基于地理信息服務隱私安全保護的研究

◆唐 迪 楊小牛

0 引言

近些年來，隨著移動通信技術的飛速發展、高性能智能移動終端的廣泛普及、移動數據網絡帶寬的不斷提高，基于地理位置信息服務（Location Based Service，LBS）成為移動互聯網最重要的應用之一。LBS是由移動通信網絡和衛星定位系統結合的一種增值業務，它通過一組定位技術獲得移動終端的位置信息，并提供給移動用戶本人、他人及通信系統，實現信息、娛樂等相關信息服務的業務。本質上它是一種概念較為寬泛的與空間位置有關的新型業務，即“確定地理位置”+“提供服務信息”的模式。

雖然 LBS通過用戶位置信息可以為用戶提供各種便利的服務，但用戶位置信息的上傳和使用引發了用戶對其個人隱私信息泄露的擔憂。2011年微軟公司的一份調查報告表明，在使用LBS的用戶中，有超過83%的用戶認為該LBS服務提供商收集、使用和分享個人地理位置信息的行為會導致其個人隱私受到侵犯。隨著LBS用戶對個人隱私信息的重視，LBS隱私安全保護成為近年來的研究熱點。

1 基于地理位置信息服務面臨的安全威脅

1.1 基于地理位置信息服務概述

LBS在移動終端的應用不僅實現百度地圖的地理位置功能、大眾點評的地點搜索、評價查看功能，滴滴打車等P2P在線服務業務，同時實現了微信、人人網等社交網絡平臺上的人際互動功能，隨著4G網絡的普及，LBS整合了互聯網平臺和移動數據平臺，通過基于地理位置信息服務模式，融合線上線下資源，建立了全方位的社會化網絡服務體系，形成了全新的社會關系、群體互動聯系、個體行為規律以及新的經濟模式。本文結合工業界和學術界的相關表述對LBS有如下定義：LBS一般要求用戶首先通過定位設備獲取當前自身定位信息，并將該信息與相應的服務請求發送給LBS服務提供商，LBS服務商在接收到用戶的服務請求后，根據用戶的地理位置信息和請求提供相應的服務信息。

1.2 基于地理位置信息服務面臨的安全威脅

在 LBS中，用戶通過上傳個人地理位置信息獲得所需要的服務。其中，個人的地理位置信息和獲得的服務信息都是個人的隱私信息。在LBS服務過程中，個人的隱私信息可能會被LBS服務提供商、無線互聯網服務商，未經授權的第三方組織甚至是有目的的攻擊者獲得。信息收集者通過利用獲得的歷史地理位置信息和服務信息可以還原用戶生活軌跡、生活習慣，從而推斷用戶的隱私信息，如職業、愛好、宗教信仰、消費、身體狀況等信息。

2 地理位置信息隱私安全保護技術

最近幾年，隨著對LBS隱私信息保護的重視，LBS隱私保護技術成為學術界研究的重要領域之一。根據研究方法基礎劃分，隱私保護技術主要包括（1）用戶位置信息保護原則；（2）用戶身份信息保護原則；（3）基于密碼的保護算法。

2.1 k-匿名（k-anonymity）保護模型

k-匿名保護模型作為隱私保護安全技術的安全模型被廣泛使用。它的核心思想是將一組特殊屬性定義為準標識符（Quasi-identification），并確保準標識符商取值相同的元組規模至少為k（k≥2），從而使攻擊者發起連接攻擊時得到的個體和敏感信息之間的關系變得模糊。針對LBS服務，k-匿名保護的實現是指，對發送服務請求的用戶A生成一個隱匿空間R，該空間可以滿足，攻擊者根據發送的服務請求識別出其真實請求者A的概率 p≤1/k。k-匿名保護模型雖然能保證隱私信息相對安全，但是k-匿名化的過程中的泛化操作可能會導致數據服務的質量下降。

2.2 用戶位置信息保護原則

用戶位置信息保護原則的核心思想是通過保護用戶的地理位置信息和隱私信息。而用戶地理位置信息要求上傳至服務器，因此，該原則一般通過模糊上傳的用戶地理位置信息或發送多個虛假地址實現k-匿名保護。

2.2.1 空間隱匿保護技術

空間隱匿技術（Spatia1 c1oaking）的基本思想是首先通過可信第三方建立一個或多個模糊的空間范圍。該區域通過擴大用戶的位置范圍或調整用戶地理位置信息在時域和空域的解析度模糊用戶的精確位置，并將該區域代替用戶的精確位置，上傳至LBS服務商，從而獲得相應的LBS服務。當該區域包含k個移動用戶時，可以實現對該用戶位置隱私的k-匿名保護。但是，上傳的位置信息不是用戶的精確位置，導致用戶不能獲得高質量的服務體驗。

空時隱匿技術主要研究如何選擇合理的空間范圍替代用戶的地理位置信息，并且在用戶服務質量和隱私保護之間做出平衡。如在[3]中，作者分析了用戶請求發生的地理位置的概率分布，根據該分布和用戶真實位置生成相應的隱匿空間范圍，從而保證k-匿名保護的實現。在[4]中，作者分析并量化了服務質量與隱私保護之間的折中關系，以此用戶可根據需求選擇安全度和服務質量。

這類算法主要依靠犧牲LBS服務質量來實現用戶隱私安全。一方面 LBS服務要求用戶提供精確位置，以保證服務質量；另一方面隱私保護算法希望通過混淆掩蓋等方法將用戶精確信息保護起來，防止隱私泄露。

2.2.2 假地址技術

假地址技術是指利用假地址替代準確的地理位置信息。該技術主要思想是通過一定的策略生成多個假的或者錯誤的地理位置信息混淆真實的地理位置信息。用戶將多個假地址連同真實的地理位置信息發送給 LBS服務器。服務器根據這些位置向用戶提供一組服務信息，從而避免 LBS服務商直接獲得用戶的真實地理位置。理論上，當用戶向LBS服務發送k個位置（包含真實位置）時，攻擊者無法從這k個位置中識別用戶的真實位置，從而實現k-匿名保護。虛假位置的生成策略是假地址能夠保證隱匿真實地理位置信息的關鍵。在[5]中，作者考慮了旁路信息攻擊，并基于信息熵設計了虛假信息的生成策略，從而保證實現k-匿名保護。

假地址技術的安全性的實現主要依靠假地址的數量。一方面用戶希望使用更多的假地址混淆自己的地理位置信息；另一方面，大量的假地址信息將導致 LBS服務器需要回復額外的服務信息，從而增加通信和計算的消耗。

2.3 用戶身份信息保護原則

身份隱匿技術主要思想是通過混淆用戶身份信息來實現用戶隱私信息k-匿名保護。該技術一般包括兩種方法，假名技術和基于多跳的路由技術。

2.3.1 假名技術

假名技術一般是通過可信第三方為每位用戶生成一個假名，用戶在通信過程中利用假名進行通信。LBS服務商不能將用戶真實身份和假名進行一一對應，從而無法推斷出接受的地理位置信息屬于哪位用戶。理論上，當用戶數為k時，該方法可以實現k-匿名保護。

但是，長期使用相同的假名，攻擊者可以利用旁路信息發現假名和用戶真實身份之間的關系。因此，研究者提出了動態假名技術。混淆區域（Mixzone）作為動態假名中被廣泛研究[6]。混淆區域的主要思想是通過可信第三方生成一個混淆區域，當用戶進入該區域后，用戶將被第三方隨機賦予一個假名，當該用戶離開混淆區域，該假名可被重新賦予新進入的用戶。為抵御假名鏈接攻擊，用戶可以在該區域使用不同的假名。如果混淆區域用戶數為k時，混淆區域技術可以實現用戶的k-匿名保護。

2.3.2 基于多跳的路由技術

匿名技術主要基于洋蔥路由理念。洋蔥路由技術將傳輸信息多層加密，加密信息通過一個代理序列（多個洋蔥路由器）傳輸到達目的地。每層代理僅能解密獲得下一跳中繼代理信息，從而保證路由信息和傳輸信息內容不可知。用戶通過洋蔥路由可以匿名訪問互聯網，從而保護用戶的隱私信息。LBS網絡中，文獻[7]提出用戶將信息傳遞或者交換給隨機遇到的其他中繼用戶，通過中繼用戶多跳將請求發送給LBS服務器，從而完成k-匿名保護。

假名技術的核心是通過隱藏用戶的真實身份信息，切斷用戶的身份信息與地理位置信息的聯系，從而使攻擊者不能獲知某個地理位置信息的真實所屬用戶。

2.4 基于密碼的保護算法

2.4.1 基于匿名認證

匿名認證是指對用戶進行身份認證同時不泄露用戶的真實身份。在LBS中，匿名認證被引入用于保護LBS用戶的地理位置信息安全。其中，盲簽名和群簽名在LBS服務中被廣泛研究。

群簽名的核心思想是一個群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。根據一個群簽名，攻擊者不能識別出這個群簽名的真實的所有者身份，只能確定該簽名屬于這個群體。當群成員的數量為k時，該方法對用戶實現了k-匿名保護。在文獻[8]中，作者提出了一種具有閥值認證的群簽名的機制。該方法不但可以保護群成員的地理位置信息隱私，同時在多個群成員的幫助下實現消息的可追蹤性。

2.4.2 基于同態加密算法

同態加密是基于數學難題的計算復雜性理論的密碼學技術。對經過同態加密的數據進行處理得到一個輸出，將這一輸出進行解密，其結果與用同一方法處理未加密的原始數據得到的輸出結果是一樣的。同態加密算法可以允許用戶將加密的地理位置信息發送給 LBS服務提供商，該信息可以用于計算但是計算過程和結果不能反應出用戶地理位置。

在[9]中，作者提出了針對路徑信息規劃的LBS的隱私保護協議。該協議利用同態加密算法，將不同的用戶信息匯總上傳至LBS服務商，LBS服務商將匯總的城市交通狀況發送給請求用戶，LBS服務商只能獲得每個區域的車輛數量，無法獲得每輛車的位置信息。在[10]中，作者結合了同態加密算法和空時隱匿技術的優點，既保證了用戶的隱私信息不泄露，同時保證了 LBS的服務質量。

3 LBS隱私安全技術研究展望

基于地理位置信息技術在過去的幾年里發展迅速，個人隱私問題也逐漸成為人們關注的重點。但是，學術界和工業界對個人隱私沒有準確的定義和技術要求。同時，傳統信息安全領域中對信息安全的要求（保密性，可用性，完整性）不能準確表達隱私安全的技術需求和規范。在LBS中，在向用戶提供相應的LBS服務的同時，用戶地理位置信息將被傳輸、使用甚至分享。用戶地理位置信息不能對LBS服務商保密。因此，未來LBS隱私安全研究將更多關注研究隱私安全的明確定義和技術要求。同時，當前的研究缺少對隱私保護技術安全性的量化標準。因此，結合我們對當前隱私保護技術問題的總結，未來基于地理位置信息隱私安全技術研究可能更多的關注以下幾點：

（1）基于地理位置信息服務隱私安全研究將更多關注研究隱私安全的明確定義和技術要求；

（2）隱私信息安全性的量化標準和計算方法；

（3）隱私安全技術保護的性能衡量，如服務質量、時延、能量等；

（4）隱私安全保護技術將考慮更復雜的互聯網環境；

（5）隱私安全技術不僅需要保護用戶隱私信息并且需要具備信息的可追蹤性。

4 結論

基于地理位置信息服務應用是移動互聯網最重要的應用之一。但是由于該應用要求移動用戶上傳個人隱私信息，隱私安全問題成為當前技術研究熱點。本文針對基于地理位置信息服務（LBS）的安全需求、研究方向、理論基礎、核心技術和發展方向進行了系統的分析和總結，有助于了解當前基于地理位置信息服務安全算法的研究現狀和發展方向。