技術領域

本發明屬于信息安全技術領域，具體涉及一種用戶隱私保護系統及方法，可在云計算背景下為用戶終端提供準確高效的基于位置的服務，并實現數據資源和用戶終端位置信息的有效隱私保護。

背景技術

隨著移動互聯網技術的發展，基于位置服務可以給生活帶來很大的便利，得到了人們越來越多的使用。傳統的基于位置服務系統由服務提供商存儲海量的數據資源，當用戶終端需要基于位置服務時，它根據自己的位置參數和需求參數發送請求給服務提供商，服務提供商在自身存儲的數據資源上進行搜索后，為用戶終端返回滿足需求的數據。然而，這樣的系統不僅使服務提供商面臨繁瑣復雜的計算，也帶來隱私保護的巨大挑戰，尤其是用戶終端的位置隱私和數據資源的隱私受到嚴重威脅。

為了解決上述問題，人們提出了一些解決方案，其中：

中國人民大學的專利“一種防止位置依賴攻擊的位置隱私保護方法”(申請號201010193366.7申請公布號CN101909050A)公開了一種防止位置依賴攻擊的位置隱私保護方法，該方法包括以下步驟：1.移動用戶將查詢請求發送給匿名服務器；2.匿名服務器對查詢請求進行位置匿名處理，并將匿名處理后的請求發送給基于位置服務的數據庫服務器；3.數據庫服務器根據所收到的請求進行查詢處理，并將查詢結果的候選集返回給匿名服務器；4.匿名服務器從數據庫服務器返回的候選結果中選擇正確的查詢結果返回給相應的移動用戶。該方法雖然能實現用戶位置的隱私保護，但其存在的不足之處是：處理過程復雜，計算需求量大，不能實現高效的基于位置服務，且不能實現數據資源的隱私保護。

發明內容

本發明目的在于針對上述現有技術的不足，提出面向基于位置服務的用戶隱私保護系統及方法，以在保證用戶隱私和數據資源隱私的前提下，減小計算復雜度，節約服務提供商的計算成本，有效提高基于位置服務的效率。

本發明的技術方案是這樣實現的：

1.一種面向基于位置服務的用戶隱私保護系統，包括：基于位置服務器、外包云服務器和用戶終端，

該基于位置服務器，用于為外包云服務器提供加密的數據資源，并為用戶終端和外包云服務器提供注冊，該數據資源是指包含位置坐標和詳細描述的基于位置信息；

該外包云服務器，用于存儲來自基于位置服務器的加密數據資源，為用戶終端提供查詢服務，并在提供服務時與用戶終端之間進行雙向身份認證；

該用戶終端，用于發送服務請求給外包云服務器，接收外包云服務器返回的數據信息，并在接受服務時與外包云服務器之間進行雙向身份認證。

上述面向基于位置服務的用戶隱私保護系統，其中基于位置服務器包括：

系統初始化模塊，用于初始化系統，分別生成系統的公共參數、基于位置服務器的公私鑰對、對數據資源對稱加密的密鑰以及對位置坐標加密處理的公私鑰對，并選擇對數據資源進行處理所用的加密算法和雜湊函數；

注冊模塊，用于為用戶終端和外包云服務器提供注冊，并向注冊成功的用戶終端和外包云服務器分發密鑰；

數據加密模塊，用于對基于位置服務器擁有的數據資源進行加密，并將加密后的數據資源發送給外包云服務器。

上述面向基于位置服務的用戶隱私保護系統，其中外包云服務器包括：

云服務器認證模塊，用于外包云服務器在注冊時生成自己的公私鑰對，在給用戶終端提供服務前對用戶終端的服務請求進行驗證，并在得到用戶終端所需的數據信息列表后對其進行簽名；

數據存儲模塊，用于存儲來自基于位置服務器的加密數據資源；

服務提供模塊，用于根據用戶終端提供的位置參數，在加密的數據資源上進行匹配計算，得到滿足用戶需求的數據信息列表，并發送該數據信息列表和對應簽名給用戶終端。

上述面向基于位置服務的用戶隱私保護系統，其中用戶終端包括：

用戶認證模塊，用于用戶終端在注冊時生成自己的公私鑰對，在給外包云服務器發送服務請求前對服務請求進行簽名，并在接收到外包云服務器發送的數據信息列表后對外包云服務器的簽名進行驗證；

服務請求模塊，用于用戶終端根據自身位置坐標計算位置參數，生成基于位置的服務請求，并將該服務請求和對應簽名發送給外包云服務器；

數據解密模塊，用于用戶終端在驗證外包云服務器發送的查詢結果列表中的簽名后，執行解密操作得到所需的基于位置服務信息。

2.一種面向基于位置服務的用戶隱私保護方法，包括：

(1)系統參數初始化步驟：

(1a)基于位置服務器選擇一個安全參數l；