連續(xù)不確定協(xié)作用戶的隱私保護方法

林玉香，王慧婷

LIN Yuxiang1,WANG Huiting2

1.南陽理工學院 軟件學院，河南 南陽 473000

2.北京郵電大學 科學技術發(fā)展研究院，北京 100876

1.School of Software,Nanyang Institute of Technology,Nanyang,Henan 473000,China

2.Institute of Science and Technology Development,Beijing University of Posts and Telecommunications,Beijing 100876,China

1 引言

當前，智能手機的普及為基于位置服務技術的發(fā)展提供了便利，這種通過提交當前或連續(xù)位置，并獲取查詢、導航以及廣告推送等便捷服務的技術深受人們喜愛。然而，人們在享受這種服務所帶來的便利同時，又不可避免地要面對個人隱私泄露的問題。攻擊者或不可信的位置服務提供商，可利用申請者提交的位置推測出申請者的行為特征，進而可能會造成現(xiàn)實生活中的麻煩甚至是人身傷害。

針對使用基于位置服務可能會泄露申請者個人隱私的問題，研究者提出了大量的隱私保護方法。這些方法可按照提供隱私保護服務的系統(tǒng)結構分為：集中式結構和分布式結構兩類。其中，集中式結構一般假設存在一個可信的第三方服務臺提供隱私保護計算處理，申請者只需將自身查詢發(fā)送給該可信第三方，并由其返回查詢結果。但是，人們認為這種集中式結構存在一些不足：一方面，所有申請者的個人隱私信息全部由中心服務器處理，這使得申請者的個人隱私全部保存在中心服務器中，因此中心服務器變成了攻擊者攻擊的焦點，一旦中心服務器出現(xiàn)隱私泄露情況，將造成嚴重的隱私泄露問題；另一方面，中心服務器需要對每一個申請者按照其所設定的要求進行隱私保護，當提出隱私服務申請的申請者數(shù)量較多時，勢必會造成服務器負載過大，嚴重時將會降低服務處理速度，影響基于位置服務的服務質量，成為服務瓶頸。基于這兩方面不足，研究者提出了基于用戶移動設備的分布式系統(tǒng)結構。

分布式系統(tǒng)結構不再使用第三方提供隱私保護，而是移動用戶通過彼此之間的短距離通信設備，相互協(xié)作、相互依托，以此建立彼此之間的隱私保護結構，實現(xiàn)不同用戶的隱私保護。相對于集中式結構，分布式結構具有不依賴可信第三方，部署簡單方便，可平衡隱私保護與服務質量等特點。但是，當前已有的該結構下的隱私保護方法一般基于快照服務，即對于單次查詢申請的申請者具有較好的隱私保護效力。當申請者提出連續(xù)基于位置查詢時，由于每次參與協(xié)作的用戶彼此之間存在差異，攻擊者可根據(jù)用戶差異剔除參與協(xié)作的用戶，進而識別出申請者，獲得該用戶的服務申請位置甚至連續(xù)位置軌跡，最終獲得申請者的個人隱私。針對這一問題，本文提出了一種連續(xù)的不確定協(xié)作用戶隱私保護方法（A continuous uncertain collaborative users privacy protection algorithm，CUPPA），使申請者可獲得多跳連續(xù)移動范圍內的查詢結果，在滿足連續(xù)基于位置查詢服務請求的同時實現(xiàn)對申請者個人連續(xù)位置的隱私保護。

本文的主要貢獻可概括如下：

提出了一種連續(xù)不確定協(xié)作用戶尋找方法，解決了分布式隱私保護系統(tǒng)結構下，連續(xù)基于位置服務隱私保護能力不足的問題，既保障了服務質量又提供了較好的隱私保護效力。

利用信息熵作為度量標準，較好地量化了基于分布式隱私保護系統(tǒng)結構的隱私保護能力，更進一步證明了所提出方法的隱私保護效力。

實驗驗證所產生的結果進一步驗證了所提出方法的隱私保護能力以及在現(xiàn)實環(huán)境下算法運行時的執(zhí)行效率。

2 相關工作

為了保護用戶在使用基于位置服務時的個人隱私，早在2003年Gruteser等人[1]就提出了基于k-匿名的位置隱私保護方法，并借助中心服務器完成了對快照服務下的位置隱私保護。之后為完善這種方案，陸續(xù)提出了語義多樣性p-sentivity[2]以及查詢多樣性l-diversity[3]的隱私保護方法。出于對集中式結構中心服務器不足之處的考慮，Ghinita等人[4]通過用戶移動設備，基于可計算PIR方法提出了一種零信息泄露的隱私信息檢索方案。Chow等[5]則針對PIR方案計算量較大以及需要LBS服務器進行檢索方式更改的問題，提出了一種基于用戶協(xié)作，通過點對點通信建立匿名組的隱私保護方法。

隨著基于位置服務逐漸從快照查詢變換為連續(xù)基于位置查詢，基于快照查詢所制定的隱私保護方法大多很難適應。因此，基于中心服務器，Hwang等[6]提出了利用歷史信息，提供位置及軌跡匿名的連續(xù)位置隱私保護方法。Zhang等[7]則根據(jù)用戶連續(xù)位置表現(xiàn)出的屬性信息可關聯(lián)成軌跡的問題，提出了相似屬性尋找的隱私保護方法。同樣出于對集中式結構的不信任，Schlegel等[8]利用加密方法實現(xiàn)協(xié)作用戶與不可信中心服務器之間的信息檢索與交換。Gao等[9]假設所有協(xié)作用戶具有相同的移動方向，實現(xiàn)用戶的軌跡匿名。

但是已有的隱私保護方法尚未能有效地解決攻擊者通過識別匿名用戶，進而降低申請者隱私保護級別的攻擊方法。這種攻擊方法使得當前已有的集中式和分布式隱私保護方法都無法實現(xiàn)全面的用戶隱私保護，尤其在申請者申請連續(xù)基于位置服務的查詢時。針對這一問題，基于保障基于位置服務效率和提供有效隱私保護能力的考慮，本文基于用戶協(xié)作的隱私保護方法，針對這種方法在連續(xù)位置隱私保護方面的不足，提出了CUPPA算法，并通過安全性分析與實驗驗證證明了所提出算法的優(yōu)越性。

圖1 連續(xù)協(xié)作匿名示意圖

3 預備知識

3.1 攻擊模式

利用分布式系統(tǒng)架構進行連續(xù)基于位置服務的隱私保護可得到如圖1所說的連續(xù)泛化集合。在該圖中可以看到，申請者A申請四次連續(xù)基于位置查詢服務，每次查詢都找到其他3個協(xié)作用戶參與匿名，以期將自己位置泛化。然后，由于在連續(xù)基于位置查詢的移動過程中，協(xié)作用戶很難在每次查詢申請時都在申請者A的周圍，因此建立的匿名組中包含的協(xié)作用戶存在一定的變化。這使得攻擊者能夠獲得如圖1所示的連續(xù)位置泛化結果。通過該結果，攻擊者可對提出連續(xù)服務的用戶進行篩選，由于B、C、D、E、F等用戶均未能包含在每次位置泛化的匿名集合中，使得攻擊者可將申請者A四次查詢的位置進行關聯(lián)，在獲得A的位置軌跡隱私的情況下，更可獲得每次查詢的具體位置，進而可推測分析出A潛在的個人隱私。

本文假設攻擊者為不可信的LBS服務器，由于該服務器可獲得申請者提供的所有位置信息以便獲取服務結果，這使得該服務器可獲得最大的申請者信息量，一旦被商業(yè)利益所誘惑或者被其他攻擊者攻破，便可轉換為具備最大背景知識的攻擊者。

3.2 隱私保護基本思想

為防止申請者在使用分布式系統(tǒng)架構進行隱私保護時，攻擊者可利用匿名用戶的差異識別申請者，最好的方法是所有協(xié)作用戶都具有與申請者相同的移動方向，能夠在整個連續(xù)基于位置查詢的過程中參與每次快照查詢匿名。然而，這顯然在現(xiàn)實中是不可能實現(xiàn)的，所有參與匿名的協(xié)作用戶其移動方向和移動速度顯然與申請者不同，這就必然導致每次快照查詢參與的匿名用戶存在差異。針對這個問題，本文利用協(xié)作用戶位置獲取查詢結果的方法，通過選擇在連續(xù)移動范圍內協(xié)作用戶的位置，獲取基于這些位置的查詢結果。在移動到這些區(qū)域所處的位置時，不在重復連續(xù)的基于位置查詢申請，而是使用協(xié)作用戶已獲得并保存的查詢結果，降低與LBS服務器之間的信息交互。同時，利用首次查詢存在的大量匿名用戶泛化真實位置，進而實現(xiàn)在連續(xù)基于位置查詢服務下申請者的位置隱私保護。

4 CUPPA算法

CUPPA算法需要保障在連續(xù)基于位置服務過程中，每個協(xié)作用戶位于申請查詢所處的位置區(qū)域，以此獲得連續(xù)基于位置查詢所需要的結果?；谶@一目的，本文將申請者所在區(qū)域劃分為網(wǎng)格，連續(xù)移動所經(jīng)過的區(qū)域可表示為當前網(wǎng)格范圍內的一組連續(xù)單元格。但是，連續(xù)的規(guī)則單元格又可能會泄露申請者所經(jīng)過的位置區(qū)域，使得攻擊者可利用軌跡校正的方法獲得申請者軌跡。為保護申請者的位置隱私，這種連續(xù)的單元格又需要進行不確定擴張?zhí)幚?。這使得CUPPA算法需要包含單元格不確定性擴張和協(xié)作用戶尋找兩部分。

4.1 單元格不確定性擴張

單元格不確定性擴張主要是為了解決在當前范圍內尋找足夠的連續(xù)位置的協(xié)作用戶，同時防止協(xié)作用戶位于規(guī)則的連續(xù)單元格內，造成攻擊者通過軌跡校正獲取申請者真實軌跡的問題。其擴張過程可概括為：為每一個潛在位置進行滿足k-匿名的單元格擴張。例如：假設申請者制定如圖2（a）所示的當前位置網(wǎng)格，其連續(xù)基于位置查詢所經(jīng)過的網(wǎng)格如箭頭所示。當申請者需要獲取滿足4-匿名要求下的連續(xù)位置隱私保護時，申請者首先基于起始位置(xu,yu)沿著隨機方向尋找下一單元格，同時基于下一單元格再次沿著隨機方向尋找單元格，直到滿足4個單元格為止。完成后可得到如圖2（b）陰影部分所示的匿名單元格。在此之后，以每一個連續(xù)基于位置查詢所處的位置單元格為起點，重復以上隨機查找，可得到如圖2（c）陰影部分所示的不確定擴張后的選定單元格集合。

經(jīng)過不確定性擴張獲得選定單元格之后，申請者需要在選定的單元格中尋找協(xié)作用戶，并通過協(xié)作用戶完成隱私保護。

4.2 協(xié)作用戶尋找

基于分布式系統(tǒng)架構的隱私保護方法需要尋找足夠的協(xié)作用戶來完成隱私保護，而申請者移動設備的短距離通信功能很難滿足在連續(xù)的位置范圍內尋找到足夠的協(xié)作用戶。因此，本文所提出的CUPPA使用了一種協(xié)作用戶傳遞的方法來尋找連續(xù)服務位置單元格上的協(xié)作用戶。這種尋找方法的處理過程為：在一跳通信范圍內，申請者首先根據(jù)不確定性擴張建立的匿名單元格，選擇向當前位置所在單元格發(fā)送協(xié)作請求；當協(xié)作用戶收到請求時，首先確定是否參與協(xié)作，若是則根據(jù)自身位置向LBS服務器發(fā)起針對當前單元格與發(fā)起者相同的興趣點查詢申請，同時在發(fā)起者提供的單元格集合中選擇最近單元格發(fā)送協(xié)作請求，否則發(fā)送不參與協(xié)作標識，由發(fā)起者重新發(fā)起協(xié)作請求。若用來連續(xù)移動所在單元格內無協(xié)作用戶參與，則算法執(zhí)行失敗，若在匿名單元格內無協(xié)作用戶，可重新設定匿名單元格，并在重新設定的單元格內尋找協(xié)作用戶。算法1詳細表述了協(xié)作用戶處理隱私保護申請所進行的信息處理流程。

圖2 單元格不確定性擴張

算法1協(xié)作用戶處理隱私保護申請

輸入：收到的信息。

1.協(xié)作用戶收到協(xié)作申請信息E；

2.if該用戶不參與協(xié)作

3.將信息E返回；

4.else

5.將信息E發(fā)送給周圍的其他用戶；

6.將查詢信息發(fā)送給LBS服務器；

7.保存從LBS服務器返回的查詢結果；

8.在其他用戶經(jīng)過時使用保存的結果提供服務；

9.end

輸出：查詢結果。

經(jīng)過單元格不確定性擴張與協(xié)作用戶尋找，發(fā)起者可以在連續(xù)基于位置查詢的過程中，從協(xié)作用戶保存的查詢結果中獲取所需的內容，在整個過程中發(fā)起者與LBS服務器之間不存在任何的信息交互，整個查詢結果均由協(xié)作用戶獲得并提供給查詢發(fā)起者，這使得查詢發(fā)起者能夠最大限度地保護自己的位置隱私。

4.3 安全性分析

CUPPA算法的安全性可以從攻擊者猜測真實連續(xù)位置軌跡和申請者某一時刻所處位置兩個方面加以考慮。在連續(xù)基于位置服務的過程中，申請者會產生一個基于每個查詢位置的位置軌跡，在這個軌跡中包含大量的時空關聯(lián)信息，這些信息有助于攻擊者獲取申請者個人隱私。在本文所提出的方法中，經(jīng)過不確定性單元格擴張，申請者的連續(xù)位置被擴張后的單元格所模糊，這使得攻擊者即使獲得申請者連續(xù)基于位置查詢的次數(shù)也很難在當前單元格集合中確定申請者的單元格軌跡。另外，由于申請者是在協(xié)作用戶處獲取查詢結果，整個基于位置的連續(xù)基于位置查詢過程中，申請者與LBS服務器之間不存在信息交互，這更增加了攻擊難度。假設申請者進行連續(xù)n次查詢，則按照CUPPA算法的不確定單元格擴張規(guī)則，在最好的情況下可產生n×k個連續(xù)單元格；在最壞的情況下可產生n個單元格，但是這種情況是不會出現(xiàn)的，因為申請者可放棄當前擴張結果，重新進行一次新的擴張計算獲得滿足要求的泛化單元格集合。因此，產生的平均單元格數(shù)量可由申請者設定為n×k/2到n×k之間，也就是經(jīng)過不規(guī)則性擴張可產生至少n×k!/2個連續(xù)的單元格組合。因此，攻擊者很難通過擴張后的不確定單元格集合判斷得出申請者的真實軌跡。

對于申請者某一時刻所處位置的安全性：首先CUPPA算法僅由協(xié)作用戶與LBS服務器進行一次基于位置查詢的服務申請，且提供一個位置單元格集合，因此不存在LBS服務器獲得申請者連續(xù)基于位置查詢時間的可能；其次，申請者連續(xù)基于位置查詢過程中的查詢結果均從參與協(xié)作的協(xié)作用戶處獲得，這使得申請者與LBS服務器之間不存在任何信息交互，更讓LBS服務無法或者其在某一時刻所處的位置；最后，由于申請者獲取的是一個位置單元格集合，這使得LBS即使想要獲得最初的申請者位置，都需要在至少n×k/2個位置單元格中準確猜測出真實位置，其猜測的成功率為2/n×k，顯然很難獲得申請者在初始時刻的真實位置。由此，可認為申請者在申請連續(xù)基于位置服務的過程中，攻擊者很難獲得該用戶的真實位置以及位置軌跡，CUPPA算法可有效地保護申請者的位置隱私。

5 實驗驗證

為驗證本文所提出的CUPPA算法在隱私保護能力和算法執(zhí)行效率方面的優(yōu)勢，本文采用BerlinMOD Data Set提供的真實位置數(shù)據(jù)為基礎，在該數(shù)據(jù)集上通過用戶位置所占用的空間面積實現(xiàn)不確定性的位置區(qū)域擴張。實驗與同樣基于用戶協(xié)作的隨機行走方法R-cloak[10]、查詢信息傳遞方法QFPIR[11]和信息分塊傳遞算法random-QBE[12]比較快照服務下的隱私保護能力，與基于用戶cache的連續(xù)隱私保護方法MobiCrowd[13]、假設所有用戶行進方向相同的LTPPM[9]和基于輪廓泛化的IRDA[7]算法比較連續(xù)基于位置查詢服務下的隱私保護能力。最后，通過算法執(zhí)行時間和隱私保護成功率來驗證算法的執(zhí)行效率。

5.1 驗證標準

對于本文所提出算法的優(yōu)越性，可以從隱私保護能力和算法執(zhí)行效率兩個方面加以驗證。其中，算法隱私保護能力通過快照查詢下的位置信息熵以及連續(xù)基于位置查詢下的連續(xù)兩個位置的成對熵均方差加以度量；算法的執(zhí)行效率從算法運行時間和隱私保護成功率兩方面加以驗證。

通常情況下，攻擊者對當前快照查詢下申請者的位置猜測的不確定性可用信息熵來表示，設攻擊者成功猜測的概率為 p(i)，則位置信息熵可表示為：

式中，H(i)取值越大表示當前攻擊者的不確定性越高，則攻擊者更難在當前的位置集合中準確識別申請者的真實位置。

在進行連續(xù)基于位置查詢時，利用每兩次快照查詢位置的成對熵之和可計算整個連續(xù)基于位置查詢過程中的平均信息熵，設連續(xù)基于位置查詢的次數(shù)為n，則平均信息熵可表示為：

根據(jù)平均信息熵，可以很容易地計算得出成對熵均方差，由此可得到成對熵均方差的表示公式：

顯然，由于在不同快照查詢下的不同位置熵的不確定性，使得σ2的取值越小，表明當前的隱私保護級別越高。

算法的執(zhí)行時間是主要指協(xié)作用戶或中心服務器處理申請者信息并完成隱私保護所需要的平均時間，對于n次連續(xù)基于位置查詢的執(zhí)行時間可表示為：

隱私保護成功率是指在實現(xiàn)連續(xù)位置查詢服務的過程中，申請者成功實現(xiàn)隱私保護的概率，表現(xiàn)為連續(xù)基于位置查詢中的每次查詢都可成功實現(xiàn)隱私保護。若n次查詢中有一次未能完成隱私保護，則隱私保護失敗。該成功率受協(xié)作用戶是否參與隱私保護影響較大，當協(xié)作用戶未參與匿名時，隱私保護成功率較低。設當前申請隱私保護的用戶數(shù)為U，成功完成隱私保護的用戶數(shù)為Us，由此可得到連續(xù)基于位置查詢下的隱私保護成功率：

根據(jù)以上實驗驗證標準對參與比較的算法進行實驗驗證可得到如下實驗結果。

5.2 實驗結果

快照查詢下的位置信息熵主要表現(xiàn)攻擊者對申請者真實位置猜測的準確程度，當前存在的幾種主流方法均能有效地泛化攻擊者獲得申請者的真實位置，取得申請者設定匿名值所能得到的最大熵。從圖3中可以看到，CUPPA算法與其他主流方法R-cloak、QFPIR、random-QBE等方法相似，都能在快照查詢的情況下取得當前申請者位置經(jīng)過泛化后的最大熵值。因此，可以說在針對快照查詢情況下的用戶位置，CUPPA算法能夠提供最好的隱私保護效果。

圖3 快照查詢下的位置信息熵取值

在圖4（a）中，可以看到除CUPPA算法外，其他的基于快照查詢產生的隱私保護算法都可在兩個位置成對熵的均方差上獲得取值，這說明以上方法可能會通過當前位置與其他連續(xù)的經(jīng)過隱私保護后的位置之間產生一定的關聯(lián)關系，能夠通過當前位置與其他位置相關聯(lián)，進而識別潛在的匿名位置，識別出申請者的真實位置。所以，這些方法在連續(xù)基于位置服務的情況下是很難保護申請者的位置隱私的。在圖4（b）中，可以看到MobiCrowd以及LTPPM兩種算法也存在潛在的可關聯(lián)情況，這是由于MobiCrowd在周圍協(xié)作用戶不具備申請者所需要的查詢結果的情況下，申請者需要向LBS服務器直接提交查詢以便獲得服務器結果，這使得攻擊者能夠較為輕易地獲得當前位置，進而關聯(lián)位置集合并通過軌跡校正[14]的方式獲得申請者的軌跡隱私。而LTPPM算法由于假設所有協(xié)作用戶均具有與申請者相同的移動方向，但是移動速度是存在變化的，仍可能造成部分位置之間匿名協(xié)作用戶之間的差異，進而使得攻擊者可通過這種差異識別申請者真實位置的情況。最后，CUPPA算法和IRDA算法一個從協(xié)作用戶處獲得整個連續(xù)基于位置查詢過程中的所有查詢結果，另一個通過可信第三方泛化了所有可能產生關聯(lián)的用戶屬性輪廓信息，使得攻擊者很難進行位置關聯(lián)，因此能夠在連續(xù)的基于位置查詢服務中取得較小的σ2取值，即申請者的個人隱私能夠獲得比其他兩種主流隱私保護方法更好的隱私保護效果。

圖4 不同隱私保護方法產生成對熵均方差

從圖5中可以看到不同的針對連續(xù)基于位置查詢的隱私保護方法的運行時間。從該圖中可以看到IRDA方法所需的執(zhí)行時間最高，這是由于該方法需要可信第三方計算所有參與匿名用戶的可能產生關聯(lián)的屬性輪廓信息，并找到與申請者最為相似的匿名用戶參與匿名，中心服務器的計算負載較大，因此其執(zhí)行時間最長。其次，MobiCrowd方法的運行時間也相對較高，這是由于申請者需要在周圍的協(xié)作用戶中尋找能夠提供當前所需要查詢內容結果的協(xié)作用戶，其時間消耗主要用于對這樣協(xié)作用戶的尋找上，同時由于申請者短距離通信范圍的限定，使得這種方法可能需要更多的移動時間去需要合適的協(xié)作用戶。再次，LTPPM與MobiCrowd方法運行時間較長的原因相似，這種方法需要找到與申請者具有相同移動方向的協(xié)作用戶，雖然這種協(xié)作用戶在數(shù)量上要高于具有相同查詢結果的協(xié)作用戶，但同樣需要較長的算法運行時間來完成。最后，CUPPA算法的執(zhí)行時間要低于其他算法，這是因為該算法首先無需在連續(xù)基于位置查詢的每次快照查詢中逐次尋找協(xié)作用戶，其次該算法能夠保障協(xié)作用戶保存有申請者所需的查詢結果，最后該算法因為申請者不存在與LBS服務器之間的信息交互，整個服務過程中無需考慮協(xié)作用戶的屬性信息關聯(lián)問題，這使得在尋找協(xié)作用戶所消耗的時間上遠低于其他算法。

圖5 不同連續(xù)隱私保護方法的平均運行時間

從圖6中可以看到各種算法在提供連續(xù)隱私保護時的算法隱私保護成功率。在該圖中，LTPPM算法的隱私保護成功率要低于其他幾種算法，這是由于該算法首先很難找到具有相同移動方向的協(xié)作用戶，同時又由于協(xié)作用戶移動速度差異造成部分協(xié)作用戶無法參與到當前匿名中。MobiCrowd算法的隱私保護成功率稍好，這主要是因為該算法只需找到能夠提供查詢結果的協(xié)作用戶，不需要尋找至少k個協(xié)作用戶參與匿名，其協(xié)作用戶查找數(shù)量不受限制，因此其隱私保護成功率稍高。IRDA由于利用可信第三方進行匿名用戶的選擇，提高了查找匿名用戶的能力與查找范圍，使得其隱私保護的成功率要高于其他兩種算法。最后，CUPPA算法可通過協(xié)作用戶傳遞的方式實現(xiàn)多跳短距離通信范圍內的協(xié)作用戶查找，同時該算法只需在連續(xù)基于位置查詢中進行一次查詢即可獲得連續(xù)基于位置查詢結果，提高了查詢結果的利用率，因此其隱私保護的成功率最高。

圖6 不同連續(xù)隱私保護方法的隱私保護成功率

綜上所述，可以看出本文所提出的CUPPA算法既可保障在快照服務下的用戶位置隱私，又可保障在連續(xù)基于位置查詢下的用戶位置以及位置軌跡隱私。同時該算法在算法執(zhí)行時間和隱私保護成功率上又好于其他算法。因此可認為該算法相比于其他算法具有更大的優(yōu)勢。

6 結論

本文針對現(xiàn)有的基于用戶協(xié)作的隱私保護方法在連續(xù)基于位置查詢隱私保護方面的不足，提出了一種連續(xù)不確定協(xié)作用戶尋找方法CUPPA。該方法通過單元格不確定性擴張和協(xié)作用戶尋找，實現(xiàn)了基于協(xié)作用戶的連續(xù)基于位置查詢下的位置隱私保護。最后通過安全性分析和實驗驗證進一步證明了所提出的CUPPA算法的隱私保護能力和算法的執(zhí)行效率，較好地解決了隱私保護和基于位置服務之間的平衡問題。但是，由于申請者不再提交自身的真實位置，使得由LBS服務器反饋回來的基于位置服務結果與申請者真實位置之間存在偏差，進而造成服務反饋后的結果稍低于真實位置反饋回的結果，今后的工作將在如何提高反饋結果的精確度方面展開。

參考文獻：

[1]Gruteser M，Grunwald D.Anonymous usage of locationbased services through spatial and temporal cloaking[C]//Proceedings of the 1st International Conference on Mobile Systems，Applications and Services，San Francisco，California，2003：31-42.

[2]Xiao Z，Xu J，Meng X.p-Sensitivity：A semantic privacyprotection model for location-based services[C]//Proceedings of the International Conference on Mobile Data Management Workshops，2008：47-54.

[3]Fuyu L，Hua K A，Ying C.Query l-diversity in locationbased services[C]//Proceedings of the Tenth International Conference on Mobile Data Management：Systems，Services and Middleware（MDM’09），2009：436-442.

[4]Ghinita G，Kalnis P，Khoshgozaran A，et al.Private queries in location based services：Anonymizers are not necessary[C]//Proceedings of the 2008 ACM SIGMOD International Conference on Management of Data，Vancouver，Canada，2008：121-132.

[5]Chow C Y，Mokbel M F，Liu X.A peer-to-peer spatial cloaking algorithm for anonymous location-based service[C]//Proceedings of the 14th Annual ACM International Symposium on Advances in Geographic Information Systems，Arlington，Virginia，USA，2006：171-178.

[6]Hwang R H，Hsueh Y L，Chung H W.A novel timeobfuscated algorithm for trajectory privacy protection[J].IEEE Transactions on Services Computing，2014，7（2）：126-139.

[7]Zhang Lei，Ma Chunguang，Yang Songtao，et al.Location privacy protection model and algorithm based on profiles generalization[J].Systems Engineering and Electronics，2016，38（12）：2894-2900.

[8]Schlegel R，Chow C Y，Huang Q，et al.User-defined privacy grid system for continuous location-based services[J].IEEE Transactions on Mobile Computing，2015，14（10）：2158-2172.

[9]Gao S，Ma J F，Shi W S，et al.LTPPM：A location and trajectory privacy protection mechanism in participatory sensing[J].Wireless Communications&Mobile Computing，2015，15（1）：155-169.

[10]Niu B，Zhu X Y，Li Q H，et al.A novel attack to spatial cloaking schemes in location-based services[J].Future Generation Computer Systems，2015，49：125-132.

[11]Rebollo-Monedero D，F(xiàn)orne J，Solanas A，et al.Private location-based information retrieval through user collaboration[J].Computer Communications，2010，33（6）：762-774.

[12]Ma C，Zhang L，Yang S，et al.Achieve personalized anonymity through query blocks exchanging[J].China Communications，2016，13（11）：106-118.

[13]Shokri R，Theodorakopoulos G，Papadimitratos P，et al.Hiding in the mobile crowd：Location privacy through collaboration[J].IEEE Transactions on Dependable and Secure Computing，2014，11（3）：266-279.

[14]Su H，Zheng K，Wang H，et al.Calibrating trajectory data for similarity-based analysis[C]//Proceedings of the Proceedings of the 2013 ACM SIGMOD International Conference on Management of Data，2013：833-844.