近年来,全球定位技术和无线通信技术的飞速发展以及移动智能终端设备的快速普及,使得基于位置服务(location-based service, LBS)的移动社交网络APP(如Foursquare,Twitter,Loopt)得到广泛关注和使用,人们通过这些APP可以发现最近的电影院、超市和医院等,它们正在改变着信息时代人们的生活[1-2].在LBS应用中,用户需要将自己当前位置、查询内容等信息发送到LBS服务器查询,以获得预期的查询结果.然而人们在享受LBS带来全新体验和生活便利的同时,也面临着个人敏感信息可能被泄露的风险[3-4].攻击者根据用户连续发送的LBS查询,可以追踪到用户的日常行为轨迹,并可能分析出特定用户的敏感信息,如生活习惯、工作地址以及社会关系等,这将给用户个人隐私带来极大的安全隐患[5].因此,如何对位置服务中的用户轨迹进行隐私保护,已成为当前迫切需要解决的问题.
为减少基于位置服务中的轨迹隐私泄露,学者们已提出一些轨迹隐私保护方法,它们主要采用基于点对点(peer to peer, P2P)的结构和基于可信第三方(fully-trusted third party, TTP)的中心服务器结构[6].P2P结构中用户之间相互可信,且它们相互协作形成匿名域后再向位置服务提供商(location service provider, LSP)发送查询请求.文献[7]首次提出了一种用户协作的点对点匿名算法,移动用户通过单跳或者多跳路由寻找其他K-1个近邻用户,形成一个包括K个用户的匿名域[8-9],再发送到LSP查询,但在寻找近邻用户时会产生较大开销.为减少开销,文献[10]提出了一种基于缓存的用户合作隐私保护方法,移动用户先在合作用户缓存中查找查询内容,当找不到时才通过协作的方式向LSP发出查询.总体而言,在点对点结构中移动用户发送查询前需要进行一定的匿名或变换处理,这将会对移动终端产生较大的计算开销,同时它不能避免恶意用户的攻击.
在TTP结构中,通过在用户和LSP之间引入一个中间体即匿名器,负责对用户位置进行匿名和用户查询结果求精[11].文献[12]最先提出了通过第三方可信服务器实现匿名功能的TTP结构,以达到对用户位置隐私的目的.文献[13]提出了一种移动轨迹查询点的时间混淆技术,该方法基于TTP结构,并根据用户的隐私属性和周围条件形成匿名域,同时在查询点时间上进行混淆,攻击者不能重新构造用户的移动轨迹.文献[14]在TTP结构中基于虚假位置提出一种路网环境下的连续查询方法,使用路网交叉点代替真实用户查询位置,以获取用户查询结果.文献[15]在连续LBS查询过程中,提出了一种防止位置注入攻击的K匿名隐私保护方案,它结合用户的移动模式建立基于可信的K匿名机制来防止用户使用假位置,使攻击者能识别真实用户的概率为1/K.总体而言,这些基于TTP结构的方法存在2个问题:1)匿名器知道所有用户的精确位置和查询内容,如果匿名器被攻破,这将会带来严重的安全威胁.2)用户的查询请求和结果返回都必须经过匿名器,它承担着匿名、求精等繁重的计算任务,容易成为该结构中的性能瓶颈,同时也存在着中心点失效风险.
针对LBS中TTP结构存在的缺陷,本文提出一种基于多匿名器的轨迹隐私保护方法 (trajectory privacy-preserving method based on multi-anonymizer, TPMA),通过在用户和LSP之间部署多个匿名器,在连续查询过程中,用户分别随机选择不同的匿名器进行匿名.攻击者从单个匿名器不能推断出用户的真实轨迹.并且用户每次查询前,通过动态假名机制选择不同的用户假名,即使多个匿名器进行共谋,也不能获得真实用户的轨迹. 同时该方法结合Shamir门限方案,将用户的查询内容分成n份额子信息,并且这些子信息被随机发送给n个匿名器进行处理后再转发给LSP,单匿名器也不能推断出用户查询内容,该TPMA方法中某个匿名器的失效并不影响系统的运行,单个匿名器也不会承担用户连续查询过程中的所有匿名处理,有效解决TTP结构中匿名器单点失效风险和性能瓶颈问题.
1 系统模型和相关定义
1.1 系统模型
TPMA轨迹隐私保护模型如图1所示,它主要由4类实体组成:用户、认证中心(certificate authority, CA)、多匿名器和LSP.
Fig. 1 The TPMA model
图1 TPMA模型
1) 用户.指携带有移动智能终端的用户,且该智能终端具有定位、通信、计算和存储功能,它能将用户的查询请求发送给LSP查询.同时它具有一些基本的处理功能,如产生密钥,对信息进行转换、划分和聚合等.
2) 认证中心.它是一个可信实体,主要负责用户和LSP的注册.本方案中它也具有发布用户假名和证书的功能,用户在每次查询时能随机选择不同的假名,使攻击者在匿名器中不能识别真实的用户轨迹和查询内容.
3) 多匿名器.它是介于用户与LSP之间的实体,主要功能是形成K匿名区域,以保证用户在LBS服务器中的位置隐私.TPMA中多匿名器也具有转发用户信息功能.
4) LSP.它是一个服务提供者,拥有不同应用的LBS服务器,并能及时存储和更新应用服务数据,为用户提供各种数据服务.在该模型中,LBS服务器能恢复出用户需要查询的内容,然后在数据库搜索用户的POIs,并将查询结果集分成w份经多匿名器返回给用户.
TPMA工作过程如下:1)用户首先向CA进行注册或认证,并获得一些假名和证书,同时用Shamir门限将查询内容分成n份额子信息.2)用户取假名,并将这n份额子信息随机发送给n个不同匿名器,然后由其中一个匿名器负责对用户位置匿名后,再转发查询请求给LSP.3)LSP只要收到t份子信息,就能恢复用户的查询内容,并在LBS服务器数据库中查询匿名区域内的兴趣点(point of interests, POIs).4)LSP获得查询结果后,将其分成w个子候选结果集,然后从系统中随机选择w个匿名器,并将子候选结果集经这些匿名器转发给用户.5)用户收到w个子候选结果集后,经求精得到精确结果.
该方法的优点是攻击者从单个匿名器并不能获得用户的轨迹和查询内容,加强了对用户的隐私保护,同时也有效解决TTP结构中单匿名器的性能瓶颈问题和单点失效风险.
1.2 Shamir门限方案
设t,n是正整数,且t≤n.如果将一个秘密S分解为n份子秘密{S1,S2,…,Sn},然后将其分别给n个参与者{P1,P2,…,Pn}各分发1份子秘密Si(1≤i≤n).若要得到秘密S,则最少需要t个参与者{P1,P2,…,Pt}一起使用t份秘密Si聚合,而少于t个参与者则不能计算出秘密S,那么称该方案为(t,n)门限方案,其中t为门限值.
Shamir门限方案是基于Lagrange插值公式实现[16],通过构造t-1次多项式,共享秘密S为该多项式的常数项,每份秘密满足该多项式的一个坐标点(xi,F(xi)),生成的多项式为
F(x)=(S+m1x+m2x2+…+
mt-1xt-1) mod q.
(1)
Shamir门限方案满足3个条件:
1) 式(1)中m1,m2,…,mt-1是随机整数,且t是不大于n的整数.
2) 分发者选择一个有限域GF(p)且p为大素数.对于每个在有限域内选定的xi(i=1,2,…,n),能计算出一个唯一的F(xi),并将其解(xi,F(xi))作为一个秘密份额,由n个参与者{P1,P2,…,Pn}分别持有.
3) 只有等于或多于t个参与者将所持有的秘密份额聚合,才能恢复出秘密,少于t个参与者{P1,P2,…,Pt}所持有的秘密份额,则不能恢复出秘密S.
1.3 安全模型
目前,在LBS位置隐私保护研究中,具有代表性的攻击模型分为强攻击者攻击模型和弱攻击者攻击模型[17].
1) 强攻击者攻击模型
在强攻击者模型中,攻击者可以监视系统中特定用户的行为记录,它试图从当前获得的信息中推断出用户的其他信息[18].TPMA模型中将LSP、匿名器视为强攻击者.LSP凭借自己对LBS数据库的拥有权,它可能会因利益关系,将数据库中的用户个人敏感信息泄露给第三方而引起的隐私风险.在匿名器对用户查询请求和查询结果进行转发过程中,它可能对这些信息进行分析,造成用户敏感信息的泄露.
2) 弱攻击者攻击模型
在弱攻击者模型中,攻击者拥有很少的用户个人信息,它试图使用背景知识或其他一些攻击手段进行攻击,以期待获得用户的敏感信息.TPMA模型中,弱攻击者通过窃听用户查询过程中的通信信道,试图分析出特定用户的敏感信息.
2 TPMA轨迹隐私保护方法
本节将分别从用户查询请求、匿名器匿名、服务器查询和用户获得结果4个主要步骤介绍TPMA方法的具体实现过程.
2.1 用户查询请求
2.1.1 门限分割机制
用户发出查询前,先将查询内容和用户产生的密钥使用Shamir门限进行分割.分割时,用户根据具体的语言环境,选择合适的编码方式(如Unicode,ANSI,ASCII等)将用户需要查询内容q中的字符信息转换为数值,然后采用Shamir门限方案将查询内容q、用户随机产生密钥k分别分割为n份数值信息,其具体实现为:
1) 在GF(p)内,可以任意选择t-1个元素mi(i=1,2,…,t-1)构成t-1阶多项式
(2)
其中,p是一个大素数且p>S,秘密S=F(0).用户可以生成n个子秘密:
(3)
其中,j=1,2,…,n.
2) 将用户查询内容q和密钥k分别作为式(3)中的S,并在有限域GF(p)内随机选定n个非零且互不相同的元素qi,ki(i=1,2,…,n)分别代入式(3)中的变量xj得到F(xj),即为F(qi)和F(ki),由此可计算得到n份子查询内容和子密钥,分别为{(q1,F(q1)),(q2,F(q2)),…,(qn,F(qn))},{(k1,F(k1)),(k2,F(k2)),…,(kn,F(kn))}.同时分别令Qi=(qi,F(qi)),Ki=(ki,F(ki)),则n份子查询内容和子密钥分别可表示为{Q1,Q2,…,Qn},{K1,K2,…,Kn}.
3) 得到分割后的n份子信息{(Q1,K1),(Q2,K2),…,(Qn,Kn)}.
2.1.2 动态假名机制
在连续查询过程中,用户通过不断变换假名,使用不同假名向不同匿名器发出转发查询请求,使攻击者不能从单匿名器获得用户真实身份,同样不能获得用户的真实轨迹.用户动态假名机制实现过程如下:
1) 用户服务注册.用户首次登录系统时,将个人信息在CA注册.用户首先选择一个随机数r1作为密钥,并将其与用户身份标识IDu一起加密后,得到注册请求消息
并将其发送给CA.然后,CA为用户生成PKu和SKu公私密钥对,并利用密钥r1加密IDu,PKu和SKu后,将获得的Er1(IDu‖PKu‖SKu)返回给用户.最后,用户用r1解密Er1(IDu‖PKu‖SKu)得到PKu和SKu.
2) 用户服务认证.向CA申请证书时,用户首先使用自己的私钥SKu对IDu进行签名得到
并将用户自己的身份标识IDu,对IDu的数字签名
以及生成的随机密钥r2一起使用CA的公钥PKCA进行加密,生成用户的请求消息
并将其发送给CA.然后CA使用它的私钥SKCA,解密用户请求消息并且CA使用用户公钥PKu数字签名IDu,以验证是否与匹配.如果相互匹配,则验证用户成功,CA为用户生成假名并发放相应证书.
3) 用户假名及证书分发.首先,用户使用散列种子SDu,1,SDu,2与IDu生成[IDu,SDu,1,SDu,2].同时并生成M个用户假名
⊕s2,M+1-i),其中(i=1,2,…,M)且M≥N,N表示用户连续查询的次数,s1,i=hi(SDu,1),s2,M+1-i=hM+1-i(SDu,2)分别是SDu,1,SDu,2在第i次和第M+1-i次运算得到的散列链.然后,CA使用自己的公钥PKCA对
进行数字签名,并可得到它相应的数字证书
同时使用密钥r2加密和
生成假名消息
返回给用户.最后,用户使用r2解密后获得和
2.1.3 随机映射机制
假定系统中有编号为1,2,…,N的N个匿名器(A1,A2,…,AN),用户通过随机映射机制将子信息{(Q1,K1),(Q2,K2),…,(Qn,Kn)}(N≥n)分别分配到随机选定的n个匿名器进行处理.本文通过构造一个映射表Table,以各子信息为变量构造一个散列函数H(·)并将其取模,以获得映射到编号为l的匿名器.
Al=H(Qj+Kj) mod N,
(4)
其中,1≤j≤n,1≤l≤N.
当存在不同子信息映射到相同匿名器时,将会产生冲突.本文对有冲突的匿名器编号进行计算:
Al=(H(Qj+Kj)+v) mod N,
(5)
其中,1≤v≤N-1.先取v=1,如果获得的匿名器编号还有冲突,依次增加v的值,令v=v+1,直到解决冲突为止.由此构造一个映射表,将各子信息分别映射到不同的匿名器.
最后,用户将第1份子信息(Q1,K1)、随机选择的用户假名及证书
用匿名器公钥
加密后的用户当前位置
查询标识符Q、时间阈值T、匿名度K和查询范围半径R一起形成查询请求消息,并在Table中选择第j个匿名器进行发送查询,其请求消息为
(Q1,K1),Q,T,K,R}.
(6)
用户向匿名器发送请求消息时,也需要将查询标识符Q,分别加入到其他n-1个子信息中形成{{Q,(Q2,K2)},{Q,(Q3,K3)},…,{Q,(Qn,Kn)}}.然后,根据随机映射机制,通过安全信道发送到对应的n-1个不同的匿名器.
2.2 匿名器匿名
用户将查询消息
发送到第j个匿名器后,首先用其私钥
解密
得到用户位置loc.然后,该匿名器根据loc和匿名度K选择用户附近其他K-1个用户,形成一个包括K个用户的匿名域region.在该region中,攻击者仅有1
K的概率能猜出指定的用户.同时通过动态假名机制,攻击者也不能从单匿名器获得用户轨迹和查询内容q.最后,匿名器将region与中其他信息,重新组合成消息
发送给LBS服务器查询.
(Q1,K1),Q,T,K,R},
(7)
同时其他n-1个匿名器也分别将其余子信息{{Q,(Q2,K2)},{Q,(Q3,K3)},…,{Q,(Qn,Kn)}}转发给LBS服务器.
2.3 服务器查询
LBS服务器收到用户查询请求后,先将其中的用户假名及证书发送给CA进行合法性验证,CA用自己的私钥SKCA对用户假名进行数字签名得到
若它与用户假名证书匹配,则通过验证.只有当被验证合法时,LBS服务器才为用户提供查询服务.然后,LBS服务器根据查询标识Q,并在时间T内聚合t个子信息{(Q1,K1),(Q2,K2),…,(Qn,Kn)}且(t≤n),并将其中的n个子查询内容{Q1,Q2,…,Qn}即 {(q1,F(q1)),(q2,F(q2)),…,(qn,F(qn))}和n个子密钥{K1,K2,…,Kn}即{(k1,F(k1)),(k2,F(k2)),…,(kn,F(kn))}分别代入到式(8)中,分别恢复出多项式,并取F(0)=S分别计算出用户的查询内容q和密钥k.也可以将它们分别代入到式(9),直接得到S,即用户的查询内容q和密钥k.
(8)
(9)
然后,LBS服务器根据用户的查询内容q、匿名域region和查询半径R查询用户需要的兴趣点POIs,POIs搜索算法如算法1所示:
算法1. POIs搜索算法.
输入:
输出:POIs.
① LBS服务器根据查询标识Q、在时间T内聚合多个(qj,kj)(t≤j≤n),通过恢复Lagrange多项式计算获得用户查询内容q;
② 根据中region,R确定查询范围;
③ 在查询范围内搜寻所有兴趣点;
④ IF兴趣点Pi为q THEN
⑤ POIs←Pi;
⑥ ENDIF
该算法的主要开销是在LBS服务器搜索兴趣点的开销,它的时间复杂度为O(m)[19],m是兴趣点数目.通过算法1可获得查询范围内的兴趣点集Re,同时将Re分为w个子集{Re1,Re2,…,Rew}且w≤N,并对它们分别使用对称加密算法DES和密钥k进行加密得到Enk(Rei)(1≤i≤w).最后,LBS服务器从N个匿名器中随机选择w个对结果集{Re1,Re2,…,Rew}进行转发,其转发消息为
(10)
其中,1≤i≤w.
2.4 用户获得结果
w个匿名器收到LBS服务器的
后,分别将它们转发给用户,其消息为
(11)
其中,1≤i≤w.
用户收到w个匿名器转发的后,用密钥k解密m个兴趣点集合Enk(Rei),得到每个POIs的位置,然后用户通过求精计算,计算自己查询范围内包括的兴趣点获得精确结果.
3 安全性分析
本节通过分析TPMA方法分别抵制本文1.3节安全模型中提出的强攻击者攻击和弱攻击者攻击,并将系统中的匿名器、LSP考虑为强攻击者,窃听者考虑为弱攻击者.
3.1 抵制匿名器推断攻击
挑战:多匿名器主要负责对用户位置进行匿名和用户查询信息进行转发,它们试图从用户转发的信息中推断出一些个人敏感信息.如果多匿名器可以确定地知道用户的查询内容和用户对应的轨迹,那么它将赢得这个游戏.
定理1. TPMA方法能抵制匿名器的推断攻击.
证明. 在TPMA方法中,通过Shamir门限方案将用户的查询内容q和密钥k分别分割成n份子信息{Q1,Q2,…,Qn},{K1,K2,…,Kn},然后从N个匿名器随机选择n个进行转发,只要这n个匿名器不共谋,就不能获得用户的查询内容q和密钥k.并且即使多个匿名器进行共谋,攻击者只能获得用户的查询内容q和密钥k,而在用户每次发送查询时,他都会动态地选择一个用户假名
因此,攻击者也不能将用户查询内容q与用户真实身份
进行关联.
用户通过随机映射机制选择一个匿名器,并向其发送查询请求消息
该消息包含用户当前假名
用户位置loc、一份查询内容和密钥份额(Q1,K1)等相关信息.攻击者从该单一的匿名器不能获得用户轨迹,同时由于使用了动态假名机制,即使多个匿名器共谋,攻击者也不能获得指定用户的移动轨迹.
在查询结果返回给用户的过程中,w个结果子集Enk(Rei)都使用密钥k进行了加密,匿名器没有用户密钥k,就不能解密获得用户的查询结果集Re.从以上分析可知,匿名器不能获得用户的查询内容和用户对应的轨迹.
证毕.
3.2 抵制LSP推断攻击
挑战:LSP拥有对所有LBS数据库的管理权限,它试图从数据库中的用户查询数据推断出关于用户的个人敏感信息.如果LSP可以成功的猜测出指定用户的查询内容或所对应用户轨迹,那么LSP将赢得这个游戏.
定理2. TPMA方法能抵制LSP的推断攻击.
证明. 在TPMA方法中,用户经多匿名器转发给LSP的查询请求消息为
中包括用户假名及证书匿名域region、子信息(Q1,K1)、查询标识Q、时间阈值T以及查询半径R,从这些信息中,LSP不能获得用户的精确位置.虽然LSP知道用户是在该匿名域region中,但该匿名域包含了K个以上用户,因此LSP只有1K的概率可以猜到指定用户.
当LSP收到t个子信息{Q,(Qi,Ki)}时,就可以利用Lagrange插值多项式恢复出用户查询内容q,并根据q,region,R查询得到所有兴趣点的结果集.在这过程中,LSP也仅知道该用户需要查询的内容q,由于使用了假名机制,它并不能与具体的用户相关联.因此,通过这些用户查询的数据,LSP不能确定用户轨迹,也猜测不出需要查询内容所对应的用户.
证毕.
3.3 抵制窃听者攻击
挑战:弱攻击者侦听用户查询过程中的通信信道,试图从获得的用户数据分析出指定用户的轨迹或查询内容等敏感信息.如果弱攻击者可以成功地猜测出指定用户的查询内容或所对应轨迹,那么弱攻击者将赢得这个游戏.
定理3. TPMA方法能抵制侦听者的攻击.
证明. 用户向匿名器发送的消息为它包括了用户假名及证书用匿名器公钥加密后的用户当前位置子信息(Q1,K1)以及匿名度K等相关信息.从这些信息中,弱攻击者没有匿名器的私钥就得不到用户的精确位置,并且根据Shamir门限方案,弱攻击者从仅包含的一个子信息(Q1,K1)中不能恢复用户的查询内容,即使它通过侦听其他N-1个用户与匿名器之间的通信信道,能恢复出用户的查询内容,但TPMA方案使用了动态假名机制,它也不能确定查询内容所对应的真实用户.在匿名器转发查询请求消息给LBS服务器的过程中,弱攻击者只能得到用户假名或者恢复出用户需要查询的内容q,它同样也不能确定查询内容所对应的真实用户.
在查询结果返回给用户的
中,查询结果集{Re1,Re2,…,Rew}分别使用对称加密算法DES和密钥k进行了加密,弱攻击者因为没有密钥k,就不可以解密获得用户的查询结果集Enk(Rei).因此,弱攻击者既不能得到用户的轨迹,也不能猜测出指定用户的查询内容.
证毕.
4 实验及结果分析
本部分通过实验验证用户连续查询时,TPMA方案在相关参数变化下对系统平均计算时间与通信开销的影响,并在匿名器的平均计算时间和通信开销上与TTP结构中的Gedik方案[12]和Hwang方案[13]进行实验对比.实验通过在Brinkhoff移动对象生成器中输入德国奥尔登堡市交通网络图,并生成10 000个移动对象[20].Brinkhoff生成的移动用户随机分布,实验对象随机选择一条移动轨迹,匿名器数目N=100.实验环境为:Intel® CoreTM i5-4590 CPU @3.30 GHz,4.00 GB内存,Microsoft Windows 7 操作系统,在MyEclipse平台以Java实现.
4.1 参数变化对TPMA性能的影响
Fig. 2 The effect of the number of sub-information and the anonymity
图2 子信息数目及匿名度对性能的影响
本节主要通过改变子信息划分数目n、查询半径R、兴趣点数目POIs以及匿名度K,分析对TPMA性能的影响.
如图2所示为R=1,POIs=10 000时,通过改变子信息划分数目n和匿名度K值对TPMA性能的影响.由图2可知系统查询时间和通信开销都随着n的增大而增大,同时K值越大其系统开销也越大.因为子信息划分数目n越大,需要更多匿名器处理用户的子信息,查询所需的时间和通信量就会增长越快.同时形成的匿名域也会随着K值的增大而扩大,从而系统需要查询更大范围内包含的POIs,相应所需时间和通信开销就会增多.因此,n或K值越大,系统查询所需的时间和通信开销就越大.
如图3所示为n=50,POIs=10 000时,通过改变查询半径R和匿名度K值对TPMA性能的影响.由图3可知系统查询时间和通信开销都随着R值的增大而增大,同时K值越大其系统开销也越大.因为R值越大,用户需要查询的范围面积就越大,相应会查询到更多的POIs,所以需要更多的处理时间和通信开销.
Fig. 3 The effect of the query range and the anonymity
图3 查询半径及匿名度对性能的影响
如图4所示为n=50,R=1时,通过改变兴趣点POIs和匿名度K值对TPMA性能的影响.由图4可知系统查询时间和通信开销都随着POIs值的增大而增大,同时K值越大系统开销也越大.因为匿名域中的POIs数目越多,系统需要更多时间来处理POIs,而且也会增加用户求精的处理时间,因此相应时间开销也越大.同时匿名域中的POIs数目越多,就会有更多POIs从LBS服务器到匿名器以及从匿名器返回给用户,所以相应通信开销也越大.
Fig. 4 The effect of the POIs and the anonymity
图4 POIs及匿名度对性能的影响
4.2 单匿名器性能对比
Fig. 5 The performance comparison of a single anonymizer
图5 单匿名器的性能对比
由图5可知在单匿名器的时间和通信开销上,TPMA相对于Gedik,Hwang有明显优势.因为TPMA方法是从N个匿名器随机选择n个匿名器同时处理用户的单次查询,而TTP中仅由一个匿名器处理,所以本文提出的TPMA方法在单个匿名器的平均时间和通信开销上相对于TTP结构的Gedik,Hwang方法更有优势,同时也解决了单个匿名器性能瓶颈问题和单点失效风险.
5 总 结
在LBS位置隐私保护中,针对传统TTP结构存在的隐私风险和性能瓶颈问题,本文提出了一种基于多匿名器的轨迹隐私保护方法,通过在用户和LSP之间部署多个匿名器,并结合Shamir门限方案和动态假名机制,将分割后的用户查询信息经随机选择的不同匿名器转发给LSP,单个匿名器不能获得用户的轨迹和查询内容.安全性分析表明TPMA方法能有效抵制匿名器、LSP和窃听者的攻击.实验结果表明,与TTP结构的相关方案对比,TPMA方法能大大降低单匿名器的平均开销,并有效解决单个匿名器的性能瓶颈问题.然而由于引入了Shamir门限方案和动态假名机制,增加了系统中用户端的开销,因此下一步我们将进一步优化TPMA方法,降低LBS的查询开销,提高用户服务质量.
[1]Xiao Zhe, Yang Jingjing, Huang Ming, et al. QLDS: A novel design scheme for trajectory privacy protection with utility guarantee in participatory sensing[J]. IEEE Transactions on Mobile Computing, 2018, 17(6): 1397-1410
[2]He Xiaofan, Jin Richeng, Dai Huaiyu. Leveraging spatial diversity for privacy-aware location based services in mobile networks[J]. IEEE Transactions on Information Forensics and Security, 2018, 13(6): 1524-1534
[3]Pan Xiao, Chen Weizhang, Sun Yige, et al. Continuous queries privacy protection algorithm based on spatial-temporal similarity over road networks[J]. Journal of Computer Research and Development, 2017, 54(9): 2092-2101 (in Chinese)(潘晓, 谌伟璋, 孙一格, 等. 道路网络上基于时空相似性的连续查询隐私保护算法[J]. 计算机研究与发展, 2017, 54(9): 2092-2101)
[4]Zhang Xuejun, Gui Xiaolin, Wu Zhongdong. Privacy preservation for location-based services: A survey[J]. Journal of Software, 2015, 26(9): 2373-2395 (in Chinese) (张学军, 桂小林, 伍忠东. 位置服务隐私保护研究综述[J]. 软件学报, 2015, 26(9): 2373-2395)
[5]Jiang Hongbo, Zhao Ping, Wang Chen. RobLoP: Towards robust privacy preserving against location dependent attacks in continuous LBS queries[J]. IEEE/ACM Transactions on Networking, 2018, 26(2): 1018-1032
[6]Huo Zheng, Meng Xiaofeng, Huang Yi. PrivateChechIn: Trajectory privacy-preserving for chech-in services in MSNS[J]. Chinese Journal of Computers, 2013, 36(4): 716-726 (in Chinese)(霍峥, 孟小峰, 黄毅. PrivateChechIn: 一种移动社交网络中的轨迹隐私保护方法与进展[J]. 计算机学报, 2013, 36(4): 716-726)
[7]Chow C Y, Mokbel M F, Liu Xuan. A peer-to-peer spatial cloaking algorithm for anonymous location-based service[C]//Proc of the 14th Int Symp on Advances in Geographic Information Systems. New York: ACM, 2006: 171-178
[8]Corser G P, Fu Huirong, Banihani A. Evaluating location privacy in vehicular communications and applications[J]. IEEE Transactions on Intelligent Transportation Systems, 2016, 17(9): 2658-2667
[9]Zhang Yuan, Tong Wei, Zhong Sheng. On designing satisfaction-ratio-aware truthful incentive mechanisms for k-anonymity location privacy[J]. IEEE Transactions on Information Forensics and Security, 2016, 11(11): 2528-2541
[10]Shokri R, Theodorakopoulos G, Papadimitratos P, et al. Hiding in the mobile crowd: location privacy through collaboration[J]. IEEE Transactions on Dependable and Secure Computing, 2014, 11(3): 266-279
[11]Schlegel R, Chow C Y, Huang Qiong, et al. User-defined privacy grid system for continuous location-based services[J]. IEEE Transactions on Mobile Computing. 2015, 14(10): 2158-2172
[12]Gedik B, Liu Ling. Protecting location privacy with personalized k-anonymous: Architecture and algorithms[J]. IEEE Transactions on Mobile Computing, 2008, 7(1): 1-18
[13]Hwang R H, Hsueh Y L, Chung H W. A novel time-obfuscated algorithm for trajectory privacy protection[J]. IEEE Transactions on Services Computing, 2014, 7(2): 126-139
[14]Zhou Changli, Ma Chunguang, Yang Songtao. Location privacy-preserving method for LBS continuous KNN query in road networks[J]. Journal of Computer Research and Development, 2015, 52(11): 2628-2644 (in Chinese)(周长利, 马春光, 杨松涛. 路网环境下保护LBS位置隐私的连续KNN查询方法[J]. 计算机研究与发展, 2015, 52(11): 2628-2644)
[15]Zhao Ping, Li Jie, Zeng Fanzi, et al. ILLIA: Enabling k-anonymity-based privacy preserving against location injection attacks in continuous LBS queries[J]. IEEE Internet of Things Journal, 2018, 5(2): 1033-1042
[16]Rong Huigui, Mo Jinxia, Chang Bingguo, et al. Key distribution and recovery algorithm based on Shamir’s secret sharing[J]. Journal on Communications, 2015, 36(3): 60-69 (in Chinese) (荣辉桂, 莫进侠, 常炳国, 等. 基于Shamir秘密共享的密钥分发与恢复算法[J]. 通信学报, 2015, 36(3): 60-69)
[17]Gao Sheng, Ma Jianfeng, Shi Weisong, et al. TrPF: A trajectory privacy-preserving framework for participatory sensing[J]. IEEE Transactions on Information Forensics and Security, 2013, 8(6): 874-887
[18]Zhang Shaobo, Wang Guojun, Liu Qin, et al. A trajectory privacy-preserving scheme based on dual-K mechanism for continuous location-based services[C]//Proc of the 15th Int Symp on Parallel and Distributed Processing with Applications. Piscataway, NJ: IEEE, 2018: 1004-1010
[19]Vu K, Zheng Rong, Gao Jie. Efficient algorithms for k-anonymous location privacy in participatory sensing[C]//Proc of the 32nd Annual IEEE Int Conf on Computer Communications. Piscataway, NJ: IEEE, 2012: 2399-2407
[20]Brinkhoff T. Generating traffic data[J]. Bulletin of the Technical Committee Data Engineering, 2003, 26(2): 19-25
