CN115052286A - 基于位置服务的用户隐私保护、目标查询方法及系统 - Google Patents
基于位置服务的用户隐私保护、目标查询方法及系统 Download PDFInfo
- Publication number
- CN115052286A CN115052286A CN202210658400.6A CN202210658400A CN115052286A CN 115052286 A CN115052286 A CN 115052286A CN 202210658400 A CN202210658400 A CN 202210658400A CN 115052286 A CN115052286 A CN 115052286A
- Authority
- CN
- China
- Prior art keywords
- key
- user
- user terminal
- anonymous
- identity
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Pending
Links
Images
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/02—Protecting privacy or anonymity, e.g. protecting personally identifiable information [PII]
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/08—Network architectures or network communication protocols for network security for authentication of entities
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/08—Key distribution or management, e.g. generation, sharing or updating, of cryptographic keys or passwords
- H04L9/0861—Generation of secret information including derivation or calculation of cryptographic keys or passwords
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L9/00—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols
- H04L9/32—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials
- H04L9/3247—Cryptographic mechanisms or cryptographic arrangements for secret or secure communications; Network security protocols including means for verifying the identity or authority of a user of the system or for message authentication, e.g. authorization, entity authentication, data integrity or data verification, non-repudiation, key authentication or verification of credentials involving digital signatures
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04W—WIRELESS COMMUNICATION NETWORKS
- H04W12/00—Security arrangements; Authentication; Protecting privacy or anonymity
- H04W12/60—Context-dependent security
- H04W12/63—Location-dependent; Proximity-dependent
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Storage Device Security (AREA)
Abstract
本发明涉及位置服务的用户隐私保护、目标查询方法及服务系统,在用户请求LBS服务前,首先根据用户端位置构造K‑匿名区域,然后利用K‑匿名区域与密钥空间管理中心建立的密钥空间匹配,针对不同用户端所在的地理位置能够分配到不同密钥分区所属的秘密参数,结合双方交换的随机参量能够生成每个用户端专属密钥,利用专属密钥对包括用户位置信息、查询对象等服务请求业务在内的敏感数据加密,保障数据安全,用户终端不直接将身份信息和位置信息发送给位置服务器,而是先将加密的位置信息通过密钥空间管理中心解密、洗牌后再回传给身份认证中心,最终由身份认证中心将处理后的数据提供给位置服务器,隔离身份信息与位置信息之间的连接关系。
Description
技术领域
本发明涉及位置服务隐私保护技术,具体涉及位置服务用户隐私保护、目标查询方法及位置服务系统。
背景技术
随着移动通信、全球定位系统GPS及无线射频识别等无线网络的快速发展,基于位置服务(LBS,Location Based Services)应运而生,智能终端的普及更加促进了LBS应用的发展。LBS与用户提出请求的位置相关,人们利用各种LBS服务查询附近的感兴趣目标(如商场、加油站、公共医疗行政及交通等场所),更有不少移动社交网络应用将用户分享自己的位置信息作为其提供的主要服务之一。为了获得优质的位置服务,同时提出查询请求。位置信息及查询信息作为重要的个人隐私,用户需实时地将自己的位置信息提交给服务器,但这些轨迹数据往往含有丰富的时空信息,针对轨迹数据的推理攻击不仅能够获得用户在什么时间去过什么位置,还可分析出目标用户的家庭住址工作地点等敏感位置信息,甚至可推测出用户的生活习惯健康状态宗教信仰等隐私信息。
目前关于LBS隐私保护领域已有不少研究成果,从不同角度出发提高隐私保护强度与服务质量,针对保护对象的不同主要分为:基于动态假名的方法、基于假位置的方法和基于模糊区域的方法。基于假名的轨迹隐私保护方法是用户在发送基于位置的服务请求时以假名来代替用户的真实身份,最著名的假名技术来自于Beresford和Stajano提出的Mix-Zone,但是Mix-Zone的范围不能大于用户一次位置更新间隔所能覆盖的范围,否则匿名失败,而且其限制用户在Mix-Zone内不能使用LBS服务。
基于假位置的保护技术是用户发送给服务器不同于用户位置的虚假位置信息,或是其它对象的位置信息,如某个路标或重要建筑物的位置信息,此方法保护了用户位置隐私,如SpaceTwist针对kNN查询提出的一套位置隐私保护及查询的方案,该方案的隐私保护效果与选取的锚点位置附近用户的分布有很大关系,如果攻击者分析了用户查询内容,易将用户位置限定于某个范围内,如果此范围只有一个用户发起查询,则用户位置信息暴露。另外,此类方法对攻击者的背景知识假设较为保守,当攻击者获得了从用户的日常行为中提取的背景知识时,即使用户生成的噪声轨迹无法模拟出真实用户的移动轨迹,攻击者也可辨别出用户的真实轨迹。
基于模糊区域的保护方法最典型的案例是对用户位置的K-匿名区域泛化,将移动用户的位置与其他至少k-1个用户位置混淆,包含用户位置在内的混淆区域即为匿名区域,以此对用户真实位置进行模糊化处理。但这种方法易受用户移动速度的推理攻击,且随着匿名度k值的增大会提高计算成本,降低用户的服务质量。
发明内容
为了解决现有基于LBS的用户隐私保护技术存在着以上诸多安全隐患,本发明提供了一种基于位置服务的用户隐私保护方法,通过建立的密钥空间根据用户位置坐标分配专属加密参数,实现对用户位置信息和具体服务项目加密策略,并对用户标识与位置信息实施扰序,能够有效保护用户位置和用户身份隐私。
为实现上述目的,本发明提供的基于位置服务的用户隐私保护方法,该隐私保护方法具体包括:
通过卫星定位系统获取用户终端的地理坐标,由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域;
用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求,密钥空间管理中心查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;
用户终端利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
身份认证中心将位置互换的地理坐标发送给位置服务器,位置服务器根据用户终端的位置服务请求提供对应的位置服务。
进一步优选地,所述K-匿名区域生成步骤为:
用户终端随机生成第一邻近坐标,该第一邻近坐标与用户终端地理坐标的间距小于设定的第一距离阈值,以匿名方式向匿名空间管理中心发送第一邻近坐标;
匿名空间管理中心采用四叉树结构构造虚拟空间,以被划分得到的最底层叶子节点作为最小匿名单元,选择第一邻近坐标所在的最小匿名单元向相邻单元扩展,生成满足K匿名度的区域作为分配给用户终端的K-匿名区域,该K-匿名区域包含第一面积单元,所述第一面积单元是以第一邻近坐标为圆心,第一距离阈值为半径构成的区域,将K-匿名区域的匿名空间路径回传给用户终端;
用户终端在本地生成秘密参数分配请求,该秘密参数分配请求包含由匿名空间管理中心分配的K-匿名区域空间路径和请求标识。
进一步优选地,所述秘密参数分配步骤为:
用户终端在本地生成临时公私钥对和随机数,将随机数和临时公钥添加到秘密参数分配请求内,然后利用密钥空间管理中心的公钥对秘密参数分配请求加密,以匿名方式向密钥空间管理中心发送密文;
密钥空间管理中心利用本地私钥解密密文,提取K-匿名区域空间路径、随机数、临时公钥和请求标识,根据匿名空间路径定位K-匿名区域所在的密钥分区,提取密钥分区对应的安全参数添加到秘密参数分配回执消息内,然后利用临时公钥对秘密参数分配回执消息加密,将密文回传给用户终端;
用户终端利用临时私钥解密密文,提取安全参数并结合随机数,利用设定的密钥生成算法生成空间密钥。
进一步优选地,上述方法还包括:
用户终端将请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后进行签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心在验证签名有效后,以请求标识提取本地存储的随机数和安全参数,利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值;将位置互换后的地理坐标与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标关联,将包含关联数据的位置服务请求发送给位置服务器。
进一步优选地,所述密钥空间管理中心采用四叉树结构构造密钥空间,以被划分得到的最底层叶子节点作为最小密钥分区,通过密钥空间路径定位密钥分区,每个密钥分区包含不同的安全参数。
本发明还提供了一种基于位置服务的目标查询方法,用户在执行目标查询过程中使用了上述隐私保护方法,所述目标查询方法包括:
用户终端利用上述隐私保护方法生成空间密钥,然后向身份认证中心发送第一目标查询请求,所述第一目标查询请求包括用户身份标识、由空间密钥对目标查询对象、查询承诺和地理坐标加密的密文,所述查询承诺用于实现对目标查询结果认领功能;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,同时交换对应的目标查询对象和查询承诺,将位置互换后的数据回传给身份认证中心;
身份认证中心将位置互换后的数据发送给位置服务器;
位置服务器在与地理坐标相邻的区域内检索目标查询对象,将目标查询结果与查询承诺一起回传给身份认证中心;
用户终端通过匿名方式向身份认证中心发送查询承诺的生成参数,身份认证中心利用生成参数计算承诺值,将承诺值与目标查询结果对应的查询承诺比较,将承诺值一致的目标查询结果回传给用户终端。
进一步优选地,本发明的目标查询方法还包括以下实施步骤:
用户终端将秘密参数分配请求的请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后进行签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心在验证签名有效后,以请求标识提取本地存储的随机数和安全参数,利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值,将位置互换后的地理坐标、目标查询对象、查询承诺与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标、目标查询对象、查询承诺关联,将包含关联数据的第二目标查询请求发送给位置服务器。
进一步优选地,所述查询承诺的生成参数包括盲化因子、时间戳和目标查询关键字,所述的时间戳为用户终端生成第一目标查询请求的时间点;
用户终端在本地生成随机性的盲化因子,然后利用设定的承诺函数,并通过盲化因子对时间戳与目标查询关键字的级联数据进行盲化后生成查询承诺;
身份认证中心在比较得到承诺值一致的目标查询结果之后还包括:判断目标查询请求接收时间点与时间戳的间隔是否小于设定的时间阈值,在确认小于时间阈值的情况下,进一步判断目标查询关键字与目标查询结果是否匹配,在匹配一致的情况下将目标查询结果回传给用户终端。
为了实现用户隐私保护、目标查询等位置服务,本发明还提供了一种位置服务系统,本系统包括:用户终端、卫星定位系统、匿名空间管理中心、密钥空间管理中心、身份认证中心和位置服务器。
卫星定位系统:用于定位用户终端位置,生成用户终端所在位置的地理坐标;
匿名空间管理中心:用于为用户终端生成包含地理坐标的K-匿名区域;
密钥空间管理中心:接收用户终端发送的包含K-匿名区域在内的秘密参数分配请求,查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;解密身份认证中心发送的密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
用户终端:利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心:提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;将位置互换的地理坐标发送给位置服务器;
位置服务器:根据用户终端的位置服务请求提供对应的位置服务。
本发明基于LBS用户隐私保护方法、目标查询方法及系统的有益效果在于:
在用户请求LBS服务前,首先根据用户端位置构造K-匿名区域,然后利用K-匿名区域与密钥空间管理中心建立的密钥空间匹配,针对不同用户端所在的地理位置能够分配到不同密钥分区所属的秘密参数,结合双方交换的随机参量能够生成每个用户端专属密钥,利用专属密钥对包括用户位置信息、查询对象等服务请求业务在内的敏感数据加密,保障数据安全,且在每次提交相关服务请求前,用户终端都能够根据当前位置被分配到不同的专属密钥,使得加密环境具有随机性和不可预测性。
用户终端不直接将身份信息和位置信息发送给位置服务器,而是先由身份认证中心验证用户身份有效性,然后将加密的位置信息通过密钥空间管理中心解密、洗牌后再回传给身份认证中心,最终由身份认证中心将处理后的数据提供给位置服务器,以此打破身份信息与位置信息之间的连接关系,避免攻击者利用窃取得到的用户关联数据来追踪用户;另外对于身份认证中心来说,其只知晓用户身份信息,对用户位置信息是不可推测的,而对于密钥空间管理中心来说,也无法确认接收到的位置信息属于哪一个用户终端,实现了用户隐私信息的双向保密;
密钥空间管理中心将接收到的同属于一个时空区域内的地理坐标与其他时空区域的地理坐标进行位置交换,此时位置服务器采集单一用户的轨迹数据是不连续的,因此通过对地理坐标位置离散化,使得攻击者无法采用轨迹追踪方法结合背景知识来确认用户真实身份及日常行为,同时也极大程度上减少了在一些稀疏区域中的用户被曝光的概率。
附图说明
图1为本发明的基于位置服务的用户隐私保护方法流程图;
图2为本发明采用的四叉树结构构造的匿名空间;
图3为本发明采用四叉Hash树结构构造的匿名空间路径;
图4为本发明采用平面结构的四象限坐标构造的匿名空间路径;
图5为本发明提供的一种位置服务系统结构示意图。
具体实施方式
为使本发明的目的、技术方案和优点更加清楚,下面将结合附图对本发明实施方式作进一步地详细描述。
LBS位置隐私保护技术一般分为三种模式:独立式结构、集中式结构和分布式P2P结构。独立式结构是移动用户直接与LBS服务器通信执行服务查询请求,即采用传统的C/S模式由移动客户端独自完成位置匿名与查询结果求精功能。独立式结构简单且容易实现,但该结构使用假地址方案时隐私保护强度通常较弱,例如当某区域用户密度过于稀疏时,甚至匿名区域里仅有一个用户时,则攻击者很容易推测出发送查询请求的用户身份或进行轨迹跟踪,并且计算和匿名处理过程都需要在移动终端完成,故增大了移动终端的负担。集中式结构是在移动终端与LBS服务器之间增加可信第三方匿名服务器,匿名服务器负责收集用户的精确位置,按照一定的规则和算法对用户位置进行匿名保护,向LBS服务器发送匿名服务请求,同时接收查询结果并进行求精处理,一方面可以满足用户安全性需求并通过其庞大的运算资源保证服务质量,另一方面降低了用户终端的系统开销,因此集中式结构是目前使用最为广泛的方式。但是由于匿名服务器中同时存储所有查询用户的真实位置信息和身份信息,很容易成为攻击目标,导致完整的用户隐私信息被泄露,造成灾难性后果。分布式点对点结构不依赖任何第三方平台,利用无线网络与其他对等邻居节点进行通信,通过不同的通信跳数来找到至少k-1个邻居节点,移动终端与找到的k-1个邻居节点组成匿名集合,选择集合中的某个节点位置或使用区域中定义的锚点来代替用户终端的真实位置执行查询业务,将查询请求方与LBS服务器相隔离,最后由请求方根据自身地理位置对查询候选集进行过滤求精。该结构消除了第三方匿名服务器带来的单点攻击风险,但由于匿名处理和对查询结果候选集的筛选过滤都是由用户终端完成,从而增加了终端的系统开销,且如果存在不诚实节点或伪装用户身份执行一个虚假匿名查询,则在请求发送端附近的所有诚实节点的用户身份都将被曝光。
本发明基于集中式隐私保护模式,提出对用户隐私信息实施分步骤处理的用户隐私数据保护方案。首先利用身份认证中心对用户身份进行验证识别,在确认用户身份合法后将用户加密的位置信息转发给密钥空间管理中心,由密钥空间管理中心对众多用户组成的地理坐标集进行洗牌,打乱原有身份标识与地理位置信息之间的关联关系,最后再通过身份认证中心将分步处理后的位置服务请求消息发送给位置服务器,根据不同服务类型,位置服务器可能仅获取到用户地理坐标,也可能获取到用户身份标识与位置信息的假关联数据,但无论是哪一种情况,对于位置服务器来说都无法推测用户完整隐私信息,即无法判定某个用户在某个时刻所在的位置信息。同时对于身份认证中心和密钥空间管理中心来说,由于双方都仅能获取到用户的部分隐私数据,任何一方都无法独自推断出用户身份标识与位置信息的真实关联数据,实现了用户隐私信息的双向保密和约束,避免一方因发生单点攻击时导致攻击者同时窃取到用户身份与位置信息。如图1所示,本发明提供的隐私保护方法具体包括以下步骤:
首先,通过卫星定位系统获取用户终端的地理坐标,由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域;
在获取到K-匿名区域后,用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求,密钥空间管理中心查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;
然后,用户终端利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心在接收到位置服务请求消息后,提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心利用空间密钥解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
最后,由身份认证中心将位置互换的地理坐标发送给位置服务器,位置服务器根据用户终端的位置服务请求提供对应的位置服务。用户终端可在身份认证中心对位置服务器反馈的服务数据进行预处理,也可从身份认证中心处认领到完整的服务数据后再到本地进行相应处理。
常见的K-匿名区域一般是指:由匿名服务器提供一个由k个对象构成的集合,使目标对象与其他k-1个对象不可区分,将用户具体位置用k个对象所在的区域代替,用模糊区域的中心位置或者其中所有用户的平均位置去向LBS服务器发起服务请求,构造的匿名区域主要包括矩形、圆形、多边形和各种不规则图形等。在本发明提供的一个实施例中,将整体地理空间划分成为方形的网格,通过四叉树结构逐层构造不同大小的匿名区域。以最小的匿名区域作为最小的子空间区域,通过递归的方式将地理空间范围划分成四个大小相同的子空间,接着继续对子空间以相同的方式划分,上一层的每个网格对应下一层的四个网格,直到每个子空间都达到最小匿名区域大小为止,即为叶子节点。如图2所示,其中第2层的子空间S进一步被划分为第3层的四个子空间s1、s2、s3和s4。构造得到的整个树状虚拟空间由匿名空间管理中心存储,并进行实时位置更新。一种位置更新方式是:当有用户端向卫星定位系统请求定位服务时,卫星定位系统会将匿名用户的地理位置信息同时发送给用户端和匿名空间管理中心,匿名空间管理中心以设定的信息采样时间对各匿名区域进行位置采样、更新。也可从位置服务器定期采集用户位置信息集来实施更新本地空间数据。
当用户终端收到自身的地理坐标后,向匿名空间管理中心发送匿名区域生成请求,在本发明中为了进一步降低用户真实位置被泄露的风险,选择与用户终端相邻的一个锚点代替用户真实位置向匿名空间管理中心请求匿名区域。首先,用户终端可根据设定的第一距离阈值,在小于该第一距离阈值的间距内随机生成一个坐标点或选择某个标的物作为第一邻近坐标,以匿名方式向匿名空间管理中心发送第一邻近坐标;然后,匿名空间管理中心定位第一邻近坐标所在的最小匿名区域,从包含第一邻近坐标的四叉树叶子节点开始搜索其他用户终端,若叶子节点的用户终端数量不小于k时,需要进一步判断当前匿名区域中是否完全包含第一面积单元,第一面积单元是以第一邻近坐标为圆心,以第一距离阈值为半径构成的圆形区域,使得用户的真实位置坐标落于圆形区域内,但具体位置对于匿名空间管理中心来说是不可知的。如果叶子节点包含第一面积单元则将当前匿名区域作为用户终端的K-匿名区域,如果不包含则需要对前一匿名区域进行扩展,因为用户终端的真实位置可能会不在当前匿名区域内,以当前匿名区域向相邻的匿名区域扩展,相邻的匿名区域是从属于同一父节点下的其他三个子节点,最小的扩展粒度为最小网格空间,如果扩展后的区域完全包含了第一面积单元,那么将该扩展区域作为用户终端的K-匿名区域,如果仍不能完全包含第一面积单元,需要向上一层父节点具有同属关系的其他三个节点继续扩展,直至完全包含第一面积单元为止,如图2所示,第一邻近坐标u首先可以沿相互垂直的x轴和y轴向相邻的叶子节点扩展,三个相邻的叶子节点与第一邻近坐标u所在节点在第n-1层属于同一个父节点,如果扩展到整个父节点区域后仍无法满足条件,则需要沿z轴在第n-1层对与父节点属同族的其他三个节点继续扩展,以此类推直至满足条件为止;相反,若叶子节点的用户终端数量小于k时,同样地按照上述方式向相邻的其他三个叶子节点扩展,若同阶的所有叶子节点的用户终端总数仍不足k时,则选择叶子节点对应的上层网格自底向上逐层进行区域扩展,直至同时满足k匿名度和完全包含第一面积单元的匿名区域出现为止,将最终确定的K-匿名区域发送给用户终端。因上述匿名空间划分方法是以最小空间粒度为依据,不是以k值作为区域划分对象,所以各匿名区域内会保持不同的用户终端数量,使得最终生成的K-匿名区域中所包含的用户总数一般都是大于k的非固定值,只有少数情况下用户数量恰巧等于k值。
用户终端接收匿名空间管理中心分配的K-匿名区域,可以通过空间路径确认用户所属的K-匿名区域,具体地,从四叉树匿名空间的最底层开始,每个叶子节点均通过一个具有唯一性的哈希值作为本地标识,同阶的四个叶子节点之间通过哈希值的两两拼接后,二次执行哈希运算生成新的哈希值作为两个叶子节点的末端子路径,再次将两个末端子路径拼接后继续执行哈希运算,将哈希运算结果作为上一层父节点的本地标识,并重复执行上述操作直至到达代表整个地理空间的根节点,至此构成了一个四叉哈希树,而某个K-匿名区域的空间路径就是其在四叉哈希树中的索引。如图3所示的四叉Hash树结构,八个叶子节点的哈希标识为L1-L8,其中L1-L4和L5-L8分别从属于父节点L13和L14,将同族内四个叶子节点的哈希值两两关联,进一步生成哈希值L9-L12,其中哈希值L9和L10分别表示叶子节点L1-L2和L3-L4共同的末端路径分支,再将哈希值L9和L10级联并生成父节点的哈希标识L13,重复执行上述操作直至根节点Top,以叶子节点L4为例,其空间路径可表示为Top:\L13\L10\L4。因此只要用户终端保存有该四叉Hash树,即可通过匿名空间管理中心提供的空间路径确定当前被分配到的K-匿名区域。
还可通过四象限的地理坐标作为空间路径对K-匿名区域定位,每个网格区域由四个方位角上的一组象限坐标来限定范围,如图4所示,第一邻近坐标u所在的叶子节点区域表示为{(0,0),(1,0),(0,1),(1,1)},假设用户选择的K匿名度值为9,由于当前区域内只有3个用户,需要沿x轴和y轴向相邻的叶子节点扩展,当扩展到整个父节点区域{(0,0),(2,0),(0,2),(2,2)}后仍不满足k值要求,为此需要沿父节点属同族的其他三个节点继续扩展,当扩展到区域{(0,0),(4,0),(0,4),(4,4)}后发现当前区域的用户数量为10,因此将该区域作为最终被分配的K匿名区域,此时匿名空间管理中心仅需向用户终端发送四象限坐标集{(0,0),(4,0),(0,4),(4,4)}即可确定匿名区域所在位置,也可发送区域对角线上的两个坐标{(0,0),(4,4)}来定位匿名区域。
另外,在其他实施例中,用户终端还可以选择相邻的多个锚点代替用户真实位置向匿名空间管理中心请求匿名区域,即用户终端仍可根据设定的第一距离阈值,在小于该第一距离阈值的间距内随机生成多个坐标点或选择多个标的物组成第一邻近坐标集,以匿名方式向匿名空间管理中心发送第一邻近坐标集;同样地,匿名空间管理中心定位到每个第一邻近坐标所在的最小匿名区域,并为每一个第一邻近坐标分配满足K-匿名度且完全包含对应第一面积单元的K-匿名区域,每个第一邻近坐标被分配到一个K-匿名区域,将组成的K-匿名区域集发送给用户终端,此时可以直接传送选定的空间路径集,空间路径集中包含每个K-匿名区域的空间路径,对于用户终端而言,每个K-匿名区域均包括用户终端的真实位置。此种方式能够进一步模糊匿名区域,提高系统安全性,但弊端是增加了空间计算复杂度和网络通信资源占用,不适用于广泛分布的轻节点和对保密要求不是特别高的用户群体。
用户终端在本地生成秘密参数分配请求,将由匿名空间管理中心分配的一个或多个K-匿名区域空间路径和请求标识添加到秘密参数分配请求内,所述的请求标识用于对秘密参数分配请求消息实施标记,然后将秘密参数分配请求通过秘密方式发送给密钥空间管理中心。密钥空间管理中心可以在系统初始化阶段生成一个加密公私钥对(cpk,csk),对外公布公钥cpk,利用公钥cpk对数据加密并通过私钥csk在本地解密获得明文。在以下实施例中,具体的秘密参数分配过程为:
首先,用户终端在本地生成临时公私钥对(upk,usk)和随机数r,将随机数r和临时公钥upk添加到秘密参数分配请求内,然后利用密钥空间管理中心的公钥cpk对秘密参数分配请求加密,以匿名方式向密钥空间管理中心发送密文;
密钥空间管理中心利用本地私钥csk解密密文,提取K-匿名区域空间路径、随机数r、临时公钥upk和请求标识,根据匿名空间路径定位K-匿名区域所在的密钥分区,提取密钥分区对应的安全参数添加到秘密参数分配回执消息内,然后利用临时公钥upk对秘密参数分配回执消息加密,将密文回传给用户终端;如果涉及到多个K-匿名区域,那么需要将所有K-匿名区域指定的各密钥分区组成的安全参数集同时发送给用户终端;
用户终端利用临时私钥usk解密密文,提取安全参数并结合随机数r,利用设定的密钥生成算法生成空间密钥。如果用户终端选用了多个K-匿名区域,根据密钥空间管理中心回传的安全参数集能够生成相同数量的空间密钥,用户终端可以从中任选一个空间密钥作为加密工具执行对隐私数据的加密操作,因为选择的空间密钥具有不定向性,使得攻击者即便通过一定手段窃取了少部分空间密钥也存在着较低的碰撞概率,提高密钥被破解的难度。
与现有K-匿名区域应用方式不同的是,本发明对用户终端实施K-匿名区域模糊化处理是为了从密钥空间管理中心分配相应的秘密参数,不考虑将K-匿名区域内的所有假地址共同参与位置服务请求,位置服务器只负责执行与用户真实位置关联的服务请求,不以任何假地址同时作为服务对象计算对应的服务请求,极大地降低了位置服务器的运算成本,提高了工作效率。
用户终端的地理坐标位于被分配的密钥分区内,密钥空间管理中心同样以整个地理空间划分密钥分区,可根据经纬度范围均匀划分出不同分区,也可以采用与匿名区域相同的空间划分方法,即采用四叉树结构构造密钥空间,以被划分得到的最底层叶子节点作为最小密钥分区,通过密钥空间路径定位密钥分区,与匿名区域不同之处在于,每个密钥分区还包含不同的安全参数,因此本发明提供的加密机制具有地域性,位于不同区域的用户终端会获得完全不同的安全参数,生成不同的密钥,即便是位于同一时空区域的任意两个用户终端,由于生成的密钥还与用户终端提供的随机参数相关,因此同时空的用户终端之间也会获得不同的密钥。密钥分区的安全参数会根据本区域被请求的频次或按时间周期进行更新,保持密钥分配机制的活力。
为了降低运算成本,密钥分区的确立需要满足当前分区包含用户的K-匿名区域,并不可找到满足此条件下更小的分区。一种优选地的方式是将密钥空间构造成为匿名空间的虚拟映射空间,即在密钥空间中对于任意一个最小密钥分区,在匿名空间中均可找到具有相同区域的最小匿名区域,这种空间构造方法能够利用匿名空间路径直接定位到对应的密钥分区,而无需再单独计算K-匿名区域在密钥空间中的密钥分区。
假设采用椭圆曲线加密算法(ECC)实现密钥协商过程:密钥空间管理中心为用户终端分配的密钥分区i生成一个临时公私钥对(Bi,bi)和一个随机数di,其中临时公钥Bi=biGi,Gi表示为密钥分区i选取的某个椭圆曲线上的一个基点,将随机数di、基点Gi和临时公钥Bi作为安全参数发送给用户终端,用户终端可利用以下提供的密钥生成算法产生空间公钥Ei=rdiGi+Bi,利用该空间公钥Ei对用户敏感信息加密。
而在密钥空间管理中心处同样可以生成上述空间公钥Ei和对应的空间私钥ei,这是由于Ei=rdiGi+biGi=(rdi+bi)Gi,因此空间私钥ei=rdi+bi,利用该空间私钥ei解密由用户终端加密的数据。
具体的加密数据可以表示为点向量Fm={jGi,Pm+jEi},明文消息m被编码为点值Pm,j表示随机因子,用于盲化被加密的消息m。密钥空间管理中心对Fm解密的过程为:Pm+jEi-ei(jGi)=Pm+j(eiGi)-ei(jGi)=Pm,用户终端通过将分量jEi与点Pm相加来伪装Pm,因为只有用户终端知晓随机因子j,所以除用户终端以外任何人都不能去除该分量jEi,但是用户终端也在伪装后的消息中包含了有关的线索,使得已知空间私钥ei情况下可以去除该伪装。攻击者想要恢复消息明文,则必须从Gi和jGi之间求出随机因子j,但是这被认为是极其困难的。
除此之外,还可进一步采用Diffie-Hellman等密钥交换协议实施ECC秘密参数的交换,以提高秘密参数在传输过程中的安全,且不仅限于上述椭圆曲线加密算法,根据应用环境要求也可采用诸如RSA公钥加密算法或AES等对称加密算法执行上述密钥生成、数据加解密操作。
在本发明提供的另外一个实施例中,基于位置服务的用户隐私保护方法还包括以下实施内容:
用户终端将秘密参数分配请求的请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后,利用身份认证中心的签名私钥对绑定的消息签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心首先利用身份认证中心公布的签名公钥验证签名的有效性,如果无效则向身份认证中心回传签名验证失败消息,如果签名被验证有效,则以请求标识提取本地存储的随机数和安全参数,在上一实施例中具体指随机数r、随机数di、基点Gi、临时公私钥对(Bi,bi),利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值;将位置互换后的地理坐标与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标关联,将包含关联数据的位置服务请求发送给位置服务器。
第二距离阈值的大小体现了地理坐标被离散化程度,设置的值越大,用户终端被互换的位置间隔越远,离散程度越高,使得用户轨迹更不易被追踪,但会增加查询计算难度和运营成本,因此需要根据安全程度要求及本地资源占用率适当调整取值。
在用户终端生成有多个空间密钥的情况下,由于同一个请求标识与多个密钥分区组成的安全参数集绑定,对于用户终端在本地任选的一个空间密钥,只要通过关联的请求标识,密钥空间管理中心仍然可以通过枚举法测试得出用户终端所使用的某个空间密钥。
通过设置伪身份标识能够将交换后的地理坐标与原用户终端重新关联,而地理坐标洗牌过程对身份认证中心是不可获知的。在上述实施例中,密钥空间管理中心将接收到的同属于一个时空区域内的地理坐标与其他时空区域的地理坐标进行位置交换,同一时空区域内的地理坐标是指同一密钥分区在相同采集时段接收到的地理坐标信息,与相同采集时段的其他密钥分区的地理坐标互换,使得位置服务器采集单一用户的轨迹数据是不连续的,因此通过对地理坐标位置离散化,使得攻击者无法采用轨迹追踪方法结合背景知识来确认用户真实身份及日常行为,同时也极大程度上减少了在一些稀疏区域中的用户被曝光的概率。
由于在常见的应用软件中,地理位置信息通常被表征为平面坐标数据,为此可采用二维空间的欧氏距离公式计算两点间距离,并以密钥分区编号按序执行位置交换动作。假设有待交换的平面坐标点A:(x1,y1),计算与其他密钥分区的第n个平面坐标点(xn,yn)之间的欧氏距离,两点间的欧氏距离表示为
当距离ρn大于设定的第二距离阈值时,将其加入候选交换对象集,最后从候选交换对象集中随机选取一个坐标点作为位置交换对象,或者计算所有欧氏距离的平均值,选取最接近该平均值的坐标点作为位置交换对象。在一轮坐标位置洗牌结束后,如果存在某些平面坐标点未执行过位置交换,则可在已交换位置状态下对未交换的坐标点二次执行洗牌动作,通过迭代运算直至所有坐标点均执行了至少一次位置交换动作。需要指出的是,前述第一距离阈值也可通过计算第一邻近坐标与用户终端地理坐标之间的欧氏距离作为比较的依据。
涉及上述用户隐私保护方法在位置服务领域的具体应用,本发明提供了一种基于位置服务的目标查询方法,该目标查询方法融合有前述空间密钥生成过程,具体包括以下内容:
首先,用户终端在请求目标查询服务之前,先通过卫星定位系统获取用户终端的地理坐标,由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域;
在获取到K-匿名区域后,用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求,密钥空间管理中心查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;
然后,用户终端利用秘密参数生成空间密钥,接着向身份认证中心发送第一目标查询请求,所述第一目标查询请求包括用户身份标识、由空间密钥对目标查询对象、查询承诺和地理坐标加密的密文,所述查询承诺用于实现对目标查询结果认领功能;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,同时交换对应的目标查询对象和查询承诺,将位置互换后的数据回传给身份认证中心;
身份认证中心将位置互换后的数据发送给位置服务器;
位置服务器在与地理坐标相邻的区域内检索目标查询对象,将目标查询结果与查询承诺一起回传给身份认证中心;
用户终端通过匿名方式向身份认证中心发送查询承诺的生成参数,身份认证中心利用生成参数计算承诺值,将承诺值与目标查询结果对应的查询承诺比较,将承诺值一致的目标查询结果回传给用户终端。
上述目标查询方法使用了密码学中的一种加密原语“承诺”,承诺协议要求承诺方在对一个选定的值进行承诺后,将原实际值隐藏发送给第三方,并能够在之后揭示所承诺的值。承诺方案的设计使得一方在承诺后不能改变承诺的实际值,即承诺具有保持数据完整性的约束力。用户终端将要查询的目标作为承诺的对象生成查询承诺,以秘密方式将目标查询对象和查询承诺发送给密钥空间管理中心,通过洗牌后将目标查询对象和查询承诺回传给身份认证中心,此时身份认证中心无法获知任意查询承诺的承诺方真实身份,但承诺方可通过匿名方式向身份认证中心发送承诺生成参数来认领之前发送的某个目标查询对象,以及位置服务器反馈的目标查询结果,通过承诺机制证明自身是当前目标查询结果的拥有者,实现了对用户查询业务的隐私保护。
具体地,所述的生成参数可包括盲化因子、时间戳和目标查询关键字,所述的时间戳为用户终端生成第一目标查询请求的时间点。
用户终端在本地生成随机性的盲化因子,然后利用设定的承诺函数,并通过盲化因子对时间戳与目标查询关键字的级联数据进行盲化后生成查询承诺,所述的查询承诺可以表示为:
其中,COMM()表示承诺函数,fu表示随机盲化因子,tu表示时间戳,τu表示目标查询关键字。
用户终端通过匿名方式向身份认证中心发送随机盲化因子fu、时间戳tu、目标查询关键字τu,身份认证中心利用同样的承诺函数重新计算承诺值,在比较得到承诺值一致的目标查询结果之后还包括以下验证操作:第一步,判断第一目标查询请求接收时间点tc与时间戳tu的间隔是否小于设定的时间阈值ts,该时间阈值为满足可接受的网络数据接收延迟的条件,如果tc-tu>ts,则表明超时接收到第一目标查询请求消息,该请求消息被判定为无效,因为存在消息被攻击者拦截并伪装成用户终端向身份认证中心发送伪造请求的风险,需要通知用户终端重新提出查询请求,如果tc-tu≤ts,则表明接收到的第一目标查询请求消息按时到达身份认证中心;第二步,在确认小于时间阈值的情况下,进一步判断目标查询关键字τu与目标查询结果是否匹配,即判断两者之间是否相关,如果不匹配,则表明当前目标查询结果与提供承诺生成参数的用户终端不匹配,用户终端可能是引用了错误关键字生成了与查询结果不相关的查询承诺,也可能被攻击者篡改了查询对象导致关键字与查询结果不一致,此时需要向用户终端反馈匹配失败消息,只有在匹配一致的情况下,身份认证中心才会将对应的目标查询结果回传给用户终端,传送的目标查询结果可通过用户终端提供的密钥加密,也可在双方之间协商出的秘密参数生成共享密钥实施数据加密过程。
在本发明提供的另外一个实施例中,基于位置服务的目标查询方法还包括以下实施内容:
用户终端将秘密参数分配请求的请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后进行签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心在验证签名有效后,以请求标识提取本地存储的随机数和安全参数,利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值,将位置互换后的地理坐标、目标查询对象、查询承诺与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标、目标查询对象、查询承诺关联,将包含关联数据的第二目标查询请求发送给位置服务器。
相比于第一目标查询请求,第二目标查询请求中的用户身份标识与地理坐标之间是不相关的,但地理坐标、目标查询对象及查询承诺之间保持了正确的关联性,使得位置服务器在无法获知用户身份标识与地理坐标之间正确关系的情况下,仍能够根据用户终端提出的服务请求执行相关查询服务。
用户终端可以根据路程远近、认知度、偏好等从接收到的目标查询结果中选择一个兴趣点(place of interest,POI),利用手机或车载终端安装的地图软件在用户终端位置与兴趣点之间建立导航路径。所述的地图软件一般是由网络运营商开发的、基于卫星定位、移动网络基站连接服务在内的集成式服务平台,其后台与位置服务器和数据库连接,接收用户终端发送的服务指令,并将位置服务器计算得到的服务数据反馈给用户终端。为了保障用户隐私保护机制不被破坏,用户手机或车载终端与匿名空间管理中心、身份认证中心、密钥空间管理中心和位置服务器之间始终保持独立运作,并通过无线网络通信,地图软件可以通过系统规范的底层协议接口与用户终端无缝连接,也可将用户终端直接与地图软件集成。
特别是在路网环境下,本发明还提供了一种基于位置服务的导航方法,本方法同时利用到上述隐私保护方法的加密技术,以及选择目标查询方法获得的查询结果作为导航对象,具体包括以下内容:
首先,用户终端在请求目标查询服务之前,先通过卫星定位系统获取用户终端的地理坐标,由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域;
在获取到K-匿名区域后,用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求,密钥空间管理中心查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;
然后,用户终端利用秘密参数生成空间密钥,接着向身份认证中心发送第一目标查询请求,所述第一目标查询请求包括用户身份标识、由空间密钥对目标查询对象、查询承诺和地理坐标加密的密文,所述查询承诺用于实现对目标查询结果认领功能;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,同时交换对应的目标查询对象和查询承诺,将位置互换后的数据回传给身份认证中心;
身份认证中心将位置互换后的数据发送给位置服务器;
位置服务器在与地理坐标相邻的区域内检索目标查询对象,将目标查询结果与查询承诺一起回传给身份认证中心;
用户终端通过匿名方式向身份认证中心发送查询承诺的生成参数,身份认证中心利用生成参数计算承诺值,将承诺值与目标查询结果对应的查询承诺比较,将承诺值一致的目标查询结果回传给用户终端;
用户终端从目标查询结果中选择一个兴趣点,利用地图软件提供的离线或在线道路数据在兴趣点与用户终端的地理坐标之间建立导航路径,并利用卫星定位系统发送的实时定位数据对导航路径进行实时更新。
为了实现上述用户隐私保护方法及相关位置服务,本发明还提供了一种位置服务系统,如图5所示,该系统包括:用户终端、卫星定位系统、匿名空间管理中心、密钥空间管理中心、身份认证中心和位置服务器;
卫星定位系统:用于定位用户终端位置,生成用户终端所在位置的地理坐标;
匿名空间管理中心:用于为用户终端生成包含地理坐标的K-匿名区域;
密钥空间管理中心:接收用户终端发送的包含K-匿名区域在内的秘密参数分配请求,查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;解密身份认证中心发送的密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
用户终端:利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心:提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;将位置互换的地理坐标发送给位置服务器;
位置服务器:根据用户终端的位置服务请求提供对应的位置服务。
上述位置服务系统通过搭载于多个服务端上的数据处理设备实现用户信息隐私保护及位置服务功能,包括处理器,适用于实现一条或多条计算机程序;计算机存储介质,用于存储有一条或多条计算机程序,所述一条或多条计算机程序用于执行本发明的上述用户隐私保护方法、目标查询及导航方法。
对于本领域技术人员而言,显然本发明不限于上述示范性实施例的细节,而且在不背离本发明的精神或基本特征的情况下,能够以其他的具体形式实现本发明。因此,无论从哪一点来看,均应将实施例看作是示范性的,而且是非限制性的,本发明的范围由所附权利要求而不是上述说明限定,因此旨在将落在权利要求的等同要件的含义和范围内的所有变化涵括在本发明内。不应将权利要求中的任何附图标记视为限制所涉及的权利要求。
Claims (9)
1.基于位置服务的用户隐私保护方法,其特征在于,所述隐私保护方法包括:
通过卫星定位系统获取用户终端的地理坐标,由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域;
用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求,密钥空间管理中心查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;
用户终端利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
身份认证中心将位置互换的地理坐标发送给位置服务器,位置服务器根据用户终端的位置服务请求提供对应的位置服务。
2.根据权利要求1所述基于位置服务的用户隐私保护方法,其特征在于,所述K-匿名区域生成步骤为:
用户终端随机生成第一邻近坐标,该第一邻近坐标与用户终端地理坐标的间距小于设定的第一距离阈值,以匿名方式向匿名空间管理中心发送第一邻近坐标;
匿名空间管理中心采用四叉树结构构造虚拟空间,以被划分得到的最底层叶子节点作为最小匿名单元,选择第一邻近坐标所在的最小匿名单元向相邻单元扩展,生成满足K匿名度的区域作为分配给用户终端的K-匿名区域,该K-匿名区域包含第一面积单元,所述第一面积单元是以第一邻近坐标为圆心,第一距离阈值为半径构成的区域,将K-匿名区域的匿名空间路径回传给用户终端;
用户终端在本地生成秘密参数分配请求,该秘密参数分配请求包含由匿名空间管理中心分配的K-匿名区域空间路径和请求标识。
3.根据权利要求2所述基于位置服务的用户隐私保护方法,其特征在于,所述秘密参数分配步骤为:
用户终端在本地生成临时公私钥对和随机数,将随机数和临时公钥添加到秘密参数分配请求内,然后利用密钥空间管理中心的公钥对秘密参数分配请求加密,以匿名方式向密钥空间管理中心发送密文;
密钥空间管理中心利用本地私钥解密密文,提取K-匿名区域空间路径、随机数、临时公钥和请求标识,根据匿名空间路径定位K-匿名区域所在的密钥分区,提取密钥分区对应的安全参数添加到秘密参数分配回执消息内,然后利用临时公钥对秘密参数分配回执消息加密,将密文回传给用户终端;
用户终端利用临时私钥解密密文,提取安全参数并结合随机数,利用设定的密钥生成算法生成空间密钥。
4.根据权利要求3所述基于位置服务的用户隐私保护方法,其特征在于,还包括:
用户终端将请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后进行签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心在验证签名有效后,以请求标识提取本地存储的随机数和安全参数,利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值;将位置互换后的地理坐标与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标关联,将包含关联数据的位置服务请求发送给位置服务器。
5.根据权利要求3所述基于位置服务的用户隐私保护方法,其特征在于,所述密钥空间管理中心采用四叉树结构构造密钥空间,以被划分得到的最底层叶子节点作为最小密钥分区,通过密钥空间路径定位密钥分区,每个密钥分区包含不同的安全参数。
6.基于位置服务的目标查询方法,其特征在于,所述目标查询方法包括:
用户终端利用权利要求1-5之一的方法生成空间密钥,然后向身份认证中心发送第一目标查询请求,所述第一目标查询请求包括用户身份标识、由空间密钥对目标查询对象、查询承诺和地理坐标加密的密文,所述查询承诺用于实现对目标查询结果认领功能;
身份认证中心提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;
密钥空间管理中心解密密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,同时交换对应的目标查询对象和查询承诺,将位置互换后的数据回传给身份认证中心;
身份认证中心将位置互换后的数据发送给位置服务器;
位置服务器在与地理坐标相邻的区域内检索目标查询对象,将目标查询结果与查询承诺一起回传给身份认证中心;
用户终端通过匿名方式向身份认证中心发送查询承诺的生成参数,身份认证中心利用生成参数计算承诺值,将承诺值与目标查询结果对应的查询承诺比较,将承诺值一致的目标查询结果回传给用户终端。
7.根据权利要求6所述的基于位置服务的目标查询方法,其特征在于,还包括:
用户终端将秘密参数分配请求的请求标识随密文和用户身份标识一起发送给身份认证中心;
身份认证中心由用户身份标识生成用户终端的伪身份标识,将伪身份标识、请求标识和密文绑定后进行签名,将签名的绑定消息发送给密钥空间管理中心;
密钥空间管理中心在验证签名有效后,以请求标识提取本地存储的随机数和安全参数,利用设定的密钥生成算法生成空间密钥,然后利用空间密钥解密密文,将相同时段内接收到的所有用户终端地理坐标组成地理坐标集,将地理坐标集中位于两个不同密钥分区内的地理坐标进行位置交换,两个位置交换对象的间距大于设定的第二距离阈值,将位置互换后的地理坐标、目标查询对象、查询承诺与伪身份标识重新绑定,并回传给身份认证中心;
身份认证中心通过伪身份标识将用户身份标识与位置互换后的地理坐标、目标查询对象、查询承诺关联,将包含关联数据的第二目标查询请求发送给位置服务器。
8.根据权利要求7所述的基于位置服务的目标查询方法,其特征在于,所述查询承诺的生成参数包括盲化因子、时间戳和目标查询关键字,所述的时间戳为用户终端生成第一目标查询请求的时间点;
用户终端在本地生成随机性的盲化因子,然后利用设定的承诺函数,并通过盲化因子对时间戳与目标查询关键字的级联数据进行盲化后生成查询承诺;
身份认证中心在比较得到承诺值一致的目标查询结果之后还包括:判断目标查询请求接收时间点与时间戳的间隔是否小于设定的时间阈值,在确认小于时间阈值的情况下,进一步判断目标查询关键字与目标查询结果是否匹配,在匹配一致的情况下将目标查询结果回传给用户终端。
9.一种位置服务系统,其特征在于,包括:用户终端、卫星定位系统、匿名空间管理中心、密钥空间管理中心、身份认证中心和位置服务器;
卫星定位系统:用于定位用户终端位置,生成用户终端所在位置的地理坐标;
匿名空间管理中心:用于为用户终端生成包含地理坐标的K-匿名区域;
密钥空间管理中心:接收用户终端发送的包含K-匿名区域在内的秘密参数分配请求,查询K-匿名区域所在的密钥分区,将密钥分区对应的秘密参数回传给用户终端;解密身份认证中心发送的密文,在判断明文中的地理坐标位于指定的密钥分区后,将接收到的同一时空区域内所有用户终端的地理坐标与其他时空区域用户终端的地理坐标进行位置交换,将位置互换的地理坐标回传给身份认证中心;
用户终端:利用秘密参数生成空间密钥,对本地的地理坐标进行加密,将包含密文和用户身份标识的位置服务请求发送给身份认证中心;
身份认证中心:提取用户身份标识执行身份认证,在认证通过后将密文发送给密钥空间管理中心;将位置互换的地理坐标发送给位置服务器;
位置服务器:根据用户终端的位置服务请求提供对应的位置服务。
Priority Applications (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210658400.6A CN115052286A (zh) | 2022-06-10 | 2022-06-10 | 基于位置服务的用户隐私保护、目标查询方法及系统 |
Applications Claiming Priority (1)
| Application Number | Priority Date | Filing Date | Title |
|---|---|---|---|
| CN202210658400.6A CN115052286A (zh) | 2022-06-10 | 2022-06-10 | 基于位置服务的用户隐私保护、目标查询方法及系统 |
Publications (1)
| Publication Number | Publication Date |
|---|---|
| CN115052286A true CN115052286A (zh) | 2022-09-13 |
Family
ID=83160594
Family Applications (1)
| Application Number | Title | Priority Date | Filing Date |
|---|---|---|---|
| CN202210658400.6A Pending CN115052286A (zh) | 2022-06-10 | 2022-06-10 | 基于位置服务的用户隐私保护、目标查询方法及系统 |
Country Status (1)
| Country | Link |
|---|---|
| CN (1) | CN115052286A (zh) |
Cited By (3)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116502276A (zh) * | 2023-06-29 | 2023-07-28 | 极术(杭州)科技有限公司 | 匿踪查询方法及装置 |
| CN117235805A (zh) * | 2023-11-16 | 2023-12-15 | 中汽智联技术有限公司 | 一种车用数据处理系统、处理方法、设备及介质 |
| CN117272391A (zh) * | 2023-11-20 | 2023-12-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种兴趣点查询方法及设备 |
-
2022
- 2022-06-10 CN CN202210658400.6A patent/CN115052286A/zh active Pending
Cited By (6)
| Publication number | Priority date | Publication date | Assignee | Title |
|---|---|---|---|---|
| CN116502276A (zh) * | 2023-06-29 | 2023-07-28 | 极术(杭州)科技有限公司 | 匿踪查询方法及装置 |
| CN116502276B (zh) * | 2023-06-29 | 2023-09-12 | 极术(杭州)科技有限公司 | 匿踪查询方法及装置 |
| CN117235805A (zh) * | 2023-11-16 | 2023-12-15 | 中汽智联技术有限公司 | 一种车用数据处理系统、处理方法、设备及介质 |
| CN117235805B (zh) * | 2023-11-16 | 2024-02-23 | 中汽智联技术有限公司 | 一种车用数据处理系统、处理方法、设备及介质 |
| CN117272391A (zh) * | 2023-11-20 | 2023-12-22 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种兴趣点查询方法及设备 |
| CN117272391B (zh) * | 2023-11-20 | 2024-02-27 | 哈尔滨工业大学(深圳)(哈尔滨工业大学深圳科技创新研究院) | 一种兴趣点查询方法及设备 |
Similar Documents
| Publication | Publication Date | Title |
|---|---|---|
| Singh et al. | A deep learning-based blockchain mechanism for secure internet of drones environment | |
| Tan et al. | Blockchain-assisted distributed and lightweight authentication service for industrial unmanned aerial vehicles | |
| Wei et al. | Differential privacy-based location protection in spatial crowdsourcing | |
| Zhang et al. | Location privacy-preserving task recommendation with geometric range query in mobile crowdsensing | |
| Arain et al. | Location monitoring approach: multiple mix-zones with location privacy protection based on traffic flow over road networks | |
| CN115052286A (zh) | 基于位置服务的用户隐私保护、目标查询方法及系统 | |
| Ni et al. | An anonymous entropy-based location privacy protection scheme in mobile social networks | |
| Peng et al. | Multidimensional privacy preservation in location-based services | |
| Liu et al. | Privacy-preserving task assignment in spatial crowdsourcing | |
| Liao et al. | The framework and algorithm for preserving user trajectory while using location-based services in IoT-cloud systems | |
| Esposito et al. | On data sovereignty in cloud-based computation offloading for smart cities applications | |
| CN107707566B (zh) | 一种基于缓存和位置预测机制的轨迹隐私保护方法 | |
| Tang et al. | Long-term location privacy protection for location-based services in mobile cloud computing | |
| CN105933357A (zh) | 基于网格单元标识匹配的位置服务方法 | |
| CN109728904A (zh) | 一种保护隐私的空间网络查询方法 | |
| Hwang et al. | SocialHide: A generic distributed framework for location privacy protection | |
| Sazdar et al. | Privacy preserving in indoor fingerprint localization and radio map expansion | |
| Yan et al. | Privacy protection in 5G positioning and location-based services based on SGX | |
| Nisha et al. | An enhanced location scattering based privacy protection scheme | |
| Parmar et al. | Privacy‐preserving enhanced dummy‐generation technique for location‐based services | |
| Shao et al. | From Centralized Protection to Distributed Edge Collaboration: A Location Difference‐Based Privacy‐Preserving Framework for Mobile Crowdsensing | |
| Zhu et al. | A location privacy preserving solution to resist passive and active attacks in VANET | |
| Zhu et al. | Blockchain‐Enabled Privacy‐Preserving Location Sharing Scheme for LBSNs | |
| Zhang et al. | LPPS‐AGC: Location Privacy Protection Strategy Based on Alt‐Geohash Coding in Location‐Based Services | |
| Albelaihy et al. | A survey of the current trends of privacy techniques employed in protecting the Location privacy of users in LBSs |
Legal Events
| Date | Code | Title | Description |
|---|---|---|---|
| PB01 | Publication | ||
| PB01 | Publication | ||
| SE01 | Entry into force of request for substantive examination | ||
| SE01 | Entry into force of request for substantive examination |