李志鵬 孫名松 宋增林

摘 要：針對大數(shù)據(jù)時代中，用戶的個人位置隱私安全面臨極大威脅的問題，依據(jù)位置大數(shù)據(jù)的理論，從用戶的移動智能終端角度分析研究了現(xiàn)有位置隱私保護(hù)技術(shù)的缺點(diǎn)與不足。提出在現(xiàn)有的加密扭曲算法模型的基礎(chǔ)上，引入了坐標(biāo)轉(zhuǎn)換方法，增加對用戶位置請求信息的碎片化處理，改進(jìn)優(yōu)化了啞元、假名兩個技術(shù)。仿真實(shí)驗(yàn)中，利用模擬軟件生成大量的用戶移動軌跡，研究比對改進(jìn)前后的算法各自的信息熵以證明優(yōu)化算法的優(yōu)越性。分析實(shí)驗(yàn)結(jié)果驗(yàn)證了改進(jìn)后的加密扭曲算法實(shí)現(xiàn)了對個人位置隱私信息更有效地保護(hù)。

關(guān)鍵詞：位置大數(shù)據(jù)；基于位置服務(wù)；位置隱私保護(hù)；加密扭曲算法

DOI：10.15938/j.jhust.2018.02.011

中圖分類號： TP311.13

文獻(xiàn)標(biāo)志碼： A

文章編號： 1007-2683（2018）02-0058-07

Abstract：To solve the problems of users′ personal location privacy are facing great threat in the era of big data， according to the theory of location big data， the shortcomings of existing location privacy protection technology are analyzed from the perspective of users′ mobile intelligent terminals. Based on the existing encryption and distortion algorithm models，it introduces a coordinate transformation method，increases fragmentation of user location information，and optimizes the technologies of dummies and false-name. In simulation experiments， a large number of user trajectories are generated by simulation software， and the information entropy of improved and original algorithm is studied to demonstrate the superiority of the improved algorithm. The experimental results verify that the improved encryption and distortion algorithm is more effective to protect personal location privacy information.

Keywords：location big data； location-based Service； location privacy protection； encryption distortion algorithm

0 引 言

21世紀(jì)是新技術(shù)的時代，是大數(shù)據(jù)的時代。世界預(yù)測大師、未來學(xué)家約翰·奈斯比特（John Naisbitt）在他的著作《Megstrends：Ten new directions transforming our live》一書中曾提到。我們現(xiàn)在大量生產(chǎn)信息，正如過去我們大量生產(chǎn)汽車一樣[1]。而這種體量巨大（Volume）、增長迅速（Velocity）、類型多樣（Variety）的信息，我們便稱其為大數(shù)據(jù)。人們可以從中利用那些看似雜亂無章的數(shù)據(jù)，輔以各種現(xiàn)代科學(xué)技術(shù)手段，去提取知識、分析規(guī)律、預(yù)測趨勢、挖掘價(jià)值，并且會將這些價(jià)值應(yīng)用到日后的生產(chǎn)生活中以便謀取更高的經(jīng)濟(jì)利益。但是，同時也會有一些人動了歪心思，利用挖掘出的有效信息謀取非法的利益。由此可見，大數(shù)據(jù)可以說是一把雙刃劍，一方面可以給企業(yè)帶來商機(jī)，另一方面也可能給人帶來無限的困擾[2]。

大數(shù)據(jù)要是想真正成為時代的弄潮兒，是萬萬離不開傳統(tǒng)行業(yè)和實(shí)體經(jīng)濟(jì)的，它們之間連接的紐帶其實(shí)就是“位置大數(shù)據(jù)”。正是位置大數(shù)據(jù)，把幾乎所有的人、事、物緊密地聯(lián)系在了一起。我們可以用這樣一個公式來表示，位置數(shù)據(jù)+時間數(shù)據(jù)+事件數(shù)據(jù)+場所數(shù)據(jù)+人物行為數(shù)據(jù)+…=大數(shù)據(jù)的無限演繹。例如，我們可以通過人出現(xiàn)的時間和位置，推測出這些人所從事的職業(yè)或特征。大數(shù)據(jù)雖然是散亂抽象的，但是通過一定手段聯(lián)系起來就很容易得到有價(jià)值的信息。

位置數(shù)據(jù)的獲取渠道有很多很多：除了GIS（geo-information system，GIS）系統(tǒng)，還有手機(jī)基站指令、WIFI連接情況、IP地址、網(wǎng)卡信息等抓取，甚至我們安裝在智能手機(jī)的APP簽到功能都會泄露我們的位置隱私[3]。在美國，一家零售公司通過分析一個女孩經(jīng)常出沒在超市母嬰專區(qū)，推測出了該女孩很有可能是懷孕了，后來證明結(jié)論是正確的，甚至連女孩的父母都對此不知情。

本文主要是針對大數(shù)據(jù)時代的個人隱私，尤其是位置隱私的保護(hù)方法進(jìn)行研究，特別是關(guān)于LBS（location-based service，LBS）隱私保護(hù)方法進(jìn)行研究并改進(jìn)，實(shí)現(xiàn)突破，以便提高位置隱私保護(hù)程度，增強(qiáng)安全性，更有效地保護(hù)用戶的個人位置隱私信息。

1 相關(guān)工作

根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（China Internet Network Information Center，CNNIC）于 2016 年 10 月發(fā)布的 《中國移動互聯(lián)網(wǎng)調(diào)查研究報(bào)告》[4]，截止2015年12月，我國手機(jī)網(wǎng)民規(guī)模高達(dá)6.2億，95.9%的手機(jī)網(wǎng)民在2015年遭遇手機(jī)安全事件，個人隱私泄露占比26.4%。用戶會利用手機(jī)地圖進(jìn)行實(shí)時定位；使用微信上傳位置信息查找附近的人；通過大眾點(diǎn)評網(wǎng)提交地理位置信息來換取服務(wù)等。另根據(jù)Future X 未來智庫、互聯(lián)網(wǎng)數(shù)據(jù)中心（Data Center of China Internet，DCCI）與360安全中心聯(lián)合發(fā)布的 《2016年中國Android手機(jī)隱私安全報(bào)告》[5]：相比2015年，2016年獲取“位置信息”權(quán)限的非游戲類App比例由76.8%增加到91.7%。大量的這類APP 收集了大量用戶的位置信息，并發(fā)送給服務(wù)提供者或發(fā)布到網(wǎng)絡(luò)上，這無疑成為了個人隱私的重要威脅。由此可見，對位置隱私進(jìn)行有效的保護(hù)已刻不容緩。

因此，研究出切實(shí)有效的基于位置的服務(wù)的隱私保護(hù)方法已經(jīng)成為重中之重。LBS 系統(tǒng)由移動終端、定位系統(tǒng)、通信網(wǎng)絡(luò)和 LBS 服務(wù)器 4 部分組成：移動終端向 LBS 服務(wù)器發(fā)送包含用戶位置的 LBS 查詢；定位系統(tǒng)實(shí)時獲取移動終端發(fā)送 LBS 查詢時的位置；通信網(wǎng)絡(luò)傳輸 LBS 查詢和從服務(wù)器返回的查詢結(jié)果；LBS 服務(wù)器響應(yīng)用戶的查詢，并返回定制結(jié)果。目前，智能終端以及多種智能穿戴設(shè)備中嵌入了各種各樣的傳感器，它們可以做到實(shí)時地記錄使用者出現(xiàn)過的位置和運(yùn)動軌跡、移動速度等等，并且利用我們手中的手機(jī)等移動智能終端設(shè)備上傳給服務(wù)器[6]。雖然一方面，這樣做使得我們可以享受到更加精準(zhǔn)的服務(wù)，但另一方面也大大地增加了我們個人位置隱私信息泄露的風(fēng)險(xiǎn)。假如一旦某個設(shè)備供應(yīng)商刻意的通過收集這些數(shù)據(jù)分析人們的特點(diǎn)以便改進(jìn)其產(chǎn)品，我們的個人數(shù)據(jù)就會面臨著巨大的威脅[7]。

據(jù)卡耐基梅隆大學(xué)的計(jì)算機(jī)科學(xué)家們調(diào)查， Android 系統(tǒng)中的大部分 App 都會收集手機(jī)的位置信息，這些通過 GPS 定位所得到的位置信息在 50 米內(nèi)具有相當(dāng)高的精確度。在進(jìn)行該項(xiàng)研究的2個星期中，每一名試驗(yàn)志愿者平均都被收集位置信息高達(dá) 6 200 次，也就是約每 3 min這些志愿者的定位信息就要被 App 上傳一次。頻繁地收集位置并及時地上傳到服務(wù)器可以提升服務(wù)質(zhì)量，但是也會增加位置隱私泄露的風(fēng)險(xiǎn)。目前，主要應(yīng)用基于博弈論的隱私保護(hù)方法來解決隱私保護(hù)程度與服務(wù)質(zhì)量權(quán)衡的相關(guān)問題。Freudiger等[8]考慮到了自私節(jié)點(diǎn)對于位置隱私的影響，以博弈論為基礎(chǔ)分析了非合作情況下的位置隱私保護(hù)。Reza 等[9]提出了博弈論框架使得設(shè)計(jì)者能夠從給定的服務(wù)中尋找出最優(yōu)位置隱私保護(hù)機(jī)制。Reza所提出的框架是以用戶為核心的，因此筆者認(rèn)為該方法可很好地被應(yīng)用到智能移動終端位置隱私保護(hù)與LBS服務(wù)質(zhì)量間的權(quán)衡機(jī)制中。

另外，傳統(tǒng)的隱私保護(hù)模型除了博弈論，還有 k-匿名與差分隱私模型。k-匿名模型最早是由Samarati和Sweeney于1998年提出[10]，它實(shí)現(xiàn)了對個體與數(shù)據(jù)庫中具體對象間的聯(lián)系的斷開，從而保護(hù)了敏感數(shù)據(jù)。Marco Gruteser[11]最先將k-匿名模型應(yīng)用到了位置隱私保護(hù)上，提出位置k-匿名（Location k-Anonymity）的概念。如圖1所示，為k=5情況，即存在A、B、C、D、E共計(jì)5個用戶，其中用戶A進(jìn)行位置請求，且與其他4人共同組成一個空間區(qū)域。該空間區(qū)域內(nèi)的用戶坐標(biāo)都用這塊區(qū)域來表示，造成LBS服務(wù)器無從知曉究竟是區(qū)域內(nèi)的哪個用戶提出的位置請求，從而提升匿名程度，達(dá)到保護(hù)用戶個人位置隱私的目的。

差分隱私模型最早是由Dwork在2006年提出[12]。該模型主要通過為原始數(shù)據(jù)添加噪聲的方式來起到保護(hù)個人位置隱私的目的，使非法的信息截取者即使攔截或竊聽到了包含用戶位置信息請求的信息，也很難從中提取出有效的隱私信息。對于一個嚴(yán)格定義下的攻擊模型，具備添加噪聲少、隱私泄露風(fēng)險(xiǎn)低、破解難度相對較高等優(yōu)勢。位置隱私保護(hù)技術(shù)是指讓LBS提供商和非法人員不能或者無法輕易獲得用戶的真實(shí)位置相關(guān)信息的防護(hù)方法，當(dāng)前可以大致分為3 類 ：位置模糊、身份隱藏和信息加密[13]。現(xiàn)將不同種類的傳統(tǒng)保護(hù)技術(shù)的分析結(jié)果列在表1中，供讀者參考，這里不再贅述。

但是，這些傳統(tǒng)的經(jīng)典位置隱私保護(hù)技術(shù)在這個時代，面對著大數(shù)據(jù)、社會網(wǎng)絡(luò)等新興技術(shù)的沖擊時面臨著許多新的危機(jī)和挑戰(zhàn)。目前比較流行的主要有三類技術(shù)：政策法、扭曲法和加密法?；谡叻ǖ募夹g(shù)實(shí)現(xiàn)簡單，服務(wù)質(zhì)量高，但隱私保護(hù)效果差；基于扭曲法的技術(shù)效率較高，在服務(wù)質(zhì)量和隱私保護(hù)上取得了較好的平衡，但位置信息或服務(wù)屬性存在一定的不準(zhǔn)確性，易遭受具有完全背景知識的攻擊；基于加密法的技術(shù)能夠完全保證數(shù)據(jù)的準(zhǔn)確性和安全性，可以提供更嚴(yán)格的隱私保護(hù)，但需要額外的硬件和復(fù)雜的算法支持，計(jì)算和通信開銷很大[14]。本文主要選擇相對適中的扭曲法中的加密扭曲法進(jìn)行研究并改進(jìn)。

2 加密扭曲法的LBS隱私保護(hù)算法

近幾年來，基于扭曲法的 LBS 隱私保護(hù)技術(shù)已成為 LBS 隱私保護(hù)社區(qū)最活躍的研究方向[15]。它是指對 LBS 查詢中（ u 代表用戶身份標(biāo)簽，loc 是用戶在t時刻提交查詢的位置，Upoi是指服務(wù)質(zhì)量）的原始數(shù)據(jù)進(jìn)行必要的擾動，以避免攻擊者輕易地獲得用戶的真實(shí)數(shù)據(jù)，同時要能保證用戶不受妨礙地獲得服務(wù)。采用的技術(shù)主要包括假名（刪除或用一個臨時的標(biāo)識代替用戶身份）、隨機(jī)化（添加啞元）、模糊化（泛化或擾動查詢中的時空信息）和隱蔽化（對攻擊者隱蔽整個查詢）。

加密扭曲法算法模型是指用戶向LBS服務(wù)器進(jìn)行地理位置信息查詢數(shù)據(jù)請求，而服務(wù)器對時間、空間等信息或服務(wù)項(xiàng)目屬性進(jìn)行查詢，之后適當(dāng)?shù)剡M(jìn)行扭曲、加密與改正，以致于服務(wù)器無法獲得準(zhǔn)確的服務(wù)項(xiàng)目和地理位置信息屬性[16]。算法模型如圖2所示。

2.1 假名技術(shù)

它通過技術(shù)手段隱藏或修改原有用戶身份標(biāo)識，并使用一個假名來進(jìn)行地理位置請求，從而切斷了用戶的身份與查詢請求之間的聯(lián)系。假名只是一個對象的標(biāo)識而非真實(shí)的用戶名，不包含用戶能被識別的信息，從而實(shí)現(xiàn)了對用戶位置隱私的保護(hù)。

2.2 用戶地理位置的隨機(jī)化

隨機(jī)化是指在進(jìn)行 LBS 查詢時加入隨機(jī)啞元（啞元既可以是虛假的位置也可以是虛假的用戶），并將啞元查詢請求和真實(shí)的查詢請求一起發(fā)送給 LBS 服務(wù)器[17]。用戶在移動用戶終端上產(chǎn)生啞元查詢，并將其和真實(shí)查詢一起提交給LBS服務(wù)器，LBS服務(wù)器會響應(yīng)所有的查詢并向用戶返回所有結(jié)果，再由用戶終端進(jìn)行一定的算法處理，過濾掉啞元查詢并提取出真實(shí)查詢請求結(jié)果。如圖3所示，A為用戶u所處的真實(shí)位置，現(xiàn)用戶u要向LBS服務(wù)器進(jìn)行查詢請求，找到附近的飯店。此時，用戶終端會隨機(jī)產(chǎn)生啞元位置B、C，并將A、B、C三個位置一并提交給服務(wù)提供商，收到反饋結(jié)果后再在終端運(yùn)行過濾算法，得到飯店位置。

2.3 用戶地理位置的模糊化

用戶地理位置模糊化是指在進(jìn)行地理位置查詢的過程中，對請求數(shù)據(jù)中的時間元素和位置元素進(jìn)行適當(dāng)?shù)胤夯ㄒ钥煽氐姆绞浇档筒樵冎袝r空元素的精確度）與擾動（在位置元素中以一定的算法有意地添加部分錯誤），使得非法入侵者即使竊取到了請求信息，也無法得知用戶的確切位置。具體可分為集中式和分布式兩種方式的隱私保護(hù)技術(shù)。

2.3.1 集中式隱私保護(hù)技術(shù)

是由可信的匿名服務(wù)器負(fù)責(zé)對用戶位置數(shù)據(jù)進(jìn)行泛化和擾動，并將LBS服務(wù)器反饋回來的由模糊化的數(shù)據(jù)得到的查詢結(jié)果轉(zhuǎn)換為用戶需要的準(zhǔn)確地理位置信息?？臻g泛化技術(shù)通常采用上文提到的位置 k-匿名方式，即由可信的第三方匿名服務(wù)器將用戶所提交的精確位置點(diǎn)模糊為一個包含至少 k 個不同用戶的“隱形”區(qū)域。但是，一旦這個可信的匿名服務(wù)器被黑客攻破，便會造成大范圍的用戶隱私引息泄露。

2.3.2 分布式隱私保護(hù)技術(shù)

集中式結(jié)構(gòu)暴露出的缺點(diǎn)使得現(xiàn)在的隱私保護(hù)技術(shù)越來越朝著分布式結(jié)構(gòu)發(fā)展。分布式結(jié)構(gòu)，顧名思義就是將集中式結(jié)構(gòu)中的泛化和擾動操作從第三方匿名服務(wù)器移動到了用戶終端中來進(jìn)行。該技術(shù)所采用的時空泛化方法為經(jīng)過一些研究者改進(jìn)過的基于k-匿名的模糊化隱私保護(hù)技術(shù)。同時也出現(xiàn)了基于非 k-匿名的分布式技術(shù)，如Space Twist[18]隨機(jī)選擇錨點(diǎn)取代用戶的真實(shí)位置向LBS服務(wù)器發(fā)起多輪增量近鄰查詢，每個用戶根據(jù)自己的真實(shí)位置和增量近鄰查詢結(jié)果在移動終端上計(jì)算得到精確的查詢結(jié)果。

2.4 用戶地理位置的隱蔽化

隱蔽化是指通過從 LBS 服務(wù)器上完全刪除和隱藏用戶的信息或是 LBS 查詢以達(dá)到保護(hù)用戶隱私的目的。核心思想為：用戶請求 LBS 時不時向 LBS 服務(wù)器發(fā)送查詢，而是向自己附近的其他終端或代理請求位置查詢信息，從而對 LBS 服務(wù)器實(shí)現(xiàn)了隱蔽查詢，最大化了用戶的位置隱私。文獻(xiàn)[19]首先提出了隱蔽化方法，即將自己具體的地理位置信息發(fā)送給其他正在進(jìn)行類似操作的物理地址最近的終端。在信息有效期內(nèi)，可以經(jīng)過多次轉(zhuǎn)發(fā)，用戶可以通過無線P2P、有線方式等多種通訊傳輸方式進(jìn)行多次交互。但因未充分考慮用戶的移動模型，而造成其實(shí)用性大打折扣。最近，他們使用位置區(qū)域集合上的離散隱馬爾可夫鏈形式化了用戶的移動模型，極大地提高了方法的實(shí)用性[20]。隱蔽化技術(shù)采用分布式結(jié)構(gòu)，使用攻擊者的期望估計(jì)誤差來量化位置隱私。

3 加密扭曲算法的改進(jìn)

原有加密扭曲算法都是把用戶的完整地理位置信息上傳給LBS服務(wù)器用于解析數(shù)據(jù)，或是LBS服務(wù)器把完整的反饋信息傳送給用戶。這樣都會給用戶的個人位置隱私信息帶來巨大的安全隱患，黑客一旦截取到用戶的地理位置請求信息或是LBS服務(wù)器反饋給用戶的信息，通過一些技術(shù)手段進(jìn)行破解后都會獲取到用戶完整的個人位置隱私信息。

3.1 利用優(yōu)化后的坐標(biāo)轉(zhuǎn)換方法處理源信息

本文決定引入坐標(biāo)轉(zhuǎn)換方法對用戶地理位置坐標(biāo)進(jìn)行處理。其核心思想為：基于傳統(tǒng)的k-匿名方法，在現(xiàn)有 LBS 系統(tǒng)結(jié)構(gòu)的基礎(chǔ)上，增加一個坐標(biāo)轉(zhuǎn)換機(jī)制，將用戶發(fā)送給服務(wù)器端的地理位置信息全部經(jīng)過坐標(biāo)變換。LBS服務(wù)器接收到用戶發(fā)送的經(jīng)過坐標(biāo)轉(zhuǎn)換后的地理位置后，將相應(yīng)的應(yīng)答反饋給用戶的移動終端。坐標(biāo)變換參數(shù)由用戶的個人終端隨機(jī)產(chǎn)生，也就只有用戶自己可以反向計(jì)算得出真實(shí)坐標(biāo)，而匿名服務(wù)器因不知道坐標(biāo)變換參數(shù)，故無法反向計(jì)算出用戶的真實(shí)坐標(biāo)，從而提高了系統(tǒng)的安全性[21]。坐標(biāo)轉(zhuǎn)換公式為以下式（1），其中x，y分別代表用戶真實(shí)位置橫縱坐標(biāo)，x′，y′分別代表轉(zhuǎn)換后的橫縱坐標(biāo)：

原算法中參數(shù)發(fā)生器為固定時間更新，如設(shè)定3 min為更新頻率，這樣存在很大的安全隱患，一旦黑客破解了坐標(biāo)轉(zhuǎn)換算法并獲取到了更新頻率，則該加密方法將形同虛設(shè)，白白浪費(fèi)大量的性能開銷。而且原算法是由第三方可信的匿名服務(wù)器負(fù)責(zé)坐標(biāo)轉(zhuǎn)換，仍然存在泄密可能。

因此，本文提出優(yōu)化后的用戶地理位置坐標(biāo)轉(zhuǎn)換方法。坐標(biāo)轉(zhuǎn)換算法改在用戶終端上運(yùn)行，并且在原參數(shù)發(fā)生器中添加時間參數(shù)t，時間參數(shù)t是由用戶終端產(chǎn)生的隨機(jī)數(shù)，其決定著參數(shù)發(fā)生器下次更新時間。改進(jìn)后的參數(shù)發(fā)生器為，黑客即便掌握了參數(shù)發(fā)生器的參數(shù)產(chǎn)生算法，但由于無從得知關(guān)鍵參數(shù)t，因而無法破解LBS信息得到用戶真實(shí)地理位置坐標(biāo)。

3.2 用戶位置請求信息碎片化處理

在用戶的移動終端向LBS服務(wù)器進(jìn)行地理位置請求之前，把用戶的位置信息進(jìn)行碎片化處理，并將碎片進(jìn)行打包處理合成為一個看似完整的位置信息發(fā)送給不同的LBS服務(wù)器。每個LBS服務(wù)器僅僅可以獲取到部分用戶位置，例如：LBS服務(wù)器所實(shí)際得到的是用戶所在的某個模糊區(qū)域Si，每個區(qū)域Si 中都包含有用戶的確切位置區(qū)域loc的部分信息，卻無法確認(rèn)用戶所在精確位置坐標(biāo)。當(dāng)LBS服務(wù)器將用戶的地理位置區(qū)域信息回傳給用戶終端后，用戶終端負(fù)責(zé)合成這些區(qū)域Si，剔除掉重疊、無用的未知區(qū)域信息，提取有用的用戶位置信息碎片并進(jìn)行合成，從而得到用戶的精確定位的地理位置。該方法的優(yōu)點(diǎn)首先是提高了安全性，即使黑客攻陷了一個LBS服務(wù)器或截取到一條用戶的位置請求信息，只會得到錯誤的位置坐標(biāo)或是一個模糊的區(qū)域；另外就是用戶的地理位置信息是由多個LBS服務(wù)器共同得出來的，這樣可以提高定位精度，避免LBS服務(wù)器的錯誤反饋信息。

3.3 啞元方式的隱私保護(hù)技術(shù)的優(yōu)化

啞元應(yīng)該由用戶終端根據(jù)后臺規(guī)則庫中的規(guī)則隨機(jī)產(chǎn)生啞元，規(guī)則庫會時常進(jìn)行更新，防止被他人破解。每個啞元將僅僅被使用一次，使用完畢后將被銷毀作廢，以防被惡意跟蹤。并且，每個啞元都可以作為獨(dú)立的用戶地理位置請求與用戶真實(shí)的地理位置請求共同發(fā)送給LBS服務(wù)器，LBS服務(wù)器無法判斷該請求的來源是啞元，還是真實(shí)的用戶，因此進(jìn)一步提高了用戶位置隨機(jī)化方法的安全性。

3.4 假名技術(shù)的改進(jìn)

啞元以及真實(shí)的用戶地理位置請求都將會使用假的用戶標(biāo)簽，以便隱藏真實(shí)的用戶身份。這些假的用戶標(biāo)簽是有后臺中專門的用戶標(biāo)簽庫隨機(jī)產(chǎn)生，經(jīng)過用戶終端的一些處理，會隨機(jī)替換覆蓋掉原有真實(shí)的用戶標(biāo)簽（用戶名、登錄賬號、IP地址、MAC地址等），再發(fā)送給LBS服務(wù)器。這些用戶標(biāo)簽使用完畢后立即作廢，并且回收到后臺標(biāo)簽庫之中繼續(xù)供其他用戶使用。

4 仿真實(shí)驗(yàn)與結(jié)果分析

本文算法主要采用C++語言實(shí)現(xiàn)，實(shí)驗(yàn)的硬件環(huán)境為3.40GHz的 Intel Core i5 CPU，8GB RAM，操作系統(tǒng)為 Microsoft Windows 7。

在本次實(shí)驗(yàn)中，主要使用的是Thomas Brinkhoff的Network-based Generator of Moving Object用于在地圖上產(chǎn)生用戶移動的軌跡，地圖數(shù)據(jù)使用的是德國的oldenburgGen城市的地圖數(shù)據(jù)，研究節(jié)點(diǎn)分布密度及運(yùn)行軌跡情況和虛假位置節(jié)點(diǎn)與原真實(shí)節(jié)點(diǎn)間距離d（q，q′）以檢驗(yàn)算法的安全性能。如圖4所示為模擬生成的節(jié)點(diǎn)運(yùn)行軌跡，其中移動對象最大級別為100，最大移動速度為200，其余采用默認(rèn)值。

本文先后選取了節(jié)點(diǎn)數(shù)目100、200、500、1000、5000、10000、50000，作為實(shí)驗(yàn)參數(shù)進(jìn)行了仿真實(shí)驗(yàn)，運(yùn)行了算法，計(jì)算了虛假位置節(jié)點(diǎn)與原真實(shí)節(jié)點(diǎn)間距離d（q，q′），實(shí)現(xiàn)了對原坐標(biāo)的扭曲與坐標(biāo)轉(zhuǎn)換，選取適量錨點(diǎn)進(jìn)行分析，“節(jié)點(diǎn)”軌跡發(fā)生了偏移。假設(shè)攻擊者成功截取到了某一時刻用戶的位置請求信息，但是得到的只是經(jīng)過轉(zhuǎn)換的位置坐標(biāo)，且不同時間的坐標(biāo)是不同的，增加了追蹤難度。如表2所示，為經(jīng)過坐標(biāo)轉(zhuǎn)換后t1，t2時刻的坐標(biāo)及真實(shí)位置坐標(biāo)的實(shí)驗(yàn)結(jié)果?？梢娮鴺?biāo)發(fā)生偏移，如果對同一個節(jié)點(diǎn)連續(xù)追蹤，可以發(fā)現(xiàn)節(jié)點(diǎn)較真實(shí)軌跡發(fā)生較大偏移。

式（2）用于度量位置隱私保護(hù)的效果。熵值越大，則攻擊者判斷出用戶的準(zhǔn)確位置的不確定性程度越大，即隱私保護(hù)效果越好[22]。設(shè)攻擊者判斷出匿名集中每個用戶i的位置請求信息的概率為Pi，k表示匿名用戶數(shù)，則可表示為

如圖6所示，為改進(jìn)后與原算法的實(shí)驗(yàn)結(jié)果分析的圖表。

由圖可直觀看出，經(jīng)改進(jìn)后，信息熵較原算法相比增大，即攻擊者判斷出用戶準(zhǔn)確位置的不確定性增大，對用戶的位置隱私保護(hù)程度優(yōu)于原算法。

5 結(jié) 論

介紹了幾種傳統(tǒng)的個人位置隱私保護(hù)方法，并結(jié)合大數(shù)據(jù)時代的特點(diǎn)，分析了時下比較流行的政策法、扭曲法、加密法各自的優(yōu)缺點(diǎn)，對相對適中的加密扭曲算法進(jìn)行了詳細(xì)的介紹。筆者通過分析加密扭曲位置隱私保護(hù)技術(shù)的缺陷與不足之處，在原算法的基礎(chǔ)上從引入坐標(biāo)轉(zhuǎn)換方法、碎片化用戶地理位置請求信息和對啞元技術(shù)與假名技術(shù)的改進(jìn)這四個方面進(jìn)行了適當(dāng)?shù)貎?yōu)化和改進(jìn)。改進(jìn)后的算法進(jìn)一步加強(qiáng)了對用戶個人位置隱私的加密與保護(hù)，增加了破解難度，提高了用戶地理位置坐標(biāo)的準(zhǔn)確性，而且通過仿真實(shí)驗(yàn)驗(yàn)證了改進(jìn)后的個人位置隱私保護(hù)方法的有效性與優(yōu)越性。

參 考 文 獻(xiàn)：

[1]NAISBITT J. Megatrends： Ten New Directions Transforming Our Lives[J]. Houston Lawyer， 1984.

[2]劉雅輝， 張鐵贏， 靳小龍，等. 大數(shù)據(jù)時代的個人隱私保護(hù)[J]. 計(jì)算機(jī)研究與發(fā)展， 2015， 52（1）：229-247.

[3]趙君. 基于最遠(yuǎn)距離到達(dá)時間差的手機(jī)室內(nèi)定位方法[J]. 哈爾濱理工大學(xué)學(xué)報(bào)， 2017， 22（4）：34-39.

[4]中國互聯(lián)網(wǎng)絡(luò)信息中心. 2015 年中國手機(jī)網(wǎng)民網(wǎng)絡(luò)安全狀況報(bào)告 [EB/OL]. [2016-10-12].http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/ydhlwbg/201610/P020161012494271880676.pdf

[5]DCCI互聯(lián)網(wǎng)數(shù)據(jù)中心. 2016年中國Android手機(jī)隱私安全報(bào)告 [EB/OL]. http：//www.dcci.com.cn/media/download/2716b7369ac4a744c842683ec1a89e718c74.pdf

[6]CHRISTIN D， REINHARDT A， KANHERE S S， et al. A Survey on Privacy in Mobile Participatory Sensing Applications[J]. Journal of Systems & Software， 2011， 84（11）：1928-1946.

[7]陳寶遠(yuǎn)， 孫宇思， 陳光毅，等. 一種基于卡爾曼濾波的動態(tài)目標(biāo)GPS定位算法[J]. 哈爾濱理工大學(xué)學(xué)報(bào)， 2016， 21（4）：1-6.

[8]FREUDIGER J， MANSHAEI M H， HUBAUX J P， et al. On Non-cooperative Location Privacy： a Game-theoretic Analysis[C]// ACM Conference on Computer and Communications Security. ACM， 2009：324-337.

[9]SHOKRI R， REZA A， THEODORAKOPOULOS G， et al. Protecting Location Privacy： Optimal Strategy Against Localization Attacks[J]. Ccs， 2015：617-627.

[10]SAMARATI P， SWEENEY L. Generalizing Data to Provide Anonymity When Disclosing Information （abstract）[C]// Proceedings of the Seventeenth ACM SIGACT-SIGMOD-SIGART Symposium on Principles of Database Systems. ACM， 1998：188.

[11]GRUTESER M， GRUNWALD D. Anonymous Usage of Location-Based Services Through Spatial and Temporal Cloaking[C]// International Conference on Mobile Systems. 2003：31-42.

[12]DWORK C. Differential Privacy： A Survey of Results[M]// Theory and Applications of Models of Computation. Springer Berlin Heidelberg， 2008：1-19.

[13]杜瑞穎， 王持恒， 何琨，等. 智能移動終端的位置隱私保護(hù)技術(shù)[J]. 中興通訊技術(shù)， 2015（3）：23-29.

[14]張學(xué)軍， 桂小林， 伍忠東. 位置服務(wù)隱私保護(hù)研究綜述[J]. 軟件學(xué)報(bào)， 2015， 26（9）：2373-2395.

[15]SHOKRI R， THEODORAKOPOULOS G， DANEZIS G， et al. Quantifying Location Privacy： The Case of Sporadic Location Exposure[M]// Privacy Enhancing Technologies. Springer Berlin Heidelberg， 2011：57-76.

[16]周麗麗， 王金玉， 孫晶. 大數(shù)據(jù)中位置服務(wù)的隱私保護(hù)方法的研究[J]. 自動化技術(shù)與應(yīng)用， 2016， 35（8）：37-42.

[17]HAN J. Mining Frequent Patterns Without Candidate Generation[J]. Acm Sigmod Record， 2000， 29（2）：1-12.

[18]YIU M L， JENSEN C S， HUANG X， et al. Spacetwist： Managing the Trade-offs Among Location Privacy， Query Performance， and Query Accuracy in Mobile Services[J]. Icde， 2008：366-375.

[19]SHOKRI R， PAPADIMITRATOS P， THEODORAKOPOULOS G， et al. Collaborative Location Privacy[C]// 2011 Eighth IEEE International Conference on Mobile Ad-Hoc and Sensor Systems. IEEE Computer Society， 2011：500-509.

[20]SHOKRI R， THEODORAKOPOULOS G， PAPADIMITRATOS P， et al. Hiding in the Mobile Crowd： LocationPrivacy Through Collaboration[J]. IEEE Transactions on Dependable & Secure Computing， 2014， 11（3）：266-279.

[21]林少聰， 葉阿勇， 許力. 基于坐標(biāo)變換的k匿名位置隱私保護(hù)方法[J]. 小型微型計(jì)算機(jī)系統(tǒng)， 2016， 37（1）：119-123.

[22]趙大鵬， 梁磊， 田秀霞，等. LBS的隱私保護(hù)：模型與進(jìn)展[J]. 華東師范大學(xué)學(xué)報(bào)（自然科學(xué)版）， 2015（5）：28-45.

（編輯：王 萍）