基于空間混淆位置隱私保護的位置隱私區域生成算法*

徐紅云 許雋 龔羽菁 徐夢真

(華南理工大學 計算機科學與工程學院，廣東 廣州 510006)

隨著基于位置服務(LBS)［1］的日益推廣，針對LBS 的攻擊也應運而生.攻擊者可以從LBS 查詢信息中推斷出用戶的生活習慣、宗教信仰、政治傾向、疾病史等隱私信息，造成用戶隱私信息的泄露［2］，從而給用戶的聲譽甚至是人身安全帶來威脅，因此，LBS 中隱私信息保護的研究對LBS 的進一步普及和推廣具有十分重要的意義.

現有的位置隱私保護技術主要包括:①假名隱私保護法［3］，即用一個虛假的用戶名替換真實用戶身份標識來提出服務請求;②標識對象法［4］，即用距離用戶位置一定范圍內的其他位置提出服務請求;③虛假地址法［5］，即發送一個包含用戶本身以及其他虛假地址的集合給LBS 服務器，提出服務請求;④空間匿名法［6］，即發送一塊包含用戶位置的區域向LBS 服務器提出服務請求.

不同的用戶(如平民百姓與政府要員)有不同的隱私保護需求，同一用戶在不同時刻(如上班和下班時間)也有不同的隱私保護要求，因此，一個可靠、安全的LBS 系統應能提供個性化的隱私保護功能.目前，實現個性化隱私保護的主要技術有k-匿名［7-8］和L-多樣性［9］.k-匿名是指將用戶的準確位置信息替換成一個包含k 個用戶的空間區域，使得提出服務請求的用戶在該空間區域內至少不能與其他的k－1 個用戶區別開來.L-多樣性是指匿名集中的每個等價類的敏感值滿足多樣性需求，以提高敏感值與其所屬用戶的鏈接難度.匿名集中的等價類是指在所有準標識符屬性上取值相同的用戶集合.空間混淆隱私保護法［10］、團混淆的位置隱私保護法［8］是兩個典型的實現個性化位置隱私保護的算法，它們的核心思想是:每個用戶根據隱私保護程度(簡稱隱私度)要求和周圍一定區域內的用戶組成互惠區域，在同一個區域內的用戶提出具有相同隱私度的服務請求時，均使用同一個位置隱私區域提出服務.這兩個算法都是通過調整隱私度k 的大小來實現位置隱私的個性化，但在隱私度切換過程中容易被惡意觀察者攻擊.因為攻擊者通過獲取切換前后的位置隱私區域大小等敏感信息可推斷出用戶所在位置，從而使隱私度切換失敗.

為解決上述問題，文中基于空間混淆位置隱私保護法提出了兩種隱私度切換時位置隱私區域的生成算法，即初級形心偏移法和高級形心偏移法.初級形心偏移法在切換前位置隱私區域基礎上，根據周圍用戶的分布情況生成切換后的位置隱私區域，進而提出服務請求.高級形心偏移法將切換后位置隱私區域的形心移出切換前位置隱私區域外，再根據周圍用戶的分布情況生成與切換前位置隱私區域無重疊的位置隱私區域，進而提出服務請求.

1 相關工作

1.1 空間混淆位置隱私保護

現有的空間混淆位置隱私保護法均利用了空間混淆技術［11-21］，特別是k-匿名［7-8］，即一塊混淆區中至少存在包括服務提出者在內的k 個用戶，通過k的變化來實現隱私度的個性化，k 越大，隱私度越高，反之，隱私度越低.

在用戶呈均勻分布的歐幾里得空間中，用戶首次提出位置服務請求時，可信第三方使用k-匿名法組建位置隱私區域［6］，在某個時刻要切換隱私度時，一般采取以下步驟［1］:①去除用戶標識，給信息編號，定義最長的等待服務返回時間、最小位置隱私區域、最大位置隱私區域;②根據切換前后的隱私度比值，線性的等比放大或縮小切換前的位置隱私區域，若達到最大位置隱私區域后仍不滿足k-匿名，則用啞元［22-23］進行填充，生成切換后的位置隱私區域;③可信第三方服務器將第①和第②步的信息打包發送給LBS 服務器，提出服務請求.

以上實現個性化隱私保護的位置隱私區域切換方法簡單，易于實現，直接在切換前的位置隱私區域上做擴展，運算速度快，開銷小，但前后兩次個性化的切換并不獨立，服務器上的惡意觀察者可以通過記錄切換前的位置隱私區域來計算得到位置隱私區域的中心.用戶切換隱私度后生成、發送新的位置隱私區域，攻擊者再次觀察獲取并計算新位置隱私區域中心，中心重合則認為是同一個用戶的請求，隱私度切換失敗.

由于空間混淆位置隱私保護法的適用環境是用戶呈均勻分布的歐幾里得空間，故位置隱私區域的中心就是請求區域的形心，呈非均勻分布時位置隱私區域的中心即為請求區域的質心，文中采用形心來表示位置隱私區域的中心.

1.2 服務質量

文中使用兩個指標來對提出的算法的服務質量進行評價.

(1)切換成功率.文中參照匿名成功率［24］來定義切換成功率，即成功的隱私度切換請求數占總隱私度切換請求數的百分比，是衡量位置隱私區域生成算法性能的指標之一.設總的切換請求數為n，成功的隱私度切換請求數為n'，且n'≤n，則切換成功率Rs為

(2)服務結果可靠度.服務結果可靠度定義為真實最佳(如離用戶最近)查找對象到用戶的距離和LBS 返回的最佳對象到用戶的距離的比值，是評價采用隱私區域生成算法提供位置隱私保護的LBS的指標之一.設p 為用戶所在位置，真實查找最佳對象位于p1，位置服務器返回的最佳對象位于p2，則服務結果可靠度Rr為

2 攻擊模型

2.1 中心點攻擊

中心點攻擊的核心思想是根據隱私度切換前后位置隱私區域的中心是否重合來發起攻擊，重合則縮小位置隱私區域到切換前的大小，從而使用戶的隱私度切換失敗.中心點攻擊步驟如下:①攻擊者開始觀察.②當發現有用戶提交隱私度為k1的查詢請求時，記錄其位置隱私區域Ck1.③當發現用戶切換隱私度為k2(k2＞k1)時，記錄其新的位置隱私區域Ck2.④計算Ck1和Ck2的中心O1和O2.將Ck1分別映射到x、y 軸上，得到左、右邊界的值分別為xk1_l和xk1_r，上、下邊界的值分別為yk1_t、yk1_b，同理得到Ck2的4 個 值(xk2_l，xk2_r，yk2_t，yk2_b)，則O1= ((xk1_l+xk1_r)/2，(yk1_t+yk1_b)/ 2)，O2= ((xk2_l+xk2_r)/ 2，(yk2_t+ yk2_b)/2).⑤若O1和O2重合，則輸出Ck1，位置隱私區域縮小到切換前的大小，隱私度切換失敗;否則輸出Ck2，隱私度切換成功.

采用普通位置隱私區域生成法生成的隱私區域的O2將與切換前隱私區域的O1重合，隱私度切換失敗.

2.2 形心偏移攻擊

攻擊者在服務器上觀察用戶發來的位置隱私區域，若隱私度切換前、后的形心O1和O2滿足

則認為這兩個隱私請求來自同一用戶，即可將位置隱私區域縮小到切換前的大小，從而使用戶的隱私度切換失敗.其中A 和B 為參數.

形心偏移攻擊步驟如下:①攻擊者開始觀察.②當發現有用戶提交具有隱私保護的查詢請求時，記錄其位置隱私區域，并計算該區域的形心.③根據收集到的數據計算參數A 和B，得到形心偏移函數(即式(3)).④攻擊者開始攻擊，計算Ck1、Ck2的O1和O2.⑤若O1和O2滿足式(3)，則輸出Ck1，隱私度切換失敗;否則輸出Ck2，隱私度切換成功.

采用普通位置隱私區域生成法生成的隱私區域的O2將與切換前隱私區域的O1重合，即滿足式(3)(A 為1、B 為0)，隱私度切換失敗.

2.3 無差別攻擊

無差別攻擊的核心思想是對隱私度切換后的位置隱私區域，根據切換前后隱私度的比值等比縮小，并認為縮小后的區域就是用戶切換前的位置隱私區域.無差別攻擊步驟如下:①攻擊者開始觀察.②當發現有用戶切換隱私度時記錄位置隱私區域Ck2.③將Ck2分別映射到x、y 軸上，得到左、右邊界的值分別為xk2_l和xk2_r，上、下邊界的值分別為yk2_t、yk2_b，則Ck2的形心為O2=((xk2_l+xk2_r)/2，(yk2_t+yk2_b)/2).④等比縮小Ck2，求出縮小后區域的4 個頂點，構建平行于坐標軸的矩形Ck.設，則有xk_l= xk2_l+L/2，xk_r= xk2_r-L/2，yk_b= yk2_b+L/2，yk_t= yk2_t-L/2.⑤輸出Ck.當服務提出者包含于Ck中時，攻擊成功.

對于采用普通位置隱私區域生成法生成的位置隱私區域Ck2，經該算法計算后得到的Ck將與切換前的位置隱私區域重合，隱私度切換失敗.

3 個性化位置隱私區域生成算法

為克服普通位置隱私區域生成法(算法1)對中心點攻擊防御弱的缺陷，需要對切換后的隱私區域形心進行偏移，但不能直接對形心進行操作，因為服務器上的惡意觀察者可能會利用形心偏移攻擊來獲得形心偏移函數，從而使形心偏移失效，用戶的隱私度切換不成功.故文中提出了初級形心偏移法(算法2)和高級形心偏移法(算法3).

3.1 初級形心偏移法

初級形心偏移法是一種改進的基于空間混淆位置隱私保護的位置隱私區域生成法，它能保證一定的隱私度切換成功率，用于實現個性化的隱私保護.該算法的核心思想是:為防御中心點攻擊，降低攻擊者的成功率，將切換前、后的位置隱私區域的形心進行偏移.

初級形心偏移法以切換前隱私區域的4 個頂點為圓心，以用戶輸入參數 為擴展步長，r 為半徑畫圓，在原位置隱私區域的基礎上擴展出新的位置隱私區域，統計新位置隱私區域內的用戶數，如果用戶數滿足切換后的隱私度k 要求，則切換成功.初級形心偏移法的具體步驟如下:①全局變量r= ，初始化用戶集合U.②分別以Ck1的4 個頂點為圓心、r 為半徑畫圓.③統計圓內所有的用戶數并將用戶加入U.④U 加上Ck1中用戶組成新的集合U'.⑤將U'中的點分別映射到x 和y 軸上，得到左、右邊界的值分別為xl、xr，上、下邊界的值分別為yt、yb，以(xl，0)、(xr，0)、(0，yt)、(0，yb)為頂點構建矩形Ck2.⑥若Ck2中用戶數(Nu)小于k 且Ck2的面積(S(Ck2))小于用戶可接受的最大隱私區域大小(Smax)，則r=r+ ，返回步驟②.⑦若Nu≥k 且S(Ck2)＜Smax，則轉步驟⑨.⑧若S(Ck2)＞Smax，則根據Smax和S(Ck2)之比值等比縮小Ck2;若Nu＜k，則用啞元填充，直到Nu=k 為止.⑨返回Ck2.

初級形心偏移法的時空復雜度與步驟②到步驟⑥重復執行的次數n 成正比，即時空復雜度為O(n)，故該算法簡單、效率高.

初級形心偏移法最后輸出的Ck2的形心位置和Ck2中包含的用戶集合U 有關，由于U 中的點為用戶提出服務請求時周圍其他用戶的位置，每次用戶提出請求時點的分布均不相同，故隱私區域Ck2的形心位置是隨機的，形心偏移量是個隨機數.由于初級形心偏移法對形心進行了偏移，且偏移量是一個隨機數，因此，初級形心偏移法對中心點攻擊和形心偏移攻擊的防御效果較好.

初級形心偏移法對切換后的位置隱私區域的形心進行了偏移，但切換前的位置隱私區域仍然包含在切換后的位置隱私區域內，故攻擊者可以采用無差別攻擊算法實施攻擊.

圖1 無差別攻擊后用戶位置泄露情況Fig.1 Situation of user location disclosure after indiscriminate attack

如圖1 所示，實線小矩形框為切換前的隱私區域，虛線矩形框為攻擊者采用無差別攻擊后推斷出的用戶隱私區域，兩者重疊部分用黑色填充框表示.當用戶真實位置在黑色填充框內時，用戶位置隱私泄露，隱私度切換失敗.

3.2 高級形心偏移法

高級形心偏移法的核心思想是在初級形心偏移法的基礎上，將切換后的位置隱私區域形心移到切換前的位置隱私區域外部，且切換后的位置隱私區域和切換前的位置隱私區域無交集.高級形心偏移法用到了位置隱私區域延長區，如圖2 所示，延長區被分為4 個區，這4 個區平分切換前位置隱私區域的外部區域.

圖2 位置隱私區域的延長區Fig.2 Extending area of location privacy area

高級形心偏移法的步驟如下:

(1)初始化全局變量r= ;

(2)以Ck1的形心O1為圓心、r 為半徑畫圓;

(3)從O1出發向圓內的每個用戶點做連線;

(4)選取線段長度最長的用戶點，若有相同長度的，則隨機選擇其中一個用戶，將非O1的一端設為O2;

(5)判斷O2是否落在某一隱私區域的延長區中，若是，則轉步驟(7);

(6)將O2設為O1，r= ，以O1為圓心、r 為半徑畫圓，返回步驟(3);

(7)建立空的用戶集合U;

(8)以O2為圓心、r 為半徑畫圓;

(9)若圓內的用戶位于O2所在的位置隱私區域的延長區內，則將該用戶加入U 中;

(10)將U 中用戶所構成的區域與切換前位置隱私區域相連邊上的用戶加入到U 中，形成新的用戶集合U';

(11)將U'中的點分別映射到x 和y 軸上，得到x 的最小和最大值分別為xl、xr，y 的最大和最小值分別為yt、yb，以(xl，0)、(xr，0)、(0，yt)、(0，yb)為頂點建立新的隱私區域Ck2;

(12)若Nu＜k 且S(Ck2)＜Smax，則r= r + ，返回步驟(8);

(13)若Nu≥k 且S(Ck2)＜Smax，則轉步驟(16);

(14)若S(Ck2)＞Smax，則以Smax和S(Ck2)之比值來等比縮小Ck2;

(15)若Nu＜k，則用啞元填充，直至Nu=k 為止;

(16)返回Ck2.

高級形心偏移法的時空復雜度與步驟(3)到步驟(5)重復執行的次數m 以及步驟(8)到步驟(11)重復執行的次數n'成正比，即時空復雜度為O(m+n' )，故該算法的效率較高.

高級形心偏移法最后輸出的Ck2在隱私度切換前位置隱私區域Ck1的外部，Ck2和Ck1沒有交集，故對中心點攻擊、形心偏移攻擊和無差別攻擊均有很好的防御效果，隱私度切換成功率高.

4 實驗和結果分析

實驗環境如下:CPU Intel (R)Core (TM)i3-2310M 2.10 GHz，內存6 GB，Ubuntu 12.04.1，Python 2.7.3，Bash shell 4.2.24.

4.1 切換成功率分析

保證隱私度切換成功的目的是實現用戶個性化位置隱私.切換后的用戶隱私度泄露率P 定義為

式中，Rs為切換成功率，k1、k2分別為切換前、后的隱私度.

在中心點攻擊和無差別攻擊下3 種算法的切換成功率如表1 所示.在中心點攻擊下，不管隱私度如何切換，普通位置隱私區域生成法的切換成功率均非常低，幾乎為0，這是因為采用普通位置隱私區域生成法生成的隱私區域與切換前的隱私區域的中心重合，所以容易遭受中心點攻擊，使隱私度切換失敗;初級形心偏移法和高級偏移法的切換成功率較高，在某些情況下甚至接近100%.在無差別攻擊下，不論隱私度如何切換，普通位置隱私區域生成法的切換成功率均很低;初級形心偏移法的切換成功率在小范圍內隨著切換幅度的增加而增加，切換幅度超過一定范圍后切換成功率反而下降，極端情況下切換可能不成功;高級形心偏移法的切換成功率非常高，均達到了100%.

表1 3 種算法的切換成功率Table 1 Success rates of switching of three algorithms

表2 3 種算法的用戶隱私度泄露率Table 2 Disclosure rates of user privacy of three algorithms

在中心點攻擊和無差別攻擊下3 種算法的用戶隱私度泄露率如表2 所示.在中心點攻擊和相同的切換幅度下，初級形心偏移法和高級形心偏移法大幅降低了用戶的隱私度泄露率，達到了隱私度切換的目的;高級形心偏移法的隱私度泄露率比初級形心偏移法低.

由于初級形心偏移法和高級形心偏移法對位置隱私區域的形心進行了偏移，故在中心點攻擊下的防御效果較好，切換成功率較高，改善了普通位置隱私區域生成法對中心點攻擊防御效果差的缺陷.

在無差別攻擊和相同的切換幅度下，普通位置隱私區域生成法的切換成功率非常低，幾乎不成功，隱私度泄露率最大;初級形心偏移法在隱私度切換幅度較大的情況下，切換成功率不理想，隱私度提高不多，用戶隱私度泄露率較高;高級形心偏移法的切換成功率高，用戶隱私度泄露率低.這是由于無差別攻擊是對切換后的隱私區域等比縮小到切換前隱私區域的大小，故形心點位置沒有變化的普通位置隱私區域生成法的隱私度切換成功率低，用戶隱私度泄露率高;初級形心偏移法對形心進行了偏移，但切換前的隱私區域仍然包含在切換后隱私區域內，且在用戶均勻分布的歐幾里得空間中，隱私度的切換幅度達到某一值后，切換幅度越大，用戶整體分布越均勻，故形心偏移量越小，隱私度切換成功率越小，用戶隱私度泄露率越大;高級形心偏移法切換前后的隱私區域無交集，故隱私度切換成功率大，隱私度泄露率小.

4.2 服務結果可靠度分析

采用3 種位置隱私區域生成法實現個性化位置隱私保護的LBS 的服務結果可靠度如表3 所示.普通位置隱私區域生成法對切換前隱私區域進行等比放大，因此采用此方法實現個性化位置隱私保護的LBS 質量下降不多.初級形心偏移法對切換前隱私區域進行少量偏移，因此采用初級形心偏移法實現個性化位置隱私保護的LBS 質量保持在可接受的范圍內.高級形心偏移法將切換后位置隱私區域移到切換前位置隱私區域的外部，移動幅度隨著切換前位置隱私區域面積的增大而增大，因此移動幅度越大，采用高級形心偏移法實現個性化位置隱私保護的LBS 質量下降越多，當切換前隱私度為1 000時，服務結果可靠度下降到50%左右.

表3 3 種算法的服務結果可靠度Table 3 Reliability of service results of three algorithms

4.3 隱私度切換討論

從表2 可以看出，在中心點攻擊和無差別攻擊下，采用3 種算法生成切換后的隱私區域時，切換前后的隱私度與隱私度泄露率有一定的關系:切換前的隱私度較小，且切換前后的隱私度差別較小時，隱私度泄露率較高;切換前后的隱私度相差較大或切換前的隱私度很高時，切換后的隱私度泄露率較低.

從表1－3 可以看出:普通位置隱私區域生成法的服務結果可靠度較高，但其切換成功率低，隱私度泄露率高;初級形心偏移法的切換成功率、隱私度泄露率和服務結果可靠度介于普通位置隱私區域生成法和高級形心偏移法之間;采用高級形心偏移法生成切換后的隱私區域時，若用戶的隱私度已足夠大(如1000)且還要切換到一個稍高一點的隱私度(如1001)，雖然隱私度泄露率低，但服務結果的可靠度下降得很快，因此，只有當用戶的隱私度由較小值切換到較大值時，采用高級形心偏移法生成切換后的隱私區域才可以獲得較高的服務結果可靠度和較低的隱私度泄露率.

5 結論

文中基于空間混淆位置隱私保護方法研究了隱私度切換時的位置隱私區域生成算法.首先提出了初級形心偏移法，該算法繼承了普通位置隱私區域生成法簡單、開銷小的優點，提高了對中心點攻擊和形心偏移攻擊的防御能力，同時也保持了較高的隱私度切換成功率.接著，提出了高級形心偏移法，該算法在初級形心偏移法的基礎上進行改進，增加了對無差別攻擊的防御能力，進一步提高了隱私度切換的成功率，降低用戶隱私度泄露率.但高級形心偏移法是以犧牲LBS 服務結果的可靠度為代價來提高隱私度切換成功率的，故下一步的工作重點是基于空間混淆位置隱私保護方法，研究安全、高效的個性化位置隱私區域生成算法，進一步改善提供良好個性化位置隱私保護功能的LBS 的服務質量.

［1］Gedik Bugra，Liu Ling.Protecting location privacy with personalized k-anonymity:architecture and algorithms［J］.IEEE Transactions on Mobile Computing，2008，7(1):1-18.

［2］Puttaswamy Krishna P N，Zhao Ben Y.Preserving privacy in location-based mobile social applications ［C］∥Proceedings of the Eleventh Workshop on Mobile Computing Systems ＆ Applications.Annapolis:ACM，2010:1-6.

［3］Beresford Alastair R，Stajano Frank.Location privacy in pervasive computing ［J］.IEEE Pervasive Computing，2003，2(1):46-55.

［4］Hong Jason I，Landay James A.An architecture for privacy sensitive ubiquitous computing ［C］∥Proceedings of the 2nd International Conference on Mobile Systems，Applications，and Services.Boston:ACM，2004:177-189.

［5］Pfitamann A，Kohntopp M.Anonymity，unobservability，and pseudonymity:a proposal for terminology［C］∥Designing Privacy Enhancing Technologies.Berlin/Heidelberg:Springer-Verlag，2001:1-9.

［6］Gruteser M，Grunwald D.Anonymous usage of location-based services through spatial and temporal cloaking［C］∥Proceedings of the 1st International Conference on Mobile Systems，Applications and Services.San Francisco:ACM，2003:31-42.

［7］Bamba B，Liu L.PrivacyGrid:supporting anonymous location queries in mobile environments［R］.Atlanta:College of Computing，Georgia Institute of Technology，2007:28-36.

［8］Gedik Bugra，Liu Ling.Location privacy in mobile systems:a personalized anonymization model［C］∥Proceedings of the 25th IEEE International Conference on Distributed Computing Systems.Columbus:IEEE，2005:620-629.

［9］Machanavajjhala A，Gehrke J，Kifer D，et al.L-diversity:privacy beyond k-anonymity ［C］∥Proceedings of the 22nd International Conference on Data Engineering.Atlanta:IEEE，2006:24-36.

［10］Shin Heechang，Atluri Vijayalakshmi，Vaidya Jaideep.A profile anonymization model for privacy in a personalized location based service environment［C］∥Proceedings of the Ninth International Conference on Mobile Data Management.Beijing:IEEE，2008:73-80.

［11］Duri Sastry，Gruteser Marco，Liu Xuan，et al.Framework for security and privacy in automotive telematics［C］∥Proceedings of the 2nd International Workshop on Mobile Commerce.Atlanta:ACM，2002:25-32.

［12］Xu Toby，Cai Ying.Location-anonymity in continuous location-based services［C］∥Proceedings of the 15th Annual ACM International Symposium on Advances in Geographic Information Systems.Seattle:ACM，2007:1-8.

［13］Kalnis Panos，Ghinita Gabriel，Mouratidis K，et al.Preventing location-based identity inference in anonymous spatial queries ［J］.IEEE Transactions on Knowledge and Data Engineering，2007，19(12):1719-1733.

［14］Truong Q C，Truong Anh T，Dang Tran K.Privacy preserving through a memorizing algorithm in location-based services［C］∥Proceeding of the 7th International Conference on Advances in Mobile Computing and Multimedia.Kuala Lumpur:ACM，2009:146-153.

［15］Ghinita G，Zhao K，Papadias D，et al.A reciprocal framework for spatial k-anonymity［J］.Journal of Information Systems，2010，35(3):299-314.

［16］Ghinita G，Damiani M L，Cilvestri C，et al.Preventing velocity-based linkage attacks in location-aware applications［C］∥Proceedings of ACM International Symposium on Advances in Geographic Information Systems.Seattle:ACM，2009:246-255.

［17］Ge Zhong，Hengartner Urs.Toward a distributed k-anonymity protocol for location privacy［C］∥Proceedings of the 7th IEEE International Conference on Pervasive Computing and Communications.Galveston:IEEE，2009:255-262.

［18］Sweeney Latanya.k-anonymity:a model for protecting privacy［J］.International Journal on Uncertainty，Fuzziness and Knowledge-Based Systems，2002，10(5):557-570.

［19］Freudiger Julien，Manshaei Mohammad Hossein，Hubaux Jean-Pierre，et al.Non-cooperative location privacy［J］.IEEE Transactions on Dependable and Secure Computing，2013，10(2):84-98.

［20］Hossain Amina，Hossain Al-Amin，Jang Sung-Jae，et al.Privacy-aware cloaking technique in location-based services［C］∥Proceedings of IEEE the First International Conference on Mobile Services.Honolulu:IEEE，2012:9-16.

［21］Shokri Reza，Papadimitratos Panos，Theodorakopoulos George，et al.Collaborative location privacy ［C］∥Proceedings of IEEE the Eighth International Conference on Mobile Ad-Hoc and Sensor Systems.Valencia:IEEE，2011:500-509.

［22］Lu Hua，Jensen C S，Yiu M L.PAD:privacy-area aware，dummy-based location privacy in mobile services［C］∥Proceedings of the Seventh ACM International Workshop on Data Engineering for Wireless and Mobile Access.New York:ACM，2008:16-23.

［23］Kido H，Yanagisawa Y，Satoh T.An anonymous communication technique using dummies for location-based services［C］∥Proceedings of 2005 IEEE International Conference on Pervasive Services.Santorini:IEEE，2005:88-97.

［24］Du Jing，Xu Jianliang，Tang Xueyan，et al.iPDA:supporting privacy-preserving location-based mobile services［C］∥Proceeding of the 8th International Conference on Mobile Data Management.Mannheim:IEEE，2007:212-214.