位置服務中基于假數據的軌跡隱私度量方法

王小飛

（安徽財經大學管理科學與工程學院，安徽 蚌埠 233030）

位置服務中基于假數據的軌跡隱私度量方法

王小飛

（安徽財經大學管理科學與工程學院，安徽 蚌埠 233030）

隨著各種各樣移動設備的普及，軌跡隱私保護問題變得日益嚴峻，作為軌跡隱私保護的一個方向，國內外開始慢慢建立起一些較為成熟的度量機制，常見的有基于k-匿名保護機制的隱私度量方法、基于跟蹤的度量方法、針對特定匿名系統的軌跡隱私度量方法等。文章在現有研究的基礎上構建了了一種基于假數據軌跡隱私保護技術的隱私度量標準，從發(fā)布假軌跡上點之間的關聯性、發(fā)布數據所包含信息的精確度以及攻擊者所擁有背景知識多少三個方面進行軌跡隱私保護度的全面度量。

軌跡隱私；隱私保護；隱私度量

隨著定位技術的發(fā)展，隨時隨地獲得個人精確位置成為可能，用戶在享受位置服務時，也產生了很多軌跡數據。軌跡數據本身蘊含了豐富的時空信息，對軌跡數據的分析和挖掘可以支持多種移動應用，然而，假如惡意攻擊者在未經授權的情況下，計算推理獲取與軌跡相關的其它個人信息，用戶的個人隱私通過其軌跡將完全暴露，導致用戶的位置隱私很容易受到威脅。因此，用戶軌跡隱私保護成為位置服務下一個迫切需要解決的問題。目前，關于軌跡隱私保護的研究工作有軌跡隱私保護方法與技術、隱私度量和隱私保護系統結構三個方面，其中關于隱私度量問題，目前國內外的研究還處于初級階段，為了評估保護隱私的技術水平是否有所提高需要我們對此進行更加深入的研究。

1 軌跡隱私度量

1.1 隱私度量概念

在軌跡數據發(fā)布中，由于發(fā)布后的數據要供第三分析和使用，隱私保護技術要在保護軌跡隱私的同時有較高的數據可用性；在基于位置的服務中，隱私保護技術既要保護移動對象的軌跡隱私，又要保證移動用戶獲得較高的服務質量。綜合起來，軌跡隱私保護技術的度量標準有以下兩個方面：（1）隱私保護度。一般通過軌跡隱私的披露風險來反映，披露風險越小，隱私保護度越高。（2）服務質量。在軌跡數據發(fā)布中，數據質量是指發(fā)布數據的可用性，數據的可用性越高，數據質量越好。一般采用信息丟失率來衡量數據質量的好壞。

1.2 隱私度量分類

對位置隱私度量的研究大致分為以下三種情況。第一種主要是針對位置隱私保護中的k-匿名保護機制的位置隱私度量方法。有學者認為，在基于連續(xù)查詢的位置服務中，當匿名集中各個用戶的概率不相等時，匿名集的大小則不再能正確的反映每個用戶的真正的匿名性。于是采取連續(xù)查詢攻擊算法，得到集合中k個用戶分別可能是真正查詢發(fā)送者的概率，然后根據香農公式計算出熵值，來表示這個隱私保護系統的隱私保護水平。文獻[1]作者認為在基于連續(xù)位置服務的k-匿名中，一個模糊區(qū)域中的用戶約束了它在下一個模糊區(qū)域中的位置，這給攻擊者提供了相關信息。因此，簡單地保證每個模糊區(qū)域中包含至少k個用戶并不能提供給用戶k-匿名的保護。他們提出了一種基于模糊區(qū)域大小的熵度量機制，不僅考慮了在模糊區(qū)域內的實體的數量，而且考慮了它們的匿名概率分布來量化系統匿名性。第二種常用方法是基于跟蹤的度量方法。文獻[2]使用平均時間以混淆來度量交通監(jiān)控系統中發(fā)送GPS跟蹤的車輛的隱私水平。他們的度量機制都是基于攻擊者跟蹤的不確定性的熵度量的。第三種主要是針對特定匿名系統的軌跡隱私度量框架。文獻[3]提出在V2X通信系統中的一種基于trip的度量機制來量化每個用戶的位置隱私水平。采用信息理論方法，將隱私水平量化為位置信息與特定的個人相聯系的不確定性，并考慮了攻擊者在一個更長的時間內所獲得的與隱私相關的累積信息對度量結果的影響。還有學者提出一種基于扭曲的隱私度量方法，通過比較攻擊者觀察得到的跟蹤用戶的運動軌跡與用戶真實運動軌跡之間的差異來反映用戶的隱私水平。

以上所介紹的度量方法有基于不同的隱私保護機制提出來的，也有基于特定隱私保護框架提出來的?；诓煌[私保護機制的隱私度量方法具有明顯的局限性，不能很好的適用于所有的隱私保護技術和隱私保護系統；而基于特定框架的隱私度量認為攻擊者所擁有的背景知識是不變的，這顯然也不符合LBS服務中的實際情況。因此，針對這樣的兩個問題，筆者需要結合攻擊者背景知識的變化以及隱私度量方法的應用范圍構建更完善的隱私度量標準。

2 基于假數據的軌跡隱私度量方法

2.1 隱私度量標準

在本模型中筆者所建立的隱私度量標準主要針對基于假數據的軌跡隱私保護技術來進行隱私保護度的度量。通過對假數據軌跡隱私保護技術和現有軌跡隱私度量標準的分析和研究，我們選擇了三個指標來評估隱私保護程度，分別是軌跡上點之間的關聯性、軌跡中所發(fā)布信息的精確度、不同背景知識下軌跡隱私泄露的概率。首先，軌跡隱私與位置隱私最大的不同是由于軌跡隱私本身在時間和空間上具有一定的連續(xù)性和關聯性，如果惡意攻擊者通過用戶軌跡上各點之間的聯系來進行分析，那么用戶真實的位置信息和軌跡信息被披露的可能性將大大提高，這就要求基于假數據的軌跡隱私保護技術在發(fā)布假軌跡時考慮軌跡上各點之間的關聯性，提高隱私保護水平。其次，在實際的LBS服務場景中，服務器所發(fā)布的有關用戶的信息精確度越高，那么用戶的隱私越容易被泄露，這里的信息精確度包括發(fā)布數據的時間精確度、空間精確度、用戶的標志屬性精確度等，所以發(fā)布信息的精確度也成為影響用戶軌跡隱私泄露可能性的一個關鍵因素。最后，最新的研究指出，當攻擊者擁有新的背景知識時，任何一種隱私保護方法都會受到隱私威脅，而且攻擊者擁有的背景知識越多，用戶的隱私面臨的威脅越大，這里筆者利用軌跡被攻擊成功的概率來量化反映在不同背景知識條件下用戶軌跡隱私泄露的可能。下面筆者通過一個簡單的LBS應用場景來說明隱私度量模型中各指標的計算以及如何用最后的結果來評估具體隱私保護技術的隱私保護度。

2.2 隱私度量方法

現假定用戶A從家里出發(fā)然后由地鐵站坐地鐵到達公司上班，在這期間由于用戶在家、地鐵站、公司分別使用了LBS服務，產生了一條三點軌跡其中qi代表用戶的標識符，它是用戶的相關屬性信息的集合，代表用戶在時刻的位置是。假定現在我們利用假軌跡隱私保護技術將這三個真實位置分別添加3個假位置，則一共產生了4×4×4＝64條軌跡其中真實軌跡為，從理論上而言，用戶的軌跡隱私被泄露的風險為1/64，而實際上由于發(fā)布假軌跡上點之間的關聯性、發(fā)布數據所包含信息的精確度以及攻擊者所擁有背景知識多少等方面的影響，用戶的軌跡隱私被泄露的風險時刻發(fā)生著變化，下面筆者通過對以上三個方面的介紹來具體說明各個因素對于軌跡隱私保護程度的影響。

同樣的，筆者將攻擊者擁有不同的背景知識條件下攻擊成功的概率定義為，計算的難點在于攻擊者擁有背景知識多少的量化，這里我們借鑒現有的相關研究將攻擊者的背景知識

下面筆者通過一個較為簡單的例子結合數據來對所選用的三個指標進行說明。假定現在有8條軌跡其以及指標如下。

表1與指標

表1與指標

軌跡指標 T1T2T3T4T5T6T7T8Fr0.44 0.28 0.30 0.12 0.06 0.52 0.08 0.38 Fa0.50 0.36 0.28 0.50 0.16 0.40 0.22 0.52

綜合上面的內容，筆者將這三個方面結合起來反映軌跡隱私的保護程度，則在攻擊者擁有等級的背景知識的條件下，隱私保護度，其中，γβα，，是三個指標所占的權重。D的值越大，隱私被泄露的風險越大，反之越小。γβα，，值的設定筆者可以采用統計學的方法，如因子分析法、灰色關聯法等進行設定。

3 結束語

本文在現有研究的基礎上，提出一種基于假數據的軌跡隱私保護技術的度量方法，最終得到了針對特定軌跡隱私保護技術的隱私保護度公式。然而，由于該模型本身的局限性并不能適用于任意的軌跡隱私保護技術的度量，另外，有關假軌跡上點之間的關聯性、發(fā)布數據所包含信息的精確度以及攻擊者所擁有背景知識多少三方面權重的設定并沒有給出合適的標準，因此，后期筆者要針對以上兩個問題做更進一步的研究。

[1] Xu T,Ying C.Location anonymity in continuous locationbased services[J].In:Proceedings of the 15th Annual ACM International Symposium on Advances in Geographic Information Systems,2007:1-8.

[2] Hoh B，Gruteser M,Alrabady A.Preserving privacy in GPS traces via Uncertainy-aware path cloaking[J].In：Proceedings of the 14th ACM Conference on Computer and Communications Security,2007:161-171.

[3] Ma ZD，Frank K，Michael W.Measuring location privacy in V2X communication systems with accumulated information [J].In:Proceedings of the Sixth IEEE Intemational Conference on Mobile Adhoe and Sensor Systems,2009: 322-331.

[4] 林欣,李善平,楊朝暉.LBS中連續(xù)查詢攻擊算法及匿名性度量[J].軟件學報,2009,20(4):1058-1068.

[5] 霍崢,孟小峰.軌跡隱私保護技術研究[J].計算機學報, 2011,(10):1820-1830.

The measure methods of trajectory privacy protection in location-based service based on dummies

With the popularity of mobile devices, the trajectory of privacy protection has become an increasingly serious issue, as a direction of the trajectory of privacy protection, privacy measurement mechanism was built, such as trajectory privacy metric based on k-anonymity, trajectory privacy metric based on tracking and trajectory privacy metric based on pecific privacy trajectory systems. In this paper, on the basis of existing research we construct a standard which was built from the relationship between trajectory data, the accuracy of the data and background knowledge which attackers have known to measure of privacy protection technology based on dummies.

Trajectory privacy;privacy protection; privacy metric

G20

A

1008-1151(2015)01-0007-03

2014-12-11

王小飛（1990－），男，安徽人，安徽財經大學管理科學與工程學院在讀研究生，研究方向為信息安全。