CN110300029A - 一种防边权攻击和位置语义攻击的位置隐私保护方法 - Google Patents

Abstract

本发明公开了一种防边权攻击和位置语义攻击的位置隐私保护方法，该方法针对现有位置隐私保护方法的不足，提出一个道路隐私度概念，以刻画道路在语义位置的敏感性，及道路与匿名集中其它道路上用户数量分布的均衡性。采用中心服务器结构，在假设LBS是不安全的或网络容易受到攻击的情况下，利用可信第三方中心服务器，根据用户的位置隐私要求，筛选道路以生成具备语义安全和防边权攻击的匿名集，将匿名集提交到LSP进行LBS服务查询并对返回结果进行求精处理，再将结果返回给用户，提高对用户查询位置的隐私保护，并满足用户个性化位置隐私需求。

Description

一种防边权攻击和位置语义攻击的位置隐私保护方法

技术领域

本发明涉及位置隐私保护技术，具体是一种防边权攻击和位置语义攻击的位置隐私保护方法。

背景技术

位置服务(Location Based Services，LBS)是当前移动应用中最为重要的服务之一，包括导航、兴趣点查询、签到等。LBS已被广泛应用在军事、商业、医疗、紧急救援、民生等领域。LBS在给人们带来极大便利的同时，也引发了严重的隐私关注。在提供位置服务过程中，存在不良LBS服务提供商泄露用户位置信息，或位置信息在传输过程中被攻击窃取等问题，导致用户身份和位置泄露，影响用户安全。加强位置隐私保护是亟待解决的问题。

LBS隐私保护技术主要对用户信息、位置信息和相应的查询请求信息进行保护，在防止攻击者进行背景知识推测的情况下，更好地平衡隐私保护和服务质量二者之间的关系。在位置隐私保护技术中，基于扭曲的隐私保护技术是目前的研究热点。其泛指用户发送自身位置之前，事先对查询请求进行扭曲或者模糊，使位置服务提供商(Location-basedService Provider，LSP)或攻击者无法得知用户的真实位置。主要技术包括假名、模糊查询中的时空信息、随机添加假用户等。此类技术存在查询结果不够精确，且易遭受攻击者相关背景知识推断攻击等问题。目前常见的解决方法是基于中心服务器结构利用可信第三方中心服务器进行模糊处理，在提高查询精度的同时为用户的查询请求提供隐私保护。

现有的位置隐私保护大多针对路网环境，但路网环境复杂多变，并具有相应的拓扑结构，其对用户的移动位置和运动速度都有限制。基于路网拓扑结构，攻击者可以针对用户请求的LBS进行边权攻击、单路段攻击、重放攻击等。此外，因敏感语义位置极易泄露用户敏感行为，攻击者利用位置信息进行语义攻击也是一种常见的攻击手段。

边权攻击是指攻击者根据向LBS进行位置查询请求中的道路集上的用户数量来推断查询用户位置的一种概率推断方法。在LBS服务中，若请求查询的道路集上的用户分布严重不均，将极易引起攻击者的边权推断攻击，造成用户位置信息的泄露。

位置语义攻击是指攻击者根据位置的敏感语义推断用户所在位置的一种攻击手段。为预防语义攻击，需要对查询请求中的敏感位置进行保护。若查询用户所在位置为敏感位置，可通过相应的方法，使得攻击者不能根据查询请求中的位置语义信息识别出用户位置，则称为位置语义安全。

如何在提供LBS服务时，防止上述攻击，保护用户位置隐私，是一个迫切需要解决的问题。

针对基于路网拓扑结构的攻击防护，马春光等人采用Voronoi图划分路网，使构建的匿名区域包含多条路径，抵抗单路段攻击；Arain等人利用多混合区域隐私技术，构造原始端点具备地理不可分辨性的兴趣点；Niu等人设计假位置选择算法以保证选取的假位置尽可能地分散，抵抗查询概率攻击；孙岚等人通过选取边权值较为接近的道路或者使匿名集中边权值降低最快的道路加入匿名集以防止边权攻击等。针对位置语义攻击，Chen等人考虑路网中语义多样性和物理分散性两种因素，利用层次位置语义树和贪心算法使位置语义多样性最大化，提高隐私保护度；Damiani等人提出PROBE架构，使得用户可根据自身意愿选择敏感项；Li等人基于位置流行度构造语义安全匿名区；陈慧等人通过位置流行度和用户自定义敏感度选择最优路段，满足个性化隐私需求；周长利等人选取多个敏感位置类型的形心作为锚点，避免攻击者的敏感位置多样性攻击等。

专利“一种路网环境下的用户位置隐私保护方法和系统”(授权公告号CN105246072B)公开了一种路网环境下的用户位置隐私保护方法和系统，该方法针对移动通信终端的位置隐私和查询隐私，在位置隐私方面，通过设置敏感查询概率上限值，对敏感查询隐私进行保护；为构造匿名集，根据节点维度对路网进行voronoi图划分，计算用户到各路段的距离产生V区，形成匿名集的最小路段要求，计算平均信息熵和敏感查询概率，实现抗边权攻击查询隐私保护。

上述方法分别针对不同攻击给出了相应的解决方法，但总体上看，还缺乏一种有效的能够同时兼顾对位置语义攻击和路网结构攻击的位置隐私保护方法。同时，由于位置服务的应用场景复杂多变，且不同用户有不同的需求，现有位置隐私保护方法还不能很好地满足用户个性化位置隐私需求，难以权衡服务质量与隐私安全之间的矛盾。

发明内容

本发明的目的是针对在现有LBS服务中出现的边权攻击和位置语义攻击泄露用户位置隐私问题，而提供的一种防边权攻击和位置语义攻击的位置隐私保护方法。该方法采用中心服务器结构，在假设LBS是不安全的或网络容易受到攻击的情况下，利用可信第三方中心服务器，根据用户的位置隐私要求，筛选道路以生成具备语义安全和防边权攻击的匿名集，将匿名集提交到LSP进行LBS服务查询并对返回结果进行求精处理，再将结果返回给用户，提高对用户查询位置的隐私保护，并满足用户个性化位置隐私需求。

实现本发明目的的技术方案是：

一种防边权攻击和位置语义攻击的位置隐私保护方法，包括用户端、中心服务器和位置服务提供商LSP，其位置隐私保护方法包括如下步骤：

(1)建立路网模型和位置语义初始化；

(2)用户端包括通信与定位模块，通过定位获取自己在路网中的真实位置并生成位置隐私需求；用户端接入中心服务器，向中心服务器发送包含自己的真实位置与隐私需求的查询请求，并等待查询结果；

(3)中心服务器包括匿名处理模块和查询结果求精处理模块，在匿名处理过程中，根据用户的查询请求，通过计算道路隐私度，筛选满足要求的道路加入匿名集，生成具备语义安全和防边权攻击的匿名集，并将生成的匿名集发送给LSP；

(4)LSP接收匿名后的查询请求，进行位置服务查询，并将查询结果返回给中心服务器，由中心服务器的求精处理模块进行求精处理，将求精结果返回给用户。

步骤(1)所述建立路网模型和位置语义初始化，具体包括以下步骤：

(1.1)根据真实道路的特征，将选择城市整个路网抽象为无向图G，以G＝{V,E}的形式表示；其中，E＝{e₁,e₂,…,e_m}是路网中的路段集合，每条路段都是E中的一条边；V＝{v₁,v₂,…,v_n}是道路交叉点集合；

(1.2)将生成的路网数据存储在可信第三方中心服务器中，并在生成路网的城市道路上随机生成10000个移动用户和10000个位置，并为这些位置生成语义信息；

(1.3)在上述生成的道路上划分需要的不同位置类型，并分别初始化设置不同类型位置的普及度值，以及这些类型位置的敏感度值；

位置普及度为位置受大众欢迎的程度，以用户出现在该位置的概率表示；以pp_i表示第i种位置类型，则位置类型集合PP＝{pp₁,pp₂,…,pp_m}；以p_i表示某个位置，pop(p_i)表示p_i的普及度，pop(p_i)∈[0,1]；若p_i为第j种位置类型，则pop(p_i)＝pop(pp_j)，pop(pp_j)为第j种类型位置的位置普及度；不同位置对应的位置普及度集合为POP＝{pop(p₁),pop(p₂),…,pop(p_n)}；位置普及度越高，用户可能出现在该位置的概率越高；

位置敏感度为不同用户对不同位置类型的敏感程度，以pp_i表示第i种位置类型，不同位置类型对应的敏感度集合为SS＝{sen(pp₁),sen(pp₂),…,sen(pp_m)}，以sen(p_i)表示位置p_i的敏感度，sen(p_i)∈[0,1)；若p_i为第j种位置类型，则sen(p_i)＝sen(pp_j)；不同位置对应的位置敏感度集合为SEN＝{sen(p₁),sen(p₂),…,sen(p_n)}；敏感度值越高，用户越不想暴露该位置。

步骤(2)所述位置隐私需求是指用户为保护自己的位置信息而提出的隐私需求，基于该需求，中心服务器构造匿名集，以S表示匿名集，匿名集S是满足用户需求的所有道路的集合；以Q_c表示用户位置隐私需求，其多元组形式为Q_c＝{K，L，θ，L_max}，其中，K表示匿名集中的用户数不少于K个；L表示匿名集中的道路数至少为L条；θ为用户自定义的语义安全门限，即匿名集的敏感度需要小于等于语义安全门限θ；为控制匿名区域范围，避免计算开销过大，匿名集S中的最大道路条数被设置为L_max，若匿名集S道路条数超过L_max还没满足隐私需求，则匿名失败。

步骤(3)所述生成具备语义安全和防边权攻击的匿名集，方法是中心服务器根据用户的位置隐私需求，先将匿名集S置空，将用户所在道路加入匿名集S，再采用宽度优先搜索算法依次对匿名集S中的道路，在路网中搜索临近道路，若临近道路在候选匿名集TS中不存在，则将临近道路加入到候选匿名集TS中，从TS的所有临近道路中选择隐私度最小的道路加入匿名集中，若匿名集不满足条件则继续依次对匿名集S中的道路继续搜索，以构建满足需求的匿名集；

具体包括以下步骤：

(3.1)计算道路敏感度，预防位置语义攻击；

中心服务器优先选择道路敏感度较低的道路加入匿名集S，以保护用户的位置隐私安全；假设第i条道路e_i包含k个位置，以RS(e_i)表示e_i的道路敏感度，计算公式如下：

根据式(1)，在一条道路中，若包含的敏感位置越多，位置的敏感度越高，则道路敏感度越高；在匿名集S构造中，为保护用户的位置隐私，即保证位置语义安全，道路敏感度高的道路将尽量被延后选取或被排除；

(3.2)计算道路关联度，预防边权攻击；

假设查询的道路集中有l条道路，当用户所在道路的用户数远大于其它道路上的用户数目时，攻击者推断查询用户位于该道路上的概率大于1/l；

在匿名集S构造中，若选取用户数量尽可能接近用户所在道路的周边道路，则可以避免在LBS查询请求中道路集上用户分布不均的情况，从而预防攻击者进行边权攻击；

关联度表示在一个匿名集中某条道路因为用户数量被推断的概率，指定匿名集S，其包含L条道路；道路e_i∈S，e_i.w表示以道路e_i为边的权值，即道路e_i上的用户数量，以rel(S,e_i)表示道路e_i的关联度，计算方法如下：

其中，e_j∈S且e_j≠e_i；若通过增大匿名集中所有道路边权的总和，即选择其它道路上的用户数量尽可能多的道路加入匿名集以降低道路e_i的用户数量e_i.w在匿名集中所占的比重，则rel(S,e_i)越小，用户被边权攻击造成位置泄露的可能性就越小，从而降低攻击者推断的概率。但是，若关联度为零则表示该道路上无人，该道路被放弃，以避免攻击者直接排除该道路而缩小推断范围；

(3.3)计算道路隐私度；

将道路的敏感度和关联度结合，构建道路隐私度，并以之筛选道路敏感度与关联度较低的道路形成匿名集；

道路隐私度表示在一个匿名集中道路的隐私保护程度，其以道路关联度作为道路敏感度的权值，描述道路在语义位置的敏感性，及该道路与匿名集中其它道路上用户数量的分布均衡性；假设以e₀表示查询用户所在真实道路，e_i表示某条道路，k为道路e_i中的位置数量，以PR(e_i)表示道路e_i的隐私度且PR(e_i)∈(0,1)，计算公式如下：

公式(3)中，p_j为道路e_i中的第j个位置，sen(p_j)、pop(p_j)分别为p_j的位置敏感度和位置普及度，rel(S,e₀)表示将道路e_i尝试加入匿名集S后查询用户所在道路e₀的关联度；

道路的位置敏感度与关联度越小，则道路的隐私度越小，表明该道路的语义位置越安全，该道路上的用户数量与匿名集中其它道路上的用户数量相差越小，攻击者越难以通过语义位置和边权信息进行推断攻击；

(3.4)选择道路加入匿名集

在道路选择中，若临近道路仅一条，则直接将该道路加入匿名集；否则在多个待选择临近道路中，中心服务器将待选择道路尝试加入到匿名集后计算查询用户所在道路的关联度，再计算出待选择道路的隐私度，并将道路隐私度最低的某个待选择道路作为最优道路，加入到匿名集中；

(3.5)计算匿名集敏感度

匿名集敏感度表示匿名集的敏感程度，其由匿名集中所有道路中所有位置的位置普及度和位置敏感度决定；以S表示匿名集，其包含L条道路，每条道路的位置数量用一个数组LC记录，如LC_i记录第i条道路的位置数量，p_l,i表示第l条道路的第i个位置，以RS(S)表示匿名集S的敏感度，计算公式如下：

(3.6)判断匿名集是否满足用户查询隐私需求

满足用户查询隐私请求，包括用户设置的道路数、用户数和匿名集的敏感度RS(S)是否小于等于语义安全门限θ，满足则匿名集构造结束；否则继续采用宽度优先搜索进行新一轮的扩张搜索；若匿名集中的道路数量达到用户设置的最大值L_max时还没有满足隐私要求，则匿名失败，结束搜索。

本发明公开了一种防边权攻击和位置语义攻击的位置隐私保护方法，其与专利“一种路网环境下的用户位置隐私保护方法和系统”(授权公告号CN105246072B)公开的方法的系统结构相同，都是采用目前位置隐私保护中常用的中心服务器结构，都由客户端、中心服务器和LSP组成；也都考虑了预防边权攻击问题。但本发明与专利(CN105246072B)公开的方法在技术和方法上有本质的不同：

(1)预防位置语义攻击的不同。

专利(CN105246072B)没有考虑位置语义安全问题。本发明基于位置普及度和敏感度，筛选敏感度低的道路加入匿名集，防止位置语义攻击，保证位置语义安全；

(2)预防边权攻击的方法不同。

专利(CN105246072B)在防边权攻击中，通过计算敏感查询信息概率和边的边权攻击概率，计算平均信息熵，实现抗边权攻击。与之不同的是，本发明主要计算道路关联度，选择用户数量尽可能多的道路加入匿名集，避免了请求查询的道路集上的用户分布严重不均问题，降低了攻击者根据位置查询请求中的道路集上的用户数量进行推断的概率，实现抗边权攻击；

(3)匿名集构建方法的不同。

专利(CN105246072B)在匿名集构建中，将路网划分为V图，计算用户到各个路段的距离，产生V区，将V区对应路段加入匿名集，当用户数不足时，中心匿名服务器隐私保护模块进行V区扩展或生成假用户。本发明在匿名集构建中，基于建立的路网模型，根据用户的查询请求，采用宽度优先搜索方式搜索临近道路，根据道路敏感度和关联度，计算道路隐私度，筛选隐私度最小的道路加入匿名集，生成具备语义安全和防边权攻击的匿名集；

(4)个性化的隐私保护需求定义的不同。

相比于专利(CN105246072B)所公开的方法，本发明通过自定义的语义安全门限θ和最大道路数L_max，在确保基本语义安全的前提下避免匿名区域范围的过度扩大，实现隐私保护和服务质量的权衡，使得构造的匿名集符合用户对位置隐私保护的意愿，提供个性化位置隐私保护。

本发明的有益效果是：

(1)本发明方法能有效抵抗边权攻击与位置语义攻击。

本发明方法针对现有位置隐私保护方法的不足，提出一个道路隐私度概念，以刻画道路在语义位置的敏感性，及道路与匿名集中其它道路上用户数量分布的均衡性。基于该概念，提出防边权攻击和位置语义攻击的位置隐私保护方法。该方法基于中心服务器结构，根据用户自定义的位置隐私要求，采用宽度优先搜索方式，筛选道路隐私度最低的道路加入匿名集，使得匿名集中各道路上的用户分布较均衡，且道路的语义位置敏感度低，具有抗边权攻击和抗语义攻击的能力，提高对用户查询位置的隐私保护。同时，本方法也能够有效预防对路网拓扑结构进行其它攻击如单路段攻击等。

(2)本发明方法提供了个性化的隐私保护需求。

本发明匿名集构造，是基于用户提出的位置隐私查询要求进行的。用户可以调整位置普及度及不同位置类型的敏感度，并调整用户自定义的语义安全门限θ及对道路数量、道路上的人数等要求，使得构造的匿名集符合用户对位置隐私保护的意愿，提供个性化位置隐私保护。

(3)本发明方法具有较好的应用性。

本发明方法根据路网结构及设置的位置语义信息进行计算，不需要其它的辅助方法或伪造手段，可以方便地在真实的路网环境中进行实施，可以根据真实的路网环境需求设置位置的普及度和敏感度，生成真实道路的语义信息，并结合路网实时信息计算道路隐私度，构建满足需求的匿名集，提供隐私保护。

附图说明

图1为发明位置隐私保护系统结构示意图；

图2为实施例中位置隐私保护匿名集构造流程示意图。

具体实施例

下面结合附图对本发明内容作进一步说明，但不是对本发明的限定。

参照图1，本发明位置隐私保护系统结构示意图，本系统模块包括用户端、中心服务器和位置服务提供商LSP；位置隐私保护方法，包括如下步骤：

(1)建立路网模型和位置语义初始化；

(2)用户端包括通信与定位模块，通过定位获取自己在路网中的真实位置并生成位置隐私需求；用户端接入中心服务器，向中心服务器发送包含自己的真实位置与隐私需求的查询请求，并等待查询结果；

(3)中心服务器包括匿名处理模块和查询结果求精处理模块，在匿名处理过程中，根据用户查询请求，通过计算道路隐私度，筛选满足要求的道路加入匿名集，生成具备语义安全和防边权攻击的匿名集，并将生成的匿名集发送给LSP；

(4)LSP接收匿名后的查询请求，进行位置服务查询，将结果返回给中心服务器，由中心服务器进行求精处理，将求精结果返回给用户。

参照图2，匿名集构造流程示意图，匿名集S的构造过程具体如下：

S1开始；

S2初始化不同位置类型的敏感度集合SS，并确定用户查询请求Q_c＝{K，L，θ，L_max}；

S3将匿名集S与候选匿名集TS置为空；

S4将用户所在真实道路e₀加入匿名集S，置S中的道路数NumEdge＝1，置S中的人数NumUser为e₀上的人数y即NumUser＝y；

S5判断匿名集是否满足Q_c，即是否满足NumUser<K or NumEdge<L or RS(S)>θ，是则执行S6，否则执行S17；

S6依次对S中的道路进行宽度优先搜索，将搜索到的在候选匿名集中不存在的临近道路都加入候选匿名集TS；

S7初始化最小道路隐私度PE为1，道路信息E为空；

S8将TS中待选择道路尝试加入到匿名集后，根据公式(2)计算用户所在道路e₀的关联度rel(S,e₀)；

S9根据公式(3)计算该道路的隐私度PR(e_i)；

S10判断PR(e_i)与PE的大小，如果PR(e_i)<PE执行S11，否则执行S12；

S11将道路隐私度最低的值赋给PE，即PE←PR(e_i)；记录道路隐私度最低的道路信息E，即E←e_i；

S12判断TS中各道路的隐私度PR(e_i)计算是否完成，是则执行S13，否则执行S8；

S13将道路E对应的道路加入匿名集S，并将其从TS中移除，增加匿名集S的道路数即NumEdge++；

S14统计该道路的人数为x，并增加匿名集的人数即NumUser+＝x；

S15判断匿名集的道路数量是否超过最大值L_max，如果NumEdge>L_max，则执行S16，否则执行S5；

S16匿名集中的道路数达到最大，匿名失败，结束搜索，清空S；

S17匿名成功，结束搜索，执行S18；

S18输出匿名集S；

S19结束。

本发明匿名集S的构造是基于用户提出的位置隐私查询要求进行的。用户可以调整位置普及度及不同位置类型的敏感度，并调整用户自定义的语义安全门限θ及对道路数量、道路上的人数等要求，使得构造的匿名集符合用户对位置隐私保护的意愿，提供个性化位置隐私保护。通过调整用户位置隐私查询条件，可以较好地平衡隐私保护和服务质量两者的关系，如对应一般的隐私需求，可以降低隐私条件如提高语义安全门限θ，使得中心服务器更加容易地构造满足要求的匿名集，快速生成满足条件的匿名集，匿名成功率较高，提高服务效率。

Claims (5)

1.一种防边权攻击和位置语义攻击的位置隐私保护方法，包括用户端、中心服务器和位置服务提供商LSP，其位置隐私保护方法包括如下步骤：

(1)建立路网模型和位置语义初始化；

(2)用户端包括通信与定位模块，通过定位获取自己在路网中的真实位置并生成位置隐私需求；用户端接入中心服务器，向中心服务器发送包含自己的真实位置与隐私需求的查询请求，并等待查询结果；

(3)中心服务器包括匿名处理模块和查询结果求精处理模块，在匿名处理过程中，根据用户的查询请求，通过计算道路隐私度，筛选满足要求的道路加入匿名集，生成具备语义安全和防边权攻击的匿名集，并将生成的匿名集发送给LSP；

(4)LSP接收匿名后的查询请求，进行位置服务查询，并将查询结果返回给中心服务器，由中心服务器的求精处理模块进行求精处理，将求精结果返回给用户。

2.根据权利要求1所述的防边权攻击和位置语义攻击的位置隐私保护方法，其特征在于：步骤(1)所述建立路网模型和位置语义初始化，具体包括以下步骤：

(1.1)根据真实道路的特征，将选择城市整个路网抽象为无向图G，以G＝{V,E}的形式表示；其中，E＝{e₁,e₂,…,e_m}是路网中的路段集合，每条路段都是E中的一条边；V＝{v₁,v₂,…,v_n}是道路交叉点集合；

(1.2)将生成的路网数据存储在可信第三方中心服务器中，并在生成路网的城市道路上随机生成10000个移动用户和10000个位置，并为这些位置生成语义信息；

(1.3)在上述生成的道路上划分需要的不同位置类型，并分别初始化设置不同类型位置的普及度值，以及这些类型位置的敏感度值；

位置普及度为位置受大众欢迎的程度，以用户出现在该位置的概率表示；以pp_i表示第i种位置类型，则位置类型集合PP＝{pp₁,pp₂,…,pp_m}；以p_i表示某个位置，pop(p_i)表示p_i的普及度，pop(p_i)∈[0,1]；若p_i为第j种位置类型，则pop(p_i)＝pop(pp_j)，pop(pp_j)为第j种类型位置的位置普及度；不同位置对应的位置普及度集合为POP＝{pop(p₁),pop(p₂),…,pop(p_n)}；位置普及度越高，用户可能出现在该位置的概率越高；

位置敏感度为不同用户对不同位置类型的敏感程度，以pp_i表示第i种位置类型，不同位置类型对应的敏感度集合为SS＝{sen(pp₁),sen(pp₂),…,sen(pp_m)}，以sen(p_i)表示位置p_i的敏感度，sen(p_i)∈[0,1)；若p_i为第j种位置类型，则sen(p_i)＝sen(pp_j)；不同位置对应的位置敏感度集合为SEN＝{sen(p₁),sen(p₂),…,sen(p_n)}；敏感度值越高，用户越不想暴露该位置。

3.根据权利要求1所述的防边权攻击和位置语义攻击的位置隐私保护方法，其特征在于：步骤(2)所述位置隐私需求是指用户为保护自己的位置信息而提出的隐私需求，基于该需求，中心服务器构造匿名集，以S表示匿名集，匿名集S是满足用户需求的所有道路的集合；以Q_c表示用户位置隐私需求，其多元组形式为Q_c＝{K，L，θ，L_max}，其中，K表示匿名集中的用户数不少于K个；L表示匿名集中的道路数至少为L条；θ为用户自定义的语义安全门限，即匿名集的敏感度需要小于等于语义安全门限θ；为控制匿名区域范围，避免计算开销过大，匿名集S中的最大道路条数被设置为L_max，若匿名集S道路条数超过L_max还没满足隐私需求，则匿名失败。

4.根据权利要求1所述的防边权攻击和位置语义攻击的位置隐私保护方法，其特征在于：步骤(3)所述生成具备语义安全和防边权攻击的匿名集，方法是中心服务器根据用户的位置隐私需求，先将匿名集S置空，将用户所在道路加入匿名集S，再采用宽度优先搜索算法依次对匿名集S中的道路，在路网中搜索临近道路，若临近道路在候选匿名集TS中不存在，则将临近道路加入到候选匿名集TS中，从TS的所有临近道路中选择隐私度最小的道路加入匿名集中，若匿名集不满足条件则继续依次对匿名集S中的道路继续搜索，以构建满足需求的匿名集；

具体包括以下步骤：

(3.1)计算道路敏感度，预防位置语义攻击；

中心服务器优先选择道路敏感度较低的道路加入匿名集S，以保护用户的位置隐私安全；

假设第i条道路e_i包含k个位置，以RS(e_i)表示e_i的道路敏感度，计算公式如下：

根据式(1)，在一条道路中，若包含的敏感位置越多，位置的敏感度越高，则道路敏感度越高；在匿名集S构造中，为保护用户的位置隐私，即保证位置语义安全，道路敏感度高的道路将尽量被延后选取或被排除；

(3.2)计算道路关联度，预防边权攻击；

假设查询的道路集中有l条道路，当用户所在道路的用户数远大于其它道路上的用户数目时，攻击者推断查询用户位于该道路上的概率大于1/l；

在匿名集S构造中，若选取用户数量尽可能接近用户所在道路的周边道路，则可以避免在LBS查询请求中道路集上用户分布不均的情况，从而预防攻击者进行边权攻击；关联度表示在一个匿名集中某条道路因为用户数量被推断的概率，指定匿名集S，其包含L条道路；道路e_i∈S，e_i.w表示以道路e_i为边的权值，即道路e_i上的用户数量，以rel(S,e_i)表示道路e_i的关联度，计算方法如下：

其中，e_j∈S且e_j≠e_i；若通过增大匿名集中所有道路边权的总和，即选择其它道路上的用户数量尽可能多的道路加入匿名集以降低道路e_i的用户数量e_i.w在匿名集中所占的比重，则rel(S,e_i)越小，用户被边权攻击造成位置泄露的可能性就越小，从而降低攻击者推断的概率。但是，若关联度为零则表示该道路上无人，该道路被放弃，以避免攻击者直接排除该道路而缩小推断范围；

(3.3)计算道路隐私度；

将道路的敏感度和关联度结合，构建道路隐私度，并以之筛选道路敏感度与关联度较低的道路形成匿名集；

道路隐私度表示在一个匿名集中道路的隐私保护程度，其以道路关联度作为道路敏感度的权值，描述道路在语义位置的敏感性，及该道路与匿名集中其它道路上用户数量的分布均衡性；假设以e₀表示查询用户所在真实道路，e_i表示某条道路，k为道路e_i中的位置数量，以PR(e_i)表示道路e_i的隐私度且PR(e_i)∈(0,1)，计算公式如下：

公式(3)中，p_j为道路e_i中的第j个位置，sen(p_j)、pop(p_j)分别为p_j的位置敏感度和位置普及度，rel(S,e₀)表示将道路e_i尝试加入匿名集S后查询用户所在道路e₀的关联度；

道路的位置敏感度与关联度越小，则道路的隐私度越小，表明该道路的语义位置越安全，该道路上的用户数量与匿名集中其它道路上的用户数量相差越小，攻击者越难以通过语义位置和边权信息进行推断攻击；

(3.4)选择道路加入匿名集

在道路选择中，若临近道路仅一条，则直接将该道路加入匿名集；否则在多个待选择临近道路中，中心服务器将待选择道路尝试加入到匿名集后计算查询用户所在道路的关联度，再计算出待选择道路的隐私度，并将道路隐私度最低的某个待选择道路作为最优道路，加入到匿名集中；

(3.5)计算匿名集敏感度

匿名集敏感度表示匿名集的敏感程度，其由匿名集中所有道路中所有位置的位置普及度和位置敏感度决定；以S表示匿名集，其包含L条道路，每条道路的位置数量用一个数组LC记录，如LC_i记录第i条道路的位置数量，p_l,i表示第l条道路的第i个位置，以RS(S)表示匿名集S的敏感度，计算公式如下：

(3.6)判断匿名集是否满足用户查询隐私需求

满足用户查询隐私请求，包括用户设置的道路数、用户数和匿名集的敏感度RS(S)是否小于等于语义安全门限θ，满足则匿名集构造结束；否则继续采用宽度优先搜索进行新一轮的扩张搜索；若匿名集中的道路数量达到用户设置的最大值L_max时还没有满足隐私要求，则匿名失败，结束搜索。

5.根据权利要求4所述的防边权攻击和位置语义攻击的位置隐私保护方法，其特征在于：步骤(3)所述匿名集S的构造过程具体如下：

S1开始；

S2初始化不同位置类型的敏感度集合SS，并确定用户查询请求Q_c＝{K，L，θ，L_max}；

S3将匿名集S与候选匿名集TS置为空；

S4将用户所在真实道路e₀加入匿名集S，置S中的道路数NumEdge＝1，置S中的人数NumUser为e₀上的人数y即NumUser＝y；

S5判断匿名集是否满足Q_c，即是否满足(NumUser<K or NumEdge<L or RS(S)>θ)，是则执行S6，否则执行S17；

S6依次对S中的道路进行宽度优先搜索，将搜索到的在候选匿名集中不存在的临近道路都加入候选匿名集TS；

S7初始化最小道路隐私度PE为1，道路信息E为空；

S8将TS中待选择道路尝试加入到匿名集后，根据公式(2)计算用户所在道路e₀的关联度rel(S,e₀)；

S9根据公式(3)计算该道路的隐私度PR(e_i)；

S10判断PR(e_i)与PE的大小，如果PR(e_i)<PE执行S11，否则执行S12；

S11将道路隐私度最低的值赋给PE，即PE←PR(e_i)；记录道路隐私度最低的道路信息E，即E←e_i；

S12判断TS中各道路的隐私度PR(e_i)计算是否完成，是则执行S13，否则执行S8；

S13将道路E对应的道路加入匿名集S，并将其从TS中移除，增加匿名集S的道路数即NumEdge++；

S14统计该道路的人数为x，并增加匿名集的人数即NumUser+＝x；

S15判断匿名集的道路数量是否超过最大值L_max，如果NumEdge>L_max，则执行S16，否则执行S5；

S16匿名集中的道路数达到最大，匿名失败，结束搜索，清空S；

S17匿名成功，结束搜索，执行S18；

S18输出匿名集S；

S19结束。