位置隐私保护方法的研究与应用

位置隐私分析

1.1  研究背景

在大数据时代，随着GPS、无线通信等技术的广泛应用,基于位置的服务便利了用户的日常生活。在智能定位系统的基础上,用户与LBS应用进行交互从而享受诸如兴趣点查询、紧急事故处理和位置分享等基于位置的服务。然而,享受LBS应用提供的诸多服务时,用户需提交自身的位置信息并授权LBS应用对一些位置信息进行数据分析,从而造成严重的用户隐私泄露问题。因此,为用户设计兼顾隐私保护和效用性的位置隐私安全机制已成为当前基于位置服务的热点研究问题。

1.2  位置隐私简述

基于位置服务中的隐私内容包括两个方面。第一，位置信息，即隐藏查询用户的确切位置，如近邻搜索中的用户需要提交他们的当前位置，导航服务中的用户需要提交他们的当前位置和目的位置。第二，敏感信息，即隐藏与用户个人隐私相关的敏感信息，如推断用户曾经访问的地点或提出某敏感服务。用户不想让任何人知道自己提出了某方面的查询，即敏感信息保护[1]。其中，位置信息在基于位置服务的隐私保护中具有至关重要的作用。位置不仅是查询处理的必要对象，而且可以作为伪标识符重新识别用户，导致用户敏感信息泄露.

二、位置隐私保护关键技术

LBS隐私保护技术可分为2类：基于数据失真的位置隐私保护方法、基于数据加密的位置隐私保护方法。

2.1  基于数据失真的位置隐私保护技术

通过让用户提交不真实的查询内容来避免攻击者获得用户的真实信息。采取的技术主要包括假名、随机化、空间模糊化3种形式。

2.1.1 假名技术

假名技术通过分配给用户一个不可追踪的标志符来隐藏用户的真实身份，用户使用该标志符代替自己的身份信息进行查询。在假名技术中，用户需要有一系列的假名，而且为了获得更高的安全性，用户不能长时间使用同一个假名。在分布式结构中，用户只能通过自己的计算和推测来确定假名[2]。而在集中式结构中使用时，用户把更换假名的权利交给匿名服务器，匿名服务器通过周围环境和其他用户的信息，能够更好地完成假名的使用。所以假名技术主要在集中式结构中使用。

通常使用假名技术时需要在空间中定义若干混合区，用户可在混合区内进行假名交换，但是不能发送位置信息。

假名组合为6种，假名的可能性会随着混合区用户数目呈指数增长。

随机化是在原始位置数据中加入随机噪声（哑元）。可信第三方服务器在接收到用户的准确位置后，将噪声和准确位置都发送给服务提供商。在服务提供商返回候选结果集后，可信第三方根据用户的真实位置对候选结果集过滤求精，返回真实的查询结果给相应用户[3]。随机化采用分布式结构,用户在移动终端上产生哑元查询,并将其和真实查询一起提交,LBS提供商响应所有查询并向用户返回所有结果。

A是用户所在的位置.为了保护位置隐私,用户查询离其最近的某一位置时,先用设备随机产生两个随机位置B,C,然后将其和A一起发送,LBS提供商响应查询并返回距每个查询位置(A,B,C)最近的位置列表.用户根据其位置过滤列表,得到离自己真实位置最近的位置列表。如果产生的随机位置和真实位置的差别很大,那么很容易被攻击者区分。因此,随机化技术的关键是如何以智能的方式产生有效的哑元,从而使攻击者很难识别真实的查询且不会耗费太大的开销。

2.1.3 空间模糊化

空间模糊化通过在一定程度上降低发布位置数据的精度以满足用户隐私需求，将用户提交的位置精度从一个点模糊到一个区域，以致攻击者无法获得某个用户清晰的位置。利用四叉树（Quad-tree）技术划分区域

用户希望每次发布的位置数据不要准确到区域中只有一个用户。于是，用户A(B, C)在发布自己的位置时，可以发布左下角阴影区域作为自己的位置；用户D、E可以发布右上角阴影区域作为自己的位置，用户 D(E，F)发出的近邻查询不需要返回整个右上角 4 个区域中的全部用户，只需要返回与右上角的浅色区域相近的若干用户即可，这样就显著减少了需要传输的数据量，提升了服务的可用性。

每个用户的近邻查询会向服务提供商发送自己所在的阴影区域来请求近邻查询，服务提供商需要计算包含阴影区域中任何一点的最近邻的区域，返回其中包含的全部用户。发起查询的用户就可以自行计算出自己的近邻。

2.2  基于数据加密的位置隐私保护技术

2.2.1 基于隐私信息检索（PIR）的位置隐私保护技术

PIR是客户端和服务器通信的安全协议，能够保证客户端在向服务器发起数据库查询时，客户端的私有信息不被泄露给服务器的条件下完成查询并返回查询结果[4]。在基于PIR的位置隐私保护技术中，服务器无法知道移动用户的位置以及要查询的具体对象，从而防止了服务器获取用户的位置信息以及根据用户查询的对象来确定用户的兴趣点并推断出用户的隐私信息。如图2-4所示：

中位置i处的内容，用户自己将查询请求加密得到Q（i），并将其发送给SP，SP在不知道i的情况下找到X，将结果进行加密R（X,Q（i））并返回给用户，用户可以轻易地计算出Xi。包括SP在内的攻击者都无法通过解析得到i，因此无法获得查询用户的位置信息和查询内容。

2.2.2 基于同态加密的位置隐私保护技术

同态加密是一种支持密文计算的加密技术。对同态加密后的数据进行计算等处理，处理的过程不会泄露任何原始内容，处理后的数据用密钥进行解密，得到的结果与没有进行加密时的处理结果相同。基于同态加密的位置隐私保护最常用的场景是邻近用户相对距离的计算，它能够实现在不知道双方确切位置的情况下，计算出双方间的距离，如微信的“摇一摇”功能。

三、总结

        移动互联网络的迅速发展，各种移动服务的大量涌现，使得隐私保护问题成为亟待解决的问题，隐私保护问题是一个需要在技术、政策、政治等多方面配合解决的社会问题，本文就现有位置隐私保护技术进行分析,首先从位置隐私的研究背景和保护对象进行分析，然后列举隐私保护的三种结构：集中式结构、分布式结构、混合式结构。进一步来介绍位置隐私的关键问题和关键技术，其中关键技术分为：基于数据失真的位置隐私保护技术和基于同态加密的位置隐私保护技术，基于数据失真的位置隐私保护技术包括假名技术、随机化和空间模拟化；基于同态加密的位置隐私保护技术包括基于隐私信息检索（PIR）的位置隐私保护技术和基于同态加密的位置隐私保护技术，能够在保护位置隐私的同时有效提高查询服务效率。