侯士江，劉國(guó)華，候 英

（1.燕山大學(xué)工業(yè)設(shè)計(jì)系，河北 秦皇島066004；2.東華大學(xué)計(jì)算機(jī)科學(xué)與技術(shù)學(xué)院，上海201600）

1 引言

目前，基 于 位 置 的 服 務(wù)LBS（Location－Based Services）［1，2］吸引了眾多的移動(dòng)用戶。常見(jiàn)的例子包括興趣點(diǎn)POI（Points Of Interest）查找，它幫助用戶找到POI，如酒店和電影院等，并能提供豐富的訊息，如特別優(yōu)惠或代金券等。然而，與此同時(shí)，人們也對(duì)使用LBS時(shí)導(dǎo)致敏感信息泄露的問(wèn)題倍加關(guān)注。

在任意路徑點(diǎn)移動(dòng)模型［3，4］中，用戶可以在任意方向以任何速度移動(dòng)，大多數(shù)現(xiàn)有的解決方案無(wú)法解決用戶在路網(wǎng)中移動(dòng)的約束，即路網(wǎng)中用戶的移動(dòng)和基于位置的服務(wù)處理受制于底層的道路網(wǎng)絡(luò)。

更具體地說(shuō)，任意路徑點(diǎn)模型下所提供的保護(hù)對(duì)網(wǎng)絡(luò)約束移動(dòng)模型是不充分的。例如，空間隱匿技術(shù)［5～10］通過(guò)空間隱匿區(qū)域來(lái)模糊精確位置，保護(hù)用戶的隱私，并用面積的大小作為度量指標(biāo)。然而，這樣的指標(biāo)不適用于路網(wǎng)模型，因?yàn)橐粋€(gè)非常大的區(qū)域可能僅包含一個(gè)路段，使得攻擊者很容易追蹤移動(dòng)用戶。此外，路網(wǎng)狀況，即網(wǎng)絡(luò)拓?fù)鋵?duì)查詢代價(jià)和通信效率也會(huì)產(chǎn)生重大影響，這是位置隱私保護(hù)解決方案中應(yīng)該重點(diǎn)關(guān)注的問(wèn)題。例如，基于地理位置的查詢處理的最基本的操作——計(jì)算網(wǎng)絡(luò)中兩個(gè)點(diǎn)距離的復(fù)雜程度會(huì)隨底層網(wǎng)絡(luò)結(jié)構(gòu)的變化顯著不同。因此，通常采用基于路段的隱匿方法。

基于路段的隱匿方法減少了計(jì)算開(kāi)銷，因?yàn)榛诼范蔚碾[匿區(qū)域比矩形隱匿區(qū)域返回更少的候選結(jié)果［11］。Kolahdouzan M 和Shahabi C［12］提出了基于泰森多邊形的網(wǎng)絡(luò)圖，將大的網(wǎng)絡(luò)分為小的泰森多邊形。它預(yù)計(jì)算中間結(jié)果并基于緩存的結(jié)果構(gòu)建查詢答案。Papadias D 等［13］提出了網(wǎng)絡(luò)擴(kuò)展算法，從查詢點(diǎn)開(kāi)始隱匿并通過(guò)邊擴(kuò)展隱匿范圍，直到滿足用戶的隱私需求。該算法無(wú)法向用戶提供完全的保護(hù)，因?yàn)樗裱淖罴褍?yōu)先搜索擴(kuò)展過(guò)程，很容易被攻擊者加以利用。Wang T 和Liu L［14］提出了基于X－Star的隱匿算法，為用戶實(shí)現(xiàn)查詢處理成本和高隱私保護(hù)的平衡。另外，文獻(xiàn)［15，16］也對(duì)路網(wǎng)環(huán)境的隱私保護(hù)問(wèn)題做了研究。

2 概念和模型

本節(jié)對(duì)路網(wǎng)模型、位置隱私模型以及相關(guān)概念進(jìn)行闡述。

2.1 路網(wǎng)模型

路網(wǎng)模型為無(wú)向圖G（vG，εG），節(jié)點(diǎn)集vG和邊集εG分別代表道路接口和直接道路連接。路網(wǎng)模型如圖1 所示。dG（n）表示圖G中節(jié)點(diǎn)n的度。具體來(lái)說(shuō)，如果dG（n）≥3，n被稱為交叉節(jié)點(diǎn)；如果dG（n）＝2，n被稱為中間節(jié)點(diǎn)；如果dG（n）＝1，n被稱為端節(jié)點(diǎn)。

為了模型化用戶移動(dòng)所受的底層路網(wǎng)約束，引入了路段的概念：路段是邊的序列，這里每個(gè)都是不同的，并且對(duì)于i＝0或者i＝L，節(jié)點(diǎn)ni的度要么為1要么dG（ni）≥3，其余的節(jié)點(diǎn)dG（ni）＝2。即n0和nL要么是交叉節(jié)點(diǎn)要么是端節(jié)點(diǎn)，其余節(jié)點(diǎn)均為中間節(jié)點(diǎn)。

注意，每條邊要么自身就是一個(gè)路段要么唯一地屬于某條路段的一部分，也就是說(shuō)可以將路網(wǎng)分割為路段集。因此，可以做如下假設(shè)：每個(gè)移動(dòng)用戶沿著路段移動(dòng)，并將其基于位置的查詢連同當(dāng)前位置信息提供給LBS服務(wù)商，然后LBS基于提供的位置信息執(zhí)行查詢。

Figure 1 A road network model圖1 路網(wǎng)模型

2.2 位置隱私模型

考慮網(wǎng)絡(luò)約束移動(dòng)模型下的兩種類型的隱私問(wèn)題，即位置匿名和位置多樣性。第一個(gè)要求保證了一個(gè)特定的移動(dòng)用戶在一組用戶（匿名集）中的不可分辨性，通常利用位置k－匿名［5，8］的概念。

定義1（位置k－匿名） 用戶提交的位置是k－匿名的，如果至少k－1個(gè)其他活動(dòng)用戶提交相同的位置。

單純確保位置匿名的研究［5～9］未考慮底層的路網(wǎng)約束，所以在路網(wǎng)環(huán)境下不能提供足夠的保護(hù)。例如，在圖1中，假設(shè)用戶u3和u4發(fā)布k－匿名位置分別為A1和A2。假設(shè)A1和A2是大小相同且包含相同數(shù)量的活動(dòng)用戶，依照標(biāo)準(zhǔn)的位置匿名概念，u3和u4被認(rèn)為享受同等質(zhì)量的隱私保護(hù)。然而，對(duì)于攻擊者而言，追蹤u3要比u4容易得多，因?yàn)閡3僅與單個(gè)路段有關(guān)，而u4與段集相關(guān)。直觀地說(shuō)，從攻擊者的角度來(lái)看跟蹤用戶的難度與路段的數(shù)量成正比。這也促使引入第二個(gè)隱私度量標(biāo)準(zhǔn)——位置多樣性［17］。

定義2（路段l－多樣性） 用戶發(fā)布的位置是l－多樣性的，如果它滿足位置k－匿名且至少包含l個(gè)不同的路段。

為了滿足這些需求，提出了位置匿名化操作。

定義3（位置匿名化） 令q表示移動(dòng)用戶u提交的基于位置的查詢。位置匿名化將q的精確位置信息用一個(gè)滿足u的服務(wù)配置的匿名位置來(lái)代替。

在路網(wǎng)環(huán)境下，假設(shè)匿名化操作在路段上進(jìn)行，匿名位置由一組路段集組成。需要指出的是，為了便于描述，路段的長(zhǎng)度因素未加討論；若要處理路段長(zhǎng)度的非均勻性，也很簡(jiǎn)單，如為短路段指定高多樣性要求，或?qū)㈤L(zhǎng)路段劃分為一組短路段。

同時(shí)，引入可信的第三方位置匿名引擎LAE（Location Anonymization Engine），作為移動(dòng)用戶與LBS提供商之間的中間層，并執(zhí)行位置匿名化操作。與其它方案相比，這種集中式LAE 架構(gòu)有更多的優(yōu)勢(shì)：（1）相比大量的個(gè)體LBS提供商與復(fù)雜的商業(yè)利益沖突，它更容易提供安全保護(hù)和操作規(guī)則；（2）在LAE的幫助下，用戶可以實(shí)現(xiàn)基于客戶端或P2P 對(duì)等架構(gòu)［10，18］所無(wú)法達(dá)到的隱私保證，如位置匿名性和多樣性；（3）此外，這種體系結(jié)構(gòu)已經(jīng)成功地應(yīng)用于各種位置私有化系統(tǒng)［5～8，19］。

LAE具體負(fù)責(zé)：（1）接收查詢和移動(dòng)用戶的具體位置信息；（2）根據(jù)用戶的隱私需求，匿名化位置信息，并將其傳送到LBS提供者；（3）通過(guò)過(guò)濾假的信息，從服務(wù)提供者給出的候選結(jié)果集中提取準(zhǔn)確的查詢結(jié)果；（4）傳遞給客戶確切的答案。

3 位置匿名操作過(guò)程

位置匿名操作包含兩個(gè)主要階段，匿名星選擇和超星構(gòu)建。簡(jiǎn)單來(lái)說(shuō)，在第一個(gè)階段，依據(jù)低成本星選擇策略，將一組鄰近查詢?nèi)航M在匿名星結(jié)構(gòu)中；在第二個(gè)階段，合并鄰近星形成超星結(jié)構(gòu)滿足個(gè)體的隱私需求。

3.1 匿名星選擇

首先介紹位置匿名的基本結(jié)構(gòu)——匿名星的概念。

定義4（匿名星） 對(duì)于網(wǎng)絡(luò)G中的交叉節(jié)點(diǎn)n，匿名星n是G的子圖，由n和所有與n相連接的路段組成。

根據(jù)這個(gè)定義，每個(gè)dG（n）≥3的節(jié)點(diǎn)n與一個(gè)唯一的匿名星φn相關(guān)聯(lián)。例如，在圖1中，匿名星由節(jié)點(diǎn)n4和段組成。

匿名星結(jié)構(gòu)具有一些優(yōu)異的特性：（1）它保留鄰近段的位置，將它作為匿名的基本單元，將會(huì)使匿名位置具有高度緊湊的結(jié)構(gòu)；（2）能夠索引，因?yàn)楣?jié)點(diǎn)標(biāo)識(shí)符可以代表一個(gè)星而沒(méi)有信息損失，用它代表匿名位置可以減少通信成本，并簡(jiǎn)化實(shí)現(xiàn)。

給定路網(wǎng)G＝（vG，εG），可以構(gòu)建相應(yīng)的星形網(wǎng)絡(luò)，其中的每個(gè)節(jié)點(diǎn)代表G中的一個(gè)星，兩個(gè)節(jié)點(diǎn)是相鄰的如果G中相應(yīng)的星分享共同的段。圖2是圖1相應(yīng)的星圖網(wǎng)絡(luò)。需要指出的是，在Gφ中，所有邊都是單位長(zhǎng)度，路網(wǎng)G中φi和φj的距離定義為在Gφ中的網(wǎng)絡(luò)距離，稱之為跨步（Hop），表示為hG(φi,φj)。例如，在圖1中，，因?yàn)樗鼈冊(cè)贕φ中的最短路徑由和組成。

Figure 2 A star－graph network model圖2 星圖網(wǎng)絡(luò)模型

如果路段上有活躍查詢，則這條路段被標(biāo)記為是活動(dòng)的。為了使模型抗推理攻擊和能夠適應(yīng)多查詢共享處理，在同一段上的所有查詢共享同一匿名位置。

對(duì)于某個(gè)活動(dòng)段s上的查詢，如果選擇星φ作為匿名位置，就稱為φ“被選擇”，s被分配給φ，記為s←φ?？紤]段s有兩個(gè)節(jié)點(diǎn)和，如 果和都成立，那么s與兩個(gè)匿名星和相關(guān)聯(lián)，對(duì)圖1 中而言，即和。在這種情況下，需要確定將s分配給或中的哪一個(gè)。對(duì)于整個(gè)網(wǎng)絡(luò)而言，需要選擇一組星集Φ涵蓋所有活動(dòng)段。

為了實(shí)現(xiàn)低查詢處理成本，希望將成本模型合并到選擇過(guò)程。令cost（φ）表示執(zhí)行匿名位置為φ的查詢處理成本，AS表示路網(wǎng)中當(dāng)前活動(dòng)段集，Φ是選定的星集，那么總成本最小化的問(wèn)題可以表示為：

s.t.?s∈AS，? ∈Φ，s←φ

低成本段—星分配方案旨在找到一組涵蓋所有活動(dòng)段的最低成本的星集。遺憾的是，這個(gè)優(yōu)化問(wèn)題沒(méi)有有效的解決方案，除非P＝NP。

因此，代替試圖找到全局最優(yōu)解，提出一種有效的隨機(jī)算法，可以找到高質(zhì)量的近似解，并且對(duì)推理攻擊具有很好的魯棒性。

具體來(lái)說(shuō)，插入新查詢及段s的操作（InsertQuery）分為以下四種情況：（1）如果某個(gè)星已經(jīng)覆蓋了s，該算法停止；（2）如果兩個(gè)星和都已經(jīng)選定而s未被覆蓋，則s分配給兩顆星之一的概率與相應(yīng)成本成反比；（3）如果只有一個(gè)或者被選中，s就分配給這個(gè)星；（4）如果沒(méi)有和被選中，則分配到其中一個(gè)星的概率與對(duì)應(yīng)的成本成反比。

本質(zhì)上，該方法將活動(dòng)段s分配給的概率為，反之，分配給

3.2 超星的構(gòu)建

在前一階段，依據(jù)查詢處理成本，選擇一組星集覆蓋活動(dòng)段。在這個(gè)階段，滿足移動(dòng)用戶的隱私需求。這一目標(biāo)通過(guò)合并相鄰的星形成超星結(jié)構(gòu)，充當(dāng)其內(nèi)部查詢的匿名位置。

如圖2所示，假定用戶u3和u4分配給星用戶u2分配給星，用戶u1和u10分配給星。然而，單獨(dú)的包含的活躍用戶數(shù)并不能滿足用戶u3的的隱私需求。通過(guò)合并和，獲得一個(gè)超星ψ，滿足了所有用戶的需求。

現(xiàn)在，描述合并星形成超星結(jié)構(gòu)的過(guò)程（MergeStar）：從最初的星 開(kāi)始，逐步增加鄰近星，直到超星內(nèi)的所有用戶的隱私需求得到滿足。具體來(lái)說(shuō)，首先檢查星 是否已經(jīng)滿足用戶的隱私需求；如果沒(méi)有，迭代添加鄰近的活動(dòng)星（如果可能）。如果存在這樣的星，依據(jù)一定的規(guī)則進(jìn)行合并，形成新的超星。這種擴(kuò)張過(guò)程迭代進(jìn)行，直到滿足其內(nèi)所有用戶的隱私需求，或報(bào)告失?。ㄋ邢嚓P(guān)查詢將會(huì)推遲到隊(duì)列，等待新到來(lái)的查詢觸發(fā)匿名化）。

4 基于Hilbert序列的空間隱匿算法

基于Hilbert 序列的空間隱匿算法HSGCloaking通過(guò)五個(gè)步驟創(chuàng)建匿名區(qū)：構(gòu)建星形網(wǎng)絡(luò)，使用Hilbert排序?qū)⑿枪?jié)點(diǎn)映射Hilbert ID，從最高k－匿名度要求的用戶位置起始選擇星，擴(kuò)展網(wǎng)絡(luò)直到滿足用戶的需求和重置網(wǎng)絡(luò)中其他用戶條件。

4.1 匿名步驟

步驟1構(gòu)建星形網(wǎng)絡(luò)。

在此階段，為每個(gè)dG（n）≥3的節(jié)點(diǎn)n都與一個(gè)唯一的星φn相關(guān)聯(lián)，Gφ中的每個(gè)星節(jié)點(diǎn)都對(duì)應(yīng)G中的一個(gè)節(jié)點(diǎn)。

步驟2星節(jié)點(diǎn)映射Hilbert ID。

在此步驟中，利用如圖3所示Hilbert空間填充曲線對(duì)星節(jié)點(diǎn)進(jìn)行排序。

Figure 3 Hilbert filling curves圖3 Hilbert填充曲線

步驟3隱匿起始位置選擇。

隱匿的主要過(guò)程從這一步開(kāi)始。當(dāng)查詢位于段s上，s被分配給星 ，即s← ，那么 被選為匿名區(qū)域。如果星節(jié)點(diǎn) 包含最高k－匿名度要求的用戶，那么它被選為起始隱匿星。如圖4a所示，星節(jié)點(diǎn)（虛線）包含的用戶u3具有最高的k－匿名度要求因此星節(jié)點(diǎn)被選為匿名過(guò)程的起始位置。

步驟4網(wǎng)絡(luò)擴(kuò)展。

在前一步，包含最高k－匿名度要求的星被選擇。在此步驟中，從所選擇的星開(kāi)始擴(kuò)展，擴(kuò)大隱匿區(qū)域，直到滿足用戶的隱私需求。例如，在選星節(jié)點(diǎn)后，該算法擴(kuò)展隱匿區(qū)域（虛線），直到它滿足用戶的要求，即覆蓋了u1、u2、u4和u10區(qū)域（如圖4a所示）。最后，它將這一區(qū)域作為匿名區(qū)，發(fā)送給LBS。

在網(wǎng)絡(luò)擴(kuò)展之前，算法要檢查兩個(gè)屬性：（1）所包含的用戶數(shù)量；（2）所選星節(jié)點(diǎn)與鄰近星節(jié)點(diǎn)的Hilbert ID 差值。檢查后，算法決定擴(kuò)展的方向。同時(shí)，逐步增加鄰近星，直到組中所有用戶的隱私需求得到滿足。

步驟5重置條件。

HSGCloaking算法重復(fù)步驟3和步驟4，直到網(wǎng)絡(luò)中其他用戶也形成組。在圖4b和圖4c中，另兩組的形成也基于最高k－匿名度要求的用戶的位置（虛線和點(diǎn)劃線）。

Figure 4 Illustration of forming groups圖4 形成組的過(guò)程表示

4.2 隱匿算法HSGCloaking

主要匿名過(guò)程如算法HSGCloaking所示。算法第1行首先生成星形網(wǎng)絡(luò)，在第2 行生成Hilbert曲線，在第3行合并Hilbert ID 與生成的星節(jié)點(diǎn)，第4行找出k－匿名度最高的用戶。第5～18行處理滿足用戶需求。如果在一個(gè)匿名星內(nèi)用戶的要求得到滿足，那么算法執(zhí)行第6～8 行。在第9～19行，算法根據(jù)用戶的需求擴(kuò)展網(wǎng)絡(luò)。

算法1 隱匿算法HSGCloaking

5 性能分析

實(shí)驗(yàn)在Windows系統(tǒng)，Pentium 4 2.81GHz處理器和2 GB 內(nèi)存上進(jìn)行，用真實(shí)的路網(wǎng)驗(yàn)證HSGCloaking 算法的性能。對(duì)HSGCloaking 方法在執(zhí)行成本、匿名成功率、平均匿名段數(shù)方面進(jìn)行廣泛的實(shí)驗(yàn)和性能測(cè)試。執(zhí)行成本指服務(wù)器端執(zhí)行整個(gè)匿名過(guò)程的時(shí)間。成功率指用戶的請(qǐng)求得到滿足的情況，平均匿名段數(shù)意味著根據(jù)用戶需求生成的匿名位置的平均尺寸。如表1所示，使用San Francisco路 網(wǎng)，其 中 包 含175 350 個(gè) 節(jié) 點(diǎn) 和223 200條邊。在這張地圖上，使用基于網(wǎng)絡(luò)的移動(dòng) 對(duì)象生 成 器Brinkoff［20］生 成10 000 個(gè) 移 動(dòng) 對(duì)象，模擬交通情況。

Table 1 Experiment parameters表1 實(shí)驗(yàn)參數(shù)

將所提出的HSGCloaking算法與文獻(xiàn)［14］中的X－Star算法在平均執(zhí)行時(shí)間、匿名成功率、匿名區(qū)大小等方面做了比較。實(shí)驗(yàn)結(jié)果顯示，所提出的HSGCloaking算法比X－Star算法具有更大的優(yōu)勢(shì)。

圖5顯示了兩種算法的平均執(zhí)行時(shí)間，顯示HSGCloaking 平 均 執(zhí) 行 時(shí) 間 低 于X－Star 幾 乎30%。起始時(shí)與X－Star的時(shí)間差異不太明顯，但隨著k－匿名度的增長(zhǎng)，HSGCloaking能節(jié)約50%的執(zhí)行時(shí)間。表明X－Star的執(zhí)行時(shí)間隨k－匿名度的增加線性增長(zhǎng)。然而，對(duì)于HSGCloaking，開(kāi)始時(shí)執(zhí)行時(shí)間逐步增加，但k－匿名度達(dá)到一定值之后反而會(huì)降低，之后一直保持穩(wěn)定的狀態(tài)。

Figure 5 Average execution time圖5 平均執(zhí)行時(shí)間

如圖6 所示，X－Star的匿名成功率比HSGCloaking低很多。圖6中顯示匿名成功率隨匿名度的增加而降低。因?yàn)榇蟮膋－匿名度需要在特定的網(wǎng)絡(luò)區(qū)域有更多的用戶數(shù)，很難滿足大k－匿名度要求。

Figure 6 Anonymization success rates圖6 匿名成功率

實(shí)驗(yàn)比較了X－Star和HSGCloaking 算法的平均路段數(shù)與k－匿名度的關(guān)系。圖7顯示X－Star隨著k－匿名度的增加，平均路段數(shù)線性增加。然而，當(dāng)k－匿名度達(dá)到某個(gè)值后，它保持不變。HSGCloaking開(kāi)始時(shí)平均路段數(shù)增加，達(dá)到一定k－匿名度之后反而會(huì)減少。當(dāng)k－匿名度數(shù)值很高時(shí)，很難滿足用戶的需求，創(chuàng)建匿名區(qū)域。考慮邊界節(jié)點(diǎn)，用戶查詢可能不執(zhí)行這些邊界星節(jié)點(diǎn)。因?yàn)橐恍┕?jié)點(diǎn)不包含任何用戶，網(wǎng)絡(luò)需要擴(kuò)展。因?yàn)檫吔缧枪?jié)點(diǎn)選擇限制，會(huì)顯著地降低匿名成功率和減少匿名面積。

Figure 7 Anonymization areas圖7 匿名區(qū)大小

6 結(jié)束語(yǔ)

本文提出了適用于路網(wǎng)環(huán)境的隱匿算法HSGCloaking，保護(hù)用戶隱私。通過(guò)將一般網(wǎng)絡(luò)轉(zhuǎn)換為星形網(wǎng)絡(luò)，并進(jìn)行Hilbert排序、隱匿星選擇合并操作滿足每個(gè)用戶的匿名要求?？蚣苤С謐－NN 和范圍查詢，在實(shí)際道路網(wǎng)絡(luò)上的實(shí)驗(yàn)驗(yàn)證了該隱匿模型的有效性。

［1］ Beresford A R，Stajano F.Location privacy in pervasive computing［J］.IEEE Pervasive Computing，2003，2（1）：46－55.

［2］ Bettini C，Wang S，Jagodia S.Protecting privacy against location－based personal identification［C］∥Proc of VLDB Workshop on Secure Data Management，2005：185－199.

［3］ Broch J，Maltz D A，Johnson D B.et al.A performance comparison of multi－h(huán)op wireless ad hoc network routing protocols［C］∥Proc of the 4th Annual ACM/IEEE International Conference on Mobile Computing and Networking，1998：85－97.

［4］ Hyyti?E，Virtamo J.Random waypoint mobility model in cellular networks［J］.Wireless Networks，2007，13（2）：177－188.

［5］ Gruteser M，Grunwald D.Anonymous usage of location－based services through spatial and temporal cloaking［C］∥Proc of the 1st International Conference on Mobile Systems，Applications and Services，2003：31－42.

［6］ Mokbel M F，Chow C Y，Aref W G.The new casper：Query processing for location services without compromising privacy［C］∥Proc of the 32nd International Conference on Very Large Data Bases，2006：763－774.

［7］ Bamba B，Liu L，Pesti P，et al.Supporting anonymous location queries in mobile environments with privacy grid［C］∥Proc of the 17th International Conference on World Wide Web，2008：237－246.

［8］ Gedik B，Liu L.A customizableK－anonymity model for protecting location privacy［C］∥Proc of the 25th International Conference on Distributed Computing Systems，2005：620－629.

［9］ Ghinita G，Kalnis P，Skiadopoulos S.Prive：Anonymous location based queries in distributed mobile systems［C］∥Proc of the 16th International Conference on World Wide Web，2007：371－380.

［10］ Yiu M，Jensen C，Huang X，et al.Spacetwist：Managing the trade－offs among location privacy，query performance，and query accuracy in mobile services［C］∥Proc of IEEE 24th International Conference on Data Engineering，2008：366－375.

［11］ Peng W C，Wang T W，Ku W S，et al.A cloaking algorithm based on spatial networks for location privacy［C］∥IEEE International Conference on Sensor Networks，Ubiquitous and Trustworthy Computing，2008：90－97.

［12］ Kolahdouzan M，Shahabi C.Voronoi－basedknearest neighbor search for spatial network databases［C］∥Proc of the 30th International Conference on Very Large Data Bases，2004：840－851.

［13］ Papadias D，Zhang J，Mamoulis N，et al.Query processing in spatial network databases［C］∥Proc of the 29th International Conference on Very Large Data Bases，2003：802－813.

［14］ Wang T，Liu L.Privacy－aware mobile services over road networks［J］.Proceedings of the VLDB Endowment，2009，2（1）：1042－1053.

［15］ Palanisamy B，Ravichandran S，Liu L，et al.Road network mix－zones for anonymous location based services［C］∥Proc of IEEE 29th International Conference on Data Engineering（ICDE），2013：1300－1303.

［16］ Domenic M K，Wang Y，Zhang F，et al.Preserving users’privacy for continuous query services in road networks［C］∥Proc of IEEE 6th International Conference on Information Management，Innovation Management and Industrial Engineering（ICIII），2013：352－355.

［17］ Machanavajjhala A，Kifer D，Gehrke J，et al.L－diversity：Privacy beyondk－anonymity［J］.ACM Transactions on Knowledge Discovery from Data，2007，1（1）：1－36.

［18］ Ghinita G，Kalnis P，Skiadopoulos S.Prive：Anonymous location－based queries in distributed mobile systems［C］∥Proc of the 16th International Conference on World Wide Web，2007：371－380.

［19］ Beresford A R，Stajano F.Mix zones：User privacy in location－aware services［C］∥Proc of PerCom Workshops，2004：127－131.

［20］ Ku W S，Chen Y，Zimmermann R.Privacy protected spatial query processing for advanced location based services［J］.Wireless Personal Communications，2009，51（1）：53－65.