一种基于空间区域匿名的位置隐私保护方案.pdf

本发明是一种基于空间区域匿名的位置隐私保护方案。该方案采用具有共享位置数据库的中心服务器模型，使用假名匿名技术和假位置匿名技术实现位置隐私保护。可信的匿名服务器根据用户的请求信息，查询共享位置数据库中是否存在用户所需要的位置数据，如果存在，则把位置数据发送给用户；如果不存在，则通过假名匿名技术和假位置匿名技术生成一个新的请求消息，再向位置服务器发送请求。当位置服务器返回结果集后，可信的匿名服务器把结果集进行求精后再转发给用户，同时将结果集保存到共享位置数据库中。本发明不仅能有效地避免用户的位置信息泄露，提高了匿名性；而且由于在可信的匿名服务器中采用共享位置数据库，提高了用户查询的效率。

权利要求书1.  一种基于空间区域匿名的位置隐私保护方案，其特征在于如下步骤：(1)移动用户向可信的匿名服务器发送基于位置的服务请求消息Q(Id,Loc,Query,Range,Flag)，简称Q，可信的匿名服务器接收Q后，对Q进行解析并且向共享位置数据库进行索引；如果共享位置数据库存在Q所查询的数据，将数据封装成精确结果集发送给移动用户；如果共享位置数据库中不存在Q所查询的数据，则返回空集并执行步骤(2)；(2)可信的匿名服务器把Q转交给假名匿名处理器，假名匿名处理器把Q中的Id加入到ID列表中，再从ID列表中随机选出一个Id'(非原始请求中的Id)并在ID列表删除Id’，将Q中的Id替换成Id'得到q’(Id',Loc,Query,Range,Flag)；同时将(Id',Id,Loc,Range,Query)保存至映射表MapID中，完成假名匿名过程；(3)假名匿名处理器把q’(Id',Loc,Query,Range,Flag)转交给假位置匿名处理器，由假位置匿名处理器随机生成一个假位置Loc’，计算Range_1和Range_2，得到新的请求信息Q’(Id',Loc',Query,Range_1,Range2)；(4)匿名处理完成后，可信的匿名服务器将匿名后的请求消息Q’发送给位置服务器。当Range_2＞0时，LBS将返回以Loc’为圆心Range_1、Range-2为半径的圆环区域内与Query相关的内容，即候选结果集ResultSet；当Range_2＝0时，LBS将返回以Loc’为圆心、Range_1为半径的圆区域内与Query相关内容即候选结果集ResultSet。(5)可信的匿名服务器接收到查询的候选结果集消息Rs(Id',ResultSet)后，将候选结果集消息转交给求精处理器。求精处理器首先根据映射表MapID中的记录(Id',Id,Loc,Query,Range)对ResultSet求精，即提取以Loc为圆心、Range为半径与Query相关内容即精确结果集Result，再将精确结果集重新包装成消息Rs’(Id,Result)；其次将记录中的(Loc、Range、Query)附加上当前系统时间(time)插入T_index中即索引记录index，再将Result插入T_data中并与索引记录index建立关联；最后回收Id'到ID列表，在MapID中删除记录(Id',Id,Loc,Query,Range)；将消息Rs’(Id,Result)发送给移动用户。2.  根据权利要求1所述的共享位置数据库，其特征如下：(1)存储求精结果集。当共享位置数据库接收求精结果集后，把请求信息Q中的Loc、Query、Range附加一个当前时间time组成一条记录插入表T_index中，作为求精结果集的索引项。再把求精结果集中的每条数据附加上索引项的主键(T_index.Index)作为外键(T_data.fk_index)，插入T_data中。(2)维护位置数据。定期维护共享位置数据库中的数据，如果表T_index中记录的time与系统当前时间的差值超过了最大有效时间(ValidTime)，系统将自动删除该索引记录及与之相 关T_data中的位置数据；如果在有效时间内服务器对T_index的记录进行成功索引，重置此记录的time值为系统当前时间。(3)索引位置数据。当共享位置数据库接收匿名引擎的请求消息Q(Id,Loc,Query,Range,Flag)时，共享位置数据库首先按关键字Query与T_index表中的记录进行匹配；如果匹配成功，匹配成功的记录记为Record，判断Record是否在有效时间内；如果是，验证以Loc为圆心，Range为半径的圆区域被包含于以Record.Loc为圆心、Record.Range为半径的圆区域中；如果被包含，则把T_data中相应的位置数据返回给匿名引擎。如果其中有任何一项匹配不成功，则通知匿名引擎共享位置数据库不存在满足该查询请求的位置数据并返回空集。3.  根据权利要求1所述的Q’(Id',Loc',Query,Range_1,Range_2)，其特征如下：(1)Loc’是在以Loc为圆心，半径为R-500、R的圆环区域内随机生成，其中R是可信的匿名服务器根据Flag值设置，随着Flag的递增，R也随之增加，R默认为500m；其中Range_1与Range_2是以Loc’为圆心的圆环状匿名区域的两个半径即外半径和内半径，分别为Range_1＝dis(Loc,Loc’)+Range+M、Range_2＝dis(Loc,Loc’)-Range-K，当Range_2＜0时，则令Range_2＝0。(2)Range_1与Range_2中的M、K的值由Flag确定，Flag越高，M、K的值越大。

说明书一种基于空间区域匿名的位置隐私保护方案
技术领域
本发明涉及位置隐私保护领域，具体是一种基于空间区域匿名的位置隐私保护方案。
技术背景
随着无线通信和移动技术的快速发展，使移动用户随时查询任意信息成为可能，使得基于位置的服务(location-based services，LBS)技术得到广泛应用，比如：全球卫星定位系统、通过Wi-Fi接入点的定位等，为移动用户提供与当前位置有关的个性化服务。生活中基于位置的服务随处可见，例如：旅游服务、基于用户当前的位置查询距离用户最近的加油站或饭店等。人们在尽情地享受服务的同时，新的问题出现了：位置隐私泄露。位置信息具有敏感性，因为它与人们的日常生活息息相关，而且可能会因为位置信息的泄露导致其他的隐私信息被泄露，例如：出行频繁的地方，如医院可能会使个人健康状况暴露；如私密地方可能会泄露用户个人的隐秘信息等。因此，用户希望使用基于位置的服务同时不暴露自己的位置信息。所以，位置隐私保护备受人们的关注。
目前，国内外位置隐私保护主要采用基于中心服务器模型，用户首先将请求发送给可信的匿名服务器，可信的匿名服务器将用户的服务请求按照用户的隐私需求组成一个包括K个用户的匿名区域，然后再将更新后的请求发送给位置服务器，可信的匿名服务器从位置服务器获取到查询的结果集，根据用户的需求对候选结果集求精后再发送给用户，但是，中心服务器模型和K-匿名技术的结合会增加可信的匿名服务器的计算开销、延长响应时间、服务质量低等。
一些学者提出了协作模型，即分布式点对点结构。用户之间通过协作方式形成K-匿名的用户组，形成一个匿名区域，或者使用匿名区域中的假位置向位置服务器发送查询，再利用匿名组成员接收求精结果集。但是，协作模型的匿名性仅仅在于K值的大小，随着K值的增大，服务质量将会降低，并且还可能遭受到区域中心攻击。
发明内容
本发明的主要目的是提供一种基于空间区域匿名的位置隐私保护方案，旨在既能更好的保护用户的位置隐私，又能满足用户高质量的服务需求。
本发明方案系统架构包括三个部分：移动用户、可信的匿名服务器以及位置服务器；其中，所述可信的匿名服务器包括有匿名引擎、假名匿名处理器、假位置匿名处理器、求精处理器以及共享位置数据库；匿名引擎负责接收移动用户的请求消息、转发请求消息给假名匿名处理、共享位置数据库的查询以及转发精确结果集消息给移动用户。
为了实现上述目的，本发明的技术方案如下。
定义如下：
定义1 dis(Loc，Loc’)：表示点Loc与点Loc’的距离；Loc为Loc(x，y)的缩写，Loc(x，y)中x表示经度，y表示纬度。
定义2 Flag：表示用户需要的匿名等级。随着Flag的增加，M、K、R的值也随着增加，其中M、K值是调节匿名区域大小的重要参数，它的值决定了用户的匿名等级，M、K的默认值为100m；R决定了Loc’的生成范围，默认值为500m。
定义3 Q(Id，Loc，Query，Range，Flag)：由用户发送给可信的匿名服务器的请求消息。Id表示用户的唯一身份标识符，Loc表示用户的位置信息，Query表示查询的关键字，Range表示用户查询的范围，Flag表示用户需要的匿名等级。
定义4 q’(Id’，Loc，Query，Range，Flag)：经过假名匿名处理后的请求消息。Id’为经过假名处理后的身份标识符。
定义5 Q’(Id’，Loc’，Query，Range_1，Range_2)：由可信的匿名服务器发送给位置服务提供商的请求消息。其中Loc’是在以Loc为圆心，半径为R-500、R的圆环区域内的任意位置(可信的匿名服务器根据Flag值相应的设置R的值)。其中Range_1、Range_2表示以Loc’为圆心的圆环状匿名区域的两个半径即外半径和内半径，分别为Range_1＝dis(Loc，Loc’)+Range+M，Range_2＝dis(Loc，Loc’)-Range-K(当Range_2＜0时，则令Range_2＝0)。
定义6 Rs(Id，ReslutSet)：Id表示为身份标识符，ResultSet表示未经求精处理的结果集即候选结果集。
定义7 Rs’(Id，Result)：Id表示为身份标识符，Result表示经求精处理的结果集即精确结果集。
定义8 ID列表：存储用户的身份标识符。
定义9 MapID：保存(Id，Loc，Range，Query)与Id’相对应的信息。
定义10 共享位置数据库：共享位置数据库主要用于检索和存储求精结果集，在共享位置数据库中存在两张表：索引表(T_index)、数据表(T_data)。
定义11 T_index(Index，Loc，Range，Query，time)：Index表示表的主键；Loc为位置信息；Range表示用户的查询范围；Query表示查询关键字；time表示记录的插入时间，默认为记录插入时系统的当前时间。
定义12 T_data(Index，Loc，fk_index)：Index表示表的主键；Loc表示fk_index对应的查询结果集中的一个位置数据；fk_index是T_data的外键，用来关联索引表T_index的记录。
共享位置数据库具有功能：
1)存储求精结果集。当共享位置数据库接收求精结果集后，把请求信息Q中的Loc、Query、Range附加一个当前时间time组成一条记录插入表T_index中，作为求精结果集的索引项。再把求精结果集中的每条数据附加上索引项的主键(T_index.Index)作为外键(T_data.fk_index)，插入T_data中。
2)维护位置数据。定期维护共享位置数据库中的数据，如果表T_index中记录的time与系统当前时间的差值超过了最大有效时间(ValidTime)，系统将自动删除该索引记录及与之相关T_data中的位置数据；如果在有效时间内服务器对T_index的记录进行成功索引，重置此记录的time值为系统当前时间。
3)索引位置数据。当共享位置数据库接收匿名引擎的请求消息Q(Id，Loc，Query，Range，Flag)时，共享位置数据库首先按关键字Query与T_index表中的记录进行匹配；如果匹配成功，匹配成功的记录记为Record，判断Record是否在有效时间内；如果是，验证以Loc为圆心，Range为半径的圆区域被包含于以Record.Loc为圆心、Record.Range为半径的圆区域中；如果被包含，则把T_data中相应的位置数据返回给匿名引擎。如果其中有任何一项匹配不成功，则通知匿名引擎共享位置数据库不存在满足该查询请求的位置数据并返回空集。
前提如下：
1)移动用户与可信的匿名服务器之间的通信是安全可靠的；
2)可信的匿名服务器的计算性能好、安全级别高；
3)位置服务器(LBS)是不可靠的。
步骤如下：
1)用户向可信的匿名服务器发送基于位置服务请求Q(Id，Loc，Query，Range，Flag)，简称Q；
2)可信的匿名服务器接收Q后，对Q进行解析并且向共享位置数据库进行索引；如果共享位置数据库存在Q所查询的数据，将数据封装成精确结果集，再执行步骤7；如果共享位置数据库中不存在Q所查询的数据，则返回空集并执行步骤3；
3)可信的匿名服务器把Q转交给假名匿名处理器，假名匿名处理器把Q中的Id加入到ID列表中，再从ID列表中随机选出一个Id’(非原始请求中的Id)并从ID列表中删除Id’，并将原始请求的Id替换成Id’得到q’(Id’，Loc，Query，Range，Flag)，同时将(Id’，Id，Loc，Range，Query)保存至映射表MapID中，完成假名匿名过程；
4)假名匿名处理器把q’(Id’，Loc，Query，Range，Flag)转交给假位置匿名处理器，由假位置匿名处理器随机生成一个假位置Loc’，计算Range_1和Range_2，得到新的请求信息Q’(Id’，Loc’，Query，Range_1，Range_2)。
5)匿名处理完成后，可信的匿名服务器将匿名后的请求消息Q’发送给位置服务器。当 Range_2＞0时，LBS将返回以Loc’为圆心Range_1、Range_2为半径的圆环区域内与Query相关的内容即候选结果集ResultSet；当Range_2＝0时，位置服务器将返回以Loc’为圆心、Range_1为半径的圆区域内与Query相关内容即候选结果集ResultSet。
6)可信的匿名服务器接收候选结果集消息Rs(Id’，ResultSet)后简称Rs，将Rs转交给求精处理器。求精处理器首先根据映射表MapID中的记录(Id’，Id，Loc，Query，Range，Flag)对ResultSet求精，即提取以Loc为圆心、Range为半径与Query相关内容即精确结果集Result，并将精确结果集重新包装成消息Rs’(Id，Result)；其次将记录中的(Loc，Range，Query)中的附加上当前系统时间(time)插入T_index中即索引记录index，再将Result插入T_data中并与index建立关联；最后回收Id’到ID列表，在MapID中删除记录(Id’，Id，Loc，Range，Query)；
7)将消息Rs’(Id，Result)发送给移动用户；移动用户接收消息Rs’(Id，Result)，完成匿名查询。
本发明优势：
1)提高了用户的位置隐私保护程度；
2)用户快速的获取高质量的基于位置的服务，即响应时间较短，服务质量较高。
附图说明
图1：本发明的系统架构图
图2：本发明的可信的匿名服务器匿名过程及结果集求精和存储过程示意图
具体实施方式
为了更全面的理解本发明的目的、特征及其优点，下面结合附图和具体实例来详细描述本发明，使得本发明的目的和效果更加明显。
一种基于空间区域的位置隐私保护方案步骤如下：
1)移动用户向可信的匿名服务器发送基于位置的服务请求消息Q(Id，Loc，Query，Range，Flag)简称Q；
2)可信的匿名服务器接收Q后，对Q进行解析并且向共享位置数据库进行索引；如果共享位置数据库存在Q所查询的数据，将数据封装成精确结果集，再执行步骤7；如果共享位置数据库中不存在Q所查询的数据，则返回空集并执行步骤3；
3)可信的匿名服务器把Q转交给假名匿名处理器，假名匿名处理器把Q中的Id加入到ID列表中，再从ID列表中随机选出一个Id’(非原始请求中的Id)并从ID列表中删除Id’，并将原始请求的Id替换成Id’得到q’(Id’，Loc，Query，Range，Flag)，同时将(Id’，Id，Loc，Range，Query)保存至映射表MapID中，完成假名匿名过程；
4)假名匿名处理器把q’(Id’，Loc，Query，Range，Flag)转交给假位置匿名处理器，由假位置匿名处理器随机生成一个假位置Loc’，计算Range_1和Range_2，得到新的请求信息 Q’(Id’，Loc’，Query，Range_1，Range_2)。
5)匿名处理完成后，可信的匿名服务器将匿名后的请求消息Q’发送给位置服务器。当Range_2＞0时，LBS将返回以Loc’为圆心Range_1、Range_2为半径的圆环区域内与Query相关的内容即候选结果集ResultSet；当Range_2＝0时，位置服务器将返回以Loc’为圆心、Range_1为半径的圆区域内与Query相关内容即候选结果集ResultSet。
6)可信的匿名服务器接收候选结果集消息Rs(Id’，ResultSet)后简称Rs，将Rs转交给求精处理器。求精处理器首先根据映射表MapID中的记录(Id’，Id，Loc，Query，Range，Flag)对ResultSet求精，即提取以Loc为圆心、Range为半径与Query相关内容即精确结果集Result，并将精确结果集重新包装成消息Rs’(Id，Result)；其次将记录中的(Loc，Range，Query)中的附加上当前系统时间(time)插入T_index中即索引记录index，再将Result插入T_data中并与index建立关联；最后回收Id’到ID列表，在MapID中删除记录(Id’，Id，Loc，Range，Query)；
7)将消息Rs’(Id，Result)发送给移动用户；移动用户接收消息Rs’(Id，Result)完成匿名查询。
本发明的系统架构图如图1所示，其中的移动用户都装备了定位功能的设备，移动用户能够通过基站或者WIFI与可信的匿名服务器进行安全的通信，可信的匿名服务器可以向位置服务器进行基于位置服务的查询，位置服务器将查询候选结果集发送给可信的匿名服务器，由可信的匿名服务器进行求精处理和存储后，再将求精结果转发给移动用户。
接下来，结合图1和图2，对本发明的方案进行详细的说明。
为了更好的用本实例来说明本发明，现提出两点假设：
1)可信的匿名服务器第一次启动，ID列表中与共享位置数据库中的记录都为空；
2)移动用户N发送查询消息Q(NId，Loc，Query1，Range，Flag)之前，移动用户N1、N2首先将查询消息发送给可信的匿名服务器。
可信的匿名服务器依次接收移动用户N1、N2的请求消息分别：Q1(NId1，Loc1，Query1，Range1，Flag1)、Q2(NId2，Loc2，Query2，Range2，Flag2)。匿名引擎分别向共享位置数据库中索引请求消息Q1与Q2的结果集，由于共享位置数据库为空，所以都返回空集。匿名引擎接收空集后，将消息转发给假名匿名处理器。
在假名匿名处理器进行匿名的期间，因为ID列表为空，所以把移动用户N1的身份标识符NId1添加到ID列表中并且暂停将N1的请求转交给假位置匿名处理器。直到ID列表不为空且存在的记录不为本身时才唤醒该服务如：当移动用户N2提交服务请求消息Q2(NId2，Loc2，Query2，Range2，Flag2)给可信的匿名服务器，此时的ID列表中的记录为NId1和NId2，假名匿名处理器将移动用户N1和N2分别进行身份的匿名即请求消息为q1(NId2，Loc1，Query1，Range1，Flag1)和q2(NId1，Loc2，Query2，Range2，Flag2)。同时将在MapId 列表中插入(NId1，NId2，Loc2，Query2，Range2)、(NId2，NId1，Loc1，Query1，Range1)，并且将ID列表中的NId1和NId2删除。接着假名匿名处理器便将q1和q2转交给假位置匿名处理器。
假位置匿名处理器接收消息q1和q2，分别根据匿名等级Flag1与Flag2随机生成Loc1’和Loc2’，以及生成M1和M2与K1和K2，并且根据算法求出相应的Range_1_x与Range_2_x(Range_1_x中的x表示用户的编号即N、N1、N2)即经过假位置匿名处理器处理过后的消息为Q1’(NId2，Loc1’，Query1，Range_1_N1，Range_2_N1)和Q2’(NId1，Loc2’，Query2，Range_1_N2，Range_2_N2)，之后可信的匿名服务器将Q1’和Q2’发送给位置服务器(LBS)。
位置服务器接收到消息Q1’和Q2’，产生相对应的候选结果集即以Loc1’为圆心，Range_1_N1与Range_2_N1为半径的圆环区域内与Query1有关的结果集和以Loc2’为圆心，Range_1_N2与Range_2_N2为半径的圆环区域内与Query2有关的结果集即Rs1(NId2，resultSet1)、Rs2(NId1，ResultSet2)，之后位置服务器将结果集消息发送给可信的匿名服务器。可信的匿名服务器接收位置服务器的结果集消息Rs1(NId2，resultSet1)，Rs2(NId1，ResultSet2)，并且将Rs1和Rs2转交给求精处理器。
求精处理器根据Rs1在MapID中找到NId2相对应的记录(NId1，Loc1，Query1，Range1，Flag1)，首先将NId2回收到ID列表中；再将MapID中的NId2所对应的映射删除；之后求精处理器将对Rs1中的ResultSet1候选结果集进行处理，即保留以Loc1为圆心，Range1为半径的圆内相关的结果集result1，并将求精的结果集打包成(NId1，restult1)转交给匿名引擎，再由可信的匿名服务器发送给用户N1；同时将求精的结果集插入共享位置数据库中。插入共享位置数据库的具体操作为：将数据集(Loc1，Query1，Range1，time)插入共享位置数据库的表T_Index中，再将生成记录的主键与结果集result1插入数据表T_data中。同理，求精处理器对Rs2也进行相同的操作。
移动用户N1，N2接收精确结果集。
移动用户N发送消息Q(NId，Loc，Query1，Range，Flag)(以Loc为圆心、Range为半径所形成的圆被以Loc1为圆心、Range1为半径的圆包含)给可信的匿名服务器，可信的匿名服务器共享位置数据库发出索引事件，查询共享位置数据库中是否存在移动用户N所需要的结果集。如果不存在或者超过最大有效时间即无效数据集，则返回空或者标记无效数据，可信的匿名服务器将进行匿名处理；否则将结果集返回给用户并将共享位置数据库中该记录的时间time设置为系统当前时间。
综上可知，本发明利用了假名匿名技术和假位置匿名技术的优势，能够较快的、高质量完成用户的查询，并且有效的防止用户位置隐私的泄露。