1、LBS 下的位置隐私保护【摘 要】随着移动网络平台的发展,基于位置的服务(LBS)也成为人们生活中不可或缺的一部分,而用户在获取 LBS 的同时也想服务提供商提供了自己的位置信息。这个信息有可能被攻击者获取继而得知用户的隐私。位置隐私保护是现阶段信息安全领域的热门研究方向,并且已经取得了一定的研究成功,然而存在的问题也是对未来研究不小的挑战。本文简要对包括 k-匿名技术在内的,现阶段不同原理和应用背景下的位置隐私保护方案和算法进行了介绍。最后,总结了位置隐私保护技术当前存在的问题及未来的发展方向。【关键词】基于位置的服务 位置隐私保护 k-匿名方法 轨迹隐私保护1.引言随着智能手机和平板电脑的
2、移动设备的普及,随着物联网及其相关技术的飞速发展,基于位置的服务LBS(Location based service)越来越流行,也逐渐成为人们生活中不可或缺的一部分。LBS是指使用某种定位技术(如全球卫星定位系统、手机定位和通过Wi-Fi 接入点的定位) ,为移动用户提供与当前的位置有关的个性化服务。 1位置服务系统结合完备的地理信息数据和信息搜索引擎, 可以提供给用户丰富的位置信息服务。具体有以下应用:(1) 人身安全和紧急救助; (2) 机动车反劫防盗;(3) 集团车队、人员和租凭设备的调度管理;(4) 与位置相关的信息服务; (5) 物流管理;(6) 广告;(7) 友情、娱乐性服务等。
3、 12如今,我们已经可以随处可见基于位置的服务,搜寻Google Map,找寻附近的酒店、餐馆、娱乐场所,道路导航,这些无不是LBS 的典型应用。而类似微信这种社交平台提供的就近交友服务,同样是LBS的功劳。图表 1 LBS 的典型构成注:图表 1 来源于百度百科移动终端用户以WAP协议通过WAP网关向WEB服务器发出请求,包括用户代码、密码和电话号码。WEB服务器将这些信息送到定位服务器,如果是合法用户,则接受请求并记录用户当前位置送回到WEB服务器。WEB 服务器通知用户已经成功登陆并允许用户进一步提出想要查找的内容。Web服务器根据位置信息和用户的选择形成LDAP服务请求并发送LDAP服
4、务器,LDAP服务器在数据库中搜寻满足用户请求的信息,并通过Web服务器将相关信息发送给用户。如果LDAP服务器在用户所在蜂窝范围内没找到满足条件的内容,则搜索相邻的蜂窝,如果仍未找到,就向用户回复相关信息。如图1所示,为基本的LBS构成。随着LBS占据移动市场越来越重的份额,一方面可以预见LBS 将更为深刻地影响人们生活和出行的方式,与此同时,这种趋势也对LBS提出了更高的要求。移动用户所携带的移动终端获取用户当前的位置信息,用户想服务器提出服务请求,继而获取与当前位置相关的服务。由于服务器是根据用户的位置信息来处理服务请求,那么用户的位置信息则存在被泄露或者被非法使用的风险。随着LBS的发
5、展,由此带来的位置隐私保护也越来越受到人们的重视。某些不法分子可以通过获取特定用户的位置信息,推测出用户的生活轨迹和习惯,从而得知用户的其他私密信息,这将极大危害到用户的隐私和利益。如何保护用户位置隐私成为近年来亟待解决的问题,也是近几年信息安全领域的一大研究热点。目前,已有很多针对LBS环境下的位置隐私保护研究,也有一些相对而言简单有效的技术提出。位置隐私保护是阻止其他个体或团体知道某个用户当前或过去的位置的能力。由于位置信息服务需借助用户位置信息,因此用户信息越准确,服务器返回给用户的服务信息的正确性、可靠性、准确性也会越高,用户信息的精确度决定了LBS的质量。而用户却需要在不暴露隐私信息
6、的前提下获得高质量的服务。因此,平衡位置隐私保护和服务质量之间的矛盾是基于位置服务中位置隐私保护的核心问题。 2另外,在不同的移动网络中,也有许多具体的问题需要解决,而不同的隐私保护方案诸如服务器负担加重等问题,使得目前为止,仍没有一个最优的方案来解决位置隐私保护的问题。但是前人的研究却给后来者提供了很多启发。接下来的篇幅将简要介绍几种典型的方案与算法并分析各自的利弊。最后,讨论目前位置隐私保护方法中存在的问题以及未来的研究方向。2.位置隐私保护位置隐私信息由标识信息和位置信息组成 3。标识信息表示用户的静态属性或特征,用来唯一标识一个用户。位置信息则描述某个个体或团体的行踪。传统的位置隐私保
7、护的方法主要是根据组成位置隐私信息的两类信息来进行分类 2。一类方法是向服务器提供准确的用户位置信息,以便得到高质量的服务信息,而将用户的标识信息(例如匿名、假名等)进行隐藏;另一类方法是将用户的标识信息完全暴露给服务器,而将用户位置信息进行隐藏,即将用户的位置信息模糊化(泛化)后提供给服务器,以达到位置隐私保护的目的;再者是将上两类方法的结合方案。2.1 身份保护方法2.1.1 k-匿名位置隐私技术Sweeney4在2002年最先提出的k-匿名方法是一种广泛应用于数据发布中的数据隐私保护的技术。该方法对每条记录的非敏感属性进行泛化,使得发布后的数据中的每条记录都至少不能和其他k-1条记录区别
8、开来。该方法的思想被一些研究者移植到位置隐私保护中,是最早提出的位置隐私保护方法,并成为了目前使用最普遍的方法。其中, “匿名”的思想,属于身份保护,即用户的ID 不能跟其他 k-1个用户的ID 区分开来,这样,即使某个用户的位置信息被攻击者截获,攻击者也无法得知究竟是哪个用户像服务器发送了请求。k-匿名技术被证明能够防止用户位置信息泄露,并从根本上防止用户的身份信息泄露。k-匿名保护需要引入一个集中式的第三方平台即匿名器。当用户向服务器发送LBS 服务请求时,先把位置信息发送给匿名器。匿名器将用户的位置坐标泛化成一个具有k-匿名性质的区域即匿名区ASR( anonymous spatial
9、region) ,并且该区域在面积上不小于一定的值,且区域内至少有k个用户,用户的身份在该区域内被识别出来的概率为1 /k。采用该方案时,LBS服务器需要添加一个查询处理器,专门用来快速地处理空间区域的查询,找出所有的候选结果即候选集( candidate set,CS) ,并返回给用户,让用户从中选择一个最优的。虽然该方案考虑周全,能够在很大程度上解决位置隐私保护存在的问题,但是增加了服务器的运算资源,并且加重了网络的负载。目前,k-匿名方法是普遍使用的位置隐私保护方法。文献1总结了几种常见的匿名算法。其中,间隔匿名(interval cloak)算法和Casper匿名(Casper clo
10、ak)算法,也称作小集团算法(clique cloak)算法的基本思路都是由匿名服务器构建一个四叉树数据结构,将平面控件递归地用十字分成四个面积相等的正方形区间,直到所得到的最小的正方形区间的面积为系统要求的允许用户所采用的最小匿名面积位置为之,每个正方形区间对应于四叉树中的一个节点,系统中的用户每隔一定的时间将自己的位置坐标上报给匿名服务器,匿名服务器更新并统计每个节点对应区间内的用户数量。当用户进行匿名查询时,匿名器通过检索四叉树为用户U 生成一个匿名区ASR,间隔匿名算法从包含用户U 的四叉树的叶子节点开始向四叉树根的方向搜索,直到找到包含不低于k 个用户的节点( 包括用户U在内) ,并
11、把该节点所对应的区域作为用户U的一个匿名区ASR。如图2所示,如果用户u1 发起k = 2 的匿名查询,间隔匿名算法将首先搜索到象限区间( 0,0) ,( 1,1) ,其中包含不少于2 个用户。接下来,间隔匿名算法将就向根的方向上升一级搜索象限区间( 0,0) ,( 2,2) ,该象限区间包含3 个用户,大于要求的2个,算法停止搜索,并将该区间作为用户u1 的匿名区ASR。而 Casper cloak的做法是依次检查它的两个相邻的兄弟节点和它所组合起来的区间中所包含的用户数量是否大于等于k,如果满足则直接将组合区间作为用户的匿名区,否则再对其父节点进行搜索。文献1还介绍了Hilbert匿名(
12、Hilbert cloak) 算法,也称做小集团算法(clique cloak),以及匿名区分割算法,这里就不再赘述了。图表 2 匿名实例注:图表 2 来自文献12.1.2 k-匿名位置隐私技术的优化与改进在位置隐私保护中,不同的用户有不同的位置K-匿名需求,针对 K-匿名法的局限性,由Gedik and Liu6首先提出了个性化K匿名法。个性化K- 匿名法是改进的K-匿名法,在这种方法中,每位用户可以自行定义其所需的匿名等级,根据匿名等级设置相应的位置隐私策略,并通过分类树的节点来定义隐私保护程度,此时有着相同K 值的移动用户信息可能被一起匿名化。这种方法的缺点在于当K 值增高时,模糊的信息
13、量就会减少,匿名化信息的比例会逐渐下降。文献8提供了一种个性k- 匿名算法,在普通匿名算法中增加匿名群记忆模块,从而加快匿名算法的匿名速度。仿真结果表明当用户对安全要求较高的情况下,新匿名算法与普通算法相比具有更快的匿名速度,同时匿名成功率也得到了提升;但在用户对安全要求低的情况下,新算法在匿名速度方面要慢于普通算法,成功率方面的优势也不明显。由于发送给LBS提供方的用户信息被第三方平台匿名器模糊化,进而对服务器查询优化,以及查询安全的要求进一步提高。同时,文献10 提出仅仅保护用户身份的匿名性是是不够的,为了防止攻击者非法攻击服务器,再通过高级数据挖掘技术,进而获得用户的隐私,文献进行了服务
14、器端查询结果完整性和数据保密性的研究,引入了基于锚点的增量查询的方法,提出了一个改进的保证空间数据保密性和查询结果完整性的隐私保护方案。即便在同一地点进行多次查询,变换每次查询、验证过程的锚点信息,使得每次查询时两轮交互所基于的希尔伯特值都与之前不一样,这样攻击者就无法区分第一轮和第二轮的查询,找不到两者的对应关系,进而抵抗了用户在同一地点发起重复请求时容易遭受的攻击10。2.1.3 假名技术假名是匿名的一种特殊类型,每个用户使用一个假名来达到隐藏真实ID的目的。恶意的攻击者虽然可能从服务器端得到用户的准确位置信息,但不能准确地将位置信息与用户的真实信息联系起来,增加了定位某个具体用户的难度,
15、从而达到用户位置隐私保护的目的。 2Beresford和Stajano提出了一种重要的身份保护方法混合区域(mix zone)。该方法定义了两种类型的区域:应用区域和混合区域。这两种类型的区域都是一个空间区域。在应用区域中,用户可以提出服务请求和接收服务信息;但在混合区域中,用户没有任何通信。这种方法的有效性在于用户使用假名。为了更好地保护用户的位置隐私,用户使用同一个假名不能超过一定的时间。例如用户在进入混合区域之前使用某一个假名,出混合区域时使用另一个不同的假名。由于用户在混合区域中没有任何通信,增加了将同一个用户前后使用的假名关联起来的难度,从而达到保护ID信息的目的。由于现在云计算和数
16、据挖掘技术已经得到了充分的发展,匿名技术和假名技术仍旧不能完全保护位置隐私。2.2 位置信息保护方法位置信息保护方法允许服务器知道用户的真实身份,但是降低用户位置信息的准确度,一次达到位置隐私保护的目的。这类方法可以分为四类:(1)错误的或假的位置信息;(2 )冗余信息;(3)路标对象;(4)区域化位置信息。错误的或假的位置信息指用户发送多个不同的位置信息给服务器,其中只有一个为用户准确位置;冗余信息是指,可以在一段时间内发送多个同一用户的请求。这些请求得到响应后,LSP 对于其中用户真实需要的那个定位请求按照正常的流程进行定位,对其余的冗余请求,以随机的方式向LBSs发送一些随机位置坐标。最
17、后LBSs将查询的结果返回给LSP后,LSP 将其中用户真实的查询结果发回用户,丢弃其余的结果;路标对象则是说用户发送的不是用户准确位置信息而是路标或标志性位置信息;区域化位置信息则是将用户的准确位置信息用包含用户准确位置的空间区域代替。区域化位置信息最典型的方法是Space Twist方法。这些方法的共同思路在于,增加攻击者从截获的某个用户发送的请求信息中准确判断出用户位置的难度。但显然,这些方法,都使得服务质量大大下降,也将或多或少增加服务器的负载,同时也增加服务器反应时间。3.轨迹隐私保护k-匿名算法可以有效保护用户身份信息不被泄露,然而,这只是针对短时间的少数几次位置查询。实际生活中,
18、需要用户的请求往往是长时间实时发送的。对于每次的查询,攻击都不能确认是匿名集中哪个用户进行的查询。若攻击者为持续监测,可以通过观察不同时刻的匿名集内的用户组合来推测是哪个用户发送了查询消息,攻击者可按时间序列将相邻的匿名集做取交处理,从而推测出发送消息的用户。这就是轨迹隐私保护的问题。经过短时间连时间发送位置服务请求,用户不仅可能暴露行踪,还有可能暴露准确位置和行迹。大体上,攻击类型可以分为连续查询攻击和最大速度攻击。文献1介绍了一些典型的连续查询轨迹匿名算法,该算法实现了一个基于移动终端的用户移动轨迹保护方法。文献5针对移动环境下的用户轨迹隐私保护,提出移动模式攻击(MPA) 5攻击的方法,
19、并针对这种攻击建立防范移动模型,提出了移动环境下的k-匿名算法Mclique,以及其快速版本Fclique有效抵御MPA攻击。轨迹隐私保护是位置隐私保护的一个重要分支,目前的研究都还停留在理论阶段,尚未有较好的方法应用到实际中去。4.隐私模型在过去的10年,为了保证从客户端发往服务器的数据的隐私安全,已经提出了多种体系结构。主要有以下三种模型:(1)非协作模型;(2 )对等协作模型( P2P) ;(3)集中受信任的第三方模型。上面提到的很多算法都是基于(3) ,如k-匿名方法,就需要可信任的第三方将用户准确位置信息泛化后再提交给服务提供方。 (3)的模型结构下图所示。图表 3 集中受信任的第三
20、方模型注:图表 3 来源于文献55.位置隐私保护的问题发展趋势 2上面介绍了近年来位置隐私保护技术的主要研究成果。但目前仍有以下几个方面的问题有待解决:(1)这些研究并没有考虑移动用户之间的交互。在移动环境中,移动用户的移动并不是独立于其他移动对象的。因此,在位置隐私保护技术研究中考虑移动用户之间的交互是目前还没有解决的问题。(2)当前移动对象运动轨迹的隐私保护研究也只是建立在一般的运动模式上。因此,仍需要研究能够为不同运动模式的移动对象提供足够轨迹隐私保护的轨迹隐私保护技术。(3)位置隐私保护不仅要阻止非法获取用户的位置信息,还要保证不能滥用合法获取的移动对象的位置信息。因此,如何保证移动对
21、象的位置信息不被滥用,也是一个有待解决的问题。位置隐私保护将导致存储在基于位置的服务系统中的数据库服务器上的数据都是不准确的。随着位置隐私保护技术和其他相关技术的发展,目前已经呈现以下几方面的发展趋势:(1)概率查询。由于用户不断关注自身的隐私问题,大量数据库服务器端存储的将是经过隐私处理后的不精确的数据。传统的查询处理技术已经不能很好地处理这类数据的查询。目前,已经有一些研究者开始研究不精确数据上的查询处理问题。其中包括非精确数据上的最近邻居查询、非精确数据上的反最近邻居查询和连续概率查询等。(2)优化问题。概率查询返回给用户的并不是唯一的查询结果,通常情况下返回给用户的是查询结果的候选集,
22、客户端必须对候选集进行评估,以便获取用户最感兴趣或是最符合查询条件的查询结果。这就存在一个评估代价优化的问题。概率查询质量的评价标准也是一个值得研究的问题。例如,如何评价一个概率查询返回给用户的查询结果候选集是最优的等。参考文献1 贾金营,张凤荔. 位置隐私保护技术综述,计算机应用研究. 2013 年 3 月:第 30 卷,第3 期. 641-646.2 魏琼,卢炎生. 位置隐私保护技术研究进展,计算机科学. 2008:第 35 卷,第 9 期. 21-25.3 Baugh J P, JinHua G. Location Privacy in Mobile Computing Environm
23、ents. In UIC. 2006:936-945.4 Sweeney L. k-anonymity: a model for protecting privacy. Int1 Journal on Uncertainly, Fuzziness and Knowledge-based Systems. 2002.5 彭志宇,李善平. 移动环境下 LBS 位置隐私保护,电子与信息学报. 2011 年 5 月:第 33卷,第 5 期. 1211-1216.6 杨洋,王汝. 增强现实中的位置隐私保护,计算机技术与发展. 2012 年 9 月:第 22 卷,第 9 期. 232-235.7 霍峥,孟
24、小峰. 轨迹隐私保护技术研究J,计算机学报. 2011,34(10):18201830.8 何康,吴蒙. 一种个性化的 k-匿名位置隐私保护算法,南京邮电大学学报(自然科学版). 2012 年 12 月:第 32 卷,第 6 期. 69-73.9 毛典辉,蔡强,李海生等. 一种自适应情景的位置隐私保护, 中南大学学报(自然科学版). 2013 年 7 月:第 44 卷,增刊 2. 279-283.10 李泰成 . 一种满足查询结果完整性和数据保密性的位置隐私保护方案,计算机应用于软件. 2013 年 1 月:第 30 卷,第 1 期. 311-314.11 赵平,马春光,高训兵等. 路网环境下基于 Voronoi 图的位置隐私保护方法,计算机科学. 2013 年 7 月:第 40 卷,第 7 期. 116-120.12 何泾沙,徐菲,徐晶. 基于位置的服务中用户隐私保护方法,北京工业大学学报. 2010年 8 月:第 36 卷,第 8 期. 1130-1134.13 刘宇,朱仲英 . 位置信息服务(LBS) 体系结构及其关键技术,微型电脑应用 . 2003:第 19卷第 5 期. 5-9.14余江,杨晓青等. 浅谈位置隐私保护技术,信息工程 . 2013:13.15钱萍,吴蒙. 无线传感器网络隐私保护方法,电信科学. 2013(1):23-30.
