基于隨機(jī)偏移和零交集偏移的匿名區(qū)域切換算法

摘 要：近年來，LBS技術(shù)迅猛發(fā)展，滲透著我們生活的方方面面，與此同時個人位置隱私安全也成為一個不容忽視的社會問題。通過對普通匿名區(qū)域生成算法改進(jìn)，提出了匿名區(qū)域偏移切換算法與匿名區(qū)域零交集偏移切換算法。匿名區(qū)域偏移切換算法對普通匿名區(qū)域生成算法產(chǎn)生的匿名區(qū)域進(jìn)行偏移，偏移與用戶分布情況有關(guān)，具有隨機(jī)性。匿名區(qū)域零交集偏移切換算法則對匿名區(qū)域偏移切換算法中匿名區(qū)域的偏移量作進(jìn)一步要求，使得切換前、后的匿名區(qū)域無交集，進(jìn)一步提升抵御攻擊能力。經(jīng)過實驗驗證，兩種改進(jìn)算法在抵御攻擊的能力和提升匿名區(qū)域切換的成功率方面有良好表現(xiàn)。

關(guān)鍵詞：基于位置的服務(wù);隱私保護(hù);k-匿名;匿名區(qū)域

中圖分類號：TP311

文獻(xiàn)標(biāo)識碼： A

隨著移動設(shè)備、智能終端、傳感器等相關(guān)信息技術(shù)的快速發(fā)展，數(shù)據(jù)規(guī)模呈現(xiàn)出爆炸式增長，人類進(jìn)入了大數(shù)據(jù)時代。那些海量的數(shù)據(jù)成為工業(yè)界和學(xué)術(shù)界研究的香餑餑。政府機(jī)構(gòu)和各類企業(yè)爭先恐后，試圖從這些結(jié)構(gòu)化、非結(jié)構(gòu)化的數(shù)據(jù)海洋中挖掘更多隱藏的價值，進(jìn)而獲取社會效益或經(jīng)濟(jì)利益?；谖恢玫姆?wù)（LBS）集成了測繪、衛(wèi)星導(dǎo)航、GIS、無線通信網(wǎng)絡(luò)等相關(guān)技術(shù)，能為我們提供豐富的有關(guān)個人位置的各類服務(wù)，LBS 提高了個人活動的效率和方便性、提高了人與人、客戶與商家的互動交流，極大地改變了我們的生活方式[1]。據(jù)業(yè)內(nèi)預(yù)測，全球LBS市場規(guī)模將以40%左右的復(fù)合年增長率增長，到2020年市場容量有望達(dá)到348億歐元。

而作為硬幣的另一面，這些海量數(shù)據(jù)中既有巨大的價值，當(dāng)然也會包含大量企業(yè)和個人不愿對外公布的隱私信息。一旦這些敏感信息泄露，將會給個人和企業(yè)帶來名譽(yù)、經(jīng)濟(jì)上的損失，如何有效保護(hù)隱私信息，將會是越來越嚴(yán)峻的考驗。用戶個人隱私泄露的主要途徑有：①用戶的LBS查詢，在發(fā)往服務(wù)器途中被截獲;②黑客攻破服務(wù)器，直接獲知用戶LBS查詢信息;③中間服務(wù)提供商或個人為獲利將用戶信息出售。通過非法獲得這些用戶信息，就可能獲取或推斷出用戶興趣愛好、生活習(xí)慣、宗教信仰、疾病歷史等隱私信息[2]。因此位置隱私保護(hù)問題日益引起學(xué)術(shù)界的關(guān)注，也提出了不少關(guān)于位置隱私保護(hù)的解決方案，有些方案側(cè)重保護(hù)用戶標(biāo)識符、查詢內(nèi)容[3]，但更多還是基于用戶位置的隱私保護(hù)。

1 相關(guān)算法分析

2002年L.Sweeney提出了k-匿名（k-anonymity）模型[4]，要求匿名區(qū)域用戶數(shù)量不少于k個，這樣攻擊者就不能從k個用戶中找出真正用戶。Gruteser等人[5]將k-匿名技術(shù)應(yīng)用于LBS的隱私保護(hù)，對真實的用戶位置概化處理，以達(dá)到模糊用戶空間位置的目的。k-匿名被研究者們廣泛接受使用，但是該模型沒有對等價類中的敏感屬性值數(shù)量加以限制，容易被攻擊。為解決此問題，2006年，Machanavajjhala[6]改進(jìn)了k-匿名模式提出了L-diversity，即L多樣化，規(guī)定用戶發(fā)布的每個信息屬性等價類，必須包含不少于L個對應(yīng)的敏感屬性值。Ferrer等[7]于2008年提出了p-sensitive，在k-匿名技術(shù)的基礎(chǔ)上，規(guī)定每個等價類中要有不少于p個敏感屬性值。2016年，LI 等[8]提出了在連續(xù)LSB請求情形下的需求感知位置保護(hù)方案，通過刪除最遠(yuǎn)足跡的方式來減小匿名區(qū)域的范圍，提高了LBS查詢服務(wù)質(zhì)量。在確保第三方可信的前提下，SCHLEGEL等[9]提出了基于密文匹配的隱私保護(hù)方案，較好抵御查詢跟蹤攻擊。Palanisamy等[10]則利用Mixzone概念，要求用戶離開Mixzone時必須使用假名，這樣避免攻擊者通過分析區(qū)域關(guān)聯(lián)性來獲取真實用戶信息。

在基于匿名區(qū)域的位置隱私保護(hù)的算法中，用戶可以通過改變參數(shù)k的值來滿足用戶對隱私度高低的要求，但在進(jìn)行匿名區(qū)域大小調(diào)整過程中，攻擊者可能通過匿名區(qū)域切換前后的信息，推測出用戶真實位置，進(jìn)而導(dǎo)致隱私度切換失敗。為解決上述問題，本文提出兩個優(yōu)化算法：①匿名區(qū)域隨機(jī)偏移切換算法：對所產(chǎn)生的匿名區(qū)域進(jìn)行偏移，具體偏移幅度由當(dāng)時周圍用戶點的分布情況決定，具有隨機(jī)性，能較好抵御中心點攻擊;②匿名區(qū)域零交集偏移切換算法：匿名區(qū)域隨機(jī)偏移切換算法面對等比縮放攻擊，若縮放計算后、切換前的匿名區(qū)域存在交集，則用戶真實位置可能會泄露。針對此情況，對偏移量作進(jìn)一步限制，確保攻擊者猜測的切換前匿名區(qū)域與實際的切換前匿名區(qū)域無交集，進(jìn)而有效抵抗等比縮放攻擊。

2 普通匿名區(qū)域生成算法的抗攻擊分析

2.1 中心點攻擊

中心點攻擊步驟：有用戶提交查詢請求時，記錄隱私度k和相應(yīng)的匿名區(qū)域CK1，當(dāng)用戶切換隱私度為k′（k′gt;k）的匿名區(qū)域CK2時，分別計算隱私度切換前匿名區(qū)域CK1的中心點O1、切換后匿名區(qū)域CK2的中心點O2，判斷切換前后的中心點O1、O2位置是否一致，不一致就放棄攻擊。如果中心點O1、O2位置一致，則認(rèn)為匿名區(qū)域來自同一個用戶請求，縮小切換后的匿名區(qū)域CK2到切換前的大小，輸出切換前的匿名區(qū)域CK1，用戶的隱私度切換失敗。

2.2 等比縮放攻擊

等比縮放攻擊步驟：在服務(wù)器上開始惡意觀察，對切換后的匿名區(qū)域，保持中心點不變依據(jù)切換前后隱私度k的比例進(jìn)行等比縮放，將縮放后的匿名區(qū)域作為切換前的匿名區(qū)域?qū)Υ?/p>

2.3 線性偏移攻擊

攻擊者在服務(wù)器上獲取用戶發(fā)來的匿名區(qū)域，記錄該匿名區(qū)域信息，并計算匿名區(qū)域的中心點，根據(jù)一段時間的觀察，可以計算出匿名區(qū)域中心點切換前后的線性關(guān)系參數(shù)值，破解中心點線性偏移函數(shù)y= ax+c。若切換前后匿名區(qū)域中心點滿足該線性函數(shù)，則可以判定請求來自同一用戶，用戶向更高隱私度匿名區(qū)域的切換失敗。線性偏移攻擊，在攻擊初期需要對用戶匿名區(qū)域中心點偏移規(guī)律的線性函數(shù)進(jìn)行推斷，這階段屬于用戶安全期，不會被攻擊，所以對于請求總次數(shù)少的用戶，不用擔(dān)心被攻擊。

2.4 普通匿名區(qū)域生成算法的安全性

普通匿名區(qū)域生成算法的核心思想是，按匿名區(qū)域切換前后的隱私度k的比值，等比例擴(kuò)大原匿名區(qū)域大小，切換前后的匿名區(qū)域中心點不變。從上述的攻擊模型描述來看，普通匿名區(qū)域生成算法對中心點攻擊和等比縮放攻擊的防范性很差，攻擊者可通過切換后的匿名區(qū)域，得到切換前的匿名區(qū)域。而如果我們對切換后的匿名區(qū)域中心點按偏移函數(shù)y= ax+c進(jìn)行線性偏移，攻擊者也很可能通過一段時間的觀察，獲得線性偏移函數(shù)的表達(dá)式。因此，普通匿名區(qū)域生成算法對于中心點攻擊、線性偏移攻擊、等比縮放攻擊，防御性都很弱[11]。

3 普通匿名區(qū)域生成算法的改進(jìn)

普通匿名區(qū)域生成算法簡單，運(yùn)行效率高，但是因為其不能很好抵御攻擊，在有一定隱私安全要求的場景不適于使用，本文根據(jù)常見的三種攻擊，對普通匿名區(qū)域生成算法進(jìn)行改進(jìn)，提出兩種更具有抗攻擊的改進(jìn)算法：匿名區(qū)域偏移切換算法、匿名區(qū)域零交集偏移切換算法。

3.1 匿名區(qū)域偏移切換算法

匿名區(qū)域偏移切換算法是對普通匿名區(qū)域生成算法進(jìn)行改進(jìn)，普通匿名區(qū)域生成算法對攻擊防御能力較差，特別是從低隱私度切換到高隱私度時，位置隱私很容易被攻擊者獲取。匿名區(qū)域偏移切換算法對普通匿名區(qū)域生成算法改進(jìn)，對生成的匿名區(qū)域進(jìn)行動態(tài)偏移，以提高抵御攻擊的能力。該算法的思路是對切換后的匿名區(qū)域根據(jù)用戶分布情況進(jìn)行一定的偏移。匿名區(qū)域偏移切換算法以切換前隱私區(qū)域的中心點（矩形區(qū)域?qū)蔷€的交點）為圓心，以用戶提供的參數(shù)r為半徑畫圓，形成一個包含原匿名區(qū)域的更大的圓形匿名區(qū)域，由匿名區(qū)域圓中的用戶點，重新構(gòu)建新的矩形匿名區(qū)域。

匿名區(qū)域偏移切換算法的詳細(xì)步驟：

（1）接收用戶參數(shù)半徑r，步長擴(kuò)展a，初始化切換前匿名區(qū)域用戶集合U1。

（2）對切換前矩形匿名區(qū)域CK1確定中心點，并以中心點為圓心，半徑r畫圓。

（3）添加位于圓內(nèi)且匿名區(qū)域外的用戶，擴(kuò)充U1建立新用戶集U2。

（4）將U2中的所有用戶點映射到x、y坐標(biāo)軸，獲取映射于坐標(biāo)軸上的極值xmin、xmax、ymin、ymax。

（5）將U2中的所有用戶點映射到x、y坐標(biāo)軸，以（xmin，ymin）、（xmin，ymax）、（xmax，ymax）、（xmax，ymin）為四個頂點，構(gòu)建切換后的矩形匿名區(qū)域CK2。

（6）若CK2中用戶數(shù)N大于或等于切換后隱私度k，且CK2的面積S（CK2）小于或等于用戶可接受的最大隱私區(qū)域大?。⊿max），則算法結(jié)束，跳到（10）。

（7）若用戶數(shù)N小于切換后隱私度k，且S（CK2）

（8）若Ngt;=k，S（CK2）>Smax，則等比縮小匿名區(qū)域CK2至Smax，即S（CK2）=Smax，重新計算用戶數(shù)并返回（6） 步驟。

（9）若用戶數(shù)N

（10）返回匿名區(qū)域CK2，算法結(jié)束。

匿名區(qū)域偏移切換算法算法簡單，開銷小，容易實現(xiàn)且響應(yīng)時間快，算法最終生成的匿名區(qū)域CK2，與原匿名區(qū)域周圍的用戶點分布有關(guān)，因此匿名區(qū)域偏移量是個隨機(jī)數(shù)，無規(guī)律可循，攻擊者無法通過獲取的數(shù)據(jù)，推算出矩形中心點線性位移函數(shù)，所以匿名區(qū)域偏移切換算法能較好應(yīng)對中心點攻擊、線性偏移攻擊。匿名區(qū)域偏移切換算法得出與普通匿名區(qū)域法生成的匿名區(qū)域相比，位置偏移不大，在保證服務(wù)質(zhì)量的同時，隱私度有較大的提升[12]。

3.2 匿名區(qū)域零交集偏移切換算法

匿名區(qū)域零交集偏移切換算法的核心思想是對匿名區(qū)域偏移切換算法進(jìn)行改進(jìn)，對匿名區(qū)域的偏移量進(jìn)行限制，使切換前、后的匿名區(qū)域無交集部分，有效防止等比縮放攻擊。

匿名區(qū)域零交集偏移切換算法具體過程如下：

（1）對原匿名區(qū)域CK1四條邊按東西南北順時針方向編號[1～4]，根據(jù)隨機(jī)函數(shù)產(chǎn)生的值[1～4]，決定構(gòu)造匿名區(qū)域CK1的邊L;

（2）取邊L的中點O，以O(shè)為圓心，r為半徑畫圓;

（3）獲取以邊長L（包括延長線）為中線，位于匿名區(qū)域另一側(cè)的半圓區(qū)域S′;

（4）建立空用戶集U，將半圓區(qū)域S′內(nèi)用戶逐一添加到用戶集U;

（5）將用戶集U內(nèi)所有的用戶點，映射于坐標(biāo)軸，得到用戶點x坐標(biāo)的極值xmin、xmax，y坐標(biāo)的極值ymin、ymax;

（6）以（xmin，ymin）、（xmin，ymax）、（xmax，ymax）、（xmax，ymin）為四個頂點，建立切換后的匿名區(qū)域CK2;

（7）若CK2中用戶數(shù)N大于或等于切換后隱私度k，且CK2的面積S（CK2）小于或等于用戶可接受的最大隱私區(qū)域大?。⊿max），跳到（11）步驟;

（8）若用戶數(shù)N小于切換后隱私度k，且S（CK2）

（9）若Ngt;=k，S（CK2）>Smax，則等比縮小匿名區(qū)域CK2至Smax，即S（CK2）=Smax，重新計算用戶數(shù)，返回（7） 步驟;

（10）若用戶數(shù)N

（11）返回匿名區(qū)域CK2，算法結(jié)束。

匿名區(qū)域零交集偏移切換算法最后生成的切換后的匿名區(qū)域CK2產(chǎn)生方位具有隨機(jī)性，所以能較好應(yīng)對中心點攻擊、線性偏移攻擊，而匿名區(qū)域CK2與切換前的匿名區(qū)域CK1相鄰且無交集，使得本算法相對匿名區(qū)域偏移切換算法，在抵御等比縮放攻擊時具有明顯優(yōu)勢。

4 實驗和結(jié)果分析

實驗環(huán)境： 處理器Intel（R） Core（TM ）i3-4170 CPU @3.70GHz，內(nèi)存8GB，Ubuntu 14.10，Python 2.7.12。

4.1 匿名區(qū)域切換耗時比較

當(dāng)用戶想要提高匿名區(qū)域隱私度K時，匿名區(qū)域相應(yīng)就需要進(jìn)行切換，匿名區(qū)域切換的耗時是衡量算法優(yōu)劣的一個重要指標(biāo)，體現(xiàn)了算法的效率，也直接影響到用戶的體驗，本實驗耗時是指從接收到切換前后隱私度k參數(shù)開始，一直到切換后的匿名區(qū)域生成，整個過程消耗的時間，單位為微秒（μs），即10-6秒。實驗結(jié)果如表1所示。

表1前兩列表示匿名區(qū)域切換前后所對應(yīng)的匿名隱私度k的值，從表1的數(shù)據(jù)中我們可以看到，普通匿名區(qū)域生成算法耗費時間明顯小于匿名區(qū)域偏移切換算法和匿名區(qū)域零交集偏移切換算法，在匿名區(qū)域切換前隱私度k較?。╧=1）的情況下，隨著切換后隱私度k值的增加，所需的耗時有所增加，但并沒有與k值成正比例地顯著增加。同樣當(dāng)匿名區(qū)域切換前隱私度k較大（k=1000）的情況，只要切換前后k值變化不大，所需的耗時也是很小。

隨著k值的增加，匿名區(qū)域偏移切換算法和匿名區(qū)域零交集偏移切換算法的耗時逐步緩慢增加，耗時在用戶可接受的范圍，能給用戶提供較為滿意的服務(wù)。從表1可以看出，三種算法耗時具體的數(shù)值變化主要取決于切換前后k值的變化量有關(guān)，而與匿名區(qū)域隱私度k的具體數(shù)值大小無關(guān)。

綜上情況，在體現(xiàn)算法效率的耗時方面，普通匿名區(qū)域生成算法最優(yōu)，然后依次是匿名區(qū)域偏移切換算法、匿名區(qū)域零交集偏移切換算法。其中普通匿名區(qū)域生成算法耗時明顯優(yōu)于其他兩種算法，但三算法的耗時都在可接受范圍，普通匿名區(qū)域生成算法適用于注重用戶體驗性且安全性要求不高的情況。

4.2 匿名區(qū)域切換成功率

匿名區(qū)域切換成功率是指匿名區(qū)域在不同隱私度k值間切換時，重新構(gòu)建匿名區(qū)域的成功概率。匿名區(qū)域切換成功率能夠體現(xiàn)算法切換的質(zhì)量和抗攻擊性的能力。

表2為中心點攻擊下匿名區(qū)域切換成功率比較表，表3為等比縮放攻擊下區(qū)域切換成功率比較，從兩表可以看出，普通匿名區(qū)域生成算法的切換成功率最差，在兩種攻擊情況下，切換的成功率都接近零。這是因為普通匿名區(qū)域生成算法切換前后的匿名區(qū)域中心點是重合的，在中心點攻擊和等比縮放攻擊時，很容易被非法攻擊者獲得匿名區(qū)域信息，抗攻擊性弱，不具有防御性。

匿名區(qū)域偏移切換算法在中心點攻擊時，具有很高的切換成功率，都在95%以上，大部分?jǐn)?shù)據(jù)接近100%，這是因為該算法對匿名區(qū)域的中心點進(jìn)行了偏移，能有效地躲過了中心點的攻擊，因為算法的偏移量具有隨機(jī)性，很小概率的情況下，區(qū)域的切換前后中心點會重合。而在等比縮放攻

擊時，匿名區(qū)域偏移切換算法隨著切換后匿名度k值增加，切換成功率也相應(yīng)提高，但隨著匿名度k值變大，切換前后k之間的差值較大，切換成功率開始下降。這是由于在用戶均勻分布情況下，k差值達(dá)到一定閾值后，用戶整體分布均勻，偏移量也相應(yīng)變小。同樣地，當(dāng)匿名度k值比較大，且切換前后匿名度k差值很小時，偏移量其實很小，切換成功率也很不理想，接近于0%。等比縮放攻擊是對切換后的隱私區(qū)域進(jìn)行等比縮小，猜測切換前隱私區(qū)域的大小，匿名區(qū)域偏移切換算法雖然對于普通匿名區(qū)域生成算法進(jìn)行改進(jìn)，對中心點進(jìn)行了偏移，但切換前后的隱私區(qū)域依然存在較多的重合部分，故容易被攻擊，導(dǎo)致匿名區(qū)域的切換失敗。

相比匿名區(qū)域偏移切換算法，匿名區(qū)域零交集偏移切換算法在中心點攻擊和等比縮放攻擊都有很好的表現(xiàn)，從兩表的測試數(shù)據(jù)來看，切換成功率都達(dá)到了100%。這是由于匿名區(qū)域零交集偏移切換算法相比匿名區(qū)域偏移切換算法，加大了切換后匿名區(qū)域的偏移量，切換前后的隱私區(qū)域無交集，切換前后的匿名區(qū)域中心點更不可能重合，所以抗攻擊性表現(xiàn)最好，匿名區(qū)域的切換成功率也最好。

4.3 用戶體驗滿意度

用戶體驗滿意度指用戶對經(jīng)過匿名區(qū)域切換后獲取的最終服務(wù)結(jié)果的滿意程度，也是衡量隱私匿名區(qū)域算法的一項重要參考指標(biāo)。令匿名區(qū)域切換后所得到的服務(wù)器返回的服務(wù)點P1，實際最佳服務(wù)點P2，用戶所在位置為U，則用戶體驗滿意度MU可以通過用戶與P1、P2兩點的距離比值來體現(xiàn)，記作：MU=（|P1U|/|P2U|）×100%，用戶體驗滿意度MU越接近1表示服務(wù)質(zhì)量越高，相應(yīng)用戶體驗滿意度最佳。趨近于0時，代表用戶滿意度最差。

3種匿名區(qū)域生成算法實現(xiàn)的用戶體驗滿意度如表4所示。普通匿名區(qū)域生成算法僅僅對切換前匿名區(qū)域按比例擴(kuò)大，算法復(fù)雜度小，獲取服務(wù)結(jié)果實時性強(qiáng)，最終用戶獲得的服務(wù)質(zhì)量下降少，用戶滿意度高。匿名區(qū)域偏移切換算法對切換前匿名區(qū)域進(jìn)行位移，但是位移量比較小，用戶的服務(wù)質(zhì)量受到的影響不大，能達(dá)到用戶的滿意度。匿名區(qū)域零交集偏移切換算法將切換后匿名區(qū)域移到切換前匿名區(qū)域的外部，偏移量的大小取決于切換前匿名區(qū)域的面積大小。切換前匿名區(qū)域面積越大，意味著偏移量將越大，算法運(yùn)行時間也較長，用戶獲取服務(wù)結(jié)果的滿意度也就越低。從表4中可以看到，當(dāng)切換前k=1000時，算法的用戶體驗滿意度下降明顯，只有60%左右。

綜上可以看出，普通匿名區(qū)域生成算法和匿名區(qū)域偏移切換算法，能都獲得較好的用戶體驗滿意度，匿名區(qū)域零交集偏移切換算法用戶體驗滿意度相對比較低，特別是切換前匿名區(qū)域的隱私度k很大時，用戶體驗比較差。

5 結(jié)語

隨著基于位置的服務(wù)應(yīng)用的不斷發(fā)展，個人隱私問題日益受到人們重視。在對當(dāng)前位置隱私保護(hù)技術(shù)進(jìn)行較全面了解的基礎(chǔ)上，通過對普通匿名區(qū)域生成算法的分析和改進(jìn)，首先提出了匿名區(qū)域偏移切換算法，該算法既保留了原算法開銷小的優(yōu)點，同時增強(qiáng)了抵御中心點攻擊和線性偏移攻擊的能力。接著，為了抵御等比縮放攻擊，在匿名區(qū)域偏移切換算法基礎(chǔ)上，進(jìn)一步提出了匿名區(qū)域零交集偏移切換算法。兩種新算法各有優(yōu)劣，可適用于不同的應(yīng)用場景。

參考文獻(xiàn)：

[1]Sun Yanming， Chen Min， Hu Long， et al.ASA：Against statistical attacks for privacy-aware users in Location Based Service[J].Future Generation Computer Systems， 2016， 7（4）：46-53.

[2]N.Talukder， S.I.Ahamed. Preventing multi-query attack in location-based services[C].New Jersey，USA：Proceedings of the Third ACM Conference on Wireless Network Security（WiSec），2010.

[3]Niu B， Zhang Z， Li X， et al. Privacy-area aware dummy generation algorithms for location-based services[C]//2014 IEEE International Conference on Communications. IEEE（ICC）， 2014： 957-962.

[4]Sweeney L. K-anonymity：a model for protecting privacy[J].International journal on uncertainty，fuzziness and knowledge-based systems，2002，10（5）：557-570.

[5]Gruteser M，Grunwald D.Anonymous usage of location-based services through spatial and temporal cloaking[C]//Proceedings of the 1st International Conference on Mobile Systems，Applications And Services.New York： ACM Press，2003.

[6]Machanavajjhala A，Kifer D，et al.L-diversity：Privacy beyond k-anonymity[J].ACM Transactions on Knowledge Discovery from Data（TKDD），2007，1（7）：63-66.

[7]Solanas A，Sebe F，Domingo-Ferrer J.Micro-aggregationbased heuristics for p-sensitive k-anonymity：one step beyond[C].Nantes， France： Proceedings of the 2008 international workshop on privacy and anonymity in information society（PAIS’08）， 2008：61-69.

[8]Li Xinghua，Wang Ermeng，Yang Weidong.DALP：A demand-aware location privacy protection scheme in continuous location-based services [J].Concurrency amp; Computation Practice amp; Experience，2016，28（4）：1219-1236.

[9]Schlegel R，Chow C Y.User-defined privacy grid system for continuous location-based services[J].IEEE Transactions on Mobile Computing，2015，14（10）：2158-2172.

[10]PALANISAMY B，LIU L. Attack-resilient mix-zones over road networks：architecture and algorithms[J].IEEE Transactions on Mobile Computing，2015，14（3）：495-508.

[11]Yiu M L， Jensen C S， Huang X， et al. SpaceTwist： Managing the trade-offs among location privacy， query performance， and query accuracy in mobile services[C]. Cancun， Mexico：Proceedings of the IEEE International Conference on Data Engineering（ICDE.08），2008.

[12]Kim Yong-Ki，Hossain Amina，Hossain Al-Amin， et al. Hilbert-order based spatial cloaking algorithm in road network[J]. Concurrency and Computation： Practice and Experience，2013，25（1）：81-88.

（責(zé)任編輯：曾 晶）