位置服务中的轨迹隐私度量方法

摘要

本发明公开了一种位置服务中的轨迹隐私度量方法，涉及信息安全领域中的隐私度量方法。本发明包括位置服务中轨迹隐私度量系统，该系统包括匿名器(20)、服务器(30)和移动用户(40)；设置有隐私度量模块(10)；移动用户(40)、匿名器(20)和服务器(30)前后依次连通；隐私度量模块(10)运行在匿名器20中；所述的隐私度量模块(10)是：将轨迹位置隐私量化为移动用户经过混合区域前后移动用户ID(身份标识)之间的可关联性来计算轨迹位置隐私水平。本发明将攻击者的背景知识融入到度量方法中，用户可以实时地知道自己的隐私受保护程度，帮助研究人员更好地改进此保护方法。

说明书

技术领域

本发明涉及信息安全领域中的隐私度量方法，特别涉及一种位置服务中的轨迹隐私度量方法。

背景技术

越来越多的计算机先进技术无形地融入到人们的日常生活中，为我们提供各种信息服务。传感定位系统和移动通信系统的相结合，使得LBS(location-basedservices，基于位置的服务)引起人们极大的关注，而成为普适计算环境中重要组成部分。近年来，LBS不仅正在成为国际研究的热点，也已成为国内外相关企业研发投入的重点之一。在LBS中，用户通过向服务器提供其所在的位置信息，而享受到与位置有关的服务，诸如查找到离自己最近的宾馆、医院和饭店等。然而，恶意攻击者可以将位置信息和发出查询请求的内容联系到人们的私人生活、健康状况、政治立场和宗教倾向等或者通过联系额外知识确定一个人的真实身份。一旦一个人的身份确定，他的所有其它敏感信息将可能泄露。这些攻击行为的存在，阻碍了LBS的市场发展和商业前景，所以在给用户提供服务的同时，对用户位置信息加以保密显得尤为重要。轨迹隐私保护是位置隐私保护中相当重要的一个方向，因为恶意攻击者有可能将用户时间顺序上的多个位置信息连接起来，从而得到用户在某一段时间内的运动轨迹。一旦用户的运动轨迹暴露，那么用户更多的敏感信息将会受到威胁。

研究者们提出了各种保护用户位置和轨迹隐私的方法。事实上，最近许多研究表明，许多隐私保护技术仍旧泄露一些信息。当这些方法运用到实际中并不能达到理论上的隐私保护水平。那么究竟能从多大程度上保护用户的隐私呢？显然，在数字世界中隐私水平是不可直接感知的，因此用户需要及时地得到关于他们当前的隐私保护程度的一个反馈。如果用户在使用服务时，不能确定在享受服务的同时存在的隐私威胁的大小，这势必会使得他们对服务及其采用的保护机制缺乏信心；同时，为了评估保护隐私的技术水平是否有所提高，也迫切需要建立一种隐私度量机制来评估服务系统的隐私保护效果。

目前，国内外对位置服务中隐私度量方法的研亢主要包括以下两个方面：

一是针对某种特定的隐私保护方法在某种特定的攻击模式下的隐私度量方法。它是通过分析这种特定的隐私保护方法的一些漏洞，从而假设一种攻击，在这种攻击下评估其隐私保护效果。这类隐私度量方法有它的局限性，首先每种度量方法只适于度量一种特定的隐私保护方法，而且一旦攻击者拥有了新的背景知识，这种度量方法则是无法再准确度量的。

二是针对匿名通信系统的一种普适的隐私度量方法。它是通过将隐私水平量化为某一种关系式，如位置信息与特定的个人相联系的不确定性，或攻击者得到的信息量与攻击者想要完全知道系统的通信模式所需要的信息量之比，或攻击者观察得到的跟踪用户的运动轨迹与用户真实运动轨迹之间的差异等，从而计算隐私。它适合于多种隐私保护方案，但只是提出了一种隐私度量的框架，太过于抽象。

目前的位置隐私度量方法主要侧重于用户某个时刻的位置隐私度量，很少有专门针对用户的轨迹隐私的度量方法，并且现有的度量方法常常忽略了攻击者的背景知识，攻击者的背景知识与隐私度量是紧密相关的。

发明内容

本发明的目的是为了克服现有技术存在的问题和不足，提供一种有效的客观的位置服务中的轨迹隐私度量方法，以能更好地促进隐私保护方法的改进。

本发明的目的是这样实现的：

目前，轨迹隐私保护效果较好的方法主要是基于silent period(沉默期)方法。在silent period方法中，用户通过混合区来隐藏其身份信息，在混合区中既不发送任何服务请求信息也不接受任何服务信息，直到换用假名从混合区中出去。

因此，本发明采取的方案是将轨迹位置隐私量化为移动用户经过混合区域前后移动用户ID(身份标识)之间的可关联性来计算轨迹位置隐私水平，具体地说，本发明包括下列步骤：

①对移动用户运动轨迹进行建模，将移动用户运动轨迹描述为一个图结构；

②根据假设的攻击者所拥有的背景知识进行推理分析，得到进出每一个混合区域前后的用户ID(身份标识)可关联的概率；

③从攻击者的角度来推测跟踪用户可能的轨迹有多条，计算每条可能的运动轨迹是用户真实运动轨迹的概率；

④用信息熵公式计算出跟踪用户的轨迹隐私水平，最后得出隐私度量的结果；结果由两部分组成：假设的背景知识和相对应的隐私水平值。

本发明的工作原理是：

在silent period(沉默期)方法中，用户通过混合区来隐藏其身份信息，在混合区中既不发送任何服务请求信息也不接受任何服务信息，直到换用假名从混合区中出去。那么将轨迹位置隐私量化为经过混合区域前后用户ID(身份标识)之间的可关联性，即可得分别得到移动用户可能的各条运动轨迹的概率，借助信息熵理论来度量隐私保护程度。信息熵常常用于表示某种特定信息的出现概率，一个系统越是有序，信息熵就越低；反之，一个系统越是混乱，信息熵就越高。攻击者对用户轨迹隐私攻击的主要目的是要挑选出概率最大的轨迹，如果攻击者认为特定用户每条可能的运动轨迹的概率相等，则系统越混乱。如果攻击者得到的背景知识越多，每条可能的运动轨迹的概率差别越大，那么表示系统越有序。因此，选用信息熵来度量隐私保护程度是可行的。

本发明具有以下优点和积极效果：

1、将攻击者的背景知识融入到度量方法中，当实际生活中攻击者背景知识在不断改变时，也能准确地计算用户的隐私水平；

2、用户可以实时地知道自己的隐私受保护程度，从而根据此来调整发出服务请求的时间等；

3、在轨迹隐私保护方法投入使用前，可以进行模拟实验来评测其隐私保护效果，帮助研究人员更好地改进此保护方法。

附图说明

图1为位置服务中轨迹隐私度量系统的结构示意图；

图2为隐私度量模块的工作流程图；

图3是移动用户在轨迹隐私保护方案下的实际运动过程的方框图；

图4是对移动用户运动轨迹建模后与图3相对应的有权无向图。

其中：

10-隐私度量模块；

20-匿名器；

30-服务器；

40-移动用户，

    41、42……4N-第1、2……N移动用户；

A、B-第1、2混合区域。

具体实施方式

下面结合附图和实施例详细说明：

一、位置服务中轨迹隐私度量系统(简称本系统)

如图1，本系统是本发明的工作环境；与大多数已有的工作环境一样，在LBS中，本系统采用中心服务器的系统结构，包括匿名器20、服务器30和移动用户40，设置有隐私度量模块10；

移动用户40、匿名器20和服务器30前后依次连通；

隐私度量模块10运行在匿名器20中。

工作原理：

隐私度量模块10为移动用户40实时地提供用户的轨迹隐私受保护的程度。当移动用户40在向服务器30提出服务请求之前，想要知道自己当前的隐私受保护的程度时，隐私度量模块10就计算该移动用户在基于silent period(沉默期)的保护方法下的轨迹位置隐私水平并反馈给用户。前述，隐私度量的结果由两部分组成：假设的背景知识和相对应的隐私水平值。然后移动用户40可以根据这个结果来判断对背景知识的假设是否恰当，是则再判断在这种假设下的隐私水平是否可以接受。因此，本发明将攻击者的背景知识融入到度量方法中的任务不是预测攻击者可能知道哪些信息；而是给用户对他们将要提出的服务可能受到的隐私威胁提供一个更全面的理解。

二、方法

1、隐私度量模块的工作流程(隐私度量模块10和服务器30、移动用户40之间的交互过程)

如图2，隐私度量模块的工作流程包括下列步骤：

①移动用户向服务器发出请求201。

②隐私度量模块对移动用户运动轨迹进行建模202。

③隐私度量模块根据所假设的攻击者所拥有的背景知识，推理计算移动用户在每条可能的运动轨迹上经过混合区域的概率值203。

对于每个移动用户，攻击者对移动用户进行跟踪，可能观察到移动用户经过时间顺序上的混合区域。在没有背景知识的情况下，攻击者认为从混合区域中出去的任何一个假名所代表的移动用户是攻击者所跟踪得用户的概率相等。在经过一些混合区域之后，假设会形成若干条(X)可能的移动用户运动轨迹，这些属于单个用户的可能的运动轨迹则是树形结构，每条轨迹的概率也相等均为1/X，其中X为树的叶子节点的个数。攻击者在获得和利用背景知识进行推理后，每条可能的运动轨迹是移动用户真实运动轨迹的概率不再相等。

必须找到一种方法来描述对背景知识的假设。最为直接的方法是列举所有可能的背景知识的组合，通过计算得到每一个组合在度量轨迹隐私中所起到的作用的大小来衡量背景知识的强弱。但是实际上是不可行的，因为背景知识的组合太多了。那么度量轨迹隐私，要推算进出混合区域前后用户ID的可关联性，实质上是从推算出位置之间的连续性和位置与用户之间的可关联性出发，即推算P(L₂|L₁)、P(L|U)，其中，L₁、L_2∈L，L为跟踪时间内所有用户提出服务请求时向服务器提供的所有位置信息的集合，U为用户的真实身份标识。现将所有的P(L₂|L₁)和P(L|U)都看作是变量，而将背景知识描述为这些变量的约束，如P(l₂|l₁)＝0.8，P(l₂，l₃|l₁)＝0，0.3＜P(l₁|u₁)＜0.6。表示/A发生而引起B发生，此类型的关联规则为正关联规则，而其它的如或之类的关联规则为负关联规则。所有的背景知识诸如上面这些等式上面变量等式或不等式都可以表达为正关联规则和负关联规则，概率的大小即为规则的强度。

基于上面的理论，提出(K_UL(K_i+，K_i-)，K_L(K_i+，K_i-))联系规则的方法来对背景知识进行描述。将背景知识中包含所有相关规则根据其规则强度，分为n类，所以i＝1，2，…，n；概率大小总区间为[0，1]，显然，n越大，各相关规则之间区分的越细致，对背景知识的量化越准确。同时，K_UL表示U和L之间相关规则的集合的大小，K_L表示L₁和L₂之间相关规则的集合的大小，K_i+表示集合中第i类正相关规则的数量，K_i-表示集合中第i类负相关规则的数量，∑K_i++∑K_i-＝K_UL或K_L。

④根据经过混合区域的概率值，分别计算得到每条可能的运动轨迹是移动用户真实运动轨迹的概率大小204；

每条轨迹的概率由无向图中组成这条轨迹的各条边的权重相乘得到。

⑤根据信息熵公式来计算移动用户的隐私受保护程度和隐私泄露率205；

具体计算过程如下，假设每条轨迹的概率值分别为P₁，P₂，…，P_X，根据公式(1)计算出特定用户u_i的熵为：

$H\left(u_i\right)=-{\Sigma }_{x=1}^X{P}_x{\log P}_x---\left(1\right)$

在攻击者没有任何知识背景的情况下，每条运动轨迹的可能性是等概率的，这时，这个用户的最大熵值为：

$H_{\mathrm{Max}}\left(u_i\right)=-\log \frac{1}{X}---\left(2\right)$

用D(u_i)来衡量用户轨迹隐私水平，它表示特定用户的轨迹隐私保护程度，

$D\left(u_i\right)=\frac{H\left(u_i\right)}{H_{\mathrm{Max}}\left(u_i\right)}\%---\left(3\right)$

1-D(u_i)表示用户u_i的隐私泄漏率，D(u_i)的值越大表示用户的隐私受保护程度越高、隐私泄漏率越低、攻击者的能力越小，反之亦然。

⑥匿名器将隐私度量结果反馈给移动用户206；

⑦移动用户判断假设的背景知识是否恰当207，是则进入下一步骤，否则转跳到步骤③；

⑧移动用户判断隐私水平值是否大于用户可以承受的隐私暴露阈值208，是则进入下一步骤，否则提出服务请求209；

⑨暂不提出服务请求210。

2、对移动用户运动轨迹进行建模

(1)移动用户在轨迹隐私保护方案下的实际运动过程

如图3，现将进入第1混合区域A中的所有移动用户ID的集合i表示为I＝{i_j}，从第1混合区域A中出去的所有用户ID的集合o表示为0＝{o_j}。那么当恶意攻击者对第1移动用户41进行跟踪时，可能观察到该移动用户41经过多个混合区域(如第1混合区域A和第2混合区域B)，并多次更换假名。

这里以假设知道了第1移动用户41的运动路径作为例子。第1移动用户41先以假名i₁进入第1混合区域A，然后以假名o₁从第1混合区域A中出来，接着与假名分别为i₄和i₅的两个移动用户一起进入第2混合区域B，然后以假名x₁从第2混合区域B中出来，而实际在保护方案下，移动用户运动过程是不可知的。

(2)对移动用户运动轨迹建模后与图3相对应的有权无向图

如图4，集合I和集合0中的移动用户ID存在一一对应的关系，因此模拟一个用户运动空间，用有权无向图来表示；其中，该图中的顶点分别代表从混合区域中进入和出去的用户ID的集合，边代表一个用户在进出一个混合区的所使用的两个ID之间的可联系性，边的权重表示可联系性的概率。

图4是对图3中的运动轨迹进行建模后，得到的相对应的带权无向图形表示的运动轨迹。对于每一个混合区所对应的单个有权无向图G＝(V_i，V_o，E_io)，我们用一个m×m的矩阵来描述它，这里m为进入混合区域的用户数量，即m＝|V_i|＝|V_o|，其中E_io＝{e_io|i∈V_i，o∈V_o}，e_io∈E_io的值的大小由i和o之间的关联概率p(i，o)∈[0，1]来决定，它表示无向图的边的权值。当p(i，o)的值为0时，表示攻击者确定i和o之间没有联系性，它们不是对应同一个用户。当攻击者确定这两个用户名是指同一用户时，其概率值则为1。另外，从每个顶点i∈V_i或o∈V。发出的边的概率之和为1，那么，也就是说，矩阵的每一列或每一行的和均为1。