LBS中位置隐私保护研究

潘媛媛+王岌

摘 要：基于位置的服务（Location-Based Service，LBS）作为一种新的服务方式在为用户提供便利的同时，也存在位置隐私风险。首先对近几年国内外在保护LBS中位置隐私方面取得的主要成果进行回顾，然后对目前主要的保护隐私机制，即策略方法、伪码法、区域混淆法和假位置干扰法进行分析，最后指出这些方法的局限性以及未来LBS中位置隐私保护的发展方向。

关键词：基于位置的服务；位置隐私；伪码；混淆法；假位置

DOIDOI：10.11907/rjdk.162411

中图分类号：TP309.7

文献标识码：A文章编号：1672-7800（2016）012-0147-03

0 引言

近年来，随着无线通信技术和移动定位技术的快速发展，形成了一种新的基于位置信息的服务（Location-Based Service，简称LBS）[1]。在LBS中，用户可通过向服务器提供自己的地理位置来查询感兴趣的信息，例如查询离自己最近的书店、咖啡店等。然而，LBS在给用户提供生活便利性的同时也引入了隐私泄露风险。因为位置信息本身可能就是敏感数据，通过这些数据可揭示用户的个人隐私信息。例如用户身处某医院，且向服务器发送了基于位置服务的请求，一旦位置信息暴露，不法分子可根据这一信息推测出用户可能患了疾病。而且由于LBS中位置信息的物理特性，使得人们很难通过传统的隐私保护技术，如加密技术、数字签名、数字水印等进行保护[2]。随着人们对隐私保护的日益重视，LBS中的位置隐私保护问题亟待解决。

1 国内外研究现状

目前，国内外针对LBS位置隐私保护问题提出了多种解决方案。从用户角度来划分，位置隐私保护技术可以分为以用户为中心和非用户为中心两类。其中，以用户为中心的模式中采用的是用户、LBS服务器的两层结构，如图1所示。由于用户是位置信息的拥有者，对于位置信息有绝对控制权，用户会提出自己的要求并参与到整个位置隐私保护过程中。在该模式中，主要采用的是策略保护机制，如静态策略和动态策略[3，4]。一方面，用户会阐述自己对位置隐私保护的要求；另一方面，LBS服务器会对其所需位置信息的采集、使用、保存等作出承诺，即发布服务隐私策略[5]。若LBS服务器能保证用户的要求，LBS服务器将获得用户位置信息的采集和使用权限。

在实际应用中，用户通常只关心LBS 服务是否提供了足够的位置隐私保护，并不关心位置隐私保护具体实现细节，即用户只需要提供位置信息而不需要参与到LBS位置隐私保护中[2]。基于此，形成了一种以非用户为中心的隐私保护模式[6-11]。该模式采用用户、隐私保护中间件、LBS服务器三层结构，如图2所示。用户提供准确的位置信息给隐私保护中间件，由它对位置信息进行处理，再将处理过的信息发送给LBS服务器进行查询。位置信息处理遵循的原则为在满足LBS数据要求的前提下，尽量提高对用户位置隐私的保护程度。

2 位置隐私保护技术

如前所述，在非用户为中心的模式中保护位置隐私的关键在于采用何种技术来处理隐私保护中间件位置信息。总体来说，处理技术分为3种：伪码法、区域混淆法和假位置干扰法。

2.1 伪码法

伪码也称为假名。在该方法中，由于LBS服务只关心是否有用户向其发送请求，而不关心是哪个用户发送的请求，所以在请求中可以用伪码或假名来代替用户的真实身份。但是单个伪码并不足以保护用户的位置隐私，因为在一些特定的位置，不法分子也可以将单个伪码与用户的真实身份关联起来。例如，某个用户早晨经常会在同一位置请求LBS服务，不法分子由此可能推测出该位置为用户住址，很容易将业主与服务中的伪码关联起来，从而揭露用户的真实身份。于是，在单个伪码的基础上提出了频繁更改伪码的方法，即在某一位置或时间更改用户的伪码以切断伪码之间的关联性，从而达到保护用户位置隐私的目的。例如Mix zones方法[6]中，伪码更换发生在混合区域（如十字路口）。虽然这些方法提供了用户的准确位置，保证了服务质量，但是Mix zones方法保护位置隐私的程度与混合区域内的用户数量密切相关。如果混合区内用户少，那么即使更换伪码，不法分子将更改前后的伪码关联起来的概率较大，这会大大降低隐私保护程度。

2.2 区域混淆法

区域混淆法中具有代表性的主要有k-匿名[7]和位置偏移方法[10]。

k-匿名法利用用户附近包含k-1个邻居的位置区域来代替用户的准确位置，将用户与其k-1个邻居混淆在一起，从而达到保护用户位置隐私的目的。假设当k=5时，用户A发送给服务器的是位置区域，用（[x1，x2]，[y1，y2]）表示，其中包含B、C、D、E四个邻居，如图3所示。显然这种方法k值越高，隐私保护程度越高，但相应地会大大降低服务质量，而且服务器在该位置区域进行查询处理也会增加开销和反应时间。而且，当用户处于稀疏环境下，例如邻居个数小于k-1时，则无法获得满足条件的位置区域。

位置偏移法与k-匿名法一样，并不发送用户的准确位置给服务器，而是选择用户位置附近的某一特殊路标，用该路标的位置代替用户准确位置发送给LBS服务器以获取服务。该方法利用位置偏移原理隐藏了用户的准确位置，从而达到保护用户位置隐私的目的。但位置偏移会降低服务质量，而且用户必须对从服务器返回的查询信息进行筛选，这无疑会增加客户端开销。

2.3 假位置干扰法

假位置干扰法采用假位置信息进行位置混淆，以达到保护用户真实位置的目的[11]。通常，用户会发送多个位置信息给LBS服务器，但其中只有一个是用户的真实位置。这样，即使LBS服务器上的位置信息被不法分子获取，也无法判断出哪一个是用户的真实位置信息。但这种方法往往增加了服务器端的开销和通信开销。

相较于k-匿名方法，假位置干扰法更适合于稀疏用户环境。一方面，由于k-匿名方法受邻居密度的影响较大，至少需要k-1个邻居，这在稀疏用户环境中可能很难实现；另一方面，在稀疏用户环境中通信开销以及服务器查询开销较低，虽然假位置干扰法会增加一定开销，但能为用户提供位置隐私保护。

3 结语

LBS服务在拥有美好前景的同时，也存在严重的隐私威胁。用户总是希望在获取基于位置的服务时尽量不暴露自己的位置信息。实际上，享受服务与隐私保护是一对矛盾：高效的服务需要提供精确的位置；好的隐私保护策略需要使用户的位置信息尽量模糊化[12]。如何在高效的位置服务和位置隐私保护之间寻求平衡，是近年来研究的方向。本文详细介绍了目前提出的保护位置隐私方法，即以用户为中心模式中的策略方法、伪码法、区域混淆法和假位置干扰法。随着LBS应用的增加，策略方法研究重点应在如何实现策略的完整性、准确性及简化性。伪码法可以提供用户准确的位置信息，从而保证LBS服务的质量，但不法分子一旦将属于同一用户的不同伪码关联起来，就容易揭示用户的真实身份，达到获取用户位置隐私的目的。区域混淆法保护位置隐私则是以增加服务器的查询开销和降低服务质量为代价的。干扰法的关键在于如何生成虚假的位置信息已达到保护用户隐私的目的。总体来说，对LBS中位置隐私问题的研究尚处于起步阶段，缺乏系统性和统一性，许多问题还有待未来进一步研究。

参考文献：

[1] 肖燕芳，徐红云.一种基于匿名区域变换的位置隐私保护方法[J].计算机工程，2013，39（1）：157-163.

[2] 刘恒.普适计算环境下基于位置服务的隐私保护若干技术研究[D].成都：电子科技大学，2010.

[3] BAUGH J，GUO J.Location privacy in mobile computing environments[J]. Ubiquitous Intelligence and Computing， 2006：936-945.

[4] LEDERER S， DEY A K， MANKOFF J. A conceptual model and a metaphor of everyday privacy in ubiquitous computing environments[R]. University of California： Berkley， Technical report UCB/CSD-2-1188，2002.

[5] LANGHEINRICH M.A privacy awareness system for ubiquitous computing environments[J].Ubiquitous Computing，2002：315-320.

[6] A R BERESFORD，F STAJANO.Location privacy in pervasive computing[J]. IEEE Pervasive Computing， 2003， 2（1）： 46-55.

[7] GRUTESER M，GRUNWALD D.Anonymous usage of location based services through spatial and temporal cloaking[C].Proceedings of the International Conference on Mobile Systems， Applications， and Services， 2003：163-168.

[8] MEYEROWITZ J，CHOUDHURY R R. Hiding stars with fireworks： location privacy through camouflage[C].Proceedings of ACM Special Interest Group on Mobility of Systems， Users， Data and Computing， 2009：345-356.

[9] YIU MAN-LUNG，JENSEN C S，HUANG XUEGANG，et al.Spacetwist： managing the trade-offs among location privacy， query performance， and query accuracy in mobile services[C].Proceedings of the 24th International Conference on Data Engineering， 2008：366-375.

[10] HONG J I， LANDAY J A. An architecture for privacy-sensitive ubiquitous computing[C].Proceedings of the 2nd International Conference on Mobile Systems，Applications and Services，2004：177-189.

[11] KIDO H， YANAGISAWA Y， SATOH T. An anonymous communication technique using dummies for location-based services[C]. Proceedings of International Conference on Pervasive Services， 2005：88-97.

[12] 潘晓，肖珍，孟小峰. 位置隐私研究综述[J]. 计算机科学与探索， 2007， 1（3）： 268-281.

（责任编辑：陈福时）