一种基于灰色预测的链式k‑匿名位置隐私保护方法

摘要

本发明公开了一种基于灰色预测的链式k‑匿名位置隐私保护方法，以解决传统的k‑匿名位置隐私保护方法中QoS与隐私保护程度相矛盾、服务器额外计算开销大等实际问题。在定义了位于某一特定位置的用户请求消息的基础上，由匿名服务器基于GM(1,1)模型对用户请求消息进行匿名处理，生成一条包含k个节点的虚假路径，之后匿名服务器将生成的请求消息发送给LBS服务器。LBS服务器遍历查询每个节点请求，并将查询结果返还给匿名服务器，匿名服务器收到查询结果后，遍历找出真实用户位置并将真实查询结果返还给当前用户。本发明在保障移动用户位置隐私的同时，避免了构造匿名空间区域，转而采用链式结构，有效地减少了通信开销和计算复杂度，并且达到了100％的服务质量。

说明书

技术领域

本发明属于基于位置的服务及安全和隐私保护技术领域，具体涉及一种基于灰色预测的链式k-匿名位置隐私保护方法。

背景技术

移动通信业的发展诞生了位置服务(Location Based Service，简称LBS)的概念，加上最近几年计算机互联网技术、无线技术的飞速发展，诸如北斗导航、GPS等移动定位和地理信息系统在越来越多的领域被应用。当下智能手机的普及，使得移动终端的位置服务变得越来越盛行，LBS可以给移动用户提供丰富的位置信息服务，诸如地图导航、餐饮查询、定位追踪、位置共享社交等。

LBS在迅速发展的同时，也带来了越来越多的安全隐患，位置数据隐私保护成为了一直以来的研究热点。LBS服务之所以会带来隐私安全问题，是因为用户在获取LBS提供的服务时，需要向LBS提供自身的位置信息，若LBS本身就不可信任，则用户的位置信息自然会泄露，即便LBS是可信任的，第三方也可以攻击LBS以获取用户的位置信息。用户信息泄露后，除直接暴露用户当前位置，更多的隐含信息也会被同时暴露，比如生活习惯、兴趣爱好、身体状况、职业角色、社交关系等敏感信息，第三方在搜集诸如此类用户信息后，可以做更多的预测外延，由此可以看出用户的位置信息一旦泄露将会带来不可想象的后果。

国内外对位置隐私保护技术的研究一直在不断进行，解决方案从整体结构上看可分为两大类，一类是基于可信任第三方(Third Trusted Party，简称TTP)的位置隐私保护方法，另一类是没有TTP的位置隐私保护方法。

第一类方法中最为常见的是k-匿名位置隐私保护技术，同时还有匿名框和考虑数据特征方法等。k-匿名技术基于TTP为请求用户构造一个包含当前用户的共k个用户的匿名空间区域(Anonymizing Spatial Region，简称ASR)，随后将ASR的请求消息发送给LBS服务器，LBS服务器将ASR中的所有用户的查询结果返还给匿名服务器，匿名服务器对查询结果进行遍历，筛选出真实用户位置并将真实查询结果返还给用户，这样一来，即便攻击了LBS服务器获取了查询结果，但攻击者并不能确定匿名域中哪一个是真实用户位置，从而实现了对用户位置隐私的保护。Marco Gruteser等首次将k-匿名技术应用到位置隐私保护中，该方案是基于四叉树算法对时空进行伪装实现的，但其k值固定，且容易造成ASR过剩，增加了计算开销且影响了服务质量。Bugra Gedik和Ling Liu提出了CliqueCloak方法，该方案中的k值不再固定，但计算复杂度较高，且仅支持较小的k值。Mohamed F.Mokbel等在MarcoGruteser的基础上提出了Casper算法，降低了开销但依然存在服务质量降低的问题。BenNiu和Qinghua Li等提出DLS和enhanced-DLS算法，DLS算法通过熵度量选择虚假位置进行匿名，enhanced-DLS算法扩大了虚假位置的分布，即扩大了匿名域。

从上述方案可看出，当前的位置隐私保护技术大都依赖于一个可信任的匿名服务器，对用户位置进行匿名的时候更多的采用构造ASR的方法，这样做的确可以保障用户的位置隐私安全，但同时会带来一个服务质量(Quality of Service，简称QoS)与隐私保护程度的矛盾，当追求更好的隐私保护程度即增大ASR时，通信开销和计算复杂度会相应增大，QoS会降低。

无论从用户还是LBS的角度来说，隐私保护程度高、额外开销少、服务质量高都是追求目标，在当下这样一个注重效率和质量的时代，在不降低隐私保护程度的前提下，如何有效地提高服务质量而不过多增加开销就成为了急需解决的问题。

发明内容

针对现有位置隐私保护技术出现的QoS与隐私保护程度的矛盾，为降低通信开销和计算复杂度，本发明提供了一种基于灰色预测的链式k-匿名位置隐私保护方法，匿名服务器根据请求消息基于灰色预测构建出一条虚假用户路径，在保障了用户位置隐私的同时实现了100％的服务质量。

首先对本发明所使用的重要术语及其约束介绍如下：

灰色系统理论(Grey System Theory)：灰色系统理论着重研究小样本、贫信息的不确定问题，通过对原始数据的适当施加序列算子并进行灰色序列生成，探索出事物运动的现实规律。

序列算子和灰色序列生成：在本发明中，对于用户的位置请求消息序列，严格上来讲是一个冲击扰动系统，可以根据实际情况对消息序列施加缓冲算子以过滤干扰项，之后将累加生成算子(Accumulating Generation Operator，简称AGO)作用于序列使其具有灰指数规律。

灰色预测(Grey Forecasting)：灰色系统理论的重要分支，以灰色生成技术为基础，以GM(Grey Model，简称GM)系列模型为核心，实现对系统运行行为和演化规律的正确描述。

GM(1,1)模型：GM系列模型应用最广泛的模型，具体是指均值GM(1,1)模型(EvenGrey Model，简称EGM)，本发明的灰色预测即采用此模型，具体模型如下：

设序列X⁽⁰⁾＝(x⁽⁰⁾(1),x⁽⁰⁾(2),…,x⁽⁰⁾(n))，其中，x⁽⁰⁾(k)≥0,k＝1,2…n；

对序列X⁽⁰⁾进行一阶累加生成(1-AGO)，得序列X⁽¹⁾如下：

X⁽¹⁾＝(x⁽¹⁾(1),x⁽¹⁾(2),…,x⁽¹⁾(n))

其中，

接下来对一阶累加生成序列X⁽¹⁾施以紧邻均值生成算子，得到序列Z⁽¹⁾，如下：

Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),…,z⁽¹⁾(n))

其中，

z⁽¹⁾(k)＝0.5x⁽¹⁾(k)+0.5x⁽¹⁾(k-1),k＝2,3,…n

则GM(1,1)模型的均值形式为

x⁽⁰⁾(k)+az⁽¹⁾(k)＝b

其中，参数向量用最小二乘法进行估计得

其中Y，B分别为

根据GM(1,1)模型的均值形式，其白化微分方程为

求解此方程，则均值GM(1,1)模型的时间响应式为

其中e为自然底数，根据响应式便可进行后续的预测。

为实现本发明的目的，本发明提出的技术方案为一种基于灰色预测的链式k-匿名位置隐私保护方法，具体包括如下步骤：

步骤1.以六元组的形式代表某一用户在当前位置的位置服务请求消息，即q＝(id,loc,t,qry,r,k),其中id指发出请求消息的用户ID，loc指用户发出消息请求的位置，含坐标分量，t是发出请求的时刻，qry指用户请求查询的兴趣点的有关信息，r指用户请求的兴趣点到loc的距离，k指用户自己指定的匿名整型参数；

步骤2.匿名服务器收到用户请求消息q后，根据k值对用户请求消息进行匿名处理，构建虚假消息路径、生成请求信息Q并发送给LBS服务器；

步骤3.LBS接收到匿名服务器的请求消息Q后开始进行遍历查询，并将查询结果R返还给匿名服务器；

步骤4.匿名服务器接收到LBS的返还查询结果集R后，遍历路径中的所有节点，过滤出真实位置后将其对应的真实结果返还给当前用户，最后清空当前消息路径。

进一步，上述步骤2中的匿名处理过程包括以下步骤：

步骤2.1.匿名服务器在收到当前用户请求消息后标记为q(0)，然后根据k值进行判断，若k≤4，即不满足进行灰色预测所需原始数据个数的最低要求，则返回等待用户输入状态，且服务器给出提示信息，要求用户输入大于4的整数，若满足后继续执行步骤2.2；

步骤2.2.匿名服务器与云服务器相互通信并从云端选取s＝(int)random[3,k-2]个请求信息，函数(int)random[3,k-2]表示在3到k-2之间随机产生整数，保证原始请求队列中至少有4个位置请求消息；

步骤2.3.将匿名服务器选取的虚假用户请求消息加上当前用户请求q(0)一起存放到数组M中，即M＝{q(0),q(1),q(2),…,q(s)},3≤s≤k-2；下面遍历q(i)进行初始化处理，将q(0)的id,r,k赋值给其他q(i)并用变量time记录q(0).t，即q(i).id＝q(0).id,q(i).r＝q(0).r,q(i).k＝q(0).k,time＝q(0).t,1≤i≤s；初始化完毕后，匿名服务器根据各点发出请求消息的时刻q(i).t进行排序，最后将排序结果存入数组P中，得到P＝{p(0),p(1),p(2),…p(s)},3≤s≤k-2；

步骤2.4.对步骤2.3得到的序列P求其1-AGO序列P′，即P′＝{p′(0),p′(1),p′(2),…,p′(s)}，其中再对序列P′施以紧邻均值生成算子，得到序列Z＝{z(1),z(2),…z(s)}，其中z(j)＝0.5p′(j)+0.5p′(j-1),j＝1,2,…,s，则位置预测的GM(1,1)均值形式的白化微分方程可设为

步骤2.5.求解白化微分方程其中的参数向量可以用最小二乘法估计，得其中Y，B分别为：

将初值带入白化微分方程的通解形式，得到均值GM(1,1)模型的时间响应式为：

由上式可计算预测出p(s+1),p(s+2),…,p(k-1)，加上数组P中已有的s个位置请求消息，共有k个位置请求信息，达到匿名参数要求；

步骤2.6.匿名服务器生成一条从p(0)～p(k-1)的链式虚假路径T＝{p(0),p(1)…p(k-1)}，并将路径中k个节点的位置请求信息Q(T)发送给LBS服务器申请查询。

作为优选，上述步骤2.2中所述整数包括3和k-2。

上述步骤2.5中所述GM(1,1)模型具体如下：

设序列X⁽⁰⁾＝(x⁽⁰⁾(1),x⁽⁰⁾(2),…,x⁽⁰⁾(n))，其中，x⁽⁰⁾(k)≥0,k＝1,2…n；

对序列X⁽⁰⁾进行一阶累加生成(1-AGO)，得序列X⁽¹⁾如下：

X⁽¹⁾＝(x⁽¹⁾(1),x⁽¹⁾(2),…,x⁽¹⁾(n))

其中，

接下来对一阶累加生成序列X⁽¹⁾施以紧邻均值生成算子，得到序列Z⁽¹⁾，如下：

Z⁽¹⁾＝(z⁽¹⁾(1),z⁽¹⁾(2),…,z⁽¹⁾(n))

其中，

z⁽¹⁾(k)＝0.5x⁽¹⁾(k)+0.5x⁽¹⁾(k-1),k＝2,3,…n

则GM(1,1)模型的均值形式为

x⁽⁰⁾(k)+az⁽¹⁾(k)＝b

其中，参数向量用最小二乘法进行估计得

其中Y，B分别为

根据GM(1,1)模型的均值形式，其白化微分方程为

求解此方程，则均值GM(1,1)模型的时间响应式为

其中e为自然底数，根据响应式便可进行后续的预测。

与现有技术相比，本发明的有益效果：

1，本发明在对用户位置请求信息进行匿名处理时，并没有像现有绝大多数方法那样构造一个ASR，转而通过灰色预测生成一条包含用户请求在内的共k个节点的虚假路径，这种模式很好地降低了通信开销以及计算复杂度，且由于灰色系统本身的特性，进一步提高了用户位置隐私保护程度

2，本发明解决了用户位置隐私保护程度与QoS之间矛盾的问题，即无论k值怎样变化，都不会影响QoS，达到了服务质量100％的目标。

3，本发明可以克服传统k-匿名位置隐私保护方法的服务质量不高的问题，由于引入灰色预测并构造链式虚假用户路径代替ASR，避免了额外的通信开销，降低了计算复杂度，提高了系统运行效率。

附图说明

图1为本发明基于灰色预测的链式k-匿名位置隐私保护方法的匿名流程图；

图2为本发明匿名服务器生成的虚假用户路径图；

图3为本发明所用设备的交互示意图。

具体实施方式

现结合附图及实例，对本发明作进一步的详细说明。

作为实施例，此处将本发明应用到某用户查询附近酒店的场景中，应指出，该实例仅仅用以解释本发明，并不用于限定本发明。

本发明基于灰色预测的链式k-匿名位置隐私保护方法的匿名流程图如图1所示。本发明采用六元组的形式表示用户请求消息，即q＝(id,loc,t,qry,r,k)，其中id指发出请求消息的用户ID，loc指用户发出消息请求的位置，含坐标分量，t是发出请求的时刻，qry指用户请求查询的兴趣点(Point of Interest，简称POI)的有关信息，r指用户请求的POI到loc的距离，k指用户自己指定的匿名整型参数。

步骤1.用户发送请求

用户U现在想查询附近有哪些酒店，此时服务器需要知道用户的当前位置，但是用户不想将自己的位置隐私暴露，故用户U首先按照六元组的形式发送查询服务请求。用户在六元组中的id上填入自己的ID；位置信息loc通过终端的定位装置自动获取，用户无需填写；用户发送请求的时刻t由客户端直接获取；qry填入查询附近酒店；r是匿名服务器查询POI到loc的距离，此处假设用户指定为1000米；对于匿名参数k，不妨假设用户设定为8；综上，用户请求信息设置好后的q＝(ID,loc,t,“查询附近的酒店”,1000米,8)，之后将q发送给匿名服务器，这样就完成了发送请求。

步骤2.匿名服务器对用户请求消息匿名

匿名服务器根据用户请求消息的位置及时间生成一条包含k个节点的虚假用户路径对用户请求消息进行匿名化，如图2所示。

具体匿名过程如下：

步骤2.1.匿名服务器收到用户请求消息q后标记为q(0)，首先判断k值，若k≤4说明不满足进行灰色预测所需原始个数最低要求，则需要重新输入服务请求，本例中的k＝8，故满足要求；

步骤2.2.匿名服务器与云服务器相互作用并从云端选取(int)random[3,6]个请求消息，这里假设上述函数的随机结果为4，则加上真实用户当前共有5个服务请求消息；

步骤2.3.匿名服务器将上述5个请求消息一起存入数组M中，即M＝{q(0),q(1),q(2),q(3),q(4)}，其中q(0)为真实用户数据，接着匿名服务器用q(0)对q(1),q(2),q(3),q(4)进行初始化，将q(0)的id,r,k赋值给q(1),q(2),q(3),q(4)并用变量time记录q(0).t，即q(i).id＝q(0).id,q(i).r＝q(0).r,q(i).k＝q(0).k,time＝q(0).t,i＝1,2,3,4；完成初始化后，匿名服务器根据各节点的请求时刻t进行排序，最后将排序结果存入数组P中，得到P＝{p(0),p(1),p(2),p(3),p(4)}；

步骤2.4.首先计算序列P的1-AGO序列P′，P′＝{p′(0),p′(1),p′(2),p′(3),p′(4)}，其中再对序列P′施以紧邻均值生成算子，得到4元序列Z＝{z(1),z(2),z(3),z(4)}，其中z(j)＝0.5p′(j)+0.5p′(j-1),j＝1,2,3,4，则位置预测的GM(1,1)均值形式的白化微分方程可设为

步骤2.5.进一步求解白化微分方程其中的参数向量可以用最小二乘法估计，得其中Y，B分别为

将初值带入白化微分方程的通解形式，得到均值GM(1,1)模型的时间响应式为

最后由上式计算出预测值加上原有的5个服务请求消息，共有8个服务请求信息，达到匿名参数的要求；

步骤2.6.匿名服务器由预测结果生成一条链式虚假路径T＝{p(0),p(1),p(2),p(3),p(4),p(5),p(6),p(7)}，并将路径中8个节点的位置请求信息Q(T)发送给LBS服务器申请查询；

步骤3.匿名服务器与LBS服务器通信

LBS服务器根据来自匿名服务器的请求消息Q(T)遍历查询虚假路径中的各节点，并将查询结果集R返还给匿名服务器；

步骤4.匿名服务器过滤筛选返还真实结果给用户

匿名服务器接收到LBS服务器返还的结果集R后，根据之前设定的变量time对当前路径中的节点进行遍历查询，筛选出真实用户后将真实查询结果返还给当前用户，最后清空当前虚假消息路径。用户、匿名服务器与LBS服务器之间的交互示意图如图3所示。

以上实施例表明，本发明方法能够有效地保护用户位置隐私，减少了额外通信开销，降低了计算复杂度，并能达到100％的服务质量。以上所述仅为本发明的一个具体实施例，并不用以限制本发明，凡在本发明的精神和原则之内，所做的任何修改、等同替换、改进等，均应包含在本发明的保护范围之内。