随着智能移动设备、全球定位系统和无线通信技术的不断发展与完善，基于位置的服务(LBS，location based service)^[1-3]日益兴起，并受到广大用户的欢迎.例如，移动终端用户可通过向LBS服务器发送位置服务请求，以获取该位置的天气、餐饮、导航等服务信息，进而享受LBS带来的便利.但该过程往往会使某些敏感的个人隐私信息被泄露，如个人的生活习惯、兴趣或看病就医的医院等.因此，在享受LBS带来便利的同时，如何保护用户的隐私是亟待解决的关键问题之一^[4-6].当前，尽管一些学者在防止用户实时位置信息泄露方面已取得一些研究成果^[7]，但是攻击者通过对用户的位置轨迹信息进行分析，依然可获取用户的隐私信息.因此，在保护用户位置隐私的基础上，如何进一步防止泄露用户的轨迹信息已成为当前研究的一个热点^[8].针对该问题，提出了一个基于相似轨迹替代查询的位置隐私保护方案.首先通过可信匿名服务器为所有LBS服务请求的用户身份进行匿名化处理，当某个用户预发起位置服务请求时，可信匿名服务器采用轨迹相似性算法计算出请求用户所在特定区域内所有候选者与请求者在一定时间间隔内的轨迹相似值；然后从中选出一个与请求用户轨迹相似度最优的候选者；最后，该最优候选者替代用户发起LBS服务请求，从而实现用户身份、查询和轨迹的隐私性保护.在随机预言模型下给出了方案匿名性和不可伪造性的安全性证明，并分析了连续查询服务追踪等安全特性.同时也对最优候选者轨迹相似度和最优候选者挑选算法进行了仿真，结果表明了所提方案的有效性和高效性.

1 相关工作

近年来，一些国内外学者针对用户的轨迹隐私保护问题做了大量的研究工作，并取得了一些有价值的成果. Pan等^[9]提出一种基于失真的移动用户连续查询匿名方案，选择一个泛化区域，该区域内至少存在包括请求用户在内的K个用户，实现K-匿名；同时参考用户的运动速度和方向确定泛化区域的面积，进而实现用户轨迹隐私保护.随后，Freudiger J等^[10]提出一种基于节点移动性分布的度量方法来评估可能的混合区域位置的混合效果，考虑到混合区域的位置隐私依赖于其网络中的位置，方案利用组合优化技术优化混合区的布局，进而达到保护用户轨迹隐私的效果. Kato等^[11]假设预知用户的移动状态，基于用户的移动轨迹、停顿、位置偏移角度以及可达性等因素，可对虚假轨迹每一跳进行路由选择，提出一种虚拟匿名化的轨迹隐私保护方案，但该方案所选虚假轨迹的相似度有待提高.霍峥等^[12]提出一种移动社交网络环境下的轨迹隐私保护方案，通过设计一种签到序列缓存机制，为缓存的签到序列构建前缀树，并对其进行剪枝和重构，形成K-匿名前缀树，遍历K-匿名前缀树便可得到K-匿名签到序列，进而取得轨迹K-匿名的隐私保护效果.文献[13]中，用户通过缓冲区存储自己的历史位置和与之相交换的伪位置，当LBS服务请求时，用户从缓冲区选择包括自身在内的k个位置请求LBS服务，从而达到K-匿名的用户轨迹隐私安全.考虑到用户位置所在区域的敏感度问题，Chen等^[14]提出一种量身定制的隐私模型，通过局部抑制的方法来实现轨迹数据匿名化，进而达到保护用户轨迹隐私的效果.随后，赵婧等^[15]提出一种适用于新兴的轨迹数据发布隐私保护方案，在防止身份链接攻击的基础上，也能够防止属性攻击.李凤华等^[16]提出一种高效的轨迹隐私保护方案，基于地图背景信息、轨迹相似性以及用户行动模式等特征来构建k－1条虚假轨迹，以致攻击者无法分辨出其真实轨迹，进而保证终端轨迹隐私安全. Ye A等^[17]提出了一种l-查询的位置隐私保护方案，通过将伪查询随机插入真实连续查询间隙中，以便减少连续查询的时间关联性，从而实现更高的用户身份、位置和查询内容的隐私保护. Sun等^[18]提出的位置隐私保护方案通过引入标签来区分移动用户的敏感位置和普通位置，并对其实施不同级别的隐私保护，同时提高了LBS服务请求的响应效率.为了提高选择假位置的效率，Li等^[19]将信用的激励机制引入分布式K-匿名方案中，基于模糊逻辑，把每个用户的信用度等价于一个概率阈值，只有用户的信用度达到某个概率阈值时，才能够得到周围用户的帮助.通过这种方式，用户被鼓励积极主动参与帮助他人形成K-匿名.从某种意义上讲，以上所介绍的解决方案基本都是从单个时刻的LBS位置隐私保护方案演变而来的，均忽略了2个问题：1)用户请求LBS服务过程中，通信消息的安全问题；2)连续查询位置存在的某种关联性可能会导致用户真实位置信息泄露的问题.

2 预备知识 2.1 轨迹隐私保护系统模型

轨迹隐私保护系统模型通常包括：移动终端(MT，mobile terminal)、可信匿名服务器(TAS，trusted anonymous server)和LBS服务器3部分，如图 1所示.

每部分的功能如下.

1) MT. MT具有2个作用：①向TAS发送身份匿名化请求，然后对匿名化结果的有效性进行验证，并生成相应的密钥信息；②向LBS发起发送位置服务请求，并接收服务查询的结果.

2) LBS服务器. LBS服务器是位置隐私保护系统的核心部分，负责处理来自MT的匿名化位置服务请求，并将查询结果安全地反馈给MT.

3) TAS. TAS记录注册用户的属性矩阵信息(时间及其对应位置坐标采样)，处理来自MT的匿名化请求，为MT挑选出最优相似轨迹的用户，生成并发布系统相关参数等.

2.2 双线性对

定义^[20]  设(G₁，+)，(G₂，*)分别为2个阶均为素数q的加法循环群和乘法循环群，双线性对e:G₁×G₁→G₂满足如下性质：

1) 双线性.对于$ \forall a, b \in Z_q^*, P, Q \in {G_1}, e\left( {aP, bQ} \right) = e{{\rm{(}}P,Q)^{ab}} = e\left( {abP, Q} \right)$.

2) 非退化性.$\exists P, Q \in {G_1}, e\left( {P, Q} \right) = e\left( {Q, P} \right) $，满足$e(P, Q) \ne {1_{G2}}, {1_{G2}} $表示群(G₂，*)的单位元.

3) 对称性.$ \forall P, Q \in {G_1}, e(P, Q) = e(Q, P)$.

4) 可计算性.$ \forall P, Q \in {G_1}$，存在算法能够在多项式时间内计算e(P, Q).

2.3 轨迹相似性

轨迹相似性表示2条运动轨迹的相似程度，通常采用轨迹相似性函数来进行度量.假设用户的真实运动轨迹为

$ {T_u} = \{ {\rm{I}}{{\rm{D}}_{\rm{A}}},({x_0},{y_0},{t_0}),({x_1},{y_1},{t_1}), \cdots ,({x_n},{y_n},{t_n})\} $

其中：ID_A表示用户匿名化之后的身份标识，(x_i, y_i, t_i)表示t_i时刻ID_A的位置为(x_i, y_i)，采样时间t_i满足t₀ < t₁ < , …, < t_n.假设用户在t_i时刻相对于其初始点t₀时刻的轨迹运动变化方向为${\phi _i}\sqrt {{b^2} - 4ac} $，则有$\tan {\phi _i} = \frac{{{y_i} - {y_0}}}{{{x_i} - {x_0}}} $, 即$ {\phi _i} = \arctan \frac{{{y_i} - {y_0}}}{{{x_i} - {x_0}}}$.因此，运动轨迹可等价表示为T_u={(x₀, y₀, t₀), 〈(ϕ₁, t₁), (ϕ₂, t₂), …, (ϕ_n, t_n)〉}.同理，潜在候选者的运动轨迹T_C={ID_C, (x₀^c, y₀^c, t₀^c), (x₁^c, y₁^c, t₁^c), …, (x_n^c, y_n^c, t_n^c)}，类似可等价表示为T_C={(x₀^c, y₀^c, t₀^c), 〈(ϕ₁^c, t₁^c), …, (ϕ_n^c, t_n^c)〉}，其中$ {\phi _i}^c = \arctan \frac{{{y_i}^c - {y_0}^c}}{{{x_i}^c - {x_0}^c}}\left( {1 \le i \le n, 1 \le c \le k - 1} \right)$.运动轨迹的相似度表示为$ {\sigma ^2} = {\left( {\frac{{\sum\limits_{i = 1}^n {\frac{{{\phi _i}^c - {\phi _i}}}{{2\pi }}} }}{n}} \right)^2}$，显然，σ²∈[0, 1]，并且σ²越小，对应候选者的运动轨迹与用户的运动轨迹相似度越高.

3 位置隐私保护方案

方案包括系统初始化阶段、注册阶段、相似轨迹算法计算阶段和代替查询的位置服务算法请求4个阶段.

3.1 系统初始化阶段

系统初始化阶段主要生成系统所需参数，具体步骤如下.

步骤1   选择2个阶数为素数q的循环群(G₁，+)，(G₂，*)和双线性映射e:G₁×G₁→G₂，P为G₁的生成元.

步骤2   定义3个安全哈希函数H₁:{0, 1}^*→G₁^*，H₂:{0, 1}^*→{0, 1}ⁿ，H₃:G₂→{0, 1}ⁿ，其中n表示一个正整数，{0, 1}^*表示任意长度的二进制串.

步骤3   TAS选取2个随机数s∈Z_q^*和Q∈G₁^*，计算其公钥PK_anon=sP和私钥SK_anon=sQ，其中Z_q^*表示模q的整数乘法群.

步骤4   TAS公开系统参数：

$ \{ {G_1},{G_2},e,k,n,P,{\rm{P}}{{\rm{K}}_{{\rm{anon}}}},Q,{H_1},{H_2},{H_3}\} $

3.2 注册阶段

用户注册阶段主要是TAS对用户的身份进行匿名化处理，并生成相应的系统参数.具体步骤如下.

步骤1  用户U通过MT将真实身份的ID信息安全地发送给TAS.

步骤2  TAS随机生成一个m×n矩阵χ(2≤m < n)和一个m维列向量ρ，满足系数矩阵χ的秩等于其增广矩阵χ的秩，即R(χ)=R(χ).显然，R(χ) < n，线性方程组χd=ρ有无穷多解.

步骤3   TAS为每个注册的用户分配一个唯一的n维列向量d_i，且d_i满足χd_i=ρ，即d_i为线性方程组χd_i=ρ的一个解；然后，TAS随机选取一个n维列向量D，计算用户U的假身份PID_U=D^Td_i相关验证的参数Q_U=H₁(PID_U)和S_U=sQ_U；最后，TAS通过安全信道将{PID_U, S_U, d_i}发送给用户U.

步骤4  用户U收到消息{PID_U, S_U, d_i}后，计算${\tilde Q_U} = {H_1}(PI{D_U}) $，并判断$e({S_U}, P)\mathop = \limits^? e({\tilde Q_U}, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}}) $是否成立.若等式成立，用户U随机选择一个秘密值r_U∈Z_q^*，并计算其公钥PK_U=r_UPK_anon和私钥SK_U=r_US_U；否则，返回步骤1.

3.3 相似轨迹算法计算阶段

TAS根据轨迹相似性函数依次计算出所有候选者运动轨迹和用户U运动轨迹的相似值，步骤如下.

步骤1  假设移动终端用户U的真实轨迹和候选者的移动轨迹采样点分别为${T_U} = \{ {\rm{I}}{{\rm{D}}_U}, ({x_0}, {y_0}, {t_0}), ({x_1}, {y_1}, {t_1}), \cdots , ({x_k}, {y_k}, {t_k})\} $和${T_c} = \{ {\rm{I}}{{\rm{D}}_c}, ({x_0}^c, {y_0}^c, {t_0}^c), ({x_1}^c, {y_1}^c, {t_1}^c), \cdots , ({x_k}^c, {y_k}^c, {t_k}^c)\} $.

步骤2    TAS根据${\phi _i} = \arctan \frac{{{y_i} - {y_0}}}{{{x_i} - {x_0}}}(1 \le i \le n)$依次计算候选者与用户U在t_i时刻相对于其初始t₀时刻运动轨迹变化的角度ϕ_i，则用户U的运动轨迹T_U和候选者的运动轨迹T_C分别为${T_U} = \{ ({x_0}, {y_0}, {t_0}), \left\langle {({\phi _1}, {t_1}), ({\phi _2}, {t_2}) \cdots \left( {{\phi _n}, {t_n}} \right)} \right\rangle \} $和${T_c} = \{ ({x_0}^c, {y_0}^c, {t_0}^c), \left\langle {({\phi _1}^c, {t_1}^c), ({\phi _2}^c, {t_2}^c) \cdots \left( {{\phi _n}^c, {t_n}^c} \right)} \right\rangle \} $.

步骤3   TAS根据轨迹相似性公式${\sigma ^2} = {\left( {\frac{{\sum\limits_{i = 1}^n {\frac{{{\phi _i}^c - {\phi _i}}}{{2\pi }}} }}{n}} \right)^2}$计算出候选者移动轨迹T_C和移动终端用户U运动轨迹T_U的相似度σ².

步骤4  循环步骤1~步骤3，计算其余所有候选者的运动轨迹与用户U运动轨迹的相似度，挑选出轨迹相似度最小的候选者作为最优候选者，若存在多个并列最小相似度，则根据欧式距离公式

$ {\rm{ dis }}({T_U},{T_i}) = \frac{{\sum\limits_{i = 1}^n {\sqrt {{{({x_U} - {x_i})}^2} - {{({y_U} - {y_i})}^2}} } }}{n} $

选取距离用户U较远的一个候选者作为最优候选者.

3.4 代替查询的位置服务算法请求阶段

挑选出的最优相似运动轨迹候选者替代用户U发起LBS服务请求，具体服务请求步骤如下.

步骤1  用户U通过广播获取附近可通信范围内候选者匿名身份m₁={PID_C¹, PID_C², …, PID_C^k－1}；随机选择ω∈Z_q^*，计算${Q_{{\rm{LBS}}}} = \left\langle {{H_1}({\rm{I}}{{\rm{D}}_{{\rm{LBS}}}}), {c_1} = \omega P, {m_1} \oplus {H_3}(e{{(Q, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}})}^\omega })} \right\rangle = \left\langle {E, F} \right\rangle $和${c_2} = \left\langle {\omega P, {m_2} \oplus {H_3}(e{{(Q, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}})}^\omega })} \right\rangle $，其中ID_LBS表示LBS服务器的身份标识，m₂={L_U, M_U, K_s}，L_U表示用户的位置，M_U表示查询内容，K_s表示用户与LBS服务器的会话秘钥，PK_LBS=r_LBSsP表示LBS服务器的公钥；然后发送数据包MEG_UoN={c₁, c₂}给TAS.

步骤2   TAS接收到请求后，首先随机选择i∈Z_q^*，并计算I=iZ和r=ip；然后，TAS发送消息$\{ {t_1}, I, {H_2}(r\left\| {{\rm{IDanon}}} \right\|{t_1})\} $给用户U，其中t₁表示时间戳，ID_anon表示TAS服务器的身份标识.

步骤3  用户U接收TAS发送的消息后，计算R=Id_i后，检验${H_2}(R\left\| {{\rm{I}}{{\rm{D}}_{{\rm{anon}}}}} \right\|{t_1})\mathop {{\rm{ }} = }\limits^? {H_2}(r\left\| {{\rm{I}}{{\rm{D}}_{{\rm{anon}}}}} \right\|{t_1})$是否成立，若成立，则发送$\{ {t_2}, {H_2}(R\left\| {{\rm{I}}{{\rm{D}}_{{\rm{anont}}}}} \right\|{t_1}\left\| {{t_2}} \right.)\} $给TAS，其中t₂表示时间戳.

步骤4    TAS收到消息后，验证${H_2}(R\left\| {{\rm{I}}{{\rm{D}}_{{\rm{anon}}}}} \right\|{t_1}\left\| {{t_2}} \right.){\rm{ }}\mathop = \limits^? {H_2}(r\left\| {{\rm{I}}{{\rm{D}}_{{\rm{anon}}}}} \right\|{t_1}\left\| {{t_2}} \right.)$，若成立，计算$F \oplus {H_3}\left( {e\left( {{\rm{S}}{{\rm{K}}_{{\rm{anon}}}}, E} \right)} \right)$，即获得消息m₁；根据消息m₁提取所有候选者属性矩阵信息，利用相似轨迹算法挑选出一定时间间隔内的最优候选者B, 随机选择β∈Z_q^*，计算${Q_B} = {H_1}({\rm{ PI}}{{\rm{D}}_B}), {c_3} = {\rm{ }}\left\langle {\beta P, {m_3} \oplus {H_3}(e{{({Q_B}, P{K_B})}^\beta })} \right\rangle $；然后发送数据包MEG_NoB={c₂, c₃}给最优候选者B，并告之替代用户U发起LBS请求，其中m₃={PID_U}，PK_B=r_BsP为用户B的公钥.

步骤5  最优候选者B收到消息后，计算$，获取消息m₃，其中SK_B=r_BsQ_B为最优候选者B的私钥，然后发送数据包MEG_UoN={c₂}给LBS服务器.

步骤6    LBS服务器收到消息后，首先通过计算${m_2} \oplus {H_3}(e{({Q_{{\rm{LBS}}}}{\rm{, P}}{{\rm{K}}_{{\rm{LBS}}}})^\omega } \oplus {H_3}(e({\rm{P}}{{\rm{K}}_{{\rm{LBS}}}}, \omega P))$获取消息m₂，然后根据m₂获取查询请求结果m₄={MG}，最后发送数据包MEG_SoB={En_Ks(m₄)}给最优候选者B，其中En_K()表示对称加密函数，MG为LBS服务查询的请求结果.

步骤7   最优候选者B收到消息MEG_SoB={En_Ks(m₄)}后，对用户U的身份进行验证，若通过验证，发送数据包MEG_BoU={En_Ks(m₄)}给用户U；否则终止服务.

步骤8  用户U接收到信息MEG_BoU={En_Ks(m₄)}后，解密获取查询结果MG.

4 方案分析

主要从方案的正确性和安全性2个方面进行分析.

4.1 正确性分析

证明过程包括用户与TAS、用户和用户以及用户和LBS服务器之间消息加密与解密的正确性，即消息m₁、m₂和m₃加密和解密的正确性.

1) 已知用户U利用TAS公钥将通信范围内候选者匿名身份信息m₁变换为密文消息c₁.其中密文${c_1} = \left\langle {\omega P, {m_1} \oplus {H_3}(e{{(Q, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}})}^\omega }){\rm{ }}} \right\rangle {\rm{ }} = \left\langle {E, F} \right\rangle {\rm{ }}$，TAS收到密文消息后，利用私钥SK_anon，通过计算$F \oplus {H_3}(e({\rm{S}}{{\rm{K}}_{{\rm{anon}}}}, E))$获得明文m₁，证明如下：

$ \begin{array}{*{20}{c}} {F \oplus {H_3}(e({\rm{S}}{{\rm{K}}_{{\rm{ anon }}}},E)) = F \oplus {H_3}(e(sQ,\omega P)) = }\\ {F \oplus {H_3}(e{{(Q,sP)}^\omega }) = }\\ {F \oplus {H_3}(e{{(Q,{\rm{P}}{{\rm{K}}_{{\rm{ anon }}}})}^\omega }) = {m_1}} \end{array} $

2) 已知用户U利用LBS服务器公钥将其请求服务的数据信息m₂变换为密文消息c₂，则密文信息$ {c_2} = \left\langle {\omega P, {m_2} \oplus {H_3}(e{{({Q_{{\rm{LBS}}}}, {\rm{P}}{{\rm{K}}_{{\rm{LBS}}}})}^\omega }){\rm{ }}} \right\rangle {\rm{ }} = \left\langle {\phi , \eta } \right\rangle {\rm{ }}$，LBS收到密文消息后，利用私钥SK_LBS=r_LBSsQ_LBS，通过计算$获得明文消息m₂，证明如下：

$ \begin{array}{*{20}{c}} {\eta \oplus {H_3}(e({\rm{S}}{{\rm{K}}_{{\rm{LBS}}}},\phi )) = \eta \oplus {H_3}(e({r_B}{S_{{\rm{LBS}}}},\omega P)) = }\\ {\eta \oplus {H_3}(e({r_{{\rm{LBS}}}}s{Q_{{\rm{LBS}}}},\omega P)) = }\\ {\eta \oplus {H_3}(e{{({Q_{{\rm{LBS}}}},{r_{{\rm{LBS}}}}sP)}^\omega }) = }\\ {\eta \oplus {H_3}(e{{({Q_{{\rm{LBS}}}},{\rm{P}}{{\rm{K}}_{{\rm{LBS}}}})}^\omega }) = {m_2}} \end{array} $

3) 已知用户U利用最优候选者B的公钥pK_B将其假身份m₃变换为密文消息c₃，则密文消息$，最优候选者B收到密文消息后，利用私钥SK_B=r_BS_B=r_BsQ_B，通过计算$\eta \oplus {H_3}(e({\rm{S}}{{\rm{K}}_{{\rm{LBS}}}}, \phi ))$获得明文消息m₃，证明如下：

$ \begin{array}{*{20}{c}} {T \oplus {H_3}(e({\rm{S}}{{\rm{K}}_B},Z)) = T \oplus {H_3}(e({r_B}{S_B},\beta P)) = }\\ {T \oplus {H_3}(e({r_B}s{Q_B},\beta P)) = }\\ {T \oplus {H_3}(e{{({Q_B},{r_B}sP)}^\beta }) = }\\ {T \oplus {H_3}(e{{({Q_B},{r_B}{S_B})}^\beta }) = }\\ {T \oplus {H_3}(e{{({Q_B},{\rm{P}}{{\rm{K}}_B})}^\beta }) = {m_3}} \end{array} $

综上，所述方案的加密与解密的过程是正确的.

4.2 安全性分析

从匿名性、不可伪造性和抵抗查询服务跟踪3个方面进行安全性分析.

4.2.1 匿名性

定义1  匿名游戏

步骤1  攻击者发起询问获取系统参数{G₁, G₂, e, k, n, P, PK_anon, Q, H₁, H₂, H₃}和必要的参数信息；

步骤2  攻击者选取2个完全不同的信息m_b和m_1－b作为用户U₁与U₂的身份信息；

步骤3  选取随机位b∈{0, 1}，然后将m_b和m_1－b发送给U₁和U₂ 2个用户，b对于攻击者是非公开的；

步骤4   可信匿名服务器分别为U₁和U₂寻找出最优候选者B₁与B₂，并把加密后的身份信息c_b和c_1－b发送给最优候选者B₁与B₂；

步骤5   如果B₁和B₂收到的加密信息c_b和c_1－b分别与信息m_b和m_1－b相对应，则将c_b与c_1－b按照随机顺序发送给攻击者A；否则，返回攻击者⊥；

步骤6  若攻击者A对c_b进行解密运算后能够输出消息m′_b=m_b，则攻击者赢得这场游戏.

定义攻击者赢得游戏的优势为Adv(A)=|Pr[A]|，其中Pr[A]表示攻击者A能够输出消息m′_b=m_b的概率，即攻击者能够获取到用户身份信息的概率.

定理   假设在轨迹隐私保护方案中攻击者A在匿名游戏中以可以忽略的概率赢得游戏，则该方案满足匿名性.

证明   若攻击者A作为定理1中匿名游戏的攻击者在步骤5中收到⊥，则表明攻击者A未获取任何有用的信息；考虑另一种情况，假设攻击者A获取2个加密后的数据包${M_{{\rm{NoB1}}}} = {\rm{ }}\{ cb\} 和{M_{{\rm{NoB}}}}_2 = \{ {c_{1{\rm{ }} - b}}\} $.其中${c_b} = \left\langle {\upsilon P, {m_b} \oplus {H_3}(e{{({Q_{B1}}, {\rm{P}}{{\rm{K}}_{B1}})}^\upsilon })} \right\rangle , {c_{1{\rm{ }} - b}} = {\rm{ }}\left\langle {\zeta P, {m_{1{\rm{ }} - b}} \oplus {H_3}(e{{({Q_{{B_{1{\rm{ }} - b}}}}, {\rm{P}}{{\rm{K}}_{{B_{1{\rm{ }} - b}}}})}^\zeta })} \right\rangle .{\rm{ }}\upsilon \in Z_q^*{\rm{、}}\xi \in Z_q^* $为可信匿名服务器生成的随机数，pK_B1和pK_B2分别为用户B₁和B₂的公钥.

假设攻击者私钥为SK_Attack=r_Attacks_AttackQ_Attack，攻击者试图通过解密密文${c_b} = \left\langle {\upsilon P, {m_b} \oplus {H_3}(e{{({Q_{{B_1}}}, {\rm{P}}{{\rm{K}}_{{B_1}}})}^\upsilon })} \right\rangle $获取用户的身份信息m_b，则需求解H₃(e(Q_B1, pK_B1)^υ)，对于攻击者A来说，Q_B1和pK_B1均为已知参数，因此，攻击者A可以使得Q_Attack=Q_B1，r_Attacks_AttackP=pK_B1，然后，计算H₃(e(Q_Attack, r_Attacks_AttackP)^υ′).若最终可以使得H₃(e(Q_Attack, r_Attacks_AttackP)^υ′)=H₃(e(Q_B1, pK_B1)^υ)，需满足υ′=υ.由于随机数υ满足λ_b=υP，而求解随机数υ等价面临求解椭圆曲线离散对数的难题，其在计算上是不可行的.因此攻击者A赢得游戏的概率为Adv(A)=|Pr [A]|可忽略不计，即该方案满足匿名性.

4.2.2 不可伪造性

定理  在随机预言模型中，若攻击者A能够在多项式时间内冒充TAS伪造用户注册信息，则表明计算性Diffie-Hellman难题(CDHP)能够在多项式时间内以不可忽略的概率被解决.

证明  假设攻击者A能够在多项式时间内能够以不可被忽略的概率解决计算性Diffie-Hellman难题(CDHP)，即攻击者A能够在多项式时间内以不可被忽略的概率求出所必需的参数s，最终使得等式$e({S_U}, P){\rm{ }}\mathop = \limits^? e({\tilde Q_U}, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}}){\rm{ }}$成立.

初始化阶段：设挑战者C拥有(P, sP)，并为攻击者A提供系统参数：{G₁, G₂, e, k, n, P, PK_anon, Q, H₁, H₂, H₃}，其中PK_anon=sP，而s为TAS随机生成的随机数，相对于挑战者C是未知的；攻击者A向挑战者C请求随机预言机H₁的随机性应答，同时保持一致性，以避免产生冲突，C保持一个请求-应答列表，以便存储请求的应答.

预言机查询阶段：C能通过随机预言机H₁为攻击者A提供预言机查询，并提供相应的请求-应答参数.

攻击者A进行随机预言机H₁查询，并获取哈希值，具体过程如下.

H₁请求：A向C请求身份ID_i的哈希值，C检测请求-应答列表L_I是否存在ID_i∈L_I；

如果ID_i∈L_I，则将相应的应答发送给A；否则随机选择τ_i∈Z_q^*，计算H₁(ID_i)，并将(τ_i, H₁(ID_i))发送给A，然后把该请求-应答存储到列表L_I，则相应的S_IDi =τ_iH₁(ID_i)是易得的.

伪造性和问题的解决：攻击者A冒充TAS伪造用户注册信息，由于攻击者A无法获取TAS随机生成的随机数s，则无法计算出S_U进而使等式$e({S_U}, P){\rm{ }}\mathop = \limits^? e({\tilde Q_U}, {\rm{P}}{{\rm{K}}_{{\rm{anon}}}}){\rm{ }} $成立.如果攻击者A试图获取随机数s，则需通过TAS的公钥信息(P, PK_anon)和PK_anon=sP推导随机数s，即面临计算性Diffie-Hellman难题(CDHP)，即攻击者A不能够在多项式时间内以不能忽略的概率解决计算性Diffie-Hellman难题，即方案能够满足不可伪造性.

4.2.3 抵抗查询服务跟踪

本文方案中，在发起LBS服务请求过程中，发起者由最优候选者代替发起LBS服务查询，故在LBS服务器的查询记录信息是有关最优候选者的查询信息和身份信息；同时，由于用户移动轨迹上不同时间间隔内连续请求的最优候选者是不同的，攻击者无法通过不同时刻匿名区域用户集交集来推断其存在的关联性.设用户在移动轨迹上联系查询的次数为m，每次参入请求的候选者个数为n_i，其中1≤i≤m，由于每次查询过程中最优候选者不同，即不同匿名区域候选者相互独立.设攻击者根据PID_U求解d_i的概率为P(PID_U)，截取用户U和候选者之间的通信，并解密消息的概率为P(∅)，假设攻击者获取MT用户向TAS注册请求消息，那么连续查询过程中实现用户追踪的概率$P = \prod\limits_{i = 1}^m {\frac{1}{{{n_i}}}} P\left( \partial \right){\rm{ }} \times P({\rm{PI}}{{\rm{D}}_U}).P\left( \partial \right)$等价于破解椭圆曲线密码体制，在计算上不可行. P(PID_U)等价于已知PID_U，根据等式PID_U=D^Td_i求解d_i，而D是TAS随机选取的一个n维列向量，求解d_i的概率可忽略，同时线性方程组χd_i=ρ有无穷解，攻击者也无法通过矩阵方程确定d_i.综上分析，攻击者获取请求者真实身份的概率可忽略，即攻击者无法通过连续查询记录追踪候选者，进而确定发起者的真实身份.

5 仿真结果

仿真实验环境为：Windows7 64位操作系统，Intel i5处理器，4G内存，移动对象生成器Thomas Brinkhoff和Matlab仿真工具.假设该实验在一个网络理想化的环境内进行，通过Thomas Brinkhoff生成大量移动对象的轨迹数据，随机选取某一移动对象作为发起者，通过相似轨迹求解算法和代替查询算法来实现用户轨迹的混淆，从而保护用户的轨迹隐私.与本文方案相比较的有基于随机生成虚假轨迹的方案(Random Scheme)、文献[11]和[16]的方案以及理论上最优的方案.为了保证实验结果的准确性，以下所有的实验结果均为1000次运行的平均值.如图 2所示，在候选者个数K相同的情况下，文献[11]方案的相似度效果最差，因为文献方案在生成虚假轨迹时只考虑了用户在每一次停顿后继续行进的方向问题，而未考虑虚假轨迹的地图背景信息，文献[16]次之.因为在生成虚假轨迹时考虑了用户行动模式和轨迹相似性特征，而且根据虚假轨迹上位置的背景信息做出了合理的调整，从而提高了轨迹相似度.本文方案通过轨迹采样，然后根据轨迹相似性函数选择相似轨迹，由于该方案在较短的时间间隔内进行候选轨迹采样，候选轨迹很短，轨迹相似程度高于文献[16]的方案.

在轨迹段点数一定的情况下，处理时间随着候选者个数的增加而增加，实验结果如图 3所示.原因在于：当增加用户候选者个数或者轨迹段内点数时，由于用户需要匹配一定范围内更多的候选者用户，需要增加一定的时间开销.同时，在候选者K一定的情况下，算法执行时间随着轨迹段的点数N的增加而增加.例如，当候选者K=5时，轨迹段的点数N从2增加到10，算法的执行时间从19ms增加到41ms，这表明处理时间与轨迹段上点的数量成正比.因此，寻找最优相似轨迹的总时间随着候选用户个数K和轨迹段上点数N的增加而增加.需要注意，本文方案在实际应用场景中需要满足候选用户个数K≥2和轨迹段上的点数N≥2的条件.如果轨迹段上的采样点数N=1，那么该轨迹段由该采样点来替代，显然，一个点无法确定轨迹段的相似性，故本方案无法适用.如果请求用户所在环境过于稀疏，如K=0，周围无候选者能够替代用户请求服务；若K=1，即只有一个候选者，无需使用轨迹相似性函数选择最优候选者，直接替代用户请求服务，攻击者是可以通过候选者的连续查询进行跟踪来获取发起者的有关隐私信息.

当轨迹段的点数N一定，候选者K的变化对算法执行时间的影响如图 4所示.其中，由于随机生成虚假轨迹方案未考虑其他任何信息，故执行效率高，但通过安全分析，用户隐私的保护程度是最低的.由于文献[16]方案考虑了用户行动模式、虚假轨迹的有效性以及虚假轨迹相关位置的背景信息等因素，故在对虚假轨迹生成和选择时需要更多种的可能遍历和检验，使得算法执行时间相对较长.在本方案中，只是通过现有轨迹的采样，而不需要轨迹的生成，而且只需要通过相似轨迹函数选取最优的相似轨迹，无需考虑其他因素，故本文方案的执行时间效率优于文献[16]方案和随机生成选择方案.

6 结束语

针对基于位置服务中移动终端用户位置隐私泄露问题，提出了一个基于相似轨迹代替查询的轨迹隐私保护方案.本方案在LBS服务请求中的用户及候选者身份匿名化的基础上，采用相似轨迹函数挑选最优相似轨迹候选者替代真实用户进行LBS服务请求，从而实现了用户的真实身份信息、位置轨迹以及查询内容的隐私性保护.通过对方案安全性分析，该方案能够满足匿名性、不可伪造性以及抵抗连续查询攻击.最后从候选者与请求用户相似度、方案候选者个数和轨迹段的点数对算法所需时间的影响以及算法的执行效率3个方面进行仿真实验，实验结果表明，本方案所选最优候选者与真实用户在一定时间间隔内轨迹相似程度明显优于其他方案.因此，该方案对基于位置服务中移动用户的位置隐私保护有着重要的理论意义和应用价值.