本發(fā)明屬于信息安全技術(shù)領(lǐng)域，尤其涉及一種匿名區(qū)的構(gòu)造方法，可用于基于位置服務(wù)中用戶位置隱私的保護。

背景技術(shù)：

隨著移動設(shè)備的普及和定位技術(shù)的發(fā)展，基于位置的服務(wù)LBS得到了廣泛的應(yīng)用。它是指用戶通過移動設(shè)備獲取與其指定位置相關(guān)的信息查詢及娛樂服務(wù)，如谷歌地圖、四方網(wǎng)等。然而，位置服務(wù)提供商LSP在為用戶提供便利服務(wù)的同時，還可能會搜集并濫用用戶的服務(wù)信息，從而非法獲取用戶的隱私信息，如:家庭住址、工作單位、健康狀況等。因此，LBS中的位置隱私保護受到了研究者們的廣泛關(guān)注。

K-匿名作為最常用的LBS位置隱私保護方法，其基本思想是，當(dāng)用戶進行LBS查詢時，先將自己的真實位置和查詢內(nèi)容發(fā)送給可信的匿名服務(wù)器，匿名服務(wù)器去除用戶的標識信息，并為其生成包含其他k-1個用戶的匿名區(qū)域，并連同查詢內(nèi)容一起發(fā)送給LSP。此時，LSP以不超過1/k地正確率將本次服務(wù)查詢與用戶進行關(guān)聯(lián)，從而保護用戶的位置隱私。與其他LBS隱私保護方法，如假位置、模糊化、差分隱私和基于密碼學(xué)的方法相比，K-匿名具有以下優(yōu)點：(1)用戶能獲取準確的查詢結(jié)果；(2)用戶的計算開銷和通信開銷較?。?3)能混淆用戶與LBS查詢間的關(guān)聯(lián)性。

然而，當(dāng)采用K-匿名方法保護用戶的位置隱私時，存在匿名區(qū)面積過大，導(dǎo)致用戶服務(wù)質(zhì)量降低的問題。為解決該問題，Tan和Lin在Spatial cloaking revisited:distinguishing information leakage from anonymity論文中，提出將區(qū)域劃分的思想應(yīng)用于匿名區(qū)的構(gòu)造，其通過Hilbert空間填充曲線將匿名區(qū)域中的用戶劃分到不同的群組。當(dāng)用戶進行服務(wù)器請求時，匿名服務(wù)器將利用其所屬群組中其他用戶的位置構(gòu)造匿名區(qū)。隨后，Li和Zhu同樣利用區(qū)域劃分的方法對減小匿名區(qū)面積，提高服務(wù)質(zhì)量進行研究。在他們的論文Protecting user anonymity in location-based services with fragmented cloaking region中，匿名服務(wù)器首先構(gòu)造一個包含k個用戶的匿名區(qū)，隨后根據(jù)各用戶位置間的關(guān)系，去除不包含用戶的匿名區(qū)域，形成多個互不相交的子匿名區(qū)，使匿名區(qū)面積減少，從而提高服務(wù)質(zhì)量。

上述兩種方法，均忽略了用戶的查詢范圍對LBS查詢服務(wù)質(zhì)量的影響。由于在基于K-匿名的LBS查詢中，服務(wù)質(zhì)量不僅與匿名區(qū)的大小有關(guān)，也與用戶的查詢范圍有關(guān)，因而采用現(xiàn)有技術(shù)構(gòu)造匿名區(qū)域，會出現(xiàn)LSP重復(fù)查詢興趣點的情況，導(dǎo)致用戶獲取服務(wù)的時延增加，服務(wù)質(zhì)量進一步降低。

技術(shù)實現(xiàn)要素：

本發(fā)明的目的在于提供一種基于查詢范圍的匿名區(qū)構(gòu)造方法，旨在解決現(xiàn)有的K-匿名方法存在匿名區(qū)域過大，服務(wù)質(zhì)量降低的問題。

為實現(xiàn)上述目的，本發(fā)明的技術(shù)方法包括如下：

(1)通過匿名服務(wù)器生成滿足用戶隱私保護需求的子匿名區(qū)域集合CS：

獲取k個用戶的位置信息，為每個用戶隨機生成子匿名區(qū)域，得到子匿名區(qū)域的集合CS＝{AR₀，AR₁…AR_k-1}，其中，每個子匿名區(qū)域的面積等于用戶隱私需求匿名區(qū)域的最小面積A_min，且每個子匿名區(qū)域的中心位置均不存在用戶；

(2)以服務(wù)提供者的查詢區(qū)域面積為判定標準，進行子匿名區(qū)域集合CS的更新：

(2a)通過如下公式，計算子匿名區(qū)域集合CS中每個子匿名區(qū)域?qū)?yīng)的查詢區(qū)域面積：

S(QAR)＝S(AR)+r*C(AR)+πr²,

其中，AR表示CS中的子匿名區(qū)域，QAR表示AR對應(yīng)的查詢區(qū)域，S(AR)表示AR的面積，C(AR)表示AR的周長，r表示查詢半徑；

(2b)從子匿名區(qū)域集合CS中，篩選出兩個子匿名區(qū)域AR_x和AR_y：

設(shè)在子匿名區(qū)域集合CS中，第i個子匿名區(qū)域AR_i和第j個子匿名區(qū)域AR_j合并形成新的子匿名區(qū)域為AR_i,j，計算AR_i,j對應(yīng)查詢區(qū)域的面積S(QAR_i,j)，從{S(QAR_i,j)|0≤i＜k，0≤j＜k,i≠j}中選取最小值，該最小值所對應(yīng)的子匿名區(qū)域為AR_x,y，并由AR_x,y得出第x個子匿名區(qū)域AR_x和第y個子匿名區(qū)域AR_y，其中x為i的一個特定取值，y為j的一個特定取值；

(2c)計算AR_x、AR_y對應(yīng)的查詢區(qū)域面積，比較AR_x、AR_y和AR_x,y對應(yīng)的查詢區(qū)域面積，判斷是否對子匿名區(qū)域集合CS進行更新：

若S(QAR_x)+S(QAR_y)＞S(QAR_x,y)，則不對子匿名區(qū)域集合CS進行更新；

若S(QAR_x)+S(QAR_y)≤S(QAR_x,y)，則更新子匿名區(qū)域集合CS，即將子匿名區(qū)域AR_x和AR_y替換為AR_x,y，其中S(QAR_x)表示AR_x的查詢區(qū)域面積、S(QAR_y)表示AR_y的查詢區(qū)域面積、S(QAR_x,y)表示AR_x,y的查詢區(qū)域面積。

(3)重復(fù)步驟(2)，直至不滿足子匿名區(qū)域集合CS的更新條件，此時，得到更新后的子匿名區(qū)域集合CS′＝{AR₀′,…,AR_l′}，完成對匿名區(qū)的構(gòu)造，其中AR₀′表示組成匿名區(qū)的第0個子匿名區(qū)域、AR_l′表示組成匿名區(qū)的第l個子匿名區(qū)域，l取值為0到k。

本發(fā)明具有如下優(yōu)點：

本發(fā)明在隨機生成子匿名區(qū)域時，由于將子匿名區(qū)域的面積設(shè)為與用戶隱私需求匿名區(qū)域的最小面積A_min相等，并確保子匿名區(qū)域的中心位置不存在用戶，使攻擊者不能推測出用戶的位置，從而解決了用戶的位置隱私安全問題。

本發(fā)明通過從子匿名區(qū)域集合CS中篩選得到子匿名區(qū)域AR_x、AR_y和AR_x,y，并根據(jù)AR_x、AR_y和AR_x,y對應(yīng)查詢區(qū)域面積之間的大小關(guān)系，判斷是否對子匿名區(qū)域集合CS進行更新，確保了最終得到的匿名區(qū)對應(yīng)的查詢區(qū)域面積最小，提高了服務(wù)質(zhì)量。

附圖說明

圖1是本發(fā)明的使用場景圖；

圖2是本發(fā)明中服務(wù)提供者LSP的查詢區(qū)域示意圖。

圖3是本發(fā)明的實現(xiàn)流程圖。

圖4為用本發(fā)明對圖1服務(wù)提供者的仿真圖

圖5為用本發(fā)明對圖1用戶獲取服務(wù)時延的仿真圖。

具體實施方式

為了使本發(fā)明的目的、技術(shù)方法及優(yōu)點更加清楚明白，以下對本發(fā)明進行進一步詳細說明。

下面結(jié)合附圖對本發(fā)明的應(yīng)用原理作詳細的描述。

參照圖1，本發(fā)明的使用場景為一個K-匿名的集中式系統(tǒng)，包括用戶、匿名服務(wù)器和服務(wù)提供者LSP三部分，其主要用于基于位置的服務(wù)LBS，該系統(tǒng)的工作原理如下:

假設(shè)用戶與匿名服務(wù)器存在1條安全的通信信道，當(dāng)用戶進行查詢附近的興趣點時，首先利用安全信道將查詢請求q＝＜ID,L(x,y),r,POI,p＞通過安全信道發(fā)送給可信的匿名服務(wù)器。其中，ID表示用戶的身份；L(x,y)表示用戶的位置坐標；r表示用戶的查詢半徑；POI表示用戶查詢的興趣點；p＝(k,A_min)表示用戶當(dāng)前查詢的隱私保護需求，k表示匿名服務(wù)器生成的匿名區(qū)中至少包含k-1個其他用戶，A_min表示匿名服務(wù)器生成的匿名區(qū)最小面積。

可信的匿名服務(wù)器收到用戶請求后通過認證確定其身份，并根據(jù)用戶的隱私保護需求p＝(k,A_min)，尋找其他k-1個用戶從而生成面積不小于A_min的匿名區(qū)，并將匿名化處理得到的查詢請求Q＝＜CR,r,POI＞發(fā)送給半可信的LSP，其中，CR表示匿名服務(wù)器為當(dāng)前請求的用戶生成的匿名區(qū)。

服務(wù)提供者LSP在收到匿名服務(wù)器發(fā)送的匿名查詢請求后，在數(shù)據(jù)庫中進行檢索，將所有的查詢候選結(jié)果返回給匿名服務(wù)器。匿名服務(wù)器在收到服務(wù)提供者LSP發(fā)送來的查詢候選結(jié)果后，根據(jù)用戶的位置L(x,y)對查詢結(jié)果進行精揀，最后將準確的查詢結(jié)果返回給用戶。

在該系統(tǒng)場景中，本發(fā)明直接將服務(wù)提供者LSP視為攻擊者，其攻擊目的有兩個：一是從匿名區(qū)中識別出用戶的真實位置；二是推測出真實請求的用戶。

基于位置的服務(wù)LBS，其服務(wù)質(zhì)量主要由服務(wù)提供者LSP根據(jù)匿名請求檢索數(shù)據(jù)庫所需的時間決定。服務(wù)提供者LSP在收到匿名服務(wù)器發(fā)送的匿名查詢請求Q＝＜CR,r,POI＞后，首先將根據(jù)匿名區(qū)CR和查詢半徑r計算得到查詢區(qū)域Q_AR，再在Q_AR區(qū)域中檢索用戶查詢的興趣點。

圖2為服務(wù)提供者根據(jù)匿名區(qū)CR和查詢半徑r得到的查詢區(qū)域Q_AR。

從圖2可看出，服務(wù)提供者LSP檢索數(shù)據(jù)庫所需的時間不僅與匿名服務(wù)器生成的匿名區(qū)CR的大小有關(guān)，還與用戶的查詢半徑r有關(guān)，即由查詢范圍決定。然而，現(xiàn)有技術(shù)中僅考慮了匿名區(qū)的大小，不能有效提高LBS查詢的服務(wù)質(zhì)量。因此，本發(fā)明提出一種基于查詢范圍的匿名區(qū)構(gòu)造方法。

參照圖3，本發(fā)明的實現(xiàn)流程如下：

步驟1，通過匿名服務(wù)器生成滿足用戶隱私保護需求的子匿名區(qū)域集合CS。

1.1)獲取k個用戶的位置信息：

匿名服務(wù)器采用四叉樹結(jié)構(gòu)存儲城市空間內(nèi)的用戶，即按照四象限遞歸分割的方式將城市空間劃分為不同層次的區(qū)域，區(qū)域與四叉樹中相同層次的節(jié)點相對應(yīng)，區(qū)域內(nèi)的用戶根據(jù)其位置存儲在四叉樹的相應(yīng)節(jié)點中，當(dāng)用戶請求服務(wù)時，從用戶位置對應(yīng)的葉子節(jié)點開始向上檢索四叉樹，首先檢索其兄弟節(jié)點，再檢索其父節(jié)點，直至獲取k個用戶的位置信息；

1.2)生成子匿名區(qū)域集合CS：

為了使攻擊者無法推測出真實請求的用戶，根據(jù)k個用戶的位置信息，為每個用戶隨機生成子匿名區(qū)域，得到子匿名區(qū)域的集合CS＝{AR₀，AR₁，…，AR_m，…，AR_k-1}，其中，AR_m表示子匿名區(qū)域集合CS中第m個子匿名區(qū)域，m的取值為0到k-1，同時，為了保證攻擊者無法推測出用戶的位置，每個子匿名區(qū)域的面積等于用戶隱私需求匿名區(qū)域的最小面積A_min，且每個子匿名區(qū)域的中心位置均不存在用戶；

步驟2，以服務(wù)提供者的查詢區(qū)域面積為判定標準，進行子匿名區(qū)域集合CS的更新。

2.1)通過如下公式，計算子匿名區(qū)域集合CS中每個子匿名區(qū)域?qū)?yīng)的查詢區(qū)域面積：

S(QAR)＝S(AR)+r*C(AR)+πr²,

其中，AR表示CS中的子匿名區(qū)域，QAR表示AR對應(yīng)的查詢區(qū)域，S(AR)表示AR的面積，C(AR)表示AR的周長，r表示查詢半徑；

2.2)從子匿名區(qū)域集合CS中，篩選出兩個子匿名區(qū)域AR_x和AR_y：

設(shè)在子匿名區(qū)域集合CS中，第i個子匿名區(qū)域AR_i和第j個子匿名區(qū)域AR_j合并形成新的子匿名區(qū)域為AR_i,j，合并得到的子匿名區(qū)域AR_i,j包含AR_i和AR_j中的所有用戶，并通過如下公式，計算AR_i,j對應(yīng)查詢區(qū)域的面積：

；S(QAR_i,j)＝S(AR_i,j)+r*C(AR_i,j)+πr²,

其中，AR_i,j表示由第i個子匿名區(qū)域AR_i和第j個子匿名區(qū)域AR_j合并形成的子匿名區(qū)域，QAR_i,j表示AR_i,j對應(yīng)的查詢區(qū)域，S(AR_i,j)表示AR_i,j的面積，C(AR_i,j)表示AR_i,j的周長，r表示查詢半徑。

從{S(QAR_i,j)0≤i＜k，0≤j＜k,i≠j}中選取最小值，該最小值所對應(yīng)的子匿名區(qū)域為AR_x,y，并由AR_x,y得出第x個子匿名區(qū)域AR_x和第y個子匿名區(qū)域AR_y，其中x為i的一個特定取值，y為j的一個特定取值；

2.3)對保證本發(fā)明能有效的降低服務(wù)質(zhì)量，不會出現(xiàn)查詢區(qū)域面積增大，服務(wù)質(zhì)量反而降低的情況，本發(fā)明通過比較AR_x、AR_y和AR_x,y對應(yīng)的查詢區(qū)域面積，判斷是否對子匿名區(qū)域集合CS進行更新：

2.3.1)計算子匿名區(qū)域AR_x對應(yīng)的查詢區(qū)域面積：

S(QAR_x)＝S(AR_x)+r*C(AR_x)+πr²，

其中，AR_x表示CS中第x個子匿名區(qū)域，QAR_x表示AR_x對應(yīng)的查詢區(qū)域，S(AR_x)表示AR_x的面積，C(AR_x)表示AR_x的周長；

2.3.2)計算子匿名區(qū)域AR_y對應(yīng)的查詢區(qū)域面積：

S(QAR_y)＝S(AR_y)+r*C(AR_y)+πr²，

其中，AR_y表示CS中第y個子匿名區(qū)域，QAR_y表示AR_y對應(yīng)的查詢區(qū)域，S(AR_y)表示AR_y的面積，C(AR_y)表示AR_y的周長；

2.3.3)比較AR_x、AR_y和AR_x,y對應(yīng)的查詢區(qū)域面積：

若S(QAR_x)+S(QAR_y)＞S(QAR_x,y)，則不對子匿名區(qū)域集合CS進行更新；

若S(QAR_x)+S(QAR_y)≤S(QAR_x,y)，則更新子匿名區(qū)域集合CS，即將子匿名區(qū)域AR_x和AR_y替換為AR_x,y，其中S(QAR_x)表示AR_x的查詢區(qū)域面積、S(QAR_y)表示AR_y的查詢區(qū)域面積、S(QAR_x,y)表示AR_x,y的查詢區(qū)域面積。

步驟3，重復(fù)步驟2，直至不滿足子匿名區(qū)域集合CS的更新條件，此時，得到更新后的子匿名區(qū)域集合CS′＝{AR₀′，…，AR_l′}，完成對匿名區(qū)的構(gòu)造，最終得到的子匿名區(qū)集合CS由l+1個子匿名區(qū)域構(gòu)成，其中AR₀′表示組成匿名區(qū)的第0個子匿名區(qū)域、AR_l′表示組成匿名區(qū)的第l個子匿名區(qū)域，l取值為0到k。

本發(fā)明的效果可通過以下理論分析和仿真實驗，進一步說明本發(fā)明的效果。

1.安全性分析

1.1)本發(fā)明根據(jù)k個用戶的位置信息，為每個用戶隨機生成子匿名區(qū)域，這使得最終構(gòu)造的匿名區(qū)CS′＝{AR₀′,…,AR_l′}仍包含k個用戶，并且匿名服務(wù)器在發(fā)送匿名查詢請求時，已去除用戶的身份標識。因此，即使攻擊者獲取匿名查詢請求Q＝＜CR,r,POI＞，也無法推測出服務(wù)請求的用戶身份。

1.2)本發(fā)明生成的子匿名區(qū)域的集合CS＝{AR₀，AR₁，…，AR_m，…，AR_k-1}，每個子匿名區(qū)域的面積等于用戶隱私需求匿名區(qū)域的最小面積A_min，且每個子匿名區(qū)域的中心位置均不存在用戶，這使得最終構(gòu)造的匿名區(qū)CS′＝{AR₀′,…,AR_l′}滿足隱私需求匿名區(qū)域的最小面積A_min，從而使攻擊者無法推測出用戶的真實位置。

2.仿真實驗

2.1)仿真條件

本發(fā)明通過基于網(wǎng)絡(luò)的移動對象生成器NGMO生成實驗數(shù)據(jù)，該生成器常用于位置隱私保護研究，它以德國城市Oldenberg地圖為基礎(chǔ)，通過設(shè)置移動對象數(shù)量等參數(shù)模擬生成用戶的位置信息。

實驗設(shè)定用戶隱私需求匿名區(qū)域的最小面積A_min＝160000m²，查詢半徑r＝500m，此外，為了評估服務(wù)提供者的查詢開銷，模擬構(gòu)造了餐館、酒店、醫(yī)院和停車場等500000個興趣點，并采用R樹結(jié)構(gòu)存取這些興趣點。

R樹作為目前最好的存儲高維數(shù)據(jù)的平衡樹，能有效提高在高維空間中的搜索效率。實驗環(huán)境為3.20GHz Core(TM)i5CPU，4GB內(nèi)存，編程語言采用C++，程序運行在windows 7環(huán)境下。

2.1)仿真方法

選用經(jīng)典K-匿名方法Casper、現(xiàn)有提高K-匿名服務(wù)質(zhì)量的技術(shù)Fragment和本發(fā)明三種方法，其中：

Casper方法采用四叉樹結(jié)構(gòu)存儲城市空間內(nèi)的用戶，即按照四象限遞歸分割的方式將城市空間劃分為不同層次的區(qū)域，區(qū)域與四叉樹中相同層次的節(jié)點相對應(yīng)，區(qū)域內(nèi)的用戶根據(jù)其位置存儲在四叉樹的相應(yīng)節(jié)點中，當(dāng)用戶請求服務(wù)時，從用戶位置對應(yīng)的葉子節(jié)點開始向上檢索四叉樹，先檢索兄弟節(jié)點，后檢索父節(jié)點，直至獲取k個用戶的位置信息；

Fragment方法是對Casper方法的改進，其對Casper方法生成的匿名區(qū)域進行處理，即根據(jù)匿名區(qū)域內(nèi)用戶的位置，通過去除不包含用戶位置的部分來減少匿名區(qū)面積。

2.3)仿真內(nèi)容與結(jié)果

仿真1，用所述的三種方法對服務(wù)提供者進行仿真，結(jié)果如圖4所示，其中：

圖4(a)是對服務(wù)提供者獲取的匿名區(qū)面積仿真結(jié)果，

圖4(b)是對服務(wù)提供者處理的查詢區(qū)域面積仿真結(jié)果。

由圖4可知，F(xiàn)ragment方法無法有效的減少查詢區(qū)域面積，提高服務(wù)質(zhì)量，當(dāng)k＝25時，Casper方法生成的匿名區(qū)面積為5.73×10⁷m²，其對應(yīng)查詢區(qū)域的面積為7.314×10⁷m²，而Fragment方法生產(chǎn)的匿名區(qū)面積為3.40×10⁷m²，但其對應(yīng)查詢區(qū)域的面積為7.379×10⁷m²，可見Fragment方法雖然減少了匿名區(qū)域面積，但查詢區(qū)域面積反而增加，造成這一問題的根本原因就是服務(wù)提供者LSP查詢興趣點的時間不僅受匿名區(qū)大小的影響，同時受到查詢半徑r影響；

而本發(fā)明在減少匿名區(qū)面積的同時，保證了查詢區(qū)域面積的顯著降低，以k＝25為例，本發(fā)明生成的匿名區(qū)面積為5.93×10⁶m²，比Casper方法生成的匿名區(qū)面積減少了3.40×10⁷-5.93×10⁶＝2.80×10⁷m²，查詢區(qū)域面積為2.439×10⁷m²，比Casper方法對應(yīng)的的查詢面積減少4.940×10⁷m。由此可見，本發(fā)明能有效的減少查詢區(qū)域面積，從而減少服務(wù)提供者LSP的時間開銷，提高服務(wù)質(zhì)量。

仿真2，用所述的三種方法對用戶獲取服務(wù)時延進行仿真，結(jié)果如圖5所示，其中5(a)為匿名服務(wù)器構(gòu)造匿名的時間仿真結(jié)果，5(b)為服務(wù)提供者查詢處理的時間仿真結(jié)果。

由圖5可知，F(xiàn)ragment方法無法減少用戶獲取服務(wù)的時延，提高服務(wù)質(zhì)量，如k＝25時，在Casper方法中量，生成匿名區(qū)所需的時間為177.275ms，服務(wù)提供者查詢處理的時間為10.140s，用戶獲取服務(wù)的時延為10.140+0.177＝10.317s，而Fragment方法生成匿名區(qū)所需時間為185.331ms，服務(wù)提供者查詢處理的時間為10.721s，用戶獲取服務(wù)的實驗為10721+0.185＝10.906s；

而本發(fā)明有效的減少了用戶獲取服務(wù)的時延，提高了服務(wù)質(zhì)量，以k＝25為例，本發(fā)明與方法Casper相比，生成匿名區(qū)的時間僅從185.331ms上升至222.679ms，而服務(wù)提供者的查詢處理時間從10.721s降低為2.286ms，用戶獲取服務(wù)的時延共減少了8.389s，服務(wù)質(zhì)量顯著提高。