位置隐私保护方法的研究与应用

一、位置隐私保护结构

位置隐私保护结构主要为以下三种：集中式结构、分布式结构、混合式结构。

1.1  集中式结构

集中式结构由移动终端、可信匿名服务器、LBS服务器组成，如图1-1所示：

图1-1 集中式结构

用户使用移动终端向LBS服务器发送LBS查询,并获得最终的查询结果.可信匿名服务器包含匿名处理模块和查询结果精炼模块:匿名处理模块把移动终端发送过来的精确位置模糊化,并转发给LBS服务器;查询结果精炼模块接收LBS服务器返回的结果集对其进行精炼,并将精炼后的最终结果返回给移动终端。

1.2  分布式结构

分布式结构由移动终端和LBS服务器组成。如图3-2所示：

图1-2 分布式结构

移动终端之间通过P2P协议,利用单跳和多跳通信形成一个匿名组,查询用户模糊化其位置为包含组内所有用户的空间区域,并将其转发给服务器,LBS服务器返回包含正确结果的候选集,用户之间通过彼此协作完成隐私保护。

1.3  混合式结构

混合式结构由移动终端、可信匿名服务器、LBS服务器组成，如图1-3所示：

图1-3 混合式结构

移动终端通过可信匿名服务器请求服务,也可基于个性化的隐私、响应时间以及服务质量需求使用P2P协议完成隐私保护.匿名服务器拥有用户的身份、服务请求、位置等完全知识.混合式结构集成了集中式和分布式结构的优点,能够很好地平衡客户端和匿名服务器之间的负载减少了匿名服务器由大量移动终端位置更新导致的负荷。

二、位置隐私保护的关键问题

LBS系统通常由移动终端、定位系统、通信网络和LBS服务器4部分组成,移动终端(如智能手机)向LBS服务器发送包含用户位置的LBS查询;定位系统(如GPS)实时获取移动终端发送LBS查询时的位置;通信网络(如4G网络)传输LBS查询和从服务器返回的查询结果;LBS服务器响应用户的查询,并返回定制结果。

用户的隐私可能会在3个地方泄露:首先是移动终端,如果用户的移动设备被捕获或劫持,那么就会变成恶意的,可能会主动泄露用户的私有信息(包括但不限于位置信息)。

其次是用户的LBS查询和返回结果在通过无线网络传输时,有可能被窃听或遭受中间人攻击,这可以通过传统的加密和散列机制解决;

最后是LBS服务器,因为一个恶意的攻击者可能就是LBS服务器的拥有者或维护者,也可能是俘获并掌控LBS服务器的恶意攻击者。

三、位置隐私保护关键技术

LBS隐私保护技术可分为2类：基于数据失真的位置隐私保护方法、基于数据加密的位置隐私保护方法。

3.1  基于数据失真的位置隐私保护技术

通过让用户提交不真实的查询内容来避免攻击者获得用户的真实信息。采取的技术主要包括假名、随机化、空间模糊化3种形式。

3.1.1 假名技术

假名技术通过分配给用户一个不可追踪的标志符来隐藏用户的真实身份，用户使用该标志符代替自己的身份信息进行查询。在假名技术中，用户需要有一系列的假名，而且为了获得更高的安全性，用户不能长时间使用同一个假名。在分布式结构中，用户只能通过自己的计算和推测来确定假名[2]。而在集中式结构中使用时，用户把更换假名的权利交给匿名服务器，匿名服务器通过周围环境和其他用户的信息，能够更好地完成假名的使用。所以假名技术主要在集中式结构中使用。

通常使用假名技术时需要在空间中定义若干混合区，用户可在混合区内进行假名交换，但是不能发送位置信息。如图3-1所示：

图3-1 混合区

假名组合为6种，由图可知假名的可能性会随着混合区用户数目呈指数增长。

3.1.2 随机化

随机化是在原始位置数据中加入随机噪声（哑元）。可信第三方服务器在接收到用户的准确位置后，将噪声和准确位置都发送给服务提供商。在服务提供商返回候选结果集后，可信第三方根据用户的真实位置对候选结果集过滤求精，返回真实的查询结果给相应用户[3]。随机化采用分布式结构,用户在移动终端上产生哑元查询,并将其和真实查询一起提交,LBS提供商响应所有查询并向用户返回所有结果。如图3-2所示：

图3-2 随机化技术

A是用户所在的位置.为了保护位置隐私,用户查询离其最近的某一位置时,先用设备随机产生两个随机位置B,C,然后将其和A一起发送,LBS提供商响应查询并返回距每个查询位置(A,B,C)最近的位置列表.用户根据其位置过滤列表,得到离自己真实位置最近的位置列表。如果产生的随机位置和真实位置的差别很大,那么很容易被攻击者区分。因此,随机化技术的关键是如何以智能的方式产生有效的哑元,从而使攻击者很难识别真实的查询且不会耗费太大的开销。

3.1.3 空间模糊化

空间模糊化通过在一定程度上降低发布位置数据的精度以满足用户隐私需求，将用户提交的位置精度从一个点模糊到一个区域，以致攻击者无法获得某个用户清晰的位置。利用四叉树（Quad-tree）技术划分区域如图3-3所示：

图3-3 空间模糊化

用户希望每次发布的位置数据不要准确到区域中只有一个用户。于是，用户A(B, C)在发布自己的位置时，可以发布左下角阴影区域作为自己的位置；用户D、E可以发布右上角阴影区域作为自己的位置，用户 D(E，F)发出的近邻查询不需要返回整个右上角 4 个区域中的全部用户，只需要返回与右上角的浅色区域相近的若干用户即可，这样就显著减少了需要传输的数据量，提升了服务的可用性。

每个用户的近邻查询会向服务提供商发送自己所在的阴影区域来请求近邻查询，服务提供商需要计算包含阴影区域中任何一点的最近邻的区域，返回其中包含的全部用户。发起查询的用户就可以自行计算出自己的近邻。

3.2  基于数据加密的位置隐私保护技术

3.2.1 基于隐私信息检索（PIR）的位置隐私保护技术

PIR是客户端和服务器通信的安全协议，能够保证客户端在向服务器发起数据库查询时，客户端的私有信息不被泄露给服务器的条件下完成查询并返回查询结果[4]。在基于PIR的位置隐私保护技术中，服务器无法知道移动用户的位置以及要查询的具体对象，从而防止了服务器获取用户的位置信息以及根据用户查询的对象来确定用户的兴趣点并推断出用户的隐私信息。如图3-4所示：

图3-4 PIR方案

用户想要获得SP服务器数据库中位置i处的内容，用户自己将查询请求加密得到Q（i），并将其发送给SP，SP在不知道i的情况下找到X，将结果进行加密R（X,Q（i））并返回给用户，用户可以轻易地计算出Xi。包括SP在内的攻击者都无法通过解析得到i，因此无法获得查询用户的位置信息和查询内容。

3.2.2 基于同态加密的位置隐私保护技术

同态加密是一种支持密文计算的加密技术。对同态加密后的数据进行计算等处理，处理的过程不会泄露任何原始内容，处理后的数据用密钥进行解密，得到的结果与没有进行加密时的处理结果相同。基于同态加密的位置隐私保护最常用的场景是邻近用户相对距离的计算，它能够实现在不知道双方确切位置的情况下，计算出双方间的距离，如微信的“摇一摇”功能。