摘 要:針對多用戶位置共享場景下的隱私保護(hù)問題,基于區(qū)域混淆發(fā)布的用戶位置隱私保護(hù)方法無法解決多用戶匯合問題,而基于位置概率的精確假位置混淆發(fā)布方法執(zhí)行效率較低,因此提出多用戶位置共享隱私保護(hù)框架以解決該難題。對于不共享位置的用戶,以及與好友距離較遠(yuǎn)時共享位置的用戶,采用k-時空匿名思想將位置發(fā)布成安全區(qū)域;對與好友距離小于閾值的共享位置用戶,根據(jù)位置點(diǎn)概率發(fā)布思想及類HMM模型,將安全區(qū)域發(fā)布切換成假位置點(diǎn)發(fā)布;當(dāng)兩用戶過于接近時,將其視為一個用戶并將假位置點(diǎn)發(fā)布重新切換成安全區(qū)域發(fā)布。通過將兩種位置發(fā)布方法的響應(yīng)時間進(jìn)行對比,得出結(jié)論:該框架能高效地對多用戶位置共享下的用戶位置進(jìn)行隱私保護(hù)。
關(guān)鍵詞:位置共享;隱私保護(hù);概率發(fā)布;k-時空匿名;HMM
DOI:10. 11907/rjdk. 182279
中圖分類號:TP309文獻(xiàn)標(biāo)識碼:A文章編號:1672-7800(2019)004-0153-05
0 引言
近年來,由于智能手機(jī)及其它智能移動設(shè)備的普及,移動互聯(lián)網(wǎng)得到了迅速發(fā)展。移動互聯(lián)網(wǎng)將互聯(lián)網(wǎng)技術(shù)與移動通信技術(shù)相對接,使智能移動終端加入互聯(lián)網(wǎng)平臺,并開展商業(yè)應(yīng)用。根據(jù)中國移動2018年5月公布的運(yùn)營數(shù)據(jù)顯示,僅移動一家的4G用戶即達(dá)到6.718 23億戶。極光大數(shù)據(jù)2018年移動互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告指出,中國移動網(wǎng)民(指通過移動終端參與互聯(lián)網(wǎng)活動的公民)每日平均花費(fèi)4.2小時使用手機(jī)APP。同時,智能移動終端所特有的定位方式催生出各種LBS(基于位置服務(wù))應(yīng)用,使移動互聯(lián)網(wǎng)活動帶給用戶前所未有的新體驗(yàn)。如在線旅游、共享單車、團(tuán)購?fù)赓u類APP均是由LBS輔助,網(wǎng)絡(luò)社交類、地圖導(dǎo)航類APP也是依賴LBS為用戶提供服務(wù)。筆者于2017年提出一種基于LBS的多用戶位置共享方法MULS[1],指出市場上多數(shù)基于LBS的應(yīng)用缺乏用戶間的位置交互。通過引入MULS方法,可使LBS充分發(fā)揮對應(yīng)用的輔助功能,提升應(yīng)用服務(wù)層次,拓寬應(yīng)用業(yè)務(wù)范圍。高德導(dǎo)航與微信的APP目前也已出現(xiàn)基于多用戶位置共享思想的新功能。
位置服務(wù)通過虛實(shí)結(jié)合(線上線下)為用戶提供便利,并在大數(shù)據(jù)背景下為數(shù)據(jù)分析與挖掘帶來新的發(fā)揮空間。但是位置信息泄露也成為人們關(guān)注的問題:對包含位置信息的應(yīng)用服務(wù)數(shù)據(jù)進(jìn)行適當(dāng)分析與挖掘,不僅可直接獲取用戶歷史位置記錄[2],還可能通過時空位置序列規(guī)律推導(dǎo)用戶出行規(guī)律;通過用戶歷史移動軌跡,可能分析出特殊用戶的行為模式及生活方式等[3];服務(wù)提供商歷史用戶服務(wù)數(shù)據(jù)的泄露會造成用戶信息濫用,或出現(xiàn)倒賣用戶信息等違法現(xiàn)象。因此,許多學(xué)者對于位置隱私保護(hù)領(lǐng)域進(jìn)行研究,并針對特定場景提出一些行之有效的保護(hù)措施,但對于多用戶位置共享下的位置隱私保護(hù)尚無特別有效的保護(hù)措施。本文提出在多用戶位置共享下的隱私保護(hù)框架,該框架能解決位置共享與位置隱私保護(hù)之間的沖突,在不影響用戶位置共享體驗(yàn)的前提下,可對用戶位置隱私進(jìn)行有效保護(hù)。
1 相關(guān)工作
國內(nèi)外學(xué)者針對不同場景下的位置隱私保護(hù)提出了許多不同解決方案。從保護(hù)對象角度出發(fā),隱私保護(hù)分為用戶位置信息隱私保護(hù)和服務(wù)提供商歷史位置點(diǎn)服務(wù)信息隱私保護(hù)[4-5];從位置發(fā)布方式角度出發(fā),分為單一位置隱私保護(hù)和連續(xù)移動軌跡隱私保護(hù)[6-8]。不管是哪種隱私保護(hù),其目的都是保護(hù)用戶隱私,也即是說服務(wù)數(shù)據(jù)可以加以使用,但不能讓數(shù)據(jù)與實(shí)際用戶直接產(chǎn)生聯(lián)系,不能將某個或某些敏感位置同用戶真實(shí)身份關(guān)聯(lián)起來。近年來,隱私保護(hù)研究取得了大量成果,可通過假名[2]、匿名[9]、位置混淆[10]以及加密技術(shù)[11]等實(shí)現(xiàn)隱私保護(hù)。
假名策略原理簡單,采用符號代替用戶真實(shí)姓名與用戶位置進(jìn)行關(guān)聯(lián)。該策略運(yùn)行效率較高,但在用戶位置特殊的情況下,攻擊者能迅速將假名與用戶真實(shí)身份相關(guān)聯(lián),且假名策略對于用戶連續(xù)移動軌跡的隱私保護(hù)效果甚微;匿名策略又分為空間匿名和時空匿名??臻g匿名通過泛化用戶位置,降低對象空間粒度,用一個空間區(qū)域代替用戶真實(shí)精確位置,且區(qū)域形狀不限(常用矩形與圓形)。該策略針對單一位置的隱私保護(hù)效果較好,但運(yùn)行效率較假名策略低,且當(dāng)用戶位置持續(xù)移動時,有可能超出泛化空間區(qū)域。對其進(jìn)行改良后,出現(xiàn)了時空匿名策略。時空匿名在空間匿名基礎(chǔ)上增加了時間軸,在不斷重建位置區(qū)域的同時延遲響應(yīng)時間。時空匿名策略的隱私匿名度更高,但同時會降低服務(wù)效率;位置混淆也稱為假位置,即將用戶當(dāng)前位置發(fā)布為用戶歷史位置或虛假位置。該策略在單一瞬時位置保護(hù)上比假名策略的隱私保護(hù)性更強(qiáng),攻擊者獲取用戶當(dāng)前發(fā)布位置也無法推測出用戶實(shí)際位置。將其應(yīng)用于連續(xù)移動軌跡隱私保護(hù)中,若在移動位置序列中發(fā)布的假位置太少,則攻擊者仍能根據(jù)整個移動位置序列中的特征規(guī)律甄別出用戶,若發(fā)布的假位置太多,則會嚴(yán)重影響服務(wù)效率[12];對用戶提交給服務(wù)提供商,再由服務(wù)提供商提交給云平臺的位置及相關(guān)信息進(jìn)行加密也是一種有效的位置隱私保護(hù)策略。攻擊者獲取已加密數(shù)據(jù)后要先進(jìn)行破解,然后才能進(jìn)行挖掘并尋找有用信息,從而使攻擊難度及成本大大提高。但加解密過程本身也增加了服務(wù)商及云平臺運(yùn)算負(fù)擔(dān),運(yùn)行效率較其它策略有一定程度下降[13-14]。
然而,上述工作未專門針對多用戶位置共享場景給出有效的隱私保護(hù)機(jī)制。隨著高德導(dǎo)航和微信兩個地圖導(dǎo)航及社交網(wǎng)絡(luò)類應(yīng)用代表推出多用戶位置共享功能,可預(yù)測將有更多LBS應(yīng)用對其進(jìn)行效仿。因此,為多用戶位置共享設(shè)計(jì)有效的保護(hù)機(jī)制勢在必行。本文結(jié)合前人研究成果,針對多用戶位置共享功能中位置共享與位置隱私保護(hù)的沖突,提出多用戶位置共享隱私保護(hù)框架。該框架能在用戶具有良好共享體驗(yàn)的前提下,有效保障用戶位置隱私。
2 問題描述
在傳統(tǒng)LBS應(yīng)用中,位置信息傳遞一般只存在于位置查詢發(fā)起用戶與服務(wù)商之間。因此,傳統(tǒng)位置隱私攻擊一般將攻擊重點(diǎn)放在位置查詢發(fā)起端,或?qū)Ψ?wù)商數(shù)據(jù)進(jìn)行挖掘攻擊。
在多用戶位置共享中,假設(shè)有3個用戶A、B、C,A可通過位置查詢獲取自身當(dāng)前位置,還可通過服務(wù)商將該位置分享給好友B和C。也即是說,B、C不僅可以通過位置查詢獲取自身當(dāng)前位置,還可通過服務(wù)商獲取A的當(dāng)前位置。如果該服務(wù)商允許共享用戶間移動軌跡,則B、C還可獲取到A歷史位置序列。在該場景中,若攻擊者想獲取A的隱私位置,不僅可以通過A的終端及服務(wù)商歷史數(shù)據(jù),還可通過A的好友列表從其他用戶終端獲取。并且在很多情況下,由于A、B、C想借助共享位置進(jìn)行匯合,要求發(fā)布共享的位置必須精確,從而使攻擊者更容易得到用戶隱私位置,多用戶位置共享下的位置隱私保護(hù)也變得更加困難[1]。
3 多用戶位置共享隱私保護(hù)框架
該隱私保護(hù)框架與傳統(tǒng)隱私保護(hù)不同,首先要對多用戶位置共享中的用戶位置出現(xiàn)情況進(jìn)行分析。仍然以A、B、C 3用戶為例,A與B、C分享自己的位置。在A進(jìn)行位置查詢后,哪些角色會獲取A的位置?主要包括:①A會實(shí)時獲取自身當(dāng)前位置;②服務(wù)提供商數(shù)據(jù)庫會將A的當(dāng)前位置與其最近一次位置進(jìn)行比對。若兩位置不同,則將A當(dāng)前位置及時間保存并添加到A的移動軌跡中;③若時間滿足推送頻率,且A當(dāng)前位置被保存,則服務(wù)器根據(jù)A的好友列表將A的當(dāng)前位置推送給B和C。因此,A用戶位置可能存在于3個不同地方:A終端、好友終端與服務(wù)商數(shù)據(jù)庫。本文提出的框架在兼顧用戶共享體驗(yàn)并保證運(yùn)行效率的同時,可對用戶隱私進(jìn)行全方位保護(hù)。由于在服務(wù)商數(shù)據(jù)庫中對用戶歷史數(shù)據(jù)進(jìn)行隱私保護(hù)屬于后期隱私保護(hù),可單獨(dú)使用BF-P2Ak[15]技術(shù)對歷史數(shù)據(jù)集D進(jìn)行過濾,形成安全數(shù)據(jù)集D′ ,以保證數(shù)據(jù)有效性及用戶數(shù)據(jù)的k-匿名。因此,本文僅從前兩方面介紹框架具體內(nèi)容。
3.1 非位置共享用戶位置保護(hù)
假設(shè)A不與其他用戶共享自己的位置,并假設(shè)攻擊者能遠(yuǎn)程監(jiān)聽A終端,獲取A發(fā)布的位置信息。本文嘗試采用時空匿名方式將用戶具體位置泛化成區(qū)域,使攻擊者僅能得到模糊位置,而A可以根據(jù)周圍場景對自身位置進(jìn)行確認(rèn)。但隨著用戶移動并進(jìn)行頻繁的連續(xù)位置查詢,發(fā)布的位置按照時間軸會形成模糊移動軌跡,可將其看作一個位置區(qū)域序列。雖然時空匿名會不斷重建區(qū)域,似乎一直無法得到A的精確位置,但若隨時間軸將一系列重建區(qū)域聯(lián)系起來,根據(jù)移動軌跡的空間相關(guān)性,攻擊者還是能夠縮小用戶位置區(qū)域。隨著用戶的不斷移動,位置區(qū)域也會越來越小,最終鎖定用戶的精確位置(見圖1)。
因此,本文對該空間匿名方法進(jìn)行優(yōu)化。結(jié)合k-匿名思想,在每次泛化用戶位置區(qū)域的同時,通過服務(wù)器查找A附近其他用戶。將位置區(qū)域構(gòu)建成包含A在內(nèi)用戶數(shù)u≥k的矩形區(qū)域,并稱之為安全區(qū)域[16-18],在安全區(qū)域內(nèi)無法分辨k個用戶中哪個是A。當(dāng)用戶移動位置超出該安全區(qū)域,服務(wù)器將重建此區(qū)域,該方法被稱為k-時空匿名。
圖2簡單描述了采用k-時空匿名優(yōu)化空間匿名方法后的效果。假設(shè)k=4,在圖中每個矩形區(qū)域內(nèi),星形為A每次進(jìn)行位置查詢后發(fā)布的位置,圓環(huán)為其他用戶位置。幾乎每次重建的安全區(qū)域都包括至少4個用戶,但第2個區(qū)域只有3個用戶,用戶數(shù)u小于k。此時有兩種方案可供選擇,對此次查詢位置不進(jìn)行發(fā)布,或在發(fā)布該位置的同時隨機(jī)虛擬出多個其他用戶位置。圖2采用后一種方案,使第二個安全區(qū)域的用戶數(shù)u=k,其中小矩形即為虛擬用戶位置。使用k-時空匿名構(gòu)建安全區(qū)域,不僅泛化了A的位置,并且在連續(xù)移動過程中,不斷重建的安全區(qū)域聯(lián)合分析出的移動軌跡與用戶A的實(shí)際移動軌跡不同。圖2中連接每顆星形的軌跡為A的移動軌跡,另一條軌跡為安全區(qū)域聯(lián)合分析出的移動軌跡。由于每個安全區(qū)域都至少有k個用戶,攻擊者跟隨大致移動軌跡進(jìn)行尋找,也難以在當(dāng)前安全區(qū)域內(nèi)從k個用戶中鎖定A。
3.2 位置共享用戶位置保護(hù)
該框架可對位置查詢用戶A進(jìn)行保護(hù),那么當(dāng)A的位置被分享給其他用戶后,其是否還能被有效保護(hù)?假設(shè)A與B、C共享自身位置,并假設(shè)攻擊者能遠(yuǎn)程監(jiān)聽A、B、C三者終端。隨著A位置的變化,服務(wù)器會在數(shù)據(jù)庫中查詢A的好友列表,并按照一定頻率將A的最新位置逐一推送給B和C。按照3.1節(jié)中的k-時空匿名方法,B和C查詢到的自身當(dāng)前位置,以及服務(wù)器推送給B和C的A當(dāng)前位置也同樣是重建后的安全區(qū)域,從而使B、C在大致了解A位置的同時,沒有增加攻擊者獲取A位置的信息量。
為了保證用戶具有良好的位置共享體驗(yàn),服務(wù)端要以一定頻率不斷對A及A的好友位置距離進(jìn)行計(jì)算。當(dāng)A與其任意好友的距離S小于等于某值時,則理解為A要與該好友匯合。此時若將用戶位置簡單發(fā)布成k-時空匿名安全區(qū)域,則會嚴(yán)重影響用戶的位置共享體驗(yàn),A與A的好友將難以通過位置共享快速找到對方,但若將位置發(fā)布成實(shí)際位置又會將其暴露。因此,將A和B位置發(fā)布為假位置點(diǎn),也稱為觀察位置。如圖3所示,星形點(diǎn)為A的位置,A所在安全區(qū)域?qū)蔷€長為S1;螺旋形點(diǎn)為B的位置,B所在安全區(qū)域?qū)蔷€長為S2。在匯合過程中,當(dāng)A和B的安全區(qū)域逐漸接近時,將兩區(qū)域中心點(diǎn)距離視作A與B的距離S。當(dāng)Smin
多用戶位置共享隱私保護(hù)框架將位置點(diǎn)概率發(fā)布的思想,結(jié)合類HMM模型以及隱藏狀態(tài)到觀察狀態(tài)的發(fā)布概率矩陣進(jìn)行假位置發(fā)布[19-20]。由于A是位置共享方,將A的敏感位置按照提前建立的模型發(fā)布成觀察位置A′ 。圖4為A位置發(fā)布模型,當(dāng)A位置準(zhǔn)備發(fā)布成假位置時,將A所在安全區(qū)域中k個(設(shè)k=5)用戶實(shí)際位置看作敏感位置,構(gòu)成隱藏位置集合H={h1,…,h5}。這里選取n個(設(shè)n=4)觀察位置作為可能發(fā)布的假位置,構(gòu)成觀察位置集合O={o1,…,o4},其中每個隱藏位置hi(i∈[1,5])都有一定概率發(fā)布成任意一個觀察位置oj(j∈[1,4])。圖5是將隱藏位置發(fā)布成觀察位置的概率矩陣R,每個rij表示將隱藏位置hi發(fā)布成觀察位置oj的概率。
當(dāng)Smin
4 效果論證
多用戶位置共享中的用戶位置保護(hù)有以下兩個難點(diǎn):一是用戶位置隨著用戶的不斷移動會形成軌跡,從而使針對單一瞬時位置的隱私保護(hù)策略失效;二是當(dāng)好友匯合時,用戶間的共享位置最終要作為用戶行動的導(dǎo)向,因此位置不能發(fā)布成區(qū)域,必須是位置點(diǎn),從而使一系列泛化位置的隱私保護(hù)策略失效。然而,現(xiàn)有針對移動軌跡的位置點(diǎn)發(fā)布隱私保護(hù)策略,執(zhí)行效率遠(yuǎn)低于位置區(qū)域發(fā)布隱私保護(hù)策略[14]。圖6大致展示了位置點(diǎn)概率發(fā)布響應(yīng)時間隨敏感位置數(shù)目變化的趨勢[12]。從圖中可以看出,位置點(diǎn)概率發(fā)布響應(yīng)時間超過24s。圖7展示了k-時空匿名安全區(qū)域發(fā)布響應(yīng)時間隨k值的變化規(guī)律。k值越大,隱私保護(hù)度越高,但響應(yīng)時間會縮短。當(dāng)k=5時,響應(yīng)時間仍小于4s。顯然兩類技術(shù)中,位置區(qū)域發(fā)布比位置點(diǎn)發(fā)布的響應(yīng)時間短得多。多用戶位置共享隱私保護(hù)框架對非位置共享用戶,以及還不需要精確位置點(diǎn)進(jìn)行導(dǎo)航的位置共享用戶采用k-時空匿名安全區(qū)域發(fā)布方法,既對用戶位置進(jìn)行了保護(hù),又保證了服務(wù)的快速響應(yīng)。當(dāng)且僅當(dāng)位置共享用戶與好友即將見面Smin
5 結(jié)語
本文提出的多用戶位置共享隱私保護(hù)框架從用戶位置可能存在的兩種不同情況出發(fā),分別給出最合適的隱私保護(hù)策略,其中的難點(diǎn)為對位置共享用戶的位置保護(hù)。針對多用戶位置共享中位置共享與位置隱私保護(hù)的沖突,該隱私保護(hù)框架在位置共享好友間距較遠(yuǎn)時采用k-時空匿名方法。當(dāng)好友間距Smin
該框架在保證執(zhí)行效率的前提下,有效解決了多用戶位置共享下既要保證用戶良好的共享體驗(yàn),又要對用戶位置進(jìn)行有效保護(hù)的難題。未來將對該框架不斷進(jìn)行完善,以進(jìn)一步提高整體執(zhí)行效率。
參考文獻(xiàn):
[1] 龔寧靜,冷靜. 一種基于LBS的多用戶位置共享方法MULS[J]. 軟件導(dǎo)刊,2017(12):143-146.
[2] GRUTESER M,GRUNWALD D. Anonymous usage of location based services through spatial and temporal cloaking[C]. Proceedings of the International Conference on Mobile Systems,Applications,and Services(MobiSys03),San Fransisco,USA,2003:31-42.
[3] ZHENG H. A survey of trajectory privacy-preserving techniques[J].? Chinese Journal of Computers, 2011, 34(10):1820-1830.
[4] 霍崢,孟小峰. 軌跡隱私保護(hù)技術(shù)研究[J]. 計(jì)算機(jī)學(xué)報(bào),2011(10):1820-1830.
[5] 潘媛媛,王岌. LBS中位置隱私保護(hù)研究[J]. 軟件導(dǎo)刊,2016(12):147-149.
[6] 唐紅梅,閆春杰,郭強(qiáng). 連續(xù)LBS查詢環(huán)境下的改進(jìn)K匿名隱私保護(hù)方案[J]. 通信技術(shù),2017(8):1805-1809.
[7] KRUMM J. A survey of computational location privacy[J]. Personal and Ubiquitous Computing,2009,13(6):391-399.
[8] YAROVOY R,BONCHI F,LAKSHMANAN L,et al. Anonymizing moving objects:How to hide a MOB in a crowd[C]. Proccedings of the 12th International Conference on Extending Database Technology:Advances in Database Technology(EDBT‘09),Saint-Petersburg,2009:72-83.
[9] BERESFORD A R,RICE A,SKEHIN N,et al. Mockdroid:trading privacy for application functionality on smartphones[C]. Proccedings of the 12th Workshop on Mobile Computing Systems and Applications.Phoenix,USA,2011:49-54.
[10] HONG J I,LANDAY JA. An architecture for privacy-scensitive ubiquitous computing [C]. Proceedings of the 2nd International Conference on Mobile Systeims,Applications and Services,2004:177-189.
[11] MASCETTI S,F(xiàn)RENI D,BETTINI C,et al. Privacy in Geo-social networks:proximity notification with untrusted service providers and curious buddies[J]. The VLDB Journal-The International Journal on Very Large Data Bases,2011,20(4):541-566.
[12] 李婕. 基于PSO優(yōu)化的移動位置隱私保護(hù)算法[J]. 計(jì)算機(jī)學(xué)報(bào),2018(5):1037-1051.
[13] 馬鑫迪. 輕量級位置感知推薦系統(tǒng)隱私保護(hù)框架[J]. 計(jì)算機(jī)學(xué)報(bào),2017(5):1017-1030.
[14] 周凱,彭長根. 可證明安全的LBS中連續(xù)查詢的軌跡隱私保護(hù)方案[J],信息網(wǎng)絡(luò)安全,2017(1):43-47.
[15] RUGGERO G PENSA,ANNA MOUREALE,F(xiàn)ABIO PINELLI,et al.Pattern-preserving k-anonymization of sequences and its application to mobility data mining[C]. Proceedings of the Ist International Workshop on Privacy in Location-Based Applications(PiLBA08). Malaga,Spain,2008.
[16] 倪巍偉,馬中系,陳蕭. 面向路網(wǎng)隱私保護(hù)連續(xù)近鄰查詢的安全區(qū)域構(gòu)建[J]. 計(jì)算機(jī)學(xué)報(bào),2016(3):628-642.
[17] 霍崢,孟曉峰,黃毅. PrivateChekIn:一種移動社交網(wǎng)絡(luò)中的軌跡隱私保護(hù)方法[J]. 計(jì)算機(jī)學(xué)報(bào),2013(4):716-726.
[18] 冀亞麗,桂小林. 支持軌跡隱私保護(hù)的兩階段用戶興趣區(qū)構(gòu)建方法[J]. 計(jì)算機(jī)學(xué)報(bào),2017(12):2734-2747.
[19] TENG G E, CHANG-ZHENG H E, JIANG X Y. Research advancement of hidden Markov model and its application in management[J]. Soft Science,2012,26(2):122-126.
[20] RABINER L R,JUANG B H.An introduction to hidden Markov models[J]. ASSP Magazine,1986,3(1):4-16.
(責(zé)任編輯:黃 ?。?/p>