CN108920973A - 在基于位置的服务中查询信息的方法和装置 - Google Patents

Abstract

本发明涉及在基于位置的服务中查询信息的方法和装置。根据本发明的在基于位置的服务中查询信息的方法包括：通过虚假信息服务器DS接收来自于用户的虚假信息请求；通过DS生成虚假信息集合d，其中虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；将虚假信息集合与用户的真实位置混合生成位置集合l，将l包含在查询内容中发送给基于位置的服务器LBS；基于虚假信息验证策略，通过DS计算d和l的交集大小|S_DS|；基于虚假信息验证策略，通过LBS计算d和l的交集大小|S_L|，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则协议中止；基于虚假信息验证策略，通过DS判断用户是否为恶意用户；如果判断不是恶意用户，则用户提供查询结果。

Description

在基于位置的服务中查询信息的方法和装置

技术领域

本发明涉及计算机领域，尤其涉及用于在基于位置的服务中查询信息的方法和装置。

背景技术

基于位置的服务是利用移动用户地理位置数据而开展的服务。由于与用户位置存在很大的关联性，基于位置的服务越来越展现出巨大发展潜力。使用基于位置的服务的用户，需要提供其具体位置和查询内容给基于位置的服务提供商。在数据所带来的巨大经济利益的驱动下，基于位置的服务提供商可能出售用户的位置和查询内容等隐私信息以获得商业利益。因此人们在使用基于位置的服务时候，其生活习惯，社会行为，地理位置以及个人身份可能被盗取，从而导致用户的隐私和安全受到威胁。因此，针对基于位置的服务的隐私保护需要通过合理的技术方案及时解决。

对于基于位置的服务隐私保护的实现，综合权衡多种因素，业界通常采用针对位置隐私保护的方案和和针对查询隐私保护的方案。例如，用户在某医院问诊，但是不愿意泄露自己的实时位置，“医院”位置的泄露可能导致个人健康状况被泄露。因此，针对位置隐私保护方案将用户实际位置信息模糊并发送,以避免发送给基于位置的服务(LBS)准确的用户位置。另外，用户不希望别人知道他们提出了一个敏感的查询。针对查询的隐私保护使LBS不能获得用户的查询内容。

现有技术的方案

1.k-匿名技术。某用户的位置信息与其他(k-1)个其他用户信息混合在一起，即将用户所在的二维空间区域代表用户的位置发送给LBS，该区域中存在至少(k-1)个用户。在k-匿名条件下，攻击者仅知道k个用户处于该区域，但无法将用户与其准确位置联系在一起。

2.使用虚假信息技术。用户发送多个不同的位置信息给服务提供商，这些位置信息中只有一个是该用户的真实位置，其他的都是虚假的位置。通过真实位置与虚假位置进行混淆，攻击者很难确认该用户的准确位置。

3.基于私有信息检索(简称PIR)协议的隐私保护算法。PIR是一个安全多方计算协议。它是指用户向提交数据库查询请求时，在用户的私有信息不被泄露的情况下完成查询。该协议要求用户及LBS相互合作，共同遵守PIR协议，从而实现用户位置及查询隐私保护。

在实现本发明过程中，发明人发现现有技术中至少存在如下问题：

1.k-匿名技术难以解决用户位于人口密度过低或过高的区域时的隐私保护。当用户位于人口密度过低的区域时，提高二维空间区域的面积会直接降低用户的服务质量。而当k个用户处于同一位置时，该用户的位置隐私仍然会被泄露。虽然可以通过提高k值来提高匿名度，却会降低服务质量，用户收到的查询结果准确度大大降低。

2.使用虚假信息技术会降低数据统计的准确性进而影响LBS的利益。LBS在合法情况下，由于业务要求会根据一段时间内收到的用户请求计算相关统计值，如道路密度情况。例如，用户位于市二医院使用基于位置的服务，虚假信息技术会产生大量位于市二医院附近的虚假用户位置(dummy location)，从而使LBS错误地判断市二医院附近道路状况为拥堵，为其他用户提供错误的导航。

3.在实际应用中，LBS只是简单的对用户提出的查询请求进行响应，而不会为了用户的隐私需求遵守相应的协议，因此使用PIR技术实现用户隐私保护计算代价太大，在实际中不太可行。

4.现有技术无法避免恶意用户滥用基于位置的服务的情况。恶意用户在发送LBS请求的时候，除了合理范围的虚假信息，还会私自附带大量位置虚假信息，对LBS的统计能力造成恶意影响。

发明内容

有鉴于此，本发明实施例提供一种用于在基于位置的服务中查询信息的方法及其装置，能够在保障基于位置的服务质量的情况下，检测并限制恶意用户大量使用基于位置的服务，并且能够在保证LBS的统计数据准确度的同时，解决用户的位置隐私保护问题。

为实现上述目的，根据本发明实施例的一个方面，提供了一种用于在基于位置的服务中查询信息的方法。

根据本发明实施例的用于在基于位置的服务中查询信息的方法，其特征在于：

通过虚假信息服务器DS接收来自于用户的虚假信息请求；

通过所述DS生成虚假信息集合d＝{d₁,d₂,...,d_k}，在此k代表所述虚假信息的生成个数，其中所述虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；

将所述DS生成的所述虚假信息集合与所述用户的真实位置混合生成位置集合l＝{l₁,l₂,...,l_m}，在此m为位置集合的大小，并且将所述位置集合l包含在查询内容中；

通过基于位置的服务器LBS接收来自于所述用户的所述查询内容；

基于虚假信息验证策略，通过所述DS计算d和l的交集大小|S_DS|；

基于所述虚假信息验证策略，通过所述LBS计算d和l的交集大小|S_L|，

其中，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则，协议中止；

基于所述虚假信息验证策略，通过所述DS判断所述用户是否为恶意用户，

其中，如果判断所述用户不是恶意用户，则响应于所述查询内容向所述用户提供查询结果。

可选地，通过所述DS判断所述用户是否为恶意用户进一步包括：通过所述DS计算虚假信息数变化changed＝k-|S_DS|，如果所述虚假信息数变化为0，则确定所述用户并非恶意用户，否则，确定所述用户为恶意用户。

可选地，进一步包括通过所述LBS计算位于查询区域的真实用户数＝m-|S_DS|。

可选地，所述虚假信息生成策略进一步包括离线阶段：使用R树对地图进行索引，其中，所述R树的叶子节点索引最小边界矩形MBR，所述MBR覆盖实际位置。

可选地，所述虚假信息生成策略进一步包括离线阶段实时阶段：

所述用户发送虚假信息请求给所述DS，所述虚假信息请求形式为<u_id,Q_box,k,t>元组，在此u_id是用ID，Q_box是根据用户位置产生的虚假位置地理范围，t代表发起查询的时间，

当所述DS收到所述用户的查询后，所述DS从所述R树根节点开始检索，查找覆盖所述Q_box的备选MBRR_can，所述DS在所述R_can的范围内产生所述虚假位置集合，返回给所述用户形式R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集，在此t'为所述DS返回查询结果的时间，d_i∈d为虚假位置，其中所述虚假信息和所述用户的位置都位于所述Q_box的区域中。

可选地，所述虚假信息验证策略包括：

所述DS和所述LBS双方协商，选择哈希函数H；

选择可交换加密函数f_e(x),在此e是可选参数；

通过所述DS生成安全参数a用作所述可选参数e,计算d的加密值的摘要Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，对所述用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),并且发送Enc_DS||sign_DS给所述LBS；

通过所述LBS生成安全参数b用作所述可选参数e,计算l的加密值Enc_L的摘要Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，对所述用户ID和Enc_L签名sign_L＝(u_id||Enc_L),并且发送Enc_L||sign_L给所述DS；

在收到对方放到的消息后，通过所述LBS和所述DS各自验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

通过所述DS根据所述安全参数a和从所述LBS接收的数据计算加密值f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))；

通过所述LBS根据所述安全参数b和从所述DS接收的数据计算加密值f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))；

通过所述DS计算承诺信息在此i₁,i₂,...,i_m是[1,m]之间的随机整数，计算加密值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送Enc_L'||sign_DS给所述LBS；

通过所述LBS计算承诺信息在此j₁,j₂,...,j_k是[1,k]之间的随机整数，计算加密值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给所述DS；

通过所述DS根据从收到的Enc_DS'||sign_L解密签名得到 与f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))一起计算d和l的交集大小

通过所述LBS根据从收到的Enc_L'||sign_DS解密签名得到 与f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))一起计算d和l的交集大小

通过所述DS发送|S_DS|给所述LBS；以及

通过所述LBS发送|S_L|给所述DS。

可选地，所述可交换加密函数f_e(x)是f(x)＝x^emodn，在此n是满足n和(n-1)/2都是质数的安全质数。

为实现上述目的，根据本发明实施例的另一个方面，提供了一种用于在基于位置的服务中查询信息的装置。

根据本发明实施例的用于在基于位置的服务中查询信息的装置，其特征在于包括：

虚假信息服务器DS，所述DS被配置为从用户接收虚假信息请求，并且生成虚假信息集合d＝{d₁,d₂,...,d_k}，在此k代表所述虚假信息的生成个数，其中所述虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；以及

基于位置的服务器LBS，所述LBS被配置为从用户接收查询内容，所述查询内容包括由所述DS生成的所述虚假信息集合与所述用户的真实位置混合生成的位置集合l＝{l₁,l₂,...,l_m}，在此m为位置集合的大小；

所述DS基于虚假信息验证策略计算d和l的交集大小|S_DS|，并且所述LBS基于所述虚假信息验证策略计算d和l的交集大小|S_L|，

其中，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则，协议中止；

所述DS基于所述虚假信息验证策略，判断所述用户是否为恶意用户；

其中，如果判断所述用户不是恶意用户，则所述LBS响应于所述查询内容向所述用户提供查询结果。

可选地，所述DS进一步被配置为：计算虚假信息数变化changed＝k-|S_DS|，如果所述虚假信息数变化为0，则确定所述用户并非恶意用户，否则，确定所述用户为恶意用户。

可选地，所述LBS进一步被配置为：计算m-|S_DS|来提供位于查询区域的真实用户数。

可选地，所述DS进一步被配置为：在所述虚假信息生成策略的离线阶段，所述DS使用R树对地图进行索引，其中，所述R树的叶子节点索引最小边界矩形MBR，所述MBR覆盖实际位置。

可选地，所述DS进一步被配置为：

在所述虚假信息生成策略的实时阶段，从所述用户接收虚假信息请求，其中所述虚假信息请求形式为<u_id,Q_box,k,t>元组，在此u_id是用ID，Q_box是根据用户位置产生的虚假位置地理范围，t代表发起查询的时间，

在收到所述虚假信息请求后，所述DS从所述R树根节点开始检索，查找覆盖所述Q_box的备选MBRR_can，所述DS在所述R_can的范围内产生所述虚假位置集合，返回给所述用户形式R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集，在此t'为所述DS返回查询结果的时间，d_i∈d为虚假位置，其中所述虚假信息和所述用户的位置都位于所述Q_box的区域中。

可选地，所述DS进一步被配置为：

与所述LBS协商确定哈希函数H；

针对可交换加密函数f_e(x)，生成安全参数a用作可选参数e,计算d的加密值的摘要Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，对所述用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),并且发送Enc_DS||sign_DS给所述LBS；

从所述LBS接收Enc_L||sign_L，其中Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，sign_L＝(u_id||Enc_L)，b是通过所述LBS生成安全参数用作所述可选参数e；

验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

根据所述安全参数a和从所述LBS接收的数据计算加密值f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))；

计算承诺信息在此i₁,i₂,...,i_m是[1,m]之间的随机整数，计算加密值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送Enc_L'||sign_DS给所述LBS；

从所述LBS接收Enc_DS'||sign_L，其中sign_L＝(u_id||C_L||Enc_DS′)，在此j₁,j₂,...,j_k是[1,k]之间的随机整数；

根据从收到的Enc_DS'||sign_L解密签名得到与f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))一起计算d和l的交集大小

并且

发送|S_DS|给所述LBS。

可选地，所述LBS进一步被配置为：

与所述LBS协商确定哈希函数H；

针对可交换加密函数f_e(x)，生成安全参数b用作可选参数e，计算l的加密值Enc_L的摘要Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，对所述用户ID和Enc_L签名sign_L＝(u_id||Enc_L),并且发送Enc_L||sign_L给所述DS；

从所述DS接收Enc_DS||sign_DS，其中Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，sign_DS＝(u_id||Enc_DS)；

验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

根据所述安全参数b和从所述DS接收的数据计算加密值f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))；

计算承诺信息在此j₁,j₂,...,j_k是[1,k]之间的随机整数，计算加密值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给所述DS；

从所述DS接收Enc_L'||sign_DS，其中sign_DS＝(u_id||C_DS||Enc_L′)，在此i₁,i₂,...,i_m是[1,m]之间的随机整数；

根据从收到的Enc_L'||sign_DS解密签名得到与f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))一起计算d和l的交集大小

以及

发送|S_L|给所述DS。

可选地，所述可交换加密函数f_e(x)是f(x)＝x^emodn，在此n是满足n和(n-1)/2都是质数的安全质数。

为实现上述目的，根据本发明实施例的再一方面，提供一种用于执行在基于位置的服务中查询信息的方法的电子设备。

根据本发明实施例的电子设备，其特征在于，包括：

一个或多个一个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现根据本发明的实施例的方法。

为实现上述目的，根据本发明实施例的又一方面，提供了一种非暂态计算机可读存储介质。

本发明实施例的一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现本发明实施例的用于在基于位置的服务中查询信息的方法。

上述发明中的一个实施例具有如下优点或有益效果：在保障基于位置的服务质量的情况下，有效地检测并限制恶意用户大量使用基于位置的服务；在保证LBS的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。

上述的非惯用的可选方式所具有的进一步效果将在下文中结合具体实施方式加以说明。

附图说明

附图用于更好地理解本发明，不构成对本发明的不当限定。其中：

图1是根据本发明实施例的用于基于位置的服务中查询信息的示意图；

图2是根据本发明实施例的虚假信息生成策略的离线阶段的示意图；

图3是根据本发明实施例的虚假信息生成策略的实时阶段的示意图；

图4是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

以下结合附图对本发明的示范性实施例做出说明，其中包括本发明实施例的各种细节以助于理解，应当将它们认为仅仅是示范性的。因此，本领域普通技术人员应当认识到，可以对这里描述的实施例做出各种改变和修改，而不会背离本发明的范围和精神。同样，为了清楚和简明，以下的描述中省略了对公知功能和结构的描述。

图1是根据本发明实施例的用于基于位置的服务中查询信息的示意图。

如图1所示，通过在中间服务层加入虚假信息服务器(DS)，并设计一套查询协议能够解决用户位置隐私保护问题，同时保证LBS的统计数据准确度。查询协议由虚假信息生成策略和虚假信息验证策略组成。本文假设DS遵从HBC模型(Honest But Curious model),因此DS严格遵守查询协议，但是可能泄露用户的位置，最后DS不与LBS合谋。

图2是根据本发明实施例的虚假信息生成策略的离线阶段的示意图。图3是根据本发明实施例的虚假信息生成策略的实时阶段的示意图。

虚假信息生成策略由离线阶段和实时阶段组成。参见图2，在离线阶段，DS使用R树对地图进行索引，R树聚合距离相近的节点并在树结构的上一层将其表示为这些节点的边界矩形(bounding rectangle，BR)。R树的叶子节点索引一个最小边界矩形(minimumbounding rectangle，MBR)，MBR覆盖若干地理位置相邻的POI。R树的中间节点索引其孩子节点，因此覆盖更大范围相邻的POI。R树的根节点索引整个地图的位置信息。建立地图R树时候，每个MBR被签名。在地图上建立R树索引，并对R树的最小边界矩形MBR签名。R树的叶子节点索引MBR，MBR覆盖实际位置。

参见图3，在实时阶段，用户发送虚假信息请求给DS，每个虚假信息请求为形式为<u_id,Q_box,k,t>的元组。其中u_id是用户的ID,Q_box是根据用户位置产生的一个虚假位置地理范围，k代表生成虚假信息的个数，t代表发起查询的时间。当DS收到用户的查询后，根据虚假信息请求检索R树并生成虚假位置集合。DS从R树根节点开始检索，查找覆盖了Q_box的MBRR_can。DS在R_can范围内产生虚假位置集合。最后返回给用户形式如R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集。其中t'为DS返回查询结果的时间，d＝{d₁,d₂,...,d_k}代表DS产生的虚假位置集合，d_i∈d为虚假位置，与用户u_id的实际位置一样，d_i＝<x_i,y_i>由x_i经度和y_i纬度组成，为了使虚假位置更大程度上模拟实际位置，d_i是由R_can索引的兴趣点(point ofinterest，POI)。虚假信息和用户的位置都位于区域Q_box中。为了保证R的准确性，DS对返回给用户结果签名sign(u_id||d||k||t')。

将DS生成的虚假信息集合与用户的真实位置混合为一个位置集合l＝{l₁,l₂,...,l_m}，其中m为位置集合的大小。在用户向LBS发送基于位置的查询时候，通过将l代替用户真实位置，用户的位置隐私得到了保护。为了保证基于位置的服务提供商的利益，如基于位置的服务提供商的统计数据准确性和检测并限制用户滥用基于位置的服务，LBS和DS均执行虚假信息验证策略。

虚假信息验证策略：通过计算d和l交集的大小，保证基于位置的服务提供商获得真实用户数量并检测出滥用基于位置的服务的用户。为了保护用户的位置隐私，计算d和l交集大小的过程中，LBS不应该获得集合d，DS不应该获得集合l。首先，DS和LBS双方协商，选择一个哈希函数H。然后，本发明的实施例采用可交换加密函数f_e(x),其中e是可选的参数。下文中以指数函数f(x)＝x^emodn为例，其中n是安全质数，即n和(n-1)/2都是质数(为了简便起见，以下描述使用x^e代替x^emodn)。接下来，(1)DS生成一个安全参数a,并计算d的指数值的摘要，Enc_DS＝H((d₁)^a||(d₂)^a||...||(d_k)^a)；并对用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),最后发送Enc_DS||sign_DS给LBS。(2)类似地，LBS生成一个安全参数b,并计算l的指数值Enc_L的摘要，Enc_L＝H((l₁)^b||(l₂)^b||...||(l_m)^b)，并对用户ID和Enc_L签名sign_L＝(u_id||Enc_L),最后发送Enc_L||sign_L给DS。(3)在收到对方放到的消息后，LBS和DS各自验证收到的签名的正确性，签名若不正确则终止验证，否则继续进行验证。(4)DS根据己方的安全参数和收到LBS的数据计算指数值，(l₁ ^b)^a||(l₂ ^b)^a||...||(l_m ^b)^a；类似地LBS计算(d₁ ^a)^b||(d₂ ^a)^b||...||(d_k ^a)^b。(5)DS计算承诺信息其中i₁,i₂,...,i_m是[1,m]之间的随机整数。DS接着计算指数值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送Enc_L'||sign_DS给LBS；(6)类似地，LBS计算承诺信息其中j₁,j₂,...,j_k是[1,k]之间的随机整数。LBS接着计算指数值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给DS。(7)DS根据收到的Enc_DS'解密签名得到与计算d和l的交集大小类似地，LBS根据收到的和(d₁ ^a)^b||(d₂ ^a)^b||...||(d_k ^a)^b计算d和l的交集大小由于(d_j ^a)^b和(l_i ^b)^a以随机的顺序排列，因此DS和LBS只能检测出交集个数大小，而无法获得集合内元素具体信息。(8)DS发送|S_DS|给LBS，LBS发送|S_L|给DS。如果|S_L|＝|S_DS|,双方认为虚假信息验证协议过程执行正确；否则，LBS和DS的协议中止。至此，本方案在保证LBS的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。(9)LBS计算rl＝m-|S_DS|,DS计算changed＝k-|S_DS|。若changed＝0，则DS可以确定用户并非恶意攻击者，没有滥用基于位置的服务。否则，可以检测出用户为恶意用户，除了合理范围的虚假信息，还私自附带位置虚假信息。根据rl，基于位置的服务提供商可以确定位于查询区域的真实用户个数。

根据本发明的实施例的用于在基于位置的服务中查询信息的方法，在保障基于位置的服务的质量的情况下，能够有效地检测并限制恶意用户大量使用基于位置的服务，并且在保证LBS的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。

根据本发明的另一实施例，提供一种用于在基于位置的服务中查询信息的装置。下面将继续参考图1描述该装置。

如图1所示，根据本发明的实施例的用于在基于位置的服务中查询信息的装置包括LBS(11)和DS(12)。

如图2所示，在离线阶段，DS(12)使用R树对地图进行索引，R树聚合距离相近的节点并在树结构的上一层将其表示为这些节点的边界矩形(BR)。R树的叶子节点索引一个最小边界矩形(MBR)，MBR覆盖若干地理位置相邻的POI。R树的中间节点索引其孩子节点，因此覆盖更大范围相邻的POI。R树的根节点索引整个地图的位置信息。建立地图R树时候，每个MBR被签名。在地图上建立R树索引，并对R树的最小边界矩形MBR签名。R树的叶子节点索引MBR，MBR覆盖实际位置。

参见图3，在实时阶段，用户发送虚假信息请求给DS(12)，每个虚假信息请求为形式为<u_id,Q_box,k,t>的元组。其中u_id是用户的ID,Q_box是根据用户位置产生的一个虚假位置地理范围，k代表生成虚假信息的个数，t代表发起查询的时间。当DS(12)收到用户的查询后，根据虚假信息请求检索R树并生成虚假位置集合。DS(12)从R树根节点开始检索，查找覆盖了Q_box的MBRR_can。DS(12)在R_can范围内产生虚假位置集合。最后返回给用户形式如R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集。其中t'为DS(12)返回查询结果的时间,d＝{d₁,d₂,...,d_k}代表DS(12)产生的虚假位置集合，d_i∈d为虚假位置，与用户u_id的实际位置一样，d_i＝<x_i,y_i>由x_i经度和y_i纬度组成，为了使虚假位置更大程度上模拟实际位置，d_i是由R_can索引的兴趣点(POI)。虚假信息和用户的位置都位于区域Q_box中。为了保证R的准确性，DS(12)对返回给用户结果签名sign(u_id||d||k||t')。

将DS(12)生成的虚假信息集合与用户的真实位置混合为一个位置集合l＝{l₁,l₂,...,l_m}，其中m为位置集合的大小。在用户向LBS(11)发送基于位置的查询时候，通过将l代替用户真实位置，用户的位置隐私得到了保护。为了保证基于位置的服务提供商的利益，如基于位置的服务提供商的统计数据准确性和检测并限制用户滥用基于位置的服务，LBS(11)和DS(12)均执行虚假信息验证策略。

虚假信息验证策略：通过计算d和l交集的大小，保证基于位置的服务提供商获得真实用户数量并检测出滥用基于位置的服务的用户。为了保护用户的位置隐私，计算d和l交集大小的过程中，LBS(11)不应该获得集合d，DS(12)不应该获得集合l。首先，DS(12)和LBS(11)双方协商，选择一个哈希函数H。然后，本发明的实施例采用可交换加密函数f_e(x),其中e是可选的参数。下文中以指数函数f(x)＝x^emodn为例，其中n是安全质数，即n和(n-1)/2都是质数(为了简便起见，以下描述使用x^e代替x^emodn)。接下来，(1)DS(12)生成一个安全参数a,并计算d的指数值的摘要，Enc_DS＝H((d₁)^a||(d₂)^a||...||(d_k)^a)；并对用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),最后发送Enc_DS||sign_DS给LBS(11)。(2)类似地，LBS(11)生成一个安全参数b,并计算l的指数值Enc_L的摘要，Enc_L＝H((l₁)^b||(l₂)^b||...||(l_m)^b)，并对用户ID和Enc_L签名sign_L＝(u_id||Enc_L),最后发送Enc_L||sign_L给DS(12)。(3)在收到对方放到的消息后，LBS(11)和DS(12)各自验证收到的签名的正确性，签名若不正确则终止验证，否则继续进行验证。(4)DS(12)根据己方的安全参数和收到LBS(11)的数据计算指数值，(l₁ ^b)^a||(l₂ ^b)^a||...||(l_m ^b)^a；类似地LBS(11)计算(d₁ ^a)^b||(d₂ ^a)^b||...||(d_k ^a)^b。(5)DS(12)计算承诺信息其中i₁,i₂,...,i_m是[1,m]之间的随机整数。DS(12)接着计算指数值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送Enc_L'||sign_DS给LBS(11)；(6)类似地，LBS(11)计算承诺信息其中j₁,j₂,...,j_k是[1,k]之间的随机整数。LBS(11)接着计算指数值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给DS(12)。(7)DS(12)根据收到的Enc_DS'解密签名得到与(l₁ ^b)^a||(l₂ ^b)^a||...||(l_m ^b)^a计算d和l的交集大小类似地，LBS(11)根据收到的和(d₁ ^a)^b||(d₂ ^a)^b||...||(d_k ^a)^b计算d和l的交集大小由于(d_j ^a)^b和(l_i ^b)^a以随机的顺序排列，因此DS(12)和LBS(11)只能检测出交集个数大小，而无法获得集合内元素具体信息。(8)DS(12)发送|S_DS|给LBS(11)，LBS(11)发送|S_L|给DS(12)。如果|S_L|＝|S_DS|,双方认为虚假信息验证协议过程执行正确；否则，LBS(11)和DS(12)的协议中止。至此，本方案在保证LBS(11)的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。(9)LBS(11)计算rl＝m-|S_DS|,DS(12)计算changed＝k-|S_DS|。若changed＝0，则DS(12)可以确定用户并非恶意攻击者，没有滥用基于位置的服务。否则，可以检测出用户为恶意用户，除了合理范围的虚假信息，还私自附带位置虚假信息。根据rl，基于位置的服务提供商可以确定位于查询区域的真实用户个数。

根据本发明的实施例的用于在基于位置的服务中查询信息的装置，在保障基于位置的服务的质量的情况下，能够有效地检测并限制恶意用户大量使用基于位置的服务，并且在保证LBS的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。

图4是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。

下面参考图4，其示出了适于用来实现本申请实施例的终端设备的计算机系统400的结构示意图。图4示出的终端设备仅仅是一个示例，不应对本申请实施例的功能和使用范围带来任何限制。

如图4所示，计算机系统400包括中央处理单元(CPU)401，其可以根据存储在只读存储器(ROM)402中的程序或者从存储部分408加载到随机访问存储器(RAM)403中的程序而执行各种适当的动作和处理。在RAM 403中，还存储有系统400操作所需的各种程序和数据。CPU 401、ROM 402以及RAM 403通过总线404彼此相连。输入/输出(I/O)接口405也连接至总线404。

以下部件连接至I/O接口405：包括键盘、鼠标等的输入部分406；包括诸如阴极射线管(CRT)、液晶显示器(LCD)等以及扬声器等的输出部分407；包括硬盘等的存储部分408；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分409。通信部分409经由诸如因特网的网络执行通信处理。驱动器410也根据需要连接至I/O接口405。可拆卸介质411，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器410上，以便于从其上读出的计算机程序根据需要被安装入存储部分408。

特别地，根据本公开的实施例，上文参考结构图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括承载在计算机可读介质上的计算机程序，该计算机程序包含用于执行结构图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分409从网络上被下载和安装，和/或从可拆卸介质411被安装。在该计算机程序被中央处理单元(CPU)401执行时，执行本申请的系统中限定的上述功能。

需要说明的是，本申请所示的计算机可读介质可以是计算机可读信号介质或者计算机可读存储介质或者是上述两者的任意组合。计算机可读存储介质例如可以是——但不限于——电、磁、光、电磁、红外线、或半导体的系统、装置或器件，或者任意以上的组合。计算机可读存储介质的更具体的例子可以包括但不限于：具有一个或多个导线的电连接、便携式计算机磁盘、硬盘、随机访问存储器(RAM)、只读存储器(ROM)、可擦式可编程只读存储器(EPROM或闪存)、光纤、便携式紧凑磁盘只读存储器(CD-ROM)、光存储器件、磁存储器件、或者上述的任意合适的组合。在本申请中，计算机可读存储介质可以是任何包含或存储程序的有形介质，该程序可以被指令执行系统、装置或者器件使用或者与其结合使用。而在本申请中，计算机可读的信号介质可以包括在基带中或者作为载波一部分传播的数据信号，其中承载了计算机可读的程序代码。这种传播的数据信号可以采用多种形式，包括但不限于电磁信号、光信号或上述的任意合适的组合。计算机可读的信号介质还可以是计算机可读存储介质以外的任何计算机可读介质，该计算机可读介质可以发送、传播或者传输用于由指令执行系统、装置或者器件使用或者与其结合使用的程序。计算机可读介质上包含的程序代码可以用任何适当的介质传输，包括但不限于：无线、电线、光缆、RF等等，或者上述的任意合适的组合。

附图中的框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，上述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图或流程图中的每个方框、以及框图或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的模块可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的模块也可以设置在处理器中，例如，可以描述为：一种处理器包括DS模块、LBS模块。其中，这些模块的名称在某种情况下并不构成对该模块本身的限定，例如，DS模块还可以被描述为“虚假信息生成模块”。

作为另一方面，本申请还提供了一种计算机可读介质，该计算机可读介质可以是上述实施例中描述的设备中所包含的；也可以是单独存在，而未装配入该设备中。上述计算机可读介质承载有一个或者多个程序，当上述一个或者多个程序被一个该设备执行时，使得该设备：过虚假信息服务器DS接收来自于用户的虚假信息请求；通过所述DS生成虚假信息集合d＝{d₁,d₂,...,d_k}，在此k代表所述虚假信息的生成个数，其中所述虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；将所述DS生成的所述虚假信息集合与所述用户的真实位置混合生成位置集合l＝{l₁,l₂,...,l_m}，在此m为位置集合的大小，并且将所述位置集合l包含在查询内容中；通过基于位置的服务器LBS接收来自于所述用户的所述查询内容；基于虚假信息验证策略，通过所述DS计算d和l的交集大小|S_DS|；基于所述虚假信息验证策略，通过所述LBS计算d和l的交集大小|S_L|，其中，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则，协议中止；基于所述虚假信息验证策略，通过所述DS判断所述用户是否为恶意用户，其中，如果判断所述用户不是恶意用户，则响应于所述查询内容向所述用户提供查询结果。

上述产品可执行本发明实施例所提供的方法，具备执行方法相应的功能模块和有益效果。未在本实施例中详尽描述的技术细节，可参见本发明实施例所提供的方法。

根据本发明实施例的技术方案，在保障基于位置的服务的质量的情况下，能够有效地检测并限制恶意用户大量使用基于位置的服务，并且在保证LBS的统计数据准确度的同时，有效地解决用户的位置隐私保护问题。

上述具体实施方式，并不构成对本发明保护范围的限制。本领域技术人员应该明白的是，取决于设计要求和其他因素，可以发生各种各样的修改、组合、子组合和替代。任何在本发明的精神和原则之内所作的修改、等同替换和改进等，均应包含在本发明保护范围之内。

Claims (17)

1.一种用于在基于位置的服务中查询信息的方法，其特征在于：

通过虚假信息服务器DS接收来自于用户的虚假信息请求；

通过所述DS生成虚假信息集合d＝{d₁,d₂,...,d_k}，在此k代表所述虚假信息的生成个数，其中所述虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；

将所述DS生成的所述虚假信息集合与所述用户的真实位置混合生成位置集合l＝{l₁,l₂,...,l_m}，在此m为位置集合的大小，并且将所述位置集合l包含在查询内容中；

通过基于位置的服务器LBS接收来自于所述用户的所述查询内容；

基于虚假信息验证策略，通过所述DS计算d和l的交集大小|S_DS|；

基于所述虚假信息验证策略，通过所述LBS计算d和l的交集大小|S_L|，

其中，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则，协议中止；

基于所述虚假信息验证策略，通过所述DS判断所述用户是否为恶意用户，

其中，如果判断所述用户不是恶意用户，则响应于所述查询内容向所述用户提供查询结果。

2.根据权利要求1所述的用于在基于位置的服务中查询信息的方法，其中，通过所述DS判断所述用户是否为恶意用户进一步包括：

通过所述DS计算虚假信息数变化changed＝k-|S_DS|，如果所述虚假信息数变化为0，则确定所述用户并非恶意用户，否则，确定所述用户为恶意用户。

3.根据权利要求1所述的用于在基于位置的服务中查询信息的方法，进一步包括通过所述LBS计算位于查询区域的真实用户数＝m-|S_DS|。

4.根据权利要求1所述的用于在基于位置的服务中查询信息的方法，其中，所述虚假信息生成策略进一步包括离线阶段：

使用R树对地图进行索引，其中，所述R树的叶子节点索引最小边界矩形MBR，所述MBR覆盖实际位置。

5.根据权利要求4所述的用于在基于位置的服务中查询信息的方法，其中，所述虚假信息生成策略进一步包括离线阶段实时阶段：

所述用户发送虚假信息请求给所述DS，所述虚假信息请求形式为<u_id,Q_box,k,t>元组，在此u_id是用ID，Q_box是根据用户位置产生的虚假位置地理范围，t代表发起查询的时间，

当所述DS收到所述用户的查询后，所述DS从所述R树根节点开始检索，查找覆盖所述Q_box的备选MBRR_can，所述DS在所述R_can的范围内产生所述虚假位置集合，返回给所述用户形式R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集，在此t'为所述DS返回查询结果的时间，d_i∈d为虚假位置，其中所述虚假信息和所述用户的位置都位于所述Q_box的区域中。

6.根据权利要求5所述的用于在基于位置的服务中查询信息的方法，其中，所述虚假信息验证策略包括：

所述DS和所述LBS双方协商，选择哈希函数H；

选择可交换加密函数f_e(x),在此e是可选参数；

通过所述DS生成安全参数a用作所述可选参数e,计算d的加密值的摘要Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，对所述用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),并且发送Enc_DS||sign_DS给所述LBS；

通过所述LBS生成安全参数b用作所述可选参数e,计算l的加密值Enc_L的摘要Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，对所述用户ID和Enc_L签名sign_L＝(u_id||Enc_L),并且发送Enc_L||sign_L给所述DS；

在收到对方放到的消息后，通过所述LBS和所述DS各自验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

通过所述DS根据所述安全参数a和从所述LBS接收的数据计算加密值f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))；

通过所述LBS根据所述安全参数b和从所述DS接收的数据计算加密值f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))；

通过所述DS计算承诺信息在此i₁,i₂,...,i_m是[1,m]之间的随机整数，计算加密值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送Enc_L'||sign_DS给所述LBS；

通过所述LBS计算承诺信息在此j₁,j₂,...,j_k是[1,k]之间的随机整数，计算加密值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给所述DS；

通过所述DS根据从收到的Enc_DS'||sign_L解密签名得到与f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))一起计算d和l的交集大小

通过所述LBS根据从收到的Enc_L'||sign_DS解密签名得到与f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))一起计算d和l的交集大小

通过所述DS发送|S_DS|给所述LBS；以及

通过所述LBS发送|S_L|给所述DS。

7.根据权利要求6所述的用于在基于位置的服务中查询信息的方法，其中，所述可交换加密函数f_e(x)是f(x)＝x^e mod n，在此n是满足n和(n-1)/2都是质数的安全质数。

8.一种用于在基于位置的服务中查询信息的装置，其特征在于包括：

虚假信息服务器DS，所述DS被配置为从用户接收虚假信息请求，并且生成虚假信息集合d＝{d₁,d₂,...,d_k}，在此k代表所述虚假信息的生成个数，其中所述虚假信息集合是利用基于R树方式的虚假信息生成策略针对用户位置动态生成的；以及

基于位置的服务器LBS，所述LBS被配置为从用户接收查询内容，所述查询内容包括由所述DS生成的所述虚假信息集合与所述用户的真实位置混合生成的位置集合l＝{l₁,l₂,...,l_m}，在此m为位置集合的大小；

所述DS基于虚假信息验证策略计算d和l的交集大小|S_DS|，并且所述LBS基于所述虚假信息验证策略计算d和l的交集大小|S_L|，

其中，如果|S_L|＝|S_DS|，则认为虚假信息验证协议过程执行正确，否则，协议中止；

所述DS基于所述虚假信息验证策略，判断所述用户是否为恶意用户；

其中，如果判断所述用户不是恶意用户，则所述LBS响应于所述查询内容向所述用户提供查询结果。

9.根据权利要求8所述的用于在基于位置的服务中查询信息的装置，其中，所述DS进一步被配置为：

计算虚假信息数变化changed＝k-|S_DS|，如果所述虚假信息数变化为0，则确定所述用户并非恶意用户，否则，确定所述用户为恶意用户。

10.根据权利要求8所述的用于在基于位置的服务中查询信息的装置，其中，所述LBS进一步被配置为：

计算m-|S_DS|来提供位于查询区域的真实用户数。

11.根据权利要求8所述的用于在基于位置的服务中查询信息的装置，其中，所述DS进一步被配置为：

在所述虚假信息生成策略的离线阶段，所述DS使用R树对地图进行索引，其中，所述R树的叶子节点索引最小边界矩形MBR，所述MBR覆盖实际位置。

12.根据权利要求11所述的用于在基于位置的服务中查询信息的装置，其中，所述DS进一步被配置为：

在所述虚假信息生成策略的实时阶段，从所述用户接收虚假信息请求，其中所述虚假信息请求形式为<u_id,Q_box,k,t>元组，在此u_id是用ID，Q_box是根据用户位置产生的虚假位置地理范围，t代表发起查询的时间，

在收到所述虚假信息请求后，所述DS从所述R树根节点开始检索，查找覆盖所述Q_box的备选MBRR_can，所述DS在所述R_can的范围内产生所述虚假位置集合，返回给所述用户形式R＝<u_id,d,k,t',sign(u_id||d||k||t')>的结果集，在此t'为所述DS返回查询结果的时间，d_i∈d为虚假位置，其中所述虚假信息和所述用户的位置都位于所述Q_box的区域中。

13.根据权利要求12所述的用于在基于位置的服务中查询信息的装置，其中，所述DS进一步被配置为：

与所述LBS协商确定哈希函数H；

针对可交换加密函数f_e(x)，生成安全参数a用作可选参数e,计算d的加密值的摘要Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，对所述用户ID和Enc_DS签名sign_DS＝(u_id||Enc_DS),并且发送Enc_DS||sign_DS给所述LBS；

从所述LBS接收Enc_L||sign_L，其中Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，sign_L＝(u_id||Enc_L)，b是通过所述LBS生成安全参数用作所述可选参数e；

验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

根据所述安全参数a和从所述LBS接收的数据计算加密值f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))；

计算承诺信息在此i₁,i₂,...,i_m是[1,m]之间的随机整数，计算加密值计算签名sign_DS＝(u_id||C_DS||Enc_L′)，并发送EncL'||signDS给所述LBS；

从所述LBS接收Enc_DS'||sign_L，其中sign_L＝(u_id||C_L||Enc_DS′)，在此j₁,j₂,...,j_k是[1,k]之间的随机整数；

根据从收到的Enc_DS'||sign_L解密签名得到与f_a(f_b(l₁))||f_a(f_b(l₂))||...||f_a(f_b(l_m))一起计算d和l的交集大小并且

发送|S_DS|给所述LBS。

14.根据权利要求12所述的用于在基于位置的服务中查询信息的装置，其中，所述LBS进一步被配置为：

与所述LBS协商确定哈希函数H；

针对可交换加密函数f_e(x)，生成安全参数b用作可选参数e，计算l的加密值Enc_L的摘要Enc_L＝H(f_b(l₁)||f_b(l₂)||...||f_b(l_m))，对所述用户ID和Enc_L签名sign_L＝(u_id||Enc_L),并且发送Enc_L||sign_L给所述DS；

从所述DS接收Enc_DS||sign_DS，其中Enc_DS＝H(f_a(d₁)||f_a(d₂)||...||f_a(d_k))，sign_DS＝(u_id||Enc_DS)；

验证收到的签名的正确性，如果签名不正确则终止验证，否则继续进行验证；

根据所述安全参数b和从所述DS接收的数据计算加密值f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))；

计算承诺信息在此j₁,j₂,...,j_k是[1,k]之间的随机整数，计算加密值计算签名sign_L＝(u_id||C_L||Enc_DS′)，并发送Enc_DS'||sign_L给所述DS；

从所述DS接收Enc_L'||sign_DS，其中sign_DS＝(u_id||C_DS||Enc_L′)，在此i₁,i₂,...,i_m是[1,m]之间的随机整数；

根据从收到的Enc_L'||sign_DS解密签名得到与f_b(f_a(d₁))||f_b(f_a(d₂))||...||f_b(f_a(d_k))一起计算d和l的交集大小以及

发送|S_L|给所述DS。

15.根据权利要求13或14所述的用于在基于位置的服务中查询信息的装置，其中，所述可交换加密函数f_e(x)是f(x)＝x^e mod n，在此n是满足n和(n-1)/2都是质数的安全质数。

16.一种电子设备，其特征在于，包括：

一个或多个一个处理器；

存储装置，用于存储一个或多个程序，

当所述一个或多个程序被所述一个或多个处理器执行，使得所述一个或多个处理器实现如权利要求1-7中任一项所述的方法。

17.一种计算机可读介质，其上存储有计算机程序，其特征在于，所述程序被处理器执行时实现如权利要求1-7中任一项所述的方法。