李雯萱，吳昊，李昌松

基于語(yǔ)義的位置隱私保護(hù)綜述

李雯萱1，2，吳昊1，3，4*，李昌松1，3

（1.軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室（北京交通大學(xué)），北京 100044； 2.北京交通大學(xué) 電子信息工程學(xué)院，北京 100044； 3.北京交通大學(xué) 智慧高鐵系統(tǒng)前沿科學(xué)中心，北京 100044； 4.北京市高速鐵路寬帶移動(dòng)通信工程技術(shù)研究中心，北京 100044）（ ? 通信作者電子郵箱hwu@bjtu.edu.cn）

5G時(shí)代的到來(lái)使基于位置的服務(wù)（LBS）應(yīng)用更加廣泛，但用戶(hù)在享受LBS帶來(lái)的巨大便利時(shí)，也會(huì)面對(duì)由位置服務(wù)引發(fā)的諸多隱私泄露問(wèn)題。為了加強(qiáng)匿名的安全性，提高數(shù)據(jù)效用，對(duì)抗擁有一定背景知識(shí)的攻擊以及保護(hù)用戶(hù)的敏感信息，研究者們提出了基于語(yǔ)義的位置隱私保護(hù)機(jī)制。首先，對(duì)位置隱私保護(hù)系統(tǒng)結(jié)構(gòu)和傳統(tǒng)的保護(hù)技術(shù)進(jìn)行介紹；其次，分析了基于語(yǔ)義的隱私泄露和攻擊方式，給出了結(jié)合語(yǔ)義的位置隱私保護(hù)需求，重點(diǎn)從單點(diǎn)位置隱私保護(hù)和軌跡隱私保護(hù)兩個(gè)方面綜述了基于語(yǔ)義的位置隱私保護(hù)研究中最新的關(guān)鍵技術(shù)和成果；最后，對(duì)未來(lái)技術(shù)發(fā)展趨勢(shì)和下一步研究工作進(jìn)行展望。

隱私保護(hù)；位置語(yǔ)義；位置服務(wù)；位置數(shù)據(jù)；軌跡數(shù)據(jù)

0 引言

隨著5G無(wú)線通信及車(chē)聯(lián)網(wǎng)（Internet of Vehicles， IoV）的快速發(fā)展，移動(dòng)設(shè)備和定位技術(shù)得到極大普及，基于位置的服務(wù)（Location-Based Service， LBS）逐漸滲透到人們社會(huì)生活的各個(gè)領(lǐng)域，如物流與運(yùn)輸、周邊興趣點(diǎn)（Points Of Interest， POI）查詢(xún)、緊急救援、服務(wù)推薦［1］等。根據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，CNNIC）發(fā)布的《第49次中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告》［2］，截至2021年12月，網(wǎng)上外賣(mài)和網(wǎng)約車(chē)的用戶(hù)規(guī)模分別達(dá)5.44億和4.53億，短視頻用戶(hù)規(guī)模達(dá)到9.34億。同時(shí)，智慧城市基礎(chǔ)設(shè)施與智能網(wǎng)聯(lián)汽車(chē)協(xié)同發(fā)展，也將推動(dòng)LBS的發(fā)展［3］，可以預(yù)測(cè)未來(lái)LBS會(huì)越來(lái)越普及。

LBS依賴(lài)于大規(guī)模、多樣化、高質(zhì)量的位置數(shù)據(jù)，隨著《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》的頒布，數(shù)據(jù)隱私保護(hù)成為有效合規(guī)使用位置數(shù)據(jù)必須考慮的因素。然而，即使是在移動(dòng)終端APP中采用了嚴(yán)苛的地理位置策略（例如僅在使用時(shí)授權(quán)位置信息），也不意味著就能妥善保護(hù)個(gè)人的數(shù)據(jù)。廣受歡迎的Facebook、陌陌等社交軟件曾被指出存在嚴(yán)重的數(shù)據(jù)泄露問(wèn)題［4］，一旦這些應(yīng)用存在“越界”行為，收集的用戶(hù)信息被惡意兜售或竊取，將嚴(yán)重危害用戶(hù)的信息安全［5］。數(shù)據(jù)信息中最為敏感的就是位置信息，而社交應(yīng)用恰恰嚴(yán)重依賴(lài)于位置信息。有研究專(zhuān)家開(kāi)發(fā)了TrackAdvisor應(yīng)用程序在69名用戶(hù)設(shè)備上進(jìn)行實(shí)驗(yàn)，試圖確認(rèn)通過(guò)位置追蹤能夠收集到用戶(hù)個(gè)人信息的數(shù)量，最終結(jié)果顯示該應(yīng)用可識(shí)別約2 500個(gè)地點(diǎn)以及5 000條個(gè)人信息，而僅通過(guò)查看這些位置信息便可以推斷出用戶(hù)的健康狀況、經(jīng)濟(jì)狀況等敏感信息［6］。

盡管針對(duì)位置隱私泄露帶來(lái)的安全威脅［7］相繼出現(xiàn)了越來(lái)越多的保護(hù)技術(shù)，但這些技術(shù)大多采用的方法是對(duì)空間位置進(jìn)行擾動(dòng)，沒(méi)有考慮位置間的語(yǔ)義信息等復(fù)雜情況。伴隨著機(jī)器學(xué)習(xí)的發(fā)展，由數(shù)據(jù)驅(qū)動(dòng)的機(jī)器學(xué)習(xí)模型往往可以從大量數(shù)據(jù)中心預(yù)測(cè)出相關(guān)的推理信息，使得針對(duì)位置數(shù)據(jù)的攻擊手段和分析方法更加全面和復(fù)雜［8］，僅針對(duì)空間位置擾動(dòng)的策略無(wú)法抵御深層次的語(yǔ)義推理攻擊。例如，經(jīng)典位置隱私保護(hù)技術(shù)Geo-Indistinguishability［9］處理后的脫敏軌跡集可以抵御基于Markov的攻擊，但無(wú)法抵抗使用深度神經(jīng)網(wǎng)絡(luò)的攻擊算法［10］。因此，研究基于語(yǔ)義的位置隱私保護(hù)技術(shù)對(duì)于對(duì)抗擁有一定背景知識(shí)的攻擊以及深層保護(hù)用戶(hù)敏感信息具有重要意義。

1 LBS隱私保護(hù)

LBS指移動(dòng)終端借助通信技術(shù)和定位技術(shù)獲取服務(wù)提供商帶來(lái)的相關(guān)服務(wù)。一旦用戶(hù)信息泄露，攻擊者可以通過(guò)用戶(hù)的位置信息和查詢(xún)信息推測(cè)出個(gè)人的敏感信息，因此需要對(duì)隱私保護(hù)進(jìn)行研究。隱私保護(hù)主要有兩個(gè)方向值得關(guān)注：一是對(duì)位置隱私泄露問(wèn)題進(jìn)行研究；二是研究更有效的LBS隱私保護(hù)技術(shù)。本章將針對(duì)位置隱私泄露問(wèn)題和隱私保護(hù)的主流技術(shù)與架構(gòu)展開(kāi)討論。

1.1　LBS位置隱私泄露的度量

造成LBS隱私泄露的因素很多，設(shè)計(jì)有效的隱私保護(hù)算法仍具有挑戰(zhàn)性，因此在隱私保護(hù)中不可避免地存在追求數(shù)據(jù)可用性和隱私泄露之間的平衡問(wèn)題。要解決這個(gè)問(wèn)題，就需要對(duì)隱私泄露進(jìn)行評(píng)估，這勢(shì)必會(huì)涉及隱私量化［11］和隱私泄露的度量問(wèn)題。

此外，條件熵和平均互信息［13］也可以用來(lái)度量隱私泄露程度。分別表示為式（2）、（3）：

隱私量化受到實(shí)際場(chǎng)景的限制，應(yīng)用范圍有限［14］。針對(duì)不同場(chǎng)景下的隱私保護(hù)算法，學(xué)者們相繼提出了多種隱私泄露度量方法。例如：定義多樣性攻擊并且提出衡量多樣性攻擊下的隱私泄露計(jì)算方法［15］；定義轉(zhuǎn)移熵衡量連續(xù)查詢(xún)下的用戶(hù)隱私泄露情況［16］；將熵集成到所提出的混淆方案中評(píng)估隱私泄露［17］；使用歐氏距離計(jì)算用戶(hù)位置擾動(dòng)前后的差值從而獲得泄露的信息量［18］。對(duì)隱私泄露進(jìn)行合理度量并且最小化隱私泄露能夠使用戶(hù)信息更加安全，促進(jìn)LBS隱私保護(hù)技術(shù)的優(yōu)化。

1.2　LBS隱私保護(hù)中的主流技術(shù)

目前LBS隱私保護(hù)中的主流技術(shù)有假名、-匿名、差分隱私、mix-zone［19］、加密等。

-匿名是許多隱私保護(hù)方法的基礎(chǔ)，它的原理是保證向LBS服務(wù)器發(fā)送的匿名集中的每一條個(gè)體記錄在敏感屬性方面不能與其他1個(gè)個(gè)體區(qū)分，因此被攻擊概率為1/。?匿名依據(jù)空間位置特性通過(guò)不同的位置篩選方法構(gòu)造出符合條件的匿名集［20］，為了進(jìn)一步保護(hù)用戶(hù)信息，許多技術(shù)也會(huì)結(jié)合查詢(xún)概率［21］和時(shí)間特征［22］進(jìn)行匿名保護(hù)。

差分隱私［23］通過(guò)Laplace機(jī)制和指數(shù)機(jī)制來(lái)對(duì)應(yīng)實(shí)現(xiàn)數(shù)值型和非數(shù)值型數(shù)據(jù)的隱私保護(hù)［24］。如利用Hilbert曲線將用戶(hù)位置映射到一維空間，通過(guò)Laplace機(jī)制對(duì)位置信息進(jìn)行擾動(dòng)［25］。為了防止第三方服務(wù)器泄露信息，有學(xué)者進(jìn)一步提出本地差分隱私［26］以及結(jié)合加密［27］的保護(hù)方法。

假名技術(shù)［28］通過(guò)給用戶(hù)一個(gè)臨時(shí)的假名來(lái)打破用戶(hù)與查詢(xún)之間的關(guān)聯(lián)，通過(guò)頻繁地更換假名以減少攻擊者推斷用戶(hù)身份的機(jī)會(huì)。

盡管傳統(tǒng)的空間匿名技術(shù)考慮了地理環(huán)境、查詢(xún)概率或時(shí)間特征，然而這些技術(shù)大多沒(méi)有考慮結(jié)合位置語(yǔ)義信息，攻擊者仍可以根據(jù)道路網(wǎng)絡(luò)的位置語(yǔ)義的相關(guān)知識(shí)去推斷出用戶(hù)的敏感信息，導(dǎo)致基于語(yǔ)義的隱私泄露［29］。第2章將詳細(xì)分析并給出基于語(yǔ)義的位置隱私攻擊形式。

1.3　LBS隱私保護(hù)架構(gòu)

LBS隱私保護(hù)技術(shù)一般由三種架構(gòu)實(shí)現(xiàn)：集中式架構(gòu)、分布式架構(gòu)和混合式架構(gòu)［30］。表1總結(jié)了這三種隱私保護(hù)架構(gòu)的優(yōu)缺點(diǎn)，圖1則展示了它們的具體結(jié)構(gòu)。

表1　LBS隱私保護(hù)架構(gòu)對(duì)比

1）集中式架構(gòu)。該架構(gòu)在移動(dòng)用戶(hù)和LBS服務(wù)提供商之間部署一個(gè)第三方可信的匿名服務(wù)器，匿名服務(wù)器可以用來(lái)隱藏用戶(hù)的真實(shí)位置，向LBS服務(wù)提供商轉(zhuǎn)發(fā)用戶(hù)查詢(xún)。

2）分布式架構(gòu)。該架構(gòu)通過(guò)若干個(gè)移動(dòng)用戶(hù)之間的通信形成一個(gè)匿名組來(lái)完成隱私保護(hù)，所有用戶(hù)都是平等的節(jié)點(diǎn)，每個(gè)用戶(hù)根據(jù)需求分別完成各自的位置匿名。將匿名組和查詢(xún)請(qǐng)求轉(zhuǎn)發(fā)給LBS服務(wù)提供商后，LBS服務(wù)提供商對(duì)用戶(hù)的查詢(xún)請(qǐng)求進(jìn)行處理，處理完成后將數(shù)據(jù)結(jié)果集返回給查詢(xún)用戶(hù)。

3）混合式架構(gòu)。該架構(gòu)是基于集中式架構(gòu)和分布式架構(gòu)的混合模型。在該架構(gòu)中，若用戶(hù)數(shù)量達(dá)到構(gòu)建匿名組要求，則可以使用分布式架構(gòu)進(jìn)行隱私保護(hù)；而在用戶(hù)稀疏時(shí)則選擇集中式架構(gòu)進(jìn)行隱私保護(hù)。

圖1　LBS隱私保護(hù)架構(gòu)

2 基于語(yǔ)義的位置隱私安全威脅與保護(hù)需求

2.1　基于語(yǔ)義的位置隱私泄露分析

基于語(yǔ)義的位置隱私泄露與位置語(yǔ)義密切相關(guān)，在位置隱私保護(hù)的研究中引入位置語(yǔ)義對(duì)增強(qiáng)用戶(hù)的隱私保護(hù)能力至關(guān)重要。位置語(yǔ)義是指位置地理環(huán)境的定性描述，通常由該位置的社會(huì)功能決定，可將位置分類(lèi)為醫(yī)院、博物館、學(xué)校等。基于位置語(yǔ)義，延伸出了更加豐富的語(yǔ)義特征，如流行度、敏感度等。

如果一個(gè)匿名區(qū)域只包括若干具有相同語(yǔ)義的位置，則不能抵御基于語(yǔ)義的推理攻擊。位置的語(yǔ)義特性作為位置數(shù)據(jù)的一個(gè)維度長(zhǎng)期被大多數(shù)位置保護(hù)方案所忽視，造成語(yǔ)義的隱私泄露?；谡Z(yǔ)義的隱私泄露主要可分為查詢(xún)隱私泄露和位置隱私泄露兩類(lèi)。

2.1.1查詢(xún)隱私泄露

查詢(xún)隱私泄露主要發(fā)生在用戶(hù)使用LBS階段，當(dāng)用戶(hù)將查詢(xún)請(qǐng)求發(fā)送給LBS提供商時(shí)，如果查詢(xún)請(qǐng)求被惡意截獲，會(huì)暴露位置隱私并且根據(jù)該隱私推斷出其他敏感信息。查詢(xún)隱私可以分為快照查詢(xún)隱私和連續(xù)查詢(xún)隱私［31］?？煺詹樵?xún)僅在用戶(hù)有需要時(shí)進(jìn)行查詢(xún)，連續(xù)查詢(xún)則要求服務(wù)器每隔一段時(shí)間返回一次結(jié)果，因此連續(xù)查詢(xún)隱私保護(hù)需要在快照查詢(xún)隱私保護(hù)的基礎(chǔ)上考慮位置攻擊跟蹤。

此外，當(dāng)攻擊者對(duì)匿名服務(wù)器發(fā)起攻擊時(shí)，用戶(hù)的查詢(xún)隱私遭到泄露，這時(shí)可以使用-匿名方法保護(hù)真實(shí)的請(qǐng)求位置，但若查詢(xún)的內(nèi)容和用戶(hù)的請(qǐng)求位置語(yǔ)義相關(guān)，用戶(hù)的個(gè)人敏感隱私信息也會(huì)遭到泄露。如：當(dāng)攻擊者知道Alice的查詢(xún)內(nèi)容為“附近哪里有美食”可以推斷Alice可能位于與日?；顒?dòng)相密切的位置語(yǔ)義（家庭、學(xué)校和公司），而不是位于與電影院、餐館和酒吧等查詢(xún)概率較低的位置語(yǔ)義。假設(shè)Bob從銀行取款后搜索“附近的皮膚醫(yī)院”，如果僅為用戶(hù)的位置提供保護(hù)，不為用戶(hù)的查詢(xún)位置提供保護(hù)，也將遭到隱私泄露，因?yàn)橛脩?hù)的查詢(xún)位置反映了用戶(hù)的需求。

2.1.2位置隱私泄露

位置隱私泄露主要發(fā)生在不可信第三方獲取到用戶(hù)訪問(wèn)位置以及在該位置存在逗留時(shí)間的場(chǎng)景下。位置隱私保護(hù)中用戶(hù)身份是敏感信息，攻擊者可以結(jié)合先驗(yàn)知識(shí)將用戶(hù)身份和實(shí)際位置聯(lián)系起來(lái)。位置隱私保護(hù)的目的是隱藏位置與用戶(hù)之間的關(guān)系。

不同用戶(hù)對(duì)不同的位置語(yǔ)義敏感度不同，將用戶(hù)的不同偏好納入隱私保護(hù)方案可以增強(qiáng)匿名集安全性。如：John是一名醫(yī)生，認(rèn)為醫(yī)院是不敏感的位置語(yǔ)義；但Alice是超市員工，不經(jīng)常去醫(yī)院，醫(yī)院對(duì)她來(lái)說(shuō)是敏感的位置語(yǔ)義。因此，由于用戶(hù)對(duì)不同位置的語(yǔ)義敏感度不同，應(yīng)該獲得個(gè)性化保護(hù)。

敏感語(yǔ)義位置是用戶(hù)認(rèn)為敏感程度較高的位置，與用戶(hù)訪問(wèn)位置的頻次有關(guān)。通過(guò)敏感語(yǔ)義位置可以識(shí)別出不同用戶(hù)的訪問(wèn)模式，并且訪問(wèn)模式與用戶(hù)的角色和偏好有關(guān)［32］。由于不同用戶(hù)對(duì)各類(lèi)位置的訪問(wèn)頻率不同，當(dāng)攻擊者知道這一點(diǎn)時(shí)，可以根據(jù)用戶(hù)的訪問(wèn)習(xí)慣推斷出最不可能訪問(wèn)的匿名位置，從而損害匿名安全性。例如，假定用戶(hù)只對(duì)敏感位置隱私進(jìn)行保護(hù)，當(dāng)攻擊者查詢(xún)到Alice的位置匿名集中含有書(shū)店、學(xué)校和快餐店三種語(yǔ)義類(lèi)型，書(shū)店訪問(wèn)頻次少，認(rèn)為是Alice的敏感語(yǔ)義位置，學(xué)校和快餐店訪問(wèn)頻次高，不是敏感語(yǔ)義位置，因此便可以過(guò)濾掉學(xué)校和快餐店，認(rèn)為Alice處于書(shū)店。這種位置隱私泄露是由于攻擊者知道Alice的個(gè)人訪問(wèn)模式造成的。

2.2　基于語(yǔ)義的位置隱私攻擊類(lèi)型

針對(duì)可能存在的隱私泄露時(shí)的風(fēng)險(xiǎn)，攻擊者可以發(fā)起基于語(yǔ)義的隱私攻擊，主要表現(xiàn)為語(yǔ)義推理攻擊和語(yǔ)義重識(shí)別攻擊兩種類(lèi)型。

2.2.1語(yǔ)義推理攻擊

攻擊者試圖將非法獲得的由位置隱私保護(hù)機(jī)制處理后的匿名集與先驗(yàn)背景知識(shí)結(jié)合，進(jìn)而推斷出用戶(hù)的位置語(yǔ)義、實(shí)際位置、家庭狀況、社會(huì)關(guān)系等敏感信息的行為。

基于語(yǔ)義的推理攻擊模型中通常假設(shè)攻擊者擁有城市位置語(yǔ)義道路網(wǎng)絡(luò)和隱私保護(hù)算法的信息。即，攻擊者已知城市道路網(wǎng)絡(luò)的連接情況和所有位置語(yǔ)義的分布情況。

例如，攻擊者通過(guò)對(duì)非法獲取的匿名集中所有位置進(jìn)行語(yǔ)義分析，如果發(fā)現(xiàn)它們具有相同的語(yǔ)義（例如醫(yī)療場(chǎng)所），則可判定用戶(hù)的真實(shí)位置具有這一語(yǔ)義特征，進(jìn)一步推測(cè)出用戶(hù)的當(dāng)前狀況（例如就醫(yī)）；軌跡合并時(shí)，攻擊者根據(jù)匿名集和整個(gè)城市的位置語(yǔ)義分布的對(duì)比情況，發(fā)現(xiàn)兩者語(yǔ)義分布中存在不同的異常位置語(yǔ)義（例如工業(yè)，通常遠(yuǎn)離市中心），由于在匿名集生成時(shí)考慮地理因素，優(yōu)先選擇用戶(hù)附近軌跡合并，因此攻擊者可以推斷該異常位置語(yǔ)義（工業(yè)）與用戶(hù)附近獨(dú)特的環(huán)境有關(guān)，從而推測(cè)與用戶(hù)社會(huì)活動(dòng)相關(guān)的信息（例如從事工業(yè)相關(guān)工作或居住在遠(yuǎn)郊）。

2.2.2語(yǔ)義重識(shí)別攻擊

重識(shí)別攻擊是攻擊者通過(guò)匿名集或軌跡分段推斷出用戶(hù)的個(gè)人身份信息或跟蹤未來(lái)的地理位置的行為。在軌跡離線發(fā)布中，服務(wù)提供商通常對(duì)移動(dòng)用戶(hù)的軌跡進(jìn)行處理后進(jìn)行發(fā)布，當(dāng)攻擊者可以獲取到其他外部公共資源時(shí)，結(jié)合獲取到的已知軌跡信息也可以推測(cè)出用戶(hù)的身份。

該攻擊模型通常假設(shè)攻擊者可以訪問(wèn)已知用戶(hù)身份的公共軌跡和一些包含私人信息的匿名軌跡，從而結(jié)合背景知識(shí)實(shí)現(xiàn)軌跡間的匹配。

例如，攻擊者通過(guò)觀察Bob獲得他的部分移動(dòng)軌跡（依次為豐華小區(qū)—醫(yī)院—A餐館—醫(yī)院），結(jié)合背景知識(shí)推斷出匿名集中符合條件的軌跡（依次為豐華小區(qū)—醫(yī)院—A餐館—醫(yī)院—豐華小區(qū)健身房），以此可以獲得Bob的完整軌跡，并且認(rèn)為Bob是醫(yī)務(wù)工作者。

2.3　基于語(yǔ)義的位置隱私保護(hù)需求

傳統(tǒng)的位置隱私保護(hù)方法的核心思想是把用戶(hù)真實(shí)位置或行為信息掩藏在虛假信息中，以達(dá)到隱私保護(hù)的作用。隨著移動(dòng)用戶(hù)LBS的普及，用戶(hù)產(chǎn)生了語(yǔ)義豐富的海量數(shù)據(jù)，如地理位置語(yǔ)義、時(shí)間語(yǔ)義等，然而大部分隱私保護(hù)方案沒(méi)有充分考慮語(yǔ)義的影響，容易遭受基于語(yǔ)義的隱私攻擊，造成語(yǔ)義隱私泄露。因此，基于語(yǔ)義的位置隱私保護(hù)機(jī)制需要充分考慮匿名集中位置語(yǔ)義的多樣性、敏感度等因素。

例如，針對(duì)位置隱私泄露，假設(shè)Alice在公立醫(yī)院發(fā)起查詢(xún)，并且?guī)狭恕肮⑨t(yī)院”這一位置語(yǔ)義時(shí)，匿名服務(wù)器需要根據(jù)用戶(hù)隱私需求生成符合條件的匿名集。具體步驟如圖2所示。

1）采用-匿名對(duì)位置隱私進(jìn)行保護(hù)。假設(shè)=3，由于醫(yī)院人流量大，生成的匿名集中所有用戶(hù)的位置語(yǔ)義均為醫(yī)院，攻擊者仍然可以判斷Alice在進(jìn)行醫(yī)療活動(dòng)。

2）將位置語(yǔ)義多樣性納入位置隱私保護(hù)機(jī)制，生成的匿名集中位置語(yǔ)義包括“公立醫(yī)院、私人診所和口腔醫(yī)院”，攻擊者仍然可以利用三個(gè)類(lèi)似的位置語(yǔ)義推斷出Alice在進(jìn)行醫(yī)療活動(dòng)。

3）進(jìn)一步考慮位置語(yǔ)義分類(lèi)顆粒度，將若干醫(yī)院劃分為一大類(lèi)，重新生成的匿名集位置語(yǔ)義包括“公立醫(yī)院、銀行和學(xué)?！保珹lice被推斷出真實(shí)位置位于醫(yī)院的可能性大大降低。

4）“銀行”這一位置語(yǔ)義對(duì)于Alice而言較為敏感，則進(jìn)行匿名集構(gòu)建時(shí)可以?xún)A向于選擇Alice不敏感的語(yǔ)義位置。若圖書(shū)館相較于銀行而言，敏感度較低，則可以將圖書(shū)館納入匿名集。

5）當(dāng)考慮移動(dòng)用戶(hù)發(fā)起請(qǐng)求的時(shí)間語(yǔ)義時(shí)，攻擊者可以根據(jù)時(shí)間信息對(duì)匿名集中的位置語(yǔ)義進(jìn)行過(guò)濾。如，Alice的查詢(xún)時(shí)間為凌晨1點(diǎn)，當(dāng)匿名集的位置語(yǔ)義包含“公立醫(yī)院、學(xué)校和圖書(shū)館”時(shí)，攻擊者可以排除圖書(shū)館這一位置語(yǔ)義，因此，可以考慮將深夜?fàn)I業(yè)的餐館納入匿名集中，生成最終匿名集，以抵抗基于語(yǔ)義的隱私攻擊。

對(duì)用戶(hù)來(lái)說(shuō)，醫(yī)療信息為敏感信息，敏感信息需要更高級(jí)別的保護(hù)。若能充分考慮用戶(hù)的位置語(yǔ)義，攻擊者將無(wú)法推理出Alice的隱私信息。因此在生成匿名集時(shí)需要充分考慮語(yǔ)義特性。

圖2　考慮位置語(yǔ)義的匿名集生成

3 基于位置語(yǔ)義的隱私保護(hù)技術(shù)進(jìn)展

3.1　基于語(yǔ)義的單點(diǎn)位置隱私保護(hù)

為了解決快照查詢(xún)帶來(lái)的用戶(hù)位置隱私泄露問(wèn)題，以及抵御基于語(yǔ)義的隱私攻擊，國(guó)內(nèi)外學(xué)者提出了相應(yīng)的基于位置語(yǔ)義的隱私保護(hù)算法。

3.1.1基于語(yǔ)義安全的-匿名

基于語(yǔ)義安全的-匿名在傳統(tǒng)的-匿名基礎(chǔ)上考慮了位置語(yǔ)義，即同時(shí)計(jì)算位置間的物理距離和語(yǔ)義距離來(lái)構(gòu)造匿名集。其中語(yǔ)義距離用來(lái)測(cè)量?jī)蓚€(gè)位置之間的語(yǔ)義差異，語(yǔ)義距離越大，語(yǔ)義相似度越小，語(yǔ)義安全程度越高。

文獻(xiàn)［33］中使用超概念距離（Super Concept-based Distance， SCD）計(jì)算兩個(gè)位置之間的語(yǔ)義距離，進(jìn)而計(jì)算出語(yǔ)義相似度。首先，選擇與真實(shí)位置語(yǔ)義距離相近的位置組成匿名集；其次，計(jì)算歐氏距離，根據(jù)所提算法進(jìn)一步縮小匿名集；最后，從匿名集中選出1個(gè)語(yǔ)義相似度和歐氏距離乘積較大的假位置與真實(shí)位置組成最終匿名集，但該算法忽略了用戶(hù)的隱私需求差異性，語(yǔ)義隱私和地理隱私應(yīng)該跟隨用戶(hù)的需求動(dòng)態(tài)可調(diào)節(jié)，因此需要對(duì)語(yǔ)義距離和歐氏距離進(jìn)行合理編排。文獻(xiàn)［34］中進(jìn)一步考慮用戶(hù)隱私需求差異性，使用Jaro-Winkler相似度衡量位置間的語(yǔ)義距離，在同時(shí)考慮查詢(xún)概率和語(yǔ)義距離的基礎(chǔ)上，設(shè)置可調(diào)節(jié)比例因子的綜合距離（包含物理距離和語(yǔ)義距離）進(jìn)行假位置選擇。文獻(xiàn)［35］中提出依次根據(jù)查詢(xún)概率、物理距離和語(yǔ)義距離進(jìn)行三輪位置篩選構(gòu)造匿名集的方法。雖然文獻(xiàn)［33-35］均可以提升匿名集的語(yǔ)義安全，但是僅考慮了位置的語(yǔ)義距離這一屬性，沒(méi)有考慮位置語(yǔ)義流行度、語(yǔ)義敏感度等重要屬性，而這些屬性也是暴露用戶(hù)敏感信息的因素。

在路網(wǎng)環(huán)境下，文獻(xiàn)［36］中將道路網(wǎng)絡(luò)建模為帶有語(yǔ)義信息的無(wú)向圖，在構(gòu)建匿名集時(shí)計(jì)算不同語(yǔ)義類(lèi)型的位置對(duì)道路敏感度的影響；但是位置語(yǔ)義類(lèi)別較少，缺乏實(shí)際應(yīng)用性。文獻(xiàn)［37］在此基礎(chǔ)上構(gòu)建帶有語(yǔ)義信息的邊簇圖，建立位置語(yǔ)義屬性集，其中包含位置類(lèi)型、位置流行度和敏感度，這彌補(bǔ)了僅考慮語(yǔ)義距離的不足，達(dá)到滿(mǎn)足用戶(hù)多樣的隱私需求的目的。位置流行度為位置受用戶(hù)喜愛(ài)的程度，代表用戶(hù)接近某一位置的概率，位置可以分為不同類(lèi)型，如學(xué)校、銀行和醫(yī)院等，一般情況下用戶(hù)訪問(wèn)不同語(yǔ)義類(lèi)型的位置概率不同，流行度越高，用戶(hù)越有可能出現(xiàn)在該位置。

上述用戶(hù)人工設(shè)置敏感語(yǔ)義位置的過(guò)程較煩瑣，為了改善用戶(hù)的服務(wù)體驗(yàn)，文獻(xiàn)［38］中設(shè)計(jì)了一種半自動(dòng)化獲取用戶(hù)敏感權(quán)重的方法，在現(xiàn)有位置隱私保護(hù)框架基礎(chǔ)上，根據(jù)用戶(hù)對(duì)位置語(yǔ)義的敏感度不同自動(dòng)生成敏感權(quán)重文檔，從而快速獲得用戶(hù)的位置敏感度偏好，結(jié)合強(qiáng)化學(xué)習(xí)獲得用戶(hù)位置-匿名的最佳協(xié)作路段，同時(shí)對(duì)用戶(hù)位置和查詢(xún)位置進(jìn)行保護(hù)，達(dá)到隱私保護(hù)效果。雖然該方法可以根據(jù)用戶(hù)偏好有效提升服務(wù)質(zhì)量和進(jìn)行隱私保護(hù)，但是在位置語(yǔ)義稀疏的地區(qū)無(wú)法有效執(zhí)行匿名算法。

位置語(yǔ)義樹(shù)包含明確的層次結(jié)構(gòu)，有利于將位置語(yǔ)義進(jìn)行細(xì)粒度區(qū)分，利用這種層次結(jié)構(gòu)可以定義位置語(yǔ)義的相關(guān)參數(shù)［40］。文獻(xiàn)［41］中考慮查詢(xún)概率，在查詢(xún)前，終端用戶(hù)向Wi-Fi接入點(diǎn)請(qǐng)求獲取當(dāng)前覆蓋范圍內(nèi)的地圖信息、位置語(yǔ)義樹(shù)及歷史查詢(xún)概率，在匿名集生成時(shí)，通過(guò)建立最大最小假位置選擇（Maximum and Minimum Dummy Selection， MMDS）算法保證匿名集中的位置之間查詢(xún)概率和語(yǔ)義距離分別都更接近。將地理位置根據(jù)語(yǔ)義類(lèi)型構(gòu)建位置語(yǔ)義樹(shù)，在計(jì)算語(yǔ)義距離時(shí)，每個(gè)葉節(jié)點(diǎn)表示地圖上的真實(shí)位置，每個(gè)非葉節(jié)點(diǎn)表示它的子節(jié)點(diǎn)的類(lèi)別，語(yǔ)義距離為語(yǔ)義樹(shù)中兩個(gè)位置葉節(jié)點(diǎn)之間的跳數(shù)。如圖3所示，實(shí)驗(yàn)小學(xué)和職業(yè)技術(shù)學(xué)院的語(yǔ)義距離為3，社區(qū)和文化展覽館的語(yǔ)義距離為6。

文獻(xiàn)［43］中考慮到匿名環(huán)境中位置點(diǎn)稀疏的問(wèn)題，針對(duì)文獻(xiàn)［41］中對(duì)位置語(yǔ)義和位置離散度度量粗略的問(wèn)題進(jìn)行改進(jìn)，提出假位置干擾隱私保護(hù)（Dummy Location Interference Privacy， DLIP）算法，使用Heron公式計(jì)算位置間離散度，結(jié)合WordNet計(jì)算語(yǔ)義相似度，增強(qiáng)了算法實(shí)用性。

雖然上述工作可以有效防止語(yǔ)義攻擊，但是采用集中式架構(gòu)仍會(huì)對(duì)用戶(hù)信息產(chǎn)生隱私威脅。為進(jìn)一步保護(hù)用戶(hù)數(shù)據(jù)安全，文獻(xiàn)［44-45］中使用分布式架構(gòu)避免第三方帶來(lái)的安全問(wèn)題，但是文獻(xiàn)［44］中僅考慮了語(yǔ)義類(lèi)別多樣性，而文獻(xiàn)［45］在對(duì)語(yǔ)義位置進(jìn)行選擇時(shí)，構(gòu)建語(yǔ)義層次樹(shù)，將基于智能合約的SDE模型用于匿名位置選擇，在保證語(yǔ)義多樣性的同時(shí)，提高不同類(lèi)別位置語(yǔ)義占總位置比例的均衡程度，進(jìn)一步提升匿名集安全。SDE與直接使用匿名集中位置語(yǔ)義類(lèi)別的數(shù)量不同，它可以反映語(yǔ)義類(lèi)別總數(shù)對(duì)語(yǔ)義安全的影響以及每個(gè)語(yǔ)義類(lèi)別的數(shù)量對(duì)整體語(yǔ)義安全的影響，可以表示為：

根據(jù)向LBS發(fā)起查詢(xún)請(qǐng)求的路段上的用戶(hù)數(shù)量來(lái)推斷查詢(xún)用戶(hù)位置的概率推斷方法被稱(chēng)為邊權(quán)攻擊。文獻(xiàn)［46］中考慮了道路語(yǔ)義特征，提出防邊權(quán)和語(yǔ)義推理攻擊的位置隱私保護(hù)算法，將道路的敏感度和關(guān)聯(lián)度相結(jié)合構(gòu)建道路隱私度，描述道路在語(yǔ)義位置的敏感性，篩選道路隱私度最小的道路加入匿名集。該方法使每條道路上的用戶(hù)分布較均衡，并且保證了用戶(hù)的語(yǔ)義安全；但是該方法也存在位置語(yǔ)義類(lèi)別少的不足，沒(méi)有充分考慮實(shí)際地區(qū)的豐富的語(yǔ)義類(lèi)型。

語(yǔ)義編碼是另一種計(jì)算語(yǔ)義距離的方法：語(yǔ)義距離可以通過(guò)語(yǔ)義編碼之間的差值表示。根據(jù)POI標(biāo)準(zhǔn)［47］，眼科醫(yī)院的語(yǔ)義編碼為140 502，骨科醫(yī)院的語(yǔ)義編碼為140 516，因此語(yǔ)義距離為14。文獻(xiàn)［48］中將位置語(yǔ)義進(jìn)行編碼，進(jìn)而計(jì)算位置間語(yǔ)義距離。根據(jù)語(yǔ)義隱私保護(hù)和地理隱私保護(hù)受重視程度不同，自適應(yīng)調(diào)節(jié)用戶(hù)的語(yǔ)義信息損失和地理信息損失的比重。通過(guò)聯(lián)合調(diào)整攻擊者發(fā)起的語(yǔ)義推理攻擊和地理推理攻擊產(chǎn)生的兩類(lèi)估計(jì)誤差的比例實(shí)現(xiàn)不同的攻擊效果，并且進(jìn)一步使用Stackelberg博弈優(yōu)化隱私保護(hù)效果，實(shí)現(xiàn)用戶(hù)數(shù)據(jù)安全和獲取質(zhì)量服務(wù)之間的最佳平衡。

文獻(xiàn)［49］中定義了基于路網(wǎng)和敏感語(yǔ)義位置的地理匹配隱私推理攻擊，并且設(shè)計(jì)隱式數(shù)據(jù)發(fā)布方案來(lái)對(duì)抗基于道路網(wǎng)絡(luò)和敏感語(yǔ)義位置的地理匹配推理攻擊。采用基于路網(wǎng)拓?fù)浜途W(wǎng)格單元靈敏度量化的自適應(yīng)隱私預(yù)算方法實(shí)現(xiàn)動(dòng)態(tài)匿名區(qū)域的構(gòu)造，可以有效抵抗不同隱私預(yù)算下的地理匹配攻擊。

3.1.2加密

為同時(shí)減小匿名位置和查詢(xún)內(nèi)容的語(yǔ)義信息對(duì)匿名安全性的影響，文獻(xiàn)［50］中采用Stackelberg博弈進(jìn)行匿名算法優(yōu)化的同時(shí)使用加密服務(wù)器對(duì)查詢(xún)內(nèi)容進(jìn)行隱私保護(hù)，但是該方法缺少對(duì)用戶(hù)敏感語(yǔ)義位置的保護(hù)；文獻(xiàn)［51］中進(jìn)一步考慮用戶(hù)對(duì)位置語(yǔ)義的敏感度，提出了基于多匿名器的雙重語(yǔ)義隱私保護(hù)機(jī)制。結(jié)合Shamir機(jī)制和多匿名服務(wù)器的方法可以防止攻擊者獲取查詢(xún)信息，構(gòu)造滿(mǎn)足語(yǔ)義多樣性的匿名集，通過(guò)構(gòu)建個(gè)人語(yǔ)義樹(shù)獲得位置語(yǔ)義細(xì)粒度分類(lèi)，在滿(mǎn)足語(yǔ)義多樣性的約束下進(jìn)行敏感語(yǔ)義位置替換，提高匿名集的安全性，但同時(shí)也增大了系統(tǒng)開(kāi)銷(xiāo)。將用戶(hù)訪問(wèn)不同類(lèi)別語(yǔ)義位置的頻率作為該位置的敏感度，當(dāng)某一位置語(yǔ)義更頻繁地出現(xiàn)在用戶(hù)的訪問(wèn)軌跡，較少出現(xiàn)在其他用戶(hù)的訪問(wèn)軌跡時(shí)，表示該用戶(hù)對(duì)這一位置更加敏感。

3.1.3差分隱私

具有差分隱私保證的擾動(dòng)技術(shù)可以有效抵御具有背景知識(shí)的攻擊者。張學(xué)軍等［52］結(jié)合位置語(yǔ)義信息與差分隱私，提出了融合語(yǔ)義位置信息的差分私有位置隱私保護(hù)方法以解決隱私保護(hù)的噪聲添加效率問(wèn)題，根據(jù)位置點(diǎn)敏感度不同為不同區(qū)域細(xì)粒度地添加Laplace噪聲，提高了LBS的服務(wù)可用性。李洪濤等［53］基于路網(wǎng)拓?fù)潢P(guān)系對(duì)路段敏感程度進(jìn)行級(jí)別劃分，提出差分隱私位置保護(hù)機(jī)制，實(shí)現(xiàn)對(duì)用戶(hù)位置隱私的保護(hù)，但存在所搜集的數(shù)據(jù)被竊取和泄露的威脅。以上兩種方法未考慮數(shù)據(jù)的時(shí)間特征，文獻(xiàn)［54］中使用差分隱私中的拉普拉斯機(jī)制生成滿(mǎn)足Geo-Indistinguishability的擾動(dòng)區(qū)域，結(jié)合位置語(yǔ)義和時(shí)間特征進(jìn)行優(yōu)化，最后通過(guò)線性規(guī)劃方法選擇最優(yōu)擾動(dòng)位置。

為了解決中心化差分隱私存在第三方數(shù)據(jù)收集者不可信的問(wèn)題，文獻(xiàn)［55］中使用本地化差分隱私技術(shù)，將位置數(shù)據(jù)隱私化的工作轉(zhuǎn)移到每個(gè)用戶(hù)，對(duì)用戶(hù)位置數(shù)據(jù)進(jìn)行統(tǒng)計(jì)意義上的擾動(dòng)，同時(shí)引入動(dòng)態(tài)博弈模型，進(jìn)一步減少了語(yǔ)義隱私泄露，但是缺乏對(duì)用戶(hù)個(gè)性化隱私需求的考慮。文獻(xiàn)［56］中進(jìn)一步提出車(chē)載自組織網(wǎng)絡(luò)（Vehicular Ad hoc NETworks， VANETs）應(yīng)用場(chǎng)景下的基于強(qiáng)化學(xué)習(xí)的位置語(yǔ)義擾動(dòng)機(jī)制，并結(jié)合差分隱私技術(shù)對(duì)抗推理攻擊。其中提出的基于強(qiáng)化學(xué)習(xí)的語(yǔ)義位置擾動(dòng)（Reinforcement learning-based Semantics Location Perturbation， RSLP）方案動(dòng)態(tài)地選擇隱私預(yù)算，然后隨機(jī)發(fā)布一個(gè)虛假位置以保護(hù)敏感的語(yǔ)義位置。RSLP根據(jù)車(chē)輛當(dāng)前狀態(tài)選擇擾動(dòng)策略，包括位置語(yǔ)義、位置敏感度和攻擊歷史，動(dòng)態(tài)平衡服務(wù)質(zhì)量（Quality of Service， QoS）損失和隱私保護(hù)能力。但RSLP面臨維數(shù)災(zāi)難，考慮到深度確定性策略梯度（Deep Deterministic Policy Gradient， DDPG）算法能有效保護(hù)連續(xù)值位置隱私，進(jìn)一步開(kāi)發(fā)了基于DDPG的位置語(yǔ)義擾動(dòng)（DDPG-based Sematic Location Perturbation， DSLP）方案，解決了具有連續(xù)值擾動(dòng)策略的位置優(yōu)先級(jí)保護(hù)問(wèn)題。在位置混淆中引入強(qiáng)化學(xué)習(xí)可以有效提高隱私保護(hù)效果，減少系統(tǒng)開(kāi)銷(xiāo)。文獻(xiàn)［57］中使用強(qiáng)化學(xué)習(xí)求解位置隱私保護(hù)中的組合優(yōu)化問(wèn)題；文獻(xiàn)［58］中由于使用了緩存機(jī)制，提出使用深度強(qiáng)化學(xué)習(xí)的緩存替換策略來(lái)減少用戶(hù)與匿名服務(wù)器的通信；文獻(xiàn)［59］中使用強(qiáng)化學(xué)習(xí)求解基于互信息定義的隱私泄露問(wèn)題，取得了更好的隱私效用權(quán)衡。

3.1.4假名

為了保護(hù)IoV中車(chē)輛間交換道路信息時(shí)的隱私安全，需要使用假名更換策略來(lái)混淆攻擊者。文獻(xiàn)［60］中結(jié)合位置混淆和匿名區(qū)域技術(shù)設(shè)計(jì)假名更換策略，可以抵抗語(yǔ)義鏈接攻擊和語(yǔ)法鏈接攻擊。目前基于云計(jì)算的LBS系統(tǒng)架構(gòu)可以提供更強(qiáng)大和全面的計(jì)算服務(wù)［61］，基于云計(jì)算的車(chē)聯(lián)網(wǎng)（Cloud-Enabled IoV， CE-IoV）是結(jié)合了云計(jì)算、IoV和物聯(lián)網(wǎng)（Internet of Things， IoT）的新范式，主要依靠信標(biāo)進(jìn)行車(chē)輛間消息交換并確保信息安全，信標(biāo)包含車(chē)輛的位置、標(biāo)識(shí)符和速度。攻擊者截獲這些數(shù)據(jù)后，可以構(gòu)建目標(biāo)車(chē)輛的完整軌跡并跟蹤用戶(hù)。文獻(xiàn)［62］中提出了針對(duì)CE-IoV場(chǎng)景中用戶(hù)的隱私保護(hù)機(jī)制，以達(dá)到降低用戶(hù)可鏈接性和被跟蹤概率的目標(biāo)。該機(jī)制使用信標(biāo)在車(chē)輛協(xié)作組之間進(jìn)行消息交換，依靠更改假名和虛擬標(biāo)識(shí)符（Virtual Machines IDentifiers， VMIDs）進(jìn)行車(chē)輛信息的模糊，通過(guò)設(shè)置靜默期進(jìn)一步混淆攻擊者。采用全局被動(dòng)攻擊（Global Passive Attacker， GPA）對(duì)文獻(xiàn)［62］中的隱私保護(hù)機(jī)制進(jìn)行檢驗(yàn)，其中GPA包括語(yǔ)義鏈接攻擊、語(yǔ)法鏈接攻擊、觀察映射攻擊和鏈接映射攻擊，通過(guò)降低攻擊成功率這一指標(biāo)證明了該機(jī)制具有隱私保護(hù)能力。表2總結(jié)了近年來(lái)基于語(yǔ)義的單點(diǎn)位置隱私保護(hù)的研究方案。

表2　單點(diǎn)位置隱私保護(hù)方案對(duì)比

3.2　基于語(yǔ)義的軌跡隱私保護(hù)

軌跡數(shù)據(jù)由在時(shí)空上有相關(guān)關(guān)系的單點(diǎn)位置構(gòu)成，在許多應(yīng)用中更有價(jià)值，包括城市規(guī)劃［63］、移動(dòng)服務(wù)提供［64］等。特別是移動(dòng)服務(wù)，軌跡數(shù)據(jù)分析的結(jié)果可以幫助改善服務(wù)體驗(yàn)和豐富服務(wù)類(lèi)型。由于用戶(hù)軌跡的敏感性，發(fā)布該信息往往會(huì)導(dǎo)致個(gè)人隱私泄露。例如，未經(jīng)授權(quán)披露用戶(hù)的私人軌跡可能會(huì)暴露他們的旅行記錄、對(duì)敏感地點(diǎn)的訪問(wèn)，甚至社交關(guān)系［65］。未考慮軌跡語(yǔ)義特征的軌跡合成算法無(wú)法可信地模擬用戶(hù)的移動(dòng)行為，由于攻擊者可以根據(jù)軌跡的合理性過(guò)濾掉合成軌跡，因此無(wú)法有效防御位置推理攻擊。

為防止軌跡語(yǔ)義隱私泄露，采用的技術(shù)大致可分為四類(lèi)：基于語(yǔ)義的軌跡差分隱私、基于語(yǔ)義的軌跡-匿名、基于語(yǔ)義的軌跡抑制和基于語(yǔ)義的假軌跡。

3.2.1基于語(yǔ)義的軌跡差分隱私

在IoV場(chǎng)景下，文獻(xiàn)［66］中提出了基于強(qiáng)化學(xué)習(xí)的差分隱私機(jī)制，通過(guò)隨機(jī)發(fā)布車(chē)輛的位置來(lái)保護(hù)車(chē)輛的語(yǔ)義軌跡，使用強(qiáng)化學(xué)習(xí)選擇位置模糊的策略，其中位置模糊結(jié)合了車(chē)輛的當(dāng)前狀態(tài)，具體包括：位置坐標(biāo)、位置語(yǔ)義、歷史攻擊強(qiáng)度和先前的位置語(yǔ)義是否被泄露。將差分隱私融入語(yǔ)義軌跡隱私可以隱藏車(chē)輛真實(shí)的位置語(yǔ)義，強(qiáng)化學(xué)習(xí)則能夠根據(jù)隱私增益和服務(wù)質(zhì)量損失優(yōu)化隱私保護(hù)策略，但是該方法忽略了車(chē)輛移動(dòng)路徑應(yīng)該保持相似的情況。文獻(xiàn)［67］中則進(jìn)一步實(shí)現(xiàn)自適應(yīng)動(dòng)態(tài)優(yōu)化車(chē)輛軌跡中每個(gè)位置的隱私預(yù)算分配策略，通過(guò)強(qiáng)化學(xué)習(xí)對(duì)隱私預(yù)算進(jìn)行更加合理的分配，該方法使用衡量?jī)蓷l路徑相似性和位置語(yǔ)義安全性相結(jié)合的方法生成獎(jiǎng)勵(lì)函數(shù)，達(dá)到激勵(lì)可靠用戶(hù)加入匿名集的目的并有效平衡了地理位置混淆和語(yǔ)義安全。

軌跡社區(qū)發(fā)現(xiàn)場(chǎng)景下同樣需要對(duì)用戶(hù)軌跡進(jìn)行隱私保護(hù)。文獻(xiàn)［68］中開(kāi)發(fā)了基于差分隱私的潛在軌跡社區(qū)發(fā)現(xiàn)架構(gòu)（Differential Privacy Latent Trajectory cOmmunity Discovering， DP-LTOD），為了保護(hù)用戶(hù)軌跡隱私和保留數(shù)據(jù)效用，將原始軌跡序列分段后模糊為滿(mǎn)足差分隱私的軌跡序列，根據(jù)語(yǔ)義距離和地理距離判斷軌跡使用不同的聚類(lèi)方法，通過(guò)聚類(lèi)上傳的軌跡發(fā)現(xiàn)潛在軌跡社區(qū)，從而達(dá)到將具有相似興趣的用戶(hù)集中到一個(gè)社區(qū)的目的，同時(shí)對(duì)用戶(hù)隱私進(jìn)行保護(hù)。在服務(wù)推薦場(chǎng)景下，為降低計(jì)算成本，文獻(xiàn)［69］的方法無(wú)需進(jìn)行實(shí)時(shí)的靈敏度計(jì)算，而是建立靈敏度圖進(jìn)行離線軌跡點(diǎn)靈敏度查詢(xún)，進(jìn)而基于靈敏度圖設(shè)計(jì)隱私保護(hù)機(jī)制，為不同用戶(hù)分配不同的隱私預(yù)算，進(jìn)一步提升軌跡數(shù)據(jù)利用率，降低差分隱私噪聲對(duì)服務(wù)質(zhì)量的影響。

大量工作表明，用戶(hù)的移動(dòng)數(shù)據(jù)和社會(huì)關(guān)系之間存在相關(guān)性［70］。用戶(hù)移動(dòng)數(shù)據(jù)通過(guò)建立馬爾可夫模型進(jìn)行預(yù)測(cè)，傳統(tǒng)馬爾可夫模型在傳輸模型和穩(wěn)態(tài)分布中缺乏時(shí)間相關(guān)性，為了彌補(bǔ)這一不足，文獻(xiàn)［71］中引入時(shí)間劃分的概念建立用戶(hù)的移動(dòng)模型Tmarkov，基于該模型構(gòu)建用戶(hù)時(shí)間相關(guān)的軌跡集，進(jìn)而可以實(shí)現(xiàn)時(shí)空相關(guān)的差分隱私軌跡模糊方案。但是該方案沒(méi)有考慮用戶(hù)會(huì)受到社會(huì)關(guān)系隱私攻擊，因此，文獻(xiàn)［72］從社會(huì)維度增強(qiáng)合成軌跡的合理性；文獻(xiàn)［73］中則進(jìn)一步提出S3T-Trajectory來(lái)抵抗社會(huì)關(guān)系隱私攻擊，從真實(shí)軌跡中挑選子軌跡并添加Laplace隨機(jī)噪聲之后用于生成合成軌跡，通過(guò)建立基于自適應(yīng)時(shí)空離散網(wǎng)格的時(shí)間相關(guān)馬爾可夫模型捕捉人類(lèi)的移動(dòng)行為，從時(shí)空、語(yǔ)義和社會(huì)維度（Spatio-Temporal， Semantic， Social， S3T）提出三個(gè)移動(dòng)特征度量來(lái)確定真實(shí)軌跡和合成軌跡是否相似或不同，進(jìn)而通過(guò)構(gòu)造兩級(jí)優(yōu)化問(wèn)題完成效用感知和隱私保護(hù)軌跡的合成，并且由于限制了用戶(hù)移動(dòng)的可能性，提高了用戶(hù)移動(dòng)模型建模效率，大幅減少了時(shí)間開(kāi)銷(xiāo)。

焦薈聰?shù)龋?4］根據(jù)位置語(yǔ)義敏感度計(jì)算保護(hù)區(qū)域中位置點(diǎn)的語(yǔ)義隱私度權(quán)重值，以及軌跡特征保持度權(quán)重值，結(jié)合兩者設(shè)計(jì)打分函數(shù)，進(jìn)而對(duì)軌跡進(jìn)行模糊；但是該方案使用的數(shù)學(xué)模型較為復(fù)雜，算法運(yùn)行時(shí)間有待優(yōu)化。文獻(xiàn)［75］中提出了最優(yōu)個(gè)性化軌跡差分隱私方案（Optimal Personalized Trajectory Differentially Privacy， OPTDP），首先基于軌跡的語(yǔ)義相似度和概率移動(dòng)模型對(duì)不同軌跡的停留點(diǎn)進(jìn)行聚類(lèi)和匹配；然后在區(qū)分用戶(hù)位置隱私級(jí)別的情況下提出基于停留點(diǎn)和頻繁子軌跡的隱私級(jí)別分配方法，根據(jù)位置匹配結(jié)果為軌跡中的停留點(diǎn)直接分配不同的隱私級(jí)別和預(yù)算；最后通過(guò)差分隱私機(jī)制對(duì)位置點(diǎn)進(jìn)行模糊，構(gòu)建軌跡匿名集防止推理攻擊。但該方案沒(méi)有充分考慮時(shí)空關(guān)系，無(wú)法抵御重識(shí)別攻擊。文獻(xiàn)［76］中為同時(shí)防止推理攻擊和重識(shí)別攻擊，提出了UDPT（Utility-optimized and Differentially Private Trajectory）算法，采用三階段差分隱私保護(hù)機(jī)制：第一階段結(jié)合差分隱私和-means將軌跡模糊成簇對(duì)抗推理攻擊；第二階段將選擇候選模糊位置集合建模為多目標(biāo)優(yōu)化問(wèn)題，采用差分隱私遺傳算法求解數(shù)據(jù)效用優(yōu)化問(wèn)題：第三階段結(jié)合差分隱私和基于條件的隨機(jī)場(chǎng)（Conditional Random Field， CRF），通過(guò)CRF的序列解碼選擇最終模糊軌跡對(duì)抗重識(shí)別攻擊。但是該方法只能通過(guò)人工設(shè)置權(quán)重參數(shù)來(lái)表示不同用戶(hù)對(duì)語(yǔ)義效用或地理效用的偏好，無(wú)法自動(dòng)調(diào)整參數(shù)。

3.2.2基于語(yǔ)義的軌跡-匿名

文獻(xiàn)［77］中主要研究語(yǔ)義攻擊的識(shí)別與隱私保護(hù)，引入POI作為軌跡語(yǔ)義的屬性，不僅合并位置信息，而且進(jìn)行時(shí)間和空間上的合并，所提算法同時(shí)滿(mǎn)足-匿名性、-多樣性和-相近性，并且在蜂窩網(wǎng)絡(luò)和移動(dòng)設(shè)備收集兩個(gè)真實(shí)移動(dòng)數(shù)據(jù)集對(duì)算法進(jìn)行評(píng)估，針對(duì)語(yǔ)義推理攻擊和重識(shí)別攻擊提供了強(qiáng)大的隱私保護(hù)，但是位置語(yǔ)義的分類(lèi)細(xì)粒度問(wèn)題需要進(jìn)一步優(yōu)化。

-多樣性可以表示語(yǔ)義類(lèi)型的數(shù)量，如果區(qū)域A和區(qū)域B分別為醫(yī)院和學(xué)校，那么認(rèn)為匿名集具有2-語(yǔ)義多樣性。保證-匿名數(shù)據(jù)集中敏感屬性的多樣性，可以增強(qiáng)位置隱私保護(hù)。-相近性保證敏感屬性的位置語(yǔ)義分布接近經(jīng)驗(yàn)位置語(yǔ)義分布，用KL散度（Kullback-Leibler Divergence）來(lái)計(jì)算兩個(gè)不同分布的差異。如：在進(jìn)行軌跡合成時(shí)考慮時(shí)空點(diǎn)的語(yǔ)義分布與整個(gè)城市的位置語(yǔ)義具有相似的分布，即小于某個(gè)閾值。

文獻(xiàn)［78］中提出了基于-匿名模型的語(yǔ)義軌跡匿名方法，基于運(yùn)動(dòng)模式、道路網(wǎng)絡(luò)拓?fù)浜兔舾袇^(qū)域的道路權(quán)重執(zhí)行軌跡模糊策略，以軌跡相似度作為是否發(fā)布軌跡的標(biāo)準(zhǔn)，通過(guò)物理約束提高語(yǔ)義隱私級(jí)別，但是該算法在數(shù)據(jù)量增大時(shí)，平均執(zhí)行時(shí)間會(huì)顯著增加。文獻(xiàn)［79］中將位置點(diǎn)語(yǔ)義感知信息與底層地圖的背景知識(shí)結(jié)合，通過(guò)切斷用戶(hù)與訪問(wèn)的敏感地點(diǎn)之間的聯(lián)系來(lái)降低隱私泄露風(fēng)險(xiǎn)，在構(gòu)建虛擬軌跡之前，為個(gè)性化敏感位置構(gòu)建隱藏區(qū)域。同時(shí)在位置語(yǔ)義多樣性和-匿名約束下，結(jié)合匿名位置查詢(xún)概率保證位置分布均勻。構(gòu)建隱藏區(qū)域時(shí)定義語(yǔ)義相似度為兩個(gè)POI在訪問(wèn)時(shí)間和停留時(shí)間的相似性，相似點(diǎn)需要超過(guò)語(yǔ)義相似度的閾值且不是同一類(lèi)型，進(jìn)一步保證了軌跡數(shù)據(jù)的語(yǔ)義安全。然而，如果敏感位置設(shè)置不當(dāng)，會(huì)嚴(yán)重影響數(shù)據(jù)的可用性。

文獻(xiàn)［80］中提出了移動(dòng)語(yǔ)義感知的隱私保護(hù)（Mobile Semantic-aware Privacy， MSP），根據(jù)用戶(hù)在位置上的角色，通過(guò)構(gòu)建分層語(yǔ)義樹(shù)來(lái)描述與用戶(hù)相關(guān)的移動(dòng)位置語(yǔ)義集，對(duì)位置的隱私敏感度進(jìn)行評(píng)估并將其集成到用戶(hù)相關(guān)的位置語(yǔ)義中。為了進(jìn)一步考慮用戶(hù)的個(gè)性化需求，開(kāi)發(fā)自適應(yīng)隱私保護(hù)機(jī)制MSP，移動(dòng)語(yǔ)義感知的合成軌跡可以在第三方服務(wù)器將公共或個(gè)人語(yǔ)義樹(shù)加載到緩存器中自適應(yīng)不同用戶(hù)需求，深度語(yǔ)義樹(shù)將位置語(yǔ)義屬性、用戶(hù)的停留時(shí)間、位置的隱私敏感度相結(jié)合，實(shí)現(xiàn)自適應(yīng)MSP機(jī)制。上述算法僅適用于靜態(tài)軌跡，然而動(dòng)態(tài)軌跡也需要進(jìn)行隱私保護(hù)。賈俊杰等［81］提出基于遺傳算法（Genetic Algorithm，GA）的動(dòng)態(tài)軌跡匿名算法，利用GA對(duì)當(dāng)前時(shí)間段內(nèi)的歷史軌跡建立軌跡行為模式，進(jìn)而通過(guò)軌跡行為模式預(yù)測(cè)移動(dòng)對(duì)象的行動(dòng)軌跡，采用-匿名技術(shù)生成預(yù)測(cè)軌跡的假軌跡以達(dá)到匿名效果，在一定程度上避免了隨機(jī)軌跡的出現(xiàn)。為了盡可能保證軌跡可用性，文獻(xiàn)［82］中將真實(shí)軌跡分解為位置對(duì)集合，基于語(yǔ)義、時(shí)間和地理屬性從歷史軌跡集中選擇符合的位置對(duì)構(gòu)建等價(jià)類(lèi)，進(jìn)而根據(jù)等價(jià)類(lèi)中的位置對(duì)生成虛假軌跡集，進(jìn)一步提升了數(shù)據(jù)可用性。

許多模型假設(shè)對(duì)手擁有完善的背景知識(shí)，因此會(huì)高估隱私風(fēng)險(xiǎn)。文獻(xiàn)［83］中引入軌跡數(shù)據(jù)隱私風(fēng)險(xiǎn)估計(jì)模型，假設(shè)攻擊者不具有完整背景知識(shí)。該模型使用大小和形狀不同的等價(jià)區(qū)域來(lái)反映不同語(yǔ)義的位置，通過(guò)構(gòu)建等價(jià)區(qū)域，對(duì)不同類(lèi)型的攻擊進(jìn)行建模，使用-匿名性、-多樣性和-相近性對(duì)模型進(jìn)行評(píng)價(jià)，但是該模型僅使用多邊形對(duì)等價(jià)區(qū)域進(jìn)行簡(jiǎn)單定義，沒(méi)有考慮真實(shí)的地圖信息。

3.2.3基于語(yǔ)義的軌跡抑制

軌跡抑制法的基本思想是在軌跡數(shù)據(jù)發(fā)布前刪除軌跡中的敏感位置或用戶(hù)訪問(wèn)頻率高的位置，但會(huì)造成數(shù)據(jù)效用降低，目前的研究旨在保證數(shù)據(jù)效用的同時(shí)替換軌跡中敏感的停留點(diǎn)。

停留點(diǎn)指移動(dòng)用戶(hù)的軌跡在一定范圍內(nèi)停留超過(guò)一定時(shí)間的位置。一般認(rèn)為移動(dòng)用戶(hù)的起點(diǎn)、終點(diǎn)和目的地為停留點(diǎn)，如購(gòu)物中心、醫(yī)院或?qū)W校。根據(jù)停留點(diǎn)的相鄰位置分布不同，可以將它們分為三種類(lèi)型：非孤立停止點(diǎn)、孤立停止點(diǎn)和完全孤立停止點(diǎn)。在進(jìn)行軌跡發(fā)布時(shí)，可以對(duì)完整真實(shí)軌跡進(jìn)行模糊，但會(huì)產(chǎn)生巨大開(kāi)銷(xiāo)，因此，在進(jìn)行軌跡合成時(shí)可以?xún)H對(duì)敏感停留點(diǎn)進(jìn)行替換［84］。

文獻(xiàn)［85］中提出離線軌跡發(fā)布場(chǎng)景中的隱私保護(hù)算法，將軌跡上所有采樣點(diǎn)的語(yǔ)義屬性進(jìn)行標(biāo)記，并建立語(yǔ)義分類(lèi)樹(shù)，針對(duì)不同類(lèi)型的敏感停留點(diǎn)，在考慮用戶(hù)速度和避免反向突變的同時(shí)，采用不同的策略選擇適當(dāng)?shù)挠脩?hù)興趣點(diǎn)進(jìn)行替換，最后發(fā)布重構(gòu)軌跡。該方法可以有效避免由于未考慮最大移動(dòng)速度而產(chǎn)生不合理的軌跡點(diǎn)。將平均識(shí)別可能性、軌跡語(yǔ)義一致性和軌跡形狀相似性作為評(píng)價(jià)指標(biāo)，達(dá)到平衡用戶(hù)定義的隱私需求和數(shù)據(jù)可用性的目的。軌跡的語(yǔ)義一致性可以理解為運(yùn)動(dòng)軌跡中停留點(diǎn)和替換位置之間語(yǔ)義差異的平均值。當(dāng)停留點(diǎn)替換為語(yǔ)義相同或相似的地理位置時(shí)，可以較好地保留原始軌跡的語(yǔ)義特征，從而保證軌跡數(shù)據(jù)效用。文獻(xiàn)［86］中提出基于敏感區(qū)域替換（Sensitive Stay Area Replacement， SSAR）的軌跡隱私保護(hù)，對(duì)用戶(hù)運(yùn)動(dòng)特征進(jìn)行分析后提取停留區(qū)域，再結(jié)合用戶(hù)隱私偏好獲得敏感停留區(qū)域，其次結(jié)合移動(dòng)方向、位置語(yǔ)義和語(yǔ)義距離等屬性進(jìn)行區(qū)域替換，進(jìn)一步減少對(duì)原始軌跡的破壞，在安全性和可用性之間取得了較好的平衡。

在基于位置的社交網(wǎng)絡(luò)（Location-Based Social Network， LBSN）中產(chǎn)生的用戶(hù)位置數(shù)據(jù)容易遭受基于機(jī)器學(xué)習(xí)的攻擊。文獻(xiàn)［87］中利用機(jī)器學(xué)習(xí)方法獲得用戶(hù)簽到的動(dòng)機(jī)，并且分析了語(yǔ)義和地理泛化造成的效用損失；文獻(xiàn)［88］中提出了自動(dòng)學(xué)習(xí)數(shù)據(jù)特征的異構(gòu)圖嵌入方法完成社交關(guān)系和位置預(yù)測(cè)任務(wù)；文獻(xiàn)［89］中通過(guò)多級(jí)注意力機(jī)制對(duì)軌跡點(diǎn)和上下文特征進(jìn)行提取，進(jìn)一步挖掘軌跡間相似性，以獲取用戶(hù)行為偏好；文獻(xiàn)［90］中為了解決最近鄰查詢(xún)泄露信息的問(wèn)題，提出聚合查詢(xún)方案PPAQ（Privacy-Preserving Aggregate Queries）同時(shí)保護(hù)用戶(hù)位置、查詢(xún)內(nèi)容和訪問(wèn)模式；文獻(xiàn)［91］中研究了通過(guò)交換評(píng)論進(jìn)行軌跡隱私保護(hù)。移動(dòng)用戶(hù)向系統(tǒng)提供商（System Provider， SP）提交訪問(wèn)過(guò)的POI評(píng)論，因此，SP可以獲得用戶(hù)的信息和相關(guān)軌跡。引入基于評(píng)論的位置相關(guān)攻擊（Review-based Location Correlation Attack， RLCA）和基于語(yǔ)義的長(zhǎng)期統(tǒng)計(jì)攻擊（Semantics-based Long-term Statistical Attack， SLSA），RLCA通過(guò)重建軌跡來(lái)識(shí)別真實(shí)用戶(hù)，SLSA通過(guò)語(yǔ)義頻率的差異性建立位置和用戶(hù)的聯(lián)系。針對(duì)RLCA，通過(guò)衡量用戶(hù)和軌跡的相關(guān)性使重建軌跡上的位置數(shù)量得到抑制；針對(duì)SLSA，通過(guò)衡量不同位置的語(yǔ)義頻率差異的不可區(qū)分程度，選擇使用頻率和歷史數(shù)據(jù)的語(yǔ)義相同的用戶(hù)組成匿名組，以保證對(duì)手不能通過(guò)啟動(dòng)SLSA推斷用戶(hù)的位置，在保護(hù)軌跡隱私的情況下不降低數(shù)據(jù)效用。

3.2.4基于語(yǔ)義的假軌跡

文獻(xiàn)［92］中將用戶(hù)歷史語(yǔ)義軌跡與位置語(yǔ)義相結(jié)合構(gòu)建了用戶(hù)行為模型，根據(jù)模型中相鄰時(shí)刻語(yǔ)義位置之間的轉(zhuǎn)移概率和時(shí)空關(guān)聯(lián)性構(gòu)建符合用戶(hù)行為規(guī)律的假軌跡，實(shí)現(xiàn)混淆用戶(hù)真實(shí)軌跡的目的。表3總結(jié)了近年來(lái)基于語(yǔ)義的軌跡隱私保護(hù)的研究方案。

表3　軌跡隱私保護(hù)方案對(duì)比

4 未來(lái)挑戰(zhàn)及展望

4.1　語(yǔ)義信息更新及多樣化

隨著移動(dòng)技術(shù)和LBS日益發(fā)展，產(chǎn)生了語(yǔ)義豐富的海量數(shù)據(jù)，如地理位置語(yǔ)義、時(shí)間語(yǔ)義、用戶(hù)移動(dòng)模式語(yǔ)義、地理位置可達(dá)性、社會(huì)關(guān)系語(yǔ)義、訪問(wèn)時(shí)間等。數(shù)據(jù)預(yù)處理對(duì)模型訓(xùn)練的影響至關(guān)重要，結(jié)合當(dāng)前知識(shí)學(xué)習(xí)對(duì)新增位置語(yǔ)義進(jìn)行識(shí)別和添加，動(dòng)態(tài)更新位置語(yǔ)義特征和語(yǔ)義顆粒度是未來(lái)一個(gè)重要的研究方向。未來(lái)可以結(jié)合數(shù)據(jù)挖掘技術(shù)對(duì)用戶(hù)使用LBS產(chǎn)生的相關(guān)數(shù)據(jù)進(jìn)行高效提取、融合及分析，從而進(jìn)一步分析出用戶(hù)的移動(dòng)模式、社會(huì)關(guān)系等信息，通過(guò)設(shè)計(jì)隱私保護(hù)算法最大限度地降低這些信息暴露的風(fēng)險(xiǎn)，避免具有背景知識(shí)的攻擊者對(duì)用戶(hù)隱私進(jìn)行語(yǔ)義推理攻擊和語(yǔ)義重識(shí)別攻擊。

4.2　位置語(yǔ)義評(píng)價(jià)指標(biāo)的構(gòu)建

在對(duì)位置語(yǔ)義隱私保護(hù)算法性能進(jìn)行評(píng)估時(shí)，通常采用傳統(tǒng)的通用性評(píng)估指標(biāo)和基于位置語(yǔ)義的評(píng)估指標(biāo)相結(jié)合的方式，雖然一些基于位置語(yǔ)義的評(píng)估指標(biāo)被相繼提出，但由于對(duì)位置語(yǔ)義的度量較為粗糙且方法不多，所以評(píng)價(jià)指標(biāo)數(shù)量較少。因此，提出符合用戶(hù)特征的位置語(yǔ)義處理方法和更精確的語(yǔ)義隱私度量準(zhǔn)則是未來(lái)一個(gè)重要的方向。詞頻-逆向文件頻率（Term Frequency-Inverse Document Frequency， TF-IDF）可以對(duì)位置語(yǔ)義進(jìn)行數(shù)量上的統(tǒng)計(jì)分析從而對(duì)文本敏感性進(jìn)行度量，因此可以精確判斷用戶(hù)的隱私需求以及在進(jìn)行匿名保護(hù)時(shí)減少語(yǔ)義隱私泄露的風(fēng)險(xiǎn)。此外，可以借助語(yǔ)義詞典對(duì)語(yǔ)義相似度進(jìn)行計(jì)算，例如Word2Vec、WordNet、維基百科等，從而提高用戶(hù)匿名假位置數(shù)據(jù)的真實(shí)性。

4.3　新應(yīng)用場(chǎng)景下的基于語(yǔ)義的位置隱私保護(hù)

新應(yīng)用場(chǎng)景包括智能鐵路、智慧城市、IoV、工業(yè)物聯(lián)網(wǎng)等。面對(duì)更智能化的應(yīng)用場(chǎng)景，用戶(hù)隱私泄露的概率將大幅增加。例如，通過(guò)本文調(diào)查發(fā)現(xiàn)，IoV中基于位置語(yǔ)義的隱私保護(hù)技術(shù)通常關(guān)注的是單點(diǎn)位置下的隱私保護(hù)，缺乏對(duì)軌跡語(yǔ)義隱私和查詢(xún)位置語(yǔ)義隱私的保護(hù)。而隨著IoV中人、車(chē)、云、路之間的連接數(shù)增加，車(chē)輛高速移動(dòng)產(chǎn)生的一系列行駛軌跡和查詢(xún)請(qǐng)求之間具有潛在的語(yǔ)義關(guān)聯(lián)。此外，具有穩(wěn)定行為模式的用戶(hù)對(duì)隱私信息（身份、工作、偏好等）和車(chē)輛信息（日常軌跡、車(chē)牌號(hào)等）的隱私保護(hù)需求更為迫切。因此，如何在新應(yīng)用場(chǎng)景中實(shí)時(shí)保護(hù)用戶(hù)的位置及軌跡語(yǔ)義是未來(lái)一個(gè)重要的研究方向。這需要對(duì)用戶(hù)轉(zhuǎn)移模式進(jìn)行合理建模，不僅關(guān)注移動(dòng)的時(shí)空關(guān)聯(lián)，還要關(guān)注訪問(wèn)規(guī)律、社交關(guān)聯(lián)、隱私差異性，從而有效感知用戶(hù)移動(dòng)行為，刻畫(huà)用戶(hù)隱私保護(hù)需求。結(jié)合隱馬爾可夫模型、貝葉斯等統(tǒng)計(jì)方法可以對(duì)用戶(hù)移動(dòng)行為模式進(jìn)行建模，充分考慮多種用戶(hù)信息。

4.4　結(jié)合機(jī)器學(xué)習(xí)的個(gè)性化隱私保護(hù)

不同用戶(hù)在不同場(chǎng)景下具有不同的時(shí)空狀態(tài)、行為模式等，由于人類(lèi)的生活模式、行為偏好有一定的可預(yù)測(cè)性，因此，結(jié)合位置語(yǔ)義，針對(duì)不同的用戶(hù)和場(chǎng)景設(shè)計(jì)個(gè)性化的隱私保護(hù)機(jī)制從而智能決策用戶(hù)的保護(hù)策略是未來(lái)一個(gè)重要的研究方向。強(qiáng)化學(xué)習(xí)和生成對(duì)抗網(wǎng)絡(luò)（Generative Adversarial Network， GAN）［93］的發(fā)展為位置隱私保護(hù)技術(shù)提供了新的手段和工具。結(jié)合GAN的差分隱私保護(hù)可以避免對(duì)原始位置數(shù)據(jù)進(jìn)行過(guò)度清洗，未來(lái)可以結(jié)合GAN開(kāi)發(fā)自動(dòng)調(diào)整參數(shù)的機(jī)制進(jìn)一步平衡地理效用和語(yǔ)義效用。強(qiáng)化學(xué)習(xí)可以根據(jù)海量用戶(hù)數(shù)據(jù)集進(jìn)行自主學(xué)習(xí)和推演，對(duì)不同用戶(hù)的隱私保護(hù)級(jí)別進(jìn)行選擇以自適應(yīng)動(dòng)態(tài)環(huán)境調(diào)整用戶(hù)的隱私保護(hù)策略，進(jìn)一步提高智能互聯(lián)網(wǎng)設(shè)備下用戶(hù)的隱私安全保護(hù)水平。

4.5　基于語(yǔ)義的位置隱私保護(hù)與LBS服務(wù)質(zhì)量的平衡

通過(guò)筆者的調(diào)查發(fā)現(xiàn)，隨著攻擊手段的多樣化、數(shù)據(jù)分析的智能化，現(xiàn)有結(jié)合位置語(yǔ)義的隱私保護(hù)技術(shù)算法復(fù)雜度也隨之增加。在LBS隱私保護(hù)技術(shù)中，隱私保護(hù)、服務(wù)質(zhì)量和資源消耗之間的平衡仍然是一個(gè)需要解決的問(wèn)題。未來(lái)需要開(kāi)發(fā)輕量級(jí)的位置隱私保護(hù)機(jī)制，尤其是對(duì)于使用了加密和區(qū)塊鏈技術(shù)的方法，可以結(jié)合邊緣計(jì)算技術(shù)使用戶(hù)將部分存儲(chǔ)和加密過(guò)程遷移到邊緣服務(wù)器、無(wú)線訪問(wèn)點(diǎn)等。

5 結(jié)語(yǔ)

LBS具有十分廣闊的應(yīng)用前景，因此LBS位置隱私保護(hù)技術(shù)仍然是未來(lái)研究的熱點(diǎn)。本文通過(guò)分析基于位置語(yǔ)義的隱私泄露問(wèn)題以及語(yǔ)義推理攻擊，提出位置語(yǔ)義隱私保護(hù)策略的需求，詳細(xì)介紹了基于位置語(yǔ)義的單點(diǎn)位置隱私保護(hù)和軌跡隱私保護(hù)的相關(guān)方法，進(jìn)而對(duì)基于語(yǔ)義的位置隱私保護(hù)研究發(fā)展趨勢(shì)進(jìn)行展望。未來(lái)對(duì)用戶(hù)隱私保護(hù)的策略依賴(lài)更加智能的語(yǔ)義分類(lèi)及細(xì)化方法、結(jié)合先進(jìn)技術(shù)對(duì)用戶(hù)進(jìn)行個(gè)性化保護(hù)，力求進(jìn)一步平衡隱私保護(hù)與服務(wù)質(zhì)量之間的關(guān)系。

[1] SALEEM Y， SOTRES P， FRICKER S， et al. IoTRec： the IoT recommender for smart parking system ［J］. IEEE Transactions on Emerging Topics in Computing， 2022， 10（1）： 280-296.

[2] 中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心.中國(guó)互聯(lián)網(wǎng)絡(luò)發(fā)展?fàn)顩r統(tǒng)計(jì)報(bào)告［R］.北京：中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心，2022. （CNNIC. Statistical reports on internet development in China［R］. Beijing： China Internet Network Information Center， 2022.）

[3] 住房和城鄉(xiāng)建設(shè)部，工業(yè)和信息化部.部署智慧城市基礎(chǔ)設(shè)施與智能網(wǎng)聯(lián)汽車(chē)協(xié)同發(fā)展試點(diǎn)工作［EB/OL］. ［2022-08-01］. https：//www.mohurd.gov.cn/xinwen/jsyw/202105/20210510_250059.html.（Ministry of Housing and Urban-Rural Development， Ministry of Industry and Information Technology. Deploying pilot projects for coordinated development of smart city infrastructure and intelligent connected vehicles［EB/OL］. ［2022-08-01］. https：//www.mohurd.gov.cn/xinwen/jsyw/202105/20210510_250059.html.）

[4] 金元浦.大數(shù)據(jù)時(shí)代個(gè)人隱私數(shù)據(jù)泄露的調(diào)研與分析報(bào)告［J］.清華大學(xué)學(xué)報(bào)（哲學(xué)社會(huì)科學(xué)版），2021，36（1）：191-201，206.（JIN Y P. The investigation and analysis report on personal privacy data leakage in the era of big data［J］. Journal of Tsinghua University （Philosophy and Social Sciences）， 2021， 36（1）： 191-201， 206.）

[5] BOUSSADA R， HAMDANE B， KAMOUN F， et al. Surveying and analyzing privacy issues in contact tracing apps［C］// Proceedings of the 10th IFIP International Conference on Performance Evaluation and Modeling in Wireless and Wired Networks. Piscataway： IEEE， 2021： 1-5.

[6] 安全圈（北京）信息技術(shù)有限公司.太可怕了！僅從手機(jī)位置信息就能分析出你的隱私［EB/OL］. ［2022-09-29］. https：//baijiahao.baidu.com/s？id=1693028022310752333&wfr=spider&for=pc. （Anquanquan. Too scary！ Your privacy can be analyzed solely from location information of your phone［EB/OL］. ［2022-09-29］. https：//baijiahao.baidu.com/s？id=1693028022310752333&wfr=spider&for=pc.）

[7] JOVER R P. The current state of affairs in 5G security and the main remaining security challenges ［EB/OL］. ［2022-09-29］. https：//arxiv.org/pdf/1904.08394.pdf.

[8] ZHANG W S， YANG W D， ZHANG H J， et al. De-anonymization attack method of mobility trajectory data based on semantic trajectory pattern［C］// Proceedings of the 14th EAI International Conference on Mobile Multimedia Communications， LNICST 394. Cham： Springer， 2021： 354-366.

[9] ANDRéS M E， BORDENABE N E， CHATZIKOKOLAKIS K， et al. Geo-Indistinguishability： differential privacy for location-based systems［C］// Proceedings of the 2013 ACM SIGSAC Conference on Computer and Communications Security. New York： ACM， 2013： 901-914.

[10] 沈鉦晨，張千里，張超凡，等.基于深度學(xué)習(xí)的位置隱私攻擊［J］.計(jì)算機(jī)研究與發(fā)展，2022，59（2）： 390-402.（SHEN Z C， ZHANG Q L， ZHANG C F， et al. Location privacy attack based on deep learning［J］. Journal of Computer Research and Development， 2022， 59（2）： 390-402.）

[11] SHOKRI R， THEODORAKOPOULOS G， LE BOUDEC J Y， et al. Quantifying location privacy［C］// Proceedings of the 2011 IEEE Symposium on Security and Privacy. Piscataway： IEEE， 2011： 247-262

[12] LIU H Y， ZHANG S W， LI M L， et al. A real-time privacy-preserving scheme based on grouping queries for continuous location-based services［J］. Concurrency and Computation： Practice and Experience， 2023， 35（19）： No.e7404.

[13] 彭長(zhǎng)根，丁紅發(fā)，朱義杰，等.隱私保護(hù)的信息熵模型及其度量方法［J］.軟件學(xué)報(bào)，2016，27（8）：1891-1903.（PENG C G， DING H F， ZHU Y J， et al. Information entropy models and privacy metrics methods for privacy protection［J］. Journal of Software， 2016， 27（8）： 1891-1903.）

[14] NIU B， LI Q H， WANG H Y， et al. A framework for personalized location privacy［J］. IEEE Transactions on Mobile Computing， 2022， 21（9）： 3071-3083.

[15] 張文靜， 劉樵， 朱輝. 基于信息論方法的多等級(jí)位置隱私度量與保護(hù)［J］. 通信學(xué)報(bào)， 2019， 40（12）： 51-59.（ZHANG W J， LIU Q， ZHU H. Evaluation and protection of multi-level location privacy based on an information theoretic approach［J］. Journal on Communications， 2019， 40（12）： 51-59.）

[16] SHAHAM S， DING M， LIU B， et al. Privacy preservation in location-based services： a novel metric and attack model［J］. IEEE Transactions on Mobile Computing， 2021， 20（10）： 3006-3019.

[17] YIN L H， LI R， DING J Q， et al. δ-Calculus： a new approach to quantifying location privacy［J］. Computers， Materials and Continua， 2020， 63（3）： 1323-1342.

[18] LUO H W， ZHANG H M， LONG S G， et al. Enhancing frequent location privacy-preserving strategy based on geo-Indistinguishability ［J］. Multimedia Tools and Applications， 2021， 80（14）： 21823-21841.

[19] KALAIARASY C， SREENATH N. An incentive-based cooperation motivating pseudonym changing strategy for privacy preservation in mixed zones in vehicular networks［J］. Journal of King Saud University-Computer and Information Sciences， 2022， 34（1）： 1510-1520.

[20] ZHAO Y N， LUO Y L， YU Q Y， et al. A privacy-preserving trajectory publication method based on secure start-points and end-points［J］. Mobile Information Systems， 2020， 2020： No.3429256.

[21] YANG X D， GAO L， ZHENG J， et al. Location privacy preservation mechanism for location-based service with incomplete location data［J］. IEEE Access， 2020， 8： 95843-95854.

[22] 李維皓，丁晟，孟佳潔，等.基于位置服務(wù)中時(shí)空關(guān)聯(lián)的隱私保護(hù)方案［J］.通信學(xué)報(bào)，2018，39（5）：134-142.（LI W H， DING S， MENG J J， et al. Spatio-temporal aware privacy-preserving scheme in LBS［J］. Journal on Communications， 2018， 39（5）： 134-142.）

[23] GAO Z G， HUANG Y C， ZHENG L L， et al. Protecting location privacy of users based on trajectory obfuscation in mobile crowdsensing［J］. IEEE Transactions on Industrial Informatics， 2022， 18（9）： 6290-6299.

[24] 孔鈺婷，譚富祥，趙鑫，等.基于差分隱私的K-means算法優(yōu)化研究綜述［J］.計(jì)算機(jī)科學(xué)，2022，49（2）：162-173.（KONG Y T， TAN F X， ZHAO X， et al. Review of K-means algorithm optimization based on differential privacy［J］. Computer Science， 2022， 49（2）： 162-173.）

[25] WANG J， WANG F， LI H T. Differential privacy location protection scheme based on Hilbert curve［J］. Security and Communication Networks， 2021， 2021： No.5574415.

[26] WANG X J， YANG W D. Protection method of continuous location uploading based on local differential privacy［C］// Proceedings of the 2020 International Conference on Networking and Network Applications. Piscataway： IEEE， 2020： 157-161.

[27] ALMARSHOUD M S， AL-BAYATTI A H， KIRAZ M S. Location privacy in VANETs： provably secure anonymous key exchange protocol based on self-blindable signatures［J］. Vehicular Communications， 2022： 36： No.100490.

[28] SUN G， CAI S， YU H F， et al. Location privacy preservation for mobile users in location-based services［J］. IEEE Access， 2019， 7：87425-87438.

[29] ZHANG Q Y， ZHANG X， WANG M Y， et al. DPLQ： location-based service privacy protection scheme based on differential privacy［J］. IET Information Security， 2021， 15（6）： 442-456.

[30] 張學(xué)軍，桂小林，伍忠東.位置服務(wù)隱私保護(hù)研究綜述［J］.軟件學(xué)報(bào)，2015，26（9）：2373-2395.（ZHANG X J， GUI X L， WU Z D. Privacy preservation for location-based services： a survey［J］. Journal of Software， 2015， 26（9）： 2373-2395.）

[31] 王永錄，左開(kāi)中，曾海燕，等.面向連續(xù)查詢(xún)的敏感語(yǔ)義位置隱私保護(hù)方案［J］.計(jì)算機(jī)工程與應(yīng)用，2020，56（14）：74-81.（WANG Y L， ZUO Z K， ZENG H Y， et al. Sensitive-semantic location privacy protection for continuous query［J］. Computer Engineering and Applications， 2020， 56（14）： 74-81.）

[32] 王輝，朱國(guó)宇，申自浩，等.基于用戶(hù)偏好和位置分布的假位置生成方法［J］.計(jì)算機(jī)科學(xué)，2021，48（7）：164-171.（WANG H， ZHU G Y， SHEN Z H， et al. Dummy location generation method based on user preference and location distribution［J］. Computer Science， 2021， 48（7）： 164-171.）

[33] ZHAO M Y， ZHU X Y， NIU J， et al. A semantic-based dummy generation strategy for location privacy［C］// Proceedings of the 2019 International Conference on Networking and Network Applications. Piscataway： IEEE. 2019： 21-26.

[34] 張琳， 張鴻剛，劉茜萍.一種基于多元數(shù)據(jù)的假位置篩選算法［J］.南京郵電大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2021， 41（6）：47-56.（ZHANG L， ZHANG H G， LIU X P. Dummy location screening algorithm based on multivariate data［J］. Journal of Nanjing of Posts and Telecommunications （Natural Science Edition）， 2021， 41（6）： 47-56.）

[35] 劉光輝. 群智感知網(wǎng)絡(luò)的隱私保護(hù)方法研究［D］.哈爾濱：哈爾濱理工大學(xué)，2022： 1-75.（LIU G H. Research on privacy protection methods of crowd sensing networks［D］. Harbin： Harbin University of Science and Technology， 2022： 1-75.）

[36] XU H Y， ZHENG Y H， ZENG J， et al. Location-semantic aware privacy protection algorithms for location-based services［C］// Proceedings of the 2018 IEEE SmartWorld， Ubiquitous Intelligence & Computing， Advanced & Trusted Computing， Scalable Computing & Communications， Cloud & Big Data Computing， Internet of People and Smart City Innovation （SmartWorld/SCALCOM/UIC/ATC/CBDCom/IOP/SCI）. Piscataway： IEEE， 2018： 1219-1224.

[37] LU T， XU H， TIAN K， et al. Semantic location privacy protection algorithm based on edge cluster graph［C］// Proceedings of the 2020 IEEE 19th International Conference on Trust， Security and Privacy in Computing and Communications. Piscataway： IEEE， 2020： 1304-1309.

[38] KUANG L， WANG Y， ZHENG X， et al. Using location semantics to realize personalized road network location privacy protection［J］. EURASIP Journal on Wireless Communications and Networking， 2020， 2020： No. 1.

[39] TIAN C， XU H， LU T， et al. Semantic and trade-off aware location privacy protection in road networks via improved multi-objective particle swarm optimization［J］. IEEE Access， 2021， 9： 54264-54275.

[40] LI F， LIAO L J， ZHANG L F， et al. An efficient approach for measuring semantic similarity combining WordNet and Wikipedia［J］. IEEE Access， 2020， 8： 184318-184338.

[41] 王潔，王春茹，馬建峰，等.基于位置語(yǔ)義和查詢(xún)概率的假位置選擇算法［J］.通信學(xué)報(bào)，2020，41（3）：53-61.（WANG J， WANG C R， MA J F， et al. Dummy location selection algorithm based on location semantics and query probability［J］. Journal on Communications， 2020， 41（3）： 53-61.）

[42] YANG X D， GAO L， WANG H， et al. A user-related semantic location privacy protection method in location-based service［C］// Proceedings of the 2021 IEEE 27th International Conference on Parallel and Distributed Systems. Piscataway： IEEE， 2021： 691-698.

[43] ZHANG A， LI X H. Research on privacy protection of dummy location interference for Location-Based Service location［J］. International Journal of Distributed Sensor Networks， 2022， 18（9）： No.15501329221125111.

[44] LIU Z， LIU Q， MIAO D， et al. A blockchain anonymity solution to prevent location homogeneity attacks［J］. Concurrency and Computation： Practice and Experience， 2022， 34（27）： No. e7326.

[45] YANG X D， GAO L， WANG H， et al. A blockchain-based location privacy-preserving scheme in location-based service［J］. Mobile Information Systems， 2022， 2022： No.1931451.

[46] 張潤(rùn)蓮，趙新紅，武小年.一種防邊權(quán)和語(yǔ)義攻擊的位置隱私保護(hù)方法［J］.計(jì)算機(jī)應(yīng)用研究，2021，38（2）：559-563.（ZHANG R L， ZHAO X H， WU X N. Location privacy protection method against edge attacks and semantic attacks ［J］. Application Research of Computers， 2021， 38（2）： 559-563.）

[47] 全國(guó)地理信息標(biāo)準(zhǔn)化技術(shù)委員會(huì).地理信息興趣點(diǎn)分類(lèi)與編碼：GB/T 35648—2017［S］.北京：中國(guó)質(zhì)檢出版社，2017.（China National Standardization Technical Committee of Geographic Information. Classification and coding of geographic information points of interest： GB/T 35648-2017［S］. Beijing： Quality Inspection Press of China， 2017.）

[48] HE Y， ZHANG J， SHUAI L， et al. A personalized secure publishing mechanism of the sensing location data in crowdsensing location-based services［J］. IEEE Sensors Journal， 2021， 21（12）： 13628-13637.

[49] NIU K， PENG C， TIAN Y， et al. K-implicit tracking data publishing scheme against geo-matching attacks［J］. Journal of Information Science and Engineering， 2022， 38（1）： 1-16.

[50] YANG D， YE B， ZHANG W， et al. KLPPS： a-anonymous location privacy protection scheme via dummies and Stackelberg game［J］. Security and Communication Networks， 2021， 2021（5）： No.9635411.

[51] YANG X， GAO L， LI Y， et al. A semantic-based dual location privacy-preserving approach［J］. IEICE Transactions on Information and Systems， 2022， E105D（5）： 982-995.

[52] 張學(xué)軍，楊昊英，李楨，等.融合語(yǔ)義位置的差分私有位置隱私保護(hù)方法［J］.計(jì)算機(jī)科學(xué)，2021，48（8）：300-308.（ZHANG X J， YANG H Y， LI Z， et al.X Differential private location privacy-preserving scheme with semantic location［J］. Computer Science， 2021， 48（8）： 300-308.）

[53] 李洪濤，任曉宇，王潔，等.基于差分隱私的連續(xù)位置隱私保護(hù)機(jī)制［J］.通信學(xué)報(bào)，2021，42（8）：164-175.（LI H T， REN X Y， WANG J， et al. Continuous location privacy protection mechanism based on differential privacy ［J］. Journal on Communications， 2021， 42（8）： 164-175.）

[54] YAN Y， XU F， MAHMOOD A， et al. Perturb and optimize users’ location privacy using geo-indistinguishability and location semantics［J］. Scientific Reports， 2022， 12（1）： No.20445.

[55] HAN W X， CHENG M Z， LEI M， et al. Privacy protection algorithm for the internet of vehicles based on local differential privacy and game model［J］. Computers， Materials & Continua， 2020， 64（2）： 1025-1038.

[56] MIN M， WANG W， XIAO L， et al. Reinforcement learning-based sensitive semantic location privacy protection for VANETs［J］. China Communications， 2021， 18（6）： 244-260.

[57] BERRI S， ZHANG J， BENSAOU B， et al. Preserving location-privacy in vehicular networks via reinforcement learning［J］. IEEE Transactions on Intelligent Transportation Systems， 2022，23（10）： 18535-18545.

[58] LIU P Q， XIE S C， ZHAO， SHEN Z H， et al. Enhancing location privacy through P2P network and caching in anonymizer［J］. KSII Transactions on Internet and Information Systems， 2022，16（5）： 1653-1670.

[59] ZHANG W J， JIANG B， LI M， et al. Privacy-preserving aggregate mobility data release： an information-theoretic deep reinforcement learning approach［J］. IEEE Transactions on Information Forensics and Security， 2022，17： 849-864.

[60] BENAROUS L， KADRI B， BOUDJIT S. Alloyed pseudonym change strategy for location privacy in VANETs［C］// Proceedings of the 2020 IEEE 17th Annual Consumer Communications & Networking Conference. Piscataway： IEEE， 2020： 1-6.

[61] ZHU X J， AYDAY E， VITENBERG R. A privacy-preserving framework for outsourcing location-based services to the cloud［J］. IEEE Transactions on Dependable and Secure Computing， 2021， 18（1）： 384-399.

[62] BENAROUS L， KADRI B. Obfuscation-based location privacy-preserving scheme in cloud-enabled internet of vehicles［J］. Peer-To-Peer Networking and Applications， 2022， 15（1）： 461-472.

[63] XIE C， YU D X， ZHENG X Y， et al. Revealing spatiotemporal travel demand and community structure characteristics with taxi trip data： a case study of New York City［J］. PLoS One， 2021， 16（11）： e0259694.

[64] YADAMJAV M E， BAO Z F， ZHENG B H， et al. Querying recurrent convoys over trajectory data［J］. ACM Transactions on Intelligent Systems and Technology， 2020， 11（5）： No.59.

[65] JIANG H B， LI J， ZHAO P， et al. Location privacy-preserving mechanisms in location-based services： a comprehensive survey［J］. ACM Computing Surveys， 2021， 54（1）： No.4.

[66] WANG W， MIN M， XIAO L， et al. Protecting semantic trajectory privacy for VANET with reinforcement learning［C］// Proceedings of the 2019 IEEE International Conference on Communications. Piscataway： IEEE， 2019： 1-5.

[67] CHEN X， ZHANG T， SHEN S， et al. An optimized differential privacy scheme with reinforcement learning in VANET ［J］. Computers & Security， 2021， 110（2）： No.102446.

[68] XU C， ZHU L， LIU Y， et al. DP-LTOD： differential privacy latent trajectory community discovering services over location-based social networks［J］. IEEE Transactions on Services Computing， 2021， 14（4）： 1068-1083.

[69] ZHANG J， LI Y Z， DING Q， et al. Successive trajectory privacy protection with semantics prediction differential privacy［J］. Entropy， 2022， 24（9）： No.1172.

[70] ZHAO P， JIANG H B， LI J， et al. Synthesizing privacy-preserving traces： enhancing plausibility with social networks ［J］. IEEE/ACM Transactions on Networking， 2019， 27（6）： 2391-2404.

[71] QIU G， SHEN Y， CHENG K， et al. Mobility-aware privacy-preserving mobile crowdsourcing［J］. Sensors， 2021， 21（7）： No.2474.

[72] LI J， ZENG F， XIAO Z， et al. Social relationship inference over private vehicle mobility data［J］. IEEE Transactions on Vehicular Technology， 2021， 70（6）： 5221-5233.

[73] ZHENG Z， LI Z， LI J， et al. Utility-aware and privacy-preserving trajectory synthesis model that resists social relationship privacy attacks［J］. ACM Transactions on Intelligent Systems and Technology， 2022， 13（3）： No.44.

[74] 焦薈聰，劉文菊，王賾.基于指數(shù)機(jī)制的軌跡差分隱私保護(hù)方法［J］.大數(shù)據(jù)，2023，9（1）：141-152.（JIAO H C， LIU W J， WANG Z. Trajectory differential privacy protection method based on exponential mechanism［J］. Big Data Research， 2023， 9（1）： 141-152.）

[75] CHENG W， WEN R， HUANG H， et al. OPTDP： towards optimal personalized trajectory differential privacy for trajectory data publishing［J］. Neurocomputing， 2022， 472： 201-211.

[76] LI B， ZHU H， XIE M. Releasing differentially private trajectories with optimized data utility［J］. Applied Sciences， 2022， 12（5）： No.2406.

[77] TU Z， ZHAO K， XU F， et al. Protecting trajectory from semantic attack considering-anonymity，-diversity， and-closeness［J］. IEEE Transactions on Network and Service Management， 2019， 16（1）： 264-278.

[78] TAN R， TAO Y， SI W， et al. Privacy preserving semantic trajectory data publishing for mobile location-based services［J］. Wireless Networks， 2020， 26（8）： 5551-5560.

[79] YE A， ZHANG Q， DIAO Y， et al. A semantic-based approach for privacy-preserving in trajectory publishing［J］. IEEE Access， 2020， 8： 184965-184975.

[80] QIU G， GUO D， SHEN Y， et al. Mobile semantic-aware trajectory for personalized location privacy preservation ［J］. IEEE Internet of Things Journal， 2021， 8（21）： 16165-16180.

[81] 賈俊杰，秦海濤.基于遺傳算法的動(dòng)態(tài)軌跡匿名算法［J］.計(jì)算機(jī)工程與科學(xué)，2021，43（1）：142-150.（JIA J J， QIN H T. Anonymity of dynamic trajectory based on genetic algorithm［J］. Computer Engineering & Science， 2021， 43（1）： 142-150.）

[82] WU W Q， SHANG W L， LEI R H， et al. A trajectory privacy protect method based on location pair reorganization［J］. Wireless Communications & Mobile Computing， 2022， 2022： No.8635275.

[83] BENNATI S， KOVACEVIC A. Modelling imperfect knowledge via location semantics for realistic privacy risks estimation in trajectory data［J］. Scientific Reports， 2022， 12（1）： No.246.

[84] HAN P I， TSAI H P. SST： privacy preserving for semantic trajectories［C］// Proceedings of the 2015 16th IEEE International Conference on Mobile Data Management. Piscataway： IEEE， 2015： 80-85.

[85] DAI Y， SHAO J， WEI C， et al. Personalized semantic trajectory privacy preservation through trajectory reconstruction ［J］. World Wide Web， 2018， 21（4）： 875-914.

[86] JI Y L， GUI X L， DAI H J， et al. Trajectory privacy protection based on sensitive stay area replacement in publishing［J］. Mathematical Problems in Engineering， 2022， 2022（6）： No.5114584.

[87] HUGUENIN K， BILOGREVIC I， MACHADO J S， et al. A predictive model for user motivation and utility implications of privacy-protection mechanisms in location check-ins［J］. IEEE Transactions on Mobile Computing， 2018， 17（4）： 760-774.

[88] YANG D Q， QU B Q， YANG J， et al. LBSN2Vec++： heterogeneous hypergraph embedding for location-based social networks［J］. IEEE Transactions on Knowledge and Data Engineering， 2022， 34（4）： 1843-1855.

[89] LIU A， ZHANG Y F， ZHANG X L， et al. Representation learning with multi-level attention for activity trajectory similarity computation［J］. IEEE Transactions on Knowledge and Data Engineering， 2022， 34（5）： 2387-2400.

[90] ZHANG S N， RAY S， LU R X， et al. PPAQ： privacy-preserving aggregate queries for optimal location selection in road networks［J］. IEEE Internet of Things Journal， 2022， 9（20）： 20178-20188.

[91] WANG Y， LI M， XIN Y， et al. Exchanging registered users’ submitting reviews towards trajectory privacy preservation for review services in Location-Based Social Networks［J］. PLoS One， 2021， 16（9）： No.e0256892.

[92] 左開(kāi)中，劉蕊，趙俊，等.融合語(yǔ)義信息的時(shí)空關(guān)聯(lián)位置隱私保護(hù)方法［J］.西安電子科技大學(xué)學(xué)報(bào)，2022，49（1）：67-77.（ZUO K Z， LIU R， ZHAO J， et al. Method for the protection of spatiotemporal correlation location privacy with semantic information［J］. Journal of Xidian University， 2022， 49（1）： 67-77.）

[93] RAO J M， GAO S， KANG Y H， et al. LSTM-TrajGAN： a deep learning approach to trajectory privacy protection［C］// Proceedings of the 11th International Conference on Geographic Information Science — Part I. Wadern： Schloss Dagstuhl — Leibniz-Zentrum fuer Informatik， 2020： No.12.

Survey of semantics-based location privacy protection

LI Wenxuan1，2， WU Hao1，3，4*， LI Changsong1，3

（1（），100044，；2，，100044，；3，，100044，；4，100044，）

The arrival of the 5G era makes Location-Based Service （LBS） more widely used， but users also have to face many privacy leakage issues caused by LBS when they enjoy the great convenience brought by LBS. In order to strengthen the security of anonymity， improve data utility， resist attacks with certain background knowledge and protect users’ sensitive information， researchers proposed the semantics-based location privacy protection mechanism. Firstly， the structure of location privacy protection systems and traditional protection technologies were introduced. Then， several typical privacy leakage and attack modes based on location semantics were analyzed， the location privacy protection requirements combined with location semantics were given， and the key technologies and achievements in the latest research of semantics-based location privacy protection from two aspects of single-point location privacy protection and trajectory privacy protection were summarized. Finally， the future technological development trend and the next research work were prospected.

privacy protection; location semantics; location service; location data; trajectory data

1001-9081（2023）11-3472-12

10.11772/j.issn.1001-9081.2022101612

2022?10?28；

2023?02?05；

國(guó)家重點(diǎn)研發(fā)計(jì)劃項(xiàng)目（2018YFE0207600）； 中央高?；究蒲袠I(yè)務(wù)費(fèi)專(zhuān)項(xiàng)資金資助項(xiàng)目（2022JBQY004）； 軌道交通控制與安全國(guó)家重點(diǎn)實(shí)驗(yàn)室（北京交通大學(xué)）自主研究課題（RCS2021ZT008）。

李雯萱（1999—），女，新疆圖木舒克人，碩士研究生，主要研究方向：隱私保護(hù)、語(yǔ)義通信； 吳昊（1973—），女，江蘇常熟人，教授，博士，主要研究方向：信息安全； 李昌松（1998—），男，安徽蚌埠人，博士研究生，主要研究方向：語(yǔ)義通信、網(wǎng)絡(luò)安全。

TP309

A

2023?02?08。

This work is partially supported by National Key Research & Development Program （2018YFE0207600）， Fundamental Research Funds for Central Universities （2022JBQY004）， State Key Laboratory of Rail Traffic Control and Safety （Beijing Jiaotong University） Independent Research Project （RCS2021ZT008）.

LI Wenxuan， born in 1999， M. S. candidate. Her research interests include privacy protection， semantic communication.

WU Hao， born in 1973， Ph. D.， professor. Her research interests include information security.

LI Changsong， born in 1998， Ph. D. candidate. His research interests include semantic communication， network security.