CN107770722A - 基于边信息约束的双隐形区域的位置服务的隐私保护方法 - Google Patents

Abstract

本发明公开了一种基于边信息约束的双隐形区域的位置服务的隐私保护方法，假定攻击者在具有补充信息背景的情况下生成双隐形区域，因此可以极大地提高隐私保护程度；本发明所提出的LBSs框架不会将全部的候选结果集返回给客户端，仅返回一半给客户端，这样可以减少计算开销和用户等待时间；本发明提出的固定假位置生成法，有效地解决了服务质量和资源开销两者之间的矛盾。

Description

基于边信息约束的双隐形区域的位置服务的隐私保护方法

技术领域

本发明涉及一种网络安全领域，特别是一种基于边信息约束的双隐形区域的位置服务的隐私保护方法。

背景技术

近年来，随着蜂窝网以及GPS(Global Positioning System)定位技术的迅速发展，使用LBS(基于位置的服务)的设备(例如phone、PAD)数量激增，同时带动LBS的应用软件的剧增，典型的LBS的应用有兴趣点的检索应用(例如MeiTuan)、地图类应用(例如GoogleMaps)、GPS导航(如Amap)、位置感知社会网络(如Wechat)等。LBS已经渗入生活的角角落落，人们调用基于位置的服务变得快捷、简单，位置服务给人们的生活带来了极大的便利。

与此同时，LBS的隐私泄露隐患也引起社会的关注，因为用户请求LBS服务时需要提交具体的位置信息，而这些位置信息可能包含了用户隐私信息，如家庭住址、生活习惯、社会关系等，这些信息泄露给恶意的攻击者会使用户的隐私受到严重的威胁。实际中并不存在绝对安全的服务器，位置服务提供商本身极有可能就是攻击者，甚至第三方匿名服务器也不是绝对可信。此外，用户端接收过多匿名服务器返回的结果集会使计算成本上升同时造成服务等待时间过长，这大大降低了用户对应用的体验感受。

现有的LBSs框架如图1所示，用户端把用户请求Q_U发送给匿名服务器，Q_U包括UID(User ID)，所在真实位置l_u，隐私保护需求k，所处空间等级h，查询内容con，匿名服务器把经过处理的请求Q_A发送给位置服务提供商，Q_A包括随机生成的k个假位置的查询请求，每个q_Ai只有位置信息与用户位置信息不同，其余请求信息均相同。位置服务提供商再将这些请求数据的CR(候选结果集)返回给匿名服务器，最终匿名服务器再将接收到的候选结果集CR返回给客户端，客户端再从返还的结果集CR中筛选最优的结果作为最终的请求结果。

传统的LBSs隐私保护算法较少考虑匿名服务器是不全可信的，把用户自己的具体位置信息直接发送给了匿名服务器，如果匿名服务器数据泄露且被攻击者利用，这样一来用户的位置数据会直接泄露。并且，如果攻击者结合查询次数、map数据、兴趣点(POI)等边信息进行强攻击，例如，某个区域被湖泊、山脉等查询次数极低的地理位置所覆盖，攻击者就可以以很大的概率排除该区域，认为用户在剩余区域内，增大了用户暴露的风险。

目前，研究者提出了许多关于LBSs的隐私保护方法，k-匿名[1-13]是许多隐私保护方法的核心思想，如Gruteser[1]等人提出了位置k匿名的概念。k-匿名要求当一个用户发送位置请求数据到LBS提供商时，在查询用户位置产生匿名区域必须至少包含其他k-1个用户，这样使得位置查询用户被识别的概率不超过1/k。YIU[2]等人提出的Space Twist方案引入了可信的第三方，用户把自己的真实位置信息发送给可信第三方，为了获取LBS的服务结果又要保护用户的位置信息，可信第三方发送的并不是用户的真实位置坐标，而是一个虚假的坐标。GHOW[3]等人提出的k-anonymity保护方法，需要引入第三方匿名服务器，当用户需要向LBS提供商发送请求时，会先把位置信息发送给匿名服务器，匿名服务器将用户的位置泛化成为一个k-anonymity性质的区域，并规定该区域内至少包含k个用户，用户的身份在这个区域中能被识别的概率不能超过1/k，然后匿名服务器向LBS提供商发送请求，再将得到的候选结果集返回给用户，用户自己选择最优的结果。

空间隐形[14-22]是一种相当流行的机制。如MOKBEL[15]等人提出了Caspercloak算法，该算法采用了四叉树数据结构，直接通过hash表来识别和访问四叉树的叶子节点，Casper匿名算法允许每个用户自由的决定k值的大小和最小匿名区域面积A_min,要求用户的位置均匀分布才能保证隐私。ZHAO[14]等人认为第三方匿名服务器也不完全可信，在发送位置信息到匿名服务器前，将真实位置坐标泛化到一个网格区域中，计算出位置熵[18]最大的k个区域作为候选匿名区域，然后从中随机选取一个作为匿名区域。

假位置[23-27]生成同样是一种研究者常用的位置隐私保护方法，Kido[5,6]等人首先提出了假位置产生机制。Guo[25]将动态假名转换机制与用户的个性化特征相结合来保护用户的位置隐私。Palanisamy[26]等人提出Mix-zone的方法达到保护用户隐私的目的。

基于加密法的隐私保护技术[28-36]通过加密LBS查询，使其对服务器完全不可见以达到保护隐私的目的。加密法的隐私保护方法虽然具有隐私度高、服务质量高的有点，但计算和通信开销大、部署复杂、还需设计优化算法。Khoshgozaran[28,32,33]等人提出了基于Hilbert曲线的加密方法，把用户的位置与用户兴趣点从二维坐标转移到一维加密空间，通过两条不同参数的Hilbert曲线转化而来的一维加密空间仍然保持了二维空间中的邻近性，使得在一维加密空间中同样可以进行k近邻查询与范围查询。PIR(PrivateInformation Retrieval)[34]方法用来保护用户的查询隐私，PIR方法具有隐私保护度高、服务质量好等优点。Lu[35]等人提出PLAM隐私保护框架，使用同态加密技术保护用户隐私，但时间开销较大。

综上，现有位置隐私保护机制仍然存在以下几个问题：(1)现有隐私保护模型在生成隐形区域的时候往往没有考虑边信息，如果攻击者结合边信息进行攻击，那么攻击的成功率将会提高，对于用户的隐私安全将是一种挑战。(2)在现有的第三方可信匿名服务器的LBSs架构中，匿名服务器返回给用户的候选结果集通常包含大量无用的假位置上的查询结果，这不但加大了用户端的计算开销，而且降低了用户使用服务的体验感。(3)现有方法中的假位置坐标往往是随机生成的，没有考虑随机生成的假位置点会影响最终的服务质量。

发明内容

本发明所要解决的技术问题是，针对现有技术不足，提供一种基于边信息约束的双隐形区域的位置服务的隐私保护方法，减少计算开销和用户等待时间，解决服务质量和资源开销之间的矛盾。

为解决上述技术问题，本发明所采用的技术方案是：一种基于边信息约束的双隐形区域的位置服务的隐私保护方法，其特征在于，包括以下步骤：

1)客户端发送查询请求Q_U到匿名服务器，其中客户端将用户的真实位置泛化到一个网格中；

2)在匿名服务器中将用户所在的网格区域通过动态匹配算法与另一个网格区域匹配，形成双隐形区域，在双隐形区域中通过假位置生成算法生成固定的假位置达到k-匿名要求，匿名服务器再将查询请求Q_U发送给位置服务提供商；

3)位置服务提供商接收到查询请求Q_U并返回候选结果集CR_A到匿名服务器；

4)匿名服务器仅返回用户所在区域的假位置的查询结果集CR_U；

5)用户从查询结果集CR_U中选出服务质量最高的结果作为最终服务请求结果。

步骤1)之前，还包括：用户端根据自己所在的具体位置生成一个真隐形区域，并将查询请求Q_U提交给匿名服务器。

步骤2)中，所述动态匹配算法具体实现过程包括：

1)将客户端发送过来的用户区域，随机匹配进一个4×4的网格区域中；

2)遍历4×4网格区域中的历史查询数据，把不为零的数据添加进一个集合Sets中，然后把集合Sets随机的分为两个部分，记为sets1和sets2；

3)分别遍历sets1和sets2中的元素，sets1的元素记为s1_i，sets2的元素记为s2_i；如果(s1_i-ave₁)²<(s1_i-ave₂)²，s1_i就属于第一类，记作cluser₁，否则s1_i就属于第二类，记作cluser₂；如果(s2_i-ave₁)²<(s2_i-ave₂)²，s2_i就属于第一类，记作cluser₁，否则，s2_i就属于第二类，记作cluser₂；重复步骤3)，如果cluser₁和cluser₂中的元素不再改变，说明分类结束；ave1表示set1中所有元素的均值；ave2表示set2中所有元素的均值；

4)如果用户所在的网格区域的历史查询次数属于cluser₁，就从cluser₁中随机选取一个非用户所在网格区域，记网格ID为GID^*，否则，就从cluser₂中随机选取一个非用户所在网格区域，记网格ID为GID^*，用户所在区域的网格ID为输入值，记作GID，动态匹配后形成的双隐形区域的ID分别是GID和GID^*。

步骤2)中，所述假位置生成算法具体实现过程包括：

1)在真隐形区域与伪隐形区域中分别生成个小网格；k₁表示真隐形区域中生成假位置的个数，k₂表示伪隐形区域中生成假位置的个数；

2)根据假位置生成规则R₁，R₂在真隐形区域中生成k₁个固定假位置及伪隐形区域中k₂个固定假位置；

3)每个假位置都添加唯一的信息标示，记作DID；

4)输出k₁,k₂个假位置。

与现有技术相比，本发明所具有的有益效果为：本发明不会将全部的候选结果集返回给客户端，仅返回一半给客户端，这样计算开销就会减少，用户的等待时间也会减少；固定假位置生成法提高了LBSs的服务质量；有效解决了基于边信息的强攻击，增强了隐私保护力度。

附图说明

图1为现有的LBSs框架；

图2为改进的LBSs框架；

图3为数据存储结构；

图4为攻击模型中历史查询点分布情况示意图；(a)随机匹配了历史查询次数为1的区域；(b)中用户真实所在区域为历史查询次数为20的区域；

图5为本发明工作流程图；

图6为用户所在区域；

图7为用户所在区域随机分配入4×4网格区域；

图8为d₁>d₂时的假位置生成示意图；

图9为d₁<d₂时的假位置生成示意图；

图10为固定假位置生成规则R₁；其中，(a)k₁＝1；(b)k₁＝2；(c)k₁＝3；(d)k₁＝4；(e)k₁＝5；

图11固定假位置生成规则R₂；

图12为每一个最小网格所分配的假位置的最终数量；

图13为假位置生成算法示意图；

图14为朴素处理算法示意图；

图15为匿名服务器使用三种算法产生假位置所需时间对比图；

图16为客户端处理效率图；

图17为三种算法总时间消耗对比图；

图18为双隐形区域算法与假位置算法的服务质量对比图；

图19为DGA与DA在服务质量上的优劣比较图；其中，(a)h＝6；(b)h＝5；(c)h＝4；(d)h＝3。

具体实施方式

本发明考虑的攻击者为强攻击者，可以把位置服务提供商看作强攻击者，因为位置服务提供商不但具有边信息，如本发明中的历史查询次数，还知道隐私保护机制。强攻击者通常会先推测出用户所在的区域，再结合边信息进一步对用户所在区域进行筛选，甚至根据隐私保护机制进行逆攻击，唯一确定用户所在区域后，再从所在区域内推测出用户的真实所在位置，获取用户的隐私信息。如图4的(a)，如果随机匹配了历史查询次数为1的区域，显然，这个区域是个历史查询次数很低的区域，如果用户真实位置是在历史查询次数为20的区域，就会有很大的可能确定用户所在的隐形区域是在历史查询次数为20的阴影区域。强攻击是攻击者不但拥有边信息，而且知道隐私保护机制。假设，我们简单的采用与用户所在区域历史查询次数最接近的区域作为产生双隐形区域的机制，并且攻击者知道这种隐私保护机制。如图4的(b)中用户真实所在区域为历史查询次数为20的区域，它与历史查询次数为22的阴影区域形成双隐形区域，假如攻击者就是LBS提供商本身，攻击者会分析这两个区域，如果用户所在真实区域是历史查询次数为22的区域，与它最接近的是历史查询次数为23的区域，如果要形成双隐形区域，查询次数为22的区域会选择查询次数为23的区域而不是查询次数为20的区域，但查询次数22的区域与查询次数20的区域形成双隐形区域，所以判断出用户真实所在区域在查询次数为20的区域。攻击者拥有边信息以及了解隐私保护机制都增加了用户泄露具体位置的风险。

本发明的主要目的是在加大用户的位置隐私保护程度的同时提高用户的查询效率与查询精度。为了解决这个问题，我们改进了现有的LBSs框架，并在其中设计了几种相关的算法。如图2所示，改进的部分在图中用黑色框标记。首先，客户端发送查询请求Q_U到匿名服务器，其中客户端将用户的真实位置泛化到一个网格中，这个网格编号为GID。第二步，用户所在的网格区域通过动态匹配算法与另一个网格区域匹配，这样做的目的是可以抵御基于边信息的强攻击；在双隐形区域中通过假位置生成算法生成固定的假位置达到k-匿名要求，匿名服务器再将查询请求Q_A发送给位置服务提供商。第三步，位置服务提供商接收到查询请求Q_A并返回候选结果集CR_A到匿名服务器。第四步，匿名服务器仅返回用户所在区域的假位置的查询结果集CR_U，客户端接收到的候选结果集CR_U只有传统框架CR大小的一半。最后，用户从候选结果集CR_U中选出服务质量最高的结果作为最终服务请求结果。对比现有的LBSs框架，我们所提出的框架不仅提高了用户位置的隐私保护程度，还提高了服务质量以及处理效率。该框架涉及到的概念定义如下：

定义1(双隐形区域机制)双隐形区域包括真隐形区域(RCR)和伪隐形区域(FCR)，其中真隐形区域是用户所在的网格，用户向匿名服务器提交的位置所在的网格就是RCR，匿名服务器根据用户提交的RCR和通过动态聚类法生成FCR，FRC主要作用有三点：1)FCR与RCR共同生成k个假位置达到k-匿名要求；2)FCR与RCR形成双隐形区域抵御强攻击；；3)匿名服务器向用户端返回候选结果集时将FCR中假位置的请求候选结果集直接过滤。匿名服务器产生的双隐形区域并不会发送给位置服务提供商，而是将双隐形区域中的假位置发送给位置服务提供商来请求服务。

定义2(使用的数据结构)如图3所示，本发明采用四叉树[3]的数据结构，将空间自顶向下逐层划分，每层划分4^h个网格，如第0层将整个空间划分为1个网格，第1层划分4个网格，第2层划分16个网格，以此类推，直到每个网格边长L取到阈值不再划分，共划分为H层。每层的历史查询点总数不变，只是将整个空间区域进行细分使每个网格的边长L逐渐减小。L越小隐私保护等级越低，服务质量越高，相反的，L越大隐私保护等级越高，服务质量越差。类似地，h越小隐私保护等级越高，服务质量越低，h越大隐私保护等级越低，服务质量越高。每个网格中的信息包含在哈希表中。

定义3(客户端的查询请求Q_U(UID,k,h,CID,con))本发明采用改进后的LBSs框架，如图2所示，用户向匿名服务器提交的查询请求记作Q_U(UID,k,h,RCR,con)，其中UID是用户的标识信息；k是用户要求的k-anonymity保护机制所产生的假位置的数量；h是用户要求的隐私保护等级，h的取值要求大于2，因为当h小于等于2的时候查询精度太差；用户端与匿名服务器都采用四叉树数据结构来存储空间信息，GID是用户端根据用户所在具体位置生成所在的网格编号；con为查询内容。

定义4(匿名服务器的查询请求Q_A(q_A1,q_A2,q_A3,…,q_Ak))匿名服务器向位置服务提供商提交的查询请求记作Q_A(q_A1,q_A2,q_A3,…,q_Ak)，q_Ai(DID,l_di,con)是每个假位置的请求，其中DID(Dummies ID)是匿名服务器生成的k个假位置的标识信息；l_di是k个假位置的经纬度信息；con为查询内容。

定义5(LBSPs返回到匿名服务器的候选结果集CR_A)位置服务提供商向匿名服务器返回候选结果集记作CR_A,CR_A包括双隐形区域中的k个假位置的请求结果，每个请求结果对应查询请求的DID(假位置的ID)。

定义6(匿名服务器返回到客户端的候选结果集CR_U)匿名服务器向用户端返回候选结果集记作CR_U，CR_U仅包括RCR中假位置的请求结果。

定义7(服务质量)用户得到的服务质量使用假位置与用户位置的欧式距离来衡量，用户离假位置越近，请求服务的位置就越相似，请求结果也越相似，服务质量就越高。如果记用户的真实位置的经纬度坐标为(lon_u,lat_u),假位置的经纬度坐标为(lon_di,lat_di),i＝1,2,3,…,k。l_u是用户的位置，l_di代表第i(i＝1,2,3,…,k)个假位置,r代表地球的半径，一般取6371km。

用户真实位置与假位置之间的欧式距离公式：

其中

dis_i(l_u,l_di)的取值越小，说明其中的第i个假位置的服务质量越好，就取第i个假位置的请求结果作为最终结果。

本发明符号对应关系如下表1：

表1符号

如图5所示，图中编号为系统执行顺序，为了解决我们在问题定义中提出的问题，在③、④两步中分别使用了动态匹配算法以及假位置生成算法。以下是具体的动态匹配算法和假位置生成法。

动态匹配算法(DMA)，其核心思想就是把历史查询次数相对较多的和相对较少的以及查询次数为零的区域分开，避免查询次数较多的和查询次数较少的两个区域匹配在一起，使攻击者以较大概率识别出用户所在的区域，从而进行下一步攻击。如图6、图7所示，图中分布的点代表用户发出历史请求的位置，我们把用户发出历史请求的位置坐标投影在了二维地图中，根据用户选择隐私等级h，把全部区域划分为4^h个网格，图中用户选择隐私等级h＝6，黑色实线网格代表用户所在的RCR，图6截取了9×9的网格区域作为示例。

如图7，把用户所在RCR随机分配进一个包含RCR的4×4网格区域中，在这个区域中选择与之匹配的FCR，第二步，统计4×4网格G_4×4中每个网格的查询次数，生成一个历史查询次数矩阵，如图7所示，图中查询次数为25的阴影区域为用户所在区域，图中每个网格的历史查询次数对应图7选出的G_4×4中每个网格对应的历史查询次数。

再将16个查询次数分为三类，第一类是查询次数相对较多的区域，第二类是查询次数相对较少的区域，第三类是查询次数为0的区域，为了形成双隐形区域，先把第三类区域排除。然后RCR随机选择一个与RCR查询次数一类的区域作为FCR，两者匹配形成双隐形区域。以表2为例，DMA将16个查询次数分为三类，分别为{14,16,22,25,25,27},{1,1,1,6,6,8,9},{0,0,0}，查询次数为25的阴影区域为用户所在区域，由DMA生成的查询次数为22的阴影区域为FCR，两个区域共同形成了双隐形区域。通过DMA生成的双隐形区域不但可以很好的防止逆攻击，而且对于拥有边信息的攻击者也能很好的抵御。DMA如下所示：

表2历史查询次数分布矩阵

27	14	0	8
				25	6	0	6
25	9	1	1
				16	22	1	0

假位置生成算法(DGA)的核心思想是用产生的固定的假位置去逼近用户真实位置，用最优的假位置的查询结果代替用户所在具体位置的查询结果。我们的方法所产生的假位置并不是在双隐形区域中随机生成，而是根据一定的规则生成的假位置。如图8，图中实心圆圈代表用户所在位置，实线圆圈代表固定生成的假位置，虚线圆圈代表随机生成的假位置，当d₁>d₂时，也就是说用户位置离固定生成的假位置的最短距离要比用户位置离随机生成的假位置的最短距离更短，根据定义7，我们认为固定生成假位置的服务质量要高于随机生成假位置的服务质量。相反，如图9，当d₁<d₂，我们认为随机生成假位置的服务质量要高于固定生成假位置的服务质量。我们经过实验验证，在给定k<＝50的实验取值范围内，生成固定的假位置要比随机生成的假位置服务质量更高。

以网格的左下顶点为二维坐标原点建立坐标系，在匿名服务器中有每个空间层次中每个网格边长L的数据。用k₁表示RCR中需要生成的假位置数量，k₂表示FCR中需要的假位置数量。DGA的核心由规则R₁，R₂贯穿。

规则R₁：当k₁(或k₂)≤5，当k₁(或k₂)＝1,2,3,4,5时，固定假位置分别如图10中的(a)-(e)所示。

(1)当k₁(或k₂)＝1，固定假位置在如图10的(a)所示；

(2)当k₁(或k2)＝2，固定假位置在如图10的(b)所示；

(3)当k1(或k2)＝3，固定假位置在如图10的(c)所示；

(4)当k₁(或k₂)＝4，固定假位置在如图10的(d)所示；

(5)当k₁(或k₂)＝5，固定假位置在如图10的(e)所示；

规则R₂：当k₁(或k₂)＝n(n>5)

第一步，将整个区域分为4个网格，4个网格中要分配的假位置数量如下：

(1)如果n％4＝0，每个网格分配n/4个假位置。

(2)如果n％4＝1，四个网格分别分配(n/4)+1，n/4，n/4，n/4个假位置，起始于左上角的网格中，按顺时针方向继续。

(3)如果n％4＝2，四个网格分别分配(n/4)+1，(n/4)+1，n/4，n/4个假位置。

(4)如果n％4＝3，四个网格分别分配(n/4)+1，(n/4)+1，(n/4)+1，n/4个假位置。第二步，如果(n/4)+1，或者n/4仍然大于5，重复一地步；另外，要遵循规则R₁分布假位置。

最终，在区域中生成个小网格。

如图11所示，如k₁＝302，(1)在第一级别的划分中，区域被分为4个网格，四个网格的假位置数量分别为76,76,75,75。(2)因为76和75都大于5，在第二级别划分中，将继续划分这4个网格，例如，左上角假位置为76的网格将划分为19,19,19,19个假位置的小网格，其它3个网格也按此方法划分。(3)因为19仍然大于5，在第三级别划分中，假位置数量为19的网格将划分为4个假位置数量为5,5,5,4的更小的网格，其它3个网格也遵循此方法。(4)因为5和4都不大于5，划分停止，区域中生成个小网格，64个小网格根据规则R₁生成假位置。

根据DGA，匿名服务器可以在数据库中存储满足各种k值的DD(固定假位置数据)，以便于用户在请求服务时更快速的响应。

动态响应算法如下表所示：

实施例：

本发明采用合肥市中心5.5km×3.5km范围内历史GPS采样点数据，包括3万多个人产生的60多万个采样点，在此，我们把历史采样点作为历史查询点。数据包括用户ID、时间、经纬度坐标。为了方便，实验选取3.2km×3.2km的空间区域，边长L阈值为50m，将空间划分为64×64的网格空间，空间区域被分为7层，分别为第0层到第6层。

我们会将DA(假位置算法)，NA(朴素处理算法)与本发明所设计的双隐形区域算法DCA(DMA与DGA结合在一起的总称)做对比实验。如图13所示，DA与DCA过程相似，不同之处在图13中用灰色框圈出，DCA是在双隐形区域内生成固定的假位置，而DA是在双隐形区域内生成随机的假位置，设置DA与DCA的对比实验是为了证明在双隐形区域中生成固定的假位置与随机生成假位置的服务质量哪个更优。

如图14所示，NA与DCA过程也相似，不同之处在图14中用灰色框圈出，NA不生成双隐形区域，匿名服务器直接在用户所在区域直接生成k个假位置，发送给位置服务提供商，匿名服务器接收位置服务提供商返回的候选结果集，不再经过筛选，全部返还给用户，设置NA与DCA的对比实验是为了对比不生成双隐形区域与生成双隐形区域用户所获得服务结果整个过程消耗时间的长短。

实验代码使用Python编写，运行配置为Interl(R)Core(TM)i5-4590CPU，8GB的64位Windows10的操作系统。

如图15所示，用户所需求的k在(2，50)范围变化时，我们所设计的DCA生成假位置消耗的时间始终在0.17ms左右保持不变，由于DCA生成假位置分为两步，先执行DMA，再执行DGA，DMA算法根据RCR匹配FCR所消耗的时间不受k值得影响，另外，匿名服务器数据库中存在用户需求k-匿名的固定假位置的数据，所以执行DMA算法只需要根据k的大小从数据库中选择存储固定假位置数据即可，所消耗的时间比较固定，所以DCA生成假位置消耗的时间会在一个值左右保持不变；DA生成假位置同样分为两步，第一步与DCA相同，第二步产生随机假位置，生成随机假位置不会存储在数据库中，所以每次生成假位置都要消耗更多的时间，而且k值越大消耗的时间越多。所以匿名服务器生成双隐形区域中的固定假位置所消耗的时间要比生成随机假位置消耗的时间要少；NA生成假位置不需要产生双隐形区域这一步,时间消耗在随机产生的k个假位置上，当k＝28左右时，DCA与NA生成的假位置所需时间相同，随着k的增大，NA产生假位置的时间单调递增，而DCA仍保持不变。

如图16所示，在DCA和DA中，匿名服务器产生的候选结果集在用户端的处理时间相同，但在NA中，匿名服务器产生的候选结果集在用户端的处理时间几乎是DCA与DA的2倍，这是因为当匿名服务器将CR_U发送给用户端时，DCA和DA因为产生了双隐形区域，把k个假位置平均分配到了两个区域中，匿名服务器仅返回给用户端真匿名区域内假位置的候选结果集；NA仅在一个隐形区域内生成k个假位置，匿名服务器返回给用户端k个假位置的候选结果集，在NA中匿名服务器返回给用户端的候选结果集的大小是DCA与DA的2倍，用户端为了选取最优的假位置需要计算所有候选结果集中所有假位置距离用户真实位置的dis_i(l_u,l_di)，所以在用户端的处理时间上NA与DCA和DA存在着差异。

考虑到服务器与用户端的设备性能，一般来说，匿名服务器的计算能力要优于我们实验所用的PC，我们所用的PC的计算能力要远优于用户端所用的设备(phone,PAD),理论上1.3GHz主频的四核ARM处理器浮点运算能力在10MFLOPs/s左右，2.5GHz主频的intel四核Q8300在25GFLOPs/s，前后差了2500倍，由于用户端设备差异较大，我们保守的认为，我们实验所用的PC计算能力是用户端设备的500倍，匿名服务器也保守的认为跟PC端具有相同的计算能力，则总时间消耗为：

总消耗时间＝生成假位置所需时间+500×客户端CPU所消耗时间(2)由公式(2)可知在用户端时间消耗比匿名服务器要长很多，所以总时间消耗中用户端占了绝大部分，如图17所示，k值一定时，在NA中，总时间的消耗约为DCA与DA总时间消耗的2倍，在效率上DCA与DA要优于NA。由于NA算法不生成DCR，LBS隐私保护能力相比DCA,DA要弱，接下来的实验中我们不再考虑NA，仅对比DCA与DA。

为了证明DCA与DA在服务质量上的优劣，我们在不同的空间等级，不同的k值，各进行了10000次实验。因为DCA(DGA in DCA)和DA都产生双隐形区域，双隐形区域协同合作，共同产生k个假位置，假设RCR与FCR中的固定假位置与随机假位置的数量为k₁,k₂，如果k₁,k₂相等，RCR与FCR则具有相同的性质，所以仅对其中一个区域做实验分析就可以知道双隐形区域的情况。例如，用户要求的k值为27，两个单区域分别产生14、13个假位置，由于本实验k值实验上限为50，两个单区域最多分别产生25、25个假位置，所以k₁取到25就可以满足实验上限要求。图8中，如果用户位置离固定生成的假位置的最短距离比用户位置离随机生成的假位置的最短距离更短，记作d₁>d₂，反之，记作d₁<d₂。如图18所示，Count是在给定的k₁、空间等级h下，10000次实验中，如果d₁>d₂，DCA计数加1，如果d₁<d₂，DA计数加1，k₁值在(1-25)的范围变化，DCA的计数范围在6000-7200之间，DA的计数在2800-4000之间；若改变空间等级，DCA与DA的计数范围并没有太大变化，这是因为，在正方形的隐形区域内，空间等级变大，L减小，固定点的位置和隐形区域的边长的比例却始终保持不变，而随机假位置出现的位置也和隐形区域的边长无关，所以h变化DCA与DA的计数范围不会有太大的变化。综上，使用DCA相比使用DA会以更大概率使用户获得更优的服务质量。

为了进一步对比DCA与DA的服务质量，我们又添加了一组固定假位置与随机假位置到用户的平均最短距离的对比实验，在不同的空间等级，不同的k-值，各进行了10000次实验，取假位置与用户之间距离的平均值，此实验中k-的取值范围为(1-25),h的取值范围为(3-6)。根据定义7可知，假位置距离用户距离越小，服务质量越优，在图19的(a)，(b)，(c)，(d)中，随着空间等级的减小，L在增大，DCA与DA所产生的假位置都与用户的平均最小距离在增大，但DCA产生的假位置距离用户最短距离的平均值都比DA产生的假位置距离用户最短距离的平均值小；随着k-的减小，距用户的平均最小距离也在递减，在k-＝15的时候开始放缓。在实验给定的k-值和空间等级h，我们认为DCA产生的假位置的平均服务质量要优于DA产生的假位置的平均服务质量。

参考文献

1.Marco Gruteser and Dirk Grunwald.2003.Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking.In Proceedings of the1st international conference on Mobile systems,applications and services(MobiSys'03).ACM,New York,NY,USA,31-42.

2.Man L Y,Jensen C S,Huang X,et al.SpaceTwist:Managing the Trade-OffsAmong Location Privacy,Query Performance,and Query Accuracy in MobileServices[C]//IEEE,International Conference on Data Engineering.IEEE,2008:366-375.

3.Mohamed F.Mokbel,Chi-Yin Chow,and Walid G.Aref.2006.The new Casper:query processing for location services without compromising privacy.InProceedings of the 32nd international conference on Very large data bases(VLDB'06),Umeshwar Dayal,Khu-Yong Whang,David Lomet,Gustavo Alonso,GuyLohman,Martin Kersten,Sang K.Cha,and Young-Kuk Kim(Eds.).VLDB Endowment 763-774.

4.Pan X,Xu J,Meng X.Protecting Location Privacy against Location-Dependent Attacks in Mobile Services[J].IEEE Transactions on Knowledge&DataEngineering,2012,24(8):1506-1519.

5.Xu T,Cai Y.Exploring Historical Location Data for AnonymityPreservation in Location-Based Services[C]//INFOCOM 2008.the,Conference onComputer Communications.IEEE.IEEE,2007:547-555.

6.Wang Y,Xu D,He X,et al.L2P2:Location-aware Location PrivacyProtection for Location-based Services[J].2012.

7.Beresford A R,Stajano F.Mix zones:user privacy in location-awareservices[C]//Pervasive Computing and Communications Workshops,2004.Proceedings of the Second IEEE Conference on.IEEE,2004:127-131.

8.Mascetti S,Bettini C,Wang X S,et al.ProvidentHider:An Algorithm toPreserve Historical k-Anonymity in LBS[C]//Tenth International Conference onMobile Data Management:Systems,Services and MIDDLEWARE.IEEE Computer Society,2009:172-181.

9.Duckham M,Kulik L.A formal model of obfuscation and negotiation forlocation privacy[C]//International Conference on PervasiveComputing.Springer,Berlin,Heidelberg,2005:152-170.

10.Shokri R,Theodorakopoulos G,Papadimitratos P,et al.Hiding in theMobile Crowd:LocationPrivacy through Collaboration[J].IEEE Transactions onDependable&Secure Computing,2014,11(3):266-279.

11.Chow C Y,Mokbel M F,Liu X.A peer-to-peer spatial cloakingalgorithm for anonymous location-based service[C]//ACM InternationalSymposium on Advances in Geographic Information Systems.ACM,2006:171-178.

12.Hu H,Xu J.Non-Exposure Location Anonymity[C]//IEEE InternationalConference on Data Engineering.IEEE Computer Society,2009:1120-1131.

13.Bu G G,Liu L.A Customizable k-Anonymity Model for ProtectingLocation Privacy[J].Icdcs,2004:620--629.

14.D Zhao,G Song,Y Jin,X Wang.Qusery probability-based locationprivacy protection approach[J].Journal of Computer Applications,2017,(02):347-351+359.

15.MOKBEL M F,CHOW C Y,AREF W G.Casper*:query processing for locationservices without compromising privacy[J].ACM Trans on Database Systems,2009,34(4):24-48.

16.Lu,H.,Jensen,C.S.,Yiu,M.L.:PAD:Privacy-Area Aware,Dummy-BasedLocation Privacy in Mobile Services.In:MobiDE(2008)

17.Wang T,Liu L.Privacy-Aware Mobile Services over Road Networks.[J].Proceedings of the Vldb Endowment,2009,2(1):1042-1053.

18.Chen X,Pang J.Measuring query privacy in location-based services[C]//2012:49-60.

19.Hoh B,Gruteser M.Protecting Location Privacy Through PathConfusion[C]//International Conference on Security and Privacy for EmergingAreas in Communications Networks,2005.SECURECOMM.IEEE,2005:194-205.

20.Yi H.CoPrivacy:A Collaborative Location Privacy-Preserving Methodwithout Cloaking Region[J].Chinese Journal of Computers,2011,34(10):1976-1985.

21.Mascetti S,Bettini C,Freni D,et al.Spatial generalisationalgorithms for LBS privacy preservation.[J].Journal of Location BasedServices,2007,1(3):179-207.

22.Kalnis P,Ghinita G,Mouratidis K,et al.Preventing Location-BasedIdentity Inference in Anonymous Spatial Queries[J].IEEE Transactions onKnowledge&Data Engineering,2007,19(12):1719-1733.

23.Kido H,Yanagisawa Y,Satoh T.An anonymous communication techniqueusing dummies for location-based services[C]//Icps'05.Proceedings.International Conference on Pervasive Services.IEEE,2005:88-97.

24.Kido H,Yanagisawa Y,Satoh T.Protection of Location Privacy usingDummies for Location-based Services[C]//International Conference on DataEngineering Workshops.IEEE Computer Society,2005:1248.

25.Guo M,Pissinou N,Iyengar S S.Pseudonym-based anonymity zonegeneration for mobile service with strong adversary model[C]//ConsumerCommunications and NETWORKING Conference.IEEE,2015:335-340.

26.Palanisamy B,Liu L.Attack-Resilient Mix-zones over Road Networks:Architecture and Algorithms[J].Mobile Computing IEEE Transactions on,2014,14(3):495-508.

27.You T H,Peng W C,Lee W C.Protecting Moving Trajectories withDummies[J].2007:278-282.

28.Khoshgozaran A,Shahabi C,Shirani-Mehr H.Location privacy:goingbeyond K-anonymity,cloaking and anonymizers[J].Knowledge&Information Systems,2011,26(3):435-465.

29.Papadopoulos S,Bakiras S,Papadias D.Nearest Neighbor Search withStrong Location Privacy[J].Pvldb,2010,3(1):619-629.

30.Mouratidis K,Man L Y.Shortest path computation with no informationleakage[J].Proceedings of the Vldb Endowment,2012,5(8):692-703.

31.Feng T,Gui X L,Zhang X J,et al.Privacy-Preserving Approach forOutsourced Spatial Data Based on POI Distribution[J].Chinese Journal ofComputers,2014.

32.Khoshgozaran A,Shahabi C.Blind evaluation of nearest neighborqueries using space transformation to preserve location privacy[C]//International Conference on Advances in Spatial and TemporalDatabases.Springer-Verlag,2007:239-257.

33.Khoshgozaran A,Shahabi C.Blind evaluation of nearest neighborqueries using space transformation to preserve location privacy[C]//International Conference on Advances in Spatial and TemporalDatabases.Springer-Verlag,2007:239-257.

34.Ghinita G,Kalnis P,Khoshgozaran A,et al.Private queries inlocation based services:anonymizers are not necessary[C]//ACM SIGMODInternational Conference on Management of Data.ACM,2008:121-132.

35.Lu R,Lin X,Shi Z,et al.PLAM:A privacy-preserving framework forlocal-area mobile social networks[C]//IEEE INFOCOM.IEEE,2014:763-771.

Claims (4)

1.一种基于边信息约束的双隐形区域的位置服务的隐私保护方法，其特征在于，包括以下步骤：

1)客户端发送查询请求Q_U到匿名服务器，其中客户端将用户的真实位置泛化到一个网格中；

2)在匿名服务器中将用户所在的网格区域通过动态匹配算法与另一个网格区域匹配，形成双隐形区域，在双隐形区域中通过假位置生成算法生成固定的假位置达到k-匿名要求，匿名服务器再将查询请求Q_U发送给位置服务提供商；

3)位置服务提供商接收到查询请求Q_U并返回候选结果集CR_A到匿名服务器；

4)匿名服务器仅返回用户所在区域的假位置的查询结果集CR_U；

5)用户从查询结果集CR_U中选出服务质量最高的的结果作为最终服务请求结果。

2.根据权利要求1所述的基于边信息约束的双隐形区域的位置服务的隐私保护方法，其特征在于，步骤1)之前，还包括：用户端根据自己所在的具体位置生成一个真隐形区域，并将查询请求Q_U提交给匿名服务器。

3.根据权利要求1所述的基于边信息约束的双隐形区域的位置服务的隐私保护方法，其特征在于，步骤2)中，所述动态匹配算法具体实现过程包括：

1)将客户端发送过来的用户区域，随机匹配进一个4×4的网格区域中；

2)遍历4×4网格区域中的历史查询数据，把不为零的数据添加进一个集合Sets中，然后把集合Sets随机的分为两个部分，记为sets1和sets2；

3)分别遍历sets1和sets2中的元素，sets1的元素记为s1_i，sets2的元素记为s2_i；如果(s1_i-ave₁)2＜(s1_i-ave₂)²，s1_i就属于第一类，记作cluser₁，否则s1_i就属于第二类，记作cluser₂；如果(s2_i-ave₁)²＜(s2_i-ave₂)²，s2_i就属于第一类，记作cluser₁，否则，s2_i就属于第二类，记作cluser₂；重复步骤3)，如果cluser₁和cluser₂中的元素不再改变，说明分类结束；avel表示set1中所有元素的均值；ave2表示set2中所有元素的均值；

4)如果用户所在的网格区域的历史查询次数属于cluser₁，就从cluser₁中随机选取一个非用户所在网格区域，记网格ID为GID^*，否则，就从cluser₂中随机选取一个非用户所在网格区域，记网格ID为GID^*，用户所在区域的网格ID为输入值，记作GID，动态匹配后形成的双隐形区域的ID分别是GID和GID^*。

4.根据权利要求1所述的基于边信息约束的双隐形区域的位置服务的隐私保护方法，其特征在于，步骤2)中，所述假位置生成算法具体实现过程包括：

1)在真隐形区域与伪隐形区域中分别生成个小网格；k₁表示真隐形区域中生成假位置的个数，k₂表示伪隐形区域中生成假位置的个数；

2)根据假位置生成规则R₁，R₂在真隐形区域中生成k₁个固定假位置及伪隐形区域中k₂个固定假位置；

3)每个假位置都添加唯一的信息标示，记作DID；

4)输出k₁，k₂个假位置。