基于轨迹聚类的连续查询隐私保护方法

在LBS连续查询的应用场景下,攻击者易利用查询时间序列、区域位置、移动趋势等背景知识发起有效的攻击,以获取用户的真实位置或轨迹,进而可推断出用户生活习惯等各类隐私信息。针对此,提出了一种基于轨迹聚类的连续查询隐私保护方法。该方法基于邻近用户的信息共享与协作,设计了一种匿名区域构造机制,用户在查询过程中,首先通过被共享缓存获取所需服务结果,如未命中,再向LBS服务器发起查询请求。同时,提出了一种邻近用户位置更新算法,提高用户的协作效率并保证缓存的有效性,对于由命中缓存完成的查询,采用提出的基于密度聚类的兴趣区提取算法,生成高混淆度的假查询扰乱整体查询序列顺序,以此增强轨迹隐私的保护效果。实验结果表明,该方法降低了连续查询中的时间代价,提高了位置混淆程度。     

对混合属性数据表可行的差分隐私保护方法

为加强隐私保护和提高数据可用性,提出一种可对混合属性数据表执行差分隐私的数据保护方法。该方法首先采用ICMD（insensitive clustering for mixed data）聚类算法对数据集进行聚类匿名,然后在此基础上进行
-差分隐私保护。ICMD聚类算法对数据表中的分类属性和数值属性采用不同方法计算距离和质心,并引入全序函数以满足执行差分隐私的要求。通过聚类,实现了将查询敏感度由单条数据向组数据的分化,降低了信息损失和信息披露的风险。最后实验结果表明了该方法的有效性。     

一种基于CP-ABE多属性授权中心的隐私保护方案

针对云计算环境下用户隐私保护的问题,提出一种基于CP-ABE多属性授权中心隐私保护方案(PPMACP-ABE)。方案中采用多个属性授权中心代替单一中央授权服务器,避免了由单一中央授权服务器引起的安全性问题。方案设计了一种交互式的密钥生成算法,利用承诺方案和零知识证明的方法,实现了用户密钥获取过程中用户的属性以及全局身份标识不被泄露,安全性分析表明PPMACP-ABE方案能够保护用户隐私,并给出了方案的正确性证明。仿真实验结果表明,与DCP-ABE方案相比,在保护用户隐私信息的前提下,本方案有较高的效率。     

基于差分隐私的混合位置隐私保护

针对现有差分隐私k-means算法对初始中心点敏感、用户位置数据误差偏大、可用性较低等问题,根据LBS的特点,引入人流密度的概念,提出一种基于差分隐私k-means的混合位置隐私保护方法。根据LBS特点将用户位置点分成离散位置点和非离散位置点,基于差分隐私技术,采用改进聚类算法对位置信息进行泛化和加噪;通过分析用户位置点的稀疏程度来确定离散点,对离散点位置信息采用基于差分隐私的单独加噪技术;对非离散点采用基于差分隐私的改进k-means算法进行泛化处理,以实现用户位置信息的隐私保护。仿真实验表明,在相同隐私预算的前提下,该方法具有较高的数据可用性。     

LBS中基于移动终端的连续查询用户轨迹隐匿方法*

为减少现有LBS(基于位置的服务)机制给用户位置信息和个人隐私泄露带来的威胁,提出并实现了一个基于移动智能终端的连续查询用户运动轨迹保护方案.该方法利用移动终端来规划虚拟路径,以减少用户在连续查询中的隐私泄露,且不需要第三方服务器提供位置匿名服务,由用户自主决定何时启动位置隐匿机制.实验证明,提出的方法有效地隐匿了连续查询用户的位置及轨迹信息.     

边缘辅助群智感知位置隐私保护多任务分配机制

为了解决群智感知中隐私泄露和多任务分配的问题,提出了一种边缘辅助群智感知位置隐私保护(EALP)多任务分配机制。首先,考虑群感知任务具有地理相近特征,利用改进的模糊聚类(FCM)算法对任务位置进行聚类组合,改进聚类数目指标,提高多任务分配的合理性。接着,为了防止云平台和感知用户之间的共谋,在任务分配阶段,提出一种位置隐私保护协议,在感知用户、云服务器和边缘节点之间部署同态加密,云感知平台能够安全地计算感知用户的移动距离,而不知道感知用户的位置和任务聚类中心位置。最后,提出了一种基于蚁群算法多任务分配优化方案,兼顾平台和感知用户两者利益,优化感知用户执行任务路径。实验结果表明,与同类方法相比,所提机制在保护位置隐私的前提下提高了任务完成率,降低了系统的感知成本和用户移动成本。     

社交网络中基于CP-ABE的隐私保护属性匹配方法

针对社交网络中用户属性匹配的隐私保护问题,提出一种可保护隐私的用户属性匹配方法。该方法基于匿名属性加密技术构建,可应用于集中式属性匹配场景中。在该方法中,用户用两个属性列表分别表示自我描述和交友偏好,并通过将自我描述转化为属性密钥以及将交友偏好转化为密文访问控制策略来实现属性信息的隐藏。服务器通过判断是否能够正确解密进行匹配判定。运用该方法,服务器可以在不必了解匹配双方具体属性信息的情况下完成双向属性匹配判定。分析和实验结果表明,在保证隐私安全性的同时,该方法也具备较高的计算效率,具有较强的实用性。     

强制数据隐私和用户隐私的外包数据库服务研究*

外包数据库中的数据隐私和用户隐私保护是现代外包数据库服务面临的新挑战,针对目前外包数据库服务中单方面考虑数据隐私保护或用户隐私保护技术难以同时满足外包数据库安全需求的不足,提出一种可同时强制数据隐私和用户隐私保护的外包数据库服务模型,采用属性分解和部分属性加密技术,基于结合准标志集自动检测技术的近似算法实现外包数据的最小加密属性分解,同时把密码学应用于辅助随机服务器协议,以实现数据库访问时的用户隐私保护。理论分析和实验结果表明,该模型可以提供有效的数据隐私保护和查询处理,以及较好的用户隐私保护计算复杂度。     

多维敏感k-匿名隐私保护模型

针对数据挖掘中私有信息的保护问题,提出一种多维敏感k-匿名隐私保护模型。将敏感属性泄露问题分为一般泄露、相似泄露、多维独立泄露、交叉泄露和多维混合数据泄露,在k-匿名的基础上,以聚类特性对多维敏感属性进行相似性标记,寻找匿名记录,计算剩余记录与已分组记录的相似性,泛化并发布满足匿名模型的数据集。实验结果表明,该模型适用于多维敏感数据,能防止隐私泄露,数据可用性较好。     

DP-IMKP：满足个性化差分隐私的数据发布保护方法

差分隐私因能提供强大的隐私保证,广泛应用于解决数据发布中的隐私保护问题。但是经差分隐私保护后的数据注入大量噪音,降低了数据可用性,且已有方法中,针对混合属性数据集发布的隐私保护研究成果较少和存在隐私预算分配不合理的问题。因此,提出一种基于个性化隐私预算分配的差分隐私混合属性数据发布方法（DP-IMKP）。利用互信息与属性之间关联关系,提出一种敏感属性分级策略,使用户各属性重要程度得以量化,为不同级别的属性匹配对应的隐私保护程度;结合最优匹配理论,构造隐私预算与敏感属性之间的二部图,为各级敏感属性分配合理的隐私预算;结合信息熵和密度优化思想,对经典k-prototype算法中初始中心的选择和相异度度量方法进行改进,并对原始数据集进行聚类,利用各敏感属性分配的隐私预算,对聚类中心值进行差分隐私保护,防止隐私数据信息泄露。通过实验验证,DP-IMKP方法与同类方法相比,在提高数据可用性和降低数据泄露风险方面有明显优势。     

基于个性化k匿名隐私保护的资源推荐算法

Existing resource recommendation algorithms make resource recommendation based on user preferences, without consider- ing the subjective reluctance of users to personal privacy or the data mining of interests and hobbies, or the risk of privacy disclosure of third-party servers. To solve the problem of user privacy, this paper puts forward the K-anonymous privacy protection algorithm. After the generalization of sensitive attributes of user query requests, it constructs a logical anonymous query request equivalence class, uses the method of data rotary to enable users in the same equivalence class to randomly forward the received data from other users. Because the privacy attributes that each person wants to protect are different, the weight of its sensitive attribute is different, so this paper proposes the weight summation formula based on the sensitive attribute combined with the sensitive attribute weight value set by the user independently, and recommends the optimal selection scheme for the platform user. The security analysis shows that this method can effectively resist similarity attack, background knowledge attack and capture server attack. Experiments show that this method not only satisfies the correctness of matching results, but also enhances the privacy protection performance in the process of resource recommendation.     

LBS中基于标识符的连续查询模型研究

近年来,伴随着移动计算技术和无限设备的蓬勃发展,LBS中的隐私保护技术受到了学术界的广泛关注,提出了很多匿名算法以保护移动用户的隐私信息。但是针对位置隐私的k匿名机制和查询隐私的l-diversity机制都只是适用于快照查询（snapshot query）,不能适用于连续查询。如果将现有的静态匿名算法直接应用于连续查询,将会产生隐私泄露、匿名服务器工作代价大等问题。文中提出了一种基于查询标识符的查询模型,对于每一个连续查询任务都定义一个标识符,LBS通过这个标识符返回给匿名服务器查询内容,攻击者收集标识符相同的查询任务匿名集,对其进行比较和推断,导致用户隐私泄露。针对这个问题,在匿名服务器里设置一张一对k的表,每当用户发送一个查询时,匿名服务器查询这个表,从这个表中随机选取一个数作为这次查询的标识符。这样攻击者收集到匿名集就不会是一个连续查询任务的全部匿名集,在一定程度和时间上保护了用户的隐私。     

路网环境下兴趣点查询的隐私保护方法

近年来,随着无线通信技术的迅猛发展,推动了基于位置服务（Location-based services,LBS）的发展进程.而其中兴趣点（Point of Interest,POI）查询是基于位置服务最重要的应用之一.针对在路网环境下,用户查询过程中位置隐私泄露的问题,提出了一种新的位置k匿名隐私保护方法.首先,匿名服务器将兴趣点作为种子节点生成网络Voronoi图,将整个路网划分为相互独立且不重叠的网络Voronoi单元（Network Voronoi Cell,NVC）;其次,利用Hilbert曲线遍历路网空间,并按照Hilbert顺序,对路网上所有的兴趣点进行排序.当用户发起查询时,提出的匿名算法通过查找与用户所在NVC的查询频率相同且位置分散的k-1个NVC,并根据用户的相对位置在NVC内生成匿名位置,从而保证了生成的匿名集中位置之间的相互性,克服了传统k-匿名不能抵御推断攻击的缺陷.最后,理论分析和实验结果表明本文提出的隐私保护方案,能有效保护用户位置隐私.     

面向连续查询的敏感语义位置隐私保护方案

针对连续查询位置服务中构造匿名区域未考虑语义位置信息导致敏感隐私泄露问题，通过设计[(K,θ)]-隐私模型，提出一种路网环境下面向连续查询的敏感语义位置隐私保护方案。该方案利用Voronoi图将城市路网预先划分为独立的Voronoi单元，依据用户的移动路径和移动速度，选择具有相似特性的其他[K-1]个用户，构建匿名用户集；利用匿名用户集用户设定的敏感语义位置类型和语义安全阈值，以及用户所处语义位置的Voronoi单元，构建满足[(K,θ)]-隐私模型的语义安全匿名区域，可以同时防止连续查询追踪攻击和语义推断攻击。实验结果表明，与SCPA算法相比，该方案在隐私保护程度上提升约15%，系统开销上降低约20%。     

基于时空关联和位置语义的个性化假位置生成方法

基于假位置的一类隐私保护方案在保护用户位置隐私的同时能够使用户获得准确查询信息,并无需依赖第三方和共享密钥.然而,当攻击者掌握一定的背景知识,例如道路时空可达信息、位置特征和用户的历史请求统计特性等,会导致假位置被识别的概率升高,降低隐私保护程度.针对上述问题,提出了基于时空关联和位置语义的个性化假位置生成算法.首先根据与前一次请求位置连续可达的条件产生假位置,然后通过建立语义树筛选出与真实位置语义相近的假位置,最后进一步筛选出与用户历史请求统计特性最接近的假位置.基于真实数据集将该算法与现有的算法进行比较,表明该算法在攻击者掌握相关背景知识的情况下,可以有效地降低位置隐私泄露的风险.     

Anonymizing continuous queries with delay-tolerant mix-zones over road networks

This paper presents a delay-tolerant mix-zone framework for protecting the location privacy of mobile users against continuous query correlation attacks. First, we describe and analyze the continuous query correlation attacks (CQ-attacks) that perform query correlation based inference to break the anonymity of road network-aware mix-zones. We formally study the privacy strengths of the mix-zone anonymization under the CQ-attack model and argue that spatial cloaking or temporal cloaking over road network mix-zones is ineffective and susceptible to attacks that carry out inference by combining query correlation with timing correlation (CQ-timing attack) and transition correlation (CQ-transition attack) information. Next, we introduce three types of delay-tolerant road network mix-zones (i.e., temporal, spatial and spatio-temporal) that are free from CQ-timing and CQ-transition attacks and in contrast to conventional mix-zones, perform a combination of both location mixing and identity mixing of spatially and temporally perturbed user locations to achieve stronger anonymity under the CQ-attack model. We show that by combining temporal and spatial delay-tolerant mix-zones, we can obtain the strongest anonymity for continuous queries while making acceptable tradeoff between anonymous query processing cost and temporal delay incurred in anonymous query processing. We evaluate the proposed techniques through extensive experiments conducted on realistic traces produced by GTMobiSim on different scales of geographic maps. Our experiments show that the proposed techniques offer high level of anonymity and attack resilience to continuous queries.     

DPPS: A novel dual privacy-preserving scheme for enhancing query privacy in continuous location-based services

Since smartphones embedded with positioning systems and digital maps are widely used, location-based services (LBSs) are rapidly growing in popularity and providing unprecedented convenience in people’s daily lives; however, they also cause great concern about privacy leakage. In particular, location queries can be used to infer users’ sensitive private information, such as home addresses, places of work and appointment locations. Hence, many schemes providing query anonymity have been proposed, but they typically ignore the fact that an adversary can infer real locations from the correlations between consecutive locations in a continuous LBS. To address this challenge, a novel dual privacy-preserving scheme (DPPS) is proposed that includes two privacy protection mechanisms. First, to prevent privacy disclosure caused by correlations between locations, a correlation model is proposed based on a hidden Markov model (HMM) to simulate users’ mobility and the adversary’s prediction probability. Second, to provide query probability anonymity of each single location, an advanced k-anonymity algorithm is proposed to construct cloaking regions, in which realistic and indistinguishable dummy locations are generated. To validate the effectiveness and efficiency of DPPS, theoretical analysis and experimental verification are further performed on a real-life dataset published by Microsoft, i.e., GeoLife dataset.     

基于连续查询的用户轨迹k-匿名隐私保护算法

随着移动服务和移动网络的持续发展,基于LBS的连续查询服务被广泛应用。基于单点的K-匿名位置隐私保护算法已经不能满足连续查询下用户位置隐私需求。针对用户轨迹隐私保护提出新的保护方法,该方法采用不可信第三方中心匿名器,用户获取自己的真实位置后首先在客户端进行模糊处理,然后提交给第三方匿名器,第三方匿名器根据用户的隐私需求结合用户某时刻的真实位置信息生成虚假用户,然后根据历史数据生成虚假轨迹。为了进一步提高虚假轨迹与用户真实轨迹的相似性,该算法提出了虚假轨迹生成的两个约束条件：虚假轨迹距用户真实轨迹的距离约束和相似性约束。经大量实验证明,该算法与传统的不同时刻K-匿名算法相比,不仅可以满足连续查询的用户轨迹隐私保护而且可以满足基于快照的LBS用户位置隐私保护。     

基于数据库驱动认知无线电网络的位置隐私保护方案

动态频谱共享能够解决由于互联无线设备快速增长导致的频谱资源短缺问题,但用户需要向数据库提交位置信息来查询频谱的可用性,造成用户的隐私泄露,而多数位置信息保护方案较少同时考虑对主要用户（PU）和二级用户（SU）的位置隐私保护。提出一种基于盲签名和秘密共享的数据库驱动认知无线电网络隐私保护方案。通过对PU和SU的双重隐私保护,使用盲签名和匿名来确保匿名验证用户身份,同时运用秘密共享避免泄露用户信息。仿真结果表明,与PeDSS和LP-Goldberg等方案相比,该方案具有较好的评估性能和更高的安全性,能够更好地应用于移动环境中。