CN107659580B - 一种基于双k机制的轨迹隐私保护方法 - Google Patents

一种基于双k机制的轨迹隐私保护方法 Download PDF

Info

Publication number
CN107659580B
CN107659580B CN201710994837.6A CN201710994837A CN107659580B CN 107659580 B CN107659580 B CN 107659580B CN 201710994837 A CN201710994837 A CN 201710994837A CN 107659580 B CN107659580 B CN 107659580B
Authority
CN
China
Prior art keywords
query
user
anonymizer
positions
location
Prior art date
Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
Active
Application number
CN201710994837.6A
Other languages
English (en)
Other versions
CN107659580A (zh
Inventor
张少波
廖俊国
宁红辉
Current Assignee (The listed assignees may be inaccurate. Google has not performed a legal analysis and makes no representation or warranty as to the accuracy of the list.)
Hunan University of Science and Technology
Original Assignee
Hunan University of Science and Technology
Priority date (The priority date is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the date listed.)
Filing date
Publication date
Application filed by Hunan University of Science and Technology filed Critical Hunan University of Science and Technology
Priority to CN201710994837.6A priority Critical patent/CN107659580B/zh
Publication of CN107659580A publication Critical patent/CN107659580A/zh
Application granted granted Critical
Publication of CN107659580B publication Critical patent/CN107659580B/zh
Active legal-status Critical Current
Anticipated expiration legal-status Critical

Links

Images

Classifications

    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L63/00Network architectures or network communication protocols for network security
    • H04L63/04Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks
    • H04L63/0428Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload
    • H04L63/0442Network architectures or network communication protocols for network security for providing a confidential data exchange among entities communicating through data packet networks wherein the data content is protected, e.g. by encrypting or encapsulating the payload wherein the sending and receiving network entities apply asymmetric encryption, i.e. different keys for encryption and decryption
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/01Protocols
    • H04L67/10Protocols in which an application is distributed across nodes in the network
    • H04L67/1001Protocols in which an application is distributed across nodes in the network for accessing one among a plurality of replicated servers
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04LTRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
    • H04L67/00Network arrangements or protocols for supporting network services or applications
    • H04L67/50Network services
    • H04L67/52Network services specially adapted for the location of the user terminal
    • HELECTRICITY
    • H04ELECTRIC COMMUNICATION TECHNIQUE
    • H04WWIRELESS COMMUNICATION NETWORKS
    • H04W12/00Security arrangements; Authentication; Protecting privacy or anonymity
    • H04W12/02Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]

Landscapes

  • Engineering & Computer Science (AREA)
  • Computer Networks & Wireless Communication (AREA)
  • Signal Processing (AREA)
  • Computer Security & Cryptography (AREA)
  • Computer Hardware Design (AREA)
  • Computing Systems (AREA)
  • General Engineering & Computer Science (AREA)
  • Information Retrieval, Db Structures And Fs Structures Therefor (AREA)

Abstract

本发明公开了一种基于双K机制的轨迹隐私保护方法,通过在用户和位置服务提供商之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。该方法中匿名器可以不完全可信,攻击者从单个匿名器不能获得用户的轨迹,加强了对用户轨迹的隐私保护,同时也解决了TTP结构中的单点失效风险和性能瓶颈问题。

Description

一种基于双K机制的轨迹隐私保护方法
技术领域
本发明涉及计算机科学与技术领域,特别涉及一种基于双K机制的轨迹隐私保护方法。
背景技术
近年来,随着无线通信技术、移动互联网络和定位技术的迅速发展,基于位置服务(Location Based Service,LBS)在日常生活中已日益受到人们的广泛关注。通过智能手机或掌上电脑,用户可以从应用商店下载基于位置服务的软件,如Twitter、Gowalla和Foursquare 等。通过使用这些LBS应用软件发送查询到LBS服务器,可以获得用户需要的兴趣点(Points of Interests,POIs),如交通导航信息、基于位置的广告、最近的餐厅提供用户最喜欢的菜肴等。然而,用户在享受LBS带来极大生活便利和娱乐的同时,他们需要将这些查询请求提交给不可信的位置服务提供商(Location Service Provider,LSP)。在连续的LBS查询中,LSP根据收集的用户查询数据,可以直接追踪到用户或推断出一些敏感的用户个人信息,如日常行为、家庭地址和社会关系等,这将严重导致用户个人隐私的泄露。因此,LBS中的隐私保护问题已越来越突出,并迫切需要解决。
为解决LBS中的用户隐私问题,学者们已提出了一些位置隐私保护方法,它们主要采用基于可信第三方(Fully-Trusted Third Party,TTP)的结构。在该结构中,TTP(也称为匿名器) 作为用户和LSP之间的中间体,其主要功能是将用户精确位置模糊成一个满足K匿名包括K 个用户的匿名域。在匿名域发送给LSP查询时,使LSP不能从K个用户识别出特定的用户。如图1所示为基于TTP的结构图。用户首先将查询请求发送给匿名器形成匿名域,然后将匿名域发送给LSP查询获得候选结果集,最后候选结果集经匿名器求精后,再将精确结果返回给用户。但该结构存在三个问题:(a)匿名器知道所有用户的精确位置等信息,如果它被攻击者攻破,将会严重泄露用户的敏感信息。(b)匿名器作为用户与LSP之间的中间体,承担着繁重的计算和通信任务,容易成为该结构中的性能瓶颈,并存在着单点失效的风险。(c)现实中也很难找到一个完全可信的第三方实体。
同时,在连续的LBS查询过程中,仅在匿名器使用K匿名技术很难保证用户的隐私。比如在以下情况就很容易暴露用户的轨迹:(1)如果攻击者连接这些匿名域,将会暴露用户的大致轨迹。(2)如果攻击者将不同查询点形成的匿名域进行对比,也能识别出真正的用户。如图2所示为连续查询过程中的匿名域攻击。图中带箭头的粗线为用户轨迹,轨迹上的五角星表示不同时刻的查询点,圆圈表示真实查询用户周围的其它用户。用户发出连续的LBS查询时,他将t1、t2、t3和t4时刻的每个查询点都模糊成满足K=5的匿名。然而攻击者可根据匿名域顺序重建用户的轨迹。因此,连续查询过程中K匿名很难保证用户的轨迹隐私。
发明内容
针对用户连续查询过程中基于TTP结构的K匿名技术很难保证用户轨迹隐私的问题,为加强用户轨迹在匿名器和LSP中的隐私保护,本发明提出一种基于双K机制(Dual KMechanism,DKM)的轨迹隐私保护方法。该方法通过在用户和LSP之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。
一种基于双K机制的轨迹隐私保护方法,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,
Figure GDA0002252529570000021
Figure GDA0002252529570000022
越大,需要生成的假位置就越多,用户真实位置被混淆的程度就越大,但相应会增加用户后续查询点的系统开销,因此应根据系统需求设置一个合适的
Figure GDA0002252529570000023
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
LBS服务器利用自身的私钥SKS对收到的请求信息解密出对应的Q、ki、R,并从LBS数据库中寻找查询范围R内与兴趣点类型Q匹配的兴趣点集合,将兴趣点集合使用对称加密算法和密钥ki进行加密得到查询结果
Figure GDA0002252529570000031
LBS服务器将加密的查询结果
Figure GDA0002252529570000032
返回给对应的匿名器:
Figure GDA0002252529570000033
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
进一步地,利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里德距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且00<θ≤1800;其余的扇形区域的中心角都为
Figure GDA0002252529570000034
在虚拟圆与分隔线相交处获得K-g-1个候选位置点 {L′g+1,L′g+2,...,L′K-1};
步骤1.3:分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,可以获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},最终与g个预测位置{L1,L2,...,Lg}一起构成K-1个查询混淆位置{Lg,Lg+1,...,LK-1}。
查询混淆位置可以是查询预测位置,也可以是以查询预测位置为基础,在其附近搜寻的位置点,一般是选择与查询预测位置最接近的位于道路网上的位置点;
如果用户的真实位置、查询预测位置以及选择的查询假位置相互之间都非常靠近,就会较容易暴露用户的隐私,如这些点都位于医院、学校等特定的场所,同时这些查询假位置也不能选择在一些不可能的区域,如海洋、湖泊和沼泽地带等,因此如何选择好合适的假位置至关重要。在本方案中,首先根据预测机制获得用户查询预测位置,然后根据假位置选择机制生成一些均匀分散的临时位置,最后根据路网等地理位置实际因素,在这些临时位置附近最终确定其查询假位置,保证对隐私的保护。
进一步地,采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)mod N 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)mod N 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
通过该方式可以将K个查询位置分别映射到N个匿名器A1,A2,…,AN中K个不同匿名器,且N≥K。
进一步地,所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i个查询位置对应的查询请求为
Figure GDA0002252529570000041
Figure GDA0002252529570000042
其中,
Figure GDA0002252529570000043
表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K1表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,
Figure GDA0002252529570000044
表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,
Figure GDA0002252529570000051
表示使用第j个匿名器公钥
Figure GDA0002252529570000052
对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K1进行非对称加密形成的第j个匿名服务器加密信息。
进一步地,所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的
Figure GDA0002252529570000053
进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K1;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K1选择其它K-1个用户形成包含K个用户的匿名域CRj
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中。
步骤3.3:各匿名器将自身身份标识
Figure GDA0002252529570000054
查询标识QIi与匿名域CRj,以及
Figure GDA0002252529570000055
Figure GDA0002252529570000056
组成新的查询请求消息
Figure GDA0002252529570000057
发送到LBS服务器;
Figure GDA0002252529570000058
进一步地,用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
以减少用户与LBS服务器的交互,并提高用户隐私。
所述基于轨迹模式的混合预测模型构建g个查询预测位置的过程为采用参考文献[1]所述的方法;
所述假位置选择机制是采用参考文献[2]所述的方法实现。
有益效果
本发明提供了一种基于双K机制(Dual K Mechanism,DKM)的轨迹隐私保护方法。该方法通过在用户和LSP之间部署多个匿名器,采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。通过在用户和LSP之间部署多个匿名器,每次用户K个查询位置分别选择K个不同的匿名器进行匿名。攻击者从单个匿名器不能获得用户的轨迹,加强了在匿名器中用户轨迹的隐私保护;通过位置选择机制在用户端选择(K-1)个查询混淆位置发送到各匿名器查询,以混淆用户的真实位置。即使各匿名器共谋,也很难获得用户的轨迹,加强了用户的轨迹隐私保护;用户发起查询时,首先根据位置预测查询点和路网情况选择K-1 个合适的查询混淆位置,使K个查询位置一起发送到不同的匿名器形成匿名域,然后将这些匿名域发送到LBS服务器进行查询,最后获得的查询结果再经不同的匿名器返回给用户。在匿名器中使用K匿名技术,将用户K个位置点分别形成的K个匿名域发送到不同的LBS服务器查询,LSP不能获得用户的真实轨迹,加强了在LBS服务器中用户轨迹的隐私保护。
通过运用本发明方法,从单个匿名器,攻击者不能获得用户的真实轨迹。同时由于使用了假位置混淆用户真实位置,然后将用户K个位置形成的匿名域发送到LBS服务器查询, LSP也不能获得用户的真实轨迹。该方法中单个匿名器不会承担所有工作,因此单匿名器的失效并不影响系统的运行,有效解决基于TTP结构中的单点失效风险和性能瓶颈问题。
附图说明
图1基于TTP的结构图;
图2连续查询过程中的匿名域攻击示意图;
图3基于DKM的轨迹隐私保护模型图;
图4查询假位置选择示意图;
图5匿名器性能对比示意图,其中,(a)为时间开销,(b)为通信开销。
具体实施方式
下面将结合附图和实施例对本发明做进一步地说明。
如图3所示,一种基于双K机制的轨迹隐私保护方法,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,
Figure GDA0002252529570000061
Figure GDA0002252529570000062
利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里德距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且0°<θ≤180°;其余的扇形区域的中心角都为
Figure GDA0002252529570000071
在虚拟圆与分隔线相交处获得K-g-1个候选位置点 {L′g+1,L′g+2,...,L′K-1};
分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,可以获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},最终与g个查询预测位置{L1,L2,...,Lg}一起构成K-1查询混淆位置{Lg,Lg+1,...,LK-1}。
如图4所示,粗线表示路网,五角星表示用户的查询点,实方形表示预测位置,空白圆圈和实圆圈分别候选位置和查询假位置。
查询混淆位置可以是查询预测位置,也可以是以查询预测位置为基础,在其附近搜寻的位置点,一般是选择与查询预测位置最接近的位于道路网上的位置点;
如果用户的真实位置、查询预测位置以及选择的查询假位置相互之间都非常靠近,就会较容易暴露用户的隐私,如这些点都位于医院、学校等特定的场所,同时这些查询假位置也不能选择在一些不可能的区域,如海洋、湖泊和沼泽地带等,因此如何选择好合适的假位置至关重要。在本方案中,首先根据预测的用户查询位置,生成一些均匀分散的临时位置,然后根据路网等地理位置实际因素,在这些临时位置附近最终确定其查询假位置,保证对隐私的保护。
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)mod N 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)mod N 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
通过该方式可以将K个查询位置分别映射到N个匿名器A1,A2,…,AN中K个不同匿名器,且N≥K。
所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i 个查询位置对应的查询请求为
Figure GDA0002252529570000081
Figure GDA0002252529570000082
其中,
Figure GDA0002252529570000083
表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K1表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,
Figure GDA0002252529570000084
表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,
Figure GDA0002252529570000085
表示使用第j个匿名器公钥
Figure GDA0002252529570000086
对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K1进行非对称加密形成的第j个匿名服务器加密信息。
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的
Figure GDA0002252529570000091
进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K1;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K1选择其它K-1个用户形成包含K个用户的匿名域CRj
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中。
步骤3.3:各匿名器将自身身份标识
Figure GDA0002252529570000092
与匿名域CRj,以及
Figure GDA0002252529570000093
Figure GDA0002252529570000094
组成新的查询请求消息
Figure GDA0002252529570000095
发送到LBS服务器;
Figure GDA0002252529570000096
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
LBS服务器利用自身的私钥SKS对收到的请求信息解密出对应的Q、ki、R,并从LBS数据库中寻找查询范围R内与兴趣点类型Q匹配的兴趣点集合,将兴趣点集合使用对称加密算法和密钥ki进行加密得到查询结果
Figure GDA0002252529570000097
LBS服务器将加密的查询结果
Figure GDA0002252529570000098
返回给对应的匿名器:
Figure GDA0002252529570000099
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
以减少用户与LBS服务器的交互,并提高用户隐私。
通过分析本发明所述的DKM方法如何抵制攻击者的特定攻击,以取得对用户轨迹的隐私保护。本方案中LSP和匿名器能监视整个系统中特定用户的行为记录,它通常具有全局性、被动性和时间长期性等特征。因此将其考虑为强攻击者,具体分析如下:
1)抵制LSP的攻击
LSP作为强攻击者试图从用户查询数据推断出一些用户敏感信息,从而揭露用户的真实轨迹。当用户在其预测位置发出查询请求时,用户可以直接从缓存获取结果。在该过程中,用户与LSP没有进行交互,LSP就无法获取用户的任何信息。如果用户在其他位置发出查询请求,他将通过映射机制选择第j个匿名器转发用户的查询请求给LSP,其查询请求消息为
Figure GDA0002252529570000101
它包括身份标识IDu、查询标识QIi、匿名域CRj、查询内容Q、用户密钥ki和查询半径R。从这些信息中,LSP无法获取准确的用户位置。而且LBS服务器同时获得用户的K 个匿名域CRj,它不能确定真实的用户位置存在于某个匿名域中,因此攻击者不能通过连接不同时刻的匿名域来推测出用户的真实轨迹。即使LSP知道用户位于某个CRj内,但该区域至少包括有K个用户位置,因此LSP能猜到是某个用户位置的概率最多只有1/K。因此,从上述分析可知,LSP无法准确地确定用户的位置,也不能推测出用户的真实轨迹。
2)抵制单个匿名器的攻击
单匿名器作为强攻击者试图从转发的用户查询请求和查询结果信息中推断出一些用户敏感信息,从而揭露用户的轨迹。在DKM方法中,用户首先选择其它(K-1)个位置,并与用户真实位置一起发出K个位置查询请求,其查询请求消息包括用户身份标识IDu、查询标识 QIi、位置坐标(xi,yi)、匿名度K1以及加密的
Figure GDA0002252529570000102
从该查询请求信息中,单个匿名者只能获得用户的身份和查询位置。然而,这些查询位置只有一个是真实位置,因而用户可与真实位置相关联的概率只有1/K。同时由于用户在K个不同的位置发出K个查询请求,因此(K-1)个查询混淆位置会混淆用户的真实位置。即使几个匿名器共谋,攻击者也很难确定用户的真实轨迹。因此,攻击者无法获取用户的轨迹。当查询结果返回给用户时, K个查询结果Rei(1≤i≤K)都分别使用密钥ki进行了加密
Figure GDA0002252529570000103
因此,随机选择的匿名器没有用户密钥ki,就无法解密查询结果获取用户结果信息。因此,从以上分析可知,单个匿名器无法确定用户的轨迹。
实验采用由Brinkhoff移动对象生成器,并利用德国奥尔登堡市交通网络图作为输入,生成10000个移动用户。实验参数设置如表1所示。实验的硬件环境为:Intel(R)Core(TM)i5-4590 CPU@3.30GHz 3.30GHz,4.00GB内存,操作系统为Microsoft Windows 7,采用MyEclipse开发平台,以Java编程语言实现。本部分主要验证在单匿名器的平均计算和通信开销上,将DKM 与TTP结构中的Gedik和Hwang方法进行仿真实验对比。
表1 DKM实验参数设置
Figure GDA0002252529570000111
当R=1、POIs=10000以及N=100时,通过改变K值,对比DKM方法与Gedik、Hwang方法在单个匿名器性能上的影响。由图5可知,在匿名器的平均计算和通信开销上,DKM相对于Gedik、Hwang具有相对较少的开销。因为用户在每次查询过程中,DKM方法是从N个匿名器中随机选择K个匿名器处理用户的查询,而Gedik、Hwang方法中仅由一个匿名器处理用户查询。所以在匿名器的平均计算和通信开销上,DKM相对于TTP结构中的Gedik、 Hwang方法有一定优势。
安全分析表明该方法能有效抵制LSP和单匿名器的隐私攻击。同时通过将DKM与Gedik、 Hwang方法进行仿真实验对比,验证了DKM方法在单个匿名器上具有较低的计算和通信开销。
本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代,但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。
参考文献
[1]Jeung H,Liu Q,Shen H T,et al.A Hybrid Prediction Model for MovingObjects[C]// Proceedings of the 24th International Conference on DataEngineering.IEEE Computer Society, 2008:70-79.
[2]Niu B,Zhang Z,Li X,et al.Privacy-area aware dummy generationalgorithms for Location-Based Services[C]//Proceedings of the InternationalConference on Communications. IEEE,2014:957-962.

Claims (6)

1.一种基于双K机制的轨迹隐私保护方法,其特征在于,包括以下步骤:
步骤1:以用户当前所在位置和查询真实位置,基于轨迹模式的混合预测模型构建g个查询预测位置,以查询预测位置为基础选取K-g-1个查询假位置,以查询真实位置、查询预测位置和查询假位置组建成K个查询位置;
其中,K表示用户在一次兴趣点寻找过程中发送至位置服务提供商的查询位置对应的查询请求数量,
Figure FDA0002252529560000011
Figure FDA0002252529560000012
步骤2:按照设定的查询位置与匿名器之间的映射表,将K个查询位置对应的查询请求分别发送至K个不同的匿名器;
所述查询请求信息包括LBS服务器加密信息和匿名服务器加密信息;
其中,所述LBS服务器加密信息是使用LBS服务器公钥对查询位置范围内的查询兴趣点类型,用户的第i个密钥和查询半径进行非对称加密形成,0<i≤K;
所述匿名服务器加密信息是使用第j个匿名器公钥对用户身份标识、第i个查询位置的查询标识和位置坐标以及匿名度进行非对称加密形成,0<j≤K,同时匿名器将用户的身份标识和查询标识保存在该匿名器的文件表中;
步骤3:匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤4:LBS服务器依据步骤3发出的新的查询请求消息寻找匹配的兴趣点集合,并将兴趣点集合利用对应的用户密钥进行加密后作为返回结果,返回给对应的匿名器;
步骤5:K个匿名器基于收到LBS服务器返回的结果,分别根据匿名器文件表中查询标识对应的用户标识,将转发请求消息转发给相应用户;
步骤6:用户只接收自己真实位置以及轨迹上预测的位置所发送到相应匿名器的加密结果集,并使用对应的密钥解密转发请求消息中加密的兴趣点集合,获得每个兴趣点的精确位置。
2.根据权利要求1所述的方法,其特征在于,利用预测位置获得g个查询预测位置,并采用假位置选择机制得到K-g-1个查询假位置,以g个查询预测位置和K-g-1个查询假位置形成K-1个查询混淆位置;
获得K-g-1个查询假位置的具体过程如下:
步骤1.1:随机选择一个中心点Lc,并以该中心点Lc为圆心构建一个半径为R的虚拟圆;
所述虚拟圆满足:用户的位置Lu以及最后一个预测点Lg的位置分别与中心点Lc两点间的欧几里得距离D(Lu,Lc)=D(Lg,Lc)=R,且R≥Rmin,Rmin为系统设置的半径阈值,g个查询预测位置为{L1,L2,...,Lg};
步骤1.2:使用K-g-1条分隔线将虚拟圆划分成K-g-1个扇形区域;
令其中一部分的扇形区域的中心角θ=∠LuLcLg,且0°<θ≤180°;其余的扇形区域的中心角都为
Figure FDA0002252529560000021
在虚拟圆与分隔线相交处获得K-g-1个候选位置点{L′g+1,L′g+2,...,L′K-1};
步骤1.3:分别在每个候选位置点附近的道路网上至少选择一个与候选位置点接近的位置点,获得K-g-1个查询假位置{Lg+1,Lg+2,...,LK-1},与g个查询预测位置{L1,L2,...,Lg}构成K-1个查询混淆位置。
3.根据权利要求2所述的方法,其特征在于,采用匿名器选择机制设定查询位置与匿名器之间的映射表,具体过程如下:
步骤2.1:将K个查询位置的坐标值依次作为变量,构造一个哈希函数并将其取模得到一个匿名器编号l,从而构造一个查询位置与匿名器编号的映射表,l=1,2,…,N;
l=Hash(xi+yi)modN 1≤i≤K,1≤l≤N (1)
步骤2.2:如果存在不同查询位置都映射到编号相同的匿名器时,采用二次探测再散列对匿名器编号相同的查询位置的匿名器编号按照以下公式进行重新计算,得到查询位置对应的唯一匿名器编号;
l=(Hash(xi+yi)+p)modN 1≤p≤N-1 (2)
其中,p从1开始取值,如果获得的匿名器编号还有冲突,在现有p值的基础上增加1,直到解决冲突为止,N表示匿名器总数。
4.根据权利要求1-3任一项所述的方法,其特征在于,所述步骤2中将K个查询位置对应的查询请求分别发送至K个不同的匿名器,其中第i个查询位置对应的查询请求为
Figure FDA0002252529560000022
Figure FDA0002252529560000023
其中,
Figure FDA0002252529560000024
表示第i个查询位置对应的第j个匿名器的公钥,QIi表示第i个查询位置的查询标识,IDu表示用户身份标识,(xi,yi)表示第i个查询位置的坐标,K1表示匿名度,Q表示查询位置范围内的查询兴趣点类型,ki表示用户的第i个密钥,R表示设定的查询半径,
Figure FDA0002252529560000031
表示使用LBS服务器公钥PKS对查询位置范围内的查询兴趣点类型Q,用户的第i个密钥ki和查询半径R进行非对称加密形成的用户服务器加密信息,
Figure FDA0002252529560000032
表示使用第j个匿名器公钥
Figure FDA0002252529560000033
对用户身份标识IDu、第i个查询位置的查询标识QIi和位置坐标(xi,yi)以及匿名度K1进行非对称加密形成的第j个匿名服务器加密信息。
5.根据权利要求4所述的方法,其特征在于,所述步骤3的具体过程如下:
匿名器对接收到的请求信息进行匿名,将匿名处理得到的匿名域、查询位置的查询标识和匿名服务器加密信息作为新的查询请求消息发送至LBS服务器;
步骤3.1:各匿名器对查询请求消息中的
Figure FDA0002252529560000034
进行解密,获得用户身份标识IDu、查询标识QIi、位置坐标(xi,yi)和匿名度K1;
步骤3.2:各匿名器根据位置(xi,yi)、匿名度K1选择其它K-1个用户形成包含K个用户的匿名域CRj
同时匿名器将用户的身份标识IDu和查询标识QIi保存在该匿名器的文件表中;
步骤3.3:各匿名器将自身身份标识
Figure FDA0002252529560000035
查询标识QIi与匿名域CRj,以及
Figure FDA0002252529560000036
Figure FDA0002252529560000037
组成新的查询请求消息
Figure FDA0002252529560000038
发送到LBS服务器;
Figure FDA0002252529560000039
6.根据权利要求5所述的方法,其特征在于,用户将g个预测查询位置的查询请求结果缓存在用户端,供后续的查询点使用。
CN201710994837.6A 2017-10-23 2017-10-23 一种基于双k机制的轨迹隐私保护方法 Active CN107659580B (zh)

Priority Applications (1)

Application Number Priority Date Filing Date Title
CN201710994837.6A CN107659580B (zh) 2017-10-23 2017-10-23 一种基于双k机制的轨迹隐私保护方法

Applications Claiming Priority (1)

Application Number Priority Date Filing Date Title
CN201710994837.6A CN107659580B (zh) 2017-10-23 2017-10-23 一种基于双k机制的轨迹隐私保护方法

Publications (2)

Publication Number Publication Date
CN107659580A CN107659580A (zh) 2018-02-02
CN107659580B true CN107659580B (zh) 2020-04-28

Family

ID=61118255

Family Applications (1)

Application Number Title Priority Date Filing Date
CN201710994837.6A Active CN107659580B (zh) 2017-10-23 2017-10-23 一种基于双k机制的轨迹隐私保护方法

Country Status (1)

Country Link
CN (1) CN107659580B (zh)

Families Citing this family (6)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN108600304B (zh) * 2018-03-14 2021-02-12 广东工业大学 一种基于位置k-匿名的个性化位置隐私保护方法
CN109302676B (zh) * 2018-10-17 2019-08-02 长安大学 一种面向乘客和司机隐私保留的o-d区域匹配方法
CN110365677B (zh) * 2018-12-06 2021-07-20 西安电子科技大学 基于用户分类的隐私保护方法
CN110210249B (zh) * 2019-06-13 2021-01-08 上海富数科技有限公司 基于数据混淆实现匿踪查询功能的系统及其方法
CN110139214A (zh) * 2019-06-26 2019-08-16 湖南大学 一种vanet中基于虚拟位置的车辆位置隐私保护方法
CN111800786B (zh) * 2020-06-05 2023-06-09 暨南大学 一种基于k匿名的轨迹隐私保护方法

Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092692A (zh) * 2014-07-15 2014-10-08 福建师范大学 一种基于k-匿名与服务相似性相结合的位置隐私保护方法
CN106059988A (zh) * 2015-12-16 2016-10-26 湖南科技大学 基于位置服务的轨迹隐私保护方法

Patent Citations (2)

* Cited by examiner, † Cited by third party
Publication number Priority date Publication date Assignee Title
CN104092692A (zh) * 2014-07-15 2014-10-08 福建师范大学 一种基于k-匿名与服务相似性相结合的位置隐私保护方法
CN106059988A (zh) * 2015-12-16 2016-10-26 湖南科技大学 基于位置服务的轨迹隐私保护方法

Non-Patent Citations (2)

* Cited by examiner, † Cited by third party
Title
"A Dual Privacy Preserving Scheme in Continuous Location-Based Services";Shaobo Zhang,etc;《2017 IEEE Trustcom/BigDataSE/ICESS》;20170804;全文 *
"移动社交网络中基于代理转发机制的轨迹隐私保护方法";张少波等;《电子与信息学报》;20160930;第38卷(第9期);全文 *

Also Published As

Publication number Publication date
CN107659580A (zh) 2018-02-02

Similar Documents

Publication Publication Date Title
CN107659580B (zh) 一种基于双k机制的轨迹隐私保护方法
Memon et al. Dynamic path privacy protection framework for continuous query service over road networks
Farouk et al. Efficient privacy-preserving scheme for location based services in VANET system
Niu et al. Privacy-area aware dummy generation algorithms for location-based services
Šeděnka et al. Privacy-preserving distance computation and proximity testing on earth, done right
Wernke et al. A classification of location privacy attacks and approaches
CN111083631B (zh) 一种保护位置隐私和查询隐私的高效查询处理方法
Mouratidis et al. Shortest path computation with no information leakage
CN106899700B (zh) 一种移动社交网络中的位置共享系统的隐私保护方法
CN106059988B (zh) 基于位置服务的轨迹隐私保护方法
CN107707566B (zh) 一种基于缓存和位置预测机制的轨迹隐私保护方法
Wernke et al. PShare: Position sharing for location privacy based on multi-secret sharing
CN108632237A (zh) 一种基于多匿名器匿名的位置服务方法
Li et al. n-CD: A geometric approach to preserving location privacy in location-based services
CN109728904B (zh) 一种保护隐私的空间网络查询方法
CN105933357A (zh) 基于网格单元标识匹配的位置服务方法
Tang et al. Long-term location privacy protection for location-based services in mobile cloud computing
CN115052286A (zh) 基于位置服务的用户隐私保护、目标查询方法及系统
Zhang et al. A trajectory privacy-preserving scheme based on transition matrix and caching for IIoT
Wen et al. P2: A location privacy-preserving auction mechanism for mobile crowd sensing
Dong et al. Privacy protection in participatory sensing applications requiring fine-grained locations
CN111800786A (zh) 一种基于k匿名的轨迹隐私保护方法
KR101760600B1 (ko) 근접 기반 모바일 소셜 네트워크에서 비신뢰 브로커 기반 친구 검색 방법 및 시스템
Albelaihy et al. A survey of the current trends of privacy techniques employed in protecting the Location privacy of users in LBSs
Chen et al. Preserving user location privacy for location-based service

Legal Events

Date Code Title Description
PB01 Publication
PB01 Publication
SE01 Entry into force of request for substantive examination
SE01 Entry into force of request for substantive examination
GR01 Patent grant
GR01 Patent grant