移動(dòng)環(huán)境下位置信息的保護(hù)

移動(dòng)環(huán)境下位置信息的保護(hù)

0置的服務(wù)與隱私保護(hù)基于位置的服務(wù)（lbs）是指使用特定的定位技術(shù)（例如，全球定位系統(tǒng)、手機(jī)定位和wifi接入點(diǎn)定位），為移動(dòng)用戶提供與當(dāng)前位置相關(guān)的定制服務(wù)。基于位置的服務(wù)包括無線110、120、119等緊急服務(wù),交通咨詢,位置感知廣告,旅游服務(wù),基于位置的游戲和導(dǎo)航;結(jié)合用戶當(dāng)前的位置,以幫助用戶尋找離用戶最近的飯館、賓館、衛(wèi)生間、醫(yī)院、車站、加油站,以及娛樂場所等。在享受這些新技術(shù)帶來的便利應(yīng)用的同時(shí),人們開始擔(dān)心新的隱私威脅,即位置信息暴露給不受信任的第三方所帶來的隱私泄露問題。位置信息是敏感的,因?yàn)槿藗內(nèi)粘Ｉ钪?0%的信息與位置有關(guān),并可能引出許多其他信息,例如經(jīng)常光顧的地方,如醫(yī)院會(huì)釋放出一個(gè)人的健康狀況。因此,如何在使用這些服務(wù)的同時(shí),又不把自己的位置暴露出去,即位置隱私保護(hù)越來越受到人們的重視。近年來已經(jīng)出現(xiàn)了由于位置信息泄露而導(dǎo)致的糾紛甚至打官司的事件。1人員安全隱患的相關(guān)研究方案針對LBS系統(tǒng)存在的用戶位置泄露的安全隱患,國內(nèi)外不少研究人員針對LBS系統(tǒng)的安全隱患提出了許多相關(guān)的方案和算法,如冗余查詢方案、SpaceTwist方案、PIR(privateinformationretrieaval)方案等。1.1基于sp的lsp業(yè)務(wù)請求文獻(xiàn)提出的冗余查詢方案可以使得SP(serviceprovider)無法尋找到用戶的真實(shí)位置。LSP(locationserviceprovider)在收到用戶的LBS業(yè)務(wù)請求后,使用偽號(hào)碼向SP提出用戶LBS業(yè)務(wù)請求時(shí),可以在一段時(shí)間內(nèi)發(fā)送多個(gè)同一用戶的請求。這些請求得到響應(yīng)后,LSP對于其中用戶真實(shí)需要的那個(gè)定位請求按照正常的流程進(jìn)行定位,對其余的冗余請求,以隨機(jī)的方式向SP發(fā)送一些隨機(jī)位置坐標(biāo)。最后SP將查詢的結(jié)果返回給LSP后,LSP將其中用戶真實(shí)的查詢結(jié)果發(fā)回用戶,丟棄其余的結(jié)果。該方案不需要引入第三方平臺(tái),簡單可行;但是無法保證用戶身份不會(huì)被泄露,同時(shí)此方案還會(huì)占用LSP和SP的大量資源。1.2種新的身份認(rèn)同文獻(xiàn)提出的SpaceTwist方案可以防止POI應(yīng)用中用戶位置的泄露,該方案需要引入可信的第三方平臺(tái)。LSP收到SP的LBS業(yè)務(wù)請求并定位用戶后,并不是把用戶位置坐標(biāo)直接發(fā)送給SP,而是將用戶的所在位置坐標(biāo)發(fā)送給一個(gè)第三方平臺(tái);然后第三方平臺(tái)向SP發(fā)送的坐標(biāo)并不是用戶的真實(shí)坐標(biāo),而是一個(gè)虛假坐標(biāo)。如圖1所示,初始階段(initialphase)中用“×”表示真實(shí)的用戶坐標(biāo),用“·”表示名為anchor的虛假坐標(biāo);中間階段(intermediatephase),SP通過其服務(wù)器存儲(chǔ)的地理信息找尋虛假坐標(biāo)anchor附近的POI,并不斷地?cái)U(kuò)大搜索POI的范圍(即supplyspace),demandspace是第三方根據(jù)用戶所需制定的實(shí)際需求POI的搜索范圍;結(jié)束階段(finalphase),supplyspace完全覆蓋demandspace,第三方將搜索到的POI發(fā)回給LSP,LSP再將定位結(jié)果發(fā)回用戶。通過這一方案,使得SP無法得知用戶真實(shí)的地理位置信息,但會(huì)增加SP的運(yùn)算開銷,延長服務(wù)時(shí)間;同時(shí),引入第三方平臺(tái)也增加了運(yùn)營商的成本。另外,SpaceTwist方案也不能保證用戶的身份信息不會(huì)被泄露。1.3基于sp的方案文獻(xiàn)提出在LBS系統(tǒng)中引入PIR方案以增加其安全性。PIR方案如圖2所示,請求q(i)是被加密的,任何人都無法從q(i)中解析出i,客戶端client可以通過r(X,q(i))輕易地計(jì)算出Xi。這樣便實(shí)現(xiàn)了客戶端Client在不讓服務(wù)器server知道其請求數(shù)據(jù)的情況下,秘密地獲得所需的信息。通過引用這個(gè)方案,LSP將每個(gè)POI的位置信息pi作Hilbertcurve變換,得到H(pi),將所有H(pi)的信息上傳到SP上。這個(gè)變換的參數(shù)對SP絕對保密,保證SP不能從H(pi)中計(jì)算出pi。在查詢POI過程中,LSP首先根據(jù)用戶的位置坐標(biāo)u計(jì)算出H(u);然后向SP請求最接近的H(pi)值;最后,對于該數(shù)值做H-1變換,從而計(jì)算出POI的位置,并將其發(fā)回給用戶。這一方案不需要增加第三方平臺(tái),但是所提供的位置信息的精確度較差,并且私密性保證主要依賴于HilbertCurve變換參數(shù)的大量選取和更新。2分布式第三方平臺(tái)k-anonymity(k-匿名)保護(hù)方案可以從根本上防止用戶身份信息泄露。文獻(xiàn)提出的k-anonymity保護(hù)方式不僅可以防止用戶位置信息泄露,而且也可以防止用戶身份信息泄露。k-匿名保護(hù)需要引入一個(gè)集中式的第三方平臺(tái)即匿名器。當(dāng)用戶向服務(wù)器發(fā)送LBS服務(wù)請求時(shí),先把位置信息發(fā)送給匿名器。匿名器將用戶的位置坐標(biāo)泛化成一個(gè)具有k-匿名性質(zhì)的區(qū)域即匿名區(qū)ASR(anonymousspatialregion),并且該區(qū)域在面積上不小于一定的值,而且區(qū)域內(nèi)至少有k個(gè)用戶,用戶的身份在該區(qū)域內(nèi)被識(shí)別出來的概率為1/k。采用該方案時(shí),SP需要添加一個(gè)查詢處理器,專門用來快速地處理空間區(qū)域的查詢,找出所有的候選結(jié)果即候選集(candidateset,CS),并返回給用戶,讓用戶從中選擇一個(gè)最優(yōu)的。雖然該方案考慮周全,能夠在很大程度上解決位置隱私保護(hù)存在的問題,但是增加了SP的運(yùn)算資源,加重了網(wǎng)絡(luò)的負(fù)載。2.1casper匿名算法文獻(xiàn)提出了間隔匿名(intervalcloak)算法。其算法的基本思想為:匿名服務(wù)器構(gòu)建一個(gè)四個(gè)叉樹的數(shù)據(jù)結(jié)構(gòu),將平面空間遞歸地用十字分成四個(gè)面積相等的正方形區(qū)間,直到所得到的最小的正方形區(qū)間的面積為系統(tǒng)要求的允許用戶所采用的最小匿名區(qū)面積為止,每一個(gè)正方形區(qū)間對應(yīng)于四叉樹中的一個(gè)節(jié)點(diǎn)。系統(tǒng)中的用戶每隔一定的時(shí)間將自己的位置坐標(biāo)上報(bào)給匿名服務(wù)器,匿名服務(wù)器更新并統(tǒng)計(jì)每個(gè)節(jié)點(diǎn)對應(yīng)區(qū)間內(nèi)的用戶數(shù)量。當(dāng)用戶進(jìn)行匿名查詢時(shí),匿名器通過檢索四叉樹為用戶U生成一個(gè)匿名區(qū)ASR,間隔匿名算法從包含用戶U的四叉樹的葉子節(jié)點(diǎn)開始向四叉樹根的方向搜索,直到找到包含不低于k個(gè)用戶的節(jié)點(diǎn)(包括用戶U在內(nèi)),并把該節(jié)點(diǎn)所對應(yīng)的區(qū)域作為用戶U的一個(gè)匿名區(qū)ASR。如圖3所示,如果用戶u1發(fā)起k=2的匿名查詢,間隔匿名算法將首先搜索到象限區(qū)間[(0,0),(1,1)],其中包含不少于2個(gè)用戶。然后,它就向根的方向上升一級搜索象限區(qū)間[(0,0),(2,2)],該象限區(qū)間包含3個(gè)用戶,大于要求的2個(gè),算法停止搜索,并將該區(qū)間作為用戶u1的匿名區(qū)ASR。由于該算法所得到的匿名區(qū)所包含的用戶數(shù)量可能遠(yuǎn)遠(yuǎn)大于k,因此會(huì)加大LBS服務(wù)器的查詢處理負(fù)擔(dān)和網(wǎng)絡(luò)流量的負(fù)荷。文獻(xiàn)提出了Casper匿名(Caspercloak)算法,與間隔匿名算法比較類似,都采用四叉樹數(shù)據(jù)結(jié)構(gòu)。不同點(diǎn)有兩個(gè):a)Casper匿名算法直接通過hash表來識(shí)別和訪問四叉樹的葉子節(jié)點(diǎn);b)Casper匿名算法在對節(jié)點(diǎn)進(jìn)行搜索時(shí),當(dāng)所搜索的節(jié)點(diǎn)不滿足k時(shí),不像間隔匿名算法那樣直接搜索其父節(jié)點(diǎn),而是依次檢查它的兩個(gè)相鄰的兄弟節(jié)點(diǎn)和它所組合起來的區(qū)間中所包含的用戶數(shù)量是否大于等于k,如果滿足則直接將組合區(qū)間作為用戶的匿名區(qū),否則再對其父節(jié)點(diǎn)進(jìn)行搜索。并且允許每個(gè)用戶自由地決定k值的大小和最小的匿名區(qū)面積Amin。如圖3所示,如果用戶u1發(fā)起k=2的匿名查詢,Casper匿名算法將首先搜索到象限區(qū)間[(0,0),(1,1)],其中包含不少于2個(gè)用戶;然后,先檢查它的兩個(gè)相鄰兄弟區(qū)間[(0,1),(1,2)]和[(1,0),(2,1)],如果它們中的一個(gè)與自己組合起來的區(qū)間中包含的用戶數(shù)量大于等于k,則直接把組合起來的矩形區(qū)間作為匿名區(qū)ASR,在這個(gè)例子中矩形[(0,0),(1,2)]將被作為匿名區(qū)ASR。與間隔匿名算法相比,Casper匿名算法所生成的匿名區(qū)ASR平均要比間隔匿名算法更小,從而提高了LBS的效率并減少了對網(wǎng)絡(luò)的負(fù)荷。文獻(xiàn)提出了Hibert匿名(Hilbertcloak)算法,也稱做小集團(tuán)算法(cliquecloak)。文獻(xiàn)指出在某些情況下上面兩種匿名算法會(huì)被攻破,并且證明了如果互惠主義被采納,絕對匿名可以被保證?；セ葜髁x的定義如下:Hibert匿名算法就滿足這個(gè)性質(zhì),將所有的用戶依照Hibert空間填充曲線(Hilbertspace-fillingcurve)進(jìn)行整理,然后按照整理后的順序相鄰的每k個(gè)用戶依次被放入一個(gè)水桶中。用戶的匿名集就是包含有該用戶的水桶內(nèi)的所有用戶。通過計(jì)算匿名集的最小綁定矩形從而得到匿名區(qū)ASR。如圖3所示,如果用戶u1發(fā)出一個(gè)k=3的匿名查詢,圖的下面是創(chuàng)建4個(gè)Hibert水桶,該用戶的匿名集AS包含用戶u1、u2、u3,最小綁定矩形即匿名區(qū)ASR,如圖中陰影所示。2.2輔助儲(chǔ)存器計(jì)算查詢一般可被分為兩類,一類是范圍查詢,另一類是最近鄰居查詢。給出匿名區(qū)ASR及查詢的類型和參數(shù),LBS服務(wù)器需要查找滿足匿名區(qū)ASR中的任意一個(gè)可能的用戶的POI。一般LBS將POI放到輔助儲(chǔ)存器中,并用R樹來索引。對于一個(gè)范圍查詢,LBS計(jì)算候選集CS為所有落入匿名區(qū)ASR中的POI和距離匿名區(qū)ASR邊界距離小于R的POI。如圖4(a)所示,LBS將匿名區(qū)ASR擴(kuò)張R,從而轉(zhuǎn)變成了一個(gè)普通的范圍查詢,候選集CS包括P1、P2和P3。對于一個(gè)K-最近鄰居查詢,候選集CS將包括距匿名區(qū)ASR內(nèi)任意一點(diǎn)k個(gè)最近的POI的并。如圖4(b)所示,為得到一個(gè)k=1的最近鄰居查詢的候選集CS,LBS需要檢索所有落入匿名區(qū)ASR內(nèi)的對象,也就是P1,并且還要檢索沿著匿名區(qū)ASR邊沿任意位置,也就是P2、P3、P5。2.3回傳入選集cs網(wǎng)絡(luò)負(fù)荷在用戶相對比較稀少的地區(qū),為了完成k-匿名查詢,通常匿名化后的匿名區(qū)ASR相當(dāng)大,當(dāng)使用過分大的匿名區(qū)進(jìn)行查詢時(shí),會(huì)加重LBS服務(wù)器查詢處理的負(fù)擔(dān),并且生成的候選集CS也會(huì)很大,回傳候選集CS也加重了網(wǎng)絡(luò)的負(fù)荷。為此文獻(xiàn)提出了分割匿名區(qū)的想法,將生成的過大的單一的矩形空間匿名區(qū)ASR,劃分成為幾個(gè)不連續(xù)的小矩形空間匿名區(qū)ASR,幾個(gè)小的匿名區(qū)內(nèi)的用戶總和不小于k,幾個(gè)小的匿名區(qū)的面積之和不小于用戶要求的最小匿名區(qū)面積Amin,并且至少有一個(gè)匿名區(qū)ASR包含要查詢的用戶u。算法的基本思想是:采用Hilbert空間填充曲線將原來生成的單一的匿名區(qū)ASR中的用戶分割到不同的Hilbert水桶里,然后分別生成不同Hilbert水桶中用戶的最小綁定矩形。2.4改進(jìn)的qos參數(shù)估計(jì)針對以固定的最小匿名度為服務(wù)質(zhì)量(QoS)指標(biāo),基于位置的服務(wù)中的k-匿名機(jī)制不能在計(jì)算資源允許的條件下為用戶提供更高匿名度的問題,文獻(xiàn)提出定義新的QoS指標(biāo)匿名結(jié)果集勢指標(biāo)R,用于度量和約束匿名服務(wù)和LBS為用戶的每次查詢所平均消耗的計(jì)算資源,在此約束下選擇可接受的匿名度。其從理論上分析了匿名結(jié)果集勢與匿名度的估算函數(shù)關(guān)系,據(jù)此構(gòu)造相應(yīng)的匿名度調(diào)節(jié)算法,從而在一次查詢所允許的最大消耗不變的情況下增加k值來提高匿名度,為用戶提供更高的安全保障。3方式網(wǎng)絡(luò)技術(shù)及區(qū)域的安全隱患k-匿名保護(hù)需要引入一個(gè)集中式的第三方即位置匿名器,匿名效果較好,但所有信息都由第三方服務(wù)器處理,易導(dǎo)致信息阻塞、系統(tǒng)崩潰,并且第三方的可信度也很難保證;如果位置匿名器被攻擊,則會(huì)泄露用戶的位置。因此文獻(xiàn)引入了P2P的思想,取消了第三方的位置匿名器,由系統(tǒng)中的對等點(diǎn)來充當(dāng)?shù)谌轿恢媚涿?從而解決了集中式第三方的處理瓶頸問題。3.1gprs的查詢過程文獻(xiàn)給出了基于P2P的k-匿名查詢的基本算法。前提條件是每個(gè)用戶都有兩個(gè)獨(dú)立的無線網(wǎng)絡(luò),如一個(gè)GPRS或者是3G網(wǎng)絡(luò),一個(gè)是WiFi無線網(wǎng)絡(luò),也可以是兩個(gè)GPRS(或3G)即雙卡雙待機(jī)。一個(gè)網(wǎng)絡(luò)用于與LBS通信,另一個(gè)網(wǎng)絡(luò)用于P2P通信,并且系統(tǒng)中的用戶都是安全可信的。一個(gè)完整的查詢過程包括如下三步:a)對等點(diǎn)查詢。移動(dòng)用戶需要通過單跳或多跳網(wǎng)絡(luò)查找不少于k-1個(gè)對等點(diǎn)鄰居。3.2基于居民身份的匿名查詢?yōu)榱诉_(dá)到k-匿名的要求,用戶必須查詢到至少k-1個(gè)對等點(diǎn)鄰居。由于一個(gè)WLAN基站下的用戶可能達(dá)不k-1個(gè),為了完成任務(wù),文獻(xiàn)給出的對等點(diǎn)查詢算法中直接通過增加網(wǎng)絡(luò)路由的跳數(shù)來完成發(fā)現(xiàn)多個(gè)鄰居的任務(wù)。然而多跳通信會(huì)增加一定的網(wǎng)絡(luò)傳輸延遲,并且增加了網(wǎng)絡(luò)通信負(fù)擔(dān)。為了更快速地完成查詢?nèi)蝿?wù),文獻(xiàn)提出了更好的解決算法,其算法的基本思想是:系統(tǒng)中的每個(gè)用戶在進(jìn)行一次匿名查詢后,都暫時(shí)儲(chǔ)存所用過的對等點(diǎn)鄰居信息和相應(yīng)的匿名集AS。當(dāng)一個(gè)用戶要進(jìn)行匿名查詢時(shí),他首先查找自己上次用過的匿名集AS,如果上次查詢時(shí)間離現(xiàn)在時(shí)間的間隔不大,滿足要求,則直接用自己上次用過的匿名集AS,由于移動(dòng)用戶一般都不停地以不確定的速度和方向移動(dòng),所以需要以上次鄰居所在的地方為圓心,以上次查詢的時(shí)間到現(xiàn)在時(shí)間的間隔與移動(dòng)用戶最大的合理移動(dòng)速度的積為半徑來確定鄰居現(xiàn)在的位置范圍,然后根據(jù)現(xiàn)在的鄰居的位置范圍生成最小綁定矩形即匿名區(qū)ASR;如果自己上次查詢的時(shí)間間隔大于一定的值,則不能使用自己的,應(yīng)去查詢自己直接單跳網(wǎng)絡(luò)內(nèi)鄰居節(jié)點(diǎn)上暫存的匿名集,如果匿名集的用戶數(shù)不少于k-1個(gè),并且時(shí)間間隔滿足要求,則利用鄰居的匿名集AS加上用戶自己形成新的匿名集,然后采用上面的方法對匿名集內(nèi)用戶的位置進(jìn)行修正,最后生成新的匿名區(qū)ASR。如果鄰居的匿名集AS也不能用,則只有通過增加網(wǎng)絡(luò)的路由跳數(shù)來解決問題。3.3生成聯(lián)“ca在移動(dòng)環(huán)境中,移動(dòng)用戶通過單跳和多跳網(wǎng)絡(luò)查找對等點(diǎn)鄰居,如果這些對等點(diǎn)分布得非常均勻,那么就很容易導(dǎo)致查詢用戶出現(xiàn)在匿名區(qū)ASR的中心。在這種情況下攻擊者如果能獲得匿名區(qū)ASR,將很容易發(fā)現(xiàn)用戶的位置坐標(biāo)。為了防御這種攻擊,移動(dòng)查詢用戶就得查找多于k-1個(gè)對等點(diǎn)鄰居,從而隨機(jī)交換他在匿名區(qū)ASR中的位置。文獻(xiàn)給出了一種算法,其算法的思想為:首先,如圖5(a)所示,在匿名查詢的需求用戶u的匿名集AS中隨機(jī)選擇一個(gè)用戶P,計(jì)算出匿名區(qū)ASR的中心位置為CA;如果用戶正好是離匿名區(qū)ASR中心最近的用戶,則不對匿名區(qū)ASR進(jìn)行調(diào)整;否則,在匿名集AS中找到離用戶P最近的用戶PN,以用戶P為圓心,以用戶P和用戶PN之間的距離的一半為半徑畫圓,交匿名區(qū)中心點(diǎn)CA與用戶P點(diǎn)之間的連線于點(diǎn)M;然后生成一個(gè)大于CAM之間的距離、小于CAP之間的距離的隨機(jī)數(shù)R,將CA向著用戶P的方向移動(dòng)距離R,從而得到新的匿名區(qū)ASR的中心CA′;最后,如圖5(b)所示,計(jì)算出新的匿名區(qū)中心點(diǎn)CA′與原匿名區(qū)中心點(diǎn)CA在x坐標(biāo)和y坐標(biāo)的差即Δx和Δy,將原匿名區(qū)ASR的兩個(gè)邊界分別平移2Δx和2Δy即得到新的匿名區(qū)ASR。文獻(xiàn)給出了RRS匿名區(qū)調(diào)整算法,RRS算法采用圓形的匿名區(qū)ASR,其算法的基本思想如下:首先對生成用戶m的匿名區(qū)ASR得到圓C,圓C的圓心坐標(biāo)為(cx,cy),圓C的半徑為r,用戶m的坐標(biāo)為(mx,my);然后生成兩個(gè)滿足和數(shù)δx和δy,以坐標(biāo)(cx+δx,cy+δy)為新的圓心,以原半徑r為半徑,得到一個(gè)新圓C′;最后重新計(jì)算落入圓C′內(nèi)的對等點(diǎn)鄰居數(shù),如果小于m-1,則擴(kuò)大圓C′的半徑后繼續(xù)搜索新的對等點(diǎn)鄰居,直到滿足要求為止,所得到的圓C′就是調(diào)整后的匿名區(qū)ASR。由于隨機(jī)數(shù)δx和δy滿足兩個(gè)特定的條件,保證了新生成的匿名區(qū)ASR中肯定包含用戶m。文獻(xiàn)[16~22]都對P2P架構(gòu)下的k-匿名位置隱私查詢技術(shù)進(jìn)行了研究,限于篇幅不在對其內(nèi)容和算法進(jìn)行詳細(xì)闡述。4訪問相關(guān)經(jīng)驗(yàn)的獨(dú)特技術(shù)4.1不同用戶的匿名集更新在連續(xù)查詢匿名保護(hù)算法中,用戶每次查詢,匿名器都通過匿名算法將用戶泛化到有k個(gè)用戶的匿名集AS中,使攻擊者無法從匿名集AS中區(qū)分出真實(shí)查詢的用戶。如果攻擊者得知用戶為連續(xù)查詢,就可以采用連續(xù)攻擊模型找出是真實(shí)查詢的用戶。假設(shè)用戶分別在{ti,ti+1,ti+2}時(shí)刻發(fā)送了查詢信息,如圖6所示。若系統(tǒng)的匿名度k=4,則攻擊者在任意時(shí)刻攻擊匿名服務(wù)器都會(huì)得到含有四個(gè)用戶的匿名集。攻擊者按照時(shí)間序列{ti,ti+1,ti+2}得到用戶匿名集序列分別是{A,B,C,D},{A,B,G,H}和{A,C,E,Y}。對于每次的查詢,攻擊都不能確認(rèn)是匿名集中哪個(gè)用戶進(jìn)行的查詢。若攻擊者為持續(xù)監(jiān)測,可以通過觀察不同時(shí)刻的匿名集內(nèi)的用戶組合來推測是哪個(gè)用戶發(fā)送了查詢消息,攻擊者可按時(shí)間序列將相鄰的匿名集做取交處理,得到結(jié)果序列是{A,B,C,D},{A,B}和{A},由此可推測出發(fā)送消息的用戶。4.2歷史運(yùn)動(dòng)軌跡文獻(xiàn)提出并實(shí)現(xiàn)了一個(gè)基于移動(dòng)終端的用戶移動(dòng)軌跡保護(hù)方法,該方法采用獨(dú)立式系統(tǒng)結(jié)構(gòu),全部匿名保護(hù)計(jì)算均在移動(dòng)端即手機(jī)上進(jìn)行,不借助于可信的第三方匿名服務(wù)器。根據(jù)用戶對匿名安全性高低不同的需求,用戶采用不同的頻度來發(fā)送虛假查詢,安全需求高則發(fā)送虛假查詢的頻度也相應(yīng)地提高。為了生成合理的不容易被識(shí)別出來的虛假查詢位置坐標(biāo),根據(jù)用戶的運(yùn)動(dòng)方式,選擇一個(gè)合理的運(yùn)動(dòng)速度v,如騎自行車的最大速度為25km/h,然后根據(jù)上次查詢的時(shí)間與現(xiàn)在的時(shí)間差Δt,以上次查詢點(diǎn)坐標(biāo)為圓心,以v乘以Δt的積為半徑畫一個(gè)圓,根據(jù)路面信息在圓內(nèi)隨機(jī)選擇一個(gè)點(diǎn)作為虛假查詢的查詢點(diǎn)坐標(biāo)。通過不斷地發(fā)送虛假查詢從而實(shí)現(xiàn)隱匿用戶運(yùn)動(dòng)軌跡的目的。但這種發(fā)送虛假查詢的方法并不能起到k-匿名的效果,并且如果攻擊者可以依據(jù)移動(dòng)蜂窩定位的信息,假設(shè)所生成的虛假查詢的位置所屬的移動(dòng)蜂窩區(qū)內(nèi)正好沒有一個(gè)移動(dòng)用戶,這時(shí)攻擊者就很容易判別出這是一個(gè)虛假的查詢。不斷地發(fā)送虛假查詢,不僅加重了LBS服務(wù)器的負(fù)擔(dān),還增加了移動(dòng)網(wǎng)絡(luò)負(fù)載。文獻(xiàn)利用移動(dòng)用戶的歷史軌跡進(jìn)行連續(xù)k-匿名保護(hù)。其基本思想為:a)系統(tǒng)收集系統(tǒng)中移動(dòng)用戶的位置軌跡,保存到軌跡數(shù)據(jù)庫中,并隨著系統(tǒng)中每一位移動(dòng)用戶的移動(dòng),不斷地將新的運(yùn)動(dòng)軌跡添加軌跡數(shù)據(jù)庫中,將時(shí)間過長的運(yùn)動(dòng)軌跡刪除以節(jié)省空間;b)當(dāng)移動(dòng)用戶進(jìn)行匿名查詢時(shí),匿名服務(wù)器將從軌跡數(shù)據(jù)庫中搜索從過去某個(gè)時(shí)間起與查詢用戶的歷史運(yùn)動(dòng)軌跡大致相同的k-1個(gè)用戶的歷史運(yùn)動(dòng)軌跡,并通過一定的算法對這k-1個(gè)軌跡進(jìn)行擬合處理,在擬合過程中由于軌跡數(shù)據(jù)庫中存儲(chǔ)的是用戶某個(gè)時(shí)間點(diǎn)的位置,當(dāng)某個(gè)相近的軌跡不能與查詢用戶的軌跡進(jìn)行擬合時(shí),還要對該軌跡進(jìn)行時(shí)間上的相應(yīng)的插值處理,如圖7所示,圖中黑色腳印為查詢發(fā)起的移動(dòng)用戶的歷史運(yùn)動(dòng)軌跡,查詢的匿名度為k=3,白色和灰色腳印為搜索到的與查詢發(fā)起用戶運(yùn)動(dòng)軌跡相似的移動(dòng)用戶的運(yùn)動(dòng)軌跡,大圓圈為生成的歷史匿名區(qū)ASR;c)將找到的能與查詢用戶進(jìn)行軌跡擬合的k-1個(gè)用戶作為查詢用戶的匿名集AS,在該移動(dòng)用戶以后的所有匿名查詢過程中全部采用該匿名集AS,根據(jù)匿名集AS中的用戶的現(xiàn)在的位置坐標(biāo)生成初步的匿名區(qū)ASR,由于匿名集AS中的移動(dòng)用戶的運(yùn)動(dòng)方向和速度是不確定的,生成的匿名區(qū)ASR可能會(huì)因面積相當(dāng)大而不能用,這時(shí)采用2.3節(jié)中的匿名區(qū)分割算法將初步生成的匿名區(qū)ASR進(jìn)行分割,從而減小匿名區(qū)ASR的總面積,根據(jù)修改后的匿名區(qū)ASR進(jìn)行匿名查詢。該算法采用的思想是基于過去運(yùn)動(dòng)軌跡相近的用戶,現(xiàn)在的位置和未來的位置也相近的概率很大的現(xiàn)象,如在同一長途汽車上或同一公交車上等。在移動(dòng)用戶進(jìn)行匿名查詢時(shí)始終采用同一個(gè)匿名集AS來生成最新的匿名區(qū)ASR,從而從根本上解決了一個(gè)移動(dòng)用戶在運(yùn)動(dòng)過程中采用不同匿名集AS所導(dǎo)致的不同匿名集AS的鏈接攻擊。然而,通過歷史運(yùn)動(dòng)軌跡所求出的匿名集中的移動(dòng)用戶,在用戶進(jìn)行匿名查詢時(shí),可能斷網(wǎng)或者沒電關(guān)機(jī),從而匿名集AS中的用戶可能少于k個(gè),最終導(dǎo)致算法的失敗。文獻(xiàn)提出了silentperiod方法,通過在鄰近的用戶之間構(gòu)造mix-zone,通過降低用戶不同位置信息之間的可連續(xù)性來保護(hù)用戶的運(yùn)動(dòng)軌跡。文獻(xiàn)[26~29]都對連續(xù)k-匿名保護(hù)進(jìn)行了研究,限于篇幅不再對其算法進(jìn)行詳細(xì)闡述。關(guān)于連續(xù)查詢軌跡匿名保護(hù)方面,到目前為止還沒有一個(gè)真正完美的解決方案和算法。5基于p2p的位置隱私查詢雖然已有大量的文獻(xiàn)對k-匿名位置隱私查詢技術(shù)進(jìn)行了研究,但是目前還存在著一些沒能完全解決的問題。a)集中模式下,需要引入完全可信的第三方平臺(tái)充當(dāng)匿名器。當(dāng)查詢高峰時(shí),匿名器成了系統(tǒng)處理的瓶頸。并且第三方匿名器也會(huì)成為攻擊者的首選攻擊目標(biāo),如果匿名器被攻破,系統(tǒng)內(nèi)所有的用戶位置信息將全部泄露。b)P2P模式下,由于對等網(wǎng)絡(luò)分裂所導(dǎo)致的用戶數(shù)量不足的問題(兩個(gè)位置很近的無線網(wǎng)絡(luò)之間沒有中繼導(dǎo)致不能相互通信),從而使查詢要么降低匿名度k,要么等待新對等點(diǎn)鄰居的加盟或停止查詢。由于P2P方式會(huì)產(chǎn)生大量的網(wǎng)絡(luò)流量,所以一般用于P2P的網(wǎng)絡(luò)都為WLAN,而手機(jī)和PDA在啟用WiFi通信后,會(huì)非常費(fèi)電,并且由于不存在第三方匿名器,移動(dòng)端的計(jì)算量也會(huì)加大,從而大大縮短移動(dòng)端電池的使用時(shí)間。由于移動(dòng)計(jì)算的先天性弱點(diǎn),電池電量不足問題導(dǎo)致移動(dòng)終端關(guān)機(jī),從而嚴(yán)重影響用戶的使用效果。WiFi的覆蓋距離一般不超過300m,在城市的很多地方還存在盲區(qū),在遠(yuǎn)郊區(qū)和農(nóng)村地區(qū)基本上是不能使用的?；赑2P的k-匿名位置隱私查詢非常耗費(fèi)移動(dòng)端資源,所以會(huì)有一部分搭便車用戶在自己查詢后就關(guān)掉網(wǎng)絡(luò),或者退出軟件和相關(guān)的服務(wù),導(dǎo)致對等點(diǎn)鄰居數(shù)量不足,從而無法完成匿名查詢?nèi)蝿?wù)。最后,如果攻擊者就是查詢用戶的發(fā)起用戶的對等點(diǎn)鄰居,并且還充當(dāng)了代理的角色,那么查詢用戶的位置信息將完全泄露。c)混合模式下,雖然兼有集中模式和P2P模式兩者的優(yōu)點(diǎn),解決了匿名器的處理瓶頸和對等點(diǎn)鄰居不足問題,但是,如果其集中的匿名器被攻擊