[发明专利]一种抵抗分布相关性攻击的位置服务隐私保护方法

说明书

本发明公开一种抵抗分布相关性攻击的位置服务隐私保护方法，预先设置隐私预算ε和相关性阈值c，查询时根据真实位置p、ε和c利用拉普拉斯机制产生一个噪声位置p'；当有历史噪声位置落入以p为中心半径为p至p'欧式距离的圆内时，采用零成本预测法从圆内噪声位置集Psubgt;in/subgt;supgt;*/supgt;中选出一预测点向位置服务器请求服务；否则，计算p点与P集合点所有点的位置相关性，在位置相关性最大值小于预设相关性阈值c时以噪声位置p'向位置服务器请求服务；当最大值不小于预设相关性阈值c时采用零成本预测法从Psupgt;*/supgt;中选出一预测点向位置服务器请求服务。本发明有效降低连续查询的风险累积，确保用户的每个查询位置的累积分布相关性隐私累积存在上限。

技术领域

本发明涉及基于位置的服务(Location-based Services，LBS)领域，尤其涉及一种抵抗分布相关性攻击的位置服务隐私保护方法。

背景技术

近几年来，随着具有定位功能的智能终端和无线通信的日益普及，各种基于位置的信息服务正迅猛发展，现已覆盖人们生活的方方面面，如导航、兴趣点推荐、签到、网络社交等等。在位置服务中，用户往往需要向服务提供商提交自身精确的位置才能获得服务。然而，不可信的服务提供商有可能因内部攻击或者出于商业目的而泄露用户的位置信息，攻击者再利用数据挖掘技术从中获取用户各种敏感信息，如家庭住址、出行目的、行为习惯、消费水平、健康状况和社交关系等。因此，现有的位置服务系统存在较为严重的隐私泄露风险。而且，由于位置信息与客观世界存在时空关联，位置信息的泄露甚至有可能导致人们的生命财产受到危害。

差分隐私是目前位置隐私保护的一种主流技术。它克服了传统k-匿名等模型普遍存在“依赖于攻击者背景知识而导致其安全性无法严格证明”的缺点，对攻击者背景知识不做任何假设，其定义是建立在严格数学统计模型上，并可通过调整隐私参数来控制隐私保护水平。而位置差分技术是利用极坐标系下的拉普拉斯扰动机制产生随机的假位置点(简称噪音点)，并用于替代用户的真实位置向服务器请求位置服务。由于拉普拉斯扰动的随机性，真实位置与周边位置(半径r的圆，r可调整)产生同一个噪音点的概率是相同(即地理不可区分)，因此从攻击者角度看，用户位置被保护在半径为r的圆中。然而，现有的位置差分隐私保护技术往往仅适用于零星查询的场景，在连续查询场景中，用户轨迹仍然存在受相关性攻击的隐患，其中包括分布相关性攻击。虽然噪音点是随机产生，攻击者无法依据单个噪音点推测出用户的真实位置。但由于这些噪音点都服从同一个分布概率，如果用户在静止的状态下连续多次请求位置服务，则每次产生的噪音点将围绕着真实位置，从而形成了一个圆圈，从而暴露出用户的真实位置。如图1所示，其中‘*’为用户的真实位置，‘.’为每次查询产生的拉普拉斯扰动位置。在实际应用场景中，当两个真实位置比较靠近时，其发布的噪音位置的分布也具有一定的重叠，因此也会给对方隐私泄露风险带来累积。

发明内容

本发明的目的在于提供一种抵抗分布相关性攻击的位置服务隐私保护方法,解决连续查询中由于分布相关性带来的隐私泄露问题。

本发明采用的技术方案是：

一种抵抗分布相关性攻击的位置服务隐私保护方法，通过以下步骤实现：

(1)离线初始化阶段

步骤S0：移动终端初始化两个隐私参数和两个历史位置集，即隐私预算为ε和分布相关性阈值为c，设置历史发布位置集历史真实位置集其中，P^*表示已发布的噪声位置集合；而P表示历史查询的真实位置集合；

(2)在线查询阶段

步骤S1：根据真实位置p、ε和c，利用极坐标系下的拉普拉斯机制产生一个噪声位置p'。