基于緩存候選結(jié)果集的軌跡隱私保護(hù)方法

張少波，劉 琴，李 雄，王國(guó)軍

(1. 湖南科技大學(xué)計(jì)算機(jī)科學(xué)與工程學(xué)院 湖南 湘潭 411201；2. 湖南大學(xué)信息科學(xué)與工程學(xué)院 長(zhǎng)沙 410082；3. 廣州大學(xué)計(jì)算機(jī)科學(xué)與教育軟件學(xué)院 廣州 510006)

目前，基于位置服務(wù)(location-based service, LBS)已廣泛應(yīng)用于軍事、商業(yè)和民生等領(lǐng)域[1]。用戶通過(guò) LBS可以獲得當(dāng)前位置附近的興趣點(diǎn)(points of interests, POIs)，如最近的影院、醫(yī)院和餐館等[2]。根據(jù)用戶連續(xù)的LBS查詢(xún)，攻擊者可能分析出特定用戶軌跡的敏感信息，如家庭住址、生活習(xí)慣和健康狀況等行為特征[3]。蘋(píng)果手機(jī)引發(fā)的“隱私門(mén)”風(fēng)波，就是通過(guò)LBS泄露用戶的隱私。因此，LBS中的軌跡隱私保護(hù)已成為急需解決的問(wèn)題。

在連續(xù)LBS查詢(xún)中，學(xué)者已提出一些軌跡隱私保護(hù)方法，主要分為兩類(lèi)結(jié)構(gòu)[4]：點(diǎn)對(duì)點(diǎn)和基于可信第三方(trusted third party, TTP)的中心服務(wù)器結(jié)構(gòu)。在點(diǎn)對(duì)點(diǎn)結(jié)構(gòu)中，文獻(xiàn)[5]最先提出了用戶協(xié)作的點(diǎn)對(duì)點(diǎn)匿名算法。文獻(xiàn)[6]提出了一種通過(guò)用戶緩存相互合作的隱私保護(hù)方法。但在這種結(jié)構(gòu)中，用戶發(fā)送的查詢(xún)需要進(jìn)行匿名或變換處理，對(duì)終端將會(huì)產(chǎn)生較大開(kāi)銷(xiāo)。在基于TTP中心服務(wù)器結(jié)構(gòu)中，引入一個(gè)可信匿名器作為移動(dòng)用戶和位置服務(wù)提供商(location service provider, LSP)之間的中間體，它負(fù)責(zé)對(duì)用戶的查詢(xún)進(jìn)行泛化處理，形成一個(gè)包括k個(gè)用戶的匿名域[7]。文獻(xiàn)[8]首次提出在第三方服務(wù)器進(jìn)行匿名的TTP框架。文獻(xiàn)[9]提出了一種社交網(wǎng)絡(luò)中軌跡隱私的保護(hù)方法。文獻(xiàn)[10]基于TTP結(jié)構(gòu)提出一種時(shí)間混淆技術(shù)，攻擊者很難重構(gòu)用戶的軌跡。文獻(xiàn)[11]基于 TTP結(jié)構(gòu)和假位置思想，提出一種在路網(wǎng)環(huán)境的連續(xù)查詢(xún)方法。文獻(xiàn)[12]針對(duì)怎樣使用激勵(lì)機(jī)制而設(shè)計(jì)了兩種方案來(lái)取得K匿名位置隱私。但在這些基于TTP結(jié)構(gòu)的方法中，用戶每次查詢(xún)得到精確結(jié)果后，往往將候選結(jié)果集丟棄。在連續(xù)的LBS范圍查詢(xún)中，相鄰查詢(xún)點(diǎn)的范圍總存在一定的相交區(qū)域。如果這些相交區(qū)域在后續(xù)查詢(xún)點(diǎn)又向LSP查詢(xún)，將會(huì)加大用戶信息暴露給LSP的風(fēng)險(xiǎn)，也會(huì)增加LBS服務(wù)器的開(kāi)銷(xiāo)。

針對(duì)基于TTP結(jié)構(gòu)存在的局限性，本文提出一種基于緩存候選結(jié)果集(cache candidate result set,CCRS)的軌跡隱私保護(hù)方法。該方法利用緩存思想，在用戶端和匿名器中緩存用戶每次查詢(xún)得到的候選結(jié)果集，供移動(dòng)軌跡上的后續(xù)查詢(xún)點(diǎn)使用，以減少用戶與LBS服務(wù)器之間的交互，降低用戶軌跡信息暴露給LBS服務(wù)器的風(fēng)險(xiǎn)。

1 系統(tǒng)模型和相關(guān)定義

1.1 系統(tǒng)模型

圖1 基于CCRS的軌跡隱私保護(hù)模型

圖1為基于CCRS的軌跡隱私保護(hù)模型，它主要包括用戶、匿名器和LBS服務(wù)器3類(lèi)實(shí)體，其具體工作過(guò)程為：1) 用戶發(fā)送查詢(xún)時(shí)，先確定查詢(xún)范圍內(nèi)包含的各網(wǎng)格單元標(biāo)識(shí)，并在用戶端緩存中查找。如果能找到這些網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集，則返回給用戶；否則將未查找到的網(wǎng)格單元標(biāo)識(shí)發(fā)送給匿名器。2) 匿名器收到用戶的這些網(wǎng)格單元標(biāo)識(shí)后，在其緩存中查找匹配。如果匿名器緩存有這些網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集，則返回查詢(xún)結(jié)果；否則基于Markov模型的移動(dòng)位置預(yù)測(cè)方法，在匿名器中形成k-匿名域后再發(fā)送給LSB服務(wù)器查詢(xún)。3) LBS服務(wù)器根據(jù)匿名域范圍，查詢(xún)各網(wǎng)格單元內(nèi)包含的POIs，并將各網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集返回給匿名器。4) 匿名器將各網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集更新到緩存，并與用戶需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)進(jìn)行匹配。如果相等，則將該網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集發(fā)送給用戶。5) 用戶將查詢(xún)匹配得到的網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集更新到緩存，并將得到的匹配候選結(jié)果集進(jìn)行過(guò)濾求精，最后得到精確結(jié)果。

1.2 隱私度量

定義 1 緩存隱私度量：根據(jù)信息熵對(duì)用戶位置隱私度的度量，基于緩存的隱私度量可表示為[13-14]：

式中，表示緩存中能找到的網(wǎng)格單元標(biāo)識(shí)數(shù)；表示需向LBS服務(wù)器查詢(xún)的網(wǎng)格單元標(biāo)識(shí)數(shù)；m2表示網(wǎng)格單元數(shù)目；H(g)表示真實(shí)網(wǎng)格單元標(biāo)識(shí)在查詢(xún)g中的不確定性。在查詢(xún)過(guò)程中，網(wǎng)格單元標(biāo)識(shí)的命中率可表示為：

式(1)可變換為：

可以看出，通過(guò)提高緩存命中率可增強(qiáng)用戶的位置隱私度。

1.3 Markov模型

用戶的移動(dòng)軌跡可以是n階的馬爾科夫鏈，可表示為具有時(shí)序性的移動(dòng)軌跡點(diǎn)序列，每個(gè)移動(dòng)軌跡點(diǎn)pi的所處移動(dòng)位置li只與其前面的n個(gè)移動(dòng)軌跡點(diǎn){pi-n+1,pi-n+2, … ,pi-1,pi}相關(guān)[15]：

式中，pil=li表示第i次移動(dòng)軌跡點(diǎn)pi的位置是li。

對(duì)于前n個(gè)移動(dòng)軌跡點(diǎn)組成的用戶軌跡，可預(yù)測(cè)求解具有最大概率的移動(dòng)位置：

式中，lp表示用戶移動(dòng)的預(yù)測(cè)位置。當(dāng)有n個(gè)候選移動(dòng)位置時(shí)，通過(guò)計(jì)算所有移動(dòng)位置lk是目標(biāo)預(yù)測(cè)位置的概率，以預(yù)測(cè)用戶真實(shí)的目標(biāo)位置lp。

2 基于CCRS的軌跡隱私保護(hù)方法

圖2所示為基于CCRS的軌跡隱私保護(hù)工作過(guò)程，主要分為5個(gè)步驟，下面將分別進(jìn)行介紹。

圖2 基于CCRS的軌跡隱私保護(hù)工作過(guò)程

2.1 用戶端緩存查詢(xún)與服務(wù)請(qǐng)求

用戶先將查詢(xún)范圍內(nèi)網(wǎng)格結(jié)構(gòu)定義為：

式中， (x1,y1)、 (x2,y2)表示能確定用戶查詢(xún)范圍的兩個(gè)位置坐標(biāo)；m×m表示劃分的網(wǎng)格數(shù)目。各網(wǎng)格單元都有唯一的標(biāo)識(shí)(xi,yj)，可表示為：

式中，ci、rj分別為列、行標(biāo)識(shí)，1 ≤i,j≤m；(xi,yi)為查詢(xún)范圍內(nèi)的任意點(diǎn)。

用戶根據(jù)查詢(xún)半徑R，確定需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)，并在用戶端緩存中查找。如果能找到所有網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集，則直接對(duì)候選結(jié)果集進(jìn)行求精，得到精確結(jié)果，否則將未找到的網(wǎng)格單元標(biāo)識(shí)形成標(biāo)識(shí)集Ih。

式中，n為移動(dòng)軌跡上的連續(xù)查詢(xún)點(diǎn)次數(shù)。最后用戶將需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)集Ih、隨機(jī)生成的密鑰Ku、用戶當(dāng)前位置Lh和運(yùn)動(dòng)方向Dh、網(wǎng)格結(jié)構(gòu)Grids以及查詢(xún)內(nèi)容Content組成用戶的請(qǐng)求消息，并使用匿名器的公鑰PKa對(duì)請(qǐng)求消息進(jìn)行非對(duì)稱(chēng)加密形成MSGua發(fā)送給匿名器。

2.2 匿名器緩存查詢(xún)與位置匿名

當(dāng)匿名器收到MSGua后，先用自己的私鑰aSK對(duì)MSGua解密，獲得標(biāo)識(shí)集hI，然后在匿名器緩存中查找。如果能找到網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集，則返回給用戶端。否則匿名器對(duì)未查找到的網(wǎng)格單元標(biāo)識(shí)進(jìn)行匿名處理。匿名時(shí)采用基于Markov模型的移動(dòng)位置預(yù)測(cè)方法，預(yù)測(cè)用戶在移動(dòng)過(guò)程中的下一個(gè)查詢(xún)位置。最后根據(jù)該預(yù)測(cè)位置形成匿名域，以提高下次查詢(xún)的命中率。

基于Markov模型的移動(dòng)位置預(yù)測(cè)主要從移動(dòng)用戶歷史軌跡中獲取一些有意義的物理位置，并通過(guò)統(tǒng)計(jì)概率模型來(lái)預(yù)測(cè)該用戶的移動(dòng)位置。本文利用文獻(xiàn)[16]中提出的基于時(shí)間距離約束的網(wǎng)格聚類(lèi)算法，先將用戶的歷史軌跡數(shù)據(jù)映射到定義的網(wǎng)格，獲得所有停留點(diǎn)集合 S P = { s p1, sp2,… ,s pn}，并以sp作為輸入，通過(guò)聚類(lèi)方法聚集成停留區(qū)域集合R= {r1,r2,… ,rN}，其中ri是一個(gè)停留點(diǎn)spi的集合。然后可將用戶移動(dòng)軌跡表示為連續(xù)的軌跡序列Tra =ri, … ,rj(ri,rj∈R)。因此，通過(guò)輸入用戶每條歷史軌跡序列，可獲得移動(dòng)對(duì)象的歷史停留區(qū)域序列 T ra = {r1,r2, … ,rN}，它也可表示為狀態(tài)變量序列X= {x1,x2,… ,xN}，且每個(gè)停留區(qū)域?qū)?yīng)一個(gè)狀態(tài)。如果移動(dòng)對(duì)象潛在的停留區(qū)域數(shù)目為m，則它的狀態(tài)空間集合為S=s1,s2,… ,sm。最后用戶根據(jù)這些狀態(tài)，建立用戶的狀態(tài)轉(zhuǎn)移矩陣Pr = P r(R[i],R[j])。根據(jù)文獻(xiàn)[17]基于運(yùn)動(dòng)趨勢(shì)的移動(dòng)對(duì)象預(yù)測(cè)算法，對(duì)每一個(gè)停留區(qū)域計(jì)算其移動(dòng)概率，取其概率值最大的為Rp，并根據(jù)如下公式計(jì)算預(yù)測(cè)移動(dòng)位置lp：

當(dāng)獲得移動(dòng)用戶下一個(gè)查詢(xún)位置lp后，匿名器根據(jù)用戶需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)集hI和網(wǎng)格結(jié)構(gòu)Grids，選擇k個(gè)用戶所在的網(wǎng)格單元形成匿名區(qū)域Region。最后匿名器將匿名域Region、網(wǎng)格結(jié)構(gòu)Grids以及查詢(xún)內(nèi)容Content組成新的查詢(xún)請(qǐng)求消息，并使用LBS服務(wù)器公鑰PKS對(duì)它們進(jìn)行非對(duì)稱(chēng)加密形成MSGas，再發(fā)送給LBS服務(wù)器。

2.3 服務(wù)器數(shù)據(jù)查詢(xún)與候選結(jié)果集返回

LBS服務(wù)器收到請(qǐng)求消息MSGas后，先使用自己的私鑰SKS解密MSGas，獲得Grids、Region和Content。然后LBS服務(wù)器根據(jù)Grids中 (x1,y1)、(x2,y2)和m恢復(fù)用戶指定的網(wǎng)格結(jié)構(gòu)，并根據(jù)查詢(xún)內(nèi)容Content搜索匿名域Region中網(wǎng)格單元包含的POIs，得到g個(gè)POIs。如果第j個(gè)POI的位置為(xi,yj) (1 ≤i,j≤g)，則可計(jì)算它所在的網(wǎng)格單元標(biāo)識(shí)，并可獲得每個(gè)網(wǎng)格單元標(biāo)識(shí)(cz,rt)包含的興趣點(diǎn)集。最后，LBS服務(wù)器將這些查詢(xún)到的興趣點(diǎn)網(wǎng)格集φr，形成候選結(jié)果集MSG，用匿名器的公鑰PKa進(jìn)行加密形成消息MSGsa返回給匿名器：

2.4 匿名器緩存更新與匹配候選結(jié)果集返回

首先，匿名器解密MSGsa，得到匿名域中每個(gè)網(wǎng)格單元標(biāo)識(shí)對(duì)應(yīng)的POIs，并將它更新到匿名器緩存。匿名器更新時(shí)，根據(jù)用戶當(dāng)前位置Lh和運(yùn)動(dòng)方向hD，需替換與用戶運(yùn)動(dòng)方向相反、且距離移動(dòng)用戶下一個(gè)目標(biāo)預(yù)測(cè)位置lp最遠(yuǎn)的POIs。然后，匿名器將查詢(xún)到的網(wǎng)格單元標(biāo)識(shí)集rφ與用戶需要查詢(xún)區(qū)域的網(wǎng)格單元標(biāo)識(shí)hI進(jìn)行匹配，找到用戶需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)及對(duì)應(yīng)的POIs。最后，匿名器使用用戶的密鑰uK，對(duì)查詢(xún)到的網(wǎng)格單元標(biāo)識(shí)及包含的POIs進(jìn)行對(duì)稱(chēng)加密，并組成MSGau返回給查詢(xún)用戶：

2.5 用戶端緩存更新與結(jié)果求精

用戶收到MSGau后，首先用密鑰uK解密MSGau獲得所需查詢(xún)網(wǎng)格單元中的每個(gè)POI的精確位置。然后，用戶將得到的網(wǎng)格單元標(biāo)識(shí)及包含的POIs更新到用戶端緩存。最后，用戶計(jì)算在自己查詢(xún)區(qū)域之內(nèi)的POIs，得到精確查詢(xún)結(jié)果。

3 安全性分析

3.1 抵制連續(xù)查詢(xún)攻擊

在用戶初次查詢(xún)時(shí)，因緩存中沒(méi)有候選結(jié)果集，用戶發(fā)送的查詢(xún)需經(jīng)過(guò)匿名器匿名后，再轉(zhuǎn)發(fā)給LBS服務(wù)器查詢(xún)，LBS服務(wù)器收到的查詢(xún)請(qǐng)求為MSGas。MSGas中包括匿名域Region、查詢(xún)內(nèi)容Content以及網(wǎng)格結(jié)構(gòu)Grids，從這些信息中LBS服務(wù)器不能獲得用戶的真實(shí)位置。經(jīng)匿名后的Region中，它至少包含k個(gè)用戶，LBS服務(wù)器能成功猜到是指定用戶的概率只有1k。

在用戶移動(dòng)軌跡上后續(xù)點(diǎn)的查詢(xún)過(guò)程中，用戶可以通過(guò)緩存直接得到部分或全部查詢(xún)結(jié)果。如果用戶直接從緩存中取得全部結(jié)果，他將不必與LBS服務(wù)器進(jìn)行交互，因此，LBS服務(wù)器不能獲得用戶的任何信息。否則，在緩存中沒(méi)有查找到的網(wǎng)格單元將形成匿名域，再發(fā)送給LBS服務(wù)器查詢(xún)，但該匿名域不一定包含用戶的真實(shí)位置。所以，LSP通過(guò)這些連續(xù)查詢(xún)數(shù)據(jù)不能獲得指定的用戶和真實(shí)位置，CCRS方法能抵制LSP的連續(xù)查詢(xún)推斷攻擊。

3.2 抵制竊聽(tīng)者的攻擊

當(dāng)用戶發(fā)送請(qǐng)求消息給匿名器時(shí)，用匿名器公鑰PKa對(duì)MSGua進(jìn)行了非對(duì)稱(chēng)加密，偵聽(tīng)者沒(méi)有匿名器私鑰SKa，不能解密MSGua得到有用信息。當(dāng)匿名器將請(qǐng)求消息轉(zhuǎn)發(fā)給LBS服務(wù)器時(shí)，LBS的公鑰PKs對(duì)MSGua進(jìn)行了非對(duì)稱(chēng)加密，同樣偵聽(tīng)者沒(méi)有LBS的私鑰SKS，不能解密MSGas得到有用信息。在候選結(jié)果返回用戶的過(guò)程中，非對(duì)稱(chēng)加密函數(shù)E(?)和對(duì)稱(chēng)加密函數(shù)En(?)分別對(duì)MSGsa、MSGau進(jìn)行了加密，偵聽(tīng)者沒(méi)有匿名器的私鑰SKa和用戶密鑰Ku，不能解密MSGsa和MSGau。因此，偵聽(tīng)者既不能獲得任何有用的信息，更不能得到用戶的精確位置，CCRS方法能抵制偵聽(tīng)者的攻擊。

4 實(shí)驗(yàn)及結(jié)果分析

4.1 實(shí)驗(yàn)數(shù)據(jù)及環(huán)境

實(shí)驗(yàn)采用Brinkhoff移動(dòng)對(duì)象生成器[18]，輸入德國(guó)奧爾登堡市交通網(wǎng)絡(luò)圖，并生成10 000個(gè)移動(dòng)對(duì)象。實(shí)驗(yàn)隨機(jī)選取Bob的移動(dòng)軌跡作為實(shí)驗(yàn)對(duì)象，圖3為移動(dòng)用戶Bob的運(yùn)動(dòng)軌跡，表1為實(shí)驗(yàn)參數(shù)設(shè)置。實(shí)驗(yàn)運(yùn)行平臺(tái)為Windows 7操作系統(tǒng)，Intel(R)Core(TM) i5-4590處理器、4 GB內(nèi)存。

圖3 移動(dòng)用戶Bob的運(yùn)動(dòng)軌跡

表1 實(shí)驗(yàn)參數(shù)設(shè)置

4.2 緩存命中率對(duì)比

當(dāng)n= 3 0時(shí)，對(duì)比CCRS中使用Markov與No Markov方案對(duì)兩級(jí)緩存平均命中率的影響。由圖4可知，通過(guò)基于Markov模型的移動(dòng)位置預(yù)測(cè)進(jìn)行k-匿名的CCRS比沒(méi)有使用Markov模型進(jìn)行k-匿名的緩存命中率要高，同時(shí)緩存命中率隨著匿名度k的增大而增大。因?yàn)橥ㄟ^(guò)基于Markov模型移動(dòng)位置預(yù)測(cè)方法，可以預(yù)測(cè)到移動(dòng)用戶的下一個(gè)移動(dòng)點(diǎn)位置，然后根據(jù)該位置選擇周?chē)鷎個(gè)用戶所在的網(wǎng)格單元作為匿名域，可以預(yù)先將下一點(diǎn)需要查詢(xún)的網(wǎng)格單元提前進(jìn)行查詢(xún)，相對(duì)于沒(méi)有Markov的方法，使用Markov的CCRS方法能提高緩存的命中率。同時(shí)匿名度越高，相應(yīng)緩存中的網(wǎng)格單元標(biāo)識(shí)及包含的候選結(jié)果集就越多，在緩存中能找到用戶需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)的可能性就越大，相應(yīng)的緩存命中率就高。因此，匿名度k越大，緩存命中率就越高。

圖4 緩存平均命中率對(duì)比

4.3 LBS服務(wù)器性能對(duì)比

圖5為L(zhǎng)BS服務(wù)器的性能對(duì)比圖。當(dāng)k= 3 0時(shí)，對(duì)比 CCRS與 Gedik[9]、Hwang[10]方案對(duì) LBS服務(wù)器性能的影響。由圖5可知，在LBS服務(wù)器時(shí)間開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)上，隨著n的增大，CCRS相對(duì)于Gedik、Hwang方案優(yōu)勢(shì)越大。因?yàn)镚edik、Hwang方案中用戶發(fā)送的查詢(xún)經(jīng)匿名器匿名后，都需在LBS服務(wù)器中對(duì)整個(gè)匿名域進(jìn)行查詢(xún)，并將查詢(xún)獲得的候選結(jié)果集返回給用戶。在CCRS方案中，用戶端和匿名器使用二級(jí)緩存機(jī)制，用戶發(fā)送查詢(xún)時(shí)，首先在二級(jí)緩存中查詢(xún)，只有在緩存中找不到需要查詢(xún)的網(wǎng)格單元標(biāo)識(shí)時(shí)，再經(jīng)匿名后到LBS服務(wù)器中查詢(xún)，這樣有效減少了LBS服務(wù)器查詢(xún)的次數(shù)和通信開(kāi)銷(xiāo)。因此，在LBS服務(wù)器的時(shí)間開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)上，CCRS方案相對(duì)于Gedik、Hwang方案有較大的優(yōu)勢(shì)。

圖5 LBS服務(wù)器的性能對(duì)比

5 結(jié)束語(yǔ)

本文提出了一種基于緩存候選結(jié)果集的軌跡隱私保護(hù)方法，利用緩存思想和基于Markov移動(dòng)位置預(yù)測(cè)進(jìn)行k-匿名的技術(shù)，減少用戶與LBS服務(wù)之間的交互，提高緩存的命中率和用戶的軌跡隱私。安全分析表明該方法能抵制連續(xù)查詢(xún)和偵聽(tīng)者的攻擊。實(shí)驗(yàn)結(jié)果顯示，與 Gedik、Hwang方案比較，CCRS方法能減少LBS服務(wù)器的開(kāi)銷(xiāo)。但CCRS方法只考慮用網(wǎng)格單元內(nèi)用戶的數(shù)目形成k-匿名域，因此在下一步工作中，將會(huì)考慮用戶發(fā)送查詢(xún)的概率形成匿名域，以進(jìn)一步提高用戶的位置隱私。

[1]PRIMAULT V, BOUTET A, MOKHTAR S B, et al.Adaptive location privacy with ALP[C]//Proceedings of the 35th Symposium on Reliable Distributed Systems (SRDS).New Jersey, USA： IEEE, 2016： 269-278.

[2]YI X, PAULET R, BERTINO E, et al. Practical approximateknearest neighbor queries with location and query privacy[J]. IEEE Transactions on Knowledge and Data Engineering,2016, 28(6)： 1546-1559.

[3]張學(xué)軍, 桂小林, 伍忠東. 位置服務(wù)隱私保護(hù)研究綜述[J].軟件學(xué)報(bào), 2015, 26(9)： 2373-2395.ZHANG Xue-jun, GUI Xiao-lin, WU Zhong-dong. Privacy preservation for location-based services： a survey[J]. Journal of Software, 2015, 26(9)： 2373-2395.

[4]張少波, 劉琴, 王國(guó)軍. 基于網(wǎng)格標(biāo)識(shí)匹配的位置隱私保護(hù)方法[J]. 電子與信息學(xué)報(bào), 2016, 38(9)： 2173-2179.ZHANG Shao-bo, LIU Qin, WANG Guo-jun. The method of location privacy protection based on grid identifier matching[J]. Journal of Electronics & Information Technology, 2016, 38(9)： 2173-2179.

[5]CHOW C Y, MOKBEL M F, LIU Xuan. A peer-to-peer spatial cloaking algorithm for anonymous location-based service[C]//Proceedings of the 14th Annual ACM International Symposium on Advances in Geographic Information Systems. New York, USA： ACM, 2006：171-178.

[6]SHOKRI R, THEODORAKOPOULOS G,PAPADIMITRATOS P, et al. Hiding in the mobile crowd：Location privacy through collaboration[J]. IEEE transactions on Dependable and Secure Computing, 2014,11(3)： 266-279.

[7]CORSER G P, FU H R, BANIHANI A. Evaluating location privacy in vehicular communications and applications[J].IEEE Transactions on Intelligent Transportation Systems,2016, 17(9)： 2658-2667.

[8]GEDIK B, LIU L. Protecting location privacy with personalizedk-anonymous： Architecture and algorithms[J].IEEE Transaction on Mobile Computing, 2008, 7(1)： 1-18.

[9]霍崢, 孟小峰, 黃毅. PrivateChechIn： 一種移動(dòng)社交網(wǎng)絡(luò)中的軌跡隱私保護(hù)方法與進(jìn)展[J]. 計(jì)算機(jī)學(xué)報(bào), 2013,36(4)： 716-726.HUO Zheng, MENG Xiao-feng, Huang Yi. PrivateChechIn：Trajectory privacy-preserving for chech-in services in MSNS[J]. Chinese journal of computers, 2013, 36(4)：716-726.

[10]HWANG R H, HSUEH Y L, CHUNG H W. A novel time-obfuscated algorithm for trajectory privacy protection[J]. IEEE Transactions on Services Computing, 2014, 7(2)：126-139.

[11]周長(zhǎng)利, 馬春光, 楊松濤. 路網(wǎng)環(huán)境下保護(hù)LBS位置隱私的連續(xù)KNN查詢(xún)方法[J]. 計(jì)算機(jī)研究與發(fā)展, 2015,52(11)： 2628-2644.ZHOU Chang-li, MA Chun-guang, YANG Song-tao.Location privacy-preserving method for LBS continuous KNN query in road networks[J]. Journal of Computer Research and Development, 2015, 52(11)： 2628-2644.

[12]ZHANG Y, TONG W, ZHONG S. On designing satisfaction-ratio-aware truthful incentive mechanisms fork-anonymity location privacy[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(11)：2528-2541.

[13]NIU B, LI Q, ZHU X, et al. Enhancing privacy through caching in location-based services[C]//Proceeding of the IEEE INFOCOM 2015. New Jersey, USA： IEEE, 2015：1017-1025.

[14]XIAO C, CHEN Z, WANG X, et al. DeCache： a decentralized two-level cache for mobile location privacy protection[C]//Proceedings of the Sixth International Conference on Ubiquitous and Future Networks(ICUFN).New Jersey, USA： IEEE, 2014： 81-86.

[15]CHEN M, LIU Y, YU X. NLPMM： a next location predictor with Markov modeling[C]//Proceeding of the 18th Pacific-Asia Conference on Knowledge Discovery and Data Mining. New York, USA： Springer, 2014：186-197.

[16]ZHENG V, ZHENG Y, XIE X, et al. Collaborative location and activity recommendations with GPS history data[C]//Proceeding of the 19th International Conference on World Wide Web. New York, USA： ACM, 2010： 1029-1038.

[17]李雯, 夏士雄, 劉峰, 等. 基于運(yùn)動(dòng)趨勢(shì)的移動(dòng)對(duì)象位置預(yù)測(cè)[J]. 通信學(xué)報(bào), 2014, 35(2)： 46-53.LI Wen, XIA Shi-xiong, LIU Feng, et al. Location prediction algorithm based on movement tendency[J].Journal of Communications, 2014, 35(2)： 46-53.

[18]BRINKHOFF T. Generating traffic data[J]. Bulletin of the Technical Committee Data Engineering, 2003, 26(2)：19-25.