許志凱　張宏莉　余翔湛

摘 要： 隨著智能終端的普及和無線通信技術(shù)的發(fā)展，基于位置的服務(wù)已滲入到人們的日常生活當(dāng)中這些服務(wù)在給人們的日常生活帶來便利的同時(shí)，也帶來隱私泄漏的風(fēng)險(xiǎn)。針對軌跡數(shù)據(jù)的推理攻擊不僅可得出用戶可分析出目標(biāo)用戶的家庭住址、工作地點(diǎn)等敏感位置信息，甚至可推測出用戶的生活習(xí)慣、健康狀態(tài)、宗教信仰等隱私信息。軌跡隱私能否得到妥善保護(hù)已成為制約移動(dòng)互聯(lián)網(wǎng)發(fā)展的瓶頸問題。本文對已有的軌跡隱私保護(hù)方法進(jìn)行了分類描述，并分析已有工作的優(yōu)缺點(diǎn)，最后指明未來的研究方向。

關(guān)鍵詞：軌跡隱私；隱私保護(hù)，位置隱私，網(wǎng)絡(luò)安全

中圖分類號：TP391.41 文獻(xiàn)標(biāo)識號：A

0 引言

隨著智能終端的普及和無線通訊技術(shù)的發(fā)展，基于位置的服務(wù)（Location-based Service，LBS）已滲入到人們的日常生活當(dāng)中。然而，許多基于位置的服務(wù)，如電子地圖、運(yùn)動(dòng)計(jì)步、移動(dòng)廣告，需用戶實(shí)時(shí)提交自己的位置信息。這些服務(wù)可為人們的生活帶來巨大的便利。以電子地圖服務(wù)提供商Google地圖、百度地圖為例，這些應(yīng)用不僅可為用戶提供實(shí)時(shí)交通導(dǎo)航，還可為用戶提供實(shí)時(shí)路況信息，并規(guī)劃最優(yōu)線路。然而，這些服務(wù)也帶來隱私泄漏的風(fēng)險(xiǎn)，在使用這類服務(wù)時(shí)，LBS用戶需實(shí)時(shí)地將自己的位置信息提交給LBS服務(wù)器，但這些軌跡數(shù)據(jù)往往含有豐富的時(shí)空信息。針對軌跡數(shù)據(jù)的推理攻擊不僅可得出用戶在什么時(shí)間去過什么位置，還可分析出目標(biāo)用戶的家庭住址、工作地點(diǎn)等敏感位置信息，甚至可推測出用戶的生活習(xí)慣、健康狀態(tài)、宗教信仰等隱私信息。因此，軌跡隱私保護(hù)受到用戶及研究者的廣泛關(guān)注。

針對上述問題，本文介紹基于位置的服務(wù)，在此基礎(chǔ)上分別綜述位置隱私保護(hù)技術(shù)的主要研究現(xiàn)狀及存在的問題，同時(shí)，根據(jù)目前研究的不足指出未來可能的研究方向。

1 基于位置的服務(wù)

圖1表示了基于位置服務(wù)的一般架構(gòu)，該架構(gòu)包含3個(gè)實(shí)體；

1）為LBS用戶提供定位服務(wù)的導(dǎo)航定位基礎(chǔ)設(shè)施，主要包括GPS衛(wèi)星、無線網(wǎng)絡(luò)基站、WIFI等。

2）持有移動(dòng)智能終端的LBS用戶（本文的研究中將LBS用戶與移動(dòng)智能終端可視為同一主體）。移動(dòng)智能終端可通過硬件（如GPS芯片）和軟件（如基站信號定位、WIFI指紋定位）技術(shù)確定該LBS用戶所在地理位置，并通過無線信號與LBS服務(wù)器進(jìn)行通信。

3）為LBS用戶指定基于位置服務(wù)的服務(wù)提供商，如百度地圖、Google地圖、大眾點(diǎn)評等。

連續(xù)型LBS服務(wù)指的是用戶需實(shí)時(shí)提交的自己的位置信息才能獲取到相應(yīng)服務(wù)的LBS服務(wù)，這類服務(wù)主要包括智能導(dǎo)航服務(wù)、無人駕駛汽車、基于位置的新聞（廣告）推送、運(yùn)動(dòng)計(jì)步及某些社交類APP（如定位附近與我興趣相同的人）等。 以智能導(dǎo)航服務(wù)為例，一次典型的連續(xù)型LBS服務(wù)如圖1所示。具體可做如下闡釋：

1）用戶通過定位服務(wù)如GPS等獲取自身位置；

2）用戶將自身位置及所需的服務(wù)請求發(fā)送給LBS服務(wù)提供商；

3）LBS服務(wù)提供商根據(jù)用戶當(dāng)前的位置及道路擁塞情況為用戶規(guī)劃行駛線路，并提供導(dǎo)航服務(wù)；

4）重復(fù)過程（1）至（3）直到滿足用戶的服務(wù)要求，如完成一次從地點(diǎn)A到地點(diǎn)B的導(dǎo)航服務(wù)。

2 威脅模型

在軌跡隱私保護(hù)的研究中，研究者一般認(rèn)為GPS等定位設(shè)備是可信的，即用戶可獲取其位置坐標(biāo)的過程是安全的，而LBS服務(wù)提供商是不可信的， 即LBS服務(wù)提供商可能會利用用戶的軌跡信息挖掘用戶的隱私信息。這是因?yàn)橛脩粼趯⑽恢脭?shù)據(jù)提交給LBS提供商后沒有能力驗(yàn)證服務(wù)提供商是否可信，其次可信的服務(wù)提供商也可能會被惡意第三方攻擊，導(dǎo)致用戶位置隱私的泄漏。

3 軌跡隱私保護(hù)技術(shù)

近些年軌跡隱私保護(hù)受到研究者的廣泛關(guān)注。根據(jù)用戶的查詢請求在到達(dá)LBS服務(wù)器之前變換方式的不同，當(dāng)前的軌跡隱私保護(hù)方法可分為以下3類：

1）基于k匿名泛化的方法；

2）基于噪聲數(shù)據(jù)的方法；

3）基于動(dòng)態(tài)假名的方法。

3.1 基于k匿名泛化的軌跡隱私保護(hù)技術(shù)

K匿名泛化法[1]是一種經(jīng)典的位置隱私保護(hù)技術(shù)。其基本思想是：在發(fā)送服務(wù)請求時(shí)，以一塊空間區(qū)域代替用戶的精準(zhǔn)位置，即通過降低用戶位置的精度的方式滿足用戶的隱私需求。部分研究者[2-3]將k匿名泛化應(yīng)用到軌跡隱私保護(hù)中。一個(gè)直觀的思路是將連續(xù)的2次查詢視為2個(gè)獨(dú)立的LBS服務(wù)請求，即分別為這2次查詢構(gòu)建匿名空間。但這種方法易受基于用戶移動(dòng)速度的推理攻擊。針對上述問題，文獻(xiàn)[2]基于用戶移動(dòng)速度構(gòu)建匿名區(qū)域，以保證2個(gè)連續(xù)提交的匿名區(qū)域在速度上可達(dá)。然而，這一方法并不能充分保證用戶的位置隱私。如圖2所示，設(shè)A正在沿道路行駛，并在實(shí)時(shí)地查詢周邊的東北菜館。圖（a）是用戶A在時(shí)刻ti生成的匿名空間，圖（b）是用戶A在時(shí)刻ti+1生成的匿名空間。 由于用戶的移動(dòng)方向與速度并不會完全相同，2塊匿名空間中只包含用戶A這一共同用戶，即使兩塊匿名空間在速度上是完全可達(dá)的，攻擊者也可通過比對2塊匿名空間中的用戶輕易地推測出用戶A正在查詢東北菜館的信息。

綜上問題論述開展研究，文獻(xiàn)[3]認(rèn)為在連續(xù)查詢中，用戶所提交的匿名區(qū)域應(yīng)包含k個(gè)相同的用戶?；谏鲜鏊枷?，有針對性地提出一種基于貪心的匿名區(qū)域構(gòu)建算法，但通過該方法構(gòu)造的匿名空間的面積會隨著查詢次數(shù)的上升而帶來線性增加，從而形成嚴(yán)重的通信和計(jì)算開銷。軌跡隱私保護(hù)需建立用戶服務(wù)可用性的基礎(chǔ)上， 如何在保護(hù)用戶軌跡隱私的同時(shí)，盡可能的減小匿名空間的面積，提高基于服務(wù)的可用性，是該類方法未來的研究重點(diǎn)。

3.2 基于噪聲數(shù)據(jù)的軌跡隱私保護(hù)方法

基于噪聲數(shù)據(jù)的軌跡隱私保護(hù)方法[4-5]的實(shí)現(xiàn)思想是：在將用戶的真實(shí)位置發(fā)送給LBS提供商的同時(shí)，以一定的策略生成若干虛假位置（dummy）并發(fā)送給LBS服務(wù)提供商作為用戶真實(shí)位置的“掩護(hù)”，使攻擊者無法分辨出用戶真實(shí)位置。文獻(xiàn)[6-8]針對連續(xù)查詢查中的噪聲數(shù)據(jù)添加機(jī)制進(jìn)行了研究。文獻(xiàn)[6]根據(jù)上一時(shí)刻的位置，按隨機(jī)的速度和方向進(jìn)行移動(dòng)，并將獲得的隨機(jī)的位置點(diǎn)作為虛假位（dummy）進(jìn)行發(fā)布，但這種方法生成的虛假位置點(diǎn)往往與用戶真實(shí)的移動(dòng)特征不符，且這些虛假位置點(diǎn)本身可能是一些實(shí)際上不可能到達(dá)的位置。針對這一問題，文獻(xiàn)[7]在生成虛假位置點(diǎn)時(shí)加入了移動(dòng)速度、路網(wǎng)等約束條件。文獻(xiàn)[8]認(rèn)為移動(dòng)用戶不會始終連續(xù)性移動(dòng)，因此其在生成噪聲數(shù)據(jù)點(diǎn)時(shí)會讓移動(dòng)對象根據(jù)周邊的環(huán)境隨機(jī)地產(chǎn)生一些停頓，以防止攻擊者識別出噪聲數(shù)據(jù)。然而，現(xiàn)實(shí)社會中，用戶的行駛過程易遇到各種意外事件，如何處理這些意外事件，以生成更“真實(shí)”的噪聲軌跡數(shù)據(jù)仍是一個(gè)巨大的挑戰(zhàn)。此外，上述方法對攻擊者的背景知識假設(shè)較為保守，當(dāng)攻擊者獲得了從用戶的日常行為中提取的背景知識時(shí)，即使用戶的生成的噪聲軌跡無法模擬出真實(shí)用戶的移動(dòng)軌跡，攻擊者也可辨別出用戶的真實(shí)軌跡。

3.3基于動(dòng)態(tài)假名的方法的軌跡隱私保護(hù)方法。

基于假名的軌跡隱私保護(hù)方法的基本思想為：用戶在發(fā)送基于位置的服務(wù)請求是以一個(gè)假名（pseudonym）來代替用戶的真實(shí)身份。然而，研究者發(fā)現(xiàn)長時(shí)間使用同一假名并不能有效地保護(hù)用戶的隱私，這是因?yàn)樵诼肪W(wǎng)中移動(dòng)用戶是公開可見的，一次偶然的隱私的泄漏就可能會導(dǎo)致用戶整個(gè)移動(dòng)軌跡的泄漏。因此，研究者[9]提出基于mix-zone的動(dòng)態(tài)假名技術(shù)。

當(dāng)前大部分研究工作圍繞如何構(gòu)建單個(gè)mix-zone區(qū)域展開。 文獻(xiàn)[10]提出的MobiMix即是其中的代表性方法，對應(yīng)基本思想為針對現(xiàn)實(shí)中可能被攻擊者利用的背景知識，如移動(dòng)速度，轉(zhuǎn)移概率等，利用不規(guī)則的多邊形及其組合建立混淆區(qū)域，使其適應(yīng)當(dāng)前場景，提高隱私保護(hù)程度。然而，在現(xiàn)實(shí)中只有同時(shí)部署多個(gè)混淆區(qū)域才能有效地保護(hù)用戶的軌跡隱私，但在mix-zone內(nèi)用戶必須停止使用基于位置的服務(wù)，部署過多的mix-zone可能會嚴(yán)重影響服務(wù)質(zhì)量。在此問題基礎(chǔ)上，文獻(xiàn)[11]提出一種基于組合優(yōu)化的混淆區(qū)域部署方案。文獻(xiàn)[12]進(jìn)一步地考慮路網(wǎng)和交通流量的限制，提出一種基于整數(shù)規(guī)劃的混淆區(qū)域部署方案，可在部署有限個(gè)混淆的區(qū)域的同時(shí)，盡可能提高用戶的隱私保護(hù)水平。 單個(gè)mix-zone的設(shè)計(jì)目前已經(jīng)有較為成熟的方案，如何在城市環(huán)境下協(xié)調(diào)部署多個(gè)mix-zone則是該方向未來的研究重點(diǎn)。

4 結(jié)束語

隨著移動(dòng)互聯(lián)網(wǎng)的發(fā)展，軌跡隱私保護(hù)受到研究者的廣泛關(guān)注。本文對近些年來該方向已有的研究成果進(jìn)行了回顧，對比和分析了已有的方法和技術(shù)，并指出仍然存在的問題和可能的研究方向。整體來說，目前軌跡隱私保護(hù)的研究仍然處于起步階段，仍有許多關(guān)鍵性問題尚未解決。

參考文獻(xiàn)：

[1] SWEENEY L. k-anonymity： a model for protecting privacy[J]. International Journal on Uncertainty， Fuzziness and Knowledge-based Systems， 2002， 10（5）： 557-570.

[2] GHINITA G， DAMIANI M L， SILVESTRI C， et al. Preventing velocity-based linkage attacks in location-aware applications[C]//Proceedings of the 17th ACM SIGSPATIAL International Conference on Advances in Geographic Information Systems. Washington： ACM ，2009： 246-255.

[3] WANG Y， XU D， HE X， et al. L2P2： Location-aware location privacy protection for location-based services[C]//Proceedings of IEEE INFOCOM. Orlando， Florida： IEEE， 2012：1996-2004.

[4] NIU B， LI Q， ZHU X， et al. Achieving k-anonymity in privacy-aware location-based services[C]//Proc. of IEEE INFOCOM. Toronto： IEEE， 2014：754-762.

[5] NIU B， LI Q， ZHU X， et al. Enhancing privacy through caching in location-based services[C]//Proc. of IEEE INFOCOM. Hong Kong： IEEE， 2015：1017-1025.

[6] KIDO H， YANAGISAWA Y， SATOH T. Protection of location privacy using dummies for location-based services[C]//Proc. of the 21st Intl Conf. on Data Engineering. Tokyo： IEEE， 2005： 1248?1248.

[7] SUZUKI A， IWATA M， ARASE Y， et al. A user location anonymization method for location based services in a real environment[C]//Proc. of the 18th ACM SIGSPATIAL Intl Symp. on Advances in Geographic Information Systems. Sana Jose：ACM， 2010： 398?401.

[8] KATO R， IWATA M， HARA T， et al. A dummy-based anonymization method based on user trajectory with pauses[C]//Proc. of the 20th ACM SIGSPATIAL Intl Conf. on Advances in Geographic Information Systems. Redondo：ACM， 2012： 249?258.

[9] FREUDIGER J， RAYA M， FLEGYHAZI M， et al. Mix-zones for location privacy in vehicular networks[C]//WiN-ITS. Vancouver， British Columbia， Canada：ACM， 2007：1-7.

[10] ALANISAMY B， LIU L. Attack-resilient mix-zones over road networks： architecture and algorithms[J]. IEEE Transactions on Mobile Computing， 2015， 14（3）： 495-508.

[11] FREUDIGER J， SHOKRI R， HUBAUX J P. On the optimal placement of mix zones[C]//Proc. of the 9th International Symposium on Privacy Enhancing Technologies （PETS09）. Seattle：IEEE， 2009：216–234.

[12] LIU X， ZHAO H， PAN M， et al. Traffic-aware multiple mix zone placement for protecting location privacy. In： Proceedings of the IEEE INFOCOM 2012. Orlando， Florida： IEEE， 2012： 972-980.