郭良敏，王安鑫，鄭孝遙

(1.安徽師范大學(xué) 計(jì)算機(jī)與信息學(xué)院, 安徽 蕪湖 241003； 2.安徽師范大學(xué) 網(wǎng)絡(luò)與信息安全安徽省重點(diǎn)實(shí)驗(yàn)室, 安徽 蕪湖 241003)(*通信作者電子郵箱lmguo@ustc.edu.cn)

0 引言

隨著智能手機(jī)的廣泛普及，越來(lái)越多的用戶開始使用位置服務(wù)提供者(Location Service Provider, LSP)，如高德地圖、百度地圖、Google地圖等提供的基于位置的服務(wù)(Location Based Service, LBS)，如查參考位置周圍的酒店、超市、美食等的相關(guān)信息。基于LBS，用戶可以獲得最短時(shí)間或最短距離的軌跡信息來(lái)到達(dá)目的地, 但由于軌跡信息的時(shí)空關(guān)聯(lián)性，攻擊者可通過(guò)分析用戶的軌跡信息，從而獲得用戶的家庭住址、工作場(chǎng)所等隱私信息; 另外，由于位置服務(wù)器的集中性，易受攻擊，會(huì)導(dǎo)致用戶的軌跡隱私信息泄露, 因此，對(duì)于用戶的軌跡隱私保護(hù)問(wèn)題的研究具有重要意義。

當(dāng)前主流的軌跡隱私保護(hù)方法大致分為以下3類：1)基于假軌跡的方法[1-3], 該類方法通過(guò)生成相似的假軌跡混淆攻擊者，但由于假軌跡數(shù)據(jù)存儲(chǔ)量大，導(dǎo)致LSP處理復(fù)雜，降低了服務(wù)質(zhì)量; 2)基于抑制的方法[4-6], 該類方法通過(guò)隱藏敏感信息，讓攻擊者無(wú)法分析出用戶信息，但會(huì)造成大量的信息損失，影響服務(wù)。3) 基于泛化的方法[7-9], 該類方法通過(guò)將采樣點(diǎn)泛化為相應(yīng)的匿名區(qū)域來(lái)達(dá)到隱私保護(hù)的效果，其中比較主流的是基于k匿名的方法[10]，該類方法通過(guò)聯(lián)合其余k-1個(gè)用戶構(gòu)成匿名區(qū)域，使攻擊者無(wú)法識(shí)別出查詢用戶。已有的k匿名方法一般利用歷史軌跡數(shù)據(jù)構(gòu)建k匿名，有如下缺點(diǎn)： 1) 在稀疏地區(qū)缺少歷史軌跡數(shù)據(jù)無(wú)法構(gòu)建k匿名； 2)k匿名方法一般只適用于快照查詢，若進(jìn)行連續(xù)查詢，攻擊者可根據(jù)匿名區(qū)域中始終出現(xiàn)的用戶推斷出查詢用戶； 3) 匿名服務(wù)器的高集中性[11]，使其缺乏安全性。例如，在t1到t4時(shí)刻，某用戶發(fā)送了查詢請(qǐng)求，該用戶在移動(dòng)時(shí)將自己隱藏在包含其余k-1個(gè)用戶查詢的匿名區(qū)域中(假設(shè)k=5)，使攻擊者無(wú)法定位真正的查詢用戶, 但在連續(xù)查詢時(shí)，攻擊者很容易通過(guò)分析多個(gè)連續(xù)的匿名區(qū)域中始終出現(xiàn)的用戶，推斷出查詢用戶，從而重構(gòu)出該用戶的真實(shí)軌跡(如圖1所示)。

圖1 傳統(tǒng)k匿名下的用戶軌跡

針對(duì)上述問(wèn)題，本文提出一種基于區(qū)域劃分的軌跡隱私保護(hù)方法，主要貢獻(xiàn)如下：

1) 用戶利用P2P協(xié)議共享所需查詢的信息，并在找到自身查詢結(jié)果后，利用其他用戶的歷史查詢點(diǎn)，生成偽查詢點(diǎn)迷惑攻擊者，以解決在連續(xù)查詢時(shí)的隱私泄露和在數(shù)據(jù)稀少時(shí)無(wú)法構(gòu)建匿名區(qū)域問(wèn)題。

2) 提出覆蓋用戶真實(shí)軌跡的區(qū)域劃分方法，讓子區(qū)域面積大于匿名區(qū)域面積，使多個(gè)查詢點(diǎn)隱藏在同一子區(qū)域中。如此，攻擊者攻擊輔助服務(wù)器后，無(wú)法通過(guò)分析用戶查詢的連續(xù)子區(qū)域來(lái)重構(gòu)出用戶真實(shí)的軌跡信息。

3) 通過(guò)引入最大緩存時(shí)間間隔和最大偏離距離，以提高用戶軌跡隱私的安全性，更好地滿足用戶需求。

1 相關(guān)工作

目前，針對(duì)k匿名方法無(wú)法應(yīng)對(duì)連續(xù)查詢帶來(lái)的隱私泄露問(wèn)題，研究者們提出了相應(yīng)的解決方案：Peng等[12]提出了一種面向連續(xù)查詢的協(xié)作軌跡隱私保護(hù)(Collaborative Trajectory Privacy Preserving, CTPP)方法，用戶之間通過(guò)WiFi、藍(lán)牙等進(jìn)行短距離傳輸，查詢用戶從多跳鄰居用戶的緩存中收集有價(jià)值信息，然后通過(guò)發(fā)布假的查詢信息來(lái)混淆用戶的真實(shí)軌跡; 胡德敏等[13]通過(guò)增加假軌跡和真實(shí)軌跡之間的距離約束和相似性約束以滿足位置隱私保護(hù)的條件; Liao等[14]通過(guò)分析用戶的歷史數(shù)據(jù)得到每個(gè)子區(qū)域存在邊的可能性，并通過(guò)此數(shù)據(jù)構(gòu)建滑動(dòng)窗口，在線性時(shí)間內(nèi)構(gòu)建偽軌跡，從而提高安全性; Hwang等[15]通過(guò)打亂軌跡的時(shí)空關(guān)聯(lián)性，在匿名區(qū)域隨機(jī)發(fā)送不同的軌跡，使攻擊者無(wú)法重構(gòu)用戶的真實(shí)軌跡來(lái)抵御連續(xù)查詢攻擊; Zhang等[16]讓用戶通過(guò)打亂人物身份與軌跡信息的關(guān)聯(lián)性，使用特定算法在移動(dòng)社交網(wǎng)絡(luò)找到最佳匹配的用戶和其交換查詢結(jié)果，使攻擊者獲得匿名服務(wù)器的數(shù)據(jù)后也無(wú)法重構(gòu)出用戶軌跡; Zhu等[17]通過(guò)分析用戶的行為模式，將用戶的隱私泄露等級(jí)進(jìn)行分類，并提出了一種基于用戶行為傾向的軌跡隱私保護(hù)算法，從而增強(qiáng)安全性; 周凱等[18]通過(guò)分析LBS中連續(xù)查詢的軌跡隱私保護(hù)的安全需求建立安全模型，再運(yùn)用雙線性映射方法構(gòu)造用戶運(yùn)動(dòng)中連續(xù)查詢的軌跡隱私保護(hù)方案，即通過(guò)加密的方式保證了安全性。

但上述方法大多運(yùn)行開銷大，查詢效率低，或在數(shù)據(jù)稀少時(shí)退化為傳統(tǒng)k匿名，因此，本文受到文獻(xiàn)[12]的啟發(fā)，提出一種基于區(qū)域劃分的軌跡隱私保護(hù)方法，以提高軌跡隱私的安全性和提高查詢效率。

2 基于區(qū)域劃分的軌跡隱私保護(hù)方法

2.1 相關(guān)定義

定義2 匿名區(qū)域。匿名區(qū)域由k個(gè)查詢點(diǎn)構(gòu)成，即查詢用戶的當(dāng)前查詢點(diǎn)和另外k-1個(gè)用戶對(duì)應(yīng)的k-1個(gè)歷史查詢點(diǎn)的修改版(該修改版是將原歷史查詢點(diǎn)的post改為當(dāng)前的查詢時(shí)間，并清空res，以保證歷史查詢點(diǎn)和當(dāng)前查詢點(diǎn)的一致性)。k-1個(gè)用戶的查詢點(diǎn)必須在以查詢用戶的當(dāng)前查詢點(diǎn)或偽查詢點(diǎn)為中心的內(nèi)圓半徑為rminASR、外圓半徑為rmaxASR的圓環(huán)內(nèi)：大于rminASR是為了保證匿名區(qū)域的面積不能過(guò)小，以防止攻擊者識(shí)別出查詢用戶的興趣意圖；小于rmaxASR是為了保證匿名區(qū)域的成員不能過(guò)于分散，以免喪失對(duì)原查詢點(diǎn)的保護(hù)作用。

定義5 區(qū)域劃分。將一塊地理區(qū)域(如一個(gè)城市)，放于一個(gè)二維平面中，從左到右為x軸正方向，從下到上為y軸正方向，分割成DistrictNum個(gè)子區(qū)域，Districtx和Districty分別表示x軸和y軸方向上的劃分?jǐn)?shù)，有DistrictNum=Districtx*Districty。區(qū)域劃分時(shí)x軸和y軸方向上的劃分?jǐn)?shù)由第三方輔助服務(wù)器設(shè)置，且該信息用戶是可獲得的。為了保證安全性，子區(qū)域面積必須大于ASRi的面積。通過(guò)將總區(qū)域的面積除以ASRi的最大面積獲得一個(gè)最小區(qū)域數(shù)，DistrictNum的設(shè)置必須大于該最小區(qū)域數(shù)。如圖2所示，每個(gè)子區(qū)域按從左到右、從下到上依次從0開始編號(hào)。區(qū)域劃分的作用如下：1) 用戶根據(jù)輔助服務(wù)器在x軸和y軸方向上的劃分?jǐn)?shù)計(jì)算出當(dāng)前參考點(diǎn)所在的子區(qū)域編號(hào)(見(jiàn)2.3節(jié))，輔助服務(wù)器依據(jù)用戶發(fā)送的子區(qū)域編號(hào)，快速反饋給用戶擁有對(duì)應(yīng)子區(qū)域的歷史查詢點(diǎn)的用戶組G，通過(guò)與G中的用戶共享信息，直接獲得興趣結(jié)果，從而可提高查詢效率；2)當(dāng)子區(qū)域面積大于匿名區(qū)域的面積時(shí)，用戶的軌跡信息將隱藏在子區(qū)域中，使攻擊者和輔助服務(wù)器無(wú)法獲得用戶真實(shí)的軌跡信息。例如，在圖2(a)中，用戶軌跡中的查詢點(diǎn)依次經(jīng)過(guò)了子區(qū)域36 → 37 → 27 → 27，攻擊者可以從上述連續(xù)子區(qū)域推斷出用戶的真實(shí)軌跡，無(wú)法保證安全性；當(dāng)子區(qū)域擴(kuò)大后，如圖2(b)所示，用戶軌跡中所有的查詢點(diǎn)都在子區(qū)域8內(nèi)，攻擊者和輔助服務(wù)器都無(wú)法獲得用戶具體的軌跡信息，保證了安全性。

定義6 查詢點(diǎn)之間的距離。查詢點(diǎn)Q(i)和查詢點(diǎn)Q(j)之間的距離distQ(i),Q(j)是兩個(gè)參考點(diǎn)之間的歐氏距離。

定義7 最大偏離距離。最大偏離距離distmax是查詢用戶的當(dāng)前查詢點(diǎn)與其他用戶的歷史查詢點(diǎn)之間所允許的最大距離。

圖2 用戶軌跡

定義9 查詢結(jié)果。LSP根據(jù)用戶發(fā)送的匿名查詢信息返回的k個(gè)查詢結(jié)果，用Result表示。

定義10 緩存信息。用戶的緩存信息由多個(gè)查詢點(diǎn)組成，用cache表示。用戶提供給查詢用戶的緩存信息是經(jīng)過(guò)如下處理的：只含指定子區(qū)域下的查詢點(diǎn)，且這些查詢點(diǎn)的查詢時(shí)間是經(jīng)過(guò)模糊化處理的。模糊化處理是為了進(jìn)一步減小查詢用戶獲取其他用戶實(shí)時(shí)軌跡的可能性，由各用戶自身設(shè)置模糊粒度，該粒度反映了用戶對(duì)自身軌跡隱私的保護(hù)程度。例如，用戶可將提供給查詢用戶的歷史查詢點(diǎn)中的查詢時(shí)間只具體到某日。

2.2 系統(tǒng)框架

系統(tǒng)框架如圖3所示，由用戶、輔助服務(wù)器和LSP組成。

首先，查詢用戶計(jì)算當(dāng)前查詢點(diǎn)所在的子區(qū)域編號(hào)，并將該編號(hào)發(fā)送給輔助服務(wù)器，輔助服務(wù)器返回給查詢用戶擁有對(duì)應(yīng)子區(qū)域的歷史查詢點(diǎn)的用戶組信息(即組中各用戶的IP信息)。

圖3 系統(tǒng)框架

然后，通過(guò)獲得的用戶組信息，查詢用戶利用P2P協(xié)議向組中各用戶發(fā)出請(qǐng)求(即請(qǐng)求所需的對(duì)應(yīng)子區(qū)域的歷史查詢點(diǎn)信息)，收到請(qǐng)求的用戶將自身緩存中的相關(guān)信息經(jīng)過(guò)處理后提供給查詢用戶下載(詳見(jiàn)定義10中的說(shuō)明)，查詢用戶從中查找與自身當(dāng)前查詢點(diǎn)興趣相同、距離相近且時(shí)間間隔較短的歷史查詢點(diǎn)。若找到，則將該歷史查詢點(diǎn)的興趣結(jié)果res值賦予當(dāng)前查詢點(diǎn)的res，然后將當(dāng)前查詢點(diǎn)存入自身緩存中。與此同時(shí)，該查詢用戶會(huì)選出偽查詢點(diǎn)，以它為中心構(gòu)建匿名區(qū)域，并發(fā)送匿名查詢信息給LSP以迷惑攻擊者，從而更好地解決連續(xù)查詢時(shí)的隱私保護(hù)問(wèn)題；若未找到，則以真實(shí)的查詢點(diǎn)為中心構(gòu)建匿名區(qū)域，并發(fā)送匿名查詢信息給LSP。如圖4所示，在時(shí)刻t1′到t3′時(shí)，查詢用戶從用戶組的緩存中獲得所需的查詢結(jié)果，再以偽查詢點(diǎn)為中心構(gòu)成k匿名。在t4′時(shí)，查詢用戶未從其他用戶的緩存信息中找到符合條件的歷史查詢點(diǎn)，因此，以真實(shí)查詢點(diǎn)為中心構(gòu)成k匿名。在上述情況下，攻擊者即使獲得了所有匿名查詢信息，在t1′到t3′時(shí)刻的偽查詢點(diǎn)也使其無(wú)法重構(gòu)出用戶的真實(shí)軌跡。

最后，LSP根據(jù)匿名查詢信息中的k個(gè)查詢點(diǎn)，從數(shù)據(jù)庫(kù)中找到每個(gè)查詢點(diǎn)所需的興趣信息(即Result)后，返回給匿名區(qū)域中的k個(gè)用戶。查詢用戶從Result中獲得自己所需的查詢結(jié)果，將其存入當(dāng)前查詢點(diǎn)的res，并將此查詢點(diǎn)存入自身緩存中。

圖4 本文方法的用戶軌跡

2.3 查詢過(guò)程

查詢用戶u在查詢所需的興趣結(jié)果時(shí)需經(jīng)歷兩個(gè)階段：用戶組查詢和查詢處理。

階段1 用戶組查詢。

(1)

其中，areax和areay分別是某地理區(qū)域在二維平面中x軸和y軸方向上的長(zhǎng)度。

階段2 查詢處理。

算法1 查詢處理。

1)

2)

flag=0;

3)

for eachuG(uG≠u) inGdo

5)

6)

7)

8)

9)

flag=1; break;

10)

end if

11)

end for

12)

ifflag==1 then

13)

break;

14)

end for

15)

ifflag==1 then

16)

利用從?uG中獲得的信息生成Qf;

17)

Anonymity(G,Qf);

//構(gòu)建匿名區(qū)域

18)

19)

else

20)

21)

22)

23)

end if

24)

end procedure

算法2 匿名區(qū)域的構(gòu)建。

1)

procedure Anonymity(G,Qx)

2)

ASRi←?;

3) for eachuG(uG≠u) inGdo

5)

6)

7)

8)

9)

end if

10)

end for

11)

if |ASRi|==kthen

12)

break;

13)

end if

14)

end for

15)

if |ASRi|

16)

fori=1 tok-|ASRi| do

17)

while 以Qx為中心, 隨機(jī)生成查詢點(diǎn)Qy

18)

ifQy?ASRi-1then

19)

break;

20)

end if

21)

end while

22)

ASRi←Qy;

23)

end for

24)

end if

25)

returnASRi;

26)

end procedure

3 復(fù)雜度分析

4 實(shí)驗(yàn)及分析

4.1 環(huán)境設(shè)置

實(shí)驗(yàn)通過(guò) C++編程實(shí)現(xiàn)，編譯器是Microsoft Visual Studio 2015，機(jī)器的配置是Intel Core i5-3230M CPU 2.60 GHz，8 GB內(nèi)存和Microsoft Windows 10操作系統(tǒng)。

本文通過(guò)編寫軌跡生成器來(lái)生成用戶軌跡，在1 000 m ×1 000 m的地圖信息上隨機(jī)生成多個(gè)用戶的軌跡信息，具體的參數(shù)設(shè)置見(jiàn)表1。

表1 參數(shù)設(shè)置

4.2 安全性評(píng)定

本文利用發(fā)送偽查詢點(diǎn)以及將多個(gè)查詢點(diǎn)隱藏在同一子區(qū)域的方法，使攻擊者無(wú)法重構(gòu)出用戶的真實(shí)軌跡，因此，通過(guò)偽查詢點(diǎn)比例α來(lái)評(píng)定軌跡隱私的安全性[12]，計(jì)算如式(2)所示。若一條軌跡中所生成的偽查詢點(diǎn)個(gè)數(shù)越多，則攻擊者越難獲得有用的信息，安全性也越高。本文通過(guò)隨機(jī)生成50條軌跡，測(cè)試用戶設(shè)定的最大偏離距離和最大緩存時(shí)間間隔對(duì)安全性的影響。

(2)

4.2.1 偏離距離對(duì)安全性的影響

圖5顯示了在用戶數(shù)為500和1 000時(shí)，最大偏離距離對(duì)α的影響。由圖5可知，當(dāng)最大偏離距離越大，α?xí)@著增大，原因是允許的最大偏離距離越大，越容易從用戶組中找到符合條件的歷史查詢點(diǎn)，生成偽查詢點(diǎn)的概率高，也就導(dǎo)致安全性提高。例如，當(dāng)distmax=10時(shí)，α=0.97(用戶數(shù)為1 000時(shí))，即一條軌跡中的查詢點(diǎn)幾乎都是偽查詢點(diǎn)；但最大偏離距離的增大，會(huì)導(dǎo)致查詢精度降低。本文根據(jù)用戶的隱私需求、地理位置精度需求以及當(dāng)前子區(qū)域緩存數(shù)據(jù)是否充足來(lái)決定最大偏離距離的最佳值。

4.2.2 最大緩存時(shí)間間隔對(duì)安全性的影響

圖6顯示了在用戶數(shù)為500和1 000時(shí)，最大緩存時(shí)間間隔對(duì)α的影響。由圖6可知，隨著最大緩存時(shí)間間隔的增大，α?xí)徛卦鲩L(zhǎng)。原因與上類似，即允許的最大緩存時(shí)間間隔越大，越容易從用戶組中找到符合條件的歷史查詢點(diǎn)，生成偽查詢點(diǎn)的概率變高，也就會(huì)導(dǎo)致安全性提高。若時(shí)間間隔越小，即當(dāng)前查詢點(diǎn)與匹配到的歷史查詢點(diǎn)的時(shí)間越接近，則查詢的精度就越高。一般來(lái)說(shuō)，城市的景點(diǎn)、超市、酒店不會(huì)在幾天之內(nèi)發(fā)生變化，因此，對(duì)于用戶緩存時(shí)間的維護(hù)，可以根據(jù)城市的變化周期以及緩存能力來(lái)設(shè)置。

圖5 最大偏離距離對(duì)α的影響

圖6 最大緩存時(shí)間間隔對(duì)α的影響

4.3 查詢效率的評(píng)定

4.3.1 子區(qū)域數(shù)對(duì)運(yùn)行時(shí)長(zhǎng)的影響

圖7顯示了子區(qū)域數(shù)對(duì)運(yùn)行時(shí)間的影響。由圖7可知，子區(qū)域數(shù)在100～400內(nèi)，運(yùn)行時(shí)間急劇減小，在400之后趨于平緩。子區(qū)域數(shù)增加會(huì)使子區(qū)域面積減少，若子區(qū)域面積小于匿名區(qū)域面積，則用戶一條軌跡中的多個(gè)查詢點(diǎn)會(huì)在不同子區(qū)域中。此時(shí)，攻擊者若獲得輔助服務(wù)器中子區(qū)域的數(shù)據(jù)，則可重構(gòu)出用戶的真實(shí)軌跡, 因此，子區(qū)域數(shù)要根據(jù)對(duì)輔助務(wù)器安全性的最低要求以及用戶允許的查詢時(shí)間來(lái)進(jìn)行設(shè)置。

圖7 子區(qū)域數(shù)對(duì)運(yùn)行時(shí)間的影響

4.3.2k對(duì)運(yùn)行時(shí)間的影響

圖8顯示了匿名程度k對(duì)運(yùn)行時(shí)間的影響。由圖8可知，本文方法中k對(duì)運(yùn)行時(shí)間的影響不大。本文方法利用組內(nèi)用戶的查詢點(diǎn)構(gòu)建匿名區(qū)域，運(yùn)行時(shí)間主要取決于組內(nèi)用戶數(shù)和緩存的查詢點(diǎn)數(shù)。在圖8中，出現(xiàn)運(yùn)行時(shí)間的偶爾波動(dòng)(如圖8中用戶數(shù)為500、k=8時(shí)的情況)或者是因?yàn)楫?dāng)組內(nèi)符合條件的查詢點(diǎn)不滿足k時(shí)，需隨機(jī)生成剩余查詢點(diǎn)或者是符合條件的歷史查詢點(diǎn)過(guò)少。

圖8 k對(duì)運(yùn)行時(shí)間的影響

4.4 與CTPP方法的對(duì)比

設(shè)置CTPP方法中的參數(shù)Hmax=5、R=20，用戶的當(dāng)前位置為其歷史軌跡中隨機(jī)的一個(gè)位置，其余參數(shù)設(shè)置與本文相同。

4.4.1 安全性

圖9是兩種方法下隨著用戶數(shù)增加，安全性的變化情況。由圖9可看出，本文方法的安全性高于CTPP方法。即使在用戶數(shù)相對(duì)少的情況下(用戶數(shù)=500)，本文方法的安全性也是CTPP方法安全性的兩倍多。原因是CTPP方法取決于查詢用戶的鄰居數(shù)，以及鄰居用戶緩存中是否擁有查詢用戶想要的查詢點(diǎn)。而本文方法直接與擁有對(duì)應(yīng)區(qū)域歷史查詢點(diǎn)的用戶共享所需信息，不再受到查詢時(shí)周圍是否有人的限制，且由于用戶組的歷史緩存中一定擁有用戶當(dāng)前查詢點(diǎn)所在區(qū)域的歷史查詢點(diǎn)，所以大幅提升了發(fā)送偽查詢點(diǎn)的可能性，從而提升了安全性。

圖9 兩種方法軌跡隱私安全性的對(duì)比

4.4.2 查詢效率

由圖10可看出，對(duì)于本文方法，當(dāng)子區(qū)域數(shù)為225時(shí)，每個(gè)子區(qū)域面積相對(duì)較大，每個(gè)子區(qū)域的用戶相對(duì)較多，用戶所要查詢的歷史查詢點(diǎn)也隨之較多，導(dǎo)致查詢時(shí)間比子區(qū)域數(shù)為400時(shí)的長(zhǎng)。對(duì)于CTPP方法，是通過(guò)多點(diǎn)跳躍，由多個(gè)用戶同時(shí)進(jìn)行信息傳遞，且每次只查詢相鄰用戶的緩存，因此耗時(shí)比本文方法在子區(qū)域數(shù)為225時(shí)的少。但是，當(dāng)本文方法的子區(qū)域數(shù)(如400)增加時(shí)，查詢時(shí)間比CTPP方法少。原因是：對(duì)于CTPP方法，由于一跳的相鄰用戶未必?fù)碛兴璧臍v史查詢點(diǎn)，可能需要對(duì)多跳鄰居用戶進(jìn)行查詢；而本文方法所獲得的用戶組必定擁有當(dāng)前區(qū)域的歷史查詢點(diǎn)，避免查詢大量無(wú)用數(shù)據(jù)。

圖10 兩種方法平均運(yùn)行時(shí)長(zhǎng)的對(duì)比

5 結(jié)語(yǔ)

本文提出了一種基于區(qū)域劃分的軌跡隱私保護(hù)方法，以解決連續(xù)查詢時(shí)軌跡隱私保護(hù)性欠缺和用戶數(shù)少時(shí)難以構(gòu)建匿名區(qū)域的問(wèn)題。該方法通過(guò)P2P協(xié)作共享歷史緩存，并通過(guò)構(gòu)造偽查詢點(diǎn)和使多個(gè)查詢點(diǎn)隱藏在同一子區(qū)域的方法，使得攻擊者或輔助服務(wù)器無(wú)法重構(gòu)出用戶的真實(shí)軌跡，從而保護(hù)用戶的軌跡隱私。與CTPP方法相比，本文方法既提高了軌跡的安全性，又在一定程度上改善了查詢效率。

下一步將通過(guò)打亂用戶向輔助服務(wù)器查詢的時(shí)間和順序，以及考慮在構(gòu)造偽查詢點(diǎn)和生成k匿名時(shí)隨機(jī)生成的查詢點(diǎn)真實(shí)性，進(jìn)一步提升用戶軌跡隱私的安全性。