CN101866353B - 一种基于位置服务的连续查询隐私保护方法 - Google Patents

Abstract

一种基于位置服务的连续查询隐私保护方法，该方法包括步骤：A、移动用户用于将查询请求

发送给匿名服务器；B、匿名引擎根据用户标识id判断该查询请求Q是新查询还是活动查询；C、如果是新查询，匿名引擎对查询请求

进行匿名处理，并将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器；D、提供商服务器根据所接收到的查询请求Q＝(id′，R_v，t，maxT，con)进行查询处理，并将查询结果的候选集返回给匿名服务器；E、匿名服务器从数据库服务器返回的候选结果中，选择正确的查询结果返回给相应的移动对象。

Description

一种基于位置服务的连续查询隐私保护方法

技术领域

本发明涉及位置服务领域，尤其是涉及一种基于位置服务的连续查询隐私保护方法。

背景技术

为保护位置隐私，Marco Gruteser等提出了基于时空匿名的位置K-匿名模型：当一个移动用户的位置无法与其他(K-1)个用户的位置相区别时，称此位置满足位置K-匿名。为达到位置K-匿名，每一个用户的位置被扩展为一个匿名区域，其中至少包含K个用户。图1给出了一个位置3-匿名(K＝3)的例子，A、B、C的位置被扩展为区域R(用户A、B、C组成匿名集)，攻击者无法确定他们在R中的确切位置。在某些情况下，攻击者可能获知用户的真实位置，此时查询中的位置便成为伪标识符(QI)，标识出提出查询的用户。值得庆幸的是，位置K-匿名模型也适用于保护查询隐私。如图1(b)所示，查询中的位置被扩展为相同区域R，使得确切的查询位置得以隐藏，从而保护了查询隐私。

位置服务中现有的大部分隐私保护工作均针对快照(snapshot)查询类型。然而，由于相同用户在不同时刻的匿名集不同，所以现有的匿名算法不能直接用于连续查询隐私保护。如图2所示，***中存在{A，B，C，D，E，F}六个用户。攻击者事先知道六个用户中存在连续查询，但并不知道连续查询是什么，以及是由谁提出的。在三个不同时刻ti、ti+1、ti+2，用户A分别形成了三个不同的匿名集，即{A，B，D}、{A，B，F}、{A，C，E}，如图2中实线矩形框所示。将三个匿名集取交，即可获知是用户A提出的连续查询以及其查询类型。

正如我们所观察到的，上述问题主要是由同一用户(A)在其有效生命期内形成的匿名集不同而造成的。所以，解决此问题的最简单方法是让提出连续查询的用户在最初时刻形成的匿名集，在其查询有效期内均有效。如在前面的例子中，用户A在时刻t_i形成的匿名集是{A，B，D}，则在t_i+1，t_i+2时刻，匿名集应该依然是{A，B，D}，如图2中虚线矩形所示。虽然这种方式成功的保护了查询隐私，但是也将产生新的问题：第一，位置隐私泄露。如在图2(b)中，在t_i+1时刻，A、B、D位置过于邻近，造成匿名框过小(极端情况下集中于一点)，位置隐私泄露；第二，服务质量QoS降低。服务质量与数据精度成反比。在t_i+2时刻，{A，B，D}分布在距离较远的位置，形成的匿名框过大，造成过高的查询处理代价。在极端情况下，匿名集中所有用户背向而行，一段时间之后，匿名区将覆盖整个服务区域。

发明内容

本发明是鉴于上述技术问题而产生的。本发明的一个目的是提出一种基于位置服务的连续查询隐私保护方法。

在一个方面中，根据本发明的基于位置服务的连续查询隐私保护方法包括步骤：A、移动用户用于将查询请求

发送给匿名服务器，其中id是用户标识；l＝(x，y)表示查询请求Q所在位置；速度

是一个向量，其中v_x/v_y表示查询在x/y轴方向上的速度分量；表示查询请求Q在时刻t在位置为l上，并且运动速度为T_exp表示该查询过期时间；con表示查询内容；B、匿名引擎根据用户标识id判断该查询请求Q是新查询还是活动查询；C、如果是新查询，匿名引擎对查询请求

进行匿名处理，并将匿名处理后的请求

Q＝(id′，R_v，t，maxT，con)发送给提供商服务器，其中R_v，t是将1匿名后的位置，maxT是与Q在同一匿名组的所有查询的最大过期时间；D、提供商服务器根据所接收到的请求Q＝(id′，R_v，t，maxT，con)进行查询处理，并将查询结果的候选集返回给匿名服务器；E、匿名服务器从数据库服务器返回的候选结果中，选择正确的查询结果返回给相应的移动对象。

在这个方面中，其中步骤C进一步包括步骤：C1、对查询请求Q中的用户id进行处理以得到假名id′，并记录id与假名id′的对应关系；C2、在TPR-树上迅速找到查询请求Q的连续最近邻连续簇集合CSnn；C3、扫描集合CSnn中的每一个簇Ci，找到与Q具有最小相似度的簇C_min；C4、检测候选匿名集c_min的长和宽在候选匿名集的最小查询有效期内是否小于δp*min(A_width，A_height)，其中δp是***定义参数δp，A_width和A_height是***的长和宽，如果满足这个要求，则执行步骤C5，否则执行步骤C7；C5、对于每一个在CSnn中不在C_min中的查询o，如果C_min ∪{o}满足δq-扭曲度模型，则把o***C_min，并相应的更新C_min和o原所在簇信息，重复这样的过程，直至C_min中包含K个查询；C6、包含查询数大于K的C_min组成匿名集合，从而得到R_v，t和maxT，并执行步骤C8；C7、将查询请求Q***C_min，重新更新C_min的质心，并将C_min***到TPR-树中；C8、匿名引擎将(R_L，t，R_v，t)发送到知识库，知识库收到此匿名集后将其以(id，R_L，t，R_v，t，maxT)的形式存储在数据库中；C9、匿名引擎将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器。

在这个方面中，其中步骤C3进一步包括步骤：C31、计算***Q后簇Ci的边界变化情况，更新BTQ；C32、检测每个簇Ci的最小边界矩形R_L，t在簇Ci的查询有效期内是否大于δq，即判断是否满足δq-扭曲度模型；C33、若满足δq-扭曲度模型，则计算Ci与Q的时序相似度，找到与Q具有最小相似度的簇C_min。

在这个方面中，其中当查询请求Q是活动查询时，以id为关键字从数据库中找到匿名集(id，R_L，t，R_v，t，maxT)，重新计算R_L，t后并将其以(id’，R_L，t，maxT，con)的形式发送给基于位置的提供商服务器。

通过本发明，可以防止由于基于位置服务用户提出连续查询而产生隐私泄露的问题。让在基于位置服务中的移动用户可以除享受一般快照式查询服务外，还可以享受快捷的连续查询式的基于位置的服务。

附图说明

结合随后的附图，从下面的详细说明中可显而易见的得出本发明的上述及其他目的、特征及优点。在附图中：

图1给出了根据现有技术的示意图；

图2给出了根据现有技术的另一示意图；

图3给出了根据本发明的基于位置服务的连续查询隐私保护***的方框图；

图4给出了根据本发明的基于位置服务的连续查询隐私保护方法的流程图；

图5给出了根据本发明的边界速度图的一个例子的示意图；

图6给出了根据本发明的对查询请求进行匿名处理的详细流程图；

图7给出了根据本发明的在一维情况下对象在x轴上运动的例子的示意图；

图8给出了根据本发明的x轴上的边界宽(WB)的示意图；

图9给出了根据本发明的簇的示意图；

图10给出了根据本发明的边界速度图的另一个例子的示意图。

具体实施方式

为了更全面地理解本发明及其优点，下面结合附图及具体实施例对本发明做进一步详细地说明。

首先，参考图3，图3示出了根据本发明的基于位置服务的连续查询隐私保护***的方框图。

如图3所示，根据本发明的***包括：移动用户、匿名服务器、以及提供商服务器。

移动用户用于将查询请求发送给匿名服务器。其中l＝(x，y)表示查询请求Q所在位置；速度

是一个向量，其中v_x/v_y表示查询在x/y轴方向上的速度分量；表示查询请求Q在时刻t在位置为l上，并且运动速度为

T_exp表示该查询过期时间，T_exp可以表示为t+Δt，其表示在Δt后这个查询过期变为无效；con表示查询内容，如最近医院等。

查询请求分为新查询和活动查询两种。新查询是指由用户首次提出的查询请求。活动查询是指用户在过去的时刻提出，直到现在依然有效的查询，再次触发仅为位置更新。例如，某用户在时刻t_i发出连续查询请求Q，查询有效期为Δt。在时刻t_i，Q是新查询；对于任意t∈(t_i，t_i+Δt]，Q属于活动查询。

匿名服务器由知识库、匿名引擎、以及查询结果求精处理器组成。

具体地说，如果匿名服务器接收到一个新查询时，匿名引擎首先对用户id进行哈希处理以转换为假名id’，同时根据待匿名查询的位置寻找匿名集(R_L，t，R_v，t)并将其发送到知识库。知识库收到此匿名集后将其以(id，R_L，t，R_v，t，maxT)的形式存入数据库中。此时新查询变成了活动查询。当下次标识为id的查询到达时，以id为关键字从数据库中找到此匿名集，重新计算R_L，t，并将其以(id’，R_L，t，maxT，con)的形式发送给基于位置的提供商服务器。

优选地，匿名集还可以为(CID，Qset，R_L，t，R_v，t)，并且知识库收到此匿名集后将其以(id，CID，Qset，R_L，t，R_v，t，maxT)的形式存入数据库中。其中CID是匿名服务器可以是随机唯一标识，Qset中存储的是在匿名集中包含的所有查询标识组成的集合。

如果到达一个活动查询，则匿名引擎直接从知识库中寻找该查询在提出之初形成的匿名集合。找到该集合，并根据其中所有对象的当前位置计算新的匿名框R_L，t，将活动查询以(id’，R_L，t，maxT，con)的形式发送给提供商服务器。其中R_L，t，是根据速度v和运行时间t重新计算而来的。

查询结果求精处理器用于对提供商服务器返回的查询结果进行求精处理，并将求精结果返回给移动对象。

提供商服务器根据所接收到的匿名后的请求进行查询处理，并将查询结果发送给匿名服务器。

接下来，结合图3和图4，对根据本发明的防止位置依赖攻击的位置隐私保护方法进行详细的说明。

如图4所示，根据本发明的方法包括以下步骤：

步骤A：移动用户用于将查询请求

发送给匿名服务器。其中id是用户标识，l＝(x，y)表示查询请求Q所在位置；速度

是一个向量，其中v_x/v_y表示查询在x/y轴方向上的速度分量；表示查询请求Q在时刻t在位置为l上，并且运动速度为

T_exp表示该查询过期时间，T_exp可以表示为t+Δt，其表示在Δt后这个查询过期变为无效；con表示查询内容等。例如张三以40km/h运动，提出“查询5分钟距离我最近的医院”，那么id表示张三，1表示张三当前位置，v是40km/h，t是提出查询的时刻，Texp是t+5(表示5分钟后这个查询过期，变无效)，con为“查询5分钟距离我最近的医院”

查询请求分为新查询和活动查询两种。新查询是指由用户首次提出的查询请求。活动查询是指用户在过去的时刻提出，直到现在依然有效的查询，再次触发仅为位置更新。例如，某用户在时刻t_i发出连续查询请求Q，查询有效期为Δt。在时刻t_i，Q是新查询；对于任意t∈(t_i，t_i+Δt]，Q属于活动查询。

步骤B：匿名引擎根据用户标识id判断该查询请求Q是新查询还是活动查询。

具体地说，如果数据库中存在与用户标识id有关的信息，则判断出该查询请求Q是活动查询，否则是新查询。

步骤C：如果是新查询，匿名引擎对查询请求

进行匿名处理，并将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器，其中R_v，t是将1匿名后的位置，maxT是与Q在同一匿名组的所有查询的最大过期时间，即

首先，对匿名服务器所使用的数据结构TPR树和队列BTQ，进行简单地说明。数据结构TPR树和队列BTQ在匿名引擎中，具体地说，

输入：新的查询r，服务空间中待匿名查询组成的集合CR

输出：查询r所在的匿名集，匿名集的形式为(CID，Qset，R_L，t，R_v，t，maxT)

其中：

●CID表示匿名集标识符；

●Qset是一个集合，由匿名集中包含的查询组成；

●R_L，t＝(L_x-，t，L_y-，t，L_x+，t，L_y+，t)表示匿名框，覆盖Qset中所有用户的最小边界矩形，其中(L_x-，t，L_y-，t)和(L_x+，t，L_y+，t)是最小边界矩形，以后用MBR表示，的左下角和右上角在时刻t的坐标；

●R_v，t是R_L，t的速度边界矩形。R_v，t＝(v_xmin，t，v_ymin，t，v_xmax，t，v_ymax，t)，其中v_xmin，t＝min(v_x+，t，v_x-，t)，，v_xmax，t＝max(v_x+，t，v_x-，t)，v_ymin，t＝min(v_y+，t，v_y-，t)，v_ymax，t＝max(v_y+，t，v_y-，t)。v_x-，t/v_x+，t是MBR在x方向上的左/右边界速度，v_y-，t/v_y+，t是MBR在y方向上的下/上边界速度。

maxT是与Q在同一匿名组的所有查询的最大过期时间，即

$\max T=\underset{Q\∈\mathrm{CS}}{\max }Q.T_{\exp }$

如图5所示，匿名集包括Q1～Q5五个查询，括号中的数字表示该查询的运动速度，箭头代表运动方向。CS.R_L，ti＝(1，1，4，2)，CS.R_v，ti＝(-1，-3，1，2)。

初始状态下，每一个移动用户(或者与之相应的查询请求)都是一个连续簇。连续簇的定义为：对于查询集合C，如果

●C满足δq-扭曲度模型

●maxT_exp-minT_exp≤δ_T，其中maxT_exp＝max_Q∈C(Q.T_exp)，minT_exp＝min

_Q∈C(Q.T_exp)。δ_T是***参数。

Q.T_exp是匿名集合中查询请求Q的查询有效期，前一个公式求的是最大查询有效期，后者表示求小查询有效期，maxT_exp-minT_exp求得的是在一个匿名集合种所有查询有效期的差距。

则C是在[t1，t2]期间的连续簇。其中δq-扭曲度模型是指假设用户可以容忍的最差服务质量是δq(***参数)，查询集CS的位置匿名框为R_L，t，伴随边界速度Rv，t，则对于t∈[Ts，maxT]，Q∈CS，

其中Distortion(Q，R_L，t)表示查询请求Q的信息扭曲度，定义为：CS在时刻t的MBR(VBR)为RL，t(Rv，t)。Aheight，Awidth分别是整个空间的高与宽。查询请求Q在时刻t的扭曲度定义为：

${\mathrm{Distortion}}_{R_{v,t}}(Q,R_{L,t})=\frac{(L_{x+,t}-L_{x-,t})+(L_{y+,t}-L_{y-,t})}{A_{\mathrm{height}}+A_{\mathrm{width}}}$

则Q在其有效期内，总信息扭曲度为：

${\∫}_{T_s}^{T_{\exp }}{\mathrm{Distortion}}_{R_{v,t}}(Q,R_{L,t})\mathrm{dt}$

其中Ts是查询请求Q匿名成功的时刻，T_exp是查询请求Q的过期时间。

下面对匿名服务器对查询请求的匿名处理流程进行更加详细地描述。

具体地说，如图6所示，步骤C进一步包括：

步骤C1：对查询请求Q中的用户id进行处理以得到假名id′，并记录id与假名id′的对应关系。应该注意的是如何转换成假名为本领域普通技术人员所熟知的技术，因此在这里不做详述。

步骤C2：利用最小最佳优先原则在TPR-树上迅速找到查询请求Q的连续最近邻连续簇集合CSnn。

其中首先簇(cluser)是指状态相似的查询集合。如图9所示，C1～C4均是簇，C1是由查询A～F组成的集合。每一个簇都是一个候选匿名集合，所以在后面不明确区分候选匿名集合和簇的概念。簇C_n是查询r的连续最近邻簇(为表述方便，后面用NNC表示)当且仅当对于任意一个簇C_i(C_i≠C，i≠n)，周长(最小边界矩形(C_i，Q))＞周长(最小边界矩形(C_n，Q))。如在下面这个例子中，查询r的最近邻连续簇是C4。

每一个簇C_i均带有一个边界查询队列(后面为表述方便用BTQ表示)bqc，其中存放着在查询有效期内Ci的边界信息。

步骤C3：扫描集合CSnn中的每一个簇Ci，找到与Q具有最小相似度的簇C_min。

具体地说，该步骤进一步包括：

步骤C31：计算***Q后簇Ci的边界变化情况，更新BTQ。

在BTQ中，边界位置信息按照时间点升序排序。因为匿名框的边界位置随着查询的运动而变化，所以在线追踪所有对象的运动进而获得所有时刻的边界位置不现实，代价很昂贵。图7给出了一维情况下对象在x轴上运动的例子。从时刻t_i～t_i，查询在时刻t在x轴的位置可以通过公式(1)确定：

x＝x_ti+v_x*(t-t_i)                       (1)

通过解线性方程组，可以获得图7中不同移动对象相遇的时刻与位置(即交叉点)。注意只计算那些对边界宽(长)度有贡献的交叉点。在图7中，可以忽略交叉点P。虽然我们以在x轴上运动为例进行说明，y轴上具有类似的情况。对于每一个簇Ci，VS+/VS-是在查询有效期内正/负x-轴上边界速度集合。主要思想是：对于***簇Ci的查询请求Q，如果

r.v_x＜v+并且

r.v_x＞v-，则Q不可能成为x轴上的边界。否则，利用公式1计算Q成为边界的时间，并***队列BTQ。类似的，可得簇所有的边界位置。

步骤C32：检测每个簇Ci的最小边界矩形R_L，t在簇Ci的查询有效期内是否大于***定义δq，即判断是否满足δq-扭曲度模型。

在C31中已计算出每一个候选匿名集的边界对象变更队列BTQ，结合该队列，很容易获得候选匿名集边界位置。对于BTQ中任意两个连续时刻点[t_i，t_i+1]，候选匿名集边界的长和宽都是一个时间t的线性函数。候选匿名集边界的长和宽定义为：假设匿名集CR在时刻t的匿名框为R_L，t，则在x轴上，匿名框的宽为：

WB_t＝L_x+，t-L_x-，t＝(L_x+，ti-1-L_x-，ti-1)+(v_x+，t-v_x-，t)×(t-t_i-1)       (2)同样的，在y轴上，匿名框的高为：

HB_t＝L_y+，t-L_y-，t＝(L_y+，ti-1-L_y-，ti-1)+(v_y+，t-v_y-，t)×(t-t_i-1)       (3)

分别记为WB_t和HB_t。WBt/HBt也是线段函数。图7例子的WB的变化趋势如图8所示。HB的变化趋势与WB类似，故省略。

为方便起见，假设：

P_A＝A_height+A_width

P_L，t＝(L_x+，t-L_x-，t)+(L_y+，t-L_y-，t)

P_v，t＝(v_x+，t-v_x-，t)+(v_y+，t-v_y-，t)

ΔT＝T_exp-Ts。

TSet定义了边界查询发生更改时的时间戳组成的集合{t1，t2，...，tn}(t1＝Ts，tn＝Texp)。很容易计算P_L，t和P_v，t，为满足δq-扭曲度模型的要求，对任意时刻t∈[ti，ti+1]，

$\frac{1}{P_A}[P_{L,\mathrm{ti}}+P_{v,\mathrm{ti}}(t-t_i)]<{\mathrm{\&delta;}}_q---\left(7\right)$

让不等式(7)的左侧等于δq，计算出时间t的上限t+。如果t+位于[ti，ti+1]，则说明不满足δq-扭曲度模型，否则满足δq-扭曲度模型。

步骤C33：若满足δq-扭曲度模型，则计算Ci与Q的时序相似度，找到与Q具有最小相似度的簇C_min。

时序相似度的计算具体为：U1和U2是两个不相交的查询集合

并且U＝U1∪U2。R_L12，t(R_v12，t)是时刻t覆盖这两个查询的MBR(BVR)。U1与U2的时序相似距离定义为：

$\mathrm{SimDis}(U_1,U_2)$

$={\&Integral;}_{T_s}^{\max T}{\mathrm{Distortion}}_{R_{v\_12,t}}(U_1,R_{L,t})\mathrm{dt}+{\&Integral;}_{T_s}^{\max T}{\mathrm{Distortion}}_{R_{v\_12,t}}(U_2,R_{L,t})\mathrm{dt}$

其中maxT＝max(Q1.T_exp，Q2.T_exp)，Distortion_{Rv_12，t}(U1，RL，t)的计算方式为查询集合Ui在时刻t的MBR和BVR分别为R_L，t，R_v，t，U1在时刻t的位置扭曲度为：

${\mathrm{Distortion}}_{R_{v,t}}(U_1,R_{L,t})=\underset{i=1}{\overset{\left|U_1\right|}{\mathrm{\&Sigma;}}}{\mathrm{Distortion}}_{R_{v,t}}(Q_i,R_{L,t})$

$=\left|U_1\right|\frac{(L_{x+,t}-L_{x-,t})+(L_{y+,t}-L_{y-,t})}{A_{\mathrm{height}}+A_{\mathrm{width}}}$

U1在其有效期内总信息扭曲率为

${\&Integral;}_{T_s}^{\max T}{\mathrm{Distortion}}_{R_{v,t}}(U_1,R_{L,t})\mathrm{dt}$

其中Ts是匿名集U1的生成时间，maxT＝max_Q∈U1(Q.T_exp)。

具体地说，如果c_min不存在，Q自身形成一个单点簇，并将其质心存入TPR-树中；否则合并{Q}与c_min。如果c_min中包含的查询个数不少于K，则直接作为候选匿名集作为步骤C4的输入进行隐私检查。否则作为步骤C5的输入进行簇优化。

其中簇的质心簇中所有点位置的中心点，表示为C(x，y，v_x，v_y)。其中v_x和v_y按照下面的公式计算：。

● $x=\frac{{\mathrm{\&Sigma;}}_{Q\&Element;C}Q.x}{\left|C\right|},$ $y=\frac{{\mathrm{\&Sigma;}}_{Q\&Element;C}Q.y}{\left|C\right|};---\left(8\right)$

● $\underset{\&OverBar;}{v_x=\frac{{\mathrm{\&Sigma;}}_{Q\&Element;C}Q.v_x}{\left|C\right|},v_y=\frac{{\mathrm{\&Sigma;}}_{Q\&Element;C}Q.v_y}{\left|C\right|}}---\left(9\right)$

其中

包含v_x和v_y，其包含在查询请求Q中。|C|是查询集合C中包含的查询个数。

步骤C4：结合边界对象变更队列BTQ，检测候选匿名集c_min的长和宽在候选匿名集的最小查询有效期内是否小于δp*min(A_width，A_height)，其中δp是***定义参数δp，A_width和A_height是***的长和宽。如果满足这个要求，则执行步骤C5，否则执行步骤C7。

其判断方法是：对于任一个候选匿名集，取出其BTQ中两个连续时刻ti，ti+1，根据公式(2)和公式(3)计算候选匿名框的宽和高，分别判断是否大于Δp＝δp*min(A_width，A_height)。若在候选匿名集的生命有效期内的任意一个连续时间段[t_i，t_i+1]，两个不等式均无解，则该候选匿名集可作为匿名结果成功返回。反之，若有其中任何一个不满足，则把触发查询请求Q***查询待匿名集合RSet。

步骤C5：对于每一个在CSnn中不在C_min中的查询o，如果C_min ∪{o}满足δq-扭曲度模型，则把o***C_min，并相应的更新C_min和o原所在簇信息。重复这样的过程，直至C_min中包含K个查询。

步骤C6：包含查询数大于K的C_min组成匿名集合，从而得到R_v，t和maxT，并执行步骤C8。

这些查询的最小边界矩形即是每一个查询匿名后的位置。根据图5的例子，根据C_min中包含的所有查询的位置坐标可以计算出R_L，t，所有查询的速度计算边界速度R_v，t，所有查询的过期时间的最大值即可获得maxT，从而得到Q＝(id′，R_v，t，maxT，con)。

步骤C7：将查询请求Q***C_min，根据公式8和公式9重新更新C_min的质心，并将C_min***到TPR-树中。匿名服务器接收并处理下一个新查询。

步骤C8：匿名引擎将(R_L，t，R_v，t)发送到知识库，知识库收到此匿名集后将其以(id，R_L，t，R_v，t，maxT)的形式存储在数据库中。

优选地，匿名集还可以为(CID，Qset，R_L，t，R_v，t)，并且知识库收到此匿名集后将其以(id，CID，Qset，R_L，t，R_v，t，maxT)的形式存入数据库中。其中CID是匿名服务器可以是随机唯一标识，Qset中存储的是在匿名集中包含的所有查询标识组成的集合。

步骤C9：匿名引擎将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器。

至此，已对查询请求Q是新查询的情况进行了说明。下面对查询请求Q是活动查询的处理过程说明。

从上述可知，如果匿名服务器接收到一个新查询时，匿名引擎首先对用户id进行假名处理以转换为假名id’，同时根据待匿名查询的位置寻找匿名集(R_L，t，R_v，t)并将其发送到知识库和基于位置服务其服务提供商。知识库收到此匿名集后将其以(id，R_L，t，R_v，t，maxT)存入数据库中。此时新查询变成了活动查询。当下次标识为id的查询到达时，以id为关键字从数据库中找到此匿名集，重新计算R_L，t后并将其以(id’，R_L，t，maxT，con)的形式发送给基于位置的提供商服务器。

优选地，匿名集还可以为(CID，Qset，R_L，t，R_v，t)，并且知识库收到此匿名集后将其以(id，CID，Qset，R_L，t，R_v，t，maxT)的形式存入数据库中。其中CID是匿名服务器可以是随机唯一标识，Qset中存储的是在匿名集中包含的所有查询标识组成的集合。

具体地说，如果查询请求标识为id的查询请求Q在知识库中存在，则为活动查询。以id为关键字找到查询请求Q的Rv，t和RL，t。

例如如图10所示，在知识库中存储Q1_Q4在时刻t＝0时匿名后位置是R_L，0＝{(1，1)，(4，2)}，速度R_v，0＝{(-1，-3)，(1，2)}。假设Q1在t＝1时刻又再次提出查询，则重新计算R_L，1＝{(0，-2)，(5，4)}。

步骤D：提供商服务器根据所接收到的请求Q＝(id′，R_v，t，maxT，con)进行查询处理，并将查询结果的候选集返回给匿名服务器。应该说明的是，数据库服务器的查询处理是为大家所熟知的技术，并且不是本发明的重点，因此在此不对其做详述。

步骤E：匿名服务器根据用户的真实位置从数据库服务器返回的候选结果中，选择正确的查询结果返回给相应的移动对象。

通过本发明可知，可以防止由于基于位置服务用户提出连续查询而产生隐私泄露的问题。让在基于位置服务中的移动用户可以除享受一般快照式查询服务外，还可以享受快捷的连续查询式的基于位置的服务。

此外，对于本领域的普通技术人员来说可显而易见的得出其他优点和修改。因此，具有更广方面的本发明并不局限于这里所示出的并且所描述的具体说明及示例性实施例。因此，在不脱离由随后权利要求及其等价体所定义的一般发明构思的精神和范围的情况下，可对其做出各种修改。

Claims (3)

1.一种基于位置服务的连续查询隐私保护方法，包括步骤：

A、移动用户用于将查询请求 

发送给匿名服务器，其中id是用户标识；l＝(x，y)表示查询请求Q所在位置；速度 

是一个向量，其中v_x/v_y表示查询在x/y轴方向上的速度分量； 表示查询请求Q在时刻t在位置为l上，并且运动速度为 

T_exp表示该查询过期时间；con表示查询内容；

B、匿名引擎根据用户标识id判断该查询请求Q是新查询还是活动查询；

C、如果是新查询，匿名引擎对查询请求 

进行匿名处理，并将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器，其中R_v，t是将l匿名后的位置，maxT是与Q在同一匿名组的所有查询的最大过期时间，即 其中，id′为假名，CS为查询集；

D、提供商服务器根据所接收到的请求Q＝(id′，R_v，t，maxT，con)进行查询处理，并将查询结果的候选集返回给匿名服务器；

E、匿名服务器从提供商服务器返回的候选结果中，选择正确的查询结果返回给相应的移动对象；

其中，步骤C进一步包括步骤：

C1、对查询请求Q中的用户id进行处理以得到假名id′，并记录id与假名id′的对应关系；

C2、在TPR-树上迅速找到查询请求Q的连续最近邻连续簇集合CSnn；

C3、扫描集合CSnn中的每一个簇Ci，找到与Q具有最小相似度的簇C_min；

C4、检测候选匿名集C_min的长和宽在候选匿名集的最小查询有效期内是否小于δp*min(A_width，A_height)，其中δp是用户指定的一维情况下最高位置粒度，A_width和A_height是***的长和宽，如果满足这个要求，则执行步骤C5， 否则执行步骤C7；

C5、对于每一个在CSnn中不在C_min中的查询o，如果C_min∪{o}满足δq-扭曲度模型，则把o***C_min，并相应的更新C_min和o原所在簇信息，重复这样的过程，直至C_min中包含K个查询；其中，δq-扭曲度模型是指假设用户可以容忍的最差服务质量为δq；

C6、包含查询数大于K的C_min组成匿名集合，从而得到R_v，t和maxT，并执行步骤C8；

C7、将查询请求Q***C_min，重新更新C_min的质心，并将C_min***到TPR-树中；

C8、匿名引擎将(R_L，t，R_v，t)发送到知识库，知识库收到此匿名集后将其以(id，R_L，t，R_v，t，maxT)的形式存储在数据库中；其中，R_L，t为匿名框；C9、匿名引擎将匿名处理后的请求Q＝(id′，R_v，t，maxT，con)发送给提供商服务器。

2.根据权利要求1的方法，其中步骤C3进一步包括步骤：

C31、计算***Q后簇Ci的边界变化情况，更新边界对象变更队列BTQ；

C32、检测每个簇Ci的最小边界矩形R_L，t在簇Ci的查询有效期内是否大于δq，即判断是否满足δq-扭曲度模型；

C33、若满足δq-扭曲度模型，则计算Ci与Q的时序相似度，找到与Q具有最小相似度的簇C_min。

3.根据权利要求1的方法，其中：

当查询请求Q是活动查询时，以id为关键字从数据库中找到匿名集(id，R_L，t，R_v，t，maxT)，重新计算R_L，t后并将其以(id’，R_L，t，maxT，con)的形式发送给基于位置的提供商服务器。 

Images