一種基于代理服務的位置隱私保護方法

時 磊,潘巨龍,左正魏

(中國計量大學 信息工程學院,浙江 杭州 310018)

?

一種基于代理服務的位置隱私保護方法

時 磊,潘巨龍,左正魏

(中國計量大學 信息工程學院,浙江 杭州 310018)

針對無線移動網絡中通過代理用戶進行位置服務時,不可信賴的代理用戶可能帶來隱私泄露和區(qū)域匿名查詢造成通信代價過高等問題,提出了kAgPrivacy方法.首先,查詢用戶通過用戶之間協作形成匿名組,然后將匿名組形成的泛化區(qū)域代替真實單一位置發(fā)送給代理用戶進行位置服務.這樣既避免用戶和位置服務商的直接聯系,也避免了代理用戶的不可信性造成的隱私泄露問題.同時，采用增量近鄰查詢,保證了查詢結果準確性;采用Voronoi圖技術進行查詢返回結果過濾,可減少系統(tǒng)通信開銷.最后通過和其它算法比較,驗證了本文方法的有效性.

代理查詢;位置隱私;基于位置服務;增量近鄰查詢

隨著智能手機、平板電腦和導航儀等移動終端設備中導航技術的提高和無線移動網絡的普及,以及GPS(Global Position System)、伽利略和北斗等衛(wèi)星定位系統(tǒng)的廣泛運用,基于位置服務(Location Based Services,簡稱LBS)得到迅速發(fā)展[1].但是,在享受LBS帶來便利的同時也把自身的位置暴露了,使得個人隱私泄露的風險也隨之提高[2-3],位置服務的迅速發(fā)展和普及,基于位置所帶來的隱私泄露的問題也將越來越引起人們的擔憂.

由于越來越多的隱私問題在LBS中被提出,基于LBS的用戶隱私保護研究得到了更多學者的重視.目前,這方面研究大多數是基于位置k-匿名模型、假位置和空間加密等技術.Gruteser等最早在位置隱私保護中采用數據庫中的k-匿名的思想,提出了位置k-匿名模型[4].大多數的位置k-匿名模型的研究都是基于可信第三方(trusted third party based)的中心服務器結構.其設計思想是當用戶發(fā)出請求時,將具體的位置信息、匿名數k以及查詢信息發(fā)給第三方中心服務器,中心服務器將用戶具體位置擴展成至少包含k個用戶的匿名區(qū)域,再將匿名區(qū)域和用戶的查詢服務信息一起發(fā)送給位置服務商,獲得返回結果集后根據用戶的具體位置計算出合適的查詢結果,并將此結果返回給查詢用戶.然而,當中心服務器不是完全可信時,用戶的位置信息和查詢信息等隱私將面臨暴露的風險;同時中心服務器在用戶查詢時獲得用戶的所有信息,很容易成為集中攻擊點.

由于中心服務器模型暴露出上述很多安全問題,后續(xù)越來越多的研究采用無中心服務器的隱私保護模型.Chow等人[5]基于無中心服務器思想提出了P2P匿名方法,用戶通過自組織的方式形成匿名網絡,并且從網絡中隨機選擇一個用戶作為代理用戶進行代理查詢,并將結果返回給查詢用戶.Yiu等人[6]于2008年提出了SpaceTwist隱私保護算法,該文采用增量查詢算法進行興趣點查詢.用錨點代替用戶的真實位置發(fā)出查詢獲得精確的位置服務信息,但是他們沒有實現k匿名.針對SpaceTwist方法的缺陷,文獻[7]提出了CoPrivacy算法,在用戶自組織的情況下實現位置k-匿名,并且限定了匿名區(qū)域的最小半徑,提高了用戶的隱私保護強度.大多數的無中心服務器的隱私保護算法都是用戶和位置服務商直接聯系的,用戶查詢時雖然提供的是假位置,但是不可避免攻擊者通過一些信息,聯系用戶的ID和查詢信息也能推測出用戶的真實身份,因此文獻[8]提出AgPrivacy算法,引入代理用戶的概念進行代理查詢,查詢用戶將查詢信息發(fā)送給附近用戶代理查詢,同時使用戶真實位置泛化成匿名區(qū)域后發(fā)送給代理用戶,避免了代理用戶的不可信性造成的隱私泄露.但是該算法沒有使用位置k-匿名模型,假設泛化區(qū)域有且只有一個用戶,那么當代理用戶不可信時,攻擊者就很容易從泛化區(qū)域中找到真實用戶,該算法隱私保護度不高.

通過對已有的位置隱私保護算法模型的比較研究,本文提出了一種基于代理服務的隱私保護算法(kAgPrivacy).該方法采用無中心服務器結構,用戶通過單跳或多跳形成滿足用戶k匿名要求的匿名組;然而,當用戶較少時,會出現在一定時間內,無法尋找到k個用戶的情況,這時可以通過引入啞元等方法湊出k個用戶以滿足匿名條件,形成滿足k匿名條件的匿名組后,匿名組內用戶組成區(qū)域的最小外接圓作為查詢用戶的泛化區(qū)域代替單一的查詢用戶真實位置,在匿名組中隨機選擇一個用戶作為代理用戶,并把匿名組形成的區(qū)域的中心作為錨點代替查詢用戶的真實位置發(fā)送給位置服務商進行查詢[9],返回結果采用Voronoi圖[10]技術進行結果過濾,使查詢用戶得到準確的位置服務.這種方法切斷了查詢用戶和位置服務商的直接聯系,并且引入位置k-匿名模型,提高了隱私保護度;同時采用增量近鄰查詢,使得用戶得到準確的位置服務.最終實現了查詢的服務質量和用戶隱私保護之間平衡.

1 kAgPrivacy隱私保護方法介紹

1.1 預備知識

定義1 用戶類型表示：移動用戶{U1,U2,…,Uk}自組織形成網絡,其中用戶UC請求用戶Up代理進行位置服務查詢,那么定義UC為查詢用戶,Up為代理用戶.

定義2 UC泛化區(qū)域Ω：UC發(fā)出查詢匿名參數要求k后,通過單跳或者多跳形成至少k個用戶的匿名組,該匿名組所構成區(qū)域的最小外接圓即為用戶的泛化區(qū)域.

定義3 匿名組可以用G表示：G={s,k,q′},

其中：

s表示匿名組的標記;

k表示組成匿名組用戶的個數,是UC指定的匿名參數;

q′=(x′,y′)表示代理錨點的位置坐標,是匿名組中用戶形成區(qū)域的中心,也是Up向位置服務器發(fā)出查詢代替UC真實位置時所用的假位置.(x′,y′)為錨點的經緯度.

定義4 UC發(fā)出查詢請求用Q表示：Q={con,k,rmin};UC發(fā)送給代理用戶請求用Qc表示：Qc={o,r,con};

其中：

o=(x,y)表示UC泛化區(qū)域Ω的圓心坐標,(x,y)為圓心的經緯度;

r表示UC泛化區(qū)域Ω的半徑;

con表示UC的查詢內容;

k表示組成匿名組用戶的個數,是UC指定的匿名參數;

rmin表示UC泛化區(qū)域Ω的半徑最小值.

定義5 Up向位置服務商發(fā)出請求用Q′表示：Q′={q′,con},

其中：

q′=(x′,y′)表示代理錨點的位置坐標,(x′,y′)為錨點的經緯度;

con表示UC的查詢內容.

定義6 Voronoi圖是平面中的一種區(qū)域劃分結構,要求任一興趣點對應一個劃分區(qū)域,用戶在該區(qū)域中任何位置到該興趣點的距離最近.其原理是興趣點與其周圍的興趣點作中垂線,根據中垂線的定義,由中垂線構成的區(qū)域中的興趣點就是該區(qū)域內用戶最近鄰查詢結果.如圖1,對于興趣點p1,粗線內中心區(qū)域就是其劃分區(qū)域,并且離該區(qū)域中任意位置的用戶最近的興趣點就是p1.

圖1 Voronoi圖劃分示意Figure 1 Example of Voronoi

1.2 系統(tǒng)結構

本文提出的kAgPrivacy隱私保護方法是基于無中心服務器的隱私保護模型,主要由自組織構成的匿名組和基于位置服務的服務器組成,系統(tǒng)的具體結構如圖2.

kAgPrivacy隱私保護方法的基本思想過程：1)假設用戶UC發(fā)出LBS查詢請求Q,首先通過移動終端獲得自己真實的位置q,然后通過單跳或者多跳形成至少含有k個用戶的匿名組,并且把匿名組用戶形成的區(qū)域的中心作為代替用戶真實位置的錨點q′,該區(qū)域的外接圓作為UC的泛化區(qū)域并且保證該外接圓的半徑大于等于rmin,接著形成查詢請求Qc發(fā)送給代理用戶Up;2)Up形成代理查詢請求Q′發(fā)送給位置服務商進行增量近鄰查詢;3)獲得結果集后采用Voronoi圖[10]的方法對查詢結果進行過濾,然后返回給代理用戶Up;4).代理用戶再根據查詢用戶UC信息對結果集進行過濾,并且將過濾后的結果發(fā)送給查詢用戶UC.

圖2 系統(tǒng)結構Figure 2 System structure

2 用戶匿名

分析SpaceTwist算法發(fā)現,沒有引入位置k-匿名模型,隱私泄露風險較高;分析CoPrivacy算法發(fā)現,雖然采用了位置k-匿名模型,但是查詢用戶直接與位置服務器聯系,攻擊者易獲得用戶的查詢信息和背景信息從而推測出用戶隱私;分析AgPrivacy算法發(fā)現,通過引入代理用戶的方式阻斷了查詢用戶和位置服務器的直接聯系,并且為了避免代理用戶不安全性引起的隱私泄露問題,泛化了查詢用戶的真實位置,但是當泛化區(qū)域有且只有查詢用戶時,泛化區(qū)域對于不可信的代理用戶是完全沒有意義的.因此,要使得對于不可信的位置服務器和不可信的代理用戶,查詢用戶的隱私均可以得到有效的保護,用戶UC發(fā)出查詢請求后通過單跳或者多跳的通信方式尋找近鄰用戶,直到滿足UC的匿名參數k為止,形成滿足位置k-匿名的匿名組;計算匿名組中用戶構成區(qū)域的外接圓作為UC的泛化區(qū)域發(fā)送給代理用戶Up,使得代理用戶對于查詢用戶的辨別率為1/k;將匿名組中用戶構成的匿名區(qū)域的中心作為代理用戶向位置服務商發(fā)出查詢時提供的假位置.具體位置匿名算法如下：

算法：位置匿名

1) Procedure：定位查詢用戶UC;生成匿名組標記s;

2) 設置跳數h←1;已發(fā)現節(jié)點集合為T←{φ};發(fā)現節(jié)點個數n←|T|;隱匿參數k;用戶泛化區(qū)域最小半徑值rmin;

3) while n

4) 廣播發(fā)現節(jié)點消息內容h和s;

5) 接收響應消息的節(jié)點Ui集合為T′;

6) 接收響應消息的節(jié)點Ui位置Ui.l的集合為R′;

7) UC.s←s;Ui.s←s;

8) n=|T′|;

9) if n

10) if T=T′ then

11) 結束循環(huán);

12) end if

13) h←h+1;T←T′;

14) end if

15) end while

16) R′←{UC.l}∪R′;

17) R←R’中位置信息構成的區(qū)域

18) q′←R的密度中心;

19) o←R的最小外接圓的圓心;

20) r′←R的最小外接圓的半徑;

21) if r′>rminthen

22) r←r′;

23) else

24) r←rmin;

25) end if

26) Qc←{o,r,con};

27) Up←隨機從T中選擇一節(jié)點作為代理用戶;

28) Up←{Qc,q′};

30) End Procedure

用戶Uc發(fā)出查詢時,首先進行初始值設定：生成匿名組的記號s,設置廣播的跳數h為1,已經發(fā)現的節(jié)點集合T為空集,已經發(fā)現的節(jié)點個數n為0,以及設置用戶選擇的匿名參數k和用戶的最小泛化區(qū)域半徑rmin(算法第1-2行);接著廣播節(jié)點發(fā)現的消息,其消息內容為參數h和s,等待近鄰節(jié)點的響應,并把響應節(jié)點放入集合T′中,把響應節(jié)點的位置信息放入集合R′中(算法第4-6行);將用戶Uc的記號置為匿名組的記號s,將響應用戶Ui的記號置為匿名組的記號s,再將n設置為集合T′中節(jié)點的個數(算法第7-8行);此時比較n和k-1的大小,如果n大于或者等于k-1,則響應節(jié)點的個數滿足用戶的匿名要求,節(jié)點尋找完畢;如果n小于k-1則要先比較集合T和T′,如果兩個集合相等,說明鄰近節(jié)點已經飽和,即使增加跳數也無法找到更多的用戶,匿名失敗;如果兩個集合不相等,增加跳數繼續(xù)廣播發(fā)現節(jié)點信息尋找響應用戶(算法第9-14行);直到最終n大于等于k-1,節(jié)點尋找完畢,結束while循環(huán).節(jié)點選擇完畢后,將用戶Uc的位置信息存入集合R′中,并將R′中所有節(jié)點構成的區(qū)域設置為R;R的密度中心設置為q′作為代理用戶向位置服務商發(fā)出查詢時代替用戶真實位置的假位置信息;R的最小外接圓的圓心設置為o,最小外接圓的半徑設置為r′(算法第16-20行);此時比較r′和rmin的大小,如果r′大于rmin,那么用戶發(fā)送為代理用戶的泛化區(qū)域半徑r取r′的值,否則r取rmin的值(算法第21-25行);最后用戶將由o,r,查詢內容con以及計算好的錨點q′組成的查詢內容發(fā)送給代理用戶(算法第26-28行).用戶匿名結束.

3 增量近鄰查詢

代理用戶獲得錨點q′后,與位置服務商進行增量近鄰查詢.查詢過程如圖3,其中虛線內中心區(qū)域是查詢用戶的泛化區(qū)域.并且涉及需求空間和供應空間兩個參數,需求空間是指以查詢用戶泛化區(qū)域Ω的圓心o為圓心,o與興趣點p的距離為半徑(γ)的圓;供應空間是指以錨點q′為圓心,q′與興趣點p的距離為半徑(τ)的圓.

代理用戶以錨點q′作為假位置向位置服務商發(fā)起查詢,獲得興趣點服務,如圖3(a)；當找到第2個興趣點時,供應空間繼續(xù)增大,需求空間繼續(xù)縮小,如圖3(b)；繼續(xù)查找興趣點,供應空間隨著越來越多的興趣點的找到將持續(xù)增大,需求空間將持續(xù)縮小,直到供應空間完全覆蓋需求空間,判斷供應空間是否也完全覆蓋了查詢用戶的泛化區(qū)域,如果沒有完全覆蓋如圖3(c),那么繼續(xù)查找興趣點,直到供應空間完全覆蓋查詢用戶的泛化區(qū)域,查詢結束,如圖3(d)；如果當供應空間完全覆蓋需求空間時,供應空間也完全覆蓋了泛化區(qū)域則無需繼續(xù)查詢,查詢結束.

圖3 增量近鄰查詢Figure 3 Incremental nearest neighbor query

4 Voronoi圖結果過濾

由于本文算法中代理用戶無法確定查詢用戶的具體位置,必須將查詢結果全部返回給查詢用戶,查詢用戶再根據移動終端獲取的具體位置與返回結果進行計算獲得最近鄰的查詢結果,這就造成了用戶自身過大的通信開銷和查詢時間過大.因而可以考慮在位置服務器階段根據查詢結果劃分區(qū)域進行查詢結果過濾,以減少用戶和代理用戶的通信開銷.根據上文定義6對Voronoi圖概念及原理的描述可知,其作為一種平面幾何中的分割方法可以在區(qū)域近鄰查詢中得到應用.因而本文的算法思想就是位置服務器根據代理用戶發(fā)送的信息得到查詢結果候選集后引入Voronoi圖思想.其基本思路如圖4：首先位置服務器通過Voronoi圖思想將返回的候選結果集組成的區(qū)域進行分割,然后將用戶的泛化區(qū)域Ω與分割后區(qū)域比較,提煉出兩者有交集的Voronoi圖,再將其通過代理用戶發(fā)送給查詢用戶.根據Voronoi圖中垂線分割的思想,Voronoi圖中的某塊子域包含于匿名區(qū)域Ω中或者與其某塊子域相交,那么該子域中對應的興趣點即為存在與其相交的泛化區(qū)域中的用戶的最近鄰查詢結果,從而避免直接返回查詢結果集帶來的大量計算,減少了查詢時間,降低了通信開銷[8].

圖4 Voronoi圖結果過濾Figure 4 Filtered result based on Voronoi

5 實驗分析

5.1 實驗環(huán)境

通過實驗進行驗證改進后的基于代理服務的位置隱私算法(kAgPrivacy)的有效性,模擬數據集由通用的Thomas Brinkhoff路網數據生成器生成,該數據生成器是通過導入德國Oldenburg的交通路網而生成模擬的移動用戶.本文算法采用JAVA語言實現,實驗計算機環(huán)境為3.2 GHz Intel Core i5處理器,4 GB內存,Windows7操作系統(tǒng).實驗中采用的默認數據參數如表1.

表1 實驗默認參數

5.2 算法比較

首先,將改進的基于代理的位置隱私保護方法kAgPrivacy與典型的采用中心服務器結構的位置隱私保護方法PrivacyGrid[11]進行比較.保持其它實驗參數不變,比較兩者的匿名成功率和查詢結果大小隨著匿名用戶數k的變化而變化情況.匿名成功率指查詢用戶成功率指查詢用戶成功匿名的次數與實驗用戶總查詢次數的比率.查詢結果大小指代理用戶向位置服務商發(fā)出增量近鄰查詢時返回的近鄰結果的個數.其比較結果如圖5.

圖5 方法kAgPrivacy與方法PrivacyGrid比較Figure 5 Comparison between kAgPrivacy and PrivacyGrid

由圖5可以看出,在方法kAgPrivacy中,隨著用戶匿名參數k值的增加,用戶查詢匿名成功率略有下降,增量查詢返回的結果集有明顯的上升.這是由于隨著k值的增加,查詢用戶必須查找更多的鄰近用戶組成匿名組,匿名組中用戶個數的增加使得查詢用戶的泛化區(qū)域擴大,錨點與查詢用戶真實位置的距離變大,這就造成了增量查詢返回的結果集變大.隨著用戶匿名參數k值增加,方法kAgPrivacy與方法PrivacyGrid的用戶查詢的匿名成功率相差不多.當k值相同時,方法kAgPrivacy較方法PrivacyGrid返回的結果集更小,尋找的候選結果更少,篩選出用戶需求結果的通信代價更小,k值越大,其優(yōu)勢越明顯.但是由于第三方中心服務器沒有網絡延遲,方法kAgPrivacy較方法PrivacyGrid的匿名時間可能會增多.不過相比較中心服務器易造成隱私泄露的弊端,本文的改進算法還是很有優(yōu)勢的.

然后,將改進后的基于代理的位置隱私保護方法kAgPrivacy與無中心服務器結構的P2P空間匿名方法[6]進行對比.保持其它實驗參數不變,比較兩者的用戶協作平均通信消息量和查詢結果大小隨著匿名用戶數k的變化而變化情況.用戶協作平均通信消息數量指用戶通過查找鄰近用戶形成滿足匿名要求的匿名組到計算出錨點的平均傳輸消息數量.其比較結果如圖6.

圖6 方法kAgPrivacy與方法P2P比較Figure 6 Comparison between kAgPrivacy and P2P

由圖6可以看出,隨著匿名參數k值的增加,兩種方法的用戶協作平均通信消息量和查詢結果大小均有明顯增加.這是由于隨著k值的增加,查詢用戶必須尋求更多的鄰近用戶形成匿名組,而移動用戶的總量沒有變化,那么需要用戶必須花費更多時間查找更遠距離的用戶,查詢用戶的泛化區(qū)域增大,錨點離用戶的真實位置的距離增大,供應空間更大,查詢返回的結果更多,造成的通信代價更大.與P2P空間匿名方法相比,在用戶協作平均通信消息量方面方法kAgPrivacy有著明顯的優(yōu)勢,但是由于P2P空間匿名方法多選擇主動模式查找用戶,因而用戶的平均響應時間會優(yōu)于方法kAgPrivacy.這是由于P2P空間匿名方法查找近鄰用戶時多選擇主動模式,匿名組形成后仍然不斷的發(fā)送信息維持匿名組,因此當用戶查詢時可以很快形成匿名區(qū)域,減少響應時間;但是要維持匿名組的存在需要更多的用戶協作通信,造成了很大的通信代價.并且本文在結果篩選方面借鑒了Voronoi圖的思想,避免了用戶對每一個候選結果的計算比較,快速準確的找出用戶的查詢結果,有效地減少了系統(tǒng)通信開銷.

最后,將改進后的基于代理的位置隱私保護方法kAgPrivacy與沒有k匿名的隱私保護方法AgPrivacy進行對比.保持其它實驗參數不變,比較兩者隨著k值變化的匿名成功率.其中由于AgPrivacy方法中的匿名區(qū)域半徑是用戶自定義的,本文實驗假設此半徑為200 m.其比較結果如圖7.

圖7 方法kAgPrivacy與方法AgPrivacy比較Figure 7 Comparison between kAgPrivacy and AgPrivacy

由圖7可以看出,在方法kAgPrivacy中,隨著用戶匿名參數k值的增加,用戶查詢匿名成功率只是稍稍有點下降;但是,在方法AgPrivacy中,匿名成功率下降地非常迅速,這是由于在方法kAgPrivacy中,雖然隨著k值的增加,需要的用戶也越多,在一定時間內沒有查詢到k個用戶的概率將會越大,匿名失敗率會稍微有所增加;可是由于沒有區(qū)域范圍的限制,整體來說匿名的成功率仍然會很高.在方法AgPrivacy中由于匿名區(qū)域已經限定,供應空間的大小也就限定了,那么其中的用戶個數也只受用戶的疏密程度影響,由于模擬區(qū)域的用戶數量已經限定,所以供應空間內的用戶數量也是趨于穩(wěn)定.因而,當k值較小時,可以滿足條件的概率很高,當k值越來越大時,滿足條件的概率逐步降低,匿名成功率也就越來越低.當然,隨著查詢用戶限定的泛化區(qū)域的增大,匿名成功率也會相應的增大,但是這會帶來通信代價過高的問題.對于通信代價和匿名區(qū)域大小如何平衡這個問題,也將作為接下來的研究重點,本文就不做過多的討論.

6 結 論

針對無中心服務器結構中基于代理用戶的位置隱私保護方法進行位置服務時,由于代理用戶的不可信性造成查詢用戶位置隱私和查詢隱私泄露的問題,以及通過匿名區(qū)域進行查詢造成查詢結果準確度難以保證和查詢通信代價過大等問題,提出了kAgPrivacy方法.在匿名模塊,查詢用戶通過單跳或者多跳發(fā)現近鄰用戶,構成滿足用戶匿名要求k的匿名組,并將匿名組構成的泛化區(qū)域代替用戶的真實位置發(fā)送給代理用戶,使得即使代理用戶不可信時,其識別查詢用戶的概率也只有1/k,以此達到用戶位置匿名保護的目的.在查詢模塊,借鑒SpaceTwist方法[6]中的增量近鄰查詢,以解決查詢準確率的問題;并且借鑒Voronoi圖[10]的思想對位置服務器返回代理用戶的查詢結果進行區(qū)域劃分,起到結果過濾的目的,減少了系統(tǒng)通信代價,取得較好的效果.

[1] 左正魏，潘巨龍，魏琳琳.一種路網環(huán)境下LBS隱私保護算法[J].中國計量學院學報,2015,26(3):359-364.

ZUO Zhengwei, PAN Julong, WEI Linlin. A privacy protection algorithm designed for LBS in road network[J]. Journal of China University of Metrology,2015,26(3):359-364.

[2] PEDRESCHI D, BONCHI F, TURINI F, et al. Privacy protection: regulations and technologies, opportunities and threats[C]// Mobility, Data Mining and Privacy. Berlin: Springer,2008:101-119.

[3] MOKBEL M F. Privacy in location-based services: state-of-the-art and research directions[C]// International Conference on Mobile Data Management. Mannheim: IEEE,2007:228-228.

[4] GRUTESER M,GRUNWALD D. Anonymous usage of location-based services through spatial and temporal cloaking[C]// Proceedings of the 1st International Conference on Mobile Systems, Applications and Services. New York: ACM,2003:31-42.

[5] CHOW C Y,MOKEL M F,LIU X.A peer-to-peer spatial cloaking algorithm for anonymous location-based service[C]//Proceedings of the 14th Annual ACM International Symposium on Advances in Geographic Information Systems. Virginia: ACM,2006:171-178.

[6] YIU M L, JENSEN C S, HUANG Xuegang, et al. SpaceTwist: managing the trade-offs among location privacy, query performance, and query accuracy in mobile services[C]//Proceedings of the IEEE International Conference on Data Engineering. Canccun: IEEE,2008: 366-375.

[7] 黃毅,霍崢,孟小峰. CoPrivacy:一種用戶協作無匿名區(qū)域的位置隱私保護方法[J].計算機學報,2011,34(10):1976-1985.

HUANG Yi, HUO Zheng, MENG Xiaofeng. CoPrivacy: a collabrative location privacy preserving method without cloaking region[J].Chinese Journal of Computers,2011,34(10):1975-1985

[8] 毛典輝,蔡強,李海生,等.AgPrivacy:一種代理服務的LBS隱私保護方法[J].北京工業(yè)大學學報,2013,39(11):1673-1679.

MAO Dianhui,CAI Qiang,LI Haisheng, et al. AgPrivacy: a LBS privacy protective method based agent service[J]. Journal of Beijing University of Technology,2013,39(11):1673-1679.

[9] HJALTASON G R, SAMET H. Distance browsing in spatial databases[J]. ACM Transactions on Database Systems,1999,24(2):265-318.

[10] LIN Xin, ZHOU Lingchen, CHEN Peng, et al: Privacy preserving reverse nearest-neighbor queries processing on road network[C]// Proceedings of Web-Age Information Management. Berlin Heidelberg:WAIM workshop,2012:19-28.

[11] BAMBA B, LIU L, PESTI P,et al.Supporting anonymous location queries in mobile environments with privacygrid[C]//Proceedings of the 17th International Conference on World Wide Web. New York: ACM,2008:237-246.

A location privacy protection method based on agent service

SHI Lei, PAN Julong, ZUO Zhengwei

(College of Information Engineering, China Jiliang University, Hangzhou 310018, China)

The unbelievable proxy user may cause privacy disclosure and the range query may cause more communication costs when a user needs location-based service(LBS) in wireless mobile networks. A new method called kAgPrivacy was proposed. Anonymity groups were firstly formed by some users through collaboration. The user treated the range which was consisted by members in the group as its location and sended querying to an agent. Not only did it avoid the direct relation between the querying user and the location server but also avoid the user’s real location being exposed. The method of incremental nearest neighbor query was adopted to ensure an accurate search. Voronoi technique was used to filter search results in order to decrease system communication costs. The experiment results show that the new method is effective compared with other methods.

agent query; location privacy; location-based service; incremental nearest neighbor query

2096-2835(2016)03-0330-08

10.3969/j.issn.2096-2835.2016.03.016

2016-05-10 《中國計量大學學報》網址：zgjl.cbpt.cnki.net

時磊(1991- ),女,江蘇省連云港人,碩士研究生,主要研究方向為LBS隱私保護. E-mail:1553036003@qq.com

潘巨龍,男,教授. E-mail: pjl@cjlu.edu.cn

TP309

A