位置服务与隐私保护7

位置服务与隐私保护

摘 要 随着无线通信和移动技术的飞速发展，人们随时随地获取自己位置的要求成为可
能，各种基于位置的服务也应运而生。人们在享受服务的同时，也越来越关注自己的隐
私状况。本文总结了现有的位置服务中典型的隐私保护方法，并进行分析指出了这些方
法与位置服务本身的矛盾。文章还大胆地提出了一些位置服务隐私保护未来的发展方向
并给出了一些建议。
关键词：位置服务 隐私威胁 隐私保护 轨迹隐私 瞬时查询

1 引言
定位技术和移动数据库的飞速发展引发了一个新型研究领域——基于位置服务（Location Based Service）。位置服务是基于移动客户地理位置数据而开展的服务，这类服务一般都具有非常强的位置相关性，并逐渐显示出广阔的市场前景。比如，基于位置的紧急救援服务(如查询“离我最近医院”等)、基于位置的信息娱乐服务(如查询“距离我100m内最近的餐馆”等)和基于位置的广告服务(如“向所有在我咖啡店50m范围内的客人发送咖啡店介绍”等)。“据瑞典市场研究公司Berg Insight的一份最新报告预测，2013年欧洲手机定位服务用户将从2008年的2000万用户增长到1.3亿用户。而市场研究公司ABI Research预测在2011年，全球享受位置服务的人数将由2006年的1．2 千万增长到31．5 千万。随着3G时代的到来，移动定位服务有可能成为又一重要盈利引
……（新文秘网https://www.wm114.cn省略970字，正式会员可完整阅读）……　
未经授权的情况下，通过定位位置传输设备、窃听位置信息传输通道等方式访问到原始的位置数据，并计算推理获取的与位置信息相关的个人隐私信息。” [7] 位置隐私泄露的途径有三种[7]：第一，直接交流(Direct Communication)．指攻击者从位置设备或者从位置服务器中直接获取用户的位置信息；第二，观察(Observation)，指攻击者通过观察被攻击者行为直接获取位置信息；第三，连接泄露(Link Attack)，指攻击者可以通过“位置”连接外部的数据源(或者背景知识)从而确定在该位置或者发送该消息的用户。
传统的位置隐私保护的方法主要是根据组成位置隐私信息的两类信息来进行分类。一类方法是向服务器提供准确的用户位置信息，以便得到高质量的服务信息，而将用户的标识信息(例如匿名、假名等)进行隐藏（即“保护身份”）；另一类方法是将用户的标识信息完全暴露给服务器，而将用户位置信息进行隐藏（即“保护位置”）。而“保护位置”中又分为瞬时位置隐私保护和轨迹隐私保护两种。这些针对不同类别信息的保护方法将在下一节中作简述。

3 已有的隐私保护技术
自从位置服务诞生之时起，各方都在努力寻求对位置服务中隐私保护的切实可行的办法。其实保护位置隐私与享受服务是一对矛盾。在传统的关系数据库中，数据的精确性越高，可用性越强，隐私度就越低；数据的效用和隐私必须保持一种平衡(Trade—off)，既能保证数据的隐私度，又使数据的可用性不受损害。类似的，在LBS中，用户使用基于位置的服务时．需要发送自己的当前位置信息，位置信息越精确，服务质量越高，隐私度却相应越低，位置隐私和服务质量之间的平衡是一个难以处理却又必须处理的问题。
3.1 数据发布中的隐私保护
Sweeney[3] [4]在2002年最先提出的“k--匿名”[3] [4]方法是一种广泛应用于数据发布中的数据隐私保护的技术。该方法对每条记录的非敏感属性进行泛化，使得发布后的数据中的每条记录都至少不能和其他k-1条记录区别开来。然而该方法存在一定的缺陷，例如恶意的攻击者也有可能从一张匿名表中准确地推测出某个个体的真实敏感信息，这个现象主要是因为根据k--匿名方法得到的等价类中的敏感信息可能完全相同。同时，k-匿名方法采用泛化技术[6]将导致原始数据中的大量信息丢失，从而严重威胁到数据分析的准确性。
为解决k--匿名数据仍可能使得用户的敏感信息被恶意攻击者获取这一问题Machanavajjhala提出了一种新的隐私保护标准——I-diversity[5]，这种方法将原始数据分割成多个等价类，使得每个等价类中至少有n组不同的敏感值。因此，恶意的攻击者不可能以100％的可能性推断出某个个体的敏感信息。尽管I-diversity能提供更强的隐私保护，但是它仍然采用泛化技术发布原始数据，从而与k--匿名方法存在相同的缺陷——发布的数据会丢失大量原始数据中存在的信息。
后来*.*iao在文献[5]的基础上又提出了一种新的隐私保护方法——“Anatomy” [6]。在对原始数据进行发布时，将原始数据的关系表分解成ID表(存放原始表中的非敏感属性)和敏感表(存放用户的敏感属性和一些统计信息)并发布每条记录的准确非敏感属性值。anatomy在一定程度上抓住了数据之间的联系信息，提高数据分析的准确性，缓解了k--匿名方法会丢失大量原始数据问内在联系信息的问题。
3.2 瞬时位置信息隐私保护
Marco Gruteser最先将k--匿名的概念应用到位置隐私上来，提出位置k--匿名(Location k—Anonymity) [8]：当一个移动用户的位置无法与其他(k-1)个用户的位置相区别时。称此位置满足位置k--匿名。更具体地说，在位置k--匿名模型下，每一个用户的位置由一个三元坐标组表示，即（[*1 , *2] [y1 , y2] [t1 , t2]）其中*、y代表平面位置区域，t代表时间。[t1 , t2]时间段内，除此用户外，应有其他k-1个用户在[*1 , *2] [y1 , y2]平面区域内。描述成表格后如下：

用户 真实位置 k—匿名后的位置
A [ *A , yA ] ( [*1 , *2] [y1 , y2] )
B [ *B , yB ] ( [*1 , *2] [y1 , y2] )
C [ *C , yC ] ( [*1 , *2] [y1 , y2] )
D [ *D , yD ] ( [*1 , *2] [y1 , y2] )
E [ *E , yE ] ( [*1 , *2] [y1 , y2] )
k=5的k—匿名结果

k--匿名技术中的k值是由用户自定义的，也就是说用户可根据自己的具体情况对匿名区域的大小进行调整。通常来说，k值越大，相应的匿名框也就越大；k值越小，相应的匿名框也就越小。但是若用户在正在上课的教学楼中，则k值很大，相应的匿名框也很小；若用户在澳洲北部荒原冒险，则k值很小，相应的匿名框也很大。所以k值由用户自定义是很有必要的。
因 ……（未完，全文共7759字，当前仅显示2725字，请阅读下面提示信息。收藏《位置服务与隐私保护7》）