◆唐 迪 楊小牛

0 引言

近些年來，隨著移動通信技術(shù)的飛速發(fā)展、高性能智能移動終端的廣泛普及、移動數(shù)據(jù)網(wǎng)絡(luò)帶寬的不斷提高，基于地理位置信息服務(wù)（Location Based Service，LBS）成為移動互聯(lián)網(wǎng)最重要的應(yīng)用之一。LBS是由移動通信網(wǎng)絡(luò)和衛(wèi)星定位系統(tǒng)結(jié)合的一種增值業(yè)務(wù)，它通過一組定位技術(shù)獲得移動終端的位置信息，并提供給移動用戶本人、他人及通信系統(tǒng)，實現(xiàn)信息、娛樂等相關(guān)信息服務(wù)的業(yè)務(wù)。本質(zhì)上它是一種概念較為寬泛的與空間位置有關(guān)的新型業(yè)務(wù)，即“確定地理位置”+“提供服務(wù)信息”的模式。

雖然 LBS通過用戶位置信息可以為用戶提供各種便利的服務(wù)，但用戶位置信息的上傳和使用引發(fā)了用戶對其個人隱私信息泄露的擔憂。2011年微軟公司的一份調(diào)查報告表明，在使用LBS的用戶中，有超過83%的用戶認為該LBS服務(wù)提供商收集、使用和分享個人地理位置信息的行為會導(dǎo)致其個人隱私受到侵犯。隨著LBS用戶對個人隱私信息的重視，LBS隱私安全保護成為近年來的研究熱點。

1 基于地理位置信息服務(wù)面臨的安全威脅

1.1 基于地理位置信息服務(wù)概述

LBS在移動終端的應(yīng)用不僅實現(xiàn)百度地圖的地理位置功能、大眾點評的地點搜索、評價查看功能，滴滴打車等P2P在線服務(wù)業(yè)務(wù)，同時實現(xiàn)了微信、人人網(wǎng)等社交網(wǎng)絡(luò)平臺上的人際互動功能，隨著4G網(wǎng)絡(luò)的普及，LBS整合了互聯(lián)網(wǎng)平臺和移動數(shù)據(jù)平臺，通過基于地理位置信息服務(wù)模式，融合線上線下資源，建立了全方位的社會化網(wǎng)絡(luò)服務(wù)體系，形成了全新的社會關(guān)系、群體互動聯(lián)系、個體行為規(guī)律以及新的經(jīng)濟模式。本文結(jié)合工業(yè)界和學(xué)術(shù)界的相關(guān)表述對LBS有如下定義：LBS一般要求用戶首先通過定位設(shè)備獲取當前自身定位信息，并將該信息與相應(yīng)的服務(wù)請求發(fā)送給LBS服務(wù)提供商，LBS服務(wù)商在接收到用戶的服務(wù)請求后，根據(jù)用戶的地理位置信息和請求提供相應(yīng)的服務(wù)信息。

1.2 基于地理位置信息服務(wù)面臨的安全威脅

在 LBS中，用戶通過上傳個人地理位置信息獲得所需要的服務(wù)。其中，個人的地理位置信息和獲得的服務(wù)信息都是個人的隱私信息。在LBS服務(wù)過程中，個人的隱私信息可能會被LBS服務(wù)提供商、無線互聯(lián)網(wǎng)服務(wù)商，未經(jīng)授權(quán)的第三方組織甚至是有目的的攻擊者獲得。信息收集者通過利用獲得的歷史地理位置信息和服務(wù)信息可以還原用戶生活軌跡、生活習(xí)慣，從而推斷用戶的隱私信息，如職業(yè)、愛好、宗教信仰、消費、身體狀況等信息。

2 地理位置信息隱私安全保護技術(shù)

最近幾年，隨著對LBS隱私信息保護的重視，LBS隱私保護技術(shù)成為學(xué)術(shù)界研究的重要領(lǐng)域之一。根據(jù)研究方法基礎(chǔ)劃分，隱私保護技術(shù)主要包括（1）用戶位置信息保護原則；（2）用戶身份信息保護原則；（3）基于密碼的保護算法。

2.1 k-匿名（k-anonymity）保護模型

k-匿名保護模型作為隱私保護安全技術(shù)的安全模型被廣泛使用。它的核心思想是將一組特殊屬性定義為準標識符（Quasi-identification），并確保準標識符商取值相同的元組規(guī)模至少為k（k≥2），從而使攻擊者發(fā)起連接攻擊時得到的個體和敏感信息之間的關(guān)系變得模糊。針對LBS服務(wù)，k-匿名保護的實現(xiàn)是指，對發(fā)送服務(wù)請求的用戶A生成一個隱匿空間R，該空間可以滿足，攻擊者根據(jù)發(fā)送的服務(wù)請求識別出其真實請求者A的概率 p≤1/k。k-匿名保護模型雖然能保證隱私信息相對安全，但是k-匿名化的過程中的泛化操作可能會導(dǎo)致數(shù)據(jù)服務(wù)的質(zhì)量下降。

2.2 用戶位置信息保護原則

用戶位置信息保護原則的核心思想是通過保護用戶的地理位置信息和隱私信息。而用戶地理位置信息要求上傳至服務(wù)器，因此，該原則一般通過模糊上傳的用戶地理位置信息或發(fā)送多個虛假地址實現(xiàn)k-匿名保護。

2.2.1 空間隱匿保護技術(shù)

空間隱匿技術(shù)（Spatia1 c1oaking）的基本思想是首先通過可信第三方建立一個或多個模糊的空間范圍。該區(qū)域通過擴大用戶的位置范圍或調(diào)整用戶地理位置信息在時域和空域的解析度模糊用戶的精確位置，并將該區(qū)域代替用戶的精確位置，上傳至LBS服務(wù)商，從而獲得相應(yīng)的LBS服務(wù)。當該區(qū)域包含k個移動用戶時，可以實現(xiàn)對該用戶位置隱私的k-匿名保護。但是，上傳的位置信息不是用戶的精確位置，導(dǎo)致用戶不能獲得高質(zhì)量的服務(wù)體驗。

空時隱匿技術(shù)主要研究如何選擇合理的空間范圍替代用戶的地理位置信息，并且在用戶服務(wù)質(zhì)量和隱私保護之間做出平衡。如在[3]中，作者分析了用戶請求發(fā)生的地理位置的概率分布，根據(jù)該分布和用戶真實位置生成相應(yīng)的隱匿空間范圍，從而保證k-匿名保護的實現(xiàn)。在[4]中，作者分析并量化了服務(wù)質(zhì)量與隱私保護之間的折中關(guān)系，以此用戶可根據(jù)需求選擇安全度和服務(wù)質(zhì)量。

這類算法主要依靠犧牲LBS服務(wù)質(zhì)量來實現(xiàn)用戶隱私安全。一方面 LBS服務(wù)要求用戶提供精確位置，以保證服務(wù)質(zhì)量；另一方面隱私保護算法希望通過混淆掩蓋等方法將用戶精確信息保護起來，防止隱私泄露。

2.2.2 假地址技術(shù)

假地址技術(shù)是指利用假地址替代準確的地理位置信息。該技術(shù)主要思想是通過一定的策略生成多個假的或者錯誤的地理位置信息混淆真實的地理位置信息。用戶將多個假地址連同真實的地理位置信息發(fā)送給 LBS服務(wù)器。服務(wù)器根據(jù)這些位置向用戶提供一組服務(wù)信息，從而避免 LBS服務(wù)商直接獲得用戶的真實地理位置。理論上，當用戶向LBS服務(wù)發(fā)送k個位置（包含真實位置）時，攻擊者無法從這k個位置中識別用戶的真實位置，從而實現(xiàn)k-匿名保護。虛假位置的生成策略是假地址能夠保證隱匿真實地理位置信息的關(guān)鍵。在[5]中，作者考慮了旁路信息攻擊，并基于信息熵設(shè)計了虛假信息的生成策略，從而保證實現(xiàn)k-匿名保護。

假地址技術(shù)的安全性的實現(xiàn)主要依靠假地址的數(shù)量。一方面用戶希望使用更多的假地址混淆自己的地理位置信息；另一方面，大量的假地址信息將導(dǎo)致 LBS服務(wù)器需要回復(fù)額外的服務(wù)信息，從而增加通信和計算的消耗。

2.3 用戶身份信息保護原則

身份隱匿技術(shù)主要思想是通過混淆用戶身份信息來實現(xiàn)用戶隱私信息k-匿名保護。該技術(shù)一般包括兩種方法，假名技術(shù)和基于多跳的路由技術(shù)。

2.3.1 假名技術(shù)

假名技術(shù)一般是通過可信第三方為每位用戶生成一個假名，用戶在通信過程中利用假名進行通信。LBS服務(wù)商不能將用戶真實身份和假名進行一一對應(yīng)，從而無法推斷出接受的地理位置信息屬于哪位用戶。理論上，當用戶數(shù)為k時，該方法可以實現(xiàn)k-匿名保護。

但是，長期使用相同的假名，攻擊者可以利用旁路信息發(fā)現(xiàn)假名和用戶真實身份之間的關(guān)系。因此，研究者提出了動態(tài)假名技術(shù)?；煜齾^(qū)域（Mixzone）作為動態(tài)假名中被廣泛研究[6]。混淆區(qū)域的主要思想是通過可信第三方生成一個混淆區(qū)域，當用戶進入該區(qū)域后，用戶將被第三方隨機賦予一個假名，當該用戶離開混淆區(qū)域，該假名可被重新賦予新進入的用戶。為抵御假名鏈接攻擊，用戶可以在該區(qū)域使用不同的假名。如果混淆區(qū)域用戶數(shù)為k時，混淆區(qū)域技術(shù)可以實現(xiàn)用戶的k-匿名保護。

2.3.2 基于多跳的路由技術(shù)

匿名技術(shù)主要基于洋蔥路由理念。洋蔥路由技術(shù)將傳輸信息多層加密，加密信息通過一個代理序列（多個洋蔥路由器）傳輸?shù)竭_目的地。每層代理僅能解密獲得下一跳中繼代理信息，從而保證路由信息和傳輸信息內(nèi)容不可知。用戶通過洋蔥路由可以匿名訪問互聯(lián)網(wǎng)，從而保護用戶的隱私信息。LBS網(wǎng)絡(luò)中，文獻[7]提出用戶將信息傳遞或者交換給隨機遇到的其他中繼用戶，通過中繼用戶多跳將請求發(fā)送給LBS服務(wù)器，從而完成k-匿名保護。

假名技術(shù)的核心是通過隱藏用戶的真實身份信息，切斷用戶的身份信息與地理位置信息的聯(lián)系，從而使攻擊者不能獲知某個地理位置信息的真實所屬用戶。

2.4 基于密碼的保護算法

2.4.1 基于匿名認證

匿名認證是指對用戶進行身份認證同時不泄露用戶的真實身份。在LBS中，匿名認證被引入用于保護LBS用戶的地理位置信息安全。其中，盲簽名和群簽名在LBS服務(wù)中被廣泛研究。

群簽名的核心思想是一個群體中的任意一個成員可以以匿名的方式代表整個群體對消息進行簽名。根據(jù)一個群簽名，攻擊者不能識別出這個群簽名的真實的所有者身份，只能確定該簽名屬于這個群體。當群成員的數(shù)量為k時，該方法對用戶實現(xiàn)了k-匿名保護。在文獻[8]中，作者提出了一種具有閥值認證的群簽名的機制。該方法不但可以保護群成員的地理位置信息隱私，同時在多個群成員的幫助下實現(xiàn)消息的可追蹤性。

2.4.2 基于同態(tài)加密算法

同態(tài)加密是基于數(shù)學(xué)難題的計算復(fù)雜性理論的密碼學(xué)技術(shù)。對經(jīng)過同態(tài)加密的數(shù)據(jù)進行處理得到一個輸出，將這一輸出進行解密，其結(jié)果與用同一方法處理未加密的原始數(shù)據(jù)得到的輸出結(jié)果是一樣的。同態(tài)加密算法可以允許用戶將加密的地理位置信息發(fā)送給 LBS服務(wù)提供商，該信息可以用于計算但是計算過程和結(jié)果不能反應(yīng)出用戶地理位置。

在[9]中，作者提出了針對路徑信息規(guī)劃的LBS的隱私保護協(xié)議。該協(xié)議利用同態(tài)加密算法，將不同的用戶信息匯總上傳至LBS服務(wù)商，LBS服務(wù)商將匯總的城市交通狀況發(fā)送給請求用戶，LBS服務(wù)商只能獲得每個區(qū)域的車輛數(shù)量，無法獲得每輛車的位置信息。在[10]中，作者結(jié)合了同態(tài)加密算法和空時隱匿技術(shù)的優(yōu)點，既保證了用戶的隱私信息不泄露，同時保證了 LBS的服務(wù)質(zhì)量。

3 LBS隱私安全技術(shù)研究展望

基于地理位置信息技術(shù)在過去的幾年里發(fā)展迅速，個人隱私問題也逐漸成為人們關(guān)注的重點。但是，學(xué)術(shù)界和工業(yè)界對個人隱私?jīng)]有準確的定義和技術(shù)要求。同時，傳統(tǒng)信息安全領(lǐng)域中對信息安全的要求（保密性，可用性，完整性）不能準確表達隱私安全的技術(shù)需求和規(guī)范。在LBS中，在向用戶提供相應(yīng)的LBS服務(wù)的同時，用戶地理位置信息將被傳輸、使用甚至分享。用戶地理位置信息不能對LBS服務(wù)商保密。因此，未來LBS隱私安全研究將更多關(guān)注研究隱私安全的明確定義和技術(shù)要求。同時，當前的研究缺少對隱私保護技術(shù)安全性的量化標準。因此，結(jié)合我們對當前隱私保護技術(shù)問題的總結(jié)，未來基于地理位置信息隱私安全技術(shù)研究可能更多的關(guān)注以下幾點：

（1）基于地理位置信息服務(wù)隱私安全研究將更多關(guān)注研究隱私安全的明確定義和技術(shù)要求；

（2）隱私信息安全性的量化標準和計算方法；

（3）隱私安全技術(shù)保護的性能衡量，如服務(wù)質(zhì)量、時延、能量等；

（4）隱私安全保護技術(shù)將考慮更復(fù)雜的互聯(lián)網(wǎng)環(huán)境；

（5）隱私安全技術(shù)不僅需要保護用戶隱私信息并且需要具備信息的可追蹤性。

4 結(jié)論

基于地理位置信息服務(wù)應(yīng)用是移動互聯(lián)網(wǎng)最重要的應(yīng)用之一。但是由于該應(yīng)用要求移動用戶上傳個人隱私信息，隱私安全問題成為當前技術(shù)研究熱點。本文針對基于地理位置信息服務(wù)（LBS）的安全需求、研究方向、理論基礎(chǔ)、核心技術(shù)和發(fā)展方向進行了系統(tǒng)的分析和總結(jié)，有助于了解當前基于地理位置信息服務(wù)安全算法的研究現(xiàn)狀和發(fā)展方向。