面向安全匿名集構建的多屬性決策方法

侯占偉，楊 鑫，申自浩，王 輝，劉沛騫

（1.河南理工大學 計算機科學與技術學院，河南 焦作 454000；2.河南理工大學 軟件學院，河南 焦作 454000）

0 概述

近年來，隨著第4 代、第5 代通信技術以及智能移動設備和衛星定位技術的發展，基于位置的服務（Location Based Services，LBS）得到了廣泛的應用，與之相關的資源也變得更加豐富［1-2］。LBS 可以在娛樂、商業、衛生、辦公、緊急情況等不同領域提供多種服務。然而，為了獲得LBS 帶來的便利，移動用戶必須向基于位置的服務提供商（Location Services Provider，LSP）公開實際位置。但位置信息不僅可以展示用戶的經緯度，也可以被攻擊者用來進行跟蹤和分析進而得到關于用戶的敏感信息，如家庭地址、用戶習慣、健康狀況以及宗教信仰［3-4］。他們違法收集的信息可能被用于各種非法活動，導致用戶聲譽受損。

為防止位置隱私信息的泄露，國內外眾多該領域的學者提出了多種位置隱私保護方法，大致可以分為位置泛化、位置擾動和位置加密3 大類。位置泛化［5］利用空間匿名技術來實現，通過使用該技術，移動用戶的真實位置將會隱藏在匿名空間區域內。但是匿名區域的大小會成為限制該技術發展的瓶頸。當生成的匿名區域面積過大時，不僅方案的時間開銷會增加，查詢的準確性也會大打折扣；而當生成的匿名區域面積過小時，隱私保護的質量將會下降，容易被攻擊者識破。位置擾動［6-7］是利用具有一定偏移量的位置或者假位置來代替用戶的真實位置，這樣攻擊者或服務器就無法獲得用戶的真實位置。但是對于某些攻擊者而言，他們具備一定的背景知識，通過推理可以輕易排除掉用戶生成的一些假位置。在這種情況下如何生成隱私保護度高的假位置成為研究的熱點。位置加密［8-9］是利用各種密碼學技術對移動用戶的位置數據進行加密，在沒有相關密鑰的情況下無法獲取用戶的位置信息。盡管使用加密算法在一定程度上提高了用戶的位置隱私保護效果，但其算法流程大多過于復雜且計算量較大，導致運行開銷大幅增加。

以上方法在面對背景知識攻擊、語義攻擊等方面存在局限性，而且沒有對綜合因素進行考量，隱私泄露風險較高。為更好地保護移動用戶的位置隱私，本文提出基于多屬性決策模型的匿名集構造（Multi-attribute Decision Model-based Anonymous Set Construction，MDMASC）算法。通過分析個體用戶和群體用戶軌跡位置點的規律，在本文提出的語義敏感等級、位置普遍度、語義跨度等多個屬性層面進行綜合考量。使用層次分析法（Analytic Hierarchy Process，AHP）分析各屬性間的關系，合理確定權重。此外，使用多屬性決策方法，經綜合決策選出最佳假位置，構建具有不可區分性的安全匿名集。

1 相關工作

在眾多位置隱私保護的方案中，大多數學者都致力于研究如何生成與真實位置區分度高、隱私保護效果好的假位置。KIDO 等［10］提出使用假位置來實現位置隱私保護，其主要思想是將用戶的真實位置與眾多假位置組成匿名集一起發送給LSP。這種方法不需要第3 方匿名服務器加入，避免了因匿名服務器的信任問題或匿名服務器遭受攻擊而導致的隱私泄露風險，但由于其沒有考慮查詢概率等因素，因此容易遭到具有背景知識的邊信息攻擊。

考慮攻擊者挖掘用戶的歷史請求信息，NIU等［11］提出了深度學習搜索（Deep Learning Search，DLS）算法，該算法根據地圖上位置單元的歷史查詢信息計算得到歷史查詢概率，其次使用熵度量安全性，最終選擇符合其要求的假位置構造匿名集。由于需要大量計算匿名集的熵值，致使該算法時間復雜度較高，在某些資源受限的通訊設備上使用時難以實現 很好的 隱私保 護效果。SUN 等［12］在DLS 的基礎上，通過分析攻擊算法ADLS，提出DLP 算法。該算法在時間復雜度和用戶隱私要求之間進行了權衡，在一定程度上具有較好的隱私保護效果，但是其忽略了山川、湖泊等歷史查詢概率為零的位置單元。楊洋等［13］提出K-DLS 算法，該算法在考慮到位置單元歷史查詢概率為0 的同時改善了假位置的分布情況，生成的匿名集具有較高的位置熵值，提升了位置隱私保護的安全性。然而在保護用戶位置隱私的過程中，若攻擊者采用語義攻擊等手段時，僅考慮位置單元的歷史查詢概率顯然是不夠的。

針對攻擊者掌握移動用戶位置點的語義信息，文獻［14］提出的方案考慮了用戶訪問地點的語義信息，對用戶的隱私保護需求予以滿足，但是其未考慮位置分布對假位置集的影響，預期的隱私保護效果在遭受位置同質性攻擊時往往難以達到。王潔等［15］提出了MMDS 算法，該算法通過位置語義樹計算各位置間的語義差，同時考慮了假位置的查詢概率和地理分布，根據以上這3 個維度生成假位置，在衡量位置間的語義差異性上提供了思路。但是，在興趣點（Point of Interest，POI）類別較少的地區，語義樹的子節點較少，而該算法僅通過位置語義篩選假位置，隱私保護效果較差。文獻［16］使用了多屬性決策的思想來選取假位置，根據歷史查詢概率、物理距離和語義多樣性構建匿名集。但其沒有衡量各因素間的相對重要關系，同時考慮因素過少，未對綜合因素進行考量，用戶的隱私保護強度不夠高。

針對同一位置點，不同用戶對其敏感程度不同。值得一提的是敏感位置的信息大多與用戶身份相關聯。當攻擊者定位到某一用戶的敏感位置點時，將極大可能推測出該用戶的身份。YIN 等［17］提出了一種基于位置敏感度劃分的位置數據安全保護方法。該方法對位置敏感度級別進行分類，基于此分配隱私預算，有效地保護了用戶的位置隱私。LIU 等［18］基于隨機匿名區域的概念提出了一種RSABPP 算法，各個區域具有不同敏感值，對手將難以通過推斷匿名用戶的敏感度去識別真實位置。

本文提出MDMASC 算法，綜合考慮用戶真實位置所具有的背景知識等信息，使其在不同的場景下具備適應性，有效地降低攻擊者在擁有用戶行為規律、位置語義等背景知識情況下用戶真實位置被識別的風險。

2 預備知識

2.1 語義樹

為了從現實生活中細化出興趣點類型，根據目前主流地圖軟件（如百度地圖、高德地圖）和當下比較流行的LBS 應用程序（如大眾點評、貓途鷹）去獲取到當前地圖中所有位置單元和相關的POI，并總結了吃、住、行、玩、游、生活和購物這7 種位置類型。根據獲得的相關信息建立一棵語義樹（Stree），該樹具有4 層結構，根節點為本地地圖，第2 層為基本屬性，第3 層為次屬性，葉子節點為地圖上具有特定POI 的真實位置，S-tree 的示意圖如圖1所示。

圖1 S-tree 示意圖Fig.1 Schematic diagram of S-tree

2.2 相關定義

定義1隱私要求：移動用戶個性化的隱私需求，表示為req(k,q1,q2)，其中k是匿名度，q1，q2分別是用戶事先設定的假位置距真實位置的最小距離和最大距離。

定義2邊信息：地圖上不同的位置點都具有邊信息，攻擊者擁有邊信息有助于推斷移動用戶的真實位置［19］。本文中的邊信息是指位置單元的歷史查詢概率、POI 類型等信息。顯然，用戶具有這樣的信息，有助于其選擇最優假位置。

定義3歷史查詢概率pi：將地圖劃分成網格，不同網格代表不同的位置單元，歷史查詢概率由用戶過去訪問該位置單元的概率表示。查詢概率的計算式如下：

其中：Ni表示網格劃分后位置單元i的歷史查詢次數表示所有位置單元的歷史查詢次數之和。

定義4位置地理距離d：本文采用Haversine 公式來計算兩位置點間的地理距離。本文計算地理距離只是用來在構建匿名集時使用，所得出的結果不涉及到更深層次的應用，使用Haversine 公式能在保證精度足夠使用的前提下減少時間開銷。Haversine公式如下：

由式（2）化簡可得：

定義5POI 評分Si：在LBS 的應用程序中，例如yelp！和大眾點評，每個POI 的打分值基于歷史用戶對該POI 的打分和評判，故而每個POI 的分值影響著用戶的選擇意愿。

定義6語義敏感等級Li：表示用戶根據位置語義信息所定義的不同敏感度級別。其用來判別位置敏感程度，分為一級、二級、三級和四級，敏感程度隨等級的升高而增強。語義敏感等級由用戶事先設定，它是選取假位置的重要依據。

定義7位置普遍度Di：如果單個位置在某一特定用戶軌跡數據集中出現的頻率較高，而在其他用戶的軌跡數據集中很少出現，那么對于攻擊者而言，該位置具有很好的類別區分能力，根據該位置極易推測出用戶的身份。根據TF-IDF 技術［20］定義位置普遍度，位置li的位置普遍度可以表示為：

定義8語義跨度語義跨度是S-tree 中li和lj兩個位置對應的葉子節點之間需要經歷的跳數［21］。語義跨度是衡量候選假位置優劣的重要指標，其大小通過S-tree 計算。

3 基于多屬性決策模型的匿名集構建算法

假位置的選擇過程具有多維度、多屬性的特點，屬于多屬性決策的范疇。假位置的選擇需要從多方面考慮，最終構建不可區分性高、位置熵大的匿名集，盡最大可能降低用戶真實位置被識別的概率。在多屬性決策理論中，層次分析法在信息安全領域已被用于社交媒體隱私安全量化評估研究、構建泄露數據價值評估模型等實際工作，具有良好的效果。因此本文采用多屬性決策模型對假位置選擇問題進行研究，且其中用到了層次分析法來計算各評價指標的屬性權重。

3.1 系統架構

本文提出的基于多屬性決策模型的假位置集構建算法是基于用戶移動終端，采用分布式的系統架構，如圖2 所示。因為該架構沒有第3 方服務器參與，所以有效避免了單點泄露等問題的出現。本文系統架構主要由3 個實體組成，即移動終端、通信基站和LBS 服務器，具體介紹如下：

圖2 系統架構Fig.2 System architecture

1）移動終端。移動終端用來執行本文提出的多屬性決策方法，接著發送安全匿名集進行查詢，最后在查詢結果集中選擇自己所需結果。各位置點的坐標由移動終端設備通過覆蓋全球的衛星定位系統獲取。

2）通信基站。通信基站為移動終端設備提供網絡通信服務，同時對其覆蓋范圍內所有位置的歷史查詢概率進行計算并存儲。如今通信基站不僅信號覆蓋面廣，而且其計算和存儲信息的能力也較強，故可以實現本文所需功能。

3）LBS 服務器。LBS 服務器用于接收用戶的位置服務請求，并返回查詢結果，為用戶提供位置服務。

3.2 多屬性決策模型的構建與求解

多屬性決策也稱有限方案多目標決策，即綜合考慮多種屬性來選擇最優備選方案，在當今決策科學中占據重要地位［22］。移動用戶向LBS 服務器提交不同查詢內容的假位置以及用戶的真實位置，并請求獲取相關服務信息。S-tree 為本文方案建立了基本的前提。這里采用基于加權算術平均（WAA）算子的多屬性決策方法來進行假位置的選取。

3.2.1 基于WAA 算子的多屬性決策方法

WAA 算子對決策矩陣每行中的各個數據按照權重值進行集結，以此來評估方案的優劣。其定義如下：

設WAA：Rn→R，若存在WAAw(α1,α2,…,αn)=其 中，w=(w1,w2,…,wn)是(α1,α2,…,αn)的加權向量，則稱WAA 是加權算術平均算子。

明確WAA 算子的定義后，下面給出決策步驟：

步驟1確定本文所提方法的決策目標，明確方案集與指標屬性集。本文的決策目標為選擇符合用戶隱私保護要求的最佳假位置來構建安全匿名集。設CLS 和U 分別為方案集和指標屬性集。CLS=(l1,l2,…,ln)是候選假位置集，w=(w1,w2,w3,w4,w5)為決策者對5 個屬性給出的屬性權重。

步驟2對于任一位置li，根據不同屬性的類型計算相應的屬性值aij，從而構建決策矩陣A=(aij)n×m。由于各屬性間量綱不同，因此需要對矩陣A進行歸一化處理。歸一化矩陣A后得到A'=

步驟3確定本文定義的各屬性之間的優先級，利用層次分析法賦予與之對應的權重。

步驟4候選假位置集中各位置點在各目標下屬性值已知時，通過WAA 算子對規范化矩陣A'中的第i行(i=1,2,…,m)數據進行計算，得到假位置的li綜合屬性值

3.2.2 決策矩陣的建立及歸一化處理

多屬性決策解決特定問題中重要的一環就是建立決策矩陣，在本文選擇假位置問題上有m個備選假位置l1,l2,…,lm，5 個影響匿名集安全性的因素，包括屬性POI 評分、地理距離、語義敏感等級、語義跨度、位置普遍度。利用查詢概率初次篩選后得到的假位置集，根據假位置li對各屬性的取值建立決策矩陣A，如表1 所示。

表1 決策矩陣Table 1 Decision matrix

多屬性決策的前提是決策需要根據多個屬性值來進行，這其中屬性的類型一般有效益型、成本型、固定型、偏離型、區間型等，各類型的計算方法具體如下。

1）效益型。屬性值越大越好，計算式如式（5）所示：

2）成本型。屬性值越小越好，計算式如式（6）所示：

3）固定型。屬性值與設定的固定值α間的差值越小越好，計算式如式（7）所示：

4）偏離型。屬性值與設定的固定值β間的差值越大越好，計算式如式（8）所示：

5）區間型。屬性值越接近設定的區間[q1,q2]越好，計算式如式（9）所示：

根據位置隱私保護的需要，將前面2.2 節定義的各種屬性的類型進行分類。選取的假位置的POI 評分越高越具有真實性，較高的評分能達到更好的保護效果，故將POI 評分歸類為效益型；根據用戶在隱私需求中設定的假位置距真實位置的最小距離和最大距離，將地理距離歸類為區間型；為了抵制基于位置語義等信息的語義攻擊，選取的假位置與真實位置的語義應盡量不同，即語義跨度的值越大越具有迷惑性，能達到更好的保護效果，故將語義跨度歸類為效益型；對于語義敏感等級較高的位置點，用戶顯然是不想暴露給他人的，而對于等級較低的位置點用戶是不敏感的，所以將語義敏感等級歸類為成本型；對于各位置點，在大眾數據集中出現越多，位置普遍度越低，反之位置普遍度越高，應該選擇相對普遍的位置來構造安全匿名集，所以將位置普遍度歸類為成本型。

在確定各屬性的類型后對決策矩陣A進行歸一化，歸一化處理后的決策矩陣如表2 所示。

表2 歸一化處理后的決策矩陣Table 2 The normalized decision matrix

使用假位置生成技術構建匿名集的傳統方法大多只考慮單個或少數指標屬性對匿名集安全性的影響，未實現綜合因素的考量，在不同程度上具有局限性，無法應對多種攻擊手段。基于此，本文定義了多個指標屬性，根據歷史查詢概率過濾掉與真實位置概率不相似的位置，有效避免了遭受基于背景知識的邊信息攻擊。在決策的指標屬性集中加入地理距離改善位置分布，避免遭受位置同質攻擊。定義語義跨度實現匿名集中假位置所包含語義信息的多樣性，降低在遭受語義攻擊時隱私泄露的風險。本文方案也考慮了各候選假位置的語義敏感等級、POI評分和位置普遍度，這三者在提高安全匿名集中各假位置真實性的同時增強了其與真實位置的不可區分性。綜上所述，本文方法實現了綜合因素的考量，在保護用戶的位置隱私方面具有完備性。

3.2.3 層次分析法計算屬性權重

層次分析法［23］通過分析每兩個屬性之間的關系構建成對比較矩陣，根據要實現的目標把問題分解成不同層次，經過比較和計算，從而較為合理地確定各屬性的權重。在本文基于AHP 的位置隱私評價體系的構建中，主要有以下4 個步驟：

步驟1層次分析法首先對問題進行層次化處理，依據問題的本質及要實現的總目標將問題分解成不同的組成要素，按要素之間從屬關系和相互間的聯系形成多層次分析結構模型。本文將語義跨度、位置普遍度、語義敏感等級、地理距離和POI 評分這5 個影響匿名集安全性的因素作為選取假位置的主要依據。圖3 給出了本文提到的多種屬性的層次結構模型，該圖建立了3 個層次結構，分別是目標層、準則層和方案層。

“按行消元，逐行規格化”的計算過程決定了其不適合應用對角元以右元素與對角元以下元素的對稱性進行計算，因為在這種計算方式下，對第i行元素進行消元，要通過賦值分別或者一次性地得到其對角元以左的第1～i-1個元素就顯得極為不便。因此這種計算方式對A陣元素的前代過程有大量的多余計算，從而導致計算效率不高。如果僅計算包括對角元素的上三角元素或包括對角元素的下三角元素，而通過對稱性來獲得另一半元素，則由于上下三角元素的不等，在對A陣或F陣元素的前代過程中會出現大量乘或除對角元素的重復計算，同樣影響計算效率。

圖3 層次結構圖Fig.3 Hierarchy diagram

步驟2層次分析法要求使用者在每兩個指標間比較兩者的相對重要程度，根據其重要性的量化值，進而構造出成對比較矩陣。本文采用表3 所示的1-9 標度來評估每兩個屬性間的相對重要性。

表3 指標相對重要性等級Table 3 Index relative importance level

根據表3 對5 個屬性構建成對比較矩陣B5×5，B5×5=aij(i,j=1,2,3,4,5)，其 中aij為屬性i相比于屬性j的重要程度。

步驟3為了確保最終結果的科學性和可靠性，需要對該矩陣進行一致性檢驗。一致性檢驗的標準為當CR<0.1 時，說明成對比較矩陣通過了一致性檢驗。CR的計算式如式（10）所示：

其中：CI指標的計算如式（11）所示，RI為與n對應的平均隨機一致性取值。

其中：λmax為成對比較矩陣的最大特征根；n為矩陣的階數。λmax的計算式如式（12）所示：

由式（12）計算可得到成對比較矩陣B的最大特征根λmax，進而求得CI。根據表4 得出當n=5 時RI=1.12。當CR<0.1 時，說明該矩陣通過了一致性檢驗。

表4 隨機一致性指標RI 的數值Table 4 Value of stochastic consistency indicator RI

步驟4在矩陣通過一致性檢驗之后，根據成對比較矩陣計算出w1到w5的屬性權重。本文為了獲取較為理想的權重準確度，根據對位置隱私的了解和參與程度，選取該領域多名教授組成專家組，對其進行問卷調查后得到各指標之間的相對重要程度，并分別構建成對比較矩陣。接著依據群決策數據集結方式中的結果權重加權算術平均法得到地理距離、語義跨度、POI 評分、位置普遍度、語義敏感等級的屬性權重依次為0.068 8、0.324 5、0.048 3、0.315 4、0.242 9。

值得一提的是，權重值越大的指標，說明其對匿名集安全性的影響越強，與其他屬性的差異也越大。某候選假位置在這些屬性值高的情況下，經多屬性決策被選為最優假位置的可能性也較高。

3.3 算法描述

本文提出MDMASC 算法，該算法充分考慮了多個維度的影響因素對假位置安全性的影響，最后構造出一組包含用戶真實位置且大小為k的安全匿名集SAS。該算法的主要流程如圖4 所示。

圖4 MDMASC 算法的流程Fig.4 Procedure of MDMASC algorithm

下面給出了本文算法的偽代碼表示。

算法1MDMASC 算法

4 實驗與結果分析

4.1 實驗環境

本文使用真實數據集GeoLife［24］來進行實驗仿真。該數據集包含了不同用戶大量的軌跡數據，其中不僅包括上下班通勤、購物等日常生活常規的生活軌跡，還包括餐飲、就醫、健身、登山等遍及不同領域的戶外活動軌跡。數據集中大部分軌跡都是在中國北京市創建的，市區已經被通信基站全面覆蓋且擁有大批的移動用戶，各用戶的軌跡數據集中都包含不同位置點的緯度、經度，使用這些位置點信息作為用戶的歷史信息來計算歷史查詢概率。

實驗選用數據集中北京市中心城區10 km×10 km 矩形區域內位置地理信息，將樣本空間均勻劃分為100×100 個位置單元。將得到的樣本軌跡點作為歷史數據，基于此來計算網格劃分后各位置單元的歷史查詢概率。為了得到S-tree 中的各個節點，從谷歌地圖API 和大眾點評中收集，得到7 548 個葉子節點。

實驗運行的環境是Intel?CoreTMi5-9300H 2.40 GHz 處理器，16 G 內存的Windows10 操作系統。實驗參數如表5 所示。

表5 實驗參數Table 5 Experimental parameters

4.2 結果分析

實驗從匿名集生成時間、語義多樣性、攻擊算法識別概率以及位置熵這4 個方面評估本文算法，并將其與同樣使用假位置生成技術的DLP 算法［12］、MMDS 算法［15］、K-DLS 算法［13］進行比較。

4.2.1 匿名集生成時間

構建匿名集的一個重要指標就是匿名集的生成時間，本文算法的時間開銷主要集中在多個指標值的計算上。圖5 為本文算法與DLP 算法、MMDS 算法和K-DLS 算法的實驗結果對比，其中圖5（a）為不同算法生成匿名集的平均時間對比。由圖5（a）可以看出，4 種算法構建匿名集所需要的時間均隨著匿名度k的增加而增多。當k較小時，幾種算法假位置生成時間相差無幾。隨著匿名度k的增加，DLP 算法假位置生成時間最少，MDMASC 算法次之，另外兩種算法所需時間高于本文算法，MDMASC 算法相對于MMDS 算法降低了約10.3%的時間開銷。由于DLP算法在構建匿名集時沒有考慮到語義信息，故運行時間最少，而本文算法在考慮各位置單元查詢概率的同時還要進行語義跨度、語義敏感等級等多種屬性的決策過程，需要消耗一定的時間，因此其匿名集生成時間略高于DLP 算法。

圖5 不同算法的實驗結果對比Fig.5 Comparison of experimental results of different algorithms

4.2.2 語義多樣性比較

采用文獻［15］提出的θ-安全值評估算法提交匿名集的語義多樣性，θ-安全值越大表示構建的匿名集中各假位置所屬的語義信息越豐富，攻擊者越難確定用戶的真實位置。圖5（b）為本文算法與DLP算法、MMDS 算法和K-DLS 算法的語義多樣性對比。

由圖5（b）可以看出，隨著匿名度k的增加，MMDS 算法的θ值變化幅度最小且維持在較高的水平。本文算法的θ值也能維持在相對較高水平，可以滿足語義多樣性的要求。但本文算法略低于MMDS 算法，這是因為MMDS 只關注了位置語義對匿名集的影響，而本文算法在構建安全匿名集時雖然也考慮了位置語義，但是語義信息并不是構建安全匿名集的唯一標準，在現實生活中的不同場景下顯然本文算法更具實用性。DLP 算法和K-DLS 算法的θ值均處于相對較低水平，這是因為它們在構建匿名集時只關注了查詢概率，沒有注意到選取的假位置可能與用戶真實位置具有相同語義信息的情況。

4.2.3 攻擊算法識別概率

盡管用戶提交了匿名集，但是仍存在被攻擊算法識別的可能，用戶的真實位置被攻擊算法識別的概率Q的計算式如下：

其中：C是根據假位置生成算法得到的匿名集，C={l1,l2,…,lk}，|Cnum|=k。

為了對比考慮位置語義信息、語義敏感度等屬性對用戶真實位置保護的優勢，采用式（13）度量匿名集的安全性，將本文算法與DLP 算法、MMDS 算法和K-DLS 算法在語義攻擊下被識別的概率進行對比，結果如圖5（c）所示。

由圖5（c）可以看出，隨著匿名度k逐漸增大，各算法被攻擊算法識別的概率逐漸降低，這是由于匿名集擴大導致其中各假位置間的語義差異性逐漸減小，攻擊者使用語義攻擊的成功率更高。DLP 算法和K-DLS 算法在選取假位置時未考慮位置語義信息對匿名集安全性的影響，所以隱私保護效果較差，在攻擊算法下的位置識別率高于另外兩種算法。盡管MMDS 算法關注了位置語義信息，但其對位置敏感程度等屬性未做分析，衡量結果不夠精確。

本文算法的被識別概率要略低于其他3 種算法，比MMDS 算法和K-DLS 算法分別降低了14.9%和25.5%。這是因為用戶在構建安全匿名集時，不僅考慮了歷史查詢概率，也考慮到了位置普遍程度、語義信息以及各用戶設定的不同敏感等級等屬性對其安全性的影響。攻擊者在進行語義攻擊的同時即使具備邊信息也難以提高推測概率，同時本文算法對不同用戶在位置敏感等級的設定上滿足了個人需求，體現了一定的個性化。

4.2.4 位置熵

應用文獻［25］中的位置熵度量位置隱私保護的有效性。位置熵值與匿名化程度呈正相關，兩者的變化具有同向性，熵值越大，匿名化程度越高。圖5（d）為本文 方法與DLP 算 法、MMDS 算法和K-DLS 算法在不同匿名度下生成匿名集的位置熵對比。

由圖5（d）可以看出，隨著匿名度k的增加，各算法的位置熵值都在增大。但是不難發現本文算法的位置熵提升幅度要高于另外3 種算法，這是因為在構建安全匿名集時本文算法綜合考慮了假位置的位置語義、位置普遍度、位置敏感程度等多種屬性值可能對匿名安全性造成的影響，增強了用戶真實位置的不確定性，匿名集的安全性得到了保障，有利于用戶位置隱私的保護。

5 結束語

本文提出的MDMASC 算法綜合考慮位置所具有的多種因素來構建安全匿名集所需的假位置。通過歷史查詢概率判斷得到構建候選假位置集，對定義的5 個屬性值進行數據預處理，通過分析屬性間的關系確定屬性權重，最終進行綜合決策以篩選出最優假位置。實驗分別從匿名集生成時間、語義多樣性、攻擊算法識別概率、位置熵等4 個方面將本文算法與DLP 算 法、MMDS 算 法、K-DLS 算法進行比較，實驗結果顯示，使用本文MDMASC 算法構建的安全匿名集位置熵值更高，能夠生成區分度高、合理性強的安全匿名集。然而本文只是在單位置點上研究了隱私保護，未考慮位置隨時間的變化問題，而在短時間內用戶位置大多以軌跡呈現，因此下一步將通過研究用戶軌跡的隱私保護，從而完善隱私保護方案。