◆唐 迪 楊小牛

0 引言

近些年來，隨著移動(dòng)通信技術(shù)的飛速發(fā)展、高性能智能移動(dòng)終端的廣泛普及、移動(dòng)數(shù)據(jù)網(wǎng)絡(luò)帶寬的不斷提高，基于地理位置信息服務(wù)（Location Based Service，LBS）成為移動(dòng)互聯(lián)網(wǎng)最重要的應(yīng)用之一。LBS是由移動(dòng)通信網(wǎng)絡(luò)和衛(wèi)星定位系統(tǒng)結(jié)合的一種增值業(yè)務(wù)，它通過一組定位技術(shù)獲得移動(dòng)終端的位置信息，并提供給移動(dòng)用戶本人、他人及通信系統(tǒng)，實(shí)現(xiàn)信息、娛樂等相關(guān)信息服務(wù)的業(yè)務(wù)。本質(zhì)上它是一種概念較為寬泛的與空間位置有關(guān)的新型業(yè)務(wù)，即“確定地理位置”+“提供服務(wù)信息”的模式。

雖然 LBS通過用戶位置信息可以為用戶提供各種便利的服務(wù)，但用戶位置信息的上傳和使用引發(fā)了用戶對其個(gè)人隱私信息泄露的擔(dān)憂。2011年微軟公司的一份調(diào)查報(bào)告表明，在使用LBS的用戶中，有超過83%的用戶認(rèn)為該LBS服務(wù)提供商收集、使用和分享個(gè)人地理位置信息的行為會(huì)導(dǎo)致其個(gè)人隱私受到侵犯。隨著LBS用戶對個(gè)人隱私信息的重視，LBS隱私安全保護(hù)成為近年來的研究熱點(diǎn)。

1 基于地理位置信息服務(wù)面臨的安全威脅

1.1 基于地理位置信息服務(wù)概述

LBS在移動(dòng)終端的應(yīng)用不僅實(shí)現(xiàn)百度地圖的地理位置功能、大眾點(diǎn)評的地點(diǎn)搜索、評價(jià)查看功能，滴滴打車等P2P在線服務(wù)業(yè)務(wù)，同時(shí)實(shí)現(xiàn)了微信、人人網(wǎng)等社交網(wǎng)絡(luò)平臺上的人際互動(dòng)功能，隨著4G網(wǎng)絡(luò)的普及，LBS整合了互聯(lián)網(wǎng)平臺和移動(dòng)數(shù)據(jù)平臺，通過基于地理位置信息服務(wù)模式，融合線上線下資源，建立了全方位的社會(huì)化網(wǎng)絡(luò)服務(wù)體系，形成了全新的社會(huì)關(guān)系、群體互動(dòng)聯(lián)系、個(gè)體行為規(guī)律以及新的經(jīng)濟(jì)模式。本文結(jié)合工業(yè)界和學(xué)術(shù)界的相關(guān)表述對LBS有如下定義：LBS一般要求用戶首先通過定位設(shè)備獲取當(dāng)前自身定位信息，并將該信息與相應(yīng)的服務(wù)請求發(fā)送給LBS服務(wù)提供商，LBS服務(wù)商在接收到用戶的服務(wù)請求后，根據(jù)用戶的地理位置信息和請求提供相應(yīng)的服務(wù)信息。

1.2 基于地理位置信息服務(wù)面臨的安全威脅

在 LBS中，用戶通過上傳個(gè)人地理位置信息獲得所需要的服務(wù)。其中，個(gè)人的地理位置信息和獲得的服務(wù)信息都是個(gè)人的隱私信息。在LBS服務(wù)過程中，個(gè)人的隱私信息可能會(huì)被LBS服務(wù)提供商、無線互聯(lián)網(wǎng)服務(wù)商，未經(jīng)授權(quán)的第三方組織甚至是有目的的攻擊者獲得。信息收集者通過利用獲得的歷史地理位置信息和服務(wù)信息可以還原用戶生活軌跡、生活習(xí)慣，從而推斷用戶的隱私信息，如職業(yè)、愛好、宗教信仰、消費(fèi)、身體狀況等信息。

2 地理位置信息隱私安全保護(hù)技術(shù)

最近幾年，隨著對LBS隱私信息保護(hù)的重視，LBS隱私保護(hù)技術(shù)成為學(xué)術(shù)界研究的重要領(lǐng)域之一。根據(jù)研究方法基礎(chǔ)劃分，隱私保護(hù)技術(shù)主要包括（1）用戶位置信息保護(hù)原則；（2）用戶身份信息保護(hù)原則；（3）基于密碼的保護(hù)算法。

2.1 k-匿名（k-anonymity）保護(hù)模型

k-匿名保護(hù)模型作為隱私保護(hù)安全技術(shù)的安全模型被廣泛使用。它的核心思想是將一組特殊屬性定義為準(zhǔn)標(biāo)識符（Quasi-identification），并確保準(zhǔn)標(biāo)識符商取值相同的元組規(guī)模至少為k（k≥2），從而使攻擊者發(fā)起連接攻擊時(shí)得到的個(gè)體和敏感信息之間的關(guān)系變得模糊。針對LBS服務(wù)，k-匿名保護(hù)的實(shí)現(xiàn)是指，對發(fā)送服務(wù)請求的用戶A生成一個(gè)隱匿空間R，該空間可以滿足，攻擊者根據(jù)發(fā)送的服務(wù)請求識別出其真實(shí)請求者A的概率 p≤1/k。k-匿名保護(hù)模型雖然能保證隱私信息相對安全，但是k-匿名化的過程中的泛化操作可能會(huì)導(dǎo)致數(shù)據(jù)服務(wù)的質(zhì)量下降。

2.2 用戶位置信息保護(hù)原則

用戶位置信息保護(hù)原則的核心思想是通過保護(hù)用戶的地理位置信息和隱私信息。而用戶地理位置信息要求上傳至服務(wù)器，因此，該原則一般通過模糊上傳的用戶地理位置信息或發(fā)送多個(gè)虛假地址實(shí)現(xiàn)k-匿名保護(hù)。

2.2.1 空間隱匿保護(hù)技術(shù)

空間隱匿技術(shù)（Spatia1 c1oaking）的基本思想是首先通過可信第三方建立一個(gè)或多個(gè)模糊的空間范圍。該區(qū)域通過擴(kuò)大用戶的位置范圍或調(diào)整用戶地理位置信息在時(shí)域和空域的解析度模糊用戶的精確位置，并將該區(qū)域代替用戶的精確位置，上傳至LBS服務(wù)商，從而獲得相應(yīng)的LBS服務(wù)。當(dāng)該區(qū)域包含k個(gè)移動(dòng)用戶時(shí)，可以實(shí)現(xiàn)對該用戶位置隱私的k-匿名保護(hù)。但是，上傳的位置信息不是用戶的精確位置，導(dǎo)致用戶不能獲得高質(zhì)量的服務(wù)體驗(yàn)。

空時(shí)隱匿技術(shù)主要研究如何選擇合理的空間范圍替代用戶的地理位置信息，并且在用戶服務(wù)質(zhì)量和隱私保護(hù)之間做出平衡。如在[3]中，作者分析了用戶請求發(fā)生的地理位置的概率分布，根據(jù)該分布和用戶真實(shí)位置生成相應(yīng)的隱匿空間范圍，從而保證k-匿名保護(hù)的實(shí)現(xiàn)。在[4]中，作者分析并量化了服務(wù)質(zhì)量與隱私保護(hù)之間的折中關(guān)系，以此用戶可根據(jù)需求選擇安全度和服務(wù)質(zhì)量。

這類算法主要依靠犧牲LBS服務(wù)質(zhì)量來實(shí)現(xiàn)用戶隱私安全。一方面 LBS服務(wù)要求用戶提供精確位置，以保證服務(wù)質(zhì)量；另一方面隱私保護(hù)算法希望通過混淆掩蓋等方法將用戶精確信息保護(hù)起來，防止隱私泄露。

2.2.2 假地址技術(shù)

假地址技術(shù)是指利用假地址替代準(zhǔn)確的地理位置信息。該技術(shù)主要思想是通過一定的策略生成多個(gè)假的或者錯(cuò)誤的地理位置信息混淆真實(shí)的地理位置信息。用戶將多個(gè)假地址連同真實(shí)的地理位置信息發(fā)送給 LBS服務(wù)器。服務(wù)器根據(jù)這些位置向用戶提供一組服務(wù)信息，從而避免 LBS服務(wù)商直接獲得用戶的真實(shí)地理位置。理論上，當(dāng)用戶向LBS服務(wù)發(fā)送k個(gè)位置（包含真實(shí)位置）時(shí)，攻擊者無法從這k個(gè)位置中識別用戶的真實(shí)位置，從而實(shí)現(xiàn)k-匿名保護(hù)。虛假位置的生成策略是假地址能夠保證隱匿真實(shí)地理位置信息的關(guān)鍵。在[5]中，作者考慮了旁路信息攻擊，并基于信息熵設(shè)計(jì)了虛假信息的生成策略，從而保證實(shí)現(xiàn)k-匿名保護(hù)。

假地址技術(shù)的安全性的實(shí)現(xiàn)主要依靠假地址的數(shù)量。一方面用戶希望使用更多的假地址混淆自己的地理位置信息；另一方面，大量的假地址信息將導(dǎo)致 LBS服務(wù)器需要回復(fù)額外的服務(wù)信息，從而增加通信和計(jì)算的消耗。

2.3 用戶身份信息保護(hù)原則

身份隱匿技術(shù)主要思想是通過混淆用戶身份信息來實(shí)現(xiàn)用戶隱私信息k-匿名保護(hù)。該技術(shù)一般包括兩種方法，假名技術(shù)和基于多跳的路由技術(shù)。

2.3.1 假名技術(shù)

假名技術(shù)一般是通過可信第三方為每位用戶生成一個(gè)假名，用戶在通信過程中利用假名進(jìn)行通信。LBS服務(wù)商不能將用戶真實(shí)身份和假名進(jìn)行一一對應(yīng)，從而無法推斷出接受的地理位置信息屬于哪位用戶。理論上，當(dāng)用戶數(shù)為k時(shí)，該方法可以實(shí)現(xiàn)k-匿名保護(hù)。

但是，長期使用相同的假名，攻擊者可以利用旁路信息發(fā)現(xiàn)假名和用戶真實(shí)身份之間的關(guān)系。因此，研究者提出了動(dòng)態(tài)假名技術(shù)?；煜齾^(qū)域（Mixzone）作為動(dòng)態(tài)假名中被廣泛研究[6]。混淆區(qū)域的主要思想是通過可信第三方生成一個(gè)混淆區(qū)域，當(dāng)用戶進(jìn)入該區(qū)域后，用戶將被第三方隨機(jī)賦予一個(gè)假名，當(dāng)該用戶離開混淆區(qū)域，該假名可被重新賦予新進(jìn)入的用戶。為抵御假名鏈接攻擊，用戶可以在該區(qū)域使用不同的假名。如果混淆區(qū)域用戶數(shù)為k時(shí)，混淆區(qū)域技術(shù)可以實(shí)現(xiàn)用戶的k-匿名保護(hù)。

2.3.2 基于多跳的路由技術(shù)

匿名技術(shù)主要基于洋蔥路由理念。洋蔥路由技術(shù)將傳輸信息多層加密，加密信息通過一個(gè)代理序列（多個(gè)洋蔥路由器）傳輸?shù)竭_(dá)目的地。每層代理僅能解密獲得下一跳中繼代理信息，從而保證路由信息和傳輸信息內(nèi)容不可知。用戶通過洋蔥路由可以匿名訪問互聯(lián)網(wǎng)，從而保護(hù)用戶的隱私信息。LBS網(wǎng)絡(luò)中，文獻(xiàn)[7]提出用戶將信息傳遞或者交換給隨機(jī)遇到的其他中繼用戶，通過中繼用戶多跳將請求發(fā)送給LBS服務(wù)器，從而完成k-匿名保護(hù)。

假名技術(shù)的核心是通過隱藏用戶的真實(shí)身份信息，切斷用戶的身份信息與地理位置信息的聯(lián)系，從而使攻擊者不能獲知某個(gè)地理位置信息的真實(shí)所屬用戶。

2.4 基于密碼的保護(hù)算法

2.4.1 基于匿名認(rèn)證

匿名認(rèn)證是指對用戶進(jìn)行身份認(rèn)證同時(shí)不泄露用戶的真實(shí)身份。在LBS中，匿名認(rèn)證被引入用于保護(hù)LBS用戶的地理位置信息安全。其中，盲簽名和群簽名在LBS服務(wù)中被廣泛研究。

群簽名的核心思想是一個(gè)群體中的任意一個(gè)成員可以以匿名的方式代表整個(gè)群體對消息進(jìn)行簽名。根據(jù)一個(gè)群簽名，攻擊者不能識別出這個(gè)群簽名的真實(shí)的所有者身份，只能確定該簽名屬于這個(gè)群體。當(dāng)群成員的數(shù)量為k時(shí)，該方法對用戶實(shí)現(xiàn)了k-匿名保護(hù)。在文獻(xiàn)[8]中，作者提出了一種具有閥值認(rèn)證的群簽名的機(jī)制。該方法不但可以保護(hù)群成員的地理位置信息隱私，同時(shí)在多個(gè)群成員的幫助下實(shí)現(xiàn)消息的可追蹤性。

2.4.2 基于同態(tài)加密算法

同態(tài)加密是基于數(shù)學(xué)難題的計(jì)算復(fù)雜性理論的密碼學(xué)技術(shù)。對經(jīng)過同態(tài)加密的數(shù)據(jù)進(jìn)行處理得到一個(gè)輸出，將這一輸出進(jìn)行解密，其結(jié)果與用同一方法處理未加密的原始數(shù)據(jù)得到的輸出結(jié)果是一樣的。同態(tài)加密算法可以允許用戶將加密的地理位置信息發(fā)送給 LBS服務(wù)提供商，該信息可以用于計(jì)算但是計(jì)算過程和結(jié)果不能反應(yīng)出用戶地理位置。

在[9]中，作者提出了針對路徑信息規(guī)劃的LBS的隱私保護(hù)協(xié)議。該協(xié)議利用同態(tài)加密算法，將不同的用戶信息匯總上傳至LBS服務(wù)商，LBS服務(wù)商將匯總的城市交通狀況發(fā)送給請求用戶，LBS服務(wù)商只能獲得每個(gè)區(qū)域的車輛數(shù)量，無法獲得每輛車的位置信息。在[10]中，作者結(jié)合了同態(tài)加密算法和空時(shí)隱匿技術(shù)的優(yōu)點(diǎn)，既保證了用戶的隱私信息不泄露，同時(shí)保證了 LBS的服務(wù)質(zhì)量。

3 LBS隱私安全技術(shù)研究展望

基于地理位置信息技術(shù)在過去的幾年里發(fā)展迅速，個(gè)人隱私問題也逐漸成為人們關(guān)注的重點(diǎn)。但是，學(xué)術(shù)界和工業(yè)界對個(gè)人隱私?jīng)]有準(zhǔn)確的定義和技術(shù)要求。同時(shí)，傳統(tǒng)信息安全領(lǐng)域中對信息安全的要求（保密性，可用性，完整性）不能準(zhǔn)確表達(dá)隱私安全的技術(shù)需求和規(guī)范。在LBS中，在向用戶提供相應(yīng)的LBS服務(wù)的同時(shí)，用戶地理位置信息將被傳輸、使用甚至分享。用戶地理位置信息不能對LBS服務(wù)商保密。因此，未來LBS隱私安全研究將更多關(guān)注研究隱私安全的明確定義和技術(shù)要求。同時(shí)，當(dāng)前的研究缺少對隱私保護(hù)技術(shù)安全性的量化標(biāo)準(zhǔn)。因此，結(jié)合我們對當(dāng)前隱私保護(hù)技術(shù)問題的總結(jié)，未來基于地理位置信息隱私安全技術(shù)研究可能更多的關(guān)注以下幾點(diǎn)：

（1）基于地理位置信息服務(wù)隱私安全研究將更多關(guān)注研究隱私安全的明確定義和技術(shù)要求；

（2）隱私信息安全性的量化標(biāo)準(zhǔn)和計(jì)算方法；

（3）隱私安全技術(shù)保護(hù)的性能衡量，如服務(wù)質(zhì)量、時(shí)延、能量等；

（4）隱私安全保護(hù)技術(shù)將考慮更復(fù)雜的互聯(lián)網(wǎng)環(huán)境；

（5）隱私安全技術(shù)不僅需要保護(hù)用戶隱私信息并且需要具備信息的可追蹤性。

4 結(jié)論

基于地理位置信息服務(wù)應(yīng)用是移動(dòng)互聯(lián)網(wǎng)最重要的應(yīng)用之一。但是由于該應(yīng)用要求移動(dòng)用戶上傳個(gè)人隱私信息，隱私安全問題成為當(dāng)前技術(shù)研究熱點(diǎn)。本文針對基于地理位置信息服務(wù)（LBS）的安全需求、研究方向、理論基礎(chǔ)、核心技術(shù)和發(fā)展方向進(jìn)行了系統(tǒng)的分析和總結(jié)，有助于了解當(dāng)前基于地理位置信息服務(wù)安全算法的研究現(xiàn)狀和發(fā)展方向。