基于SpaceTwist的混合式LBS隱私保護(hù)方案

職鳴奕 楊明

摘要：基于位置的信息服務(wù)（Location Based Services，LBS）在給個(gè)人生活帶來(lái)極大便利的同時(shí)，也帶來(lái)了個(gè)人隱私泄露的危險(xiǎn)。本文對(duì)現(xiàn)有位置隱私保護(hù)方案進(jìn)行梳理，提出一種混合式LBS隱私保護(hù)方案。該方法采用混合式系統(tǒng)結(jié)構(gòu)，基于SpaceTwist方案的位置隱私保護(hù)算法，以六邊形匿名區(qū)域中心作為錨點(diǎn)進(jìn)行K-匿名增量近鄰查詢，根據(jù)用戶需求在位置隱私保護(hù)度和查詢結(jié)果準(zhǔn)確性之間做到有效調(diào)節(jié)，從而對(duì)查詢用戶進(jìn)行個(gè)性化的隱私保護(hù)。

關(guān)鍵詞：LBS;隱私保護(hù);混合式系統(tǒng)結(jié)構(gòu);SpaceTwist方案;增量查詢

中圖分類號(hào)：TP3? ? ? ?文獻(xiàn)標(biāo)識(shí)碼：A

文章編號(hào)：1009-3044（2021）26-0025-03

開(kāi)放科學(xué)（資源服務(wù)）標(biāo)識(shí)碼（OSID）：

基于位置的信息服務(wù)（Location Based Services，以下簡(jiǎn)稱LBS）是LBS服務(wù)提供商根據(jù)用戶的空間位置，通過(guò)移動(dòng)通信運(yùn)營(yíng)商向用戶提供的與位置相關(guān)的信息資源和增值服務(wù)。LBS最初應(yīng)用于軍事領(lǐng)域，現(xiàn)已廣泛應(yīng)用于緊急救援、商業(yè)、醫(yī)療、工業(yè)、物流等民生領(lǐng)域[1]。其典型應(yīng)用包括：緊急救援服務(wù)（美國(guó)的“911”，中國(guó)的“119”），導(dǎo)航服務(wù)（高德地圖、百度地圖），商場(chǎng)、酒店、餐廳等周邊信息查詢服務(wù)（美團(tuán)，口碑，大眾點(diǎn)評(píng)），定位服務(wù)（菜鳥物流，京東物流），廣告促銷，個(gè)人安全服務(wù)，位置計(jì)費(fèi)等。LBS的廣泛應(yīng)用給人們的生活帶來(lái)了極大的便利，但是，由此產(chǎn)生的位置大數(shù)據(jù)也帶來(lái)了個(gè)人隱私泄露的危害，主要包括：位置隱私（家庭住址、工作單位、訪問(wèn)地址等）和查詢隱私（興趣愛(ài)好，健康狀況，運(yùn)動(dòng)模式等）。位置隱私和查詢隱私二者密切相關(guān)，位置隱私的泄露，可能導(dǎo)致用戶被定位跟蹤，進(jìn)而獲取用戶的查詢隱私;另一方面，攻擊者根據(jù)歷史數(shù)據(jù)來(lái)匹配查詢隱私，將查詢隱私和位置隱私聯(lián)系起來(lái)，從而獲得個(gè)人隱私信息。因此，LBS隱私保護(hù)是位置服務(wù)中非常重要的問(wèn)題。

LBS隱私保護(hù)技術(shù)仍面臨一些挑戰(zhàn)：①用戶的位置信息是關(guān)聯(lián)的。攻擊者知道用戶的當(dāng)前位置和運(yùn)動(dòng)模式，可推斷出預(yù)計(jì)到達(dá)的位置;②位置服務(wù)的及時(shí)性，面對(duì)海量的數(shù)據(jù)，連續(xù)的服務(wù)請(qǐng)求能進(jìn)行高效率的處理;③隱私保護(hù)度、查詢結(jié)果的準(zhǔn)確性和開(kāi)銷三者之間是矛盾的。目前，國(guó)內(nèi)外學(xué)者進(jìn)行了大量的研究，提出各種隱私保護(hù)方案，本文將其分為3類：政策法、扭曲法、加密法三種。與政策法、加密法相比，扭曲法能更好地保留用戶信息，無(wú)須可信第三方以及額外的硬件，因此在LBS隱私保護(hù)中得到廣泛應(yīng)用。

1 研究現(xiàn)狀綜述與分析

1.1? LBS隱私保護(hù)技術(shù)[1-2]

本文將LBS隱私保護(hù)技術(shù)分為3類：基于政策法的LBS隱私保護(hù)技術(shù)、基于扭曲法的LBS隱私保護(hù)技術(shù)以及基于加密法的LBS隱私保護(hù)技術(shù)。

1.1.1 基于政策法的LBS隱私保護(hù)技術(shù)

基于政策法的LBS隱私保護(hù)技術(shù)，顧名思義就是政府或組織發(fā)布隱私管理規(guī)定或協(xié)議，通過(guò)限制LBS服務(wù)提供商對(duì)用戶信息的不正當(dāng)使用，從而達(dá)到保護(hù)用戶隱私的目的。政策法實(shí)現(xiàn)簡(jiǎn)單，技術(shù)難度低，但隱私保護(hù)效果無(wú)法衡量，無(wú)法保證LBS服務(wù)提供商的完全可信，即使其聲稱不會(huì)對(duì)用戶數(shù)據(jù)進(jìn)行不正當(dāng)使用，但仍然無(wú)法保證用戶的隱私安全。

1.1.2 基于扭曲法的LBS隱私保護(hù)技術(shù)

基于扭曲法的LBS隱私保護(hù)技術(shù)，這一技術(shù)通過(guò)讓用戶提交對(duì)時(shí)間、空間、服務(wù)屬性適當(dāng)增加、修改等操作后的查詢內(nèi)容，來(lái)避免攻擊者獲取用戶的真實(shí)信息。采用的技術(shù)主要有：隨機(jī)化（增加隨機(jī)噪點(diǎn)）、空間模糊化（將查詢位置模糊為一片區(qū)域）、時(shí)間模糊化（增加時(shí)間域的不確定性）。扭曲法能在隱私保護(hù)度和服務(wù)質(zhì)量之間做到較好的平衡，但是容易受到完全背景攻擊。需要在滿足用戶最低服務(wù)質(zhì)量的前提下，提高隱私保護(hù)度，以降低用戶隱私泄漏的危險(xiǎn)。

1.1.3 基于加密法的LBS隱私保護(hù)技術(shù)

基于加密法的LBS隱私保護(hù)技術(shù)，是指利用加密算法對(duì)查詢內(nèi)容進(jìn)行加密并發(fā)送發(fā)給LBS服務(wù)提供商，LBS服務(wù)提供商在不解密查詢內(nèi)容的情況下，直接進(jìn)行位置服務(wù)查詢處理。加密法能滿足較高的隱私需求和完全的服務(wù)質(zhì)量，但是查詢過(guò)程中需要額外的硬件和計(jì)算，查詢過(guò)程中花費(fèi)的代價(jià)很大，導(dǎo)致效率低下，而高效率的查詢又會(huì)導(dǎo)致暴露查詢數(shù)據(jù)之間的關(guān)系。

1.2 LBS隱私保護(hù)技術(shù)分析比較

表1從隱私保護(hù)度、服務(wù)質(zhì)量和開(kāi)銷三個(gè)方面分析比較了現(xiàn)有的隱私保護(hù)技術(shù)。表2從優(yōu)缺點(diǎn)和代表技術(shù)做了進(jìn)一步分析。

由此可以看出，當(dāng)用戶對(duì)隱私保護(hù)度不高且對(duì)服務(wù)質(zhì)量要求較高時(shí)，政策法更適合。當(dāng)用戶對(duì)隱私保護(hù)度很高，可以考慮加密法，這時(shí)的代價(jià)較高。其余情況可以考慮扭曲法，需要在隱私保護(hù)度、服務(wù)質(zhì)量和開(kāi)銷之間取得平衡。需要注意的是，不同的LBS隱私保護(hù)技術(shù)基于不同的隱私保護(hù)需求，單一的方案并不能完美解決所有問(wèn)題。

2 混合式LBS隱私保護(hù)方案

2.1 系統(tǒng)結(jié)構(gòu)

本方案采用混合式系統(tǒng)結(jié)構(gòu)[3]，由集中式結(jié)構(gòu)和分布式結(jié)構(gòu)結(jié)合而成，具體組成如圖1所示：

用戶在發(fā)起LBS查詢前，通過(guò)隱私保護(hù)通信協(xié)議構(gòu)建所在區(qū)域的匿名組。若組內(nèi)有效用戶連接數(shù)量滿足該用戶匿名需求，則將該匿名區(qū)域中心位置發(fā)送給LBS服務(wù)提供商進(jìn)行LBS查詢，并將查詢結(jié)果返回給用戶，由客戶端本身對(duì)結(jié)果進(jìn)行篩選;若組內(nèi)有效用戶連接數(shù)量不滿足該用戶匿名需求，則用戶將實(shí)際位置發(fā)送給匿名服務(wù)器，由匿名服務(wù)器實(shí)現(xiàn)匿名、查詢以及求精處理。具體的時(shí)序交互方式如圖2所示：

2.2 隱私保護(hù)算法

基于SpaceTwist方案的LBS隱私保護(hù)算法（如圖3所示），用隨機(jī)生成的錨點(diǎn)q代替用戶的真實(shí)位置q進(jìn)行LBS查詢。查詢過(guò)程中，以q為中心的供應(yīng)空間不斷增大，以q為中心的需求空間不斷縮小，直到需求空間完全被供應(yīng)區(qū)間覆蓋停止檢索，并將查詢結(jié)果返回給用戶[4-5]。該方案不需要額外引入第三方可信匿名服務(wù)器，但是采用隨機(jī)生成錨點(diǎn)的方法，導(dǎo)致錨點(diǎn)位置在現(xiàn)實(shí)生活中可能不合理，提高錨點(diǎn)生成速率和合理性，能夠很好地提高LBS隱私保護(hù)度和服務(wù)質(zhì)量。