基于查询概率的假位置选择算法

位置服务(Location-based Service,LBS)已经成为日常生活的重要组成部分。用户在享受位置服务带来的巨大便利的同时,也面临着巨大的隐私泄露风险。针对传统的位置隐私保护中K-匿名机制没有考虑到攻击者具有背景知识或者边信息的问题,提出了一种改进的假位置选择算法来保护位置隐私。该方法首先对样本空间进行网格划分,并基于历史查询数据计算出每个位置单元的查询概率;再结合历史查询概率为用户寻找(K－1)个假位置,使得这(K－1)个假位置的历史查询概率与用户所在位置的历史查询概率尽量相同,并且使这K个位置尽量 分散。实验结果证明了该算法在位置隐私保护方面的有效性。     

一种基于匿名区域变换的位置隐私保护方法

针对基于位置服务的应用中存在的用户位置隐私泄露问题,提出一种基于匿名区域变换的位置隐私保护方法。在离用户一定距离处选择一个锚点生成匿名区域后,利用邻近节点处理法计算用户邻近节点查询结果与用户真实位置之间的距离,从而实现在保护用户位置隐私的同时得到精确的查询结果。理论分析和实验结果表明,与Cloaking Region和SpaceTwist算法相比,该方法在保证较低通信开销的前提下,具有较好的位置隐私保护性能。     

基于高效假轨迹的隐私保护算法研究

为了解决LBS服务中用户轨迹隐私泄露的问题,提出了一种基于高效假轨迹的隐私保护算法。首先,该方案综合考虑用户所处区域的背景信息,以划分网格的方式,统计每个网格的历史服务请求概率,确保生成的每一个假位置与对应真实位置具有相同的历史服务请求概率;其次,结合网格历史服务请求概率并通过万有引力定律模型计算出用户位置转移概率;最后,生成与真实位置转移概率最相近的k-1条假轨迹实现K-匿名。实验结果表明,该方案能够更有效地保护用户的轨迹隐私。     

基于网格覆盖的社交网络位置数据的保护方法*

社交网络中用户的位置数据被公开或共享给第三方时,存在潜在的隐私信息泄露的问题。在对该问题研究的基础上,提出了一种新型位置数据隐私保护方法。该方法主要包括动态网格覆盖和基于随机游走的位置再分配两个数据处理阶段。第一阶段将用户真实位置隐匿于加密的网格覆盖区域内,从而有效地保护了真实位置数据;第二阶段则在有效的网格覆盖区域内为用户再分配加密的位置标识坐标, 从而增强位置数据的可用性。通过设置匿名成功率、匿名数据可用率、数据处理效率三个评测参数,分别进行了多次模拟对比实验,结果表明该方法不仅能够在位置数据的隐私保护和可用性两方面之间取得较好的平衡,而且具有较好的位置数据保护处理效率。     

移动对象连续查询位置匿名策略

用户位置隐私保护已经成为基于位置服务领域研究的热点问题之一,现有的方法多是只针对用户单独一次查询的隐私保护,没有考虑移动过程中由于连续查询而造成的位置隐私泄露问题。主要针对连续查询下的移动对象位置隐私保护提出一种基于历史用户的虚假用户生成的位置匿名方法,该方法结合用户历史数据,通过确定合理的假用户生成区域及假用户生成时刻其空间位置,使虚假用户能够实时对真实用户位置进行保护,通过实验验证其可行性和有效性。     

基于用户网格和两级缓存的LBS位置隐私保护方案

提出了一种采用用户网格和两级缓存技术相结合的方案,该方法采用基于第三方可信服务器的体系结构,在用户提交服务查询请求时,将用户的真实位置以正方形网格区域代替并发送给匿名服务器;在匿名服务器中,将地理空间以最小匿名区域为大小的固定网格划分以提高缓存利用率,同时使用四叉树存储固定网格区域,加快k-匿名区域的生成速度;在移动终端和第三方可信服务器中同时引入缓存机制,减少用户与第三方可信服务器以及位置服务提供商之间的交互次数,有效提高了查询响应速度与用户隐私保护程度。     

基于Geohash编码的位置隐私保护算法

针对基于位置服务中用户位置信息易泄露用户个人隐私的问题，利用Geohash编码优化网格化Casper模型，提出了基于Geohash的位置隐私保护算法G-Casper。该算法采用自底向上的机制，对目标位置的Geohash编码进行字符串模糊查询来确定组成匿名区域的[k-1]个近邻，在扩大扫描区域时，对请求用户所在网格以及周边网格跨域扫描，然后再进行层级的递归，同时使用[Lmax]和[Lmin]两个参数来控制匿名区域范围，最终通过剪枝算法删除冗余网格并随机发送一个候选网格区域代替用户原本位置，达到[k]-匿名的效果。实验结果表明，该算法能够更好地提高位置服务的质量和匿名区域的成功率，并且减少了查询时间和所需储存空间。     

用于保护位置隐私的邻近检测算法

现有保护位置隐私的邻近检测算法通常根据网格大小对用户位置进行量化计算,会降低算法结果的准确性。针对该问题,提出2种准确安全的邻近检测算法。用户将自己的位置分成网格内坐标以及网格编号两部分,并将其分别加密后发送给服务器,服务器利用加密后的网格内坐标在整个地图中筛选出所有满足查询的网格,用户根据服务器的返回结果判断用户之间是否邻近。实验结果表明,算法1速度快,传输信息少,算法2更加安全,但计算和通信开销较大,并且需查询与被查询用户同时在线。用户可根据对服务器的信任程度、查询性能和应用场景需求进行算法选择。     

数据库驱动认知无线电的位置隐私保护与验证

针对数据库驱动认知无线电网络存在位置隐私泄露和GPS欺骗问题,设计了一种具有位置验证机制的基于双布谷鸟过滤器的位置隐私保护方案。该方案首先通过基站提供位置验证解决GPS欺骗问题,然后采用双布谷鸟过滤器解决位置隐私泄露问题,同时避免了由误警概率导致的接入被主用户占用频谱的风险。仿真结果表明该方案虽然在数据库端和认知用户端的开销比布谷鸟过滤器方案稍有增加,但比隐私保护的信息查询和频道使用方案在网格数为10000时数据库端开销减少了18倍,并且无位置隐私泄露。     

基于博弈论的用户相互协作的位置隐私保护方法

位置隐私保护正在受到越来越多人的关注与研究,目前基于用户相互合作的无中心服务器的位置隐私保护成为当前研究的重点.为了在不可信环境下更好地保护用户位置隐私,从技术上提出了一种基于博弈分析思想的用户协作的位置隐私保护方法Privacy_l,此方法通过用户协作形成匿名组,以匿名组的密度中心作为锚点代替真实位置发起查询;通过安全求和来计算锚点,解决在现实不可信环境下不诚信合作的问题;同时根据用户的不同位置隐私需求,通过设置不同的隐私保护参数水平,达到不同的匿名保护效果,并且采用改进的增量查询方法提高近邻查询效率.仿真实验表明,此方法具有较好的性能,能够更好应用于现实环境.     

强制数据隐私和用户隐私的外包数据库服务研究*

外包数据库中的数据隐私和用户隐私保护是现代外包数据库服务面临的新挑战,针对目前外包数据库服务中单方面考虑数据隐私保护或用户隐私保护技术难以同时满足外包数据库安全需求的不足,提出一种可同时强制数据隐私和用户隐私保护的外包数据库服务模型,采用属性分解和部分属性加密技术,基于结合准标志集自动检测技术的近似算法实现外包数据的最小加密属性分解,同时把密码学应用于辅助随机服务器协议,以实现数据库访问时的用户隐私保护。理论分析和实验结果表明,该模型可以提供有效的数据隐私保护和查询处理,以及较好的用户隐私保护计算复杂度。     

基于连续查询的用户轨迹k-匿名隐私保护算法

随着移动服务和移动网络的持续发展,基于LBS的连续查询服务被广泛应用。基于单点的K-匿名位置隐私保护算法已经不能满足连续查询下用户位置隐私需求。针对用户轨迹隐私保护提出新的保护方法,该方法采用不可信第三方中心匿名器,用户获取自己的真实位置后首先在客户端进行模糊处理,然后提交给第三方匿名器,第三方匿名器根据用户的隐私需求结合用户某时刻的真实位置信息生成虚假用户,然后根据历史数据生成虚假轨迹。为了进一步提高虚假轨迹与用户真实轨迹的相似性,该算法提出了虚假轨迹生成的两个约束条件：虚假轨迹距用户真实轨迹的距离约束和相似性约束。经大量实验证明,该算法与传统的不同时刻K-匿名算法相比,不仅可以满足连续查询的用户轨迹隐私保护而且可以满足基于快照的LBS用户位置隐私保护。     

车载网络中隐私保护方法

针对车载网络通信中存在车辆隐私性保护问题,提出一个K-匿名链隐私保护机制。在查询节点处构建k匿名空间,并将包含此k个车辆的最小边界矩阵作为位置数据进行转发,转发过程中构造一条匿名链来混淆身份信息与位置信息的一一对应关系,从而大大降低被攻击成功的概率。通过对该机制安全性及仿真实验结果的分析,该机制能很好地保护车载网络中车辆的位置隐私,提高了车载网络通信的安全性及隐私性。     

基于遗传算法的空间网格划分匿名算法

隐私泄露问题已经成为阻碍基于位置的服务（location-based services,LBS）进一步发展的原因。针对当LBS用户发送查询时,用户的个人隐私可能会泄露给攻击者的问题,提出了基于遗传算法的空间网格划分的隐私保护算法（GAGP）。算法包括两个方法,即地图分割算法和假名生成法。地图分割算法利用遗传算法给每个网格赋权值,再通过使用邻接网格扩展的方法,保证每个划分区域的查询频率基本相等。假名生成法是用户在每次发送查询时使用假名来应对长期统计的攻击方式。通过实验证明所提算法与其他三种算法相比结果较好,所以提出的方案能够有效地保护用户的隐私。     

k-匿名下通过本地差分隐私实现位置隐私保护

针对用户位置隐私保护过程中攻击者利用背景知识等信息发起攻击的问题,提出一种面向移动终端的位置隐私保护方法。该方案通过利用k-匿名和本地差分隐私技术进行用户位置保护,保证隐私和效用的权衡。结合背景知识构造匿名集,通过改进的Hilbert曲线对k-匿名集进行分割,使用本地差分隐私算法RAPPOR扰动划分后的位置集,最后将生成的位置集发送给位置服务提供商获取服务。在真实数据集上与已有的方案从用户位置保护、位置可用性和时间开销方面进行对比,实验结果显示,所提方案在确保LBS服务质量的同时,也增强了位置隐私保护的程度。     

LBS中基于标识符的连续查询模型研究

近年来,伴随着移动计算技术和无限设备的蓬勃发展,LBS中的隐私保护技术受到了学术界的广泛关注,提出了很多匿名算法以保护移动用户的隐私信息。但是针对位置隐私的k匿名机制和查询隐私的l-diversity机制都只是适用于快照查询（snapshot query）,不能适用于连续查询。如果将现有的静态匿名算法直接应用于连续查询,将会产生隐私泄露、匿名服务器工作代价大等问题。文中提出了一种基于查询标识符的查询模型,对于每一个连续查询任务都定义一个标识符,LBS通过这个标识符返回给匿名服务器查询内容,攻击者收集标识符相同的查询任务匿名集,对其进行比较和推断,导致用户隐私泄露。针对这个问题,在匿名服务器里设置一张一对k的表,每当用户发送一个查询时,匿名服务器查询这个表,从这个表中随机选取一个数作为这次查询的标识符。这样攻击者收集到匿名集就不会是一个连续查询任务的全部匿名集,在一定程度和时间上保护了用户的隐私。     

An efficient method for privacy preserving location queries

Recently, the issue of privacy preserving location queries has attracted much research. However, there are few works focusing on the tradeoff between location privacy preservation and location query information collection. To tackle this kind of tradeoff, we propose the privacy persevering location query (PLQ), an efficient privacy preserving location query processing framework. This framework can enable the location-based query without revealing user location information. The framework can also facilitate location-based service providers to collect some information about the location based query, which is useful in practice. PLQ consists of three key components, namely, the location anonymizer at the client side, the privacy query processor at the server side, and an additional trusted third party connecting the client and server. The location anonymizer blurs the user location into a cloaked area based on a map-hierarchy. The map-hierarchy contains accurate regions that are partitioned according to real landforms. The privacy query processor deals with the requested nearest-neighbor (NN) location based query. A new convex hull of polygon (CHP) algorithm is proposed for nearest-neighbor queries using a polygon cloaked area. The experimental results show that our algorithms can efficiently process location based queries.     

A context-aware scheme for privacy-preserving location-based services

We address issues related to privacy protection in location-based services (LBSs). Most existing privacy-preserving LBS techniques either require a trusted third-party (anonymizer) or use cryptographic protocols that are computationally and communicationally expensive. Our design of privacy-preserving techniques is principled on not requiring a trusted third-party while being highly efficient in terms of time and space complexities. The problem has two interesting and challenging characteristics: First, the degree of privacy protection and LBS accuracy depends on the context, such as population and road density, around a user’s location. Second, an adversary may violate a user’s location privacy in two ways: (i) based on the user’s location information contained in the LBS query payload and (ii) by inferring a user’s geographical location based on the device’s IP address. To address these challenges, we introduce CAP, a context-aware privacy-preserving LBS system with integrated protection for both data privacy and communication anonymity. We have implemented CAP and integrated it with Google Maps, a popular LBS system. Theoretical analysis and experimental results validate CAP’s effectiveness on privacy protection, LBS accuracy, and communication QoS (Quality-of-Service).