CN104618896A

CN104618896A - 一种基于网格密度的位置服务隐私保护方法及***

Info

Publication number: CN104618896A
Application number: CN201510006262.3A
Authority: CN
Inventors: 武发明; 刘佩林; 潘常春; 郁文贤; 邹耀
Original assignee: MEDIASOC TECHNOLOGIES Co Ltd; Shanghai Jiaotong University
Current assignee: MEDIASOC TECHNOLOGIES Co Ltd; Shanghai Jiaotong University
Priority date: 2015-01-07
Filing date: 2015-01-07
Publication date: 2015-05-13
Anticipated expiration: 2035-01-07
Also published as: CN104618896B

Abstract

本发明公开了一种基于网格密度的位置服务隐私保护方法及***，隐私保护服务器接收用户的位置查询请求；隐私保护服务器基于网格密度模型建立并维护用户状态表和区块信息表；利用基于网格的最小包含区间搜寻算法找到覆盖该用户的k近邻区域作为位置模糊区域；然后对用户的查询请求赋予假名，根据轨迹隐私度量对高风险临近用户间的假名进行交换；最后将查询请求传递到位置服务提供商服务器，并将获得的查询结果经过滤后返回给查询用户。

Description

一种基于网格密度的位置服务隐私保护方法及***

技术领域

本发明涉及通信技术领域，特别涉及一种基于网格密度的位置服务隐私保护方法及***。

背景技术

近年来，随着移动通信结束、物联网技术与地理信息***的发展，基于位置的服务的应用越来越多。通俗来讲，基于位置的服务（Location Based Service, LBS）就是用户通过一组定位技术获得移动终端的位置信息（例如经纬度坐标），利用移动通信网络进行位置相关的服务请求，得到位置服务厂商提供给移动用户本人或他人以及通信***的各种与位置相关的服务。位置服务在位置定位、路径导航、查询、识别、检测等方面有着广泛的应用，被誉为移动互联网最耀眼的服务模式之一。

然而位置服务的商业化普及给人们生活带来巨大便利的同时，其中隐藏的安全隐私泄露问题也逐渐显露出来。在位置服务中，位置服务方可以获得移动用户的位置信息、身份标示符和查询内容等。如果其是“不可信赖的”，如有搜集用户数据的习惯、或将用户数据出售给广告商的行为等，用户的位置信息即有可能泄露到“别有用心的”攻击者手中。通过数据挖掘、模式识别等手段，结合一定的背景知识，攻击者可以同时获得用户的位置信息和身份，进而推测出用户的行为习惯、兴趣爱好、身体状况和政治宗教信仰等个人隐私信息。

如何防范位置服务中的隐私泄露，即保护位置隐私，已经成为LBS发展应用亟需解决的核心问题之一。针对这一问题，早在2002年国内外学者即开始研究，相继提出了：隐私协议、时空匿名、身份匿名、虚假位置干扰、特定路标替代、路由转发协议等方法。然而，目前的大多数方法因计算复杂度高、通信开销大或者要求专用设备等原因难以在实际生产生活中使用。

此外，若移动用户连续的使用位置服务，连续上传的位置信息具有高度的时空相关性，在这种情况下，攻击者更容易通过多目标跟踪、关键路径点匹配的方式获得特定用户的专属轨迹，进而推测用户身份，侵犯用户隐私。因此，亟需一种***的兼顾位置隐私保护效果和位置服务质量，同时兼容连续位置服务请求的隐私保护方法。

发明内容

本发明针对现有技术存在的上述不足，提供了一种基于网格密度的位置服务隐私保护方法，本发明通过以下技术方案实现：

一种基于网格密度的位置服务隐私保护方法，通过隐私保护服务器来访问位置数据库服务器，包括步骤：

S1、将隐私保护服务器所负责位置查询请求的区域划分为网格区域，建立用户状态表用于维护用户隐私配置及位置状态，建立区块信息表用于维护网格区域内用户、敏感目标信息；

S2、隐私保护服务器接受位置查询请求，更新用户状态表和区块信息表；

S3、在隐私保护服务器的位置模糊模块中使用最小包含区间寻找方法为位置查询请求寻找匿名区间；

S4、在隐私保护服务器的动态假名模块中为位置查询请求赋予假名，进行轨迹隐私度量，将高风险用户假名和邻近用户假名进行随机的交换，保存假名-用户身份的对应信息；

S5、隐私保护服务器将匿名后的位置查询请求发送至位置数据库服务器，位置数据库服务器根据模糊区域对假名请求进行服务响应，将查询结果后旋即返回至隐私保护服务器；

S6、隐私保护服务器的过滤模块找到请求用户身份，进行假名-用户身份翻译及找到其位置查询对应的位置信息，返回给对应用户。

较佳的，用户状态表记录用户预设的静态隐私配置和***运行时动态匿名信息，静态隐私配置包括用户编号、成功匿名所要求的周围用户数、最小匿名半径、最大容许偏差、假名使用次数参考值、最大匿名延时；动态匿名信息包括匿名区域中心坐标、匿名区域半径、匿名延时、假名使用次数；用户状态表通过用户编号进行索引。

较佳的，区块信息表包括区块编号、区块中心坐标、区块半径、区块内用户数目、区块内敏感目标数、区块内活跃用户编号集，通过区块编号进行索引。

较佳的，步骤S3的最小包含区间寻找方法包括：

为位置查询请求寻找匿名区域，使区域内用户数达到用户所配置的成功匿名周围用户数K，依据K值的大小，分为网格扩展法和网格收缩法；

K值小于预定值时采用网格扩展方法，初始匿名区域为用户所在网格，若匿名区域内用户数未达到K，计算匿名区域外上下左右四个方向一个网格距离内用户的数目，选取用户数最多的方向进行扩张，即匿名区域在最多用户方向上增加一个网格距离，重复此过程至到匿名区域内用户数大于等于K；

K值大于等于预定值时采用网格收缩方法，初始匿名区域为用户最大容许偏差范围内的所有网格，若匿名区域内用户数大于K，计算匿名区域内上下左右四个方向一个网格距离内用户的数目，选取用户数最少的方向进行收缩，即匿名区域在最少用户方向上缩减一个网格距离，重复此过程至到匿名区域内用户数小于等于K。

较佳的，步骤S4的轨迹隐私度量包括：

将轨迹隐私泄露风险量化，分为历史因子、速度因子、环境因子和次数因子四部分：历史因子表征轨迹隐私随时间流动的衰减，相邻两次请求的间隔越小泄露风险越高；速度因子表征用户移动速度对轨迹隐私的影响，相邻请求之间的位置变换越大，风险越高；环境因子表征此时周围用户的稠密程度；次数因子衡量当前假名使用次数的影响，同一假名使用次数越高越容易泄露用户的轨迹隐私；轨迹隐私为各因子与因子权重系数之积的累加。

本发明针对现有技术存在的上述不足，另提供了一种基于网格密度的位置服务隐私保护***，本发明通过以下技术方案实现：

一种基于网格密度的位置服务隐私保护***，通过隐私保护服务器来访问位置数据库服务器，隐私保护服务器包括：

位置模糊模块，用以寻找合适的匿名区域，代替位置查询请求中精确的位置坐标；

动态假名模块，用以为位置查询请求赋予假名，并根据隐私保护需要对假名进行动态的调整；

过滤模块，用以对位置数据库服务器返回的查询结果进行过滤；

位置数据库服务器用以对包含匿名区域的位置查询请求进行服务响应，并返回至隐私保护服务器。

本发明相较于现有技术具有如下有点：

1）本发明由于将位置隐私泄露风险控制集中于可信的隐私保护服务器，位置服务商无法获得用户准确的位置信息和身份信息，有效地降低位置隐私在位置服务端的泄露风险，是面对日益增多难以信赖的位置服务商的有效手段。

2）本发明由于使用基于网格的位置模糊算法，结构简单，***开销小。根据配置的周围用户数、敏感查询目标数、最大模糊半径和最小模糊半径等参数寻找模糊区域，达到用户隐私保护可控可调的效果。且由于网格算法本身的空间特性，可以容易的拓展到分布式***中，即可将大型区域划分为若干矩形区域，每台隐私保护服务器负责一个矩形区域内的隐私保护服务。

3）本发明由于使用动态假名为高隐私泄露风险用户不断变换身份，实现更有效的身份匿名，切断了用户身份信息与时空信息的消息，解决了连续的位置请求情形中由于长时间假名造成的用户隐私泄露问题，提高了用户的隐私程度。

附图说明

图1是本发明基于网格密度的位置隐私保护方法的***模块组成图；

图2是本发明基于网格密度的位置隐私保护方法中隐私保护服务器的框架图；

图3是本发明基于网格密度的位置隐私保护方法中网格数据模型示意图；

图4是本发明基于网格密度的位置隐私保护方法中区块信息表示意图；

图5所示的是本发明基于网格密度的位置隐私保护方法中用户状态表示意图；

图6是本发明基于网格密度的位置隐私保护方法中最小包含区间寻找方法示意图；

图7是本发明基于网格密度的位置隐私保护方法中动态假名方法示意图。

具体实施方式

以下将结合本发明的附图，对本发明实施例中的技术方案进行清楚、完整的描述和讨论，显然，这里所描述的仅仅是本发明的一部分实例，并不是全部的实例，基于本发明中的实施例，本领域普通技术人员在没有做出创造性劳动的前提下所获得的所有其他实施例，都属于本发明的保护范围。

为了便于对本发明实施例的理解，下面将结合附图以具体实施例为例作进一步的解释说明，且各个实施例不构成对本发明实施例的限定。

基于网格密度的位置隐私保护的***（简称本***）。

如图1，本***包含隐私保护服务器和位置数据库服务器，并前后依次联通，其中隐私保护服务器包括位置模糊模块、动态假名模块和结果过滤模块；整个***数据流动为：

终端用户发出位置查询请求，请求发送至隐私保护服务器；

隐私保护服务器的位置模糊模块运行基于网格的位置模糊算法，为每个可信用户的查询请求寻找一个模糊区域，使得该区域内活跃用户数目大于用户配置的周围用户数、查询目标数大于配置的周围敏感查询数，然后将请求传递至动态假名模块；

隐私保护服务器的动态假名模块运行包含假名交换的动态假名算法，为每个可信用户赋予动态的假名，即在判断因连续使用假名造成隐私泄露风险提高时，通过临近用户随机交换假名的方式，解耦用户空间轨迹信息与身份信息的关联，降低用户的连续查询隐私泄露风险，并将匿名后的请求发送至位置数据库服务器；

位置数据库服务器对匿名请求进行服务响应，将对应模糊区域假名请求的结果集返回至隐私保护服务器；

隐私保护服务器的结果过滤模块确定服务响应所对应用户，依据用户位置对结果集进行过滤，找出用户所需信息，并将最后结果返回至终端用户；

其中位置隐私保护服务器是本***的核心，其框架图如图2所示，在位置模糊模块和动态假名模块的基础上，还包含位置数据库，身份假名关系数据库，用户隐私配置数据库，区块信息表，用户状态表和等待队列，用于维护***运行时的动态信息。

基于网格密度的位置隐私保护方法（简称本方法）。

在地理信息***中，网格密度模型因数据结构简单、访问迅速、成本低廉等优势，常被用来储存分析空间数据特征。在网格密度模型中，空间被划分为网格，每个网格位置由所在网格行列号进行索引，网格的值表示此位置上物体的类型或状态。本算法基于此则采用如下基本思想：

将匿名服务器所负责的空间映射为m*n网格，建立维护网格区域状态表，表中元素记录每个网格中活跃用户数量、新增用户数量、用户编号、敏感标识数（医院、银行、警局、学校等）等信息，通过表格位置编号进行索引；

在每个查询请求到达时或者剔除超过有效时间的用户位置状态时，更新网格区域状态表内相应信息条目；

考虑到不同的用户对待不同的位置服务应用有着不同的隐私保护需求，同时对于每个用户需要记录其假名使用状态，建立用户配置状态表，加载从用户配置数据库中得到的隐私配置及当前用户状态信息。

由于网格密度模型相对精确的保存了空间用户、敏感标识的分布相对密度和领域其他用户状态，在其基础上运行位置模糊算法可以快速低成本找到模糊区域，同时在适合时机方便找到邻近用户进行动态的假名交换操作，简化的网格模型、网格区域状态表和用户配置状态表如图3至图5所示。

基于网格的位置模糊算法（简称模糊算法）。

如图6，本算法的工作流程是：

1）对于新增的用户查询请求，读取其配置的周围用户数k和周围敏感查询数l（图例中为请求a，为方便仅示意周围用户数这一指标，读取数值为8）；

2）模糊区域初始化为所在网格，读取模糊区域内包含活跃用户数目m，比较已选区域内活跃用户数m和配置周围用户数k；

3）若已选m小于k，进行网格扩张，考虑已选区域的四个方向各自扩张1个网格大小可增加的活跃用户数目，选取最大者作为网格扩张方向，重复②③直到m不小于k；

4）若已选m大于等于k，则模糊区域确定包含已选网格内的所用活跃用户，即寻找一个圆覆盖所有选择网格内的活跃用户点；

5）计算模糊区域的中心和半径r；

6）检查模糊半径r与用户配置的最小匿名半径Rmin和Rmax之间关系：若r＜Rmin，扩张r至Rmin，本次模糊操作成功；若Rmin≤r≤Rmax，不需调整，模糊成功；若r＞Rmax，本次模糊操作失败，进入等待队列，等待下一次的算法运行；

7）将成功匿名查询请求的模糊区域中心坐标和区域半径输出，算法结束。

基于假名交换的动态假名算法（简称假名算法）。

对于各用户初始化分配假名，维护用户编号与使用假名的匹配对应表；若用户连续的的位置查询请求，针对每次请求，根据用户假名使用周期、用户位置查询请求的间隔、用户实际位置位移的多少等因素量化用户隐私泄露风险；

若某次位置查询后用户的隐私泄露风险超过阈值，在周围区域找出距离接近且泄露风险较高的用户组成混合集，对混合集内用户的假名进行随机的交换，并重新量化用户隐私泄露风险。

如图7，模拟一个简化的假名互换过程，实线表示用户的真实轨迹，虚线表示跟踪假名轨迹，可以看到对于用户10，初始假名为A；在连续的位置查询中进行过两次随机的假名交换，在混合区域1中未交换，在混合区域2交换假名为E；此时对于位置服务商，若沿同一假名（虚线表示）对用户10进行追踪，将得到错误的轨迹路线，因此达到用户10的轨迹信息与身份信息解耦的目的。

本发明的基于网格密度的位置隐私保护方法具体包括步骤：

S1、准备工作，将隐私保护服务器所处理的位置查询空间划分为m×n的网格空间，建立用户状态表用于维护用户隐私配置及位置状态，建立区块信息表用于维护网格区域内用户、敏感目标信息；

用户状态表记录用户预设的静态隐私配置和***运行时动态匿名信息，静态隐私配置包括用户编号、成功匿名所要求的周围用户数、最小匿名半径、最大容许偏差、假名使用次数参考值、最大匿名延时；动态匿名信息包括匿名区域中心坐标、匿名区域半径、匿名延时、假名使用次数；用户状态表通过用户编号进行索引；区块信息表包括区块编号、区块中心坐标、区块半径、区块内用户数目、区块内敏感目标数、区块内活跃用户编号集，通过区块编号进行索引；

S2、对于接收的位置查询请求，根据用户编号加载用户的隐私配置，依据其位置坐标计算所在网格编号，更新用户状态表中该用户状态及区块信息表中该网格编号条目；

S3、运行位置模糊算法通过网格扩张或网格收缩寻找查询请求的模糊区域，使模糊区域内包含的活跃用户数目大于等于用户所配置的周围用户数K，查询目标数大于等于用户所配置的敏感查询信息数L；

K值大于等于预定值时采用网格收缩方法，初始匿名区域为用户最大容许偏差范围内的所有网格，若匿名区域内用户数大于K，计算匿名区域内上下左右四个方向一个网格距离内用户的数目，选取用户数最少的方向进行收缩，即匿名区域在最少用户方向上缩减一个网格距离，重复此过程至到匿名区域内用户数小于等于K；

S4、动态假名模块为模糊后的查询请求提供假名，维护终端编号假名对应表：对于不在表中的新进入的查询请求，赋予随机假名，并将对应关系保存至编号假名对应表中；对于用户编号已在表中的查询请求，即连续的查询请求，根据量化风险模型计算轨迹隐私泄露风险X；

将轨迹隐私泄露风险量化，分为历史因子、速度因子、环境因子和次数因子四部分：历史因子表征轨迹隐私随时间流动的衰减，相邻两次请求的间隔越小泄露风险越高；速度因子表征用户移动速度对轨迹隐私的影响，相邻请求之间的位置变换越大，风险越高；环境因子表征此时周围用户的稠密程度；次数因子衡量当前假名使用次数的影响，同一假名使用次数越高越容易泄露用户的轨迹隐私；轨迹隐私为各因子与因子权重系数之积的累加；

S5、对于S4中量化计算所得到的轨迹隐私泄露风险X，将其与预置的泄露风险阈值Y比较，若X＜Y，可以认为轨迹泄露风险仍在可控制中；若X＞Y，则轨迹隐私泄露风险过高，需采用动态的假名交换算法降低隐私泄露风险；

S6、对于S5中提及动态的假名交换，具体为该查询请求所处网格内或相邻网格寻找轨迹隐私泄露风险较高的其他用户，并随机的进行用户假名的交换，并将假名互换记录到假名翻译表中；

S7、将经过位置模糊和动态假名处理的增强后查询请求传送至位置服务器，位置服务器响应位置查询请求，将服务返回至位置隐私保护服务器；

S8、隐私保护服务器依据S6中所述的假名翻译表，对服务返回中的假名进行翻译，得到请求用户编码，并将服务返回传送至该用户的移动终端中。

以上所述，仅为本发明较佳的具体实施方式，但本发明的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本发明揭露的技术范围内，可轻易想到的变化或替换，都应涵盖在本发明的保护范围之内。因此，本发明的保护范围应该以权利要求的保护范围为准。

Claims

1.一种基于网格密度的位置服务隐私保护方法，其特征在于，通过隐私保护服务器来访问位置数据库服务器，包括步骤：

2.根据权利要求1所述的基于网格密度的位置服务隐私保护方法，其特征在于，所述用户状态表记录用户预设的静态隐私配置和***运行时动态匿名信息，静态隐私配置包括用户编号、成功匿名所要求的周围用户数、最小匿名半径、最大容许偏差、假名使用次数参考值、最大匿名延时；所述动态匿名信息包括匿名区域中心坐标、匿名区域半径、匿名延时、假名使用次数；所述用户状态表通过用户编号进行索引。

3.根据权利要求1所述的基于网格密度的位置服务隐私保护方法，其特征在于，所述区块信息表包括区块编号、区块中心坐标、区块半径、区块内用户数目、区块内敏感目标数、区块内活跃用户编号集，通过区块编号进行索引。

4.根据权利要求1所述的基于网格密度的位置服务隐私保护方法，其特征在于，步骤S3所述的最小包含区间寻找方法包括：

5.根据权利要求1所述的基于网格密度的位置服务隐私保护方法，其特征在于，步骤S4所述的轨迹隐私度量包括：

6.一种基于网格密度的位置服务隐私保护***，其特征在于，通过隐私保护服务器来访问位置数据库服务器，所述隐私保护服务器包括：

过滤模块，用以对所述位置数据库服务器返回的查询结果进行过滤；

所述位置数据库服务器用以对包含匿名区域的位置查询请求进行服务响应，并返回至所述隐私保护服务器。