009引(1) 勺' .
[0094] 似Vd=SiUC"…其中:
[0095] Cf+iCC7+1表示满足时间合理性判断的假位置集合C'W中的假位置经过方向相 似性判断后剩余的假位置集合,其满足:
[0097] 其中,源泌筋《(< (人片1 >,< >)表示假轨迹<c\ci">和真实轨迹 洁J>间的方向夹角;OD是方向相似性判断I罰值。
[009引 做Ed= { < Ic^ESi八ci"GC"iJ,表示满足用户指定的方向相似 性判断阔值OD的假轨迹集合。
[0099] 3. 1. 3出入度与轨迹数量判断
[0100] 在轨迹隐私保护过程中,并不仅只考虑假轨迹的数量,还对Qw请求的每个连续假 位置候选组的入度和对应的Qi次请求的最终假位置集合S1的出度进行判断。只有当连续 假位置候选组满足用户指定的出入度判断阔值时,则满足连续可达性。
[0101] 因此,出入度与轨迹数量判断的关系可用有向图向=<Vw,瓦>表示,其中:
[0102] (I)Vw=SiUC" 'W,其中,C" 'W表示满足时间合理性判断和方向相似性判 断的假位置集合C"W中的假位置经过出入度与轨迹数量判断后的连续假位置集合候选 组,它满足:
[010引其中,坏1 夺表示m个假位置候选组,每个候选组含有 k-1个假位置;如冷(的",《1,…端姑扣和喊;。(掉堪,端巧分别表示集合 時',聲,…,堆1,端}的入度平均值和入度方差,Ave^t(Si)和Var^t(Si)分别表示上次请求 的最终假位置集合Si的出度平均值和出度方差;(0we,O 表示入度的平均值和方差判 断阔值,(O。。^,表示出度的平均值和方差判断阔值,通过集合的出入度平均值判断 阔值和方差判断阔值来衡量集合中每个假位置与真实位置的出入度相似性。
[0107] 似£^A'二{<c',c;。W>|^?!e5^z.AC;。Wek戸,夺l,..?,c;+ll,c点/}e得l}表不满足用户 指定的出入度平均值判断阔值和出入度方差判断阔值的假轨迹集合。
[010引综上所述,用户第Qw(i>1)次请求的连续可达性检查过程如算法1所示。
[0111] 3. 2单次请求的位置隐私增强
[0112] 通过上述算法,可得到满足连续可达性的连续假位置候选组。本发明对其中的每 一个连续假位置候选组再进行单次请求的位置隐私增强,选择隐私水平最高的一组作为最 终的假位置集,其流程框架图如图3所示。
[0113] 由于攻击者知道用户发送的所有请求位置,因此知道每个位置的被查询频率。并 且,因为攻击者可W收集特定用户的所有请求位置,获知某个位置被特定用户查询的频率, 所W,他还可发起针对特定用户的位置推测攻击。为此,需要所构造的假位置集合中的每个 位置的个人查询频率尽可能相同,此时计算的信息赌最大。如果存在多个信息赌最大的候 选组时,选择分散度最大的一组作为该次请求的最终假位置集合。具体的单次请求的位置 隐私增强过程如算法2所示。
[0114]
[0116] 下面结合实验仿真对本发明的应用效果作进一步的说明。
[0117] 1、实验仿真
[0118] 为了说明现有基于假位置的隐私保护方案不适用于用户连续请求情形,选取2014 年INFOCOM会议上的方案作为实例,说明其方案在用户连续请求下存在的轨迹泄漏的风 险。并通过与该方案进行比较,说明本发明提出的适用于用户连续请求下的假位置隐私保 护方法不仅能满足用户单次LBS请求情形下的位置隐私需求,还确保了连续LBS请求时的 轨迹隐私安全。
[0119] 1.1实验数据及平台
[0120] 本发明的算法是用C++编程语言实现,实验环境为3. 3GHz的Intel双核CPU, 4GB 内存,操作系统为Windows7。
[0121] 实验数据是由Thomas化in化off提出并实现的基于网络的移动对象生成 器(Network-basedGeneratorofMovingObjects)产生。该生成器W德国城市 01denberg(面积为16kmX16km)的交通路线图作为输入,通过设置移动对象个数、移动速 度和运行时间段,生成器可W模拟移动对象在地图上一系列运动轨迹,输出W(对象,时 间,位置坐标)为标记的运动信息,本文使用运些信息作为用户的历史足迹记录。移动速度 采用生成器的默认设置,本文选取地图的SkmXSkm部分作为记录足迹的区域,将区域W网 格为单位划分,每个网格的面积为IOOmX100m,用户发起LBS请求的位置信息W网格序号 为标记,运样可W保护用户的准确位置不被攻击者获取。实验中模拟1000个用户在500个 时间单位内的移动,为了获得较大的数据集,进行了多次随机模拟。通过记录用户在区域内 产生的时间戳和位置坐标,计算各个网格的初始被查询频率。对于用户发起的连续LBS请 求,请求的位置信息从用户的1000个足迹中进行抽样选取。设置用户的位置隐私需求k的 变化范围为3~20,且对于不同的k值,分别进行请求个数为10的连续LBS请求。在对比 的实验中,设置的时间合理性判断阔值Ot= 1/2,方向相似性判断阔值OD= 75°,设置初 始出入度平均值判断阔值OOOiJTj二1,出入度方差判断阔值O二O(UTj^二0.8, 然而在实验中当得到的假位置候选组的出入度不满足上述阔值时,逐步扩大阔值范围,使 得出入度的平均值判断阔值与真实位置的入度尽可能相同,出入度的方差判断阔值尽可能 小。在本实验中两个位置间的现实到达时间是通过调用Google地图接口获得的。由于将移 动对象生成器产生的Oldenberg城市的位置点转换为现实中的经缔度时存在一定的误差, 所W求出两点间实际到达时间也存在一定的误差,但并不影响本发明的实验结论。
[0122] 1. 2连续LBS请求对现有的位置隐私保护方法的影响
[0123] 当直接将针对单次LBS请求的位置隐私保护算法enhanced-DLS用于连续LBS请 求下的假位置构造时,由图4可知,在不同的k值下,对于10个连续LBS请求只有3个或4 个请求产生的假位置集合满足连续可达性条件,而其他请求因为其假位置集不能满足连续 请求的轨迹隐私保护需求而导致请求失败,从而导致整个连续LBS请求得不到响应。运是 因为在连续LBS下,相邻请求构造的假位置序列需要满足连续可达性衡量标准,否则攻击 者容易识别出假轨迹,进而识别出真实轨迹,最后导致真实位置泄漏,不能满足用户的位置 隐私需求。
[0124] 1. 3隐私需求变化对单次LBS请求的位置隐私水平的影响
[01巧]通过与enhanced-DLS算法从平均匿名区面积大小和信息赌两方面对用户单次LBS请求的位置隐私水平进行对比,实验结果表明,本发明所提出的连续LBS请求下的基于 现有假位置生成算法的位置隐私保护方案并不会降低用户原有的位置隐私水平。
[0126] 通过实验发现,随着用户位置隐私保护需求k的增大,enhanced-DLS算法和本发 明分别构造的假位置集合的信息赌都在增大。尤其是当用户位置隐私保护需求k= 3到k =7时,赌值完全相等,如表1所示。由于篇幅有限,不逐一比对。
[0127] 表1.平均信息赌值的比对
[0129] 运表明将enhanced-DLS算法作为本发明的初始阶段的输入实例进行连续可达性 检查和位置隐私增强处理后,并没有大幅度降低其单次LBS请求下的位置隐私水平。因此, 在连续LBS请求下,本发明所提方法也能够满足用户对单次LBS请求的位置隐私需求。
[0130] 下面,将对运两种方法在单次LBS请求下构造出的假位置集合的匿名区面积和分 散度进行比较。如图5所示。
[0131] 图5(a)表明,随着用户位置隐私保护需求k的提高,所构成的假位置集合所在的 匿名区域面积总体呈增大趋势,但是存在一定的波动。造成波动的原因是由于假位置的构 造不仅考虑假位置的分布距离还考虑了假位置的查询频率等特点,从而导致匿名区域面积 不一定随着假位置数量的增加而增大。然而通过对比发现,本发明所提方法形成的匿名区 域面积始终大于enhanced-DLS算法所形成的匿名区域。图5(b)表明,随着用户位置隐私保 护需求k的提高,假位置集合的距离积呈增大趋势。距离积反映了假位置之间的相对距离, 距离积越大,假位置的相互之间分布的越远,分散度越大,攻击者越难推测出真实位置的大 概区域。对比发现,本发明所提方法形成的假位置集合的距离积也始终大于enhanced-DLS 算法。综上所述,本发明所提方法在用户单次LBS请求时,提供了更高的位置隐私保护水 平。
[0132] 1. 4隐私需求变化对连续LBS请求的轨迹隐私水平的影响
[0133] 在连续LBS请求下,用户的轨迹隐私水平主要体现在所形成的假轨迹数量上。如 图6所示,"trajectcxrynumberlimit"是指理想情况下,假位置的出入度与真实位置的出 入度相同,此时假位置集合中形成的满足连续可达性衡量标准的假轨迹条数。
[0134] 实验表明,随着用户位置隐私需求的提高,理想轨迹数目与本发明所提方法构造 出的假位置集合间的轨迹条数随之增多。双方存在渐近渐远的关系是因为