物联网的位置服务信息安全研究

   位置服务（LBS）是近年来物联网领域新兴的业务，该业务的开展在给用户带来方便的同时也带来了信息安全的隐患，成为物联网信息安全领域的重要研究方向。本文分析了物联网位置服务的信息安全隐患，并针对性的进行了需求分析，构建了适合当前物联网位置服务业务的基于隐私保护的信息安全模型，为位置服务业务在物联网领域的拓展运用提供了理论基础
   基于物联网位置服务（LBS）是近年来发展起来的一种新型业务，其主要目的是通过部署各种规模的传感设备实时感知目标事物的基本信息和位置信息，分析挖掘其活动特征和规律，并提供给用户相关业务服务，方便人们日常工作和生活，是近年来新兴的一种物联网信息服务业务。
 1 物联网位置服务的信息安全隐患
  位置服务（LBS）业务是基于通信网络发展起来的，与位置服务的其他通信支撑网络相比，物联网能够使世界万物拥有智慧，客观物体的有关信息都很容易被物联网感知下来，因此，物联网位置服务业务可以感知个人隐私的信息更为全面、更为广泛。这些信息除了能被恶意窥视之外，黑客还可以通过物联网直接侵入到个人的物理隐私空间，或者在物联网信息空间中篡改、删除、伪造隐私记录，以及对个人隐私进行散布和传播。综合分析物联网技术的发展现状，位置服务业务在物联网支撑下面临的安全隐患主要有以下几个方面：

（1）终端用户隐私信息被无意获取
在物联网环境中，利用传感设备采集物体的信息，采集节点广泛并且覆盖面较大，采集到的数据类型非常丰富。但是，由于信息采集是不可见的系统行为，用户在不知情的情况下有可能提交了他的隐私信息，从而引起用户担忧其个人隐私数据的泄漏。
（2）服务提供者的隐私泄漏
在位置服务系统中，各种LBS服务提供者将会获得各种感知数据、用户的位置信息和服务请求信息等。一方面，若LBS服务提供者不遵守相关的服务规范、法律法规等，故意泄漏或出售用户的隐私信息;另一方面，由于LBS服务器端缺少必要的入侵检测和安全防御系统，可能遭到恶意攻击者对LBS系统的破坏，从而造成用户隐私信息的泄漏。
（3）恶意第三方监听
LBS服务中的数据传输与信息交互包括感知数据的采集与传输、用户服务请求的发送、服务器向用户终端发送服务内容等，这些数据传输需要在无线网络、移动通信网络、互联网上进行传输，第三方恶意攻击者可以在用户终端、数据传输网络中运行相应的木马和病毒程序等，从而截获有关用户的隐私信息。
（4）用户对隐私的界定不同
LBS服务隐私是个相对的概念，对于不用的用户或者不同类型的服务来说隐私界定是不同的，比如:用户在查找其周围最近的银行时，用户所处的地理位置被用户视为隐私，如果用户的位置隐私被暴露有可能会被恶意不法分子带来财产危险。
（5）稀少用户的环境下保护效率降低
匿名保护技术的主要思想是让恶意者不能在用户群体中辨别出是哪一个用户提交的应用需求，这种技术在用户居多的环境下具有很高的保护效率，但是在用户稀少环境下，该技术显得略不足道。
（6）位置精确度制约服务质量
定位服务中，服务中心需要根据用户提供的用户位置信息来服务，用户提供的位置信息越精确服务中心反馈的服务质量越高，然而用户位置信息越精确，其所带来的隐私风险越大。对于不同的服务来说，对位置信息的准确程度不同，普通服务可以允许用户提供位置信息为模糊化区域，特殊服务来说需要准确的位置信息。
（7）植入隐私保护降低服务质量
现有的隐私保护研究方案中，通常是将用户位置信息模糊化来隐藏用户真实位置，但是在LBS服务系统在植入该隐私保护技术后，服务质量受到严重影响，服务中心根据用户提供的模糊的区域空间进行处理分析，一是增加了服务器处理需求的时间;二是服务器提供给用户的服务信息中夹杂着一些用户不感兴趣的大量信息，用户需要从大量的信息中找出自己需要的信息，降低了服务质量。
（8）通过连续服务挖掘用户信息
传统的隐私保护方法通常是将每次服务作为一个孤立的服务来进行处理，然而用户在物联网环境下大部分情况下是连续不断的发出LBS服务请求，这时恶意第三方如果得到用户移动的模糊化区域，通过成熟的挖掘技术可以准确推测出用户的基本信息，给用户带来极大的风险。
2 物联网位置服务信息安全需求分析
随着物联网应用领域的不断扩大，基于物联网的位置服务业务也将得到越来越广泛的应用，根据物联网位置信息服务面临的安全威胁，位置服务业务要想获得可靠的发展，其信息安全机制需要满足以下需求：
（1）保护用户身份信息
用户身份信息(如身份证号)被服务系统用来认证用户的权限，根据用户的身份提供相应服务。如果恶意攻击者获取到某个用户的身份，知道他是被攻击对象的话，将有利于不法分子采取各种手段攻击目标，从而对用户安全性造成威胁。因此，LBS服务中保护用户的身份信息非常重要。
（2）保护用户位置信息
位置信息保护也同为重要，如果某个用户在某时刻的位置被恶意攻击者确定下来，不法分子会跟踪、监视该用户的行为，并对其进行各种攻击。
（3）保护用户关联信息
LBS服务中用户敏感信息具有一定的关联关系，对于攻击者来说，获取用户敏感信息的关联信息的意义远大于获取某单独敏感信息。比如，用户身份和位置信息同时被攻击者获取远比单独用户身份信息或者位置信息的暴露对用户的造成个人隐私侵犯强烈的多。因此，要求物联网位置服务信息安全模型要保证攻击者不能同时获得有关联的敏感信息。
（4）非匿名化服务的信息安全
非匿名化服务隐私保护更为重要，因为在该服务下服务端是根据用户真实身份查看其已定制的个性化需求，向用户推出满足其个性化需求的服务。然而，现有的信息安全机制大多数针对匿名化服务的信息安全，可以通过假名替代用户的真实信息提交给服务器，达到用户身份信息的隐藏。但是在非匿名化服务中，该保护机制已不适合对用户隐私数据的保护，这就要求物联网位置服务能够解决非匿名化服务中用户信息安全问题。
（5）信息安全保护与环境无关
在已有的定位信息保护机制下，信息安全在密集的用户环境下取得了很好的保护效果。通常采用假位置或者假身份来混淆目标用户的真实信息，达到以假乱真的效果，从而保护目标用户的信息。但是该信息安全机制在用户分布极其稀疏的环境下却几乎失去了保护能力。
（6）信息安全与服务质量的平衡
定位信息安全防护方案中如何平衡保护力度与服务质量是促进定位服务健康发展的重要因素，物联网空间内同样占据重要地位。如果在使用信息安全策略后，定位服务的质量和效率严重下降，将阻碍物联网位置服务业务的发展。这就要求在物联网空间内植入定位信息防护方案后，原有的服务质量不应该受到太大的影响，并且无法避免的影响也应控制在一定的范围内。
（7）用户连续请求服务下具有同等的保护强度
在用户连续不断的请求定位服务时，要求隐私保护模型同样具有很好的保护能力，不使恶意攻击者因长时间跟踪服务而从中挖掘用户的隐私数据。
3 基于隐私保护的物联网位置服务信息安全机制
从物联网位置服务业务的实施过程看，用户申请LBS服务时通常需要提交三个方面的信息，即身份信息、位置信息和服务内容信息。隐私保护主要应用于匿名化的物联网信息服务业务中，即服务器端不需要验证用户的身份信息就可以提供相应的服务信息。
3.1 指导思想
隐私保护主要有修改数据和数据加密两种手段。其中，修改数据可以利用假名替换算法或模糊算法等扰乱技术对敏感数据进行修改，混淆真假数据，但是这种保护手段会带来不必要的开销；数据加密则是使用加密技术对敏感数据加密，使得数据保持原有性，但是整个使用过程中会造成过多的计算，导致服务效率降低。总而言之，隐私保护手段中使用的三种隐私算法都对LBS服务中隐私信息做了不同程度的隐私保护，其保护隐私的力度和隐私处理时间都各有优劣。三种算法的隐私保护力度与服务效率成反比，假名替换算法在隐私保护中处理时间最短，但是其隐私保护力度最低，加密技术在隐私保护力度中最高，但是其所需隐私处理时间最长。因此，为了平衡隐私保护和服务质量的矛盾，在基于隐私保护的物联网位置服务信息安全模型设计中，用户需要根据服务的类型以及使用对象的要求不同，选取合适的隐私保护方法。
3.2 信息安全模型体系结构
根据物联网位置服务信息安全问题和安全需求，可以采用中间器件-隐私保护器模型来保护用户的隐私数据，隐私保护器由三部分组成，即网络匿名模块、结果集处理模块和隐私处理模块组成。其工作过程为:阅读器获取到物体或者用户的信息后，首先经过隐私保护器的网络匿名模块处理，使得服务器端无法从网络地址追溯到使用对象。然后，物体或者用户的信息经过隐私处理模块与LBS服务中心进行交流，LBS服务中心根据物体或者用户的服务内容进行分析处理得到相应的结果集，由于物体或者用户经过隐私处理模块处理后产生大量的使用对象不感兴趣的服务信息，为提高服务质量要求隐私保护器应该消除结果集中的冗余信息。结果处理模块就是处理服务中心返回的结果集，把物体或者对象所需要的信息分析出来反馈到物体或者用户显示屏上。
网络匿名模块的作用是使服务中心无法从发出消息者的网络地址(如IP地址)来追溯用户，相当于匿名通信研究中的发送者匿名问题。
结果集处理模块的主要功能是在服务中心提供的服务结构集中找到与其对应的真实用户所需要的结果信息，并将其及时的反馈给用户。为了保护用户的隐私，隐私处理模块增加了许多混淆真实信息的假信息，这就造成服务其返回的结果集中存有大量用户不需要的信息，如果直接将整个结果集返回给用户，就会浪费用户大量时间挑选感兴趣的信息，阻碍物联网空间内LBS服务的快速发展。因此，在隐私保护中间件中我们要加入结果集处理模块，该模块要根据用户的真实信息在服务器端返回的结果集中查询用户所需要的信息。
隐私处理模块就是通过某种隐私保护算法来变换和混杂来自阅读器发送过来的多个用户的消息，然后将处理后的消息发送到LBS服务中心。在位置服务中每个用户需要向位置服务提供方提交三个方面的消息:用户ID、位置信息和服务请求内容。用户提交的这三个方面的信息中如果任意两方面的信息被恶意攻击者获取，那就意味着用户的隐私被泄露。因此，隐私处理模块需要使用某种隐私保护算法来处理，使得恶意攻击者无法确定用户提交的三个方面的相互对应关系。因此，可以在基于信任的网络和网络匿名模块传递的基础上，构建一种复合型的隐私处理保护模块，该模块由四个层次组成:定位服务层、匿名服务层、位置模糊层和服务内容保护层，
（1）定位服务层
定位服务层位于隐私处理模块的最底层，用于将阅读器传送过来的信息实现定位，并生成用户ID和位置信息对。定位服务层需要建立一个用户信息库，将用户信息存储到该信息库，并且该信息库在一定的周期内更新所存储的信息。用户信息包括用户ID、位置信息、服务内容、请求时间以及服务类型。各个信息的属性描述如表1所示。定位服务层不仅将用户信息库中相关信息提交给上层，而且还用于结构集处理模块查询用户感兴趣的查询条件。
（2）匿名服务
匿名服务层是匿名化服务中隐私处理的第一步，其职责就是利用假名替换算法将真实用户ID替换为一个假用户ID，记为ID’，并且建立一个匿名信息库存储用户的真实ID和假名信息对。匿名替换完毕后，匿名服务层将匿名信息库中的假名ID，以及与其对应的用户基本信息提交给上层。
（3）位置模糊层
位置模糊层针对用户的位置信息处理，使用优化了的位置模糊算法将定位系统产生的精确的用户位置模糊化，使其由精确的点信息变换为区域信息，即产生一个位置匿名集提交给上层。并且该匿名集中要求必须存有n个用户的位置信息，这样恶意攻击者就不能在n个用户的位置信息中确定哪个是真实用户位置，从而保护了用户的位置。
（4）服务内容保护层
服务内容保护层的隐私处理是基于同态加密技术的隐私保护方案提供对用户服务内容的管理与维护，其包含两个主要内容:服务信息库和加密/解密处理模块。服务信息库用于存储加密前服务内容的信息和加密后服务内容的信息对;加密/解密处理模块用于对服务内容进行加密/解密处理。服务内容保护层重要职责在于不影响正常服务下，使恶意攻击者不但不能从用户方获取用户的服务内容，而且也不能从服务端获取用户的服务内容。
4 结语
随着物联网位置服务业务的普遍应用，用户越来越多地担心为获得便利服务向服务器提交的用户信息的安全去向，这也给许多网络诈骗提供了可乘之机。本文提出的物联网位置服务信息安全机制主要是针对位置服务类型的差别而采取相应的保护策略，随着物联网位置服务业务的发展，还需要解决移动环境下隐私保护问题和用户个性化定制业务的隐私保护问题，这将是物联网位置服务信息安全技术的下步发展方向。

心得体会：
随着物联网建设的加快，物联网的安全问题必然成为制约物联网全面发展的重要因素.在物联网发展的高级阶段，由于物联网场景中的实体均具有一定的感知、计算和执行能力，广泛存在的这些感知设备将会对国家基础、社会和个人信息安全构成新的威胁。一方面，由于物联网具有网络技术种类上的兼容和业务范围上无限扩展的特点，因此当大到国家电网数据小到个人病例情况都接到看似无边界的物联网时，将可能导致更多的公众个人信息在任何时候，任何地方被非法获取:另一方面，随着国家重要的基础行业和社会关键服务领域如电力、医疗等都依赖于物联网和感知业务，国家基础领域的动态信息将可能被窃取。所有的这些问题使得物联网安全上升到国家层面，成为影响国家发展和社会稳定的重要因素。