[发明专利]基于位置语义K-匿名的LBS隐私保护方法

说明书

技术领域

本发明涉及一种基于位置语义K-匿名的LBS隐私保护方法。

背景技术

随着移动通讯技术、定位技术、地理信息等技术的发展和互相融合，基于位置的服务(Location-Based Service：LBS)近年来获得飞速发展。其以普适场景感知、智能信息处理为特征，在智能交通、环境监测、物联网等领域迅速得到应用，并为这些行业带来巨大的经济效益。然而，随着LBS的深入发展和广泛应用，隐私保护也成为LBS进一步发展亟待解决的关键问题。根据LBS普适场景感知和智能信息处理的特征，LBS中的隐私主要分为标识隐私(Who)、位置隐私(Where)和查询隐私(What)，通常前者与后两者结合产生的位置标识隐私和查询标识隐私更具有敏感性。

早期的LBS隐私保护技术主要采用去除标识、使用假名标识或者标识与内容相分离的方法，消除标识隐私和割裂位置隐私、查询隐私与标识的关联。但是，由于在实际应用中，LBS查询中的位置信息可以充当准标识的角色，攻击者通过使用反向地理编码服务，可以实现对用户隐私的重标识攻击，例如，如果提出服务查询时的位置匹配到一个私人别墅，则可以很大概率的认为查询是由该别墅的主人或其家人在特定时间提出的。

为此，借鉴数据库技术领域一种针对微数据(Microdata)发布应用中的标识隐私保护方法：K-匿名，在学术界与工业界提出了针对LBS隐私保护的时空K-匿名方法。该方法的基本原理是：用户不再直接将包含其真实标识、精确时空信息的服务查询请求提交给提供位置服务的应用服务器(例如，百度地图、搜狗地图、腾讯地图、谷歌地图等)，而是交由可信的第三方(或者用户自己)，将上述服务查询请求信息先转换为一个模糊化的数据集。应用服务器基于模糊化的数据集进行相关计算，并将计算结果返回给第三方，由第三方进行过滤相关信息后将最终精确的结果返回给用户(或者将计算结果直接返回给用户，由用户自己进行相关的过滤计算)，具体过程如图1所示。

模糊化的数据集通常包括：系列用户假名标识、泛化的空间区域。具体的实现方法可以采用时空邻近搜索的方式，例如：假名标识集合包括查询者假名标识 以及时空临近的其他至少K-1个对象的假名标识，泛化的空间区域由这至少K个对象的位置信息联合生成。

时空K-匿名方法通过使用假名标识集合，使得攻击者既不能对用户的真实身份进行识别，又无法确定哪一个假名标识是服务查询的提出者，从而实现了对LBS用户的标识隐私以及查询标识隐私的保护。而泛化的空间区域降低了空间分辨率，还一定程度实现了对位置隐私的保护。此后在学术界与工业界还提出了针对LBS的快照查询、连续查询的一系列的时空K-匿名的变体方法，但这些方法存在的共性问题是：在对空间区域进行泛化过程中，只考虑到位置的空间特性，没有对位置的语义信息进行分析，这会使得用户的位置语义隐私具有暴露的风险。攻击者通过对时空K-匿名数据中包含位置的分析，可以实现位置语义的同质性攻击。例如：如果模糊化的空间区域包含的所有位置具有相同的敏感语义(精神病医院、红灯区、军事禁区等)，攻击者即可做出所有匿名用户都处于位置语义敏感区域的推断。

因此，在时空K-匿名计算的过程中应增加对糊化的空间区域包含位置语义多样性的限定，从而实现LBS的位置语义隐私、位置隐私、标识隐私、查询隐私的同时保护，如图2所示。

位置语义的获取可以通过开放的反向地理编码，兴趣点(POI)检索等服务获取，但是这种方式获取的位置语义通常与用户移动轨迹数据的关系不够密切。相比而言，通过对用户移动轨迹数据分析，得到的位置语义更为准确地反映用户的行为模式。例如：在具有秀丽风景的湖边，或者著名的地标建筑周围，人们通常会有较长时间的停留、徘徊，因此移动轨迹的数量多也相对较多；在一些大型的购物商场，由于不能获得卫星导航信号，移动轨迹只存在于商场的进出口处，在地图上表现为移动轨迹跨越了商场分布的空间区域；使用车载导航系统的用户在路径导航过程中留下的移动轨迹，由于主要分布于道路网络上，因此轨迹数据通常具有时间间隔短、空间跨度大的特点。

此外，传统的针对用户移动轨迹数据的分析方法，主要采用以整体轨迹或分段轨迹为单元的聚类方式，这种方法不能与时空K-匿名方法采用空间划分的方式进行有效的融合。

发明内容

为此，本发明提出了一种基于位置语义K-匿名的LBS隐私保护方法，通过分析空间划分网格与用户移动轨迹历史数据的时空关系获取位置语义，并基于网格的位置语义生成匿名数据集，可以实现位置语义隐私、位置隐私、标识隐私、查询隐私的同时保护。

本发明为解决其技术问题采用如下技术方案：