CN111083631A

CN111083631A - 一种保护位置隐私和查询隐私的高效查询处理方法

Info

Publication number: CN111083631A
Application number: CN201911213766.7A
Authority: CN
Inventors: 张学军; 李桢; 杨昊英; 何福存
Original assignee: Lanzhou Jiaotong University
Current assignee: Lanzhou Jiaotong University
Priority date: 2019-12-02
Filing date: 2019-12-02
Publication date: 2020-04-28
Anticipated expiration: 2039-12-02
Also published as: CN111083631B

Abstract

一种保护位置隐私和查询隐私的高效查询处理方法，具体包括以下步骤：（1）用户在客户端利用移动设备，通过缓存的服务相似地图和服务相似度表选取假位置；通过用户所要查询的兴趣点类型以及兴趣点类型的总数生成加密数据，由假位置和加密数据构成查询请求发送到LBS（Location based Service）服务器（2）服务器根据接收到的查询请求，利用保存的数据库，生成响应，将其返回到客户端；（3）客户端对服务器返回的响应中的数据进行解密，得到用户所需的数据。本发明利用已有的服务相似性选取假位置，在保护位置隐私的同时确保一定的服务质量；利用同态加密对用户查询的类型做加密，在不暴露用户查询类型的情况下，使得服务器可以返回用户所需的数据。

Description

一种保护位置隐私和查询隐私的高效查询处理方法

技术领域

本发明涉及基于位置的技术领域，涉及到在利用位置获取服务时，保护用户的位置隐私和查询隐私。

背景技术

随着无线通信技术和移动定位技术的发展，越来越多的移动设备具有精确定位功能，基于位置的服务(Location Based Services，LBS)随之兴起，典型的 LBS应用包括地图导航、兴趣点查询、地点分享等。LBS系统在发明初期，主要应用与军事和国家重要领域，随着其不断发展，目前已被广泛应用于军事、商业、民生、紧急救援等多领域，为人们的生活提供了极大的便利。

然而，LBS在给人们带来便利的同时，也引发了严重的隐私问题，因为用户在获取LBS时需要向不可信的LBS服务器发送服务请求，LBS服务器随之获得了用户相关信息，通过提取分析用户发送的服务请求中的敏感信息，可以推断出更多的用户隐私信息，如利用用户一段时间内的查询点，通过分析用户的运动轨迹，推断出用户家庭住址和工作单位；利用用户查询兴趣点类型，推测出用户更多的背景信息，如用户查询了医院或者教堂，可以以此推断用户的健康状况或者宗教信仰等。综上，在用户使用LBS时，保护用户的位置信息和查询信息是很有必要的。

当前有很多技术可以提供一定程度的隐私保护，主要包括信息访问控制、混合区域、k-匿名、私有信息访问(Private Information Retrieval)等。基于访问控制、混合区域和k-匿名的LBS查询需要服务提供者或包含有所有用户位置信息的中间件。这些方法容易受到第三方的影响。当服务提供者或中间件处于不可信的情况下，它们提供的保护很少。K-匿名最初用于身份隐私保护。它一般不足以保护位置隐私，因为地点之间的距离概念很重要。基于k-匿名的LBS查询的效果在很大程度上取决于移动用户的分布和密度，而这种分布和密度超出了位置隐私技术的控制范围。基于PIR的LBS查询提供强大的密码保护，但需要较大的计算开销和通信开销。为了提高效率，加入可信任的硬件用于执行基于PIR 技术的LBS查询，这在硬件辅助的基础上建立了PIR技术，可信第三方(TTP)初始化系统密钥和完成数据库的置换。但如同访问控制、混合区和k-匿名三种技术，这种基于TTP的PIR技术也容易受到第三方不当行为的影响。Xun等人提出了一种改进的PIR方法，利用Paillier密码体制，在PIR的基础上构造了能保护位置隐私的KNN(K Nearest Neighbor)查询的方案。一般基于PIR的LBS查询通常需要两个阶段，在第一阶段，移动用户从LBS提供商检索其位置的索引；在第二阶段，移动用户根据LBS提供者的索引检索兴趣点。Xun等人的方案简化了查询过程，移动用户将他的位置加密后发送给LBS服务器，并从LBS服务器接收k个最近的兴趣点的密文信息。其次，当前基于PIR技术的查询只能找到k 个最近的兴趣点，而无法针对确定的兴趣点类型进行查找，改进的PIR方案可以让移动用户在不向LBS服务器透露兴趣点类型的情况下，找到k个最接近的相同类型的兴趣点。但是在查询过程中，包含了大量的加密、解密过程，导致在较高的时间复杂度下，需要较大的计算资源开销。

发明内容

本发明提出一种保护位置隐私和查询隐私的高效查询处理方法，通过引入服务相似性选取假位置，通过Paillier加密系统对用户所要查询的兴趣点类型进行加密，形成查询请求Query从服务器获取查询数据。

本发明所采用的技术方案为：

一种保护位置隐私和查询隐私的高效查询处理方法，假设服务器所能查询到的兴趣点类型的总数为m；服务器需要对地图栅格化，得到栅格化后的地图 M＝{Cell_x,y|x,y∈(1,n)}，n为栅格化地图的划分数；然后对每种兴趣点进行K 近邻查询，得到K近邻查询数据库组{KD_i|i∈(1,m)}，KD_i＝{Set_x,y|x,y∈(1,n)}， Set_x,y为单元格Cell_x,y中心点K近邻查询得到的结果集合；根据K近邻查询数据库组生成相似地图集合和查询结果数据库组，生成的相似地图集为{SM_i|i∈ (1,m)}，每个相似地图包含服务相似区{SA_j|j∈(1,num_i),i∈(1,m)}，其中num_i为对应相似地图包含的相似区域数量，各服务相似区做对比得到相似度表，相似度表集为{ST_i|i∈(1,m)},

s_user,z表示用户所在相似区SA_user与SA_z区域对比得到的相似度值，0≤s_user,z≤1；由K近邻查询结果构成的查询结果数据库组表示为{QD_i|i∈(1,m)},QD_i中包含的数据表示为 QD_i＝{d_i,x,y|x,y∈(1,n),i∈(1,m)}。

具体步骤为：

步骤A：查询请求的生成：用户在客户端利用移动设备生成查询请求Query， Query包括假位置L和加密数据C，其中L＝(x,y)，(x,y)为单元格的坐标，假位置的生成是通过利用对应的服务相似地图SM_t和服务相似度表ST_t，其中t为用户所要查询的兴趣点类型；用户先输入服务参数θ，通过判断服务参数合并形成假位置候选区CR，从CR中选取某单元格中心点作为假位置L；加密数据 C＝(c₁,c₂…c_t…c_m)，L和C构成查询请求Query发送到LBS服务器；

步骤B：响应的生成：LBS服务器解析查询请求Query中的位置数据L，得到位置坐标x、y，根据得到的坐标，从每个数据库QD_i中提取对应的数据d_i,x,y，将通过运算得到响应R，如公式(1)：

步骤C：客户端对数据R解密。服务器将响应R返回到客户端，客户端对其解密,如公式(2)：

data_user＝D(R) (2)

其中，data_user为用户解密后的数据，D(·)为解密函数。

所述步骤A进一步包括：

A1、客户端系统利用用户设备定位用户所在的单元格Cell_user，用(x,y)表示，根据单元格Cell_user判断用户所处的服务相似区SA_user，初始化假位置候选区 CR＝SA_user；

A2、根据相似度值表，按照服务相似度从高到低将除SA_user以外的其它服务相似区排成一个列表List，即比较ST_i中s_user,z的值。用户输入服务参数θ，若θ为用户要求的匿名区单元格数量，则从列表List中按序提取服务相似区域，将其合并到候选区CR中，直到CR中的单元格数大于等于用户要求的数量；若θ为用户要求的服务质量，则按序从列表List中将服务相似度大于等于θ的服务相似区域合并到候选区CR中，直到生成满足要求的CR；

A3、从CR中随机选取一个服务相似区SA_i，然后从SA_i中随机选取单元格 Cell_x,y，假位置L的坐标即为Cell_x,y的坐标x,y；

A4、对用户所要查询的兴趣点类型t进行加密，生成加密数据c_t＝ g¹r^NmodN²；对其它的兴趣点类型加密，可得到其加密数据为 {c_i＝g⁰r^NmodN²|i≠t,1≤i≤m}，由此得到C＝(c₁,c₂…c_t…c_m)；

A5、由假位置L和加密数据C组成查询请求Query，并将其发送到LBS服务器。

本发明主要解决了以下四个问题：1、不需要中心匿名服务器，使得该方法能适用于现有的查询框架；2、在使用LBS服务时能够保护用户的位置隐私和查询隐私；3、能够保护LBS服务器的数据隐私；4、具有较低的时间复杂度，计算开销较低。具体如下：本发明在LBS服务中为用户提供了位置隐私和查询隐私，同时保护了服务器的数据隐私。本发明在保护用户位置隐私时使用了假位置代替用户真实查询位置的方法，通过合并服务相似区，在用户可接受范围内扩大假位置候选区，更好的保证用户的位置隐私。在查询隐私方面，本发明引入了同态加密算法，对于用户的查询类型在做了保护，该算法有概率特性，对于相同的明文，可以通过不同的加密过程得到不同的密文，从而保证了密文的语义安全。同态加密算法在保护查询隐私的同时，也在一定程度上保护了用户的位置隐私，因为攻击者需要先推测用户查询的是哪种类型的兴趣点，然后才能根据对应的服务相似地图推测用户的真实位置，攻击者得到用户信息的概率为

其中m为LBS服务器查询兴趣点类型的总数，n为假位置候选区中单元格的数量。另一方面，大部分保护方法，虽然在一定程度上提供了保护，但LBS根据用户发送的请求，可以从中提取一定的背景信息，比如某种兴趣点的查询概率，或者利用某个位置坐标进行查询的次数，因此攻击者可以利用这些背景信息推理用户的真实信息,本发明引入了加密的方法，一定程度上消除了LBS服务器可以获取的背景信息，提供了更高的隐私保护度。

本发明在保护用户个人隐私的同时，也防止了用户从LBS服务器得到过多的查询信息，在生成响应R时，如步骤B推导，利用了Paillier加密算法的性质，只返回用户所需的数据，保护了服务器的数据隐私。

附图说明

图1为本发明的方框图；

图1详细说明了本发明的具体实施过程。首先，用户在客户端根据定位结果，利用缓存的服务相似地图和服务相似度表，生成假位置候选区，从中选取假位置；其次通过判断用户查询类型生成加密数据，由加密数据和假位置构成查询请求，发送到LBS服务器。LBS接收到查询请求，利用自身查询数据库组，进行一定运算得到响应，将其返回到客户端；客户端对响应解密即可得到用户所需数据；

图2为本发明的流程图；

图2说明了本发明的整体思路；首先是在客户端选取假位置、生成加密数据，以此生成查询请求，并将其发送到服务器。服务器接收到查询请求，生成响应，将结果返回到客户端；客户端接收到响应，对其解密得到用户所需的数据；

图3本发明的查询请求生成流程图；

图3说明了查询请求生成的步骤；首先是根据服务相似性合并形成假位置候选区，从中随机选取单元格的坐标作为假位置；然后根据用户所要查询的兴趣点类型生成加密数据。由假位置和加密数据构成查询请求，并将其发送到服务器。

具体实施方式

下面结合附图对本发明及其效果进一步详细说明。

参照图1、2、3，一种保护位置隐私和查询隐私的高效查询处理方法，假设服务器所能查询到的兴趣点类型的总数为m；服务器需要对地图栅格化，得到栅格化后的地图M＝{Cell_x,y|x,y∈(1,n)}，n为栅格化地图的划分数；然后对每种兴趣点进行K近邻查询，得到K近邻查询数据库组{KD_i|i∈(1,m)}，KD_i＝ {Set_x,y|x,y∈(1,n)}，Set_x,y为单元格Cell_x,y中心点K近邻查询得到的结果集合；根据K近邻查询数据库组生成相似地图集合和查询结果数据库组，生成的相似地图集为{SM_i|i∈(1,m)}，每个相似地图包含服务相似区{SA_j|j∈(1,num_i),i∈ (1,m)}，其中num_i为对应相似地图包含的相似区域数量，各服务相似区做对比得到相似度表，相似度表集为{ST_i|i∈(1,m)},

s_user,z表示用户所在相似区SA_user与SA_z区域对比得到的相似度值，0≤s_user,z≤1；由 K近邻查询结果构成的查询结果数据库组表示为{QD_i|i∈(1,m)},QD_i中包含的数据表示为QD_i＝{d_i,x,y|x,y∈(1,n),i∈(1,m)}。

具体步骤如下：

步骤A：查询请求的生成。用户在客户端利用移动设备生成查询请求Query， Query包括假位置L和加密数据C，其中L＝(x,y)，(x,y)为单元格的坐标，假位置的生成是通过利用对应的服务相似地图SM_t和服务相似度表ST_t，其中t为用户所要查询的兴趣点类型。用户先输入服务参数θ，通过判断服务参数合并形成假位置候选区CR，从CR中选取某单元格中心点作为假位置L。加密数据 C＝(c₁,c₂…c_t…c_m)，L和C构成查询请求Query发送到LBS服务器；

步骤B：响应的生成。LBS服务器解析查询请求Query中的位置数据L，得到位置坐标x、y，根据得到的坐标，从每个数据库QD_i中提取对应的数据d_i,x,y，将通过运算得到响应R，如公式(1)：

步骤B推导：

对应的明文操作为：

(0×d_1,i,j)+(0×d_2,i,j)+…+(1×d_t,i,j)+…+(0×d_m,i,j)modN＝d_t,i,jmodN

步骤C：移动用户对数据解密。服务器将响应R返回到客户端，客户端对其解密,如公式(2)：

data_user＝D(R) (2)

data_user即为用户所要查询的数据。

其中步骤A进一步包括：

A1、定位用户位置所处的单元格Cell_user，其坐标点为x,y，根据坐标判断用户所处的服务相似区SA_user，初始化假位置候选区CR＝SA_user；、

A2、根据相似度值表，按照服务相似度从高到低，即比较ST_i中s_user,z的值，将除SA_user以外的其它服务相似区排成一个列表List，用户输入服务参数θ，若θ为用户要求的匿名区单元格数量，则从列表中List按序提取区域，将其合并到候选区CR中，直到匿名区中的单元格数大于等于用户要求的数量；若θ为用户要求的服务质量，则按序从列表List中将服务相似度大于等于θ的区域提出合并到候选区CR中。假位置候选区形成；

A4、对于用户所要查询的兴趣点类型t，生成加密数据c_t＝g¹r^NmodN²；对于其它类型的数据，得到加密数据{c_i＝g⁰r^NmodN²|i≠t,1≤i≤m}；

A5、由假位置L和加密数据C组成查询请求Query，发送到LBS服务器。

下面通过对某一具体应用进一步说明本发明。

LBS服务器在执行方法前，首先对一城市地图栅格化，得到处理后的地图 M＝{Cell_x,y|x,y∈(1,n)}，Cell_x,y代表一个单元格，取每个单元格的中心点为查询点进行KNN查询，针对一类兴趣点进行查询，对查询结果按照欧式距离由小到大进行排序，取距离单元格中心点最近的K个兴趣点的信息，在该方法中为兴趣点的标识符和坐标信息，从而得到K近邻查询数据库组{KD_i|i∈(1,m)}，在此基础上进行服务相似地图集{SM_i|i∈(1,m)}的生成和服务相似度表集{ST_i|i∈ (1,m)}的计算。服务相似地图的以之前的K近邻查询数据库，取相邻单元格的K 近邻查询集合Set_A、Set_B，通过比较兴趣点标识符计算服务相似度s，

Sim(·)为计算服务相似度的函数，将服务相似度为1的单元格合并到同一区域SA_i，比较得到的服务相似度作为服务相似度表的值。

LBS服务器还需生成查询数据库组{QD_i|i∈(1,m)}，对于类型为t的兴趣点，利用其K近邻查询数据库，取单元格Set_x,y中兴趣点的坐标信息，将数据化为比特格式，组成一个比特串，将该比特串转换为一个整数，该整数为对应的查询数据d_t,x,y。

在客户端生成加密数据时，系统使用Paillier加密算法，该算法属于部分同态加密算法，满足加法同态与数乘同态。Paillier加密算法由密钥生成算法、加密算法和解密算法三部分组成。密钥生成算法可以得到公钥PK和私钥SK。首先，生成两个大素数p，q，一般情况下p，q占有相同的比特位，因为当p、q具有相同的长度时，密文的破解难度是最大的，以此提供更好的安全保障。接下来求得整数N和γ，N＝p×q,γ＝lcm(p-1,q-1)，其中lcm(x)为最小公倍数函数，再选取一个随机数g，得到公钥PK＝(N,g)和私钥SK＝(γ,μ)，其中μ＝γ^- ¹mod N。密钥生成后就可以对数据进行加密操作，用函数E(·)表示， E(m)＝c＝g^m×r^NmodN²,r为随机选取的一个整数，m为明文数据，c为加密后得到的密文数据；解密操作用函数D(·)表示，D(c)＝m＝L(c^γmod N²)×μmodN,其中

密文c解密得到明文m。

Paillier加密算法有两条运算性质，第一条性质是密文状态下的乘法运算，等于明文状态下的加法运算；第二条性质是密文状态下的幂次运算，等于明文状态下的乘法运算，以下是两条性质的说明和推导过程。

第一条性质用式子表示为：

D(E(m₁,r₁)×E(m₂,r₂)modN²)＝(m₁+m₂)modN (3)

推导：

D(c₁×c₂)＝(m₁+m₂)modN

第二条性质表示为：

推导：

在LBS服务器生成响应R时利用了Paillier算法的这两天性质，通过对加密数据C和查询结果数据库D的运算，得到响应R。

提供本发明和现有技术的分析验证比较进一步说明本发明的效果：

1、本发明与现有技术的时间复杂度比较如下：

表1本发明与Xun等人方法的时间复杂度比较

系统组件	Xun等人方案	本发明
			客户端	O(n)	O(n)
服务器端	O(n<sup>2</sup>)	O(n)

参照表1，可以看出在客户端本发明与Xun等人的方法有相同的时间复杂度，但在服务器端，本发明所采用的方案具有更低的时间复杂度，降低了运算开销。 2、本发明与若干现有专利文献的技术方案分析比对后所具有的特殊效果：

当前运用服务相似性概念的专利有基于K-匿名技术和基于差分隐私的。专利CN104092692A利用服务相似性形成匿名区，从匿名区中选取k-1个用户和真实用户构成匿名组，从而实现k-匿名技术。但是该方法需要可信第三方协助完成匿名，第三方容易成为攻击者的突破点，且现实中部署大量的可信匿名服务器存在较大难度，本发明不需要中心匿名服务器构建匿名区，因此不存在中心匿名服务器所带来的隐患。其次，该方法完成k-匿名与用户的分布密度有关系，在某些环境下，无法实现k-匿名，本发明采用假位置和加密的方式保护用户隐私，在无法完成k-匿名的情况下，仍能较好的保护用户的隐私。最后，该方法容易遭受推理攻击，无法较好的保护用户的位置隐私，更无法保证用户的查询隐私，本发明采用了加密方式，可以在一定程度上降低LBS服务器能获取的背景知识，抵御一定程度的背景知识攻击和推理攻击。专利CN109413067A利用服务相似性和差分隐私保护用户的轨迹隐私。当用户始终在同一区域内，首次查询时，从区域内随机选取某一位置替代用户的真实位置发起查询，之后的查询不再向服务器发送请求，将之前查询结果返回给用户。当用户跨区域查询时，根据安全时间间隔选取查询策略。该方法解决了用户的轨迹隐私保护问题，适用于连续查询，但没有保护用户的查询隐私。本发明提出的方法主要针对快照查询，既能保护用户的位置隐私，又保护了用户的查询隐私，对用户的运动轨迹也提供了一定程度的保护。专利CN109039578A采用用户之间协作通信构成K-匿名，从而保护用户的位置隐私，采用同态加密的方式主要保证用户的支付信息的安全。本发明采用形成假位置候选区，用假位置代替用户真实位置的方式保护用户的位置隐私，采用同态加密的方式保护用户的查询隐私。专利CN108650675A通过对型号强度的判断从而得到距离，在密文状态下查询得到最近的兴趣点。但是通过加密的方式保护用户隐私，计算开销较大，运算较复杂，本发明通过假位置的方法保护用户的位置隐私，减少计算开销，同时又用同态加密进行简单的运算，从而保护了用户的查询隐私。专利CN110300029A利用中心匿名服务器形成匿名集，通过选取多路径和假位置保护用户位置隐私，但是无法避免中心匿名服务器的缺陷。本发明用户直接与LBS服务器通信，不需要中心匿名服务器，在保护用户位置隐私的同时，使用同态加密保护了用户的查询隐私。专利CN109992995A由服务提供者生成密钥以及构造检索，用户与云服务器进行通信，但是服务提供者保存有密钥信息，容易成为攻破的节点，且该方法使用的是对称加密方法，云服务器保留有信息摘要，不是在密文状态下对查询数据进行操作。本发明用户直接与LBS服务器通信，不需要中心匿名服务器，客户端生成密钥对，不对外公开，LBS服务器直接在密文状态下返回查询信息，更好的保证了用户的查询隐私。

Claims

1.一种保护位置隐私和查询隐私的高效查询处理方法，其特征在于，假设服务器所能查询到的兴趣点类型的总数为m；服务器需要对地图栅格化，得到栅格化后的地图M＝{Cell_x,y|x,y∈(1,n)}，n为栅格化地图的划分数；然后对每种兴趣点进行K近邻查询，得到K近邻查询数据库组{KD_i|i∈(1,m)}，KD_i＝{Set_x,y|x,y∈(1,n)}，Set_x,y为单元格Cell_x,y中心点K近邻查询得到的结果集合；根据K近邻查询数据库组生成相似地图集合和查询结果数据库组，生成的相似地图集为{SM_i|i∈(1,m)}，每个相似地图包含服务相似区{SA_j|j∈(1,num_i),i∈(1,m)}，其中num_i为对应相似地图包含的相似区域数量，各服务相似区做对比得到相似度表，相似度表集为{ST_i|i∈(1,m)},

s_user,z表示用户所在相似区SA_user与SA_z区域对比得到的相似度值，0≤s_user,z≤1；由K近邻查询结果构成的查询结果数据库组表示为{QD_i|i∈(1,m)},QD_i中包含的数据表示为QD_i＝{d_i,x,y|x,y∈(1,n),i∈(1,m)}。

2.根据权利要求1所述的一种保护位置隐私和查询隐私的高效查询处理方法，其特征在于，具体步骤为：

步骤A：查询请求的生成：用户在客户端利用移动设备生成查询请求Query，Query包括假位置L和加密数据C，其中L＝(x,y)，(x,y)为单元格的坐标，假位置的生成是通过利用对应的服务相似地图SM_t和服务相似度表ST_t，其中t为用户所要查询的兴趣点类型；用户先输入服务参数θ，通过判断服务参数合并形成假位置候选区CR，从CR中选取某单元格中心点作为假位置L；加密数据C＝(c₁,c₂…c_t…c_m)，L和C构成查询请求Query发送到LBS服务器；

data_user＝D(R) (2)

其中，data_user为用户解密后的数据，D(·)为解密函数。

3.根据权利要求2所述的一种保护位置隐私和查询隐私的高效查询处理方法，其特征在于，所述步骤A进一步包括：

A1、客户端系统利用用户设备定位用户所在的单元格Cell_user，用(x,y)表示，根据单元格Cell_user判断用户所处的服务相似区SA_user，初始化假位置候选区CR＝SA_user；

A3、从CR中随机选取一个服务相似区SA_i，然后从SA_i中随机选取单元格Cell_x,y，假位置L的坐标即为Cell_x,y的坐标x,y；

A4、对用户所要查询的兴趣点类型t进行加密，生成加密数据c_t＝g¹r^NmodN²；对其它的兴趣点类型加密，可得到其加密数据为{c_i＝g⁰r^NmodN²|i≠t,1≤i≤m}，由此得到C＝(c₁,c₂…c_t…c_m)；