基于移動終端位置的隱私泄露及隱私保護方法概述

李彬 高宗寧 崔 蘇

(中國科學院信息工程研究所 北京 100195)(libin@iie.ac.cn)

近年來，隨著手機等移動終端的普及和3G，4G，WiFi等通信技術的發展，移動互聯網正滲透到人們工作、生活的各個領域，即時通信、移動支付、電子商務、視頻、廣告、閱讀、醫療、旅行等移動互聯網應用迅猛發展，深刻改變了信息時代的社會生活.與傳統的互聯網不同，移動互聯網具有實時性、便攜性、可定位化的特點，這使得基于位置的服務(location-based services, LBS)在移動互聯網中得到廣泛的應用.

基于位置的服務是指通過電信運營商的無線通信網絡或外部定位方式，獲取移動終端的位置信息，在地理信息系統平臺的支持下，為用戶提供與其當前位置相關的個性化的服務.一般來講，基于位置服務的工作流程為:1)移動用戶通過移動定位技術獲取自身位置信息；2)用戶將其位置信息與服務請求發送給位置服務提供商(location-based service provider, LBSP)；3)LBSP基于用戶的位置信息為用戶提供相應的個性化服務.然而，人們在享受基于位置的服務帶來巨大便利的同時，也面臨著隱私泄露的風險[1].用戶在使用基于位置的服務時需將其位置發送給服務提供商，但位置數據不僅直接包含了用戶的位置信息，還隱含了用戶的個性習慣、健康狀況、政治傾向、社會地位等敏感信息.用戶提交的位置數據存在著被服務提供商或第三方組織濫用的風險，這給用戶各方面隱私帶來巨大的威脅，在軍事用途或保密場合中甚至可以威脅到國家安全和生命安全.

由此可見，位置數據對于用戶非常重要，只有為用戶提供有效的隱私保護后才可能有更多的用戶愿意使用基于位置的服務，并將自己的位置信息提交給位置服務提供商.因此，位置隱私能否得到妥善保護己成為制約移動互聯網發展的瓶頸問題.

1 目前主流的定位服務技術及特點

當前存在多種定位技術，主要有以下幾類：

1) 衛星定位技術.衛星定位技術指終端通過捕獲到按一定衛星截止角所選擇的待測衛星，進而測量出接收天線至衛星的偽距離和距離的變化率等數據，根據測量出的已知位置的衛星到接收機之間的距離，綜合多顆衛星的數據最終計算出終端所在的具體位置信息.目前全球主要的衛星定位系統有美國GPS系統、中國北斗衛星導航系統、歐盟伽利略定位系統以及俄羅斯GLONASS系統.

2) 基站定位技術.基站定位技術主要采用三角測量的定位原理實現.三角測量原理包括鏈路三角定位(advanced forward link trilateration, AFLT)技術、增強型觀測時間差(enhanced-observed time difference, E-OTD)定位技術、觀測到達時間差(observed time difference of arrival, OTDOA)等.其中，E-OTD技術用于GSM網絡，AFLT用于CDMA系統，OTDOA主要用于UMTS網絡.E-OTD技術中定位終端通過測量來自于多個BTS信號的到達時間差，從而計算BTS到終端的時間延遲來確定終端位置；AFLT技術采用基站導頻相位測量，通過來自3個基站信號的時間差，確定終端位于圍繞任意2個基站的1個特定的橢圓中，3個橢圓的交點即為定位終端的位置；OTDOA技術通過測量不同基站的下行導頻(DwPTS)信號，得到1組基站下行導頻的TOA，根據測量結果并結合基站坐標采用合適的位置估計算法計算出終端的位置.

3) 第三方定位服務技術.該技術是指終端收集周邊環境的無線信號信息，將該信息上報給第三方定位服務器，定位服務器通過查找數據庫中已有的環境無線信息描述找到最匹配的信息，隨后把該位置的經緯度作為定位結果返回給定位發起者.位置信息匹配式定位技術的關鍵點為：場景位置數據庫、場景信息收集方法和匹配算法.其中場景位置數據庫記錄了可定位點周邊的無線信號信息，該信息可以通過用戶自學習方式進行采集，隨著用戶和數據點的增多，定位精度和可用性將不斷提高.

衛星定位的優點是能夠在全球范圍內實現覆蓋，定位精度高，其定位半徑可以達幾米，且安全性較強；缺點是定位工作過程與定位精度受環境影響較大，例如GPS定位過程需要接收至少4顆衛星信號，在室內以及有遮擋區域定位精度受限.此外，近年來衛星定位技術本身的隱私性也常常受到質疑.基站定位精度取決于定位地點所處的基站覆蓋密度.如果基站多定位則相對準確；如果定位區域基站少那么定位就不那么精確，定位精度因此會變得較差，其精度范圍可從幾米到幾百米不等.第三方定位服務技術相比衛星與基站定位有較強的區域適應性，在室內和復雜區域環境下能夠良好地定位，但面臨著來自第三方定位服務器自身安全性以及其他惡意攻擊者的威脅.表1為不同定位技術的特點：

表1 不同定位技術特點

2 移動終端位置隱私面臨的主要問題

用戶使用定位服務的過程中，如何保護其位置隱私顯得尤為重要.多數情況下，定位服務提供者(SP)必須首先獲知用戶位置才能提供服務，其中不僅包含地理坐標信息，通過對位置的觀察和分析，SP還能夠通過大數據分析獲知大量其他隱私信息，其中包括用戶的工作地點、家庭住址、慣用路線、生活習慣等.由于SP的不可信性，用戶將位置發送給SP時將面臨個人隱私泄露的風險.如何在充分利用位置服務提供便利的同時，保證用戶隱私安全是應用中亟待解決的問題.

移動互聯網環境下，研究位置隱私保護的一個需要考慮的問題是位置信息采集的安全性，即定位過程中存在哪些安全隱患.隨著定位技術趨于多樣化，定位功能本身也己經成為一種第三方服務.該過程中位置信息會被定位服務的提供者(location provider, LP)獲得，因此也產生了和用戶與SP之間類似的位置隱私問題. 盡管當今的LP是由谷歌、微軟、蘋果、百度等此類國內外IT巨頭擔任，其安全防護能力與一般SP相比而言相對較高，但單憑這點無法消除移動互聯網用戶對自身位置隱私的顧慮，2013年爆發的Google協同美國NSA棱鏡計劃利用其定位服務追蹤用戶位置的丑聞足以說明這一點[2].如何保護用戶在使用定位服務過程中的位置隱私同樣是實際應用中亟待解決的問題.

3 移動終端位置隱私保護技術與方法

移動終端位置隱私保護技術是讓位置服務提供商和惡意攻擊者不能或者無法輕易獲得用戶的真實位置相關信息(地理坐標、終端信息、身份標識等)的防護方法.當前的位置隱私保護技術可以大致分為3類：位置模糊、身份隱藏和信息加密.位置模糊類方法通過擴大或者改變用戶的真實位置，即用模糊的或者不準確的位置代替精確位置，利用降低用戶位置信息的準確度來達到位置隱私保護的目的；身份隱藏類方法保留了用戶的準確位置信息，這樣就保證了服務質量，而將用戶的身份信息通過一定的技術方法隱藏起來；信息加密類方法采用加密手段在位置信息使用過程中隱藏用戶隱私，使得惡意攻擊者即使得到了用戶的敏感數據，也無法破解出真實信息或者用戶真實身份.

3.1 位置模糊

位置模糊是指是故意降低用戶位置的空間粒度實現位置隱私保護，以及模糊位置信息和降低位置信息的空間粒度.其主要目的就是保護用戶在享受位置服務時的真實位置信息，因此需要在將查詢請求發送到服務提供商之前對位置信息進行模糊處理.目前存在3種位置模糊方法：虛假位置、地標技術和模糊空間.

1) 虛假位置.虛假位置指用戶用幾個假冒的位置代替自身所處的真實位置來發送服務請求.在這類位置隱私保護方法中，用戶不僅向位置服務器發送自己的真實坐標，而且以一定的策略生成1組假位置同時發送出去，這些假位置用來掩護真實位置.真假位置在位置服務提供端是無法區分的，服務器必須查詢出所有相關位置的服務請求，返回候選結果集，然后由用戶根據自身的真實位置來判斷所需的服務結果.這種方法增加了服務器的查詢處理開銷，同時要求用戶有判斷結果準確性的能力.

2) 地標技術.為了解決虛假位置技術對服務器性能的影響問題，文獻[3]提出了地標技術，它是虛假位置技術的一種特殊形式.與虛假位置技術不同的是，用戶采用一個標志性的地理位置來代替其真實位置，位置服務器通過對這個標志性地理位置的處理來提供服務.這樣攻擊者就只能得知用戶在這個標志性的地理位置附近出現過，而無法確定其精確的位置，從而保護了用戶的位置隱私.可以看出，地標位置與真實位置的距離遠近會直接影響到基于位置服務的質量.

3) 模糊空間.模糊空間是指用一個空間區域來代替用戶的真實位置坐標.區域的大小形狀不限，一般根據用戶的隱私保護需求和服務質量要求確定.與虛假位置方法類似，位置服務器只知道用戶在這個模糊空間內，而無法得知真實的位置信息.同樣地，由于模糊空間降低了用戶的位置精度，服務質量會根據區域的大小成反比例下降，并且該方法也面臨服務器處理開銷增大的問題.

3.2 身份隱藏

如果攻擊者不知道用戶是誰，那么即使他得到了用戶的真實位置，能夠造成的危害也會小很多，因此如何隱藏用戶的真實身份是當前研究的熱點之一.目前存在3種身份隱藏方法：匿名技術、假名技術、混合區(mix zone)方法.

1) 匿名技術.匿名技術關注的是如何將用戶的位置信息與真實身份信息(如移動終端標識、用戶IMSI標識、電話號碼等)分開，切斷位置和身份之間的聯系.具體方法可以采用Sweeney[4]于1998年提出的k-匿名技術[5]，通過使一個空間區域內k個用戶的身份不可區分，即使某個用戶的位置信息被惡意的位置服務器或者攻擊者獲得，他們也無法推測出到底是哪個用戶發起的哪個位置服務請求.k-匿名技術主要關注查詢隱私的保護，其本質是使查詢發送者不可區分，即切斷用戶身份與查詢內容的聯系，抵抗攻擊者通過查詢內容推理出用戶的隱私信息.

2) 假名技術.假名技術是身份匿名的一種特殊形式，其主要思路是讓用戶在發送位置服務請求時采用虛假的用戶身份來代替真實的用戶身份，這樣也就使得服務提供商無法收集用戶身份與位置的關聯關系.即使非法攻擊者通過特殊的技術手段獲得了用戶的位置信息，由于用戶的身份是虛假的，這樣就大大降低了真實用戶面臨的安全風險.Duckham和Kulik[6]提出了一種基于假點的用戶身份隱藏方案，該方案通過把一些虛擬用戶以相同的概率插入到真實用戶的位置周圍來達到隱私保護的效果.

3) 混合區方法.Beresford和Stajano[7]最早提出了混合區(mix zone)身份保護方法，即在混合區域用戶可以使用任意假名代替自己的真實ID.該方法將用戶訪問過的空間區域分為應用區域和混合區域.在應用區域中，用戶可以提出位置服務請求和接收服務信息；在混合區域中用戶禁止使用基于位置服務，同時用戶在離開混合區域時需要更換自己的假名.采用該方法攻擊者無法預測用戶在混合區域內停留的時間，并且用戶在混合區域中沒有使用位置服務，因此攻擊者很難將同一用戶使用的不同假名相關聯.這樣非法人員就無法繼續追蹤目標，從而達到保護用戶身份信息的目的.

3.3 信息加密

信息加密技術是最基本的安全防護方法，通過將明文改變成不可讀的密文，從而起到保護敏感信息的目的.同樣地，信息加密的方法也可以應用到位置隱私保護領域，由于每個位置信息的處理和查詢都是基于密文的，這就使得非法攻擊者無法解密出用戶真實的位置和身份信息.Khoshgozaran等人[8]提出了一種基于密碼學的位置隱私保護方法，與傳統的k-匿名、假名和混合區方案不同的是，該方案帶來的計算和通信開銷非常小，而且在查詢請求時不需要依賴于可信的中間匿名服務器.

傳統的信息加密機制能夠保護數據的機密性，但是大多依賴于公鑰基礎設施，資源提供方只有獲取用戶的真實公鑰證書之后才能加密.屬性基加密(ABE)[9]的提出解決了這一缺陷，它常用于設置靈活的訪問控制策略.通過把身份標識看成是一系列的屬性，只有當ABE中解密者的身份信息和信息加密者描述的信息一致時，才可以解密加密者加密的信息.ABE應用在位置隱私保護中，可以在位置信息發布時提供加密，只允許有特殊屬性的用戶可以解密這些信息.Guo等人[10]設計了基于屬性隱私保護的移動傳播方案，確保移動用戶信息保密，加密解密機制依靠用戶權限，提出了一種保護隱私的相互身份驗證方案.

4 針對定位服務的終端位置隱私保護方法

針對定位服務中的位置隱私保護技術主要有基于隱私政策的位置隱私保護和位置欺詐防御技術.隱私政策基于二元選擇的用戶協議.當用戶開啟其移動設備的定位服務時，可以選擇同意或拒絕LP采集用戶周邊的各類接入點信息，用戶必須明確地同意LP采集其相關數據后，LP才能夠進行數據采集，這從一定程度上保護了用戶的位置隱私.圖1是安卓系統下百度定位服務的請求提示.

圖1 百度定位服務的隱私政策

但當前隱私政策單一，往往僅限于用戶對服務條款的二元選擇(是或否).應該研究并使用較為完善的位置隱私政策，包括采集頻度政策、粒度控制政策、匿名政策等多種隱私保護政策.可以采用Damiani等人[11]提出如圖2所示的位置隱私政策管理架構模型.在用戶與 LP 之間添加TTP作為定位請求管理器，相關隱私政策由專門的政策管理器管理.請求管理器將相關隱私政策和用戶的隱私需求向LP安全地請求位置信息.

圖2 定位服務中的隱私政策架構

5 結 語

移動互聯網時代的來臨，使基于位置的服務成為人們最為常用的信息服務類型，未來也勢必進一步改變人類的生活方式.在移動互聯網中，如何保護用戶的位置隱私是移動互聯網能夠進一步普及和發展的重要安全保證.當前的各類相關研究向我們展示了位置隱私保護的可行性，以及技術上的不斷進步.相信隨著位置隱私保護技術的不斷完善和進步，移動互聯網將更加深入地融入人類生活的各個領域.