关于位置隐私保护方法的研究与应用

位置隐私保护方法的研究与应用​

一、引言​

随着科技的飞速发展,基于位置的服务(LBS,Location Based Services)已广泛融入人们的日常生活。无论是出行导航、社交分享,还是个性化推荐、移动支付等应用,都依赖于对用户位置信息的获取和利用。LBS 在带来极大便利的同时,也引发了人们对位置隐私泄露的严重担忧。位置信息作为一种敏感个人信息,一旦被不当获取和滥用,可能导致个人隐私的曝光、财产安全受到威胁,甚至引发人身安全问题。因此,如何在充分利用位置服务优势的前提下,有效保护用户的位置隐私,成为了当前信息安全领域的重要研究课题。​

二、位置隐私泄露威胁​

2.1 具体空间标识泄露​

当攻击者知晓某一特定空间区域完全属于某用户时,就能推断出该用户处于此区域内,并且该区域内发送的消息极有可能来自该用户。例如,若攻击者得知某栋住宅为某用户所独有,当监测到该住宅区域有消息发送时,便可能确定是该用户发出的,进而可能追踪用户的更多活动。​

2.2 观察标识泄露​

如果攻击者观察到用户在某一位置发送特定消息,那么当该用户后续匿名发送消息时,攻击者有可能依据之前的观察记录,判断出该消息仍来自同一位置的同一用户。例如,在社交平台上,若攻击者留意到用户在某一餐厅签到并发布动态,之后即便该用户以匿名形式再次发布与该餐厅相关的内容,攻击者也可能通过关联分析识别出用户身份。​

2.3 定位跟踪泄露​

攻击者若已确定用户在某一初始位置,并且能够持续获取该用户的位置更新信息,就能够完整地掌握该用户去过的所有地方。这在一些恶意的位置跟踪应用中尤为明显,不法分子通过非法手段获取用户的位置轨迹,从而对用户的行动进行长期监视。​

2.4 连接泄露​

攻击者可以借助位置信息连接外部数据源或利用已知的背景知识,来确定在该位置发送消息的用户身份。例如,结合社交媒体上用户发布的带有位置标签的照片以及其他公开信息,攻击者可能推断出照片拍摄者的身份信息,进而获取更多隐私。​

三、位置隐私保护方法​

3.1 基于数据失真的位置隐私保护技术​

3.1.1 假名技术​

通过为用户分配一个不可追踪的标识符,用户使用该标识符替代真实身份进行查询。在分布式结构中,用户需自行计算和推测确定假名;而在集中式结构中,用户将更换假名的权利交给匿名服务器,由其根据周围环境和其他用户信息更好地完成假名的使用。使用假名技术时,通常需在空间中定义若干混合区,用户可在混合区内交换假名,但禁止发送位置信息。例如,在一个大型商场的混合区内,用户可以安全地更换自己的假名,而不会泄露位置信息,增加了攻击者追踪的难度。​

3.1.2 随机化​

在原始位置数据中加入随机噪声(哑元)。可信第三方服务器接收用户准确位置后,将噪声和准确位置一同发送给服务提供商。在服务提供商返回候选结果集后,可信第三方依据用户真实位置对结果集过滤求精,返回真实查询结果给用户。例如,用户查询离自己最近的餐厅时,先用设备随机产生两个随机位置,然后将真实位置和这两个随机位置一起发送给 LBS 提供商,LBS 提供商响应查询并返回距每个查询位置最近的餐厅列表,用户再根据自己的真实位置过滤列表,得到离自己真实位置最近的餐厅列表。这种方式可有效混淆真实位置,但需注意随机位置与真实位置的差异不能过大,否则易被攻击者区分。​

3.1.3 空间模糊化​

通过降低发布位置数据的精度,将用户提交的位置精度从一个点模糊到一个区域,使攻击者无法获取用户的精确位置。利用四叉树(Quad - tree)技术划分区域,用户发布位置时,可将自己所在的一个较大区域作为发布位置。例如,多个用户在一个较大的商业区域内,各自发布包含自己的一个较小子区域作为位置信息,服务提供商在处理近邻查询时,计算包含这些子区域中任何一点的最近邻区域,并返回其中包含的全部用户,发起查询的用户再自行计算出自己的近邻。这样既保护了位置隐私,又显著减少了传输的数据量,提升了服务的可用性。​

3.2 基于数据加密的位置隐私保护技术​

3.2.1 基于隐私信息检索(PIR)的位置隐私保护技术​

PIR 是客户端和服务器通信的安全协议,能确保客户端在向服务器发起数据库查询时,客户端的私有信息不被泄露给服务器的条件下完成查询并返回查询结果。在基于 PIR 的位置隐私保护技术中,服务器无法知晓移动用户的位置以及要查询的具体对象,从而防止了服务器获取用户位置信息以及根据查询对象推断用户隐私信息。例如,用户查询某位置处的内容,先将查询请求加密发送给服务器,服务器在不知道具体查询位置的情况下找到相关内容并加密返回给用户,用户可自行解密得到所需结果,包括服务器在内的攻击者都无法通过解析获得用户的查询位置信息和查询内容。​

3.2.2 基于同态加密的位置隐私保护技术​

同态加密是一种支持密文计算的加密技术,对同态加密后的数据进行计算等处理,处理过程不会泄露任何原始内容,处理后的数据用密钥解密,得到的结果与未加密时的处理结果相同。基于同态加密的位置隐私保护最常用于邻近用户相对距离的计算场景,能够实现在不知道双方确切位置的情况下,计算出双方间的距离,如微信的 “摇一摇” 功能。通过同态加密,用户设备在不暴露自身确切位置的情况下,即可与其他用户进行位置相关的计算和交互,有效保护了位置隐私。​

四、位置隐私保护结构​

4.1 集中式结构​

由移动终端、可信匿名服务器、LBS 服务器组成。用户使用移动终端向 LBS 服务器发送 LBS 查询,并获得最终查询结果。可信匿名服务器包含匿名处理模块和查询结果精炼模块,匿名处理模块将移动终端发送过来的精确位置模糊化,并转发给 LBS 服务器;查询结果精炼模块接收 LBS 服务器返回的结果集对其进行精炼,并将精炼后的最终结果返回给移动终端。这种结构中,匿名服务器承担了较多的隐私保护工作,但可能会因大量移动终端的位置更新而产生较高负荷。​

4.2 分布式结构​

由移动终端和 LBS 服务器组成。移动终端之间通过 P2P 协议,利用单跳和多跳通信形成一个匿名组,查询用户模糊化其位置为包含组内所有用户的空间区域,并将其转发给服务器,LBS 服务器返回包含正确结果的候选集,用户之间通过彼此协作完成隐私保护。分布式结构减少了对匿名服务器的依赖,但对移动终端的计算和通信能力要求较高,且用户之间的协作可能存在一定的复杂性。​

4.3 混合式结构​

由移动终端、可信匿名服务器、LBS 服务器组成,移动终端既可以通过可信匿名服务器请求服务,也可基于个性化的隐私、响应时间以及服务质量需求使用 P2P 协议完成隐私保护。匿名服务器拥有用户的身份、服务请求、位置等完全知识。混合式结构集成了集中式和分布式结构的优点,能够较好地平衡客户端和匿名服务器之间的负载,减少了匿名服务器由大量移动终端位置更新导致的负荷,但系统结构相对复杂,实现难度较大。​

五、方案设计示例​

5.1 设计流程​

为保护 LBS 服务中的用户位置隐私,整个使用过程分为访问权限设置和访问控制决策两部分。首先,所有与某一位置信息相关的隐私相关者设置相对于该位置信息对所有信息请求者的访问权限。通过权限设置,隐私相关者可决定哪些信息请求者在何种环境下(如时间、地点等)能够获取该位置信息的全部或部分内容。在设置好访问控制矩阵中的所有权限后,访问决策部分对访问请求者提出的具体访问请求按照矩阵中的设置做出允许或拒绝访问的决策。在每次信息访问请求者提出访问位置信息的请求时,系统中的访问控制决策机制将查询设置在三维访问控制矩阵中的隐私权限,并根据隐私权限确定是否允许访问请求。例如,家长可以设置对孩子位置信息的访问权限,决定哪些人(如家庭成员、学校老师等)在什么时间(如上学时间、放学时间等)、什么情况下(如紧急情况、日常监管等)可以获取孩子的位置信息。​

5.2 保护方法举例​

5.2.1 假位置​

通过制造假位置达到以假乱真的效果。当用户提出查询时,为其生成两个假位置,即哑元。真假位置一同发送给服务提供商。从攻击者的角度,同时看到三个位置,无法区分哪个是真实的哪个是虚假的。例如,用户在查询周边景点时,设备除了发送真实位置外,还随机生成两个假位置一起发送给旅游服务应用,服务应用返回三个位置周边的景点信息,攻击者难以从这些信息中判断出用户的真实位置。​

5.2.2 时空匿名​

将一个用户的位置通过在时间和空间轴上扩展,变成一个时空区域,达到匿名的效果。当用户提出查询时,用一个空间区域表示用户位置,从服务提供商角度只能看到这个区域,无法确定用户是在整个区域内的哪个具体位置上。比如,在一个大型活动现场,用户查询周边的餐饮服务时,其位置被表示为活动现场所在的一个较大区域,服务提供商只能针对该区域提供餐饮信息,而无法知晓用户在该区域内的精确位置。​

5.2.3 空间加密​

通过对位置加密达到匿名的效果。先将整个空间旋转一个角度,在旋转后的空间中建立希尔伯特(Hilbert)曲线。每一个被查询点 P 对应的希尔伯特值如该点所在的方格数字所示。当某用户提出查询 Q 时,计算出加密空间中 Q 的希尔伯特值。寻找与加密空间中 Q 的希尔伯特值最近的希尔伯特值所对应的 P,即 P1。将 P1 返回给用户。由于服务提供商缺少密钥,在此例子中即旋转的角度和希尔伯特曲线的参数,故无法反算出每一个希尔伯特值的原值,从而达到了加密的效果。例如,在一个地图应用中,用户查询某一地点,应用通过空间加密技术将用户的查询请求进行加密处理,返回给用户经过加密计算后的相关地点信息,服务提供商无法获取用户的真实查询位置。​

5.3 感知隐私的查询处理​

在基于位置的服务中,隐私保护的最终目的仍是为了查询处理,所以需要设计感知隐私保护的查询处理技术。根据采用匿名技术的不同,查询处理方式也不同:如果采用的是假数据,则可采用移动对象数据库中的传统查询处理技术,因为发送给位置数据库服务器的是精确的位置点;如果采用时空匿名,由于查询处理数据变成了一个区域,所以需要设计新的查询处理算法,这里的查询处理结果是一个包含真实结果的超集;如果采用空间加密技术,查询处理算法与使用的加密协议有关。例如,在使用假位置技术的情况下,查询周边酒店时,服务器可按照传统方式根据精确位置点返回酒店信息;而在时空匿名情况下,服务器需要针对一个区域内的所有可能位置进行分析,返回可能包含用户真实需求的酒店信息集合。​

六、方法研究关键点​

6.1 系统组成与隐私泄露点​

系统通常由移动终端、定位系统、通信网络和 LBS 服务器四部分组成。移动终端向 LBS 服务器发送包含用户位置的 LBS 查询,定位系统实时获取移动终端发送 LBS 查询时的位置,通信网络传输 LBS 查询和从服务器返回的查询结果,LBS 服务器响应用户的查询,并返回定制结果。用户的隐私可能在三个地方泄露:首先是移动终端,如果用户的移动设备被捕获或劫持,那么就可能变成恶意的,主动泄露用户的私有信息(包括但不限于位置信息);其次是用户的 LBS 查询和返回结果在通过无线网络传输时,有可能被窃听或遭受中间人攻击,不过这可以通过传统的加密和散列机制解决;最后是 LBS 服务器,因为恶意攻击者可能是 LBS 服务器的拥有者或维护者,也可能是俘获并掌控 LBS 服务器的恶意攻击者。​

6.2 关键技术分类​

隐私保护技术主要分为基于数据失真的位置隐私保护方法和基于数据加密的位置隐私保护方法。基于数据失真的方法通过让用户提交不真实的查询内容来避免攻击者获得用户的真实信息,包括假名、随机化、空间模糊化等技术;基于数据加密的方法则通过对位置数据进行加密处理,确保只有授权用户才能解密和访问这些信息,如基于隐私信息检索(PIR)和同态加密的位置隐私保护技术。这些关键技术在不同的场景和需求下发挥着重要作用,共同为位置隐私保护提供支持。​

七、结论​

位置隐私保护在当前数字化时代具有至关重要的意义。随着 LBS 应用的不断普及和发展,位置隐私泄露的风险也日益增加。通过对位置隐私泄露威胁的分析,我们明确了具体空间标识泄露、观察标识泄露、定位跟踪泄露和连接泄露等多种威胁形式。针对这些威胁,我们探讨了多种位置隐私保护方法,包括基于数据失真和基于数据加密的技术,以及集中式、分布式和混合式等不同的隐私保护结构。在方案设计方面,通过合理的访问权限设置和访问控制决策流程,结合假位置、时空匿名、空间加密等保护方法以及感知隐私的查询处理技术,能够在一定程度上保护用户的位置隐私。然而,位置隐私保护方法的研究仍面临诸多挑战,如如何在复杂的网络环境和多样化的应用场景下,实现高效、可靠且易用的隐私保护,以及如何平衡隐私保护与服务性能之间的关系等。未来,随着技术的不断进步和研究的深入,相信会有更加完善和创新的位置隐私保护方法出现,为用户的位置隐私提供更坚实的保障。​

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值