位置隐私保护方法的研究与应用

一、问题分析

随着科技发展，个人位置信息可能被不当利用，保护位置隐私可以防止个人隐私泄露，保障人们的安全和权益。比如在一些社交软件中，用户可以选择模糊自己的具体位置，只显示大致区域；还有在一些地图应用中，通过设置来隐藏自己的精确位置；在某些情况下，数据会经过加密传输来保护位置隐私。

二、资料搜集

（一）所用工具

位置服务（LBS，Location Based Services）又称定位服务，LBS是由移动通信网络和卫星定位系统结合在一起提供的一种增值业务，通过一组定位技术获得移动终端的位置信息(如经纬度坐标数据)，提供给移动用户本人或他人以及通信系统，实现各种与位置相关的业务。实质上是一种概念较为宽泛的与空间位置有关的新型服务业务。

（二）威胁来源

LBS位置隐私泄露威胁：1。具体空间标识泄露：如果A知道L完全属于用户S，那么A就能推断出S在L内，而且消息是S发送的。

2。观察标识泄露：如果A观察到S在位置L发送消息M，那么A知道S发送消息M，等价于S公开自己的位置信息和用户ID，那么在S后来发送的消息中，即便是匿名发送，也可以判断出是在位置L发送的

3。定位跟踪泄露：如果攻击者A已经确定用户S在位置Li，并且能够获取S一系列的位置更新，那么A就能获得实体S去过的素有地方

4。连接泄露：攻击者可以通过位置链接外部的数据源（或者背景知识），从而确定在该位置或者发送该消息的用户。

（三）保护方法

基于位置的隐私保护、基于用户ID的隐私保护，基于位置信息的隐私保护，基于位置隐私保护的查询，轨迹隐私保护，模糊化位置信息技术，基于假数据的轨迹隐私保护，基于抑制法的轨迹隐私保护，基于泛化的轨迹隐私保护

（四）结构

位置隐私保护结构主要为以下三种：集中式结构、分布式结构、混合式结构。

1. 集中式结构：集中式结构由移动终端、可信匿名服务器、LBS服务器组成，用户使用移动终端向LBS服务器发送LBS查询，并获得最终的查询结果。可信匿名服务器包含匿名处理模块和查询结果精炼模块，匿名处理模块把移动终端发送过来的精确位置模糊化，并转发给LBS服务器；查询结果精炼模块接收LBS服务器返回的结果集对其进行精炼，并将精炼后的最终结果返回给移动终端。
2. 分布式结构：分布式结构由移动终端和LBS服务器组成。移动终端之间通过P2P协议，利用单跳和多跳通信形成一个匿名组，查询用户模糊化其位置为包含组内所有用户的空间区域，并将其转发给服务器，LBS服务器返回包含正确结果的候选集，用户之间通过彼此协作完成隐私保护。
3. 混合式结构：混合式结构由移动终端、可信匿名服务器、LBS服务器组成，移动终端通过可信匿名服务器请求服务，也可基于个性化的隐私、响应时间以及服务质量需求使用P2P协议完成隐私保护。匿名服务器拥有用户的身份、服务请求、位置等完全知识。混合式结构集成了集中式和分布式结构的优点，能够很好地平衡客户端和匿名服务器之间的负载减少了匿名服务器由大量移动终端位置更新导致的负荷。

三、方案设计

（一）设计流程

为对LBS 服务中的用户位置隐私进行保护，整个使用过程分为两部分：访问权限设置和访问控制决策。

首先，所有某一位置信息相关的隐私相关者设置相对于该位置信息对所有信息请求者的访问权限。通过权限的设置，隐私相关者可以设置哪些信息请求者、可以在什么环境下( 如时间、地点等) 获取该位置信息的全部或某些部分。在访问控制矩阵中设置了所有的权限之后，访问决策部分对访问请求者提出的具体的访问请求按照矩阵中的设置做出具体的允许或拒绝访问的决策。在每次信息访问请求者提出访问位置信息的请求时，系统中的访问控制决策机制将查询设置在三维访问控制矩阵中的隐私权限，并根据隐私权限确定允许或拒绝访问请求。需要为此设置访问控制策略及权限，以决定何人能在何时、何种情况下访问孩子的位置信息。

（二）保护方法举例

基于位置服务中的三种基本的隐私保护方法：

1. 假位置：第一种方法是通过制造假位置达到以假乱真的效果。当该用户提出查询时，为其生成两个假位置，即哑元。真假位置一同发送给服务提供商。从攻击者的角度，同时看到三个位置，无法区分哪个是真实的哪个是虚假的。
2. 时空匿名：将一个用户的位置通过在时间和空间轴上扩展，变成一个时空区域，达到匿名的效果。当用户提出查询时，用一个空间区域表示用户位置，从服务提供商角度只能看到这个区域，无法确定用户是在整个区域内的哪个具体位置上。
3. 空间加密：通过对位置加密达到匿名的效果。先将整个空间旋转一个角度，在旋转后的空间中建立希尔伯特（Hilbert）曲线。每一个被查询点P对应的希尔伯特值如该点所在的方格数字所示。当某用户提出查询Q时，计算出加密空间中Q的希尔伯特值。寻找与加密空间中Q的希尔伯特值最近的希尔伯特值所对应的P，即P1。将P1返回给用户。由于服务提供商缺少密钥，在此例子中即旋转的角度和希尔伯特曲线的参数，故无法反算出每一个希尔伯特值的原值，从而达到了加密的效果。
4. 感知隐私的查询处理：在基于位置的服务中，隐私保护的最终目的仍是为了查询处理，所以需要设计感知隐私保护的查询处理技术。

（三）区别

根据采用匿名技术的不同，查询处理方式也不同：

如果采用的是假数据，则可采用移动对象数据库中的传统查询处理技术，因为发送给位置数据库服务器的是精确的位置点。

如果采用时空匿名，由于查询处理数据变成了一个区域，所以需要设计新的查询处理算法。这里的查询处理结果是一个包含真实结果的超集。

如果采用空间加密技术，查询处理算法与使用的加密协议有关。

四、方法研究

（一）关键点

系统通常由移动终端、定位系统、通信网络和LBS服务器四部分组成，移动终端向LBS服务器发送包含用户位置的LBS查询，定位系统实时获取移动终端发送LBS查询时的位置，通信网络传输LBS查询和从服务器返回的查询结果，LBS服务器响应用户的查询，并返回定制结果。

用户的隐私可能会在3个地方泄露：首先是移动终端，如果用户的移动设备被捕获或劫持，那么就会变成恶意的，可能会主动泄露用户的私有信息(包括但不限于位置信息)。

其次是用户的LBS查询和返回结果在通过无线网络传输时，有可能被窃听或遭受中间人攻击，这可以通过传统的加密和散列机制解决；

最后是LBS服务器，因为一个恶意的攻击者可能就是LBS服务器的拥有者或维护者，也可能是俘获并掌控LBS服务器的恶意攻击者。

（二）关键技术

隐私保护技术可分为两类：基于数据失真的位置隐私保护方法、基于数据加密的位置隐私保护方法。

1. 基于数据失真的位置隐私保护技术：通过让用户提交不真实的查询内容来避免攻击者获得用户的真实信息。采取的技术主要包括假名、随机化、空间模糊化三种形式。

1. 假名技术：通过分配给用户一个不可追踪的标志符来隐藏用户的真实身份，用户使用该标志符代替自己的身份信息进行查询。在假名技术中，用户需要有一系列的假名，而且为了获得更高的安全性，用户不能长时间使用同一个假名。在分布式结构中，用户只能通过自己的计算和推测来确定假名。而在集中式结构中使用时，用户把更换假名的权利交给匿名服务器，匿名服务器通过周围环境和其他用户的信息，能够更好地完成假名的使用。所以假名技术主要在集中式结构中使用。通常使用假名技术时需要在空间中定义若干混合区，用户可在混合区内进行假名交换，但是不能发送位置信息。
2. 随机化：在原始位置数据中加入随机噪声（哑元）。可信第三方服务器在接收到用户的准确位置后，将噪声和准确位置都发送给服务提供商。在服务提供商返回候选结果集后，可信第三方根据用户的真实位置对候选结果集过滤求精，返回真实的查询结果给相应用户。随机化采用分布式结构，用户在移动终端上产生哑元查询，并将其和真实查询一起提交，LBS提供商响应所有查询并向用户返回所有结果。
3. 随机化技术：为了保护位置隐私，用户查询离其最近的某一位置时，先用设备随机产生两个随机位置B，C，然后将其和A一起发送，LBS提供商响应查询并返回距每个查询位置(A，B，C)最近的位置列表。用户根据其位置过滤列表，得到离自己真实位置最近的位置列表。如果产生的随机位置和真实位置的差别很大，那么很容易被攻击者区分。因此，随机化技术的关键是如何以智能的方式产生有效的哑元，从而使攻击者很难识别真实的查询且不会耗费太大的开销。
4. 空间模糊化：通过在一定程度上降低发布位置数据的精度以满足用户隐私需求，将用户提交的位置精度从一个点模糊到一个区域，以致攻击者无法获得某个用户清晰的位置。利用四叉树（Quad-tree）技术划分区域

1. 基于数据加密的位置隐私保护技术

1. 基于隐私信息检索（PIR）的位置隐私保护技术：PIR是客户端和服务器通信的安全协议，能够保证客户端在向服务器发起数据库查询时，客户端的私有信息不被泄露给服务器的条件下完成查询并返回查询结果。在基于PIR的位置隐私保护技术中，服务器无法知道移动用户的位置以及要查询的具体对象，从而防止了服务器获取用户的位置信息以及根据用户查询的对象来确定用户的兴趣点并推断出用户的隐私信息。
2. 基于同态加密的位置隐私保护技术\n同态加密是一种支持密文计算的加密技术。对同态加密后的数据进行计算等处理，处理的过程不会泄露任何原始内容，处理后的数据用密钥进行解密，得到的结果与没有进行加密时的处理结果相同。基于同态加密的位置隐私保护最常用的场景是邻近用户相对距离的计算，它能够实现在不知道双方确切位置的情况下，计算出双方间的距离。

五、总结

在移动互联网和智能设备普及的今天，位置信息的获取和利用广泛存在于各种应用和服务中，需要有效的保护方法来规范其使用。在一些情况下，位置信息的合理使用可以为社会带来好处，如公共安全、城市规划等。但这需要在保护个人位置隐私的前提下进行，通过合适的保护方法，可以实现公共利益和个人权益的平衡。

 总之，位置隐私保护方法对于保护个人的基本权利、维护社会的正常秩序以及促进信息技术的健康发展都具有至关重要的意义。个人应增强位置隐私保护意识，了解相关保护方法，并注意在使用各种应用和服务时关注自己的位置信息被如何使用。同时，企业和相关机构也有责任采取有效的技术和管理措施，保障用户的位置隐私安全。