杜瑞穎　王持恒　何琨

摘要：從位置隱私保護理論模型和位置隱私保護方法兩個方面入手，對智能移動終端上的位置隱私保護研究現(xiàn)狀進行了探討，重點研究當(dāng)前模型和方法的優(yōu)缺點以及各自的適用場景；結(jié)合智能終端和移動互聯(lián)網(wǎng)的發(fā)展趨勢，指出當(dāng)前位置隱私保護技術(shù)存在的問題，對未來的研究方向提出了建議。

關(guān)鍵詞： 基于位置服務(wù)；位置隱私；k-匿名；隱私保護；隱私模型

近年來，移動互聯(lián)網(wǎng)的出現(xiàn)以及3G/4G、Wi-Fi等各類移動通信技術(shù)的發(fā)展和普及，使得智能手機和可穿戴設(shè)備等智能移動終端成為人們生活不可或缺的一部分。隨著智能移動終端的成本越來越低，硬件軟件的功能越來越強，人們已能隨時隨地連接網(wǎng)絡(luò)并發(fā)送和接受信息，工作和生活方式發(fā)生了前所未有的變化。

智能移動終端的實時在線、隨身攜帶、情景感知的特點，使得其可以提供大量的個性化服務(wù)，基于位置服務(wù)（LBS）就是這些服務(wù)的典型代表?；谖恢梅?wù)已經(jīng)廣泛地應(yīng)用在人們的日常生活中，并且還在不斷地擴展服務(wù)的應(yīng)用范圍。在基于位置服務(wù)中，用戶通過智能終端上的應(yīng)用（APP）向服務(wù)提供商提交自己的位置信息，服務(wù)提供商則根據(jù)服務(wù)類型進行反饋，如返回最近的餐館、有空位的停車場等信息。以手機終端為例，根據(jù)中國互聯(lián)網(wǎng)絡(luò)信息中心（CNNIC）于2014年8月發(fā)布的《中國移動互聯(lián)網(wǎng)調(diào)查研究報告》[1]，截至2014年6月底，中國手機網(wǎng)民規(guī)模為5.27億，其中約有46.9%的手機網(wǎng)民使用手機地圖。手機地圖用戶中有57.6%的用戶使用定位功能，有40.8%的用戶使用查詢周邊美食餐飲服務(wù)功能，有24.4%的用戶使用簽到或位置信息分享功能。手機地圖這類APP收集了大量用戶的位置信息，并發(fā)送給服務(wù)提供者或發(fā)布到網(wǎng)絡(luò)上，這無疑是個人隱私的重要威脅。

位置隱私作為智能移動終端中的一個重要安全威脅，近年來受到全球研究機構(gòu)的廣泛關(guān)注。在智能移動終端廣泛普及的今天，對手能夠通過移動應(yīng)用或移動網(wǎng)絡(luò)收集更多用戶位置信息[2]，從而更容易掌握用戶的生活規(guī)律（如上下班時間、喜歡去的超市等）與個人隱私（如家庭住址、最近是否去醫(yī)院等），并實施進一步的目的（如販賣個人信息、實施偷竊等）。棱鏡門等事件使人們逐漸重視對個人隱私的保護，位置隱私將成為用戶使用個性化服務(wù)的決定性因素之一。為了解決這一問題，目前已經(jīng)提出了一些位置隱私保護理論模型，一些位置隱私保護方法也得到了廣泛應(yīng)用。本文將對這些理論模型和保護方法進行分析和總結(jié)，并對出現(xiàn)的問題和面臨的新挑戰(zhàn)提出一些有效建議。

1 位置隱私保護理論模型

通常在基于位置服務(wù)應(yīng)用中，人們關(guān)心的隱私數(shù)據(jù)包括位置、身份和查詢數(shù)據(jù)3個方面。我們可以形式化地表示位置服務(wù)中的查詢請求：（id， location， query）。其中，id表示用戶的身份，location表示用戶的位置坐標(biāo)（x， y），query表示查詢內(nèi)容。位置和身份是用戶的直接隱私，能夠標(biāo)示到確定的個體對象，例如家庭住址、身份證號等；查詢數(shù)據(jù)是用戶的間接隱私，雖不能直接確定用戶的身份，但內(nèi)容卻可以反映出用戶的生活環(huán)境，例如工資水平、健康狀況等。目前，沒有任何一種隱私保護理論模型可以適用于所有的應(yīng)用場景，本節(jié)將重點討論k-匿名、差分隱私模型和博弈論這3類傳統(tǒng)的隱私保護模型。

1.1 k-匿名

k-匿名模型由Samarati和Sweeney于1998年[3]提出，它要求發(fā)布后的數(shù)據(jù)中存在一定數(shù)量的不可區(qū)分的個體，使攻擊者至少不能從其他k-1條記錄中判別出隱私信息所屬的具體個體。k-匿名方法斷開了個體與數(shù)據(jù)庫中具體對象之間的聯(lián)系，在一定程度上保護了敏感數(shù)據(jù)的隱私。本文給出的k-匿名定義。

定義1（k-匿名）：[T（A1，...，An）]是一個數(shù)據(jù)表，[QIT]是與其相關(guān)聯(lián)的準(zhǔn)標(biāo)識符，當(dāng)且僅當(dāng)對任意一個準(zhǔn)標(biāo)識符[QI∈QIT]，[T[QI]]中的每一個值序列都至少出現(xiàn)[k]次，那么就可以稱[T]滿足k-匿名。

為了用形式化的語言準(zhǔn)確地理解k-匿名的定義，我們需要理解標(biāo)識符（Identifiers）、準(zhǔn)標(biāo)識符（Quasi-Identifiers）和敏感屬性（Sensitive-Attributes）的概念。標(biāo)識符屬性是指可以直接標(biāo)識個體身份的屬性，如姓名、身份證號、駕照號碼等，通過這些屬性值能直接確定具體的個體。敏感屬性指的是個人隱私屬性，指個體不希望其他用戶知曉的信息，例如工資水平、身體狀況、家庭住址等。準(zhǔn)標(biāo)識符屬性與標(biāo)識符屬性類似，也可以確定個體的身份，不同的是它需要進行間接的推測。通常情況下，準(zhǔn)標(biāo)識符屬性不是單獨出現(xiàn)的，而是一個屬性組合。本文給出準(zhǔn)標(biāo)識符的具體定義。

定義2（準(zhǔn)標(biāo)識符）：給定實體集合[U]、數(shù)據(jù)庫表[T（A1，...，An）]，[fc：U→T]以及[fg：T→U']，其中[U?U']。表[T]的準(zhǔn)標(biāo)識符[QI]為屬性組[{Ai，...，Aj}?{A1，...，An}]，其中[?Pi∈U]且滿足[fg（fc（Pi[QI]））=Pi]。換言之，準(zhǔn)標(biāo)識符屬性是指那些同時存在于數(shù)據(jù)發(fā)布表和外部數(shù)據(jù)表中，通過對這兩種數(shù)據(jù)表進行聯(lián)接推測就可以獲得個體隱私信息的一組屬性。

Marco Gruteser[4]最先將k-匿名模型應(yīng)用到位置隱私保護上，提出位置k-匿名（Location k-Anonymity）的概念。位置k-匿名利用k-匿名的思想將用戶的準(zhǔn)確位置信息替換成一個空間區(qū)域，在該空間區(qū)域內(nèi)至少存在k個不同用戶，這樣使得提出位置服務(wù)請求的用戶在該空間區(qū)域內(nèi)至少不能與其他k-1個用戶區(qū)分開來，從而保護了用戶身份隱私。結(jié)合k-匿名的定義，在位置k-匿名模型中，標(biāo)識符指用戶的終端標(biāo)識符（如電話號碼等），敏感信息包括用戶的身份信息和位置坐標(biāo)等，可能的準(zhǔn)標(biāo)識符屬性有時間、地點、查詢內(nèi)容等。圖1是一個k=5的位置k-匿名的例子，共有5個用戶A、B、C、D和E。如果用戶A需要請求位置服務(wù)，則與其他4個用戶組成一個空間區(qū)域。經(jīng)過位置匿名之后，每個用戶的坐標(biāo)都用這個空間區(qū)域表示。這樣位置服務(wù)器和攻擊者都只知道在此區(qū)域內(nèi)有5個用戶，但具體是哪個用戶在哪個位置發(fā)起的服務(wù)請求無法確定，因為用戶出現(xiàn)在每個位置的概率都是相同的。一般情況下，k值越大，匿名程度就越高。

在文獻[3]中作者指出隱私保護的含義不僅僅是匿名，并通過實例說明了匿名數(shù)據(jù)同樣會泄漏用戶的身份。這是因為發(fā)布的數(shù)據(jù)中包含一些“準(zhǔn)身份”信息，雖然單獨查看這些“準(zhǔn)身份”信息不能獲得用戶的身份，但將這些“準(zhǔn)身份”信息鏈接到一起之后就能以很大的概率推測出用戶的身份。同時，如果同一個k-匿名組內(nèi)的不同用戶擁有相同的敏感信息，那么攻擊者仍然可以從一條查詢記錄中推測出某個具體用戶的真實隱私信息。為了解決k-匿名模型存在的這一問題，Machanavajjhala等人[5]提出l區(qū)分（l-diversity）來隱藏同一個k-匿名組內(nèi)的用戶的敏感信息。l區(qū)分要求一個k-匿名組內(nèi)除了至少有k個不同的用戶外，仍需要保證該匿名組內(nèi)有l(wèi)個不同的興趣點。Li等人[6]則進一步指出，l區(qū)分對同一個k-匿名組內(nèi)的用戶的敏感信息的保護還不夠完善，因此提出t接近來實現(xiàn)更強的隱私保護。

1.2 差分隱私模型

差分隱私模型由Dwork于2006年提出[7]。差分隱私保護通過添加噪聲來改變原始數(shù)據(jù)，從而起到保護隱私的目的，對于一個嚴(yán)格定義下的攻擊模型，其具有添加噪聲少、隱私泄露風(fēng)險低的優(yōu)點。作者指出在一些情況下，例如一個醫(yī)學(xué)實驗的數(shù)據(jù)庫，攻擊者的目標(biāo)僅僅是判斷一個用戶是否在發(fā)布的數(shù)據(jù)中。這樣以k-匿名為代表的隱私模型就無法判斷用戶的隱私是否真正得到了保護。差分隱私對敏感數(shù)據(jù)的計算處理結(jié)果對于具體某個用戶的是不敏感的，單個用戶在數(shù)據(jù)集中或者不在數(shù)據(jù)集中，對處理結(jié)果的影響微乎其微。本文對差分隱私的定義。

定義3（差分隱私）：對于兩個數(shù)據(jù)集[D1]和[D2]，[Range（K）]表示一個隨機函數(shù)[K]的取值范圍，[Pr[Es]]表示事件[Es]的泄露風(fēng)險，若隨機函數(shù)[K]提供[ε]-差分隱私保護，則要求兩個數(shù)據(jù)集的差別至多為一條記錄，并且對于所有[S?Range（K）]，有：

[Pr[K（D1）∈S]≤exp（ε）×Pr[K（D2）∈S]] （1）

最后計算出的泄露風(fēng)險[Pr[Es]]取決于隨機化函數(shù)[K]的值。

圖2給出了兩個數(shù)據(jù)集[D1]和[D2]滿足[ε]-差分隱私的泄露風(fēng)險曲線。

在定義3中，有兩點需要注意：首先，隨機函數(shù)K的選擇與攻擊者所具有的先驗知識無關(guān)，只要可以滿足定義中的要求，就能夠保護數(shù)據(jù)集D中任意數(shù)據(jù)的隱私；其次，在滿足[ε]-差分隱私保護時，[ε]越小，添加的噪聲越大，隱私保護的級別也就越高。因此，可以像k-匿名中通過調(diào)整k的大小來實現(xiàn)不同的隱私程度一樣，設(shè)置不同的[ε]值也能實現(xiàn)隱私保護等級的劃分。

后續(xù)研究文獻[8-10]進一步擴展了差分隱私模型的適用范圍。其中Andrés等人[8]的研究尤其值得注意，作者將差分隱私模型擴展到位置隱私保護領(lǐng)域。McSherry和Talwar[9]、Dwork和Lei[10]分別研究了滿足差分隱私模型的數(shù)據(jù)發(fā)布方法，但均停留在理論的層面，還沒有實際可用的隱私保護方案。

1.3 博弈論

基于博弈論的隱私保護模型用來解決多個終端的利益分配以及隱私保護程度與服務(wù)質(zhì)量的權(quán)衡問題。例如，在k-匿名模型中，不同的用戶會有不同的隱私需求，而在參與匿名區(qū)域構(gòu)建時，會消耗自身智能終端的資源。因此，需要在隱私需求與資源開銷之間建立利益關(guān)系，使得各個參與方都可以有滿意的服務(wù)體驗，獲得最大的利益。Freudiger等人[11]考慮到自私節(jié)點對位置隱私的影響，以博弈論為基礎(chǔ)分析了非合作情況下的位置隱私保護，但作者提出的系統(tǒng)模型僅針對以假名更換為基礎(chǔ)的位置隱私保護機制。

有效的位置隱私保護機制背后的位置模糊算法必須考慮3個基本的元素：用戶的隱私需求、對手的知識和能力、由于混淆真實位置而帶來的服務(wù)質(zhì)量下降的最大容忍度。Reza等人[12]提出了博弈論框架使得設(shè)計者能夠從給定的服務(wù)中找到最優(yōu)的位置隱私保護機制，而且滿足用戶對服務(wù)質(zhì)量的要求。這種基于位置的隱私保護機制被設(shè)計以提供以用戶為中心的位置隱私，因此是智能移動終端上實施的一種理想選擇。

上述3個理論模型在位置隱私保護領(lǐng)域的研究都取得了一定成果，但也有較為明顯的問題，這主要集中在以下兩點：一是對安全需求定位不清，一些研究重點保護用戶的身份，而另一些研究重點保護用戶的位置，缺乏一個整體的安全需求分析，并且這些安全需求都集中在用戶位置信息發(fā)布之后，而沒有考慮位置信息在智能移動終端上的完整生命周期；二是對對手能力劃分不明，一些研究將對手能力固定在某些策略上，缺乏一個分層的對手能力劃分，另一些研究雖然考慮了多種對手能力，但缺乏一個統(tǒng)一的對手模型。

2 位置隱私保護技術(shù)和方法

位置隱私保護技術(shù)是讓位置服務(wù)提供商和非法人員不能或者無法輕易獲得用戶的真實位置相關(guān)信息（坐標(biāo)、身份、興趣愛好等）的防護方法。當(dāng)前的位置隱私保護技術(shù)可以大致分為3類：位置模糊、身份隱藏和信息加密。位置模糊類方法通過擴大或者改變用戶的真實位置，即用模糊的位置代替精確的位置，利用降低用戶位置信息的準(zhǔn)確度來達(dá)到位置隱私保護的目的；身份隱藏類方法保留了用戶的準(zhǔn)確位置信息，這樣就保證了服務(wù)質(zhì)量，而將用戶的身份信息通過一定的技術(shù)方法隱藏起來；信息加密類方法采用加密手段在位置信息使用過程中隱藏用戶隱私，使得非法攻擊者即使得到了用戶的敏感數(shù)據(jù)，也無法破解出原有的真實信息。另外，針對連續(xù)查詢和特殊的應(yīng)用場景，也存在一些專門的位置隱私保護方法。

2.1 位置模糊

位置隱私保護的主要目的就是保護用戶在享受位置服務(wù)時的真實位置信息，因此首先想到的方法就是在將查詢請求發(fā)送到服務(wù)提供商之前對位置信息進行模糊處理。目前存在3種位置模糊方法：虛假位置、地標(biāo)技術(shù)和模糊空間。

（1）虛假位置

虛假位置[13]指用戶用幾個虛假的位置代替自身所處的真實位置來發(fā)送服務(wù)請求。在這類位置隱私保護方法中，用戶不僅向位置服務(wù)器發(fā)送自己的真實坐標(biāo)，而且以一定的策略生成一組假位置同時發(fā)送出去，這些假位置可以起到掩護真實位置的目的。真假位置在位置服務(wù)提供端是無法區(qū)分的，服務(wù)器必須查詢出所有相關(guān)位置的服務(wù)請求，返回候選結(jié)果集，然后由用戶根據(jù)自身的真實位置來判斷所需的服務(wù)結(jié)果。顯而易見的是，這種方法增加了服務(wù)器的查詢處理開銷，同時要求用戶有判斷結(jié)果準(zhǔn)確性的能力。

（2）地標(biāo)技術(shù)

為了解決虛假位置技術(shù)對服務(wù)器性能的影響問題，Hong和Landy[14]提出了地標(biāo)技術(shù)，它是虛假位置技術(shù)的一種特殊形式。與虛假位置技術(shù)不同的是，用戶采用一個標(biāo)志性的地理位置來代替其真實位置，位置服務(wù)器通過對這個標(biāo)志性地理位置的處理來提供服務(wù)。這樣攻擊者就只能得知用戶在這個標(biāo)志性的地理位置附近出現(xiàn)過，而無法確定其精確的位置，從而保護了用戶的位置隱私。可以看出，地標(biāo)位置與真實位置的距離遠(yuǎn)近會直接影響到基于位置服務(wù)的質(zhì)量。

（3）模糊空間

模糊空間[15]指用一個空間區(qū)域來代替用戶的具體位置坐標(biāo)。區(qū)域的形狀不限，普遍選擇圓形或者矩形；區(qū)域的大小也不限，一般根據(jù)用戶的隱私保護需求和服務(wù)質(zhì)量要求確定。模糊空間位置隱私保護技術(shù)如圖3所示。當(dāng)前用戶A的真實位置坐標(biāo)為[（xi，yi）]，如果采用距離該坐標(biāo)長度為r的正方形作為模糊空間，則用戶的位置就變換為了一個二維空間區(qū)域[[（xi-r，yi-r），（xi+r，yi+r）]]。與虛假位置方法類似，位置服務(wù)器只知道用戶在這個模糊空間內(nèi)，而無法得知真實的位置信息。同樣地，由于模糊空間降低了用戶的位置精度，服務(wù)質(zhì)量會根據(jù)區(qū)域的大小成反比例下降，并且該方法也面臨服務(wù)器處理開銷增大的問題。

2.2 身份隱藏

目前存在4種身份隱藏方法：匿名、假名技術(shù)、混合區(qū)方法以及盲簽名技術(shù)。

（1）匿名

如果攻擊者不知道用戶是誰，那么即使他得到了用戶的真實位置，能夠造成的危害也會小很多，因此如何隱藏用戶的真實身份是當(dāng)前研究的熱點之一。其中，匿名化處理是比較直接的辦法，它關(guān)注的是將用戶的位置信息與真實身份信息（如身份證號、電話號碼等）分開，切斷了位置和身份之間的聯(lián)系。前面理論模型中提到的位置k-匿名技術(shù)[4]就是一種常用的匿名化處理方法。通過使一個空間區(qū)域內(nèi)k個用戶的身份不可區(qū)分，即使某個用戶的位置信息被惡意的位置服務(wù)器或者攻擊者獲得，它們也無法推測出到底是哪個用戶發(fā)起的哪個位置服務(wù)請求。

（2）假名技術(shù)

假名技術(shù)是身份匿名的一種特殊形式，它的主要思路是讓用戶在發(fā)送位置服務(wù)請求時采用虛假的用戶身份來代替真實的用戶身份，這樣也就使得服務(wù)提供商無法收集用戶身份與位置的關(guān)聯(lián)關(guān)系。即使非法攻擊者通過特殊的技術(shù)手段獲得了用戶的位置信息，由于用戶的身份是虛假的，這樣就大大降低了真實用戶面臨的安全風(fēng)險。Duckham和Kulik[16]提出了一種基于假點的用戶身份隱藏方案，此方案通過把一些虛擬用戶以相同的概率插入到真實用戶的位置周圍來達(dá)到隱私保護的效果。

（3）混合區(qū)方法

在假名技術(shù)的基礎(chǔ)上，Beresford和Stajano[17]提出混合區(qū)（mix zone）的方法，用于保護連續(xù)發(fā)布位置信息時的用戶身份隱私。該方法將用戶訪問過的空間區(qū)域分為兩種類型：應(yīng)用區(qū)域和混淆區(qū)域。在應(yīng)用區(qū)域中，用戶可以提出位置服務(wù)請求和接收服務(wù)信息；在混淆區(qū)域中，用戶禁止使用基于位置服務(wù)，幾乎沒有任何通信。為了更好地保護用戶的位置隱私，用戶在離開混淆區(qū)域時需要更換自己的假名?；旌蠀^(qū)位置隱私保護技術(shù)如圖4所示。實例中給出了一個擁有3個用戶的混淆區(qū)域。3個用戶在不同時刻進入到混淆區(qū)域，使用的假名分別是A、B和C。當(dāng)他們離開該區(qū)域后，立即更換假名為X、Y和Z。因為攻擊者無法預(yù)測用戶在混淆區(qū)域內(nèi)停留的時間，并且用戶在混淆區(qū)域中沒有使用位置服務(wù)，增加了將同一個用戶前后使用的假名關(guān)聯(lián)起來的難度。這樣非法人員就無法繼續(xù)追蹤目標(biāo)，從而達(dá)到保護用戶身份信息的目的。

（4）盲簽名技術(shù)

在身份隱私保護技術(shù)中，盲簽名技術(shù)也十分具有代表性，其核心思想是用戶對要簽名的內(nèi)容進行盲化并發(fā)送給簽名者，簽名者對其簽名后發(fā)送給用戶，用戶去盲后能得到正確的簽名，從而保護用戶要簽名的內(nèi)容不被簽名者獲取。Qi等人[18]利用盲簽名技術(shù)實現(xiàn)用戶身份的隱私保護，提出了一種用戶身份重混淆協(xié)議。Liao等人[19]指出Qi方案中的盲簽名方案并不能有效地消除一個合法移動設(shè)備上匿名ID和真實用戶ID之間的關(guān)系，作者對注冊和重混淆協(xié)議進行了改進，證明新方案可以保證管理者無法從匿名ID中得到任何真實ID的相關(guān)信息。

2.3 信息加密

信息加密技術(shù)是最基本的安全防護方法，通過將明文改變成不可讀的密文，從而起到保護敏感信息的目的。同樣地，信息加密的方法也可以應(yīng)用到位置隱私保護領(lǐng)域，由于每個位置信息的處理和查詢都是基于密文的，這就使得非法攻擊者無法解密出用戶真實的位置和身份信息。Khoshgozaran等人[20]提出了一種基于密碼學(xué)的位置隱私保護方法，與傳統(tǒng)的k-匿名、假名和混淆方案不同的是，該方案帶來的計算和通信開銷非常小，而且在查詢請求時不需要依賴于可信的中間匿名服務(wù)器。

傳統(tǒng)的信息加密機制能夠保護數(shù)據(jù)的機密性，但是大多依賴于公鑰基礎(chǔ)設(shè)施，資源提供方只有獲取用戶的真實公鑰證書之后才能加密。屬性基加密（ABE）[21]的提出解決了這一缺陷，它常用于設(shè)置靈活的訪問控制策略。通過把身份標(biāo)識看成是一系列的屬性，只有當(dāng)ABE中解密者的身份信息和信息加密者描述的信息一致時，才可以解密加密者加密的信息。ABE應(yīng)用在位置隱私保護中，可以在位置信息發(fā)布時提供加密，只允許有特殊屬性的用戶可以解密這些信息。Linke等人[22]設(shè)計了基于屬性隱私保護的移動傳播方案，確保移動用戶信息保密，加密解密機制依靠用戶權(quán)限，提出了一種保護隱私的相互身份驗證方案。

2.4 連續(xù)查詢時的隱私保護技術(shù)

上述隱私保護方法多針對單次查詢，不能適用于連續(xù)查詢（如：用戶不停地移動，并且重復(fù)請求LBS等應(yīng)用場景）。連續(xù)查詢是位置服務(wù)中一種常見的查詢類型，具有位置更新頻繁和實時性要求高的特點。如果直接應(yīng)用傳統(tǒng)方法于連續(xù)查詢，可能會產(chǎn)生隱私泄露、匿名服務(wù)器性能開銷大等問題，通過匿名化位置查詢的輔助工具來混淆位置的有效性在連續(xù)地LBS情形下也會受到削弱。因此，學(xué)術(shù)界也對查詢隱私進行了一些研究，并將位置隱私和查詢隱私分開進行討論。

Chow和Mokbel[23]在2007年首次提出了連續(xù)查詢隱私保護問題，在服務(wù)請求的初始時刻，用戶會形成一個匿名集，作者指出將該匿名集作為查詢有效期內(nèi)的最終結(jié)果，從而解決將連續(xù)查詢隱私泄露的問題。但是該方案最初生成的匿名集僅考慮用戶初始時刻的鄰近性，并沒有考慮用戶的運動性，因此仍然會造成位置隱私泄露和服務(wù)質(zhì)量下降。Pingley[24]等人給出了一種新的查詢隱私保護方法，即使用戶的身份被顯示，也能夠保護連續(xù)位置服務(wù)下的隱私查詢。它通過考慮查詢情境和用戶運動模型來產(chǎn)生虛擬查詢，該方案對于服務(wù)提供商而言是透明的，多種位置服務(wù)的查詢會被獨立的應(yīng)答。

2.5 特殊應(yīng)用場景下的隱私保護技術(shù)

除了上述常見的位置隱私保護方法外，針對一些特殊的應(yīng)用場景，一些研究人員也給出了專門的保護方案。Hashem等人[25]針對無線自組網(wǎng)提出了一種保護用戶身份與位置隱私的算法，其核心采用的是k-匿名技術(shù)。Ma等人[26]研究了車載通信系統(tǒng)中的長期位置隱私問題，試圖評估累積信息對位置隱私的影響，重點關(guān)注了對手能否從信息中提取特征。Chow等人[27]針對無線傳感器網(wǎng)絡(luò)設(shè)計了一種以k-匿名技術(shù)為核心的具有位置隱私保護屬性的監(jiān)控系統(tǒng)，在提供高質(zhì)量服務(wù)的同時也保障節(jié)點的隱私。Ren-Hung等人[28]針對社交網(wǎng)絡(luò)中集中式k-匿名隱私保護方案的缺陷，提出了一種分布式的結(jié)構(gòu)，使得用戶通過在線社交網(wǎng)絡(luò)關(guān)系實現(xiàn)相互信任，從而不再依賴于單一的可信匿名服務(wù)器。

容易看出，每類位置隱私保護技術(shù)都有不同的特點，針對不同的應(yīng)用需求，我們將各種位置隱私保護技術(shù)的分析結(jié)果列在表1中。從表1可以看出，他們的保護目標(biāo)、關(guān)鍵技術(shù)等不盡相同。

3 存在的問題

上面介紹了近年來智能移動終端上位置隱私保護技術(shù)的主要研究成果，這些工作都取得了一定成果，但隨著新技術(shù)和攻擊手段的不斷發(fā)展，目前仍有幾個方面的相關(guān)問題有待解決。

3.1 缺乏完整而系統(tǒng)的位置隱私

保護理論

雖然近年來關(guān)于位置隱私保護的研究越來越多，并提出了許多具體方案，但缺乏一個完整而系統(tǒng)的位置隱私保護理論，尤其是缺乏面向智能移動終端的位置隱私保護理論。首先，一個完整而系統(tǒng)的理論應(yīng)該從明確的安全需求開始；其次，一個完整而系統(tǒng)的理論要合理假設(shè)對手的能力；最后，基于明確的安全需求與合理的對手能力，建立相應(yīng)的安全模型。若沒有上述的理論基礎(chǔ)，則容易出現(xiàn)錯誤的結(jié)論。當(dāng)前針對智能終端的位置隱私研究中，研究人員大多采用相同的位置隱私保護定義，即防止對手獲得用戶當(dāng)前或過去的位置。這一定義尚停留在經(jīng)驗式的層面上，既沒有劃分出不同等級的安全需求，也沒有指明不同對手的能力。而且大部分研究偏離了真正的安全需求，如以k-匿名技術(shù)的核心的研究專注于降低對手對其分析結(jié)果的確定性而非分析結(jié)果本身準(zhǔn)確性，這正是由于缺乏堅實的位置隱私保護理論基礎(chǔ)導(dǎo)致的。因此，隨著位置隱私保護理論的完善，有必要設(shè)計更合適的位置隱私保護方法。另外，上述工作基本都是針對具有局部監(jiān)控能力的對手，而沒有考慮智能終端環(huán)境下無處不在的更強對手，因此這些方案在當(dāng)前技術(shù)下基本都是不安全的。

3.2 缺乏隱私保護與服務(wù)質(zhì)量的

權(quán)衡方法

采用位置隱私保護方法一般都會降低位置服務(wù)質(zhì)量，如準(zhǔn)確度、精度、可信度等。例如，以實現(xiàn)k-匿名為目標(biāo)的位置信息保護方法，或用可信第三方的位置代替用戶的位置，從而降低了用戶位置的準(zhǔn)確度，或用一片區(qū)域代替用戶的位置，從而降低了用戶位置的精度。在一些情況下，這種位置信息質(zhì)量的降低不會影響用戶獲得的服務(wù)質(zhì)量（如天氣服務(wù)等對位置信息不敏感的應(yīng)用，只需要精確到城市即可），但在更多情況下，用戶的服務(wù)質(zhì)量會因此下降（如興趣點查詢服務(wù)、導(dǎo)航服務(wù)等對位置精度敏感的應(yīng)用，需要相對準(zhǔn)確的位置信息）。然而，目前大部分位置隱私保護方法并沒有考慮服務(wù)質(zhì)量的需求，只是根據(jù)預(yù)設(shè)的隱私保護需求（如k-匿名中的k）來處理位置數(shù)據(jù)，這無疑會影響用戶的體驗。雖然已有一些研究考慮了服務(wù)質(zhì)量與位置隱私的平衡，但這些研究都只針對單個的服務(wù)質(zhì)量目標(biāo)，尚缺乏對服務(wù)質(zhì)量的完善評估。

3.3 缺乏對軟件泄漏位置隱私的有效

度量方法

當(dāng)前大部分位置隱私保護方法主要針對惡意服務(wù)器[29]，即服務(wù)器獲得用戶提交的位置數(shù)據(jù)之后無法威脅用戶的隱私。然而，大部分用戶的位置數(shù)據(jù)都是通過移動終端上的軟件發(fā)布，而這些軟件則是由相應(yīng)的服務(wù)提供商開發(fā)，現(xiàn)有位置隱私保護方法并沒有考慮到這種由軟件泄漏位置數(shù)據(jù)的情況。在2014年的CCS會議上，F(xiàn)awaz和Shin[30]提出了一種針對移動終端環(huán)境的位置隱私保護框架，填補了這方面的空白。但是，作者提出的框架需要大量的用戶交互，并且缺乏對導(dǎo)航等關(guān)鍵軟件的支持。軟件位置隱私程度的度量是一個前沿的研究領(lǐng)域，目前已有的研究方法主要是根據(jù)軟件收集了什么位置數(shù)據(jù)、收集了多少位置數(shù)據(jù)或者收集位置數(shù)據(jù)是否經(jīng)過了用戶的授權(quán)來判斷，并簡單地將軟件分為危害位置隱私和不危害位置隱私兩類。然而，這些方法都沒有考慮軟件自身的功能需求和當(dāng)前的用戶環(huán)境，因此并不能準(zhǔn)確地判斷一個服務(wù)軟件是否真正危害位置隱私。在位置隱私保護的方法上，如何對用戶位置發(fā)布的移動終端軟件做出合理的判斷仍是一個亟待解決的課題。

3.4 大數(shù)據(jù)時代帶來新的挑戰(zhàn)

大數(shù)據(jù)時代用戶的各種數(shù)據(jù)會從不同的角度和途徑被收集，其中隱含了人們的行為模式、敏感信息和習(xí)慣偏好等隱私數(shù)據(jù)，為人們帶來了嚴(yán)重的安全威脅。在大數(shù)據(jù)時代，傳統(tǒng)的位置隱私保護方法已經(jīng)不能完全勝任工作，攻擊者可以從多種渠道獲得用戶各種類型的信息，這些信息包括位置數(shù)據(jù)和非位置數(shù)據(jù)，而這些數(shù)據(jù)均可以直接或者間接地泄露用戶的位置隱私。例如，用戶在服務(wù)A中保護起來的位置數(shù)據(jù)可能在另一個服務(wù)B中被泄露，如果攻擊者同時獲得了服務(wù)A和服務(wù)B的數(shù)據(jù)，即使服務(wù)A進行了很好的隱私保護，仍然可以重構(gòu)出用戶的隱私數(shù)據(jù)。目前，大數(shù)據(jù)、移動互聯(lián)網(wǎng)和傳感設(shè)備等位置感知技術(shù)的發(fā)展已經(jīng)形成了位置大數(shù)據(jù)，大數(shù)據(jù)施展手段的條件也已經(jīng)成熟。一方面，實時在線、攜帶方便和情景感知的特點使得智能移動終端上的信息生產(chǎn)呈現(xiàn)爆炸性的增長，這為大數(shù)據(jù)技術(shù)的實踐提供了數(shù)據(jù)基礎(chǔ)。另一方面，成熟的數(shù)據(jù)挖掘技術(shù)可以從大量位置數(shù)據(jù)中有效地推測出有價值的信息，這為大數(shù)據(jù)技術(shù)提供了方法基礎(chǔ)。因此，如何應(yīng)對位置大數(shù)據(jù)帶來的新挑戰(zhàn)，將是未來位置隱私保護技術(shù)發(fā)展的一個重要研究方向。

4 結(jié)束語

智能移動終端的發(fā)展勢不可擋，存在的安全問題也不能忽視，但是我們不能因噎廢食，需要正確應(yīng)對當(dāng)前存在的安全威脅，特別是位置隱私泄露問題，尋找切實可行的方案。本文研究了目前智能移動終端上基于位置服務(wù)的隱私保護方法，總結(jié)了位置隱私保護的理論模型和技術(shù)方法，探討了這些技術(shù)存在的問題。在研究新技術(shù)時，我們應(yīng)充分考慮智能移動終端的完整保護周期，從數(shù)據(jù)源頭到數(shù)據(jù)傳輸再到數(shù)據(jù)處理全方位保護終端安全，將使得未來智能移動終端的發(fā)展更加健康，在為用戶提供個性化服務(wù)時可以無后顧之憂。

參考文獻

[1] 中國互聯(lián)網(wǎng)絡(luò)信息中心. 2013-2014年中國移動互聯(lián)網(wǎng)調(diào)查研究報告 [EB/OL]. [2015-03-01]. http：//www.cnnic.net.cn/hlwfzyj/hlwxzbg/201408/P020140826366265178976.pdf

[2] 360互聯(lián)網(wǎng)安全實驗中心. 中國手機安全狀況報告 [EB/OL]. [2015-03-01]. http：//zt.#/report

[3] SAMARATI P， SWEENEY L. Generalizing Data to Provide Anonymity when Disclosing Information [C]//Proceedings of the Seventeenth ACM SIGACT-SIGMOD-SIGART Symposium on Principles of Database Systems， New York， NY， USA， 1998

[4] GRUTESER M， GRUNWALD D. Anonymous usage of location-based services through spatial and temporal cloaking [C]//Proceedings of the International Conference on Mobile Systems， Applications， and Services （MobiSys03）， San Francisco， USA， 2003：163-168

[5] MACHANAVAJJHALA A， GEHRKE J， KIFER D， VENKITASUBRAMANIAM M. L-diversity： privacy beyond k-anonymity [C]//Proceedings of the 22nd International Conference on Data Engineering， 2006

[6] LI N， LI T， VENKATASUBRAMANIAN S. t-Closeness： Privacy Beyond k-Anonymity and l-Diversity [C]//Proceedings of the IEEE 23rd International Conference on Data Engineering（ICDE 2007）， 2007： 106-115

[7] DWORK C. Differential Privacy： A Survey of Results [J]. Theory and Applications of Models of Computation， 2008，35（1）：1-19

[8] ANDR?S M E， BORDENABE N E， CHATZIKOKOLAKIS K， PALAMIDESSI C. Geo-indistinguishability： differential privacy for location-based systems [C]//Proceedings of the 2013 ACM SIGSAC conference on Computer and communications security， New York， NY， USA， 2013：901-914

[9] MCSHERRY F， TALWAR K. Mechanism Design via Differential Privacy [C]//Proceedings of the 48th Annual IEEE Symposium on Foundations of Computer Science， 2007. FOCS07， 2007：94-103

[10] DWORK C， LEI J. Differential privacy and robust statistics [C]//Proceedings of the 41st annual ACM symposium on Theory of computing， New York， NY， USA， 2009：371-380

[11] FREUDIGER J， MANSHAEI M H， HUBAUX J-P， PARKES D C. On Non-Cooperative Location Privacy： A Game-Theoretic Analysis [C]//Proceedings of the 16th ACM conference on Computer and communications security， 2009：324-337

[12] REZA S， GEORGE T， CARMELA T. Protecting Location Privacy： Optimal Strategy against Localization Attacks [C]//Proceedings of the 2012 ACM conference on Computer and Communications security， CCS12， 2012：617-627

[13] KIDO H， YANAGISAWA Y， SATOH T. An Anonymous Communication Technique Using Dummies for Location-based Service [C]//Proceedings of the IEEE International Conference on Pervasive Services， 2005： 88297

[14] HONG J I， LANDY J A. An Architecture for Privacy-Sensitive Ubiquitous Computing [C]//Proceedings of the International Conference on Mobile Systems， Applications， and Services（MobiSys04）， 2004： 1772189

[15] GRUTESER M， GRUNWALD D. Anonymous Usage of Location-based Services Through Spatial and Temporal Cloaking [C]//Proceedings of the International Conference on Mobile Systems， Applications ，and Services（MobiSys03）， 2003：1632168

[16] DUCKHAM M， KULIL L. A formal model of obfuscation and negotiation for location privacy. [C]//Proceedings of the IEEE International Conference on Pervasive Services， 2005： 88193

[17] BERESFORD A R， STAJANO F. Mix zones： user privacy in location-aware services [C]//Proceedings of the Second IEEE Annual Conference， Pervasive Computing and Communication Workshops， 2004：127-131

[18] QI H， WU D， KHOSLA P. The quest for personal control over mobile location privacy [J]. IEEE Communication Magazine， 2004，42（1）：130-136

[19] JIAN L， YING Q， PEI H， MENTIAN R. Improved Mechanism for Mobile Location Privacy [C]//Proceedings of the Malaysia International Conference on Communication， 2005：559-563

[20] KHOSHGOZARAN A， SHAHABI C， SHIRANI-MEHR H. Location privacy： going beyond k-anonymity， cloaking and anonymizers [J]. Knowledge and Information Systems， 2011，26（3）：435-465

[21] SAHAI A， WATERS B. Fuzzy identity-based encryption [J]. Advances in Cryptology-Eurocrypt， 2005， 34（9）：457-473

[22] LINKE G， CHI Z， HAO Y， YUGUANG F. A Privacy-preserving Social-assisted Mobile Content Dissemination Scheme in DTNs [C]//Proceedings of the INFOCOM， 2013： 2301-2309

[23] CHOW C， MOKBEL M F. Enabling privacy continuous queries for revealed user locations [C]//Proceedings of the Int Symposium on Advances in Spatial and Temporal Databases （SSTD）. Boston： Springer， 2007

[24] PINGLEY A， NAN Z， XINWEN F. Protection of Query Privacy for Continuous Location Based Services [C]//Proceedings of the INFOCOM， 2011：1710-1718

[25] HASHEM T， KULIK L. Safeguarding Location Privacy in Wireless Ad-Hoc Networks [C]//Proceedings of the UbiComp 2007： Ubiquitous Computing， 2007： 372-390

[26] MA Z， KARGL F， WEBER M. Measuring Long-Term Location Privacy in Vehicular Communication Systems [J]. Computer Communications， 2010， 33（12）：1414-1427

[27] CHOW C-Y， MOKBEL M F， HE T. A Privacy-Preserving Location Monitoring System for Wireless Sensor Networks [J]. Mobile Computing， IEEE Transactions on， 2011，10（1）：94-107

[28] RENHUNG H， FUHUI H. SocialCloaking： a Distributed Architecture for k-anonymity Location Privacy [C]//Proceedings of the International Conference on Computing Networking and Communications， 2014：247-251

[29] WERNKE M， SKVORTSOV P， DüRR F， ROTHERMEL K. A classification of location privacy attacks and approaches [J]. Ubiquit Comput， 2014，18（1）：163-175

[30] FAWAZ K， SHIN K G. Location Privacy Protection for Smartphone Users [C]//Proceedings of the 2014 ACM SIGSAC Conference on Computer and Communications Security， 2014：239-250