位置服务中基于假数据的轨迹隐私度量方法

王小飞

（安徽财经大学管理科学与工程学院，安徽 蚌埠 233030）

位置服务中基于假数据的轨迹隐私度量方法

王小飞

（安徽财经大学管理科学与工程学院，安徽 蚌埠 233030）

随着各种各样移动设备的普及，轨迹隐私保护问题变得日益严峻，作为轨迹隐私保护的一个方向，国内外开始慢慢建立起一些较为成熟的度量机制，常见的有基于k-匿名保护机制的隐私度量方法、基于跟踪的度量方法、针对特定匿名系统的轨迹隐私度量方法等。文章在现有研究的基础上构建了了一种基于假数据轨迹隐私保护技术的隐私度量标准，从发布假轨迹上点之间的关联性、发布数据所包含信息的精确度以及攻击者所拥有背景知识多少三个方面进行轨迹隐私保护度的全面度量。

轨迹隐私；隐私保护；隐私度量

随着定位技术的发展，随时随地获得个人精确位置成为可能，用户在享受位置服务时，也产生了很多轨迹数据。轨迹数据本身蕴含了丰富的时空信息，对轨迹数据的分析和挖掘可以支持多种移动应用，然而，假如恶意攻击者在未经授权的情况下，计算推理获取与轨迹相关的其它个人信息，用户的个人隐私通过其轨迹将完全暴露，导致用户的位置隐私很容易受到威胁。因此，用户轨迹隐私保护成为位置服务下一个迫切需要解决的问题。目前，关于轨迹隐私保护的研究工作有轨迹隐私保护方法与技术、隐私度量和隐私保护系统结构三个方面，其中关于隐私度量问题，目前国内外的研究还处于初级阶段，为了评估保护隐私的技术水平是否有所提高需要我们对此进行更加深入的研究。

1 轨迹隐私度量

1.1 隐私度量概念

在轨迹数据发布中，由于发布后的数据要供第三分析和使用，隐私保护技术要在保护轨迹隐私的同时有较高的数据可用性；在基于位置的服务中，隐私保护技术既要保护移动对象的轨迹隐私，又要保证移动用户获得较高的服务质量。综合起来，轨迹隐私保护技术的度量标准有以下两个方面：（1）隐私保护度。一般通过轨迹隐私的披露风险来反映，披露风险越小，隐私保护度越高。（2）服务质量。在轨迹数据发布中，数据质量是指发布数据的可用性，数据的可用性越高，数据质量越好。一般采用信息丢失率来衡量数据质量的好坏。

1.2 隐私度量分类

对位置隐私度量的研究大致分为以下三种情况。第一种主要是针对位置隐私保护中的k-匿名保护机制的位置隐私度量方法。有学者认为，在基于连续查询的位置服务中，当匿名集中各个用户的概率不相等时，匿名集的大小则不再能正确的反映每个用户的真正的匿名性。于是采取连续查询攻击算法，得到集合中k个用户分别可能是真正查询发送者的概率，然后根据香农公式计算出熵值，来表示这个隐私保护系统的隐私保护水平。文献[1]作者认为在基于连续位置服务的k-匿名中，一个模糊区域中的用户约束了它在下一个模糊区域中的位置，这给攻击者提供了相关信息。因此，简单地保证每个模糊区域中包含至少k个用户并不能提供给用户k-匿名的保护。他们提出了一种基于模糊区域大小的熵度量机制，不仅考虑了在模糊区域内的实体的数量，而且考虑了它们的匿名概率分布来量化系统匿名性。第二种常用方法是基于跟踪的度量方法。文献[2]使用平均时间以混淆来度量交通监控系统中发送GPS跟踪的车辆的隐私水平。他们的度量机制都是基于攻击者跟踪的不确定性的熵度量的。第三种主要是针对特定匿名系统的轨迹隐私度量框架。文献[3]提出在V2X通信系统中的一种基于trip的度量机制来量化每个用户的位置隐私水平。采用信息理论方法，将隐私水平量化为位置信息与特定的个人相联系的不确定性，并考虑了攻击者在一个更长的时间内所获得的与隐私相关的累积信息对度量结果的影响。还有学者提出一种基于扭曲的隐私度量方法，通过比较攻击者观察得到的跟踪用户的运动轨迹与用户真实运动轨迹之间的差异来反映用户的隐私水平。

以上所介绍的度量方法有基于不同的隐私保护机制提出来的，也有基于特定隐私保护框架提出来的。基于不同隐私保护机制的隐私度量方法具有明显的局限性，不能很好的适用于所有的隐私保护技术和隐私保护系统；而基于特定框架的隐私度量认为攻击者所拥有的背景知识是不变的，这显然也不符合LBS服务中的实际情况。因此，针对这样的两个问题，笔者需要结合攻击者背景知识的变化以及隐私度量方法的应用范围构建更完善的隐私度量标准。

2 基于假数据的轨迹隐私度量方法

2.1 隐私度量标准

在本模型中笔者所建立的隐私度量标准主要针对基于假数据的轨迹隐私保护技术来进行隐私保护度的度量。通过对假数据轨迹隐私保护技术和现有轨迹隐私度量标准的分析和研究，我们选择了三个指标来评估隐私保护程度，分别是轨迹上点之间的关联性、轨迹中所发布信息的精确度、不同背景知识下轨迹隐私泄露的概率。首先，轨迹隐私与位置隐私最大的不同是由于轨迹隐私本身在时间和空间上具有一定的连续性和关联性，如果恶意攻击者通过用户轨迹上各点之间的联系来进行分析，那么用户真实的位置信息和轨迹信息被披露的可能性将大大提高，这就要求基于假数据的轨迹隐私保护技术在发布假轨迹时考虑轨迹上各点之间的关联性，提高隐私保护水平。其次，在实际的LBS服务场景中，服务器所发布的有关用户的信息精确度越高，那么用户的隐私越容易被泄露，这里的信息精确度包括发布数据的时间精确度、空间精确度、用户的标志属性精确度等，所以发布信息的精确度也成为影响用户轨迹隐私泄露可能性的一个关键因素。最后，最新的研究指出，当攻击者拥有新的背景知识时，任何一种隐私保护方法都会受到隐私威胁，而且攻击者拥有的背景知识越多，用户的隐私面临的威胁越大，这里笔者利用轨迹被攻击成功的概率来量化反映在不同背景知识条件下用户轨迹隐私泄露的可能。下面笔者通过一个简单的LBS应用场景来说明隐私度量模型中各指标的计算以及如何用最后的结果来评估具体隐私保护技术的隐私保护度。

2.2 隐私度量方法

现假定用户A从家里出发然后由地铁站坐地铁到达公司上班，在这期间由于用户在家、地铁站、公司分别使用了LBS服务，产生了一条三点轨迹其中qi代表用户的标识符，它是用户的相关属性信息的集合，代表用户在时刻的位置是。假定现在我们利用假轨迹隐私保护技术将这三个真实位置分别添加3个假位置，则一共产生了4×4×4＝64条轨迹其中真实轨迹为，从理论上而言，用户的轨迹隐私被泄露的风险为1/64，而实际上由于发布假轨迹上点之间的关联性、发布数据所包含信息的精确度以及攻击者所拥有背景知识多少等方面的影响，用户的轨迹隐私被泄露的风险时刻发生着变化，下面笔者通过对以上三个方面的介绍来具体说明各个因素对于轨迹隐私保护程度的影响。

同样的，笔者将攻击者拥有不同的背景知识条件下攻击成功的概率定义为，计算的难点在于攻击者拥有背景知识多少的量化，这里我们借鉴现有的相关研究将攻击者的背景知识

下面笔者通过一个较为简单的例子结合数据来对所选用的三个指标进行说明。假定现在有8条轨迹其以及指标如下。

表1与指标

表1与指标

轨迹指标 T1T2T3T4T5T6T7T8Fr0.44 0.28 0.30 0.12 0.06 0.52 0.08 0.38 Fa0.50 0.36 0.28 0.50 0.16 0.40 0.22 0.52

综合上面的内容，笔者将这三个方面结合起来反映轨迹隐私的保护程度，则在攻击者拥有等级的背景知识的条件下，隐私保护度，其中，γβα，，是三个指标所占的权重。D的值越大，隐私被泄露的风险越大，反之越小。γβα，，值的设定笔者可以采用统计学的方法，如因子分析法、灰色关联法等进行设定。

3 结束语

本文在现有研究的基础上，提出一种基于假数据的轨迹隐私保护技术的度量方法，最终得到了针对特定轨迹隐私保护技术的隐私保护度公式。然而，由于该模型本身的局限性并不能适用于任意的轨迹隐私保护技术的度量，另外，有关假轨迹上点之间的关联性、发布数据所包含信息的精确度以及攻击者所拥有背景知识多少三方面权重的设定并没有给出合适的标准，因此，后期笔者要针对以上两个问题做更进一步的研究。

[1] Xu T,Ying C.Location anonymity in continuous locationbased services[J].In:Proceedings of the 15th Annual ACM International Symposium on Advances in Geographic Information Systems,2007:1-8.

[2] Hoh B，Gruteser M,Alrabady A.Preserving privacy in GPS traces via Uncertainy-aware path cloaking[J].In：Proceedings of the 14th ACM Conference on Computer and Communications Security,2007:161-171.

[3] Ma ZD，Frank K，Michael W.Measuring location privacy in V2X communication systems with accumulated information [J].In:Proceedings of the Sixth IEEE Intemational Conference on Mobile Adhoe and Sensor Systems,2009: 322-331.

[4] 林欣,李善平,杨朝晖.LBS中连续查询攻击算法及匿名性度量[J].软件学报,2009,20(4):1058-1068.

[5] 霍峥,孟小峰.轨迹隐私保护技术研究[J].计算机学报, 2011,(10):1820-1830.

The measure methods of trajectory privacy protection in location-based service based on dummies

With the popularity of mobile devices, the trajectory of privacy protection has become an increasingly serious issue, as a direction of the trajectory of privacy protection, privacy measurement mechanism was built, such as trajectory privacy metric based on k-anonymity, trajectory privacy metric based on tracking and trajectory privacy metric based on pecific privacy trajectory systems. In this paper, on the basis of existing research we construct a standard which was built from the relationship between trajectory data, the accuracy of the data and background knowledge which attackers have known to measure of privacy protection technology based on dummies.

Trajectory privacy;privacy protection; privacy metric

G20

A

1008-1151(2015)01-0007-03

2014-12-11

王小飞（1990－），男，安徽人，安徽财经大学管理科学与工程学院在读研究生，研究方向为信息安全。