基于动态运动模式的隐私保护方法与流程

本发明属于无线网络安全领域，特别涉及一种隐私保护方法，可用于各种连续查询位置服务中，主要抵御位置注入攻击。

背景技术：

位置服务lbs，又称定位服务，其是由移动通信网络和卫星定位系统结合在一起提供的一种增值业务，通过一组定位技术获得移动终端的位置信息，如经纬度坐标数据，并将此位置信息提供给移动用户本人、其他人或者通信系统，来实现各种与位置相关的业务。

位置服务可以被应用于不同的领域，与此同时，在移动互联网大发展的趋势下，各类应用也在蓬勃发展。尤其，随着定位技术的快速发展，使得嵌入了位置服务lbs功能的应用得到了广泛的普及，给人们的生活带来了极大的便利。但lbs服务需要获知用户精确的位置信息，其对用户的隐私造成了极大的威胁。所以，在保证用户服务质量的同时，如何有效的保护用户的隐私信息是lbs服务目前所面临的巨大挑战。特别地，由于连续查询场景下用户位置信息之间的时空关联性，其隐私信息更容易泄露。近年来，学者们已采用不同的方法保护用户隐私，其中传统的k-匿名方案k-anonymity使用最为广泛。

传统的k-匿名方案k-anonymity假设所有用于匿名的用户都是真实可信的，并发送自身真实的位置信息和查询内容信息给匿名服务器实现k-匿名隐私保护；但在实际情况下这种假设时不成立的，其存在一定的弊端，因为在实际查询中，匿名服务器根本没有考虑覆盖区域中各用户的可信度，默认其都是真实可信的，并直接将这些用户形成的满足真实查询用户隐私保护要求的匿名区域发送给位置服务器用于查询，并获得相应的查询结果。然而，实际中这些匿名用户中存在恶意用户或虚假用户，其是攻击者为了破坏真实查询用户隐私而特意注入的。所以，在这种情况下，如果匿名服务器依旧按照传统的k-匿名方案对用户的隐私进行保护，则不但达不到保护用户隐私的目的，甚至更容易暴露用户的隐私，使得用户更易遭受位置注入攻击。其过程如图3所示，其中图3(a)表示查询发起者u在tp时刻所形成的匿名区域示意图，图3(b)表示查询发起者u在tp+1时刻所形成的匿名区域示意图；图3(a)中实线圆表示查询发起者tp时刻所形成的匿名区域，其实现5-匿名且对应的匿名用户集合为{u1,u2,u3,u4,ur}，u1、u2、u3和u4为匿名区域中可信用户，ur为真实查询用户；图3(b)中虚线圆是真实查询用户tp时刻所能到达的最大移动边界区域，实线圆表示真实查询用户tp+1时刻所形成的匿名区域，其仍然实现5-匿名且对应的匿名用户集合为{u5,u6,u7,u10,ur}。然而，在该5-匿名集合中只有u7和u10是可信用户，而用户u5和u6都是攻击者注入的虚假用户，故其使得用户隐私保护度由5-匿名降低为3-匿名，极大地损害了用户隐私。最终导致真实查询用户隐私保护程度降低，甚至直接泄露用户隐私。

现有针对位置注入攻击的隐私保护方案从攻击者角度出发，首先采用马尔可夫模型对匿名区域中所有用户的运动模式进行建模，其建模主要基于用户的历史查询覆盖区域，而非用户真实的位置；然后通过该马尔可夫模型计算各个候选用户和真实查询用户当前时刻最大移动边界的交集，再结合各候选用户当前的速度以及其历史查询覆盖区域个数，匿名服务器评估出每个候选用户的信誉值；最终匿名服务器根据计算出的用户信誉值，选择用户信誉值最高的k-1个候选用户做为最终的候选用户。该方法通过马尔可夫建模间接评估出用户信誉，虽说可抵御位置注入攻击且保护用户隐私。然而，该方法仅实现了用户信誉粗略评估，没有对用户信誉进行分类，并实现细致评估，故难以精确量化用户信誉；同时如何从其他角度对用户的信誉进行有效评估以及建立怎样的用户信誉评估机制等问题还没有得到很好解决，因而传统k-匿名隐私保护体制下用户隐私仍有很大泄露风险，故位置注入攻击隐私泄露问题仍需进一步研究。

技术实现要素：

本发明的目的在于针对上述已有技术的不足，提出一种基于动态运动模式的隐私保护方法，以保证在保护真实查询用户隐私的同时，确保参与k-匿名的其余k-1个用户是可信的，提高查询的有效性和服务的高质量性。

为实现上述目的，本发明的技术方案包括如下：

(1)基于若干移动用户、匿名服务器和位置服务器构成的隐私保护框架，由手机生产厂商为每部手机安装一个缓存装置，用于用户在查询过程中对有用信息的存储；

(2)匿名服务器收集所有用户的历史查询覆盖区域信息，并将收集的所有用户的每一个历史查询覆盖区域其按逆时针方向依次分为第一区域i、第二区域ii、第三区域iii和第四区域iv，且各区域对应状态分别为si、sii、siii和siv；

(3)匿名服务器根据所有用户历史查询覆盖区域，利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模，获得相应的转移概率矩阵p；

(4)匿名服务器依次计算各个候选用户与真实查询用户的最大移动边界mmb、各个候选用户最大移动边界与真实查询用户最大移动边界的交集区域irmmb以及交集区域面积irammb；

(5)匿名服务器根据所有用户的马尔可夫模型、各个候选用户与真实查询用户间最大移动边界的交集区域irmmb和交集区域面积irammb，对各个候选用户的信誉进行评估，得到相应的信誉值cre；

(6)匿名服务器将所有的候选用户分为组，每组k-1个候选用户，其中n表示匿区域中包含的候选用户总数，k表示匿名保护时所需的最小用户个数；

(7)构建最终查询集合fq：

7a)匿名服务器计算这组中每组k-1个候选用户的信誉值之和；

7b)匿名服务器计算这k-1个候选用户与真实用户欧式距离eds，并利用转移概率矩阵p和欧式距离eds，对k-1个候选用户与真实用户运动轨迹相似性进行评估；

7c)匿名服务器选择信誉值之和最大、运动轨迹不相似且形成的匿名区域面积最小的组作为最终匿名用户组；并将该组中各候选用户信息与真实查询用户信息一起，形成最终查询集合fq发送给位置服务器；

(8)位置服务器收到最终查询集合fq后，查找自己的数据库，形成候选结果集crs，并返回给匿名服务器；

(9)匿名服务器根据真查询用户的真实信息，筛选出满足其要求的查询结果，并返回给真实查询用户，真实查询用户收到查询结果并将其记录在缓存器中。

本发明具有如下优点：

1)本发明由于使用了中心式匿名服务器实现匿名的方法，从匿名服务器角度根据候选用户历史查询覆盖区域，并利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模，实现了用户运动情况可控、可预测；

2)本发明由于首先对用户历史查询覆盖区域划分，再利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模，故该马尔可夫模型主要依赖划分i、ii、iii、iv四个区域的用户历史查询覆盖区域，而非用户历史查询位置，其符合实际查询情况，也可充分利用匿名服务器拥有的信息；

3)本发明由于首先利用用户马尔可夫模型、各候选用户与真实查询用户间最大移动边界的交集区域范围和交集区域面积，对各个候选用户的信誉进行评估，再选择信誉高的k-1个用户完成k-匿名，所以有效弥补了传统k-匿名隐私保护方法中忽略对用户信誉评估的缺陷，进一步增强了用户隐私保护的可能性和可行性；

4)本发明由于在对用户信誉进行评估时，同时考虑了用户马尔可夫模型、各用户与真实查询用户间最大移动边界的交集区域范围以及交集区域面积等因素，故可对用户的移动趋势可以做出更准确的评估与判断，从而推测出更为合理和准确的用户信誉值，以免由于片面因素而对用户动态进行误判，导致最终选择的候选用户可信度降低，质量变差；

5)本发明由于在对候选用户和真实查询用户运轨迹相似性进行判断时，同时考虑了用户马尔可夫模型、各候选用户与真实查询用户间的欧氏距离以及该真实查询用户历史查询覆盖区域直径等因素，其一方面可利用马尔可夫模型对用户运动模式进行准确预测，另一方面利用欧氏距离占比很好评估了各候选用户与真实查询用户间的物理邻近度，使得用户轨迹相似性评判更为准确；

6)本发明由于采用了信誉优先和k-匿名区域可用且最小原理，使得最终的k-匿名区域用户信誉最高且面积最小，故其很好的权衡隐私保护和系统开销；

7)本发明由于同时采用信誉评估和轨迹相似性评估机制，故不仅确保了匿名用户的可信度，而且较好地保护了真实查询用户的运动轨迹，使得选出的用户更为可信，真实用户的隐私保护效果更优，极大地提高了用户体验度和满意度。

附图说明

图1是现有中心式基于匿名服务器隐私保护架构图；

图2是本发明的实现流程图；

图3是现有位置注入攻击示意图；

图4是本发明中的用户历史查询覆盖区域划分示意图；

图5是本发明中的用户最大移动边界示意图。

具体实施方案

本发明采用图1中心式基于匿名服务器隐私保护架构进行隐私保护。

参照图1，基于匿名服务器隐私保护架构，包括移动用户、匿名服务器和位置服务器lbs-s。该移动用户，是移动互联网中普通的移动用户，其拥有具有缓存装置的移动设备，用于移动通信网络中某个查询发起者发出查询请求时，在地理范围内，用于匿名服务器对某个特定用户实现k-匿名隐私保护时，形成k-匿名区域。该匿名服务器主要用于查询服务中，各个候选用户信誉值评估、选取合适用户实现k-匿名、最终k-匿名查询请求发送以及候选查询结果筛选返回给真实查询用户，即匿名服务器首先选择满足真实查询用户隐私保护需求、用户信誉高且形成的匿名区域面积较小的候选用户，然后整理各候选用户信息和真实查询用户，并形成一个最终查询集合fq，最后匿名服务器将最终查询集合fq发送给位置服务器lbs-s。该位置服务器lbs-s,其内部存储着所有lbs服务所需的信息，用于lbs查询服务结果的提供。在位置服务中，其操作应依照lbs系统的相关规则和协议，但不排除其是不诚实且感兴趣的，故在本方案中lbs-s是半可信的，其主要用于用户请求查询结果的提供，形成的候选结果集crs，并返回给匿名服务器，匿名服务器收到候选结果集crs后，根据用户的真实查询信息筛选出满足其要求的查询结果，并将其返回给查询用户。

基于该隐私保护框架，真实查询用户发送查询请求给匿名服务器；匿名服务器收到该查询请求后，首先查看该真实查询用户附近移动范围内其他可用于匿名的候选用户，并将搜集的各候选用户历史查询覆盖区域等分为四个子区域i、ii、iii和iv，利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模，获得相应的转移概率矩阵；然后计算各个候选用户与真实查询用户的欧式距离、最大移动边界、最大移动边界的交集区域范围以及交集区域面积，并根据计算出的交集区域范围及面积、欧式距离和所有用户的马尔可夫模型，评估和计算各候选用户的信誉以及各候选用户与真实用户运动轨迹相似性；最终匿名服务器选择整体信誉值高、运动轨迹与真实查询用户不相似且形成的匿名区域面积小的候选用户作为最终的候选用户，并将其信息和真实查询用户信息一起整理，形成一个最终查询集合fq发送给位置服务器。位置服务器根据所收到的查询集合fq，查找数据库，形成相应的候选结果集crs并返回给匿名服务器。匿名服务器收到该候选结果集crs后，根据真实查询用户的真实信息，对该候选结果集进行过滤，筛选出满足其要求的查询结果，并将其发送给该真实查询用户。同时，所该真实查询用户将该查询内容及其结果存储于其缓存器中，以便自身查询需要。

参照图2，本发明基于上述隐私保护框架进行隐私保护的实现步骤如下：

步骤1，在中心式基于匿名服务器隐私保护框架的基础上，由手机生产厂商为每部手机安装一个缓存装置，用于用户在查询过程中对有用信息的存储。

步骤2，匿名服务器对收集的所有用户历史查询覆盖区域进行划分。

(2.1)匿名服务器收集所有用户的历史查询覆盖区域信息，分别表示如下：

其中，表示第i个候选用户的历史查询覆盖区域集合；表示第i个候选用户的第j个历史查询覆盖区域；表示真实查询用户的历史查询覆盖区域集合；表示真实查询用户的第j个历史查询覆盖区域，且1≤i≤n,1≤j≤ξ，ξ表示候选用户拥有的历史查询覆盖区域个数，且ξ≥1；n表示匿名区域中包含的候选用户总数，且n≥1；

(2.2)匿名服务器收集所有用户的历史查询覆盖区域信息，并将收集的所有用户的每一个历史查询覆盖区域其按逆时针方向依次分为第一区域i、第二区域ii、第三区域iii和第四区域iv，且各区域对应状态分别为si、sii、siii和siv；其主要用于匿名服务器利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模以及各候选用户与真实查询用户间运动相似性的评判。

图4给出了一个用户uj历史覆盖区域四等分的实例。图4中过用户uj历史覆盖区域中心在水平和竖直方向上分别做互相垂直的直线，将该用户uj历史覆盖区域等分为四个区域，该区域按逆时针方向依次命名为：第一区域i、第二区域ii、第三区域iii和第四区域iv。

步骤3，匿名服务器根据所有用户历史查询覆盖区域，利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模。

(3.1)匿名服务器收集和整理所有用户已划分的历史查询覆盖区域和其对应的状态，分别表示如下：

其中，表示第i个候选用户的历史查询覆盖区域集合；表示真实查询用户的历史查询覆盖区域集合；表示真实查询用户的第j个历史查询覆盖区域；表示第i个候选用户的第j个历史查询覆盖区域集合，且1≤i≤n,1≤j≤ξ；ξ表示候选用户拥有的历史查询覆盖区域个数，且ξ≥1；n表示匿名区域中包含的候选用户总数，且n≥1；表示第i个候选用户的第j个历史查询覆盖区域的第一部分区域i；表示第i个候选用户的第j个历史查询覆盖区域的第二部分区域ii；表示第i个候选用户的第j个历史查询覆盖区域的第三部分区域iii；ivi^j表示第i个候选用户的第j个历史查询覆盖区域的第四部分区域iv；表示第i个候选用户的第j个历史查询覆盖区域的第一部分区域i对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第二部分区域ii对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第三部分区域iii对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第四部分区域iv对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第一部分区域i；表示真实查询用户的第j个历史查询覆盖区域的第二部分区域ii；表示真实查询用户的第j个历史查询覆盖区域的第三部分区域iii；表示真实查询用户的第j个历史查询覆盖区域的第四部分区域iv；表示真实查询用户的第j个历史查询覆盖区域的第一部分区域i对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第二部分区域ii对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第三部分区域iii对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第四部分区域iv对应的状态；

(3.2)匿名服务器根据收集到的所有用户已划分的历史查询覆盖区域和其对应的状态，利用依赖时间一阶马尔可夫链对所有用户的运动模式进行建模，获得相应的转移概率矩阵：

首先，匿名服务器将第i个候选用户ξ个已划分的历史查询覆盖区域和其对应的状态按照时间顺序排列；

然后，由匿名服务器依次统计第i个候选用户ξ个历史查询覆盖区域中任意一个历史查询覆盖区域转移到其相邻下一个历史查询覆盖区域四个不同部分的个数

其中，表示第i个候选用户从第一区域i转移到第一区域i的个数；表示第i个候选用户从第一区域i转移到第二区域ii的个数；表示第i个候选用户从第一区域i转移到第三区域iii的个数；表示第i个候选用户从第一区域i转移到第四区域iv的个数；表示第i个候选用户从第二区域ii转移到第一区域i的个数；表示第i个候选用户从第二区域ii转移到第二区域ii的个数；表示第i个候选用户从第二区域ii转移到第三区域iii的个数；表示第i个候选用户从第二区域ii转移到第四区域iv的个数；表示第i个候选用户从第三区域iii转移到第一区域i的个数；表示第i个候选用户从第三区域iii转移到第二区域ii的个数；表示第i个候选用户从第三区域iii转移到第三区域iii的个数；表示第i个候选用户从第三区域iii转移到第四区域iv的个数；表示第i个候选用户从第四区域iv转移到第一区域i的个数；表示第i个候选用户从第四区域iv转移到第二区域ii的个数；表示第i个候选用户从第四区域iv转移到第三区域iii的个数；表示第i个候选用户从第四区域iv转移到第四区域iv的个数；

接着，匿名服务器分别计算四个不同部分的个数占整体个数ξ的比值

最后，匿名服务器将此比值组成的矩阵作为第i个候选用户的概率转移矩阵

其中，表示第i个候选用户从第一区域i转移到第一区域i的概率；表示第i个候选用户从区域第一区域i转移到第二区域ii的概率；表示第i个候选用户从第一区域i转移到第三区域iii的概率；表示第i个候选用户从第一区域i转移到第四区域iv的概率；表示第i个候选用户从第二区域ii转移到第一区域i的概率；表示第i个候选用户从第二区域ii转移到第二区域ii的概率；表示第i个候选用户从第二区域ii转移到第三区域iii的概率；表示第i个候选用户从第二区域ii转移到第四区域iv的概率；表示第i个候选用户从第三区域iii转移到第一区域i的概率；表示第i个候选用户从第三区域iii转移到第二区域ii的概率；表示第i个候选用户从第三区域iii转移到第三区域iii的概率；表示第i个候选用户从第三区域iii转移到第四区域iv的概率；表示第i个候选用户从第四区域iv转移到第一区域i的概率；表示第i个候选用户从第四区域iv转移到第二区域ii的概率；表示第i个候选用户从第四区域iv转移到第三区域iii的概率；表示第i个候选用户从第四区域iv转移到第四区域iv的概率。

步骤4，匿名服务器计算各个候选用户与真实查询用户的最大移动边界mmb、各个候选用户最大移动边界与真实查询用户最大移动边界的交集区域irmmb以及交集区域面积irammb。

(4.1)匿名服务器收集真实查询用户和各个候选用户已划分的历史查询覆盖区域和其对应的状态信息cru、最大速度信息vmax和查询时间信息t，分别表示如下：

t＝{tp-1,tp,tp+1}；

其中表示真实查询用户的历史查询覆盖区域集合；表示第i个候选用户的历史查询覆盖区域集合；表示第i个候选用户的第j个历史查询覆盖区域，且1≤i≤n,1≤j≤ξ；ξ表示候选用户拥有的历史查询覆盖区域个数，且ξ≥1；n表示匿名区域中包含的候选用户总数，且n≥1；表示真实查询用户第j个历史查询覆盖区域；表示第i个候选用户的第j个历史查询覆盖区域的第一部分区域i；表示第i个候选用户的第j个历史查询覆盖区域的第二部分区域ii；表示第i个候选用户的第j个历史查询覆盖区域的第三部分区域iii；ivi^j表示第i个候选用户的第j个历史查询覆盖区域的第四部分区域iv；表示第i个候选用户的第j个历史查询覆盖区域的第一部分区域i对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第二部分区域ii对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第三部分区域iii对应的状态；表示第i个候选用户的第j个历史查询覆盖区域的第四部分区域iv对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第一部分区域i；表示真实查询用户的第j个历史查询覆盖区域的第二部分区域ii；表示真实查询用户的第j个历史查询覆盖区域的第三部分区域iii；表示真实查询用户的第j个历史查询覆盖区域的第四部分区域iv；表示真实查询用户的第j个历史查询覆盖区域的第一部分区域i对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第二部分区域ii对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第三部分区域iii对应的状态；表示真实查询用户的第j个历史查询覆盖区域的第四部分区域iv对应的状态；表示真实查询用户第j个历史查询覆盖区域最大速度；表示第i个候选用户第j个历史查询覆盖区域最大速度；tp-1表示上一时刻查询时间；tp表示当前时刻查询时间；tp+1表示下一时刻查询时间；

(4.2)匿名服务器根据收集的真实查询用户和各个候选用户历史查询覆盖区域信息、最大速度信息和查询时间信息，分别以真实查询用户和各个候选用户的历史查询覆盖区域中心为圆心，以其各自最大查询速度与时间间隔δtp+1内的乘积为半径做圆，计算各个候选用户最大移动边界mmb、真实查询用户最大移动边界区域面积各候选用户与真实查询用户最大移动边界交集irmmb以及交集区域面积irammb,并将其存入最大移动边界集合mmbs中：

其中表示第i个候选用户在tp时刻和tp+1时刻内，能到达的最大移动边界；表示tp时刻第i个候选用户和真实查询用户最大移动边界交集区域；表示tp时刻第i个候选用户和真实查询用户最大移动边界交集区域面积；表示真实查询用户在tp时刻和tp+1时刻内，能到达的最大移动边界；表示tp时刻真实查询用户最大移动边界区域面积；表示tp时刻真实查询用户最大运动速度；δtp+1＝tp+1-tp；

图5给出了一个最大移动边界形成过程以及其交集区域面积计算实例。其中图5(a)表示候选用户uj和真实用户ur的最大移动边界以及它们的交集区域；图5(a)中实线圆表示真实用户ur的覆盖区域，虚线箭头表示各用户的移动方向，左侧较小虚线圆表示tp时刻用户uj的最大移动边界其中包含1个可信用户和2个虚假用户；右侧较大虚线圆表示tp时刻真实用户ur的最大移动边界其中包含8个可信用户、1个虚假用户和2个真实查询用户；这两个虚线圆交集区域表示tp时刻虚假用户uj和真实用户ur最大移动边界的交集区域，即图5(a)阴影区域；

图5(b)是候选用户uj和真实用户ur的最大移动边界以及它们的交集区域的数学表示。图5(b)中左侧虚线圆表示tp时刻用户uj的最大移动边界右侧虚线圆表示真实查询用户ur的最大移动边界图5(b)中共有a、b、c、e、f、和这7个点，图5(b)阴影区域表示tp时刻候选用户uj和真实用户ur最大移动边界交集区域该交集区域面积计算如下：

首先，匿名服务器定义三个参数和

然后，匿名服务器分别计算扇形和扇形的面积以及三角形和三角形的面积；

最后，由匿名服务器计算候选用户uj和真实用户ur最大移动边界交集区域面积：

其中，表示扇形的面积；表示扇形的面积；

表示三角形的面积；表示三角形的面积；

(4.3)匿名服务器根据计算出的最大移动边界集合mmbs，计算各候选用户与真实查询用户的最大移动边界的交集区域的坐标范围ir：

首先，匿名服务器根据各候选用户与真实查询用户的最大移动边界区域，计算该最大移动边界交集区域的交点；

然后，匿名服务器将计算出的所有坐标存入交集区域集合ir：

其中，表示第i个候选用户与真实查询用户的最大移动边界的交集区域的坐标范围；xi表示tp时刻第i个候选用户与真实查询用户的最大移动边界的交集区域的横坐标；表示tp时刻第i个候选用户与真实查询用户的最大移动边界的交集区域横坐标的最小值；表示tp时刻第i个候选用户与真实查询用户的最大移动边界的交集区域横坐标的最大值；yi表示tp时刻第i个候选用户与真实查询用户的最大移动边界的交集区域的纵坐标；表示tp时刻第i个候选用户与真实查询用户最大移动边界交集区域纵坐标的最小值；表示tp时刻第i个候选用户与真实查询用户最大移动边界交集区域纵坐标的最大值；1≤i≤n；

(4.4)匿名服务器根据真实查询用户tp时刻的最大移动边界区域计算真实查询用户tp时刻最大移动边界区域的四部分区域坐标范围

其中，xi表示tp时刻真实查询用户最大移动边界第一区域i的横坐标；表示tp时刻真实查询用户最大移动边界第一区域i横坐标的最小值；表示tp时刻真实查询用户最大移动边界第一区域i横坐标的最大值；yi表示tp时刻真实查询用户最大移动边界第一区域i的纵坐标；表示tp时刻真实查询用户最大移动边界第一区域i纵坐标的最小值；表示tp时刻真实查询用户最大移动边界第一区域i纵坐标的最大值；xii表示tp时刻真实查询用户最大移动边界第二区域ii的横坐标；表示tp时刻真实查询用户最大移动边界第二区域ii横坐标的最小值；表示tp时刻真实查询用户最大移动边界第二区域ii横坐标的最大值；yii表示tp时刻真实查询用户最大移动边界第二区域ii的纵坐标；表示tp时刻真实查询用户最大移动边界第二区域ii纵坐标的最小值；表示tp时刻真实查询用户最大移动边界第二区域ii纵坐标的最大值；xiii表示tp时刻真实查询用户最大移动边界第三区域iii的横坐标；表示tp时刻真实查询用户最大移动边界第三区域iii横坐标的最小值；表示tp时刻真实查询用户最大移动边界第三区域iii横坐标的最大值；yiii表示tp时刻真实查询用户最大移动边界第三区域iii的纵坐标；表示tp时刻真实查询用户最大移动边界第三区域iii纵坐标的最小值；表示tp时刻真实查询用户最大移动边界第三区域iii纵坐标的最大值；xiv表示tp时刻真实查询用户最大移动边界第四区域iv的横坐标；表示tp时刻真实查询用户最大移动边界第四区域iv横坐标的最小值；表示tp时刻真实查询用户最大移动边界第四区域iv横坐标的最大值；yiv表示tp时刻真实查询用户最大移动边界第四区域iv的纵坐标；表示tp时刻真实查询用户最大移动边界第四区域iv纵坐标的最小值；表示tp时刻真实查询用户最大移动边界第四区域iv纵坐标的最大值；表示tp时刻真实查询用户最大移动边界区域划分的第一区域；表示tp时刻真实查询用户最大移动边界区域划分的第二区域；表示tp时刻真实查询用户最大移动边界区域划分的第三区域；表示tp时刻真实查询用户最大移动边界区域划分的第四区域；

(4.5)匿名服务器根据真实查询用户tp时刻最大移动边界区域的四部分区域坐标范围和交集区域集合ir，制定各交集区域所属最大移动边界区域的评估条件，共包括四种可能的情况：

情况一：若则

情况二：若则

情况三：若则

情况四：若则

(4.6)匿名服务器根据各交集区域所属最大移动边界区域的评估条件，对各候选用户与真实查询用户交集区域进行分类，存入交集区域所属集合irbs：

其中，表示第i个候选用户与真实查询用户最大移动边界交集区域属于中的区域，且仅属于这4部分区域中的一部分区域。

步骤5，匿名服务器根据真实查询用户的马尔可夫转移矩阵最大移动边界集合mmbs和交集区域所属集合irbs，计算各个候选用户的信誉值cre。

(5.1)匿名服务器收集和整理真实查询用户的马尔可夫转移矩阵

其中，表示真实查询用户由第一区域i到第一区域i的转移概率；表示真实查询用户由第一区域i到第二区域ii的转移概率；表示真实查询用户由第一区域i到第三区域iii的转移概率；表示真实查询用户由第一区域i到第四区域iv的转移概率；表示真实查询用户由第二区域ii到第一区域i的转移概率；表示真实查询用户由第二区域ii到第二区域ii的转移概率；表示真实查询用户由第二区域ii到第三区域iii的转移概率；表示真实查询用户由第二区域ii到第四区域iv的转移概率；表示真实查询用户由第三区域iii到第一区域i的转移概率；表示真实查询用户由第三区域iii到第二区域ii的转移概率；表示真实查询用户由第三区域iii到第三区域iii的转移概率；表示真实查询用户由第三区域iii到第四区域iv的转移概率；表示真实查询用户由第四区域iv到第一区域i的转移概率；表示真实查询用户由第四区域iv到第二区域ii的转移概率；表示真实查询用户由第四区域iv到第三区域iii的转移概率；表示真实查询用户由第四区域iv到第四区域iv的转移概率；

(5.2)匿名服务器根据收集的最大移动边界集合mmbs，计算各候选用户与真实查询用户最大移动边界交集区域面积与真实查询用户最大移动边界面积间的比值，并将其存入面积比值集合ass：

其中，表示tp时刻第i个候选用户和真实查询用户最大移动边界交集区域面积；表示tp时刻真实查询用户最大移动边界区域面积；表示tp时刻第i个候选用户和真实查询用户最大移动边界交集区域面积与真实查询用户最大移动边界区域面积间的比值；

(5.3)匿名服务器根据收集的根据真实查询用户的马尔可夫转移矩阵最大移动边界集合mmbs、交集区域所属集合irbs和面积比值集合ass，制定各候选用户信誉值cre评估条件，其实现如下：

首先，由匿名服务器根据交集区域所属集合irbs中各交集区域所属部分，在真实查询用户转移矩阵中找到与之对应的转移概率pt＝{p1,p2,...,pi,...,pn}，其中pi表示第i个候选用户在真实查询用户转移矩阵中对应的概率；

然后，由匿名服务器根据转移概率pt和面积比值集合ass，制定各候选用户信誉值cre评估条件，共包括四种情况：

情况一：若且则

情况二：若且则

情况三：若且则

情况四：若且则

(5.4)匿名服务器根据上述信誉评判条件，计算各候选用户的信誉值，并将其存入信誉集合cs：其中仅仅取这4个信誉值中的任意一个。

步骤6，匿名服务器将这n个候选用户分为组，每组k-1个候选用户，且组候选用户信息g，表示如下:

其中gf表示第f组候选用户信息，且表示第f组第f个候选用户，且1≤f≤k-1；表示第f组第f个候选用户位置信息；表示第f组第f个候选用户信誉值。

步骤7，匿名服务器计算这组中每组k-1个候选用户的信誉值之和。

将组中每组k-1个候选用户的信誉值相加，并将该相加结果作为整体信誉值之和scs：

其中表示第f组候选用户整体信誉值之和。

步骤8，匿名服务器利用k-1个候选用户与真实用户的转移概率和欧式距离，对k-1个候选用户与真实用户运动轨迹相似性进行评估。

(8.1)匿名服务器整理各候选用户的转移矩阵真实用户的转移矩阵和真实查询用户的信息分别表示如下:

其中，表示第i个候选用户的转移概率矩阵；表示真实查询用户的转移概率矩阵；表示第i个候选用户由第一区域i到第一区域i的转移概率；表示第i个候选用户由第一区域i到第二区域ii的转移概率；表示第i个候选用户由第一区域i到第三区域iii的转移概率；表示第i个候选用户由第一区域i到第四区域iv的转移概率；表示第i个候选用户由第二区域ii到第一区域i的转移概率；表示第i个候选用户由第二区域ii到第二区域ii的转移概率；表示第i个候选用户由第二区域ii到第三区域iii的转移概率；表示第i个候选用户由第二区域ii到第四区域iv的转移概率；表示第i个候选用户由第三区域iii到第一区域i的转移概率；表示第i个候选用户由第三区域iii到第二区域ii的转移概率；表示第i个候选用户由第三区域iii到第三区域iii的转移概率；表示第i个候选用户由第三区域iii到第四区域iv的转移概率；表示第i个候选用户由第四区域iv到第一区域i的转移概率；表示第i个候选用户由第四区域iv到第二区域ii的转移概率；表示第i个候选用户由第四区域iv到第三区域iii的转移概率；表示第i个候选用户由第四区域iv到第四区域iv的转移概率；表示真实查询用户由第一区域i到第一区域i的转移概率；表示真实查询用户由第一区域i到第二区域ii的转移概率；表示真实查询用户由第一区域i到第三区域iii的转移概率；表示真实查询用户由第一区域i到第四区域iv的转移概率；表示真实查询用户由第二区域ii到第一区域i的转移概率；表示真实查询用户由第二区域ii到第二区域ii的转移概率；表示真实查询用户由第二区域ii到第三区域iii的转移概率；表示真实查询用户由第二区域ii到第四区域iv的转移概率；表示真实查询用户由第三区域iii到第一区域i的转移概率；表示真实查询用户由第三区域iii到第二区域ii的转移概率；表示真实查询用户由第三区域iii到第三区域iii的转移概率；表示真实查询用户由第三区域iii到第四区域iv的转移概率；表示真实查询用户由第四区域iv到第一区域i的转移概率；表示真实查询用户由第四区域iv到第二区域ii的转移概率；表示真实查询用户由第四区域iv到第三区域iii的转移概率；表示真实查询用户由第四区域iv到第四区域iv的转移概率；

(8.2)匿名服务器根据收集的组候选用户信息g和查询用户自身真实信息计算组中每组k-1个候选用户与真实查询用户间的欧氏距离，并将其存入欧氏距离集合eds：

其中表示第f组中k-1个候选用户与真实查询者间的欧氏距离集合，且表示第f组中第f个候选用户与真实查询者间的欧氏距离，且1≤f≤k-1；

(8.3)匿名服务器根据k-1个候选用户与真实用户的转移矩阵、欧氏距离集合eds和交集区域所属集合irbs，制定轨迹相似性评估条件，其实现如下：

首先，匿名服务器根据真实查询用户真实的运动模式，判断其当前时刻可能位于的区域再查找其转移矩阵得到对应的转移概率其中属于中任意一个区域；属于中任意一个转移概率；

然后，匿名服务器利用交集区域所属集合irbs和真实查询用户转移矩阵计算交集区域所属集合irbs中各区域的转移概率，将其存入转移概率集合tqs：

最后，匿名服务器利用转移概率集合tqs和欧氏距离集合eds，制定轨迹相似性评估条件，其包括两种情况：

情况一：若且则运动轨迹相似；

情况二：若且则运动轨迹不相似；

其中δd表示真实查询用户自己定义的距离阈值；符号表示约等于；

(8.4)匿名服务器先根据制定轨迹相似性评估条件，评估k-1个候选用户与真实用户运动轨迹相似性，并将评估结果存入一个轨迹评估集合

其中表示第v组第f个候选用户与真实查询用户轨迹相似性评估结果，且其取值为{y,n}两个中的一种，“y”表示轨迹相似，“n”表示轨迹不相似；

(8.5)匿名服务器判断该组候选用户与真实查询用户运动轨迹的相似性，其实现如下：

首先，匿名服务器定义为轨迹评估集合中取值为“n”的个数且其初始值置为0，再遍历轨迹评估集合对于每一个轨迹评估值，若其取值为“n”，则加一；否则，保持不变；

然后，匿名服务器根据统计的制定整组候选用户与真实查询用户运动轨迹相似性评估条件：

若则匿名服务器判定该组候选用户整体与真实用户轨迹不相似；

否则，匿名服务器判定该组候选用户整体与真实用户轨迹相似；

最后，匿名服务器记录各组候选用户与真实查询用户轨迹相似信息，并将其存入轨迹信息集合tis：

其中，表示第f组候选用户与真实查询用户轨迹相似信息。

步骤9，匿名服务器选择信誉值之和最大、运动轨迹不相似且形成的匿名区域面积小的组作为最终匿名用户组，并将该组中各候选用户信息与真实查询用户信息一起，形成最终查询集合fq发送给位置服务器。

(9.1)匿名服务器根据收集整理的组候选用户与真实查询者间的欧氏距离信息eds，计算这组中每组候选用户与真实查询者间的欧氏距离之和，并将其存入欧式距离之和集合sds：

其中表示第f组候选用户与真实查询者间的欧氏距离之和；

(9.2)匿名服务器根据收集整理的组候选用户信誉之和集合信息scs、轨迹信息集合tis和欧式距离之和集合sds，比较这组候选用户的整体信誉之和、欧氏距离之和以及轨迹信息，将整体信誉值最大、形成的匿名区域面积最小且轨迹不相似的候选用户组做为最终候选用户组fcus：

其中表示第h组第f个候选用户，且1≤f≤k-1，且h≠f；表示第h组第f个候选用户位置信息；表示第h组中第f个候选用户的查询内容信息；

(9.3)匿名服务器将最终候选用户组fcus信息与自身真实查询信息一起整理形成最终查询集合fq：

其中，idf表示第f个用户的最终身份信息，idk表示真实查询用户的最终身份信息，(xf,yf)表示第f个用户的位置信息，qcf表示第f个用户的查询信息，表示第h组第f个候选用户，且1≤f≤k-1，且h≠f，表示第h组第f个候选用户位置信息，表示第h组中第f个候选用户的查询内容信息，ur表示真实查询用户，表示真实查询用户的位置信息，表示真实查询用户的查询内容信息。

步骤10，匿名服务器、位置服务器和真实查询用户间进行的信息交互。

(10.1)匿名服务器将最终查询集合fq发送给位置服务器；

(10.2)位置服务器收到最终查询集合fq后，查找自己的数据库，形成候选结果集crs，并返回给匿名服务器；

(10.3)匿名服务器收到此候选结果集crs后，根据真实查询用户的真实信息，筛选出其所需的查询结果，并将该查询结果返回给真实查询用户，真实查询用户记录在其缓存器中。

以上描述仅是本发明的一个具体实例，并未构成对本发明的任何限制，显然对于本领域的专业人员来说，在了解了本发明内容和原理后，都可能在不背离本发明原理、结构的情况下，进行形式和细节上的各种修改和改变，但是这些基于发明思想的修正和改变仍在本发明的权利要求保护范围之内。