基于地理社交網(wǎng)絡(luò)的頻繁位置隱私保護(hù)算法

2018-05-21 01:01:32寧雪莉羅永龍鄭孝遙

計(jì)算機(jī)應(yīng)用 2018年3期

寧雪莉，羅永龍，邢凱，鄭孝遙

(1.安徽師范大學(xué) 數(shù)學(xué)計(jì)算機(jī)科學(xué)學(xué)院，安徽蕪湖 241002； 2.網(wǎng)絡(luò)與信息安全安徽省重點(diǎn)實(shí)驗(yàn)室(安徽師范大學(xué))，安徽蕪湖 241002)

0 引言

地理社交網(wǎng)絡(luò)(GeoSocial Network, GSN)本質(zhì)上是具有地理位置坐標(biāo)特性的社交網(wǎng)絡(luò)，從社交網(wǎng)絡(luò)如Facebook、Twitter到基于位置的社交網(wǎng)絡(luò)如Foursquare，用戶(hù)通過(guò)帶有定位功能的移動(dòng)設(shè)備簽到并彼此分享位置，同時(shí)利用這些地理位置信息，可以獲取更多個(gè)性化定制服務(wù)，如導(dǎo)航、興趣點(diǎn)推薦、智能交通等，因此分析并發(fā)布用戶(hù)位置數(shù)據(jù)信息很有應(yīng)用意義。然而用戶(hù)頻繁簽到的位置可能包含用戶(hù)極其敏感的個(gè)人信息，簡(jiǎn)單發(fā)布這些數(shù)據(jù)會(huì)導(dǎo)致用戶(hù)個(gè)人身份和其他敏感信息泄露，因此，用戶(hù)頻繁位置的隱私保護(hù)是目前一個(gè)重要的研究熱點(diǎn)。

社交網(wǎng)絡(luò)中用戶(hù)身份信息泄露已經(jīng)得到廣泛研究[1-5]，然而由于地理社交網(wǎng)絡(luò)中涉及用戶(hù)的位置信息，若將上述隱私保護(hù)方法直接應(yīng)用到地理社交網(wǎng)絡(luò)中仍然存在一些弊端。如攻擊者了解目標(biāo)用戶(hù)在某一個(gè)時(shí)刻頻繁訪問(wèn)某個(gè)或某幾個(gè)位置，而在這個(gè)時(shí)刻只有一個(gè)用戶(hù)在該位置簽到，那么攻擊者就可以根據(jù)了解的背景知識(shí)將用戶(hù)和頻繁位置唯一匹配，推測(cè)出用戶(hù)身份信息，導(dǎo)致用戶(hù)身份以及其他和位置有關(guān)的敏感信息泄露。

為解決上述問(wèn)題，本文提出了一個(gè)(k,c)-anonymity算法。首先根據(jù)用戶(hù)訪問(wèn)位置的頻次設(shè)置頻繁位置集合；然后將這些頻繁位置的子集組合成超邊，把不滿(mǎn)足匿名參數(shù)k的超邊進(jìn)行重組，通過(guò)該算法泛化用戶(hù)頻繁訪問(wèn)位置；最后發(fā)布地理社交網(wǎng)絡(luò)數(shù)據(jù)信息，并且通過(guò)Brightkite和Gowalla數(shù)據(jù)集進(jìn)行實(shí)驗(yàn)驗(yàn)證，結(jié)果表明在保證安全性的同時(shí)降低了用戶(hù)的信息損失率。

1 相關(guān)工作

多數(shù)位置隱私保護(hù)技術(shù)都是基于k匿名實(shí)現(xiàn)的[6-9]。文獻(xiàn)[6]提出時(shí)空匿名保護(hù)技術(shù)：New Caper算法，通過(guò)空間索引技術(shù)組織各個(gè)移動(dòng)對(duì)象來(lái)提高位置泛化和查詢(xún)功能。文獻(xiàn)[7]使用網(wǎng)格進(jìn)行k匿名，并在此基礎(chǔ)上增加位置多樣性，進(jìn)而提高隱私保護(hù)的程度。文獻(xiàn)[8]根據(jù)位置服務(wù)查詢(xún)結(jié)果的相似性來(lái)構(gòu)造匿名區(qū)域?qū)崿F(xiàn)位置隱私保護(hù)。文獻(xiàn)[9]針對(duì)現(xiàn)有位置隱私保護(hù)機(jī)制忽略隱式收集時(shí)空數(shù)據(jù)而導(dǎo)致隱私泄漏的問(wèn)題，提出基于時(shí)空數(shù)據(jù)發(fā)布中隱式隱私保護(hù)方法。上述研究主要是解決基于位置服務(wù)的匿名查詢(xún)問(wèn)題，僅僅針對(duì)用戶(hù)單點(diǎn)位置進(jìn)行隱私保護(hù)且與地理社交網(wǎng)絡(luò)中數(shù)據(jù)匿名方式不同。文獻(xiàn)[10-11]提出基于區(qū)域的偽裝(Region-based Cloaking, CR)算法，該算法的核心是使CR盡可能小以提高服務(wù)質(zhì)量，對(duì)于每個(gè)查詢(xún)可信匿名服務(wù)器生成一個(gè)至少包含k個(gè)真實(shí)用戶(hù)位置的CR。在文獻(xiàn)[12]中指出連續(xù)查詢(xún)服務(wù)需要生成較大的CR，導(dǎo)致服務(wù)質(zhì)量降低，同時(shí)基于CR方法的問(wèn)題也在于潛在k匿名范式易受到背景知識(shí)攻擊，尤其在地理社交網(wǎng)絡(luò)中對(duì)于時(shí)刻簽到的用戶(hù)，攻擊者可以用某些特殊位置重構(gòu)用戶(hù)身份，進(jìn)而導(dǎo)致用戶(hù)身份泄露。

文獻(xiàn)[13]介紹一種基于地理社交網(wǎng)絡(luò)的頻繁位置Lk-anonymity模型，該模型認(rèn)為攻擊者了解目標(biāo)用戶(hù)所有的頻繁位置，但這種假設(shè)與實(shí)際情況不符。文獻(xiàn)[14]提出并定義一種以表格方式處理數(shù)據(jù)的(k,l)-anonymity模型，該模型數(shù)據(jù)的處理格式與地理社交網(wǎng)絡(luò)數(shù)據(jù)格式不同，且沒(méi)有把頻繁位置作為用戶(hù)敏感信息的一部分來(lái)處理，因此這種方式不能直接應(yīng)用于地理社交網(wǎng)絡(luò)。文獻(xiàn)[15]提出(k,m)-anonymity頻繁位置模型，利用地理社交網(wǎng)絡(luò)特性，引入社交網(wǎng)絡(luò)超邊重新組合思想構(gòu)造匿名，這種方式有效地減弱了背景知識(shí)攻擊以及用戶(hù)身份泄露風(fēng)險(xiǎn)，但其隨機(jī)的超邊重組機(jī)制導(dǎo)致用戶(hù)偏離度以及位置偏離度較大，使得數(shù)據(jù)有效性較低。

為此，本文根據(jù)地理社交網(wǎng)絡(luò)特性設(shè)計(jì)一種頻繁位置匿名模型，并提出一個(gè)新的隱私保護(hù)算法(k,c)-anonymity算法，首先針對(duì)地理社交網(wǎng)絡(luò)中用戶(hù)頻繁位置隱私泄露問(wèn)題，構(gòu)建一個(gè)基于用戶(hù)頻繁位置的隱私保護(hù)模型，利用(k,c)-anonymity算法泛化用戶(hù)頻繁訪問(wèn)位置，采用超邊相交機(jī)制和最近距離決定超邊重組策略對(duì)用戶(hù)頻繁訪問(wèn)位置進(jìn)行匿名，從而實(shí)現(xiàn)對(duì)用戶(hù)簽到信息進(jìn)行局部抑制操作。通過(guò)實(shí)驗(yàn)證明，該算法降低了用戶(hù)和位置的偏離度，減少了信息損失，提高了地理社交網(wǎng)絡(luò)發(fā)布數(shù)據(jù)的有效性。

2 相關(guān)定義

定義1 位置差異性。位置li與位置lj之間的距離遠(yuǎn)近程度稱(chēng)為位置差異性，其中l(wèi)i坐標(biāo)為(lati,loni)，lj坐標(biāo)為(latj,lonj)，由歐氏距離公式表示如下：

(1)

定義2 頻繁位置。用戶(hù)在一定時(shí)間內(nèi)多次訪問(wèn)同一個(gè)位置，并根據(jù)用戶(hù)訪問(wèn)位置的頻次，對(duì)訪問(wèn)超過(guò)一定次數(shù)的位置稱(chēng)為頻繁位置。對(duì)于用戶(hù)頻繁訪問(wèn)的位置本文設(shè)定為敏感信息，需要保護(hù)的對(duì)象。

定義3 頻繁位置矩陣。V={v1,v2,…,vm}表示所有用戶(hù)的集合，L={l1,l2,…,ln}表示用戶(hù)所訪問(wèn)的位置集合，那么用戶(hù)的頻繁位置矩陣表示為VLm×n，如表1中用戶(hù)-位置矩陣表示。

定義4 頻繁位置選擇。對(duì)于一個(gè)位置li屬于用戶(hù)vi的m個(gè)頻繁訪問(wèn)的位置Lm={l1,l2,…,lm}，當(dāng)且僅當(dāng)：

(2)

如果用戶(hù)vi在一定時(shí)間內(nèi)訪問(wèn)位置li的次數(shù)超過(guò)系統(tǒng)設(shè)定的value值則認(rèn)為li是用戶(hù)vi的頻繁位置。頻繁位置的選擇也是數(shù)據(jù)集處理的一種方式，采用何種方式處理數(shù)據(jù)集并不會(huì)影響匿名效果。通過(guò)式(2)，可將表1中的VL矩陣處理成表2中的頻繁位置矩陣。

表1 用戶(hù)訪問(wèn)位置次數(shù)Tab. 1 User check-in location frequency

表2 頻繁位置轉(zhuǎn)換Tab. 2 Frequent location conversion

定義5 將地理社交網(wǎng)絡(luò)定義為GSN(V,L,HE,fv,c),其中：V表示用戶(hù)節(jié)點(diǎn)集合，L表示位置集合，HE表示所有超邊集合，fv表示由V→L的映射關(guān)系，c表示攻擊者了解目標(biāo)用戶(hù)的頻繁位置即背景知識(shí)。

定義6 身份重構(gòu)。在一個(gè)GSN中，對(duì)于一個(gè)用戶(hù)v的超邊eh在整個(gè)地理社交網(wǎng)絡(luò)中是唯一的，那么用戶(hù)v的身份可以被攻擊者唯一識(shí)別，稱(chēng)為身份重構(gòu)。

由表2頻繁位置矩陣得到地理社交網(wǎng)絡(luò)圖1(a)，假設(shè)c=2即攻擊者知道目標(biāo)用戶(hù)的兩個(gè)頻繁位置l1和l5，由于訪問(wèn)這兩個(gè)頻繁位置的用戶(hù)只有v3，那么v3的身份被重構(gòu)，即被攻擊者識(shí)別。同理，用戶(hù)v4和v5也可以用同樣的方式重構(gòu)。

定義7 超邊。用戶(hù)頻繁位置的子集組成的邊稱(chēng)為超邊。

定義8 超邊相交。一個(gè)超邊eh1和另一超邊eh2之間有相同的頻繁訪問(wèn)位置點(diǎn)，稱(chēng)為超邊相交，記為eh1∩eh2。

定義9 超邊重組。為抵御身份重構(gòu)的攻擊，需要將超邊個(gè)數(shù)達(dá)到匿名參數(shù)k值，超邊之間的重新組合，稱(chēng)為超邊重組。

定義10 (k,c)-anonymity。對(duì)于一個(gè)GSN(V,L,HE,fv,c)，使得每個(gè)用戶(hù)的超邊eh個(gè)數(shù)都不少于匿名參數(shù)k值，稱(chēng)為(k,c)-anonymity。

鑒于圖1(a)中出現(xiàn)的身份重構(gòu)現(xiàn)象，如構(gòu)造(2,2)-anonymity方式抵御背景知識(shí)攻擊，v3的超邊{l1,l5}和v4的超邊{l1,l4}相交于位置l1，將v4的頻繁位置l4轉(zhuǎn)變l5，通過(guò)超邊重組v4的超邊為{l1,l5}，同理v5的超邊為{l3,l5}，由此處理可得表3匿名之后的頻繁位置矩陣以及圖1(b)。

表3 匿名的頻繁位置Tab. 3 Anonymous frequent location

圖1 地理社交網(wǎng)絡(luò) Fig. 1 Geosocial network

3 隱私保護(hù)算法

3.1 (k,c)-anonymity算法描述

在處理地理社交網(wǎng)絡(luò)存在的身份重構(gòu)時(shí)，(k,m)-anonymity算法[15]的步驟主要是：首先將超邊思想引入地理社交網(wǎng)絡(luò)中，尋找不滿(mǎn)足匿名參數(shù)k的超邊；其次是隨機(jī)選擇兩個(gè)或者多個(gè)不滿(mǎn)足條件的超邊進(jìn)行隨機(jī)組合；最后計(jì)算隨機(jī)組合超邊個(gè)數(shù)，使其達(dá)到k匿名目的。由于該算法并沒(méi)有考慮超邊相交和重組機(jī)制，并且每次搜尋超邊都需要掃描超邊集合中所有的邊，這樣使得用戶(hù)位置信息偏離原始數(shù)據(jù)的程度增大，而且若對(duì)用戶(hù)所有超邊每次進(jìn)行掃描，導(dǎo)致數(shù)據(jù)的有效性降低，花費(fèi)的時(shí)間代價(jià)較大。

因此，本文提出一種改進(jìn)的(k,c)-anonymity算法(具體見(jiàn)算法1)：首先輸入部分地理社交網(wǎng)絡(luò)數(shù)據(jù)以及給定匿名參數(shù)k，將所有用戶(hù)存儲(chǔ)到V集合中，所有訪問(wèn)位置存儲(chǔ)到L集合中，所有超邊存儲(chǔ)到HE集合中，這樣減少了每次遍歷集合中元素的時(shí)間，然后再根據(jù)定義7統(tǒng)計(jì)不滿(mǎn)足匿名參數(shù)k的超邊個(gè)數(shù)(見(jiàn)算法1第4～7行)，并將不滿(mǎn)足超邊個(gè)數(shù)k存儲(chǔ)到一個(gè)集合M中，從M中隨機(jī)選擇一個(gè)超邊作處理，由于HE元素個(gè)數(shù)大于M，從而在每次遍歷用戶(hù)超邊時(shí)不需要訪問(wèn)HE集合降低了時(shí)間代價(jià)；其次根據(jù)定義8和9優(yōu)先考慮有共同交點(diǎn)的超邊，若|eh∩eh2|>1說(shuō)明超邊之間有交點(diǎn)，那么將超邊進(jìn)行重組直到滿(mǎn)足參數(shù)k(見(jiàn)算法1第8～15行)，若|eh∩eh2|=0即它們之間沒(méi)有公共點(diǎn)，將按照dmin=d(eh,eh2)計(jì)算超邊之間的位置差異，d的值越小那么位置偏離越小，數(shù)據(jù)的有效性越高(見(jiàn)算法1第17行)。這樣可以保證重組的代價(jià)最小以及位置信息損失率最低，最后將兩個(gè)超邊重新組合(見(jiàn)算法1第20～21行)，最終數(shù)據(jù)有效性得到提高。具體描述如下。

算法1 (k,c)-anonymity。

輸入:GSN(V,L,HE,fv,c)以及匿名參數(shù)k值；

輸出:GSN′(V,L′,HE′,fv′,c)。

V←{v1,v2,…,vn};

L←{l1,l2,…,ln};

HE({eh1,eh2,…,ehn};

if(|V|>k&& |L|>c)

count← number of hyperedges set that less than parameterk

ifcount=0

break

M← all of hyperedges which rank less thankput into a set

eh← select a hyperedge fromMrandomly

10)

eh1=null

11)

foreh2inM

12)

ifeh=eh2

//表示超邊自身重組

13)

continue

14)

if(0< |eh∩eh2|≤c-1)

15)

mergeehandeh2

16)

else

17)

dmin=d(eh,eh2)

18)

end if

19)

end for

20)

eh1←eh2

21)

mergeehandeh1

22)

return GSN′(V,L′,HE′,fv′,c)

23)

end if

3.2 復(fù)雜度分析

算法1的運(yùn)行時(shí)間主要用于處理超邊選擇和超邊重組，超邊重組過(guò)程實(shí)際是兩個(gè)位置集合的泛化過(guò)程。該算法每次迭代的過(guò)程需要從M集合中隨機(jī)選擇一個(gè)超邊與該集合中另外一條超邊重新組合，超邊重組過(guò)程的時(shí)間復(fù)雜度為O(n*n)，直到滿(mǎn)足匿名參數(shù)k值時(shí)停止迭代操作，因此，算法1整體的時(shí)間復(fù)雜度為O(k*n2)。

3.3 衡量標(biāo)準(zhǔn)

信息損失率是衡量數(shù)據(jù)發(fā)布有效性的重要指標(biāo)?；谀壳暗乩砩缃痪W(wǎng)絡(luò)對(duì)用戶(hù)空間數(shù)據(jù)挖掘處理時(shí)，導(dǎo)致用戶(hù)以及位置信息損失較大問(wèn)題，本文將從用戶(hù)偏離度和位置偏離度[15]這兩個(gè)方面衡量(k,c)-anonymity算法的數(shù)據(jù)有效性。

1)用戶(hù)偏離度：

(3)

其中：rank(eh)表示匿名之前地理社交網(wǎng)絡(luò)中超邊eh的個(gè)數(shù)，同理rank′(eh)表示匿名之后eh的個(gè)數(shù)。Zub值越小，表明用戶(hù)偏離度越小，和原始數(shù)據(jù)集的相似度越大，得到的數(shù)據(jù)有效性越高。

2)位置偏離度：

(4)

其中：f(v)表示匿名之前的地理社交網(wǎng)絡(luò)中用戶(hù)頻繁位置集合，同理f′(v)表示匿名之后的頻繁位置集合。若Zlb值越小表明用戶(hù)頻繁訪問(wèn)的位置偏離度越小，用戶(hù)滿(mǎn)意度越高，并且用戶(hù)要求服務(wù)時(shí)，獲取的服務(wù)質(zhì)量就越高。

4 實(shí)驗(yàn)

4.1 實(shí)驗(yàn)數(shù)據(jù)集

實(shí)驗(yàn)算法環(huán)境為Intel Core2 Quad CPU Q9500 2.83 GHz,4 GB內(nèi)存，操作系統(tǒng)為Microsoft Windows 7，算法使用Java語(yǔ)言實(shí)現(xiàn)。實(shí)驗(yàn)采用兩個(gè)地理社交網(wǎng)絡(luò)數(shù)據(jù)集Brightkite和Gowalla，由于數(shù)據(jù)具有無(wú)法避免的稀疏特性，對(duì)該原始數(shù)據(jù)進(jìn)行處理，選擇頻繁位置個(gè)數(shù)大于c的用戶(hù)，按照定義(2)中頻繁位置選擇機(jī)制處理這兩個(gè)數(shù)據(jù)集，選擇合理的頻繁位置，使得該數(shù)據(jù)集分別包含556個(gè)用戶(hù)和1 087個(gè)用戶(hù)，及分別包括1 451和1 403個(gè)頻繁位置。

4.2 實(shí)驗(yàn)結(jié)果與分析

基于3.3節(jié)的用戶(hù)偏離度和位置偏離度衡量標(biāo)準(zhǔn)，本文對(duì)(k,c)-anonymity算法與(k,m)-anonymity算法進(jìn)行比較，圖2～3表明兩個(gè)算法在不同的簽到數(shù)據(jù)集分別在兩個(gè)衡量標(biāo)準(zhǔn)的對(duì)比結(jié)果。

圖2 不同數(shù)據(jù)集的用戶(hù)偏離度 Fig. 2 Bias of user on different dataset

圖3 不同數(shù)據(jù)集的位置偏離度 Fig. 3 Bias of location on different dataset

圖2分別表示在Brightkite和Gowalla數(shù)據(jù)集中用戶(hù)偏離度的表現(xiàn)，在背景知識(shí)不同、k值不同情況下用戶(hù)偏離度的對(duì)比情況。從圖2第1列中可以看出，當(dāng)背景知識(shí)為1時(shí)，近似演變?yōu)槲恢胟匿名的情況，僅對(duì)單一位置進(jìn)行隱私保護(hù)，得到用戶(hù)偏離度較(k,m)-anonymity算法相比仍然很低；同時(shí)從圖2第3列中也可以看出在同一個(gè)背景知識(shí)c=3的情況下，隨著k值的不斷增大，整體趨勢(shì)表明用戶(hù)偏離度不斷增大，但和文獻(xiàn)[15]中的m=3背景知識(shí)相比，本文用戶(hù)偏離度明顯降低，尤其當(dāng)k=5時(shí)用戶(hù)偏離度下降最為顯著。這是由于本文考慮超邊重組時(shí)超邊之間的相交現(xiàn)象，優(yōu)先重組超邊之間有交點(diǎn)的情況，這樣可以縮減用戶(hù)偏離度。同樣，當(dāng)k值相同的情況下，由圖2可以看出隨著背景知識(shí)不斷的增大(c=1,c=2,c=3)，用戶(hù)偏離度也不斷增大，這是由于為了抵御背景知識(shí)攻擊，需要將不滿(mǎn)足匿名參數(shù)k的其他用戶(hù)放入一個(gè)匿名組中，因此，導(dǎo)致用戶(hù)偏離度增大，損失率會(huì)增大的表現(xiàn)。

從圖3的1～3列中可以分別看出，在同一個(gè)背景知識(shí)條件下，隨著k值不斷增大，用戶(hù)位置偏離度也呈現(xiàn)出增大的趨勢(shì)，這是由于隨著k值不斷增大，用戶(hù)必須將不滿(mǎn)足匿名參數(shù)的超邊進(jìn)行重組，導(dǎo)致用戶(hù)位置偏離度增大。同樣，也可以看出在同一個(gè)k值條件下，隨著背景知識(shí)的增大(c=1,c=2,c=3)，位置偏離度也在增大，這是由于攻擊者掌握目標(biāo)用戶(hù)的背景知識(shí)越多，那么為了抵御這種攻擊得到k匿名的結(jié)果，導(dǎo)致一些頻繁位置重新組合，因此，導(dǎo)致了位置偏離度增大。 (k,c)-anonymity算法從兩個(gè)方面考慮超邊之間的重組標(biāo)準(zhǔn)：一是超邊之間的有無(wú)共同交點(diǎn)即決定了位置差異性的大小；另一個(gè)則是超邊重組之后位置偏離度標(biāo)準(zhǔn)，總是尋找最近位置即決定發(fā)布之后數(shù)據(jù)的可用性標(biāo)準(zhǔn)。相比(k,m)-anonymity算法，進(jìn)行匿名時(shí)忽略了這兩個(gè)因素，僅僅把花費(fèi)最小代價(jià)考慮在其范圍內(nèi)，導(dǎo)致位置偏離度較大的現(xiàn)象。

綜上，實(shí)驗(yàn)結(jié)果表明，本文提出的一種基于頻繁位置的隱私保護(hù)算法——(k,c)-anonymity，在用戶(hù)偏離度以及位置偏離度兩個(gè)衡量標(biāo)準(zhǔn)上，與(k,m)-anonymity算法比較均有較好的表現(xiàn)。

5 結(jié)語(yǔ)

本文針對(duì)地理社交網(wǎng)絡(luò)中以用戶(hù)頻繁訪問(wèn)位置為背景知識(shí)進(jìn)行攻擊而導(dǎo)致用戶(hù)身份泄露問(wèn)題，提出一種基于地理社交網(wǎng)絡(luò)的頻繁位置隱私保護(hù)算法——(k,c)-anonymity，該算法避免了用戶(hù)和位置偏離度較大的超邊重組，從而提高了數(shù)據(jù)的有效性。實(shí)驗(yàn)結(jié)果表明，通過(guò)改變c值和k值，(k,c)-anonymity算法在用戶(hù)偏離度以及位置偏離度衡量標(biāo)準(zhǔn)上均優(yōu)于(k,m)-anonymity算法。未來(lái)擬開(kāi)展隱私保護(hù)的數(shù)據(jù)挖掘研究，并與地理社交網(wǎng)絡(luò)中的個(gè)性化推薦方法相結(jié)合，在提高服務(wù)質(zhì)量的同時(shí)也可以保護(hù)用戶(hù)隱私。

參考文獻(xiàn)(References)

[1] BHATTACHARYA M, MANI P. Preserving privacy in social network graph withK-anonymize degree sequence generation [C]// Proceedings of the 2015 9th International Conference on Software, Knowledge, Information Management and Applications. Piscataway, NJ: IEEE, 2016: 1-7.

[2] DAS S, EGECIOGLU O, ELABBADI A. Anónimos: an LP-based approach for anonymizing weighted social network graphs [J]. IEEE Transactions on Knowledge and Data Engineering, 2012, 24(4): 590-604.

[3] PARRIS I, HENDERSON T. Privacy-enhanced social-network routing [J]. Computer Communications, 2012, 35(1): 62-74.

[4] MITTAL P, PAPAMANTHOU C, SONG D. Preserving link privacy in social network based systems [EB/OL]. [2017- 03- 01]. http://www.princeton.edu/～pmittal/publications/link-privacy-ndss13.pdf.

[5] SWEENEY L.k-anonymity: a model for protecting privacy [J]. International Journal of Uncertainty, Fuzziness and Knowledge-Based Systems, 2002, 10(5): 557-570.

[6] MOKBEL M F, CHOW C Y, AREF W G. The new Casper: query processing for location services without compromising privacy [C]// VLDB ’06: Proceedings of the 32nd International Conference on Very Large Data Bases. Seoul, Korea: VLDB Endowment, 2006: 763-774.

[7] BAMBA B, LIU L, PESTI P, et al. Supporting anonymous location queries in mobile environments with privacygrid [C]// WWW ’08: Proceedings of the 17th International Conference on World Wide Web. New York: ACM, 2008: 237-246.

[8] 葉阿勇,李亞成,馬建峰,等.基于服務(wù)相似性的k-匿名位置隱私保護(hù)方法[J].通信學(xué)報(bào),2014,35(11):162-169.(YE A Y, LI Y C,MA J F, et al. Location privacy-preserving method ofk-anonymous based-on service similarity [J]. Journal on Communications, 2014, 35(11): 162-169.)

[9] 王璐,孟小峰,郭勝娜.時(shí)空數(shù)據(jù)發(fā)布中的隱式隱私保護(hù)[J].軟件學(xué)報(bào),2016,27(8):1922-1933.(WANG L, MENG X F, GUO S N. Preservation of implicit privacy in spatio-temporal data publication [J]. Journal of Software, 2016, 27(8): 1922-1933.)

[10] GEDIK B, LIU L. Location privacy in mobile systems: a personalized anonymization model [C]// ICDCS ’05: Proceedings of the 25th International Conference on Distributed Computing Systems. Washington, DC: IEEE Computer Society, 2005: 620-629.

[11] KALNIS P, GHINITA G, MOURATIDIS K, et al. Preventing location-based identity inference in anonymous spatial queries [J]. IEEE Transactions on Knowledge and Data Engineering, 2007, 19(12): 1719-1733.

[12] CHOW C Y, MOKBEL M F. Enabling private continuous queries for revealed user locations [C]// SSTD ’07: Proceedings of the 10th International Conference on Advances in Spatial and Temporal Databases. Berlin: Springer, 2007: 258-275.

[13] MASOUMZADEH A, JOSHI J. Top location anonymization for geosocial network datasets [J]. Transactions on Data Privacy, 2013, 6(1):107-126.

[14] STOKES K. On computational anonymity [C]// PSD ’12: Proceedings of the 2012 International Conference on Privacy in Statistical Databases. Berlin: Springer, 2012: 336-347.

[15] LI Y, LI Y, XU G. Protecting private geosocial networks against practical hybrid attacks with heterogeneous information [J]. Neurocomputing, 2016, 210: 81-90.

This work is partially supported by the National Natural Science Foundation of China (61672039, 61370050, 61772034), the Natural Science Foundation of Anhui Province (KJ2017A327), the Wuhu Science and Technology Project (2015cxy10).

NINGXueli, born in 1993, M. S. candidate. Her research interests include information security,privacy preserving.

LUOYonglong, born in 1972, Ph. D., professor. His research interests include spatial data processing, information security,privacy preseving.

XINGKai, born in 1985, M. S. candidate. His research interests include information security,privacy preserving.

ZHENGXiaoyao, born in 1981, Ph. D. candidate, associate professor. His research interests include information security, personalized recommendation.