LBS中位置隱私保護(hù)研究

潘媛媛+王岌

摘 要：基于位置的服務(wù)（Location-Based Service，LBS）作為一種新的服務(wù)方式在為用戶(hù)提供便利的同時(shí)，也存在位置隱私風(fēng)險(xiǎn)。首先對(duì)近幾年國(guó)內(nèi)外在保護(hù)LBS中位置隱私方面取得的主要成果進(jìn)行回顧，然后對(duì)目前主要的保護(hù)隱私機(jī)制，即策略方法、偽碼法、區(qū)域混淆法和假位置干擾法進(jìn)行分析，最后指出這些方法的局限性以及未來(lái)LBS中位置隱私保護(hù)的發(fā)展方向。

關(guān)鍵詞：基于位置的服務(wù)；位置隱私；偽碼；混淆法；假位置

DOIDOI：10.11907/rjdk.162411

中圖分類(lèi)號(hào)：TP309.7

文獻(xiàn)標(biāo)識(shí)碼：A文章編號(hào)：1672-7800（2016）012-0147-03

0 引言

近年來(lái)，隨著無(wú)線(xiàn)通信技術(shù)和移動(dòng)定位技術(shù)的快速發(fā)展，形成了一種新的基于位置信息的服務(wù)（Location-Based Service，簡(jiǎn)稱(chēng)LBS）[1]。在LBS中，用戶(hù)可通過(guò)向服務(wù)器提供自己的地理位置來(lái)查詢(xún)感興趣的信息，例如查詢(xún)離自己最近的書(shū)店、咖啡店等。然而，LBS在給用戶(hù)提供生活便利性的同時(shí)也引入了隱私泄露風(fēng)險(xiǎn)。因?yàn)槲恢眯畔⒈旧砜赡芫褪敲舾袛?shù)據(jù)，通過(guò)這些數(shù)據(jù)可揭示用戶(hù)的個(gè)人隱私信息。例如用戶(hù)身處某醫(yī)院，且向服務(wù)器發(fā)送了基于位置服務(wù)的請(qǐng)求，一旦位置信息暴露，不法分子可根據(jù)這一信息推測(cè)出用戶(hù)可能患了疾病。而且由于LBS中位置信息的物理特性，使得人們很難通過(guò)傳統(tǒng)的隱私保護(hù)技術(shù)，如加密技術(shù)、數(shù)字簽名、數(shù)字水印等進(jìn)行保護(hù)[2]。隨著人們對(duì)隱私保護(hù)的日益重視，LBS中的位置隱私保護(hù)問(wèn)題亟待解決。

1 國(guó)內(nèi)外研究現(xiàn)狀

目前，國(guó)內(nèi)外針對(duì)LBS位置隱私保護(hù)問(wèn)題提出了多種解決方案。從用戶(hù)角度來(lái)劃分，位置隱私保護(hù)技術(shù)可以分為以用戶(hù)為中心和非用戶(hù)為中心兩類(lèi)。其中，以用戶(hù)為中心的模式中采用的是用戶(hù)、LBS服務(wù)器的兩層結(jié)構(gòu)，如圖1所示。由于用戶(hù)是位置信息的擁有者，對(duì)于位置信息有絕對(duì)控制權(quán)，用戶(hù)會(huì)提出自己的要求并參與到整個(gè)位置隱私保護(hù)過(guò)程中。在該模式中，主要采用的是策略保護(hù)機(jī)制，如靜態(tài)策略和動(dòng)態(tài)策略[3，4]。一方面，用戶(hù)會(huì)闡述自己對(duì)位置隱私保護(hù)的要求；另一方面，LBS服務(wù)器會(huì)對(duì)其所需位置信息的采集、使用、保存等作出承諾，即發(fā)布服務(wù)隱私策略[5]。若LBS服務(wù)器能保證用戶(hù)的要求，LBS服務(wù)器將獲得用戶(hù)位置信息的采集和使用權(quán)限。

在實(shí)際應(yīng)用中，用戶(hù)通常只關(guān)心LBS 服務(wù)是否提供了足夠的位置隱私保護(hù)，并不關(guān)心位置隱私保護(hù)具體實(shí)現(xiàn)細(xì)節(jié)，即用戶(hù)只需要提供位置信息而不需要參與到LBS位置隱私保護(hù)中[2]?；诖?，形成了一種以非用戶(hù)為中心的隱私保護(hù)模式[6-11]。該模式采用用戶(hù)、隱私保護(hù)中間件、LBS服務(wù)器三層結(jié)構(gòu)，如圖2所示。用戶(hù)提供準(zhǔn)確的位置信息給隱私保護(hù)中間件，由它對(duì)位置信息進(jìn)行處理，再將處理過(guò)的信息發(fā)送給LBS服務(wù)器進(jìn)行查詢(xún)。位置信息處理遵循的原則為在滿(mǎn)足LBS數(shù)據(jù)要求的前提下，盡量提高對(duì)用戶(hù)位置隱私的保護(hù)程度。

2 位置隱私保護(hù)技術(shù)

如前所述，在非用戶(hù)為中心的模式中保護(hù)位置隱私的關(guān)鍵在于采用何種技術(shù)來(lái)處理隱私保護(hù)中間件位置信息?？傮w來(lái)說(shuō)，處理技術(shù)分為3種：偽碼法、區(qū)域混淆法和假位置干擾法。

2.1 偽碼法

偽碼也稱(chēng)為假名。在該方法中，由于LBS服務(wù)只關(guān)心是否有用戶(hù)向其發(fā)送請(qǐng)求，而不關(guān)心是哪個(gè)用戶(hù)發(fā)送的請(qǐng)求，所以在請(qǐng)求中可以用偽碼或假名來(lái)代替用戶(hù)的真實(shí)身份。但是單個(gè)偽碼并不足以保護(hù)用戶(hù)的位置隱私，因?yàn)樵谝恍┨囟ǖ奈恢?，不法分子也可以將單個(gè)偽碼與用戶(hù)的真實(shí)身份關(guān)聯(lián)起來(lái)。例如，某個(gè)用戶(hù)早晨經(jīng)常會(huì)在同一位置請(qǐng)求LBS服務(wù)，不法分子由此可能推測(cè)出該位置為用戶(hù)住址，很容易將業(yè)主與服務(wù)中的偽碼關(guān)聯(lián)起來(lái)，從而揭露用戶(hù)的真實(shí)身份。于是，在單個(gè)偽碼的基礎(chǔ)上提出了頻繁更改偽碼的方法，即在某一位置或時(shí)間更改用戶(hù)的偽碼以切斷偽碼之間的關(guān)聯(lián)性，從而達(dá)到保護(hù)用戶(hù)位置隱私的目的。例如Mix zones方法[6]中，偽碼更換發(fā)生在混合區(qū)域（如十字路口）。雖然這些方法提供了用戶(hù)的準(zhǔn)確位置，保證了服務(wù)質(zhì)量，但是Mix zones方法保護(hù)位置隱私的程度與混合區(qū)域內(nèi)的用戶(hù)數(shù)量密切相關(guān)。如果混合區(qū)內(nèi)用戶(hù)少，那么即使更換偽碼，不法分子將更改前后的偽碼關(guān)聯(lián)起來(lái)的概率較大，這會(huì)大大降低隱私保護(hù)程度。

2.2 區(qū)域混淆法

區(qū)域混淆法中具有代表性的主要有k-匿名[7]和位置偏移方法[10]。

k-匿名法利用用戶(hù)附近包含k-1個(gè)鄰居的位置區(qū)域來(lái)代替用戶(hù)的準(zhǔn)確位置，將用戶(hù)與其k-1個(gè)鄰居混淆在一起，從而達(dá)到保護(hù)用戶(hù)位置隱私的目的。假設(shè)當(dāng)k=5時(shí)，用戶(hù)A發(fā)送給服務(wù)器的是位置區(qū)域，用（[x1，x2]，[y1，y2]）表示，其中包含B、C、D、E四個(gè)鄰居，如圖3所示。顯然這種方法k值越高，隱私保護(hù)程度越高，但相應(yīng)地會(huì)大大降低服務(wù)質(zhì)量，而且服務(wù)器在該位置區(qū)域進(jìn)行查詢(xún)處理也會(huì)增加開(kāi)銷(xiāo)和反應(yīng)時(shí)間。而且，當(dāng)用戶(hù)處于稀疏環(huán)境下，例如鄰居個(gè)數(shù)小于k-1時(shí)，則無(wú)法獲得滿(mǎn)足條件的位置區(qū)域。

位置偏移法與k-匿名法一樣，并不發(fā)送用戶(hù)的準(zhǔn)確位置給服務(wù)器，而是選擇用戶(hù)位置附近的某一特殊路標(biāo)，用該路標(biāo)的位置代替用戶(hù)準(zhǔn)確位置發(fā)送給LBS服務(wù)器以獲取服務(wù)。該方法利用位置偏移原理隱藏了用戶(hù)的準(zhǔn)確位置，從而達(dá)到保護(hù)用戶(hù)位置隱私的目的。但位置偏移會(huì)降低服務(wù)質(zhì)量，而且用戶(hù)必須對(duì)從服務(wù)器返回的查詢(xún)信息進(jìn)行篩選，這無(wú)疑會(huì)增加客戶(hù)端開(kāi)銷(xiāo)。

2.3 假位置干擾法

假位置干擾法采用假位置信息進(jìn)行位置混淆，以達(dá)到保護(hù)用戶(hù)真實(shí)位置的目的[11]。通常，用戶(hù)會(huì)發(fā)送多個(gè)位置信息給LBS服務(wù)器，但其中只有一個(gè)是用戶(hù)的真實(shí)位置。這樣，即使LBS服務(wù)器上的位置信息被不法分子獲取，也無(wú)法判斷出哪一個(gè)是用戶(hù)的真實(shí)位置信息。但這種方法往往增加了服務(wù)器端的開(kāi)銷(xiāo)和通信開(kāi)銷(xiāo)。

相較于k-匿名方法，假位置干擾法更適合于稀疏用戶(hù)環(huán)境。一方面，由于k-匿名方法受鄰居密度的影響較大，至少需要k-1個(gè)鄰居，這在稀疏用戶(hù)環(huán)境中可能很難實(shí)現(xiàn)；另一方面，在稀疏用戶(hù)環(huán)境中通信開(kāi)銷(xiāo)以及服務(wù)器查詢(xún)開(kāi)銷(xiāo)較低，雖然假位置干擾法會(huì)增加一定開(kāi)銷(xiāo)，但能為用戶(hù)提供位置隱私保護(hù)。

3 結(jié)語(yǔ)

LBS服務(wù)在擁有美好前景的同時(shí)，也存在嚴(yán)重的隱私威脅。用戶(hù)總是希望在獲取基于位置的服務(wù)時(shí)盡量不暴露自己的位置信息。實(shí)際上，享受服務(wù)與隱私保護(hù)是一對(duì)矛盾：高效的服務(wù)需要提供精確的位置；好的隱私保護(hù)策略需要使用戶(hù)的位置信息盡量模糊化[12]。如何在高效的位置服務(wù)和位置隱私保護(hù)之間尋求平衡，是近年來(lái)研究的方向。本文詳細(xì)介紹了目前提出的保護(hù)位置隱私方法，即以用戶(hù)為中心模式中的策略方法、偽碼法、區(qū)域混淆法和假位置干擾法。隨著LBS應(yīng)用的增加，策略方法研究重點(diǎn)應(yīng)在如何實(shí)現(xiàn)策略的完整性、準(zhǔn)確性及簡(jiǎn)化性。偽碼法可以提供用戶(hù)準(zhǔn)確的位置信息，從而保證LBS服務(wù)的質(zhì)量，但不法分子一旦將屬于同一用戶(hù)的不同偽碼關(guān)聯(lián)起來(lái)，就容易揭示用戶(hù)的真實(shí)身份，達(dá)到獲取用戶(hù)位置隱私的目的。區(qū)域混淆法保護(hù)位置隱私則是以增加服務(wù)器的查詢(xún)開(kāi)銷(xiāo)和降低服務(wù)質(zhì)量為代價(jià)的。干擾法的關(guān)鍵在于如何生成虛假的位置信息已達(dá)到保護(hù)用戶(hù)隱私的目的?？傮w來(lái)說(shuō)，對(duì)LBS中位置隱私問(wèn)題的研究尚處于起步階段，缺乏系統(tǒng)性和統(tǒng)一性，許多問(wèn)題還有待未來(lái)進(jìn)一步研究。

參考文獻(xiàn)：

[1] 肖燕芳，徐紅云.一種基于匿名區(qū)域變換的位置隱私保護(hù)方法[J].計(jì)算機(jī)工程，2013，39（1）：157-163.

[2] 劉恒.普適計(jì)算環(huán)境下基于位置服務(wù)的隱私保護(hù)若干技術(shù)研究[D].成都：電子科技大學(xué)，2010.

[3] BAUGH J，GUO J.Location privacy in mobile computing environments[J]. Ubiquitous Intelligence and Computing， 2006：936-945.

[4] LEDERER S， DEY A K， MANKOFF J. A conceptual model and a metaphor of everyday privacy in ubiquitous computing environments[R]. University of California： Berkley， Technical report UCB/CSD-2-1188，2002.

[5] LANGHEINRICH M.A privacy awareness system for ubiquitous computing environments[J].Ubiquitous Computing，2002：315-320.

[6] A R BERESFORD，F(xiàn) STAJANO.Location privacy in pervasive computing[J]. IEEE Pervasive Computing， 2003， 2（1）： 46-55.

[7] GRUTESER M，GRUNWALD D.Anonymous usage of location based services through spatial and temporal cloaking[C].Proceedings of the International Conference on Mobile Systems， Applications， and Services， 2003：163-168.

[8] MEYEROWITZ J，CHOUDHURY R R. Hiding stars with fireworks： location privacy through camouflage[C].Proceedings of ACM Special Interest Group on Mobility of Systems， Users， Data and Computing， 2009：345-356.

[9] YIU MAN-LUNG，JENSEN C S，HUANG XUEGANG，et al.Spacetwist： managing the trade-offs among location privacy， query performance， and query accuracy in mobile services[C].Proceedings of the 24th International Conference on Data Engineering， 2008：366-375.

[10] HONG J I， LANDAY J A. An architecture for privacy-sensitive ubiquitous computing[C].Proceedings of the 2nd International Conference on Mobile Systems，Applications and Services，2004：177-189.

[11] KIDO H， YANAGISAWA Y， SATOH T. An anonymous communication technique using dummies for location-based services[C]. Proceedings of International Conference on Pervasive Services， 2005：88-97.

[12] 潘曉，肖珍，孟小峰. 位置隱私研究綜述[J]. 計(jì)算機(jī)科學(xué)與探索， 2007， 1（3）： 268-281.

（責(zé)任編輯：陳福時(shí)）