基于LBS的位置隱私保護方案綜述

張源策,尤海鑫,段明月,李麗紅*

(1.華北理工大學 理學院,河北 唐山 063210;2.河北省數據科學與應用重點實驗室,河北 唐山 063210;3.唐山市工程計算重點實驗室,河北 唐山 063210)

0 引言

生活中很多使用場景都是基于位置服務(Location Based Service,LBS)[1]的,在發展LBS的同時,如何保護用戶的位置隱私不被泄露,是位置隱私保護所要解決的問題。

1 LBS的隱私保護架構

目前,LBS主要有兩種隱私保護架構:集中式結構和P2P架構。

1.1 集中式器結構

此方案由用戶端、可信第三方(Trusted Third Party,TTP)和LSP平臺(Location Services Platform,LSP)[1]組成,該架構有效應用的前提是TTP完全可信。

集中式結構的優點是:(1)隱私保護效果好;(2)請求效率高;(3)具有較好的服務效用。但同時,該結構的缺點如下:(1)TTP可信問題;(2)成本問題;(3)匿名服務器是整個架構的薄弱環節。

1.2 P2P結構

基于P2P結構的隱私保護方案不需要TTP匿名服務器,僅由用戶端和LBS服務平臺組成,通過客戶端之間形成的匿名區域,相互協作,用匿名區域代替真實位置向LSP發起請求。LSP處理請求并返回請求結果,用戶端篩選得到符合的位置記錄。

P2P結構的優點:(1)無須考慮可信匿名服務器的安全性;(2)無須部署匿名服務器;(3)匿名區域更有效地保護了用戶的位置隱私。

P2P結構的缺點:(1)客戶端需要有一定的計算能力;(2)沒有考慮匿名用戶的可信性;(3)用戶數量是否符合匿名區域的匿名要求。

2 LBS隱私保護技術

本文從4個部分對位置隱私保護方案[2]進行介紹。

2.1 基于模糊的位置隱私保護方案

基于模糊的位置保護方案,即通過位置偏移、假位置等技術對LBS查詢中的真實位置信息進行模糊化處理。

(1)假名技術[3],核心思想是用沒有具體含義的符號消除真實用戶的位置與相關信息的關聯性,從而達到保護隱私的目的。針對單一假名的技術缺陷,多次修改假名只是治標不治本。

(2)隨機化技術,主要應用在P2P結構中,作用是在LBS查詢中隨機添加啞元,并發起啞元查詢。

(3)假位置生成方法,由Shin等[4]提出假位置生成SpaceTwis方案,用隨機錨點代替真實位置點。為了解決SpaceTwis方案敏感點選取的問題,周長利等[5]提出了利用相關位置語義信息,提高錨點選取的準確性。

2.2 基于密碼學的位置隱私保護方案

基于密碼學的位置隱私保護方案一般基于P2P結構,引入加密解密原理,其原理是先將用戶發送給LSP的LBS查詢信息進行加密處理,即使獲得密文也無法獲取真實位置數據。

2.3 基于k-匿名技術的位置隱私保護方案

基于k-匿名技術的位置隱私保護方案中,真實用戶與其他k-1個用戶共同組成一個匿名區域,用匿名區域發起LBS查詢請求。

2.3.1 基于歐氏距離的方案

傳統的隱私方案大多基于歐式距離,楊洋等[6]提出了一種LBS矩形區域的劃分算法,有效提升了匿名性能。考慮到合謀攻擊的情況,葉吉祥等[2]引入用戶密度,提出了一種基于用戶自我感知的USA算法,感知鄰居用戶分布密度,劃分子區域、隨機添加啞元位置均衡用戶密度后發起LBS查詢,最后對結果篩選。

為解決匿名數據集的隱私問題,謝奇愛[7]提出了基于時空k-匿名的隱私保護持續改進的DLP算法,在一定時間和空間范圍內產生多個啞元位置。宋成等[8]基于k-匿名思想和雙線性對性質,提出一種基于概率的保護方案:隨機地生成2k個啞元位置,選取k-1個概率較高的假位置,并分配虛假的用戶身份標識。

2.3.2 基于路網環境的方案

基于歐氏空間距離來度量的方案未考慮到敏感位置的情況。因此,倪巍偉等[9]通過引入路網環分布的概念,結合隱匿環的組成結構,提出了隱匿環剪枝方法,有效防御重放攻擊、提高位置泛化和近鄰查詢效率。為了解決路網環境中敏感位置匿名區域的生成問題,戴佳筑等[10]考慮現實中的路網環境和真實區域的敏感度,生成與之相適應的匿名區域。為了優化算法的開銷,周長利等[11]提出了基于路網環境的k近鄰興趣點查詢算法,利用四叉樹索引劃分路網節點,計算相應的路網節點,查詢k近鄰POI點,構造匿名區域并隨機添加啞元查詢。

2.4 基于差分隱私的位置隱私保護方案

相較于k-匿名技術,差分隱私的應用也十分有前景,是一種不受攻擊者背景知識限制、具有較好隱私保護效果的技術。為了解決現有k-means算法初始點敏感等問題,徐啟元等人[12]結合了人流密度、差分隱私技術和k-means技術。為了解決加噪過度的問題,張可鏵[13]等人提出了基于空間動態劃分的差分隱私聚類算法DPQTk-means算法,減少隨機噪聲后進行k均值聚類。

3 分析與展望

基于差分隱私技術的位置隱私保護方案無須考慮背景知識,也不受某條數據變化的影響,適合與其他多種方案進行結合,有著良好的應用前景;基于密碼學的技術雖然有著較好的隱私保護效果,但卻對通信和計算能力提出了要求;基于匿名的技術保護效果直接與k值的選取有關,基于模糊的技術雖然能降低通信開銷,但不適用于精度較高的LBS查詢服務。

下一步研究方向可以包含以下方面。首先,啞元位置選取仍是一個需要繼續研究的問題,如何更有效地應對攻擊者預測用戶位置,抵御差分攻擊、中心區域選擇攻擊等攻擊手段,是一個值得研究的方向。其次,本地化差分隱私很好地解決了TTP不可信的問題,但加重了客戶端的負擔,下一步可以研究如何降低算法開銷、提高算法效用。最后,社交網絡也是一個很有應用價值的領域,應在確保用戶體驗的同時保證用戶的位置隱私,提出適用于社交網絡的LBS隱私保護模型。