WO2017193783A1

WO2017193783A1 - 用户位置信息保护方法和装置

Info

Publication number: WO2017193783A1
Application number: PCT/CN2017/081198
Authority: WO
Inventors: 侯洁
Original assignee: 北京京东尚科信息技术有限公司; 北京京东世纪贸易有限公司
Priority date: 2016-05-10
Filing date: 2017-04-20
Publication date: 2017-11-16
Also published as: CN107360121A; CN107360121B

Abstract

本申请公开了用户位置信息保护方法和装置。所述方法的一具体实施方式包括：获取地图和用户终端的位置信息；在所述地图中找出满足以下条件的最小区域作为匿名区域：用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。该实施方式保障了用户在基于位置的服务中的隐私安全。

Description

用户位置信息保护方法和装置

相关申请的交叉引用

本申请要求于2016年5月10日提交的中国专利申请号为“201610305989.6”的优先权，其全部内容作为整体并入本申请中。

技术领域

本申请涉及计算机技术领域，具体涉及互联网技术领域，尤其涉及用户位置信息保护方法和装置。

背景技术

近年来，随着各类移动设备的广泛使用以及传感定位技术、无线通信技术的快速发展，基于位置的服务(Location Based Service,LBS)变得越来越流行。各类LBS应用层出不穷，除了根据位置信息为用户提供社交、生活服务的应用以外，现有的各类应用几乎都在自己的应用中加入了LBS元素。然而，这些应用在为我们生活带来便利的同时，其将用户位置信息暴露给服务提供商的特质也引发了用户对个人隐私泄露的担忧。因此，如何在为用户提供有效LBS服务的同时保障用户的隐私安全成为了亟待解决的问题。

现有的LBS隐私保护方案大都没有考虑用户所在位置的语义，无法抵御语义相似性攻击，即如果用户用于替代自身位置的区域中包含的是同一种类的位置，那么攻击者仍然可以得到用户位置的类型，进一步地，可以推测出用户的健康状况、职业、兴趣爱好等隐私信息。而少有的考虑了位置语义的隐私保护方案也存在一定的局限性。

发明内容

本申请的目的在于提出一种改进的用户位置信息保护方法和装置，来解决以上背景技术部分提到的技术问题。

第一方面，本申请提供了一种用户位置信息保护方法，所述方法包括：获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；在所述地图中找出满足以下条件的最小区域作为匿名区域：用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是所述区域隐藏了用户终端的位置信息；用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

在一些实施例中，所述方法还包括对地图的预处理，包括：将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；其中，所述区域敏感度的计算包括：将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。

在一些实施例中，当所述区域敏感度大于预设的区域敏感度阈值时所述区域的语义是安全的。

在一些实施例中，所述在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，包括：在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，若找到，则匿名成功，所述候选匿名区域为最终匿名区域；若没有找到，则选取所述候选区域的上一层区域作为新的候选区域，重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。

在一些实施例中，所述在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，包括：以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；将匿名成功的消息广播给所述匿名组内的所有用户；所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。

在一些实施例中，所述以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组，包括：广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。

第二方面，本申请提供了一种用户位置信息保护装置，所述装置包括：获取单元，配置用于获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；匿名单元，配置用于在所述地图中找出满足以下条件的最小区域作为匿名区域：所述用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是攻击者无法从所述用户终端的位置信息推测出用户的个人信息；请求单元，配置用于用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；选取单元，配置用于从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

在一些实施例中，所述装置还包括地图预处理单元，所述地图预处理单元配置用于：将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；其中，所述区域敏感度的计算包括：将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。

在一些实施例中，所述匿名单元还配置用于：在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，若找到，则匿名成功，所述候选匿名区域为最终匿名区域；若没有找到，则选取所述候选区域的上一层区域作为新的候选区域，重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。

在一些实施例中，所述匿名单元还配置用于：以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；将匿名成功的消息广播给所述匿名组内的所有用户；所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。

在一些实施例中，所述匿名单元还配置用于：广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。

本申请提供的用户位置信息保护方法和装置，通过区域内用户间协同合作形成匿名区域，使用匿名区域代替用户真实位置来发起基于位置的服务请求，从提供服务的服务提供商返回的基于匿名区域中的服务查询结果集合中选出符合用户真实信息的服务查询结果，有效地保护了用户的真实位置信息，防止用户敏感信息和行为的泄露。

附图说明

通过阅读参照以下附图所作的对非限制性实施例所作的详细描述，本申请的其它特征、目的和优点将会变得更明显：

图1是本申请可以应用于其中的示例性系统架构图；

图2是根据本申请的用户位置信息保护方法的一个实施例的流程图；

图3是根据本申请的用户位置信息保护方法的一个应用场景的示意图；

图4是根据本申请的用户位置信息保护方法的又一个实施例的流程图；

图5是根据本申请的用户位置信息保护装置的一个实施例的结构示意图；

图6是适于用来实现本申请实施例的终端设备或服务器的计算机系统的结构示意图。

具体实施方式

下面结合附图和实施例对本申请作进一步的详细说明。可以理解的是，此处所描述的具体实施例仅仅用于解释相关发明，而非对该发明的限定。另外还需要说明的是，为了便于描述，附图中仅示出了与有关发明相关的部分。

需要说明的是，在不冲突的情况下，本申请中的实施例及实施例中的特征可以相互组合。下面将参考附图并结合实施例来详细说明本申请。

图1示出了可以应用本申请的用户位置信息保护方法或用户位置信息保护装置的实施例的示例性系统架构100。

如图1所示，系统架构100可以包括终端设备101、102、103，网络104和服务器105。网络104用以在终端设备101、102、103和服务器105之间提供通信链路的介质。网络104可以包括各种连接类型，例如有线、无线通信链路或者光纤电缆等等。

用户可以使用终端设备101、102、103通过网络104与服务器105交互，以接收或发送消息等。终端设备101、102、103上可以安装有各种基于位置服务的客户端应用，例如网页浏览器应用、购物类应用、搜索类应用、即时通信工具、邮箱客户端、社交平台软件等。

终端设备101、102、103可以是具有显示屏并且支持基于位置服务的各种电子设备，包括但不限于智能手机、平板电脑、电子书阅读器、MP3播放器(Moving Picture Experts Group Audio Layer III，动态影像专家压缩标准音频层面3)、MP4(Moving Picture Experts Group Audio Layer IV，动态影像专家压缩标准音频层面4)播放器、膝上型便携计算机和台式计算机等等。

服务器105可以是提供各种服务的服务器，例如对终端设备101、102、103基于位置的服务提供支持的后台服务器。后台服务器可以对接收到的基于位置的服务请求等数据进行分析等处理，并将处理结果(例如餐厅查询结果数据)反馈给终端设备。

需要说明的是，本申请实施例所提供的用户位置信息保护方法一般由终端设备101、102、103执行，相应地，用户位置信息保护装置一般设置于终端设备101、102、103中。

应该理解，图1中的终端设备、网络和服务器的数目仅仅是示意性的。根据实现需要，可以具有任意数目的终端设备、网络和服务器。

继续参考图2，示出了根据本申请的用户位置信息保护方法的一个实施例的流程200。所述的用户位置信息保护方法，包括以下步骤：

步骤201，获取地图和用户终端的位置信息。

在本实施例中，用户位置信息保护方法运行于其上的电子设备(例如图1所示的终端设备101、102、103)可以通过有线连接方式或者无线连接方式从后台服务器(例如图1所示的服务器105)获取经预处理的地图，并通过定位装置获取用户终端的位置信息。其中，该地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点。

在本实施例的一些可选的实现方式中，用户位置信息保护方法还包括对地图的预处理，包括：将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；其中，所述区域敏感度的计算包括：将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。

在本实施例的一些可选的实现方式中，对所述地图构造Hilbert R-树，包括：将地图中的每个地理信息点用一个MBR(Minimal Bounding Rectangle，最小边界矩形)覆盖，计算每个MBR中心的希尔伯特值并将其作为该MBR的希尔伯特值；将所有MBR按照其希尔伯特值进行升序排列，并将它们划分为[|S_L|/M]+1组，除了最后一组，每个组都包含M个MBR，接着将每组中所有的MBR插入同一个叶子节点，其中，|S_L|是地理信息点集合S_L的地理信息点个数，M是自然数；对每组MBR，使用一个更大的MBR去覆盖他们，并将该MBR存储到与这组MBR相对应的叶子节点的父节点中，最终得到的[|S_L|/M]+1个父节点就是第二层节点；将第二层节点按创建时间的升序进行排序并将它们划分为几个组，为每组中所有的节点创建一个高一层的节点作为它们的父节点，重复该操作直到产生一个根节点。

在本实施例的一些可选的实现方式中，当所述区域敏感度大于预设的区域敏感度阈值时所述区域的语义是安全的。

步骤202，在地图中找出满足匿名条件的最小区域作为匿名区域。

在本实施例中，区域的匿名条件为：用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，区域的语义是安全的指的是所述区域隐藏了用户终端的位置信息。例如，用户终端的匿名区域要满足的条件是：该区域包括用户终端的位置的地理信息点，该区域中至少包括6个用户，该区域至少包括10个不同的地理信息点，区域的面积不超过预设的面积阈值1平方公里，该区域的语义是安全的，即隐藏了用户终端的位置信息。

位置语义的定义和描述如下所示：

一个位置的语义蕴含着其上活动用户的行为模式，并和一种特定的位置类别有关。例如，通常在用餐时间被访问的地方，我们可以推断它是个餐馆；而通常在半夜被访问的地方，我们可以推断它是一个娱乐场所。因此，位置语义是位置的功能性描述。这些描述与时间特征、用户行为和周围环境等信息都有关系。

采用不同用户为同一个位置标注的一系列用来描述该位置功能和特点的标签来描述该位置的语义。我们认为一个标签和一个位置类别有关当且仅当在属于该类别的所有位置中，至少有一个位置拥有该标签。

步骤203，用匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求。

在本实施例中，用户发送基于位置的服务请求时不使用自己的真实位置，而是用一个包含真实位置的匿名区域代替，这样可以使用户的真实位置隐藏起来，保护用户的隐私。例如，用户在西单大悦城里向某点评网请求查询附近最受欢迎的餐厅时，终端根据步骤202找到了一个匿名区域，该匿名区域还包括了其他几个附近的商场，将该匿名区域作为用户的真实位置向某点评网请求查询匿名区域中最受欢迎的餐厅。

步骤204，从用于根据位置来提供服务的服务提供商返回的基于匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

在本实施例中，由于匿名区域中包括多个地理信息点，因此提供服务的服务提供商返回了多个服务查询结果，从中选出符合用户终端的位置信息的服务查询结果。例如，在步骤203中，用户用匿名区域作为用户的真实位置向某点评网请求查询匿名区域中最受欢迎的餐厅，返回的查询结果中不单包括大悦城，还包括君太百货、西单商场等位置的查询结果，终端从中选出真实位置大悦城附近的餐厅作为最终查询结果。

继续参见图3，图3是根据本实施例的用户位置信息保护方法的应用场景的一个示意图。在图3的应用场景中，终端301首先检测是否已从LBS服务器获取最新版本的地图，若没有，则马上下载。在此基础上，终端301在地图中找出满足匿名条件的区域308作为匿名区域，将区域308连同查找附近餐厅的请求一起发送给LBS服务器307，LBS服务器307将查询的结果集发送给终端301，该查询的结果集中除了包含基于终端301的位置查询的结果之外还包含基于终端302、303、304、305、306的位置查询得到的结果。终端从这个查询结果集中选出基于终端301的位置查询的结果。

本申请的上述实施例提供的方法通过用匿名区域替代用户真实位置向LBS服务提供器发送LBS请求，有效地保护了用户的真实位置信息，防止用户敏感信息和行为的泄露。

进一步参考图4，其示出了用户位置信息保护方法的又一个实施例的流程400。该用户位置信息保护方法的流程400，包括以下步骤：

步骤401，获取地图和用户终端的位置信息。

步骤402，在地图中找出满足匿名条件的最小区域作为匿名区域。

在本实施例中，区域的匿名条件为：用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的。例如，用户终端的匿名区域要满足的条件是：该区域包括用户终端的位置的地理信息点，该区域至少包括10个不同的地理信息点，区域的面积不超过预设的面积阈值1平方公里，该区域的语义是安全的，即隐藏了用户终端的位置信息。

步骤403，判断是否找到第一数目减1个具有与候选匿名区域相同的匿名区域的用户。

在本实施例中，该匿名区域需要有第一数目个用户，因此需要另外找出第一数目减1个具有与候选匿名区域相同的匿名区域的用户。例如，在执行步骤402之后在候选匿名区域中寻找5个与候选匿名区域相同的匿名区域的用户。

在本实施例的一些可选的实现方式中，以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；将匿名成功的消息广播给所述匿名组内的所有用户；所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。

在本实施例的一些可选的实现方式中，以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组，包括：广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。例如，用户S需要找到4个与其匿名区域相同的用户，用户S广播了消息广播跳数为1的节点发现消息后，接收到的邻居用户的响应消息中用户A需要6个与其匿名区域相同的用户，用户B需要4个与其匿名区域相同的用户，用户C需要5个与其匿名区域相同的用户，用户D需要5个与其匿名区域相同的用户，此时虽然邻居用户数4达到用户S的要求，但不满足用户A的匿名组用户数6的要求，则将消息广播跳数加1再次广播节点发现消息，用户A、用户B、用户C和用户D收到节点发现消息后，判断出此时消息广播跳数为2，则将消息广播跳数减1后，再继续向其它用户广播消息广播跳数为1的节点发现消息，用户E和用户F收到该节点发现消息后判断出自己满足匿名条件且消息广播跳数为1后不再继续向其它用户广播，而是响应其收到的节点发现消息。用户A、用户B、用户C和用户D将收到的响应用户E和用户F连同本身一起发给用户S。

步骤404，候选匿名区域为最终匿名区域。

在本实施例中，如果在步骤403找到了第一数目减1个具有与候选匿名区域相同的匿名区域的用户，则将该候选匿名区域为最终匿名区域，继续执行步骤406、407。

步骤405，选取候选区域的上一层区域作为新的候选区域。

在本实施例中，如果在步骤403没有找到第一数目减1个具有与候选匿名区域相同的匿名区域的用户，则选取候选区域的上一层区域作为新的候选区域重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。例如，如果在步骤403中只找到了4个与候选匿名区域相同的匿名区域的用户，则将查找范围扩大成候选区域的上一层区域再进行查找，直到找到5个与候选匿名区域相同的匿名区域的用户或者匿名区域面积达到预设的面积1 平方公里为止。

步骤406，用匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求。

与步骤203类似，因此不再赘述。

步骤407，从用于根据位置来提供服务的服务提供商返回的基于匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

与步骤204类似，因此不再赘述。

从图4中可以看出，与图2对应的实施例相比，本实施例中的用户位置信息保护方法的流程400突出了找到具有与候选匿名区域相同的匿名区域的用户的步骤。由此，本实施例描述的方案可以找到使多个用户都满足匿名条件的匿名区域，从而实现更全面的用户位置信息保护。

进一步参考图5，作为对上述各图所示方法的实现，本申请提供了一种用户位置信息保护装置的一个实施例，该装置实施例与图2所示的方法实施例相对应，该装置具体可以应用于各种电子设备中。

如图5所示，本实施例所述的用户位置信息保护装置500包括：获取单元501、匿名单元502、请求单元503和选取单元504。其中，获取单元501配置用于获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；匿名单元502配置用于在所述地图中找出满足以下条件的最小区域作为匿名区域：所述用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是攻击者无法从所述用户终端的位置信息推测出用户的个人信息；请求单元503配置用于用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；选取单元504配置用于从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

在本实施例中，用户位置信息保护装置500的获取单元501可以通过有线连接方式或者无线连接方式从后台服务器(例如图1所示的服务器105)获取经预处理的地图。

在本实施例中，用户位置信息保护装置500的请求单元503可以通过有线连接方式或者无线连接方式向后台服务器(例如图1所示的服务器105)发送基于位置的服务请求，在该请求中使用了匿名单元502中生成的匿名区域代替用户的真实位置。

在本实施例中，用户位置信息保护装置500的选取单元504可以从后台服务器接收基于位置的服务的查询结果集，并从该查询结果集中找到与用户的真实位置匹配的查询结果。

在本实施例的一些可选的实现方式中，用户位置信息保护装置还包括地图预处理单元，所述地图预处理单元配置用于：将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；其中，所述区域敏感度的计算包括：将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。

在本实施例的一些可选的实现方式中，用户位置信息保护装置中的匿名单元502还配置用于：在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，若找到，则匿名成功，所述候选匿名区域为最终匿名区域；若没有找到，则选取所述候选区域的上一层区域作为新的候选区域，重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。

在本实施例的一些可选的实现方式中，用户位置信息保护装置中的匿名单元502还配置用于：以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；将匿名成功的消息广播给所述匿名组内的所有用户；所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。

在本实施例的一些可选的实现方式中，用户位置信息保护装置中的匿名单元502还配置用于：广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。

下面参考图6，其示出了适于用来实现本申请实施例的终端设备或服务器的计算机系统600的结构示意图。

如图6所示，计算机系统600包括中央处理单元(CPU)601，其可以根据存储在只读存储器(ROM)602中的程序或者从存储部分608加载到随机访问存储器(RAM)603中的程序而执行各种适当的动作和处理。在RAM 603中，还存储有系统600操作所需的各种程序和数据。CPU 601、ROM 602以及RAM 603通过总线604彼此相连。输入/输出(I/O)接口605也连接至总线604。

以下部件连接至I/O接口605：包括键盘、鼠标等的输入部分606；包括诸如液晶显示器(LCD)等以及扬声器等的输出部分607；包括硬盘等的存储部分608；以及包括诸如LAN卡、调制解调器等的网络接口卡的通信部分609。通信部分609经由诸如因特网的网络执行通信处理。驱动器610也根据需要连接至I/O接口605。可拆卸介质611，诸如磁盘、光盘、磁光盘、半导体存储器等等，根据需要安装在驱动器610上，以便于从其上读出的计算机程序根据需要被安装入存储部分608。

特别地，根据本公开的实施例，上文参考流程图描述的过程可以被实现为计算机软件程序。例如，本公开的实施例包括一种计算机程序产品，其包括有形地包含在机器可读介质上的计算机程序，所述计算机程序包含用于执行流程图所示的方法的程序代码。在这样的实施例中，该计算机程序可以通过通信部分609从网络上被下载和安装，和/或从可拆卸介质611被安装。在该计算机程序被中央处理单元(CPU)601执行时，执行本申请的方法中限定的上述功能。

附图中的流程图和框图，图示了按照本申请各种实施例的系统、方法和计算机程序产品的可能实现的体系架构、功能和操作。在这点上，流程图或框图中的每个方框可以代表一个模块、程序段、或代码的一部分，所述模块、程序段、或代码的一部分包含一个或多个用于实现规定的逻辑功能的可执行指令。也应当注意，在有些作为替换的实现中，方框中所标注的功能也可以以不同于附图中所标注的顺序发生。例如，两个接连地表示的方框实际上可以基本并行地执行，它们有时也可以按相反的顺序执行，这依所涉及的功能而定。也要注意的是，框图和/或流程图中的每个方框、以及框图和/或流程图中的方框的组合，可以用执行规定的功能或操作的专用的基于硬件的系统来实现，或者可以用专用硬件与计算机指令的组合来实现。

描述于本申请实施例中所涉及到的单元可以通过软件的方式实现，也可以通过硬件的方式来实现。所描述的单元也可以设置在处理器中，例如，可以描述为：一种处理器包括获取单元、匿名单元、请求单元和选取单元。其中，这些单元的名称在某种情况下并不构成对该单元本身的限定，例如，获取单元还可以被描述为“获取地图和用户终端的位置信息的单元”。

作为另一方面，本申请还提供了一种非易失性计算机存储介质，该非易失性计算机存储介质可以是上述实施例中所述装置中所包含的非易失性计算机存储介质；也可以是单独存在，未装配入终端中的非易失性计算机存储介质。上述非易失性计算机存储介质存储有一个或者多个程序，当所述一个或者多个程序被一个设备执行时，使得所述设备：获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；在所述地图中找出满足以下条件的最小区域作为匿名区域：用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是所述区域隐藏了用户终端的位置信息；用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。

以上描述仅为本申请的较佳实施例以及对所运用技术原理的说明。本领域技术人员应当理解，本申请中所涉及的发明范围，并不限于上述技术特征的特定组合而成的技术方案，同时也应涵盖在不脱离所述发明构思的情况下，由上述技术特征或其等同特征进行任意组合而形成的其它技术方案。例如上述特征与本申请中公开的(但不限于)具有类似功能的技术特征进行互相替换而形成的技术方案。

Claims

一种用户位置信息保护方法，其特征在于，所述方法包括：

获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；

在所述地图中找出满足以下条件的最小区域作为匿名区域：用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是所述区域隐藏了用户终端的位置信息；

用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；

从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。
根据权利要求1所述的用户位置信息保护方法，其特征在于，所述方法还包括对地图的预处理，包括：

将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；

从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；

计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；

将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；

其中，所述区域敏感度的计算包括：

将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；

用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；

计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；

将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；

将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。
根据权利要求2所述的用户位置信息保护方法，其特征在于，当所述区域敏感度大于预设的区域敏感度阈值时所述区域的语义是安全的。
根据权利要求1所述的用户位置信息保护方法，其特征在于，所述在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，包括：

在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；

在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，若找到，则匿名成功，所述候选匿名区域为最终匿名区域；

若没有找到，则选取所述候选区域的上一层区域作为新的候选区域，重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。
根据权利要求4所述的用户位置信息保护方法，其特征在于，所述在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，包括：

以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；

将匿名成功的消息广播给所述匿名组内的所有用户；

所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。
根据权利要求5所述的用户位置信息保护方法，其特征在于，所述以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组，包括：

广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；

接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；

将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；

比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；

若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。
一种用户位置信息保护装置，其特征在于，所述装置包括：

获取单元，配置用于获取地图和用户终端的位置信息，其中，所述地图被划分成层次性的区域并且支持区域索引，一个高层的区域覆盖多个低一层的区域，一个最低层的区域包含一个地理信息点；

匿名单元，配置用于在所述地图中找出满足以下条件的最小区域作为匿名区域：所述用户终端的位置位于区域中、区域中至少包括第一数目个用户、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的，其中，所述区域的语义是安全的指的是攻击者无法从所述用户终端的位置信息推测出用户的个人信息；

请求单元，配置用于用所述匿名区域代替用户终端的真实位置向用于根据位置来提供服务的服务提供商发送服务请求；

选取单元，配置用于从所述用于根据位置来提供服务的服务提供商返回的基于所述匿名区域中的各个地理信息点的服务查询结果集合中选出符合用户终端的位置信息的服务查询结果。
根据权利要求7所述的用户位置信息保护装置，其特征在于，所述装置还包括地图预处理单元，所述地图预处理单元配置用于：

将所述地图中的每个地理信息点用一个最小边界矩形覆盖，计算每个最小边界矩形中心的希尔伯特值作为该最小边界矩形的希尔伯特值，利用所述希尔伯特值对所述地图构造Hilbert R-树；

从第三方数据源获得描述所述Hilbert R-树中每个最小边界矩形所包含的区域的地点特征的一个或多个标签来表示所述区域的位置类别；

计算所述Hilbert R-树中每个最小边界矩形所包含的区域对于每个位置类别的区域敏感度；

将所述区域敏感度存放在所述Hilbert R-树的相应的叶子节点中；

其中，所述区域敏感度的计算包括：

将所述区域中与所述位置类别相关的所有标签放入一个标签集合中；

用条件熵计算所述标签集合中的任一标签或者多个标签组合对确定所述位置类别的贡献度；

计算所述区域中所有位置都拥有所述标签集合中的任一标签或者多个标签组合的概率；

将所述贡献度和所述概率结合起来得到所述区域中所述标签集合中的任一标签或者多个标签组合对所述位置类别的不确定度；

将最小的不确定度值作为所述区域对所述位置类别的区域敏感度。
根据权利要求8所述的用户位置信息保护装置，其特征在于，当所述区域敏感度大于预设的区域敏感度阈值时所述区域的语义是安全的。
根据权利要求7所述的用户位置信息保护装置，其特征在于，所述匿名单元还配置用于：

在所述地图中找出满足以下条件的区域作为候选匿名区域：所述用户终端的位置位于区域中、区域中至少包括第二数目个不同的地理信息点、区域的面积不超过预设的面积阈值、区域的语义是安全的；

在所述用户终端的位置附近寻找第一数目减1个具有与所述候选匿名区域相同的匿名区域的用户，若找到，则匿名成功，所述候选匿名区域为最终匿名区域；

若没有找到，则选取所述候选区域的上一层区域作为新的候选区域，重复第一数目减1个邻居用户的发现操作，直到匿名成功或候选匿名区域面积达到预设的面积阈值为止。
根据权利要求10所述的用户位置信息保护装置，其特征在于，所述匿名单元还配置用于：

以单跳或多跳通信的方式发现具有相同候选匿名区域的邻居用户，形成匿名成功的匿名组；

将匿名成功的消息广播给所述匿名组内的所有用户；

所述匿名组内用户用所述候选匿名区域代替自身真实位置向用于根据位置来提供服务的服务提供商发起服务请求，所述服务请求处理成功后，所述匿名组解散。
根据权利要求11所述的用户位置信息保护装置，其特征在于，所述匿名单元还配置用于：

广播节点发现消息，所述节点发现消息包括：匿名组编号、候选匿名区域、匿名组用户数、消息广播跳数；

接收邻居用户的响应消息，所述响应消息包括：具有相同候选匿名区域的邻居节点集合；

将收到的所述邻居节点集合放入已发现节点的集合，查看所述邻居节点集合的所有邻居节点中最大的匿名组用户数值是否大于节点发现消息中的匿名组用户数，若大于，则将所述节点发现消息中的匿名组用户数更新为所述邻居节点中最大的匿名组用户数；

比较已发现节点的个数是否达到所述邻居节点中最大的匿名组用户数减1个，若达到，则匿名成功；

若未达到，将所述邻居节点集合和所述已发现节点的集合进行比较，若两个集合相同，则匿名失败，将在所述匿名组内发送匿名失败的消息；若不同，则将消息广播跳数加1，继续广播所述节点发现消息，等待响应。
一种设备，包括：

处理器；和

存储器，

所述存储器中存储有能够被所述处理器执行的计算机可读指令，在所述计算机可读指令被执行时，所述处理器执行如权利要求1-6中任一项所述的方法。
一种非易失性计算机存储介质，所述计算机存储介质存储有能够被处理器执行的计算机可读指令，当所述计算机可读指令被处理器执行时，所述处理器执行如权利要求1-6中任一项所述的方法。