一個普適計算環境中的定位隱私保護模型

摘 要：隨著普適計算技術的發展，在普適環境中的應用服務也日益增多。這些服務通常都是基于用戶位置的服務，然而，用戶的定位信息中往往直接或間接地包含著用戶的隱私內容。針對如何在獲取個性化定制服務的同時保護用戶的定位隱私這一問題展開討論，提出了一種定位信息采集和假名使用的策略，并基于該策略建立了一個普適計算環境中的定位隱私保護模型。

關鍵詞：普適計算;智能空間;無線網絡;定位隱私;隱私保護

中圖分類號：TP393文獻標志碼：A

文章編號：1001-3695(2009)06-2110-03

doi:10.3969/j.issn.1001-3695.2009.06.033

Location privacy protect model for pervasive computing

LIU Heng，WANG Tie-jun，SHE Kun，ZHOU Ming-tian

(School of Computer Science Engineering， University of Electronic Science Technology of China， Chengdu 610054， China)

Abstract:With the development of pervasive computing technologies， the applications in ubicom environment was increa-sing. Those application usually based on user’s location information， which included user’s privacy information directly or indirectly. This paper discussed how to protect user’s location privacy while personalized service was provided.Proposed user’s location information acquisition policy and pseudonym policy and built a model for protect user policy of pervasive computing based on those policy.

Key words:pervasive computing; smart space; wireless network; location privacy; privacy protect

0 引言

隨著計算設備的微型化，無線通信和電子傳感器的發展，普適計算成為了計算機應用的一個嶄新領域，引起了人們的普遍關注。無處不在的計算環境為人們提供了自動的、完善的服務。在智能空間、搶險救災以及商業應用中有著廣泛的應用前景。

在普適計算環境中，用戶的定位信息成為了提供服務的主要依據。用戶通過自己的位置信息獲取周邊可使用的服務信息，從而獲取不同的服務。同樣，應用服務也可以根據感知用戶的位置信息，主動地向用戶提供對應的服務。

為了獲得及時準確的個性化服務，用戶使用基于定位的服務時通常需要發送包括用戶身份、請求的服務名稱、用戶所在位置等在內的用戶信息。如果惡意的窺探者獲得了用戶的定位信息，通過定位信息可以直接或間接地獲取用戶的隱私內容。例如，如果某一用戶的定位信息顯示其每天有規律地定位在醫院的心臟科，可以推測該人是醫院心臟科的一位大夫；如果他同時還使用了某些特殊服務，如使用銀行服務、高速公路繳費站自動繳費服務，那么該人的信用卡信息、駕駛執照信息和用戶身份將被關聯使得用戶個人隱私存在較大危險。

當惡意的窺探者獲知了這些相關信息后，就可能發起針對用戶定位和隱私的攻擊，如垃圾信息騷擾、個人信息的失竊或被散布、冒用用戶信息進行欺詐、用戶被跟蹤從而引發蓄意的人身財產傷害等。要避免這些攻擊的發生，最根本的辦法就是保障用戶定位信息的安全性。因而，如何在為用戶提供完善服務的同時保障用戶的隱私信息不被竊取，就成為了普適環境應用研究中的一個重要問題。

1 普適計算環境中的隱私泄露

通過對普適環境中的定位服務系統的研究，可以發現普適環境中，用戶的定位信息通常通過以下幾種方式被泄露^[1]：

a）服務提供方的額外獲取。用戶在不知情的情況下提交了他的隱私信息給服務提供方。

b)服務提供方的惡意泄露。服務提供方利用向用戶提供服務為由獲取了用戶的定位信息后將其提供給了非授權的第三方。

c)惡意第三方的監聽。在用戶與服務提供方的通信過程中，被惡意的第三方監聽信息，從而獲取用戶的定位信息。

d)通過分析獲取。通過正常服務以及惡意檢測，第三方可以獲取大量的用戶信息，從這些信息中可以推測出用戶的定位信息。

針對不同的隱私泄露方式，需要從不同的角度來分析設計其保護措施。在本文中主要研究對于第二種（服務提供方泄露用戶隱私）的情況，該如何進行保護。

傳統的定位信息保護方式主要有兩種^[2]：

a)拒絕所有的基于位置的服務，這樣的方法最簡單，但用戶無法獲得與位置信息相關的任何服務；

b)只提供位置信息，但隱藏用戶的身份，從而實現定位服務的獲取，但是由于隱藏了用戶的身份信息，用戶無法保存個人設置，無法獲得定制的服務。

為了在獲取定制個性化服務的同時保護用戶個人隱私，本文提出了一種基于定位中間件的定位隱私保護模型，利用可信賴的定位中間件系統，將用戶與服務之間分隔開，最大程度地保證了用戶身份獨立，從而實現用戶隱私保護和服務定制的并存。

2 基于定位安全中間件技術的隱私保護模型體系結構

傳統的定位服務系統中，應用服務提供方通過紅外線、射頻等無線通信方式自動獲取用戶的位置信息。當用戶位置信息符合其條件時，為用戶提供服務列表供其選擇或直接提供服務。用戶與應用服務提供方之間直接進行信息的傳送。

普適計算環境中的傳統定位服務由服務提供商、用戶、定位系統三者組成。在這樣的環境下用戶直接與服務提供商交換用戶個人信息，以換取定制的服務。在對定位服務系統的研究后，筆者發現應用服務的提供方為了給用戶提供可定制的服務，往往需要用戶提供一些個人信息，如賬號、密碼、年齡、愛好等，這些隱私信息的獲取是合法的，通常也是用戶允許的。然而，當用戶提交信息后，用戶無法約束服務提供方對已獲知的用戶個人信息的處理方式。定位信息很容易被應用服務的提供方泄漏。因此，為了實現在定制服務的同時保護用戶的個人隱私，本文采用了現代的定位服務體系（基于一個共享的中間件系統的定位環境，如Spirit、QoSDream系統^[3，4]）來設計定位隱私保護模型。

在該模型中，設定所有服務提供方均為不可信任對象，基于信任的傳遞性和普適環境中信任模型的建立分析^[5~7]。因而在模型中，用戶與基于定位的應用服務之間并不直接通信，所有信息經由事件驅動的定位隱私保護安全中間件系統進行傳遞。該中間件平臺系統是一個可信任的并實現用戶身份隱藏的一個自感知系統。定位隱私保護模型由以下三部分構成（圖1是定位隱私保護模型的體系結構）：

a）定位設備層。實現不同定位環境（如紅外線定位、GPS定位、超聲波定位等）下的設備管理和硬件差異屏蔽。

b)定位隱私保護中間件。通過事件驅動的中間件平臺實現用戶定位信息，并對定位信息進行匿名保護。該中間件平臺包含以下三個子層：

（a）定位服務子層。在定位設備層的基礎上，采用主動模式，同時為多個用戶提供定位服務。該定位服務子層作為定位隱私保護中間件的基礎層，實現用戶的移動定位。

（b）匿名服務子層。將用戶的真實身份和隱私信息與用戶定位信息分離。在匿名服務子層中建立定位信息庫，采用假名來隱藏用戶的真實身份，切斷用戶身份與隱私信息之間的映射關系，降低信息熵。

（c）用戶身份及應用服務管理子層。面向上層應用服務，提供用戶身份管理和應用服務信息管理維護，建立身份信息庫、服務信息庫。

c）終端服務層。對普適環境中的移動用戶及各類服務提供商對外提供的服務進行管理。

在定位隱私保護中間件平臺中，本文采用分類信息存儲模式，構架了以下三個信息庫：

a）用戶信息庫（M）。記錄了用戶的基本身份信息，包括用戶的個人信息、訂購服務名稱、個性化設置、安全隱私級別等。

b)服務信息庫（S）。記錄了所有LBS（location-based ser-vices）的相關信息，包括服務名稱、服務類型、服務所需用戶信息、服務安全級別、服務位置、服務范圍等。

c)定位信息庫（L）。記錄了用戶位置信息和假名信息，包括用戶ID、用戶假名、用戶位置信息、假名生命周期等。

實驗環境中三個信息庫均使用Novell公司的eDirectory作為信息存儲服務，通過Idenetity Manager的不同策略實現三個數據庫的數據信息的自動同步。

當用戶進入普適環境，用戶信息庫會自動匹配用戶信息，若為新用戶將為用戶創建一個個人信息記錄。同時定位信息庫（L）中會自動獲取用戶對應的位置信息，形成用戶假名和位置記錄。用戶可以通過查詢服務信息庫（S）進行服務瀏覽和定制，當定位信息進入到用戶信息庫中用戶定制的服務信息范圍時，用戶將采用實時假名訪問服務，獲取個性化服務；但當用戶離開服務范圍或者再次進入服務范圍，其對應假名信息也將實時更新變化。

3 系統流程和隱私保護策略

在該模型中，本文根據服務提供所需的信息是否涉及用戶個人隱私將用戶需要的服務分為與用戶隱私信息相關的定制型服務D（如路過藥店提醒購買阿司匹林——購買的藥品名稱即用戶隱私）和與用戶隱私信息無關的非定制型服務A（如進入辦公室，打印機自動開啟——不包含任何用戶信息）兩種。任何服務提供方想要提供基于定位的服務，必須在服務信息庫中進行注冊，在服務信息庫S中，通過屬性STYPE來標志服務類型；而對于非定制型服務，按其所需用戶信息的隱私級別由低到高，將服務分為四個不同隱私等級，用戶可以通過隱私級別等級判斷是否定制或接受服務。采用服務信息注冊可以對服務提供方進行有效管理，及時屏蔽可能的惡意服務提供方。

當用戶需要的服務是非定制服務S1時，定位隱私保護中間件平臺將用戶完全匿名，作為一個匿名用戶來訪問應用服務。這種情況下用戶并不傳遞任何隱私信息給定位隱私保護中間件，同時也不傳遞任何隱私信息給服務提供方。對于服務提供方S1而言，其提供所有服務均面向完全匿名對象。

當用戶需要的服務是定制服務（即個性化服務）S2時，定位中間件平臺計算用戶位置信息，并將用戶的真實姓名與假名（pseudonym）進行匹配映射，用假名來攜帶用戶的參數，訪問應用服務。對于服務S2而言，其服務是提供給假名用戶 P ，所有個人信息均屬于假名用戶P，而無法將假名用戶P 與真實用戶 B 之間進行映射，從而保障了真實用戶B的隱私安全。圖2是定制服務與非定制服務的用戶訪問模式。

模型通過可信任的定位隱私保護中間件來實現用戶身份的隱蔽。通過可信任的中間件，將真實用戶身份和服務對象之間的聯系斷開。對于服務提供方而言，它始終是向不同的假名用戶提供服務，并不知道真實用戶信息，也無法知道假名與真實用戶之間的對應關系。然而長期使用固定假名，將使得真實身份與假名之間聯系度增加，使得惡意方可以推測出假名與真實身份之間的聯系。如假名用戶 P，長時間處于院長辦公室打印機服務范圍，可以猜測該假名用戶即院長本人，則當用戶P到達自動售貨機服務范圍后，可以猜測院長離開辦公室進入走廊，并通過跟蹤P用戶的行程捕獲其用戶信息，通過一定時間的觀察和信息捕獲，當捕獲到的用戶信息足夠多時，該用戶隱私將暴露其真實身份。可以準確地推斷出一個假名用戶與真實用戶之間的映射關系，從而確定所有隱私信息的真實身份。

因而，假名用戶與真實用戶的對應關系要不定期地進行變動，以保障假名的信息熵，保障隱私保護的有效性。在本系統模型中，筆者設計了假名變換的雙變量并更策略。在該策略中，假名映射規則按時間（T）和空間（S）雙變量進行動態變化。時間變量（T）即假名的生命周期（PLIFE），它標志假名生成的時間長短，當假名生命周期結束，將自動變更一次假名映射關系，以避免用戶被長期跟蹤?？臻g變量（S）是根據服務分布狀況，將整個定位空間劃分為多個服務響應區（SSCOPE）。每個服務提供方在其服務響應區中，為用戶提供相應的服務支持，當用戶離開服務響應區，該服務即中斷。當用戶跨過服務響應區邊界，變更用戶假名映射關系，從而保障用戶的形同軌跡不被跟蹤；同時，當用戶從一個服務的響應區跨越到另一個服務的響應區，用戶假名映射關系也隨之變化，這樣可以有效防止不同惡意服務提供方之間的勾結。

定位隱私中間件平臺的用戶假名保護策略如圖3所示。

4 結束語

隱私保護不僅僅是一個技術問題，同時也是一個法律問題，關于隱私保護級別和內容的界定以及保護的機制都是人們研究的重點。本文就目前定位系統中用戶隱私信息保護區域提出了一種采用假名方式屏蔽用戶真實身份與隱私信息之間聯系的服務機制，在保證用戶隱私私密性的情況下，同時為用戶提供了可定制的定位服務，并通過對服務注冊的統一管理，實現對服務提供方的資格審查，有效避免了惡意服務提供方的監聽，保障了用戶信息的安全性。通過本策略可以有效防止不同服務之間的惡意串通，防止用戶的行蹤被服務提供方跟蹤。

后續研究包括：針對強特征信息（如用戶身份證信息）傳遞帶來的隱私泄露研究分析其隱私保護策略；隱私信息內容界定，隱私級別設計制定；針對大信息量產生的隱私泄露保護策略；針對移動習慣預測的用戶行動跟蹤的隱私保護策略研究。

參考文獻：

［1］BERESFORD A，STAJANO F.Location privacy in pervasive computing[J].IEEE Pervasive Computing， 2003，2(1):46-55.

[2]ORLACH G，HEINEMANN A，TERPSTRA W W.Survey on location privacy in pervasive computing[C]//Proc of Workshop on Security and Privacy in Pervasive Computing.Holland:Kluwer Acedemic Publisher，2004：23-34.

[3]ADLY N，STEGGLES P，HARTER A.SPIRIT:a resource database for mobile users[C]//Proc of ACM CHI’97 Workshop on Ubiquitous Computing.New York:ACM Press，1997.

[4]NAGUIB H， COULOURIS G， MITCHELL S.Middleware support for context-aware multimedia applications[C]//Proc of the 3rd Int’l Conference on Distributed Applications and Interoperable Systems.Norwell，Mass:Kluwer Academic Publishers，2001:9-22.

[5]ENGLISH C，NIXON P，TERZIS S，et al.Dynamic trust models for ubiquitous computing environments[C]//Proc of Workshop on Secu-rity in Ubiquitous Computing.Goteborg:[s.n.]，2002.

[6]SHANKAR N，ARBAUGH W A.On trust for ubiquitous computing[C]//Proc of Workshop on Security in Ubiquitous Computing.Goteborg:IEEE Computer Society，2002:44-54.

[7]SHAND B，DIMMOCK N，BACON J.Trust for Ubiquitous，transparent collaboration[C]//Proc of the 1st IEEE International Conference on Pervasive Computing and Communications.Washington DC:IEEE Computer Society，2003:153-160.

[8]WINSLETT M，YU T，SEAMONS K，et al.Trust negotiation on the Web[J].IEEE Internet Computing，2002，6(6):30-37.