基于网格偏移的分散位置隐私保护方法

2019-07-15 01:37徐俊仪
现代计算机 2019年15期
关键词:发送给服务器网格

徐俊仪

(广东工业大学计算机学院,广州 510006)

0 引言

随着移动通信技术的快速发展,用户能够通过移动设备精确定位所在的位置,基于位置的服务(LBS,Location-Based Service)将移动通信设备的位置和其他信息整合起来,为用户提供增值服务[1]。用户获得位置服务的过程[2],将自身的位置信息泄露给了LBSs,或者攻击者在这个过程中截获用户的请求获取相应的信息[3]。

目前针对位置服务的隐私保护方法主要有2种结构:分布式点对点结构和第三方匿名服务器结构[4]。分布式点对点结构是用户之间进行协作,在用户端实现位置隐匿,将隐匿请求信息发送给LBSs获取服务;第三方匿名服务器结构是在用户和LBSs之间添加一个匿名服务器(AS,Anonymous Server),用户只需要将请求信息发送给AS,AS负责对用户的请求进行匿名处理,AS向LBSs获取信息后,筛选符合用户需求的内容,发送给用户[5]。

根据隐私保护方案技术的不同,主要分为群体协作技术[6-9]、空间匿名技术[10-11]、位置偏移和模糊技术[12-13],以及基于密码学技术[14-17]的隐私保护方案。模糊技术和位置偏移的方法比较简单,具有较好的服务质量,安全性比较低;密码学技术能够保证较高的安全性,但是需要有比较强大的计算处理能力;群体协作技术对区域的人群和网络有一定的要求。

当需要使用第三方匿名服务器的时候,现有的多是采用密码学工具来确保用户请求的安全性,使得LBSs和AS难以获得用户的个人身份信息和查询信息。但是加密操作存在比较大的计算量,查询请求的过程比较长,容易导致用户服务质量下降,如响应时间的延长。其次,现有的AS对用户的请求进行的k匿名,是在请求位置的附近搜索k-1个位置,k个位置满足l-多样性,在人群稀少的地图区域,需要搜索较大的范围才能确定匿名区域或者直接匿名失败,因为需要满足k匿名的要求。因此本文提出一种基于网格偏移的分散位置隐私保护方法,使LBSs和AS难以获得用户的确切信息,并且在进行查询请求的时候有较低的时间开销。为了有较高的位置分散度,在AS进行匿名的时候,根据历史查询数据,选取查询内容不一样的k-1个网格位置,并且保证选择的位置尽量偏移匿名集合中的位置,将构成匿名集合发送给LBSs进行查询。

1 系统结构

本文所提方法的系统结构如图1所示,包含了四个部分,分别是用户user,匿名服务器AS,功能服务器(Function Server,FS)和位置服务器 LBSs。

User是具备定位功能的移动设备的用户,能够通过GPS获取user所在的位置loc,user以loc为基础,构造一个矩形区域,计算偏移网格区域后将请求信息发送给AS。user向FS获取周期更新的基础网格Grid,Grid 可以表示为{(x0,y0),r,TIME},(x0,y0)表示了Grid的起始真实坐标,r表示单个网格的宽度,TIME是Grid的标识。

图1基于不可信匿名服务器的系统结构

AS是第三方匿名服务器,其收集和保存了用户的请求信息,对于用户的请求,负责在历史查询数据中搜索符合条件的请求信息构造k匿名集合发送给LBSs,同时也负责对LBSs返回的数据进行筛选。在本方法中,AS不可信。

FS的作用是周期更新基础网格Grid的信息,对于User和LBSs获取Grid的请求,获取身份信息,响应基础网格信息Grid。

LBSs是一个大型的位置服务器,记录了兴趣点(Point Of Interest,POI)信息,负责对请求信息进行响应,将搜索的结果信息发送给AS进行筛选。

2 方法的原理

本文方法包括了四个过程:user网格化处理、AS匿名处理、LBSs查询结果、筛选结果。以下就每个过程进行详细说明。

2.1 User网格化处理

User设定进行查询请求的参数,包括最小匿名区域MIN_AREA,查询内容类型type,隐私保护度k,查询半径radius。隐私保护度k指示了AS进行匿名操作的时候总共需要k个查询内容不同的位置点,type说明了查询的类型,MIN_AREA规定了user需要生成的矩形区域面积应不小于该值,radius表明了以查询位置点为中心进行搜索的范围大小。

user向FS发送消息获取基础网格信息Grid。user通过移动设备获得自身准确的位置loc,随机生成一个值范围为 0~1的数b,将 loc向随机方向偏移 sqrt(MIN_AREA)*b 得到位置 loc’,根据 loc’生成矩形区域Rect=({x1,y1)(,x2,y2)},(x1,y1)表示了矩形区域左下角的坐标,(x2,y2)表示了矩形区域右上角的坐标。

根据基础网格Grid,位置(xi,y)i计算偏移网格坐标(ci,r)i如公式(1)所示,其中r为基础网格中的单个网格宽度。Rect根据公式(1)计算得到偏移网格坐标Rect',Rect'={(c1,r1)(,c2,r2)}。

将Rect',用户隐私保护度k,用户请求类型type以及匿名化id,基础网格标识TIME和查询半径radius组成消息Mu_as发送给AS进行匿名处理,Mu_as={id,Rect',type,k,TIME,radius}。

2.2 AS匿名处理

AS对收到的Mu_as消息提取偏移网格坐标Rect',隐私保护度k,用户类型type,根据Rect'计算请求的中心坐标(cu,ru),将[(cu,ru),typeu]添加到γ,γ表示匿名后的位置集合。

在历史数据库中搜索与type不同的k-1个请求类型typei,0

任意一个n边形都可以划分为n-2个三角形,多边形的面积通过计算每个三角形的面积求和来获得,三角形的面积s根据公式(2)求得,p是三角形的半周长,a,b,c分别是三角形的三条边。

对typei(0

经过计算可以得到k-1个请求类型不同的最分散的网格坐标(ci,ri),0

构造 Mas_sp消息,Mas_sp={γ,TIME},发送给 LBSs进行查询。

2.3 LBSs查询结果

LBSs收到消息Mas_sp后,根据TIME向FS发送请求,获取基础网格信息Grid,将γ中每个typei的网格坐标(ci,ri)还原为真实坐标。

根据每个坐标(xi,yi)和typei以及查询半径检索s个POI结果,POIi={(xj,yj),infoj},0<=j

2.4 筛选结果

AS接收到Msp_as消息后,在历史请求列表中找到请求用户user所请求的类型typeu,将该类型的查询结果网格集βu发送给 user,Mas_u={βu}。

User从Mas_u中提取POI的信息,根据基础网格Grid,对偏移网格坐标(ci,ri)根据公式(4)转换为真实坐标(xi,yi),由于提交给AS的是偏移后的位置坐标,因此存在部分的POI是不符合user需求的,因此需要根据用户的所在的位置(xu,yu)计算(xi,yi)距离用户的远近,将不在radius范围的POI舍弃,将符合的POI结合相关info展示给user。

3 安全性和实验结果分析

3.1 安全性分析

本文假设LBSs和AS会提供正常的服务响应用户的请求并且具备良好的对外安全性,但是会收集用户的查询请求,试图通过数据挖掘的方法探索用户的隐私信息。

对于AS而言,其能够获取的是用户的id和网格偏移信息Rect’={(c1,r1),(c2,r2)},根据该网格信息,AS难以直接得知用户的位置信息,只知道用户id的请求内容以及相对基础网格的网格坐标。如果AS恶意获取了基础网格Grid,由于user对位置进行了偏移,并且发送给AS的是矩形区域,user可以在任何一个网格位置内,因此AS能够识别用户所在位置的概率为,当基础网格划分得越细,也即是r越小,用户端的生成匿名区域相比MIN_AREA够大,那么攻击者需要更高的成本来识别用户的准确位置。

对于LBSs而言,由于AS对用户id进行了变换,其难以知道用户的身份信息。由于请求信息经过了AS的匿名处理,LBSs能够确定用户的请求内容的概率为1/k。经过了user的匿名区域生成和AS的匿名处理,LBSs识别用户位置的概率为,当k增大,能够识别用户位置的概率会逐渐变小,保护用户的隐私信息。

3.2 实验环境

本文实验使用Thomas Brinkhoff的移动对象生成器(Network-based Generator of Moving Object)[18-19],以城市Oldenburg生成随机移动对象,本文所提的方法和OPEG方法[14]以及ELPP[16]方法就时间开销、网络通信开销和匿名位置分散度进行实验比较。

本文方法使用Java语言实现,运行在Windows 10操作系统上,CPU为Intel Core i7-7700。内存为8G,默认参数值如表1所示。

表1实验默认参数

城市Oldenburg包含6105个节点,7035条边,长为23572,宽为26915。在该区域内生随机生成7326个POI位置。基于该区域生成3200个随机位置,每个位置模拟请求位置服务。

3.3 实验结果与分析

(1)时间消耗

实验对比了本文方法和OPEG以及ELPP方法所需的时间。时间指的是用户发送查询请求到用户获取查询结果所消耗的时间。如图2所示,随着k值的增加,本文方法消耗的时间逐渐上升,而ELPP方法并没有随着k值的增加而增加,原因是ELPP方法在AS端进行用户匿名操作的时候,只需要在历史查询数据中选择相同Hilbert值的其他位置即可,而本文方法需要计算多边形的面积确定位置之间的分散度,随着k值的增加需要计算更多的三角形面积。而OPEG方法使用保序加密,没有使用k匿名,因此其时间消耗和k不相关,需要使用更多的时间来加解密信息。

图2时间开销的对比

(2)网络通信消耗

网络通信消耗指的是网络上传输信息的数据量大小,由于是模拟位置请求过程和查询过程,而数据量主要指的是LBSs对查询结果返回的POI数量,因此对比不同方法返回给AS的POI数量。

图3网络通信开销对比

如图3所示,由于本文方法生成的k匿名区域是分散的,因此之间的距离更远,对于每个位置都需要在搜索半径之内进行POI的查找,搜索的结果会更多;而ELPP方法匿名位置点比较集中,因此有重复的查询结果,能够有相对较少查询结果;OPEG方法的并不使用k匿名,而是对查询结果直接加密来保护隐私信息,其网络通信开销小。

(3)匿名位置分散度

本文方法在构造k匿名的时候,考虑了匿名位置点的分散程度,分散度越高的位置集合具有更高的面积,所选出来的位置能够分散在各个地方,而不是聚簇在一个范围之内,从而能够提高用户的隐私保护程度,由于OPEG并没有k匿名的过程,因此就匿名面积和ELPP进行比较。计算比值,SM和 SMELPP分别是本文方法和ELPP方法形成的匿名区域面积,β值越大,表示本文方法比ELPP匿名产生的位置更分散。

图4位置分散度比值

如图4所示,随着k的值逐渐增大,β值逐渐增大,表明本文方法生成的匿名集合相比ELPP方法有更大的面积,本文方法匿名位置的分布相对ELPP更加分散,而不是聚簇在一个较小的区域内,当k的值为10的时候,本文方法比ELPP的匿名面积提高了11%,说明本文方法相对ELPP方法能够产生更加分散的匿名位置集合。

4 结语

本文提出一种基于网格偏移的分散位置隐私保护方法。文献[14]和文献[16]为了防止用户的隐私信息泄露给匿名服务器和位置服务器,需要较大的时间开销,产生的匿名位置集合是集中的且容易匿名请求内容单一。本文所提方法根据周期更新的网格信息计算偏移网格区域,匿名服务器根据用户查询请求选择分散的、请求内容多样的网格坐标构成集合,使匿名服务器进行匿名处理和位置服务器进行匿名查询的时候,难以得知用户的隐私信息,并且有较低的时间开销和分布更加分散的匿名位置集合。

猜你喜欢
发送给服务器网格
网格架起连心桥 海外侨胞感温馨
追逐
【微信小课堂】:如何向好友发送语音
2018年全球服务器市场将保持温和增长
你说我说大家说
公告
我的录梦机
用独立服务器的站长注意了
定位中高端 惠普8路服务器重装上阵