CN105430615B - 一种连续位置服务请求下基于假位置的位置隐私保护方法 - Google Patents

Abstract

本发明公开了一种连续位置服务请求下基于假位置的位置隐私保护方法，采用连续请求的可达性检查算法和单次请求的位置隐私增强算法；连续请求的可达性检查算法对某个针对单次请求的基于假位置生成方法产生的候选假位置集合中进行可达性检查，最终得到满足可达性检查的连续LBS请求下的连续假位置候选组；单次请求的位置隐私增强算法对于每一个连续LBS请求下的连续假位置候选组，将其位置隐私水平进行比较，选择隐私水平最高的候选组作为最终生成的假位置集合。本发明在能有效满足用户的连续LBS请求的位置隐私保护需求的同时，还具有较好的实用性。

Description

一种连续位置服务请求下基于假位置的位置隐私保护方法

技术领域

本发明属于无线通信技术领域，尤其涉及一种连续位置服务请求下基于假位置的位置隐私保护方法。

背景技术

基于位置的服务(Location-based Services，LBS)是指服务提供商为用户提供其当前真实地理信息或与其当前真实位置信息相关的查询业务。随着无线通信技术的迅猛发展和移动智能终端设备的普及，使得各类LBS也层出不穷，如请求“最近的酒店”或“不断根据用户当前位置反馈实时天气预报”等。然而，由于用户的身份等个人隐私信息与其位置信息具有紧密的联系，这就使得用户在享受各类便捷的LBS的同时，也面临着个人隐私信息泄露的威胁。在现有的用户位置隐私保护方法中，基于假位置的位置隐私保护方法的优点主要体现在：(1)与k-匿名方法相比，假位置的生成由用户自己完成，并不依赖第三方。(2)与混合区方法相比，假位置生成方法具有更好的实用性。混合区方法一般仅适用与十字路口等交通枢纽位置，而这并不能有效满足用户的隐私保护需求。(3)与空间模糊化方法相比，假位置生成方法可获得精准的服务请求结果。(4)与基于密码学方案相比，假位置生成方法无需保存密钥。密码学位置隐私方案都使用加密来保护用户的位置，一旦密钥泄露，将导致用户的位置隐私完全被攻击者获知。

然而，现有的基于假位置的位置隐私保护方案的研究仅考虑了用户单次请求的情形。在现实生活中，用户往往会连续多次进行LBS请求，且用户的运动位置序列在地理上也存在一定的关联性。所以，当现有的基于假位置的位置隐私保护方案生成的假位置序列被攻击者长期非法获取时，将会出现攻击者利用相邻LBS请求构造出的位置集合之间的关系，识别出假轨迹，最终降低了该用户的位置隐私保护水平。乃至还会出现攻击者完全识别出该用户的真实位置信息，从而获取该用户个人隐私信息的极端情形。

发明内容

本发明的目的在于提供一种连续位置服务请求下基于假位置的位置隐私保护方法，旨在解决现有基于假位置的隐私保护方案在用户连续位置服务请求下，不能有效保护位置隐私的问题。

本发明是这样实现的，一种连续位置服务请求下基于假位置的位置隐私保护方法，所述连续位置服务请求下基于假位置的位置隐私保护方法包括连续请求的可达性检查算法和单次请求的位置隐私增强算法；

连续请求的可达性检查算法对现有任意某个针对单次请求的假位置生成方法产生的候选假位置集合的每个假位置进行时间合理性判断和方向相似性判断，得到能同时满足时间合理性和方向相似性需求的候选假位置集；然后每次从该候选假位置集中任意选择包含真实位置的k个位置进行出入度和轨迹数量判断；最终得到满足连续请求可达性的连续假位置候选组，可满足用户轨迹隐私需求；

单次请求的位置隐私增强算法针对每一个连续假位置候选组，通过个人查询度判断和分散度判断进行位置隐私水平的比较，选取位置隐私水平最高的候选组作为最终生成的假位置集合。

进一步，所述连续位置服务请求下基于假位置的位置隐私保护方法还包括：

候选假位置集合由现有针对单次请求的假位置生成方法产生，设定用户的位置隐私需求为k，对于连续LBS请求中的第i次请求对于任意LBS请求Q_i，初始化候选项大小为4k，即候选假位置集合

进一步，所述连续请求的可达性检查算法对连续LBS请求下的初始化候选假位置集合进行筛选，得到适用于连续LBS请求的连续假位置候选组，如果经过连续可达性检查后未产生满足用户位置隐私需求的候选组，则返回到初始化候选假位置集合的生成步骤，扩大其候选假位置集合，重新进行连续可达性检查，直到存在满足需求的连续假位置候选组。

进一步，所述时间合理性判断：

用户连续两次请求分别为Q_i和Q_i+1，且：

Q_i请求最终生成的假位置集合为：其中，表示用户在Q_i次请求时最终生成的假位置；

Q_i+1请求的初始化候选假位置集合为：

通过调用地图接口得到集合S_i和集合C_i+1中任意两个位置间的到达时间，当满足时间合理性判断阈值σ_T时，则该位置序列形成的假轨迹满足时间合理性要求。Q_i+1次请求下假轨迹的时间合理性关系可用有向图G_T＝＜V_T,E_T＞来表示其中：

V_T＝S_i∪C′_i+1，其中表示集合C_i+1中4k个假位置经过时间合理性判断后剩余的假位置集合，它满足：

其中，表示从真实位置到达所需的时间；σ_T是时间合理性判断阈值；表示集合S_i和集合C_i+1中任意两个位置间的到达时间与真实位置和间的到达时间的时间差的绝对值；

E_T＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C′_i+1}，表示满足用户指定的时间合理性判断阈值σ_T的假轨迹集合。

进一步，所述方向相似性判断：

将假轨迹与真实轨迹的方向夹角作为评价标准，只有当方向夹角满足一定阈值σ_D时，则认为这两条轨迹是方向相似的；

假轨迹的方向相似性关系可用有向图G_D＝＜V_D,E_D＞表示，其中：

V_D＝S_i∪C″_i+1其中表示满足时间合理性判断的假位置集合C′_i+1中的假位置经过方向相似性判断后剩余的假位置集合，其满足：

其中，表示假轨迹＜cⁱ,cⁱ⁺¹＞和真实轨迹间的方向夹角；σ_D是方向相似性判断阈值；

E_D＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C″_i+1}，表示满足用户指定的方向相似性判断阈值σ_D的假轨迹集合。

进一步，所述出入度与轨迹数量判断：

假轨迹的出入度与轨迹数量关系可用有向图G_N＝＜V_N,E_N＞表示，其中：

表示同时满足时间合理性判断和方向相似性判断的假位置集合C″_i+1中的假位置经过出入度与轨迹数量判断后的连续假位置集合候选组，它满足：

∧(Ave_out(S_i)≤σ_{OUT_E})∧(Var_out(S_i)≤σ_{OUT_N})}

其中，表示m个假位置候选组，每个候选组含有k-1个假位置；和分别表示集合的入度平均值和入度方差，Ave_out(S_i)和Var_out(S_i)分别表示上次请求的最终假位置集合S_i的出度平均值和出度方差；(σ_{IN_E},σ_{IN_N})表示入度的平均值和方差判断阈值，(σ_{OUT_E},σ_{OUT_N})表示出度的平均值和方差判断阈值，通过集合的出入度平均值判断阈值和方差判断阈值来衡量集合中每个假位置与真实位置的出入度相似性；

表示满足用户指定的出入度平均值判断阈值和出入度方差判断阈值的假轨迹集合。

进一步，所述单次请求的位置隐私增强算法对每一个连续假位置候选组再进行单次请求的位置隐私增强，选择隐私水平最高的一组作为最终的假位置集。

本发明提供的连续位置服务请求下基于假位置的位置隐私保护方法，针对现有基于假位置隐私保护方法只适用于用户单次LBS请求，考虑了连续位置服务请求下相邻请求的假位置集合间的连续可达性，并对所生成的假位置集合进行单次请求隐私增强处理，针对现有位置隐私保护方案提出一种通用的，且适用于用户连续请求情形下的基于假位置的位置隐私保护方法。实验仿真结果表明，本发明所提出的基于假位置的位置隐私保护方法不仅能满足用户的单次请求的位置隐私需求，而且能满足用户连续位置请求下的轨迹隐私保护需求，并且具有较好的实用性。

附图说明

图1是本发明实施例提供的连续LBS请求下基于假位置的位置隐私保护框架示意图。

图2是本发明实施例提供的连续请求的可达性检查框架示意图。

图3是本发明实施例提供的单次请求的位置隐私增强流程图。

图4是本发明实施例提供的Enhanced-DLS假位置算法应用在连续LBS请求情形示意图。

图5是本发明实施例提供的本方案与Enhanced-DLS算法比较示意图；

图中：(a)平均匿名区面积比较；(b)平均分散度比较。

图6是本发明实施例提供的平均轨迹数量与理想轨迹数量的对比示意图。

图7是本发明实施例提供的性能测试示意图；

图中：(a)时间合理性阈值变化；(b)方向相似性阈值变化。

具体实施方式

为了使本发明的目的、技术方案及优点更加清楚明白，以下结合实施例，对本发明进行进一步详细说明。应当理解，此处所描述的具体实施例仅仅用以解释本发明，并不用于限定本发明。

本发明通过引入时间合理性判断、方向相似性判断、出入度与轨迹数量判断，为基于假位置的隐私保护方案提供一种适用于连续位置服务请求的位置隐私保护方法。实验结果表明，本发明所提的隐私保护方法不仅能满足用户单次位置服务请求的隐私需求，也能确保连续请求时的轨迹隐私安全，具有较好的实用性。

下面结合附图对本发明的应用原理作进一步描述。

本发明提及的假轨迹是指当前请求产生的假位置集与上一次请求产生的假位置集所构成的路径。

1、攻击者模型

在LBS请求中，攻击者的目的是得到用户的准确位置，从而获得与其位置信息紧密相关的个人隐私信息。本发明假定攻击者具有如下的背景知识：

(1)攻击者知道用户提交的所有LBS请求的时间和位置信息，位置信息包括真实位置信息和假位置。因此，攻击者也可以计算出用户提交的位置集合中每个位置被用户查询的频率。

(2)攻击者具备地图知识和交通知识，即知道任意两个位置的距离和实际可达时间。因此，对于用户提交的连续LBS请求的位置序列，攻击者可根据这些背景知识对相邻LBS请求所产生的轨迹信息的有效性进行判断。

2、隐私评估

2.1隐私度量标准

现有的位置隐私度量标准主要从匿名集合大小和信息熵两个方面进行考虑。

定义1(基于匿名集合大小的隐私水平).用户匿名集合的大小表示匿名区C的隐私水平。

定义2(基于信息熵的隐私水平).匿名区C中包含的用户集合为U＝{u₁,u₂,…,u_m}，若u_i的足迹在匿名区C中出现的次数为n_i，则：

表示匿名区C中一共包含的足迹数。那么，匿名区域C的信息熵为：

所以，匿名区C的隐私水平定义为：P(C)＝2^H(C)。

本发明针对现有的假位置隐私保护方法提出的适用于连续LBS请求的隐私保护方法同时结合了上述两个隐私度量标准。即：不仅保证每次LBS请求用户提交的位置集合中至少包括k个位置，还保证根据位置特性计算的信息熵H(C)达到最大值。

2.2连续可达性衡量标准

用户在进行连续LBS请求时所构造的假位置序列需要满足连续可达性，否则攻击者根据地理信息和交通状况来分析时空关系，就能辨别出其中的某些虚假位置序列信息。例如，间隔20min的两次请求构造的假位置序列在20min不可达，则这些不可达的假位置就会被攻击者从位置集合中分辨出来。本发明将从以下三个方面考虑真实轨迹和假轨迹的不可区分性：

(1)时间合理性。只有当假轨迹能在现实中可达且所用时间与真实轨迹所用时间相近，攻击者才无法从生成的轨迹集合中区分出真实轨迹，否则攻击者能根据地图和交通信息判断出时间不合理的假轨迹。

(2)方向相似性。只有当假轨迹的运动方向与真轨迹的方向相似时，攻击者才会无法识别出假轨迹。本发明通过真实轨迹与假轨迹的方向夹角进行判断，当方向夹角满足一定阈值时，则认为该两条轨迹满足方向相似性。

(3)出入度与轨迹数量。k表示用户的位置隐私需求，在连续LBS请求中，不仅要使单次请求提交的假位置集合中有k-1个假位置，而且还要使得相邻请求的假位置集合所构成的合理假轨迹序列至少有k-1条，这样攻击者识别出真位置及真轨迹的概率至少为1/k。同时，本发明本文借用有向图中出入度的概念来表示经由某个位置的轨迹数量，其中，入度表示从该位置出发的轨迹数量，出度表示到达该位置的轨迹数量，位置集合的出入度代表了有效的假轨迹数量。每个位置的出入度体现这个位置的轨迹权值，出入度越大，与这个位置相关的轨迹条数越多，这个位置的重要性就高。为了防止攻击者通过位置重要性识别出真实位置，应该使得假位置的出入度与真实位置的出入度保持一致。本文通过计算假位置候选组的出入度平均值和方差来衡量集合中每个假位置与真实位置的出入度相似性，当假位置候选组的入度平均值与真实位置的入度大小靠近且其方差尽可能小时，认为该候选组中的每个假位置与真实位置的入度相似，此时对应的假轨迹数量便是最合适的假轨迹数量。

3、连续LBS请求下的基于假位置的位置隐私保护

基于现有的假位置隐私保护方案，本发明提出一个适用于连续LBS请求下的基于假位置的位置隐私保护方法。该方法主要由2个部分组成：连续请求的可达性检查算法和单次请求的位置隐私增强算法。其基本框架如图1所示，其中：

(1)候选假位置集合

本发明针对现有假位置隐私保护方案提出一个适用于用户连续LBS请求下的位置 隐私保护方法。故本发明所提隐私保护方法中的候选假位置集合可由现有任意假位置隐私 保护方案生成。设定用户的位置隐私需求为k，对于连续LBS请求中的第i次请求Q_i，设定的 初始化候选假位置集合大小为4k，即候选假位置集合

(2)连续请求的可达性检查

对候选假位置集合进行可达性检查，包括：时间合理性判断、方向相似性判断和出入度与轨迹数量判断。最终得到连续LBS请求下满足连续可达性的连续假位置候选组。

(3)单次请求的位置隐私增强检查

对于每一个连续LBS请求下的连续假位置候选组，通过个人查询度判断和分散度判断进行位置隐私水平的比较，选取位置隐私水平最高的候选组作为最终生成的假位置集合。

值得注意的是，当用户第一次进行LBS请求时，其候选假位置集合仍由现有假位置生成算法产生，但是，为了提高用户的位置隐私保护水平，将该候选假位置集合经过本框架的单次请求的位置隐私增强算法从而得到位置隐私水平最高的假位置集合。

3.1连续可达性检查

该算法主要对现有假位置生成方法产生的初始化候选假位置集合进行筛选，得到适用于连续LBS请求的连续假位置候选组。具体流程框架图如图2所示。如果经过连续可达性检查后未产生满足用户位置隐私需求的候选组，则返回到初始化候选假位置集合的生成步骤，扩大其候选假位置集合，重新进行连续可达性检查，直到存在满足需求的连续假位置候选组。

3.1.1时间合理性判断

由于攻击者拥有交通背景知识，因此用户在连续请求中形成的假轨迹需要满足现实可达性。假设用户连续两次请求分别为Q_i和Q_i+1，且：

(1)Q_i请求最终生成的假位置集合为：其中，表示用户在Q_i次请求时最终生成的假位置。

(2)Q_i+1请求的初始化候选假位置集合为：

那么，通过调用地图接口得到集合S_i和集合C_i+1中任意两个位置间的到达时间，当满足时间合理性判断阈值σ_T时，则该位置序列形成的假轨迹满足时间合理性要求，用有向图G_T＝＜V_T,E_T＞来表示Q_i+1次请求下满足时间合理性判断的假轨迹，其中：

(1)V_T＝S_i∪C′_i+1，其中：表示集合C_i+1中4k个假位置经过时间合理性判断后剩余的假位置集合，它满足：

其中，表示从真实位置到达所需的时间；σ_T是时间合 理性判断阈值；表示集合S_i和集合C_i+1中任意两个位置 间的到达时间与真实位置和间的到达时间的时间差的绝对值。

(2)E_T＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C′_i+1}，表示满足用户指定的时间合理性判断阈值σ_T的假轨迹集合。

3.1.2方向相似性判断

只有当假轨迹的运动方向与真实轨迹的运动方向相似时，攻击者才不会识别出假轨迹。本发明将假轨迹与真实轨迹的方向夹角作为评价标准，只有当方向夹角满足一定阈值σ_D时，则认为这两条轨迹是方向相似的。

同理，用有向图G_D＝＜V_D,E_D＞来表示Q_i+1次请求下满足方向相似性判断的假轨迹，其中：

(1)

(2)V_D＝S_i∪C″_i+1，其中：

表示满足时间合理性判断的假位置集合C′_i+1中的假位置经过方向相似性判断后剩余的假位置集合，其满足：

其中，表示假轨迹＜cⁱ,cⁱ⁺¹＞和真实轨迹间的方向夹角；σ_D是方向相似性判断阈值。

(3)E_D＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C″_i+1}，表示满足用户指定的方向相似性判断阈值σ_D的假轨迹集合。

3.1.3出入度与轨迹数量判断

在轨迹隐私保护过程中，并不仅只考虑假轨迹的数量，还对Q_i+1请求的每个连续假位置候选组的入度和对应的Q_i次请求的最终假位置集合S_i的出度进行判断。只有当连续假位置候选组满足用户指定的出入度判断阈值时，则满足连续可达性。

因此，出入度与轨迹数量判断的关系可用有向图G_N＝＜V_N,E_N＞表示，其中：

(1)V_N＝S_i∪C″′_i+1，其中，C″′_i+1表示满足时间合理性判断和方向相似性判断的假位置集合C″_i+1中的假位置经过出入度与轨迹数量判断后的连续假位置集合候选组，它满足：

∧(Ave_out(S_i)≤σ_{OUT_E})∧(Var_out(S_i)≤σ_{OUT_N})}

其中，表示m个假位置候选组，每个候选组含有k-1个假位置；和分别表示集合的入度平均值和入度方差，Ave_out(S_i)和Var_out(S_i)分别表示上次请求的最终假位置集合S_i的出度平均值和出度方差；(σ_{IN_E},σ_{IN_N})表示入度的平均值和方差判断阈值，(σ_{OUT_E},σ_{OUT_N})表示出度的平均值和方差判断阈值，通过集合的出入度平均值判断阈值和方差判断阈值来衡量集合中每个假位置与真实位置的出入度相似性。

(2)表示满足用户指定的出入度平均值判断阈值和出入度方差判断阈值的假轨迹集合。

综上所述，用户第Q_i+1(i≥1)次请求的连续可达性检查过程如算法1所示。

3.2单次请求的位置隐私增强

通过上述算法，可得到满足连续可达性的连续假位置候选组。本发明对其中的每一个连续假位置候选组再进行单次请求的位置隐私增强，选择隐私水平最高的一组作为最终的假位置集，其流程框架图如图3所示。

由于攻击者知道用户发送的所有请求位置，因此知道每个位置的被查询频率。并且，因为攻击者可以收集特定用户的所有请求位置，获知某个位置被特定用户查询的频率，所以，他还可发起针对特定用户的位置推测攻击。为此，需要所构造的假位置集合中的每个位置的个人查询频率尽可能相同，此时计算的信息熵最大。如果存在多个信息熵最大的候选组时，选择分散度最大的一组作为该次请求的最终假位置集合。具体的单次请求的位置隐私增强过程如算法2所示。

下面结合实验仿真对本发明的应用效果作进一步的说明。

1、实验仿真

为了说明现有基于假位置的隐私保护方案不适用于用户连续请求情形，选取2014年INFOCOM会议上的方案作为实例，说明其方案在用户连续请求下存在的轨迹泄漏的风险。并通过与该方案进行比较，说明本发明提出的适用于用户连续请求下的假位置隐私保护方法不仅能满足用户单次LBS请求情形下的位置隐私需求，还确保了连续LBS请求时的轨迹隐私安全。

1.1实验数据及平台

本发明的算法是用C++编程语言实现，实验环境为3.3GHz的Intel双核CPU，4GB内存，操作系统为Windows 7。

实验数据是由Thomas Brinkhoff提出并实现的基于网络的移动对象生成器(Network-based Generator of Moving Objects)产生。该生成器以德国城市Oldenberg(面积为16km×16km)的交通路线图作为输入，通过设置移动对象个数、移动速度和运行时间段，生成器可以模拟移动对象在地图上一系列运动轨迹，输出以(对象，时间，位置坐标)为标记的运动信息，本文使用这些信息作为用户的历史足迹记录。移动速度采用生成器的默认设置，本文选取地图的8km×8km部分作为记录足迹的区域，将区域以网格为单位划分，每个网格的面积为100m×100m，用户发起LBS请求的位置信息以网格序号为标记，这样可以保护用户的准确位置不被攻击者获取。实验中模拟1000个用户在500个时间单位内的移动，为了获得较大的数据集，进行了多次随机模拟。通过记录用户在区域内产生的时间戳和位置坐标，计算各个网格的初始被查询频率。对于用户发起的连续LBS请求，请求的位置信息从用户的1000个足迹中进行抽样选取。设置用户的位置隐私需求k的变化范围为3～20，且对于不同的k值，分别进行请求个数为10的连续LBS请求。在对比的实验中，设置的时间合理性判断阈值σ_T＝1/2，方向相似性判断阈值σ_D＝75°，设置初始出入度平均值判断阈值σ_{IN_E}＝σ_{OUT_E}＝1，出入度方差判断阈值σ_{IN_N}＝σ_{OUT_N}＝0.8，然而在实验中当得到的假位置候选组的出入度不满足上述阈值时，逐步扩大阈值范围，使得出入度的平均值判断阈值与真实位置的入度尽可能相同，出入度的方差判断阈值尽可能小。在本实验中两个位置间的现实到达时间是通过调用Google地图接口获得的。由于将移动对象生成器产生的Oldenberg城市的位置点转换为现实中的经纬度时存在一定的误差，所以求出两点间实际到达时间也存在一定的误差，但并不影响本发明的实验结论。

1.2连续LBS请求对现有的位置隐私保护方法的影响

当直接将针对单次LBS请求的位置隐私保护算法enhanced-DLS用于连续LBS请求下的假位置构造时，由图4可知，在不同的k值下，对于10个连续LBS请求只有3个或4个请求产生的假位置集合满足连续可达性条件，而其他请求因为其假位置集不能满足连续请求的轨迹隐私保护需求而导致请求失败，从而导致整个连续LBS请求得不到响应。这是因为在连续LBS下，相邻请求构造的假位置序列需要满足连续可达性衡量标准，否则攻击者容易识别出假轨迹，进而识别出真实轨迹，最后导致真实位置泄漏，不能满足用户的位置隐私需求。

1.3隐私需求变化对单次LBS请求的位置隐私水平的影响

通过与enhanced-DLS算法从平均匿名区面积大小和信息熵两方面对用户单次LBS请求的位置隐私水平进行对比，实验结果表明，本发明所提出的连续LBS请求下的基于现有假位置生成算法的位置隐私保护方案并不会降低用户原有的位置隐私水平。

通过实验发现，随着用户位置隐私保护需求k的增大，enhanced-DLS算法和本发明分别构造的假位置集合的信息熵都在增大。尤其是当用户位置隐私保护需求k＝3到k＝7时，熵值完全相等，如表1所示。由于篇幅有限，不逐一比对。

表1.平均信息熵值的比对

这表明将enhanced-DLS算法作为本发明的初始阶段的输入实例进行连续可达性检查和位置隐私增强处理后，并没有大幅度降低其单次LBS请求下的位置隐私水平。因此，在连续LBS请求下，本发明所提方法也能够满足用户对单次LBS请求的位置隐私需求。

下面，将对这两种方法在单次LBS请求下构造出的假位置集合的匿名区面积和分散度进行比较。如图5所示。

图5(a)表明，随着用户位置隐私保护需求k的提高，所构成的假位置集合所在的匿名区域面积总体呈增大趋势，但是存在一定的波动。造成波动的原因是由于假位置的构造不仅考虑假位置的分布距离还考虑了假位置的查询频率等特点，从而导致匿名区域面积不一定随着假位置数量的增加而增大。然而通过对比发现，本发明所提方法形成的匿名区域面积始终大于enhanced-DLS算法所形成的匿名区域。图5(b)表明，随着用户位置隐私保护需求k的提高，假位置集合的距离积呈增大趋势。距离积反映了假位置之间的相对距离，距离积越大，假位置的相互之间分布的越远，分散度越大，攻击者越难推测出真实位置的大概区域。对比发现，本发明所提方法形成的假位置集合的距离积也始终大于enhanced-DLS算法。综上所述，本发明所提方法在用户单次LBS请求时，提供了更高的位置隐私保护水平。

1.4隐私需求变化对连续LBS请求的轨迹隐私水平的影响

在连续LBS请求下，用户的轨迹隐私水平主要体现在所形成的假轨迹数量上。如图6所示，“trajectory number limit”是指理想情况下，假位置的出入度与真实位置的出入度相同，此时假位置集合中形成的满足连续可达性衡量标准的假轨迹条数。

实验表明，随着用户位置隐私需求的提高，理想轨迹数目与本发明所提方法构造出的假位置集合间的轨迹条数随之增多。双方存在渐近渐远的关系是因为当用出入度平均值和方差判断阈值衡量假位置候选组中每个假位置与真实位置的出入度相似性时，理想情况下，候选组的入度平均值和对应的上次请求的最终假位置集合的出度平均值都与真实位置的入度相等且出入度方差为0，然而由于实验数据集的限制，实验中构造的假位置集合难以满足上述理想条件，因此在方案中提出平均值和方差判断阈值，当小于阈值时，则认为攻击者无法根据出入度推测出真实位置，此时的假轨迹数量满足轨迹隐私保护需求。因此此时的轨迹数量虽未到达理想情况，但是接近于理想情况，可以保证用户的轨迹隐私需求。

1.5本发明所提方案的性能分析

在时间合理性判断阈值变化对本发明所提方案的性能影响的实验中，方向相似性的阈值是方向夹角不超过σ_D＝75°；而在方向相似性判断阈值变化对本发明所提方案的性能影响的实验中，时间合理性判断阈值是σ_T＝1/2。当k＝6时，实验结果分别如图7(a)，图7(b)所示。

在时间合理性阈值变化图7(a)中，当时间合理性判断阈值逐渐增大时，连续可达性阶段的平均处理时间呈骤降变化并趋于平稳，这是因为如果阈值越小，则假轨迹的所用时间与真实轨迹的时间需要相近乃至相同，如果不存在这样的假轨迹，则需要重回初始化阶段重新生成数量更多的假位置来进行筛选，因此会导致更长的处理时间，直到有满足时间合理性的足够数量的假轨迹。如果阈值逐渐增大，则原有的假位置候选项已经有足够数量的假轨迹满足时间合理性，则不需要重返初始阶段，所以处理时间较少且在一定阈值范围内相近。虽然其在2/3处有一定的波动，但是本方案的性能(体现在方案耗时上)基本保持平稳。同理在方向相似性阈值变化7(b)中，方向阈值越小，所需运行时间则越大，同样符合现实情况。

下面给出k值变化对本发明所提方案的运行时间的影响，如表2所示。在此要强调的是，仅罗列出用户端的计算开销，而不考虑访问地图接口的时间(受网速和接口的限制等客观原因的约束)。由于本发明方案在进行时间合理性判断、方向相似性判断和出入度和轨迹数量判断过程中，一旦不存在满足连续可达性的连续假位置候选组，均需要重新返回并扩大初始候选假位置的生成，因此本发明所提方案在耗时上并不一定随着用户位置隐私需求k的增大而增加。同理，在位置隐私增强算法中，当连续假位置集合候选组存在多个基于个人查询度的信息熵最大值时，需要进行分散度的检查，所以算法的消耗时间并不确定。但是，总体而言，本发明具有较好的实用性。

表2连续请求下基于假位置的用户隐私增强花费时间(ms)

以上所述仅为本发明的较佳实施例而已，并不用以限制本发明，凡在本发明的精神和原则之内所作的任何修改、等同替换和改进等，均应包含在本发明的保护范围之内。

Claims (1)

1.一种连续位置服务请求下基于假位置的位置隐私保护方法，其特征在于，所述连续位置服务请求下基于假位置的位置隐私保护方法采用连续请求的可达性检查算法和单次请求的位置隐私增强算法；

连续请求的可达性检查算法对单次请求的假位置生成方法产生的候选假位置集合的每个假位置进行时间合理性判断和方向相似性判断，得到能同时满足时间合理性和方向相似性需求的候选假位置集；然后每次从该候选假位置集中任意选择包含真实位置的k个位置进行出入度与轨迹数量判断；最终得到满足连续请求可达性的连续假位置候选组，可满足用户轨迹隐私需求；

单次请求的位置隐私增强算法针对每一个连续假位置候选组，通过个人查询度判断和分散度判断进行位置隐私水平的比较，选取位置隐私水平最高的候选组作为最终生成的假位置集合；

所述候选假位置集合由针对单次请求的假位置生成方法产生，设定用户的位置隐私需求为k，对于连续LBS请求中的第i次请求Q_i，初始化候选项大小为4k，即候选假位置集合

所述连续请求的可达性检查算法对连续LBS请求下的初始化候选假位置集合进行筛选，得到适用于连续LBS请求的连续假位置候选组；如果经过连续可达性检查后未产生满足用户位置隐私需求的候选组，则返回到初始化候选假位置集合的生成步骤，扩大其候选假位置集合，重新进行连续可达性检查，直到存在满足需求的连续假位置候选组；

所述时间合理性判断：

用户连续两次请求分别为Q_i和Q_i+1，且：

Q_i请求最终生成的假位置集合为：其中，表示用户在Q_i次请求时最终生成的假位置；

Q_i+1请求的初始化候选假位置集合为：

通过调用地图接口得到集合S_i和集合C_i+1中任意两个位置间的到达时间，当满足时间合理性判断阈值σ_T时，则该位置序列形成的假轨迹满足时间合理性要求，Q_i+1次请求下假轨迹的时间合理性关系可用有向图G_T＝＜V_T,E_T＞来表示， 其中：

V_T＝S_i∪C′_i+1，其中表示集合C_i+1中4k个假位置经过时间合理性判断后剩余的假位置集合，它满足：

其中，表示从真实位置到达所需的时间；σ_T是时间合理性判断阈值；表示集合S_i和集合C_i+1中任意两个位置间的到达时间与真实位置和间的到达时间的时间差的绝对值；

E_T＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C′_i+1}，表示满足用户指定的时间合理性判断阈值σ_T的假轨迹集合；

所述方向相似性判断：

将假轨迹与真实轨迹的方向夹角作为评价标准，只有当方向夹角满足一定阈值σ_D时，则认为这两条轨迹是方向相似的；

假轨迹的方向相似性关系可用有向图G_D＝＜V_D,E_D＞表示，其中：

V_D＝S_i∪C″_i+1，其中表示满足时间合理性判断的假位置集合C′_i+1中的假位置经过方向相似性判断后剩余的假位置集合，其满足：

其中，表示假轨迹＜cⁱ,cⁱ⁺¹＞和真实轨迹间的方向夹角；σ_D是方向相似性判断阈值；

E_D＝{＜cⁱ,cⁱ⁺¹＞|cⁱ∈S_i∧cⁱ⁺¹∈C″_i+1}，表示满足用户指定的方向相似性判断阈值σ_D的假轨迹集合；

所述出入度与轨迹数量判断：

假轨迹的出入度与轨迹数量关系可用有向图G_N＝＜V_N,E_N＞表示，其中：

V_N＝S_i∪C″′_i+1，C″′_i+1表示同时满足时间合理性和方向相似性判断的假位置集合C″_i+1中的假位置经过出入度与轨迹数量判断后的连续假位置集合候选组，它满足：

其中，表示m个假位置候选组，每个候选组含有k-1个假位置；和分别表示集合的入度平均值和入度方差，Ave_out(S_i)和Var_out(S_i)分别表示上次请求的最终假位置集合S_i的出度平均值和出度方差；(σ_{IN_E},σ_{IN_N})表示入度的平均值和方差判断阈值，(σ_{OUT_E},σ_{OUT_N})表示出度的平均值和方差判断阈值，通过集合的出入度平均值判断阈值和方差判断阈值来衡量集合中每个假位置与真实位置的出入度相似性；

表示满足用户指定的出入度平均值判断阈值和出入度方差判断阈值的假轨迹集合。