張旭 姚龍 宋增源

摘要：隨著時代的發(fā)展，科技的進步，我們對生活質(zhì)量的要求也越來越高。各種基于位置服務(wù)也走進了我們生活之中。這種以用戶提供自身當(dāng)前或連續(xù)位置以獲取如導(dǎo)航、近鄰查詢等為主的服務(wù)方式，一經(jīng)推出就引起了廣大用戶使用興趣。然而在人們享受這種服務(wù)帶來便利的同時，又不可避免地要面對用戶隱私泄露問題。針對基于位置服務(wù)隱私泄露問題，本文提出面向路網(wǎng)環(huán)境的預(yù)測攻擊模型。

關(guān)鍵詞：基于位置服務(wù)；隱私泄露；路網(wǎng)環(huán)境；攻擊模型

中圖分類號：TP311 文獻標(biāo)識碼：A 文章編號：1009-3044（2019）04-0058-02

Abstract： with the development of the times and the progress of science and technology， our requirements for the quality of life are getting higher and higher. Various location-based services have also entered our lives. This kind of service mode， which provides users with their current or continuous location to obtain such services as navigation， neighborhood query and so on， has aroused the interest of users. However， while people enjoy the convenience of this service， it is inevitable to face the problem of user privacy leakage. Aiming at the problem of location-based service privacy disclosure， this paper proposes a predictive attack model for road network environment.

Key words： location based service； privacy leakage； road network environment； attack model

1 引言

隨著移動通訊技術(shù)和傳感技術(shù)的普及，移動用戶能夠在任何時間、任何地點獲得信息服務(wù)。人們不再滿足于虛擬網(wǎng)絡(luò)的新奇與趣味，力求把線上的虛擬社交轉(zhuǎn)變?yōu)楝F(xiàn)實的社會關(guān)系，從而獲得人際上、物質(zhì)上、甚至感情上的現(xiàn)實利益。于是，基于位置服務(wù) 的出現(xiàn)使這種期許成為可能[1]?；谖恢梅?wù)在給人們帶來便利的同時又存在許多安全上的隱患，人們享受這種服務(wù)帶來便利的同時，又不可避免地要面對用戶隱私泄露問題。針對隱私泄露問題，研究者們提出了大量的解決方法，這些方法可分為有中心服務(wù)器與無中心服務(wù)器兩類。盡管這些已有的方法能夠在一定程度上保護用戶在使用基于位置服務(wù)過程中的個人隱私，但隨著數(shù)據(jù)挖掘技術(shù)的發(fā)展以及攻擊者掌握的背景知識的增加，研究者發(fā)現(xiàn)已有的隱私保護方法已不再能提供完整有效的個人隱私保護，尤其難以應(yīng)對攻擊者將位置和用戶輪廓之間加以關(guān)聯(lián)，通過關(guān)聯(lián)關(guān)系的刻畫進而獲得用戶隱私的攻擊方法。如何模糊或泛化這種關(guān)聯(lián)關(guān)系，在用戶使用兩種不同類型的基于位置服務(wù)的過程中保護個人隱私，提供快照和連續(xù)服務(wù)下的隱私保護，成為當(dāng)前對于位置服務(wù)隱私問題研究的熱點和難點。本文主要論述如何借助用戶協(xié)作個性化匿名方法來實現(xiàn)用戶個人隱私的保護。

2 相關(guān)概念

基于位置服務(wù)（Location-Based Services， LBS）是目前物聯(lián)網(wǎng)和移動無線通信中的典型應(yīng)用，它的便捷性極大地提高了人們的生活水平?；谖恢梅?wù)是指移動終端利用定位技術(shù)獲得當(dāng)前所相關(guān)信息，使得人們在享受該服務(wù)帶來便利的同時又存在著隱私泄露的情問題。

一般來講，基于位置服務(wù)中的隱私保護問題大體可以分為兩種：位置隱私和查詢服務(wù)[2]。比如小李利用自己的手機查詢附近最近的烤串店，這是手機GPS道行最常見的問題。一方面小李不想讓別人知道他的位置信息（如“烤串店”），另一方面也不想別人知道的在那一方面有需求（如“吃烤串”）。前者屬于位置信息保護的范疇，后者屬于隱私保護的范疇。

為了解決基于位置服務(wù)中的隱私保護問題，2003年Marco Gruteser[3]等人借鑒數(shù)據(jù)庫中常用的k-匿名（k-anonymity）機制提出了位置k-匿名模型；2007年Kalnis等人提出互質(zhì)性概念，并根據(jù)互質(zhì)性問題提出了內(nèi)容多樣性的方法；2008年Bhuvan等人提出了位置多樣性；2009年Liu等人提出了查詢多樣性；同年Wang等人提出了路段多樣性；2011年Lee等人提出了語義多樣性；2010年潘曉等人針對靜態(tài)匿名方法不適合在連續(xù)查詢服務(wù)中保護用戶的位置隱私，提出了δp-隱私模型和δq質(zhì)量模型；2011年Nikos[4]等人針對連續(xù)查詢的位置軌跡，提出了敏感軌跡匿名；2012年Ryo等人針對真實用戶在連續(xù)查詢過程中存在不同的等待位置，提出了一種使用假軌跡匿名真實用戶軌跡的方法；2013年Georgios[5]等人通過計算連續(xù)查詢過程中，移動用戶生成軌跡的相似程度來尋找參與的匿名用戶；同年，Tanzima[6]等人針對連續(xù)使用匿名框，可能會在兩個連續(xù)的匿名區(qū)域產(chǎn)生重疊，進而導(dǎo)致在用戶該區(qū)域時易被攻擊者識別的情況，提出在連續(xù)匿名尚未完成是進行預(yù)查詢的方法，防止產(chǎn)生重疊的匿名區(qū)域；2014年Hwang等人根據(jù)位置、路段、時間和軌跡的多樣性，提出了多屬性的位置軌跡隱私保護方案。經(jīng)過前輩們的努力，基于位置服務(wù)中隱私保護問題得到了很大的改善。

為了解決路網(wǎng)環(huán)境中傳統(tǒng)的最近連續(xù)查詢無法支持用戶不確定搜索的問題，在組最近鄰查詢的基礎(chǔ)上引入了模糊因子來描述用戶查詢的不確定性[7]。本文介紹兩種將用戶連續(xù)查詢的信息模糊泛化的方法，一種是用戶協(xié)作個性化匿名方法，另一種是輪廓泛化的連續(xù)位置隱藏方法。下面具體介紹兩種方法。

3 用戶協(xié)作個性化匿名方法

鑒于用戶協(xié)作實現(xiàn)位置和查詢匿名過程中無法滿足所有用戶個性化匿名需求，擬通過將查詢信息分塊后在協(xié)作用戶彼此之間隨機交換的方式實現(xiàn)不同用戶不同匿名組的要求。信息分塊并建立匿名組的過程可如圖a-圖d所示。

由于每一個用戶都有特定的IP地址 所以攻擊者可以通過這些用戶的連續(xù)查詢時間間隔可以關(guān)聯(lián)到用戶，從而獲取用戶隱私。而用戶協(xié)作個性化匿名方法可以將這種情況的概率降低。如圖1中的a，b，c，用戶經(jīng)過信息的隨機交換使用戶的信息變得模糊化，形成了如圖d所示的用戶信息的分布情況。也就是說經(jīng)過隨機交換后，每個用戶擁有其他用戶的查詢內(nèi)容分塊，并且在提交位置信息之后可以實現(xiàn)多個位置對應(yīng)多個查詢內(nèi)容，從而實現(xiàn)用戶位置和查詢之間的泛化，這樣攻擊者就很難通過用戶提交的位置信息來關(guān)聯(lián)用戶了。

4 輪廓泛化的連續(xù)位置隱藏方法

輪廓泛化的思想是通過可信的第三方將用戶表現(xiàn)出的輪廓信息與其他用戶相模糊，使得攻擊者無法通過輪廓信息的差異識別出真實用戶。如圖e所示，假設(shè)用戶產(chǎn)生三角形的輪廓信息，當(dāng)未經(jīng)過輪廓泛化時，匿名用戶可顯現(xiàn)出五邊形所示的輪廓信息，攻擊者可通過這種輪廓信息差別識別真實用戶。而經(jīng)過輪廓泛化，使得真實用戶與匿名用戶同時展現(xiàn)相似的三角形輪廓信息，以此實現(xiàn)泛化真實用戶的目的。

如圖e用戶經(jīng)過mix-zone轉(zhuǎn)化之后，可以將用戶的特有的屬性信息轉(zhuǎn)化成其他表現(xiàn)形式的信息，這樣攻擊者就無法通過用戶所表現(xiàn)出來特有的屬性信息來關(guān)聯(lián)用戶，進而識別用戶來獲取其位置隱私。

5 結(jié)論

本文針對基于位置服務(wù)的隱私保護問題進行簡單的分析，以及為了解決在基于位置的服務(wù)中保護用戶隱私的問題，在基于位置的服務(wù)中用戶所在位置作為個人隱私信息需要加以保護的特點以及本領(lǐng)域現(xiàn)有的隱私保護方法的基礎(chǔ)上介紹個兩種將用戶位置信息模糊泛化的方法。經(jīng)過將用戶的位置信息模糊泛化后，攻擊者很難通過用戶的基于位置服務(wù)過程中產(chǎn)生的特定提交位置信息來關(guān)聯(lián)用戶，從而可以大范圍地保護用戶的位置信息。

參考文獻：

[1] 梁啟星. 基于位置服務(wù)環(huán)境下的位置隱私侵權(quán)探析[J]. 重慶郵電大學(xué)學(xué)報（社會科學(xué)版）， 2013， 25（2）：24-29.

[2] 潘曉， 郝興， 孟小峰. 基于位置服務(wù)中的連續(xù)查詢隱私保護研究[J]. 計算機研究與發(fā)展， 2010， 47（1）：121-129.

[3] Gruteser M， Grunwald D. Enhancing Location Privacy in Wireless LAN Through Disposable Interface Identifiers： A Quantitative Analysis[J]. Mobile Networks & Applications， 2005， 10（3）：315-325.

[4] Terrovitis， Manolis， Mamoulis， et al. Privacy Preservation in the Publication of Trajectories[J]. 2008：65-72.

[5] Evans P， Karras G. Convergence revisited[J]. Journal of Monetary Economics， 1996， 37（2）：249-265.

[6] Hashem T， Kulik L. Safeguarding Location Privacy in Wireless Ad-Hoc Networks[C]// International Conference on Ubiquitous Computing. Springer-Verlag， 2007：372-390.

[7] 陳舒， 蔣志會， 陸恒，等. 路網(wǎng)環(huán)境中關(guān)于模糊組最近鄰問題的研究[J]. 計算機應(yīng)用研究， 2016， 33（2）：343-346.

【通聯(lián)編輯：代影】