多用戶位置共享隱私保護(hù)框架研究

摘 要：針對多用戶位置共享場景下的隱私保護(hù)問題，基于區(qū)域混淆發(fā)布的用戶位置隱私保護(hù)方法無法解決多用戶匯合問題，而基于位置概率的精確假位置混淆發(fā)布方法執(zhí)行效率較低，因此提出多用戶位置共享隱私保護(hù)框架以解決該難題。對于不共享位置的用戶，以及與好友距離較遠(yuǎn)時共享位置的用戶，采用k-時空匿名思想將位置發(fā)布成安全區(qū)域;對與好友距離小于閾值的共享位置用戶，根據(jù)位置點(diǎn)概率發(fā)布思想及類HMM模型，將安全區(qū)域發(fā)布切換成假位置點(diǎn)發(fā)布;當(dāng)兩用戶過于接近時，將其視為一個用戶并將假位置點(diǎn)發(fā)布重新切換成安全區(qū)域發(fā)布。通過將兩種位置發(fā)布方法的響應(yīng)時間進(jìn)行對比，得出結(jié)論：該框架能高效地對多用戶位置共享下的用戶位置進(jìn)行隱私保護(hù)。

關(guān)鍵詞：位置共享;隱私保護(hù);概率發(fā)布;k-時空匿名;HMM

DOI：10. 11907/rjdk. 182279

中圖分類號：TP309文獻(xiàn)標(biāo)識碼：A文章編號：1672-7800（2019）004-0153-05

0 引言

近年來，由于智能手機(jī)及其它智能移動設(shè)備的普及，移動互聯(lián)網(wǎng)得到了迅速發(fā)展。移動互聯(lián)網(wǎng)將互聯(lián)網(wǎng)技術(shù)與移動通信技術(shù)相對接，使智能移動終端加入互聯(lián)網(wǎng)平臺，并開展商業(yè)應(yīng)用。根據(jù)中國移動2018年5月公布的運(yùn)營數(shù)據(jù)顯示，僅移動一家的4G用戶即達(dá)到6.718 23億戶。極光大數(shù)據(jù)2018年移動互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)研究報(bào)告指出，中國移動網(wǎng)民（指通過移動終端參與互聯(lián)網(wǎng)活動的公民）每日平均花費(fèi)4.2小時使用手機(jī)APP。同時，智能移動終端所特有的定位方式催生出各種LBS（基于位置服務(wù)）應(yīng)用，使移動互聯(lián)網(wǎng)活動帶給用戶前所未有的新體驗(yàn)。如在線旅游、共享單車、團(tuán)購?fù)赓u類APP均是由LBS輔助，網(wǎng)絡(luò)社交類、地圖導(dǎo)航類APP也是依賴LBS為用戶提供服務(wù)。筆者于2017年提出一種基于LBS的多用戶位置共享方法MULS[1]，指出市場上多數(shù)基于LBS的應(yīng)用缺乏用戶間的位置交互。通過引入MULS方法，可使LBS充分發(fā)揮對應(yīng)用的輔助功能，提升應(yīng)用服務(wù)層次，拓寬應(yīng)用業(yè)務(wù)范圍。高德導(dǎo)航與微信的APP目前也已出現(xiàn)基于多用戶位置共享思想的新功能。

位置服務(wù)通過虛實(shí)結(jié)合（線上線下）為用戶提供便利，并在大數(shù)據(jù)背景下為數(shù)據(jù)分析與挖掘帶來新的發(fā)揮空間。但是位置信息泄露也成為人們關(guān)注的問題：對包含位置信息的應(yīng)用服務(wù)數(shù)據(jù)進(jìn)行適當(dāng)分析與挖掘，不僅可直接獲取用戶歷史位置記錄[2]，還可能通過時空位置序列規(guī)律推導(dǎo)用戶出行規(guī)律;通過用戶歷史移動軌跡，可能分析出特殊用戶的行為模式及生活方式等[3];服務(wù)提供商歷史用戶服務(wù)數(shù)據(jù)的泄露會造成用戶信息濫用，或出現(xiàn)倒賣用戶信息等違法現(xiàn)象。因此，許多學(xué)者對于位置隱私保護(hù)領(lǐng)域進(jìn)行研究，并針對特定場景提出一些行之有效的保護(hù)措施，但對于多用戶位置共享下的位置隱私保護(hù)尚無特別有效的保護(hù)措施。本文提出在多用戶位置共享下的隱私保護(hù)框架，該框架能解決位置共享與位置隱私保護(hù)之間的沖突，在不影響用戶位置共享體驗(yàn)的前提下，可對用戶位置隱私進(jìn)行有效保護(hù)。

1 相關(guān)工作

國內(nèi)外學(xué)者針對不同場景下的位置隱私保護(hù)提出了許多不同解決方案。從保護(hù)對象角度出發(fā)，隱私保護(hù)分為用戶位置信息隱私保護(hù)和服務(wù)提供商歷史位置點(diǎn)服務(wù)信息隱私保護(hù)[4-5];從位置發(fā)布方式角度出發(fā)，分為單一位置隱私保護(hù)和連續(xù)移動軌跡隱私保護(hù)[6-8]。不管是哪種隱私保護(hù)，其目的都是保護(hù)用戶隱私，也即是說服務(wù)數(shù)據(jù)可以加以使用，但不能讓數(shù)據(jù)與實(shí)際用戶直接產(chǎn)生聯(lián)系，不能將某個或某些敏感位置同用戶真實(shí)身份關(guān)聯(lián)起來。近年來，隱私保護(hù)研究取得了大量成果，可通過假名[2]、匿名[9]、位置混淆[10]以及加密技術(shù)[11]等實(shí)現(xiàn)隱私保護(hù)。

假名策略原理簡單，采用符號代替用戶真實(shí)姓名與用戶位置進(jìn)行關(guān)聯(lián)。該策略運(yùn)行效率較高，但在用戶位置特殊的情況下，攻擊者能迅速將假名與用戶真實(shí)身份相關(guān)聯(lián)，且假名策略對于用戶連續(xù)移動軌跡的隱私保護(hù)效果甚微;匿名策略又分為空間匿名和時空匿名?？臻g匿名通過泛化用戶位置，降低對象空間粒度，用一個空間區(qū)域代替用戶真實(shí)精確位置，且區(qū)域形狀不限（常用矩形與圓形）。該策略針對單一位置的隱私保護(hù)效果較好，但運(yùn)行效率較假名策略低，且當(dāng)用戶位置持續(xù)移動時，有可能超出泛化空間區(qū)域。對其進(jìn)行改良后，出現(xiàn)了時空匿名策略。時空匿名在空間匿名基礎(chǔ)上增加了時間軸，在不斷重建位置區(qū)域的同時延遲響應(yīng)時間。時空匿名策略的隱私匿名度更高，但同時會降低服務(wù)效率;位置混淆也稱為假位置，即將用戶當(dāng)前位置發(fā)布為用戶歷史位置或虛假位置。該策略在單一瞬時位置保護(hù)上比假名策略的隱私保護(hù)性更強(qiáng)，攻擊者獲取用戶當(dāng)前發(fā)布位置也無法推測出用戶實(shí)際位置。將其應(yīng)用于連續(xù)移動軌跡隱私保護(hù)中，若在移動位置序列中發(fā)布的假位置太少，則攻擊者仍能根據(jù)整個移動位置序列中的特征規(guī)律甄別出用戶，若發(fā)布的假位置太多，則會嚴(yán)重影響服務(wù)效率[12];對用戶提交給服務(wù)提供商，再由服務(wù)提供商提交給云平臺的位置及相關(guān)信息進(jìn)行加密也是一種有效的位置隱私保護(hù)策略。攻擊者獲取已加密數(shù)據(jù)后要先進(jìn)行破解，然后才能進(jìn)行挖掘并尋找有用信息，從而使攻擊難度及成本大大提高。但加解密過程本身也增加了服務(wù)商及云平臺運(yùn)算負(fù)擔(dān)，運(yùn)行效率較其它策略有一定程度下降[13-14]。

然而，上述工作未專門針對多用戶位置共享場景給出有效的隱私保護(hù)機(jī)制。隨著高德導(dǎo)航和微信兩個地圖導(dǎo)航及社交網(wǎng)絡(luò)類應(yīng)用代表推出多用戶位置共享功能，可預(yù)測將有更多LBS應(yīng)用對其進(jìn)行效仿。因此，為多用戶位置共享設(shè)計(jì)有效的保護(hù)機(jī)制勢在必行。本文結(jié)合前人研究成果，針對多用戶位置共享功能中位置共享與位置隱私保護(hù)的沖突，提出多用戶位置共享隱私保護(hù)框架。該框架能在用戶具有良好共享體驗(yàn)的前提下，有效保障用戶位置隱私。

2 問題描述

在傳統(tǒng)LBS應(yīng)用中，位置信息傳遞一般只存在于位置查詢發(fā)起用戶與服務(wù)商之間。因此，傳統(tǒng)位置隱私攻擊一般將攻擊重點(diǎn)放在位置查詢發(fā)起端，或?qū)Ψ?wù)商數(shù)據(jù)進(jìn)行挖掘攻擊。

在多用戶位置共享中，假設(shè)有3個用戶A、B、C，A可通過位置查詢獲取自身當(dāng)前位置，還可通過服務(wù)商將該位置分享給好友B和C。也即是說，B、C不僅可以通過位置查詢獲取自身當(dāng)前位置，還可通過服務(wù)商獲取A的當(dāng)前位置。如果該服務(wù)商允許共享用戶間移動軌跡，則B、C還可獲取到A歷史位置序列。在該場景中，若攻擊者想獲取A的隱私位置，不僅可以通過A的終端及服務(wù)商歷史數(shù)據(jù)，還可通過A的好友列表從其他用戶終端獲取。并且在很多情況下，由于A、B、C想借助共享位置進(jìn)行匯合，要求發(fā)布共享的位置必須精確，從而使攻擊者更容易得到用戶隱私位置，多用戶位置共享下的位置隱私保護(hù)也變得更加困難[1]。

3 多用戶位置共享隱私保護(hù)框架

該隱私保護(hù)框架與傳統(tǒng)隱私保護(hù)不同，首先要對多用戶位置共享中的用戶位置出現(xiàn)情況進(jìn)行分析。仍然以A、B、C 3用戶為例，A與B、C分享自己的位置。在A進(jìn)行位置查詢后，哪些角色會獲取A的位置？主要包括：①A會實(shí)時獲取自身當(dāng)前位置;②服務(wù)提供商數(shù)據(jù)庫會將A的當(dāng)前位置與其最近一次位置進(jìn)行比對。若兩位置不同，則將A當(dāng)前位置及時間保存并添加到A的移動軌跡中;③若時間滿足推送頻率，且A當(dāng)前位置被保存，則服務(wù)器根據(jù)A的好友列表將A的當(dāng)前位置推送給B和C。因此，A用戶位置可能存在于3個不同地方：A終端、好友終端與服務(wù)商數(shù)據(jù)庫。本文提出的框架在兼顧用戶共享體驗(yàn)并保證運(yùn)行效率的同時，可對用戶隱私進(jìn)行全方位保護(hù)。由于在服務(wù)商數(shù)據(jù)庫中對用戶歷史數(shù)據(jù)進(jìn)行隱私保護(hù)屬于后期隱私保護(hù)，可單獨(dú)使用BF-P2Ak[15]技術(shù)對歷史數(shù)據(jù)集D進(jìn)行過濾，形成安全數(shù)據(jù)集D′ ，以保證數(shù)據(jù)有效性及用戶數(shù)據(jù)的k-匿名。因此，本文僅從前兩方面介紹框架具體內(nèi)容。

3.1 非位置共享用戶位置保護(hù)

假設(shè)A不與其他用戶共享自己的位置，并假設(shè)攻擊者能遠(yuǎn)程監(jiān)聽A終端，獲取A發(fā)布的位置信息。本文嘗試采用時空匿名方式將用戶具體位置泛化成區(qū)域，使攻擊者僅能得到模糊位置，而A可以根據(jù)周圍場景對自身位置進(jìn)行確認(rèn)。但隨著用戶移動并進(jìn)行頻繁的連續(xù)位置查詢，發(fā)布的位置按照時間軸會形成模糊移動軌跡，可將其看作一個位置區(qū)域序列。雖然時空匿名會不斷重建區(qū)域，似乎一直無法得到A的精確位置，但若隨時間軸將一系列重建區(qū)域聯(lián)系起來，根據(jù)移動軌跡的空間相關(guān)性，攻擊者還是能夠縮小用戶位置區(qū)域。隨著用戶的不斷移動，位置區(qū)域也會越來越小，最終鎖定用戶的精確位置（見圖1）。

因此，本文對該空間匿名方法進(jìn)行優(yōu)化。結(jié)合k-匿名思想，在每次泛化用戶位置區(qū)域的同時，通過服務(wù)器查找A附近其他用戶。將位置區(qū)域構(gòu)建成包含A在內(nèi)用戶數(shù)u≥k的矩形區(qū)域，并稱之為安全區(qū)域[16-18]，在安全區(qū)域內(nèi)無法分辨k個用戶中哪個是A。當(dāng)用戶移動位置超出該安全區(qū)域，服務(wù)器將重建此區(qū)域，該方法被稱為k-時空匿名。

圖2簡單描述了采用k-時空匿名優(yōu)化空間匿名方法后的效果。假設(shè)k=4，在圖中每個矩形區(qū)域內(nèi)，星形為A每次進(jìn)行位置查詢后發(fā)布的位置，圓環(huán)為其他用戶位置。幾乎每次重建的安全區(qū)域都包括至少4個用戶，但第2個區(qū)域只有3個用戶，用戶數(shù)u小于k。此時有兩種方案可供選擇，對此次查詢位置不進(jìn)行發(fā)布，或在發(fā)布該位置的同時隨機(jī)虛擬出多個其他用戶位置。圖2采用后一種方案，使第二個安全區(qū)域的用戶數(shù)u=k，其中小矩形即為虛擬用戶位置。使用k-時空匿名構(gòu)建安全區(qū)域，不僅泛化了A的位置，并且在連續(xù)移動過程中，不斷重建的安全區(qū)域聯(lián)合分析出的移動軌跡與用戶A的實(shí)際移動軌跡不同。圖2中連接每顆星形的軌跡為A的移動軌跡，另一條軌跡為安全區(qū)域聯(lián)合分析出的移動軌跡。由于每個安全區(qū)域都至少有k個用戶，攻擊者跟隨大致移動軌跡進(jìn)行尋找，也難以在當(dāng)前安全區(qū)域內(nèi)從k個用戶中鎖定A。

3.2 位置共享用戶位置保護(hù)

該框架可對位置查詢用戶A進(jìn)行保護(hù)，那么當(dāng)A的位置被分享給其他用戶后，其是否還能被有效保護(hù)？假設(shè)A與B、C共享自身位置，并假設(shè)攻擊者能遠(yuǎn)程監(jiān)聽A、B、C三者終端。隨著A位置的變化，服務(wù)器會在數(shù)據(jù)庫中查詢A的好友列表，并按照一定頻率將A的最新位置逐一推送給B和C。按照3.1節(jié)中的k-時空匿名方法，B和C查詢到的自身當(dāng)前位置，以及服務(wù)器推送給B和C的A當(dāng)前位置也同樣是重建后的安全區(qū)域，從而使B、C在大致了解A位置的同時，沒有增加攻擊者獲取A位置的信息量。

為了保證用戶具有良好的位置共享體驗(yàn)，服務(wù)端要以一定頻率不斷對A及A的好友位置距離進(jìn)行計(jì)算。當(dāng)A與其任意好友的距離S小于等于某值時，則理解為A要與該好友匯合。此時若將用戶位置簡單發(fā)布成k-時空匿名安全區(qū)域，則會嚴(yán)重影響用戶的位置共享體驗(yàn)，A與A的好友將難以通過位置共享快速找到對方，但若將位置發(fā)布成實(shí)際位置又會將其暴露。因此，將A和B位置發(fā)布為假位置點(diǎn)，也稱為觀察位置。如圖3所示，星形點(diǎn)為A的位置，A所在安全區(qū)域?qū)蔷€長為S1;螺旋形點(diǎn)為B的位置，B所在安全區(qū)域?qū)蔷€長為S2。在匯合過程中，當(dāng)A和B的安全區(qū)域逐漸接近時，將兩區(qū)域中心點(diǎn)距離視作A與B的距離S。當(dāng)Smin

多用戶位置共享隱私保護(hù)框架將位置點(diǎn)概率發(fā)布的思想，結(jié)合類HMM模型以及隱藏狀態(tài)到觀察狀態(tài)的發(fā)布概率矩陣進(jìn)行假位置發(fā)布[19-20]。由于A是位置共享方，將A的敏感位置按照提前建立的模型發(fā)布成觀察位置A′ 。圖4為A位置發(fā)布模型，當(dāng)A位置準(zhǔn)備發(fā)布成假位置時，將A所在安全區(qū)域中k個（設(shè)k=5）用戶實(shí)際位置看作敏感位置，構(gòu)成隱藏位置集合H={h1，…，h5}。這里選取n個（設(shè)n=4）觀察位置作為可能發(fā)布的假位置，構(gòu)成觀察位置集合O={o1，…，o4}，其中每個隱藏位置hi（i∈[1，5]）都有一定概率發(fā)布成任意一個觀察位置oj（j∈[1，4]）。圖5是將隱藏位置發(fā)布成觀察位置的概率矩陣R，每個rij表示將隱藏位置hi發(fā)布成觀察位置oj的概率。

當(dāng)Smin

4 效果論證

多用戶位置共享中的用戶位置保護(hù)有以下兩個難點(diǎn)：一是用戶位置隨著用戶的不斷移動會形成軌跡，從而使針對單一瞬時位置的隱私保護(hù)策略失效;二是當(dāng)好友匯合時，用戶間的共享位置最終要作為用戶行動的導(dǎo)向，因此位置不能發(fā)布成區(qū)域，必須是位置點(diǎn)，從而使一系列泛化位置的隱私保護(hù)策略失效。然而，現(xiàn)有針對移動軌跡的位置點(diǎn)發(fā)布隱私保護(hù)策略，執(zhí)行效率遠(yuǎn)低于位置區(qū)域發(fā)布隱私保護(hù)策略[14]。圖6大致展示了位置點(diǎn)概率發(fā)布響應(yīng)時間隨敏感位置數(shù)目變化的趨勢[12]。從圖中可以看出，位置點(diǎn)概率發(fā)布響應(yīng)時間超過24s。圖7展示了k-時空匿名安全區(qū)域發(fā)布響應(yīng)時間隨k值的變化規(guī)律。k值越大，隱私保護(hù)度越高，但響應(yīng)時間會縮短。當(dāng)k=5時，響應(yīng)時間仍小于4s。顯然兩類技術(shù)中，位置區(qū)域發(fā)布比位置點(diǎn)發(fā)布的響應(yīng)時間短得多。多用戶位置共享隱私保護(hù)框架對非位置共享用戶，以及還不需要精確位置點(diǎn)進(jìn)行導(dǎo)航的位置共享用戶采用k-時空匿名安全區(qū)域發(fā)布方法，既對用戶位置進(jìn)行了保護(hù)，又保證了服務(wù)的快速響應(yīng)。當(dāng)且僅當(dāng)位置共享用戶與好友即將見面Smin

5 結(jié)語

本文提出的多用戶位置共享隱私保護(hù)框架從用戶位置可能存在的兩種不同情況出發(fā)，分別給出最合適的隱私保護(hù)策略，其中的難點(diǎn)為對位置共享用戶的位置保護(hù)。針對多用戶位置共享中位置共享與位置隱私保護(hù)的沖突，該隱私保護(hù)框架在位置共享好友間距較遠(yuǎn)時采用k-時空匿名方法。當(dāng)好友間距Smin

該框架在保證執(zhí)行效率的前提下，有效解決了多用戶位置共享下既要保證用戶良好的共享體驗(yàn)，又要對用戶位置進(jìn)行有效保護(hù)的難題。未來將對該框架不斷進(jìn)行完善，以進(jìn)一步提高整體執(zhí)行效率。

參考文獻(xiàn)：

[1] 龔寧靜，冷靜. 一種基于LBS的多用戶位置共享方法MULS[J]. 軟件導(dǎo)刊，2017（12）：143-146.

[2] GRUTESER M，GRUNWALD D. Anonymous usage of location based services through spatial and temporal cloaking[C]. Proceedings of the International Conference on Mobile Systems，Applications，and Services（MobiSys03），San Fransisco，USA，2003：31-42.

[3] ZHENG H. A survey of trajectory privacy-preserving techniques[J].? Chinese Journal of Computers， 2011， 34（10）：1820-1830.

[4] 霍崢，孟小峰. 軌跡隱私保護(hù)技術(shù)研究[J]. 計(jì)算機(jī)學(xué)報(bào)，2011（10）：1820-1830.

[5] 潘媛媛，王岌. LBS中位置隱私保護(hù)研究[J]. 軟件導(dǎo)刊，2016（12）：147-149.

[6] 唐紅梅，閆春杰，郭強(qiáng). 連續(xù)LBS查詢環(huán)境下的改進(jìn)K匿名隱私保護(hù)方案[J]. 通信技術(shù)，2017（8）：1805-1809.

[7] KRUMM J. A survey of computational location privacy[J]. Personal and Ubiquitous Computing，2009，13（6）：391-399.

[8] YAROVOY R，BONCHI F，LAKSHMANAN L，et al. Anonymizing moving objects：How to hide a MOB in a crowd[C]. Proccedings of the 12th International Conference on Extending Database Technology：Advances in Database Technology（EDBT‘09），Saint-Petersburg，2009：72-83.

[9] BERESFORD A R，RICE A，SKEHIN N，et al. Mockdroid：trading privacy for application functionality on smartphones[C]. Proccedings of the 12th Workshop on Mobile Computing Systems and Applications.Phoenix，USA，2011：49-54.

[10] HONG J I，LANDAY JA. An architecture for privacy-scensitive ubiquitous computing [C]. Proceedings of the 2nd International Conference on Mobile Systeims，Applications and Services，2004：177-189.

[11] MASCETTI S，F(xiàn)RENI D，BETTINI C，et al. Privacy in Geo-social networks：proximity notification with untrusted service providers and curious buddies[J]. The VLDB Journal-The International Journal on Very Large Data Bases，2011，20（4）：541-566.

[12] 李婕. 基于PSO優(yōu)化的移動位置隱私保護(hù)算法[J]. 計(jì)算機(jī)學(xué)報(bào)，2018（5）：1037-1051.

[13] 馬鑫迪. 輕量級位置感知推薦系統(tǒng)隱私保護(hù)框架[J]. 計(jì)算機(jī)學(xué)報(bào)，2017（5）：1017-1030.

[14] 周凱，彭長根. 可證明安全的LBS中連續(xù)查詢的軌跡隱私保護(hù)方案[J]，信息網(wǎng)絡(luò)安全，2017（1）：43-47.

[15] RUGGERO G PENSA，ANNA MOUREALE，F(xiàn)ABIO PINELLI，et al.Pattern-preserving k-anonymization of sequences and its application to mobility data mining[C]. Proceedings of the Ist International Workshop on Privacy in Location-Based Applications（PiLBA08）. Malaga，Spain，2008.

[16] 倪巍偉，馬中系，陳蕭. 面向路網(wǎng)隱私保護(hù)連續(xù)近鄰查詢的安全區(qū)域構(gòu)建[J]. 計(jì)算機(jī)學(xué)報(bào)，2016（3）：628-642.

[17] 霍崢，孟曉峰，黃毅. PrivateChekIn：一種移動社交網(wǎng)絡(luò)中的軌跡隱私保護(hù)方法[J]. 計(jì)算機(jī)學(xué)報(bào)，2013（4）：716-726.

[18] 冀亞麗，桂小林. 支持軌跡隱私保護(hù)的兩階段用戶興趣區(qū)構(gòu)建方法[J]. 計(jì)算機(jī)學(xué)報(bào)，2017（12）：2734-2747.

[19] TENG G E， CHANG-ZHENG H E， JIANG X Y. Research advancement of hidden Markov model and its application in management[J]. Soft Science，2012，26（2）：122-126.

[20] RABINER L R，JUANG B H.An introduction to hidden Markov models[J]. ASSP Magazine，1986，3（1）：4-16.

（責(zé)任編輯：黃 ?。?/p>