一种用户位置信息保护方法及系统

1.本发明涉及网络安全技术领域，尤其涉及一种用户位置信息保护方法及系统。


背景技术：

2.移动社交网络(mobile social networks，msns)是一种兼具传统在线社交网络(online social networks，osns)和基于位置的社交网络(location-based social networks，lbsns)特征的复杂网络，随着移动社交网络的快速发展，基于位置的服务(location-based services，lbs)也由此获得了更大的发展，极大地方便了用户的生活。用户在享受这些应用带来的诸多便利的同时，自身的隐私保护也受到重大的安全威胁。为了获得更高质量的服务，移动用户需要向位置服务提供商(location service provider，lsp)提供精确的位置信息，如表1所示，可以抽象出移动社交网络中lbs服务的特征为：1)用户需要进行身份验证才能获得服务；2)用户需要提供个人信息才能获得服务；3)以单点lbs服务为主。
3.表1
4.[0005][0006]
由于位置服务提供商中存在潜在的攻击者，lbs应用为用户提供了方便服务的同时，也容易遭到攻击者的恶意攻击，用户的位置隐私存在泄漏的风险。用户的位置信息和查询信息等可以轻易地被lbs服务器或其他实体所获得，若这些服务器被恶意攻击者攻击，则会导致用户的个人隐私信息泄露。因此，移动社交网络中用户的位置隐私安全是目前亟待解决的问题。
[0007]
现有常见的位置信息泄露的方式主要分为以下3种：1)位置服务器泄露用户的位置隐私。由于用户向位置服务提供商寻求位置服务时，首先要把自身的位置和需求发送给位置服务器，然后位置服务器向用户提供相应的服务。此时位置服务器中含有用户的位置、分享内容等信息，一旦发生如攻击者通过攻击服务器获取用户的位置信息的情况，将造成不可估量的损失；2)用户主动分享自己的位置，泄露自己的位置隐私。用户可以直接在朋友圈、qq空间或微博等社交媒体上分享自己的位置信息，从而可能导致用户的位置隐私泄露。攻击者可以间接地使用某些位置服务应用程序来推断用户的真实位置和行动轨迹，例如，微信运动或其他支持搜索附近朋友的应用程序，这类功能可能被攻击者恶意利用，从而推断用户的真实位置；3)位置轨迹数据泄露用户隐私。攻击者通过对历史轨迹数据的挖掘和分析，得出个人的敏感信息，如个人爱好、行为习惯、生活方式等，也可能将支付记录或社交网络等方面的信息组合起来用以推断用户身份。位置隐私保护的目标是防止他人在用户不知情时获取用户在过去或现在的位置或轨迹信息，具体的目标可表示为：1)增加用户身份的不确定性，隐匿用户身份或者加密用户身份，使攻击者不能确定用户的身份；2)增加位置的不确定性，隐匿位置信息或者加密位置信息，使攻击者不能确定用户具体的位置；3)消除
用户身份和位置之间的关联性，使攻击者不能将用户及其访问的位置关联起来。在移动社交网络中存在两种隐私概念：弱位置隐私和强位置隐私。前者指攻击者可以推断出用户位于某个隐私区域，但不能确定其确切位置，解决方案一般基于位置扰动、空间匿名和空间转换；后者指攻击者完全不能推断出用户的具体位置，解决方案往往与加密技术相结合。为了应对用户的位置隐私所面临的威胁，目前常见的位置隐私保护机制，主要分为以下三类：(1)基于k-匿名的方案；(2)基于混淆的方案；(3)基于差分隐私的方案。
[0008]
上述方案存在如下问题：(1)可信第三方匿名服务器的引入问题：典型的位置隐私保护算法大多是基于集中式架构提出，包括单一可信第三方(single trusted third party，sttp)，即匿名服务器。对于可信第三方匿名服务器的引入，虽然它在某种程度上为实现位置隐私保护提供了很大的便利，但同时，其本身的存在也造成了如下威胁。1)sttp记录了所有用户的准确位置信息，成为了一个对攻击者来说具有吸引力的目标。一旦攻击者成功地攻破sttp服务器，攻击者将能够访问该服务器处理的所有用户信息；2)所有用户端提交的查询都要经过sttp服务器，这不仅会导致通信开销增大，同时该服务器也成为了一个中心故障点，形成了性能瓶颈；3)在现实中，很难找到一个完全可信的实体。(2)用户位置隐私和服务质量之间的平衡问题：对于现有的基于k-匿名、混淆等技术的位置隐私保护方法，最主要的问题如何控制服务质量不降低，现有的一些方案均代价过大，难以达到满意的效果，例如，基于空间匿名技术的方案有时需要牺牲一定的lbs适用性，导致了此类方案在个人的位置服务类应用中难以适用。对于lbs服务提供商来说，为了提供更高的服务质量，当接触到的用户的间接位置信息时，如何根据间接信息得到更贴近于用户真实位置的信息是研究的重点问题。同时需综合考虑用户端的计算能力及存储能力等方面的限制，让用户的体验达到最好。
[0009]
综上所述，现有的技术方案存在通信开销大、用户设备的计算开销大、用户个人数据和位置数据信息关联度高以及用户位置隐私和服务质量不均衡等问题。


技术实现要素：

[0010]
本发明提供一种用户位置信息保护方法及系统，用以解决现有技术中通信开销大、用户设备的计算开销大、用户个人数据和位置数据信息关联度高以及用户位置隐私和服务质量不均衡的缺陷。
[0011]
第一方面，本发明提供一种用户位置信息保护方法，包括：
[0012]
待用户获取认证信息，接收所述用户发送的第一查询请求；
[0013]
响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；
[0014]
接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0015]
根据本发明提供的一种用户位置信息保护方法，所述待用户获取认证信息，接收所述用户发送的第一查询请求，包括：
[0016]
所述用户向所述位置服务提供商发送位置请求，并向所述证书签发机构进行注册，所述用户接收所述证书签发机构下发的包含证书期限的假名、证书和密钥；
[0017]
接收所述用户基于位置映射表发送的所述第一查询请求。
[0018]
根据本发明提供的一种用户位置信息保护方法，所述接收所述用户基于位置映射表发送的所述第一查询请求，包括：
[0019]
获取任一用户位置坐标值，计算所述任一用户位置坐标值的散列值，并对匿名服务器数量进行模操作，获得任一匿名服务器序列号；
[0020]
基于所述任一匿名服务器序列号和所述任一用户位置坐标值，构建所述位置映射表；
[0021]
所述用户根据所述位置映射表确定接收匿名服务器，所述接收匿名服务器接收所述用户发送的所述假名、所述证书、所述证书期限、查询请求内容、查询半径和匿名级别。
[0022]
根据本发明提供的一种用户位置信息保护方法，所述响应所述第一查询需求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求，包括：
[0023]
接收所述第一查询需求，若判断在所述证书期限内与所述用户存在相同的假名，则向所述用户发送第一标记，基于所述区域自适应匿名算法生成所述匿名区域；
[0024]
否则，缓存所述第一查询需求，向所述用户发送第二标记，接收所述用户发送的第二查询需求，其中所述第二查询需求包括所述第二标记和用户查询位置，将所述用户查询位置、所述假名和所述证书期限关联后进行缓存；
[0025]
综合所述假名、所述证书、所述证书期限、所述查询请求内容、所述查询半径和所述匿名区域，得到综合查询请求，采用所述位置服务提供商的公钥对所述综合查询请求进行加密，获得加密查询请求。
[0026]
根据本发明提供的一种用户位置信息保护方法，所述基于所述区域自适应匿名算法生成所述匿名区域，包括：
[0027]
接收所述用户发送的携带所述用户查询位置的所述第一查询需求；
[0028]
基于所述用户查询位置和所述查询半径生成查询区域；
[0029]
依据历史统计经验获得所述查询区域的最小用户数和最小请求内容数量；
[0030]
分别确定与所述用户的距离小于等于所述查询半径的所有用户为所述用户的第一用户邻域，以及与所述用户的距离大于所述查询半径的所有用户为所述用户的第二用户邻域；
[0031]
若判断所述第一用户邻域大于等于所述最小用户数，且所述第二用户邻域大于等于所述最小请求内容数量，则所述查询区域为人口稠密区域，否则，所述查询区域为人口稀疏区域；
[0032]
将所述查询区域分为n
×
n个单元格，若所述查询区域为所述人口稠密区域，则将每个单元格的位置按照当前请求次数进行降序排列，确定在排序列表中和用户查询位置编号最接近的k-1个位置，与所述用户查询位置采用k-匿名算法生成所述匿名区域；
[0033]
若所述查询区域为所述人口稀疏区域，则采用虚拟位置算法，将每个单元格的位置按照历史查询概率进行降序排列，确定在排序列表中和用户查询位置编号最接近的k-1个位置，采用所述k-匿名算法生成所述匿名区域。
[0034]
根据本发明提供的一种用户位置信息保护方法，所述接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发
至所述用户，包括：
[0035]
所述位置服务提供商接收所述加密查询请求，采用私钥对所述加密查询请求进行解密，通过所述证书签发机构验证所述假名，并接收所述证书签发机构发送的所述密钥；
[0036]
所述位置服务提供商依据所述匿名区域、查询请求内容和查询请求半径，获取服务数据库中的位置兴趣点信息，并采用所述密钥对称加密所述位置兴趣点信息，得到所述加密位置兴趣点信息；
[0037]
接收所述位置服务提供商发送的所述加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户。
[0038]
第二方面，本发明提供一种用户位置信息保护方法，包括：
[0039]
获取认证信息，向匿名服务器发送第一查询请求；
[0040]
待所述匿名服务器利用区域自适应匿名算法生成匿名区域，并向位置服务提供商发送根据所述匿名区域生成的加密查询请求后，所述匿名服务器接收所述位置服务提供商依据证书签发机构认证通过获取的加密位置兴趣点信息；
[0041]
接收所述匿名服务器从位置服务提供商转发的加密位置兴趣点信息，解密所述加密位置兴趣点信息，得到目标位置信息。
[0042]
根据本发明提供的一种用户位置信息保护方法，所述获取认证信息，向匿名服务器发送第一查询请求，包括：
[0043]
向所述位置服务提供商发送位置请求，并向所述证书签发机构进行注册，所述用户接收所述证书签发机构下发的包含证书期限的假名、证书和密钥；
[0044]
向所述匿名服务器发送基于位置映射表确定的所述第一查询请求。
[0045]
第三方面，本发明还提供一种用户位置信息保护系统，包括：
[0046]
接收模块，用于待用户获取认证信息，接收所述用户发送的第一查询请求；
[0047]
匿名模块，用于响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；
[0048]
转发模块，用于接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0049]
第四方面，本发明还提供一种用户位置信息保护系统，包括：
[0050]
发送模块，用于获取认证信息，向匿名服务器发送第一查询请求；
[0051]
获取模块，用于待所述匿名服务器利用区域自适应匿名算法生成匿名区域，并向位置服务提供商发送根据所述匿名区域生成的加密查询请求后，所述匿名服务器接收所述位置服务提供商依据证书签发机构认证通过获取的加密位置兴趣点信息；
[0052]
处理模块，用于接收所述匿名服务器从位置服务提供商转发的加密位置兴趣点信息，解密所述加密位置兴趣点信息，得到目标位置信息。
[0053]
第五方面，本发明还提供一种电子设备，包括存储器、处理器及存储在存储器上并可在处理器上运行的计算机程序，所述处理器执行所述程序时实现如上述任一种所述用户位置信息保护方法。
[0054]
第六方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现如上述任一种所述用户位置信息保护方法。
[0055]
第七方面，本发明还提供一种计算机程序产品，包括计算机程序，所述计算机程序被处理器执行时实现如上述任一种所述用户位置信息保护方法。
[0056]
本发明提供的用户位置信息保护方法及系统，通过对用户个人数据和位置数据进行解耦，在抵御推断攻击时提高了安全性，降低了通信开销和用户终端的计算开销，且有效实现用户位置隐私和服务质量之间的平衡。
附图说明
[0057]
为了更清楚地说明本发明或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作一简单地介绍，显而易见地，下面描述中的附图是本发明的一些实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据这些附图获得其他的附图。
[0058]
图1是本发明提供的部署多匿名器的ttp架构图；
[0059]
图2是本发明提供的用户位置信息保护方法的流程示意图之一；
[0060]
图3是本发明提供的用户位置信息保护方法的原理图；
[0061]
图4是本发明提供的用户位置信息保护方法的流程示意图之二；
[0062]
图5是本发明提供的用户位置信息保护系统的结构示意图之一；
[0063]
图6是本发明提供的用户位置信息保护系统的结构示意图之二；
[0064]
图7是本发明提供的电子设备的结构示意图。
具体实施方式
[0065]
为使本发明的目的、技术方案和优点更加清楚，下面将结合本发明中的附图，对本发明中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本发明一部分实施例，而不是全部的实施例。基于本发明中的实施例，本领域普通技术人员在没有作出创造性劳动前提下所获得的所有其他实施例，都属于本发明保护的范围。
[0066]
针对现有技术中用户位置信息保护存在诸多不足，本发明提出一种新的面向移动社交网络的用户位置信息保护方法，该方法基于部署的多匿名器的ttp架构实现，如图1所示，该架构主要包括四个实体：用户user、证书签发机构(certificate authority，ca)、匿名服务器群(multiple anonymizers，mas)和位置服务提供商lsp，其中，匿名服务器mas位于用户user和位置服务提供商lsp之间，共有n个匿名器。通过采用该架构，解决了单点故障造成的性能瓶颈，提高了信息传递性能。
[0067]
用户user：用户可以是具有无线通信、计算和存储能力的操作设备，但更重要的是具有定位功能；用户执行各种功能，例如位置预测、虚拟位置的选择、缓存和查询结果的细化。
[0068]
证书签发机构ca：该实体是完全可信的，它的主要功能是注册不同的用户和lsp；在本发明的模型中，ca还可以向用户颁发假名和相应的证书、密钥。
[0069]
匿名服务器群mas：mas是半可信的实体，可以部署在网络的中间节点上；mas的主要功能是在用户和lsp之间转发查询请求和结果，mas可以执行匿名化以混淆用户的确切位置；在本发明的模型中，mas还可以进行计算、本地缓存、生成随机数等功能。
[0070]
位置服务提供商lsp：lsp是在线位置服务解决方案提供商，如twitter、
foursquare或google maps，运营一些具有位置服务相关资源本发明的模型中，lsp被认为是一个诚实但好奇的实体，它也可能泄露敏感的用户信息。
[0071]
综上所述，在此模型中，证书签发机构ca和用户user被认为是完全可信的实体；此外，假设ca和user之间以及ca和lsp之间的两个通信信道是安全的，并且mas不能与lsp共谋；同时，可以使用现有的安全认证技术，如双因素身份认证和多因素身份认证，以确保用户和lsp在ca进行身份验证。
[0072]
图2是本发明提供的用户位置信息保护方法的流程示意图之一，对应的执行主体为匿名服务器mas，如图2所示，包括：
[0073]
步骤101，待用户获取认证信息，接收所述用户发送的第一查询请求；
[0074]
步骤102，响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；
[0075]
步骤103，接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0076]
具体地，当用户接入网络，通过注册及认证后获得对应的认证信息，匿名服务器接收用户发起的第一次查询请求，根据第一次查询请求，匿名服务器将根据区域自适应匿名算法计算出相应的匿名区域，在匿名区域基础上增加用户的其它信息生成加密查询请求，并向位置服务提供商发送加密查询请求，位置服务提供商解密该加密查询请求，并通过证书签发机构对用户信息的有效性进行验证，位置服务提供商根据验证通过的信息，对于服务数据库中的位置兴趣点进行对称加密，得到加密位置兴趣点信息后，发送给匿名服务器，由匿名服务器转发给用户，由用户根据自己位置选择自己需要的位置兴趣点，即得到目标位置信息。
[0077]
本发明采用基于集中架构的分布传输以及分阶段的加密通信模式，结合区域自适应匿名方案，解决了传统方案中的通信开销大、用户设备的计算开销大、用户个人数据和位置数据信息关联度高等问题。
[0078]
基于上述实施例，步骤101包括：
[0079]
所述用户向所述位置服务提供商发送位置请求，并向所述证书签发机构进行注册，所述用户接收所述证书签发机构下发的包含证书期限的假名、证书和密钥；
[0080]
接收所述用户基于位置映射表发送的所述第一查询请求。
[0081]
其中，所述接收所述用户基于位置映射表发送的所述第一查询请求，包括：
[0082]
获取任一用户位置坐标值，计算所述任一用户位置坐标值的散列值，并对匿名服务器数量进行模操作，获得任一匿名服务器序列号；
[0083]
基于所述任一匿名服务器序列号和所述任一用户位置坐标值，构建所述位置映射表；
[0084]
所述用户根据所述位置映射表确定接收匿名服务器，所述接收匿名服务器接收所述用户发送的所述假名、所述证书、所述证书期限、查询请求内容、查询半径和匿名级别。
[0085]
具体地，当用户user首次使用单点lbs服务时，该用户必须在证书签发机构ca注册。注册后的用户可以获得假名和相应的证书，以及自己的密钥，并可根据需要多次向ca申请和更新假名和密钥，这里的多次申请是指如果超过证书的有效期是可以再次进行申请。
[0086]
如果用户在第j次，即任一次向ca申请或更新假名，ca将向用户发布假名和相应的证书证书期限是t，同时向user分配密钥此处的假名、证书和密钥均在时间t内有效，且规定假名在时间t内唯一，不会存在同名现象。
[0087]
进一步地，通过构造位置映射表，使不同位置的查询请求映射到不同的匿名服务器上。假设有n个匿名服务器a1,a2,...,an，通过计算位置坐标(x y)的散列值，对n进行模操作，获得匿名服务器的序列号l(l＝1,2,...,n)，则位置(x y)发出的查询请求被映射到对应的匿名服务器a
l
。
[0088]al
＝hash(x y)mod n,(1≤l≤n)
[0089]
为了确保安全性，本发明将用户信息和位置信息分别发送给匿名服务器a
l
，用户user首先向匿名服务器发送不包含位置的查询请求，即第一查询请求，记为
[0090][0091]
其中，q是用户的查询请求内容，r是查询半径，k是用户自定义的匿名级别。
[0092]
本发明将传统的位置三元组{identity,location,timestamp}拆分开来，分两次发送identity和location，打破了用户信息和位置之间的关联，有效抵御了推断攻击。
[0093]
基于上述任一实施例，步骤102包括：
[0094]
接收所述第一查询需求，若判断在所述证书期限内与所述用户存在相同的假名，则向所述用户发送第一标记，基于所述区域自适应匿名算法生成所述匿名区域；
[0095]
否则，缓存所述第一查询需求，向所述用户发送第二标记，接收所述用户发送的第二查询需求，其中所述第二查询需求包括所述第二标记和用户查询位置，将所述用户查询位置、所述假名和所述证书期限关联后进行缓存；
[0096]
综合所述假名、所述证书、所述证书期限、所述查询请求内容、所述查询半径和所述匿名区域，得到综合查询请求，采用所述位置服务提供商的公钥对所述综合查询请求进行加密，获得加密查询请求。
[0097]
其中，所述基于所述区域自适应匿名算法生成所述匿名区域，包括：
[0098]
接收所述用户发送的携带所述用户查询位置的所述第一查询需求；
[0099]
基于所述用户查询位置和所述查询半径生成查询区域；
[0100]
依据历史统计经验获得所述查询区域的最小用户数和最小请求内容数量；
[0101]
分别确定与所述用户的距离小于等于所述查询半径的所有用户为所述用户的第一用户邻域，以及与所述用户的距离大于所述查询半径的所有用户为所述用户的第二用户邻域；
[0102]
若判断所述第一用户邻域大于等于所述最小用户数，且所述第二用户邻域大于等于所述最小请求内容数量，则所述查询区域为人口稠密区域，否则，所述查询区域为人口稀疏区域；
[0103]
将所述查询区域分为n
×
n个单元格，若所述查询区域为所述人口稠密区域，则将每个单元格的位置按照当前请求次数进行降序排列，确定在排序列表中和用户查询位置编号最接近的k-1个位置，与所述用户查询位置采用k-匿名算法生成所述匿名区域；
[0104]
若所述查询区域为所述人口稀疏区域，则采用虚拟位置算法，将每个单元格的位置按照历史查询概率进行降序排列，确定在排序列表中和用户查询位置编号最接近的k-1
个位置，采用所述k-匿名算法生成所述匿名区域。
[0105]
具体地，如图3所示，当匿名服务器a
l
收到用户user的查询请求后，从本地缓存列表中寻找，在t内是否有假名为的用户发起过请求，若有，则向用户发送第一标记，一般设为1，同时，将用户在有效期内的查询位置按照用户要求的r，k，生成匿名区域region；若无，则将信息缓存到本地，并向用户发送第二标记，通常为随机数m(m≠1)，用户收到m后发送第二次查询信息
[0106][0107]
匿名服务器a
l
收到后，将用户的查询位置location与假名证书期限t关联，缓存在本地。
[0108]
匿名服务器a
l
根据用户请求的location和r，k生成匿名区域region，并将region与其他用户信息相结合，形成一个新的查询请求，用lsp的公钥pks进行加密；然后，将加密查询请求消息msg
a2s
被发送给lsp。
[0109][0110]
需要说明的是，匿名服务器生成匿名区域region采用基于用户距离和请求内容的区域自适应匿名方案：
[0111]
首先，匿名服务器收到用户ui发送的查询请求信息
[0112]
匿名服务器根据用户ui发送的位置location和查询半径r，生成区域re g，ui∈re g；
[0113]
匿名服务器基于历史经验得到区域re g的最小用户数量minu和最小请求内容数量minc；
[0114]
匿名器计算得到用户ui的r邻域(第一邻域)和θ邻域(第二邻域)，re g中满足到ui距离不大于r的所有用户称为ui的r邻域，用nr(ui)表示，即：
[0115]
nr(ui)＝{uj∈re g|dist(ui,uj)≤r}
[0116]
re g满足请求内容与ui不同这一条件的所有用户称为ui的θ邻域，用n
θ
(ui)表示，即：
[0117]nθ
(ui)＝{uj∈re g|boolean(ui,uj)＝false}
[0118]
其中，boolean()是一个布尔值，它表示用户的请求内容是否相同。
[0119]
匿名服务器进一步判断re g是人口稀疏区域还是人口稠密区域，若re g同时满足条件|nr(ui)|≥minu与|n
θ
(ui)|≥minc，则re g是人口稠密区域；否则，判定re g为人口稀疏区域；
[0120]
将re g分成n
×
n个单元格，若re g是人口稠密区域，则将re g内每个单元格的位置按照当前被请求的次数进行降序排序，选择在排序列表里和用户的查询位置编号最接近的k-1个位置，和用户的查询位置一起生成匿名区域，实现k-匿名；若re g是人口稀疏区域，则采取经典的虚拟位置算法，将re g内每个单元格的位置按照历史查询概率进行降序排序，选择在排序列表里和用户的查询位置编号最接近的k-1个虚拟位置，实现k-匿名。
[0121]
此处，采用的k-匿名技术最初是由p.samarati和l.seweney于1998年在数据库系统原理会议(symposium on principles of database systems，pods)上提出的。它主要用
在关系数据库中，用匿名方式处理需要在数据库中发布的私有数据。它需要一定数量(至少k个)的记录，并且这些记录在已发布数据中的准标识符上是无法区分的。攻击者无法识别私人信息所属的特定个人，从而保护个人隐私，而k-匿名指定用户可通过参数k承担的最大信息泄露风险。2002年，l.seweney提出了k-匿名隐私保护模型。2003年，marco gruteser最早将k-匿名方法应用到lbs隐私保护中，提出位置k-匿名模型。其原理是通过生成一个存在至少有k个用户的匿名区域(cloaking region，cr)，将该匿名区域作为用户的真实位置，当用户提交查询请求时直接将匿名区域发送给lbs服务提供商。服务提供商以这种方式识别出特定用户的概率不大于1/k。由于k-匿名方法的思想具有较高的安全性，因此，目前许多位置隐私保护方案都是基于该方法。
[0122]
本发明通过基于用户距离和请求内容划分人口稠密区域和人口稀疏区域，对不同区域采取不同匿名方案，通过对不同区域采取不同匿名方案，实现在有效匿名、保护用户隐私的同时，减少用户获得的服务质量的损耗更好地实现了用户位置隐私和服务质量之间的平衡，克服了传统方案中的代价过大，需要牺牲一定lbs适用性，导致lbs服务难以达到用户满意效果的缺陷。
[0123]
基于上述任一实施例，步骤103包括：
[0124]
所述位置服务提供商接收所述加密查询请求，采用私钥对所述加密查询请求进行解密，通过所述证书签发机构验证所述假名，并接收所述证书签发机构发送的所述密钥；
[0125]
所述位置服务提供商依据所述匿名区域、查询请求内容和查询请求半径，获取服务数据库中的位置兴趣点信息，并采用所述密钥对称加密所述位置兴趣点信息，得到所述加密位置兴趣点信息；
[0126]
接收所述位置服务提供商发送的所述加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户。
[0127]
具体地，如图3所示，在接收到查询请求消息msg
a2s
后，lsp使用自己的私钥sks进行解密，并通过ca验证用户假名的有效性，若有效，则ca向lsp发送用户密钥
[0128]
lsp根据匿名区域region，请求内容q和查询半径r，查询服务数据库中的pois，然后使用用户密钥对称加密这些pois，得到然后，lsp将结果发送给匿名服务器a
l
；
[0129]
匿名服务器a
l
收到消息将该消息转发给用户user，用户user收到消息采用自己的密钥解密，即得到自己需要的pois。
[0130]
本发明为了降低通信开销和计算开销，在用户发送查询请求阶段没有采取加密方法，所提出的移动社交网络场景下的位置隐私保护方案，通过动态假名技术，增强了用户信息的安全性；通过分开发送identity和location，避免了同时发送{identity,location,timestamp}时的必要加密手段的使用；通过由ca分配密钥给lsp，避免了用户密钥通过信道传输，降低了信道被监听时用户隐私泄露的风险，大幅降低了旧有方案的通信开销和计算开销。
[0131]
图4是本发明提供的用户位置信息保护方法的流程示意图之二，对应的执行主体为用户，如图4所示，包括：
[0132]
步骤201，获取认证信息，向匿名服务器发送第一查询请求；
[0133]
步骤202，待所述匿名服务器利用区域自适应匿名算法生成匿名区域，并向位置服务提供商发送根据所述匿名区域生成的加密查询请求后，所述匿名服务器接收所述位置服务提供商依据证书签发机构认证通过获取的加密位置兴趣点信息；
[0134]
步骤203，接收所述匿名服务器从位置服务提供商转发的加密位置兴趣点信息，解密所述加密位置兴趣点信息，得到目标位置信息。
[0135]
具体地，当用户接入网络，通过注册及认证后获得对应的认证信息，匿名服务器接收用户发起的第一次查询请求，根据第一次查询请求，匿名服务器将根据区域自适应匿名算法计算出相应的匿名区域，在匿名区域基础上增加用户的其它信息生成加密查询请求，并向位置服务提供商发送加密查询请求，位置服务提供商解密该加密查询请求，并通过证书签发机构对用户信息的有效性进行验证，位置服务提供商根据验证通过的信息，对于服务数据库中的位置兴趣点进行对称加密，得到加密位置兴趣点信息后，发送给匿名服务器，由匿名服务器转发给用户，由用户根据自己位置选择自己需要的位置兴趣点，即得到目标位置信息。
[0136]
本发明采用基于集中架构的分布传输以及分阶段的加密通信模式，结合区域自适应匿名方案，解决了传统方案中的通信开销大、用户设备的计算开销大、用户个人数据和位置数据信息关联度高等问题。
[0137]
基于上述任一实施例，步骤201包括：
[0138]
向所述位置服务提供商发送位置请求，并向所述证书签发机构进行注册，所述用户接收所述证书签发机构下发的包含证书期限的假名、证书和密钥。
[0139]
向所述匿名服务器发送基于位置映射表确定的所述第一查询请求。
[0140]
具体地，当用户user首次使用单点lbs服务时，该用户必须在证书签发机构ca注册。注册后的用户可以获得假名和相应的证书，以及自己的密钥，并可根据需要多次向ca申请和更新假名和密钥，这里的多次申请是指如果超过证书的有效期是可以再次进行申请。
[0141]
如果用户在第j次，即任一次向ca申请或更新假名，ca将向用户发布假名和相应的证书证书期限是t，同时向user分配密钥此处的假名、证书和密钥均在时间t内有效，且规定假名在时间t内唯一，不会存在同名现象。
[0142]
进一步地，通过构造位置映射表，使不同位置的查询请求映射到不同的匿名服务器上。假设有n个匿名服务器a1,a2,...,an，通过计算位置坐标(x y)的散列值，对n进行模操作，获得匿名服务器的序列号l(l＝1,2,...,n)，则位置(x y)发出的查询请求被映射到对应的匿名服务器a
l
。
[0143]al
＝hash(x y)mod n,(1≤l≤n)
[0144]
为了确保安全性，本发明将用户信息和位置信息分别发送给匿名服务器a
l
，用户user首先向匿名服务器发送不包含位置的查询请求，即第一查询请求，记为
[0145][0146]
其中，q是用户的查询请求内容，r是查询半径，k是用户自定义的匿名级别。
[0147]
本发明将传统的位置三元组{identity,location,timestamp}拆分开来，分两次发送identity和location，打破了用户信息和位置之间的关联，有效抵御了推断攻击。
[0148]
下面对本发明提供的用户位置信息保护系统进行描述，下文描述的用户位置信息保护系统与上文描述的用户位置信息保护方法可相互对应参照。
[0149]
图5是本发明提供的用户位置信息保护系统的结构示意图之一，如图5所示，包括：接收模块51、匿名模块52和转发模块53，其中：
[0150]
接收模块51用于待用户获取认证信息，接收所述用户发送的第一查询请求；
[0151]
匿名模块52用于响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；
[0152]
转发模块53用于接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0153]
本发明通过对用户个人数据和位置数据进行解耦，在抵御推断攻击时提高了安全性，降低了通信开销和用户终端的计算开销，且有效实现用户位置隐私和服务质量之间的平衡。
[0154]
图6是本发明提供的用户位置信息保护系统的结构示意图之二，如图6所示，包括：发送模块61、获取模块62和处理模块63，其中：
[0155]
发送模块61用于获取认证信息，向匿名服务器发送第一查询请求；
[0156]
获取模块62用于待所述匿名服务器利用区域自适应匿名算法生成匿名区域，并向位置服务提供商发送根据所述匿名区域生成的加密查询请求后，所述匿名服务器接收所述位置服务提供商依据证书签发机构认证通过获取的加密位置兴趣点信息；
[0157]
处理模块63用于接收所述匿名服务器从位置服务提供商转发的加密位置兴趣点信息，解密所述加密位置兴趣点信息，得到目标位置信息。
[0158]
本发明通过对用户个人数据和位置数据进行解耦，在抵御推断攻击时提高了安全性，降低了通信开销和用户终端的计算开销，且有效实现用户位置隐私和服务质量之间的平衡。
[0159]
图7示例了一种电子设备的实体结构示意图，如图7所示，该电子设备可以包括：处理器(processor)710、通信接口(communications interface)720、存储器(memory)730和通信总线740，其中，处理器710，通信接口720，存储器730通过通信总线740完成相互间的通信。处理器710可以调用存储器730中的逻辑指令，以执行用户位置信息保护方法，该方法包括：待用户获取认证信息，接收所述用户发送的第一查询请求；响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0160]
此外，上述的存储器730中的逻辑指令可以通过软件功能单元的形式实现并作为独立的产品销售或使用时，可以存储在一个计算机可读取存储介质中。基于这样的理解，本发明的技术方案本质上或者说对现有技术做出贡献的部分或者该技术方案的部分可以以软件产品的形式体现出来，该计算机软件产品存储在一个存储介质中，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本发明各个实施例所述方法的全部或部分步骤。而前述的存储介质包括：u盘、移动硬盘、只读存储器(rom，
read-only memory)、随机存取存储器(ram，random access memory)、磁碟或者光盘等各种可以存储程序代码的介质。
[0161]
另一方面，本发明还提供一种计算机程序产品，所述计算机程序产品包括计算机程序，计算机程序可存储在非暂态计算机可读存储介质上，所述计算机程序被处理器执行时，计算机能够执行上述各方法所提供的用户位置信息保护方法，该方法包括：待用户获取认证信息，接收所述用户发送的第一查询请求；响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0162]
又一方面，本发明还提供一种非暂态计算机可读存储介质，其上存储有计算机程序，该计算机程序被处理器执行时实现以执行上述各方法提供的用户位置信息保护方法，该方法包括：待用户获取认证信息，接收所述用户发送的第一查询请求；响应所述第一查询请求，利用区域自适应匿名算法确定匿名区域，向位置服务提供商发送根据所述匿名区域生成的加密查询请求；接收所述位置服务提供商依据证书签发机构认证通过所获取的加密位置兴趣点信息，将所述加密位置兴趣点信息转发至所述用户，以供所述用户对所述加密位置兴趣点信息，获取目标位置信息。
[0163]
以上所描述的装置实施例仅仅是示意性的，其中所述作为分离部件说明的单元可以是或者也可以不是物理上分开的，作为单元显示的部件可以是或者也可以不是物理单元，即可以位于一个地方，或者也可以分布到多个网络单元上。可以根据实际的需要选择其中的部分或者全部模块来实现本实施例方案的目的。本领域普通技术人员在不付出创造性的劳动的情况下，即可以理解并实施。
[0164]
通过以上的实施方式的描述，本领域的技术人员可以清楚地了解到各实施方式可借助软件加必需的通用硬件平台的方式来实现，当然也可以通过硬件。基于这样的理解，上述技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在计算机可读存储介质中，如rom/ram、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行各个实施例或者实施例的某些部分所述的方法。
[0165]
最后应说明的是：以上实施例仅用以说明本发明的技术方案，而非对其限制；尽管参照前述实施例对本发明进行了详细的说明，本领域的普通技术人员应当理解：其依然可以对前述各实施例所记载的技术方案进行修改，或者对其中部分技术特征进行等同替换；而这些修改或者替换，并不使相应技术方案的本质脱离本发明各实施例技术方案的精神和范围。