周红亚，张 倩

(南京邮电大学 计算机学院，江苏 南京 210000)

基于非可信用户的P2P加密位置隐私保护

周红亚，张 倩

(南京邮电大学 计算机学院，江苏 南京 210000)

近年来，随着移动互联网及智能移动设备的飞速发展，位置服务给人们的生活带来了极大的便利，但是，用户的位置隐私也受到了极大的威胁。文中从LBS位置隐私保护的实际应用出发，根据现有的位置隐私保护模型，分析不同LBS隐私保护的系统结构的优缺点，介绍了在移动分布式P2P结构的构造方法，提出了基于非可信用户的P2P加密位置隐私保护方案。该方案建立在所有角色都不可信的基础上，通过使用将位置隐私和用户隐私分开处理的方式及采用加密的方法来保护用户的隐私。该方案能提供精确地理位置服务，获得精确查询结果的同时还能抵御各种恶意角色攻击，包括恶意邻居节点、恶意LBS服务器、两者的合谋攻击以及连续查询攻击和区域密度攻击，有效地保护了用户的隐私信息。

位置请求服务器；隐私保护；用户协作；加密

1 概 述

近年来，智能手机的大范围普及以及移动通讯4G技术带来大幅提升的通讯带宽推动了我国互联网使用方式由“固定端”迅速迈向“移动端”。在移动互联网中，基于位置服务的移动设备的位置信息为用户提供了与其地理位置相关的服务。随着移动互联网的不断演化，更多的社交因素以及移动用户自身产生的查询内容已经加入到基于位置的服务中。因此对于基于位置服务LBS的定义，在移动互联网环境中有了更加丰富的内容：即移动用户通过发送自身的位置信息来使用某种类型的服务，并在使用服务的同时与其他移动用户进行与该位置相关的互动行为[1]。

近年来，在移动互联网中各种类型的基于位置的服务如雨后春笋般出现，并得到了充分的推广。最基本的服务往往是跟移动用户的日常生活息息相关的。例如之前十分吸引眼球的打车软件大比拼，即“快的打车”和“滴滴打车”两大打的软件相互竞争，它们所提供的服务就是将移动用户的精确位置发送给周边的出租车终端，从而促成打车行为的发生。另外，基于位置的服务在商家定向投放广告上也大放异彩，例如“大众点评网”移动客户端软件便可通过获取移动用户的精确位置信息，帮助商家吸引用户前来消费，即向位置距离不远的移动用户投放电子代金券或者打折信息等。再次，在公共安全领域各类基于位置服务也起到了非常重要的作用。例如互联网公司360便开发了一款针对儿童的定位手机，该手机会按一定时间段向家长的手机发送其所在的地理位置，用来应对不法分子绑架儿童案件的发生。当发生火灾、地震等自然灾害时，消防人员可使用移动用户的确切位置来进行救援。最后，随着移动互联网的不断发展壮大，越来越多的社交网络开始移动化，并提供丰富多彩的基于位置的社交手段。这类基于位置的服务的特点就是利用移动用户精确的位置信息来展开社交活动，不仅增强了社交活动的趣味性，也大大提高了社交活动的针对性。包括腾讯的“微信”、阿里巴巴的“来往”以及网易的“易信”等都是国内移动社交网络软件的佼佼者，又如国外的“Facebook”和“Twitter”更是移动社交软件的领导者。可以说移动互联网促进了基于位置服务的不断发展，反之基于位置的服务也促进了移动互联网的持续进步[2]。

随着基于移动位置的服务的不断发展,移动用户在使用这些位置服务时,可能面临着各种隐私泄露的威胁[3]。在基于位置的服务中，隐私数据可以是相关的时间和空间信息，可以是查询请求中所涉及到的医疗或者金融信息，也可以是能推断出用户的运动模式、兴趣爱好等个人隐私信息。而位置隐私威胁是指攻击者在没有经过授权的情况下，通过对移动设备的定位和对传输通道的窃听等方式获取用户的位置隐私信息[4]。比如：通过获得的位置信息向移动用户散播恶意广告，获取用户的医疗信息、生活方式或者政治观点，也可通过获得用户访问过的地点推出用户曾去过的医院、娱乐中心等信息。

2 相关技术

移动互联网中基于地理位置的服务是与移动用户所处的空间位置息息相关的个性化服务。该服务的基础是移动用户向移动互联网的基于位置服务提供商(Location-based Service Provider，LSP)提供其空间位置。用户的空间位置是通过移动设备定位技术、无线通讯技术等多种技术协同合作计算出来的，不仅包括最常见的二维空间位置信息，也可以包含三维立体坐标信息[5]。移动用户使用基于地理位置服务的流程一般可以分为三步：

(1)用户通过定位设备得到其所在的地理位置信息；

(2)移动用户将其位置信息和所需的查询请求一同发给基于位置的服务提供商；

(3)基于位置的服务提供商依据用户的位置查询服务请求，并将结果反馈给移动用户。

目前移动位置隐私保护的体系结构主要有三种：客户端服务器体系结构、可信第三方体系结构和移动点对点体系结构[6]。在客户端服务器体系结构中，用户只能通过对自己的位置进行相应的匿名工作，从而保护移动用户的隐私信息。而可信第三方体系结构引入了可信的第三方位置匿名服务器，该匿名服务器主要负责接收移动用户的位置和请求信息，按指定的算法完成用户信息的匿名工作。在移动点对点体系结构中，各移动用户之间相互信任，相互协作，各自分享信息，得到满足要求的匿名空间。

2.1 客户端服务器体系结构

客户端服务器体系结构是一种C/S结构，是位置隐私保护系统初期的一种结构，只包含移动用户与位置服务提供商[7]，如图1所示。

图1 客户端服务器体系结构

在该体系结构中，移动用户拥有自定位的功能，并根据隐私需求，将自己的位置信息匿名。该体系结构的处理流程为：移动用户通过产生n个假地址或将自身所在的地理位置进行模糊化匿名处理，生成匿名区域，并将该模糊区域以及服务请求一起发送给位置请求服务器(LBS)，LBS对其进行查询，并将结果集返回，移动用户按照自身的地理位置对LBS返回的结果筛选求精，获得真正所需的结果[8]。对于该体系结构的研究工作主要分为：假地址、假数据[9]、匿名空间[10]等等。

客户端服务器体系结构具有结构简单、易于扩展、易于配置等优点，但是缺点也很多，该结构需要移动终端拥有较强的计算能力和足够的存储空间，而这将使移动终端的负担加重。另外，这种匿名方式因为缺少辅助设备,对周围的环境考虑不多,使得匿名的质量很差,很容易遭受数据挖掘等技术的威胁。例如，移动用户生成的匿名空间内只有自己时，位置隐私仍然会泄露。

2.2 可信第三方体系结构

目前大部分的研究都是基于可信第三方服务器体系结构实现的。该体系结构是在移动用户和LBS服务器中间增加一个可信的第三方位置匿名服务器，来帮助移动用户实现位置的匿名、查询结果的过滤求精。该体系著名的算法包括Ghinita提出的PRIVE[11]算法以及Mokbel提出的New Casper算法[12]等。中心匿名服务器需要完成：

(1)接收和更新移动用户的位置信息;

(2)按照移动用户的个性化隐私参数将用户的精确位置信息转换为匿名区域;

(3)对LBS服务器返回的候选服务集合进行筛选求精，并将结果返回给移动用户进行显示。

中心匿名服务器如图2所示。移动用户提出基于位置感知的查询请求，并把自身准确的位置信息和查询内容发送给第三方匿名服务器，第三方匿名服务器按照相应的匿名算法，形成一个满足k-匿名的区域，并将该匿名区域发送给LBS服务器；LBS服务器按照所接收到的匿名区域，查询符合用户条件的候选结果集，并将所获得的结果集全部发送给第三方中心匿名服务器；第三方中心匿名服务器按照缓存在其中的用户的真实位置，挑选合适的结果，并把结果返回给移动用户。

图2 可信第三方体系结构

引入可信第三方中心匿名服务器能降低移动客户端的负载，在提高移动用户位置隐私信息安全性的同时也拥有较高的位置服务质量。但是可信第三方中心匿名服务器体系结构仍存在许多不足之处：

(1)第三方匿名服务器需要处理大量的用户位置信息，是联系用户与LBS服务器的桥梁，极其容易出现系统瓶颈。若请求频繁，将影响用户的体验，而且匿名服务器是整个系统的命脉，一旦出现任何问题，都会使整个LBS系统崩溃。

(2)第三方匿名服务器被认为是可信的，其中记录了用户大量的位置查询信息和查询历史，当位置匿名服务器受到攻击或者其本身变得不可信，用户的隐私信息将遭到严重的泄露。

2.3 移动P2P点对点体系结构

为了消除可信第三方服务器结构中匿名服务器存在的威胁,P2P点对点体系结构被提出。移动P2P点对点体系结构(见图3)由移动查询请求用户、移动邻居节点和LBS服务器组成，其中的移动请求用户和邻居节点相互协作、相互分享信息，可以像移动Ad Hoc网络通讯一样进行直接传输。C.Chow等提出了一个基于LBS的移动点对点体系结构[13]。该体系结构中的每一个移动用户都能够直接与LBS服务器以及周围的邻居用户进行通信。每个移动用户之间彼此信赖、彼此协作来完成匿名工作。在移动P2P点对点体系结构中，移动客户端具有较强的计算能力以及较高的存储能力，能通过加密等措施完成自身的匿名工作，成功避免了可信第三方匿名服务器因过多的请求操作而带来的系统瓶颈以及容易成为攻击目标等缺点，与此同时又很好地利用了周边的环境，提高了位置匿名的强度。然而移动P2P点对点结构拥有上述优点的同时也具有以下不足之处：

(1)节点与节点之间是相互信任的，一旦存在恶意的邻居节点，恶意邻居节点将获得请求用户的位置及查询信息，移动用户的位置隐私信息将无法获得保障。

(2)移动用户的匿名加密以及对查询结果的筛选求精依然是由移动客户端来完成，这要求移动客户端具有较高的存储能力和计算能力，而且会给移动用户带来极大的网络通讯资源的消耗。

图3 P2P点对点体系结构

3 基于非可信用户的P2P加密位置隐私保护方案

基于P2P点对点的位置隐私保护方法虽然消除了可信第三方中心服务器结构中的系统瓶颈以及避免成为集中攻击点的弱点，但该方案都是在所有用户是可信的前提下进行的。如果移动邻居节点中有一个或多个恶意节点，他们成为攻击者，那么在构建匿名区域时，用户的位置隐私将遭受极大的威胁，因此另一种基于用户合作的混合网络k匿名机制[14]被提出。该机制采用了有线传输网络中进行匿名通讯的思想，使用了将数据包进行分片处理，采用对称加密算法对数据包片端加密，添加唯一标识，将数据片段随机转发等技术来保证移动用户的隐私安全。该方法虽然通过对查询请求进行加密解决了邻居节点不可信的问题，但是仍有以下问题需解决：

(1)移动查询请求用户和LBS服务器之间仍采用事先协商好的对称密钥来对查询请求进行加密，并且密钥在整个通信过程中是唯一不变的，若移动用户一不小心泄露了对称密钥或LBS服务器遭攻击者攻击而导致密钥被破解，那么所有的数据都将被攻击者获取并且通过解密获得用户的隐私信息，从而泄露用户的隐私。

(2)该模型成立的前提是LBS服务器是可信的，因为对称密钥是提前协商一致并在整个通信过程中保持不变的，LBS服务器可通过对对称密钥的识别来获知查询用户的id，并通过对其请求信息进行解密获得请求用户的查询内容和位置信息，此时LBS服务器知道了该请求用户的用户信息、位置信息以及查询内容，因此该方案在LBS服务器不可信的情况下不适用。

3.1 算法描述

文中将对称、不对称混合的加密方法融入位置隐私保护方法，即基于混合加密的非可信用户位置隐私保护方案，采用的系统架构是移动P2P点对点体系结构[15]。基于非可信用户的P2P加密位置隐私保护方法实现了将位置隐私和查询隐私进行分开处理，并运用密码学的知识来保护移动用户的隐私。只有LBS服务器能够获得用户的具体位置，使用k匿名的保护方式使LBS服务器不能区分查询信息来源于哪个用户，从而保护了用户的查询隐私。

3.1.1 移动用户

(1)请求用户u∈邻居节点(Pj)，先利用gen_request()方法产生一个没有加密的查询请求M，该请求含有移动用户的具体位置信息、查询内容以及所需协助邻居节点个数k。

(2)用户u使用产生通用唯一识别码(UniversallyUniqueIdentifier，UUID)的方法来产生一个仅用于本次查询的唯一标识码mid，并用gen_mid()的方法返回。

(3)利用gen_random_key()随机产生用于本次查询的对称密钥key，使用对称密钥对查询请求进行对称加密算法SKA()加密，得到M1。

(4)利用服务器s的公钥SKpublic对对称密钥key进行公钥加密算法PKA()加密，得到M2。

(5)将加密请求M1和公钥加密后得到的M2组合形成Mu。

(6)根据移动用户设置的k的个数，将Mu分成k个消息片段{m1,m2,…,mk}。

(7)将k个数据片段分别加上相应的序号seqi、时间戳tmp以及用于此次查询的唯一标识符mid。

(8)将拼接好的k-1个消息片段随机发送给k-1个邻居节点，并在[0,tmp]时间内随机将自己所拥有的一个消息片段发送到LBS服务器。

(9)用户u收到LBS服务器的响应信息，用此次查询的对称密钥进行解锁，获得响应信息。

伪代码如下：

M=gen_request(location,content,k)

mid=get_mid()

key=gen_random_key()

M1={M}SKA(key)

M2={key}PKA(SKpublic)

Mu=M1+M2

{m1,m2,…,mk}=gen_random_frag(Mu)

Fragi=mid+seqi+mi

Fragu=get_random_frag(Fragi)

Tbegin=get_time()

Pj=get_peer()

Pj=send(Fragi)

random_delay(tmp)

S=send(Fragu)

PTSj=Pu

3.1.2 邻居节点

(1)邻居节点收到消息片段后，利用get_mid()获取消息标识符mid。

(2)查看自身的缓存，判断是否已经对该消息片段进行了处理。

(3)若已处理过，则直接将该片段转发给其他邻居节点。

(4)否则使用平均分布的随机函数来控制转发行为，邻居节点有1/2的机会转发给其他邻居节点，1/2的机会将消息片段发送给LBS服务器。

(5)若超时，将含该mid的消息片段丢弃。

(6)接收到来自LBS服务器的响应数据包，由于无法解密而将其丢弃。

伪代码如下：

Tbegin=get_time()

whileTend-Tbegin

mid=get_mid(Fragi)

ifmid==get_cache(mid)

Pj=get_peer()

Pj=send(Fragi)

Else

f=random(0,1)

iff> 0.5then

S=send(Fragi)

PTSj=Pj

else

Pj=get_peer()

Pj=send(Fragi)

3.1.3 LBS服务器

(1)接收来自不同用户的消息片段，通过get_mid()获取消息标识符mid。

(2)收集来自该mid的消息片段，通过时间戳判断是否超时，若在时间戳内消息片段的个数达到k，将该k个消息片段按序号seqi进行组合拼接得到Mu，否则将所有含该mid的消息片段丢弃。

(3)LBS服务器开始解析用户请求内容，提取出对称加密请求M1和公钥加密后得到的M2。

(4)对于M2，LBS服务器通过自己的私钥对其进行解密获取对称加密过程中所使用的对称密钥key。

(5)用对称密钥key对M1进行解密获取用户的查询请求，并对查询请求进行完整性校验，以防信息被篡改。

(6)LBS服务器根据查询请求内容查询数据库得到查询结果Mr。

LBS服务器将查询结果用相同的对称密钥key加密，并将响应结果发送给相应的用户。

伪代码如下：

Tbegin=get_time()

whileTend-Tbegin

mid=get_mid(Fragi)

whilecount(mid)==k

mi=get_mi(Fragi)

Mu=get_unite(m1,m2,…,mk)

M1=get_M1(Mu)

M2=get_M2(Mu)

key=decrypt_M2(M2,SKprivate)

M=decrypt_M1(M1,key)

M'=gen_result(M)

Mr=mid+{M'}SKA(key)

PTSj=send(Mr)

3.2 性能分析

通讯过程中的可靠性表现以及性能表现是LBS位置隐私保护能否实现的重要因素，这当中包含在移动用户通讯过程中所需的计算代价以及所需消耗的带宽流量。基于非可信用户的P2P加密位置隐私保护方案是属于分布式移动点对点体系结构，比起基于可信第三方位置匿名服务器的隐私保护体系结构，移动终端的计算量会比较大，以及对存储能力的要求也比较高，这是由于缺少位置匿名和结果求精的第三方服务器导致的，因此两者存在一定共性。

对于通讯代价，基于非可信用户的P2P加密位置隐私保护方案需要去寻找邻居节点，所以在带宽消耗上较大，而在可信第三方中心服务器体系中，由于移动用户的不断移动，不断更新自己的位置，同样导致带宽流量的消耗。对于计算代价，前者主要体现在加解密的运算上，而后者则在生成匿名区域上有所消耗。且前者采用的是精确的地理位置，使得查询速度较快，而后者是将移动用户精确的地理位置模糊化处理，使其成为一个圆形或矩形匿名区域，然后对数据库进行模糊查询。对于所得到的查询结果还需进行筛选求精，查询与筛选过程中所需的计算代价也很大，且得到的最终查询结果也不一定是最优的。因此，基于非可信用户的P2P加密位置隐私保护方案虽然占用带宽流量大，但是其服务器计算压力下降且服务质量有所提高。

3.3 安全性分析

在基于可信第三方的位置隐私保护中，所选的第三方位置匿名机构是否可信是位置隐私保护中极为关键的。但是随着近年来一些第三方机构丑闻事件的陆续曝光，其权威性和独立性大打折扣。在移动分布式点对点体系结构中，假设所有邻居节点都是可以信任的，但是在现实社会中，往往这些邻居节点是十分不可信的。而在Ardagna等提出的方法中也是事先假设LBS服务器是可信的，移动用户在LBS服务器上进行注册时事先协商好对称密钥，因此LBS服务器可以通过对称密钥来唯一识别出具体用户，分片信息经LBS汇总解密后，服务器将获得用户的位置信息及查询内容，导致服务器不可信。而基于非可信用户的P2P加密位置隐私保护模型是在系统中所有其他角色都是不可信的，且所有角色是可以进行合谋攻击的情况下提出的[16]。因此基于非可信用户的P2P加密位置隐私保护模型相对于其他隐私保护模型具有一定的优势。

(1)恶意邻居节点。

用户将所需要查询的消息经过分片后随机地发送给周围的邻居节点，邻居节点收到消息片段后，通过片段的mid判断该片段是否已经被处理，若未被处理，以一定的概率选择成为转发节点或成为协助发送节点。当该系统存在恶意的邻居节点时，每当恶意的邻居节点接收到一个消息片段，它无法区分该片段是由上一节点发出的还是转发的，无法追溯最原始的发送者，因此具有不可追溯性。

另外，由于将请求信息分成了k个片段，分别将其发送给k-1个邻居节点，每个邻居节点只能获取其中个别片段，通过个别的消息片段无法知道具体的查询内容，只有在极端的情况下可以获得所有片段，但由于请求信息使用的是LBS服务器的公钥加密的，因此恶意邻居节点仍然无法得到移动用户具体的请求信息。恶意邻居节点能够采取的最大的破坏行为是获取消息片段后不对其进行转发，使得LBS服务器无法获得完整的查询信息，使此次请求超时。

(2)恶意LBS服务器。

移动用户的查询请求中包含此次会话所使用的对称密钥key，而这部分查询请求是由LBS服务器的公钥加密的，只有LBS服务器自己拥有能用来解密请求信息的私钥，因此除查询请求用户以外LBS服务器是唯一一个能知道查询请求的地理位置和查询请求内容的。但是对于恶意的LBS服务器，查询内容是由k个不同的移动用户发送而来，其无法区分谁是具体的查询请求者。且对称密钥是由对称加密算法随机产生的一次性密钥，LBS服务器无法从对称密钥识别出具体用户，从而保证了用户的位置信息与具体用户的不可关联性。

(3)邻居节点与LBS服务器合谋攻击。

在某种极端情况下，邻居节点和LBS服务器都为恶意节点，用户的隐私才有可能被泄漏。即k-1个邻居节点均为恶意节点，他们获取消息片段后对其做相应标记后转发给LBS服务器，使LBS服务器识别出具体的查询请求者，并通过解密获得具体位置信息及查询内容，将其与具体请求者联系起来，造成用户的隐私泄漏。然而这种情况太极端，出现得概率非常低，基本上可认为这种情况不可能。首先攻击者必须能够控制LBS服务器，能对用户的请求进行解密并获取到具体的查询内容；其次攻击者必须能控制足够数量的邻居节点并对消息片段做区分标记，且得保证这些邻居节点刚好是转发此次查询的全部节点；最后，由于用户及周边的邻居节点是处于不断移动的过程中，攻击者能控制所有邻居节点的概率微乎其微。因此基于非可信用户的P2P加密位置隐私保护方案能抵抗LBS服务器与邻居节点的合谋攻击。

(4)连续查询攻击。

在移动P2P网络环境的LBS隐私保护算法中，通过构建k匿名区域达到保护用户位置隐私的目的，但攻击者可通过不断地对其产生的匿名区域进行求交集，从而知道提出连续查询请求的用户所在的位置。在基于非可信用户的P2P加密位置隐私保护方案中，邻居节点很有可能会成为协助发送节点。假如邻居节点没有选择成为协助发送节点就会对消息进行转发，且无需形成一个固定的区域，因此通过连续对用户的协助节点求交集是没有意义的。所以该体系结构能有效地抵抗连续查询攻击。

(5)空间区域密度攻击。

相对于k匿名隐私保护方法，通过使用匿名的空间来代替精确的位置，使移动用户位置模糊化，但是用户所在的地理位置肯定在匿名空间内，当该空间只有一个用户或满足一定的条件时用户的位置隐私将会被暴露。然而基于非可信用户的P2P加密位置隐私保护方案中对用户的精确位置进行加密，只有LBS服务器能对其进行解密获得查询内容及用户的地理位置，但是LBS服务器并不知道是谁在发送查询请求，因此该体系结构很好地保护了用户的隐私。

上述分析表明，基于非可信用户的P2P加密位置隐私保护方案建立在非可信模型的基础上不但可以抵御恶意邻居节点、恶意LBS服务器以及合谋攻击，还能抵御连续查询攻击和区域密度攻击，相比其他基于P2P网络环境的位置隐私保护更具有安全性，且消除了采用可信中心服务器的瓶颈及安全隐患问题。

4 结束语

文中在分析了LBS的位置隐私保护的特点、总结已有模型的不足及存在的问题后，在分布式移动点对点(P2P)的基础上，考虑到用户非可信及LBS服务器非可信的情况，对用户请求进行对称加密处理，并对对称密钥采用LBS服务器的公钥进行加密，分割后随机发送给邻居节点。对周围用户保证了位置及查询内容的不可见，保证了自己的隐私不会泄露给攻击者。在服务器端，尽管服务器可以通过解密知道用户的查询请求，但是这些请求是由k个用户发来的，LBS服务器无法区分这条请求具体是由哪个用户发出，从而达到保护用户隐私的目的。此外，通过性能分析说明该模型计算代价与通讯代价的消耗，并和已有模型进行比较。最后对该方案模型从恶意邻居节点、恶意LBS服务器、两者的合谋攻击以及在k匿名区域无法避免的连续查询攻击和区域密度攻击等方面进行安全性分析，突出了基于非可信用户的P2P加密位置隐私保护方案的安全性优势。

[1] 贾金营,张凤荔.位置隐私保护技术综述[J].计算机应用研究,2013,30(3):641-646.

[2] 彭志宇,李善平.移动环境下LBS位置隐私保护[J].电子与信息学报,2011,33(5):1211-1216.

[3] 黄 毅,霍 峥,孟小峰.CoPrivacy:一种用户协作无匿名区域的位置隐私保护方法[J].计算机学报,2011,34(10):1976-1985.

[4] 徐 娜,王 红,黄 雯.移动社会性软件中的位置隐私研究[J].计算机工程与设计,2010,31(17):3781-3784.

[5] 刘树栋,孟祥武.一种基于移动用户位置的网络服务推荐方法[J].软件学报,2014,25(11):2556-2574.

[6] 车延辙.基于位置服务中用户位置隐私保护关键技术研究[D].杭州:浙江大学,2013.

[7] 孟小峰,潘 晓.基于位置服务的隐私保护[J].中国计算机学会通讯,2010,6(6):16-23.

[8] 郭艳华.位置服务中轨迹隐私保护方法的研究[D].武汉:华中师范大学,2011.

[9] Kido H,Yanagisawa Y,Satoh T.An anonymous communication technique using dummies for location-based services[C]//Proceedings of international conference on pervasive services.[s.l.]:IEEE Computer Society,2005:88-97.

[10] Niu B,Li Q,Zhu X,et al.A fine-grained spatial cloaking scheme for privacy-aware users in Location-Based Services[C]//Proc of 23rd international conference on computer communication and networks.[s.l.]:IEEE,2014:1-8.

[11] Ghinita G,Kalnis P,Skiadopoulos S.PRIVE:anonymous location-based queries in distributed mobile systems[C]//Proceedings of international conference on world wide web.[s.l.]:[s.n.],2007:371-380.

[12] Mokbel M F,Chow C Y,Aref W G.The new casper:query processing for location services without compromising privacy[C]//Proc of the international conference on very large data bases.[s.l.]:[s.n.],2006:763-774.

[13] Chow C Y,Mokbel M F,Liu X.Spatial cloaking for anonymous location-based services in mobile peer-to-peer environments[J].Geoinformatica,2011,15(2):351-380.

[14] Ardagna C A,Jajodia S,Samarati P,et al.Privacy preservation over untrusted mobile networks[M]//Privacy in location-based applications.Berlin:Springer,2009:84-105.

[15] Sasi S B,Dixon D,Wilson J.A general comparison of symmetric and asymmetric cryptosystems for WSNs and an overview of location based encryption technique for improving security[J].IOSR Journal of Engineering,2014,4(3):1-4.

[16] Du Min,Wang Xiaoliang.P2P trust model of dynamic optimization for group competition based on entropy method[J].Computer Engineering & Applications,2012,48(17):123-128.

Location Privacy Preservation in Mobile P2P Encryption Based on Non-trusted Users

ZHOU Hong-ya，ZHANG Qian

(College of Computer,Nanjing University Posts and Telecommunications,Nanjing 210000，China)

In recent years,with the rapid development of mobile Internet and portable devices,location services has brought great convenience to people’s lives,but user privacy has also been a lot of threats.Based on the practical application of LBS location privacy protection,according to the existing location privacy protection model,it analyzes the pros and cons of the system structure of different LBS privacy in this paper,and briefly describes mobile construction method of distributed P2P architecture,then an encrypted location scheme of privacy protection for P2P based on non-trusted user has been put forward.The scheme builds on all the roles are not credible,through location on privacy and privacy of users be handled separately，and uses encryption method to protect users’ privacy.The program not only can provide a precise location for precise query results but also safeguard against different kinds of malicious attacks,including malicious neighbor nodes,malicious LBS servers,the two conspired to attack,continuous queries and regional density attack,which protect privacy of the user’s information effectively.

LBS;privacy protection;user collaboration;encryption

2015-07-09

2015-10-15

时间：2016-03-22

国家自然科学基金资助项目(61073188)

周红亚(1991-)，女，硕士研究生，研究方向为隐私保护技术。

http://www.cnki.net/kcms/detail/61.1450.TP.20160322.1520.060.html

TP31

A

1673-629X(2016)05-0104-06

10.3969/j.issn.1673-629X.2016.05.022