張學(xué)軍，桂小林，馮志超，田豐，余思，趙建強(qiáng)

（1.西安交通大學(xué)電子與信息工程學(xué)院，710049，西安；2.蘭州交通大學(xué)電子與信息工程學(xué)院，730070，蘭州）

智能移動(dòng)設(shè)備（例如智能手機(jī)、PDA等）的廣泛使用促進(jìn)了位置服務(wù)（location-based service，LBS）的快速發(fā)展。據(jù)美國ABI Research最新預(yù)測(cè)，LBS全球總收入將由2009年的26億美元上升到2014年的140多億美元［1］。雖然LBS為用戶提供了極大的方便，但也造成了嚴(yán)重的隱私關(guān)注。惡意攻擊者可以將包含位置信息的LBS查詢與用戶關(guān)聯(lián)起來，推斷出其生活習(xí)慣、興趣愛好、健康狀況等個(gè)人敏感信息。研究者就如何允許用戶在享受LBS的同時(shí)限制其隱私泄露提出了許多查詢隱私保護(hù)機(jī)制［1-5］，但是，對(duì)這些保護(hù)機(jī)制的評(píng)價(jià)通常忽略了攻擊者可能具有的背景知識(shí)和推理能力，而這些背景知識(shí)和推理能力可以幫助攻擊者減少其對(duì)用戶真實(shí)位置的不確定性［4］。因此，已有的查詢隱私度量方法過高地評(píng)價(jià)了給定保護(hù)系統(tǒng)提供的隱私保護(hù)水平。而且，目前的LBS隱私保護(hù)研究主要集中在保護(hù)技術(shù)研發(fā)上，對(duì)隱私保護(hù)系統(tǒng)可信性及隱私保護(hù)機(jī)制有效性的評(píng)估還不夠成熟和完善，明顯缺乏一個(gè)形式化的框架來說明和度量各種查詢隱私保護(hù)機(jī)制。

本文針對(duì)上述問題，設(shè)計(jì)了一個(gè)融合攻擊者背景知識(shí)和推理能力的形式化查詢隱私度量框架。該框架綜合考慮LBS系統(tǒng)中影響用戶查詢隱私的各種因素，能正確度量各種查詢隱私保護(hù)機(jī)制的有效性。

1 相關(guān)工作

在查詢隱私中，位置k匿名［5］是最常使用的度量指標(biāo)，k是匿名集的大小，k越大，查詢的隱私性越高。林欣等指出，當(dāng)匿名集中各個(gè)用戶發(fā)送查詢的概率不相等時(shí)，匿名集的大小就不能反映每個(gè)用戶的真正匿名性［6］。Shokri等分析了位置k匿名在攻擊者具有用戶實(shí)時(shí)位置信息、統(tǒng)計(jì)信息和無信息時(shí)保護(hù)隱私的有效性，得出k匿名對(duì)查詢隱私有效，對(duì)位置隱私無效，并指出攻擊者可以利用k匿名的缺陷推斷出用戶的當(dāng)前位置［7］。為此，他們提出了一種基于扭曲的隱私度量指標(biāo)，通過比較攻擊者跟蹤用戶獲得的軌跡和用戶真實(shí)軌跡之間的差異來反映用戶的隱私保護(hù)水平［8］。最近，Shokri等設(shè)計(jì)了一個(gè)位置隱私量化工具，假定攻擊者可以利用從用戶軌跡采樣中抽取的用戶移動(dòng)模型、LBS訪問模式等推斷其截獲的軌跡的真正制造者，并使用攻擊者的期望估計(jì)誤差作為隱私度量指標(biāo)［9］，它在思想上和我們的工作很接近。通過對(duì)以上工作的研究發(fā)現(xiàn)：①已有的查詢隱私度量方法大都忽略了攻擊者的背景知識(shí)和推理能力，而這些信息和隱私度量密切相關(guān)。②已有的查詢隱私度量方法大都針對(duì)某個(gè)特定的隱私保護(hù)技術(shù)，缺乏一個(gè)泛化的度量框架來量化各種隱私保護(hù)機(jī)制，因此建立融合攻擊者背景知識(shí)和推理能力的查詢隱私框架就顯得非常必要。

2 查詢隱私度量框架

為了正確度量各種查詢隱私保護(hù)機(jī)制在不同攻擊模型下的有效性，需要綜合考慮LBS系統(tǒng)中影響用戶查詢隱私的各種因素和它們之間的關(guān)系，例如用戶的時(shí)空狀態(tài)和需求、攻擊者的背景知識(shí)和推理能力、隱私保護(hù)機(jī)制實(shí)現(xiàn)算法、隱私指標(biāo)等。本文將這些高度相關(guān)的因素放在一起，針對(duì)匿名和泛隱私保護(hù)機(jī)制，設(shè)計(jì)了一個(gè)形式化查詢隱私度量框架，如圖1所示。

圖1 查詢隱私度量框架

定義該框架為六元組＜U，Q，PPM，，Aattacker，Mmetric＞，其中U是用戶u的集合。Q為用戶u在t時(shí)刻l位置上發(fā)出的LBS查詢集合。PPM是隱私保護(hù)機(jī)制，它對(duì)查詢q（q∈Q）進(jìn)行扭曲處理并產(chǎn)生泛化查詢是攻擊者可以觀察的泛化查詢的集合。Aattacker是攻擊者，指能夠通過LBS訪問用戶位置和查詢的任何實(shí)體。Aattacker能夠利用他對(duì)PPM、用戶資料的背景知識(shí)和，通過執(zhí)行推理攻擊推斷出q的真正請(qǐng)求者。Mmetric是查詢隱私度量指標(biāo)，用于度量攻擊者的攻擊性能。攻擊者的推理是統(tǒng)計(jì)意義上的，他利用獲得的用戶資料抽取每個(gè)用戶發(fā)送q的先驗(yàn)概率，形成概率矩陣M=（mij），進(jìn)而利用M嘗試重構(gòu)泛化區(qū)域內(nèi)每個(gè)用戶發(fā)送的后驗(yàn)概率。

2.1 移動(dòng)用戶

在移動(dòng)無線網(wǎng)絡(luò)環(huán)境中，用戶是在一定的時(shí)空狀態(tài)下執(zhí)行LBS查詢，時(shí)空特性不僅包含它的實(shí)際狀態(tài)，也包含來自觀察者角度的狀態(tài)。

記U=｛u1，u2，…，uN｝為在區(qū)域L 內(nèi)移動(dòng)的N個(gè)用戶的集合，L=｛l1，l2，…，lM｝為 M 個(gè)不同位置的集合，時(shí)間T=｛1，2，3，…，T｝是離散的，為可記錄時(shí)間實(shí)例的集合。由于用戶是移動(dòng)的，其位置隨時(shí)間發(fā)生變化，所以記函數(shù)whereis：U×T→L為用戶在任意時(shí)刻的真實(shí)位置。用戶u在時(shí)刻t的位置分布定義為集合S（t）=｛（u，whereis（u，t））｜u∈U｝。

定義1（初始查詢Q） 設(shè)Qu為LBS支持的所有查詢qu的集合，則定義用戶u的初始查詢q為一個(gè)四元組＜u，t，whereis（u，t），qu＞，其中u∈U 為用戶標(biāo)識(shí)，t∈T 為查詢q發(fā)生的時(shí)間戳，whereis（u，t）∈L是用戶u在t時(shí)刻與查詢q相關(guān)聯(lián)的位置，qu∈Qu是查詢體。用戶U在時(shí)刻T所有可能的初始查詢的集合為Q?U×T×L×Qu。初始查詢Q代表了用戶在真實(shí)環(huán)境中的實(shí)際狀態(tài)。

2.2 隱私保護(hù)機(jī)制

LBS系統(tǒng)中，攻擊者能夠利用其可用的背景知識(shí)從初始查詢Q中推理出用戶的隱私信息或定位其位置。為了防止這種威脅，需要在LBS服務(wù)器得到用戶查詢之前，對(duì)其進(jìn)行扭曲處理產(chǎn)生泛化查詢。隱私保護(hù)機(jī)制就是實(shí)現(xiàn)這種扭曲處理的。

定義3（隱私保護(hù)機(jī)制PPM） 設(shè)Q是初始查詢，泛化查詢，則定義隱私保護(hù)機(jī)制為映射函數(shù)f：Q→。例如，有f（q）=。轉(zhuǎn)換函數(shù)f實(shí)現(xiàn)初始查詢到泛化查詢的映射，攻擊者的目標(biāo)就是通過觀察到的泛化查詢的子集，盡力重構(gòu)出查詢Q。

2.3 攻擊者

為了正確評(píng)估隱私保護(hù)機(jī)制的有效性，必須對(duì)攻擊模型進(jìn)行建模。攻擊模型可通過攻擊者的背景知識(shí)和推理能力來刻畫。對(duì)每種隱私保護(hù)機(jī)制，攻擊者所擁有的背景知識(shí)和推理能力直接影響攻擊這種保護(hù)技術(shù)的難易程度。攻擊者得到的有用背景知識(shí)越多，推理能力越強(qiáng)，就越有可能推斷出用戶的隱私。所以，只有將攻擊者的背景知識(shí)和推理能力融入到隱私度量中，才能正確度量用戶的隱私保護(hù)水平。

2.3.1 攻擊者背景知識(shí)和推理能力假設(shè) 在隱私度量中融入攻擊者的背景知識(shí)，就需要知道攻擊者可能擁有多少或哪些背景知識(shí)，這在實(shí)際中是不可行的。因此，一般會(huì)對(duì)攻擊者所擁有的背景知識(shí)和推理能力做出各種假設(shè)。本文做如下假設(shè)［10］：①攻擊者具有用戶實(shí)時(shí)位置分布的全局知識(shí)；②攻擊者可獲取匿名服務(wù)器轉(zhuǎn)發(fā)給LBS服務(wù)器的任何泛化查詢，匿名服務(wù)器可信且用戶和匿名服務(wù)器之間的通信是安全的；③匿名服務(wù)器使用的隱私保護(hù)方法是公開的，即對(duì)匿名集中的每個(gè)用戶，攻擊者通過隱私保護(hù)方法得到的匿名區(qū)域和其他人進(jìn)行計(jì)算得到的匿名區(qū)域一樣；④攻擊者可利用獲得的用戶資料得到關(guān)于用戶的先驗(yàn)知識(shí)；⑤攻擊者不具備用戶隱私需求的決策過程，但在獲得匿名服務(wù)器轉(zhuǎn)發(fā)的泛化查詢后，可以了解用戶的隱私需求；⑥攻擊者不能關(guān)聯(lián)同一用戶的任意兩個(gè)查詢。

2.3.2 攻擊者背景知識(shí)的表達(dá)與量化 在查詢隱私中，攻擊者的目標(biāo)是通過觀察到的的子集，利用相關(guān)的背景知識(shí)盡可能正確地重新識(shí)別出q的真正發(fā)送者u。攻擊者觀察到泛化查詢子集的范圍取決于它的能力。對(duì)全局攻擊者，它觀察到泛化查詢的子集等于。攻擊者識(shí)別出的真正發(fā)送者越正確，用戶隱私泄露的可能性就越大。因此，可以將u和初始查詢q以及u和泛化查詢之間的關(guān)聯(lián)描述為條件概率p（u｜q）和p（u｜）。將所有p（u｜q）和p（u｜）都看作變量，而將背景知識(shí)表達(dá)為這些變量的約束。

本文中，假定攻擊者具有用戶資料的背景知識(shí)。用戶資料可描述為與用戶相關(guān)的一組屬性的集合，分為描述信息（例如國家、種族等）、聯(lián)系信息（例如姓名，地址等）和偏好信息（例如移動(dòng)模型等）［11］。攻擊者還可以通過對(duì)用戶的觀察截取到一些服務(wù)請(qǐng)求的背景知識(shí)，例如用戶的假名、查詢內(nèi)容、位置等。攻擊者將具有的背景知識(shí)和觀察到的信息進(jìn)行關(guān)聯(lián)攻擊，得到p（u｜q）和p（u｜），這就將背景知識(shí)表達(dá)成了變量p（u｜q）和p（u｜）的約束。

2.3.3 先驗(yàn)知識(shí)的獲取 用戶資料的每個(gè)屬性都有一定的取值范圍，其取值可離散化為明確的形式。例如，性別的取值可表示為“男”、“女”等。這樣，每個(gè)屬性的取值都是有限的。設(shè)A=｛a1，a2，…，an｝是要考慮的n個(gè)屬性，則每個(gè)用戶的資料可表示為Φu=｛a1：v1，a2：v2，…，an：vn｝，其中vi是用戶u 的屬性ai的取值，ai的取值可以為空。

給定一個(gè)屬性ai，先將其值離散化。如果是數(shù)字型，則把連續(xù)數(shù)據(jù)空間劃分為不相交且互斥的間隔區(qū)域，離散后的每個(gè)屬性用二進(jìn)制串表示。于是用戶的資料可以用一個(gè)向量Pu=＜l1，l2，…，ln＞表示，其中l(wèi)i是一個(gè)二進(jìn)制數(shù)字序列，該序列的長度等于ai的所有可能離散值的個(gè)數(shù)。如果vi滿足相應(yīng)離散值，則相應(yīng)二進(jìn)制位取為1，否則為0。如性別所有可能的值是“男”和“女”，可用兩位二進(jìn)制表示：“男”對(duì)應(yīng)的位取1，為“10”，“女”對(duì)應(yīng)的位取1，為“01”；

對(duì)每個(gè)查詢q，都有一個(gè)相關(guān)屬性的子集用于推理該查詢的真正請(qǐng)求者。由于用戶資料中的每個(gè)屬性對(duì)攻擊者識(shí)別查詢q的重要性不同，所以相關(guān)屬性的每個(gè)值都應(yīng)有一個(gè)權(quán)重以確定該屬性值識(shí)別查詢q的重要程度。例如奢侈品的查詢，相關(guān)的屬性應(yīng)包括工作、月薪和年齡。在這3個(gè)屬性中，月薪比年齡重要，而且月薪超過10 000元比月薪低于1 000元對(duì)該查詢更重要。因此，引入相關(guān)向量W（q）=＜w1，w2，…，wn＞表示屬性值和查詢q之間的關(guān)系，其中n為屬性的個(gè)數(shù)。對(duì)于任意用戶u∈U 和表示用戶u的資料和查詢q的相關(guān)程度。于是，用戶u發(fā)送查詢q的概率為

2.4 隱私度量

為了客觀評(píng)價(jià)查詢隱私保護(hù)機(jī)制的實(shí)際效果，需要建立一些評(píng)價(jià)指標(biāo)來度量用戶的查詢隱私。

2.4.1 位置k匿名

定義4（位置k匿名） 設(shè)q=＜u，t，whereis（u，t），qu＞∈Q是一個(gè)初始查詢=＜i，r，t，qu＞∈是其對(duì)應(yīng)的泛化查詢。如果匿名集中的所有用戶u滿足則稱用戶u是位置k匿名。

2.4.2 β熵匿名 在查詢隱私保護(hù)中，如果用戶和查詢關(guān)聯(lián)的不確定性越大，攻擊者越難推斷出查詢的真正發(fā)送者，因此可以借鑒信息論中的熵理論，用攻擊者識(shí)別泛化查詢的不確定性來度量用戶的查詢隱私。

從攻擊者的角度看，當(dāng)它沒有任何背景知識(shí)時(shí)，匿名區(qū)域內(nèi)每個(gè)用戶發(fā)送查詢的可能性相同，匿名區(qū)域的熵最大，用戶的查詢隱私保護(hù)水平最高。

定義5（β熵匿名） 設(shè)β＞0，q=＜u，t，whereis（u，t），qu＞∈Q 是初始查詢=＜i，r，t，qu＞∈是其對(duì)應(yīng)的泛化查詢，如果對(duì)于所有的用戶u∈ul（r，t），滿足則稱用戶u是β熵匿名。

2.4.3 δ互信息匿名 互信息可用于度量?jī)蓚€(gè)隨機(jī)變量之間的相關(guān)性。在查詢隱私中，可以用互信息度量泛化查詢被攻擊者截取后查詢不確定性的減少程度。攻擊者在截取到泛化查詢之前，僅知道q是由用戶U以概率p（U｜q）發(fā)送，其不確定性可描述為E（U｜q）。攻擊者截取到泛化查詢后，其不確定性可以表示為E（U｜）。于是，攻擊者截取到泛化查詢前后不確定性的增益為

定義6（δ互信息匿名） 設(shè)δ＞0，q=＜u，t，whereis（u，t），qu＞∈Q是初始查詢=＜i，r，t，qu＞∈是其對(duì)應(yīng)的泛化查詢，如果對(duì)所有用戶u∈ul（r，t），滿足I（U｜q；）≤δ∧f（q）=，則稱查詢發(fā)送者u是δ互信息匿名。

3 實(shí)驗(yàn)分析

利用框架對(duì)dichotomicPoints［10］隱私保護(hù)算法的有效性進(jìn)行度量。實(shí)驗(yàn)在產(chǎn)生用戶位置坐標(biāo)和LBS請(qǐng)求時(shí)，采用業(yè)界認(rèn)可的Thomas Brinkhoff路網(wǎng)數(shù)據(jù)生成器［12］模擬生成用戶在Oldenburg市區(qū)（面積為23.57km×26.92km）交通路網(wǎng)內(nèi)的運(yùn)動(dòng)軌跡，隨機(jī)產(chǎn)生10 000個(gè)用戶，用戶的移動(dòng)速度采用默認(rèn)設(shè)置。攻擊者關(guān)于用戶資料的背景知識(shí)可用UCI機(jī)器學(xué)習(xí)中的Adult數(shù)據(jù)集，利用2.3節(jié)的方法求出。因?yàn)楸疚闹饕P(guān)注框架對(duì)隱私保護(hù)機(jī)制有效性的度量，所以在實(shí)驗(yàn)中采用隨機(jī)產(chǎn)生用戶先驗(yàn)知識(shí)的方法。模擬算法在Windows7平臺(tái)下使用Java實(shí)現(xiàn)，測(cè)試機(jī)器的基本參數(shù)為3.51GHz Intel Core（TM）i5處理器、4GB內(nèi)存。實(shí)驗(yàn)結(jié)果取算法執(zhí)行100次仿真的平均值。

圖2 位置k匿名度量

3.1 位置k匿名度量

圖2給出了攻擊者有、無背景知識(shí)時(shí)，利用位置k匿名度量查詢隱私保護(hù)機(jī)制的情況。無背景知識(shí)時(shí)，在攻擊者看來，由dichotomicPoints算法產(chǎn)生的匿名區(qū)域內(nèi)每個(gè)用戶發(fā)送查詢的可能性相同。當(dāng)觀察到泛化查詢時(shí)，攻擊者只能推斷出匿名區(qū)域內(nèi)用戶發(fā)送的概率為該匿名區(qū)域內(nèi)用戶數(shù)目的倒數(shù)，即圖中“無背景知識(shí)”對(duì)應(yīng)的曲線。有背景知識(shí)時(shí)，從攻擊者的角度看，匿名區(qū)域內(nèi)每個(gè)用戶發(fā)送查詢的概率不再相等，攻擊者使用攻擊算法找出最有可能發(fā)送查詢的用戶，即圖中“有背景知識(shí)”對(duì)應(yīng)的曲線。首先用戶的后驗(yàn)概率隨著k值的增加而減小，這是因?yàn)閗越大，隱私保護(hù)機(jī)制產(chǎn)生匿名區(qū)域的用戶數(shù)就越多。其次，給定一個(gè)k值，攻擊者沒有背景知識(shí)時(shí)，發(fā)送用戶的后驗(yàn)概率均小于1／k，即攻擊者不能以大于1／k的概率識(shí)別出查詢發(fā)送者，k的大小能反映用戶的隱私水平；攻擊者有背景知識(shí)時(shí)，發(fā)送用戶的后驗(yàn)概率大于1／k，即攻擊者能以大于1／k的概率識(shí)別出查詢發(fā)送者，用戶的隱私有可能暴露，匿名集的大小已不能正確反映用戶的隱私水平。因此，在查詢隱私度量中考慮攻擊者背景知識(shí)是必不可少的，同時(shí)也表明查詢隱私的度量結(jié)果應(yīng)該包括用戶查詢隱私水平值和攻擊者背景知識(shí)的假設(shè)，這可幫助用戶理解他們隱私受保護(hù)的程度以及攻擊者背景知識(shí)對(duì)用戶隱私保護(hù)的重要性。

3.2 β熵匿名和δ互信息匿名度量

β熵匿名和δ互信息匿名指標(biāo)用于度量攻擊者對(duì)查詢的不確定性，反映了用戶的查詢隱私水平。

圖3 β熵匿名度量

圖4 β熵匿名區(qū)域面積

一個(gè)滿足β熵匿名的匿名區(qū)域可以確保該匿名區(qū)域的熵值大于β，而滿足δ互信息匿名的匿名區(qū)域可確保攻擊者對(duì)查詢不確定性的減少小于δ。圖3和圖5描述了不同β和δ對(duì)應(yīng)的熵和互信息，可以看出，由dichotomicPoints算法產(chǎn)生匿名區(qū)域的所有用戶都滿足β熵匿名和δ互信息匿名的定義，且當(dāng)β和δ分別接近整數(shù)時(shí)，熵值和互信息值的變化比較急速，這是由熵的本質(zhì)所確定的。圖4和圖6給出了匿名區(qū)域平均面積占數(shù)據(jù)空間的比率隨β和δ分別變化的情況，圖4中匿名區(qū)域的面積隨β增大而增大，這是因?yàn)棣略酱螅涿麉^(qū)域的熵越大，匿名區(qū)域內(nèi)包含的用戶越多，匿名區(qū)域的面積就越大，用戶的隱私保護(hù)水平也越高，但服務(wù)質(zhì)量越低。如圖6所示，匿名區(qū)域的面積隨著δ的增大而減小，因?yàn)棣脑酱?，攻擊者的不確性越小，匿名區(qū)域內(nèi)包含的用戶數(shù)越少，滿足隱私需求的匿名區(qū)域就越小，用戶的隱私保護(hù)水平也越低，但服務(wù)質(zhì)量越高。因此，β熵匿名和δ互信息匿名指標(biāo)能夠正確反映攻擊者具有背景知識(shí)時(shí)，查詢隱私保護(hù)機(jī)制提供的用戶隱私保護(hù)水平，可以幫助用戶確定隱私需求和服務(wù)質(zhì)量之間的平衡。

圖5 δ互信息匿名度量

圖6 δ互信息匿名區(qū)域面積

4 結(jié) 論

本文提出了一個(gè)形式化的查詢隱私度量框架。該框架綜合考慮了LBS系統(tǒng)中影響用戶查詢隱私的各種因素，定義了攻擊者可用背景知識(shí)和推理能力的假設(shè)及隱私度量指標(biāo)。實(shí)驗(yàn)結(jié)果驗(yàn)證了該框架的有效性。同時(shí)，對(duì)實(shí)驗(yàn)結(jié)果的分析表明，考慮攻擊者的背景知識(shí)和推理能力對(duì)LBS查詢隱私保護(hù)的度量是必不可少的，在設(shè)計(jì)隱私保護(hù)機(jī)制時(shí)需要對(duì)攻擊者的知識(shí)和其目標(biāo)的一致性進(jìn)行建模，才能設(shè)計(jì)出更適合實(shí)際的查詢隱私保護(hù)機(jī)制。后續(xù)工作中，將考慮把位置服務(wù)應(yīng)用集成到框架中，分析隱私保護(hù)機(jī)制對(duì)于這些應(yīng)用的有效性。另外，對(duì)攻擊者具有用戶移動(dòng)模型和查詢歷史等背景知識(shí)進(jìn)行合理的建模也是將要進(jìn)行的重點(diǎn)工作之一。

［1］ PAN Xiao，XU Jianliang，MENG Xiaofeng.Protection location privacy against location-dependent attacks in mobile services［J］.IEEE Transactions on Knowledge and Data Engineering，2012，24（8）：1506-1519.

［2］ XU T，CAI Ying.Exploring historical location data for anonymity preservation in location-based services［C］∥Proceedings of the 27th IEEE International Conference on Computer Communications.Piscataway，NJ，USA：IEEE，2008：1220-1228.

［3］ PING A，ZHANG Nan，F(xiàn)U Xinwen，et al.Protection of query privacy for continuous location based services［C］∥Proceedings of the 30th IEEE International Conference on Computer Communications.Piscataway，NJ，USA：IEEE，2011：1710-1718.

［4］ SHOKRI R，THEODORAKOPOULOS G， TRONCOSO C，et al.Protecting location privacy：optimal strategy against localization attacks［C］∥Proceedings of the 19th ACM Conference on Computer and Communication Security.New York，USA：ACM，2012：617-626.

［5］ GRUTESER M，GRUNWALD D.Anonymous usage of location-based services through spatial and temporal cloaking［C］∥Proceedings of the First International Conference on Mobile Systems， Application，and Services.New York，USA：ACM，2003：31-42.

［6］ 林欣，李善平，楊朝會(huì).LBS中連續(xù)查詢攻擊算法及匿名性度量 ［J］.軟件學(xué)報(bào)，2009，20（4）：1058-1068.LIN Xin，LI Shanping，YANG Zhaohui.Attacking algorithms against continuous queries in LBS and anonymity measurement［J］.Journal of Software，2009，20（4）：1058-1068.

［7］ SHOKRI R，TRONCOSO C，DIAZ C.Unraveling an old cloak：k-anonymity for location privacy［C］∥Proceedings of the 2010ACM Workshop on Privacy in the Electronic Society.New York，USA：ACM，2012：115-118.

［8］ SHOKRI R，F(xiàn)REUDIGER J，JADLIWALA M，et al.A distortion-based metric for location privacy ［C］∥Proceedings of the 8th ACM Workshop on Privacy in the Electronic Society.New York，USA：ACM，2009：21-30.

［9］ SHOKRI R，THEODORAKOPOUS G，BOUDEC J-Y L，et al.Quantifying location privacy ［C］∥Proceedings of the 32nd IEEE Symposium on Security and Privacy.Piscataway，NJ，USA：IEEE，2011：247-262.

［10］CHEN Xihui，PANG Jun.Measuring query privacy in location-based services［C］∥Proceedings of the Second ACM Conference on Data and Application Security and Privacy.New York，USA：ACM，2012：49-60.

［11］SHIN H，ATLURI V，VAIDYA J.A profile anonymization model for privacy in a personalized location base service environment［C］∥Proceedings of the 9th International Conference on Mobile Data Management.Piscataway，NJ，USA：IEEE，2008：73-80.

［12］BRINKHOFF T.A framework for generating networkbased moving objects ［J］.GeoInformatica，2002，6（2）：153-180.