[发明专利]基于位置服务的用户隐私保护、目标查询方法及系统

说明书

本发明涉及位置服务的用户隐私保护、目标查询方法及服务系统，在用户请求LBS服务前，首先根据用户端位置构造K‑匿名区域，然后利用K‑匿名区域与密钥空间管理中心建立的密钥空间匹配，针对不同用户端所在的地理位置能够分配到不同密钥分区所属的秘密参数，结合双方交换的随机参量能够生成每个用户端专属密钥，利用专属密钥对包括用户位置信息、查询对象等服务请求业务在内的敏感数据加密，保障数据安全，用户终端不直接将身份信息和位置信息发送给位置服务器，而是先将加密的位置信息通过密钥空间管理中心解密、洗牌后再回传给身份认证中心，最终由身份认证中心将处理后的数据提供给位置服务器，隔离身份信息与位置信息之间的连接关系。

技术领域

本发明涉及位置服务隐私保护技术，具体涉及位置服务用户隐私保护、目标查询方法及位置服务系统。

背景技术

随着移动通信、全球定位系统GPS及无线射频识别等无线网络的快速发展，基于位置服务(LBS，Location Based Services)应运而生，智能终端的普及更加促进了LBS应用的发展。LBS与用户提出请求的位置相关，人们利用各种LBS服务查询附近的感兴趣目标(如商场、加油站、公共医疗行政及交通等场所)，更有不少移动社交网络应用将用户分享自己的位置信息作为其提供的主要服务之一。为了获得优质的位置服务，同时提出查询请求。位置信息及查询信息作为重要的个人隐私，用户需实时地将自己的位置信息提交给服务器，但这些轨迹数据往往含有丰富的时空信息，针对轨迹数据的推理攻击不仅能够获得用户在什么时间去过什么位置，还可分析出目标用户的家庭住址工作地点等敏感位置信息，甚至可推测出用户的生活习惯健康状态宗教信仰等隐私信息。

目前关于LBS隐私保护领域已有不少研究成果，从不同角度出发提高隐私保护强度与服务质量，针对保护对象的不同主要分为：基于动态假名的方法、基于假位置的方法和基于模糊区域的方法。基于假名的轨迹隐私保护方法是用户在发送基于位置的服务请求时以假名来代替用户的真实身份，最著名的假名技术来自于Beresford和Stajano提出的Mix-Zone，但是Mix-Zone的范围不能大于用户一次位置更新间隔所能覆盖的范围，否则匿名失败，而且其限制用户在Mix-Zone内不能使用LBS服务。

基于假位置的保护技术是用户发送给服务器不同于用户位置的虚假位置信息，或是其它对象的位置信息，如某个路标或重要建筑物的位置信息，此方法保护了用户位置隐私，如SpaceTwist针对kNN查询提出的一套位置隐私保护及查询的方案，该方案的隐私保护效果与选取的锚点位置附近用户的分布有很大关系，如果攻击者分析了用户查询内容，易将用户位置限定于某个范围内，如果此范围只有一个用户发起查询，则用户位置信息暴露。另外，此类方法对攻击者的背景知识假设较为保守，当攻击者获得了从用户的日常行为中提取的背景知识时，即使用户生成的噪声轨迹无法模拟出真实用户的移动轨迹，攻击者也可辨别出用户的真实轨迹。

基于模糊区域的保护方法最典型的案例是对用户位置的K-匿名区域泛化，将移动用户的位置与其他至少k-1个用户位置混淆，包含用户位置在内的混淆区域即为匿名区域，以此对用户真实位置进行模糊化处理。但这种方法易受用户移动速度的推理攻击，且随着匿名度k值的增大会提高计算成本，降低用户的服务质量。

发明内容

为了解决现有基于LBS的用户隐私保护技术存在着以上诸多安全隐患，本发明提供了一种基于位置服务的用户隐私保护方法，通过建立的密钥空间根据用户位置坐标分配专属加密参数，实现对用户位置信息和具体服务项目加密策略，并对用户标识与位置信息实施扰序，能够有效保护用户位置和用户身份隐私。

为实现上述目的，本发明提供的基于位置服务的用户隐私保护方法，该隐私保护方法具体包括：

通过卫星定位系统获取用户终端的地理坐标，由匿名空间管理中心为用户终端生成包含地理坐标的K-匿名区域；

用户终端以匿名方式向密钥空间管理中心发送包含K-匿名区域在内的秘密参数分配请求，密钥空间管理中心查询K-匿名区域所在的密钥分区，将密钥分区对应的秘密参数回传给用户终端；