文摘

和互联网服务的快速发展,移动通信、和物联网应用,基于位置的服务(LBS)已成为近年来在我们的日常生活中不可或缺的一部分。然而,当用户受益于伦敦商学院,收集和分析用户的位置数据和轨迹信息可能会危及他们的隐私。为了解决这个问题,一种新的基于历史邻近位置提出了保护隐私的方法。这种方法的主要思想是用一个现有历史相邻位置在他/她的用户当前位置,然后提交选址到磅服务器。这种方法可以确保用户可以获得基于位置的服务没有提交真实位置信息不可信的磅服务器,它可以提高保护隐私水平,同时减少服务器上的计算和通信开销。此外,我们的方案不仅可以提供隐私保护查询快照也保护轨迹隐私在连续磅。相对于其他位置保护隐私的方法等 - - - - - -匿名和虚拟的位置,我们的方案提高了质量的地理信息和查询效率,同时保持一个令人满意的隐私级别。

1。介绍

随着网络服务的发展,移动通信,和物联网应用,基于位置的服务(LBS)已经成为一个流行的电子应用程序。用户携带移动设备与基于位置的应用程序加载,如谷歌地图,微信,和携程能够查询请求发送到位置服务提供商(物流服务商),获得相应的服务数据。这样的应用程序,手机用户可以很容易地获取各种信息的利益(POIs)在附近;例如,用户可以获得公共汽车时刻表,最近的餐厅提供他们最喜爱的菜肴,从附近的边缘服务器的娱乐设施。

然而,由于LSP可能是靠不住的,从用户提交的查询通常包括一些个人信息,如用户的位置和查询利益,太阳能发电可以很容易地推断出是谁做的,这可能会危及他们的隐私。例如,物理目的地如医疗诊所可能表明一个人的健康问题。同样,经常呆在某些地方可能直接链接到一个人的生活方式和政治关联。虽然用户可能被告知的关于位置数据的收集和分配政策,这些政策的执行通常超出了用户的控制和完全依赖服务提供商。因此,没有真正保护用户的隐私,都需要进一步的技术的关注。此外,物流服务商通常需要处理大量的位置服务请求消息,和重载的计算可能会导致物流服务商成为繁忙导致拒绝服务。

为了解决隐私问题,许多技术方案(1,2)提出了近年来文献中。他们中的大多数是基于位置扰动和困惑,采用传统隐私等技术 - - - - - -匿名(3,4]。然而,这些解决方案使用 - - - - - -匿名有一些固有的缺陷。首先,所有手机用户,不管他们是否请求磅,需要经常报告他们的最新位置匿名服务器。此外,用户没有磅可能不愿意花费他们的资源来帮助其他人保持匿名。第二,过度的大量移动用户的位置更新也呈现压倒性的沟通和在服务器端处理瓶颈。第三,除了上面提到的问题以外,另一个问题是,隐身的面积区域现有方法生成的高度依赖网络密度。当用户在一个无人居住的地区,其隐身领域可能非常大,因为它需要包含用户本身,至少 其他用户。因此,这些传统 - - - - - -匿名方案不能直接应用到位置隐私的保护因其固有的缺陷。

轨迹隐私保护(4)是另一个挑战在伦敦商学院的脆弱性时空信息包含在这个连续查询收到的LSP,这可能会暴露用户的位置和其他私人信息。几乎是不可能支持匿名连续磅使用现有的技术,如通用汽车安吉星服务(5]。从他们的客户连续磅需要频繁位置更新。简单地确保每个位置报道属于包含至少一个隐身的区域 用户无法真正实现客户的目标 - - - - - -匿名保护,甚至显著增加计算和通信负载的服务器。因此,如何设计一个安全、高效的位置隐私保护方案是值得探索特别是在连续磅的场景。

解决上述问题,我们提出一种新的基于历史保护隐私方法接近的位置。这种方法可以确保用户可以获得基于位置的服务没有提交真实位置信息不可信的磅服务器,从而提高位置隐私水平和减少计算和通信负载在服务器端。针对上述问题,总结了这项工作的主要贡献如下:(1)为了避免在服务器端生成pseudolocations的计算开销,本文创造性地提出了一个方案,替代现有历史相邻位置的用户的当前位置,然后提交选址到磅服务器(2)历史邻近位置查询模型采用保证快照查询的位置隐私和连续查询。此外,攻击者我们的解决方案更难以区分用户的真实位置和历史位置,同时不能产生不合理的位置(3)最后,与现有方案相比,性能分析结果表明,我们的建议可以显著提高查询效率同时确保隐私保护

本文的其余部分组织如下。综述了相关工作2。系统模型,提出了保护隐私的方法介绍了部分3。部分4介绍了实验结果,分析性能评估和隐私。最后,我们得出结论本文未来和现在的工作部分5

在过去的几十年中,许多有前途的方法保存位置隐私磅。我们大致把他们分为两类:集中式架构和noncentralized架构。

在集中/边缘匿名服务器架构中,一个集中的实体(6- - - - - -9)引入系统保护的位置隐私。在此体系结构中, - - - - - -匿名性是最受欢迎的方式在磅用于保护用户的隐私。Gruteser和格5]在磅最初使用这个概念。作为一个传统的延伸 - - - - - -匿名模型(10- - - - - -13),他们提议减少用户的位置信息的准确性以及空间和/或时间维度的一定程度的匿名保护。然而,所有这些集中计划分享一些缺点:(1)匿名服务器都了解用户的位置以及查询,因此它成为一个有吸引力的目标对手;所以用户的真实信息会危及一旦攻击。(2)所有用户必须不断发送查询和更新他们的位置匿名服务器,导致网管成为性能瓶颈和潜在中枢点故障对整个系统。

在noncentralized架构,用户斗篷的位置没有信任一个可信第三方(TTP)。一些方法,比如obfuscation-based方法(2,14[],cryptographic-based方法15,16),和基于协作方法(17- - - - - -19),提出了保护用户的隐私。困惑是通过添加噪声,但没有透露确切位置的磅服务器。例如,Ardagna et al。2)提出了一个解决方案,旨在保护用户的位置隐私扰动位置信息。obfuscation-based方法的主要缺点是服务质量(QoS)退化,因为底层查询答案的准确性。加密方法也被用来保护隐私数据磅;然而,他们不适合移动设备,因为他们需要一个强大的计算能力和在客户端带来大开销。在开始的方法中,每个用户与同行和收集位置数据生成隐身。主要的思想是,在发送请求之前LSP,移动用户形成一个组通过单跳通信与同行或多次反射路由和生成一个隐身等领域 用户。负责人等。19)设计了一个分布式位置保护隐私合作组的算法,称为MobiCrowd,它允许用户从邻近同行回答磅查询,查询用户可以保护他们的位置隐私的LSP。这些方法主要集中在快照查询和位置隐私保护的问题在连续计算没有考虑磅TTP-free方法。随着边缘计算的兴起,王et al。20.)提出了一个edge-based数据收集、模型的原始数据从无线传感器网络(网络)是不同算法对边缘服务器处理隐私计算。为了避免潜在的信息泄漏和使用,用户的确切位置不应暴露在边缘节点。田et al。21)提出了一个计算随机位置隐私保护方案优势,围绕用户的地理分布是通过分析提出长期密度地图和短期密度地图。这个方案是可行的现实场景边缘计算服务器是诚实但好奇。

此外,在一些保护隐私的技术,一个是尝试使用TTP模型连续磅(22- - - - - -24]。Zhang et al。22提出了一个算法 - - - - - -磅匿名轨迹,主要思想是不断扩大初始隐匿区包括至少是一样的 用户。这意味着请求一个磅是在进步,没有分组参与最初的匿名用户的请求者被允许离开集团,因为这种行为会危及请求者的隐私。徐和蔡24利用历史位置构建 - - - - - -匿名的轨迹,然后提出算法空间隐身。然而,当用户移动下路径,伦敦商学院仍然可以轻松地识别用户的实际位置如果没有其他用户存在于这条道路。

解决上面的局限性,我们提出一种新的基于历史保护隐私方法接近位置保护位置隐私快照查询和连续查询。

3所示。系统概述

3.1。预赛

定义1。请求的信息 用户提交的太阳能发电可以表示为一个五元组: 在哪里 代表了用户的身份信息; 是用户的位置,它可以直接从全球定位系统(GPS)获得或使用其他定位装置; 表示的时间用户发送请求; 代表了用户想要查询内容提交;和 表示用户的查询半径和自然,相应的查询区域

定义2。 表示之间的最小距离允许用户的当前位置和历史邻近位置选择报LSP。这有限的距离阻止选择历史邻近位置过于接近用户的当前以更好地保护隐私的位置。同样,为了保证查询的质量, 代表用户的当前位置之间的最大距离和所选择的历史距离位置。

定义3。 代表POIs的设置,用户可以获得理想条件下; LSP搜索返回的是POIs的设置根据用户提交的位置、查询内容、半径和查询。

定义4。 ,代表查询质量的比值POIs的数量,用户可以获得理想条件下POIs的用户收到的LSP。

3.2。位置隐私保护模型

类似于现有的工作(25,26),我们的系统允许移动用户通过一个匿名服务器,实现lbs视为TTP。然而,集中式架构和现有的区别是,它可以有效地减少计算和通信负载的基础上采用了隐私保护方法。

数据库存储大量的历史距离位置TTP提供隐私服务是必不可少的在我们的模型中,和数据库的具体特点如下:(1)最初,数据库可能是空的,用户可以获得位置服务 - - - - - -匿名保护,移动用户TTP定期报告他们的位置,和 位置在匿名过程中利用将随后添加到数据库作为历史接近的位置。与现有技术不同的是,这种周期性位置更新不再需要在最初的阶段,这可能只持续很短的时间内。更多的位置数据可以获得越来越多的手机用户参与磅的请求(2)在初始阶段后,有足够的历史地点记录在数据库中。如图1,假设一个用户请求的位置服务的位置 ,如果有一定数量的历史距离位置数据库中现有的满足 ,在哪里 代表历史位置之间的距离和用户的当前位置。在这种情况下,TTP将选择最近的历史位置替换当前的位置 并将其发送到LSP。 将随后添加到数据库作为历史位置后,查询过程。然而,如果没有历史数据库中满足邻近位置 , - - - - - -匿名技术将被激活为用户提供隐私保护服务


图1
位置采样阶段。

很明显,将会有一个持续增加的数量历史邻近位置记录在数据库中,在这种情况下, - - - - - -匿名的保护不再是经常需要的。

此外,对于高效检索位置数据,我们使用一个简单的索引数据库基于网格的方法。整个域递归划分为细胞利用的风格。除非一个细胞已经在其最小尺寸(我们的实现设置每个单元至少 ),这是分裂的位置里面超过预定的阈值。因此,给定一个细胞对应用户的当前位置,我们可以有效地获取位置数据和获取历史相近的位置。

3.3。在快照查询隐私保护
3.3.1。查询区域

如图2,用户位于位置 ,查询半径是 ,最近的历史距离点的位置 , 之间的距离是 ( )。(1)如图2(一个),当 很满意,和点生成一个圆吗 为中心, 随着半径。画两个切线( )的圆 通过点 切线点。其中, (用弧度表示)如图2 (b)。覆盖所有可能的目标位置,风扇 足够有效的查询区域,而实际的查询区域是整个地区的圆吗 和粉丝的面积 可以计算为 (2)如图2 (c),当 是满意的,如果用户想要查询所有目标位置,我们把整个圆集中在是哪个 既有效查询区域和实际查询的地区,在那里 是半径,查询区域的面积吗

(一)
(一)
(b)当实际的查询区域
(b)当实际的查询区域
(c)当实际的查询区域
(c)当实际的查询区域
图2
实际的查询。
3.3.2。查询过程和过滤的查询结果

太阳能发电不能直接搜索不规则区域,如上面提到的部门区域过程中磅。然而,它是可行的,首先过滤查询结果TTP一侧,然后筛选结果在客户端,它可以有效地降低移动设备由用户的开销。如图3,当 ( )满意,用户在位置吗 ,例如,正在寻找加油站附近的半径与查询 特定的查询和过滤过程如下。一旦收到来自用户的请求位于 ,TTP将搜索数据库,提供的信息的位置 ,这是精心挑选的历史近似位置 ,太阳能发电。然后是太阳能发电将搜索整个圆 半径,即。,的actual query region, for target positions meeting the request. After that, the messages related to the gas stations , , , 将返回的TTP LSP做为结果。然后,TTP将过滤掉 这是用户的查询区域。最后,用户的移动设备将计算的距离( , , )从位置 剩下的加油站候选人 , , ,分别在地图的帮助下安装。比较每个 与查询半径 ;如果它是小于 ,相应的信息将被保留,否则它将被删除 结果将会被过滤掉。最终,加油站的位置信息 将发送给用户。


图3
过滤的查询结果。

很满意,这个过程是相似的,不重复。

值得注意的是,由于间接查询方法在我们的方案中,距离的误差 之间的 也会导致实际的查询半径的误差 ,这可能导致实际的查询区域太大或太小,可能伴随着一个拒绝服务的质量。

3.4。隐私保护在连续查询

现有技术主要集中在快照查询。然而,隐私保护在连续快照查询磅比这更具挑战性,因为对手可以使用用户轨迹的空间和时间相关性推断出用户的私人信息。处理问题,保护隐私的方法连续磅基于历史相邻位置在这一节中描述。

3.4.1。平均查询错误

如前所述,在快照查询、距离的误差d用户的当前位置和报道之间的位置,选择从数据库中的历史邻近位置TTP,可能导致质量下降的查询。同样,它是相同的连续磅在隐私保护的场景中查询。我们给一个正式的定义平均误差学位连续follows.where磅 之间的距离是 ,

定义5。给定一个轨迹 ,这是由用户在一段时间内,在哪里 代表了用户位置点 ;作为回应,TTP将计算一个新的轨迹 基于 使用历史邻近位置, 代表了历史的邻近位置 的时间点 可以被定义为平均查询错误

显然,小 是,错误程度越小。对于质量的查询, 在查询过程中需要尽可能小。因此,在这个过程中用户的移动轨迹,最好选择最近的历史距离位置 用相应的 当发送给LSP。

3.4.2。保护隐私轨迹算法

如果有足够的历史邻近地区用户的轨迹 ,很容易找到对应的 为每一个 , 不会与任何 ,在哪里

然而,如果周围的历史距离位置轨迹 少,有一定的可能性呢 互相配合。如图4,导演表示轨迹由用户在一段时间内,和固体节点附近表示现有的历史距离的位置。自 是最近的历史距离的位置 ,当用户在第0个时间点,第一个时间点, 就会选择和发送到LSP查询结果代表什么 以及 ,导致相同的历史选择邻近位置在不同的时间点,即, 在这种情况下,一旦LSP接收相同的位置 在不同的时间点,它会很容易推断出用户在附近徘徊 在这段时间里,实际上泄露用户的隐私。


图4
被选中的历史位置吗

为了解决这个问题,我们进一步约束和定义6

定义6。给定一个轨迹 ,这是由用户在一段时间内,在哪里 代表用户在时间点的位置 ;有一个新的轨迹 毗邻的历史轨迹(HPT) ,在哪里 , , 代表相应的历史距离位置选择位置

因此,针对持续磅的隐私保护的问题,我们的解决方案的关键是如何找到相应的历史距离轨迹(HPT) 为用户的轨迹 而保证的最小值 在满足的前提下定义5和定义6。下面是描述这个问题的具体解决方案。

给定一个轨迹 的用户,让 是一组有序的历史沿轨迹方向的邻近位置 ,令人满意的 ( 是距离 到任何位置 ) ,在哪里 表示数量的历史距离位置轨迹 , 代表用户留在轨道位置的数量 然后,最低金额历史邻近轨迹之间的误差程度 和用户的轨迹 被定义为 如果 被选中的历史距离位置吗 和发送到TTP,那么解决方案得到的最小值 当然是包含在解决方案得到的 如果 不是选择替代 ,然后得到最小值的最优解 被绑定到包含解决方案得到的 因此,递归关系可以表示如下: 在哪里 代表之间的距离

上述过程中给出了算法的伪代码1

输入: ,
输出:数组,用于记录的位置选择 ,据报道,LSP做为历史接近用户的轨迹的位置
如果
其他的
返回B
算法1:selectHistoryLocation ( , )。
算法1:selectHistoryLocation (,)。
输入:
输出:
返回
算法2:getHistoryTrack ( )。
算法2:getHistoryTrack ()。

在算法1,B数组的下标选定的位置 ,和算法的复杂性 算法2用于获取历史邻近轨迹 保证的最小值

除此之外,还有一种特殊情况需要讨论。很可能历史邻近位置的数量记录在数据库中是不够的我们提出的算法。作为显示在图5,当 远小于 ,不管它如何被选中时,就会发生一个历史邻近位置选择两个或两个以上的次用户的轨迹。考虑这个问题的特点,我们建议采用对称机制生成虚拟的位置在我们的方案中,和具体过程描述如下。


图5
稀疏的历史距离的位置。

作为显示在图6,当没有其他可用的历史位置除了一个现有历史相近的位置 (例如 )的位置 (例如 ),它连接 和扩展点的连接线 (例如 ),使 ,在哪里 作为历史生成的虚拟位置相邻的位置吗 通过对称。然而,有可能生成的虚拟位置对称是不合理的(例如,虚拟的位置是在一个湖),所以一些调整是必要的。如图7,假设生成的虚拟位置 是不合理的,TTP旋转吗 和调整的距离 使其满足理性需求,最后一个合理的虚拟位置 将获得的历史距离位置吗


图6
生成虚拟位置的对称性。

图7
生成虚拟位置的对称和旋转。

此外,仍然存在一个小的可能性 ,在这种情况下的数量小于历史邻近位置 (位置轨迹的数量 ),即使历史位置扩展的数量 借助对称机制。为了解决这个问题,我们可以激活 - - - - - -保护位置隐私和匿名技术将用户的位置添加到数据库中。

4所示。实验和分析

在本节中,实验评价方法的可行性和有效性将呈现在不同参数设置。首先,我们分析几个参数的影响平均查询错误 其次,我们比较我们与其他位置保护隐私的方法技术的查询效率,查询质量和匿名的程度。实验区域是在10平方公里的Sanpailou南京邮电大学的校园。用于捕获实验的数据协调小工具由谷歌提供的。我们的实验是用Java开发工具包实现——(JDK) 1.7和Eclipse集成开发环境(IDE),运行在本地机器上英特尔core i5 2.8 GHz, 8 GB的内存,和微软Windows 7操作系统。

4.1。影响因素的平均查询错误

实验范围内的地区,10个坐标点生成的随机构造一个轨迹 的用户,即。,让 然后20 ~ 40从数据库位置选为历史相邻位置的用户轨迹的生成。

设置用户,和一个更小的吗 有更多的概率以确保服务的质量在一个人口稠密区;相反,在一个人烟稀少的地区,一个更大的 意味着更好的隐私级别。如图8,可以看出 增加而增加的 :在选择历史相邻位置,有必要考虑是否距离 从用户的历史比相邻的位置 ,以排除一些位置太靠近用户。更有历史相近的地方,小 会,这将导致一个更小的平均误差学位 除此之外, 方法 无限的 趋向于无穷。


图8
的影响

也是由用户设置,通常不能太小。自 之间的最大距离是用户的当前位置和历史邻近位置报道LSP, 太小了会过滤掉大部分历史相邻位置,减少了隐私保护水平。如图9,当 需要50到100的价值,分别 增加 生长在初始阶段。这是因为当 都是小,筛选历史位置的数量 小于 ,和虚拟位置将生成历史相邻位置的对称机制。因此,有更多的概率选择最近的历史位置,导致一个更小的 然而,当 逐渐增长, 也将增加筛选条件的历史位置是放松,所以生成的历史位置对称机制的数量将减少,伴随着增加 直到不需要生成对称的历史位置, 将不再影响的历史位置选择。当 , 位置最接近的轨迹 选择从 历史点是没有筛选,所以 保持不变, 增加。


图9
的影响

我们已经讨论了历史相邻位置参数选择的影响 实验结果清楚地表明不同价值观的具体影响 因此,在实际应用场景中,参数的值 应该选择根据具体要求和允许的错误。

4.2。性能比较
4.2.1。准备性能比较下快照查询

在我们的实验中,坐标数据500个目标职位,如酒店、医院、加油站被抓获,5000坐标点是随机选择历史相邻位置以及其他用户的职位要求在使用 - - - - - -匿名,并存储在数据库中。

(1)查询效率。查询效率通常是综合评估包含TTP的时间总成本支出产生实际的查询区域和LSP支出回复请求的查询。如图10 (),鬼马小精灵计划(25)和anonymous-zone合并计划(17生成查询的地区使用 - - - - - -匿名,所以查询域生成时间是数据库搜索的时间的总和 用户在匿名和构建域包含 用户。然而,在大多数情况下,我们的解决方案的查询域生成时间几乎是时间寻找历史数据库中相邻位置,这无关 因此,生成查询时间的地区我们的方案是相对较少的,不会增加线性增加 如图10 (b),当半径相同的查询 被和 设置为75,查询区域在我们计划是独立的 和它的面积不超过 ;查询区域的面积产生的鬼马小精灵方案理论上不少于 ,这是更大的比我们的方案和anonymous-zone合并方案;除此之外,两个比较方案的查询区域的增加显著增加 足够的历史位置将确保一个更小的 在我们的方案中,从而保证一个更小的查询。图10 (c)说明查询与查询区域处理时间呈正相关。为了方便我们的方案之间的比较和其他两个 - - - - - -匿名的计划,一个更小的匿名度 被和 设置为75。如图10 (d),查询,查询处理时间逐渐增加,当半径的增长。然而,相比之下,鬼马小精灵方案和anonymous-zone合并计划,我们计划生成的查询区域相对较小,导致查询处理时间短。

(一)
(一)
(b)
(b)
(c)
(c)
(d)
(d)
图10
查询效率的比较。(一)时间比较生成查询的区域。(b)查询区域的比较。(c)查询处理时间的比较。(d)的影响 查询处理时间。

(2)查询质量。查询质量的评估是基于比率 POIs的数量,用户可以获得理论上的LSP当用户请求返回的位置与查询半径 ,也就是说, ,在前面的研究解释。在实验中,我们随机选择20分的位置,用户可以发送查询。我们各有不同的价值 ,实验重复20次,然后取平均值 作为分析对象。此外,我们也把我们的方案与增强的假名选择方案(26除了前面提到的其他两个方案。如图11查询,我们的计划保持令人满意的质量和稳定性的提高查询的半径。相比之下,至于鬼马小精灵方案和anonymous-zone合并计划,查询面积增加明显 变得更大,这表明大量POIs交叉用户的查询区域,导致查询质量的下降。此外,自增强的假名选择方案不能灵活调整查询区域覆盖所有目标位置,很难保证高质量查询。


图11
查询质量的比较。

实验结果表明,我们的方案可以有效地提高查询效率,同时保证质量满意的查询快照查询。

4.2.2。性能比较下连续查询

在实验中,我们选择 ,定义为平均查询用户的轨迹误差连续磅,作为我们的绩效评估指标。显然,小 是,更好的质量服务将在连续磅。我们比较方案与现有其他两个方案,本机方案(22)和贪婪的计划(24),这都是扩展的 - - - - - -匿名方法。实验区域内用户的轨迹的长度设置为1 - 5公里,和500 - 2500年被俘200米半径内的坐标点的轨迹作为历史邻近位置和添加到数据库中。

我们设置 ,和实验结果如图12。在本机方案中,隐身区域将变得越来越大,因为传统的轨迹 - - - - - -匿名方法扩展初始隐身地区覆盖至少是一样的 用户可能在不同的方向移动,导致急剧增加 此外,用户的查询序列是一致的运动方向,为对手可能会提供一些有价值的信息来推断用户的轨迹。在贪婪的方案中,贪婪算法是用来验证每个节点的候选人 轨迹尽可能接近用户的轨迹;然而,由于一个完整的历史轨迹将是最后的选择 候选人,它不能保证每个位置选择的历史轨迹是最近的点为每个节点上的用户的真实轨迹。


图12
轨迹的长度的影响

以下是分析的影响 (历史相近数量的位置) 的三个方案,用户的轨迹的长度设置为3公里。如图13本机方案, 没有影响 因为生成的隐形面积只与其他用户的当前位置。然而, 的增加下降 贪婪的计划和我们的计划,因为历史轨迹和历史邻近位置中被利用的两种方案,分别。


图13
的影响
4.3。隐私分析

在本节中,我们将评估的隐私程度通过比较它与我们的解决方案 - - - - - -匿名和虚拟位置的技术。

的过程中 - - - - - -匿名保护,LSP接收到的位置 用户参与服务请求者,所以识别用户的实际位置的概率是 如图14更大的价值 ,隐私程度会越高;然而,它也会导致查询效率和质量下降。如图15,用户 ,位于位置1 Sanpailou南京邮电大学校园,想请求位置服务9其他用户一起在附近也请求服务。假设用户 获取位置服务通过 - - - - - -匿名的隐形区域包含用户位置4,5,6,对手识别用户的概率 将1/4。然而,如果用户 采用本文中描述的方案,点4将被视为一个历史相邻位置查询。通过该方案的描述,实际的查询区域涵盖了包括用户共6分 和点1,3,4,5,6,7,用大红色圆圈图15。因此,识别用户的概率 只有1/6。


图14
匿名程度有关

图15
分析快照查询隐私。

我们的建议将会变得更明显的优势在连续查询在人口密集的地区。新街口,南京城市的商业中心,作为一个例子。如图16、用户 发送一个服务请求 ,匿名的 在最初的时间 ;而更新 分别在 在每一个时刻,识别用户的概率 是1/3。然而,如果攻击者获得用户的匿名集三个时刻,然后执行一个十字路口操作,那么的真实身份 可以获得。在我们的方案中,点2是选为历史相邻位置的时间 在时间 ,考虑到2仍然接近 和阻止攻击者猜测 位于近点2,我们选择了7点的历史相邻位置根据历史距离选择方法中所描述的方案( )。由于人口密度,有更多的历史相邻地区用户,所以用户的真实身份被暴露的可能性更低。

在时间点(a)
(一)在时间点
在时间点(b)
(b)在时间点
在时间点(c)
(c)在时间点
图16
隐私分析在连续查询。

此外,它是更合理的利用历史邻近的位置,而不是传统的随机生成的位置虚拟定位技术。如图17在位置1磅,当用户请求的虚拟位置技术,有可能生成的pseudonym-location湖。在这种情况下,对手可以很容易地识别背景知识和过滤掉其他不合理的地方,这无疑降低了隐私的程度。幸运的是,使用历史邻近位置提出了可以解决这个问题。


图17
不合理的位置生成的虚拟位置。

相比之下,大多数现有的方法等 - - - - - -匿名和虚拟的位置,报告用户的真实位置服务提供商,我们的方法提交历史邻近位置替换用户的当前位置,使隐私级别。

5。结论

本文提出了一个解决方案的位置隐私保护查询快照和连续查询。与历史邻近地区用户提交查询的太阳能发电,而不是真正的位置,用户的位置信息是完全匿名的LSP请求磅的整个过程,因此高隐私级别。相比之下, - - - - - -匿名性和增强的假名选择方案,我们的方案是简单的和可行的,可以获得更好的查询效率和更高的查询质量。我们的建议还提供了一种新的解决方案来处理问题,维护隐私水平之间的平衡,查询效率和服务质量。然而,在连续查询,我们没有成功地实现足够的匿名保护水平为用户的运动轨迹。对攻击者仍然可以推断出用户的运动的大致方向通过分析用户的查询范围的变化记录在LSP。这是一个困难在当前轨迹隐私保护技术,也是未来研究工作的重点。

数据可用性

没有数据被用来支持本研究。

信息披露

郭x和w·王co-first作者。

的利益冲突

作者宣称他们没有竞争的经济利益或个人关系可能出现影响工作报告。

作者的贡献

郭x和w·王同样这项工作。

确认

这项工作得到了国家自然科学基金(批准号61672297),江苏的关键研究和发展计划(批准号BE2017742),江苏省研究生创新研究与实践项目(批准号KYCX19_0908),和关键项目安徽省高校自然科学研究(批准号KJ2019A0579和KJ2019A0554)。