受LBS带来极大生活便利和娱乐的同时,他们需要将这些查询请求提交给不可信的位置服务提供商(Location Service Provider,LSP)。在连续的LBS查询中,LSP根据收集的用户查询数据,可以直接追踪到用户或推断出一些敏感的用户个人信息,如日常行为、家庭地址和社会关系等,这将严重导致用户个人隐私的泄露。因此,LBS中的隐私保护问题已越来越突出,并迫切需要解决。
为解决LBS中的用户隐私问题,学者们已提出了一些位置隐私保护方法,它们主要采用基于可信第三方(Fully-Trusted Third Party,TTP)的结构。在该结构中,TTP(也称为匿名器)作为用户和LSP之间的中间体,其主要功能是将用户精确位置模糊成一个满足K匿名包括K个用户的匿名域。在匿名域发送给LSP查询时,使LSP不能从K个用户识别出特定的用户。如图1所示为基于TTP的结构图。用户首先将查询请求发送给匿名器形成匿名域,然后将匿名域发送给LSP查询获得候选结果集,最后候选结果集经匿名器求精后,再将精确结果返回给用户。但该结构存在三个问题:(a)匿名器知道所有用户的精确位置等信息,如果它被攻击者攻破,将会严重泄露用户的敏感信息。(b)匿名器作为用户与LSP之间的中间体,承担着繁重的计算和通信任务,容易成为该结构中的性能瓶颈,并存在着单点失效的风险。(c)现实中也很难找到一个完全可信的第三方实体。
同时,在连续的LBS查询过程中,仅在匿名器使用K匿名技术很难保证用户的隐私。比如在以下情况就很容易暴露用户的轨迹:(1)如果攻击者连接这些匿名域,将会暴露用户的大致轨迹。(2)如果攻击者将不同查询点形成的匿名域进行对比,也能识别出真正的用户。如图2所示为连续查询过程中的匿名域攻击。图中带箭头的粗线为用户轨迹,轨迹上的五角星表示不同时刻的查询点,圆圈表示真实查询用户周围的其它用户。用户发出连续的LBS查询时,他将t1、t2、t3和t4时刻的每个查询点都模糊成满足K=5的匿名。然而攻击者可根据匿名域顺序重建用户的轨迹。因此,连续查询过程中K匿名很难保证用户的轨迹隐私。
发明内容
针对用户连续查询过程中基于TTP结构的K匿名技术很难保证用户轨迹隐私的问题,为加强用户轨迹在匿名器和LSP中的隐私保护,本发明提出一种基于双K机制(Dual KMechanism,DKM)的轨迹隐私保护方法。该方法通过在用户和LSP之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。
一种基于双K机制的轨迹隐私保护方法,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,且
越大,需要生成的假位置就越多,用户真实位置被混淆的程度就越大,但相应会增加用户后续查询点的系统开销,因此应根据系统需求设置一个合适的
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
LBS服务器利用自身的私钥SKS对收到的请求信息解密出对应的Q、ki、R,并从LBS数据库中寻找查询范围R内与兴趣点类型Q匹配的兴趣点集合,将兴趣点集合使用对称加密算法和密钥ki进行加密得到查询结果LBS服务器将加密的查询结果返回给对应的匿名器:
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
进一步地,利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里德距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且0°<θ≤180°;其余的扇形区域的中心角都为在虚拟圆与分隔线相交处获得K-g-1个候选位置点{L′g+1,L′g+2,...,L′K-1};
步骤1.3:分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,可以获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},最终与g个预测位置{L1,L2,...,Lg}一起构成K-1查询混淆位置{Lg,Lg+1,...,LK-1}。。
查询混淆位置可以是查询预测位置,也可以是以查询预测位置为基础,在其附近搜寻的位置点,一般是选择与查询预测位置最接近的位于道路网上的位置点;
如果用户的真实位置、查询预测位置以及选择的查询假位置相互之间都非常靠近,就会较容易暴露用户的隐私,如这些点都位于医院、学校等特定的场所,同时这些查询假位置也不能选择在一些不可能的区域,如海洋、湖泊和沼泽地带等,因此如何选择好合适的假位置至关重要。在本方案中,首先根据预测机制获得用户查询预测位置,然后根据假位置选择机制生成一些均匀分散的临时位置,最后根据路网等地理位置实际因素,在这些临时位置附近最终确定其查询假位置,保证对隐私的保护。
进一步地,采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)mod N 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)mod N 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
通过该方式可以将K个查询位置分别映射到N个匿名器A1,A2,…,AN中K个不同匿名器,且N≥K。
进一步地,所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i个查询位置对应的查询请求为
其中,表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,
表示使用第j个匿名器公钥对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K进行非对称加密形成的第j个匿名服务器加密信息。
进一步地,所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K选择其它K-1个用户形成包含K个用户的匿名域CRj;
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中。
步骤3.3:各匿名器将自身身份标识与匿名域CRj,以及中组成新的查询请求消息发送到LBS服务器;
进一步地,用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
以减少用户与LBS服务器的交互,并提高用户隐私。
所述基于轨迹模式的混合预测模型构建g个查询预测位置的过程为采用参考文献[1]所述的方法;
所述假位置选择机制是采用参考文献[2]所述的方法实现。
有益效果
本发明提供了一种基于双K机制(Dual K Mechanism,DKM)的轨迹隐私保护方法。该方法通过在用户和LSP之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。通过在用户和LSP之间部署多个匿名器,每次用户K个查询位置分别选择K个不同的匿名器进行匿名。攻击者从单个匿名器不能获得用户的轨迹,加强了在匿名器中用户轨迹的隐私保护;通过位置选择机制在用户端选择(K-1)个查询混淆位置发送到各匿名器查询,以混淆用户的真实位置。即使各匿名器共谋,也很难获得用户的轨迹,加强了用户的轨迹隐私保护;用户发起查询时,首先根据位置预测查询点和路网情况选择K-1个合适的查询混淆位置,使K个查询位置一起发送到不同的匿名器形成匿名域,然后将这些匿名域发送到LBS服务器进行查询,最后获得的查询结果再经不同的匿名器返回给用户。在匿名器中使用K匿名技术,将用户K个位置点分别形成的K个匿名域发送到不同的LBS服务器查询,LSP不能获得用户的真实轨迹,加强了在LBS服务器中用户轨迹的隐私保护。
通过运用本发明方法,从单个匿名器,攻击者不能获得用户的真实轨迹。同时由于使用了假位置混淆用户真实位置,然后将用户K个位置形成的匿名域发送到LBS服务器查询,LSP也不能获得用户的真实轨迹。该方法中单个匿名器不会承担所有工作,因此单匿名器的失效并不影响系统的运行,有效解决基于TTP结构中的单点失效风险和性能瓶颈问题。
附图说明
图1基于TTP的结构图;
图2连续查询过程中的匿名域攻击示意图;
图3基于DKM的轨迹隐私保护模型图;
图4查询假位置选择示意图;
图5匿名器性能对比示意图,其中,(a)为时间开销,(b)为通信开销。
具体实施方式
下面将结合附图和实施例对本发明做进一步地说明。
如图3所示,一种基于双K机制的轨迹隐私保护方法,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,且
利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里德距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且0°<θ≤180°;其余的扇形区域的中心角都为在虚拟圆与分隔线相交处获得K-g-1个候选位置点{L′g+1,L′g+2,...,L′K-1};
分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,可以获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},最终与g个查询预测位置{L1,L2,...,Lg}一起构成K-1查询混淆位置{Lg,Lg+1,...,LK-1}。
如图4所示,粗线表示路网,五角星表示用户的查询点,实方形表示预测位置,空白圆圈和实圆圈分别候选位置和查询假位置。
查询混淆位置可以是查询预测位置,也可以是以查询预测位置为基础,在其附近搜寻的位置点,一般是选择与查询预测位置最接近的位于道路网上的位置点;
如果用户的真实位置、查询预测位置以及选择的查询假位置相互之间都非常靠近,就会较容易暴露用户的隐私,如这些点都位于医院、学校等特定的场所,同时这些查询假位置也不能选择在一些不可能的区域,如海洋、湖泊和沼泽地带等,因此如何选择好合适的假位置至关重要。在本方案中,首先根据预测的用户查询位置,生成一些均匀分散的临时位置,然后根据路网等地理位置实际因素,在这些临时位置附近最终确定其查询假位置,保证对隐私的保护。
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)mod N 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)mod N 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
通过该方式可以将K个查询位置分别映射到N个匿名器A1,A2,…,AN中K个不同匿名器,且N≥K。
所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i个查询位置对应的查询请求为
其中,表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,表示使用第j个匿名器公钥对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K进行非对称加密形成的第j个匿名服务器加密信息。
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K选择其它K-1个用户形成包含K个用户的匿名域CRj;
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中。
步骤3.3:各匿名器将自身身份标识与匿名域CRj,以及中组成新的查询请求消息发送到LBS服务器;
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
LBS服务器利用自身的私钥SKS对收到的请求信息解密出对应的Q、ki、R,并从LBS数据库中寻找查询范围R内与兴趣点类型Q匹配的兴趣点集合,将兴趣点集合使用对称加密算法和密钥ki进行加密得到查询结果LBS服务器将加密的查询结果返回给对应的匿名器:
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
以减少用户与LBS服务器的交互,并提高用户隐私。
通过分析本发明所述的DKM方法如何抵制攻击者的特定攻击,以取得对用户轨迹的隐私保护。本方案中LSP和匿名器能监视整个系统中特定用户的行为记录,它通常具有全局性、被动性和时间长期性等特征。因此将其考虑为强攻击者,具体分析如下:
1)抵制LSP的攻击
LSP作为强攻击者试图从用户查询数据推断出一些用户敏感信息,从而揭露用户的真实轨迹。当用户在其预测位置发出查询请求时,用户可以直接从缓存获取结果。在该过程中,用户与LSP没有进行交互,LSP就无法获取用户的任何信息。如果用户在其他位置发出查询请求,他将通过映射机制选择第j个匿名器转发用户的查询请求给LSP,其查询请求消息为它包括身份标识IDu、查询标识QIi、匿名域CRj、查询内容Q、用户密钥ki和查询半径R。从这些信息中,LSP无法获取准确的用户位置。而且LBS服务器同时获得用户的K个匿名域CRj,它不能确定真实的用户位置存在于某个匿名域中,因此攻击者不能通过连接不同时刻的匿名域来推测出用户的真实轨迹。即使LSP知道用户位于某个CRj内,但该区域至少包括有K个用户位置,因此LSP能猜到是某个用户位置的概率最多只有1/K。因此,从上述分析可知,LSP无法准确地确定用户的位置,也不能推测出用户的真实轨迹。
2)抵制单个匿名器的攻击
单匿名器作为强攻击者试图从转发的用户查询请求和查询结果信息中推断出一些用户敏感信息,从而揭露用户的轨迹。在DKM方法中,用户首先选择其它(K-1)个位置,并与用户真实位置一起发出K个位置查询请求,其查询请求消息包括用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)、匿名度K以及加密的从该查询请求信息中,单个匿名者只能获得用户的身份和查询位置。然而,这些查询位置只有一个是真实位置,因而用户可与真实位置相关联的概率只有1/K。同时由于用户在K个不同的位置发出K个查询请求,因此(K-1)个查询混淆位置会混淆用户的真实位置。即使几个匿名器共谋,攻击者也很难确定用户的真实轨迹。因此,攻击者无法获取用户的轨迹。当查询结果返回给用户时,K个查询结果Rei(1≤i≤K)都分别使用密钥ki进行了加密因此,随机选择的匿名器没有用户密钥ki,就无法解密查询结果获取用户结果信息。因此,从以上分析可知,单个匿名器无法确定用户的轨迹。
实验采用由Brinkhoff移动对象生成器,并利用德国奥尔登堡市交通网络图作为输入,生成10000个移动用户。实验参数设置如表1所示。实验的硬件环境为:Intel(R)Core(TM)i5-4590CPU@3.30GHz 3.30GHz,4.00GB内存,操作系统为Microsoft Windows 7,采用MyEclipse开发平台,以Java编程语言实现。本部分主要验证在单匿名器的平均计算和通信开销上,将DKM与TTP结构中的Gedik和Hwang方法进行仿真实验对比。
表1 DKM实验参数设置
当R=1、POIs=10000以及N=100时,通过改变K值,对比DKM方法与Gedik、Hwang方法在单个匿名器性能上的影响。由图5可知,在匿名器的平均计算和通信开销上,DKM相对于Gedik、Hwang具有相对较少的开销。因为用户在每次查询过程中,DKM方法是从N个匿名器中随机选择K个匿名器处理用户的查询,而Gedik、Hwang方法中仅由一个匿名器处理用户查询。所以在匿名器的平均计算和通信开销上,DKM相对于TTP结构中的Gedik、Hwang方法有一定优势。
安全分析表明该方法能有效抵制LSP和单匿名器的隐私攻击。同时通过将DKM与Gedik、Hwang方法进行仿真实验对比,验证了DKM方法在单个匿名器上具有较低的计算和通信开销。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
参考文献
[1]Jeung H,Liu Q,Shen H T,et al.A Hybrid Prediction Model for MovingObjects[C]//Proceedings of the 24th International Conference on DataEngineering.IEEE Computer Society,2008:70-79.
[2]Niu B,Zhang Z,Li X,et al.Privacy-area aware dummy generationalgorithms for Location-Based Services[C]//Proceedings of the InternationalConference on Communications.IEEE,2014:957-962.
Claims (6)
1.一种基于双K机制的轨迹隐私保护方法,其特征在于,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,且
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
2.根据权利要求1所述的方法,其特征在于,利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里得距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且0°<θ≤180°;其余的扇形区域的中心角都为在虚拟圆与分隔线相交处获得K-g-1个候选位置点{L′g+1,L′g+2,...,L′K-1};
步骤1.3:分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},与g个查询预测位置{L1,L2,...,Lg}构成K-1查询混淆位置。
3.根据权利要求2所述的方法,其特征在于,采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)modN 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)modN 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i个查询位置对应的查询请求为
<mrow>
<msubsup>
<mi>MSG</mi>
<msub>
<mi>A</mi>
<mi>j</mi>
</msub>
<msub>
<mi>U</mi>
<mi>i</mi>
</msub>
</msubsup>
<mo>=</mo>
<mo>{</mo>
<msub>
<mi>E</mi>
<mrow>
<msub>
<mi>PK</mi>
<msub>
<mi>A</mi>
<mi>j</mi>
</msub>
</msub>
</mrow>
</msub>
<mrow>
<mo>(</mo>
<msub>
<mi>QI</mi>
<mi>i</mi>
</msub>
<mo>,</mo>
<msub>
<mi>ID</mi>
<mi>u</mi>
</msub>
<mo>,</mo>
<mo>(</mo>
<mrow>
<msub>
<mi>x</mi>
<mi>i</mi>
</msub>
<mo>,</mo>
<msub>
<mi>y</mi>
<mi>i</mi>
</msub>
</mrow>
<mo>)</mo>
<mo>,</mo>
<mi>K</mi>
<mo>)</mo>
</mrow>
<mo>,</mo>
<msub>
<mi>E</mi>
<mrow>
<msub>
<mi>PK</mi>
<mi>S</mi>
</msub>
</mrow>
</msub>
<mrow>
<mo>(</mo>
<mi>Q</mi>
<mo>,</mo>
<msub>
<mi>k</mi>
<mi>i</mi>
</msub>
<mo>,</mo>
<mi>R</mi>
<mo>)</mo>
</mrow>
<mo>}</mo>
</mrow>
其中,表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,表示使用第j个匿名器公钥对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K进行非对称加密形成的第j个匿名服务器加密信息。
5.根据权利要求4所述的方法,其特征在于,所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K选择其它K-1个用户形成包含K个用户的匿名域CRj;
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中。
步骤3.3:各匿名器将自身身份标识与匿名域CRj,以及中组成新的查询请求消息发送到LBS服务器;
<mrow>
<msubsup>
<mi>MSG</mi>
<mi>S</mi>
<msub>
<mi>A</mi>
<mi>j</mi>
</msub>
</msubsup>
<mo>=</mo>
<mo>{</mo>
<msub>
<mi>ID</mi>
<msub>
<mi>A</mi>
<mi>j</mi>
</msub>
</msub>
<mo>,</mo>
<msub>
<mi>QI</mi>
<mi>i</mi>
</msub>
<mo>,</mo>
<msub>
<mi>CR</mi>
<mi>j</mi>
</msub>
<mo>,</mo>
<msub>
<mi>E</mi>
<mrow>
<msub>
<mi>PK</mi>
<mi>S</mi>
</msub>
</mrow>
</msub>
<mrow>
<mo>(</mo>
<mi>Q</mi>
<mo>,</mo>
<msub>
<mi>k</mi>
<mi>i</mi>
</msub>
<mo>,</mo>
<mi>R</mi>
<mo>)</mo>
</mrow>
<mo>}</mo>
<mo>.</mo>
</mrow>
6.根据权利要求5所述的方法,其特征在于,用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994837.6A CN107659580B (zh) | 2017-10-23 | 2017-10-23 | 一种基于双k机制的轨迹隐私保护方法 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201710994837.6A CN107659580B (zh) | 2017-10-23 | 2017-10-23 | 一种基于双k机制的轨迹隐私保护方法 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN107659580A true CN107659580A (zh) | 2018-02-02 |
CN107659580B CN107659580B (zh) | 2020-04-28 |
Family
ID=61118255
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201710994837.6A Active CN107659580B (zh) | 2017-10-23 | 2017-10-23 | 一种基于双k机制的轨迹隐私保护方法 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN107659580B (zh) |
Cited By (6)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108600304A (zh) * | 2018-03-14 | 2018-09-28 | 广东工业大学 | 一种基于位置k-匿名的个性化位置隐私保护方法 |
CN109302676B (zh) * | 2018-10-17 | 2019-08-02 | 长安大学 | 一种面向乘客和司机隐私保留的o-d区域匹配方法 |
CN110139214A (zh) * | 2019-06-26 | 2019-08-16 | 湖南大学 | 一种vanet中基于虚拟位置的车辆位置隐私保护方法 |
CN110210249A (zh) * | 2019-06-13 | 2019-09-06 | 上海富数科技有限公司 | 基于数据混淆实现匿踪查询功能的系统及其方法 |
CN110365677A (zh) * | 2018-12-06 | 2019-10-22 | 西安电子科技大学 | 基于用户分类的隐私保护方法 |
CN111800786A (zh) * | 2020-06-05 | 2020-10-20 | 暨南大学 | 一种基于k匿名的轨迹隐私保护方法 |
Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092692A (zh) * | 2014-07-15 | 2014-10-08 | 福建师范大学 | 一种基于k-匿名与服务相似性相结合的位置隐私保护方法 |
CN106059988A (zh) * | 2015-12-16 | 2016-10-26 | 湖南科技大学 | 基于位置服务的轨迹隐私保护方法 |
-
2017
- 2017-10-23 CN CN201710994837.6A patent/CN107659580B/zh active Active
Patent Citations (2)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN104092692A (zh) * | 2014-07-15 | 2014-10-08 | 福建师范大学 | 一种基于k-匿名与服务相似性相结合的位置隐私保护方法 |
CN106059988A (zh) * | 2015-12-16 | 2016-10-26 | 湖南科技大学 | 基于位置服务的轨迹隐私保护方法 |
Non-Patent Citations (2)
Title |
---|
SHAOBO ZHANG,ETC: ""A Dual Privacy Preserving Scheme in Continuous Location-Based Services"", 《2017 IEEE TRUSTCOM/BIGDATASE/ICESS》 * |
张少波等: ""移动社交网络中基于代理转发机制的轨迹隐私保护方法"", 《电子与信息学报》 * |
Cited By (9)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN108600304A (zh) * | 2018-03-14 | 2018-09-28 | 广东工业大学 | 一种基于位置k-匿名的个性化位置隐私保护方法 |
CN108600304B (zh) * | 2018-03-14 | 2021-02-12 | 广东工业大学 | 一种基于位置k-匿名的个性化位置隐私保护方法 |
CN109302676B (zh) * | 2018-10-17 | 2019-08-02 | 长安大学 | 一种面向乘客和司机隐私保留的o-d区域匹配方法 |
CN110365677A (zh) * | 2018-12-06 | 2019-10-22 | 西安电子科技大学 | 基于用户分类的隐私保护方法 |
CN110365677B (zh) * | 2018-12-06 | 2021-07-20 | 西安电子科技大学 | 基于用户分类的隐私保护方法 |
CN110210249A (zh) * | 2019-06-13 | 2019-09-06 | 上海富数科技有限公司 | 基于数据混淆实现匿踪查询功能的系统及其方法 |
CN110139214A (zh) * | 2019-06-26 | 2019-08-16 | 湖南大学 | 一种vanet中基于虚拟位置的车辆位置隐私保护方法 |
CN111800786A (zh) * | 2020-06-05 | 2020-10-20 | 暨南大学 | 一种基于k匿名的轨迹隐私保护方法 |
CN111800786B (zh) * | 2020-06-05 | 2023-06-09 | 暨南大学 | 一种基于k匿名的轨迹隐私保护方法 |
Also Published As
Publication number | Publication date |
---|---|
CN107659580B (zh) | 2020-04-28 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN107659580B (zh) | 一种基于双k机制的轨迹隐私保护方法 | |
Farouk et al. | Efficient privacy-preserving scheme for location based services in VANET system | |
CN111083631B (zh) | 一种保护位置隐私和查询隐私的高效查询处理方法 | |
Niu et al. | Privacy-area aware dummy generation algorithms for location-based services | |
CN105933357B (zh) | 基于网格单元标识匹配的位置服务方法 | |
Šeděnka et al. | Privacy-preserving distance computation and proximity testing on earth, done right | |
CN108632237A (zh) | 一种基于多匿名器匿名的位置服务方法 | |
Calderoni et al. | Location privacy without mutual trust: The spatial Bloom filter | |
Lin et al. | A secure and efficient location-based service scheme for smart transportation | |
CN106899700B (zh) | 一种移动社交网络中的位置共享系统的隐私保护方法 | |
CN107707566B (zh) | 一种基于缓存和位置预测机制的轨迹隐私保护方法 | |
CN106059988B (zh) | 基于位置服务的轨迹隐私保护方法 | |
Wernke et al. | PShare: Position sharing for location privacy based on multi-secret sharing | |
Li et al. | n-CD: A geometric approach to preserving location privacy in location-based services | |
CN109728904B (zh) | 一种保护隐私的空间网络查询方法 | |
Ma et al. | SSPA-LBS: Scalable and social-friendly privacy-aware location-based services | |
CN115052286A (zh) | 基于位置服务的用户隐私保护、目标查询方法及系统 | |
Liu et al. | Accountable outsourcing location-based services with privacy preservation | |
Zhang et al. | A trajectory privacy-preserving scheme based on transition matrix and caching for IIoT | |
Wen et al. | P2: A location privacy-preserving auction mechanism for mobile crowd sensing | |
Dong et al. | Privacy protection in participatory sensing applications requiring fine-grained locations | |
KR101760600B1 (ko) | 근접 기반 모바일 소셜 네트워크에서 비신뢰 브로커 기반 친구 검색 방법 및 시스템 | |
Albelaihy et al. | A survey of the current trends of privacy techniques employed in protecting the Location privacy of users in LBSs | |
CN106790180B (zh) | Ip相关的坐标变换位置隐私保护方法 | |
Lahe et al. | Location privacy preserving using semi-TTP server for LBS users |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
PB01 | Publication | ||
PB01 | Publication | ||
SE01 | Entry into force of request for substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant |