基于位置的服务^[1]为人们提供方便的同时，需要用户提供一定的隐私数据作为获取服务的代价.用户将个人隐私数据发送给任何实体均存在泄漏的风险.攻击者可以通过掌握的背景知识，关联推断出用户的真实身份、兴趣爱好、生活习惯等隐私信息.在基于位置的查询服务中，位置和查询内容隐私是两项重要的保护内容^[2].

匿名框^[3-4]和假位置^{[1, 5-8]}是两类经典的位置保护方法.作为假位置的一种，锚点用来代替用户真实位置发起查询，并依据该锚点计算出实际K近邻兴趣点，该方法由Yiu等^[5]首次提出，但存在未实现k匿名、锚点选取随机等缺陷.孟小峰^[6]及Gong^[7]等学者分别提出了改进方案，但这些方法大多面向欧氏空间设计，并且随机选取的查询锚点会带来较多数据库查询操作. Zhou等^[8]针对锚点选取方式、查询不均衡等问题提出了解决方法，但未考虑LBS端数据安全.

私有信息检索^{[1, 10]}是保护查询内容隐私的经典方法，能在LBS服务器不知晓查询内容的条件下，为用户提供查询结果.此类技术隐私保护强度高，但存在查询处理速度慢的缺陷^{[4, 11]}.周长利等^[12]基于伪随机置换提出了一种私有信息检索协议，但仍需要借助可信中间服务器实现，存在安全风险.杨松涛等^[13]提出了一种基于不经意传输的私有信息检索协议，但是该方法基于欧氏空间设计，存在查询次数多、通信量大等问题.

另外，LBS服务端存储的兴趣点信息也需要保护.通常，LBS服务器只需根据用户兴趣点查询请求为其返回对应的查询结果，不应额外泄漏其他信息，避免恶意攻击者短时间内获得服务端更多兴趣点的详细信息，并据此伪装LBS服务器收集用户隐私等.

针对上述问题，基于不经意传输提出了适用于路网的连续查询位置和查询内容的隐私保护方法，同时可确保LBS服务端的数据安全.该方法具有较好的实用性.

1 系统架构

隐私数据具有私密性和排他性，这决定了用户不应将自身隐私数据交给任何假设可信的中心服务器来实施保护处理.因此，采用“用户—LBS服务器”两方实体系统架构，如图 1所示.

用户根据LBS服务器公布的分块化兴趣点索引表构造不经意传输查询请求发送给LBS服务器，收到查询的LBS服务器无法确定用户的真实查询请求，进而将处理后的密文查询结果发送给用户，并且LBS服务器不知道用户获取的真实查询结果是哪个.系统架构中存在如下假设：①LBS服务器是半可信实体，为用户提供基于位置服务的同时对用户隐私好奇，希望深入挖掘用户深入隐私信息以满足商业利益等，同时，用户对LBS服务器也不可信，不应向用户泄漏过多数据库中的兴趣点分布等信息；②LBS服务器具有较强的分析处理能力，存在勾结其他参与者关联推断用户隐私的可能，LBS服务器和用户之间互不妥协；③通信信道不安全，存在窃听泄漏隐私的可能.

K近邻查询请求可用Q=〈u_k, loc, time, K, C〉表示，其中：u_k∈U表示用户身份标识，为了不泄漏真实身份及抵御身份标识关联，通常使用假名u′_k替换并在每次查询中更换，假名之间无关联；loc表示用户位置，为了保护用户位置隐私，采用特殊的共用锚点位置loc_anchor替代，使用该锚点还能提高查询处理速度；time表示查询时间戳；K表示查询近邻兴趣点数量；C表示查询内容，即用户感兴趣的目标兴趣点.为了不让LBS服务器知晓用户的真实查询内容隐私，使用1-out-of-n不经意传输技术处理，提交密文查询请求内容C′.

2 路网兴趣点组织结构

用户所处路网环境如图 2所示，兴趣点沿路网分布，用户搜索的K近邻兴趣点集P_uk^K实际是从用户当前位置出发，距离自己路网距离最近的K个兴趣点.该集合包含两部分，P_uk^K=P_uk^X+P_vn^(K-X)(X≥0, K>0)，P_uk^X是用户当前位置到所在路段前进方向顶点v_n间的X个目标兴趣点集合；P_vn^(K-X)是从该顶点出发后的(K-X)个目标兴趣点集合.用户要到达其他路段上的某个目标兴趣点，必须先到达所在路段顶点，然后以该顶点为出发点到达.因此，以路网顶点(锚点)为基本生成元，组织路网兴趣点分布如表 1所示.

表 1各列依次表示路网顶点坐标、邻接顶点集合、兴趣点类型标号、兴趣点类型名称、K_max个从该顶点出发按距离递增排序的同类近邻兴趣点集合和对应兴趣点详细描述信息，用户每次发起K近邻查询满足K≤K_max.索引表由表 1的第1~4列构成，并公布给用户，用户据此构造不经意查询请求.为了提高查询处理速度，不采用集中式数据库，而是采用分布式数据库工作模型.将整个地图划分为若干区域，每个区域内部署一个分布式LBS服务.

在查询过程中，所有LBS用户以所在路段的顶点代替自己的真实位置发起查询，当多个不同路段用户共用同个路网顶点作为锚点发起查询时，可以实现用户位置的k匿名，实现用户位置隐私保护.

多个LBS服务器会适当存储交叉区域兴趣点信息，当用户经过重叠区域时，同样是在进入新路段后只发起1次新查询，获取进入新路段后的最新K近邻查询结果，是用户跨重叠区域后新LBS服务器提供的，之前查询过的兴趣点可能还在此查询结果中，但仍然是距离用户路网距离最近的K个兴趣点，因此查询效率和准确率不受影响.

3 基于不经意传输的隐私保护查询方法 3.1 问题描述

用户每次利用所在路段锚点v_n发起查询，假设LBS服务器的兴趣点分布表中，以该顶点为起点共有m种类型兴趣点P={P₁, P₂, …, P_m}和随机生成的m个密钥Key={k₁, k₂, …, k_m}.用户希望能够得到某个类型兴趣点P_x∈P的相关信息，但不希望LBS服务器知道他对此类兴趣点感兴趣.同时，LBS服务器也不希望用户一次获得其他兴趣点的信息.

3.2 1-out-of-n不经意传输隐私保护查询方法

不经意传输可以解决上述问题，但通常情况下不经意传输需要1次处理较多兴趣点信息，并多次通信，且存在路网适用性差的问题.为此，基于上述路网兴趣点组织方式，提出一种满足路网K近邻查询的不经意传输方法，在保护用户位置和查询内容隐私实现秘密检索的同时，进一步提高查询效率.

假设q为大素数，Z为q阶群，a、b为Z的生成元，Z_q为q的最小剩余集，(a, b, Z)对用户和LBS服务器公开.查询过程如表 2所示.

LBS服务器公布所负责区域内兴趣点索引信息，用户确定自己所在路段${{u}_{k}}\in \overrightarrow{{{v}_{m}}{{v}_{n}}}$，并依据该索引构造不经意查询请求，步骤如下.

步骤1  用户希望得到索引表中的某个类型标号为x的兴趣点P_x∈P的信息，其生成随机数r∈Z_q，计算β=a^rb^xmod q，并将原有的查询请求Q=〈u_k, loc, time, K, C〉改造成不经意传输查询请求为Q=〈u′_k, v_n, time, K, β〉发送给LBS服务器，该查询不直接提供用户真实位置和查询内容，分别以用户所在路网锚点v_n和1个依据目标兴趣点P_x生成的密文符号β代替，这样就生成了1个用保护户位置和查询内容的查询请求.

步骤2  LBS服务器随机生成的m个密钥Key={k₁, k₂, …, k_m}满足k_i∈Z_q, 1≤i≤n，并计算ST={(s₁, t₁), (s₂, t₂), …, (s_m, t_m)}，其中：

      h_i∈Z_q, 1≤i≤n，s_i=a^h_imod q，

            t_i=k_i(β/bⁱ)^h_imod q；

同时LBS服务器使用Key={k₁, k₂, …, k_m}加密，以顶点v_n为生成元的各类型兴趣点数据E_p={E_k1(P₁), E_k2(P₂), …, E_km(P_m)}，最终将{ST, E_p}发送给用户.

步骤3  用户计算密钥k_x=(t_x/(s_x)^r)mod q，进而得出目标兴趣点P_x=D_kx(E_kx(P_x)).

LBS服务器返回给用户额外的密文兴趣点查询结果，用户仅能够对其中的目标兴趣点解密，确保了LBS服务器不过多释放信息.在构造查询请求时，P_i∈P是以v_n为出发点的某一类兴趣点信息，这种分布式数据库和以路网顶点为生成元的兴趣点组织结构确保了仅对部分兴趣点处理，避免了不经意传输中需要处理大量额外兴趣点信息的问题.

4 安全性分析

从LBS服务器的数据安全和用户隐私两方面做安全性分析.

4.1 LBS服务器数据安全

由不经意传输方式可知，LBS服务器每次返回的查询结果中，用户依据式(1)计算得出密钥k_x，

$ {k_x} = \frac{{{t_x}}}{{{{({s_x})}^r}}}{\rm{mod}}\;{q}{\rm{ = }}\frac{{{{k}_{x}}{{({{a}^{r}}{{b}^{x}}{\rm{/}}{{b}^{x}})}^{{h_x}}}}}{{{{({{a}^{{{h}_{x}}}})}^{r}}}}\,\bmod\;{q} $

(1)

由于x是用户确定的，而bⁱ中的整数i与其密文查询结果的位置无对应关系，而无法计算出其他密钥k_i，用户仅能解密其中一个自己感兴趣的目标兴趣点E_kx(P_x).其他兴趣点内容均是经过加密处理的密文结果E_ki(P_i)，用户因无法计算出密钥而难以解密，所以每次查询不会泄漏数据库的其他内容.

4.2 用户隐私安全

用户每次查询都会选择不同的随机数r∈Z_q，所以，连续查询中同类型兴趣点查询也会生成不同的密文查询符号β，这个过程类似一次一密，随机数r的长度选择可以进一步提高破解难度.因此，很难通过猜解密钥方式破解用户的查询内容.

在返回的m个密文查询结果中，由于LBS服务器每个密文结果的生成处理方式相同，所以其确定其中某个兴趣点为用户查询的目标兴趣点的概率为p(x)=1/m，m越大，LBS服务器的不确定性越高.在连续查询中的某个单次查询的信息熵为

$ H(Q) = \sum\limits_{i = 1} {p(x){\rm{lb}}\frac{1}{{p(x)}} = {\rm{lb}}m} $

(2)

用户在连续查询过程中，由于查询请求Q=〈u′_k, v_n, time, K, β〉中无明显数据关联项，即u′_k为每次查询更换的新假名，假名之间无关联；v_n代替用户真实位置，多个路段用户共用该锚点可实现位置无关联；β是查询内容的密文替代符号，相互无关联.这样连续查询中的n个单次查询之间相互独立，因此联合信息熵如式(3)所示.此时信息熵值最大，这意味着对于攻击者来说不确定性最高，达到保护用户位置和查询内容隐私的目标.

$ H({{Q}_{1}}, {{\mathit{Q}}_{2}}, \cdots, {{Q}_{n}})=\sum\limits_{i=1}^{n}{H({{Q}_{i}})=\mathit{n}\rm{lb}\mathit{m}} $

(3)

综上，笔者充分考虑了路网兴趣点分布的特点，构造了不经意传输查询请求，既可以保护用户端的位置隐私和查询内容隐私，还能够保护LBS服务器端的数据安全，具有较高的查询效率和准确性.

5 实验

实验在Windonws 7云平台上利用JAVA语言实现.地图采用美国国家地质勘探局提供的地理数据集，采用Thomas Brinkhoff路网移动节点数据生成器生成用户位置数据，设置用户向LBS更新位置数据频率f，采用剪枝的办法控制平均路段长度S.通信带宽为3 Mbit/s，每次查询返回单个数据包为1 500 byte，每个兴趣点描述信息设置为300 byte，除去40 byte的包头，包含兴趣点个数约为(1 500－40)/300≈5个, 参数配置如表 3所示.

5.1 查询准确率

查询准确率是指用户获得准确查询结果占全部查询的比率.笔者采用路网兴趣点组织结构，相比欧氏空间查询方法，确保了查询准确性.在查询准确率方面与两种经典方法Cloaking Region^[5]、SpaceTwist^[6]进行比较的结果如图 3所示.

随着用户数量的增长，新方法的查询准确率略有下降但相对稳定，下降的主要原因是用户数量增多带来少量查询请求被丢弃造成的. Cloaking Region方法由于采用了同态加密实现隐私保护查询，服务器处理速度显著下降，造成查询准确率随之下降.而SpaceTwist方法由于返回多余兴趣点较多，在用户数量增长时，查询准确率下降迅速.

5.2 平均处理时间

路段长度是本方法中影响查询次数的重要因素之一，如图 4所示，随着用户数量的增长，平均路段长度S增大会使得查询次数减少，使得平均处理时间有所降低.因此可以采用路网图剪枝的方法去掉一些较短路段，提高处理速度.

本文还将本方法与上述经典隐私保护方法在平均处理时间方面进行了比较，如图 5所示.随着用户数量的增加，本方法与SpaceTwist方法的平均处理时间保持稳定，主要是由于处理方法相对简单，而Cloaking Region方法由于采用同态加密技术生成密文查询结果，但处理时间长是其缺陷.

5.3 平均数据通信量

数据通信量主要是来自返回查询兴趣点的描述信息.当移动用户位置不断变化而频繁发起查询时，如图 6所示，Cloaking Region方法处理速度较慢，较多数据包被丢弃，带来了重复数据包量的增加.本方法查询采用固定锚点，用户仅进入新路段时用前方顶点发起一次查询，不因用户位置变化而不断发起连续查询，可保持通信量基本平稳. SpaceTwist方法虽然也采用锚点，但是锚点是随机选取的，重复使用率不高，面对大量用户时存在数据包丢弃率增高问题，进而带来平均数据包量增加.

6 结束语

本文针对用户连续查询中的LBS端数据安全问题和用户端隐私保护问题，基于不经意传输技术，提出了一种能够保证两方数据和隐私安全的K近邻兴趣点查询方法，不仅实现了对两方敏感信息的保护，还提高了查询效率和准确率.实验分析表明，本方法具有较高的查询成功率，平均处理时间相对同态加密处理实现的PIR更为高效，适用于频繁位置变换的路网连续查询.