[发明专利]一种基于双K机制的轨迹隐私保护方法

说明书

本发明公开了一种基于双K机制的轨迹隐私保护方法，通过在用户和位置服务提供商之间部署多个匿名器，采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。该方法中匿名器可以不完全可信，攻击者从单个匿名器不能获得用户的轨迹，加强了对用户轨迹的隐私保护，同时也解决了TTP结构中的单点失效风险和性能瓶颈问题。

技术领域

本发明涉及计算机科学与技术领域，特别涉及一种基于双K机制的轨迹隐私保护方法。

背景技术

近年来，随着无线通信技术、移动互联网络和定位技术的迅速发展，基于位置服务(Location Based Service,LBS)在日常生活中已日益受到人们的广泛关注。通过智能手机或掌上电脑，用户可以从应用商店下载基于位置服务的软件，如Twitter、Gowalla和Foursquare 等。通过使用这些LBS应用软件发送查询到LBS服务器，可以获得用户需要的兴趣点(Points of Interests,POIs)，如交通导航信息、基于位置的广告、最近的餐厅提供用户最喜欢的菜肴等。然而，用户在享受LBS带来极大生活便利和娱乐的同时，他们需要将这些查询请求提交给不可信的位置服务提供商(Location Service Provider,LSP)。在连续的LBS查询中，LSP根据收集的用户查询数据，可以直接追踪到用户或推断出一些敏感的用户个人信息，如日常行为、家庭地址和社会关系等，这将严重导致用户个人隐私的泄露。因此，LBS中的隐私保护问题已越来越突出，并迫切需要解决。

为解决LBS中的用户隐私问题，学者们已提出了一些位置隐私保护方法，它们主要采用基于可信第三方(Fully-Trusted Third Party,TTP)的结构。在该结构中，TTP(也称为匿名器) 作为用户和LSP之间的中间体，其主要功能是将用户精确位置模糊成一个满足K匿名包括K 个用户的匿名域。在匿名域发送给LSP查询时，使LSP不能从K个用户识别出特定的用户。如图1所示为基于TTP的结构图。用户首先将查询请求发送给匿名器形成匿名域，然后将匿名域发送给LSP查询获得候选结果集，最后候选结果集经匿名器求精后，再将精确结果返回给用户。但该结构存在三个问题：(a)匿名器知道所有用户的精确位置等信息，如果它被攻击者攻破，将会严重泄露用户的敏感信息。(b)匿名器作为用户与LSP之间的中间体，承担着繁重的计算和通信任务，容易成为该结构中的性能瓶颈，并存在着单点失效的风险。(c)现实中也很难找到一个完全可信的第三方实体。

同时，在连续的LBS查询过程中，仅在匿名器使用K匿名技术很难保证用户的隐私。比如在以下情况就很容易暴露用户的轨迹：(1)如果攻击者连接这些匿名域，将会暴露用户的大致轨迹。(2)如果攻击者将不同查询点形成的匿名域进行对比，也能识别出真正的用户。如图2所示为连续查询过程中的匿名域攻击。图中带箭头的粗线为用户轨迹，轨迹上的五角星表示不同时刻的查询点，圆圈表示真实查询用户周围的其它用户。用户发出连续的LBS查询时，他将t₁、t₂、t₃和t₄时刻的每个查询点都模糊成满足K＝5的匿名。然而攻击者可根据匿名域顺序重建用户的轨迹。因此，连续查询过程中K匿名很难保证用户的轨迹隐私。

发明内容

针对用户连续查询过程中基于TTP结构的K匿名技术很难保证用户轨迹隐私的问题，为加强用户轨迹在匿名器和LSP中的隐私保护，本发明提出一种基于双K机制(Dual KMechanism,DKM)的轨迹隐私保护方法。该方法通过在用户和LSP之间部署多个匿名器，采用K位置选择机制和基于多匿名器的K匿名技术来保护用户的轨迹隐私。

一种基于双K机制的轨迹隐私保护方法，包括以下步骤：

步骤1：以用户当前所在位置和查询真实位置，基于轨迹模式的混合预测模型构建g个查询预测位置，以查询预测位置为基础选取K-g-1个查询假位置，以查询真实位置、查询预测位置和查询假位置组建成K个查询位置；