CN103826237A - 一种连续基于位置服务的位置隐私保护模型的建立方法 - Google Patents

Abstract

本发明公开了一种连续基于位置服务的位置隐私保护模型的建立方法，所述方法包括以下步骤：（1）原始需求检查；（2）最大化需求感知请求序列；（3）最小化匿名区域。本发明提出需求感知位置隐私保护模型，考虑服务质量约束，且允许用户基于所在位置为所请求的连续基于位置服务设置不同的位置隐私需求和服务质量需求；获得能同时满足用户特定的位置隐私需求和服务质量需求的最长基于位置服务请求序列；在满足用户位置隐私需求的前提下，本发明进一步缩小了匿名区域，提高了服务质量。

Description

一种连续基于位置服务的位置隐私保护模型的建立方法

技术领域

本发明属于移动互联网基于位置服务的位置隐私保护领域，尤其涉及一种连续基于位置服务的位置隐私保护模型的建立方法。

背景技术

基于位置的服务（Location Based Services，LBS）是指通过电信移动运营商的无线电通讯网络（如GSM网、CDMA网）或外部定位方式(如GPS)，获取移动终端用户的位置信息，在地理信息系统平台的支持下，为用户提供各种各样与位置相关服务的一种增值业务，如：定位服务(如Google Latitude)、签到服务(如Foursquare)等，用户发起的基于位置的请求可分为两类，一类为快照LBS请求，如请求最近的餐馆；另一类为连续LBS请求，如不断根据用户当前位置反馈实时天气预报。

移动通信技术的发展和定位技术精度的提高使得LBS快速发展，LBS中的隐私保护成为人们普遍关心的问题，LBS的使用需要用户给服务提供商提供相应的位置信息，然而，位置和查询内容的泄露使攻击者能推测出用户的隐私信息，如果用户的隐私得不到很好的保护，将极大的影响LBS的发展和使用。

空间匿名技术是解决隐私威胁的一种途径，通过位置k-匿名技术将用户的精确位置模糊化为一个足够大的区域发给LBS服务器，该区域需包含至少其他k-1个用户，使得服务器无法从这k个用户中分辨出真正的发送者。目前多数位置k-匿名方法仅对快照LBS请求进行隐私保护，而不能保护连续LBS请求的隐私性：若用户在行进过程中连续发出目的相同的LBS请求，攻击者能就可以通过观察一系列匿名区域的共同用户，缩小可能的用户集合，则这些算法的匿名效果可能会遭到破坏。为了预防这样的攻击，目前主要的隐私保护方案都要求构造的连续匿名区需包含共同用户集。尽管攻击者可以通过推断攻击，将不同的匿名区串联起来，但共同匿名集保证攻击者无法将真实用户与其余k-1个共同用户进行区分，从而保证了用户隐私安全。

然而，据研究发现，某些地方的足迹较为稀疏或存在请求的需求设置不合理，是造成所构造的具有共同用户足迹匿名区过大及需求不能同时满足的根本原因，此外，在匿名区的产生过程中，均没有考虑不同请求的服务质量约束，因此当匿名区过大时可能导致查询结果的不准确，而且，在不同的位置用户具有不同的位置隐私需求和服务质量需求，如家庭住址相比在商场的位置隐私需求要高，而现有的大部分工作对用户的位置隐私需求和服务质量需求统一处理，而忽略了不同位置用户具有不同的位置隐私需求和服务质量需求。因此，如何满足连续LBS请求中用户特定的位置隐私需求并且同时考虑服务质量需求是目前急需解决的问题。

发明内容

本发明实施例的目的在于提供一种连续基于位置服务的位置隐私保护模型的建立方法，旨在解决如下问题：现有连续基于位置服务请求在匿名区的产生过程中，没有考虑不同请求的服务质量约束，而且忽略不同位置用户具有不同的位置隐私需求和服务质量需求。

本发明实施例是这样实现的，一种连续基于位置服务的位置隐私保护模型的建立方法，该连续基于位置服务的位置隐私保护模型的建立方法包括以下步骤：

步骤一，原始需求检查；

步骤二，最大化需求感知请求序列：获得能同时满足用户特定位置隐私需求和服务质量需求的最长基于位置服务请求序列；

步骤三，最小化匿名区域：对于连续基于位置服务中的每个查询请求，在满足用户的位置隐私需求的前提下，进一步缩小匿名区域，提高服务质量。

需要说明的是，终端用户u可以自定义连续基于位置服务请求的位置隐私需求和服务质量需求；终端用户u向代理服务器发送连续n个基于位置服务请求Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l(x,y),r>,(i=1,2,...,n)表示用户Q_i.u在t时刻位置l(x,y)的需求为Q_i.r，Q_i.r既包括位置隐私需求又包括服务质量需求即r:<p,(q_x,q_y)>，其中p为位置隐私需求，表示构造的匿名区需获得的最小隐私值，(q_x,q_y)表示用户可以容忍的最大位置偏差值，基于(q_x,q_y)定义服务质量约束区域A_i=[Q_i.x-Q_i.q_x,Q_i.y-Q_i.q_y]×[Q_i.x+Q_i.q_x,Q_i.y+Q_i.q_y]来表示用户对服务质量的需求。

需要说明的是，需求感知请求序列定义为：给定历史足迹数据集F，用户u发起的连续基于位置服务请求为Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l:(x,y),r:(p,(q_x,q_y))>,i=1,2,...,n，在用户特定需求Q_i.r约束下，连续请求Q'={Q₁',Q₂',...,Q_m'}作为Q的一个感知序列当且仅当：

i=1,2,...,m，P_U(A_i)≥Q_i'.p且

其中P_U(A_i)表示在共同用户集U约束下服务质量约束区域A_i所能获得的隐私值，为了保护连续基于位置服务请求的位置隐私，所述模型基于位置k-匿名方法，但要求构造的连续匿名区需包含k个共同用户，这样共同匿名集可以保证攻击者无法将真实用户与其余k-1个共同用户进行区分，从而保证用户隐私安全；

历史足迹表F存储用户的所有历史足迹信息F={f₁,f₂,...,f_n}，其中任意一条足迹记录f_i(i=1,2,...,n)表示为<t,l(x,y)>，用户u发起的连续请求为Q={Q₁,Q₂,...,Q_n}，

r:(p,(q_x,q_y))>∈Q,i=1,2,...,n，本发明提出的需求感知位置隐私保护模型得到的需求感知序列Q'={Q₁',Q₂',...,Q_m'}以及构造的匿名区C={C₁,C₂,...,C_m}应满足：

（1）max{|Q'|}，即，最大化满足需求的请求个数，尽可能的满足用户更多的基于位置服务请求；

（2）Q_i.l(x,y)∈C_i,i=1,2,...,m，即，匿名区C_i要覆盖请求发起的位置Q_i.l(x,y)；

（3）P_U(C_i)≥Q_i.p,i=1,2,...,m，即，基于共同用户集U的匿名区C_i所提供的隐私保护级别P_U(C_i)需满足用户特定位置隐私需求Q_i.p；

（4）即，匿名区C_i需包含在用户特定服务质量约束区域A_i内；

（5）

Area(C_i)表示匿名区C_i的面积，即，匿名区应尽可能小，以获得更好的服务质量。

进一步，原始需求检查阶段包括以下步骤：对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}中每个请求Q_i(i=1,2,...,n)检查是否满足P(A_i)≥Q_i.p，其中A_i为每个请求点的服务质量约束区域，若不满足则需要用户对所提出的需求Q_i.r:<p,(q_x,q_y)>做出相应的调整，降低位置隐私需求或降低服务质量的约束，即经过原始需求检查阶段，对于连续基于位置服务的每个请求，服务质量约束区域所形成的初始匿名区能满足该请求的位置隐私需求。

进一步，最大化需求感知请求序列阶段包括以下步骤：

步骤一，计算连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}所对应的服务约束区域A={A₁,A₂,...,A_n}，根据网格表G计算共同用户集U←{u₁,u₂,...,u_n}，其中，网格表G的每个网格单元记录哪些用户的足迹曾出现在该网格区域内；

步骤二，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不能满足位置隐私需求的请求；

步骤三，对集合D，调用足迹稀疏区域请求查找算法，

[Q_s,S₁]←Sparse Area Search(Q,A,G,F)；调用隐私需求过大请求查找算法，

[Q_l,S₂]←Excessive Privacy-demand Search(Q,A,G,F)，识别出服务质量约束区域中足迹过于稀疏请求Q_s和位置隐私需求设置过大的请求Q_l，并得到分别抑制这两个请求后仍不满足位置隐私需求的请求集合（S₁和S₂）；

步骤四，如果|S₁|≤|S₂|，Q←Q-Q_s;D←S₁，否则，Q←Q-Q_l;D←S₂,即比较集合S₁和S₂内请求的个数，选择个数少的进行抑制处理；

步骤五，循环进行步骤三，直到集合D为空，此时集合Q的所有查询请求的位置隐私需求和服务质量需求均能得到满足，集合Q便是最长需求感知请求序列。

进一步，最大化需求感知请求序列步骤三中调用的足迹稀疏区域请求查找算法(Sparse Area Search)包括以下步骤：

步骤一，对连续基于位置服务请求的每个请求Q_i∈Q,(i=1,2,...,n)，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，计算除Q_i的其余匿名区的总隐私值temp[i]，即

步骤二，选择总隐私值最大的项，即Q_s←max{temp[·]}，则Q_s便是足迹稀疏区域请求；

步骤三，对每个查询请求Q_i∈Q-Q_s,(i=1,2,...,n,i≠s)，U_s为除Q_s计算所得的共同用户集，如果则将Q_i加入S₁集合，S₁便存储抑制请求Q_s后仍不满足位置隐私需求的请求；

步骤四，返回Q_s和S₁。

进一步，最大化需求感知请求序列方法的步骤三中调用的隐私需求过大请求查找算法(Excessive Privacy-demand Search)包括以下步骤：

步骤一，对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}，计算A所对应网格表G中共同用户集U←{u₁,u₂,...,u_n}，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不满足位置隐私需求的请求；

步骤二，对每个Q_i∈D，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，对每个Q_j∈D-Q_i，如果

则temp[i]←temp[i]+1，temp[i]记录抑制Q_i后不满足位置隐私需求的请求个数；

步骤三，选择temp数组中的最小值，即Q_l←min{temp[·]}，其对应的不满足位置隐私需求的请求个数最少，此时Q_l便是位置隐私需求设置过大的请求；

步骤四，对每个查询请求Q_i∈Q-Q_l,(i=1,2,...,n,i≠l)，U_l为除请求Q_l计算所得的共同用户集，如果

将Q_i加入S₂集合，S₂便存储抑制请求Q_l后仍不满足位置隐私需求的请求；

步骤五，返回集合D中使得需求感知请求序列最长的查询请求Q_l和集合S₂。

需要说明的是，最小化匿名区域阶段包括以下两种最小化匿名区域方法：基于最远足迹的最小匿名区构造和基于匿名区边界的最小匿名区构造。

进一步，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，最小化匿名区域阶段的方法（一）基于最远足迹的最小匿名区构造方法包括以下步骤：

步骤一，对每个请求的匿名区C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的历史足迹信息，删除距离Q_i.l(x,y)最远的共同用户足迹f，得到新的区域C_i，重新计算新的共同用户集合

步骤二，对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上最远足迹f以恢复到原来的区域C_i，且将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

步骤三，循环重复步骤一中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

进一步，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，最小化匿名区域阶段的方法（二）基于匿名区边界的最小匿名区构造方法包括以下步骤：

步骤一，对每个请求的匿名区域C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的足迹信息；

步骤二，对匿名区域C_i的四个边界dir∈C_i({x_min,y_min,x_max,y_max})依次进行如下操作：

第一步，删除匿名区域C_i里面距离dir最近的共同用户足迹f，得到新的区域C_i；

第二步，重新计算新的共同用户集合

对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上足迹f以恢复到原来的区域C_i；

步骤三，当匿名区的四个边界都经过步骤二后，若C_i未发生变化，则将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

步骤四，循环重复步骤一中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

本发明有益效果在于：

（1）本发明针对连续基于位置服务请求，提出需求感知位置隐私保护模型，考虑服务质量约束，且允许用户基于所在位置环境为所请求的基于位置服务设置不同的位置隐私需求和服务质量需求；

（2）本发明提出最大化需求感知请求序列算法，得到能同时满足用户特定位置隐私需求和服务质量需求的最长基于位置服务请求序列，即尽可能多的满足用户基于位置服务请求；

（3）在满足用户位置隐私需求的前提下，进一步缩小匿名区域，提高服务质量。

附图说明

图1是本发明实施例提供的连续基于位置服务的位置隐私保护模型的建立方法流程图；

图2是本发明实施例提供的连续基于位置服务的位置隐私保护模型的建立方法具体流程示意图。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

下面结合附图及具体实施例对本发明的应用原理作进一步描述。

如图1所示，本发明实施例的连续基于位置服务的位置隐私保护模型的建立方法包括以下步骤：

（1）原始需求检查；

（2）最大化需求感知请求序列：获得能同时满足用户特定位置隐私需求和服务质量需求的最长基于位置服务请求序列；

（3）最小化匿名区域：对于连续基于位置服务中的每个查询请求，在满足用户的位置隐私需求的前提下，进一步缩小匿名区域，提高服务质量。

本发明具体包括以下步骤：

（1）原始需求检查；

（2）最大化需求感知请求序列：获得能同时满足用户特定位置隐私需求和服务质量需求的最长基于位置服务请求序列；

（3）最小化匿名区域：对于连续基于位置服务中的每个查询请求，在满足用户的位置隐私需求的前提下，进一步缩小匿名区域，提高服务质量；

需要说明的是，终端用户u可以自定义连续基于位置服务请求的位置隐私需求和服务质量需求；终端用户u向代理服务器发送连续n个基于位置服务请求Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l(x,y),r>,(i=1,2,...,n)表示用户Q_i.u在t时刻位置l(x,y)的需求为Q_i.r，Q_i.r既包括位置隐私需求又包括服务质量需求即r:<p,(q_x,q_y)>，其中p为位置隐私需求，表示构造的匿名区需获得的最小隐私值，(q_x,q_y)表示用户可以容忍的最大位置偏差值，基于(q_x,q_y)定义服务质量约束区域A_i=[Q_i.x-Q_i.q_x,Q_i.y-Q_i.q_y]×[Q_i.x+Q_i.q_x,Q_i.y+Q_i.q_y]来表示用户对服务质量的需求。

需要说明的是，需求感知请求序列定义为：给定历史足迹数据集F，用户u发起的连续基于位置服务请求为Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l:(x,y),r:(p,(q_x,q_y))>,i=1,2,...,n，在用户特定需求Q_i.r约束下，连续请求Q'={Q₁',Q₂',...,Q_m'}作为Q的一个感知序列当且仅当：

i=1,2,...,m，P_U(A_i)≥Q_i'.p且其中P_U(A_i)表示在共同用户集U约束下服务质量约束区域A_i所能获得的隐私值，为了保护连续基于位置服务请求的位置隐私，所述模型基于位置k-匿名方法，但要求构造的连续匿名区需包含k个共同用户，这样共同匿名集可以保证攻击者无法将真实用户与其余k-1个共同用户进行区分，从而保证用户隐私安全；

需要说明的是，历史足迹表F存储用户的所有历史足迹信息F={f₁,f₂,...,f_n}，其中任意一条足迹记录f_i(i=1,2,...,n)表示为<t,l(x,y)>，用户u发起的连续请求为Q={Q₁,Q₂,...,Q_n}，r:(p,(q_x,q_y))>∈Q,i=1,2,...,n，本发明提出的需求感知位置隐私保护模型得到的需求感知序列Q'={Q₁',Q₂',...,Q_m'}以及构造的匿名区C={C₁,C₂,...,C_m}应满足：

（1）max{|Q'|}，即，最大化满足需求的请求个数，尽可能的满足用户更多的基于位置服务请求；

（2）Q_i.l(x,y)∈C_i,i=1,2,...,m，即，匿名区C_i要覆盖请求发起的位置Q_i.l(x,y)；

（3）PU(C_i)≥Q_i.p,i=1,2,...,m，即，基于共同用户集U的匿名区C_i所提供的隐私保护级别P_U(C_i)需满足用户特定位置隐私需求Q_i.p；

（4）

即，匿名区C_i需包含在用户特定服务质量约束区域A_i内；

（5）

Area(C_i)表示匿名区C_i的面积，即，匿名区应尽可能小，以获得更好的服务质量。

原始需求检查阶段包括以下步骤：对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}中每个请求Q_i(i=1,2,...,n)检查是否满足P(A_i)≥Q_i.p，其中A_i为每个请求点的服务质量约束区域，若不满足则需要用户对所提出的需求Q_i.r:<p,(q_x,q_y)>做出相应的调整，降低位置隐私需求或降低服务质量的约束，即经过原始需求检查阶段，对于连续基于位置服务的每个请求，服务质量约束区域所形成的初始匿名区能满足该请求的位置隐私需求。

最大化需求感知请求序列阶段包括以下步骤：

（1）计算连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}所对应的服务约束区域A={A₁,A₂,...,A_n}，根据网格表G计算共同用户集U←{u₁,u₂,...,u_n}，其中，网格表G的每个网格单元记录哪些用户的足迹曾出现在该网格区域内；

（2）对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不能满足位置隐私需求的请求；

（3）对集合D，调用足迹稀疏区域请求查找算法，

[Q_s,S₁]←Sparse Area Search(Q,A,G,F)；调用隐私需求过大请求查找算法，

[Q_l,S₂]←Excessive Privacy-demand Search(Q,A,G,F)，识别出服务质量约束区域中足迹过于稀疏请求Q_s和位置隐私需求设置过大的请求Q_l，并得到分别抑制这两个请求后仍不满足位置隐私需求的请求集合S₁和S₂；

（4）如果|S₁|≤|S₂|，Q←Q-Q_s;D←S₁，否则，Q←Q-Q_l;D←S₂,即比较集合S₁和S₂内请求的个数，选择个数少的进行抑制处理；

（5）循环进行（3），直到集合D为空，此时集合Q的所有查询请求的位置隐私需求和服务质量需求均能得到满足，集合Q便是最长需求感知请求序列。

最大化需求感知请求序列方法的步骤（3）期间调用的足迹稀疏区域请求查找算法(Sparse Area Search)包括以下步骤：

（1）对连续基于位置服务请求的每个请求Q_i∈Q,(i=1,2,...,n)，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，计算除Q_i的其余匿名区的总隐私值temp[i]，即

（2）选择总隐私值最大的项，即Q_s←max{temp[·]}，则Q_s便是足迹稀疏区域请求；

（3）对每个查询请求Q_i∈Q-Q_s,(i=1,2,...,n,i≠s)，U_s为除Q_s计算所得的共同用户集，如果

则将Q_i加入S₁集合，S₁便存储抑制请求Q_s后仍不满足位置隐私需求的请求；

（4）返回Q_s和S₁。

最大化需求感知请求序列方法的步骤（3）期间调用的隐私需求过大请求查找算法(Excessive Privacy-demand Search)包括以下步骤：

（1）对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}，计算A所对应网格表G中共同用户集U←{u₁,u₂,...,u_n}，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不满足位置隐私需求的请求；

（2）对每个Q_i∈D，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，对每个Q_j∈D-Q_i，如果

则temp[i]←temp[i]+1，temp[i]记录抑制Q_i后不满足位置隐私需求的请求个数；

（3）选择temp数组中的最小值，即Q_l←min{temp[·]}，其对应的不满足位置隐私需求的请求个数最少，此时Q_l便是位置隐私需求设置过大的请求；

（4）对每个查询请求Q_i∈Q-Q_l,(i=1,2,...,n,i≠l)，U_l为除请求Q_l计算所得的共同用户集，如果将Q_i加入S₂集合，S₂便存储抑制请求Q_l后仍不满足位置隐私需求的请求；

（5）返回集合D中使得需求感知请求序列最长的查询请求Q_l和集合S₂。

最小化匿名区域阶段包括以下两种最小化匿名区域方法：

（1）基于最远足迹的最小匿名区构造；

（2）基于匿名区边界的最小匿名区构造。

匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，最小化匿名区域阶段的方法（1）基于最远足迹的最小匿名区构造方法包括以下步骤：

（1）对每个请求的匿名区C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的历史足迹信息，删除距离Q_i.l(x,y)最远的共同用户足迹f，得到新的区域C_i，重新计算新的共同用户集合

（2）对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上最远足迹f以恢复到原来的区域C_i，且将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

（3）循环重复（1）中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，最小化匿名区域阶段的方法（2）基于匿名区边界的最小匿名区构造方法包括以下步骤：

（1）对每个请求的匿名区域C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的足迹信息；

（2）对匿名区域C_i的四个边界dir∈C_i({x_min,y_min,x_max,y_max})依次进行如下操作：

（2.1）删除匿名区域C_i里面距离dir最近的共同用户足迹f，得到新的区域C_i；

（2.2）重新计算新的共同用户集合

对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上足迹f以恢复到原来的区域C_i；

（3）当匿名区的四个边界都经过步骤（2）后，若C_i未发生变化，则将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

（4）循环重复（1）中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

本发明的具体实施例为：

步骤一，原始需求检查；

步骤二，最大化需求感知请求序列：获得能同时满足用户特定位置隐私需求和服务质量需求的最长LBS请求序列；

步骤三，最小化匿名区域：对于连续LBS中的每个查询请求，在满足用户的隐私需求的前提下，进一步缩小匿名区域大小，用以提高服务质量；

步骤一中的原始需求检查阶段包括以下步骤：对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}中每个请求Q_i(i=1,2,...,n)检查是否满足P(A_i)≥Q_i.p，其中A_i为每个请求点的服务质量约束区域，若不满足则需要用户对所提出的需求Q_i.r:<p,(q_x,q_y)>做出相应的调整，降低位置隐私需求或降低服务质量的约束，即经过原始需求检查阶段，对于连续基于位置服务的每个请求，服务质量约束区域所形成的初始匿名区能满足该请求的位置隐私需求。

步骤二中最大化需求感知请求序列阶段包括以下步骤：

（1）计算连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}所对应的服务约束区域A={A₁,A₂,...,A_n}，根据网格表G计算共同用户集U←{u₁,u₂,...,u_n}，其中，网格表G的每个网格单元记录哪些用户的足迹曾出现在该网格区域内；

（2）对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不能满足位置隐私需求的请求；

（3）对集合D，调用足迹稀疏区域请求查找算法，

[Q_s,S₁]←Sparse Area Search(Q,A,G,F)；调用隐私需求过大请求查找算法，

[Q_l,S₂]←Excessive Privacy-demand Search(Q,A,G,F)，识别出服务质量约束区域中足迹过于稀疏请求Q_s和位置隐私需求设置过大的请求Q_l，并得到分别抑制这两个请求后仍不满足位置隐私需求的请求集合S₁和S₂；

（4）如果|S₁|≤|S₂|，Q←Q-Q_s;D←S₁，否则，Q←Q-Q_l;D←S₂,即比较集合S₁和S₂内请求的个数，选择个数少的进行抑制处理；

（5）循环进行（3），直到集合D为空，此时集合Q的所有查询请求的位置隐私需求和服务质量需求均能得到满足，集合Q便是最长需求感知请求序列。

需要说明的是，步骤二中最大化需求感知请求序列方法的步骤（3）期间调用的足迹稀疏区域请求查找算法(Sparse Area Search)包括以下步骤：

（1）对每个查询请求Q_i∈Q,(i=1,2,...,n)，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，计算除Q_i的其余匿名区的总隐私值temp[i]，即

（2）选择总隐私值最大的项，即Q_s←max{temp[·]}，则Q_s便是足迹稀疏区域请求；

（3）对每个查询请求Q_i∈Q-Q_s,(i=1,2,...,n,i≠s)，U_s为除Q_s计算所得的共同用户集，如果

则将Q_i加入S₁集合，S₁便存储抑制请求Q_s后仍不满足位置隐私需求的请求；

（4）返回Q_s和S₁。

需要说明的是，步骤二中最大化需求感知请求序列方法的步骤（3）期间调用的隐私需求过大请求查找算法(Excessive Privacy-demand Search)包括以下步骤：

（1）对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}，计算A所对应网格表G中共同用户集U←{u₁,u₂,...,u_n}，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不满足位置隐私需求的请求；

（2）对每个Q_i∈D，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，对每个Q_j∈D-Q_i，如果则temp[i]←temp[i]+1，temp[i]记录抑制Q_i后不满足位置隐私需求的请求个数；

（3）选择temp数组中的最小值，即Q_l←min{temp[·]}，其对应的不满足位置隐私需求的请求个数最少，此时Q_l便是位置隐私需求设置过大的请求；

（4）对每个查询请求Q_i∈Q-Q_l,(i=1,2,...,n,i≠l)，U_l为除请求Q_l计算所得的共同用户集，如果

将Q_i加入S₂集合，S₂便存储抑制请求Q_l后仍不满足位置隐私需求的请求；

（5）返回集合D中使得需求感知请求序列最长的查询请求Q_l和集合S₂。

步骤三中最小化匿名区域阶段包括以下两种最小化匿名区域方法：

（1）基于最远足迹的最小匿名区构造；

（2）基于匿名区边界的最小匿名区构造。

需要说明的是，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，步骤三中的方法（1）基于最远足迹的最小匿名区构造方法包括以下步骤：

（1）对每个请求的匿名区C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的历史足迹信息，删除距离Q_i.l(x,y)最远的共同用户足迹f，得到新的区域C_i，重新计算新的共同用户集合

（2）对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上最远足迹f以恢复到原来的区域C_i，且将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

（3）循环重复（1）中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

需要说明的是，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，步骤三中的方法（2）基于匿名区边界的最小匿名区构造方法包括以下步骤：

（1）对每个请求的匿名区域C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的足迹信息；

（2）对匿名区域C_i的四个边界dir∈C_i({x_min,y_min,x_max,y_max})依次进行如下操作：

（2.1）删除匿名区域C_i里面距离dir最近的共同用户足迹f，得到新的区域C_i；

（2.2）重新计算新的共同用户集合

对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上足迹f以恢复到原来的区域C_i；

（3）当匿名区的四个边界都经过步骤（2）后，若C_i未发生变化，则将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

（4）循环重复（1）中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

为了更好地理解本发明，下面将结合模拟实施例对本发明作进一步的描述；

本发明的算法是用C++编程语言实现，实验环境为3.0GHz的Intel双核CPU，2GB内存，操作系统平台为Windows XP，实验数据是由Brinkhoff提出并实现的基于网络的移动对象生成器(Network-based Generator of Moving Objects)生成，仿真器以德国城市Oldenberg面积为16km×16km的交通路线图作为输入，移动速度采用模拟器的默认设置，输出一系列移动用户的时间和位置信息作为历史足迹记录。我们通过设置不同的位置隐私需求和服务质量需求，与现有L2P2算法(Location-aware Location Privacy Protection for Location-basedServices)从平均匿名区面积大小和匿名服务成功率（能满足用户特定的位置隐私需求和服务质量需求的请求数与请求总数的比值）两方面进行对比来分析本发明模型的有效性。

位置隐私需求对匿名区大小及匿名服务成功率的影响：模拟实验由产生器产生35K条历史足迹记录，用户连续基于位置服务请求数设置为40个；40个连续基于位置服务请求的服务质量需求q_x和q_y是从区域面积为16km×16km的[0.00625-1]%中随机选取，为了观察平均隐私需求变化对结果的影响，实验中采用不同的平均位置隐私需求设置。仿真结果表明，无论隐私衡量算法使用k-匿名集合大小或基于信息熵度量标准，本发明提出的需求感知位置隐私保护模型匿名区面积明显较小，也就是说在同样能满足用户位置隐私需求的前提下，本发明能提供更好的服务质量；当用户设置不同位置隐私需求时，本发明的模型较L2P2算法能提供更高的匿名服务成功率，即当用户对其发起的连续基于位置服务请求存在特定服务质量需求的情况下，本发明提出的需求感知位置隐私保护模型能更好的为用户服务。这是因为连续基于位置服务请求中存在的足迹稀疏请求区域和隐私设置过大请求区域是导致形成的匿名区面积过大，较大比例的请求无法同时满足位置隐私和服务质量的根本原因，而本发明提出的需求感知位置隐私保护模型能对这些请求进行抑制，以牺牲少部分的基于位置服务请求，使得大部分的请求得到满足，进而通过缩小所构造的匿名区域的算法，有效减小了匿名区面积，提高了服务质量。实验结果表明，在用户设置不同隐私需求的情况下，本发明均能为连续基于位置服务请求提供较好的服务质量和较高的匿名服务成功率。

服务质量需求对匿名区大小及匿名服务成功率的影响：模拟实验由产生器产生15K条历史足迹记录，设置用户连续基于位置服务请求数为40个；由于隐私衡量方法的不同，基于匿名集合大小度量标准，位置隐私需求值为[1-100]内随机值，而对于基于信息熵度量标准，位置隐私需求值为[1-7]内随机值，为了观察平均服务质量约束值变化对结果的影响，对于基于匿名集合大小度量标准平均服务质量需求q_x和q_y值从区域面积为16km×16km的[0.169-0.1885]%中随机选取，而对于基于信息熵方案平均服务质量需求q_x和q_y值从区域面积16km×16km的[0.05-0.06875]%中随机选取。随着平均服务质量需求约束值的增大（即服务质量需求降低），本发明构造的匿名区面积存在比较小的波动，但本发明模型构造的匿名区面积明显小于L2P2算法，因为L2P2算法受到足迹稀疏区域请求或隐私值设置过大请求的影响，而本模型分别对这两类请求进行抑制，大幅减小了匿名区域面积；随着平均服务质量约束值的增大（即服务质量需求降低），连续LBS请求的匿名服务成功率升高，且在用户对服务质量存在特定需求时，相比L2P2算法本发明能获得较好的匿名服务成功率。因此，本发明在用户对服务质量存在特定需求时，能更好的为用户服务，提供更多满足需求的请求响应。

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (10)

1.一种连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，该连续基于位置服务的位置隐私保护模型的建立方法包括以下步骤：

步骤一，原始需求检查；

步骤二，最大化需求感知请求序列：获得能同时满足用户特定位置隐私需求和服务质量需求的最长基于位置服务请求序列；

步骤三，最小化匿名区域：对于连续基于位置服务中的每个查询请求，在满足用户的位置隐私需求的前提下，进一步缩小匿名区域，提高服务质量。

2.如权利要求1所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，终端用户u可以自定义连续基于位置服务请求的位置隐私需求和服务质量需求；终端用户u向代理服务器发送连续n个基于位置服务请求Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l(x,y),r>,(i=1,2,...,n)表示用户Q_i.u在t时刻位置l(x,y)的需求为Q_i.r，Q_i.r既包括位置隐私需求又包括服务质量需求即r:<p,(q_x,q_y)>，其中p为位置隐私需求，表示构造的匿名区需获得的最小隐私值，(q_x,q_y)表示用户可以容忍的最大位置偏差值，基于(q_x,q_y)定义服务质量约束区域A_i=[Q_i.x-Q_i.q_x,Q_i.y-Q_i.q_y]×[Q_i.x+Q_i.q_x,Q_i.y+Q_i.q_y]来表示用户对服务质量的需求。

3.如权利要求1所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，需求感知请求序列定义为：给定历史足迹数据集F，用户u发起的连续基于位置服务请求为Q={Q₁,Q₂,...,Q_n}，其中Q_i=<u,t,l:(x,y),r:(p,(q_x,q_y))>,i=1,2,...,n，在用户特定需求Q_i.r约束下，连续请求Q'={Q₁',Q₂',...,Q_m'}作为Q的一个感知序列当且仅当：

i=1,2,...,m，P_U(A_i)≥Q_i'.p且

其中P_U(A_i)表示在共同用户集U约束下服务质量约束区域A_i所能获得的隐私值，为了保护连续基于位置服务请求的位置隐私，所述模型基于位置k-匿名方法，但要求构造的连续匿名区需包含k个共同用户，这样共同匿名集可以保证攻击者无法将真实用户与其余k-1个共同用户进行区分，从而保证用户隐私安全；

历史足迹表F存储用户的所有历史足迹信息F={f₁,f₂,...,f_n}，其中任意一条足迹记录f_i(i=1,2,...,n)表示为<t,l(x,y)>，用户u发起的连续请求为Q={Q₁,Q₂,...,Q_n}，r:(p,(q_x,q_y))>∈Q,i=1,2,...,n，本发明提出的需求感知位置隐私保护模型得到的需求感知序列Q'={Q₁',Q₂',...,Q_m'}以及构造的匿名区C={C₁,C₂,...,C_m}应满足：

（1）max{|Q'|}，即，最大化满足需求的请求个数，尽可能的满足用户更多的基于位置服务请求；

（2）Q_i.l(x,y)∈C_i,i=1,2,...,m，即，匿名区C_i要覆盖请求发起的位置Q_i.l(x,y)；

（3）P_U(C_i)≥Q_i.p,i=1,2,...,m，即，基于共同用户集U的匿名区C_i所提供的隐私保护级别P_U(C_i)需满足用户特定位置隐私需求Q_i.p；

（4）

即，匿名区C_i需包含在用户特定服务质量约束区域A_i内；

（5）

Area(C_i)表示匿名区C_i的面积，即，匿名区应尽可能小，以获得更好的服务质量。

4.如权利要求1所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，原始需求检查阶段包括以下步骤：对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}中每个请求Q_i(i=1,2,...,n)检查是否满足P(A_i)≥Q_i.p，其中A_i为每个请求点的服务质量约束区域，若不满足则需要用户对所提出的需求Q_i.r:<p,(q_x,q_y)>做出相应的调整，降低位置隐私需求或降低服务质量的约束，即经过原始需求检查阶段，对于连续基于位置服务的每个请求，服务质量约束区域所形成的初始匿名区能满足该请求的位置隐私需求。

5.如权利要求1所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，最大化需求感知请求序列阶段包括以下步骤：

步骤一，计算连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}所对应的服务约束区域A={A₁,A₂,...,A_n}，根据网格表G计算共同用户集U←{u₁,u₂,...,u_n}，其中，网格表G的每个网格单元记录哪些用户的足迹曾出现在该网格区域内；

步骤二，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不能满足位置隐私需求的请求；

步骤三，对集合D，调用足迹稀疏区域请求查找算法，

[Q_s,S₁]←Sparse Area Search(Q,A,G,F)；调用隐私需求过大请求查找算法，

[Q_l,S₂]←Excessive Privacy-demand Search(Q,A,G,F)，识别出服务质量约束区域中足迹过于稀疏请求Q_s和位置隐私需求设置过大的请求Q_l，并得到分别抑制这两个请求后仍不满足位置隐私需求的请求集合S₁和S₂；

步骤四，如果|S₁|≤|S₂|，Q←Q-Q_s;D←S₁，否则，Q←Q-Q_l;D←S₂,即比较集合S₁和S₂内请求的个数，选择个数少的进行抑制处理；

步骤五，循环进行步骤三，直到集合D为空，此时集合Q的所有查询请求的位置隐私需求和服务质量需求均能得到满足，集合Q便是最长需求感知请求序列。

6.如权利要求5所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，最大化需求感知请求序列步骤三中调用的足迹稀疏区域请求查找算法(Sparse Area Search)包括以下步骤：

步骤一，对连续基于位置服务请求的每个请求Q_i∈Q,(i=1,2,...,n)，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，计算除Q_i的其余匿名区的总隐私值temp[i]，即

步骤二，选择总隐私值最大的项，即Q_s←max{temp[·]}，则Q_s便是足迹稀疏区域请求；

步骤三，对每个查询请求Q_i∈Q-Q_s,(i=1,2,...,n,i≠s)，U_s为除请求Q_s计算所得的共同用户集，如果

则将Q_i加入S₁集合，S₁便存储抑制请求Q_s后仍不满足位置隐私需求的请求；

步骤四，返回Q_s和S₁。

7.如权利要求5所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，最大化需求感知请求序列方法的步骤三中调用的隐私需求过大请求查找算法(Excessive Privacy-demand Search)包括以下步骤：

步骤一，对连续基于位置服务请求Q={Q₁,Q₂,...,Q_n}，计算A所对应网格表G中共同用户集U←{u₁,u₂,...,u_n}，对每个A_i∈A,(i=1,2,...,n)，如果P_U(A_i)<Q_i.p，即具有共同用户集的匿名区不满足位置隐私需求，则将所对应的请求Q_i加入集合D，集合D存储不满足位置隐私需求的请求；

步骤二，对每个Q_i∈D，计算除请求Q_i的共同用户集U_i，根据共同用户集U_i，对每个Q_j∈D-Q_i，如果

则temp[i]←temp[i]+1，temp[i]记录抑制Q_i后不满足位置隐私需求的请求个数；

步骤三，选择temp数组中的最小值，即Q_l←min{temp[·]}，其对应的不满足位置隐私需求的请求个数最少，此时Q_l便是位置隐私需求设置过大的请求；

步骤四，对每个查询请求Q_i∈Q-Q_l,(i=1,2,...,n,i≠l)，U_l为除请求Q_l计算所得的共同用户集，如果

将Q_i加入S₂集合，S₂便存储抑制请求Q_l后仍不满足位置隐私需求的请求；

步骤五，返回集合D中使得需求感知请求序列最长的查询请求Q_l和集合S₂。

8.如权利要求1所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，最小化匿名区域阶段包括以下两种最小化匿名区域方法：基于最远足迹的最小匿名区构造和基于匿名区边界的最小匿名区构造。

9.如权利要求8所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，基于最远足迹的最小匿名区构造方法包括以下步骤：

步骤一，对每个请求的匿名区C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的历史足迹信息，删除距离Q_i.l(x,y)最远的共同用户足迹f，得到新的区域C_i，重新计算新的共同用户集合

步骤二，对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上最远足迹f以恢复到原来的区域C_i，且将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

步骤三，循环重复步骤一中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

10.如权利要求8所述的连续基于位置服务的位置隐私保护模型的建立方法，其特征在于，匿名区C={C₁,C₂,...,C_m}为经过最大化需求感知请求序列阶段得到的服务质量约束区域A={A₁,A₂,...,A_m}，基于匿名区边界的最小匿名区构造方法包括以下步骤：

步骤一，对每个请求的匿名区域C_i∈C,(i=1,2,...,m)，通过网格表G和历史足迹表F计算C_i中的足迹信息；

步骤二，对匿名区域C_i的四个边界dir∈C_i({x_min,y_min,x_max,y_max})依次进行如下操作：

第一步，删除匿名区域C_i里面距离dir最近的共同用户足迹f，得到新的区域C_i；

第二步，重新计算新的共同用户集合

对于每个请求Q_j∈Q,(j=1,2,...,m)，如果存在P_U(C_j)<Q_j.p，则加上足迹f以恢复到原来的区域C_i；

步骤三，当匿名区的四个边界都经过步骤二后，若C_i未发生变化，则将C_i加入到最小化匿名区域集C'，集合C'记录不能缩小的匿名区域；

步骤四，循环重复步骤一中没有加入集合C'的匿名区域，直到所有匿名区都加入C'集合，此时C'便是最小的匿名区域集。

Images