[发明专利]一种基于差分隐私的LBS服务隐私保护方法

说明书

本发明公开了一种基于差分隐私的LBS服务隐私保护方法。根据DP‑(ksubgt;1/subgt;,l)‑means算法中得到的用户所在簇和用户所在区域的背景知识，构建符合差分隐私的查询k‑匿名集，将该匿名集发送至LSP，避免泄露用户的真实查询请求，以此保护用户的查询隐私，避免攻击者的推理攻击和时空关联性攻击。DP‑ksubgt;2/subgt;‑anonymity算法中，结合时间特性，选取同一时段t发出的查询请求构建查询k‑匿名集，使用指数机制对该数据集进行处理，即保证了查询请求在时间上的合理性，又保护了用户的隐私不被泄露。

技术领域

本发明涉及隐私保护方法，更具体的是，本发明涉及一种基于差分隐私的LBS服务隐私保护方法。

背景技术

随着移动网络的普及和定位技术的发展，基于位置的服务方式(Location-BasedService,LBS)获得了大量用户的认可。这些服务系统极大地方便了人们的生活，但却经常在用户不知情时收集用户发出的请求数据，并对这些数据进行分析处理，造成了用户的隐私信息泄露等问题。基于LBS的服务请求中包含着大量的隐私信息，比如用户的身份信息、位置信息、兴趣点信息等，这些信息都有可能在发出查询请求的同时被泄露。因此，如何在保证不影响用户查询结果的前提下保护用户的隐私信息成为当前的重点研发方向。

社交网络下的LBS请求服务对背景知识有着严格的要求，在现有的LBS隐私保护方案中，背景知识指的是地图中兴趣点(Point Of Interest,POI)的历史查询概率。若攻击者具有一定的背景知识，则可以大大地提高其攻击的准确度。因此，在设计LBS隐私保护方案时，如何避免背景知识攻击变得极其重要。差分隐私是一种不受攻击者具有的背景知识影响、不受具体某条数据变化影响的隐私保护机制，将该机制与现有的隐私保护方案结合，能够更好地解决传统隐私保护方法无法抵抗背景知识攻击的问题。

用户向LBS服务平台(Location-based Services Platform,LSP)发送的位置服务请求中，包含了用户的身份信息、当前所在的位置信息、查询请求发出时间、查询的兴趣点信息等敏感数据。其中，位置信息以及根据位置信息推理出的其它信息属于位置隐私，与请求内容相关的信息属于查询隐私，位置隐私与查询隐私都属于LBS隐私保护的范畴。

为了更好地保护LBS请求中的隐私信息，Gruteser等人首次将k-匿名技术应用于位置隐私保护中，产生了位置k-匿名模型：当移动对象在某一时刻的位置无法与其它k-1个用户的位置相区别时，称此位置满足位置k-匿名。Niu等人基于随机化方法，兼顾路网环境，利用圆形区域分割和网格扩张的方式选择候选区，再根据位置语义信息生成假位置。以上算法虽然不断地在改进，但其共同缺点是都没有考虑攻击者可能拥有的背景知识，且用户向LSP发送的位置信息没有考虑到位置语义，这使得生成的位置匿名集中包含很多能够直接被排除的虚假位置点，无法抵御攻击者的推理攻击，并且会加大通信开销，影响服务质量。

对于查询隐私，生成的假查询越真实、越多样化，则用户查询隐私的保护级别就越高。Pinglery等人提出的Dummy-Q模型根据查询上下文、用户运动模型和查询语义等相关条件构建假查询，使攻击者无法区分用户真实查询与假查询间的差别。在以上的查询隐私保护算法中，没有结合用户的真实查询请求，若用户的真实查询请求不包含于单元查询概率较高的POI中，则返回的查询结果对用户是无用的。

针对以上存在的问题，本申请提出了DPLQ隐私保护方案，该方案结合差分隐私机制、k-means算法、l-diversity算法与k-anonymous算法，在不受攻击者拥有的背景知识影响的情况下，有效地保护用户的位置隐私和查询隐私。

发明内容

本发明设计开发了一种基于差分隐私的LBS服务隐私保护方法，在不受攻击者拥有的背景知识影响的情况下，有效地保护用户的位置隐私和查询隐私。

一种基于差分隐私的LBS服务隐私保护方法，包括如下步骤：