CN107707566A

CN107707566A - 一种基于缓存和位置预测机制的轨迹隐私保护方法

Info

Publication number: CN107707566A
Application number: CN201711085881.1A
Authority: CN
Inventors: 张少波; 廖俊国; 李雄; 宁红辉
Original assignee: Hunan University of Science and Technology
Current assignee: Hunan University of Science and Technology
Priority date: 2017-11-07
Filing date: 2017-11-07
Publication date: 2018-02-16
Anticipated expiration: 2037-11-07
Also published as: CN107707566B

Abstract

本发明公开了一种基于缓存和位置预测机制的轨迹隐私保护方法，该方法分别在客户端和匿名器使用多级缓存机制，缓存用户查询得到的候选结果集，供用户连续LBS查询中的后续查询点或其它用户使用，以减少用户与LSP之间的交互，降低用户信息暴露给LSP的风险。同时通过基于Markov的移动位置预测方法，结合数据时效性、用户查询概率形成匿名域，在提高缓存命中率的同时也提高了用户的轨迹隐私，并减轻LBS服务器的查询开销。

Description

一种基于缓存和位置预测机制的轨迹隐私保护方法

技术领域

本发明属于计算机科学与技术领域，特别涉及一种基于缓存和位置预测机制的轨迹隐私保护方法。

背景技术

目前，基于位置服务(Location Based Service,LBS)已广泛应用于军事、商业和民生等领域。用户通过LBS可以获得当前位置附近的兴趣点(Points of Interests,POIs)，如最近的影院、医院和餐馆等。根据用户连续的LBS查询，攻击者可能分析出特定用户轨迹的敏感信息，如家庭住址、生活习惯和健康状况等行为特征。苹果手机引发的“隐私门”风波，就是通过LBS泄露用户的隐私。因此，LBS中的轨迹隐私保护已成为急需解决的问题。

在连续LBS查询中，学者已提出一些轨迹隐私保护方法，主要分为两类结构：点对点和基于可信第三方(Trusted Third Party,TTP)的中心服务器结构。在点对点结构中，用户发送的查询需要进行匿名或变换处理，对终端将会产生较大开销。在基于TTP中心服务器结构中，引入一个可信匿名器作为移动用户和位置服务提供商(Location ServiceProvider,LSP)之间的中间体，它负责对用户的查询进行泛化处理，形成一个包括K个用户的匿名域。但在该结构中，用户每次查询得到精确结果后，往往将获得的候选结果集丢弃。即使不同用户对相同范围和兴趣点的查询，用户也要向LSP进行重复查询，这将会提高用户信息暴露给LSP的风险，也会增加LBS服务器的开销。虽然LBS查询过程中使用了一些隐私保护技术，但这些方法给用户提供了有限的隐私保护。

发明内容

针对可信第三方服务器结构存在的局限性，本发明提出一种基于缓存和位置预测机制(Cache and Location Prediction Mechanism,CLPM)的轨迹隐私保护方法。该方法分别在客户端和匿名器使用多级缓存机制，缓存用户查询得到的候选结果集，供用户连续LBS查询中的后续查询点或其它用户使用，以减少用户与LSP之间的交互，降低用户信息暴露给LSP的风险。

一种基于缓存和位置预测机制的轨迹隐私保护方法，包括以下步骤：

步骤1：依据查询请求对请求客户端所在区域进行网格划分，划分成m×m个大小相等的网格单元，构建网格结构Grid_structure((x₁,y₁),(x₂,y₂),m)，并对网格结构中每个网格单元进行唯一标识；

其中，(x₁,y₁)和(x₂,y₂)分别表示请求客户端所在区域的左下角坐标和右上角坐标；

步骤2：基于请求客户端发出查询请求时的实时位置和查询半径，获取查询半径范围所覆盖的所有网格单元标识；

步骤3：与相邻客户端进行通信，依次在自身客户端和相邻客户端的缓存中查询是否存在步骤2中所述的网格单元标识：

若存在，则依据对应网格单元标识，在客户端缓存中查找请求兴趣点，若找到与查询请求匹配的兴趣点，则发给请求客户端，结束本次查询请求，否则，进入步骤4；

若不存在，则进入步骤4；

每个客户端的缓存中存有与各自发出的查询请求匹配的兴趣点和兴趣点所在的网格单元标识；

步骤4：使用匿名器公钥对请求消息进行加密后，发送给匿名器；

所述请求消息包括查询请求内容、请求客户端当前位置和运动方向、随机生成的密钥；

步骤5：匿名器收到加密请求后，利用匿名器私钥进行解密，并依据解密后的查询请求内容在匿名器的缓存中进行搜索，将搜索到的查询结果，返回给请求客户端，结束本次查询请求，否则，将未查询过的网格单元标识生成匿名域，发送至LBS服务器进行查询，进入步骤6；

步骤6：LBS服务器对查询请求在匿名域内查询属于各网格单元中兴趣点，并将查询结果采用匿名器的公钥加密后，返回给匿名器；

步骤7：匿名器将从LBS服务器接收的信息进行解密，并与请求客户端需要查询的网格单元标识进行匹配，将匹配的网格单元标识及对应的兴趣点利用请求客户端随机生成的密钥进行对称加密后，返回给请求客户端，同时将解密后的网格单元标识以及对应的兴趣点更新至匿名器缓存中。

步骤8：请求客户端对从匿名器接收的信息进行解密，获得与查询请求匹配的兴趣点集，并依据请求客户端设定的查询半径，对各兴趣点进行筛选，得到精确查询结果，同时将当前查询请求结果更新至自身缓存中。

进一步地，采用基于Markov移动位置预测方法，预测请求客户端在移动过程中的下一个位置，根据Markov预测的下一个位置、数据查询有效期以及网格单元中请求客户端发出查询的概率，选择未查询过的网格单元标识形成匿名域。

进一步地，所述采用基于Markov移动位置预测方法，预测请求客户端在移动过程中的下一个位置的具体过程如下：

步骤A1：根据请求客户端的历史轨迹，获得各个停留点，并将各个停留点所在位置对应至网格结构中，得到各个停留点位于网格结构中的网格单元标识；

步骤A2：基于现有的时间距离约束的网格聚类算法，对所有的网格单元标识进行聚类，得到请求客户端在各个网格单元的聚类停留点；

步骤A3：依据聚类停留点，构建请求客户端在不同网格单元中的状态转移矩阵Pr：

Pr＝{p_i,j}

其中，p_i,j表示请求客户端在历史轨迹中从网格单元i移动网格单元j的概率，w_i→j表示请求客户端在历史轨迹中从网格单元i移动网格单元j的次数；

步骤A4：依据请求客户端当前位置所在的网格单元，计算移动至周围所有相邻网格单元的概率，选取概率最大的对应网格单元作为下一个移动位置的预测位置L_predict。

进一步地，所述匿名域的生成过程如下：

步骤B1：根据匿名度k、需要查询的网格单元标识数目k_number＝Count(I_h)，确定需要选择的网格单元数目K＝k-k_number；

步骤B2：以预测位置L_predict为中心选取周围的N个网格单元，并按在每个网格单元中的请求客户端发出查询的概率P_i，对所选取的N个网格单元进行从大到小排序，选取前2k个网格单元；

步骤B3：从所选2k个网格单元中随机选择K个作为候选集C_s，并对每个候选集计算获取满足请求客户端查询概率最大且数据时效性最短的网格单元作为匿名域；

其中，C_di表示计算每个网格单元的查询概率和数据的时效性，P_i表示每个网格单元中请求客户端发出查询的概率，m×m的网格中T表示设定查询结果数据的有效时间，t表示查询结果数据已在匿名器缓存的时间，3k≤N≤4k，匿名度k是根据各自隐私需求设置，且大于等于2倍需要查询的网格单元，K＝k-k_number，其中k_number是请求客户端还需要查询的网格单元标识数目，1≤K<k，|C_s|表示候选集Cs中候选网格单元的数量；

步骤B4：选取每个在C_d中的网格单元(c_i,r_j)与I_h中请求客户端需要查询的网格单元形成匿名域。

进一步地，在所述步骤3中与相邻客户端进行通信，依次在自身客户端和相邻客户端的缓存中查询是否存在步骤2中所述的网格单元标识时，若成功查询的网格单元标识与查询请求中的所有网格单元标识比值大于设定的匹配率θ，则认为在自身客户端和相邻客户端的缓存中查询存在步骤2中所述的网格单元标识，且请求客户端的查询请求结果包括从自身客户端、相邻客户端以及匿名器获得的兴趣点集合；

其中，θ的取值范围为0-1。

为合理平衡用户服务质量与隐私之间的关系，系统设置了一个阀值θ，它表示用户在缓存中匹配的数据与需要查询数据的比例，其最大值为1。θ值越大，其服务质量就越好，但会降低用户隐私。因此，用户应根据自己的隐私需求设置一个合适的阀值θ。

有益效果

本发明针对用户重复向LSP查询相同区域而增加用户隐私风险的问题，提出了一种基于缓存和位置预测机制的轨迹隐私保护方法，该方法中LSP被定义为诚实而好奇的实体，通过缓存机制能有效的减少用户隐私信息泄露给LSP的风险，其优点具体包括以下几点：

(1)通过采用多级缓存在客户端和匿名器分别缓存查询到的结果集，供用户后续查询点或其它用户使用，减少了用户与LSP之间的交互，降低了用户隐私泄露的风险。

(2)利用Markov移动位置预测方法预测用户移动过程中的下一个位置，并根据该位置、数据时效性和用户查询概率形成匿名域，提高用户查询的命中率并提高隐私。

(3)通过分析和实验表明本发明提出的CLPM方法能提高用户的轨迹隐私，并能较少用户在LBS服务器上的查询开销。

附图说明

图1为本发明所述方法对应的模型示意图；

图2为本发明所述的CLPM轨迹隐私保护工作过程示意图；

图3为匿名网格单元选取机制示意图；

图4为各实体匹配网格单元数目变化图；

图5为匹配率取值对命中率的影响示意图；

图6为K值对命中率的对比图；

图7为LBS服务器开销对比图，其中，(a)为时间开销，(b)为通信开销。

具体实施方式

下面将结合附图和实施例对本发明做进一步地说明。

在本实例中，采用用户表示请求客户端和相邻客户端。

如图1和图2所示，一种基于缓存和位置预测机制的轨迹隐私保护方法，主要包括客户端缓存查找与查询请求、匿名器缓存查找与位置匿名、LSP数据查询、匿名器更新与匹配用户结果集、请求客户端更新与求精结果五个过程，具体如下：

步骤1：客户端缓存查找与查询请求

系统在用户查询前指定一个查询范围，该范围可由左下角坐标(x₁,y₁)和右上角坐标(x₂,y₂)确定，同时将其划分为大小相等的m×m网格。因此，用户指定的查询范围网格结构可表示为：Grid_structure←((x₁,y₁),(x₂,y₂),m)；

在该网格结构中，每个网格单元都有唯一的标识，由(c_i,r_j)确定，其中c_i表示列标识，r_j表示行标识，1≤i,j≤m。在查询范围内任选一点(x_i,y_i)，则它的网格单元标识(c_i,r_i)可表示为：

根据用户需要查询的范围区域，确定该区域内覆盖的每个网格单元标识(c_i,r_i)，然后根据用户兴趣点类型POI_type，在客户端的用户缓存和合作用户缓存(即相邻客户端)中分别查找相匹配的结果。为合理平衡用户服务质量与隐私之间的关系，系统设置了一个阀值θ，它表示用户在缓存中匹配的数据与需要查询数据的比例，其最大值为1。θ值越大，其服务质量就越好，但会降低用户隐私。因此，用户应根据自己的隐私需求设置一个合适的阀值θ。

用户在查询过程中，如果能匹配到的网格单元标识与需要查询的网格单元标识比例为λ，且θ≤λ时，则直接对匹配到的网格单元所包含的数据进行求精获得精确结果。当θ>λ时，则将未找到的网格单元标识形成标识集I_h。

I_h←{(c_i,r_j)},1≤i,j≤m,1≤h≤n

最后，用户将需要查询的网格单元标识集I_h、随机生成的密钥K_u、用户当前位置L_h和运动方向D_h、网格结构Grid_structure以及查询内容POI_type组成用户的请求消息，并使用匿名器的公钥PK_a对请求消息进行非对称加密形成请求消息MSG_U2A发送给匿名器。

步骤2：匿名器缓存查找与位置匿名

匿名器收到查询请求消息MSG_U2A后，先用自己的私钥SK_a对MSG_U2A解密，获得标识集I_h，然后在匿名器缓存中查找这些标识。如果能找到的网格单元标识满足设定的阀值θ要求，则返回查询结果给用户。对匿名器缓存中未查找到的网格单元标识，必须先对这些网格单元标识进行匿名处理。在形成匿名域时，采用基于Markov移动位置预测方法，预测用户在移动过程中的下一个查询位置，然后根据Markov预测的移动位置、数据时效性、用户查询概率形成匿名域，以提高用户查询命中率，并加强隐私。

基于Markov移动位置预测方法主要从移动用户的历史轨迹中获取一些有意义的物理位置，也就是定义的停留区域如校园、公园等特定场所。然后通过统计概率模型来预测移动用户的位置。

利用现有文献[1]中提出的基于时间距离约束的网格聚类算法，从用户历史轨迹数据T中提取出停留区域集合R。该算法首先将用户查询范围划分成网格，并将用户的历史轨迹数据映射到网格。然后，在空间上将密集的网格单元聚集成停留区域SP＝{sp₁,sp₂,…,sp_n}。最后，将它们表示成连续的轨迹序列Tra＝<r_i,r_i+1,…,r_j>，r_i,r_j∈R。

Markov模型由一系列的状态以及状态转移矩阵组成，第n次转换得到的状态只与前n-1次的状态有关。通过输入用户的每条历史轨迹序列，可获得该移动用户的历史停留区域序列Tra＝{r₁,r₂,…,r_N}，它可表示为一个状态变量序列X＝{x₁,x₂,…,x_N}。若移动对象潜在的停留区域数目为m，则状态空间集合S＝<s₁,s₂,…,s_m>，同时每个停留区域对应一个状态，且移动对象在某一时刻只能处于一种状态。

当用户所有的停留点映射到各网格单元标识后，就可以构造一个权重图G(V,E,W)，其中：V表示网格单元标识的集合，E是从一个网格单元到另一网格单元边的集合，W是边的权重。边的权重w_i→j为用户从位置i到j的数目。基于该权重图可以建立状态转移矩阵Pr＝Pr(R[i],R[j])。使用马尔可夫链模型计算移动用户从位置i到另一位置j的概率为：

移动用户在状态S_i至他的下一个后续状态S_j的一步状态转移概率可表示为Pr(S_i→S_j)＝Pr(S_n+1＝S_j|x_n＝S_i)。通过对移动用户的目标位置进行预测，并对每一个停留区域计算其移动概率，取其中移动概率值最大的为预测移动位置L_predict。

(2)形成匿名域算法

通过Markov移动位置预测算法获得移动用户的下一位置后，然后根据该预测位置、数据时效性和用户查询概率，选择k个网格单元形成匿名域，以提高缓存的命中率。

数据时效性

匿名器缓存中的数据都具有时效性，在相同情况下，优先选用将要过期的网格单元数据进行更新。数据的有效时间度可表示为：

其中：T表示查询结果数据的有效时间，t表示查询结果数据已在匿名器缓存的时间。在形成匿名域时，选择k个网格单元数据的平均有效时间度为：

用户查询概率

图3中整个查询区域被划分成8×8的网格单元，每个网格单元填充不同的背景，表示该网格单元中用户发出查询的不同概率，其中空白单元格表示没有用户发出查询，他们可能是海洋、湖泊和森林等用户几乎不去的地方。如果A所在网格单元发出查询时，选择B、C网格单元作为匿名域，攻击者很容易推断出用户是在A网格单元区域。因此，形成匿名域时选择用户发出查询概率高的网格单元作为匿名域，以提高缓存的贡献率和用户隐私。

如果P_i表示每个网格单元用户发出查询的概率，且在不考虑时效性时，那么选择k-1个单元格匿名时的贡献率为：

在形成匿名域算法时，应选择满足数据时效性最短且用户查询概率最大的网格单元作为匿名域，可表示为：

所述匿名域的生成过程如下：

步骤B4：选取每个在C_d中的网格单元(c_i,r_j)与I_h中的请求客户端需要查询的网格单元形成匿名域。

通过上述的匿名域生成过程形成包含k个网格单元的匿名域。最后，匿名器将匿名域Region、网格结构Grid_structure以及POI_type组成新的查询消息，并使用LBS服务器的公钥PK_S对它们进行非对称加密形成MSG_A2S，再发送到LBS服务器。

步骤3：结果数据查询

LBS服务器收到匿名器转发的请求信息MSG_A2S后，首先使用服务器私钥SK_s解密MSG_A2S，得获得Grid_structure、Region和POI_type。然后，根据Grid_structure中(x₁,y₁)、(x₂,y₂)和m恢复用户指定的查询范围网格结构，并根据用户POI_type查询Region包含网格单元中的POIs，得到g个POIs。通过计算每个兴趣点位置(x_i,y_i)所对应的网格单元标识，获得每个网格单元标识(c_z,r_t)包含的兴趣点集。最后，LBS服务器将这些查询到的兴趣点网格集形成结果集MSG，用匿名器的公钥PK_a进行加密形成消息MSG_S2A，再返回给匿名器。

(c_z,r_t)＝{(x_i,y_j)}(1≤i,j≤g)

步骤4：匿名器更新与匹配用户结果集

匿名器首先解密MSG_S2A得到匿名域中每个网格单元标识对应的POIs，并将它更新到匿名器缓存。然后，匿名器将查询得到的网格单元标识集与请求客户端需要查询区域的网格单元标识I_h进行匹配，找到请求客户端需要查询的网格单元标识及对应的POIs。最后，匿名器使用请求客户端的密钥K_u，对查询到的网格单元标识及包含的POIs进行对称加密，并组成MSG_A2U返回给请求客户端。

步骤5：请求客户端更新与求精结果

请求客户端收到MSG_A2U后，首先用密钥K_u解密MSG_A2U获得所需查询网格单元中的每个POI精确位置。然后，请求客户端将得到的网格单元标识及包含的POIs更新到请求客户端缓存。由于请求客户端的缓存有限，当缓存不能满足存储需求时，采用基于请求客户端运动趋势的缓存策略。请求客户端根据当前位置L_h和运动方向D_h，需替换与请求客户端运动方向D_h相反，且距离移动请求客户端下一个目标预测位置L_predict最远的POIs，以提高缓存的命中率。最后，请求客户端计算包含在自己查询范围内的POIs，获得精确查询结果。

攻击者的主要目标是获取特定用户的位置隐私，本方案假定匿名器和合作用户是安全的。目前主要的攻击模型分为强攻击者和弱攻击者攻击模型。在强攻击模型中，LSP可能是潜在的强攻击者，它可以执行连续的查询攻击，以获得特定用户的隐私信息。在弱攻击模型中，攻击者试图窃听和分析传输的数据，以获取用户的敏感信息进行攻击。具体分析CLPM方法分别抵制连续查询和侦听者的攻击如下：

1)抵制LSP攻击

LBS服务器记录了所有用户的查询数据，LSP试图从这些数据中推断出指定用户和他所对应的位置等信息。用户初次查询时，如他不能在缓存中获得全部查询结果，用户发送的查询需经过匿名器匿名后，再转发给LSP查询。LSP收到的查询请求为MSG_A2S，MSG_A2S中包含匿名域Region、兴趣点类型POI_type以及网格结构Grid_structure，LSP从这些信息中不能获得用户的真实位置。在匿名域Region中，它包含k个网格单元，每个网格单元至少包含一个用户，LSP能成功猜测到指定用户的概率也最多只有1/k。同时在CLPM范围查询中，采用基于Markov移动位置预测方法预测用户移动过程中的下一个位置，并根据该位置、数据时效期和用户查询概率等信息形成匿名域，该匿名域不一定包含用户的真实位置。

用户在后续点的查询过程中，他可能通过客户端缓存或匿名器缓存直接获取全部查询结果。如果用户直接从缓存中获得查询结果，他将不需要与LSP进行交互，因此，LSP不能获得用户的任何信息。以上分析可知，从这些连续查询数据中，LSP不能获得指定用户对应的真实位置，因此，CLPM方法能抵制LSP的连续查询推断攻击。

2)抵制窃听者的攻击

侦听者通过侦听不安全的无线信道，试图从这些数据推断出用户的一些敏感信息，从而揭露用户的真实位置。在CLPM系统中，侦听者试图侦听客户端与匿名器、匿名器与LBS服务器之间的通信信道，以获得一些用户的敏感信息。

当用户发送查询请求给匿名器时，MSG_U2A用匿名器的公钥PK_a进行非对称加密，侦听者没有匿名器的私钥SK_a，不能解密MSG_U2A得到有用信息。当匿名器转发请求消息给LBS服务器时，MSG_A2S用LBS服务器的公钥PK_S进行了非对称加密，同样侦听者没有LBS服务器的私钥SK_S，就不能解密MSG_A2S得到有用信息。在查询结果集返回给用户过程中，也使用了非对称加密函数E(·)和对称加密函数En(·)分别对MSG_S2A、MSG_A2U进行了加密，侦听者没有匿名器的私钥SK_a或用户密钥K_u，也不能解密MSG_S2A和MSG_A2U。

从以上分析可知，在用户查询过程中侦听者不能获得任何有用信息，更不能得到用户的精确位置，因此，本发明所述的CLPM方法能抵制侦听者的攻击。

通过实验验证用户连续查询时，各实体匹配网格单元数目的变化以及相关参数变化时对CLPM方案系统性能的影响，同时在缓存命中率和LBS服务器开销上，与MobiCrowd以及CaDSA进行实验对比。实验采用由Brinkhoff移动对象生成器，并利用德国奥尔登堡市交通网络图(区域为23.57Km×26.92Km)作为输入，生成20000个移动用户，查询用户集数据是随机分布的。实验参数设置如表1所示。实验的硬件环境为：Intel(R)Core(TM)i5-4590CPU@3.30GHz3.30GHz,4.00GB内存，操作系统为Microsoft Windows 7，采用MyEclipse开发平台，以Java编程语言实现。

表1实验参数设置

各实体匹配网格单元数目情况

当k＝30、m＝10000和θ＝0.8时，用户每次查询周围96个单元格内包含的POIs，通过对用户连续发出的10次LBS查询请求，分析对系统中客户端、匿名器和LBS服务器获得的匹配网格单元数目变化情况。由图4可知，随着用户查询次数的增加，用户从客户端和匿名器获得的匹配网格单元数目逐步增加，而从LBS服务器获得的匹配网格单元数目逐步减少，并且最终各部分都趋于一个相对平稳状态。因为在用户刚开始查询时，客户端和匿名器端的缓存中只有少量用户所需的POIs，用户只能从LBS服务器查询。随着用户查询次数的增加，客户端和匿名器缓存中缓存了一定数量的用户需要查询的POIs，用户可直接从缓存中匹配这些网格单元，只有没有匹配的网格单元才需要到LBS服务器中查询。

如果用户从客户端缓存中直接获得查询结果，用户的隐私度就越高，开销越小。相反如果用户从LBS服务器查询的POIs越多，用户的隐私度就越低，开销也越大。从图4可以发现，随着用户查询次数和时间的增加，用户从客户端、匿名器和LBS服务器匹配的网格单元比例分别为29.2％、56.2％和14.6％。系统中各实体隐私度对比为表2所示。

表2系统中各实体隐私度对比

缓存命中率

当k＝30、m＝5000和n＝10时，通过改变系统阀值θ，对比CLPM与MobiCrowd、CaDSA在缓存命中率上的变化。由图5可知，三种方案中，缓存命中率都随着θ值增大而减小。因为θ值越大，用户需要缓存中有更多的数据来满足用户查询需求，缓存命中率就会相应降低，但它能获得较好的服务质量。同时CLPM采用Markov移动位置预测方法预测用户移动过程中的下一个位置，并根据该位置形成匿名域。因此相对于MobiCrowd、CaDSA方法，CLPM能提高用户查询的命中率。

当θ＝0.8、m＝5000和n＝10时，通过改变匿名度k，对比CLPM与MobiCrowd、CaDSA在缓存命中率上的变化。由图6可知，三种方案中，缓存命中率都随着匿名度k值增大而逐渐增大。因为k值越大，用户向LBS服务器发出查询请求的匿名域就越大，它能获得更多的数据缓存到匿名器和客户端缓存，以满足用户查询需求，缓存命中率就会相应的增加。同时CLPM采用基于Markov移动位置预测方法形成匿名域，它相对于MobiCrowd、CaDSA具有更高的查询命中率。

LBS服务器开销对比

当θ＝0.8、m＝5000和k＝30时，对比CLPM与CaDSA、MobiCrowd方案对LBS服务器性能的影响。图7所示为LBS服务器开销对比图。由该图可知，在LBS服务器时间开销和通信开销上，随着n值的增大，CLPM相对于CaDSA、MobiCrowd方案有一定优势。因为CLPM在形成匿名域时，采用基于Markov移动位置预测方法预测用户移动过程中的下一个位置，并根据该位置选择更合适的网格单元形成匿名域，它可以有效提高缓存的命中率，减少用户在LBS服务器查询的数据量以及计算、通信开销。因此，在LBS服务器的时间开销和通信开销上，CLPM方案相对于CaDSA、MobiCrowd方案有较大优势。

本文中所描述的具体实施例仅仅是对本发明精神作举例说明。本发明所属技术领域的技术人员可以对所描述的具体实施例做各种各样的修改或补充或采用类似的方式替代，但并不会偏离本发明的精神或者超越所附权利要求书所定义的范围。

参考文献：

[1].Zheng V W,Zheng Y,Xie X,et al.Collaborative location and activityrecommendations with GPS history data[C]//Proceedings of the 19thInternational Conference on World Wide Web.ACM,2010:1029-1038.

Claims

1.一种基于缓存和位置预测机制的轨迹隐私保护方法，其特征在于，包括以下步骤：

若不存在，则进入步骤4；

步骤7：匿名器将从LBS服务器接收的信息进行解密，并与请求客户端需要查询的网格单元标识进行匹配，将匹配的网格单元标识及对应的兴趣点利用请求客户端随机生成的密钥进行对称加密后，返回给请求客户端，同时匿名器将解密后的网格单元标识以及对应的兴趣点更新至匿名器缓存中；

2.根据权利要求1所述的方法，其特征在于，采用基于Markov移动位置预测方法，预测请求客户端在移动过程中的下一个位置，根据Markov预测的下一个位置、数据查询有效期以及网格单元中请求客户端发出查询的概率，选择未查询过的网格单元标识形成匿名域。

3.根据权利要求2所述的方法，其特征在于，所述采用基于Markov移动位置预测方法，预测请求客户端在移动过程中的下一个位置的具体过程如下：

Pr＝{p_i,j}

4.根据权利要求2所述的方法，其特征在于，所述匿名域的生成过程如下：

5.根据权利要求1-4任一项所述的方法，其特征在于，在所述步骤3中与相邻客户端进行通信，依次在自身客户端和相邻客户端的缓存中查询是否存在步骤2中所述的网格单元标识时，若成功查询的网格单元标识与查询请求中的所有网格单元标识比值大于设定的匹配率θ，则认为在自身客户端和相邻客户端的缓存中查询存在步骤2中所述的网格单元标识，且请求客户端的查询请求结果包括从自身客户端、相邻客户端以及匿名器获得的兴趣点集合；

其中，θ的取值范围为0-1。