CN115905317A - 一种空间数据联邦的隐私保护范围聚合查询方法 - Google Patents

Abstract

本发明涉及空间数据联邦信息服务领域，尤其涉及一种空间数据联邦的隐私保护范围聚合查询方法，包括本地数据库进行区域划分，建立本地存储结构；本地数据库根据区域划分结果，初始化索引结构；对索引节点的位置数据加密，联合LBS服务器建立全局索引结构；查询用户向LBS服务器发送查询请求，并根据内容构造查询请求向量；本地数据库依据统计结果构造返回结果向量，并完成压缩扰动后返回至LBS服务器；LBS服务器聚合并重构各个本地数据库的返回结果，获得原始信号的一次加密结果后返回至查询用户；本发明在保证查询用户隐私安全的同时，提供高效且安全的范围聚合查询服务。

Description

一种空间数据联邦的隐私保护范围聚合查询方法

技术领域

本发明涉及空间数据联邦信息服务领域，尤其涉及一种空间数据联邦的隐私保护范围聚合查询方法。

背景技术

在基于空间数据的位置信息服务(Location-Based Service，LBS)中，为了提高服务质量，几个数据持有者(Data Owner，DO)倾向于联合起来共享彼此之间的数据信息，对外提供查询服务，从而组成数据联邦。空间数据联邦与普通场景的区别在于最终的查询结果是由多个DO联合起来回答的聚合最优结果，而不是单个DO。例如，在回答“某个坐标位置2公里范围内有多少辆共享单车”时，共享单车位置服务商(Location-Based ServiceProvider，LBSP)可以联合多家共享单车服务公司的数据信息，来对这个查询进行回答。同时根据查询的内容可以是范围聚合查询，如上述查询问题。也可以为最近邻查询，如“查询离我最近的共享单车”。

尽管在空间数据联邦中，多个DO倾向于联合起来共享彼此数据信息以提高服务质量。但由于法律法规要求以及商业机密，直接共享彼此原始数据是行不通的。同时，查询用户(Search User，SU)不断的将其自身的位置信息共享至服务器，以获得位置服务。然而位置信息常常揭示了用户的相关隐私信息，如家庭、公司地址等。假如服务器是不受信任的，那么其将对SU的隐私安全造成威胁。一方面，服务器可以通过用户查询的位置信息来窥伺用户的隐私信息。如雇主可以通过了解员工访问的地点和每次访问的时间来检查她的行为。另一方面，服务器可以通过用户的实时位置信息来对用户进行位置追踪。

在目前的研究中，对于查询用户的位置隐私保护已经提出了许多方案，如k-匿名，基于密码学的方法等。k-匿名的基本原理是将真实用户位置信息混杂在k-1个虚假用户之中，从而以构建匿名区域代替真实用户位置的方式进行位置服务请求。然而构造匿名集的方式往往会带来额外的计算开销，即LBSP需要回答非查询范围内的查询内容，这极大的影响到查询效率。也有研究者提出使用基于传统密码学方法，如同态加密、代理重加密等。其对位置数据进行加密以达到隐私保护目的。但是密码学方法往往伴随复杂的解加密操作，这需要庞大的计算资源开销。

与此同时，在现有的空间数据联邦研究中，大多关注于对联合多方本地数据的隐私保护，而缺乏对于查询用户的位置隐私安全考虑。在其中查询用户的位置信息直接以明文的方式暴露给服务器。同时，尽管在数据联邦中提出一些针对联合多方的数据隐私安全保护，然而其底层是基于关系型数据而非空间数据集，因此并不能直接应用至LBS中。

综上所述，在空间数据联邦环境条件下，如何高效且安全的回答查询用户的范围聚合查询请求，仍然存在如下挑战：

1.在空间数据联邦中，现有的查询服务策略多关注于联合多方的数据隐私以及查询的高效性，而缺乏对于用户查询位置隐私安全保护。用户的查询位置信息直接以明文的方式暴露给第三方。当面对不可信第三方时，这显然是极具隐私安全威胁的。

2.基于数据联邦，出于商业利益或隐私安全考虑，直接上传明文数据到位置服务商是不可行的。如何在保证用户的查询隐私安全以及数据拥有者的数据隐私安全的同时，协调联合多方行为并聚合来自多方的本地查询结果仍然是一个挑战。

一般而言，保护隐私与效率之间存在固有的矛盾。由于空间数据联邦多方联合的复杂性以及对于实时高效查询的需求，使得复杂的解加密操作变得不在适合。如何在隐私安全以及查询效率之间取得一个有效的平衡仍然是一个问题。

发明内容

为了在保证SU隐私安全的同时，提供高效且安全的范围聚合查询服务，本发明提出一种空间数据联邦的隐私保护范围聚合查询方法，具体包括以下步骤：

本地数据库收到LBS服务器发起的索引构建请求后，本地数据库进行网格区域划分，并建立本地存储结构；

本地数据库根据网格区域划分结果，初始化索引结构；

本地数据库对索引节点的位置数据进行加密，联合LBS服务器建立全局索引结构，得到索引树QTree；

当查询用户向LBS服务器发起查询请求时，根据请求内容构建查询请求向量；查询请求向量包括查询位置信息；

本地数据库收到查询请求向量后，根据查询请求向量进行查询，获取统计结果；

本地数据库根据统计结果返回结果向量，并完成压缩扰动后将结果反馈给LBS服务器；

LBS服务器聚合并重构来自各个本地数据库的反馈，获得原始信号的一次加密结果后反馈给查询用户；

查询用户对收到的一次加密结果进行解密并统计，得到查询结果。

进一步的，本地数据库进行网格区域划分，并建立本地存储结构的过程包括：

若第i个本地数据库表示为DO_i，DO_i所拥有的空间数据对象集合O_i表示为O_i＝{o₁,...,o_m}，其第m个空间数据对象o_m表示为o_m＝(x_m,y_m,cont_m)，x_m、y_m分别表示空间数据对象o_m的经、纬度信息，cont_m表示空间数据对象o_m的属性标识，m为空间数据对象集合O_i中空间数据对象的数目；

利用Hilbert划分空间区域，得到大小相等的k个网格区域集合{AR_i},1≤i≤k，第i个网格区域AR_i表示为AR_i＝(Attr,Num,Count,D)，Attr表示AR_i的位置属性，Num为网格区域编号，Count为网格区域AR_i所拥有的空间数据对象的总数，D则为该区域内空间对象集合；

网格区域集合结合给定曲线构造规则rule＝(d,p,N,θ)确定一条Hilbert曲线，其中d代表开口方向，p表示起始点，N代表曲线阶数，θ表示旋转角度。

进一步的，初始化索引结构的过程包括：

采用自底向上的方式，建立一个四叉树的索引结构，即将四个网格区域合并为一个区域节点，并将4个区域节点合并成一个新的区域节点，直到覆盖整个查询区域，得到基于四叉树的索引结构QTree；

在索引结构QTree中，其叶子节点为一个网格区域，叶子节点的存储结构存储该叶子节点的位置属性以及网格区域编号；

在索引结构QTree中，非叶子节点为一个网域节点，网域节点的存储结构存储该网域节点的位置属性以及网域节点编号；

网域节点的位置属性包括构成网域节点的四个网域节点或者网格区域中顶点坐标的极值以及四个网域节点的中心；

其中网域节点编号可以由用户指定一个具有唯一性的编号即可。

进一步的，本地数据库对索引节点的位置数据进行加密的过程包括：

若位置数据的原始信号表示为x＝[x₁,...,x_N]^T∈R^N，在N×N维变换基矩阵ψ下是稀疏的，则原始信号x可以表示为：x＝ψs；

将原始信号x投影到一个与稀疏矩阵ψ不相关的测量矩阵φ，测量矩阵的规模为M×N且M＜＜N上，得到M维的观测向量y，可定义压缩操作

为：

测量矩阵φ满足限制等距特性，利用观测向量y通过求解l₁范数的最小化问题能够重构出信号

，从而近似的重构出原始信号

其中，Θ表示稀疏感知矩阵，Θ＝φψ，Θ在查询返回时作为秘钥被传递给LBS服务器，以完成重构操作。

进一步的，当查询用户向LBS服务器发起查询请求时，根据请求内容构建查询请求向量包括：

查询用户初始化查询请求为Q＝(T,P)，其中P表示查询位置信息，表示为P＝<c,r>，c为查询位置中心，r表示查询半径；T为查询发起的时间；

查询用户向本地服务库请求加密秘钥信息，即测量矩阵，根据测量信息对查询位置中心c进行CS变换，查询请求更新为

进一步的，根据查询请求向量进行查询，获取统计结果的过程包括：

LBS服务器根据查询请求向量中的查询位置信息检索索引树QTree，确定与查询范围相交的网格区域，确认过程中，若查询中心向量与一个网格区域的区域顶点之间的距离小于查询半径，则该网格区域与查询范围相交；否则若查询中心向量与一个网格区域的中心之间的距离满足

则该网格区域与查询范围相交，否则与查询范围不相交；

在确定相交网格区域集合后，将相交网格区域集合转发至每一个本地数据库，并要求每个本地数据库回答相应网格的空间对象统计信息。

进一步的，本地数据库根据统计结果返回结果向量，进行压缩扰动，即进行一次CS变换，再对本地数据库的本地压缩结果向量做差分隐私保护处理，表示为：

其中，Δc为

对应的敏感度；ε为隐私预算；laplace(Δc/ε)为拉普勒斯噪声添加机制，已有证明添加符合拉普拉斯分布的噪声能够满足差分隐私。

进一步的，获得原始信号的一次加密结果后反馈给查询用户的过程包括：

将从每个本地数据库进行差分隐私处理后的量进行聚合，即：

对聚合之后的量进行重构操作，并在重构过程中对感知矩阵进行一次加密，重构操作表示为：

其中，λ为拉格朗日乘子，

表示对信号y进行重构操作；Θ′＝ψφM＝ΘM，Θ表示稀疏感知矩阵，ψ表示一个稀疏矩阵，φ表示与ψ不相关的感知矩阵，M表示可逆线性变换矩阵，||·||₂表示l₂范式，||·||₁表示l₁范式。

进一步的，查询用户对收到的一次加密结果进行解密并统计，得到查询结果的过程包括：

其中，x_ij表示矩阵x中第i行第j列的具体项目，x为n×m的实数矩阵；m表示一个本地数据库中参与统计的网格区域数量，n则表示参与联合查询的本地数据库的数量，res为聚合查询结果。

本发明一种空间数据联邦的隐私保护范围聚合查询方法具有以下有益效果：

1.在空间数据联邦中引入针对于查询用户的位置隐私保护，基于压缩感知变换提出一种轻量级的隐私保护策略。将明文域的范围聚合查询转至压缩感知加密域进行，在保证隐私安全的同时有效避免复杂的解加密操作。

2.为了在保证隐私安全的同时兼顾对于查询效率考虑，建立具有隐私保护的基于四叉树的全局索引结构。在此，位置服务商并不直接转发查询用户的查询请求，而是通过检索索引结构，确定并转发与查询范围相交的网格区域，极大的提高了服务效率。

提出具有隐私安全考虑基于空间数据联邦的高效范围聚合查询服务。位置服务商在加密域对查询请求进行转化并协调聚合来自各个联合多方的本地查询结果。同时为了防范来自恶意第三方的推测攻击，使用差分隐私技术对统计结果添加噪声扰动

附图说明

图1为范围聚合查询整体交互图；

图2为利用Hilbert划分空间区域示意图；

图3为所划分的网格区域构建四叉树结构的全局索引树示意图；

图4索引树中叶子节点与非叶子节点存储结构示意；

图5为查询范围与网格区域相对位置示意图。

具体实施方式

下面将结合本发明实施例中的附图，对本发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。

本发明提出一种空间数据联邦的隐私保护范围聚合查询方法，具体包括以下步骤：

本地数据库收到LBS服务器发起的网络构建请求后，本地数据库进行网络区域划分，并建立本地存储结构；

本地数据库根据网络区域划分结果，初始化索引结构；

本地数据库对索引节点的位置数据进行加密，联合LBS服务器建立全局索引结构，得到索引树QTree；

当查询用户向LBS服务器发起查询请求时，根据请求内容构建查询请求向量；查询请求向量包括查询位置信息；

本地数据库收到查询请求向量后，根据查询请求向量进行查询，获取统计结果；

本地数据库根据统计结果返回结果向量，并完成压缩扰动后将结果反馈给LBS服务器；

LBS服务器聚合并重构来自各个本地数据库的反馈，获得原始信号的一次加密结果后反馈给查询用户；

查询用户对收到的一次加密结果进行解密并统计，得到查询结果。

如图1所示为基于空间数据联邦的范围查询整体交互过程，其中主要包括四个过程：

第一阶段，LBSP联合DO建立全局索引结构以回答范围聚合查询。

第二阶段，SU发起查询请求，并根据请求内容构造请求向量；在经压缩感知变换(Compressed Sensing，CS)加密处理之后发送至LBSP。

第三阶段，LBSP根据查询请求，通过检索全局索引获得相交的网格区域集合；接着LBSP进行任务转发，将相交网格区域集合遍历的发送给每一个DO，并要求其回答相应的统计信息；DO在接收到查询要求后进行本地查询，依据本地统计结果构建返回结果向量，并进行CS变换添加差分隐私噪声扰动(Differential Privacy，DP)后返回至LBSP。

第四阶段，LBSP在接受到DO的返回结果之后，首先进行聚合，并完成重构操作，接着将最终的查询结果返回给SU。

以上四个阶段具体包括以下步骤：

S1、DO进行区域划分，建立本地存储结构。

为了辅助查询，每一个联合查询参与方DO遍历的对相同的区域进行划分，并依据自身所持有的空间数据对象构建本地存储信息。一般地，空间数据对象可表示为o＝(x,y,cont)，其中x和y可表示为o的经纬度信息，cont为o的属性标识(如其为餐馆、加油站或超市等)。那么对于某一个n个本地数据库中的某一个本地数据库DO_i(1≤i≤n)，有O_i＝{o₁,...,o_m}，O_i为DO_i所拥有的空间数据对象集合，m则为对象数目。

希尔伯特曲线(Hilbert curve)是一种被广泛应用的空间填充曲线，其能够将高维空间中的离散单元线性的连接起来，并赋予唯一标识。从而实现将空间离散单元映射到一维空间以辅助索引构建的目的。在本发明中使用Hilbert对指定区域进行划分，为索引构建提供前期准备。

如图2所示为利用Hilbert划分空间区域示意图。在指定的区域内进行二维划分可以获得一定数量的相等大小的网格区域集合，其中k为网格区域总数。在此，某一个AR的存储结构可定义为：

AR_i＝(Attr,Num,Count,D),(1≤i≤k)

其中，Attr表示AR_i的位置属性，Num为网格区域编号，Count为网格区域AR_i所拥有的空间数据对象o的总数，D则为该区域内空间对象集合。为了便于构建全局网格索引，规定所有的DO对同一区域采用相同的划分方式，这意味着每一个DO所获得的网格区域大小相同，且数量一致。

给定网格区域集合{AR_i}(1≤i≤k)，结合给定曲线构造规则rule＝(d,p,N,θ)便可以确定一条Hilbert曲线，其中d代表开口方向，p表示起始点，N代表曲线阶数，θ表示旋转角度。如图2所示h。

S2、DO依据区域划分结果，初始化索引结构。

为了提供快速查询服务，LBSP联合DO构建全局索引结构。空间数据联邦可定义为SDF＝{DO₁,...,DO_i}(1≤i≤n)，对于某一个DO，如S1所述，其中的AR包含的信息为AR＝(Attr,Num,Count,D)。由于在SDF中，D为DO所持有的不对外直接共享的本地数据信息，因此DO上传至LBSP的信息应当只包括Attr以及Num。

如S1所述，对于相同的查询区域所有的DO采取了统一的网格划分方式以及编码。因此从SDF中随机选择出DO_i(1≤i≤n)辅助LBSP建立全局索引结构。如图3所示，经过Hilbert曲线进行区域划分编码之后，获得一定数量的网格区域{AR_i}(1≤i≤k)。在此采用自底向上的方式，建立一个四叉树的索引结构。

其中，叶子节点即为网格区域AR，网格区域{AR₀,AR₁,AR₂,AR₃}进行合并进一步组成区域节点A。同样的区域节点{A,B,C,D}合并形成覆盖范围更大的区域节点E。通过不断的迭代，直至覆盖整个查询区域，并最终建立起如图3所示的基于四叉树的索引结构QTree。

在索引QTree中，其叶子节点即为网格区域AR，因此可以确定其存储结构为：

AR＝(Attr,Num)

其中Num为网格区域唯一的编号，Attr为AR的位置属性，在此其为四个顶点的位置集合，即Attr＝{α_i}(1≤i≤4)。而对于非叶子节点，如图4所示A，其位置属性Attr由构成其的网格区域AR₀，AR₁，AR₂，AR₃中的顶点位置分别取横纵坐标的最值组成。同时为了便于判断该区域与查询范围的相对位置，向A添加其几何位置中心β，从而有Attr＝{α_i,β}(1≤i≤4)；对于非叶子节点Num为非必要的信息，可以根据实际需要为非叶子节点编号，编号满足在索引结构QTree中具有唯一性。

S3、DO对索引节点的位置数据进行加密，联合LBSP建立全局索引结构。

为了保护位置隐私，DO在将索引QTree上传至LBSP之前，首先对其中的位置信息进行加密保护。LBSP通常被假定为不可信第三方，这要求所提出的加密策略不仅要保证SU的位置隐私，同时不能影响查询服务的进行。这使得LBSP要在完全加密的环境下完成位置间的相对距离比较。压缩感知算法作为数据采样算法，不仅对原始数据进行了采样加密以保护隐私，而且还保持了有限距离约束性质，因此在本发明中使用CS变换提供一种轻量级的加密策略。假定原始信号为x＝[x₁,...,x_N]^T∈R^N，在N×N维变换基矩阵ψ下是稀疏的，则原始信号x可以表示为：

x＝ψs

其中，s＝[s₁,...,s_N]^T为原始信号x在稀疏矩阵ψ上的稀疏表示。若s含有K个非零分量且K＜＜N，则称信号s是K阶稀疏的；在本实施例中，原始信号表示进行CS变换之前的信号，例如若需要对位置向量进行CS变换，则此处的原始信号指位置信号。稀疏矩阵ψ一般为固定的正交基矩阵，如傅里叶变换矩阵、离散余弦变换矩阵等。然后将信号投影到一个与稀疏矩阵ψ不相关的感知矩阵φ(M×N,M＜＜N)上，得到M维的观测向量y，则可定义压缩操作

为：

其中，Θ为稀疏感知矩阵，有Θ＝φψ，常用的感知矩阵φ有随机高斯矩阵、伯努利随机测量矩阵等，在此φ满足限制等距特性(RIP)，进而利用观测向量y通过求解l₁范数最小化问题能够近似重构出信号

。从而近似的重构出原始信号

信号

的获取过程表示为：

一般而言，欧式距离常用于衡量n维空间中两个向量之间的相对距离，已知两个向量A＝(a₁,...,a_i),a_i∈R(1≤i≤n)，B＝(b₁,...,b_i),b_i∈R(1≤i≤n)，则A、B间的欧式距离可定义为：

在此，分别对A和B进行CS变换，得到Y_a＝φA，Y_b＝φB，其中φ为感知矩阵，Y_a和Y_b则分别为A和B在CS域的观测向量。由于CS变换为线性操作，变换后的向量之间仍然保持原有的线性相关性以及欧式距离，由此可以得到：

dis(A,B)＝dis(Y_a,Y_b)

基于上述变换，可以将明文域的聚合查询操作转而在CS域进行，这种天然的加密操作，使得LBSP可以在不知道SU以及DO具体位置信息的情况下，完成范围距离比较，在保证位置隐私的前提下避免了复杂的解加密操作，极大的提高了查询效率。

LBSP在接收来自DO上传的加密索引QTree后，在接收来自SU的查询请求之后，不再向DO转发原始的查询请求。而是通过检索QTree，确定与查询范围相交的网格区域，通过转发相交网格区域来代替原始查询。在保证SU位置隐私的同时，极大的提高了DO的本地检索速度。

S4、SU向LBSP发送查询请求，并根据内容构造查询请求向量。

在查询用户SU提交的一次查询请求中，所包含的信息一般包括查询位置信息(如范围查询中的查询中心和查询半径)、查询时间以及查询内容(即查询的目标内容是关于餐厅、加油站等)。尽管查询内容能够在一定程度上揭示用户的查询目的，但在本发明中仅关注于对SU的查询位置信息的隐私保护。一般来说，在LBS中SU的范围聚合查询请求Q＝(T,P)。其中，T为查询时间，表示查询发起的时间。P为查询相关的地理位置信息，由于本发明所涉及的服务为范围聚合查询服务，因此P可表示为P＝<c,r>，其中c表示查询中心的坐标位置信息，常有c＝(x,y)，r则表示查询半径。

进一步的，在空间数据联邦中，SU的范围聚合查询请求可定义为：

Q(SDF,F,T,P)＝F({o,o∈SDF&o is within P.r})

其中，SDF为空间数据联邦，一般有SDF＝{DO₁,...,DO_i},(1≤i≤n)；F则为聚合函数，如统计、求和等，o为空间目标对象。

由于查询位置信息P常常揭露了查询用户SU的地理位置信息(如家庭、公司等)，因此在本发明中，P是针对于SU的位置隐私保护的关键。具体来说，SU在向LBSP发起查询服务请求之前，先对携带的位置信息进行加密处理。SU向参与构建全局索引的DO请求加密秘钥，即感知矩阵φ。在获得φ之后，对查询坐标中心c进行一次CS变换，得到CS域的观测向量

则P可更新为

由此，SU更新查询请求为

并将其提交至LBSP。

综上所述，SU构造查询请求向量的具体步骤为：

1.SU初始化查询请求为Q＝(T,P)，其中P＝<c,r>，c为查询位置信息，r表示查询半径；

2.SU向DO请求加密秘钥信息，即测量矩阵φ；

3.在接受到秘钥后，SU对查询信息进行加密处理，即进行一次CS变换，更新查询请求为

4.SU向LBSP发送更新后的查询请求

S5、LBSP接收来自SU查询请求，完成范围聚合查询服务。

LBSP在接收来自SU的查询请求

之后，通过解析获取具体查询内容

由于查询请求进行了CS变换加密处理，LBSP并不知道具体的内容信息，并且在CS加密域完成检索操作。在此，LBSP并不直接将

转发至DO，而是通过检索索引树QTree，确定与查询范围相交的网格区域AR。在确定相交网格区域集合{AR}之后，将其转发至每一个DO，并要求其回答相应网格的空间对象统计信息。

由S2可知，索引树QTree的非叶子节点存储信息为AR＝(Attr,Num)，对于叶子节点(即网格区域)Attr＝{α_i}(1≤i≤4)，而对于非叶子节点则Attr＝{α_i,β}(1≤i≤4)，其中α，β分别为区域顶点以及几何中心坐标信息。为了快速检索确定与查询范围相交的网格区域，LBSP从顶点开始，迭代的判断Attr中坐标与查询请求中

关系是否满足：

其中，函数dis(·)为欧式距离计算，

为查询中心向量，α_i为查询顶点向量，r为查询半径。对于任意一个α_i(1≤i≤4)只要满足上式，即可判定该区域与查询范围相交如图5(a)。反之若皆不成立，则可能出现两种情况，即网格区域将查询范围完全包含(如在初始判断父节点所代表的区域足够大时)，或查询范围与该网格区域完全不相交，如图5(b)(c)。因此，继续判断

与β之间关系：

若上式满足则表明查询范围位于该网格区域内或相交，反之则不相交。其中，d为网格区域边长。

S6、DO依据统计结果构造返回结果向量，并完成压缩扰动后返回至LBSP。

依据S5的计算结果，关于本次联合查询，每一个DO中保存了一组与查询范围相交的网格区域集合，且在对应的网格单位中保留了相关的统计结果。一般而言，DO可在本地直接对所有网格单位的统计结果进行迭代相加，以确定关于本次查询的本地回答。并且出于隐私保护目的，DO向其中添加噪声扰动(如DP噪声)以防止来自第三方的推测攻击。但实际上添加噪声在一定程度上影响了查询结果的准确性，用户得到的是关于本次查询的粗略回答。

如S3所述，如果将感知矩阵φ视为一种特殊的加密秘钥，那么CS变换可做为一种特殊的对称加密技术。并且通过对原始信号的压缩变换，能够有效的降低扰动噪声的添加量。在此基础上，聚合服务器利用压缩感知重构算法能够在有效重构原始信号的同时，最大限度的去除扰动噪声。这意味着在实现原始信号加密传输的同时，能够有效的保证查询结果的准确性。由此本发明提出采用DP与CS变换相结合的一种扰动加密策略。

在此，DO并不直接返回最终的迭代相加结果，而是利用Hilbert曲线划分特性，以相邻网格区域为基础构建返回结果向量。如图5(a)所示，区域A中与查询范围相交的为编号为2、3的网格区域。那么关于区域A的结果向量可表示为R_A＝[0,0,d₂,d₃]^T，其中d₂，d₃为相关统计结果，即d₂、d₃为编号为2、3的网格区域内共享单车的数量。由于编号为0、1的网格区域并未与查询范围相交，因此置为0。对于其他相交区域B、C、D进行相同操作，那么可以得到DO关于本次查询的返回结果为：

R_DO＝[R_A,R_B,R_C,R_D]

由此，将R_DO作为压缩感知的原始信号x，进行相应的压缩操作

后得到压缩结果向量

为了防止来自第三方推测攻击，使用差分隐私技术对压缩的结果向量

中添加噪声扰动。差分隐私作为一种被严格证明的隐私保护模型。通过向共享数据添加符合一定分布机制的扰动噪声的方式，可以有效抵御来自第三方的成员推理攻击，使得其即便是获得用户隐私信息，也无法区分其真实性。其中，DP可定义如下：

假设存在一个随机函数A，使得在任意两个相邻的数据集D、D′(||D-D′||₁≤1)上得到任意相同输出集合S的概率满足：

Pr[A(D)∈S]≤e^εPr[A(D′)∈S]

则称该随机函数A满足ε-Differential Privacy，简写为ε-DP。其中，ε为隐私预算或者隐私损失，其值越小意味着隐私保护程度越高，但同时所需加入的噪声也越多。差分隐私保护算法所具有的一个重要组合性质为：

并行组合性最大原则：现有n个随机算法A_i，1≤i≤n，其中A_i满足ε_i-DP，且任意两个算法的操作数据集没有交集，则{A_i}(1≤i≤n)组合后的算法满足

基于DP的并行组合性原则，每一个满足ε-DP的DO的本地数据信息，在上传至LBSP参与统计聚合之后所得到的结果仍然满足ε-DP。这在保护数据信息不被泄露的同时，有效支持了数据联邦的统计聚合操作。

实现差分隐私技术的噪声机制常用的有指数机制和拉普拉斯(Laplace)机制，面对数值型的数据，可以向统计结果中添加符合Laplace机制的噪声。对某一个DO的本地压缩结果向量

做差分隐私保护处理，即：

其中，Δc描述的是

对应的敏感度，即因噪声添加而对

造成的影响大小。ε为隐私预算，其值越小需要添加的噪声越多，隐私保护力度也越大，一般取值0.01，0.1。laplace(Δc/ε)为拉普勒斯噪声添加机制，已有证明添加符合拉普拉斯分布的噪声能够满足差分隐私。

S7、LBSP聚合并重构来自各个DO的返回结果，获得原始信号的一次加密结果后返回至SU；SU解密并统计获的最终查询结果。

LBSP在接收来自DO关于本次查询的返回结果

之后，首先进行聚合操作，即：

其中，n为参与本次查询的DO总数，而

则为聚合的具有噪声扰动的压缩结果。由于DP的并行组合性，使得

仍然满足ε-DP。在此，基于感知矩阵的限制等距特性，理论上证明了近似信号重建的可能。通常查询用户SU为计算资源有限终端用户，难以完成计算复杂的重构任务。这使得重构工作应当由计算能力相对较强的LBSP完成，并且为了保证结果的准确性，在重构过程中还应当完成噪声去噪工作。凸优化法作为压缩感知的恢复算法之一，恢复精度高且适合带噪信号的恢复，因此本发明基于凸优化理论完成原始信息的重构工作。CS引入噪声的恢复模型为：

y＝Θs+z

其中，

为添加的有界独立噪声，即||z||₂≤κ。依据凸优化理论，重构优化问题可转为基追踪降噪问题(BPDN)，其为原始优化问题基追踪问题(BP)的拓展，即：

那么，重构操作

可定义为：

其中，λ为拉格朗日乘子，表征在信号恢复过程中对于||s||₁项的重视程度。特别的当λ→0时，有λ||s||₁趋向于0，该问题即为基追踪问题BP，为无噪声添加环境。在此，重构操作

是凸优化理论的一个实例，进一步的可使用OWL-QN算法完成优化重构过程，该算法为内存受限的BFGS算法的扩展算法，能够有效的求解该重构问题。

由于LBSP通常被假定为不可信，尽管需由其完成复杂的重构计算任务但却并不希望其直接获取最终的查询结果。因此出于对查询结果的隐私保护，在重构任务中，DO应当向LBSP提供感知矩阵的一次加密结果。因此对感知矩阵完成一次线性矩阵转换以完成加密，即φ′＝φ·M。重构操作

可变为：

其中，Θ′＝ψφM＝ΘM。由此通过对感知矩阵的加密可完成对于返回结果的隐藏，且对应重构操作为

)，(M可在初始化阶段随同感知秘钥一同提供给SU)。同时相关研究表明，为了保证

是重构优化问题的最稀疏解，加密矩阵M应满足以下条件：目标函数乘以M的乘积大小应与原问题的乘积大小相同。此外，M应该是可逆的)。

SU在接收来自LBSP的返回结果之后，进行一次解密获得最终的查询结果，即

(x∈R^n×m)，并进行迭代相加以确定关于本次聚合查询的最终结果res，有

综上所述，范围聚合查询算法的具体实现步骤为：

1.LBSP接收来自SU的查询请求

进行解析；

2.结合全局索引结构QTree，LBSP遍历获得与查询范围相交的网格区域集合{AR}；

3.LBSP遍历的将相交网格区域集合{AR}任务下派给每一个DO_i(1≤i≤n)，要求其回答相关的统计信息；

4.DO接收到查询请求之后，依据网格区域编号，快速定位至相应的网格区域，并统计其中空间对象；

5.DO完成所有网格区域的检索任务后，构造返回结果向量R_DO。并完成CS变换，添加DP噪声，确定最终返回结果

6.LBSP通过聚合各个DO的返回结果

获得全局加密结果向量

并利用OWL-QN算法完成重构操作

将

返回SU；

7.SU利用加密矩阵M解密，并获得最终统计结果res。

尽管已经示出和描述了本发明的实施例，对于本领域的普通技术人员而言，可以理解在不脱离本发明的原理和精神的情况下可以对这些实施例进行多种变化、修改、替换和变型，本发明的范围由所附权利要求及其等同物限定。

Claims (9)

1.一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，具体包括以下步骤：

本地数据库收到LBS服务器发起的索引构建请求后，本地数据库进行网格区域划分，并建立本地存储结构；

本地数据库根据网格区域划分结果，初始化索引结构；

本地数据库对索引节点的位置数据进行加密，联合LBS服务器建立全局索引结构，得到索引树QTree；

当查询用户向LBS服务器发起查询请求时，根据请求内容构建查询请求向量；查询请求向量包括查询位置信息；

本地数据库收到查询请求向量后，根据查询请求向量进行查询，获取统计结果，即获取查询范围内每个网格区域空间对象数量；

本地数据库根据统计结果返回结果向量，并完成压缩扰动后将结果反馈给LBS服务器；

LBS服务器聚合并重构来自各个本地数据库的反馈，获得原始信号的一次加密结果后反馈给查询用户；

查询用户对收到的一次加密结果进行解密并统计，得到查询结果。

2.根据权利要求1所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，本地数据库进行网格区域划分，并建立本地存储结构的过程包括：

若第i个本地数据库表示为DO_i，DO_i所拥有的空间数据对象集合O_i表示为O_i＝{o₁,…,o_m}，其第m个空间数据对象o_m表示为o_m＝(x_m,y_m,cont_m)，x_m、y_m分别表示空间数据对象o_m的经、纬度信息，cont_m表示空间数据对象o_m的属性标识，m为空间数据对象集合O_i中空间数据对象的数目；

利用Hilbert划分空间区域，得到大小相等的k个网格区域集合{AR_i},1≤i≤k，第i个网格区域AR_i表示为AR_i＝(Attr,Num,Count,D)，Attr表示AR_i的位置属性，Num为网格区域编号，Count为网格区域AR_i所拥有的空间数据对象的总数，D则为该区域内空间对象集合；

网格区域集合结合给定曲线构造规则rule＝(d,p,N,θ)确定一条Hilbert曲线，其中d代表开口方向，p表示起始点，N代表曲线阶数，θ表示旋转角度。

3.根据权利要求2所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，初始化索引结构的过程包括：

采用自底向上的方式，建立一个四叉树的索引结构，即将四个网格区域合并为一个区域节点，并将4个区域节点合并成一个新的区域节点，直到覆盖整个查询区域，得到基于四叉树的索引结构QTree；

在索引结构QTree中，其叶子节点为一个网格区域，叶子节点的存储结构存储该叶子节点的位置属性以及网格区域编号；

在索引结构QTree中，非叶子节点为一个网域节点，网域节点的存储结构存储该网域节点的位置属性以及网格区域编号；

网域节点的位置属性包括构成网域节点的四个网域节点或者网格区域中顶点坐标的极值以及四个网域节点的中心。

4.根据权利要求1所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，本地数据库对索引节点的位置数据进行加密的过程包括：

若位置数据的原始信号表示为x＝[x₁,…,x_N]^T∈R^N，在N×N维变换基矩阵ψ下是稀疏的，则原始信号x可以表示为：x＝ψs；

将原始信号x投影到一个与稀疏矩阵ψ不相关的感知矩阵φ，感知矩阵的规模为M×N且M＜＜N上，得到M维的观测向量y，可定义压缩操作

为：

感知矩阵φ满足限制等距特性，利用观测向量y通过求解l₁范数的最小化问题近似重构出信号

近似重构出原始信号

其中，Θ表示稀疏感知矩阵，且Θ＝φψ，Θ在查询返回时作为秘钥被传递给LBS服务器。

5.根据权利要求1所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，当查询用户向LBS服务器发起查询请求时，根据请求内容构建查询请求向量包括：

查询用户初始化查询请求为Q＝(T,P)，其中P表示查询位置信息，表示为P＝<c,r>，c为查询位置中心，r表示查询半径；T为查询发起的时间；

查询用户向本地数据库请求加密秘钥信息，即感知矩阵，根据感知矩阵对查询位置中心c进行CS变换，查询请求更新为

6.根据权利要求1所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，根据查询请求向量进行查询，获取统计结果的过程包括：

LBS服务器根据查询请求向量中的查询位置信息检索索引树QTree，确定与查询范围相交的网格区域，确认过程中，若查询中心向量与一个网格区域的区域顶点之间的距离小于查询半径，则该网格区域与查询范围相交；否则若查询中心向量与一个网格区域的中心之间的距离满足

则该网格区域与查询范围相交，否则与查询范围不相交；

在确定相交网格区域集合后，将相交网格区域集合转发至每一个本地数据库，并要求每个本地数据库回答相应网格的空间对象统计信息。

7.根据权利要求1所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，本地数据库根据统计结果返回结果向量，进行压缩扰动，即进行一次CS变换，再对本地数据库的本地压缩结果向量做差分隐私保护处理，表示为：

其中，Δc为

对应的敏感度；ε为隐私预算；laplace(Δc/ε)为拉普勒斯噪声添加机制，已有证明添加符合拉普拉斯分布的噪声能够满足差分隐私。

8.根据权利要求7所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，获得原始信号的一次加密结果后反馈给查询用户的过程包括：

将从每个本地数据库进行差分隐私处理后的量进行聚合，即：

对聚合之后的量进行重构操作，并在重构过程中对感知矩阵进行一次加密，重构操作表示为：

其中，λ为拉格朗日乘子，

表示对信号y进行重构操作；Θ′＝ψφM＝ΘM，Θ表示稀疏感知矩阵，ψ表示一个稀疏矩阵，φ表示与ψ不相关的感知矩阵，M表示可逆线性变换矩阵，||·||₂表示l₂范式，||·||₁表示l₁范式。

9.根据权利要求8所述的一种空间数据联邦的隐私保护范围聚合查询方法，其特征在于，查询用户对收到的一次加密结果进行解密并统计，得到查询结果的过程包括：

其中，x_ij表示矩阵x中第i行第j列的具体项目，x为n×m的实数矩阵；m表示一个本地数据库中参与统计的网格区域数量，n则表示参与联合查询的本地数据库的数量，res为聚合查询结果。

Images