基于双线性对的k-匿名隐私保护方案研究

————————————————————————————————————————————————

基于双线性对的k-匿名隐私保护方案研究

作者 机构 DOI 基金项目

宋成，张亚东，彭维平，闫玺玺 河南理工大学 计算机科学与技术学院 10.3969/j.issn.1001-3695.2017.11.0756

国家自然科学基金青年基金项目（61300124，61300216）；河南省科技攻关计划（132102210123）

预排期卷 摘要

《计算机应用研究》 2019年第36卷第5期

针对移动互联网环境下位置服务的隐私保护问题，基于双线性对性质和k-匿名的思想，提出了一个高服务质量的隐私增强方案。通过终端在欧几里得距离环形区域内均匀生成2k个虚假位置，利用位置熵、位置分散度和地图背景信息从中筛选出k-1个虚假位置，进而达到更优的k-匿名效果。通过安全性分析，本方案不仅满足隐私性、匿名性、不可伪造性等安全特性，而且能够抗查询服务追踪攻击；仿真实验表明，本方案虚假位置节点选取具有更优的均匀度，同时在假节点生成和选取效率也有所提高。

关键词 作者简介

基于位置的服务；双线性对；k-匿名；隐私保护

宋成，（1980-）男，河南信阳人，博士，河南理工大学计算机科学与技术学院，讲师，硕导，主要研究方向为网络信息安全、密码学、物联网安全等（songcheng@hpu.edu.cn）；张亚东，男，通信作者，河南驻马店人，河南理工大学研究生，主要研究方向为物联网安全，隐私保护等；彭维平，男，湖北天门人，博士，河南理工大学副教授，主要研究方向为物联网安全及应用、数据防泄露等；闫玺玺，女，河南灵宝人，博士，河南理工大学讲师，主要研究方向为数字版权管理、数字内容安全、计算机网络安全．

中图分类号 访问地址 投稿日期 修回日期

TP309

http://www.arocmag.com/article/02-2019-05-036.html 2017年11月24日 2018年1月2日

基于双线性对的k-匿名隐私保护方案研究

———————————————————————————————————————————————— 发布日期 引用格式

2018年4月18日

宋成, 张亚东, 彭维平, 闫玺玺. 基于双线性对的k-匿名隐私保护方案研究[J/OL]. 2019, 36(5). [2018-04-18]. http://www.arocmag.com/article/02-2019-05-036.html.

第36卷第5期 优先出版

计算机应用研究

Application Research of Computers

Vol. 36 No. 5 Online Publication

基于双线性对的k-匿名隐私保护方案研究 *

宋 成，张亚东，彭维平，闫玺玺

(河南理工大学 计算机科学与技术学院,焦作 454003)

摘 要：针对移动互联网环境下位置服务的隐私保护问题，基于双线性对性质和k-匿名的思想，提出了一个高服务质量的隐私增强方案。通过终端在欧几里得距离环形区域内均匀生成2k个虚假位置，利用位置熵、位置分散度和地图背景信息从中筛选出k-1个虚假位置，进而达到更优的k-匿名效果。通过安全性分析，本方案不仅满足隐私性、匿名性、不可伪造性等安全特性，而且能够抗查询服务追踪攻击；仿真实验表明，本方案虚假位置节点选取具有更优的均匀度，同时在假节点生成和选取效率也有所提高。

关键词：基于位置的服务；双线性对；k-匿名；隐私保护 中图分类号：TP309 doi: 10.3969/j.issn.1001-3695.2017.11.0756

Research on k-anonymous privacy protection scheme based on bilinear pairing

Song Cheng, Zhang Ya-dong, Peng Wei-ping, Yan Xi-xi

(School of Computer Science and Technology Henan Polytechnic University, Jiaozuo 454003, China)

Abstract: Aiming at the privacy protection problem of location service in mobile Internet environment, a high quality of service privacy enhancement scheme based on bilinear pairing property and anonymity is proposed. The terminal generates 2k evenly distributed false locations in the ring area of Euclidean distance. According to location entropy, location dispersion and map background information, the terminal screens superior k-1 false locations from them to achieve better k-anonymity. Through the security analysis, the scheme not only satisfies the privacy, anonymity, unforgeability etc. , but also can resist query service tracking attack. The simulation experiments show that the selection of false position nodes in this scheme has a better uniformity, and the efficiency of the false node generation and selection is also improved. Key words: location-based services; bilinear pairings; k-anonymity; privacy protection

在2005年首次提出。基本思想是：为用户生成多个虚假位置，然后将所选虚假位置和用户的真实位置一起发送到LBS服务LU等人器。以致攻击者和服务器均无法辨别用户的真实位置。在方案[11]中指出，如果虚假位置太过于集中，会降低用户的隐私保护程度，并提出了新的方案，将每个虚假位置均匀位于不同的圆形或矩形区域内，进而提高用户隐私保护程度。NIU等人[12]指出，上述方案均未考虑攻击者是否知晓背景信息，此信息会影响攻击者对用户的实际位置的推断概率。因此，他们提出一个新的解决方案：生成尽可能多地虚假位置，这些虚假位置与用户真实位置具有相同查询频率，从而加强用户的隐私保护。但该方案不适用于连续LBS服务请求查询，因为攻击者根据相邻查询时间和空间之间的联系，可以推断出用户的真实位置。

XU等人在文献[13]中通过在最小边界圆中选择不包含前

0 引言

随着移动通信技术、定位技术及智能设备的迅猛发展，基

于位置的服务[1~3]（LBS）得到广泛的应用，越来越多的人受益于相关服务[4]。LBS应用服务系统已经涉及到各种领域，例如医疗，交通，社交网络、大众娱乐等。然而，基于位置的服务在为用户提供服务的同时，用户敏感数据信息可能被搜集，从而推测出用户个人隐私。如：用户位置信息统计，可推断出用户的家庭和单位地址；结合地图相关信息，可以推断出用户的健康状况，生活习惯和宗教信仰[5]。 因此，位置服务中的用户隐私保护一直是国内外学者关注的焦点[6~8]。

k-匿名[9]是重要的技术之一，然而，在用户隐私保护技术中，可以有效防止隐私的泄露，因此K匿名技术亦成为目前研究的热点。基于k-匿名的用户的隐私保护方案是由KIDO[10]等人

——————————

基金项目：国家自然科学基金青年基金项目（61300124，61300216）；河南省科技攻关计划（132102210123）

作者简介：宋成，（1980-）男，河南信阳人，博士，河南理工大学计算机科学与技术学院，讲师，硕导，主要研究方向为网络信息安全、密码学、物联网安全等（songcheng@hpu.edu.cn.）；张亚东，男，通信作者，河南驻马店人，河南理工大学研究生，主要研究方向为物联网安全，隐私保护等；彭维平，男，湖北天门人，博士，河南理工大学副教授，主要研究方向为物联网安全及应用、数据防泄露等；闫玺玺，女，河南灵宝人，博士，河南理工大学讲师，主要研究方向为数字版权管理、数字内容安全、计算机网络安全．

优先出版 宋 成，等：基于双线性对的K-匿名隐私保护方案研究 第36卷第5期

一匿名区内所有其他用户的方法来生成匿名集合，并根据匿名集合大小来衡量用户位置隐私保护的强度。在文献[14]中，提出一个基于用户感觉的连续LBS服务请求的隐私保护模型，让用户根据隐私保护的程度构建公共区域。但这两个方案均不能抵抗查询跟踪攻击。WANG等人在文献[15]中指出在连续的位置服务请求中，用户可能在不同位置隐私保护级别不同，提出一个位置感知的位置隐私保护方案。LI等[16]指出，如果使用其他用户的历史足迹构建匿名区域，会造成匿名区域太大，进而降低服务质量。提出一个连续LSB请求环境下的需求感知位置隐私保护方案，通过删除最远的足迹缩小匿名区域范围，提高服务质量。但是，在用户预定/预测位置之外进行服务请求，该方案仍不能抵抗查询跟踪攻击。

SCHLEGEL等人[17]基于密文匹配思想，提出了基于密文的位置隐私保护方案，在确保第三方可信的情况下，可以抵抗查询跟踪攻击。针对以上不足之处，本文结合双线性对理论知识和k-匿名的思想，提出了一个安全加强的用户位置隐私保护的方案，通过移动终端在欧几里得距离环形区域内均匀生成2k个虚假位置，然后利用位置熵、位置分散度和地图背景信息从2k个虚假位置中筛选出k1个更优的虚假位置，进一步提高虚假位置均匀度，进而达到更优的k-匿名效果。

1 预备知识

1.1 位置隐私保护系统结构

本文在k-匿名思想的基础上，增加了一个混淆服务器，如下图1所示，系统主要由三部分实体组成：移动终端、混淆服务器、位置信息服务器。各部分的作用如下：

移动终端：移动终端具有两个的作用，一是向混淆服务器发送用户假名生成请求并验证假名结果的有效性；二是生成并筛选虚假位置节点，向位置信息服务器发送位置查询请求，并接收来自位置信息服务器的查询结果。

混淆服务器：在匿名位置隐私保护中，通常需要配置一个混淆服务器，为移动终端用户生成假名并将结果发送给移动终端。

位置信息服务器：是位置隐私保护系统的核心部分，负责处理来自移动终端的匿名化查询；并将查询结果返回给移动终端。

混淆服务器返回注册结果

请求注册

发起服务请求返回查询结果移动终端位置信息服务器图1 位置隐私保护系统模型 1.2 双线性对

设(G1,)为阶为素数q的加法循环群，(G2,)为阶为素数

q乘法循环群，P为G1的生成元。双线性映射e:G1G1G2 满足以下性质：

（1）双线性：对于：

a,bZ*q,P,QG1,e(aP,bQ)e(P,Q)ab

;

（2）非退化性：P,QG1 ，满足e(P,Q)1 ； （3）可计算性：对于任意P,QG1 ，存在有效的算法计算e(P,Q) ； 1.3 位置熵

给定一个包含k个虚假位置的匿名区域，用户在某一虚假位置i的概率是Yi，那么它的位置熵值为：

Yi

(1)

在移动终端用户向LBS服务器进行服务请求过程中，隐私级别通过单个用户隐私度量标准来衡量。假设匿名区域内k个候选虚假位置节点，k个虚假位置的查询概率分别为

Wi(i1,2k)，那么每个位置成为真实位置的概率为：

2K

(2)

因此，利用式（1）和（2）可计算出节点位置熵，即攻击者推导出真实位置的信息量。候选位置节点熵值越高，隐私保护水平越高。显然，当所有的Yi相等时，位置节点位置熵值最大，隐私保护水平最高。 1.4 位置分散度

若存在多个虚假位置节点集合中的节点位置熵相等且均是最大值时，将需要利用位置分散度对它们再次进行筛选。因为虚假位置节点集合的位置分散度越大，则表明其所形成的区域面积就越大，这样可以避免由于生成的假节点过于集中，导致攻击者能够推测出用户真实位置所在的区域而造成位置隐私泄露。通常采用虚假位置节点对之间的距离之积来衡量位置分散度。

如图2所示，假设o是用户的真实位置，p为已选出的虚拟位置，通过构造椭圆从两个候选位置m和n中选择出第三个虚拟位置。将o和p作为椭圆的两个焦点，并将m和n构造到椭圆上。因为mompnonp，无法根据虚拟节点对之间的距离之和确定选择哪个节点，但由于mompnonp，最终选择节点m作为虚拟位置而不是节点n，因为节点m的分散度更大。

mnop

图2 候选节点筛选示意图

优先出版 宋 成，等：基于双线性对的K-匿名隐私保护方案研究 第36卷第5期

2 基于双线性对的K-匿名隐私增强方案

本方案主要包括四个阶段：系统初始化阶段、用户注册阶

段、假位置生成与选取阶段和位置服务请求阶段。 2.1 系统初始化

系统初始化阶段主要生成系统参数，具体步骤如下： Step1：G1，G2是两个阶数为素数q的循环群，其中G1为加法循环群，G2为乘法循环群，P是G1的生成元。

e:G1G1G2表示一个双线性映射。Z*p表示模q的整数乘法群。

Step2：定义2个安全哈希函数H1，H2和一个基于椭圆曲线密码体制的加密函数enc()。其中H1:{0,1}*{0,1}k，H*2:{0,1}G1，{0,1}*表示任意长度的二进制串。

Step3：混淆服务器选取系统主密钥sZ*p，计算其公共密钥为：PAsP。

Step4：混淆服务器保存系统主密钥s，公开系统参数：

{G1,G2,e,k,P,PA,H1,H2,enc()}｡

2.2 用户注册

由于本方案是基于k-匿名思想而设计的，因此，用户注册阶段，通过混淆服务器对用户的身份进行匿名化，具体步骤如下：

Step1：用户User随机选择一个秘密值ruZ*p，并将ru和用户真实身份ID作为注册请求消息发送给混淆服务器，请求注册。

Step2：混淆服务器收到注册请求后，为用户计算虚假身份：PIDuenc(H1(ID||ru))，

然后计算QuH2(PIDu,ruP)，XusQu，并将{PIDu,Xu}返回给用户User。

Step3：用户User收到消息{PIDu,Xu}后，计算？QuH2(PIDu,ruP)并判断e(Xu,P)e(Q是否成立。如果等

u,PA)式成立，注册成功；否则，返回Step1重新注册。 2.3 假位置生成与选取

本阶段通过用户移动终端生成虚假位置，并从2k个虚假位置中选取最优的k1个位置，具体步骤如下：

Step1：移动用户终端以用户User的真实位置LocUser为中心点，采用矩形区域内均匀分布随机点算法生成一个假位置

Loci，根据地图的背景信息判断该位置，若为山川、河流等位置，则放弃该位置从新生成；否则，计算LocUser和Loci两位置之间的欧几里得距离：dis(LocUser,Loci)。

Step2：移动用户终端判断不等式

RminC{c1,c2,c3,......,ci1}{ci}；如果不满足，重新返回Step1。其中Rmin和Rmax分别表示中心点到新生成假节点的最短距离和最长距离。

Step3：若i2k，i=i1，并返回Step1；若i=2k，则执行下一步。

Step4：假设假位置节点集合C内假位置的查询概率分别为

Wi(i1,22k)，根据式（2）计算出每个假节点位置成为真实

节点位置概率Yi。Yi越接近真实位置LocUser的查询概率，位置熵H(x)越高，隐私保护水平就越高。根据该原则，从2k个假位置中选取最优的k1个假位置{Loc1,Loc2Lock1}。

注： Step4中若在临界位置存在并列无法排除的假节点，即若出现候选假位置Lock1和Lock成为真实节点位置概率Yi1和Yi相等的情况，移动终端根据位置分散度原则，判断不等式

dis(Loc?User,Lock1)dis(Locp,Lock1) dis(LocUser,Lock)dis(Locp,Lock)是否成立，若成立，则选择Lock1为候选位置，反之选择Lock为候选位置，其中LocUser为用户User的位置，Locp为已选的假位置。最终选择最优的假位置集合CEnd{c1,c2,c3,......,ck1}。

Step5：最优的假位置集合CEnd内各位置节点分别进行用户注册，为每个假位置分别生成匿名用户ID：PID（i0ik1）。 2.4 位置服务请求

本阶段通过移动终端User随机选取一位置节点作为代表节点向LBS服务器发送服务请求，具体的请求步骤如下：

Step1：用户从包括真实位置节点在内的k个位置节点中随机选取一位置节点cj（0jk）。

Step2：聚合k个节点的假身份PIDi、节点位置Loci 以及查询内容

Qi,形成一个查询集合：

{Msg{(PID1,Loc1,Q1),(PID2,Loc2,Q2).......,(PIDk,Lock,Qk)}} ，以cj位置为代表向LBS服务器发送服务请求。

Step3：LBS服务器接收到服务请求后，将查询结果集

Rs{rs1,rs2,rs3,.......,rsk}返回给用户 。

Step4：用户收到Rs后，从中选取出用户需求的真实信息

rsUser。

3 安全性分析

方案从隐私保护、匿名性、不可伪造性和查询服务跟踪四

个方面进行安全性分析。 3.1 隐私保护

本方案通过设置最大半径和最小半径，并且限制最小半径的约束条件。同时再加上虚拟节点的产生是均匀的，在请求位置服务是时随机选取一个节点作为代表节点进行服务请求。这样即使攻击着获取了请求服务的信息也无法得知真实用户位置的信息。在用户注册阶段，所有用户都通过加密算法enc()对其节点真实身份ID进行加密形成虚假身份

PIDuenc(H1(ID||ru))，攻击者无法从PIDu推导或获取节点的真实信息，从而保护了用户信息隐私。在服务请求阶段由于随机选取一个节点作为代表节点发送服务请求。具有随机性，降级攻击者辨别出到底哪个是真实用户的查询信息的概率。进而

优先出版 宋 成，等：基于双线性对的K-匿名隐私保护方案研究 第36卷第5期

保护了真实用户查询信息的安全。 3.2 匿名性

本方案在用户注册阶段，通过加密算法enc()对所有节点真实身份ID进行加密形成虚假身份PIDuenc(H1(ID||ru))，攻击者无法从PIDu推导或获取节点的真实信息，实现匿名的效果。同时在虚假位置的生成和选取阶段，基于K匿名的思想，采用匿名区域内均匀分布随机点算法在欧几里得距离环形区间内选取2K个虚假节点，然后根据位置熵与位置分散度的原则从2k个虚假节点内选取最优的k1个虚假节点，实现混淆的效

果。在服务请求阶段，用户从k个节点中随机选择一个节点作为代表元素向LBS服务器发送服务请求，攻击者即使获得请求数据包，也无法确认信息是否来自真实节点，进一步增强了用户匿名效果。 3.3 不可伪造性

在基于求解椭圆曲线离散对数难题及混淆服务器的前提下，攻击者无法冒充混淆服务器伪造用户注册信息。在用户注册阶段，混淆服务器为用户的真实身份进行加密生成可验证性的假身份PIDu，混淆服务器返回给注册用户信息{PIDu,Xu}后，用户需要计算？QuH2(PIDu,ruP)并判断等式e(Xu,P)=e(Qu,PA)是否成立。若攻击者冒充混淆服务器伪造用户注册信息， 在没有获得混淆服务器私钥s的情况下，该等式无法成立。如果攻击者设法获取混淆服务器私钥s，需要利用混淆服务器公钥信息(P,PA)，通过PAsP推导私钥s，即面临求解椭圆曲线离散对数难题。 3.4 抵抗查询追踪攻击

查询追踪攻击也称为连续查询攻击，其原理是攻击者根据不同时刻某一用户发出的连续查询，获取不同时刻内匿名区域包含的用户集，通过计算不同匿名区域的用户集的交集推断出发出查询的用户。在本方案中由于所选虚假节点均是均匀产生的，而且根据位置熵、位置分散度以及地图背景信息等原则，所选虚假节点与真实节点相似度高，形成的匿名区域面积大，有效抵制查询追踪攻击。而且每次发出LBS服务请求都会从k个位置节点中随机选取某一个元素作为代表元素发出请求信息，攻击者更无法通过用户连续查询请求节点的交集获取真实节点。

通过以上分析，本方案与相关文献方案的安全分析比较结果如表1所示。

表1安全性比较

方案 文献[6] 文献[7] 文献[8] 本文方案

位置隐私 √ √ √ √ 查询隐私 √ √ √ 用户信息隐私

√

匿名性 √ √ √ √ 不可伪造性 √ 查询追踪攻击

√

4 仿真实验

本文仿真实验环境为：

CPU：Intel i5处理器, 内存：8G。操作系统： Windows7 64位，仿真软件：MATLAB软件。假设在一个具有理想的网络环境进行仿真实验。本实验将随机选择一个节点作为用户的真实位置，然后从符合用户需求的虚假位置生成效率和位置分布均匀度两个方面进行仿真。

虚假位置生成算法性能指标主要体现在效率和位置均匀度。相同的实验环境下，通过对比传统方案、CirDummy方案和GirdDummy方案得出以下结论。如图3所示，生成符合用户条件虚假位置所需要的时间与匿名度k成线性关系，随着匿名度

K的增加，生成符合用户条件虚假位置生成所需时间也在逐步

增加。这是由于随着匿名度k的增加，生成的虚假位置数量也随着增多，需要判断的符合用户需求虚假位置个数增加，进而生成时间相应增加。通过仿真实验发现，当k5时，本方案所生成的符合条件的虚假位置的效率与传统方案算法效率接近；当k5时，本文方案所生成的符合条件的虚假位置的效率与传统方案相比，优势越来越明显，由于传统方案算法生成虚假位置在顺时针旋转的夹角内，既满足2/(k1)，随着匿名度k的增加，夹角越来越小，虚假位置生成在内的概率越来越小。因此，传统方案生成符合条件的虚假位置算法随着匿名度k的增加效率越来越明显低于本文方案。同时对比CirDummy方案和GirdDummy方案，随着匿名度k的增加，本文方案的效率也是越来越高于CirDummy方案和GirdDummy方案。

图3 匿名度k与所选位置生成时间的关系

位置的均匀度代表所选的位置与真实位置越相似程度，其均匀程度越高，虚假节点分布越均匀，攻击者找到真实位置的几率越小。位置分布均匀度用Vf/k表示，其中f表示包含真实位置和虚假位置的最小矩形区域面积，k表示匿名度。显然，在f一定的情况下，位置均匀度随着匿名度k的增加而降低。本仿真实验是在最小区域半径为0.1km，最大区域半径为0.15km内进行位置的选择。本方案通过与传统方案和CirDummy方案在同等环境下仿真对比结果如图4所示，由于本方案采用位置熵、位置分散度和地图背景信息筛选每个虚假位置，因此，本方案位置分布均匀度始终优于传统生成算法，

优先出版 宋 成，等：基于双线性对的K-匿名隐私保护方案研究 第36卷第5期

避免了因位置节点分布集中而导致匿名区域面积缩小的情况，进而增加了攻击者确定用户的真实位置的难度。在位置均匀度仿真实验中之所以没有与GirdDummy方案进行对比分析是因为本文实验是在环形区域选取虚假节点，而GirdDummy方案与之不符合。

图4 匿名度k与位置分布分均匀度的关系

5 结束语

本文针对移动互联网中用户使用LBS服务的位置隐私保

护问题，结合双线性对理论知识和k-匿名的思想，提出了一个安全加强的用户位置隐私保护的方案。方案通过移动终端在欧几里得距离环形区域内均匀生成2k个虚假位置，然后利用位置熵、位置分散度和地图背景信息从2k个虚假位置中筛选出k1个更优的虚假位置。

通过安全性分析，本方案解决隐私性、匿名性、不可伪造性以及查询攻击等相关安全问题，安全性得到有效增强；通过仿真实验分析，当k5时，本方案所生成的符合条件的虚假位置的效率与传统方案算法效率接近；当k5时，具有更高的效率，同时方案具有更高的虚假位置均匀度，从而进一步的提高了用户隐私的保护程度。因此本方案在资源受限的移动互联网或物联网环境中LBS位置隐私保护领域有着重要的理论研究意义和应用价值。

参考文献：

[1] Tiwari S, Kaushik S, Jagwani P, et al. A Survey on LBS: System Architecture,

Trends and Broad Research Areas [M]// Databases in Networked Information Systems. Springer Berlin Heidelberg, 2011: 223-241. [2] Krumm, John. A survey of computational location privacy [J]. Personal and

Ubiquitous Computing, 2009, 13 (6): 391-399.

[3] Sun Yanming, Chen Min, Hu Long, et al. ASA: Against statistical attacks for

privacy-aware users in Location Based Service [J]. Future Generation Computer Systems, 2016, 70.

[4] Xin Mingjun, Lu Manli, Li Wweimin. An adaptive collaboration evaluation

model and its algorithm oriented to multi-domain location-based services [J].

Expert Systems with Applications, 2015, 42 (5): 2798-2807.

[5] 万盛, 李凤华, 牛犇等. 位置隐私保护技术研究进展 [J]. 通信学报.

2016, 37 (12): 125.

[6] Talukder N, Ahamed S I. Preventing multi-query attack in location-based

services [C]// ACM Conference on Wireless Network Security. ACM, 2010: 25-36.

[7] Gao Sheng, Ma Jianfeng, Shi Weisong, et al. TrPF: A Trajectory Privacy-Preserving Framework for Participatory Sensing [J]. IEEE Transactions on Information Forensics & Security, 2013, 8 (6): 874-887.

[8] Mascetti S, Freni D, Bettini C, et al. Privacy in geo-social networks:

proximity notification with untrusted service providers and curious buddies [J]. The international Journal on Very Large Data Bases, 2011, 20 (4): 541-566.

[9] Liu Xinxin, Liu Kaikai, Guo Linke, et al. A game-theoretic approach for

achieving k-anonymity in Location Based Services [C]// INFOCOM, 2013 Proceedings IEEE. IEEE, 2013: 2985-2993.

[10] Kido H, Yanagisawa Y, Satoh T. Protection of Location Privacy using

Dummies for Location-based Services [C]// International Conference on Data Engineering Workshops. IEEE Computer Society, 2005: 1248. [11] Lu Hua, Jensen CS, Man LY. PAD: privacy-area aware, dummy-based

location privacy in mobile services [C]// ACM International Workshop on Data Engineering for Wireless and Mobile Access, Mobide 2008, June 13, 2008, Vancouver, British Columbia, Canada, Proceedings. DBLP, 2008: 16-23.

[12] Niu Ben, Li Qinghua, Zhu Xiaoyan, et al. Achieving k-anonymity in

privacy-aware location-based services [C]// IEEE INFOCOM. IEEE, 2014: 754-762.

[13] Xu T, Cai Ying. Exploring Historical Location Data for Anonymity

Preservation in Location-Based Services [C]// INFOCOM 2008. the, Conference on Computer Communications. IEEE. IEEE, 2008: 547-555. [14] Xu T, Cai Ying. Feeling-based location privacy protection for location-based

services [C]// ACM Conference on Computer and Communications Security. ACM, 2009: 348-357.

[15] Wang Yu, Xu Dingbang, He Xiao, et al. L2P2: Location-aware location

privacy protection for location-based services [C]// INFOCOM, 2012 Proceedings IEEE. IEEE, 2012: 1996-2004.

[16] Li Xinghua, Wang Ermeng, Yang Weidong, et al. DALP: A demand-aware

location privacy protection scheme in continuous location-based services [J]. Concurrency & Computation Practice & Experience, 2016, 28 (4): 1219-1236.

[17] Schlegel R, Chow C Y, Huang Q, et al. User-Defined Privacy Grid System

for Continuous Location-Based Services [J]. IEEE Transactions on Mobile Computing, 2015, 14 (10): 2158-2172.