增強現實中基于位置安全性的LBS位置隱私保護方法

楊 洋 ，王汝傳

（1.南京廣播電視大學/南京城市職業學院工程與信息學院，南京211200； 2.南京郵電大學計算機學院，南京210003；3.江蘇省無線傳感網絡高技術研究重點實驗室，南京210003）（?通信作者郵箱nj.yangyang@163.com）

0 引言

增強現實是一種允許在正常感知現實上疊加由計算機形成的圖片和信息的技術［1］。基于位置的服務（Location Based Service，LBS）是增強現實提供的常用服務之一，在LBS中移動終端用戶的位置信息是通過移動的無線網絡或外部定位方式來獲取的，位置定位技術（Location Determination Technology，LDT）是獲取用戶位置信息的一種較好的技術，如全球定位系統（Global Positioning System，GPS）、高級時差檢測定位技術（Enhanced Observed Time Difference，EOTD）等，這些都可以給出含有X-Y坐標的用戶位置信息。近年來，由于GPS設備和移動信息技術的進步，LBS被公認為是一種重要的服務，雖然基于位置的服務非常便利，但它冒著用戶隱私受到威脅的危險。要使用基于位置的服務，用戶當前的位置必須被服務提供者獲得，因此位置信息對情境感知服務提供者來說很重要，它也成為信息泄露的來源。通過結合用戶的位置和其他信息，服務提供商可以偵查出用戶的真實身份或相關信息如家庭地址和辦公地點等。例如，用戶U想查詢離他最近的銀行ATM（Automatic Teller Machine）在哪里，他首先要通過智能手機發送一個查詢請求和他的位置給LBS提供商，LBS服務器將提供最近的銀行ATM地址信息給用戶U，但是對于移動用戶來說，位置信息非常重要，而且將信息提交給不信任的LBS服務器會受到隱私威脅，極有可能暴露用戶的個人信息如習慣、日常生活、健康狀況等。

LBS服務器包含了大量的位置信息。用ATM舉例，LBS服務器包含了ATM的位置緯度、經度、銀行名稱等，希望LBS能夠保證這些數據只發送給授權用戶。在LBS服務中，能夠確保用戶和服務器的安全非常重要，它意味著獲取用戶的位置隱私并保證服務器數據不被不合法用戶訪問，為了解決這個問題，位置匿名技術得到研究者關注。

1 現有位置隱私保護技術

所謂位置隱私保護，是指用戶在使用位置服務的過程中，位置服務采用技術保護措施來有效確保用戶的位置隱私信息不會泄露，從而避免泄露隱私信息給用戶帶來不必要的麻煩。

位置隱私分為三大類：一類是對位置信息本身的保護，是采用位置匿名技術來隱藏用戶位置信息，使得用戶的位置信息無法被識別出來，那么攻擊者無法找到用戶的真實位置信息，即使找到，也無法區分；第二類是在位置服務的數據通信過程采用一種位置隱私保護模型來保證用戶和服務器之間數據傳輸的安全［2］，例如差分隱私保護，它是通過在原始數據中加入噪聲來保證數據的安全；第三類是針對服務器的查詢過程，將用戶的位置進行匿名化，這樣用戶的位置信息變成一個匿名的信息集合，其中包含了多個用戶的位置信息，擴大用戶的位置區域，此時攻擊者無法獲得用戶的確切位置。

目前主要的位置隱私保護技術主要有以下三種。

1.1 假位置的位置隱私保護技術

用戶在自己周圍取一虛假位置，并將此位置信息作為自己的確切位置信息發送給位置服務器，通過發布假位置達到混淆視聽的效果［3］，但這種方法有一定的缺陷，當假位置距離真實位置較遠時，服務質量差，但其隱私保護程度較高；當兩者之間的距離較近時，服務質量好，但其隱私保護程度則低。研究者提出了一種SpaceTwist方案［4］，在該方案中引入可信的第三方位置服務器，主要是為了降低用戶執行服務請求時暴露位置信息的風險。在這個方案中，第三方位置服務器保護用戶的位置隱私信息，位置服務器收到服務提供商的服務請求并定位用戶后，首先它將用戶的位置信息發送給匿名處理服務器，匿名處理服務器使用匿名算法處理用戶的真實位置信息，生成一個虛假的位置信息，接著將這個虛假位置信息發送給服務提供商，服務提供商將虛假位置信息與自己數據庫中的地理信息進行對比，定位用戶和周圍的服務信息，以虛假位置信息為中心覆蓋真實用戶附近的所有目標，并將這些目標匯總為一個目標集，最后發送給用戶。

1.2 基于K-匿名的位置隱私保護技術

K-匿名技術是一種典型的模糊化保護技術，通過K值來確定匿名集的大小，匿名集內的用戶位置信息匿名化后成為一個相同區域的位置信息。

在向LBS提供商提交前，先刪除個人信息內容，發布較低精度的數據，使得各條記錄至少與數據表中其他K-1條記錄具有完全相同的準標識符屬性值［5］。它主要通過對匿名區域進行劃分，劃分成模糊空間，這些模糊空間大小是均勻的，接著按照子空間里用戶數量對子空間進行從大到小的排序，然后分段序列，最后從每一個分段中選取一個查詢區域進行合并，構成K個查詢匿名集。

在位置隱私保護中，不同的用戶有不同的位置K-匿名需求，針對K-匿名法的局限性，由Gedik等［6］首先提出了個性化K-匿名法。為實現個性化，需要將K值定義為可變的，用戶可以根據不同的環境自主設置K值，K的值決定了用戶隱私保護級別的高低，K值越高隱私保護級別就越高，但是K值超過一定的值會造成查詢處理負擔過重，導致服務質量降低，所以個性化K-匿名法可以由用戶來折中考慮。

1.3 基于混合區域的位置隱私保護技術

還有一種位置隱私保護技術是針對車輛自組網內的位置信息保護的，基于混合區域的位置隱私保護技術是指用戶在建立通信過程中隱藏真實身份，攻擊者無法將身份一一識別，從而保護車輛和用戶身份信息。

實際上，基于混合區域的保護技術是一種假名技術，常使用于車輛自組網內，比如，在一個十字路口的混合區域中，車輛進入混合區域之前使用假名，進入混合區域之后更換假名，離開混合區域后車輛就以一個新假名出現在路網中。該技術的基本思想是，首先為即將進入混合區域的每個車輛配備多個可以隱藏真實身份的假名，當車輛進入混合區域時，可以自主更換假名［7］，更換假名的方案主要有三種：第一種是每輛車配備自己的假名數據庫，在經過混合區域時更換；第二種是在混合區域配備一個假名數據庫，車輛進入混合區域時，隨機得到一個新的假名來取代原來的假名；第三種是在車流量較大的地方設置混合區域，提取假名重新分配。除此之外［8］，將假名更換和其他技術如路徑混淆［9］、隨機假名［10］等相結合提高匿名的效果，從而保護位置隱私。

1.4 三種位置隱私保護技術的比較

基于假位置的位置隱私保護技術中攻擊者無法區分哪個是真實的或哪個是虛假的位置［11］，用戶的位置隱私得到保護，但該方法也有缺陷，其假設用戶在一個固定的自由空間中活動，但是在現實生活中并非如此；另外，該方法的隱私保護程度不是固定不變的，當假位置距離真實位置較遠時，服務質量差，但其隱私保護程度較高；當兩者之間的距離較近時，服務質量好，但其隱私保護程度則低［12］。

基于K-匿名的位置隱私保護技術中可以設計出一個適當的間隔算法［13］，該算法可以產生包含至少kmin用戶的時空cloaking box，利用此box作為位置信息發送給LBS提供商。但這種方法的局限性是不能抵制同質性攻擊和背景知識攻擊［14］，攻擊者很容易推斷出個體相應的敏感屬性數據，或者可以通過背景知識確定敏感屬性數據和個體之間的對應關系，從而導致隱私泄露。

基于混合區域的位置隱私保護技術中攻擊者無法識別真實身份［15］，但實際上它是一種假名技術，所以隱私保護程度不是固定不變的。

2 基于位置安全性的位置隱私保護方法

隨著問題背景和攻擊模型的多樣化，位置隱私還將繼續面臨新的問題，如造成敏感屬性泄露、背景知識攻擊的不確定性、敏感屬性分布失衡等，因此，本文提出基于位置安全性的位置隱私保護策略。

2.1 準備知識

用戶在不同的環境背景中會有不同的隱私要求，需要根據不同的環境分配不同的隱私等級，這樣才能應用相應的隱私保護策略。比如，最常訪問地點是最接近于用戶標識（最高位點），因此最高位點的隱私等級應被定義為高級別；另一方面，公共區域如風景區，可以被定義為低隱私保護等級，這就意味著低強度模糊處理同時保證其服務質量。

本文提出的基于位置安全性的方法介紹了將位置安全性作為新的評價度量標準。以往的研究均進行相似的處理過程，而不管這一點是什么區域，然而很多地方是不需要進行保護的，比如所有人通過的馬路、不宜居住的區域、城市公園等，均不需要進行保護。本文將根據哪些區域需要保護哪些區域不需要保護，提出一種執行不同保護的方法。

本文將提示某區域是否需要保護這一度量標準定義為區域安全度，非安全區域（即需要給予保護的區域）的區域安全度將其設置為1，安全區域（即不需要保護的區域）將其設置為0。通過擴大區域安全度和識別等級來計算位置安全度。

2.2 相關定義

定義1 本文用三元組來表示網絡實體uk，Server，LServer，其中uk移動用戶，Server表示中心服務器，LServer表示基于位置的服務器，并且Server是可信的，LServer是半可信的。

定義2 用戶向LServer發起查詢，用戶查詢內容Cj，Cj={User，fQ，t，IDg，c，Q，Sp}，其中：User表示用戶的標識符，fQ表示用戶首次發送查詢請求，t表示用戶發送查詢請求的時間，IDg表示用戶所在位置，c表示該用戶查詢請求的服務內容，Q表示用戶的隱私需求，Sp表示用戶的速度。

定義3 與Server距離dist(uk，Server)＜rmin的用戶uk構成的區域稱作非安全區域，距離rmin≤dist(uk，Server)≤rmax的用戶構成的區域為安全區域，與Server距離dist(uk，Server)＞rmax的用戶uk構成的區域也稱作非安全區域。

2.3 算法描述

假設各節點的位置信息可通過GPS獲得并設置成經緯度，每個節點都有區域安全度的狀態變量。各節點規律性地向位置信息服務器匯報位置信息及周圍情況，位置信息服務器顯示所有節點的位置信息。此外，假設標識符不包括原始節點的重要信息，因為位置服務器提供的節點標識符隨時間不斷改變。

用戶處于安全區域，向Gsi登記報文并注冊

Endi

算法2

參數 用戶查詢集Q，隱私閾值E。

輸入 用戶查詢集、隱私閾值；

輸出 符合隱私閾值的|Q|。

Procedure：

WHILE|Q|＜E

選取一個用戶查詢內容qj建立查詢集Q

直到|Q|符合隱私閾值E

ENDWHILE

算法2描述 各節點延伸其偽裝區域的面積，除非該節點區域包括k節點。此處k指模糊參數，如果該節點位于安全區域，那此節點范圍是非模糊的最小面積。

算法3

參數 位置信息L，隱私等級D。

輸入 節點定位并從位置信息服務器中獲取周圍信息；

輸出 位置信息存儲在位置信息服務器。

Procedure：

IF區域安全度=1 THEN

IF最大偽裝區域有其他節點is TRUETHEN

位置信息模糊化

ELSE移除模糊化后的信息

ELSE

位置信息存儲在位置信息服務器

ENDIF

算法3描述 通過位置信息，節點定位并從位置服務器中獲取周圍信息，當區域安全度為1，如果最大偽裝區域有其他節點，選取合適大小的區域作為偽裝區域封裝周圍合適數量的其他節點，則位置信息模糊化；否則移除模糊化后的信息。如果區域安全度不為1，則將位置信息存儲在位置信息服務器。

2.4 隱私度量

2.4.1 單獨查詢

在查詢途徑中，用戶可為每一個查詢獲得P匿名，由于用戶查詢內容均被隱藏，所以不存在位置K匿名，此處研究的隱私保護度Pv，即在運用本文的P查詢方式時，在單一查詢中攻擊者通過用戶身份追尋查詢主題的可能，計算公式如下：

此處，Q是同簇中融合的查詢數量，E是隱私閾值。可以發現，E和Q的值越高，Pv的值越低，隱私保護度就越高。

2.4.2 連續查詢

在經典的K-匿名方法中，用戶通過與其他K-1用戶混淆標示和位置來獲得隱私，因此，K值是位置隱私水平的度量標準。然而該隱私度量在連續的攻擊模式下難以應用。在連續LBS中，攻擊方通過關聯一個用戶查詢的時間序列來提取目標ID和位置信息。此時，攻擊方需要追蹤用戶的連續查詢。攻擊方根據重復發生的查詢主題來區分某個連續查詢。因此，本文使用概率Pv來描述在LBS服務器中一段時間內超過2次的查詢主題出現次數，以此來衡量隱私性。Pv值越高，攻擊方越難以區分真實的查詢主題，因此，連續攻擊能夠被有效阻止。

因為查詢選擇的隨機性，LBS服務器中查詢的隨機性能夠過程建模。本文假設查詢主題Q在一段時間內在LBS服務器中出現的次數是隨機變量X，因此X的分布計算公式如下：

λ的值是查詢主題Q在一段時間內在LBS服務器中發生幾率的平均值，因此可以如下定義隱私度量Pv：

2.5 算法評價

為評價本文所提算法，使用兩個標準來評價對于節點位置信息及匿名程度的服務質量。由于位置信息服務器提供的節點位置信息是模糊的，因此與直接從原始節點獲得的高精度定位信息相比，此時將會出現定位誤差，定義如下文所述。

首先本文假設節點的定位信息被處理成最小定位信息的間隔尺寸，表示為s和t。假設節點q的坐標為sq和tq，假設該節點的模糊后坐標為sq'和tq'。此外，假設偽裝區域大小的x軸方向和y軸方向分別為a和b。此時，最高精度的定位信息由二維陣列A處理。總而言之，對應節點A[sq，tq]坐標的組件A將被增加值1，另外，模糊后的定位信息由二維陣列B處理，本文使用閾值代表匿名水平，如閾值設為4，定位信息將被模糊到至少有4個節點擁有相同的定位信息。如果節點q的位置被模糊，則1 （a，b）的值將被分別加入B（B[m][n]，m=si'，si+1'，…，si+a-1'，n=ti'，ti+1'，…，ti+b-1'），該值所有節點的值均被加入陣列。定位誤差被定義為一個值，這個值是所有這些陣列的差異絕對值的總和除以終端數P，也就是說，定位誤差定義為公式smax和tmax是s、t方向的分段數。如果定位誤差這個值很小，意味著提供的定位信息精確度很高，使得該值成為LBS的服務質量的指標。

接著，定義節點特征，本文將此節點特征稱為正確節點的等級，并假設該初始值為1，也就是說首先指定該節點特征。當該節點遇到其他節點時，因為不能鑒別哪個是正確的節點，因此其特征值降為1/2；如果其隨后遇到其他節點，節點特征值繼續下降1/2；此外，如果其一次遇到兩個或兩個以上節點，節點特征值變為1l（l是遇到的節點數加1）。

根據區域安全性和識別級別，區域安全性可被計算出來。在固定時間內，所有節點的平均安全性可被計算出來作為整個系統的安全性，那么該值被作為匿名程度。

3 實驗結果及分析

本文實驗采用Brinkhoff［16］提出的基于網絡的移動對象生成器，選用德國奧爾登堡的地圖作為實驗背景，最小區域面積10 m2，安全區域面積2500 m2，節點數量（100～800），實驗環境為Windows7操作系統，內存為4 GB，基于安卓平臺使用Java程序，本文將與未引入區域安全性的偽裝區域法進行比較，評價平均定位誤差和平均安全性。

3.1 平均定位誤差的比較

隨著節點數量增加，由于偽裝區域變小，而遇到其他節點的幾率增加，未引入位置安全性的位置隱私保護方法平均定位誤差升高，而基于位置安全性的位置隱私保護方法雖然平均定位誤差在升高，但表現仍然比未引入位置安全性的位置隱私保護方法要好。兩種位置隱私保護方法的平均定位誤差比較如圖1所示。

圖1 兩種位置隱私保護方法的平均定位誤差比較Fig.1 Averagelocation error comparison between twolocation privacy protection methods

3.2 平均安全性的比較

如圖2比較了兩種位置隱私保護方法的平均安全性，在節點數量相同的情況下，基于位置安全性的位置隱私保護方法的平均安全性要比未考慮位置安全性的位置隱私保護方法高，根據以上結果，本文方法不僅可以改善定位信息的質量而且提高區域的平均安全性。

圖2 兩種位置隱私保護方法的平均安全性的比較Fig.2 Averagesecurity comparison of twolocation privacy protection methods

4 結語

目前的位置隱私保護方法都是在LBS服務質量和匿名度之間權衡，本文提出一個新的度量值“位置安全性”來緩解權衡的問題。從研究結論來看，所提方法沒有降低位置安全性，并且位置信息服務的質量也很好。隨著增強現實技術和無線網絡的迅速發展，增強現實技術結合LBS使得人們將進入全新的位置搜索引擎時代、營造全新的社交方式。其中，LBS面臨的威脅是用戶隱私泄露的威脅，目前這樣的威脅已得到用戶、服務提供商、政府管理部門和專家學者的關注，還沒有一個十分完善的增強現實中LBS的位置隱私保護方法，還需進一步對相關問題進行研究。