[发明专利]面向道路网络连续查询攻击的用户隐私保护方法

说明书

本发明公开了一种面向道路网络连续查询攻击的用户隐私保护方法。首先，将实际地图转换为抽象的有向带权图模型，并引入位置熵作为隐私度量标准；然后，结合道路网络对用户行动的约束特点和最大移动速度攻击思想提出通用的路段扩张攻击算法MSARN，并以此为防御目标设计保护算法CORE，使用户位于匿名路段集合中每一条路的概率尽可能相等；最后，仿真实验利用SUMO工具在真实地图上根据智能驾驶模型生成移动物体，证明位置熵度量的有效性，并借此分析MSARN与典型攻击算法相比的优越性，以及CORE对MSARN的良好抵御能力。本发明解决了现有方法容易受到攻击，真实位置有较高的暴露概率这一问题，有效的保护了面向道路网络的用户隐私。

技术领域

本发明涉及面向道路网络的用户隐私保护方法，属于位置服务与隐私保护应用结合的技术领域。

背景技术

在一般欧式空间场景中，用户可以移动至空间内任意一点，且其移动模式只与移动速度、方向和时间有关。然而，在道路网络场景中，用户的移动模式还受到道路限速、交通禁则等因素的约束。如果将欧式空间适用的隐私保护策略直接应用到道路网络场景中，将导致严重的隐私泄露问题。例如，在符合k匿名和l差异性度量的隐匿区域中，可能只有一条道路在当前用户可以到达的范围。因此，我们需要针对用户在道路约束场景中的移动特征，研究适用的隐私保护策略。

基于网络扩张(network expansion)的模糊算法是目前针对道路网络约束的隐私保护中关注较多的课题。其基本思想是从用户所在路段开始，根据指定计算方法选择用以混淆的路段加入匿名集合，直至达到隐私需求。Gustav根据位置语义和最短距离原则选取扩张路段，并将k匿名和l差异性作为扩张停止的标准，即匿名集中的用户数至少为k，包含的路段数至少为l。

图1展示了2种典型的路段扩张算法，满足k＝3，l＝3。其中，“○”标记了多位用户的位置，用户u正在发起查询。图1中的(a)随机选择包含路段s₁₃的连通子网作为路段匿名集；图1中的(b)从s₁₃开始，利用迪杰斯特拉(Dijkstra)算法根据路段间的距离(一般定义为路段中点间的距离)由近至远扩张，直到满足k＝3，l＝3。随机扩张具有不确定性，从而更有效地保护用户位置信息，然而扩张的范围可能比较广，导致查询结果的处理成本大幅上升。相反，基于Dijkstra算法扩张能获得相对集中的匿名集，但是随着处理成本的下降，隐私也更容易暴露。因此，对于路段扩张算法的研究必须要考虑好匿名效果和处理成本之间的权衡。

上述扩张算法只考虑到了当前的快照信息，无法抵御攻击者从历史相关性中推断更多隐私。传统欧氏空间适用的连续查询隐私保护方案因为忽略了网络拓扑属性，不能直接应用到道路环境中。有相关文献提出基于k匿名和l多样性提出了道路环境适用的连续查询隐私保护框架。首先根据人口密度、历史轨迹和网路拓扑属性划分子网，通过子网的逐步合并建立自底向上的垂直分层架构，然后根据用户的距离度量标准选择合适的子网作为隐匿集。攻击者在了解用户的算法后，运行重现攻击(replay attack)和查询采样攻击(querysampling attack)等推断用户的真实位置。实验结果表明上述攻击行为在最好的情况下，能够降低约80％的成功请求率。然而，这些典型的攻击算法要想获得良好的攻击效果，必须要知道用户的具体保护算法，不适用于无法获知用户具体决策的场景。

在道路约束的场景中，用户的行为模式因为受到交通规则的影响会呈现不同的特征。攻击者可以在不知道用户的具体扩张算法的情况下，仅根据最大移动速度和时间来确定一个位置范围。现有扩张算法大都没有考虑这种攻击，导致生成的匿名路段集在被攻击以后收缩到较小的范围，真实位置有较高的暴露概率。

发明内容

本发明所要解决的技术问题是：针对背景技术中现有方法容易受到攻击，真实位置有较高的暴露概率这一问题，本发明提出一种面向道路网络连续查询攻击的用户隐私保护方法，首先采用通用的连续查询攻击算法，可以在无法获知用户的具体保护算法的情况下根据历史相关性推断隐私信息；然后针对这一攻击行为，改进路段扩张算法，在满足成本约束的前提下最大化连续查询隐私。