CN112752232A - 面向隐私保护的司机-乘客匹配机制 - Google Patents

Abstract

本发明公开了面向隐私保护的司机‑乘客匹配机制，其核心包括三个部分：隐私轨迹向量构建、基于隐私的轨迹匹配、基于偏好特征的隐私保护。本匹配机制框架中加入了相关隐私保护机制以在确保司机‑乘客效率的情况下提高用户的使用体验，并提高了用户在进行偏好特征匹配时的安全保障，并且可根据乘客所选属性生成乘客偏好隐私矩阵来实现于司机用户的特征偏好筛选，最后将偏好隐私向量通过哈希映射处理，将处理后的散列值作为包括用户地理位置信息在内的信息加密密钥，在乘客向司机提出订单需求时与含有乘客用户偏好特征的加密数据一起发送给司机用户进行解密。

Description

面向隐私保护的司机-乘客匹配机制

技术领域

本发明涉及交通出行技术领域，具体为面向隐私保护的司机-乘 客匹配机制。

背景技术

随着互联网顺风车应用用户量的逐渐增长，带给用户更多方便的 同时也带来了一些负面问题。根据路径匹配的结果获取候选司机集合 之后，为了能为用户提供安全、优质的产品体验。一般情况下存在着 司机-用户偏好特征匹配的问题，即用户会设定一定的偏好选项来在 候选集里选择符合自身偏好特征的司机。如果在明文域上进行用户匹 配操作时，又会带来用户偏好隐私泄露的风险，攻击者同样可以根据 用户偏好特征获取用户资料，窃取用户信息甚至会给用户带来经济损 失。

在进行偏好匹配过程中，也存在着一定程度的模糊匹配，在司机 候选集经过司机-乘客匹配之后再进行司机-用户偏好匹配筛选，会有 极大的概率不能百分之百满足用户的偏好需求。所以在司机特征与用 户偏好匹配的过程中也存在着一定的模糊性，为此本发明提出了针对 在密文域上完成的司机-用户的偏好特征匹配解决方法。

发明内容

本发明解决的技术问题在于克服现有技术的司机与用户偏好匹 配容易带来用户偏好隐私泄露的风险，窃取用户信息甚至会给用户带 来经济损失，并且匹配的过程中也存在着一定的模糊性等缺陷，提供 面向隐私保护的司机-乘客匹配机制。所述面向隐私保护的司机-乘客 匹配机制具有设计合理，安全可靠，匹配准确，可有效防止隐私泄露 等特点。

为实现上述目的，本发明提供如下技术方案：面向隐私保护的司 机-乘客匹配机制，匹配机制核心包括三个部分：

①隐私轨迹向量构建：

使用局部敏感哈希对司机用户历史轨迹点进行编码，在数据查询 过程中邻近的点会产值相同的LSH编码值，如果司机用户对历史轨迹 的离散程度较小则相邻的轨迹点会产生同一LSH编码，对历史轨迹点 集中产生的多个相同的LSH编码进行去重操作，为了防止攻击者窃取 LSH的编码函数，对LSH编码值进行逆向处理分析出用户真实的轨迹 点，故将生成的LSH编码函数使用MD5进行哈希，产生一个32位的 哈希值，在这种情况下，邻近的轨迹点因为具有相同的LSH编码值， 再经过MD5进行哈希之后产生同一哈希值，也具有判断地理位置是否 邻近的功能，把进行了上述处理的离散历史轨迹点集LSH-MD5隐私轨 迹向量；

②基于隐私的轨迹匹配：

当乘客用户向第三方云服务发起顺风车待选司机筛选时，通过顺 风车应用服务提供商发送的密钥在乘客用户本地端将起始点进行加 密索引构建，然后将生成的LSH-MD5编码发送至服务器在布隆过滤器 中进行存在性查找，如果用户的LSH-MD5编码存在于第三方云服务中 所提供的布隆过滤器中，则标记司机LSH-MD5隐私轨迹向量关联的加 密数据，加密数据中包含着司机id、联系方式等信息，第三方云服 务经过存在性查询以及司机用户符合乘客用户需求的历史记录条数 进行排序，向乘客用户返回待选司机数据集合；

③基于偏好特征的隐私保护：

当乘客用户在接收到第三方云服务反馈的待选司机集合时，乘客 用户根据待选集合中提供的司机排序就行数据解密，乘客通过顺风车 应用服务提供商所提供的密钥解密司机的相关信息，为提高在司机- 乘客偏好阶段的匹配效率，获取司机的id编号之后，乘客向司机发 送用车需求以及经过加密的偏好特征在司机端进行判断，当司机符合 用户需求时司机便可解密乘客的特征并向用户返回解密结果，并确认 乘客的出行需求，在整个密文域进行的司机-乘客偏好特征的隐私匹 配阶段，司机与乘客仅进行了两次握手操作，在提高司机-乘客偏好 特征隐私匹配的效率的同时增加司机与乘客在偏好匹配过程时的隐私安全性。

优选的，作为面向隐私保护的司机-乘客顺风车匹配机制的核心 构架，在考虑保证司机-乘客匹配效率的情况下还要保证司机，乘客 存储与第三方云服务中的地理位置信息安全，同时还要完成目标数据 在密文域集合的匹配工作即乘客对位置信息进行编码发送给第三方 云服务之后，需要在密文域中搜索出符合用户顺风车需求的司机用 户。

优选的，实现在地理位置域匹配的核心算法，LSH编码处理部分 基于二维空间的2DLSH定义如下：

在这里随机生成一个极坐标向量

将空间中的q点投影在极坐标 中，其中极坐标角度θ∈[0,2π]，r＝1，b为一个随机变量b∈[0,d]，d为极 坐标的单位长度，而在上文中提到的LSH中的哈希族在此场景中由定义

中的映射方式产生多个h来组成本文所使用的LSH哈希族， 其类似的使用方法在E2LSH中也有所出现，通过观察图3中的A，B，C三个点， B为点A移动距离b所到达的点，而C点距A点的距离为d则若以距离d为近似 距离阈值，则B∈[A,C]；

同样若在空间中存在一点Q，需要找到Q的邻近区域，进而在区 域中所存在的点即为Q的邻近点，如图4所示：

当空间中存在一点Q，结合图3所示，可以通过定义

来计算Q点在

上的投影，d为

的单位长度，若 空间中存在一点P经过定义

的运算将Q与P映 射在

上，期间距离小于d则判断他们邻近，即h(Q)＝h(P)，如图3 所示如果采用单一的向量对空间中的点进行映射，则待查询点的邻近区域是一个无限空间，并不能准确的判定点Q是否真正与二维空间中 某一点是否邻近,在进行局部敏感哈希运算时会产生一组哈希函数H 来进行映射，则可通过多个h的映射聚合成一个有限空间，如图5所 示：

空间投影—构建有限邻近区域所示若不采用单一h对待查询点 邻近区域进行判断，则会产生有限区域，判断空间中点Q，P是否邻 近,若符合：

则邻近，并且判断两点 之间是否邻近的精度随着投影向量的个数增加而上升。

优选的，通过在二维空间中生成有限区域判断空间中两点是否邻 近以及对局部敏感哈希算法的介绍不难得出，在定义

中所生成的h的即可作为局部敏感哈希算法中 所进行映射操作的哈希族H，结合局部敏感哈希算法原理及流程，存在v组函数g_j(h₁，h₂，…，h_v)，j∈[t]，假设存在点p和点q，在进行数据匹 配操作时首先进行p，q编码，即先分别计算出关于p，q两点的 g_j(h₁(p)，h₂(p)，…，h_v(p))，j∈[t]以及g_j(h₁(p)，h₂(p)，…，h_v(p))，j∈[t]，然后进行AND- 组合操作若存在任意一个g_j(h_n(p))≠g_j(hn(q))，j∈[t]，n∈[v]，则g_j(p) ≠g_j(q)，j∈[t]，然后进行OR-组合操作，在上文提到的H(g₁，g₂，…，g_t)，中 若存在任意一个h_j(p)＝g_j(q),j∈[t]，则H(p)＝H(q)，即判定p点与q点位邻近点。

优选的，将司机经过离散化的历史行程轨迹点进行2DLSH处理， 每个点都会产生一个经过2DLSH映射之后产生的散列值，将每组H中 h所产生的散列值进行级联操作，若司机选择的离散程度较小，则在 司机本来的历史轨迹点里同样会存在部分重复的散列值，对司机所产 生的轨迹点中重复的2DLSH散列值进行去重操作，因为散列值相等的 情况代表同一片投射区域，所以去重操作并不影响乘客用户进行行程 匹配时的结果，在进行去重操作之后，将每个点经过级联操作所产生 的散列值作为局部敏感哈希中OR-组合所需的参照项，将用户历史轨 迹点集中所产生的2DLSH散列值经过使用MD5进行散列生成LSH-MD5 隐私轨迹向量中的元素加入第三方云中所构架的布隆过滤器中，每条 历史轨迹可根据需求构建一个小型化的布隆过滤器；在用户进行待选 司机集合查询时，使用顺风车应用提供商所提供的LSH参数对起始点 以及终点进行映射，并将映射所产生的起始点散列值，分别进行级联 操作，产生起点散列值集合与终点散列值集合并使用MD5进行映射使 用映射值更新集合，将所得到的集合在第三方云服务的布隆过滤器中 进行查询，乘客用户的两个散列值集合与司机历史轨迹点集合产生交 集，即乘客用户散列值集合和终点散列值集合中的点经过布隆过滤器 判断，存在于司机的顺风车历史轨迹点集合中，则将司机加入待选司机集合，根据用户需求第三方云应用在满足条件情况下筛选多个司机 用户将LSH-MD5隐私轨迹向量所关联的司机加密数据反馈给乘客用 户，乘客用户根据顺风车应用服务提供商所提供的解密密钥对司机的 相关信息进行解密。

优选的，对面向隐私的司机-乘客偏好特征匹配机制包括以下几 个部分：

①乘客用户首先根据顺风车应用服务提供商对自己的偏好选择 进行初始化定义，并将偏好特征分为必选属性和可选属性，乘客U在 进行初始化流程之后存在如下特征偏好特征向量：

用户进行特征偏好初始化之后所生产的偏好向量如上所示，在集 合中共存在n个属性，其中N(Necessary)代表用户所确定的必须匹 配属性，O(Optional)代表可选属性，即O中的属性不一定全部选择， 其中在必选属性中共存在N个必选属性，而b与r同样代表属性的 个数，其中b代表O中所选择的属性个数，而r代表着O中未选择的 属性个数，即用户在控制偏好特征模糊匹配程度时，只要待匹配用户 匹配了用户U的N+b个属性即可完成匹配，而因为根据顺风车应 用服务提供商所提供的数据格式对数据进行过预处理，所以所选属性的必选项在序列顺序上会排在可选项之前，换句话说即只要司机-乘 客偏好特征匹配过程中，司机用户在符合乘客用户在属性列表前端的 必须匹配偏好的条件下，在可选偏好匹配属性O中未匹配点的格式只 要小于等于r，则司机用户具有乘客用户所需偏好；

②因为无论是司机用户还是乘客用户，用户本身所具有的偏好 特征隐藏着用户极大的个人隐私，如果在明文域上进行传输匹配，对 用户的隐私安全造成了极大威胁，所以在整个用户偏好特征匹配过程 中需要对用户的隐私特征进行加密保护，在用户对相关密文特性进行 初始化之后，为了保护用户隐私并且支持系统进行模糊匹配，采用具 有等价属性的MD5算法对相关信息进行数据处理，生成乘客偏好隐私 向量如图6所示，其中每一行为对应属性经过哈希算法处理之后的 值，在乘客在本地端生成偏好隐私向量之后，通过对乘客偏好隐私向 量使用MD5二次哈希加密操作会生成一个32位的字符串即乘客偏好 密钥，通过用乘客偏好密钥以及AES同态加密算法对乘客用户的偏好 特征矩阵进行加密，当任何攻击者企图破解乘客的加密偏好特征矩 阵，只有还原乘客的偏好特征矩阵即只有符合乘客偏好特征的司机用 户才能解密消息；

③当乘客完成偏好隐私向量与偏好信息加密工作之后乘客需要 构建模糊匹配矩阵以完成司机-乘客的模糊匹配工作，模糊匹配矩阵 包含了b+r个可选择向量之间的线性约束关系，通过模糊匹配矩 阵可以帮助符合乘客偏好特征需求阈值的司机用户还原出小于等于r 个特征，以结合自身所具有的特征生成乘客用户的偏好特征矩阵解密 密钥，并将解密信息发送给乘客，确认订单信息完成匹配工作，模糊 匹配构建主要思想是围绕着矩阵的线性约束展开。

优选的，矩阵的线性约束展开包括以下步骤：

首先构建一个由r行以及b+r列的约束矩阵如下：

C_r×(r+b)＝[I_r×r，R_r×b]

其中I为一个r维的单位矩阵，R是r行b列的矩阵，R中的元素由随机零 整数组成，然后将构建的约束矩阵与乘客偏好隐私向量中的可选属性部分相乘 构建出矩阵B：

B＝C×[h^a+1，h^a+2，……，hⁿ]^T

则模糊矩阵匹配M由约束矩阵C与B组成：

M＝[C，B]；

当乘客与司机进行偏好特征隐私匹配时，乘客将模糊匹配矩阵， 以及行程有关的加密信息发送给司机；

当司机用户接收到乘客发送的用车需求及相关信息时，司机用户 使用部署在司机端的布隆过滤器对乘客发送的偏好隐私向量中的必 选项与可选项及进行存在性判断，首先判断乘客用户的偏好隐私向量 中的必选属性是否都存在于司机用户属性集合，如果不存在则不能解 密用户的行程相关信息，然后乘客用户与待选司机集合中下一个司机 用户及进行偏好特征隐私匹配，如果乘客用户的偏好隐私向量中必选 项经过构建在司机用户端的布隆过滤器判断存在于司机用户的偏好 隐私向量中，且用户所提出的可选项的个数经过布隆过滤器判断也达 到了用户所需阈值，即对于乘客的偏好特征，司机用户仅存在小于等 于r个与乘客不匹配，又或者说，司机不知道小于等于r个乘客可选 项的属性的个数；

司机共接收到乘客发送的两个数据集，其中包括乘客的行程偏好 相关的加密信息以及模糊匹配矩阵M＝[C,B]，可以将模糊匹配矩阵 转换为：

司机用户的经过乘客用户的必选属性筛选后，如果司机的特征满 足用户匹配的必选需求，且未满足乘客偏好特征的属性个数小于等于 乘客所设定阈值r则可解出上述线性方程，从而得出乘客用户的偏好 特征隐私矩阵中可选属性元素，通过将司机的偏好特征隐私矩阵中的 必选属性相关元素与其进行级联操作，通过MD5哈希算法进行散列， 获得的散列值即为用户发送的加密信息解密密钥，通过解密获取用户 起始点，与全部的偏好特征，将其反馈给用户以证明待选司机满足用 户匹配要求，最终完成隐私保护的司机-乘客推荐匹配。

与现有技术相比，本发明的有益效果是：

本发明所提出的面向隐私保护的司机-乘客匹配机制在数据传输 与数据处理、筛选时对数据加入密文保护机制，在为用户提供高效率 服务的同时，提高用户使用质量并保护用户的乘车安全；本匹配机制 框架中加入了相关隐私保护机制以在确保司机-乘客效率的情况下提 高用户的使用体验，并提高了用户在进行偏好特征匹配时的安全保 障，并且可根据乘客所选属性生成乘客偏好隐私矩阵来实现于司机用 户的特征偏好筛选，最后将偏好隐私向量通过哈希映射处理，将处理 后的散列值作为包括用户地理位置信息在内的信息加密密钥，在乘客 向司机提出订单需求时与含有乘客用户偏好特征的加密数据一起发 送给司机用户进行解密。

附图说明

图1为面向隐私保护的司机-乘客匹配机制框架示意图；

图2为面向隐私保护的司机-乘客轨迹匹配机制框架示意图；

图3为2DLSH空间投影—投影值计算示意图；

图4为2DLSH空间投影—构建无限邻近区域示意图；

图5为2DLSH空间投影—构建有限邻近区域示意图；

图6为面向隐私保护的偏好特征快速匹配机制框架示意图；

图7为乘客偏好隐私向量示意图；

图8为乘客隐私偏好匹配机制流程图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方 案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部 分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普 通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例， 都属于本发明保护的范围。

请参阅图1-8，本发明提供一种技术方案：面向隐私保护的司机 -乘客匹配机制，匹配机制核心包括三个部分：

①隐私轨迹向量构建：

使用局部敏感哈希对司机用户历史轨迹点进行编码，在数据查询 过程中邻近的点会产值相同的LSH编码值，如果司机用户对历史轨迹 的离散程度较小则相邻的轨迹点会产生同一LSH编码，对历史轨迹点 集中产生的多个相同的LSH编码进行去重操作，为了防止攻击者窃取 LSH的编码函数，对LSH编码值进行逆向处理分析出用户真实的轨迹 点，故将生成的LSH编码函数使用MD5进行哈希，产生一个32位的 哈希值，在这种情况下，邻近的轨迹点因为具有相同的LSH编码值， 再经过MD5进行哈希之后产生同一哈希值，也具有判断地理位置是否 邻近的功能，把进行了上述处理的离散历史轨迹点集LSH-MD5隐私轨 迹向量；

②基于隐私的轨迹匹配：

当乘客用户向第三方云服务发起顺风车待选司机筛选时，通过顺 风车应用服务提供商发送的密钥在乘客用户本地端将起始点进行加 密索引构建，然后将生成的LSH-MD5编码发送至服务器在布隆过滤器 中进行存在性查找，如果用户的LSH-MD5编码存在于第三方云服务中 所提供的布隆过滤器中，则标记司机LSH-MD5隐私轨迹向量关联的加 密数据，加密数据中包含着司机id、联系方式等信息，第三方云服 务经过存在性查询以及司机用户符合乘客用户需求的历史记录条数 进行排序，向乘客用户返回待选司机数据集合；

③基于偏好特征的隐私保护：

当乘客用户在接收到第三方云服务反馈的待选司机集合时，乘客 用户根据待选集合中提供的司机排序就行数据解密，乘客通过顺风车 应用服务提供商所提供的密钥解密司机的相关信息，为提高在司机- 乘客偏好阶段的匹配效率，获取司机的id编号之后，乘客向司机发 送用车需求以及经过加密的偏好特征在司机端进行判断，当司机符合 用户需求时司机便可解密乘客的特征并向用户返回解密结果，并确认 乘客的出行需求，在整个密文域进行的司机-乘客偏好特征的隐私匹 配阶段，司机与乘客仅进行了两次握手操作，在提高司机-乘客偏好 特征隐私匹配的效率的同时增加司机与乘客在偏好匹配过程时的隐私安全性；

对面向隐私的司机-乘客偏好特征匹配机制包括以下几个部分：

①乘客用户首先根据顺风车应用服务提供商对自己的偏好选择 进行初始化定义，并将偏好特征分为必选属性和可选属性，乘客U在 进行初始化流程之后存在如下特征偏好特征向量：

用户进行特征偏好初始化之后所生产的偏好向量如上所示，在集 合中共存在n个属性，其中N(Necessary)代表用户所确定的必须匹 配属性，O(Optional)代表可选属性，即O中的属性不一定全部选择， 其中在必选属性中共存在N个必选属性，而b与r同样代表属性的 个数，其中b代表O中所选择的属性个数，而r代表着O中未选择的 属性个数，即用户在控制偏好特征模糊匹配程度时，只要待匹配用户 匹配了用户U的N+b个属性即可完成匹配，而因为根据顺风车应 用服务提供商所提供的数据格式对数据进行过预处理，所以所选属性的必选项在序列顺序上会排在可选项之前，换句话说即只要司机-乘 客偏好特征匹配过程中，司机用户在符合乘客用户在属性列表前端的 必须匹配偏好的条件下，在可选偏好匹配属性O中未匹配点的格式只 要小于等于r，则司机用户具有乘客用户所需偏好；

②因为无论是司机用户还是乘客用户，用户本身所具有的偏好 特征隐藏着用户极大的个人隐私，如果在明文域上进行传输匹配，对 用户的隐私安全造成了极大威胁，所以在整个用户偏好特征匹配过程 中需要对用户的隐私特征进行加密保护，在用户对相关密文特性进行 初始化之后，为了保护用户隐私并且支持系统进行模糊匹配，采用具 有等价属性的MD5算法对相关信息进行数据处理，生成乘客偏好隐私 向量如图6所示，其中每一行为对应属性经过哈希算法处理之后的 值，在乘客在本地端生成偏好隐私向量之后，通过对乘客偏好隐私向 量使用MD5二次哈希加密操作会生成一个32位的字符串即乘客偏好 密钥，通过用乘客偏好密钥以及AES同态加密算法对乘客用户的偏好 特征矩阵进行加密，当任何攻击者企图破解乘客的加密偏好特征矩 阵，只有还原乘客的偏好特征矩阵即只有符合乘客偏好特征的司机用 户才能解密消息；

③当乘客完成偏好隐私向量与偏好信息加密工作之后乘客需要 构建模糊匹配矩阵以完成司机-乘客的模糊匹配工作，模糊匹配矩阵 包含了b+r个可选择向量之间的线性约束关系，通过模糊匹配矩 阵可以帮助符合乘客偏好特征需求阈值的司机用户还原出小于等于r 个特征，以结合自身所具有的特征生成乘客用户的偏好特征矩阵解密 密钥，并将解密信息发送给乘客，确认订单信息完成匹配工作，模糊 匹配构建主要思想是围绕着矩阵的线性约束展开；

矩阵的线性约束展开包括以下步骤：

首先构建一个由r行以及b+r列的约束矩阵如下：

C_r×(r+b)＝[I_r×r，R_r×b]

其中I为一个r维的单位矩阵，R是r行b列的矩阵，R中的元素由随机零 整数组成，然后将构建的约束矩阵与乘客偏好隐私向量中的可选属性部分相乘 构建出矩阵B：

B＝C×[h^a+1，h^a+2，……，hⁿ]^T

则模糊矩阵匹配M由约束矩阵C与B组成：

M＝pC，B]；

当乘客与司机进行偏好特征隐私匹配时，乘客将模糊匹配矩阵， 以及行程有关的加密信息发送给司机；

当司机用户接收到乘客发送的用车需求及相关信息时，司机用户 使用部署在司机端的布隆过滤器对乘客发送的偏好隐私向量中的必 选项与可选项及进行存在性判断，首先判断乘客用户的偏好隐私向量 中的必选属性是否都存在于司机用户属性集合，如果不存在则不能解 密用户的行程相关信息，然后乘客用户与待选司机集合中下一个司机 用户及进行偏好特征隐私匹配，如果乘客用户的偏好隐私向量中必选 项经过构建在司机用户端的布隆过滤器判断存在于司机用户的偏好 隐私向量中，且用户所提出的可选项的个数经过布隆过滤器判断也达 到了用户所需阈值，即对于乘客的偏好特征，司机用户仅存在小于等 于r个与乘客不匹配，又或者说，司机不知道小于等于r个乘客可选 项的属性的个数；

司机共接收到乘客发送的两个数据集，其中包括乘客的行程偏好 相关的加密信息以及模糊匹配矩阵M＝[C,B]，可以将模糊匹配矩阵 转换为：

司机用户的经过乘客用户的必选属性筛选后，如果司机的特征满 足用户匹配的必选需求，且未满足乘客偏好特征的属性个数小于等于 乘客所设定阈值r则可解出上述线性方程，从而得出乘客用户的偏好 特征隐私矩阵中可选属性元素，通过将司机的偏好特征隐私矩阵中的 必选属性相关元素与其进行级联操作，通过MD5哈希算法进行散列， 获得的散列值即为用户发送的加密信息解密密钥，通过解密获取用户 起始点，与全部的偏好特征，将其反馈给用户以证明待选司机满足用 户匹配要求，最终完成隐私保护的司机-乘客推荐匹配；

作为面向隐私保护的司机-乘客顺风车匹配机制的核心构架，在 考虑保证司机-乘客匹配效率的情况下还要保证司机，乘客存储与第 三方云服务中的地理位置信息安全，同时还要完成目标数据在密文域 集合的匹配工作即乘客对位置信息进行编码发送给第三方云服务之 后，需要在密文域中搜索出符合用户顺风车需求的司机用户；

实现在地理位置域匹配的核心算法，LSH编码处理部分基于二维 空间的2DLSH定义如下：

在这里随机生成一个极坐标向量

将空间中的q点投影在极坐标 中，其中极坐标角度θ∈[0,2π]，r＝1，b为一个随机变量b∈[0,d]，d为极 坐标的单位长度，而在上文中提到的LSH中的哈希族在此场景中由定义

中的映射方式产生多个h来组成本文所使用的LSH哈希族， 其类似的使用方法在E2LSH中也有所出现，通过观察图3中的A，B，C三个点， B为点A移动距离b所到达的点，而C点距A点的距离为d则若以距离d为近似 距离阈值，则B∈[A,C]；

同样若在空间中存在一点Q，需要找到Q的邻近区域，进而在区 域中所存在的点即为Q的邻近点，如图4所示：

当空间中存在一点Q，结合图3所示，可以通过定义

来计算Q点在

上的投影，d为

的单位长度，若 空间中存在一点P经过定义

的运算将Q与P映 射在

上，期间距离小于d则判断他们邻近，即h(Q)＝h(P)，如图3 所示如果采用单一的向量对空间中的点进行映射，则待查询点的邻近区域是一个无限空间，并不能准确的判定点Q是否真正与二维空间中 某一点是否邻近,在进行局部敏感哈希运算时会产生一组哈希函数H 来进行映射，则可通过多个h的映射聚合成一个有限空间，如图5所 示：

空间投影—构建有限邻近区域所示若不采用单一h对待查询点 邻近区域进行判断，则会产生有限区域，判断空间中点Q，P是否邻 近,若符合：

则邻近，并且判断两点 之间是否邻近的精度随着投影向量的个数增加而上升；

通过在二维空间中生成有限区域判断空间中两点是否邻近以及 对局部敏感哈希算法的介绍不难得出，在定义

中所生成的h的即可作为局部敏感哈希算法中所进行映射操作的哈 希族H，结合局部敏感哈希算法原理及流程，存在v组函数g_j(h₁，h₂，…，h_v)，j∈[t]，假设存在点p和点q，在进行数据匹配操作时首 先进行p，q编码，即先分别计算出关于p，q两点的 g_j(h₁(p)，h₂(p)，…，h_v(p))，j∈[t]以及g_j(h₁(q)，h₂(q)，…，h_v(q))，j∈[t]，然后进行AND- 组合操作若存在任意一个g_j(h_n(p))≠g_j(hn(q))，j∈[t]，n∈[v]，则g_j(p) ≠g_j(q)，j∈[t]，然后进行OR-组合操作，在上文提到的H(g₁，g₂，…，g_t)，中 若存在任意一个g_j(p)＝g_j(q),j∈[t]，则H(p)＝H(q)，即判定p点与q点 位邻近点；

将司机经过离散化的历史行程轨迹点进行2DLSH处理，每个点都 会产生一个经过2DLSH映射之后产生的散列值，将每组H中h所产生 的散列值进行级联操作，若司机选择的离散程度较小，则在司机本来 的历史轨迹点里同样会存在部分重复的散列值，对司机所产生的轨迹 点中重复的2DLSH散列值进行去重操作，因为散列值相等的情况代表 同一片投射区域，所以去重操作并不影响乘客用户进行行程匹配时的 结果，在进行去重操作之后，将每个点经过级联操作所产生的散列值 作为局部敏感哈希中OR-组合所需的参照项，将用户历史轨迹点集中 所产生的2DLSH散列值经过使用MD5进行散列生成LSH-MD5隐私轨迹 向量中的元素加入第三方云中所构架的布隆过滤器中，每条历史轨迹 可根据需求构建一个小型化的布隆过滤器；在用户进行待选司机集合 查询时，使用顺风车应用提供商所提供的LSH参数对起始点以及终点 进行映射，并将映射所产生的起始点散列值，分别进行级联操作，产 生起点散列值集合与终点散列值集合并使用MD5进行映射使用映射 值更新集合，将所得到的集合在第三方云服务的布隆过滤器中进行查 询，乘客用户的两个散列值集合与司机历史轨迹点集合产生交集，即 乘客用户散列值集合和终点散列值集合中的点经过布隆过滤器判断， 存在于司机的顺风车历史轨迹点集合中，则将司机加入待选司机集 合，根据用户需求第三方云应用在满足条件情况下筛选多个司机用户 将LSH-MD5隐私轨迹向量所关联的司机加密数据反馈给乘客用户，乘 客用户根据顺风车应用服务提供商所提供的解密密钥对司机的相关 信息进行解密。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术 人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这 些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权 利要求及其等同物限定。

Claims (7)

1.面向隐私保护的司机-乘客匹配机制，其特征在于，匹配机制核心包括三个部分：

①隐私轨迹向量构建：

使用局部敏感哈希对司机用户历史轨迹点进行编码，在数据查询过程中邻近的点会产值相同的LSH编码值，如果司机用户对历史轨迹的离散程度较小则相邻的轨迹点会产生同一LSH编码，对历史轨迹点集中产生的多个相同的LSH编码进行去重操作，为了防止攻击者窃取LSH的编码函数，对LSH编码值进行逆向处理分析出用户真实的轨迹点，故将生成的LSH编码函数使用MD5进行哈希，产生一个32位的哈希值，在这种情况下，邻近的轨迹点因为具有相同的LSH编码值，再经过MD5进行哈希之后产生同一哈希值，也具有判断地理位置是否邻近的功能，把进行了上述处理的离散历史轨迹点集LSH-MD5隐私轨迹向量；

②基于隐私的轨迹匹配：

当乘客用户向第三方云服务发起顺风车待选司机筛选时，通过顺风车应用服务提供商发送的密钥在乘客用户本地端将起始点进行加密索引构建，然后将生成的LSH-MD5编码发送至服务器在布隆过滤器中进行存在性查找，如果用户的LSH-MD5编码存在于第三方云服务中所提供的布隆过滤器中，则标记司机LSH-MD5隐私轨迹向量关联的加密数据，加密数据中包含着司机id、联系方式等信息，第三方云服务经过存在性查询以及司机用户符合乘客用户需求的历史记录条数进行排序，向乘客用户返回待选司机数据集合；

③基于偏好特征的隐私保护：

当乘客用户在接收到第三方云服务反馈的待选司机集合时，乘客用户根据待选集合中提供的司机排序就行数据解密，乘客通过顺风车应用服务提供商所提供的密钥解密司机的相关信息，为提高在司机-乘客偏好阶段的匹配效率，获取司机的id编号之后，乘客向司机发送用车需求以及经过加密的偏好特征在司机端进行判断，当司机符合用户需求时司机便可解密乘客的特征并向用户返回解密结果，并确认乘客的出行需求，在整个密文域进行的司机-乘客偏好特征的隐私匹配阶段，司机与乘客仅进行了两次握手操作，在提高司机-乘客偏好特征隐私匹配的效率的同时增加司机与乘客在偏好匹配过程时的隐私安全性。

2.根据权利要求1所述的面向隐私保护的司机-乘客匹配机制，其特征在于：作为面向隐私保护的司机-乘客顺风车匹配机制的核心构架，在考虑保证司机-乘客匹配效率的情况下还要保证司机，乘客存储与第三方云服务中的地理位置信息安全，同时还要完成目标数据在密文域集合的匹配工作即乘客对位置信息进行编码发送给第三方云服务之后，需要在密文域中搜索出符合用户顺风车需求的司机用户。

3.根据权利要求1所述的面向隐私保护的司机-乘客匹配机制，其特征在于：实现在地理位置域匹配的核心算法，LSH编码处理部分基于二维空间的2DLSH定义如下：

在这里随机生成一个极坐标向量

将空间中的q点投影在极坐标中，其中极坐标角度θ∈[0,2π]，r＝1，b为一个随机变量b∈[0,d]，d为极坐标的单位长度，而在上文中提到的LSH中的哈希族在此场景中由定义

中的映射方式产生多个h来组成本文所使用的LSH哈希族，其类似的使用方法在E2LSH中也有所出现，通过观察图3中的A，B，C三个点，B为点A移动距离b所到达的点，而C点距A点的距离为d则若以距离d为近似距离阈值，则B∈[A,C]；

同样若在空间中存在一点Q，需要找到Q的邻近区域，进而在区域中所存在的点即为Q的邻近点，如图4所示：

当空间中存在一点Q，结合图3所示，可以通过定义

来计算Q点在

上的投影，d为

的单位长度，若空间中存在一点P经过定义

的运算将Q与P映射在

上，期间距离小于d则判断他们邻近，即h(Q)＝h(P)，如图3所示如果采用单一的向量对空间中的点进行映射，则待查询点的邻近区域是一个无限空间，并不能准确的判定点Q是否真正与二维空间中某一点是否邻近,在进行局部敏感哈希运算时会产生一组哈希函数H来进行映射，则可通过多个h的映射聚合成一个有限空间，如图5所示：

空间投影—构建有限邻近区域所示若不采用单一h对待查询点邻近区域进行判断，则会产生有限区域，判断空间中点Q，P是否邻近,若符合：

则邻近，并且判断两点之间是否邻近的精度随着投影向量的个数增加而上升。

4.根据权利要求1所述的面向隐私保护的司机-乘客匹配机制，其特征在于：通过在二维空间中生成有限区域判断空间中两点是否邻近以及对局部敏感哈希算法的介绍不难得出，在定义

中所生成的h的即可作为局部敏感哈希算法中所进行映射操作的哈希族H，结合局部敏感哈希算法原理及流程，存在v组函数g_j(h₁，h₂，…，h_v)，j∈[t]，假设存在点p和点q，在进行数据匹配操作时首先进行p，q编码，即先分别计算出关于p，q两点的g_j(h₁(p)，h₂(p)，…，h_v(p))，j∈[t]以及g_j(h₁(p)，h₂(p)，…，h_v(p))，j∈[t]，然后进行AND-组合操作若存在任意一个g_j(h_n(p))≠g_j(h_n(q))，j∈[t]，n∈[v]，则g_j(p)≠g_j(q)，j∈[t]，然后进行OR-组合操作，在上文提到的H(g₁，g₂，…，g_t)，中若存在任意一个g_j(p)＝g_j(q),j∈[t]，则H(p)＝H(q)，即判定p点与q点位邻近点。

5.根据权利要求4所述的面向隐私保护的司机-乘客匹配机制，其特征在于：将司机经过离散化的历史行程轨迹点进行2DLSH处理，每个点都会产生一个经过2DLSH映射之后产生的散列值，将每组H中h所产生的散列值进行级联操作，若司机选择的离散程度较小，则在司机本来的历史轨迹点里同样会存在部分重复的散列值，对司机所产生的轨迹点中重复的2DLSH散列值进行去重操作，因为散列值相等的情况代表同一片投射区域，所以去重操作并不影响乘客用户进行行程匹配时的结果，在进行去重操作之后，将每个点经过级联操作所产生的散列值作为局部敏感哈希中OR-组合所需的参照项，将用户历史轨迹点集中所产生的2DLSH散列值经过使用MD5进行散列生成LSH-MD5隐私轨迹向量中的元素加入第三方云中所构架的布隆过滤器中，每条历史轨迹可根据需求构建一个小型化的布隆过滤器；在用户进行待选司机集合查询时，使用顺风车应用提供商所提供的LSH参数对起始点以及终点进行映射，并将映射所产生的起始点散列值，分别进行级联操作，产生起点散列值集合与终点散列值集合并使用MD5进行映射使用映射值更新集合，将所得到的集合在第三方云服务的布隆过滤器中进行查询，乘客用户的两个散列值集合与司机历史轨迹点集合产生交集，即乘客用户散列值集合和终点散列值集合中的点经过布隆过滤器判断，存在于司机的顺风车历史轨迹点集合中，则将司机加入待选司机集合，根据用户需求第三方云应用在满足条件情况下筛选多个司机用户将LSH-MD5隐私轨迹向量所关联的司机加密数据反馈给乘客用户，乘客用户根据顺风车应用服务提供商所提供的解密密钥对司机的相关信息进行解密。

6.根据权利要求1所述的面向隐私保护的司机-乘客匹配机制，其特征在于：对面向隐私的司机-乘客偏好特征匹配机制包括以下几个部分：

①乘客用户首先根据顺风车应用服务提供商对自己的偏好选择进行初始化定义，并将偏好特征分为必选属性和可选属性，乘客U在进行初始化流程之后存在如下特征偏好特征向量：

用户进行特征偏好初始化之后所生产的偏好向量如上所示，在集合中共存在n个属性，其中N(Necessary)代表用户所确定的必须匹配属性，O(Optional)代表可选属性，即O中的属性不一定全部选择，其中在必选属性中共存在N个必选属性，而b与r同样代表属性的个数，其中b代表O中所选择的属性个数，而r代表着O中未选择的属性个数，即用户在控制偏好特征模糊匹配程度时，只要待匹配用户匹配了用户U的N+b个属性即可完成匹配，而因为根据顺风车应用服务提供商所提供的数据格式对数据进行过预处理，所以所选属性的必选项在序列顺序上会排在可选项之前，换句话说即只要司机-乘客偏好特征匹配过程中，司机用户在符合乘客用户在属性列表前端的必须匹配偏好的条件下，在可选偏好匹配属性O中未匹配点的格式只要小于等于r，则司机用户具有乘客用户所需偏好；

②因为无论是司机用户还是乘客用户，用户本身所具有的偏好特征隐藏着用户极大的个人隐私，如果在明文域上进行传输匹配，对用户的隐私安全造成了极大威胁，所以在整个用户偏好特征匹配过程中需要对用户的隐私特征进行加密保护，在用户对相关密文特性进行初始化之后，为了保护用户隐私并且支持系统进行模糊匹配，采用具有等价属性的MD5算法对相关信息进行数据处理，生成乘客偏好隐私向量如图7所示，其中每一行为对应属性经过哈希算法处理之后的值，在乘客在本地端生成偏好隐私向量之后，通过对乘客偏好隐私向MD5二次哈希加密操作会生成一个32位的字符串即乘客偏好密钥，通过用乘客偏好密钥以及AES同态加密算法对乘客用户的偏好特征矩阵进行加密，当任何攻击者企图破解乘客的加密偏好特征矩阵，只有还原乘客的偏好特征矩阵即只有符合乘客偏好特征的司机用户才能解密消息；

③当乘客完成偏好隐私向量与偏好信息加密工作之后乘客需要构建模糊匹配矩阵以完成司机-乘客的模糊匹配工作，模糊匹配矩阵包含了b+r个可选择向量之间的线性约束关系，通过模糊匹配矩阵可以帮助符合乘客偏好特征需求阈值的司机用户还原出小于等于r个特征，以结合自身所具有的特征生成乘客用户的偏好特征矩阵解密密钥，并将解密信息发送给乘客，确认订单信息完成匹配工作，模糊匹配构建主要思想是围绕着矩阵的线性约束展开。

7.根据权利要求6所述的面向隐私保护的司机-乘客匹配机制，其特征在于：矩阵的线性约束展开包括以下步骤：

首先构建一个由r行以及b+r列的约束矩阵如下：

C_r×(r+b)＝[I_r×r，R_r×b]

其中I为一个r维的单位矩阵，R是r行b列的矩阵，R中的元素由随机零整数组成，然后将构建的约束矩阵与乘客偏好隐私向量中的可选属性部分相乘构建出矩阵B：

B＝C×[h^a+1，h^a+2，……，hⁿ]^T

则模糊矩阵匹配M由约束矩阵C与B组成：

M＝[C，B]；

当乘客与司机进行偏好特征隐私匹配时，乘客将模糊匹配矩阵，以及行程有关的加密信息发送给司机；

当司机用户接收到乘客发送的用车需求及相关信息时，司机用户使用部署在司机端的布隆过滤器对乘客发送的偏好隐私向量中的必选项与可选项及进行存在性判断，首先判断乘客用户的偏好隐私向量中的必选属性是否都存在于司机用户属性集合，如果不存在则不能解密用户的行程相关信息，然后乘客用户与待选司机集合中下一个司机用户及进行偏好特征隐私匹配，如果乘客用户的偏好隐私向量中必选项经过构建在司机用户端的布隆过滤器判断存在于司机用户的偏好隐私向量中，且用户所提出的可选项的个数经过布隆过滤器判断也达到了用户所需阈值，即对于乘客的偏好特征，司机用户仅存在小于等于r个与乘客不匹配，又或者说，司机不知道小于等于r个乘客可选项的属性的个数；

司机共接收到乘客发送的两个数据集，其中包括乘客的行程偏好相关的加密信息以及模糊匹配矩阵M＝[C,B]，可以将模糊匹配矩阵转换为：

司机用户的经过乘客用户的必选属性筛选后，如果司机的特征满足用户匹配的必选需求，且未满足乘客偏好特征的属性个数小于等于乘客所设定阈值r则可解出上述线性方程，从而得出乘客用户的偏好特征隐私矩阵中可选属性元素，通过将司机的偏好特征隐私矩阵中的必选属性相关元素与其进行级联操作，通过MD5哈希算法进行散列，获得的散列值即为用户发送的加密信息解密密钥，通过解密获取用户起始点，与全部的偏好特征，将其反馈给用户以证明待选司机满足用户匹配要求，最终完成隐私保护的司机-乘客推荐匹配。

Images